1、计算机与现代化JISUANJI YU XIANDAIHUA2023年第9期总第337期收稿日期:2022-08-15;修回日期:2022-10-28基金项目:国家自然科学基金资助项目(61872196,61872194,61902196,62102194,62102196);江苏省六大人才高峰高层次人才项目(RJFW-111)作者简介:肖航(1998),男,安徽广德人,硕士研究生,研究方向:物联网安全,E-mail:1020041127njput.edu.con;通信作者:李鹏(1979),男,福建长汀人,教授,博士生导师,研究方向:网络安全,云计算技术,E-mail:;马荟平(1998),男
2、,甘肃白银人,硕士研究生,研究方向:物联网安全,E-mail:1020041117njput.edu.con;朱枫(1986),男,安徽合肥人,讲师,博士,研究方向:系统安全,E-mail:。文章编号:1006-2475(2023)09-0105-100引言随着现代物流和物联网技术应用的逐渐普及,RFID(Radio Frequency Identification)系统与人们衣食住行的联系日益紧密,RFID系统安全的重要性就日益凸显。近年来,针对RFID系统安全性的研究主要以基于多种算法的轻量级RFID安全认证协议1-2为主,相较而言,对攻击者的行为建模并分析的却不多。由于目前RFID安全领
3、域中评估类标准匮乏,现有的研究者很难对RFID系统实施较为全面的安全评估。为了解决上述研究困境,本文参照传统计算机网络中入侵者行为建模的方法3-4,本文针对RFID系统中特有的攻击分析,建立RFID系统的攻击者模型。目前,在RFID攻击建模方面,缺乏对并发性和协作性攻击方式表达恰当的模型,本文提出一种基于层次广义随机 Petri网的攻击模型 HGSPN(HierarchicalGeneralized Stochastic Petri Net)。该模型较为系统全面地表达了RFID系统攻击的原子性和宏观性,对RFID多种类并发协作攻击行为进行模拟,同时在模型状态节点的数量爆炸问题上得以有效的缓解。
4、本文模型相较于攻击图等模型具有以下优点:1)本文模型能准确地描述攻击过程和RFID系统状态,可实现RFID系统协同攻击建模,清晰地表达出复杂攻击中系统脆弱点之间的利用逻辑和时序关系。2)本文模型在一定程度上缓解了模型状态规模随节点的增加带来的指数型上升的问题,在确保对RFID系统安全状态尽可能完整表达的基础上,合理地规划设计模型层级间的连接和构造能对状态规模基于随机Petri网的RFID系统安全性分析模型肖航1,李鹏1,2,马荟平1,朱枫1,2(1.南京邮电大学计算机学院,江苏 南京 210023;2.南京邮电大学网络安全和可信计算研究所,江苏 南京 210023)摘要:针对日益频发的RFID
5、系统攻击给RFID系统带来瘫痪风险问题,提出一种采用基于层次广义随机Petri网的RFID系统安全性分析模型。该模型利用已有的知识储备模拟真实的RFID虚拟环境,对攻击RFID系统过程进行准确有效的实验推演,并量化分析RFID系统风险。首先,利用攻击层次、攻击权限和基于权限的攻击等信息构建RFID攻击者模型;其次,对攻击者的行为进行建模描述,刻画其对RFID系统状态的影响;最后,基于所构建的模型对目标RFID系统的攻击概率、脆弱节点等方面进行风险评估。实验结果表明,本文提出模型可有效地对RFID系统进行风险评估,并且大大降低了评估时间和复杂度。关键词:随机Petri网;安全评估;时间复杂度;组
6、合攻击中图分类号:TP393.08文献标志码:ADOI:10.3969/j.issn.1006-2475.2023.09.017RFID System Security Analysis Model Based on Stochastic Petri NetXIAO Hang1,LI Peng1,2,MA Hui-ping1,ZHU Feng1,2(1.School of Computer Science,Nanjing University of Posts and Telecommunications,Nanjing 210023,China;2.Institute ofNetwork S
7、ecurity and Trusted Computing of Nanjing University of Posts and Telecommunications,Nanjing 210023,China)Abstract:To solve the problem of RFID system breakdown risk caused by frequent RFID system attacks,this paper proposes aRFID system security analysis model based on hierarchical generalized stoch
8、astic Petri net.The model uses the existing knowledge reserve to simulate the real RFID virtual environment,accurately and effectively deduces the attack process in the RFIDsystem,and quantifies the risk of the RFID system.Firstly,the RFID attacker model is constructed using the information of attac
9、k hierarchy,attack authority and permission-based attacks.Secondly,the description of the attackers behavior is modeledand described its impact on the RFID system state.Finally,based on the constructed model,the attack probability,weak nodesand other aspects of the RFID system are assessed.The exper
10、imental results show that the proposed model can effectively evaluate the risk of RFID system,and greatly reduce the complexity of evaluation time.Key words:stochastic Petri net;safety assessment;time complexity;combination of attack计算机与现代化2023年第9期进行适当的剪枝。3)本文模型中的状态节点概率可以在短时间内迅速收敛,同一般的Petri网模型相比,该模型
11、在多目标攻击的稳态求解时间上快一个数量级。1相关工作对RFID攻击进行科学、有效的建模是维护RFID系统安全的重要措施。目前,李辉等人5针对给出的RFID系统中防伪安全协议的复杂性提出了智能伪造攻击模型,形式化分析了复杂防伪协议的设计。李俊霖等人6对物联网安全协议攻击者能力进行了形式化构建,分析了攻击者模型的攻击行为,但文中缺乏相应的对比实验。黄义夫7提出了面向RFID协议的安全检测攻击图模型和基于层次分析法的RFID安全漏洞顶级策略,实现了对EPC C1 G2标准协议的仿真、攻击检测、安全评估,但文中并未对RFID非标准协议进行仿真和攻击检测。杨晓明8提出了基于图的RFID攻击模型,该模型能
12、够动态地模拟攻击者可能采取的攻击步骤,直观地体现了RFID系统的安全状态,但在 RFID 攻击规则方面还有待完善。Wang等人9针对RFID的4种攻击方法,构建了RFID安全检测模型,研究分析了RFID系统的漏洞和可能的攻击路径。Ai等人10通过引入克隆标签的攻击概率概念,提出了IPCA协议,研究了大规模RFID系统中克隆攻击概率的识别问题。Petri网是一种描述复杂系统(包括计算机网络和协议)的有效工具,基于Petri网所建立的模型既能表达出系统所处在的不同状态,还能对系统或网络中的攻击行为进行模拟。在近几年的研究中,Chen 等人11提出了一种组合式Petri网的方法对大型网络物理系统进行
13、攻击建模,文中虽未提出精确的智能电网威胁模型,但是为复杂系统攻击建模提供了相应的思路。高翔等人12提出了一种基于广义随机着色Petri网的网络攻击组合模型,对攻击行为之间的关联关系进行了清晰的表述,但文中仅根据时间代价对网络系统的脆弱性进行了分析,缺乏对攻击概率的量化评估。Almutairi等人13-14提出了一种基于广义随机Petri网的软件定义网络(SDN)攻击模型,评估了SDN多控制器的风险。毋泽南等人15提出了一种网络系统评估模型NSA-SPN,对网络安全相应指标进行了合理评估,但模型的攻击路径较为单一,对恶意用户针对系统的攻击不能够充分的表达。He等人16提出了基于GSPN模型的网络
14、空间模拟DNS抗攻击模型并分析了其可靠性、可用性和抗攻击性。目前,利用Petri网对系统进行建模分析时,模型规模问题一直未能得到很好的解决,缩减模型的规模往往伴随着状态特征的丢失,而对模型的规模进行适当地扩充虽然保留了部分状态特征,并在一定程度上降低了状态转移之间的耦合性,但是面对较为复杂的系统,攻击规模也就随之增大,模型的状态数量呈指数级增长。同时,就RFID的安全性研究而言,现有的文献大多是针对RFID的安全隐私、协议认证17-19方面进行相关的研究,缺乏从RFID攻击者模型构建方面来提高RFID安全性的研究。针对这些问题,本文提出一种基于层次广义随机 Petri网的 RFID系统安全评估
15、模型HGSPN-RFID,通过对RFID攻击的并发性、协作性、递进性过程进行描述,发掘攻击者意图,评估RFID系统风险。该模型从攻击者角度出发,自顶向下从3个层次对RFID系统协作性、并发性攻击进行建模,对RFID系统所处的攻击状态进行准确的表达,在时间和空间规模上性能也进行了优化。2基于层次广义随机Petri网的RFID系统安全性分析模型2.1基本概念广义随机 Petri 网 GSPN(Generalized StochasticPetri Net)20是在随机Petri网的基础上进行的改进,将变迁划分为2种,一种是表示耗时的事件的时间变迁;一种是表示逻辑选择的瞬时变迁,对随机Petri网的
16、状态规模随着求解问题节点数量增加而产生指数爆炸问题进行有效地缓解,避免了同构的马尔可夫过程求解困难的问题。广义随机Petri网是对随机Petri网功能的改进,相较于传统随机Petri网,其针对实际场景中的逻辑关系表述的更为恰当,对于和时间无关而在逻辑策略上具备选择的事件,将其建模为瞬时变迁;针对在时间上具有连贯性和先后顺序的事件,将其建模为时间变迁。2.2层次广义随机Petri网首先给出层次广义随机Petri网的相关概念21。定义1 顶层父Petri网(FPN)。顶层父Petri网由三元组FPN=(P,T,F)构成,其中:P=p1,p2,pn代表关键位置集合;T=t1,t2,tn代表摘要变迁集
17、合;P T 且P T ,F P T T P 是弧的集合。定 义 2 权 限 子 Petri 网(PASPN)。PASPN=Pp,Tp,Fp,M0,v,其中Pp=pp0,pp1,ppn是攻击者具有的权限集合;Tp=Tp0,Tp1,Tpn代表变迁集合,Tpk=Tpk ap,p,qp表示某一具体行为,p表示权限转移的概率,qp表示权限提升的概率;Fp是有向弧集合,PASPN中由弧连接的起始位置到目标的连通图代表攻击权限提升路径;M0代表初始状态;v代表变迁触发速率,反映了攻击者获取权限的能力。定 义 3基 于 权 限 的 攻 击 子 网(AASPN)。AASPN=Pa,Ta,Fa,其 中:Pa是 攻
18、 击 集 合;Ta=Ta0,Ta1,Tan代表变迁集合,Tak=Tak aa,a,qa代表某一攻击行为,a表示攻击触发的概率,qa表示攻击成功的概率;Fa是有向弧集合,AASPN中由弧连接的起始位置到目标的连通图代表攻击路径。定义 4 层次广义随机 Petri 网模型(HGSPN)。HGSPN=P,T,F,M0,v,对于父Petri网FPN中的t T、PASPN,AASPN,通 过 细 化 组 合 操 作,得 到1062023年第9期HGSPN,其中:P=P Pp Pa,T=(T-t)Tp Tc,F=F-2(t t)-(t t)(Fp(t Tpi)(Tpo t)+(Fa(t Tai)(Tao
19、t),t=y|(y,t)F 为t的前置集,t=y|(t,y)F 为t的后置集,Tpi和Tpo分别为PASPN的入口和出口,Tai和Tao分别为AASPN的入口和出口。2.3攻击模型层次化结构RFID系统主要由3个物理实体(电子标签、阅读器、后端数据库)和2种通信信道(无线通信信道、网络通信信道)组成。不同于有线网络中计算系统通常具备基于主机的集中式防御能力(防火墙),RFID系统中阅读器和标签都处于一个相对不够稳定且会被噪声干扰的环境中运行。攻击者可从后端数据库、网络通信信道、阅读器、前向通信信道、反向通信信道、标签等各方面对RFID系统进行攻击。目前在数据库安全、网络安全和计算机安全方面已经
20、具备较为成熟的安全防护手段。如图1所示,将RFID攻击按照攻击所属范围不同划分成感知层、网络传输层、应用层和多层次攻击22。图1RFID攻击的分类一步构建RFID攻击模型会因规模庞大而难以实现,为此将描述RFID攻击系统的Petri网进行层次化扩展,分别构建顶层父Petri网、中间层权限Petri网和底层攻击Petri网。把表述RFID系统攻击的单一Petri网拓展为多方面多层次Petri网模型,从而缩减单一模型中的节点个数。将模型中的攻击方式分为全局攻击和原子攻击,就整体而言分析不同攻击间的联系,建立攻击间的连接,获取总体攻击路径;就局部而言,分析每一个独特节点的攻击方式和危害系数。系统把控
21、RFID攻击间的紧密程度和不同攻击所造成的危害程度,可以对RFID系统中的脆弱性节点进行分析掌控,并根据这些脆弱点信息求解攻击路径,为RFID系统的安全性提供有力的保障。本文使用自顶层至权限层到攻击层的建模思路,令顶层父Petri网展现 RFID 攻击模型中各层次和系统安全之间的关系;中间层权限Petri网展现RFID系统中攻击者在发起攻击的过程中逐步利用当前权限获取更高级权限的提升关系;在攻击Petri网上,详细描述攻击者在利用权限层所获取到的权限后所具体发起的攻击形式。利用顶层网络、权限网络和攻击子网,实现对RFID系统的全网攻击描述。2.4攻击权限攻击者发起攻击时处于初始节点,在该节点上
22、攻击者只具有最低层次的系统权限。攻击者发起攻击并获取到更高级别的权限,就把获取后的权限当作新的状态点。从攻击者的角度出发建立攻击者在不同层次上的权限模式。分析现有的RFID攻击形式,并将RFID系统脆弱性分析过程中所涉及的权限分为感知层权限、网络传输层权限、应用层权3类,如表1所示。表1RFID攻击者权限感知层权限对RFID信道进行监听接近标签接近阅读器手动操作标签手动操作阅读器对信道进行干扰网络传输层权限伪装合法阅读器窃听信道并截获消息非法读取标签信息应用层权限获取标签权限破解标签安全机制,获取内部信息修改标签内容图2RFID攻击权限提升模式参考文献 7-8,并总结已有的RFID攻击方式,获
23、取不同攻击的攻击特征以及攻击权限之间的联系,根据RFID攻击者权限建立权限提升模式,如图2所示,同一个矩形中节点视为同一层次权限,没有入度的节点视为初始节点。攻击者最开始只具备初始节点的权限。然后攻击者利用自己已有的权限对系统发起攻击从而获取更高级别的权限。该行为对应到权限Petri上,即是权限提升变迁和权限库所的生成。2.5目标攻击目标攻击是攻击者通过一系列攻击所要达到的RFID攻击多层次攻击应用层网络传输层感知层永久禁用标签暂时禁用标签RFID阅读器的移除-销毁标签移除标签破坏KILL命令无源干扰有源干扰中继攻击标签攻击克隆欺骗阅读器攻击假冒窃听网络协议攻击未经授权的标签阅读标签修改应用程
24、序中间件攻击缓冲区溢出恶意代码注入隐蔽信道DoS攻击流量分析加密攻击侧信道攻击重放攻击接近标签手动操作标签手动操作阅读器接近阅读器监听信道干扰信道伪装合法阅读器非法读取标签破解安全机制,获取内部信息窃听截获消息获取标签权限修改标签内容感知层权限网络传输层权限应用层权限肖航,等:基于随机Petri网的RFID系统安全性分析模型107计算机与现代化2023年第9期最终状态。调研分析现阶段主流的RFID系统攻击方式,依据攻击权限、区域等属性的不同将其划分为不同层次。根据图1对RFID系统的攻击按照攻击目标所处的不同层次可以分为3个大类,即感知层、网络传输层、应用层,建立如表 2表 5所示的 RFID
25、 感知层、网络传输层、应用层和多层次原子攻击规则库。表2RFID感知层原子攻击规则库攻击类型永久禁用标签暂时禁用标签阅读器的禁用标签移除标签破坏KILL命令无源干扰有源干扰RFID阅读器的移除RFID阅读器的销毁攻击简述将标签从指定物品上移除以外力对标签进行破坏(包括物理破坏、化学腐蚀、放电和极端环境影响)破解标签密码执行KILL命令标签在不稳定和噪声环境中收到无线电干扰源的干扰和碰撞阅读器范围内产生信号,造成电磁干扰窃取阅读器以便攻击者访问RFID标签和后端系统以外力对 RFID阅读器进行破坏(包括物理破坏、化学腐蚀、放电和极端环境影响)表3RFID网络传输层原子攻击规则库攻击类型标签攻击阅
26、读器攻击克隆欺骗追踪数据泄露假冒窃听中继攻击攻击简述将标签的ID和任何相关数据复制到克隆标签(难易受标签安全特性影响)攻击者将伪装阅读器获取的标签信息发送给合法阅读器攻击者对标签中存储的数据进行标记,以达到对标签追踪的目的攻击者获取标签ID或标签上存储的用户敏感信息攻击者根据RFID的认证强度在一定程度上假冒合法阅读器的身份,从而获取敏感信息以及修改RFID标签上的数据攻击者使用天线来记录合法的RFID标签和阅读器之间的通信攻击者拦截并修改合法标签和阅读器之间的无线电信号表4RFID应用层原子攻击规则库攻击类型未经授权的标签读取标签篡改中间件攻击缓冲区溢出恶意代码注入攻击简述接近RFID标签对
27、未经身份验证的标签进行读操作对用户可写内存的标签修改或删除有价值的信息(难以依赖于RFID使用的标准和所采用的读写保护)使用RFID标签重复发送相同数据块的命令,使后端RFID中间件的缓冲区溢出RFID标签对使用 Web协议和脚本语言的RFID应用程序执行代码插入或SQL注入RFID通信中的感知层由物理接口、使用的无线电信号和 RFID 设备组成。在该层攻击者利用了RFID通信的无线特性、物理安全性差以及对物理操纵缺乏弹性对系统进行攻击,感知层攻击并未获取标签所包含的信息,却对RFID系统的日常运行造成了危害。安全威胁主要包括永久禁用标签、暂时禁用标签和阅读器的禁用等物理攻击。网络传输层包括所
28、有基于RFID系统通信方式和RFID网络实体(标签、读卡器)之间数据传输方式的攻击,该层攻击主要是对信息在来回传输的过程中造成破坏。安全威胁主要包括标签攻击、读卡器攻击和中继攻击等对传输过程中信息的攻击。应用层包括针对与应用程序相关的信息以及用户与RFID标签之间绑定的所有攻击。在该层,攻击者利用未经授权的标签读取、修改标签数据以及应用程序中间件来进行攻击。然而,许多针对RFID通信的攻击并不局限于单一层。多层次攻击包括影响RFID感知层、网络传输层、应用程序层的多维攻击。在该层包括隐蔽通道、拒绝服务、流量分析、加密、侧通道攻击和重放攻击。2.6攻击事件描述攻击事件的定义为:Attack_ev
29、ent=(PN(Permission_name),PP(Pre_permission),NP(Next_permission),A(Attack)在此定义下的符号含义为:PN:针对RFID系统的攻击权限名称。PP:获取当前权限的前提条件。NP:基于当前权限进行攻击可以获取的下一个权限。A:攻击者基于当前权限可以完成的原子攻击。原子攻击规则库如表6所示。2.7基于层次广义随机Petri网的RFID攻击模型RFID攻击Petri网的构造思想是自顶向下,逐步精细的过程。父 Petri网描述 RFID系统攻击中层次之间的关系;权限Petri网描述RFID系统中的权限提升关系,把攻击权限视为对象,那么权
30、限Petri网由攻击权限和攻击权限间的权限变迁生成;权限Petri网上的对象可按攻击权限规则库扩展为攻击子网。对应RFID攻击权限库,可建立如图2所示的RFID攻击Petri网。表5RFID多层次原子攻击规则库攻击类型隐蔽通道DoS攻击流量分析加密攻击侧信道攻击重放攻击使用“blocker tag”使用LOCK命令攻击中间件攻击简述攻击者利用RFID标签创建未经授权的通信通道来秘密传输信息攻击者获得标签权限,利用标签自带保护机制故意阻止标签的访问攻击者未经授权使用 LOCK命令,防止未经授权写入RFID标签的内存向中间件发送数据包流,使网络的带宽或处理能力被淹没,从而拒绝访问常规客户端攻击者通
31、过窃听截获消息并从通信模式中提取信息攻击者破坏系统采用的加密算法,并泄露或操纵敏感信息利用系统的时间、功耗、电磁场信息以及加密算法获取密文信息攻击者复制RFID通信中的有效应答,并在稍后广播给一方或多方1082023年第9期攻击者从根节点出发,查询已具备的起始权限,根据该权限查询能发起的攻击方式,生成状态节点和攻击节点,然后依次查询每个攻击对权限的提升关系,获取进一步的攻击权限,重复上面的过程,直到没有进一步的权限可以获取。根据定义 1定义 4,首先构建顶层父 Petri 网模型,如图3所示,攻击者从感知层、网络传输层、应用层关键位置对RFID系统进行攻击。其次,根据RFID攻击者权限提升模式
32、构建权限子Petri网模型,如图4所示,攻击者在不同层次间可以获取权限以此达到对RFID系统进一步攻击的目的。最后,根据RFID原子攻击规则库构建基于权限的攻击子Petri网模型,每一个原子攻击都是在攻击者获取了相应的一个或多个攻击权限的基础上发起的。图3顶层父Petri网模型FPN13T8T1111111111111T7T5T6T9感知层攻击者应用层网络传输层RFID安全结束接近标签11111111111111111111111111111111113T15T6111T13T12T8T2T0T21T19T18T14T22T17T24T23T4T16T10感知层攻击者应用层接近阅读签监听信道网
33、络传输层伪装合法阅读器法读取标签破解安全机制获取标签权限修改标签内容手动操作标签手动操作标签干扰信道窃听截获消息RFID安全结束T20T71311图4权限子Petri网PASPN表6RFID原子攻击规则库PN监听RFID信道接近标签对标签进行手动操作接近阅读器对阅读器进行手动操作伪装合法阅读器非法读取标签破解安全机制、获取内部信息获取标签权限修改标签内容窃听截获消息PPNullNull接近标签Null接近阅读器Null接近标签、伪装合法阅读器非法读取标签非法读取标签破解安全机制、获取内部信息、获取标签权限监听RFID信道NP干扰RFID信道、窃听截获消息对标签进行手动操作对阅读器进行手动操作非
34、法读取标签破解安全机制、获取内部信息、获取标签权限修改标签内容修改标签内容A有源干扰、无源干扰标签移除、标签破坏、KILL阅读器的移除、销毁中间人攻击、欺骗攻击重放攻击、加密攻击、DoS攻击篡改攻击、注入恶意代码流量分析、侧信道攻击基于层次广义随机 Petri网的 RFID 攻击模型通过建立 RFID 不同层次段攻击的 Petri 网,拓展顶层Petri网的内容获得基于RFID攻击权限的Petri网,针对权限Petri网建立攻击子网并整合后,如图5所示,获取较为综合的 RFID 安全分析模型。层次化 Petri网模型有效地避免了Petri网模型因整体节点过多而产生的组合爆炸问题。在基于层次广义
35、随机 Petri网的 RFID 攻击模型的构建过程中,使用瞬时变迁来表示攻击权限的获取以及攻击状态的重置过程,使用延时变迁来表示攻击者已经获取了部分攻击权限,并根据权限发起相应的攻击,但如果攻击者有机会获取更高级别的权限,那么基于当前权限的攻击将不会被选择,即该延时变迁不会触发,进而选择更高级别的权限并在此基础上选择高级权限的攻击。攻击者的攻击具有递进性,攻击者需要先获取相应的权限,基于权限来获取更高级别的权限或者基于当前权限发起对RFID系统的攻击。攻击者的攻击具肖航,等:基于随机Petri网的RFID系统安全性分析模型109计算机与现代化2023年第9期有并发性,攻击者从初始节点开始,分别
36、获取感知层、网络传输层和应用层的相应低级权限,攻击者在每一层的攻击都是时间上并行的。攻击者的攻击具有协作性,攻击者基于所获取的低级权限可以选择进行攻击或者进一步获取高级权限,多种低级权限之间进行相互协作,进而获取更为高级的权限,对系统发起更具威胁的攻击。在AASPN中,库所描述如表7所示。表7AASPN中库所说明库所p0p1p2p3p4p5p6p7p8p9p10p11描述攻击者感知层网络传输层应用层接近标签接近阅读器监听信道伪装合法阅读器手动操作标签手动操作阅读器干扰信道窃听截获消息库所p12p13p14p15p16p17p18p19p20p21p22p23描述中间人攻击欺骗攻击非法读取标签破
37、解安全机制获取标签权限修改标签内容重放攻击加密攻击篡改攻击注入恶意代码DoS攻击移除库所p24p25p25p27p28p29p30p31p32p33描述破坏KILLReader移除销毁有源干扰无源干扰流量分析侧信道攻击RFID安全结束3稳态分析与仿真评估研究Petri网模型的性能一般包括可达树23、可达标识图24、矩阵方程求解、分层或化简等方法。可达树和可达标识图可简洁直观地分析系统的可达性、有界性、活性等各种动态特性,并可以对Petri网的大部分特性进行验证。该方法通过分析层次广义随机Petri网模型的活性、有界性以及是否具有完全可达性来验证攻击的正确性。3.1稳态分析根据文献 25,一个随
38、机 Petri网同构于一个连续时间Markov链,本文所建立的顶层父Petri网、权限子Petri网、基于权限的攻击子网也同构于一个连续时间Markov链。与顶层父Petri网同构的Markov链如图 6 所示。在图中,S0、S2、S3、S4、S8、S9、S10、S14、S15为消失状态,因为它关联的库所触发瞬时变迁,不存在稳态概率,其中S0表示初始状态;S1、S5、S6、S7、S11、S12、S13为有形状态,存在稳态概率。根据同构马尔科夫链中有形状态之间的转换关系,可以得到顶层父Petri网稳定状态的可达标识集,如表8所示。对图6进行可达性、有界性及或许分析如下:1)图6是一个全连通图,该
39、模型是完全可达的,该可达树中的任一标识都是从S0可达。2)如表8所示,每一个库所的Token数都未超过3,库所的Token数是动态守恒的,不存在凭空产生的Token,也不存在凭空消失的Token,该模型是安全的,也是有界的。3)图6中的每一个状态节点,既有入度,也有出度,换言之,该模型不存在死锁或结束状态,该模型是活性的。综上所述,该评估模型是有效可行的。对顶层父Petri网、权限子Petri网、基于权限的攻击子网分别进行可达图构建,结果如表9和图7所示。图5基于权限的攻击子网AASPN移除破坏11111111111111111111111111111111111111111111111111
40、1113321111111111111111111111111111111111T1T6T18T14T2T8T3T23T0T331T7T22T24T25T26T10T28T11T31T29T36T30T52T51T50T49T481T47T46T45T44T43T41T42T40T39T38T37T19T20T21T26T32T27T34T3513接近标签感知层接近阅读器监听信道攻击者网络传输层 伪装合法阅读器应用层获取标签权限破解安全机制合法读取标签修改标签内容手动操作标签手动操作阅读器干扰信道窃听截获消息KILLReader移除1销毁有源干扰无源干扰流量分析侧信道攻击中间人攻击欺骗攻击重放
41、攻击加密攻击篡改攻击注入恶意代码DoS攻击结束RFID安全T131102023年第9期表8顶层父Petri网可达标识集状态S0S1S2S3S4S5S6S7S8S9S10S11S12S13S14S15结束0000011111122223RFID安全0011100011100010感知层0111011010010000攻击者1000000000000000网络传输层0110110101001000应用层0101101100100100表9库所数量、状态数量、状态间变迁数量单位:个网络类型顶层父Petri网权限子Petri网基于权限的攻击子网库所数量61834状态数量1650158状态间变迁数量21
42、80343根据表9和图7的结果可知,随着由顶层父Petri网到权限子Petri网再到基于权限的攻击子网进行层次扩充的过程,模型的库所数量呈较为稳定的线性增长,状态数量呈近似于3的指数级增长,状态间变迁数量呈近似于4的指数级增长。通过逐层构建RFID攻击模型的过程,顶层父Petri网模型的构建很大程度上决定了权限子Petri网和基于权限的攻击子网的状态数量,对顶层父Petri网的精简在一定程度上可以对状态爆炸问题进行适当的缓解。3.2稳态概率求解随着时间的推移,顶层父Petri网马尔科夫链的节点概率趋于稳定,如图8所示,在初始时间点最上方的线条显示了S1状态的概率变化趋势,中间的线条显示了状态S
43、5、S6、S7的概率变化趋势,最下方线条显示了状态S11、S12、S13的概率变化趋势。其中,“p1 p2 p3”表示 S1 状态,“p1 p3 p5”、“p1 p2 p5”、“p2 p3 p5”分别表示 S5、S6、S7 状态,“p1 p5 p5”、“p2 p5 p5”、“p3 p5 p5”分别表示S11、S12、S13状态,其稳态概率如表10所示。图8顶层父Petri网稳态概率表10稳态概率状态S1、S11、S12、S13S5、S6、S7Value0.1820.092权限子Petri网马尔科夫链稳态概率如图9所示。图9权限子Petri网稳态概率基于权限的攻击子网马尔科夫链稳态概率如图10
44、所示,其中由于状态较多,筛选出初始概率大于0.1或者稳态概率大于0.15的状态。S4S1S2S3S6S8S10S5S9S7S15S12S14S12S11S0T6T7T1T5T9T9T6T6T6T7T9T9T7T5T9T9T7T5T8T9图6顶层父Petri网可达标识图图7库所数量、状态数量、状态间变迁数量图顶层父Petri网权限子Petri网基于权的攻击子网库所数量状态数量状态间变迁数量350300250200150100500数量/个p1 p2 p3p1 p3 p5p1 p2 p5p2 p3 p5p1 p5 p5p3 p5 p5p2 p5 p51.00.80.60.40.20.0概率0123
45、45时间/s0.300.250.200.150.100.050.00概率012345时间/sp3 p6 p7p3 p7 p10p5 p17 p17p7 p17 p17p3 p5 p7p3 p7 p11p7 p10 p17p9 p17 p17p14 p15p3 p6 p17p7 p11 p17p16p3 p7 p9p3 p7 p17p6 p17 p17p10 p17 p17p5 p7 p17p3 p9 p17p3 p11 p17p11 p17 p17p3 p5 p17p7 p9 p17p3 p11 p17p3 p17 p17p6 p7 p17肖航,等:基于随机Petri网的RFID系统安全性分析
46、模型111计算机与现代化2023年第9期(a)15 s基于权限的攻击子网稳态概率(b)0.41.4 s基于权限的攻击子网稳态概率(c)44.8 s基于权限的攻击子网稳态概率图10基于权限的攻击子网稳态概率根据图10结果可知,本文所构建的顶层父Petri网、权限子Petri网、基于权限的攻击子网均可以在单位时间内得到稳态概率,其都相应地同构于一个马尔可夫链,可以求得对应的平稳状态概率。3.3模型的评估引入3个属性来评估RFID攻击模型:攻击成本c、技术难度d和发现几率s。表11展示了相应的等级标准26。根据以下规则为每一个变迁属性赋值。表11等级标准攻击成本c10610360.530.5级别54
47、321技术难度d非常困难困难中等简单非常简单级别54321发现几率s非常困难困难中等简单非常简单级别543211)攻击者可以对系统的任何节点发起攻击,对攻击者来说,在较高级别的节点上进行攻击比在较低级别的节点上进行攻击更为困难,而且攻击的成本也会更高。2)攻击者应该考虑变迁的前置状态来发动攻击,所需状态的数量和难度会给攻击者后续的攻击带来更高的难度和成本。使用多属性效用理论将c、d、s属性转换成攻击者的效用值P,计算公式如式(1):P=w1u1(c)+w2u2(d)+w3u3(s)(1)其中,u1(c)、u2(d)、u3(s)是变迁属性的效用函数,它们的范围在01之间。w1,w2,w3是变迁属
48、性的权重,其中w1+w2+w3=1。为了计算模型中每个转换的总体效用,设置w1+w2+w3=1/3,效用函数u1(c)=u2(d)=u3(s)=u(cx)=c/x,其中c=0.2来确保效用值分布在0和1之间。3.4应用实例和分析下面以某图书馆RFID门禁系统为目标,应用前文提到的模型和分析方法,在实验环境下进行攻击概率计算,RFID系统架构如图11所示。图11RFID系统架构该门禁系统具体配置如下:1)EPC标准结构采用96位EPC编码,标头8位,EPC管理者代码28位,对象类别24位,系列号36位。2)ISO15693标准,工作频率为13.56 Mhz7 KHz。3)高频阅读器型号为C500
49、0W-A/C5000W-I系列。4)安全协议为随机Hash Lock协议。模型中部分过渡的发生概率如表12所示。在 PIPE27中建立 RFID 攻击模型,如图 5所示。接着,根据表9,为每个变迁分配权重。为部分变迁设置w=1。在这种情况下没有时间转换,可以获得可达图、稳态分析和每个位置的平均令牌个数,此外,可达性图显示了该模型的无死锁有界稳态。考虑到仿真时间和仿真结果的准确性,所设计的RFID攻击GSPN模型使用不同的初始随机点火次数(100、300、500、700、1000 和 1200)进行了 50 次模拟(一次点火过程表示模型中将有一个变迁满足可实施条件,消耗输入库所的令牌,并为输出库
50、所产生令牌),最终再求解每个攻击的加权平均概率。表13是仿真结果的一个示例。图12是不同的攻击概率在点火次数为100、300、500、700、1000和1200次时的仿真结果。其中,针对标签的攻击,包括移除、破坏、KILL,仿真结果均为 0,在结果图中将不予显应用服务数据库Web服务阅读器阅读器阅读器阅读器TagTagTagTag监控杆1监控杆2中间件0.050.040.030.02概率4.04.14.24.34.54.64.74.8时间/sp3p6p7p17p21p19p33p33p13p33p33p3p5p7p16p19p20p12p33p33p28p33 p33p15p16p5p33p3
浙ICP备2021020529号-1 | 浙B2-20240490 
