Untitled Document
由于集成的RFID系統實際上是一個計算機網絡應用系統��,因此安全問題類似病相關于網絡和計算機安全。而安全的主要目的則是保證存儲數據和在各子系
統/模塊之間傳輸的數據的安全�。但是
RFID系統的安全仍然有兩個特殊的特點:首先��,RFDI標簽和后端系統之間的通信是非接觸和無線的�����,使它們很易受到竊聽;其次��,標簽本身的計算能力和可
編程性�,直接受到成本要求的限制。更準確地說�,標簽越便宜����,則其計算能力越弱����,而更難以實現對安全威脅的防護。
我們將分析RFID系統的主要脆弱性��,以及相關的安全風險評估和建議的解決方案�����。
RFID 組件的安全脆弱性
在RFID系統中,受到非授權攻擊的數據可能保存在標簽中����、閱讀器中��、或者后端計算機中,或者當數據在各個組件之間傳輸的時候�。我們將分別說明:
標簽中數據的脆弱性
通常每個標簽包含一個IC�,本質上說是一個具有存儲器的微芯片���。在其中的數據受到的威脅類似于計算機中保存的數據����。非授權地通過閱讀器或者其他手段讀取標簽中的數據將使其喪失安全性;在可讀寫的標簽情況下�,甚至可能非授權地改寫或者也刪除標簽中的數據�����。
標簽和閱讀器之間的通信脆弱性
當標簽傳輸數據給閱讀器,或者閱讀器質詢標簽的時候,數據通過無線電波進行傳輸����。在這種交換中�,數據安全是脆弱的�����。利用這種脆弱性的攻擊手段包括:
- 非授權的閱讀器截取數據�����;
- 第3方阻塞或者欺騙數據通信��;
- 非法標簽發送數據�;
閱讀器中的數據的脆弱性
當數據從標簽出收集到閱讀器中之后����,在發送到后端系統之前,閱讀器一般要進行一些初步處理����。在這種處理中���,數據則受到和其他任何計算機安全脆弱性相
似的問題�。而且��,有兩點特別需要注意�����,一些移動式閱讀器需要特別關注;其次�����,閱讀器多是專有的設備,很難具有公共接口進行安全加固���。
后端系統的脆弱性
數據進入后端系統之后,則屬于傳統的網絡安全�����、應用安全的范疇��。在這一領域具有比較強的安全基礎��,有很多手段來保證這一范疇的安全����。
值得注意的是,基于應用層的安全(XML消息一級)正在不斷發展和完善中��,而基于RFID的中間件基礎將大量采用基于XML的技術�����。
評估RFDI系統的風險
不同類型的系統由于其特點可能面臨不同的安全風險����。我們將RFID應用系統分為兩種類型����,消費者RFID應用和企業RFID應用。
消費者應用的風險
消費者RFID應用主要是指收集和管理有關消費者數據的應用��。主要包括訪問控制��、電子收費系統�����、或者零售POS系統等等。這些系統由于將消費者數據和RFID數據發生了關聯���,其安全風險也包括兩個方面:
- 對后端業務系統的損害;
- 對消費者隱私的損害��;
- 對消費者經濟的直接和間接損害�。
企業應用的風險
企業RFID應用時企業內部相關的業務系統使用RFID技術驅動。典型地包含企業供應鏈管理�����,以及相關的集成��,如ERP、工業自動化等等�����。企業應用
的風險主要體現在對機構的直接和間接經濟損害����,以及對該機構的產品、服務設計到的客戶的損害。而且這還體現在由于集成化程度和數據共享程度越高�����,受到的安
全風險越大�����、損害的范圍越大(比如可能損害到企業的伙伴)��。
另一方面,如果系統與消費者相關聯,則存在于上述消費者應用類似的風險��。
國防和軍事領域的RFID應用的安全風險類似于企業應用�,但是它則完全涉及到國家的安全。
保護RFID數據的安全
由于保存于閱讀器或者后端系統中的數據屬于傳統信息安全的范疇,我們主要提及標簽中的數據安全和標簽與閱讀器通信安全的解決方案���。如下表:
1 保護RFID數據安全的解決方案
|
錯弱性 |
方案 |
標簽數據訪問 |
標簽和閱讀器通信 |
安全許可 |
√ |
|
使用只讀標簽 |
√ |
|
限制通信范圍 |
|
√ |
實現專有協議 |
√ |
√ |
屏蔽 |
√ |
√ |
Using the Kill Command Feature |
√ |
|
物理損壞標簽 |
√ |
|
認證和加密 |
√ |
√ |
選擇性鎖定 |
√ |
√ |
安全許可
對于某些不需要經常移動的被標簽目標,可以通過常規的物理安全手段限制對標簽的訪問�����。不幸的是,被標簽的目標一般都需要移動。
使用只讀標簽
這種方式消除了數據被篡改和刪除的風險�����,但是仍然具有被非法閱讀的風險�����。
限制標簽和閱讀器之間的通信距離
采用不同的工作頻率�����、天線設計��、標簽技術和閱讀器技術可以限制兩者之間的通信距離,降低非法接近和閱讀標簽的風險,但是這仍然不能解決數據傳輸的風險還以損害可部署性為代價����。
實現專有的通信協議
在高度安全敏感和互操作性不高的情況下�����,實現專有通信協議是有效的。它涉及到實現一套非公有的通信協議和加解密方案��?����;谕晟频耐ㄐ艆f議和編碼方
案�,可實現較高等級的安全�。但是這樣便喪失了與采用工業標準的系統之間的RFID數據共享能力。當然���,還可以通過專用的數據網關來進行處理。.
屏蔽
當然�,屏蔽掉標簽之后����,也同時喪失了RF特征��。但是在不需要閱讀和通信的時候,這也是一個主要的保護手段����。特別是包含有金融價值和敏感數據的標簽(高端標簽�����,如智能卡)的場合?����?梢栽谛枰ㄐ诺臅r候接觸屏蔽�����。
使用殺死命令(Kill Command)
Kill命令是用來在需要的時候是標簽失效的命令���。接收到這個命令之后�,標簽便終止其功能���,無法再發射和接收數據�。屏蔽和殺死都可以使標簽失效,但后者是永久的����。
特別是在零售場合�,基于保護消費者隱私的目的�����,必須在離開賣場的時候殺死標簽��。
這種方式的最大缺點是影響到反向跟蹤�����,比如退貨����、維修和服務。因為標簽已經無效���,相應的信息系統將不能再識別該數據。
物理損壞
物理損壞是指使用物理手段徹底銷毀標簽�,并且不必象殺死命令一樣擔心是否標簽的確失效���。但是對一些嵌入的�����,難以接觸的標簽則難以做到。
認證和加密
可使用各種認證和加密手段來確保標簽和閱讀器之間的數據安全�。比如�����,直至閱讀器發送一個密碼來解鎖數據之前,標簽的數據一直處于鎖定狀態。更嚴格的
還可能同時包括認證和加密方案����。但是標簽的成本直接影響到其計算能力以及采用的算法的強度�。因此,一般來說�,在高端RFID系統(智能卡)和高價值的被標
簽物品場合,可以采用這種方式。
選擇性鎖定
這種方法使用一個特殊的稱為鎖定者(Blocker)的RFID標簽來模擬無窮的標簽的一個子集。這一方法可以把阻止非授權的閱讀器讀取某個標簽的子集。
這一方法克復或者平衡了以上方法的缺點���,也消除了加密和認證方案帶來的高成本性�����。這一方法在安全性和成本之間取得了較好的平衡����。需要的時候�����,Blocker標簽可以防止其他閱讀器讀取和跟蹤其附近的標簽�,而在需要的時候,則可以取消這種阻止,使標簽得以重新生效���。
推薦安全策略
沒有任何一個單一的手段可以徹底保證RFID應用的安全�����。在很多時候��,都需要采用綜合性的解決方案。對于采用某些標準的RFID應用����,比如ISO 或者EPCglobal,標準體系對安全有其自己的考慮和解決。
不管如何,在實施和部署RFID應用系統之前����,必須進行充分的業務安全評估和風險分析����,考慮綜合的解決方案、考慮成本和收益之間的關系���。
很多時候需要專門的安全機構進行咨詢和服務����。