RFID電子標簽具有設(shè)備體積小、抗污染能力強、應(yīng)用范圍廣、穿透性強、記憶容量大、閱讀速度快等特點,并可以重復(fù)使用, 因此得到廣泛應(yīng)用。但是,RFID應(yīng)用在安全方面還存在嚴重問題。RFID系統(tǒng)進行前端數(shù)據(jù)采集工作時, 標簽和讀寫器之間采用無線射頻信號進行通信,在系統(tǒng)數(shù)據(jù)采集的同時也使傳遞的信息暴露于大庭廣眾之下, 如果標簽中的信息被竊取甚至惡意更改,將會給標簽的合法擁有者帶來不可估計的損失。盡管RFID實施單位意識到RFID安全的重要性,但是卻沒有把這個問題放在RFID應(yīng)用和發(fā)展的首位, 隨著這些沒有安全機制并且形式千差萬別的RFID廣泛使用, 潛在的安全形勢將會越加嚴重。
一、 RFID安全風(fēng)險
RFID的安全風(fēng)險主要來自于當初“系統(tǒng)開放”的設(shè)計思想,這是RFID系統(tǒng)出現(xiàn)安全隱患的根本原因。RFID設(shè)計和應(yīng)用的目的就是降低成本,提高效率,由于RFID 標簽價格低廉和設(shè)備簡單, 安全措施很少被應(yīng)用到RFID當中, RFID面臨的安全威脅更加嚴重,RFID安全問題通常會出現(xiàn)在數(shù)據(jù)獲取、數(shù)據(jù)傳輸、數(shù)據(jù)處理和數(shù)據(jù)存儲等各個環(huán)節(jié)以及標簽、讀寫器、天線和計算機系統(tǒng)各個設(shè)備當中。
1) RFID自身脆弱性。RFID系統(tǒng)的實施既為了取代人工處理而實現(xiàn)自動化或者半自動化處理。因此,任何不適當?shù)腞FID規(guī)劃或者系統(tǒng)的開放性都會導(dǎo)致RFID 的安全風(fēng)險。RFID 系統(tǒng)中的任何組件或者子系統(tǒng)故障都會導(dǎo)致系統(tǒng)失效。導(dǎo)致這些故障的原因有多方面原因:網(wǎng)絡(luò)或者線路連接故障、軟件病毒使中間件軟件功能失效,射頻干擾導(dǎo)致讀寫器無法正確獲取標簽信息。同樣,由于部分RFID部件部署于戶外,極易受到天災(zāi)人禍的影響。如果企業(yè)對RFID系統(tǒng)有嚴重依賴性, 那么RFID系統(tǒng)故障會給企業(yè)帶來巨大的經(jīng)濟損失。
2)RFID易受外部攻擊。由于RFID系統(tǒng)支持遠程無線接入訪問系統(tǒng)資源,往往沒有部署足夠安全機制,很容易被第三方利用來進行非授權(quán)訪問。第三方有可能非授權(quán)訪問RFID產(chǎn)生信息并且用來危害實施RFID系統(tǒng)單位的利益。在一些應(yīng)用中,不法單位或者個人可利用合法或者自構(gòu)讀寫器對RFID 系統(tǒng)的標簽實施非法接入,造成標簽信息的泄露。在一些金融和證件等重要應(yīng)用中,不法單位或者個人可能篡改標簽內(nèi)容或者復(fù)制合法標簽, 以獲取單位或者個人利益,甚至進行非法活動。
3)隱私風(fēng)險。RFID技術(shù)導(dǎo)致多個隱私問題:一是單位或者個人為自己利益非法收集RFID信息,包括交易信息或者授權(quán)信息,然后利用該信息進行非法活動;另外,由于多數(shù)RFID 信息未經(jīng)過加密處理,RFID信息很容易被用于個人或者貨物的非法跟蹤。這些問題往往由各個國家具體國情和法律決定。
4) 外部風(fēng)險。
RFID作為一個完整的系統(tǒng)和其他系統(tǒng)和資產(chǎn)整合在一起,不可避免地有來自外部的安全風(fēng)險,主要來自于兩個方面:射頻干擾和計算機網(wǎng)絡(luò)攻擊。射頻干擾主要是電磁干擾,會導(dǎo)致系統(tǒng)工作異常;而計算機網(wǎng)絡(luò)攻擊主要指對網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的攻擊,會導(dǎo)致網(wǎng)絡(luò)癱瘓。常見的有惡意軟件攻擊、拒絕服務(wù)攻擊和配置錯誤等。
二、 RFID安全措施
作為物聯(lián)網(wǎng)的基礎(chǔ),RFID技術(shù)雖然發(fā)展迅速,產(chǎn)品種類繁多,但是還有許多安全問題存在。物聯(lián)網(wǎng)要想健康發(fā)展,RFID安全還需要進一步成熟。一般來說,RFID系統(tǒng)滿足如下安全需求:真實性需求,電子標簽的身份認證在RFID系統(tǒng)中是非常重要的, 電子標簽只有確認讀寫器合法后才輸出自身信息,而讀寫器只有通過身份認證才能確信消息是從正確的電子標簽發(fā)送過來的;完整性需求,RFID系統(tǒng)需要保證接收者得到的信息在傳輸過程中沒有被攻擊者篡改或替換;隱私性需求,RFID系統(tǒng)面臨著位置保密或?qū)崟r跟蹤的安全風(fēng)險, 因此RFID必須具備保護標簽中的信息不泄漏給第三方;機密性需求,RFID系統(tǒng)需要有加密機制保護讀寫器和標簽之間的通信,第三方無法獲得通道中傳輸?shù)臄?shù)據(jù)。另外,作為完整的通信系統(tǒng),RFID系統(tǒng)在考慮安全問題的同時, 要滿足安全的互聯(lián)互通基本要求。
RFID是一個系統(tǒng)工程,其安全不僅涉及技術(shù),同時也涉及管理,所以要同時從技術(shù)和管理兩個方面來加強RFID系統(tǒng)安全。
1) 技術(shù)方面。RFID系統(tǒng)安全涉及以下幾個環(huán)節(jié):一是電子標簽數(shù)據(jù)安全,二是讀寫器和標簽之間的安全通信,三是計算機系統(tǒng)中對標簽信息的安全管理。為了保證電子標簽數(shù)據(jù)安全,需要采用多種技術(shù)保證標簽數(shù)據(jù)安全(常見的有標簽內(nèi)存接入控制、標簽數(shù)據(jù)加密、標簽自動失效技術(shù)和篡改保護機制);為了解決RFID系統(tǒng)對應(yīng)用開放性問題,需要對RFID組件訪問提供認證和完整性保護(常見的有基于密碼認證、基于HMAC認證和數(shù)字簽名認證);為了解決讀寫器和標簽之間通信易受到攻擊的問題,需要在必要的情況下支持讀寫器與標簽之間的安全通信(常見的有信道擾碼技術(shù)、數(shù)據(jù)加密技術(shù)、電磁屏蔽技術(shù)和頻道自動選擇等技術(shù)); 計算機系統(tǒng)中對標簽信息的安全管理同普通計算機網(wǎng)絡(luò)安全,由于技術(shù)相對比較成熟,在此不深入論述。
2)管理方面。所謂“三分技術(shù),七分管理”,絕大多數(shù)安全起源于實施者忽略安全重要性和操作人員的操作失誤。需要更新RFID實施方面的現(xiàn)存安全策略和加強安全操作維護,包括系統(tǒng)規(guī)劃、風(fēng)險評估、安全培訓(xùn)和應(yīng)急處理等多個方面。首先,明確RFID使用的策略,確定如何授權(quán)和非授權(quán)使用RFID;其次,相應(yīng)安全策略需要明確RFID相關(guān)網(wǎng)絡(luò)、數(shù)據(jù)庫和應(yīng)用程序的安全使用;第三,布置RFID標簽時要充分考慮有安全防護環(huán)境,安全正確部署讀寫器和標簽,并且只有具有授權(quán)的人才可以接觸和訪問RFID系統(tǒng);第四,除了必要信息以外,在標簽中盡量不要出現(xiàn)敏感信息。同時,作為管理的關(guān)鍵,就是要有效培訓(xùn)操作員和管理員的安全操作意識和安全操作技能,盡量避免人為的安全隱患。
除此以外,由于RFID存在產(chǎn)品種類繁多,應(yīng)用模式多樣等現(xiàn)象,也一定程度上導(dǎo)致了RFID 安全隱患,有必要統(tǒng)一和規(guī)范RFID產(chǎn)品和應(yīng)用,特別是RFID安全方面標準。到目前為止,RFID還沒有一個成熟的安全標準,雖然很多廠家推出RFID安全產(chǎn)品,但是互不兼容,對RFID安全造成嚴重阻礙。有必要基于已有成果,開發(fā)制定符合中國國情的RFID 安全標準,并掌握屬于自己的專利,在未來國際競爭中掌握主動。
隨著信息通信技術(shù)日新月異發(fā)展,“無所不在”的通信理念正日益成為現(xiàn)實。RFID技術(shù)作為物聯(lián)網(wǎng)的基礎(chǔ)有著異常廣闊的發(fā)展空間, 但是安全問題是RFID發(fā)展中不可回避的問題, 特別是我國現(xiàn)處于RFID發(fā)展初期,對RFID安全研究相對薄弱,會很大程度制約RFID發(fā)展。值得慶幸的是,國內(nèi)各級部門以及企業(yè)、廠家已經(jīng)充分認識到RFID安全的重要性,認可安全在未來RFID發(fā)展中的重要性,RFID安全必將在未來RFID發(fā)展中會有長足進步。
文章來自:m.iybmall.com