随着RFID相关领域技术的不断发展与成熟,RFID的成本价格越来越可以被大众所接受,其应用领域也在不断地扩大。但是由于目前还没有建立起健全的RFID产品(包括各个频段)国际标准,从而导致各个厂家推出的RFID产品往往会存在兼容性的问题,造成RFID产品在市场和应用上的混乱和孤立,而这势必会对RFID产品互通以及未来的广泛应用造成障碍。同时,随着RFID技术在各个领域的广泛应用,其安全性问题也逐渐提上议程。
1.1.4.1 标准问题
标准化是指对与产品、过程或服务等有关的现实和潜在的问题做出规定,提供可共同遵守的工作程序,以利于技术合作和防止贸易壁垒。RFID标准体系将射频识别技术作为一个大系统,并形成一个完整的标准体系表。RFID标准大致包含四类:技术标准(如符号、射频识别技术、IC卡标准等);数据内容标准(如编码格式、语法标准等);一致性标准(如印刷质量、测试规范等标准);应用标准(如船运标签、产品包装标准等)。其中编码标准和通信协议(通信接口)是争夺得比较激烈的部分,它们也构成了RFID标准的核心。
RFID技术的标准正在不断地完善。与其他任何一种新技术一样,RFID的发展也是百花齐放、毫无规律的,往往是出现什么问题解决什么问题。在过去的十年里,出现了几种不同的RFID标准,这些标准来自不同的国家,适合不同的应用领域,被不同的供应商所采用,并且包括了不同频率和不同等级的RFID标签。
表1-2 不同频率RFID的标准
(续表)
超高频的产品可能会在将来得到大量的应用。例如沃尔玛、乐购和麦德龙超市都会在它们的供应链上应用RFID技术。
1.1.4.2 安全问题
由于集成的RFID系统实际上是一个计算机网络应用系统,因此其安全问题类似于网络和计算机的安全问题,主要是指保证存储数据和在各子系统/模块之间传输的数据的安全。但是RFID系统的安全仍然有两个特殊的特点:首先,RFDI标签和后端系统之间的通信是非接触和无线的,这使它们极易受到窃听;其次,标签本身的计算能力和可编程性,直接受到成本要求的限制。更准确地说,标签越便宜,则其计算能力越弱,而更难以实现对安全威胁的防护。在RFID系统中,受到非授权攻击的数据可能保存在标签中、阅读器中或者后端计算机中,或者当数据在各个组件之间传输的时候受到攻击。
尽管与计算机和网络的安全问题类似,但实际上RFID的安全问题要严峻得多。这不仅仅由于RFID产品的成本极大地限制了RFID的处理能力和安全加密措施,而且也因为RFID技术本身就包含了比计算机和网络中更多和更容易泄密的不安全节点。一般而言,RFID在安全缺陷方面除了与计算机网络有相同之处外,还包括以下不同的安全缺陷类型。
1)标签中数据本身的访问缺陷
由于标签本身的成本所限,标签本身很难具备能够足以保证安全的能力。这样,就面临了很大的问题。非法用户可以利用合法的阅读器或者自构一个阅读器,直接与标签进行通信。这就可以很容易地获取标签内所存数据。而对于读写式标签,还将面临数据被改写的风险。通常每个标签包含一个IC,本质上说是一个具有存储器的微芯片。在其中的数据受到的威胁类似于计算机中保存的数据。非授权地通过阅读器或者其他手段读取标签中的数据将使其丧失安全性,在可读写的标签情况下,甚至可能非授权地改写或者删除标签中的数据。
2)通信链路上的安全问题
RFID的数据通信链路是无线通信链路。与有线连接不一样,无线传输的信号本身是开放的。这就给非法用户的侦听带来了方便。实现的常用方法包括:(www.daowen.com)
(1)黑客非法截取通信数据。
(2)业务拒绝式攻击,即非法用户通过发射干扰信号来堵塞通信链路,使得阅读器过载,无法接收正常的标签数据。
(3)利用冒名顶替标签来向阅读器发送数据,使得阅读器处理的都是虚假的数据,而真实的数据则被隐藏。
当标签传输数据给阅读器,或者阅读器咨询标签的时候,数据通过无线电波进行传输。在这种交换中,数据安全是脆弱的。利用这种脆弱性的攻击手段包括:
(1)第三方阻塞或者欺骗数据通信。
(2)非授权的阅读器截取数据。
(3)非法标签发送数据。
3)阅读器内部(中的数据)的安全风险
在阅读器中,除了中间件被用来完成数据的遴选、时间过滤和管理之外,只能提供用户业务接口,而不能提供能够让用户自行提升安全性能的接口。当数据从标签收集到阅读器中之后,在发送到后端系统之前,阅读器一般要进行一些初步处理。在这种处理中,数据则受到和其他任何计算机安全脆弱性相似的问题。而且,有两点特别需要注意:首先,一些移动式阅读器需要特别关注;其次,阅读器多是专有的设备,很难具有公共接口进行安全加固。
4)后端系统的脆弱性
数据进入后端系统之后,则属于传统的网络安全、应用安全的范畴。在这一领域具有比较强的安全基础,有很多手段来保证这一范畴的安全。值得注意的是,基于应用层的安全(XML消息一级)正在不断发展和完善中,而基于RFID的中间件基础将大量采用基于XML的技术。
不同类型的系统由于其特点可能面临不同的安全风险。部署和使用RFID系统,应该确保只有授权用户能够识别各个标签,使攻击者无法对这些标签进行任何形式的跟踪。到目前为止,设计安全、高效和低成本的安全机制仍然是一个具有挑战性的课题。基于密码技术的RFID安全机制分为静态ID和动态ID。好的安全机制必须解决动态ID的“数据同步”问题。围绕这些问题,中国的RFID标准制定者正在进行积极的研究,相信会有很好的体现。例如第二代身份证,尽管采用了芯片技术可以存放更多的信息,但是实际的卡上还只是原有的那些基本数据,更多的数据却存储在相应的数据库中。通过授权的ID可以到数据库去查询相关信息,而身份证本身并无破译的价值。
由此可见,用户在选用RFID系统时,考虑的范围不能局限于芯片本身的鉴权和加密上。要解决RFID可追踪性安全问题,必须针对RFID各层来系统地解决,任何一个单层面的解决方案都是不全面的,都有可能导致RFID系统出现明显的安全弱点和漏洞。在很多情况下,考虑到成本问题,除了选择适当级别的鉴权可加密外,还应选用一些辅助手段来使自己的RFID系统得到进一步优化。同时,确保安全性还应综合考虑可扩展性、可管理性和系统开销等问题。安全的RFID系统应跨越保密性、信息泄漏和可追踪性三大门槛。
总而言之,没有任何一个单一的手段可以彻底保证RFID应用的安全。在很多时候,都需要采用综合性的解决方案。对于采用某些标准的RFID应用,比如ISO或者EPCglobal,标准体系对安全有其自己的考虑和解决。不管如何,在实施和部署RFID应用系统之前,必须进行充分的业务安全评估和风险分析,考虑综合的解决方案,考虑成本和收益之间的关系,很多时候需要专门的安全机构进行咨询和服务。
然而,安全问题并非对所有的RFID应用都很重要。很多RFID研究者都认为对于大面积的,尤其用于物流领域和生产管理领域的RFID,安全性并非是妨碍RFID推广的主要原因。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。