RFID电子标签具有设备体积小、抗污染能力强、应用范围广、穿透性强、记忆容量大、阅读速度快等特点,并可以重复使用, 因此得到广泛应用。但是,RFID应用在安全方面还存在严重问题。RFID系统进行前端数据采集工作时, 标签和读写器之间采用无线射频信号进行通信,在系统数据采集的同时也使传递的信息暴露于大庭广众之下, 如果标签中的信息被窃取甚至恶意更改,将会给标签的合法拥有者带来不可估计的损失。尽管RFID实施单位意识到RFID安全的重要性,但是却没有把这个问题放在RFID应用和发展的首位, 随着这些没有安全机制并且形式千差万别的RFID广泛使用, 潜在的安全形势将会越加严重。
一、 RFID安全风险
RFID的安全风险主要来自于当初“系统开放”的设计思想,这是RFID系统出现安全隐患的根本原因。RFID设计和应用的目的就是降低成本,提高效率,由于RFID 标签价格低廉和设备简单, 安全措施很少被应用到RFID当中, RFID面临的安全威胁更加严重,RFID安全问题通常会出现在数据获取、数据传输、数据处理和数据存储等各个环节以及标签、读写器、天线和计算机系统各个设备当中。
1) RFID自身脆弱性。RFID系统的实施既为了取代人工处理而实现自动化或者半自动化处理。因此,任何不适当的RFID规划或者系统的开放性都会导致RFID 的安全风险。RFID 系统中的任何组件或者子系统故障都会导致系统失效。导致这些故障的原因有多方面原因:网络或者线路连接故障、软件病毒使中间件软件功能失效,射频干扰导致读写器无法正确获取标签信息。同样,由于部分RFID部件部署于户外,极易受到天灾人祸的影响。如果企业对RFID系统有严重依赖性, 那么RFID系统故障会给企业带来巨大的经济损失。
2)RFID易受外部攻击。由于RFID系统支持远程无线接入访问系统资源,往往没有部署足够安全机制,很容易被第三方利用来进行非授权访问。第三方有可能非授权访问RFID产生信息并且用来危害实施RFID系统单位的利益。在一些应用中,不法单位或者个人可利用合法或者自构读写器对RFID 系统的标签实施非法接入,造成标签信息的泄露。在一些金融和证件等重要应用中,不法单位或者个人可能篡改标签内容或者复制合法标签, 以获取单位或者个人利益,甚至进行非法活动。
3)隐私风险。RFID技术导致多个隐私问题:一是单位或者个人为自己利益非法收集RFID信息,包括交易信息或者授权信息,然后利用该信息进行非法活动;另外,由于多数RFID 信息未经过加密处理,RFID信息很容易被用于个人或者货物的非法跟踪。这些问题往往由各个国家具体国情和法律决定。
4) 外部风险。
RFID作为一个完整的系统和其他系统和资产整合在一起,不可避免地有来自外部的安全风险,主要来自于两个方面:射频干扰和计算机网络攻击。射频干扰主要是电磁干扰,会导致系统工作异常;而计算机网络攻击主要指对网络设备和应用软件的攻击,会导致网络瘫痪。常见的有恶意软件攻击、拒绝服务攻击和配置错误等。
二、 RFID安全措施
作为物联网的基础,RFID技术虽然发展迅速,产品种类繁多,但是还有许多安全问题存在。物联网要想健康发展,RFID安全还需要进一步成熟。一般来说,RFID系统满足如下安全需求:真实性需求,电子标签的身份认证在RFID系统中是非常重要的, 电子标签只有确认读写器合法后才输出自身信息,而读写器只有通过身份认证才能确信消息是从正确的电子标签发送过来的;完整性需求,RFID系统需要保证接收者得到的信息在传输过程中没有被攻击者篡改或替换;隐私性需求,RFID系统面临着位置保密或实时跟踪的安全风险, 因此RFID必须具备保护标签中的信息不泄漏给第三方;机密性需求,RFID系统需要有加密机制保护读写器和标签之间的通信,第三方无法获得通道中传输的数据。另外,作为完整的通信系统,RFID系统在考虑安全问题的同时, 要满足安全的互联互通基本要求。
RFID是一个系统工程,其安全不仅涉及技术,同时也涉及管理,所以要同时从技术和管理两个方面来加强RFID系统安全。
1) 技术方面。RFID系统安全涉及以下几个环节:一是电子标签数据安全,二是读写器和标签之间的安全通信,三是计算机系统中对标签信息的安全管理。为了保证电子标签数据安全,需要采用多种技术保证标签数据安全(常见的有标签内存接入控制、标签数据加密、标签自动失效技术和篡改保护机制);为了解决RFID系统对应用开放性问题,需要对RFID组件访问提供认证和完整性保护(常见的有基于密码认证、基于HMAC认证和数字签名认证);为了解决读写器和标签之间通信易受到攻击的问题,需要在必要的情况下支持读写器与标签之间的安全通信(常见的有信道扰码技术、数据加密技术、电磁屏蔽技术和频道自动选择等技术); 计算机系统中对标签信息的安全管理同普通计算机网络安全,由于技术相对比较成熟,在此不深入论述。
2)管理方面。所谓“三分技术,七分管理”,绝大多数安全起源于实施者忽略安全重要性和操作人员的操作失误。需要更新RFID实施方面的现存安全策略和加强安全操作维护,包括系统规划、风险评估、安全培训和应急处理等多个方面。首先,明确RFID使用的策略,确定如何授权和非授权使用RFID;其次,相应安全策略需要明确RFID相关网络、数据库和应用程序的安全使用;第三,布置RFID标签时要充分考虑有安全防护环境,安全正确部署读写器和标签,并且只有具有授权的人才可以接触和访问RFID系统;第四,除了必要信息以外,在标签中尽量不要出现敏感信息。同时,作为管理的关键,就是要有效培训操作员和管理员的安全操作意识和安全操作技能,尽量避免人为的安全隐患。
除此以外,由于RFID存在产品种类繁多,应用模式多样等现象,也一定程度上导致了RFID 安全隐患,有必要统一和规范RFID产品和应用,特别是RFID安全方面标准。到目前为止,RFID还没有一个成熟的安全标准,虽然很多厂家推出RFID安全产品,但是互不兼容,对RFID安全造成严重阻碍。有必要基于已有成果,开发制定符合中国国情的RFID 安全标准,并掌握属于自己的专利,在未来国际竞争中掌握主动。
随着信息通信技术日新月异发展,“无所不在”的通信理念正日益成为现实。RFID技术作为物联网的基础有着异常广阔的发展空间, 但是安全问题是RFID发展中不可回避的问题, 特别是我国现处于RFID发展初期,对RFID安全研究相对薄弱,会很大程度制约RFID发展。值得庆幸的是,国内各级部门以及企业、厂家已经充分认识到RFID安全的重要性,认可安全在未来RFID发展中的重要性,RFID安全必将在未来RFID发展中会有长足进步。
文章来自:www.gmbarcode.cn