Untitled Document
由于集成的RFID系統(tǒng)實(shí)際上是一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用系統(tǒng),因此安全問(wèn)題類似病相關(guān)于網(wǎng)絡(luò)和計(jì)算機(jī)安全。而安全的主要目的則是保證存儲(chǔ)數(shù)據(jù)和在各子系
統(tǒng)/模塊之間傳輸?shù)臄?shù)據(jù)的安全。但是
RFID系統(tǒng)的安全仍然有兩個(gè)特殊的特點(diǎn):首先,RFDI標(biāo)簽和后端系統(tǒng)之間的通信是非接觸和無(wú)線的,使它們很易受到竊聽;其次,標(biāo)簽本身的計(jì)算能力和可
編程性,直接受到成本要求的限制。更準(zhǔn)確地說(shuō),標(biāo)簽越便宜,則其計(jì)算能力越弱,而更難以實(shí)現(xiàn)對(duì)安全威脅的防護(hù)。
我們將分析RFID系統(tǒng)的主要脆弱性,以及相關(guān)的安全風(fēng)險(xiǎn)評(píng)估和建議的解決方案。
RFID 組件的安全脆弱性
在RFID系統(tǒng)中,受到非授權(quán)攻擊的數(shù)據(jù)可能保存在標(biāo)簽中、閱讀器中、或者后端計(jì)算機(jī)中,或者當(dāng)數(shù)據(jù)在各個(gè)組件之間傳輸?shù)臅r(shí)候。我們將分別說(shuō)明:
標(biāo)簽中數(shù)據(jù)的脆弱性
通常每個(gè)標(biāo)簽包含一個(gè)IC,本質(zhì)上說(shuō)是一個(gè)具有存儲(chǔ)器的微芯片。在其中的數(shù)據(jù)受到的威脅類似于計(jì)算機(jī)中保存的數(shù)據(jù)。非授權(quán)地通過(guò)閱讀器或者其他手段讀取標(biāo)簽中的數(shù)據(jù)將使其喪失安全性;在可讀寫的標(biāo)簽情況下,甚至可能非授權(quán)地改寫或者也刪除標(biāo)簽中的數(shù)據(jù)。
標(biāo)簽和閱讀器之間的通信脆弱性
當(dāng)標(biāo)簽傳輸數(shù)據(jù)給閱讀器,或者閱讀器質(zhì)詢標(biāo)簽的時(shí)候,數(shù)據(jù)通過(guò)無(wú)線電波進(jìn)行傳輸。在這種交換中,數(shù)據(jù)安全是脆弱的。利用這種脆弱性的攻擊手段包括:
- 非授權(quán)的閱讀器截取數(shù)據(jù);
- 第3方阻塞或者欺騙數(shù)據(jù)通信;
- 非法標(biāo)簽發(fā)送數(shù)據(jù);
閱讀器中的數(shù)據(jù)的脆弱性
當(dāng)數(shù)據(jù)從標(biāo)簽出收集到閱讀器中之后,在發(fā)送到后端系統(tǒng)之前,閱讀器一般要進(jìn)行一些初步處理。在這種處理中,數(shù)據(jù)則受到和其他任何計(jì)算機(jī)安全脆弱性相
似的問(wèn)題。而且,有兩點(diǎn)特別需要注意,一些移動(dòng)式閱讀器需要特別關(guān)注;其次,閱讀器多是專有的設(shè)備,很難具有公共接口進(jìn)行安全加固。
后端系統(tǒng)的脆弱性
數(shù)據(jù)進(jìn)入后端系統(tǒng)之后,則屬于傳統(tǒng)的網(wǎng)絡(luò)安全、應(yīng)用安全的范疇。在這一領(lǐng)域具有比較強(qiáng)的安全基礎(chǔ),有很多手段來(lái)保證這一范疇的安全。
值得注意的是,基于應(yīng)用層的安全(XML消息一級(jí))正在不斷發(fā)展和完善中,而基于RFID的中間件基礎(chǔ)將大量采用基于XML的技術(shù)。
評(píng)估RFDI系統(tǒng)的風(fēng)險(xiǎn)
不同類型的系統(tǒng)由于其特點(diǎn)可能面臨不同的安全風(fēng)險(xiǎn)。我們將RFID應(yīng)用系統(tǒng)分為兩種類型,消費(fèi)者RFID應(yīng)用和企業(yè)RFID應(yīng)用。
消費(fèi)者應(yīng)用的風(fēng)險(xiǎn)
消費(fèi)者RFID應(yīng)用主要是指收集和管理有關(guān)消費(fèi)者數(shù)據(jù)的應(yīng)用。主要包括訪問(wèn)控制、電子收費(fèi)系統(tǒng)、或者零售POS系統(tǒng)等等。這些系統(tǒng)由于將消費(fèi)者數(shù)據(jù)和RFID數(shù)據(jù)發(fā)生了關(guān)聯(lián),其安全風(fēng)險(xiǎn)也包括兩個(gè)方面:
- 對(duì)后端業(yè)務(wù)系統(tǒng)的損害;
- 對(duì)消費(fèi)者隱私的損害;
- 對(duì)消費(fèi)者經(jīng)濟(jì)的直接和間接損害。
企業(yè)應(yīng)用的風(fēng)險(xiǎn)
企業(yè)RFID應(yīng)用時(shí)企業(yè)內(nèi)部相關(guān)的業(yè)務(wù)系統(tǒng)使用RFID技術(shù)驅(qū)動(dòng)。典型地包含企業(yè)供應(yīng)鏈管理,以及相關(guān)的集成,如ERP、工業(yè)自動(dòng)化等等。企業(yè)應(yīng)用
的風(fēng)險(xiǎn)主要體現(xiàn)在對(duì)機(jī)構(gòu)的直接和間接經(jīng)濟(jì)損害,以及對(duì)該機(jī)構(gòu)的產(chǎn)品、服務(wù)設(shè)計(jì)到的客戶的損害。而且這還體現(xiàn)在由于集成化程度和數(shù)據(jù)共享程度越高,受到的安
全風(fēng)險(xiǎn)越大、損害的范圍越大(比如可能損害到企業(yè)的伙伴)。
另一方面,如果系統(tǒng)與消費(fèi)者相關(guān)聯(lián),則存在于上述消費(fèi)者應(yīng)用類似的風(fēng)險(xiǎn)。
國(guó)防和軍事領(lǐng)域的RFID應(yīng)用的安全風(fēng)險(xiǎn)類似于企業(yè)應(yīng)用,但是它則完全涉及到國(guó)家的安全。
保護(hù)RFID數(shù)據(jù)的安全
由于保存于閱讀器或者后端系統(tǒng)中的數(shù)據(jù)屬于傳統(tǒng)信息安全的范疇,我們主要提及標(biāo)簽中的數(shù)據(jù)安全和標(biāo)簽與閱讀器通信安全的解決方案。如下表:
1 保護(hù)RFID數(shù)據(jù)安全的解決方案
|
錯(cuò)弱性 |
方案 |
標(biāo)簽數(shù)據(jù)訪問(wèn) |
標(biāo)簽和閱讀器通信 |
安全許可 |
√ |
|
使用只讀標(biāo)簽 |
√ |
|
限制通信范圍 |
|
√ |
實(shí)現(xiàn)專有協(xié)議 |
√ |
√ |
屏蔽 |
√ |
√ |
Using the Kill Command Feature |
√ |
|
物理?yè)p壞標(biāo)簽 |
√ |
|
認(rèn)證和加密 |
√ |
√ |
選擇性鎖定 |
√ |
√ |
安全許可
對(duì)于某些不需要經(jīng)常移動(dòng)的被標(biāo)簽?zāi)繕?biāo),可以通過(guò)常規(guī)的物理安全手段限制對(duì)標(biāo)簽的訪問(wèn)。不幸的是,被標(biāo)簽的目標(biāo)一般都需要移動(dòng)。
使用只讀標(biāo)簽
這種方式消除了數(shù)據(jù)被篡改和刪除的風(fēng)險(xiǎn),但是仍然具有被非法閱讀的風(fēng)險(xiǎn)。
限制標(biāo)簽和閱讀器之間的通信距離
采用不同的工作頻率、天線設(shè)計(jì)、標(biāo)簽技術(shù)和閱讀器技術(shù)可以限制兩者之間的通信距離,降低非法接近和閱讀標(biāo)簽的風(fēng)險(xiǎn),但是這仍然不能解決數(shù)據(jù)傳輸?shù)娘L(fēng)險(xiǎn)還以損害可部署性為代價(jià)。
實(shí)現(xiàn)專有的通信協(xié)議
在高度安全敏感和互操作性不高的情況下,實(shí)現(xiàn)專有通信協(xié)議是有效的。它涉及到實(shí)現(xiàn)一套非公有的通信協(xié)議和加解密方案。基于完善的通信協(xié)議和編碼方
案,可實(shí)現(xiàn)較高等級(jí)的安全。但是這樣便喪失了與采用工業(yè)標(biāo)準(zhǔn)的系統(tǒng)之間的RFID數(shù)據(jù)共享能力。當(dāng)然,還可以通過(guò)專用的數(shù)據(jù)網(wǎng)關(guān)來(lái)進(jìn)行處理。.
屏蔽
當(dāng)然,屏蔽掉標(biāo)簽之后,也同時(shí)喪失了RF特征。但是在不需要閱讀和通信的時(shí)候,這也是一個(gè)主要的保護(hù)手段。特別是包含有金融價(jià)值和敏感數(shù)據(jù)的標(biāo)簽(高端標(biāo)簽,如智能卡)的場(chǎng)合。可以在需要通信的時(shí)候接觸屏蔽。
使用殺死命令(Kill Command)
Kill命令是用來(lái)在需要的時(shí)候是標(biāo)簽失效的命令。接收到這個(gè)命令之后,標(biāo)簽便終止其功能,無(wú)法再發(fā)射和接收數(shù)據(jù)。屏蔽和殺死都可以使標(biāo)簽失效,但后者是永久的。
特別是在零售場(chǎng)合,基于保護(hù)消費(fèi)者隱私的目的,必須在離開賣場(chǎng)的時(shí)候殺死標(biāo)簽。
這種方式的最大缺點(diǎn)是影響到反向跟蹤,比如退貨、維修和服務(wù)。因?yàn)闃?biāo)簽已經(jīng)無(wú)效,相應(yīng)的信息系統(tǒng)將不能再識(shí)別該數(shù)據(jù)。
物理?yè)p壞
物理?yè)p壞是指使用物理手段徹底銷毀標(biāo)簽,并且不必象殺死命令一樣擔(dān)心是否標(biāo)簽的確失效。但是對(duì)一些嵌入的,難以接觸的標(biāo)簽則難以做到。
認(rèn)證和加密
可使用各種認(rèn)證和加密手段來(lái)確保標(biāo)簽和閱讀器之間的數(shù)據(jù)安全。比如,直至閱讀器發(fā)送一個(gè)密碼來(lái)解鎖數(shù)據(jù)之前,標(biāo)簽的數(shù)據(jù)一直處于鎖定狀態(tài)。更嚴(yán)格的
還可能同時(shí)包括認(rèn)證和加密方案。但是標(biāo)簽的成本直接影響到其計(jì)算能力以及采用的算法的強(qiáng)度。因此,一般來(lái)說(shuō),在高端RFID系統(tǒng)(智能卡)和高價(jià)值的被標(biāo)
簽物品場(chǎng)合,可以采用這種方式。
選擇性鎖定
這種方法使用一個(gè)特殊的稱為鎖定者(Blocker)的RFID標(biāo)簽來(lái)模擬無(wú)窮的標(biāo)簽的一個(gè)子集。這一方法可以把阻止非授權(quán)的閱讀器讀取某個(gè)標(biāo)簽的子集。
這一方法克復(fù)或者平衡了以上方法的缺點(diǎn),也消除了加密和認(rèn)證方案帶來(lái)的高成本性。這一方法在安全性和成本之間取得了較好的平衡。需要的時(shí)候,Blocker標(biāo)簽可以防止其他閱讀器讀取和跟蹤其附近的標(biāo)簽,而在需要的時(shí)候,則可以取消這種阻止,使標(biāo)簽得以重新生效。
推薦安全策略
沒(méi)有任何一個(gè)單一的手段可以徹底保證RFID應(yīng)用的安全。在很多時(shí)候,都需要采用綜合性的解決方案。對(duì)于采用某些標(biāo)準(zhǔn)的RFID應(yīng)用,比如ISO 或者EPCglobal,標(biāo)準(zhǔn)體系對(duì)安全有其自己的考慮和解決。
不管如何,在實(shí)施和部署RFID應(yīng)用系統(tǒng)之前,必須進(jìn)行充分的業(yè)務(wù)安全評(píng)估和風(fēng)險(xiǎn)分析,考慮綜合的解決方案、考慮成本和收益之間的關(guān)系。
很多時(shí)候需要專門的安全機(jī)構(gòu)進(jìn)行咨詢和服務(wù)。