RFID電子標簽具有設備體積小、抗污染能力強、應用范圍廣、穿透性強、記憶容量大、閱讀速度快等特點,并可以重復使用, 因此得到廣泛應用。但是,RFID應用在安全方面還存在嚴重問題。RFID系統進行前端數據采集工作時, 標簽和讀寫器之間采用無線射頻信號進行通信,在系統數據采集的同時也使傳遞的信息暴露于大庭廣眾之下, 如果標簽中的信息被竊取甚至惡意更改,將會給標簽的合法擁有者帶來不可估計的損失。盡管RFID實施單位意識到RFID安全的重要性,但是卻沒有把這個問題放在RFID應用和發展的首位, 隨著這些沒有安全機制并且形式千差萬別的RFID廣泛使用, 潛在的安全形勢將會越加嚴重。
一、 RFID安全風險
RFID的安全風險主要來自于當初“系統開放”的設計思想,這是RFID系統出現安全隱患的根本原因。RFID設計和應用的目的就是降低成本,提高效率,由于RFID 標簽價格低廉和設備簡單, 安全措施很少被應用到RFID當中, RFID面臨的安全威脅更加嚴重,RFID安全問題通常會出現在數據獲取、數據傳輸、數據處理和數據存儲等各個環節以及標簽、讀寫器、天線和計算機系統各個設備當中。
1) RFID自身脆弱性。RFID系統的實施既為了取代人工處理而實現自動化或者半自動化處理。因此,任何不適當的RFID規劃或者系統的開放性都會導致RFID 的安全風險。RFID 系統中的任何組件或者子系統故障都會導致系統失效。導致這些故障的原因有多方面原因:網絡或者線路連接故障、軟件病毒使中間件軟件功能失效,射頻干擾導致讀寫器無法正確獲取標簽信息。同樣,由于部分RFID部件部署于戶外,極易受到天災人禍的影響。如果企業對RFID系統有嚴重依賴性, 那么RFID系統故障會給企業帶來巨大的經濟損失。
2)RFID易受外部攻擊。由于RFID系統支持遠程無線接入訪問系統資源,往往沒有部署足夠安全機制,很容易被第三方利用來進行非授權訪問。第三方有可能非授權訪問RFID產生信息并且用來危害實施RFID系統單位的利益。在一些應用中,不法單位或者個人可利用合法或者自構讀寫器對RFID 系統的標簽實施非法接入,造成標簽信息的泄露。在一些金融和證件等重要應用中,不法單位或者個人可能篡改標簽內容或者復制合法標簽, 以獲取單位或者個人利益,甚至進行非法活動。
3)隱私風險。RFID技術導致多個隱私問題:一是單位或者個人為自己利益非法收集RFID信息,包括交易信息或者授權信息,然后利用該信息進行非法活動;另外,由于多數RFID 信息未經過加密處理,RFID信息很容易被用于個人或者貨物的非法跟蹤。這些問題往往由各個國家具體國情和法律決定。
4) 外部風險。
RFID作為一個完整的系統和其他系統和資產整合在一起,不可避免地有來自外部的安全風險,主要來自于兩個方面:射頻干擾和計算機網絡攻擊。射頻干擾主要是電磁干擾,會導致系統工作異常;而計算機網絡攻擊主要指對網絡設備和應用軟件的攻擊,會導致網絡癱瘓。常見的有惡意軟件攻擊、拒絕服務攻擊和配置錯誤等。
二、 RFID安全措施
作為物聯網的基礎,RFID技術雖然發展迅速,產品種類繁多,但是還有許多安全問題存在。物聯網要想健康發展,RFID安全還需要進一步成熟。一般來說,RFID系統滿足如下安全需求:真實性需求,電子標簽的身份認證在RFID系統中是非常重要的, 電子標簽只有確認讀寫器合法后才輸出自身信息,而讀寫器只有通過身份認證才能確信消息是從正確的電子標簽發送過來的;完整性需求,RFID系統需要保證接收者得到的信息在傳輸過程中沒有被攻擊者篡改或替換;隱私性需求,RFID系統面臨著位置保密或實時跟蹤的安全風險, 因此RFID必須具備保護標簽中的信息不泄漏給第三方;機密性需求,RFID系統需要有加密機制保護讀寫器和標簽之間的通信,第三方無法獲得通道中傳輸的數據。另外,作為完整的通信系統,RFID系統在考慮安全問題的同時, 要滿足安全的互聯互通基本要求。
RFID是一個系統工程,其安全不僅涉及技術,同時也涉及管理,所以要同時從技術和管理兩個方面來加強RFID系統安全。
1) 技術方面。RFID系統安全涉及以下幾個環節:一是電子標簽數據安全,二是讀寫器和標簽之間的安全通信,三是計算機系統中對標簽信息的安全管理。為了保證電子標簽數據安全,需要采用多種技術保證標簽數據安全(常見的有標簽內存接入控制、標簽數據加密、標簽自動失效技術和篡改保護機制);為了解決RFID系統對應用開放性問題,需要對RFID組件訪問提供認證和完整性保護(常見的有基于密碼認證、基于HMAC認證和數字簽名認證);為了解決讀寫器和標簽之間通信易受到攻擊的問題,需要在必要的情況下支持讀寫器與標簽之間的安全通信(常見的有信道擾碼技術、數據加密技術、電磁屏蔽技術和頻道自動選擇等技術); 計算機系統中對標簽信息的安全管理同普通計算機網絡安全,由于技術相對比較成熟,在此不深入論述。
2)管理方面。所謂“三分技術,七分管理”,絕大多數安全起源于實施者忽略安全重要性和操作人員的操作失誤。需要更新RFID實施方面的現存安全策略和加強安全操作維護,包括系統規劃、風險評估、安全培訓和應急處理等多個方面。首先,明確RFID使用的策略,確定如何授權和非授權使用RFID;其次,相應安全策略需要明確RFID相關網絡、數據庫和應用程序的安全使用;第三,布置RFID標簽時要充分考慮有安全防護環境,安全正確部署讀寫器和標簽,并且只有具有授權的人才可以接觸和訪問RFID系統;第四,除了必要信息以外,在標簽中盡量不要出現敏感信息。同時,作為管理的關鍵,就是要有效培訓操作員和管理員的安全操作意識和安全操作技能,盡量避免人為的安全隱患。
除此以外,由于RFID存在產品種類繁多,應用模式多樣等現象,也一定程度上導致了RFID 安全隱患,有必要統一和規范RFID產品和應用,特別是RFID安全方面標準。到目前為止,RFID還沒有一個成熟的安全標準,雖然很多廠家推出RFID安全產品,但是互不兼容,對RFID安全造成嚴重阻礙。有必要基于已有成果,開發制定符合中國國情的RFID 安全標準,并掌握屬于自己的專利,在未來國際競爭中掌握主動。
隨著信息通信技術日新月異發展,“無所不在”的通信理念正日益成為現實。RFID技術作為物聯網的基礎有著異常廣闊的發展空間, 但是安全問題是RFID發展中不可回避的問題, 特別是我國現處于RFID發展初期,對RFID安全研究相對薄弱,會很大程度制約RFID發展。值得慶幸的是,國內各級部門以及企業、廠家已經充分認識到RFID安全的重要性,認可安全在未來RFID發展中的重要性,RFID安全必將在未來RFID發展中會有長足進步。
文章來自:m.hsfulin.com
