Untitled Document
由于集成的RFID系统实际上是一个计算机网络应用系统,因此安全问题类似病相关于网络和计算机安全。而安全的主要目的则是保证存储数据和在各子系
统/模块之间传输的数据的安全。但是
RFID系统的安全仍然有两个特殊的特点:首先,RFDI标签和后端系统之间的通信是非接触和无线的,使它们很易受到窃听;其次,标签本身的计算能力和可
编程性,直接受到成本要求的限制。更准确地说,标签越便宜,则其计算能力越弱,而更难以实现对安全威胁的防护。
我们将分析RFID系统的主要脆弱性,以及相关的安全风险评估和建议的解决方案。
RFID 组件的安全脆弱性
在RFID系统中,受到非授权攻击的数据可能保存在标签中、阅读器中、或者后端计算机中,或者当数据在各个组件之间传输的时候。我们将分别说明:
标签中数据的脆弱性
通常每个标签包含一个IC,本质上说是一个具有存储器的微芯片。在其中的数据受到的威胁类似于计算机中保存的数据。非授权地通过阅读器或者其他手段读取标签中的数据将使其丧失安全性;在可读写的标签情况下,甚至可能非授权地改写或者也删除标签中的数据。
标签和阅读器之间的通信脆弱性
当标签传输数据给阅读器,或者阅读器质询标签的时候,数据通过无线电波进行传输。在这种交换中,数据安全是脆弱的。利用这种脆弱性的攻击手段包括:
- 非授权的阅读器截取数据;
- 第3方阻塞或者欺骗数据通信;
- 非法标签发送数据;
阅读器中的数据的脆弱性
当数据从标签出收集到阅读器中之后,在发送到后端系统之前,阅读器一般要进行一些初步处理。在这种处理中,数据则受到和其他任何计算机安全脆弱性相
似的问题。而且,有两点特别需要注意,一些移动式阅读器需要特别关注;其次,阅读器多是专有的设备,很难具有公共接口进行安全加固。
后端系统的脆弱性
数据进入后端系统之后,则属于传统的网络安全、应用安全的范畴。在这一领域具有比较强的安全基础,有很多手段来保证这一范畴的安全。
值得注意的是,基于应用层的安全(XML消息一级)正在不断发展和完善中,而基于RFID的中间件基础将大量采用基于XML的技术。
评估RFDI系统的风险
不同类型的系统由于其特点可能面临不同的安全风险。我们将RFID应用系统分为两种类型,消费者RFID应用和企业RFID应用。
消费者应用的风险
消费者RFID应用主要是指收集和管理有关消费者数据的应用。主要包括访问控制、电子收费系统、或者零售POS系统等等。这些系统由于将消费者数据和RFID数据发生了关联,其安全风险也包括两个方面:
- 对后端业务系统的损害;
- 对消费者隐私的损害;
- 对消费者经济的直接和间接损害。
企业应用的风险
企业RFID应用时企业内部相关的业务系统使用RFID技术驱动。典型地包含企业供应链管理,以及相关的集成,如ERP、工业自动化等等。企业应用
的风险主要体现在对机构的直接和间接经济损害,以及对该机构的产品、服务设计到的客户的损害。而且这还体现在由于集成化程度和数据共享程度越高,受到的安
全风险越大、损害的范围越大(比如可能损害到企业的伙伴)。
另一方面,如果系统与消费者相关联,则存在于上述消费者应用类似的风险。
国防和军事领域的RFID应用的安全风险类似于企业应用,但是它则完全涉及到国家的安全。
保护RFID数据的安全
由于保存于阅读器或者后端系统中的数据属于传统信息安全的范畴,我们主要提及标签中的数据安全和标签与阅读器通信安全的解决方案。如下表:
1 保护RFID数据安全的解决方案
|
错弱性 |
方案 |
标签数据访问 |
标签和阅读器通信 |
安全许可 |
√ |
|
使用只读标签 |
√ |
|
限制通信范围 |
|
√ |
实现专有协议 |
√ |
√ |
屏蔽 |
√ |
√ |
Using the Kill Command Feature |
√ |
|
物理损坏标签 |
√ |
|
认证和加密 |
√ |
√ |
选择性锁定 |
√ |
√ |
安全许可
对于某些不需要经常移动的被标签目标,可以通过常规的物理安全手段限制对标签的访问。不幸的是,被标签的目标一般都需要移动。
使用只读标签
这种方式消除了数据被篡改和删除的风险,但是仍然具有被非法阅读的风险。
限制标签和阅读器之间的通信距离
采用不同的工作频率、天线设计、标签技术和阅读器技术可以限制两者之间的通信距离,降低非法接近和阅读标签的风险,但是这仍然不能解决数据传输的风险还以损害可部署性为代价。
实现专有的通信协议
在高度安全敏感和互操作性不高的情况下,实现专有通信协议是有效的。它涉及到实现一套非公有的通信协议和加解密方案。基于完善的通信协议和编码方
案,可实现较高等级的安全。但是这样便丧失了与采用工业标准的系统之间的RFID数据共享能力。当然,还可以通过专用的数据网关来进行处理。.
屏蔽
当然,屏蔽掉标签之后,也同时丧失了RF特征。但是在不需要阅读和通信的时候,这也是一个主要的保护手段。特别是包含有金融价值和敏感数据的标签(高端标签,如智能卡)的场合。可以在需要通信的时候接触屏蔽。
使用杀死命令(Kill Command)
Kill命令是用来在需要的时候是标签失效的命令。接收到这个命令之后,标签便终止其功能,无法再发射和接收数据。屏蔽和杀死都可以使标签失效,但后者是永久的。
特别是在零售场合,基于保护消费者隐私的目的,必须在离开卖场的时候杀死标签。
这种方式的最大缺点是影响到反向跟踪,比如退货、维修和服务。因为标签已经无效,相应的信息系统将不能再识别该数据。
物理损坏
物理损坏是指使用物理手段彻底销毁标签,并且不必象杀死命令一样担心是否标签的确失效。但是对一些嵌入的,难以接触的标签则难以做到。
认证和加密
可使用各种认证和加密手段来确保标签和阅读器之间的数据安全。比如,直至阅读器发送一个密码来解锁数据之前,标签的数据一直处于锁定状态。更严格的
还可能同时包括认证和加密方案。但是标签的成本直接影响到其计算能力以及采用的算法的强度。因此,一般来说,在高端RFID系统(智能卡)和高价值的被标
签物品场合,可以采用这种方式。
选择性锁定
这种方法使用一个特殊的称为锁定者(Blocker)的RFID标签来模拟无穷的标签的一个子集。这一方法可以把阻止非授权的阅读器读取某个标签的子集。
这一方法克复或者平衡了以上方法的缺点,也消除了加密和认证方案带来的高成本性。这一方法在安全性和成本之间取得了较好的平衡。需要的时候,Blocker标签可以防止其他阅读器读取和跟踪其附近的标签,而在需要的时候,则可以取消这种阻止,使标签得以重新生效。
推荐安全策略
没有任何一个单一的手段可以彻底保证RFID应用的安全。在很多时候,都需要采用综合性的解决方案。对于采用某些标准的RFID应用,比如ISO 或者EPCglobal,标准体系对安全有其自己的考虑和解决。
不管如何,在实施和部署RFID应用系统之前,必须进行充分的业务安全评估和风险分析,考虑综合的解决方案、考虑成本和收益之间的关系。
很多时候需要专门的安全机构进行咨询和服务。