未雨綢繆 謀RFID安全大計(jì)

　在當(dāng)前的發(fā)展藍(lán)圖中，RFID 與其它無(wú)線技術(shù)的的最大區(qū)別在于，RFID 標(biāo)簽主要用來(lái)標(biāo)識(shí)和驗(yàn)證。然而，所有的無(wú)線技術(shù)都需要考慮安全問(wèn)題，RFID 也不能例外。如果RFID 系統(tǒng)希望在全球獲得廣泛應(yīng)用，其安全性就必然要承受考驗(yàn)。RFID 主要應(yīng)用于物流和消費(fèi)等領(lǐng)域，這些領(lǐng)域?qū)λ矫苄缘囊蟛惶?，所以，業(yè)內(nèi)對(duì)RFID 安全性的考量并沒(méi)有足夠的重視。以典型的擁有上百個(gè)RFID 讀取設(shè)備的物流應(yīng)用系統(tǒng)來(lái)說(shuō)，貨物標(biāo)簽中的信息被盜取會(huì)造成什么損失呢？在大多數(shù)情況下，盡管有人為此而擔(dān)憂(yōu)，卻都沒(méi)有人認(rèn)真地對(duì)此進(jìn)行評(píng)估。

    但是，值得注意的是，人們對(duì)RFID安全性的擔(dān)憂(yōu)已經(jīng)放緩了RFID的發(fā)展步伐。不論是已經(jīng)應(yīng)用了RFID 系統(tǒng)的用戶(hù)還是那些正在評(píng)估RFID 系統(tǒng)的用戶(hù)，RFID 潛在的安全問(wèn)題都已經(jīng)對(duì)他們?cè)斐闪死_。

主要安全隱患

    ·截獲RFID標(biāo)簽信息

    最基礎(chǔ)的安全問(wèn)題就是如何防止對(duì)RFID 標(biāo)簽信息進(jìn)行截獲和破解，因?yàn)檫@些標(biāo)簽中的信息是整個(gè)應(yīng)用的核心和媒介，在獲取了標(biāo)簽信息之后攻擊者就可以對(duì)RFID 系統(tǒng)進(jìn)行各種非授權(quán)使用。由于RFID 的應(yīng)用廣度有限，駭客團(tuán)體還沒(méi)有廣泛地涉足RFID領(lǐng)域?，F(xiàn)階段，大多數(shù)問(wèn)題是由一些研究性的組織展示出來(lái)的。比如，約翰斯.霍普金斯大學(xué)的一個(gè)研究小組就詳細(xì)的展示了如何破解由德州儀器（TI）所制造的DST（Digital SignatureTransponder）組件，這種組件被內(nèi)置在很多汽車(chē)防盜系統(tǒng)和電子支付系統(tǒng)作用的射頻識(shí)別元件，以膠囊形式與汽車(chē)鑰匙結(jié)合在一起，只有當(dāng)該元件被汽車(chē)防盜系統(tǒng)正確識(shí)別之后汽車(chē)才能夠啟動(dòng)。這項(xiàng)研究表明，在不接觸RFID 設(shè)備的情況下盜取其中的信息是可能的。盡管DST僅在幾十公分的距離內(nèi)才能被讀取，但是在電梯、休息區(qū)等環(huán)境下取得與車(chē)主的近距離接觸還是存在著極大的可能性。

    ·破解RFID標(biāo)簽

    RFID 標(biāo)簽是一種集成電路芯片，這意味著用于攻擊智能卡產(chǎn)品的方法在RFID 標(biāo)簽上也同樣可行。

    破解RFID 標(biāo)簽的過(guò)程并不復(fù)雜。使用40位密鑰的產(chǎn)品，通常在一個(gè)小時(shí)之內(nèi)就能夠完成被破解出來(lái);對(duì)于更堅(jiān)固的加密機(jī)制，則可以通過(guò)專(zhuān)用的硬件設(shè)備進(jìn)行暴力破解，不過(guò)，這通常需要擁有標(biāo)簽的實(shí)物。

    通過(guò)特殊的溶液也能夠?qū)?biāo)簽上的保護(hù)層去掉，從而使外部的電子設(shè)備能夠與標(biāo)簽中的電路連接。在此情況下，攻擊者不僅能夠獲取標(biāo)簽中的數(shù)據(jù)，還能分析出標(biāo)簽的結(jié)構(gòu)設(shè)計(jì)，以發(fā)現(xiàn)可以利用的問(wèn)題完成一些特定形式的攻擊。這樣看來(lái)，即使RFID 標(biāo)簽非常“微小”，但是，作為一個(gè)完整的體系仍有可能存在安全漏洞，一旦設(shè)計(jì)不善就會(huì)造成相當(dāng)廣泛的影響。

    ·復(fù)制RFID標(biāo)簽

    即使將加密機(jī)制設(shè)定得足夠強(qiáng)壯，強(qiáng)壯到攻擊者無(wú)法破解，但是，RFID標(biāo)簽仍然面臨著被復(fù)制的危險(xiǎn)。特別是那些沒(méi)有保護(hù)機(jī)制的RFID 標(biāo)簽，利用讀卡器和附有RFID 標(biāo)簽的智能卡設(shè)備就能夠輕而易舉的完成標(biāo)簽復(fù)制工作。

    盡管目前篡改RFID 標(biāo)簽中的信息還非常困難，至少要受到較多的限制，但是，在大多數(shù)情況下，成功的復(fù)制標(biāo)簽信息已經(jīng)足以對(duì)RFID系統(tǒng)完成欺騙。例如:攻擊者持復(fù)制的 RFID 憑證通過(guò)保安系統(tǒng)、進(jìn)入以RFID為驗(yàn)證手段的數(shù)據(jù)庫(kù)系統(tǒng)等等。這個(gè)問(wèn)題與RFID 協(xié)議的定義有一定的關(guān)系:在RFID 的技術(shù)標(biāo)準(zhǔn)中,對(duì)于RFID 標(biāo)簽的寫(xiě)入和管理有著較為詳細(xì)的規(guī)范，但是對(duì)于讀取的限制則相對(duì)比較寬松，這是造成RFID 復(fù)制威脅的內(nèi)因。

    ·隱私問(wèn)題

    一方面要有效地應(yīng)用RFID 功能，同時(shí)也要避免RFID標(biāo)簽泄漏消費(fèi)者的信息，這似乎是個(gè)兩難問(wèn)題。如何在這兩點(diǎn)之間進(jìn)行權(quán)衡是每一個(gè)應(yīng)用RFID 系統(tǒng)的組織需要仔細(xì)斟酌的課題。

    符合RFID 最新標(biāo)準(zhǔn)的產(chǎn)品都包含了一個(gè)被稱(chēng)為Kill的功能，它可以用于標(biāo)簽的實(shí)效，但是，一個(gè)執(zhí)行了實(shí)效操作的標(biāo)簽將永久性地?zé)o法使用，這意味著商家江無(wú)法利用RFID 標(biāo)簽完成售后服務(wù)，RFID的應(yīng)用效果由此受到限制。

    的確，消費(fèi)者可以通過(guò)撕毀標(biāo)簽的方式來(lái)防止自己的信息被未授權(quán)使用，但這對(duì)消費(fèi)者將形成某種程度的心理影響:他們需要時(shí)刻記得在適當(dāng)?shù)臅r(shí)機(jī)撕毀標(biāo)簽，同時(shí)也要承擔(dān)在商品中尋找到標(biāo)簽的負(fù)擔(dān)，這對(duì)于標(biāo)榜便利性的RFID 應(yīng)用來(lái)說(shuō)無(wú)疑是一種打擊，而如果商家設(shè)定在RFID 標(biāo)簽移動(dòng)到商店范圍外就自動(dòng)損毀的話，如何管理商品在商店的出入、如何決定標(biāo)簽啟用和實(shí)效的時(shí)機(jī)等等問(wèn)題也使得具體操作變得異常復(fù)雜。

    尋找應(yīng)對(duì)之道

    如今，RFID的技術(shù)標(biāo)準(zhǔn)體系尚算完善，在超高頻（UHF）領(lǐng)域則還需要繼續(xù)完善。如果遠(yuǎn)距離的標(biāo)簽讀取存在安全障礙的話，將會(huì)對(duì)RFID 的安全性造成更大的困擾。

    令人欣慰的是，國(guó)際標(biāo)準(zhǔn)化組織已經(jīng)制訂在供應(yīng)鏈領(lǐng)域使用的高射頻標(biāo)簽（I S O 1 8 0 0 0 - 3 ）以及超高射頻標(biāo)簽（ISO18000-6）追蹤貨物的標(biāo)準(zhǔn)。

    就目前而言，盡管RFID 的技術(shù)標(biāo)準(zhǔn)中包含了對(duì)于加密保護(hù)等一些安全措施的要求，但是，這些要求并沒(méi)有與RFID 應(yīng)用的實(shí)際要求很好的結(jié)合在一起，從而限制了這些標(biāo)準(zhǔn)的效果。

    對(duì)此，可以在核心標(biāo)準(zhǔn)上定義出一些產(chǎn)業(yè)標(biāo)準(zhǔn)，針對(duì)特定的應(yīng)用形式進(jìn)行匹配的安全性限制，以避免核心標(biāo)準(zhǔn)由于擔(dān)憂(yōu)限制了應(yīng)用靈活性而降低安全標(biāo)準(zhǔn)的做法。

    在一些具體的操作過(guò)程中，其他無(wú)線網(wǎng)絡(luò)的一些安全防護(hù)規(guī)則同樣適用于RFID 領(lǐng)域，這意味著一些已有的技術(shù)資源和安全管理規(guī)范可以被沿用。

    一個(gè)需要注意的原則在于，要細(xì)致的限制RFID 標(biāo)簽的讀取。這是解決RFID安全問(wèn)題的開(kāi)端。

    另外，盡管標(biāo)準(zhǔn)的EPC標(biāo)簽具有防篡改的安全保護(hù)能力，但追加到標(biāo)簽中的數(shù)據(jù)往往并不能獲得與初始數(shù)據(jù)同樣的防護(hù)，所以在操作RFID 標(biāo)簽的寫(xiě)入時(shí)要定義相應(yīng)的解決方案以全面的進(jìn)行標(biāo)簽內(nèi)信息的保護(hù)。

    對(duì)于隱私問(wèn)題來(lái)說(shuō)，失效仍舊是最主要的解決方案。

    由于簡(jiǎn)單的令標(biāo)簽失效會(huì)衍生很多其它的問(wèn)題，所以，一些公司開(kāi)發(fā)出了更復(fù)雜的保護(hù)技術(shù)。比如:IBM 提出的標(biāo)簽裁剪（Clipped Tag）技術(shù)使得用戶(hù)可以扯掉或刮除RFID 天線，這能夠防止他人透過(guò)RFID 標(biāo)簽進(jìn)行遠(yuǎn)程跟蹤;RSA 實(shí)驗(yàn)室的研究人員也提出，可以通過(guò)屏蔽RFID標(biāo)簽中的某些數(shù)據(jù)以防止隱私泄漏。一個(gè)更好的解決辦法可能是，在標(biāo)簽失效與標(biāo)簽使用之間進(jìn)行折衷。當(dāng)標(biāo)簽離開(kāi)商店時(shí)被自動(dòng)置于一種限制性的保護(hù)狀態(tài)，在該狀態(tài)下標(biāo)簽無(wú)法被遠(yuǎn)程讀取，消費(fèi)者的私密性信息被屏蔽成不可使用狀態(tài)，而回到商店時(shí)再將標(biāo)簽解除成正常應(yīng)用狀態(tài)。這意味著標(biāo)簽和周邊設(shè)備的功能需要進(jìn)行擴(kuò)展，從而將標(biāo)簽的啟用和失效納入到自動(dòng)化的管理過(guò)程中。

    未雨綢繆

    顯然，RFID 的加密保護(hù)機(jī)制并不是絕對(duì)安全的，但不管怎樣，這依然是目前RFID 產(chǎn)品應(yīng)用的最主要保護(hù)方式。額外的安全措施對(duì)現(xiàn)階段的RFID 系統(tǒng)來(lái)說(shuō)也是非常必要的，包括標(biāo)簽、讀寫(xiě)器等物理設(shè)備都應(yīng)該得到附加的保護(hù)。在未來(lái)的幾年中，更多的標(biāo)準(zhǔn)需要被指定出來(lái)，作為RFID 安全的領(lǐng)導(dǎo)廠商，RSA 正在大力倡導(dǎo)第三方RFID 安全解決方案的重要性，同時(shí)也在積極的推動(dòng)一些RFID 安全標(biāo)準(zhǔn)的定義。

    更為重要的是，現(xiàn)階段我們急需確立RFID的最終目標(biāo)，它要做到什么、可以以什么樣的代價(jià)做到等等。而且，我們需要弄清楚一個(gè)看似簡(jiǎn)單的問(wèn)題:我們到底需要通過(guò)RFID 獲得多大的便利性，在獲得便利性的同時(shí)我們可以犧牲多少。

    畢竟，一旦這項(xiàng)技術(shù)的推廣越過(guò)臨界點(diǎn)，之前所做的決定將無(wú)法逆轉(zhuǎn)，一些隱患就將永久留下，就好比TCP/IP 協(xié)議族中的脆弱點(diǎn)一樣，如果在將來(lái)對(duì)這些決定進(jìn)行進(jìn)行修補(bǔ)的話，無(wú)疑會(huì)付出很大的成本和代價(jià)。

    目前，RFID 產(chǎn)業(yè)正在思考如何降低標(biāo)簽成本的方法，這是目前RFID 的最大發(fā)展障礙，而安全和成本本身就是一組對(duì)立的存在，我們希望RFID 產(chǎn)業(yè)在謀求降低成本的同時(shí)也要加緊處理RFID 的安全問(wèn)題，畢竟未雨綢繆是更好的策略。

    如果安全性問(wèn)題在RFID 達(dá)到足夠的應(yīng)用規(guī)模時(shí)還沒(méi)有得到解決，消費(fèi)者的心理挫傷可能會(huì)令RFID 的發(fā)展進(jìn)入一個(gè)大家都不愿看到的“冬歇期”。

    標(biāo)簽
    這是RFID 體系的核心，是一個(gè)體積極小的集成電路，通常被安置于被標(biāo)識(shí)物體當(dāng)中。RFID標(biāo)簽的用于存儲(chǔ)獨(dú)一無(wú)二的編碼及被標(biāo)識(shí)物體相關(guān)信息。

    閱讀器
    讀寫(xiě)RFID 標(biāo)簽的設(shè)備，通過(guò)天線向標(biāo)簽發(fā)出無(wú)線電波，將標(biāo)簽激活。標(biāo)簽的內(nèi)置電路受到激活后，會(huì)按預(yù)定規(guī)則自主地將其自身資料通過(guò)無(wú)線電信號(hào)回傳給閱讀器。

    天線
    負(fù)責(zé)發(fā)射及接收無(wú)線電信號(hào)，是標(biāo)簽與閱讀器之間通信橋梁，一般來(lái)說(shuō)天線決定了RFID 系統(tǒng)的信號(hào)范圍。