RFID系統(tǒng)安全隱患及對策研究

　　引言

　　RFID是近年來的一項熱門技術，現(xiàn)在它廣泛應用于物流、交通、商業(yè)、管理等各個領域。RFID系統(tǒng)由標簽、閱讀器（Reader）、應用軟件和現(xiàn)有的互聯(lián)網(wǎng)的基礎上組成。

　　在RFID系統(tǒng)里，RFID標簽通過讀寫器把標簽數(shù)據(jù)讀取出來，傳送給RFID應用軟件進行相應的數(shù)據(jù)處理，然后再通過互聯(lián)網(wǎng)在各個應用環(huán)節(jié)“交流”信息，從而實現(xiàn)商品信息的流通。 如圖1所示。

圖１　RFID系統(tǒng)結(jié)構(gòu)圖

　　RFID的應用越來越廣泛，它像計算機網(wǎng)絡一樣也存在著安全隱患，如果不能很好地解決RFID系統(tǒng)的安全問題，隨著應用擴展，未來遍布全球各地的RFID系統(tǒng)安全可能會像現(xiàn)在的網(wǎng)絡安全難題一樣考驗人們的智慧。隨著RFID芯片的功能越來越復雜，它們受到攻擊的危險也越高。這些安全問題將會嚴重阻礙RFID系統(tǒng)的應用推廣。

　　因此，在RFID技術大規(guī)模應用之前有必要提前解決預計出現(xiàn)的安全及隱私問題或者把這種危害降低到相對低點。

　　1 存在的安全隱患

　　RFID系統(tǒng)和其他信息系統(tǒng)一樣存在許多安全隱患，這些隱患無疑威脅著RFID系統(tǒng)的正常運行，并且不同于其他信息系統(tǒng)的安全問題。根據(jù)上邊的RFID系統(tǒng)結(jié)構(gòu)圖，我們把系統(tǒng)存在的安全問題分為三類：標簽集安全、軟件級安全和網(wǎng)絡級安全，下面分別分析這三種安全隱患。

　　1.1 標簽級安全

　　目前RFID處于初級起步階段，標簽級安全主要集中在以下三個方面：

　?。?）對電子標簽信息的盜讀和篡改：RFID標簽和條碼不同，體積小，容量小，通過天線就可以與外界交互信息，因此射頻識別系統(tǒng)很容易受到攻擊。RFID標簽擁有惟一的ID，一旦攻擊者獲得ID，也就獲得了目標對象的數(shù)據(jù)信息。未被保護的標簽易遭受來自未授權方的監(jiān)聽，未授權的讀寫器在沒有訪問控制協(xié)議下可隨時訪問其附近的標簽從而獲得機密數(shù)據(jù)。在篡改電子標簽內(nèi)數(shù)據(jù)方面，存在非法者改寫或是重置標簽內(nèi)容的威脅。破壞者也可以通過破壞一組標簽的有效工作性能，從而可能使整個供應鏈陷入癱瘓狀態(tài)，因此存在標簽數(shù)據(jù)被篡改的危險。

　?。?）讀寫器受到干擾或其他攻擊：由于RFID的開放式環(huán)境，非法用戶通過發(fā)射干擾信號來影響讀寫器讀取信號，或用其他方式釋放攻擊信號直接攻擊讀寫器，使讀寫器無法接收正常的標簽數(shù)據(jù)。

　?。?）對環(huán)境的適應性：由于零售業(yè)和物流業(yè)的RFID應用環(huán)境比較復雜，因此需要RFID具有較強的適應性，包括能夠在存在非惡意的信號干擾、金屬干擾、潮濕以及一定程度的遮擋等。

　　1.2 軟件級安全

　　數(shù)據(jù)進入后端系統(tǒng)之后，則屬于傳統(tǒng)應用軟件安全的范疇。在這一領域具有比較強的安全基礎，有很多手段來保證這一范疇的安全。

　　1.3 網(wǎng)絡級安全

　　RFID系統(tǒng)中標簽數(shù)據(jù)進入系統(tǒng)軟件，然后再經(jīng)由現(xiàn)有的Internet網(wǎng)絡傳輸。在的Internet網(wǎng)絡也存在很多安全隱患，這是Internet安全的問題。

　　2 主要技術對策及分析

　　RFID系統(tǒng)存在三個不同層面上的安全隱患：標簽、軟件、網(wǎng)絡。盡管與計算機和網(wǎng)絡的安全問題類似，但實際上RFID的安全問題要嚴峻得多。RFID技術本身就包含了比計算機和網(wǎng)絡中更多更容易泄密的不安全節(jié)點。對于網(wǎng)絡和軟件安全方面我們已經(jīng)耳熏目染，這里只討論RFID系統(tǒng)特有的安全問題即標簽級安全的對策。

　　RFID芯片本身就存在一些需要我們解決的安全難題。由于RFID芯片很小，內(nèi)存和存儲容量也同樣小，這就限制了它能夠容納的數(shù)字和加密密鑰的長度，從而使它很難實施進行強大加密所需要的公共密鑰交換等事情。

　　標簽級安全對策主要有以下幾種：
　　(1) 只讀標簽：這種方式消除了數(shù)據(jù)被篡改和刪除的風險，但仍然具有被非法閱讀的風險。

　　(2 ) 限制標簽和讀寫器之間的通信距離：采用不同的工作頻率、天線設計、標簽技術和讀寫器技術可以限制兩者之間的通信距離，降低非法接近和閱讀標簽的風險，但是這仍然不能解決數(shù)據(jù)傳輸?shù)娘L險還以損害可部署性為代價。

　　(3) 實現(xiàn)專有的通信協(xié)議：在高度安全敏感和互操作性不高的情況下，實現(xiàn)專有通信協(xié)議是有效的。它涉及到實現(xiàn)一套非公有的通信協(xié)議和加解密方案。基于完善的通信協(xié)議和編碼方案，可實現(xiàn)較高等級的安全。但是，這樣便喪失了與采用工業(yè)標準的系統(tǒng)之間的RFID數(shù)據(jù)共享能力。

　　(4) 屏蔽：可以使用法拉第網(wǎng)來屏蔽標簽，使其喪失了RF特征。在不需要閱讀和通信的時候，這也是一個主要的保護手段，特別是包含有金融價值和敏感數(shù)據(jù)的標簽的場合，可以在需要通信的時候解除屏蔽。

　　(5) 使用銷毀指令(KillCommand)：如果標簽支持Kill指令，當標簽接收到讀寫器發(fā)送的Kill命令便會將自己銷毀，無法被再次激活，以后它將對讀寫器的任何指令都無法反應。特別是在零售場合，消費者可以在購買產(chǎn)品后執(zhí)行Kill命令使標簽失效，從而消除了消費者在隱私方面的顧慮。但是使用這種方式影響到商品的反向跟蹤，比如退貨、維修和售后服務等。因為標簽卷標已經(jīng)無效，相應的信息系統(tǒng)將不能再識別該標簽的數(shù)據(jù)。

　　(6) 使用休眠指令(Sleep)：當支持休眠命令的標簽接收到讀寫器傳來的休眠(Sleep)指令,標簽即進入休眠狀態(tài)，不會響應任何讀寫器的操作；當標簽收到讀寫器的喚醒(WakeUp)命令才會恢復正常。

　　(7) 物理損壞：物理損壞是指使用物理手段徹底銷毀標簽，并且不必像殺死命令一樣擔心標簽是否失效，但是對一些嵌入的、難以接觸的標簽則難以做到。

　　(8) 認證和加密：可使用各種認證和加密手段來確保標簽和讀寫器之間的數(shù)據(jù)安全。讀寫器操作標簽時必須同時發(fā)送密碼，標簽驗證密碼成功才響應讀寫器，之前，標簽的數(shù)據(jù)一直處于鎖定狀態(tài)。更嚴格的還可能同時包括認證和加密方案。

　　(9) 選擇性鎖定：這種方法使用一個特殊的稱為鎖定者(Blocker)的RFID標簽來模擬無窮的標簽的一個子集。這一方法可以把阻止非授權的讀寫器讀取某個標簽的子集。

　　選擇性鎖定克服或者平衡了以上各種方法的缺點，也消除了加密和認證方案帶來的高成本性，這一方法在安全性和成本之間取得了較好的平衡。需要的時候，Blocker標簽可以防止其他讀寫器讀取和跟蹤其附近的標簽，而在不需要的時候，則可以取消這種阻止，使標簽得以重新生效。

　　以上這些方法各有自己的特色和不足，沒有任何一個單一的手段可以徹底保證RFID應用的安全，所以必須針對不同應用靈活選擇和組合采用綜合性的解決方案，考慮成本和收益之間的關系。

　　3 結(jié)束語

　　RFID安全問題是個系統(tǒng)問題, 關注的焦點不應該只局限在RFID產(chǎn)品本身上，RFID系統(tǒng)的安全, 不僅僅是RFID標簽本身的安全技術，關鍵是應用系統(tǒng)上的安全方案和管理制度。RFID系統(tǒng)安全會在應用過程中逐步改善，而隨著安全問題的逐步完善它的應用會越來越廣泛。