雖然RFID由于頻段相容等多種原因還沒有形成全球統(tǒng)一的產(chǎn)業(yè)標準，但已經(jīng)有越來越多的RFID產(chǎn)品被實際應用，特別是在物流領域。基于RFID本身強大的功能，我們完全相信RFID的發(fā)展前景極為廣闊，甚至組成一個全球性的物聯(lián)網(wǎng)。正因為如此，其安全問題不容我們忽視。如果一個RFID芯片設計不良或沒有受到保護，有很多手段可以獲取此芯片的結構和其中的數(shù)據(jù)，所造成的損失將會不堪設想。

　　本文分別從RFID系統(tǒng)的前端無線裝置和協(xié)議、后臺網(wǎng)絡系統(tǒng)安全以及數(shù)據(jù)安全三方面進行信息安全方面的策略分析。

　　前端無線裝置和協(xié)議面臨的威脅及解決辦法

　　RFID系統(tǒng)前端的無線裝置和傳輸協(xié)議是可靠產(chǎn)生系統(tǒng)處理信息的依托，是整個系統(tǒng)的基礎，其除了具有無線系統(tǒng)所通用的安全威脅之外，其標簽也有特定的安全問題，需要多方面考慮。

　　對這個問題的研究，澳洲柏斯大學研究人員Edith Cowan研究人員曾說，第一代RFID的安全漏洞在于，一旦數(shù)據(jù) 超載，就無法正常作業(yè)。在較新的UHF式RFID標簽中，也發(fā)現(xiàn)到該漏洞，它可對關鍵或攸關人命的RFID系統(tǒng)造成影響。就連更精密、可以四段速操作的“第二代RFID”也一樣逃不過攻擊。

　　RFID是一種靠無線射頻遠距辨識身分的技術，需要讀取器在一定的距離內(nèi)和RFID電子卷標內(nèi)建的頻道進行非接觸雙向溝通。之所以被認為安全，是因為讀取器碰到障礙后，會在頻段內(nèi)跳接不同的頻道。

　　為了測試RFID的安全性，澳洲研究員將電子卷標使用的頻段全部滿載，讓讀取器無法和電子卷標溝通。結果發(fā)現(xiàn)，頻道跳接的設計并不能阻止不法份子進行阻斷服務攻擊。因為電子卷標本身無法跳接頻道。

　　研究員也發(fā)現(xiàn)，在3英尺的距離之外，可以阻斷電子標簽與讀取器的溝通，讓卷標進入“通信錯誤”的狀態(tài)。雖然讀取器碰到干擾可在設定的頻段之間跳接，但RFID電子卷標卻不行。

　　其他各研究單位和具體廠商也發(fā)現(xiàn)了系統(tǒng)前端部分的各種問題。比如，專家Rubin斷言，雖然最近也進行了一些改進，但大多數(shù)RFID芯片依然很容易被破解。其中一個原因是: 最廉價和最流行的RFID芯片都沒有電池，事實上它們是在掃描時由讀卡機提供能量。Rubin認為，這限制了芯片可設置密碼的數(shù)量。由于缺乏自己的動力系統(tǒng)，這種芯片也容易受到“能耗途徑竊取”(power-consumption hack)的攻擊。

　　歐洲一個電腦研究組織表示，軟件病毒可以安插至無線射頻身份識別(RFID)標簽當中。前不久在意大利比薩召開的一個電腦學術會議上，研究人員公布了一份報告，該報告聲稱，病毒有可能感染RFID晶片的記憶體。

　　雖然目前大部分的電腦安全專家都認為，RFID晶片不可能感染電腦病毒，因為這種晶片的記憶體數(shù)量相當有限。但研究人員表示，RFID存在被病毒感染的危險，幸好他們同時還公布了一套讓RFID晶片免受攻擊的防范措施。

　　對于RFID標簽來說，芯片具有可重復編程功能的確是個問題。公司全球戰(zhàn)略專家帕特·金(Pat King)認為，這需要“適當?shù)墓芾怼??！肮静粦摶孟肟芍貜途幊虡撕瀮?nèi)的數(shù)據(jù)總是安全的。如果你對信息的有效性產(chǎn)生了懷疑，就應該把芯片上的信息與儲存在數(shù)據(jù)庫里的數(shù)據(jù)進行比較驗證。

　　最近，來自荷蘭阿姆斯特丹的Vrije大學的一組計算機研究員宣稱，他們已發(fā)現(xiàn)包括EPC標簽在內(nèi)的RFID標簽可以被用來攜帶病毒，并對電腦系統(tǒng)造成攻擊，他們相信使用可讀寫的RFID標簽會有很大的風險，一個有惡意代碼的標簽會造成更多的被感染標簽，這將引發(fā)一場混亂。

　　一位知名的破解密碼專家應用功率分析技術，破譯了最流行RFID標簽品牌的密碼。美國Weizmann學院計算機科學教授Adi Shamir也在RSA會議高層研討中匯報了他的工作。他和他的一位學生已經(jīng)能侵入某個RFID標簽并開發(fā)出相應的密碼殺手——一種可使標簽自毀的代碼。通過監(jiān)控標簽的能耗過程研究人員推導出了密碼。(推導過程是，接收到讀卡機傳來的不正確數(shù)據(jù)時，標簽的能耗會上升)。研究人員只用了3個小時就開發(fā)出了標簽的殺手代碼。他們表示，雖然使用的標簽已經(jīng)過時，但即使是去年下半年上市的最新產(chǎn)品也存在類似的問題，只需如手機一樣簡單的工具就可侵入RFID標簽。

　　此外，與Shamir合作開發(fā)RSA算法的MIT電氣工程和計算機科學教授Ron Rivest借年會平臺呼吁行業(yè)共同創(chuàng)建下一代散列算法，以取代當今的SHA-1。最近幾周，Shamir利用定向天線和數(shù)字示波器來監(jiān)控RFID標簽被讀取時的功率消耗。功率消耗模式可被加以分析以確定何時標簽接收了正確和不正確的密碼位。解密專家在會議中探討了基本SHA-1散列算法的弱點?！拔覜]有測試所有RFID標簽，但我們測試了最大品牌，它完全沒有保護措施?！盨hamir說道。而Rivest則表示: “我期望工業(yè)能創(chuàng)建一個類似為AES算法所做的流程，到2010前研究出新的散列功能?！?/P>

　　RSA擔心存儲在RFID標簽中的信息將會被任何持有RFID讀取器的黑客盜取，目前這種威脅還不大，但是一旦這項技術被普遍接受，讀取器的價格將會大幅下降，而且，讀取器還有可能被內(nèi)置在手機上，這些都大大增加了對于安全的威脅。

　　提供IT咨詢服務的咨詢委員會(The Advisory Council，以下簡稱TAC)認為，缺乏對點對點加密(使用現(xiàn)行的標準，諸如ISO14443/DESFire就可以實現(xiàn))和PKI(公鑰基礎結構)密鑰交換的支持，是導致標簽漏洞的原因之一。很多人還指出，“惡意”標簽(rogue tag)有可能破壞 供應鏈數(shù)據(jù)。一旦遭到“拒絕服務”式攻擊，把標簽中的數(shù)據(jù)改為隨機數(shù)據(jù)，將降低供應鏈的速度。這類風險一點都不比現(xiàn)在存在的風險小。

　　同時在實際應用中，對于剛剛使用RFID的企業(yè)，RFID標簽很容易就被黑客、商店扒手或者不滿的職員所操控。還有一個問題是“極低的成本將會大大限制RFID標簽的功能”。在過去20年內(nèi)開發(fā)出來的好的安全工具，和目前的大部分RFID標簽硬件都不匹配。舉例而言，如果對一個標簽進行加密，就會大大消耗標簽的處理能力，并增加標簽的成本。為了控制成本，公司需要的是重量輕、價格低的標簽，這正好跟標簽的安全需求相違背。

　　也有人提出，數(shù)據(jù)在讀入到讀取器的過程中，可能在半途被竊取。

　　如此眾多的問題，研究者和應用商們也正在逐步尋求解決方案，比如:

　　在芯片設計與實現(xiàn)的工程中考慮攻擊措施，以保護重要的數(shù)據(jù)不被非法利用。許多專家已經(jīng)就目前針對芯片的各種破壞性、非破壞性攻擊手段(比如版圖重構，存儲器讀取技術，電流攻擊和故障攻擊等)，從軟、硬件角度分析現(xiàn)有的各種安全措施如何應對這些攻擊，或使攻擊變得難以實施，同時給出建議如何避免不良設計。

　　一些應用廠商已經(jīng)開始考慮采用安全設備來緩解有關RFID標簽安全的憂慮。比如給每個產(chǎn)品一個惟一的電子產(chǎn)品代碼，這有點類似于汽車的牌照號碼。一旦有人想破壞安全，他得到的只是單個產(chǎn)品的信息。這樣的話，就不值得花時間去解碼，“門檻太高，沒有人會這樣做的?！崩赘f。此外，新的EPCglobal超高頻第二代協(xié)議標準增強了無源標簽的安全性能。據(jù)EPCglobal產(chǎn)品管理總監(jiān)秀·赫欽森(Sue Hutchinson)介紹，新標準不僅提供了密碼保護，而且能對數(shù)據(jù)從標簽傳輸?shù)阶x取器的過程進行加密，而不是對標簽上的數(shù)據(jù)進行加密。

　　2005年，Johns Hopkins大學和RSA實驗室的專家宣布使用在高安全性車鑰匙和加油站付費系統(tǒng)中使用RFID技術的密碼弱點。

　　針對RFID業(yè)界的一個主要擔憂RFID標簽有可能被仿冒，它的編碼系統(tǒng)有可能被復制。XINK公司的新墨水可以消除這種隱患，這是一種理論上不可見的印刷墨水。把這種墨水與Creo公司的隱形標簽技術結合，標簽被仿冒的擔憂就可以消除。

　　大部分的RFID產(chǎn)業(yè)擁有者都意識到標簽資料保密性的重要，一些廠商對 RFID 的私隱問題作出了很大的努力，并且提供了幾個可行的解決方案，例如:

　　使用探測器探測其他 RFID 閱讀器的存在，以防上資料暴露;

　　為RFID 標簽編程，使其只可能與己授權的 RFID 閱讀器通信;

　　采用EPCglobal 所提倡的消除標簽資料 (kill tag) 協(xié)議，禁止資料殘留于被棄用的標簽上;

　　采用更強的加密及安全功能。

　　可能的解決辦法

　　RFID網(wǎng)絡中安全威脅主要有兩方面，一是從讀寫器傳到后臺之間的網(wǎng)絡漏洞給系統(tǒng)和后臺信息造成潛在威脅，二是RFID系統(tǒng)后臺網(wǎng)絡是借助于標準的互聯(lián)網(wǎng)設施，因此RFID后臺網(wǎng)絡中存在的安全問題和互聯(lián)網(wǎng)是一樣的。因此射頻識別(RFID)技術面臨網(wǎng)絡安全挑戰(zhàn)，這是參與TechBiz Connection有關RFID研討的嘉賓得出的一致意見。

　　對第一種威脅，研究機構Forrester 公司的分析師勞拉·科茨勒(Laura Koetzle)指出，如果競爭對手或入侵者把他們開發(fā)出來的“惡意標簽”裝到未經(jīng)安全處理的網(wǎng)絡上，他們就可以把所有掃描到的數(shù)據(jù)傳輸出去。這就是一種網(wǎng)絡漏洞造成的系統(tǒng)泄漏。另外與其它無線技術類似，對于沒有使用帶內(nèi)置協(xié)議如安全殼及安全槽層的設備來確保其RFID網(wǎng)絡安全無憂的公司來說，存在著安全風險。因為對于無線平臺的供應鏈應用網(wǎng)絡來說“攻破它是非常輕而易舉的事情?！?/P>

　　對第二種威脅，最近，三位計算機研究者在意大利比薩舉辦的一次會議上就曾發(fā)表了一篇關于計算機病毒如何傳染RFID的論文。因此，RFID中間件 開發(fā)商必須作一些適當?shù)臋z查，來防止RFID在受到Internet上的漏洞攻擊時重蹈覆轍。他們在論文中還寫道:“操縱標簽上少于1000位的RFID數(shù)據(jù)就能夠開拓安全漏洞來影響RFID中間件，暗中進行破壞活動;嚴重的情況下，也許能夠危及到整個計算機、或者整個網(wǎng)絡的安全?！毙疫\的是RFID中間件除了能夠?qū)⒈O(jiān)測RFID信號的硬件與后臺能夠利用RFID信息的企業(yè)軟件連接起來，更重要的一點，它可以繼承傳統(tǒng)中間件在安全方面的優(yōu)勢，幫助RFID應用削減安全隱患。

　　阿姆斯特丹自由大學的研究者Andrew S. Tanenbaum、Bruno Crispo和Melanie R. Rieback也討論了該問題并總結道，RFID惡意軟件就是一個“潘多拉魔盒”。因為對于研究者來講，典型的攻擊目標就是RFID中間件，同時從RFID標簽來的數(shù)據(jù)能夠用來攻擊后端的軟件系統(tǒng)。

　　當數(shù)據(jù)在EPCglobal網(wǎng)絡上交換時，使用者希望現(xiàn)有的一些安全手段，比如防火墻和其他接入管理技術也能用來保護網(wǎng)絡中數(shù)據(jù)安全，并確保只有被授權者才能接觸到數(shù)據(jù)，VeriSign公司的技術人員說。VeriSign公司目前協(xié)助解決這些問題。

　　保護RFID數(shù)據(jù)安全的解決方案

　　另一方面，如果系統(tǒng)與消費者相關聯(lián)，則存在于上述消費者應用類似的風險。國防和軍事領域的RFID應用的安全風險類似于企業(yè)應用，但是它則完全涉及到國家的安全。

　　由于保存于閱讀器或者后端系統(tǒng)中的數(shù)據(jù)屬于傳統(tǒng)信息安全的范疇，標簽中的數(shù)據(jù)安全和標簽與閱讀器通信安全就需要相應的解決方案。如表中所示。

　　對于某些不需要經(jīng)常移動的被標簽目標，可以通過常規(guī)的物理安全手段限制對標簽的訪問。不幸的是，被標簽的目標一般都需要移動。

　　只讀標簽

　　這種方式消除了數(shù)據(jù)被篡改和刪除的風險，但是仍然具有被非法閱讀的風險。

　　限制標簽和閱讀器之間的通信距離

　　采用不同的工作頻率、天線設計、標簽技術和閱讀器技術可以限制兩者之間的通信距離，降低非法接近和閱讀標簽的風險，但是這仍然不能解決數(shù)據(jù)傳輸?shù)娘L險還以損害可部署性為代價。

　　實現(xiàn)專有的通信協(xié)議

　　在高度安全敏感和互操作性不高的情況下，實現(xiàn)專有通信協(xié)議是有效的。它涉及到實現(xiàn)一套非公有的通信協(xié)議和加解密方案?；谕晟频耐ㄐ艆f(xié)議和編碼方案，可實現(xiàn)較高等級的安全。但是，這樣便喪失了與采用工業(yè)標準的系統(tǒng)之間的RFID數(shù)據(jù)共享能力。當然，還可以通過專用的數(shù)據(jù)網(wǎng)關來進行處理。

　　屏蔽

　　屏蔽掉標簽之后，也同時喪失了RF特征。但是在不需要閱讀和通信的時候，這也是一個主要的保護手段。特別是包含有金融價值和敏感數(shù)據(jù)的標簽(高端標簽，如智能卡)的場合。可以在需要通信的時候接觸屏蔽。

　　使用殺死命令(Kill Command)

　　Kill命令是用來在需要的時候是標簽失效的命令。接收到這個命令之后，標簽便終止其功能，無法再發(fā)射和接收數(shù)據(jù)。屏蔽和殺死都可以使標簽失效，但后者是永久的。特別是在零售場合，基于保護消費者隱私的目的，必須在離開賣場的時候殺死標簽。這種方式的最大缺點是影響到反向跟蹤，比如退貨、維修和服務。因為標簽已經(jīng)無效，相應的信息系統(tǒng)將不能再識別該數(shù)據(jù)。

　　物理損壞

　　物理損壞是指使用物理手段徹底銷毀標簽，并且不必像殺死命令一樣擔心是否標簽的確失效，但是對一些嵌入的、難以接觸的標簽則難以做到。

　　認證和加密

　　可使用各種認證和加密手段來確保標簽和閱讀器之間的數(shù)據(jù)安全。比如，直至閱讀器發(fā)送一個密碼來解鎖數(shù)據(jù)之前，標簽的數(shù)據(jù)一直處于鎖定狀態(tài)。更嚴格的還可能同時包括認證和加密方案。但是標簽的成本直接影響到其計算能力以及采用的算法的強度。因此，一般來說，在高端RFID系統(tǒng)(智能卡)和高價值的被標簽物品場合，可以采用這種方式。

　　選擇性鎖定

　　這種方法使用一個特殊的稱為鎖定者(Blocker)的RFID標簽來模擬無窮的標簽的一個子集。這一方法可以把阻止非授權的閱讀器讀取某個標簽的子集。

　　這一方法克服或者平衡了以上方法的缺點，也消除了加密和認證方案帶來的高成本性。這一方法在安全性和成本之間取得了較好的平衡。需要的時候，Blocker標簽可以防止其他閱讀器讀取和跟蹤其附近的標簽，而在需要的時候，則可以取消這種阻止，使標簽得以重新生效。

　　推薦安全策略

　　沒有任何一個單一的手段可以徹底保證RFID應用的安全。在很多時候，都需要采用綜合性的解決方案。對于采用某些標準的RFID應用，比如ISO 或者EPCglobal，標準體系對安全有其自己的考慮和解決。

　　不管如何，在實施和部署RFID應用系統(tǒng)之前，必須進行充分的業(yè)務安全評估和風險分析，考慮綜合的解決方案、考慮成本和收益之間的關系。

　　對于RFID標簽來說，芯片具有可重復編程功能的確是個問題。公司全球戰(zhàn)略專家帕特·金(Pat King)認為，這需要“適當?shù)墓芾怼??！肮静粦摶孟肟芍貜途幊虡撕瀮?nèi)的數(shù)據(jù)總是安全的。如果你對信息的有效性產(chǎn)生了懷疑，就應該把芯片上的信息與儲存在數(shù)據(jù)庫里的數(shù)據(jù)進行比較驗證。

　　最近，來自荷蘭阿姆斯特丹的Vrije大學的一組計算機研究員宣稱，他們已發(fā)現(xiàn)包括EPC標簽在內(nèi)的RFID標簽可以被用來攜帶病毒，并對電腦系統(tǒng)造成攻擊，他們相信使用可讀寫的RFID標簽會有很大的風險，一個有惡意代碼的標簽會造成更多的被感染標簽，這將引發(fā)一場混亂。

　　一位知名的破解密碼專家應用功率分析技術，破譯了最流行RFID標簽品牌的密碼。美國Weizmann學院計算機科學教授Adi Shamir也在RSA會議高層研討中匯報了他的工作。他和他的一位學生已經(jīng)能侵入某個RFID標簽并開發(fā)出相應的密碼殺手——一種可使標簽自毀的代碼。通過監(jiān)控標簽的能耗過程研究人員推導出了密碼。(推導過程是，接收到讀卡機傳來的不正確數(shù)據(jù)時，標簽的能耗會上升)。研究人員只用了3個小時就開發(fā)出了標簽的殺手代碼。他們表示，雖然使用的標簽已經(jīng)過時，但即使是去年下半年上市的最新產(chǎn)品也存在類似的問題，只需如手機一樣簡單的工具就可侵入RFID標簽。

　　此外，與Shamir合作開發(fā)RSA算法的MIT電氣工程和計算機科學教授Ron Rivest借年會平臺呼吁行業(yè)共同創(chuàng)建下一代散列算法，以取代當今的SHA-1。最近幾周，Shamir利用定向天線和數(shù)字示波器來監(jiān)控RFID標簽被讀取時的功率消耗。功率消耗模式可被加以分析以確定何時標簽接收了正確和不正確的密碼位。解密專家在會議中探討了基本SHA-1散列算法的弱點?！拔覜]有測試所有RFID標簽，但我們測試了最大品牌，它完全沒有保護措施?！盨hamir說道。而Rivest則表示: “我期望工業(yè)能創(chuàng)建一個類似為AES算法所做的流程，到2010前研究出新的散列功能?！?/P>

　　RSA擔心存儲在RFID標簽中的信息將會被任何持有RFID讀取器的黑客盜取，目前這種威脅還不大，但是一旦這項技術被普遍接受，讀取器的價格將會大幅下降，而且，讀取器還有可能被內(nèi)置在手機上，這些都大大增加了對于安全的威脅。

　　提供IT咨詢服務的咨詢委員會(The Advisory Council，以下簡稱TAC)認為，缺乏對點對點加密(使用現(xiàn)行的標準，諸如ISO14443/DESFire就可以實現(xiàn))和PKI(公鑰基礎結構)密鑰交換的支持，是導致標簽漏洞的原因之一。很多人還指出，“惡意”標簽(rogue tag)有可能破壞供應鏈數(shù)據(jù)。一旦遭到“拒絕服務”式攻擊，把標簽中的數(shù)據(jù)改為隨機數(shù)據(jù)，將降低供應鏈的速度。這類風險一點都不比現(xiàn)在存在的風險小。

　　同時在實際應用中，對于剛剛使用RFID的企業(yè)，RFID標簽很容易就被黑客、商店扒手或者不滿的職員所操控。還有一個問題是“極低的成本將會大大限制RFID標簽的功能”。在過去20年內(nèi)開發(fā)出來的好的安全工具，和目前的大部分RFID標簽硬件都不匹配。舉例而言，如果對一個標簽進行加密，就會大大消耗標簽的處理能力，并增加標簽的成本。為了控制成本，公司需要的是重量輕、價格低的標簽，這正好跟標簽的安全需求相違背。

　　也有人提出，數(shù)據(jù)在讀入到讀取器的過程中，可能在半途被竊取。

　　如此眾多的問題，研究者和應用商們也正在逐步尋求解決方案，比如:

　　在芯片設計與實現(xiàn)的工程中考慮攻擊措施，以保護重要的數(shù)據(jù)不被非法利用。許多專家已經(jīng)就目前針對芯片的各種破壞性、非破壞性攻擊手段(比如版圖重構，存儲器讀取技術，電流攻擊和故障攻擊等)，從軟、硬件角度分析現(xiàn)有的各種安全措施如何應對這些攻擊，或使攻擊變得難以實施，同時給出建議如何避免不良設計。

　　一些應用廠商已經(jīng)開始考慮采用安全設備來緩解有關RFID標簽安全的憂慮。比如給每個產(chǎn)品一個惟一的電子產(chǎn)品代碼，這有點類似于汽車的牌照號碼。一旦有人想破壞安全，他得到的只是單個產(chǎn)品的信息。這樣的話，就不值得花時間去解碼，“門檻太高，沒有人會這樣做的?！崩赘f。此外，新的EPCglobal超高頻第二代協(xié)議標準增強了無源標簽的安全性能。據(jù)EPCglobal產(chǎn)品管理總監(jiān)秀·赫欽森(Sue Hutchinson)介紹，新標準不僅提供了密碼保護，而且能對數(shù)據(jù)從標簽傳輸?shù)阶x取器的過程進行加密，而不是對標簽上的數(shù)據(jù)進行加密。

　　2005年，Johns Hopkins大學和RSA實驗室的專家宣布使用在高安全性車鑰匙和加油站付費系統(tǒng)中使用RFID技術的密碼弱點。

　　針對RFID業(yè)界的一個主要擔憂RFID標簽有可能被仿冒，它的編碼系統(tǒng)有可能被復制。XINK公司的新墨水可以消除這種隱患，這是一種理論上不可見的印刷墨水。把這種墨水與Creo公司的隱形標簽技術結合，標簽被仿冒的擔憂就可以消除。

　　大部分的RFID產(chǎn)業(yè)擁有者都意識到標簽資料保密性的重要，一些廠商對 RFID 的私隱問題作出了很大的努力，并且提供了幾個可行的解決方案，例如:

　　使用探測器探測其他 RFID 閱讀器的存在，以防上資料暴露;

　　為RFID 標簽編程，使其只可能與己授權的 RFID 閱讀器通信;

　　采用EPCglobal 所提倡的消除標簽資料 (kill tag) 協(xié)議，禁止資料殘留于被棄用的標簽上;

　　采用更強的加密及安全功能。