物联传媒 旗下网站
登录 注册
RFID世界网 >  技术文章  >  零售  >  正文

RFID系统安全隐患及对策研究

作者:郑富娥,张永超
来源:RFID世界网
日期:2011-07-20 10:28:18
摘要:在RFID系统里,RFID标签通过读写器把标签数据读取出来,传送给RFID应用软件进行相应的数据处理,然后再通过互联网在各个应用环节“交流”信息,从而实现商品信息的流通。这些安全问题将会严重阻碍RFID系统的应用推广。
  引言

  RFID是近年来的一项热门技术,现在它广泛应用于物流、交通、商业、管理等各个领域。RFID系统由标签、阅读器(Reader)、应用软件和现有的互联网的基础上组成。

  在RFID系统里,RFID标签通过读写器把标签数据读取出来,传送给RFID应用软件进行相应的数据处理,然后再通过互联网在各个应用环节“交流”信息,从而实现商品信息的流通。 如图1所示。


图1 RFID系统结构图

  RFID的应用越来越广泛,它像计算机网络一样也存在着安全隐患,如果不能很好地解决RFID系统的安全问题,随着应用扩展,未来遍布全球各地的RFID系统安全可能会像现在的网络安全难题一样考验人们的智慧。随着RFID芯片的功能越来越复杂,它们受到攻击的危险也越高。这些安全问题将会严重阻碍RFID系统的应用推广。

  因此,在RFID技术大规模应用之前有必要提前解决预计出现的安全及隐私问题或者把这种危害降低到相对低点。

  1 存在的安全隐患

  RFID系统和其他信息系统一样存在许多安全隐患,这些隐患无疑威胁着RFID系统的正常运行,并且不同于其他信息系统的安全问题。根据上边的RFID系统结构图,我们把系统存在的安全问题分为三类:标签集安全、软件级安全和网络级安全,下面分别分析这三种安全隐患。

  1.1 标签级安全

  目前RFID处于初级起步阶段,标签级安全主要集中在以下三个方面:

  (1)对电子标签信息的盗读和篡改:RFID标签和条码不同,体积小,容量小,通过天线就可以与外界交互信息,因此射频识别系统很容易受到攻击。RFID标签拥有惟一的ID,一旦攻击者获得ID,也就获得了目标对象的数据信息。未被保护的标签易遭受来自未授权方的监听,未授权的读写器在没有访问控制协议下可随时访问其附近的标签从而获得机密数据。在篡改电子标签内数据方面,存在非法者改写或是重置标签内容的威胁。破坏者也可以通过破坏一组标签的有效工作性能,从而可能使整个供应链陷入瘫痪状态,因此存在标签数据被篡改的危险。

  (2)读写器受到干扰或其他攻击:由于RFID的开放式环境,非法用户通过发射干扰信号来影响读写器读取信号,或用其他方式释放攻击信号直接攻击读写器,使读写器无法接收正常的标签数据。

  (3)对环境的适应性:由于零售业和物流业的RFID应用环境比较复杂,因此需要RFID具有较强的适应性,包括能够在存在非恶意的信号干扰、金属干扰、潮湿以及一定程度的遮挡等。

  1.2 软件级安全

  数据进入后端系统之后,则属于传统应用软件安全的范畴。在这一领域具有比较强的安全基础,有很多手段来保证这一范畴的安全。

  1.3 网络级安全

  RFID系统中标签数据进入系统软件,然后再经由现有的Internet网络传输。在的Internet网络也存在很多安全隐患,这是Internet安全的问题。

  2 主要技术对策及分析

  RFID系统存在三个不同层面上的安全隐患:标签、软件、网络。尽管与计算机和网络的安全问题类似,但实际上RFID的安全问题要严峻得多。RFID技术本身就包含了比计算机和网络中更多更容易泄密的不安全节点。对于网络和软件安全方面我们已经耳熏目染,这里只讨论RFID系统特有的安全问题即标签级安全的对策。

  RFID芯片本身就存在一些需要我们解决的安全难题。由于RFID芯片很小,内存和存储容量也同样小,这就限制了它能够容纳的数字和加密密钥的长度,从而使它很难实施进行强大加密所需要的公共密钥交换等事情。

  标签级安全对策主要有以下几种:
  (1) 只读标签:这种方式消除了数据被篡改和删除的风险,但仍然具有被非法阅读的风险。

  (2 ) 限制标签和读写器之间的通信距离:采用不同的工作频率、天线设计、标签技术和读写器技术可以限制两者之间的通信距离,降低非法接近和阅读标签的风险,但是这仍然不能解决数据传输的风险还以损害可部署性为代价。

  (3) 实现专有的通信协议:在高度安全敏感和互操作性不高的情况下,实现专有通信协议是有效的。它涉及到实现一套非公有的通信协议和加解密方案。基于完善的通信协议和编码方案,可实现较高等级的安全。但是,这样便丧失了与采用工业标准的系统之间的RFID数据共享能力。

  (4) 屏蔽:可以使用法拉第网来屏蔽标签,使其丧失了RF特征。在不需要阅读和通信的时候,这也是一个主要的保护手段,特别是包含有金融价值和敏感数据的标签的场合,可以在需要通信的时候解除屏蔽。

  (5) 使用销毁指令(KillCommand):如果标签支持Kill指令,当标签接收到读写器发送的Kill命令便会将自己销毁,无法被再次激活,以后它将对读写器的任何指令都无法反应。特别是在零售场合,消费者可以在购买产品后执行Kill命令使标签失效,从而消除了消费者在隐私方面的顾虑。但是使用这种方式影响到商品的反向跟踪,比如退货、维修和售后服务等。因为标签卷标已经无效,相应的信息系统将不能再识别该标签的数据。

  (6) 使用休眠指令(Sleep):当支持休眠命令的标签接收到读写器传来的休眠(Sleep)指令,标签即进入休眠状态,不会响应任何读写器的操作;当标签收到读写器的唤醒(WakeUp)命令才会恢复正常。

  (7) 物理损坏:物理损坏是指使用物理手段彻底销毁标签,并且不必像杀死命令一样担心标签是否失效,但是对一些嵌入的、难以接触的标签则难以做到。

  (8) 认证和加密:可使用各种认证和加密手段来确保标签和读写器之间的数据安全。读写器操作标签时必须同时发送密码,标签验证密码成功才响应读写器,之前,标签的数据一直处于锁定状态。更严格的还可能同时包括认证和加密方案。

  (9) 选择性锁定:这种方法使用一个特殊的称为锁定者(Blocker)的RFID标签来模拟无穷的标签的一个子集。这一方法可以把阻止非授权的读写器读取某个标签的子集。

  选择性锁定克服或者平衡了以上各种方法的缺点,也消除了加密和认证方案带来的高成本性,这一方法在安全性和成本之间取得了较好的平衡。需要的时候,Blocker标签可以防止其他读写器读取和跟踪其附近的标签,而在不需要的时候,则可以取消这种阻止,使标签得以重新生效。

  以上这些方法各有自己的特色和不足,没有任何一个单一的手段可以彻底保证RFID应用的安全,所以必须针对不同应用灵活选择和组合采用综合性的解决方案,考虑成本和收益之间的关系。

  3 结束语

  
RFID安全问题是个系统问题, 关注的焦点不应该只局限在RFID产品本身上,RFID系统的安全, 不仅仅是RFID标签本身的安全技术,关键是应用系统上的安全方案和管理制度。RFID系统安全会在应用过程中逐步改善,而随着安全问题的逐步完善它的应用会越来越广泛。