射频识别技术(RFID)的安全挑战.docVIP

射频识别技术（RFID）的安全挑战 作者：计世网 2004-12-24 10:50:42 我要评论(0) 射频识别技术（RFID）目前的热度如日冲天。虽然目前还没有人抱怨过与部署RFID相关的安全问题，但企业和厂商都承认：虽然眼下人们关注的焦点都集中在RFID将带来怎样的经济效益和投资回报上，但安全问题是RFID下一步能否被广泛采用将要遇到的主要问题。 惠普实验室负责RFID技术的首席技术官Salil Pradhan做了一个形象的比喻：“使用条形码好比行驶在城市街道上，就算撞上了人，危害也很有限。但使用RFID好比行驶在高速公路上，你离不开这个系统，万一系统被攻击，后果不堪设想。” 这说明了为什么要解决好RFID的安全问题。“我们面临的问题是，促进RFID应用的人，比如零售商和消费品生产商，其实不知道需要何种级别的安全。”德州仪器公司负责RFID供应链产品的主管Tony Sabetti说：“确切地说，他们不知道愿意掏钱换来何种级别的安全。” Sabetti说，在银行卡授权和大楼访问系统等场合已经运用了许多安全措施，包括采用数据验证的ISO 15693标准，它们有望在RFID安全中发挥作用。但这些安全措施并没有全部被EPCglobal网络公司考虑采用，这是一家为共享供应链产品的RFID信息提供基础设施的公司。EPCglobal维护着电子产品代码（EPC）数据库，可以识别生产商、产品版本及序列号，提供用于数据交换的中间件规范，提供对象名称管理服务等。 安全漏洞会出现在RFID标签、网络或者数据等各个环节。“因为，采用现有标准目前存在着问题。”RSA实验室的首席科学家兼主任Burt Kaliski说，RSA实验室是安全厂商RSA公司的研究中心。“过去20年间开发的所有优秀的安全工具都没有嵌入到这些RFID标签的硬件中。因为存在一些技术难题，比如，对标签加密会耗用过多的处理器能力，还会给轻便、廉价并可控制成本的标签增加额外的成本。” 好消息是，业界现在对安全问题给予了很高关注，这些问题正在得到解决。定于今年晚些时候批准的EPCglobal UHF第二代协议有望与ISO 18000-6C RFID无线接口规范兼容。EPCglobal邀请安全厂商VeriSign担任其基础设施提供商来解决有关安全和数据共享的问题，这是明智之举。Sabetti说：“我乐观地认为他们能够获得成功。这不是技术问题，只是实施问题。” 尽管存在这些安全问题，但人们预期RFID的安全性最终将获得提高。供应链软件厂商i2科技公司的产品管理主管Arvind Parthasarathi说，“在隐蔽环境中人们面临的安全威胁更大，而RFID可增加环境的亮度。”RFID能够找到库存物品的精确位置，这减小了监守自盗的可能，因为员工知道有人在跟踪库存，比如，如果能知道电视机在指定时间内运达了某仓库，就能有效防止失窃。 隐患之一：标签 小小标签其实存在极大隐患！ 首先，RFID标签容易被黑客、扒手或者满腹牢骚的员工所操控。DN-Systems Enterprise Internet Solutions GmbH的顾问Lukas Grunwald在2004年黑客安全大会上演示了这点。 Grunwald使用自己开发的小程序RFDump演示了如何读取、篡改甚至删除标签上的信息。利用RFDump，只需把一个廉价的插入式标签阅读器连接到运行Windows或者Linux的手持设备、笔记本电脑或者台式电脑上，谁都可能破坏RFID标签上的信息、更改贴有RFID标签的商品的价格、调换数据等等。这样，零售商为了准确统计货物，只好进行费时的人工清点。 支持EPCglobal标准的“无源标签”大多数只允许写入一次，但支持其他标准如ISO的RFID标签却能够多次写入。到明年春天，市面上会出现大量支持多次写入功能符合EPCglobal UHF第二代协议的RFID标签。 轮胎生产商米其林北美有限公司现在把RFID标签嵌入到轮胎胎壁中，帮助汽车厂商和汽车零部件供应商识别轮胎。该公司称，芯片的可重编程性是个问题，这需要妥善管理，米其林北美有限公司的全球电子产品策划师Pat King说：“公司不该想当然地认为标签上可重编程芯片里面的数据是安全的。如果你怀疑这些数据的有效性，可以用保存在数据库中的数据进行验证，对芯片数据进行复查。” IT咨询服务公司The Advisory Council声称，标签存在安全漏洞，是由于缺乏支持点对点加密和PKI密钥交换的功能（用ISO 14443/DESFire等现有标准可以实现点对点加密）。“执法部门中盛传这种说法，即抢劫货车的不法分子可以用RFID阅读器确定哪些货物值得他们下手。” 虽然供应链数据会遭到“非法”RFID标签的破坏，或者DoS攻击把标签数