RFID安全威脅和防護(hù)措施

--#-RFID的安全風(fēng)險主要來自于當(dāng)初“系統(tǒng)開放”的設(shè)計思想，這是 RFID系統(tǒng)出現(xiàn)安全隱患的根本原因。RFID設(shè)計和應(yīng)用的目的就是降低成本，提高效率，由于 RFID標(biāo)簽價格低廉和設(shè)備簡單，安全措施很少被應(yīng)用到RFID當(dāng)中，故此，RFID面臨的安全威脅更加嚴(yán)重，RFID安全問題通常會出現(xiàn)在數(shù)據(jù)獲取、數(shù)據(jù)傳輸、數(shù)據(jù)處理和數(shù)據(jù)存儲等各個環(huán)節(jié)以及標(biāo)簽、讀寫器、天線和計算機(jī)系統(tǒng)各個設(shè)備當(dāng)中。RFID自身脆弱性：RFID系統(tǒng)的實施既為了取代人工處理而實現(xiàn)自動化或者半自動化處理。因此，不可避免任何不適當(dāng)?shù)?RFID規(guī)劃或者系統(tǒng)的開放性都會導(dǎo)致 RFID的安全風(fēng)險。同時，RFID系統(tǒng)中的任何組件或者子系統(tǒng)故障都會導(dǎo)致系統(tǒng)失效。導(dǎo)致這些故障的原因有多方面原因：網(wǎng)絡(luò)或者線路連接故障、軟件病毒使中間件軟件功能失效，以及射頻干擾導(dǎo)致讀寫器無法正確獲取標(biāo)簽信息。同樣，由于部分 RFID部件部署于戶外，極易受到天災(zāi)人禍的影響。如果企業(yè)對RFID系統(tǒng)有嚴(yán)重依賴性，那么RFID系統(tǒng)故障會給企業(yè)帶來巨大的經(jīng)濟(jì)損失。RFID易受外部攻擊：由于RFID系統(tǒng)支持遠(yuǎn)程無線接入訪問系統(tǒng)資源，同時往往沒有部署足夠安全機(jī)制，故此很容易被第三方利用來進(jìn)行非授權(quán)訪問。第三方可能非授權(quán)訪問RFID產(chǎn)生信息并且用來危害實施 RFID系統(tǒng)單位的利益。在一些應(yīng)用中，不法單位或者個人可利用合法或者自構(gòu)讀寫器對RFID系統(tǒng)的標(biāo)簽實施非法接入，造成標(biāo)簽信息的泄露。在一些金融和證件等重要應(yīng)用中，不法單位或者個人可能篡改標(biāo)簽內(nèi)容或者復(fù)制合法標(biāo)簽， 以獲取單位或者個人利益，甚至進(jìn)行非法活動。隱私風(fēng)險：RFID技術(shù)導(dǎo)致多個隱私問題。一個是單位或者個人為自己利益非法收集 RFID信息，包括交易信息或者授權(quán)信息，然后利用該信息進(jìn)行非法活動。另外一個是由于多數(shù)RFID信息未經(jīng)過加密處理，故此 RFID信息很容易被用于個人或者貨物的非法跟蹤。這些問題往往由各個國家具體國情和法律決定。外部風(fēng)險：RFID作為一個完整的系統(tǒng)和其他系統(tǒng)和資產(chǎn)整合在一起，不可避免地有來自外部的安全風(fēng)險，主要來自于兩個方面：射頻干擾和計算機(jī)網(wǎng)絡(luò)攻擊。射頻干擾主要是電磁干擾，會導(dǎo)致系統(tǒng)工作異常；而計算機(jī)網(wǎng)絡(luò)攻擊主要指對網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的攻擊， 會導(dǎo)致網(wǎng)絡(luò)癱瘓。常見的有惡意軟件攻擊、拒絕服務(wù)攻擊和配置錯誤等。4、RFID安全措施作為物聯(lián)網(wǎng)的基礎(chǔ)，RFID技術(shù)雖然發(fā)展迅速，產(chǎn)品種類繁多，但是還有許多安全問題存在。物聯(lián)網(wǎng)要想健康發(fā)展， RFID安全還需要進(jìn)一步成熟。一般來說， RFID系統(tǒng)滿足如下安全需求：真實性需求，電子標(biāo)簽的身份認(rèn)證在 RFID系統(tǒng)中是非常重要的，電子標(biāo)簽只有確認(rèn)讀寫器合法后才輸出自身信息，而讀寫器只有通過身份認(rèn)證才能確信消息是從正確的電子標(biāo)簽發(fā)送過來的；完整性需求， RFID系統(tǒng)需要保證接收者得到的信息在傳輸過程中沒有被攻擊者篡改或替換；隱私性需求， RFID系統(tǒng)面臨著位置保密或?qū)崟r跟蹤的安全風(fēng)險，故此RFID必須具備保護(hù)標(biāo)簽中的信息不泄漏給第三方；機(jī)密性需求， RFID系統(tǒng)需要有加密機(jī)制保護(hù)讀寫器和標(biāo)簽之間的通信，第三方無法獲得通道中傳輸?shù)臄?shù)據(jù)。另外，作為完整的通信系統(tǒng)，RFID系統(tǒng)在考慮安全問題的同時，要滿足安全的互聯(lián)互通基本要求。RFID是一個系統(tǒng)工程，其安全不僅涉及技術(shù)，同時也涉及管理，所以要同時從技術(shù)和管理兩個方面來加強(qiáng)RFID系統(tǒng)安全。技術(shù)方面，RFID系統(tǒng)安全涉及以下幾個環(huán)節(jié)：一是電子標(biāo)簽數(shù)據(jù)安全，二是讀寫器和標(biāo)簽之間的安全通信，三是計算機(jī)系統(tǒng)中對標(biāo)簽信息的安全管理。為了保證電子標(biāo)簽數(shù)據(jù)安全，需要采用多種技術(shù)保證標(biāo)簽數(shù)據(jù)安全（常見的有：標(biāo)簽內(nèi)存接入控制、標(biāo)簽數(shù)據(jù)加密、標(biāo)簽自動失效技術(shù)和篡改保護(hù)機(jī)制） ；為了解決RFID系統(tǒng)對應(yīng)用開放性問題，需要對RFID組件訪問提供認(rèn)證和完整性保護(hù)（常見的有：基于密碼認(rèn)證、基于 HMA（認(rèn)證和數(shù)字簽名認(rèn)證）；為了解決讀寫器和標(biāo)簽之間通信易受到攻擊的問題，需要在必要的情況下支持讀寫器與標(biāo)簽之間的安全通信（常見的有：信道擾碼技術(shù)、數(shù)據(jù)加密技術(shù)、電磁屏蔽技術(shù)和頻道自動選擇等技術(shù)）；對于計算機(jī)系統(tǒng)中對標(biāo)簽信息的安全管理同普通計算機(jī)網(wǎng)絡(luò)安全，由于技術(shù)相對比較成熟，在此不深入論述。管理方面，所謂“三分技術(shù)，七分管理”，絕大多數(shù)安全起源于實施者忽略安全重要性和操作人員的操作失誤。故此，需要更新RFID實施方面的現(xiàn)存安全策略和加強(qiáng)安全操作維護(hù)，包括系統(tǒng)規(guī)劃、風(fēng)險評估、安全培訓(xùn)和應(yīng)急處理等多個方面。首先，明確 RFID使用的策略，確定如何授權(quán)和非授權(quán)使用 RFID；其次，相應(yīng)安全策略需要明確 RFID相關(guān)網(wǎng)絡(luò)、數(shù)據(jù)庫和應(yīng)用程序的安全使用；再次，布置 RFID標(biāo)簽時候要充分考慮有安全防護(hù)環(huán)境，安全正確部署讀寫器和標(biāo)簽，并且只有具有授權(quán)的人可以接觸和訪問 RFID系統(tǒng)；最后，除了必要信息以外，在標(biāo)簽中盡量不要出現(xiàn)敏感信息。同時，作為管理的關(guān)鍵，就是要有效培訓(xùn)操作員和管理員的安全操作意識和安全操作技能，盡量避免人為的安全隱患。除此以外，由于RFID存在產(chǎn)品種類繁多，應(yīng)用模式多樣等現(xiàn)象，也一定程度上導(dǎo)致了RFID安全隱患，為此，有必要統(tǒng)一和規(guī)范 RFID產(chǎn)品和應(yīng)用，特別是RFID安全方面標(biāo)準(zhǔn)。到目前為止，RFID還沒有一個成熟的安全標(biāo)準(zhǔn)，雖然很多廠家推出 RFID安全產(chǎn)品，但是互不兼容，對RFID安全造成嚴(yán)重阻礙。故此有必要基于已有成果，開發(fā)制定符合中國國情的RFID安全標(biāo)準(zhǔn)，并掌握屬于自己的專利，在未來將來國際競爭中掌握主動。5、結(jié)束語隨著信息通信技術(shù)日新月異發(fā)展， “無所不在”的通信理念正日益成為現(xiàn)實。 RFID技術(shù)作為物聯(lián)網(wǎng)的基礎(chǔ)有著異常廣闊的發(fā)展空間， 但是安全問題是RFID發(fā)展中不可回避的問題，特別是我國現(xiàn)