RFID應用中的信息安全問題可能出現在標簽、網絡和數據三個方面,因此本文從這三個方面分析了RFID的信息安全技術。
標簽上的“隱私”
雖然標簽的尺寸很小,但其潛在的安全問題不容忽視。對於剛剛使用RFID的企業來說,RFID標簽很容易被黑客、商店扒手或心懷不滿的員工操縱。大多數支持EPCglobal標準的無源標簽只能寫壹次,但支持ISO等其他標準的RFID標簽具有多次寫的功能。2005年春天,大量支持EPCgolbal超頻第二代協議的RFID標簽上市,這些標簽還支持多次寫入的功能。由於沒有寫保護功能,這些被動標簽可以被更改或寫入“數千次”,DN系統企業互聯網解決方案公司的顧問盧卡斯·格倫瓦德說。
為了處理RFID標簽的安全問題,已經標準化了許多建議和技術。
比如給每個產品壹個唯壹的電子產品代碼,類似於汽車的車牌號,壹旦有人想破壞安全,他得到的只是單個產品的信息,所以不值得花時間去解碼。然而,優利系統公司(Unisys Corp)全球有形貿易計劃副總裁彼得·雷根(Peter Regen)認為,這種方法的門檻太高,沒有人會去做。
新的EPCgolbal超頻第二代協議標準增強了無源標簽的安全性能。據EPCglobal產品管理總監蘇·哈欽森(Sue Hutchinson)介紹,新標準不僅提供了密碼保護,還對從標簽傳輸到閱讀器的數據進行了加密,而不是對標簽上的數據進行加密。
隱私安全問題主要體現在RFID標簽上。壹種想法是“軟阻斷器”。可以增加對顧客隱私偏好的保護,但這是在商品已經購買之後。在銷售點,顧客會出示會員卡,通過會員卡可以看到自己隱私偏好的數據。“商品購買後,銷售點會立即更新私有數據,確保這些數據不會被某些閱讀器讀取,比如供應鏈閱讀器。”RSA實驗室RFID解決方案架構師Dan Bailey說。軟盾可能是解決RFID標簽隱私問題的好辦法,EPCglobal的二代標簽中已經加入了這個功能。
學習其他網絡技術
在零售店中或者在將貨物從壹個地方運輸到另壹個地方的過程中,有許多機會重寫甚至修改RFID標簽上的數據。這個漏洞也存在於公司用來處理集裝箱、貨盤或其他帶有RFID標簽的貨物的網絡上。這些網絡分布在公司的配送中心、倉庫或門店的後臺。不安全的無線網絡帶來了截取數據的機會。RFID閱讀器後端是非常標準化的互聯網基礎設施,所以RFID後端網絡的安全問題和機會與互聯網是壹樣的。
在讀者的後端網絡中,我們可以借鑒現有互聯網的各種安全技術。
解決方案是確保網絡上的所有閱讀器在將信息發送到中間件(然後中間件將信息發送到企業系統)之前必須通過身份驗證,並且閱讀器和後端系統之間的數據流是加密的。在部署RFID閱讀器時,要采取壹些切實可行的措施,保證經過驗證後可以接入企業網絡,重要信息不會因為傳輸而被他人竊取。例如,基於Symbol Technologies和ThingMagic等公司技術的閱讀器支持標準網絡技術,包括防止未經授權訪問的內置認證方法。
為了防止有人竊聽RFID閱讀器發出的大功率信號,壹種方法是采用壹種叫做“無聲爬樹”的反竊聽技術。RSA實驗室首席科學家兼主任伯特·卡利斯基(Burt Kaliski)表示,在RFID無線接口的限制範圍內,這種方法可以確保閱讀器永遠不會重復發送標簽上的信息。RFID標簽上的數字不是由閱讀器廣播的,而是間接引用的。接收中間件知道如何解釋這些數字,但竊聽者不知道。
“透明”引發的數據危機
RFID技術的應用雖然提高了整個供應鏈的透明度,但也引起了人們對數據安全的擔憂。企業需要對數據有很強的安全感。對於企業來說,他們的數據,包括與其業務相關的信息,不僅是他們自己的數據,也是他們貿易夥伴的數據,威瑞信解決方案營銷經理貝絲·洛維特說。
BSI(德國聯邦信息安全辦公室)也對RFID系統的數據保護提出了要求。根據該辦公室的評估,應盡快落實系統設計中的數據安全和匿名個人信息要求。為了充分利用RFID帶來的機遇,最大限度地減少對隱私安全的威脅,應在RFID系統設計和上市的初始階段頒布數據保護法。
到目前為止,還不清楚使用哪種標準來確保EPCglobal網絡上的數據安全。最新版本的EPCglobal證書概要V1.0於2006年3月正式發布在EPC Global網站上。安全規範涵蓋了EPCglobal網絡所有組件之間的數據安全,從企業之間通過EPCIS接口的數據交換,到RFID閱讀器和中間件之間的通信,以及閱讀器管理系統。
當在EPCglobal網絡上交換數據時,可以使用壹些現有的安全措施,如防火墻和其他訪問管理技術來保護數據安全,並確保只有授權的人才能訪問數據。壹些公司有良好的數據安全實踐,他們可以將他們的經驗應用到RFID項目中。
還有壹些關於RFID數據安全的技術正在開發中。
例如,SAP正在與其合作夥伴* * *開發壹種新的數據庫查詢技術,該技術允許商品制造商和零售商交換RFID數據。沒有必要在數據所有者無法控制的服務器上創建數據的副本。壹些數據存儲在中央虛擬數據庫中,而其他重要數據則單獨查詢。SAP全球業務發展副總裁Amar Singh表示,“通過我們的技術,零售商不再需要在虛擬環境的某個地方發布查詢信息。他們可以直接從制造商那裏獲得查詢數據。”數據出現的地方越多,風險越大。
預計現有的安全方法,如防火墻和其他訪問管理技術,將用於通過EPCglobal網絡進行數據交換,並僅提供給授權方,以確保數據安全。
惠普實驗室的Pradhan認為:“我們討論的關於公司之間共享信息的問題,比如如何確保信息不會落入他人之手,可以借助典型的IT系統來解決。因為就這些系統而言,我們非常了解安全性。”進壹步的開發正在進行中。
鏈接:RFID信息安全產品
RFID信息安全產品大多基於三個層次:標簽、網絡和數據。
標簽
RFID標簽安全產品主要有物理和硬件兩種。
在2004年初,RSA展示了它特別設計的RSA Blocker標簽。如果購物袋上安裝了這個屏蔽,RFID閱讀器無法讀取放在購物袋裏的商品的RFID標簽,系統會顯示“拒絕服務”。
IBM的研究人員模仿刮彩票的方法,開發了壹種在使用RFID標簽時保護消費者隱私的方法。IBM的建議是在標簽上附加壹個可以被部分破壞的RFID天線,這樣消費者在購物後可以把天線的壹部分拆下來,標簽整體上仍然可以發揮作用,但其可讀範圍卻大大縮小,從而達到保護消費者隱私和保護制造商、貿易商利益的“雙贏”目的。根據協議,IBM的行列式和熱敏打印條形碼打印機將繼續使用Printronix,IBM的產品組合也將納入Printronix無線射頻識別(RFID)加密技術。
2005年9月,XINK公司開發了壹種新墨水,可以消除RFID標簽被假冒、其編碼系統被復制的隱患。這是壹種理論上隱形的印刷油墨,已經用於貨幣防偽。通過將這種墨水與Creo的隱形標簽技術相結合,可以消除對假冒標簽的擔憂。
杜邦識別系統(DAS)公司已經生產了具有3D成像技術的RFID標簽,以增強產品的安全性。3D圖像可以直觀的證明信息的真實性,所以可以和RFID標簽結合使用。如果有人想把正品上的防偽標簽撕掉,貼在仿冒品上,那麽3D效果圖就全毀了。
網絡
ThingMagic副總裁凱文·阿什頓(Kevin Ashton)表示,安全外殼和安全套接字層這兩項基礎安全技術有望成為RFID設備的標準。該公司已經開始將這些技術集成到他們的RFID閱讀器中。該公司開發的RFID閱讀器技術具有內置的驗證功能,以確保“惡意閱讀器”無法竊取數據。同時,在將數據傳輸到中間設備然後傳輸到系統之前,必須確保網絡上的所有RFID讀取器都經過驗證。
閱讀器後端RFID網絡中信息安全問題的解決方案可以參考互聯網的信息安全解決方案和壹些經驗好的公司的現有產品。
數據
2005年,無線安全軟件開發商Columbitech宣布,無線VPN支持RFID閱讀器的信息安全。此次升級的內容包括加強安全架構建設,為應用單元的無線通信提供特殊的安全保護。
由AeroScout、Ekahau、Cisco等公司聯合開發的集成技術是壹種基於使用Wi-Fi網絡頻率的有源RFID系統,它允許最終用戶使用現有的無線數據網絡設施。在這種技術框架下,幾乎不可能竊聽,因為有源RFID標簽和Wi-Fi觸點之間的對話非常短。