揭密RFID的应用中的安全性问题
一个关于RFID的说法是,在从身份证卡到护照的应用中这项科技缺乏安全性并会危及消费者隐私。但事实上RFID标签与阅读器之间的通信,可以用各种现存的先进技术来确保其安全性。
一个关于RFID非常流行但是荒诞的说法是,在从身份证卡到护照的应用中这项科技缺乏安全性并会危及消费者隐私。这种争论中缺乏一种理解,即RFID标签与阅读器之间的通信事实上可以用各种现存的先进技术来确保其安全性;并且RFID的应用通常是基于多业务系统,在这样的系统中安全性是通过多个层次实现的。
从芯片开始,不同层次的安全性就包括在基于非接触式射频(RF)系统中。半导体技术保护存储在芯片上的数据安全。安全加密算法保护芯片和阅读器之间射频数据的传输。许多RFID应用TI发展了多年,如汽车防盗或者加速无线支付,包含了先进的标签级别的安全加密编码和算法,同时还有成熟的询问-应答系统在每次标签使用时对标签进行认证。TI也持续发展其射频科技安全性,以支持美国国家标准与技术研究院批准的加密算法,包括3Des和SHA-1。
现存的数据保护和反篡改技术比如防探针,可以抵抗单通道和其他入侵攻击(比如功率差异分析攻击),能保护射频芯片上的数据安全。加密技术,比如消息验证编码(MAC)、认证机制、数字签名和数据加密,被用于射频芯片中解决目前所有安全性问题,包括当前涉及的"中间人"或者数据完整性攻击、回复攻击、窃听、窥探、未授权访问数据和克隆。
任何非接触式射频技术的应用都只是整个系统的一部分,通常只是数据存储和发送点,理解这一点很重要。来自众多射频标签的数据和应用数据被存储与中央数据库中。2005年五月GAO给国会的报告,"信息安全性-联邦政府中的射频识别技术"提及RFID系统安全性并声称:"...许多与RFID相关的潜在隐私问题都不可避免的指向数据库安全。换句话说,从消费者那里搜集到个人信息,公司运用RFID搜集信息时必须采用合理恰当的方法保护这些数据。"公司和政府机构在电子护照和电子支付中应用RFID技术时,绝对不能忽略系统级别的安全性。(文章来源http://www.gao.gov/new.items/d0551.pdf)
现在数亿张射频标签在消费者相关应用中使用,包括汽车防盗和零售业支付。这些应用中安全性已经被提高,已经不成为引起消费者特别注意的话题。英特网电子商务交易方式,在其早期缺乏安全性和隐私性的问题,已经由于采用新技术和策略提高数据传送安全性,逐步被接受和使用。
医药市场是一个关于RFID新兴市场的很好实例。它发展了一个多层次实现安全性的方式,而不是仅仅关注于射频接口。IT安全性,物理安全性和标签安全性(显性或隐性墨水,全息图等等)被用来防止假药。通过链接http://www.ti.com/rfid/docs/customer/eped-form.shtml下载TI的白皮书,"Securing the Pharmaceutical Supply Chain with RFID and Public-Key Infrastructure (PKI) Technologies,"
回顾来看,涉及安全性的问题在RFID的应用中已经被很好的解决,使得这项技术的安全性远好于易于复制和仿造的条码、磁条和手写信息。有了适当的RFID标签和系统级安全性,市场对于RFID技术的接受程和采用程度将取决于用户教育程度,对该技术熟悉程度和公司隐私政策对于RFID数据的包容度。
作者:德州仪器RFID系统新兴市场经理,V.C. Kumar
·关注隐私与安全:从成功的RFID公众应用中得到的经验2005-11-19 10:48:22 |
·IBM启迪“隐私保护标签”新型设计理念2005-11-10 10:02:44 |
·AIM Global 发布关于隐私和安全的RFID公告声明2005-10-8 8:37:07 |
·美国政府部门确认RFID的隐私保护策略2005-7-21 10:14:46 |