射频识别技术(RFID)的安全挑战
惠普实验室负责RFID技术的首席技术官Salil Pradhan做了一个形象的比喻:"使用条形码好比行驶在城市街道上,就算撞上了人,危害也很有限。但使用RFID好比行驶在高速公路上,你离不开这个系统,万一系统被攻击,后果不堪设想。"
这说明了为什么要解决好RFID的安全问题。"我们面临的问题是,促进RFID应用的人,比如零售商和消费品生产商,其实不知道需要何种级别的安全。"德州仪器公司负责RFID供应链产品的主管Tony Sabetti说:"确切地说,他们不知道愿意掏钱换来何种级别的安全。"
Sabetti说,在银行卡授权和大楼访问系统等场合已经运用了许多安全措施,包括采用数据验证的ISO 15693标准,它们有望在RFID安全中发挥作用。但这些安全措施并没有全部被EPCglobal网络公司考虑采用,这是一家为共享供应链产品的RFID信息提供基础设施的公司。EPCglobal维护着电子产品代码(EPC)数据库,可以识别生产商、产品版本及序列号,提供用于数据交换的中间件规范,提供对象名称管理服务等。
安全漏洞会出现在RFID标签、网络或者数据等各个环节。"因为,采用现有标准目前存在着问题。"RSA实验室的首席科学家兼主任Burt Kaliski说,RSA实验室是安全厂商RSA公司的研究中心。"过去20年间开发的所有优秀的安全工具都没有嵌入到这些RFID标签的硬件中。因为存在一些技术难题,比如,对标签加密会耗用过多的处理器能力,还会给轻便、廉价并可控制成本的标签增加额外的成本。"
好消息是,业界现在对安全问题给予了很高关注,这些问题正在得到解决。定于今年晚些时候批准的EPCglobal UHF第二代协议有望与ISO 18000-6C RFID无线接口规范兼容。EPCglobal邀请安全厂商VeriSign担任其基础设施提供商来解决有关安全和数据共享的问题,这是明智之举。Sabetti说:"我乐观地认为他们能够获得成功。这不是技术问题,只是实施问题。"
尽管存在这些安全问题,但人们预期RFID的安全性最终将获得提高。供应链软件厂商i2科技公司的产品管理主管Arvind Parthasarathi说,"在隐蔽环境中人们面临的安全威胁更大,而RFID可增加环境的亮度。"RFID能够找到库存物品的精确位置,这减小了监守自盗的可能,因为员工知道有人在跟踪库存,比如,如果能知道电视机在指定时间内运达了某仓库,就能有效防止失窃。
隐患之一:标签 小小标签其实存在极大隐患!
首先,RFID标签容易被黑客、扒手或者满腹牢骚的员工所操控。DN-Systems Enterprise Internet Solutions GmbH的顾问Lukas Grunwald在2004年黑客安全大会上演示了这点。
Grunwald使用自己开发的小程序RFDump演示了如何读取、篡改甚至删除标签上的信息。利用RFDump,只需把一个廉价的插入式标签阅读器连接到运行Windows或者Linux的手持设备、笔记本电脑或者台式电脑上,谁都可能破坏RFID标签上的信息、更改贴有RFID标签的商品的价格、调换数据等等。这样,零售商为了准确统计货物,只好进行费时的人工清点。
支持EPCglobal标准的"无源标签"大多数只允许写入一次,但支持其他标准如ISO的RFID标签却能够多次写入。到明年春天,市面上会出现大量支持多次写入功能符合EPCglobal UHF第二代协议的RFID标签。
轮胎生产商米其林北美有限公司现在把RFID标签嵌入到轮胎胎壁中,帮助汽车厂商和汽车零部件供应商识别轮胎。该公司称,芯片的可重编程性是个问题,这需要妥善管理,米其林北美有限公司的全球电子产品策划师Pat King说:"公司不该想当然地认为标签上可重编程芯片里面的数据是安全的。如果你怀疑这些数据的有效性,可以用保存在数据库中的数据进行验证,对芯片数据进行复查。"
IT咨询服务公司The Advisory Council声称,标签存在安全漏洞,是由于缺乏支持点对点加密和PKI密钥交换的功能(用ISO 14443/DESFire等现有标准可以实现点对点加密)。"执法部门中盛传这种说法,即抢劫货车的不法分子可以用RFID阅读器确定哪些货物值得他们下手。"
虽然供应链数据会遭到"非法"RFID标签的破坏,或者DoS攻击把标签数据改成随机数据从而导致供应链减速,但许多人认为,这些风险不会比目前已有的风险大。"RFID的安全性实际上很高。"IT服务公司Wipro科技公司的零售解决方案首席顾问Mani Subramanyam说。比如,有些顾客会调换商品的条形码,轻易骗过读取设备。条形码与RFID标签不同,前者可用大多数计算机和打印机轻易伪造出来。
"如果用RFID标签,作弊难度大多了,需要专门的技术和工具才能把标签取下来。"Unisys公司负责全球可视商业解决方案的副总裁Peter Regen同意上述观点。
目前,许多企业正考虑采用一些安全设备缓解RFID标签中的安全问题。比如,可以生成针对特定产品的惟一的电子产品代码(EPC),这样就算有人突破封锁,获得的也只是某个产品的代码,而不值得花时间去破译代码。Regen说:"黑客不会那么干,因为门槛太高了。"
另外,新的EPCglobal UHF第二代协议标准将为无源标签改进安全特性,该标准提供口令保护及对从标签传送到阅读器的数据进行加密,而不是对标签本身进行加密。
虽然许多公司刚刚开始考虑RFID的安全问题,但隐私权倡导者和立法者已经关注标签的隐私问题有一段日子了。在德国麦德龙集团设在莱茵贝格的"未来商店"中,贴在货物上的RFID标签一旦离开商店就失去功效,商店在出口处为顾客安装了一台"消码器",可以将芯片上的产品数字代码全部清为零。
今年早些时候,RSA安全公司展示了RSA "阻塞器标签(Blocker Tag)",这种内置在购物袋中的专门设计的RFID标签能发动DoS攻击,防止RFID阅读器读取袋中所购货物上的标签。但缺点是,Blocker Tag给扒手提供了干扰商店安全的办法。所以,该公司改变了方法。一个方法是使用"软阻塞器",它强化了消费者隐私保护,但只在物品确实被购买后执行。消费者在销售点刷一下与个人隐私数据相关的"忠诚卡",购物后,销售点会更新隐私信息,并提示某些阅读器如供应链阅读器不要读取该信息。
"软阻塞器"会是一个不错的选择,EPCglobal第二代标准会具有这项功能。
隐患之二:网络
上述例子表明,在零售店或货物运送过程中,不法份子有许多机会可以发现、篡改RFID标签上的数据。同样,在公司的配送中心、仓库和商店中的网络的安全性同样很脆弱。不安全的无线网络为窃听数据提供了机会。
"围绕阅读器的一切系统都是非常标准的因特网基础设施。"RFID阅读器生产商ThingMagic的营销副总裁Kevin Ashton说,"所以你会遇到跟在因特网上同样的安全问题。"这包括竞争对手或者入侵者把非法阅读器安装在网络上,然后把扫描来的数据发给别人。另一个问题是,有人劫持阅读器来读取数据。"
解决办法是,确保网络上的所有阅读器在传送信息给中间件(中间件再把信息传送给企业系统)之前都必须通过验证;并且确保阅读器和后端系统之间的数据流是加密的。部署RFID阅读器时应采取一些非常切合实际的措施,确保验证后方可连入企业网络;并且不会因为传输而被其他人窃取重要信息。比如,基于Symbol Technologies和ThingMagic等公司的技术的阅读器支持标准的网络技术,包括防止未授权者访问的内置验证方法。
为了防止有人窃听RFID阅读器发出的功率较高的信号,一个办法是采用名为"无声爬树"的反窃听技术,RSA实验室的首席科学家兼主任Burt Kaliski表示,在RFID无线接口的限制范围内,这种方法可确保阅读器绝不重复发送标签上的信息。RFID标签上的数字不是由阅读器播送,而是被间接引用,接收端中间件知道如何解释这些数字,而窃听者却不知道。
隐患之三:数据
RFID的主要好处之一就是增加了供应链的透明度,但这给数据安全带来了新的隐患。企业要确保所有数据非常安全,不仅指自己的数据安全,还指交易伙伴的相关数据的安全。
目前还没有决定使用哪些标准来保护EPCglobal Network上的数据。比如,"验证"仍是EPCglobal在考虑的标准开发中的一部分。
随着更多公司加大供应链计划力度,开始彼此共享数据,拥有这些标准就很重要,弗雷斯特调研公司的分析师Christine Overby说:"设想一下,沃尔玛使用ECP Network把有关尿布的供应链信息发回给宝洁公司和金佰利公司。宝洁和金佰利是这类产品的竞争对手。所以宝洁要确保金佰利看不到它与沃尔玛的供应链关系,反之亦然。所以如果这些信息通过公共网络一股脑儿传送出去,会很成问题。"
预计现有的安全方法,如防火墙及其他访问管理技术,会被用于数据通过EPCglobal网络交换时只提供给授权方,确保数据安全。VeriSign正帮助解决这些问题,而 EPCglobal网络安全标准有望在明年上半年敲定。
同时,已经落实了数据安全最佳策略的公司会把这些策略运用到RFID项目上来。惠普实验室的Pradhan认为:"我们所讨论的有关公司之间共享信息的问题,如怎样确保信息不会落入旁人之手,可借助典型的IT系统得到解决。因为就这些系统而言,我们对安全相当了解。"
而进一步的开发正在进行中。比如,SAP正与合作伙伴共同开发新的数据库查询技术,可以让商品生产商和零售商交换RFID数据,不必在无法由数据所有者控制的服务器上建立数据副本,一些数据存放在中央虚拟资料库中,而其他重要数据分开查询。
专家建议,如果公司确实想让RFID投资获得回报,那么在降低风险方面就要积极主动——不管需要多少成本。