简谈RFID的安全性
--- 胡紫薇 20112925
RFID已逐步进入我们的日常生产和生活当中,同时也给我们带来了许多新的安全问题。RFID的安全风险主要来自于当初“系统开放”的设计思想,这是RFID系统出现安全隐患的根本原因,RFID设计和应用的目的就是降低成本,提高效率,由于RFID标签价格低廉和设备简单,安全措施很少被用到RFID当中,RFID面临的安全威胁更加严重。如何根据RFID有限的计算资源设计出安全有效的安全技术解决方案,在RFID应用过程中的重要性也越来越明显。 RFID技术最初源于雷达技术,借助于集成电路、微处理器、通讯网络等的技术进步逐渐成熟起来。RFID技术经美国军方在海湾战争中军用物资管理方面的成功应用,使其在交通管理、人员监控、动物管理、铁路和集装箱等方面得到推广。
随着全球几家大型零售商WalMart、Metro、Tesco等出于对提高供应链透明度的要求,相继宣布了各自的RFID计划,并得到供应商的支持,取得了很好的成效。从此,RFID技术打开了一个巨大的市场。随着成本的不断降低和标准的统一,RFID技术还将在无线传输网络、实时定位、安全防伪、个人健康、产品全生命周期管理等领域进行广泛的应用。
可以预见,随着数字化时代的发展,以网络信息化管理、移动计算、信息服务等为迫切需求和发展动力,RFID这项革命性的技术将对人类的生产和生活方式产生深远的影响。
一般来说,RFID在安全缺陷方面除了与计算机网络有相同之处外,还包括以下三种不同的安全缺陷类型:
1.标签本身的访问缺陷;
由于标签本身的成本所限,标签本身很难具备能够足以保证安全的能力,这就面临了很大的问题。非法用户可以利用合法的阅读器或者自构一个阅读器,直接与标签进行通信。这样,就可以很容易地获取标签内所存数据。而对于读写式标签,还面临数据被改写的风险。 2.通信链路上的安全问题;
RFID的数据通信链路是无线通信链路。有线连接不一样,无线传输的信号本身是开放的。这就给非法用户的侦听带来了方便:
(1)黑客非法截取通信数据;
(2)业务拒绝式攻击,即非法用户通过发射干扰信号来堵塞通信链路,使得阅读器过载,无法接受正常的标签数据;
(3)利用冒名顶替标签来向阅读器发送数据,使得阅读器处理的都是虚假的数据,而真实的数据则被隐藏。
3.阅读器内在的安全风险。
在阅读器中,除了中间件被用来完成数据的遴选,时间过滤和管理之外,只能提供用户业务接口,而不能提供能够让用户自行提升安全性能的接口。
由此可见,RFID所遇到的安全问题还有很多。
谈及RFID,最常见的就是RFID电子标签。随着RFID技术概念的深化,很多人把非接触智能卡也归入RFID的范畴。RFID电子标签按供电方式分为无源标签和有源标签二种;按工作方式分为被动,半主动,主动三种;按工作频率分为低频30kHz ~ 300kHz、高频3MHz ~ 30MHz、超高频433MHz,902~928MHz、微波2.45GHz,5.8GHz;根据芯片的类型还可分为存储型、逻辑加密型和CPU型。 而RFID电子标签的安全属性与标签分类直接相关。一般来说安全性等级中存储型最低,CPU型最高,逻辑加密型居中,目前广泛使用的RFID电子标签中也以逻辑加密型居多。存储型 RFID电子标签没有做特殊的安全设置,标签内有一个厂商固化的不重复不可更改的惟一序列号,内部存储区可存储一定容量的数据信息,不需要进行安全认证即可读出或改写。虽然所有的RFID电子标签在通信链路层都没有采用加密机制,并且芯片(除CPU型外)本身的安全设计也不是非常强大,但在应用方面因为采取了很多加密手段使其可以保证足够的安全性。
CPU型的RFID电子标签在安全方面做的最多,因此在安全方面有着很大的优势。但从严格意义上来说,此种电子标签不应归属为RFID电子标签范畴,而应属非接触智能卡类。可由于使用ISO 14443 Type A/B协议的CPU非接触智能卡与应用广泛的RFID高频电子标签通讯协议相同,所以通常也被归为RFID电子标签类。
逻辑加密型的RFID电子标签具备一定强度的安全设置,内部采用了逻辑加密电路及密钥算法。可设置启用或关闭安全设置,如果关闭安全设置则等同存储卡。如OTP(一次性编程)功能,只要启用了这种安全功能,就可以实现一次写入不可更改的效果,可以确保数据不被篡改。另外,还有一些逻辑加密型电子标签具备密码保护功能,这种方式是逻辑加
密型的RFID电子标签采取的主流安全模式,设置后可通过验证密钥实现对存储区内数据信息的读取或改写等。采用这种方式的RFID电子标签使用密钥一般不会很长,四字节或六位字节数字密码。有了安全设置功能,逻辑加密型的RFID电子标签还可以具备一些身份认证及小额消费的功能。如第二代公民身份证、 Mifare(菲利普技术)公交卡等。
CPU类型的广义RFID电子标签具备极高的安全性,芯片内部的COS本身采用了安全的体系设计,并且在应用方面设计有密钥文件,认证机制等,比前几种RFID电子标签的安全模式有了极大的提高;也保持着目前唯一没有被人破解的记录。这种 RFID电子标签将会更多地被应用于带有金融交易功能的系统中。
然而如何应对RFID的安全问题仍然是许多专家争论的焦点。虽然在ISO和EPC GEN2中都规定了严格的数据加密格式和用户定义比特,RFID技术也具有比较强大的安全信息处理能力,但仍然有一些 专家认为RFID的安全性非常糟糕。然而,另外一些专家却不以为然。
飞利浦销售与市场智能卡产品大中华区区域经理陆绍祖表示,安全性与成本是一对不可调和的矛盾。“我们希望把RFID的价格做的越来越低,这样就会稍微把安全性降低一点,因
为要把芯片做的更小一些,再多加一些功能。当然,如果说要芯片有很高的安全性,1美元、2美元你愿意买单的话,那倒也无所谓。关键是安全重要,还是价格更重要。在银行卡,电子护照这类RFID应用中就有很高的加密等级,而有的时候,需要价格低,就要牺牲安全性,不然做不出来。”
在各研究机构和行业人士的共同努力下,有些问题正在逐步得到解决。RFID安全性的提高对我们生活的安全性也有着较大的意义,当然,安全性固然重要,但也不是绝对的。总之,希望中国物联网行业能发展的越来越好,为我们的生活质量带来更大发展。
