RFID安全综合

可以在需要通信的时候接触屏蔽。 使用杀死命令(Kill Command)

Kill命令是用来在需要的时候是标签失效的命令。接收到这个命令之后，标签便终止其功能，无法再发射和接收数据。屏蔽和杀死都可以使标签失效，但后者是永久的。特别是在零售场合，基于保护消费者隐私的目的，必须在离开卖场的时候杀死标签。这种方式的最大缺点是影响到反向跟踪，比如退货、维修和服务。因为标签已经无效，相应的信息系统将不能再识别该数据。 物理损坏

物理损坏是指使用物理手段彻底销毁标签，并且不必像杀死命令一样担心是否标签的确失效，但是对一些嵌入的、难以接触的标签则难以做到。 认证和加密

可使用各种认证和加密手段来确保标签和阅读器之间的数据安全。比如，直至阅读器发送一个密码来解锁数据之前，标签的数据一直处于锁定状态。更严格的还可能同时包括认证和加密方案。但是标签的成本直接影响到其计算能力以及采用的算法的强度。因此，一般来说，在高端RFID系统(智能卡)和高价值的被标签物品场合，可以采用这种方式。 选择性锁定

这种方法使用一个特殊的称为锁定者(Blocker)的RFID标签来模拟无穷的标签的一个子集。这一方法可以把阻止非授权的阅读器读取某个标签的子集。

这一方法克服或者平衡了以上方法的缺点，也消除了加密和认证方案带来的高成本性。这一方法在安全性和成本之间取得了较好的平衡。需要的时候，Blocker标签可以防止其他阅读器读取和跟踪其附近的标签，而在需要的时候，则可以取消这种阻止，使标签得以重新生效。

推荐安全策略

没有任何一个单一的手段可以彻底保证RFID应用的安全。在很多时候，都需要采用综合性的解决方案。对于采用某些标准的RFID应用，比如ISO 或者EPCglobal，标准体系对安全有其自己的考虑和解决。

不管如何，在实施和部署RFID应用系统之前，必须进行充分的业务安全评估和风险分析，考虑综合的解决方案、考虑成本和收益之间的关系。

对于RFID标签来说，芯片具有可重复编程功能的确是个问题。公司全球战略专家帕特·金(Pat King)认为，这需要“适当的管理”。“公司不应该幻想可重复编程标签内的数据总是安全的。如果你对信息的有效性产生了怀疑，就应该把芯片上的信息与储存在数据库里的数据进行比较验证。

最近，来自荷兰阿姆斯特丹的Vrije大学的一组计算机研究员宣称，他们已发现包括EPC标签在内的RFID标签可以被用来携带病毒，并对电脑系统造成攻击，他们相信使用可读写的RFID标签会有很大的风险，一个有恶意代码的标签会造成更多的被感染标签，这将引发一场混乱。

一位知名的破解密码专家应用功率分析技术，破译了最流行RFID标签品牌的密码。美国Weizmann学院计算机科学教授Adi Shamir也在RSA会议高层研讨中汇报了他的工作。他和他的一位学生已经能侵入某个RFID标签并开发出相应的密码杀手——一种可使标签自毁的代码。通过监控标签的能耗过程研究人员推导出了密码。(推导过程是，接收到读卡机传来的不正确数据时，标签的能耗会上升)。研究人员只用了3个小时就开发出了标签的杀手代码。他们表示，虽然使用的标签已经过时，但即使是去年下半年上市的最新产品也存在类似的问题，只需如手机一样简单的工具就可侵入RFID标签。

此外，与Shamir合作开发RSA算法的MIT电气工程和计算机科学教授Ron Rivest借年会平台呼吁行业共同创建下一代散列算法，以取代当今的SHA-1。最近几周，Shamir利用定向天线和数字示波器来监控RFID标签被读取时的功率消耗。功率消耗模式可被加以分析以确定何时标签接收了正确和不正确的密码位。解密专家在会议中探讨了基本SHA-1散列算法的弱点。“我没有测试所有RFID标签，但我们测试了最大品牌，它完全没有保护措施。”Shamir说道。而Rivest则表示: “我期望工业能创建一个类似为AES算法所做的流程，到2010前研究出新的散列功能。”

RSA担心存储在RFID标签中的信息将会被任何持有RFID读取器的黑客盗取，目前这种威胁还不大，但是一旦这项技术被普遍接受，读取器的价格将会大幅下降，而且，读取器还有可能被内置在手机上，这些都大大增加了对于安全的威胁。

提供IT咨询服务的咨询委员会(The Advisory Council，以下简称TAC)认为，缺乏对点对点加密(使用现行的标准，诸如ISO14443/DESFire就可以实现)和PKI(公钥基础结构)密钥交换的支持，是导致标签漏洞的原因之一。很多人还指出，“恶意”标签(rogue tag)有可能破坏供应链数据。一旦遭到“拒绝服务”式攻击，把标签中的数据改为随机数据，将降低供应链的速度。这类风险一点都不比现在存在的风险小。

同时在实际应用中，对于刚刚使用RFID的企业，RFID标签很容易就被黑客、商店扒手或者不满的职员所操控。还有一个问题是“极低的成本将会大大限制RFID标签的功能”。在过去20年内开发出来的好的安全工具，和目前的大部分RFID标签硬件都不匹配。举例而言，如果对一个标签进行加密，就会大大消耗标签的处理能力，并增加标签的成本。为了控制成本，公司需要的是重量轻、价格低的标签，这正好跟标签的安全需求相违背。 也有人提出，数据在读入到读取器的过程中，可能在半途被窃取。 如此众多的问题，研究者和应用商们也正在逐步寻求解决方案，比如:

在芯片设计与实现的工程中考虑攻击措施，以保护重要的数据不被非法利用。许多专家已经就目前针对芯片的各种破坏性、非破坏性攻击手段(比如版图重构，存储器读取技术，电流攻击和故障攻击等)，从软、硬件角度分析现有的各种安全措施如何应对这些攻击，或

使攻击变得难以实施，同时给出建议如何避免不良设计。

一些应用厂商已经开始考虑采用安全设备来缓解有关RFID标签安全的忧虑。比如给每个产品一个惟一的电子产品代码，这有点类似于汽车的牌照号码。一旦有人想破坏安全，他得到的只是单个产品的信息。这样的话，就不值得花时间去解码，“门槛太高，没有人会这样做的。”雷根说。此外，新的EPCglobal超高频第二代协议标准增强了无源标签的安全性能。据EPCglobal产品管理总监秀·赫钦森(Sue Hutchinson)介绍，新标准不仅提供了密码保护，而且能对数据从标签传输到读取器的过程进行加密，而不是对标签上的数据进行加密。 2005年，Johns Hopkins大学和RSA实验室的专家宣布使用在高安全性车钥匙和加油站付费系统中使用RFID技术的密码弱点。

针对RFID业界的一个主要担忧RFID标签有可能被仿冒，它的编码系统有可能被复制。XINK公司的新墨水可以消除这种隐患，这是一种理论上不可见的印刷墨水。把这种墨水与Creo公司的隐形标签技术结合，标签被仿冒的担忧就可以消除。

大部分的RFID产业拥有者都意识到标签资料保密性的重要，一些厂商对 RFID 的私隐问题作出了很大的努力，并且提供了几个可行的解决方案，例如: 使用探测器探测其他 RFID 阅读器的存在，以防上资料暴露; 为RFID 标签编程，使其只可能与己授权的 RFID 阅读器通信;

采用EPCglobal 所提倡的消除标签资料 (kill tag) 协议，禁止资料残留于被弃用的标签上;

采用更强的加密及安全功能。

RFID信息安全技术

RFID应用中存在的信息安全问题在标签、网络和数据这三个层面均可能出现。

许多信息安全技术和标准在现有的其他系统中都已经有了很好的应用，这些技术和标准可以为RFID的信息安全所借鉴。比如在银行卡授权和大楼出入系统等应用中，已经有许多安全标准被采用，如ISO15693数据认证标准。而RFID技术又有其自身的特点，所以现行的安全规范如果应用于RFID系统也可能会引起一些问题。举例而言，如果对标签进行加密，就会大大消耗标签的处理能力，并增加标签的成本。

RFID应用中存在的信息安全问题在标签、网络和数据这三个层面均可能出现，所以本文就这三个方面对RFID的信息安全技术进行了分析。

标签上的“隐私”

标签的体积虽小，但是其潜在的安全问题却不容忽视。对于刚刚使用RFID的企业，RFID标签很容易被黑客、商店扒手或不满的职员所操控。大多数支持EPCglobal标准的无源标签

只能写入一次，但是支持ISO等其他标准的RFID标签，就具备多次写入的功能。2005年春天，支持EPCgolbal超频第二代协议的RFID标签大量上市，这些标签也支持多次写入功能，由于没有写保护功能，这些无源标签可以被更改或写入“好几千次”，DN系统企业互联网解决方案公司的咨询师Lukas Grunwald说。

为了应对RFID标签的安全问题，很多建议、技术已经规范开始出现。

例如，给每一个产品惟一的电子产品代码，类似于汽车的牌照号码，一旦有人想破坏安全，他得到的只是单个产品的信息，这样的话，就不值得花时间去解码。不过，Unisys Corp的全球可视贸易方案副总裁Peter Regen认为这种方法门槛太高，没有人会这么做。

新的EPCgolbal超频第二代协议标准增强了无源标签的安全性能。据EPCglobal产品管理总监Sue Hutchinson介绍，新标准不仅提供了密码保护，而且能对数据从标签传输到读取器的过程进行加密，而不是对标签上的数据进行加密。

隐私安全问题主要体现在RFID标签上。一种想法是“软屏蔽器”（soft blocker）。它能加大对顾客的隐私偏好的保护，不过这是在商品已经购买之后。在销售点，顾客会出示其会员卡，通过这张卡就能看到其隐私偏好的数据。“商品购买之后，销售点就会立即对隐私数据进行更新，保证这些数据不会被某些读取器读取，比如供应链读取器。”RSA实验室RFID解决方案构架师Dan Bailey说。软屏蔽器可能是解决RFID标签隐私问题的一个好办法，在EPCglobal第二代标签中就加入了这种功能。

借鉴其他网络技术

在零售商店中，或者在货物从一个地点运输到另一个地点的过程中，有很多机会可以覆盖甚至修改RFID标签上的数据。这种漏洞在公司用来处理贴有RFID标签的货箱、托盘或其他货物的网络上同样存在。这些网络分布在公司的配送中心、仓库或商店的后台。未经安全处理的无线网络，给拦截数据带来了机会。而在RFID读取器的后端是非常标准化的互联网基础设施，因此，RFID后端的网络存在的安全问题及其机会和互联网是一样的。

在读取器后端的网络中，完全可以借鉴现有的互联网络的各种安全技术。

解决办法是，确保网络上的所有阅读器在传送信息给中间件（中间件再把信息传送给企业系统）之前都必须通过验证，并且确保阅读器和后端系统之间的数据流是加密的。部署RFID阅读器时应采取一些非常切合实际的措施，确保验证后方可连入企业网络，并且不会因为传输而被其他人窃取重要信息。比如，基于Symbol Technologies和ThingMagic等公司的技术的阅读器支持标准的网络技术，包括防止未授权者访问的内置验证方法。

为了防止有人窃听RFID阅读器发出的功率较高的信号，一个办法是采用名为“无声爬树”的反窃听技术。RSA实验室的首席科学家兼主任Burt Kaliski表示，在RFID无线接口的限制范围内，这种方法可确保阅读器绝不重复发送标签上的信息。RFID标签上的数字不是由阅读器播送，而是被间接引用，接收端中间件知道如何解释这些数字，而窃听者却不知道。

“透明”引发的数据危机