难题三:来自中间人的窃听
在RFID部署中,拒绝服务攻击、中间人攻击等网络攻击可能会严重影响服务性能,并降低信息的保密性。Hash锁是RFID标签与读写器之间通信访问的控制器,而一般的Hash锁无法解决位置隐私和中间人的攻击问题。
Hash锁分为定读取控制Hash锁方法和随机读取控制Hash锁方法。在定读取控制Hash锁方法中,射频标签只对授权的读写器起作用,它代表了一种认证过程,认证密匙固定不变。
这仅仅是一种低成本解决安全与隐私问题的方法,但不能防止被跟踪,并且随机密匙和标签的ID可能被窃听。
为了避免被跟踪,射频标签的反应不能被预测到而是随机的。因为被授权的读写器识别一个射频标签,就需要搜索和计算所有标签的ID,因此该方法不适合大量射频标签。
目前,已经有了对随机读取控制Hash锁方法的改进,可以避免定读取控制Hash锁方法中的人为攻击和恶意跟踪的缺陷,并克服随机读取控制Hash锁方法中计算负载过大的不足。 ‘
专家观点
标准决定安全
Unisys全球可视化商业部副总裁 Peter Regen
RFID在标准问题方面,业界已为低频和高频RFID系统制定了颇为完善的标准,但是大部分企业却希望在供应链中使用超高频技术(UHF),UHF射频能在20英尺范围内阅读电子标签,但这种技术只是在近年才面世,有关标准还在修订。
例如国际标准化组织(ISO)正着手制订在供应链使用高射频标签(ISO 18000-3)及超高射频标签(ISO18000-6)追踪货物的标准。
此外,过往许多RFID系统是基于专有技术的“封闭系统”,因此除非两家企业是采用同一厂商的RFID设备,否则它们不可能在货物运输方面进行RFID协作,但随着全球供应链成为大势所趋,RFID需要朝着开放、通用标准的方向进发。
在一些重要的环节中,RFID在2005年取得突破性的发展,例如“第二代被动RFID标准”(Gen 2 Passive RFID Standard)的完成,使得安全性高的标准能在世界通行,广泛被不同行业所采用。
企业采用RFID技术后对其运营模式、风险管理、供应链管理、人力资源配套等各方面都会带来影响,因此委托一个具备丰富经验的技术服务及顾问公司,协助搭建其RFID体系是较踏实可靠的途径。
RFID的安全底线
易腾迈(Intermec)中国区RFID技术专家 徐承东
标准的EPC标签具有防篡改的安全保护能力,标准通讯协议中也包含了数据加密的要求,并要求在数据传输之前,标签和读写器之间要建立安全连接,这就使得篡改EPC代码非常困难。
通过使标签失效,从而使其中的数据永远无法再被读出,这是零售和快速消费品行业为保护顾客隐私而提出的需求,所以这也就跟着提出了认证的应用需要,以防止标签被未经授权地或者意外地失效。
可以通过多种方式来实现与标准Gen2产品不同的安全性扩展,“外壳”功能使标签只能与被授权的读写器进行通讯。在标签回应通讯请求之前,读写器必须提供密码,同样,写入数据或者将标签失效也需要密码。
在一些新型的应用中,如批次或者有效期跟踪功能,可能将凸现Gen2的数据内容灵活的优势。追加的数据并不能自动得到与最初写入的EPC号码相同的安全保护,所以用户必须采取相应的措施来保护和验证数据。
需要确认追加写入标签的数据是否得到了保护。追加到标签里的数据也能够用密码来保护,以确保它们只能被授权合作伙伴或者内部用户读到。写保护和密码保护功能并非标准功能,故而不是所有的Gen2标签都具备。
网友评论