RFID的安全难题

编者按：安全与高成本，将成为RFID大规模推广的主要障碍。

　　到目前为止，还没有人抱怨部署RFID（无线射频识别）可能带来的安全隐患。尽管企业和供应商都意识到安全仍然是个问题，但他们并没有把这个问题放到首要议程上。他们仍然把重心放在了RFID的实施效果和采用RFID所带来的投资回报。

　　然而，像RFID这种应用面很广的技术，具有巨大的潜在破坏能力，惠普实验室（HP Labs）负责RFID技术的首席技术官萨里尔·普拉丹（Salil Pradhan）警告说，“现在我们使用条形码。这就像是我们在城市的街道上以每小时20或者30英里的速度前进。即便你撞上某人，破坏力也就那么大，” 他说，“但是，在使用RFID后，城市的街道就变成了高速公路。货物的流转速度大大提高，你完全依赖于RFID系统，一旦系统遇上黑客，找出问题甚至都需要相当一段时间。”

　　这也是为什么RFID行业呼吁建立安全机构的原因。“我们面对最大现实问题是：零售商、消费品制造商等在不断推动RFID的应用，但是没有人真正知道，他们需要什么级别的安全，或者说，他们愿意花钱达到怎样的安全级别。”芯片制造商德州仪器公司（Texas Instruments Inc.）RFID供应链产品总监托尼·萨贝蒂（Tony Sabetti）说。

　　在银行卡授权和大楼出入系统等应用中，已经有许多安全标准被采用，比如ISO15693数据认证标准。这些安全标准也可以使用在RFID上，萨贝蒂说。不过，不是所有的这些标准都会被全球电子产品码网络（EPCglobal Network，以下简称EPCglobal）考虑采用。“我并不是建议他们应该采用其他的规范，我只是认为，在其他的一些安全规范中也有一些很好的地方。”萨贝蒂说。

　　EPCglobal为在供应链产品中采用RFID技术提供信息共享基础设施。用来识别制造商、产品、版本和序列号的电子产品码数据库就是由 EPCglobal来维护。同时，EPCglobal还提供数据交换的中间件规范，并管理对象名解析服务（Object Name Service）。对象名解析服务主要用来对电子产品码与相关产品信息进行匹配。

　　在标签、网络或者数据层面都有可能出现安全隐患。安全厂商RSA 安全公司（RSA Security Inc.）研发中心RSA实验室的首席科学家兼主管巴特·卡里斯基（Burt Kaliski）认为，如果执行现行的安全标准，会带来一些问题。其中一个问题是“极低的成本将会大大限制RFID标签的功能”。在过去20年内开发出来的好的安全工具，和目前的大部分RFID标签硬件都不匹配。举例而言，如果对一个标签进行加密，就会大大消耗标签的处理能力，并增加标签的成本。为了控制成本，公司需要的是重量轻、价格低的标签。

　　一个好消息是现在产业界已经开始重视安全问题。萨贝蒂甚至认为，有些问题正在逐步得到解决。EPCglobal推出的超高频第二代协议（UHF generation 2 protocal）预计将与ISO 18000-6C RFID无线界面规范一起配合使用。EPCglobal选择安全供应商Verisign公司（Verisign Inc.）作为其基础设施供应商，共同解决安全和数据共享方面的问题。萨贝蒂认为这种做法非常明智。“我对他们是否能够成功表示乐观。这不是一个技术问题，甚至也不是一个理念问题。这只是一个实施问题而已。”

　　尽管RFID本身还存在种种安全问题，但不可忽视的是，RFID最终将极大地提升货物的安全性。“从现有的供应链来看，说真的，你能难说清其安全程度。”供应链软件供应商i2技术公司（i2 Technologies Inc）产品管理总监阿文·帕塔撒拉蒂（Arvind Parthasarati）说。“很多恶果都是因为信息不透明而出现的。在某种意义上讲，RFID提高了透明度。”RFID能够对库存物料的位置进行精确定位，这降低了内部偷窃的风险，因为员工知道这些库存都被密切跟踪，信息也会经常更新。“如果你知道电视机会在哪个时间运达仓库，就再也不会出错。这样的举措很具有威慑力。”他说。

标签

　　标签虽小，其潜在的危害却很大。

　　对于刚刚使用RFID的企业，RFID标签很容易就被黑客、商店扒手或者不满的职员所操控。DN系统企业互联网解决方案公司（DN-Systems Enterprise Internet Solutions GmbH）的咨询师卢卡斯·格龙瓦尔德（Lukas Grunwald）在2004年“黑帽安全会议”上对此做了演示。

　　使用他协助开发的一个小程序dubbed RFDump，格龙瓦尔德展示了标签如何被读取、更改甚至删除的全过程。RFDump只需要一个很便宜的标签读取器，把它插在运行Windows和 Linux的掌上电脑、笔记本电脑或桌面设备上就可以了。这个软件显示，每个人都有可能破坏所有的RFID标签信息、修改贴有RFID标签的物件的销售价格，甚至在各种RFID标签之间转换数据。这些行为一旦发生，零售商将花费很多时间通过手工清点库存，才能知道准确的货物数量。

　　大多数支持EPCglobal标准的无源标签只能写入一次，但是支持ISO等其他标准的RFID标签，就具备多次写入的功能。今年春天，支持 EPCglobal 超高频第二代协议的RFID标签将大量上市，这些标签也支持多次写入功能。由于没有写保护功能，这些无源标签可以被更改或写入“好几千次。”格龙瓦尔德说。

　　为了帮助汽车制造商和汽车零部件零售商有效识别，轮胎制造商米奇林北美公司（Michelin North America Inc.）把RFID标签嵌在轮胎的侧壁上。公司也认为，芯片具有可重复编程功能的确是个问题。公司全球战略专家帕特·金（Pat King）认为，这需要“适当的管理”。金也是AIM全球标准行动集团（AIM Global Standards Action Group）RFID专家组的一个成员，该集团是一个重点关注用信息管理系统来管理数据的收集和整合的全球性贸易协会。“公司不应该幻想可重复编程标签内的数据总是安全的。如果你对信息的有效性产生了怀疑，就应该把芯片上的信息与储存在数据库里的数据进行比较验证。

　　提供IT咨询服务的咨询委员会（The Advisory Council，以下简称TAC）认为，缺乏对点对点加密（使用现行的标准，诸如ISO14443/DESFire就可以实现）和PKI（公钥基础结构）密钥交换的支持，是导致标签漏洞的原因之一。《信息周刊》英文版的RFID研究网站RFIDinsight.com上曾经刊登了一篇文章。在该文中， TAC还提出了RFID标签的一些其他用途。“在执法过程中有谣言说，那些抢劫货车的劫匪们已经在用RFID读取器来帮助决定哪些货柜更值得抢劫。” TAC说。

　　很多人还指出，“恶意”标签（rogue tag）有可能破坏供应链数据；一旦遭到“拒绝服务”式攻击，把标签中的数据改为随机数据，将降低供应链的速度。这类风险一点都不比现在存在的风险小。 “我想不出哪些问题是因为RFID的出现而出现的。事实上，在防止没有经过授权的人员接触供应链方面，RFID提供了更多的安全和机会。”IT服务商维布络技术公司（Wipro Technologies）的零售方案首席咨询师摩尼·苏布拉曼扬（Mani Subramanyam）说。他举例说，零售商就常常通过交换条形码标签来欺骗系统。而且和RFID标签不同的是，条形码还可以在大部分电脑和打印机上进行伪造。

　　优利公司（Unisys Corp）全球可视贸易方案副总裁彼得·雷根（Peter Regen）也同意苏布拉曼扬的说法。“那种事，用RFID标签就要比用条形码困难得多。你需要特定的技术知识和特定的工具才能实现。”

　　一些人已经开始考虑采用安全设备来缓解有关RFID标签安全的忧虑。比如给每个产品一个唯一的电子产品代码，这有点类似于汽车的牌照号码。一旦有人想破坏安全，他得到的只是单个产品的信息。这样的话，就不值得花时间去解码，雷根说。“门槛太高，没有人会这样做的。”他说。

　　此外，新的EPCglobal超高频第二代协议标准增强了无源标签的安全性能。据EPCglobal产品管理总监秀·赫钦森（Sue Hutchinson）介绍，新标准不仅提供了密码保护，而且能对数据从标签传输到读取器的过程进行加密，而不是对标签上的数据进行加密。

　　很多公司刚刚开始重视安全问题，而隐私鼓吹者和立法者早就开始关注RFID的隐私问题了。这些隐私问题现在主要体现在RFID标签上。在问题出现后，产业界也开始关注这个问题。麦德龙集团（Metro Group AG）在德国的莱茵博格（Rheinberg）有一家“未来商店”（Future Store）。麦德龙集团的发言人表示，公司装在商品上的RFID标签，只要出了商店就会失去功能。公司在商店的出口处为顾客装了一个“失效器”，这个机器会把存储在商品RFID芯片上的数字产品代码用一串零来全部覆盖。

　　2004年初，RSA演示了其特别设计的RSA屏蔽器标签（RSA Blocker Tag）。把这个屏蔽器装在购物袋上，RFID读取器就不能读取放在购物袋中的商品的RFID标签，系统会显示“拒绝服务”。RSA屏蔽标签的缺点是使商店扒手可以躲过商店的安全检查。所以公司最终改变了方向。RSA实验室RFID解决方案构架师丹·贝里（Dan Bailey）说，“我们已经拿出更适合实际应用的想法和改良方法。”

　　一种想法是“软屏蔽器”（soft blocker）。它能加大对顾客的隐私偏好的保护，不过这是在商品已经购买之后。在销售点，顾客会出示其会员卡，通过这张卡就能看到其隐私偏好的数据。 “商品购买之后，销售点就会立即对隐私数据进行更新，保证这些数据不会被某些读取器读取，比如供应链读取器。”贝里说。

　　软屏蔽器可能是解决RFID标签隐私问题的一个好办法，在EPCglobal第二代标签中就加入了这种功能。“使标签失效的做法，将阻止下游消费者应用的开发。”他说。

　　这些想法是否全部都会被采用，或者如何去实现这些想法，还取决于技术和应用的进一步发展。“这些想法现在还只是刚刚提出。坦率地说，在现实的业务流程中，终端用户还没有真正地试验过软屏蔽器在现实环境中应该如何部署。”赫钦森说。

网络

　　正如上述例子所显示的那样，在零售商店中，或者在货物从一个地点运输到另一个地点的过程中，有很多机会可以覆盖甚至修改RFID标签上的数据。这种漏洞在公司用来处理贴有RFID标签的货箱、托盘或其他货物的网络上同样存在。这些网络分布在公司的配送中心、仓库或商店的后台。未经安全处理的无线网络，给拦截数据带来了机会。

　　“在RFID读取器的后端是非常标准化的互联网基础设施。因此，你存在的安全问题和机会和互联网是一样的。”RFID读取器制造商魔器公司（ThingMagic LLc）的市场营销副总裁凯文·阿释顿（Kevin Ashton）说。魔器公司为众多OEM厂商提供技术，包括泰科国际公司（Tyco International Ltd.）的子公司ATD公司和斑马技术公司（Zebra Technologies Corp.）。

　　研究机构Forrester 公司的分析师劳拉·科茨勒（Laura Koetzle）指出，如果竞争对手或入侵者把他们开发出来的“恶意标签”装到未经安全处理的网络上，他们就可以把所有扫描到的数据传输出去。这就是一种网络漏洞。“另一个令人担心的地方是，数据在读入到读取器的过程中，可能在半途被窃取。”她说。

　　凯文·阿释顿表示，公司开发的RFID读取器技术具有内置验证功能，确保“恶意读取器”无法窃取数据。

　　解决这些问题的办法是必须确保网络上所有的RFID读取器，在传输数据到中间设备然后再到系统之前，都经过验证。同时，读取器与后端系统之间的数据通讯必须加密。“在部署RFID读取器时，应该采取一些重要措施，确保它们在接入网络前经过正确地自我验证，有意义的、有用的数据不会被其他人空中窃取。”阿释顿说。他举例说，采用标志技术公司（Symbol Technologies）和魔器公司的技术的读取器，就能支持标准网络技术，包括一些内置验证功能，防止陌生人登录网络。

　　RSA实验室首席科学家兼总监巴特·卡里斯基（Burt  Kaliski）说，对于那些以较高功率发射数据的RFID读取器，有一个办法可以防止数据窃取。这种办法被称为“悄然树行”（silent treewalking）。在RFID设备无线界面能够覆盖到的区域中，“悄然树行”保证了标签上的信息永远不会被读取器重复读取。同时，读取器在向中间设备传输数据过程中，不是直接传输数据，而是采用间接引用的办法。中间设备在接受到这些间接引用的数据后再进行解析。而对于窃取者而言，根本无法理解这些被间接引用的数据。