物聯(lián)傳媒 旗下網(wǎng)站
登錄 注冊(cè)

產(chǎn)品包裝中RFID技術(shù)的安全策略

作者:張志剛,陳文閣,汪春暉,周昕
來源:RFID世界網(wǎng)
日期:2009-07-16 09:21:05
摘要:簡要介紹了RFID技術(shù)的基本原理及安全牲,從標(biāo)簽數(shù)據(jù)、讀寫器、通信鏈路、中間件及后端等方面分析了產(chǎn)品包裝應(yīng)用RFID 系統(tǒng)安全的需求,提出了RFID在包裝領(lǐng)域應(yīng)用中采用屏蔽、物理手段、專有協(xié)議、認(rèn)證等安全策略。
  隨著RFID技術(shù)在產(chǎn)品包裝領(lǐng)域的研究推廣,RFID信息安全問題逐漸受越來越多的關(guān)注,尤其是在產(chǎn)品包裝的儲(chǔ)存、運(yùn)輸及使用管理中的安全,直接關(guān)系到產(chǎn)品信息的可靠性,從而影響整個(gè)物流環(huán)節(jié)的正常運(yùn)行。設(shè)計(jì)安全、高效、低成本的安全能阻止RFID系統(tǒng)受到外來攻擊,成為RFID技術(shù)在產(chǎn)品包裝管理應(yīng)用中的一個(gè)具有挑戰(zhàn)性的課題。

  1 RFID技術(shù)及其安全特征

  1.1 RFID技術(shù)概述

  RFID(Radio Frequency Identification Technology)技術(shù)是一種非接觸式的自動(dòng)識(shí)別技術(shù),它通過射頻信號(hào)自動(dòng)識(shí)別目標(biāo)并獲取相關(guān)數(shù)據(jù)。RFID系統(tǒng)由標(biāo)簽、讀寫器和數(shù)據(jù)處理系統(tǒng)3部分組成。標(biāo)簽和讀寫器通過調(diào)制的無線信號(hào)進(jìn)行通信,讀寫器向RFID標(biāo)簽發(fā)出命令,標(biāo)簽根據(jù)接收到的命令做出響應(yīng)。根據(jù)RFID標(biāo)簽內(nèi)部構(gòu)造可分為3種:主動(dòng)式,被動(dòng)式和半被動(dòng)式。被動(dòng)式標(biāo)簽使用讀寫器發(fā)出的電波,作為啟動(dòng) IC回路的能量,具有半永久性使用的優(yōu)點(diǎn),但是通信距離比主動(dòng)式標(biāo)簽要短。主動(dòng)式標(biāo)簽使用內(nèi)部的電池來進(jìn)行無線通信,比被動(dòng)式標(biāo)簽的通信距離要長,不過會(huì)受到電池壽命的限制,它的價(jià)格也比被動(dòng)式標(biāo)簽高,體積也比較大,目前比較常見的是被動(dòng)式RFID系統(tǒng)。

  1.2 RFID與產(chǎn)品包裝

  用RFID標(biāo)簽取代傳統(tǒng)的產(chǎn)品卡片、裝箱單,使帶有標(biāo)簽的包裝信息載體。接收產(chǎn)品時(shí),將相關(guān)的產(chǎn)品信息從電子標(biāo)簽中讀出并傳入物流信息管理系統(tǒng)中進(jìn)行相關(guān)業(yè)務(wù)處理;發(fā)放產(chǎn)品時(shí),將發(fā)放的相關(guān)產(chǎn)品信息寫入標(biāo)簽中。保管員可通過讀寫器對(duì)標(biāo)簽內(nèi)容進(jìn)行修改,輸入新的數(shù)據(jù)并將信息反饋到管理計(jì)算機(jī),以便及時(shí)更改器材賬目,從而提高了工作效率。運(yùn)輸途中節(jié)點(diǎn)可采集條碼、RFID標(biāo)簽采集信息上傳相關(guān)數(shù)據(jù)到數(shù)據(jù)中心。在應(yīng)急物流等情況下,對(duì)電子標(biāo)簽等數(shù)據(jù)進(jìn)行讀寫,達(dá)到對(duì)產(chǎn)品進(jìn)行管理、查找、統(tǒng)計(jì)和盤點(diǎn)等要求。RFID在產(chǎn)品包裝管理中,首先對(duì)產(chǎn)品按照某種規(guī)則進(jìn)行標(biāo)簽編制,并實(shí)現(xiàn)對(duì)標(biāo)簽的識(shí)別,即完成產(chǎn)品與標(biāo)簽之間信息的一一映射轉(zhuǎn)化。

  1.3 RFID安全特征

  RFID技術(shù)在產(chǎn)品包裝管理中的應(yīng)用安全類似于網(wǎng)絡(luò)和計(jì)算機(jī)安全,其主要目的是保證各個(gè)包裝環(huán)節(jié)數(shù)據(jù)傳輸和數(shù)據(jù)存儲(chǔ)的安全。因此,根據(jù)信息系統(tǒng)安全的基本要求,結(jié)合RFID系統(tǒng)自身的實(shí)際情況,一種比較完善的RFID系統(tǒng)安全解決方案應(yīng)當(dāng)具備機(jī)密性、完整性和真實(shí)性等基本特征。

  一是信息機(jī)密性。包裝管理中,一個(gè)RFID電子標(biāo)簽不應(yīng)當(dāng)向未經(jīng)允許的讀寫器泄漏任何產(chǎn)品信息,RFID電子標(biāo)簽中所包含的信息關(guān)系到產(chǎn)品信息的基本情況,這些數(shù)據(jù)一旦被攻擊者獲取,產(chǎn)品基本信息情況將被隨意獲取。因而,一個(gè)完備的RFID安全方案必須能夠保證標(biāo)簽中所包含的信息僅能被授權(quán)讀寫器訪問。

  二是數(shù)據(jù)完整性。在通信過程中,數(shù)據(jù)完整性能夠保證接收者收到的產(chǎn)品信息在傳輸過程中沒有被攻擊者篡改或替換。在RFID系統(tǒng)中,通常使用消息認(rèn)證碼來進(jìn)行數(shù)據(jù)完整性的檢驗(yàn),它使用的是一種帶有共享密鑰的散列算法,即將共享密鑰和待檢驗(yàn)的消息連接在一起進(jìn)行散列運(yùn)算,對(duì)數(shù)據(jù)的任何細(xì)微改動(dòng)都會(huì)對(duì)消息認(rèn)證碼的值產(chǎn)生較大影響。

  三是身份真實(shí)性。電子標(biāo)簽的身份認(rèn)證在RFID系統(tǒng)的許多應(yīng)用中是非常重要的。攻擊者可以偽造電子標(biāo)簽,也可以通過某種方式隱藏標(biāo)簽,使讀寫器無法發(fā)現(xiàn)該標(biāo)簽,從而成功地實(shí)施產(chǎn)品轉(zhuǎn)移,讀寫器只有通過身份認(rèn)證才能確信消息是從正確的電子標(biāo)簽處發(fā)送過來的。

  2 系統(tǒng)安全需求分析

  產(chǎn)品包裝管理中,RFID存儲(chǔ)產(chǎn)品信息方式可以分為2種:一種是將產(chǎn)品信息直接寫入標(biāo)簽;另一種是標(biāo)簽中只存儲(chǔ)產(chǎn)品序列號(hào),而產(chǎn)品信息存儲(chǔ)于后臺(tái)數(shù)據(jù)庫中,通過讀取序列號(hào)來調(diào)取數(shù)據(jù)庫中的產(chǎn)品信息。從RFID信息存儲(chǔ)方式出發(fā),可對(duì)RFID系統(tǒng)安全需求進(jìn)行大致分析。

  2.1 標(biāo)簽數(shù)據(jù)是安全防范的關(guān)鍵

  由于標(biāo)簽本身的技術(shù)及成本等原因所限,標(biāo)簽本身很難具備能夠足以保證安全的能力,使標(biāo)簽信息安全性面臨很大威脅。非法用戶可以利用合法的閱讀器或者自構(gòu)一個(gè)閱讀器,直接與標(biāo)簽進(jìn)行通信,可以很容易地獲取標(biāo)簽內(nèi)所存數(shù)據(jù)。而對(duì)于讀寫式標(biāo)簽,還面臨數(shù)據(jù)被篡改的風(fēng)險(xiǎn),從而造成產(chǎn)品管理中產(chǎn)品信息混亂等問題,進(jìn)而影響到整個(gè)物流鏈中產(chǎn)品數(shù)據(jù)的準(zhǔn)確性。標(biāo)簽數(shù)據(jù)安全問題包括數(shù)據(jù)溢出、數(shù)據(jù)復(fù)制、虛假事件和標(biāo)簽識(shí)讀率等。數(shù)據(jù)溢出因進(jìn)入閱讀區(qū)的標(biāo)簽太多或者由中間件緩存的RFID事件太多而又集中向后臺(tái)發(fā)送而引起。數(shù)據(jù)復(fù)制指復(fù)制標(biāo)簽所造成的數(shù)據(jù)的虛假,例如:對(duì)已經(jīng)失去時(shí)效的標(biāo)簽數(shù)據(jù)的再次讀取等,而識(shí)讀率則是對(duì)被識(shí)別對(duì)象每次讀取準(zhǔn)確性的要求。

  2.2 讀寫器安全是安全問題的主要方面

  來自讀卡器的安全威脅主要有3個(gè)方面:物理攻擊,攻擊者可以通過物理方式偵測或者修改讀卡器,修改配置文件或特征配置文件,通過修改使得讀寫器誤報(bào)標(biāo)簽產(chǎn)生的事件,或者將標(biāo)簽產(chǎn)生的事件報(bào)告給未經(jīng)授權(quán)的應(yīng)用程序;竊聽、修改和干擾讀寫器和應(yīng)用程序之間交換的數(shù)據(jù),竊聽交換數(shù)據(jù),并偽裝成合法的讀寫器或者服務(wù)器來修改數(shù)據(jù)或插入噪聲中斷通信。讀卡器通過物理攻擊、修改配置文件、竊聽數(shù)據(jù)方式受到攻擊,產(chǎn)品的信息就可能被物流系統(tǒng)之外的人員竊取,從而導(dǎo)致產(chǎn)品信息泄露。

  2.3 通信鏈路安全是安全防范的薄弱環(huán)節(jié)

  當(dāng)標(biāo)簽傳輸數(shù)據(jù)給閱讀器,或者讀卡器質(zhì)詢標(biāo)簽的時(shí)候,其數(shù)據(jù)通信鏈路是無線通信鏈路,無線信號(hào)本身是開放的,這就給非法用戶的偵聽帶來了方便。實(shí)現(xiàn)的常用方法包括:黑客非法截取通信數(shù)據(jù),即通過非授權(quán)的讀卡器截取數(shù)據(jù)或根據(jù)RFID 前后向信道的不對(duì)稱性遠(yuǎn)距離竊聽標(biāo)簽信息等;拒絕服務(wù)攻擊,即非法用戶通過發(fā)射干擾信號(hào)來堵塞通信鏈路,使得讀卡器過載,無法接收正常的標(biāo)簽數(shù)據(jù);利用假冒標(biāo)簽來向讀卡器發(fā)送數(shù)據(jù),使得讀卡器處理的都是虛假的數(shù)據(jù),而真實(shí)的數(shù)據(jù)則被隱藏;通過發(fā)射特定電磁波破壞標(biāo)簽等。這些破壞方式同樣使產(chǎn)品信息面臨安全威脅,甚至破壞RFID系統(tǒng)內(nèi)部信息的正確傳輸。

  2.4 中間件與后端安全不容忽視

  RFID系統(tǒng)的中間件與后臺(tái)應(yīng)用系統(tǒng)的安全屬于傳統(tǒng)的信息安全范疇,是網(wǎng)絡(luò)與計(jì)算機(jī)數(shù)據(jù)的安全。如果說前端系統(tǒng)相當(dāng)于產(chǎn)品包裝管理的前沿陣地,那么中間件與后端就相當(dāng)于這個(gè)體系的指揮部,所有的產(chǎn)品數(shù)據(jù)都由這個(gè)部分搜集、存儲(chǔ)、調(diào)配,在這個(gè)過程中,中間件承擔(dān)了所有信息的發(fā)送與接收任務(wù),在中間件發(fā)揮職能的每個(gè)環(huán)節(jié)都存在著攻擊的可能性,具體攻擊會(huì)以數(shù)據(jù)欺騙、數(shù)據(jù)回放、數(shù)據(jù)插入、數(shù)據(jù)溢出等手段對(duì)系統(tǒng)進(jìn)行攻擊。這一環(huán)節(jié)一旦遭到攻擊,整個(gè)產(chǎn)品識(shí)別系統(tǒng)將面臨癱瘓的危險(xiǎn)。

  3 系統(tǒng)安全策略

  RFID系統(tǒng)在數(shù)據(jù)標(biāo)簽、讀卡器、通信鏈路、中間件及后端等環(huán)節(jié)都存在著各種安全隱患,為保證RFID在產(chǎn)品包裝應(yīng)用中的正常、有效的運(yùn)轉(zhuǎn),解決RFID系統(tǒng)存在的諸多安全問題就變得尤為重要。

  3.1 通過屏蔽和鎖定限定RFID信息閱讀的時(shí)機(jī)

  解決標(biāo)簽本身安全的手段之一就是屏蔽,借助屏蔽設(shè)備屏蔽標(biāo)簽,標(biāo)簽被屏蔽之后,也同時(shí)喪失了RF特征。但是在不需要閱讀和通信的時(shí)候,這也是一個(gè)主要的保護(hù)手段,特別是包含有敏感數(shù)據(jù)的標(biāo)簽的包裝環(huán)境,可以在需要通信的時(shí)候解除屏蔽;另一種方法是標(biāo)簽鎖定。鎖定方法使用一個(gè)特殊的稱為鎖定者的RFID標(biāo)簽來模擬無窮的標(biāo)簽的一個(gè)子集,可以阻止非授權(quán)的閱讀器讀取某個(gè)標(biāo)簽的子集。鎖定標(biāo)簽可以防止其他閱讀器讀取和跟蹤其附近的標(biāo)簽,而在需要的時(shí)候,則可以取消這種阻止,使標(biāo)簽得以重新生效。這2種方法理論上是最適合應(yīng)用在產(chǎn)品包裝管理中,可以大大提高整個(gè)物流管理系統(tǒng)的安全系數(shù)。

  3.2 采用編程和物理手段使RFID標(biāo)簽適時(shí)失效

  方法之一是使用編程Kill命令,用來在需要的時(shí)候是標(biāo)簽失效的命令。接收到這個(gè)命令之后,標(biāo)簽便終止其功能,無法再發(fā)射和接收數(shù)據(jù)。屏蔽和殺死都可以使標(biāo)簽失效,但后者是永久的,特別是在應(yīng)急條件下的產(chǎn)品分配,基于保護(hù)產(chǎn)品數(shù)據(jù)安全的目的,必須對(duì)使用過的產(chǎn)品進(jìn)行殺死標(biāo)簽處理。這種方式的最大缺點(diǎn)是影響到反向跟蹤,比如多余產(chǎn)品的返回、損壞產(chǎn)品的維修和再分配,因?yàn)闃?biāo)簽已經(jīng)無效,物流系統(tǒng)將不能再識(shí)別該數(shù)據(jù),造成產(chǎn)品的浪費(fèi),尤其在集裝箱循環(huán)系統(tǒng)等環(huán)境不適合使用。二是物理損壞,物理損壞是指使用物理手段徹底銷毀標(biāo)簽,并且不必像殺死命令一樣擔(dān)心標(biāo)簽是否失效,但是對(duì)一些嵌入的、難以接觸的標(biāo)簽則難以做到。

  3.3 利用專有通信協(xié)議實(shí)現(xiàn)敏感使用環(huán)境安全

  專有通信協(xié)議有不同的工作方式,如限制標(biāo)簽和閱讀器之間的通信距離,采用不同的工作頻率、天線設(shè)計(jì)、標(biāo)簽技術(shù)和閱讀器技術(shù)限制兩者之間的通信距離,降低非法接近和閱讀標(biāo)簽的風(fēng)險(xiǎn),它涉及到實(shí)現(xiàn)~套非公有的通信協(xié)議和加解密方案,基于完善的通信協(xié)議和編碼方案,可實(shí)現(xiàn)較高等級(jí)的安全。在物流包裝環(huán)境要求安全條件較高、高度安全敏感和互操作性不強(qiáng)的情況下,實(shí)現(xiàn)專有通信協(xié)議是有效的。但是,這種方法不能完全解決數(shù)據(jù)傳輸?shù)娘L(fēng)險(xiǎn),而且可能還會(huì)損害系統(tǒng)的共享性,影響RFID系統(tǒng)與其它標(biāo)準(zhǔn)的系統(tǒng)之間的數(shù)據(jù)共享能力。

  3.4 引入認(rèn)證和加密機(jī)制確保信息讀取身份真實(shí)

  使用各種認(rèn)證和加密手段來確保標(biāo)簽和閱讀器之間的數(shù)據(jù)安全,使數(shù)據(jù)標(biāo)簽只可能與已授權(quán)的RFID閱讀器通信,確保網(wǎng)絡(luò)上的所有閱讀器在傳送信息給中間件之前都必須通過驗(yàn)證,并且確保閱讀器和后端系統(tǒng)之間的數(shù)據(jù)流是加密的。采取嚴(yán)格的認(rèn)證和加密方案,部署RFID閱讀器時(shí)應(yīng)采取一些非常切合實(shí)際的措施,確保驗(yàn)證后方可連入網(wǎng)絡(luò),并且不會(huì)因?yàn)閭鬏敹黄渌烁`取重要信息。但是這種方式的計(jì)算能力以及采用的算法的強(qiáng)度受標(biāo)簽的成本的影響,一般在高端RFID系統(tǒng)和要求較高的標(biāo)簽識(shí)別宜采用這種方式加密。

  3.5 利用傳統(tǒng)安全技術(shù)解決中間件及后端安全

  在包裝管理過程中,有很多環(huán)節(jié)覆蓋甚至修改RFID標(biāo)簽上的數(shù)據(jù),在處理貼有RFID標(biāo)簽的貨箱、托盤或其他貨物的網(wǎng)絡(luò)上存在各種安全漏洞,未經(jīng)安全處理的無線網(wǎng)絡(luò),給攔截?cái)?shù)據(jù)帶來了機(jī)會(huì)。而在RFID讀取器的后端是非常標(biāo)準(zhǔn)化的網(wǎng)絡(luò)基礎(chǔ)設(shè)施,因此,RFID后端的網(wǎng)絡(luò)存在的安全問題及其機(jī)會(huì)和網(wǎng)絡(luò)是一樣的。在讀取器后端的網(wǎng)絡(luò)中,可以借鑒現(xiàn)有的網(wǎng)絡(luò)的各種安全技術(shù),確保驗(yàn)證后方可連入物流信息網(wǎng)絡(luò),并且不會(huì)因?yàn)閭鬏敹黄渌烁`取重要信息。

  4 結(jié)語

  RFID系統(tǒng)在享受數(shù)據(jù)采集提供靈活性和方便的同時(shí)也使傳遞的信息處于危險(xiǎn)之下,這無疑是產(chǎn)品信息安全的重大威脅。產(chǎn)品管理中應(yīng)用RFID系統(tǒng)的共享信息是一個(gè)重要課題,怎樣確保產(chǎn)品信息不會(huì)泄露,借助典型的信息系統(tǒng)使用現(xiàn)有的安全模型還不能很好解決數(shù)據(jù)安全問題。以現(xiàn)有的安全技術(shù)為基礎(chǔ),依據(jù)物流系統(tǒng)中包裝管理的實(shí)際需求,制定一整套包括物理安全,涉密人員管理,保密機(jī)制,安全技術(shù)保障的全方位安全策略才是根本的解決之道。