2.3 RFID的安全威胁  

    RFID应用广泛，可能引发各种各样的安全问题。在一些应用中，非法用户可利用合法阅读器或者自构一个阅读器对标签实施非法接入，造成标签信息的泄露。在一些金融和证件等重要应用中，攻击者可篡改标签内容，或复制合法标签，以获取个人利益或进行非法活动。在药物和食品等应用中，伪造标签，进行伪劣商品的生产和销售。实际中，应针对特定的RFID应用和安全问题，分别采取相应的安全措施。  

    下面，根据EPCglobal标准组织定义的EPCglobal系统架构[4]和一条完整的供应链[5-6]， 纵向和横向分别描述RFID面临的安全威胁和隐私威胁。  

    2.4 EPCglobal系统的纵向安全和隐私威胁分析  

    EPCglobal系统架构和所面临的安全威胁如图3所示。主要由标签、阅读器、电子物品编码(EPC)中间件、电子物品编码信息系统(EPCIS)、物品域名服务(ONS)以及企业的其他内部系统组成。其中EPC中间件主要负责从一个或多个阅读器接收原始标签数据，过滤重复等冗余数据；EPCIS主要保存有一个或多个EPCIS级别的事件数据；ONS主要负责提供一种机制，允许内部、外部应用查找EPC相关EPCIS数据。  

    从下到上，可将EPCglobal整体系统划分为3个安全域：标签和阅读器构成的无线数据采集区域构成的安全域、企业内部系统构成的安全域、企业之间和企业与公共用户之间供数据交换和查询网络构成的安全区域。个人隐私威胁主要可能出现在第一个安全域，即标签、空口无线传输和阅读器之间，有可导致个人信息泄露和被跟踪等。另外，个人隐私威胁还可能出现在第三个安全域，如果ONS的管理不善，也可能导致个人隐私的非法访问或滥用。安全与隐私威胁存在于如下各安全域：  

    (1)标签和阅读器构成的无线数据采集区域构成的安全域。可能存在的安全威胁包括标签的伪造、对标签的非法接入和篡改、通过空中无线接口的窃听、获取标签的有关信息以及对标签进行跟踪和监控。  

    (2)企业内部系统构成的安全域。企业内部系统构成的安全域存在的安全威胁与现有企业网一样，在加强管理的同时，要防止内部人员的非法或越权访问与使用，还要防止非法阅读器接入企业内部网络。  

    (3)企业之间和企业与公共用户之间供数据交换和查询网络构成的安全区域。ONS通过一种认证和授权机制，以及根据有关的隐私法规，保证采集的数据不被用于其他非正常目的的商业应用和泄露，并保证合法用户对有关信息的查询和监控。  

    2.5 供应链的横向安全和隐私威胁分析  

    一个较完整的供应链及其面对的安全与隐私威胁如图4所示，包括供应链内、商品流通和供应链外等3个区域，具体包括商品生产、运输、分发中心、零售商店、商店货架、付款柜台、外部世界和用户家庭等环节。图中前4个威胁为安全威胁，后7个威胁为隐私威胁。其中，安全威胁包括：  

    (1)工业间谍威胁  

    从商品生产出来到售出之前各环节，竞争对手可容易地收集供应链数据，其中某些涉及产业的最机密信息。例如，一个代理商可从几个地方购买竞争对手的产品，然后，监控这些产品的位置补充情况。在某些场合，可在商店内或在卸货时读取标签，因为，携带标签的物品被唯一编号，竞争者可以非常隐蔽地收集大量的数据。  

    (2)竞争市场威胁  

    从商品到达零售商店直到用户在家使用等环节，携带着标签的物品使竞争者可容易地获取用户的喜好，并在竞争市场中使用这些数据。  

    (3)基础设施威胁  

    基础设施威胁包括从商品生产到付款柜台售出等整个环节，这不是RFID本身特定的威胁，但当RFID成为一个企业基础设施的关键部分时，通过阻塞无线信号，可使企业遭到新的拒绝服务攻击。  

    (4)信任域威胁  

    信任域威胁包括从商品生产到付款柜台售出等整个环节，这也不是RFID特定的威胁，因需要在各环节之间共享大量的电子数据，某个不适当的共享机制将提供新的攻击机会。  

    个人隐私威胁包括：  

    (1)行为威胁  

    由于标签标识的唯一性，可以很容易地与一个人的身份相联系。可以通过监控一组标签的行踪而获取一个人的行为。  

    (2)关联威胁  

    在用户购买一个携带EPC标签的物品时，可将用户的身份与该物品的电子序列号相关联，这类关联可能是秘密的，甚至是无意的。  

    (3)位置威胁  

    在特定的位置放置秘密的阅读器，可产生两类隐私威胁。一类是，如果监控代理知道那些与个人关联的标签，那么，携带唯一标签的个人可被监控，他们的位置将被暴露；另一类是，一个携带标签的物品的位置(无论谁或什么东西携带它)易于未经授权地被暴露。  

    (4)喜好威胁  

    利用EPC网络，物品上的标签可唯一地识别生产者、产品类型、物品的唯一身份。这使竞争(或好奇)者以非常低的成本可获得宝贵的用户喜好信息。如果对手能够容易地确定物品的金钱价值，这实际上也是一种价值威胁。  

    (5)星座(Constellation)威胁  

    无论个人身份是否与一个标签关联，多个标签可在一个人的周围形成一个唯一的星座，对手可使用该特殊的星座实施跟踪，而不必知道他们的身份，即前面描述的利用多个标准进行的跟踪。  

    (6)事务威胁  

    当携带标签的对象从一个星座移到另一个星座时，在与这些星座关联的个人之间，可容易地推导出发生的事务。  

    (7)面包屑(Breadcrumb)威胁  

    属于关联结果的一种威胁。因为个人收集携带标签的物品，然后，在公司信息系统中建立一个与他们的身份关联的物品数据库。当他们丢弃这些“电子面包屑”时，在他们和物品之间的关联不会中断。使用这些丢弃的面包屑可实施犯罪或某些恶意行为。  

    标签复制也是RFID面临的一种严重的安全威胁。