【IT168 信息化】

    用“春风得意马蹄疾”来形容RFID的发展并不为过。在国外，RFID在访问控制、人的识别系统、货物完整性、防盗以及军事上用途广泛，很多大型零售企业更是对RFID表现出浓厚兴趣。而国内RFID的发展也方兴未艾，不仅有相关的政府部门和科研院所积极推进RFID的标准化和研究工作，同时RFID的商用前景也吸引了国内通信、电子和自动化领域的众多厂商参与，商用化进程开始启动。

    但是，正如任何快速发展的事物一样，RFID的高速增长是否掩盖了其缺陷和不足呢？今年世界电信日重点关注网络安全问题，在这样的时候，RFID作为无线应用领域的新贵，自然引起了人们的注目。而RFID本身也确实存在一些安全隐患，如黑客攻击和隐私泄漏等。

    千里之堤，毁于蚁穴。防微杜渐应是每一个关心RFID发展人士的可贵态度。为此，本报特别邀请了国内RFID领域的权威专家，就RFID安全原理、密码保护及应用中的具体措施和改进方案等进行了探讨。期待专家们的观点能够给读者以启示。
RFID安全需跨越三大门槛

    中科院软件所信息安全重点实验室主任冯登国

    部署和使用RFID系统，关键问题之一是确保只有授权用户能够识别各个标签(Tag)，而攻击者无法对这些标签进行任何形式的跟踪。到目前为止，设计安全、高效和低成本的安全机制仍然是一个具有挑战性的课题。基于密码技术的RFID安全机制分为静态ID和动态ID。好的安全机制必须解决动态ID的“数据同步”问题。 

    基于可证明安全性理论和方法进行安全协议设计和分析，制定相应的安全模型是很好的选择。要解决RFID可追踪性安全问题，必须针对RFID各层来整体解决，任何一个单层面的解决方案都是不全面的，都有可能导致RFID系统出现明显的安全弱点和漏洞。同时，确保安全性还应综合考虑可扩展性、可管理性和系统开销等问题。安全的RFID系统应跨越保密性、信息泄露和可追踪性三大门槛。充分结合物理方法和密码方法来保证安全性。设计安全、高效、低成本的使用RFID安全协议具有很大的挑战性，既有应用环境与RFID设备特殊性和局限性因素，也有与国际相关标准兼容问题。采用可证明安全理论来设计和分析RFID安全协议，提出适用于RFID系统环境的协议模型，对于设计和分析安全的RFID协议具有重要的现实和理论意义。

    信息加密突破RFID安全僵局

    北京邮电大学教授高泽华

    目前，随着RFID技术的不断发展，与RFID相关的应用也大量涌现。但是,在实际使用过程中，RFID的安全性问题也开始凸显。用加密的方法来破解RFID安全性难题是一个办法。不同的加密算法复杂程度不同，对硬件性能的要求也不同。而采用不同的硬件，直接导致在保证安全性的过程中成本投入的大小。

    在选择加密算法时，应综合RFID频率、调制和编码等各种因素，以整体的视野选择最合适的加密算法。同时，RFID有不同的应用领域。在安全监控领域的应用中，使用者对RFID的安全性要求非常高。这时候应采用非常先进的加密算法，并可以配合相应的动态Tag技术或附加加密设备。而在日常应用中，很多信息是可以公开的，没有必要花很大成本去保证此类信息的所谓“隐私”。但是对于一些比较敏感的消费品，比如某些特殊药品，则应区别对待。

    一而言之，加密手段为解决RFID安全性问题提供了一个看似传统但却合情合理的方向。同时，也应该看到，虽然目前存在为数众多的加密协议，但是这些协议还需要不断完善和发展。

    RFID安全性可按需定制

    山东标准化研究所钱恒

    RFID标签的安全问题集中在对个人用户的隐私保护、对企业用户的商业秘密保护、防范对RFID系统的攻击以及利用RFID技术进行安全防范等多个方面。如何保证用户对标签的拥有信息不被未经授权访问；如何避免由于RFID系统读取速度快而不能对超市中所有商品进行扫描并跟踪变化；如何防护对RFID系统的各类攻击；如何避免特制设备伪造标签应答欺骗读写器以制造物品存在的假象；如何把RFID的唯一标识特性用于门禁安防、支票防伪、产品防伪?

    为解决上述安全与隐私问题，人们还从技术上提出了多种方案：包括Kill标签、法拉第网罩、主动干扰、智能标签、阻止标签和Hash锁等方法。这些方法各有自己的特色和不足，必须针对不同应用灵活选择和组合。针对RFID安全性问题，目前还没有一个单独的象RFID频段分配那样的时间表，但随着标签性能的不断完善，安全性会不断提高。比如EPCglobal推出的第二代epc(C1G2)标签，它的安全性就有了大幅度的提高.在RFID芯片中实现了一种失效特性，使用户可以在购买商品后选择是否关闭电子标签。此外，还可采用加密办法，以确保电子标签中的信息只可以被授权的用户进行读或写操作。

    RFID电子标签因其非可视识读和EPC网络中充当载体而与互联网相结合的特点，决定了它的应用领域是在开放式供应链环境下。而对于像军事以及涉及国家安全的产品是不纳入这个开放体系的。以美国为例，在商用领域，沃尔玛等零售巨头力推EPC，在军事领域，美国国防部也在用EPC，但与商用领域不同的是，供应商供给国防部的货物所贴标签的EPC编码用一个专门的编码标头来表示用于其内部供应链使用，在EPC码解析时不参与公共供应链的信息传递。未来我国的军工等涉及国家安全类产品也可参照此方案，采用专门的标头来标明其应用范围，并在闭环网络内进行信息传递。

    方案推荐

    IBM“夹子标签”技术

    随着越来越多的产品使用RFID标签，关注隐私的人士担心RFID可能侵害隐私权。

    虽然一些致力于推动RFID电子产品代码标准的公司也提出了相应的解决方案，比如使用“KILL”命令接触RFID标签功能。但是，这样的做法是个不可逆的，在实际使用中会造成很多不便。例如当消费者在超市购买了不合适的物品需要退还时，RFID标签已经失效，无法后续使用。

    而使用IBM公司最新开发的“夹子标签”技术，尽管天线不能再用，RFID读取器仍然能够直接读取标签，这样隐私就被控制在消费者手中。标签被破坏后能够看出来，满足担心RFID隐私问题的人士的心理需要，而标签实际并没有完全损坏，可以继续发挥作用。

    英飞凌安全方案灵活

    英飞凌公司为物流行业提供的全套RFID解决方案。根据应用行业和具体任务，可在物流管理中采用众多不同的RFID技术。有效传输距离为3m～4m，因此十分适用于装卸环节的上架货物识别。

    高频系统的传输距离一般为70cm。英飞凌在高频RFID系统中采用了一种PJM技术，它能够使物体在传送带上高速通过并被读出，实时读取标签数据。

    针对高端应用中的安全性和灵活性问题，英飞凌目前提供的RFID系统产品在安全性、灵活性、内存容量、速度和防撞击影响方面都具有很高的特性，能满足客户的需要。