RFID(无线射频识别)目前广泛应用于企业的供应链中,同时美国的军方也使用这项技术追踪物资,不过因为信息安全问题的存在,RFID应用尚未普及到至为重要的关键任务中。由于目前RFID主要应用领域对私密性要求不高,对于安全和隐私问题的注意力太少,很多用户对RFID的安全问题尚处于比较漠视的阶段。
到目前为止,还没有人抱怨部署RFID可能带来的安全隐患,尽管企业和供应商都意识到安全是个问题,但他们并没有把这个问题放到首要议程上,仍然把重心放在了RFID的实施效果和采用RFID所带来的投资回报。
然而,像RFID这种应用面很广的技术,具有巨大的潜在破坏能力,如果不能很好地解决RFID系统的安全问题,随着应用扩展,未来遍布全球各地的RFID系统安全可能会像现在的网络安全难题一样考验人们的智慧。
安全厂商RSA安全公司(RSA Security Inc.)研发中心RSA实验室的首席科学家兼主管巴特·卡里斯基(Burt Kaliski)认为,在标签、网络或者数据层面都有可能出现安全隐患,如果执行现行的安全标准,会带来一些问题。荷兰阿姆斯特丹自由大学的科学家称,正在取代无所不在条码的廉价无线电芯片(RFID)不仅威胁隐私,而且很容易受到电脑病毒攻击。
澳大利亚的实验证明,RFID的安全并非滴水不漏,一旦遭攻击恐无法正常运作。澳大利亚埃迪科文大学的研究人员表示,使用频率切换技术不能阻止拒绝服务攻击,因为标签本身不能切换频率。标准的“Gen 1(第一代)”RFID标签和读取装置已被证实无法工作。研究人员表示,他们已经证明对RFID发动有效的攻击是完全可能的。在试验中,在被加载过量的数据后,标准的“第一代”RFID标签和读取装置就无法正常运行了。该大学的SCISSEC 研究小组警告称:较新的UHF 类型的RFID标签中已经发现存在缺陷,应当引起试图在关键任务系统中部署它的组织的警惕。
管理安全服务商Counterpane Internet Security公司的首席技术官Bruce Schneier表示,一块RFID芯片就是一台微型电脑,只是没有屏幕和键盘,但可通过无线电与外界取得联系;RFID也可能不会被黑,但如果是这样的话,它将是计算机历史上第一种不会被黑的电脑。
同时,随着RFID芯片的功能越来越复杂,它们受到攻击的危险也越高。约翰-霍普金斯大学信息安全研究所的技术主管和计算机教授Ari Rubin称,新一代电脑通常更复杂、功能更多,引发的安全问题日益突出。“我们一次次地发现安全只是一个相对的状态,任何安全系统都是被高估的,我们不能掉以轻心,”Rubin说道。这位计算机系教授在此之前,还发现了不少系统所存在的漏洞,其中包括美国大选的电子投票系统以及Wi-Fi网络。
RFID集成商Odin Technologies公司总裁暨CEO Patrick Sweeney认为,配置不佳的RFID系统可能成为黑客攻击的目标,但是要使RFID配置良好以及建设安全的RFID网络只需要基本的技能,具有基本的安全配置的网络就没有这样的问题。 黑客的攻击需要通过访问中间件服务器并将无线封包捕获程序(wireless packet sniffer)放到网络中。Sweeney表示,由于大多数RFID标签只是牌照数据,即使攻击者得到这些数据也不会造成严重的问题。
尽管业内专家坚持认为RFID并不比其它网络设计更脆弱,他们表示这种技术仍然有其独特的安全性挑战。
解决方案提供商Connect802总裁暨首席科学家Joe Bardwell表示,有些机构因为个人信息可能侵害而对采用RFID技术非常谨慎。Bardwell认为,随着智能卡等RFID金融设备越来越普遍,不良分子可能通过这种设备来获取用户的个人信息。
电子产品编码(Electronic Product Code,EPC)标签是标准的低成本RFID标签,有望最终成为最普遍的RFID产品。RSA Laboratories的首席研究科学家Ari Juels认为,EPC标签具有安全性功能,防止非法写入和读取,但是可能被复制和仿冒。 RFID体系结构需要其各组成部分位于网络的边缘与许多公司整合公司网络结构的做法相背。
AbeTech公司专业服务经理Charlie Schmidt认为,使用颜色板和长方形的第二代EPC从安全的角度看相当公开,任何人使用支持这种协议的读取器都能读取数据。许多机构正考虑对RFID传输进行加密来避免安全性问题。Schmidt认为加密增加成本和复杂度,通常他尽力避免客户采用这种方式。Juels表示,尽管还没有发生严重的RFID攻击,考虑保护措施仍然很重要。我们正在开发新型的关键基础设施,不希望等到发生攻击时才考虑补救措施。
因此,专家们都认为,在这项技术大规模应用之前有必要提前解决预计出现的安全隐私问题。这也是为什么RFID行业呼吁建立安全机构的原因。“我们面对最大现实问题是,零售商、消费品制造商等在不断推动RFID的应用,但是没有人真正知道,他们需要什么级别的安全,或者说,他们愿意花钱达到怎样的安全级别。”芯片制造商德州仪器公司(Texas Instruments Inc.)RFID供应链产品总监托尼·萨贝蒂(Tony Sabetti)说。