安全的解决方案已经存在,许多RFID硬件和系统供应商已经准备实施。有必要让最终用户认识到的是对于安全性的需要,即使在系统设计中它会带来一些额外的成本。
之前,展望未来一年RFID发展的文章大多集中于供应链、资产追踪、访问控制、智能手机或其他几个重点应用RFID的领域,因为在上述领域里 RFID可以提供显著的优势。的确,市场的增长是很重要的。但是,如果应用的开展不包含足够的安全防范措施就会构成潜在的风险,这种风险不仅是针对技术的使用者,而且是针对整个行业的。
安全的解决方案已经存在,许多RFID硬件和系统供应商已经准备实施。有必要让最终用户认识到的是对于安全性的需要,即使在系统设计中它会带来一些额外的成本。
2010年,安全方面的考虑会被列为RFID系统设计的重要组成部分吗?
不好的经验
早期甚至现在有足够的例子证明在实施RFID系统时安全问题没有经过深思熟虑。许多早期的错误可以归因于参与试点的这些技术人员太过关注如何利用RFID技术获得好处,但他们没有想到,有人别有用心地试图攻击、破坏或损坏系统。
就拿顾客会员卡做例子,有人会用一个不同的顾客ID号重新编程,这一举动连相当偏执的人都无法预料和理解(很难理解修改顾客ID号的人可以获得什么潜在的利益)。 因此,如果安全没有考虑进去,会员卡就被解锁,这样它的数据可以很容易地被改变。
虽然这个例子比较深奥,但它应该引起设计和实施RFID系统的人的安全意识。 不幸的是,它没有。
RFID的安全考虑
今天,涉及到网络安全的身份盗窃、企业财务记录被破坏、网络恐怖主义的威胁一直在新闻里出现。RFID的安全应该是同样做考虑的。
也许墨菲法则(RFID射频快报注:事情如果有变坏的可能,不管这种可能性有多小,它总会发生)的修订应该张贴在每一个设计、实施或使用RFID的人员的办公室里,这样才能触发对于安全的自觉的思考:“任何有可能被破坏的东西就会被破坏。”
并非无望
首先,不管RFID的实施有任何实际或理论的漏洞,但不采用RFID往往更容易受到攻击、欺骗或陷害。以RFID汽车防盗系统为例。虽然这些编码可以通过精密设备破解,但不一定很快或很容易就能完成。而不采用RFID的话就没有额外的安全性,使汽车容易被几乎没有任何技术的人用几个简陋的工具就实施了盗窃。
二是提供RFID的安全性有很多选择,包括读取标签的ID号、标签/阅读器的认证、专用的卡片只有在被用户激活之后才能被读取、高技术水平的公共密钥加密和类似于金融交易系统的后端的安全系统。 RFID标签/阅读器的解决方案和系统的解决方案都是可行的。因此,并不是RFID系统不能担保安全,只是其中很多RFID系统在实施时相关人员没有带着安全意识。
第三, 重要的是要认识到,没有一项技术可以100%安全。无论是像房屋或汽车钥匙那么基本而简单的事物还是政府的数据库这样复杂的事物,都有可能受到罪犯的攻击。安全的基本原则是要尽可能的使犯罪分子难以搞破坏。或者是在一些敏感的或关键的应用里添加第三层安全(RFID射频快报注:加密、PIN码、密码、生物识别、保安人员等)使犯罪分子不太可能成功入侵一个系统。
最后,在解决未经许可的隐私数据访问问题的时候,标签数据安全是必不可少的保证。
安全是一个机会
对于RFID供应商来说,RFID潜在的漏洞(实际的或理论的)并不是阻碍,而是一个机会。在设计RFID系统时将安全性考虑进去可使供应商为客户提供一项额外的服务,它还可能为客户提供一个额外的手段,客户不仅可以防止安全漏洞,还可能查明相关责任人。
对于RFID技术的用户来说,标签和系统数据足够的安全性可以解除隐私方面的担忧,同时采用RFID可以提高效率、降低成本,当然还带来安全性。
开发一套精密的、可行的和具有成本效益的RFID系统,其安全性要求对潜在威胁方法、攻击的可能性、数据的价值、利益和潜在的对策进行全面分析。
AIM的RFID技术专家组 (RFID射频快报注:REG)制订了执行的准则,现在正作为一个ISO / IEC技术报告,讨论RFID标签数据的安全性,并研究开放式系统的解决方案。
结论
虽然我们期待着2010年,RFID试点项目和实施数量将继续增加,RFID的更多新应用能被探讨和部署,我们还必须认识到2010年,RFID一定要作为一个安全和可靠的解决方案来部署。