随着RFID技术的广泛应用,在RFID读写器、电子标签和网络等各个环节,数据都存在安全隐患,安全与隐私问题已经成为制约RFID技术的主要因素之一。RFID领域有广义和狭义之分。狭义的RFID产品特指物流领域应用的产品,如前几年比较热的EPC G2 UHF RFID,这类RFID追求的是低成本和高效率,安全要求不是太高。从广义上讲,RFID是包含一切射频技术的ID产品,如非接触IC卡。RFID不仅仅具有身份识别的功能,还会扩展出更多的应用,特别是金融支付应用,用户对产品的安全有更高的要求。
用户看到的RFID产品,实际上包括芯片、模块、镶套、标签或卡片等制造工序(某些倒装工艺会省掉模块工序),因此RFID产品质量不能局限在芯片上,而要从标签或卡片的角度予以关注。从实际的质量反馈来看,首先,RFID的物理损坏(芯片开裂、天线脱离)往往占绝大多数,因此RFID的封装工艺质量最值得关注;其次,RFID的射频性能往往影响到用户的使用体验,这包括RFID芯片和机具两方面的设计质量;再次,对于RFID应用来说,协议和工作流程也非常重要,特别是对一些安全性要求高的应用,交互流程的设计对应用质量往往起到决定性作用。
RFID安全具有举足轻重的重要性。其实,安全性不是指单一的某个方面,RFID产品的安全除了体现在产品本身的设计上,更多地要在应用端通过管理手段来实现。在RFID产品的安全技术上,一方面是安全算法和应用的研究,包括加密机制的实现,特别是应用流程的完备性方面;另一方面,则是站在系统的角度研究DFS(安全设计)技术,这里包括可靠性设计防止故障类攻击(如高低工作电平检测、高低工作频率检测、高低工作温度检测等)、防探测设计(光检测、探针检测)、防电源分析攻击(SPA、DPA 等)以及防模式攻击(合理设计工作模式的转换机制)等。但无论采用何种安全技术,都需要相应的管理制度相配合,才能达到安全的目的。
从纯粹的技术角度看,无论是对称加密技术(DES、 AES或者国密算法SM1)还是非对称加密技术(RSA、ECC或者国密算法SM2)都已发展得比较成熟。对于原来非常高端的非对称加密算法,随着工艺的进步,其成本已逐步降到可接受的程度。所以,RFID应用的安全,不仅仅是RFID标签本身的安全技术,关键是系统上的安全方案和管理制度。RFID安全问题是个系统问题,关注的焦点不应该只局限在RFID产品本身上。
在RFID系统中,数据信息可以能受到人为和自然原因的威胁,数据的安全性主要用来保护信息不被非授权的泄露和非授权的破坏,确保数据信息在存储、处理和传输过程中的安全和有效使用。RFID标签数据的安全性主要是要解决信息认证和数据加密的问题,以防止RFID系统非授权的访问,或企图跟踪、窃取甚至恶意篡改RFID电子标签信息的行为。
信息认证是指在RFID数据交易进行前,超高频读写器和RFID标签必须确认对方的身份,即双方在通信过程中首先应该相互检验对方的密钥,才能进行进一步的操作。数据加密是指经过身份认证的电子标签和鸿陆RFID读写器,在数据传输前使用密钥和加密算法对数据明文进行处理,得到密文,在接收方使用解密密钥和解密算法将密文恢复成明文。信息认证和数据加密的设置有效地实现了RFID标签数据的安全性,但同时其复杂的算法和流程也提高了RFID系统的成本。对一些低成本标签,它们往往受成本严格的限制而难以实现上述复杂的密码机制,此时可以采用一些物理方法限制标签的功能,防止部分安全威胁。