RFID应用中存在的信息安全问题在标签、网络和数据这三个层面均可能出现。

许多信息安全技术和标准在现有的其他系统中都已经有了很好的应用，这些技术和标准可以为RFID的信息安全所借鉴。比如在银行卡授权和大楼出入系统等应用中，已经有许多安全标准被采用，如ISO15693数据认证标准。而RFID技术又有其自身的特点，所以现行的安全规范如果应用于RFID系统也可能会引起一些问题。举例而言，如果对标签进行加密，就会大大消耗标签的处理能力，并增加标签的成本。

RFID应用中存在的信息安全问题在标签、网络和数据这三个层面均可能出现，所以本文就这三个方面对RFID的信息安全技术进行了分析。

标签上的“隐私”

标签的体积虽小，但是其潜在的安全问题却不容忽视。对于刚刚使用RFID的企业，RFID标签很容易被黑客、商店扒手或不满的职员所操控。大多数支持EPCglobal标准的无源标签只能写入一次，但是支持ISO等其他标准的RFID标签，就具备多次写入的功能。2005年春天，支持EPCgolbal超频第二代协议的RFID标签大量上市，这些标签也支持多次写入功能，由于没有写保护功能，这些无源标签可以被更改或写入“好几千次”，DN系统企业互联网解决方案公司的咨询师Lukas Grunwald说。

为了应对RFID标签的安全问题，很多建议、技术已经规范开始出现。

例如，给每一个产品惟一的电子产品代码，类似于汽车的牌照号码，一旦有人想破坏安全，他得到的只是单个产品的信息，这样的话，就不值得花时间去解码。不过，Unisys Corp的全球可视贸易方案副总裁Peter Regen认为这种方法门槛太高，没有人会这么做。

新的EPCgolbal超频第二代协议标准增强了无源标签的安全性能。据EPCglobal产品管理总监Sue Hutchinson介绍，新标准不仅提供了密码保护，而且能对数据从标签传输到读取器的过程进行加密，而不是对标签上的数据进行加密。

隐私安全问题主要体现在RFID标签上。一种想法是“软屏蔽器”（soft blocker）。它能加大对顾客的隐私偏好的保护，不过这是在商品已经购买之后。在销售点，顾客会出示其会员卡，通过这张卡就能看到其隐私偏好的数据。“商品购买之后，销售点就会立即对隐私数据进行更新，保证这些数据不会被某些读取器读取，比如供应链读取器。”RSA实验室RFID解决方案构架师Dan Bailey说。软屏蔽器可能是解决RFID标签隐私问题的一个好办法，在EPCglobal第二代标签中就加入了这种功能。

借鉴其他网络技术

在零售商店中，或者在货物从一个地点运输到另一个地点的过程中，有很多机会可以覆盖甚至修改RFID标签上的数据。这种漏洞在公司用来处理贴有RFID标签的货箱、托盘或其他货物的网络上同样存在。这些网络分布在公司的配送中心、仓库或商店的后台。未经安全处理的无线网络，给拦截数据带来了机会。而在RFID读取器的后端是非常标准化的互联网基础设施，因此，RFID后端的网络存在的安全问题及其机会和互联网是一样的。

在读取器后端的网络中，完全可以借鉴现有的互联网络的各种安全技术。

解决办法是，确保网络上的所有阅读器在传送信息给中间件（中间件再把信息传送给企业系统）之前都必须通过验证，并且确保阅读器和后端系统之间的数据流是加密的。部署RFID阅读器时应采取一些非常切合实际的措施，确保验证后方可连入企业网络，并且不会因为传输而被其他人窃取重要信息。比如，基于Symbol Technologies和ThingMagic等公司的技术的阅读器支持标准的网络技术，包括防止未授权者访问的内置验证方法。

为了防止有人窃听RFID阅读器发出的功率较高的信号，一个办法是采用名为“无声爬树”的反窃听技术。RSA实验室的首席科学家兼主任Burt Kaliski表示，在RFID无线接口的限制范围内，这种方法可确保阅读器绝不重复发送标签上的信息。RFID标签上的数字不是由阅读器播送，而是被间接引用，接收端中间件知道如何解释这些数字，而窃听者却不知道。

“透明”引发的数据危机

虽然RFID技术的应用提高了整个供应链的透明度，但由此也引发了人们对数据安全的担忧。企业对数据需要有很强的安全感，对于企业而言，他们的数据，包括和他们业务相关的信息数据，不再仅仅是他们自己的数据，也是他们贸易伙伴的数据，VeriSign公司解决方案市场营销经理Beth Lovett说。

2005年，Johns Hopkins大学和RSA实验室的专家宣布使用在高安全性车钥匙和加油站付费系统中使用RFID技术的密码弱点。

针对RFID业界的一个主要担忧RFID标签有可能被仿冒，它的编码系统有可能被复制。XINK公司的新墨水可以消除这种隐患，这是一种理论上不可见的印刷墨水。把这种墨水与Creo公司的隐形标签技术结合，标签被仿冒的担忧就可以消除。

大部分的RFID产业拥有者都意识到标签资料保密性的重要，一些厂商对 RFID 的私隐问题作出了很大的努力，并且提供了几个可行的解决方案，例如:

● 使用探测器探测其他 RFID 阅读器的存在，以防上资料暴露;

● 为RFID 标签编程，使其只可能与己授权的 RFID 阅读器通信;

● 采用EPCglobal 所提倡的消除标签资料 (kill tag) 协议，禁止资料残留于被弃用的标签上;

● 采用更强的加密及安全功能。

因为许多专家都认为，

可能的解决办法

RFID网络中安全威胁主要有两方面，一是从读写器传到后台之间的网络漏洞给系统和后台信息造成潜在威胁，二是RFID系统后台网络是借助于标准的互联网设施，因此RFID后台网络中存在的安全问题和互联网是一样的。因此射频识别(RFID)技术面临网络安全挑战，这是参与TechBiz Connection有关RFID研讨的嘉宾得出的一致意见。

对第一种威胁，研究机构Forrester 公司的分析师劳拉·科茨勒（Laura Koetzle）指出，如果竞争对手或入侵者把他们开发出来的“恶意标签”装到未经安全处理的网络上，他们就可以把所有扫描到的数据传输出去。这就是一种网络漏洞造成的系统泄漏。另外与其它无线技术类似，对于没有使用带内置协议如安全壳及安全槽层的设备来确保其RFID网络安全无忧的公司来说，存在着安全风险。因为对于无线平台的供应链应用网络来说“攻破它是非常轻而易举的事情。”

对第二种威胁，最近，三位计算机研究者在意大利比萨举办的一次会议上就曾发表了一篇关于计算机病毒如何传染RFID的论文。因此，RFID中间件开发商必须作一些适当的检查，来防止RFID在受到Internet上的漏洞攻击时重蹈覆辙。他们在论文中还写道:“操纵标签上少于1000位的RFID数据就能够开拓安全漏洞来影响RFID中间件，暗中进行破坏活动;严重的情况下，也许能够危及到整个计算机、或者整个网络的安全。”幸运的是RFID中间件除了能够将监测RFID信号的硬件与后台能够利用RFID信息的企业软件连接起来，更重要的一点，它可以继承传统中间件在安全方面的优势，帮助RFID应用削减安全隐患。

阿姆斯特丹自由大学的研究者Andrew S. Tanenbaum、Bruno Crispo和Melanie R. Rieback也讨论了该问题并总结道，RFID恶意软件就是一个“潘多拉魔盒”。因为对于研究者来讲，典型的攻击目标就是RFID中间件，同时从RFID标签来的数据能够用来攻击后端的软件系统。

当数据在EPCglobal网络上交换时，使用者希望现有的一些安全手段，比如防火墙和其他接入管理技术也能用来保护网络中数据安全，并确保只有被授权者才能接触到数据，VeriSign公司的技术人员说。VeriSign公司目前协助解决这些问题。

保护RFID数据安全的解决方案

另一方面，如果系统与消费者相关联，则存在于上述消费者应用类似的风险。国防和军事领域的RFID应用的安全风险类似于企业应用，但是它则完全涉及到国家的安全。

由于保存于阅读器或者后端系统中的数据属于传统信息安全的范畴，标签中的数据安全和标签与阅读器通信安全就需要相应的解决方案。如表中所示。

对于某些不需要经常移动的被标签目标，可以通过常规的物理安全手段限制对标签的访问。不幸的是，被标签的目标一般都需要移动。

◆只读标签

这种方式消除了数据被篡改和删除的风险，但是仍然具有被非法阅读的风险。

◆限制标签和阅读器之间的通信距离

采用不同的工作频率、天线设计、标签技术和阅读器技术可以限制两者之间的通信距离，降低非法接近和阅读标签的风险，但是这仍然不能解决数据传输的风险还以损害可部署性为代价。

◆实现专有的通信协议

在高度安全敏感和互操作性不高的情况下，实现专有通信协议是有效的。它涉及到实现一套非公有的通信协议和加解密方案。基于完善的通信协议和编码方案，可实现较高等级的安全。但是，这样便丧失了与采用工业标准的系统之间的RFID数据共享能力。当然，还可以通过专用的数据网关来进行处理。

◆屏蔽

屏蔽掉标签之后，也同时丧失了RF特征。但是在不需要阅读和通信的时候，这也是一个主要的保护手段。特别是包含有金融价值和敏感数据的标签（高端标签，如智能卡）的场合。可以在需要通信的时候接触屏蔽。

◆使用杀死命令（Kill Command）

Kill命令是用来在需要的时候是标签失效的命令。接收到这个命令之后，标签便终止其功能，无法再发射和接收数据。屏蔽和杀死都可以使标签失效，但后者是永久的。特别是在零售场合，基于保护消费者隐私的目的，必须在离开卖场的时候杀死标签。这种方式的最大缺点是影响到反向跟踪，比如退货、维修和服务。因为标签已经无效，相应的信息系统将不能再识别该数据。

◆物理损坏

物理损坏是指使用物理手段彻底销毁标签，并且不必像杀死命令一样担心是否标签的确失效，但是对一些嵌入的、难以接触的标签则难以做到。

◆认证和加密

可使用各种认证和加密手段来确保标签和阅读器之间的数据安全。比如，直至阅读器发送一个密码来解锁数据之前，标签的数据一直处于锁定状态。更严格的还可能同时包括认证和加密方案。但是标签的成本直接影响到其计算能力以及采用的算法的强度。因此，一般来说，在高端RFID系统（智能卡）和高价值的被标签物品场合，可以采用这种方式。

◆选择性锁定

这种方法使用一个特殊的称为锁定者（Blocker）的RFID标签来模拟无穷的标签的一个子集。这一方法可以把阻止非授权的阅读器读取某个标签的子集。

这一方法克服或者平衡了以上方法的缺点，也消除了加密和认证方案带来的高成本性。这一方法在安全性和成本之间取得了较好的平衡。需要的时候，Blocker标签可以防止其他阅读器读取和跟踪其附近的标签，而在需要的时候，则可以取消这种阻止，使标签得以重新生效。

◆推荐安全策略

没有任何一个单一的手段可以彻底保证RFID应用的安全。在很多时候，都需要采用综合性的解决方案。对于采用某些标准的RFID应用，比如ISO 或者EPCglobal，标准体系对安全有其自己的考虑和解决。

不管如何，在实施和部署RFID应用系统之前，必须进行充分的业务安全评估和风险分析，考虑综合的解决方案、考虑成本和收益之间的关系。

链接一:RFID研究中心简介

中科院自动化所RFID研究中心是中国科学院面向RFID技术的核心研发部门，对RFID技术领域的战略发展、关键技术、标准、测试、应用以及产业链形成等具有重要应用前景的理论和方法进行研究、开发和应用，目前已主持完成863计划“物流应用中的RFID分析测试技术研究”和“无线射频关键技术研究与开发”两项课题，并顺利通过验收。中心目前正在进行RFID关键测试方法和仪器研发、RFID公共服务体系开发，以及RFID在家电全生命周期管理中的应用等具有重要意义和产业化前景课题的研究，还将于10月中下旬主办第三届RFID学术论坛(3rd RFID Academic Convocation)。

链接二:三种前端解决方案

针对RFID前端无线装置和协议面临的威胁，部份厂商考虑采用以下几种解决方案：

加强对 RFID 标签数据的保护

设置标签记忆体密码。

设置标签记忆体开关键。

为标签记忆体进行认证。

加强对 RFID 阅读器的完整性之维护

设置阅读器保护功能。

设置阅读探测器。

加强个人私隐资料处理之安全

使用消除标签资料技术。

使用法拉第杯技术。

使用有源干扰技术。

使用RSA加密演算法防干扰技术。

使用逻辑式缓冲区散列锁技术。

BSI（德国联邦信息安全办公室）也对RFID系统数据保护提出了要求，据该办公室的评估，在系统设计中包含数据安全和匿名个人信息的要求应该尽快执行，为了在充分利用RFID带来的机会的同时尽量减少对隐私安全的威胁，在RFID系统设计和市场应该在初期就颁布数据保护法。

到目前为止，在EPCglobal网络上使用哪个标准来保障数据安全还没有清晰确定。而最新的版本EPCglobal Certificate Profile V1.0在2006年3月已经正式公布在EPCglobal网站上。安全规范涵盖了EPCglobal Network所有组件间的数据安全，从企业间透过EPCIS接口的数据交换，到RFID Reader与Middleware的沟通，以及Reader管理系统等。

当数据在EPCglobal网络上交换时，现有的一些安全手段，比如防火墙和其他接入管理技术可以用来保护数据安全，并确保只有被授权者才能接触到数据。一些公司具有很好的数据安全实践，他们可以把经验应用到RFID项目上。

有关RFID数据安全问题，还有一些技术正在开发中。

比如，SAP正与合作伙伴共同开发新的数据库查询技术，可以让商品生产商和零售商交换RFID数据，不必在无法由数据所有者控制的服务器上建立数据副本，一些数据存放在中央虚拟资料库中，而其他重要数据分开查询。SAP公司全球业务开发副总裁Amar Singh说，“采用我们的技术后，零售商不用再把查询信息公布在虚拟环境中的某个地方。他们可以直接从制造商那儿获得查询的数据。”数据出现的地方越多，风险就越大。

预计现有的安全方法，如防火墙及其他访问管理技术，会被用于数据通过EPCglobal网络交换时只提供给授权方，确保数据安全。

惠普实验室的Pradhan认为: “我们所讨论的有关公司之间共享信息的问题，如怎样确保信息不会落入旁人之手，可借助典型的IT系统得到解决。因为就这些系统而言，我们对安全相当了解。”而进一步的开发正在进行中。

链接:RFID信息安全产品

RFID信息安全的产品，大部分也是基于标签、网络和数据这三个层面。

标签

RFID标签安全产品，主要是物理的硬件性质的。

2004年初，RSA演示了其特别设计的RSA屏蔽器标签（RSA Blocker Tag）。把这个屏蔽器装在购物袋上，RFID读取器就不能读取放在购物袋中的商品的RFID标签，系统会显示“拒绝服务”。

IBM研究人员模仿刮奖彩票的方法研究出一种在利用RFID标签时可以保护消费者隐私的方法。IBM的建议就是在标签上附加一个可以部分被破坏掉的RFID天线，这样消费者在完成购物后可以将部分天线去除，标签整体上依然可以发挥作用，但是它的可读取范围大大缩小了，从而达到保护消费者隐私权，同时也使制造商和贸易商的利益不受损害的“双赢”目的。按照协议，IBM的行列式和热感应印条码印表机将继续使用Printronix，IBM的产品组合也将Printronix无线射频辨识(RFID)加密技术纳入。

2005年9月，XINK公司开发了一种新墨水可以消除RFID标签被仿冒从而其编码系统被复制的隐患，这是一种理论上不可见的印刷墨水，在货币防伪上面已经有采用。把这种墨水与Creo公司的隐形标签技术结合，标签被仿冒的担忧就可以消除。

杜邦鉴别系统（DAS）公司制作出了3D成像技术的RFID标签用以增强产品的防伪性。3D图像可以很直观地证明信息的真实度，因此可以与RFID标签结合起来。如果有人想把正品上的防伪标签撕下贴到伪造品上去，那么3D效果的图像就整个被破坏掉了。

网络

ThingMagic公司副总裁Kevin Ashton表示，安全壳(Secure shell)和安全槽层(secure socket layer)这两大基础安全技术，有望成为RFID设备的标准。该公司已开始将这些技术集成到它们的RFID读卡器内。该公司开发的RFID读取器技术具有内置验证功能，确保“恶意读取器”无法窃取数据。而且同时必须确保网络上所有的RFID读取器，在传输数据到中间设备然后再到系统之前，都要经过验证。

在读取器后端的RFID网络中的信息安全问题的解决方法，完全可以参照互联网的信息安全解决办法和一些有较好经验的公司的现有产品。

数据

2005年，无线安全软件开发商Columbitech宣布无线VPN支持RFID读取器的信息安全。这次升级的内容包括加强安全架构建设，为应用单位的无线通信提供特别安全保护。

由AeroScout、Ekahau、思科和其他公司联合开发的整合技术，是建立在使用Wi-Fi网络频率基础之上的有源RFID系统，这类系统允许终端用户利用现存的无线数据网设施。在这种技术框架下，由于有源RFID标签和Wi-Fi接点之间的对话非常简短，所以“偷听”几乎是不可能的事。