由于生产规模增大和成本的降低,RFID的发展正在迈入普及性发展阶段。国际上几大标准化组织正加紧制定RFID的相关标准,而美国、欧洲和日本等发达国家正在布局国际标准的主导权和产业主导权。
2006年7月中旬,EPCglobal于2004年12月建立的第2代电子标签空中接口规范,经过ISO审核后被批准为C类UHF电子标签标准,列入ISO/IEC18000-6修订标准1。获知此消息后,EPCglobal主席极为兴奋地指出,“这是一个重要的里程碑。”也就是说,EPC的UHF电子标签的核心标准已被确认为正式的国际标准。这将对全球UHF电子标签及其读取器的开发和制造产生重要影响。
国内有关专家强调,“空中接口规范涉及的频段分配和信息识别处理,具体应用中涉及的编码方式、存储规则及数据内容等数据格式标准,涉及到每个国家和企业的利益与安全。”该空中接口规范的最终选择,必然会影响全球各个厂商的市场份额,进而影响RFID产业链各个环节的互动与合作。应该说,EPCglobal已占据了有利地位,并在实际上已主导了RFID的全球标准。
RFID作为21世纪的重要信息技术,一直以来都受到广泛关注。从2003年起,世界各地在RFID技术开发上获长足进展。特别是美国、欧洲各国、日本和韩国的厂商和研究机构纷纷投入大量人力和物力,研究和开发RFID技术、标准、产品和相关行业应用。在今年内,国际上就可形成上亿规模的生产能力,成本低于0.05美元(不足4角钱人民币)的电子标签将可能以数100万规模批量生产。
根据数量经济学的原理,由于生产规模增大和成本的降低,RFID的发展正在迈入普及性发展阶段。国际上几大标准化组织正加紧制定RFID的相关标准,而美国、欧洲和日本等发达国家正在布局国际标准的主导权和产业主导权。
面对国际上RFID快速发展的态势和我国经济在国际贸易上越来越重要的地位,形势要求我们应当进一步加快我国RFID的发展进程。
EPCglobal拟主导世界RFID标准
以美国和欧洲为主导的RFID标准化组织EPCglobal,目前已在35个国家拥有800多个企业会员,其中包括不少世界500强巨头,一些中国企业也已成为其会员。EPCglobal已成为会员数目最多、影响最大的RFID标准化组织。携目前已拥有的优势,EPCglobal已将其第2代EPC标准提交给了国际标准化组织ISO,并积极运作使其成为国际通用的标准。
第2代EPC标准于2002年10月由麻省理工学院的自动识别中心(Auto-ID Center)在美国罗得岛州启动。经商定,第2代的EPC标准将满足3项要求:1、提高第1代RFID标签(以下亦称电子标签)的性能,特别是在读取大量电子标签的速度方面;2、促进EPC标签的Class 0协议和Class 1协议趋于融合;3、为新进入的RFID厂商提供进入市场的机遇。
2003年11月EPCGlobal接替麻省理工学院自动识别中心,开始主持全球EPC电子签标的标准制定与产品开发。2004年,在EPCGlobal的领导下,更多的用户和厂商加入标签开发并参与商定第2
代EPC的UHF标签的最终规范。该规范于2004年年底获得批准,随后符合第2代标准要求的商用标签陆续推向市场。可以说,正是确定了标准之后,第2代EPC的UHF电子标签从2005年起正式商用。而到2006年6月,许多厂商已能够向市场大批量提供第2代EPC电子标签。
第2代EPC电子标签的特点是:支持长达256位的电子产品编码(EPC),而第1代标签支持最多96位的电子产品编码。这是采纳日本UID中心的建议所做出的改动。
第2代EPC标签支持“密集询问器信道化信令”(dense-interrogator channelized signaling)的方式。密集询问器信道化信令又称为“密集阅读器模式”(dense reader mode),该模式通过减少EPC阅读器之间的干扰,从而实现信息的准确获取和识别。这将有利于多个阅读器的同时使用。当然实际性能还取决于其他因素,其中包括其他设备的幅射干扰,例如超高频无绳电话、工业设备以及原有的超高频无线局域网设备等。
第2代EPC标签的另一显著特点是支持多种协议。也就是说,其可兼容多种调制方式所提供的不同的方法,从而实现同一的识别功能,即获取标签中的数据。
从2002年起步的第2代EPC标签,经数年研发和产业化,目前已成为门类齐全、标准内容完善的产品。通过传统的国际贸易和物流的渠道,其影响力越来越强。目前除了大量用于传统的物流和零售业之外,EPC电子标签已开始用于生产管理和物品跟踪。在物品跟踪和实时管理上一个典型的案例是EPCglobal US在2005年与波音公司合作,研究追踪物体和维修记录的最佳方式。
EPCglobal US认为,航空业供应链大约有95%的环节可以应用RFID技术,RFID技术在航空业的发展潜力巨大。具体的应用方向包括随时记录航空部件的维修情况和实时运行监控等。如果维修保养及时,一架现代化的喷气式飞机可以工作30年以上。利用RFID技术能够做到飞机的实时监护,有助于提高航空器的安全性能和使用寿命。
特别值得一提的是,由于标准确立的时间早,经4年多实践,第2代EPC标签的成本已大幅度降低。2006年其单价为0.10美元。其中部分产品单价仅为0.08美元(约合0.64元人民币)。预计2007年将降至0.05美元(约合0.40元人民币)。这就为第2代EPC标签的普遍应用创造了条件。
EPC global1很早就开始在中国市场布局。2000年,复旦大学自动识别技术实验室就参与了EPC global1前身、美国麻省理工学院Auto-ID Center的研究活动。2004年4月22日,RFID的全球化标准组织EPC global China在京成立。一些中国企业随即加入了EPC global。
2006年EPCglobal绕道中国香港,在珠江三角州布局其EPC电子标签产业链。2006年4月底,香港为了发展高新技术,由创新科技署拨款20多亿港元的创新科技基金,在香港投资建立了5个研究和开发中心。香港工商科技局局长王永平称,这些研发中心将以“国家重点实验室”的名义参与内地高科技及重点研究,并参与制定国家标准。开发电子标签技术作为重点项目已列入其中。EPCglobal看好这一机会,利用国家对香港的优惠政策,借助香港货品编码协会,利用CEPA(内地与香港关于建立更紧密经贸关系的安排)提供的优待条件,投资240万港币已在广东省建立了4条采用EPC电子标签技术的试验供应链。
EPCglobal在其第2代电子标筌布局成功的基础上,已筹划2006年底至2007年初启动第3代电子标筌的研究和开发,当然仍然是标准先行。
#p#2005年,Johns Hopkins大学和RSA实验室的专家宣布使用在高安全性车钥匙和加油站付费系统中使用RFID技术的密码弱点。
针对RFID业界的一个主要担忧RFID标签有可能被仿冒,它的编码系统有可能被复制。XINK公司的新墨水可以消除这种隐患,这是一种理论上不可见的印刷墨水。把这种墨水与Creo公司的隐形标签技术结合,标签被仿冒的担忧就可以消除。
大部分的RFID产业拥有者都意识到标签资料保密性的重要,一些厂商对 RFID 的私隐问题作出了很大的努力,并且提供了几个可行的解决方案,例如:
● 使用探测器探测其他 RFID 阅读器的存在,以防上资料暴露;
● 为RFID 标签编程,使其只可能与己授权的 RFID 阅读器通信;
● 采用EPCglobal 所提倡的消除标签资料 (kill tag) 协议,禁止资料残留于被弃用的标签上;
● 采用更强的加密及安全功能。
因为许多专家都认为,
可能的解决办法
RFID网络中安全威胁主要有两方面,一是从读写器传到后台之间的网络漏洞给系统和后台信息造成潜在威胁,二是RFID系统后台网络是借助于标准的互联网设施,因此RFID后台网络中存在的安全问题和互联网是一样的。因此射频识别(RFID)技术面临网络安全挑战,这是参与TechBiz Connection有关RFID研讨的嘉宾得出的一致意见。
对第一种威胁,研究机构Forrester 公司的分析师劳拉·科茨勒(Laura Koetzle)指出,如果竞争对手或入侵者把他们开发出来的“恶意标签”装到未经安全处理的网络上,他们就可以把所有扫描到的数据传输出去。这就是一种网络漏洞造成的系统泄漏。另外与其它无线技术类似,对于没有使用带内置协议如安全壳及安全槽层的设备来确保其RFID网络安全无忧的公司来说,存在着安全风险。因为对于无线平台的供应链应用网络来说“攻破它是非常轻而易举的事情。”
对第二种威胁,最近,三位计算机研究者在意大利比萨举办的一次会议上就曾发表了一篇关于计算机病毒如何传染RFID的论文。因此,RFID中间件开发商必须作一些适当的检查,来防止RFID在受到Internet上的漏洞攻击时重蹈覆辙。他们在论文中还写道:“操纵标签上少于1000位的RFID数据就能够开拓安全漏洞来影响RFID中间件,暗中进行破坏活动;严重的情况下,也许能够危及到整个计算机、或者整个网络的安全。”幸运的是RFID中间件除了能够将监测RFID信号的硬件与后台能够利用RFID信息的企业软件连接起来,更重要的一点,它可以继承传统中间件在安全方面的优势,帮助RFID应用削减安全隐患。
阿姆斯特丹自由大学的研究者Andrew S. Tanenbaum、Bruno Crispo和Melanie R. Rieback也讨论了该问题并总结道,RFID恶意软件就是一个“潘多拉魔盒”。因为对于研究者来讲,典型的攻击目标就是RFID中间件,同时从RFID标签来的数据能够用来攻击后端的软件系统。
当数据在EPCglobal网络上交换时,使用者希望现有的一些安全手段,比如防火墙和其他接入管理技术也能用来保护网络中数据安全,并确保只有被授权者才能接触到数据,VeriSign公司的技术人员说。VeriSign公司目前协助解决这些问题。
保护RFID数据安全的解决方案 
另一方面,如果系统与消费者相关联,则存在于上述消费者应用类似的风险。国防和军事领域的RFID应用的安全风险类似于企业应用,但是它则完全涉及到国家的安全。
由于保存于阅读器或者后端系统中的数据属于传统信息安全的范畴,标签中的数据安全和标签与阅读器通信安全就需要相应的解决方案。如表中所示。
对于某些不需要经常移动的被标签目标,可以通过常规的物理安全手段限制对标签的访问。不幸的是,被标签的目标一般都需要移动。
#p#◆只读标签
这种方式消除了数据被篡改和删除的风险,但是仍然具有被非法阅读的风险。
◆限制标签和阅读器之间的通信距离
采用不同的工作频率、天线设计、标签技术和阅读器技术可以限制两者之间的通信距离,降低非法接近和阅读标签的风险,但是这仍然不能解决数据传输的风险还以损害可部署性为代价。
◆实现专有的通信协议
在高度安全敏感和互操作性不高的情况下,实现专有通信协议是有效的。它涉及到实现一套非公有的通信协议和加解密方案。基于完善的通信协议和编码方案,可实现较高等级的安全。但是,这样便丧失了与采用工业标准的系统之间的RFID数据共享能力。当然,还可以通过专用的数据网关来进行处理。
◆屏蔽
屏蔽掉标签之后,也同时丧失了RF特征。但是在不需要阅读和通信的时候,这也是一个主要的保护手段。特别是包含有金融价值和敏感数据的标签(高端标签,如智能卡)的场合。可以在需要通信的时候接触屏蔽。
◆使用杀死命令(Kill Command)
Kill命令是用来在需要的时候是标签失效的命令。接收到这个命令之后,标签便终止其功能,无法再发射和接收数据。屏蔽和杀死都可以使标签失效,但后者是永久的。特别是在零售场合,基于保护消费者隐私的目的,必须在离开卖场的时候杀死标签。这种方式的最大缺点是影响到反向跟踪,比如退货、维修和服务。因为标签已经无效,相应的信息系统将不能再识别该数据。
◆物理损坏
物理损坏是指使用物理手段彻底销毁标签,并且不必像杀死命令一样担心是否标签的确失效,但是对一些嵌入的、难以接触的标签则难以做到。
◆认证和加密
可使用各种认证和加密手段来确保标签和阅读器之间的数据安全。比如,直至阅读器发送一个密码来解锁数据之前,标签的数据一直处于锁定状态。更严格的还可能同时包括认证和加密方案。但是标签的成本直接影响到其计算能力以及采用的算法的强度。因此,一般来说,在高端RFID系统(智能卡)和高价值的被标签物品场合,可以采用这种方式。
◆选择性锁定
这种方法使用一个特殊的称为锁定者(Blocker)的RFID标签来模拟无穷的标签的一个子集。这一方法可以把阻止非授权的阅读器读取某个标签的子集。
这一方法克服或者平衡了以上方法的缺点,也消除了加密和认证方案带来的高成本性。这一方法在安全性和成本之间取得了较好的平衡。需要的时候,Blocker标签可以防止其他阅读器读取和跟踪其附近的标签,而在需要的时候,则可以取消这种阻止,使标签得以重新生效。
◆推荐安全策略
没有任何一个单一的手段可以彻底保证RFID应用的安全。在很多时候,都需要采用综合性的解决方案。对于采用某些标准的RFID应用,比如ISO 或者EPCglobal,标准体系对安全有其自己的考虑和解决。
不管如何,在实施和部署RFID应用系统之前,必须进行充分的业务安全评估和风险分析,考虑综合的解决方案、考虑成本和收益之间的关系。
链接一:RFID研究中心简介
中科院自动化所RFID研究中心是中国科学院面向RFID技术的核心研发部门,对RFID技术领域的战略发展、关键技术、标准、测试、应用以及产业链形成等具有重要应用前景的理论和方法进行研究、开发和应用,目前已主持完成863计划“物流应用中的RFID分析测试技术研究”和“无线射频关键技术研究与开发”两项课题,并顺利通过验收。中心目前正在进行RFID关键测试方法和仪器研发、RFID公共服务体系开发,以及RFID在家电全生命周期管理中的应用等具有重要意义和产业化前景课题的研究,还将于10月中下旬主办第三届RFID学术论坛(3rd RFID Academic Convocation)。
链接二:三种前端解决方案
针对RFID前端无线装置和协议面临的威胁,部份厂商考虑采用以下几种解决方案:
加强对 RFID 标签数据的保护
设置标签记忆体密码。
设置标签记忆体开关键。
为标签记忆体进行认证。
加强对 RFID 阅读器的完整性之维护
设置阅读器保护功能。
设置阅读探测器。
加强个人私隐资料处理之安全
使用消除标签资料技术。
使用法拉第杯技术。
使用有源干扰技术。
使用RSA加密演算法防干扰技术。
使用逻辑式缓冲区散列锁技术。
#p#BSI(德国联邦信息安全办公室)也对RFID系统数据保护提出了要求,据该办公室的评估,在系统设计中包含数据安全和匿名个人信息的要求应该尽快执行,为了在充分利用RFID带来的机会的同时尽量减少对隐私安全的威胁,在RFID系统设计和市场应该在初期就颁布数据保护法。
到目前为止,在EPCglobal网络上使用哪个标准来保障数据安全还没有清晰确定。而最新的版本EPCglobal Certificate Profile V1.0在2006年3月已经正式公布在EPCglobal网站上。安全规范涵盖了EPCglobal Network所有组件间的数据安全,从企业间透过EPCIS接口的数据交换,到RFID Reader与Middleware的沟通,以及Reader管理系统等。
当数据在EPCglobal网络上交换时,现有的一些安全手段,比如防火墙和其他接入管理技术可以用来保护数据安全,并确保只有被授权者才能接触到数据。一些公司具有很好的数据安全实践,他们可以把经验应用到RFID项目上。
有关RFID数据安全问题,还有一些技术正在开发中。
比如,SAP正与合作伙伴共同开发新的数据库查询技术,可以让商品生产商和零售商交换RFID数据,不必在无法由数据所有者控制的服务器上建立数据副本,一些数据存放在中央虚拟资料库中,而其他重要数据分开查询。SAP公司全球业务开发副总裁Amar Singh说,“采用我们的技术后,零售商不用再把查询信息公布在虚拟环境中的某个地方。他们可以直接从制造商那儿获得查询的数据。”数据出现的地方越多,风险就越大。
预计现有的安全方法,如防火墙及其他访问管理技术,会被用于数据通过EPCglobal网络交换时只提供给授权方,确保数据安全。
惠普实验室的Pradhan认为: “我们所讨论的有关公司之间共享信息的问题,如怎样确保信息不会落入旁人之手,可借助典型的IT系统得到解决。因为就这些系统而言,我们对安全相当了解。”而进一步的开发正在进行中。
链接:RFID信息安全产品
RFID信息安全的产品,大部分也是基于标签、网络和数据这三个层面。
标签
RFID标签安全产品,主要是物理的硬件性质的。
2004年初,RSA演示了其特别设计的RSA屏蔽器标签(RSA Blocker Tag)。把这个屏蔽器装在购物袋上,RFID读取器就不能读取放在购物袋中的商品的RFID标签,系统会显示“拒绝服务”。
IBM研究人员模仿刮奖彩票的方法研究出一种在利用RFID标签时可以保护消费者隐私的方法。IBM的建议就是在标签上附加一个可以部分被破坏掉的RFID天线,这样消费者在完成购物后可以将部分天线去除,标签整体上依然可以发挥作用,但是它的可读取范围大大缩小了,从而达到保护消费者隐私权,同时也使制造商和贸易商的利益不受损害的“双赢”目的。按照协议,IBM的行列式和热感应印条码印表机将继续使用Printronix,IBM的产品组合也将Printronix无线射频辨识(RFID)加密技术纳入。
2005年9月,XINK公司开发了一种新墨水可以消除RFID标签被仿冒从而其编码系统被复制的隐患,这是一种理论上不可见的印刷墨水,在货币防伪上面已经有采用。把这种墨水与Creo公司的隐形标签技术结合,标签被仿冒的担忧就可以消除。
杜邦鉴别系统(DAS)公司制作出了3D成像技术的RFID标签用以增强产品的防伪性。3D图像可以很直观地证明信息的真实度,因此可以与RFID标签结合起来。如果有人想把正品上的防伪标签撕下贴到伪造品上去,那么3D效果的图像就整个被破坏掉了。
网络
ThingMagic公司副总裁Kevin Ashton表示,安全壳(Secure shell)和安全槽层(secure socket layer)这两大基础安全技术,有望成为RFID设备的标准。该公司已开始将这些技术集成到它们的RFID读卡器内。该公司开发的RFID读取器技术具有内置验证功能,确保“恶意读取器”无法窃取数据。而且同时必须确保网络上所有的RFID读取器,在传输数据到中间设备然后再到系统之前,都要经过验证。
在读取器后端的RFID网络中的信息安全问题的解决方法,完全可以参照互联网的信息安全解决办法和一些有较好经验的公司的现有产品。
数据
2005年,无线安全软件开发商Columbitech宣布无线VPN支持RFID读取器的信息安全。这次升级的内容包括加强安全架构建设,为应用单位的无线通信提供特别安全保护。
由AeroScout、Ekahau、思科和其他公司联合开发的整合技术,是建立在使用Wi-Fi网络频率基础之上的有源RFID系统,这类系统允许终端用户利用现存的无线数据网设施。在这种技术框架下,由于有源RFID标签和Wi-Fi接点之间的对话非常简短,所以“偷听”几乎是不可能的事。
#p#这份协议允许Serigraph公司生产、营销已并入MIKOH公司的智能安全防篡改标志技术(Smart&Secure tamper-indicating)的RFID芯片、封印和标签。“当RFID技术在行业内快速得到应用时,我们必须确保标签的安全性和所获数据的完整性。”Serigraph消费类电子商业经理Joseph A. Klahn说。“MIKOH 提供了目前最先进的技术解决了标签物理损害的问题。”
MIKOH称,当RFID标签的原始配置受到干扰时,Smart&Secure技术会使标签无效,这样就可以防止伪造、替换品、偷窃及其他形式的欺诈造成的安全问题和商业损失。在一些RFID应用中,如对药品贴上标签,集装箱安全性应用,重要文件的防伪应用,安全设备的监控等,标签的完整性是非常关键,所以这些应用将得益于RFID标签的篡改侦测技术(Tamper-detection)。
“传统的RFID标签不仅仅只局限在一个物品,它可以从一个物品移到另一个物品上进行应用,”MIKOH Corporation的首席技术官Peter Atherton博士说,“在系统没有觉察的情况下,贴在重要物品的标签可以很容易被去掉,这样就不能达到自动追踪物品的本意了。”
MIKOH称,已获专利的Smart&Secure技术可以与兼容现存所有的RFID频段,芯片种类和压力敏感性标签设计。
Columbitech安全方案
与此同时,无线安全软件开发商 Columbitech宣布无线 VPN支持 RFID读取器的信息安全。这次升级的内容包括加强安全架构建设,为应用单位的无线通信提供特别安全保护。利用本解决方案以及许多RFID读取器的开放式结构,用户可以方便地采用第三方应用方式,可以快速开发新的面向用户、面向应用的通信方法以更好满足业务需要和客户的强制性要求。简言之,Columbitech的无线VPN功能灵活,可以实现功能扩展,如数据的过滤和管理功能。在多天线、多读取器密集环境,现在也可以实现大距离准确读取数据,保证安全。 例如,用户现在可以安全可靠设计一种应用,指令货品在仓库的移动路线,或者快速可靠适应日常应用,报告自动化部件的状态,例如为在制造业环境使用的输送带报告其运行状态。
Columbitech的无线VPN可以克服RFID读取器在不同环境使用时遇到的困难。它采用标准化的通信协议,使通信的安全性得到最大保护。在一段时间的停止无线通信以后,Columbitech 的WVPN用户利用话路的持续特性可以自动重新联接到VPN的任何一个话路。Columbitech的WVPN也可以经过改造,适合用户已有的网络架构,为用户的多种手持器件提供无线通信服务。
在公开的无线环境传递敏感信息需要有安全保证,即决不允许外人获取信息,或者进入合作网络,同时又要保证终端用户使用方便。Columbitech的 WVPN可以为用户提供可靠、方便、无障碍、单信号的通信环境。它可以防止第三方窃听或者破坏由RFID器件传递的数据。Columbitech总裁Asa Holmstrom说: “安全性和保密性可以随着应用的推广进一步提高,公司的无线VPN采用最新的标准和算法,保证RFID器件、合作网络、RFID手持读取器传递的数据安全可靠。”
为使用户建立低成本企业级RFID应用环境,这种解决方案可以让企业自己把无线通信装置设置在RFID读取器邻近。这样Columbitech的WVPN就可以为企业实现无线业务数据通信和移动数据通信。
EPCglobal UHF第二代协议
德州仪器公司负责RFID供应链产品的主管Tony Sabetti认为,在银行卡授权和大楼访问系统等场合已经运用了许多安全措施,包括采用数据验证的ISO 15693标准,它们有望在RFID安全中发挥作用。但这些安全措施并没有全部被EPCglobal网络公司考虑采用,这是一家为共享供应链产品的RFID信息提供基础设施的公司。EPCglobal维护着电子产品代码(EPC)数据库,可以识别生产商、产品版本及序列号,提供用于数据交换的中间件规范,以及对象名称管理服务等。
定于今年晚些时候批准的EPCglobal UHF第二代协议有望与ISO 18000-6C RFID无线接口规范兼容。EPCglobal邀请安全厂商VeriSign担任其基础设施提供商来解决有关安全和数据共享的问题,这是明智之举。Sabetti说: “我乐观地认为他们能够获得成功。这不是技术问题,只是实施问题。”
#p#消费者应用的风险
消费者RFID应用主要是指收集和管理有关消费者数据的应用。主要包括访问控制、电子收费系统、或者零售POS系统等等。这些系统由于将消费者数据和RFID数据发生了关联,其安全风险也包括三个方面: 对后端业务系统的损害; 对消费者隐私的损害; 对消费者经济的直接和间接损害。
企业应用的风险
企业应用的风险主要体现在对机构的直接和间接经济损害,以及对该机构的产品、服务设计到的客户的损害。而且这还体现在由于集成化程度和数据共享程度越高,受到的安全风险越大、损害的范围越大(比如可能损害到企业的伙伴)。
其他行业也显示,每出一代产品都会出现新的安全问题。同任何一种高科技产品一样,RFID技术目前在安全方面也同样存在隐患。主要有以下几点:
◆隐患之一: 标签
小小标签其实存在着极大隐患。首先,RFID标签容易被黑客、扒手或者满腹牢骚的员工所操控。DN-Systems Enterprise Internet Solutions GmbH的顾问Lukas Grunwald在黑客安全大会上演示了这点。Grunwald使用自己开发的小程序RFDump演示了如何读取、篡改甚至删除标签上的信息。利用RFDump,只需把一个廉价的插入式标签阅读器连接到运行Windows或者Linux的手持设备、笔记本电脑或者台式电脑上,谁都可能破坏RFID标签上的信息、更改贴有RFID标签的商品的价格、调换数据等等。这样,零售商为了准确统计货物,只好进行费时的人工清点。
支持EPCglobal标准的“无源标签”大多数只允许写入一次,但支持其他标准如ISO的RFID标签却能够多次写入。市面上还将会出现大量支持多次写入功能符合EPCglobal UHF第二代协议的RFID标签。
轮胎生产商米其林北美有限公司现在把RFID标签嵌入到轮胎胎壁中,帮助汽车厂商和汽车零部件供应商识别轮胎。该公司称,芯片的可重编程性是个问题,这需要妥善管理,公司的全球电子产品策划师Pat King说: “公司不该想当然地认为标签上可重编程芯片里面的数据是安全的。如果你怀疑这些数据的有效性,可以用保存在数据库中的数据进行验证,对芯片数据进行复查。”
IT咨询服务公司The Advisory Council声称,标签存在安全漏洞,是由于缺乏支持点对点加密和PKI密钥交换的功能(用ISO 14443/DESFire等现有标准可以实现点对点加密)。甚至“抢劫货车的不法分子可以用RFID阅读器确定哪些货物值得他们下手。”
虽然供应链数据会遭到“非法”RFID标签的破坏,或者DoS攻击把标签数据改成随机数据从而导致供应链减速,但许多人认为,这些风险不会比目前已有的风险大。“RFID的安全性实际上很高。”IT服务公司Wipro科技公司的零售解决方案首席顾问Mani Subramanyam说。比如,有些顾客会调换商品的条形码,轻易骗过读取设备。条形码与RFID标签不同,前者可用大多数计算机和打印机轻易伪造出来。“如果用RFID标签,作弊难度大多了,需要专门的技术和工具才能把标签取下来。”Unisys公司负责全球可视商业解决方案的副总裁Peter Regen同意上述观点。
◆隐患之二: 网络
在零售店或货物运送过程中,不法分子有许多机会可以发现、篡改RFID标签上的数据。同样,在公司的配送中心、仓库和商店中的网络的安全性同样很脆弱。不安全的无线网络为窃听数据提供了机会。“围绕阅读器的一切系统都是非常标准的因特网基础设施。”RFID阅读器生产商ThingMagic的营销副总裁Kevin Ashton说,“所以你会遇到跟在因特网上同样的安全问题。这包括竞争对手或者入侵者把非法阅读器安装在网络上,然后把扫描来的数据发给别人。另一个问题是,有人劫持阅读器来读取数据。”
◆隐患之三: 数据
RFID的主要好处之一就是增加了供应链的透明度,但这给数据安全带来了新的隐患。企业要确保所有数据非常安全,不仅指自己的数据安全,还指交易伙伴的相关数据的安全。目前还没有决定使用哪些标准来保护EPCglobal Network上的数据。比如,“验证”仍是EPCglobal在考虑的标准开发中的一部分。
随着更多公司加大供应链计划力度,开始彼此共享数据,拥有这些标准就很重要。弗雷斯特调研公司的分析师Christine Overby说: “设想一下,沃尔玛使用ECP Network把有关尿布的供应链信息发回给宝洁公司和金佰利公司。宝洁和金佰利是这类产品的竞争对手,所以宝洁要确保金佰利看不到它与沃尔玛的供应链关系,反之亦然。所以如果这些信息通过公共网络一股脑儿传送出去,会很成问题。”
链接:RFID系统的信息安全需求
通过了解RFID在信息安全方面的一些技术进展和新闻消息,总体感觉RFID的信息安全问题现在是越来越重视,但还没有形成一个统一的标准。目前多是用RFID设备来保证安全,涉及到RFID系统本身的安全技术和措施却很少; 有些文章里经常提到的是靠加密卡或者智能卡之类的东西进行信息加密。关于RFID自身的安全性,很多组织也在争论中。
由于目前RFID主要应用领域对私密性要求不高,所以很多用户对RFID的安全问题尚处于比较漠视的阶段。再加上RFID本身存在的隐含问题,使其内部的系统非常脆弱,有效攻击RFID完全有可能。由于集成的RFID系统实际上是一个计算机网络应用系统,因此安全问题类似并相关于网络和计算机安全。而安全的主要目的则是保证存储数据和在各子系统/模块之间传输的数据的安全。但是 RFID系统的安全仍然有两个特殊的特点: 首先,RFID标签和后端系统之间的通信是非接触和无线的,使它们很易受到窃听; 其次,标签本身的计算能力和可编程性,直接受到成本要求的限制。更准确地说,标签越便宜,则其计算能力越弱,而更难以实现对安全威胁的防护。
◆RFID组件的安全脆弱性
在RFID系统中,受到非授权攻击的数据可能保存在标签中、阅读器中、或者后端计算机中,或者当数据在各个组件之间传输的时候。
◆标签中数据的脆弱性
通常每个标签包含一个IC,本质上说是一个具有存储器的微芯片。在其中的数据受到的威胁类似于计算机中保存的数据。非授权地通过阅读器或者其他手段读取标签中的数据将使其丧失安全性; 在可读写的标签情况下,甚至可能非授权地改写或者也删除标签中的数据。
◆标签和阅读器之间的通信脆弱性
当标签传输数据给阅读器,或者阅读器质询标签的时候,数据通过无线电波进行传输。在这种交换中,数据安全是脆弱的。利用这种脆弱性的攻击手段包括: 非授权的阅读器截取数据; 第三方阻塞或者欺骗数据通信; 非法标签发送数据。
◆阅读器中的数据的脆弱性
当数据从标签出收集到阅读器中之后,在发送到后端系统之前,阅读器一般要进行一些初步处理。在这种处理中,数据则受到和其他任何计算机安全脆弱性相似的问题。而且,有两点特别需要注意,一些移动式阅读器需要特别关注; 其次,阅读器多是专有的设备,很难有公共接口进行安全加固。
◆后端系统的脆弱性
数据进入后端系统之后,则属于传统的网络安全、应用安全的范畴。在这一领域具有比较强的安全基础,有很多手段来保证这一范畴的安全。
值得注意的是,基于应用层的安全(XML消息一级)正在不断发展和完善中,而基于RFID的中间件基础将大量采用基于XML的技术。
由于 RFID 技术正在不断发展,其资料及通信安全的工业标准也正不断地扩展及加强。其中的发展包括有开发及采用高效率的加密功能 (cryptographic functions)、对称加密 (symmetric encryption)、信息验证码 (message authentication codes) 和随机数字产生器等,这些技术都能大大提高RFID 的安全。
#p#欧美国家加紧研制更新一代RFID标签
2005年荷兰飞利浦公司开发出了有机半导体的13.56MHz频段的电子标签。其1次通信可传输64个数据。
法国CEA-LETI开发了传输速度高达3.4Mbitps的电子标签,其芯片面积小于0.5mm2(平方毫米)。
美国HP公司7月中旬宣布,开发成功了可存储图像和音响等大容量数据的第3代电子标签。其采用专用的读取器可与个人电脑交换(读取)信息。该标签可用于行政管理和医疗等多种多样的领域。
HP第3代电子标签名称为 “存储点(Memory Spot)”,在面积为2乘4mm2的芯片中装有天线和存储器。存储容量为256Kb至4Mbit。其传输数据的速度可达10Mbps,并可粘于任何物体的表面。该无源标签存储容量为传统电子标签的1000倍,可保存多张照片和几十页文本的数据,价格预定为1美元,可存储行政文书或照片、音响等数据。这些数据可用多种设备读写。在医院里,电子标签置于患者手上的腕圈里,可记录病人病历和服药的信息。该电子标签除了装置HP公司生产的打印机、个人数字助理之外,还可装于手机等终端进行信息的读取等操作,拥有更优的安全性和保密性,可避免无关人士读取标签内的信息。预计这种第3代标签可在3年后实用化。
日本欲主导全球RFID产业
在日本电子标签的标准制定和产业发展上,日本政府一直起主导作用。
2002年12月,日本在T-引擎论坛(T-EngineForum)框架下,成立了主导日本电子标签标准研究与应用的专门组织:普适识别中心(Ubiquitous ID Center),日本电子标签标准UbiquitousID开始启动。
在日本政府主导下,从2003年3月起日本东京大学、庆应大学、东京工业大学和早稻田大学以及20余家日本大型企业正式开始联合制定电子标签技术标准。他们着眼点放在电子标签如何与下一代互联网(IPv6)进行连接上。通过互联网发送和接收电子标签所携带的信息,可将其用于物流管理、产品全程跟踪、食品安全等各个领域。2004年在日本官方主持下,首先由大学和企业共同进行了电子标签的应用实验,创造出企业和个人都可自由和便利地应用信息的环境。
日本电子标签标准的特征是赋予现实世界中任何物理对象(物体)惟一的泛在识别号码(Ucode)。其具备128位(128-bit)的较为充裕的容量,可提供340x 1036编码空间,并且还能够以128位为单元进一步将信息容量扩展至256、384及512位。此外,Ucode的优势是能包容现有编码体系的元编码设计,可以兼容多种编码,包括JAN、UPC、ISBN、IPv6地址、甚至电话号码。Ucode标签具有多种形式,包括条码、射频标签、智能卡、有源芯片等。普适识别中心将电子标签进行了分类,并确立了不同的认证标准。
2004年初日本经产省又开始主导电子标签的产业发展,即大批量生产低成本电子标签。为了普及和推广电子标签,日本经济产业省拨出18亿日元(约合1500万美元)的款项,由日本日立公司牵头,生产成本低于目前价格1/10的电子标签。2004年3月日本市售的电子标签成本为50至100日元。日本经济产业省提出的目标是:在2005年度(截止于2006年3月底)将电子标签成本降为5日元(约合人民币3角5分),??512位信息,并且其体积小、重量轻。(日立的电子标签仅0.4毫米)。2004和2005两年内,每年拨付9亿日元,以日立公司为主,再联合日本凸版印刷、大日本印刷和日本NEC公司,综合各家的先进技术,开发易于生产、成本低廉和适于大批量制造的电子标签的工艺技术,从而推动电子标签能够在2006年开始普及应用。
日本最大的财经类报纸《日本经济新闻》2004年称,由于日本领先亚洲各国进行了电子标签标准的制定,因而日本将主导亚洲的电子标签标准。该报曾描绘出了“诱人”的前景:中日韩三国准备通过合作,分别在本国建
立相应的标准化组织,并联合开发普及电子标签所需的必要技术。鉴于电子标签今后将广泛应用,首先要规范亚洲的电子标签的标准。通过亚洲电子标签标准与欧美电子标签标准的竞争,将增加中日韩三国在全球统一的电子标签标准上的发言权。
在2006年6月中旬召开的有169个国家参加的国际关税组织(WCO)大会上,日本通产省的代表通过现场展示和游说,全力敦促与会各国海关采用由日本主持开发的通用电子标签的读取设备和联网设备。这只是日本大力推广其相关产品和极力使其开发的通用电子标签成世界标准的一系列努力中的一环。
在2006年5月15日-18日召开的全球EPC标准化会议上,已接受在货运中采用日本开发的通用电子标签。通过日本各界的积极运作,日本开发的通用电子标签和读取设备,已有希望在国际物流界成为通用配置和事实上的国际标准。2006年内该通用电子标签将首先用于日本、美国与香港之间的海运。随后将扩展至亚洲和欧洲的其他地区和港口。
说起日本主持开发的通用电子标签,前些时间已获国际上三家大型海运商率先采用。这三家公司是日本邮船公司,新加坡控股的美国APL公司和丹麦的马斯克集团。在国际海运界每年处理的1700万个集装箱中,这三家公司占有近30%的份额,为450万个。在海运界具有举足轻重的影响。在日本的游说下,从事空运的美国联邦快运公司也准备采用该通用电子标签。
据国内有关专家介绍,推广该通用电子标签的幕后推手是日本通产省。该标签既基于日本采用的Ubiquitous ID标准,又附合EPC的标准。日本通产省在取得由美国主导的全球EPC组织的认可后,就可使使该电子标签成为事实上的国际标准,从而为日本争得电子标签的商机和话语权。
2004年4月,日本的RFID标准化组织T-Engine论坛与中国企业实华开合作成立了基于日本UID标准技术的实验室--UID中国中心,并与中科院计算所签订了合作协议。随后北京大学也与其开展了学术合作。由此,日本RFID标准组织正式开始了在中国的战略布局。
应保持清醒的认识
随着EPC标签标准列入国际标准,经EPC标准认可的日本UHF电子标签和读取器产品自然地获ISO组织的承认,获得了通行世界的许可证。对此我们应有清醒的认识:发达国家已迈入RFID的普及阶段,并且正在布局国际标准的主导权和产业主导权。我们不能坐等别人垄断了标准技术和市场之后再发展自已的电子标签产业。
国内专家指出,由于缺乏统一的标准,不同企业使用的RFID产品的频率、编码、存储规则以及数据内容等都不尽相同,阅读器和标签不能通用,企业与企业之间无法顺利进行数据交换与协同工作,从而限制了我国RFI
D技术的应用范围。此外,国内标准迟迟不能确立,已经影响到我国整个电子标签产业链的发展。例如读写器的开发就直接受到牵制,无法决定其具体技术规格。而目前市场上一台读写器的价格约1000美元,是制约电子标签产业发展的关键一环。在整个产业链中,读写器占据了电子标签全体市场的主要份额。据统计,读写器占目前总销售额的80%。
我国2006年6月发布了由15个政府机构合作编写的电子标签(RFID)技术政策白皮书。然而我国电子标签标准的制定工作一波三折。尽管从2004年初由中国标准化委员会成立电子标签国家标准工作组而起步,然而因牵涉部门多,主管部门将其推倒重来,2005年12月又成立了新的电子标签标准工作组。至今该标准尚未正式发布。
目前国际上已开始大规模应用电子标签。日本在2005年使用的电子标签数量已达2000多万个。其中物流业占30%,零售和流通占10%,制造业占36%。这还不包括2005年日本爱知世博会门票的2000万个电子标签。目前仅日本一家专业生产商的电子标签年生产能力已达上亿个。随着国际上的使用量大增,电子标签的成本也大幅下降,发达国家已具备在社会各方面普遍应用的条件。
面对国际上大规模应用的潮流,我国相关部门要以只争朝夕的精神,摒除部门权、利之争,以国家利益为重,尽可能快地制定出国家标准,以便推动我国电子标签的健康发展,以维护我国的正当权益。目前我国已成为在世界领先的经济体,在国际经济中扮演着重要角色。面对欧美和日本在电子标签标准上和市场上咄咄逼人的态势,我们应加强与国际标准化组织的密切合作,增大我国在电子标签上的话语权。
笔者建议:我国相关的15个政府机构,应该通力合作,进一步推进我国产业的发展进程,在世界民族之林中,做出我们与有影响大国地位相称的应有贡献。