简单分享RFID系统中存在的安全问题及建议措施

   现在，大多数的无源标签都符合EPCClass1Gen2标准。这个标准是受美国国防部和沃尔玛委托建立的，并已被各行业和政府机构

广泛地采用。然而，EPCClass1Gen2标准只提供了非常有限的安全特性：用于双向握手和数据屏蔽的16位随机数生成器用来锁定一

个给定的标签和读写器会话，以避免多个标签或读写器存在时发生冲突;它生成的数值也被用作一个对密码进行简单加密的关键值和

执行写命令时读写器向标签中写的内容，但是它不用于对从标签到读写器的识别数据的加密。执行禁用标签的kill命令需要一个32的

密码。采用16位循环冗余校验（CRC）进行错误检测。访问标签某些部分需要一个32位的密码（如用于“写”操作的密码位），但

此密码不用于标记标签ID数据访问验证。由于可以进行加密的位数很少，所有这些特征被认为安全性很弱。因此部署这类标签时必

须考虑如下安全问题：EPC标签响应任何兼容的读写器时不会先进行认证;用于灭活和访问控制的是短而静态的密码，并且它们只提

供读写器到标签的单向认证，因此可能会被攻击者破解;EPC标准没有数据加密要求，无论是在标签上或是在传输中;EPC密码的加密

能力很弱。读写器向标签发送的用来进行数据屏蔽的关键值在最开始标签向读写器发送过程中可以被拦截。

   智能卡：智能卡通过直接物理接触（接触卡，遵循ISO/IEC7816标准）或远程的非接触射频接口（非接触式卡，遵循ISO/IEC14443

标准）与读写器进行通信。智能卡中有一个用于数据存储和计算的嵌入式集成电路（IC），凭借其内置的集成电路和相关的微控制器，

能够存储大量的数据并执行复杂的操作。智能卡包括一些强大的安全功能，如加密和数字签名，并可以与外部RFID系统智能交互。例

如，一些非接触式的卡可以通过高级加密标准（AES）算法加密数据，并可以根据公钥基础设施（PKI）使用秘密内置的唯一密钥进行

相互认证。智能卡和RFID系统应该提供一个在通信建立前和周期性通信时进行批次验证的机制，从而减少智能卡被攻击。数字证书经

常用于此，共享密钥也是另一种选择。

   近场通信（NFC）：近场通信（NFC）是一种无线技术，旨在在两个设备非常靠近时（几厘米）进行通信，其工作频率、功耗、硬

件和软件设计决定了通信距离的局限性。NFC允许两个设备建立一个通信信道，这符合ISO/IEC18092和21481标准的。例如，两个

NFC智能手机用户可以通过相互靠近手机来分享照片。NFC通信时不需要进行身份验证或加密，但需要两个设备非常接近，这也使它

不容易受到如窃听、数据修改、中间人攻击等威胁，但不是无懈可击。除特定的需要或业务考虑，默认情况下，设备上的NFC功能应

该被禁用，由用户手动启用，以尽量减少潜在的数据泄漏。

   后端系统：RFID后端系统是由网络组件、中间件和处理ID信息的业务应用程序组成。这个系统和其他企业系统（如供应链应用）共

享ID信息，因此，后端系统应部署在值得信赖的企业边界内。在这个边界内部署的是美国国土安全部认可的信息系统和组件，其中国

土安全部通常直接掌握应用程序及其效果评估。为确保RFID后端系统的有效保护，强大的周界深度防御战略是必要的。防火墙、代理

和内容过滤是保障企业边界安全的一些有效工具和方法。此外，应编写和实施用于安全修补、更新的操作系统和与后端系统相关的应

用程序的标准操作规程。

   标签数据安全：标签上的数据很容易受到各种攻击，特别是数据能力较差、没有强大安全功能的标签。例如，通过EPCGen2无源标

签跟踪笔记本电脑。可以使用非描述性的和随机的独特数字来代表敏感的识别信息，而不是直接将组织机构代码、员工标签号码、产

品序列号等敏感数据存储在标签上，进而使用更安全的RFID后端系统进行映射识别。使用这种方式，即使标签数据被未经授权的读写

器捕获，标签数据也不会透露任何敏感的信息。

   射频泄漏：根据射频带和设备的功率，从标签和读写器发出的射频信号可以在几厘米到几百米的范围内被捕获和解码，需要对此加

以防范。

提高RFID技术安全性的指导意见

   物理访问控制：RFID信号能够穿越使用区域的墙壁并在区域外围传播，通用物理访问控制限制人员进出办公大楼、数据中心和包

含IT设备的房间，可以防范物理环境威胁。RFID系统所有者通过该控制需措施，限制对手物理接触RFID系统部件。考虑到某些特殊

对手的能力，还应确保与RFID系统相关的数据的恰当使用。这意味着，还要防止人员的无意识非正确操作，即使这些人员并不是对

手。隐私规范文档中必须要考虑RFID系统和数据的潜在误用（包括非故意使用），并根据识别到的新用法和风险持续更新文档。

   安全处理标签：在完成预期任务之后，RFID标签应该被安全地处理掉。标签可以通过物理或电子方式销毁、停用。物理销毁包括

焚烧、强制撕裂或粉碎，粉碎和撕裂能够导致集成电路与天线分离（这使得标签的读取变得更加困难，但并非不可能），也会损坏

或消除集成电路。电子破坏包括使用标签的杀死功能或利用强电磁场向电路输送强电流使标签的电路不可再操作。尽管该数据恢复

方法实用性差，但通过电子方式永久禁用标签仍然有可能恢复标签内容（如使用扫描电子显微镜）。因此，如果要保证标签的可读

性为零，必须在物理破坏或电子破坏后进行焚化。

   职责分离：强制要求将每个安全任务分配给不同的人员，单人不能承担整个任务。要对敏感信息系统进行适当的内部控制，就必

须使用这种方式进行分离。它还能确保没有人能够单独完全控制系统的安全机制。

   配置管理：通过配置管理控制对RFID系统的更改，以确保更改与组织的任务一致。配置管理通常使技术支持人员能够快速识别操

作问题的根源，并允许安全人员和审计人员发现不当行为和其他违反策略的行为。

   安全应急响应：安全控制旨在保护组织免受安全威胁，但不管这些控制有多有效，一些安全事件是不可避免的。在发生此类事件

之前，组织需要有效的响应能力。

   RFID技术是无线网络通信的一个重要组成部分，RFID系统的安全也关系着多个重要部门的资产安全，因此需要使用部门加以重视。

灵天智能是rfid电子标签生产厂家，主营超高频电子标签，wms仓储管理系统，rfid资产管理系统等RFID技术硬件/系统等配套方案。

欢迎大家前来洽谈合作。www.qyswf.com