RFID的安全性与RPS系统

    RFID也就是射频识别，她是一种非接触的自动识别技术，其基本的原理是利用射频信号的空间耦合或反射的传输特性，实现对被识别物体的自动识别。RFID技术是无线通信传输技术的具体应用，典型的工作频率有125kHz、133kHz、13.56MHz、27.12MHz、433MHz、902~928MHz、2.45GHz和5.8GHz等。

    RFID具有非常广大的市场，因其自动化、大数据量、高速处理数据、高保密性、识别距离远、抗干扰能力强、多用途适用、系统高可靠性与低成本的特点。但是在应用中RFID可以提供商品与个人信息，所以在提供便利的同时也造成了隐私泄漏的潜在威胁，由于高保密性会急剧增加RFID产品的成本，所以延缓了RFID在更广阔领域的应用。

    RFID想要使企业发生变革，需要解决严重的安全问题之后，因为安全和隐私控制了实际应用与需求量的供应关系：RSA Security Inc.研发中心的熟悉科学家Burt Kaliski指出在标签、网络或者数据层面都有可能出现安全隐患；荷兰阿姆斯特丹自由大学的科学家同时指出RFID存在极大的受到电脑病毒攻击的可能性；管理安全服务商Counterpane Internet Security公司的首席技术官Bruce Schneier指出一块RFID就是一台微型电脑，只是没有屏幕和键盘，但它可以通过无线电技术和外界取得联系，但是外界的安全是不可靠的。所以我们现在正在使用的RFID并不安全，而这些安全都是不可见的。惠普实验室RFID技术的CTO Salil Pradhan做过一个非常形象的比喻：“使用条形码好比行驶在城市的街道上，就算撞上人，危害也是有限的。但使用RFID好比行驶高速公路上，你离不开这个系统，万一系统受到攻击，后果不堪设想。”由此可见，解决RFID的安全问题非常关键。

    移动通信技术的发展给RFID找到了一个非常好的契机，现在在移动通信产品嵌入RFID技术已经成为现实，网络化的RFID包括一个可扩展的RFID网络和用于与一系列网络、网络间交互和全局分发应用系统的接口，这个接口就是有RFID来触发的。移动RFID产品里面嵌入了RFID阅读器，因此可以通过此携带RFID阅读器的产品通过阅读RFID标签路经移动通信网络实现一系列的应用。例如工作在900MHz频率的RFID芯片可以嵌入到我们的GSM手机当中：

    这样的应用在实际情况就如下图：

    这样的技术应用对可以给我们的日常生活带来极大的便利，但是在我们享受这些便利与服务的时候，我们的个人信息与重要数据信息都存在泄漏的可能。现在的RFID还比较脆弱：攻击者可以通过物理手段在实验室环境中取出芯片封装，使用微探针获取敏感信号，进而进行对RFID标签的重构，达到攻击的目的；通过软件，利用微处理器的通用通信接口，通过扫描RFID标签和响应识别器的探寻，寻求安全协议、加密算法以及它们实现的弱点，进而删除RFID标签的内容或篡改可重写RFID标签内容的攻击；通过干扰广播、阻塞信道或者其他手段，产生异常的应用环境，使合法处理器产生故障或者数据处理阻塞，拒绝服务的攻击等；采用窃听技术，分析微处理器正常工作过程中产生的各种电磁特征，获得RFID标签和阅读器、识别器之间或其他RFID通信设别之间的通信数据等等。

    为了解决这些安全问题，出现了物理方法和逻辑方法两大类方法来解决这些问题，不过这里面的各类方法都聚焦在标签和阅读器的授权协议上，在此介绍一种比较特殊的方法，因为常用方法并不能完全适配现实的RFID环境，特别是在移动RFID应用方面，因为此时在动态网络服务器中已经存储了当前环境情况，所以就需要在移动RFID环境中生成一个合理的隐私保护路径。RPS系统就是其中的一种解决方案：

    RPS系统：这个系统有管理用户隐私策略的功能。它为用户隐私策略生成框架性的结构，并将这个策略提供给service-side system，并且管理着service-side的事件记录用于审核。

    Service-side系统：这个系统提供将RFID标签的ID编码和信息结合起来，并且通过用户自定义的隐私框架来制定接入控制功能。

    RPS系统的主要特点包括制定和管理隐私保护策略，让接入控制与个性化标签结合起来，报告关联结果，最后对结果进行审核。首先移动RFID阅读器读取标签ID并且接收各种类型的网络信息；再从应用服务器上获取产品信息与标签ID相关联；当应用接收器接收到个人隐私保护策略以后，产品信息会根据相关策略被保护起来，按照预定审核要求返回确认或推出的信息给阅读器。

    移动RFID是一种具有高应用度并且有着广阔市场的RFID技术，但是安全隐私问题是其发展的限制瓶颈。移动RFID的工作频率被分配在860MHz到960MHz之间(ISO18000-6中标准要求)，在此其中我们需要满足ISO 18000的标准，里面定义了其用到的空中接口协议，手机将成为这种移动RFID技术的最佳承载平台之一，这种方法也是一种非常有效的解决当下RFID安全隐私问题的方法，不过就像约翰.霍普金斯大学信息研究所的Ari Rubin教授所说，“我们一次次地发现安全只是一个相对的状态，任何安全系统都是被高估的，我们不能掉以轻心。”摩尔实验室（MORLAB）长期并一直致力于新技术的产生与研究，为广大客户提供一些讯息供大家探讨。

参考资料：

[1] S. E. Sarma, S. A. Weis, and D.W. Engels. 2002. RFID systems, Security and privacy implications. Technical Report MIT-AUTOIDWH-014, AutoID Center, MIT.

[2] Weis, S. et al. 2003. Security and Privacy Aspects of Low-Cost Radio Frequency identification Systems. First International Conference on Security in Pervasive Computing (SPC) 2003.

[3] Wung Park, and Byoungnam Lee. 2004. Proposal for participating in the Correspondence Group on RFID in ITU-T. Information Paper. ASTAP Forum.
Proceedings of ICACT 2006.

[4] Namje Park and Youjin Song and Dongho Won, Policy and Role based Mobile RFID User Privacy Data Management System 2008 IEEE.

[5] 射频识别（RFID）核心技术与典型应用开发案例/康东等编著. —北京：人民邮电出版社，2008.7

    如需更多资料，请发信到以下地址：Service@morlab.cn或致电：0755－86130318。