隨着RFID技術的廣泛應用,在RFID讀寫器、電子標籤和網絡等各個環節,數據都存在安全隱患,安全與隱私問題已經成爲制約RFID技術的主要因素之一。RFID領域有廣義和狹義之分。狹義的RFID產品特指物流領域應用的產品,如前幾年比較熱的EPC G2 UHF RFID,這類RFID追求的是低成本和高效率,安全要求不是太高。從廣義上講,RFID是包含一切射頻技術的ID產品,如非接觸IC卡。RFID不僅僅具有身份識別的功能,還會擴展出更多的應用,特別是金融支付應用,用戶對產品的安全有更高的要求。
用戶看到的RFID產品,實際上包括芯片、模塊、鑲套、標籤或卡片等製造工序(某些倒裝工藝會省掉模塊工序),因此RFID產品質量不能侷限在芯片上,而要從標籤或卡片的角度予以關注。從實際的質量反饋來看,首先,RFID的物理損壞(芯片開裂、天線脫離)往往佔絕大多數,因此RFID的封裝工藝質量最值得關注;其次,RFID的射頻性能往往影響到用戶的使用體驗,這包括RFID芯片和機具兩方面的設計質量;再次,對於RFID應用來說,協議和工作流程也非常重要,特別是對一些安全性要求高的應用,交互流程的設計對應用質量往往起到決定性作用。
RFID安全具有舉足輕重的重要性。其實,安全性不是指單一的某個方面,RFID產品的安全除了體現在產品本身的設計上,更多地要在應用端通過管理手段來實現。在RFID產品的安全技術上,一方面是安全算法和應用的研究,包括加密機制的實現,特別是應用流程的完備性方面;另一方面,則是站在系統的角度研究DFS(安全設計)技術,這裏包括可靠性設計防止故障類攻擊(如高低工作電平檢測、高低工作頻率檢測、高低工作溫度檢測等)、防探測設計(光檢測、探針檢測)、防電源分析攻擊(SPA、DPA 等)以及防模式攻擊(合理設計工作模式的轉換機制)等。但無論採用何種安全技術,都需要相應的管理制度相配合,才能達到安全的目的。
從純粹的技術角度看,無論是對稱加密技術(DES、 AES或者國密算法SM1)還是非對稱加密技術(RSA、ECC或者國密算法SM2)都已發展得比較成熟。對於原來非常高端的非對稱加密算法,隨着工藝的進步,其成本已逐步降到可接受的程度。所以,RFID應用的安全,不僅僅是RFID標籤本身的安全技術,關鍵是系統上的安全方案和管理制度。RFID安全問題是個系統問題,關注的焦點不應該只侷限在RFID產品本身上。
在RFID系統中,數據信息可以能受到人爲和自然原因的威脅,數據的安全性主要用來保護信息不被非授權的泄露和非授權的破壞,確保數據信息在存儲、處理和傳輸過程中的安全和有效使用。RFID標籤數據的安全性主要是要解決信息認證和數據加密的問題,以防止RFID系統非授權的訪問,或企圖跟蹤、竊取甚至惡意篡改RFID電子標籤信息的行爲。
信息認證是指在RFID數據交易進行前,超高頻讀寫器和RFID標籤必須確認對方的身份,即雙方在通信過程中首先應該相互檢驗對方的密鑰,才能進行進一步的操作。數據加密是指經過身份認證的電子標籤和鴻陸RFID讀寫器,在數據傳輸前使用密鑰和加密算法對數據明文進行處理,得到密文,在接收方使用解密密鑰和解密算法將密文恢復成明文。信息認證和數據加密的設置有效地實現了RFID標籤數據的安全性,但同時其複雜的算法和流程也提高了RFID系統的成本。對一些低成本標籤,它們往往受成本嚴格的限制而難以實現上述複雜的密碼機制,此時可以採用一些物理方法限制標籤的功能,防止部分安全威脅