RFID系統(tǒng)安全控制是怎么樣的

本文主要介紹RFID安全控制中的操作控制。操作控制包括系統(tǒng)管理員和用戶每天執(zhí)行的操作，以確保系統(tǒng)的物理安全性和正確使用。

一些典型的操作控制舉例如下：

物理訪問控制限制對(duì)部署RFID系統(tǒng)的授權(quán)人員的訪問，

射頻設(shè)備的正確放置有助于避免干擾，減少電磁輻射的危害，

當(dāng)標(biāo)簽不再對(duì)阻止對(duì)手訪問其數(shù)據(jù)有用時(shí)，組織可以銷毀它們，

操作員培訓(xùn)可以幫助確保使用該系統(tǒng)的人員遵循適當(dāng)?shù)闹笇?dǎo)方針和政策，

信息標(biāo)簽和通知可以告知用戶RFID系統(tǒng)的預(yù)期目的，以及用戶可以采用的減輕風(fēng)險(xiǎn)的簡單方法。

下面將詳細(xì)地討論RFID系統(tǒng)的操作控制。

物理訪問控制

控制：物理訪問控制包括柵欄、大門、墻壁、鎖著的門、旋轉(zhuǎn)門、監(jiān)控?cái)z像頭和保安。當(dāng)目標(biāo)是限制短距離無線電通信時(shí)，如果房間墻壁或分隔的隔間對(duì)RF子系統(tǒng)使用的相關(guān)無線電頻率不透明，則它們可能提供足夠的保護(hù)。

適用性：除了RFID標(biāo)簽或其他系統(tǒng)組件位于公共區(qū)域之外的所有RFID實(shí)現(xiàn)。

物理訪問控制限制了對(duì)手接近RFID系統(tǒng)組件的能力，從而破壞RFID數(shù)據(jù)安全，或修改、損壞或竊取RFID系統(tǒng)組件。物理安全性適用于所有RFID子系統(tǒng)。在RF子系統(tǒng)中，控制的主要目標(biāo)是防止未經(jīng)授權(quán)的無線電通信。在企業(yè)和企業(yè)間子系統(tǒng)中，主要目標(biāo)是防止對(duì)系統(tǒng)組件的物理訪問。

物理訪問控制可減低風(fēng)險(xiǎn)的例子包括：

未經(jīng)授權(quán)讀取和寫入標(biāo)簽數(shù)據(jù)，

流氓和克隆的標(biāo)簽，

讀寫器欺騙，

因無線電干擾或未經(jīng)授權(quán)的命令而拒絕服務(wù)，

內(nèi)容匹配，

RFID設(shè)備的物理破壞，

HERF/HERO/HERP。

缺點(diǎn)：

物理訪問控制不是針對(duì)合法無線電干擾的對(duì)策，合法無線電位于一個(gè)旨在阻止外部排放的外圍，

RF信號(hào)的有效范圍可能比規(guī)定的工作范圍長得多，因此允許使用定制的定向天線和其他技術(shù)進(jìn)行許多攻擊，

物理訪問控制不能防止內(nèi)部人員的攻擊（即獲準(zhǔn)進(jìn)入該地區(qū)的人士），

HERF/HERO/HERP仍然存在于物理范圍內(nèi)的輻射，

如果管道系統(tǒng)或其他開口允許無線電信號(hào)逃逸，物理控制可能無法像預(yù)期的那樣包含無線電信號(hào)。

標(biāo)簽和閱讀器的適當(dāng)位置

控制：RFID系統(tǒng)設(shè)備可以放置在避免電磁輻射的位置。標(biāo)簽和閱讀器可以遠(yuǎn)離：

燃料、軍械和其他暴露在電磁輻射下可能造成傷害的物質(zhì)，

人類和敏感產(chǎn)品（如血液、藥物）可能受到來自RF子系統(tǒng)的持續(xù)傷害，

金屬和反射性物體，可以以意想不到的、潛在有害的方式修改和放大信號(hào)，

射頻子系統(tǒng)通信將與之產(chǎn)生干擾的合法無線電。

適用性：部署RFID系統(tǒng)的組織確定RF設(shè)備位置的所有環(huán)境（這排除了許多消費(fèi)者和供應(yīng)鏈應(yīng)用程序）。

優(yōu)點(diǎn)：

減少干擾合法無線電的風(fēng)險(xiǎn)，

降低竊聽和未經(jīng)授權(quán)的RF子系統(tǒng)事務(wù)的風(fēng)險(xiǎn)，

緩解HERF/HERO/HERP。

缺點(diǎn)：

標(biāo)簽位置不能總是被控制，例如標(biāo)簽用于跟蹤移動(dòng)物品（如醫(yī)院手推車）或運(yùn)輸中的物品（如卡車上的托盤）。

即使標(biāo)簽或閱讀器被放置在離其他收音機(jī)足夠近的新位置，無線電干擾也可能持續(xù)存在。

標(biāo)簽的安全處理

控制：安全處理涉及物理或電子銷毀標(biāo)簽，而不是在不再需要它們執(zhí)行預(yù)期功能時(shí)丟棄它們。物理破壞可能包括使用碎紙機(jī)手動(dòng)撕紙或碎紙。電子破壞可以通過使用標(biāo)簽的殺傷特性或使用強(qiáng)電磁場(chǎng)使標(biāo)簽的電路永久無法工作來實(shí)現(xiàn)。當(dāng)標(biāo)簽支持電子禁用機(jī)制時(shí)，它通常是在處理標(biāo)簽之前禁用它的首選方法，因?yàn)樗梢栽诓唤佑|每個(gè)標(biāo)簽的情況下完成，從而降低了工作的成本。

適用性：RFID應(yīng)用中，標(biāo)簽在完成其預(yù)期功能后繼續(xù)存在會(huì)帶來商業(yè)智能或隱私風(fēng)險(xiǎn)（例如，對(duì)手隨后可以使用標(biāo)簽的存在來跟蹤項(xiàng)目或人員）。

優(yōu)點(diǎn)：銷毀或禁用標(biāo)簽：

消除了它們?nèi)蘸蟊挥糜诟櫥蚨ㄎ坏目赡苄裕?/p>

防止訪問存儲(chǔ)在標(biāo)記上的敏感數(shù)據(jù)。

這些好處既適用于商業(yè)智能，也適用于隱私風(fēng)險(xiǎn)。

缺點(diǎn)：

即使很小，銷毀標(biāo)記所花費(fèi)的努力也會(huì)增加標(biāo)記的生命周期成本，如果需要非常低的成本來證明啟用RFID的業(yè)務(wù)流程是正確的，那么這就是一個(gè)問題，

標(biāo)簽的銷毀阻止了將其用于未來增值應(yīng)用程序的能力，例如售后產(chǎn)品支持、有針對(duì)性的召回、無收據(jù)退貨、過期日期監(jiān)視和回收的排序幫助。

操作員及管理員培訓(xùn)

控制：操作員和管理員培訓(xùn)為人員提供必要的技能和知識(shí)，以遵守RFID使用、IT安全和隱私政策，以及與外部組織的協(xié)議。在大多數(shù)RFID實(shí)現(xiàn)中，人員將扮演不同的角色，每個(gè)角色可能需要不同的培訓(xùn)材料。例如，中間件管理員可能需要不同于移動(dòng)閱讀器操作員的信息。適當(dāng)?shù)谋０布八诫[訓(xùn)練至少應(yīng)包括三點(diǎn)：

什么構(gòu)成未經(jīng)授權(quán)的使用，

如何檢測(cè)可能發(fā)生的未經(jīng)授權(quán)的使用，

向誰舉報(bào)違規(guī)行為。

如果存在HERF/HERO/HERP風(fēng)險(xiǎn)，培訓(xùn)應(yīng)包括緩解技術(shù)，例如安全處理距離。

如果標(biāo)簽被銷毀或回收，培訓(xùn)應(yīng)包括如何執(zhí)行這些功能。例如，可以訓(xùn)練操作人員如何在重用之前清除標(biāo)記內(nèi)存。

適用性：所有RFID實(shí)現(xiàn)。

優(yōu)點(diǎn)：操作員培訓(xùn)有助于確保系統(tǒng)得到正確使用和維護(hù)。培訓(xùn)還有助于操作人員識(shí)別安全違規(guī)行為，并采取適當(dāng)行動(dòng)防止此類事件再次發(fā)生。

缺點(diǎn)：單靠培訓(xùn)不能保證系統(tǒng)的正常運(yùn)行或政策的遵守。

資料標(biāo)簽/公告

控件：將書面消息粘貼到每個(gè)標(biāo)記上或與每個(gè)標(biāo)記一起分發(fā)，或貼在閱讀器附近。該通知可告知使用者RFID系統(tǒng)的用途，或就如何將私隱或其他風(fēng)險(xiǎn)減至最低向使用者提供意見（例如，當(dāng)卡或應(yīng)答器不使用時(shí)，將啟用RFID的接入卡或應(yīng)答器放在金屬箔或屏蔽套中）。

適用性：使用簡單的信息消息可以降低風(fēng)險(xiǎn)的所有應(yīng)用程序。該控件與涉及隱私的消費(fèi)者應(yīng)用程序尤其相關(guān)。

優(yōu)點(diǎn)：信息標(biāo)簽或通知可以傳達(dá)關(guān)于風(fēng)險(xiǎn)的基本信息，而用戶可以采取簡單的步驟來降低風(fēng)險(xiǎn)（例如，刪除標(biāo)簽或?qū)⑵浞旁谄帘翁字校駝t這些風(fēng)險(xiǎn)可能是未知的。

缺點(diǎn)：分發(fā)通知并不能保證會(huì)被閱讀或理解。對(duì)于可能需要正式培訓(xùn)的復(fù)雜概念或指令，通知不是合適的通信媒介。

職責(zé)分離

控制：RFID系統(tǒng)的職責(zé)分布在不同的人員角色中，以盡量減少由于單個(gè)人的疏忽或惡意活動(dòng)造成的損害。該控制的一般原則是，兩個(gè)或多個(gè)授權(quán)用戶之間的惡意勾結(jié)比一個(gè)人單獨(dú)從事不當(dāng)行為的可能性要小得多。

職責(zé)分離的一個(gè)例子是讓不同的人員將標(biāo)簽附加到對(duì)象上并讀取標(biāo)簽。如果一個(gè)人同時(shí)執(zhí)行了這兩種功能，那么這個(gè)人可能會(huì)故意在一個(gè)對(duì)象上放置錯(cuò)誤的標(biāo)記，以繞過業(yè)務(wù)流程的目標(biāo)。例如，商店職員可以在高價(jià)商品上貼上針對(duì)低價(jià)商品的標(biāo)簽，然后在店員的同伙購買商品時(shí)使用結(jié)賬掃描儀。系統(tǒng)不會(huì)知道標(biāo)簽已經(jīng)被切換，但是如果另一個(gè)人執(zhí)行結(jié)賬，他或她可能會(huì)懷疑結(jié)賬總數(shù)，這可能會(huì)揭露陰謀。

適用性：RFID應(yīng)用程序中，內(nèi)部人員可能有未經(jīng)授權(quán)執(zhí)行RFID任務(wù)的動(dòng)機(jī)。這種情況最有可能發(fā)生在標(biāo)記支持商業(yè)事務(wù)時(shí)，特別是那些與高值對(duì)象相關(guān)的事務(wù)。

優(yōu)點(diǎn)：職責(zé)分離有助于減少欺詐和惡意破壞，因?yàn)槿魏卧噲D參與此類活動(dòng)的用戶都將被迫與至少一個(gè)其他用戶勾結(jié)。職責(zé)分離還可以減少錯(cuò)誤，因?yàn)榈诙€(gè)操作符經(jīng)常會(huì)捕捉到第一個(gè)操作符所犯的或遺漏的錯(cuò)誤。

缺點(diǎn)：多名員工仍然可能串通詐騙或違反RFID使用策略。此外，工作人員有限的組織可能無法履行完全的職責(zé)分離。

不暴露標(biāo)識(shí)符的格式

控制：RFID標(biāo)簽是使用標(biāo)識(shí)符格式分配的標(biāo)識(shí)符，該標(biāo)識(shí)符格式不顯示任何關(guān)于已標(biāo)記物品或操作RFID系統(tǒng)的組織的信息。非顯示標(biāo)識(shí)符格式選項(xiàng)包括串行分配標(biāo)識(shí)符和隨機(jī)分配標(biāo)識(shí)符。

相反，如果對(duì)手讀取用標(biāo)準(zhǔn)化格式（如EPC格式）編碼的標(biāo)識(shí)符，則該對(duì)手可能能夠識(shí)別產(chǎn)品的制造商或發(fā)行方，以及產(chǎn)品的類型。例如，某一制造商生產(chǎn)的所有罐裝軟飲料將具有相同的EPC管理ID和對(duì)象類位。圖1顯示了一個(gè)示例96位EPC，以及如何將它解析為前面提到的四個(gè)獨(dú)立字段。

圖1 96-bit EPC

標(biāo)簽必須有可編程的標(biāo)識(shí)符來支持控件。即使是設(shè)計(jì)來支持標(biāo)準(zhǔn)標(biāo)記格式的標(biāo)記，仍然可以在字段中分配非標(biāo)準(zhǔn)標(biāo)識(shí)符。然而，有些標(biāo)簽具有工廠初始化的標(biāo)識(shí)符，在生產(chǎn)之后無法修改。

適用性：任何應(yīng)用程序中，實(shí)現(xiàn)組織確定暴露標(biāo)記標(biāo)識(shí)符是一種商業(yè)智能風(fēng)險(xiǎn)。

優(yōu)點(diǎn)：對(duì)手不能僅從標(biāo)識(shí)符獲取關(guān)于標(biāo)記項(xiàng)的信息。

缺點(diǎn)：

使用非顯示標(biāo)識(shí)符無法體現(xiàn)來自顯示組織和項(xiàng)類型。例如，在企業(yè)間系統(tǒng)中設(shè)計(jì)和維護(hù)分布式數(shù)據(jù)庫時(shí)，標(biāo)準(zhǔn)標(biāo)識(shí)符格式尤其具有優(yōu)勢(shì)。當(dāng)標(biāo)識(shí)符提供關(guān)于項(xiàng)數(shù)據(jù)位置的信息時(shí)，在此類數(shù)據(jù)庫中查找和查詢函數(shù)要容易得多。

如果標(biāo)識(shí)符是隨機(jī)分配的，那么可能存在兩個(gè)標(biāo)記被分配相同標(biāo)識(shí)符的情況。這種事件發(fā)生的可能性非常小，但它可能導(dǎo)致所支持的業(yè)務(wù)流程中出現(xiàn)錯(cuò)誤。

如果標(biāo)識(shí)符的分配有邏輯，對(duì)手可能會(huì)發(fā)現(xiàn)所使用的方法，從而擊敗控制。例如，對(duì)手知道一個(gè)標(biāo)識(shí)符被分配給一個(gè)特定的項(xiàng)目，并且該類型的所有項(xiàng)目都是按順序分配的，那么對(duì)手就可以推斷出與該類型項(xiàng)目相對(duì)應(yīng)的標(biāo)識(shí)符的大致范圍。類似地，當(dāng)標(biāo)識(shí)符序列化時(shí)，對(duì)手可以根據(jù)標(biāo)識(shí)符推斷出賦值的大致時(shí)間。

回退識(shí)別系統(tǒng)

控制：當(dāng)RFID系統(tǒng)不可用或單個(gè)標(biāo)記不可操作時(shí)，回退標(biāo)識(shí)系統(tǒng)提供了另一種方法來標(biāo)識(shí)、驗(yàn)證或驗(yàn)證對(duì)象。選項(xiàng)包括文本標(biāo)簽和AIDC技術(shù)，如條形碼?；赝丝赡軆H僅由一個(gè)標(biāo)識(shí)符組成，也可能包括關(guān)于被標(biāo)記對(duì)象的附加數(shù)據(jù)。后備系統(tǒng)有標(biāo)準(zhǔn)的操作程序和操作人員培訓(xùn)，以確保人員知道何時(shí)以及如何使用它。

適用范圍：所有RFID應(yīng)用。

優(yōu)點(diǎn)：復(fù)制標(biāo)簽標(biāo)識(shí)符和標(biāo)簽上的數(shù)據(jù)可以在惡意或意外的標(biāo)簽損壞、讀取器故障或企業(yè)子系統(tǒng)網(wǎng)絡(luò)中斷時(shí)提供一個(gè)后備方案。冗余數(shù)據(jù)還可以用來驗(yàn)證標(biāo)簽數(shù)據(jù)沒有被不正確地更改。

缺點(diǎn)：這種控制有幾個(gè)潛在的缺點(diǎn)，包括：

對(duì)標(biāo)記的損壞可能使存儲(chǔ)的數(shù)據(jù)和打印的數(shù)據(jù)都無法使用。類似地，許多會(huì)影響RFID系統(tǒng)的企業(yè)子系統(tǒng)中斷也會(huì)影響其備用方案，

存儲(chǔ)在標(biāo)簽上的數(shù)據(jù)是可見的，因此未經(jīng)授權(quán)的訪問可能比從標(biāo)簽讀取數(shù)據(jù)更容易，

文本標(biāo)簽或條形碼可能無法提供與RFID內(nèi)存相同的數(shù)據(jù)容量，盡管二維條形碼可以編碼至少與基于標(biāo)準(zhǔn)的標(biāo)簽標(biāo)識(shí)符一樣多的比特，

文本標(biāo)簽和AIDC技術(shù)是靜態(tài)的，因此它們不能為標(biāo)簽數(shù)據(jù)隨時(shí)間變化的應(yīng)用程序提供完整的回退解決方案。然而，在大多數(shù)應(yīng)用程序中，一些標(biāo)識(shí)信息仍然可能比沒有標(biāo)識(shí)信息要好。

RFID操作控制主要通過在物理層面上的物品管理、標(biāo)簽、標(biāo)識(shí)符以及對(duì)管理人員的培訓(xùn)與規(guī)定實(shí)現(xiàn)RFID安全控制。RFID系統(tǒng)需要操作控制，以確保系統(tǒng)的物理安全性和正確使用。

責(zé)任編輯：ct