論3G射頻識別技術(shù)的安全隱患及解決方案

摘 要:在對3G射頻識別技術(shù)安全性的分析的基礎(chǔ)上，通過對3G射頻識別技術(shù)的市場分析及其他國家的3G射頻識別與通信領(lǐng)域結(jié)合的案例總結(jié)，對其在案例系統(tǒng)應(yīng)用中的安全性、數(shù)據(jù)機密性、數(shù)據(jù)完整性和數(shù)據(jù)有效性進行分析，從而證明3G射頻識別可以保證系統(tǒng)安全可靠高效的應(yīng)用。

關(guān)鍵詞:3G射頻識別技術(shù);安全隱患;解決方案

中圖分類號:TP

文獻標識碼:A

文章編號:1672-3198(2010)08-0308-01

隨著信息技術(shù)的發(fā)展，不同網(wǎng)絡(luò)體系與信息技術(shù)正在發(fā)生重大轉(zhuǎn)型，出現(xiàn)了兩大趨勢:融合趨勢和應(yīng)用趨勢。3G射頻識別技術(shù)和通信的結(jié)合，為3G射頻識別技術(shù)和通信領(lǐng)域帶來了更加廣闊的應(yīng)用空間和商機。但是沒有可靠的信息安全機制，就無法有效保護3G射頻識別標簽中的數(shù)據(jù)信息，如果標簽中的信息被竊取甚至惡意更改，將可能給用戶帶來巨大的損失。目前，3G射頻識別的安全性己經(jīng)成為制約3G射頻識別廣泛應(yīng)用的重要因素。

1 射頻識別系統(tǒng)的工作原理

我們例舉來說明3G射頻識別系統(tǒng)的工作過程，這個例子是無源系統(tǒng)，即電子標簽為被動電子標簽，標簽內(nèi)不含電源，電子標簽的工作能量由讀寫器發(fā)出的射頻脈沖提供。讀寫器天線發(fā)射能量形成電磁場，區(qū)域大小取決于發(fā)射功率、工作頻率和天線尺寸。電子標簽進入這個區(qū)域時，接收到讀寫器的射頻脈沖，經(jīng)過整流后給電容充電。電容電壓經(jīng)過穩(wěn)壓后作為工作電壓。數(shù)據(jù)解調(diào)部分從接收到的射頻脈沖中解調(diào)出命令和數(shù)據(jù)并送到控制邏輯部分，邏輯控制部分接收指令并完成存儲、發(fā)送數(shù)據(jù)或其他操作。如需要發(fā)送數(shù)據(jù)，則將數(shù)據(jù)調(diào)制后從收發(fā)模塊發(fā)送出去。讀寫器接受到返回的數(shù)據(jù)后，解碼并進行錯誤校驗來決定數(shù)據(jù)的有效性，然后通過RS232，RS422，RS485 或無線接口將數(shù)據(jù)傳送到計算機的數(shù)據(jù)采集Middleware 中。讀寫器發(fā)送的射頻信號除提供能量外，通常還提供時鐘信號，使數(shù)據(jù)同步，從而簡化了系統(tǒng)的設(shè)計。有源3G射頻識別系統(tǒng)的工作原理同上述的過程基本相似，只是其工作能量是由電池提供的。

2 3G射頻識別系統(tǒng)的安全隱患分析

根據(jù)3G射頻識別技術(shù)運用的原理結(jié)合目前發(fā)展的情況，3G射頻識別標簽可能侵犯隱私權(quán)的情況可以主要概括為以下三種。

2.1 利用閱讀機偵測信息

例如零售企業(yè)也許可以通過在消費者住址附近的大街上的3G射頻識別閱讀機來監(jiān)控消費者家中的產(chǎn)品，并以此作為他們商店庫存系統(tǒng)的店內(nèi)測試，即通過掃描消費者家庭中的該種產(chǎn)品使用情況進而得知是否需要在其商店中及時進貨或者補貨。再比如，某家減肥健身俱樂部可能先派人開車在某個居民小區(qū)逐戶“掃蕩”，偵測哪些住戶家中冰箱里堆放太多的甜點，然后再派業(yè)務(wù)員針對性地去敲門并介紹他們新推出的減肥健身計劃。這種問題或許你找不出更好的解決辦法，除非設(shè)法發(fā)明能阻擋3G射頻識別無線電訊號的建筑材料。因為這些企業(yè)是利用3G射頻識別的非接觸式特性，所以作為普通人一定是毫無知覺。

2.2 利用標簽技術(shù)收集個人信息

透過3G射頻識別技術(shù)，企業(yè)或者政府可以輕易地收集到公民的個人信息，未來隨著RF功技術(shù)運用到證照和身份證件方面，有人擔心信息咨詢分析公司或者政府可能會把3G射頻識別標簽當作一種監(jiān)視的方法，甚至該技術(shù)也可能淪為計算機黑客下手的目標。這不是聳人聽聞，美國政府國土安全局已經(jīng)在入境手續(xù)和身份證明上進行試驗，同時還計劃實施帶3G射頻識別芯片的護照和駕照，此舉在美國本土引起軒然大波。舉簡單的例子，假使3G射頻識別標簽在駕駛執(zhí)照中得以運用，政府可以采集到駕車人的姓名、身高、體重、年齡、視力狀況等等信息，這些信息如果經(jīng)過編輯處理，并出售給其他的數(shù)據(jù)咨詢公司，而且不加以任何限制的話，用于特定目的的信息就變成了準公有市場的公有信息，公民隱私蕩然無存。

2.3 利用標簽植入人體進行追蹤

如果3G射頻識別標簽被植入人體呢?這個似乎有點匪夷所思，但是你無論如何都想不到，的確已經(jīng)有人向美國國防部提議給所有美國大兵的體內(nèi)都植入類似的3G射頻識別芯片!雖說軍人以服從為天職，體內(nèi)植入芯片大概也不好反對。但如果有一天企業(yè)的員工也必須植入此類芯片又會怎樣?我們會以侵犯了人身自由和隱私權(quán)而拒絕植入嗎?因此3G射頻識別安全問題集中在對個人用戶的隱私保護、對企業(yè)用戶的商業(yè)秘密保護、防范對3G射頻識別系統(tǒng)的攻擊以及利用3G射頻識別技術(shù)進行安全防范等多個方面。

3 3G射頻識別系統(tǒng)數(shù)據(jù)安全對策

3.1 保護標簽中數(shù)據(jù)安全對策

為了防止3G射頻識別標簽泄露個人隱私，同時也為了防止用戶攜帶安裝有標簽的產(chǎn)品進入市場所帶來的混亂，人們從技術(shù)上提出了多種方案，如表1所示:

表1 3G射頻識別標簽安全與隱私保護方法

方法名稱描述優(yōu)缺點

Kill標簽商品交付給最終用戶時，通過KLL指令殺死標簽，標簽無法再次被激活徹底防止用戶隱私被跟蹤，但影響到反向跟蹤，比如退貨、維修和服務(wù)，限制了標簽的進一步利用

法拉第網(wǎng)罩將貼有3G射頻識別標簽的商品放入由金屬網(wǎng)罩或金屬箔片組成的容器中，從而阻止標簽和閱讀器的通信為避免信息泄露，每件商品都得罩上一個網(wǎng)罩，難以大規(guī)模實施。另外屏蔽掉標簽之后，也同時喪失了RF特征

主動干擾用戶使用能夠主動廣播干擾信號的設(shè)備，干擾對受保護標簽的讀取干擾周圍的合法3G射頻識別系統(tǒng)

智能標簽增加標簽的處理能力，利用加密技術(shù)進行訪問控制，保護用戶隱私受到成本的限制，難以采用復(fù)雜的加密技術(shù)

軟阻塞器標簽(阻塞器標簽的改進)在銷售點通過“會員卡”可看到隱藏的信息，購買后，銷售點更新隱私信息，提示某些閱讀器如供應(yīng)鏈閱讀器不要讀取該信息是解決3G射頻識別標簽隱私問題的一個好辦法，EPCglobal第二代標簽中就加入了這種功能3.2 各組件通信鏈上數(shù)據(jù)安全對策限制標簽和閱讀器之間的通信距離。采用不同的工作

頻率、天線設(shè)計、標簽技術(shù)和閱讀器技術(shù)可以限制兩者之間的通信距離，低非法接近和閱讀標簽的風險，但是這仍然不能解決數(shù)據(jù)傳輸?shù)娘L險，還以損害可部署性為代價。實現(xiàn)專有的通信協(xié)議。在高度安全敏感和互操作性不高的情況下，實現(xiàn)專有通信協(xié)議是有效的。它涉及到實現(xiàn)一套非公有的通信協(xié)議和加解密方案。基于完善的通信協(xié)議和編碼方案，可實現(xiàn)較高等級的安全。但是，這樣便喪失了與采用工業(yè)標準的系統(tǒng)之間的3G射頻識別數(shù)據(jù)共享能力。當然，還可以通過專用的數(shù)據(jù)網(wǎng)關(guān)來進行處理。為3G射頻識別標簽編程，使其只可能與己授權(quán)的3G射頻識別閱讀器通信。解決辦法是，確保網(wǎng)絡(luò)上的所有閱讀器在傳送信息給中間件(中間件再把信息傳送給應(yīng)用系統(tǒng))之前都必須通過驗證，并且確保閱讀器和后端系統(tǒng)之間的數(shù)據(jù)流是加密的。部署3G射頻識別閱讀器時應(yīng)采取一些非常切合實際的措施，確保驗證后方可連入網(wǎng)絡(luò)，并且不會因為傳輸而被其他人竊取重要信息。

3.3 保護閱讀器中數(shù)據(jù)安全對策

在3G射頻識別系統(tǒng)中，閱讀器只是一個簡單的讀寫設(shè)備沒有太多的安全功能，因此閱讀器中數(shù)據(jù)采集的安全問題必須依靠中件間來解決。中間件的安全對策與計算機網(wǎng)絡(luò)系統(tǒng)有相同之處，攻擊者要想對閱讀器進行攻擊，多數(shù)情況是必須至少得和閱讀器接觸，所以保護數(shù)據(jù)安全除了不斷推進加密技術(shù)來應(yīng)對之外，還要依靠安全的管理制度，完備的數(shù)據(jù)管理模式， 依靠數(shù)據(jù)的管理者持續(xù)的工作來保持數(shù)據(jù)的安全性，所以保密是一個過程。

總之，射頻識別技術(shù)在我國通信領(lǐng)域的發(fā)展?jié)摿κ蔷薮蟮?。面對該領(lǐng)域的迅速崛起，我國通信企業(yè)，包括制造業(yè)和運營業(yè)應(yīng)該保持敏銳的嗅覺，積極尋找射頻識別技術(shù)可能帶來的商機，做好安全防范工作，從而促進我國3G通信行業(yè)的可持續(xù)發(fā)展。

參考文獻

[1]秦虎，王紅衛(wèi)，謝勇.基于電子標簽的數(shù)據(jù)采集系統(tǒng)[J].物流技術(shù)，2005，(10):49-52.

[2]張新寶.隱私權(quán)的法律保護[M].北京:群眾出版社，2004:43-53.

[3]謝穎青.通訊科技與法律的對話[M].臺北:天下遠見出版股份有限公司，2005:36-56.

[4]郭俐，王喜成.射頻識別系統(tǒng)安全對策技術(shù)研究的概述[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2005，9(23):23-24.

[5]王忠敏，張成海，姜永平.EPC技術(shù)基礎(chǔ)教程[M].北京:中國標準出版社，2004:35-65.