随着经济全球化和电子商务的不断发展,企业越来越依赖于全球化的信息平台,希望可以利用一种可靠、安全的方式提供物品的信息。将RFID技术应用于现有的Internet中,可提供一个这样的服务平台:基于RFID技术的电子商务体系不仅实现产品在制造商、供应商、各级物流中心、零售商和顾客之间实现快速的流通,同时实现信息的共享,对物流信息的溯源。
随着RFID技术在信息共享中使用越来越普遍,RFID网络使用的不断扩展,网络中原本安全的信息将从相对封闭的供应链面向相对开放的环境,就像英特网从只是研究人员使用的网络发展成为开放的公共网络一样,在安全性上会存在很多风险。RFID网络系统的完善性将变得越来越重要。网络中存在的风险会造成信息的丢失,带来其他的重要问题以及供应链的延误。
1 国内外的相关研究
在RFID网络中存在的安全性问题在信息安全性研究中得到越来越多的关注。提出了相关分析、研究和解决方案。
射频技术在识别对象和物品上的应用已超过了60年,在现代应用中(供应链管理、医药卫生、动物识别等),为解决RFID的隐私与安全问题,国内外一些研究人员提出了一些技术方案。如Kill标签,这是一种最简单的解决非法跟踪问题的方法,但限制了标签的进一步利用;法拉第网罩通过阻止标签和阅读器之间的通信保护用户隐私,但不实用;主动干扰通过施放干扰信号防止非法读取信息等。这些方法都是基于物理机制的。
还有很多是利用多种加密技术进行访问控制来保护RFID网络中的信息,如讨论的建立一个安全的授权协议,利用密码技术确认读取信息的读写器是否经过授权。对I心D网络上的读写器和标签之间的信息交换时存在的风险做了评估。文讨论了现在无线网络应用中存在的风险和威胁。由于标签在存储空间和计算能力上都是不同的,基于RFD的安全机制对于那些低端的标签不够完善,现有的网络安全机制和加密算法不合适,一些加密算法并不能有效地防范攻击者带来的威胁。本文以基于保密性、完整性、可用性的原则对RFID网络中存在的安全性风险进行分析和评估,为以后的安全机制的研究提供优先性的依据。同时,对现有解决方案和对策所能解决的问题和存在的不足做出论证。
2 EPC网络体系结构
RFID是一种非接触式的自动识别技术,通过射频信号自动识别目标对象并获取相关数据信息。系统由标签和读写器构成。为了降低标签的成本,标签中通常只存储一个识别号,做为数据查询的键值,其他的相关信息存储在网络中的服务器上,这需要一个RFID信息交换平台来存储和分享商品流通的信息。RFID网络就是在现有的Intemet基础上利用RFID和数据通信技术构建的一个信息交换平台,该网络中的实体对象采用非人工干预的方式,实现信息的共享和交互。
目前最典型的RFID网络是EPCglobal提出的EPC(electronic product code)网络。在EPC网络,标签中写入的是EPC编码,并利用EPC编码检索商品信息。EPC编码长度有64bit、96bj石阳256bit 3种,编码由标头、厂商识别代码、对象分类代码、序列号等数据字段组成。如EPC编码SGTIN 9 101 003 003中,SGTIN表示编码标准,910 100表示公司编码,300表示产品编码,3表示序列号。