射频识别(RFID)技术的应用可以快速提升业务处理能力,带来很多显而易见的好处,比如:

·提高效率,降低成本;

·整合多个应用系统,使RFID技术支持供应链和其他应用程序,大幅提升事务的处理效率。

射频识别技术(RFID)本身是复杂的,它结合了许多计算系统与通信方面的技术,而复杂性都会产生风险。为了保证RFID的有效性以及防止被潜在攻击者滥用,组织对RFID系统进行风险控制需要进一步了解RFID的风险来源及其潜在特征。

本文将对RFID系统所面临的潜在风险进行介绍,以便组织可以对其进行防范。

业务流程风险

RFID系统通常用于替换纸质条形码系统。实施RFID系统的组织如果过度依赖RFID系统,一旦当RFID系统出现问题,容易造成业务中断。RFID系统相较于纸质条形码系统而言,不容易快速被修复。这是由于RFID系统的数据是存储在统一的后端服务器中,在这种情况下,RFID系统极大地提高了业务效率以及准确度,但纸质条形码系统可能比RFID系统更能抵御本地意外情况的发生。这就要求RFID系统规划者预先对此种情况进行备灾准备。

RFID系统的任何组件或子系统发生故障都可能导致系统范围内的故障。例如,在应用于仓储的RFID系统中,系统范围内的故障可能由许多原因引起,例如网络连接断开、软件病毒禁用关键中间件功能或异常无线电的干扰等。如果RFID系统由于异常原因导致不可用,则可能导致业务处理效率降低甚至导致记录丢失。

与大多数其他风险不同,业务流程风险可能是人为原因和自然原因共同影响的结果。其中,人为原因可能是有意或无意的。例如,标签损坏有可能是因为有人故意撕毁,也可能是员工不小心损坏了它。

另外一个潜在问题是通信网络:如果支持RFID系统的网络意外断开,则RFID系统也可能瘫痪。特别是在供应链应用中,链中任何一点的网络故障都有可能影响链中任何后续链接的业务流程。例如,如果供应商无法将清单数据写入标签,那么即使其RFID读卡器和网络基础设施完全正常,收件人也无法在其操作中使用该数据。承载RFID中间件、数据库、分析系统和身份验证服务的服务器都是潜在高危故障点。

信息泄露风险

RFID的一大优点是可以在不接触的情况下读取标签信息,但如果没有适当的控制,它也会造成未经授权的访问,造成信息泄露风险。此风险与业务流程风险不同,因为业务流程即使按预期运行,也可能发生此风险。

攻击者可以通过多种方式从RFID系统获取信息,比如窃听读卡器和标签之间的射频信号链路,对标签执行独立查询以获取数据,以及对后端数据库的入侵访问等。供应链应用程序特别容易受到这种风险的影响,因为各种外部实体一般具有对标签或相关数据库的读取权限,因此一旦被入侵,就会造成标签及数据库的信息泄露。此类信息泄露,在事发过程中不易被检测到。

在某些情况下,信息泄露就在一瞬间。例如,有人可能使用读卡器来确定某个海运集装箱内是否装有昂贵的电子设备。在其他情况下,数据也可能随着时间的推移而聚合,以侧面反映出有关组织的操作或业务战略。例如,入侵者可以悄悄监测仓库内的标签数量,以提供数据进行决策。在这种情况下,如果有人确定某个仓库最近收到了许多非常大的订单,那么这可能会触发金融市场的行动,或促使竞争对手更改其价格或生产计划。

隐私风险

RFID技术引起了几个重要的隐私问题。其中一个是:某些组织可能会为特定目的而收集个人信息,然后将这些信息用于商业目的(例如进行直接营销活动);另一个问题是,某些组织为提升特定的业务效率而实施的RFID系统,可能会被用于意想不到的用途,如人员目标跟踪或个人行为偏好的收集,并将这些信息披露给未经授权的第三方。

当一个人拥有来自多个组织的标签时,隐私风险可能会相应增加,因为读取标签的人现在可以组合和关联信息,来对个人用户进行分析。例如,如果消费者购买了带有标签的商品,而标签未被移除,那么卖家或其他人随后可以使用标签来对此人进行定位。消费者可能用现金购买了某商品,相当于在该交易中是匿名的。但是,如果她还携带另一个显示她身份的标签,例如支持RFID的身份证,那么有人可能会偷偷地读取这两个标签,以此便在购买的物品和她的个人身份之间建立了关联。随着人们拥有更多的标签物品,读卡器在日常生活中变得越来越普遍,也就会出现更复杂的联想和推理。

外部性风险

RFID系统通常不会与企业中的其他系统相隔离,而是出于相互连接的状态,射频识别系统与系统之外的事物之间的每个连接点都代表着一个潜在漏洞,因为射频识别系统的射频子系统和企业子系统都存在可能的外部性风险。企业子系统的主要外部性风险是对联网设备和应用程序的网络攻击。网络攻击可能涉及恶意软件(如蠕虫和病毒)或攻击工具,利用软件漏洞和配置弱点访问系统、执行拒绝服务或造成其他破坏。

外部性风险的定义涉及RFID系统之外的风险,因此它既不同于业务流程风险,也不同于业务信息风险。

参考文献:

[1]https://www.nist.gov/publications/guidelines-securing-radio-frequency-identification-rfid-systems

[2]https://securitywing.com/top-10-rfid-security-concerns-threats

[3]https://www.advancedmobilegroup.com/blog/revisiting-the-rfid-vs-barcode-debate

作者:kensin 张艳芳

声明:本文来自中国保密协会科学技术分会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。