RFID系统安全控制：操作控制

本文主要介绍RFID安全控制中的操作控制。操作控制包括系统管理员和用户每天执行的操作，以确保系统的物理安全性和正确使用。

一些典型的操作控制举例如下：

物理访问控制限制对部署RFID系统的授权人员的访问，

射频设备的正确放置有助于避免干扰，减少电磁辐射的危害，

当标签不再对阻止对手访问其数据有用时，组织可以销毁它们，

操作员培训可以帮助确保使用该系统的人员遵循适当的指导方针和政策，

信息标签和通知可以告知用户RFID系统的预期目的，以及用户可以采用的减轻风险的简单方法。

下面将详细地讨论RFID系统的操作控制。

物理访问控制

控制：物理访问控制包括栅栏、大门、墙壁、锁着的门、旋转门、监控摄像头和保安。当目标是限制短距离无线电通信时，如果房间墙壁或分隔的隔间对RF子系统使用的相关无线电频率不透明，则它们可能提供足够的保护。

适用性：除了RFID标签或其他系统组件位于公共区域之外的所有RFID实现。

物理访问控制限制了对手接近RFID系统组件的能力，从而破坏RFID数据安全，或修改、损坏或窃取RFID系统组件。物理安全性适用于所有RFID子系统。在RF子系统中，控制的主要目标是防止未经授权的无线电通信。在企业和企业间子系统中，主要目标是防止对系统组件的物理访问。

物理访问控制可减低风险的例子包括：

未经授权读取和写入标签数据，

流氓和克隆的标签，

读写器欺骗，

因无线电干扰或未经授权的命令而拒绝服务，

内容匹配，

RFID设备的物理破坏，

HERF/HERO/HERP。

缺点：

物理访问控制不是针对合法无线电干扰的对策，合法无线电位于一个旨在阻止外部排放的外围，

RF信号的有效范围可能比规定的工作范围长得多，因此允许使用定制的定向天线和其他技术进行许多攻击，

物理访问控制不能防止内部人员的攻击(即获准进入该地区的人士)，

HERF/HERO/HERP仍然存在于物理范围内的辐射，

如果管道系统或其他开口允许无线电信号逃逸，物理控制可能无法像预期的那样包含无线电信号。

标签和阅读器的适当位置

控制：RFID系统设备可以放置在避免电磁辐射的位置。标签和阅读器可以远离：

燃料、军械和其他暴露在电磁辐射下可能造成伤害的物质，

人类和敏感产品(如血液、药物)可能受到来自RF子系统的持续伤害，

金属和反射性物体，可以以意想不到的、潜在有害的方式修改和放大信号，

射频子系统通信将与之产生干扰的合法无线电。

适用性：部署RFID系统的组织确定RF设备位置的所有环境(这排除了许多消费者和供应链应用程序)。

优点：

减少干扰合法无线电的风险，

降低窃听和未经授权的RF子系统事务的风险，

缓解HERF/HERO/HERP。

缺点：

标签位置不能总是被控制，例如标签用于跟踪移动物品(如医院手推车)或运输中的物品(如卡车上的托盘)。

即使标签或阅读器被放置在离其他收音机足够近的新位置，无线电干扰也可能持续存在。

标签的安全处理

控制：安全处理涉及物理或电子销毁标签，而不是在不再需要它们执行预期功能时丢弃它们。物理破坏可能包括使用碎纸机手动撕纸或碎纸。电子破坏可以通过使用标签的杀伤特性或使用强电磁场使标签的电路永久无法工作来实现。当标签支持电子禁用机制时，它通常是在处理标签之前禁用它的首选方法，因为它可以在不接触每个标签的情况下完成，从而降低了工作的成本。

适用性：RFID应用中，标签在完成其预期功能后继续存在会带来商业智能或隐私风险(例如，对手随后可以使用标签的存在来跟踪项目或人员)。

优点：销毁或禁用标签：

消除了它们日后被用于跟踪或定位的可能性，

防止访问存储在标记上的敏感数据。

这些好处既适用于商业智能，也适用于隐私风险。

缺点：

即使很小，销毁标记所花费的努力也会增加标记的生命周期成本，如果需要非常低的成本来证明启用RFID的业务流程是正确的，那么这就是一个问题，

标签的销毁阻止了将其用于未来增值应用程序的能力，例如售后产品支持、有针对性的召回、无收据退货、过期日期监视和回收的排序帮助。

操作员及管理员培训

控制:操作员和管理员培训为人员提供必要的技能和知识，以遵守RFID使用、IT安全和隐私政策，以及与外部组织的协议。在大多数RFID实现中，人员将扮演不同的角色，每个角色可能需要不同的培训材料。例如，中间件管理员可能需要不同于移动阅读器操作员的信息。适当的保安及私隐训练至少应包括三点：

什么构成未经授权的使用，

如何检测可能发生的未经授权的使用，

向谁举报违规行为。

如果存在HERF/HERO/HERP风险，培训应包括缓解技术，例如安全处理距离。

如果标签被销毁或回收，培训应包括如何执行这些功能。例如，可以训练操作人员如何在重用之前清除标记内存。

适用性：所有RFID实现。

优点：操作员培训有助于确保系统得到正确使用和维护。培训还有助于操作人员识别安全违规行为，并采取适当行动防止此类事件再次发生。

缺点：单靠培训不能保证系统的正常运行或政策的遵守。

资料标签/公告

控件：将书面消息粘贴到每个标记上或与每个标记一起分发，或贴在阅读器附近。该通知可告知使用者RFID系统的用途，或就如何将私隐或其他风险减至最低向使用者提供意见(例如，当卡或应答器不使用时，将启用RFID的接入卡或应答器放在金属箔或屏蔽套中)。

适用性：使用简单的信息消息可以降低风险的所有应用程序。该控件与涉及隐私的消费者应用程序尤其相关。

优点：信息标签或通知可以传达关于风险的基本信息，而用户可以采取简单的步骤来降低风险(例如，删除标签或将其放在屏蔽套中)，否则这些风险可能是未知的。

缺点：分发通知并不能保证会被阅读或理解。对于可能需要正式培训的复杂概念或指令，通知不是合适的通信媒介。

职责分离

控制：RFID系统的职责分布在不同的人员角色中，以尽量减少由于单个人的疏忽或恶意活动造成的损害。该控制的一般原则是，两个或多个授权用户之间的恶意勾结比一个人单独从事不当行为的可能性要小得多。

职责分离的一个例子是让不同的人员将标签附加到对象上并读取标签。如果一个人同时执行了这两种功能，那么这个人可能会故意在一个对象上放置错误的标记，以绕过业务流程的目标。例如，商店职员可以在高价商品上贴上针对低价商品的标签，然后在店员的同伙购买商品时使用结账扫描仪。系统不会知道标签已经被切换，但是如果另一个人执行结账，他或她可能会怀疑结账总数，这可能会揭露阴谋。

适用性:RFID应用程序中，内部人员可能有未经授权执行RFID任务的动机。这种情况最有可能发生在标记支持商业事务时，特别是那些与高值对象相关的事务。

优点：职责分离有助于减少欺诈和恶意破坏，因为任何试图参与此类活动的用户都将被迫与至少一个其他用户勾结。职责分离还可以减少错误，因为第二个操作符经常会捕捉到第一个操作符所犯的或遗漏的错误。

缺点：多名员工仍然可能串通诈骗或违反RFID使用策略。此外，工作人员有限的组织可能无法履行完全的职责分离。

不暴露标识符的格式

控制：RFID标签是使用标识符格式分配的标识符，该标识符格式不显示任何关于已标记物品或操作RFID系统的组织的信息。非显示标识符格式选项包括串行分配标识符和随机分配标识符。

相反，如果对手读取用标准化格式(如EPC格式)编码的标识符，则该对手可能能够识别产品的制造商或发行方，以及产品的类型。例如，某一制造商生产的所有罐装软饮料将具有相同的EPC管理ID和对象类位。图1显示了一个示例96位EPC，以及如何将它解析为前面提到的四个独立字段。

图1 96-bit EPC

标签必须有可编程的标识符来支持控件。即使是设计来支持标准标记格式的标记，仍然可以在字段中分配非标准标识符。然而，有些标签具有工厂初始化的标识符，在生产之后无法修改。

适用性：任何应用程序中，实现组织确定暴露标记标识符是一种商业智能风险。

优点：对手不能仅从标识符获取关于标记项的信息。

缺点：

使用非显示标识符无法体现来自显示组织和项类型。例如，在企业间系统中设计和维护分布式数据库时，标准标识符格式尤其具有优势。当标识符提供关于项数据位置的信息时，在此类数据库中查找和查询函数要容易得多。

如果标识符是随机分配的，那么可能存在两个标记被分配相同标识符的情况。这种事件发生的可能性非常小，但它可能导致所支持的业务流程中出现错误。

如果标识符的分配有逻辑，对手可能会发现所使用的方法，从而击败控制。例如，对手知道一个标识符被分配给一个特定的项目，并且该类型的所有项目都是按顺序分配的，那么对手就可以推断出与该类型项目相对应的标识符的大致范围。类似地，当标识符序列化时，对手可以根据标识符推断出赋值的大致时间。

回退识别系统

控制：当RFID系统不可用或单个标记不可操作时，回退标识系统提供了另一种方法来标识、验证或验证对象。选项包括文本标签和AIDC技术，如条形码。回退可能仅仅由一个标识符组成，也可能包括关于被标记对象的附加数据。后备系统有标准的操作程序和操作人员培训，以确保人员知道何时以及如何使用它。

适用范围：所有RFID应用。

优点：复制标签标识符和标签上的数据可以在恶意或意外的标签损坏、读取器故障或企业子系统网络中断时提供一个后备方案。冗余数据还可以用来验证标签数据没有被不正确地更改。

缺点：这种控制有几个潜在的缺点，包括：

对标记的损坏可能使存储的数据和打印的数据都无法使用。类似地，许多会影响RFID系统的企业子系统中断也会影响其备用方案，

存储在标签上的数据是可见的，因此未经授权的访问可能比从标签读取数据更容易，

文本标签或条形码可能无法提供与RFID内存相同的数据容量，尽管二维条形码可以编码至少与基于标准的标签标识符一样多的比特，

文本标签和AIDC技术是静态的，因此它们不能为标签数据随时间变化的应用程序提供完整的回退解决方案。然而，在大多数应用程序中，一些标识信息仍然可能比没有标识信息要好。

RFID操作控制主要通过在物理层面上的物品管理、标签、标识符以及对管理人员的培训与规定实现RFID安全控制。RFID系统需要操作控制，以确保系统的物理安全性和正确使用。