RFID日漸興起 企業謹防隱私安全隱患

無線射頻識別技術(Radio frequency identity，RFID)吸引了越來越多企業的注意，尤其是那些在零售行業的企業。很多企業都宣布要試用這個項目或者正式使用該技術，另一些公司也將這類項目納入議事日程。目前關注的焦點集中在標準和該技術是否能夠如期交付。這很類似于互聯網擴張的黃金時期，安全性被大家忽略了。RSA Security的首席科學家Burt Kaliski在接受《Computing 》的采訪的時候談到了一些企業所面臨的問題。 

 
 
 
   
 
 
　　Computing ：有很多公司曾經忽略了無線網絡的安全性。在RFID領域內是否有同樣的問題？ 

　　Burt Kaliski：考慮到RFID的典型使用環境是倉庫。你有100 個讀卡器分散在倉庫的各個角落：在碼頭、貨架或者叉車上。很有可能，這些用戶將通過無線網絡連接。所以如果一開始你就沒有一個安全的無線網絡，任何竊聽通信的家伙都能夠偷聽用戶之間以及網絡上進行的通信。你對于倉庫運作的實時管理等于全部開放在外部。 

　　另一個問題是如何在開始就建立起安全性。例如，如果叉車不小心壓碎了讀卡器該如何處理？你就只能關掉它，然后用另一個讀卡器來取代它，因為整個裝配線將停止工作，它們都使用了RFID功能。在技術人員更換讀卡器的時候，他是否還有時間來處理其他保護安全性的工作？如果替代的讀卡器已經預先配置好，也許他就可以，但是我不認為公司目前會已經考慮到這一步。而且如果沒有采取安全防范措施，我們又如何能夠知道應該在適當的時候替換讀卡器呢？如果一個競爭者走進來，把他們的一個讀卡器掛在墻上，就可以竊聽了，一個向公司的數據庫里發送報告，另一個則向競爭對手的系統發送數據。

　　也許這在目前對你不會構成威脅，但是如果你想要構建的是一個要使用10年或者20年的系統，你就需要確保系統不會在甚至沒有開始使用之前就出現安全隱患。第二個問題是目前的讀卡器，能夠讀出所有碰巧遇見的標簽。但是這項技術的問題在于即使遠距離的標簽不能夠被讀出，讀卡器卻可以。所以當你尋找這些標簽的時候，讀卡器也會告訴全世界你在找的標簽。同樣的協議保證了能夠在同時閱讀很多標簽，這也成為了隱私泄露的隱患，給商業間諜留下了可乘之機。

　　Computing ：標簽是唯一的產品代碼，上面記錄了該產品的信息，企業的數據庫里保存這些信息。會給企業帶來什么風險呢？

　　Burt Kaliski：有很多種方式來看待這個問題。一種是標簽被標記成條形碼的形式。全電子化產品代碼包含了生產廠商、產品類型和序列號等信息。在這種情況下，雖然關于某件特定產品的信息是在線保存的，標簽上的記錄也包含了足夠多的信息，說明誰是生產廠商和產品類型。讓我們來想想，如果雇主想要了解每個雇員身上帶著什么樣的藥物，無論是為了什么樣不正當的原因他要這樣做，他都能夠看到人們帶著什么樣的產品在身邊。或者如果零售商想要建立客戶檔案，他就能夠在你進門的時候記錄你所穿的鞋子的類型。

　　Computing ：目前上述情況暫時還不會發生，我們應如何對待？

　　Burt Kaliski：是的，但是我們今天所做的決定將能夠影響未來。我不認為目前在這個強調隱私的社會里會有任何人擔心被監視，但是這有可能在明天發生。目前，正在建立標準，架構也在建設之中，這就意味著在5 ～10年以后，我們就很難再修改它們?，F在供應鏈應用中，當我們談論掃描收到的貨物的時候，只是為了確認在供應鏈中收發雙方所描述的識別標志是否一致。如果你想要監視競爭對手的行為，你就可以在他們上、下貨的碼頭、他們伙伴的倉庫進出口布置足夠的讀卡器，就能夠了解到很多寶貴的信息。如果從開始到結束的過程中，識別碼能夠被隨意修改，這又引發了另一個問題，但是現在不會。讀卡器在未來會變得越來越便宜，有些公司甚至已經開始討論把它們放到手機之中。如果讀卡器的價格變得低廉的話，那么就非常容易利用它們來實現不正當的目的。如果數據是如此容易地被收集和統計，你就很有可能會因此喪失你的競爭優勢。如果在零售供應鏈中，這種可能無所謂，那么起碼在軍事生產領域我們應該注意這些問題。

　　Computing ：目前正在試用RFID的大公司感覺如何？他們對這項技術的評價如何？

　　Burt Kaliski：我認為他們正逐步地開始意識到這個問題。隱私問題現在讓每個人都很緊張。安全問題應該時刻都保持警惕，但是每次遇到讓人興奮的技術的時候，人們就很容易忽略它。目前大家對于這個行業最為關注的問題是讓它運作起來，其次關心的是降低費用。我們希望安全性和隱私保護能夠排到第三位，這樣它們才能夠在下一代標準里得到體現。

　　Computing ：對于安全隱私問題的關注程度目前還很不夠嗎？應如何對其更重視？

　　Burt Kaliski：在目前的討論中，安全問題有一種被忽略的趨勢。通常大家都認為這僅僅是一個隱私的問題。RFID主要應用的場合是在零售行業，這些問題又不會在現在造成什么不好的影響。人們認為在供應鏈中不存在隱私問題，所以他們毫不擔心。我們現在正在努力吸引大家更關注這個問題。提高安全性的最大障礙在于它提高了成本，所以必須證明這些錢花得確實有價值。畢竟如果我們沒有在一開始就把安全性考慮在內，而是在以后才考慮到增加系統的安全性，我們就會付出高得多的代價。

　　說到隱私問題，目前的解決方案只是簡單地讓標簽失效。一些建議希望商家能夠在銷售的時候進行標簽解除，但是我認為這就沒有充分發揮技術的優勢。RFID能夠連接現實世界和虛擬世界，所以標簽解除使得該技術在顧客走出商店后就失去了優勢。但是目前這也是唯一能夠保護顧客隱私，給他們安全感的做法。我們需要的應該是一種折衷的方案，當標簽離開店鋪的時候，就應該被標記為被保護的隱私狀態，而當它回到店里的時候，就應該馬上可以進入系統。你可以解除標簽，如果你需要的話，但是你不一定非要這樣做。