本文主要介紹RFID安全控制中的操作控制。操作控制包括系統(tǒng)管理員和用戶每天執(zhí)行的操作，以確保系統(tǒng)的物理安全性和正確使用。

一些典型的操作控制舉例如下：

物理訪問控制限制對部署RFID系統(tǒng)的授權(quán)人員的訪問，

射頻設(shè)備的正確放置有助于避免干擾，減少電磁輻射的危害，

當(dāng)標(biāo)簽不再對阻止對手訪問其數(shù)據(jù)有用時，組織可以銷毀它們，

操作員培訓(xùn)可以幫助確保使用該系統(tǒng)的人員遵循適當(dāng)?shù)闹笇?dǎo)方針和政策，

信息標(biāo)簽和通知可以告知用戶RFID系統(tǒng)的預(yù)期目的，以及用戶可以采用的減輕風(fēng)險的簡單方法。

下面將詳細(xì)地討論RFID系統(tǒng)的操作控制。

物理訪問控制

控制：物理訪問控制包括柵欄、大門、墻壁、鎖著的門、旋轉(zhuǎn)門、監(jiān)控攝像頭和保安。當(dāng)目標(biāo)是限制短距離無線電通信時，如果房間墻壁或分隔的隔間對RF子系統(tǒng)使用的相關(guān)無線電頻率不透明，則它們可能提供足夠的保護(hù)。

適用性：除了RFID標(biāo)簽或其他系統(tǒng)組件位于公共區(qū)域之外的所有RFID實現(xiàn)。

物理訪問控制限制了對手接近RFID系統(tǒng)組件的能力，從而破壞RFID數(shù)據(jù)安全，或修改、損壞或竊取RFID系統(tǒng)組件。物理安全性適用于所有RFID子系統(tǒng)。在RF子系統(tǒng)中，控制的主要目標(biāo)是防止未經(jīng)授權(quán)的無線電通信。在企業(yè)和企業(yè)間子系統(tǒng)中，主要目標(biāo)是防止對系統(tǒng)組件的物理訪問。

物理訪問控制可減低風(fēng)險的例子包括：

未經(jīng)授權(quán)讀取和寫入標(biāo)簽數(shù)據(jù)，

流氓和克隆的標(biāo)簽，

讀寫器欺騙，

因無線電干擾或未經(jīng)授權(quán)的命令而拒絕服務(wù)，

內(nèi)容匹配，

RFID設(shè)備的物理破壞，

HERF/HERO/HERP。

缺點：

物理訪問控制不是針對合法無線電干擾的對策，合法無線電位于一個旨在阻止外部排放的外圍，

RF信號的有效范圍可能比規(guī)定的工作范圍長得多，因此允許使用定制的定向天線和其他技術(shù)進(jìn)行許多攻擊，

物理訪問控制不能防止內(nèi)部人員的攻擊（即獲準(zhǔn)進(jìn)入該地區(qū)的人士），

HERF/HERO/HERP仍然存在于物理范圍內(nèi)的輻射，

如果管道系統(tǒng)或其他開口允許無線電信號逃逸，物理控制可能無法像預(yù)期的那樣包含無線電信號。

標(biāo)簽和閱讀器的適當(dāng)位置

控制：RFID系統(tǒng)設(shè)備可以放置在避免電磁輻射的位置。標(biāo)簽和閱讀器可以遠(yuǎn)離：

燃料、軍械和其他暴露在電磁輻射下可能造成傷害的物質(zhì)，

人類和敏感產(chǎn)品（如血液、藥物）可能受到來自RF子系統(tǒng)的持續(xù)傷害，

金屬和反射性物體，可以以意想不到的、潛在有害的方式修改和放大信號，

射頻子系統(tǒng)通信將與之產(chǎn)生干擾的合法無線電。

適用性：部署RFID系統(tǒng)的組織確定RF設(shè)備位置的所有環(huán)境（這排除了許多消費者和供應(yīng)鏈應(yīng)用程序）。

優(yōu)點：

減少干擾合法無線電的風(fēng)險，

降低竊聽和未經(jīng)授權(quán)的RF子系統(tǒng)事務(wù)的風(fēng)險，

緩解HERF/HERO/HERP。

缺點：

標(biāo)簽位置不能總是被控制，例如標(biāo)簽用于跟蹤移動物品（如醫(yī)院手推車）或運輸中的物品（如卡車上的托盤）。

即使標(biāo)簽或閱讀器被放置在離其他收音機(jī)足夠近的新位置，無線電干擾也可能持續(xù)存在。

標(biāo)簽的安全處理

控制：安全處理涉及物理或電子銷毀標(biāo)簽，而不是在不再需要它們執(zhí)行預(yù)期功能時丟棄它們。物理破壞可能包括使用碎紙機(jī)手動撕紙或碎紙。電子破壞可以通過使用標(biāo)簽的殺傷特性或使用強(qiáng)電磁場使標(biāo)簽的電路永久無法工作來實現(xiàn)。當(dāng)標(biāo)簽支持電子禁用機(jī)制時，它通常是在處理標(biāo)簽之前禁用它的首選方法，因為它可以在不接觸每個標(biāo)簽的情況下完成，從而降低了工作的成本。

適用性：RFID應(yīng)用中，標(biāo)簽在完成其預(yù)期功能后繼續(xù)存在會帶來商業(yè)智能或隱私風(fēng)險（例如，對手隨后可以使用標(biāo)簽的存在來跟蹤項目或人員）。

優(yōu)點：銷毀或禁用標(biāo)簽：

消除了它們?nèi)蘸蟊挥糜诟櫥蚨ㄎ坏目赡苄裕?/p>

防止訪問存儲在標(biāo)記上的敏感數(shù)據(jù)。

這些好處既適用于商業(yè)智能，也適用于隱私風(fēng)險。

缺點：

即使很小，銷毀標(biāo)記所花費的努力也會增加標(biāo)記的生命周期成本，如果需要非常低的成本來證明啟用RFID的業(yè)務(wù)流程是正確的，那么這就是一個問題，

標(biāo)簽的銷毀阻止了將其用于未來增值應(yīng)用程序的能力，例如售后產(chǎn)品支持、有針對性的召回、無收據(jù)退貨、過期日期監(jiān)視和回收的排序幫助。

操作員及管理員培訓(xùn)

控制：操作員和管理員培訓(xùn)為人員提供必要的技能和知識，以遵守RFID使用、IT安全和隱私政策，以及與外部組織的協(xié)議。在大多數(shù)RFID實現(xiàn)中，人員將扮演不同的角色，每個角色可能需要不同的培訓(xùn)材料。例如，中間件管理員可能需要不同于移動閱讀器操作員的信息。適當(dāng)?shù)谋０布八诫[訓(xùn)練至少應(yīng)包括三點：

什么構(gòu)成未經(jīng)授權(quán)的使用，

如何檢測可能發(fā)生的未經(jīng)授權(quán)的使用，

向誰舉報違規(guī)行為。

如果存在HERF/HERO/HERP風(fēng)險，培訓(xùn)應(yīng)包括緩解技術(shù)，例如安全處理距離。

如果標(biāo)簽被銷毀或回收，培訓(xùn)應(yīng)包括如何執(zhí)行這些功能。例如，可以訓(xùn)練操作人員如何在重用之前清除標(biāo)記內(nèi)存。

適用性：所有RFID實現(xiàn)。

優(yōu)點：操作員培訓(xùn)有助于確保系統(tǒng)得到正確使用和維護(hù)。培訓(xùn)還有助于操作人員識別安全違規(guī)行為，并采取適當(dāng)行動防止此類事件再次發(fā)生。

缺點：單靠培訓(xùn)不能保證系統(tǒng)的正常運行或政策的遵守。

資料標(biāo)簽/公告

控件：將書面消息粘貼到每個標(biāo)記上或與每個標(biāo)記一起分發(fā)，或貼在閱讀器附近。該通知可告知使用者RFID系統(tǒng)的用途，或就如何將私隱或其他風(fēng)險減至最低向使用者提供意見（例如，當(dāng)卡或應(yīng)答器不使用時，將啟用RFID的接入卡或應(yīng)答器放在金屬箔或屏蔽套中）。

適用性：使用簡單的信息消息可以降低風(fēng)險的所有應(yīng)用程序。該控件與涉及隱私的消費者應(yīng)用程序尤其相關(guān)。

優(yōu)點：信息標(biāo)簽或通知可以傳達(dá)關(guān)于風(fēng)險的基本信息，而用戶可以采取簡單的步驟來降低風(fēng)險（例如，刪除標(biāo)簽或?qū)⑵浞旁谄帘翁字校駝t這些風(fēng)險可能是未知的。

缺點：分發(fā)通知并不能保證會被閱讀或理解。對于可能需要正式培訓(xùn)的復(fù)雜概念或指令，通知不是合適的通信媒介。

職責(zé)分離

控制：RFID系統(tǒng)的職責(zé)分布在不同的人員角色中，以盡量減少由于單個人的疏忽或惡意活動造成的損害。該控制的一般原則是，兩個或多個授權(quán)用戶之間的惡意勾結(jié)比一個人單獨從事不當(dāng)行為的可能性要小得多。

職責(zé)分離的一個例子是讓不同的人員將標(biāo)簽附加到對象上并讀取標(biāo)簽。如果一個人同時執(zhí)行了這兩種功能，那么這個人可能會故意在一個對象上放置錯誤的標(biāo)記，以繞過業(yè)務(wù)流程的目標(biāo)。例如，商店職員可以在高價商品上貼上針對低價商品的標(biāo)簽，然后在店員的同伙購買商品時使用結(jié)賬掃描儀。系統(tǒng)不會知道標(biāo)簽已經(jīng)被切換，但是如果另一個人執(zhí)行結(jié)賬，他或她可能會懷疑結(jié)賬總數(shù)，這可能會揭露陰謀。

適用性：RFID應(yīng)用程序中，內(nèi)部人員可能有未經(jīng)授權(quán)執(zhí)行RFID任務(wù)的動機(jī)。這種情況最有可能發(fā)生在標(biāo)記支持商業(yè)事務(wù)時，特別是那些與高值對象相關(guān)的事務(wù)。

優(yōu)點：職責(zé)分離有助于減少欺詐和惡意破壞，因為任何試圖參與此類活動的用戶都將被迫與至少一個其他用戶勾結(jié)。職責(zé)分離還可以減少錯誤，因為第二個操作符經(jīng)常會捕捉到第一個操作符所犯的或遺漏的錯誤。

缺點：多名員工仍然可能串通詐騙或違反RFID使用策略。此外，工作人員有限的組織可能無法履行完全的職責(zé)分離。

不暴露標(biāo)識符的格式

控制：RFID標(biāo)簽是使用標(biāo)識符格式分配的標(biāo)識符，該標(biāo)識符格式不顯示任何關(guān)于已標(biāo)記物品或操作RFID系統(tǒng)的組織的信息。非顯示標(biāo)識符格式選項包括串行分配標(biāo)識符和隨機(jī)分配標(biāo)識符。

相反，如果對手讀取用標(biāo)準(zhǔn)化格式（如EPC格式）編碼的標(biāo)識符，則該對手可能能夠識別產(chǎn)品的制造商或發(fā)行方，以及產(chǎn)品的類型。例如，某一制造商生產(chǎn)的所有罐裝軟飲料將具有相同的EPC管理ID和對象類位。圖1顯示了一個示例96位EPC，以及如何將它解析為前面提到的四個獨立字段。

圖1 96-bit EPC

標(biāo)簽必須有可編程的標(biāo)識符來支持控件。即使是設(shè)計來支持標(biāo)準(zhǔn)標(biāo)記格式的標(biāo)記，仍然可以在字段中分配非標(biāo)準(zhǔn)標(biāo)識符。然而，有些標(biāo)簽具有工廠初始化的標(biāo)識符，在生產(chǎn)之后無法修改。

適用性：任何應(yīng)用程序中，實現(xiàn)組織確定暴露標(biāo)記標(biāo)識符是一種商業(yè)智能風(fēng)險。

優(yōu)點：對手不能僅從標(biāo)識符獲取關(guān)于標(biāo)記項的信息。

缺點：

使用非顯示標(biāo)識符無法體現(xiàn)來自顯示組織和項類型。例如，在企業(yè)間系統(tǒng)中設(shè)計和維護(hù)分布式數(shù)據(jù)庫時，標(biāo)準(zhǔn)標(biāo)識符格式尤其具有優(yōu)勢。當(dāng)標(biāo)識符提供關(guān)于項數(shù)據(jù)位置的信息時，在此類數(shù)據(jù)庫中查找和查詢函數(shù)要容易得多。

如果標(biāo)識符是隨機(jī)分配的，那么可能存在兩個標(biāo)記被分配相同標(biāo)識符的情況。這種事件發(fā)生的可能性非常小，但它可能導(dǎo)致所支持的業(yè)務(wù)流程中出現(xiàn)錯誤。

如果標(biāo)識符的分配有邏輯，對手可能會發(fā)現(xiàn)所使用的方法，從而擊敗控制。例如，對手知道一個標(biāo)識符被分配給一個特定的項目，并且該類型的所有項目都是按順序分配的，那么對手就可以推斷出與該類型項目相對應(yīng)的標(biāo)識符的大致范圍。類似地，當(dāng)標(biāo)識符序列化時，對手可以根據(jù)標(biāo)識符推斷出賦值的大致時間。

回退識別系統(tǒng)

控制：當(dāng)RFID系統(tǒng)不可用或單個標(biāo)記不可操作時，回退標(biāo)識系統(tǒng)提供了另一種方法來標(biāo)識、驗證或驗證對象。選項包括文本標(biāo)簽和AIDC技術(shù)，如條形碼。回退可能僅僅由一個標(biāo)識符組成，也可能包括關(guān)于被標(biāo)記對象的附加數(shù)據(jù)。后備系統(tǒng)有標(biāo)準(zhǔn)的操作程序和操作人員培訓(xùn)，以確保人員知道何時以及如何使用它。

適用范圍：所有RFID應(yīng)用。

優(yōu)點：復(fù)制標(biāo)簽標(biāo)識符和標(biāo)簽上的數(shù)據(jù)可以在惡意或意外的標(biāo)簽損壞、讀取器故障或企業(yè)子系統(tǒng)網(wǎng)絡(luò)中斷時提供一個后備方案。冗余數(shù)據(jù)還可以用來驗證標(biāo)簽數(shù)據(jù)沒有被不正確地更改。

缺點：這種控制有幾個潛在的缺點，包括：

對標(biāo)記的損壞可能使存儲的數(shù)據(jù)和打印的數(shù)據(jù)都無法使用。類似地，許多會影響RFID系統(tǒng)的企業(yè)子系統(tǒng)中斷也會影響其備用方案，

存儲在標(biāo)簽上的數(shù)據(jù)是可見的，因此未經(jīng)授權(quán)的訪問可能比從標(biāo)簽讀取數(shù)據(jù)更容易，

文本標(biāo)簽或條形碼可能無法提供與RFID內(nèi)存相同的數(shù)據(jù)容量，盡管二維條形碼可以編碼至少與基于標(biāo)準(zhǔn)的標(biāo)簽標(biāo)識符一樣多的比特，

文本標(biāo)簽和AIDC技術(shù)是靜態(tài)的，因此它們不能為標(biāo)簽數(shù)據(jù)隨時間變化的應(yīng)用程序提供完整的回退解決方案。然而，在大多數(shù)應(yīng)用程序中，一些標(biāo)識信息仍然可能比沒有標(biāo)識信息要好。

RFID操作控制主要通過在物理層面上的物品管理、標(biāo)簽、標(biāo)識符以及對管理人員的培訓(xùn)與規(guī)定實現(xiàn)RFID安全控制。RFID系統(tǒng)需要操作控制，以確保系統(tǒng)的物理安全性和正確使用。

責(zé)任編輯：ct