RFID
RFID安全受到漠视
与其它以数据传输为主要目的的无线技术不同,RFID(无线射频识别技术)主要用于进行标识和验证。由于目前RFID主要应用领域对私密性要求不高,所以很多用户对RFID的安全问题尚处于比较漠视的阶段。
脆弱的RFID系统
目前针对RFID系统的攻击主要集中于标签信息的截获和对这些信息的破解。在获得了标签中的信息之后,攻击者可以通过伪造等方式对RFID系统进行非授权使用。有研究结果表明,在不接触RFID设备的情况下,盗取其中信息也是可能的。
RFID安全前路漫漫
RFID的加密并非绝对安全。RFID的安全保护主要依赖于标签信息的加密,但目前的加密机制所提供的保护还能让人完全放心。
一个RFID芯片如果设计不良或没有受到保护,还有很多手段可以获取芯片的结构和其中的数据。另外,单纯依赖RFID本身的技术特性也无法满足RFID系统安全要求。
应用RFID必须对额外的安全措施有所考虑,例如增加加密保护的层次,以及在RFID上层制订一些保护标准等。
背景资料
RFID是一种基于无线射频的识别技术。由于频段相容等多种原因还没有形成全球统一的产业标准。现在已经有越来越多的RFID产品被实际应用,特别是在物流领域。已经有很多专家预测,RFID将植入到每一件物品甚至人体当中,组成一个全球性的物联网。可以说,RFID的发展前景极为广阔,可能会成为未来社会的基础性设施。
将无线纳入安全策略
根据Gartner的预测,2005年底能够上网的手持设备将达到PC水平,而且“无线热区”也正快速地从机场、酒店向街区过渡。这意味着一种全新的互联网接入模式以及由此产生的新的攻击浪潮正在形成。
通过前面对几种主流无线技术的安全分析可以发现,现在相对于有线网络世界来说无线网络的安全问题要少得多,类型也比较单一。
无线连接和无线设备的管理比有线系统要复杂得多。一旦企业忽视了无线安全问题,攻击者将可以堂而皇之地进入企业内部大肆破坏,同时企业建构在有线系统上的安全设施将形同虚设。这意味着无线安全防范已经成为信息安全领域新的课题,每个使用无线的用户都必须认识并解决它。
无线技术均有安全缺陷
总体来看,大部分无线技术标准在安全方面都提供了较好的基础,特别是较晚出现的类似WiMAX和UWB这样正在谋求市场认同的无线技术。然而由于产品设计和实现方面的问题,任何一类技术都不可避免地会产生一些安全缺陷。
Wi-Fi作为无线应用的先行者之一暴露出了较多的安全弱点。尽管在新的802.11i等无线局域网标准中安全性有了很大进步,但是全球已经运行着大量遵循旧有802.11b标准的产品。事实上,这些相对较老的产品仍然在销售和生产。
这一事实具有双重启示:首先尽管UWB等技术展示给我们的安全特征已经超越了民用市场的界限。
另一层意义在于新推出的无线技术标准除了借鉴前人的设计经验之外,也许应该提前对规范的更新做出考虑。
另外,值得一提的是3G和RFID。这两项无线技术有可能大幅度地改善个人消费者的生活,同时也带来了更多隐私方面的问题。除了执行安全防护之外,如何处理隐私问题已经大大超出了安全技术的范畴,这也显示了无线技术作为变革全球网络形态的力量所具有的社会性特征。
从现实情况来看,大部分投入使用的无线设备仍然处于保护不足的状态。保障无线安全的首要问题在于应用与有线系统一样正规的安全处理过程,同时着力培养用户的安全意识和安全技能,从而尽快将无线安全问题导入正轨。
企业无线安全建议
严密监控企业的无线设施
自802.11b产品大面积普及开始,了解企业无线信号的覆盖范围就成为实施无线安全的首要步骤之一。然而在今天,我们还需要了解企业无线覆盖内更详细的情况。
例如有哪些设备正在信号范围内通信,哪些没有得到授权的设备,是否有设备在截听信号传输等等。
这些工作可能需要一些专用的设备,但是在没有足够设备的情况下仍旧有很多事情可做。通过良好的设备管理和一般性的嗅探程序同样可以发现不应该出现在网络内的无线连接。
正确应用加密
首先要选择合适的加密标准。由于很多无线技术都可以选择不同的加密方法,所以这一点相当重要。无线系统不可能孤立地存在,在企业环境里尤其如此,所以加密方法一定要与上层应用系统匹配。在适用的情况下尽量选择密钥位数较高的加密方法。就目前的情况来说应该尽量保证128位密钥长度。
验证同样重要
加密可以保护信息不被破解,但是无法保证数据的真实性和完整性,所以部署无线系统的时候必须为其提供匹配的认证机制。在使用的无线系统带有认证机制的情况下可以直接利用。但是与加密一样,要保证认证机制与其它应用系统能够协同工作,在需要的情况下也可以使用企业原有的认证系统来完成这一工作。
将无线纳入安全策略
对于企业应用环境来说,将无线问题纳入到企业整体安全策略当中是必不可少的。这样可以保证无线安全的实施足够完善和合理,而且如果无线和有线的安全问题不能统一处理会破坏整个网络的安全性。企业有关信息安全方面的所有内容,包括做什么、做到什么地步、由谁来做、如何做等等,应该围绕统一的目标来组织,只有这样才能打造出健康有效的安全体系。
--
※ 链接: http://www.chinahtml.com/network/1/2006/net-11443682424133_5.shtml