1、如何看待RFID的安全問題？ 

    安全問題對于很多人來講都是大問題。RFID涵蓋了多種技術，因而它具有造成安全難以保障的三個基本特征：一是能量問題。被動式標簽從字面上就知道它不自帶能量，半主動式和主動式標簽自身的能量也非常有限；二是計算能力問題。即使是較大的RFID標簽，自身的計算能力也是有限的；三是時間問題。RFID使用的協(xié)議是有限的，企圖破壞者有足夠的時間來研究他感興趣的協(xié)議。 

    坦率地講，很多我們今天用于電子郵件或有線傳輸?shù)陌踩胧o法用于RFID標簽這樣如此之小且能量有限的環(huán)境中。因此，這就成為一個實實在在的問題：我們使用了20到25年的保密措施沒有符合RFID平臺需要的。為什么我們在RFID方面苦苦追尋，就是因為我們原來用于電子商務網(wǎng)站上保護信用卡交易安全的措施在RFID上無用武之地。 

    2、當我們討論保護RFID標簽安全問題時，它的確切含義是什么？ 

    當我告訴別人“我們提供安全措施”時，他們第一反應就是：“噢，加密......”，即所謂的數(shù)據(jù)加密和解密。實際上，數(shù)據(jù)加密只是安全措施的一種。這里又牽涉一個隱私問題。 

    事實上，安全措施并不一直意味著隱私保護。有時候你需要安全措施，但不需要保護隱私，例如：鑒定。你希望你吃的藥是真藥，但是你并不擔心別人能夠知道這個藥是真的。你并不在乎其它人也能知道藥品的真?zhèn)吻闆r。這就是一種形式的安全措施，但它不是隱私問題。 

    你可能需要有效的數(shù)據(jù)，RFID標簽也是如此。例如，RFID標簽會告訴你所標示的物體是100毫克，或者是價值100美元，或者其它什么。你需要的是其它人沒有更改RFID標簽內(nèi)的信息，你買的貨物物有所值。 

    如果我給你發(fā)一份email要求你給我匯10美元，某人截獲了這份電子郵件，并在你對此一無所知的情況下將金額更改為1000美元，這個人有機會非法獲取你的匯款。因此，這時你需要鑒定電子郵件的真?zhèn)?，要確認其有效性，而我不在乎別人是否能夠看到這封電子郵件。 

    當然，安全措施有時就是意味著數(shù)據(jù)保護，即諸如加密解密這樣的事?！拔蚁ＭＷo該信息或數(shù)據(jù)不讓外人看到”。這種保護措施是最傳統(tǒng)的、最典型的，也是我們所說的“隱私保護”——我們希望該數(shù)據(jù)僅在兩個認證的實體之間可見。綜上可見，安全措施內(nèi)涵十分豐富。 

    不僅如此，很多人忽視了，安全措施的級別是基于應用而改變的。例如，如果要把數(shù)據(jù)存放在銀行里幾十年，我可能需要很高的安全級別，確保其破解起來非常非常困難。換句話說，我需要復雜的計算能力來存儲該數(shù)據(jù)或者將其打包以確保安全。如果我只是將一個無線電指令發(fā)送給一個戰(zhàn)斗機，告訴它15分鐘后要執(zhí)行什么任務，那么這個指令只要1個小時內(nèi)不被破解就行了。你可以象使用房間里的溫度調(diào)節(jié)裝置那樣提高或降低安全級別。很多人不明白他們在說“這安全嗎？”時意味著什么。你可以回答“是，這是安全的”，但是，有多安全？看到上面的例子你就明白安全的涵義了。不幸的是，報紙上整體吹噓的這是安全的，那是安全的，一旦有人去測試它的安全性時，就不是那么回事了。 

    3、當今沒有安全的RFID標簽，或者說，所有RFID標簽都不是安全的？ 

    的確如此！就我們今天討論的思路來看，這個問題的答案是“是”，也是“否”。正如上面我所解釋的那樣，如果你定義的所需安全級別比較低，那么RFID標簽是安全的。由于這些標簽已經(jīng)符合了你所要求的安全級別，因此，它們是足夠安全的。 

    但是，如果標簽應用的物品比較昂貴，或者比較敏感，由此需要更高的安全級別，實際上，很多情況下，這些標簽都不安全。有人會說：“不，我們的標簽是安全的，我們有密碼保護”。實際上，密碼保護是一種典型的弱安全保護，現(xiàn)在已經(jīng)有很多的方法來對付它。簡單地說，密碼保護是一種非常低，或者說是根本不存在的安全。 

    4、市場或媒體對RFID安全性的問題是不是過分渲染了？ 

    現(xiàn)實生活中，很多情況下，以及一些媒體，過分夸大了安全級別的要求，夸大了數(shù)據(jù)的重要性，夸大了技術能力。事實上，現(xiàn)有的平臺是無法確保數(shù)據(jù)安全的，然而這卻演變成“你對安全或隱私風險的耐受程度？”。有意思的是，美國各州紛紛以隱私為由來立法限制RFID的使用，卻對早就存在于汽車鑰匙中的RFID芯片、對電子收費系統(tǒng)的RFID熟視無睹。在這些應用中，雖然存在一些原始的初級的安全措施，但是毫無安全性可言。同時，我們使用的幾百萬張信用卡中一點安全技術都沒有，但人們對此也不在乎。 

    媒體對安全性問題是有點大驚小怪了，但是從另外一個角度講，很多情況下需要安全措施。媒體提及的使用RFID標簽作為海運集裝箱的安全鎖，這是一個很好的想法，但是，如果你不能確保這個RFID標簽的安全，集裝箱的安全從何談起？ 

    因此，我認為不同的情況下對安全措施的要求要區(qū)別對待。有時候你需要高強度的安全措施。SecureRF最近針對冷鏈管理推出了一種安全技術，它不僅可以用于高價值貨物的保鮮，還可以用于一些價值低、安全要求不高的場合。 

    5、我們在業(yè)務處理中應該怎么做？作為消費者應該如何保護自己的隱私？ 

    如上文所說，RFID安全問題不是一個“非是即非”的問題。在業(yè)務處理中，我們應該正確評估所需要的功能，決定所需要的安全級別——有時候，客戶可能需要的是一種無法達到的安全級別，要把需求和可能進行平衡。對于消費者而言，消費者需要捫心自問：真正的風險或威脅在哪里？不要草木皆兵。不幸的是，我們在消費者教育方面做的工作太少。