NeoCatena设计防火墙来保证射频网络安全

　　位于加利福尼亚阳光谷的新兴公司NeoCatena，提出了一个其创立者认为对于射频识别技术终端用户来说越来越重要的问题：系统安全。公司已经设计了一款安全应用软件来在射频识别读取器及中间设备的边缘服务器之间起到防火墙的作用。终端用户使用边缘服务器来收集射频标签数据并将其向上游传送给公司的软件系统。

　　这一应用软件，叫做射频防火墙，是NeoCatena公司研发出的作为软件运行以保护射频网络，以防伪造的射频标签和试图利用在标签中编入木马将病毒引入后段系统的行为，并防止对敏感数据的安全制造破坏的行为，公司的合伙人Boris Wolf和 Lukas Grunwald说。

　　虽然到现在为止官方还未发现有涉及到射频应用网遭袭击或仿冒射频标签的事件发生，但是Wolf 和Grunwald相信这种威胁是存在的，他们表示从2004年起Grunwald就开始了实验这也证明了此类事件发生的可能性。在那年的数据安全会议上，Grunwald介绍了他研发的一款名为RFDump的软件。该软件读取射频标签并显示用户数据(一个传送除标签ID及其他由标签制造商编入的只读数据外的信息的数据读写平台)是如何用十六进制或信息交换标准码编辑器来进行修改的。

　　Grunwald在德国Metro Future商店使用RFDump来在同一个标签上改变数据。将来，他声称，恶意组织会利用读取器来改变消费品射频标签上的产品数据，包括价格等。除此之外，Grunwald已经克隆出了应用射频技术的赊账控制信用卡及电子护照。

　　一些射频识别工业……包括射频周刊的编辑及创立者Mark Roberti非常相信Grunwald的断言，即射频标签代表着严重的安全威胁是很牵强的。(见Industry Group Says E-Passport Clone Poses Little Risk, An RFID Hack Job and McAfee Report Hypes RFID Threat这篇文章)。尽管如此，还是有一些终端用户希望详细了解NeoCatena到底提供了些什么。Wolf说他的公司目前涉及为世界五百强中的两个进行射频防火墙产品的数据测试工作，但是他不愿透露公司名称。一个是坐落于国外的医药公司，他说，另一个坐落于亚洲，从事供给链产业。

　　会为公司的后端系统带来威胁的是那种带有用户储存器的射频标签，Wolf和Grunwald声称，数据阻碍装置试图传递标签ID的追加信息，因为恶意组织在那里可以实施对于已知数据的攻击，诸如导入SQL(被设计用来破坏SQL数据库)或用XML码进行攻击。

　　多年来在众多工业中被大规模生产并利用的无源高频标签，趋于拥有容量比EPC超高频标签更大的用户储存器。但是，在超高频标签制造商中有逐渐增加用户储存器数量的趋势(见NXP Boosts EPC Gen 2 Tag Memory, Performance and Alien Technology Announces New EPC Gen 2 Chip这篇文章)。标签制造商目前将这些标签应用到药品追踪中。药品供给链的合作商可能将产品保管链的数据加入到药品包装上的标签用户储存器中。

　　与射频网络相关联的主要商业风险有两个。NeoCatena认为：标签的用户数据能够被利用使木马及病毒通过并进入后端系统，这会打断正常的商业进程或使机密商业数据曝光。而且射频标签能够被克隆，其数据在以欺骗射频处理程序为目的的情况下可以被操纵篡改。对于后者假设可以给出一个事例：如果一个人想要篡改射频公交卡中编入的数据以人工增加标签数据的币值，然后用这张卡来非法乘坐公共交通系统。

　　为了防止此类标签数据操纵情况的发生，Grunwald说，射频防火墙计划将会使用电子信号来侦查被储存在公交卡射频标签中的信息在最后一次使用后是否被篡改。“这个软件会在买票的时候计算信号，然后会在其被读取的时候再次计算(出现在十字门处)”他说。“如果卡上的数据不符实，信号就不会吻合。”

　　大多数用于交通的射频标签包含由NXP半导体公司制造的Mifare Classi芯片。虽然Mifare协议采用个人数据加密术来保护标签数据，但两个独立的研究小组目前都已证明有能力破解编码术的运算法则。(见NXP Announces New, More Secure Chip for Transport, Access Cards这篇文章)

　　Wolf说，如果射频防火墙软件是为侦查一些病毒和木马的迹象而设计的，或如果标签读取器上的数字信号并不像期望中的那样运转，那么商业进程则不会允许标签被正常接受——诸如在供给链的入口读取器中安放绿灯，或打开十字门允许通勤者通过公交系统。此外，软件中的管理机器会向商业经理发出适当的警报。

　　据Wolf所说，NeoCatena目前正在努力使射频防火墙应用软件支持多种读取器。这个装置目前支持被多数现货供应的射频读取器，符合其遵循的读取器协议，他说。它最终还能够支持EPCglobal's ALE协议，这样一来使终端用户能够在射频服务器或读取器网络装置后安装射频防火墙——虽然这一体系会使服务器及网络装置易受攻击或感染病毒。

　　除此之外，NeoCatena提供一个名为射频管理的软件产品，这一软件在服务器中运行并管理射频防火墙应用软件的分布式集群。公司还通过附加的能够在射频防火墙软件中运行的软件模块为其他公司提供射频安全检查服务。这一检查软件意图达到前期预警系统的效果，其在公司侦查到威胁后端数据安全的标签数据时使用或使商业流程合法化。

　　NeoCatena说公司的检查服务还能够通过侦察射频激活应用软件中的商业风险来约束其他公司按照美国Sarbanes-Oxley决议，德国管理透明化决议(KonTraG)及出版透明化决议(TransPuG)及欧洲类似法律的规定行事。