في أنظمة RFID، غالبًا ما يُساء فهم المعرف الفريد (UID) في أنظمة RFID. فغالباً ما يتم التعامل معه على أنه بيانات اعتماد أمنية، في حين أنه في الواقع لم يتم تصميمه أبداً لهذا الغرض. لتصميم نظام RFID أو تقييمه أو تدقيقه بشكل صحيح، من الضروري فهم ما يلي ما هو معرّف المستخدم، وما هو ليس كذلك، وكيف ينبغي استخدامه.
المعنى التقني لمعنى الهوية الموحدة
المعرف الموحد هو معرّف غير متطاير مخزّن بشكل دائم داخل دائرة متكاملة لتحديد الهوية بالترددات اللاسلكية. يتم تعيينه من قبل الشركة المصنعة للرقاقة أثناء الإنتاج ويهدف إلى تمييز علامة عن أخرى بشكل فريد على مستوى البروتوكول.
من من منظور المعايير، وُجدت بطاقة الهوية الموحدة لضمان
- اختيار علامة موثوق به
- حل التصادم
- الاتصال الحتمي بين القارئ والعلامة
هذا صحيح لا توفير المصادقة أو التشفير أو إثبات الشرعية.
كيفية استخدام معرّف الهوية الموحد أثناء الاتصال بمحدد الهوية اللاسلكي
عندما يقوم قارئ RFID بتنشيط مجال الترددات اللاسلكية، قد تستجيب علامات متعددة في وقت واحد. يلعب المعرف الموحد دوراً حاسماً في هذه المرحلة.
التسلسل النموذجي هو:
- تستجيب العلامات بمعرفاتها
- يقوم القارئ بإجراء مكافحة التصادم
- يتم تحديد علامة واحدة باستخدام معرّف UID الخاص بها
- تبدأ عمليات الطبقة العليا (إذا كانت مدعومة)
لا يقوم المعرف في أي مرحلة من المراحل بالتحقق مما إذا كانت العلامة أصلية أو مصرح بها أو موثوق بها.
تخزين UID وثباته
في رقاقات RFID الأصلية، يتم تخزين معرّف UID في ذاكرة القراءة فقط المبرمجة في المصنع. لا يمكن تعديلها أو إعادة كتابتها في ظل التشغيل العادي.
العلامات التي تسمح بتعديل UID هي إما:
- الرقائق المستنسخة
- المحاكيات
- أجهزة التطوير
فهي لا تمثل أوراق اعتماد الإنتاج المتوافقة مع المعايير القياسية.
طول هوية المستخدم وهيكلها
يعتمد طول معرّف الهوية الموحد على معيار RFID وعائلة الشريحة. وتشمل الأمثلة الشائعة ما يلي:
- معرفات UID 32 بت و40 بت في أنظمة LF القديمة
- معرّفات UID المكونة من 7 بايت أو 10 بايت في أنظمة ISO/IEC 14443 HF
- معرّفات 96 بت المرتبطة بأطر عمل التردد فوق العالي EPC
قد تتضمن بنية معرّف المستخدم ما يلي:
- تعريف الشركة المصنعة
- معلومات عائلة الرقاقة
- الترقيم التسلسلي
يدعم هذا الهيكل قابلية التشغيل البيني وليس السرية.
سلوك معرف الهوية الموحد عبر نطاقات ترددات الترددات اللاسلكية
التردد المنخفض (125 كيلوهرتز)
تعتمد أنظمة تحديد الهوية بموجات الراديو اللاسلكية ذات الترددات الراديوية المنخفضة بشكل شبه عام على تشغيل نظام تحديد الهوية فقط. وتوفر هذه الأنظمة:
- المعرّفات الثابتة
- لا توجد مصادقة
- لا يوجد تشفير
- اتصال أحادي الاتجاه
في مثل هذه الأنظمة، تكون حيازة معرّف UID كافية لانتحال شخصية العلامة.
عالية التردد (13.56 ميجاهرتز)
يقدم HF RFID طبقات أمان اختيارية. يتغير دور معرف الهوية الموحد حسب نوع الشريحة.
في أنظمة التردد العالي الآمنة، يتم استخدام معرّف المستخدم فقط من أجل:
- مضاد للتصادم
- اختيار العلامة
يتم اتخاذ قرارات التحكم في الوصول بعد مصادقة التشفير, وليس عن طريق مقارنة المعرّفات.
التردد العالي جداً (UHF)
في نظام تحديد الهوية بالتردد فوق العالي، يتم استبدال مفهوم المعرّف الواحد بمعرّفات متعددة:
- معرّف الرقاقة TID لموثوقية الرقاقة
- EPC لتحديد الهوية على مستوى التطبيق
هنا مرة أخرى، تدعم المعرّفات النطاق واللوجستيات وليس الثقة.
خطأ التصميم الأساسي: التعامل مع الهوية الموحدة كوثيقة اعتماد
لا تزال العديد من أنظمة التحكم في الوصول تعتمد على مقارنة الهوية الموحدة كآلية تخويل. هذا النهج معيب بشكل أساسي.
فشل التفويض المستند إلى UID بسبب:
- يتم إرسال المعرّفات بنص واضح
- يمكن لأي قارئ متوافق التقاطها
- لا يمكن تمييز العلامات المستنسخة عن العلامات الأصلية
لا يعد هذا خطأ في التنفيذ، بل هو إساءة استخدام مفهوم الهوية الموحدة.
لماذا لا تزال أنظمة الهوية الموحّدة موجودة حتى الآن؟
على الرغم من القيود المعروفة، لا تزال أنظمة الهوية الموحدة فقط شائعة بسبب:
- منخفضة التكلفة
- البنية التحتية القديمة
- الحد الأدنى من التعقيدات البرمجية
- التوافق مع عمليات النشر المبكرة لتحديد الهوية بموجات الراديو اللاسلكية
وهي مناسبة فقط عندما تكون متطلبات الأمان ضئيلة للغاية.
كيف تستخدم أنظمة RFID الآمنة معرف الهوية الآمن بشكل صحيح
في أنظمة RFID الآمنة الحديثة:
- لا يتم استخدام معرّف المستخدم مطلقًا في قرارات الوصول
- تعتمد المصادقة على التشفير القائم على التحدي والاستجابة للتشفير
- تظل المفاتيح السرية محمية داخل الشريحة
- التحقق المستند إلى الجلسة يمنع إعادة التشغيل والاستنساخ
في هذه الأنظمة، ليس لنسخ معرّف UID أي قيمة عملية.
منظور المعايير
معايير RFID مثل ISO/IEC 14443 وISO/IEC 15693 وISO/IEC 18000 تحدد سلوك المعرف الموحد بشكل صريح. لا تحدد أي منها معرف UID كآلية أمان.
الأمان متعدد الطبقات عن قصد أعلاه معرّف المستخدم.
هذا التمييز واضح في كل من وثائق المعايير والتصاميم المرجعية للبائعين.
الآثار العملية المترتبة على مصممي الأنظمة
إذا كان أمان النظام يعتمد على سرية هوية المستخدم، فإن النظام غير آمن من حيث التصميم.
إذا كان النظام يستخدم معرّف الهوية الموحد فقط لتحديد الهوية ويعتمد على المصادقة المشفرة للترخيص، فإنه يتماشى مع أفضل ممارسات تحديد الهوية باستخدام الترددات اللاسلكية الحديثة.
تُعد بطاقة الهوية الموحدة مكونًا أساسيًا من مكونات الاتصال بمحدد الهوية اللاسلكي، ولكن لم يكن المقصود منها أبدًا أن تكون بطاقة اعتماد. وقد أدى الخلط بين تحديد الهوية والمصادقة إلى عقود من نقاط الضعف الأمنية التي يمكن تجنبها.
إن فهم الدور الصحيح لمُعرّف الهوية الموحد ليس أمرًا اختياريًا، بل هو شرط أساسي لبناء أنظمة تحديد الهوية بموجات الراديو التي تتوسع وتتفاعل فيما بينها وتبقى آمنة.
