射頻識別中間件主要面臨三個方面的安全問題：一是數據傳輸，射頻數據通過網絡在各個層次之間傳輸時，很容易造成安全隱患，如非法入侵者對射頻標簽進行信息進行攔截、破解和修改，以及依靠非法用戶發射干擾線號來堵塞通信線路，導致中間件無法正常接收標簽數據。二是身份認證，很多專業的攻擊者能夠使用中間件獲取合法用戶的保密數據。同時，攻擊者還可以利用假冒標簽向閱讀器傳遞信息，使閱讀器處理的都是虛假信息。所以，有必要進行身份認證，幫助閱讀器鑒別真偽響應信號。三是授權管理，沒有經過授權的用戶可能嘗試使用受保護的中間件服務，因此必須對用戶進行安全控制，根據用戶的不同要求，將用戶的權利制起來。

　　結合射頻識別中間件的安全需求，我們可以設計一個安全工具箱為其提供安全解決方案。安全工具箱是加載在射頻中間件上的相對獨立的組件，其職責保護中間件的安全，為不同領域的用戶提供相應的安全解決方案。安全工具箱由兩部分構成，分別是安全構件庫以及安全方案生成器。安全方案生成建立在安全構件庫之上，兩者靠體系語言產生聯系。安全工具箱的結構如下：

　　第一，安全構件庫。里面存放著可以提供的全部安全構件，由一個安全構件管理器來進行維護和管理。安全構件由接口和連接件兩部分組成，連接件通過構件間的交互規則的模型來實現構件間的連接。

　　通過連接件可以設計出更加復雜、功能更加強大的安全構件，構件庫中的安全構件包括讀寫器驗證安全構件、用戶驗證安全構件、模塊驗證安全構件、數據傳輸安全構件、用戶授權安全構件和數據存儲安全構件等一些基礎組件。另外，還存在一些用戶指定的面向領域的特殊組件，這些安全構件能夠給業務模塊提供必需的安全服務。

　　構件的特點是可以定制，可以重復使用當前存在的所有構件，并靈活地根據用戶需求構造一套針對某個領域的安全策略，還能夠體現一定的個性化。例如，根據不同的領域、不同的安全級別需要、不同的性能需要來靈活選擇所需要構件。

　　個性化安全解決方案的建立要依靠安全構件管理器來實現，作為構件的承載者，安全構件管理器可以對構件進行添加、刪除、選取和組合，并根據上層發送過來的安全需求，選擇適合的安全構件，組成解決方案，最后傳輸給安全等級評估模塊進行評估。

　　第二，安全方案生成器。該設備由兩大組件組成，分別是安全等級評估和安全需求配置。安全需求配置是安全工具箱的入口，給用戶提供了一個直觀的界面，用戶可以根據自己需要的自主性能與安全等級來挑選安全連接件和安全構件，并通過研究它們之間的連接方式來定制安全需求，也就是將用戶的安全需求轉換成體系語言傳送給安全構件庫。待構件庫生成完整的解決方案后，再將此解決方案反饋給安全等級評估組件。評估的結果如果不符合安全標準，或者達不到用戶的期望值，生成器會自動修改方案，重新進行分析和循環，直到安全等級合乎標準為止。這種機制不僅能體現方案的靈活性，也能夠防止用戶出錯，保障了安全性能。

　　第三，體系語言。它能夠使用戶更加明確地向系統闡明自己的安全需要，同時，系統也可以更好地分析出用戶的真實需求。

　　在某些特定領域，射頻系統面對的攻擊異常強大，普通的中間件架構無法抵御攻擊者強大的破壞力。這時候，就需要設計射頻識別中間件的加強結構。通常情況下，加強結構分為3個模塊和9個管理器，一個組件都由一系列可插入服務來整合。其結構如下：

　　由圖可以得知，與安全相關聯的部分分別為：安全策略管理器、登錄控制管理器、RF功能管理器、RFID數據邏輯管理器、商務整合管理器和數據保護管理器。

　　登錄控制管理器主要有驗證和登錄功能，安全策略管理器的主要功能則是權限分配和安全配置文件管理；數據保護器用來保證數據傳輸過程中的安全性，并提供密匙和解密工作；數據保護管理器和安全策略管理器則作用于射頻模塊的功能管理器，為其提供安全保障。每一個管理器都是集中管理、相互協調又相互獨立，每一個管理器都被設置在相關服務的起點處，方便對漏洞的監測。下面重點分析幾個核心組件：

　　第一，安全上下文。當所有服務模塊處在安全上下文之上時，安全結構才能夠實現。安全上下文增強了系統的穩定性，是系統啟動自我保護的催化劑，在監測攻擊系統中，它能夠用于安全策略分析。

　　安全上下文主要分為三部分：安全用戶分組標志、角色標志和subjects。角色標志和分組標志可以確定用戶的權限，而subject像一個倉庫，存放通過驗證的用戶的信息。當需要中間件提供服務時，應首先查詢到用戶的subject，當某個subject通過驗證時，分組標志和角色標志就會判斷其權限，并調用subject中的解決方案。所以，安全上下文可以與系統模塊互動，為底層提供最基本的安全保障。

　　第二，數據保護管理器。數據保護管理主要負責通信過程中的完整性和隱秘性，它包括加密模塊和解密模塊，二者將通信連接管理器發送來的未加密數據和安全上下文所授予的密匙作為輸入，經過加密模塊產生加密的射頻數據，接著，加密數據被通信連接器送到解密模塊產生解密的射頻數據。這種加密和解密的方式使竊聽者很難知道真正的射頻數據內容。

　　第三，登錄控制管理器。登錄控制管理器的主要工作是將簽名用戶的身份標識發送到系統安全上下文，通過它，我們可以根據需要在系統中實現多種形式的登錄服務。用戶在安全上下文上簽名后，就會被賦予使用射頻服務系統的權限。而且，通過查看系統上下文的內容就可以判斷用戶的合法性，無需重新登錄確認。

　　第四，安全策略管理器。該管理器包括安全策略模塊和安全登錄配置模塊，負責配置整個系統的安全屬性。安全策略文件可以為用戶分配權限，安全策略模塊，也可以安全登錄配置模塊都可以提供給管理員和對安全策略和配置文件進行修改和配置。

　　第五，RFID數據邏輯管理器。該管理器主要處理從底層到商業層的射頻數據流，它提供了一個原子的射頻功能管理模塊，可以對讀寫器分析到的射頻標簽進行收集、過濾和形成新的事件。模塊中的射頻數據流在流線型模式中進行處理，不必在網絡中傳輸，省去了數據加密的繁雜操作。

　　第六，RF功能管理器。該模塊也是運行在安全上下文之上，包括兩層，分別為RF驅動層和RF橋接層。RF驅動層主要負責射頻識別讀寫設備的通信接口，通過藍牙、串口等技術，將射頻讀寫設備接入到中間件上，而接入中間件需要調用相應的驅動模塊。當然，這些模塊也需要登錄后才能被成功加載，這些同一模塊由另一個安全服務提供。

　　第七，商務整合管理器。商務整合是一個新興的概念。中間件提供了基本的共性模塊，而這個模塊中又包含了許多基本的商務邏輯，用戶根據自己的特性和領域，加上配置需求文件，并分析相對應領域中的商務邏輯模塊，共同組成射頻解決方案。