RFID世界網(wǎng) >
新聞中心 >
行業(yè)動(dòng)態(tài) >
正文
RFID的安全與隱私
作者:通信世界網(wǎng)
來(lái)源:彭志威 杜江 張建
日期:2007-08-07 11:29:43
摘要:隨著RFID能力的提高和標(biāo)簽應(yīng)用的日益普及,安全問(wèn)題,特別是用戶(hù)隱私問(wèn)題變得日益嚴(yán)重。用戶(hù)如果帶有不安全的標(biāo)簽的產(chǎn)品,則在用戶(hù)沒(méi)有感知的情況下,被附近的閱讀器讀取,從而泄露個(gè)人的敏感信息,例如金錢(qián)、藥物(與特殊的疾病相關(guān)聯(lián))、書(shū)(可能包含個(gè)人的特殊喜好)等,特別是可能暴露用戶(hù)的位置隱私,使得用戶(hù)被跟蹤。 因此,在RFID應(yīng)用時(shí),必須仔細(xì)分析所存在的安全威脅,研究和采取適當(dāng)?shù)陌踩胧?,既需要技術(shù)方面的措施,也需要政策、法規(guī)方面的制約。
無(wú)線(xiàn)射頻識(shí)別(RFID)是一種遠(yuǎn)程存儲(chǔ)和獲取數(shù)據(jù)的方法,其中使用了一個(gè)稱(chēng)為標(biāo)簽(Tag)的小設(shè)備。在典型的RFID系統(tǒng)中,每個(gè)物體裝配著這樣一個(gè)小的、低成本的標(biāo)簽。系統(tǒng)的目的就是使標(biāo)簽發(fā)射的數(shù)據(jù)能夠被閱讀器讀取,并根據(jù)特殊的應(yīng)用需求由后臺(tái)服務(wù)器進(jìn)行處理。標(biāo)簽發(fā)射的數(shù)據(jù)可能是身份、位置信息,或攜帶物體的價(jià)格、顏色、購(gòu)買(mǎi)數(shù)據(jù)等。
RFID標(biāo)簽被認(rèn)為是條碼的替代,具有體積小、易于嵌入物體當(dāng)中、無(wú)需接觸就能大量地進(jìn)行讀取等優(yōu)點(diǎn)。另外,RFID標(biāo)識(shí)符較長(zhǎng),可使每一個(gè)物體具有一個(gè)唯一的編碼,唯一性使得物體的跟蹤成為可能。該特征可幫助企業(yè)防止偷盜、改進(jìn)庫(kù)存管理、方便商店和倉(cāng)庫(kù)的清點(diǎn)。此外,使用RFID技術(shù),可極大地減少消費(fèi)者在付款柜臺(tái)前的等待時(shí)間。
但是,隨著RFID能力的提高和標(biāo)簽應(yīng)用的日益普及,安全問(wèn)題,特別是用戶(hù)隱私問(wèn)題變得日益嚴(yán)重。用戶(hù)如果帶有不安全的標(biāo)簽的產(chǎn)品,則在用戶(hù)沒(méi)有感知的情況下,被附近的閱讀器讀取,從而泄露個(gè)人的敏感信息,例如金錢(qián)、藥物(與特殊的疾病相關(guān)聯(lián))、書(shū)(可能包含個(gè)人的特殊喜好)等,特別是可能暴露用戶(hù)的位置隱私,使得用戶(hù)被跟蹤。
因此,在RFID應(yīng)用時(shí),必須仔細(xì)分析所存在的安全威脅,研究和采取適當(dāng)?shù)陌踩胧?,既需要技術(shù)方面的措施,也需要政策、法規(guī)方面的制約。
1 RFID技術(shù)及其系統(tǒng)組成
1.1系統(tǒng)組成
基本的RFID系統(tǒng)主要由3部分組成,如圖1所示,包括:
標(biāo)簽放置在要識(shí)別的物體上,攜帶目標(biāo)識(shí)別數(shù)據(jù),是RFID系統(tǒng)真正的數(shù)據(jù)載體,由耦合元件以及微電子芯片(包含調(diào)制器、編碼發(fā)生器、時(shí)鐘及存儲(chǔ)器)組成。
(2)閱讀器
閱讀器用于讀或讀/寫(xiě)標(biāo)簽數(shù)據(jù)的裝置,由射頻模塊(發(fā)送器和接收器)、控制單元、與標(biāo)簽連接的藕合單元組成。
(3)后臺(tái)服務(wù)器
后臺(tái)服務(wù)器包含數(shù)據(jù)庫(kù)處理系統(tǒng),存儲(chǔ)和管理標(biāo)簽相關(guān)信息,如標(biāo)簽標(biāo)識(shí)、閱讀器定位、讀取時(shí)間等。后臺(tái)服務(wù)器接收來(lái)自可信的閱讀器獲得的標(biāo)簽數(shù)據(jù),將數(shù)據(jù)輸入到它自身的數(shù)據(jù)庫(kù)里,且提供對(duì)訪問(wèn)標(biāo)簽相關(guān)數(shù)據(jù)的編號(hào)。
1.2工作原理
RFID系統(tǒng)的基本工作原理是:閱讀器與標(biāo)簽之間通過(guò)無(wú)線(xiàn)信號(hào)建立雙方通信的通道,閱讀器通過(guò)天線(xiàn)發(fā)出電磁信號(hào),電磁信號(hào)攜帶了閱讀器向標(biāo)簽的查詢(xún)指令。當(dāng)標(biāo)簽處于閱讀器工作范圍時(shí),標(biāo)簽將從電磁信號(hào)中獲得指令數(shù)據(jù)和能量,并根據(jù)指令將標(biāo)簽標(biāo)識(shí)和數(shù)據(jù)以電磁信號(hào)的形式發(fā)送給閱讀器,或根據(jù)閱讀器的指令改寫(xiě)存儲(chǔ)在RFID標(biāo)簽中的數(shù)據(jù)。閱讀器可接收RFID標(biāo)簽發(fā)送的數(shù)據(jù)或向標(biāo)簽發(fā)送數(shù)據(jù),并能通過(guò)標(biāo)準(zhǔn)接口與后臺(tái)服務(wù)器通信網(wǎng)絡(luò)進(jìn)行對(duì)接,實(shí)現(xiàn)數(shù)據(jù)的通信傳輸。
根據(jù)標(biāo)簽?zāi)芰揩@取方式,RFID系統(tǒng)工作方式可分為:近距離的電感耦合方式和遠(yuǎn)距離的電磁耦合方式。
2 RFID的安全和隱私問(wèn)題
2.1RFID的隱私威脅
RFID面臨的隱私威脅包括:標(biāo)簽信息泄漏和利用標(biāo)簽的唯一標(biāo)識(shí)符進(jìn)行的惡意跟蹤。
信息泄露是指暴露標(biāo)簽發(fā)送的信息,該信息包括標(biāo)簽用戶(hù)或者是識(shí)別對(duì)象的相關(guān)信息。例如,當(dāng)RFID標(biāo)簽應(yīng)用于圖書(shū)館管理時(shí),圖書(shū)館信息是公開(kāi)的,讀者的讀書(shū)信息任何其他人都可以獲得。當(dāng)RFID標(biāo)簽應(yīng)用于醫(yī)院處方藥物管理時(shí),很可能暴露藥物使用者的病理,隱私侵犯者可以通過(guò)掃描服用的藥物推斷出某人的健康狀況。當(dāng)個(gè)人信息比如電子檔案、生物特征添加到RFID標(biāo)簽里時(shí),標(biāo)簽信息泄露問(wèn)題便會(huì)極大地危害個(gè)人隱私。如美國(guó)原計(jì)劃2005年8月在入境護(hù)照上裝備電子標(biāo)簽的計(jì)劃[1-2]因?yàn)榭紤]到信息泄露的安全問(wèn)題而被遲。
RFID系統(tǒng)后臺(tái)服務(wù)器提供有數(shù)據(jù)庫(kù),標(biāo)簽一般不需包含和傳輸大量的信息。通常情況下,標(biāo)簽只需要傳輸簡(jiǎn)單的標(biāo)識(shí)符,然后,通過(guò)這個(gè)標(biāo)識(shí)符訪問(wèn)數(shù)據(jù)庫(kù)獲得目標(biāo)對(duì)象的相關(guān)數(shù)據(jù)和信息。因此,可通過(guò)標(biāo)簽固定的標(biāo)識(shí)符實(shí)施跟蹤,即使標(biāo)簽進(jìn)行加密后不知道標(biāo)簽的內(nèi)容,仍然可以通過(guò)固定的加密信息跟蹤標(biāo)簽。也就是說(shuō),人們可以在不同的時(shí)間和不同的地點(diǎn)識(shí)別標(biāo)簽,獲取標(biāo)簽的位置信息。這樣,攻擊者可以通過(guò)標(biāo)簽的位置信息獲取標(biāo)簽攜帶者的行蹤,比如得出他的工作地點(diǎn),以及到達(dá)和離開(kāi)工作地點(diǎn)的時(shí)間。
雖然利用其他的一些技術(shù),如視頻監(jiān)視、全球移動(dòng)通信系統(tǒng)(GSM)、藍(lán)牙等,也可進(jìn)行跟蹤。但是,RFID標(biāo)簽識(shí)別裝備相對(duì)低廉,特別是RFID進(jìn)入老百姓日常生活以后,擁有閱讀器的人都可以?huà)呙璨⒏櫵恕6?,被?dòng)標(biāo)簽信號(hào)不能切斷,尺寸很小極易隱藏,使用壽命長(zhǎng),可自動(dòng)識(shí)別和采集數(shù)據(jù),從而使惡意跟蹤更容易。
2.2跟蹤問(wèn)題的層次劃分
RFID系統(tǒng)根據(jù)分層模型可劃分為3層:應(yīng)用層、通信層和物理層,如圖2所示。
(1)應(yīng)用層
處理用戶(hù)定義的信息,如標(biāo)識(shí)符。為了保護(hù)標(biāo)識(shí)符,可在傳輸前變換該數(shù)據(jù),或僅在滿(mǎn)足一定條件時(shí)傳送該信息。標(biāo)簽識(shí)別、認(rèn)證等協(xié)議在該層定義。
通過(guò)標(biāo)簽標(biāo)識(shí)符進(jìn)行跟蹤是目前的主要手段。因此,解決方案要求每次識(shí)別時(shí)改變由標(biāo)簽發(fā)送到閱讀器的信息,此信息或者是標(biāo)簽標(biāo)識(shí)符,或者是它的加密值。
(2)通信層
定義閱讀器和標(biāo)簽之間的通信方式。防碰撞協(xié)議和特定標(biāo)簽標(biāo)識(shí)符的選擇機(jī)制在該層定義。該層的跟蹤問(wèn)題來(lái)源于兩個(gè)方面:一是基于未完成的單一化(Singulation)會(huì)話(huà)攻擊,二是基于缺乏隨機(jī)性的攻擊。
防碰撞協(xié)議分為兩類(lèi):確定性協(xié)議和概率性協(xié)議。確定性防碰撞協(xié)議基于標(biāo)簽唯一的靜態(tài)標(biāo)識(shí)符,對(duì)手可以輕易地追蹤標(biāo)簽。為了避免跟蹤,標(biāo)識(shí)符需要是動(dòng)態(tài)的。然而,如果標(biāo)識(shí)符在單一化過(guò)程中被修改,便會(huì)破壞標(biāo)簽單一化。因此,標(biāo)識(shí)符在單一化會(huì)話(huà)期間不能改變。為了阻止被跟蹤,每次會(huì)話(huà)時(shí)應(yīng)使用不同的標(biāo)識(shí)符。但是,惡意的閱讀器可讓標(biāo)簽的一次會(huì)話(huà)處于開(kāi)放狀態(tài),使標(biāo)簽標(biāo)識(shí)符不改變,從而進(jìn)行跟蹤。概率性防碰撞協(xié)議也存在這樣的跟蹤問(wèn)題。另外,概率性防碰撞協(xié)議,如Aloha協(xié)議,不僅要求每次改變標(biāo)簽標(biāo)識(shí)符,而且,要求是完美的隨機(jī)化,以防止惡意閱讀器的跟蹤。
(3)物理層
定義物理空中接口,包括頻率、傳輸調(diào)制、數(shù)據(jù)編碼、定時(shí)等。在閱讀器和標(biāo)簽之間交換的物理信號(hào)使對(duì)手在不理解所交換的信息的情況下也能區(qū)別標(biāo)簽或標(biāo)簽集。
無(wú)線(xiàn)傳輸參數(shù)遵循已知標(biāo)準(zhǔn),使用同一標(biāo)準(zhǔn)的標(biāo)簽發(fā)送非常類(lèi)似的信號(hào),使用不同標(biāo)準(zhǔn)的標(biāo)簽發(fā)送的信號(hào)很容易區(qū)分。可以想象,幾年后,我們可能攜帶嵌有標(biāo)簽的許多物品在大街上行走,如果使用幾個(gè)標(biāo)準(zhǔn),每個(gè)人可能帶有特定標(biāo)準(zhǔn)組合的標(biāo)簽,這類(lèi)標(biāo)準(zhǔn)組合使對(duì)人的跟蹤成為可能。該方法特別地利于跟蹤某些類(lèi)型的人,如軍人或安全保安人員。
類(lèi)似地,不同無(wú)線(xiàn)指紋的標(biāo)簽組合,也會(huì)使跟蹤成為可能。
2.3RFID的安全威脅
RFID應(yīng)用廣泛,可能引發(fā)各種各樣的安全問(wèn)題。在一些應(yīng)用中,非法用戶(hù)可利用合法閱讀器或者自構(gòu)一個(gè)閱讀器對(duì)標(biāo)簽實(shí)施非法接入,造成標(biāo)簽信息的泄露。在一些金融和證件等重要應(yīng)用中,攻擊者可篡改標(biāo)簽內(nèi)容,或復(fù)制合法標(biāo)簽,以獲取個(gè)人利益或進(jìn)行非法活動(dòng)。在藥物和食品等應(yīng)用中,偽造標(biāo)簽,進(jìn)行偽劣商品的生產(chǎn)和銷(xiāo)售。實(shí)際中,應(yīng)針對(duì)特定的RFID應(yīng)用和安全問(wèn)題,分別采取相應(yīng)的安全措施。
下面,根據(jù)EPCglobal標(biāo)準(zhǔn)組織定義的EPCglobal系統(tǒng)架構(gòu)[4]和一條完整的供應(yīng)鏈[5-6], 縱向和橫向分別描述RFID面臨的安全威脅和隱私威脅。
2.4EPCglobal系統(tǒng)的縱向安全和隱私威脅分析
EPCglobal系統(tǒng)架構(gòu)和所面臨的安全威脅如圖3所示。主要由標(biāo)簽、閱讀器、電子物品編碼(EPC)中間件、電子物品編碼信息系統(tǒng)(EPCIS)、物品域名服務(wù)(ONS)以及企業(yè)的其他內(nèi)部系統(tǒng)組成。其中EPC中間件主要負(fù)責(zé)從一個(gè)或多個(gè)閱讀器接收原始標(biāo)簽數(shù)據(jù),過(guò)濾重復(fù)等冗余數(shù)據(jù);EPCIS主要保存有一個(gè)或多個(gè)EPCIS級(jí)別的事件數(shù)據(jù);ONS主要負(fù)責(zé)提供一種機(jī)制,允許內(nèi)部、外部應(yīng)用查找EPC相關(guān)EPCIS數(shù)據(jù)。
(1)標(biāo)簽和閱讀器構(gòu)成的無(wú)線(xiàn)數(shù)據(jù)采集區(qū)域構(gòu)成的安全域??赡艽嬖诘陌踩{包括標(biāo)簽的偽造、對(duì)標(biāo)簽的非法接入和篡改、通過(guò)空中無(wú)線(xiàn)接口的竊聽(tīng)、獲取標(biāo)簽的有關(guān)信息以及對(duì)標(biāo)簽進(jìn)行跟蹤和監(jiān)控。
(2)企業(yè)內(nèi)部系統(tǒng)構(gòu)成的安全域。企業(yè)內(nèi)部系統(tǒng)構(gòu)成的安全域存在的安全威脅與現(xiàn)有企業(yè)網(wǎng)一樣,在加強(qiáng)管理的同時(shí),要防止內(nèi)部人員的非法或越權(quán)訪問(wèn)與使用,還要防止非法閱讀器接入企業(yè)內(nèi)部網(wǎng)絡(luò)。
(3)企業(yè)之間和企業(yè)與公共用戶(hù)之間供數(shù)據(jù)交換和查詢(xún)網(wǎng)絡(luò)構(gòu)成的安全區(qū)域。ONS通過(guò)一種認(rèn)證和授權(quán)機(jī)制,以及根據(jù)有關(guān)的隱私法規(guī),保證采集的數(shù)據(jù)不被用于其他非正常目的的商業(yè)應(yīng)用和泄露,并保證合法用戶(hù)對(duì)有關(guān)信息的查詢(xún)和監(jiān)控。
2.5供應(yīng)鏈的橫向安全和隱私威脅分析
一個(gè)較完整的供應(yīng)鏈及其面對(duì)的安全與隱私威脅如圖4所示,包括供應(yīng)鏈內(nèi)、商品流通和供應(yīng)鏈外等3個(gè)區(qū)域,具體包括商品生產(chǎn)、運(yùn)輸、分發(fā)中心、零售商店、商店貨架、付款柜臺(tái)、外部世界和用戶(hù)家庭等環(huán)節(jié)。圖中前4個(gè)威脅為安全威脅,后7個(gè)威脅為隱私威脅。其中,安全威脅包括:
從商品生產(chǎn)出來(lái)到售出之前各環(huán)節(jié),競(jìng)爭(zhēng)對(duì)手可容易地收集供應(yīng)鏈數(shù)據(jù),其中某些涉及產(chǎn)業(yè)的最機(jī)密信息。例如,一個(gè)代理商可從幾個(gè)地方購(gòu)買(mǎi)競(jìng)爭(zhēng)對(duì)手的產(chǎn)品,然后,監(jiān)控這些產(chǎn)品的位置補(bǔ)充情況。在某些場(chǎng)合,可在商店內(nèi)或在卸貨時(shí)讀取標(biāo)簽,因?yàn)椋瑪y帶標(biāo)簽的物品被唯一編號(hào),競(jìng)爭(zhēng)者可以非常隱蔽地收集大量的數(shù)據(jù)。
(2)競(jìng)爭(zhēng)市場(chǎng)威脅
從商品到達(dá)零售商店直到用戶(hù)在家使用等環(huán)節(jié),攜帶著標(biāo)簽的物品使競(jìng)爭(zhēng)者可容易地獲取用戶(hù)的喜好,并在競(jìng)爭(zhēng)市場(chǎng)中使用這些數(shù)據(jù)。
(3)基礎(chǔ)設(shè)施威脅
基礎(chǔ)設(shè)施威脅包括從商品生產(chǎn)到付款柜臺(tái)售出等整個(gè)環(huán)節(jié),這不是RFID本身特定的威脅,但當(dāng)RFID成為一個(gè)企業(yè)基礎(chǔ)設(shè)施的關(guān)鍵部分時(shí),通過(guò)阻塞無(wú)線(xiàn)信號(hào),可使企業(yè)遭到新的拒絕服務(wù)攻擊。
(4)信任域威脅
信任域威脅包括從商品生產(chǎn)到付款柜臺(tái)售出等整個(gè)環(huán)節(jié),這也不是RFID特定的威脅,因需要在各環(huán)節(jié)之間共享大量的電子數(shù)據(jù),某個(gè)不適當(dāng)?shù)墓蚕頇C(jī)制將提供新的攻擊機(jī)會(huì)。
個(gè)人隱私威脅包括:
(1)行為威脅
由于標(biāo)簽標(biāo)識(shí)的唯一性,可以很容易地與一個(gè)人的身份相聯(lián)系。可以通過(guò)監(jiān)控一組標(biāo)簽的行蹤而獲取一個(gè)人的行為。
(2)關(guān)聯(lián)威脅
在用戶(hù)購(gòu)買(mǎi)一個(gè)攜帶EPC標(biāo)簽的物品時(shí),可將用戶(hù)的身份與該物品的電子序列號(hào)相關(guān)聯(lián),這類(lèi)關(guān)聯(lián)可能是秘密的,甚至是無(wú)意的。
(3)位置威脅
在特定的位置放置秘密的閱讀器,可產(chǎn)生兩類(lèi)隱私威脅。一類(lèi)是,如果監(jiān)控代理知道那些與個(gè)人關(guān)聯(lián)的標(biāo)簽,那么,攜帶唯一標(biāo)簽的個(gè)人可被監(jiān)控,他們的位置將被暴露;另一類(lèi)是,一個(gè)攜帶標(biāo)簽的物品的位置(無(wú)論誰(shuí)或什么東西攜帶它)易于未經(jīng)授權(quán)地被暴露。
(4)喜好威脅
利用EPC網(wǎng)絡(luò),物品上的標(biāo)簽可唯一地識(shí)別生產(chǎn)者、產(chǎn)品類(lèi)型、物品的唯一身份。這使競(jìng)爭(zhēng)(或好奇)者以非常低的成本可獲得寶貴的用戶(hù)喜好信息。如果對(duì)手能夠容易地確定物品的金錢(qián)價(jià)值,這實(shí)際上也是一種價(jià)值威脅。
(5)星座(Constellation)威脅
無(wú)論個(gè)人身份是否與一個(gè)標(biāo)簽關(guān)聯(lián),多個(gè)標(biāo)簽可在一個(gè)人的周?chē)纬梢粋€(gè)唯一的星座,對(duì)手可使用該特殊的星座實(shí)施跟蹤,而不必知道他們的身份,即前面描述的利用多個(gè)標(biāo)準(zhǔn)進(jìn)行的跟蹤。
(6)事務(wù)威脅
當(dāng)攜帶標(biāo)簽的對(duì)象從一個(gè)星座移到另一個(gè)星座時(shí),在與這些星座關(guān)聯(lián)的個(gè)人之間,可容易地推導(dǎo)出發(fā)生的事務(wù)。
(7)面包屑(Breadcrumb)威脅
屬于關(guān)聯(lián)結(jié)果的一種威脅。因?yàn)閭€(gè)人收集攜帶標(biāo)簽的物品,然后,在公司信息系統(tǒng)中建立一個(gè)與他們的身份關(guān)聯(lián)的物品數(shù)據(jù)庫(kù)。當(dāng)他們丟棄這些“電子面包屑”時(shí),在他們和物品之間的關(guān)聯(lián)不會(huì)中斷。使用這些丟棄的面包屑可實(shí)施犯罪或某些惡意行為。
標(biāo)簽復(fù)制也是RFID面臨的一種嚴(yán)重的安全威脅。
3 RFID安全解決方案
3.1技術(shù)解決方案
RFID安全和隱私保護(hù)與成本之間是相互制約的。根據(jù)自動(dòng)識(shí)別(Auto-ID)中心的試驗(yàn)數(shù)據(jù),在設(shè)計(jì)5美分[7]標(biāo)簽時(shí),集成電路芯片的成本不應(yīng)該超過(guò)2美分,這使集成電路門(mén)電路數(shù)量限制在了7.5 kb~15 kb。一個(gè)96 b的EPC芯片約需要5 kb~l0 kb的門(mén)電路[8],因此用于安全和隱私保護(hù)的門(mén)電路數(shù)量不能超過(guò)2.5 kb~5 kb,使得現(xiàn)有密碼技術(shù)難以應(yīng)用。優(yōu)秀的RFID安全技術(shù)解決方案應(yīng)該是平衡安全、隱私保護(hù)與成本的最佳方案。
現(xiàn)有的RFID安全和隱私技術(shù)可以分為兩大類(lèi):一類(lèi)是通過(guò)物理方法阻止標(biāo)簽與閱讀器之間通信,另一類(lèi)是通過(guò)邏輯方法增加標(biāo)簽安全機(jī)制。
3.1.1物理方法
(1)殺死(Kill)標(biāo)簽
原理是使標(biāo)簽喪失功能,從而阻止對(duì)標(biāo)簽及其攜帶物的跟蹤。如在超市買(mǎi)單時(shí)的處理。但是,Kill命令使標(biāo)簽失去了它本身應(yīng)有的優(yōu)點(diǎn)。如商品在賣(mài)出后,標(biāo)簽上的信息將不再可用,不便于日后的售后服務(wù)以及用戶(hù)對(duì)產(chǎn)品信息的進(jìn)一步了解。另外,若Kill識(shí)別序列號(hào)(PIN)一旦泄露,可能導(dǎo)致惡意者對(duì)超市商品的偷盜。
(2)法拉第網(wǎng)罩
根據(jù)電磁場(chǎng)理論,由傳導(dǎo)材料構(gòu)成的容器如法拉第網(wǎng)罩可以屏蔽無(wú)線(xiàn)電波。使得外部的無(wú)線(xiàn)電信號(hào)不能進(jìn)入法拉第網(wǎng)罩,反之亦然。把標(biāo)簽放進(jìn)由傳導(dǎo)材料構(gòu)成的容器可以阻止標(biāo)簽被掃描,即被動(dòng)標(biāo)簽接收不到信號(hào),不能獲得能量,主動(dòng)標(biāo)簽發(fā)射的信號(hào)不能發(fā)出。因此,利用法拉第網(wǎng)罩可以阻止隱私侵犯者掃描標(biāo)簽獲取信息。比如,當(dāng)貨幣嵌入RFID標(biāo)簽后,可利用法拉第網(wǎng)罩原理阻止隱私侵犯者掃描,避免他人知道你包里有多少錢(qián)。
(3)主動(dòng)干擾
主動(dòng)干擾無(wú)線(xiàn)電信號(hào)是另一種屏蔽標(biāo)簽的方法。標(biāo)簽用戶(hù)可以通過(guò)一個(gè)設(shè)備主動(dòng)廣播無(wú)線(xiàn)電信號(hào)用于阻止或破壞附近的RFID閱讀器的操作。但這種方法可能導(dǎo)致非法干擾,使附近其他合法的RFID系統(tǒng)受到干擾,嚴(yán)重的是,它可能阻斷附近其他無(wú)線(xiàn)系統(tǒng)。
(4)阻止標(biāo)簽
原理是通過(guò)采用一個(gè)特殊的阻止標(biāo)簽干擾防碰撞算法來(lái)實(shí)現(xiàn),閱讀器讀取命令每次總是獲得相同的應(yīng)答數(shù)據(jù),從而保護(hù)標(biāo)簽。
3.1.2邏輯方法
(1)哈希(Hash)鎖方案
Hash鎖[9]是一種更完善的抵制標(biāo)簽未授權(quán)訪問(wèn)的安全與隱私技術(shù)。整個(gè)方案只需要采用Hash函數(shù),因此成本很低。
方案原理是閱讀器存儲(chǔ)每個(gè)標(biāo)簽的訪問(wèn)密鑰K,對(duì)應(yīng)標(biāo)簽存儲(chǔ)的元身份(MetaID),其中MetaID =Hash(K )。標(biāo)簽接收到閱讀器訪問(wèn)請(qǐng)求后發(fā)送MetaID 作為響應(yīng),閱讀器通過(guò)查詢(xún)獲得與標(biāo)簽MetaID 對(duì)應(yīng)的密鑰K并發(fā)送給標(biāo)簽,標(biāo)簽通過(guò)Hash函數(shù)計(jì)算閱讀器發(fā)送的密鑰K,檢查Hash(K )是否與MetaID 相同,相同則解鎖,發(fā)送標(biāo)簽真實(shí)ID給閱讀器。
(2)隨機(jī)Hash鎖方案
作為Hash鎖的擴(kuò)展,隨機(jī)Hash鎖[10]解決了標(biāo)簽位置隱私問(wèn)題。采用隨機(jī)Hash鎖方案,閱讀器每次訪問(wèn)標(biāo)簽的輸出信息都不同。
隨機(jī)Hash鎖原理是標(biāo)簽包含Hash函數(shù)和隨機(jī)數(shù)發(fā)生器,后臺(tái)服務(wù)器數(shù)據(jù)庫(kù)存儲(chǔ)所有標(biāo)簽ID。閱讀器請(qǐng)求訪問(wèn)標(biāo)簽,標(biāo)簽接收到訪問(wèn)請(qǐng)求后,由Hash函數(shù)計(jì)算標(biāo)簽ID與隨機(jī)數(shù)r (由隨機(jī)數(shù)發(fā)生器生成)的Hash值。標(biāo)簽發(fā)送數(shù)據(jù)給請(qǐng)求的閱讀器,同時(shí)閱讀器發(fā)送給后臺(tái)服務(wù)器數(shù)據(jù)庫(kù),后臺(tái)服務(wù)器數(shù)據(jù)庫(kù)窮舉搜索所有標(biāo)簽ID和r 的Hash值,判斷是否為對(duì)應(yīng)標(biāo)簽ID。標(biāo)簽接收到閱讀器發(fā)送的ID后解鎖。
盡管Hash函數(shù)可以在低成本的情況下完成,但要集成隨機(jī)數(shù)發(fā)生器到計(jì)算能力有限的低成本被動(dòng)標(biāo)簽,卻是很困難的。其次,隨機(jī)Hash鎖僅解決了標(biāo)簽位置隱私問(wèn)題,一旦標(biāo)簽的秘密信息被截獲,隱私侵犯者可以獲得訪問(wèn)控制權(quán),通過(guò)信息回溯得到標(biāo)簽歷史記錄,推斷標(biāo)簽持有者隱私。后臺(tái)服務(wù)器數(shù)據(jù)庫(kù)的解碼操作是通過(guò)窮舉搜索,需要對(duì)所有的標(biāo)簽進(jìn)行窮舉搜索和Hash函數(shù)計(jì)算,因此存在拒絕服務(wù)攻擊。
(3)Hash鏈方案
作為Hash方法的一個(gè)發(fā)展,為了解決可跟蹤性,標(biāo)簽使用了一個(gè)Hash函數(shù)在每次閱讀器訪問(wèn)后自動(dòng)更新標(biāo)識(shí)符,實(shí)現(xiàn)前向安全性[11]。
方案原理是標(biāo)簽最初在存儲(chǔ)器設(shè)置一個(gè)隨機(jī)的初始化標(biāo)識(shí)符s 1,同時(shí)這個(gè)標(biāo)識(shí)符也儲(chǔ)存在后臺(tái)數(shù)據(jù)庫(kù)。標(biāo)簽包含兩個(gè)Hash函數(shù)G和H。當(dāng)閱讀器請(qǐng)求訪問(wèn)標(biāo)簽時(shí),標(biāo)簽返回當(dāng)前標(biāo)簽標(biāo)識(shí)符r k =G (s k )給閱讀器,同時(shí)當(dāng)標(biāo)簽從閱讀器電磁場(chǎng)獲得能量時(shí)自動(dòng)更新標(biāo)識(shí)符s k+1=H (sk)。
Hash鏈與之前的Hash方案相比主要優(yōu)點(diǎn)是提供了前向安全性。然而,它并不能阻止重放攻擊。并且該方案每次識(shí)別時(shí)需要進(jìn)行窮舉搜索,比較后臺(tái)數(shù)據(jù)庫(kù)每個(gè)標(biāo)簽,一旦標(biāo)簽規(guī)模擴(kuò)大,后端服務(wù)器的計(jì)算負(fù)擔(dān)將急劇增大。因此Hash鏈方案存在著所有標(biāo)簽自更新標(biāo)識(shí)符方案的通用缺點(diǎn),難以大規(guī)模擴(kuò)展,同時(shí),因?yàn)樾枰F舉搜索,所以存在拒絕服務(wù)攻擊。
(4)匿名ID方案
采用匿名ID[12],隱私侵犯者即使在消息傳遞過(guò)程中截獲標(biāo)簽信息也不能獲得標(biāo)簽的真實(shí)ID。該方案通過(guò)第三方數(shù)據(jù)加密裝置采用公鑰加密、私鑰加密或者添加隨機(jī)數(shù)生成匿名標(biāo)簽ID。雖然標(biāo)簽信息只需要采用隨機(jī)讀取存儲(chǔ)器(RAM)存儲(chǔ),成本較低,但數(shù)據(jù)加密裝置與高級(jí)加密算法都將導(dǎo)致系統(tǒng)的成本增加。因標(biāo)簽ID加密以后仍具有固定輸出,因此,使得標(biāo)簽的跟蹤成為可能,存在標(biāo)簽位置隱私問(wèn)題。并且,該方案的實(shí)施前提是閱讀器與后臺(tái)服務(wù)器的通信建立在可信通道上。
(5)重加密方案
該方案采用公鑰加密[13]。標(biāo)簽可以在用戶(hù)請(qǐng)求下通過(guò)第三方數(shù)據(jù)加密裝置定期對(duì)標(biāo)簽數(shù)據(jù)進(jìn)行重寫(xiě)。因采用公鑰加密,大量的計(jì)算負(fù)載超出了標(biāo)簽的能力,通常這個(gè)過(guò)程由閱讀器來(lái)處理。該方案存在的最大缺陷是標(biāo)簽的數(shù)據(jù)必須經(jīng)常重寫(xiě),否則,即使加密標(biāo)簽ID固定的輸出也將導(dǎo)致標(biāo)簽定位隱私泄露。與匿名ID方案相似,標(biāo)簽數(shù)據(jù)加密裝置與公鑰加密將導(dǎo)致系統(tǒng)成本的增加,使得大規(guī)模的應(yīng)用受到限制。并且經(jīng)常地重復(fù)加密操作也給實(shí)際操作帶來(lái)困難。
3.2法規(guī)、政策解決方案
除了技術(shù)解決方案以外,還應(yīng)充分利用和制訂完善的法規(guī)、政策,加強(qiáng)RFID安全和隱私的保護(hù)。2002年,Garfinkel先生提出了一個(gè)RFID權(quán)利法案[14],提出了RFID系統(tǒng)創(chuàng)建和部署的五大指導(dǎo)原則,即RFID標(biāo)簽產(chǎn)品的用戶(hù)具有如下權(quán)利:
有權(quán)知道產(chǎn)品是否包含RFID標(biāo)簽
有權(quán)在購(gòu)買(mǎi)產(chǎn)品時(shí)移除、失效或摧毀嵌入的RFID標(biāo)簽
有權(quán)對(duì)RFID做最好的選擇,如果消費(fèi)者決定不選擇RFID或啟用RFID的Kill功能,消費(fèi)者不應(yīng)喪失其他權(quán)利
有權(quán)知道他們的RFID標(biāo)簽內(nèi)存儲(chǔ)著什么信息,如果信息不正確,則有方法進(jìn)行糾正或修改
有權(quán)知道何時(shí)、何地、為什么RFID標(biāo)簽被閱讀
4 結(jié)束語(yǔ)
RFID標(biāo)簽已逐步進(jìn)入我們的日常生產(chǎn)和生活當(dāng)中,同時(shí),也給我們帶來(lái)了許多新的安全和隱私問(wèn)題。由于對(duì)低成RFID標(biāo)簽的追求,使得現(xiàn)有的密碼技術(shù)難以應(yīng)用。如何根據(jù)RFID標(biāo)簽有限的計(jì)算資源,設(shè)計(jì)出安全有效的安全技術(shù)解決方案,仍然是一個(gè)具有相當(dāng)挑戰(zhàn)性的課題。為了有效地保護(hù)數(shù)據(jù)安全和個(gè)人隱私,引導(dǎo)RFID的合理應(yīng)用和健康發(fā)展,還需要建立和制訂完善的RFID安全與隱私保護(hù)法規(guī)、政策。
RFID標(biāo)簽被認(rèn)為是條碼的替代,具有體積小、易于嵌入物體當(dāng)中、無(wú)需接觸就能大量地進(jìn)行讀取等優(yōu)點(diǎn)。另外,RFID標(biāo)識(shí)符較長(zhǎng),可使每一個(gè)物體具有一個(gè)唯一的編碼,唯一性使得物體的跟蹤成為可能。該特征可幫助企業(yè)防止偷盜、改進(jìn)庫(kù)存管理、方便商店和倉(cāng)庫(kù)的清點(diǎn)。此外,使用RFID技術(shù),可極大地減少消費(fèi)者在付款柜臺(tái)前的等待時(shí)間。
但是,隨著RFID能力的提高和標(biāo)簽應(yīng)用的日益普及,安全問(wèn)題,特別是用戶(hù)隱私問(wèn)題變得日益嚴(yán)重。用戶(hù)如果帶有不安全的標(biāo)簽的產(chǎn)品,則在用戶(hù)沒(méi)有感知的情況下,被附近的閱讀器讀取,從而泄露個(gè)人的敏感信息,例如金錢(qián)、藥物(與特殊的疾病相關(guān)聯(lián))、書(shū)(可能包含個(gè)人的特殊喜好)等,特別是可能暴露用戶(hù)的位置隱私,使得用戶(hù)被跟蹤。
因此,在RFID應(yīng)用時(shí),必須仔細(xì)分析所存在的安全威脅,研究和采取適當(dāng)?shù)陌踩胧?,既需要技術(shù)方面的措施,也需要政策、法規(guī)方面的制約。
1 RFID技術(shù)及其系統(tǒng)組成
1.1系統(tǒng)組成
基本的RFID系統(tǒng)主要由3部分組成,如圖1所示,包括:
620)this.style.width=620;" border=0>
(1)標(biāo)簽標(biāo)簽放置在要識(shí)別的物體上,攜帶目標(biāo)識(shí)別數(shù)據(jù),是RFID系統(tǒng)真正的數(shù)據(jù)載體,由耦合元件以及微電子芯片(包含調(diào)制器、編碼發(fā)生器、時(shí)鐘及存儲(chǔ)器)組成。
(2)閱讀器
閱讀器用于讀或讀/寫(xiě)標(biāo)簽數(shù)據(jù)的裝置,由射頻模塊(發(fā)送器和接收器)、控制單元、與標(biāo)簽連接的藕合單元組成。
(3)后臺(tái)服務(wù)器
后臺(tái)服務(wù)器包含數(shù)據(jù)庫(kù)處理系統(tǒng),存儲(chǔ)和管理標(biāo)簽相關(guān)信息,如標(biāo)簽標(biāo)識(shí)、閱讀器定位、讀取時(shí)間等。后臺(tái)服務(wù)器接收來(lái)自可信的閱讀器獲得的標(biāo)簽數(shù)據(jù),將數(shù)據(jù)輸入到它自身的數(shù)據(jù)庫(kù)里,且提供對(duì)訪問(wèn)標(biāo)簽相關(guān)數(shù)據(jù)的編號(hào)。
1.2工作原理
RFID系統(tǒng)的基本工作原理是:閱讀器與標(biāo)簽之間通過(guò)無(wú)線(xiàn)信號(hào)建立雙方通信的通道,閱讀器通過(guò)天線(xiàn)發(fā)出電磁信號(hào),電磁信號(hào)攜帶了閱讀器向標(biāo)簽的查詢(xún)指令。當(dāng)標(biāo)簽處于閱讀器工作范圍時(shí),標(biāo)簽將從電磁信號(hào)中獲得指令數(shù)據(jù)和能量,并根據(jù)指令將標(biāo)簽標(biāo)識(shí)和數(shù)據(jù)以電磁信號(hào)的形式發(fā)送給閱讀器,或根據(jù)閱讀器的指令改寫(xiě)存儲(chǔ)在RFID標(biāo)簽中的數(shù)據(jù)。閱讀器可接收RFID標(biāo)簽發(fā)送的數(shù)據(jù)或向標(biāo)簽發(fā)送數(shù)據(jù),并能通過(guò)標(biāo)準(zhǔn)接口與后臺(tái)服務(wù)器通信網(wǎng)絡(luò)進(jìn)行對(duì)接,實(shí)現(xiàn)數(shù)據(jù)的通信傳輸。
根據(jù)標(biāo)簽?zāi)芰揩@取方式,RFID系統(tǒng)工作方式可分為:近距離的電感耦合方式和遠(yuǎn)距離的電磁耦合方式。
2 RFID的安全和隱私問(wèn)題
2.1RFID的隱私威脅
RFID面臨的隱私威脅包括:標(biāo)簽信息泄漏和利用標(biāo)簽的唯一標(biāo)識(shí)符進(jìn)行的惡意跟蹤。
信息泄露是指暴露標(biāo)簽發(fā)送的信息,該信息包括標(biāo)簽用戶(hù)或者是識(shí)別對(duì)象的相關(guān)信息。例如,當(dāng)RFID標(biāo)簽應(yīng)用于圖書(shū)館管理時(shí),圖書(shū)館信息是公開(kāi)的,讀者的讀書(shū)信息任何其他人都可以獲得。當(dāng)RFID標(biāo)簽應(yīng)用于醫(yī)院處方藥物管理時(shí),很可能暴露藥物使用者的病理,隱私侵犯者可以通過(guò)掃描服用的藥物推斷出某人的健康狀況。當(dāng)個(gè)人信息比如電子檔案、生物特征添加到RFID標(biāo)簽里時(shí),標(biāo)簽信息泄露問(wèn)題便會(huì)極大地危害個(gè)人隱私。如美國(guó)原計(jì)劃2005年8月在入境護(hù)照上裝備電子標(biāo)簽的計(jì)劃[1-2]因?yàn)榭紤]到信息泄露的安全問(wèn)題而被遲。
RFID系統(tǒng)后臺(tái)服務(wù)器提供有數(shù)據(jù)庫(kù),標(biāo)簽一般不需包含和傳輸大量的信息。通常情況下,標(biāo)簽只需要傳輸簡(jiǎn)單的標(biāo)識(shí)符,然后,通過(guò)這個(gè)標(biāo)識(shí)符訪問(wèn)數(shù)據(jù)庫(kù)獲得目標(biāo)對(duì)象的相關(guān)數(shù)據(jù)和信息。因此,可通過(guò)標(biāo)簽固定的標(biāo)識(shí)符實(shí)施跟蹤,即使標(biāo)簽進(jìn)行加密后不知道標(biāo)簽的內(nèi)容,仍然可以通過(guò)固定的加密信息跟蹤標(biāo)簽。也就是說(shuō),人們可以在不同的時(shí)間和不同的地點(diǎn)識(shí)別標(biāo)簽,獲取標(biāo)簽的位置信息。這樣,攻擊者可以通過(guò)標(biāo)簽的位置信息獲取標(biāo)簽攜帶者的行蹤,比如得出他的工作地點(diǎn),以及到達(dá)和離開(kāi)工作地點(diǎn)的時(shí)間。
雖然利用其他的一些技術(shù),如視頻監(jiān)視、全球移動(dòng)通信系統(tǒng)(GSM)、藍(lán)牙等,也可進(jìn)行跟蹤。但是,RFID標(biāo)簽識(shí)別裝備相對(duì)低廉,特別是RFID進(jìn)入老百姓日常生活以后,擁有閱讀器的人都可以?huà)呙璨⒏櫵恕6?,被?dòng)標(biāo)簽信號(hào)不能切斷,尺寸很小極易隱藏,使用壽命長(zhǎng),可自動(dòng)識(shí)別和采集數(shù)據(jù),從而使惡意跟蹤更容易。
2.2跟蹤問(wèn)題的層次劃分
RFID系統(tǒng)根據(jù)分層模型可劃分為3層:應(yīng)用層、通信層和物理層,如圖2所示。
620)this.style.width=620;" border=0>
惡意跟蹤可分別在此3個(gè)層次內(nèi)進(jìn)行[3]。(1)應(yīng)用層
處理用戶(hù)定義的信息,如標(biāo)識(shí)符。為了保護(hù)標(biāo)識(shí)符,可在傳輸前變換該數(shù)據(jù),或僅在滿(mǎn)足一定條件時(shí)傳送該信息。標(biāo)簽識(shí)別、認(rèn)證等協(xié)議在該層定義。
通過(guò)標(biāo)簽標(biāo)識(shí)符進(jìn)行跟蹤是目前的主要手段。因此,解決方案要求每次識(shí)別時(shí)改變由標(biāo)簽發(fā)送到閱讀器的信息,此信息或者是標(biāo)簽標(biāo)識(shí)符,或者是它的加密值。
(2)通信層
定義閱讀器和標(biāo)簽之間的通信方式。防碰撞協(xié)議和特定標(biāo)簽標(biāo)識(shí)符的選擇機(jī)制在該層定義。該層的跟蹤問(wèn)題來(lái)源于兩個(gè)方面:一是基于未完成的單一化(Singulation)會(huì)話(huà)攻擊,二是基于缺乏隨機(jī)性的攻擊。
防碰撞協(xié)議分為兩類(lèi):確定性協(xié)議和概率性協(xié)議。確定性防碰撞協(xié)議基于標(biāo)簽唯一的靜態(tài)標(biāo)識(shí)符,對(duì)手可以輕易地追蹤標(biāo)簽。為了避免跟蹤,標(biāo)識(shí)符需要是動(dòng)態(tài)的。然而,如果標(biāo)識(shí)符在單一化過(guò)程中被修改,便會(huì)破壞標(biāo)簽單一化。因此,標(biāo)識(shí)符在單一化會(huì)話(huà)期間不能改變。為了阻止被跟蹤,每次會(huì)話(huà)時(shí)應(yīng)使用不同的標(biāo)識(shí)符。但是,惡意的閱讀器可讓標(biāo)簽的一次會(huì)話(huà)處于開(kāi)放狀態(tài),使標(biāo)簽標(biāo)識(shí)符不改變,從而進(jìn)行跟蹤。概率性防碰撞協(xié)議也存在這樣的跟蹤問(wèn)題。另外,概率性防碰撞協(xié)議,如Aloha協(xié)議,不僅要求每次改變標(biāo)簽標(biāo)識(shí)符,而且,要求是完美的隨機(jī)化,以防止惡意閱讀器的跟蹤。
(3)物理層
定義物理空中接口,包括頻率、傳輸調(diào)制、數(shù)據(jù)編碼、定時(shí)等。在閱讀器和標(biāo)簽之間交換的物理信號(hào)使對(duì)手在不理解所交換的信息的情況下也能區(qū)別標(biāo)簽或標(biāo)簽集。
無(wú)線(xiàn)傳輸參數(shù)遵循已知標(biāo)準(zhǔn),使用同一標(biāo)準(zhǔn)的標(biāo)簽發(fā)送非常類(lèi)似的信號(hào),使用不同標(biāo)準(zhǔn)的標(biāo)簽發(fā)送的信號(hào)很容易區(qū)分。可以想象,幾年后,我們可能攜帶嵌有標(biāo)簽的許多物品在大街上行走,如果使用幾個(gè)標(biāo)準(zhǔn),每個(gè)人可能帶有特定標(biāo)準(zhǔn)組合的標(biāo)簽,這類(lèi)標(biāo)準(zhǔn)組合使對(duì)人的跟蹤成為可能。該方法特別地利于跟蹤某些類(lèi)型的人,如軍人或安全保安人員。
類(lèi)似地,不同無(wú)線(xiàn)指紋的標(biāo)簽組合,也會(huì)使跟蹤成為可能。
2.3RFID的安全威脅
RFID應(yīng)用廣泛,可能引發(fā)各種各樣的安全問(wèn)題。在一些應(yīng)用中,非法用戶(hù)可利用合法閱讀器或者自構(gòu)一個(gè)閱讀器對(duì)標(biāo)簽實(shí)施非法接入,造成標(biāo)簽信息的泄露。在一些金融和證件等重要應(yīng)用中,攻擊者可篡改標(biāo)簽內(nèi)容,或復(fù)制合法標(biāo)簽,以獲取個(gè)人利益或進(jìn)行非法活動(dòng)。在藥物和食品等應(yīng)用中,偽造標(biāo)簽,進(jìn)行偽劣商品的生產(chǎn)和銷(xiāo)售。實(shí)際中,應(yīng)針對(duì)特定的RFID應(yīng)用和安全問(wèn)題,分別采取相應(yīng)的安全措施。
下面,根據(jù)EPCglobal標(biāo)準(zhǔn)組織定義的EPCglobal系統(tǒng)架構(gòu)[4]和一條完整的供應(yīng)鏈[5-6], 縱向和橫向分別描述RFID面臨的安全威脅和隱私威脅。
2.4EPCglobal系統(tǒng)的縱向安全和隱私威脅分析
EPCglobal系統(tǒng)架構(gòu)和所面臨的安全威脅如圖3所示。主要由標(biāo)簽、閱讀器、電子物品編碼(EPC)中間件、電子物品編碼信息系統(tǒng)(EPCIS)、物品域名服務(wù)(ONS)以及企業(yè)的其他內(nèi)部系統(tǒng)組成。其中EPC中間件主要負(fù)責(zé)從一個(gè)或多個(gè)閱讀器接收原始標(biāo)簽數(shù)據(jù),過(guò)濾重復(fù)等冗余數(shù)據(jù);EPCIS主要保存有一個(gè)或多個(gè)EPCIS級(jí)別的事件數(shù)據(jù);ONS主要負(fù)責(zé)提供一種機(jī)制,允許內(nèi)部、外部應(yīng)用查找EPC相關(guān)EPCIS數(shù)據(jù)。
620)this.style.width=620;" border=0>
從下到上,可將EPCglobal整體系統(tǒng)劃分為3個(gè)安全域:標(biāo)簽和閱讀器構(gòu)成的無(wú)線(xiàn)數(shù)據(jù)采集區(qū)域構(gòu)成的安全域、企業(yè)內(nèi)部系統(tǒng)構(gòu)成的安全域、企業(yè)之間和企業(yè)與公共用戶(hù)之間供數(shù)據(jù)交換和查詢(xún)網(wǎng)絡(luò)構(gòu)成的安全區(qū)域。個(gè)人隱私威脅主要可能出現(xiàn)在第一個(gè)安全域,即標(biāo)簽、空口無(wú)線(xiàn)傳輸和閱讀器之間,有可導(dǎo)致個(gè)人信息泄露和被跟蹤等。另外,個(gè)人隱私威脅還可能出現(xiàn)在第三個(gè)安全域,如果ONS的管理不善,也可能導(dǎo)致個(gè)人隱私的非法訪問(wèn)或?yàn)E用。安全與隱私威脅存在于如下各安全域:(1)標(biāo)簽和閱讀器構(gòu)成的無(wú)線(xiàn)數(shù)據(jù)采集區(qū)域構(gòu)成的安全域??赡艽嬖诘陌踩{包括標(biāo)簽的偽造、對(duì)標(biāo)簽的非法接入和篡改、通過(guò)空中無(wú)線(xiàn)接口的竊聽(tīng)、獲取標(biāo)簽的有關(guān)信息以及對(duì)標(biāo)簽進(jìn)行跟蹤和監(jiān)控。
(2)企業(yè)內(nèi)部系統(tǒng)構(gòu)成的安全域。企業(yè)內(nèi)部系統(tǒng)構(gòu)成的安全域存在的安全威脅與現(xiàn)有企業(yè)網(wǎng)一樣,在加強(qiáng)管理的同時(shí),要防止內(nèi)部人員的非法或越權(quán)訪問(wèn)與使用,還要防止非法閱讀器接入企業(yè)內(nèi)部網(wǎng)絡(luò)。
(3)企業(yè)之間和企業(yè)與公共用戶(hù)之間供數(shù)據(jù)交換和查詢(xún)網(wǎng)絡(luò)構(gòu)成的安全區(qū)域。ONS通過(guò)一種認(rèn)證和授權(quán)機(jī)制,以及根據(jù)有關(guān)的隱私法規(guī),保證采集的數(shù)據(jù)不被用于其他非正常目的的商業(yè)應(yīng)用和泄露,并保證合法用戶(hù)對(duì)有關(guān)信息的查詢(xún)和監(jiān)控。
2.5供應(yīng)鏈的橫向安全和隱私威脅分析
一個(gè)較完整的供應(yīng)鏈及其面對(duì)的安全與隱私威脅如圖4所示,包括供應(yīng)鏈內(nèi)、商品流通和供應(yīng)鏈外等3個(gè)區(qū)域,具體包括商品生產(chǎn)、運(yùn)輸、分發(fā)中心、零售商店、商店貨架、付款柜臺(tái)、外部世界和用戶(hù)家庭等環(huán)節(jié)。圖中前4個(gè)威脅為安全威脅,后7個(gè)威脅為隱私威脅。其中,安全威脅包括:
620)this.style.width=620;" border=0>
(1)工業(yè)間諜威脅從商品生產(chǎn)出來(lái)到售出之前各環(huán)節(jié),競(jìng)爭(zhēng)對(duì)手可容易地收集供應(yīng)鏈數(shù)據(jù),其中某些涉及產(chǎn)業(yè)的最機(jī)密信息。例如,一個(gè)代理商可從幾個(gè)地方購(gòu)買(mǎi)競(jìng)爭(zhēng)對(duì)手的產(chǎn)品,然后,監(jiān)控這些產(chǎn)品的位置補(bǔ)充情況。在某些場(chǎng)合,可在商店內(nèi)或在卸貨時(shí)讀取標(biāo)簽,因?yàn)椋瑪y帶標(biāo)簽的物品被唯一編號(hào),競(jìng)爭(zhēng)者可以非常隱蔽地收集大量的數(shù)據(jù)。
(2)競(jìng)爭(zhēng)市場(chǎng)威脅
從商品到達(dá)零售商店直到用戶(hù)在家使用等環(huán)節(jié),攜帶著標(biāo)簽的物品使競(jìng)爭(zhēng)者可容易地獲取用戶(hù)的喜好,并在競(jìng)爭(zhēng)市場(chǎng)中使用這些數(shù)據(jù)。
(3)基礎(chǔ)設(shè)施威脅
基礎(chǔ)設(shè)施威脅包括從商品生產(chǎn)到付款柜臺(tái)售出等整個(gè)環(huán)節(jié),這不是RFID本身特定的威脅,但當(dāng)RFID成為一個(gè)企業(yè)基礎(chǔ)設(shè)施的關(guān)鍵部分時(shí),通過(guò)阻塞無(wú)線(xiàn)信號(hào),可使企業(yè)遭到新的拒絕服務(wù)攻擊。
(4)信任域威脅
信任域威脅包括從商品生產(chǎn)到付款柜臺(tái)售出等整個(gè)環(huán)節(jié),這也不是RFID特定的威脅,因需要在各環(huán)節(jié)之間共享大量的電子數(shù)據(jù),某個(gè)不適當(dāng)?shù)墓蚕頇C(jī)制將提供新的攻擊機(jī)會(huì)。
個(gè)人隱私威脅包括:
(1)行為威脅
由于標(biāo)簽標(biāo)識(shí)的唯一性,可以很容易地與一個(gè)人的身份相聯(lián)系。可以通過(guò)監(jiān)控一組標(biāo)簽的行蹤而獲取一個(gè)人的行為。
(2)關(guān)聯(lián)威脅
在用戶(hù)購(gòu)買(mǎi)一個(gè)攜帶EPC標(biāo)簽的物品時(shí),可將用戶(hù)的身份與該物品的電子序列號(hào)相關(guān)聯(lián),這類(lèi)關(guān)聯(lián)可能是秘密的,甚至是無(wú)意的。
(3)位置威脅
在特定的位置放置秘密的閱讀器,可產(chǎn)生兩類(lèi)隱私威脅。一類(lèi)是,如果監(jiān)控代理知道那些與個(gè)人關(guān)聯(lián)的標(biāo)簽,那么,攜帶唯一標(biāo)簽的個(gè)人可被監(jiān)控,他們的位置將被暴露;另一類(lèi)是,一個(gè)攜帶標(biāo)簽的物品的位置(無(wú)論誰(shuí)或什么東西攜帶它)易于未經(jīng)授權(quán)地被暴露。
(4)喜好威脅
利用EPC網(wǎng)絡(luò),物品上的標(biāo)簽可唯一地識(shí)別生產(chǎn)者、產(chǎn)品類(lèi)型、物品的唯一身份。這使競(jìng)爭(zhēng)(或好奇)者以非常低的成本可獲得寶貴的用戶(hù)喜好信息。如果對(duì)手能夠容易地確定物品的金錢(qián)價(jià)值,這實(shí)際上也是一種價(jià)值威脅。
(5)星座(Constellation)威脅
無(wú)論個(gè)人身份是否與一個(gè)標(biāo)簽關(guān)聯(lián),多個(gè)標(biāo)簽可在一個(gè)人的周?chē)纬梢粋€(gè)唯一的星座,對(duì)手可使用該特殊的星座實(shí)施跟蹤,而不必知道他們的身份,即前面描述的利用多個(gè)標(biāo)準(zhǔn)進(jìn)行的跟蹤。
(6)事務(wù)威脅
當(dāng)攜帶標(biāo)簽的對(duì)象從一個(gè)星座移到另一個(gè)星座時(shí),在與這些星座關(guān)聯(lián)的個(gè)人之間,可容易地推導(dǎo)出發(fā)生的事務(wù)。
(7)面包屑(Breadcrumb)威脅
屬于關(guān)聯(lián)結(jié)果的一種威脅。因?yàn)閭€(gè)人收集攜帶標(biāo)簽的物品,然后,在公司信息系統(tǒng)中建立一個(gè)與他們的身份關(guān)聯(lián)的物品數(shù)據(jù)庫(kù)。當(dāng)他們丟棄這些“電子面包屑”時(shí),在他們和物品之間的關(guān)聯(lián)不會(huì)中斷。使用這些丟棄的面包屑可實(shí)施犯罪或某些惡意行為。
標(biāo)簽復(fù)制也是RFID面臨的一種嚴(yán)重的安全威脅。
3 RFID安全解決方案
3.1技術(shù)解決方案
RFID安全和隱私保護(hù)與成本之間是相互制約的。根據(jù)自動(dòng)識(shí)別(Auto-ID)中心的試驗(yàn)數(shù)據(jù),在設(shè)計(jì)5美分[7]標(biāo)簽時(shí),集成電路芯片的成本不應(yīng)該超過(guò)2美分,這使集成電路門(mén)電路數(shù)量限制在了7.5 kb~15 kb。一個(gè)96 b的EPC芯片約需要5 kb~l0 kb的門(mén)電路[8],因此用于安全和隱私保護(hù)的門(mén)電路數(shù)量不能超過(guò)2.5 kb~5 kb,使得現(xiàn)有密碼技術(shù)難以應(yīng)用。優(yōu)秀的RFID安全技術(shù)解決方案應(yīng)該是平衡安全、隱私保護(hù)與成本的最佳方案。
現(xiàn)有的RFID安全和隱私技術(shù)可以分為兩大類(lèi):一類(lèi)是通過(guò)物理方法阻止標(biāo)簽與閱讀器之間通信,另一類(lèi)是通過(guò)邏輯方法增加標(biāo)簽安全機(jī)制。
3.1.1物理方法
(1)殺死(Kill)標(biāo)簽
原理是使標(biāo)簽喪失功能,從而阻止對(duì)標(biāo)簽及其攜帶物的跟蹤。如在超市買(mǎi)單時(shí)的處理。但是,Kill命令使標(biāo)簽失去了它本身應(yīng)有的優(yōu)點(diǎn)。如商品在賣(mài)出后,標(biāo)簽上的信息將不再可用,不便于日后的售后服務(wù)以及用戶(hù)對(duì)產(chǎn)品信息的進(jìn)一步了解。另外,若Kill識(shí)別序列號(hào)(PIN)一旦泄露,可能導(dǎo)致惡意者對(duì)超市商品的偷盜。
(2)法拉第網(wǎng)罩
根據(jù)電磁場(chǎng)理論,由傳導(dǎo)材料構(gòu)成的容器如法拉第網(wǎng)罩可以屏蔽無(wú)線(xiàn)電波。使得外部的無(wú)線(xiàn)電信號(hào)不能進(jìn)入法拉第網(wǎng)罩,反之亦然。把標(biāo)簽放進(jìn)由傳導(dǎo)材料構(gòu)成的容器可以阻止標(biāo)簽被掃描,即被動(dòng)標(biāo)簽接收不到信號(hào),不能獲得能量,主動(dòng)標(biāo)簽發(fā)射的信號(hào)不能發(fā)出。因此,利用法拉第網(wǎng)罩可以阻止隱私侵犯者掃描標(biāo)簽獲取信息。比如,當(dāng)貨幣嵌入RFID標(biāo)簽后,可利用法拉第網(wǎng)罩原理阻止隱私侵犯者掃描,避免他人知道你包里有多少錢(qián)。
(3)主動(dòng)干擾
主動(dòng)干擾無(wú)線(xiàn)電信號(hào)是另一種屏蔽標(biāo)簽的方法。標(biāo)簽用戶(hù)可以通過(guò)一個(gè)設(shè)備主動(dòng)廣播無(wú)線(xiàn)電信號(hào)用于阻止或破壞附近的RFID閱讀器的操作。但這種方法可能導(dǎo)致非法干擾,使附近其他合法的RFID系統(tǒng)受到干擾,嚴(yán)重的是,它可能阻斷附近其他無(wú)線(xiàn)系統(tǒng)。
(4)阻止標(biāo)簽
原理是通過(guò)采用一個(gè)特殊的阻止標(biāo)簽干擾防碰撞算法來(lái)實(shí)現(xiàn),閱讀器讀取命令每次總是獲得相同的應(yīng)答數(shù)據(jù),從而保護(hù)標(biāo)簽。
3.1.2邏輯方法
(1)哈希(Hash)鎖方案
Hash鎖[9]是一種更完善的抵制標(biāo)簽未授權(quán)訪問(wèn)的安全與隱私技術(shù)。整個(gè)方案只需要采用Hash函數(shù),因此成本很低。
方案原理是閱讀器存儲(chǔ)每個(gè)標(biāo)簽的訪問(wèn)密鑰K,對(duì)應(yīng)標(biāo)簽存儲(chǔ)的元身份(MetaID),其中MetaID =Hash(K )。標(biāo)簽接收到閱讀器訪問(wèn)請(qǐng)求后發(fā)送MetaID 作為響應(yīng),閱讀器通過(guò)查詢(xún)獲得與標(biāo)簽MetaID 對(duì)應(yīng)的密鑰K并發(fā)送給標(biāo)簽,標(biāo)簽通過(guò)Hash函數(shù)計(jì)算閱讀器發(fā)送的密鑰K,檢查Hash(K )是否與MetaID 相同,相同則解鎖,發(fā)送標(biāo)簽真實(shí)ID給閱讀器。
(2)隨機(jī)Hash鎖方案
作為Hash鎖的擴(kuò)展,隨機(jī)Hash鎖[10]解決了標(biāo)簽位置隱私問(wèn)題。采用隨機(jī)Hash鎖方案,閱讀器每次訪問(wèn)標(biāo)簽的輸出信息都不同。
隨機(jī)Hash鎖原理是標(biāo)簽包含Hash函數(shù)和隨機(jī)數(shù)發(fā)生器,后臺(tái)服務(wù)器數(shù)據(jù)庫(kù)存儲(chǔ)所有標(biāo)簽ID。閱讀器請(qǐng)求訪問(wèn)標(biāo)簽,標(biāo)簽接收到訪問(wèn)請(qǐng)求后,由Hash函數(shù)計(jì)算標(biāo)簽ID與隨機(jī)數(shù)r (由隨機(jī)數(shù)發(fā)生器生成)的Hash值。標(biāo)簽發(fā)送數(shù)據(jù)給請(qǐng)求的閱讀器,同時(shí)閱讀器發(fā)送給后臺(tái)服務(wù)器數(shù)據(jù)庫(kù),后臺(tái)服務(wù)器數(shù)據(jù)庫(kù)窮舉搜索所有標(biāo)簽ID和r 的Hash值,判斷是否為對(duì)應(yīng)標(biāo)簽ID。標(biāo)簽接收到閱讀器發(fā)送的ID后解鎖。
盡管Hash函數(shù)可以在低成本的情況下完成,但要集成隨機(jī)數(shù)發(fā)生器到計(jì)算能力有限的低成本被動(dòng)標(biāo)簽,卻是很困難的。其次,隨機(jī)Hash鎖僅解決了標(biāo)簽位置隱私問(wèn)題,一旦標(biāo)簽的秘密信息被截獲,隱私侵犯者可以獲得訪問(wèn)控制權(quán),通過(guò)信息回溯得到標(biāo)簽歷史記錄,推斷標(biāo)簽持有者隱私。后臺(tái)服務(wù)器數(shù)據(jù)庫(kù)的解碼操作是通過(guò)窮舉搜索,需要對(duì)所有的標(biāo)簽進(jìn)行窮舉搜索和Hash函數(shù)計(jì)算,因此存在拒絕服務(wù)攻擊。
(3)Hash鏈方案
作為Hash方法的一個(gè)發(fā)展,為了解決可跟蹤性,標(biāo)簽使用了一個(gè)Hash函數(shù)在每次閱讀器訪問(wèn)后自動(dòng)更新標(biāo)識(shí)符,實(shí)現(xiàn)前向安全性[11]。
方案原理是標(biāo)簽最初在存儲(chǔ)器設(shè)置一個(gè)隨機(jī)的初始化標(biāo)識(shí)符s 1,同時(shí)這個(gè)標(biāo)識(shí)符也儲(chǔ)存在后臺(tái)數(shù)據(jù)庫(kù)。標(biāo)簽包含兩個(gè)Hash函數(shù)G和H。當(dāng)閱讀器請(qǐng)求訪問(wèn)標(biāo)簽時(shí),標(biāo)簽返回當(dāng)前標(biāo)簽標(biāo)識(shí)符r k =G (s k )給閱讀器,同時(shí)當(dāng)標(biāo)簽從閱讀器電磁場(chǎng)獲得能量時(shí)自動(dòng)更新標(biāo)識(shí)符s k+1=H (sk)。
Hash鏈與之前的Hash方案相比主要優(yōu)點(diǎn)是提供了前向安全性。然而,它并不能阻止重放攻擊。并且該方案每次識(shí)別時(shí)需要進(jìn)行窮舉搜索,比較后臺(tái)數(shù)據(jù)庫(kù)每個(gè)標(biāo)簽,一旦標(biāo)簽規(guī)模擴(kuò)大,后端服務(wù)器的計(jì)算負(fù)擔(dān)將急劇增大。因此Hash鏈方案存在著所有標(biāo)簽自更新標(biāo)識(shí)符方案的通用缺點(diǎn),難以大規(guī)模擴(kuò)展,同時(shí),因?yàn)樾枰F舉搜索,所以存在拒絕服務(wù)攻擊。
(4)匿名ID方案
采用匿名ID[12],隱私侵犯者即使在消息傳遞過(guò)程中截獲標(biāo)簽信息也不能獲得標(biāo)簽的真實(shí)ID。該方案通過(guò)第三方數(shù)據(jù)加密裝置采用公鑰加密、私鑰加密或者添加隨機(jī)數(shù)生成匿名標(biāo)簽ID。雖然標(biāo)簽信息只需要采用隨機(jī)讀取存儲(chǔ)器(RAM)存儲(chǔ),成本較低,但數(shù)據(jù)加密裝置與高級(jí)加密算法都將導(dǎo)致系統(tǒng)的成本增加。因標(biāo)簽ID加密以后仍具有固定輸出,因此,使得標(biāo)簽的跟蹤成為可能,存在標(biāo)簽位置隱私問(wèn)題。并且,該方案的實(shí)施前提是閱讀器與后臺(tái)服務(wù)器的通信建立在可信通道上。
(5)重加密方案
該方案采用公鑰加密[13]。標(biāo)簽可以在用戶(hù)請(qǐng)求下通過(guò)第三方數(shù)據(jù)加密裝置定期對(duì)標(biāo)簽數(shù)據(jù)進(jìn)行重寫(xiě)。因采用公鑰加密,大量的計(jì)算負(fù)載超出了標(biāo)簽的能力,通常這個(gè)過(guò)程由閱讀器來(lái)處理。該方案存在的最大缺陷是標(biāo)簽的數(shù)據(jù)必須經(jīng)常重寫(xiě),否則,即使加密標(biāo)簽ID固定的輸出也將導(dǎo)致標(biāo)簽定位隱私泄露。與匿名ID方案相似,標(biāo)簽數(shù)據(jù)加密裝置與公鑰加密將導(dǎo)致系統(tǒng)成本的增加,使得大規(guī)模的應(yīng)用受到限制。并且經(jīng)常地重復(fù)加密操作也給實(shí)際操作帶來(lái)困難。
3.2法規(guī)、政策解決方案
除了技術(shù)解決方案以外,還應(yīng)充分利用和制訂完善的法規(guī)、政策,加強(qiáng)RFID安全和隱私的保護(hù)。2002年,Garfinkel先生提出了一個(gè)RFID權(quán)利法案[14],提出了RFID系統(tǒng)創(chuàng)建和部署的五大指導(dǎo)原則,即RFID標(biāo)簽產(chǎn)品的用戶(hù)具有如下權(quán)利:
有權(quán)知道產(chǎn)品是否包含RFID標(biāo)簽
有權(quán)在購(gòu)買(mǎi)產(chǎn)品時(shí)移除、失效或摧毀嵌入的RFID標(biāo)簽
有權(quán)對(duì)RFID做最好的選擇,如果消費(fèi)者決定不選擇RFID或啟用RFID的Kill功能,消費(fèi)者不應(yīng)喪失其他權(quán)利
有權(quán)知道他們的RFID標(biāo)簽內(nèi)存儲(chǔ)著什么信息,如果信息不正確,則有方法進(jìn)行糾正或修改
有權(quán)知道何時(shí)、何地、為什么RFID標(biāo)簽被閱讀
4 結(jié)束語(yǔ)
RFID標(biāo)簽已逐步進(jìn)入我們的日常生產(chǎn)和生活當(dāng)中,同時(shí),也給我們帶來(lái)了許多新的安全和隱私問(wèn)題。由于對(duì)低成RFID標(biāo)簽的追求,使得現(xiàn)有的密碼技術(shù)難以應(yīng)用。如何根據(jù)RFID標(biāo)簽有限的計(jì)算資源,設(shè)計(jì)出安全有效的安全技術(shù)解決方案,仍然是一個(gè)具有相當(dāng)挑戰(zhàn)性的課題。為了有效地保護(hù)數(shù)據(jù)安全和個(gè)人隱私,引導(dǎo)RFID的合理應(yīng)用和健康發(fā)展,還需要建立和制訂完善的RFID安全與隱私保護(hù)法規(guī)、政策。