RFID系统中的安全和隐私管理

《RFID系统中的安全和隐私管理》

RFID的安全议题RFID的安全议题

虽然RFID将为人类生活带来极大的便利性，但目前RFID尚未有一套标准的安全技术，若资料未经加密或是未有完善的存取控制，有心人士便可运用相关技术，任意读取标签上的资料，甚至修改、写入资料，造成标签上的资料外泄，成为RFID应用时的安全议题。RFID便利性安全性RFID的安全议题（续）商业机密外泄——破坏机密性(Confidentiality)伪造虚假资讯——破坏真确性(Integrity)基础建设遭受破坏——破坏可用性(Availability)商业机密外泄破坏机密性商业机密外泄未经授权读取(UnauthorizedRead)攻击者只要有相同规格的读取器，并且在标签的可读取范围内，就能够任意地读取标签内的资料，造成资讯泄漏的安全问题，甚至会危及使用者的隐私窃听(Eavesdropping)攻击者利用特殊设备，来监听标签与读取器通讯时在空气中传输的无线电讯号，藉由监听得到的讯息来分析其中所包含的资讯商业机密外泄（续）公司刺探威胁

(CorporateEspionageThreat)攻击者可以利用Reader在远端读取竞争对手仓库的标签，以收集竞争对手仓库的存货数量或商品资讯，甚至取得机密资料行销竞争威胁

(CompetitiveMarketingThreat)竞争对手可以透过对RFID标签的读取，在未经授权的情况下取得消费者购物偏好资讯，利用这些资讯进行行销竞争。伪造虚假资讯未经授权写入

(UnauthorizedWrite)若是标签没有存取控制机制，攻击者只要有相同规格的写入器，并且在标签的可写入范围内，就能够任意地修改并写入标签内的资料，造成标签资料遭窜改或伪造的安全问题。假冒(Spoofing)攻击者可能透过物理分析，来取得某个标签内所储存的资料，然后复制(Clone)一个具有相同资料的标签，因此可以假冒成合法的身分，通过读取器的验证，以达成攻击者之目的伪造虚假资讯（续）重送攻击

(ReplayAttack)攻击者可能藉由监听所收集之讯息，当读取器查询标签时，将这些讯息重新送回给读取器，因而通过读取器的验证。信赖边界威胁

(TrustPerimeterThreat)由于RFID系统的使用，标签的相关资讯会在上下游厂商之间透过网路的方式共享，而此共享的管道即有可能受到攻击者的入侵，因此将使公司对于资讯系统可信赖的边界重新界定。基础建设遭受破坏基础建设威胁

(InfrastructureThreat)攻击者可以使用特殊设备，持续发送无线射频讯号，来干扰标签或读取器，导致标签跟读取器无法正常进行通讯，藉此瘫痪RFID系统，属于阻断服务(DenialofService,DoS)攻击基础建设遭受破坏（续）恶意编码传播

(HostileCodePropagation)标签上有记忆体可用来储存额外资讯，若恶意的使用者用来存放与传播恶意的编码，将可能影响读取器的正常存取功能国外已有研究指出，攻击者可在标签植入恶意SQL语法进行SQLInjection攻击，造成后端系统中毒，并可感染其他正常标签，再透过受感染之标签感染其他后端系统RFID的隐私议题隐私权

隐私权包括个人资讯、身体、财产或是自我决定等部分。

简单的说，就是个人资讯的自我决定权。RFID侵害隐私权？商品上的

RFID标签暴露消费者购买的物品资讯，甚至侵犯消费者其他私领域行为，诸如行程、地点等。

未妥善处理物品上的RFID，衣服、食品、汽车甚至垃圾等，都会不经意透露出个人相关资讯。RFID侵害隐私权？使用在证件等方面，资料曝光的危险性相形更高。随之而来如骇客或是政府的监视，也都影响到每一个人民的权益。RFIDvs.隐私权RFID记载之资料是否使特定人的个人资料有揭露的危险？根据RFID采集而得之资讯是否需当事人同意？第三人有无利用或拦截RFID下载资料之权利？是否需取得当事人同意？RFID记载之资料属于何人所有？当事人有无自行删除RFID记载资料之权利？消费者的购物隐私偏好威胁(PreferenceThreat)

由于标签上可能记载着商品的相关资讯，如商品种类、品牌和尺寸等，可以藉由标签上的资讯来推测消费者的购物偏好消费者的行踪隐私位置威胁(LocationThreat)

由于标签具有一个唯一识别的资讯，且标签的读取具有一定的范围，因此可以透过标签来追踪商品或消费者的位置RFID人员定位姓名电话地址身分证号出生年月日下列资讯是否属于个人资料下列资讯是否属于个人资料就诊纪录、病史及使用药物资讯地点追踪——产品离开消费场所或进入私人场域时，RFID是否可以持续追踪并定位，应持否定见解。使用纪录——关于消费者购买产品时之购物品牌、种类、金额、购买地点及日期是否属于特定人之个人资料?——该资讯通常无法识别该个人资料，但经采集整理分析后，可能归纳出个人购物特性及习惯，此类尚有争议RFID记载之资料属于何人所有？RFID记载资料之所有权在RFID使用人使用区域——应属于RFID使用人所有产品移转所有权时——RFID记载资料应属于消费者所有，并有自行删除RFID记载资料之权利如Wal-Mart就准备广发手册告诉消费者，只要结完帐，就可以撕下标签。科技面解决方案RFID的硬体限制

RFID系统中，标签的运算能力是有限的，尤其是低成本的被动式标签；比起智慧卡或者是感测器(Sensor)来说，RFID标签少了中央处理器及较大的记忆体空间，因此无法执行复杂的密码学运算，是RFID在安全性上的一大缺点.针对RFID安全问题，解决方案可分为四种方式：、——使用物理方法限制或破坏标签——读取接入控制——标签认证——标签加密四、RFID的安全解决方案一、使用物理方法限制或破坏标签1、标签特殊设计之保护方式

标签销毁指令(KillCommand)

标签休眠指令(SleepingCommand)2、使用额外设备之保护方法

法拉第笼(Faraday’sCage)

主动干扰(Jamming)

阻挡标签(BlockerTag)当标签接收到读写器发出的Kill指令时，便会将自己销毁，使得这个标签之后对于读写器的任何指令都不会有反应，因此可保护标签资料不被读取；但由于这个动作是不可逆的，一旦销毁就等于是浪费了这个标签标签销毁指令标签休眠指令

与销毁标签概念相同，当支援休眠指令的标签接收读取器传来的休眠(Sleep)指令，标签即进入休眠状态，不会回应任何读取器的查询；当标签接收到读取器的唤醒(WakeUp)指令，才会恢复正常。四、RFID的安全解决方案法拉第笼将标签放置在由金属网罩或金属箔片组成的容器中，称作法拉第笼，因为金属可阻隔无线电讯号之特性，即可避免标签被读取器所读取四、RFID的安全解决方案主动干扰使用能够主动发出广播讯号的设备，来干扰读取器查询受保护之标签，成本较法拉第笼低；但此方式可能干扰其他合法无线电设备的使用；阻挡标签使用一种特殊设计的标签，称为阻挡标签(BlockerTag)，此种标签会持续对读取器传送混淆的讯息，藉此阻止读取器读取受保护之标签；但当受保护之标签离开阻挡标签的保护范围，则安全与隐私的问题仍然存在。四、RFID的安全解决方案二、读取接入控制1、哈希锁2、随机哈希锁3、哈希链……四、RFID的安全解决方案哈希(Hash)锁方案（Hashlock）

哈希(Hash)锁方案（Hashlock）Hash锁是一种抵制标签未授权访问的安全与隐私技术。整个方案只需要采用Hash函数，因此成本很低。锁定标签：对于唯一标志号为ID的标签，首先阅读器随机产生该标签的Key，计算metaID=Hash(Key)，将metaID发送给标签；标签将metaID存储下来，进入锁定状态。阅读器将(metaID，Key，ID)存储到后台数据库中，并以metaID

为索引。哈希(Hash)锁方案（Hashlock）

解锁标签：阅读器询问标签时，标签回答metaID；阅读器查询后台数据库，找到对应的(metaID，Key，ID)记录，然后将该Key值发送给标签；标签收到Key值后，计算Hash(Key)值，并与自身存储的metaID值比较，若Hash(Key)=metaID，标签将其ID发送给阅读器，这时标签进入已解锁状态，并为附近的阅读器开放所有的功能。哈希(Hash)锁方案（Hashlock）

方法的优点：解密单向Hash函数是较困难的，因此该方法可以阻止未授权的阅读器读取标签信息数据，在一定程度上为标签提供隐私保护；该方法只需在标签上实现一个Hash函数的计算，以及增加存储metaID值，因此在低成本的标签上容易实现。方法的缺陷：由于每次询问时标签回答的数据是特定的，因此其不能防止位置跟踪攻击；阅读器和标签问传输的数据未经加密，窃听者可以轻易地获得标签Key和ID值。哈希(Hash)锁方案（Hashlock）

三、标签认证三次认证四、标签加密规范面解决方案可规范RFID使用的现行法律电脑处理个人资料保护法个人资料保护法草案商品标示法消费者保护法四、RFID的安全解决方案其他RFID相关的规范与草案EPIC的RFID使用指导纲领电子权利法草案(ElectronicBillofRights)RFID权利法草案(RFIDBillofRights)标签资料拥有权之探讨五、RFID信息安全和风险评估

这样一个案例：某工厂一名受人信赖、有11年工龄的雇员负责公司内部的网络构建和维护，当他不再受到公司的重视并意识到将因表现和行为问题被解雇时，就在系统中设置了摧毁系统的软件定时炸弹。由于被解雇的网络管理员是唯一负责文件服务器的维护、保护和备份的雇员，信息系统崩溃后，公司只能雇用程序员重建系统，而原来保存在系统中的珍贵的设计方案也全部丢失，该公司立即丧失了它原来的工业地位，损失超过1000万美元。从上面的例子可以看出，除了技术保障之外，如果没有合适的组织管理，企业信息系统（包括RFID系统）的安全会受到相当大的威胁。五、RFID信息安全和风险评估

安全风险评估是一种信息安全的管理方法，是通过实施综合的风险评估和标识组织的风险并进而确定解决方案。安全风险评估在信息安全风险管理中起着核心的作用，它有助于组织对其使用的信息技术进行评估，并帮助组织的决策者作出相关的信息保护决策。五、RFID信息安全和风险评估

RFID信息安全与风险评估的阶段

信息安全与风险评估的具体步骤与过