翻译以.原文和在同一文件中前

RFID安全RSA2005928本文是RFID(无线射频识别)隐私和安全问题的技术研究。RFID来的几年里被大量的使用，数量达到数十亿，甚至达到万亿。RFID附在衣旨在科学家对于RFID系统的隐私保护和安全保障的建议方法和探讨(J-SAC)上。：认证技术，克隆，，EPC，隐私，安全引别挑选出一杯咖啡。尽管计算机没有视觉感知，但是RFID可以通过一些计算。他通常和一个天线包裹在一起，就像一张普通的粘附。这个微可以如一大小，有的仅有0.4毫米。在过去的几年里，RFID成为大众和学术界的关注焦点。其中一个最重要的原因就是一些大型组织，例如沃尔玛超市、保洁企业和国防部，利用RFID实现自动他们的产品生产过程取得了巨大效益。由于成本降低和RFID标准化提高，人们而正在大量的普及使用RFID技术。RFID提倡者认为将它作为贴在产品上的光学条形码的替代品具有两个明显克ABC牌的净含量百分之七十的巧克力棒。”RFID能够表示内容。 。”1该RFID的唯一标志项可以作为数地，RFID不需要视线接触、不要求提前定位物品。RFID阅读器可以以每秒几百次的速率扫描。例如，在今天，RFID阅读器安装在仓库可以扫终端将可以直接扫描所有通过的购物车[90]由于成本和后勤方面管理——比如无处不在的金属货架分类物品的物品中。尽管如此，零售商依然表达了对使用RFID标志单个物品的。例如，他们期望利用RFID能够实现方便记录零售货架上物品的今天，RFID技术在标识货箱中和托盘上的大量散装物品取得了瞩目的成果。RFID提高了对运转在商品供应链中物品的信息的准确度和及时EPC(产品电子代码)是RFID条码组成中主要一项。EPCglobalInc[25]是著名的标准化发展组织。，EPCglobal是由EAN和UCC目前，数量众多的EPC每个成本不到13美分[2]。制造商和使用者希望在未来的几年里每一个的成本能够降低到5美分[75]。每一个RFID阅读在追求低成本中，EPC坚持一个极简主义设计。他们在电路板器中装载少量数据。独特的EPC索引，称为EPC码，包含像那些在普通条所以和它相关的物品的历史记录可以变得相当富余。EPCglobal为EPC标签开发了一款ONS(物品名称服务)公共查询系统，类似DNS(服务器)的名称和操作方式。ONS的目的是路由一般查询到所有者和管理者的数据的频带。LF(低频)(124kHz~135kHz)名义上可以阅读范围达到半米。HF(高2在撰写时的期望是，EPC编码长度将很快扩大到至少128位～256位或频)(13.56MHz)范围1米或者(但是一般的只有几十厘米)。UHF(频)(860MHz～960MHz，有时是2.45GHz)最长范围可达数十米，然而，频比低频受到的环境干扰。随后的中，我们列举主要的标准被动式RFID设备。一些RFID包含电源。有两种类型：半式，它的电池会在被询问的时候提供电流；主动式，它可以主动开启通信和拥有超过100米的阅读范围。自然而然地，它们价格昂贵，成本约20或者。支付工具：比如，在SpeePassTM用RFID来作为支付工具；还有其他RFID使用方式，像运通的ExpressPayTM和万事达的PayPassTM公司使用非接触式。全世界五千万只家养宠物的身体被植入RFID，当他们丢失的时候主人方便的使用RFID来寻找它们。智能电器：通过利用在服装和食品包装上粘附RFID，家用电器可通过消费者的RFID支付设备进行并自动发送收据到他们的。消费者可以不使用收据进行退货，因为RFID可以作为存入数交互物品：消费者可以通过扫描含有RFID的物品来获取物品信息。(一些已经国有RFID阅读器。)消费者可以使用扫描一究者说明的那样，一个含有RFID的药柜可以帮助检查是否及时吃药。情况下，RFID可以给医院带来巨大利益[30]。我们已经讨论了RFID技术的基本知识以及陈列了一些令人令人回味的情的定义是很难的，并且这不仅仅是学究式问题：RFID的定义将会对技术和政治体和人。RFID定义将会包括它的基本功能，而不会像定义零售库存那样只“ISO14443”和“EPCClass-1Geen-2”这类既不朗朗上口也不令人印象深刻4例如，2005年3月，有线文章[16]安全部(DHS)提出突出的隐私问题计划RFID识别卡，称为DAC卡(“安全部门禁卡”)。虽然警惕隐私问题，安全部回应称这种担忧在很大隐私：RFID为用户提出了两个主要的隐私问题：追踪和信息RFID使用者并不知道RFID何时进行读写操作，因此只在范围内，RFID都可能在用户没有感知的情况下，被偷偷扫描而泄漏个人敏感信息。如前面所述，大多数RFID都有唯一标识符，所以当一列号被追踪。即使序列号是随机产生的并且不含可鉴别的信息，这种信息泄漏而被追踪的仍然存在。当的序列号和个人信息相关，隐私泄漏的就会更大。比如，当一个消费者使用进行购物的时候，商店就可以建立和序列号的联系。然后人员就可以通过RFID阅读器网络来识别消费者的和获得简要信息，不管该消费是是否在店里。当然，不仅仅RFID有被追踪的问题，其它无线设备，诸如蓝牙，也存在这些问题[51]。除了RFID的唯一标识符，一些，尤其是EPC，也携带了和它们所粘附的东西有关的信息。EPC包含“厂商识别代码”字段来物品制造敏感信息泄漏的。阅读器在用户没有察觉的情况下，可以轻易知道她身上携带了什么物品从而得到隐私信息，比如，根据知道她携带药物类型，判断她可能得了什么病；她携带了衣服商店会员卡，从中可以扫描出衣服尺码和穿着偏好，等等。这个信息泄漏方式大部分存在于RFID技术方面。漏问题并没有得到广泛关注。如上面所解释的，RFID用于零售业已经好几年了，RFID应用日渐普及，人们将不可避免的要的考虑隐私问题。认证：RFIDRFID喜欢反复提及的话题，从某种程度问题关注阅读器从正版上窃取信息；从另一方面讲，RFID认证问题关注正规阅读器从盗版获取信息。当被问及RFID有什么可预见的用处时，大部分普通消费者都会说到找回被窃的商品[72]。在大多数人的印象中，RFID对于它们所粘附的对象来说是安全的。许多RFID应用都是建立在这一信任安全的印象上。但是这种能骗过RFID阅读器。所以，EPC的真实性无法得到保证。模为了严格定义RFID的“安全”和”隐私”的概念，须首先了解与RFID的“安全”和“隐私”相对立的是什么？最好的答案是一个正式的描绘了潜在对手能力的特征模型。在学中，这样一个模型通常采用一个以概率特征算统组件模型之间通信的程序。例如，在RFID系统模型中，者将能系统组件内的代表和阅读器。在大多数加密模式，者被假定为拥有或多或少自由系统运行环境世界各地的查询请求。然而，对于RFID系统，者能够随时，这样的假设实在太过了。为了扫描一张，一个设施必须从物理上接近RFID不能执行标准的加密功能，不能提供强大的安全性保证。一个重大的研究是安全模型不够完善，导致了严重的威胁。例如，Juels提出了所谓“极简主义”的安全模型和低成本的协议。这个模型假设者仅仅能够对一张进行有限次数的扫描，更确切的说，这个简单模型设想者只能扫描或者尝试使用其他阅读器设备窃取信息在有限的次数里，一旦超过次数，变不能够继续进行信息扫描。例如，这个简单模型设想当者试图使用盗版或者设备进入一栋建筑物的时候，它只能够尝试10次。Juels和Weis设计一个真正的安全模型，称为“模型”。基本假设是攻击者的目的是克隆一张而不是尝试制作一张新。这比“预防模型”更加薄弱，“预防模型”假设一个者不能完全，不论是否进行多次检测尝试。Molnar,Soppera,Wagner加密标准模型组织提出了一种通过随机函数实现完全加密的正式模型，他们提出了一个方案包括拓展标识符和所有很多安全加密模型并不能真正保护RFID系统，比如一个简单的模型RFID系统多层通信协议间的重要的安全问题，他们了随机数生成RFID标签的不足之处。他们观察追踪多个相互竞争的RFID标准的，甚至关注潜在的RFID物理设备的。对于本次的主要内容，我们根据RFID的计算资源进行分类。在我们的分类方式是粗略的，因为它忽略了许多其他的功能和资源，如内方面。RFID用于集装箱的安全性问题利用高安全性的非接触式智能卡和RFID功能端口进行公钥加密操作。虽然我们本次的结论并不针对某一，并且大部分是基本RFID，尤其是式，没有公共密钥的功安全问题解决办法，而不仅仅是使用简单的RFID设备。基本的RFID基本的RFID，正如我们定义的，没有进行真正的操作。廉价，如EPC致力于基本操作，控制最多几千门禁系统[88]。在这几千门签，而期待依照摩尔定律出现更廉价且功能强大的。但是定价的压力是巨大的。RFID将会被大量使用；如果有一天他们取代条形码来标示个人物的和一个5美分不能加密的的选择，大多数零售商将会选择5美分标签，而采取其他措施来解决安全和隐私问题。(EPCClass-1Gen-2的标准的出现强化了这法。)学在基本RFID系统方面缺乏一个强大的安全设计，毕竟学主要关注数据的安全。从另一方面讲，学在基本安全方面缺乏有效措施使得研究变得更加有性。正如要了解的，研究人员已经发明了很多种隐私大部分基本的隐私保护模式都集中在保护消费者的隐私问题上(工业方销毁和睡眠 5对于有效销毁仍有一些技术，例如，在一些大型零售商店可能有相应的设备来实现这种销毁方式，但是那些没有任何RFID设备的便利小店呢？尽管这种利用“Kill”命令来销毁的方法在零售商店、服装店、药店等将用于价格方面的地方很有效，但是对于一些将用于智能家居、馆、出租店等地方，RFID在他们生存周期中是不能随意销毁的。因此，当务之急是寻找像“Kill”命令一样能够实现同样保护隐私功能的方法既然不能像销售点那样销毁，为什么不能采用“睡眠”的方式让短签那样的方式，当RFID阅读器设备要“唤醒”的时候，必须使用相应的。机或者消费者智能卡，甚至电脑上。然而，如今消费者在管理感觉很棘取信息，然而这种方法纯粹是对RFID的无线识别优势的否定，没有实用价重命名方式：即使RFID没有标识符，他仍可以被追踪，因此只被追踪。要真正防止RFID被追踪必须采用动态的随化的标识符。重新设置标识符：SWE提出在销售点结账时去除RFID的唯一标识符而仅仅保留产品类型来防止追踪。IY建议消费者重新定义新的标使用假名：高功率阅读器可以重设标识符来保护隐私，也可以自己重新标识自己。Juels提出一个简单方案，每一张RFID都包含阅读器可以事先所有假名集合，并以此判别RFID；同了防止未阅读器通过快速查询破译假名，Juels提出采用“节流”的数据排放方式，当查询过快的时候，减缓的反应。重新加密：Juels和帕普建议采用公钥和私钥对含有电子钱包的进Floerkemeier,Schneider,andLangheinrich34]提出并简要描述了一种一名一样，RFID的扫描环境，以及检查阅读器信息。Rieback、CrispoTanenbaum[73]和JuelsSyverson,和贝利[60]提出非常相似的设备,分别称为“RFID系统”和“RFID强力系统”。一个系统就像一道RFID，它接受阅读器查询请求，并且控制。认我们已经讨论了通过加强供应链的安全性来防止RFID被的方式。消费者品被的概率增加。基本RFID的有效地认证是非常的，Class-1Gen-2类型的EPC没有明确的防伪功能。原则上，者可以简单发出“Kill”码销毁，而这个“Kill”码可以反过来让验证该阅读器是 分配问1Gen-2标准EPC的Kill命令需要用到对应的，还有写也要用到相应控制字段。因此的分配将会是实现安全和逻辑功能的重要部分。一旦被普遍使用，为销售终端的阅读器设备RFID设置是非常重要的。Molnar、瓦格纳和Soppera提出了基于树形结构的分配方案，围绕着他们对于隐私权力的观点。Juels提出一种扩展的认证方案，阅读器必须通过与交互证明自己的。安全的分配方案更值得研对称密钥现在注意力转移到具有更丰富安全功能的RFID，这些能够计算对称密钥(单向加密)功能。为了简单起见，在本节中我们使用简单的符号，并假设使用基本熟悉的加密原语。回想一下，一个散列函数h具有足够长的随机比特串M的特殊属性，仅根据散列值h(M)来计算M值是不可行的。散列包含非私密密钥(因此，被简单称为对称密钥功能)。相反的，对称密者明文M可以被加密成密文C=ek[M]。只有知道k值，才能C得到M。克原则上，对称密钥加密技术可以再消除盗版上更进一步。像下面这个简单的响应协议，一张Ti可以通过ki密钥来认证阅读器：1）发送一个Ti值来表示自己 此外，可以返回一个和ki相关的[R]值。倘若哈希函数h(或者家密函数e)构建合理的话，者要防止Ti基本是不可能的，除非是的然而，事实上，商业用的RFID资源常常因为过于节约，导致加密元件过于薄弱，并因此认证这一环节容易受到，就像我们现在所说的物理问题导致的不安全。下面几例RFID数字信号转发(DT)德州仪器生产了一款低频的可以加密RFID的设备，叫做数据信号转发器。DST为数百万的汽车提供防盗服务，包括很多款的福特和丰田汽车。DST是一块隐藏在点火驱动装置的小，在汽车启动的时候会事先验证和阅读器的密钥是否正确，才能启动。DST设备也用于SpeedPass的无线设备支付，洲有数百万的消费者使用该设备进行加油支付。如前面所述，DST执行一个简单的响应协议，利用密钥ki，和阅读器发送的随机字符串R，执行加密函数e并输出结果C=[R]R4024位，按大多数学家的观点，这是相当短的，很容易通过。在2004年，约翰霍普金斯大学和RSA的一个研究团队成功利用了DST的利用设备，准确模拟了DST的输出，了密钥。逆向工程和侧通道：大多数RFID可能为了廉价成本以至于没包含防篡改机制。物理作为认证使用的RFID是值得担心的，但最值得担心的是完美的目标设备仿制品能够实现不着痕迹的篡改RFID，例如，一个信息交互可逆的基本RFID支付设备，可能被用于。智能最有趣的和RFID最严重的潜在情况是侧通道，这意味着信息资源不仅仅是协议规定的单纯的比特值，可能是其他类型。RFID设备可能通过其他诸如空气、开放的无线网络、非侵入性的侧信道等泄漏信息。侧信道的两种主要形式通过安全组织定时进行分析研究，从目标设备的计算中基于变化率提取信息，并且利用功耗变化量来分析的功率。电源中断和故障感应有联系，是一种更为活跃的方式。通过无线途径定时RFID标功率分析。Carluccio,Lemke,andPaar三位科学家很早就开始这方面的研究隐具有对称密钥功能的RFID的隐私问题的在于密钥管理。正如我们所看到的，一张加密安全认证RFIDTi依靠一个和阅读器共享的对称密钥ki来加密认证。事实上，这个特定的密钥产生的一个。假设，一个先发射含有标识自己的信息来验证一个查询阅读器或者没有验证一个查询阅读器，那么这个就或多或少的发射了一些相关信息Ti。然后，对称密钥就无法真正实现保护隐私，因为任何阅读器都可以从标识符得到一些信息。从另一方面说，在阅读器认证的时候，不能轻易发送能够标示自身的标识符信息。但是，如果阅读器不知道哪个正在被询问，就不能确定使用哪些协议的密钥ki。有一个简单但实用的解决办法可以解决这个隐私难题。一个阅读器可以通过查询密钥信息标识哪个正在被查询。在不那么严格的原理上，步骤f[M]表示一个单向密钥函数，就h（ki，M）或者[M]P值，一个随机数或静态比特串。(不同的方案采用不同的P值)。通常在一个更大的协议，阅读器识别包含以下两个步骤。1）Ti发射E=f[P]。(例如，Ti可能通过密钥加密一个随机P)2）从收到E，阅读器查询中的所有密钥K来找到如果这个模式参数正确，阅读器将能够找到唯一的密钥k来出E。这个密钥唯一标示Ti。为了确保保护隐私，每次会话发出的E值必须各不相同，否则E是静态标识符容易被并隐私。因此无论Ki或者P结令人的是像RFID这么简单的设备，本质上只是一个无线牌照，可以引起我们对安全和隐私的混合问题的探索。RFID隐私和安全的研究可以促进诸多学科之间的相互交流，像信号处理、硬件设计、物流供应链、隐私权和学。本工作和其他方面研究之间仍然有些联系值得探讨，本文我们只是讨本次的文章中的大部分探讨关于RFID和阅读器之间的联系的安全和隐私问题。当然，和阅读器只是完全成RFID系统的边缘部分，成熟系统的将会是一个巨大的服务器和软件基础设施。许多服务器数据安全问题，像服务器认证阅读器，都已经拥有成数据安全协议。但是庞大规模的RFID相关数据流和跨平台的信息共享将会产生新的数据安全问题。我们已经提到了的密钥管理和PIN分配这样的潜在问题。其他的将从变化的所中产生。例如，现在的不在改变的很频繁；该可以涉及物联网介质的控制。ONS将会需要适应很多很多频繁改变的对象。传感器是一个很小的硬件设备就像RFID一样，虽然RFID发射标识符，传传感器通常包含电池，因此会比式更大和更昂贵。然而，在主动和传感器之间，几乎没有任何差别除了命名。例如，有一些商购主动式RFID设备被设计来保护端口集装箱。他们发射标识符，并且检测集装箱是否被打开。鉴于这种例子，在传感器安全的文献和RFID安全之间几乎没有部NFC设备的阅读器RFID系统中关于用户方面的隐私和安全将是RFID的另一个重要内容。因为用户看不见射频辐射，他们基于物理线索和行业解释来形成印象。RFID将会便得更加安全即便物理和逻辑形式更加多样化。对于工程师是非常重要的。这几个文献中[66],[77],[23]可以看到一些初步的技术成果。致RFIDSecurityandAResearch RSA28September—ThisarticlesurveysrecenttechnicalresearchontheproblemsofprivacyandsecurityforRFID(RadioFrequencyIDentification).RFIDtagsaresmall,wirelessdevicesthathelpidentifyobjectsandpeople.Thankstodropcost,theyarelikelytoproliferateintothebillionsinthenextseveralyears–andeventuallyintothetrillions.RFIDtagstrackobjectsinsupplychains,andareworkingtheirwayintothepockets,belongingsandeventhebodiesofconsumers.ThissurveyexaminesapproachesproposedbyscientistsforprivacyprotectionandintegrityassuranceinRFIDsystems,andtreatsthesocialandtechnicalcontextoftheirwork.Whilegearedtowardthenon-specialist,thesurveymayalsoserveasareferenceforspecialistreaders.AcondensedversionofthissurveywillappearintheIEEEJournalonSelectedAreasinCommunication(J-SAC)in2006.:authentication,cloning,counterfeiting,EPC,privacy,security,RFID(Radio-FrequencyIDentification)isatechnologyforautomatedidentificationofobjectsandpeople.Humanbeingsareskillfulatidentifyingobjectsunderavarietyofchallengecircumstances.Ableary-eyed caneasilypickoutacupofcoffeeonaclutteredbreakfasttableinthemorning,forexample.Computervision,though,performssuchtaskspoorly.RFIDmaybeviewedasameansofexplicitlylabelingobjectstofacilitatetheir“perception”bycomputingdevices.AnRFIDdevice–frequentlyjustcalledanRFIDtag–isasmallmicrochipdesignedforwirelessdatatransmission.Itisgenerallyattachedtoanantennainapackagethatresemblesanordinaryadhesivesticker.Themicrochipitselfcanbeassmallasagrainofsand,some0.4[82].AnRFIDtagtransmitsdataovertheairinresponseinterrogationbyanRFIDreader.Inboththepopularpressandacademiccircles,RFIDhasseenaswirlofattentioninthepastfewyears.Oneimportantreasonforthisistheeffortoflargeorganizations,suchasWalMart,ProcterandGamble,andtheUnitedStatesDepartmentofDefense,todeployRFIDasatoolforautomatedoversightoftheirsupplychains.ThankstoacombinationofdroptagcostsandvigorousRFIDstandardization,weareonthebrinkofanexplosioninRFIDuse.AdvocatesofRFIDseeitasasuccessortotheopticalbarcodefamiliarlyprintedconsumerproducts,withtwodistinctUniqueidentification:Abarcodeindicatesthetypeofobjectonwhichitisprinted,e.g.,“Thisisa100gbarofABCbrand70%chocolate.”AnRFIDtaggoesastepfurther.Itemitsauniqueserialnumberthatdistinguishesamongmanymillionsofidenticallymanufacturedobjects;itmightindicate,e.g.,that“Thisis100gbarofABCbrand70%chocolate,serialno. .”6TheuniqueidentifiersinRFIDtagscanactaspointerstoadatabaseentriescontainingrichtransactionhistoriesforindividualAutomation:Barcodes,beingopticallyscanned,requireline-of-sightcontactwithreaders,andthuscarefulphysicalpositioningofscannedobjects.Exceptinthemostrigorouslycontrolledenvironments,barcodescanningrequireshumanintervention.Incontrast,RFIDtagsarereadablewithoutline-of-sightcontactandwithoutprecisepositioning.RFIDreaderscanscantagsatratesofhundredspersecond.crateswithhighaccuracy.Inthefuture,point-of-saleterminalsmaybeabletoscanalloftheitemsinpassingshopcarts[90].Duetotagcostandahodgepodgeoflogisticalcomplications–liketheubiquityofmetalshelving,whichinterfereswithRFIDscanning–RFIDtagsareunlikelytoappearregularlyonconsumeritemsforsomeyears.Retailershaveexpressedinterest,though,inultimaytaggingindividualitems.Suchtaggingwould,forinstance,addresstheperennialproblemofitemdepletiononretailshelves,whichiscostlyintermsoflostToday,RFIDisseeingfruitioninthetaggingofcratesandpallets,thatis,discretebulktiesofitems.RFIDtaggingimprovestheaccuracyandtimelinessofinformationaboutthemovementofgoodsinsupplychains.Themainformofbarcode-typeRFIDdeviceisknownasanEPC(ElectronicProductCode)tag.AnorganizationknownasEPCglobalInc.[25]overseesthedevelopmentofthestandardsforthesetags.Notsurprisingly,EPCglobalisajointventureoftheUCCandEAN,thebodiesthatregulatebarcodeuseintheUnitedStatesandtherestoftheworldrespectively.EPCtagscostlessthanthirteenU.S.centsapieceinlargetiesatpresent[2].Manufacturersandusershopetoseeper-tagcostsdroptofivecentsinthenextfewyears[75].RFIDreaderscostseveralthousanddollarseach,butitislikelythattheircostwillsoondropdramatically.Inthequestforlowcost,EPCtagsadheretoaminimalistdesign.Theycarrylittledatainon-boardmemory.TheuniqueindexofanEPCtag,knownasanEPCcode,includesinformationlikethatinanordinarybarcode,butservesalsoasapointertodatabaserecordsforthetag.AnEPCcodetodaycanbeupto96bitsinlength[47]7.Databaseentriesfortags,ofcourse,canhaveeffectivelyunlimitedsize,sothat6Inprinciple,barcodescanuniquelyidentifyobjects,ofcourse;twodimensionalbarcodesonshippedpackagesdoso,forinstance.Inpractice–particularlyinretailenvironments–uniquebarcodinghasprovenimpractical.7TheexpectationatthetimeofwritingisthattheEPCcodeswillsoonexpandtoaminimumof128bitsinlength–withextensionsfor256bitsormore.therecordedhistoryofataganditsassociatedobjectcanbequiterich.EPCglobalhasdevelopedapubliclookupsystemforEPCtagscalledtheONS(ObjectNameService),ogousinnameandoperationwiththeDNS(NameSystem).ThepurposeoftheONSistoroutegeneraltagqueriestothedatabasesoftagownersandmanagers.Ingeneral,smallandinexpensiveRFIDtagsarepassive.Theyhavenoon-boardpowersource;theyderivetheirtransmissionpowerfromthesignalofaninterrogatingreader.Passivetagscanoperateinanyofanumberofdifferentfrequencybands.LF(Low-Frequency)tags,whichoperateinthe124kHz–135kHzrange,havenominalreadrangesofuptohalfameter.HF(High-Frequency)tags,operatingat13.56Mhz,haverangesuptoameterormore(buttypicallyontheorderoftensofcentimeters).UHFtags(UltraHighFrequency),whichoperateatfrequenciesof860MHz–960MHz(andsometimes2.45GHz),havethelongestrange–uptotensofmeters.UHFtags,though,aresubjecttomoreambientinterferencethanlower-frequencytypes.Laterthissurvey,weenumeratethemajorstandardsforpassiveRFIDSomeRFIDtagscontainbatteries.Therearetwosuchtypes:semi-passivetags,whosebatteriespowertheircircuitrywhentheyareinterrogated,andactivetags,whosebatteriespowertheirtransmissions.Activetagscaninitiatecommunication,andhavereadrangesof100mormore.Naturally,theyareexpensive,costingsome$20orRFIDtodayandManyofusalreadyuseRFIDtagsroutinely.ExamplesProximitycards,thatis,thecontactlesscardsusedforbuildingAutomatedtoll-paymenttransponders–thesmallplaquesmountedinautomobilewindshields.(Theseareusuallysemi-passive.)Theignitionkeysofmanymillionsofautomobiles,whichincludeRFIDtagsasatheft-deterrent.Paymenttokens:IntheUnitedStates,theSpeedPassTMtokenforpetrolstationpaymentsisanexample.Contact-lesscredit-cards,likeAmericanExpressExpressPayTMandtheMastercardPayPassTMuseRFID.SomefiftymillionhousepetsaroundtheworldhaveRFIDtagsimplantedintheirbodies,tofacilitatereturntotheirownersshouldthey elost.InaworldwhereeverydayobjectscarriedRFIDtags–perhapstheworldofthefuture–remarkablethingswouldbepossible.Hereareafewpossibilities(amongthemyriadthatthereadermightdreamup):Smartappliances:ByexploitingRFIDtagsingarmentsandpackagesoffood,homeappliancescouldoperatemorecleverly.Washingmachinesmightselectwashcyclesautomatically,forinstance,toavoiddamagetodelicatefabrics.Yourrefrigeratormightwarnyouwhenthemilkhasexpiredoryouhaveonlyoneremainingcartonofyogurt–andcouldeventransmitashoplistautomaticallytoahomedeliveryservice.88ThecompanyMerlonihasbuiltprototypeRFID-enabledappliancesShop:Inretailshops,consumerscouldcheckoutbyrollingshopcartspastpoint-of-saleterminals.Theseterminalswouldautomaticallytallytheitems,computethetotalcost,andperhapsevenchargetheconsumers’RFID-enabledpaymentdevicesandtransmitreceiptstotheirmobilephones.Consumerscouldreturnitemswithoutreceipts.RFIDtagswouldactasindicesintodatabasepaymentrecords,andhelpretailerstrackthepedigreesofdefectiveorcontaminateditems.Interactiveobjects:ConsumerscouldinteractwithRFID-taggedobjectsthroughtheirmobilephones.(SomemobilephonesalreadyhaveRFIDreaders.)Aconsumercouldscanamoviepostertodisplayshowtimesonherphone.Shecouldobtainmanufacturerinformationonapieceoffurnitureshelikesbywavingherphoneoverit.Medicationcompliance:ResearchatInandtheUniversityof[32]exploitsRFIDtofacilitatemedicationcomplianceandhomenavigationfortheelderlyandcognitivelyimpaired.Asresearchershavedemonstrated,forexample,anRFID-enabledmedicinecabinetcouldhelpverifythatmedicationsaretakeninatimelyfashion.Moregenerally,RFIDpromisestobringtremendousbenefitstohospitals[30].Butwhat,really,isWehavediscussedthebasicsofRFIDandlaidoutsomeevocativescenarios.Yetwehavenotformallydefinedtheterm“RFID.”Awhollysatisfyingdefinitioniselusive.Butitisnotamerepedanticexercise:ThedefinitionofRFIDcanhaveanimportantimpactontechnicalandpolicydiscussions.9Inthisarticle,weuse“RFID”todenoteanyRFdevicewhosemainfunctionisidentificationofanobjector .Attherudimentaryendofthefunctionalspectrum,thisdefinitionexcludessimpledeviceslikeretailinventorytags,whichmerelyindicatetheirpresenceandon/offstatus.Italsoexcludesportabledeviceslikemobilephones,whichdomorethanmerelyidentifythemselvesortheirbearers.Abroaddefinitionfor“RFID”isappropriatebecausethetechnicalcapabilitiesanddistinctionsamongRFdeviceswilldriftovertime,andtheprivacyandauthenticationconcernsthatwehighlightinthispaperapplybroadlytoRFidentificationdevicesgreatandsmall.Mostimportantly,though,thenamesofstandardslike‘ISO14443”or”EPCClass-1Gen-2”donottripoffthetongueorinherewellinthemind.Theterm“RFID”willunquestionablyremainthepopularone,andthetermaccordingtowhichmostpeopleframedebateandpolicies-afactitbehoovestechnologiststoremember.SecurityandPrivacy9Forexample,inMarch2005,WiredNewspublishedanarticle[16]highlightingprivacyconcernsraisedbyaDepartmentofHomelandSecurity(DHS)projecttoissueRFIDidentificationcardsknownasDACcards(“DHSaccesscards”).Whilevigilantaboutprivacyconcerns,DHSrespondedthatsuchconcernswerelargelymisplaced,andresultedfromamisunderstanding:DACcards,theagencysaid,wouldnotbeRFIDdevices,butISO14443devices.(ISO14443isaninternationalstandardforproximitycards.)Privacy:RFIDraisestwomainprivacyconcernsforusers:clandestinetrackingRFIDtagsrespondtoreaderinterrogationwithoutalertingtheirownersorbearers.Thus,wherereadrangepermits,clandestinescanningoftagsisaplausiblethreat.Asdiscussedabove,mostRFIDtagsemituniqueidentifiers,eventagsthatprotectdatawithcryptographicalgorithms(aswediscussbelow).Inconsequence,a anRFIDtageffectivelybroadcastsafixedserialnumbertonearbyreaders,providingareadyvehicleforclandestinephysicaltracking.Suchtrackingispossibleevenifafixedtagserialnumberisrandomandcarriesnointrinsicdata.Thethreattoprivacygrowswhenatagserialnumberiscombinedwith information.Forexample,whenaconsumermakesapurchasewithacreditcard,ashopcanestablishalinkbetweenheridentityandtheserialnumbersofthetagsonher MarketerscanthenidentifyandprofiletheconsumerusingnetworksofRFIDreaders–bothinsideshopsandwithout.TheproblemofclandestinetrackingisnotuniquetoRFID,ofcourse.Itaffectsmanyotherwirelessdevices,suchasBluetooth-enabledonesInadditiontotheiruniqueserialnumbers,certaintags–EPCtagsinparticular–carryinformationabouttheitemstowhichtheyareattached.EPCtagsincludeafieldforthe“GeneralManager,”typicallythemanufactureroftheobject,andan“ObjectClass,”typicallyaproductcode,knownformallyasaStockKeeUnit(SKU).(See[47]fordetails.)Thusa carryingEPCtagsissubjecttoclandestineinventorying.Areadercansilentlydeterminewhatobjectsshehasonher ,andharvestimportantalinformation:Whattypesofmedicationssheiscarrying,andthereforewhatillnessesshemaysufferfrom;theRFID-enabledloyaltycardsshecarries,andthereforewheresheshops;herclothingsizesandaccessorypreferences,blemofinventoryingislargelyparticulartoTodaytheproblemsofclandestineRFIDtrackingandinventoryingareoflimitedconcern,sinceRFIDinfrastructureisscarceandfragmentary.Asexplainedabove,thetaggingofindividualretailitemsisprobablysomeyearsaway.OnceRFID pervasive,however,asisalmostinevitable,theprivacyproblemwillassumemoreformidabledimensions.OneharbingeroftheemergingRFIDinfrastructureisVerisign’sEPCDiscoveryService[48].ItcreatesaunifiedviewofsightingsofindividualEPCtagsacrossorganizations.Figure1illustratesthethreatofclandestineRFIDinventoryingasitmightinprincipleemergeinthefuture.Fig1AnillustrationofpotentialconsumerprivacyproblemsofAuthentication:Privacyisahobby-horseinmediacoverageofRFID.Tosomeextent,ithasovershadowedtheequallysignificantproblemofauthentication.10LooselyspeakingRFIDprivacyconcernstheproblemofmisbehavingreadersharvestinginformationfromwell-behavingtags.RFIDauthentication,ontheotherhand,concernstheproblemofwellbehavingreadersharvestinginformationfrommisbehavingtags,particularlycounterfeitones.AskedwhatusestheyforeseeforRFID,ordinaryU.S.consumersmostfrequentlymentionrecoveryofstolengoods[72].Inthepopularimagination,RFIDtagsserveasatrustworthylabelfortheobjectstowhichtheyareattached.BeliefintagauthenticitywillinevitablycometounderpinmanyRFIDapplications.Butitisinsomemeasureanillusion.BasicRFIDtagsarevulnerabletosimplecounterfeitingattacks.Scanningandreplicatingsuchtagsrequireslittlemoneyorexpertise.In[89],JonathanWesthues,anundergraduatestudent,describeshowheconstructedwhatiseffectivelyanRFtape-recorder.Thisdevicecanreadcommercialproximitycards–eventhroughwalls–andsimulatetheirsignalstocompromisebuildingentrysystems.EPCtagswillbevulnerabletosimilarattacks.AnEPC,afterall,isjustabitstring,copyablelikeanyother.EPCtagsoffernorealaccess-controlmechanisms.Itispossiblethat“blank,”i.e.,fullyfield-programmableEPCtags,willbereadilyavailableonthemarket.Moreimportantly,elementaryRFIDsimulationdeviceswillbeeasytocomebyorcreate.10Infact,RFIDwasfirstinventedasa“friend-or-foe”authenticatorforfighterplanesduringWWII.SuchdevicesneednotevenresembleRFIDtagsinordertodeceiveRFIDreaders.Asaresult,EPCtagsmaycarrynorealguaranteeofauthenticity.AttackInordertodefinethenotionsof“secure”and“private”forRFIDtagsinarigorousway,wemustfirstask:“Secure”and“private”againstwhat?Thebestanswerisaformalmodelthatcharacterizesthecapabilitiesofpotentialadversaries.Incryptography,suchamodelusuallytakestheformofan“experiment,”aprogramthatintermediatescommunicationsbetweenamodeladversary,characterizedasaprobabilisticalgorithm(orTuringmachine),andamodelruntimeenvironmentcontainingsystemcomponents(oftencalledoracles).InthemodelforanRFIDsystem,forexample,theadversarywouldhaveaccesstosystemcomponentsrepresentingtagsandreaders.Inmostcryptographicmodels,theadversaryisassumedtohavemore-or-lessunfetteredaccesstosystemcomponentsintheruntimeenvironment.InsecuritymodelsfortheInternet,thismakessense:Anadversarycanmoreorlessaccessanynetworkedcomputingdeviceatanytime.Aserver,forinstance,isalwayson-line,andrespondsfreelytoqueriesfromaroundtheworld.ForRFIDsystems,however,aroundthe-clockaccessbyadversariestotagsisusallytoostronganassumption.Inordertoscanatag,anadversarymusthavephysicalproximitytoit–asporadiceventinmostenvironments.ItisimportanttoadaptRFIDsecuritymodelstosuchrealities.Becauselow-costRFIDtagscannotexecutestandardcryptographicfunctions,theycannotprovidemeaningfulsecurityinmodelsthataretoostrong.Animportantresearchchallenge,therefore,istheformulationofweakenedsecuritymodelsthataccurayreflectrealworldthreatsandreal-worldtagcapabilities.Juels[52],forexample,proposesaso-called“minimalist”securitymodeland protocolsforlow-costtags.Thismodelsupposesthatanadversaryonlycomesintoscanningrangeofatagonaperiodicbasis(andalsothattagsreleasetheirdataatalimitedrate).Moreprecisely,theminimalistmodelassumesacaponthenumberoftimesthatanadversarycanscanagiventagortrytospoofavalidreader;oncethiscapisreached,itisassumedthatthetaginteractsinprivatewithavalidreader.Theminimalistmodelmightassume,forexample,thatanadversarycanscanatargetproximitycardortrytogainunauthorizedentrancetoabuildingonlytentimesbeforethelegitimateownerofthecardachievesvalidbuildingentryoutsidetheeavesdroprangeoftheadversary.JuelsandWeis[61]consideraformalsecuritymodelthattheycalla“detection”model.Theunderlyingassumptionisthattheadversary’sgoalistocloneatagwithoutbeingdetectedintheattempt.Thisisweakerthana“prevention”model,whichassumesthatanadversarycannotcloneatagatall,irrespectiveofwhetheritsattemptsareIntheveinofmorestandardcryptographicmodeling,Molnar,Soppera,and[68]proposeaformalmodelforprivacyintagswithfullcryptographiccapabilities–pseudorandomfunctions,inparticular.Ofspecialinterestisthefactthattheirdefinitionsincludeextensionsfordelegationoftagsecrets.Theyproposeaschemeinwhichatagownercandisclosejustaselectedportionofthetag’sidentifiers.Avoinelikewiseproposessomestrongcryptographicmodelsfortagprivacy.Heyzesseveralschemeswithrespecttothesemodels[11],andidentifiesanumberofformalManycryptographicmodelsofsecurityfailtoexpressimportantfeaturesofRFIDsystems.Asimplecryptographicmodel,forexample,capturesthetop-layercommunicationprotocolbetweenatagandreader.AtthelowerlayersareanticollisionprotocolsandotherbasicRFprotocols.AvoineandOechslin(AO)[13]importantlyenumeratethesecurityissuespresentatmultiplecommunicationlayersinRFIDsystems.Amongotherissues,theyhighlighttherisksofinadequaterandom-numbergenerationinRFIDtags.TheyobservethetrackingthreatsthatcanarisefrommanycompetingRFIDstandards:Atag’sunderlyingstandardcouldserveasashort,identifyingpieceofinformation.AOalsonotepotentialrisksatthephysicallevelinRFIDsystems.NomenclatureandFortheremainderofthissurvey,weclassifyRFIDtagsaccordingtotheircomputationalresources.InsectionII,weconsiderbasictags,meaningthosethatcannotexecutestandardcryptographicoperationslikeencryption,strongpseudorandomnumbergeneration,andhashing.WeturnourattentioninsectionIIItowhatwecallsymmetric-keytags.Thiscategoryincludestagst