RFID的安全與隱私（上）

無線射頻識(shí)別(RFID)是一種遠(yuǎn)程存儲(chǔ)和獲取數(shù)據(jù)的方法，其中使用了一個(gè)稱為標(biāo)簽(Tag)的小設(shè)備。在典型的RFID系統(tǒng)中，每個(gè)物體裝配著這樣一個(gè)小的、低成本的標(biāo)簽。系統(tǒng)的目的就是使標(biāo)簽發(fā)射的數(shù)據(jù)能夠被閱讀器讀取，并根據(jù)特殊的應(yīng)用需求由后臺(tái)服務(wù)器進(jìn)行處理。標(biāo)簽發(fā)射的數(shù)據(jù)可能是身份、位置信息，或攜帶物體的價(jià)格、顏色、購買數(shù)據(jù)等。

RFID標(biāo)簽被認(rèn)為是條碼的替代，具有體積小、易于嵌入物體當(dāng)中、無需接觸就能大量地進(jìn)行讀取等優(yōu)點(diǎn)。另外，RFID標(biāo)識(shí)符較長(zhǎng)，可使每一個(gè)物體具有一個(gè)唯一的編碼，唯一性使得物體的跟蹤成為可能。該特征可幫助企業(yè)防止偷盜、改進(jìn)庫存管理、方便商店和倉庫的清點(diǎn)。此外，使用RFID技術(shù)，可極大地減少消費(fèi)者在付款柜臺(tái)前的等待時(shí)間。

但是，隨著RFID能力的提高和標(biāo)簽應(yīng)用的日益普及，安全問題，特別是用戶隱私問題變得日益嚴(yán)重。用戶如果帶有不安全的標(biāo)簽的產(chǎn)品，則在用戶沒有感知的情況下，被附近的閱讀器讀取，從而泄露個(gè)人的敏感信息，例如金錢、藥物(與特殊的疾病相關(guān)聯(lián))、書(可能包含個(gè)人的特殊喜好)等，特別是可能暴露用戶的位置隱私，使得用戶被跟蹤。

因此，在RFID應(yīng)用時(shí)，必須仔細(xì)分析所存在的安全威脅，研究和采取適當(dāng)?shù)陌踩�措施，既需要技術(shù)方面的措施，也需要政策、法規(guī)方面的制約。

1  RFID技術(shù)及其系統(tǒng)組成

1.1系統(tǒng)組成

基本的RFID系統(tǒng)主要由3部分組成，如圖1所示，包括：

(1)標(biāo)簽

標(biāo)簽放置在要識(shí)別的物體上，攜帶目標(biāo)識(shí)別數(shù)據(jù)，是RFID系統(tǒng)真正的數(shù)據(jù)載體，由耦合元件以及微電子芯片(包含調(diào)制器、編碼發(fā)生器、時(shí)鐘及存儲(chǔ)器)組成。

(2)閱讀器

閱讀器用于讀或讀/寫標(biāo)簽數(shù)據(jù)的裝置，由射頻模塊(發(fā)送器和接收器)、控制單元、與標(biāo)簽連接的藕合單元組成。

(3)后臺(tái)服務(wù)器

后臺(tái)服務(wù)器包含數(shù)據(jù)庫處理系統(tǒng)，存儲(chǔ)和管理標(biāo)簽相關(guān)信息，如標(biāo)簽標(biāo)識(shí)、閱讀器定位、讀取時(shí)間等。后臺(tái)服務(wù)器接收來自可信的閱讀器獲得的標(biāo)簽數(shù)據(jù)，將數(shù)據(jù)輸入到它自身的數(shù)據(jù)庫里，且提供對(duì)訪問標(biāo)簽相關(guān)數(shù)據(jù)的編號(hào)。

1.2工作原理

RFID系統(tǒng)的基本工作原理是：閱讀器與標(biāo)簽之間通過無線信號(hào)建立雙方通信的通道，閱讀器通過天線發(fā)出電磁信號(hào)，電磁信號(hào)攜帶了閱讀器向標(biāo)簽的查詢指令。當(dāng)標(biāo)簽處于閱讀器工作范圍時(shí)，標(biāo)簽將從電磁信號(hào)中獲得指令數(shù)據(jù)和能量，并根據(jù)指令將標(biāo)簽標(biāo)識(shí)和數(shù)據(jù)以電磁信號(hào)的形式發(fā)送給閱讀器，或根據(jù)閱讀器的指令改寫存儲(chǔ)在RFID標(biāo)簽中的數(shù)據(jù)。閱讀器可接收RFID標(biāo)簽發(fā)送的數(shù)據(jù)或向標(biāo)簽發(fā)送數(shù)據(jù)，并能通過標(biāo)準(zhǔn)接口與后臺(tái)服務(wù)器通信網(wǎng)絡(luò)進(jìn)行對(duì)接，實(shí)現(xiàn)數(shù)據(jù)的通信傳輸。

根據(jù)標(biāo)簽?zāi)芰揩@取方式，RFID系統(tǒng)工作方式可分為：近距離的電感耦合方式和遠(yuǎn)距離的電磁耦合方式。

2  RFID的安全和隱私問題

2.1RFID的隱私威脅

RFID面臨的隱私威脅包括：標(biāo)簽信息泄漏和利用標(biāo)簽的唯一標(biāo)識(shí)符進(jìn)行的惡意跟蹤。

信息泄露是指暴露標(biāo)簽發(fā)送的信息，該信息包括標(biāo)簽用戶或者是識(shí)別對(duì)象的相關(guān)信息。例如，當(dāng)RFID標(biāo)簽應(yīng)用于圖書館管理時(shí)，圖書館信息是公開的，讀者的讀書信息任何其他人都可以獲得。當(dāng)RFID標(biāo)簽應(yīng)用于醫(yī)院處方藥物管理時(shí)，很可能暴露藥物使用者的病理，隱私侵犯者可以通過掃描服用的藥物推斷出某人的健康狀況。當(dāng)個(gè)人信息比如電子檔案、生物特征添加到RFID標(biāo)簽里時(shí)，標(biāo)簽信息泄露問題便會(huì)極大地危害個(gè)人隱私。如美國(guó)原計(jì)劃2005年8月在入境護(hù)照上裝備電子標(biāo)簽的計(jì)劃[1-2]因?yàn)榭紤]到信息泄露的安全問題而被遲。

RFID系統(tǒng)后臺(tái)服務(wù)器提供有數(shù)據(jù)庫，標(biāo)簽一般不需包含和傳輸大量的信息。通常情況下，標(biāo)簽只需要傳輸簡(jiǎn)單的標(biāo)識(shí)符，然后，通過這個(gè)標(biāo)識(shí)符訪問數(shù)據(jù)庫獲得目標(biāo)對(duì)象的相關(guān)數(shù)據(jù)和信息。因此，可通過標(biāo)簽固定的標(biāo)識(shí)符實(shí)施跟蹤，即使標(biāo)簽進(jìn)行加密后不知道標(biāo)簽的內(nèi)容，仍然可以通過固定的加密信息跟蹤標(biāo)簽。也就是說，人們可以在不同的時(shí)間和不同的地點(diǎn)識(shí)別標(biāo)簽，獲取標(biāo)簽的位置信息。這樣，攻擊者可以通過標(biāo)簽的位置信息獲取標(biāo)簽攜帶者的行蹤，比如得出他的工作地點(diǎn)，以及到達(dá)和離開工作地點(diǎn)的時(shí)間。

雖然利用其他的一些技術(shù)，如視頻監(jiān)視、全球移動(dòng)通信系統(tǒng)(GSM)、藍(lán)牙等，也可進(jìn)行跟蹤。但是，RFID標(biāo)簽識(shí)別裝備相對(duì)低廉，特別是RFID進(jìn)入老百姓日常生活以后，擁有閱讀器的人都可以掃描并跟蹤他人。而且，被動(dòng)標(biāo)簽信號(hào)不能切斷，尺寸很小極易隱藏，使用壽命長(zhǎng)，可自動(dòng)識(shí)別和采集數(shù)據(jù)，從而使惡意跟蹤更容易。

2.2跟蹤問題的層次劃分

RFID系統(tǒng)根據(jù)分層模型可劃分為3層：應(yīng)用層、通信層和物理層，如圖2所示。

惡意跟蹤可分別在此3個(gè)層次內(nèi)進(jìn)行[3]。

(1)應(yīng)用層

處理用戶定義的信息，如標(biāo)識(shí)符。為了保護(hù)標(biāo)識(shí)符，可在傳輸前變換該數(shù)據(jù)，或僅在滿足一定條件時(shí)傳送該信息。標(biāo)簽識(shí)別、認(rèn)證等協(xié)議在該層定義。

通過標(biāo)簽標(biāo)識(shí)符進(jìn)行跟蹤是目前的主要手段。因此，解決方案要求每次識(shí)別時(shí)改變由標(biāo)簽發(fā)送到閱讀器的信息，此信息或者是標(biāo)簽標(biāo)識(shí)符，或者是它的加密值。

(2)通信層

定義閱讀器和標(biāo)簽之間的通信方式。防碰撞協(xié)議和特定標(biāo)簽標(biāo)識(shí)符的選擇機(jī)制在該層定義。該層的跟蹤問題來源于兩個(gè)方面：一是基于未完成的單一化(Singulation)會(huì)話攻擊，二是基于缺乏隨機(jī)性的攻擊。

防碰撞協(xié)議分為兩類：確定性協(xié)議和概率性協(xié)議。確定性防碰撞協(xié)議基于標(biāo)簽唯一的靜態(tài)標(biāo)識(shí)符，對(duì)手可以輕易地追蹤標(biāo)簽。為了避免跟蹤，標(biāo)識(shí)符需要是動(dòng)態(tài)的。然而，如果標(biāo)識(shí)符在單一化過程中被修改，便會(huì)破壞標(biāo)簽單一化。因此，標(biāo)識(shí)符在單一化會(huì)話期間不能改變。為了阻止被跟蹤，每次會(huì)話時(shí)應(yīng)使用不同的標(biāo)識(shí)符。但是，惡意的閱讀器可讓標(biāo)簽的一次會(huì)話處于開放狀態(tài)，使標(biāo)簽標(biāo)識(shí)符不改變，從而進(jìn)行跟蹤。概率性防碰撞協(xié)議也存在這樣的跟蹤問題。另外，概率性防碰撞協(xié)議，如Aloha協(xié)議，不僅要求每次改變標(biāo)簽標(biāo)識(shí)符，而且，要求是完美的隨機(jī)化，以防止惡意閱讀器的跟蹤。

(3)物理層

定義物理空中接口，包括頻率、傳輸調(diào)制、數(shù)據(jù)編碼、定時(shí)等。在閱讀器和標(biāo)簽之間交換的物理信號(hào)使對(duì)手在不理解所交換的信息的情況下也能區(qū)別標(biāo)簽或標(biāo)簽集。

無線傳輸參數(shù)遵循已知標(biāo)準(zhǔn)，使用同一標(biāo)準(zhǔn)的標(biāo)簽發(fā)送非常類似的信號(hào)，使用不同標(biāo)準(zhǔn)的標(biāo)簽發(fā)送的信號(hào)很容易區(qū)分。可以想象，幾年后，我們可能攜帶嵌有標(biāo)簽的許多物品在大街上行走，如果使用幾個(gè)標(biāo)準(zhǔn)，每個(gè)人可能帶有特定標(biāo)準(zhǔn)組合的標(biāo)簽，這類標(biāo)準(zhǔn)組合使對(duì)人的跟蹤成為可能。該方法特別地利于跟蹤某些類型的人，如軍人或安全保安人員。

類似地，不同無線指紋的標(biāo)簽組合，也會(huì)使跟蹤成為可能。

2.3RFID的安全威脅

RFID應(yīng)用廣泛，可能引發(fā)各種各樣的安全問題。在一些應(yīng)用中，非法用戶可利用合法閱讀器或者自構(gòu)一個(gè)閱讀器對(duì)標(biāo)簽實(shí)施非法接入，造成標(biāo)簽信息的泄露。在一些金融和證件等重要應(yīng)用中，攻擊者可篡改標(biāo)簽內(nèi)容，或復(fù)制合法標(biāo)簽，以獲取個(gè)人利益或進(jìn)行非法活動(dòng)。在藥物和食品等應(yīng)用中，偽造標(biāo)簽，進(jìn)行偽劣商品的生產(chǎn)和銷售。實(shí)際中，應(yīng)針對(duì)特定的RFID應(yīng)用和安全問題，分別采取相應(yīng)的安全措施。

下面，根據(jù)EPCglobal標(biāo)準(zhǔn)組織定義的EPCglobal系統(tǒng)架構(gòu)[4]和一條完整的供應(yīng)鏈[5-6]， 縱向和橫向分別描述RFID面臨的安全威脅和隱私威脅。

2.4EPCglobal系統(tǒng)的縱向安全和隱私威脅分析

EPCglobal系統(tǒng)架構(gòu)和所面臨的安全威脅如圖3所示。主要由標(biāo)簽、閱讀器、電子物品編碼(EPC)中間件、電子物品編碼信息系統(tǒng)(EPCIS)、物品域名服務(wù)(ONS)以及企業(yè)的其他內(nèi)部系統(tǒng)組成。其中EPC中間件主要負(fù)責(zé)從一個(gè)或多個(gè)閱讀器接收原始標(biāo)簽數(shù)據(jù)，過濾重復(fù)等冗余數(shù)據(jù)；EPCIS主要保存有一個(gè)或多個(gè)EPCIS級(jí)別的事件數(shù)據(jù)；ONS主要負(fù)責(zé)提供一種機(jī)制，允許內(nèi)部、外部應(yīng)用查找EPC相關(guān)EPCIS數(shù)據(jù)。

從下到上，可將EPCglobal整體系統(tǒng)劃分為3個(gè)安全域：標(biāo)簽和閱讀器構(gòu)成的無線數(shù)據(jù)采集區(qū)域構(gòu)成的安全域、企業(yè)內(nèi)部系統(tǒng)構(gòu)成的安全域、企業(yè)之間和企業(yè)與公共用戶之間供數(shù)據(jù)交換和查詢網(wǎng)絡(luò)構(gòu)成的安全區(qū)域。個(gè)人隱私威脅主要可能出現(xiàn)在第一個(gè)安全域，即標(biāo)簽、空口無線傳輸和閱讀器之間，有可導(dǎo)致個(gè)人信息泄露和被跟蹤等。另外，個(gè)人隱私威脅還可能出現(xiàn)在第三個(gè)安全域，如果ONS的管理不善，也可能導(dǎo)致個(gè)人隱私的非法訪問或?yàn)E用。安全與隱私威脅存在于如下各安全域：

(1)標(biāo)簽和閱讀器構(gòu)成的無線數(shù)據(jù)采集區(qū)域構(gòu)成的安全域�？赡艽嬖诘陌踩�威脅包括標(biāo)簽的偽造、對(duì)標(biāo)簽的非法接入和篡改、通過空中無線接口的竊聽、獲取標(biāo)簽的有關(guān)信息以及對(duì)標(biāo)簽進(jìn)行跟蹤和監(jiān)控。

(2)企業(yè)內(nèi)部系統(tǒng)構(gòu)成的安全域。企業(yè)內(nèi)部系統(tǒng)構(gòu)成的安全域存在的安全威脅與現(xiàn)有企業(yè)網(wǎng)一樣，在加強(qiáng)管理的同時(shí)，要防止內(nèi)部人員的非法或越權(quán)訪問與使用，還要防止非法閱讀器接入企業(yè)內(nèi)部網(wǎng)絡(luò)。

(3)企業(yè)之間和企業(yè)與公共用戶之間供數(shù)據(jù)交換和查詢網(wǎng)絡(luò)構(gòu)成的安全區(qū)域。ONS通過一種認(rèn)證和授權(quán)機(jī)制，以及根據(jù)有關(guān)的隱私法規(guī)，保證采集的數(shù)據(jù)不被用于其他非正常目的的商業(yè)應(yīng)用和泄露，并保證合法用戶對(duì)有關(guān)信息的查詢和監(jiān)控。

2.5供應(yīng)鏈的橫向安全和隱私威脅分析

一個(gè)較完整的供應(yīng)鏈及其面對(duì)的安全與隱私威脅如圖4所示，包括供應(yīng)鏈內(nèi)、商品流通和供應(yīng)鏈外等3個(gè)區(qū)域，具體包括商品生產(chǎn)、運(yùn)輸、分發(fā)中心、零售商店、商店貨架、付款柜臺(tái)、外部世界和用戶家庭等環(huán)節(jié)。圖中前4個(gè)威脅為安全威脅，后7個(gè)威脅為隱私威脅。其中，安全威脅包括：