RFID系統(tǒng)中的安全和隱私管理

1、RFIDRFID系統(tǒng)中的安全和隱私管理系統(tǒng)中的安全和隱私管理RFID的安全議題的安全議題RFID的安全議題的安全議題 雖然RFID將為人類生活帶來極大的便利性便利性，但目前RFID尚未有一套標準的安全技術(shù)，若資料未經(jīng)加密或是未有完善的存取控制，有心人士便可運用相關(guān)技術(shù)，任意讀取標簽上的資料，甚至修改、寫入資料，造成標簽上的資料外泄資料外泄，成為RFID應(yīng)用時的安全議題。安全議題。RFID便利性便利性安全性安全性RFID的安全議題（續(xù)）的安全議題（續(xù)）商業(yè)機密外泄破壞機密性 (Confidentiality)偽造虛假資訊破壞真確性 (Integrity)基礎(chǔ)建設(shè)遭受破壞破壞可用性 (Availa

2、bility)商業(yè)機密外泄商業(yè)機密外泄破壞機密性破壞機密性商業(yè)機密外泄商業(yè)機密外泄未經(jīng)授權(quán)讀取未經(jīng)授權(quán)讀取 (Unauthorized Read)(Unauthorized Read) 攻擊者只要有相同規(guī)格的讀取器，并且在標簽的可讀取范圍內(nèi)，就能夠任意地讀取標簽內(nèi)的資料，造成資訊泄漏的安全問題，甚至會危及使用者的隱私竊聽竊聽 (Eavesdropping)(Eavesdropping) 攻擊者利用特殊設(shè)備，來監(jiān)聽標簽與讀取器通訊時在空氣中傳輸?shù)臒o線電訊號，藉由監(jiān)聽得到的訊息來分析其中所包含的資訊商業(yè)機密外泄（續(xù)）商業(yè)機密外泄（續(xù)） 公司刺探威脅公司刺探威脅 (Corporate Espiona

3、ge Threat) 攻擊者可以利用Reader在遠端讀取競爭對手倉庫的標簽，以收集競爭對手倉庫的存貨數(shù)量或商品資訊，甚至取得機密資料 行銷競爭威脅行銷競爭威脅 (Competitive Marketing Threat)競爭對手可以透過對RFID標簽的讀取，在未經(jīng)授權(quán)的情況下取得消費者購物偏好資訊，利用這些資訊進行行銷競爭。偽造虛假資訊偽造虛假資訊未經(jīng)授權(quán)寫入未經(jīng)授權(quán)寫入 (Unauthorized Write) 若是標簽沒有存取控制機制，攻擊者只要有相同規(guī)格的寫入器，并且在標簽的可寫入范圍內(nèi)，就能夠任意地修改并寫入標簽內(nèi)的資料，造成標簽資料遭竄改或偽造的安全問題。假冒假冒 (Spoofin

4、g)(Spoofing) 攻擊者可能透過物理分析，來取得某個標簽內(nèi)所儲存的資料，然后復(fù)制 (Clone) 一個具有相同資料的標簽，因此可以假冒成合法的身分，通過讀取器的驗證，以達成攻擊者之目的 偽造虛假資訊（續(xù)）偽造虛假資訊（續(xù)）重送攻擊重送攻擊 (Replay Attack) 攻擊者可能藉由監(jiān)聽所收集之訊息，當讀取器查詢標簽時，將這些訊息重新送回給讀取器，因而通過讀取器的驗證。信賴邊界威脅信賴邊界威脅 (Trust Perimeter Threat) 由于RFID系統(tǒng)的使用，標簽的相關(guān)資訊會在上下游廠商之間透過網(wǎng)路的方式共享，而此共享的管道即有可能受到攻擊者的入侵，因此將使公司對于資訊系統(tǒng)可

5、信賴的邊界重新界定。基礎(chǔ)建設(shè)遭受破壞基礎(chǔ)建設(shè)遭受破壞基礎(chǔ)建設(shè)威脅基礎(chǔ)建設(shè)威脅 (Infrastructure Threat) 攻擊者可以使用特殊設(shè)備，持續(xù)發(fā)送無線射頻訊號，來干擾標簽或讀取器，導(dǎo)致標簽跟讀取器無法正常進行通訊，藉此癱瘓RFID系統(tǒng)，屬于阻斷服務(wù) (Denial of Service, DoS) 攻擊基礎(chǔ)建設(shè)遭受破壞（續(xù)）基礎(chǔ)建設(shè)遭受破壞（續(xù)）惡意編碼傳播惡意編碼傳播 (Hostile Code Propagation) 標簽上有記憶體可用來儲存額外資訊，若惡意的使用者用來存放與傳播惡意的編碼，將可能影響讀取器的正常存取功能 國外已有研究指出，攻擊者可在標簽植入惡意SQL語法進行

6、SQL Injection攻擊，造成后端系統(tǒng)中毒，并可感染其他正常標簽，再透過受感染之標簽感染其他后端系統(tǒng)RFID的隱私議題的隱私議題隱私權(quán)隱私權(quán) 隱私權(quán)包括個人資訊、身體、財產(chǎn)或是自我決定等部分。 簡單的說，就是個人資訊的自我決定權(quán)。RFID侵害隱私權(quán)？ 商品上的商品上的 RFID標簽標簽暴露消費者購買的物品資訊，甚至侵犯消費者其他私領(lǐng)域行為，諸如行程、地點等。 未妥善處理物品上的未妥善處理物品上的RFID，衣服、食品、汽車甚至垃圾等，都會不經(jīng)意透露出個人相關(guān)資訊。RFID侵害隱私權(quán)？v使用在證件等方面，資料曝光的危險性相形更高。v隨之而來如駭客或是政府的監(jiān)視駭客或是政府的監(jiān)視，也都影響到每

7、一個人民的權(quán)益。RFID vs. 隱私權(quán) RFID記載之資料是否使特定人的個人資料有使特定人的個人資料有揭露的危險？揭露的危險？ 根據(jù)RFID采集而得之資訊是否需當事人同意是否需當事人同意？ 第三人有無利用或攔截RFID下載資料之權(quán)利？是否需取得當事人同意？是否需取得當事人同意？ RFID記載之資料屬于何人所有？當事人有無自行刪除RFID記載資料之權(quán)利？消費者的購物隱私消費者的購物隱私偏好威脅偏好威脅 (Preference Threat) 由于標簽上可能記載著商品的相關(guān)資訊，如商品種類、品牌和尺寸等，可以藉由標簽上的資訊來推測消費者的購物偏好消費者的行蹤隱私消費者的行蹤隱私v位置威脅位置威脅

8、 (Location Threat) 由于標簽具有一個唯一識別的資訊，且標簽的讀取具有一定的范圍，因此可以透過標簽來追蹤商品或消費者的位置RFIDRFID人員定位人員定位姓名電話地址身分證號出生年月日下列資訊是否屬于個人資料下列資訊是否屬于個人資料v 就診紀錄、病史及使用藥物資訊就診紀錄、病史及使用藥物資訊v 地點追蹤地點追蹤產(chǎn)品離開消費場所或進入私人場域時，RFID是否可以持續(xù)追蹤并定位，應(yīng)持否定見解。v 使用紀錄使用紀錄關(guān)于消費者購買產(chǎn)品時之購物品牌、種類、金額、購買地點及日期是否屬于特定人之個人資料?該資訊通常無法識別該個人資料，但經(jīng)采集整理分析后，可能歸納出個人購物特性及習慣，此類尚有

9、爭議RFID記載之資料屬于何人所有？RFID記載資料之所有權(quán)在RFID使用人使用區(qū)域應(yīng)屬于RFID使用人所有產(chǎn)品移轉(zhuǎn)所有權(quán)時RFID記載資料應(yīng)屬于消費者所有，并有自行刪除RFID記載資料之權(quán)利如Wal-Mart就準備廣發(fā)手冊告訴消費者，只要結(jié)只要結(jié)完帳，就可以撕下標簽。完帳，就可以撕下標簽?？萍济娼鉀Q方案科技面解決方案RFID的硬體限制的硬體限制 RFID系統(tǒng)中，標簽的運算能力是有限的，尤其是低成本的被動式標簽；比起智慧卡或者是感測器 (Sensor) 來說，RFID標簽少了中央處理器及較大的記憶體空間，因此無法執(zhí)行復(fù)雜的密碼學(xué)因此無法執(zhí)行復(fù)雜的密碼學(xué)運算運算，是RFID在安全性上的一大缺點.

10、v針對RFID安全問題，解決方案可分為四種方式：、 使用物理方法限制或破壞標簽 讀取接入控制 標簽認證 標簽加密四、四、RFID的安全解決方案的安全解決方案 v一、使用物理方法限制或破壞標簽 1、標簽特殊設(shè)計之保護方式 標簽銷毀指令 (Kill Command) 標簽休眠指令 (Sleeping Command) 2、使用額外設(shè)備之保護方法 法拉第籠 (Faradays Cage) 主動干擾 (Jamming) 阻擋標簽 (Blocker Tag) 當標簽接收到讀寫器發(fā)出的Kill指令時，便會將自己銷毀，使得這個標簽之后對于讀寫器的任何指令都不會有反應(yīng)，因此可保護標簽資料不被讀取；但由于這個動

11、作是不可逆的，一旦銷毀就等于是浪費了這個標簽標簽銷毀指令標簽銷毀指令標簽休眠指令標簽休眠指令 與銷毀標簽概念相同，當支援休眠指令的標簽接收讀取器傳來的休眠 (Sleep) 指令，標簽即進入休眠狀態(tài)，不會回應(yīng)任何讀取器的查詢；當標簽接收到讀取器的喚醒 (Wake Up) 指令，才會恢復(fù)正常。四、四、RFID的安全解決方案的安全解決方案 法拉第籠法拉第籠 將標簽放置在由金屬網(wǎng)罩或金屬箔片組成的容器中，稱作法拉第籠，因為金屬可阻隔無線電訊號之特性，即可避免標簽被讀取器所讀取四、四、RFID的安全解決方案的安全解決方案 主動干擾主動干擾 使用能夠主動發(fā)出廣播訊號的設(shè)備，來干擾讀取器查詢受保護之標簽，成

12、本較法拉第籠低；但此方式可能干擾其他合法無線電設(shè)備的使用；阻擋標簽阻擋標簽 使用一種特殊設(shè)計的標簽，稱為阻擋標簽 (Blocker Tag)，此種標簽會持續(xù)對讀取器傳送混淆的訊息，藉此阻止讀取器讀取受保護之標簽；但當受保護之標簽離開阻擋標簽的保護范圍，則安全與隱私的問題仍然存在。四、四、RFID的安全解決方案的安全解決方案 二、讀取接入控制二、讀取接入控制v1、哈希鎖v2、隨機哈希鎖v3、哈希鏈v四、四、RFID的安全解決方案的安全解決方案 哈希哈希(Hash)鎖方案（鎖方案（Hash lock） 哈希(Hash)鎖方案（Hash lock） Hash鎖是一種抵制標簽未授權(quán)訪問的安全與隱私技術(shù)

13、。整個方案只需要采用Hash函數(shù)，因此成本很低。 鎖定標簽：鎖定標簽：對于唯一標志號為ID的標簽，首先閱讀器隨機產(chǎn)生該標簽的Key，計算metaID=Hash(Key)，將metaID發(fā)送給標簽；標簽將metaID存儲下來，進入鎖定狀態(tài)。閱讀器將(metaID，Key，ID)存儲到后臺數(shù)據(jù)庫中，并以metaID 為索引。哈希哈希(Hash)鎖方案（鎖方案（Hash lock） 解鎖標簽：解鎖標簽：閱讀器詢問標簽時，標簽回答metaID；閱讀器查詢后臺數(shù)據(jù)庫，找到對應(yīng)的(metaID，Key，ID)記錄，然后將該Key值發(fā)送給標簽；標簽收到Key值后，計算Hash(Key)值，并與自身存儲的me

14、taID值比較，若Hash(Key)=metaID，標簽將其ID發(fā)送給閱讀器，這時標簽進入已解鎖狀態(tài)，并為附近的閱讀器開放所有的功能。哈希哈希(Hash)鎖方案（鎖方案（Hash lock） v方法的優(yōu)點：方法的優(yōu)點：解密單向Hash函數(shù)是較困難的，因此該方法可以阻止未授權(quán)的閱讀器讀取標簽信息數(shù)據(jù)，在一定程度上為標簽提供隱私保護；該方法只需在標簽上實現(xiàn)一個Hash函數(shù)的計算，以及增加存儲metaID值，因此在低成本的標簽上容易實現(xiàn)。v方法的缺陷：方法的缺陷：由于每次詢問時標簽回答的數(shù)據(jù)是特定的，因此其不能防止位置跟蹤攻擊；閱讀器和標簽問傳輸?shù)臄?shù)據(jù)未經(jīng)加密，竊聽者可以輕易地獲得標簽Key和ID值

15、。哈希哈希(Hash)鎖方案（鎖方案（Hash lock） v三、標簽認證 三次認證v四、標簽加密規(guī)范面解決方案規(guī)范面解決方案可規(guī)范可規(guī)范RFID使用的現(xiàn)行法律使用的現(xiàn)行法律v電腦處理個人資料保護法 v個人資料保護法草案 v商品標示法v消費者保護法四、四、RFID的安全解決方案的安全解決方案 其他其他RFID相關(guān)的規(guī)范與草案相關(guān)的規(guī)范與草案vEPIC的RFID使用指導(dǎo)綱領(lǐng)v電子權(quán)利法草案 (Electronic Bill of Rights)vRFID權(quán)利法草案 (RFID Bill of Rights)v標簽資料擁有權(quán)之探討五五、RFID信息安全和風險評估信息安全和風險評估 這樣一個案例：這

16、樣一個案例：某工廠一名受人信賴、有某工廠一名受人信賴、有11 年工年工齡的雇員負責公司內(nèi)部的網(wǎng)絡(luò)構(gòu)建和維護，當他不再受到齡的雇員負責公司內(nèi)部的網(wǎng)絡(luò)構(gòu)建和維護，當他不再受到公司的重視并意識到將因表現(xiàn)和行為問題被解雇時，就在公司的重視并意識到將因表現(xiàn)和行為問題被解雇時，就在系統(tǒng)中設(shè)置了摧毀系統(tǒng)的軟件定時炸彈。由于被解雇的網(wǎng)系統(tǒng)中設(shè)置了摧毀系統(tǒng)的軟件定時炸彈。由于被解雇的網(wǎng)絡(luò)管理員是唯一負責文件服務(wù)器的維護、保護和備份的雇絡(luò)管理員是唯一負責文件服務(wù)器的維護、保護和備份的雇員，信息系統(tǒng)崩潰后，公司只能雇用程序員重建系統(tǒng)，而員，信息系統(tǒng)崩潰后，公司只能雇用程序員重建系統(tǒng)，而原來保存在系統(tǒng)中的珍貴的設(shè)計方

17、案也全部丟失，該公司原來保存在系統(tǒng)中的珍貴的設(shè)計方案也全部丟失，該公司立即喪失了它原來的工業(yè)地位，損失超過立即喪失了它原來的工業(yè)地位，損失超過1000 萬美元。萬美元。從上面的例子可以看出，除了技術(shù)保障之外，如果沒有合從上面的例子可以看出，除了技術(shù)保障之外，如果沒有合適的組織管理，企業(yè)信息系統(tǒng)（包括適的組織管理，企業(yè)信息系統(tǒng)（包括RFID 系統(tǒng)）的安全系統(tǒng)）的安全會受到相當大的威脅。會受到相當大的威脅。五五、RFID信息安全和風險評估信息安全和風險評估 安全風險評估安全風險評估是一種信息安全的管理方法，是通過實施綜合的風險評估和標識組織的風險并進而確定解決方案。安全風險評估在信息安全風險管理中起著核心的作用，它有助于組織對其使用的信息技術(shù)進行評估，并幫助組織的決策者作出相關(guān)的信息保護決策。 五五、RFID信息安全和風險評估