|
隨著標簽制造成本的下降, RFID技術的應用必將更加廣泛,隨之帶來一系列安全與隱私問題。文中介紹了RFID應用可能產生的安全與隱私威脅,以及數據保護的若干方案,描述了一個假定應用場合中的安全威脅,主要介紹基于分級的RFID隱私保護方法。 隨著標簽制造成本的下降,RFID技術的應用必將更加廣泛,隨之帶來一系列安全與隱私問題。文中介紹了RFID應用可能產生的安全與隱私威脅,以及數據保護的若干方案,描述了一個假定應用場合中的安全威脅,主要介紹基于分級的RFID隱私保護方法。 射頻識別(Radio Frequency Identification,RFID)技術是射頻信號通過電磁耦合實現無接觸信息傳遞,并通過所傳遞的信息達到識別目的的技術。由于可以方便快捷的實現自動識別、信息共享等,RFID技術在交通運輸、倉儲管理、電子票務和電子支付等領域有廣泛的應用前景。 該系統通常由標簽、閱讀器和射頻網絡組成,標簽內存儲有一定格式的電子數據,常以此作為依據識別物體;閱讀器與標簽之間以約定的通信協議傳遞信息;射頻網絡主要由中間件、ONS(Object Name Service)和IS(Information Sever)三部分組成,提供即時的信息交互功能。圖1所示為一個簡易的RFID系統構架,系統工作過程如下: (1)閱讀器把查詢得到的標簽信息發送到中間件,中間件把收到的標簽代碼轉換為ONS可讀碼,然后通過轉換的代碼為ONS請求Is的URL,ONS解析與所傳輸代碼相應的URL并發回到中間件。 (2)使用獲得的URL和標簽信息,中間件查詢Is,Is在數據庫中尋找匹配信息。 (3)通過中間件或應用系統,Is把查詢到的信息發回給閱讀器。 1 RFID的安全與隱私威脅 1.1 RFID的隱私威脅 隱私權是個人有其信息不受侵犯的權利。在RFID系統中,射頻波能透過建筑物或金屬傳遞,使標簽和閱讀器可以嵌入到任何物體之中;其次閱讀器和標簽之間是無線通信,信道竊聽問題異常嚴重;再者,標簽資源有限,加密算法與接人過程相對簡單;以上原因讓攻擊者有大量漏洞可以使用,而對標簽的控制更使攻擊者獲取現實利益,由此增大了RFID系統的安全與隱私危險,下面是幾種常見的威脅。 1)跟蹤 用戶攜帶有標簽或在購買帶標簽的商品時可能因為被監視而泄漏個人信息或暴露所在位置。 2)喜好威脅 商品的標簽標明制造商、產品類型和其它特征,在顧客購買商品時會暴露顧客的品質偏好和個性特征。 3)布局威脅 不管用戶的身份是否與標簽集關聯,每個人周圍都形成特定的標簽格局,廣告商可以利用這種布局跟蹤顧客。 4)泄密 由于RFID系統讀取速度快,可以迅速對供應鏈中所有商品進行掃描并跟蹤變化等,而被用來竊取商業機密。 1.2 RFID安全威脅的一個設想 相對于中高頻的RFID系統,工作在800 MHz(歐洲)/900 MHz(美國)的超市超高頻RFID系統的讀取距離更遠,數據率更高。但在這些工作頻率下,射頻波容易被水或金屬吸收而人體的主要成份就是水,射頻波會給人體帶來傷害;更重要的是,消費者購買罐裝飲料等商品時,由于射頻波被吸收使得閱讀器和標簽之間的通信不再精確,擾亂正常的支付過程。 下面描述~個對超市RFID系統工作構成嚴重威脅的場景。 (1)超市已構建RFID系統并實現倉儲管理、出售商品的自動化收費等功能,超市管理者使用的閱讀器可以讀寫商品標簽數據(寫標簽數據時需要接人密鑰),考慮到價格調整等因素,標簽數據必須能夠多次讀寫。 (2)移動RFID用戶自身攜帶有嵌入在手機或PDA中的閱讀器,該閱讀器可以掃描超市中商品的標簽以獲得產品的制造商、生產日期和價格等詳細信息。 (3)通過信道監聽信息截獲、暴力破解(利用定向天線和數字示波器監控標簽被讀取時的功率消耗,確定標簽何時接受了正確的密碼位)或其他人為因素,攻擊者得到寫標簽數據所需的接人密鑰。 (4)利用標簽的接人密鑰,攻擊者隨意修改標簽數據,更改商品價格,甚至“kill”標簽導致超市的商品管理和收費系統陷入混亂以謀取個人私利。 2 數據保護方案 1)自毀與休眠 商品被購買以后,標簽從閱讀器那里接收到“kill”命令后永久失效,但在圖書館或租賃店等場合,標簽在使用周期內必須有效而不能一次性“kill”;休眠與自毀相似,但是休眠標簽可以通過“wake up”激活后再次使用。 2)加密 被動式標簽不能將標簽上的數據傳送給閱讀器,加密應該成為最起碼信息保護手段。但是加密的標識符本身恰恰就是一個標識符,此外引入密鑰管理后的成本問題使加密難以應用于低成本的標簽中。 3)移動RFID 使用具有RFID閱讀器功能的手機或PDA,而不是公共RFID閱讀器獲取或修改標簽數據,標簽被跟蹤的危險有所降低,然而移動的閱讀器本身也會被跟蹤而帶來安全隱患,此時的隱私威脅不僅涉及標簽攜帶者,還關系到閱讀器攜帶者的隱私。 4)阻止標簽 由A.Juels,et a1.提出 ,不需要修改標簽,而是在標簽中加入一個稱為隱私比特的可變比特,“0”把標簽標識為公有標簽;“1”把標簽標識為隱私標簽,用來防止對隱私標簽的非授權掃描。 5)Hash.Lockl2 由S.Weis,et al.提出。標簽收到查詢請求時返回一個hash值,如果閱讀器發送了正確的逆向hash值,標簽返回其標識符,該方案需要對后臺的標簽和密鑰管理應用單向hash函數。隨機Hash Lock是一種改進方案,能確保本地隱私安全,然而后臺必須完成大量hash工作,標簽上還要有隨機數產生器。還有一種“基于Hash的ID變化”方案,每次閱讀器查詢請求時標簽改變一次標識符,需要在后臺引入相關數據庫。 此外,有人提出標簽原始ID隱藏和clG2協議改進兩種方法保護移動RFID的隱私安全。沒有哪種方案可以確保RFID信息的安全,各種安全或隱私保護方法都有自身優勢和不足。 針對不同的應用場合,采取綜合的保護策略才能更好的保護消費者權益,下面提出一種基于隱私分級的隱私保護策略。 3 基于分級的RFID隱私保護 3.1 系統結構 圖2所示為隱私分級構架的核心部分。通過Pc等終端,標簽擁有者可以設置標簽的隱私等級(Privacy Leve1.PL)和接人控制等級(Access Control Leve1.ACL)。閱讀器請求查詢時標簽返回已確定的PTJ,閱讀器將其發送到后臺Is,Is分析請求的數據包,并根據所設置的PL提供相對應的信息服務。 3.2 隱私分級(PL) PL的設置包括PL設置和ACL設置兩個部分。隱私等級表示所有者向公眾開放信息的隨意度。如表1所示,根據個人隱私敏感程度不同以及設置者的個人偏好和所處環境,標簽中設置了5個PL。1級標簽可以提供所有自身相關信息,而5級標簽不會提供任何信息,即標簽進入休眠或鎖狀態,除非收到激活碼或解鎖等口令信息,標簽不會相應任何查詢。 定義這樣的PL對于在RFID分析所需的PL和貫徹隱私政策相當有用。 閱讀器閱讀標簽時,標簽確認其PL,然后把PL和其他所需信息像標識碼一起發回到閱讀器。如果需要屏蔽標簽,就把標簽的PL設置為5級,不響應任何查詢。 通過傳輸已得到的包含PL信息的信息包,Is根據PL把相關信息發送至閱讀器或應用系統。 3.3 接入控制分級(ACL) 對于確保隱私安全和根據隱私級別進行的標簽高級安全管理,接人控制等級十分重要,有助于解決攻擊者在未授權的情況下改變隱私等級。根據用戶策略 (信息量的大小和重要性)可以把接人控制等級分兩類:標簽接人控制等級(ACL )和Is接人控制等級(ACL ),兩者可共存,所需接人數據略有不同,表2所示為ACL 。為支持接人控制功能,IS需要有良好的性能和處理能力。 需要強調的是,接人控制等級和所需的接人信息成正比,為從標簽或Is請求更高接人控制等級的數據,用戶需要更安全的認證過程。表3所示為加入隱私等級和接人控制等級后的標簽數據結構,其中Flag為ACL 控制標識,為0時關閉ACLIS,為1時啟用ACLIS。 3.4 隱私保護機制 圖3所示為所提出的隱私保護機制。圖3中的控制者即為標簽所有者,他根據個人的偏好、習慣等設置PL。 根據控制者的設定,在閱讀器閱讀標簽時IS可以提供不同的信息。具體過程如下: 1)首先控制者根據表1中的PL將信息分級。然后根據等級分類結果,確定隱私等級PL 并寫入標簽。當然,該PTJ 可重復寫。類似地,控制者通過等級設置系統(提供已定義的相關隱私策略模板和良好的用戶接口)設置其自身的隱私策略。策略服務器中有兩類策略:固有策略和控制者設置的策略(設置者可修改),其中前者的優先級高于后者。 2)PL-r已定義并寫進標簽和IS后,系統進入隱私保護服務階段。之前,RFID系統處于默認狀態,只提供對隱私無害的非重要信息。 3)該機制的工作過程如下: ①閱讀器訪問標簽時,標簽自檢其PL和ACL,根據不同的隱私等級或是接人控制等級,忽略閱讀器的查詢信息或發回包含標簽ID,隱私等級和IS接人等級(Flag為0時)在內的信息包。 ②如果閱讀器收到標簽數據包,它把數據包發到網絡,由此閱讀器在通過中間件或是ONS的ISURL解析之后請求接人IS。 ③Is中首先就是解析收到的信息包,取回PLT和ACL 并予以驗證。 ④如果需要用戶的接人控制,根據已定義的ACL進行用戶驗證,如果通過驗證,轉入⑤ ,否則忽略查詢。 ⑤Is依據PL處理請求提供相應信息。信息服務器儲存事件日志并使用安全手段通報控制者。通過日志監測,標簽所有者可以修改標簽或IS中的PL 。 3.5 IS接入控制 接人控制由標簽儲存的IS接人控制等級確定,該信息應置于安全保護中,如通過認證和授權才能獲得。圖4所示為認證過程,用戶的認證基于ID口令、公共認證等。用戶通過認證后,信息服務器把結果反饋給閱讀器。 在實際的RFID系統中實現這種保護機制有一定困難,隱私策略的定義、實體間的安全通信和控制等都不易解決。這種安全保護方案的提供,便于為用戶提供更多的安全保護選擇,特別是把隱私分級后,用戶可以靈活的利用RFID技術。 4 結束語 在國內,RFID技術的應用目前局限于電子票務和二代身份證等,它的安全與隱私威脅還沒有完全浮現。由于標簽資源受限,人們對RFID面臨的安全與隱私威脅尚不夠重視,文中描述的只是部分安全與隱私威脅和解決方案。隨著RFID應用的進一步普及,它所產生的問題也將更明顯的呈現于我們面前,作者期望采取一定措施,防患于未然,使消費者在享受RFID技術便捷、高效的同時,不必為個人信息泄漏而擔憂。 |
