RFID系统中的安全和隐私管理

1、RFIDRFID系统中的安全和隐私管理系统中的安全和隐私管理RFID的安全议题的安全议题RFID的安全议题的安全议题 虽然RFID将为人类生活带来极大的便利性便利性，但目前RFID尚未有一套标准的安全技术，若资料未经加密或是未有完善的存取控制，有心人士便可运用相关技术，任意读取标签上的资料，甚至修改、写入资料，造成标签上的资料外泄资料外泄，成为RFID应用时的安全议题。安全议题。RFID便利性便利性安全性安全性RFID的安全议题（续）的安全议题（续）商业机密外泄破坏机密性 (Confidentiality)伪造虚假资讯破坏真确性 (Integrity)基础建设遭受破坏破坏可用性 (Availa

2、bility)商业机密外泄商业机密外泄破坏机密性破坏机密性商业机密外泄商业机密外泄未经授权读取未经授权读取 (Unauthorized Read)(Unauthorized Read) 攻击者只要有相同规格的读取器，并且在标签的可读取范围内，就能够任意地读取标签内的资料，造成资讯泄漏的安全问题，甚至会危及使用者的隐私窃听窃听 (Eavesdropping)(Eavesdropping) 攻击者利用特殊设备，来监听标签与读取器通讯时在空气中传输的无线电讯号，藉由监听得到的讯息来分析其中所包含的资讯商业机密外泄（续）商业机密外泄（续） 公司刺探威胁公司刺探威胁 (Corporate Espiona

3、ge Threat) 攻击者可以利用Reader在远端读取竞争对手仓库的标签，以收集竞争对手仓库的存货数量或商品资讯，甚至取得机密资料 行销竞争威胁行销竞争威胁 (Competitive Marketing Threat)竞争对手可以透过对RFID标签的读取，在未经授权的情况下取得消费者购物偏好资讯，利用这些资讯进行行销竞争。伪造虚假资讯伪造虚假资讯未经授权写入未经授权写入 (Unauthorized Write) 若是标签没有存取控制机制，攻击者只要有相同规格的写入器，并且在标签的可写入范围内，就能够任意地修改并写入标签内的资料，造成标签资料遭窜改或伪造的安全问题。假冒假冒 (Spoofin

4、g)(Spoofing) 攻击者可能透过物理分析，来取得某个标签内所储存的资料，然后复制 (Clone) 一个具有相同资料的标签，因此可以假冒成合法的身分，通过读取器的验证，以达成攻击者之目的 伪造虚假资讯（续）伪造虚假资讯（续）重送攻击重送攻击 (Replay Attack) 攻击者可能藉由监听所收集之讯息，当读取器查询标签时，将这些讯息重新送回给读取器，因而通过读取器的验证。信赖边界威胁信赖边界威胁 (Trust Perimeter Threat) 由于RFID系统的使用，标签的相关资讯会在上下游厂商之间透过网路的方式共享，而此共享的管道即有可能受到攻击者的入侵，因此将使公司对于资讯系统可

5、信赖的边界重新界定。基础建设遭受破坏基础建设遭受破坏基础建设威胁基础建设威胁 (Infrastructure Threat) 攻击者可以使用特殊设备，持续发送无线射频讯号，来干扰标签或读取器，导致标签跟读取器无法正常进行通讯，藉此瘫痪RFID系统，属于阻断服务 (Denial of Service, DoS) 攻击基础建设遭受破坏（续）基础建设遭受破坏（续）恶意编码传播恶意编码传播 (Hostile Code Propagation) 标签上有记忆体可用来储存额外资讯，若恶意的使用者用来存放与传播恶意的编码，将可能影响读取器的正常存取功能 国外已有研究指出，攻击者可在标签植入恶意SQL语法进行

6、SQL Injection攻击，造成后端系统中毒，并可感染其他正常标签，再透过受感染之标签感染其他后端系统RFID的隐私议题的隐私议题隐私权隐私权 隐私权包括个人资讯、身体、财产或是自我决定等部分。 简单的说，就是个人资讯的自我决定权。RFID侵害隐私权？ 商品上的商品上的 RFID标签标签暴露消费者购买的物品资讯，甚至侵犯消费者其他私领域行为，诸如行程、地点等。 未妥善处理物品上的未妥善处理物品上的RFID，衣服、食品、汽车甚至垃圾等，都会不经意透露出个人相关资讯。RFID侵害隐私权？v使用在证件等方面，资料曝光的危险性相形更高。v随之而来如骇客或是政府的监视骇客或是政府的监视，也都影响到每

7、一个人民的权益。RFID vs. 隐私权 RFID记载之资料是否使特定人的个人资料有使特定人的个人资料有揭露的危险？揭露的危险？ 根据RFID采集而得之资讯是否需当事人同意是否需当事人同意？ 第三人有无利用或拦截RFID下载资料之权利？是否需取得当事人同意？是否需取得当事人同意？ RFID记载之资料属于何人所有？当事人有无自行删除RFID记载资料之权利？消费者的购物隐私消费者的购物隐私偏好威胁偏好威胁 (Preference Threat) 由于标签上可能记载着商品的相关资讯，如商品种类、品牌和尺寸等，可以藉由标签上的资讯来推测消费者的购物偏好消费者的行踪隐私消费者的行踪隐私v位置威胁位置威胁

8、 (Location Threat) 由于标签具有一个唯一识别的资讯，且标签的读取具有一定的范围，因此可以透过标签来追踪商品或消费者的位置RFIDRFID人员定位人员定位姓名电话地址身分证号出生年月日下列资讯是否属于个人资料下列资讯是否属于个人资料v 就诊纪录、病史及使用药物资讯就诊纪录、病史及使用药物资讯v 地点追踪地点追踪产品离开消费场所或进入私人场域时，RFID是否可以持续追踪并定位，应持否定见解。v 使用纪录使用纪录关于消费者购买产品时之购物品牌、种类、金额、购买地点及日期是否属于特定人之个人资料?该资讯通常无法识别该个人资料，但经采集整理分析后，可能归纳出个人购物特性及习惯，此类尚有

9、争议RFID记载之资料属于何人所有？RFID记载资料之所有权在RFID使用人使用区域应属于RFID使用人所有产品移转所有权时RFID记载资料应属于消费者所有，并有自行删除RFID记载资料之权利如Wal-Mart就准备广发手册告诉消费者，只要结只要结完帐，就可以撕下标签。完帐，就可以撕下标签。科技面解决方案科技面解决方案RFID的硬体限制的硬体限制 RFID系统中，标签的运算能力是有限的，尤其是低成本的被动式标签；比起智慧卡或者是感测器 (Sensor) 来说，RFID标签少了中央处理器及较大的记忆体空间，因此无法执行复杂的密码学因此无法执行复杂的密码学运算运算，是RFID在安全性上的一大缺点.

10、v针对RFID安全问题，解决方案可分为四种方式：、 使用物理方法限制或破坏标签 读取接入控制 标签认证 标签加密四、四、RFID的安全解决方案的安全解决方案 v一、使用物理方法限制或破坏标签 1、标签特殊设计之保护方式 标签销毁指令 (Kill Command) 标签休眠指令 (Sleeping Command) 2、使用额外设备之保护方法 法拉第笼 (Faradays Cage) 主动干扰 (Jamming) 阻挡标签 (Blocker Tag) 当标签接收到读写器发出的Kill指令时，便会将自己销毁，使得这个标签之后对于读写器的任何指令都不会有反应，因此可保护标签资料不被读取；但由于这个动

11、作是不可逆的，一旦销毁就等于是浪费了这个标签标签销毁指令标签销毁指令标签休眠指令标签休眠指令 与销毁标签概念相同，当支援休眠指令的标签接收读取器传来的休眠 (Sleep) 指令，标签即进入休眠状态，不会回应任何读取器的查询；当标签接收到读取器的唤醒 (Wake Up) 指令，才会恢复正常。四、四、RFID的安全解决方案的安全解决方案 法拉第笼法拉第笼 将标签放置在由金属网罩或金属箔片组成的容器中，称作法拉第笼，因为金属可阻隔无线电讯号之特性，即可避免标签被读取器所读取四、四、RFID的安全解决方案的安全解决方案 主动干扰主动干扰 使用能够主动发出广播讯号的设备，来干扰读取器查询受保护之标签，成

12、本较法拉第笼低；但此方式可能干扰其他合法无线电设备的使用；阻挡标签阻挡标签 使用一种特殊设计的标签，称为阻挡标签 (Blocker Tag)，此种标签会持续对读取器传送混淆的讯息，藉此阻止读取器读取受保护之标签；但当受保护之标签离开阻挡标签的保护范围，则安全与隐私的问题仍然存在。四、四、RFID的安全解决方案的安全解决方案 二、读取接入控制二、读取接入控制v1、哈希锁v2、随机哈希锁v3、哈希链v四、四、RFID的安全解决方案的安全解决方案 哈希哈希(Hash)锁方案（锁方案（Hash lock） 哈希(Hash)锁方案（Hash lock） Hash锁是一种抵制标签未授权访问的安全与隐私技术

13、。整个方案只需要采用Hash函数，因此成本很低。 锁定标签：锁定标签：对于唯一标志号为ID的标签，首先阅读器随机产生该标签的Key，计算metaID=Hash(Key)，将metaID发送给标签；标签将metaID存储下来，进入锁定状态。阅读器将(metaID，Key，ID)存储到后台数据库中，并以metaID 为索引。哈希哈希(Hash)锁方案（锁方案（Hash lock） 解锁标签：解锁标签：阅读器询问标签时，标签回答metaID；阅读器查询后台数据库，找到对应的(metaID，Key，ID)记录，然后将该Key值发送给标签；标签收到Key值后，计算Hash(Key)值，并与自身存储的me

14、taID值比较，若Hash(Key)=metaID，标签将其ID发送给阅读器，这时标签进入已解锁状态，并为附近的阅读器开放所有的功能。哈希哈希(Hash)锁方案（锁方案（Hash lock） v方法的优点：方法的优点：解密单向Hash函数是较困难的，因此该方法可以阻止未授权的阅读器读取标签信息数据，在一定程度上为标签提供隐私保护；该方法只需在标签上实现一个Hash函数的计算，以及增加存储metaID值，因此在低成本的标签上容易实现。v方法的缺陷：方法的缺陷：由于每次询问时标签回答的数据是特定的，因此其不能防止位置跟踪攻击；阅读器和标签问传输的数据未经加密，窃听者可以轻易地获得标签Key和ID值

15、。哈希哈希(Hash)锁方案（锁方案（Hash lock） v三、标签认证 三次认证v四、标签加密规范面解决方案规范面解决方案可规范可规范RFID使用的现行法律使用的现行法律v电脑处理个人资料保护法 v个人资料保护法草案 v商品标示法v消费者保护法四、四、RFID的安全解决方案的安全解决方案 其他其他RFID相关的规范与草案相关的规范与草案vEPIC的RFID使用指导纲领v电子权利法草案 (Electronic Bill of Rights)vRFID权利法草案 (RFID Bill of Rights)v标签资料拥有权之探讨五五、RFID信息安全和风险评估信息安全和风险评估 这样一个案例：这

16、样一个案例：某工厂一名受人信赖、有某工厂一名受人信赖、有11 年工年工龄的雇员负责公司内部的网络构建和维护，当他不再受到龄的雇员负责公司内部的网络构建和维护，当他不再受到公司的重视并意识到将因表现和行为问题被解雇时，就在公司的重视并意识到将因表现和行为问题被解雇时，就在系统中设置了摧毁系统的软件定时炸弹。由于被解雇的网系统中设置了摧毁系统的软件定时炸弹。由于被解雇的网络管理员是唯一负责文件服务器的维护、保护和备份的雇络管理员是唯一负责文件服务器的维护、保护和备份的雇员，信息系统崩溃后，公司只能雇用程序员重建系统，而员，信息系统崩溃后，公司只能雇用程序员重建系统，而原来保存在系统中的珍贵的设计方

17、案也全部丢失，该公司原来保存在系统中的珍贵的设计方案也全部丢失，该公司立即丧失了它原来的工业地位，损失超过立即丧失了它原来的工业地位，损失超过1000 万美元。万美元。从上面的例子可以看出，除了技术保障之外，如果没有合从上面的例子可以看出，除了技术保障之外，如果没有合适的组织管理，企业信息系统（包括适的组织管理，企业信息系统（包括RFID 系统）的安全系统）的安全会受到相当大的威胁。会受到相当大的威胁。五五、RFID信息安全和风险评估信息安全和风险评估 安全风险评估安全风险评估是一种信息安全的管理方法，是通过实施综合的风险评估和标识组织的风险并进而确定解决方案。安全风险评估在信息安全风险管理中起着核心的作用，它有助于组织对其使用的信息技术进行评估，并帮助组织的决策者作出相关的信息保护决策。 五五、RFID信息安全和风险评估