RFID的安全與隱私（上）

無線射頻識別(RFID)是一種遠程存儲和獲取數據的方法，其中使用了一個稱為標簽(Tag)的小設備。在典型的RFID系統(tǒng)中，每個物體裝配著這樣一個小的、低成本的標簽。系統(tǒng)的目的就是使標簽發(fā)射的數據能夠被閱讀器讀取，并根據特殊的應用需求由后臺服務器進行處理。標簽發(fā)射的數據可能是身份、位置信息，或攜帶物體的價格、顏色、購買數據等。

RFID標簽被認為是條碼的替代，具有體積小、易于嵌入物體當中、無需接觸就能大量地進行讀取等優(yōu)點。另外，RFID標識符較長，可使每一個物體具有一個唯一的編碼，唯一性使得物體的跟蹤成為可能。該特征可幫助企業(yè)防止偷盜、改進庫存管理、方便商店和倉庫的清點。此外，使用RFID技術，可極大地減少消費者在付款柜臺前的等待時間。

但是，隨著RFID能力的提高和標簽應用的日益普及，安全問題，特別是用戶隱私問題變得日益嚴重。用戶如果帶有不安全的標簽的產品，則在用戶沒有感知的情況下，被附近的閱讀器讀取，從而泄露個人的敏感信息，例如金錢、藥物(與特殊的疾病相關聯(lián))、書(可能包含個人的特殊喜好)等，特別是可能暴露用戶的位置隱私，使得用戶被跟蹤。

因此，在RFID應用時，必須仔細分析所存在的安全威脅，研究和采取適當的安全措施，既需要技術方面的措施，也需要政策、法規(guī)方面的制約。

1  RFID技術及其系統(tǒng)組成

1.1系統(tǒng)組成

基本的RFID系統(tǒng)主要由3部分組成，如圖1所示，包括：

(1)標簽

標簽放置在要識別的物體上，攜帶目標識別數據，是RFID系統(tǒng)真正的數據載體，由耦合元件以及微電子芯片(包含調制器、編碼發(fā)生器、時鐘及存儲器)組成。

(2)閱讀器

閱讀器用于讀或讀/寫標簽數據的裝置，由射頻模塊(發(fā)送器和接收器)、控制單元、與標簽連接的藕合單元組成。

(3)后臺服務器

后臺服務器包含數據庫處理系統(tǒng)，存儲和管理標簽相關信息，如標簽標識、閱讀器定位、讀取時間等。后臺服務器接收來自可信的閱讀器獲得的標簽數據，將數據輸入到它自身的數據庫里，且提供對訪問標簽相關數據的編號。

1.2工作原理

RFID系統(tǒng)的基本工作原理是：閱讀器與標簽之間通過無線信號建立雙方通信的通道，閱讀器通過天線發(fā)出電磁信號，電磁信號攜帶了閱讀器向標簽的查詢指令。當標簽處于閱讀器工作范圍時，標簽將從電磁信號中獲得指令數據和能量，并根據指令將標簽標識和數據以電磁信號的形式發(fā)送給閱讀器，或根據閱讀器的指令改寫存儲在RFID標簽中的數據。閱讀器可接收RFID標簽發(fā)送的數據或向標簽發(fā)送數據，并能通過標準接口與后臺服務器通信網絡進行對接，實現(xiàn)數據的通信傳輸。

根據標簽能量獲取方式，RFID系統(tǒng)工作方式可分為：近距離的電感耦合方式和遠距離的電磁耦合方式。

2  RFID的安全和隱私問題

2.1RFID的隱私威脅

RFID面臨的隱私威脅包括：標簽信息泄漏和利用標簽的唯一標識符進行的惡意跟蹤。

信息泄露是指暴露標簽發(fā)送的信息，該信息包括標簽用戶或者是識別對象的相關信息。例如，當RFID標簽應用于圖書館管理時，圖書館信息是公開的，讀者的讀書信息任何其他人都可以獲得。當RFID標簽應用于醫(yī)院處方藥物管理時，很可能暴露藥物使用者的病理，隱私侵犯者可以通過掃描服用的藥物推斷出某人的健康狀況。當個人信息比如電子檔案、生物特征添加到RFID標簽里時，標簽信息泄露問題便會極大地危害個人隱私。如美國原計劃2005年8月在入境護照上裝備電子標簽的計劃[1-2]因為考慮到信息泄露的安全問題而被遲。

RFID系統(tǒng)后臺服務器提供有數據庫，標簽一般不需包含和傳輸大量的信息。通常情況下，標簽只需要傳輸簡單的標識符，然后，通過這個標識符訪問數據庫獲得目標對象的相關數據和信息。因此，可通過標簽固定的標識符實施跟蹤，即使標簽進行加密后不知道標簽的內容，仍然可以通過固定的加密信息跟蹤標簽。也就是說，人們可以在不同的時間和不同的地點識別標簽，獲取標簽的位置信息。這樣，攻擊者可以通過標簽的位置信息獲取標簽攜帶者的行蹤，比如得出他的工作地點，以及到達和離開工作地點的時間。

雖然利用其他的一些技術，如視頻監(jiān)視、全球移動通信系統(tǒng)(GSM)、藍牙等，也可進行跟蹤。但是，RFID標簽識別裝備相對低廉，特別是RFID進入老百姓日常生活以后，擁有閱讀器的人都可以掃描并跟蹤他人。而且，被動標簽信號不能切斷，尺寸很小極易隱藏，使用壽命長，可自動識別和采集數據，從而使惡意跟蹤更容易。

2.2跟蹤問題的層次劃分

RFID系統(tǒng)根據分層模型可劃分為3層：應用層、通信層和物理層，如圖2所示。

惡意跟蹤可分別在此3個層次內進行[3]。

(1)應用層

處理用戶定義的信息，如標識符。為了保護標識符，可在傳輸前變換該數據，或僅在滿足一定條件時傳送該信息。標簽識別、認證等協(xié)議在該層定義。

通過標簽標識符進行跟蹤是目前的主要手段。因此，解決方案要求每次識別時改變由標簽發(fā)送到閱讀器的信息，此信息或者是標簽標識符，或者是它的加密值。

(2)通信層

定義閱讀器和標簽之間的通信方式。防碰撞協(xié)議和特定標簽標識符的選擇機制在該層定義。該層的跟蹤問題來源于兩個方面：一是基于未完成的單一化(Singulation)會話攻擊，二是基于缺乏隨機性的攻擊。

防碰撞協(xié)議分為兩類：確定性協(xié)議和概率性協(xié)議。確定性防碰撞協(xié)議基于標簽唯一的靜態(tài)標識符，對手可以輕易地追蹤標簽。為了避免跟蹤，標識符需要是動態(tài)的。然而，如果標識符在單一化過程中被修改，便會破壞標簽單一化。因此，標識符在單一化會話期間不能改變。為了阻止被跟蹤，每次會話時應使用不同的標識符。但是，惡意的閱讀器可讓標簽的一次會話處于開放狀態(tài)，使標簽標識符不改變，從而進行跟蹤。概率性防碰撞協(xié)議也存在這樣的跟蹤問題。另外，概率性防碰撞協(xié)議，如Aloha協(xié)議，不僅要求每次改變標簽標識符，而且，要求是完美的隨機化，以防止惡意閱讀器的跟蹤。

(3)物理層

定義物理空中接口，包括頻率、傳輸調制、數據編碼、定時等。在閱讀器和標簽之間交換的物理信號使對手在不理解所交換的信息的情況下也能區(qū)別標簽或標簽集。

無線傳輸參數遵循已知標準，使用同一標準的標簽發(fā)送非常類似的信號，使用不同標準的標簽發(fā)送的信號很容易區(qū)分�？梢韵胂螅瑤啄旰�，我們可能攜帶嵌有標簽的許多物品在大街上行走，如果使用幾個標準，每個人可能帶有特定標準組合的標簽，這類標準組合使對人的跟蹤成為可能。該方法特別地利于跟蹤某些類型的人，如軍人或安全保安人員。

類似地，不同無線指紋的標簽組合，也會使跟蹤成為可能。

2.3RFID的安全威脅

RFID應用廣泛，可能引發(fā)各種各樣的安全問題。在一些應用中，非法用戶可利用合法閱讀器或者自構一個閱讀器對標簽實施非法接入，造成標簽信息的泄露。在一些金融和證件等重要應用中，攻擊者可篡改標簽內容，或復制合法標簽，以獲取個人利益或進行非法活動。在藥物和食品等應用中，偽造標簽，進行偽劣商品的生產和銷售。實際中，應針對特定的RFID應用和安全問題，分別采取相應的安全措施。

下面，根據EPCglobal標準組織定義的EPCglobal系統(tǒng)架構[4]和一條完整的供應鏈[5-6]， 縱向和橫向分別描述RFID面臨的安全威脅和隱私威脅。

2.4EPCglobal系統(tǒng)的縱向安全和隱私威脅分析

EPCglobal系統(tǒng)架構和所面臨的安全威脅如圖3所示。主要由標簽、閱讀器、電子物品編碼(EPC)中間件、電子物品編碼信息系統(tǒng)(EPCIS)、物品域名服務(ONS)以及企業(yè)的其他內部系統(tǒng)組成。其中EPC中間件主要負責從一個或多個閱讀器接收原始標簽數據，過濾重復等冗余數據；EPCIS主要保存有一個或多個EPCIS級別的事件數據；ONS主要負責提供一種機制，允許內部、外部應用查找EPC相關EPCIS數據。

從下到上，可將EPCglobal整體系統(tǒng)劃分為3個安全域：標簽和閱讀器構成的無線數據采集區(qū)域構成的安全域、企業(yè)內部系統(tǒng)構成的安全域、企業(yè)之間和企業(yè)與公共用戶之間供數據交換和查詢網絡構成的安全區(qū)域。個人隱私威脅主要可能出現(xiàn)在第一個安全域，即標簽、空口無線傳輸和閱讀器之間，有可導致個人信息泄露和被跟蹤等。另外，個人隱私威脅還可能出現(xiàn)在第三個安全域，如果ONS的管理不善，也可能導致個人隱私的非法訪問或濫用。安全與隱私威脅存在于如下各安全域：

(1)標簽和閱讀器構成的無線數據采集區(qū)域構成的安全域�？赡艽嬖诘陌踩�威脅包括標簽的偽造、對標簽的非法接入和篡改、通過空中無線接口的竊聽、獲取標簽的有關信息以及對標簽進行跟蹤和監(jiān)控。

(2)企業(yè)內部系統(tǒng)構成的安全域。企業(yè)內部系統(tǒng)構成的安全域存在的安全威脅與現(xiàn)有企業(yè)網一樣，在加強管理的同時，要防止內部人員的非法或越權訪問與使用，還要防止非法閱讀器接入企業(yè)內部網絡。

(3)企業(yè)之間和企業(yè)與公共用戶之間供數據交換和查詢網絡構成的安全區(qū)域。ONS通過一種認證和授權機制，以及根據有關的隱私法規(guī)，保證采集的數據不被用于其他非正常目的的商業(yè)應用和泄露，并保證合法用戶對有關信息的查詢和監(jiān)控。

2.5供應鏈的橫向安全和隱私威脅分析

一個較完整的供應鏈及其面對的安全與隱私威脅如圖4所示，包括供應鏈內、商品流通和供應鏈外等3個區(qū)域，具體包括商品生產、運輸、分發(fā)中心、零售商店、商店貨架、付款柜臺、外部世界和用戶家庭等環(huán)節(jié)。圖中前4個威脅為安全威脅，后7個威脅為隱私威脅。其中，安全威脅包括：