基于分級的RFID隱私安全

　　隨著(zhù)標簽制造成本的下降，RFID技術(shù)的應用必將更加廣泛，隨之帶來(lái)一系列安全與隱私問(wèn)題。文中介紹了RFID應用可能產(chǎn)生的安全與隱私威脅，以及數據保護的若干方案，描述了一個(gè)假定應用場(chǎng)合中的安全威脅，主要介紹基于分級的RFID隱私保護方法。

　　射頻識別(Radio Frequency Identification，RFID)技術(shù)是射頻信號通過(guò)電磁耦合實(shí)現無(wú)接觸信息傳遞，并通過(guò)所傳遞的信息達到識別目的的技術(shù)。由于可以方便快捷的實(shí)現自動(dòng)識別、信息共享等，RFID技術(shù)在交通運輸、倉儲管理、電子票務(wù)和電子支付等領(lǐng)域有廣泛的應用前景。

　　該系統通常由標簽、閱讀器和射頻網(wǎng)絡(luò )組成，標簽內存儲有一定格式的電子數據，常以此作為依據識別物體;閱讀器與標簽之間以約定的通信協(xié)議傳遞信息;射頻網(wǎng)絡(luò )主要由中間件、ONS(Object Name Service)和IS(Information Sever)三部分組成，提供即時(shí)的信息交互功能。圖1所示為一個(gè)簡(jiǎn)易的RFID系統構架，系統工作過(guò)程如下：

　　(1)閱讀器把查詢(xún)得到的標簽信息發(fā)送到中間件，中間件把收到的標簽代碼轉換為ONS可讀碼，然后通過(guò)轉換的代碼為ONS請求Is的URL，ONS解析與所傳輸代碼相應的URL并發(fā)回到中間件。

　　(2)使用獲得的URL和標簽信息，中間件查詢(xún)Is，Is在數據庫中尋找匹配信息。

　　(3)通過(guò)中間件或應用系統，Is把查詢(xún)到的信息發(fā)回給閱讀器。

　　1 RFID的安全與隱私威脅

　　1.1 RFID的隱私威脅

　　隱私權是個(gè)人有其信息不受侵犯的權利。在RFID系統中，射頻波能透過(guò)建筑物或金屬傳遞，使標簽和閱讀器可以嵌入到任何物體之中;其次閱讀器和標簽之間是無(wú)線(xiàn)通信，信道竊聽(tīng)問(wèn)題異常嚴重;再者，標簽資源有限，加密算法與接人過(guò)程相對簡(jiǎn)單;以上原因讓攻擊者有大量漏洞可以使用，而對標簽的控制更使攻擊者獲取現實(shí)利益，由此增大了RFID系統的安全與隱私危險，下面是幾種常見(jiàn)的威脅。

　　1)跟蹤 用戶(hù)攜帶有標簽或在購買(mǎi)帶標簽的商品時(shí)可能因為被監視而泄漏個(gè)人信息或暴露所在位置。

　　2)喜好威脅 商品的標簽標明制造商、產(chǎn)品類(lèi)型和其它特征，在顧客購買(mǎi)商品時(shí)會(huì )暴露顧客的品質(zhì)偏好和個(gè)性特征。

　　3)布局威脅 不管用戶(hù)的身份是否與標簽集關(guān)聯(lián)，每個(gè)人周?chē)夹纬商囟ǖ臉撕灨窬?，廣告商可以利用這種布局跟蹤顧客。

　　4)泄密 由于RFID系統讀取速度快，可以迅速對供應鏈中所有商品進(jìn)行掃描并跟蹤變化等，而被用來(lái)竊取商業(yè)機密。

　　1.2 RFID安全威脅的一個(gè)設想

　　相對于中高頻的RFID系統，工作在800 MHz(歐洲)/900 MHz(美國)的超市超高頻RFID系統的讀取距離更遠，數據率更高。但在這些工作頻率下，射頻波容易被水或金屬吸收而人體的主要成份就是水，射頻波會(huì )給人體帶來(lái)傷害;更重要的是，消費者購買(mǎi)罐裝飲料等商品時(shí)，由于射頻波被吸收使得閱讀器和標簽之間的通信不再精確，擾亂正常的支付過(guò)程。

　　下面描述～個(gè)對超市RFID系統工作構成嚴重威脅的場(chǎng)景。

　　(1)超市已構建RFID系統并實(shí)現倉儲管理、出售商品的自動(dòng)化收費等功能，超市管理者使用的閱讀器可以讀寫(xiě)商品標簽數據(寫(xiě)標簽數據時(shí)需要接人密鑰)，考慮到價(jià)格調整等因素，標簽數據必須能夠多次讀寫(xiě)。

　　(2)移動(dòng)RFID用戶(hù)自身攜帶有嵌入在手機或PDA中的閱讀器，該閱讀器可以?huà)呙璩兄猩唐返臉撕炓垣@得產(chǎn)品的制造商、生產(chǎn)日期和價(jià)格等詳細信息。

　　(3)通過(guò)信道監聽(tīng)信息截獲、暴力破解(利用定向天線(xiàn)和數字示波器監控標簽被讀取時(shí)的功率消耗，確定標簽何時(shí)接受了正確的密碼位)或其他人為因素，攻擊者得到寫(xiě)標簽數據所需的接人密鑰。

　　(4)利用標簽的接人密鑰，攻擊者隨意修改標簽數據，更改商品價(jià)格，甚至“kill”標簽導致超市的商品管理和收費系統陷入混亂以謀取個(gè)人私利。

　　2 數據保護方案

　　1)自毀與休眠商品被購買(mǎi)以后，標簽從閱讀器那里接收到“kill”命令后永久失效，但在圖書(shū)館或租賃店等場(chǎng)合，標簽在使用周期內必須有效而不能一次性“kill”;休眠與自毀相似，但是休眠標簽可以通過(guò)“wake up”激活后再次使用。

　　2)加密被動(dòng)式標簽不能將標簽上的數據傳送給閱讀器，加密應該成為最起碼信息保護手段。但是加密的標識符本身恰恰就是一個(gè)標識符，此外引入密鑰管理后的成本問(wèn)題使加密難以應用于低成本的標簽中。

　　3)移動(dòng)RFID 使用具有RFID閱讀器功能的手機或PDA，而不是公共RFID閱讀器獲取或修改標簽數據，標簽被跟蹤的危險有所降低，然而移動(dòng)的閱讀器本身也會(huì )被跟蹤而帶來(lái)安全隱患，此時(shí)的隱私威脅不僅涉及標簽攜帶者，還關(guān)系到閱讀器攜帶者的隱私。

　　4)阻止標簽 由A.Juels，et a1.提出，不需要修改標簽，而是在標簽中加入一個(gè)稱(chēng)為隱私比特的可變比特，“0”把標簽標識為公有標簽;“1”把標簽標識為隱私標簽，用來(lái)防止對隱私標簽的非授權掃描。

　　5)Hash.Lockl2 由S.Weis，et al.提出。標簽收到查詢(xún)請求時(shí)返回一個(gè)hash值，如果閱讀器發(fā)送了正確的逆向hash值，標簽返回其標識符，該方案需要對后臺的標簽和密鑰管理應用單向hash函數。隨機Hash Lock是一種改進(jìn)方案，能確保本地隱私安全，然而后臺必須完成大量hash工作，標簽上還要有隨機數產(chǎn)生器。還有一種“基于Hash的ID變化”方案，每次閱讀器查詢(xún)請求時(shí)標簽改變一次標識符，需要在后臺引入相關(guān)數據庫。

　　此外，有人提出標簽原始ID隱藏和clG2協(xié)議改進(jìn)兩種方法保護移動(dòng)RFID的隱私安全。沒(méi)有哪種方案可以確保RFID信息的安全，各種安全或隱私保護方法都有自身優(yōu)勢和不足。針對不同的應用場(chǎng)合，采取綜合的保護策略才能更好的保護消費者權益，下面提出一種基于隱私分級的隱私保護策略。

　　3 基于分級的RFID隱私保護

　　3.1 系統結構

　　圖2所示為隱私分級構架的核心部分。通過(guò)Pc等終端，標簽擁有者可以設置標簽的隱私等級(Privacy Leve1.PL)和接人控制等級(Access Control Leve1.ACL)。閱讀器請求查詢(xún)時(shí)標簽返回已確定的PTJ，閱讀器將其發(fā)送到后臺Is，Is分析請求的數據包，并根據所設置的PL提供相對應的信息服務(wù)。

　　3.2 隱私分級(PL)

　　PL的設置包括PL設置和ACL設置兩個(gè)部分。隱私等級表示所有者向公眾開(kāi)放信息的隨意度。如表1所示，根據個(gè)人隱私敏感程度不同以及設置者的個(gè)人偏好和所處環(huán)境，標簽中設置了5個(gè)PL。1級標簽可以提供所有自身相關(guān)信息，而5級標簽不會(huì )提供任何信息，即標簽進(jìn)入休眠或鎖狀態(tài)，除非收到激活碼或解鎖等口令信息，標簽不會(huì )相應任何查詢(xún)。

　　定義這樣的PL對于在RFID分析所需的PL和貫徹隱私政策相當有用。

　　閱讀器閱讀標簽時(shí)，標簽確認其PL，然后把PL和其他所需信息像標識碼一起發(fā)回到閱讀器。如果需要屏蔽標簽，就把標簽的PL設置為5級，不響應任何查詢(xún)。

　　通過(guò)傳輸已得到的包含PL信息的信息包，Is根據PL把相關(guān)信息發(fā)送至閱讀器或應用系統。

　　3.3 接入控制分級(ACL)

　　對于確保隱私安全和根據隱私級別進(jìn)行的標簽高級安全管理，接人控制等級十分重要，有助于解決攻擊者在未授權的情況下改變隱私等級。根據用戶(hù)策略 (信息量的大小和重要性)可以把接人控制等級分兩類(lèi)：標簽接人控制等級(ACL )和Is接人控制等級(ACL )，兩者可共存，所需接人數據略有不同，表2所示為ACL 。為支持接人控制功能，IS需要有良好的性能和處理能力。

　　需要強調的是，接人控制等級和所需的接人信息成正比，為從標簽或Is請求更高接人控制等級的數據，用戶(hù)需要更安全的認證過(guò)程。表3所示為加入隱私等級和接人控制等級后的標簽數據結構，其中Flag為ACL 控制標識，為0時(shí)關(guān)閉ACLIS，為1時(shí)啟用ACLIS。

　　3.4 隱私保護機制

　　圖3所示為所提出的隱私保護機制。圖3中的控制者即為標簽所有者，他根據個(gè)人的偏好、習慣等設置PL。

　　根據控制者的設定，在閱讀器閱讀標簽時(shí)IS可以提供不同的信息。具體過(guò)程如下：

　　1)首先控制者根據表1中的PL將信息分級。然后根據等級分類(lèi)結果，確定隱私等級PL 并寫(xiě)入標簽。當然，該PTJ 可重復寫(xiě)。類(lèi)似地，控制者通過(guò)等級設置系統(提供已定義的相關(guān)隱私策略模板和良好的用戶(hù)接口)設置其自身的隱私策略。策略服務(wù)器中有兩類(lèi)策略：固有策略和控制者設置的策略(設置者可修改)，其中前者的優(yōu)先級高于后者。

　　2)PL-r已定義并寫(xiě)進(jìn)標簽和IS后，系統進(jìn)入隱私保護服務(wù)階段。之前，RFID系統處于默認狀態(tài)，只提供對隱私無(wú)害的非重要信息。

　　3)該機制的工作過(guò)程如下：

　?、匍喿x器訪(fǎng)問(wèn)標簽時(shí)，標簽自檢其PL和ACL，根據不同的隱私等級或是接人控制等級，忽略閱讀器的查詢(xún)信息或發(fā)回包含標簽ID，隱私等級和IS接人等級(Flag為0時(shí))在內的信息包。

　?、谌绻喿x器收到標簽數據包，它把數據包發(fā)到網(wǎng)絡(luò )，由此閱讀器在通過(guò)中間件或是ONS的ISURL解析之后請求接人IS。

　?、跧s中首先就是解析收到的信息包，取回PLT和ACL 并予以驗證。

　?、苋绻枰脩?hù)的接人控制，根據已定義的ACL進(jìn)行用戶(hù)驗證，如果通過(guò)驗證，轉入⑤ ，否則忽略查詢(xún)。

　?、軮s依據PL處理請求提供相應信息。信息服務(wù)器儲存事件日志并使用安全手段通報控制者。通過(guò)日志監測，標簽所有者可以修改標簽或IS中的PL 。

　　3.5 IS接入控制

　　接人控制由標簽儲存的IS接人控制等級確定，該信息應置于安全保護中，如通過(guò)認證和授權才能獲得。圖4所示為認證過(guò)程，用戶(hù)的認證基于ID口令、公共認證等。用戶(hù)通過(guò)認證后，信息服務(wù)器把結果反饋給閱讀器。

　　在實(shí)際的RFID系統中實(shí)現這種保護機制有一定困難，隱私策略的定義、實(shí)體間的安全通信和控制等都不易解決。這種安全保護方案的提供，便于為用戶(hù)提供更多的安全保護選擇，特別是把隱私分級后，用戶(hù)可以靈活的利用RFID技術(shù)。

　　4 結束語(yǔ)

　　在國內，RFID技術(shù)的應用目前局限于電子票務(wù)和二代身份證等，它的安全與隱私威脅還沒(méi)有完全浮現。由于標簽資源受限，人們對RFID面臨的安全與隱私威脅尚不夠重視，文中描述的只是部分安全與隱私威脅和解決方案。隨著(zhù)RFID應用的進(jìn)一步普及，它所產(chǎn)生的問(wèn)題也將更明顯的呈現于我們面前，作者期望采取一定措施，防患于未然，使消費者在享受RFID技術(shù)便捷、高效的同時(shí)，不必為個(gè)人信息泄漏而擔憂(yōu)。