正确对待RFID应用与隐私保护
作者:小宝
来源:RFID信息网
日期:2007-07-30 11:29:33
摘要:在现实生活中,一些医院正采用RFID标签对病人进行跟踪和识别,个别军队、警察也在对人体植入RFID标签的应用进行测试。游走于便利与隐私之中的RFID到底该怎么用?如何既充分发挥RFID的优势,又能避免使用者的隐私被侵犯?个人认为,应该从以下几方面着手:一是让使用者有充分的知情。二是标签储存适宜的数据量。三是技术手段的应用。
RFID自应用之处就一直为隐私保护问题所困扰。2007年4月,美国加州上院通过了一项议案,将把RFID技术在驾驶执照和学校ID卡中的应用延期三年实施。来自加州帕罗奥多的民主党人、州议员Joe Simitian提出了代号为S.B.28和S.B.29的两个议案来阻止RFID技术在该州的使用。第一条议案将禁止加州机动车当局发放采用RFID来传输个人信息的驾驶执照;第二条议案将禁止公立学校、公立学区和国家教育机构采用RFID来跟踪、监视和记录学生的校园活动。Simitian是加州上议院隐私问题专门委员会主席,其议案获得了美国共和党和民主党对这两项法案的支持:涉及驾驶执照的议案以31比6的得票数获得了通过,而涉及学生的议案以28比5的得票数获得通过。
2007年7月,欧洲国会科技选择评估(European Parliament’s Scientific Technology Options Assessment)委员会发布了一份长86页、名为“RFID技术和身份管理在日常生活的应用”的报告。该报告围绕RFID技术的概念、效益和欧洲消费者、RFID厂家和应用商对RFID应用的种种关注进行一番研究。报告构建了未来几年RFID的可能应用场景和所能实现的功能,并讨论了RFID应用可能给个人隐私和其他问题造成的影响。根据案例研究和采访,报告得出结论:RFID应用目前在欧洲不会对携带标签人员的隐私(不论是自愿、不知情情况下或是政府等规定携带)造成显著的消积影响;然而,滥用RFID技术确实可能对隐私造成消极影响。
而在现实生活中,一些医院正采用RFID标签对病人进行跟踪和识别,个别军队、警察也在对人体植入RFID标签的应用进行测试。游走于便利与隐私之中的RFID到底该怎么用?如何既充分发挥RFID的优势,又能避免使用者的隐私被侵犯?个人认为,应该从以下几方面着手:
一是让使用者有充分的知情。
一方面是人的知情。RFID的应用应当给部署者和使用者都带来利益。毫无疑问,部署RFID系统的主要目的之一就是采集数据,部署者在获得这些数据前必须完全地告知使用者,比如,在门禁系统中使用RFID标签,会记录门禁卡使用人出入的时间与频率;商品上使用RFID标识,可能会泄露消费者的个人隐私等等。另外一方面是技术的知情。RFID技术还没有发展到随时随地都能读取的地步,其作用距离、影响都比较有限,部分消费者和政策制定者为RFID技术的神秘性所恐惧,仿佛RFID技术无所不能,客观上阻碍了RFID技术的应用。
二是标签储存适宜的数据量。
一般情况下,RFID标签内只储存代码为宜,主要原因有二,一是简短的代码为快速、大量地读取RFID标签数据提供了基础;二是安全性方面的考虑。RFID标签由于成本和技术的限制,鲁棒性和保密性相当较弱,Gartner公司RFID研究副总裁保罗·普洛科特说:"有些RFID技术的安全性是足以满足那些需求的,但是仍然有些人认为它们的安全性不够。因为要做到绝对的安全是不可能的,因此,他们认为你不应该在护照、ID卡、信用卡以及其他任何包含个人敏感信息的地方使用RFID技术。" 只有在查询代码满足不了要求的情况下,才考虑写入较多数据。有些情况下无法保证所有时间都能够正确而及时地电子数据交换,则需要RFID担任EDI的部分功能。
三是技术手段的应用。
一是从主动的保护好信号的发射和接收方面考虑。在标签上采用将贴有RFID 标签的商品放入由金属网罩或金属箔片组成的容器中,并将敏感部分完全遮盖住,形成一个法拉第网罩,从而阻止标签和阅读器的通信。但如果没件物品都要罩上这样一个网罩,费时又费力,很难得以大规模实施。为此有人提出来采用主动干扰法,通过安装主动广播干扰信号的设备,使得在一定范围内标签不能够被读取,当然这样做也有问题:一旦不在干扰范围内,标签一样能够被读取或者修改;在干扰范围附近就存在合法的RFID系统时也可能会收到不期望的干扰出现,因此这并非是万全之策,也只能在小范围适用。
二是使用加密技术。通过软件或者硬件形式对身份及其所保存的数据进行加密,使之不能够直接被读取到。目前最成功的就是在RFID中嵌入加密ID,别人即使读取到ID,也不会知道是什么内容。但这样也势必要增加成本,而且在读取时也变得更加复杂。因此在现阶段,高安全等级的加密技术还有待进一步降低价格以推动普及。
三是在标签中增加一个Hash开关,标签中首先按照一定的Hash算法对存储内容进行运算后进行保存,然后生成签名私钥对Hash运算得出的简洁数据进行加密签名;接收者收到签名后,用标签提供的公钥进行解密,得到解密后的Hash运算结果和内容。此时,阅读器只需要计算出该内容的Hash运算结果并与解密得到的Hash运算结果进行比较,即可知道该标签内容的真伪。但问题是,这只是阻挡了对内容的读取,标签所发出的信号仍然是可以被追踪到的,也不利于保护其隐私。四是Kill指令,即通过KILL指令实现现场禁用标签,使数据永远不能再被访问。例如,当带标签的物品被消费者购买后,销售人员可以现场执行KILL命令,来关闭标签,使得物品将不能够通过标签来进行跟踪。EPC G2标签芯片中已经开始加入了指令。
附1:“RFID技术和身份管理在日常生活的应用”报告(英文):
2007年7月,欧洲国会科技选择评估(European Parliament’s Scientific Technology Options Assessment)委员会发布了一份长86页、名为“RFID技术和身份管理在日常生活的应用”的报告。该报告围绕RFID技术的概念、效益和欧洲消费者、RFID厂家和应用商对RFID应用的种种关注进行一番研究。报告构建了未来几年RFID的可能应用场景和所能实现的功能,并讨论了RFID应用可能给个人隐私和其他问题造成的影响。根据案例研究和采访,报告得出结论:RFID应用目前在欧洲不会对携带标签人员的隐私(不论是自愿、不知情情况下或是政府等规定携带)造成显著的消积影响;然而,滥用RFID技术确实可能对隐私造成消极影响。
而在现实生活中,一些医院正采用RFID标签对病人进行跟踪和识别,个别军队、警察也在对人体植入RFID标签的应用进行测试。游走于便利与隐私之中的RFID到底该怎么用?如何既充分发挥RFID的优势,又能避免使用者的隐私被侵犯?个人认为,应该从以下几方面着手:
一是让使用者有充分的知情。
一方面是人的知情。RFID的应用应当给部署者和使用者都带来利益。毫无疑问,部署RFID系统的主要目的之一就是采集数据,部署者在获得这些数据前必须完全地告知使用者,比如,在门禁系统中使用RFID标签,会记录门禁卡使用人出入的时间与频率;商品上使用RFID标识,可能会泄露消费者的个人隐私等等。另外一方面是技术的知情。RFID技术还没有发展到随时随地都能读取的地步,其作用距离、影响都比较有限,部分消费者和政策制定者为RFID技术的神秘性所恐惧,仿佛RFID技术无所不能,客观上阻碍了RFID技术的应用。
二是标签储存适宜的数据量。
一般情况下,RFID标签内只储存代码为宜,主要原因有二,一是简短的代码为快速、大量地读取RFID标签数据提供了基础;二是安全性方面的考虑。RFID标签由于成本和技术的限制,鲁棒性和保密性相当较弱,Gartner公司RFID研究副总裁保罗·普洛科特说:"有些RFID技术的安全性是足以满足那些需求的,但是仍然有些人认为它们的安全性不够。因为要做到绝对的安全是不可能的,因此,他们认为你不应该在护照、ID卡、信用卡以及其他任何包含个人敏感信息的地方使用RFID技术。" 只有在查询代码满足不了要求的情况下,才考虑写入较多数据。有些情况下无法保证所有时间都能够正确而及时地电子数据交换,则需要RFID担任EDI的部分功能。
三是技术手段的应用。
一是从主动的保护好信号的发射和接收方面考虑。在标签上采用将贴有RFID 标签的商品放入由金属网罩或金属箔片组成的容器中,并将敏感部分完全遮盖住,形成一个法拉第网罩,从而阻止标签和阅读器的通信。但如果没件物品都要罩上这样一个网罩,费时又费力,很难得以大规模实施。为此有人提出来采用主动干扰法,通过安装主动广播干扰信号的设备,使得在一定范围内标签不能够被读取,当然这样做也有问题:一旦不在干扰范围内,标签一样能够被读取或者修改;在干扰范围附近就存在合法的RFID系统时也可能会收到不期望的干扰出现,因此这并非是万全之策,也只能在小范围适用。
二是使用加密技术。通过软件或者硬件形式对身份及其所保存的数据进行加密,使之不能够直接被读取到。目前最成功的就是在RFID中嵌入加密ID,别人即使读取到ID,也不会知道是什么内容。但这样也势必要增加成本,而且在读取时也变得更加复杂。因此在现阶段,高安全等级的加密技术还有待进一步降低价格以推动普及。
三是在标签中增加一个Hash开关,标签中首先按照一定的Hash算法对存储内容进行运算后进行保存,然后生成签名私钥对Hash运算得出的简洁数据进行加密签名;接收者收到签名后,用标签提供的公钥进行解密,得到解密后的Hash运算结果和内容。此时,阅读器只需要计算出该内容的Hash运算结果并与解密得到的Hash运算结果进行比较,即可知道该标签内容的真伪。但问题是,这只是阻挡了对内容的读取,标签所发出的信号仍然是可以被追踪到的,也不利于保护其隐私。四是Kill指令,即通过KILL指令实现现场禁用标签,使数据永远不能再被访问。例如,当带标签的物品被消费者购买后,销售人员可以现场执行KILL命令,来关闭标签,使得物品将不能够通过标签来进行跟踪。EPC G2标签芯片中已经开始加入了指令。
附1:“RFID技术和身份管理在日常生活的应用”报告(英文):