基于分级的RFID隐私安全
作者:王小强 王鑫
来源:RFID世界网
日期:2007-12-25 17:22:19
摘要:随着标签制造成本的下降,RFID技术的应用必将更加广泛,随之带来一系列安全与隐私问题。文中介绍了RFID应用可能产生的安全与隐私威胁,以及数据保护的若干方案,描述了一个假定应用场合中的安全威胁,主要介绍基于分级的RFID隐私保护方法。
射频识别(Radio Frequency Identification,RFID)技术是射频信号通过电磁耦合实现无接触信息传递,并通过所传递的信息达到识别目的的技术。由于可以方便快捷的实现自动识别、信息共享等,RFID技术在交通运输、仓储管理、电子票务和电子支付等领域有广泛的应用前景。
该系统通常由标签、阅读器和射频网络组成,标签内存储有一定格式的电子数据,常以此作为依据识别物体;阅读器与标签之间以约定的通信协议传递信息;射频网络主要由中间件、ONS(Object Name Service)和IS(Information Sever)三部分组成,提供即时的信息交互功能。图1所示为一个简易的RFID系统构架,系统工作过程如下:
(1)阅读器把查询得到的标签信息发送到中间件,中间件把收到的标签代码转换为ONS可读码,然后通过转换的代码为ONS请求Is的URL,ONS解析与所传输代码相应的URL并发回到中间件。
(2)使用获得的URL和标签信息,中间件查询Is,Is在数据库中寻找匹配信息。
(3)通过中间件或应用系统,Is把查询到的信息发回给阅读器。
1 RFID的安全与隐私威胁
1.1 RFID的隐私威胁
隐私权是个人有其信息不受侵犯的权利。在RFID系统中,射频波能透过建筑物或金属传递,使标签和阅读器可以嵌入到任何物体之中;其次阅读器和标签之间是无线通信,信道窃听问题异常严重;再者,标签资源有限,加密算法与接人过程相对简单;以上原因让攻击者有大量漏洞可以使用,而对标签的控制更使攻击者获取现实利益,由此增大了RFID系统的安全与隐私危险,下面是几种常见的威胁。
1)跟踪 用户携带有标签或在购买带标签的商品时可能因为被监视而泄漏个人信息或暴露所在位置。
2)喜好威胁 商品的标签标明制造商、产品类型和其它特征,在顾客购买商品时会暴露顾客的品质偏好和个性特征。
3)布局威胁 不管用户的身份是否与标签集关联,每个人周围都形成特定的标签格局,广告商可以利用这种布局跟踪顾客。
4)泄密 由于RFID系统读取速度快,可以迅速对供应链中所有商品进行扫描并跟踪变化等,而被用来窃取商业机密。
1.2 RFID安全威胁的一个设想
相对于中高频的RFID系统,工作在800 MHz(欧洲)/900 MHz(美国)的超市超高频RFID系统的读取距离更远,数据率更高。但在这些工作频率下,射频波容易被水或金属吸收 而人体的主要成份就是水,射频波会给人体带来伤害;更重要的是,消费者购买罐装饮料等商品时,由于射频波被吸收使得阅读器和标签之间的通信不再精确,扰乱正常的支付过程。
下面描述~个对超市RFID系统工作构成严重威胁的场景。
(1)超市已构建RFID系统并实现仓储管理、出售商品的自动化收费等功能,超市管理者使用的阅读器可以读写商品标签数据(写标签数据时需要接人密钥),考虑到价格调整等因素,标签数据必须能够多次读写。
(2)移动RFID用户自身携带有嵌入在手机或PDA中的阅读器,该阅读器可以扫描超市中商品的标签以获得产品的制造商、生产日期和价格等详细信息。
(3)通过信道监听信息截获、暴力破解(利用定向天线和数字示波器监控标签被读取时的功率消耗,确定标签何时接受了正确的密码位)或其他人为因素,攻击者得到写标签数据所需的接人密钥。
(4)利用标签的接人密钥,攻击者随意修改标签数据,更改商品价格,甚至“kill”标签导致超市的商品管理和收费系统陷入混乱以谋取个人私利。
2 数据保护方案
1)自毁与休眠 商品被购买以后,标签从阅读器那里接收到“kill”命令后永久失效,但在图书馆或租赁店等场合,标签在使用周期内必须有效而不能一次性“kill”;休眠与自毁相似,但是休眠标签可以通过“wake up”激活后再次使用。
2)加密 被动式标签不能将标签上的数据传送给阅读器,加密应该成为最起码信息保护手段。但是加密的标识符本身恰恰就是一个标识符,此外引入密钥管理后的成本问题使加密难以应用于低成本的标签中。
3)移动RFID 使用具有RFID阅读器功能的手机或PDA,而不是公共RFID阅读器获取或修改标签数据,标签被跟踪的危险有所降低,然而移动的阅读器本身也会被跟踪而带来安全隐患,此时的隐私威胁不仅涉及标签携带者,还关系到阅读器携带者的隐私。
4)阻止标签 由A.Juels,et a1.提出 ,不需要修改标签,而是在标签中加入一个称为隐私比特的可变比特,“0”把标签标识为公有标签;“1”把标签标识为隐私标签,用来防止对隐私标签的非授权扫描。
5)Hash.Lockl2 由S.Weis,et al.提出。标签收到查询请求时返回一个hash值,如果阅读器发送了正确的逆向hash值,标签返回其标识符,该方案需要对后台的标签和密钥管理应用单向hash函数。随机Hash Lock是一种改进方案,能确保本地隐私安全,然而后台必须完成大量hash工作,标签上还要有随机数产生器。还有一种“基于Hash的ID变化”方案,每次阅读器查询请求时标签改变一次标识符,需要在后台引入相关数据库。
此外,有人提出标签原始ID隐藏和clG2协议改进 两种方法保护移动RFID的隐私安全。没有哪种方案可以确保RFID信息的安全,各种安全或隐私保护方法都有自身优势和不足。针对不同的应用场合,采取综合的保护策略才能更好的保护消费者权益,下面提出一种基于隐私分级的隐私保护策略。
3 基于分级的RFID隐私保护
3.1 系统结构
图2所示为隐私分级构架的核心部分。通过Pc等终端,标签拥有者可以设置标签的隐私等级(Privacy Leve1.PL)和接人控制等级(Access Control Leve1.ACL)。阅读器请求查询时标签返回已确定的PTJ,阅读器将其发送到后台Is,Is分析请求的数据包,并根据所设置的PL提供相对应的信息服务。
3.2 隐私分级(PL)
PL的设置包括PL设置和ACL设置两个部分。隐私等级表示所有者向公众开放信息的随意度。如表1所示,根据个人隐私敏感程度不同以及设置者的个人偏好和所处环境,标签中设置了5个PL。1级标签可以提供所有自身相关信息,而5级标签不会提供任何信息,即标签进入休眠或锁状态,除非收到激活码或解锁等口令信息,标签不会相应任何查询。
定义这样的PL对于在RFID分析所需的PL和贯彻隐私政策相当有用。
阅读器阅读标签时,标签确认其PL,然后把PL和其他所需信息像标识码一起发回到阅读器。如果需要屏蔽标签,就把标签的PL设置为5级,不响应任何查询。
通过传输已得到的包含PL信息的信息包,Is根据PL把相关信息发送至阅读器或应用系统。
3.3 接入控制分级(ACL)
对于确保隐私安全和根据隐私级别进行的标签高级安全管理,接人控制等级十分重要,有助于解决攻击者在未授权的情况下改变隐私等级。根据用户策略(信息量的大小和重要性)可以把接人控制等级分两类:标签接人控制等级(ACL )和Is接人控制等级(ACL ),两者可共存,所需接人数据略有不同,表2所示为ACL 。为支持接人控制功能,IS需要有良好的性能和处理能力。
需要强调的是,接人控制等级和所需的接人信息成正比,为从标签或Is请求更高接人控制等级的数据,用户需要更安全的认证过程。表3所示为加入隐私等级和接人控制等级后的标签数据结构,其中Flag为ACL 控制标识,为0时关闭ACLIS,为1时启用ACLIS。
3.4 隐私保护机制
图3所示为所提出的隐私保护机制。图3中的控制者即为标签所有者,他根据个人的偏好、习惯等设置PL。
根据控制者的设定,在阅读器阅读标签时IS可以提供不同的信息。具体过程如下:
1)首先控制者根据表1中的PL将信息分级。然后根据等级分类结果,确定隐私等级PL 并写入标签。当然,该PTJ 可重复写。类似地,控制者通过等级设置系统(提供已定义的相关隐私策略模板和良好的用户接口)设置其自身的隐私策略。策略服务器中有两类策略:固有策略和控制者设置的策略(设置者可修改),其中前者的优先级高于后者。
2)PL-r已定义并写进标签和IS后,系统进入隐私保护服务阶段。之前,RFID系统处于默认状态,只提供对隐私无害的非重要信息。
3)该机制的工作过程如下:
①阅读器访问标签时,标签自检其PL和ACL,根据不同的隐私等级或是接人控制等级,忽略阅读器的查询信息或发回包含标签ID,隐私等级和IS接人等级(Flag为0时)在内的信息包。
②如果阅读器收到标签数据包,它把数据包发到网络,由此阅读器在通过中间件或是ONS的ISURL解析之后请求接人IS。
③Is中首先就是解析收到的信息包,取回PLT和ACL 并予以验证。
④如果需要用户的接人控制,根据已定义的ACL进行用户验证,如果通过验证,转入⑤ ,否则忽略查询。
⑤Is依据PL处理请求提供相应信息。信息服务器储存事件日志并使用安全手段通报控制者。通过日志监测,标签所有者可以修改标签或IS中的PL 。
3.5 IS接入控制
接人控制由标签储存的IS接人控制等级确定,该信息应置于安全保护中,如通过认证和授权才能获得。图4所示为认证过程,用户的认证基于ID口令、公共认证等。用户通过认证后,信息服务器把结果反馈给阅读器。
在实际的RFID系统中实现这种保护机制有一定困难,隐私策略的定义、实体间的安全通信和控制等都不易解决。这种安全保护方案的提供,便于为用户提供更多的安全保护选择,特别是把隐私分级后,用户可以灵活的利用RFID技术。
4 结束语
在国内,RFID技术的应用目前局限于电子票务和二代身份证等,它的安全与隐私威胁还没有完全浮现。由于标签资源受限,人们对RFID面临的安全与隐私威胁尚不够重视,文中描述的只是部分安全与隐私威胁和解决方案。随着RFID应用的进一步普及,它所产生的问题也将更明显的呈现于我们面前,作者期望采取一定措施,防患于未然,使消费者在享受RFID技术便捷、高效的同时,不必为个人信息泄漏而担忧。
参考文献
1 Juels A+Rivest R I .Szydlo M.The Blocker Tag:Selective Blocking of RFID Tags for Consumer Privacy,CCS.03,October 2003
2 W eis S A,Sarma S E,Rivest R L,et a1. Security and privacy aspects of low—cost radio frequency identification systems.First International Conference on Security in Pervasive Computing(SPC),2003
3 Park N,Lee Haedong,Kim H,et a1. A security and privacy en—hanced protection scheme for secure 900 MHz UHF RFID reader on Mobile Phone. Consumer Electronies.2006. ISCE’06. 2006.IEEE Tenth International Symposium on
4 Dot Ho Chit,Tae Sung Kim ,Ho W on Kim. Privacy protection for secure Mobile PFID service. http://ieeexplore.ieee.org/ielS/107460/33870/01613661.pdf? tp = &amumber = 1613661 &jsnumber=33870
5 Juels A.RFID security and privacy:a pesearch survey.IEEE Journal on Selected Areas in Communication,2006;24(2):381—394
6 Kim I.Le e Byunggil.Kim H.Privacy protection based on user—de—fined preferences in RFID system. The 8th International Conference on Advanced Communication Technology—ICACT’ 06, Phoenix Park,.Korea,February 2006
7 王连强,吕述望,韩小西.RFID系统中安全和隐私问题的研究.计算机应用研究,2006;(6):581—589
该系统通常由标签、阅读器和射频网络组成,标签内存储有一定格式的电子数据,常以此作为依据识别物体;阅读器与标签之间以约定的通信协议传递信息;射频网络主要由中间件、ONS(Object Name Service)和IS(Information Sever)三部分组成,提供即时的信息交互功能。图1所示为一个简易的RFID系统构架,系统工作过程如下:
(1)阅读器把查询得到的标签信息发送到中间件,中间件把收到的标签代码转换为ONS可读码,然后通过转换的代码为ONS请求Is的URL,ONS解析与所传输代码相应的URL并发回到中间件。
(2)使用获得的URL和标签信息,中间件查询Is,Is在数据库中寻找匹配信息。
(3)通过中间件或应用系统,Is把查询到的信息发回给阅读器。
1 RFID的安全与隐私威胁
1.1 RFID的隐私威胁
隐私权是个人有其信息不受侵犯的权利。在RFID系统中,射频波能透过建筑物或金属传递,使标签和阅读器可以嵌入到任何物体之中;其次阅读器和标签之间是无线通信,信道窃听问题异常严重;再者,标签资源有限,加密算法与接人过程相对简单;以上原因让攻击者有大量漏洞可以使用,而对标签的控制更使攻击者获取现实利益,由此增大了RFID系统的安全与隐私危险,下面是几种常见的威胁。
1)跟踪 用户携带有标签或在购买带标签的商品时可能因为被监视而泄漏个人信息或暴露所在位置。
2)喜好威胁 商品的标签标明制造商、产品类型和其它特征,在顾客购买商品时会暴露顾客的品质偏好和个性特征。
3)布局威胁 不管用户的身份是否与标签集关联,每个人周围都形成特定的标签格局,广告商可以利用这种布局跟踪顾客。
4)泄密 由于RFID系统读取速度快,可以迅速对供应链中所有商品进行扫描并跟踪变化等,而被用来窃取商业机密。
1.2 RFID安全威胁的一个设想
相对于中高频的RFID系统,工作在800 MHz(欧洲)/900 MHz(美国)的超市超高频RFID系统的读取距离更远,数据率更高。但在这些工作频率下,射频波容易被水或金属吸收 而人体的主要成份就是水,射频波会给人体带来伤害;更重要的是,消费者购买罐装饮料等商品时,由于射频波被吸收使得阅读器和标签之间的通信不再精确,扰乱正常的支付过程。
下面描述~个对超市RFID系统工作构成严重威胁的场景。
(1)超市已构建RFID系统并实现仓储管理、出售商品的自动化收费等功能,超市管理者使用的阅读器可以读写商品标签数据(写标签数据时需要接人密钥),考虑到价格调整等因素,标签数据必须能够多次读写。
(2)移动RFID用户自身携带有嵌入在手机或PDA中的阅读器,该阅读器可以扫描超市中商品的标签以获得产品的制造商、生产日期和价格等详细信息。
(3)通过信道监听信息截获、暴力破解(利用定向天线和数字示波器监控标签被读取时的功率消耗,确定标签何时接受了正确的密码位)或其他人为因素,攻击者得到写标签数据所需的接人密钥。
(4)利用标签的接人密钥,攻击者随意修改标签数据,更改商品价格,甚至“kill”标签导致超市的商品管理和收费系统陷入混乱以谋取个人私利。
2 数据保护方案
1)自毁与休眠 商品被购买以后,标签从阅读器那里接收到“kill”命令后永久失效,但在图书馆或租赁店等场合,标签在使用周期内必须有效而不能一次性“kill”;休眠与自毁相似,但是休眠标签可以通过“wake up”激活后再次使用。
2)加密 被动式标签不能将标签上的数据传送给阅读器,加密应该成为最起码信息保护手段。但是加密的标识符本身恰恰就是一个标识符,此外引入密钥管理后的成本问题使加密难以应用于低成本的标签中。
3)移动RFID 使用具有RFID阅读器功能的手机或PDA,而不是公共RFID阅读器获取或修改标签数据,标签被跟踪的危险有所降低,然而移动的阅读器本身也会被跟踪而带来安全隐患,此时的隐私威胁不仅涉及标签携带者,还关系到阅读器携带者的隐私。
4)阻止标签 由A.Juels,et a1.提出 ,不需要修改标签,而是在标签中加入一个称为隐私比特的可变比特,“0”把标签标识为公有标签;“1”把标签标识为隐私标签,用来防止对隐私标签的非授权扫描。
5)Hash.Lockl2 由S.Weis,et al.提出。标签收到查询请求时返回一个hash值,如果阅读器发送了正确的逆向hash值,标签返回其标识符,该方案需要对后台的标签和密钥管理应用单向hash函数。随机Hash Lock是一种改进方案,能确保本地隐私安全,然而后台必须完成大量hash工作,标签上还要有随机数产生器。还有一种“基于Hash的ID变化”方案,每次阅读器查询请求时标签改变一次标识符,需要在后台引入相关数据库。
此外,有人提出标签原始ID隐藏和clG2协议改进 两种方法保护移动RFID的隐私安全。没有哪种方案可以确保RFID信息的安全,各种安全或隐私保护方法都有自身优势和不足。针对不同的应用场合,采取综合的保护策略才能更好的保护消费者权益,下面提出一种基于隐私分级的隐私保护策略。
3 基于分级的RFID隐私保护
3.1 系统结构
图2所示为隐私分级构架的核心部分。通过Pc等终端,标签拥有者可以设置标签的隐私等级(Privacy Leve1.PL)和接人控制等级(Access Control Leve1.ACL)。阅读器请求查询时标签返回已确定的PTJ,阅读器将其发送到后台Is,Is分析请求的数据包,并根据所设置的PL提供相对应的信息服务。
3.2 隐私分级(PL)
PL的设置包括PL设置和ACL设置两个部分。隐私等级表示所有者向公众开放信息的随意度。如表1所示,根据个人隐私敏感程度不同以及设置者的个人偏好和所处环境,标签中设置了5个PL。1级标签可以提供所有自身相关信息,而5级标签不会提供任何信息,即标签进入休眠或锁状态,除非收到激活码或解锁等口令信息,标签不会相应任何查询。
定义这样的PL对于在RFID分析所需的PL和贯彻隐私政策相当有用。
阅读器阅读标签时,标签确认其PL,然后把PL和其他所需信息像标识码一起发回到阅读器。如果需要屏蔽标签,就把标签的PL设置为5级,不响应任何查询。
通过传输已得到的包含PL信息的信息包,Is根据PL把相关信息发送至阅读器或应用系统。
3.3 接入控制分级(ACL)
对于确保隐私安全和根据隐私级别进行的标签高级安全管理,接人控制等级十分重要,有助于解决攻击者在未授权的情况下改变隐私等级。根据用户策略(信息量的大小和重要性)可以把接人控制等级分两类:标签接人控制等级(ACL )和Is接人控制等级(ACL ),两者可共存,所需接人数据略有不同,表2所示为ACL 。为支持接人控制功能,IS需要有良好的性能和处理能力。
需要强调的是,接人控制等级和所需的接人信息成正比,为从标签或Is请求更高接人控制等级的数据,用户需要更安全的认证过程。表3所示为加入隐私等级和接人控制等级后的标签数据结构,其中Flag为ACL 控制标识,为0时关闭ACLIS,为1时启用ACLIS。
3.4 隐私保护机制
图3所示为所提出的隐私保护机制。图3中的控制者即为标签所有者,他根据个人的偏好、习惯等设置PL。
根据控制者的设定,在阅读器阅读标签时IS可以提供不同的信息。具体过程如下:
1)首先控制者根据表1中的PL将信息分级。然后根据等级分类结果,确定隐私等级PL 并写入标签。当然,该PTJ 可重复写。类似地,控制者通过等级设置系统(提供已定义的相关隐私策略模板和良好的用户接口)设置其自身的隐私策略。策略服务器中有两类策略:固有策略和控制者设置的策略(设置者可修改),其中前者的优先级高于后者。
2)PL-r已定义并写进标签和IS后,系统进入隐私保护服务阶段。之前,RFID系统处于默认状态,只提供对隐私无害的非重要信息。
3)该机制的工作过程如下:
①阅读器访问标签时,标签自检其PL和ACL,根据不同的隐私等级或是接人控制等级,忽略阅读器的查询信息或发回包含标签ID,隐私等级和IS接人等级(Flag为0时)在内的信息包。
②如果阅读器收到标签数据包,它把数据包发到网络,由此阅读器在通过中间件或是ONS的ISURL解析之后请求接人IS。
③Is中首先就是解析收到的信息包,取回PLT和ACL 并予以验证。
④如果需要用户的接人控制,根据已定义的ACL进行用户验证,如果通过验证,转入⑤ ,否则忽略查询。
⑤Is依据PL处理请求提供相应信息。信息服务器储存事件日志并使用安全手段通报控制者。通过日志监测,标签所有者可以修改标签或IS中的PL 。
3.5 IS接入控制
接人控制由标签储存的IS接人控制等级确定,该信息应置于安全保护中,如通过认证和授权才能获得。图4所示为认证过程,用户的认证基于ID口令、公共认证等。用户通过认证后,信息服务器把结果反馈给阅读器。
在实际的RFID系统中实现这种保护机制有一定困难,隐私策略的定义、实体间的安全通信和控制等都不易解决。这种安全保护方案的提供,便于为用户提供更多的安全保护选择,特别是把隐私分级后,用户可以灵活的利用RFID技术。
4 结束语
在国内,RFID技术的应用目前局限于电子票务和二代身份证等,它的安全与隐私威胁还没有完全浮现。由于标签资源受限,人们对RFID面临的安全与隐私威胁尚不够重视,文中描述的只是部分安全与隐私威胁和解决方案。随着RFID应用的进一步普及,它所产生的问题也将更明显的呈现于我们面前,作者期望采取一定措施,防患于未然,使消费者在享受RFID技术便捷、高效的同时,不必为个人信息泄漏而担忧。
参考文献
1 Juels A+Rivest R I .Szydlo M.The Blocker Tag:Selective Blocking of RFID Tags for Consumer Privacy,CCS.03,October 2003
2 W eis S A,Sarma S E,Rivest R L,et a1. Security and privacy aspects of low—cost radio frequency identification systems.First International Conference on Security in Pervasive Computing(SPC),2003
3 Park N,Lee Haedong,Kim H,et a1. A security and privacy en—hanced protection scheme for secure 900 MHz UHF RFID reader on Mobile Phone. Consumer Electronies.2006. ISCE’06. 2006.IEEE Tenth International Symposium on
4 Dot Ho Chit,Tae Sung Kim ,Ho W on Kim. Privacy protection for secure Mobile PFID service. http://ieeexplore.ieee.org/ielS/107460/33870/01613661.pdf? tp = &amumber = 1613661 &jsnumber=33870
5 Juels A.RFID security and privacy:a pesearch survey.IEEE Journal on Selected Areas in Communication,2006;24(2):381—394
6 Kim I.Le e Byunggil.Kim H.Privacy protection based on user—de—fined preferences in RFID system. The 8th International Conference on Advanced Communication Technology—ICACT’ 06, Phoenix Park,.Korea,February 2006
7 王连强,吕述望,韩小西.RFID系统中安全和隐私问题的研究.计算机应用研究,2006;(6):581—589