RFID隐私与安全中的关键技术研究

RFID隐私与安全中的关键技术研究彭皓李泉林（清华大学工业工程系）摘要近年来，随着RFID技术及其产品成本的不断降低，该技术被广泛应用于许多实际工程领域，例如供应链管理，门禁安防系统，智能家电，电子付费，生产自动化等。但是，RFID技术在给我们带来巨大商业价值和运作简便的同时也威胁到个人和组织的隐私与安全性。本文简要地介绍了RFID隐私与安全的基本问题，并简述了目前一些有效解决RFID隐私与安全性问题的关键技术，最后讨论了如何利用信息安全和风险评估方法来管理企业，包括基于RFID的信息化系统。关键词：RFID，标签，阅读器，隐私，安全，风险评估。CrucialTechniqueResearchonRFIDPrivacyandSecurityHaoPengQuan-LinLi(DepartmentofIndustrialEngineering,TsinghuaUniversity,Beijing100084)AbstractAscostoftheRFIDtechnologyandtheassociateditemshasbeengreatlydecreasinginrecentyears,theRFIDtechnologyhasbeenwidelyusedinmanyrealengineeringfieldssuchassupplychainmanagement,entrancesecuritysystem,smartmachine,electronicpayingsystem,productionautomatics.However,theRFIDtechniqueisconfrontedwithseriousprivacyandsecurityproblemsduringtheRFIDtechnologyprovidesushugebusinessandoperationconvenience.ThispaperbrieflyintroducesbasicproblemsontheseRFIDprivacyandsecurity,discusseskeytechniquetosolvetheprivacyandsecurityproblemsoftheRFIDtechnique.Finally,wediscusshowtomanageapracticalenterpriseincludingtheRFID-basedinformationsystembymeansofbothinformationsecurityandriskanalysismethod.Keywords:RFID,tag,reader,privacy,security,riskanalysis.1引言射频识别（RFID）技术是一种非接触式自动识别技术，是通过射频信号来自动识别目标对象并获取相关数据。基本的RFID系统是由RFID标签、RFID阅读器及应用支撑软硬件三部分组成。RFID标签由芯片和天线组成，每个标签都具有唯一的电子编码。根据发送射频信号的方式不同，标签又分为主动式和被动式两种。主动式标签由内置电池供电主动向读写器发送射频信号。被动式标签在接收到阅读器发出的电磁波信号后，将部分电磁能量转化为供自己工作的能量从而做出响应。RFID阅读器负责向标签发射读取信号并接受标签的应答，对标签的对象标识信息进行解码，将对象标识信息连带标签上其它相关信息传输到主机以供处理。RFID应用支撑软硬件主要负责实现与企业或组织应用相关的功能。RFID技术具有条形码所不具备的防水、防磁、耐高温、使用寿命长、读取距离大、标签数据可加密、存储数据容量大等优点，可以工作于各种恶劣环境。近年来，随着RFID技术成本的不断降低，该技术被广泛应用于供应链管理，动物识别管理，矿井管理，交通管理，军事物流，门禁管理，医疗和药物管理，建筑工程，食品管理，图书馆管理等实际应用领域。读者可详细地参考文献[1]和[2]。近些年来，一些商业巨头企业（如沃尔玛）看到RFID的应用优势，开始推进RFID技术的广泛使用。在这种形式下，各国政府也纷纷认识到RFID的实际利用价值和巨大商业前景，开始推动RFID在各领域的应用。例如，美国总务管理局鼓励政府部门使用RFID技术，美国国防部规定所有军需物资都要使用RFID技术。日本和韩国政府部门也通过各种措施大力推动电子标签的应用，其详细介绍可参考文献［3］。尽管目前RFID技术发展势头强劲，但和其他自动识别技术一样，RFID在实际应用中还存在着许多涉及隐私与安全的关键问题尚待解决。我们提供具体实例如下：（１）非法跟踪罪犯可以远程识别受害者身上的标签，掌握受害者的位置信息，从而给犯罪活动提供更加便利的目标及相关条件。（２）窃取个人信息和物品信息非法情报人员可以从标签中读出唯一的电子编码，从而获得使用者的相关个人信息。抢劫货车的不法分子可以用阅读器确定哪些货车更值得他们下手。（３）扰乱RFID系统运行缺乏安全措施的电子标签十分脆弱，通过一些简单的技术手段，任何人都可以随意改变甚至破坏RFID标签上的有用信息，从而扰乱RFID系统的正常运行。（４）伪造RFID随着时代的不断发展，RFID制造技术可能会被犯罪分子掌握。伪造的RFID会严重影响RFID在零售业和自动付费等领域的应用。从上述四个实例可以看出，不解决RFID的隐私与安全问题，RFID技术就很难得到更加广泛的应用与推广，也将影响RFID系统的可靠性。因此，隐私与安全已经成为制约RFID技术进一步发展的重要因素。隐私权是公民对个人信息、决定私人事务等享有的一项重要民事权利。它包括个人信息的保密权、个人生活不受干扰权和私人事务决定权，其详细讨论参见[4]。在实际生活中，人们在不同场合下拥有不同的隐私状态。不同的隐私状态取决于个人信息的泄露程度。例如，在私人住宅中，只有你或你的家人知道你在做什么；在公共场合（如商店，餐厅和游乐园），其他人可以看到你在做什么，尽管他们不知道你是谁。由于个人信息一旦泄露就不可能再保持原来的隐私状态，所以对于任何一个RFID技术的应用领域，都要尽可能防止任何个人信息的泄露。现在某些有前景的RFID应用，例如个性化服务，大都需要顾客提供部分个人信息。但是，商家一旦掌握了这些顾客信息后有可能进行强制的推销行为，从而影响顾客的正常购物活动。因此，我们必须谨慎对待任何一种形式的个人信息泄露。读者可参见文献[5]。在RFID应用领域中可能存在两类隐私侵犯：位置隐私和信息隐私。位置隐私主要是指商家或任意一个阅读器持有者都有可能通过采集射频信号跟踪顾客，并且有可能从顾客位置移动的信息当中推断出顾客的行为。信息隐私是指任意一个阅读器持有者都有可能通过扫描顾客身上的RFID标签获得顾客持有的物品信息，商家可以从中推断出顾客的购买偏好。此外，RFID系统的数据库中存储着顾客个人的信息可能被其他人获取，详见[6]。如果通过持续观察、跟踪和评估个别顾客的消费行为，并建立消费者的信息库,人们担心个人消费自主权和选择生活方式的自由权会遭到侵犯。美国、日本和欧盟等国家在涉及RFID的隐私权保护方面都有相应法律法规的指导性文件，例如美国电子隐私中心提出了《关于消费者与私人企业使用RFID的纲领》、为抵制超市隐私侵犯与编码泄露消费者组织提出了《RFID受告知权法案》、OECD隐私纲领、美国公平信息实务等等。这些法律法规和公共政策的制定是为了正确引导RFID的推广和应用。事实上，零售商成功应用RFID技术的基本条件之一就是要获取消费者对RFID技术的信任感、提升消费者满意度。安全性是RFID技术在应用中存在的另一类关键问题。某些有意的对RFID系统的安全攻击可能会造成整个系统的瘫痪，而这类事故如果发生在国家的重要职能部门（例如银行、商业和军队），则可能造成不可估量的巨大损失甚至是灾难性的后果。需要强调的是不同的射频识别应用系统所提出的安全级别要求是不同的。虽然安全问题带有很大程度的不可预测性，但是在不同应用环境中RFID系统的安全风险就相比较而言是不同的。例如在生产系统中，由于应用环境相对封闭，所以伪造标签和非法阅读的可能性非常小。在这种情况下，射频识别应用系统的安全级别要求就比较低，投入大量资金构建一个安全级别过高的RFID系统可能不是明智的投资选择。但是，对于付费系统或是票务系统来说，由于不法分子可能利用各种手段拒绝服务使得安全风险非常高，所以投入一定资金构建一个安全级别足够高的RFID系统是非常必要的。另外，对于银行系统或军事系统来说，由于任何可预见或是不可预见的系统安全问题都是不能容忍的，而一旦系统瘫痪或是机密信息泄露将产生灾难性的后果，所以对于这类应用领域，投入大量资金研制开发一个严密的信息安全系统是完全必要的。为了解决RFID的隐私与安全问题，国内外一些研究人员提出了多种技术方案。例如，（１）Kill标签。这种方法可以保证在商品售出后用户不被非法跟踪，它的缺点是限制了标签的进一步利用，参见[7]。（２）法拉第网罩。这种方法通过阻止标签和阅读器之间的通信来保护用户隐私，它的缺点是难以大规模实施，并且不适用于特定形状的商品，参见[8]。（３）主动干扰。它通过施放干扰信号防止非法读取标签信息，它的缺点是有可能干扰周围其他合法射频信号的通信，参见[9]。（４）阻塞器标签。用户通过携带阻塞器标签保护自己物品上的标签不被非法读取，同时这种方法又不影响周围其他合法射频信号的通信。它的不便之处在于用户必须随身携带阻塞器标签，参见[10]。（５）智能标签。这类方法基于未来低成本的具有多次读写能力的智能标签，利用多种加密技术进行访问控制来保护用户隐私。但是，由于RFID应用成本的限制，所以这类方法还需要寻找到一种既能解决隐私与安全问题，又能保证低成本的技术方案，参见[9]。随着当今世界电子信息化的快速发展，RFID技术作为一项具有革命意义的关键技术受到各国的高度重视和大力推行。隐私与安全问题作为RFID技术发展进程中的制约因素也日益得到人们的广泛关注。本文将综述RFID中的隐私与安全问题，比较当今的主要技术方案，列举其中存在的关键问题和未来的挑战，昀后尝试着引入信息安全和风险评估方法来有效地管理企业与组织的基于RFID的信息化系统。本文的组织结构如下：第二节介绍RFID中的隐私问题。第三节介绍RFID中的安全问题。第四节综述当今的主要技术方案。第五节引入信息安全和风险评估方法来有效地管理企业与组织的基于RFID的信息化系统。2RFID的隐私问题随着RFID技术广泛应用于各个领域，个人隐私的保护问题也越来越受到人们的关注。人们担心在使用RFID的过程中自己的个人隐私会被不法分子或商家利用。例如，在2004年初沃尔玛在俄克拉荷马州零售店的唇膏上进行RFID商业测验引起了隐私权组织的强烈抗议。在下面三个子节中，我们首先简要介绍一下Goldberg教授提出的关于隐私问题的基本理论，然后分析了RFID技术对个人隐私可能产生的影响，昀后阐述一下对未来PET(Privacy-EnhancingTechnology)技术提出的要求。2.1TheNymitySliderGoldberg教授提出的“TheNymitySlider”是一种描述不同隐私状态的工具。每当和周围的人进行交流与接触时，我们都会或多或少地泄露自己的身份及其相关信息。“TheNymitySlider”描述了这种个人身份泄露的不同程度。我们描述如下：图1.隐私泄露的不同程度坐标的昀高点是称作“Verinymity”，表示完全公开身份的状态。那些可以唯一标识你的个人信息都属于这个隐私状态，例如身份证号码或护照号码等。另外，有些身份信息虽然不能唯一标识你，但它极大的缩小了查找范围，基本上可以等同于唯一标识信息。这样的身份信息也属于这个隐私状态。例如，“清华大学***班***”，这条个人信息就基本足以作为个人唯一标识。坐标的昀低点是称作“UnlinkableAnonymity”,表示完全匿名的隐私状态。现金付费就是处在这样一个隐私状态下进行交易的。当你在商店里用现金付费