RFID也就是射频识别,她是一种非接触的自动识别技术,其基本的原理是利用射频信号的空间耦合或反射的传输特性,实现对被识别物体的自动识别。RFID技术是无线通信传输技术的具体应用,典型的工作频率有125kHz、133kHz、13.56MHz、27.12MHz、433MHz、902~928MHz、2.45GHz和5.8GHz等。
RFID具有非常广大的市场,因其自动化、大数据量、高速处理数据、高保密性、识别距离远、抗干扰能力强、多用途适用、系统高可靠性与低成本的特点。但是在应用中RFID可以提供商品与个人信息,所以在提供便利的同时也造成了隐私泄漏的潜在威胁,由于高保密性会急剧增加RFID产品的成本,所以延缓了RFID在更广阔领域的应用。
RFID想要使企业发生变革,需要解决严重的安全问题之后,因为安全和隐私控制了实际应用与需求量的供应关系:RSA Security Inc.研发中心的熟悉科学家Burt Kaliski指出在标签、网络或者数据层面都有可能出现安全隐患;荷兰阿姆斯特丹自由大学的科学家同时指出RFID存在极大的受到电脑病毒攻击的可能性;管理安全服务商Counterpane Internet Security公司的首席技术官Bruce Schneier指出一块RFID就是一台微型电脑,只是没有屏幕和键盘,但它可以通过无线电技术和外界取得联系,但是外界的安全是不可靠的。所以我们现在正在使用的RFID并不安全,而这些安全都是不可见的。惠普实验室RFID技术的CTO Salil Pradhan做过一个非常形象的比喻:“使用条形码好比行驶在城市的街道上,就算撞上人,危害也是有限的。但使用RFID好比行驶高速公路上,你离不开这个系统,万一系统受到攻击,后果不堪设想。”由此可见,解决RFID的安全问题非常关键。
移动通信技术的发展给RFID找到了一个非常好的契机,现在在移动通信产品嵌入RFID技术已经成为现实,网络化的RFID包括一个可扩展的RFID网络和用于与一系列网络、网络间交互和全局分发应用系统的接口,这个接口就是有RFID来触发的。移动RFID产品里面嵌入了RFID阅读器,因此可以通过此携带RFID阅读器的产品通过阅读RFID标签路经移动通信网络实现一系列的应用。例如工作在900MHz频率的RFID芯片可以嵌入到我们的GSM手机当中:
这样的应用在实际情况就如下图:
这样的技术应用对可以给我们的日常生活带来极大的便利,但是在我们享受这些便利与服务的时候,我们的个人信息与重要数据信息都存在泄漏的可能。现在的RFID还比较脆弱:攻击者可以通过物理手段在实验室环境中取出芯片封装,使用微探针获取敏感信号,进而进行对RFID标签的重构,达到攻击的目的;通过软件,利用微处理器的通用通信接口,通过扫描RFID标签和响应识别器的探寻,寻求安全协议、加密算法以及它们实现的弱点,进而删除RFID标签的内容或篡改可重写RFID标签内容的攻击;通过干扰广播、阻塞信道或者其他手段,产生异常的应用环境,使合法处理器产生故障或者数据处理阻塞,拒绝服务的攻击等;采用窃听技术,分析微处理器正常工作过程中产生的各种电磁特征,获得RFID标签和阅读器、识别器之间或其他RFID通信设别之间的通信数据等等。
为了解决这些安全问题,出现了物理方法和逻辑方法两大类方法来解决这些问题,不过这里面的各类方法都聚焦在标签和阅读器的授权协议上,在此介绍一种比较特殊的方法,因为常用方法并不能完全适配现实的RFID环境,特别是在移动RFID应用方面,因为此时在动态网络服务器中已经存储了当前环境情况,所以就需要在移动RFID环境中生成一个合理的隐私保护路径。RPS系统就是其中的一种解决方案:
RPS系统:这个系统有管理用户隐私策略的功能。它为用户隐私策略生成框架性的结构,并将这个策略提供给service-side system,并且管理着service-side的事件记录用于审核。
Service-side系统:这个系统提供将RFID标签的ID编码和信息结合起来,并且通过用户自定义的隐私框架来制定接入控制功能。
RPS系统的主要特点包括制定和管理隐私保护策略,让接入控制与个性化标签结合起来,报告关联结果,最后对结果进行审核。首先移动RFID阅读器读取标签ID并且接收各种类型的网络信息;再从应用服务器上获取产品信息与标签ID相关联;当应用接收器接收到个人隐私保护策略以后,产品信息会根据相关策略被保护起来,按照预定审核要求返回确认或推出的信息给阅读器。
移动RFID是一种具有高应用度并且有着广阔市场的RFID技术,但是安全隐私问题是其发展的限制瓶颈。移动RFID的工作频率被分配在860MHz到960MHz之间(ISO18000-6中标准要求),在此其中我们需要满足ISO 18000的标准,里面定义了其用到的空中接口协议,手机将成为这种移动RFID技术的最佳承载平台之一,这种方法也是一种非常有效的解决当下RFID安全隐私问题的方法,不过就像约翰.霍普金斯大学信息研究所的Ari Rubin教授所说,“我们一次次地发现安全只是一个相对的状态,任何安全系统都是被高估的,我们不能掉以轻心。”摩尔实验室(MORLAB)长期并一直致力于新技术的产生与研究,为广大客户提供一些讯息供大家探讨。
参考资料:
[1] S. E. Sarma, S. A. Weis, and D.W. Engels. 2002. RFID systems, Security and privacy implications. Technical Report MIT-AUTOIDWH-014, AutoID Center, MIT.
[2] Weis, S. et al. 2003. Security and Privacy Aspects of Low-Cost Radio Frequency identification Systems. First International Conference on Security in Pervasive Computing (SPC) 2003.
[3] Wung Park, and Byoungnam Lee. 2004. Proposal for participating in the Correspondence Group on RFID in ITU-T. Information Paper. ASTAP Forum.
Proceedings of ICACT 2006.
[4] Namje Park and Youjin Song and Dongho Won, Policy and Role based Mobile RFID User Privacy Data Management System 2008 IEEE.
[5] 射频识别(RFID)核心技术与典型应用开发案例/康东等编著. —北京:人民邮电出版社,2008.7
如需更多资料,请发信到以下地址:info_sz@morlab.cn或致电:0755-86130318。