《第八章RFID安全与隐私.ppt》由会员分享,可在线阅读,更多相关《第八章RFID安全与隐私.ppt(58页珍藏版)》请在三一文库上搜索。
1、1,RFID安全与隐私,2,教学目标,本章将介绍RFID系统在使用时可能面临的安全以及隐私问题,并介绍几种可以解决问题的方法,包含用科技以及法律规范的方式 希望可以了解RFID系统相关的安全与隐私议题,并可思考未来RFID广泛使用后,该如何避免这些问题的发生,让RFID系统可以在兼顾用户隐私及数据安全的前提下,为人类带来更便利的生活,3,大纲,RFID的安全议题 商业机密外泄 伪造虚假信息 基础建设遭受破坏 RFID的隐私议题 消费者的身分隐私 消费者的购物隐私 消费者的行踪隐私,科技面解决方案 RFID的硬件限制 现行的RFID保护机制 规范面解决方案 可规范RFID使用的现行法律 其他RF
2、ID相关的规范与草案 小结,4,RFID的安全议题,5,RFID的安全议题,虽然RFID将为人类生活带来极大的便利性,但目前RFID尚未有一套标准的安全技术,若数据未经加密或是未有完善的访问控制,有心人士便可运用相关技术,任意读取标签上的数据,甚至修改、写入数据,造成标签上的数据外泄,成为RFID应用时的安全议题,6,RFID的安全议题(续),由于RFID是透过无线射频(Radio Frequency, RF)来传递信息,因此存在一般无线通信技术会遇到的安全威胁,导致下列问题产生 商业机密外泄 破坏机密性(Confidentiality) 伪造虚假信息 破坏正确性(Integrity) 基础建
3、设遭受破坏 破坏可用性(Availability),7,商业机密外泄,未经授权读取(Unauthorized Read) 攻击者只要有相同规格的读取器,并且在标签的可读取范围内,就能够任意地读取标签内的数据,造成信息泄漏的安全问题,甚至会危及使用者的隐私 窃听(Eavesdropping) 攻击者利用特殊设备,来监听标签与读取器通讯时在空气中传输的无线电讯号,藉由监听得到的讯息来分析其中所包含的信息,8,商业机密外洩(续),公司刺探威胁(Corporate Espionage Threat) 攻击者可以利用Reader在远程读取竞争对手仓库的标签,以收集竞争对手仓库的存货数量或商品信息,甚至取
4、得机密数据 营销竞争威胁(Competitive Marketing Threat) 竞争对手可以透过对RFID标签的读取,在未经授权的情况下取得消费者购物偏好信息,利用这些信息进行营销竞争,9,伪造虚假信息,未经授权写入(Unauthorized Write) 若是标签没有访问控制机制,攻击者只要有相同规格的写入器,并且在标签的可写入范围内,就能够任意地修改并写入标签内的数据,造成标签数据遭窜改或伪造的安全问题 假冒(Spoofing) 攻击者可能透过物理分析,来取得某个标签内所储存的数据,然后复制(Clone)一个具有相同数据的标签,因此可以假冒成合法的身分,通过读取器的验证,以达成攻击者
5、之目的,10,伪造虚假资訊(续),重送攻击(Replay Attack) 攻击者可能藉由监听所搜集之讯息,当读取器查询标签时,将这些讯息重新送回给读取器,因而通过读取器的验证 信赖边界威胁(Trust Perimeter Threat) 由于RFID系统的使用,标签的相关信息会在上下游厂商之间透过网络的方式共享,而此共享的管道即有可能受到攻击者的入侵,因此将使公司对于信息系统可信赖的边界重新界定,11,基础建设遭受破坏,基础建设威胁(Infrastructure Threat) 攻击者可以使用特殊设备,持续发送无线射频讯号,来干扰标签或读取器,导致标签跟读取器无法正常进行通讯,藉此瘫痪RFID
6、系统,属于阻断服务(Denial of Service, DoS)攻击,12,基础建设遭受破壞(续),恶意编码传播(Hostile Code Propagation) 标签上有内存可用来储存额外信息,若恶意的用户用来存放与传播恶意的编码,将可能影响读取器的正常存取功能 国外已有研究指出,攻击者可在标签植入恶意SQL语法进行SQL Injection攻击,造成后端系统中毒,并可感染其他正常标签,再透过受感染之标签感染其他后端系统,13,RFID的隐私议题,14,RFID的隐私议题,RFID卷标因具有唯一识别的特性,若是标签被任意读取,或是遭受先前提到RFID的各种安全威胁,将衍伸出相关的隐私议题
7、 消费者的身分隐私 消费者的购物隐私 消费者的行踪隐私,15,消费者的身分隐私,关联威胁(Association Threat) 若卷标具有一个唯一识别的信息,则此识别信息将会与卷标的持有者产生关联。例如消费者A持有一识别信息为123之卷标,当读取器读取到标签123,则可推测为消费者A 群聚威胁(Constellation Threat) 若消费者携有数个以上的卷标,这群卷标也可能与此消费者产生关联,若读取器一直读取到同一群标签,则可推测是某消费者,16,消费者的身分隐私(续),面包屑威胁(Breadcrumb Threat) 此威胁是由关联威胁所延伸出的;因为卷标的识别信息可与持有者产生关联
8、,如果持有者的标签遭窃或丢弃,可能会被有心人士利用来假冒原先持有者的身分,进行不法之行为,17,消费者的购物隐私,动作威胁(Action Threat) 个体(消费者)的动作、行为及意图可以透过观察卷标的动态来推测;例如某个卖场智慧货架上高价商品的卷标讯号突然消失,卖场即可推测是否有消费者想进行偷窃 偏好威胁(Preference Threat) 由于卷标上可能记载着商品的相关信息,如商品种类、品牌和尺寸等,可以藉由卷标上的信息来推测消费者的购物偏好,18,消费者的购物隐私(续),交易威胁(Transaction Threat) 当某群卷标中的其中一个标签,转移到另一群标签中,则可推测这两群标
9、签的持有者有进行交易的可能性,19,消费者的行踪隐私,位置威胁(Location Threat) 由于卷标具有一个唯一识别的信息,且卷标的读取具有一定的范围,因此可以透过标签来追踪商品或消费者的位置,20,科技面解决方案,21,RFID的硬件限制,RFID系统中,卷标的运算能力是有限的,尤其是低成本的被动式标签;比起智能卡或者是传感器(Sensor)来说,RFID卷标少了中央处理器及较大的内存空间,因此无法执行复杂的密码学运算,是RFID在安全性上的一大缺点,22,现行的RFID保护机制,标签特殊设计之保护方式 卷标销毁指令(Kill Command) 卷标休眠指令(Sleeping Comm
10、and) 密码保护 使用额外设备之保护方法 法拉第笼(Faradays Cage) 主动干扰(Jamming) 阻挡标签(Blocker Tag) 其他方法,23,卷标销毁指令,若标签支持Kill指令,如EPC Class 1 Gen2卷标,当卷标接收到读写器发出的Kill指令时,便会将自己销毁,使得这个标签之后对于读写器的任何指令都不会有反应,因此可保护卷标数据不被读取;但由于这个动作是不可逆的,一旦销毁就等于是浪费了这个标签,24,卷标休眠指令,与销毁卷标概念相同,当支持休眠指令的卷标接收读取器传来的休眠(Sleep)指令,卷标即进入休眠状態,不会响应任何读取器的查询;当标签接收到读取器的
11、唤醒(Wake Up)指令,才会恢复正常,25,密码保护,此方法利用密码来控制卷标的存取,在卷标中记忆对应的密码,读取器查询卷标时必须同时送出密码,若卷标验证密码成功才会响应读取器;不过此方法仍存在密码安全性的问题,26,法拉第笼,将标签放置在由金属网罩或金属箔片组成的容器中,称作法拉第笼,因为金属可阻隔无线电讯号之特性,即可避免标签被读取器所读取,27,主动干扰,使用能够主动发出广播讯号的设备,来干扰读取器查询受保护之标签,成本较法拉第笼低;但此方式可能干扰其他合法无线电设备的使用,28,阻挡标签,使用一种特殊设计的卷标,称为阻挡卷标(Blocker Tag),此种标签会持续对读取器传送混淆
12、的讯息,藉此阻止读取器读取受保护之标签;但当受保护之卷标离开阻挡卷标的保护范围,则安全与隐私的问题仍然存在,29,其他方法,以密码学为基础的解决方案 随机数生成器 互斥或(Exclusive OR, XOR) 循环冗余检查(Cyclic Redundancy Check, CRC) 对称式加解密 哈希锁(Hash-lock) 哈希链(Hash Chain),30,规范面解决方案,31,可规范RFID使用的现行法律,计算机处理个人资料保护法 个人资料保护法草案 商品标示法 消费者保护法,32,计算机处理个人资料保护法,在民国84年所制定的计算机处理个人资料保护法;第一条即说明为规范计算机处理个人
13、资料,以避免人格权受侵害,并促进个人资料之合理利用,特制定本法 个人资料是指自然人之姓名、出生年月日、身分证统一编号、特征、指纹、婚姻、家庭、教育、职业、健康、病历、财务情况、社会活动及其他足资识别该个人之资料;而个人资料档案是指基于特定目的储存于电磁纪录物或其化类似媒体之个人资料之集合,33,计算机处理个人资料保护法(续),在法令第六条中即明定个人资料之搜集或利用,应尊重当事人之权益,依诚实及信用方法为之,不得逾越特定目的之必要范围;第七、八、十八及二十三条亦规定公务或非公务机关对个人资料之利用或处理必须经当事人书面同意,不得侵害当事人权益;因此可考虑使用计算机处理个人资料保护法来规范企业透
14、過RFID收集个人信息,34,计算机处理个人资料保护法(续),由于时代科技的进步,利用计算机搜集、处理与利用个人资料的情形与法令制定当年,已变得日益频繁且复杂;再者各类型商务行为广泛大量的搜集个人资料,也已经不再限于个资法中所规范的征信等八大类,例如医院使用从病患取得、分析的信息,就不受此法令的规范,35,个人资料保护法草案,在行政院94年通过的个人资料保护法草案(为计算机处理个人资料保护法之修正)中,参照各国立法案例,将受保护的客体与规范的主体在修正草案中予以扩大,保护的个体不再局限于经计算机处理之个人资料,而修正成不论为自动化机器或其他非自动化方式检索、整理之个人资料,均受个资法之保护 修
15、正草案第二条第二款规定:个人资料档案系指系统建立而得以自动化机器或其他非自动化方式检索、整理之个人资料之集合;同条第四款规定:处理是指为建立或利用个人资料档案所为数据之纪录、输入、储存、编辑、更正、复制、检索、删除、输出、连结或内部传送。,36,个人资料保护法(续),而在法规适用的主体上,亦删除非公务机关行业别的限制,使任何自然人、法人、其他团体等均受到个资法的规范;修正草案第二条第八款规定:非公务机关是指前款以外之自然人、法人或其他团体;及第五十条第一项规定:自然人为单纯个人或家庭活动之目的,而搜集、处理或利用个人资料者,不适用本法,37,商品标示法,个资法是以保护个人隐私为出发,虽然在个资
16、法中清楚规范对于搜集、处理与应用个人资料的原则,但是由于科技的进步,对于个人资料的搜集往往是在消费者无法察觉的方式下进行,RFID的远距读取也使得这项忧虑更加深 个资法的规定固然可以让消费者了解自己应该具有的权利,只是如果能够透过其他的强制作为预先的阻止侵害的可能发生,那么对于个人隐私的保护可能可以更完善;因此,应可考虑透过商品标示的强制,作为要求医院或营业者在应用RFID技术时,就预先于消费者或病患使用的RFID手环上告知,38,商品标示法(续),商品标示法第一条规定:本法目的即是为保障消费者权益,建立良好商业规范;由于RFID技术本就具有安全与隐私上的问题,因此将商品使用RFID技术的情况
17、事先揭露予消费者得知,可以认为是一种有效的保护消费者的方式 根据商品标示法第九条第一项第五款的规定,商品应标示事项包括了其他依中央主管机关规定应行标示事项。;因此当主管机关在允许RFID技术应用于病患识别时,应可要求厂商相关标示措施,以保障消费者隐私权,39,消费者保护法,个资法的修正草案可有效的规范大部分对于个人资料的搜集、处理与利用等行为,但是由于商业行为的复杂,对于个人隐私的侵犯往往并非只限于上述方式,而可能是透过衍生的附加行为,又或者由于消费者处于交易地位上的弱势,厂商可能透过特定服务的提供或者是对于原本即应提供的服务提出附带要求,以让消费者同意或者承诺配合RFID技术的使用,40,消
18、费者保护法(续),由于商业行为的复杂,同时RFID技术本身为中立,应可考虑采用消费者保护法来补充消费者在地位上原处的弱势 消费者保护法第十二条规定:定型化契约中之条款违反诚信原则,对消费者显失公平时无效,41,其他RFID相关的规范与草案,EPIC的RFID使用指导纲领 电子权利法草案(Electronic Bill of Rights) RFID权利法草案(RFID Bill of Rights) 卷标数据拥有权之探讨,42,EPIC的RFID使用指导纲领,美国电子隐私信息中心(Electronic Privacy Information Center, EPIC)于2004年6月提出一份关
19、于消费者与私人企业使用RFID的纲领 EPIC的RFID使用指导纲领主要分成三个部分,第一个部分主要说明企业在利用RFID技术时,需于货品上从事于类似条形码标示的相关责任;第二个部分则着重于使用RFID的企业厂商不应有之作为;第三部分则是总结前两部分而所应赋予消费者该拥有的权利,43,EPIC的RFID使用纲领(续),使用RFID的企业厂商应有之作为 主动告知消费者关于标签的存在,包括在仓库、展示架或是结账处等,并合理公开,使消费者了解RFID系统及信息处理的本质 在产品结账后,应实时关闭标签,除非因个人需要,否则需使之永久失效;系统的默认值亦应设置为主动关闭;标签关闭后,非经消费者同意,不得
20、主动开启 RFID标签应使用最易于移除的方式 系统用户应指定专人遵守本份纲领,44,EPIC的RFID使用纲领(续),使用RFID的企业厂商不应有之作为 不得经由RFID追踪个人行动或在卖场外利用RFID获取个人消费习性或其它个人信息 不得記录或是储存RFID卷标上不属于个人的信息,或是透过已完成消费的卷标来获取个人信息 不得在购买行为完成后,以货品保固、损失补偿或是使用智能型的应用程序来保持卷标的开放状况,45,EPIC的RFID使用纲领(续),消费者的权利 有权获取透过RFID搜集包括个人信息的所有信息,并有权更正之 有权移除RFID标签 针对未遵守或违反前述RFID使用责任与义务的私人企
21、业,有权提出诉讼,46,电子权利法草案,美国华盛顿州议員JeffMorris提出的电子权利法草案(Electronic Bill of Rights),主张禁止在未告知消费者的情况下收集、储存和公开通过RFID技术获得的信息,内容主要规范: 使用主动或被动RFID设备的所有公司应关闭这些设备,或者事先征得消费者的同意 禁止厂商在服务和退款时要求RFID标签,47,电子权利法草案(续),禁止厂商或个人在没有事先征求消费者同意的情况下扫描或读取RFID设备 使用从RFID设备取得之信息的厂商,必须使用产业标准来确保信息安全,48,RFID权利法草案,美国麻省理工学院之学者Simson Garfin
22、kel所提出的RFID权利法草案(RFID Bill of Rights),主要提出消费者在商家使用RFID的情况下应享有的权利,内容包含: 消费者有权知道商品是否含有RFID标签 商品结账后消费者有权要求商家将商品上之RFID标签移除或使其失效,49,RFID权利法草案(续),即使消费者移除RFID卷标,仍应享有购买产品之售后服务权利 消费者有权知道RFID卷标上储存的信息 消费者有权知道标签在何时、何地以及为何被读取,50,卷标数据拥有权之探讨,RFID卷标记载之资是否足够导致个人资有揭的危险? RFID卷标记载之资如包含姓名、电话、地址、身分证字号及出生月日等,均应属于特定人之个人资,此
23、等资非经当事人同意,得记载于RFID标签上;但较有疑问的是下信息是否属于个人资: 就诊记录、病史及使用药物信息:此部分依多国家之法案例,亦属于个人资之范畴,故非经当事人同意,得记载于RFID标签上,51,卷标数据拥有权之探讨(续),地点追踪:如产品位置等,通常不属于个人资,但产品开消费场所(结账后)或进入私人场域时,RFID标签是否可以持续追踪并定位,应持否定解 使用记录:如产品或场所使用记录等,如管委员会设置之门禁管制进出小区记录,或学校图书进出或借阅书籍记录,是否属于个人资,实务倾向否定 关于消费者购买产品时之购物品牌、种、额、购买地点及日期是否属于特定人之个人资?显有疑义;按该信息通常不
24、足以别该个人之资,但经搜集整分析后,可能归纳出个人购物特性及习惯,52,卷标数据拥有权之探讨(续),RFID卷标记载之资属于何人所拥有? RFID标籤记载资之所有权在RFID使用人使用区域,应属于RFID使用人所有,但产品移转所有权时,RFID标籤记载资应属于消费者所有,并有自删除RFID标籤记载资之权;如Wal-Mart就准备广发手册告诉消费者,只要结完帐,就可以撕下标签,53,卷标数据拥有权之探讨(续),第三者是否有用或拦截标籤资之权利? RFID使用者使用RFID时,应该已经先考虑RFID卷标记载资具有公开传输之特性,并有期待他人使用之可能性;但第三者在使用这类资是否需取得当事人同意,则
25、应视是否属于个人资而定,54,小结,55,小结,使用RFID的安全与隐私问题 公司机密信息泄漏 消费者隐私侵犯 RFID使用时的数据安全与隐私保护 利用科技的方式达到保护效果 以法律条文规范RFID的使用,56,参考数据,EPIC, “Proposed Guidelines for Use of RFID Technology: Enumerating the Rights and Duties of Consumers and Private Enterprises,” June, 2004. S.L. Garfinkel, “An RFID Bill of Rights,” Tech. R
26、eview, October, 2002. S.L. Garfinkel, A. Juels, R. Pappu, “RFID Privacy: An Overview of Problems and Proposed Solutions,” IEEE Security & Privacy Magazine, Vol. 3, Issue 3, pp. 34-43, May-June, 2005. K.C. Jones, “EE Times: State of Washington considers RFID restrictions,” http:/ February, 2007 A. Ju
27、els, “RFID Security and Privacy: A Research Survey,” RSA Laboratories, September, 2005. A. Juels, R. Pappu, “Squealing euros: Privacy protection in RFID enabled banknotes,” Financial Cryptography FC03, Vol. 2742, pp. 103-121, January, 2003.,57,参考数据(续),A. Juels, R. L. Rivest, and M. Szydlo, “The Bloc
28、ker Tag: Selective Blocking of RFID tags for Consumer Privacy,” 8th ACM Conference Computer and Comm. Security, pp. 103-111, May, 2003. M. Ohkubo, K. Suzuki, S. Kinoshita, “A Cryptographic Approach to Privacy-Friendly tag,” RFID Privacy Workshop, November, 2003. Matthew J.B. Robshaw, “An overview of
29、 RFID tags and new cryptographic developments,” Information Security Technical Report, Vol. 11, Issue 2, pp. 82-88, 2006. S. A. Weis, “Radio-frequency identification security and privacy,” Masters thesis, M.I.T., June, 2003. RFID应用推动办公室网站,RFID使用于病患管理之个人隐私保护相关法规研析,http:/www.rfid.org.tw/content.php?sn=137,2007年。,58,参考数据(续),谢颖青,通讯科技与法律的对话,天下远见出版股份有限公司,2005年。 行政院主计处网站,计算机处理个人资料保护法,http:/www.dgbas.gov.tw/ct.asp?xItem=10116&ctNode=2286,1995年。 法务部全球信息网,计算机处理个人资料保护法修正草案条文对照表https:/www.moj.gov.tw/public/Attachment/62228524321.pdf,2007年。 曾龙、黄亦铭、林政颖,RFID安全性议题,RUNPC杂志,2007年。,
链接地址:https://www.31doc.com/p-2981029.html