RFID隐私保护与成本是相互制约的,如何在低成本的被动标签上提供确保隐私安全的增强技术面临诸多挑战。现有的RFID隐私增强技术可以分为两大类:一类是通过物理方法阻止标签与阅读器通信的隐私增强技术,即物理安全机制;另一类是通过逻辑方法增加标签安全机制的隐私增强技术,即逻辑安全机制。RFID的逻辑机制主要通过基于Hash函数的安全认证协议来实现。
通过对RFID隐私安全威胁的分析可知,RFID隐私威胁的根源是RFID标签的唯一性和标签数据的易获得性。为了保证RFID的隐私安全,防止隐私攻击,可以采用以下RFID隐私保护方法。
保证RFID标签的ID匿名性。标签匿名性(anonymity)是指标签响应的消息不会暴露出标签身份的任何可用信息。加密是保护标签响应的方法之一。尽管标签的数据可被加密,但如果加密的数据在每轮协议中都固定,则攻击者仍然能够通过唯一的标签标识分析出标签的身份,这是因为攻击者可以通过固定的加密数据来确定每一个标签。因此,使标签信息隐蔽是确保标签ID匿名的重要方法。
保证RFID标签的ID随机性。即便对标签ID信息进行加密,但是因为标签ID是固定的,所以未授权扫描也将侵害标签持有者的定位隐私。如果标签的ID为变量,标签每次输出都不同,则隐私侵犯者不可能通过固定输出获得同一标签的信息,从而可以在一定范围内解决ID追踪问题和信息推断的隐私安全威胁问题。
保证RFID标签的前向安全性。所谓RFID标签的前向安全,是指隐私侵犯者即便获得了标签内存储的加密信息,也不能通过回溯当前信息获得标签的历史数据。也就是说,隐私侵犯者不能通过联系当前数据和历史数据对标签进行分析以获得消费者的隐私信息。
增强RFID标签的访问控制性。RFID标签的访问控制,是指标签可以根据需要确定读取RFID标签数据的权限。通过访问控制,可以避免未授权RFID阅读器的扫描,并保证只有经过授权的RFID阅读器才能获得RFID标签数据及相关隐私数据。访问控制对于实现RFID标签隐私保护具有非常重要的作用。
1、RFID的物理安全机制
通过无线技术手段进行RFID隐私保护是一种物理性手段,可以阻扰RFID阅读器获取标签数据,避免RFID标签数据被阅读器非法获得。无线隔离RFID标签的方法包括电磁屏蔽方法、无线干扰方法、可变天线方法等。
(1)基于电磁屏蔽的方法
利用电磁屏蔽原理,把RFID标签置于由金属薄片制成的容器中,无线电信号将被屏蔽,从而可使阅读器无法读取标签信息,标签也无法向阅读器发送信息。最常使用的电磁屏蔽容器就是法拉第网罩。法拉第网罩可以有效屏蔽电磁波,这样无论是外部信号还是内部信号,都将无法穿过。对被动标签来说,在没有接收到查询信号的情况下就没有能量和动机来发送相应的响应信息;对主动标签来说,它的信号无法穿过法拉第网罩,因此也无法被攻击者携带的阅读器接收到。这种方法的缺点是在使用标签时需要把标签从法拉第网罩中取出,这就失去了使用RFID标签的便利性。另外,如果要提供广泛的物联网服务,不能总是让标签处于屏蔽状态中,而是需要在更多的时间内使标签能够与阅读器处于自由通信的状态。
(2)基于无线干扰的方法
能主动发出无线电干扰信号的设备可以使其附近的RFID阅读器无法正常工作,从而达到保护隐私的目的。这种方法的缺点在于可能会产生非法干扰,使其附近的其他RFID系统甚至其他无线系统都不能正常工作。
(3)基于可变天线的方法
利用RFID标签物理结构上的特点,IBM公司推出了可分离的RFID标签。其基本设计理念是使无源标签上的天线和芯片可以方便地被拆分。这种可分离的设计可以使消费者改变标签的天线长度,从而大大缩减标签的读取距离,使用时,手持的阅读器设备必须要紧贴标签才可以读取到信息。这样一来,没有用户本人许可,阅读器设备就不可能通过远程方式获取信息。缩短天线后,标签本身还是可以运行的,这样就方便了货物的售后服务和产品退货时的识别。但是,可分离标签的制作成本比较高,标签制造的可行性有待进一步研究。
以上这些安全机制是以牺牲RFID标签的部分功能为代价来满足隐私保护要求的。这些方法都可以在一定程度上起到保护低成本的RFID标签的目的,但是由于验证、成本和法律等的约束,物理安全机制仍存在着各种各样的缺点。
2、RFID的逻辑安全机制
RFID的逻辑安全机制主要包括改变唯一性方法、隐藏信息方法和同步方法。
(1)改变唯一性方法
改变RFID标签输出信息的唯一性是指标签在每次响应RFID阅读器的请求时,返回不同的RFID序列号。不论是跟踪攻击还是罗列攻击,很大程度上是由RFID标签每次返回的序列号都相同所致。因此,解决RFID隐私安全问题的另一个方法是改变序列号的唯一性。改变RFID标签数据需要技术手段支持,根据所采用技术的不同,主要方法包括基于标签重命名的方法和基于密码学的方法。
1)基于标签重命名的方法是指改变RFID标签响应阅读器请求的方式,每次返回一个不同的序列号。例如,在购买商品后,可以去掉商品标签的序列号而保留其他信息(如产品类别码等),也可以为标签重新写入一个序列号。由于序列号发生了改变,因此攻击者无法通过简单的攻击来破坏隐私性。但是,与销毁等隐私保护方法类似,序列号改变后带来的售后服务等问题需要借助其他技术手段来解决。
例如,下面的方案可以让顾客暂时更改标签ID:当标签处于公共状态时,存储在芯片只读存储器(Read-Only Memory,ROM)里的ID可以被阅读器读取;当顾客想要隐藏ID信息时,可以在芯片的随机存取存储器(Random Access Memory,RAM)中输入一个临时ID;当随机存取存储器中存储有临时ID时,标签会利用这个临时ID回复阅读器的询问;只有把随机存取存储器重置,标签才会显示其真实ID。这个方法给顾客使用RFID技术带来了额外的负担,同时临时ID的更改也存在潜在的安全问题。
2)基于密码学的方法是指加解密等方法,此类方法确保RFID标签序列号不被非法读取。例如,采用对称加密算法和非对称加密算法对RFID标签数据以及RFID标签和阅读器之间的通信进行加密,可使一般攻击者由于不知道密钥而难以获得数据。同样,在RFID标签和阅读器之间进行认证,也可以避免非法阅读器获得RFID标签的数据。
例如,最典型的密码学方法是利用Hash函数给RFID标签加锁。该方法使用metaID来代替标签的真实ID,当标签处于封锁状态时,它将拒绝显示电子编码信息,只返回使用Hash函数产生的散列值。只有发送正确的密钥或电子编码信息时,标签才会在利用Hash函数确认后解锁。哈希锁(Hash-lock)是一种抵制标签未授权访问的隐私增强型协议,是由麻省理工学院和Auto-ID Center在2003年共同提出的。整个协议只需要采用单向密码学Hash函数即可实现简单的访问控制,因此可以保证较低的标签成本。使用哈希锁机制的标签有锁定和非锁定两种状态。在锁定状态下,标签使用metaID响应所有的查询;在非锁定状态下,标签向阅读器提供自己的标识信息。
由于这种方法较为直接和经济,因此受到了普遍关注。但是协议采用静态ID机制,metaID保持不变,且ID以明文形式在不安全的信道中传输,因此非常容易被攻击者窃取。攻击者因而可以计算或者记录(metaID,key,ID)这一组合,并在与合法的标签或者阅读器交互时假冒阅读器或者标签,实施欺骗。哈希锁协议并不安全,因此出现了各种改进的算法,如随机哈希锁(Randomized Hash Lock)、哈希链(Hash Chain Scheme)协议等。
另外,为防止RFID标签和阅读器之间的通信被非法监听,可以通过公钥密码体制实现重加密(Re-encryption),即对已加密的信息进行周期性再加密,这样因标签和阅读器间传递的加密ID信息变化很快,所以标签电子编码信息很难被盗窃,非法跟踪也很困难。但是,由于RFID标签资源有限,因此使用公钥加密RFID标签的机制比较少见。
近年来,随着计算机技术的发展,出现了一些新的RFID隐私保护方法,包括基于物理不可克隆函数(Physical Unclonable Function,PUF)的方法、基于掩码的方法、基于策略的方法、基于中间件的方法等。
从安全的角度来看,基于密码学的方法可以从根本上解决RFID隐私问题,但是由于成本和体积的限制,在普通RFID标签上几乎难以实现典型的加密方法(如数据加密标准算法)。因此,基于密码学的方法虽然具有较强的安全性,但给成本等带来了巨大的挑战。
(2)隐藏信息方法
隐藏RFID标签是指通过某种保护手段,避免RFID标签数据被阅读器获得,或者阻扰阅读器获取标签数据。隐藏RFID标签的技术包括基于代理的技术、基于距离测量的技术、基于阻塞的技术等。
1)基于代理的RFID标签隐藏技术。在基于代理的RFID标签隐藏技术中,被保护的RFID标签与阅读器之间的数据交互不是直接进行的,而是需要借助一个第三方代理设备(如RFID阅读器)。因此,当非法阅读器试图获得标签的数据时,实际的响应是由第三方代理设备发送的。由于代理设备功能比一般的标签强大,因此可以实现加密、认证等很多在标签上无法实现的功能,从而增强隐私保护。基于代理的方法可以对RFID标签的隐私起到很好的保护作用,但是由于需要额外的设备,因此成本较高,实现起来也较为复杂。
2)基于距离测量的RFID标签隐藏技术。基于距离测量的RFID标签隐藏技术是指RFID标签测量自己与阅读器之间的距离,依据距离的不同而返回不同的标签数据。一般来说,为了隐藏自己的攻击意图,攻击者与被攻击者之间需要保持一定的距离,而合法用户(如用户自己)可以近距离获取RFID标签数据。因此,如果标签可以知道自己与阅读器之间的距离,则可以认为距离较远的阅读器具有攻击意图的可能性较大,因此可以返回一些无关紧要的数据;而当收到近距离的阅读器的请求时,则返回正常数据。通过这种方法,可以达到隐藏RFID标签的目的。基于距离测量的标签隐藏技术对RFID标签有很高的要求,而且要实现距离的精确测量也非常困难。此外,如何选择合适的距离作为评判合法阅读器和非法阅读器的标准,也是一个非常复杂的问题。
3)基于阻塞的RFID标签隐藏技术。基于阻塞的RFID标签隐藏技术是指通过某种技术,妨碍RFID阅读器对标签数据的访问。阻塞的方法可以通过软件实现,也可以通过一个RFID设备来实现。此外,通过发送主动干扰信号,也可以阻碍阅读器获得RFID标签数据。与基于代理的标签隐藏方法相似,基于阻塞的标签隐藏方法成本高、实现复杂,而且如何识别合法阅读器和非法阅读器也是一个难题。
(3)同步方法
阅读器可以将标签所有可能的回复(表示为一系列的状态)预先计算出来,并存储到后台的数据库中,在收到标签的回复时,阅读器只要直接从后台数据库中查找和匹配,即可达到快速认证标签的目的。在使用这种方法时,阅读器需要知道标签所有可能的状态,即和标签保持状态的同步,以此来保证标签的回复可以根据其状态预先进行计算和存储,因此这种方法被称为同步方法。同步方法的缺点是攻击者可以攻击一个标签任意多次,使标签和阅读器失去彼此的同步状态,从而破坏同步方法的基本条件。具体来说,攻击者可以变相地“杀死”某个标签或者让这个标签的行为与没有受到攻击的标签不同,从而识别这个标签并实施跟踪。同步方法的另一个问题是标签的回复是可以预先计算并存储后以备匹配的,与回放的方法相同。攻击者可以记录标签的一些回复信息数据并回放给第三方,以达到欺骗第三方阅读器的目的。
3、RFID的综合安全机制
RFID的物理安全与逻辑安全相结合的综合安全机制主要包括改变RFID标签关联性方法。
所谓改变RFID标签与具体目标的关联性,就是取消RFID标签与其所属依附物品之间的联系。例如,购买带有RFID标签的钱包后,该RFID标签与钱包之间就建立了某种联系。而改变它们之间的关联,就是采用技术和非技术手段,取消它们之间已经建立的关联(如将RFID标签丢弃)。改变RFID标签与具体目标的关联性的基本方法包括丢弃、销毁和睡眠。
(1)丢弃
丢弃(discarding)是指将RFID标签从物品上取下来后遗弃。丢弃不涉及技术手段,因此简单、易行,但是丢弃的方法存在很多问题:第一,采用RFID技术的目的不仅是销售,还包含售后、维修等环节,因此,如果简单地丢弃RFID标签后,在退货、换货、维修、售后服务等方面都可能会面临很多问题;第二,丢弃后的RFID标签会面临前面所述的垃圾收集威胁,因此并不能解决隐私问题;第三,如果处理不当,RFID标签的丢弃会带来环保等问题。
(2)销毁
销毁(killing)是指让RFID标签进入永久失效状态。销毁可以是毁坏RFID标签的电路,也可以是销毁RFID标签的数据。例如,如果破坏了RFID标签的电路,则该标签将无法向RFID阅读器返回数据,此外,即便对其进行物理分析也可能无法获得相关数据。销毁需要借助技术手段,一般需要借助特定的设备来实现,对普通用户而言可能存在一定的困难,因此实现难度较大。与丢弃相比,由于标签已经无法继续使用,因此不存在垃圾收集等威胁。但在标签被销毁后,也会面临售后服务等问题。
销毁命令机制是一种从物理上毁坏标签的方法。RFID标准设计模式中包含销毁命令,执行销毁命令后,标签所有的功能都将丧失,从而使其不会响应攻击者的扫描行为,进而防止攻击者对标签以及标签的携带者进行跟踪。例如,在超市购买完商品后,即在阅读器获取完标签的信息并经过后台数据库的认证操作之后,就可以“杀死”消费者所购买的商品上的标签,从而起到保护消费者隐私的作用。完全“杀死”标签可以完全防止攻击者的扫描和跟踪,但是这种方法也破坏了RFID标签的功能,无法让消费者继续享受以RFID标签为基础的物联网服务。例如,如果商品被售出后标签上的信息无法再次使用,则售后服务以及与此商品相关的其他服务项目也就无法进行了。另外,如果销毁命令的识别序列号(PIN)泄露,则攻击者就可以使用这个PIN来“杀死”超市中商品上的RFID标签,然后就可以将对应的商品带走而不会被察觉。
(3)睡眠
睡眠(sleeping)是指通过技术或非技术手段让标签进入暂时失效状态,当需要的时候可以重新激活标签。这种方法具有显著的优点:由于可以重新激活,因此避免了售后服务等需要借助于RFID标签的问题,而且也不会存在垃圾收集威胁和环保等问题。但与销毁一样,需要借助于专业人员和专业设备才能实现标签睡眠。
