RFID的安全与隐私

基金项目：国家电子发展基金项目(基于RFID的电子标签产品研发与标准)

      无线射频识别(RFID)是一种远程存储和获取数据的方法，其中使用了一个称为标签(Tag)的小设备。在典型的RFID系统中，每个物体装配着这样一个小的、低成本的标签。系统的目的就是使标签发射的数据能够被阅读器读取，并根据特殊的应用需求由后台服务器进行处理。标签发射的数据可能是身份、位置信息，或携带物体的价格、颜色、购买数据等。

      RFID标签被认为是条码的替代，具有体积小、易于嵌入物体当中、无需接触就能大量地进行读取等优点。另外，RFID标识符较长，可使每一个物体具有一个唯一的编码，唯一性使得物体的跟踪成为可能。该特征可帮助企业防止偷盗、改进库存管理、方便商店和仓库的清点。此外，使用RFID技术，可极大地减少消费者在付款柜台前的等待时间。

      但是，随着RFID能力的提高和标签应用的日益普及，安全问题，特别是用户隐私问题变得日益严重。用户如果带有不安全的标签的产品，则在用户没有感知的情况下，被附近的阅读器读取，从而泄露个人的敏感信息，例如金钱、药物(与特殊的疾病相关联)、书(可能包含个人的特殊喜好)等，特别是可能暴露用户的位置隐私，使得用户被跟踪。

      因此，在RFID应用时，必须仔细分析所存在的安全威胁，研究和采取适当的安全措施，既需要技术方面的措施，也需要政策、法规方面的制约。

1 RFID技术及其系统组成

1.1 系统组成
      基本的RFID系统主要由3部分组成，如图1所示，包括：

      (1)标签
      标签放置在要识别的物体上，携带目标识别数据，是RFID系统真正的数据载体，由耦合元件以及微电子芯片(包含调制器、编码发生器、时钟及存储器)组成。

      (2)阅读器
      阅读器用于读或读/写标签数据的装置，由射频模块(发送器和接收器)、控制单元、与标签连接的藕合单元组成。

      (3)后台服务器
      后台服务器包含数据库处理系统，存储和管理标签相关信息，如标签标识、阅读器定位、读取时间等。后台服务器接收来自可信的阅读器获得的标签数据，将数据输入到它自身的数据库里，且提供对访问标签相关数据的编号。

1.2 工作原理
      RFID系统的基本工作原理是：阅读器与标签之间通过无线信号建立双方通信的通道，阅读器通过天线发出电磁信号，电磁信号携带了阅读器向标签的查询指令。当标签处于阅读器工作范围时，标签将从电磁信号中获得指令数据和能量，并根据指令将标签标识和数据以电磁信号的形式发送给阅读器，或根据阅读器的指令改写存储在RFID标签中的数据。阅读器可接收RFID标签发送的数据或向标签发送数据，并能通过标准接口与后台服务器通信网络进行对接，实现数据的通信传输。

      根据标签能量获取方式，RFID系统工作方式可分为：近距离的电感耦合方式和远距离的电磁耦合方式。

2 RFID的安全和隐私问题

2.1 RFID的隐私威胁
      RFID面临的隐私威胁包括：标签信息泄漏和利用标签的唯一标识符进行的恶意跟踪。

      信息泄露是指暴露标签发送的信息，该信息包括标签用户或者是识别对象的相关信息。例如，当RFID标签应用于图书馆管理时，图书馆信息是公开的，读者的读书信息任何其他人都可以获得。当RFID标签应用于医院处方药物管理时，很可能暴露药物使用者的病理，隐私侵犯者可以通过扫描服用的药物推断出某人的健康状况。当个人信息比如电子档案、生物特征添加到RFID标签里时，标签信息泄露问题便会极大地危害个人隐私。如美国原计划2005年8月在入境护照上装备电子标签的计划[1-2]因为考虑到信息泄露的安全问题而被迟。

      RFID系统后台服务器提供有数据库，标签一般不需包含和传输大量的信息。通常情况下，标签只需要传输简单的标识符，然后，通过这个标识符访问数据库获得目标对象的相关数据和信息。因此，可通过标签固定的标识符实施跟踪，即使标签进行加密后不知道标签的内容，仍然可以通过固定的加密信息跟踪标签。也就是说，人们可以在不同的时间和不同的地点识别标签，获取标签的位置信息。这样，攻击者可以通过标签的位置信息获取标签携带者的行踪，比如得出他的工作地点，以及到达和离开工作地点的时间。

      虽然利用其他的一些技术，如视频监视、全球移动通信系统(GSM)、蓝牙等，也可进行跟踪。但是，RFID标签识别装备相对低廉，特别是RFID进入老百姓日常生活以后，拥有阅读器的人都可以扫描并跟踪他人。而且，被动标签信号不能切断，尺寸很小极易隐藏，使用寿命长，可自动识别和采集数据，从而使恶意跟踪更容易。

2.2 跟踪问题的层次划分
      RFID系统根据分层模型可划分为3层：应用层、通信层和物理层，如图2所示。

      恶意跟踪可分别在此3个层次内进行[3]。

      (1)应用层
      处理用户定义的信息，如标识符。为了保护标识符，可在传输前变换该数据，或仅在满足一定条件时传送该信息。标签识别、认证等协议在该层定义。
通过标签标识符进行跟踪是目前的主要手段。因此，解决方案要求每次识别时改变由标签发送到阅读器的信息，此信息或者是标签标识符，或者是它的加密值。

      (2)通信层
      定义阅读器和标签之间的通信方式。防碰撞协议和特定标签标识符的选择机制在该层定义。该层的跟踪问题来源于两个方面：一是基于未完成的单一化(Singulation)会话攻击，二是基于缺乏随机性的攻击。

      防碰撞协议分为两类：确定性协议和概率性协议。确定性防碰撞协议基于标签唯一的静态标识符，对手可以轻易地追踪标签。为了避免跟踪，标识符需要是动态的。然而，如果标识符在单一化过程中被修改，便会破坏标签单一化。因此，标识符在单一化会话期间不能改变。为了阻止被跟踪，每次会话时应使用不同的标识符。但是，恶意的阅读器可让标签的一次会话处于开放状态，使标签标识符不改变，从而进行跟踪。概率性防碰撞协议也存在这样的跟踪问题。另外，概率性防碰撞协议，如Aloha协议，不仅要求每次改变标签标识符，而且，要求是完美的随机化，以防止恶意阅读器的跟踪。

      (3)物理层
      定义物理空中接口，包括频率、传输调制、数据编码、定时等。在阅读器和标签之间交换的物理信号使对手在不理解所交换的信息的情况下也能区别标签或标签集。

      无线传输参数遵循已知标准，使用同一标准的标签发送非常类似的信号，使用不同标准的标签发送的信号很容易区分。可以想象，几年后，我们可能携带嵌有标签的许多物品在大街上行走，如果使用几个标准，每个人可能带有特定标准组合的标签，这类标准组合使对人的跟踪成为可能。该方法特别地利于跟踪某些类型的人，如军人或安全保安人员。
类似地，不同无线指纹的标签组合，也会使跟踪成为可能。

2.3 RFID的安全威胁
      RFID应用广泛，可能引发各种各样的安全问题。在一些应用中，非法用户可利用合法阅读器或者自构一个阅读器对标签实施非法接入，造成标签信息的泄露。在一些金融和证件等重要应用中，攻击者可篡改标签内容，或复制合法标签，以获取个人利益或进行非法活动。在药物和食品等应用中，伪造标签，进行伪劣商品的生产和销售。实际中，应针对特定的RFID应用和安全问题，分别采取相应的安全措施。

      下面，根据EPCglobal标准组织定义的EPCglobal系统架构[4]和一条完整的供应链[5-6]， 纵向和横向分别描述RFID面临的安全威胁和隐私威胁。

2.4 EPCglobal系统的纵向安全和隐私威胁分析
      EPCglobal系统架构和所面临的安全威胁如图3所示。主要由标签、阅读器、电子物品编码(EPC)中间件、电子物品编码信息系统(EPCIS)、物品域名服务(ONS)以及企业的其他内部系统组成。其中EPC中间件主要负责从一个或多个阅读器接收原始标签数据，过滤重复等冗余数据；EPCIS主要保存有一个或多个EPCIS级别的事件数据；ONS主要负责提供一种机制，允许内部、外部应用查找EPC相关EPCIS数据。

      从下到上，可将EPCglobal整体系统划分为3个安全域：标签和阅读器构成的无线数据采集区域构成的安全域、企业内部系统构成的安全域、企业之间和企业与公共用户之间供数据交换和查询网络构成的安全区域。个人隐私威胁主要可能出现在第一个安全域，即标签、空口无线传输和阅读器之间，有可导致个人信息泄露和被跟踪等。另外，个人隐私威胁还可能出现在第三个安全域，如果ONS的管理不善，也可能导致个人隐私的非法访问或滥用。安全与隐私威胁存在于如下各安全域：

      (1)标签和阅读器构成的无线数据采集区域构成的安全域。可能存在的安全威胁包括标签的伪造、对标签的非法接入和篡改、通过空中无线接口的窃听、获取标签的有关信息以及对标签进行跟踪和监控。

      (2)企业内部系统构成的安全域。企业内部系统构成的安全域存在的安全威胁与现有企业网一样，在加强管理的同时，要防止内部人员的非法或越权访问与使用，还要防止非法阅读器接入企业内部网络。

      (3)企业之间和企业与公共用户之间供数据交换和查询网络构成的安全区域。ONS通过一种认证和授权机制，以及根据有关的隐私法规，保证采集的数据不被用于其他非正常目的的商业应用和泄露，并保证合法用户对有关信息的查询和监控。

2.5 供应链的横向安全和隐私威胁分析
      一个较完整的供应链及其面对的安全与隐私威胁如图4所示，包括供应链内、商品流通和供应链外等3个区域，具体包括商品生产、运输、分发中心、零售商店、商店货架、付款柜台、外部世界和用户家庭等环节。图中前4个威胁为安全威胁，后7个威胁为隐私威胁。其中，安全威胁包括：

      (1)工业间谍威胁
      从商品生产出来到售出之前各环节，竞争对手可容易地收集供应链数据，其中某些涉及产业的最机密信息。例如，一个代理商可从几个地方购买竞争对手的产品，然后，监控这些产品的位置补充情况。在某些场合，可在商店内或在卸货时读取标签，因为，携带标签的物品被唯一编号，竞争者可以非常隐蔽地收集大量的数据。

      (2)竞争市场威胁
      从商品到达零售商店直到用户在家使用等环节，携带着标签的物品使竞争者可容易地获取用户的喜好，并在竞争市场中使用这些数据。

      (3)基础设施威胁
      基础设施威胁包括从商品生产到付款柜台售出等整个环节，这不是RFID本身特定的威胁，但当RFID成为一个企业基础设施的关键部分时，通过阻塞无线信号，可使企业遭到新的拒绝服务攻击。

      (4)信任域威胁
      信任域威胁包括从商品生产到付款柜台售出等整个环节，这也不是RFID特定的威胁，因需要在各环节之间共享大量的电子数据，某个不适当的共享机制将提供新的攻击机会。

      个人隐私威胁包括：
      (1)行为威胁
      由于标签标识的唯一性，可以很容易地与一个人的身份相联系。可以通过监控一组标签的行踪而获取一个人的行为。

      (2)关联威胁
      在用户购买一个携带EPC标签的物品时，可将用户的身份与该物品的电子序列号相关联，这类关联可能是秘密的，甚至是无意的。

      (3)位置威胁
      在特定的位置放置秘密的阅读器，可产生两类隐私威胁。一类是，如果监控代理知道那些与个人关联的标签，那么，携带唯一标签的个人可被监控，他们的位置将被暴露；另一类是，一个携带标签的物品的位置(无论谁或什么东西携带它)易于未经授权地被暴露。

      (4)喜好威胁
      利用EPC网络，物品上的标签可唯一地识别生产者、产品类型、物品的唯一身份。这使竞争(或好奇)者以非常低的成本可获得宝贵的用户喜好信息。如果对手能够容易地确定物品的金钱价值，这实际上也是一种价值威胁。

      (5)星座(Constellation)威胁
      无论个人身份是否与一个标签关联，多个标签可在一个人的周围形成一个唯一的星座，对手可使用该特殊的星座实施跟踪，而不必知道他们的身份，即前面描述的利用多个标准进行的跟踪。

      (6)事务威胁
      当携带标签的对象从一个星座移到另一个星座时，在与这些星座关联的个人之间，可容易地推导出发生的事务。

      (7)面包屑(Breadcrumb)威胁
      属于关联结果的一种威胁。因为个人收集携带标签的物品，然后，在公司信息系统中建立一个与他们的身份关联的物品数据库。当他们丢弃这些“电子面包屑”时，在他们和物品之间的关联不会中断。使用这些丢弃的面包屑可实施犯罪或某些恶意行为。

      标签复制也是RFID面临的一种严重的安全威胁。

3 RFID安全解决方案

3.1 技术解决方案
      RFID安全和隐私保护与成本之间是相互制约的。根据自动识别(Auto-ID)中心的试验数据，在设计5美分[7]标签时，集成电路芯片的成本不应该超过2美分，这使集成电路门电路数量限制在了7.5 kb～15 kb。一个96 b的EPC芯片约需要5 kb~l0 kb的门电路[8]，因此用于安全和隐私保护的门电路数量不能超过2.5 kb~5 kb，使得现有密码技术难以应用。优秀的RFID安全技术解决方案应该是平衡安全、隐私保护与成本的最佳方案。

      现有的RFID安全和隐私技术可以分为两大类：一类是通过物理方法阻止标签与阅读器之间通信，另一类是通过逻辑方法增加标签安全机制。

3.1.1 物理方法

      (1)杀死(Kill)标签
      原理是使标签丧失功能，从而阻止对标签及其携带物的跟踪。如在超市买单时的处理。但是，Kill命令使标签失去了它本身应有的优点。如商品在卖出后，标签上的信息将不再可用，不便于日后的售后服务以及用户对产品信息的进一步了解。另外，若Kill识别序列号(PIN)一旦泄露，可能导致恶意者对超市商品的偷盗。

      (2)法拉第网罩
      根据电磁场理论，由传导材料构成的容器如法拉第网罩可以屏蔽无线电波。使得外部的无线电信号不能进入法拉第网罩，反之亦然。把标签放进由传导材料构成的容器可以阻止标签被扫描，即被动标签接收不到信号，不能获得能量，主动标签发射的信号不能发出。因此，利用法拉第网罩可以阻止隐私侵犯者扫描标签获取信息。比如，当货币嵌入RFID标签后，可利用法拉第网罩原理阻止隐私侵犯者扫描，避免他人知道你包里有多少钱。

      (3)主动干扰
      主动干扰无线电信号是另一种屏蔽标签的方法。标签用户可以通过一个设备主动广播无线电信号用于阻止或破坏附近的RFID阅读器的操作。但这种方法可能导致非法干扰，使附近其他合法的RFID系统受到干扰，严重的是，它可能阻断附近其他无线系统。

      (4)阻止标签
      原理是通过采用一个特殊的阻止标签干扰防碰撞算法来实现，阅读器读取命令每次总是获得相同的应答数据，从而保护标签。

3.1.2 逻辑方法

      (1)哈希(Hash)锁方案
      Hash锁[9]是一种更完善的抵制标签未授权访问的安全与隐私技术。整个方案只需要采用Hash函数，因此成本很低。

      方案原理是阅读器存储每个标签的访问密钥K，对应标签存储的元身份(MetaID)，其中MetaID =Hash(K )。标签接收到阅读器访问请求后发送MetaID 作为响应，阅读器通过查询获得与标签MetaID 对应的密钥K并发送给标签，标签通过Hash函数计算阅读器发送的密钥K，检查Hash(K )是否与MetaID 相同，相同则解锁，发送标签真实ID给阅读器。

      (2)随机Hash锁方案
      作为Hash锁的扩展，随机Hash锁[10]解决了标签位置隐私问题。采用随机Hash锁方案，阅读器每次访问标签的输出信息都不同。

      随机Hash锁原理是标签包含Hash函数和随机数发生器，后台服务器数据库存储所有标签ID。阅读器请求访问标签，标签接收到访问请求后，由Hash函数计算标签ID与随机数r (由随机数发生器生成)的Hash值。标签发送数据给请求的阅读器，同时阅读器发送给后台服务器数据库，后台服务器数据库穷举搜索所有标签ID和r 的Hash值，判断是否为对应标签ID。标签接收到阅读器发送的ID后解锁。

      尽管Hash函数可以在低成本的情况下完成，但要集成随机数发生器到计算能力有限的低成本被动标签，却是很困难的。其次，随机Hash锁仅解决了标签位置隐私问题，一旦标签的秘密信息被截获，隐私侵犯者可以获得访问控制权，通过信息回溯得到标签历史记录，推断标签持有者隐私。后台服务器数据库的解码操作是通过穷举搜索，需要对所有的标签进行穷举搜索和Hash函数计算，因此存在拒绝服务攻击。

      (3)Hash链方案
      作为Hash方法的一个发展，为了解决可跟踪性，标签使用了一个Hash函数在每次阅读器访问后自动更新标识符，实现前向安全性[11]。

      方案原理是标签最初在存储器设置一个随机的初始化标识符s 1，同时这个标识符也储存在后台数据库。标签包含两个Hash函数G和H。当阅读器请求访问标签时，标签返回当前标签标识符r k =G (s k )给阅读器，同时当标签从阅读器电磁场获得能量时自动更新标识符s k+1=H (sk)。

      Hash链与之前的Hash方案相比主要优点是提供了前向安全性。然而，它并不能阻止重放攻击。并且该方案每次识别时需要进行穷举搜索，比较后台数据库每个标签，一旦标签规模扩大，后端服务器的计算负担将急剧增大。因此Hash链方案存在着所有标签自更新标识符方案的通用缺点，难以大规模扩展，同时，因为需要穷举搜索，所以存在拒绝服务攻击。

      (4)匿名ID方案
      采用匿名ID[12]，隐私侵犯者即使在消息传递过程中截获标签信息也不能获得标签的真实ID。该方案通过第三方数据加密装置采用公钥加密、私钥加密或者添加随机数生成匿名标签ID。虽然标签信息只需要采用随机读取存储器(RAM)存储，成本较低，但数据加密装置与高级加密算法都将导致系统的成本增加。因标签ID加密以后仍具有固定输出，因此，使得标签的跟踪成为可能，存在标签位置隐私问题。并且，该方案的实施前提是阅读器与后台服务器的通信建立在可信通道上。

      (5)重加密方案
      该方案采用公钥加密[13]。标签可以在用户请求下通过第三方数据加密装置定期对标签数据进行重写。因采用公钥加密，大量的计算负载超出了标签的能力，通常这个过程由阅读器来处理。该方案存在的最大缺陷是标签的数据必须经常重写，否则，即使加密标签ID固定的输出也将导致标签定位隐私泄露。与匿名ID方案相似，标签数据加密装置与公钥加密将导致系统成本的增加，使得大规模的应用受到限制。并且经常地重复加密操作也给实际操作带来困难。

3.2 法规、政策解决方案
      除了技术解决方案以外，还应充分利用和制订完善的法规、政策，加强RFID安全和隐私的保护。2002年，Garfinkel先生提出了一个RFID权利法案[14]，提出了RFID系统创建和部署的五大指导原则，即RFID标签产品的用户具有如下权利：

• 有权知道产品是否包含RFID标签
• 有权在购买产品时移除、失效或摧毁嵌入的RFID标签
• 有权对RFID做最好的选择，如果消费者决定不选择RFID或启用RFID的Kill功能，消费者不应丧失其他权利
• 有权知道他们的RFID标签内存储着什么信息，如果信息不正确，则有方法进行纠正或修改
• 有权知道何时、何地、为什么RFID标签被阅读
  

4 结束语
      RFID标签已逐步进入我们的日常生产和生活当中，同时，也给我们带来了许多新的安全和隐私问题。由于对低成RFID标签的追求，使得现有的密码技术难以应用。如何根据RFID标签有限的计算资源，设计出安全有效的安全技术解决方案，仍然是一个具有相当挑战性的课题。为了有效地保护数据安全和个人隐私，引导RFID的合理应用和健康发展，还需要建立和制订完善的RFID安全与隐私保护法规、政策。

5 参考文献
[1] YANG J K, Park J, Lee H, et al. Mutual authenti-cation protocol for low-cost RFID [C]// Proceedings of Workshop on RFID and Lightweight Crypto, Jul 14-15,2005,Graz, Austria.
[2] Juels A, Monar D Wagner D Security and privacy issues in E-passports [C]//Proceedings of  Conference on Security and Privacy for Emerging Areas in Communication Networks, Sep 5-9, 2005, Athens, Greece.2005:74-88.
[3] Avoine G, Oechslin P. RFID traceability: A multilayer problem [C]// Proceedings of  9th International Conference on Financial Cryptography,Feb 28-Mar 3,2005, Roseau, Dominika. 2005:125-140.
[4] EPCglobal. The EPC global architecture framework [R]. 2005
[5] Garfinkel S L, Juels A, Pappu R. RFID privacy: An overview of problems and proposed solutions [J]. IEEE Security and Pravicy, 2005,3(3):34-43.
[6] ISO 1736-2000. 奶粉和奶粉制品:脂肪含量的测定:重量分析法(基准方法) [S]. 2000.
[7] Sarma S. Towards the 5, Tag [EB/OL].
http://www.autoidcenter.org/pdfs/.
[8] Sarma S E, Weis S A , Engels D W. Radio-frequency identification: Secure risks and challenges [J]. RSA Laboratories Cryptobytes, 2003,6(1):2-9.
[9] Weis S. Security and privacy in radio frequency identification device [D]. Cambridge,MA, USA:MIT, 2003
[10] Spiekermann S, Berthold O. Maintaining privacy in RFID enabled environments—Proposal for a disable-model [C]//Proceedings of Workshop on Security and Privacy, Conference on Pervasive Computing, Apr 21-23,2004, Vienna, Austria.
[11] Ohkubo M, Suzuki K, Kinoshita S. Cryptographic approach to privacy-friendly tags [C]//Proceedings of RFID Privacy Workshop, Nov 15,2003, Cambridge, MA,USA.
[12] Kinosita S, Hoshino F, Komuro T, et al. Nonidentifiable anonymous-ID scheme for RFID privacy protection [C]//Proceedings of Computer Security Symposium, Oct  29-31,2003, Kitakyushu, Japan.
[13] Duels A, Pappu R. EUROS S. Privacy protection RFID-enabled banknotes [C]//Proceedings of Seventh International Financial Cryptography Conference, Jan 27-30,2003, Gosier, Guadeloupe. 2003:103-121.
[14] Garfinkel S. An RFID bill of rights [EB/OL]. www.technologyreview.com/articles/02/10/garfinkel1002.asp.

收稿日期：2007-05-22

[摘要] 无线射频识别(RFID)技术中的数据安全和个人隐私问题日益突出，成为了阻碍RFID进一步发展的“瓶颈”。解决该问题需要有切实可行的综合技术解决方案和完善的法规、政策解决方案。可采取的技术解决方案包括：杀死标签、法拉第网罩、主动干扰、阻止标签、哈希(Hash)锁、随机Hash锁、Hash链、重加密等。目前，找到一个既能保护用户隐私和数据安全又能维持低成本的解决方案非常重要，不仅如此，还需要完善的RFID安全与隐私保护法规、政策配合。

[关键词] 无线射频识别；标签；阅读器；安全；隐私

[Abstract] With the rapid development and wide application of Radio Frequency Identification (RFID), the data security and personal privacy of RFID becomes a bottleneck for the development of RFID. The comprehensive method and policy are needed to solve the problem. There are technical solutions including kill tag, Faraday cage, active jam, tag disabling, Hash lock, random Hash lock, Hash link, and re-encryption. Nowadays, it is very important to find a solution that can protect personal privacy and data security, and has low cost. Moreover, full-fledged policies of RFID security and privacy are needed to cooperate.

[Keywords] RFID; tag; reader; security; privacy