RFID Technology(下)——面临的风险、安全与隐私策略

RFID Technology(上)——简介、市场应用与前景、工作原理

4. RFID面临的风险

  安全问题始终是现代通信发展的最大阻力之一,RFID也不例外。虽然RFID将为人类的生产和生活带来极大的便利,但目前尚未形成一套标准的安全机制。若数据未经加密或不具有完善的访问控制,那么不法分子就可以运用相关技术任意地读取RFID标签上的数据,甚至进行修改和写入数据,造成标签上的数据外泄。

4.1 安全威胁

  由于RFID是通过射频信号(电磁波)来传递信息的,因此存在多数无线通信技术都会遇到的安全威胁,导致下列问题的产生:

1、机密外泄——破坏机密性(Confidentiality)

  1. 未经授权读取(Unauthorized Read)。攻击者只要具有相同规格的阅读器,并且在标签的可读取范围内,就能够任意地读取标签内的数据,造成信息泄漏的安全问题,甚至会危及使用者的个人隐私。
  2. 窃听(Eavesdropping)。攻击者利用特殊设备来监听标签和阅读器通讯时在空中传输的电磁波信号,再通过对监听得到的信号的分析以获得其中的信息。
  3. 刺探威胁(Corporate Espionage Threat)。攻击者可以利用阅读器远程读取竞争对手仓库中的标签,以收集竞争对手库存数量和商品信息,甚至取得商品定价等机密数据
  4. 营销竞争威胁(Competitive Marketing Threat)。竞争对手可以通过对RFID标签的读取,在未经授权的情况下取得消费者的购物偏好信息,利用这些信息进行营销竞争。

2、伪造虚假信息——破坏真确性(Integrity)

  1. 未经授权写入(Unauthorized Write)。如果标签没有访问控制机制,攻击者只要具有相同规格的阅读器(带写入功能),并且在标签的可写入范围内,就能够任意地对标签进行修改和写入数据,造成标签数据遭窜改或伪造的安全问题。
  2. 假冒(Spoofing)。攻击者可能通过物理分析来取得某个标签内所储存的数据,然后复制一个具有相同数据的标签,于是就可以伪装成合法的身份而通过阅读器的验证。
  3. 重送攻击(Replay Attack)。攻击者可能先通过监听搜集标签信息,当阅读器查询标签时,再将这些信息重新送回给阅读器,因而通过阅读器的验证。
  4. 信赖边界威胁(Trust Perimeter Threat)。由于RFID系统的使用,标签的相关信息会在各个厂商之间通过网络进行共享,而此共享管道有可能会受到攻击者的入侵,导致信息外泄。因此将使公司对于信息系统的可信赖边界重新界定。

3、基础设备遭受破坏——破坏可用性(Availability)

  1. 基础设备威胁(Infrastructure Threat)。攻击者可以使用特殊设备持续地发送射频信号,以此来干扰标签和阅读器之间的通信,进行阻塞攻击,甚至瘫痪整个RFID系统,这属于阻断服务(Denial of Service, DoS)攻击的一种。
  2. 恶意编码传播(Hostile Code Propagation)。标签上的芯片可以用来储存额外的信息,若攻击者将恶意编码植入其中并借此进行传播,将可能影响阅读器的正常存取功能。国外已有研究指出,攻击者可在标签中植入恶意SQL语法进行SQL Injection攻击,造成后台系统中毒,并可能感染其他正常的标签,再通过受感染的标签感染其他后台系统。

4.2 隐私问题

  RFID标签因具有唯一识别的特性,如果标签被任意读取或是遭受上面提到的各种安全威胁,将会衍生出许多相关的隐私问题。

1、消费者的身份隐私

  1. 关联威胁(Association Threat)。由于标签具有一个能够唯一识别的信息,那么该识别信息将会与标签的持有者产生关联。如果消费者A持有某个标签,那么当阅读器读取到该标签时,就可以推测出是消费者A,并得知该消费者拥有某种物品。
  2. 群聚威胁(Constellation Threat)。若消费者携有数个标签,这群标签也可能与此消费者产生关联,若阅读器一直读取到同一群标签,就可以推测出事该消费者,并得知该消费者拥有某些物品。
  3. 面包屑威胁(Breadcrumb Threat)。此威胁是由关联威胁延伸出来的。因为标签的识别信息可与持有者产生关联,如果持有者的标签遭窃或丢弃,可能会被不法分子利用以假冒原先持有者的身分,并进行违法行为。

2、消费者的购物隐私

  1. 动作威胁(Action Threat)。个体(消费者)的动作、行为及意图可以通过观察标签的动态情况来进行推测。如果某个卖场货架上高价商品的标签信号突然消失,那么卖场可以推测是否有消费者想进行偷窃或者想购买该物品。
  2. 偏好威胁(Preference Threat)。由于标签上可能记载着商品的相关信息,如商品种类、品牌和尺寸等,可以通过标签上的信息来推测消费者的购物偏好。
  3. 交易威胁(Transaction Threat)。当某群标签中的其中一个标签转移到另一群标签中时,则可以推测出这两群标签的持有者有进行交易的可能。

3、消费者的行踪隐私

  1. 位置威胁(Location Threat)。由于标签具有一个能够唯一识别的信息,且标签的读取具有一定的范围,因此可以通过标签来追踪商品或消费者的位置。

4.3 RFID系统的安全缺陷

  当前的RFID系统普遍具有易遭受恶意攻击的特点,其原因在于系统中含有的诸多缺陷:

  1. 源代码过多。由于标签的大小、结构和能量的限制,其逻辑计算复杂度不会太高,因而后台中间件系统就可能包含大量源代码,以实现各种功能。若代码的平均错误率在0.5%~1.5%之间,中间件就很可能存在大量可供入侵的漏洞。虽然有些中间件系统源代码不多,但可能缺乏有效的漏洞检测机制。
  2. 通用协议与设施。人们倾向于在因特网体系上开发可升级的、成本合理的中间件系统,但对因特网协议的利用使得中间件系统继承了额外的包袱,如脆弱的安全性。
  3. 后台数据库。RFID系统需要自动完成数据的收集和处理工作。为满足越来越高的应用需求,必须提供对标签信息高效准确的存储和查询功能,数据库将成为RFID系统最重要的组成部分。可是数据库通常包含很多的安全漏洞,并且不同数据库的安全漏洞也不尽相同。
  4. 数据价值高。RFID系统中存储的信息通常涉及商业机密或个人隐私,甚至对国家安全都至关重要。与一般的计算机攻击相比,攻击RFID系统会产生更大的损失,因为它除了能破坏后台系统外,还可以窃取大量机密信息,甚至破坏带有标签的真实世界中的物体。
  5. 安全意识不足。当人们对恶意攻击的危害的意识不足时,RFID系统会变得更加脆弱。

  在一个缺少完善安全机制的RFID环境中,我们随时都会面临很多风险。如果我们的证件、钞票、机票等凭证上含有标签,那么其他人就能通过非接触式的扫描轻易得知我们的身份、身上携带钞票的数量以及行程等信息。药品中的标签可以暴露我们正在服用的药物,从而泄露病情信息。使用RFID技术的金融产品也会收到极大的威胁。可以说,不法分子可以轻易地搜集我们的个人隐私和商业机密,甚至威胁国家安全。将来,RFID技术的推广和应用必然需要一个完善的安全机制。

图表 10 RFID泄露的信息

图表 10  RFID泄露的信息

5. RFID的安全与隐私策略

  RFID的安全和隐私保护和成本之间是相互制约的。根据自动识别(Auto-ID)中心的试验数据,在设计成本价为5美分的标签时,集成电路芯片的成本不应该超过2美分,这使集成电路门电路数量限制在了7.5kb~15kb。一个96位的EPC编码芯片大概需要5kb~l0kb的门电路,因此,用于安全和隐私保护的门电路数量不能超过2.5kb~5kb,这使得现有强大的密码技术难以应用。优秀的RFID安全技术解决方案应该是平衡安全、隐私保护与成本的最佳方案。RFID标签已逐步进入我们的日常生产和生活当中,同时也给我们带来了许多新的安全和隐私问题。由于对低成本RFID标签的追求,使得现有的密码技术难以应用。如何根据RFID标签有限的计算资源,设计出安全有效的安全技术解决方案,仍然是一个非常具有挑战性的课题。为了有效地保护数据安全和个人隐私,引导RFID的合理应用和健康发展,还需要建立和制订完善的RFID安全与隐私保护的法规和政策。

  现有的RFID安全和隐私策略可以分为两大类,一类是通过物理方法阻止标签与阅读器之间的通信,另一类是通过逻辑方法增加标签的安全机制。

5.1 物理方法

  1. 杀死(Kill)标签。其原理是使标签丧失功能,从而阻止对标签及其携带物的跟踪,如在超市买单时进行的处理。但是,Kill命令使标签失去了它本身应有的优点。如商品在卖出后,标签上的信息将不再可用,不便于日后的售后服务以及用户对产品信息的进一步了解。而且,Kill识别序列号(PIN)一旦泄露,可能导致不法分子恶意杀死标签,实现对超市商品的盗窃。
  2. 休眠(Sleep)指令。与杀死标签的概念相似,当支持休眠(Sleep)指令的标签接收到阅读器发送的休眠指令,标签即会进入休眠状态,不会响应任何阅读器的查询。仅当标签接收到相应阅读器的唤醒(Wake Up)指令后,才会恢复正常。
  3. 法拉第笼。根据电磁场理论,由传导材料构成的容器如法拉第笼可以屏蔽无线电波,使得外部的无线电信号不能进入容器内,容器内的信号同样不能传输到容器外。把标签放进由传导材料构成的容器中可以阻止标签被扫描,即被动标签接收不到信号,不能获得能量,而主动标签发射的信号不能被外界所接收。因此,利用法拉第笼可以阻止恶意扫描标签获取信息。例如,当货币嵌入RFID标签后,可利用法拉第笼原理阻止恶意扫描,避免他人知道你包里有多少钱。
  4. 主动干扰(Disturb)。主动干扰无线电信号是另一种屏蔽标签的方法。标签用户可以通过一种设备主动广播无线电信号,用于阻止或破坏附近的RFID阅读器的操作。但这种方法可能导致非法干扰,使附近其他合法的RFID系统受到干扰,更严重的是,它可能阻断其他无线系统。
  5. 阻止(Block)标签。原理是通过采用一个特殊的阻止标签干扰防碰撞算法来实现,它将一部分标签予以屏蔽,阅读器读取命令每次总是获得相同的应答数据,从而保护标签。

5.2 逻辑方法

1、哈希锁(Hash Lock)。Hash锁是一种更加完善的抵制标签未授权访问的安全与隐私技术。整个方案只需要采用Hash函数,因此成本很低。方案原理是数据库中存储每个标签的访问密钥K,对应的标签存储元身份(MetaID),其中MetaID =Hash(K)。标签接收到阅读器的访问请求后发送MetaID作为响应,阅读器通过查询获得与标签MetaID对应的密钥K并发送给标签,标签通过Hash函数计算阅读器发送的密钥K,检查Hash(K )是否与MetaID相同,若相同则解锁,发送标签真实ID给阅读器。其工作机制如图表11所示。

图表 11 Hash锁工作机制

图表 11  Hash锁工作机制

  锁定标签:对于唯一标志号为ID的标签,阅读器随机产生该标签的Key值并计算MetaID = Hash(Key),然后将MetaID发送给标签;标签将MetaID存储下来并进入锁定状态;阅读器将(MetaID,Key,ID)存储到后台数据库中,并以MetaID 为索引。

  解锁标签:当阅读器询问标签时,标签返回MetaID;阅读器将查询后台数据库,找到对应的(MetaID,Key,ID)记录,然后将该Key值发送给标签;标签收到Key值后,计算Hash(Key)的值,并与自身存储的MetaID值进行比较,若Hash(Key) = MetaID,则标签将其ID发送给阅读器。此时,标签进入已解锁状态,并为附近的阅读器开放所有的功能。

  方法的优点:解密单向Hash函数是较困难的,因此该方法可以阻止未授权的阅读器读取标签信息数据,在一定程度上为标签提供隐私保护;该方法只需在标签上实现一个Hash函数的计算,以及增加少量存储空间(存放MetaID值),因此在低成本的标签上容易实现。

  方法的缺陷:由于每次询问时标签回答的数据是特定的,因此不能防止位置跟踪攻击;阅读器和标签间传输的数据是未经加密的,窃听者可以轻易地获得标签Ke值和ID值。

2、随机哈希锁(Randomized Hash Lock)。作为Hash锁的扩展,随机Hash锁解决了标签位置隐私问题。采用随机Hash锁方案,阅读器每次访问标签的输出信息均不相同。随机Hash锁的原理是标签包含Hash函数和随机数发生器,后台数据库存储所有的标签ID。阅读器请求访问标签,标签接收到访问请求后,使用Hash函数计算标签ID与随机数R(由随机数发生器生成)的Hash值。标签发送该Hash值给相应的阅读器,阅读器在后台数据库检索所有标签的ID值,并依次计算所有 ID和R的Hash值,判断是否为对应的标签ID。标签接收到阅读器发送的ID后解锁。其工作机制如图表12所示。

图表 12 随机Hash锁工作机制

图表 12  随机Hash锁工作机制

  首先要解释一下字符串连接符号“II”,如标签ID和随机数R的连接即表示为“ID II R”。并且,该方案中数据库存储的是各个标签的ID值,设为IDl, ID2, ⋯ ,IDk,⋯ , IDn

  锁定标签:通过向未锁定的标签发送简单的锁定指令,即可锁定该标签。

  解锁标签:阅读器向标签发出访问请求,标签产生一个随机数R并计算Hash(ID II R),并将(R, Hash(ID II R))数据对发送给阅读器;阅读器收到数据对后,在后台数据库中查询所有的标签,分别计算与各个ID值相对应的Hash(ID II R)值,并与收到的Hash(ID II R)值比较,若两者相同,则向标签发送相应的ID值;若标签接收到的ID值与其自身存储的ID值相同,则标签将被解锁。

  方法的优点:在该方案中,标签的每次应答是随机的,因此可以防止依据特定输出而进行的位置跟踪攻击。

  方法的缺陷:尽管Hash函数可以在低成本的情况下完成,但要集成随机数发生器到计算能力有限的低成本被动标签中却是很困难的。其次,随机Hash锁仅解决了标签位置隐私问题,但它不具备前向安全性,一旦标签的秘密信息被事先截获,恶意攻击者可以获得访问控制权,通过信息回溯得到标签历史记录,推断标签持有者隐私。由于阅读器需要在数据库中搜索所有标签的ID值,并为每一个ID值计算相应的Hash(ID II R)值,因此当标签数目很多时,这样的穷举计算会使得系统延时很长,效率并不高,而且存在拒绝服务攻击。

3、哈希链(Hash Chain)。作为Hash方法的一个发展,为了解决可跟踪性,标签使用了一个Hash函数,在每次阅读器访问后自动更新标识符,实现前向安全性。方案原理是标签最初在存储器设置一个随机的初始化标识符S,同时这个标识符也储存在后台数据库中。标签包含两个Hash函数G和H。当阅读器请求访问标签时,标签返回当前标识符G (Sk)给阅读器,同时当标签从阅读器电磁场获得能量时自动更新标识符Sk+1 = H (Sk)。其工作机制如图表13所示。

图表 13 Hash链工作机制

图表 13  Hash链工作机制

  锁定标签:对于每一个标签ID,阅读器随机选取一个数S发送给标签,并将(ID, S)数据对存储到后台数据库中;标签接收数S后,计算H(S)值并予以保存,即进入锁定状态。

  解锁标签:在第i次事务交换中,阅读器向标签发出访问请求,标签返回G(Si)值,并更新Si+l = H(Si),其中G和H为单向Hash函数。阅读器收到G(Si)值后,搜索数据库中所有的(ID, S)数据对,并为每个标签计算G(H(S)),比较G(Si)值和G(H(S))值是否相等,若相等,则向标签发送相应的ID值,并且将数据库中对应的数据对更新为(ID, H(S));若标签接收到的ID值与其自身存储的ID值相同,则标签将被解锁。

  方法优点:具有不可分辨性,因为G是单向Hash函数,外人获得G(Si)值后不能推算出Si值;当外人观察标签的输出时,G输出的是随机数,所以不能将G(Si)和G(Si+1)联系起来。具有前向安全性,因为H是单向Hash函数,即使外人窃取了Si+1值,也无法推算出S 值,所以无法获得标签历史活动信息。

  方法缺点:然而,该方案并不能阻止重放攻击。并且该方案每次识别都需要进行穷举搜索,计算每个标签的G(H(S))值,并对每个标签的ID进行比较,总共要计算2N个Hash函数、N个记录搜索和N个值比较,一旦标签规模增大,相应的计算负担也将急剧增大。因此Hash链存在着所有标签自动更新标识符方案的共同缺点,难以大规模扩展。同时,因为需要穷举搜索,所以存在拒绝服务攻击。

4、Key值更新随机Hash锁。鉴于上述几种安全隐私保护方案存在的缺陷,通过对其分析和改进,从而获得了 Key值更新随机Hash锁方案,实现了更加安全高效的读取访问控制。其工作机制如图表14所示。

图表 14 Key值更新随机Hash锁工作机制

图表 14  Key值更新随机Hash锁工作机制

  基本工作原理:数据库记录主要包括4列:H(Key)、ID、Key、Pointer,主键为H(Key)。其中ID为标签唯一标志号,Key是阅读器为每个标签选取的随机关键字,H(Key)是Key通过单向Hash函数H计算得到的值,Pointer是数据记录关联指针,主要用来保证数据的一致性。

  锁定标签:对于每一个标签,阅读器随机选取一个数作为该标签的Key,并将Key值发送给该标签,并在数据库中建立标签的初始记录(H(Key), ID, Key, 0);标签将接收到的Key值存储下来后,即进入锁定状态。

  解锁标签:

  1. 数据库产生一个随机数R并将其发送给阅读器,然后阅读器将访问请求Query和随机数R都发送给标签。
  2. 标签根据接收到的R和自身的Key值计算H(Key)和H(Key II R)的值,然后将(H(Key), H(Key II R))数据对发送给阅读器,并自行计算H(ID II R)和Key = S(Key),但此时Key值并不更新。
  3. 阅读器查找数据库中的记录,若找到某一条记录i:(H(Keyi), IDi, Keyi, Pointeri),其H(Keyi)值等于接收到的H(Key)值,则计算H(Keyi II R)值,并比较H(Keyi II R)值与接收到的H(Key II R)值是否相等;若不相等,则忽略此消息,表明标签是非法的,阅读器完成对该标签的合法性验证;若相等则继续下一步操作。
  4. 数据库计算H(IDi II R)的值,并将IDi和H(IDi II R)的值都传送给阅读器,然后阅读器将H(IDi II R)值发送给标签。
  5. 数据库根据记录计算Key* = S(Keyi)和H(Key*)的值。若Pointer = 0,则在数据库中添加新的记录j:(H(Key*), IDi, Key*, i),并将第i条记录修改成(H(Keyi), IDi, Keyi, j);若Pointer != 0,则找到第Pointeri条记录,将其修改成(H(Key i), IDi, Keyi, i)。
  6. 标签接收到H(IDi II R)后,比较其与自身计算的H(ID II R)是否相等,若相等,则将自身的Key值更新为S(Key),标签进入解锁状态,对阅读器开放所有功能;若不相等,表明阅读器是非法阅读器,标签保持沉默,标签完成对阅读器的验证。

  数值实验:假设数据库初始时存储了两个标签,ID分别为1和2,随机选择的Key分别为5和12,数据库初始化如表格2所示。

表格 2    数据库初始化数据建立

H(Key)

ID

Key

Pointer

H(5)

1

5

0

H(12)

2

12

0

  假设阅读器要访问ID为1的标签,首先阅读器向标签发送访问请求和随机数3,标签向阅读器返回数据对(H(5), H(5 II 3)),接着自行计算H(ID II R) = H(1 II 3)和Key = S(5);阅读器根据H(5)查找后台数据库,找到记录1:(H(5), 1, 5, 0),数据库计算H(Key1 II R) = H(5 II 3),与接收到的H(5 II 3)相等,至此验证了标签是合法的;接着数据库计算H(ID1 II R) = H(1 II 3),并将(1, H(1 II 3))数据对传送给阅读器,由此阅读器知道了该标签的ID为1,然后阅读器将H(1 II 3)的值发送给标签;数据库计算Key* = S(5),由于Pointeri = 0,则数据库中新建一条记录3:(H(S(5)), 1, S(5), 1),并将记录1修改成(H(5), 1, 5, 3)。标签接收到数据H(1 II 3)后,比较发现其等于之前计算的H(ID II R),于是将自身Key值更新为S(5)。此时数据库中的数据记录如表格3所示。

表格 3    一次访问过后的数据库状态

H(Key)

ID

Key

Pointer

H(5)

1

5

3

H(12)

2

12

0

H(S(5))

1

S(5)

1

  当下一次再与标签1通信时,数据库根据标签的H(Key) = H(S(5))查找到第3条记录,该记录的Pointer值为1,则第2次更新Key值的记录将会覆盖第1条记录。当标签被访问过一次之后,数据库中始终保持了两条与该标签有关的数据记录,这主要是为了保证数据的一致性。假设在这次通信中阅读器发送的数据H(1 II 3)并未成功地被标签接收到,则标签1的Key值将不会更新,此时数据库的第3条记录是错误的。那么在下次与标签1的通信中,查找到的仍是记录 1,数据库根据记录1的Pointer值为3,将修改第3条记录,如此就保证了数据的一致性。

  方法优点:Key值更新随机Hash锁方案具有成本低、负载小、效率高、安全性好等特点,且能保证前向安全性,基本上弥补了目前安全隐私保护不足和效率低等缺陷,是一种较为实用的算法。

  • 简单实用。将随机数产生器等复杂的计算移到了后台数据库中实现,降低了标签的复杂性,标签只需要实现两个Hash函数H和S,这在低成本的标签上较易实现。
  • 前向安全。标签的Key值在每次事务交换后被单向Hash函数S更新,外人即使获取了当前标签的Key值,也无法推算出之前的Key值,所以无法获得标签相关的历史活动信息。
  • 机器运算负载小,效率高。在每次询问过程中,假设数据库中存储的标签个数为N,本方案中后台数据库至多需要执行2N个记录搜索(因为每个标签至多存在两条记录),进行3个Hash函数H(Key II R)、S(Key)、H(ID II R)计算和1次值比较,以及产生1个随机数R。相比于Hash链方案,由于Hash函数的计算时延较长,资源消耗较大,所以当N很大时,应用本方案的系统的负载将要小得多,速度较快,延时较短,效率较高。
  • 适应标签数目较多的情况。随着标签数目的增加,计算机搜索与计算所需要的时间缓慢增加,可适应标签数目较多的情况。
  • 实现了身份的双向验证。通过Hash(Key II R)的计算比较,阅读器实现了对标签的验证;通过Hash(ID II R)的计算比较,标签实现了对阅读器的验证。
  • 有效实现安全隐私保护
    • 防非法读取。只有经过合法认证的阅读器才可读取标签的数据信息。
    • 防位置跟踪。由于随机数R和标签的Key值是不断更新变化的,因此标签每次返回的数据对(H(Key), H(Key II R))也是不同的,可以防止外人根据特定输出而进行跟踪定位
    • 防窃听。传输的ID值和Key值都经过了Hash函数加密,外人很难解密得出ID和Key的值,因此有效地防止了窃听。
    • 防伪装。由于外人无法获知Key值,因此无法伪装合法标签发送数据对(H(Key), H(Key II R)),故有效地防止了伪装攻击。
    • 防重放。每次产生的R值是随机的,外人即使窃听了合法阅读器前一次发送的H(ID II R)值,也无法再次模拟出新的H(ID II R)值,有效地防止了重放攻击。

  方法缺点:虽然优点众多,但此方案还存在一些不足,如尚无法防止敌人根据流量分析(计算标签的个数)而进行的位置跟踪,同时安全性的提高也增加了标签的部分计算时延。

  • 匿名ID。采用匿名ID,恶意攻击者即使在消息传递过程中截获标签信息也不能获得标签的真实ID。该方案通过第三方数据加密装置,采用公钥加密、私钥加密或者添加随机数生成匿名标签ID。虽然标签信息只需要采用随机读取存储器(RAM)存储,成本较低,但数据加密装置与高级加密算法都将导致系统的成本增加。因标签ID加密以后仍具有固定输出,因此,使得标签的跟踪成为可能,存在位置隐私问题。并且,该方案的实施前提是阅读器与后台数据库的通信建立在可信通道上。
  • 重加密。该方案采用公钥加密。标签可以在用户请求下通过第三方数据加密装置定期对标签数据进行重写。因采用公钥加密,大量的计算负载超出了标签的能力,通常这个过程由阅读器来处理。该方案存在的最大缺陷是标签的数据必须经常重写,否则,加密标签固定的输出也将导致位置隐私泄露问题。与匿名ID方案相似,标签数据加密装置与公钥加密将导致系统成本的增加,使得大规模的应用受到限制。并且经常地重复加密操作也给实际操作带来困难。

5.3 法规、政策解决方案

  除了技术解决方案以外,还应该制订完善的法规和政策并加以充分利用,加强RFID安全和隐私的保护。例如,2002年,Garfinkel提出了一个 RFID权利法案,指明了RFID系统创建和部署的五大基本原则,即RFID标签产品的用户具有如下权利:

  • 有权知道产品是否包含RFID标签。
  • 有权在购买产品时移除、失效或摧毁嵌入的RFID标签。
  • 有权对RFID做最好的选择,如果消费者决定不选择RFID或启用RFID的Kill功能,消费者不应丧失其他权利。
  • 有权知道他们的RFID标签内存储着什么信息,如果信息不正确,则有方法进行纠正或修改。
  • 有权知道何时、何地、为什么RFID标签被阅读或修改。
posted @ 2013-04-04 22:59  最初的幸福ever  阅读(2513)  评论(0编辑  收藏  举报