《物联网安全导论》(第2版）PPT课件第4章 RFID系统安全与隐私 -《物联网安全导论》.ppt

1、学习任务学习任务RFIDRFID安全与隐私概述安全与隐私概述 RFIDRFID技术中的隐私问题及保护措施技术中的隐私问题及保护措施 产品电子代码（产品电子代码（EPCEPC）密码机制）密码机制123本章主要涉及：本章主要涉及：4学习任务学习任务RFIDRFID标签安全设置标签安全设置 RFIDRFID系统面临的攻击手段系统面临的攻击手段 RFIDRFID系统安全解决方案系统安全解决方案 456本章主要涉及：本章主要涉及：8第第4章章 RFID系统安全与隐私系统安全与隐私信息采集是物联网感知识别层完成的功能。物联信息采集是物联网感知识别层完成的功能。物联网中感知层主要实现智能感知功能网中感知层主

2、要实现智能感知功能,包括信息采包括信息采集、捕获和物体识别。集、捕获和物体识别。感知延伸层的关键技术包括传感器、感知延伸层的关键技术包括传感器、RFID、自、自组织网络、短距离无线通信、低功耗路由等。组织网络、短距离无线通信、低功耗路由等。感知感知/延伸层的安全问题主要表现为相关数据信息延伸层的安全问题主要表现为相关数据信息在机密性、完整性、可用性方面的要求在机密性、完整性、可用性方面的要求,主要涉及主要涉及RFID、传感技术的安全问题。、传感技术的安全问题。4.1 RFID安全与隐私概述安全与隐私概述 随着随着RFID能力的提高和标签应用的日益普及，安能力的提高和标签应用的日益普及，安全问题

3、，特别是用户隐私问题变得日益严重。全问题，特别是用户隐私问题变得日益严重。用户如果带有不安全的标签的产品，则在用户没用户如果带有不安全的标签的产品，则在用户没有感知的情况下，被附近的阅读器读取，从而泄有感知的情况下，被附近的阅读器读取，从而泄露个人的敏感信息，例如金钱、药物露个人的敏感信息，例如金钱、药物(与特殊的疾与特殊的疾病相关联病相关联)、书、书(可能包含个人的特殊喜好可能包含个人的特殊喜好)等，特等，特别是可能暴露用户的位置隐私，使得用户被跟踪。别是可能暴露用户的位置隐私，使得用户被跟踪。4.1 RFID安全与隐私概述安全与隐私概述 因此，在因此，在RFID应用时，必须仔细分析所存在的

4、应用时，必须仔细分析所存在的安全威胁，研究和采取适当的安全措施，既需要安全威胁，研究和采取适当的安全措施，既需要技术方面的措施，也需要政策、法规方面的制约。技术方面的措施，也需要政策、法规方面的制约。4.1 RFID安全与隐私概述安全与隐私概述4.1.1 RFID基本组成架构基本组成架构1.系统组成系统组成 RFID系统一般由系统一般由3大部分构成：标签、读写器以及大部分构成：标签、读写器以及后台数据库后台数据库,包括：包括：(1)标签标签 标签放置在要识别的物体上，携带目标识别数据，标签放置在要识别的物体上，携带目标识别数据，是是RFID系统真正的数据载体，由耦合元件以及微系统真正的数据载体

5、，由耦合元件以及微电子芯片电子芯片(包含调制器、编码发生器、时钟及存储包含调制器、编码发生器、时钟及存储器器)组成。组成。4.1 RFID安全与隐私概述安全与隐私概述(2)阅读器阅读器 阅读器用于读或读阅读器用于读或读/写标签数据的装置，由射频模写标签数据的装置，由射频模块块(发送器和接收器发送器和接收器)、控制单元、与标签连接的藕、控制单元、与标签连接的藕合单元组成。合单元组成。(3)后台服务器后台服务器 后台服务器包含数据库处理系统，存储和管理标后台服务器包含数据库处理系统，存储和管理标签相关信息，如标签标识、阅读器定位、读取时签相关信息，如标签标识、阅读器定位、读取时间等。间等。后台服务

6、器接收来自可信的阅读器获得的标签数后台服务器接收来自可信的阅读器获得的标签数据，将数据输入到它自身的数据库里，且提供对据，将数据输入到它自身的数据库里，且提供对访问标签相关数据的编号。访问标签相关数据的编号。4.1 RFID安全与隐私概述安全与隐私概述 RFID基本组成架构基本组成架构 4.1 RFID安全与隐私概述安全与隐私概述2.工作原理工作原理 RFID系统的基本工作原理是：阅读器与标签之系统的基本工作原理是：阅读器与标签之间通过无线信号建立双方通信的通道，阅读器通间通过无线信号建立双方通信的通道，阅读器通过天线发出电磁信号，电磁信号携带了阅读器向过天线发出电磁信号，电磁信号携带了阅读器

7、向标签的查询指令。标签的查询指令。当标签处于阅读器工作范围时，标签将从电磁信当标签处于阅读器工作范围时，标签将从电磁信号中获得指令数据和能量，并根据指令将标签标号中获得指令数据和能量，并根据指令将标签标识和数据以电磁信号的形式发送给阅读器，或根识和数据以电磁信号的形式发送给阅读器，或根据阅读器的指令改写存储在据阅读器的指令改写存储在RFID标签中的数据。标签中的数据。4.1 RFID安全与隐私概述安全与隐私概述 阅读器可接收阅读器可接收RFID标签发送的数据或向标签发标签发送的数据或向标签发送数据，并能通过标准接口与后台服务器通信网送数据，并能通过标准接口与后台服务器通信网络进行对接，实现数据

8、的通信传输。络进行对接，实现数据的通信传输。根据标签能量获取方式，根据标签能量获取方式，RFID系统工作方式可系统工作方式可分为：近距离的电感耦合方式和远距离的电磁耦分为：近距离的电感耦合方式和远距离的电磁耦合方式。合方式。4.1 RFID安全与隐私概述安全与隐私概述3.标签与读写器之间的通信信道标签与读写器之间的通信信道 标签是配备有天线的微型电路。标签通常没有微标签是配备有天线的微型电路。标签通常没有微处理器，仅由数千个逻辑门电路组成，因此要将处理器，仅由数千个逻辑门电路组成，因此要将加密或者签名算法集成到这类设备中确实是一个加密或者签名算法集成到这类设备中确实是一个不小的挑战。不小的挑战

9、。标签和读写器之间的通信距离受到多个参数的影标签和读写器之间的通信距离受到多个参数的影响，特别是通信频率的影响。读写器实际是一个响，特别是通信频率的影响。读写器实际是一个带有天线的无线发射与接收设备，它的处理能力、带有天线的无线发射与接收设备，它的处理能力、存储空间都比较大。存储空间都比较大。4.1 RFID安全与隐私概述安全与隐私概述 目前，主要有两种通信频率的目前，主要有两种通信频率的RD系统共存：一系统共存：一种使用种使用13.56MHz，一种使用，一种使用860960MHz（通（通信距离更长）。信距离更长）。依据标签的能量来源，可以将标签分为依据标签的能量来源，可以将标签分为3大类：大

10、类：被动式标签、半被动式标签以及主动式标签，其被动式标签、半被动式标签以及主动式标签，其特点见下表特点见下表。4.1 RFID安全与隐私概述安全与隐私概述依据其功能，可以将标签分为依据其功能，可以将标签分为5大类：大类：Class0、Class1、Class2、Class3和和Class4，其功能一，其功能一次增加，见下表次增加，见下表。4.1 RFID安全与隐私概述安全与隐私概述读写器到标签之间的信道称为读写器到标签之间的信道称为“前向信道前向信道”（forward channel），而标签到读写器的信道），而标签到读写器的信道则称为则称为“反向信道反向信道”（backward channe

11、l）。）。读写器与标签的无线功率差别很大，前向信道的读写器与标签的无线功率差别很大，前向信道的通信范围远远大于反向信道的通信范围。通信范围远远大于反向信道的通信范围。4.1 RFID安全与隐私概述安全与隐私概述 这种固有的信道这种固有的信道“非对称性非对称性”自然会对自然会对RFID系系统安全机制的设计和分析产生极大的影响。统安全机制的设计和分析产生极大的影响。一般而言，我们通常做如下基本假设：标签与读一般而言，我们通常做如下基本假设：标签与读写器之间的通信信道是不安全的，而读写器与后写器之间的通信信道是不安全的，而读写器与后台数据库之间的通信信道则是安全的。这也是出台数据库之间的通信信道则是

12、安全的。这也是出于对于对RFID系统设计、管理和分析方便的考虑。系统设计、管理和分析方便的考虑。4.1 RFID安全与隐私概述安全与隐私概述4.1.2 RFID的安全和攻击模式的安全和攻击模式1.信息及隐私泄露信息及隐私泄露 信息及隐私泄露是指暴露标签发送的信息，该信信息及隐私泄露是指暴露标签发送的信息，该信息包括标签用户或者是识别对象的相关信息。息包括标签用户或者是识别对象的相关信息。例如，当例如，当RFID标签应用于图书馆管理时，图书标签应用于图书馆管理时，图书馆信息是公开的，读者的读书信息任何其他人都馆信息是公开的，读者的读书信息任何其他人都可以获得。可以获得。4.1 RFID安全与隐私

13、概述安全与隐私概述 当当RFID标签应用于医院处方药物管理时，很可标签应用于医院处方药物管理时，很可能暴露药物使用者的病理，隐私侵犯者可以通过能暴露药物使用者的病理，隐私侵犯者可以通过扫描服用的药物推断出某人的健康状况。扫描服用的药物推断出某人的健康状况。当个人信息比如电子档案、生物特征添加到当个人信息比如电子档案、生物特征添加到RFID标签里时，标签信息泄露问题便会极大地标签里时，标签信息泄露问题便会极大地危害个人隐私。危害个人隐私。4.1 RFID安全与隐私概述安全与隐私概述主要隐私问题包括如下一些方面：主要隐私问题包括如下一些方面：（1）隐私信息泄露）隐私信息泄露 有关姓名、医疗记录等个

14、人隐私信息可能会泄露。有关姓名、医疗记录等个人隐私信息可能会泄露。（2）跟踪）跟踪 对用户进行跟踪、监控，掌握用户行为规律和消费对用户进行跟踪、监控，掌握用户行为规律和消费喜好等。然后进行进一步攻击。喜好等。然后进行进一步攻击。（3）效率和隐私保护的矛盾）效率和隐私保护的矛盾 标签身份需要保密，但快速验证标签需要知道标签标签身份需要保密，但快速验证标签需要知道标签身份，才能找到需要的信息，这形成效率和隐私保身份，才能找到需要的信息，这形成效率和隐私保护的矛盾。需要找出一种平衡：既要使用恰当方式、护的矛盾。需要找出一种平衡：既要使用恰当方式、从而达到高效、可用的安全和隐私保护。从而达到高效、可用

15、的安全和隐私保护。4.1 RFID安全与隐私概述安全与隐私概述2.RFID的隐私威胁的隐私威胁 RFID面临的隐私威胁包括：标签信息泄漏和利面临的隐私威胁包括：标签信息泄漏和利用标签的唯一标识符进行的恶意跟踪。用标签的唯一标识符进行的恶意跟踪。RFID系统后台服务器提供有数据库，标签一般系统后台服务器提供有数据库，标签一般不需包含和传输大量的信息。通常情况下，标签不需包含和传输大量的信息。通常情况下，标签只需要传输简单的标识符，然后，通过这个标识只需要传输简单的标识符，然后，通过这个标识符访问数据库获得目标对象的相关数据和信息。符访问数据库获得目标对象的相关数据和信息。因此，可通过标签固定的标

16、识符实施跟踪，即使因此，可通过标签固定的标识符实施跟踪，即使标签进行加密后不知道标签的内容，仍然可以通标签进行加密后不知道标签的内容，仍然可以通过固定的加密信息跟踪标签。过固定的加密信息跟踪标签。4.1 RFID安全与隐私概述安全与隐私概述3.RFID攻击模式攻击模式（1）窃听）窃听(eavesdropping)窃听的愿意是偷听别人之间的谈话窃听的愿意是偷听别人之间的谈话.随着科学技术随着科学技术的不断发展，窃听的涵义早已超出隔墙偷听、截的不断发展，窃听的涵义早已超出隔墙偷听、截听电话的概念，它借助于技术设备、技术手段，听电话的概念，它借助于技术设备、技术手段，不仅窃取语言信息，还窃取数据、文

17、字、图象等不仅窃取语言信息，还窃取数据、文字、图象等信息。信息。窃听技术是窃听行动所使用的窃听设备和窃听方窃听技术是窃听行动所使用的窃听设备和窃听方法的总称，它包括窃听器材，窃听信号的传输、法的总称，它包括窃听器材，窃听信号的传输、保密、处理，窃听器安装、使用以及与窃听相配保密、处理，窃听器安装、使用以及与窃听相配合的信号截收等。合的信号截收等。4.1 RFID安全与隐私概述安全与隐私概述在涉及在涉及RFID的安全和隐私问题时，由于标签和的安全和隐私问题时，由于标签和阅读器之间通过无线射频通信，攻击者可以在设阅读器之间通过无线射频通信，攻击者可以在设定通信距离外使用相关设备偷听信息。定通信距离

18、外使用相关设备偷听信息。窃听窃听 4.1 RFID安全与隐私概述安全与隐私概述（2）中间人攻击）中间人攻击 中间人攻击（中间人攻击（Man-in-the-MiddleAttack，简称，简称“MITM攻击攻击”）是一种）是一种“间接间接”的入侵攻击，这的入侵攻击，这种攻击模式是将受入侵者控制的一台阅读器虚拟种攻击模式是将受入侵者控制的一台阅读器虚拟放置在网络连接中的标签和阅读器之间，这台放置在网络连接中的标签和阅读器之间，这台“敌意的阅读器敌意的阅读器”就称为就称为“中间人中间人”。然后入侵者使然后入侵者使“中间人中间人”能够与原始能够与原始RFID网络建网络建立活动连接并允许其读取或修改传递

19、的信息，然立活动连接并允许其读取或修改传递的信息，然而两个原始而两个原始RFID网络用户却认为他们是在互相通网络用户却认为他们是在互相通信。信。4.1 RFID安全与隐私概述安全与隐私概述 通常，这种通常，这种“拦截数据拦截数据修改数据修改数据发送数发送数据据”的过程就被称为的过程就被称为“会话劫持会话劫持”（SessionHijack）。）。下图为对下图为对reader(tag)伪装成伪装成tag(reader)，传递、，传递、截取或修改通信消息的截取或修改通信消息的“扒手扒手”系统。系统。中间人攻击中间人攻击 4.1 RFID安全与隐私概述安全与隐私概述（3）欺骗、重放、克隆）欺骗、重放、

20、克隆 在获取在获取RFID射频信号后，敌方可以采用如下射频信号后，敌方可以采用如下如下手段进行系统攻击：如下手段进行系统攻击：欺骗欺骗(spoofing)：基于已掌握的标签数据通过阅：基于已掌握的标签数据通过阅读器读器 重放重放(replaying)：将标签的回复记录并回放：将标签的回复记录并回放 克隆克隆(cloning)：形成原来标签的一个副本：形成原来标签的一个副本4.1 RFID安全与隐私概述安全与隐私概述（4）拒绝服务攻击）拒绝服务攻击(Denial-of-service attack,DoS)拒绝服务攻击是通过不完整的交互请求消耗拒绝服务攻击是通过不完整的交互请求消耗系统资源，使系

21、统不能正常工作，如：系统资源，使系统不能正常工作，如：产生标签冲突，影响正常读取产生标签冲突，影响正常读取 发起认证消息，消耗系统计算资源发起认证消息，消耗系统计算资源 对标签的对标签的DoS 消耗有限的标签内部状态，使之无法被正常识别消耗有限的标签内部状态，使之无法被正常识别4.1 RFID安全与隐私概述安全与隐私概述（5）物理破解）物理破解(corrupt)物理破解采用如下一些步骤对物理破解采用如下一些步骤对RFID射频系统射频系统进行破坏：进行破坏：由于标签容易获取的特性，首先劫持获取标签样由于标签容易获取的特性，首先劫持获取标签样本；本；通过逆向工程等技术破解标签；通过逆向工程等技术破

22、解标签；破解之后可以发起进一步攻击；破解之后可以发起进一步攻击；推测此标签之前发送的消息内容；推测此标签之前发送的消息内容；推断其他标签的秘密。推断其他标签的秘密。4.1 RFID安全与隐私概述安全与隐私概述（6）篡改信息）篡改信息(modification)进行非授权的修改或擦除标签数据，从而达到篡进行非授权的修改或擦除标签数据，从而达到篡改信息的目的。改信息的目的。（7）RFID病毒病毒(virus,malware)包括包括EPC标签在内的标签在内的RFID标签可以被用来携带标签可以被用来携带病毒，并能攻击电脑系统。病毒，并能攻击电脑系统。（8）其他隐患）其他隐患 RFID的安全和隐私问题

23、涉及到的其他隐患还包的安全和隐私问题涉及到的其他隐患还包括：电子破坏、屏蔽干扰和拆除等。括：电子破坏、屏蔽干扰和拆除等。4.1 RFID安全与隐私概述安全与隐私概述4.1.3 RFID系统通信模型系统通信模型1.RFID系统通信模型系统通信模型 RFID系统根据分层模型可划分为系统根据分层模型可划分为3层：应用层、通层：应用层、通信层和物理层，信层和物理层，ISOIEC 18000标准定义了读写标准定义了读写器与标签之间的双向通信协议，其基本的通信模型器与标签之间的双向通信协议，其基本的通信模型如下图如下图。4.1 RFID安全与隐私概述安全与隐私概述 物理层主要关心的是电气信号问题，例如频道

24、分物理层主要关心的是电气信号问题，例如频道分配、物理载波等，其中最重要的一个问题就是载配、物理载波等，其中最重要的一个问题就是载波波“切割切割”（Singulation）问题。）问题。通信层定义了读写器与标签之间双向交换数据和通信层定义了读写器与标签之间双向交换数据和指令的方式，其中最重要的一个问题是解决多个指令的方式，其中最重要的一个问题是解决多个标签同时访问一个读写器时的冲突问题；标签同时访问一个读写器时的冲突问题；4.1 RFID安全与隐私概述安全与隐私概述 应用层用于解决和最上层应用直接相关的内容，应用层用于解决和最上层应用直接相关的内容，包括认证、识别以及应用层数据的表示、处理逻包括

25、认证、识别以及应用层数据的表示、处理逻辑等。辑等。通常情况下，我们所说的通常情况下，我们所说的RFID安全协议指的就安全协议指的就是应用层协议，本章所讨论的所有是应用层协议，本章所讨论的所有REID协议都协议都属于这个范畴。属于这个范畴。4.1 RFID安全与隐私概述安全与隐私概述2.恶意跟踪问题的层次划分恶意跟踪问题的层次划分 恶意跟踪可分别在恶意跟踪可分别在3个层次内进行。个层次内进行。(1)应用层应用层 处理用户定义的信息，如标识符。为了保护标识处理用户定义的信息，如标识符。为了保护标识符，可在传输前变换该数据，或仅在满足一定条符，可在传输前变换该数据，或仅在满足一定条件时传送该信息。标

26、签识别、认证等协议在该层件时传送该信息。标签识别、认证等协议在该层定义。定义。通过标签标识符进行跟踪是目前的主要手段。因通过标签标识符进行跟踪是目前的主要手段。因此，解决方案要求每次识别时改变由标签发送到此，解决方案要求每次识别时改变由标签发送到阅读器的信息，此信息或者是标签标识符，或者阅读器的信息，此信息或者是标签标识符，或者是它的加密值。是它的加密值。4.1 RFID安全与隐私概述安全与隐私概述(2)通信层通信层 定义阅读器和标签之间的通信方式。防碰撞协议定义阅读器和标签之间的通信方式。防碰撞协议和特定标签标识符的选择机制在该层定义。该层和特定标签标识符的选择机制在该层定义。该层的跟踪问题

27、来源于两个方面：的跟踪问题来源于两个方面：一是基于未完成的单一化一是基于未完成的单一化(Singulation)会话攻击，会话攻击，二是基于缺乏随机性的攻击。二是基于缺乏随机性的攻击。4.1 RFID安全与隐私概述安全与隐私概述(3)物理层物理层 定义物理空中接口，包括频率、传输调制、数据定义物理空中接口，包括频率、传输调制、数据编码、定时等。编码、定时等。在阅读器和标签之间交换的物理信号使对手在不在阅读器和标签之间交换的物理信号使对手在不理解所交换的信息的情况下也能区别标签或标签理解所交换的信息的情况下也能区别标签或标签集。集。4.1 RFID安全与隐私概述安全与隐私概述4.1.4 安全安全

28、RFID系统的基本特征系统的基本特征1.射频识别系统防范范围射频识别系统防范范围 高度安全的射频识别系统对下列单项攻击应高度安全的射频识别系统对下列单项攻击应该能够予以防范：该能够予以防范：为了复制与或改变数据，未经授权地读出数据为了复制与或改变数据，未经授权地读出数据载体。载体。将外来的数据载体置入某个读写器的询问范围内，将外来的数据载体置入某个读写器的询问范围内，企图得到非授权出入建筑物或不付费服务。企图得到非授权出入建筑物或不付费服务。为了假冒真正的数据载体，窃听无线电通信并重为了假冒真正的数据载体，窃听无线电通信并重放数据。放数据。4.1 RFID安全与隐私概述安全与隐私概述2.安全安

29、全RFID系统的基本特征系统的基本特征（1）机密性）机密性 一个电子标签不应当向未授权读写器泄漏任何敏一个电子标签不应当向未授权读写器泄漏任何敏感的信息，在许多应用中，电子标签中所包含的感的信息，在许多应用中，电子标签中所包含的信息关系到消费者的隐私，这些数据一旦被攻击信息关系到消费者的隐私，这些数据一旦被攻击者获取，消费者的隐私权将无法得到保障，因而者获取，消费者的隐私权将无法得到保障，因而一个完备的一个完备的RFID安全方案必须能够保证电子标安全方案必须能够保证电子标签中所包含的信息仅能被授权读写器访问。签中所包含的信息仅能被授权读写器访问。4.1 RFID安全与隐私概述安全与隐私概述（2

30、）完整性）完整性 在通信过程中，数据完整性能够保证接收者收到的在通信过程中，数据完整性能够保证接收者收到的信息在传输过程中没有被攻击者篡改或替换。信息在传输过程中没有被攻击者篡改或替换。在基于公钥的密码体制中，数据完整性一般是通过在基于公钥的密码体制中，数据完整性一般是通过数字签名来完成的，但资源有限的数字签名来完成的，但资源有限的RFID系统难以系统难以支持这种代价昂贵的密码算法。支持这种代价昂贵的密码算法。在在RFID系统中，通常使用消息认证码来进行数据系统中，通常使用消息认证码来进行数据完整性的检验，使用的是一种带有共享密钥的散列完整性的检验，使用的是一种带有共享密钥的散列算法，即将共享

31、密钥和待检验的消息连接在一起进算法，即将共享密钥和待检验的消息连接在一起进行散列运算，对数据的任何细微改动都会对消息认行散列运算，对数据的任何细微改动都会对消息认证码的值产生较大影响。证码的值产生较大影响。4.1 RFID安全与隐私概述安全与隐私概述（3）可用性）可用性 RFID系统的安全解决方案所提供的各种服务能系统的安全解决方案所提供的各种服务能够被授权用户使用，并能够有效防止非法攻击者够被授权用户使用，并能够有效防止非法攻击者企图中断企图中断RD系统服务的恶意攻击。系统服务的恶意攻击。一个合理的安全方案应当具有节能的特点，各种一个合理的安全方案应当具有节能的特点，各种安全协议和算法的设计

32、不应当太复杂，并尽可能安全协议和算法的设计不应当太复杂，并尽可能地避开公钥运算，计算开销、存储容量和通信能地避开公钥运算，计算开销、存储容量和通信能力也应当充分考虑力也应当充分考虑RFID系统资源有限的特点，系统资源有限的特点，从而使得能量消耗最小化。从而使得能量消耗最小化。4.1 RFID安全与隐私概述安全与隐私概述（4）真实性）真实性 电子标签的身份认证在电子标签的身份认证在REID系统的许多应用中是系统的许多应用中是非常重要的。攻击者可以利用获取的标签实体，非常重要的。攻击者可以利用获取的标签实体，通过物理手段在实验室环境中去除芯片封装，使通过物理手段在实验室环境中去除芯片封装，使用微探

33、针获取敏感信息，进而重构标签，达到伪用微探针获取敏感信息，进而重构标签，达到伪造电子标签的目的。造电子标签的目的。攻击者可以利用伪造电子标签代替实际物品，或攻击者可以利用伪造电子标签代替实际物品，或通过重写合法的电子标签内容，使用低价物品标通过重写合法的电子标签内容，使用低价物品标签的内容来替换高价物品标签的内容从而获取非签的内容来替换高价物品标签的内容从而获取非法利益。法利益。4.1 RFID安全与隐私概述安全与隐私概述（5）隐私性）隐私性 一个安全的一个安全的RFID系统应当能够保护使用者的隐私系统应当能够保护使用者的隐私信息或相关经济实体的商业利益。事实上，目前的信息或相关经济实体的商业

34、利益。事实上，目前的RFID系统面临着位置保密或实时跟踪的安全风险。系统面临着位置保密或实时跟踪的安全风险。个人携带物品的标签也可能会泄漏个人身份，通过个人携带物品的标签也可能会泄漏个人身份，通过读写器能够跟踪携带不安全标签的个人，并将这些读写器能够跟踪携带不安全标签的个人，并将这些信息进行综合和分析，就可以获取使用者个人喜好信息进行综合和分析，就可以获取使用者个人喜好和行踪等隐私信息。和行踪等隐私信息。同时，一些情报人员也可能通过跟踪不安全的标签同时，一些情报人员也可能通过跟踪不安全的标签来获得有用的商业机密。来获得有用的商业机密。4.1 RFID安全与隐私概述安全与隐私概述 RFID当初的

35、应用设计是完全开放的，这是出现当初的应用设计是完全开放的，这是出现安全隐患的根本原因。安全隐患的根本原因。另外，对标签加解密需要耗用过多的处理器能力，另外，对标签加解密需要耗用过多的处理器能力，会使标签增加额外的成本，因此，一些优秀的安会使标签增加额外的成本，因此，一些优秀的安全工具未能嵌入到标签的硬件中，这也是标签出全工具未能嵌入到标签的硬件中，这也是标签出现安全隐患的重要原因现安全隐患的重要原因4.2 RFID技术中的隐私问题及保护措施技术中的隐私问题及保护措施4.2.1.位置隐私位置隐私 携带携带RFID标签的任何人部能在公开场合被自动标签的任何人部能在公开场合被自动跟踪，尽管多数人并不

36、关心自已是否在公开场合跟踪，尽管多数人并不关心自已是否在公开场合被跟踪但是像爱滋病人、宗教信徒，甚至成人被跟踪但是像爱滋病人、宗教信徒，甚至成人商店零售商这些个人或者组织机构都需要防止被商店零售商这些个人或者组织机构都需要防止被自动跟踪。自动跟踪。4.2 RFID技术中的隐私问题及保护措施技术中的隐私问题及保护措施4.2.2 信息隐私信息隐私 信息隐私包括关于个人信息比如纳税、医疗或者购信息隐私包括关于个人信息比如纳税、医疗或者购买记录等，也叫做买记录等，也叫做“数据隐私数据隐私”。由于由于RFID的特性，厂商可以通过卷标与读取器间的特性，厂商可以通过卷标与读取器间的瓦动感应得知哪一种商品较为

37、顾客所喜好。的瓦动感应得知哪一种商品较为顾客所喜好。一方面这是商品本身的情报凋查，但同时，如果这一方面这是商品本身的情报凋查，但同时，如果这样的信息与个人所连结，那么它也可以透露个人的样的信息与个人所连结，那么它也可以透露个人的消费偏好与习性。消费偏好与习性。4.2 RFID技术中的隐私问题及保护措施技术中的隐私问题及保护措施4.2.3 隐私保护隐私保护 作为解决作为解决RFID技术隐私问题的措施之一，首先技术隐私问题的措施之一，首先要在制定要在制定RFID技术标准时就应该考虑隐私保护技术标准时就应该考虑隐私保护问题。问题。另一个解决办法是对识别权利进行限制，以便只另一个解决办法是对识别权利进

38、行限制，以便只有通过标签生产商才能进行阅读和解码。有通过标签生产商才能进行阅读和解码。4.3 产品电子代码（产品电子代码（EPC）密码机制）密码机制 产品电子代码产品电子代码(EPC)是用于唯一标识物品的一种是用于唯一标识物品的一种代码。基于代码。基于RFID的的EPC系统是信息化和物联网系统是信息化和物联网在传统物流业应用的产物和具体实现在传统物流业应用的产物和具体实现,EPC 系统系统组成如下图组成如下图：EPC 系统组成系统组成 4.3 产品电子代码（产品电子代码（EPC）密码机制）密码机制 在物联网系统中在物联网系统中,阅读器阅读器(reader)在接收到来自电子在接收到来自电子标签标

39、签(tag)的载波信息并对接收信号进行解调和解的载波信息并对接收信号进行解调和解码后码后,会将其信息送至计算机中的中间件会将其信息送至计算机中的中间件savant系系统软件进行处理统软件进行处理,处理后传送到通信网络。处理后传送到通信网络。然后再在通信网络上利用对象名字解析器然后再在通信网络上利用对象名字解析器(ONS)找到这个物品信息所存储的位置找到这个物品信息所存储的位置,由由ONS给给savant系统指明存储这个物品的有关信息的服务器系统指明存储这个物品的有关信息的服务器,并将并将这个文件中的关于这个物品的信息传递过来。这个文件中的关于这个物品的信息传递过来。4.3 产品电子代码（产品电

40、子代码（EPC）密码机制）密码机制1.标签本身的访问缺陷标签本身的访问缺陷 用户用户(合法用户和非法用户合法用户和非法用户)都可以利用合法的阅都可以利用合法的阅读器或者自构一个阅读器读器或者自构一个阅读器,直接与标签进行通信直接与标签进行通信,读取、篡改甚至删除标签内所存储的数据。读取、篡改甚至删除标签内所存储的数据。同时同时,支持支持EPCglobal标准的无源标签标准的无源标签 大多数只大多数只允许写入一次允许写入一次,但支持其它标准如但支持其它标准如ISO 的的RFID 标标签却能够多次写入签却能够多次写入(或可重编程或可重编程)。4.3 产品电子代码（产品电子代码（EPC）密码机制）密

41、码机制 多次写入功能在给多次写入功能在给RFID 应用带来便捷的同时应用带来便捷的同时,也也带来了更大的安全隐患。带来了更大的安全隐患。在没有足够可信任的安全策略的保护下在没有足够可信任的安全策略的保护下,标签中标签中数据的安全性、有效性、完整性、可用性、真实数据的安全性、有效性、完整性、可用性、真实性都得不到保障。性都得不到保障。4.3 产品电子代码（产品电子代码（EPC）密码机制）密码机制 2.通信链路上的安全问题通信链路上的安全问题 主要有：主要有：(1)黑客非法截取通信数据黑客非法截取通信数据,(2)拒绝服务攻击拒绝服务攻击,(3)利用假冒标签向阅读器发送数据利用假冒标签向阅读器发送数

42、据,(4)RFID 阅读器与后台系统间的通信信息安全。阅读器与后台系统间的通信信息安全。4.3 产品电子代码（产品电子代码（EPC）密码机制）密码机制3.移动移动RFID 安全安全 移动移动RFID 系统是指利用植入系统是指利用植入RFID读写芯片的智读写芯片的智能移动终端能移动终端,获取标签中的信息获取标签中的信息,并通过移动网络并通过移动网络访问后台数据库访问后台数据库,获取相关信息获取相关信息,常见的应用是手常见的应用是手机支付。机支付。在移动在移动RFID 网络中存在的安全问题主要还是假网络中存在的安全问题主要还是假冒与非授权服务。冒与非授权服务。4.3 产品电子代码（产品电子代码（E

43、PC）密码机制）密码机制 首先首先,在移动在移动RFID 网络中网络中,读写器与后台数据之间读写器与后台数据之间不存在任何固定物理连接不存在任何固定物理连接,通过射频信道传输其身通过射频信道传输其身份信息份信息,攻击者截获一个身份信息时攻击者截获一个身份信息时,就可以用这个就可以用这个身份信息来假冒该合法读写器的身份。身份信息来假冒该合法读写器的身份。其次其次,通过复制他人读写器的信息通过复制他人读写器的信息,可以多次顶替消可以多次顶替消费。另外由于复制攻击实现的代价不高费。另外由于复制攻击实现的代价不高,且不用任且不用任何其它条件何其它条件,所以成为攻击者最常用的手段。所以成为攻击者最常用的

44、手段。最后最后,移动移动RFID 网络还存在非授权服务、否认与拒网络还存在非授权服务、否认与拒绝服务等攻击。绝服务等攻击。4.3 产品电子代码（产品电子代码（EPC）密码机制）密码机制4.3.2 EPC global系统安全分析系统安全分析1.EPC global系统的纵向安全和隐私威胁分析系统的纵向安全和隐私威胁分析 从下到上，可将从下到上，可将EPC global整体系统划分为整体系统划分为3个安全域：个安全域：标签和阅读器构成的无线数据采集区域构成的安标签和阅读器构成的无线数据采集区域构成的安全域、全域、企业内部系统构成的安全域、企业内部系统构成的安全域、企业之间和企业与公共用户之间供数

45、据交换和查企业之间和企业与公共用户之间供数据交换和查询网络构成的安全区域。询网络构成的安全区域。4.3 产品电子代码（产品电子代码（EPC）密码机制）密码机制 个人隐私威胁主要可能出现在第一个安全域，即个人隐私威胁主要可能出现在第一个安全域，即标签、空口无线传输和阅读器之间，有可导致个标签、空口无线传输和阅读器之间，有可导致个人信息泄露和被跟踪等。人信息泄露和被跟踪等。另外，个人隐私威胁还可能出现在第三个安全域，另外，个人隐私威胁还可能出现在第三个安全域，如果如果ONS的管理不善，也可能导致个人隐私的非的管理不善，也可能导致个人隐私的非法访问或滥用。法访问或滥用。安全与隐私威胁存在于如下各安全

46、域：安全与隐私威胁存在于如下各安全域：4.3 产品电子代码（产品电子代码（EPC）密码机制）密码机制 标签和阅读器构成的无线数据采集区域构标签和阅读器构成的无线数据采集区域构成的安全域。成的安全域。可能存在的安全威胁包括标签的伪造、对标签的可能存在的安全威胁包括标签的伪造、对标签的非法接入和篡改、通过空中无线接口的窃听、获非法接入和篡改、通过空中无线接口的窃听、获取标签的有关信息以及对标签进行跟踪和监控。取标签的有关信息以及对标签进行跟踪和监控。4.3 产品电子代码（产品电子代码（EPC）密码机制）密码机制 企业内部系统构成的安全域。企业内部系统构成的安全域。企业内部系统构成的安全域存在的安全

47、威胁与现企业内部系统构成的安全域存在的安全威胁与现有企业网一样，在加强管理的同时，要防止内部有企业网一样，在加强管理的同时，要防止内部人员的非法或越权访问与使用，还要防止非法阅人员的非法或越权访问与使用，还要防止非法阅读器接入企业内部网络。读器接入企业内部网络。4.3 产品电子代码（产品电子代码（EPC）密码机制）密码机制 企业之间和企业与公共用户之间供数据交换和企业之间和企业与公共用户之间供数据交换和查询网络构成的安全区域。查询网络构成的安全区域。ONS通过一种认证和授权机制，以及根据有关的通过一种认证和授权机制，以及根据有关的隐私法规，保证采集的数据不被用于其他非正常隐私法规，保证采集的数

48、据不被用于其他非正常目的的商业应用和泄露，并保证合法用户对有关目的的商业应用和泄露，并保证合法用户对有关信息的查询和监控。信息的查询和监控。4.3 产品电子代码（产品电子代码（EPC）密码机制）密码机制2.供应链的横向安全和隐私威胁分析供应链的横向安全和隐私威胁分析 一个较完整的供应链及其面对的安全与隐私威胁一个较完整的供应链及其面对的安全与隐私威胁包括供应链内、商品流通和供应链外等包括供应链内、商品流通和供应链外等3个区域，个区域，具体包括商品生产、运输、分发中心、零售商店、具体包括商品生产、运输、分发中心、零售商店、商店货架、付款柜台、外部世界和用户家庭等环商店货架、付款柜台、外部世界和用

49、户家庭等环节。节。其中，安全威胁包括：其中，安全威胁包括：工业间谍威胁工业间谍威胁 竞争市场威胁竞争市场威胁 基础设施威胁基础设施威胁 信任域威胁信任域威胁4.3 产品电子代码（产品电子代码（EPC）密码机制）密码机制3.个人隐私威胁个人隐私威胁(1)行为威胁行为威胁 由于标签标识的唯一性，可以很容易地与一个人由于标签标识的唯一性，可以很容易地与一个人的身份相联系。可以通过监控一组标签的行踪而的身份相联系。可以通过监控一组标签的行踪而获取一个人的行为。获取一个人的行为。(2)关联威胁关联威胁 在用户购买一个携带在用户购买一个携带EPC标签的物品时，可将用标签的物品时，可将用户的身份与该物品的电

50、子序列号相关联，这类关户的身份与该物品的电子序列号相关联，这类关联可能是秘密的，甚至是无意的。联可能是秘密的，甚至是无意的。4.3 产品电子代码（产品电子代码（EPC）密码机制）密码机制(3)位置威胁位置威胁 在特定的位置放置秘密的阅读器，可产生两类隐私在特定的位置放置秘密的阅读器，可产生两类隐私威胁。威胁。一类是，如果监控代理知道那些与个人关联的标签，一类是，如果监控代理知道那些与个人关联的标签，那么，携带唯一标签的个人可被监控，他们的位置那么，携带唯一标签的个人可被监控，他们的位置将被暴露；将被暴露；另一类是，一个携带标签的物品的位置另一类是，一个携带标签的物品的位置(无论谁或无论谁或什么