搜索
初稿1教学目标本章将介绍RFID系统在使用时可能面临的安全以及隐私问题,并介绍几种可以解决问题的方法,包含用科技以及法律规范的方式希望可以了解RFID系统相关的安全与隐私议题,并可思考未来RFID广泛使用后,该如何避免这些问题的发生,让RFID系统可以在兼顾用户隐私及数据安全的前提下,为人类带来更便利的生活初稿2大纲RFID的安全议题商业机密外泄伪造虚假信息基础建设遭受破坏RFID的隐私议题消费者的身分隐私消费者的购物隐私消费者的行踪隐私科技面解决方案RFID的硬件限制现行的RFID保护机制规范面解决方案可规范RFID使用的现行法律其他RFID相关的规范与草案小结初稿3RFID的安全议题初稿4RFID的安全议题虽然RFID将为人类生活带来极大的便利性,但目前RFID尚未有一套标准的安全技术,若数据未经加密或是未有完善的访问控制,有心人士便可运用相关技术,任意读取标签上的数据,甚至修改、写入数据,造成标签上的数据外泄,成为RFID应用时的安全议题初稿5RFID的安全议题(续)由于RFID是透过无线射频(RadioFrequency,RF)来传递信息,因此存在一般无线通信技术会遇到的安全威胁,导致下列问题产生商业机密外泄破坏机密性(Confidentiality)伪造虚假信息破坏正确性(Integrity)基础建设遭受破坏破坏可用性(Availability)初稿6商业机密外泄未经授权读取(UnauthorizedRead)攻击者只要有相同规格的读取器,并且在标签的可读取范围内,就能够任意地读取标签内的数据,造成信息泄漏的安全问题,甚至会危及使用者的隐私窃听(Eavesdropping)攻击者利用特殊设备,来监听标签与读取器通讯时在空气中传输的无线电讯号,藉由监听得到的讯息来分析其中所包含的信息初稿7商业机密外洩(续)公司刺探威胁(CorporateEspionageThreat)攻击者可以利用Reader在远程读取竞争对手仓库的标签,以收集竞争对手仓库的存货数量或商品信息,甚至取得机密数据营销竞争威胁(CompetitiveMarketingThreat)竞争对手可以透过对RFID标签的读取,在未经授权的情况下取得消费者购物偏好信息,利用这些信息进行营销竞争初稿8伪造虚假信息未经授权写入(UnauthorizedWrite)若是标签没有访问控制机制,攻击者只要有相同规格的写入器,并且在标签的可写入范围内,就能够任意地修改并写入标签内的数据,造成标签数据遭窜改或伪造的安全问题假冒(Spoofing)攻击者可能透过物理分析,来取得某个标签内所储存的数据,然后复制(Clone)一个具有相同数据的标签,因此可以假冒成合法的身分,通过读取器的验证,以达成攻击者之目的初稿9伪造虚假资訊(续)重送攻击(ReplayAttack)攻击者可能藉由监听所搜集之讯息,当读取器查询标签时,将这些讯息重新送回给读取器,因而通过读取器的验证信赖边界威胁(TrustPerimeterThreat)由于RFID系统的使用,标签的相关信息会在上下游厂商之间透过网络的方式共享,而此共享的管道即有可能受到攻击者的入侵,因此将使公司对于信息系统可信赖的边界重新界定初稿10基础建设遭受破坏基础建设威胁(InfrastructureThreat)攻击者可以使用特殊设备,持续发送无线射频讯号,来干扰标签或读取器,导致标签跟读取器无法正常进行通讯,藉此瘫痪RFID系统,属于阻断服务(DenialofService,DoS)攻击初稿11基础建设遭受破壞(续)恶意编码传播(HostileCodePropagation)标签上有内存可用来储存额外信息,若恶意的用户用来存放与传播恶意的编码,将可能影响读取器的正常存取功能国外已有研究指出,攻击者可在标签植入恶意SQL语法进行SQLInjection攻击,造成后端系统中毒,并可感染其他正常标签,再透过受感染之标签感染其他后端系统初稿12RFID的隐私议题初稿13RFID的隐私议题RFID卷标因具有唯一识别的特性,若是标签被任意读取,或是遭受先前提到RFID的各种安全威胁,将衍伸出相关的隐私议题消费者的身分隐私消费者的购物隐私消费者的行踪隐私初稿14消费者的身分隐私关联威胁(AssociationThreat)若卷标具有一个唯一识别的信息,则此识别信息将会与卷标的持有者产生关联。例如消费者A持有一识别信息为123之卷标,当读取器读取到标签123,则可推测为消费者A群聚威胁(ConstellationThreat)若消费者携有数个以上的卷标,这群卷标也可能与此消费者产生关联,若读取器一直读取到同一群标签,则可推测是某消费者初稿15消费者的身分隐私(续)面包屑威胁(BreadcrumbThreat)此威胁是由关联威胁所延伸出的;因为卷标的识别信息可与持有者产生关联,如果持有者的标签遭窃或丢弃,可能会被有心人士利用来假冒原先持有者的身分,进行不法之行为初稿16消费者的购物隐私动作威胁(ActionThreat)个体(消费者)的动作、行为及意图可以透过观察卷标的动态来推测;例如某个卖场智慧货架上高价商品的卷标讯号突然消失,卖场即可推测是否有消费者想进行偷窃偏好威胁(PreferenceThreat)由于卷标上可能记载着商品的相关信息,如商品种类、品牌和尺寸等,可以藉由卷标上的信息来推测消费者的购物偏好初稿17消费者的购物隐私(续)交易威胁(TransactionThreat)当某群卷标中的其中一个标签,转移到另一群标签中,则可推测这两群标签的持有者有进行交易的可能性初稿18消费者的行踪隐私位置威胁(LocationThreat)由于卷标具有一个唯一识别的信息,且卷标的读取具有一定的范围,因此可以透过标签来追踪商品或消费者的位置初稿19科技面解决方案初稿20RFID的硬件限制RFID系统中,卷标的运算能力是有限的,尤其是低成本的被动式标签;比起智能卡或者是传感器(Sensor)来说,RFID卷标少了中央处理器及较大的内存空间,因此无法执行复杂的密码学运算,是RFID在安全性上的一大缺点初稿21现行的RFID保护机制标签特殊设计之保护方式卷标销毁指令(KillCommand)卷标休眠指令(SleepingCommand)密码保护使用额外设备之保护方法法拉第笼(Faraday’sCage)主动干扰(Jamming)阻挡标签(BlockerTag)其他方法初稿22卷标销毁指令若标签支持Kill指令,如EPCClass1Gen2卷标,当卷标接收到读写器发出的Kill指令时,便会将自己销毁,使得这个标签之后对于读写器的任何指令都不会有反应,因此可保护卷标数据不被读取;但由于这个动作是不可逆的,一旦销毁就等于是浪费了这个标签初稿23卷标休眠指令与销毁卷标概念相同,当支持休眠指令的卷标接收读取器传来的休眠(Sleep)指令,卷标即进入休眠状態,不会响应任何读取器的查询;当标签接收到读取器的唤醒(WakeUp)指令,才会恢复正常初稿24密码保护此方法利用密码来控制卷标的存取,在卷标中记忆对应的密码,读取器查询卷标时必须同时送出密码,若卷标验证密码成功才会响应读取器;不过此方法仍存在密码安全性的问题初稿25法拉第笼将标签放置在由金属网罩或金属箔片组成的容器中,称作法拉第笼,因为金属可阻隔无线电讯号之特性,即可避免标签被读取器所读取初稿26主动干扰使用能够主动发出广播讯号的设备,来干扰读取器查询受保护之标签,成本较法拉第笼低;但此方式可能干扰其他合法无线电设备的使用初稿27阻挡标签使用一种特殊设计的卷标,称为阻挡卷标(BlockerTag),此种标签会持续对读取器传送混淆的讯息,藉此阻止读取器读取受保护之标签;但当受保护之卷标离开阻挡卷标的保护范围,则安全与隐私的问题仍然存在初稿28其他方法以密码学为基础的解决方案随机数生成器互斥或(ExclusiveOR,XOR)循环冗余检查(CyclicRedundancyCheck,CRC)对称式加解密哈希锁(Hash-lock)哈希链(HashChain)初稿29规范面解决方案初稿30可规范RFID使用的现行法律计算机处理个人资料保护法个人资料保护法草案商品标示法消费者保护法初稿31计算机处理个人资料保护法在民国84年所制定的「计算机处理个人资料保护法」;第一条即说明为规范计算机处理个人资料,以避免人格权受侵害,并促进个人资料之合理利用,特制定本法个人资料是指自然人之姓名、出生年月日、身分证统一编号、特征、指纹、婚姻、家庭、教育、职业、健康、病历、财务情况、社会活动及其他足资识别该个人之资料;而个人资料档案是指基于特定目的储存于电磁纪录物或其化类似媒体之个人资料之集合初稿32计算机处理个人资料保护法(续)在法令第六条中即明定个人资料之搜集或利用,应尊重当事人之权益,依诚实及信用方法为之,不得逾越特定目的之必要范围;第七、八、十八及二十三条亦规定公务或非公务机关对个人资料之利用或处理必须经当事人书面同意,不得侵害当事人权益;因此可考虑使用计算机处理个人资料保护法来规范企业透過RFID收集个人信息初稿33计算机处理个人资料保护法(续)由于时代科技的进步,利用计算机搜集、处理与利用个人资料的情形与法令制定当年,已变得日益频繁且复杂;再者各类型商务行为广泛大量的搜集个人资料,也已经不再限于个资法中所规范的征信等八大类,例如医院使用从病患取得、分析的信息,就不受此法令的规范初稿34个人资料保护法草案在行政院94年通过的个人资料保护法草案(为计算机处理个人资料保护法之修正)中,参照各国立法案例,将受保护的客体与规范的主体在修正草案中予以扩大,保护的个体不再局限于「经计算机处理之个人资料」,而修正成不论为自动化机器或其他非自动化方式检索、整理之个人资料,均受「个资法」之保护修正草案第二条第二款规定:个人资料档案系指系统建立而得以自动化机器或其他非自动化方式检索、整理之个人资料之集合;同条第四款规定:处理是指为建立或利用个人资料档案所为数据之纪录、输入、储存、编辑、更正、复制、检索、删除、输出、连结或内部传送。」初稿35个人资料保护法(续)而在法规适用的主体上,亦删除非公务机关行业别的限制,使任何自然人、法人、其他团体等均受到「个资法」的规范;修正草案第二条第八款规定:非公务机关是指前款以外之自然人、法人或其他团体;及第五十条第一项规定:自然人为单纯个人或家庭活动之目的,而搜集、处理或利用个人资料者,不适用本法初稿36商品标示法「个资法」是以保护个人隐私为出发,虽然在个资法中清楚规范对于搜集、处理与应用个人资料的原则,但是由于科技的进步,对于个人资料的搜集往往是在消费者无法察觉的方式下进行,RFID的远距读取也使得这项忧虑更加深「个资法」的规定固然可以让消费者了解自己应该具有的权利,只是如果能够透过其他的强制作为预先的阻止侵害的可能发生,那么对于个人隐私的保护可能可以更完善;因此,应可考虑透过「商品标示」的强制,作为要求医院或营业者在应用RFID技术时,就预先于消费者或病患使用的RFID手环上告知初稿37商品标示法(续)商品标示法第一条规定:本法目的即是为「保障消费者权益,建立良好商业规范」;由于RFID技术本就具有安全与隐私上的问题,因此将商品使用RFID技术的情况事先揭露予消费者得知,可以认为是一种有效的保护消费者的方式根据「商品标示法」第九条第一项第五款的规定,商品应标示事项包括了「其他依中央主管机关规定应行标示事项。」;因此当主管机关在允许RFID技术应用于病患识别时,应可要求厂商相关标示措施,以保障消费者隐私权初稿38消费者保护法「个资法」的修正草案可有效的规范大部分对于个人资料的搜集、处理与利用等行为,但是由于商业行为的复杂,对于个人隐私的侵犯往往并非只限于上述方式,而可能是透过衍生的附加行为,又或者由于消费者