RFID是一個充滿創意的發明,它將小小的晶片之中,藏入了天線的功能,能夠不需要電能的支援,不經接觸就可以傳出隱藏其中的資訊,這樣的特性可以導入許多新的應用,許多廠商迫不及待地希望趕快將RFID的成本壓低至五美分以下,好大量應用來改善庫存管理的效率與可靠度;不過RFID同樣面臨了嚴重的問題,成本問題終將會克服,但伴隨而來的是RFID的安全性問題,就如同PC使用永遠擺脫不了病毒與駭客的攻擊,而RFID的安全性問題影響層面更廣,RFID究竟是未來人們日常生活中默默工作的僕人,還是無時無刻隨處隨地都暗中監視著你的隱形主人,就端視我們是否能好好處理RFID相關的安全性問題了,本文將探討影響層面最大的幾個RFID安全性問題。
RFID的基本應用與安全性問題
RFID規格持續提高
RFID是一項能夠透過無線的方式,同時傳輸資料與電力的技術,它是透過射頻信號,來做身份認證為其最主要的用途,就以最普遍為人們所認知的RFID形式-非接觸式晶片卡而言,RFID由早期的具備簡單讀卡能力,或是EAS(Electronic article surveillance)同時具有讀與寫的能力,演變成具有加密解密功能,甚至是具有作業系統的能力,進而具有一個小型的微控制器。同時內含的記憶體容量也不斷地向上增加,由數K Byte,演變成上百K Byte的容量,以常見的ISO14443標準為例,就有128Kbytes的容量,如(圖一)。照道理說,以ISO14443而言,具有簡單的OS與微控制器,安全性應該是綽綽有餘,已經遠超出僅具有基本讀寫功能的非接觸式晶片卡了,然而由於RFID應用的範圍實在太大也太廣了,加上遠端存取的功能,不需電力的發送信號,往往讓人於神不知鬼不覺的狀態下,洩漏了RFID內含的資料而不自知。
RFID應用面廣
以RFID最常見到的使用而言,就IBM網站上的簡介,包括了有:
- (1)一般消費品;
- (2)零售業;
- (3)製藥業;
- (4)物流業;
- (5)運輸業。
以上使用分別簡述如下。以一般消費品而言,RFID對於整個生產供應鍊的流程有很大的助益,包括貨品的庫存管理,倉庫的盤點作業,進出貨的疏失降低,整個生產端的運作可以說都將會更有效率,與更節省人力成本,同時也可以減少貨物遭竊的機會,若對於整體貨物的相關數字有系統地加以分析與管理,更可以改善庫存效率,增加倉儲的成本競爭優勢。以零售業而言,RFID可以降低結帳的人力,改善貨物上架的清點時間,並且可以提供正確補貨的資訊,目前已有多家知名的業者正在導入當中,如Wal-mart等等。就製藥業而言,導入RFID對於藥品的認證,預防偽藥的發生,增加正確取藥的可靠性,並且增加用藥的資訊,都是相當有用的應用,如同前陣子國內發生的『毒蠻牛』事件,若是能導入RFID,相信就能預防偽藥的發生。對於物流業而言,RFID有助於貨櫃運輸時,貨物清點的困難度降低,貨物不需重複搬出貨櫃加以清點,節省了不少的時間與人力成本,同時也降低了貨物損耗的可能性。運輸業則可以透過RFID,來記錄貨物運送的數量與名稱等細節,來幫助運輸過程的物品資訊掌握。
《圖三 具有磁卡、條碼與RFID的購物卡(背面)》 |
|
RFID的安全性問題嚴重
RFID的應用初期會以RFID tag(RFID標籤)為主,類似於以往的條碼功能,但在加入了RFID無線存取的功能後,使用的場合與影響的層面之大,絕非以往使用條碼可以比擬,由於RFID體積小,可以放在大多數的商品包裝之中,經過讀取器時,消費者也渾然不覺,造成了許多資料可能外洩的後果資列舉幾種最維持可能發生的安全性問題如下:
資料遭到竊取
RFID由於內含商品或使用人的資訊,透過無線的RFID讀取器讀取時,當非法的RFID讀取器竊取資料時,就會發生嚴重的安全問題。因為隨時隨地都會有未知的RFID檢查點(RFID checkpoint)隱藏在生活周遭,若是加上攜帶有配備RFID的購物卡,如(圖二)、(圖三),那麼個人隱私更是會面臨暴露無遺的窘境與威脅,因為任何一個RFID檢查點就可以輕易地知道你是何人(包括清楚的身份資訊),身上帶了什麼(包括詳細規格),看過什麼(因為所瀏覽過的大多數物品也將放上RFID標籤),但RFID的購物卡卻會以購物回饋的方式誘惑使用者洩漏個人隱私。以德國的Metro集團所規劃的未來商店為例,RFID的導入已經相當地細微(圖四),除了商品標上RFID標籤之外 ,還配備有RFID置物架、RFID出入門禁、RFID解除器(RFID Deactivator)與RFID標籤讀取終端機,可說是相當方便,可是一旦購物人群中混入有新的駭客,或是商店中遭有心人士暗藏RFID讀取器時,事情可就不太妙。
資料遭到竄改
由於RFID可以重複讀寫的特性,雖然有助於多次儲存商品資訊的應用,卻也留下了可供駭客或不法之徒的違法空間。Gunwald就提供了一個可以讓使用者任意讀取RFID資料的軟體RFDump,使用者只要在任何一台PDA或NB加裝上一個簡單的RFID讀取器,就可以讀取適當範圍內的所有RFID tag的內含資料,若是有心人士將可供讀寫區域的資料竄改,就會發生很大的安全問題,包括購物賣場的物品被不肖之徒竄改成較低單價的物品,藥品標示遭駭客更改成名不符實的資訊,發生誤用的可能,用於身份辨識的內含RFID身份證或是購物卡,將會被竄改成他人資訊的偽卡;更嚴重的話,透過RFID讀取網路的擴散,藉由資訊駭客的攻擊,所有RFID的內含資訊都會發生錯亂,當RFID高度使用時,將會造成整個社會秩序大亂。
RFID系統安全性設計要點
RFID標籤的硬體架構
RFID的基本結構簡單,是由數匝的感應天線加上導通的電路與內置的記憶體或是微控制器相結合(圖五),當RFID標籤透過感應天線,接收到讀取的信號時,就會發出內置的記憶體資訊給RFID讀取器;雖然有的RFID標籤規格會有如同智慧卡一般的加密與解密觀念,或者是必須有解密的秘密金鑰,但是破解並非難事,每一個人都可以輕鬆地使用一個RFID讀取器來讀取RFID標籤,同時愈複雜的加密與解密動作,只是浪費廠商的成本與增加消費者的不便利性。
RFID標籤的資料結構
RFID的資料結構,通常都是由一些簡單的編碼構成,以ISO15693標籤為例,主要劃分為兩個區塊,管理區塊(Administrative Block)與使用者區塊(User Data);管理區塊又包含有唯一辨識區(Unique Identifier;UID),是在生產製造時就製作出來,而且無法更改,並且編號是獨一無二的;應用範圍標示(Applification Family Identifier;AFI),用來指明應用的範圍與場合;資料儲存格式標示(Data Storage Identifier;DSFID)用來標明資料的格式,至於使用者區塊則有128B的容量可供使用者儲存特定資料。
必須特別注意的是由於UID的獨一無二編號(表一),同時具有不可抹除的特性,隱私資料的暴露問題也同時產生,儘管將使用者區塊的資料抹除,有心人士仍然可以透過讀取管理區塊,比對出有用的資訊(表二)。UID是一個八個Byte的不可抹除記憶體區塊,內存有製造廠商的資料與獨一無二的出廠編號,用於資料的認證、防偽與防竊之處有莫大的功用,然而不可抹除的特性卻也造成了資料容易遭有心人士竊取的重大隱憂。
增加RFID系統安全性方式
秘密金鑰的加密與解密已經在智慧卡時期就被大家廣泛應用,其原理與使用的方式在此就不多做介紹,以下將介紹數種應用於RFID的增加安全性方式。
RFID讀取阻絕器
令人無法放心的RFID標籤侵犯個人隱私的問題一直無法有效解決,隨時隨地都有可能被暗藏的RFID檢查站(RFID Checker)攔截下個人隱私資訊,關於這一個問題RSA Security的解決方案是一個「RSA Blocker Tag」的RFID讀取阻絕技術,可將商品與任何帶有RFID標籤的物品放入RSA Blocker Tag技術的購物袋後,RFID讀取器就無法讀取到RFID標籤,而個人的隱私也得以維持。
RFID解能器(RFID Deactivator)
未來各行各業應該都會使用到RFID解能器(圖六),消費者也應該要牢記隨時於購物動作完成前,將商品的RFID標籤中的商品資訊消除,以防止RFID檢查站的侵入,將RFID標籤內含資訊透過RFID解能器清除後,並不能保證百分之百的防範資料被有心人士讀取,因為RFID標籤中還有一個無法抹除的區域UID,而UID中又有一個獨一無二的序號,面對防止造假與隱私保護的兩難,RFID的相關廠商尚無法找出有效的解決方案,但是消費者至少必須記得消除自身商品的RFID標籤內含資訊,來達到一定程度的安全性。
《圖六 RFID禁能器(RFID Deactivator)》 |
|
生物辨識技術
人體的獨特生物資訊,一直是維持資訊安全的一項重要資料,包括人眼虹膜的資料,指紋資料,面部影像等等。應用在實際例子時,如具有RFID的身份證或是護照,若是遭到有心人士的偽造時,尚可以利用生物資訊的辨識來區分出是否是持偽造的證件,以打擊犯罪。
同樣地,若是將生物資訊當成獨一無二的秘密金鑰,尚可以提供RFID標籤免於遭一些不相干人士的任意讀取,以防止像是偽造貨物標籤、竊取個人隱私與偽造個人證件之類的犯罪動機落實,當RFID的資料受到更健全的把關時,資料的隱私性就能維持,而任何複製、讀取、竄改的駭客手法就會難以下手。
依照應用領域不同採取不同標準
RFID也並非全然洪水猛獸,若是善加利用,可以發揮許多的作用,降低大量的時間與人力;若是能夠依照不同應用範圍採取不同標準的話,安全性自然會大幅提高,怎麼說呢?RFID並非是可以在任意距離長度下都可以讀取的,通常是在數公尺的範圍內,而且並非是任何移動速度下都可以任意讀取的,甚至於特定的角度與金屬屏蔽都足以干擾它的有效讀取,以汽車收費站,讀取與寫入汽車駕駛者扣款的應用,就必須使用高頻率工作範圍的RFID,才能應付高速移動的汽車,而以一般商品應用,數公尺範圍內即已足夠。至於身份證件的應用,最好將讀取範圍縮小的一、二公尺,甚至於儘量避免使用內含RFID的證件為宜,因為當RFID檢查站讀到使用者的RFID標籤時,若是無法讀到RFID身份證件時,它所得到的資訊也許就只是一堆移動的物品而已;另外,也應該考慮類似OTP(One Time Programming;寫入一次)的觀念,將重要的資料放在OTP區域,將不重要的資訊放在可重複讀寫的區域,如此一來,遭駭客侵入竄改可能性就會大幅降低。
結語與展望
RFID可以為人們帶來很大的便利性,這是無庸置疑的,以前一陣子發生的「毒蠻牛」事件,若是能導入RFID標籤,相信對於製藥業把關偽藥的能力就會大幅提昇,廠商也不會蒙受鉅額損失,消費者更不會犧牲自己的健康服用偽藥;應用在車輛的防竊上,也是非常實用,每一個零件都可以內藏RFID標籤,來防止竊盜的發生,如此的應用層面涵蓋甚廣,然而RFID洩漏隱私的疑慮一直未除,以德國最有名的「未來商店」,儘管廠商宣稱會將商品的於離開店家時資訊解能,但是仍然無法說服消費者的疑慮,大規模的示威仍然不斷上演(圖七),由於成本已經獲得有效的下降,後續的RFID使用上,關注的焦點應該由成本上轉移到使用的安全性議題較為適當。
|
|
有鑑於911恐怖攻擊後帶動國際安全產業的發展,我國安全產業產值在去年突破500億元,成長率逾10%,其中以安全器材約200億元最高,以認證服務及系統規劃整合的資訊安全服務成長率超過三成具潛力,而RFID(無線射頻辨識系統)更是發展安全科技產業的新機會。相關介紹請見「RFID安全科技業發展新契機 」一文。 |
|
在國外,RFID(射頻識別)應用正在從各個方面進入人們的生活。在超市,我們經常能夠 看到不少商品上面除了有原先的條碼標識,也貼有RFID標籤,雖然在國內的超市中還沒有 利用RFID技術進行結賬的,但RFID一定是大勢所趨。你可在「RFID安全期待中介軟件解決網路產品」一文中得到進一步的介紹。 |
|
無線射頻識別技術(RFID)吸引了越來越多的企業的注意,尤其是那些在零售行業的企業。很多企業都宣佈要試用這個專案或者正式使用該技術,另一些公司也將這類項目納入議事日程。目前關注的焦點集中在標準和該技術是否能夠如期交付。這很類似於互聯網擴張的黃金時期,安全性被大家忽略了。在「謹防RFID安全隱患 」一文為你做了相關的評析。 |
|
|
|
|
|
起初這種電腦被當作一種改進型的RFID安全設備用於工業應用領域,現在正通過製藥學的 手段製成一種便攜的資料收集裝置,將來很可能將推廣到可交互的電子書,彩票,護照甚至 選票中去。這種電腦可以收集和處理若幹頁壓縮過的資料,雖然它僅具有32KB的內存。瑞典開發出“改進型RFID設備”
|
|
全球最大零售商之一的德國麥德龍集團在其最新建立的“RFID創新中心”安裝了一台NCR自助結賬系統,它不僅可以讀取條碼,還能讀取無線射頻識別(RFID)標籤,在目前的應用中,混合型自助結賬系統在掃描過程中同時解除了RFID標籤在商品中設置的安全功能,這樣顧客在結完賬離開商店時就不會引發安全警報。RFID安全警報解除全球首個混合型自助結賬設備應用
|
|
RFID安全需要標準,這類設備以多種不同的形式出現。我們需要在更普遍和代價更高昂之前解決這一技術中的弱點。德州儀器並非是惟一一家技術存在程序缺陷的RFID晶片供應商,它的產品要好於沒有採用加密技術的產品。RFID晶片存在程序缺陷汽車防盜系統很可能失效
|
|
|
|