RFID隐私保护与成本相互制约。如何提供增强技术以确保低成本无源标签的隐私安全面临许多挑战。现有的RFID隐私增强技术可分为两大类:一类是通过物理方法阻止标签与读写器之间通信的隐私增强技术,即物理安全机制;另一种是通过逻辑方法增加标签安全机制的隐私增强技术,即逻辑安全机制。RFID的逻辑机制主要是通过基于Hash函数的安全认证协议来实现的。通过对RFID隐私安全威胁的分析,我们知道RFID隐私威胁的根源在于RFID标签的唯一性和标签数据的易得性。为了保证RFID的隐私安全,防止隐私攻击,可以采用以下RFID隐私保护方法。保证RFID标签的ID匿名性。标签匿名性(anonymity)是指标签响应消息而不泄露任何关于标签身份的有用信息。加密是保护标签响应的方法之一。虽然标签的数据可以加密,但是如果在每一轮协议中加密的数据都是固定的,那么攻击者仍然可以通过标签的唯一标识来分析标签的身份,因为攻击者可以通过固定的加密数据。每个选项卡。因此,隐藏标签信息是保证标签ID匿名性的重要途径。保证RFID标签的ID随机性。即使标签ID信息被加密,由于标签ID是固定的,未经授权的扫描也会侵犯标签持有者的位置隐私。如果标签的ID是一个变量,标签每次的输出都不同,那么隐私入侵者不可能通过固定的输出获取同一个标签的信息,这样就存在ID追踪问题和隐私安全问题在一定范围内可以解决信息推理威胁。保证RFID标签的前向安全性。所谓RFID标签的前向安全性是指即使隐私入侵者获得了标签中存储的加密信息,也无法通过对当前信息的回溯获取标签的历史数据。也就是说,隐私侵犯者无法通过链接当前数据和历史数据分析标签来获取消费者的隐私信息。增强的RFID标签访问控制。RFID标签的访问控制是指标签可以根据需要决定读取RFID标签数据的权限。通过访问控制,可以避免未经授权的RFID阅读器的扫描,只有经过授权的RFID阅读器才能获取RFID标签数据和相关的隐私数据。访问控制在实现RFID标签的隐私保护方面起着非常重要的作用。一、RFID的物理安全机制RFID通过无线技术进行隐私保护是一种物理手段,可以防止RFID阅读器获取标签数据,防止RFID标签数据被阅读器非法获取。无线隔离RFID标签的方法有电磁屏蔽法、无线干扰法、可变天线法等。(1)基于电磁屏蔽的方法利用电磁屏蔽的原理,将RFID标签放置在金属片制成的容器内,无线电信号就会被屏蔽,使读写器无法读取标签信息,标签也无法读取。向读者发送信息。发信息。最常用的电磁屏蔽容器是法拉第笼。法拉第笼可以有效屏蔽电磁波,让无论是外部信号还是内部信号都无法通过。对于无源标签,在没有收到查询信号的情况下,没有精力和动力去发送相应的响应信息;对于有源标签,它的信号不能通过法拉第笼,因此不能被阅读器接收到的攻击者携带。这种方法的缺点是使用标签时需要将标签从法拉第笼中取出,失去了使用RFID标签的便利性。另外,如果要提供范围广泛的物联网服务,就不能一直让标签一直处于屏蔽状态,而是需要让标签在更多的时间里处于与读写器自由通信的状态。(2)基于无线干扰的方法一种能够主动发出无线电干扰信号的设备,可以使附近的RFID阅读器无法正常工作,从而达到保护隐私的目的。这种方法的缺点是可能会产生非法干扰,使附近的其他RFID系统甚至其他无线系统无法正常工作。(3)基于可变天线的方法利用RFID标签物理结构的特点,IBM公司推出了可拆卸的RFID标签。它的基本设计理念是使无源标签上的天线和芯片可以很容易地分离。这种可拆卸的设计允许消费者改变标签的天线长度,从而大大缩短标签的读取距离。使用时,手持阅读器设备必须靠近标签才能读取信息。这使得阅读器设备无法在未经用户本人许可的情况下远程获取信息。天线缩短后,标签本身仍然可以工作,方便商品的售后服务和退货时的识别。但可剥离标签的生产成本较高,标签制造的可行性有待进一步研究。上述安全机制以牺牲RFID标签的部分功能为代价来满足隐私保护的要求。这些方法在一定程度上可以保护低成本的RFID标签,但是由于验证、成本和法律的限制,物理安全机制还存在各种不足。2.RFID的逻辑安全机制RFID的逻辑安全机制主要包括改变唯一性方法、隐藏信息方法和同步方法。(1)改变唯一性方法改变RFID标签输出信息的唯一性是指标签每次响应RFID阅读器的请求,返回一个不同的RFID序列号。无论是跟踪攻击还是列表攻击,很大程度上都是因为RFID标签返回的序列号每次都是一样的。因此,另一种解决RFID隐私安全问题的方法是改变序列号的唯一性。更改RFID标签数据需要技术支持。根据使用的技术不同,主要的方法有基于标签重命名的方法和基于密码学的方法。1)基于标签重命名的方法是指改变RFID标签响应阅读器请求的方式,每次返回不同的序列号。例如,购买商品后,可以去掉商品标签的序列号,保留其他信息(如商品分类码等),或者为标签重写序列号。由于序列号已经改变,攻击者无法通过简单的攻击来破解隐私。但与销毁等隐私保护方式类似,序列号变更后的售后服务等问题需要通过其他技术手段解决。例如以下方案允许客户临时更改标签ID:当标签处于公共状态时,存储在芯片的只读存储器(Read-OnlyMemory,ROM)中的ID可以被读写器读取;当客户想要隐藏ID发送信息时,可以在芯片的随机存取存储器(RandomAccessMemory,RAM)中输入一个临时ID;当临时ID存储在随机存取存储器中时,标签将使用这个临时ID来回复阅读器的查询;只有在标签显示其真实ID之前,随机存取存储器被重置。这种方式给使用RFID技术的客户带来了额外的负担,同时临时ID的变更存在安全隐患。2)基于密码学的方法是指加密、解密等方法,保证RFID标签的序列号不被非法读取。例如,使用对称加密算法和非对称加密算法对RFID标签数据和RFID标签与阅读器之间的通信进行加密,可以使普通攻击者由于不知道密钥而难以获取数据。同样,RFID标签与读写器之间的认证也可以防止非法读写器获取RFID标签的数据。例如,最典型的密码学方法是使用Hash函数来锁定RFID标签。此方法使用metaID来替换标签的真实ID。当标签处于阻塞状态时,将拒绝显示电子编码信息,只返回哈希函数生成的哈希值。只有当发送了正确的密钥或电子编码信息时,标签才会在使用哈希函数确认后解锁。Hash-lock是一种隐私增强的协议,可以抵抗对标签的未授权访问,由MIT和Auto-IDCenter于2003年联合提出。整个协议只需要使用单向密码哈希函数就可以实现简单的访问控制,所以它可以保证较低的标签成本。使用散列锁机制的标签有两种状态:锁定和解锁。在锁定状态下,标签使用metaID响应所有查询;在解锁状态下,标签向阅读器提供自己的识别信息。由于这种方法比较简单、经济,受到了广泛的关注。但该协议采用静态ID机制,metaID不变,ID以明文形式在不安全的通道中传输,极易被攻击者窃取。因此,攻击者可以计算或记录(元ID、密钥、ID)的组合,并在与合法标签或阅读器交互时冒充阅读器或标签,进行欺骗。散列锁协议并不安全,因此出现了各种改进算法,如随机散列锁(RandomizedHashLock)、散列链(HashChainScheme)协议等。另外,为了防止RFID标签之间的通信以及读写器不被非法拦截,通过公钥密码系统可以实现重加密(Re-encryption),即周期性对加密信息进行重加密,使标签和读写器之间传递的加密ID信息用户变化快,标签上的电子编码信息很难被窃取,也很难被非法追踪。但是由于RFID标签资源有限,使用公钥加密RFID标签的机制比较少见。近年来,随着计算机技术的发展,出现了一些新的RFID隐私保护方法,包括基于物理不可克隆函数(PUF)的方法、基于掩码的方法、基于策略的方法和基于中间件的方法。方法等。从安全的角度来看,基于密码学的方法可以从根本上解决RFID隐私问题,但由于成本和体积的限制,在普通RFID上实现典型的加密方法(如数据加密标准算法)几乎是困难的标签。因此,基于密码学的方法虽然安全性强,但在成本等方面带来了极大的挑战。(2)隐藏信息的方法隐藏RFID标签是指通过某种保护手段阻止RFID标签数据被阅读器获取,或者阻止阅读器获取标签数据。隐藏RFID标签的技术包括基于代理的技术、基于距离测量的技术、基于阻塞的技术等。1)基于代理的RFID标签隐藏技术。在基于代理的RFID标签隐藏技术中,被保护的RFID标签与读写器之间的数据交互不是直接进行的,而是需要第三方代理设备(如RFID读写器)。因此,当非法阅读器试图获取标签数据时,实际响应是由第三方代理设备发送的。由于代理设备的功能比一般标签更强大,可以实现很多标签无法实现的功能,如加密、认证等,从而加强隐私保护。基于代理的方法可以很好地保护RFID标签的隐私,但由于需要额外的设备,成本较高,实现也比较复杂。2)基于距离测量的RFID标签隐藏技术。基于距离测量的RFID标签隐藏技术是指RFID标签测量自身与阅读器之间的距离,并根据距离的不同返回不同的标签数据。一般来说,为了隐藏自己的攻击意图,攻击者需要与被攻击者保持一定的距离,而合法用户(如用户本人)则可以近距离获取RFID标签数据。因此,如果标签能够知道自己与阅读器之间的距离,则可以认为距离越远的阅读器越有攻击意图,因此可以返回一些无关数据;当服务器请求时,返回正常数据。这样就可以达到隐藏RFID标签的目的。基于距离测量的标签隐藏技术对RFID标签的要求很高,实现准确的距离测量难度很大。另外,如何选择合适的距离作为判断合法阅读者和非法阅读者的标准也是一个非常复杂的问题。3)基于分块的RFID标签隐藏技术。基于分块的RFID标签隐藏技术是指一种阻止RFID阅读器访问标签数据的技术。阻塞的方法可以通过软件或RFID设备来实现。此外,还可以通过发送主动干扰信号来阻止阅读器获取RFID标签数据。与基于代理的标签隐藏方法类似,基于阻塞的标签隐藏方法成本高、实现复杂,如何识别合法读者和非法读者也是一个难题。(3)同步方式阅读器可以预先计算出标签所有可能的回复(表示为一系列状态)并存储在后台数据库中。搜索匹配可以达到快速认证标签的目的。使用这种方法时,阅读器需要知道标签所有可能的状态,即保持标签的状态同步,以保证标签的回复可以根据其状态预先计算和存储,所以这种方法称为同步方法。同步方式的缺点是攻击者可以任意多次攻击标签,导致标签和读写器失去同步状态,从而破坏了同步方式的基本条件。具体来说,攻击者可以变相“杀死”标签,或者使标签与未被攻击的标签表现出不同的行为,从而识别标签并实现跟踪。同步方法的另一个问题是标签回复可以预先计算并存储以供以后匹配,与回放方法相同。攻击者可以记录标签的一些回复信息数据并回放给第三方,从而欺骗第三方阅读器。3、RFID的综合安全机制RFID的物理安全和逻辑安全相结合的综合安全机制主要包括改变RFID标签相关性的方法。所谓改变RFID标签与特定目标之间的关联,就是取消RFID标签与其附着物品之间的联系。例如,当购买带有RFID标签的钱包时,RFID标签和钱包之间会建立某种链接。改变它们之间的关联就是使用技术和非技术手段来取消它们之间已经建立的关联(比如丢弃RFID标签)。改变RFID标签与特定目标相关性的基本方法包括丢弃、破坏和休眠。(1)丢弃是指将RFID标签从物品上取下后丢弃。报废不涉及技术手段,简单易行,但报废的方法存在很多问题:首先,使用RFID技术的目的不仅仅是为了销售,更重要的是为了售后和维护。因此,如果简单地将RFID标签丢弃,可能会在退货、换货、维修、售后服务等方面出现诸多问题;第二,废弃的RFID标签将面临上述垃圾回收的威胁,无法解决隐私问题;第三,如果处理不当,RFID标签的丢弃会带来环保等问题。(2)毁坏杀灭是指使RFID标签进入永久失效状态。破坏可以是破坏RFID标签的电路,也可以是破坏RFID标签的数据。例如,如果RFID标签的电路损坏,标签将无法将数据返回给RFID阅读器,甚至对其进行物理分析也可能无法产生相关数据。销毁需要使用技术手段,一般需要使用特定的设备。对于普通用户来说,可能存在一定的困难,因此实施难度更大。与丢弃相比,没有垃圾收集等威胁,因为标签不再可用。但标签销毁后,也会面临售后服务等问题。销毁命令机制是一种物理销毁标签的方法。RFID标准设计模式包括销毁命令。执行销毁命令后,标签的所有功能将丢失,使其不会响应攻击者的扫描行为,从而阻止攻击者跟踪标签和标签载体。例如,在超市购买商品后,即读写器获取到标签信息后,经过后台数据库的鉴权操作后,可以将消费者购买的商品上的标签“杀掉”,从而保护消费者隐私。角色。彻底“杀死”标签可以完全阻止攻击者扫描和追踪,但这种方式也破坏了RFID标签的功能,无法让消费者继续享受基于RFID的物联网服务。例如,如果产品售出后标签上的信息不能再次使用,则无法进行与该产品相关的售后服务和其他服务项目。此外,如果销毁命令的识别序列号(PIN)被泄露,攻击者可以利用这个PIN“杀死”超市商品上的RFID标签,然后在不被察觉的情况下将相应的商品带走.(3)休眠(sleeping)是指标签通过技术或非技术手段进入暂时失效状态,需要时可以重新激活标签。这种方法具有显着优势:由于可以重新激活,因此避免了需要RFID标签帮助的售后服务等问题,并且不存在垃圾收集威胁和环境问题。但就像破坏一样,标签睡眠需要专业人员和专用设备的帮助。
