RFID系统中的安全和隐私管理.pptx

1、RFIDRFID系统中的安全和隐私管理系统中的安全和隐私管理教学设计教学设计物流信息系物流信息系 米志强米志强2011.8.9一一、教学内容的引入教学内容的引入二二、RFIDRFID的安全和隐私问题的安全和隐私问题 三三、RFIDRFID的安全技术基础的安全技术基础 四四、RFIDRFID的安全解决方案的安全解决方案 主要内容主要内容五五、RFIDRFID信息安全和风险评估信息安全和风险评估 一一、教学内容的引入教学内容的引入RFIDRFID安全性问题引发普遍担忧安全性问题引发普遍担忧!RFID芯片克隆芯片克隆RFID技术存在安全漏洞是有原因技术存在安全漏洞是有原因:n标签很小。标签很小。n

2、RFID标签是移动的。标签是移动的。n标签上的信息并不总是敏感信息。标签上的信息并不总是敏感信息。n 标签的用途非常广。标签的用途非常广。RFID护照漏洞护照漏洞一一、教学内容的引入教学内容的引入下面描述一个对超市下面描述一个对超市RFID系统工作构成严重威胁的场景系统工作构成严重威胁的场景(1)超市已构建RFID系统并实现仓储管理、出售商品的自动化收费等功能，超市管理者使用的阅读器可以读写商品标签数据(写标签数据时需要接人密钥)，考虑到价格调整等因素，标签数据必须能够多次读写。(2)移动RFID用户自身携带有嵌入在手机或PDA中的阅读器，该阅读器可以扫描超市中商品的标签以获得产品的制造商、生

3、产日期和价格等详细信息。RFID智智能收货能收货RFID智智能购物车能购物车RFID智智能结算能结算未来商店未来商店(3)通过信道监听信息截获、暴力破解通过信道监听信息截获、暴力破解(利用定向天利用定向天线和数字示波器监控标签被读取时的功率消耗，线和数字示波器监控标签被读取时的功率消耗，确定标签何时接受了正确的密码位确定标签何时接受了正确的密码位)或其他人为因或其他人为因素，攻击者得到写标签数据所需的接人密钥。素，攻击者得到写标签数据所需的接人密钥。(4)利用标签的接人密钥，攻击者随意修改标签数利用标签的接人密钥，攻击者随意修改标签数据，更改商品价格，甚至据，更改商品价格，甚至“kill”标签

4、导致超市标签导致超市的商品管理和收费系统陷入混乱以谋取个人私利。的商品管理和收费系统陷入混乱以谋取个人私利。一一、教学内容的引入教学内容的引入存在这么几个问题存在这么几个问题存在这么几个问题存在这么几个问题1 1、RFIDRFID为什么会泄露个人隐私的为什么会泄露个人隐私的？2 2、RFIDRFID的安全漏洞在哪的安全漏洞在哪,有哪些攻击方式？有哪些攻击方式？3、RFIDRFID的安全和隐私该如何管理的安全和隐私该如何管理？一一、教学内容的引入教学内容的引入问题探究问题探究二二、RFID的安全和隐私问题的安全和隐私问题 隐患之一隐患之一:标签标签 ;隐患之二隐患之二:网络网络 ;隐患之三隐患之

5、三:数据数据 .1 1RFIDRFID安全问题安全问题安全问题安全问题1、位置隐私、位置隐私2、喜好隐私、喜好隐私3、标签集关联隐私、标签集关联隐私4、商业机密、商业机密2 2RFIDRFID隐私问题隐私问题隐私问题隐私问题二二、RFID系统的信息安全需求系统的信息安全需求 首先，首先，RFIDRFID标签和后端系统之间的通信是非接触标签和后端系统之间的通信是非接触和无线和无线的，使它们很易受到窃听的，使它们很易受到窃听;其次，其次，标签本身的计算标签本身的计算能力和可编程性能力和可编程性，直接受到成本要求的限制。更准确地说，直接受到成本要求的限制。更准确地说，标签越便宜，则其计算能力越弱，而

6、更难以实现对安全威标签越便宜，则其计算能力越弱，而更难以实现对安全威胁的防护。胁的防护。RFID组件的安全脆弱性组件的安全脆弱性 标签中数据的脆弱性标签中数据的脆弱性 标签和阅读器之间的通信脆弱性标签和阅读器之间的通信脆弱性 阅读器中的数据的脆弱性阅读器中的数据的脆弱性 后端系统的脆弱性后端系统的脆弱性 9 91.密码学的基础概念 加密模型加密模型 加密和解密变换的关系式：加密和解密变换的关系式：c=EK(m)m=DK(c)=DK(EK(m)三三、RFID的安全技术基础的安全技术基础 10105 RFID系统数据传输的安全性系统数据传输的安全性2、对称密码体制一种常规密钥密码体制，也称为单钥密

7、码体制或私钥密码体制。在对称密码体制中，加密密钥和解密密钥相同。从得到的密文序列的结构来划分，有序列密码和分组密码两种不同的密码体制。序列密码是将明文m看成是连续的比特流（或字符流）m1m2，并且用密钥序列K=K1K2中的第i个元素Ki对明文中的mi进行加密，因此也称为流密码。分组密码是将明文划分为固定的n比特的数据组，然后以组为单位，在密钥的控制下进行一系列的线性或非线性的变化而得到密文。11115 RFID系统数据传输的安全性系统数据传输的安全性2、分组密码、分组密码 数据加密标准（Data Encryption Standard，DES）DES由IBM公司1975年研究成功并发表，197

8、7年被美国定为联邦信息标准。DES的分组长度为64位，密钥长度为56位，将64位的明文经加密算法变换为64位的密文。高级加密标准（Advanced Encryption Standard，AES）新的加密标准，它是分组加密算法，分组长度为128位，密钥长度有128位、192位、256位三种，分别称为AES-128，AES-192，AES-256。12125 RFID系统数据传输的安全性系统数据传输的安全性DES加密算法 Li=Ri-1 RiLi-1f(Ri-1,Ki)从左图可知 13135 RFID系统数据传输的安全性系统数据传输的安全性4、AES和DES的不同之处有以下几点：DESDES密钥

9、长度为密钥长度为6464位位（有效位为56位），加密数据分组为64位，循环轮数为16轮；AES加密数据分组为128位，密钥长度为128，192，256位三种，对应循环轮数为10，12，14轮。DES中有4种弱密钥和12种半弱密钥，AES选择密钥是不受限制的。DES中没有给出S盒是如何设计的，而AES的S盒是公开的。因此，AES在电子商务等众多方面将会获得更广泛的应用。序列密码(流密码)，其计算复杂度低，硬件实现容易，在RFID系统中获得了广泛应用。14145 RFID系统数据传输的安全性系统数据传输的安全性5、非对称密码体制 公开密钥与私人密钥 加密算法E和解密算法D必须满足以下三个条件：D(

10、E(m)m，m为明文；从E导出D非常困难；使用“选择明文”攻击不能破译，即破译者即使能加密任意数量的选择明文，也无法破译密文。5 RFID系统数据传输的安全性系统数据传输的安全性RSA算法算法 密钥获取的步骤如下：选择两个大素数p和q，它们的值一般应大于10100；计算n=pq和欧拉函数(n)=(p-1)(q-1)；选择一个和(n)互质的数，令其为d，且1d(n)；选择一个e，使其能满足ed=1 mod(n)，则公开密钥由（e，n）组成，私人密钥由（d，n）组成。16165 RFID系统数据传输的安全性系统数据传输的安全性vRSA算法 加密方法 首先将明文看成是一个比特串，将其划分成一个个的数

11、据块M，且满足0Mn。为此，可求出满足2kn的最大k值，保证每个数据块长度不超过k即可。对数据块M进行加密，计算C=Me(mod n)，C即为M的密文。对C进行解密时的计算为M=Cd(mod n)。演示 取p=3，q=11 n=pq=311=33，(n)=(p-1)(q-1)=210=20；由于7和20没有公因子，因此可取d=7；解方程7e=1(mod 20)，得到e=3；公开密钥为（3，33），私人密钥为（7，33）。假设要加密的明文M4，则密文CMe(mod n)=43(mod 33)=31，接收方解密时计算MCd(mod n)=317(mod 33)=4，即可恢复出原文。17175 RF

12、ID系统数据传输的安全性系统数据传输的安全性6、椭圆曲线密码体制（、椭圆曲线密码体制（ECC）椭圆曲线 Weierstrass方程 y2+a1xy+a3y=x3+a2x2+a4x+a6 18185 RFID系统数据传输的安全性系统数据传输的安全性7、椭圆曲线的基本椭圆曲线的基本ElGamal加解密方案加解密方案 加密算法：首先把明文加密算法：首先把明文m表示为椭园曲线上的表示为椭园曲线上的一个点一个点M，然后再加上，然后再加上KQ进行加密，其中进行加密，其中K是是随机选择的正整数，随机选择的正整数，Q是接收者的公钥。发方是接收者的公钥。发方将密文将密文c1=KP和和c2=M+KQ发给接收方。发

13、给接收方。解密算法：接收方用自己的私钥计算解密算法：接收方用自己的私钥计算 dc1=d(KP)=K(dP)=KQ 恢复出明文点恢复出明文点M为为 M=c2-KQ 19195 RFID系统数据传输的安全性系统数据传输的安全性RSA算法的特点之一是数学原理简单，在工程应用中比较易于实现，但它的单位安全强度相对较低，用目前最有效的攻击方法去破译RSA算法，其破译或求解难度是亚指数级。ECC算法的数学理论深奥复杂，在工程应用中比较困难，但它的安全强度比较高，其破译或求解难度基本上是指数级的。这意味着对于达到期望的安全强度，ECC可以使用较RSA更短的密钥长度。ECC在智能卡中已获得相应的应用，可不采用

14、协处理器而在微控制器中实现，而在RFID中的应用尚需时日。20205 RFID系统数据传输的安全性系统数据传输的安全性v序列密码体制序列密码体制密钥序列产生器进行初始化 ci=E(mi)=miKi接收端，对ci的解密算法 D(ci)=ciKi=(miKi)Ki=mi 需要同步 21215 RFID系统数据传输的安全性系统数据传输的安全性1射频识别中的认证技术 三次认证过程三次认证过程三次认证过程阅读器发送查询口令的命令给应答器，应答器作为应答响应传送所产生的一个随机数RB给阅读器。阅读器产生一个随机数RA，使用共享的密钥K和共同的加密算法EK，算出加密数据块TOKEN AB，并将TOKEN A

15、B传送给应答器。TOKEN ABEK(RA,RB)22225 RFID系统数据传输的安全性系统数据传输的安全性2射频识别中的认证技术射频识别中的认证技术 应答器接受到TOKEN AB后，进行解密，将取得的随机数与原先发送的随机数RB进行比较，若一致，则阅读器获得了应答器的确认。应答器发送另一个加密数据块TOKEN BA给阅读器，TOKEN BA为TOKEN BAEK(RB1,RA)阅读器接收到TOKEN BA并对其解密，若收到的随机数与原先发送的随机数RA相同，则完成了阅读器对应答器的认证。RFID的安全议题的安全议题RFID的安全议题的安全议题 虽然RFID将为人类生活带来极大的便利性便利性

16、，但目前RFID尚未有一套标准的安全技术，若资料未经加密或是未有完善的存取控制，有心人士便可运用相关技术，任意读取标签上的资料，甚至修改、写入资料，造成标签上的资料外泄资料外泄，成为RFID应用时的安全议题。安全议题。RFID便利性便利性安全性安全性RFID的安全议题（续）的安全议题（续）由于由于RFID是透过无线射频是透过无线射频(Radio Frequency,RF)来传递资讯，因此存在一般无线来传递资讯，因此存在一般无线通讯技术会遇到的安全威胁，导致下列问题产生通讯技术会遇到的安全威胁，导致下列问题产生商业机密外泄破坏机密性(Confidentiality)伪造虚假资讯破坏真确性(Int

17、egrity)基础建设遭受破坏破坏可用性(Availability)商业机密外泄商业机密外泄破坏机密性破坏机密性商业机密外泄商业机密外泄未经授权读取(Unauthorized Read)攻击者只要有相同规格的读取器，并且在标签的可读取范围内，就能够任意地读取标签内的资料，造成资讯泄漏的安全问题，甚至会危及使用者的隐私窃听窃听 (Eavesdropping)(Eavesdropping)攻击者利用特殊设备，来监听标签与读取器通讯时在空气中传输的无线电讯号，藉由监听得到的讯息来分析其中所包含的资讯商业机密外泄（续）商业机密外泄（续）公司刺探威胁公司刺探威胁(Corporate Espionage

18、Threat)攻击者可以利用Reader在远端读取竞争对手仓库的标签，以收集竞争对手仓库的存货数量或商品资讯，甚至取得机密资料 行销竞争威胁行销竞争威胁(Competitive Marketing Threat)竞争对手可以透过对RFID标签的读取，在未经授权的情况下取得消费者购物偏好资讯，利用这些资讯进行行销竞争伪造虚假资讯伪造虚假资讯未经授权写入未经授权写入(Unauthorized Write)若是标签没有存取控制机制，攻击者只要有相同规格的写入器，并且在标签的可写入范围内，就能够任意地修改并写入标签内的资料，造成标签资料遭窜改或伪造的安全问题假冒假冒 (Spoofing)(Spoofi

19、ng)攻击者可能透过物理分析，来取得某个标签内所储存的资料，然后复制(Clone)一个具有相同资料的标签，因此可以假冒成合法的身分，通过读取器的验证，以达成攻击者之目的 伪造虚假资讯（续）伪造虚假资讯（续）重送攻击重送攻击(Replay Attack)攻击者可能藉由监听所蒐集之讯息，当读取器查询标签时，将这些讯息重新送回给读取器，因而通过读取器的验证信赖边界威胁信赖边界威胁(Trust Perimeter Threat)由于RFID系统的使用，标签的相关资讯会在上下游厂商之间透过网路的方式共享，而此共享的管道即有可能受到攻击者的入侵，因此将使公司对于资讯系统可信赖的边界重新界定基础建设遭受破坏

20、基础建设遭受破坏基础建设威胁基础建设威胁(Infrastructure Threat)攻击者可以使用特殊设备，持续发送无线射频讯号，来干扰标签或读取器，导致标签跟读取器无法正常进行通讯，藉此瘫痪RFID系统，属于阻断服务(Denial of Service,DoS)攻击基础建设遭受破坏（续）基础建设遭受破坏（续）恶意编码传播恶意编码传播(Hostile Code Propagation)标签上有记忆体可用来储存额外资讯，若恶意的使用者用来存放与传播恶意的编码，将可能影响读取器的正常存取功能 国外已有研究指出，攻击者可在标签植入恶意SQL语法进行SQL Injection攻击，造成后端系统中毒，

21、并可感染其他正常标签，再透过受感染之标签感染其他后端系统RFID的隐私议题的隐私议题隐私权隐私权个人资讯之取得及揭露人身迁徙及隐居之自由人对于自身财产事务之控制指个人之自我决定权利，如妇女堕胎之自我决定权被归类为宪法上所保障之隐私权。隐私权包括个人资讯、身体、财产或是自我决定等部分，简单的说，就是个人资讯的自我决定权。个人资讯隐私权个人资讯隐私权之保护，系指政府、私人机构或是个人，取得或是散布该自然人个人资讯之管理与限制。个人资讯系指依据某特定资讯，可得辨识出该个人或是该个人之私人活动。个人资讯被认为系隐私权之一部分，系因将个人资料采集之后，可以知悉该个人之活动及该个人之喜好。RFID侵害隐私

22、权？RFID相关读取技术在读取价格的同时：RFID的微型化、适形性及穿透性的微型化、适形性及穿透性，及主动标签主动标签不可预测的电波发送资讯不可预测的电波发送资讯、时间及区域，暴露消费者购买的物品资讯，甚至侵犯消费者其他私领域行为，诸如行程、地点等。未妥善处理物品上的未妥善处理物品上的RFID，举凡衣服、食品、汽车甚至垃圾等，都会不经意透露出个人相关资讯。RFID侵害隐私权？v目前发展之RFID技术，对于个人的私密物品与采私密物品与采购购等一般消费情形的隐私权，已足以让大众产生疑虑。v未来更可能使用在证照或身分证件证照或身分证件等方面，资料曝光的危险性相形更高。v随之而来如骇客或是政府的监视骇

23、客或是政府的监视，也都影响到每一个人民的权益。RFID vs.隐私权 RFID记载之资料是否足使特定人的个人资料使特定人的个人资料有揭露的危险？有揭露的危险？根据RFID采集而得之资讯是否需当事人同意是否需当事人同意？第三人有无利用或拦截RFID下载资料之权利？是否需取得当事人同意？是否需取得当事人同意？RFID记载之资料属于何人所有？当事人有无自行删除RFID记载资料之权利？消费者的购物隐私消费者的购物隐私动作威胁动作威胁(Action Threat)个体（消费者）的动作、行为及意图可以透过观察标签的动态来推测；例如某个卖场智慧货架上高价商品的标签讯号突然消失，卖场即可推测是否有消费者想进行

24、偷窃偏好威胁偏好威胁(Preference Threat)由于标签上可能记载着商品的相关资讯，如商品种类、品牌和尺寸等，可以藉由标签上的资讯来推测消费者的购物偏好消费者的身分隐私（续）消费者的身分隐私（续）v面包屑威胁面包屑威胁(Breadcrumb Threat)此威胁是由关联威胁所延伸出的；因为标签的识别资讯可与持有者产生关联，如果持有者的标签遭窃或丢弃，可能会被有心人士利用来假冒原先持有者的身分，进行不法之行为关联威胁关联威胁消费者的购物隐私（续）消费者的购物隐私（续）v交易威胁交易威胁(Transaction Threat)当某群标签中的其中一个标签，转移到另一群标签中，则可推测这两群

25、标签的持有者有进行交易的可能性RFIDRFID交易威胁交易威胁消费者的行踪隐私消费者的行踪隐私v位置威胁位置威胁(Location Threat)由于标签具有一个唯一识别的资讯，且标签的读取具有一定的范围，因此可以透过标签来追踪商品或消费者的位置RFIDRFID人员定位人员定位RFID记载之资料是否有揭露的危险？记载之资料是否有揭露的危险？RFID记载之资料如包含姓名、电话、地址、身分证字号及出生年月日等，均应属于特定人之个人资料。下列资讯是否属于个人资料v就诊纪录、病史及使用药物资讯就诊纪录、病史及使用药物资讯v地点追踪地点追踪v产品离开消费场所或进入私人场域时，RFID是否可以持续追踪并定

26、位，应持否定见解。v使用纪录使用纪录v关于消费者购买产品时之购物品牌、种类、金额、购买地点及日期是否属于特定人之个人资料?v该资讯通常无法足资识别该个人之资料，但经采集整理分析后，可能归纳出个人购物特性及习惯，此类尚有争议RFID记载之资料属于何人所有？RFID记载资料之所有权在RFID使用人使用区域，应属于RFID使用人所有，但产品移转所有权时，RFID记载资料应属于消费者所有，并有自行删除RFID记载资料之权利；如Wal-Mart就准备广发手册告诉消费者，只要结完帐，就可以撕下标只要结完帐，就可以撕下标签。除前述情形以外，需视签。除前述情形以外，需视RFID之用途及特别之用途及特别约定。约

27、定。科技面解决方案科技面解决方案RFID的硬体限制的硬体限制 RFID系统中，标签的运算能力是有限的，尤其是低成本的被动式标签；比起智慧卡或者是感测器(Sensor)来说，RFID标签少了中央处理器及较大的记忆体空间，因此无法执行复杂的密码学因此无法执行复杂的密码学运算运算，是RFID在安全性上的一大缺点.四、四、RFID的安全解决方案的安全解决方案 v标签特殊设计之保护方式 v标签销毁指令(Kill Command)v标签休眠指令(Sleeping Command)v密码保护v使用额外设备之保护方法v法拉第笼(Faradays Cage)v主动干扰(Jamming)v阻挡标签(Blocker

28、 Tag)v其他方法 若标签支援Kill指令，如EPC Class 1 Gen 2标签，当标签接收到读写器发出的Kill指令时，便会将自己销毁，使得这个标签之后对于读写器的任何指令都不会有反应，因此可保护标签资料不被读取；但由于这个动作是不可逆的，一旦销毁就等于是浪费了这个标签标签销毁指令标签销毁指令标签休眠指令标签休眠指令 与销毁标签概念相同，当支援休眠指令的标签接收读取器传来的休眠(Sleep)指令，标签即进入休眠状态，不会回应任何读取器的查询；当标签接收到读取器的唤醒(Wake Up)指令，才会恢复正常。四、四、RFID的安全解决方案的安全解决方案 密码保护密码保护 此方法利用密码来控制

29、标签的存取，在标签中记忆对应的密码，读取器查询标签时必须同时送出密码，若标签验证密码成功才会回应读取器；不过此方法仍存在密码安全性的问题法拉第笼法拉第笼 将标签放置在由金属网罩或金属箔片组成的容器中，称作法拉第笼，因为金属可阻隔无线电讯号之特性，即可避免标签被读取器所读取四、四、RFID的安全解决方案的安全解决方案 主动干扰主动干扰 使用能够主动发出广播讯号的设备，来干扰读取器查询受保护之标签，成本较法拉第笼低；但此方式可能干扰其他合法无线电设备的使用；阻挡标签阻挡标签 使用一种特殊设计的标签，称为阻挡标签(Blocker Tag)，此种标签会持续对读取器传送混淆的讯息，藉此阻止读取器读取受保

30、护之标签；但当受保护之标签离开阻挡标签的保护范围，则安全与隐私的问题仍然存在。四、四、RFID的安全解决方案的安全解决方案 其他方法其他方法v以密码学为基础的解决方案v乱数产生器v互斥或(Exclusive OR,XOR)v循环冗余检查(Cyclic Redundancy Check,CRC)v对称式加解密v杂凑锁(Hash-lock)v杂凑链(Hash Chain)四、四、RFID的安全解决方案的安全解决方案 哈希哈希(Hash)锁方案（锁方案（Hash lock）哈希(Hash)锁方案（Hash lock）Hash锁是一种更完善的抵制标签未授权访问的安全与隐私技术。整个方案只需要采用Has

31、h函数，因此成本很低。锁定标签：锁定标签：对于唯一标志号为ID的标签，首先阅读器随机产生该标签的Key，计算metaID=Hash(Key)，将metaID发送给标签；标签将metaID存储下来，进入锁定状态。阅读器将(metaID，Key，ID)存储到后台数据库中，并以metaID 为索引。哈希哈希(Hash)锁方案（锁方案（Hash lock）解锁标签：解锁标签：阅读器询问标签时，标签回答metaID；阅读器查询后台数据库，找到对应的(metaID，Key，ID)记录，然后将该Key值发送给标签；标签收到Key值后，计算Hash(Key)值，并与自身存储的metaID值比较，若Hash(K

32、ey)=metaID，标签将其ID发送给阅读器，这时标签进入已解锁状态，并为附近的阅读器开放所有的功能。哈希哈希(Hash)锁方案（锁方案（Hash lock）v方法的优点：方法的优点：解密单向Hash函数是较困难的，因此该方法可以阻止未授权的阅读器读取标签信息数据，在一定程度上为标签提供隐私保护；该方法只需在标签上实现一个Hash函数的计算，以及增加存储metaID值，因此在低成本的标签上容易实现。v方法的缺陷：方法的缺陷：由于每次询问时标签回答的数据是特定的，因此其不能防止位置跟踪攻击；阅读器和标签问传输的数据未经加密，窃听者可以轻易地获得标签Key和ID值。哈希哈希(Hash)锁方案（锁

33、方案（Hash lock）规范面解决方案规范面解决方案可规范可规范RFID使用的现行法律使用的现行法律v电脑处理个人资料保护法 v个人资料保护法草案 v商品标示法v消费者保护法四、四、RFID的安全解决方案的安全解决方案 消费者保护法消费者保护法v个资法个资法的修正草案可有效的规范大部分对于个人资料的蒐集、处理与利用等行为，但是由于商业行为的复杂，对于个人隐私的侵犯往往并非只限于上述方式，而可能是透过衍生的附加行为，又或者由于消费者处于交易地位上的弱势，厂商可能透过特定服务的提供或者是对于原本即应提供的服务提出附带要求，以让消费者同意或者承诺配合RFID技术的使用其他其他RFID相关的规范与草

34、案相关的规范与草案vEPIC的RFID使用指导纲领v电子权利法草案(Electronic Bill of Rights)vRFID权利法草案(RFID Bill of Rights)v标签资料拥有权之探讨EPIC的的RFID使用指导纲领使用指导纲领v美国电子隐私资讯中心美国电子隐私资讯中心(Electronic Privacy Information Center,EPIC)于2004年6月提出一份关于消费者与私人企业使用RFID的纲领vEPIC的的RFID使用指导纲领主要分成三个部分使用指导纲领主要分成三个部分，第一个部分主要说明企业在利用RFID技术时，需于货品上从事于类似条码标示的相关责

35、任；第二个部分则着重于使用RFID的企业厂商不应有之作为；第三部分则是总结前两部分而所应赋予消费者该拥有的权利EPIC的的RFID使用纲领（续）使用纲领（续）v使用使用RFID的企业厂商不应有之作为的企业厂商不应有之作为 1、不得经由RFID追踪个人行动或在卖场外利用RFID获取个人消费习性或其它个人资讯 2、不得记录或是储存RFID标签上不属于个人的资讯，或是透过已完成消费的标签来获取个人资讯 3、不得在购买行为完成后，以货品保固、损失补偿或是使用智慧型的应用程序来保持标签的开放状况EPIC的的RFID使用纲领（续）使用纲领（续）v消费者的权利消费者的权利 有权获取透过RFID采集包括个人资

36、讯的所有资讯，并有权更正之v有权移除有权移除RFID标签标签 针对未遵守或违反前述RFID使用责任与义务的私人企业，有权提出诉讼电子权利法草案电子权利法草案v美国华盛顿州议员Jeff Morris提出的电子权利法草案(Electronic Bill of Rights)，主张禁止在未告知消费者的情况下收集、储存和公开通过RFID技术获得的资讯，内容主要规范：v使用主动或被动RFID设备的所有公司应关闭这些设备，或者事先徵得消费者的同意v禁止厂商在服务和退款时要求RFID标签电子权利法草案（续）电子权利法草案（续）禁止厂商或个人在没有事先征求消费者同意的情况下扫描或读取RFID设备使用从RFID

37、设备取得之资讯的厂商，必须使用产业标准来确保资讯安全RFID权利法草案权利法草案 美国麻省理工学院之学者Simson Garfinkel所提出的RFID权利法草案(RFID Bill of Rights)，主要提出消费者在商家使用RFID的情况下应享有的权利，内容包含：消费者有权知道商品是否含有消费者有权知道商品是否含有RFIDRFID标签标签 商品结帐后消费者有权要求商家将商品上之商品结帐后消费者有权要求商家将商品上之RFIDRFID标签移除或使其失效标签移除或使其失效RFID权利法草案（续）权利法草案（续）即使消费者移除即使消费者移除RFID标签，仍应享有购买产品标签，仍应享有购买产品之售

38、后服务权利之售后服务权利消费者有权知道消费者有权知道RFID标签上储存的资讯标签上储存的资讯消费者有权知道标签在何时、何地以及为何被消费者有权知道标签在何时、何地以及为何被读取读取标签资料拥有权之探讨标签资料拥有权之探讨 RFID标签记载之资料是否足够导致个人资料有揭露的危险？RFID标签记载之资料如包含姓名、电话、地址、身分证字号及出生年月日等，均应属于特定人之个人资料，此等资料非经当事人同意，不得记载于RFID标签上；但较有疑问的是下列资讯是否属于个人资料：就诊记录、病史及使用药物资讯就诊记录、病史及使用药物资讯：此部分依多数国家之立法案例，亦属于个人资料之范畴，故非经当事人同意，不得记载

39、于RFID标签上标签资料拥有权之探讨（续）标签资料拥有权之探讨（续）2.地点追踪：如产品位置等，通常不属于个人资料，但产品离开消费场所（结帐后）或进入私人场域时，RFID标签是否可以持续追踪并定位，应持否定见解3.使用记录：如产品或场所使用记录等，如管理委员会设置之门禁管制进出社区记录，或学校图书馆进出或借阅书籍记录，是否属于个人资料，实务倾向否定4.关于消费者购买产品时之购物品牌、种类、金额、购买地点及日期是否属于特定人之个人资料？显有疑义；按该资讯通常不足以识别该个人之资料，但经蒐集整理分析后，可能归纳出个人购物特性及习惯标签资料拥有权之探讨（续）标签资料拥有权之探讨（续）RFID标签记载

40、之资料属于何人所拥有？标签记载之资料属于何人所拥有？RFID标签记载资料之所有权在RFID使用人使用区域，应属于RFID使用人所有，但产品移转所有权时，RFID标签记载资料应属于消费者所有，并有自行删除RFID标签记载资料之权利；如Wal-Mart就准备广发手册告诉消费者，只要结完帐，就可以撕下标签标签资料拥有权之探讨（续）标签资料拥有权之探讨（续）第三者是否有利用或拦截标签资料之权利？RFID使用者使用RFID时，应该已经先考虑RFID标签记载资料具有公开传输之特性，并有期待他人使用之可能性；但第三者在使用这类资料是否需取得当事人同意，则应视是否属于个人资料而定。法律面的解决方式法律面的解决

41、方式v部分美国隐私权保护相关团体及消费者团体已发起抵制行动vCASPIAN(Consumers Against Supermarket Privacy Invasion and Numbering)等，甚至于2003年推动2003年RFID受告知权法案（RFID Right to Know Act of 2003）v美国电子隐私资讯中心（Electronic Privacy Information Center,EPIC）于2004年6月提出一份关于消费者与私人企业使用RFID的纲领使用使用RFID时时v应告知应告知RFID的存在的存在v在产品销售完成前即应关闭RFID，除非因个人需要，否则使

42、之永久失去效用vRFID应使用最简单的可移除方式装置v指定专人遵守这些纲领消费者权利消费者权利v有权获取透过RFID包含个人资讯的所有资讯，并有权更正v有权移除有权移除RFID标签标签v针对未遵守或违反RFID使用责任与义务的私人企业，有权提出诉讼欧洲的规范欧洲的规范v欧洲国家对于RFID应用一向比较消极，在2005年初针对二千多名，包括英国、法国、德国与荷兰的网友所作一意见调查，被调查者皆认为RFID可以提升“反盗窃”能力 v不过，对于购买标有RFID标签的产品，59%的欧洲人担心这项技术是不是会持续跟踪他们。另外，52%欧洲人则担心自己可能会成为直销欧洲人则担心自己可能会成为直销活动的目标

43、活动的目标。v未来打算应用RFID厂商必须提出其个别的隐私权及安全性上的考量，因为民众无法看到或感受到RFID，而多数的RFID标签也不记载着资料是何时、被何人所读取入的。美国的规范美国的规范v2003年由隐私权保护团体所推动2003年RFID受告知权法案（RFID Right to Know Act of 2003），主张修正多项联邦法令以规范RFID之应用 v2004年由美国电子隐私资讯中心（Electronic Privacy Information Center,EPIC）提出一份关于消费者与私人企业使用RFID的纲领，建议使用RFID技术的私人企业应告知RFID的存在，并合理揭露使消

44、费者了解RFID系统及资讯处理的本质。v2005年五月，由United States Government Accountability Office,GAO提出的INFORMATON SECURITY:Radio Frequency Identification Technology in the Federal Government，则要求美国联邦政府正在或准备应用则要求美国联邦政府正在或准备应用RFID单位，为确保其应用符合原订目标，并提供资讯保单位，为确保其应用符合原订目标，并提供资讯保全与隐私权上的保护全与隐私权上的保护 美国的规范美国的规范v2006年二月七日，由IEEE-USA

45、Board of Directors批准通过的National Policies on the Deployment of Radio Frequency Identification(RFID)Technology，则强调两点：v开放性及穿透性：RFID系统当建立在开放性与穿透性的观念下，私人企业或政府机关在使用或说明使用RFID技术时，须明确告知哪些资料会被采集、如何使用，而在RFID系统的每个阶段，资料该是保留给所有权者。个人资料的隐私权是不变个人资料的隐私权是不变的且不应该被损及。然而，为了系统的开放性，的且不应该被损及。然而，为了系统的开放性，RFID这项科这项科技当结合安全性及隐私

46、权下执行。技当结合安全性及隐私权下执行。v不同层级的保护：随着RFID系统及于系统中所取得的资料不同，当有不同层级上的保护及安全性要求，整个系统中的硬体、软体、附属系统，应用标签与RFID系统的环境及所在都必须符合安全性上的要求。日本的规范日本的规范v2004年六月八日，由日本MIC(前身为MPHPT)与Ministry of Economy,Trade and Industry(METI)共同发展的Guidelines for Privacy Protection with Regard to RFID Tags已实行v文中有限定应用RFID标签的范围，包括应用RFID标签的活动与产品，不过

47、，截至目前，没截至目前，没有强制约束力。有强制约束力。意大利的规范意大利的规范v2005年的三月九日由Italian Garante 提出Safeguards Applying to the use of RFID devices，针对RFID的Devices，意大利通过一项条款，不管是政府与私人企业必须符合资料保护原则，包括应用资讯的揭露、消费者的同意、特定应用的目的。v意意大利同时也暂缓了某些具争议的大利同时也暂缓了某些具争议的RFID应用，应用，包括对员工或皮下植入包括对员工或皮下植入RFID晶片等晶片等。韩国的规范韩国的规范v由Ministry of Information&Commu

48、nication(MIC)在2005年七月七所提的RFID Privacy Protection Guideline提案，已经完成，但截至已经完成，但截至目前，还没有实行。目前，还没有实行。五五、RFID信息安全和风险评估信息安全和风险评估 这样一个案例：这样一个案例：某工厂一名受人信赖、有某工厂一名受人信赖、有11 年工年工龄的雇员负责公司内部的网络构建和维护，当他不再受到龄的雇员负责公司内部的网络构建和维护，当他不再受到公司的重视并意识到将因表现和行为问题被解雇时，就在公司的重视并意识到将因表现和行为问题被解雇时，就在系统中设置了摧毁系统的软件定时炸弹。由于被解雇的网系统中设置了摧毁系统的

49、软件定时炸弹。由于被解雇的网络管理员是唯一负责文件服务器的维护、保护和备份的雇络管理员是唯一负责文件服务器的维护、保护和备份的雇员，信息系统崩溃后，公司只能雇用程序员重建系统，而员，信息系统崩溃后，公司只能雇用程序员重建系统，而原来保存在系统中的珍贵的设计方案也全部丢失，该公司原来保存在系统中的珍贵的设计方案也全部丢失，该公司立即丧失了它原来的工业地位，损失超过立即丧失了它原来的工业地位，损失超过1000 万美元。万美元。从上面的例子可以看出，除了技术保障之外，如果没有合从上面的例子可以看出，除了技术保障之外，如果没有合适的组织管理，企业信息系统（包括适的组织管理，企业信息系统（包括RFID

50、系统）的安全系统）的安全会受到相当大的威胁。会受到相当大的威胁。五五、RFID信息安全和风险评估信息安全和风险评估 安全风险评估安全风险评估是一种信息安全的管理方法，是通过实施综合的风险评估和标识组织的风险并进而确定解决方案。安全风险评估在信息安全风险管理中起着核心的作用，它有助于组织对其使用的信息技术进行评估，并帮助组织的决策者作出相关的信息保护决策。五五、RFID信息安全和风险评估信息安全和风险评估 RFID信息安全与信息安全与风险评估的阶段风险评估的阶段 五五、RFID信息安全和风险评估信息安全和风险评估 RFID信息安全与风险评估的具体步骤与过程信息安全与风险评估的具体步骤与过程五五、