¿Cuál es el estado actual de la seguridad RFID?
Las etiquetas RFID se consideran una alternativa a los códigos de barras y tienen las ventajas de ser de tamaño pequeño, fáciles de incrustar en objetos y pueden leerse en grandes cantidades sin contacto. Además, los identificadores RFID son largos, lo que permite que cada objeto tenga un código único. La unicidad permite rastrear el objeto. Esta función puede ayudar a las empresas a prevenir robos, mejorar la gestión de inventario y facilitar la toma de inventario en tiendas y almacenes. Además, el uso de la tecnología RFID puede reducir en gran medida el tiempo de espera de los consumidores en el mostrador de pago.
Sin embargo, con la mejora de las capacidades RFID y la creciente popularidad de las aplicaciones de etiquetas, los problemas de seguridad, especialmente los de privacidad del usuario, se han vuelto cada vez más graves. Si el usuario lleva un producto etiquetado que no es seguro, un lector cercano lo leerá sin que el usuario se dé cuenta, revelando así información personal confidencial como dinero, medicamentos (relacionados con enfermedades especiales), libros (que pueden contener información personal sobre preferencias). etc. , especialmente exponiendo la privacidad de la ubicación de los usuarios y provocando que se les rastree.
Por lo tanto, en la aplicación de RFID, debemos analizar cuidadosamente las amenazas de seguridad existentes, investigar y tomar las medidas de seguridad correspondientes, lo que requiere tanto medidas técnicas como políticas y restricciones regulatorias.
1 La tecnología RFID y la composición de su sistema
1.1 Composición del sistema
El sistema RFID básico consta principalmente de tres partes, que incluyen:
(1) Etiqueta
La etiqueta se coloca en el objeto a reconocer y lleva datos de reconocimiento del objetivo. Es el verdadero soporte de datos del sistema RFID y consta de componentes de acoplamiento y chips microelectrónicos (incluidos moduladores, generadores de códigos, relojes y memorias).
(2) Lector
Un lector es un dispositivo utilizado para leer o leer/escribir datos de etiquetas. Consta de un módulo de radiofrecuencia (transmisor y receptor), una unidad de control y. una etiqueta. Consta de unidades de acoplamiento conectadas.
(3) Servidor backend
El servidor backend contiene un sistema de procesamiento de base de datos, que almacena y administra información relacionada con etiquetas, como identificación de etiquetas, posicionamiento del lector, tiempo de lectura, etc. El servidor backend recibe los datos de la etiqueta obtenidos del lector confiable, ingresa los datos en su propia base de datos y proporciona el número de datos asociados con la etiqueta a la que se accede.
1.2 Principio de funcionamiento
El principio de funcionamiento básico del sistema RFID es establecer un canal de comunicación entre el lector y la etiqueta a través de señales inalámbricas. El lector emite señales electromagnéticas a través de la antena. y las señales electromagnéticas transportan las instrucciones de consulta de etiquetas del lector. Cuando la etiqueta está dentro del rango de trabajo del lector, la etiqueta obtendrá los datos de instrucción y la energía de la señal electromagnética, y enviará la identificación y los datos de la etiqueta al lector en forma de señal electromagnética de acuerdo con la instrucción, o reescribirá el RFID según las instrucciones del lector Los datos almacenados en la etiqueta. El lector puede recibir los datos enviados por la etiqueta RFID o enviar los datos a la etiqueta, y puede conectarse a la red de comunicación del servidor backend a través de una interfaz estándar para realizar la comunicación y transmisión de datos.
Según el método de adquisición de energía de la etiqueta, el modo de funcionamiento del sistema RFID se puede dividir en: modo de acoplamiento inductivo de corta distancia y modo de acoplamiento electromagnético de larga distancia.
2 Problemas de seguridad y privacidad de RFID
2.1 Amenazas de privacidad de RFID
Las amenazas a la privacidad que enfrenta RFID incluyen la fuga de información de etiquetas y el uso de identificadores únicos de Etiquetas de seguimiento malicioso.
La filtración de información se refiere a la exposición de información enviada por etiquetas, incluida información relacionada con usuarios de etiquetas u objetos identificados. Por ejemplo, cuando se aplican etiquetas RFID a la gestión de la biblioteca, la información de la biblioteca está abierta y cualquier otra persona puede obtener la información de lectura del lector.
Cuando se utilizan etiquetas RFID para la gestión de medicamentos recetados en hospitales, es probable que se exponga la patología de los consumidores de drogas, y los invasores de la privacidad pueden inferir el estado de salud de una persona escaneando los medicamentos que toma. Cuando se agrega información personal, como documentos electrónicos y datos biométricos, a las etiquetas RFID, la fuga de información de la etiqueta dañará en gran medida la privacidad personal. Por ejemplo, el plan original de Estados Unidos de equipar los pasaportes de entrada con etiquetas electrónicas en agosto de 2005 [1-2] se pospuso debido a problemas de seguridad relacionados con la fuga de información.
El servidor backend del sistema RFID proporciona una base de datos y, por lo general, las etiquetas no necesitan contener ni transmitir una gran cantidad de información. Por lo general, la etiqueta solo necesita transmitir un identificador simple y luego acceder a la base de datos a través de este identificador para obtener datos e información relevantes sobre el objeto de destino. Por lo tanto, el seguimiento se puede lograr a través del identificador fijo de la etiqueta, e incluso si se desconoce el contenido de la etiqueta después del cifrado, la etiqueta aún se puede rastrear a través de la información cifrada fija. En otras palabras, las personas pueden identificar etiquetas en diferentes momentos y lugares y obtener información de ubicación de la etiqueta. De esta manera, el atacante puede obtener el paradero del portador de la etiqueta a través de la información de ubicación de la etiqueta, como su lugar de trabajo y la hora de llegada y salida del lugar de trabajo.
Aunque algunas otras tecnologías, como videovigilancia, Sistema Global de Comunicaciones Móviles (GSM), Bluetooth, etc. , también se puede utilizar para seguimiento. El equipo de identificación de etiquetas RFID es relativamente barato, especialmente después de que RFID ingresa a la vida diaria de la gente común, las personas con lectores pueden escanear y rastrear a otros. Además, la señal de la etiqueta pasiva no se puede cortar, es de tamaño pequeño, fácil de ocultar, tiene una larga vida útil y puede identificar y recopilar datos automáticamente, lo que facilita el seguimiento malicioso.
2.2 División jerárquica de las cuestiones de seguimiento
Según el modelo jerárquico, el sistema RFID se puede dividir en tres capas: capa de aplicación, capa de comunicación y capa física.
En estos tres niveles se puede realizar un seguimiento malicioso [3].
(1) Capa de aplicación
Procesa información definida por el usuario, como identificadores. Para proteger los identificadores, los datos se pueden transformar antes de la transmisión, o la información solo se puede transmitir si se cumplen ciertas condiciones. En esta capa se definen protocolos como la identificación de etiquetas y la autenticación.
El seguimiento a través de identificadores de etiquetas es actualmente el método principal. Por tanto, esta solución requiere cambiar la información que la etiqueta envía al lector cada vez que es reconocida, que puede ser el identificador de la etiqueta o su valor cifrado.
(2) Capa de comunicación
Define el modo de comunicación entre el lector y la etiqueta. En esta capa se definen protocolos anticolisión y mecanismos de selección para identificadores de etiquetas específicos. Los problemas de seguimiento en esta capa provienen de dos aspectos: uno son los ataques basados en sesiones únicas incompletas y el otro son los ataques basados en la falta de aleatoriedad.
Los protocolos anticolisión se dividen en dos categorías: protocolos deterministas y protocolos probabilísticos. Los protocolos anticolisión deterministas se basan en identificadores estáticos únicos de etiquetas, que los adversarios pueden rastrear fácilmente. Para evitar el seguimiento, los identificadores deben ser dinámicos. Sin embargo, si el identificador se modifica durante el proceso de simplificación, se romperá la simplificación de la anotación. Por lo tanto, el identificador no se puede cambiar durante una sesión de simplificación. Para evitar el seguimiento, debe utilizar un identificador diferente para cada sesión. Sin embargo, un lector malintencionado podría mantener abierta la sesión de la etiqueta para que el identificador de la etiqueta no cambie, permitiendo el seguimiento. Los protocolos probabilísticos anticolisión también sufren este problema de seguimiento. Además, los protocolos probabilísticos anticolisión, como el protocolo Aloha, no solo requieren que los identificadores de etiquetas se cambien cada vez, sino que también requieren una aleatorización completa para evitar el seguimiento por parte de lectores maliciosos.
(3) Capa física
Define la interfaz aérea física, incluyendo frecuencia, modulación de transmisión, codificación de datos, temporización, etc. Las señales físicas intercambiadas entre lectores y etiquetas permiten a un adversario diferenciar entre etiquetas o grupos de etiquetas sin comprender la información intercambiada.
Los parámetros de transmisión inalámbrica siguen estándares conocidos. Las señales emitidas por etiquetas del mismo estándar son muy similares y las señales emitidas por etiquetas de diferentes estándares son fáciles de distinguir. Es posible que dentro de unos años, cuando caminemos por la calle, haya muchos artículos con etiquetas incrustadas. Si se utilizan varios criterios, cada persona puede llevar una etiqueta con una combinación específica de criterios, lo que permite realizar un seguimiento de las personas.
Este método es particularmente útil para rastrear cierto tipo de personas, como soldados o guardias de seguridad.
Del mismo modo, las combinaciones de etiquetas de diferentes huellas dactilares inalámbricas también harán posible el seguimiento.
2.3 Amenazas reales a la seguridad
La RFID se utiliza ampliamente y puede causar diversos problemas de seguridad. En algunas aplicaciones, los usuarios ilegales pueden utilizar lectores legítimos o crear un lector para acceder ilegalmente a las etiquetas, lo que provoca que se filtre información sobre las etiquetas. En algunas aplicaciones importantes, como finanzas y certificados, los atacantes pueden alterar el contenido de las etiquetas o copiar etiquetas legítimas para obtener beneficios personales o participar en actividades ilegales. En aplicaciones farmacéuticas y alimentarias, las etiquetas falsificadas se utilizan para producir y vender productos falsificados. En la práctica, se deberían tomar las medidas de seguridad correspondientes para aplicaciones RFID específicas y cuestiones de seguridad.
A continuación, basándose en la arquitectura del sistema EPCglobal [4] y la cadena de suministro completa [5-6] definida por la organización de estándares EPCglobal, las amenazas a la seguridad y a la privacidad que enfrenta RFID se describen vertical y horizontalmente respectivamente. .
2.4 Análisis vertical de amenazas a la seguridad y la privacidad del sistema global de EPC
La arquitectura del sistema de EPCglobal y las amenazas a la seguridad se muestran en la Figura 3. Se compone principalmente de sistemas internos como etiquetas, lectores, middleware de codificación electrónica de artículos (EPC), sistema de información de codificación electrónica de artículos (EPCIS) y servicio de nombres de dominio de artículos (ONS). Entre ellos, el middleware EPC es el principal responsable de recibir datos de etiquetas originales de uno o más lectores y filtrar datos redundantes como la duplicación; EPCIS es el principal responsable de almacenar uno o más datos de eventos a nivel de EPCIS; permitir que la aplicación interna y externa encuentre datos EPCIS relacionados con EPC.
Todo el sistema EPCglobal se puede dividir en tres dominios de seguridad de abajo hacia arriba: un dominio de seguridad compuesto por áreas de recopilación de datos inalámbricos compuestas por etiquetas y lectores, un dominio de seguridad compuesto por sistemas internos de la empresa y un dominio de seguridad Dominio compuesto por sistemas internos de la empresa. Un dominio de seguridad compuesto por redes de consulta y intercambio de datos entre empresas y usuarios públicos. Las amenazas a la privacidad personal pueden aparecer principalmente en el primer dominio de seguridad, es decir, entre las etiquetas, la transmisión inalámbrica de la interfaz aérea y los lectores, lo que puede dar lugar a la fuga y el seguimiento de información personal. Además, también pueden aparecer amenazas a la privacidad personal en el tercer dominio de seguridad. Si el ONS no se gestiona adecuadamente, se puede acceder ilegalmente a la privacidad personal o se puede abusar de ella. Existen amenazas a la seguridad y la privacidad en los siguientes dominios de seguridad:
(1) El dominio de seguridad consta de un área de recopilación de datos inalámbrica compuesta de etiquetas y lectores. Las posibles amenazas a la seguridad incluyen falsificar etiquetas, acceder ilegalmente a ellas y manipularlas, escuchar a través de la interfaz inalámbrica aérea, obtener información relacionada con las etiquetas, rastrear y monitorear etiquetas, etc.
(2) El dominio de seguridad formado por el sistema interno de la empresa. Las amenazas a la seguridad en el dominio de seguridad formado por los sistemas internos de la empresa son las mismas que las de la red empresarial existente. Al tiempo que se fortalece la gestión, es necesario evitar el acceso y uso ilegal o no autorizado por parte del personal interno y evitar que lectores ilegales accedan a la red interna corporativa.
(3) Un área de seguridad compuesta por redes de consulta e intercambio de datos entre empresas y entre empresas y usuarios públicos. A través de mecanismos de autenticación y autorización, y de acuerdo con las leyes y regulaciones de privacidad pertinentes, ONS garantiza que los datos recopilados no se utilizarán para otras aplicaciones comerciales anormales y filtraciones, y garantiza que los usuarios legítimos puedan consultar y monitorear información relevante.
2.5 Análisis de las amenazas horizontales a la seguridad y la privacidad en la cadena de suministro
En la Figura 4 se muestra una cadena de suministro relativamente completa y sus amenazas a la seguridad y la privacidad, incluidas tres áreas: Dentro del cadena de suministro, circulación de productos básicos y fuera de la cadena de suministro, incluida la producción de productos básicos, el transporte, los centros de distribución, las tiendas minoristas, los estantes de las tiendas, los mostradores de pago, el mundo exterior y los hogares de los usuarios. Las primeras cuatro amenazas de la figura son amenazas a la seguridad y las últimas siete amenazas son amenazas a la privacidad. Entre ellas, las amenazas a la seguridad incluyen:
(1) Amenazas de espionaje industrial
Los competidores pueden recopilar fácilmente datos de la cadena de suministro, algunos de los cuales involucran la mayor parte de los secretos de la industria, desde la producción de bienes hasta sus información de ventas. Por ejemplo, un agente puede comprar productos de la competencia en varios lugares y luego monitorear el estado de reabastecimiento de estos productos.
En algunos casos, las etiquetas se pueden leer en las tiendas o al descargar mercancías, y debido a que los artículos que llevan las etiquetas tienen números únicos, los competidores pueden recopilar grandes cantidades de datos de manera muy invisible.
(2) Amenazas competitivas del mercado
Desde el momento en que el producto llega a la tienda minorista hasta el momento en que el usuario lo usa en casa, los productos etiquetados pueden permitir fácilmente que los competidores obtengan las preferencias del usuario. y competir en el mercado competitivo utilice estos datos.
(3) Amenazas a la infraestructura
Las amenazas a la infraestructura incluyen todo el proceso, desde la producción del producto hasta las ventas en mostrador. Esta no es una amenaza específica para la RFID en sí, sino cuando la RFID se convierte en la base de la misma. una empresa Las empresas pueden volverse vulnerables a nuevos ataques de denegación de servicio al bloquear las señales inalámbricas cuando se implementan partes críticas de sus instalaciones.
(4) Amenazas en el dominio de la confianza
Las amenazas en el dominio de la confianza incluyen todo el vínculo desde la producción del producto hasta las ventas en el mostrador de pagos, y no son amenazas específicas a la RFID. Debido a que es necesario compartir una gran cantidad de datos electrónicos entre varios enlaces, un mecanismo de intercambio inadecuado brindará nuevas oportunidades de ataque.
Las amenazas a la privacidad personal incluyen:
(1) Amenazas de comportamiento
Debido a la singularidad de la identificación de la etiqueta, se puede vincular fácilmente a la identidad de una persona. Puedes controlar el comportamiento de una persona monitoreando dónde van un conjunto de etiquetas.
(2) Amenazas relacionadas
Cuando un usuario compra un artículo con una etiqueta EPC, la identidad del usuario puede asociarse con el número de serie electrónico del artículo, que puede ser secreto o incluso secreto. involuntario.
(3) Amenazas de ubicación
Colocar lectores secretos en ubicaciones específicas puede generar dos amenazas a la privacidad. Una es que si el agente de monitoreo conoce la etiqueta asociada con el individuo, entonces los individuos con etiquetas únicas pueden ser monitoreados y su ubicación quedará expuesta. La otra es la ubicación del elemento etiquetado (sin importar quién o qué sea) fácilmente expuesto; sin autorización.
(4) Amenaza de preferencia
Al utilizar la red EPC, las etiquetas de los artículos pueden identificar de forma única al productor, el tipo de producto y la identidad única del artículo. Esto permite a los competidores (o a los curiosos) obtener información valiosa sobre las preferencias de los usuarios a un coste muy bajo. Si un adversario puede determinar fácilmente el valor monetario de un artículo, en realidad se trata de una amenaza de valor.
(5) Amenaza de constelación
Independientemente de si una identidad personal está asociada con una etiqueta, varias etiquetas pueden formar una constelación única alrededor de una persona, y un oponente puede crear una constelación única. sin saberlo, su identidad se rastrea utilizando esta constelación en particular, que se rastrea utilizando múltiples criterios como se mencionó anteriormente.
(6) Amenaza de transacción
Cuando los objetos que llevan etiquetas se mueven de una constelación a otra, es fácil inferir lo que está sucediendo entre los individuos asociados con estas constelaciones.
(7) Amenaza de ruta de navegación
Esta es una amenaza a los resultados relacionados. Porque los individuos recopilan elementos etiquetados y luego crean una base de datos de elementos asociados con sus identidades en los sistemas de información corporativos. Cuando tiran estas “migas de pan electrónicas”, su conexión con el objeto permanece intacta. Utilizar estas migajas desechadas puede dar lugar a delitos o algún acto malintencionado.
La duplicación de etiquetas también es una grave amenaza a la seguridad de RFID.