信息泄露是指暴露标签发送的信息,该信息包括标签用户或者是识别对象的相关信息。例如,当RFID标签应用于图书馆管理时,图书馆信息是公开的,读者的读书信息任何其他人都可以获得。当RFID标签应用于医院处方药物管理时,很可能暴露药物使用者的病理,隐私侵犯者可以通过扫描服用的药物推断出某人的健康状况。当个人信息比如电子档案、生物特征添加到RFID标签里时,标签信息泄露问题便会极大地危害个人隐私。如美国原计划2005年8月在入境护照上装备电子标签的计划[1-2]因为考虑到信息泄露的安全问题而被迟。
RFID系统后台服务器提供有数据库,标签一般不需包含和传输大量的信息。通常情况下,标签只需要传输简单的标识符,然后,通过这个标识符访问数据库获得目标对象的相关数据和信息。因此,可通过标签固定的标识符实施跟踪,即使标签进行加密后不知道标签的内容,仍然可以通过固定的加密信息跟踪标签。也就是说,人们可以在不同的时间和不同的地点识别标签,获取标签的位置信息。这样,攻击者可以通过标签的位置信息获取标签携带者的行踪,比如得出他的工作地点,以及到达和离开工作地点的时间。
虽然利用其他的一些技术,如视频监视、全球移动通信系统(GSM)、蓝牙等,也可进行跟踪。但是,RFID标签识别装备相对低廉,特别是RFID进入老百姓日常生活以后,拥有阅读器的人都可以扫描并跟踪他人。而且,被动标签信号不能切断,尺寸很小极易隐藏,使用寿命长,可自动识别和采集数据,从而使恶意跟踪更容易。
2.2跟踪问题的层次划分
RFID系统根据分层模型可划分为3层:应用层、通信层和物理层,如图2所示。
恶意跟踪可分别在此3个层次内进行[3]。
(1)应用层
处理用户定义的信息,如标识符。为了保护标识符,可在传输前变换该数据,或仅在满足一定条件时传送该信息。标签识别、认证等协议在该层定义。
通过标签标识符进行跟踪是目前的主要手段。因此,解决方案要求每次识别时改变由标签发送到阅读器的信息,此信息或者是标签标识符,或者是它的加密值。
(2)通信层
定义阅读器和标签之间的通信方式。防碰撞协议和特定标签标识符的选择机制在该层定义。该层的跟踪问题来源于两个方面:一是基于未完成的单一化(Singulation)会话攻击,二是基于缺乏随机性的攻击。
防碰撞协议分为两类:确定性协议和概率性协议。确定性防碰撞协议基于标签唯一的静态标识符,对手可以轻易地追踪标签。为了避免跟踪,标识符需要是动态的。然而,如果标识符在单一化过程中被修改,便会破坏标签单一化。因此,标识符在单一化会话期间不能改变。为了阻止被跟踪,每次会话时应使用不同的标识符。但是,恶意的阅读器可让标签的一次会话处于开放状态,使标签标识符不改变,从而进行跟踪。概率性防碰撞协议也存在这样的跟踪问题。另外,概率性防碰撞协议,如Aloha协议,不仅要求每次改变标签标识符,而且,要求是完美的随机化,以防止恶意阅读器的跟踪。
(3)物理层
定义物理空中接口,包括频率、传输调制、数据编码、定时等。在阅读器和标签之间交换的物理信号使对手在不理解所交换的信息的情况下也能区别标签或标签集。
