一、資訊安全的防範方法
為使RFID 技術在使用上能同時顧及資料在傳輸過程中的安全性,根據一般 RFID 系統的主要元件,即標籤端、應用端、與中介軟體等,分為標籤資料保護、資料傳輸 防護、作業控管、中介軟體安全等四方面說明RFID 系統應有的安全防範技術。
(一)標籤資料保護
根據美國國家標準與技術局的RFID 安全指南所述標籤資料保護可分為四個方 面,分別為標籤記憶體的存取管制、標籤資料的加密、自毀命令的設定、篡改的防 制等。
1.記憶體的存取管制上,目前許多標籤硬體採取以密碼管制標籤讀寫權力的方 式。一般而言,標籤記憶體存取管制可以避免標籤的內容遭受不當修改,其效 力與密碼管理機制的健全程度有關。
2.在標籤資料的加密方面,由於 RFID 標籤的成本因素,很難在標籤內建加密機 制,RFID 標籤的內容可在寫入標籤前,由 RFID 系統伺服器或 RFID 讀取器先行 加密,以達到資料加密目的。
3.在自毀命令設定方面,RFID 標籤在確定失去再利用價值時,應具備自毀指令終 止該標籤的一切活動,以避免該標籤遭受不當的再利用,造成資訊的流失。
4.在標籤資料篡改防範方面,部份 RFID 標籤在啟動後具有防止篡改的功能,可 避免攻擊者修改或移除標籤內容。較常見的是在 RFID 標籤裡使用易毀損的天 線裝置,一旦標籤被移離其貼附物品,則標籤的電路連結便遭受破壞而使標籤 失去運作能力。此類功能也可用於檢驗該 RFID 標籤所代表的物件是否曾遭受 意外破壞。
(二) 資料傳輸防護
為防止發生對RFID 標籤進行未授權的讀取與寫入及避免系統中出現遭到複製 或修改的RFID 標籤,RFID 系統可利用密碼、雜湊訊息驗證碼、簽章等方式。
1.在標籤密碼保護方面,一般 RFID 標籤內有部份指令須通過密碼認證才能執行,
37
38
採用特殊設計的標籤主要是將標籤透過電路設計,來達成額外的功能或支援特 殊指令而達到保護作用,較常見的有標籤銷毀指令(Kill Command)、標籤休眠指令 (Sleeping Command)以及密碼保護,以下面將進一步說明這些方法。
1.標籤銷毀指令 查詢。必須在標籤接收到讀取器的喚醒(Wake Up)指令之後,標籤才會恢復正 常的運作。與銷毀指令相比,休眠指令比較具有彈性,不需要作廢標籤即可達
39
中,便可以保護商品上的標籤不被讀取。但當受保護之標籤離開阻擋標籤的保 護範圍時,則安全與隱私的問題仍然存在
圖15 和圖 16 為貼有阻擋標籤之護照封套及紙袋,在封套跟紙袋周圍或內部的 標籤即受到保護,任何讀取器將無法讀取這些標籤。
圖15 貼有阻擋標籤的護照封套(資料來源:FoeBuD 網站)
圖16 貼有阻隔標籤的紙袋(資料來源:FoeBuD 網站)
(三)建立密碼機制
以密碼學為基礎的解決方案,通常需要標籤具有基本的運算能力,例如亂數產 生器、互斥或(Exclusive OR, XOR)運算、循環冗餘檢查(Cyclic Redundancy Check, CRC)以及雜湊(Hash)運算,以利採用適當加密機制進行保護,所以相對的硬體成本 也比較高。
三、現行法律上的規範
目前台灣雖尚未有針對RFID 所設計的法令產生,但是仍有部分的法令可以加以
40
規範,以保護個人隱私或是權益,藉由這些法令來規範廠商對於RFID 的使用,避免 侵害隱私權。這些法令包含有電腦處理個人資料保護法、個人資料保護法草案、商品 標示法以及使用者保護法。以下分別簡單介紹這些法令,針對企業使用RFID 時,保 護使用者應有的權益。
(一)電腦處理個人資料保護法第七、八、十八及二十三條以及個人資料保護法草案規 定公務或非公務機關對個人資料之利用或處理必須經當事人書面同意,不得侵害 當事人權益,因此可以用來規範廠商透過RFID 收集個人資訊。由於 RFID 技術 存在著隱私侵犯的問題,而目前安全的保護方式也較不明確,因此事先向使用者 告知商品使用RFID 技術,被認為是一種有效的保護使用者的方式。
(二)根據商品標示法第九條第五項的規定,商品於流通進入市場時,生產、製造或進 口商應標示下列事項,除了商品名稱、生產及製造商資料、商品內容以及製造日 期外,其他則依中央主管機關規定之應行標示事項。因此當企業使用RFID 技術 時,主管機關可以要求廠商標示相關資訊,讓使用者知道商品含有RFID 標籤,
以保障使用者隱私權。
(三)在使用者保護法第十四條第四項提及,定型化契約中若有明顯不利於使用者之情 形者,視為違反平等互惠原則。所以當使用者認為企業使用RFID 技術對於自身 權益有所損害時,可以透過使用者保護法向商家拒絕使用RFID 技術,以保護使 用者應有的權益。
四、國外相關的規範與草案
目前越來越多人已經注意到RFID 科技使用上的疑慮,許多注重隱私權的團體開 始發動抵制使用RFID,並要求制訂相關法令規範,這些法令的目的即是規範企業對 於RFID 技術的使用,以及保障使用者在面臨廠商使用 RFID 技術時,相關權益的確 保。以下介紹幾項RFID 有關的規範:
(一)美國電子隱私資訊中心(Electronic Privacy Information Center, EPIC)的 RFID 使用 指導綱領明白律定廠商在利用RFID 技術時,必須標示的相關責任、不應該有的 行為、以及使用者應有的權利。
(二)電子權利法草案(Electronic Bill of Rights)主張禁止在未告知使用者的情況下收 集、儲存和公開透過RFID 技術獲得的資訊,並且需事先徵得使用者的同意,才 得以開啟RFID 設備。
(三)RFID 權利法草案(RFID Bill of Rights)主要提出使用者在商家使用 RFID 的情況下 應享有的權利。
41