• 沒有找到結果。

應用角色-情境為基礎的存取控制於 RFID 安全 控管

N/A
N/A
Protected

Academic year: 2022

Share "應用角色-情境為基礎的存取控制於 RFID 安全 控管"

Copied!
82
0
0

加載中.... (立即查看全文)

全文

(1)

應用角色-情境為基礎的存取控制於 RFID 安全 控管

研究生:曾文鈴 指導教授:吳美玉 博士

中華大學資訊管理學系

摘要

近年來 RFID(Radio Frequency Identification)為政府與業界日漸推廣的技 術,由於RFID 可以提供高效率以及多種作業上的便利性,讓許多國家都加入了 研究的行列,然而對於導入RFID 後之企業,其所引發的安全性問題是不可忽視 的,因此必須要有適當的存取控制機制來做管理。而在一般以角色為基礎之存取 控制(Role-based Access Control)方法中,並無法根據使用者相關情境資訊做動 態的調整,故無法符合企業在使用RFID 設備時實際執行的需要。

因此本研究利用情境結合角色為基礎的存取控制機制,將針對RFID 技術的 特性來分析其所需的情境資訊,並設計一套存取規則,讓使用者在使用RFID 設 備的同時,能依據這些情境資訊以及存取規則來做動態的變更,以符合導入RFID 技術之企業的需求,使其在存取控管上能達到更靈活、更機密的安全性管理。

關鍵詞:以角色為基礎的存取控制、無線射頻辨識、情境感知

(2)

Applying Context and Role-based Access Control to RFID Security Management

Student:Wen-Ling Tzeng Advisor:Dr. Mei-Yu Wu

Department of Information Management, Chung-Hua University

Abstract

In recent years, the RFID (Radio Frequency Identification) technology was developed rapidly in many countries due to the convenience and efficiency. When enterprises adopt RFID technology, the security problems follow on RFID cannot be ignored. We should consider the suitable access control mechanisms for RFID. The traditional Role-based Access Control model (RBAC) has not been suitable for the new requirements of access right authorized dynamically according to user’s related context information. In addition, RBAC was unable to satisfy the requirements of using RFID equipments in enterprise.

Therefore, our research combines the contexts according to the characteristics of the RFID technology with Role-based Access Control for RFID security management.

The users’ permissions can be authorized dynamically according to current context and access control rules. Finally, our research will enhance the flexibility and efficiency in enterprise security management with RFID technology.

(3)

誌謝

在這兩年的研究所生活裡,從一開始什麼都不了解,到現在學到許多的知 識,最後也能順利如期完成我的論文,首先最要感謝的就是我的指導教授吳美玉 教授的細心教導,適時的給予我意見,讓我在這些年中受益良多,雖然過程是艱 辛的,但結果是甜美的,經由這兩年的學習與成長,在未來工作上,也能夠更加 得心應手。

除此還要感謝我的口試委員,承蒙葉慈章教授、郭明煌教授以及李之中教授 於百忙之中給予指導,針對我的論文提出寶貴的建議,使論文能更加完善,在此 深表感謝。

另外也謝謝李宗澤、簡其弘、詹智翔和歐家維學長們給予我許許多多的意見 以及想法,以及實驗室的同學馮堯保和林彥廷給予我支持與鼓勵,由於你們的陪 伴,讓我這兩年來的研究生活變得快樂又充實。

最後,我要特別感謝我的家人,因為有你們在背後無怨無悔地付出與支持,

讓我有這個機會可以攻讀碩士學位,沒有你們就沒有今日的我,對於你們,我由 衷地感謝。

曾文鈴 謹致于中華大學資管所

中華民國九十七年七月

(4)

目錄

摘要... I Abstract... II 誌謝...III 目錄...IV 圖目錄...VI 表目錄... VII

第一章 緒論...1

1.1 研究背景與動機...1

1.2 研究目的...2

1.3 研究流程...3

1.4 論文架構...7

第二章 文獻探討...8

2.1 無線射頻辨識(Radio Frequency Identification, RFID)技術 ...8

2.1.1 RFID運作原理 ...8

2.1.2 RFID優勢與限制 ...12

2.1.3 RFID產業應用 ...15

2.1.4 RFID安全與隱私保護 ...18

2.2 存取控制機制...20

2.2.1 存取控制陣列(Access Control Matrix, ACM) ...20

2.2.2 存取控制串列(Access Control Lists, ACLs)...21

2.2.3 隨意性存取控制(Discretionary Access Control, DAC) ...22

2.2.4 強制性存取控制(Mandatory Access Control, MAC)...23

2.2.5 以角色為基礎的存取控制(Role-based Access Control, RBAC) 24 2.3 情境(Context)...29

2.4 情境感知(Context-Aware) ...30

2.5 小結...31

第三章 RFID安全控管 ...32

3.1 現有之RFID安全議題 ...32

3.2 存取控制之選擇...34

3.3 相關情境分析...35

3.4 以角色-情境為基礎的存取控制模型...37

(5)

3.6 小結...47

第四章 系統實作...48

4.1 系統實作環境...48

4.2 系統模型架構...49

4.3 前端系統展示...51

4.3.1 使用者登入...51

4.3.2 角色選取...51

4.3.3 權限選取...53

4.3.4 自動資料查詢...54

4.3.5 手動資料查詢...55

4.3.6 修改商品資料...56

4.4 後端系統展示...56

4.4.1 使用者管理...57

4.4.2 角色管理...59

4.4.3 權限管理...62

4.4.4 標籤管理...63

4.4.5 情境管理...64

4.5 小結...65

第五章 分析與討論...66

第六章 結論與未來研究方向...68

6.1 結論...68

6.2 未來研究方向...69

參考文獻...71

(6)

圖目錄

圖1.1 研究流程圖...6

圖2.1 RFID系統架構圖 ...9

圖2.2 RFID中介軟體之角色 ...11

圖2.3 RFID往正式普及化發展的循環圖 ...14

圖2.4 存取控制串列範例...22

圖2.5 以角色為基礎之存取控制模型...24

圖2.6 角色階層範例圖...27

圖3.1 CRBAC Model...38

圖4.1 系統模型架構...50

圖4.2 使用者登入畫面...51

圖4.3 候選角色選取畫面...52

圖4.4 候選角色變更後畫面...52

圖4.5 權限選取畫面...53

圖4.6 重新選取角色畫面...54

圖4.7 自動詳細資料查詢畫面...55

圖4.8 手動詳細資料查詢畫面...55

圖4.9 修改商品資料畫面...56

圖4.10 管理者登入畫面...57

圖4.11 使用者管理畫面...57

圖4.12 新增角色指派畫面...58

圖4.13 新增使用者畫面...59

圖4.14 角色管理畫面...60

圖4.15 修改繼承角色畫面...60

圖4.16 新增角色畫面...61

圖4.17 權限管理畫面...62

圖4.18 權限管理畫面...63

圖4.19 標籤管理畫面...63

圖4.20 情境管理畫面...64

圖4.21 新增角色時間情境畫面...65

(7)

表目錄

表2.1 RFID應用領域 ...15

表2.2 RFID安全與隱私保護方法 ...18

表2.3 存取陣列範例...20

表3.1 情境分類表...36

表3.2 符號對照表...41

表4.1 系統開發環境平台彙整表...48

(8)

第一章 緒論

無線射頻辨識(Radio Frequency Identification, RFID)技術的應用日漸廣泛,

其應用範圍包括監控保全、廢棄物管理、動物控管、門禁管制、藏書管理,及貨 物控管…等,對於各個不同的應用領域,RFID 技術都可以發揮很大的功效。但 由於RFID 無線傳輸的特性,除了帶來快速和便利的優點外,也帶來許多安全的 疑慮,包括機密性、完整性、可用性、確認性等因素,所以為了確保RFID 標籤

(RFID tag)資料的安全,必須要有適當的保護措施,以增加企業成功導入 RFID 的可行性。本章將先針對本研究之背景與動機、研究目的、研究流程和論文架構 做說明。

1.1 研究背景與動機

由於RFID影響層面廣泛,市場價值又高,且具備單次讀取量大、體積小、

耐久性大、儲存容量大和可重複使用等優點,所以國內外各個廠商也都紛紛投入 RFID的行列,然而目前對於RFID標籤(RFID tag)資料的安全與隱私的探討,

多為針對非法的讀取與竊聽、標籤的複製與仿造和非法的竄改與刪除等問題之研 究[25][32][41][43],都是避免非法存取之相關的安全保護,很少有針對合法使用 者在存取控制方面上的考量,但當企業的控管流程想導入RFID技術時,除了要 預防非法的存取外,對於合法的存取上,也是要加以控管,因為無論利用RFID 於何種企業的控管流程,都會在運作過程中涉及與涵蓋一些重要資訊,其對組織 具有一定的價值與影響,所以不能忽視可能會伴隨而來的安全性問題,像是當使

(9)

權力,畢竟通常會造成企業損失最大的,並非是外部的攻擊者,而是企業內部的 員工[35],不論是無心或是有意的作為,都有可能會造成企業非常大的損害,因 此,便需要有合適的存取控制機制,以增加成功導入RFID技術於企業的可行性。

關於存取控制已有相當多的研究,其中以角色為基礎的存取控制模型

(Role-based Access Control Model, RBAC)方法中[3][11][13][21],利用使用者- 角色-權限之間相互的指派關係,來簡化權限管理的複雜度,讓管理者能夠更容 易管理使用者的權限,然而,隨著科技的進步,現今的使用者已不再受時間、空 間的限制,可透過像智慧型手機(Smart Phone)、個人數位助理(PDA)等可移 動的資訊設備來做存取控管,而傳統的以角色為基礎的存取控制模型,並未考慮 到使用者目前所處的環境是否適合使用原先所訂定規劃的角色及權限,因此可能 會做出不適當的授權。

目前已有學者提出運用以角色為基礎的存取控制機制結合情境(Context)

條件之研究[6][8][33],讓授予使用者角色和權限的同時,能根據當下相關情境做 動態的調整,給予使用者適當的角色和權限。但是,多數根據情境資訊做動態授 權的相關研究,也只是單純的結合時間、地點等情境資訊,並未針對RFID之特 性做探討,故不能符合RFID在存取控制上的需求,所以必須要針對RFID的需要,

加入適合的情境資訊,以因應導入RFID之企業所產生的複雜環境。

1.2 研究目的

本研究主要目的是為RFID 之安全控管所需,提出具情境之以角色為基礎的 存取控制模型,可以根據企業各自使用 RFID 設備上的需要,為每位可能使用 RFID 讀取器(RFID reader)的使用者,規劃其所擁有的角色,及該角色對於各 項具RFID 標籤之物品或資源的存取權限,並藉由研讀 RFID 之架構,探討其所 可能帶來之安全性疑慮,以及各種可能影響存取控制與授權管理之情境資訊,例

(10)

及權限時,還能夠依據RFID 所需之特殊情境資訊,重新規劃其所能扮演之角色 及對於所能存取之相關RFID 標籤物品之權限,以預防使用者濫用權力,確保系 統的安全,讓導入RFID 技術之企業,在資源存取控管上,能達到更靈活、更有 效率的安全性管理。

最後再根據零售業為實作的基礎,以驗證應用具有情境感知之以角色為基礎 的存取控制模型於RFID 之安全控管的可行性,並可使企業在存取控制與授權管 理上能更具彈性與安全性。

1.3 研究流程

本論文主要研究包含研究背景與動機和研究目的、相關文獻收集與研讀、分 析RFID 讀取器於企業所扮演的角色及可執行的權限、分析各種影響 RFID 存取 權限之情境資訊、依據RFID 讀取器於企業所扮演的角色和可執行的權限,及影 響RFID 存取權限之情境資訊,來訂定存取規則以及系統實作,下列將針對這幾 個部份做說明,而完整之研究流程如圖1.1 所示。

(一) 研究背景與動機和研究目的

首先簡單說明本研究的相關背景,以及為何要做這個研究,其研究目的是什 麼,而最後的研究結果會帶來什麼樣的貢獻。

(二) 相關文獻收集與研讀

針對研究主題收集相關的文獻並加以研讀,在此包含了無線射頻辨識技術、

存取控制機制、情境和情境感知等,而在各種不同的存取控制機制中,由於「以 角色為基礎的存取控制」能簡化權限管理的複雜度,且較符合企業實際運作的流

(11)

(三) 分析 RFID 讀取器於企業所扮演的角色及可執行的權限

在本步驟中,將分析企業環境運用RFID 技術於各項之企業流程時,依據所 應用流程中之各項工作與目的間之特性,發掘可能產生的角色以及權限,並分析 這些角色在正常的情況下所能擁有的權限。

(四) 分析各種影響 RFID 存取權限之情境資訊

在本步驟中,將根據使用者本身和RFID 的特性,及其在存取控管上的需要,

分析出各種可能的情境資訊,並從中研究會影響RFID 讀取器存取權限之相關情 境資訊,像是讀取時間、位置、種類…等,最後對情境做適當的分類。

(五) 依據 RFID 讀取器於企業所扮演的角色和可執行的權限,及影響 RFID 存取 權限之情境資訊,來訂定存取規則

根據RFID 讀取器應用於各項企業流程中之需求特性,來訂定滿足權責區分 之授權準則,讓RFID 讀取器所能擔任的角色與可存取的 RFID 標籤物品有一定 的規範,再依據相關的情境資訊,讓RFID 讀取器在任何時間、任何地點,要執 行存取RFID 標籤物品的相關資訊時,能重新依據當時的環境資訊,做出更具彈 性與安全性的存取與授權規範。

(六) 系統實作

在本步驟將以零售業做為實作的基礎,主要分成二部份來進行系統的實作,

首先前端使用者介面是利用VB 6.0 來進行 RFID 讀取器的模擬操作畫面,而後 端管理者介面則利用ASP.NET 網頁程式語言來進行雛型系統的開發,並藉此來 驗證所提出之存取控制模型於RFID 之安全控管的可行性。

(七) 分析與討論

(12)

管,分別以不可否認性、機密性、隱私性和靈活性來做分析,同時也根據學術研 究和實務觀點,來說明本研究對於RFID 在安全控管上之重要性。

(13)

研究背景與動機

研究目的

文獻探討

無線射頻辨識

圖1.1 研究流程圖 以角色為基礎的

存取控制 存取控制機制 情境

角色-情境為基礎的存取控 制於RFID 安全控管

系統實作

結論與未來研究方向 分析與討論 分析RFID 所扮演的

角色及可執行的權限

分析影響RFID 存 取權限的情境資訊

訂定存取規則

(14)

1.4 論文架構

本研究提出一個新的角色-情境為基礎的存取控制於RFID 之安全控管,透 過情境條件的限制以及存取規則的建立,來增加企業導入RFID 技術後之相關的 安全保護。相關章節安排如下:

第一章說明我們注重之RFID 安全控管方向,以及目前存取控制不足之處,

進而探討RFID 之安全控管需將以角色為基礎的存取控制模型加入情境的概念,

並說明新的存取控制要如何讓導入RFID 技術之企業,能在資源存取控管上解決 相關之安全性問題。

第二章針對相關文獻的回顧,主要包含四大領域,分別是無線射頻辨識技 術、存取控制機制、情境和情境感知。而在存取控制機制的選擇上,由於「以角 色為基礎的存取控制」利用使用者-角色-權限之間的指派,較符合企業實際運作 的流程,因此決定選擇「以角色為基礎的存取控制」做為存取控制機制的研究重 心,並藉由研讀相關資料,探討出其能延伸應用之新領域。

第三章則為本研究之重點,主要說明RFID 安全控管的辦法,分析影響存取 控制與授權管理之可能情境,以及提出適用於RFID 之「以角色-情境為基礎的 存取控制模型」,並定義存取規則,做為授權的依據,最後再分析本架構所能達 到之安全性。

第四章為針對所提出之存取控制模型架構所實作之雛型系統,其中以零售業 做為實作的基礎範例,包含系統環境說明、流程架構說明以及畫面展示,藉以說 明本架構的可行性。

第五章將針對所提出之存取控制模型探討其安全性,分別以不可否認性、機 密性、隱私性和靈活性來做分析,同時以學術研究和實務觀點,來探討本研究對

(15)

第二章 文獻探討

本章將針對本研究所會涉及之研究領域做簡單的探討和說明,包含無線射頻 辨識技術、存取控制機制、情境和情境感知,在第一節將探討無線射頻辨識技術,

說明其運作原理、優勢與限制、產業應用和安全與隱私保護;第二節將探討存取 控制機制,包含存取控制陣列、存取控制串列、隨意性存取控制、強制性存取控 制和以角色為基礎的存取控制;第三節對情境做說明;第四節再探討何謂情境感 知;最後一節將對本章做總結。

2.1 無線射頻辨識(Radio Frequency Identification, RFID)技術

RFID 早在第二次世界大戰時,就被做為軍事用途,之後也慢慢被各個不同 的國家用在不同的地方上。然而這樣古老的技術,一直到最近幾年來,才從一個 不被重視的技術到現在成為大家注目的焦點,主要是由於美國百貨業龍頭 Wal-Mart 導入 RFID 技術於庫存和物流系統後,其所帶來的效益和附加價值,讓 RFID 從一個不被重視的技術到現在成為大家注目的焦點。

以下各小節將針對RFID 的運作原理、優勢與限制、產業應用和安全與隱私 保護做詳細的說明。

2.1.1 RFID 運作原理

根據EAN.UCC(European Article Numbering-Uniform Code Council)RFID白 皮書[9]對RFID的解釋為「RFID是自動資料蒐集技術的集合」。不需要實體的接 觸即可做資料交換,是一種非接觸式的自動識別技術,主要是利用無線電波來進 行讀取器(Reader)和標籤(Tag)的資料交換。一套RFID系統是由標籤、讀取

(16)

圖2.1 RFID系統架構圖[29]

而為了讓讀取器和後端應用程式系統能彼此做溝通,此時就需要RFID中介 軟體(RFID Middleware)做為讀取器和後端應用程式系統之間溝通的橋樑。為 了更詳細說明所有的組成元件,以下將分別對標籤、讀取器、應用程式系統和中 介軟體做說明。

(一)標籤

每個RFID標籤都會存放一組唯一的電子編碼,用來代表標籤所貼附的物 體,而最常見的標籤類型分為以下三種:

z 主動式標籤(Active tags)

本身內附有電池,會自行供應電源主動對外發出訊號,雖然讀取距 離較長、記憶體容量也較大,但相對的,單價較高,標籤尺寸也較大,

器及後端應用程式系統所組成[16]。標籤也可以稱為應答器(Transponder),是 用來存放資料的元件,讀取器則用來讀取標籤資料或將資料寫入標籤內,並將所 讀取到的標籤資料傳送至後端應用程式系統中,如圖2.1所示。

RFID Reader

Application

Contactless data carrier=

transponder

Coupling element

(Coil, microwave antenna) Data

Timing Energy

(17)

z 被動式標籤(Passive tags)

內部不會自行供應電源,其利用感應的方式,接收讀取器發出的電 磁波來進行驅動,當標籤收集到足夠的能量時,即可對讀取器發出訊 號,雖然讀取距離較短、記憶體容量也較小,但無需附加電池,而且擁 有標籤尺寸較小、單價低廉、使用壽命長等優勢,通常用過後即拋棄,

因此,成為目前市場的使用趨勢。

z 半被動式標籤(Semi-passive tags)

也可稱為半主動式標籤(Semi-active tags),其運作方式和被動式 標籤很類似,但是多一顆小型電池,用來驅動標籤的晶片,就不用依靠 讀取器所發出的電磁波來進行驅動,但回傳訊號還是要依賴讀取器所發 出的電磁波,這樣才有足夠的的電力來做通訊,因此和被動式標籤比較 起來讀取距離較長、反應速度也較快。

(二)讀取器

RFID讀取器主要包含天線模組(Antenna Module)、射頻模組(RF Module)

和數位模組(Digital Module)這三大模組,其中數位模組擔任著核心的角色,

藉由數位模組對天線模組和射頻模組下達命令,讓天線模組和射頻模組做訊號的 發送、接收和資訊處理等工作,最後再將資料傳送至後端應用程式系統。

(三)應用程式系統

主要可以配合企業的需求,針對RFID讀取器所傳送來的資料做不同類型的 整合運用,像是監控保全、廢棄物管理、動物控管、門禁管制、藏書管理,及貨 物控管等。

(四)中介軟體

(18)

系統中,RFID中介軟體扮演其核心的角色,且應包含四個主要功能,如圖2.2所 示,其詳細說明如下[31]:

z 協調讀取器(Reader Coordination):讓使用者能藉由中介軟體的介面,

對讀取器做監視、部署和發送命令等工作。

z 資料過濾與聚集(Data filtering and aggregation):當讀取標籤發生錯誤 或讀取多餘的資料時,就會利用資料過濾、收集和整合等功能,將正確 的資訊傳送到後端的應用程式系統中。

z 資料路線發送與整合(Data routing and integration):因為公司本身可 能有像企業資源規畫(Enterprise Resource Planning, ERP)這類型的整 合資訊系統,所以希望藉由資料路線發送與整合的功能,讓企業能運作 的更有效率。

z 程序管理(Process Management):讓企業能透過中介軟體做到資料的 監視與啟動的功能。

圖2.2 RFID中介軟體之角色[12]

Tags

Data filtering and aggregation

Reader Coordination

Data routing and integration

Process Management RFID Middleware

Internal database Readers

ERP

CRM

Readers WMS

EPC applications

(19)

由於RFID中介軟體提供一組共通的應用程式介面(Application Interface, API),即使不同類別的讀取器增加,或者是後端的應用程式系統增加,皆不會 影響其運作,省去維護多對多的連結問題。

2.1.2 RFID 優勢與限制

對於零售業而言,和傳統的條碼系統相比,RFID技術能明顯的降低時間和 成本,像傳統在盤點補貨時,必須先逐一巡視賣場,確認要補貨的商品,若是利 用RFID則可以節省人員巡視的時間,根據謝長志學者對RFID應用於零售賣場作 業流程之研究[44],其利用資料蒐集與訪談的方式,來探討零售賣場的各作業流 程,再虛擬設有RFID之零售賣場,並參照賣場統計資料、實際訪談與觀察後所 設計出合理的作業參數,來模擬分析建置RFID前後之作業流程效率上的差異,

以單次盤點補貨時間為例,傳統盤點補貨平均花費的時間為1110秒,而導入RFID 技術後所花費的平均時間為661秒,總計可節省449秒的時間;或是傳統結帳時,

必須先將物品一件一件的搬到結帳台上,再讀取條碼,RFID則不需要做這個舉 動,若以現金禮卷結帳為例,傳統結帳平均交易時間花費為244秒,而導入RFID 技術後,平均交易時間花費為67.1秒,總計可節省176.9秒的時間,由此可見,利 用RFID可以大大的改善工作效率,除此之外,RFID相對於條碼還擁有下列幾個 優點[36][42]:

z 單次讀取量大:利用非接觸式的讀取方式,只要在通訊範圍內的標籤就 能一次讀取完畢,不同於條碼只能單筆資料掃瞄。

z 體積小:由於 RFID 標籤的體積不像條碼那麼大,所以容易配合各種大 小的商品。

z 耐久性:RFID 標籤的材質有防污的功能,就算碰到水、污垢和油墨等 惡劣環境下,都不會影響讀取器讀取資料,所以相較於條碼受到一點髒

(20)

z 穿透性:就算有紙張、本板或是非透明材質等非金屬的東西阻隔,RFID 讀取器依舊能透過這些東西進行通訊,比起條碼不能受到任何一點東西 阻隔才能掃描,RFID 更顯的實用。

z 儲存容量大:RFID 標籤最大的儲存容量最多可儲存數 MB 的資料,和 二維條碼最多也只有幾KB 相比,更能符合未來的需求。

z 可重複使用:由於 RFID 標籤可以重複的讀寫資料,不像條碼印上後就 不能再更改,所以只要未來有完善的回收標籤的程序,就能比條碼更節 省成本。

z 安全性高:RFID 標籤內的資料可以透過加密的措施,保護 RFID 標籤 資料不被非法人士的讀取、竄改和偽造等,條碼則沒有什麼安全性,用 肉眼就能看出。

雖然RFID擁有上列那麼多項的優點,而且也備受好評,但是想要讓RFID如 同條碼一樣的普及化,首先就要面對隨著使用RFID所會產生的限制及爭議,其 說明如下[46][47]:

z 成本高:雖然目前 RFID 標籤的單價有漸漸降低的趨勢,但對於一般經 費有限的企業來說,除了龐大的標籤費用之外,還要面對整套RFID 系 統的支出,這方面的花費也會不少,因此,若想要廣泛的推廣,就必須 能有效的降低成本,才能增加導入的誘因,圖2.3 為RFID 往正式普及 化發展的循環圖,一開始因為過於昂貴所以大家不想使用 RFID,透過 美國百貨龍頭Wal-Mart 表明要導入 RFID,讓 RFID 能因龐大的需求量 而降價,如此一來,就會有更多使用者加入,而價格也就能再更加的降 低,因此就一直這樣循環下去。

(21)

美國Wal-Mart 表 明要導入RFID

RFID 降價、實際成果 和專業知識的累積

「因為很貴所以不 想使用,對於效果 和可信賴度感到不 安」(使用者)

「使用者不多所 以無法降價,無法 累積專業知識」

(廠商)

其它使用者導入 更多使用者導入

RFID 價格更加 降低,累積更多 實際案例與專 業知識

2003 年 6 月

如同雞和蛋 之間的關係

(到2003 年 的年中為止)

圖2.3 RFID往正式普及化發展的循環圖[47]

z 隱私顧慮:如果我們佩帶或購買附有 RFID 標籤的物品,那麼只要有心 人士,例如:非法使用者或合法使用者在非法的情況下,未經本人同意 就竊取標籤資訊,如此一來,不論你身在何處,或是購買了什麼東西,

都會被人監控,也因此沒有任何個人的隱私,而造成消費者的恐懼,進 而降低購買的慾望。

z 讀取率問題:由於 RFID 讀取器具有方向,而且在讀取 RFID 標籤時,

也容易受到週遭環境的干擾,像是當標籤貼在金屬製造的物品上時,就 容易發生訊號干擾的問題,因而無法達到百分之百的資料判讀率,進而 影響廠商使用的欲望。

z 標準未統一:雖然已有 International Organization for Standardization

(ISO)、EPCglobal 和 Ubiquitous ID Center(UID)等組織致力於 RFID 標準的訂定,但目前還未有一個統一的規格,不論是使用頻率、儲存資 料規格,甚至是各家所製造的標籤和讀取器也都無法彼此相互溝通,導 致RFID 在市場推動上產生極大的阻礙。

(22)

2.1.3 RFID 產業應用

由於 RFID 影響層面廣泛,市場價值又高,對於各個不同的領域,RFID 技 術都可以發揮很大的功效,現今RFID 日漸普及,嚴然成為市場趨勢,而國內外 各個廠商也都紛紛投入RFID 的行列,表 2.1 將針對 RFID 在不同的應用領域下,

其具體應用和案例做介紹。

表2.1 RFID 應用領域

應用領域 具體應用 應用案例

門禁管理 進出入口處加裝RFID機制,則 對不具有辨識證的人做阻擋的 動作。

1. 美國通用電氣將貨櫃車加上 RFID之貨物安全上使用。

2. 美國FedEx快遞公司運用 RFID控制車門開闢。

3. 汽車鑰匙在防盜功能上的運 用,如Nissan、BMW等車款。

貨物管理 與零售物 流

透過RFID做自動化無線的貨物 識別,對於貨物可隨時掌握貨物 數量和資料,可達到倉儲、供應 鏈的透明化。

1. Wal-Mart及飛利浦在供應鏈物 流上的運用。

2. 摩托羅拉在貨櫃上的運用。

3. 機場旅客行李運送上使用,如 日本、香港等 。

交通運輸 利用遠距離感應的功能,讓各種 車輛可以在不用停車狀況下,進 行偵測和收費的動作。

1. 高速公路自動收費系統,如香 港和台灣等。

2. 停車場進行自動開柵欄機和

(23)

表2.1 RFID 應用領域(續)

應用領域 具體應用 應用案例

聯合票證 射頻識別卡的功能相當於電子 錢包,實現非現金結算。

1. 捷運悠遊卡。

2. 美國信用卡公司Chase將RFID 信用卡寄送給在紐約和費城 的使用者。

監控 RFID可以對任何會移動的物品 進行監控。

1. 寵物植入RFID晶片記錄身分 2. 富士通在猪隻的身上嵌入

RFID Tag,掌握其健康資訊。

3. 法務部研擬RFID追蹤性侵害 罪犯。

防偽應用 RFID具有獨立ID號碼以及體積 小之特性,可做為更精確的身分 確認。

1. 各國證件結合RFID與生物辨 識防止偽造,如美國身分證和 入境簽證等。

2. 防止偽藥,如偉哥..等藥品。

工業環境 自動控制

主要應用在大型工廠的自動化 作業上,實現自動控制、監視,

提高生産效率,節約成本。

1. 惠普印表機工廠,做為零件組 裝的監控。

2. 大陸鋼廠利用Tag與磅秤結合 的運用,透過無線傳輸來取得 重量。

廢物以及 回收資源

運用RFID將產品從製造、使用 到成為廢物的過程中,都能夠做 長期的監控,並結合更多的附加 價值。

1. 輪胎加上RFID可做即時胎壓 訊息回報,如固特異。

2. 秀傳醫院的廢棄物監控。

(24)

表2.1 RFID 應用領域(續)

應用領域 具體應用 應用案例

學生行蹤 掌握

運用RFID與學生證結合,可對 學生上下學時校門口刷卡,記錄 學生出缺勤。

1. 台北市東門國小、大同高中等 學校。

智慧型貨 架

利用RFID感應隨時掌握商品資 訊,取得資訊後做更進一步的資 料分析。

1. 美國Prada專賣店在每一物品 上貼上RFID Tag,來提供商品 資訊。

軍方應用 軍方RFID的應用包山包海,包 括軍機辨識、彈藥庫控管、士兵 辨識等。

1. 美伊戰爭士兵身分之識別。

2. 美國五角大廈人員與重要文 件的即時監控。

3. 美國國防部有效運用於物資 管理。

醫療應用 利用RFID技術來追蹤病人所在 位置,做為院內感染控制,以及 身分自動辨識核對用藥,提升病 人安全。

1. 三總及萬芳醫院在急診室的 運用。

2. 長庚醫院在開刀房做為身分 確認。

教育與文 化

主要應用在圖書館管理、電子書 城、教育內容管理、文化資產管 理、顯示器上的解說與資訊,實 現自動化借閱及圖書管理,提升 管理效率,降低偷竊損失。

1. 台北市東門國小圖書館。

2. 泰國國家圖書館。

資料來源:吳昭彥、蕭錦華、葉雀惠,2006 電子商務與數位生活研討會[38]

(25)

而未來RFID產業的應用,將朝向越來越小的物件識別,例如:化妝品、美 工刀、立可白等,以及越來越聰明的智慧型標籤邁進,例如:結合感應器、嵌入 式系統等創新產品[46],屆時RFID技術的應用將會更無所不在,融入於我們的日 常生活之中。

2.1.4 RFID 安全與隱私保護

由於RFID無線傳輸的特性,容易帶來許多安全的疑慮,包括機密性、完整 性、可用性、確認性等因素,例如:當RFID讀器取讀取RFID標籤資料的過程中,

可能會遭到非法的截取或竊聽,甚至是RFID標籤內的資料也有可能遭到不合法 的竄改等,都會造成RFID標籤資料安全與隱私的問題,因此目前已有相當多的 研究,在確保RFID標籤資料的安全與隱私,如表2.2所示。

表2.2 RFID 安全與隱私保護方法

保護方法 描述

Killing tags 輸入消滅、除去指令,讓RFID標籤永久失去作用。

Faraday cage 使用一種可以防止無線信號的容器,藉以保護 RFID標籤資料。

Active jamming 利用一種可以主動放送無線信號的裝置,以便妨 礙附近RFID讀取器的運作,以達到保護RFID標籤 的目的。

Sophisticated tags 透過上鎖、加密、更改和操縱資料,以控制RFID 標籤資訊的存取。

Blocker tags 藉由干擾系統來防止RFID讀取器讀取RFID標籤 的內容。

(26)

表2.2 RFID 安全與隱私保護方法(續)

保護方法 描述

Local computation 個人裝置提供使用者傳送自己的識別碼做判斷。

Information management 控制資料庫裡資訊的儲存、流動和處理。

Social regulation 訂定方針和規則來管理隱私資訊的取得和使用。

Clipped Tag 藉由撕掉標籤的天線來降低傳輸距離來增加標籤 擁有者的隱私。

Hash-Lock Protocol 當RFID讀取器讀取RFID標籤時,利用雜湊函數對 資料做運算,以保護資料外洩。

Randomized Hash-Lock Protocol

比Hash-Lock Protocol多增加亂數機制,讓有心人 士無法進行追蹤。

資料來源:[17][18][19][32]及本研究整理

除 此 之 外 , 目 前 已 有 越 來 越 多 文 獻 著 重 在RFID 安 全 控 管 之 研 究 [1][2][5][19][20],除了介紹RFID的相關應用外,還探討其所可能產生之安全性 問題、亦或是提出利用密碼學的方法來保護RFID標籤能不被非法的使用者讀取 等。而各家學者也針對RFID安全控管提出不同的解決辦法,其中,Ayoade等學 者提出一套低成本的RFID授權驗證框架,讓RFID讀取器與標籤之間可互相驗 證,以保護標籤資料的隱私[2];而Konomi與Nam學者則提出利用情境來控制個 人的隱私保護方式,主要是根據隱私政策的描述並結合情境的分類,讓使用者能 有不同的隱私保護[19],不論是何種方法,對於RFID安全與隱私的保護都有其一 定的貢獻。

(27)

2.2 存取控制機制

目前已有相當多關於存取控制機制的研究,其主要的目的就是要限制合法使 用者的存取權限,本章將從最早的存取控制陣列(Access Control Matrix, ACM)、

存取控制串列(Access Control Lists, ACLs),到隨意性存取控制(Discretionary Access Control, DAC)、強制性存取控制(Mandatory Access Control, MAC),一 直到現在的以角色為基礎的存取控制(Role-based Access Control, RBAC),分別 逐一做說明。

2.2.1 存取控制陣列(Access Control Matrix, ACM)

存取控制陣列是一種以二維陣列的方式來表示主體(Subject)對特定之受體

(Object)所擁有的存取權限,為最早被拿來做資料的存取控制方法[24],也就 是說,主體可視為使用者,受體則為檔案、目錄等,而存取權限則是對於這些檔 案或目錄的操作,像是讀、寫和刪除等,如表2.3 所示。

表2.3 存取陣列範例 受體

主體 目錄一 目錄二 資料檔一 資料檔二 資料檔三

喬志 建立

刪除 讀取 讀取

寫入

讀取 刪除

安娜 建立 建立

刪除

讀取 寫入

讀取 寫入 刪除

彼得 建立

刪除 讀取

讀取 寫入 刪除

(28)

根據表2.3 可以得知,在主體的部份,有三個使用者,分別是喬志、安娜和 彼得;受體的部份,則包含目錄一和目錄二,以及資料檔一、資料檔二和資料檔 三;而存取權限則可以透過橫列和直行來查詢。若以喬志為例,其對於目錄一有 建立和刪除的權力,而在目錄二則為空白,表示沒有對目錄二執行任何操作的權 力,同樣的,資料檔一可以被喬志讀取,以及被安娜讀取和寫入,而彼得則不能 對資料檔一做任何的操作。

這種存取控制陣列看似非常的方便,而且淺顯易懂,明確的指出主體和受體 之間在存取控制上的關係,但當主體和受體數量變多的時候,就會在儲存上,造 成很大的浪費,因為若是增加一個權力很小的使用者,他可以存取的受體很少,

那麼就會讓矩陣變的稀疏,亦或是增加一個很重要的資料檔,只有少數的主體能 對它做存取,那也會造成矩陣的稀疏,除此之外,對於矩陣在維護上,也是會隨 著矩陣的擴大而變的困難,因此,並不適用在真實的環境下。

2.2.2 存取控制串列(Access Control Lists, ACLs)

存取控制串列是利用串列(List)的方式來儲存主體(Subject)和受體

(Object),不同於存取控制陣列會造成儲存上的浪費,存取控制串列會將每個 受體都各自獨立串連成一個個串列,讓將會對該受體進行存取的主體串在一起,

並記錄該主體可以對受體所執行的權限[4][22],如圖 2.4 所示。

(29)

目錄一 喬志 建立 刪除

安娜

建立

目錄二 安娜

建立 刪除

彼得 建立 刪除

資料檔一 喬志 安娜

讀取 寫入 讀取

圖2.4 存取控制串列範例

在圖2.4 中,目錄一的存取控制串列,可以得知,使用者喬志和安娜都可以 對目錄一做操作,其中,喬志具有建立和刪除的權限,而安娜則只有建立的權限,

同樣的,若是彼得想對目錄二做操作,那麼就會從目錄二這個存取控制串列做搜 尋,即可查出彼得有包含在目錄二的串列中,並可得知,彼得有對目錄二建立和 刪除的權限。

利用這種以受體為主的方式,雖然可以很快速的得知受體能被那些主體來做 存取,但相反的,如果想要知道某個主體所能存取的受體,就必須對每一個存取 控制串列做搜尋,因此會變的非常麻煩,造成管理者在管理上的困擾。

2.2.3 隨意性存取控制(Discretionary Access Control, DAC)

隨意性存取控制是基於讓資源擁有者成為資源分配者為前提下所提出之存 取控制方法[23],當使用者想對受體(Object)進行存取時,會先根據原先訂定

(30)

統將會拒絕存取。

在隨意性存取控制中,最大的好處就是可以藉由使用者做權限的轉移,讓使 用者彼此之間能互相分享資源,非常具有彈性,例如:使用者喬志被允許讀取安 娜所擁有的資料檔一的權限,此時,若喬志想要將讀取資料檔一的權限和彼得做 分享,那喬志只需要將讀取資料檔一的權限授權給彼得,而不用經過擁有者安娜 的同意。

相對於隨意性存取控制方法的優點,這個方法的缺點是無法確保授權後其它 使用者對於資源分享的狀況,也就是說,今天喬志可能只分享權限給彼得一個 人,但也可能分享給其他一、二十人,你無法預先知道使用者在得到權限後,其 對資源分享的情形,而且每個有權限的使用者對於分享權限的標準也不一,因此 較無法防止機密資料外洩,以及存取權限到處擴散。

2.2.4 強制性存取控制(Mandatory Access Control, MAC)

強制性存取控制不同於隨意性存取控制,讓擁有權限的使用者隨意的將權限 授權給別人,其統一由系統管理者來做權限的控管,會先對每一個主體(Subject)

和受體(Object)藉由標籤(Label)來設定所屬的安全層級(Security Level),

若以重要性來區分,其包含高度機密(Top Secret, TS)、機密(Secret, S)、一 般機密(Confidential, C)和無機密性(Unclassified, U)這四個層級,當使用者 要對資料做存取時,就會根據主體和受體之間的層級來做判斷,除此之外,安全 層級具備了階層的架構,所以強制性存取控制提供了Read Down和Write Up這二 種資料存取的原則[24] ,其說明如下:

z Read Down:表示上層的主體,可以讀取下層的受體。

(31)

RH (Role Hierarchy)

由於強制性存取控制不允許資源擁有者自行對使用者分配存取權限,所以可 以確保資料授權後對於資源分享的狀況,因此非常適用於以安全為第一優先考量 的環境,像是軍事單位的應用上。

2.2.5 以角色為基礎的存取控制(Role-based Access Control, RBAC)

以角色為基礎的存取控制(Role-based Access Control, RBAC)的概念,於 1992 年由Ferraiolo與Kuhn等學者所提出[11],而於 1996 年,Sandhu等學者發表 了完整的「以角色為基礎的存取控制模型」(RBAC Model)[21],如圖 2.5 所示。

而後由美國國家標準與技術局(National Institute of Standards and Technology, NIST)加以收編、整理,訂定一套稱為NIST RBAC的標準[22]。

Role Permissions

圖2.5 以角色為基礎之存取控制模型[21]

在這個以角色為基礎的存取控制模型中,會將使用者指派到適合的角色,再 根據所屬角色來給予適當的權限,也就是不以人為授權依據,而以角色作為授權 依據,讓每位使用者可以擁有多個角色,每個角色也可授權給多個使用者來擔

User

Constraints

●● … ● Sesssions UA (User Assignment)

PA (Permission Assignment)

user

roles

(32)

任,在權限和角色之間亦是如此,藉由這種方式來簡化權限管理的複雜度,讓管 理者能夠更容易的做到安全管理,後續將一一介紹以角色為基礎的存取控制模型 中所包含的各個基本元素、角色階層的特性,以及限制條件,最後再說明其所支 援的安全規範。

(一) 基本元素

以角色為基礎的存取控制模型包含四個主要基本元素,分別是使用者

(User)、角色(Role)、權限(Permission)和會期(Session),以及使用者 指派(User Assignment, UA)和權限指派(Permission Assignment, PA)二個指派 關係,以下將針對各個元素及指派關係做詳細的說明。

1. 使用者(User)

指的是真實世界的使用者,是直接與系統有互動的人。

2. 角色(Role)

可以視為組織中的職務,每一個角色會根據其工作屬性來給予適當的權限,

即透過角色的指派,讓使用者能依據所擁有的角色來執行權限。

3. 權限(Permission)

即系統中對物件的特定操作的許可,像是新增、修改、刪除…等。

4. 會期(Session)

當使用者要存取資源時,需透過會期的建立,才可以使用被允許執行的角 色,且要在會期的期間內,才能執行角色所擁有的權限。而這裡的會期包含了二

(33)

z user function:將每個會期對應到一個使用者,當使用者想執行特定一 個角色時,需藉由會期來進行,而使用者和會期之間是呈現一對多的對 應關係,也就是在一個特定的會期中,使用者只能扮演一個角色,但一 個使用者可以對應到多個會期。

z roles function:將每個會期對應到多個角色,在一個會期中,可以有許 多不同功能的角色一起參與,所以可以有許多不同的角色在同時間一起 進行,在角色和會期之間是呈現多對多的對應關係,也就是在一個特定 的會期中,可以同時執行多個角色,而且每個角色也可以同時給多個會 期來執行。

5. 使用者指派(User Assignment)

即將使用者指派到適合的角色,在使用者和角色之間呈現多對多的對應關 係,也就是說,一個使用者可以指派多個角色,而一個角色也可以指派給多個使 用者。

6. 權限指派(Permission Assignment)

表示將每一個角色給予適當的權限,在權限和角色之間也是呈現多對多的對 應關係,也就是一個權限可以指定給多個角色,而一個角色也可以同時被指定多 個權限。

(二) 角色階層

在以角色為基礎的存取控制模型中的角色階層(Role Hierarchy),可以反映 出組織中的權限和責任之間的關係,藉由利用上層的角色來繼承下層的角色,讓 上層角色不但擁有本身的權限外,還繼承了下層角色的權限,而管理者在做授權 時,可以減少許多重覆的指派動作,其角色階層之範例如圖2.6 所示。

(34)

主管

倉管人員 收銀員

工讀生

圖2.6 角色階層範例圖

工讀生位於角色階層中的最下層,可以得知工讀生所擁有的權限最少,而倉 管人員和收銀員繼承了工讀生的角色,所以除了本身的權限外,還同時擁有工讀 生的權限,最後,主管為最高層級的角色,不但能繼承倉管人員和收銀員的權限,

透過角色階層之間的關係,主管還能繼承了工讀生的權限,因此,這種模式就如 同實際的組織架構,讓以角色為基礎的存取控制能有利於組織做管理。

(三) 限制條件

在以角色為基礎的存取控制模型中的限制條件(Constraints),可以依據組織 中的需求來加入不同的限制條件,但並不會改變最原始的角色指派關係,只會額 外判斷是否接受該角色的指派,例如:互斥角色、使用者數量和前提角色…等 [21],其說明如下:

z 互斥角色(Mutually Exclusive Roles):在分配角色給使用者之前,會先 依照需求來限制某些角色無法同時指派給同一個使用者,例如:為避免 發生舞弊的現象,採購人員角色和驗收人員角色不能由同一個使用者來

(35)

z 使用者數量(Cardinality):即限制角色可指派的人數,尤其是一些較高 職位或是具有特別權限的角色,像是在組織中最高職位的總經理,或是 擁有最高權限的系統管理者等,最好都加以限制可指派的數量,以增加 系統的安全。

z 前提角色(Prerequisite Roles):也就是想要指派某一個角色給使用者 時,該使用者需已擔任過另一個角色,才能將該角色指派給使用者,例 如:在一個賣場中,想要擔任店長的角色,須先擔任過副店長的角色,

由此可知,工讀生的角色即為領班的前提角色。

(四) 安全規範

在以角色為基礎的存取控制模型中,除了基本的操作外,如讀、寫、執行等,

還支援三種常見的安全規範,分別是最少授權、權責區分和資料抽象化,這些皆 能增加系統的安全性,避免使用者不小心或故意,因錯誤的操作而危及系統的安 全,其說明如下[10][21]:

z 最少授權(Least privilege):指提供角色剛好且符合操作的權限,因為 過多的權限不但對實際的運作並沒有太大的幫助,反而會增加系統管理 者在維護時的負擔,而且也可能讓使用者在有心或是無心下,因錯誤的 操作,而危害到系統的安全,因此,給予使用者最少的權限,不但能避 免不必要負擔,還能增加系統的安全性。

z 權責區分(Separation of duties):主要避免權責相衝突的二個角色,操 作同一份資料而產生舞弊,也就是說,要避免某些角色同時指派給同一 個使用者,例如:若採購人員角色和驗收人員角色由同一個使用者來擔 任,則容易產生監守自盜的問題,因此,為了預防這類型的事件發生,

就要做到權責區分。

z 資料抽象化(Data abstraction):利用將實際的資料隱藏在操作之中,

(36)

計系統中,將讀寫資料檔這種語意不清的表示,改成用借、貸來表示,

以輔助使用者了解該操作的真正涵意,才不會因為誤解而產生錯誤的操 作或授權。

而上述的權責區分,又可區分為靜態權責區分以及動態權責區分這二種,其 詳細說明如下[14][15][28]:

z 靜態權責區分(Static Separation of Duties):又可稱為強互斥(Strong Exclusion),表示不能指派給同一個使用者二個相互衝突的角色,以避 免中間有任何可能發生的利益輸送問題,例如開立支票的角色和稽核支 票的角色不能讓同一個使用者來擔任,也就是說,一旦將二個角色設立 為強互斥的角色,則無論如何那二個角色將永遠都不能同時指派給同一 個使用者。

z 動態權責區分(Dynamic Separation of Duties):又可稱為弱互斥(Weak Exclusion),不同於靜態權責區分強硬規定二個相互衝突的角色不能指 派給同一個使用者,而是一個使用者可以同時擁有相互衝突的角色,但 是不能在同一時間點上執行這二個角色,只能在二個角色中選擇其中一 個角色來執行,例如採購人員的角色和驗收人員的角色可以同時指派給 一個使用者,只是在同一時間不能一起使用這二個角色,所以和靜態權 責區分比較起來,較具有彈性,也比較能符合組織實際使用狀況。

2.3 情境(Context)

根據Dey等人對情境的定義[7],情境是「任何可以描述一個個體狀況的資

(37)

訊。而Schilit等人則認為情境應著重在描述環境變化的相關資訊,其中包含三個 重要觀點[26]:

z 你的位置在那?

z 誰跟你在一起?

z 有什麼資源在附近?

Schilit等人並將情境分類為位置(Location)和身分(Identity)二大類[27],

雖然不同的學者對於情境都有不同的看法,但所針對的主體是相同的,如果依據 他們對情境的觀點加以分類,可以協助我們按照自己的需求,將情境做適當的應 用。其它如Ryan等人[30]將情境分類為所在位置(Location)、環境(Environment)、 身分(Identity)與時間(Time),而Zhan等學者[34]則根據使用者所使用不同的 設備,當成是不同的情境資訊,像是桌上型電腦、個人數位助理、智慧型手機…

等,依據當時情境資訊的不同,而使網頁上所呈現內容而有所不同。

2.4 情境感知(Context-Aware)

早在1994年Schilit與Theimer提出了情境感知,其對軟體所定義的情境感知為 [27], 「軟體能夠根據它使用的位置來適應其位置訊息,收集附近的人和物件,

而且這些物件根據時間所做的改變」,也就是說,針對所有的人、事、時、地和 物,軟體都能夠依據環境的變化而有其相對應的行動。而Dey等人對情境感知的 定義為[8],「一個情境感知的系統,必須要能根據情境來提供使用者相關的服 務和訊息,而是否有相關則依使用者的任務來做判斷」。

然而對於不同的應用領域,情境感知也會有不同的區別,根據Chen與Kotz 對於情境感知在使用上,分成二種方式[6]:

z 主動式情境感知(Active context awareness):指會自動根據當下的情

(38)

z 被動式情境感知(Passive context awareness):會藉由使用者本身自行 提出新的或更新的情境,再依據使用者的要求回傳給使用者相關資訊。

由上述可以得知,雖然各個學者對於情境感知都有不同的見解,但總體而 言,情境感知就是要能夠跟隨環境的變化而有所行動,不論是主動式的情境感 知,或是被動式的情境感知,都要能適應環境,並做出相對應的回應。

2.5 小結

在本章所提及之存取控制機制,存取控制陣列是很淺顯易懂的存取控制方 法,直接利用二維陣列表示主體和受體的關係;存取控制串列則利用串列的方式 將會對受體做存取的每個主體串在一起;隨意性存取控制則根據存取規則做檢 查,使用者可以自行將權限轉移給其它人;而强制性存取控制雖然也是根據存取 規則做判斷,但不同於允許使用者自行轉移權限,必須統一由系統管理者做控 管;最後以角色為基礎的存取控制和前面四種方法最大的不同,就是不直接對主 體進行授權,而是以角色作為授權的依據,利用這種方式,可以簡化權限管理的 複雜度,讓管理者能夠更容易對使用者的權限做控管。

然而和傳統設備相比,RFID 在使用上較不受時間和空間上的限制,可以隨 意的移動,所以當企業導入RFID 之後,為了在存取控制上能更具有彈性及安全 性,便需要多考量「情境」的因素,再配合以角色為基礎的存取控制,讓授予角 色和權限給使用者的同時,還能動態的調整其所能行使的角色和權限,因此,為 了因應企業導入RFID 後的需求,對於情境和以角色為基礎的存取控制之結合,

也是一項重要的研究議題。

(39)

第三章 RFID 安全控管

本章將針對目前對於RFID 相關之安全議題做探討,並說明我們是如何決定 選擇何種存取控制機制來做RFID 的安全控管,再探討要有效達到 RFID 安全控 管,所需之相關情境分析,最後說明本研究所提出之以角色-情境為基礎的存取 控制模型和存取規則。

3.1 現有之 RFID 安全議題

由於RFID近年來發展迅速,應用範圍包括各行各業,例如:零售業、醫院 和圖書館…等,其利用RFID無線傳輸的特性,可以提高效率以及作業上的便利 性,但如果想要提升使用上的普及率,就必須視相關的安全與隱私為首要解決的 課題,而目前尚未有一套完善的存取控制機制,讓RFID標籤的資料能得到妥當 的保護,因此RFID的安全與隱私便是一個很大的問題,其可能遭受之相關安全 問題及防範辦法說明如下:

z 非法的讀取或竊聽

由於RFID是非接觸式的自動識別技術,即採用無線傳輸方式來進 行資料的傳遞,所以可能會遭到非法的讀取或竊聽,只要有相同規格的 RFID讀取器,就算未經授權,也能收集RFID標籤的資料,或是利用特 殊的裝置來竊聽,都會使得RFID標籤資料在安全與隱私上受到質疑,

而針對這個問題,可以經由設計一套適當的從空中傳播(over-the-air)

的通訊規程,同時採用頻率跳躍(frequency hopping)技術,藉以躲避 竊聽接受器的追蹤[43],並透過一套設計精密的密碼學方法,以確保 RFID標籤資料內容就算被截取或竊聽,也能不被非法的使用者得知其 真正的內容。

(40)

z 標籤的複製或仿造

在RFID標籤的複製或仿造上,由於RFID標籤是由晶片(Chip)與 軟性電路板(FPC)所組合而成的,其複製難度相當的高,幾乎可以說 是不太可行的,尤其是複製被動式標籤,還必須利用外部電源才能發出 訊號給讀取器接收,所以外表也會變得較龐大,利用目測就極容易辨識 出真假[41],除此之外,也可以藉由各種不同的認證程序來進行標籤的 檢驗[25][32]。

z 非法的竄改或刪除

因為RFID標籤是允許重覆的讀寫,也就是可以不限次數的對標籤 做新增、修改和刪除的動作,因此讓不法之徒有機可乘,只要有相同規 格的RFID讀取器,RFID標籤就可能會遭受非法的竄改或刪除,而針對 這個問題,可以利用唯讀的晶片,以防止非法的竄改或刪除,也就能確 保RFID標籤資料內容的正確性。

z 重送攻擊(Replay Attack)

由於RFID採用無線傳輸方式來進行資料的傳遞,所以可能會遭到 非法的讀取或竊聽,進而可藉由將這些蒐集得來的資訊,在適當的時候 重複傳送,便可以成功的偽裝成為一個合法的標籤,導致在這個環節上 會產生安全的漏洞,所以我們可以藉由資料加密的傳送管理機制,以保 障標籤資料在傳輸的過程中,就算標籤資料內容被截取或竊聽,也無法 做重送攻擊之用[37][40]。

z 阻斷服務攻擊(Denial of Service, DoS)

所謂阻斷服務攻擊,是利用傳送惡意的封包,來讓被攻擊的主機無 法繼續正常運作的攻擊行動,而這裡可以利用主動式標籤,並搭配一種

(41)

近乎零,不但可以更加強安全性,也更適合做為大量標籤下的標籤認證 機制[45]。

由上述我們可以看出,目前現階段針對RFID安全議題的探討,多為針對RFID 標籤內容的機密性、隱私性和真確性…等避免非法存取之相關的安全性保護,或 是針對實體設施的破壞之預防,但鮮少有對於合法使用者在存取控制上的考量,

然而當企業想引進RFID技術時,除了要預防非法的存取和攻擊外,對於合法的 存取也是要加以控管,因為通常造成企業損失最大的並非是外面的駭客,而是企 業內部的員工,無論是作業上的疏失、人員的舞弊等等,都會造成企業非常大的 損害,因此本研究將假設RFID標籤資料已受到相關的安全機制的保護,在此只 注重在合法使用者的存取控制上。

3.2 存取控制之選擇

關於存取控制已有相當多的研究,從最早的存取控制陣列(Access Control Matrix, ACM),到隨意性存取控制(Discretionary Access Control, DAC)和強制 性存取控制(Mandatory Access Control, MAC),一直到現在的以角色為基礎的 存取控制(Role-Based Access Control, RBAC),都不能根據企業內部整體的工 作流程管理與執行環境時當下的情境條件做動態的授權,然而和過去傳統設備所 需的存取控制相比,RFID並不會受到時間和空間上的限制,為可移動的資訊設 備,所以傳統的存取控制並不能滿足當企業在導入RFID後,其在存取控管上的 需要,雖然已有研究是針對RFID提出一個以角色為金鑰管理基礎的企業RFID標 籤加密與隱私管理[39],但也只是依照存取角色的不同,而給予不同的權限,藉 以能取得相對應的金鑰與部分內容資訊,並未考量到情境環境的變化,因此無法 提供更具有靈活、效率和彈性的安全性管理,除此之外,也有其它學者提出運用

(42)

予使用者角色及權限時,能根據相關情境資訊做動態的授權,給予使用者適當的 權限。但是,多數根據情境資訊做動態授權的相關研究,也只是單純的結合時間、

地點等情境,並未針對RFID技術的特性來提出適合的情境條件,以因應導入RFID 之企業所產生的複雜環境。

所以本研究提出一個「以角色-情境為基礎的存取控制模型」(Context and Role-based Access Control Model, CRBAC),以角色-情境為基礎的存取控制模型 為以角色為基礎的存取控制之延伸,探討RFID讀取器所能扮演的角色和權限,

在為了避免員工濫用執權以及基於顧客隱私的考量下,加入了情境的概念,並設 計出一套存取規則,讓每位要操作RFID讀取器的使用者都會根據存取規則來指 派適當的角色,透過角色的指派,使用者能依據所擁有的角色來執行權限,也就 是可以對RFID標籤存取的權利,而使用者可行使的角色以及角色可行使的權 限,也能透過結合當下的情境資訊做動態的授權,讓企業在運用RFID技術於內 部資源控管時,能依據企業在導入RFID後所需之情境條件和存取規則動態的調 整所能存取的RFID標籤之物品資訊權限,以避免發生因情境的改變而使用者仍 擁有與目前相衝突的角色及權限,並使企業內部在存取控管上,能更具有彈性與 安全性,或是在持有者的隱私性上,皆能具有提升的作用。

3.3 相關情境分析

為了要讓適用於RFID 的存取控制,能有效達到 RFID 所需的安全控管,情 境條件的設定將會成為動態授權最主要的依據,所以必須針對RFID 存取控管上 的需要,對情境做適當的分類。所以我們根據使用者本身以及RFID 的特性,分 析各種可能影響RFID 存取控制與授權管理之情境資訊,將情境分成四大類,如

(43)

表3.1 情境分類表 情境種類 說明

環境情境 表示任何跟使用者、RFID 讀取器以及 RFID 標籤有關之周遭環 境資訊。

讀取器情境 表示跟RFID 讀取器有關之資訊。

標籤情境 表示跟RFID 標籤有關之資訊。

感測情境

表示跟使用者、RFID 讀取器以及 RFID 標籤所在地的溫度、亮 度及溼度等相關資訊。

根據風險開發公司(Venture Development Corporation;VDC)2007年發表的 RFID報告顯示[31],零售業為RFID最熱門的應用領域之一,可見RFID在零售業 上的應用是具有發展的潛力,以下為了能更詳細說明這四大類情境,其分別所包 含之內容,在此將以零售業為例子來做說明:

(一) 環境情境

像是時間、地理位址等。其中,地理位址資訊又可根據設備及商品來做分類,

若以設備做區分,譬如收銀機、冷氣機、購物車和滅火器…等,而若是以商品分 類來看,則像是超市食品、服裝百貨、寢俱用品及家電用品等。

(二) 讀取器情境

像是讀取器種類和目前是否閒置等。而讀取器種類可用形狀來做區別,譬如 適用於收銀台之平台型讀取器、盤點用之輕巧型讀取器,以及巡視零售賣場之手 持型讀取器等。

(三) 標籤情境

像是標籤類型、用途和目前使用情形等。其中標籤類型可以區分為主動式標

(44)

籤、被動式標籤以及半被動式標籤,而用途可能是用於商品上、設備上又或者是 用在使用者的識別證上等。

(四) 感測情境

其中溫度、亮度及溼度,都可依據所使用之場所,像是零售賣場、倉庫和冷 凍庫等,來設定其所需條件。

因此,我們可以根據上述對情境所做的四大分類,讓企業在使用RFID設備 時,能有動態授權的依據,而且符合使用RFID設備時的需要,以便在安全控管 上,能更有彈性及安全性。

3.4 以角色-情境為基礎的存取控制模型

本 研 究 所 提 出 之 以 角 色 - 情 境 為 基 礎 的 存 取 控 制 模 型 (Context and Role-based Access Control Model, CRBAC),如圖3.1所示。有別於傳統以角色為 基礎的存取控制,其未考量到使用者當下所處環境是否依舊適合預先規劃的角色 及權限,而導致不恰當的授權。因此,在本模型中,主要的概念是當授予角色和 權限給使用者時,會先依相關的情境資訊來做動態的變更,所謂的相關情境資 訊,像是使用者、RFID讀取器,以及RFID標籤等可能影響RFID存取控制之情境,

讓使用者最後所能得到的角色及權限,為當下所需之最少又剛好能符合執行需求 的權限。

(45)

圖3.1 CRBAC Model

)、角色

( Permission)、會期(Session)、限制條件( traint)和情境

( User Assignment)和權限指派

(Permission Assignment)二個指派關係,以下為了能更詳細的介紹其各個元素

(一) 使用者(User, U)

泛指一般會與系統互動的人。而在零售業中的使用者,包含每位會使用到讀 取器的人,都視為一個使用者,像是公司員工、進駐廠商以及客人。

(二) 角色(Role, R)

可以視為組織中的職務,每一個角色會根據其工作屬性來給予適當的權限,

即透過角色的指派,讓使用者能依據所擁有的角色來執行權限。而在此例中的角 色,不單只是在各零售業中已存在的職務角色,還包含外來者角色,所謂的外來 者即除公司員工以外之任何會使用到讀取器的使用者,例如:進駐廠商及客人

User Role Permission Role

Hierarchy Contexts

Constraints

●● … ● Sesssions

UA PA

在以角色-情境為基礎的存取控制模型中,包含了使用者(User

Role)、權限( Cons

Context)六個基本元素,以及使用者指派(

及指派關係,在此也將以零售業為例子來做說明。

等,都需為其設定專屬角色。

(46)

)

就RFID標籤的存取而言,一個角色 所

z

得知部份資訊,除此之外,

z

可以限定讀取器對特定某部份的標籤或

可讀寫標籤資料:總合可讀取標籤資料和可維護標籤資料之說明。

(四)

,當他選擇執行一般使用者角色的 這段期間內,也就不能使用管理者的權限。

(五)

權限指派以及情境參數的設定時,都會使用這 套限制條件,屬於靜態的限制。

(三 權限(Permission, P)

即可對資源存取的權利。在零售業中,

能擁有的權限主要包含下列幾種情形:

可讀取標籤資料:即可得知標籤內容,像是產品種類、成分、重量、製造 日期、有效日期、銷售資訊、製造商…等,而在得知標籤內容方面,又可 區分為允許得知所有產品相關資訊以及只允許

也可根據權限來限定讀取器能讀取的標籤。

可維護標籤資料:即可更改標籤內容,其標籤內容的維護,又可區分為允 許新增、修改或是刪除等動作,並

者是全部的標籤做維護的動作。

z

會期(Session, S)

當使用者要存取資源時,需透過會期的建立,才可以使用被允許執行的角 色,而且要在會期的期間內,才能執行角色所擁有的權限。譬如說,一個賣場管 理者,他同時具有管理者和一般使用者的角色

限制條件(Constraint, C)

主要是根據組織的需求來訂定限制規則。而在此的限制條件是適用在初始 限制,當管理者在做使用者指派、

(47)

情境資訊,將情境分成環境情 境、讀取器情境、標籤情境和感測情境四大類。

(七)

角色時,還需再根據當下的情境資訊做判斷,

才能真正將角色指派給使用者。

(八)

時,還需再根據當下的情境 資訊做判斷,才能真正將權限指派給角色來使用。

3.5 存取規則

行該角色及權限,甚至在存取RFID標籤前,

的需要,對情境做適當的分類。因此,我們根據使用者本身以及RFID 的特性,

分析各種可能影響 RFID 存取控制與授權管理之

使用者指派(User Assignment, UA)

即將使用者指派到適合的角色。在本研究中,除了一開始對使用者指派其所 擁有的角色外,每當使用者想使用

權限指派(Permission Assignment, PA)

表示將每一個角色給予適當的權限。在本研究中,雖然在一開始給予角色應 能執行的權限,但當使用者想使用角色所擁有的權限

在本研究中,為了導入RFID之企業設計一套存取規則,其區分為靜態存取 規則以及動態存取規則。所謂靜態的存取規則,即當管理者為每位會使用到RFID 讀取器之使用者指派其可使用之角色,或是將任一權限分發給角色時,都會根據 這些靜態的存取規則來限制其所能指派之角色和權限,也就是初始的使用者指派 和權限指派限制,而在為這些角色和權限設定其所需之情境參數時,也會根據靜 態的存取規則來限定其所能存在的情境參數集合;在動態的存取規則上,則表示 每位要使用讀取器的使用者,都會受到這套動態存取規則的控管,雖然使用者目 前已擁有管理者所指派的角色及權限,但在要執行所擁有之角色和權限前,會先 檢查動態存取規則,看是否目前能執

參考文獻

相關文件

 無線射頻識別 (Radio Frequency Identification, RFID) 系統近年來越來越普及,應用範圍如供

 無線射頻識別 (Radio Frequency Identification, RFID) 系統近年來越來越普及,應用範圍如供

 無線射頻識別 (Radio Frequency Identification, RFID) 系統近年來越來越普及,應用範圍如供

(Another example of close harmony is the four-bar unaccompanied vocal introduction to “Paperback Writer”, a somewhat later Beatles song.) Overall, Lennon’s and McCartney’s

[3] Haosong Gou, Hyo-cheol Jeong, and Younghwan Yoo, “A Bit collision detection based Query Tree protocol for anti-collision in RFID system,” Proceedings of the IEEE

Security and privacy related literatures [19] focused on methods of preserving and protecting privacy of RFID tags; the RFID reader collision avoidance and hidden terminal

(2) 被動式 RFID Tag(Passive):被動式 RFID Tag 不含電池,其能量是 感應自 RFID Reader 所發射過來的 RF 無線電波能量,當 RFID

Besides, we also classify the existing RFID protection mechanisms to solve the different personal privacy threats in our security threat model.. The flowchart of security threat