معرفی مدل نه وجهی FAST MEDIC برای تهدیدات امنیتی در RFID
Introduce FAST MEDIC Nonagon Model for Security Threats
in RFID
دانشگاه آزاد اسلامی - واحد نجف آباد
بهرنگ برکتین ( عضو هیات علمی دانشگاه )
چکیده :
در این مقاله تلاش بر آن است که یک مدل ساختار یافته از تهدیدات امنیتی موجود در RFID ارایه گردد. در ابتدای بحث به تعریف مفاهیم اصلی و کلیدی در RFID پرداخته و سپس با معرفی انواع تهدیدات موجود در قالب یک مدل مدون شده به بررسی پیشنهاداتی برای حل این نوع تهدیدات می پردازیم. این مقاله شامل یک طرح 9 نکته ای برای بررسی انواع تهدیدات در قالب یک مدل ساختار یافته به نام FAST MEDIC[1] است که در آن حالات مختلف تهدید برای سیستمهای RFID مورد تجزیه و تحلیل قرار می گیرد. بعبارتی در این مقاله هدف اصلی بررسی تهدیدات بالفعل یا بالقوه در تکنولوژی RFID است و سعی بر آن شده است تا با ارایه راه حلهای بالقوه گامی در جهت مقابله با این تهدیدات و در نهایت آسایش خاطر استفاده کنندگان آتی از این ابزار برداشته شود. در مورد امنیت در RFID تحقیقات مختلفی صورت پذیرفته که در این مقاله از برخی آنها بعنوان راه حلهای موجود استفاده شده است.
واژه های کلیدی:
کد الکترونیکی محصول (EPC) [2] ، برچسب (Tag) ، برچسب خوان (Tag Reader) ، RFID[3] و حریم خصوصی(Private Limits).
[1] شفابخش فوری
[2] Electronic Product Code
[3] Radio Frequency Identification
مقدمه :
RFID اشاره به یک نوع خاص تکنولوژی است که جایگاه ویژه ای را در مباحث تجاری ، اجتماعی ، اقتصادی و حتی گاه سیاسی باز نموده و در آن هوشمندی بالفعلی نسبت به سایر روشهای مشابه وجود دارد. هدف از معرفی RFID ساخت یک بستر مطمئن و راحت برای آسودگی امر تجارت بوده که در آن فروشنده به راحتی تراز کالای خود را داشته باشد و مشتری نیز بتواند در اسرع وقت خرید خود را انجام دهد. هر چند امروزه جایگاه RFID در مسائل دیگری همچون ردیابی افراد، شناسائی سارقین فروشگاهی و از این قبیل بیشتر از هدف اصلی آن نمود پیدا کرده است ، اما باز هم می توان گفت اصلی ترین دغدغه انسان در این تکنولوژی روند تجارت است.
این فناوری با سرعت چشمگیری در حال رشد و توسعه بوده و بالطبع هر نوع تکنولوژی با این سرعت رشد گاها دچار نواقصی نیز می باشد که مهمترین آن بحث امنیت است. RFID در مقایسه با سایر ارتباطات بی سیم مانند Bluetooth و WLAN از یک ساختار سازماندهی تر شده و هوشمندتری برخوردار است ، اما این ساختارمندی و هوشمندی به نوبه خود نقطه جالب توجهی برای تهدید کنندگان امنیت در آن به حساب می آید. ما توسط RFID می توانیم موجودی محصولات خود را به راحتی کنترل نموده و مشتریان را تنها با عبور دادن لحظه ای از مقابل یک برچسب خوان رادیویی راضی و خوشحال از فروشگاه بدرقه نمائیم، بدون این که وی را مجبور کنیم دقایقی را پشت صف های طولانی محاسبه قیمت کالا به انتظار بایستد.
در این حین همانگونه که ذکر شد برخی از سازمانها مانند Metro Group یا DOD[1] ایده های جاه طلبانه ای را برای به کار گیری این فناوری نوین در ذهن خود پرورانده اند. بعنوان نمونه می توان به وجود تراشه هائی برای ردیابی محصولات خاص در اتوبانهای کشورها اشاره نمود که گاه این نقض حریم خصوصی شرکتهای تجاری است.
RFID مزایای بیشماری را در زندگی روزمره ما بوجود آورده است. بعنوان نمونه می توان به موارد زیر اشاره نمود :
1- تسهیل در امور خرید توسط مشتریان در مراکز خرید که حتی باعث صرفه جوئی در وقت می شود.
2- کاهش تهدید دزدی کالا در مراکز خرید که خود باعث کاهش جرمهایی از این دسته می گردد.
3- استفاده بعنوان شناسه در گذرنامه افراد بطوریکه کنترل ورود و خروج اتباء داخلی و خارجی را ساده می سازد.
4- کنترل کالاها در حمل و نقل بین شرکتها هنگام تحویل در گمرک و یا انبارها
5- کنترل بهتر ترافیک وسایل نقلیه اعم از اتومبیل ها ، قطارها و هواپیماهای باربری
6- و مواردی دیگری از این قبیل مانند امکان توسعه پرونده های الکترونیکی برای بیماران در مراکز درمانی
در واقع RFID نسل بعدی بار کدهائی[2] است که بر روی کالاهای تجاری استفاده می شود و مزایای زیادی نسبت به آن دارد. بعنوان نمونه :
1-هیچ نیازی به قرار گرفتن بارکدخوان دقیقا روبروی برچسب نیست.
2-برچسب های RFID بهتر می توانند بر روی کالاها نصب شوند و نصب آنها در محل خاصی الزامی نیست.
3-برچسب های RFID از فواصل طولانی تری نسبت به بارکدها قابل خواندن و دسترسی هستند.
4-برچسب های RFID چندین بار قابل خواندن/ نوشتن می باشند، در حالیکه بارکدها یکبار مصرف هستند.
5-نیازی نیست برای خواندن برچسبهای RFID افراد را دقایقی وادار به توقف در بخش بارکدخوان نمود.
در RFID دو نوع برچسب وجود دارد که عبارتند از [1] :
1- Active Tag[3] : این نوع برچسب دارای منبع انرژی داخلی بوده و می تواند به راحتی از خود سیگنال تولید نماید. از لحاظ کاربرد بسیار پر مصرف بوده اما قیمت بالائی دارد.
2- [4]Passive Tag : بر خلاف نوع فعال دارای منبع انرژی داخلی نبوده و باید توسط یک برچسب خوان تحریک شود تا بتواند اطلاعات خود را ارسال کند.
اما نکته ای که وجود دارد این است که تنها نباید نکات مثبت این تکنولوژی را مشاهده کرد و چشمانمان را بر روی نکات منفی آن ببندیم. واقعیت این است که در RFID نیز همچون سایر تکنولوژیهای موجود تهدیداتی وجود دارد که اگر با دقت نظر به آنها نگاه نشود آنچنان اثرات مخربی از خود به جای خواهد گذاشت که همه ما روزی عطای آن را به لقایش خواهیم بخشید. بنابر این بررسی تهدیدات موجود در این تکنولوژی اهمیتی کمتری نسبت به مباحث تحقیقاتی در زمینه رشد آن ندارد. در واقع در RFID با توجه به ماهیت عملکردی آن تهدیدات امنیتی خاصی وجود دارد که در این مقاله سعی بر آن شده است تا این تهدیدات بصورت دسته بندی شده در آمده و در نهایت برای هر یک راه حل بالقوه ای پیشنهاد گردد.
مدل نه وجهی FAST MEDIC برای تحلیل تهدیدات امنیتی در RFID :
امروزه برچسب های غیر فعال، قدرت و توانمندی کافی برای ارسال محتوای اطلاعاتی خود به برچسب خوان ها را ندارند و همچنین قابلیت رمز نگاری چندان قوی در آنها وجود ندارد.[2]
یک فرد یا برچسب خوان هوشمند به راحتی می تواند محتوای برچسب ها ، مثلا عدد EPC ، را خوانده و یا تغییر دهد. با توجه به این که برچسبهای RFID از فواصل چند متری نیز قابل خواندن هستند، این عمل کار چندان دشواری به نظر نمی رسد. بستر RFID از نوع بی سیم است که این خود باعث کاهش امنیت دسترسی به برچسب های آن می شود. هر چند با روشهائی مانند برچسبهای EPC Class1. Gen2 تا حدی امنیت را افزایش داده اند ، اما ایجاد امنیت بالاتر مستلزم افزایش توان و قابلیتهای برچسب ها و برچسب خوان ها بوده که این به نوبه خود بدلیل افزایش هزینه بعنوان یک مانع بر سر راه توسعه فراگیر استفاده از RFID می باشد. همچنین تهدیداتی که بر اساس مهندسی معکوس بر روی این نوع سیستمها قابل پیاده سازی است، نگرانیهائی را در اذهان بوجود آورده که برای مثال می توان به دو دانش آموز آمریکائی اشاره نمود که با همین ترفند روشی را برای خریداری گاز وسایل نقلیه بصورت غیر مجاز بوجود آوردند.[3]
با توجه به مباحث فوق الذکر هم اکنون به بررسی مدل FAST MEDIC برای تهدیدات موجود در RFID می پردازیم. FAST MEDIC سر هم شده حرف اول اصطلاحات زیر است :
1- Follow an Active (ردیابی کاربر) : این نوع تهدید تفاوت خاصی با سایر تهدیدها دارد. زیرا در آن به جای این که بر روی تجهیزات و زیانهای اقتصادی تمرکز شود ، بر روی زیانهای اجتماعی این تکنولوژی تمرکز می شود. در این نوع تهدید به راحتی می توان فردی را بر اساس شرایط خاصی شناسائی نمود و به وی صدمه گاه جانی رسانید.
2- Aggression to Private limits (تجاوز به حریم خصوصی) : این نوع تهدید نیز همچون مورد اول به مسائل اجتماعی این تکنولوژی اشاره دارد. در این نوع تهدید هر فردی با داشتن یک برچسب خوان به راحتی می تواند کلیه اجناس و اشیای برچسب دار داخل حریم خصوصی شما ( مانند خانه ) را شناسائی نموده و در سر فرصت اقدام به سرقت آنها نماید.
3- Spoofing Identity (جعل هویت) : این حالت زمانی رخ می دهد که یک کاربر غیر مجاز خود را بعنوان یک کاربر مجاز به سیستم تحمیل کرده و وارد محیط سیستم می شود.
4- True but False (درست اما غلط) : این نوع تهدید نوع ویژه ای از انواع تهدیدات است که اثرات جانبی آن نمود بیشتری نسبت به خود تهدید دارد. بعبارتی در این نوع تهدید یک کاربر از EPC یک برچسب RFID سوء استفاده می کند ، در حالیکه آن بر چسب کاملا معتبر بوده و متعلق به یک کالای دیگر است.
5- Manipulating of Information (دستکاری داده ها) : این نوع تهدید زمانی بوقوع می پیوندد که فرد غیر مجاز داده ها را خوانده ، تغییر دهد و یا چیزی را به آن اضافه و حذف نماید. این فرد می تواند پس از انجام اعمال مذکور اطلاعات تغییر یافته را به برچسب ارسال نماید.
6- Evident of Information (آشکارسازی اطلاعات) : ساده ترین و در عین حال مهمترین تهدیدی که برای یک سیستم RFID وجود دارد این است که یک فرد در یک محیط به راحتی برچسب های RFID را خوانده و آنها را بر روی یک سیستم ذخیره سازی ، ذخیره نماید.
7- Denied of Process (تکذیب پروسه انجام شده) : در این حالت کاربر اقدامی را که در سیستم انجام داده است انکار می کند و ما نیز شاهد یا روشی برای اثبات انجام آن پروسه خاص توسط کاربر نداریم. انجام این نوع تهدید کار نسبتا ساده ای است، ولی جلوگیری از آن بسیار دشوار می باشد.
8- Inhibition of Normal Service (ممانعت از ارایه عادی سرویس) : این نوع تهدید به صورتی می باشد که حتی کاربران مجاز نیز از دسترسی به سرویسهای سیستم منع می شوند.
9- Change Access Level (تغییر سطوح دسترسی) : در این نوع تهدید کاربر بدون کسب اجازه از مقام بالاتر در سیستم ، حقوق و سطوح دسترسی خود را افزایش داده و سپس تهدید خود را عملی می کند.
برای بررسی یک فرد یا شئی بدون جلب توجه و بطور طبیعی غیر مجاز دو خصوصیت ویژه باید استخراج شود. یکی کد الکترونیکی محصول یا همان EPC که بر روی برچسب RFID ذخیره شده است و دیگری تفسیر نمودن این کد جهت استفاده صحیح از آن، هر چند در جهت سوء استفاده باشد. اکنون پس از معرفی مختصری از این مدل به بررسی جامع تر آن می پردازیم:
1- Follow an Active : همانطور که گفته شد این نوع تهدید تفاوت خاصی با سایر تهدیدها دارد. زیرا در آن به جای این که بر روی تجهیزات و زیانهای اقتصادی تمرکز شود ، بر روی زیانهای اجتماعی این تکنولوژی تمرکز می شود. در این نوع تهدید به راحتی می توان فردی را بر اساس شرایط خاصی شناسائی نمود و به وی صدمه گاه جانی رسانید. یک نمونه تهدید بسیار اساسی ارزیابی یا شناسائی غیر مجاز حرکت روزمره افراد در محیط های کاری می باشد که توسط فن آوری RFID قابل انجام است. در این روش فرد در هر کجای سازمان محل کار خود که حرکت کند، ساعت ورود و خروج و همچنین محلی که از آن تردد نموده است شناسائی شده و در پایگاه داده ای ذخیره می گردد و بالطبع در آینده به راحتی می توان از آن اطلاعات علیه شخص استفاده نمود. این مثال حالتی از بحث شبکه های اجتماعی[5] است که توسط این فن آوری به راحتی قابل کنترل می باشد و در صورت استفاده ناصحیح از آن نوعی تجاوز به حریم خصوصی افراد قابل انجام خواهد بود. مدل این نوع تهدید در شکل 1 آورده شده است.
: پیوستگی تشخیص فرد تفسیر EPC بدست آوردن EPC
جستجو بر اساس EPC بدست آمده
شکل 1 – نمودار ساختار تهدید نوع اول
از آنجائی که EPC از فواصل طولانی حدود 10 متری نیز قابل خواندن و دستیابی است ، بنابراین امکان وجود این نوع تهدید بسیار محتمل می باشد و بدیهی است افراد در برابر آن آسیب پذیر خواهند بود. پس از آن که مهاجم شماره EPC را بدست آورد ، برای تعیین این که چه نوع چیزی را مورد تهدید قرار داده است آن را تفسیر می کند. سپس می تواند خروجی این مرحله را توسط سرویس EPC-IS [6] که بعنوان یک فهرست تلقی می شود به اطلاعات جامعی در خصوص آن شئی یا فرد مبدل گردانیده و در نهایت از آن اطلاعات در جهت منافع شخصی خود سوء استفاده نماید.
سهولت خواندن یک EPC بدون نیاز به حضور فیزیکی در مجاورت کالا یا فرد و عدم جلب توجه فاحش نشان می دهد که این نوع حملات تا چه اندازه به سادگی قابل انجام هستند.اگر فرد مهاجم برچسب خوان را در محلی مخفی کند و سپس با اتصال آن به اینترنت اطلاعات مورد نیاز خود را از این طریق به دستگاه کامپیوتر خودش منتقل نماید، آنگاه خطرناک بودن این نوع تهدید واضح تر قابل بیان است. در واقع ما هیچ سناریوی تخصصی و مهندسی شده کاملی برای حل این معظل نداریم. اما یافتن ابزار یا روشی برای کاهش خطر این نوع تهدید که در آن از برچسبهای RFID بطور غیر مجاز استفاده می گردد ، ضروری به نظر می رسد.
روش پیشنهادی برای جلوگیری از تهدید نوع اول :
همانگونه که از شرح تهدید مشخص شد این نوع تهدید علاوه بر زیانهای اقتصادی، عواقب صدمه های اجتماعی را نیز به دنبال دارد. یک راه حل ساده برای حل این مشکل غیر فعال کردن برچسب های استفاده شده پس از خواندن می باشد. در صورتیکه نیاز به فعال سازی مجدد این برچسب ها باشد ، می توان توسط الگوریتمهای تعیین هویت و بصورت محرمانه این کار را انجام داد. اما مشکلی که این روش دارد این است که برگشت کالاهای خریداری شده از مراکز خرید را سخت می کند. همچنین اجرای دوره ضمانت محصولات نیز تقریبا غیر ممکن می شود. زیرا ما نمی دانیم آیا این محصول همان محصولی است که از فروشگاه ما خریداری شده است یا نه. اما روش کاراتر این است که تبادل اطلاعات بین برچسب ها و برچسب خوانها را بصورت رمز نگاری شده انجام دهیم. در این روش برچسب خوان با ارسال درخواست، شماره EPC را بدست می آورد ، اما در مرحله تفسیر آن این شماره را با یک کد پیش فرض و از قبل تعیین شده توسط صاحب اصلی برچسب ترکیب کرده و شماره EPC نهائی و بعبارتی واقعی را بدست می آورد. جهت اطمینان بخشی بیشتر می توان در برچسب ها این مورد را تعبیه نمود که تعداد دسترسیهای متوالی برای خواندن یک شماره EPC در هر دقیقه محدود باشد. این روش در کنار روش پیشنهادی کمک می کند تا اگر مهاجمی بخواهد پیش کدهای متعددی را برای تفسیر شماره EPC بصورت Online آزمایش کند، سیستم وجود مهاجم را تشخیص داده و اعلام خطر نماید. هر چند مهاجم می تواند شماره EPC را خوانده و بعدا سر فرصت پیش کدهای مختلفی را بر روی آن آزمایش کند. در این حالت نیز می توان در خود برچسب تعداد دفعات خواندن در یک بازه زمانی مشخص را محدود نمود. از طرفی ساخت چنین برچسب هائی مستلزم هزینه زیادی است و این خود باعث کاهش استفاده عمومی از فن آوری RFID می گردد ، هر چند جائی که کالای با ارزشی مانند جواهرات وجود داشته باشد، مقرون به صرفه به نظر می رسد.
اگر چه این نوع تهدید گاها توسط برخی از دولت ها و یا سازمانهای امنیتی بعنوان یک ابزار مفید جهت ردگیری مجرمین مطرح می باشد ، اما واقعیت این است که به راحتی می تواند در اختیار افراد سودجو نیز قرار گیرد. مراکز خرید نیز با استفاده از تکنولوژی RFID می توانند مشتریان خود را در فروشگاه ردیابی کنند تا نمودار خصوصیتی[7] از نحوه تردد آنها داشته باشند که این نوعی استفاده صحیح از RFID می باشد و فروشنده را جهت بهبود روشهای فروش کالاهای خود یاری می رساند (Jannasch and Spiekermann 2004) . در پایان این بخش لازم به ذکر است که استفاده از روشهای دیگری نیز مانند قرار دادن کنترل به دست خود افراد پس از خرید محصول با به کارگیری یکی از روشهای Hash-Lock نیز امکانپذیر می باشد(Engles,Rivest et al. 2003;Spiekermann and Berthold 2004) .
2- Aggression to Private limits : در تعریف ابتدائی عنوان شد که این نوع تهدید نیز همچون مورد اول به مسائل اجتماعی این تکنولوژی اشاره دارد. در این نوع تهدید هر فردی با داشتن یک برچسب خوان به راحتی می تواند کلیه اجناس و اشیای برچسب دار داخل حریم خصوصی شما را شناسائی نموده و در سر فرصت اقدام به سرقت آنها نماید. در بحث تهدید نوع اول بطور کامل بر روی آسیبهای این نوع حملات صحبت کردیم. در این بخش هدف آن است که با ارایه مثالهائی نشان دهیم که این نوع تهدید چه آسیبهای خاصی به افراد جامعه می رساند و سپس راه حل بالقوه ای را برای آن بررسی کنیم.
ساختارهائی مانند Auto-ID Centre Data و سیستمهای اطلاعاتی مرتبط به آن روشی برای نگهداری اطلاعات برچسب های کالاها و موقعیت آنها می باشند(Harrison, Moran Et al. 2003;
مثالی از این نوع تهدید می تواند بدین صورت باشد که فردی در پشت درب آپارتمان خود که در مجاورت آپارتمان شما قرار دارد یک دستگاه برچسب خوان را قرار دهد و هر بار که شما با کیسه ای پر از خرید بر می گردید ، لیست کالاهای خریداری شده شما را خوانده و در صورتیکه شما کالای با ارزشی را خریداری کرده اید و به خیال خود در جای امنی در کیف یا لباس خویش جاسازی نموده اید ، وی متوجه آن کالای ارزشمند شود و با طرح نقشه ای ساده این کالا را از آپارتمان شما بردارد. آسیبهای جدی دیگری که توسط این نوع تهدید قابل انجام هستند عبارتند از بازیابی شماره گذرنامه ، گواهینامه ، کارت اعتباری و مواردی از این قبیل که همگی به خودی خود اهمیت خویش را نشان می دهند و تهدید نسبت به آنها کاملا جدی شمرده می شود.
روش پیشنهادی برای جلوگیری از تهدید نوع دوم :
برای جلوگیری از بروز این نوع تهدید نیز روشهایی مانند غیر فعال کردن برچسب برای جلوگیری از تهدید قابل استفاده می باشد. همچنین می توان برای برچسب ها یک محدوده زمانی جهت پاسخگوئی به برچسب خوان ها اختصاص داد و بعبارتی برچسب پس از یک بازه زمانی بعد از خروج از فروشگاه به خودی خود غیر فعال شود. به این نوع برچسب ها برچسبهای زمانی گویند. روش دیگر آن است که ردیابی اطلاعات برچسب ها توسط واسطه EPC Network قابل انجام باشد و در صورتیکه هویت درخواست کننده معین نگردد، مبادله اطلاعات نیز میسر نباشد[2] . این مبادله می تواند بصورت رمزنگاری شده نیز باشد که مستلزم ایجاد بسترهای لازم است.
اما راه حل پیشنهادی این است که با ساخت یک روکش خاص و چسباندن آن بر روی برچسب کالاهای خریداری شده محدوده انتشار امواج در آنها را کنترل نمود و محدودتر کرد. در این صورت برچسب ها از هر فاصله ای قابل خواندن نیستند. میزان تضعیف انتشار امواج در این روش می تواند بستگی به نوع کالا و محیط انتقال آن متغیر باشد. برای مثال برای کالاهای بسیار ارزشمند می توان فاصله مجاز خواندن برچسب را به یک متر کاهش داد.شکل دو نحوه بروز این نوع تهدید را نشان می دهد.
تشخیص شئی تفسیر EPC بدست آوردن EPC استفاده از EPC-IS خواندن اطلاعات برچسب
شکل شماره 2 – نمودار نحوه انجام تهدید نوع دوم
3-Spoofing Identity : ذکر شد این حالت زمانی رخ می دهد که یک کاربر غیر مجاز خود را بعنوان یک کاربر مجاز به سیستم تحمیل کرده و وارد محیط سیستم می شود. در این تهدید مهاجم با اسکن[8] نمودن برچسبهای EPC توسط یک برچسب خوان و مرتب سازی آنها لیست اقلام موجود در یک مکان خاص را بدست می آورد. علت آسان انجام شدن این تهدید این است که اغلب برچسب ها به راحتی به هر برچسب خوانی اطلاعات خود را ارسال می نمایند. طریقه اعطای شماره EPC به هر مرکز خرید یا فردی روال نسبتا معینی دارد، لذا بدست آوردن شماره برچسب اقلام کار پیچیده ای به نظر نمی رسد. مهاجم پس از آنکه روال شماره گذاری را بدست آورد خود را بعنوان یک کاربر مجاز به [9]ONS و IS[10] مربوطه معرفی می کند.
سپس مهاجم به سادگی می تواند انواع درخواستهای خود را به ONS ارسال نموده و پاسخهای لازم را دریافت نماید. در پایان این پروسه مهاجم لیست کاملی از اقلام و شماره EPC های آنها را در یک پایگاه داده ذخیره نموده و بر حسب نیاز از آنها سوء استفاده لازم را بعمل می آورد. گاهی اوقات هم مهاجم طوری خود را به سیستم معرفی می نماید که همه تصور می کنند وی یک ONS واقعی درون سیستم است و با این کار به سادگی می تواند اطلاعات مورد نیاز خود را در مورد شماره های EPC جمع آوری نماید.
روش پیشنهادی برای جلوگیری از تهدید نوع سوم :
برای جلوگیری از بروز این تهدید می توان ارتباط بین برچسب خوان و برچسب ها را بدین صورت اصلاح نمود. یک برچسب خوان با ارسال درخواست خواندن اطلاعات همراه با یک پیش کد که از قبل تعیین شده، از برچسب می خواهد که اطلاعات خود را ارسال کند. اگر برچسب پیش کد اشتباهی را دریافت کرد اطلاعات خود را ارسال نمی کند. اما اگر پیش کد صحیح بود توسط یک تابع ترکیبی[11] شماره EPC را با آن ترکیب کرده و یک کد رمز شده تولید می نماید. این کد فقط توسط برچسب خوانی قابل رمزگشایی است که خود پیش کد از پیش تعیین شده را می داند. لازم به ذکر است که پیش کد می تواند در دل یک رشته اطلاعاتی قرار بگیرد ، بطوریکه فقط برچسب و برچسب خوان می دانند از کدام نقطه رشته و به چه اندازه ای پیش کد قابل استخراج است (برای مثال از محل 27 رشته از سمت چپ به اندازه 12 کاراکتر) . پیاده سازی این روش مستلزم وجود برچسب های قابل برنامه ریزی است. در مورد رابطه بین ONS و برچسب ها نیز پیاده سازی این روش بانضمام وجود پروتکلهای تعیین هویت راه حل مناسبی است.
4-True but False : گفتیم که این نوع تهدید نوع ویژه ای از انواع تهدیدات است که اثرات جانبی آن نمود بیشتری نسبت به خود تهدید دارد. بعبارتی در این نوع تهدید یک کاربر از EPC یک برچسب RFID سوء استفاده می کند ، در حالیکه آن بر چسب کاملا معتبر بوده و متعلق به یک کالای دیگر است. در این نوع تهدید مهاجم قصد سوء استفاده از یک برچسب را دارد. فرض کنید مهاجمی برچسب اسلحه شما را بخواند و سپس با جعل آن بر روی اسلحه خود وارد مکانی شده و فردی را به قتل برساند. روشن است که در انجام تحقیقات پلیسی چه کسی را مضنون اول قلمداد می کنند. در این نوع تهدید مهاجم نیازی به بدست آوردن اطلاعات جامع از سیستم ما ندارد و می تواند توسط یک برچسب خوان کوچک هم هدف خود را دنبال کند. گاهی اوقات ممکن است فردی برچسبی را که در مالکیت خود وی است بعنوان برچسب چیز دیگری جعل کند و توسط شخص دیگری هدف خود را انجام دهد. اگر بخواهیم این نکته را بر اساس مثال آورده شده بیان نمائیم می توان گفت که شخص برچسب اسلحه خود را بر روی اسلحه فرد دیگری جعل کند و سپس در حالیکه با اسلحه خود در میان ده ها شاهد نشسته است، فرد سومی با اسلحه دیگری اما با EPC اسلحه وی به قتل برسد. این فرد ضمن رد اتهام بدلیل وجود شاهد ، اشتباه را به گردن برچسب خوان ها انداخته و دفعات بعدی خود مرتکب جنایت می شود و چون دفعه قبل رد اتهام شده و تقصیر به گردن سیستم RFID افتاده ، این بار نیز آن شخص مدعی می شود که بیگناه بوده است.
روش پیشنهادی برای جلوگیری از تهدید نوع چهارم :
روشی که برای جلوگیری از این نوع تهدید وجود دارد شبیه به راه حلهای ارایه شده در موارد قبلی است. اما اگر بخواهیم راه حل خاصی را برای آن ارایه دهیم می توان به این روش اشاره نمود که بدنبال رد برچسب مذکور در مکانی دیگر گشت و اگر در یک بازه زمانی[12] نزدیک دو برچسب در دو مکان مختلف تشخیص داده شد، اعلام خطر به هر دو حامل برچسب ارسال گردد. همچنین می توان با ایجاد شبکه گسترده شناسائی برچسب ها[13] رد کلیه آنها را در یک سرور مرکزی قوی و یا به روش سلسله مراتبی در سرورهای مختلف نگهداری نمود. پیاده سازی این روش با کمک توپولوژیهای شبکه ای و انتقالات مبتنی بر مدل سلسله مراتبی[14] نیز قابل انجام می باشد.
5-Manipulating of Information: در تعریف این نوع تهدید آورده شد زمانی بوقوع می پیوندد که فرد غیر مجاز داده ها را خوانده ، تغییر دهد ،ا چیزی را به آن اضافه و یا از آن حذف نماید. این فرد می تواند پس از انجام اعمال مذکور مجددا اطلاعات تغییر یافته را به برچسب ارسال کند. این تغییر اگر در یک برچسب مهم مانند شناسنامه یا گذرنامه رخ دهد منجر به دستگیری فردی بیگناه در گیت خروجی یا ورودی مثلا یک فرودگاه می شود. حالت دیگر این است که مهاجم برچسب کالاهای گران قیمت را با برچسب کالاهای ارزان قیمت عوض نماید و یا بطور عمدی در برچسبهای معمولی یک فروشگاه تغییر ایجاد نماید تا صاحب فروشگاه را در تعیین تراز اجناس موجود خود دچار مشکل سازد. در این حالت مهاجم می تواند با تهدید نوع سوم، خود را بعنوان یک فرد مجاز به سیستم وارد و تغییرات لازم را اعمال کند. گاهی اوقات مهاجم می تواند با وارد کردن صدمات فیزیکی به برچسب ها اثر کار خود را نیز از بین ببرد. همچنین فرد خاطی می تواند خود را بعنوان یک ONS نیز جا بزند و داده ها را بدون جلب توجه از نقطه نظر روال انجام تغییرات ، تغییر دهد.
روش پیشنهادی برای جلوگیری از تهدید نوع پنجم :
EPC Global پیشنهاد می کند که برچسب ها دارای یک فرمان حذف باشند تا در صورت نیاز امکان خواندن اطلاعات آن توسط فرد مهاجم نباشد[3]. روش پیشنهادی این مقاله این است که برای تغییر محتوای یک برچسب نیاز به کسب اجازه از یک سرور مرکزی مانند ONS باشد که با دادن رمز عبور و وجود یک پروتکل حداقل سه مرحله ای تشخیص هویت، که امکان ثبت وقایع در آن وجود داشته باشد ، تغییر اطلاعات برچسب صورت پذیرد. در این روش ایتدا تقاضا کننده تغییر، تعیین هویت می شود، سپس تغییر با ارسال فرمان مناسب انجام شده و در نهایت کل پروسه تغییر ثبت[15] می گردد. لازم به ذکر است که برچسبهای Class 1 Gen1, Class 0 و Class-1 Gen 2 دارای فرمان حذف یا Kill می باشند[4][5].
6-Evident of Information : در تعریف آورده شد که ساده ترین و در عین حال مهمترین تهدیدی که برای یک سیستم RFID وجود دارد این است که یک فرد در یک محیط به راحتی برچسب های RFID را خوانده و آنها را بر روی یک سیستم ذخیره سازی ذخیره نماید. در این نوع تهدید اطلاعات در اختیار یک فرد غیر مجاز قرار می گیرد و فرد می تواند هر یک از حملات نه گانه را بر روی کالا یا فرد صاحب برچسب انجام دهد. شناسائی افراد خاص ، کالاهای ارزشمند ، توطئه علیه اشخاص یا گروه های خاص همگی از عواقب بدست آوردن اطلاعات برچسب ها توسط افراد غیر مجاز است. بعبارتی می توان گفت که این نوع حمله پایه و اساس تمامی حملاتی است که می تواند در RFID وجود داشته باشد. اگر روزی بتوانیم جلوی این تهدید را بطور نسبتا کامل بگیریم ، می توانیم امیدوار باشیم که سایر تهدیدات را نیز تا حدود بسیار زیادی کنترل نموده ایم.
روش پیشنهادی برای جلوگیری از تهدید نوع ششم :
EPC تنها و تنها یک شماره منحصر به فرد و ساده است و روشهای متعددی حتی بطور تصادفی برای تولید آن می توان یافت. نتیجه این نوع تهدید خود مقدمه ای است برای شروع سایر حملات مطرح شده . بنابراین کلیه راه حلهای پیشنهاد شده بالقوه و بالفعل در این مقاله می توانند بعنوان مانعی بر انجام این نوع تهدید باشند.
7-Denied of Process : در این حالت کاربر اقدامی را که در سیستم انجام داده است انکار می کند و ما نیز شاهد یا روشی برای اثبات انجام آن پروسه خاص توسط کاربر یا مهاجم نداریم. انجام این نوع تهدید کار نسبتا ساده ای است، و لی جلوگیری از آن بسیار دشوار می باشد. در این حالت نیز مهاجم می تواند برچسب های موجود را از بین ببرد. در این جا نیز EPC Global همان پیشنهاد استفاده از فرمان حذف را دارد [3]. حتی ممکن است وی اقدام به ایجاد اختلال در سرویس نماید و یا برچسب ها را دچار صدمات فیزیکی کند.
روش پیشنهادی برای جلوگیری از تهدید نوع هفتم :
برای مبارزه با این نوع تهدید همانگونه که ذکر شد مشکلات زیادی وجود دارد. زیرا هر کدام از روشهای مبارزه با این نوع تهدید، خود بعنوان یک مانع بر سر راه ارایه نرمال سرویس مطرح می شوند. برای مثال جهت حفاظت از سوء استفاده در گذرنامه ها آنها را داخل جلدهای آلومینیومی قرار می دهند [6] . هر چند این تمهید روشی مناسب برای جلوگیری از بروز مشکل است ، اما به نوبه خود باعث می شود تا یک برچسب خوان مجاز نیز نتواند به اطلاعات برچسب گذرنامه دسترسی داشته باشد. در واقع گاهی اوقات روشهای موجود خود نقض کننده ارایه سرویس فراگیر و آسان در RFID هستند.
بعنوان یک راه حل پیشنهادی می توان به این روش اشاره نمود که محافظهای هوشمندی ساخته شوند تا در صورت دریافت سیگنالی حاوی کدی خاص، اطلاعات برچسبی که از آن محافظت می کنند را به متقاضی ارسال نمایند.
8-Inhibition of Normal Service : این نوع تهدید به صورتی می باشد که حتی کاربران مجاز نیز از دسترسی به سرویسهای سیستم منع می شوند. در این تهدید مهاجم سعی در ایجاد اختلالات دوره ای در سیستم می نماید و یا آن را شبیه سازی می کند و با اینکار مدیر یا صاحب مرکز خرید را به تحقیق و بررسی علل اختلال وادار می نماید. حال اگر وی فردی عجول باشد برای مهاجم بهتر است. در چنین اوضاعی معمولا افراد کنترل فکری خود را از ترس تهدید سیستمشان از دست می دهند و درست فکر نمی کنند. چنین سیستمهائی دو وضعیت دارند. یا دارای سیستم امنیتی هستند و یا نه. اگر دارای سیستم امنیتی نباشند که مهاجم معمولا مشکل خاصی ندارد و در حالیکه صاحب فروشگاه مشغول یافتن علت اختلال است تهدید خود را عملی می سازد. اما اگر سیستم دارای تمهیدات امنیتی باشد ، بطور عام افراد در چنین لحظاتی سعی در برطرف کردن فوری اختلال ایجاد شده دارند و همیشه سعی می کنند سیستم امنیتی خود را تحت کنترل درآورند و این کنترل اغلب با دوباره راه اندازی کردن تجهیزات سخت افزاری و نرم افزاری سیستم امنیتی شروع می شود. در همین لحظه مهاجم تهدید خود را عملی می سازد. ممکن است مهاجم برای مثال با نصب یک Faraday Cage [16] یا ایجاد اختلال فرکانسی در محیط باعث جلوگیری از ارایه طبیعی سرویس شود.
روش پیشنهادی برای جلوگیری از تهدید نوع هشتم :
شاید ساده و ابتدایی به نظر برسد، اما بهترین کار در چنین مواقعی خونسردی و پیگیری عاقلانه محل انتشار نویزهای[17] مزاحم است که البته نیاز به گذراندن دوره های ویژه نیز دارد. برای مقابله با این تهدید پیشنهاد می گردد در محل نصب سیستم ، تشخیص دهنده های فرکانسی مناسبی نصب شوند و به محض این که تشخیص سیگنال مزاحم داده شد، کل سیستم هشدار را فعال سازد. سپس توسط حسگرهای خود که در جاهای مختلف نصب شده اند شدت سیگنال در هر نقطه را بررسی نموده و توسط یک سیستم ردیاب آخرین محلی که سیگنال مزاحم با شدت بیشتری در آن جا دریافت شده است را گزارش نماید. لازم به ذکر است که می توان از خود برچسب خوان ها نیز برای ردیابی سیگنالهای مزاحم استفاده نمود.
9-Change Access Level : گفته شد که در این نوع تهدید کاربر بدون کسب اجازه از مقام بالاتر در سیستم ، حقوق و سطوح دسترسی خود را افزایش داده و سپس تهدید خود را عملی می کند. کاربری که وارد یک پایگاه اطلاعاتی می شود به راحتی می تواند با مجاز نشان دادن خود بعنوان یک کاربر حقیقی[18] سطح دسترسی خود در پایگاه داده را افزایش داده و تهدیدات خود را عملی کند. همچنین یک مهاجم می تواند با تبدیل خود به صورت مجازی به یک سرور تعیین هویت و یا سیستم ذخیره سازی اطلاعات ، کنترل سیستم را از دست سرور اصلی گرفته و هدف خود را به انجام برساند. حتی وی می تواند در یک بازه زمانی کوتاه با ارسال یک پیام از کارافتادگی[19] برای سرور اصلی ، پیام دیگری را جهت ارسال اطلاعات به تجهیزات موجود در سیستم RFID ارسال نموده و بدون نیاز به تغییر سطح دسترسی خود، عملا یک دسترسی همه جانبه از نوع مدیریتی بر روی سیستم داشته باشد.
روش پیشنهادی برای جلوگیری از تهدید نوع نهم :
روش پیشنهادی برای جلوگیری از این تهدید، پیاده سازی سرویس شناسه تغییر سطح دسترسی در سرور مرکزی است ، بطوریکه اگر سرور مرکزی به هر دلیلی از کار افتاد و یا توسط سرور مجازی مهاجم از مدار خارج گردید، با ارسال پیامی به کلیه تجهیزات اعلام نماید که تا عوض شدن سرور اصلی بطور دستی توسط فرد مجاز از تغییر در پایگاه های اطلاعاتی خود پرهیز نمایند و خود نیز هیچ تغییری را قبول نکند.
نتیجه گیری:
هدف اصلی این مقاله بررسی کاستی ها و نقاط ضعف امنیتی در RFID است که با ارایه یک مدل نه وجهی به نام FAST MEDIC بطور جامع بررسی گردید و برای هر کدام نیز راه حلهای بالقوه ای ارایه شد. بسیاری از این تهدیدات می توانند با بررسی جامع تر و بهتر تا حد زیادی بر طرف شوند. اما آنچه مسلم است انجام این کار باعث کاهش استفاده عمومی تر از این تکنولوژی می شود. زیرا مستلزم افزایش هزینه برای پیاده سازی تجهیزات امن تر و یا تدوین قوانینی است که همه کاربران RFID و حتی همه مردم ملزم به اجرای آن باشند.
به هر حال در این مقاله سعی شده تا راه حلهای بالقوه ای برای کاهش این تهدیدات ارایه گردد و مسلم است که همه آنها در آینده جای تحقیق و توسعه بیشتر خواهند داشت و باید در پیاده سازی عملی نیز با دید کارشناسانه تری بررسی گردند. در این مقاله نشان داده شد که میزان سوء استفاده از این تکنولوژی می تواند تا حد زیادی توسط خود فروشندگان محصولات که از برچسب های RFID استفاده می کنند کنترل شود. همچنین وضع قوانین حقوقی و جزائی برای متخلفین نیز ضروری به نظر می رسد. به طور کل اقدامات بالقوه ای که می توان برای حفاظت در برابر این نوع تهدیدات انجام داد به صورت زیر می باشد :
1- غیر فعال کردن بر چسب هایی که دیگر استفاده نمی شود.
2- فعال کردن بر چسب هائی که غیر فعال شده اند توسط الگوریتمهای تعیین هویت
3- محدود کردن زمان استفاده از برچسب های فعال شده پس از استفاده
4- ارسال و مبادله EPC بین برچسب ها و برچسب خوان بصورت رمز نگاری شده
5- تعویض EPC های برچسب کالاهای مهم پس از طی یک دوره مشخص
6- کنترل رفت و آمدها در یک فروشگاه از روی بررسی شبکه اجتماعی تردد افراد
7- محدود کردن شعاع انتشار امواج رادیویی حاصل از برچسب ها
8- استفاده از محافظ های مناسب بر روی برچسب ها
9- استفاده از الگوریتمها و پروتکلهای تعیین هویت
10- استفاده از سیستمهای تشخیص تهدید در کنار برچسب خوان های RFID
هر چند سازمانهایی مانند OECD[20] تمهیداتی را برای حفظ حریم خصوصی افراد و نحوه دستیابی به اطلاعات برچسب های RFID پیشنهاد داده اند ، اما واقعیت این است که هنوز ما تضمین قابل قبولی که بصورت فراگیر قابل استفاده باشد نداریم و این مهمترین مانع در پیشبرد تکنولوژی RFID و بهره گیری از مزایای آن است. هدف این مقاله بیان این موانع و پیشنهاد روشهای بالقوه ای برای برداشتن آنها بود. در پایان از زحمات جناب آقای دکتر علی اکبر جلالی ، استاد ارجمند و بزرگوار اینجانب ، که برای تهیه این مقاله راهنمائیهای لازم را به اینجانب ارایه دادند ، کمال تشکر و قدردانی را دارم.
مراجع :
[1] Dargan,Gaurav,Johnson,Brian,Pan chalingam, Mukunthan,Stratis,Chris(2004). The use of Radio Frequency Identification as a replacement for traditional Barcoding.
[2] Sara Spiekerman, Holger Ziekow. RFID : a Systematic Analysis of Privacy Threats & A 7-point plan to address them.2006
[3] Juels, A., R. Rivest, and M. Szydlo, "The blocker tag: selective blocking of RFID tags for consumer privacy," in proc. Conference on computer and communication security- ACM CCS, October 2003.
[4] Draft Protocol Specification fo 900 MHz class0 Radio Frequency Identification Tag, Auto-ID Center , MIT, Cambridge , MA, Feb. 23, 2003. Available : http://www.epcglobalinc.org/.
[5] EPC™ Radio Frequency Identity Protocols Class-1 Generation-2 UHF RFID Protocol for Communication at 860 MHz – 960 MHz , ver 1.0.9 , EPCglobal Inc., Jan. 31, 2005. Available: http://www.epcglobalinc.org/.
[6] Schneier, B., "Fatal flaw weakens RFID passports," Wired NEWS, Nov. 2003, pp.1-2.
[1] Department Of Defence
[2] Barcode
[3] برچسب فعال
[4] برچسب غیرفعال
[5] Social Networks
[6] Electronic Product Code-Information Service
[7] Profile
[8] Scan
[9] Object Name Service
[10] Information Service
[11] Compound Function
[12] Time Window Size
[13] Spread Tag Recognition Network : در این نوع شبکه تمامی برچسب خوان ها اطلاعات دریافتی را به نزدیکترین سرور متصل به خود ارسال می کنند و سرورها نیز در یک پنجره بازه زمانی وجود دو برچسب با EPC یکسان را بررسی می کنند.
[14] Hierarchical Model
[15] Log
[16] نوعی برچسب فلزی یا آلومینیومی برای جلوگیری از خوانده شدن برچسب ها که بر روی آنها چسبانده می شود.
[17] Noise
[18] حال می خواهد کاربر واقعی باشد و یا با تهدید نوع سوم خود را یک کاربر واقعی معرفی کرده باشد.
[19] Fail Message
[20] Economic Cooperation and Development Organization for