آشنایی با فناوری RFID و امنیت آن

RFID نوعی فناوری شناسایی بی‌سیم است که بشدت در حال گسترش دنیای تجارت است. هر روز حدود 5 میلیارد بارکد در جهان خوانده می‌شود. استفاده از برچسب‌های RFID به جای بارکد، می‌تواند در نهایت موجب کاهش بهای کالاهایی شود که این نوع برچسب بر آنها نصب شده است.

نمونه‌هایی از کاربردهای RFID عبارتند از: مدیریت زنجیره تامین، کنترل تردد، مدیریت انبار و اموال و اسناد.

با این فناوری جدید، مشتری سبد کالای خود را برداشته و بدون ایستادن در صف‌های طولانی و یا حتی نشان دادن اقلام خریداری شده به صندوقدار یا نگهبان، از فروشگاه خارج می‌شود. مهمترین خوبی این فناوری کاهش سرقت و محاسبه سریع‌تر تعداد کالاهای موجود در انبار بدون نیاز به کمک نیروهای انسانی است.

مردم در حال اعتماد کردن به RFID هستند. نمونه‌ای خوب برای اثبات افزایش علاقمندی به فناوری RFID، پروژه بانک مرکزی اروپا است که در صورت‌حساب‌های 500 یورویی خود، به همراه بارکد از برچسب‌های RFID نیز استفاده می‌کند. وزارت دفاع امریکا و فروشگاه‌های زنجیره‌ای وال مارت، بزرگ‌ترین مؤسساتی هستند که از تکنولوژی RFID استفاده می‌کنند. همچنین، شرکت مایکروسافت اعلام کرده است که نرم‌افزارهایی را مخصوص برنامه‌ریزی، کنترل و ذخیره‌سازی داده‌های حاصل از دستگاه‌های RFID عرضه خواهد کرد. این نرم‌افزارها، به سیستم عامل windows Server امکان می‌دهد تا داده‌ها را از دستگاه‌های RFID جمع‌آوری و پردازش کنند. از سوی دیگر، آژانس‌های هواپیمایی به منظور ایجاد بهبود در نظام تحویل بار مسافران، در حال جایگزین‌سازی بارکدها با RFID هستند. این روش تا 80 درصد دقت و اطمینان را بالا برده است. با وجود مزایای بسیار، RFID پیامدهای خاص خود را نیز دارد.

مقدمه‌ای بر سیستم‌های RFID

سیستم‌های RFID از سه جز‌ء اصلی تشکیل شده‌اند: فرستنده یا برچسب[1] RFID، فرستنده/ گیرنده یا برچسب‌خوان[2] RFID و پایگاه داده مرکزی (شکل 1).

1. فرستنده یا برچسب RFID

در سیستم RFID به هر شی یک برچسب زده می‌شود. هر برچسب دارای ریزتراشه‌ای با ظرفیت‌های محاسباتی و ذخیره‌سازی ویژه و یک آنتن مارپیچ مسطح برای برقراری ارتباط با برچسب‌خوان است. برچسب‌ها براساس دو معیار دسته‌بندی می‌شوند:

· نوع حافظه: فقط خواندنی، یک بار نوشتنی و چندین بار خواندن و یا کاملا قابل بازنویسی

· منبع توان الکتریکی: فعال، نیمه غیرفعال و غیرفعال

2. فرستنده/ گیرنده یا برچسب‌خوان RFID

برچسب‌خوان‌های RFID معمولاً از یک مدول RF، یک واحد کنترل و سازه کوپلینگ برای بررسی برچسب‌های الکترونیک از طریق ارتباط مخابراتی RF تشکیل شده‌اند. محاسبات پیچیده‌ای مانند عملیات رمزنگاری را می‌توان توسط برچسب‌خوان‌های RFID انجام داد زیرا برای آنها محدودیتی مانند محدودیت‌های موجود در سیستم‌های خوانش دستی و یا دستیار دیجیتال شخصی[3] (PDA) مورداستفاده در سیستم‌های بارکد، وجود ندارد.

فرستنده‌های غیرفعال RFID، کامپیوترهای بسیار کوچکی با منابع محدود هستند که توسط انرژی سیگنال درخواست اطلاعات ارسال شده توسط برچسب‌خوان، تغذیه الکتریکی می‌شوند. این نوع از برچسب‌های RFID دارای قدرت پردازش محدود و توان ذخیره‌سازی پایینی (کمتر از 1024 بایت) می‌باشند. RFID‌های فعال و یا نیمه غیرفعال نیاز به باتری داشته و دارای قابلیت‌های بیشتری هستند. در شکل 1، طرز کار یک سیستم RFID نمایش داده شده است.

3. پایگاه داده مرکزی

برچسب‌خوان‌های گران‌قیمت می‌توانند دارای قابلیت‌هایی نظیر تجهیزات ذخیره‌سازی و پردازش داخلی نیز باشند، اما به دلیل محدودیت توان ذخیره‌سازی اطلاعات در برچسب‌ها (حدود 96 بیت) این اطلاعات (مانند ID‌های تصادفی، اشاره‌گرها و غیره) در یک پایگاه داده ذخیره می‌شوند.

شکل 1: طرز کار یک سیستم RFID

آزمایشگاه‌های AutoID یک ساختار سلسله مراتبی به نام کلاس برای برچسب‌های RFID ارائه کرده‌اند. در این ساختار کلاس‌های I و II برچسب‌های ارزان‌قیمت را دربر می‌گیرند. در این مقاله فقط در مورد کلاس‌های I و II بحث خواهد شد. برچسب‌های کلاس I فقط شامل حافظه‌های فقط خواندنی بوده و برچسب‌های کلاس II می‌توانند شامل حافظه‌های خواندنی/ نوشتنی نیز باشند.

مقایسه سیستم‌های مبتنی بر RFID یا سیستم‌های مبتنی بر بارکد

RFID، لزوماً بهتر از بارکد نیست و این دو، فناوری‌‌هایی متفاوت با کاربردهایی متفاوت هستند. تفاوت مهم آنها در این است که بارکدها «در معرض دید مستقیم» هستند، یعنی شی‌ء باید در دید مستقیم Reader باشد و اپراتور باید کالا را مستقیماً در دید اسکنر قرار دهد، ولی در RFID کالا می‌تواند با فاصله زیاد توسط Reader بازخوانی شود. عیب دیگر بارکد این است که اگر برچسب دارای خدشه یا پارگی شود یا تاخوردگی داشته باشد، قابل خواندن نیست. در ضمن بارکدهای استاندارد فقط کارخانه و محصول را تعیین می‌کند. مثلاً یک بارکد روی یک جعبه شیر برای همه جعبه‌های شیر یکسان بوده و قابل تشخیص نیست که مثلاً تاریخ انقضای کدام یک از آنها اول از همه سپری می‌شود. استفاده از برچسب‌های RFID نسبت به بارکد دارای مزایایی چند است: به طور خودکار و بدون نیاز به خطوط، دستگاه‌های رویت‌کننده، برچسب کاغذی و یا سایر مواد مشابه، با سرعت صدها بار در ثانیه و از فاصله چندین متری اطلاعات را می‌خواند.

متخصصان بر این باورند که هر دو سیستم بارکد و RFID به مرحله همزیستی مسالمت‌آمیز با هم رسیده‌اند، اما در آینده، فناوری RFID به کلی جانشین بارکد خواهد شد. امروزه گوشی‌های موبایلی ساخته شده‌اند که دارای تجهیزات اسکن برچسب‌های RFID هستند. مشتری می‌تواند با در دست داشتن این گوشی در یک فروشگاه بزرگ حرکت کرده و با استفاده از این اسکنر شخصی، قیمت و کیفیت اقلام فروشگاهی را مقایسه و آنها را فهرست کند. محدودیت‌هایی که امروزه در زمینه استفاده از برچسب‌های RFID وجود دارد، بیشتر ملاحظات امنیتی و هزینه نسبتاً بالای این برچسب‌هاست. علاوه بر آنچه گفته شد، به‌طور معمول برای بهره‌گیری از تمامی مزایای بالقوه برچسب‌های RFID، شناسایی یک کالا باید در تمام چرخه حیات آن یعنی تولید، توزیع، فروش و بازیافت انجام پذیرد. پایین آوردن هزینه برچسب‌ها به معنی محدود کردن توانایی‌های آنها خواهد بود. علاوه بر آنچه گفته شد، چون بیشتر برچسب‌های RFID از نوع غیرفعال هستند باید محدودیت‌های توان را نیز لحاظ کرد. از سوی دیگر هیچ اطمینانی وجود ندارد که این سیستم‌ها قادر به ذخیره‌سازی رمزهای کاربری به شکلی کاملاً ایمن باشند، چون برچسب‌های RFID در برابر حملات مداخله‌جویانه، مقاوم نیستند.

ماهیت تهدیدات

برچسب‌های RFID اشیایی قابل لمس بوده و توسط دارندگان آنها ارائه می‌شوند. بسیاری از تجهیزاتی که با امواج الکترومغناطیس کار می‌کنند نیز دارای چنین ویژگی‌هایی هستند، با این تفاوت که مثلاً رهگیری اطلاعات ارسال شده توسط تلفن همراه نیاز به تجهیزات شنود بسیار پیشرفته دارد در حالی که برچسب‌های RFID توسط تمام اسکنرهای سازگار با این سیستم قابل خواندن هستند. گیرنده/ فرستنده‌های RFID به‌طور قابل ملاحظه‌ای در زمینه پشتیبانی از فناوری‌های سنتی توسعه امنیت و حفظ حریم خصوصی، بسیار محدود عمل کرده‌اند. لو رفتن اطلاعات تنظیم شده در برچسب‌ها و برچسب‌خوان‌های RFID ممکن است منجر به بروز وضعیت‌های نامطلوبی شود. یکی از این مخاطرات، گردآوری اطلاعات به‌طور غیرمجاز است که در آن حمله‌کننده اطلاعات را به صورت غیرقانونی و به شکل فعال یعنی انتشار درخواست اطلاعات و یا به صورت غیرفعال یعنی شنود ارتباط برقرار شده بین برچسب و برچسب‌خوان، به دست می‌آورد. انواع دیگر حمله شامل: رهگیری اشیا و افراد به وسیله ایجاد ارتباط بین برچسب‌خوان‌های RFID مختلف و برچسبی خاص و تحلیل ترافیک برچسب RFID است.

مشکلات امنیتی که فناوری RFID با آن مواجه است حاصل مجموعه‌ای از عوامل فناوری و اجتماعی است. به همین دلیل برای حفظ حریم شهروندان در صورت استفاده گسترده از RFID باید هر دو وجه یاد شده مورد بررسی قرار گیرد. قانونمند کردن فناوری RFID مفید به نظر می‌رسد چون در این صورت، نیازهای امنیتی مشخص شده و فناوری‌های توسعه‌دهنده امنیت RFID، از فعالیت‌های غیرقانونی جلوگیری می‌کنند.

راه‌حل ایده‌آل برای حل مشکلات امنیت اجتماعی ناشی از سیستم‌های RFID، تمرکز آشکار بر تکمیل شرایط لازم برای قانونمند کردن RFID است. متأسفانه تمام تلاش‌هایی که تاکنون در زمینه امنیت RFID انجام گرفته‌اند، یا صرفاً در زمینه فناوری RFID بوده و یا فقط به نکات قانونی آن می‌پردازند. این انشعاب آشکار در نگرش‌های امنیتی و حفظ حریم در RFID، از مقوله حفظ حقوق شهروندی در جوامع استفاده‌کننده از سیستم‌های RFID صیانت نمی‌کند. از سوی دیگر، مردم یا سازمان‌ها نیز مقاومت‌های جدی در برابر RFID نمی‌کنند. مثلاً، استفاده از RFID بر روی تیغ اصلاح کمپانی تسکو که به دلیل عکسبرداری از تمام دارندگان این کالا، چه خریدار و چه سارق، موجی از اعتراض به پا کرد. بعضی سازمان‌ها مانند سازمان مصرف‌کنندگان مخالف سیستم شماره‌گذاری و نقض حریم خصوصی توسط فروشگاه‌های بزرگ (CASPIAN)، به طور جدی در راه مخالفت با گسترش کلان این فناوری، گام برمی‌دارند.

مشکلات ناشی از فناوری

مارک وایزر در 1991 اعلام کرد که یکی از مشکلات عمده در محاسبات فراگیر مسئله امنیت است. مسائل امنیتی عمیقاً به مشکل رهگیری و یا نقض حریم خصوصی وابسته هستند. بیشتر راه‌حل‌های ارائه شده به شیوه‌های مبتنی بر رمزنگاری برچسب‌ها به وسیله توابع درهم‌ساز، تکیه دارند. این واقعیت را باید درنظر گرفت که شیوه‌های جدید RFID به دقت موشکافی نشده‌اند تا وضعیت امنیتی آنها به مرحله اطمینان‌بخشی برسد.

مشکلات اجتماعی

از نظر روانشناسی، حفظ حریم خصوصی و امنیت مشتری در سیستم‌های RFID نسبت به سیستم‌های خودکار ردگیری کننده فعالیت افراد، مانند کارت‌های اعتباری و کوکی‌های نرم‌افزار مرورگر وب، از حساسیت بیشتری برخوردار است.

برچسب‌های دارای کد محصول الکترونیکی[4] (EPC) شامل چندین قسمت اطلاعاتی مانند شناسه محصول، شناسه تولیدکننده و شماره سریال یکتای محصول هستند. این اطلاعات به شکل یکسری کدهای عددی نمایش داده می‌شوند، اما وجود شماره سریال یکتا حمله فیزیکی را امکان‌پذیر می‌کند. مثلاً فرض کنید خریدار بهای کالا را با استفاده از کارت اعتباری خود می‌پردازد، فروشگاه به منظور ارائه خدمات آتی خود، مانند اعطای جایزه خرید، می‌تواند بین نام خریدار و شماره سریال کالا نوعی ارتباط برقرار کند. هنگامی که خریدار مجدداً از فروشگاه خرید کند، تشخیص هویت او به‌طور خودکار انجام می‌شود. حال اگر این اطلاعات به دست افراد دیگری بیفتد، اطلاعات بسیاری در مورد مشتری و کالای خریداری شده، فاش می‌شود.

خطر دیگر در وجود اطلاعات کالا در برجسب‌های RFID کالا است. مثلاً فرض کنید که فردی از داروهای آرام‌بخش استفاده می‌کند، فاش شدن این اطلاعات ممکن است امنیت شغلی و اجتماعی او را به مخاطره اندازد. از سوی دیگر خریدار کالاهایی با برچسب RFID ممکن است به عنوان یک هدف تبلیغاتی محسوب شود. مثلاً با خرید کالایی با علامت تݹ?ق؁ی خاص، آماج تبلیغات شرکت‌های رقیب شرکت مذکور قرار گیرد.

حتی اگر فرض را بر این بگذاریم که مشکلات تکنیکی قابل حل هستند، اگر مردم در مورد فواید استفاده از RFID توجیه نشوند و متولیان RFID نتوانند سطح مطمئنی از امنیت را به کاربران ارائه دهند، اجرای سیستم‌های RFID در سطح وسیع مفید نخواهد بود. مثلاً، آمار نشان می‌دهد که 4/73 درصد از کسانی که در مورد RFID از آنها نظرسنجی شده است، ترجیح می‌دهند که پس از خرید کالا برچسب RFID آن را غیرفعال کنند. این آمار به روشنی نشان می‌دهد که هرچند موفقیت‌هایی در حل مشکلات RFID در بخش فناوری آن صورت گرفته، اما در زمینه اجتماعی در سطح قشر متوسط جامعه، کسانی که حرف آخر را در مورد آینده یک فناوری می‌زنند، کار زیادی صورت نگرفته است.

با وجود اینکه سیستم‌های RFID به عنوان یکی از فراگیرترین فناوری‌های محاسباتی شناخته می‌شوند، هنوز مشکلات بسیاری وجود دارد که پیش از به‌کارگیری آنها در مقیاس کلان، باید حل شوند. یکی از اصلی‌ترین این موارد موضوع امنیت است. در کالاهایی که بر روی آنها این نوع برچسب‌ها نصب شده است، به هنگام گزارش‌گیری برچسب‌خوان‌ها، برچسب به طور ناآگاهانه اطلاعات حساسی را فاش می‌سازد.

یکی از مشکلات بسیار مرتبط با امنیت، موضوع رهگیری افراد و یا به عبارتی نقض حریم خصوصی است. این مشکل به این دلیل روی می‌دهد که پاسخ‌های رسیده از برچسب به برچسب‌خوان‌ها قابل پیش‌بینی است، به این معنی که در حقیقت در اغلب موارد برچسب‌ها همیشه شناسه یکسانی را ارائه می‌کنند که به شخص ثالث اجازه می‌دهد که به سادگی بین برچسب و کالای مربوط به آن ارتباط منطقی برقرار کنند. حتی در صورتی که در طراحی برچسب‌ها سعی شود که هیچ‌گونه اطلاعات با ارزشی که منجر به افشاشدن مشخصات برچسب و یا کالای مربوطه شود، آشکار نشود ممکن است با استفاده از شیوه‌هایی چون بر هم نهی برچسب‌ها (منظومه‌سازی) رهگیری کالا همچنان امکان‌پذیر باشد.

مراجع:

1. CASPIAN.http://www.nocards.org/,2005.

2. M. Weiser. The computer for the 21st century. Scientific American, 265 (3): 94 {104, September 1991}.

3. O.Gunther and S. Spiekermann. RFID and the perception of control: the consumer's view. Commun. ACM, 48 (9): 73-76, 2005.

4. Auto- ID Center. 900 MHz class 0 radio frequency (RF) identification tag specification. Draft, March 2003.

5. A. Juels, R.L. Rivest, and M.Szydlo. the blocker tag: selective blocking of RFID tags for consumer privacy. In V. Atluri, editor, 8 th ACM Conference on computer and communications security, pages 103- 111. ACM press, 2003.

---

[1]. Tag

[2]. RFID Reader

[3]. Personal Digital Assistant

[4]. Consumers Against Superma Privacy Invasion and Numbering Electronic Product Code