RFID與我們是越來(lái)越密切，搭車要用它，開(kāi)車要用它，上班要用它，出門要用它，未來(lái)出國(guó)用的護(hù)照也要用它，還有以后買東西可能也會(huì)很普遍地會(huì)用它，RFID與網(wǎng)路一樣與我們的生活息息相關(guān)。而RFID可能會(huì)是最新型態(tài)的科技犯罪，認(rèn)識(shí)科技犯罪與RFID可能的犯罪型態(tài)，可提供產(chǎn)官學(xué)界在發(fā)展、導(dǎo)入RFID系統(tǒng)或是制定相關(guān)法規(guī)、政策的參考，以避免或降低導(dǎo)入或使用RFID所可能帶來(lái)負(fù)面的影響。 

　　RFID原理與應(yīng)用 

　　一、RFID的意義 

　　根據(jù)”維基百科”(Wikipedia)對(duì)RFID的解釋：射頻識(shí)別即RFID（Radio Frequency IDentification）技術(shù)，又稱電子標(biāo)簽、無(wú)線射頻識(shí)別，是一種通信技術(shù)，可通過(guò)無(wú)線電訊號(hào)識(shí)別特定目標(biāo)并讀寫(xiě)相關(guān)數(shù)據(jù)，而無(wú)需識(shí)別系統(tǒng)與特定目標(biāo)之間建立機(jī)械或光學(xué)接觸。 

　　二、RFID的構(gòu)造 

　　RFID是由標(biāo)簽TAG(transponder)、天線/線圈(Antenna / Transciver)及讀取/寫(xiě)入器（reader/writer）所組成。 

　　三、RFID的類型 

　?。ㄒ唬┮勒諛?biāo)簽電池運(yùn)作特性可分為： 

　　1、主動(dòng)式：標(biāo)簽上無(wú)電源，需由Reader發(fā)出電波來(lái)喚醒以進(jìn)行資料收送。 
　　2、被動(dòng)式：標(biāo)簽內(nèi)建電源，可主動(dòng)偵測(cè)Reader之電波并收送資料。 
　　3、半主動(dòng)式：標(biāo)簽亦內(nèi)建電源，但需由Reader之電波來(lái)喚醒，再透過(guò)自身電源收送資料。 

　?。ǘ┮勒仗炀€頻率高低可分為： 

　　1、低頻(LF)：頻率125KHz，識(shí)別距離小與60公分，以電磁感應(yīng)傳輸訊號(hào)，主要用于動(dòng)物晶片、門禁及停車場(chǎng)等。 
　　2、高頻(HF)：頻率13.56MHz，識(shí)別距離約60公分，以電磁感應(yīng)傳輸訊號(hào)，主要用于交通卡(悠游卡)、門禁及e-Passport等。 
　　3、超高頻(UHF)：頻率860-960MHz，識(shí)別距離被動(dòng)式約10公尺、主動(dòng)式約100公尺，以電波傳輸訊號(hào)，主要用于物流、零售流通等。
　　4、微波：頻率2.45GHz，識(shí)別距離被動(dòng)式約1公尺、主動(dòng)式約50公尺，以電波傳輸訊號(hào)，主要用于物流管理。 

　　四、RFID的應(yīng)用 

　　RFID的應(yīng)用，從出生新生嬰兒管理開(kāi)始，到搭車、開(kāi)車、上班、出門、出國(guó)等處處可見(jiàn)人手RFID卡，RFID與我們生活是十分密切。 National Institute of Standards & Technology依據(jù)RFID的應(yīng)用功能，將之歸類為資產(chǎn)管理、追蹤管理、授權(quán)認(rèn)證、身分核對(duì)、處理控制、接取控制、自動(dòng)付款及供應(yīng)鏈管理等8類。 

　　RFID現(xiàn)況與發(fā)展趨勢(shì) 

　　一、RFID使用現(xiàn)況 

　　目前國(guó)內(nèi)RFID卡使用人口最多的是臺(tái)北悠游卡，至2008年7月止臺(tái)北捷運(yùn)公司共發(fā)行1380萬(wàn)張悠游卡。其他主要的RFID卡，依序是臺(tái)灣統(tǒng)一超商icash卡600萬(wàn)張，臺(tái)灣悠游聯(lián)名卡216萬(wàn)張，臺(tái)灣Visa PayWave感應(yīng)卡144萬(wàn)張，遠(yuǎn)通公司臺(tái)灣ETC則有66.6萬(wàn)部臺(tái)車裝e通機(jī)，臺(tái)北市政府?dāng)?shù)位學(xué)生證有42萬(wàn)張。 

圖1、截至2008年7月止，臺(tái)灣地區(qū)各類RFID卡發(fā)行量

　　國(guó)外部分，至2007年9月止全球萬(wàn)事達(dá)感應(yīng)卡全球共發(fā)行1600萬(wàn)張，全球各類Mifare卡高達(dá)10億張。 

　　二、RFID發(fā)展趨勢(shì) 

　　依據(jù)ABI的調(diào)查分析，2008年全球RFID市場(chǎng)規(guī)?？蛇_(dá)45.7億美元，至2012年可達(dá)84.9億美元，年復(fù)合成長(zhǎng)率(2007-2012)約為17%，如圖2。 

圖2、ABI Research所做的2007-2012年RFID市場(chǎng)規(guī)模預(yù)測(cè) 

　　另根據(jù)Gartner調(diào)查及預(yù)測(cè)，全球RFID產(chǎn)值由2007年的900億美元成長(zhǎng)至2012年的3400億美元，呈現(xiàn)穩(wěn)定且持續(xù)之成長(zhǎng)，如圖3。此一趨勢(shì)意謂著未來(lái)RFID將處處出現(xiàn)在我們的生活，與大家將更形密切。 

圖3、Gartner所做的2007-2012年RFID總產(chǎn)值預(yù)測(cè) 

　　RFID攻擊方式與犯罪型態(tài) 

　　由于RFID與我們生活息息相關(guān)，近年RFID的安全頻遭挑戰(zhàn)與攻擊，引并引起關(guān)心人員與團(tuán)體憂心RFID可能成為未來(lái)新型的科技犯罪。相關(guān)業(yè)者在開(kāi)發(fā)RFID系統(tǒng)之前如能認(rèn)識(shí)RFID攻擊方式與可能的犯罪型態(tài)，將有助于RFID系統(tǒng)的安全。 

　　一、 RFID攻擊方式 

　　常見(jiàn)的RFID攻擊方式有竊聽(tīng)、欺騙、追蹤、阻斷服務(wù)及病毒攻擊，分述如下： 

　　1、竊聽(tīng) 

　　信息從一個(gè)標(biāo)記讀，可能的用于身分偷竊或欺騙。通過(guò)站立在受害者的可讀的距離之間它是可能讀數(shù)據(jù)從RFID晶片。 

　　2、欺騙 

　　欺騙是竊聽(tīng)的進(jìn)一步，并且透過(guò)復(fù)制資訊至另一塊晶片。根據(jù)RFID晶片不同的用途，這個(gè)技術(shù)能提供存取受害者汽車、家、工作場(chǎng)所或者電子付款信用。將低價(jià)產(chǎn)品的標(biāo)簽復(fù)制至高價(jià)格產(chǎn)品標(biāo)簽上，以支付比實(shí)際價(jià)格為低。 

　　3、追蹤 

　　藉由多次重復(fù)掃描某人的汽車鑰匙、門禁卡、ETC收費(fèi)系統(tǒng)或是幾種RFID的多重組合，藉由各種RFID出現(xiàn)的情形是可以追蹤某一特定人士的行蹤。 

　　4、阻斷服務(wù) 

　　阻斷服務(wù)攻擊發(fā)生，系當(dāng)信號(hào)阻塞運(yùn)轉(zhuǎn)中。這可能是標(biāo)簽和讀取器間的電波干擾，或是由法拉第籠子金屬罩的干擾。 

　　5、病毒攻擊 

　　感染病毒的標(biāo)簽啟動(dòng)后端資料庫(kù)去執(zhí)行標(biāo)簽上的SQL代碼，當(dāng)病毒，蠕蟲(chóng)，或者惡意程式入侵資料庫(kù)，再由資料庫(kù)將病毒傳送至其他標(biāo)簽，迅速傳播病毒。而中毒的RFID可能會(huì)摧毀整個(gè)控制系統(tǒng)及重要寶貴的資料。 

　　6、緩沖區(qū)溢位 

　　利用緩沖區(qū)溢位造成異?，F(xiàn)象，惡意程式可取得伺服器的控制權(quán)，并可任意執(zhí)行各種動(dòng)作。 

　　二、 RFID犯罪型態(tài) 

　　由于RFID有上述幾種常見(jiàn)的攻擊方式，有心人士或是不法份子或犯罪集團(tuán)，可利用這幾種攻擊方式從事詐欺、電腦病毒、入侵電腦、竊盜、人口販運(yùn)、恐怖活動(dòng)、盜用身分等不法活動(dòng)。 

　　1、詐欺 

　　不法者利用破解如交通卡等的RFID晶片加密方法，再將之復(fù)制或加值；或?qū)⒌蛢r(jià)產(chǎn)品的標(biāo)簽復(fù)制至高價(jià)格產(chǎn)品標(biāo)簽上，以低價(jià)商品結(jié)帳。 

　　案例： 

　　來(lái)自CCC的駭客高手是與來(lái)自維吉尼亞大學(xué)(University of Virginia)的“同好”聯(lián)手，破解Mifare Classic RFID晶片的編碼方法，并為卡片加值、復(fù)制RFID卡或“制造”新使用者。 

　　2、電腦病毒 

　　將帶有病毒的程式碼寫(xiě)入標(biāo)簽，再啟動(dòng)后端資料庫(kù)去執(zhí)行標(biāo)簽上的程式碼，再透過(guò)資料庫(kù)將病毒傳送至其他標(biāo)簽，使得整個(gè)RFID系統(tǒng)癱瘓。 

　　3、入侵電腦 

　　入侵RFID及其后端系統(tǒng)，或破解RFID晶片加密的方法，再為卡片加值、復(fù)制RFID卡或制造新使用者。 

　　案例： 

　　2008年9月9日美國(guó)聯(lián)邦法官曾下令，禁止3名麻省理工學(xué)院學(xué)生在Defcon駭客大會(huì)上，示范如何駭入波士頓地鐵系統(tǒng)使用的智慧票卡，這種RFID卡是波士頓地鐵T線目前使用的票卡。 

　　4、竊盜 

　　不法者利用破解如汽車防盜RFID晶片加密方法，再竊取RFID保護(hù)的設(shè)備或物品。 

　　案例： 

　　英國(guó)足球明星貝克漢2部BMW X5座車，被竊賊破解汽車防盜RFID晶片后開(kāi)啟并啟動(dòng)而失竊。 

　　5、人口販運(yùn) 

　　利用RFID安全管理系統(tǒng)的漏洞，誘騙受保護(hù)的病患或新生兒等。 

　　6、恐怖活動(dòng) 

　　恐怖組織可能利用RFID追蹤特定人士，當(dāng)特定人物出現(xiàn)時(shí)引爆炸彈。 

　　7、盜用身分 

　　復(fù)制RFID晶片卡以盜用他人身分或作為在場(chǎng)或不在場(chǎng)證明。 

　　結(jié)語(yǔ) 

　　當(dāng)RFID在各行各業(yè)的應(yīng)用與管理帶來(lái)便利與節(jié)省成本的同時(shí)，它也改變了相關(guān)產(chǎn)業(yè)的經(jīng)營(yíng)模式，也改變了我們的生活習(xí)慣，而且將持續(xù)地改變并擴(kuò)大其影響，這些改變及其影響有正面意有負(fù)面。 

　　當(dāng)一個(gè)新的RFID系統(tǒng)導(dǎo)入時(shí)，應(yīng)謹(jǐn)慎評(píng)估其效益與影響，并善盡保護(hù)使用者的隱私、個(gè)人資料及人身、財(cái)產(chǎn)與系統(tǒng)安全。近來(lái)各國(guó)為加強(qiáng)國(guó)境安全及對(duì)抗恐怖活動(dòng)，相繼推出RFID晶片護(hù)照。然已傳出英、德RFID護(hù)照被駭客組織破解，相關(guān)機(jī)關(guān)應(yīng)密切注意，否則新護(hù)照不僅不能對(duì)抗恐怖活動(dòng)，可能被恐怖組織利用影響安全更巨。 

　　2001年聯(lián)邦助理檢察官Daniel A. Morris曾表示：今天的竊賊使用電腦會(huì)比使用手槍偷得更多，明天的恐怖份子使用鍵盤(pán)會(huì)比使用炸彈所造成的損害更大可作為發(fā)展RFID系統(tǒng)的借鏡。 

　　后記：本文摘自本人于2009 RFID國(guó)際隱私權(quán)論壇演講內(nèi)容；感謝臺(tái)灣NEC股份有限公司及亞元國(guó)際股份有限公司協(xié)助。

 　?。ㄎ?中央警察大學(xué)資訊管理系．張維平助理教授 ）