Nhiều chính phủ hiện đang tranh luận về luật pháp bảo vệ người tiêu dùng về việc sử dụng dữ liệu RFID trong cả hai lĩnh vực công cộng và cá nhân.Tuy nhiên cho dù các bộ luật đặc biệt sẽ được đưa vào để thúc đẩy sự tính riêng tư và bảo mật của RFID đi nữa thì các vấn đề ở đây vẫn chưa được rõ ràng. Mà quan trọng nhất là các chính phủ phải cân bằng được nhu cầu về tính riêng tư của người tiêu dùng cũng như của một người dân với nhu cầu của công ty trong việc thu thập dữ liệu tiếp thị và những lợi ích xã hội nói chung nhờ hiệu quả của việc đưa vào dây chuyền cung ứng sử dụng công nghệ RFID. Một vài dự án luật có liên quan đến bảo vệ tính riêng tư của dữ liệu, đã được giới thiệu trong suốt phiên điều trần thứ 108 của quốc hội Hoa Kỳ. Đại diện tiểu bảng Wisconsin Gerald D. Kleczka đã đề xuất một dự luật yêu cầu phải có các nhãn cảnh báo trên các sản phẩm gia dụng có chứa thiết bị RFID. Đó là dự luật, H.R.4673, đã được giới thiệu dưới tiêu đề là "Opt Out of ID Chips Act".
Trong tháng tám năm 2004, Thượng viện tiểu bang California đã thông qua một biện pháp để thiết lập giới hạn sử dụng công nghệ RFID của các thư viện, nhà bán lẻ và các tổ chức tư nhân khác. Được biết đến với cái tên là SB1834, dự thảo luật
ngăn cấm các doanh nghiệp và các thư viện ở California sử dụng các thẻ RFID gắn lên sản phẩm tiêu dùng hoặc sử dụng một đầu đọc RFID nhận dạng một cá nhân,trừ trường hợp trong một số hoàn cảnh nào đó.
1.6.1.2 Các biện pháp bảo vệ quyền riêng tư thông qua việc cải tiến công nghệ Các cơ chế và công cụ hạn chế các khả năng giám sát không an toàn hoặc trái phép của các hệ thống RFID có thể nâng cao hiệu quả của các bộ luật và các nguyên tắc về quyền riêng tư. Một số công nghệ được đề xuất như các tiêu chuẩn “kill tag” của EPCglobal và “blocker tag” của RSA Security.
Cách tiếp cận với khái niệm “kill tag” là cách đơn giản nhất để tiến tới thúc đẩy sự riêng tư của người tiêu dùng. Trong cách tiếp cận này, người tiêu dùng có thể liên hệ trực tiếp với một nhà bán lẻ nào đó để ra lệnh hủy thẻ RFID được nhúng vào bên trong sản phẩm sau khi đã mua nó. Với phương pháp này có thể bảo vệ các tài sản của họ không bị quét bởi các tần số vô tuyến trái phép.
Hạn chế chính của phương pháp “kill tag” đó là , nó giới hạn các đặc tính hữu dụng của công nghệ RFID tại các điểm bán hàng. Nếu như sản phẩm cần phải được trả lại cho cửa hàng sau đó vì một lý do nào đó , thì việc nhận dạng thẻ RFID trên sản phẩm đó vẫn rất cần thiết, và như vậy ta phải thực hiện lại công đoạn tạo thẻ. Ngoài ra với việc thực hiện phương pháp “kill tag” người tiêu dùng sẽ mất nhiều thời gian hơn cho việc mua sắm cũng như sẽ phải xếp hàng dài để chờ đợi hủy thẻ RFID.
Còn cách tiếp cận “blocker tag”, được đề xuất bởi tổ chức RSA Security, sử dụng một thẻ đặc dụng gọi là thẻ chặn được thiết kế để gây nhiễu thụ động các reader, khiến chúng không đọc được từ các thẻ RFID bình thường khác. Các thẻ chặn làm việc theo cách làm nhiễu các thuật toán chống xung đột của một reader trong một phạm vi đọc của các thẻ ID. Hình dưới đây sẽ minh họa nguyên tắc hoạt động của nó trong thực tế.
Hình 1.34 Nguyên tắc hoạt động của các thẻ blocker
1.6.2 Tính bảo mật
Như với bất cứ hệ thống nào, để xác định chiến lược bảo mật với các hệ thống RFID, chúng ta bắt đầu bằng việc khảo sát tất cả truy nhập như thể chúng đang đến
từ các tác nhân đe dọa tiềm tàng. Hình dưới đây chỉ ra sơ đồ một hệ thống RFID điển hình có thể chia thành các khu vực bảo mật như thế nào.
Hình 1.35 Các khu vực bảo mật của hệ thống RFID
1.6.2.1 Vùng một : Các thẻ RF
Vùng một bao gồm bản thân các thẻ RF. Có hai khu vực chính dễ bị tổn thương ,đó là::
• Dữ liệu lưu trữ trên thẻ mà không được mã hóa.Và để thêm vào các điều kiện bảo mật lên thẻ thì cần thiết phải tăng thêm không gian và các khối mạch trên các chip RF. Điều này có nghĩa là giá thành của thẻ sẽ tăng lên ,thời gian xử lý cũng tăng lên.
• Không có một cơ chế giám sát vật lý, nên bất cứ ai trên cơ sở có quyền truy cập đến các thẻ thì cũng có thể loại bỏ một thẻ hoặc chuyển đổi các thẻ cho nhau.
Nhân tố đe dọa: Các nhân tố đe dọa có thể là bao gồm bất cứ cái gì mà có thể truy nhập vật lý tới thẻ và có thể làm thay đổi nội dung của nó.
Và để giải quyết các vấn đề đó , ta có một vài biện pháp đối phó dưới đây:
• Yêu cầu kiểm soát nghiêm ngặt các truy nhập tới thông tin có thể lấy được từ một mã EPC.
• Tách biệt mã EPC từ bất cứ thông tin nào mà nhạy cảm với các doanh nghiệp và người tiêu dùng.
• Chỉ sử dụng các thẻ có khả năng ghi lại được ở tại những nơi thích hợp có kiểm soát truy nhập hợp lý.
1.6.2.2 Vùng hai : Các thiết bị đọc thẻ RFID
Các reader RFID thường được kết nối tới một mạng nội bộ bằng cách sử dụng các kết nối có dây hoặc là các kết nối không dây.
Các lỗ hổng bảo mật có thể xuất hiện như:
• Dữ liệu được truyền từ thẻ tới reader chưa được mã hóa.
• Các reader không có cơ chế xác nhận các thẻ.
Đó chính là các nguyên nhân dẫn đến sự giả mạo , hoặc các cuộc tấn công DoS, hay tấn công giao thức.
Các nhân tố đe dọa: Các nhân tố đe dọa bao gồm bất cứ cái gì được kết nối đến cùng mạng (giống như bất cứ nút mạng nào được kết nối đến một mạng, một reader sẽ được mở tới tất cả các nhân tố đó trên mạng), và bất cứ ai với một thiết bị không dây cùng một chút kiến thức về các giao thức của reader mà có ý đồ xấu.
1.6.2.3 Vùng ba : Tuyến dịch vụ RFID
Tuyến dịch vụ RFID là một nhóm các thành phần middleware bao gồm dịch vụ ONS (Object Naming Service), quản lý sự kiện EPC, máy chủ EPCIS, và máy chủ tích hợp RFID.
Các lỗ hổng bảo mật: Các thành phần của tuyến dịch vụ RFID liên lạc với các hệ thống thông tin nội bộ của các doanh nghiệp(trên các mạng LAN và WAN) và với đối tác và các hệ thống công nghiệp (trên mạng Internet).
Các nhân tố đe dọa: Các nhân tố đe dọa bao gồm các điệp viên của các công ty, các đại lý gián điệp, và các kẻ xâm nhập bất hợp pháp.
1.6.2.4 Vùng bốn : Các hệ thống thông tin doanh nghiệp
Các hệ thống thông tin doanh nghiệp bao gồm các hệ thống của công ty chẳng hạn như, hệ thống quản lý nhận dạng, hệ thống điều khiển truy nhập, các hệ thống gửi thông báo, và tất cả các hệ thống phụ trợ mà sẽ trở thành khách hàng của dữ liệu RFID. Các hệ thống phụ trợ ở đây là bao gồm các hệ thống ERP.
Các lỗ hổng bảo mật : Các giao dịch và khối lượng dữ liệu cần thiết của các hệ thống RFID có thể áp đảo các cơ sở hạ tầng mạng hiện có. Các công ty có thể phải đối mặt với các tình huống cần lưu trữ bất ngờ hoặc các thông tin nhạy cảm.
Các tác nhân đe dọa : Các tác nhân đe dọa bao gồm các gián điệp của các công ty, và những kẻ xâm nhập trái phép.
1.7 So sánh giữa công nghệ RFID và công nghệ mã vạch
Một mã vạch là một loạt các sọc đen , trắng nối tiếp nhau với các chiều rộng giữa chúng khác nhau, sao cho tạo thành một định dạng mà máy móc có thể hiểu được. Mã vạch là một công nghệ quang điện tử, trong đó ánh sáng laser sẽ phản xạ trở lại các biểu tượng mã vạch và sau đó các biểu tượng này sẽ được đọc bởi một máy quét.
Các biểu tượng mã sản phẩm phổ biến ở khắp nơi (UPC) là hình thức của mã vạch mà đã thân thiện với nhiều người. Nghiên cứu về mã vạch đã bắt đầu trước đó từ rất lâu trước khi nổi nên các tiêu chuẩn UPC.Tuy nhiên, mãi tới năm 1952, hai nhà nghiên cứu tại IBM đã được trao bằng sáng chế đầu tiên cho công nghệ nhận dạng tự động .Mãi tới những năm sáu mươi , mới xuất hiện hệ thống thương mại hóa đầu tiên ,nhưng chủ yếu sử dụng ở các ga đường sắt để vận chuyển hàng hóa và sản phẩm. Sau đó ,trong những năm đầu tiên của thập kỷ bẩy mươi, một tập đoàn tạp hóa của Hoa Kỳ đã triệu tập một ủy ban đặc biệt để đánh giá công nghệ mã vạch, với mục đích là triển khai nó trong các chuỗi siêu thị trên khắp cả nước như là một phương tiện để giảm chi phí lao động, cải thiện tốc độ tính tiền và theo dõi hàng tồn kho. Vào năm 1973 ,các tiêu chuẩn UPC ra đời từ các nỗ lực trên và trở thành định hướng chính trong việc triển khai công nghệ mã vạch.
Tăng trưởng của các cửa hàng tạp hóa đã giảm trong suốt những năm bảy mươi. Đây không phải do lỗi của các cửa hàng tạp hóa, mà phần lớn là do các công ty cung cấp đã sản xuất ra các sản xuất ra các sản phẩm với tốc độ rất chậm do còn phải bao gồm thêm các biểu tượng mã vạch trên bao bì đóng gói. Và trong năm 1978, thì cách đánh mã đã được cải thiện mạnh mẽ và các hệ thống quét mã vạch cũng bắt đầu xuất hiện phổ biến. Sau đó, vào năm 1981, DoD khởi tạo chương trình LOGMARS , trong đó yêu cầu tất cả các sản phẩm bán cho quân đội phải được đánh dấu 39 biểu tượng mã mà sau này đã trở thành một tiêu chuẩn mã khác song hành cùng tiêu chuẩn UPC. Dưới đây là hình ảnh một số mã vạch trong thực tế.
Hình 1.37 Mã vạch theo tiêu chuẩn Code39
Thiết bị đọc mã vạch cũng được gọi là máy quét sẽ sử dụng một chum ánh sáng để quét ngang qua mã vạch. Nói chung hướng quét không liên quan nhiều đến kết quả cuối cùng. Tuy nhiên, trong suốt quá trình quét, chum sang không được di chuyển ra ngoài khu vực mã vạch. Do đó, nói chung, khi tăng chiều dài mã vạch thì cũng có nghĩa là tăng chiều cao của máy quét để phù hợp với độ lệch lớn hơn của chùm sáng ở bên ngoài khu vực mã vạch trong suốt quá trình quét. Trong suốt quá trình đọc, thiết bị đọc phải định lượng cường độ của chum sang phản xạ trở lại bởi các khu vực đen và trắng cho mã vạch đó. Là do bởi một thanh tối sẽ hấp thụ ánh sáng, còn một khoảng trắng sẽ phản xạ ánh sang trở lại. Một thiết bị điện tử được gọi là photodiode hoặc photocell sẽ chuyển đổi mô hình sang này thành một dòng điện (hoặc là tín hiệu tương tự). Các mạch điện sau đó sẽ giải mã các tín hiệu điện này thành các tín hiệu số. Dữ liệu này là những gì mà ban đầu được mã hóa bởi mã vạch. Các dữ liệu số thu được được biểu diễn dưới dạng các ký tự ASCII. Hình dưới đây mô tả các quy trình đọc mã vạch.
Hình 1.38 Các bước đọc một mã vạch
Trong mã vạch, chùm ánh sang laser được sử dụng như là các sóng mang dữ liệu. Ngược lại, các thẻ RFID nói chung thường sử dụng các sóng vô tuyến để mang thông tin. Do đó mã vạch được đề cập tới như một công nghệ quang điện tử còn RFID thì được gọi là công nghệ RF. Dưới đây là các so sánh chi tiết giữa một thẻ RFID và một mã vạch.
Kích thước bộ nhớ, hay là khu vực lưu trữ dữ liệu : Các mã vạch chỉ có thể chứa một lượng hữa hạn dữ liệu. Các thẻ nhỏ nhất, về lưu trữ dữ liệu, là các biểu tượng E của chuẩn UPC, mà chỉ lưu giữ được tám ký tự; chỉ là một vài byte. Tại nơi đối diện với vị trí cuối của quang phổ, ma trận dữ liệu theo tiêu chuẩn mã vạch cho phép lưu trữ lên tới 2000 ký tự ASCII, trên một thẻ hai chiều, như chỉ ra ở hình dưới đây.Chú ý là thuật ngữ thẻ sử dụng ở đây khác với trong công nghệ RFID.
Hình 1.39 Ma trận dữ liệu biểu tượng mã vạch
Các thẻ RFID có khả năng lưu giữ thông tin nhiều hơn rất nhiều. Mặc dù các thẻ RFID có thể được chế tạo với các bộ nhớ nhỏ hơn để lưu giữ chỉ một vài byte,
nhưng với vị trí hiện tại của công nghệ có thể đạt giới hạn lên tới 128 Kilo byte, lớn hơn rất nhiều so với các biểu tượng mã vạch.
Khả năng đoc/ ghi : Mã vạch không thể sửa đổi được một khi chúng đã được in ra, do đó mã vạch được biết tới là một công nghệ RO. Ngược lại, các thẻ RFID RW , lại có cả khả năng đọc và ghi tới bộ nhớ, và số lần định dạng thẻ trong suốt quãng đời tồn tại của nó có thể lên tới hàng nghìn lần, đây cũng là một phần đã khiến cho công nghệ RFID trở nên mạnh mẽ như vậy.
Không cần đường ngắm : Một ưu thế khác của công nghệ RFID so với các mã vạch là các hệ thống RFID không cần đến một đường ngắm giữa một thẻ và thiết bị đọc để có thể làm việc đúng. Bởi vì các sóng vô tuyến có khả năng lan truyền qua nhiều chất liệu rắn khác nhau, tức là hiệu quả đọc với các thẻ RFID nằm sâu ở bên trong một khay hàng không kém là bao so với các thẻ nằm trực tiếp trên đường ngắm. Nhưng với mã vạch thì khác, các mã vạch phải nằm trên đường ngắm của máy quét thì nó mới hoạt động đúng được. Điều này có nghĩa là các mã vạch phải được đặt ở bên ngoài bao bì cũng như các đối tượng được gắn thẻ không được đặt ở sâu bên trong khay hàng trong quá trình đọc. Trong các ứng dụng quản lý chuỗi cung ứng, trong hầu hết các thời điểm đều có một số lượng lớn hàng hóa di chuyển, nên rất khó để có được một đường ngắm của máy quét với một hàng hóa cụ thể. Đây chính là ưu điểm lớn của công nghệ RFID so với công nghệ mã vạch.
Phạm vi đọc : Phạm vi đọc của mã vạch có thể có được một khoảng khá dài. Thông thường các phạm vi đọc đó có giá trị vào khoảng cỡ vài chục cm. Tuy nhiên các phạm vi đọc của các thẻ RFID lại có một khoảng thay đổi khá rộng, phụ thuộc vào tần số hoạt động của hệ thống, kích thước anten và thẻ đang sử dụng là thẻ tích cực hay thẻ thụ động. Thông thường, các phạm vi đọc của các thẻ RFID có thể chạy từ vài cm tới vài mét.
Tính bảo mật truy nhập : Dữ liệu mã vạch có tính bảo mật rất thấp. Bởi vì các mã vạch cần thiết phải có một đường ngắm nên phải được đặt rỡ ràng ở bên ngoài bao bì, do đó bất cứ ai với một máy quét mã vạch chuẩn hoặc chỉ với một chiếc camera cũng có thể xem trộm hoặc ghi lại dữ liệu trên đó. Nhưng với các hệ thống RFID thì lại được cung cấp một mức bảo mật cao hơn rất nhiều. Như đã đề cập ở các phần trước, các hệ thống RFID có khả năng ngăn chặn các bên thứ ba, để hạn chế truy nhập trái phép tới hệ thống, và để bảo vệ dữ liệu nhạy cảm.
Độ bền, tính nhạy cảm với môi trường : Công nghệ RFID có khả năng chịu đựng tốt hơn với bụi bẩn và môi trường khắc nghiệt so với công nghệ mã vạch.Các mã vạch có thể sẽ không đọc được nếu như chúng bị bao phủ bởi bụi bẩn, hoặc là bị