RFID aj.html

社会に受け入れられるためのRFIDシステム

∼社会基盤としてのデジタルネーミング∼

井上創造

九州大学 システムLSI研究センター 大学院システム情報科学研究院 [email protected]

RFIDタグ

• 電池はついていない • 無線（Radio Frequency）による通信 インターフェースと電力供給 • 小型で種々の形状： – カード、キーホルダ、シール、１mm角 以下のものも出現 • 読み書きの時間：約0.5秒 • 通信距離：最大5m（日本では使える 周波数帯の制限により2m） • 記憶容量∼1ビット∼64kバイト ロジック 非接触型IC 電力、クロック、データ http://www.tij.co.jp/jmc/docs/tiris/goods/index.html http://www.hitachisemiconduct or.com/sic/jsp/japan/jpn/Gain/1 35/next/

RFIDに対する注目

日経四紙（日経新聞，日経産業新聞，日経流通新聞，日経金融新聞）を対象にしたキーワード検索結果． 0 0 2 2 5 2 13 33 35 48 56 71 138 (0) (0) (0) (0) (0) (0) (0) (1) (2) (13) (15) 435 (320) (57) (23) 0 100 200 300 400 500 1990 91 92 93 94 95 96 97 98 99 00 01 02 03 (暦年) 3ワード（「RFID」or「ICタグ」or「非接触IC」)検索 １ワード（「ICタグ）検索

国の動き

|

総務省「ユビキタスネットワーク時代にお

ける電子タグの高度利活用に関する

調査研究 」

|

http://www.soumu.go.jp/s-news/2004/040223_2.html

|

経済産業省「電子タグに関するプライバ

シー保護ガイドライン」

http://www.meti.go.jp/feedback/data/i4

0316aj.html

デジタルネーミング

| すべての人や物に固有名詞をつける（ICカード，RFIDタグ） | 名前と実体の対応付け（無線技術とネットワーク技術） | 状態や位置の変更の自動更新（データベース技術） | 現実世界の人や物の自動認識、真贋判定 データベース （仮想世界） 現実世界 対応付け

光って知らせるファイルキャビネッ

ト(内田洋行)

| 各ファイルにLEDつきの RFIDタグ | キャビネットにリーダ。ほ しいファイルを検索する とLEDが点滅。

盗難，偽造防止

|

自動車の鍵に埋め込み盗難防止→大きな

効果

|

高額チケット，ブランド品などに埋め込み

http://www.hitachi-hitec.com/

Future Store（ドイツ）

自律的移動支援プロジェクト(神戸）

∼国土交通省・YRPユビキタス・ネットワーキング研究所 ∼

http://pcweb.mycom.co.jp/news/2004/03/24/001.html

ブティックの試着室

『電波マネキン／ディスプレイ

システム』

∼大日本印刷∼

http://www.dnp.co.jp/jis/news/2004/040227.html

ユビキタスホーム

∼通信総合研究所けいはんな情報通信融合研究センター∼ http://itpro.nikkeibp.co.jp/free/NBY/RFID/20040324/1/

Close型システム

ｖ.ｓ. Open型システム

Recycle

Production

Distribution

生産管理 生産管理 販売管理システム 販売管理システム 部品の交換時期を管理 部品の交換時期を管理 盗難防止 盗難防止 交通案内システム 交通案内システム 素材の仕 素材の仕分け分け

オープン型システムにすること

の利点

|

情報の共有

z

食品のトレーサビリティ

z

流通業界

|

初期登録のコスト削減

課題

|

チップコスト

|

標準化

|

プライバシ

|

RFIDのライフサイクル

z

一旦世に出したRFIDはどうアフターケアすべきな

のか？

z

回収、更新が可能なのか

|

技術革新への追随

|

現実世界が対象→システムが社会に直接影響

z

リスク管理

→社会基盤システムとしてのデジタルネーミング

社会基盤システムの要件

|

個人の権利と社会の秩序

z 個人と社会の双方を守るための仕組みでなければなら ない． |

弱者にも不利にならないしかけ

z 仕組みは単純で理解しやすいものでなければならない． |

信頼性と安定性

z 長期的に安定して運用が可能でなければならない． |

柔軟性と拡張可能性

z 技術の進歩に柔軟に対応可能でなければならない． |

危機対応能力

z 攻撃や災害に対して強くかつ復旧が簡単に行えなけれ ばならない． |

経済性

z 経済的に成り立たなければならない．

原理がわかり易い社会システム

|

利用者個人が基本原理を直感的に理解できる「単純

な」システムでなければならない。システムの基本的

な部分はブラックボックス化してはならない．

z 弱者を守るシステム • どこに気をつければ安全かを類推できるシステム • システムを守るための複雑化は本末転倒 • 余計なお世話の透明性・利便性は危険を増やす z 個人の責任によるリスク分散が可能なしくみ • 利用者の自己責任原則の確立 z 製造物責任による過度のコスト上昇を防ぐ

信頼性・安全性・安定性

|

社会基盤システムの信頼性・安全性・安定性

は社会の安定に大きな影響を与える．

z 利用者数が大きい 10 ９∼１１ 人 • 利用形態の多様性と利用回数の大きさ z 個人の生命・財産・プライバシーに直結する利用 • バグや故障が許されないシステム • 故意の攻撃に対する対応 • 自然災害などの緊急時の代替措置 z 被害の最小化，復旧の容易化 • 破られたときの対応

グランドデザインの重要性

グランドデザインの重要性

既存技術によるつぎはぎシ 既存技術によるつぎはぎシ ステムは禍根を残す！ ステムは禍根を残す！

技術の進歩も視野にいれた

技術の進歩も視野にいれた

拡張性のある基本構想が必要

拡張性のある基本構想が必要

のこりの発表内容

|

社会基盤としてのデジタルネーミング

の課題

z

RFIDタグにおけるプライバシ

z

デジタルネーミングに求められる

セキュリティ

z

システム技術の発展可能性

RFIDタグにおける

プライバシ

国際会議での実験：

RFIDタグをネームプレートに

セッション開始時刻前後の認

識頻度(全セッション平均）

0 100 200 300 400 -50 -40 -30 -20 -10 0 10 20 30 40 50 時刻（分） 頻度 |

入場者の統計が詳細にわかる

|

参加者の動きがリアルタイムに把握できる

個人ごとの行動も把握可能！

Board Terminal 2 Session Room D Session Room C Session Room B Board Terminal 1 Session Room A Location User 1 User 2 User 3

Benettonの商品RFIDに対す

る消費者団体の反対

http://www.boycottbenetton.org/

物にもプライバシ？

常識的には,物にはプライバシはない. しかし物と人が関連づけられるとプライバシの問題が発生. →RFIDなしでも起きる問題

RFIDと人の間の関連づけ

1. 情報システムでの関連: 例： z Amazon.com が本のIDと顧客を顧客DB上で関連付ける 2. 現実世界での関連：例： • 個人宅に置かれた物品. • 駅の改札にいる所有者とともに認識された本のID. Customer DB Owner RFID

物とRFIDの間の関連づけ

JANコードのような標準化された商品コード体系

Savant, ONS,PML… RFID Book

物-RFID-人の関連づけ

1. 物-RFID-人の関連付け→問題 2. 物-RFIDのみの関連付け→問題にならない 3. RFID-人のみの関連付け→問題 z Linkability：複数回IDを読んだとき， 例：駅の改札にいる人がどこの駅を通ってきたかがわかる. Savant, ONS,PML… RFID Book Customer DB Owner RFID

暗号回路は強力だが….

1.

コスト高（タグが１０円→１００円）

2.

プライバシが守られるのか簡単には理解しにくい

プライバシの分類

|

匿名性：

z

個人を特定できないこと

|

リンク可能性：

z

個人を特定できなくても、個人の複数の

イベントを関連付けることができること

|

トレーサビリティ：

z

リンク可能かつ個人の行動を把握するこ

とができること

New!

仮に： プライバシを守るRFID

タグ！

……..本当か?

どのようにして信じればよい？

How?

Visibility?

|

全自動の方式は適当でない.

|

方法 1

:

z

利用者が信頼できる方法で何かをしなけ

ればならない→利用者が何もしなければ

プライバシは侵害されない.

|

方法 2:

z

プライバシを守るための物理的な“key”

デバイス

•

例: Blocker tags

提案手法

1.

暗号回路にたよるのではなく，

IDを

Localizeする：

所有者によって定義されるID

2.

本アプローチ

1

st

_Approach

110110010・・・・ ROM Rewritable Public-ID mode： 110110010・・・・ 001010・・・・ ROM Rewritable Private-ID mode：

Combination of ROM

and rewritable

memory on an RFID

tag

• globally unique ID

on the

ROM

• localized ID on the

rewritable memory

(EEPROM, FRAM)

• Users cannot access

the ROM when a

private ID is set.

1

st

_Approach

• Public-ID mode：

– Any users can identify the product.

• Private-ID mode：

– The owner decides the private ID value.

• Only the owner can identify, and can relate the private ID and the public ID.

• AvoidsLinkabilityby visibly changing the private ID. • Low cost than implementing

crypto.

Production

Distribution,

Retail

110110010・・・・ Public mode 110110010・・・・ Public mode

Recycle

110110010・・・・ 001010・・・・ Private mode

2

nd

_Approach

To a Consumer 101101001… …101 Globally Unique ID Class ID Pure ID

Option 1:

Option 2:

…101 101101001… To a Consumer 011010… User-defined Class ID (Rewritable) …101 011010… User-defined Class ID (Rewritable) Killed

Class ID:the field related the object type.

Pure ID:the field to identify the object in the type.

2

nd

_Approach

• The owner can identify,

• Other users cannot, from

user-defined Class ID

and

Pure ID

.

• The users who can see the object may identify:

on-site identification

– A repairer can know the product type (sometimes from the barcode) and identify from the Pure ID.

• Privacy is protected

by default

(without the owners’

labor)

– Object cannot be identified only by Pure ID.

• Privacy is

visible

by physically-separated RFID tags.

MIT AUTO-IDセンターの研究

By Weis, Sarma, Rivest, Engels(2003)

• ハッシュ関数をタグに埋め込む

– 匿名性の確保

• 乱数生成期をタグに埋め込む

– リンク可能性の回避

リーダー RFIDタグ Who are you?

hash(ID | 乱数r), r ID ID Compute and compare: hash(ID| r)

MIT AUTO-IDセンターの研究

By Weis, Sarma, Rivest, Engels(2003)

|

ハッシュ関数をタグに埋め込む

z

匿名性の確保

|

乱数生成期をタグに埋め込む

z

リンク可能性の回避

リーダー RFIDタグ

Who are you?

hash(ID | 乱数r), r

ID ID

RFIDのプライバシ研究

| CSS2003

z Foｒward-Secure RFID Privacy Protection for Low-cost RFID *大久保 美也子，鈴木 幸太郎，木 下 真吾（NTT） z RFIDプライバシー保護を実現する可変秘匿ID方式 *木下 真吾，星野 文学，小室 智之，藤村 明 子，大久保 美也子（NTT) z RFID偽造防止方式 *小林 信博，中川路 哲男（三菱電機） z 法制度から見たRFIDプライバシー保護実現手段に関する考察 *藤村 明子，鈴木 幸太郎，木下 真 吾，森田 光（NTT) | SCIS2004

z Pretty-Simple Privacy Enhanced RFID and Its Application

◎Dingzhe Liu (University of Tokyo), Kazukuni Kobara (University of Tokyo), Hideki Imai (University of Tokyo)

z RFIDタグの匿名性を高めたID情報可変方式

◎齊藤 純一郎 (九州大学), 櫻井 幸一 (九州大学)

z Hash-Chain Based Forward-Secure Privacy Protection Scheme for Low-Cost RFID ○大久保美也子 (NTT), 鈴木幸太郎 (NTT), 木下真吾 (NTT) z 防災用RFIDのセキュリティ要件に関する考察 ○滝澤修 (通信総合研究所), 田中秀磨 (通信総合研究所), 山村明弘 (通信総合 研究所) z RFIDプライバシー保護の実現に向けた法制度面の課題と提案 ◎藤村 明子 (NTT), 鈴木 幸太郎 (NTT), 木下 真吾 (NTT), 森田 光 (NTT)

我々の研究

| 井上 創造 and 安浦 寛人, ``RFID におけるプライバシを守るため の ID 管理方法について'', 情報処理学会研究報告, 2004-UBI-3 ユビキタスコンピューティングシステム（UBI）, Vol.2004, No.4, pp.63-68, Jan. 2004.

| Sozo Inoue and Hiroto Yasuura, ``RFID Privacy Using User-Controllable Uniqueness'', RFID Privacy Workshop, Nov. 2003.

| Sozo Inoue, Shin'ichi Konomi, and Hiroto Yasuura, ``Privacy in the Digitally Named World with RFID Tags'', Workshop on Socially-informed Design of Privacy-enhancing Solutions in Ubiquitous Computing, Sep. 2002.

Compared to Crypto. Approach

Crypto. Approach 2nd_Approach 1st_Approach ID Conflicts Cost Secure Rewrite Linkability Secure Rewrite Secure Rewrite ID Manipulation Visibility of Privacy Anonymity from remote Anonymity on site

デジタルネーミングに

求められる

セキュリティ

セキュリティへの要求

|

偽造

|

成りすまし（電子的）

|

盗聴→通信路の問題

|

Denial of Service攻撃→通信路の問題

|

リアルセキュリティ

z

盗難

z

災害

z

テロ

貨幣との比較

電子的に出 印刷 ユニークなID リーダがID を把握 各種センサー が額を把握 電子的な真性 確認手段 （＝遠隔からも 可能） 無し すかしや文様 （複数の手段， Visibility） 物理的な真性 確認手段 LSI技術 印刷技術 偽造防止技術 ID 価値 保有対象 RFID 貨幣 http://www.imes.boj.or. jp/cm/htmls/history_09 日本最初の 紙幣（１６００） http://www.imes.boj.or.j p/cm/htmls/history_22.h tm 最初の円紙幣 （１８７２）

セキュアRFIDへの課題

|

物理的な真性確認手段

z

LSI製造プロセスの特性ばらつきをよみ

とれるように？

z

そのほか複数の手段が必要

|

遠隔での真性確認手段

z

低コスト実装可能な暗号技術

z

真性を保証してくれる機関

システム技術の

発展可能性

デジタルネーミングの

信頼性

|

RFは不安定な通信

z 電波の干渉 z 電波の到達距離の制限 z RFIDタグ/リーダの設置場所や向き z RFIDタグ/リーダの移動速度 |

買い物かごの商品が本当にすべて認識されたのか？

→確認するのは大変

|

買い物かごの中にひとつだけ認識されていないもの

があった

→見つけるのは困難

RFIDの信頼性→システム自体の信頼性

I-404 I-407 I-403 I-405 I-406 I-408 I-409 I-402 W1 W3 W2 W4 W5 W6 W7 W8 W9 経路（長さ１０）：W1→W2→W3→W4 →W5→W3→W6→W7→W8→W9→W8

RFIDタグを移動させた場合の観測

30 携帯電話 （約1分） 50 鞄 （約1分） 37 速い （約30秒） 75 遅い （約1分30秒） 56 普通 （約1分） 平均再現率 (%) 再現率=認識できた事象の数/事象の数

RFIDシステムの認識ミス検出

|

仮に認識ミスが起こっても、

それらを確実に検知し、修正する必要

がある（システム全体での信頼性向上）

|

認識ミスをリアルタイムに検出する方法

の提案

z

グループ化

z

経路ルール

グループ化

データベース

反応していない

ものがあると推

測できる

経路ルール

ここを通っているはずだ

ということが推測できる

スーパーマーケットでの例

|

スーパーマーケットでの自動精算

z

商品の陳列棚、レジ、出口にリーダ

z

商品、かご、利用者にRFID

陳列棚

陳列棚

陳列棚

レジ

レジ

出口

| グループ化 z G_i={かご3, 商品10, 商品4, 利用者43} →レジのリーダで利用者43と商品4だけが認識された →商品10は認識されなかったこと（エラー）を検出できる | 経路ルール z RFIDがどのリーダで認識されたかの履歴 →経路ルールに違反することで、何らかのエラーを検出 できる

出口

陳列棚

レジ

グループ化と経路ルール

in スーパーマーケット

誤り検出と誤り修正による信頼性向上

誤り修正

自動

手動

誤り検出

認識の失敗

＝誤り

検出漏れ

信頼性向上のためのアプローチ

|

RFID情報システムにおける信頼性を向上さ

せるための基本概念

物理制約

現実世界

仮想世界

物理制約

物理制約

モノの情報 _{データベース}

物理制約を利用

して情報を補完

モノの性質や環境、

空間や時間の制約

誤りの数に対する再現率

再

現

率

(%)

誤りの数

再現率=

誤りの数に対する再現率（現

場）

再現率= 認識できた事象の数/事象の数 普通 遅い かばん 携帯電話 速い

再

現

率

(%)

誤りの数

効果のあるアプリケーション

信

頼

性

へ

の

要

求

高

低

勤怠管理 （従業員の追跡） POS システム （ユーザの経路追跡） 家電リサイクル 迷子検索 産廃物処理 （運搬経路追跡） 食品流通 （流通経路追跡） _{（スーパー、交通）}料金徴収系 航空手荷物管理 （ロストバゲッジ追跡） 図書管理 （貸し出し） エンターテイメント （ゲーム） 図書管理 （蔵書探索） アパレル流通 （流通経路追跡）

セキュリティへの応用

物品 IDモニター機関 （地域，組織単位） 所有者,利用者 Data Base ID ID ID ID ID検索検索 RFID RFID ID ID真性モニター真性モニター ID ID真性確認真性確認

まとめ

|

社会基盤システムの観点から見た デジ

タルネーミングの課題

1.

個人の権利と社会の秩序

2.

弱者にも不利にならないしかけ

3.

信頼性と安定性

4.

柔軟性と拡張可能性

5.

危機対応能力

6.

経済性