Access and privacy control enforcement in RFID middleware systems: Proposal and implementation on the Fosstrak platform

International audienceRadio Frequency IDentification (RFID) technology offers a new way of automating the identification and storing of information in RFID tags. The emerging opportunities for the use of RFID technology in human centric applications like monitoring and indoor guidance systems indicate how important this topic is in term of privacy. Holding privacy issues from the early stages of RFID data collection helps to master the data view before translating it into business events and storing it in databases. An RFID middleware is the entity that sits between tag readers and database applications. It is in charge of collecting, filtering and aggregating the requested events from heterogeneous RFID environments. Thus, the system, at this point, is likely to suffer from parameter manipulation and eavesdropping, raising privacy concerns. In this paper, we propose an access and privacy controller module that adds a security level to the RFID middleware standardized by the EPCglobal consortium. We provide a privacy policy-driven model using some enhanced contextual concepts of the extended Role Based Access Control model, namely the purpose, the accuracy and the consent principles. We also use the provisional context to model security rules whose activation depends on the history of previously performed actions. To show the feasibility of our privacy enforcement model, we first provide a proof-of-concept prototype integrated into the middleware of the Fosstrak platform, then evaluate the performance of the integrated module in terms of execution time

KEDGEN2: A key establishment and derivation protocol for EPC Gen2 RFID systems

International audienceThe EPC Class-1 Generation-2 (Gen2 for short) is a Radio Frequency IDentification (RFID) technology that is gaining a prominent place in several domains. However, the Gen2 standard lacks verifiable security functionalities. Eavesdropping attacks can, for instance, affect the security of applications based on the Gen2 technology. To address this problem, RFID tags must be equipped with a robust mechanism to authenticate readers before authorising them to access their data. In this paper, we propose a key establishment and derivation protocol, which is applied at both identification phase and those remainder operations requiring security. Our solution is based on a pseudorandom number generator that uses a low computational workload, while ensuring long term secure communication to protect the secrecy of the exchanged data. Mutual authentication of the tag and the sensor and strong notions of secrecy such as forward and backward secrecy are analysed, and we prove formally that after being amended, our protocol is secure with respect to these properties

Sécurité et protection de la vie privée dans les systèmes RFID, appliquées aux réseaux EPCglobal

La technologie Radio Frequency IDentification (RFID) est un moyen d'automatiser l'identification et le stockage des informations dans des étiquettes RFID. Ces étiquettes peuvent être fixées ou intégrées à un objet à identifier et sont lues par un lecteur RFID. Electronic Product Code (EPC) Classe 1 Génération 2 (appelé Gen2) est un exemple typique des étiquettes RFID passives. Il représente l'élément clé d'une architecture RFID, nommée EPCglobal network. Ces étiquettes peuvent contenir plus d'informations qu'un simple identifiant, comme les données personnelles du porteur de l'étiquette. Par conséquent, des protections sont nécessaires pour protéger la vie privée du porteur. Dans cette thèse, je propose un contrôle des données relatives à la vie privée à deux niveaux de l'architecture EPCglobal, pour que seules les entités autorisées puissent récupérer ou modifier les données à caractère privé. L'objectif est d'assurer que l'échange de données depuis les étiquettes RFID vers les middleware et applications d'entreprise répond aux exigences de confidentialité, dans un environnement où le contrôle de la vie privée est primordial, par exemple, les systèmes de suivi de la santé à domicile. La première partie de la thèse est dédiée à la protection des échanges de données entre les lecteurs et les étiquettes RFID passives. Je présente un protocole d'établissement et de dérivation de clés dans les systèmes Gen2, appelé KEDGEN2. Il traite les insuffisances du modèle de sécurité du standard quant à l'accès à la mémoire de l'étiquette. Le protocole a été spécifié en utilisant le langage HLPSL (High Level Protocol Specification Language) et des propriétés de sécurité (authentification mutuelle, forward secrecy et backward secrecy pour la persistance de la confidentialité) ont été prouvées grâce à des techniques de model checking via l'outil CL-AtSe (Constraint-Logic based Attack Searcher). Le mécanisme de dérivation de clés pseudo-alétaoires repose sur une adaptation du système de chiffrement Solitaire. Pour compléter notre approche, la deuxième partie de cette thèse ajoute un filtre au niveau des données collectées par l'intergiciel RFID (appelé middleware). Ce composant se situe entre les lecteurs d'étiquettes et les bases de données applicatives. Il est en charge de collecter, filtrer et agréger des événements issus d'environnements RFID hétérogènes. Pour protéger ce composant des lectures malveillantes, l'approche que je propose est centrée sur l'utilisateur, qui peut définir la politique de vie privée s'appliquant aux données agrégées par le middleware. Elle intégre (i) la mise en oeuvre d'une politique de vie privée sans interférer avec l'interface standard du middleware, (ii) l'expression des préférences de vie privée en utilisant le modèle PrivOrBAC et (iii) la prise en compte des dimensions de declaration de l'objectif de la requête, de précision des résultats générés, et de consentement explicite de l'utilisateur. Un prototype a été développé pour illustrer la faisabilité de l'approche et a été appliqué à l'infrastructure open-source Fosstrak.Radio Frequency IDentification (RFID) provides a way to automate identification and to store information in individual RFID tags. These tags can be attached or embedded in an item to be identified and are read when they enter a RFID reader's antenna field. The Electronic Product Code (EPC) Class 1 Generation 2 (Gen2 for short) is a proper example of passive RFID technology. It represents the key component of an RFID architecture named EPCglobal network. However, if the tag carries more than just an identifier, the privacy of the tag holder may be violated. In this thesis, we deal with privacy issues in two levels of the EPCglobal network to only let authorized entities access private data. Our goal is to ensure that the data exchange from RFID tags to middleware and enterprise applications guarantees the privacy requirements, in environments where privacy control is paramount, e.g., home healthcare monitoring systems. The first part of this dissertation is dedicated to securing data exchange between RFID readers and passive tags. We provide a key establishment and derivation protocol for Gen2 systems, called KEDGEN2, to handle the flawed security model of the Gen2 tag memory access. KEDGEN2 achieves secure data exchange, based on a key generation model adapted to Gen2 tags. To prove the security of our model, we specify the protocol using the High Level Protocol Specification Language (HLPSL) and verify the expected security properties, using the Constraint-Logic based Attack Searcher (CL-AtSe) model checking tool. The current version of the protocol guarantees mutual authentication of participants and forward secrecy of the keys in the presence of active adversaries. It also guarantees backward secrecy with active adversaries bounded by limited communication range, which is consistent with typical RFID environments. As for derived keys, we propose adapting the Solitaire cipher, as a Pseudo-random Number Generator. To complement our approach, an additional filter is added and described in the second part of this dissertation. We focus on the collection of tag information through the RFID middleware component. The middleware is a central point that sits between RFID readers and database applications. It is in charge of collecting, filtering and aggregating the requested events from heterogeneous RFID environments. Thus, the system at this point is likely to suffer from parameter manipulation and eavesdropping, raising privacy concerns. We propose a privacy-enhanced approach as a part of the RFID middleware of the EPCglobal network, which does not interfere with the standard interface. Our approach is policy driven using some enhanced contextual concepts of the extended Role Based Access Control model. We use specifically, the PrivOrBAC privacy-aware model to store and manage privacy preferences, taking the declared purpose, the accuracy and the explicit consent, as privacy requirements. To show the feasibility of our approach, we provide a proof-of-concept prototype that we apply to the Fosstrak plateform, an open-source implementation of the EPCglobal specifications

Security and Privacy Controls in RFID Systems Applied to EPCglobal Networks

Radio Frequency IDentification (RFID) provides a way to automate identification and to store information in individual RFID tags. These tags can be attached or embedded in an item to be identified and are read when they enter a RFID reader's antenna field. The Electronic Product Code (EPC) Class 1 Generation 2 (Gen2 for short) is a proper example of passive RFID technology. It represents the key component of an RFID architecture named EPCglobal network. However, if the tag carries more than just an identifier, the privacy of the tag holder may be violated. In this thesis, we deal with privacy issues in two levels of the EPCglobal network to only let authorized entities access private data. Our goal is to ensure that the data exchange from RFID tags to middleware and enterprise applications guarantees the privacy requirements, in environments where privacy control is paramount, e.g., home healthcare monitoring systems. The first part of this dissertation is dedicated to securing data exchange between RFID readers and passive tags. We provide a key establishment and derivation protocol for Gen2 systems, called KEDGEN2, to handle the flawed security model of the Gen2 tag memory access. KEDGEN2 achieves secure data exchange, based on a key generation model adapted to Gen2 tags. To prove the security of our model, we specify the protocol using the High Level Protocol Specification Language (HLPSL) and verify the expected security properties, using the Constraint-Logic based Attack Searcher (CL-AtSe) model checking tool. The current version of the protocol guarantees mutual authentication of participants and forward secrecy of the keys in the presence of active adversaries. It also guarantees backward secrecy with active adversaries bounded by limited communication range, which is consistent with typical RFID environments. As for derived keys, we propose adapting the Solitaire cipher, as a Pseudo-random Number Generator. To complement our approach, an additional filter is added and described in the second part of this dissertation. We focus on the collection of tag information through the RFID middleware component. The middleware is a central point that sits between RFID readers and database applications. It is in charge of collecting, filtering and aggregating the requested events from heterogeneous RFID environments. Thus, the system at this point is likely to suffer from parameter manipulation and eavesdropping, raising privacy concerns. We propose a privacy-enhanced approach as a part of the RFID middleware of the EPCglobal network, which does not interfere with the standard interface. Our approach is policy driven using some enhanced contextual concepts of the extended Role Based Access Control model. We use specifically, the PrivOrBAC privacy-aware model to store and manage privacy preferences, taking the declared purpose, the accuracy and the explicit consent, as privacy requirements. To show the feasibility of our approach, we provide a proof-of-concept prototype that we apply to the Fosstrak plateform, an open-source implementation of the EPCglobal specifications.La thèse de Wiem Tounsi s'intéresse aux problèmes de sécurité que pose l'utilisation des étiquettes RFID (Radio Frequency IDentification). Ces étiquettes peuvent contenir plus d'information qu'un simple identifiant, comme les données médicales concernant le porteur de l'étiquette. Par conséquent, des protections sont nécessaires pour protéger la vie privée du porteur. La thèse propose de développer un contrôle de la vie privée à deux niveaux pour les réseaux EPCglobal (Electronic Product Code). Dans ce contexte, le standard EPCglobal est l'un des plus utilisés par la communauté RFID. Les principales contributions de la thèse sont développées en deux parties: - La première partie de la thèse est dédiée à la protection des échanges de données entre les lecteurs et les étiquettes RFID passives. Un protocole d¿établissement et de dérivation de clés, appelé KEDGEN2 a été défini pour les réseaux EPC de deuxième génération (GEN2). KEDGEN2 assure la sécurité des échanges de données reposant sur un modèle de génération de clés adapté aux étiquettes RFID GEN2. Le modèle a été spécifié en utilisant le langage HLPSL (High Level Protocol Specification Language) et des propriétés de sécurité (authentification forte, forward secrecy et backward secrecy pour la persistance de la confidentialité) ont été prouvées grâce à des techniques de model checking via l'outil CL-AtSe (Constraint-Logic based Attack Searcher). Le mécanisme de dérivation de clés pseudo-alétaoires repose sur une adaptation du système de chiffrement Solitaire. - La deuxième partie de la thèse se focalise sur la protection des données contenues dans les étiquettes quand elles sont collectées par le composant d'intergiciel RFID (appelé, middleware). Ce composant se situe entre les lecteurs d'étiquettes et les bases de données applicatives. Il est en charge de collecter, filtrer et agréger des événements issus et remontés à des environnements RFID hétérogènes. L'approche est centrée sur l'utilisateur, qui peut définir la politque de vie privée s'appliquant aux données collectées et agrégées par le middleware. Elle intégre les éléments suivants: (i) mise en oeuvre d'une politique de vie privée sans interférer avec l'interface standard du middleware, (ii) expression des préférences de vie privée en utilisant le modèle PrivOrBAC et (iii) prise en compte des dimensions d'objectif déclaré de la requête, de précision des résultats produits et de consentement explicite de l'utilisateur. Un prototype a été développé pour illustrer la faisabilité de l'approche et a été appliqué à l'infrastructure Fosstrak, une implémentation open-source des spécifications du standard EPCglobal.CESSON SEVIGNE-Télécom Breta (350512301) / SudocSudocFranceF

Security and Privacy Controls in RFID Systems Applied to EPCglobal Networks

La thèse de Wiem Tounsi s'intéresse aux problèmes de sécurité que pose l'utilisation des étiquettes RFID (Radio Frequency IDentification). Ces étiquettes peuvent contenir plus d'information qu'un simple identifiant, comme les données médicales concernant le porteur de l'étiquette. Par conséquent, des protections sont nécessaires pour protéger la vie privée du porteur. La thèse propose de développer un contrôle de la vie privée à deux niveaux pour les réseaux EPCglobal (Electronic Product Code). Dans ce contexte, le standard EPCglobal est l'un des plus utilisés par la communauté RFID. Les principales contributions de la thèse sont développées en deux parties: - La première partie de la thèse est dédiée à la protection des échanges de données entre les lecteurs et les étiquettes RFID passives. Un protocole d'établissement et de dérivation de clés, appelé KEDGEN2 a été défini pour les réseaux EPC de deuxième génération (GEN2). KEDGEN2 assure la sécurité des échanges de données reposant sur un modèle de génération de clés adapté aux étiquettes RFID GEN2. Le modèle a été spécifié en utilisant le langage HLPSL (High Level Protocol Specification Language) et des propriétés de sécurité (authentification forte, forward secrecy et backward secrecy pour la persistance de la confidentialité) ont été prouvées grâce à des techniques de model checking via l'outil CL-AtSe (Constraint-Logic based Attack Searcher). Le mécanisme de dérivation de clés pseudo-alétaoires repose sur une adaptation du système de chiffrement Solitaire. - La deuxième partie de la thèse se focalise sur la protection des données contenues dans les étiquettes quand elles sont collectées par le composant d'intergiciel RFID (appelé, middleware). Ce composant se situe entre les lecteurs d'étiquettes et les bases de données applicatives. Il est en charge de collecter, filtrer et agréger des événements issus et remontés à des environnements RFID hétérogènes. L'approche est centrée sur l'utilisateur, qui peut définir la politque de vie privée s'appliquant aux données collectées et agrégées par le middleware. Elle intégre les éléments suivants: (i) mise en oeuvre d'une politique de vie privée sans interférer avec l'interface standard du middleware, (ii) expression des préférences de vie privée en utilisant le modèle PrivOrBAC et (iii) prise en compte des dimensions d'objectif déclaré de la requête, de précision des résultats produits et de consentement explicite de l'utilisateur. Un prototype a été développé pour illustrer la faisabilité de l'approche et a été appliqué à l'infrastructure Fosstrak, une implémentation open-source des spécifications du standard EPCglobal.Radio Frequency IDentification (RFID) provides a way to automate identification and to store information in individual RFID tags. These tags can be attached or embedded in an item to be identified and are read when they enter a RFID reader's antenna field. The Electronic Product Code (EPC) Class 1 Generation 2 (Gen2 for short) is a proper example of passive RFID technology. It represents the key component of an RFID architecture named EPCglobal network. However, if the tag carries more than just an identifier, the privacy of the tag holder may be violated. In this thesis, we deal with privacy issues in two levels of the EPCglobal network to only let authorized entities access private data. Our goal is to ensure that the data exchange from RFID tags to middleware and enterprise applications guarantees the privacy requirements, in environments where privacy control is paramount, e.g., home healthcare monitoring systems. The first part of this dissertation is dedicated to securing data exchange between RFID readers and passive tags. We provide a key establishment and derivation protocol for Gen2 systems, called KEDGEN2, to handle the flawed security model of the Gen2 tag memory access. KEDGEN2 achieves secure data exchange, based on a key generation model adapted to Gen2 tags. To prove the security of our model, we specify the protocol using the High Level Protocol Specification Language (HLPSL) and verify the expected security properties, using the Constraint-Logic based Attack Searcher (CL-AtSe) model checking tool. The current version of the protocol guarantees mutual authentication of participants and forward secrecy of the keys in the presence of active adversaries. It also guarantees backward secrecy with active adversaries bounded by limited communication range, which is consistent with typical RFID environments. As for derived keys, we propose adapting the Solitaire cipher, as a Pseudo-random Number Generator. To complement our approach, an additional filter is added and described in the second part of this dissertation. We focus on the collection of tag information through the RFID middleware component. The middleware is a central point that sits between RFID readers and database applications. It is in charge of collecting, filtering and aggregating the requested events from heterogeneous RFID environments. Thus, the system at this point is likely to suffer from parameter manipulation and eavesdropping, raising privacy concerns. We propose a privacy-enhanced approach as a part of the RFID middleware of the EPCglobal network, which does not interfere with the standard interface. Our approach is policy driven using some enhanced contextual concepts of the extended Role Based Access Control model. We use specifically, the PrivOrBAC privacy-aware model to store and manage privacy preferences, taking the declared purpose, the accuracy and the explicit consent, as privacy requirements. To show the feasibility of our approach, we provide a proof-of-concept prototype that we apply to the Fosstrak plateform, an open-source implementation of the EPCglobal specifications.CESSON SEVIGNE-Télécom Breta (350512301) / SudocSudocFranceF

Privacy-enhanced Filtering and Collection Middleware in EPCglobal Networks

Abstract—Collection and distribution of Radio Frequency IDentification (RFID) data are subject to various privacy concerns. These concerns are of paramount importance when sensitive data are processed (e.g., medical data). Therefore, it is crucial to treat sensitive data privacy in early stages to master the data view for upper layers and to minimize, as soon as possible, the risk of unauthorized disclosures. While most recent works focus on securing the access and visibility of collected information in the final databases, data processed in the middleware do not seem involved in the process of privacy protection. Current EPCglobal standards for RFID also suffer from insufficient attention to this issue. In this paper, we propose a privacy controller module that enhances the Filtering and Collection (F&C) middleware of the EPCglobal network. We provide a privacy policy-driven model, using some enhanced contextual concepts of the extended Role Based Access Control model. The feasibility of our privacyenhanced model is proved by integrating our solution into the F&C middleware of the Fosstrak framework, an open-source implementation of the EPCglobal network specifications