Projet PACA-ID GD

SP 1.2. - Etude prospective des besoins du réseau RFID communautaire

Participants : IBM (responsable), EURECOM, Carrefour, Orange Labs, GS1 France

Dr. Philippe Martin   -   Pr. Refik Molva

http://www.eurecom.fr/~martinph/PAC-ID/slides/

Délivrables SP1.2. (analyse des besoins et réseaux existants ; définitions fonctionnalités requises) :
- rapport d'analyse des besoins et de l'existant : T0 + 6 (juin 2008)
- document de spécification du réseau communautaire : T0 + 9 (septembre 2008)
- rapport final de l'étude : T0 + 12 (décembre 2008)

Délivrables SP4.1 (Conception de l'infrastructure du réseau RFID communautaire
      conforme aux standards internationaux et EPC Global mais non dépendant de EPC Network) :
- document de spécification du réseau communautaire : T0 + 9 (septembre 2008)
- document de spécification fonctionnelle des logiciels : T0 + 12 (décembre 2008)

Plan du rapport ?

1. Introduction
2. Périmètre des analyses   (les échanges inter-entreprises de Grande Distribution via le réseau et ses applications)
3. Analyse des besoins
4. Analyse des systèmes existants
5. Définition des fonctionnalités requises
6. Conclusion

Analyse des besoins

Revue de l'état de l'art et enquête auprès des acteurs du secteur de la Grande Distribution

• Fonctionnalités, fiabilité, extensibilité et
  sécurité (identité, confidentialité, traçabilité et protection des données privées) ?
• Pertinence d'un réseau équivalent à l'EPC Global Network ?
• Gouvernance : système de nommage indépendant des opérateurs internationaux ?
      - plusieurs racines ONS (possibilité : GS1 a la responsabilité de délivrer les codes uniques d'entreprises ;
        (manager's code) chaque code est une partie du code EPC du produit "tagué" et le rend unique)
      - respect des standards et accord international sur comment partager l'espace des codes par pays/racine
• Interopérabilité : interactions avec l'EPC Global Network et autres réseaux ?

Dimensions pour une décomposition et présentation :
- thèmes : fonctionnalités, fiabilité, extensibilité, sécurité, ...
- composants (étiquette, lecteur, réseau, application) ou services (lectures, ONS, DS, ...)
- acteurs/métiers : gestionnaire ONS / informatique, producteur, transporteur, vendeur, client final, ...
- ...

Analyse des systèmes existants

• Standards: from GS1 (EPCglobal standards, ...), ...
• Techniques: Deckard (system to detect changes of RFID tag ownership; Auto-ID labs), ...
• Recommendations for privacy:  from EPCglobal,  from the European Commision, ...
• Discovery Services: Afilias, ...
• Cluster of European RFID Projects (CERP):

  * BRIDGE (Building Radio Frequency IDentification for the Global Environment)
      EU project (July 2006-2009),  30 partners (GS1, Carrefour, Verisign UK, ...) in Europe+China,  15 work packages
      Demo (WP 15); Extended EPC net: EPCglobal net + BRIDGE applications (Track&Trace, Product Auth., EPedigree)

  * GRIFS (Global RFID Interoperability Forum for Standards), 2-year project starting Jan. 2008, coordinated by
      GS1, ETSI (European Telecommunications Standards Institute) et CEN (European Committee for Standardization)

  * PRIME (Privacy and Identity Management for Europe) , ASPIRE, CASAGRAS, ...

• IEEE RFID conferences/journals: IEEE RFID, RFID Journal LIVE!, ...
• Information repositories: DiscoverRFID, FILRFID, ...

Différences avec le WP4 (Security Analysis) de BRIDGE ?

WP4 participants : BT, ETH, SAP, TUG, ... GS1 UK, CAEN.

Tasks :

1. Security Analysis and Requirements : deployment of RFID tags -> business/social issues ?
2. RFID Tag Security (& privacy) issues
3. Anti-cloning RFID Tag techniques
4. RFID Trusted Network : trusted computing modules
5. Network Confidentiality : restricting the visibility of business events
6. Supply Chain Integrity : use of RBAC (Role Based Access Control), logging, auditing ...
7. Roadmap, Dissemination and Interoperability : conferences, working groups, ...

Analyse de la sécurité

Dimensions pour une décomposition et présentation :
- critères : identité, confidentialité, traçabilité, protection des données privées, ...
- composants (étiquette, lecteur, réseau, application) ou services (lectures, ONS, DS, ...)
- type de problemes : classiques, spécifiques aux RFIDs
- type d'attaquants : gestionnaire ONS / informatique, producteur, transporteur, vendeur, client final, ...
- scénari d'attaque : généraux, détaillés
- ...

Plan possible :
1. Problèmes classiques de sécurité   (sécurité opérationnelle)
    1.1. Scénari d'attaque
    1.2. Analyse classique détaillée
2. Problèmes plus spécifiques aux réseaux RFID
    2.1. Scénari d'attaque selon le type d'attaquant
    2.2. Analyse par composants et services


Premiers résultats : organisation sémantique de l'analyse de Bridge
    => possibilité de naviguer suivant n'importe quelle dimension

EURECOM

Ecole d'ingénieurs et centre de recherche en télécommunications

2nd partenaire du SP 1.2  (Étude Prospective des besoins du Réseau RFID Communautaire)
  et SP 4.1  ("Conception de l'Infrastructure du Réseau RFID Communautaire") de PAC-ID GD

Travail relatif au rapport actuel du SP 1.2   (135 pages)

• Ecriture de la Section 4 ("ANALYSE DE LA SÉCURITÉ"; 19 pages)
  et insertion de ses annexes (64 pages)
  
• Ecriture initiale des 3 solutions de base relatives à la
  "gouvernance" dans un réseau EPCglobal
  
• Organisation sémantique des concepts généraux et
  techniques liées à la sécurité dans le domaine des RFID