No capítulo 2 (secção 2.7) apresentou-se inicialmente um modelo genérico da arquitectura de referência que orienta a motivação e os objectivos da presente dissertação. Partindo dessa arqui- tectura, o capítulo 3 faz uma abordagem às tecnologias que podem ser consideradas para uma possível implementação dessa arquitectura. Apresentam-se assim diversas tecnologias de redes e discutem-se os seus principais mecanismos e serviços de segurança.
Relativamente às redes de área global, descritas na secção 3.1, a segurança fornecida pelo GSM é considerada inferior ao SSL ou IPSec, aspecto a ter em conta numa implementação da arquitectura de referência. Outro exemplo de diferenciamento de confiança nas soluções de segurança refere-se à eventual utilização de WEP em detrimento de WPA ou WPA2 no caso de se usar comunicação em redes 802.11.
Não estando nos objectivos da dissertação a correcção das vulnerabilidades ou fraquezas das soluções de segurança normalizadas nas tecnologias apresentadas, a observação principal a retirar é que essas vulnerabilidades justificam a inclusão de mecanismos complementares de segurança ao nível da arquitectura, para que essas fraquezas possam ser mitigadas.
Quanto à abordagem dos problemas de segurança em sistemas RFID destaca-se a proble- mática da implementação robusta de serviços de autenticação (nomeadamente a necessidade de mecanismos para autenticação mútua) e que assegurem condições de privacidade dos alvos. Os mecanismos para autenticação, confidencialidade e integridade para localização segura de alvos identificados por RFID, encontram desafios interessantes na concretização em dispositivos com capacidades muito limitadas, no que diz respeito à não possibilidade de adopção de métodos criptográficos computacionalmente e energeticamente muito exigentes.
Os protocolos apresentados e que são representativos da investigação recente, mostram ser possível suportar propriedades de segurança com métodos criptográficos simétricos e métodos de criptografia assimétrica de curva elíptica, compatibilizando-se os requisitos dos serviços de segurança, com a sua possível implementação prática em dispositivos de baixas capacidades em
recursos computacionais, bem como constrangimentos de disponibilidade e consumo de ener- gia, como os que podem ser adoptados na área dos dispositivos para detecção e alvos RFID.
Das considerações anteriores resultam pois dois aspectos fundamentais. Por um lado, na arquitectura de segurança deve prever-se forma de "pesar" diferentes métricas ou condições de risco que possam estar associadas à utilização de diferentes tecnologias de redes de comuni- cação. Esta pesagem deve corresponder a diferentes condições e garantias de segurança usadas como bases de confiança do sistema. A pesagem e o seu processamento deve estar igualmente associada a informação de detecção de localização sobre os mesmos alvos, que chegue em difer- entes condições espaço-temporais às estações centrais de rastreio, a partir de estações locais in- dependentes que estejam interligadas na arquitectura. Essa pesagem pode ainda ser combinada com processamento de acordos de agregação segura de dados de localização provenientes das diferentes estações independentes, detectando e descartando dados incorrectos e relevando os dados considerados mais confiáveis. Para tal, devem poder obter-se leituras replicadas realiza- das sobre o mesmo alvo, por parte de diferentes estações locais de monitorização, comunicando com diferentes opções de segurança com as estações centrais de rastreio.
Por outro lado, em nenhuma das soluções de segurança estudadas se contempla a possibi- lidade das estações locais de localização poderem operar com falhas ou operarem incorrecta- mente em decorrência de ataques por intrusão. É pois necessário incorporar na arquitectura de segurança os mecanismos anteriores e que possam funcionar como mecanismos adicionais de resistência face a essas intrusões. Finalmente são abordadas arquitecturas que exibem seme- lhanças com o modelo que pretendemos implementar, pois utilizam RFIDs para monitorização (ou tracking) de objectos, um servidor com uma base de dados de leituras e um mapa para vi- sualização. Nota-se no entanto que a abordagem de segurança nestes sistemas não leva em linha de conta as propriedades de segurança que se pretendem objectivar na dissertação, nomeada- mente (i) ao nível da resistência das estações face a falhas ou intrusões, (ii) cobertura e escala da solução, (iii) condições de ubiquidade, (iv) garantias de autenticação mútua e (v) avaliação do impacto energético desses protocolos e (vi) condições de latência dos protocolos e implicações na mobilidade dos alvos.
Este capítulo apresenta a proposta de uma arquitectura para identificação e localização segura de objectos móveis identificados por rádio-frequência, aprofundando o modelo inicialmente apre- sentado no capítulo 2 (secção 2.7). A arquitectura é inicialmente formalizada e posteriormente detalhada ao longo do capítulo, de acordo com o seguinte enquadramento:
• A secção 4.1 formaliza os conceitos e componentes principais da arquitectura e seus níveis de estruturação, apresentando as entidades do modelo arquitectural e apresentando o processamento realizado por essas entidades, aos diferentes níveis.
• A secção 4.2 clarifica a arquitectura instanciando-a a partir de dispositivos e tecnologias de comunicação que podem ser utilizados na sua materialização.
• A secção 4.3 apresenta os serviços de segurança da arquitectura. Estes serviços envolvem as diversas entidades principais que inter-operam na arquitectura, nomeadamente: (i) o protocolo de autenticação entre alvos RFID, estações locais e estações centrais de ras- treio; (ii) os mecanismos de garantia de privacidade dos alvos detectados pelas estações locais, (iii) a protecção das comunicações (que assegura autenticidade, confidencialidade e integridade dos fluxos de informação associados aos protocolos de detecção, identifi- cação e localização de alvos, trocados entre os alvos, estações de localização e estações centrais de rastreio) e (iv) o estabelecimento de consensos de localização geográfica de alvos RFID detectados por diferentes estações locais, de modo a suportar falhas e tolerar ataques por intrusão nessas mesmas estações.
• A secção 4.4 apresenta em detalhe o protocolo de autenticação entre alvos e estações de monitorização, sendo apresentadas as variantes do protocolo e suas propriedades.
• A secção 4.5 é dedicada à discussão das condições de mobilidade de alvos, tendo em vista a avaliação dos protocolos de autenticação face a essa mobilidade.
• A secção 4.6 apresenta em detalhe os mecanismos utilizados para estabelecimento do modelo de consenso confiável de localização geográfica de alvos RFID.