RFID(Radio Frequency Identification)即無線射頻識別系統(tǒng)，也稱為無線IC標(biāo)簽、電子標(biāo)簽、感應(yīng)式電子芯片、非接觸卡等，它是一種透過無線電波來達(dá)到非接觸的資料獲取和存取的技術(shù). 這種技術(shù)的應(yīng)用面極廣，可以將RFID標(biāo)簽嵌入人們身上的衣服，植入人體的芯片，攜帶的處方藥，甚至歐洲中央銀行已經(jīng)將RFID標(biāo)簽嵌入到紙幣中. 這給人們?nèi)粘Ｉ顜聿簧俚姆奖悖热绠?dāng)在機(jī)場迷路，可通過讀取手中的飛機(jī)票的信息，引導(dǎo)你找到你所要去的地方；當(dāng)你要退還商品或者要求保修服務(wù)時，只要讀取物品上的標(biāo)簽，就可以不憑發(fā)票享受到相應(yīng)的保修服務(wù).

據(jù)權(quán)威機(jī)構(gòu)研究報告稱，到2008 年，全球每年將使用200 億個RFID標(biāo)簽，2010 年全球RFID市場將達(dá)到3 000 億美元[3]，那么個人隱私信息的保護(hù)已經(jīng)成為一個急需考慮和解決的問題. 本文主要關(guān)注RFID技術(shù)對用戶的隱私信息的影響，以及設(shè)計一個安全、可信的系統(tǒng)來保護(hù)用戶的私有信息不被非法和不道德地使用.

1 RFID 標(biāo)簽信息讀取系統(tǒng)架構(gòu)設(shè)計

本文需要設(shè)計的系統(tǒng)包括3 部分：核心部分、策略設(shè)計部分、用戶代理，系統(tǒng)結(jié)構(gòu)如圖1 所示.

1.1 核心部分

此部分采用Linux 操作系統(tǒng)，和硬件平臺相聯(lián)系的無線通信接口，通訊協(xié)議(TCP/IP)，以及具有讀取RFID 標(biāo)簽數(shù)據(jù)的基本功能. 它可以很好地和信任平臺模塊芯片(Trusted Platform Module)進(jìn)行聯(lián)系，并保證此模塊可準(zhǔn)確地反映讀取器的配置，以及監(jiān)控任何在核心部分運行的進(jìn)程. 并且可保證核心程序上運行的各個具體應(yīng)用程序無法修改核心部分的數(shù)據(jù)，核心部分進(jìn)程也無法危害到信任平臺的安全. 從保護(hù)用戶的私有信息方面來講，除非符合安全策略，RFID 標(biāo)簽的解密密鑰才會被使用去解鎖并讀取用戶的私人信息.

1.2 策略引擎部分

此部分是個能夠使讀取系統(tǒng)在隱私保護(hù)和界面友好的基礎(chǔ)上進(jìn)行操作的軟件模塊. 策略引擎部分有2 個主要部件：(1)決定這個標(biāo)簽是否可以由讀取系統(tǒng)掃描，并決定是否有權(quán)限對讀取的數(shù)據(jù)進(jìn)行處理. (2)是否可以將RFID 信息讀取后進(jìn)行解碼. 當(dāng)需要一個密碼去解密RFID 的某些特殊代號或者鑒別某個RFID 標(biāo)簽，策略引擎便會提供這個密碼給核心部分，然后讓核心部分去執(zhí)行上述任務(wù).同樣需要這樣的密碼去升級策略引擎，或者將策略從一個讀取系統(tǒng)移植到另一個讀取系統(tǒng)時，無需改變下層的核心部分，即仍然可以使用原來的核心部分運行心的策略[5].

1.3 用戶代理部分

此部分主要用于組織個人動態(tài)的執(zhí)行信息保護(hù)策略并監(jiān)控策略的執(zhí)行情況. 該部分置于系統(tǒng)核心部分和策略引擎之上，并能使兩者有效地結(jié)合從而為用戶提供有效服務(wù). 并且此部分帶有系統(tǒng)審計功能，可以記錄數(shù)據(jù)讀取操作是否成功，而且這些記錄和所應(yīng)用的策略細(xì)節(jié)將會定期自動或手動地發(fā)送到遠(yuǎn)程信息審計組織手中. 如果系統(tǒng)遭受危險時，用戶代理部分會發(fā)出警告，在合適的時候會終止RFID 標(biāo)簽的讀取過程. 當(dāng)信息保護(hù)策略發(fā)生變化的時候，還可以在不工作的情況下自動升級用戶代理，減少人工干預(yù)的情形，從而可以保證某些特定的RFID 編碼由信息保護(hù)策略中所規(guī)定的用戶知曉.

設(shè)置用戶代理，可以將昂貴的、周期性處理的信息保護(hù)策略審計工作轉(zhuǎn)化為便宜的、實時的一個過程，設(shè)計這個用戶代理可以自動、實時地完成復(fù)雜的監(jiān)控過程，雖然不期望所有的策略都可以被自動連續(xù)的處理，至少可保證重要策略可被自動連續(xù)處理. 在實際應(yīng)用中，小型組織并不需要實現(xiàn)所有策略的審計工作[1]，而可以應(yīng)用一組簡單但適合本組織的一些標(biāo)準(zhǔn)策略. 但是需要注意的是用戶代理程序進(jìn)行的審計活動需要得到核心部分的進(jìn)程的允許.

除了上述系統(tǒng)結(jié)構(gòu)的改進(jìn)設(shè)計外，從芯片硬件本身出發(fā)，還可以采用比如IBM 公司近期研究出來的使用“裁剪標(biāo)簽”技術(shù)的RFID 芯片[6]. 消費者在完成購物后將RFID 天線扯掉或者刮除，使芯片讀取距離將較以前大大減少，大大減少了隱私被泄露的可能性，同時保護(hù)了消費者、制造商和貿(mào)易商三方的利益不受損害.

2 設(shè)計思路

RFID 標(biāo)簽的信息(產(chǎn)品信息和產(chǎn)品唯一序列號等)需要被加密，因為當(dāng)用戶購買某產(chǎn)品后，用戶信息就和此商品聯(lián)系在了一起，當(dāng)用戶再次光顧時，商家就可以利用掌握的用戶私人信息，為其提供以往消費的商品清單，這樣對商家就很有利，對于用戶可能不會因為歷史消費記錄中的消費金額不多而受到商家冷落. 但如果商家將用戶信息轉(zhuǎn)賣給第三方，那么第三方甚至可以獲取和用戶有關(guān)的信用記錄，從而為用戶造成不必要的麻煩. 這就需要對所購買產(chǎn)品的RFID 標(biāo)簽記錄設(shè)置加密密鑰，加密密鑰可以由用戶的手機(jī)或者特殊的智能卡隨機(jī)產(chǎn)生，并且只有用戶的手機(jī)和智能卡才能解密，從而保護(hù)用戶的信息.

系統(tǒng)要求貨物上貨架時，其貨物RFID 標(biāo)簽需要根據(jù)一定的鎖策略隨機(jī)以MD5 加密方式進(jìn)行鎖定；而這些加密密鑰在讀取系統(tǒng)的核心部分以應(yīng)用進(jìn)程的方式產(chǎn)生，而解除鎖定的算法和解鎖密鑰由信任平臺模塊產(chǎn)生并管理，硬件配置的不同，策略設(shè)置的不同，使用的操作系統(tǒng)不同，通訊模式和配置的不同等，都會使信任平臺產(chǎn)生進(jìn)入數(shù)據(jù)保護(hù)系統(tǒng)密鑰的不同. 而且不同的系統(tǒng)將會使用唯一的序列號，并且此數(shù)據(jù)保護(hù)系統(tǒng)密鑰的計算方式需要此序列號的參與，從而保證每個系統(tǒng)的數(shù)據(jù)保護(hù)系統(tǒng)密鑰的不同.

當(dāng)一個標(biāo)簽被鎖定，可以防止重要信息泄露，當(dāng)解鎖后，合適的信息就可以被讀取. 當(dāng)RFID標(biāo)簽被鎖定后，將在RFID標(biāo)簽數(shù)據(jù)庫上寫上隱私標(biāo)記
位， 是由MD5 加密方式根據(jù)不同的鎖定策略對應(yīng)于標(biāo)簽ID加密后的值，不同的鎖定策略所代表的標(biāo)記不同的y y[4]. 比如在超市購物時當(dāng)用讀取器讀取的標(biāo)簽鎖策略是“只能讀取此標(biāo)簽ID所鏈接的商品價格”，則讀取器就無法讀取除價格外的任何其他信息，購買商品后，商家會給于該商品的解碼方式，然后用戶可以用自己的合法介質(zhì)(比如信用卡，手機(jī)，PDA等)再對標(biāo)簽進(jìn)行加鎖，用來防止用戶私人信息被周邊的人竊取，當(dāng)然也可以用介質(zhì)對商品內(nèi)容本身進(jìn)行加密. 當(dāng)用戶回到自己家時，通過相應(yīng)介質(zhì)提供的解密方式進(jìn)行解鎖. 如果商品內(nèi)容沒有被加密，就可以讓家里的任何設(shè)備讀取相應(yīng)的商品信息，從而做出相應(yīng)的動作. 比如家里的烤箱讀取需要烤制商品關(guān)于如何進(jìn)行烤制的信息后，就自動調(diào)節(jié)溫度和時間，從而自動地為用戶烤制食物. 系統(tǒng)的信任平臺模塊能夠在準(zhǔn)備讀取信息時，先判斷RFID標(biāo)簽是否加鎖(沒有加鎖將發(fā)出警報)，然后分析加的是什么鎖(即采用何種鎖策略)，并根據(jù)策略引擎解讀相應(yīng)的策略，讀取標(biāo)簽中相應(yīng)的信息.

如果相應(yīng)商品信息內(nèi)容在購買后被此設(shè)備進(jìn)行過加密，當(dāng)用戶需要讀出相應(yīng)信息時，可以通過此讀取設(shè)備的系統(tǒng)內(nèi)核，根據(jù)策略引擎的要求調(diào)用信任平臺模塊芯片密鑰數(shù)據(jù)庫中的相應(yīng)解密密鑰進(jìn)行解密，從而使用該商品.

在世界范圍內(nèi)，一些著名的RFID技術(shù)公司認(rèn)同利用加密技術(shù)來防止用戶隱私的外泄并將其商業(yè)化，比如近期丹麥的RFIDsec公司宣布將在2007年上半年推出以ISO 14443-A標(biāo)準(zhǔn)為基礎(chǔ)的HFRFID芯片，此芯片將使用128 bit的密鑰來開啟標(biāo)簽上特殊數(shù)據(jù)的訪問權(quán)限，且此密鑰是由消費者購買后成了物品所有者所選擇的數(shù)值和其他字符所組成的. 這樣只有讀取器與已知密鑰的標(biāo)簽通信后，標(biāo)簽才會在讀取器范圍內(nèi)響應(yīng)并指出它們的存在，使未被授權(quán)的讀取器無法非法讀取所在范圍內(nèi)的芯片內(nèi)容，甚至無法知道這些芯片的存在，從而用來專門來保護(hù)消費者的隱私[7].

3 可行的策略

在此將粗略勾畫一些適合本文系統(tǒng)結(jié)構(gòu)并可以被使用的策略，這些策略可以經(jīng)過合理組合，并同樣可以適用于小型組織機(jī)構(gòu)的信息讀取系統(tǒng)使用.

所有被讀取的數(shù)據(jù)保存時間建議不要超過5min，不建議讀取未使用信息保護(hù)策略或者信息保護(hù)策略設(shè)置較低的RFID標(biāo)簽[2]. 如果所要讀取的RFID標(biāo)簽芯片中設(shè)置了“隱私位(privacy bit)”，那么就不保留從這種標(biāo)簽中所讀取的內(nèi)容. “隱私位”是指設(shè)在RFID標(biāo)簽中的一個數(shù)據(jù)位[4]，當(dāng)設(shè)置此位為關(guān)，則RFID標(biāo)簽讀取器可以讀取標(biāo)簽中信息；如果設(shè)置為開，則表示此商品正在或者已經(jīng)出售，讀取器將無法讀取標(biāo)簽信息. 如果商品屬于某交易場所(如商店，賣場)并處于加鎖狀態(tài)RFID信息讀取器可以讀取標(biāo)簽信息標(biāo)簽的信息在輸出前都需要被用戶加密，只有用戶知道解密方式用以清除標(biāo)簽訪問信息，除非信息被輸出[5].

一般來講，任何指導(dǎo)讀取系統(tǒng)行為都需要建立在設(shè)計好的策略的基礎(chǔ)上，用戶代理可以執(zhí)行實時的策略審計工作，并把相關(guān)信息傳送給被用戶授權(quán)的具有合法訪問權(quán)限的第三方，從而有效地按照不同用戶的要求處理私有信息.

4 總結(jié)

總的來說，帶有隱私保護(hù)的RFID 信息讀取系統(tǒng)允許用戶對自己的私人信息設(shè)置密碼，并對這些密碼再進(jìn)行加密處理，從而很好地保護(hù)了用戶的密鑰信息，并對用戶的信息進(jìn)行雙重保護(hù). 系統(tǒng)對于用戶數(shù)據(jù)的讀取和保存依據(jù)特定的策略引擎產(chǎn)生的規(guī)則進(jìn)行處理，從而防止讀入和實際交易活動無關(guān)的數(shù)據(jù)，并規(guī)定了保存方式，從而從源頭上防止了用戶私人信息的泄露. 在原先為客戶提供合適產(chǎn)品和購物方便的基礎(chǔ)上，增加了客戶對商家的信任度和忠誠度，保證了客戶群的穩(wěn)定，形成新的利潤增長點.

參考文獻(xiàn)：
[1] 游戰(zhàn)清, 李蘇劍. 無線射頻識別技術(shù)(RFID)理論與應(yīng)用[M]. 北京: 電子工業(yè)出版社, 2004.
[2] Juels A, Rivest R L, Szydlo M. The blocker tag: Selectiveblocking of RFID tags for consumer privacy[C]//Atluri V8th ACM conference on computer and communications security, 2002.
[3] 盈動國際資訊網(wǎng). RFID 標(biāo)簽2008 年將達(dá)200 億個[EB/OL]. [2005-06-15]. http://info.secu.hc360.com/2005/01/10125864471.shtml
[4] Vimercati C d, Syverson P. Wireless privacy in theelectronic societ[J]. ACM Press. 2004(4):1-8.
[5] 游戰(zhàn)清, 劉克勝, 張義強(qiáng). 無線射頻識別技術(shù)(RFID)規(guī)劃與實施[M]. 北京: 電子工業(yè)出版社, 2005.
[6] IBM. 推“隱私保護(hù)”標(biāo)簽設(shè)計方案[EB/OL]. [2006-05-15]. http://www.pcworld.com.cn/column/1/2006/0515/25.shtml.
[7] Jonathan Collins. RFID unveils privacy-protected Tags[EB/OL]. [2005-03-14]. http://www.rfidjournal.com/article/articleview/2445/1/1/.