基于分级的RFID隐私安全

本身也会被跟踪而带来安全隐患，此时的隐私威胁不仅涉及标签携带者，还关系到阅读器携带者的隐私。

　　4)阻止标签 由A.Juels，et a1.提出 ，不需要修改标签，而是在标签中加入一个称为隐私比特的可变比特，"0"把标签标识为公有标签;"1"把标签标识为隐私标签，用来防止对隐私标签的非授权扫描。

　　5)Hash.Lockl2 由S.Weis，et al.提出。标签收到查询请求时返回一个hash值，如果阅读器发送了正确的逆向hash值，标签返回其标识符，该方案需要对后台的标签和密钥管理应用单向hash函数。随机Hash Lock是一种改进方案，能确保本地隐私安全，然而后台必须完成大量hash工作，标签上还要有随机数产生器。还有一种"基于Hash的ID变化"方案，每次阅读器查询请求时标签改变一次标识符，需要在后台引入相关数据库。

　　此外，有人提出标签原始ID隐藏和clG2协议改进两种方法保护移动RFID的隐私安全。没有哪种方案可以确保RFID信息的安全，各种安全或隐私保护方法都有自身优势和不足。针对不同的应用场合，采取综合的保护策略才能更好的保护消费者权益，下面提出一种基于隐私分级的隐私保护策略。

　　3 基于分级的RFID隐私保护

　　3.1 系统结构

　　图2所示为隐私分级构架的核心部分。通过Pc等终端，标签拥有者可以设置标签的隐私等级(Privacy Leve1.PL)和接人控制等级(Access Control Leve1.ACL)。阅读器请求查询时标签返回已确定的PTJ，阅读器将其发送到后台Is，Is分析请求的数据包，并根据所设置的PL提供相对应的信息服务。

3.2 隐私分级(PL)

　　PL的设置包括PL设置和ACL设置两个部分。隐私等级表示所有者向公众开放信息的随意度。如表1所示，根据个人隐私敏感程度不同以及设置者的个人偏好和所处环境，标签中设置了5个PL。1级标签可以提供所有自身相关信息，而5级标签不会提供任何信息，即标签进入休眠或锁状态，除非收到激活码或解锁等口令信息，标签不会相应任何查询。

　　定义这样的PL对于在RFID分析所需的PL和贯彻隐私政策相当有用。

　　阅读器阅读标签时，标签确认其PL，然后把PL和其他所需信息像标识码一起发回到阅读器。如果需要屏蔽标签，就把标签的PL设置为5级，不响应任何查询。

　　通过传输已得到的包含PL信息的信息包，Is根据PL把相关信息发送至阅读器或应用系统。

　　3.3 接入控制分级(ACL)

　　对于确保隐私安全和根据隐私级别进行的标签高级安全管理，接人控制等级十分重要，有助于解决攻击者在未授权的情况下改变隐私等级。根据用户策略 (信息量的大小和重要性)可以把接人控制等级分两类：标签接人控制等级(ACL )和Is接人控制等级(ACL )，两者可共存，所需接人数据略有不同，表2所示为ACL 。为支持接人控制功能，IS需要有良好的性能和处理能力。

　　需要强调的是，接人控制等级和所需的接人信息成正比，为从标签或Is请求更高接人控制等级的数据，用户需要更安全的认证过程。表3所示为加入隐私等级和接人控制等级后的标签数据结构，其中Flag为ACL 控制标识，为0时关闭ACLIS，为1时启用ACLIS。

　　3.4 隐私保护机制

　　图3所示为所提出的隐私保护机制。图3中的控制者即为标签所有者，他根据个人的偏好、习惯等设置PL。

　　根据控制者的设定，在阅读器阅读标签时IS可以提供不同的信息。具体过程如下：

　　1)首先控制者根据表1中的PL将信息分级。然后根据等级分类结果，确定隐私等级PL 并写入标签。当然，该PTJ 可重复写。类似地，控制者通过等级设置系统(提供已定义的相关隐私策略模板和良好的用户接口)设置其自身的隐私策略。策略服务器中有两类策略：固有策略和控制者设置的策略(设置者可修改)，其中前者的优先级高于后者。

　　2)PL-r已定义并写进标签和IS后，系统进入隐私保护服务阶段。之前，RFID系统处于默认状态，只提供对隐私无害的非重要信息。

　　3)该机制的工作过程如下：

　　①阅读器访问标签时，标签自检其PL和ACL，根据不同的隐私等级或是接人控制等级，忽略阅读器的查询信息或发回包含标签ID，隐私等级和IS接人等级(Flag为0时)在内的信息包。

　　②如果阅读器收到标签数据包，它把数据包发到网络，由此阅读器在通过中间件或是ONS的ISURL解析之后请求接人IS。

　　③Is中首先就是解析收到的信息包，取回PLT和ACL 并予以验证。

　　④如果需要用户的接人控制，根据已定义的ACL进行用户验证，如果通过验证，转入⑤ ，否则忽略查询。

　　⑤Is依据PL处理请求提供相应信息。信息服务器储存事件日志并使用安全手段通报控制者。通过日志监测，标签所有者可以修改标签或IS中的PL 。

　　3.5 IS接入控制

接人控制由标签储存的IS接人控制等级确定，该信息应置于安全保护中