RFID(Radio Frequency Identification)即无线射频识别系统,也称为无线IC标签、电子标签、感应式电子芯片、非接触卡等,它是一种透过无线电波来达到非接触的资料获取和存取的技术. 这种技术的应用面极广,可以将RFID标签嵌入人们身上的衣服,植入人体的芯片,携带的处方药,甚至欧洲中央银行已经将RFID标签嵌入到纸币中. 这给人们日常生活带来不少的方便,比如当在机场迷路,可通过读取手中的飞机票的信息,引导你找到你所要去的地方;当你要退还商品或者要求保修服务时,只要读取物品上的标签,就可以不凭发票享受到相应的保修服务.
据权威机构研究报告称,到2008 年,全球每年将使用200 亿个RFID标签,2010 年全球RFID市场将达到3 000 亿美元,那么个人隐私信息的保护已经成为一个急需考虑和解决的问题. 本文主要关注RFID技术对用户的隐私信息的影响,以及设计一个安全、可信的系统来保护用户的私有信息不被非法和不道德地使用.
1 RFID 标签信息读取系统架构设计
本文需要设计的系统包括3 部分:核心部分、策略设计部分、用户代理,系统结构如图1 所示.
1.1 核心部分
此部分采用Linux 操作系统,和硬件平台相联系的无线通信接口,通讯协议(TCP/IP),以及具有读取RFID 标签数据的基本功能. 它可以很好地和信任平台模块芯片(Trusted Platform Module)进行联系,并保证此模块可准确地反映读取器的配置,以及监控任何在核心部分运行的进程. 并且可保证核心程序上运行的各个具体应用程序无法修改核心部分的数据,核心部分进程也无法危害到信任平台的安全. 从保护用户的私有信息方面来讲,除非符合安全策略,RFID 标签的解密密钥才会被使用去解锁并读取用户的私人信息.
1.2 策略引擎部分
此部分是个能够使读取系统在隐私保护和界面友好的基础上进行操作的软件模块. 策略引擎部分有2 个主要部件:(1)决定这个标签是否可以由读取系统扫描,并决定是否有权限对读取的数据进行处理. (2)是否可以将RFID 信息读取后进行解码. 当需要一个密码去解密RFID 的某些特殊代号或者鉴别某个RFID 标签,策略引擎便会提供这个密码给核心部分,然后让核心部分去执行上述任务.同样需要这样的密码去升级策略引擎,或者将策略从一个读取系统移植到另一个读取系统时,无需改变下层的核心部分,即仍然可以使用原来的核心部分运行心的策略.
1.3 用户代理部分
此部分主要用于组织个人动态的执行信息保护策略并监控策略的执行情况. 该部分置于系统核心部分和策略引擎之上,并能使两者有效地结合从而为用户提供有效服务. 并且此部分带有系统审计功能,可以记录数据读取操作是否成功,而且这些记录和所应用的策略细节将会定期自动或手动地发送到远程信息审计组织手中. 如果系统遭受危险时,用户代理部分会发出警告,在合适的时候会终止RFID 标签的读取过程. 当信息保护策略发生变化的时候,还可以在不工作的情况下自动升级用户代理,减少人工干预的情形,从而可以保证某些特定的RFID 编码由信息保护策略中所规定的用户知晓.
设置用户代理,可以将昂贵的、周期性处理的信息保护策略审计工作转化为便宜的、实时的一个过程,设计这个用户代理可以自动、实时地完成复杂的监控过程,虽然不期望所有的策略都可以被自动连续的处理,至少可保证重要策略可被自动连续处理. 在实际应用中,小型组织并不需要实现所有策略的审计工作,而可以应用一组简单但适合本组织的一些标准策略. 但是需要注意的是用户代理程序进行的审计活动需要得到核心部分的进程的允许.
除了上述系统结构的改进设计外,从芯片硬件本身出发,还可以采用比如IBM 公司近期研究出来的使用“裁剪标签”技术的RFID 芯片. 消费者在完成购物后将RFID 天线扯掉或者刮除,使芯片读取距离将较以前大大减少,大大减少了隐私被泄露的可能性,同时保护了消费者、制造商和贸易商三方的利益不受损害.
2 设计思路
RFID 标签的信息(产品信息和产品唯一序列号等)需要被加密,因为当用户购买某产品后,用户信息就和此商品联系在了一起,当用户再次光顾时,商家就可以利用掌握的用户私人信息,为其提供以往消费的商品清单,这样对商家就很有利,对于用户可能不会因为历史消费记录中的消费金额不多而受到商家冷落. 但如果商家将用户信息转卖给第三方,那么第三方甚至可以获取和用户有关的信用记录,从而为用户造成不必要的麻烦. 这就需要对所购买产品的RFID 标签记录设置加密密钥,加密密钥可以由用户的手机或者特殊的智能卡随机产生,并且只有用户的手机和智能卡才能解密,从而保护用户的信息.
系统要求货物上货架时,其货物RFID 标签需要根据一定的锁策略随机以MD5 加密方式进行锁定;而这些加密密钥在读取系统的核心部分以应用进程的方式产生,而解除锁定的算法和解锁密钥由信任平台模块产生并管理,硬件配置的不同,策略设置的不同,使用的操作系统不同,通讯模式和配置的不同等,都会使信任平台产生进入数据保护系统密钥的不同. 而且不同的系统将会使用唯一的序列号,并且此数据保护系统密钥的计算方式需要此序列号的参与,从而保证每个系统的数据保护系统密钥的不同.
当一个标签被锁定,可以防止重要信息泄露,当解锁后,合适的信息就可以被读取. 当RFID标签被锁定后,将在RFID标签数据库上写上隐私标记位, 是由MD5 加密方式根据不同的锁定策略对应于标签ID加密后的值,不同的锁定策略所代表的标记不同的y y. 比如在超市购物时当用读取器读取的标签锁策略是“只能读取此标签ID所链接的商品价格”,则读取器就无法读取除价格外的任何其他信息,购买商品后,商家会给于该商品的解码方式,然后用户可以用自己的合法介质(比如信用卡,手机,PDA等)再对标签进行加锁,用来防止用户私人信息被周边的人窃取,当然也可以用介质对商品内容本身进行加密. 当用户回到自己家时,通过相应介质提供的解密方式进行解锁. 如果商品内容没有被加密,就可以让家里的任何设备读取相应的商品信息,从而做出相应的动作. 比如家里的烤箱读取需要烤制商品关于如何进行烤制的信息后,就自动调节温度和时间,从而自动地为用户烤制食物. 系统的信任平台模块能够在准备读取信息时,先判断RFID标签是否加锁(没有加锁将发出警报),然后分析加的是什么锁(即采用何种锁策略),并根据策略引擎解读相应的策略,读取标签中相应的信息.
如果相应商品信息内容在购买后被此设备进行过加密,当用户需要读出相应信息时,可以通过此读取设备的系统内核,根据策略引擎的要求调用信任平台模块芯片密钥数据库中的相应解密密钥进行解密,从而使用该商品.
在世界范围内,一些著名的RFID技术公司认同利用加密技术来防止用户隐私的外泄并将其商业化,比如近期丹麦的RFIDsec公司宣布将在2007年上半年推出以ISO 14443-A标准为基础的HFRFID芯片,此芯片将使用128 bit的密钥来开启标签上特殊数据的访问权限,且此密钥是由消费者购买后成了物品所有者所选择的数值和其他字符所组成的. 这样只有读取器与已知密钥的标签通信后,标签才会在读取器范围内响应并指出它们的存在,使未被授权的读取器无法非法读取所在范围内的芯片内容,甚至无法知道这些芯片的存在,从而用来专门来保护消费者的隐私.
3 可行的策略
在此将粗略勾画一些适合本文系统结构并可以被使用的策略,这些策略可以经过合理组合,并同样可以适用于小型组织机构的信息读取系统使用.
所有被读取的数据保存时间建议不要超过5min,不建议读取未使用信息保护策略或者信息保护策略设置较低的RFID标签. 如果所要读取的RFID标签芯片中设置了“隐私位(privacy bit)”,那么就不保留从这种标签中所读取的内容. “隐私位”是指设在RFID标签中的一个数据位,当设置此位为关,则RFID标签读取器可以读取标签中信息;如果设置为开,则表示此商品正在或者已经出售,读取器将无法读取标签信息. 如果商品属于某交易场所(如商店,卖场)并处于加锁状态RFID信息读取器可以读取标签信息标签的信息在输出前都需要被用户加密,只有用户知道解密方式用以清除标签访问信息,除非信息被输出.
一般来讲,任何指导读取系统行为都需要建立在设计好的策略的基础上,用户代理可以执行实时的策略审计工作,并把相关信息传送给被用户授权的具有合法访问权限的第三方,从而有效地按照不同用户的要求处理私有信息.
4 总结
总的来说,带有隐私保护的RFID 信息读取系统允许用户对自己的私人信息设置密码,并对这些密码再进行加密处理,从而很好地保护了用户的密钥信息,并对用户的信息进行双重保护. 系统对于用户数据的读取和保存依据特定的策略引擎产生的规则进行处理,从而防止读入和实际交易活动无关的数据,并规定了保存方式,从而从源头上防止了用户私人信息的泄露. 在原先为客户提供合适产品和购物方便的基础上,增加了客户对商家的信任度和忠诚度,保证了客户群的稳定,形成新的利润增长点.(fengminxing) |
