摘  要：RFID技术虽然给我们的日常生活带来了便利，但是此技术的广泛应用同样带来了个人信息安全的盲区。所以在不增加RFID标签成本和用户私人信息管理成本的前提下，提出了一个具有个人信息保护功能的新的系统结构，利用现有的RFID硬件，通过对信息的加密和策略管理，使系统自动、实时地对用户的个人信息进行权限控制和保护，从而加强对用户私有信息的管理和保护，提高用户对商家的信任度和忠诚度。

    无线射频识别(Radio Frequency  Identification，RFID)技术是一种非接触式的自动识别技术，它通过射频信号自动识别目标并获取相关数据，识别工作无须人工干预，相当于无线的条形码。该项技术应用前景广阔，当前已经在多个领域中得到广泛应用。但是，RFID带来的侵犯隐私问题，特别是用户跟踪识别性质，已经引起了相当的重视和反对。另外一方面，随着RFID逐渐应用于身份识别等认证领域，RFID的认证安全要求的提高，伪造RFID对应用产生的危害也逐渐体现出来。     

    1 RFID介绍 

    RFTID系统通常由附属于待标记物上的RFID芯片，通过射频与RFID芯片进行通讯的RFID读写器以及一个后台的数据库，其中存储了与该物件相关的信息。由于这些微小、便宜的芯片使得自动化非接触式的识别成为可能，如今RFID已经在多个领域得到了广泛的应用，例如：供应链管理、银行票据、访问控制、身份识别等等。但是，大多数RFID系统都面临一个识别安全和隐私保护的问题，事实上，这些问题在一定程度上阻止了RFID的发展。RFID芯片可分为被动和主动两种。被动RFID芯片由RFID阅读器提供能源。阅读器发送射频RFID从而激活一定范围内的芯片并提供能量。主动RFID芯片自带电源，其发送范围常常可达到数十甚至数百米，但是由于对尺寸、工艺的要求，使得这类芯片的价格不菲，其应用也往往受电源寿命限制。     

    RFID芯片又可分为只读和读写两种。只读芯片包含一个唯一的识别号，且无法更改。但是读写芯片允许更新其存储的信息。我们的方案适用于被动和主动的RFID芯片。由于该方案要求数据更新，只能适用于读写RFID芯片。    

    2 RFID安全现状 

    由于计算能力和存储容量受限，传统的密码学安全的协议通常无法实现在RFID系统中。另外，在芯片和读写器之间的开放式通信渠道也容易受到窃听，中间人攻击，Spoofing等。RFID安全问题[1]主要体现在下面几个方面：
     
    ① 系统安全：在一个开放式的RFID系统中，攻击者有多种入侵的渠道，可以选择多种攻击方式。例如Dos攻击就可以导致系统瘫痪。一个能够长期健康运行的系统是安全的前提。
    
    ② 隐私安全：信息泄露和用户跟踪是RFID隐私安全的主要问题。信息泄漏的解决方法是在RFID上仅仅保存一个ID，而将真正有用的信息存放在后台数据库中，通过ID来提取。但是这依然无法解决可跟踪的问题。用户跟踪问题相对复杂，其解决方法常常需要采用适当的ID刷新机制和数据库RFID同步机制。
    
    ③认证安全：与隐私安全相比较，认证安全受到的重视程度小得多。事实上，很多著名的RFID协议直接就忽略了认证安全。因此，大多数的RFID芯片都无法抵抗伪造攻击。只需要简单的阅读目标芯片，以后再重放得到的结果就可以成功克隆目标芯片。在分析RFID系统认证安全时，我们通常假定阅读器和后台数据库之间的通信渠道是安全的(例如通过一个双向SSL协议建立一个加密隧道)。所以我们重点关注芯片和阅读器之间的通信信道。认证可以在两个方向存在，当然双向认证协议相对复杂。    

    可跟踪的含义：由于RFID标签对任意阅读器的询问都会有响应(有的方案中，阅读器必须认证自身才能得到标签的响应)。可跟踪是指跟踪者能够对多次RFID标签的响应中区分出哪些来自于同一个标签。要区分密码学意义的跟踪和基于物理的跟踪两种概念，物理跟踪是利用算法之外的手段，比如直接跟踪持有者，在持有者身上安装无线电发射装置等等。密码学意义的跟踪对被研究的标签的多次询问之间’的时间、地点不作任何假设，比如第一次询问样本也许来自于根据互联网收集到的零星的交易数据，而第二次询问样本来自于某标签对阅读器的查询应答，跟踪者是否能够区分两次交易来自于同一个标签。    

    3 带有个人信息保护的RFID标签信息读取模块设计  

    硬件平台(信任平台模块芯片)可以参照美国得克萨斯器械公司设计的读取他们公司的Tag—ItTM(HF)RFID 标签的设备[2]，但需要修改其密钥存储数据库。设计时需要考虑的模块为核心部分、策略设计部分、用户代理。系统的详细结构见图1。 

    核心部分：此部分采用操作系统(Linux)，和硬件平台相联系的无线通信接口，通讯协议(TCP／IP)，以及读取RFID标签数据的基本功能。它可以很好的和信任平台模块芯片(Trusted Platform Module)进行联系并保证此模块总是可以准确的反映读取器的配置和监控任何在核心部分运行的进程。并且在核心程序上运行的各个具体应用无法修改核心部分的数据，核心部分进程也无法危害到信任平台的安全。从保护用户的私有信息方面来讲，除非符合安全策略，RFID标签的解密密钥才会被使用去解锁并读取用户的私人信息。     

    策略引擎：是读取系统在隐私保护和界面友好的基础上进行操作的软件模块。策略引擎部分有两个主要部件：

    ① 决定这个标签是否可以由读取系统扫描并决定是否有权限对读取的数据进行处理。②是否可以将RFID信息读取后进行解码。当需要一个密码去解密RFID 的某些特殊代号或者鉴别某个RFID标签，策略引擎便会提供这个密码给核心部分，然后让核心部分去执行上述任务。我们同样需要这样的密码去升级策略引擎或者将策略从一个读取系统移植到另一个读取系统时不用改变下层的核心部分，即仍然可以使用原来的核心部分运行的策略。     

    用户代理：用户代理基于系统核心部分和策略引擎之上并能和两者有效的结合从而为用户提供有效服务，用于执行信息保护策略并监控策略的执行情况同时兼备系统审计功能，保证某些特定的RFID编码由在信息保护策略中规定的用户可以知晓。     

    除了上述的系统结构的改进设计外，从芯片硬件本身出发，可以采用比如IBM 公司近期研究出来的使用“裁剪标签”技术的RFID芯片。消费者在完成购物后将RFID天线扯掉或者刮除，使芯片读取距离将较以前大大减少(减少到1至2in．)，大大减少了隐私被泄露的可能性，同时保护了消费者、制造商和贸易商三方的利益不受损害。