移动无线射频识别网络隐私安全探究

余 平

（重庆电子工程职业学院,重庆401331）

移动无线射频识别网络隐私安全探究

余 平

（重庆电子工程职业学院,重庆401331）

无线射频识别技术广泛应用在各种行业中。未来的射频技术出现新的趋势，阅读器被集成到移动设备中。而移动射频的技术的使用者是大量的普通用户,用户的安全和隐私是移动射频技术最优先考虑的问题。

移动RFID；RFID安全；RFID隐私

1 引言

对无处不在的网络来说，RFID（无线射频识别）已经成为网络技术中一种很重要的技术，RFID技术主要利用射频信号自动识别目标（一般称之为电子标签E-tag），获得目标中的信息。在这种网络中的用户可以在任何时候、任何地方通过网络服务获得信息。传统的RFID技术中，目标标签都是移动的而阅读器是固定的，通过固定的阅读器获得移动标签的信息，如商品的条码、图书借阅管理、运输检票系统等，他们的标签信息是移动的。而未来的RFID技术目标标签可以是固定的，阅读器可以是移动的，固定标签里包含大量信息供移动阅读器使用。基于移动通信服务的RFID就是为有移动阅读器的用户提供信息访问服务，在移动终端（如移动电话）中使用RFID阅读器可以在移动通信环境中获得某个目标上的有用信息。在未来，RFID标签将演化成具有网络功能的有源标签，也需要网络地址来进行通信，成为普通网络中很重要的组成部分而不仅仅是现在的无源标签模式。

2 移动RFID隐私安全要求

在移动RFID网络环境中，阅读器、标签和信息服务系统之间的数据交互与传统的固定RFID有明显的区别。在移动RFID网络中，由于移动阅读器中包含大量个人信息，不可避免出现用户隐私侵犯的安全问题：第一，由于移动RFID阅读器的移动特性，个人信息保护要求提高了；第二，由于移动通信和无线互连网络环境个人信息容易泄露；第三，移动RFID服务容易被非法使用或RFID标签信息容易被假冒和伪造。因此为了减少个人信息被侵权和泄露的威胁，要求在移动标签、终端和应用程序间开发新的安全技术确保个人信息安全。

移动RFID服务由相关的移动通信网络和基于RFID标签的RFID应用服务网络组成，与安全相关的服务组件有RFID标签、阅读器终端区域、移动通信网络区域、RFID应用服务网络区域。这些服务组件的安全需在移动服务网络中得到解决，本文就移动RFID网络安全提出一种新型的安全架构体系。

3 一种新型的安全架构体系

提供安全移动RFID服务需要一个综合的安全架构解决许多安全问题，比如区域之间的安全、个人隐私、认证、端到端安全、防止跟踪等。图1是一种概念性的安全框架体系，这种体系结构主要功能就是提供基于移动安全中间件，标签认证、标签跟踪防止、阅读器认证、消息安全、和个人隐私安全等信息保护，达到保护个人信息的目的。新的安全框架体系主要解决以下几个层面的安全问题。

图1 基于RFID技术安全框架体系结构图

3.1 增强手持移动设备平台安全

移动RFID技术的关键问题之一是如何快速使用移动RFID阅读器以及如何整合阅读器与安装在移动设备中的应用软件。面对大量的应用软件，开发独立的移动RFID中间件层是一个很好的选择。移动RFID中间件层管理RFID阅读器和应用逻辑层服务。这样基于移动RFID的应用逻辑层就可以集中实现商业逻辑的功能。

3.2 RFID标签访问控制和密码数据管理

移动RFID服务的移动终端平台要求一种安全功能标准来保证安全，此标准定义RFID标签信息数据安全、RFID系统通信之间的安全——包括OIS和ODS，设置标签口令安全、API（应用程序接口）安全包括同意执行主要标签控制命令。保证阅读器操作安全的RFID标签访问控制功能必须是扩展WIPI API功能的一部分。

3.3 RFID标签成人验证

移动RFID应用服务需要严格执行成人验证，目前，青少年甚至10岁以下的小学生都在使用移动手机。因此，他们很容易访问到成人的内容，因此，应该有严格和详尽的成人验证机制来防止未成年人接触到成人的内容，然而现在的验证主要在内容服务提供商，这就意味着网络服务（主要指ISP）不能控制非法的行为，比如不能限制成人内容行为，比严格控制访问成人内容更好的办法是协议解决方法，作为ISP商，应该对提供给用户健康和控制良好访问负责。

3.4 移动RFID私密保护服务系统

由于有可能被自动跟踪，RFID应用出现新的保密威胁。在移动RFID环境中，保密性是非常重要的问题，因为移动设备中安装有RFID阅读器，许多应用服务是基于B2C模型的。RPS（RFID隐私保护系统）给移动RFID环境下的用户提供了个人隐私保密服务。如果一个RFID用户拥有RFID标签产品，RPS可以让使用者控制他自己的信息，比如产品信息、分散信息、使用者个人的信息，等等。

现在，在学术界和行业里，都把隐私保护安全机制集中在标签/阅读器认证协议研究上。然而，这些都不能完全与现实RFID环境相适应，特别是与移动RFID应用程序不相适应。因此，有必要在RFID环境中找到一个合适的隐私保护机制；对这种环境，基于概要的隐私保护机制是多种保护措施中的一种。移动RFID的隐私保护框架描述了移动RFID服务环境隐私侵权的各种种类，对隐私保护要求，RFID隐私保护基本结构是建立在用户隐私概要上的。基于概要隐私保护服务的详细如图2所示。

图2 新型安全体系架构

RPS服务机制主要特征包含建立和管理业主的隐私保护策略，提供信息访问控制，这些信息通过业隐私策略联系业主个性化标签。报告责任结果、审计日志管理系统执行隐私审计。使用PRS功能主要个人隐私保护过程如下：

首先，移动RFID阅读器阅读标签身份，获得各种信息类型的网络地址，通过ODS解析过程把标签身份与产品信息统一起来；其次，应用服务器要求产品信息与标签身份连接起来；第三，通过RPS应用程序接收与产品信息相关联的个人隐私保护策略；最后，把由个人配置的隐私保护策略对应的产品信息保护得到保护，阅读器也获得保护策略。通过上面的过程，反映个人隐私保护策略的标签身份信息在全网中传播，就解决了个人隐私伪造的问题。

4 结论

当前各国都正积极研究移动RFID技术及相关安全标准，并努力开发相关技术。而移动RFID要大规模的发展和使用，安全标准和安全技术必须不断完善。本文提出的移动RFID新型的安全体系架构，主要体现在用户安全及隐私保护上。韩国在这一技术研究上已经开发出相应的服务应用并在2005年开始逐步使用。不过，在此安全体系结构上的标准仍然在逐步完善中。

[1]王连强，吕述望等.RFID系统中安全和隐私问题研究[J].计算机信息研究，2006，23（6）：12.

[2]余公平，蒋兴浩，李建华.Mobile RFID的安全和隐私问题研究[J].信息安全与通信保密，2007（5）：37.

[3]王鑫，李春茂.移动RFID隐私保护研究[J].广东通信技术，2007（2）：48.

[4]陈信刚，李超锋.移动RFID网络的安全性研究[J].广东通信技术，2007（11）：23.

Privacy Security in Mobile RFID Networks

YU Ping
（Chongqing College of Electronic Engineerig,Chongqing 401331,China）

RFID technology is widely used in various industries.In future the emergence of new trends are readers are integrated into mobile devices.Users security and privacy should be considered first in Mobile RFID for the Mobile RFID services scenario is based on end-user service.This paper describes the mobile RFID security and privacy threats,and addressing the security and privacy mobile RFID solution to the problem.

Mobile RFID；RFID security；RFID privacy

TP39

A

1674－5787（2010）01－0091－02

2009-12-15

（1969—），女，重庆江津人，重庆电子工程职业学院，工程师。

责任编辑 王荣辉