CN101111853A

CN101111853A - 数据交换的控制

Info

Publication number: CN101111853A
Application number: CNA2005800455275A
Authority: CN
Inventors: 安德列·亚索伯拉; 特雷弗·伯布里奇; 维韦卡南德·科尔高昂卡尔
Original assignee: British Telecommunications PLC
Current assignee: British Telecommunications PLC
Priority date: 2004-12-31
Filing date: 2005-12-23
Publication date: 2008-01-23
Anticipated expiration: 2025-12-23
Also published as: US8143995B2; EP1832039B1; JP4897704B2; WO2006070189A3; KR20070091215A; EP1832039A2; GB0428543D0; JP2008527484A; CN101111853B; US20080157927A1; KR101248336B1; HK1116278A1; WO2006070189A2

Abstract

本发明涉及数据交换的控制。提出了一种有源RFID装置(20)、用于控制与所述有源RFID装置(20)相关联的无源或半有源RFID装置(10)与RFID标签读/写器装置之间的数据交换的方法和系统；所述RFID标签读/写器装置具有相关联的数据交换装置(30)，所述数据交换装置(30)用于与无源或半有源RFID装置(10)交换数据；所述数据交换装置(30)被设置成提供指示与它们相关联的RFID标签读/写器装置的认证数据；并且所述有源RFID装置(20)包括以下装置：该装置用于根据适用于RFID标签读/写器装置的访问策略，使得能够进行所述无源或半有源RFID装置(10)与和所述数据交换装置(30)相关联的RFID标签读/写器装置之间的数据交换。

Description

数据交换的控制

技术领域

本发明涉及对在诸如商业组织的实体与诸如RFID标签的物品识别装置之间通过诸如RFID标签读取器和/或写入器装置的数据交换装置进行的数据交换的控制。

背景技术

目前，射频识别(RFID)被视为可以从根本上改变信息处理方式的具有巨大潜力的可行的技术。RFID标签主要用在供应链中，由于在读取操作中无需瞄准线(line-of-sight)而使识别过程自动化。身份信息在许多应用领域中具有潜在的益处。

通常，RFID标签由具有小存储容量的集成电路和天线组成。一些称作“有源标签”的标签具有内部电源，该内部电源通常用于向任意处理电路供电并产生输出信号。其他称作“无源标签”的标签不具有任何内部电源。无源标签通常通过从读取器所产生的电磁场收集功率来获得对输入信号进行响应以及产生输出信号所需的能量。此外，存在称作“半有源”(或有时称作“半无源”)的标签，这种标签通常具有使标签的处理电路能够被恒定供电的小电源。因此，这种标签在开始任何处理之前不需要从输入信号收集功率，这使它们通常可以提供比无源标签更快的响应。

RFID标签通常保存与相关联的物理对象(例如，商品)有关的身份信息。在被读取器询问时，标签通常以可能指向后端数据库上的存储有关于该对象的详细信息(例如，有效日期、制造地点、当前位置等)的唯一位置的身份信息进行响应。用户可以基本上实时地得到该信息。

调查已再三表明，隐私是与将RFID技术运用于对商品加标签相关的最重要顾虑之一。简言之，如果对象被加了标签，则任何人利用RFID读取器都可以在未经该对象的拥有者或用户许可的情况下潜在地发现关于该对象、其拥有者或其用户的信息。持有RFID标签的个体可能受到暗中跟踪的影响，并且标签信息可能被用于收集个人信息并概括出用户偏好。相似的是，拥有加有RFID标签的产品的公司容易受到间谍的攻击。竞争者仅通过监视标签ID就可以跟踪他们的产品。

所有RFID标签都通过范围内的任何人都可以接收的射频频谱来操作。许多目前这一代的标签缺乏访问控制能力，因此包括恶意用户在内的任何人都可以读取存储在标签上的信息。存储在标签上的静态“唯一标识符”将加有标签的对象与拥有该对象的个体或公司联系起来。RFID标签的隐私顾虑的具体证据主要涉及以下问题：

-可跟踪能力：唯一的标识号使得未经授权的读取器可以在产品从一个读取器移动到另一个读取器时跟踪该产品。

-信息泄露：RFID标签载有关于与这些RFID标签相关联的产品的信息。恶意隐藏的读取器可以在未经拥有者批准的情况下收集产品信息。(例如，用户所拥有的加有RFID标签的产品于是提供了关于用户偏好的潜在有价值的信息。)

研究人员和产业积极分子已研究了用于缓解RFID隐私问题的不同方法。大多数方法由于将一些附加功能性结合到标签上、改变读取器-标签通信协议、或添加新的基础结构(例如，加密单元或专用标签)而增加了标签的费用。理想上，解决方案应以最低的成本提供适当的隐私保护。

Juels和Pappu[1]提出了一种使纸币能利用RFID的方法。欧元的序列号由RFID标签来携带，并通过加密方案而受到保护。计算设备对序列号进行重新加密，使得对纸币的可跟踪能力变得困难。该方案需要单个验证实体，并且与供应链情况中相似的是，其与多域系统不兼容。

[1]A.Juels and R.Pappu.“Squealing Euros：Privacy-Protection inRFID-Enabled Banknotes”.In R.Wright，ed.，Financial Cryptography’03，pages103-121.Springer-Verlag.2003.LNCS no.2742.

Weis、Sarma、Rivest和Engels[2]提出了几种用于提高RFID系统中的安全性的安全机制。他们基于窃听来识别攻击问题，并认识到标签到读取器通信的功率远弱于读取器到标签通信的功率。所提出的方案涉及散列函数的使用以及标签上的伪随机数生成器。该系统基于在后端服务器上进行的逆散列函数查询。

由于这些性质而使该方案对于大型零售商来说不切实际，并且仅能对相对少量标签的拥有者有效。此外，伪随机数生成器不能在现有RFID标签技术中实现。

[2]Sanjay E.Sarma，Stephen A.Weis，and Daniel W.Engels.“RFIDSystems and Security and Privacy Implications”.In Workshop onCryptographic Hardware and Embedded Systems，pages 454-470.LectureNotes in Computer Science，2002.

在“极简密码学(minimalist cryptography)”[3a]中，Juels提出了一种方法，在该方法中，标签包含不同预编程的假名。通过在各次读取操作中公开不同的假名，可以避免跟踪。经授权的读取器需要链接到数据库，以将假名关联到正确的ID。该方法的主要弱点是需要更新标签中的假名集。一种来自NTT实验室的更复杂的方法[3b]涉及用于自动更新包含在标签中的秘密信息的安全散列链表功能的使用。这种方法的基本原理在于：标签不应可预测地对读取器的询问进行响应。标签通过使用两个散列(H和G)函数来自主地刷新其标识符，并在各次读取时输出不同的假名。安全数据库可以将标签输出与产品信息进行映射，这是因为其可以访问用于生成标签输出序列的保密值。该解决方案遭遇可测量性问题，这是由于在没有经限定的分级命名结构的情况下，将假名关联到正确的ID是高成本的。

[3a]A.Juels.“Minimalist Cryptography for RFID Tags”.In C.Blundo，ed.，Security of Communication Networks(SCN)，2004.

[3b]Miyako Ohkubo，Koutarou Suzuki and Shingo Kinoshita：“Cryptographic Approach to“Privacy-Friendly”Tags”，believed to have beenpresented at MIT in November 2003.参见：http://lasecwww.epfl.ch/ ～gavoine/download/papers/OhkuboSK-2003-mit-paper.pdf

这些方案将一些附加功能性结合到标签上，以解决缺乏访问控制的问题。然而，这些方案的技术设想并不是明显可用的。RFID标签(特别是有可能得到广泛运用的那些RFID标签)具有若干资源限制和结构限制。

(1)“Juels和Pappu”的提议需要可信的第三方的方法，因此仅能在非常特殊的情境中有效。

(2)“Weis等人”的解决方案受到现有无源RFID标签中有限的可用资源量的限制。

(3)假名解决方案需要在标签上设置附加存储器。

在Juels、Rivest和Szydlo关于RFID阻塞器标签(Blocker Tag)的著作[4]以及Juels和Brainard关于软阻塞(Soft Blocking)方法的著作[5]中，概述了针对RFID标签所遇到的隐私问题和安全性问题的两种另选方法。这两种方法都描述了可以缓和某些潜在隐私问题的保密性增强解决方案。

“阻塞器标签”是一种破坏性方案，该方案通过模拟大型RFID标签集的存在来阻碍读取操作。其与“树遍历(tree-walking)”或ALOHA方案相互作用而对按照当前标签读取标准实现的单一化(singulation)处理起作用。阻塞器标签是一种用户四处携带用于隐私保护的专用装置，其防止隐私标签被读取。这种解决方案的主要缺点是对读取操作的破坏。该弱点破坏了该解决方案的实用性。

[4]“The Blocker Tag：Selective Blocking of RFD Tags for ConsumerPrivacy”.In V.Atluri，ed.8th ACM Conference on Computer andCommunications Security，pp.103-111.ACM Press.2003.

“软阻塞器(Soft Blocker)”方法是一种简单的方法，其向读取器表达RFID标签的保密首选项。这需要在读取器上设置保密代理并对标签进行分类。例如，被分类为私用的标签使读取器上的保密代理不公开该标签的值。在相同情况下，如果对经过阻塞器分类的标签进行读取，则保密性代理将过滤掉敏感的标签数据。该解决方案的主要优点在于其在策略实现方面的灵活性。可以针对不同情况任意地创建新的隐私策略。其主要弱点在于，需要对在读取器中实施的保密代理是否遵守标签分类进行检验的核查机制或强制服务。

[5] A.Juels and J.Brainard：“Soft Blocking：Flexible Blocker Tags onthe Cheap”.In S.De Capitani di Vimercati and P.Syverson，eds.，Workshopon Privacy in the Electronic Society(WPES)，2004.

Floerkemeier、Schneider和Langheinrich[6]讨论了称作“看门狗(Watchdog)”标签的另一种方法。这是一种有源标签，其偷听读取器与该标签之间的通信。看门狗标签可以将与读取器、读取操作的目的并且可能还有读取器的位置有关的识别信息记入日志。然后，使最终用户可以利用所收集的数据用于检查和验证目的。看门狗标签不提供隐私增强方法，但是可以增强读取器一标签交互作用的可见性。

[6]“Scanning with a Purpose-Supporting the Fair InformationPrinciples in RFID Protocols”，Christian Floerkemeier，Roland Schneider，Marc Langheinrich，Institute for Pervasive Computing ETH Zurich，Switzerland.

国际专利申请WO 2004/086290涉及利用称作“检验器”的设备来认证诸如RFID系统中的转发器的转发器的方法和系统。针对转发器计算出电子“水印”，并将其写入该转发器。当读取时，转发器将其自身的数据连同水印一起提供。独立的另一设备计算出正确的水印。为了认证该转发器，由检验器来比较二者并通知读取器，或者由读取器自身来进行该比较。

发明内容

根据本发明，提供了一种如权利要求1所述的控制装置。

同样根据本发明，提供了一种如权利要求20所述的控制数据交换的方法。

还根据本发明，提供了一种如权利要求21所述的用于控制数据交换的系统。

根据本发明的实施方式，可以保持必要的安全性要求和隐私要求，而不存在上述现有技术系统的缺点，具体地说，不需要对每个物品识别装置增添复杂性。具有根据本发明优选实施方式的控制装置的系统可以具有灵活以及与不同RFID标签方案兼容的优点。这些系统可以在不同区域之间运输(例如，航运)产品或交易产品的过程中提供有效的隐私保护，并且对于大型供应链情况可以特别有效地防止暗中读取和产品间谍。

尽管本发明的优选实施方式涉及用于与RFID物品识别装置(例如，已知的各种RFID标签)有关的用途的控制装置，但是可以预见，根据本发明的一些实施方式的控制装置可以用于与其他类型的物品识别装置有关的用途。

现有RFID标签的缺点之一在于，能够进行应用级的处理的有源标签的成本普遍过高，以致于不能将它们单独应用于大量低成本商品，然而，可用的较廉价的无源RFID标签仅能进行更多的基本功能，例如，利用预定响应来响应特定询问。本发明的特别有利的实施方式使得物品识别装置可以是简单且低成本的无源标签，但是由于根据本发明的控制装置的功能，安全、隐私的等级等可以是可控且灵活的，如同各物品识别装置具有较复杂的有源标签的功能。

对于某些优选实施方式，控制装置可以是RFID标签自身，在该情况下，可以将其称作控制标签。根据这种实施方式，为了能够进行控制标签的必要功能，控制装置通常是有源或至少半有源标签，但是本发明不旨在限于有源或半有源控制装置。

应注意，尽管经常将许多上述现有技术系统的问题措辞为隐私，但是实际上可以将这些问题视为控制问题。

根据本发明的控制装置可以被视为实施与“阻塞器标签”所使用的“opt-out”方法相对的“opt-in”方法。这些控制装置可以被视为提供访问控制，使得正当“opt-in”的实体可以访问包含在大量物品识别装置(例如，无源标签)中的信息。这些控制装置使得可以将访问控制功能从可信的第三方系统转移到控制装置，与可信的第三方不同，该控制装置可以方便地与物品识别装置所关联的物品一起(实际地)行进。

根据本发明实施方式的控制装置的作用可以是提供一种使存储在附着在产品上的无源标签组中的身份信息与可能存储在后端数据库中的这些产品的真实身份或关于它们的其他信息之间的关联安全的方法。可以通过诸如加密或假名的安全方案来保护标签身份信息。控制装置可以首先对读取器装置进行认证，然后向读取器提供对包含在无源标签中的信息进行访问所需的协议信息。

标签或其他这样的物品识别装置可以被视为分类为“私用”或“公用”。该分类可以使读取器能够确定哪个隐私策略适用于特定标签。公用标签可以将其自身的信息发送给读取器，而无需与控制装置交互。私用标签可以按加密格式发送身份信息。读取器在被允许访问加密的信息之前需要向控制装置认证其自身。

以下两种情况用于说明本发明的实施方式如何能应用于两个实施例情况，即，“运输环境”和“消费者环境”。

运输环境

作为应用实施例，可以考虑从公司“A”运输到公司“B”的具有100个产品的货架。各个产品都标有RFID标签。公司“A”将包含在货架上的所有标签都分类为私用。必需记住，私用标签仅对经授权的读取器公开信息。根据本发明实施方式的控制装置实际地安装在该货架上。该控制装置的主要作用是允许经授权的读取器访问标签上的信息。

公司“A”对控制装置进行编程。公司“A”利用公司“B”的证书以及访问产品身份所需的数据对控制装置进行编程。当货架被递送到公司“B”时，控制装置将利用证书来认证公司“B”的读取器并公开安全信息。该动作将向公司“B”提供读取包含在货架中的标签所必需的信息。在转移过程中被分类为私用的标签现在可以被分类为公司“B”的域内的公用标签。

当然，控制装置的行为可能比上述更复杂。例如，海关和运输公司可以访问产品或用于控制的与这些产品有关的信息以及运输信息。这可能需要公司“A”通过控制装置来委托对部分信息的访问。

消费者环境

除了Juels的著作[5]之外，先前的隐私技术都不提供任何针对“opt-in”方法的解决方案。控制装置方法使得可以在售出时(通过加密)对标签进行阻塞，然后在它们进入消费者域时对它们解除阻塞。通过该方式，可以重新使用最初被阻塞的标签。可以在消费者环境中使能新服务的潜在范围。

参见图1，可以考虑药物零售环境。在药物环境中，所有的标签都可能是私用的，并用于盘存目的。当产品被购买时，标签的“所有权”可以从零售商转给消费者。然后，可以利用访问标签所需的信息对消费者的控制装置进行更新。然后，用户能够在健康保健应用和远距保健(telecare)应用方面使用该标签。

在该情况下，控制装置可以防止向未经授权方公开医疗信息和健康记录，而保持用户的隐私和标签的功能。

鉴于以上情况，回顾先前针对RFID标签的隐私增强技术并了解这些技术失败的原因是有益的。这些技术经常依赖于实际上不可行的特征以及假设单个控制实体的解决方案。在可以更容易地利用更好的解决方案之前，零售商必需支持在售出时“取消(kill)”标签的选项。然而，该选项是高成本的，这是由于其需要在取消标签的技术方面的花费，并且阻碍了售后应用的机会。此外，用户不能人工检验标签是否已被取消，因而可能更偏好具有控制产品信息的选项。

当沿供应链分布产品时，多方可能为了盘存目的或售后应用而希望访问并重新使用产品标签。公司可能希望利用遗留的标识符对它们的财产加标签，该遗留的标识符有助于它们自动将具体产品与盘存信息相关联。例如，药品制造商可以将唯一的药品标识符连同具体药品信息一起存储在标签中。该信息应仅能由特定方(例如，药店、健康保健服务、最终用户和清算公司)访问。某些方(例如，药店、医院等)可能想要向标签添加更多的私用盘存信息。问题是如何确保标签仅能由经授权方来访问和读取，以及如何确保隐私得以维护？

下面评价哪些是现有解决方案可以实现的。

(1)一种方法可以是：在每次结帐时将新的信息集重新写入标签，并且仅下一个拥有者才可以访问该信息。这是一种有前景的解决方案，但是不适用于具有循环盘存(rotating inventory)的图书馆、租赁业和供应链。制造信息甚至对回收公司来说仍是有用的，因此不应清除该信息。

(2)另一种方法是引入对读取器进行认证的密码，但遗憾的是，密码可能被偷听或收集。密码方案还造成其他问题：针对标签集的单个密码可以容易地被破解，并且难以废除。

由于以上原因，现有解决方案不适用于在多方之间转移对标签的控制。产品的所有权可以在产品的寿命周期期间改变多次，并且用于公开产品信息的安全性要求和隐私要求也改变多次。在必要的程度上，拥有者与标签之间的关联必须是安全的。以上公开的隐私保护实现方式使得可以将标签视为具有“数据集”和“控制集”的组合，所述“数据集”可以包含ID和产品信息，所述“控制集”可以包含控制对数据集的公开的隐私策略。

本发明的实施方式通过控制装置来管理RFID标签的隐私。控制装置可以上载“控制集”(访问或隐私策略)，并控制对标签信息的公开和/或解译。当标签和/或产品的所有权被改变或被暂时转移时，控制装置可以将新授权的读取器与标签相关联。该模型可以用于各种不同的情况，并且与现有的RFID隐私和安全性解决方案相比，引入了一系列优点。

以下几个段落涉及RFID标签的与安全性相关的特性，以及这些特性如何与本发明的实施方式相关。

1、关联和数据机密性。标签不应向暗中的读取器或未经授权的读取器泄露身份、产品或盘存信息。根据优选实施方式，读取器装置在能够访问标签信息之前必需经控制装置认证，然后，使该读取器装置遵守相关的隐私策略。

2、经济可行性。大多数方法由于将一些附加功能性结合到标签上、改变读取器-标签通信协议、或添加新的基础结构(例如，加密单元或专用标签)而增加了标签的费用。这些方案大大增加了无源标签的成本。理想地，隐私解决方案应在不增加附加成本的情况下提供附加保护。根据本发明实施方式的控制装置的两个重要特征如下：

(1)控制装置可以实施所有的安全基元(primitive)来提供访问控制功能，而不对标签增加技术复杂性。

(2)控制装置可以“保护”大量无源标签。即使控制装置比普通无源标签昂贵得多，该特性也可以保持其经济上的优势。

(3)可以在供应链的任意点处去除控制装置。当读取器被授权访问特定标签时，可以认为该标签对于该读取器来说是公用的。

3、可靠性。结合附加装置或特定标签的现有方法(例如，前面讨论的“阻塞器标签”提议)可能对标签朝向敏感。在扫描时标签的发送功率取决于其垂直于天线的面积。如果隐私增强装置(例如，阻塞器标签)未很好地对准，则该装置有时会失效，因而无源标签可能泄露它们的身份信息。使用根据本发明优选实施方式的控制装置的系统使得标签可以在不在场的情况下“受到保护”。如果存在扫描问题，则信息不会被公开。该方法保护了隐私，但在一些情况下，可能妨碍对“私用”标签的使用。

4、灵活的隐私策略。在产品寿命周期期间，标签信息可能可以被不同的参与者(公司、用户等)访问。在某些应用中，某些读取器有可能仅被授权访问有限量的标签信息。可以将控制装置设置成同时携带针对多方的访问策略。根据一些实施方式，当将控制装置从一个参与者转移到另一参与者时，可以上载新的访问策略。可以按照以下方式建立系统：使得其身份已经认证且其访问策略允许(为了委托等目的)写入访问策略的读取器可以将附加访问策略写入到控制装置。

RFID标签/读取器通信的性质经常使得难以产生有效的隐私增强解决方案。RFID交互作用从根本上不同于在线交互作用的一个方面是缺乏诸如访问控制、认证和密钥建立的功能。RFID标准不允许对标签读取器的识别。在没有适当的识别过程的情况下，不能控制对标签信息的公开。

通常，读取器可以检测附近的标签并访问公用标签上的纯文本信息，但是不能访问私用标签上的信息。私用标签可以包含被加密和/或受保护的信息。标签通常存储有唯一的ID(UID)和关于与其(在物理上或仅在名义上)相关联的产品的信息。通常可以区分两种方法：

(i)EPC方法，在该方法中，标签仅携带唯一的ID，而将关于制造商和产品类型的信息编码在该标识符中；以及

(ii)存储器分区方法，在该方法中，标签存储器包含识别产品的ID以及用于存储关于标签所附着的对象的信息的附加字段。

根据本发明的实施方式，读取器建立与控制装置的安全通信，从而可以访问(“读取”访问、“写入”访问乃至“读取和写入”访问)私用标签。然后，控制装置可以实施基于角色的认证方案并检验隐私策略。这可能要求存储关于“RFID读取器”身份和角色的信息。在组织(organization)的情况下，角色可以表示功能集。这些功能可能包括角色读取、写入、添加或修改标签中的信息的能力，并取决于该标签的隐私策略。例如，在运输情况下，国境处的海关可以被赋予控制产品信息和添加关于税金或已缴税的信息的权限和能力。运输公司的角色可以包括访问运输信息和目的地信息的功能，而不能修改关于所运包裹的信息。

因此，控制装置可以提供使得能够在RFID系统中添加功能的很大灵活性。例如，隐私策略可能要求控制装置保持访问过标签信息的不同组织的日志文件。这使得目的地或核查员可以检验产品的运输，并确保没有未经授权的读取器访问私用信息。给定标签读取时的未来规则和限制，该记入日志的能力可以有助于防止和控制暗中的扫描操作。

如上所述，基于角色的策略可以在加有标签的产品沿供应链移动时向不同角色提供不同访问权限。此外，当产品到达新的拥有者时，可以向控制装置添加新的安全策略，并且可以向一个或更多个产品标签添加新的产品信息。这使得嵌套的域可以具有能够访问标签信息的读取器。在经授权的读取器为可信的假设下，这种委托特征是安全的。

在产品改变组织和消费者域时，控制装置或系统管理员可以直接准予或取消角色的访问权限。在一些情况下，可能要求读取器能够在有限时间内访问标签。在该情况下，控制装置可以分配在有限时间内有效并且在几次读取操作之后将被废弃的特殊密钥。

下面总结本发明的实施方式的一些主要特性：

-控制装置可以扩展标准RFID标签-读取器交互作用并在RFID标签中实现与前面讨论的“阻塞器标签”所使用的“opt-out”方法相对的“opt-in”方法。

-安全瞬时关联。无源标签在其通过未经授权的域时可以受到保护，但是可以通过由控制装置进行的基于角色的认证处理而容易地与经授权的读取器相关联。

-控制装置可以实现基于角色的认证方案。针对角色的准予访问和指定功能的动作(而不是较随意的访问控制方法)使得可以更加灵活地(scalable)管理访问控制权限。可以将角色与多个组织和多个功能相关联。

-控制装置可以提供用于实现附加功能(例如，(上述)记入日志)、公开与扫描处理相关联的附加信息、以及向特定角色准予和取消访问的特征的基本安全平台。

应注意的是，根据本发明的控制装置的概念可以应用于涉及无线传感器网络和低资源装置的不同应用。在由搜集军事应用中的敏感读数的多个节点组成的无线传感器网络中，例如，该控制装置可以用于确保这些节点仅将数据递送给正确的接收者，而不递送给敌人。

在访问传感器网络上的信息之前，读取器需经控制装置认证。在认证阶段中，控制装置递送对传感器网络中的信息进行访问所必需的安全信息。

附图说明

图1例示了与诸如药物或其他消费品的物品相关的“数据”和“控制”信息的概念；

图2例示了包括控制标签、多个ID标签、读取器和后端数据库的系统中的主要元素和交互作用；

图3例示了供应链情况或运输环境中控制标签的可能用途；

图4例示了包括根据本发明优选实施方式的控制装置的系统；

图5更详细地例示了可能发生在读取器与控制标签之间以及读取器与多个ID标签之间的交互作用的过程；

图6示出了RFID标签的可能特性；

图7示出了存储在控制标签上的访问策略的可能结构；

图8示出了根据本发明实施方式的利用控制标签进行读取器认证和数据公开的可能系统；

图9例示了利用本地密钥来保护本地域。

具体实施方式

下面将参照以上附图更详细地描述本发明的优选实施方式。根据下面将要描述的实施方式，控制装置将被称作控制标签，并将针对下述RFID系统对其进行描述。首先提供对控制标签特性的具体描述以及对访问控制处理如何工作的说明。第二部分涉及技术设计。

(前面讨论的)图1例示了对两个方面的分离：数据和控制。通常，物品识别标签可以包含与物品有关的数据或信息，涉及诸如以下的属性：物品的身份、物品的特性(例如，价格、生产日期和地点、目的地等)、物品的当前状态、关于物品的历史数据等。根据该信息是否受密码保护、被编码或受其他保护，标签读取器可以或不能访问该物品识别标签。根据现有技术系统，具有正确的密码、解密密钥或其他访问数据的任何读取器都将能够对存储在标签上的信息进行读取和/或解码/解密。具体地说，诸如简单且廉价的无源RFID标签的识别标签通常不配备辨认或识别不同标签读取器或向不同标签读取器提供不同响应的足够处理能力。通过将根据本发明实施方式的控制装置与这种简单的识别标签相关联，这种控制装置能够进行不同读取器能够与识别标签交换数据(即，读取和/或写入)的范围的管理。该“范围”可以包括：允许不同读取器访问不同数据级别，或访问与不同属性或属性的组合相关的数据。作为另一种选择，该“范围”可以包括：允许不同读取器具有不同类型的权限，例如，“只读”、“读取和写入”、“委托”(见下文)等。

控制标签的详情和特性

参照图2，示出了由以下四个元素组成的RFID系统：

(1)多个射频ID标签10，其分别附着在产品(未示出)上或以其他方式与产品相关联，并且分别携带唯一的ID(UID)以及关于产品的信息。这些ID标签优选地是廉价的，因此可能是无源标签。这些ID标签可以通过加密或假名方案来保持数据机密性。

(2)控制标签20，其为有源标签，其功能是控制对ID标签10上的数据的访问。控制标签20包括用于认证读取器30的密码基元，并能够选择性地分配可以使得能够对无源标签上的信息进行读取和/或写入访问的密钥。

(3)读取器或读取器/写入器30，其能够读取和/或写入ID标签数据，并利用控制标签进行适当的认证过程。

(4)读取器可以与能够将记录与该读取器所收集的ID标签信息相关联的后端数据库40相联系。

控制标签方案扩展了ID标签-读取器交互作用，并实现低资源ID标签保护它们的信息所需的访问控制能力。读取器30需要建立与控制标签20的安全通信，以获得授权并接收用于访问ID标签上的私用信息的使能数据或代码。

控制标签20通过存储与可能读取器30的身份和角色相关的信息来实现基于角色的认证。当访问被准予时，ID标签信息可以被访问和/或解密。

在进一步解释控制标签如何能够实现和/或增强适当的访问策略集之前，参照示出了“供应链情况”的图3再次考虑货物的运输是有启发的。

在该实施例中，控制标签方案使得当产品连同它们的关联ID标签一起移动通过多个域时，可以控制产品信息的发布。访问信息与产品相结合地沿供应链分布。通过控制标签、利用基于角色的认证处理来控制访问产品信息的权限。控制标签包含与准予或拒绝访问(可以包括读取和/或写入访问)相关的规则集。

下面参照图4，示出了对(不是单独示出的)物品的托运1，例如，从初始实体经由其他实体(例如，运输组织、仓库、海关等)运输到最终实体的商品。各个物品都具有附着在其上或以其他方式与其相关联的物品识别装置10(例如，RFID标签)。与托运1相关联的是控制装置20。目前拥有托运1的实体(未示出)具有RFID读取器/写入器或“数据交换设备”30，该“数据交换设备”30具有RF通信装置32和数据处理装置34。通信装置32包括发送器321和接收器322。控制装置20同样具有包括发送器221和接收器222的RF通信装置22，并且还具有数据认证器26和访问策略存储器28。该访问策略存储器存储有指示针对一个或更多个实体、或者可能是针对一个或更多类实体的“访问策略”的数据，所述“访问策略”涉及实体(或一类实体)被许可与和控制装置20所相关联的物品识别装置10交换数据的范围。

为了“认证”其自身，数据交换装置30的发送器321向控制装置20提供指示与该数据交换装置30相关联的实体的认证数据。控制装置20的接收器222接收该认证数据。根据该认证数据，认证器26参照访问策略存储器来确定哪个访问策略适用于当前实体(或一类实体)。然后，根据适用于该实体的访问策略，通信装置22的发送器221向数据交换装置30提供足以使其能够代表与其相关联的实体与物品识别装置10交换数据的访问数据。在从其与控制装置20的交互作用而获得了适于使得能够进行预期范围的访问的访问数据之后，数据交换装置30就能够直接与物品识别装置10在许可范围内进行交互，该交互可以包括向物品识别装置10发送读取和/或写入请求、或从它们接收响应、或其他可能的交互。

由控制装置20提供的访问数据可以采取“密码”形式，该“密码”是“触发”来自物品识别装置10的响应或解锁物品识别装置10所必需的，否则物品识别装置10不会泄露它们的安全数据。在该情况下，数据交换装置30与控制装置20之间的以上交互作用将在数据交换装置30与物品识别装置10之间的交互作用之前发生。作为另一种选择，由控制装置20提供的访问数据可以采取“密钥”形式，该“密钥”是对来自物品识别装置10的响应进行解码所必需的，否则仅以对于没有该密钥的读取器和/或实体来说无意义的形式泄露数据。在该情况下，数据交换装置30与控制装置20之间的以上交互作用可以在数据交换装置30与物品识别装置10之间的交互作用之前或之后发生。为了更高的安全性，访问数据可以包括以上两种类型的数据，或者可以包括允许其他形式的安全性保护的其他类型。

图5更详细地例示了可能发生在读取器R与控制标签A之间以及读取器R与多个ID标签T中的任一个之间的交互作用的过程。根据该实施方式，读取器R可以在与控制标签A交互之前(而不是之后)与ID标签T进行交互。

图5a引入了下面将使用的标号S1、S2、S3和S4，并示出了这些交互作用如何分别与以上关于图4所描述的那些交互作用相对应。交互作用S3和S4涉及读取器R与控制标签A之间的交换。交互作用S1和S2涉及读取器R与多个ID标签T中的与控制标签A相关联的任一个ID标签T之间的交换。

图5b示出了进一步说明图5a的流程图。下面将说明该流程图的步骤：

步骤Z1：在读取器R的相应通信装置与ID标签T之间建立第一连接S1。

步骤Z2：从受保护的ID标签T向读取器R发送信息代码字S2。

如果发现所发送的代码字受安全方案保护，则该处理继续进行到授权步骤：

步骤Z3：在步骤Z3中，例如通过读取器R的角色证书信息与标签所发送的代码字相关联地生成授权请求。然而，可能仅需要发送代码字的一部分。

步骤Z4：从读取器R向控制装置A发送授权请求。

步骤Z5：在后续步骤中，如果控制装置A发现步骤Z3中的信息有效，则控制装置A向读取器装置R发布访问数据。

步骤Z6：然后，读取器R执行这种对数据或功能的访问。

图5c例示了控制装置A已向读取器R发布了访问数据的情况。

图5d例示了当读取器R想要访问ID标签T中的一个ID标签一次以上、或想要访问ID标签中的一个以上的ID标签时所需的操作。

在一些实施方式中，例如图5d所示的实施方式，仅需要在第一次时执行与控制装置A的认证处理。在该情况下，读取器R不需要多次联系控制装置A，因此提高了读取操作的效率。

针对各交互作用，可以选择或要求不同的安全等级。例如可以使用以下安全等级：

-纯文本形式(不使用安全措施)的S1连接和消息。

-利用以下安全措施发送S2代码字：

-针对ID信息的假名

-对其它数据信息的加密

-通过安全通信信道发送S3和S4。所使用的协议取决于控制标签的通信协议。控制标签可以使用：802.11a、802.11b、802.11g、蓝牙、802.15.4或其他协议。

控制标签总结

首先，控制标签获得对ID标签的控制。在控制标签中上载与ID标签相关联的策略和共用机密。策略关联使控制标签控制ID标签。可以按不同方式上载策略。例如，可以假设控制标签类似于蓝牙设备。可以假设控制标签通过无线电通信信道获得关联。在该情况下需要证书交换协议。然后，需要将控制标签关联到ID标签的机制。在消费者情况应用中，标签可以在专用读取器附近，该专用读取器检验ID标签并在数据库或先前的控制标签中查询策略。然后，新的控制标签通过无线电信道获取正确的信息。

其次，控制标签委托访问。控制标签的主要特征是委托访问和管理访问控制的能力。当标签需要由读取器来读取时，该读取器可以从控制标签接收在可变时间量内读取该标签的权限。例如，在ID标签受访问密码或加密的保护的情况下，控制标签可以将访问委托给密码或密钥。该方案支持控制标签和读取器在每次该控制标签被委托给新的读取器时重新写入标签的访问密码。

RFID标签特性

在更详细地描述控制标签之前，将参照图6来讨论RFID标签技术的一些一般特性和特征。在当前应用中，UHF波段(860MHz至960MHz)中的RFID系统可以具有大至约7米的范围。在HF波段(13.56MHz)中，该范围降到1米或2米。一旦标签在读取器的范围中，该标签就可以预备发送包含在其存储器中的信息。在存在多个标签的情况下，可能需要防冲突协议来允许读取操作。一些现有技术使用“Aloha”型方法或诸如“二叉树遍历(binary tree walking)”协议的确定性方法。

如ISO/IEC 18000标准所说明的，标签可以包含可以由询问器写入和读取的寄存器组以及可以用于特殊目的的标记组(休眠、write_err、write_prot等)。扫描器可以使用读取命令来访问存储在标签中的信息。

可以假设一个寄存器包含“会话id”(或策略id)信息；该信息可以保持物品识别标签与控制标签之间的联系。其他寄存器可以包含加密格式的产品信息和通用ID代码。标记可以通知读取器该信息是公用还是私用的。

包含在RFID标签中的字段可能需要与控制标签相结合，因此可以在建立安全的关联之前将标签中的信息保持为私用。如下一部分中将看到的，根据所实施的机制，可以得到不同的安全等级和隐私等级。

控制标签-隐私策略上载

如上所述，当读取器想要访问标签上的信息时，必需联系控制标签。一旦读取器的身份得到认证，该读取器就可以请求用于访问该标签的安全信息。

当控制标签和ID标签的拥有者希望控制标签控制ID标签时，控制标签必需获取进行控制操作所必须的所有信息。该信息可以包含针对加密/假名的密钥、针对访问控制的密码、针对取消命令的取消密码以及针对读取器的访问控制策略，并且应以安全方式来传送。

可以使用基于角色的认证方案，基于角色的认证方案管理针对读取器应用的访问权限。可以将各个读取器关联到一个或更多个角色，并且可以分配各个角色在ID标签中读取或写入与一个或更多个类型或字段的信息相关的数据。读取器证书可以带来与读取器的身份、其角色以及实际操作者(例如，公司或其他这种实体)有关的信息。该证书应是全局唯一的，并使得控制标签可以建立与读取器的安全关系。

如果可以获得充足的电池电力，则读取器与控制标签之间的通信可以在针对低功率设备的标准通信协议(例如，Zigbee或蓝牙乃至802.11a/b/g)上进行。假设通信信道安全(机密性和认证特性)。

例如当创建控制标签或将控制标签分配给货物的托运时，可能需要安装根证书。为了管理目的，可能始终需要存在这种根证书。根证书的“拥有者”可以是可信的第三方。然后，可能必需上载不同的隐私策略和不同标签的密钥信息。要求访问特定RFID标签的角色可能需要上载该证书并将其与特定标签相关联。

可以将控制标签看作具有一系列相关联的方法(即，访问RFID标签的权限)的对象。基于角色的策略是一种声明，该声明针对可用的动作中的每一个指定读取器/扫描器应提供哪些凭证来说服控制标签准予其对RFID标签信息的访问。

委托

参照图7，可以赋予具有与特定ID标签和/或其信息相关的权限的角色将这些权限中的一些或全部委托给另一角色的权限。应慎重管理这种委托的能力。角色在上载新的策略时，通常仅能够委托对其自身可以访问的信息的访问，或委托其自身具有的权限。因此，受托角色通常仅被准予访问与委托角色相比相同(或较少)量的权限或信息。该方法使得能够进行同级之间的相互作用，并增强了所提出的方案的灵活性。

例如在以上参照图3描述的运输环境中，公司“A”可以上载各个产品上的ID标签的隐私策略。

(1)公司“A”可以与“会话id”信息以及访问标签的安全信息相关联地向控制标签上载公司“B”的证书。如果公司“B”是最终目的地，则可以设想公司B很可能具有与公司A相同的访问权限。

(2)隐私策略也可以准予运输公司访问。将上载指定该运输公司应访问哪些信息的角色证书。运输公司可以将该访问委托给第三方运输公司。

(3)隐私策略可以将访问权限授予海关，使得产品在通过国境时可以被自动检查。该角色例如可以提供在ID标签中写入信息的权限，以例如指示关税或税金已付。

读取器认证和数据公开

如上所述，该系统的优选实施方式假设各个物品标签上的标签信息受独特的安全密钥保护，控制标签向读取器提供正确的密钥或密码以访问正确的数据。参照图8，该方案可以按以下方式工作：

在初始化时，赋予各个物品标签会话ID，该会话ID是在盘存或产品信息方面无意义的数字，但是其使得控制标签和物品标签可以联系起来。这解决了知晓应公开哪个密钥的问题。会话ID可以用于保持物品标签与控制标签之间的联系。静态会话ID可能允许跟踪。如果认为跟踪是一个问题，则可以使用在每次读取操作时按照在某些方面与以上[3]中所概述的“假名”方法相似的方式刷新的动态会话ID。

(1)在读取操作过程中，ID标签(例如，RFID物品标签)发送由“会话ID”信息组成的消息(S_ID，私用)。

(2)然后，读取器通过安全通信信道利用“对”(证书，S_ID)(即，两种类型的信息：对应于访问策略的证书和“会话ID”信息，S_ID)来询问控制标签。如果该证书被认可，则控制标签公开访问存储在ID标签中的机密信息的密钥(S_ID，K1，K2，K3，...，Kn)。

(3)然后，读取器询问ID标签(S_ID)以获得包含在不同寄存器中的信息。以加密形式发送该信息，并且在读取操作时不公开该信息(S_ID，数据-1，数据-2，数据-3，...，数据-n)。在接收该信息时，读取器利用控制标签所公开的密钥来解密该信息。

总之，根据优选实施方式的控制标签使得标签-读取器交互作用可以得到扩展，实施“opt-in”方法来保护存储在ID标签中的信息。因此可以提供建立安全瞬时关联的方法，使得标签信息仅能由经授权的角色来访问。该方案的具体优点在于，不必修改现有RFID技术。可以使用合适的方法，以与RFID标签级0、1、2等兼容。

仍存在可能保证进一步关注的一些问题。仍可以通过静态“会话ID”字段和存储在寄存器中的静态数据信息来跟踪加有标签的产品。而且，迄今还未解决撤销(revocation)问题。当控制标签公开安全密钥信息时，ID标签可能变成对于接收它的读取器来说是公用的，因此可能无法撤销该权限。

本地密钥方法-针对跟踪保护和撤销控制

为了解决以上问题，可以向该方案添加某些形式的动态能力。这可能需要向物品ID标签添加一些基本安全功能。标签可以存储附加密钥并进行简单的加密功能。

参照图9，一种解决方案是添加在读取器、控制标签和物品标签之间共用的本地密钥。当物品标签被传送到新的域(改变标签所有权)时，改变本地密钥。该方法的基本思想是采用重新加密以使标签的“加密文本”表面上改变而隐含的纯文本保持不变。利用该方法，标签信息仅能公开给共用本地密钥的读取器。

经由安全通信信道可以容易地在读取器与控制标签之间共用本地密钥。然而，与物品标签共用秘密是较难的问题。

共用“秘密”的问题之一在于，无源窃听者可以窃听密钥共用操作。这里概述针对该问题的两种可能的解决方案：

-读取器通过非常短距的协议在标签的只读寄存器上写入密码(表面接触读取器)。因此，窃听者不能窃听到该通信。

-Molnar和Wagner[7]提出了一种在标签与读取器之间采用非对称通信的方法。标签以仅读取器可以听到的随机数发起通信，并且基于该随机数来共用本地密钥。

该方法可以提供以下特征：

(1)允许读取器与标签之间的一对一安全通信。暂时撤销针对其他角色的访问权限。

(2)改变本地密钥可以改善对跟踪的防止。更经常地改变本地密钥降低了跟踪的可能性。

现假设在读取器、物品ID标签和控制标签之间共用本地密钥X。将X存储在本地寄存器中，并假设E是在ID标签上实现的简单的低资源加密函数。

可以按照以下方式修改前面的协议：

a.在读取操作过程中，ID标签发送由利用本地密钥X加密的“ID”信息组成的消息(E(S_ID)，私用)。已利用上述两种方法中的一种在读取器与ID标签之间共用本地密钥X。

b.然后，读取器通过安全通信信道利用对(证书，S_ID)来询问控制标签。读取器获得(S_ID，K1，K2，K3，...，Kn)。应注意，K1、K2、...、Kn是用于对包含在数据-1、数据-2、...、数据-n中的信息进行解密的密钥。

c.然后，读取器询问ID标签。ID标签发送利用本地密钥重新加密的信息，使得恶意读取器不能跟踪该标签。ID标签发送消息：(E(S_ID)，E(数据-1)，E(数据-2)，E(数据-3)，...，E(数据-n))。在接收该信息时，读取器利用控制标签所公开的密钥来解密该信息。

[7]Privacy and Security in Library RFID，David Molnar，David Wagner，University of California of Berkeley.

Claims

1.一种控制装置，该控制装置用于控制与其相关联的多个物品识别装置与多个实体之间的数据交换，所述多个实体中的每一个都具有与其相关联的数据交换装置，所述数据交换装置用于与多个物品识别装置中的与所述控制装置相关联的一个或更多个物品识别装置进行数据交换，所述数据交换装置被设置成提供指示与它们相关联的实体或指示与它们相关联的一类实体的认证数据，所述控制装置包括：

访问策略存储装置，其用于存储指示针对一个或更多个实体或者一类或更多类实体的访问策略的数据，所述访问策略与实体或一类实体被许可与多个物品识别装置中的与所述控制装置相关联的一个或更多个物品识别装置交换数据的范围相关；

通信接收装置，其用于从所述数据交换装置接收认证数据；

认证装置，其用于根据接收到的认证数据从所述访问策略存储装置中确定适用于与所述数据交换装置相关联的实体或一类实体的访问策略；以及

通信提供装置，其用于根据适用于与所述数据交换装置相关联的实体的访问策略，向所述数据交换装置提供足以使得能够进行所述多个物品识别装置与所述实体之间的数据交换的访问数据。

2.根据权利要求1所述的控制装置，该控制装置被设置成提供和/或接收射频数据。

3.根据权利要求1或2所述的控制装置，其中，所述控制装置是有源RFID装置。

4.根据前述权利要求中的任一项所述的控制装置，其中，所述多个物品识别装置是射频装置。

5.根据前述权利要求中的任一项所述的控制装置，其中，所述多个物品识别装置是无源或半有源RFID装置。

6.根据前述权利要求中的任一项所述的控制装置，所述多个物品识别装置被设置成提供关于与所述多个物品识别装置相关联的一个或更多个物品的数据。

7.根据权利要求6所述的控制装置，所述多个物品识别装置被设置成提供物品识别数据。

8.根据权利要求6或7所述的控制装置，所述多个物品识别装置被设置成提供物品状态数据。

9.根据权利要求6、7或8所述的控制装置，所述多个物品识别装置被设置成提供其他类型的数据。

10.根据权利要求1至9中的任一项所述的控制装置，所述数据交换装置是射频读取器装置。

11.根据权利要求1至9中的任一项所述的控制装置，所述数据交换装置是射频写入器装置。

12.根据权利要求1至9中的任一项所述的控制装置，所述数据交换装置是射频读取器/写入器装置。

13.根据前述权利要求中的任一项所述的控制装置，其中，所提供的所述访问数据足以使得能够对所述多个物品识别装置所提供的编码数据进行解码。

14.根据前述权利要求中的任一项所述的控制装置，其中，所提供的所述访问数据足以使得能够使所述多个物品识别装置提供数据。

15.根据前述权利要求中的任一项所述的控制装置，其中，所提供的所述访问数据足以使所述多个物品识别装置存储数据。

16.根据前述权利要求中的任一项所述的控制装置，其中，在多个物品识别装置与多个实体之间交换的所述数据包括与多个属性中的一个或更多个属性相关的数据。

17.根据权利要求16所述的控制装置，其中，所述访问策略指示属性或属性的组合，对于该属性或属性的组合，实体或一类实体被许可与所述控制装置所关联的多个物品识别装置交换数据。

18.根据权利要求16所述的控制装置，其中，所述访问策略指示实体或一类实体是否被许可对与所述一个或更多个属性相关的数据进行读取、写入、或读取和写入访问。

19.根据前述权利要求中的任一项所述的控制装置，其中，所述访问策略指示实体或一类实体是否被许可委托权限。

20.一种用于控制与控制装置相关联的多个物品识别装置与多个实体之间的数据交换的方法，所述多个实体中的每一个都具有与其相关联的数据交换装置，所述数据交换装置用于与多个物品识别装置中的与所述控制装置相关联的一个或更多个物品识别装置交换数据，所述数据交换装置被设置成提供指示与它们相关联的实体或指示与它们相关联的一类实体的认证数据，所述方法包括以下步骤：

存储指示针对一个或更多个实体或者一类或更多类实体的访问策略的数据，所述访问策略与实体或一类实体被许可与多个物品识别装置中的与所述控制装置相关联的一个或更多个物品识别装置交换数据的范围相关；

从数据交换装置接收认证数据；

根据接收到的认证数据从所存储的访问策略中确定适用于与所述数据交换装置相关联的实体或一类实体的访问策略；

根据适用于与所述数据交换装置相关联的实体的访问策略，向所述数据交换装置提供足以使得能够进行所述多个物品识别装置与该实体之间的数据交换的访问数据。

21.一种用于控制多个实体与多个物品识别装置之间的数据交换的系统，所述系统包括与多个物品识别装置相关联的控制装置，以及分别与一个或更多个实体或者一类或更多类实体相关联的一个或更多个数据交换装置；其中，所述数据交换装置或各个数据交换装置包括：

用于与多个物品识别装置中的与所述控制装置相关联的一个或更多个物品识别装置交换数据的装置；以及

用于提供指示与所述数据交换装置相关联的实体或指示与所述数据交换装置相关联的一类实体的认证数据的装置；

并且其中，所述控制装置包括：

访问策略存储装置，其用于存储指示针对一个或更多个实体或者一类或更多类实体的访问策略的数据，所述访问策略与实体或一类实体被许可与所述多个物品识别装置中的与所述控制装置相关联的一个或更多个物品识别装置交换数据的范围相关；

通信接收装置，其用于从所述数据交换装置接收认证数据；

通信提供装置，其用于根据适用于与所述数据交换装置相关联的实体的访问策略，向所述数据交换装置提供足以使得能够进行所述多个物品识别装置与该实体之间的数据交换的访问数据。