CN1894923A

CN1894923A - 用改进保密性技术来建立通讯的方法和系统

Info

Publication number: CN1894923A
Application number: CNA2004800364553A
Authority: CN
Inventors: 史蒂芬·J·英格博格
Original assignee: Individual
Current assignee: Individual
Priority date: 2003-10-08
Filing date: 2004-10-08
Publication date: 2007-01-10
Also published as: WO2005034424A1; US20070106892A1; KR20060123134A; JP2007534042A; CA2541824A1; ZA200602880B; EP1678869A1

Abstract

一种在数据通讯网络中从第一法律实体建立一通讯路径的方法，其包括以下步骤：在数据通讯网络中至少提供一个包括在数据通讯网络中的保密参考点，并且建立一条从第一法律实体到保密参考点的通讯路径。该方法进一步包括以下步骤：从第一法律实体验证第一法律实体相对于该保密参考点的认证。该方法还包括以下步骤：在不公开第一法律实体身份的情况下通过数据通讯网络建立起从保密参考点到第二法律实体的通讯。

Description

用改进保密性技术来建立通讯的方法和系统

技术领域

技术变迁和社会发展所带来在私人及公共方面中个人信息安全的消失正威胁着信息社会的进步和稳定。这些问题正变为世界各个角落的中心话题，但却没有很好的解决方案。

其中一个基本问题是：如果问题的核心在于是匿名形式或识别形式的话，那么其意味着要么是个人行为的放纵，要么是越来越多地依赖于信用和法规来控制所识别个人数据的滥用。如果可信方使用假名来防止滥用，情况则会更糟，因为这样会导致商务或政府权力的集中。

本发明包括多个彼此之间紧密相关并集成一体的部分，其能在责任、自由度、方便度和效率之间达到平衡。其结果就是通过不可链接责任的基本原则来确保个体处于控制之中从而使个人数据在没有数据滥用风险的条件下自由流动。

本发明解决了来物理世界与数字世界不对称链接的核心问题。个体能够链接与之相关的所有东西，即使在信息自由流动的情况下外界也不能将数据链接到根据特定应用动态生成的确定责任原则之外的某个个体。

发明的核心是基于匿名的一次使用的虚拟IC卡或PRPs(PrivacyReference Points保密参考点)来实施数字保密高速通道，其中的虚拟IC卡或PRPs组合了与支付、凭证、配送、存贮、通讯和匿名地重建联系能力相关的责任协商和过程支持。这包括一个新的发明，即一种匿名的并且能够丢弃的身份卡，其甚至包括护照、数字签名或者是用于紧急保健支持的国际保健卡。

这些原理可扩展到保密装置认证(Privacy Device Authentication)，其使用不可追踪的零知识装置(Zero-knowledge Device)的认证技术来防止对周围环境计算中设备、产品标签或者是个体的追踪。本发明提供一种基本的零知识(zero-knowledge)解决方案来防止低计算度产品标签如RFID或者是蓝牙标签将信息泄漏到外界。零知识产品标签可做成贴附到产品或设备上的产品标签以及贴附到人体上或者是人体运输设备上的接近标签。

现在许多新的保密方案都出现在日常应用中，如即时通信、数字事件支持、商务支持、受管理的CRM和SCM解决方案、电子投票、钞票防伪、设备认证等。

现有技术

在电子交易中如何保护数字和物理保密性正成为信息社会的一个重要问题。识别的增强以及个人识别或易识别信息(Personally Identified oreasily Identifiable Information--PII)的轻易链接使得与客户(个体)、提供商(数字对方——商家、政府或社会)和基础架构(银行、电信、运输、关口、身份经纪人等)之间信任相关的安全风险和问题日益加大。

灵智卡(或芯片卡)属于一种能够加密计算并能安全地保存数据和个人识别信息(PII)的设备。现有的灵智卡能够防止破坏，即如果有人试图通过机械破坏进入灵智卡来读取数据，此时其能确保数据被删除掉。这一点对于防止即时读取数字签名密钥的保密性部分非常重要。

然而除非是完全匿名的方案或者是100％用卡交易的方案，否则没有一个方案能够在多项交易中提供即保密又方便的技术支持。现有的比较简便的方式是完全基于不保密的方案，由可信的中心方对个体进行商业控制和滥用限制。

背景技术

然而，即使灵智卡承诺其能够利用数字签名如公共密钥基础架构的标准加密来保证对未授权读取PII的追踪。但其不能保证正常信息处理中PII在对方滥用下的机密性。

例如，仅在使用时才将PII保存到灵智卡上并不能防止副本在多个交易之间以及不同对方之间保存数据并构建链接PII的数据库。因此，灵智卡可能会被盗用。其结果是数据的主人不能再使用该信息了。即使在使用时没有收集数据，这也会令安全性问题取决于防改性的品质。

基于PII的方法并不是真正安全，其基于互信、对方的法律保护，而且牵涉大量与安全、保密及方便之间的平衡相关的问题。

一种用来减少该问题的方式是找一个可信的第三方发行例如一次性使用的、用于互联网信用卡交易的卡。即使这些模式减少了分散的风险，但却加大了集中的风险，并且对实际的安全没有作用。由于它们把交易和对方于这些中央数据库链接，这就具有更大的安全风险因为它们能在没在内在安全的情况生成个体的详细说明。

作为这种中央方式的一个例子可参见美国专利文献US20010044785，其以引用的形式并入这里，该文献公开了许多与邮件定购交易相关的一般性问题。中央服务器发布代理姓名、电子邮件和发货信息从而防止交易数据库交叉链接。该中央服务器用作一个知道终端用户实际身份的可信方。

在将灵智卡作为一种将有限按键用作数字现金的现金卡(Chaum的专利，参见WO0208865)或凭证(Brands的专利US5604805)使用时，如果其能避免不同交易中使用不变标识(无论是相关的人、卡还是设备)，该灵智卡就能支持匿名支付或者匿名属性认证。

然而，对于多应用场合来说，这种方式并不是一种合适的解决方案，因此此类现金卡的用途有限。单纯的匿名交易对简便来说没有什么作用。另一个严重的问题作为这些设计的支持需要更好的基础架构才能工作。

将所有的数据保存在灵智卡中并使数据主人仅在使用时才展示出非识别信息并不能解决这个问题。

问题的根本在于大多数应用都需要从日益智能的基础架构获得代理人的支持，例如在支付、通讯、商谈或者是实时读取在卡上未保存的说明信息中建立起信用。但是如果不使用与设备相关的统一标识如卡号、MAC地址或者是个人的社会保障号或数字签名的公开部分等，这样做同样不能解决问题。

现有灵智卡和PKI技术不能避免信息在日常交易中以可追踪到卡持有人实际身份的方式收集到数据库中。安全问题可能是整个信息社会的一个重要因素(http://www.eeurope-smartcards.org/Download/04-1.PDF)。

现有的数字权利管理系统(Digital Rights Management System)如美国专利US6330670，其以引用方式并入这里，是基于这样的系统，该系统能生成连接到设备或身份的外部链接。这些方案还提供对设备的直接寻址并且能够对Digital Rights Protection权益之外的终端用户进行限制。例如，对根CPU的外部控制能够实现从其它提供商对运行软件或欣赏音乐的限制。这甚至可以作为强制软件更新的一个要素来在以后实现。

现有的数字权利管理系统(或可信计算)一直未能解决这个基本问题，因为终端用户或者是终端用户设备可从外部进行追踪，并且终端用户不会控制设备。其结果就是这种可信计算有可能损害信用和安全。

名称为“A method and system for establishing a privacycommunication path”、专利号为WO01090968的专利文献，本发明人以引用的方式将其并入这里，提供了一种数字权利管理系统追踪移动手机或其它通讯设备的解决方案。其通过一芯片卡来实现，该芯片卡执行多个特定于文本并且基础架构支持的身份从而把实际的设备身份从设备中运行的软件隐藏。

上述专利还提供了多个解决方案以增强保密性并保证标准支付卡交易的安全性。一种安全方案是使用第二通讯通道如移动电话来交叉认证。一个安全措施是利用第二通讯通道以相同的内嵌交叉认证在较大群人当中重复使用同一信用卡所产生的群集效应。对于在线支付来说，使用一次性交易卡引用指向一个将交易从银行支付系统分离的可信方。

该专利还提供在可信移动设备(保密性认证设备PrivacyAuthentication Device)如移动电话、PDAs、便携式计算机等中使用灵智卡的保密性增强方案的通用方案。在该方案中，特定于文本的信用卡引用链接到一个特定于文本的假名，其用保密性认证设备从而来能够进行通讯、交易并进入受法律约束的交易。这里，假定保密性认证设备要么是对多个密钥的保存直接认证，要么是给多个主基中一个建立起加密的非识别通道链接，后者使用逆认证从而防止设备追踪。

使用本发明，本方式经完全扩展可满足动态渗透环境的所有需要，如在一个开放的网络上生成新的匿名链接，集成柔性链接，动态的群组支持，集成低资源设备如RFID，生成内嵌式保护以及在设备被盗时即时取消芯片卡保存的数字密钥，本方式还能在不需防止数字权益管理等的条件下解决一些与可信计算相关的重要问题。

通过保密性增强技术(Privacy Enhancing Technologies，PET)，这些与安全和关系到PII的信托相关的问题就都解决了，或者是在技术上得到明显地改进。

发明内容

本发明涉及数字交易中增强保密性的方便性和安全性，以及即使在不信任的环境下给多应用芯片卡生成一个安全的并且保密性增强的基础架构的问题。

本发明解决了终端用户如何才能进入匿名交易，如何为个人使用收集交易数据如数字清单或保证书，如何准确地决定给服务或产品提供商生成多少信息连接的问题。

本发明解决了即时取消PKI型数字签名的问题，并通过确保没有可被滥用的并且不易取消的信息保存在芯片卡上以及芯片卡完全失效来防止芯片卡被盗用的问题。

本发明将可取消的确保保密性的数字现金、凭证和数字签名实施为受管理的服务，从而解决了保密性增强技术实施的技术障碍。此外，本发明解决了如何提供匿名信用的问题。

本发明通过为外部验证生成多个可追踪到硬件規格的匿名数字密钥解决了如何加强保密性和安全性的可信计算的问题，其中硬件在一定的条件下在不知道哪一个设备正在控制密钥的情况下对一特定密钥进行控制。

本发明在不限制方便性或保密性的情况下为个体提供了灵活的装置以便控制交易朝向对方的链接级别。该灵智卡会给每一项交易发布一个唯一的交易码以及一个认证机制，他通过一个混合网用一种完全匿名的假名操作方式来控制。

本发明解决了在没有窃听的条件下为家里或其它主域可信链接设备识别出正在通讯的设备的问题。此外，本发明生成了一种设备如何通讯的通用方案，其使用虚拟设备身份来消除与同一设备跨交易的链接。

本发明解决了如何在没有生成链接的情况下动态地适应于文本风险范围给匿名交易生成并协商责任路径的问题。在没有对多个个体的行为链接的条件下，某一个个体的一个行为应负有责任。没有哪一个可信方能够将一个体的身份与一行为相连。多个不同的原则可并入到该责任路径中，如通过有限展示的凭证、定时锁、里程碑核对验证、串行/并行的可信方身份契约进行并入的特定责任。这些功能可构建到防改的和可验证的硬件中，从而不必去相信某一个机构或某一个个人。

在本发明的一个实施例中，其消除了有效可信方的使用。客户可通过硬件规格的可追踪性来验证一个确定的加到确定标准的保护如契约身份，其由第三方控制的密钥进行加密，由此不需要可信第三方对此进行核实。

此外，本发明解决了如何使RFID或其它的产品标识或产品控制设备具有保密性的问题。通过在购买时启动的零知识认证处理，卖方或者是最初的生产者能够在没有其它人的条件下将控制转移到买方，其中的其它人能够通过对交易的分析、无线窃听或者是其它的通讯方式来追踪该产品或者是主人的身份。可容易地扩展本发明从而将增强保密性的数字密钥实施到所有的产品或设备中。

本发明解决了在不产生可链接性的条件下如何生成安全性和保密性均增强的认证或第三方产品证明的问题。

用同一发明构思来支持多个交易原则，这包括从标准信用卡支付的匿名式到假名式，组合了假名方便性的电子现金支付或者是信用支付，以及在不信任环境下，即使用陌生的芯片卡读取器时，以芯片卡为借记卡或信用卡付款的保密性更强的强安全性方案。

在唯一可获得的通讯路径是对方如商家所提供的电子芯片卡读取器的环境下，如何在不留下识别信息的条件下进行交易是一个非常重要的问题。这就是我们称的非信用环境，因为此时我们会认为商家和基础架构提供商都喜欢识别，从而可能会剥夺个体对PII的控制。

即使提供商没有对此配备好，本发明仍提供了一种更为复杂的保密性增强技术使用方面的技术方案。其中，灵智卡与一服务提供商进行通讯，该服务提供商将更先进更复杂的PET技术如数字现金、凭证等翻译成更为简单的标准如信用卡协议或经核实的客户档案。

此外，本发明提供了一系列核心问题的解决方案，这些问题涉及方便性与保密性的平衡，其包括多应用保密增强型灵智卡的匿名信用和基础架构支持。

本发明解决了在不信任环境中使用芯片卡时在保密性、安全性和方便性之间的平衡的问题，其中的不信任环境被定义为陌生的芯片卡读取器。芯片卡和芯片卡读取器之间的通讯基于物理的链接，其能使用IP协议或者是无线通讯标准如无线局域网(WLAN)、蓝牙(Bluetooth)、红外线等。

本发明解决了客户用同一张卡横跨多个提供商链接多个交易的问题以及客户保留对提供商和基础架构之间链接等级进行完全控制的问题。

本发明解决了在同一设备进行多个交易没有链接的条件下如何生成票券或者是其它服务的问题。

本发明基于两项主要发明。

首先是一种装置，该装置使用一次性保密参考点(Privacy ReferencePoints，PRPs)来代替统一卡标识(Persistent Card Identifiers)如信用卡卡号从而将物理芯片卡转变成多个虚拟的不可链接的芯片卡。这与装置组合从而在后面通过非识别通讯网络再次链接到交易上。将这些卡插入到固定的、无线的或者是移动式读卡器中，客户带着这种装置就能对多个虚拟身份进行智能管理并接收个性化的服务，同时其还能保留对其它人某种能力的控制，这种能力是指将个人数据链接到客户实际身份的能力。

其次是一种供客户利用零知识认证原则来控制电子产品通讯设备(EPC-Devices)如RFID、Bluetooth或者是其它更先进设备的装置。除非得到正确的认证，否则该EPC-Devices不会响应或承认它们的存在。

该EPC-Devices链接到一个产品或一项服务上，如链接到已缝到衬衫中的一个RFID上。它们还能紧密集合起来并提供更先进的控制，如一个与加油及客户化设置直接连接的数字式车钥匙或者是一个与家庭通讯架构相连的房间报警，该通讯架构能将个体的通讯規格重新设定到家庭的环境。

综上所述，本发明能够使个体对其数字环境进行控制，其中不存在将识别后的个人数据留在数据库中被他人使用而隐私受到侵犯的风险。

附图说明

图1所示为生成并重新链接虚拟芯片卡的基本发明；

图2所示为商业价值链中产品两次使用循环之间的链接，以及该产品是如何转移到用户保密性控制，然后又是如何再次进入产品生命周期以便材料回收等；

图3所示为用于保密芯片卡的基础架构；

图4所示为一个假名基本关系的生成；

图5所示为带有保密性管理的支付和凭证支持；

图6所示为匿名信用的优选解决方案；

图7所示为如何把不可追踪的责任包括于假名关系；

图8所示为标准信用卡支付是如何进行保密的；

图9所示为该解决方案在一实施例中如何用无线或其它个人通讯设备来直接管理个人身份从而进行扩展；

图10所示为本发明的设备认证；

图11所示为带有即时取消功能的保密性管理的数字签名；

图12所示为使用不信任RFID和芯片卡读取器的每一个具有保密功能的RFID的基本架构；

图13所示为如何使用移动设备来控制使用了不信任RFID和芯片卡读取器的RFID；

图14所示为如何用组认证(Group Authentication)和PRPs生成Privacy Proximity Ticket；

图15所示为如何在两个匿名期之间生成链接；

图16所示为一个零知识认证程序，其包括组认证和设备认证；以及

图17所示为一个移动设备是如何能直接控制个人空间的。

优选实施例

图3所示为多应用芯片卡基础架构的优选配置。芯片卡10在固定网的IP连接上或者在其它兼容的开放协议如无线通道上用通信通道56与读卡器42进行一次性引用的通讯。读卡器与商家计算机44相连，在另一实施例中读卡器直接使用例如无线通讯协议来进行链接。该一次性参考与芯片卡内加密的指令一起前置到服务提供商46。客户在不泄露其真实身份的情况下从其客户基站48进行链接从而通过混合网或其它匿名网络50或者是通过任一种通信通道66的身份提供商54/假名单元对交易进行控制。根据所加密的指令，服务提供商46可与金融机构52一起直接对匿名支付或凭证机制进行核实，或者间接地作为一个可信方将芯片卡加密的指令前置到身份提供商54。

可对一项称为标准的EMV芯片卡支付进行模拟，这样商家计算机44和读卡器42就不必改变它们的系统，只是金融机构52需在标准信用支付时将商店看成身份提供商54，在匿名支付时将商店看成服务提供商46。该服务提供商要么是直接获得支付确认，要么是通过身份提供商获得确认，因此其是向商家计算机44对支付进行核实。

上述配置的好处重点在于除非客户希望这样，否则服务提供商和商店无法将同一芯片卡的两项交易与不同芯片卡的两项交易分开。

如果送到服务提供商46的加密指令包含由商家标识导出的数据参考，那么为了方便客户，客户可进行选择以确定是否指示服务提供商将该交易与该商家前面的交易进行链接。此外，可进行选择以确定是否指示服务提供商将该链接作为交易的一部分报告给商家，由此就能使商家生成匿名的客户档案，或者将芯片卡转换成商家诚信卡。

客户可在不曝露其真实身份的条件下通过服务提供商46与商家计算机44进行双向通讯。

基本关系图4展示的是本发明的基本用法和一般用途。将芯片卡插入到读卡器中，客户就给商家生成一个简单的通讯通道从而通过服务提供商46与客户进行通讯。除了一次性参考外，芯片卡必须为客户启动一个认证机制从而证实这种关系的物主身份，并且可选地与商家共享一个密钥从而确保服务提供商不会读取到该通讯。此外，芯片卡会在再一次从客户基站48连接时对客户使用的商业信息进行加密。客户基站可假定为一个可信设备，如便携式计算机、PDA、移动电话或者是工作或家庭用的任一台计算机，其实任何一台能够进行通讯和计算的设备均可，甚至一芯片卡也可以。

商家可将该一次性参考用作一个面向服务提供商的地址，然后服务提供商在其不能识别客户的条件下，要么将该信息保存起来直到其被客户采集(拉动Pull)，要么使用预先准备的混合网回复块(MixnetReply-blocks)将该信息提供给客户(推动Push)。将回复块映射到SIP-会话发起协议(Session Initiation Protocol)，本原则就能无缝地支持绝大多数的标准通讯通道。

在建立起这种关系时，该内容就确定出用途。其包括定制新的列表，提供基于角色的接触信息，答复详细的询问从而在没有数据泄露和使用超出特定内容的条件下参与一任何计划中。

有一个主要问题是客户识别的保护可以更强从而能使数据保护部门接受这种关系配置，其考虑到数据保护法(Data Protection law)内容中的匿名以及并入其中的责任。如此这样，数据的登记就不需法律的允许，因为客户能够控制用户档案数据。这样还能大大减少反犯罪数据保留相关的问题，因为保存在ISP中的数据保证安全。

图5又进了一步，其能支持数字现金或数字凭证的被管服务(ManagedServices of Digital Cash或Digital Credentials)，即使商家不能对掌握这些技术也是这样。商家计算机44将支付指令发给芯片卡读卡器和终端读卡器42，这些指令包括运输ID、数量、交易ID、日期以及数字清单(可选)。读卡器可假定芯片卡10是一张与标准信用卡接口相似的标准芯片卡。这里可以是直接接触，也可是无线通讯链接56。该芯片卡根据标准的不同可使用一次性参考或者是同一芯片卡的ID来模拟标准的接口。然后该芯片卡使用多针设置通过读卡器接口与客户进行交互并根据客户指令选择操作。

对于一项普通的支付来说，芯片卡使用数字现金给服务提供商46进行支付，该数字现金加密了提供给服务提供商的信息，同时芯片卡通过读卡器将这个包含有数字现金显示(Digital Cash Show)协议的加密信息提供给服务提供商。该服务提供商最后在任一通讯通道上例如用于大容量交易的固定式VPN互联网连接上与金融机构52完成数字现金的交易。金融机构一旦清除，服务提供商就根据支付接口标准确认对商家的支付。

此时，服务提供商提供交易服务如销售税、费用、VAT以及例如与跨国交易相关的特殊问题。

图6所示为图5所示支付方案的一种特定变化。如果客户在交易前已经与金融机构52建立起信用连线，其就转换成保存在芯片卡10中的数字凭证标记(Digital Credential Tokens)，此时本配置就能建立起匿名信用。如果有大量的一组客户使用这些匿名信用，并产生了群集效应，金融机构就不能确定某一信用是用来购买什么的。然而，它们知道是在组的基础上，由此就能在金融机构和可能商家之间形成各种合作协议。

在该优选的配置中，金融机构52滚动发出信用标记，其中交叠部分意味着这里有一个发行期(例如3个月)。当滚动期结束时，客户兑现未使用的标记并接收新的标记。使用过的标记转换成贷款。当客户使用信用标记支付时，其用起来就像匿名数字现金或数字凭证一样，因为金融机构52能够确定该信用标记是由一特定的金融机构或金融机构组发行的，从而认可其支付权利。为了补偿发行期内购买日期内的差别，从购买日期到滚动日期的利息要从总数上扣除。

如果客户组对于某一特定信用标记池来说足够大，那么通过销售票据甚至可每天在金融市场直接建立贷款。这是基于比例风险原理，将客户贷款作为保证，或者是用金融机构保证资金并将风险差额加到客户贷款上。

这可解释成这样一种情况，其中客户能用房屋作为间接附加资产价值和金融市场利息形成即时信用匿名购买一沙发。

本发明的各个部分如下。

保密参考点

本发明的一个重要方面是能够在离线世界和在线世界之间建立起匿名链接。这些是所谓的保密参考点(Privacy Reference Point PRP)，其是基于主域偏移链接和一相对規格的虚拟地址(<domain>Ref例如为http://www.PRPRef.NET/Ref#，其中Ref#是任一字符、数字等的组合)。

无论交易何时启动，芯片卡均会提供一个PRP作为该交易的特定标识或者是一次性的卡号。除了该标识之外，作为交易的一部分，该芯片卡不会留下其它的标识，除非客户主动同意。

在PRPs由RFID标签提供并用作一个来自一假名(如票券等)列表的RFID假名时，PRP将预先加密的信息保存起来，该信息在提供给服务提供商时用来授权将数据释放给服务的提供商。

PRPs提供一种匿名方式来在盗用时阻止芯片卡的使用，并且还提供不对称链接以便能方便地服务。

如果芯片卡试图建立起一匿名交易，客户就能在不形成链接的条件下将一信息存放到被盗的芯片卡。然后该芯片卡就能据此操作删除所有的内容或者是帮助追踪盗贼。

一PRP能使客户稍后与交易建立起连接，而不必将信息保存到该便携设备中。此外，如果客户已建立起一条连到PRP的开放通讯通道，该PRP还能生成一条连接到客户的通讯链接。

在丢失灵智卡时的安全性

这里应该不能提取出密钥来生成一次性标识。这就意味着攻击者没有办法生成用户交易的历史标识并控制或链接交易。

密钥自身的不加密输出功能应当是不可能实现的。除非是将一次性标识(以及相关的认证密钥)的一次性输出用于一个安全的客户环境(如家里)，主人从这里通过身份保护通讯网络连接到其交易上。

匿名信用

在许多情况下都需要信用支付，在今天其已被信用卡的使用所覆盖。尽管已经知道有使用了限制展示密钥(Limited Show Keys)的匿名现金，但在提供商和银行不将该买卖链接到客户真实身份的条件下用信用进行匿名支付，以现有的知识来说仍是不可能的。本发明利用信用的滚动范围线和基于标记的信用系统解决了这个问题，其面向提供商类似于一金融机构上划拔不可否的数字现金，而对于客户则是在信用预定范围上一项划拔的权力。主要功用类似于匿名数字现金，但发布标记的方式会从金融机构到客户形成一项贷款。

该优选配置在工作时，由金融机构给客户加上一个信用范围。正常情况下，客户由银行进行识别从而建立起信用，但该客户也可对银行使用假名，其在主配置之后被处理成一种特殊的情况。

信用范围在周期性翻滚的基础上用数字现金技术转换成钱币(标记)，根据David Chaum或者是Stefan Brands，其是限制展示密钥。

为了能用信用进行支付，客户会将他的标记作为数字现金花在普通的商店里。当向金融机构展示所用的标记，金融机构都会以预定数目的现金转帐来支付。商家会收到现金，却不必知道这是一次信用支付。

在每一个结算周期的最后，客户将没有用过的钱币交还金融机构并获得新的钱币。客户不能在没有归咎于自己把同一钱币多次使用的情况下交还使用过的钱币，这样令银行有能力证实有滥用的情况，这一点类似于涉及自认和自识别情况下对数字现金多次使用所提供的保护。

发出的钱币和用过的钱币之差等于借出的钱币，其被当成与信用线有关的退回钱币。如果多个客户在同一周期使用同一类钱币，那么银行就无法知道哪个客户进行了哪笔支付。

防盗功能也嵌在其中，条件是客户保存了钱币的一个备份，或者在收到新的钱币时在技术上用所有的钱币给自己生成了一次离线支付。使用这种备份保护，钱币在失窃时就提交给银行。当盗贼试图使用这些钱币进行支付时，银行会察觉出来并实时阻止这项支付。

在使用一钱币进行支付时，银行会扣除利息直到信用线的的下一个滚动日期从而根据使用情况开始退回。

如果出于某种原因信用线已经减少或终止，那么银行必须能使信用线终止。周期性的滚动既能使银行改变信用线的期限，又能提供一种方式有规律地将使用转换成贷款。

未付清的信用钱币必须能在使用周期内有用，除非客户在这中间交还了未使用的钱币。该周期应优选为有所交叠从而防止月底的拥挤效应。

使用带有附加属性的标记能够支持例如与商家达成的特定折扣协议。

在利用中间人与银行进行交互时，银行不必知道提供商的身份，由此就进一步降低了代表银行而进行共谋检察的风险。

假名信用线的批准可基于属性凭证和保密性保密责任进行，这是一种在破坏时进行的多步再识别处理。

假名信用的批准例如可以以下面的方式进行。许多国家都有劣等信用风险(Bad Credit Risks)的中央登记处，其登记了那些失去金融责任或者是负债很多的人或单位。使用属性凭证(Attribute Credentials，参见Stefan Brands的美国专利US5604805)，想要信用的客户就可收到一个由劣等信用风险机构开出的其不在黑名单上的一次性属性凭证。当其将该凭证提交给金融机构时，就可认可其没有前科而发出最佳信用线。

该金融机构同样能发出信用线终止并且所有贷款完全支付的凭证。如果本配置采用最大数目的标准，通过给每一次使用发出一个凭证就能将该属性凭证进一步地改为较小的信用线。

这最有可能出现在较小数目上，但金融机构可将金融风险构建到所需的利息中从而产生高风险贷款池。

建立起保密增强的通用责任

在某些情况下，支付风险并不是所涉及的唯一风险。例如，出租一辆小汽车或者是租用一条互联网的连接就有可能涉及到犯罪行为。与进行识别和数据保留相比，更佳的方式是建立起一种识别方式，其仅在确定做错事的情况下才进行识别。这就是Identity Escrow(身份契约)。

图7展示了该种方案，其中发送给服务提供商46的信息包含有将加密信息提交给身份提供商54的指令，该身份提供商54连接到一个附带有加密信息的假名，该加密信息由第三方进行认证，由此提供给身份提供商54的信息就包含所述假名的识别信息和与处理第一步相关的指令，从而利用在任何一步都与交易无关的至少一个第三方对该信息进行解密。

可设计多个不同的责任操作，从而以客户的潜在欺诈值和活动的公众原则值来对成本和识别的难度进行平衡。例如，将一本书还给一图书馆的控制或者是在新闻网站或论坛中进行一般浏览的控制应该得到较强的保护，而自愿进入一信用管理则可能仅应有一个简单的可信方包括在身份公开处理中。

有一个主要问题是如果有人能盗取身份并将责任转嫁给其它人，那么责任的问题就起不了作用。这包括：一方面，通过一假名身份的盗取会建立起一资产或债务的所有权；另一方面，拥有对盗贼进行基本识别的能力是一项基本的责任。

换句话说，责任取决于对一行为到一身份的完整追踪性。在物理世界里，这种追踪基于证人、图片、记号等。在数字世界里，技术密码的可追踪性，特别是与物理世界的链接依赖于很少的证据，并且潜在的犯罪在规模和变化上更巨大，在数目和潜在量级上更大，因此这种追踪必须强大并且完整。

基本的设备安全性以及所属关系----私人的生理参数认证

为了防止身份盗取同时也为了设备被盗时保护个人数据，客户必须向设备进行认证。连接码、密码、加密盒等只能提供对知识或物理接入的保护，其不能对身份起到真正的保护作用。为了对身份进行保护，生理参数测定是一种最好的提高安全性的方式。为了避免生理参数的集中保存或者是在被盗时生理参数泄漏，只保存一个生理参数样板的单向编码非常重要。此外，应该特定于芯片的编码。

下面我们假定基本的安全就是使用了特定卡的单向编码。例如这可以是一个XOR了生理参数样板信号的特定于卡的单向密钥信号。此外还可假定其带有连接码、密码等，这包括无声警报，从而在没有共谋的情况下减少被正确客户之外的其它人成功获得认证的可能性。

这里要特别注意所谓的身份或者是凭证借出，因为基本的安全性通常会忽略这个问题，并将其留给犯罪调查。例如，“丢失”信用卡接着又拒绝支付，或者是恋童癖者和吸毒者之间交换凭证从而相互获利。

责任的协商

这一点能产生私人责任档案(PACC)，其中记录了认证期间PACC的责任级别。责任档案会以一种标准的方式来描述是否、在什么情况下以及如何发出带有契约身份。

PACC参数可包括：基本识别的类型(生理参数测定等)、合法的主域(例如国家或法院)、数量限制、时间限制、可信方的目录、特定条件等。这些在技术均可分配到PACC中。

在一般应用中，如网上冲浪等滥用的应用风险是不能确定的。对于这种一般应用，优选方案最起码是基于双加密识别的两步处理，其中外层是用不对称密钥组的公钥加密，该不对称密钥组与用来确定识别的合法性的法院相关，而其中的内加密层是用与预批准的单位相关的不对称密钥的公钥加密，其中的单位用来核实法院程序。

该核实单位可在该国家之外，其应当对一程序进行操作，该程序逐步令读取密钥的难度随着时间过去而越来越大。例如，用另一单位的公钥来把私解密钥加密就能在试图进行质量监督、强制读取或者是密钥的情况下，提高吹哨机制。

特定于周期的公钥可由任一数目的可信方发出，其意味着对应的私钥将会在预定的时帧内被删除从而来保存这些密钥，这优选以某种可核实的方式进行，例如利用经核实的硬件来存储。由于发出的是公钥，因此可信方不知道所保守的是哪种秘密以及为谁保守秘密。

本发明进一步包含有如何用保密增强的可靠硬件来建立PACC的说明，这里外部人员能够核实PACC是否符合一定的规范，而可信方则不必对正确性进行核实并认证。

与物理世界的核心链接必须要导回基本的识别，其对责任的范围进行设定。在物理世界和数字世界之间形成的这种链接在最后就是一种生理参数测定的形式，其组合了一种来自某一个必须相信的单位的链接认证。这个问题特别是与DNA登记处链接的内容在美国专利文献US20030158960中给出了详细的说明，其发明名称为“Establishing a privacycommunication path”，其在这里以参考的形式并入。

终生的可链接性

本发明的主要目的是实现不可链接的责任，即确保以可能最少的跨交易链接性来建立责任，从而即使在有一个交易可追踪到个体时，同一个体的其它交易趋于无法进行定位。

然而，这种平衡是一种行政决定。如果其由行政决定，那么在PACC形成的每一步都可能伴随着一个并行的生成逆链接的操作步骤，这样经过一组预选编好的步骤就能生成一个从一识别的单位到该虚拟身份的链接。如果所有这些都以可读取的方式保存起来，那么就能生成终生的可链接性。

可能对此作出决定的情形应用于嫌犯----可能是特定类型的犯罪或特定的惩罚期----由此它们就丧失不可链接的权力。这种配置可用正负凭证来实现。例如，如果某人不能提交一定周期的公民凭证，生成PACC操作步骤的部分也会生成逆实体。

生成这些数据参数比PACC明显地更灵敏，因为在某一项行为导致把该个人识别后，多个个体可能被整个盯上了。

下面这些特征可根据选择放在优选的实施例中，其不构成默认的PACC处理。

基础架构的窃听

将所有的交易与同一个人链接不会形成对密钥的读取。对此可通过与通讯对方联系来实现，条件是这些通讯对方不在被调查之列。然而，对于在计划下的重罪调查，窃听有时是需要的。

然而，进行秘密窃听会大大地降低整个配置的安全性，因为这样很难保护所有的通讯不被窃听，从而在极权状态下使整体的安全性被破坏。

如果要进行窃听，其也可是设备接入的一部分，其并入操作类似于本发明后面所述的盗贼控制，其中的设备要么可追踪到买方，要么在操作的后面做上标记。

最有可能完成的是必须做成中心虚拟芯片卡的一部分，其可做成中心认证处理的一部分从而生成可链接性，同时其可做成通讯加密的一个部分从而形成窃取听。

该计划需要给每一个用逆PACC配置所类似的机制进行保护的设备或虚拟芯片卡配备专门的密钥，这里的一组操作能够读取那些由一个被识别出的实体所控制的设备。这一点明显不同于在所有设备中使用同一个共享密钥的情况。这种共享密钥即使是一个不对称密钥，也被称为裁剪芯片法(clipper chip approach)，其极易受到任何一个想读取该密钥的人的攻击，因为其能够读取到所有的通讯。

下面这些特征不在优选实施例中。

根据应用的保密责任

假定我们通过一PACC建立起责任的标准定义，那么所建立起来的任何交易就都根据责任级别限定到应用中。

从这里接下来的就是完全消除了安全性和保密性之间的平衡。

例如，基于信用的交易根据信用的大小和损失需要有一定的责任级别。如果PACC是匿名的，那么只有明确接受匿名接触的PULL交易或应用才能在本交易中启动。

任何交易都可匿名认证，利用凭证来核实正值(成员、公民、票券)，或者是避免负凭证(不在防止犯罪列表中)、可承担临时责任的(基于时间或受到限制)、可承担降低责任的(数目的限制、法律要求等)，可承担默认责任的(缺少的操作来读取契约身份)，可承担特定责任的(例如在货币信用时的一个可信方)、有限识别的(只朝向不可累积的可信方)分散识别的(但不可由基础架构追踪的)以及完全识别的(朝向不断累积可链接个人数据的基础架构)。

任何服务都可将其要求定义为责任。与之类似，任何交易均会有一个固的责任级别。与这些责任相匹配就能知道某一交易是否能接到某一服务上。如果交易的责任不足，那么只需向一合适的PACC进行认证或者是根据需要动态地建立起一个PACC，就能建立起更高级别的责任。

由此就意味着基础架构基本能根据内在的风险来支持任一类型的服务。例如，基于数字现金支付的匿名交易可实现对定位服务、信息服务以及参与者明确表示接受风险的服务的接入。

这样，在不留下痕迹牺牲保密性的条件下，任何公共接入点的临时使用或者是借出均可得到保护。例如，带有互联网接入功能的图书馆、网上餐馆、超市、带有进入控制功能的物理门等均可受益于本方法。

受管理的数字签名

可取消的芯片卡的一个重要方面是能够即时地取消数字签名，即使该芯片卡的防改功能被破坏同时又用正在识别的数字签名在没有为任何人生成可链接性的条件下登入的情况也是如此。可用各种不同的方式来建立这个目前还没有得到解决的问题。

首先，签名的安全密钥可用一个芯片卡中没有的密钥来加密。为了签名，芯片卡会用一种方法来提取解密的密钥，其中的方法在没有接入芯片卡时可被阻止。在读取保密签名密钥之后，解密的密钥和未加密的签名密钥就被删除，直到下一项交易需要所识别的签名时。

为了使本方案更加完善，可进一步用一个只保存于芯片卡的密钥来加密该解密的密钥从而生成一个不可破坏的死锁，同时可匿名地或者是用多次出现的所述被加密的解密密钥来读取所述解密密钥，这样每一次接入都不会与其它人进行链接。

形成即时取消只是表明删除了解密密钥或者是阻止了解密密钥的读取。

另一个方案是将正在识别的签名密钥保存在一个被加密的不可链接的版本中的某些或所有保密参考点(Privacy Reference Points)。在建立起一项匿名交易时，加密的签名密钥就提交给芯片卡，该芯片卡对该签名密钥进行解密，为该交易签名，然后删除签名密钥。下面就可阻止PrivacyReference Points的接入从而实现即时取消。

第三种方案是使用一个受管理的签名服务器来处理一个或多个识别签名的密钥，同时提交一个不可链接的或者是隐蔽的指纹来签名。然后将登入的指纹返回到芯片卡，删除隐蔽指纹并将签名提交给协议方。作为优选，应使用混合网来防止该交易链接到受管理的签名服务器。

签名服务器需要一个可追踪的认证，其要么是一个芯片卡的密钥要么是一个基于凭证的方案。为了生成即时取消，可在签名服务器这里取消这种认证处理。

其它方案可以是基于签名的凭证，其使用与上述原则之一剥离的凭证来登入。剥离的凭证可以是多个凭证的形式，这些凭证必须XOR起来从而生成实际的签名、一个采用加密识别形式并组合有加密密钥的凭证、或者是上述的组合，在其中的组合形式中，部分密钥保存在芯片卡。

保密信用卡的支付

图8所示为使用具有保密功能的标准信用卡或借记卡进行支付的优选方案。我们假定，该信用卡的不变号码是一个与帐号相关的号码，这样如果将不变卡号与信用卡使用之间的链接保存在数据库中，就能提供一个识别链接。其主要目的是破坏这种链接，但仍保持与标准芯片卡支付接口如EMV标准(Eurocard、MasterCard、VisaCard)的兼容性。

芯片卡10通过20接收来自商家计算机44的标准支付信息。与加密并签名该信息然后将该信息直接提交给金融机构52不同，该信息通过双层假名发送，并独立于实际的商家ID44将身份提供商54用作面向金融机构52的商家。芯片卡10生成一个加密的信息，其附加到一个一次性参考上，然后提供给服务提供商，该服务提供商对该信息进行解密。该信息包含有图4关系的信息以及用附加信息附加加密了的信息，从而将本信息提供给身份提供商54。该身份提供商进行同样的操作从而找到一个加密了的芯片卡支付信息从而提供给金融机构，将身份提供商定为支付受益人。

当身份提供商从金融机构收到支付认可时，身份提供商将支付认可提供给服务提供商。然后服务提供商向信用卡读卡器和商家计算机模拟成一金融机构。实际的支付按同样的方式进行，只是用来防止计时链接拥堵、支付数目合并例如契约拥堵以及多支付拥堵的方法不同而已。支付契约可根据客户所在国家和商家所在国家的消费法规来建立。最后的结果就是金融机构不知道是谁收到了付款，但其很方便，从商家的角度来看这种支付就是一项标准的支付。

商家计算机44可使用一个类似的原则来给每一次交易生成一个新的一次性虚拟商家界面，由此就能防止PRP服务提供商将多个交易链接到同一个商家上。

防盗功能

如果芯片卡丢失，那么客户就有被假冒以及身份被盗的风险。这种风险取决于芯片卡的认证。因为该卡会删除使用过的参考/保密参考点(PRPs)并且医疗保健数据被加密，因此这种风险就被限制到卡中所保存的未使用过的参考、数字现金/凭证以及用于受保密管理的数字签名的数字密钥。

为了阻止滥用，客户只得使用未使用过的参考通过被控服务来阻止数字现金和凭证的使用。进一步的保护可通过参考以及数字现金和凭证的无效操作将其标记为被盗来形成。如果盗贼试图滥用该卡，那么使用这种方式能够轻易地检测出这种滥用的企图。

为了阻止他人利用那些用于受保密管理的数字签名的数字密钥来盗取身份，客户只得连接到签名提供商并报告数字密钥被盗。然后签名提供商将这个经过特定于卡的密钥所加密的数字签名的副本删除。在此之后，丢失的芯片卡就不能连接到数字签名上了。

芯片卡可进一步包含一个一次性的到失物招领连接的参考，除了其可由失物招领处启动之外，该连接类似于一个标准关系的生成，这一点类似于与洞穴(Cave)数据相连的生命急救单位。由此就能取得联系从而将该芯片卡返还。

客户很容易就能查出是否因芯片卡的安全性不够而发生了滥用。如果违反了安全并且盗贼已能使用该芯片卡进行交易，那么当客户移动未用过的参考时就能查出这种破坏，然后可采取适当的措施来防止长期的不利后果如信用等级下降等。

防盗功能还可建立在产品上，因为在没有将保密功能内置在RFID标签中的条件下离开商店就意味着你还没有为该产品付费。

在盗取设备如汽车、剃须刀、电视、移动电话等的情况下，加上保密设备认定功能，盗贼就不能启动该设备，因为盗贼不能读取该密钥。与现有的电子防盗汽车一样，防盗功能取决于数字认证与系统结合的完善程度。

凭证的故意借出或共享

为了防止通过借出、共享、互换凭证(恋童癖者对吸毒者的核实以及反过来)等带来的故意损失，芯片卡应包含在没有阻止的情况下能破坏接入的功能。为了防止销售接入凭证，其可与客户不想放弃接入的什么东西如银行帐号进行链接，建立起责任或者是签订合法的捆绑协议，接入个人的历史数据等。

防止凭证借出的另一个重要方面是链接芯片卡从而防止将密钥输出到不防改的芯片卡。

定位

在优选实施例中，没有设备能向外部地理位置追踪确认为多个交易。为了防止内置的定位知识(例如无线设备的三角测量)的滥用，大多数设备都通过网络上的某个虚拟位置来遮蔽其位置。这有可能是一个代理点、多个代理点、路由协议的一个固有特征、一个更为先进的匿名器如混合网或者是其组合。

基础架构的接入提供商可仅基于位置来提供服务并根据应用来要求进一步的档案或责任信息。例如，一家超市在内部会知道客户服务位于超市的房间内。

无线设备要么是能利用例如一台标准的GPS卫星追踪设备来确定自己的位置，要么是能将其定义为一项来自基础架构追踪的服务请求。向任何一个不变假名隐蔽位置处于用户的控制之中。

这些设备可预先编好程序从而在呼叫紧急号码时能自动地附上地理位置或者是自动地切换到一个稳定的追踪功能。本发明不会防止对事故的有效求援，但定位追踪本身并不需要为了紧急需要而构建到基础架构中。

如果设备仅能在非链接交易时才能追踪，那么接入提供商就能提供位置信息。此外，急救服务可以不被认证为逆认证操作，因为责任与急救无关。

如果设备具有保密设备认证功能，那么其可在没有保密含意的情况下远程启动。例如，在被盗时可广播一条针对一汽车的认证信息，从而能实现设备追踪。一个小孩可带有一件设备如手表，这里一条认证信息可启动任何一种服务如定位回复等。这个小孩可选择拒绝定位请求，条件是这个小孩有权避开父母的追踪。如果该设备带有多种用于用户的认证回复----一种是在用户不想启动该功能时阻止回复，另一种是在犯罪发生时发出无声报警，此时即使罪犯用物理伤害相威胁也不能防止报警的发生。

设备

芯片卡可以用多种方式来实现。

可用无线或直接连接的方式连接到一个可信的读卡器上。

如果依赖于一个可信的用户接口，就有可能产生中间有人攻击读卡器的风险，此时其会改变用户的选择从而对芯片卡进行操纵进而完成用户没有授权的行为。有许多技术和方法都能消除这个问题，如多功能特定连接码、特定芯片卡(一种始终用于匿名，另一种用于默认的可追踪交易)等。

对金融机构的不信任会令实施以下方案更可取：商店的芯片卡读取器将商家区间成身份提供商54或服务提供商46。此时，该芯片卡会进行支付认证，这种认证可由芯片卡读取器用公钥进行加密，再根据情况提交。本方法还可用来保护普通的信用卡。

由此，中央信用卡数据库就不能从的获得信息确定出支付的地点。如果身份提供商向金融机构提交支付指令----在收到支付之后----使用外部密钥将链接交易和支付点的数据进行加密，就能实现对历史交易进行保密。

此外，保密芯片卡可与非保密芯片卡并行使用从而根据110将交易链接到例如一个基本匿名关系上。

对于芯片卡来说，一个更好方法是有一个直接的用户接口以便认证和选择。这可使用一个更为复杂的芯片卡或者是将芯片卡与一个带有芯片卡读取器的可信设备组合起来。该设备可以是任一的一种类型，如PDA(个人数字助理)、移动电话、便携式计算机等。

即使用接触卡也能达到同样的效果，此时只需将其以无线的方式与一个用来处理用户接口的外部用户设备进行通讯即可。可根据具体的实施情况来忽略、确认或跳过那些来自不信终端的指令。其结果就是防护这些不可靠的设备。

优选的方案是将芯片卡集成到一种专用的、通过无线协议与其它设备通讯的个人认证设备中，这样，同一个芯片卡就能利用保密设备认证来控制所有的用户设备从而与特定设备建立起控制。

这可分成两种设备，采用Master Authentication Device(专门处理基本密钥和跨设备的物理认证)格式的设备，以及获得MasterCommunication Device(移动电话、PDA、便携式计算机等)认证的、用来处理附加通讯的设备。

只要芯片卡是个人的，终端用户很容易就能通过出借协议来进行设备交换。

协议

保密参考点---PRPs。

PRP是指一次性参考，其用作匿名假名。它们以下面这种方式生成，即只有客户才能将所生成的PRP与同一个芯片卡链接。因此，客户可使用任一通讯通道包括。

PRPs可以多种方式生成并共享。

最安全的方式是在安全的家用环境中生成纯随机输入码，然后用芯片卡共享这些码。

这些随机码可用来生成一PRP以及一个认证密钥。

另一种方式是用一种算法来生成看似随机的输入，该算法将共享的秘密用作种值(seed value)。其中一种实施方式可基于组合了CardRef(特定于芯片卡的密钥)和一变化部分如计数器的低冲撞杂凑(hash)。

任何流插入码均能产生类似的结果----其质量取决于算法的随机程度。

可通过传送那些用一密钥组中公钥进行加密的PRPs(或者用于算法方案的种秘密(seed secret))进行共享，其中私钥在芯片卡中生成，并且永远不会脱离开该芯片卡，或者是一个共享的对称的加密机密，例如用一标准的DiffieHelmann协议建立的机密，从而建立起一个共享的加密机密，也可用其它方式。

另一种方式是用铃音方法，这里每一个保密参考点在认证时均会将前面所保存的、包含有参考的加密数据段提供给下一个保密参考点。

另一种共享PRPs的方式是采用了遮蔽证书的凭证技术。

关系参考链接

在一标准的信用卡支付请求交易中，商店最少要传送商家ID、交易参考、支付额和日期。

在合并商家ID和内部关系链接密钥时，芯片卡可产生例如一个单位特定的关系参考密钥作为这种组合的杂凑，并将这种结果用作一个密钥以便使跨交易链接有效，由此就能横跨多个PRP交易构建档案。

客户可对该密钥加密以便个人使用，并且只能在例如家庭环境中获得从而确保除了客户之外没有别人能链接同一商家的多个交易，并且仍保持完整性。该密钥可直接发到商家从而在基础架构中各个部分均无法链接这些的情况下提供储备链接能力。将另一变量作为杂凑参数引入，芯片卡就能与同一商家保持多个持续不变的关系。这可以是一个保密密钥，或者是例如日期或年份，从而每天或每年均能生成一个新的关系。

用来平衡安全性、方便性和灵活性的一个优选方法是：对芯片来说用两个关系参考密钥，并且用服务提供商46的公钥来加密主要的关系参考密钥。服务提供商能用同样的关系参考密钥来将该匿名交易链接到前面的交易上，并将返回到商家并特定于商家的客户参考与所保存档案信息一起保存起来。在基本配置中，服务提供商没有必要读取内容，因此可对档案内容进行加密，这样服务提供商只是作为一个联系点来为关系提供存贮、交易、通讯和商务上的支持。

作为第二个与商家相关的密钥，客户可指令PRP提供商具体将哪一个数据档案提供给商家。例如，客户可生成一个固定的共享档案部分，并让PRP提供商与最后一个月的档案一起链接到该部分上，或者是为了方便让商家读取与商家相关的整个档案。

这样，客户就能不受限制地按其方便来决定其面向商家的档案。

组关系参考

基本的组连接是在多个匿名保密参考点基于一个共享的组保密关系链接而以一组的形式链接在一起时建立起来的。生成一个公-私不对称密钥组，其中私钥以多个版本在线保存起来----每一个私钥用一个成员的加密密钥来加密。

任何交换均可使用共享密钥，条件是如果各方都想读取本信息或者是直接编址到任何部分----对中央服务提供商完全匿名。但是，组员可精确地建立起责任的级别和类型，其中作为优选其要么采用本方案中所述的配置，要么作为关系通讯的一部分自愿采用某种外部方案，这包括使用标准数字签名的直接识别。

保密设备认证

为了保护客户不受环境的追踪或者是不被收集到其正在操作或读取设备的信息，可使用零知识设备认证。该设备需要客户在启动之前证明其拥有一个机密密钥。在启动之前，该设备无法展示出它的存在或者回复某一请求。同样，客户认证设备(CAD)不必展示任何可用来链接客户所进行的多个交易的信息。

由于我们必须假定周围环境能听到所有的无线通讯，因此即使该设备不能保存前面的记录也必须防止重放攻击，这里黑客会记下一个认证交易并在后面重放该认证从而模拟客户。对此的一个优选方式是：对于该设备，包括一个方法来区分先前的认证尝试和有效的认证。优选的方案是将一个时间标记引入到协议中，并使设备保存下最后一个成功认证的时间标记。在重放攻击时，该设备就会对该认证尝试不予理睬。

对于计算功能很强的高能设备来说，可使用不对称密钥组。每一个密钥均可用作一个面向其它人的私钥，由此有利于实现双向认证。该实施方式的一个重要优点是设备的私钥在设备外不为人知，从而使中间人难于攻击。同样的密钥还可用于认证、加密、解密，但其始终用在零知识协议中以防止外部识别并链接设备进行使用。

每一个设备均可具有多个密钥组以减少跨用途链接。这一点在可信环境如家用环境和外部环境如商业单位之间的设备直接连接中特别重要。

本发明的基本安全原则是任何直接设备的标识符如加密密钥永远都不要离开可信的环境----通讯应优选通过特定文本的假名来进行从而确保不可链接性和灵活性。

如果出于某种考虑必须建立起一个直接设备连接，这必须使用一保密的密钥组，同时该密钥组不再因其它事情而重复使用。

寻址优选应相对于如PRP.<virtural device-identifier>或者是类型参考如PRP.<DEVICE TYPE identifier>。

通过给购买前的产品周期提供支持并可链接到购买的PRP，产品制造商所提供的唯一序列号与该号一致。在产吕处于终端用户的控制之中时，这个唯一的序列号始终由特定于文本的密钥组来代替，并且优选为不能寻址。这样，该产品的唯一序列号就转换成一个受保护的根设备身份。

低计算功能的设备

对于计算功能不强的设备如RFID芯片，由于技术要求，不对称计算并不适合短期使用。本发明在这里引入轻量级的零知识认证。

这一点涉及某种算法，该算法能够在不转移通讯中其它设备的随机交易标识符的条件下满足认证的需要。

采用图13所示的这种算法，就能实现来自客户控制的芯片卡10的通讯，其要么通过保密认证设备74，要么通过不可靠的读卡器42并经某种通讯网络如LAN、WAN、WLAN、蓝牙94来提交或广播一信息，该信息采用某种协议如RFID、IP、蓝牙、WLAN、红外、无线电波等通过一通讯设备88来与认证设备84如RFID标签、蓝牙标签、WLAN卡、无线读取器等通讯。该设备84可进一步整合在例如车中并且作为用于其他设备的数字密钥。

一种符合严格要求的优选算法应使芯片卡10能产生一信息，该信息包括一个带有第一数据段(X1)和第二数据段(X2)的时间标记(DT)，其以下面这种方式进行加密，即待认证的设备84能够用所保存的机密(DS)来核实该认证，并通过验证DT2是否晚于前面最近一次成功认证的时间标记(DT1)来核实该认证是否是用过的。在该优选方案中，X1包括一个单向低冲撞杂凑(hash)算法，如组合了设备机密(DS)、随机交易密钥(R)和时间标记(DT2)的MD5。X2包括随机交易密钥(R)以及设备机密(DS)和时间标记(DT2)杂凑的XOR组合。

设备接收X1＝H(DS‖R‖DT2)，X2＝R XOR H(DS||DT2)和DT2。如果DT2小于或等于最一次成功认证的时间标记DT1，那么该认证失败。如果不是，那么就用的保存的设备机密(DS)来计算随机交易密钥，由此R＝X2 XOR H(DS‖DT2)，并验证H(R‖DS‖DT2)是否等于X2从而对该认证进行核实。由于只有客户设备知道所保存的机密(DS)能够计算X1并核实X2，因此就能假定该设备由正确的所有者进行认证，并能据此作出响应。

为了向所有者核实该设备是否知道DS，只需以零知识的方式来证明其知道R即可。这一点可通过返回例如X3＝H(R)来实现。现在在两个设备之间建立起来的经认证的交易带有一个随机共享的交易机密R，由此可用加密协议来加密任何的信息。

指令或者是参考可作为第四个参数引入。这样做的一个用处是：如果标签包含多个密钥，就能帮助该密钥检查所核查的那个密钥从而有助于省电。另一个用处是发出特定指令如传送指令，生成新的密钥或者是打开接入以便认证所隐藏的密钥。

生成初始设备机密

从工厂开始，该设备或产品就是供应链的一个部分，其中唯一编号就是有效处理的关键——保密性保护并不是关键，其仅是一个问题。从非保密设备到保密设备的变化出现在购买时(其在例如借出又可分为多个步骤)。多个不同的算法和控制操作可确保这种变化以安全的方式出现。

一个简单的优选方法是，来自工厂的产品已包括有一个唯一的序列号(Serial Number----SN)、一个保密启动码(Privacy Activation Code)，以及启动时的一个固定的初始设备机密(Device Secret-----DS)。在购买产品时，AC和DS被转给客户，同时AC还转给打开的设备。在用初始DS进行第一次保密设备认证时，客户需要将DS码改成一个新的随机选取的DS。通过引入一个防止初始DS再用的功能块，即使商家和生产商串谋起来想听取客户和设备之间的通讯，客户也是安全的。在企图使用所构建的DS时，黑客必须强制改变DS，此时客户会在第一次使用时察觉出来，因为客户此时不能使用所提供的DS进行认证。如果客户不想使用对设备(例如附有RFID标签的一件衣服)进行认证的功能，那么该设备会启动保密以备所有实际的目的。

链接到购买上的保密启动就实现了一种更强的盗窃控制强制保密功能。如果消费者带着未启动保密的设备离开商店，那么他应被制止——要么是由于一个盗窃尝试，要么是因为保密启动没有正常工作。这样就给消费者和商家带来安全。

共享机密的前/后机密

在一个比基本协议更为先进的实施方式中，共享的机密每次都会变化。RFID协议自身是零知识的(参见这方面的现有文献)，但如果有一个黑客不知什么原因确实能够读取该共享机密，那么这就意味着通讯的历史记录可能被解密并链接了。为了防止这种情况发生，本发明的另一方面是在每一步操作均改变共享的机密从而引入后机密(已经知道共享机密的黑客也会用同一台设备来破坏前面记录的交易)和前机密(成功地追踪并链接后面的任一项交易)。

这一点可通过认证之后的一个特定操作步骤来实现，但更为简单的方式是使用随机交易密钥，R。

如果黑客只错过了一次变化，那么应确保前机密，因为在每次变化均引入一个随机元素时没有算法模型。由于距离短并且大多数应用都具有移动的特性，因此这是一个很实际的假定，除非黑客紧密地追踪该用户或者是用户只能在预定的期间上和均被破坏的通道上读取该设备。

后机密实现起来比较简单，如果涉及有新的共享机密，并且操作包括旧的共享机密和随机交易密钥。最简单的方案是从XOR组合的杂凑计算出新的共享机密。

RFID会用零知识功能进行响应从而承认共享机密变化的认证，其中零知识功能只能用新的共享机密来计算。由于新的共享机密计算出来并未转移，因此用一个涉及新密钥的操作来进行响应就足以表明知道了旧共享机密和R，但可能会用到多种不同格式的参数；一种比较先进的确认可以是

ACK＝H(H(新共享机密)XOR旧共享机密)XOR R

如果RFI D保存了旧的和新的共享机密，那么密钥的同步问题就能解决。所有者在收到正确确认时只需切换使用新的共享机密即可。在此之前，如果通讯中有一个错误，所有者会继续使用旧的共享机密。在旧的(当前的)和新的(假定的)共享机密。在旧的(当前的)和新的(假定的)共享机密之后，RFID会等待。如果收到一个带有新共享机密的认证企图，RFID就知道所有者已切换到新的共享机密，并用新的共享机密来代替旧的共享机密，然后重复操作产生一个新的共享机密。

如果收到一个带有旧共享机密的认证尝试，RFID会假定所有者没有收到前面的确认，接着是丢弃所假定的新共享机密回归到旧的共享机密，然后恢复操作从这里产生一个新的共享机密。

真实性或动态读取控制的双相认证

无论是否缺乏计算能力，根据规则或不同读取级别的基本原则来引入多个认证密钥能够形成新的很强的安全功能。

例如，出于安全目的或更新的需要等，发出产品认证来防止产品的非法复制在很多商标产品的使用中非常有用。

如果RFID标签所有者首先以指令认证以便接收一个对一密钥的第二认证，并且该密钥还无法读取，那么就会生成这样的一个实施例，标签只有使用一个字节来保存，其应该只能接收一个面向隐藏密钥的认证企图。

然后，所有者通过委托零售商或者是直接通过提供商来提取该产品的ID(如EPC号，由于所有者总是积极地参与进来，因此该号不必保存在标签(Tag)上)。提供商(或者是为提供商利益服务的真实性服务提供商)收到该信息并使用所主张的产品ID来在其产品ID真实性密钥表中查寻。然后提供商使用其机密真实性密钥来生成一个认证信息，该信息提供给标签。一旦收到来自标签的回复，提供商就知道标签实际上就是所主张的产品ID。由于根据协议本身这一点可通过后继工作来完成，因此提供商永远都不必与他人共享该真实性机密(Authenticity Secret)。

该标签会在真实性认证(Authenticity Authentication)处理中去掉字节并返回到保密模式，这里其不再接收对隐藏密钥的认证。如果由于某种原因认证失败，那么所有者能够再次启动该处理。

同一原则非常适用于所有者生成动态交易密钥的各种应用，其中的动态交易密钥可以是临时的、代表的、有限读取的或者是上述的组合。其中一个方面是能够改变产品在零售商店中的价格，但不需要启动所有权的转移。一个高的应用例是让医生生成保健应用时所用的标识符，其用来给予参加手术并知道该密钥的某人在期间一个特定60分钟读取康复病人文档的文本。

RFID真实性的一个方面是能够提高身份设备如MAD设备的认证，其中的MAD设备设有一个能够通讯的安全芯片卡。MAD的用户认证是基于密码、具有物理设备、对样板的生理参数进行的，并能通过MAD要求在附近的RFID标签将其增强。该MAD对MAD进行认证，然后其试图检测附近一个特定的RFID标签，该标签由所有者佩戴或者是通过外科手术植入。在文本建立起来时，终端用户就能生成一个用于再认证的特定于文本的动态交易密钥，并能对其时间和读取权力进行限制。这样，终端用户就能根据应用的不同来定义安全性、追踪性和方便性之间的平衡。

如果MAD设备或RFID进一步带有GPS或者是其它的定位设备，那么将MAD设备的GPS与应用或者是基于传感器的GPS相链接就能防止中间人的接替攻击。

组保密设备的认证

基本的保密设备认证协议需要所有者知道认证的设备。在许多情况下，这种假定并不适用，并且在实际认证协议之前，第一步需要的是组认证协议。

在一优选的实施方式中，该协议包括将多个设备上保存的组码(GroupCode----GC)以及客户为该台设备选择的特定设备标记符(DeviceIdentifier----DI)保存起来。

该组保密认证协议包括一个第一认证步骤，其用组码(GC)取代设备机密(DS)并与所有保存有同一GC的设备建立起一个加密的交易。

在一基本方案中，所有的设备都能响应以各自XOR了随机交易密钥(R)的设备机密(DS)或者是一个组特定的随机设备ID。然后，客户查寻所有接收到的设备ID并提取出设备机密(DS)以便设备认证。

一种更好的并且更为通用的方案是在黑客已能猜测、破坏算法或者是读取了一个有效组码(GC)的情况下加入一个重要保密及安全保护的链接。与这种响应于一个组认证而提供设备机密的方式不同，RFID对一个一次性参考列表或加密了的参考列表进行操作，其中的参考在每一次交易时一次曝露一个。该参考仅能被指定的实体转换成实际设备的标识。

这一点在家用环境时非常有用，这里客户希望能够改变设置，如洗衣机、电视、冰箱、房间温度等，因为所购买的产品能扩展而包括适于特定用途或处理的特定信息，如重新定制(冰箱、冷却器从而记住并提供内容和使用期的服务)、程序调整(洗衣机的衣物等)、喜好(声音、喜欢的电视频道、灯光等)、亲近服务(开门)。

另一个重要方案和应用是利用包括加密的PRP参考和认证密钥的参考列表，其将家用扩展到通用。组认证的后面不会是设备认证，因为这样会生成同一设备跨多项交易的链接。

在该应用范围内，应用服务的提供商会连接到PRP，并且应用服务提供商或者是服务提供商(在受管理的服务时)响应以例如一个时间标记(以及可能的话一票券号或者是其它的特定信息如距离、位置、部门、座位、价格范围或者是其它特定的票券信息)，其用来定义这种特定票券的有效期。

在该时间周期内后来的请求会形成同一参考(加上所链接的附加信息)的响应。通过让该时间标记延伸到实际的周期终点，并将其与删除参考组合起来，指令的扩展名等就能通过将多个PRPs以一个重复的请求链接一个交易中而买到。

这一点特别适用于同一个组密钥用于跨客户应用的场合。这一点对于出票系统来说可用在运输、泊车、上路费、物理接入系统、事件等中。

即使一次性使用的票券也能通过购买票券、生成一个保存了所有相关事件信息的PRP并制备带有相关信息和组码(Group Code)的RFID参考而集成在一个廉价的多功能RFID标签中。相关的组码由应用的服务提供商将其当成票券购买的一部分提供，或者由服务提供商将其当成受管理服务的一部分提供。

这一点很容易扩展到多票券应用中，甚至是横跨不同的应用，其要么由客户分离协议准备，要么是作为旅游包的一个部分由服务提供商以受管理服务支持以便操作(机票、组合了旅馆预订和会议登记的汽车租赁)

如果实际的应用信息保存在PRP并为合适接收者所加密，以及对PRP提供商认证的额外可能性可使二级滥用非常困难。

本方案的一项重要的引入是引入了认证码，这里RFID给PRP提供商释放出一个特定于交易的认证从而发出有效负载。对此的一个简单方法是对于RFID来说用随机交易密钥来屏蔽认证码。

用随机交易密钥来屏蔽认证码；在用一个组认证来认证时，RFID返回Ref和Code＝H((R xor AC)。提供商与PRP实体接触并对PRP认证。提供商将En(Ref+Code+R，PRP.Pub)发送给PRP实体。PRP实体返回票券的内容。

这样，除非RFID在实际交易已经认证，否则不会释放出有价值的有效负荷。一种减少黑客攻击的方法是一种两相认证协议的两用，并接收一个对PRP提供商的参考，这里前端如一验票员用一个组认证密钥来认证。接着，该前端与PRP提供商建立起一个交易，PRP提供商通过其由RFID零知识认证。在多数情况下，前端是与PRP提供商实时连接，但在散布的情况下，RFID是一个通常方案并且消费者有不同的PRP提供商，此时本连接可即时生成。

然后，PRP提供商进行与特定事件相关的认证，由此只有共享的机密才由PRP提供商和RFID自己保存。这一点类似于产品认证。

用RFID控程的保密配送

采用该RFID技术，可在转换中追踪物理包并变更路线。该RFID能从远程变到保密模式。

RFID的生产商生成一个标准的RFID，其带有预定的能使保密模式有效的一次性认证密钥以及一个用第三方公钥加密的密钥，其中的第三方公钥在购买时发给购买者。该RFID通过正常的配送通道进行分配。在购买时，将加密的密钥发给终端用户，由此其就用一个安全的匿名通道与服务提供商联系从而获得加密的加密密钥。如果进行了多个想获得加密密钥的尝试，就有可能违反安全性。

由此终端用户就可用不同的组认证密钥来对物理配送的每一程进行编码，并链接到中央但匿名并且是不可链接的PRPs上。在PRPs这里，用户可保存动态路由的最新资料、用来进行通知的联系信息或者是变化落点的协调等。该RFID可按如下方式加密，即每一程在第一次认证时均删除前一程的信息。该包可从一程的标记符切换到下一程的标识符。在有问题时，通过PRP链接进行协调。在最后一程，可根据用户的判断来收集或分配。由于RFID包含有认证能力，由此只需简单地证明有能力对配送RFID进行认证就能证明其所有权。

同样，物理配送也可匿名协调地进行，并且还利用了RFID的效率和智能通讯的支持。

能够处理不对称加密的设备

如上所示，保密设备认证甚至用很弱的认证机制也能进行。

优选并标准的方法是使用很强的加密，在零知识方式时其采用不平称甚至凭证加密。例如，整个零知识设备认证信息由共享机密对称加密或者是用不平密钥组混合加密，这里每个设备均用其中的一个密钥来加密和解密。

能够进行强加密的设备始终都能模拟出上述的弱加密协议。例如，读卡器不可能检测出一邻近标志是否是一个弱计算功能的RFID标签，一个有些能力的蓝牙标签或者是一个先进的带有全密钥管理的主认证装置(Master Authentication Device)，并且该读卡器不可能与短程无线协议如RFID通讯、蓝牙、红外或者是其它局域通讯协议一起并接到WLAN、3G或者是其它通讯通道上。

在购买过程中，客户设想对设备进行控制，该设备或客户生成一个特定于设备的机密公-私不对称密钥组。机密是指在设备和所有者之外不被共享。委托优选通过附加的机密密钥组进行从而区分出所有者/管理者和临时委托的减少接入的认证。

该保密设备密钥在该设备中被阻塞。

当客户想去控制时，任何一个通讯包都可用公钥进行加密而不必附加什么识别证书或者是统一标识。对于一个外部观察者来说，每一个包都是零知识通讯。

如果该设备能够成功地解密该包，该设备就可假定发送者就是设备的所有者。日期标记或对抗响应机制应包括进来从而防止重放攻击，但不知道机密公钥，攻击者既不能制备也不能解密设备信息。

更强的认证应包括一个双向认证，在对特定方使用特定于文本的设备密钥时其特别适用，其类似于带有在芯片卡中进行管理的加密密钥的虚拟身份的工作。

移动设备自己不用生成特定于PRP的不对称密钥。每一个PRP以及后面的每一个关系链接组的PRPs均可具有一组预备好的不对称密钥，其用一个特定于卡的解密密钥来保存并解密。在对PRP进行认证时，该特定的不对称提交给移动设备并被解密。同样，不对称密钥组中的公钥也能事先朝向PRP服务提供商链接到PRP从而首先基于一个轻量级协议进行认证处理接着是一个基于解密私钥并读取私钥能力的强认证。

不对称的设备到设备的认证只需基于乐观原则进行，这里从属设备在每一项请求下测试所有批准的密钥。

X1、X2和X3能组合到一个加密包中，这样，例如在单向模式下X1＝Enc(时间标记‖R‖h(R)，设备公钥)，在双密钥模式下X1＝Enc(时间标记‖R‖Enc(R，主私钥)，设备公钥)。

同样，组认证也很简单，因为共享机密换成组认证密钥中的公钥并切换到强加密，而不必交换证书或密钥，其不仅仅是交易。

可追踪到防改硬件的可信安全计算——(TRUsted Secure computingtraceable to Tamper-resistant HardWare------TRUSTHW)

安全性的一个主要方面是如何避免对软件安全和核心操作系统的攻击。如果攻击者能把软件换成他们的版本，他们就能当成一个中间人，从而导致大量不同的安全问题。本方法为了解决这个问题将数字密钥以防改硬件的形式锁死，然后以一种能追踪任何密钥、硬件、软件或者是所用交易的方式来引导系统启动和通讯。一密钥组在硬件中生成并用来产生并登录新的密钥组，这里对私钥的控制永远都不会离开硬件。因此，任何登入并经核实的交易都可直接追踪到硬件。

加入可信第三方等不会改变控制不在个人手中而在外部实体手中的事实，但如果他们能核实链接到硬件的为未被破坏链接，那么就可将一特定密钥看成是值得相信的。这种信任对于广义的数字权利管理是非常重要的，其中的数字权利管理包括保护核心系统免受精心及暗含恶意软件的破坏。

然而，即使这样可以形成抵抗第三方攻击者的安全性，但其结果是这种可链接性破坏了通讯方和基础架构是数据安全。同样，这里有一个很重要的问题即特定于目标的系统会强制软件升级。换句话说，目前是一方面是防范第三方欺诈的安全性，另一方面是个人数据的安全和保密性，两者之间需要平衡。

本发明建立起一种新的模式，其采用虚拟系统和虚拟身份，其中横跨多个交易的可链接性由个人自身控制。

确保这一点能够正常工作的核心要素是注意匿名硬件的可追踪性。换句话说，就是能够追踪到一个硬件标准规格(如目录信息如带有相关证书密钥的版本5.7)，该规格记载有：这些密钥受硬件控制但不确定是哪个硬件(产品ID如一ePC号)。

对此有一个方式是使用标记、遮蔽的签名或者是以下面这种方式集成到硬件中的凭证，其中的硬件在不公开其真实身份的情况下产生多个虚拟系统。

在优选实施方式中，该硬件能够产生不对称的密钥组如防改处理单元中的RSA密钥。防改是指在有人企图物理攻击该硬件从而读取密钥时这些密钥被破坏掉。

生产商提供的硬件带有硬件密钥组(Hardware Key pair----HKP)，其由硬件制造商认证到硬件的零件上从而使该硬件能够证明其是朝向某人的硬件。

当用户指示硬件生成一个虚拟系统密钥时，该硬件用HKP密钥来登入一个对来自第三方凭证的请求以便核实硬件规格。第三方一旦识别出该特定的硬件，其就生成一个凭证并用HKP密钥的公共部分来加密该凭证，然后将其返回。只有该硬件能解密该凭证，因此该凭证就完全锁定到该硬件上。然后该硬件就生成一个新虚拟系统密钥组(Virtual System KeyPair-----VSKP)并用上面的凭证将该VSKP密钥的公钥匿名链接到硬件规格上。然后，就用VSKP密钥组的私钥登入这种组合。现在，该密钥就能由任何外部核实从而能追踪到硬件，由此就是在硬件的控制下，但不可追踪到特定的一个硬件。

如果该VSKP密钥仅用作一个假名或者是一个假名的属性，那么通过例如一个匿名的混合网，第三方就能在无法知道是哪个硬件的条件下匿名核实该假名是否可追踪到已知规格下的硬件控制。

这一点对DRM来说更加完美，因为内容提供商能用一VSKP密钥来加密内容，并继续受确保能根据已知的规格来对内容进行处理而不必识别出设备或用户。

一旦读取DRM保护的内容，在一实施例中，该硬件规格就定义在什么条件下对内容的加密密钥会被解密并且为另一个硬件如媒体播放器或者是基本的系统CPU等重新加密。由此，匿名并安全的DRM就能追踪到已知的硬件规格。

其有一个主要应用是能够只用认证的硬件和认证的软件引导可信系统，同时还能将新的部分匿名引到系统中。

这样就将控制结构降低到一个标准规格的问题，该规格由认证定义，该认证可追踪到所定义根认证密钥从而横跨提供商和工具工作。一个重要的元素是技术特性不会导致其它信息的泄露从而可追踪到设备或用户。

可追踪生成身份契约的硬件-----免责。

在能够进行匿名硬件追踪这方面的一个重要特征是能够使客户方这边生成身份契约，其由凭证根据规格来证明。因此，如果硬件可被信任，对一实体的信任就不需要。

这一方面能够生成没有链接的责任，即一个交易能承担责任，而不必将同一设备的不同交易变为可以链接。

其默认模式在“Establishing a Privacy communication path”中被描述成串联的两个可信方，这里第一方有罪，并且第二方代表被控告方核实是否已附上应有的处理。

通过对可信方列表发布的管理，时间限制密钥或者是其它契约订立人、客方硬件均能在没有任何中间实体卷入的条件下生成PACC。

新的订立人很容易就能引入例如将合同与基于标记的事件合并起来，这样身份契约就成了一实体不满足合同条款的条件。例如，一旦用来核实支付的凭证向基于硬件的可信方发出从而承认合同条款已经满足，那么一项贷款的分期付款就能发给借贷者，结果重建识别的能力就已被终止。

同样，这意味着能自动确定违反合同，并以很小的代价来发出识别赔偿。

这还意味着身份契约能被终端用户设备裁成文本风险档案，即对方能够精确地实时核实在哪一个条款下或者哪一个程序责任受到确保。例如，在三个月内，可信方A能在一定的条件下导致识别的重建。如果这些条件没有特定结构，那么就可将可信方如法院或法律实体引入。如果条款没有满足，例如产品保修在没有在预定时间框架内主张权利的条件下终止，那么打开契约身份的密钥就从硬件设备删除，并识别永远也不会被重建起来。

TRUSTHW的附加特性

必须注意，根证明密钥(Root Certificate Key)在外部控制下的可追踪性对限制谁可给可信系统提供服务、部件或者内容也非常有用。

虽然基本方案通过将HKP-密钥限制到新凭证的生成从而提供做这件事的直接能力，可信方也可能引入发放凭证的条件。一种用来解决该问题的实施方式是在用户控制系统之前使硬件早在生产的过程就装有显著数量的VSKP凭证号。这种方法的缺点是该凭证有可能在销售点就已展示过有限的次数，使下一次展示通过可信方的能力识别从而打开并链接各种凭证。

上述另一方面是终端用户能通过物理按键来要求系统接收未被一密钥证明的软件或硬件，其中的密钥可追踪到根证明密钥，因此撤消实施对合理使用的政策。该方面与该能力一起在假名下作用，引入绝对的终端用户控制，但这也有可能引起限制外部信任的安全风险。

本发明能够准确地进行合理地使用，即，硬件、软件和内容均能转移到终端用户的控制之中。例如，不许计算机的提供商强制实施下面的策划，即只有其自己生产的设备才能连接到系统上。

硬件规格可包含与时间、系统部件的组成或用户相关的特定要求。这一点可根据例如匿名PRP原则通过日常更新凭证或交易核实来实现。

其一种用途是使公司的雇员将公司信息保存到家里的计算机上从而在改变认证时能轻松地读取家里所保存的公司信息。这一点还涉及雇佣的终止或者是工作说明的改变。

另一个用途是在硬件规格中检测到有令其容易受到攻击的瑕疵时，终止使用直到进行特定的获得证明的更新。注意，这一特性同样对限制谁能给可信系统提供服务、部件或内容非常有用。

另一个用途是以下面的方式来应用用户凭证，例如确定一定的罪行从而导致用户失去对一些凭证的权利，从而养活了匿名的权利。该用户可能会被阻挡在系统之外，直到某些特性被恢复。其中一个特性是在各个虚拟系统之间建立链接或者是提供对私钥的读取。

在一特定实施例中，这样的一种TRUSTHW虚拟机组合了特定于用户的密钥从而生成一个主认证装置(参见图10的数字保密高速通道)。特定于用户的密钥包括使用户用生理参数、密码或者是某种对MAD的交互来进行认证从而启动外部虚拟身份密钥的能力。

MAD设备自身包含有生理参数读取器，或者是能够使用一从属设备来读取生理参数从而将这些生理参数与所保存并杂凑的样板进行比较。如果与MAD匹配，设备可用图11中描述的受管理制数字签名(Managed DigitalSignatures)上的高级撤回控制特征来读取所保存的敏感材料如数字签名或未加密的被证实的生理参数，同时还保留立即无效该MAD设备以防以后滥用的能力。

在一个非常重要的实施例中，MAD设备对能够展示所保存的一个生理参数如图片或指纹的TRUSTHW设备进行认证，其中不必转移权力从而以一种非加密的方式来保存该生理参数。这一点非常适用于边界的地方，因为该生理参数不会离开个人的控制，同样边防人员在需要核实时能够用眼来核实该生理参数。旅客可主动地展示所必须的信息或凭证。

在另一个重要实施例中，在边界站，这一点可用来确保：对生理参数的核实或者是对阻止进入名单的核实不会使生理参数被公开从而被集中收集和保存以便下次使用。

这一点甚至可用下面的方式来实现。用户在一匿名网络上认证到一可信的第三方，其接收一凭证表明这个人不想或者不清楚是否离开或进入一个国家，而不必允诺其到底在哪儿。

在一个特定的实施例中，这可用来使一旅客要求一临时居留证(Temporary Residence Credential)，这样该旅客在经过生理参数追踪识别后就能留下虚拟身份从而在该国的停留期内带着凭证和识别信息继续工作，其中的识别信息可在预定的特定环境中有限时地公开。一旦离开这个国家，旅客就能收到一个离境证明，其用来清除临时居留证，同时旅客还能收到一个新用于下一次入境的临时居留证。

值得注意的是，如数字保密高速通道(Digital Privacy Highway)中所述，使用对一PRP的逆认证来进行认证的移动TRUSTHW设备可被生理参数测定识别出来并追踪到所知的防改硬件规格，同时其能对所有行为承担责任，在被盗时立即取消，出于某种考虑用凭证清除，以及保留假名并且在自身交易中只留下电子痕迹。

特定于文本的保密联系点(Context-specific Privacy ContactPoints----CPCP)----协调问题和即时通信。

每一部分都公开他的优选地址本关系的这些天(或者是其它变化部分如事件或者特定于文本的密钥)的版本。

一条即时的信息连接的信息——一CPCP——例如可用来生成<PRP-domain>.hash(relationship XOR Date/Event/etc)。

然后，即时通信的提供商只需将特定于PRP的CPCP提供给相关的PRP提供商就能横跨多个PRP-domain有效地匹配这些关系。这样同时还横跨多个即时通信提供商链接上不同的客户。

责任是一个交叉的问题，因为共享一个PLIM不会建立一个连接，除非对PRP连接进行认证。这种松开一保密芯片卡的方式不会使盗贼读取到即时通信关系，同时对责任的时间要求独立于即时通信提供商符合各个关系的要求。

一个结果是能够在不生成稳定链接的条件下通过即时通信以保密的方式将移动电话链接到其它某一种IM设备连接上。我始终能在基础架构无法追踪我的条件下与我的关系联系。

将PRP-domain屏蔽成杂凑的一部分对于小主域来说更加安全(该主域自身应该不会曝露，但商业协议可能会引入区别)，但这样会导致横跨不同即时通信提供商和不同PRP-domain链接的问题。一个解决方案是形成特定的PRP-部分连接，这样客户设备就告诉即时通信提供商向PRP提供商清单匹配所有的CPCP。

关系方做同样的工作，并且一旦匹配上即时通信，就在通信服务不知道谁与谁交谈的条件下建立链接。

由于关系机密可能会涉及一个组合了组间关系的组关系，因此这个概念可用于组、社区并能置于多个层中。例如，所有的社区成员SMARTGROUP都发布一个组CPCP，接着是对组认证发布一个与组相关的局域CPCP从而生成特定于组的即时通信。

关系社区

该组关系还提供即时通信关系链接，因为组社区可由一个客户所有权构成的临时社区组成。对于每一个根关系来说，参与者皆定义该关系是否可见并可由其它方的关系获得。如果可以，那么在生成即时通信密钥时，特别间接的关系密钥会生成从而避免共享基本关系机密。该间接关系密钥定义为非唯一的，这样只是相对于一个特定客户才有意义。

换句话说，所有客户均重复使用同样的参考密钥，并且该链接也是临时的。然而，如果临时社区中的两个客户决定保持联系，那么它们可生成一个持久的关系。

客户每次生成这些特定于文本的社区时，新的参考密钥和相关的认证密钥也会在一即时通信连接得到认证时生成并共享。

安置好这种配置会形成关系链。换句话说，对于第二级或更深级的读取来说，其中一个关系的关系想要读取一社区，一个请求从而读取临时社区密钥，并且关系清单可自动或基于请求来提交。

我抛出一个数字晚会。你们得到邀请，同时带上你们的朋友以及朋友的朋友。

通用基础架构

即时通信关系即使在横跨多个即时通信提供商时，其非链接性的原理也非常适用于基础架构中的多个功能。在始终开机的情况下，移动电话可保持匿名，同时仍能被客户地址本中所选择的成员接上。

通过形成所发布电话本的服务或者是关系中联系信息的其它类型发布的服务，这里客户通过一个采集机制如一混合网进行读取，并且使用一个组合了回复功能的混合网来发布CPCP，现有的电话系统就能完全保密，并能完全消除保密性、责任和方便之间破坏性的交易。

设备到设备的认证

本发明的关键部分是设备认证到设备到设备认证的自然延续。

主要原理是，在局域可信环境中的设备能被链接，而外面的连接只能通过一个屏蔽的交易或关系被链接或连接。这些设备不能由基础架构中或者是周围空间中的某个外人用一个持久的标识符直接读取，因为这样会在客户控制之外生成链接性。

设备到外部设备的链接只能以下面的方式相对于特定的关系形成，即该设备不能在关系之外被寻址。

在局部和可信环境的许多情况下，最好将设备的控制委託给其它的设备。这样就能在一复杂的多设备产品中形成主密钥设备的情况，其中把次要设备的控制转移給中央密钥设备。

例如可以是一个计算机(CPU、键盘、内存、鼠标、存贮器、输入/输出设备、网络适配器等)、一汽车(点火器、车门、多媒体设备、油箱、网络适配器等)。

其它可以是家用可被链接的电器如多媒体(电视、收音机、CD/DVD/数字播放器、计算机、扬声器、遥控器、顶置盒等)、厨房设备(炊具、冰箱、其它电器)、家庭办公设备(打印机、计算机、接口、服务器等)、系统(供热系统、照明系统、通风系统等)、保安系统(门防、报警、窗、室外照明等)。

还可以是以上的组合，如汽车对大门以及车库门启装置的认证。

在优选实施例中，客户具有移动的主认证装置，其专门用于密钥管理并能控制特定的主通讯装置(Master Communication Device)(如移动电话、计算机等)，其中的通讯设备再来控制特定的主装置(Master Device)如家用智能网络服务器、汽车、工作间、家庭办公室、其它的特定主装置等。

在底部是由产品标签如RFID、蓝牙标签或者是更先进的计算标签所控制的简单的从属设备。这些设备既能简单地连接到产品/设备上，也能被集成起来并控制某些功能如门防报警、咖啡机、车库门启装置等。

每个人至少会有一个供移动使用的主认证装置(减少功能从而防止丢失或被盗)、一个更为强大的家用设备、一个在失败时将控制转移到新设备的备份方案等。

至少要有两种不同的用户读取角色。首先，所有者/管理者的读取能够将设备控制权委託给其它设备，或者是用户读取到主认证装置的持有人。

然后，每个人均能控制通讯设备，并通过它们控制特定的主设备和从设备。

在本配置中通过准备好的优选选择很容易就能实现客户化，其根据设备配置在认证时触发。例如，一个小孩不需要进行智力认证，但需要靠近认证。大一点的孩子可能能读取所有的东西，但功能有所降低(计算机并不对所有的站点和服务开放，可对电视进行限制等)。成人如果想的话可具有所有设备的完全控制权(一主设备可通过各个设备将控制下延从而改变软盘驱动器的设置使其只读，或者是改变照明系统，这样，一特定的接触开关就触发一房间环境设置到三个灯、22℃，并触发收音机到古典音乐，而不是用简单的on/off开关来对两个灯进行操作)。

在另一实施例中，用一个TRUSTHW设备来控制某一非TRUSTHW设备和其它某一个实体之间的通讯。如果设备内部可硬件追踪，但设备可识别，那么该TRUSTHW设备就能链接到这个非保护设备，并在外部建立虚拟机消除外部链接。这种设备可包含由根证明密钥来证明，但只能将这些设备用于预定的用途。

该TRUSTHW设备生成一个带有非保护设备的可信密钥，其从外看就成了一个设备。通过利用中间人的原理和设备假名来防止实际设备被识别出来，该保密方面可用来处理任何一种设备，就算该设备是不能被赋予信任的。

带有中央控制的有限安全性方案

本发明的一个特别的应用是所描述的任何一种保护设备免受第三方窃听的方案，但其中密钥的控制不转移到新的所有者，或者是一个中间实体有办法获得终端用户设备的密钥的控制或副本。

例如，与其由RFID所有者对真实性核实进行认证，这可以是只不过包括采用一个组认证，其通过一中间密钥来释放由随机交易密钥来屏蔽的EPC号。

这类特征使本发明非常适用于军事用途如间谍、对人、设备、运输或交通工具进行秘密监视或跟踪等。特别是由于该设备看上去如常工作，除非是中间实体开始与该设备进行通讯。

其它用途是商业追踪。即使消费者可能会用搭线窃听设备来检测与该设备正在进行的通讯，但消费者很难知道通讯的内容，也很难证明正在进行的追踪因为从该通讯不能得到任何东西。

本特征自身在没有所有权控制的情况下不能防止被所通知方的追踪，但其能防止第三方追踪RFID、知道有关该标签存在的事情，及防止通过向某个模仿RFID标签的设备转移信息来复制该标签。如果密钥每次都变化，那么就不能在没有察觉的情况下对同一标签进行多次复制，因为密钥同步会放宽追踪并且认证会失败，这样即使对标准的防止假冒产品来说这一点也是非常有用的。

应用

即时取消芯片卡

本发明的主要应用是能够提供可完全放弃的并能即时取消的多应用、多身份芯片卡，其能支持关系的生成、保持、认证和非链接性的保持，每一个关系在自身相关交易、责任和通讯支持的连续链接之中。

同样的芯片卡可包括护照、保健卡、信用卡、数字签名等所有完全保密版，只限于清晰不可避免的链接性，如那些识别出个人的用途以及该连接中使用的信息，其不是必须的或者其违反了一识别版本中所保存的协议。

本发明明确地实施了一个方案，其通过阻止卡的处理而不并非凭证来取消匿名凭证以及数字现金。这就能用完全匿名的凭证，同时防止身份被盗或者是因卡丢失所产生的类似问题。

数字关系

本发明能够生成通用的双向并且成组的关系，其带有匿名、责任和交叉保护的组合。

例如，两个彼此相遇的陌生人能够用保密参考点来交换联系信息，其要么使用一个直接的无线协议，要么使用一个设备来协调该连接。除了默认的受管理责任方案之外，该关系还能是纯双向的匿名关系，其带有一个直接协商并确认交换的PACC(带可信方或设备组合的责任)或证明。

这一点可用在人们相遇并想根据情况建立连接的所有场合(甚至远程)。这包括，但不排除，会议、约会、日期服务、拍卖场、交通场所、公共事件、咖啡馆的意外相遇、街道等。

一个特定并且非常特别的情形是，组合了在线和真实世界的性虐待受害人的组治疗。参加者想要确保没有人会匿名收集其它人的信息并刻意滥用这些信息。与此同时，简便并且不可识别的认证以及远程读取的方便性非常重要。

保密营销及客户诚信

本发明能够产生对称为客户等级的完美支持----商业或社会关系的逐渐演变。

留下一个匿名连接点对该客户来说是绝对安全的，并且仍能完全地支持在时间上后面的任何一点的通讯、支付、物理递送的接收。因此决定登录的社会和道德成本对于客户来说是零，对于信息社会来说就是取消密钥交易的成本。

此外，客户有100％的退出保证，其始终能出于某种原因而去掉这个关系。

基本的配置是完全匿名，并且根据例如EU数据指令从法律的观点来看也并没有将个人数据从个人转移到店家。结果，客户数据有可能不受数据指令的限制，但其可看成是100％的匿名。

同时其仍具有完全的方便性、交易的支持性以及通讯通道的可用性。如果商店能判断出某类责任，那么就能据此设计出一PACC，并且其还支持关系内的各种平衡。

因此，构建客户诚信只是商家服务、产品和沟通的问题。

有效期管理

在保密认证设备的组合中，这样的一个芯片卡能完全安全地接入所有的关系从而确定出外部链接的级别，该外部只受实际决定如通讯方便性、成本和关心度的影响。

在不改变用户界面和使用方便性的条件下，例如与保健相关的关系就能从客户有效期的其它部分完全分离。

设备的即插即用

客户可获得一个新设备，然后将芯片卡插入到芯片卡读卡器中并交叉链接这些设备从而将设备升级到保密认证设备，或者是用一台外部保密认证设备来控制该新设备，从而将其立即投入使用以便读取客户的历史数据。然后，客户就能通过例如一混合网连接到一台共享的存贮空间上从而读取其个人数据文件或者是横向关系，并根据设备的类型来收集地址本的相关信息或者是更特定的档案信息。

架构交易认证

本发明一个非常重要的方面是能够生成通讯设备从而在对基础架构提供可追踪认证的条件下建立方便性、可用性和支付。

例如，变更后的移动电话可打开并对一匿名的一次性PRP认证。该交易可带有各种局域化的服务如局域信息、店内服务、票务、通常设备的管理等。

该移动电话可用所保存的信息来发出特定于文本的联系点(CPCP)，其能使使用者匿名实时及随时地联系家人、朋友、工作、组等。

通过生成商业卡接入点(列出并识别的电话、电子邮件或类似的联系信息)，就能生成组合有CPCP的混合网回复块功能。

同样的原理很容易转用到其它类型的通讯如无线网线(如WLAN)和固定网络(如LAN)。

对等(Peer-to-Peer)/即时通信/VolP/Chat(聊天)

本发明有一个突破，其在不依赖于控制下的集中实体的条件下连接上各个分散的接入点。在一关系中的两个客户建立一个共享的关系机密以及一个主域参考。只要他们使用相同的算法，他们就能相对于一主域参考生成相同的特定于文本的参考(CPCP)，并能发布其只能链接到一个一次性的PRP上。

该主域参考可以是动态的，并能被一组同步点以及一个动态共享的用来操作主域的点表控制。该主域操作员收到一个链接到一PRP的CPCP，然后尝试将其与其它的CPCP进行匹配。

如果匹配，那么就将一个链接信息传送并通过相关的PRP，链接两个不同的匿名交易。这两个客户现在形成关系，他们连接到一个零知识认证并进行该认证从而对此进行核实。该交易要么通过PRP提供商在直接点对点的基础上继续进行，要么交给其它的某个交易支持如专门的路由器，其用作一个代理人来确定路线或屏蔽地址。

结果就是，在不增加链接性的情况下同样的关系能用作高宽带协议如视频会议、始终在线(always-on)协议如即时通信以及动态Peer-to-Peer如IP上的语音的入口。

IPv6

在IPv6中，有一个简单概念，即每台设备一个IP。为了提供安全性，每个设备、每个交易或者是每个PRP交易需要一个IP。将IPv6与PRP协调，IPv2就能升级而包括保密。关键是认证和责任均为独立的方面。

网格(Grid)

计算机共享的思想可追索为的租用，由此能够更好利用现有的计算机资源并能为例如研究提供大量的并行计算，这一点非常具有吸引力。然而，一个对所有信息有直接访问能力的虚拟计算机的生成会构成大规模的保密性侵犯以及在各个不同方面中安全性的破坏。

本发明提供GRID计算，其通过脱开交易并将控制分散从而形成一个平衡的解决方案。基本的可链接设备必须是可信环境中的客方设备，其由客户严格控制。然而对服务、手续费、PRP提供商、IM提供商等进行协调就能广泛地使用GRID计算，因为它们的特点是不能滥用提供给它们的信息。

跨多个交互式服务生成保密即时通信

这一点例如非常适用于带有分布式组电视(Group Television)的交互式电视会议。在内容被广播并且电视在另一个双通线路中加上一个带有客户化部分的覆盖内容时，交互式电视可以具有保密功能。

例如，将一个认证到一电视会议双向链接的PAD与广播电视相组合。内容提供商或者是内容服务提供商能主持特定的服务并支持客户在其使用的广播内容中浏览。这一点与新闻节目、知识节目、娱乐节目等非常相关。人们甚至可想像得到根据喜好节目可有不同的效果，由此比如说喜欢电影具有快乐结局的客户就能获得快乐的结局，同时其它人可得到其它的结局。类似的节目均可集中于同样的主题，这样比如说节目的各个部分就能形成不同的轨迹或内容，其用来改变视角、集中于技术方面或情感方面、更多或更少的动作、更多或更少的浪漫等。

此外，这还公开了完整地生成新节目的概念和交互式的服务，这里高度局域化和客户化的交互式特征可与广播的内容如比赛、智力竞赛、与节目有关的讨论、争议事件的投票、对所采访观众的问题进行排序、提供输入从而使节目继续、分级节目等进行交互。

这还能在商业利益和广播媒体之间生成一个强大的链接。在线或集成的产品说明可直接链接到购买产品的观众，或者只是生成进一步请求联系的输入。这还能与节目赞助以及其它各类的商业促销组合起来。

即时关系可以生成是为节目所特定(密钥等于Hash(关系机密XOR节目所特定的密钥))，组合有普通即时通信的节目(密钥等于Hash(关系机密XOR日期/其它非节目所特定的密钥))以及以呼叫参与的形式的组合。

一通用的PLIM和一个程序所特定的PLIM的组合能生成一个完全新的方式来将观众快速吸引到交互活动中，因为其生成了一个病毒效应。每一个客户参与者都标出他的亲属，这些亲属再标出他们的亲属。这一点无缝地作用到不同的通讯通道、协议、基础架构的提供商、即时通信、PRPs以及身份服务上。

这里有一个重要部分是其非侵入性的。这一点仅适用于实际在线并且IM和传呼功能开启的客户。

一客户可通过代理利用一个虚拟服务而可以成为虚拟地一直在线，其中的虚拟服务组合了一个对其定位的触发器。该触发器可用例如一混合网回复块方案、广播或者是其它的不可追踪或难于追踪的方案对持续的追踪匿名。值得注意的是，责任问题正交于此，因为PACC能链接到代理人上，并且将一认证集成到双方之间的连接状态中。

保密权利管理(PRM)-数字权利管理和内容分配

在交易和个人控制之间的直接链接亦能生成一个用于数字权利管理的保密框架。客户对某些内容的获取权链接到一PRP，加密的密钥在这里保存起来。这种获得数字内容的方式不会增加链接性，但其仍可从独立于通道或媒体的地方读取。

一种可能的方式是用设备特定的密钥如DVD播放器、电视、便携式设备如PDA、便携式或桌上计算机或者是其它多媒体设备等来加密。对于高价值的内容来说，保密版的内容可与特定保护如水印等一起生成。

任何时候，客户都能从PRP收集加密的密钥来重播内容，将其转移到保密芯片卡，然后对该密钥进行解密以便适当的使用。

此外，该内容可优先配送到一内容服务提供商(Content ServiceProvider)从而缩短广播时间，其可通过在某些事件之前进行配送，或利用流量较少的时间(如夜间)以及在长时间的集中连接时减少内容的重复配送等。在获得读取权利时，相关的内容特定密钥被生成并用一个由保密芯片卡控制的私钥进行加密，其中的芯片卡组合有一个通常的参考和票券以便从内容服务提供商的分布网络收集内容。客户可就地收集并保存内容，也可在某一时刻连接并重新使用前面获得的内容，而不管是什么设备和什么地点。内容可以用同样的密钥以多种格式获得，因此获得的内容就能独立于设备、通道和媒体而重播。

保护身份提供商

我们假定任何客户都会根据个人在通讯方便性、成本和链接性上的喜好使用多个身份提供商和PACC。在接入身份提供商之前，通过包括一个匿名的基于芯片卡特定PRP的PRP层可形成两个主要的优点。第一，客户可在不链接各个身份提供商的条件下阻止一张特定的卡。第二，PRP层会引入对身份提供商的保护，使其免于基础架构接入提供商(ISP、telco等)的接入。

个人的存货管理

这样的一种新设备能够例如作为一个存货管理器，其合并有一个组合式RFID/蓝牙、WLAN和能够与各种设备或产品标签通讯的微波读取器。

在购买了所有设备的信息后，带有数字设备密钥的产品标签就可登录到个人存货清单中。使用手持式或固定式读卡器(例如在房间入口)，就能追踪个人的所有物品并生成个人的存货服务如维护(清单、保修卡、服务电话等)、提示(在离开房间时的核对表、借出表等)、这个东西(眼镜、钥匙、钱包、书等)所在的地方、相关的保险、防盗(停止广播或大声命令)。

在将一设备借给某人时，可生成一组新的设备机密(DS)、组机密(GS)及设备ID(GI)，并且这些密钥与借走这个设备的人以这样的一种方式共享，即借的人不能读取原始的密钥。在发出一条经认证的消灭指令时，这组密钥就被删除。在给最后一组客户密钥发出一条经认证的消灭指令时，该设备就被保存在其原始状态，然后作为循环处理的一个部分继续其产品的使用周期。

防盗只是简单地涉及在不认证的情况下能够响应。所有者广播一个盗贼认证并与联系信息一起报告出设备的标识符。在某一读取器拾取该没有认证的设备时，可追踪该设备并能通知所有者。这种形式的防盗有一个好处是所有的读者都会看到该设备并报告出来，这些设备并没有启动保密。在对非保密启动的设备处以罚款或进行处罚时，原来的保密性问题就转变成保密性的保护了。

能够保密的个人会计，成本会计等

现今，大多数个人会计都是通过个人或家庭分类帐(银行往来帐)的平衡完成的，其不提供重要的损益内容，即不会准确地描述该结算期客户财政状况的具体变化。银行、信用卡公司、在线的帐单和支付服务也都移向发票的读取。将识别支付与发票链接的结果就是保密性和商业信息控制的破坏。

采用保密参考点，客户可出于会计的目的匿名转移他的交易历史并收集发票等。只有客户才能在一个可信环境如他自己家里的桌上电脑来进行。

同样，将详细发票在产品代码上链接到生产商的产品信息上可提供更为先进的服务，如成本会计(热量、维生素、口感、膳食等)、在种类和来源(贫/富国等)上的消费分布，还能为生产商到客户提供缺陷产品、产品更新或相关信息的报警发布方法。

本发明能够在出现新情况时动态地链接上历史交易，因此特别有助于提高帐户的透明度。例如，消费者越来越注意无线通讯的辐射问题以及电子设备的耗电问题，这一点也有可能导致产品信息的改变。生产商可在家更新产品信息，同时消费者可像信息更新后读取新交易一样来读取历史交易信息。

自服务商店

本发明的一项非常先进的应用可包括自服务商店，其组合了匿名信用、出于诚信的匿名关系支持、用RFID组合了防盗的及时价值链支持。其工作如下。

客户通过对服务提供商认证从而在入口认证到一自服务，该服务提供商将加密的商店特定的给该客户的客户号返回给商店计算机。这样，一特定于客户并被认证的交易就在客户和商店计算机之间建立起来以便在店内实现通讯服务。

在销售点(point-of-sales-----POS)，一产品唯一的产品标识符从RFID标签收集下来，并将其与价格信息、产品信息以及购买的其它信息如质保信息一起转移到客户那里。客户核实购买，并且用匿名信用协议对购买量进行认证并把购买量付给服务提供商，同时组合成。

保密配送协调

本发明很容易就能扩展来支持邮购等，例如，可通过PRP提供商对同时付款和送货进行协调。与落脚点和动态晚点相关的零知识认证寻找产品离开生产商之后托运人收到最后落脚点信息的地方，对此可用“建立保密通讯通道”中所述的原理来实现。

对其的一个有价值的应用是能够用RFID生成带有一体式被保护地址的便宜电子邮戳。信封可用一体式标签生成，该标签经修改成合适的价格和接收者所控制的地址(落脚点等)

应当注意的是，作为本发明一个部分提供的零知识协议在许多方式上都强于上面的发明，其能提供措施来防止某些非常先进的攻击，如托运人试图哄骗客户证明其收到了一个包裹，而实际上他收到的是另一个包裹。

商业经纪

需要注意的是本发明提供了一种对上述专利申请进行的非常先进及创新的扩展，即本发明不用依赖于身份提供商而生成交易支持。因此，本发明能够为产品和支付在店内、邮购和例如更为先进的拍卖应用中的同时放出生成真实的匿名支持。

主CRM和SCM

本发明为客户服务和供应链处理提供了非常先进的外包支持措施。从原则上讲，商店不必有内部IT，除非是要链接到PRP提供商以及供客户需要的专业的服务(呼叫中心、财务管理、市场营销等)，并且商店将此与逻辑提供商组合起来并购买服务以支持产品的获取。

本领域的技术人员很容易就能将保密配送扩展到多个步骤的价值链(value-chain)支持上。

多级的SCM和CRM

本发明一个非常强大的应用是本发明能够在不改变相对权力分配的条件下链接整个价值链。

该商店可将供应商与客户连接起来，而不必冒险让供应商与客户直接联系。换句话说就是保护商店的客户数据库不被滥用，同时商店还能充分利用供应商给各种产品提供附加价值的服务和支持。

这至少可用三种方式来实现。最简单的方法是在直接PRP的地方，将客户消费者与商店之间的一个组关系看成主要方，同时商店供应商看成带有商店读取控制的子关系。该商店可利用内部伪匿名器进一步安排再路由，由此供应商就被看成商店机构的一部分。采用票务原理，所购买的每一件商品均能在客户的完全控制之下转成一个与供应商的直接关系连接。然而，最后的方案可能导致价值链的破坏，因为生产商能够在商店的影响和控制之外与终端用户直接联系。

适应设备到设备的认证

洗衣机组认证所有的衣物，然后再逐一认证每一件衣物从而识别出洗衣参数，防止程序错误等。衣物可链接到熨衣工等。

除了认证之外，产品标签还可通过到产品供应商的PRP链接来调整到特定的电器。每一件衣物只能在不保存其它任何产品标识信息的条件保存洗衣信息(颜色、温度、其它方面)。这就减少了风险性和复杂性。还有，其能确保设备到设备认证的前后兼容性，条件是产品标签能够更新，并且建立起到产品供商的(PRP)链接。

例如，一客户可带着洗衣机或冰箱的版本说明去联系衣物或食品的生产商。然后，该产品信息可根据特定电器设备来格式化从而用一个简单的界面作为例如详细的XML格式的产品信息的摘录。换句话说，产品的所有人有更详细的信息可用来维护并更新产品清单，其中令详细的信息可由产品标签获得以便用于日常操作。

RFID标签产品或产品认证——社会责任等

真实性或识别对其非常重要的应用来说，在不与其它人共享密钥的条件下远程认证一个廉价标签的能力是非常有用的。

RFID标签产品认证的一个方面是第三方对终端用户或价值链中其它参与方的某些方面进行证明。

例如，第三方的核实人员可作为一个真实性供应人，与此同时其核实第三世界国家所生产产品中是否没有使用童工。如果供应商不能确信地声明这事，相信一第三方令消费者将处于一个更好的位置。该第三方需要真实性核实从而远程证明该产品实际来自于他们已核实过的一个生产过程。

第三方核实的同一方面还非常适用于公共检查如海关或者是防恐检查以便核实通过安全和入境核查的产品，还有保健应用中医生助理核实处方的用药或者是客户化/个人化的用药，这里有动态密钥在生产的过程中加到标签上从而可用在专门为某病人DNA准备的基因治疗程序中。

道路标价/票务/公共运输付费/泊车等

一种非常先进的方案需包括简单的RFID标签与多个不同组认证的组合，其中的认证特定于例如公共运输、泊车等。

每一个组认证密钥在一保密设备认证时会释放出一个用服务提供商(如运输公司)一公钥预加密的PRP以及一个给PRP服务提供商预加密的认证。然后，该服务提供商会将该信息提供给PRP，其在一旦认证会释放预加密的票券、标记或报酬。

由于票券可用一段时间，因此在对时间标记进行对比时，RFID很容易就能修改从而加入该时间，这样其会发出一个到已认证票券的链接，直到其收到一个时间标记在预定时间段之外的组认证企图。折扣的范围可能有交叠。但是RFID标签最终会表现的像组认证是一个新的票券请求一样，表现的结果是响应以下一个PRP。

在RFID设备丢失时，客户可阻止所有相关的PRPs，并将这些票券转移到一个新的RFID设备。客户可通过设备认证来更新该RFID，根设备密钥转移最新的准备好的PRP。一种更为先进的方案是回响原理，这里每一个PRP在被认证时均响应以下一个PRP从而保存RFID标签上的空间。

引入匿名信用原理进一步意味着票券既可是预付款的也可是后付款的，其不会改变方便性和保密性。

这意味着即使是廉价简单的、基于接近和自动票务的RFID标签也能在不牺牲方便性或滥用风险的条件下能够完全保护保密性，甚至能够匿名。

采用更为有力的客方案，服务的范围就能包括采用移动(公共汽车、火车、飞机、渡船等)接入点以合适的PACC商谈来进行网上冲浪，用信用卡支付方式、数字现金、匿名信用其它类型的付费方式来购买新票或支付旧票。

组合很容易扩展，如带有客户化餐券、子事件、泊车、预付费或折扣后公交运输的会议登录票，其组合了下面的操作，即使用预先准备好的带有相关档案信息的PRPs表与所选择的参会人员建立关系。为了集成好的职责和联系信息之外，档案信息可包括出版信息、公司信息、产品信息、所要求服务和产品的条件、工程说明。

国际保健卡

本发明一个非常重要的应用是引入了跨国有效的便携式保健卡，这里急救单位(医院、例如赛事时的救护车和急救人员)可匿名地组认证从而读取与过敏(对麻醉剂、抗生素等过敏)、心脏衰弱、糖尿病、感染(HIV等)相关的基本并且重要的看护保健信息以及其它与相关人员如健康保险等相关信息。

由于客户(病人)可能会非常难受，该信息应该为无法识别，其被放置到基本客户设备认证之外，其中的客户设备认证组合有警报以及用来确保对任何读取该信息的尝试都后续行动的措施。

通过进一步包括用来联系病人居住地的个人医生或专用急救支持功能的进入点，其被供应有对个人医生的进一步联系的方法或对特定病人的保健文件的读取的，本发明提供一个方案是解决如何在对保密性没有不当的侵犯下逐步升级读取敏感的保健文件。

同样，在急救情况下，联系家庭成员的进入点也同样保存在这里。

本方案也能被完全放弃，因为所提供的信息是匿名的并且自己本身不能被滥用，这里对读取该部分的企图可有一严格的PRP支持的控制，并且该配置可作为回复块完全取消从而形成对医生的读取，并且家属可用PRP支持商加密保存并能在自己读取保健卡的条件下被删除。

带有生理参数的国际护照

本发明的另一个主要应用是能够提供保密并且可取消的方案以便用链接到个人的生理参数有效地识别国际护照。其密钥是护照的芯片卡包含有以单向保护编码的生理参数样板。为了进行认证，该芯片卡持有人必须能够复制匹配信息从而读取核实身份的签名。

身份和生理参数均可在不登录生理参数或识别公民旅游信息的条件下针对一安全环境中的列表块进行核实。此外，与进入一国界相关的PRP可用作天然的旅游票并提供链接以便离开，其还包括责任从而在离开条件得不到满足时建立被核实的身份。

由于PRP支持提供即时的特定于芯片卡的可取消性，因此就能消除其复制及未经核实滥用读取卡的能力。

此外，很容易就能引入警报和控制以便用于某些敏感的认证，例如给卡的持有人发送信息或者使用旅游凭证，对公民来说其类似于匿名信用计划，将其与前面的操作组合从而确保所有的行程均在个人没被追踪的条件下被计算进来。

因此，本配置中的滥用主要限制到生理参数的质量以及将一组生理参数与另一个身份链接从而建立护照的能力，其基本上是一个与将成为可追踪的发行权相关的问题。一种检查上述有组织滥用的方式是包括基于核实者与发行者的随机链接对各个发放者发出的护照进行统计核实从而防止有组织的串谋。

转介

转介到医生以作进一步的检查例如X射线等，这可通过特定于上下文的假名和票券进行。病人可进行HIV测试并在不识别该保健人的条件下进行。DNA生理参数测定不能确保这种方式以及实际的组织和其它的有机样本必须得到小心处理从而不会直接链接上某一数字识别信息。

电子投票

可将PRPs与凭证组合起来从而得到一种先进的电子投票。PRPs本身是匿名的，除非它们被链接到一PACC，并且凭证在本质上也是匿名的，其使整个投票也是匿名的。

所有的公民可收到一个一次性的用于特定投票的凭证。每一个凭证如果锁定到一数字签名上就不能转移。

使用任何由保密设备认证的通讯设备，公民均能建立起一个匿名连接，并使用他的凭证来进入投票亭，并在这里进行匿名投票。

还可进入一个物理的投票亭，这样就没人能强迫投票人做出一个与自愿并且充分知晓的民主投票不同的投票。这样做的目的在于防止威逼或交易选票。

为了保护诚信防止计票中出现差错，每一张票均可印上一个参考，其可做成例如一个随机针孔和一个由凭证导出的不可链接部分的杂凑。将投票的总数与凭证的总数进行比较，就可防止投票欺诈，并且每个投票均可由进行投票的公民进行核实。

为了防止勒索或者投票被强制修改，投票人可配有仿造任一投票的装置。一种方式是在投票亭内依请求生成正常的投票和一组完整的假票，该假票为每一张票显示出不同的针孔，并且为投票管理加上一个计数器以便从每可能的投票提取出一票。

为了防止勒索者意识到这一点从而强迫投票人投出两张相同选项的选票，投票人应能要求任一数目的整组投票。由此，该投票人除了能真实投票外，其还始终能够生成所需的同一数目的假票。由此，敲诈者就不能控制真实投票。在现实在，这是一个非常少见的问题，但类似这样的设计主要是用来防止敲诈的首次发生，因为这一结果不可能强迫出现。

然后投票人就能在不指明其所投哪一票的情况下在意识上注意针孔，从而看似真的一样主张某一票。然而，他仍能核实他投给了正确的候选人，并且投票官员能核实这此选票要么是单票(正常票)要么是一组合了完整一组和一提取号的选票。

使用GPS响应的设备防盗功能

用零知识设备来认证一设备的基本原理实现了对非保密入侵盗窃控制的完美方案。在一贵重产品如汽车被偷时，对设备防盗控制的认证可根据某一协议如无线电、移动通讯、WLAN、蓝牙在所选择的相关地点如加油站、渡船、停车场、边境等点被广播开来。

当防盗控制与集成在发动机中的汽车启动认证设备控制设备锁定，就不但无法使用所偷的汽车，同时取消这种控制同样也是不可能的。

防盗控制设备可带有一个廉价的GPS接收器，其追踪汽车的位置从而仅在被偷时才报告被偷设备的物理位置。在其它情况下，本发明不会有什么保密或安全方面的不利影响。

但即使没有GPS追踪器，盗窃认证也能标记该被偷设备，同时还能使该设备无法使用。

(在动物园等处)对小孩进行定位

暗屋方案(咖啡厅、迪斯科舞厅、会议室、特定事件)

在进入在特定事件时，就提供一个到事件社区的链接。

新来者会给事件社区生成一个节点(PRP)，并生成特定的个人地址本，其选自于他的普通地址本中，并生成特定于事件的零知识关系认证请求(Relationship Authentication Request-----RAR)。这些均基于一个共享密钥，其屏蔽于事件特定的密钥(例如，DS(事件)＝DS(关系)XOR事件密钥)。

他通过对其特定于事件的地址本的请求进行核实从而验证他的关系是否已经存在。

然后，他将对这些新来的关系的呼叫保存到他的后面。他也可以例如为了联系来生成，或者只是留下特定于事件的档案和历史使用记录的联系信息。

在离开该事件时，他去掉他保存的关系认证。

应用：有许多人(这里有我的朋友吗？哪里是预定相见的地方)，远距离(我的小孩在哪里？请求联系-----自动/基于允诺的回复)

保密即时通信以及用于匿名通讯通道的匿名联系信息。

货币的防伪

计划是在钞票上使用RFID来防止伪钞。

本发明提供一种先进的方案来防止伪钞，其同时还能保密。组合了多个非链接参考用组认证码可用来生成防伪所需的任何属性，其可以在线、离线或者是两者的组合。

离线版方案可由货币发行者来实现，其登上一组随机参考、一个唯一的钞票号以及钞票票值的杂凑，并将这些与参考号一起保存下来。钞票特定的设备机密可以是一个唯一的钞票号，其需要视觉读取该钞票。由于设备认证提供一个被屏蔽的交易机密R，因此只有核实者才能进行核实。这些甚至可由更为复杂的算法来屏蔽。

在线版的方案要更麻烦一些，因为这会导致钞票的追踪。这可用匿名及不可链接的交易来解决。每一张钞票均具有多个非链接的一次性PRP，其提供防伪核实，特别是防止RFID的复制。

这可包括去掉唯一钞票号的操作，取而代之的是用同样的组认证码以便对钞票的大量选择。

另一个要素是将其与另循环法组合起来，这样第一个PRP都包含有下一个PRP的认证和加密信息。将该信息转移到RFID。如果RFID钞票是一个复本，那么该复本将无效原始的那个，因为此时只有一串PRPs能够工作。换言之，读取并分离原始的RFID不会提供多个PRPs来形成多个复本。

另一个优点是税款等可作为匿名交易一部分收取，从而减少对公司的监管以及对公民和公司的追踪。

洗钱

需要注意在该优选配置中，本发明的电子支付系统在封闭的货币系统----钱均来往于银行帐户并且只通过一个能确保税收的交易，其具有一个内置式反洗钱方案。

该方案假定金钱来往于银行帐户的转移成本仅包含实际的成本-----否则反洗钱方案就可能被银行滥用从而生成带来不正常获利人工费用结构。此时，电子现金的流通应被用来生成一个免费的现金流，直到不正常的费用从价格结构中去掉。

防止对现金的洗钱要麻烦一些，因为这可能要追踪钞票从一个人到另一个人的变化情况从而生成所有现金交易的链接。如果没有对洗钱的防止，那么没人能够重新生成与同一钞票相关的PRPs串。

为了执行防止洗钱，必须生成PRP链接并加强对伪钞等的核实从而对现金流进行调查。一种方式是采用本发明所述的原理通过RFID标签对现金进行所有权的控制。

通过RFID进行的所有权控制还可提供一个好处，即现金不可能被偷，同时可在数字现金和实际现金之间形成巨大的共同点，甚至于能达到使实际现金的使用不能带来任何的好处。

监控相机、麦克风等

设备如相机、麦克风等可带有一个内置的权利协议，如果在附近有任何客户因保密问题拒绝任何记录，那么这些就是其照片，并且以物理方式显示出来(有什么事进入视线)，同时以数字方式处于等待状态。

如果这些设备是用于人或财产的安全，那么客户被要求可留下一个非链接责任的凭据从而进行认证。这甚至可与一个内置式的随时间变劣的功能，同时不会发现什么问题。

在，而且只有在，客户不根据文本进行认证，那么相机可启动。根据保密原理用密钥对内容进行加密，这意味着需要外部的多个步骤来读取解密密钥，可防止在民主控制之外的滥用。这些隐私保护应当需要有并且应当可核实。

为了使用个人空间和某一空间中的记录设备如移动电话的相机、录音机、麦克风等，在设备开始记录前必须有严格的限制。

将这些设备通过PRPs链接到事件链接的PRP，所有的记录等均可即时进行，并且永远可被所有的参与者读取记录下事件以便未来使用。

上述构思的一个应用是能够在不影响与所处位置等相关隐私信息的条件下将道路收费与超速罚单组合起来。当超过一个限制的速度时以及汽车连接到道路收费票，此时司机就能先收到一个警报，或者是被直接罚款并立即交费。违法的证据可以加密的形式保存起来，只有司机自己才能打开。在司机后来拒绝或者是想对超速罚单提出上诉时，他可自已打开证据以便进一步调查。

链接可根据违法而生成，这样适当放宽的票单就可不链接，而只有明显超速才需要生成标记确认超速。

如果司机拒绝生成链接，或者拒绝接收罚款，那么并且只有此时证据才需要保存起来并可由相关的机构获取。这可进一步与道路收费程序组合起来从而阻止进一步的读取。

保密性偏爱协调和无处不在的信息协调

本发明一个非常重要的应用是建立无处不在的、环境智能的以及半开放的空间的保密性控制。

任何传感器记录的信息，其有可能被滥用，就算是启动记录也自然需要得到在场的人的许可才行。由于该许可可能有时间限制，因此这可在一定的时段之后传播到并将记录删除或者是将解密密钥删除。

一项特别有价值的特征可以是一个预先许可记录的选择，并且保留删除该记录的选择从而在基于被动(如果在事件之后没有确认则删除)或主动(除非该人请求这样，否则保存该记录)的原因而在事件之后删除该记录。

另一个非常有价值的特征是为在如讨论记录、照片记录、录像记录等中的每一个对所记录的材料有自然权益的人建立非对称链接。

在认证处理中，传感器设备收到给现有的每一个人的一次性参考。将传感器的信息保存到这里，参考所记录的材料和如何读取材料的信息，当前的每一个人就能实时或者是读取该材料以便个人使用，或者是在记录所保存的时间内随时读取。

这里还有另外一个特征是每一个人均具有一个不同的记录参考，因为这是相对于事件自身，而不是在任何人均能获得。每一个参与者都具有一个单独的PRP从而链接到事件上，由此该参考就相对于参与者特定的PRP建立起来，其形式例如为<PRP-参考>.<记录-参考>，其中<记录-参考>仅是一个唯一的文本，其作为一个序列号在所有的事件中重复使用。换言之，在没有相对PRP的条件下知道了记录-参考不会提供链接或读取。

从任一人群集合的记录可在参与者之间即时共享，这一点对社交事件非常有用(如晚会、兴趣话题的讨论等)、学术事件(会议、集体讨论、问题分析)、教育事件(课堂讨论、远程接入)、商业事件(如任何协议、会议、展览等)、公共事件(如与税务官员协商等)。

这一点例如在基于电话的订购物品和服务时非常有用。语音记录经生理参数测定并核实。因此语音记录就是破坏保密性的链接信息----同时还有一种情况是在有争论时该记录有助于确定实际的协议。可在两个条件下接受记录----a)在交易结束并且所有满足记录的义务都被删除，以及b)记录用参与者提供的密钥加密这样在没得另一方的同意下没人能读取记录。

另一个关键点是有人拿了一张照片，并且该照片为实时的，同时当时的任何一个人均能在事后都可获得从而记住。

合法的以及标准的问题

RFID以及其它无线设备元件在法律上可被禁止回复除非有认证来保护隐私。

将本发明与商店利益的组合与消费者和生产商相一致。如果一个RFID、蓝牙或者其它设备可检测出来，除非在离开商店时有专门的认证，即，两件事情中有一件------要么是产品被偷，要么是某一产品不适于基本的保密标准，这就意味着消费者不能得到保护，并且商店和生产商没有给所建立的消费者关系提供数字支持。

在盗窃发生时，例如房门应该阻断同时生成警报。该产品很容易被定位，因为它自已能说出其是哪一件商品以及其在哪里。

在产品有错时，作为客户服务，应通知生产商，其甚至要被处以罚金因其违反了保密并破坏了商店客户的关系。

零知识设备认证：

保密性及安全性增强并具有商业价值和客户方便性的RFID

Stephan J.Engberg，Morten B.Harning，Christian DamsgaardJenSen

摘要一无线频率识别(RFID)技术专用于提高供应链处理和客户服务的操作效率并且给那些原先没有数字化的产品加上数字功能，如能自动适应于所加入的衣物而工作的洗衣机。然而，从客户的反馈表明他们对客户跟踪和归档方面以至政府跟踪、受罪犯或恐怖分子的滥用等方面还有许多疑虑及抗拒。多个会议均警告RFID的应用很可能取决于保密性和安全性问题的早日解决。这些问题由现有的技术和法律还不能很好地解决。

在本文中，我们提出一种零售部分中使用的RFID标签使用周期的模型，并能识别那些可与一标签交互的不同人员。该使用周期模型经分析后能够识别出对客户保密性的潜在威胁并定义一个威胁模型。我们认为店内的问题更多地是缺乏对客户的保密方案而不是对RFID。我们提出了一种对RFID保密问题的解决方案，其通过零知识协议以客户对密钥的控制就能确保客户的保密性，而不必减少RFID的使用所带来的公司市值。我们提议为确保RFID的安全是需要把RFID重新设计，这一点可在不把安全性和保密性问题留给承诺或条例的条件下实现。

关键词-保密增强技术，无线频率识别(RFID)，安全性，零知识协议。

介绍

在当今竞争剧烈的商业环境中，公司每天都在被迫降低成本，而不是提高价格，从而确保投资回报。研究表明公司收入的12％-15％花在了供应链方面的活动上[9]，因此供应链的效率是公司生存的一个重要条件。无线频率识别(RFID)技术旨在通过将很小的硅芯片(RFID标签)嵌在产品或包装中从而提高生产和零售工业中供应链管理的操作效率[8]。一RFID标签提供一个唯一的识别号(一电子的产品码或者是一个独特的序列号)，其可由无接触读取器读取，从而实现供应链中实时的产品跟踪。根据RFID标签的不同，其可包含有附加的存贮空间以便特定应用的使用(如

Stephan J.Engberg是丹麦2800Kgs.灵比(Lyngby)的Open Business Innovation的行政总裁和创始(e-mail：Stephan.Engberg@obivision.com)，

Morten B.Harning就职于丹麦2800Kgs.灵比的Open Business Innovation(e-mail：Morten.Harning@obivision.com)，

Christian Damsgaard Jensen就职于丹麦2800Kgs.灵比的丹麦科技大学(Technical University of Denmark)信息及数学模型系(Department of Informatics & Mathematical Modelling)(e-mail：Christian.Jensen@imm.dtu.dk)。产品说明、证书或者是与工艺支持相关的临时存贮空间)或者是嵌在硬件中的一般功能(传感器接口、密码的原码等)

此外，RFID技术已经用来防止店铺盗窃和RFID标签的改写(防止RFID标签的改写即是很难改变所编的码号)，从而使其非常适用于防伪，如已知欧洲中央银行就在考虑为此将RFID芯片嵌在较大面额的钞票中[7]。最后，在RFID标签嵌在日常的人造产品时，它们能令大量创新的终端用户的应用变得可行，如在家庭自动化以及人工智能环境中的应用。这仅需要标签在通过销售点后仍维持有效即可。这样的应用例如包括：定位服务，其帮助找到放错地方的物件，嵌在衣服中的标签可给洗衣机提供洗衣指令(从而防止洗衣机用很高的温度去洗一羊毛衣)，以及当房子的主人在离家的时候很有可能将钥匙/钱包/移动电话留在家里时，嵌在前门门框中的RFID读取器可以提醒主人。这样的应用很有可能会提高用户对RFID技术的接受度，并可形成对内嵌RFID标签的产品的需要，条件是保密问题能够很好地解决。一个有效的RFID标签能使某个带有RFID读取器的人识别出该产品从而跟踪该产品的位置和(间接地得到)其主人的位置，其中该RFID读取器能产生一个强度足以驱动标签的电磁场。这种定位并识别普通消费者属性的能力已经引起消费者组织和人权组织对RFID系统保密性的广泛关注，并可能会引起普通消费者对带有有源RFID标签产品的抵触，如Benetton已被迫考虑计划将RFID标签嵌在每一件新的带有Benetton’s Sisley[11]商标的服装中，并且在剑桥的Tesco(一个英国的连锁超级市场)被迫取消了他们正在进行的由Gillette[REF]开发的基于RFID技术的“灵智货架”试验。最近，METRO因保密问题[10]被迫放弃了已经实施的带有RFID的客户诚信卡。最后，多个会议，如2004年春天的欧盟灵智标签(EU SmartTags)的工作会议[22]，已认定保密增强方案对确保终端用户的接受是相当重要的。

对RFID保密问题最为通常的解决方案是在销售点使标签失效(“取消”)。在令某些标签在销售点失效时，其它标签如图书中标签或者是路费票中的标签在对客户进行处理时必须保持有效。另一个方案是对标识符进行加密从而只有专用的接收器才能读取该标识符。然而，加密会生成一个新的唯一的标识符，其能使标签被跟踪，从而对客户的位置进行监测。

在本文中，我们提出了一个方案，其能使标签需要来自读卡器的认证，并且仅将其标识符返回给有合理需要知道的人，其被定义为能够进行认证的人。该认证原理采用相对廉价的对称加密并且很容易就能扩展到一组认证设计和非对称加密。本文下面的内容按下面的方式组织：第2部分给出了一个有关RFID技术的简短说明，其包括应用和保密问题；第3部分描述了我们对零知识设备认证的建立，其解决了RFID系统中的问题。相关的工作在第4部分中；得出的结论在第5部分中。

RFID系统中的客户保密性

如上所述，我们预期在不久的将来在供应链管理和零售中RFID标签的使用可能会急剧地增加。为了对客户保密性的潜在威胁进行分析，我们需要检测该技术自身、RFID标签的使用方式以及RFID有效系统中的参与者(押金保管者)。

RFID标签及读取器

RFID技术包括有芯片，其可以做得非常小并集成到包装、卡或产品上。它们分为有源和无源两种，其中无源的RFID需利用来自RFID读取器无线电波的能量从而获得足够的能量来进行简单的计算并响应以正常情况下一个唯一的号码。该唯一的号码或ePC号应为标准的号码，其保存在一个中央数据库中，从而提供即时的读取，还可跨地点和不同读取器进行链接。需要强调的是RFID标签正常情况下被看成受资源限制，然而最重要的限制因素是价格，需在标签的价格和标签的计算功能/加密能力之间进行平衡。

有源标签通常是指带有电源如电池或者是设备的一部分带有电源线的标签，由此其计算能力的限制会小一些。然而，在下文中有源表示标签需要或已经要求标签的所有者或持有人的积极参与。

RFID标签的使用周期

一个RFID标签，其嵌在产品中或包装中，在RFID有效的环境中需要经过多道手。下面，我们给出一个嵌在一消费产品中的RFID标签的典型使用周期，并确定出RFID系统中的典型参与者。

典型的RFID标签的使用周期包括四个主要的阶段，其由RFID标签所嵌入的产品的所属关系来定义：

1、供应链管理：该标签释放一个唯一的电子产品编码(ePC)[18，19，20]，其代替并跳过现有的条形码；

2、店内及销售点：该标签可被零售商用来跟踪并支持客户与产品的交互，并提供服务和购买支持；

3、客户控制及售后服务：该标签可被客户用于环境智能应用，在售后可使用该ePC来记录产品服务或者是用来防伪；

4、再循环及废品管理：标签的ePC可用来自动对可回收材料进行排序，还可识别出生产商、所处理材料的类型和重量(那些最终形成危险废物的产品的生产商最终必须为其安全地处理付费，从而结束该周期。)

在本文中，我们集中在第二和第三阶段以及使产品中RFID标签保持有效的保密性上从而例如能够实现阶段3中的某些先进的应用。然而，检查所有四个阶段从而识别出对作为客户保密性问题可接受方案的要求也非常有用。

RFID系统中的参与者

上面RFID系统中的典型参与者有：

1、生产商，其将一RFID标签嵌在产品中或者是包装中；

2、营销和批发公司，其将产品从生产商运到零售商，其依赖于RFID标签来进行供应链管理；

3、零售商，其使用RFID标签以便自动存货、备货和现金登记，其将产品卖给客户；

4、售后服务如保修的提供商，其可用来自标签的ID来记录产品的历史；

5、基础架构服务提供商，其提供例如RFID的名义服务从而将标签ePC号链接到生产品或者是带有应用详细信息的零售商数据库；

6、客户，其购买一个嵌有RFID标签的产品，其可从RFID标签的新应用获益；

7、废品管理公司，其可用RFID标签来对垃圾或可回收的材料进行自动排序，并根据所收集垃圾的本性和体积来收费。

RFID使用周期能使我们识别两种RFID的保密方案必须支持的重要特性：所有权的转移以及多认证。所有权的转移意味着能够读取该标签的读取器的组合会在一定的时间点处发生变化，多认证意味着属于多个参与者的读取器能够在同一时间读取该标签，如客户和售后服务提供商可同时读取该标签，同时该产品在保修期内。这些特性表明基于一个简单的共享机密的简单的方案还不足以提高RFID系统的保密性。

为了简化本说明，我们在本文中集中于对客户保密性的保护。例如，在供应链中没有什么明显的对保密性的威胁，但其中可能有工业间谍，或者是假冒另外已通过安全检查的货物而进行货运，其通过在后面将讨论到的某些中间人攻击环节。然而，显然可把所提出的方案扩展来保护所有参与方的保密性。

理解保密性和安全性

在下面的讨论中，我们提供一种客观的方法来解决保密性和安全性，即，我们在不考虑诚信或允诺的条件下将精力集中在危险上。

其原因有两个。第一，一个危险消除方法应集合了保密性和安全性，并在客观上提供更好的保密方案；第二，在社会经济学领域，人们日益关注于来自控制(“权力”)范例的保密性，而不是允诺(“诚信”)的范例从而来描述行为和实际威胁之间的连接。

然而该链接不能直接提出，因为客户所构想的控制可能与他们实际的控制非常不同。还有，在某些方面，个人可能更喜欢放弃保密性从而获得承认或者是15分钟的名誉。我们既不想对此展开进一步讨论，也不想对随之而生的大量产品给出一个总述，而只是假定所构想出来的控制和实际控制之间的不同会随着消费者获得更多的信息而减少。还有我们假定消费者想将控制和方便性后之间有一个复杂的、主观的并且可能取决于内容的平衡¹。因此最优的就是在不降低控制的条件下确保方便性。

正如本文所要展示的那样，我们不会看到这些参数之间本身的平衡，除非据此进行设计。另一方面，如果将保密性设计到系统中，那么大多数安全性威胁也要十分小心。如果将保密性设计到系统中，那么消费者不会有保密性的争议，从而不会共享信息或者是使用RFID标签。

消费者保密威胁模型

无论用户何时与一RFID有效的产品进行交互，消费者保密性均可受到威胁，这包括购买前，如在产品处于商店内用户的购物车中时，以及购买后，如在带着产品到处走或者是在用户与产品中RFID标签交互时。

商店内的消费者跟踪

从消费者从货架上拾取商品到最后付款的过程都能容许消费者跟踪，如知道什么产品已回到货架上、当购物车内的总价超过了消费能力时、或者消费者在商店内移动的轨迹曝露了消费者许多有关喜好或偏爱的信息。

这种有许多方式，如传统的闭路TV(CCTV)监视，其意味着保密威胁非常好理解。然而，RFID跟踪日志比传统CCTV摄相机的更小。此外，RFID跟踪日志可由机械直接处理，这意味着对消费者保密性的威胁大大高于RFID跟踪系统，其中商店内所提供的传统的CCTV系统能够将RFID链接到一消费个体上。因此防止商店永久地保留可跟踪到一识别个体的记录非常重要。

我们相信这个问题类似于移动电话用户定位保密性的问题。主要一点在于这不是一个详细信息被收集或被保存的问题，而是一个跟踪消费者以致信息可被滥用而带来保密性风险的问题。这两个问题必须用保密增强的技术来解决从而在购物过程中把消费者假名化或匿名化。一种方式是保密性认证中所讨论的——在任何环境中的永久的非识别[3]以及更宽的基础架构支持[14]。我们不考虑消费者PETs的问题，我们只是假定这些存在，或者是消费者使用现金或数字现金进行支付，并且具有一个总的判断从而

¹对于覆盖多个角度的讨论，参见例如Demos，The Futrue of Privacy([23])确定交易的链接²。由此，RFID只可跟踪到交易/清单或者甚至是一个匿名/假名的客户号码，但不会跟踪到特定的识别出的客户。换言之，RFID在本阶段只加上现在已有的保密问题。为了确保数字支持的零售交易的安全性和保密性，这些问题需要被其它PETs分别解决，如数字现金以及通讯的重新设计等。

购买后的使用

带有有源RFID标签的产品在被消费者购买后，其在消费者的环境中继续与消费者和有源RFID读取器进行交互——这些读取器不必由消费者控制，但这可能是对消费者保密性构成威胁的窃听的或者是中间人攻击形成的一部分。

当前的RFID标准架构高度集中，其需要一个中央数据库来将唯一号(如ePC)翻译到产品的详细信息所保存的地方。换言之，任何读取器无论在何时获得该唯一号码，读取器均能与基本架构一起将标签的存在链接到详细的标签信息以及购买交易。根据定义，将唯一号码曝露于开放的通讯中存有在数据库之间建立链接的能力，这对保密性构成严重的威胁风险。因此，使标签能够进入到某种形式的保密方案非常重要，其能防止商店和架构在产品被消费者购买之后仍然对该产品进行跟踪。

消费者安全威胁模型

保密性威胁通常还带有对系统应用的安全威胁。如果一个公司数据库中含有涉及消费者的识别信息，那么这很容易受到黑客攻击、出现错误、信息买卖、犯罪分子搜索潜在的受害者、政府充公等。

广播或自动曝露某一永久标识符自身就是一个安全威胁源，如在战争区域给士兵配备一个有源的RFID标签并不是一个好主意，因为其可能被敌人利用来该士兵单位，或者是触发一个对准了某一士兵的炸弹。同样，消费者可能会被跟踪离开各个商店链接各个交易，或者是提供一个目标以便犯罪或者是政府或执行机构跟踪或是其它的滥用。

组合起来的后果会是更糟。如果一个潜在的攻击者能够以某种方式来

²需要注意的是，我们不会看到方便性与安全性/保密性之间的固有的交易，只要消费者具有控制并且每一个决定都以最小的链接级别来实施。参见相关工作的讨论。读取某些数据库从而读取到与目标人群或设备相关的RFID，那么他就能将此信息送到任何配备的应用中从而监测该RFID。一个简单的例子就是用于特定事件或汽车道路收费计划的票券，其采用不安全的RFID——攻击者知道该特定RFID最终会通过一个特定地点，从而很容易被检测出来。还有，无线通讯也可从一定的距离进行窃听。

其它的安全威胁对于犯罪分子或恐怖分子滥用更加危险。例如，在RFID专用作无源靠近标签以便更加方便地识别、读取控制以及支付或票务时，就有一个中间人攻击的固有危险。除非有一个特别的保护，任何带有自动响应的质询(challenge)/响应协议以及无源实体都不仅有对保密性的威胁，而且还有一个敞开的假冒威胁或身份盗用的威胁。进行身份盗用的一个简单方法是用两个RFID读取器彼此进行通讯，从而模拟下棋的问题。第一RFID读取器获得质询并把请求转达到第二RFID读取器的，从而将质询提供给受害者。在受害者返回正确的响应时，该信息就转移到第一RFID读取器，其假装受害者并获得认可。

根据系统应用的不同，这可具有一个无限的危险如在机场假冒一个获得安全认可的人，认证签名进行支付/货款，更糟的是一个获得认可的人对新的伪造身份证书进行认证的人或读取敏感信息。

特别是，采用无源RFID芯片作为接近标签用于皮下的应用导致某些严重的盗取身份的情况，这些在当今商业中已被标称为“安全”而能够获得。

该RFID安全性和保密性挑战非常重要。我们需要那些能够防止RFID广播标识符的方案，并且我们需要解决那些通过架构链接而带来的弱点。

零知识设备认证

现有的对RFID系统中保密性保护的建议[6，15]都集中在法规和技术上，其中的法律用来限制公司收集可识别个人的数据的能力，其中的技术用来在产品的所有权转移到消费者时无效该标签(将其取消)。然而，基于消费者允诺的方案不能给保密性保护提供保证，其通常转换成某种先进的勒索，这里所需的服务仅可由同意收集个人识别信息的消费者获得。标签在销售点失效可确保消费者的保密性(如果标签被正确取消)，但其也防碍了正常的售后服务如保修、联系产品支持、查证、回收以及废物管理、先进的家庭应用、先进的回收及废品管理以及RFID标签使用周期最后两个阶段中的其它所有应用。

最后，现在已提出许多技术来防止标签和读取器之间的通讯被窃听，但这些建立的共同点是它们都需要一个可信的架构，其不包括受权第三方读取RFID的应用，如收费卡、公共运输的交通卡、滑雪卡等。我们在相关的工作部分再浏览这些建议。

如上所述，在标签使用周期的不同时间内，不同的参与者需授权读取该标签，因此首要做的是对在购买后、店内购买过程中控制RFID的消费者以及RFID作为接近方案如票券的使用进行区分。主要的问题集中在购买后的问题，由此消除方便性和安全性之间的平衡从而确保设备的所有人对信息泄漏的控制。

我们提出修改RFID标签的设计，由此它们在进入购买后的阶段时就能够改变到保密模式，这里它们只能接收零知识设备认证的请求，其可确保RFID标签只对已认证的请求进行答复。

零知识认证协议的中央特性能够防止窃听者和架构了解哪个单位正在通讯，并使其很难对协议进行攻击。所有者应能在不泄漏标识符的条件与标签进行通讯。该标签必须能够对读取器进行认证，之后它才能返回某个标识符或者是进行响应，这有可能曝露跟踪信息。

带有有限计算资源的RFID标签不能处理高级的密码，但它们能够进行基本的操作如XOR和杂凑函数，致使较为便宜的版本也能进行这样的处理，但在最便宜的只读RFID标签中是不行的。这些操作足以支持本文所提出的设备认证协议。

下面，我们给出基本的零知识设备认证协议并描述该协议所应用的几个环节。

基本的零知识设备认证协议

我们提出一个保密于资源受限设备如RFID标签的基本零知识设备认证协议。

核心的零知识认证请求并非由RFID读取器自身生成，而是由参与者使用某一设备在其控制下生成，其能生成一个请求，然后该请求提交给RFID读取器并通讯到RFID标签。在正确认证时，标签以类似的方式响应RFID读取器，其将回复反馈给参与者，而参与者再启动下一步操作。这可用来检测特定标签的存在并且什么都不做，或者通讯该标签进行一些操作如将ePC曝露给一零售商。然而，正常情况下，我们假定参与者的设备自己会处理好与第三方的通讯，并且标签自己仅与参与者的设备通讯从而确保ePC不是保存在标签上。

读取器和设备当然是同一个设备如PDA，其不会曝露任何永久的设备标识符。在下面，为了简化起见，我们假定参与者是标签所有者，其带有某种PDA，该PDA带有类似于地址本的清单管理功能，并据此进行通讯。

值得注意的是本方法显然对广播和信息传递是开放的，但仅在参与者积极参与到认证过程中才是这样的。

零知识特性的一个重要方面是标签自身并没有阻止改写。一个安全参数是ePC号不必始终保存在标签上，因此识别标签的能力可转移到所有者那里。换言之——标签自身不需知道实际的机密，其是该标签的身份。共享的机密用作一个间接的标识符，只有参与者才能将其转换出有价值的信息，并且只有所有者才能翻译成标签标识。

采用这个严重缺乏非对称或对称的指令来认证的基本方法所基于的是两个主要方面并有三个变量；用一个不加密的临时参数(nonce)与一个共享的机密组合从而传达第二个临时参数。然后基于一个操作来核实是否知道该共享机密，其中操作涉及第二临时参数与共享机密的组合。

对于RFID的特定应用来说，我们使用XOR的一次性垫方面和杂凑算法的单向方面作为主要的安全特性。

我们对核心RFID认证协议的建立包含有其它的安全特征。参与者发送一个零知识认证信息(ZAM)来对RFID标签进行认证。

零知识认证(Authentication)信息³的格式是

³基本概念的变化是容易理解的，而且这里没有提及到。

Authentication：[DT；(RSK XOR Hash(DT XOR SSDK))；Hash(RSK XOR SSDK)]

其中，DT是第一个临时参数，RSK是第二个临时参数，SSDK是共享的机密。

我们提出用第一个临时参数(DT)来防止重放攻击。在每一次成功的认证后，DT由RFID标签保存起来，并不理会计算器数值低于或等于这个保存数值的认证尝试。因此，我们提倡使用日期戳(或者是任何具有同一特性的方案)。如果请求的DT小于最后一个被认证的请求⁴的DT，那么就不理会该请求。

第二部分提供输入从而RFID标签能够取得第二临时参数，或者是随机交易密钥RSK。

ZAM的第三部分能使RFID标签核实这是否是一个有效的认证。第三部分的有效性确认则提供了一个认证证据，其表明认证者知道共享机密设备密钥。这一步是一个重要的新特征，因为其能在标签响应前认证一个有效的参与者。

共享机密设备密钥(sSDK)必须由特定的标签和所认证的参与者所知。知道SSDK是必须的并且其足以对读者进行认证，同时能够回复的标签必须向参与者而不是其它的某个人来对RFID标签进行认证。

值得注意的是，RFID标签只在认证有效时才响应，否则它会泄漏是否存在的数据，即使这不是一个标识符。为了防止防冒得到承认，承认也是零知识的，其包含一个共享机密的函数，如随机交易密钥、共享机密和场合日期戳的串联或XOR的杂凑。

Tag Response：[Hash(RSK XOR SSDK XOR DT)]

结果是参与者能够在不曝露协议中标签或设备标识符的条件下与标签进行通讯。通过让RFID读取器根据ePC标准来冒充标签，即对ePC协议没有任何改变，参与者可以例如把所保存的ePC值释放到PDA的清单管理中。

⁴DT的使用会带来在所有读取器之间的时间同步的问题，但这可以用惯用的方法来解决。

本方案的零知识特性在于——即使协议自身是一个身份安全的共享机密协议，由此其不可能完全尊从于零知识协议的传统理解——其基本的特性是标签甚至不必知道实际的标签机密，即标签的身份，所有者或者是任何其它的外部参考。

扩大的协议

设备认证协议自身可用作一个拨动开关(其打开防盗警报，则开门)、一个定位器(响应以存在)或者是一个交易启动(其响应以存在加上等待指令)。这里DT可用作一个交易标识符。

应用特定的指令也可加成一个第四参数，例如组合以RSK的杂凑/XOR，或者是简单地作为一个相对委托(“使用密钥4”——参见下文)来支持标签效率。

以存贮空间、能量的消耗或者是重要密钥管理的复杂性为代价，可以加入附加的安全特征。

可以利用RSK以杂凑组合的形式把向后的机密併入从而按每一个交易去改变SSDK。这也会併入向前的机密，除非是攻击者能够窃听每一个交易。这需要留心密钥的同步性。

该标签可并入多个并列的SSDK，其可识别成不同的类型；标签修改的读取级别，带有目录数据的组认证，在可信环境中的组认证以及标签识别和在不可信环境中在没有标签情况下的组认证。

例如，所有者可加上新的或临时的SSDK或者是改变整个标签模式从而回到ePC。这要么需要设备通过多个密钥来移动，这要求能量，或者是减少能量拜谢需要，构建在一个相对密钥参考中从而帮助标签选择哪一个SSDK来核实。

在多个标签和/或多个参与者之间共享同一SSDK的组认证问题取决于应用，特别是参与者是否可信(即，所有者的另一台设备或例如与该所有者属于同一组/族的另一设备)。

带有到一消费者标签的SSDK密钥的外来参与者存在一个对零知识特性和安全的基本威胁。在不忽略许多应用都属于这种本性(如产品认证)的条件下，这组问题的解决方案需要新的方案来进行识别管理或者是代理支持，其不属于本文的范围。

在下面的内容中，我们假定RFID标签即使被物理破坏，也不保存可被第三方跟踪到消费者的标识符。所有的密钥和参考均由消费者生成并可随机改变。

即使该标签在例如ROM中包含一个被ZAM认证屏蔽的ePC号，我们也假定该标签从来没有链接到所有者的实际身份上，因此也不会在链接到一个匿名(甚至是假名)交易之外曝露出信息。从安全及保密的角度来看，整个零知识特性仍像包含有数据链接一样强大。

即使该标签在ROM中包含一个ePC并且商店交易链接到一个识别的消费者，我们也建议保密模式仍表示对购买后保密和安全的强大保护。即使该零知识特性并不完美。

用零知识设备认证进行保密性保护

集中在使用周期上，阶段1没有保密威胁，但如上所示其可能存在多个安全威胁。ZAM为本阶段提供有价值的安全，其应进一步研究。

从分析来看，显然在阶段2在用户拥有标签之前，保密和安全威胁并没有与RFID标签如此相关，而是与下面的事实更为相关，即该标签将信息加到可链接到消费者的交易中。

如果消费者不能由PET保护来进行认证(包括无源识别如带有面容识别的相机)、支付、通讯等，这仅是一个实际的保密或安全问题。

因此，如果当把标签引进到更深的空间而要保持安全和保密，我们必须假定为消费者实施PET。这包括，但不限于，灵智卡、支付、通讯设备和监视(如相机)，其在思想上均应设计带有安全和保密。

假设消费者并非不断地被识别，那么在阶段2一RFID标签在保持保密性的同时也非常适用于给消费者服务。

这对防盗来说非常有利，由于突然消失而未支付的产品标签会发出信号提示有小偷，只有此时才需要监视摄影机或者是其它的防盗。这样，RFID就可提供保密性或者是非入侵性的店内防盗保护。

在阶段3，从销售到回收，该标签变成为一个有源的安全及保密威胁。使用带有零知识设备认证的设备，就能在消费者和其它参与者如零售商或者是确保该标签的架构之间形成非对称性从而有效地阻止这些威胁。

当消费者离开商店时，可以应用下面两个情况中的一个：全部取消或者是保密模式。

1.全部取消

消费者完全不相信该技术，不能管理该认证信息，或者是该标签不支持保密模式。商店发出一个全部取消指令，其删除所有的标识符或者是物理移除/销毁该标签，并在每一方面都留下即使是进行物理检测也不可跟踪的RFID标签。

2.保密模式

消费者有效控制产品标签并准备该产品以便在消费者的范围内如为洗衣机准备的一件衬衫内用于智能链接。在确保支付并且认证信息已转移到消费者时，该商店发出一个转移⁵指令从而使保密模式有效。消费者离开商店并可在之后使用所接收到的一次性认证密钥从而生成一个新的仅由产品标签和消费者知道的密钥。

可为消费者嵌入一第三中间无源保密模式，然而其不能有源的认证所购买的产品，但希望以后能够这样⁶。这应被看成全部取消的一个临时的中间阶段从而有助于市场变化。该产品标签会保持沉默，但消费者能够在某一时刻恢复对产品标签的控制，并将产品集成到消费者的范围内。直到这时，该标签才看得好象其不在那里-----或者是永远。

启动了保密模式，消费者可使用智能的保密更强的通讯服务，这包括对第三方如客户服务认证该RFID标签，或者是将所需的产品集成到一个智能的家用环境中。

⁵转移控制及建立一个新的SSDK而免受零售商的店内偷听并非不重要。参见密钥管理部分。

⁶无源保密模式看上去对产品显而易见，其需要某种产品登记以便服务，固件升级或者是带有家庭智能特征或集成能力的产品。

RFID产品使用周期

阶段工具	I供应链	II店内	III购买后	IV回收
阶段工具	I供应链	II店内	III购买后	IV回收	RFID ePC模式	+	！！/+	！！	+
RFID保密模式			+		RFID ePC模式	+	！！/+	！！	+
RFID保密模式			+		消费者PET		+	+

+好！！不好！！/+有条件的

在阶段3，一个带有标签的产品可多次改变所有权。

在保密模式中，前面的所有者对应由阶段2到阶段3的转变启动一条转移指令。

当把产品送回以便在阶段4中回收时，消费者可禁止保密模式并恢复该标签从而继续阶段1的原始的ePC模式。

密钥管理

转移控制需要所有者能够对密钥进行管理。其挑战在于当控制从早前的所有者(如零售商)转移到新的所有者(如消费者)时可用性与安全性的平衡。

其原理如下。

早前的所有者会将ePC号和相关的所有权的SSDK密钥以数字形式转到新的所有者的设备中如一个匿名PDA、一个假名保密认证设备[3]或者是其它执行清单管理器的PET购物助理设备。如果该交易包括加密，那么这会防止第三方对转移偷听。

新的所有者发送一条转移指令(例如采用一ZAM信息和<Transfer-code>+Hash(<Transfer>XOR RDK)组合的形式)作为第四个参数给标签。通过确认转移，该标签核实其是否已进入到保密模式以及其它所有密钥包括ePC号是否在标签中被删除。然后，新的所有者从前面的所有者移出并对这个带有一变化密钥⁷的标签进行认证。

所有权SSDK密钥是特定的而且由于它们不是防改写的，所以它们不能再用于不同的标签上。多个设备可协调密钥分享且利用在清单主域中，如分享家中服务器的家庭，的清单管理数据来将密钥的转变同步。

但是如前所述，所有权密钥可根据使用目的对同一标签上的其它密钥进行认证：

带有分割数据的组认证密钥：这非常适用于洗衣机，其可将同一个持续的SSDK用于多个标签。该应用安全性的关键在于来自标签的响应不是一个标识符，而是目录或分割数据，其无法将该标签与其它的标签区别开来。这样的一种非识别的响应可能是“红色，最大60C”。

在可信环境中的组认证：

对于读取器共享同一个清单主域来说，一个自然的问题就是“当前是哪一个标签”，而不必提示认证清单中的每一项。应用的例子是家用或者是办公场合。

为此，在多个标签之间共享的一个附加组密钥就是一个方案。为了防止对一标签的物理侵入，我们建议让某人能够分两步读取标签。第一步，用一个组密钥来获得一个标签特定的一次性的参考，然后其由清单管理者使用，该管理者可保留一个参考表并将该一次性参考翻译成特定的标签。如果必须进行第二次认证从而对该特定标签进行认证，那么条件是与之相关的不仅仅是识别。新的一次性参考要么可由组合了所用一次性参考的组RSK来加入，要么可由其形成。这并非不重要的，但是与所有权的SSDK密钥的向前和向后机密的管理一致。

在对方环境中的组认证：

当外来读取器必须能从不同所有者读取标签时，该清单管理方法不足，除非同样的标签仅被读取一次，如一特定事件的票券。对同一标签的多个请求会形成链接和跟踪。这些应用可包括道路工具、交通读票器、商务运

⁷主要的观点在于新所有者可以核实早前的所有者并非根据对SSDK所有权密钥的所知和对ZAM信息传送的窃听而作中间人。这是包括向前和向后机密的另一个理由。输等。这些应用需要附加的身份管理方案，并同样属于本文的范围之外。

需要注意的是，即使本文所述的原理会加到商务标签的安全性上，严格地讲，它们也不足以解决例如与带有生理参数的护照或ID卡相关的大量安全问题，其中现时建议把这些卡在没有任何安全性的条件下实施。

所形成的安全性和保密特性

本方式基于技术方案具有最佳安全性和保密性的设计原则，这里的安全性和保密性均涉及风险最小化的原理。由于从来没有形成保密威胁，因此没必要对数据的使用进行调整，没有与保密相关的不信任的资源，没必要允诺并且没有如强加给消费者的类似妥协决定的勒索。

在零知识设备认证的条件下，RFID标签会保持静止，直到被启动对某一未经认证的数据收集提供固有保护。即使在启动时，交易在多数情况下也不会曝露任何信息，除非经认证而以客户服务交易的一部分来进行响应，此时才足以链接到一购买上。

攻击者甚至不能知道一个双方的通讯已经发生，因为信息可在更宽的区域上进行广播，只有消费者知道希望将什么作为一个响应(如，开窗、锁门-“需要启动报警吗？需要降低2度吗？”)。除了所有者自身，每一项被认证的交易均不能链接到其他人的其它交易上，即使在持续窃听所有外部各方一起工作的情况也是如此。

该协议非常适用于其中信号在开放网络或者是其它协议上中继的应用。例如，这能用FM无线信号或者是其它的长途无线信号实施一个用于汽车防盗控制的广播，该信号例如可由汽车FM广播来接收并中继而启动嵌入的防盗控制，该控制会启动一个无声报警或油门开关，或者是同时启动。这里重要的地方在于没有需要对汽车进行跟踪，除非汽车防盗控制自己启动发出跟踪信号。

所带来的合法性

如果该标签从来没有链接到一个识别出来的或者是可识别的消费者，并且标签在购买后仍保持绝对的消费者控制，那么就没保密性或安全性威胁需要规范。

规范可集中在安全性和保密性风险恶意发生的情况，或者是在忽略的情况下，即当RFID在没有消费者PET保护的条件下进入商店时，或者是在不安全的RFID在销售时没有取消的时候。

主要的问题是防止在不安全的RFID标签处于公共场合的风险。本方法用来防止持续的设备标识符转换成个人标识符或者是独立于店内消费者的保护而产生所述的一些安全问题。

在所有这些显而易见的风险之外，更多的合法性风险被避免。例如，在阶段3中所有权的变化会避免新的所有者通过ePC的行为和零售交易链接到第一个所有者上。这样第一个所有者就避免反向举证的负担。同样合法地，所有权的变化不会导致与第一所有者某物相关的新所有者二次使用的问题。

需要防止的另一个安全问题是在没有绝对个人控制的条件下跟踪或识别个人，直接或间接识别不应在没有个人积极参与的条件下发生。否则，身份被盗以及假身份被犯罪滥用的风险会非常大。

所形成的商业价值特性

本方案的主要方面是其在没有破坏标签商业价值的条件下在没有保密模式的条件下形成安全性。非常廉价的标签自然是在销售点在没有影响它们商业价值的条件下被取消以便供应链的管理和店内的支持。如果该产品用于购买后的消费者应用，它们可配有带有保密模式的RFID。

一个重要方面是消费者与零售商利益的完全对称。如果该标签在消费者离开商店时仍在响应，那么存在有两种可能性：1)消费者偷了该产品；或者2)保密模式从未被启动。无论何种方式，一个有效的标签均会触发商店的保安。因此，该标签具有有效的防盗性，同时还能减少二次监督的需要。这意味着所提出的模型不会与RFID标签作为有效防盗的使用功能相干扰。

如果产品属于正常购买而标签却仍在响应，那么这要么是商店出了错，要么是标签不符合基本的保密要求。其结果就是要么商店要么生产商有企图违反保密之嫌。由于消费者能够用某种RFID读取器对此进行核实并加上奖励，因此违反保密的行为就会被快速查出并被停止。由此，该标签就对能防止违反保密的行为。

本方案的一个特别有趣的方面是为实施开路。由于RFID是双模，因此在引入新保密模式有效的RFID标签的同时，可支持现有的RFID标准。

另一方面是有源标签和消费者标签处理设备的潜在的非同步实施。即使消费者在购买该产品时不能使用该标签，其也能在以后获得这个能力并使用所嵌入的标签。

如果零售商或其它服务提供商使之对消费者有价值，那么消费者可释放可链接的信息从而获得便利性和服务。如果消费者想购买后的RFID支付他的特性，即其原先配有一个非安全标签，那么他可将自已的RFID与保密模式相连，而不必减少其功能，其甚至可将此链回交易以及原始的ePC号，如果零售商或生产商能够支持这一步操作的话。如果他想的话，他甚至能给RFID标签发指令从而保持在ePC模式，尽管这与某种特定密钥的实施相比在多数情况下是一个更差的想法。

简而言之，很难看到有某种商业价值受到损失。但由于把引起对保密性和安全性疑虑的原因除去，减少了使用RFID的障碍，以及标签能够适用于给消费者服务以及购买后的家庭智能而不会对安全性形成威胁。

攻击分析

为了对所提出机理的保密属性进行分析，我们考虑共用的Dolev&Yao模式，其中攻击者具有下面的属性：

1.攻击者能够获得/拆分通过网络发送的信息(此时是指RFID读取器和标签之间交换的任何信息)；

2.攻击者能够使用已经看到的信息而记住/插入信息；

3.攻击者能够启动与标签或读取器的通讯；

4.如果有密钥，攻击者能够加密/解密所有的信息；

5.攻击者不能获得部分信息、猜测密钥或者是进行统计分析；以及

6.在没有密钥的情况下，攻击者不能改变读取加密的信息。

出于分析的目的，我们假定攻击者不能与系统中的物理人工制品(RFID标签和读取器)干扰或者与后端的系统干扰。然而，我们预期攻击者能化装成其中的一个物理人工制品。

攻击RFID标签

其中攻击者化装成一有效读取器的攻击。

这种攻击被共享机密击败，因为标签不能承认有效的读取器，反之亦然，但读取器能够提出一个有效的认证请求。

在设计特定应用中的信息时需要小心从而使这种从信息尺寸学习的能力减到最小，特别是不要忽略该配置假定为中继。

攻击RFID读取器

其中攻击者化装成一个有效标签的攻击。

这种攻击由共享的机密击败，因为参与者不能识别标签，但仅能认可该标签能够对认证信息进行解密并据此响应。

攻击标签和读取器之间的通讯

在一个交易上窃听并不提供信息，因为通讯是被加密的并且是零知识的。

修改攻击，其中攻击者通过改变要素与通讯进行干扰--导致一拒绝服务(Denial of Service)，因为ZAM协议的所有三个要素均被链接，并且有一个部分不能改变，除非使该标签忽略该认证请求为使之无效。

只有成功的认证才能导致标签启动并在标签中形成变化(更新最后功能的DT、潜在改变SSDK并根据特定的应用启动一交易模式)。该ZAM协议自身能防止重放攻击。企图通过外面分布的拒绝服务使标签过载，攻击不应出现严重问题，因为标签在没有响应的条件下自然会取消不非核实的认证请求。在感应功率不足以操作时，该标签能自动地重新设置。

4)中间人攻击

这些攻击会被击败，因为认证程序需要参与者启动认证协议。多个应用会实际受益，其中协议能从一个假定为“中间人”例如在密钥模式中中继认证协议的距离工作。

该配置对中间人来说是透明的，因为这些响应也是零知识的。一攻击者能通过直接读取的方式知道一个现有设备以及一个现有的RFID标签在通讯，但他不可能知道另一设备的标识符。化装需要读取或强制猜出共享机密的SSDK。

5)强制攻击交易密钥和共享机密

一攻击者可记录下认证并企图进行离线的强制攻击。注意，即使猜出正确的随机交易密钥(RSK)，也不能对共享的机密SSDK读取。攻击者甚至不能核实他是否猜出了随机交易密钥。

我们没有对最优的强制攻击方案进行分析，但希望其不会通过RSK和SSDK的组合并试图核实出该认证请求。这对所有的应用来说应以足够，在其中的应用中，RFID是一个可能的选择，因为可据此选择密钥尺寸。

高价值的或敏感的应用要么是移到带有更强计算能力的设备，要么是确保损坏控制，这样攻击者在密钥变化之前就没有时间对交易进行强制攻击。

然而，一个对再用的共享机密所进行的成功的强制攻击有可能会使攻击者能够获得对标签的控制。对此攻击的损坏控制有可能需要随着每次交易而把共享机密改变。

用向后机密来改变密钥可通过共享机密SSDK的改变来实施，其基于每一次的交易，使用随机交易密钥，其中该密钥还组合了一个杂凑或者是其它的不可逆算法。为了确保敏感应用的向前机密，这最好通过改变不同位置中的SSDK来实施成一个社会程序。攻击者仅需要错过一个交易从而释放能力从而能够使用一个通过强制力破坏的密钥来获得对标签的控制。

窃听与使用对原始密钥所知的组合可通过在窃听范围之外改变SSDK来击败。这还可用来攻击对密钥的物理检测同时不触及标签。

使用零售商所知道的原始密钥来跟踪一个无源保密模式的标签则可通过在第一次使用将原始密钥做成一次性密钥来检测出来。

包括用物理人工制品干扰的攻击

攻击者可物理地读取标签中的密钥。

损坏控制可通过外部密钥并将SSID用作一个中间标签标识来组并。SSDK不应跨多个标签重复使用。物理攻击和窃听的组合不太可能，但会非常有效。对这种攻击的主要防护可通过将密钥变到窃听范围之外来解决。

一种更为先进且厉害的攻击模式是原始标签的RFID生产商采用了一个隐藏的后门。由于这里所述的同样的协议可用来生成静止媒介，而其只能由那些能够读取生产商所提供的共享SSDK密钥的人启动，因此唯一一种检测此保密/安全威胁的方式是通过物理检测进行。

在违反的时候，很难检测，因为此时该协议是零知识协议，并且唯一可检测的方面是标签透明响应于某个不确定的请求。在目标为特定消费者的特定攻击中这种组合了跟踪或附加功能的攻击很难检测，其类似于组合了巨大资源并且假冒产品带有后门的那些攻击。

重要的是这种攻击易受到RFID标签物理检测的攻击，因为它们不是防改写的。对商业方法来说，这意味着没有实际作用，因为曝露的风险和结果在正常情况下与商业价值成正比。对于进行泛泛跟踪的政府来说，这需要在所有的设备中使用相同的密钥，从而构建到弱点和检测风险中。

Claims

1、一种在数据通讯网络中从一个第一法律实体建立一个通讯通路的方法，其包括以下步骤：

在所述数据通讯网络中提供至少一个保密参考点，

建立一个从所述第一法律实体到所述保密参考点的通讯通路，

相对于所述保密参考点从所述第一法律实体核实对所述第一法律实体的认证，以及

在不公开所述第一法律实体身份的条件下通过通讯网络建立从所述保密参考点到一个第二法律实体的通讯。

2、如权利要求1的方法，其进一步包括一个初步步骤：通过登记生理参数、签名、代码或其组合对所述第一法律实体进行认证和/或与所保存的对应数据进行比较。

3、如权利要求1或2的方法，所述第一法律实体是一个身份设备。

4、如权利要求1或2的方法，其中所述第一法律实体由一个身份卡或一个包括有加密数据的芯片卡构成，所述方法进一步包括：

所述第一法律实体从所述保密参考点接收的一个加密的密钥，

用保存的一个第二密钥来对所述加密的密钥进行解密，

用所述密钥来对所述加密的数据进行解密。

5、如权利要求1至4任何之一的方法，所述通讯网络是一个个人局域网、局域网、广域网、全球网、互联网、PSTN、GSM网、CDMA网、UMTS网或者是其组合。

6、如权利要求1至5任何之一的方法，所述保密参考点可被经认证的所述第一法律实体持有人从一个与所述数据通讯网络通讯的计算机找到。

7、如权利要求1至6任何之一的方法，其进一步包括：所述第一法律实体能允许或阻止一个第三法律实体访问所述保密参考点，其中第三法律实体构成一个第三方。

8、如权利要求7的方法，其中所述第三法律实体由所述第一实体构成。

9、如权利要求1至8任何之一的方法，其中所述通讯涉及生成并协商一个责任路径以便这个匿名交易能动态地适应文本风险档案。

10、如权利要求9的方法，其中所述第二法律实体建立一个操作程序从而识别所述第一法律实体或者是所述第一法律实体的持有人。

11、如权利要求1至10任何之一的方法，其中所述特定的识别信息是生理参数和/或名字和/或数字签名和/或法律。

12、如权利要求1至11任何之一的方法，其进一步包括：

提供一个身份提供商以及一个服务提供商，

建立从所述第二法律实体到所述服务提供商的通讯，

建立从所述服务提供商到所述身份提供商的通讯，

提供一个第五法律实体，其由一个金融机构构成，

建立从所述服务提供商到所述第四法律实体的通讯。

从所述第二法律实体发送信息到所述服务提供商，

从所述服务提供商发送所述信息到所述身份提供商，

从所述身份提供商发送所述信息到所述第五法律实体，

所述第四法律实体给所述身份提供商发送一个支付接受从而响应所述信息，

所述身份提供商给所述服务提供商发送支付接受，以及

所述服务提供商给所述第二法律实体发送支付接受。

13、一种在一数据通讯网络中从一个第一法律实体建立一个通讯通路的系统，其包括：

包括在所述数据通讯网络中的至少一个保密参考点，限定为从所述第一法律实体到所述保密参考点的一个通讯通路，

相对于所述保密参考点从所述第一法律实体核实所述第一法律实体的认证，以及

在不公开所述第一法律实体身份的条件下通过所述数据通讯网络从所述保密参考点到一个第二法律实体建立的一条通讯通路。

14、如权利要求13的系统，其中所述保密参考点保存在一个与所述数据通讯网络通讯的服务器上。

15、如权利要求13或14的系统，其中所述通讯网络由一个个人局域网、局域网、广域网、无线广播网、全球网、互联网、PSTN、GSM网、CDMA网、UMTS网或者是其组合构成。

16、如权利要求13至15任何之一的系统，其中所述第一法律实体是一个身份设备。

17、如权利要求13至16任何之一的系统，其中所述第一法律实体是一个身份卡或一个包括有加密数据如数字签名的芯片卡构成，从而相对于所述保密参考点对真实性进行核实。

18、如权利要求13至17任何之一的系统，其中所述第一法律实体的真实性通过生理参数和/或代码和/或数字签名的使用来获得。

19、如权利要求13至18任何之一的系统，其进一步包括权利要求1至12之一的任何一个特征。