2 数据保护方案

    1)自毁与休眠 商品被购买以后，标签从阅读器那里接收到“kill”命令后永久失效，但在图书馆或租赁店等场合，标签在使用周期内必须有效而不能一次性“kill”；休眠与自毁相似，但是休眠标签可以通过“wake up”激活后再次使用。 

    2)加密 被动式标签不能将标签上的数据传送给阅读器，加密应该成为最起码信息保护手段。但是加密的标识符本身恰恰就是一个标识符，此外引入密钥管理后的成本问题使加密难以应用于低成本的标签中。 

    3)移动RFID 使用具有RFID阅读器功能的手机或PDA，而不是公共RFID阅读器获取或修改标签数据，标签被跟踪的危险有所降低，然而移动的阅读器本身也会被跟踪而带来安全隐患，此时的隐私威胁不仅涉及标签携带者，还关系到阅读器携带者的隐私。 

    4)阻止标签 由A．Juels，et a1．提出 ，不需要修改标签，而是在标签中加入一个称为隐私比特的可变比特，“0”把标签标识为公有标签；“1”把标签标识为隐私标签，用来防止对隐私标签的非授权扫描。 

    5)Hash．Lockl2 由S．Weis，et al．提出。标签收到查询请求时返回一个hash值，如果阅读器发送了正确的逆向hash值，标签返回其标识符，该方案需要对后台的标签和密钥管理应用单向hash函数。随机Hash Lock是一种改进方案，能确保本地隐私安全，然而后台必须完成大量hash工作，标签上还要有随机数产生器。还有一种“基于Hash的ID变化”方案，每次阅读器查询请求时标签改变一次标识符，需要在后台引入相关数据库。

    此外，有人提出标签原始ID隐藏和clG2协议改进 两种方法保护移动RFID的隐私安全。没有哪种方案可以确保RFID信息的安全，各种安全或隐私保护方法都有自身优势和不足。针对不同的应用场合，采取综合的保护策略才能更好的保护消费者权益，下面提出一种基于隐私分级的隐私保护策略。

    3 基于分级的RFID隐私保护

    3．1 系统结构 

    图2所示为隐私分级构架的核心部分。通过Pc等终端，标签拥有者可以设置标签的隐私等级(Privacy Leve1．PL)和接人控制等级(Access Control Leve1．ACL)。阅读器请求查询时标签返回已确定的PTJ，阅读器将其发送到后台Is，Is分析请求的数据包，并根据所设置的PL提供相对应的信息服务。

    3．2 隐私分级(PL) 

    PL的设置包括PL设置和ACL设置两个部分。隐私等级表示所有者向公众开放信息的随意度。如表1所示，根据个人隐私敏感程度不同以及设置者的个人偏好和所处环境，标签中设置了5个PL。1级标签可以提供所有自身相关信息，而5级标签不会提供任何信息，即标签进入休眠或锁状态，除非收到激活码或解锁等口令信息，标签不会相应任何查询。 

    定义这样的PL对于在RFID分析所需的PL和贯彻隐私政策相当有用。

    阅读器阅读标签时，标签确认其PL，然后把PL和其他所需信息像标识码一起发回到阅读器。如果需要屏蔽标签，就把标签的PL设置为5级，不响应任何查询。

    通过传输已得到的包含PL信息的信息包，Is根据PL把相关信息发送至阅读器或应用系统。