3．3 接入控制分级(ACL) 

    对于确保隐私安全和根据隐私级别进行的标签高级安全管理，接人控制等级十分重要，有助于解决攻击者在未授权的情况下改变隐私等级。根据用户策略(信息量的大小和重要性)可以把接人控制等级分两类：标签接人控制等级(ACL )和Is接人控制等级(ACL )，两者可共存，所需接人数据略有不同，表2所示为ACL 。为支持接人控制功能，IS需要有良好的性能和处理能力。

    需要强调的是，接人控制等级和所需的接人信息成正比，为从标签或Is请求更高接人控制等级的数据，用户需要更安全的认证过程。表3所示为加入隐私等级和接人控制等级后的标签数据结构，其中Flag为ACL 控制标识，为0时关闭ACLIS，为1时启用ACLIS。 

    3．4 隐私保护机制 

    图3所示为所提出的隐私保护机制。图3中的控制者即为标签所有者，他根据个人的偏好、习惯等设置PL。 

    根据控制者的设定，在阅读器阅读标签时IS可以提供不同的信息。具体过程如下： 

    1)首先控制者根据表1中的PL将信息分级。然后根据等级分类结果，确定隐私等级PL 并写入标签。当然，该PTJ 可重复写。类似地，控制者通过等级设置系统(提供已定义的相关隐私策略模板和良好的用户接口)设置其自身的隐私策略。策略服务器中有两类策略：固有策略和控制者设置的策略(设置者可修改)，其中前者的优先级高于后者。 

    2)PL-r已定义并写进标签和IS后，系统进入隐私保护服务阶段。之前，RFID系统处于默认状态，只提供对隐私无害的非重要信息。 

    3)该机制的工作过程如下： 

    ①阅读器访问标签时，标签自检其PL和ACL，根据不同的隐私等级或是接人控制等级，忽略阅读器的查询信息或发回包含标签ID，隐私等级和IS接人等级(Flag为0时)在内的信息包。 

    ②如果阅读器收到标签数据包，它把数据包发到网络，由此阅读器在通过中间件或是ONS的ISURL解析之后请求接人IS。 

    ③Is中首先就是解析收到的信息包，取回PLT和ACL 并予以验证。 

    ④如果需要用户的接人控制，根据已定义的ACL进行用户验证，如果通过验证，转入⑤ ，否则忽略查询。 

    ⑤Is依据PL处理请求提供相应信息。信息服务器储存事件日志并使用安全手段通报控制者。通过日志监测，标签所有者可以修改标签或IS中的PL 。

    3．5 IS接入控制 

    接人控制由标签储存的IS接人控制等级确定，该信息应置于安全保护中，如通过认证和授权才能获得。图4所示为认证过程，用户的认证基于ID口令、公共认证等。用户通过认证后，信息服务器把结果反馈给阅读器。

    在实际的RFID系统中实现这种保护机制有一定困难，隐私策略的定义、实体间的安全通信和控制等都不易解决。这种安全保护方案的提供，便于为用户提供更多的安全保护选择，特别是把隐私分级后，用户可以灵活的利用RFID技术。

    4 结束语 

    在国内，RFID技术的应用目前局限于电子票务和二代身份证等，它的安全与隐私威胁还没有完全浮现。由于标签资源受限，人们对RFID面临的安全与隐私威胁尚不够重视，文中描述的只是部分安全与隐私威胁和解决方案。随着RFID应用的进一步普及，它所产生的问题也将更明显的呈现于我们面前，作者期望采取一定措施，防患于未然，使消费者在享受RFID技术便捷、高效的同时，不必为个人信息泄漏而担忧。