（管理科学与工程专业论文）EPC信息共享网络的隐私保护策略研究.pdf

摘要 摘要 随着无线技术的发展，成本的下降以及e p c g l o b a l 标准组织和工业巨头 w a l 。m a r t 等的强力驱动，无线射频识别( r f 勘) 技术正发展成为一种薪兴的物 流跟踪技术，被广泛应用于供应链管理，交通管理，军事物流，医疗和药物管理， 食品管理，图书馆管理等诸多领域。但是，r f i d 跟踪技术在给我们带来巨大商 业价值和运作简便的同时，也严重威胁到个人和组织隐私和安全性，并导致潜在 的隐私侵犯，信任缺失以及j # 法商业机密泄漏等阔题。例如，通过将产晶毫子编 码( e p c ) 事件和商务流程数据的关联，可以很容易得到该企业的生产和销售状 况，进而导致企业战略信息的暴露。褥如，通过e p c 发现服务寅现物品跟踪， 可以发现供应链中各个实体的不同的关系和联系，并可能绘制出配送的渠道和路 径，从丽为攻击者提供了破坏，偾昕和盗窃的橇会。在信息共享的环境下，e p c 消息的发布者可能无法预知请求者使用信息的意图，但可以肯定存在信息滥用， 这也将严重降低各方的信任度，并破坏整条供应链的协作关系。因此，能否开发 出套完善有效的安全和隐私保护机制已成为r f i d 技术能否在各个应用领域进 一步发震的关键离题。 本文试图针对e p c 共享网络可能存在的安全隐私风险，从策略管理的层面， 研究提出一个能适应大靓模r f i d 爨络部署的访闳控制框架体系。首先，分绍 r f i d 技术、e p c 网络以及r f i d 应用的关键问题。其次，参考供应链三种信息 共享模式分析e p c 鼹络的信息共享模式，并舞纳出e p c 网络的隐私保护需求。 然后，在隐私保护需求总结的基础上，分析讨论e p c 网络发现服务的基本访问 控制框架。接着，在访褥控制框架基础上，结合一个供应链r f i d 应用实锣来分 析发现服务各种类型的访问控制策略。最后，分析讨论各种不同类型访问控制策 略的合并决策算法，并讨论访闻代理授权和策略管理麓题。该研究将有助予消除 当前r f i d 网络信息共享的壁垒和化解隐私风险问题。 关键谲：r f i d ；e p c 网络；隐私策略 a b s t r a c t a st h ed e v e l o p m e n to fw i r e l e s st e c h n o l o g y , r e d u c t i o no fc o s ta n ds t r o n g l yd r i v e n b ye p c g l o b a ls t a n d a r do r g a n i z a t i o na n di n d u s t r yg i a n tw a l - m a r t ，r a d i of r e q u e n c y i d e n t i f i c a t i o n ( r f i d ) i sb e c o m i n gan e w t r a c e a b i l i t yt e c h n o l o g y , a n d i t sw i d e l yu s e d i nt h es u p p l yc h a i nm a n a g e m e n t ，t r a f f i cm a n a g e m e n t ，m i l i t a r yl o g i s t i c s ，m e d i c a lc u r e a n dp h a r m a c e u t i c a lm a n a g e m e n t ，f o o dm a n a g e m e n t , l i b r a r ym a n a g e m e n ta n ds oo n h o w e v e r , w h i l er f i dt r a c e a b i l i t yt e c h n o l o g yb r i n g su sg r e a tb u s i n e s sb e n e f i ta n d o p e r a t i o nc o n v e n i e n c e ，i ta l s ot h r e a t e n st h ep r i v a c ya n ds e c u r i t yo fi n d i v i d u a l sa n d o r g a n i z a t i o n s ，i na d d i t i o n , i tm a yc a u s ep o t e n t i a lp r i v a c yi n f r i n g e ，m i s t r u s ta n di l l e g a l c o n f i d e n t i a lb u s i n e s si n f o r m a t i o nl e a k a g e ，e t c f o re x a m p l e ，t h r o u g ht h ew a yo f a s s o c i a t i n gt h ee p ce v e n t sw i mb u s i n e s sp r o c e s s e s ，a t t a c k e r sc a ne a s i l ya c q u i r et h e p r o d u c t i o na n ds a l e sc o n d i t i o no fe n t e r p r i s e s ，a n dt h e nc a u s ei t ss t r a t e g yi n f o r m a t i o n l e a k a g e m o r e o v e r , u s i n gt h es e r v i c eo ft r a c e a b i l i t yp r o v i d e db yd i s c o v e r ys e r v i c e s ，i t c a nd i s c o v e rt h er e l a t i o n s h i pb e t w e e nt h ed i f f e r e n te n t i t i e si nt h es u p p l yc h a i n ，a n d p r o b a b l yp r o t r a c t t h ed i s t r i b u t i o nc h a n n e l ，c o n s e q u e n t l y , i tp r o v i d e sc h a n c e sf o r a t t a c k e r st od e s t r o y , d e t e c ta n ds t e a lc o n f i d e n t i a lb u s i n e s si n f o r m a t i o n i nt h e e n v i r o n m e n to fi n f o r m a t i o ns h a r i n g , t h ep u b l i s h e r so fe p cr e c o r d sm a yn o tb ea b l et o a n t i c i p a t et h ei n t e n t i o no fi n f o r m a t i o nu s e r s ，b u tt h e r em u s tb et h es i t u a t i o no f i n f o r m a t i o na b u s ew h i c hc a l lb a d l yr e d u c et h et r u s td e g r e ea m o n ge n t i t i e sa n db r e a k t h ec o o r d i n a t i o nr e l a t i o n s h i po ft h ew h o l es u p p l yc h a i n t h e r e f o r e ，w h e t h e rw ec a l l d e v e l o pap e r f e c ts e c u r i t ya n dp r i v a c yp r o t e c t i o nm e c h a n i s mi sb e c o m i n g as i g n i f i c a n t f a c t o rf o rf u r t h e rd e v e l o p m e n to fr f i dt e c h n o l o g ya p p l i c a t i o n c o n s i d e r i n gt h ep o t e n t i a ls e c u r i t ya n dp r i v a c yr i s k i nt h ee p ci n f o r m a t i o n s h a r i n gn e t w o r k , t h i sp a p e rt r i e st os t u d ya n dp r o p o s ea na c c 懿sc o n t r o lf r a m e w o r kt o a d a p tt ol a r g es c a l er f i dn e t w o r kd e p l o y m e n tf r o mt h ea s p e c to fp o l i c ym a n a g e m e n t f i r s t l y , t h i sp a p e rb r i e f l yi n t r o d u c e sr f i dt e c h n o l o g y , e p cn e t w o r ka n dt h ek e y i s s u e so fr f i da p p l i c a t i o n s e c o n d l y , i ta n a l y s e st h ei n f o r m a t i o ns h a r i n gm o d e lo f e p cn e t w o r kw i t hr e f e r e n c eo ft h r e et y p e so fi n f o r m a t i o ns h a r i n gm o d e l si nt h e e p c 信息共享网络的隐私保护策略研究 s u p p l yc h a i n ，a n di n f e r st h ep r i v a c yp r o t e c t i o nr e q u i r e m e n to fi n f o r m a t i o ns h a r i n gi n e p cn e t w o r k a n dt h e n ，i tp r o p o s e sab a s i ca c c e s sc o n t r o lf r a m e w o r ko fd i s c o v e r y s e r v i c e so nt h eb a s i so ft h ep r i v a c yp r o t e c t i o nr e q u i r e m e n t ，a n db a s e do nt h ea n a l y s i s r f i dd a t af e a t u r e s ，i ta n a l y s e sv a r i o u sa c c e s sc o n t r o lp o l i c i e so fd i s c o v e r ys e r v i c e s c o m b i n i n gw i t har f i da p p l i c a t i o ne x a m p l ei nt h es u p p l yc h a i n f i n a l l y , i td i s c u s s e s t h ec o m b i n i n ga l g o r i t h mo fd i f f e r e n ta c c e s sc o n t r o lp o l i c i e s ，w h i l s ti td i s c u s s e st h e p r o b l e m so fa c c e s sd e l e g a t i o na n dp o l i c ym a n a g e m e n t t h i sr e s e a r c hc a nh e l p e l i m i n a t et h eb a r r i e ri nt h ec u r r e n tr f i di n f o r m a t i o n - s h a r i n gn e t w o r k , a n ds o l v et h e p r o b l e m so f p r i v a c yr i s k k e yw o r d s ：r f i d ；e p cn e t w o r k ；p r i v a c yp o l i c y 厦门大学学位论文原创性声明 本人呈交的学位论文是本人在导师指导下，独立完成的研究成 果。本人在论文写作中参考其他个人或集体已经发表的研究成果，均 在文中以适当方式明确标明，并符合法律规范和厦门大学研究生学 术活动规范( 试行) 。 另外，该学位论文为() 课题( 组) 的研究成果，获得() 课题( 组) 经费或实验室的 资助，在() 实验室完成。( 请在以上括号内填写课 题或课题组负责人或实验室名称，未有此项声明内容的，可以不作特 别声明。) 声明人( 签名) ： 年月日 厦门大学学位论文著作权使用声明 本人同意厦门大学根据中华人民共和国学位条例暂行实施办 法等规定保留和使用此学位论文，并向主管部门或其指定机构送交 学位论文( 包括纸质版和电子版) ，允许学位论文进入厦门大学图书 馆及其数据库被查阅、借阅。本人同意厦门大学将学位论文加入全国 博士、硕士学位论文共建单位数据库进行检索，将学位论文的标题和 摘要汇编出版，采用影印、缩印或者其它方式合理复制学位论文。 本学位论文属于： () 1 经厦门大学保密委员会审查核定的保密学位论文， 于年月日解密，解密后适用上述授权。 () 2 不保密，适用上述授权。 ( 请在以上相应括号内打“”或填上相应内容。保密学位论文 应是已经厦门大学保密委员会审定过的学位论文，未经厦门大学保密 委员会审定的学位论文均为公开学位论文。此声明栏不填写的，默认 为公开学位论文，均适用上述授权。) 声明人( 签名) ： 年月日 第1 章绪论 1 1 研究背景和意义 第1 章绪论 r f i d ( r a d i of r e q u e n c yi d e n t i f i c a t i o n ) 技术兴起于2 0 世纪8 0 年代，随着超大 集成电路的发展，到了2 0 世纪9 0 年代进人了实用阶段。近年来，自动识别方法在 零售、物流业、医药卫生、汽车行业和国防等领域得到快速普及和推广，r f i d 是一种利用无线射频识别技术识别目标对象并获取相关信息的技术。r f i d 从硬 件设备讲主要包括电子标签和阅读器两个部分，当电子标签通过由阅读器产生的 射频区域时，阅读器发出询问信号并向电子标签提供电磁能量，标签获得能量后 向阅读器返回芯片内存储的数据信息。 由于r f i d 与互联网技术近年来的飞速发展，以及现代物流领域的实际需求， 人们提出物联网( i n t e r n e to ft h i n g s ) 的新概念。其基本构想就是使用一种规范 的编码标准给所有的产品提供一个唯一的标识码，而所有产品的具体信息则存放 在互联网上。这样，当人们希望了解一个产品的具体信息时，只需要通过阅读器 获取该物品的标识码，再根据这个标识码就可以从互联网上搜索到想要的信息。 物联网展示了一个在全球范围内对每个物品进行跟踪的全新理念，它是一种全自 动的产品流动监测网络，能在全球范围内极大的提高对产品生产、运输、仓储、 销售各环节的运作效率和管理水平。由美国统一代码协会( u c c ) 和国际物品编 码协会( e 砧p ) 于2 0 0 3 年9 月共同成立的非营利组织e p c g l o b a l 是目前物联网 的主要推广者与标准制定者。由其组织并协调各应用方共同制定的产品电子编码 ( e p c ) 体系是目前物联网体系架构中最主要的组成部分，因此，使用e p c 编 码标准的物联网也被称为e p c 网络。 发现服务( d i s c o v e r ys e r v i c e s ) 是使用户能够查找与特定e p c 相关的数据并 请求访问该数据的一套服务，是e p c 网络的组成部分借助发现服务，用户可 以查找到有关由e p c 标识的单一物理实体信息的多个资源，进而从每个资源处 访问到更多详细内容，例如，可通过向信息提供者- - e p c 信息服务发送查询请求。 随着e p c 网络的发展和逐步应用于供应链领域，越来越多的学者和研究机 oe a n ：现已更名为g s i e p c 信息共享网络的隐私保护策略研究 构开始关注e p c 网络应用的解决方案和存在的各种问题，其中，e p c 网络的安 全和隐私问题受到众多学者的关注【l 】。在一个典型的供应链场合，r f i d 数据沿 不同的企业间扩展，从制造商到分销商一直到终端的零售商，要生成物品在供应 链上的电子档案( e p e d i g r e e ) ，提供面向所有合作伙伴的高效查询处理是必需 的，然而，当企业利用r f i d 技术采集数据，并通过e p c 网络共享r f i d 数据时， 存在数据被窃取的安全威胁，另外，物品的运动及其相关的数据是宝贵的商务信 息，一般情况下，企业是不愿意拿出来共享的，通过将事件和商务流程数据关联， 就可以得到该企业的生产和销售状况，一些企业可能因为有商业敏感性信息而不 愿意和其他参与者共享。因此，因此问题关键在于：用户如何才能确保其r f i d 相关数据不会在未经授权的情形下提供给服务提供商或被滥用? 用户又怎么能 确信服务提供商不会对其交易的r f i d 数据进行分析，从而与组织个人信息发 生关联，并在客户不知情的情况下，对其进行甄选。能不能找到一种有效的安全 隐私保护机制，可以控制对e p c 事件信息的采集、使用、发布和维护等? 糟糕 的是，r f i d 芯片本身不具备上述隐私保护功能，r f i d 读写器也一样，能否开发 出一套完善有效的安全和隐私保护机制已成为r f i d 技术在各个应用领域迸一步 发展的关键问题。 1 2e p c 网络安全和隐私问题研究现状 彭志威等【2 】归纳了e p c 网络所面临的安全和隐私威胁，见图1 1 ( 注：图1 1 中有关e p c 网络的架构部分在本文的第2 章有相关的介绍) 。从下到上，可将 e p c 网络系统划分为3 个安全域：标签和阅读器构成的无线数据采集区域的安全 域、企业内部系统构成的安全域、企业之间和企业与公共用户之间供数据交换和 查询网络构成的安全区域。个人隐私威胁主要可能出现在第一个安全域，即标签、 无线传输和阅读器之间，有可能导致个人信息泄露和被跟踪等。另外，个人隐私 威胁还可能出现在第二个安全域，如果发现服务管理不善，也可能导致个人隐私 的非法访问或滥用。安全与隐私威胁存在于以下各安全域： ( 1 )标签和阅读器构成的无线数据采集区域的安全区域。可能存在的安个威 胁包括标签的伪造、对标签的非法接入和篡改、通过空中无线接口的窃 国州i g r e e ：由能够被鉴别的电子记录组成的电子文档 2 第1 牵绪论 昕、获取拣签酶有关倍意以及对标签进行跟踪和溉控。 ( 2 ) 企业内部系统构成的蜜全区域。与现有企业嘲一样，企业内部系统构成 的安全域存在的安全威胁。 ( 3 ) 企业之间和企业与公兆用户之间供数据交换和查询网络构成的安全区 域。发现服务通过各种认证和授权机制，以及檄据霄关的隐私法规，保 证采集骑数据不被用于喾正常匿酶的商业应露和泄露，并保证合法焉户 对有关绩息戆查询和监控。 篷董- 耋e p c 鼹络面临酶安全和隐私威胁 獒料来源：彭恚藏，拄江，张建：r f i d 的安全耪隐器爨，2 0 0 7 。 由于e p c 网络企业内部系统的安全和隐私威胁嚣现有非e p c 网络企业系统 类似，为了突出e p c 网络安全和隐私问题的特殊性，本文将e p c 网络企业内部 系统中的安全和隐私问题划归常规的企业网络安全和隐私问题，不作为本文的讨 论范冒。以下介绍针对e p c 隳络其它三个安全域的匿内外研究瑗状。 3 e p c 僚患共享网络的隐私保护策略研究 ( 1 ) 标签和阅读器之闻安全和隐私问题研究现状 从目前的研究看，国蠹外对e p c 网络的安全和隐私保护研究主要集中标签 和阅读器构成的无线数据采集区域的安全域，已经有很多的学者在这方面做了广 泛的研究。 彭昭等f 霹从r f i d 系统的物理安全机制和安全协议嚣个方面对现有的安全与 隐私问题解决方案进行讨论，最后提出了一种基于攻击树( a t t a c kt r e e ) 的r f i d 系统安全攻击模型。 骆宗伟等溺结合应用于i n t e m e t 或应用系统中的传统安全机制和一些轻量级 的安全机制，对哈希算法的轻量级射频识别认证协议进行改进，提出种新的轻 量级射频识别安全协议。该协议适用于现实的系统中，以避免已确认的潜在危险， 并充分考虑在r f i d 系统中，r f i d 标签低成本的要求、强大的约束性以及对外 界不可抗拒性等限制r f i d 发展的主要因素。 k 。b f i a n t 5 】等撼述了r f i d 系统中的安全需求并对这些需求进行建模，提出了 一个r f i d 数据安全保护模型。 s a r m a t 6 】等指出设计低成本r f i d 系统安全方案必须考虑两种实际情况：电子 标签计算资源有限以及r f i d 系统常与其他网络或系统互联，分析了r f i d 系统 面临的安全性和隐私性挑战，提出可以采溺在电子标签使用后( 如在商场结算处) 注销的方法来实现电子标签的访问控制，这种安全机制使得r f i d 电子标签的使 用环境类似于条形码，r f i d 系统的优势无法充分发挥出来。 p + g o l l d 7 j 等人设计出一种通用重加密的方法，以防止r f i d 标签与阅读器之间 的通信被非法监听，它通过公钥密码体制实现重加密( 即对已加密的信息进行周 期性再加密) 。这样，由于标签和阅读器闻传递的加密m 信息变化很快，使缛 标签电子编码信息很难被盗取，菲法跟踪也很难实现。 s a 删s 【8 】等提出一种基于散列函数的访问控制协议。标签的初始状态是锁定 的，只能发送一种元标识符，该标识符是菜个密钥的散列值。只有授权阅读器才 能够在后方系统中查找对应的密钥并将其发送给标签。标签通过对密钥进行散列 运算来验证其合法性，并返回明文形式的标识符，短时间内解除锁定状态，从而 为鲤读器提供一种身份认证枫制和中等强度的访阏控制机制。 常振华等【9 】对现有的r f i d 安全和隐私解决方案进行了简要分析，之后应用 4 第1 章绪论 零知识思想，提出了种基于单向h a s h 函数的双向r f i d 认证协议，并分析了 其安全性和抗攻击性。 j u o l s 1 0 】等通过引入r f i d 阻塞标签来解决消费者隐私性保护问题，该标签使 用标签隔离( 抗碰撞) 机制来中断阅读器与全部或指定标签的通信。阻塞标签能 够丽时模拟多种标签，消费者可以使用阻塞标签有选择地中断阕读器与某些标签 ( 如特定厂商的产品或某个指定的标识符子集) 之间的无线通信。但是，阻塞标 签也有可能被攻击者滥用来实施拒绝服务攻击，作者给出了阻塞标签滥用的检测 秘解决方案。 i s h i k a w a 1 1 】等提出采用电子标签发送匿名电子产品代码( e p c ) 的方法来保 护消费者的隐私。在该方案中，后向安全中心将明文电子产品代码通过一个安全 信道发送给授权实体，授权实体对从电子标签处读取的数据进行处理，即可获取 电子标签的正确信息。同时，在该方案的扩展版本中，阅读器可以发送一个重匿 名请求给安全中心，安全中心将产生一个新的匿名电子产品标识并交付给标签使 用，以此完成匿名电子产品标识的更新过程。 以上学者研究安全和隐私问题主要集中在r f i d 标签和阅读器之间的通信阶 段，即研究标签与阅读器之间的通信加密算法或者是通信协议问题。而对于整个 供应链上的r f i d 应用的安全和隐私问题雯l j 没有涉及。 ( 2 ) 企业之间数据交换和查询网络的安全和隐私问题研究现状 s i m s o nl 【1 2 l 等分析归纳了e p c 网络中存在的各种隐私威胁，并详细分析了 这些隐私威胁可能会存在供应链中的哪个阶段，此外，终者还提出了利用常规酌 r f i d 安全技术和政策手段来消除这些隐私威胁。作者在这篇文章中主要讨论终 端客户的隐私保护问题，而没有涉及企业信息的隐私保护问题。 r s i m o n t 撼1 分析了r f i d 应用在整个供应链中的安全和隐私威胁，并针对供 应链r f i d 应用的各个层次( 应用层、协议层、物理层) ，对这些安全和隐私威 胁进行分类，分析这些威胁对企业造成的各种可能的影响。 y m g j i ul i 等【1 訇首次提出个面向供应链的r f i d 通讯安全协议，以阻止外 部竞争者远程收集供应链数据。然而，其协议要求r f i d 标签具备加密运算功能， 这不适合于供应链上普遍被采纳的低成本标签，而且作者也没有考虑到由予供应 链伙伴加入所可能引发的隐私风险和安全威胁。 s e p c 信息共享网络的隐私保护策略研究 r a g r a w a l 等【1 5 】意识到e p c 网络可能存在的隐私风险，并认为传统访问控 制方法如基于角色、基于策略和基于单元的控制策略可以派上用场；但随着r f i d 应用逐步从托盘箱体一单品演进，管理对象级的数据也日益复杂化，每个节点 都要有不同的共享数据策略；传统的访问控制模型在可扩展性上存在诸多缺陷， 它们仅适合跨小型企业网络或者单个企业中应用，却不足以支持跨供应链的信息 共享管理。 ( 3 ) 发现服务的安全和隐私问题研究现状 在供应链r f i d 应用的前期阶段，主要由大型零售商构造跟踪数据仓库，但 因竞争零售商不愿意把自己的数据存储在共享数据仓库，供应商被迫持续地上载 各自的r f i d 数据到他们送货去的零售店，随着数据量的刷新，这对集中式数据 仓库产生严重的约束。这种集中式的数据共享方案可以适用于某个单独的供应 链，但不具通用性。e v d o k i m o v s 1 6 】等研究了利用访问控制的方法解决这种集中 式数据仓库的企业信息隐私保护，分析研究访问控制过程中的数据加密和访问密 钥的分配等问题。然而，文章并没有对这种集中式数据共享方式的缺点和局限性 进行讨论和提出应对的解决方案。 e p c g l o b a l t l 7 】提出的发现服务( d i s c o v e r ys e r v i c e s ) ，突破了集中式的r f i d 数据共享方式，利用发现服务实现r f i d 数据共享，企业需要将共享的e p c 码、 e p c i s ( e p c 信息服务) 的地址链接和标签读取时间等少量信息以记录的形式 发布到发现服务上，而详细的相关r f i d 数据则存储在各自的专门数据库 ( e p c i s ) 上，这种发现服务类似于互联网的搜索引擎服务，但与开放的互联网 搜索引擎不同的是，由于e p c 的相关信息是被保护的对象，只能有选择地被共 享，这样发现服务就不能响应所有的信息查询请求，而只能按照企业的隐私保护 需求来提供r f i d 数据的查询服务。要提供这种有选择的r f i d 数据查询服务， 发现服务需要部署访问控制机制来过滤非授权的查询请求，而要实现企业个性化 的隐私保护需求，发现服务需要能够提供设定访问控制策略的途径，让企业设定 r f i d 数据共享的对象和条件等约束条件。然而，由于发现服务的标准还正在开 发完善中，e p c 酉o b a l 目前尚未有关于发现服务访问控制机制和访问控制策略的 详细说明和框架，而相关领域的学者和研究机构也把研究重点集中在发现服务的 设计和标准的制定上，而未对企业的信息隐私保护和发现服务的访问控制进行深 6 第1 掌绪论 入地研究。 g y e o n g t a e kl e e 【撼】等提出了e p c 网络中e p c 数据的跟踪框架，以实现 e p c g l o b a l 提出的发现服务，该框架讨论了e p c 数据跟踪服务的组成部分和流程， 其中的组成部分包括访问控制，但是文章只是将其作为框架的一部分进行描述说 臻，焉并没有对访问控制进行详细深入的探讨。 m ma l m a d e n 研究中心和m m 硅谷实验室的专家s t e v eb c i 一1 9 】等设计实现 了一个简单的发现服务实例，在该实例中，他们提到了存储在发现服务上的记录 属性，并讨论了发现服务的安全和隐私阌题，指出解决隐私闷题的关键是要部署 细粒度的访问控制机制，并提出了一些建议。然而，文章并没有对发现服务的访 问控制问题进行详细深入的解释说明。 s a p 公司的r f i d 研究专家c h r i sk 邈s e h n c r 等t 2 0 针对e p c g l o b a l 提出的发现 服务框架的不足一只能查找已知供应链参与者所持有的r f i d 数据资源，而对于 未知的参与者却无法定位到，提出了一个新的发现服务框架，该框架支持在保护 金业信息隐私的前提下对未知供应链参与者的r f i d 数据查询。此外，文章还详 细讨论了设计发现服务的各种需求，其中包含企业记录发布的安全和隐私需求， 但是文章还是没有谈到访问控制和隐私保护策略问题。 霹前欧渊有一个称为b r i d g e t 2 2 l ( b u i l d i n gr a d i of r e q u e n c yi d e n t i f i c a t i o nf o r t h eg i o b a le n v i r o n m e n t ) 的r f i d 研究项目，该项目由欧盟资助，全球多个科研 机构、标准组织( 如g s i 国际物品编码协会) 和大学，包括中国的复旦大学都 参与了这个项露，项蠢的目的是解决实施r f i d 的各种障碍和问题，蠢前项穗的 研究正在进行中。其中项目涉及发现服务的设计问题，在项目发布的研究报告中， 对整个发现服务架构的各个组成部分和运作机制进行了深入地阐述说明，报告同 时也分橱讨论了发现服务的访闻控制褥题，但未对发现服务的访问控制策略进行 深入分析。 1 3 研究内容 从目前的e p c 网络安全和隐私的研究看，主要集中在r f i d 标签和阅读器的 逶信层面，另外，其中的隐私研究也主要集中在单个客户的隐器闻题，丽对于基 于整个供应链的安全和隐私则较少入研究，尤其是信息共享过程中的企业隐私保 7 e p c 信息共享网络的隐私保护策略研究 护问题则获得更少人的关注阱】。 针对露前e p c 网络中的企业闻查询网络安全和隐私保护研究的不足，本文 从e p c 网络的核心组件一发现服务出发，试图通过分析发现服务的访问控制策 略来解决e p c 网络的隐私保护问题，为e p c 网络标准的完善提供有价值的参考。 本文从供应链环境下发现服务上r f i d 数据记录访闯许霹与授权的惫度，研究解 决e p c 信息共享网络的隐私保护策略。首先讨论了发现服务的访问控制框架， 并提出为企业提供隐私保护的访问控制策略，以规定什么数据被共享，和谁共享， 在什么条件下共享。研究内容主要由三个方面组成； ( 1 ) 根据e p c 网络的信息共享模式，制定合适的发现服务访问控制框架。 ( 2 ) 根据e p c 网络企业用户的隐私保护需求、r f i d 数据特点，结合供应链 r f i d 应用实例分析讨论e p c 网络发现服务的访闻控制策略。 ( 3 ) 在访问控制策略基础上，分析讨论策略的合并、访问代理授权以及管 理等i 蕊题。 1 4 本文的思路和框架 根据本文的研究内容，研究思路和主体框架如下： 第一章，绪论。主要从总体上对论文进行介绍，提出本研究的背景、意义和 研究内容。 第二章，r f i d 技术及其应用。主要介缁r f i d 技术、r f i d 应用以及r f i d 应用的关键问题。首先简要介绍r f i d 的基本概念和r f i d 系统的工作原理；接 着详细介绍了r f i d 技术在供应链的主要应用一e p c 飕络，分析了e p c 网络的 架构及其各个组成部分；最盾分析了r f i d 应用的几个关键闯题，强调r f i d 安 全和隐私问题是其中一个比较关键的问题。 第三章，e p c 瓣络的隐私保护需求。在分析e p c 网络模式的基础上，褥出 e p c 网络的隐私保护需求。 第四章，e p c 网络的隐私保护策略研究，为本文的核心内容。首先根据e p c 网络的信息共享模式，分析讨论e p c 霹络发现服务的基本访阀控制框架；接着， 在该框架基础上根据r f i d 数据特点和e p c 网络企业用户的隐私保护需求，结合 第1 章绪论 一个供应链r f i d 应用实例来分析说明e p c 网络发现服务的访问控制策略；最后， 分析说明各种不同类型的访问控制策略的合并决策方法，并讨论访问代理授权和 策略管理问题。 第五章，结论与展望。总结了论文的研究方法，提出了论文研究方法存在的 一些不足之处，并据此对未来的研究方向作了探讨。 论文的研究框架如图1 2 所示。 图1 - 2 论文的研究框架 9 e p c 傣惠共享瞬终的隐私保护策略研究 2 1r f i d 技术 2 。1 1r f i d 概述 第2 章r f i d 技术及其应用 r f i d ( r a d i of r e q u e n c yi d e n t i f i c a t i o n ) 的中文名称为无线射频识别，为薯# 接 触式自动识别技术的一种，从上世纪5 0 年代走向成熟的一项自动识别技术，近年 来发展十分迅速。r f i d 技术的覆盖范围广阔，许多正在应用中的自动识别技术 虽然都可以归于r f i d 技术之内，但它们的工作原理、工作频率、技术特点、适 用领域以及遵循的标准却是不同的。 r f i d 在历史上可以追溯捌第二次世界大战时麓( 约在1 9 4 0 年) ，r f i d 当时 的主要功能是英军用于分辨敌方和英方飞机。当时，所应用的原理是将类似的今 臼使用的主动式标签( a c t i v e t a g ) 装设在英国的飞机上，透过雷达发射讯号到 飞机上的标签，此时标签会发出适当的回应的讯号，便可以判知此飞机为自己人， 此系统称为i f f ( i d e n t i t y ：f r i e n do rf o e ) ，目前世界上的飞行管制仍是以此为基 础。到了上个世纪7 0 年代，当时的疆德政府即用其标识核废料，以更加准确地跟 踪它们的处理过程。焉在新加坡和香港，基于该技术的毫子公路收费系统也早邑 投入使用，该系统可对不阕时段行驶在不同路段的车辆实行差别计费。此外，它 还在宠物身份识别、野生动物与环境监测等领域得到了较多的应用。埃森哲实验 室首席科学家弗格森认为r f i d 是一种突破性的技术：“第一，r f i d 可以识别单 个的非常具体的物体，而不是像条形码那样只能识别一类物体；第二，其采用无 线电射频，可以透过外部材料读取数据，面条形码必须靠激光来读取信息；第三， r f i d 可以同时对多个物体进行识读，而条形码只能一个一个地读。此外，储存 的信息量也非常大 渊。 2 1 2r f i d 系统 最简单的r f i d 系统由标签( t a g ) 、阅读器( r e a d e r ) 和天线( a n t e n n a ) 兰 部分组成，如图2 1 所示，在实际应用中，还需要其他硬件和软件的支持。r f i d 1 0 第2 章r f i d 技术及其应用 工作原理并不复杂：标签进入磁场后，接收阅读器发出的射频信号，凭借感应电 流所获得的能量发送出存储在芯片中的产品信息( p a s s i v et a g ，无源标签或被动 标签) ，或者主动发送某一频率的信号( a c t i v et a g ，有源标签或主动标签) ； 阅读器读取信息并解码后，送至中央信息系统进行有关数据处理。 天线 图2 1 典型的r f i d 系统组成 资料来源：冯东：r f i d 在供应链管理中应用研究，2 0 0 5 ( 1 ) 电子标签( t a g ) 电子标签由耦合元件及芯片组成，每个标签具有唯一的电子编码，附着在物 体目标对象上。电子标签的形状可以多种多样，从垂饰到珠子、钉子、标签或者 微金属线与纤维，它们可以做在纸张中，甚至专门的印刷墨水中。从形式上看， 有的是带有小天线的微芯片( m i e r o c h i p ) ，有的看上去好像钞票上的防伪标记， 有的以标签形式附加在产品和包装上。按应用环境与目的分，r f i d 标签包括盘、 管、标签、卡和盒状多种类型，如表2 1 所示。 表2 1 按形状、大小和应用划分的r f i d 标签类型 尹 形状大小主要应用 盘状几m m n 几十l n l n 服装管理 休闲清单标记 嵌入器具的标记 管状几m m n 几十1 1 1 1 1 货盘管理 动物管理 标签状几m m n 几十1 1 1 1 1 用p o s 机支付的产品标记 文件管理 货运管理 卡状8 5 x 5 4 x 几1 1 1 1 1 1 火车票与火车通行证 电话卡 e p c 信息共攀网络的隐私保护壤略研究 用于出入管理的i c 卡 盒状 5 0 x 5 0 x1 0 m m 车辆管理 集装箱管理 赉料来源：冯东：r f i d 在供应链管理中应用研究，2 0 0 5 ( 2 ) 天线( a n t e n n a ) 天线是阅读器和电子标签之间信号和能量传递的中介，标签芯片则根据阅读 器的指令做出相应的操作和响应。在阅读器的感应范围之外时，智能标签处予无 源状态，当智能标签进入到阅读器的感应范围之内时，阅读器则通过耦合单元传 输能量给智能标签使之工作。 ( 3 ) 阅读器( r e a d e r ) 阅读器是负责读取或写入标签信息的设备，阅读器可以是单独的整体，也 可作为部件的形式嵌入到其他系统中去。它可以单独具有读写、显示、数据处理 等功能，也可与计算机或其他系统进行联合，完成对射频标签的操作。 阅读器由两个基本的功能块组成：控制系统和由发送器及接收器组成的高频 接口。阅读器高频接口的功能包括：产生高频的发射功率，为扁动电子标签提供 能量；对发射信号进行调隶l ，用于将数据传送绘电子标签；接收并解调来自电子 标签的高频信号。读写控制单元的功能包括：与应用软件进行通信，并执行应用 系统软件发来的命令；控制与电子标签的通信过程：信号的编码与解码。在一些 复杂的系统中，控制单元还要执行反碰撞算法，阕时对电子标签与阅读器之间要 传送的数据进行加密和解密、并且进行电子标签和阅读器之闻的身份验证。阅读 器可将主机的读写命令传到电子标签，再把从主机发往电子标签的数据加密，将 电子标签返回酶数据勰密焉送到主桃。阕读器将要发送的信号，经编码君加载在 特定频率的载波信号上经天线向外发送，进入阅读器工作区域的电子标签接收此 脉冲信号，然后标签内芯片中的有关电路对此信号进行调制、解码、解密，然后 对命令请求，密码、权限等进行判断。为读取翕今、控铡逻辑电路则从存储器中 读取有关信息，经加密、编码后标签内的天线发送给阅读器，阅读器对接收到的 信号进行解调、解码、解密后送至计算机处理；若是修改信息的写入命令，有关 控制逻辑弓l 起的内部电荷泵提升王佟电匿，对标签中的内容潞行改写。 1 2 第2 章r f i d 技术及其应用 2 2e p c 网络 为什么要提e p c 网络的概念? 为使得r f i d 不仅局限在单一组织内部使用， 并可以为整个供应链贡献价值，还需要解决以下几个问题。第一，要求建立一个 标准，以提供对供应链物品的唯一标识。其二，必须提供一种标准化的手段以发 现和共享描述每个标识物品的数据信息。由此促成t e p c ( e l e c t r o n i cp r o d u c tc o d e ) 网络的诞生。1 9 9 9 年美国麻省理工学院( m i t ) 成立了自动识别技术中心 ( a u t o - i d c 酚盯e r ) ，提出了e p c 概念，其后四个世界著名研究性大学：英 国剑桥大学、澳大利亚的阿雷德大学、日本庆应义塾大学、上海复旦大学相继加 入参与研发e p c ，并得到了1 0 0 多个国际大公司的支持，其研究成果己在一些公 司如宝洁公司、t e s c 公司中试用。2 0 0 4 年1 0 月份，e a n u c c 正式接管了e p c 在全 球的推广应用工作，成立t e p c g l o b a l 。而a u t o i dc e n t e r 改为a u t o i dl a b ，e p c 的研究性工作也将继续由a u t o i dl a b 承担。作为e a n u c c 的会员组织，中国物 品编码中心( a n c c ) 也积极参与至u e p c 的推广工作中来。 基于互联网和射频技术的e p c 网络，即物联网是在计算机互联网的基础上， 利用r f i d 、无线数据通讯等技术，构造了一个实现全球物品信息实时共享的 “i n t e m e to f t h i n g s 。它将成为继条码技术之后，再次变革商品零售结算、物 流配送及产品跟踪管理模式等供应链诸环节一项富有变革性的技术。e p c 是在全 球广泛使用的e a n u c c 全球统一标识系统的重要组成部分，是条码技术应用的 延伸和拓展。全球己有9 0 多个国