【正文】 。x0 分成許多份子密鑰,它們分別被不同的托管機構(gòu)托管,只有足夠多的托管機構(gòu)合在一起才能恢復(fù)x0。監(jiān)聽機構(gòu)在實施監(jiān)聽時依靠托管機構(gòu)只能得到x0 ,要得到用戶的私鑰c,就需要窮舉搜出a。政府的密鑰托管策略是想為公眾提供一個更好的密碼算法,但是又保留監(jiān)聽的能力。對于實際用戶來說,密鑰托管并不能夠帶來任何好處,但是從國家安全出發(fā),實施電子監(jiān)視是必要的。因此,關(guān)鍵在于尋找能 夠最大程度保障個人利益的同時又能保證政府監(jiān)視的體制。A1Lenstra提出了在時間約束下的密鑰托管方案,它既能較好地滿足盡量保障個人利益,同時又能保證政府監(jiān)視的體制。時間約束下的密鑰托管方案限制了監(jiān)聽機構(gòu)監(jiān)聽的權(quán)限和范圍。方案有效地加強了對密鑰托管中心的管理,同時也限制了監(jiān)聽機構(gòu)的權(quán)力,保證了密鑰托管的安全性更容易被用戶信任與接受。6 信息安全和風(fēng)險評估解決REID的安全問題不僅僅包括使用各種技術(shù)的手段保證信息安全。對于應(yīng)用RFID技術(shù)的企業(yè)來說，RFID的安全問題會對整個組織的管理提出一些新的挑戰(zhàn)。有這樣一個案例:某工廠一名受人信賴、有11年工齡的雇員負(fù)責(zé)公司內(nèi)部的網(wǎng)絡(luò)構(gòu)建和維護(hù)，當(dāng)他不再受到公司的重視并意識到將因表現(xiàn)和行為問題被解雇時，就在系統(tǒng)中設(shè)置了摧毀系統(tǒng)的軟件定時炸彈。由于被解雇的網(wǎng)絡(luò)管理員是唯一負(fù)責(zé)文件服務(wù)器的維護(hù)、保護(hù)和備份的雇員，信息系統(tǒng)崩潰后，公司只能雇用程序員重建系統(tǒng)，而原來保存在系統(tǒng)中的珍貴的設(shè)計方案也全部丟失，該公司立即喪失了它原來的工業(yè)地位，損失超過1000萬美元。從上面的例子可以看出，除了技術(shù)保障之外，如果沒有合適的組織管理，企業(yè)信息系統(tǒng)（包括RFID系統(tǒng)）的安全會受到相當(dāng)大的威脅。安全風(fēng)險評估是一種信息安全的管理方法，是通過實施綜合的風(fēng)險評估和標(biāo)識組織的風(fēng)險并進(jìn)而確定解決方案。安全風(fēng)險評估在信息安全風(fēng)險管理中起著核心的作用，它有助于組織對其使用的信息技術(shù)進(jìn)行評估，并幫助組織的決策者作出相關(guān)的信息保護(hù)決策。在RFID系統(tǒng)安全的風(fēng)險管理中，風(fēng)險評估只是第一步，以下給出的信息系統(tǒng)安全風(fēng)險的一個管理框架，它也同樣適用于基于RFID的信息系統(tǒng)，如圖61所示： 圖61 RFID系統(tǒng)的信息安全與風(fēng)險評估下面我們來討論如何利用信息安全與風(fēng)險評估方法來管理基于RFID的信息系統(tǒng)。一般地，信息安全與風(fēng)險評估包含如下三個階段：第1階段：分析企業(yè)中的關(guān)鍵資產(chǎn)所受到的安全威脅從組織的角度進(jìn)行RFID系統(tǒng)的評估。組織的全體職員闡述他們的看法，例如在RFID系統(tǒng)中哪些與信息相關(guān)的資產(chǎn)對組織比較重要，當(dāng)前應(yīng)當(dāng)采取什么措施保護(hù)這些資產(chǎn)等等。這些意見經(jīng)過整理，就可以確定出對企業(yè)最重要的資產(chǎn)（關(guān)鍵資產(chǎn)），進(jìn)而確定引入RFID系統(tǒng)后對這些資產(chǎn)帶來的安全威脅。第2階段:分析RFID系統(tǒng)基礎(chǔ)結(jié)構(gòu)的安全隱患對RFID系統(tǒng)的基礎(chǔ)結(jié)構(gòu)進(jìn)行技術(shù)角度的評估。我們首先分析每種關(guān)鍵資產(chǎn)涉及到的RFID系統(tǒng)的關(guān)鍵組件，然后對這些關(guān)鍵組件進(jìn)行分析，找出其技術(shù)上存在的弱點或安全隱患。第3階段：執(zhí)行風(fēng)險分析并制定安全策略通過前兩個階段收集到的信息，這一階段分析企業(yè)關(guān)鍵資產(chǎn)的安全風(fēng)險及其相對優(yōu)先級，并確定要采取的措施或是開發(fā)出有效的RFID保護(hù)策略，以解決關(guān)鍵資產(chǎn)的安全風(fēng)險。我們現(xiàn)在給出這三個階段的關(guān)系以及每個階段的輸出，如圖62所示： 圖62 信息安全與風(fēng)險評估的三個階段7 結(jié)論雖然國內(nèi)外研究人員對于RFID隱私保護(hù)與安全技術(shù)已經(jīng)進(jìn)行了一些基礎(chǔ)性的研究，也提出了不少解決方案，但是這些研究工作還處于探索階段，現(xiàn)在的研究成果也不足以完全解決RFID的隱私與安全問題。在我國，由于RFID技術(shù)的應(yīng)用還不夠廣泛，對于RFID隱私與安全問題的研究也相對較少，所以無法滿足未來RFID應(yīng)用的需要。如果在RFID技術(shù)應(yīng)用過程中我們不能事先建立一套較為完善的安全與隱私的保障機制，不僅會給技術(shù)的推廣帶來隱私權(quán)方面的市場阻力，還會給我國整個RFID應(yīng)用系統(tǒng)買下安全隱患。本文主要做了以下幾方面的工作：(1) 通過分析攻擊者對RFID標(biāo)簽的攻擊手段，建立攻擊者模型和安全模型，結(jié)合它的通信信道的特點，找到RFID系統(tǒng)標(biāo)簽隱私保護(hù)機制的薄弱環(huán)節(jié)。(2) 在RFID系統(tǒng)標(biāo)簽隱私保護(hù)機制的基礎(chǔ)上，提出了HMACSHAL加密算法，該算法是在HMAC算法的基礎(chǔ)上嵌入一個Hash函數(shù)SHAL，詳細(xì)的分析了該算法的構(gòu)造思想，并用C語言實現(xiàn)，然后對其進(jìn)行安全性分析。(3) 在對隱私數(shù)據(jù)進(jìn)行加密后，提出實用的密鑰托管方案，以實現(xiàn)更強大的功能。參考文獻(xiàn)[1] 李泉林,郭龍巖,綜述RFID技術(shù)及其應(yīng)用領(lǐng)域[J].人民郵電出版社，；[2] 游戰(zhàn)清,李蘇劍等,無線射頻識別技術(shù)（RFID）理論與應(yīng)用[M].北京:電子工業(yè)出版社,2004；[3] 楊艷秋,世界各國（或地區(qū)）,2005,78；[4] 蔣文娟,RFID存在的隱私問題及應(yīng)用建議[J].計算機安全,2005,2122；[5] International Telemunication Internet Reports:The Internet of ；[6] 孫元欣,RFID技術(shù)、,2005，,1214；.[7] 建山, ,2005，；[8] security and privacy:A research ,2005；[9] 陳星,吳志剛,2013,3942；.[10] 周曉光,王曉華,、：人民郵電出版社,2008：716；[11] 張智文,射頻識別技術(shù)理論與實踐[J].北京：中國科學(xué)技術(shù)出版社,2008：33125. ；[12] Frank Thornton,Brad Haines,et ：電子工業(yè)出版社,2007：5666；[13],and RFID systems:Confronting security and :AutoID Labs Research Workshop,Zurich,Switzerland,2012；[14] ang Information Security Risks:The OCTAVE Approach； [15] 張新寶,:群眾出版社,2008：423；.RFID technology for privacy protection systemAbstract This article briefly describes the fundamental issues of privacy and security of RFID. The RFID system by discussing the status of data privacy protection technologies and shortings. We proposed the establishment of new RFID systems data privacy protection methods, study three aspects including privacy data screening methods research, private data encryption research, key management methods. Finally discusses how to use the information security and risk assessment approach to managing businesses, including RFIDbased information systems.Keywords RFID technology。 privacy。 security。 data protection致 謝這次畢業(yè)論文在某某老師的悉心指導(dǎo)和嚴(yán)格要求下已完成，首先我衷心感謝我的導(dǎo)師某某老師對我的指導(dǎo)，然后感謝有些同學(xué)對我提出的一些建議。在此期間，他們對我的指導(dǎo)為我指明了研究的方向，對我的鼓勵使我勇于面對困難，對我的鞭策讓我充滿了前進(jìn)的動力。借此機會，向他們表示衷心的謝意！然后還要感謝大學(xué)四年來所有的老師，為我們打下專業(yè)知識的基礎(chǔ)，同時還要感謝所有的同學(xué)們，正是因為有了你們的支持和鼓勵。此次畢業(yè)設(shè)計才會順利完成。最后，感謝我的母?！哪陙韺ξ业拇罅υ耘?。我還要感謝培養(yǎng)我長大含辛茹苦的父母，謝謝您們!由于我的學(xué)術(shù)水平有限，所寫論文難免有不足之處，懇請各位老師批評和指正。26