利用RFID标签获取项目信息的方法和装置

摘要

用于使用户能够获得关于项目(10)的项目信息的方法和设备，所述项目具有与其相关联的项目标识装置(12)和RFID响应装置(14)，所述RFID响应装置(14)被设置为当被应用当前可应用的触发信号时提供预定响应；所述方法包括步骤：由所述项目标识装置(12)建立项目标识信息；利用所述项目标识信息，来根据所述项目信息源(30)确定所述RFID响应装置(14)的当前可应用触发信号；对所述RFID响应装置(14)应用所述当前可应用触发信号；从所述RFID响应装置(14)接收预定响应；以及利用所述预定响应，来从所述项目信息源(30)获得项目信息；其中所述RFID响应装置(14)被设置成在对所述RFID响应装置(14)应用所述当前可应用触发信号之后生成新的当前可应用触发信号和与其相关联的新的预定响应。

说明书

技术领域

本发明涉及用于从诸如产品信息数据库的项目信息源获得关于诸如 商品的项目的信息的方法和系统。更具体地说，本发明涉及用于通过诸 如提供项目标识信息的视觉上可读标签的项目标识装置和诸如设置为提 供对经受当前可应用触发信号的预定响应的RFID标签的RFID响应装置 从项目信息源获得项目信息的方法和系统。

背景技术

RFID标签技术

射频标识(RFID)是一种使用称为RFID标签的装置储存并检索数 据的标识技术。RFID标签一般为能够用作标签的、能够附着或结合到诸 如商品、动物或人的项目中的小物体。

典型地，RFID标签由具有小储存能力和无线天线的小型集成电路组 成。称为“有源标签”的一些标签具有通常用来对任何处理电路供电并 生成输出信号的内部电源。称为“无源标签”的其他标签没有任何内部 电源。无源标签一般通过从读取器生成的电磁场收集功率来获得响应输 入信号和生成输出信号需要的能量。此外，存在已知为“半有源”(或者 有时称为“半无源”)标签的标签，这种标签一般具有小电源，以使标签 的处理电路能够被持续供电。因此，这些标签不需要在开始任何处理之 前从输入信号收集功率，通常使得它们能够提供比无源标签更快的响应， 但是有源和半有源标签通常比无源标签更贵。

RFID标签通常保存有至少关于与它相关联的项目的标识信息。典型 地，当前RFID标签提供可以是全球唯一并可寻址的96位标识号码。当 通过读取器进行查询时，标签通常以标识信息做出响应，所述标识信息 可以指出在数据库中可以储存关于该项目的详细信息的唯一位置。该详 细信息可以包括产品特性、关于项目原产地、制造商标识与其他制造详 细信息、价格信息、任何合适的有效日期的数据等。

RFID技术被认为至少能够部分替代条形码技术，对于所述条形码技 术存在称为通用产品码(UPC)的标准。和条形码一样，RFID标签可以 提供标识号，但是与条形码不同的是，可以以一定距离读取RFID标签， 而无需瞄准线，并且不需要人的干预。由于此原因并且由于它们的小尺 寸，RFID标签可以置于盒子中或者甚至置于消费项目内部、可以附着到 衣服上，也可以广泛用于其他各种应用。

尽管RFID标签技术已经使用了许多年，但是主要的技术发展发生 在最近几年，特别是通过Auto-ID中心与MIT的合作。目标是使RFID 标签尽可能简单、具有非常小的芯片，并且单位标签成本低于0.1US$。 在这种水平上，才认为RFID标签将实际上开始替代目前用于许多消费品 上的条形码，并且然后经济规模将使研究能够进入新的应用。对于上面 有足够小尺寸并且具有足够低成本的第一标签很可能将是无源标签。

伪造的检测和防止的RFID技术

RFID技术可以立即改善条形码技术和单纯基于可见标记的其他标 签系统的一个方面是在检测产品欺诈标签的方面，由此帮助消除基于赝 品的非法市场，所述假货例如伪造的医药产品；由于它们的老化或“最 迟销售”日期应该从市场中退出的医药产品和其他易腐蚀项目；伪造的 时尚项目，例如衣服和珠宝；消费电子装置；以及许多其他商品。条形 码基本上可以被简单地影印，使得当被读取或“扫描”时，这种复制将 提供和原来一样的数据，而RFID标签则不能如此容易地复制。通常在没 有正确硬件的情况下甚至不能“扫描”它们，并且各种级别和类型的编 码和认证技术可以用来保护储存在其上并与它们相关联的数据。这种特 征再加上能够通过RFID标签与产品相关联的唯一产品码和通过分布式 数据库提供的电子“家谱(pedigree)”通常使得令人信服地将伪造商品 标签成像真的一样变得更难并且更昂贵。

具体地，伪造和过期医药产品代表了对消费者安全的主要风险。世 界卫生组织(WHO)已经估计世界上约百分之7到8的药物是伪造的， 并且来自一些国家的报告表明这些国家多达一半的药物是伪造的。诸如 美国联邦药物管理局(FDA)的受政府委托保证药物制备安全的医学权 威机构已经做出严肃认真地尝试来抗击这些问题，并且已经提出RFID技 术可以使医药的仿造更加困难或无利可图。2004年2月在因特网上公布 的FDA报告：“抗击伪造药物”强烈提倡在医药产业中使用RFID，并建 议为每个药物包、盘或盒指派唯一号码，来记录关于涉及该产品的所有 交易的信息，由此从制造点到配药点提供电子“家谱”。通过监控该档案 和RFID标签产生的信息，药物购买者将能够立即验证药物的真实性。这 种信息可以提供供应链的完全可见性。

防伪方案的市场当然不限于医学部门。约百分之七的世界贸易被认 为是陷入了伪造商品。由于产品克隆，音乐、软件以及奢侈品工业经受 巨大的损失。其他市场也受到严重影响：多达百分之十的全部汽车部件， 和多达百分之十二的在欧洲贸易的玩具被认为是仿制的。对用户的后果 包括安全威胁、经济损失以及恶劣的产品体验。对于制造商，情形更加 恶劣。后果包括不当的责任赔款、对品牌声誉的消极影响、收入的损失 以及对生产与R&D的消极影响。

存在几种方法将标识符用作防伪机制。我们将简要讨论两种方法： 使用包含在具有安全属性(例如全息图)的光学标签中的唯一标识符； 和使用包含在RFID标签中的唯一标识符。

第一种方法依赖于通过不容易被复制的标签或全息图来验证特定产 品。可以通过将项目与具有光学安全属性的标签关联起来，并对仅能通 过其中的光学装置解密的光学数据进行编码，来解决诸如货币、护照、 支票、银行卡、信用卡、光盘等的项目防伪。可以用不同的光学属性制 造这种标签。例如，标签膜可以包括多个衬底，不同的衬底具有不同的 颜色和不同的光学属性。标签产生的图像可以根据视角改变。标签可以 是人可读或者是仅能使用特定光学读取器可读。类似的方法是创建以不 同方式反射光的标签。反射标签可以设计为反射预定波长的光辐射，同 时基本吸收或发射照射标签表面相同位置的其他预定波长的光辐射。

下面两个专利公开涉及标签的认证：标题为“Optical Recording Media Having Optically-Variable Security Properties(具有光学可变安全属性的光 记录介质)”的US 5,549,953(Li)；以及标题为“Authenticating System(认 证系统)”的US 5,568,251(Davies等人)。

在更新的将RFID用作防伪技术的方法中，主要思想是使用唯一的 ID号来认证产品。唯一的ID可以被用来创建使得能够在产品寿命周期内 从头至尾地进行查看的电子家谱系统。药瓶或药包可以包含生成唯一标 识符的RFID标签。标识符可以是纯文本的号码或者可以被加密。VeriSign 提出的解决方案基于这样的标签，该标签包含1024位加密密钥，并且使 用智能卡解决方案所提议的相同加密技术。

近来的医药工业已经创建了通过供应链详细记录医药产品的移动的 电子药物家谱系统。其思想是RFID标签或简单的条形码可以用来从制造 工厂到批发商再到零售商的过程中跟踪特定产品。家谱系统利用保存了 关于各个单个项目的特定数据的特定数据文件。该系统表现为能够减小 伪造药品被引入供应链的风险。尽管窃贼和伪造者通常利用工厂和批发 商之间以及批发商和零售商之间的薄弱环节，但是与这种家谱模型集成 的RFID解决方案可以使以低成本跟踪并验证药物和商品成为可能，并且 无需中断当前供应链进程。

欧洲制药工业协会联合会(EFPIA)2005年11月发出的关于“药品 防伪”的白皮书从医药供应链中不同受益人角度讨论了上面的问题，并 且建议建立“跟踪追溯”信息系统，以保证供应链的透明性并抗击罪犯。 就技术而言，该建议是使该系统基于泛欧条形码标准。它提出该标准应 该能够基于EPC(电子产品码)工作，因为这也与其他条形码标准和RFID 技术兼容。此外，据称，对于要采用的这种方案对每包的成本影响应该 非常低——该白皮书建议成本应该每单个包不高于1欧分。该最后的考 虑暗示，防伪应用应该优选地以使用可以通过无源RFID标签提供的功能 为目标。

如上面已经解释的，RFID标签的克隆一般比条形码和根据基于可见 标记的系统的其他标签的复制更难并且更昂贵，但是也不是不可能。利 用合适的设备，例如读取器和空白标签，可以在几分钟内完成标准标签 (例如EPC 2代标签)的克隆。该读取器简单地读取原始标签，然后将 收集的信息写入空白标签。

当采用专有标签时并且当将特定“触发”信号应用来读取标签信息 时，克隆操作要难得多。在这种情况下，攻击者的目标一般是对标签能 够起作用的触发-响应算法进行“反向工程”。在一些情况下，“触发”信 号可以被恶意用户检测到，并且然后可用来访问关于被保护标签的信息。 这样做的一种方式是“窃听”，即无源地监听来自RFID标签和读取器的 信号。这样做的另一种方式是使用一系列不同的“触发”信号执行标签 的有源“询问”。在其他因素中，该方法的成功或失败可能取决于标签的 任何加密算法的复杂性，以及是否使用单向函数。

最后一类攻击是硬件反向工程。在这种情况下，攻击者从物理上使 用显微镜或来自标签电路的无线辐射来探测标签。

因为没有内部电源，无源标签的电路一般没有有源电路的复杂，所 以无源标签通常比有源标签更有可能受克隆风险的影响。这可能导致更 容易使用显微镜、无线辐射等来探测它们。它还意味着，通过读取协议 提供的任何访问控制可能没有诸如有源标签上使用的“RSA”或椭圆曲 线密码的机制安全。

Stephen Weis等人的标题为“Security and Privacy Aspects of Low-Cost Radio Frequency Identification Systems(低成本射频标识系统的安全性和 私密性)”的文章(Security in Pervasive Computing，vol.2802/2004，Jan 2004， pages 201-212)阐述了RFID系统及其操作的简要描述，并且描述了私密 性和安全性风险以及它们如何应用到低成本RFID设备。它描述了哈希锁 (hash-lock)方案，其中访问密钥的哈希在标签上被用作Meta-ID。读取 器取得该Meta-ID，来在标签利用标签ID做出响应之前，查找被传递给 标签的正确密钥。该方案与上述方案类似，并会遭到窃听、应答攻击以 及跟踪(因为Meta-ID被展现在每个人面前)。

Dirk Henrici等人的标题为“Hash-based Enhancement of Location Privacy for Radio-Frequency Identification Devices using Varying Identifiers (使用变化的标识符以基于哈希的方式增强用于射频标识设备的位置私 密性)”的文章(Proceedings of 2nd IEEE Annual Conference on Pervasive Computing...March 2004，pages 149-153)涉及RFID设备，并且介绍了这 样的方案，即依靠单向哈希函数来通过改变每次读取时可跟踪的标识符 增强位置私密性。通过后端系统改变ID，该后端系统将该改变传递给标 签，作为到标签的上一次传递。如果失败，则后端系统和标签将不同步。

Oliver Berthold等人的标题为“RFID：und Verbraucherschutz”的文章(Wirtschaftsinformatik no.47，2005，pages 422-430)讨论了消费者的担心和关于RFID技术的消费者保护，解释通 过使用与服务丰富的后端结构进行无线通信的芯片对每个项目做标签使 物理环境能够变得更加交互和更有支持力。该文章阐述了与RFID引入相 关的主要担心、讨论什么程度的担心是合理的，并且旨在导出一些系统 需求，来给予用户对RFID使能的IT结构更多控制。

2005年9月Ari Juels在 http://portal.acm.org/citation.cfm？id＝1080793.1080805在线发表的标题为 “Strengthening EPC Tags Against Cloning(加强反克隆EPC标签)”的文 章中讨论了可以加强EPC标签对基本克隆攻击的抵抗力的技术。

Thorsten Staake等人的标题为“Extending the EPC network：the potential of RFID in anti-counterfeiting(扩展EPC网络：RFID在防伪方面 的潜力)”的文章(Procs.of 2005 ACM Symposium on Applied Computing， 17 March 2005，pages 1607-1612)讨论了唯一产品标识号与用来在因特网 上共享RFID相关数据的结构一起如何可以提供有效的“跟踪追溯”应用 的基础。该文章注意到EPC网络可以被用来提供产品的家谱信息，并使 真实性检查成为可能，并且针对要求超出跟踪追溯的认证机制的产品提 出了解决方案。

发明内容

根据本发明，提供了一种从项目信息源获得关于项目的项目信息的 方法，所述项目具有与其相关联的项目标识装置和RFID响应装置，所述 项目标识装置提供项目标识信息，所述RFID响应装置被设置为当应用当 前可应用的触发信号时提供预定响应；所述方法包括步骤：

由所述项目标识装置建立项目标识信息；

利用所述项目标识信息，来根据所述项目信息源确定所述RFID响 应装置的当前可应用触发信号；

对所述RFID响应装置应用所述当前可应用触发信号处理；

从所述RFID响应装置接收预定响应；以及

利用所述预定响应，来从所述项目信息源获得项目信息；

其中所述RFID响应装置被设置成在对所述RFID响应装置应用所述 当前可应用触发信号之后生成新的当前可应用触发信号和与其相关联的 新的预定响应。

同样根据本发明，提供一种用于使用户能够从项目信息源获得关于 项目的项目信息的设备，所述设备包括用于提供项目标识信息的项目标 识装置，以及RFID响应装置，其中：

所述项目标识装置包括这样的装置：可以从该装置建立项目标识信 息，根据所述项目标识信息，可以从所述项目信息源确定所述RFID响应 装置的当前可应用触发信号；并且

所述RFID响应装置包括这样的装置：该装置被设置成当被应用所 述当前可应用触发信号处理时提供预定响应，根据所述预定响应，可以 从所述项目信息源获得预定响应项目信息；

所述RFID响应装置还包括这样的装置：该装置被设置成在对所述 RFID响应装置应用所述当前可应用触发信号之后，生成新的当前可应用 触发信号和与其相关联的新的预定响应。

可以理解的是，在对所述RFID响应装置应用所述当前可应用触发 信号之后生成相同的新的当前可应用触发信号和预定响应的过程中，所 述RFID响应装置和所述信息源因此彼此独立地起作用。还可以理解的 是，这与诸如上面Weis等人和Henrici等人的现有技术不同，所述现有 技术中的基本处理是(a)读取；(b)更新标签。本发明的实施方式使用 这样的处理，其中事件的顺序可以概况为(a)触发；(b)读取并更新。 通过所述RFID响应装置基本地更新本身，而不是依赖于利用更新的信息 从所述信息源接收进一步的通信使得这是可能的。

根据优选实施方式，所述RFID响应装置可以与后端系统同时或者 与后端系统在同一处理阶段独立计算或选择新的读取密钥，并且因此如 果成功读取了所述RFID响应装置，则可以在两方都确保对所述项目标识 信息的成功更新。

本发明的实施方式给出了使得用户能够至少间接获得诸如产品的项 目是原产的、真实的、正品的或者是“有效的”而不是例如“盗版”拷 贝的保证的方法和系统。更准确地，本发明的实施方式使得用户能够验 证附着到项目或与项目相关联并且具有RFID组件的贴签、标签或其他这 种标记或信息装置是原产的、真实听、正品的或有效的，并且具体地是 验证所述RFID组件本身不是复制或克隆的，并通过这种验证，获得关于 项目本身是原产和/或真实的保证。

根据优选实施方式，所述项目标识信息(其可以通过打印在项目或 与该项目相关联的标签上的条形码来提供)可以有效地向可从项目信息 源获得的访问受限密码信息提供参考，在认证过程中后面的阶段将需要 该项目信息源来利用诸如RFID标签的标签的RFID组件访问所储存的访 问受限的唯一标识信息。然而，初始项目标识信息可以是肉眼可见的， 并且甚至可以以任何用户可以理解的形式被提供，但是如果在此阶段需 要额外的安全性或保密性，则项目标识信息本身可以是隐藏、编码或加 密的。例如，可以通过相同或不同RFID组件提供项目标识信息。

优选实施方式可用于参照例如由可信“第三方”提供的安全数据库 来检查产品真实性。该数据库可以是对公众开放访问或者是访问受限的 在线数据库。这可以通过密码保护或者其他方式来实现。可以通过只要 被咨询就对该项目信息源进行访问控制来提供要求的安全级别中进一步 的灵活性。

一旦用户已经确定了RFID响应装置的当前可应用触发信号，该 RFID响应装置可以用来使得RFID组件提供对该触发信号的预定响应。 正是在该过程的此阶段处，存在触发和响应信号被“窃听者”检测或记 录的危险，但是本发明的实施方式设置为通过在窃听者有机会对RFID响 应装置应用窃听到的触发信号之前就已经改变了当前可应用触发信号和 预定响应的事实，使任何成功“窃听到”的信息对窃听者立即无用。

本发明的优选实施方式利用使用单向或哈希函数的密码方案来以这 样的方式使得能够在标签中生成一次性访问密码和认证码：即使已经在 一段时间内成功窃听到密码和/或认证码序列的窃听者也将发现非常难或 者不可能进一步推导出仍可以应用的密码和/或认证码。

除了使得最终用户能够验证诸如从因特网带来的项目的真实性之 外，一些实施方式使得能够沿着从制造工厂到批发商再到零售商的供应 链对项目进行跟踪，并且可以被用来支持安全的“家谱”解决方案，例 如可以应用于诸如医药项目的情况中的方案。

本发明的实施方式考虑了在现有系统上的各种其他改善，包括以下 方面：

首先，可以设置为仅仅可以访问可信第三方数据库的一方能够访问 包含在RFID标签中的信息。这种方法防止恶意用户创建产生“正确”信 息的标签的克隆。即使攻击者能够窃听读取密码和标签生成的唯一标识 符，该信息也将不能使攻击者能够克隆该标签。该读取密码和唯一标识 符只可以被使用一次，所以可以认为是相当于“一次性密码”。

其次，“一次性密码”提供了一种能够实现安全家谱模型的途径。每 当访问可信第三方并且验证产品时，可以将信息记录成保持关于特定产 品的特定信息的特定数据文件。该数据文件可以表示产品的历史，并且 可以描述已经观察到该产品的不同位置。因为可信第三方已经控制访问 密码和标签生成的唯一标识符，所以通过要求产品已经在特定位置处来 防止恶意用户生成假家谱。这要求仅授权方可以访问可信第三方数据库。

第三，当RFID标签可以保持静默，除非项目正被用户利用正确读 取密码有效地检测之外，阻止非期望方对产品的跟踪。这避免了许多现 有RFID技术出现的某些隐私问题。例如对于治疗诸如HIV/AIDS的疾病 的特定药品，隐私是高度相关的话题，并且对于携带关联诸如这样的疾 病的特定药品的用户是重要的。

总之，本发明的优选实施方式可以能够实现下面概述的任意或所有 目的或者对其作出贡献，例如：

-验证产品是原产的和/或它未被篡改。

-对整个供应链上的产品信息进行安全分布，使得能够创建安全的产 品家谱。

-与读取器/用户相结合的RFID、光学或其他标识符的组合提供凭证 来控制向读取器/用户发布的信息。

-增加系统防止窃听、暗地扫描以及标签复制的安全性。

-系统与可信读取器(例如使用可信软件的读取器)的兼容性，从而 如果需要的话可以使用离线处理来验证产品。

附图说明

根据仅以示例方给出的本发明的实施方式的以下描述，并通过参照 附图，将本发明的其他特征和优点将变得清楚，其中相同的标号指相同 的部件，并且其中：

图1(a)和1(b)表示可以对医药产品进行包装和贴标签的两种方 法；

图2是表示根据本发明的一个优选实施方式执行的“认证”操作涉 及的组件；

图3是示出在根据本发明优选实施方式执行的“认证”操作中涉及 的步骤的流程图；

图4示出用于生成RFID标签的唯一ID序列的方案。

具体实施方式

现在将参照附图描述本发明的实施方式。图1(a)和1(b)表示可 以医药产品进行包装和标签的两种方法。在图1(a)中，示出了药丸11 的“气泡式包装”10已经附着了光学标签12，该光学标签12例如可以 是条形码、2维码、矩阵码或者在其上打印了项目标识号的标签，以及 RFID标签14。在图1(b)中，示出了类似的气泡式包装，但是在与气 泡式包装10相关联的外部包装16上打印光学标签12。也示出了打印在 气泡式包装10上的光学标签12，但是图1(b)图示了这一点，即光学 标签一般需要为可见以被读取，而RFID标签可以在当位于包装内或者甚 至在物体本身内部时是可读取的。还将注意到，光学标签和RFID标签都 不需要在物理上被附着到所讨论的项目上。它们中的任一个可以以某种 其他方式相关联，如图1(b)中所指示。

现在参照图2，它示出了与项目10相关联的组合标签，该标签具有 条形码12(用作光学项目标识组件)和RFID标签14；验证器20，该验 证器20在该图中被示出为具有作为条形码读取器和RFID读取器的功能 的组合信息传送设备；以及可信第三方数据库30。完整的“认证”操作 包括以下步骤，这些步骤在图2上的框中指示，并且这些步骤对应于图3 的流程图中示出的步骤。

步骤1：“光学读取”：需要验证项目真实性、这里将称为“用户” 的一方使用验证器20的条形码读取器功能来读取光学标签12，以根据与 该项目相关联的条形码建立该项目的标识。(注意到，尽管来自标签的条 形码组件12的标识信息应该唯一地标识项目10，但是它可能是复制，并 且可能不提供任何级别的该项目为真的保证。该实例中的条形码提供的 保证级别可以被认为等同于用来在诸如上面概述的在先系统中的家谱数 据库上检查产品的简单RFID标签提供的保证级别。)

步骤2：“在线访问”：一旦用户已经使用任何正确的密码或其他安 全检查与数据库30联系，已经从验证器20的条形码读取器部分电传送、 通过用户手动输入或其他方式输入的项目标识信息被发送到数据库30。

步骤3：“读取密码的提供”：倘若项目标识信息对应于数据库中表 示的项目，并且不存在阻止用户尝试获得用于所讨论项目的读取密码的 原因，则用户接收RFID标签14的当前可应用的读取密码。该密码可以 被电储存在验证器20中，或者以其他方式被接收。以这种方式，可以确 保读取密码将仅被提供给具有完全读取标签的权力的验证器，由此限制 了通过RFID标签14访问相关产品信息的不当尝试的数量。

步骤4和5：“访问RFID标签”：用户使用读取密码来触发RFID标 签14揭示仅对特定读取操作有效的唯一标识符。

步骤6和7：“验证项目”：然后，RFID标签14揭示的唯一标识符 可以被传递给数据库30，数据库30可以向用户提供该标识符当前为针对 RFID标签14的正确标识符的验证。

注意到，验证器的认证和验证器与可信第三方之间的安全通信可以 利用现有因特网安全技术。

在成功的“认证”操作之后，或者更具体地，一旦RFID标签14已 经应用了当前可应用的读取密码(步骤4)并且因此已经揭示了当前的唯 一标识符(步骤5)，RFID标签的内部逻辑用新的读取密码和唯一标识符 替代已用的读取密码和唯一标识符。如果例如通过窃听获得先前的读取 密码的恶意用户再次被应用该先前的读取密码，则RFID标签14将不响 应。

现在将描述从RFID标签生成唯一ID的可能方案，通过该方案，可 以在标签内实现加密方案，从而标签能够每当被访问时都生成不同的唯 一ID。这种加密方案是这样的编码方案，其中每当将正确的读取密码提 供给标签时生成不同的密码文本，这样设置，使得对于恶意方在不知道 标签中包含的秘密的情况下很难或者不可能生成正确的密码文本。即使 恶意方能够在较长时间段内观察到标签的输出，因为第一、第二以及随 后的输出将完全不同并且不可链接，所以仍然将防止恶意方推导出读取 密码和/或在已经被观察到的密码序列中的输出之后的各个输出。

为了解决对防伪应用的需要，已经开发了以下与Ohkubo、Suzuki 以及Kinoshita提出的方案类似的哈希链方案。(见Miyako Ohkubo， Koutarou Suzuki & Shingo Kinoshita：“Efficient Hash-Chain Based RFID Privacy Protection Scheme(基于RFID隐私保护方案的高效哈希链)”， International Conference on Ubiquitous Computing，Workshop Privacy， September 2004)。

现在参照图4，标签初始包含本地秘密“S”(例如，128位数)，本 地秘密“S”的部分被用作读取密码“RS”(例如，前48位)。当读取器 用正确读取密码查询标签时，更新本地秘密“S”。本地秘密“S”被提供 为哈希函数H的输入，并且包含“S”的标签中的存储寄存器被更新为所 产生的输出“S₁”。读取密码由此被更新为“RS₁”(即，“S₁”的前48位)。 通过将秘密“S₁”提供为函数G的输入来生成标签的输出，函数G也可 以是单向或哈希函数。输出值“O₁”被发送到读取器，并且它是可以用 来验证产品的真实性的值。在随后的操作中，提供正确的读取密码“RS₁” 将导致本地秘密被更新为“S₂”，并且输出值“O₂”被发送到读取器。

基于单向或哈希函数H和G的属性，输出“O”、本地秘密“S”以 及读取密码“RS”的值不同并且不可相互联系起来。因为函数是单向的， 所以不可能(即从计算上不可实现)从输出找回输入和读取密码信息。 实际可能的唯一攻击是篡改标签的信息。在这种情况下，攻击者可以管 理对标签内的秘密的访问。然而，由于哈希链特性(具体地说是单向属 性)或其他单向函数的类似特性，上面的方案提供前向安全属性。仍然 不能复制标签在先前步骤处已经发出的信息。因此，该特征提供了家谱 信息的安全性。

一旦读取器已经接收到唯一的输出值“O”，读取器就能将秘密传递 给可信第三方来进行验证，以确定该产品是否为原产产品。然后，该产 品的状态可以通过验证器20或其他方式返回给用户。注意到可信第三方 一般保持与标签的同步是重要的。因此，可信第三方可以是系统中能够 完整查看读取密码和标签的输出的唯一实体。尽管可以利用复杂性o(1) 解决来自读取器的请求，但是我们可以说检索处理的时间是可以忽略的。

上面陈述了可信第三方“一般”保持与标签同步。注意到，如果例 如用户(好意或恶意)取得了成功的标签读取操作，因此导致该标签更 新读取密码，但是然后未通过将输出或唯一标识符传递到可信第三方来 完成认证过程，则可能导致缺少同步。然而，可以理解的是，因为随后 尝试执行完整的认证过程将会失败，所以可以将系统建立成保证这仅允 许在密码序列中的一个读取密码缺少同步。该标签将被设定为仅当被应 用了将由可信第三方提供的读取密码之前的一个读取密码(密码序列中 的前一个)时才会工作，因此读取尝试将失败，并且标签将不会进一步 更新它自己。因此可以将系统设置为使得在系统安全级别基本没有任何 降低的情况下，通过第三方或标签进行重新同步或重新设定。

因为要求用户执行在线“查找”操作，可能每当产品需要被验证时 就需要执行该在线“查找”操作，使用可信在线第三方的方法在某些方 面视为缺点。然而，这提供了一些可能的优点。例如，在医药和其他易 腐蚀项目的情况下，如果它们经过的时间太久，则来自正品源的项目可 能变为无效或者甚至变得危险，因此一旦过了预定的“最迟销售”日期， 它们应该被处理为“无效”。通过强制用户在建立项目的真实性时查询在 线数据库，可能向用户提供“最迟销售”日期已过的指示，因此阻止了 恶意方通过非法变更其上打印的“最迟销售”日期而尝试将过期并因此 无效项目作为有效的项目贩卖。

出于上面和其他原因，相信本发明使用可信在线第三方的实施方式 考虑了项目安全性和简单性之间的充分权衡，特别是当要求集中的产品 家谱时。

如果用可信读取器(即用已验证的可信软件运行的读取器)实现本 方案，则可以理解的是，可信第三方可以将对特定项目的访问权委派给 特定验证权威机构。然后，该验证权威机构可以选择合适的读取密码来 访问标签并以离线操作验证标签。然而，可能仍需要使可信验证器和可 信第三方同步的方法。这意味着，如果读取器被委托，则可以在读取器 上对选择的标签的操作认证服务的代理(即向读取器发布特定秘密，使 得它能够确定密码并验证标签响应)。

作为示例，我们将再次考虑医药产品的情形。如上所述，医药业和 各种政府组织热切希望采用这样的方案，该方案使得能够利用唯一标识 符来跟踪诸如瓶和药丸盒的单个产品，使得能够验证它们的原产地。这 将向最终用户提供安全方面的优点，并使得公司能够打败造假者，并因 此保护它们的市场，防止它们产品的廉价并且可能危险的复制品的流入。

为了实现使得能够根据本发明的一个实施方式进行认证的方案，当 生产出医药产品并发送到批发商时，可以将具有RFID标签的合适标签应 用于每一包或瓶。外部盒子也可以具有包括RFID标签的合适标签，使得 批发商能够检查该盒子是原装的并且装有授权产品。一旦盒子已经被验 证并且被拆开，可以在被出售和分配给零售商之前验证各单个产品。之 后，在出售给最终用户之前，单个产品被分配给医药零售商。

在整个供应链上的每个步骤处，都可以验证产品，并且可以更新家 谱信息。注意到，在每个步骤处，验证器可以获得产品的家谱信息的访 问权并且接收到产品为原产的保证。