專(zhuān)利名稱(chēng):標(biāo)簽讀寫(xiě)器與標(biāo)簽之間能夠安全通信的射頻識(shí)別系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本實(shí)用新型涉及一種射頻識(shí)別系統(tǒng)����,具體地說(shuō)是涉及一種能夠使標(biāo)簽讀寫(xiě)器和標(biāo) 簽之間安全進(jìn)行通信的射頻識(shí)別系統(tǒng)�����。
背景技術(shù):
目前�����,各個(gè)行業(yè)正在朝著電子化�、網(wǎng)絡(luò)化的方向發(fā)展�����,而射頻識(shí)別RFID作為一種 非接觸式的自動(dòng)識(shí)別技術(shù)���,通過(guò)射頻信號(hào)自動(dòng)識(shí)別目標(biāo)對(duì)象并獲取相關(guān)數(shù)據(jù)���,其識(shí)別工作 無(wú)須人工干預(yù)����,可工作于各種惡劣環(huán)境的特點(diǎn)受到越來(lái)越多的企業(yè)的青睞�。RFID技術(shù)可識(shí) 別高速運(yùn)動(dòng)物體,并可同時(shí)識(shí)別多個(gè)標(biāo)簽�,操作快捷方便。但是��,RFID系統(tǒng)尚沒(méi)有解決的一 個(gè)關(guān)鍵問(wèn)題是-標(biāo)簽讀寫(xiě)器與標(biāo)簽之間的安全通信問(wèn)題?����,F(xiàn)有的RFID系統(tǒng)中��,標(biāo)簽讀寫(xiě)器 和標(biāo)簽之間采用的是無(wú)線(xiàn)通信��,并且標(biāo)簽的計(jì)算能力非常有限���,無(wú)法執(zhí)行需要大量計(jì)算資 源的加解密運(yùn)算��,因此通常認(rèn)為該信道是不安全的���,而標(biāo)簽讀寫(xiě)器和后端數(shù)據(jù)庫(kù)之間的通 信可以看成是安全的���。一般來(lái)說(shuō),標(biāo)簽讀寫(xiě)器與標(biāo)簽之間的通信要滿(mǎn)足機(jī)密性雙方通信的信息不被未經(jīng)授權(quán)的第三方讀出�。認(rèn)證性開(kāi)始正式通信之前,雙方確認(rèn)對(duì)方身份��。不可追蹤性攻擊者無(wú)法根據(jù)標(biāo)簽標(biāo)識(shí)對(duì)其攜帶者進(jìn)行跟蹤���。目前����,有多種可以用于RFID系統(tǒng)中標(biāo)簽讀寫(xiě)器和標(biāo)簽之間通信的安全協(xié)議���,它們 大多都是以Hash函數(shù)為基礎(chǔ)的���,如Sarma等人提出的Hash-Lock協(xié)議,Weis等人提出的 隨機(jī)化Hash-Lock協(xié)議等���,這些協(xié)議大都無(wú)法同時(shí)滿(mǎn)足RFID系統(tǒng)的三項(xiàng)安全需求機(jī)密 性、認(rèn)證性和不可追蹤性���。1993年�,Moti Yung等人提出了一種安全協(xié)議KryptoKnight協(xié) 議。該協(xié)議的流程如圖1所示�。其中Na、Nb分別是由標(biāo)簽A和標(biāo)簽讀寫(xiě)器B生成的隨機(jī)數(shù)��, MACKab(X)表示對(duì)信息X求其以Kab為密鑰的消息認(rèn)證碼(Message Authentication Code, MAC), X @ Y表示對(duì)X和Y進(jìn)行異或運(yùn)算��。該協(xié)議在認(rèn)證過(guò)程中的計(jì)算量較小�,并且能實(shí)現(xiàn)雙向認(rèn)證。但是由于 KryptoKnight協(xié)議并非為RFID系統(tǒng)而設(shè)計(jì)�,沒(méi)有考慮到RFID系統(tǒng)的具體安全需要,因此并 不完全適合用于RFID系統(tǒng)中�。具體體現(xiàn)在(1)在該協(xié)議中,標(biāo)簽同時(shí)需要Hash運(yùn)算模塊和偽隨機(jī)數(shù)生成器模塊�����,提高了標(biāo) 簽的生產(chǎn)成本���;(2)沒(méi)有采用加密技術(shù)��,無(wú)法提供機(jī)密性�;(3)沒(méi)有提供標(biāo)簽標(biāo)識(shí)更新機(jī)制��,不能提供不可追蹤性。發(fā)明內(nèi)容本實(shí)用新型的目的是提供一種能夠使標(biāo)簽和標(biāo)簽讀寫(xiě)器之間進(jìn)行安全通信的射 頻識(shí)別系統(tǒng)�。為實(shí)現(xiàn)上述目的,本實(shí)用新型采用以下技術(shù)方案本實(shí)用新型包括標(biāo)簽�����、標(biāo)簽讀寫(xiě)器及后端數(shù)據(jù)庫(kù)����,上述的標(biāo)簽包括發(fā)射、接收模塊 和HMAC運(yùn)算模塊��,且其內(nèi)部具有標(biāo)簽標(biāo)識(shí)�����;上述的標(biāo)簽讀寫(xiě)器包括存儲(chǔ)器��、控制單元����、發(fā)射 和接收裝置和HMAC運(yùn)算裝置;標(biāo)簽讀寫(xiě)器與標(biāo)簽和后端數(shù)據(jù)庫(kù)通訊�。[0016]上述標(biāo)簽中的HMAC模塊和所述標(biāo)簽讀寫(xiě)器中的HMAC裝置均為用于消息認(rèn)證的帶 密鑰的Hash運(yùn)算電路,其主要由Hash運(yùn)算模塊和異或運(yùn)算器構(gòu)成。上述的標(biāo)簽讀寫(xiě)器中包括DSP抗干擾組件����。上述的標(biāo)簽讀寫(xiě)器為便攜式標(biāo)簽讀寫(xiě)器��。上述標(biāo)簽讀寫(xiě)器通過(guò)通訊口與后端數(shù)據(jù)庫(kù)通訊�����。上述的通訊口包括USB接口�����、串口��、移動(dòng)通信接口�����、互聯(lián)網(wǎng)Internet�、藍(lán)牙中的任 何一種或幾種方式的組合。采用上述技術(shù)方案的本實(shí)用新型�,由標(biāo)簽、標(biāo)簽讀寫(xiě)器及其后端數(shù)據(jù)庫(kù)組成�,簡(jiǎn)化 了其硬件結(jié)構(gòu),其具體的有益效果包括(1)標(biāo)簽及標(biāo)簽讀寫(xiě)器中的HMAC運(yùn)算電路只需要Hash運(yùn)算模塊�����,不需要使用偽隨 機(jī)數(shù)發(fā)生器,降低了標(biāo)簽成本��;(2)在認(rèn)證的過(guò)程中���,通信雙方協(xié)商出會(huì)話(huà)密鑰���,代替共享密鑰Kab對(duì)后續(xù)通信進(jìn) 行加密,避免了共享密鑰Kab過(guò)多的暴露����;(3)使用會(huì)話(huà)密鑰和異或運(yùn)算提供通信中消息的機(jī)密性;(4)每次認(rèn)證完成后����,更新雙方共享密鑰Kab,保證其機(jī)密性���;(5)通信完成后�����,改變標(biāo)簽標(biāo)識(shí)�,以實(shí)現(xiàn)不可追蹤性?��?傊緦?shí)用新型可以滿(mǎn)足RFID系統(tǒng)的機(jī)密性�、認(rèn)證性和不可追蹤性三項(xiàng)安全需 求,并且需要的硬件資源和計(jì)算資源很少�。由于本實(shí)用新型具有上述的特點(diǎn),所以可以應(yīng)用 于各個(gè)行業(yè)如圖書(shū)館的圖書(shū)管理系統(tǒng)�����、物流管理系統(tǒng)等等��。
圖1為現(xiàn)有技術(shù)中KryptoKnight協(xié)議的流程圖����;圖2為本實(shí)用新型結(jié)構(gòu)示意圖;圖3為本實(shí)用新型中通信協(xié)議的流程圖��;圖4為本實(shí)用新型中HMAC算法的電路原理圖�。
具體實(shí)施方式
如圖2所示,本實(shí)用新型包括標(biāo)簽��、標(biāo)簽讀寫(xiě)器及其后端數(shù)據(jù)庫(kù)。標(biāo)簽接收到由標(biāo) 簽讀寫(xiě)器發(fā)出的訪(fǎng)問(wèn)請(qǐng)求�,或者標(biāo)簽主動(dòng)向標(biāo)簽讀寫(xiě)器發(fā)送標(biāo)簽標(biāo)識(shí),標(biāo)簽讀寫(xiě)器讀取信 息并解碼后�,送至控制單元進(jìn)行有關(guān)數(shù)據(jù)處理。在本實(shí)用新型中�����,標(biāo)簽包括發(fā)射��、接收模塊�、異或運(yùn)算模塊和HMAC運(yùn)算模塊,且其 內(nèi)部具有標(biāo)簽標(biāo)識(shí)��。上述的標(biāo)簽標(biāo)識(shí)可以為某一商品的識(shí)別號(hào)��、或者某種信息等等�。標(biāo)簽 讀寫(xiě)器包括存儲(chǔ)器、控制單元����、發(fā)射和接收裝置和HMAC計(jì)算裝置,其與標(biāo)簽和后端數(shù)據(jù)庫(kù) 通訊���。標(biāo)簽讀寫(xiě)器通過(guò)通訊口與后端數(shù)據(jù)庫(kù)通訊�����,其中通訊口包括USB接口����、串口、移動(dòng)通 信接口�����、互聯(lián)網(wǎng)Internet���、藍(lán)牙中的任何一種或幾種方式的組合,均為本領(lǐng)域普通技術(shù)人員 所熟知的技術(shù)����。另外,上述的標(biāo)簽讀寫(xiě)器可以為便攜式標(biāo)簽讀寫(xiě)器���。同時(shí)為了防止電磁干擾或其 他無(wú)用信號(hào)的干擾�,上述的標(biāo)簽讀寫(xiě)器中還可以包括DSP抗干擾組件���。上述的便攜式標(biāo)簽 讀寫(xiě)器和DSP抗干擾組件均為本領(lǐng)域普通技術(shù)所熟知的技術(shù)���。[0035]如圖4所示����,上述標(biāo)簽中的HMAC運(yùn)算模塊�����、標(biāo)簽識(shí)別器中的HMAC運(yùn)算裝置均包括 HMAC運(yùn)算電路��。HMAC運(yùn)算電路主要由Hash運(yùn)算模塊和異或運(yùn)算器構(gòu)成����。其中,異或器的輸 出端與Hash運(yùn)算模塊相連���,第一次Hash運(yùn)算模塊將得到的數(shù)值再次送入Hash運(yùn)算模塊���, 最終由第二次Hash運(yùn)算輸出HMAC值。在本實(shí)用新型中Hash運(yùn)算模塊可以采用一個(gè)即可����, 第二次Hash運(yùn)算可以再次使用第一個(gè)Hash運(yùn)算所使用的模塊?���;蛘?�,可以采用兩個(gè)相同 的Hash運(yùn)算模塊完成該功能�。本實(shí)用新型的原理是在圖3中�����,A代表標(biāo)簽標(biāo)識(shí)��,B代表讀寫(xiě)器標(biāo)識(shí)�,H(X)表示消息χ經(jīng)過(guò)Hash運(yùn)算后 的Hash值,HMAC(x���,y)表示消息χ和y串聯(lián)后經(jīng)過(guò)HMAC運(yùn)算后的值,其中消息χ和y的長(zhǎng) 度均小于264位�����。在本實(shí)用新型中Hash運(yùn)算可以采用MD5或SHA-I算法���,其中MD5和SHA-I 算法均為本領(lǐng)域普通技術(shù)人員所熟知的技術(shù)���。kab表示標(biāo)簽讀寫(xiě)器和標(biāo)簽的共享密鑰��,SK表 示會(huì)話(huà)密鑰��,M為標(biāo)簽讀寫(xiě)器Reader和標(biāo)簽Tag之間交換的明文消息�����,(χ) y= ^表示χ 和y進(jìn)行XOR運(yùn)算��。其具體的流程如下步驟1 標(biāo)簽讀寫(xiě)器通過(guò)自身的發(fā)射接收裝置向標(biāo)簽發(fā)出訪(fǎng)問(wèn)請(qǐng)求��,即Request Hello��。步驟2 標(biāo)簽接收到訪(fǎng)問(wèn)請(qǐng)求后�����,也通過(guò)自身的發(fā)射接收模塊發(fā)送自己的標(biāo)識(shí)A至 標(biāo)簽讀寫(xiě)器�。步驟3 標(biāo)簽讀寫(xiě)器收到標(biāo)簽的標(biāo)識(shí)后先在存儲(chǔ)器中對(duì)其進(jìn)行存儲(chǔ)�,然后在后 端數(shù)據(jù)庫(kù)中查找對(duì)應(yīng)的共享密鑰kab,并生成會(huì)話(huà)密鑰SK��,完成后發(fā)送{B���,HMAC (kab, B)��, (SK)H(kab+2)}給標(biāo)簽���,上述的整個(gè)過(guò)程由標(biāo)簽讀寫(xiě)器的控制單元控制完成����。標(biāo)簽收到由標(biāo) 簽讀寫(xiě)器發(fā)來(lái)的信息后用自己存儲(chǔ)的密鑰kab’運(yùn)算HMAC (kab’����,B)�����,并判斷HMAC (kab���,B)與 HMAC(kab ’,B)是否相等��;如果相等�,則標(biāo)簽通過(guò)對(duì)標(biāo)簽讀寫(xiě)器的認(rèn)證,并計(jì)算H(kab+2)����,進(jìn)而 計(jì)算出會(huì)話(huà)密鑰SK �;如果HMAC (kab�,B)不等于HMAC (kab’,B)����,則認(rèn)證失敗,終止協(xié)議����。步驟4:標(biāo)簽在自身的HAMC模塊中對(duì)收到的信息進(jìn)行處理,完成后發(fā)送{A����, HMAC(kab' +1,A, SK)}給標(biāo)簽讀寫(xiě)器����,標(biāo)簽讀寫(xiě)器收到后計(jì)算相應(yīng)的HMAC(kab+l,A, SK)��,并 判斷其值是否與標(biāo)簽發(fā)送的相等��,若相等則通過(guò)對(duì)標(biāo)簽的認(rèn)證��,并確認(rèn)會(huì)話(huà)密鑰SK協(xié)商成 功。步驟5:在成功協(xié)商出會(huì)話(huà)密鑰SK后���,標(biāo)簽和標(biāo)簽讀寫(xiě)器都改變共享密 鑰kab值��,新的共享密鑰kab值kab_二H(kab��。ld +5) H(S)��,其中S表示標(biāo)簽讀寫(xiě)器和 標(biāo)簽的共享秘密��,且S的值在每次認(rèn)證后遞增。后續(xù)的通信采用加密模式進(jìn)行�,密文 C=(M)h(sk) = m 十丑(漲)。步驟6 通信完成后��,更改標(biāo)簽的標(biāo)識(shí)為A=H (A+kab) ΦH (A+S)����,銷(xiāo)毀原有會(huì)話(huà)密 鑰SK,下次通信重新進(jìn)行認(rèn)證和密鑰協(xié)商�。在上述的流程中,HMAC的運(yùn)算過(guò)程為H (Keyab XOR opad, H (Keyab XOR ipad�,m))設(shè)定兩個(gè)固定的比特串ipad和opad�,ipad為16進(jìn)制數(shù)0x36重復(fù)B次��,opad為 16進(jìn)制數(shù)0x5c重復(fù)B次,其中B為HMAC中用到的Hash算法的輸入的分組長(zhǎng)度����,對(duì)于MD5和SHA-I運(yùn)算,B = 64字節(jié)����。為計(jì)算HMAC (m�,keyab),依次執(zhí)行下列步驟�����,其中m為除密鑰keyab外的消息���,keyab 為通信雙方的共享密鑰。(1)如果密鑰keyab的長(zhǎng)度小于B字節(jié)�����,則在keyab后面添加若干個(gè)0���,直到keyab 的長(zhǎng)度等于B字節(jié)為止��;若密鑰keyab的長(zhǎng)度大于B字節(jié),則先使用Hash運(yùn)算計(jì)算keyab的 Hash值�,然后在該值后面添加若干個(gè)0,直到其長(zhǎng)度等于B字節(jié)為止��;若密鑰keyab的長(zhǎng)度等 于B字節(jié)�����,直接進(jìn)入下一步���;(2)將步驟(1)中計(jì)算出的B字節(jié)的密鑰值與ipad進(jìn)行XOR運(yùn)算�;(3)將比特流消息m添加到步驟(2)的計(jì)算結(jié)果后面����;(4)使用選定的Hash算法計(jì)算步驟(3)中輸出的比特流;(5)將步驟(1)中計(jì)算出的B字節(jié)的密鑰值與opad進(jìn)行XOR運(yùn)算��;(6)將步驟(4)輸出的比特流添加到步驟(5)的計(jì)算結(jié)果后面��;(7)使用選定的Hash算法計(jì)算步驟(6)中輸出的比特流�,計(jì)算結(jié)果即為HMAC算 法的最終計(jì)算結(jié)果�。本實(shí)用新型綜合運(yùn)用多種安全技術(shù)���,如消息認(rèn)證碼、XOR運(yùn)算等�����,對(duì)讀寫(xiě)器和標(biāo)簽 之間的通信進(jìn)行安全保護(hù)��。消息認(rèn)證碼中由于有雙方共享的密鑰的作用���,可以用來(lái)進(jìn)行標(biāo) 簽和讀寫(xiě)器之間的雙向認(rèn)證���,從而提供了認(rèn)證性;在密鑰頻繁變換的條件下�,XOR運(yùn)算可以 作為一種加密算法對(duì)明文進(jìn)行加密���,提供了機(jī)密性��;在每次通信完成后���,更改標(biāo)簽的標(biāo)識(shí) 號(hào)����,提供了不可追蹤性����。由于本實(shí)用新型對(duì)射頻識(shí)別系統(tǒng)中的硬件和軟件都做了上述的改進(jìn),故可較好地 應(yīng)用于各個(gè)行業(yè)中���。在物流行業(yè)中��,本實(shí)用新型可以應(yīng)用于物流過(guò)程的各個(gè)階段���,包括入庫(kù) 出庫(kù)管理、運(yùn)輸過(guò)程中的定位等����。標(biāo)簽讀寫(xiě)器可以是手持的便攜式讀寫(xiě)器,也可以是固定在 某個(gè)位置的讀寫(xiě)器�。在出入庫(kù)管理中,可在倉(cāng)庫(kù)入口和出口處安裝標(biāo)簽讀寫(xiě)器����,采用本實(shí)用新型技術(shù), 可以安全的獲取出入庫(kù)物品的信息�����,同時(shí)這些信息不會(huì)被未經(jīng)授權(quán)的攻擊者獲取。在物品運(yùn)輸過(guò)程中��,可以在一些關(guān)鍵地段�,如高速公路出入口�����、臨時(shí)中轉(zhuǎn)倉(cāng)庫(kù)���、港 口等處安裝標(biāo)簽讀寫(xiě)器���,可以獲得物品的位置信息。采用本實(shí)用新型�����,可以安全的獲取出入 庫(kù)物品的信息�,這些信息不會(huì)被未經(jīng)授權(quán)的攻擊者獲取,并且不會(huì)被攻擊者用來(lái)進(jìn)行跟蹤����。
權(quán)利要求一種標(biāo)簽讀寫(xiě)器與標(biāo)簽之間能夠安全通信的射頻識(shí)別系統(tǒng)�����,它包括標(biāo)簽����、標(biāo)簽讀寫(xiě)器及后端數(shù)據(jù)庫(kù)�����,其特征在于所述的標(biāo)簽包括發(fā)射���、接收模塊和HMAC運(yùn)算模塊�,且其內(nèi)部具有標(biāo)簽標(biāo)識(shí)�;所述的標(biāo)簽讀寫(xiě)器包括存儲(chǔ)器、控制單元�����、發(fā)射和接收裝置以及HMAC運(yùn)算裝置��;所述的標(biāo)簽讀寫(xiě)器與所述的標(biāo)簽和后端數(shù)據(jù)庫(kù)通訊����。
2.根據(jù)權(quán)利要求1所述的標(biāo)簽讀寫(xiě)器與標(biāo)簽之間能夠安全通信的射頻識(shí)別系統(tǒng)�����,其特 征在于所述標(biāo)簽中的HMAC運(yùn)算模塊和所述標(biāo)簽讀寫(xiě)器中的HMAC運(yùn)算裝置均為用于消息 認(rèn)證的帶密鑰的Hash運(yùn)算電路���,其主要由Hash運(yùn)算模塊和異或運(yùn)算器構(gòu)成。
3.根據(jù)權(quán)利要求1所述的標(biāo)簽讀寫(xiě)器與標(biāo)簽之間能夠安全通信的射頻識(shí)別系統(tǒng)����,其特 征在于所述的標(biāo)簽讀寫(xiě)器中包括DSP抗干擾組件�。
4.根據(jù)權(quán)利要求1所述的標(biāo)簽讀寫(xiě)器與標(biāo)簽之間能夠安全通信的射頻識(shí)別系統(tǒng),其特 征在于所述的標(biāo)簽讀寫(xiě)器為便攜式標(biāo)簽讀寫(xiě)器��。
5.根據(jù)權(quán)利要求1或3或4所述的標(biāo)簽讀寫(xiě)器與標(biāo)簽之間能夠安全通信的射頻識(shí)別系 統(tǒng)���,其特征在于所述標(biāo)簽讀寫(xiě)器通過(guò)通訊口與后端數(shù)據(jù)庫(kù)通訊��。
6.根據(jù)權(quán)利要求5所述的標(biāo)簽讀寫(xiě)器與標(biāo)簽之間能夠安全通信的射頻識(shí)別系統(tǒng)��,其特 征在于所述的通訊口包括USB接口���、串口、移動(dòng)通信接口����、互聯(lián)網(wǎng)Internet���、藍(lán)牙中的任何 一種或幾種方式的組合。
專(zhuān)利摘要本實(shí)用新型公開(kāi)了一種標(biāo)簽讀寫(xiě)器和標(biāo)簽之間能夠安全通信的射頻識(shí)別系統(tǒng)�����,它包括標(biāo)簽��、標(biāo)簽讀寫(xiě)器及后端數(shù)據(jù)庫(kù)����,所述的標(biāo)簽包括發(fā)射、接收模塊和HMAC運(yùn)算模塊��,且其內(nèi)部具有標(biāo)簽標(biāo)識(shí)�;所述的標(biāo)簽讀寫(xiě)器包括存儲(chǔ)器、控制單元����、發(fā)射和接收裝置以及HMAC運(yùn)算裝置;所述的標(biāo)簽讀寫(xiě)器與所述的標(biāo)簽和后端數(shù)據(jù)庫(kù)通訊����。采用上述技術(shù)方案的本實(shí)用新型�����,由標(biāo)簽��、標(biāo)簽讀寫(xiě)器及其后端數(shù)據(jù)庫(kù)組成��,簡(jiǎn)化了其硬件結(jié)構(gòu)��,本實(shí)用新型可以滿(mǎn)足RFID系統(tǒng)的機(jī)密性�、認(rèn)證性和不可追蹤性三項(xiàng)安全需求��,并且需要的硬件資源和計(jì)算資源很少��。由于本實(shí)用新型具有上述的特點(diǎn)����,所以可以應(yīng)用于各個(gè)行業(yè)如圖書(shū)館的圖書(shū)管理系統(tǒng)��、物流管理系統(tǒng)等等�����。
文檔編號(hào)G06K17/00GK201654814SQ200920276900
公開(kāi)日2010年11月24日 申請(qǐng)日期2009年12月11日 優(yōu)先權(quán)日2009年12月11日
發(fā)明者吉星, 張濤, 李娜娜, 甘勇, 賀蕾, 金保華 申請(qǐng)人:鄭州輕工業(yè)學(xué)院