控制往来RFID设备的数据访问
技术领域
本发明涉及射频识别(RFID)设备的领域。具体地,本发明涉及尤其为了检查RFID设备的完整性和/或检查配备有RFID设备的产品的完整性、而控制往来RFID设备的数据访问的方法。
此外,本发明涉及包括物理不可克隆功能体的RFID设备,该RFID设备适于用来执行上述用于控制往来RFID设备的数据访问的方法。
此外,本发明涉及RFID读取设备和RFID系统,这两者都适于用来执行上述用于控制往来RFID设备的数据访问的方法。
背景技术
射频识别(RFID)是具有多种应用(例如,作为智能标志或标签)的新兴技术。对应于RFID设备的RFID标签在其成本和能力上有很大的变化。在低端,存在低成本的标签,其是无源的,从读取器得到其电力,并具有有限的计算、存储和通信能力。这样的标签的大部分应用是作为用于电子产品码(EPC)标签的条形码的替代,并且作为跟踪和追踪工具,以防止例如制药工业中的产品伪造。此外,RFID标签用于生产和/或物流,以便分别追踪对要生产的每件物品的处理。
医药品的伪造代表了当今的具体威胁,该威胁不仅是针对制药公司的收益,而且还针对消费药品的人们的安全。鉴于该威胁,药品制造者以及政府部门已经开始采取行动,旨在为整个医药供应链提供更高的安全级别。在美国,负责的食品和药品管理局(FDA)已经认识到需要除了如显窃启(tamper-evident)包装之类的解决方案以及认证技术(如嵌入到药品或其标志中的变色墨水、全息图、指纹、以及化学标记)之外的技术解决方案。
利用大量系列化(mass serialization)的RFID技术的部署涉及为每盘、每盒和每包药品分配唯一的识别码ID。该ID可用于记录关于涉及该产品的所有销售和交易的数据,因而提供从药品制造到分发的“电子履历”(药品跟踪和追踪),并且允许药品购买者确定药品的真实性。与RFID标签相关联的全部数据可进一步用于多种其他应用,如库存控制、防止药品转移(drug diversion prevention)和快速药品召回。该实现方式将在盒和盘的级别开始,并逐渐包括在盒、盘和包级别的所有产品,以最终允许在整个分发系统中在产品级对药品进行识别。
跟踪和追踪技术通过提供精确的药品履历来帮助保护药品供应链的完整性。当前的基于纸张的过程易于出现错误和被篡改,并且在项目或者产品级别应用是不实际的。因此,(经由RFID技术的)电子跟踪和追踪不仅是可靠的产品跟踪和追踪的最有希望的方法,而且在如库存管理的其他方面还具有降低成本的好处。药品认证不仅在购买时确定药品的真实性的方面是关键的,而且在提供药品的电子履历方面也是关键的。因此,经由RFID技术的电子认证以及其他现有的认证技术可为药品验证以及跟踪和追踪提供更可靠的基础。
US 6,842,106 B2公开了一种保护RFID系统中的通信的方法,该RFID系统包括读取器和具有被配置为存储信息的存储器的RF标签。该方法包括从读取器发送消息到该标签。响应于该消息,该标签产生查询(challenge)值并将该查询值发送到读取器。读取器基于密钥值对该查询值执行数学运算,以产生查询答复并将该查询答复发送到标签。该标签基于该密钥值和数学运算独立地计算查询响应。该标签将该标签计算的查询响应和读取器发送的查询答复进行比较。如果查询响应与查询答复匹配,则标签认证了该读取器。
GB 2 413 195A公开了一种存储器标签和读取器,其中对标签存储器具有密码保护。RFID形式的存储器标签包括存储数据、操作程序和当前密码的存储器。存储器标签可用于响应于来自请求数据的标签读取器的读取信号,而运行操作程序,以检查读取信号是否包括依赖于当前密码的令牌(token)。如果在读取信号中识别了该令牌,则存储器标签可操作以读取请求的数据并将其发送到读取器。该令牌可以是密码自身或密码的派生物。标签密码可以在制造时设置,或在从每次从标签传送到读取器之后更新。可替代地,标签在发送请求的数据之后,从读取器接收新的密码。当前令牌和新密码可以以加密的形式发送。
在出版物“Securing the pharmaceutic supply chain by RobinKoh,Edmund W.Schuster,Indy Chackrabarti,Attilio Bellman;Auto ID Center Massachusetts Institute of Technology;2003年6月;http://www.mitdatacenter.org/MIT-AUTOID-WH021.pdf”中,提出了一种随着药品在供应链中从一个组织传递到另一组织、用于药品认证和药品电子履历的方案。履历的信息结构使用供应链范围的中心库,这增加了供应链中的所有各方对于履历信息的可访问性。药品履历所需的信息(如,电子产品码(EPC))由供应链中的每个组织写到该库中。药品验证的信息结构以位于制造者处的文件为中心,其子集仅包含有效的EPC,该有效的EPC可从制造者服务器提取并张贴以用于安全因特网访问。然后,其他供应链组织可从药品扫描EPC并将其与制造者张贴的有效EPC进行比较。然而,当制造者失去控制时,有效的EPC也可能被假冒。
在出版物“Securing the Pharmaceutical Supply Chain with RFIDand Public-key infrastructure Technologies by Joseph Pearson;Texas Instruments Radio Frequency Identification Systems;RFIDPH01-June2005;http://www.ti.com/rfid/docs/manuals/whtPapers/wp-Securing_Pharma_Supply_Chain_w_RFID_and_PKI_final.pdf”中,提出随着药品经过供应链、用于药品认证和药品履历的又一方案。RFID标签认证由被认证的读取器执行,该读取器验证药品制造者在唯一的标签识别符和药品制造者识别符上的数字签名。该签名在制造药品时制作。同样借助于读取器实现了跟踪和追踪功能。它们记录标签“事件标记”并且还将“事件标记”写入标签,该“事件标记”本质上是供应链事件的日期和时间。读取器还将由其以数字方式签署的相关事件信息传送到本地计算机系统。然后,该系统使得该信息对外部网络可用。这提供了在标签、供应链事件和外部分布式网络数据之间的不可分离的链接和查找索引,因为在供应链中的每个事件处事件标记在整个网络上可用。
上述方案防止了用假的识别符重写真实的标签、或用假的识别符对假冒标签进行编程。然而,它们不防止从真实的标签读取有效识别符并将其复制到假冒标签中,该假冒标签然后可附接到伪造的产品。在供应链中的不同点处发现两个或更多个同样的识别符的情况下,可以检测到伪造攻击。然而,假冒产品可能在真实产品之前进入供应链,因此假冒的药品可能被当作真实的药品。此外,在真实产品被从供应链简单地移除并被假冒产品替代的情况下,伪造攻击可以成功。在替代后,药品验证将提供正确的识别符,并且跟踪和追踪将如通常一样继续,就好像从假冒标签读取的值来自真实标签一样。
鉴于上述问题,可能需要提供一种解决方案,以便防止或至少使得更难以读取真实的RFID设备并将其数据复制到假冒RFID设备中,该假冒RFID设备然后可被附接到假冒产品,并替代供应链中的真实产品,对于医药产品尤其如此。
发明内容
该需要可通过根据独立权利要求所述的主题来满足。本发明的有利实施例通过从属权利要求来描述。
根据本发明的第一方面,提供了一种用于控制往来RFID设备的数据访问的方法,所述RFID设备具有数据存储器和物理不可克隆功能体,其中:所述物理不可克隆功能体适于在接收到预定义的查询信号后,产生唯一但不可预测的响应信号。所提供的方法包括步骤:(a)发送第一查询信号到所述RFID设备,(b)通过所述物理不可克隆功能体基于所述第一查询信号产生第一响应信号,(c)将所述第一响应信号存储在所述RFID设备的所述数据存储器中,(d)发送请求信号到所述RFID设备,其中所述请求信号包括第二查询信号,(e)通过所述物理不可克隆功能体基于所述第二查询信号产生第二响应信号,(f)将所述第二响应信号与所述第一响应信号比较,以及(g)如果所述第二响应信号与所述第一响应信号相同,则提供对所述RFID设备的数据访问。
本发明的该方面基于这样的构思:为了允许与RFID设备进行数据通信,适当的读取器必须认证自身。所实现的该读取器认证与限制与RFID设备的数据通信的已知方法相反,其中RFID设备必须通过发送适当的第二查询信号来认证自身。在该上下文中,第二查询信号可以解释为密码,该密码使得RFID读取器能够认证自身并开启与RFID设备的数据存储器的数据通信。
发送第一查询信号、产生第一响应信号和存储第一响应信号的前三个步骤可被理解为对RFID设备的特殊编程。结果,仅在第一响应信号和第二响应信号相同时才可能进行与RFID设备的通信,这是因为,由于物理不可克隆功能体的上述特性,对于每个查询信号产生不可预测但唯一的响应信号。这意味着,仅在对应的查询信号也相同时才能产生相同的响应信号。
换句话说,以这样的方式对RFID设备编程,使得知道第一查询信号的值允许任何实体读取和/或提取在RFID设备的数据存储器中存储的信息。因此,为了有效地限制与RFID设备的数据通信,在包括若干不同的授权实体的系统中必须将第一查询信号保持为秘密的。这意味着所述方法对于在以所述RFID设备为标签的物品的供应链中的密码安全和管理提供了有效的解决方案。从而,防止了或至少极大地减少了对RFID设备的复制和伪造。结果,也有效地防止了或至少极大地减少了对对应产品的复制和伪造。
当提供了对RFID设备的数据访问时,可能提取RFID设备的数据存储器中存储的数据。该数据可以是任何种类的。而且,还可能将数据写到RFID设备的数据存储器和/或修改在RFID设备的数据存储器中存储的数据。
物理不可克隆功能体(PUF)可通过例如出版物“P.Tuyls and L.Batina,RFID Tags for Anti-Counterfeiting,Topics in Cryptology-CT-RSA 2006,The Cryptographers’Track at the RSA Conference2006,February 2006”中描述的电子电路实现,该出版物通过引用合并于此。具体地,参照该出版物的第四部分。其中,PUF被定义为将查询映射到响应并且包括在物理对象中的功能体。PUF满足下面的性质:
-易于评估:这意味着可在短时间内评估物理对象。
-难以表征:这意味着根据在多项式时间中执行的若干测量,不再拥有RFID设备并且仅有有限量资源的攻击者仅能得到关于对一致随机选择的查询的响应的可以忽略的量的知识。
换句话说,术语“不可预测”意味着当知道响应信号时,找出对应的查询信号至少是非常困难的,或者甚至是不可能的。这意味着响应信号的值必须是安全的,但不必是秘密的。
PUF可以是例如硅PUF或所谓的涂层(coating)PUF。此外,PUF还可以是其中响应信号的不可预测性基于材料的光散射性质的设备。
硅PUF基于下述事实:电路中的制造变化引起电路延迟的充分的差异。这些变化由统计的掩膜变化引起,并且还由在PUF的制造期间的温度和压力变化引起。这种方式引起的延迟变化的大小为大约5%。对于硅PUF的查询是数字输入信号。由输入和输出之间的电路引起的延迟是PUF的响应。
在涂层PUF中,芯片被覆盖有包括例如铝磷酸盐的涂层,该涂层掺杂有随机介电颗粒。在该上下文中,随机介电颗粒是具有与涂层基体(matrix)的介电常数不同的相对介电常数的随机大小和形状的若干种类的颗粒。涂层PUF由介电材料与涂层的组合组成。为了查询涂层PUF,在衬底和钝化层之间布置了金属传感器阵列。如果介电颗粒小于各传感器部分之间的距离,则获得充分的随机性。查询信号对应于对传感器阵列的某个点处的传感器施加的某个频率和幅度的电压。由于具有其随机介电性质的涂层材料的存在,传感器板相当于具有随机电容器值的电容器。该电容被转为适当的电子密钥。
必须注意,通过PUF提供响应信号可能涉及进一步的处理步骤,如例如纠错步骤和/或隐私增强步骤。隐私增强可通过模糊承诺(fuzzycommitment)方案执行,从而在适当的认证度量(metric)中,还接受证据(witness),该证据与原始加密证据接近但不必相同。对于有关模糊委托方案的进一步细节,参照出版物“A Fuzzy CommitmentScheme;A.Juels,M.Wattenberg in G.Tsudik,ed.;Sixth ACMConference on Computer and Communication Security;第28-36页;ACM press 1999”。隐私增强也可通过应用模糊提取器来执行,该模糊提取器从其输入中可靠地提取几乎一致但随机的密钥。从而,即使输入变化,只要输入与原始输入保持合理程度地接近,该密钥也将是相同的,从这个意义上说提取是容错的。对于有关所述模糊提取器的进一步细节,参见出版物“Fuzzy Extractors:How to GenerateStrong Keys from Biometrics and Other Noisy Data;Yevgeniy Dodis,Leonid Reyzin and Adam Smith;Advances in Cryptology;EUROCRYPT,2004年5月”。此外,隐私增强可通过应用屏蔽功能执行,该屏蔽功能在出版物“New Shielding Functions to Enhance Privacy andPrevent Misuse of Biometric Templates;Jean-Paul Linnartz andPim Tuyls;AVBPA 2003,LNCS”中描述。这三个出版物的公开内容通过引用合并于此。
根据本发明实施例,物理不可克隆功能体与RFID设备不可分离。这可以通过PUF不可分离地接合到RFID芯片而实现。这可以提供下述优点:对于从芯片窃取PUF或移除PUF的任何尝试导致PUF和/或芯片的毁坏。在仅有PUF被破坏的情况下,向RFID设备认证RFID读取器将不再可能。因此,不再可访问存储在存储器中的数据。
根据本发明的另一实施例,存储在RFID设备的数据存储器中的数据是各个识别数据。具体地,这些数据表示物品或货品的电子识别码,所述物品或货品可以所述RFID设备为标签。这可提供下述优点:在包括如药品制造者、批发者、零售者或药剂师、以及顾客或病人的各种实体的整个供应链中,可单独且可靠地追踪如包装的医药品的物品。如果任何上述实体知道适当的查询信号,该查询信号开启与RFID设备的通信,则可检查加有标签的物品的真实性。因此,可容易地和可靠地识别伪造的产品,这是因为,不知道适当的查询信号,就不可能非法伪造RFID设备。这使得供应链(特别是如药品的敏感物品的供应链)可靠得多。
可以以这样的方式存储各个识别数据,使得它们不可被改变。这具有如下效果:总是可以明确地识别RFID设备以及以RFID设备为标签的物品,除非破坏了该RFID设备。这可以进一步增加供应链内的产品安全性。
必须注意,不必将电子产品码自身存储在数据存储器中。将各个电子产品码在外部存储在例如诸如服务器的数据存储器上就足够了。然而,必须确保基于各个识别数据可明确地分配对应的电子产品码。当然,为了进一步改进供应链的安全性,服务器应当是安全的,使得仅授权实体可以访问。
根据本发明的另一实施例,发送第一查询信号到所述RFID设备的步骤由第一实体执行,发送请求信号到所述RFID设备的步骤由第二实体执行,并且所述方法还包括步骤:以安全方式将所述第一查询信号从所述第一实体发送到所述第二实体。这可提供下述优点:从第一实体开始,仅第二实体知道开启与RFID设备的双向数据通信所需的查询信号。第一实体可能例如是RFID设备的生产者,而第二实体可能是物品的制造者,该物品应当以RFID设备为标签以便保护物品的供应链。
必须注意,整个供应链中的不同实体还可能通过适当地认证自身来访问RFID设备。
将第一查询信号安全发送到第二实体可通过例如下述步骤实现:通过第一实体对第一查询信号进行电子签名,并且用第二实体的公共密钥对已签名的第一查询信号加密。这意味着,可使用用于安全数据传输的已知方法,以便为第二实体提供关于第一查询信号的知识,该第一查询信号如上所述表示用于开启RFID设备和适当的RFID读取器之间的数据通信的密钥。
根据本发明的另一实施例,所述方法还包括将所述RFID设备附接到产品的步骤。这可提供下述优点:在从产品制造者开始到顾客结束的整个供应链内可单独地识别产品或物品。当然,RFID设备还可与适当的防窃启和/或显窃启包装方法结合使用,以便确保可靠的产品物理安全。这可能特别适用于保护药品的供应链,在药品的供应链中,药品制造者生产药品、包装它们并将RFID设备附接到每个单独的物品的包装。
根据本发明的另一实施例,所述方法还包括步骤:如果所述第二响应信号与所述第一响应信号相同,则将数据写到所述RFID设备的数据存储器中。这可提供下述优点:能够开启与RFID设备的数据通信的每个实体可以将进一步的信息添加到RFID设备的存储器。例如,该信息可以是当配备有RFID设备的产品被传送到预定供应链中的新实体时的时间戳。此外,该信息可包括该新实体的识别码。因此,在供应链内可容易地追踪该产品,并且可识别已经与该产品接触的所有上游实体。
根据本发明的另一实施例,所述方法还包括步骤:(a)如果所述第二响应信号与所述第一响应信号相同,则发送第三查询信号到所述RFID设备,(b)通过所述物理不可克隆功能体基于所述第三查询信号产生第三响应信号,以及(c)将所述第三响应信号存储在所述RFID设备的所述数据存储器中。这可提供下述优点:知道表示第一密码的第一查询信号的任何实体能够改变该密码。这具有如下效果:随后仅仅知道第三查询信号的实体才能够开启与RFID设备的数据通信。因此,第三查询信号表示用于开启与RFID设备的数据通信的修改后的密码。
所述密码的重置可通过供应链的任何一方执行,以便防止之前的各方对RFID设备进行未授权的访问。优选地,第一密码可由供应链的第二实体或另一实体重置为新的秘密值,该新的秘密值是第三查询信号。该重置可在第二实体为了例如库存控制而最终读取RFID之后、并刚好在对应产品离开第二实体以去往供应链的下一方之前完成,该下一方例如是批发者。重置查询意味着将RFID设备中存储的对应响应从第一响应重置为新的值,该新的值为第三响应信号。
在重置所存储的响应信号的对应协议中,第二实体发送包括第一和第三查询信号的清除信号到RFID设备。第三查询信号表示可由第二实体随机产生的新密码。在接收到这对查询信号后,RFID设备用该第一查询信号查询其PUF,并且检查获得的响应信号是否等于其存储的值,该存储的值是第一响应信号。仅在该情况下,RFID设备用第三查询信号查询其PUF,以便获得第三响应信号。此后,在数据存储器中,第一响应信号将自动被第三响应信号替代。
必须注意,从RFID读取器到RFID设备的通信通道通常比从RFID设备到RFID读取器的反向通信通道更易于窃听。因此,窃听者获知RFID设备中存储的数据的最容易的方式是:当该第一密码由真实的读取器发送到真实的RFID设备时窃听该第一密码,然后充当真实的读取器以询问其他RFID设备。这实际上是基于密码的认证系统的共同问题。为了减少伪造的读取器充当真实读取器的风险,所述重置协议应当在安全的环境中执行,其中对在清除信号中发送的各种查询进行窃听的可能性非常小。由于典型地调查供应链的各种实体的假设前提,因此未授权的实体能够得知开启与RFID设备进行数据通信所需要的密码是非常不可能的。
根据本发明的另一实施例,(a)所述第一查询信号被发送到多个RFID设备,每个RFID设备具有数据存储器和物理不可克隆功能体,(b)对于所述多个RFID设备的每一个,通过相应的物理不可克隆功能体基于所述第一查询信号产生各个第一响应信号,以及(c)对于所述多个RFID设备的每一个,将所述各个第一响应信号存储在相应的数据存储器中。这可提供下述优点:可以以这样的方式同时对多个RFID设备进行编程,使得仅仅知道表示共同密码的第一查询信号的实体可开启与RFID设备的数据通信。
必须注意,第一查询信号是共同的第一查询信号。因此,可有效地保护关于整批产品的信息不被伪造,该产品配备有对应的RFID设备。
根据本发明的另一实施例,(a)包括所述第二查询信号的所述请求信号被发送到至少一些所述RFID设备,(b)对于所述至少一些RFID设备的每一个,通过相应的物理不可克隆功能体,基于所述第二查询信号产生各个第二响应信号,(c)对于所述至少一些RFID设备的每一个,将所述各个第二响应信号与相应的各个第一响应信号比较,以及(d)对于所述至少一些RFID设备的每一个,如果相应的第二响应信号与相应的第一响应信号相同,则提供数据访问。
这可提供下述优点:当对于一批不同的RFID设备应用表示共同密码的适当的共同第二查询信号时,可同时打开往来这些RFID设备的数据通信。在RFID设备附接到一批产品的不同物品的情况下,可提取和/或修改关于每个单独的RFID设备或每个单独的产品的信息。从而,即使对于大量产品也可有效地建立安全的供应链。
根据本发明的另一方面,提供了一种RFID设备,包括:处理元件,耦合到所述处理元件的数据存储器,以及耦合到所述处理元件的物理不可克隆功能体。(a)所述物理不可克隆功能体适于基于第一查询信号产生唯一但不可预测的第一响应信号,(b)所述RFID设备适于将所述第一响应信号存储在所述数据存储器中,(c)所述物理不可克隆功能体适于基于第二查询信号产生唯一但不可预测的第二响应信号,(d)所述处理元件适于将所述第二响应信号与所述第一响应信号比较,以及(e)所述RFID设备适于:如果所述第二响应信号与所述第一响应信号相同,则输出存储在RFID设备的数据存储器中的数据。
本发明的该方面基于这样的构思:防止未授权的RFID读取器读取所述RFID设备,所述RFID设备是真实的RFID设备。换句话说,在RFID读取器可以读取存储在RFID设备的数据存储器中的数据之前,该RFID读取器必须向标签进行认证。与用于限制与RFID设备的数据通信的已知方法相反,所述RFID设备不向RFID读取器认证自身。根据本发明的该方面,仅在所述RFID读取器已经向RFID设备认证自身时才可能进行数据访问。在该上下文中,第二查询信号可被解释为密码,该密码使得RFID读取器能够开启与RFID设备的数据存储器的数据通信。
以这样的方式对RFID设备进行编程,使得知道第一查询信号的值允许任何实体读取和/或提取在RFID设备的数据存储器中存储的信息。因此,为了有效地限制与RFID设备的数据通信,必须在包括若干不同的授权实体的系统中将第一查询信号保持为秘密的。这意味着所述RFID设备允许在以所述RFID设备为标签的物品的供应链中,有效地维护密码安全性和密码管理。从而,防止了或至少极大减少了对RFID设备的复制和伪造。
关于物理不可克隆功能体(PUF)的进一步细节已经在上面给出。因此,关于PUF的设计,参照上面给出的对应段落。
所述RFID设备可提供这样的优点:它表示防窃取组件,使得不能以所要求的方式以外的方式轻易地删除和/或改变数据存储器上的数据。从而,RFID读取器开启与RFID设备的数据通信的唯一可能的方式是发送表示秘密密码的正确查询信号。
RFID设备还可提供这样的优点:上述用于控制往来RFID设备的数据访问的方法可用具有有限功能的相对简单的无源RFID设备执行。因此,使用上述RFID设备提供了对于产品反伪造的有效解决方案,从而可以保持新基础设施的成本和投资低。
根据本发明的实施例,所述物理不可克隆功能体与所述RFID设备不可分离。如上面关于上述用于控制往来RFID设备的数据访问的方法已经描述的,这可通过PUF不可分离地接合到RFID芯片而实现。这可提供下述优点:对于从芯片窃取PUF或移除PUF的任何尝试导致PUF和/或芯片或整个RFID设备的毁坏。
根据本发明的另一方面,提供了一种包括数据处理器的RFID读取设备。所述RFID读取设备适于通过发送与所述第一查询信号相同的第二查询信号,与如上所述的RFID设备通信。
本发明的该方面基于下述构思:在开启所述RFID读取设备和RFID设备之间的通信通道之前,RFID读取设备必须向RFID设备进行认证。这意味着仅当RFID读取设备知道适当的查询信号,该RFID读取设备才可访问RFID设备的数据存储器。因此,第二查询信号可被解释为密码,如果该密码与第一查询信号相同,则使得RFID读取器能够开启与RFID设备的数据通信。
根据本发明的另一方面,提供了一种RFID系统,包括:(a)如上所述的RFID设备,以及(b)对应于同样如上所述的RFID读取设备的第一RFID读取设备。
本发明的该方面基于下述构思:上述RFID设备和上述RFID读取设备可以这样的方式组合,使得可为产品供应链建立有效的密码安全系统,从而该供应链可包括两个或甚至更多实体。从而,产品可配备有所述RFID设备,使得供应链的任何实体可识别有标签的产品。然而,该识别仅可通过授权方或实体执行。这可提供产品安全的显著改进,这是因为可以容易地识别伪造的产品。
物理不可克隆功能体的上述性质进一步确保产品伪造者不能复制真实的RFID设备并将其附接到伪造的产品。这种RFID标签的复制可能性使得在进一步提供真实的产品之前、伪造者将伪造的产品非法引入供应链。在此情况下,通过读取复制的RFID设备,供应链的下游实体认为伪造的产品是真实的产品。然而,由于不可复制的PUF,这种伪造产品的非法发布显然不再可能。
根据本发明的实施例,所述RFID系统还包括:第二RFID读取设备,其也对应于如上所述的RFID读取设备。从而,第一RFID读取设备被分配给产品供应链的第一实体,以及所述第二RFID读取设备被分配给产品供应链的第二实体。
这可提供下述优点:通过将适当的查询信号从第一实体传送到第二实体,可建立有效和可靠的密码安全和密码管理系统。从而,第一实体例如可能是RFID设备的制造者,其最初以适当的方式对RFID设备进行编程。第二实体例如可能是产品制造者,其将上述RFID设备附接到制造的产品,以便防止将伪造产品引入供应链。在该方面,如果所涉及的供应链的各方(a)可访问适当的RFID读取设备并且(b)知道当前的查询信号,则可实现有效的防护,该当前的查询信号使得RFID设备的PUF产生实际存储在数据存储器上的相同的响应信号。
当然,产品供应链还可包括如批发者、零售者和顾客的另外各方。通过随后将适当的查询信号传送到这些方,可容易地检查产品完整性,并且可立即识别伪造产品并将其从产品供应链中移除。
必须注意,参照不同主题描述了本发明的实施例。具体地,参照方法类型的权利要求描述了一些实施例,而参照装置类型的权利要求描述了其他实施例。然而,本领域技术人员将从上面和下面的描述中了解,除非另有所指,除了属于一种类型的主题的特征的任何组合之外,关于不同主题的特征之间(特别是方法类型的权利要求的特征和装置类型的权利要求的特征之间)的任何组合也被认为是本申请所公开的。
本发明的上述各方面和另外的方面根据下述实施例的示例变得显而易见,并且参照实施例的示例来说明。以下将参照实施例的示例更详细地描述本发明,但是本发明不限于实施例的示例。
附图说明
图1示出包括RFID读取设备和具有物理不可克隆功能体的RFID设备的RFID系统。
图2a示出图示由第一RFID读取设备对RFID设备进行编程、并开启第二RFID读取设备和RFID设备之间的数据连接的示意图。
图2b示出图示通过第二RFID读取设备的密码重置过程、以及开启第三RFID读取设备和RFID设备之间的数据连接的示意图。
图3示出配备有RFID设备、以便允许将产品可靠地表征为真实的产品或伪造的产品的产品。
图4示出图示用于改进从产品制造者开始到零售者结束的产品供应链的产品安全性的方法的流程图。
具体实施方式
附图中的图示是示意性的。注意到,在不同的图中,相似或相同的元件配备有相同的参考符号或仅在第一数字与对应的参考符号不同的参考符号。
图1示出根据本发明实施例的包括RFID读取设备110和RFID设备130的RFID系统100。RFID设备还可以被表示为RFID标签130。
RFID读取设备110包括电子电路115和天线124。天线124用于发射RF辐射信号到RFID设备130并用于接收从RFID设备130反向散射的RF辐射信号。
电子电路115包括所谓的幅移键控(ASK)调制器116。ASK调制器116的操作可通过驱动信号116a触发。驱动信号116a由RFID读取设备110的数据处理器118直接或间接地产生。ASK调制器116经由作为振荡电路120的一部分的信号注入单元121耦合到振荡电路120。振荡电路120还包括电阻器122、电容器123和天线124。
RFID读取设备110和RFID设备130之间的通信开始于通过天线124将来自RFID读取设备110的查询信号发送到RFID设备130。如将在下面更详细描述的,查询信号表示密码,当该密码是正确的时,将开启RFID读取设备110和RFID设备130之间的数据通信。在开启的RFID读取设备110和RFID设备130之间的数据连接的情况下,查询信号触发RFID设备130,以将编码信号发送回RFID读取设备110。该编码信号由天线124拾取。
为了从振荡电路120或者从天线124提取该编码信号,使用带通滤波器125。带通滤波器125经由放大器126连接到解调器127。解调器127提供表示已经从RFID设备130发送到RFID读取设备110的信息的数字输出数据129。
RFID设备130包括RFID芯片135和通信接口145。典型地由适当的外壳保护的RFID芯片135包括RFID电路136。RFID电路136包括物理不可克隆功能体(PUF)、数据存储器138和处理元件139。PUF的功能和可能的设计已经在上面描述。因此,参照上面发明内容部分。
当RFID设备130被RFID读取设备110触发时,RFID电路136提供二进制调制码。该二进制调制码驱动包括天线元件146和电容器147的振荡电路。二极管141和电容器140用于提供RFID电路136和振荡电路之间的适当耦合。
图2a示出图示由第一RFID读取设备210a对RFID设备230进行编程的示意图。该图还图示开启第二RFID读取设备210b和RFID设备230之间的数据连接。第一RFID读取设备210a被分配给供应链的第一实体250a。第二RFID读取设备210b被分配给供应链的第二实体250b。
对RFID设备230的编程包括发送第一查询信号C1到RFID设备230。RFID设备230利用该第一查询信号C1查询其物理不可克隆功能体(PUF)237。PUF 237产生唯一但不可预测的第一响应信号R1。“唯一”意味着对于不同的RFID设备230,产生不同的响应信号。“不可预测”意味着当知道响应信号R1时,找出对应的查询信号C1至少是非常困难的,或甚至是不可能的。因此,响应信号的确切值必须是安全的,但不是秘密的。
响应信号R1存储在RFID设备230的数据存储器238中。
为了认证分配到第二实体250b的第二RFID读取设备210b,将第一查询信号C1以安全的方式从第一RFID读取设备210a传送到第二RFID读取设备210b。为了开启第二RFID读取设备210b和RFID设备230之间的数据连接,第二RFID读取设备210b将第二查询信号C2发送到RFID设备230,并且RFID设备230再次用该第二查询信号C2查询其PUF 237。PUF 237将产生第二响应信号R2。RFID设备230的处理元件239将这两个响应信号R2和R1彼此比较。
如果该比较示出这两个响应信号R2和R1不相同,则将不允许第二RFID读取设备210b与RFID设备230进一步通信。结果,RFID标签230可能附接到的产品可能是伪造的产品。
如果这两个响应信号R2和R1相同,则将开启第二RFID读取设备210b和RFID设备230之间的数据连接。可从数据存储器238中提取RFID设备230的识别码ID。该识别码ID还可能是电子产品码EPC。此外,例如指示提取识别码ID的时间的第一时间戳TS1可被写入数据存储器238。
图2b示出图示通过第二RFID读取设备210b的密码重置过程以及开启第三RFID读取设备210c和RFID设备230之间的数据连接的示意图。第三RFID读取设备210c被分配给供应链的第三实体250c。
密码重置过程包括发送包括适当的第二查询信号C2和第三查询信号C3两者的清除信号。第二查询信号C2与第一查询信号C1相同,使得允许第二RFID读取设备210b和RFID设备之间的进一步通信。响应于第三查询信号C3,PUF 237产生第三响应信号R3,其存储在数据存储器238中并且替代之前存储的第一响应信号R1。
为了认证分配到第三实体250c的第三RFID读取设备210c,将第三查询信号C3以安全方式从第二RFID读取设备210b传送到第三RFID读取设备210c。为了开启第三RFID读取设备210c和RFID设备230之间的数据连接,第三RFID读取设备210c将第四查询信号C4发送到RFID设备230。RFID设备230用该第四查询信号C4查询其PUF 237,并且PUF 237将产生第四响应信号R4。RFID设备230的处理元件239将这两个响应信号R4和R3彼此比较。
如果该比较示出这两个响应信号R4和R3不相同,则将不允许第三RFID读取设备210c与RFID设备230进一步通信。结果,RFID标签230可能附接到的产品可能是伪造的产品。
如果这两个响应信号R4和R3相同,则将开启第三RFID读取设备210c和RFID设备230之间的数据连接。可从数据存储器238中提取RFID设备230的电子产品码EPC或识别码ID。此外,例如指示第三RFID读取设备210c提取识别码ID的时间的第二时间戳TS2可以被写入数据存储器238。
图3示出配备有RFID设备330的产品305。如果RFID设备330对应于上述RFID设备,则使得产品305可以被可靠地表征为真实的产品或伪造的产品。要注意,依赖于产品305的类型,RFID设备330还可以牢固地附接到产品305的包装。例如,当产品305是药品或一批药品时,这样的包装标签是适用的。
图4是图示用于改进从产品制造者450b开始并且以零售者450d结束的产品供应链的产品安全性的方法的流程图。根据上述实施例,产品制造者是药品制造者450b,而零售者是药品零售者或药剂师450d。药品以RFID设备为标签,所述RFID设备对应于上述RFID设备330、230和130。
该方法开始于RFID设备的制造者450a执行的四个步骤S1、S2、S3和S4。从而,对RFID设备进行初始编程。
在步骤S1,制造者450a将唯一的识别码ID写到每个RFID设备Ti。当这些RFID设备Ti已经牢固地附接到产品时,该识别码ID稍后可用于将电子产品码分配到每个RFID设备Ti。
在步骤S2,RFID设备制造者450a发送共同的第一查询信号C1到整批RFID设备Ti。要强调的是,第一查询信号C1对于每个RFID设备Ti是相同的。
在步骤S3,(a)每个RFID设备Ti用共同的第一查询信号C1查询其PUF,(b)每个RFID设备Ti的PUF产生各个第一响应信号R1,以及(c)对于每个RFID设备Ti不同的该各个第一响应信号R1被写到每个RFID设备Ti的对应数据存储器中。
在步骤S4,RFID设备制造者450a将一批已编程的RFID设备Ti和对应的共同的第一查询信号C1发送到药品制造者450b。从而,可电子地执行查询信号C1的发送。然而,必须确保该发送例如通过采用公知的加密过程以秘密的方式执行。
该方法继续到由药品制造者450b执行的进一步的步骤S5、S6、S7、S8、S8a/S8b、S9、S10和S11。从而,将RFID设备附接到药品包装,并且将进一步的信息写到RFID设备的数据存储器。
在步骤S5,RFID设备Ti附接到产品或药品Pi。从而,获得每个RFID设备的识别码ID和以适当方式包装的对应药品之间的相关数据,并将其存储在服务器上。注意到,步骤S5(即RFID标签的附接过程)可替代地在执行后面的步骤S6、S7、S8、S8a/S8b、S9和/或S10之后执行。
在步骤S6,药品制造者发送共同的第二查询信号C2到每个RFID设备Ti。
在步骤S7,每个RFID设备Ti(a)用共同的第二查询信号C2查询其PUF,并且每个RFID设备Ti的PUF(b)产生各个第二响应信号R2。
在步骤S8,对于每个RFID设备Ti不同的该各个第二响应信号R2与第一响应信号R1比较,该第一响应信号R1实际上存储在每个RFID设备Ti的数据存储器中。
如果第二响应信号R2与第一响应信号R1不相等,则该方法继续到步骤S8a,指示已经识别到伪造的RFID设备Ti。在药品制造者450a的RFID读取设备和RFID设备Ti之间不可能有进一步的数据访问。
如果第二响应信号R2与第一响应信号R1相等,则该方法继续到步骤S8b,指示RFID设备Ti是真实的标签。开启每个RFID设备Ti和药品制造者450a的RFID读取设备之间的数据连接。
在步骤S9,提取存储在每个RFID设备Ti的数据存储器中的识别码ID并将时间戳TS1写到每个RFID设备Ti。
在步骤S10,重置对应于各个响应信号的密码,所述各个响应信号存储在每个数据存储器中并且与共同的查询信号关联,以便不再允许RFID设备制造者450a与RFID设备Ti通信。在重置过程中,将清除信号发送到RFID设备Ti。清除信号包括第一查询信号C1和第三查询信号C3。在接受第一查询信号C1并开启数据连接之后,每个RFID设备Ti的PUF基于第三查询信号C3产生第三响应信号R3。第三响应信号R3被写到每个RFID设备的数据存储器中。因此,第三响应信号R3替代之前存储的第一响应信号R1。
在步骤S11,药品制造者450b发送一批产品/药品Pi和对应的第三查询信号C3到药品批发者450c,每个产品/药品Pi具有附接的RFID设备Ti。同样,第三查询信号C3的发送应当以安全方式执行。
该方法继续到由药品批发者450c执行的进一步的步骤S12、S13、S14、S14a/S14b、S15、S16和S17。
在步骤S12,药品批发者450c发送共同的第四查询信号C4到附接到某个药品或药品包装的每个RFID设备Ti。
在步骤S13,(a)每个RFID设备Ti用共同的第四查询信号C4查询其PUF,并且(b)每个RFID设备Ti的PUF产生各个第四响应信号R4。
在步骤S14,对每个RFID设备Ti不同的该各个第四响应信号R4与第三响应信号R3比较,该第三响应信号R3实际上存储在每个RFID设备Ti的数据存储器中。
如果第四响应信号R4与第三响应信号R3不相等,则该方法继续到步骤S14a,指示已经识别到伪造的RFID设备Ti或伪造的产品/药品。批发者450c的RFID读取设备和RFID设备Ti之间不可能有进一步的数据访问。从供应链中移除该伪造的产品Pi。
如果第四响应信号R4与第三响应信号R3相等,则该方法继续到步骤S14b,指示RFID设备Ti或产品/药品是真实的。开启每个RFID设备Ti和批发者450c的RFID读取设备之间的数据连接。
在步骤S15,批发者450c从每个RFID设备Ti提取识别码ID,并且将第二时间戳TS21写到每个RFID设备Ti。
在步骤S16,重置对应于各个响应信号的密码,所述各个响应信号目前存储在每个数据存储器中并且与共同的查询信号相关联,以便不再允许药品制造者450b与RFID设备Ti通信。在重置过程中,将进一步的清除信号发送到RFID设备Ti。该进一步的清除信号包括第三查询信号C3和第五查询信号C5。在接受第三查询信号C3并开启数据连接之后,每个RFID设备Ti的PUF基于第五查询信号C5产生第五响应信号R5。第五响应信号R5被写到每个RFID设备的数据存储器中。因此,第五响应信号R5替代之前存储的第三响应信号R3。
在步骤S17,批发者450c发送一批产品Pi和对应的第五查询信号C5到零售者450d,所述产品Pi的每个附接有RFID设备Ti。同样,第五查询信号C5以安全的方式发送。
该方法继续到由药品零售者或药剂师450d执行的进一步的步骤S18、S19、S20、S20a/S20b和S21。
在步骤S18,药剂师450d发送共同的第六查询信号C6到附接到某个药品或药品包装的每个RFID设备Ti。
在步骤S19,每个RFID设备Ti(a)用共同的第六查询信号C6查询其PUF,并且每个RFID设备Ti的PUF(b)产生各个第六响应信号R6。
在步骤S20,该各个第六响应信号R6与目前存储在每个RFID设备Ti的数据存储器中的第五响应信号R5比较。
如果第六响应信号R6与第五响应信号R5不相等,则该方法继续到步骤S20a,指示已经识别到伪造的RFID设备Ti或伪造的产品/药品。不可能有进一步的数据访问,并且从供应链中移除该伪造的产品Pi。
如果第六响应信号R6与第五响应信号R5相等,则该方法继续到步骤S20b,指示RFID设备Ti或产品/药品是真实的。开启每个RFID设备Ti和药剂师450d的RFID读取设备之间的数据连接。
在步骤S21,药剂师450d将真实的产品/药品Pi之一销售给顾客或病人。为了维护病人的隐私,药剂师450d可以毁掉RFID设备Ti。然而,RFID设备Ti也可以保持运行,使得病人能够进一步使用存储在RFID设备Ti的数据存储器中的信息,以便例如维护关于不同药品的最大自身寿命的自动控制。
应当注意,术语“包括”不排除其他元件或步骤,并且“一”不排除复数。而且可以组合与不同实施例相关联描述的元件。还应当注意,权利要求中的参考符号不应解释为限制权利要求的范围。
为了概况本发明的上述实施例,可以陈述:
描述了用于控制往来RFID设备230的数据访问的方法。因此,在RFID设备230与RFID读取设备210b通信之前,RFID读取设备210将向RFID设备230认证自身。RFID设备230配备有物理不可克隆功能体237,其适于在接收到预定义的查询信号C1、C2后产生唯一但不可预测的响应信号R1、R2。在RFID设备的登记期间,唯一与第一查询信号C1相关联的第一响应信号R1被存储在RFID设备230的存储器238中。第一查询信号C1表示用于开启与RFID设备230的进一步数据通信的密码。当RFID读取设备用第二查询信号C2询问RFID设备230时,该RFID设备230将对应的响应信号R2与在登记期间存储的响应R1进行比较,并且仅在存在匹配时用其识别符ID进行响应。
参考符号列表:
100 RFID系统
110 RFID读取设备
115 电子电路
116 幅移键控调制器/ASK调制器
116a 驱动信号
118 数据处理器
120 振荡电路
121 信号注入单元
122 电阻器
123 电容器
124 天线
125 带通滤波器
126 放大器
127 解调器
129 输出数据
130 RFID设备/RFID标签
135 RFID芯片
136 RFID电路
137 物理不可克隆功能体(PUF)
138 数据存储器
139 处理元件
140 电容器
141 二极管
145 通信接口
146 天线元件
147 电容器
210a 第一RFID读取设备
210b 第二RFID读取设备
210c 第三RFID读取设备
230 RFID设备/RFID标签
237 物理不可克隆功能体(PUF)
238 数据存储器
239 处理元件
250a 第一实体/第一方
250b 第二实体/第二方
250c 第三实体/第三方
C1 第一查询信号
R1 第一响应信号
C2 第二查询信号
R2 第二响应信号
C3 第三查询信号
R3 第三响应信号
C4 第四查询信号
R4 第四响应信号
ID 识别码
EPC 电子产品码
TS1 第一时间戳
TS2 第二时间戳
305 产品/药品包装
330 RFID设备/RFID标签
450a 第一实体/RFID设备制造者
450b 第二实体/药品制造者
450c 第三实体/药品批发者
450d 第四实体/药品零售者/药剂师
S1将 唯一的识别码ID写到每个RFID设备Ti
S2 发送共同的第一查询信号C1到每个RFID设备Ti
S3每个RFID设备Ti:用C1查询PUF、产生各个第一响应信号R1、将R1写到数据存储器中
S4发送一批已编程的RFID设备Ti和对应的C1到药品制造者
S5将RFID设备Ti附接到产品Pi
S6发送共同的第二查询信号C2到每个附接的RFID设备TiS7每个RFID设备Ti:用C2查询PUF、产生各个第二响应信号R2S8每个RFID设备Ti:将R2与R1比较
S8a如果R2不等于R1:识别伪造的RFID设备Ti,没有进一步的数据访问!
S8b:如果R2等于R1:指示RFID设备Ti是真实的标签,开启每个RFID设备Ti和RFID读取设备之间的数据连接
S9从每个RFID设备Ti提取ID、将时间戳TS1写到每个RFID设备Ti
S10通过发送包括第一查询信号C1和第三查询信号C3的清除信号重置密码,产生各个第三响应信号R3、将R3写到数据存储器中
S11将一批具有附接的RFID设备Ti的产品Pi和对应的C3发送到批发者
S12发送共同的第四查询信号C4到每个附接的RFID设备TiS13每个RFID设备Ti:用C4查询PUF、产生各个第四响应信号R4
S14每个RFID设备Ti:将R4与R3比较
S14a如果R4不等于R3:识别伪造的产品Pi,从供应链移除产品Pi
S14b:如果R4等于R3:指示产品Pi是真实的产品,开启每个RFID设备Ti和RFID读取设备之间的数据连接
S15从每个RFID设备Ti提取ID、将时间戳TS2写到每个RFID设备Ti
S16通过发送包括第三查询信号C3和第五查询信号C5的清除信号重置密码,产生各个第五响应信号R5、将R5写到数据存储器中
S17将一批具有附接的RFID设备Ti的产品Pi和对应的C5发送到零售者
S18发送共同的第六查询信号C6到每个附接的RFID设备Ti
S19每个RFID设备Ti:用C6查询PUF、产生各个第六响应信号R6
S20每个RFID设备Ti:将R6与R5比较
S20a如果R6不等于R5:识别伪造的产品Pi,从供应链移除产品Pi
S20b:如果R6等于R5:指示产品Pi是真实的产品
S21将产品Ti销售给顾客,毁掉RFID设备Ti