一种读写器认证以及标签认证密码分发方法与装置
技术领域:
本发明属于射频标签(Radio Frequency Identification,简称RFID)技术领域以及防伪技术领域。具体的说涉及将射频标签(RFID)技术应用于物品防伪系统中,对于防伪射频标签读写器的认证以及对标签认证密码的分发方法。
背景技术:
射频识别技术是20世纪90年代开始兴起的一种非接触式的自动识别技术。它通过射频信号自动识别目标对象并获取相关数据,识别工作无须人工干预,可工作于各种恶劣环境。RFID技术可识别高速运动物体并可同时识别多个标签,操作快捷方便。
RFID是一种简单的无线系统,利用无线射频方式在阅读器和射频卡之间进行非接触双向传输数据,已达到目标识别和数据交换的目的。最基本的RF系统由三部分组成:1、标签(Tag,即射频卡):由耦合元件及芯片组成,标签含有内置天线,用于和射频天线间进行通信。2、阅读器:读取(在读写卡中还可以写入)标签信息的设备。3、天线:在标签和读取器间传递射频信号。有的系统还通过阅读器的RS232或者RS485接口与外部计算机(上位机主系统)连接,进行数据交换。
RFID技术适用于以下领域:物流和供应管理、生产制造和装配、航空行李处理、邮件、快运包裹处理、文档追踪、图书馆管理、动物身份标识、运动计时、门禁控制、电子门票、道路自动收费等。
近些年来,RFID产品也逐渐应用于酒类,珠宝,等贵重物品的防伪中。其优势已经引起了广泛的关注:非接触、多物体、移动识别;企业加入防伪功能简单易行;防伪过程几乎不用人工干预;防伪过程中标签数据不可见,无机械磨损,防污损;支持数据的双向读写;与信息加密技术结合,使得标签不易伪造;易于与其他防伪技术结合使用进行防伪。
在“刘立冬,张晓凌,耿志刚,RFID在产品防伪应用中的关键技术研究,电脑应用技术,2008总第72期”一文中,介绍了导出密钥认证的方法以及基于PKI的RFID中间件认证的方法。
实现射频标签和读写器的相互认证,目前用的比较多的是导出密钥的认证,每个射频标签(数据载体)使用不同的密钥来保护,并在射频标签生产过程中读出其序列号,使用加密算法和主控密钥计算出密钥K,从而完成了射频标签的初始化过程。这样每个射频标签都拥有了一个与自己识别号和主控密钥相关的密钥。
一个典型的RFID防伪认证过程如下所示:
(参见附图2射频标签和读写器相互认证导出密钥方式):
1.读写器发送查洵ID识别号口令;
2.射频标签返回ID识别号,和一个随机数A,读写器根据ID识别号与主控密钥算出相互认证的密钥K,读写器产生一个随机数B,使用共同的密钥K和共同的密码算法E算出一个加密的数据块,包含两个随机数,发给射频标签;
3.射频标签解码,取得随机数A’与A比较,若一致则认为读写器合法,射频标签对B加密,发送给读写器;
4.读写器解码得到B’,与B比较,若一致则认为射频标签合法;
5.双方进行进一步的通信。
这种设计的主要缺点是:
1)各企业必须采用专用的读写器;
2)由于不能控制掌握读写器的人是谁,因此密钥一旦泄密,射频标签就很容易被伪造;
3)普通用户必须到有专用读写器的地方才能查看产品的信息。
因此上文提到一种用PKI方法对标签进行双向认证的方案。射频标签与读写器的相互认证由RFID中间件实现;合法的产品发送方(是指生产厂家和数据载体中指定的接收方)通过指定或修改数据载体中的接收方公钥MPK来指定下一个接收方;只有合法的接收方通过自己的中间件才可以读取标签中的信息;接收方通过认证后,就可以修改数据标签的公钥MPK,成为了合法的产品发送方。
但该方案的缺点在于需要对RFID标签进行非对称密钥算法操作。对于目前无源RFID标签而言,芯片中实现非对称密钥算法(RSA,ECC等)的难度很大。因此该方案无法在无源RFID标签中实现商用。
在专利申请:傅予力刘炜谢胜利,RFID标签及其阅读器、读取系统及安全认证方法。申请号200810027003.9中,公开了一种基于非对称秘钥算法用于标签合法性认证的方法。同样,该方法只用于针对有源射频标签RFID产品,无法用于无源RFID标签认证中。
在专利申请:张华余志良,存储式电子标签安全应用及防伪鉴别方法,申请号:200310106139.6中,公开了类似上文所述的导出密钥的认证方法。缺点同样是不能控制掌握读写器的人是谁,因此密钥一旦泄密,射频标签就很容易被伪造。
发明内容:
为了克服上述防伪标签认证时的各类缺点,特别是密钥泄密的缺点,本发明公布了一种射频标签防伪系统中的对读写器进行认证的方法,以及对标签认证密码的分发方法。
读写器与防伪认证中心采用证书方式进行双向认证;将读写器分发与证书及私钥的分发分离开来。
在射频标签读写器中放置PKI公钥证书以及不可导出的私钥。放置公钥证书和不可导出私钥的方法可以通过在射频标签读写器上放置USB key形式实现。也可以在射频标签读写器中插入接触式智能卡的形式实现。
其中USB Key是指一种USB接口的硬件设备。它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的公钥算法实现对用户身份的认证。由于用户私钥保存在密码锁中,理论上使用任何方式都无法读取,因此保证了用户认证的安全性。
其中接触式智能卡是指那些内部包含微处理器单元(CPU)、存储单元(RAM、ROM和EEPROM)、和输入/输出接口单元的集成电路卡。其中,RAM用于存放运算过程中的中间数据,ROM中固化有片内操作系统COS(Card OperatingSystem),而EEPROM用于存放持卡人的个人信息以及发行单位的有关信息。CPU管理信息的加/解密和传输,严格防范非法访问卡内信息。
射频标签读写器中带有通信接口,可以实现与互联网的连接。通信接口的形式可以采用GPRS数据模块形式,3G数据模块形式,WLAN网卡模块形式,也可以采用USB接口形式连接到一台可与互联网连接的PC设备的形式。
第一步:读写器通过通信链路与防伪认证中心采用证书方式进行双向认证。
第二步:读写器读取防伪射频标签中标识待认证的防伪物品的ID号,并将该ID号传递给防伪认证中心。
第三步:防伪认证中心根据待认证防伪物品的ID号,在其数据库中查找到对应的标签认证密钥。
第四步:防伪认证中心向读写器传递防伪射频标签认证密钥。传递认证密钥的方法可以有两种,即将防伪标签的认证密钥作为明文,通过非对称加密方法传递。也可以通过对称加密的方法传递。一个典型的非对称加密的明文传递方式如附图3所示。
第五步:射频识别读写器获得防伪标签的认证密钥后,按附图2所示的认证流程对防伪物品进行认证。同时将认证结果显示在相应的显示设备上。
采用上述采用USB key以及接触式智能卡形式的机卡分离的读写器的好处是,可以将读写器分发与证书及私钥分发分离开来。并且可以批量制作廉价的防伪射频标签读写器,批量分发。同时只要使用一个防伪认证读写器,可以同时实现对多个防伪产品的认证。
附图说明:
图1是防伪认证系统三大部分的示意图
图2是通常射频识别阅读器对标签进行防伪认证的过程
图3是防伪认证中心与射频识别读写器之间关于标签识别用密钥传递过程
图4是实现防伪认证功能的射频识别读写器典型结构图
具体实施方式:
下面参照附图,给出上述专利的一种简易的具体实现方式。
射频标签读写器除了有正常的RFID标签读写功能外,还留有USB Host接口,以及与互联网的通信接口。
防伪认证中心将读卡器对应的PKI公钥证书以及私钥安装于USB Key中,分发给相应的读写器用户。
用户在对射频标签进行认证前,将互联网通信接口打开。读卡器与PKI CA中心进行证书双向认证。
认证通过后读写器读取射频防伪标签的物品标识信息,将物品标识信息通过通信链路传递给防伪认证中心。
防伪认证中心得到防伪物品标识信息后,在其数据库中查找对应的认证密钥。
防伪认证中心根据防伪读写器证书中的公钥将认证密钥作为明文加密。通过通信链路传递给读写器。
读写器将该密文导入USB key中。
USB key用其保存得私钥将密文解密,即得到认证密钥。
读写器再根据附图2所示导出密钥完成对防伪标签的认证。
这里描述的模块以及单元既可以采用硬件实现,也可以采用软件实现,或软硬件的组合方式来实现。本发明并不局限于上述实施例,本领域内普通技术人员应理解的是可在本发明范围内做各种形式和细节上的改变。