專利名稱:一種安全射頻識(shí)別系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種射頻識(shí)別系統(tǒng)�����,特別是一種安全射頻識(shí)別系統(tǒng)����。
背景技術(shù):
射頻識(shí)別(RadioFrequency Identif ication,簡(jiǎn)稱 “RFID”)系統(tǒng)是一種通過射 頻信號(hào)來自動(dòng)識(shí)別目標(biāo)對(duì)象以獲取相關(guān)數(shù)據(jù)����、并對(duì)數(shù)據(jù)進(jìn)行處理的非接觸式的自動(dòng)識(shí)別系 統(tǒng)。射頻識(shí)別系統(tǒng)包括標(biāo)簽����、讀寫器和后臺(tái)應(yīng)用系統(tǒng)三部分。其中標(biāo)簽包括天線和芯 片����,每個(gè)芯片都含有唯一的識(shí)別碼�����,保持有約定的電子數(shù)據(jù)��;讀寫器包括射頻通道模塊���、 控制處理模塊和天線���,是根據(jù)需要并使用相應(yīng)協(xié)議進(jìn)行讀取和寫入標(biāo)簽的信息的設(shè)備�����,它 通過網(wǎng)絡(luò)系統(tǒng)進(jìn)行通信���,從而完成對(duì)標(biāo)簽信息的獲取、解碼��、識(shí)別和數(shù)據(jù)管理����;后臺(tái)應(yīng)用系 統(tǒng)包括數(shù)據(jù)通信單元、計(jì)算單元���、存儲(chǔ)單元和控制單元��,后臺(tái)應(yīng)用系統(tǒng)是運(yùn)行于硬件平臺(tái) 的數(shù)據(jù)庫(kù)系統(tǒng)����,具有強(qiáng)大的計(jì)算和存儲(chǔ)能力,主要完成對(duì)數(shù)據(jù)信息的存儲(chǔ)和管理�,并可以對(duì) 標(biāo)簽進(jìn)行讀寫的控制。射頻識(shí)別系統(tǒng)中的安全�,主要是針對(duì)射頻識(shí)別系統(tǒng)中信息傳輸?shù)陌踩碗[私存儲(chǔ) 的防護(hù)兩方面。現(xiàn)有的射頻識(shí)別系統(tǒng)中�,由于標(biāo)簽、讀寫器和后臺(tái)應(yīng)用系統(tǒng)之間缺少有效的 雙向的安全認(rèn)證手段�����,使得攻擊方很容易通過假冒的手段獲取目標(biāo)對(duì)象的數(shù)據(jù)信息��。目前��, 國(guó)內(nèi)外提出了多種安全解決方案�,主要是通過設(shè)計(jì)安全的射頻識(shí)別身份認(rèn)證協(xié)議,保證射 頻識(shí)別各個(gè)通信實(shí)體身份的可信���,來應(yīng)對(duì)假冒攻擊的威脅����。但是,這些認(rèn)證協(xié)議存在以下不 足之處不具備標(biāo)簽�、讀寫器和后臺(tái)應(yīng)用系統(tǒng)三者之間相互認(rèn)證的功能;不能抵抗有效的 攻擊或者只能抵抗部分攻擊�����;協(xié)議執(zhí)行成本太高��,不利于應(yīng)用生產(chǎn)����。目前�����,尚不存在一個(gè)安 全�、高效、實(shí)用的低成本射頻識(shí)別安全認(rèn)證協(xié)議���,并且�,這些安全解決方案中,只提供了單層 次的安全防護(hù)措施��,缺少對(duì)標(biāo)簽和讀寫器中隱私信息的安全性防護(hù)措施���,不能同時(shí)保證隱 私信息在傳遞過程中的真實(shí)性����、機(jī)密性和完整性���。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種安全射頻識(shí)別系統(tǒng)�,解決目前射頻識(shí)別系統(tǒng)身份假 冒�、信息欺騙和數(shù)據(jù)篡改的問題。一種安全射頻識(shí)別系統(tǒng)��,包括天線A��、芯片�、天線B、射頻通道模塊���、控制處理模 塊�����、數(shù)據(jù)通信單元�����、存儲(chǔ)單元��、計(jì)算單元和控制單元�����,還包括驗(yàn)證單元A���、完整性存儲(chǔ)單元�、 讀寫單元���、驗(yàn)證單元B����、身份認(rèn)證單元和完整性驗(yàn)證單元��;其中��,天線A和芯片和驗(yàn)證單元A 組成標(biāo)簽�����;天線B�����、射頻通道模塊�����、控制處理模塊��、完整性存儲(chǔ)單元�、讀寫單元和驗(yàn)證單元B 組成讀寫器;數(shù)據(jù)通信單元��、存儲(chǔ)單元��、計(jì)算單元�����、控制單元���、身份認(rèn)證單元和完整性驗(yàn)證單 元組成后臺(tái)應(yīng)用系統(tǒng)�。標(biāo)簽中的天線A分別與芯片和驗(yàn)證單元A雙向連接,芯片與驗(yàn)證單元A雙向連接���; 讀寫器中的天線B�、射頻通道模塊和控制處理模塊順次串聯(lián)��,控制處理模塊分別與讀寫單元�����、驗(yàn)證單元B和完整性存儲(chǔ)單元連接����,驗(yàn)證單元B和完整性存儲(chǔ)單元分別與數(shù)據(jù)通信單元 連接;后臺(tái)應(yīng)用系統(tǒng)中的數(shù)據(jù)通信單元分別與身份認(rèn)證單元和完整性驗(yàn)證單元連接��,身份 認(rèn)證單元和完整性驗(yàn)證單元分別與控制單元連接�,控制單元分別與計(jì)算單元和存儲(chǔ)單元連 接,計(jì)算單元與存儲(chǔ)單元雙向連接��。射頻識(shí)別系統(tǒng)進(jìn)行身份認(rèn)證時(shí)��,驗(yàn)證單元B經(jīng)數(shù)據(jù)通信單元發(fā)送認(rèn)證請(qǐng)求和隨機(jī) 數(shù)Rr給身份認(rèn)證單元�;身份認(rèn)證單元收到Rr后�����,計(jì)算Mr = G (Rr+1),并生成隨機(jī)數(shù)禮���,通過 數(shù)據(jù)通信單元返回認(rèn)證信息Mr和后臺(tái)應(yīng)用系統(tǒng)對(duì)讀寫器與標(biāo)簽的認(rèn)證請(qǐng)求和隨機(jī)數(shù)隊(duì)給 驗(yàn)證單元B �����;驗(yàn)證單元B收到Mr和禮后�����,計(jì)算G (Rr+1)���,驗(yàn)證Mr = G (Rr+1)是否成立,完成 對(duì)后臺(tái)應(yīng)用系統(tǒng)的認(rèn)證�。認(rèn)證通過后,驗(yàn)證單元B生成隨機(jī)數(shù)R2����,把代表讀寫器的認(rèn)證請(qǐng)求 與隨機(jī)數(shù)&和后臺(tái)應(yīng)用系統(tǒng)對(duì)標(biāo)簽的認(rèn)證請(qǐng)求與隨機(jī)數(shù)禮信息的電流信號(hào),依次經(jīng)控制處 理模塊和射頻通道模塊�����,發(fā)送給天線B,天線B將電流信號(hào)轉(zhuǎn)化為電磁波發(fā)送給天線A�,天線 A再將接收到的電磁波轉(zhuǎn)換成電流信號(hào)發(fā)送給驗(yàn)證單元A ;驗(yàn)證單元A收到請(qǐng)求與隨機(jī)數(shù)隊(duì) 和R2后�����,計(jì)算得到Mi = F (隊(duì)+1)和M2 = F (R2+l)��,同時(shí)生成隨機(jī)數(shù)R3�,把代表認(rèn)證信息M”M2 和標(biāo)簽對(duì)讀寫器的認(rèn)證請(qǐng)求與隨機(jī)數(shù)R3的電流信號(hào)發(fā)送給天線A,天線A將電流信號(hào)轉(zhuǎn)化 為電磁波發(fā)送給天線B���,天線B再將接收到的電磁波轉(zhuǎn)換成電流信號(hào)�,并依次經(jīng)射頻通道模 塊和控制處理模塊�,信號(hào)進(jìn)入驗(yàn)證單元B ;驗(yàn)證單元B收到標(biāo)簽的認(rèn)證信息MpM2和R3后��,計(jì) 算得到M/ = G⑷����、F (R2+l)和M3 = F (R3+l),驗(yàn)證M2 = F (R2+l)是否成立����,完成對(duì)標(biāo)簽的 身份驗(yàn)證�����。認(rèn)證通過后,驗(yàn)證單元B把代表認(rèn)證信息禮的電流信號(hào)����,依次經(jīng)控制處理模塊和 射頻通道模塊,發(fā)送給天線B�����,天線B將電流信號(hào)轉(zhuǎn)化為電磁波發(fā)送給天線A��,天線A再將接 收到的電磁波轉(zhuǎn)換成電流信號(hào)回復(fù)給驗(yàn)證單元A�,隨后驗(yàn)證單元B把自己的認(rèn)證信息M/ 和標(biāo)簽的認(rèn)證信息禮經(jīng)數(shù)據(jù)通信單元一起轉(zhuǎn)發(fā)給身份認(rèn)證單元;身份認(rèn)證單元收到認(rèn)證信 息虬和虬‘后�,計(jì)算F(Ri+l)和G(F(Ri+l)),分別驗(yàn)證虬=F(Ri+l)和M/ = GiF^+l)) 是否成立�����,完成對(duì)標(biāo)簽和讀寫器的認(rèn)證����;驗(yàn)證單元A在收到M3后���,計(jì)算得到F (R3+l),驗(yàn)證M3 =F(R3+1)是否成立����,完成讀寫器的身份認(rèn)證;身份認(rèn)證流程結(jié)束�。身份認(rèn)證過程中,Mr為后臺(tái)應(yīng)用系統(tǒng)回應(yīng)給讀寫器的認(rèn)證信息�����,Mi為標(biāo)簽回應(yīng)后 臺(tái)應(yīng)用系統(tǒng)的認(rèn)證信息���,M/為讀寫器回應(yīng)后臺(tái)應(yīng)用系統(tǒng)的認(rèn)證信息����,M2為標(biāo)簽回應(yīng)讀寫器 的認(rèn)證信息��,M3為指讀寫器回應(yīng)標(biāo)簽的認(rèn)證信息����。完整性驗(yàn)證過程中標(biāo)簽中的信息除標(biāo)示字段外,均以密文形式存儲(chǔ),后臺(tái)應(yīng)用系 統(tǒng)存儲(chǔ)標(biāo)簽的加密密鑰Kt與校驗(yàn)和生成函數(shù)�����,后臺(tái)應(yīng)用系統(tǒng)和讀寫器共享一個(gè)密鑰Kr��。完 整性驗(yàn)證由后臺(tái)應(yīng)用系統(tǒng)發(fā)起���,后臺(tái)應(yīng)用系統(tǒng)的完整性驗(yàn)證單元,經(jīng)由數(shù)據(jù)通信單元發(fā)送 信息完整性驗(yàn)證命令R給讀寫器的完整性存儲(chǔ)單元�����;收到命令后��,完整性存儲(chǔ)單元把代表R 的電流信號(hào)�����,依次經(jīng)控制處理模塊和射頻通道模塊�����,發(fā)送給天線B�����,天線B將電流信號(hào)轉(zhuǎn)化 為電磁波發(fā)送給天線A,天線A再將接收到的電磁波轉(zhuǎn)換成電流信號(hào)����,轉(zhuǎn)發(fā)給芯片;芯片收 到R后�����,把代表存儲(chǔ)信息M的電流信號(hào)發(fā)送給天線A�����,天線A將電流信號(hào)轉(zhuǎn)化為電磁波發(fā)送 給天線B��,天線B再將接收到的電磁波轉(zhuǎn)換成電流信號(hào)�,依次經(jīng)射頻通道模塊和控制處理模 塊進(jìn)入完整性存儲(chǔ)單元;完整性存儲(chǔ)單元收到M,收集自身的完整性信息用密鑰Kr加密生 成信息M'后�,把M和M'經(jīng)數(shù)據(jù)通信單元轉(zhuǎn)發(fā)給完整性驗(yàn)證單元;完整性驗(yàn)證單元收到M 和M'后��,用Kr解密M'�����,得到讀寫器的完整性狀態(tài)信息,并與系統(tǒng)初始化時(shí)讀寫器的完整 性信息進(jìn)行對(duì)比����,完成對(duì)讀寫器的完整性驗(yàn)證,由標(biāo)示字段得到密鑰Kt�,用Kt解密M,得到標(biāo)簽的完整性信息��,驗(yàn)證標(biāo)簽ID的合法性��,并對(duì)前四項(xiàng)做校驗(yàn)和運(yùn)算�����,比對(duì)校驗(yàn)和�,完成對(duì) 標(biāo)簽的完整性驗(yàn)證����;完整性驗(yàn)證流程結(jié)束。完整性驗(yàn)證過程中����,R指后臺(tái)應(yīng)用系統(tǒng)對(duì)標(biāo)簽和讀寫器的完整性驗(yàn)證請(qǐng)求,M為標(biāo) 簽的完整性信息��,M'為讀寫器的完整性信息。本發(fā)明提供兩個(gè)層次的安全防護(hù)一是通過設(shè)計(jì)各個(gè)通信實(shí)體之間安全的雙向身 份認(rèn)證協(xié)議���,建立相互信任的射頻識(shí)別網(wǎng)絡(luò)連接�,保證信息在傳輸過程中的真實(shí)性�����;二是建 立連接之后����,由后臺(tái)應(yīng)用系統(tǒng)完成對(duì)標(biāo)簽和讀寫器信息完整性的安全驗(yàn)證,且在此過程中�����, 信息都是以密文形式傳輸�,保證傳輸信息的完整性和機(jī)密性。
圖1 一種安全射頻識(shí)別系統(tǒng)的組成結(jié)構(gòu)示意圖����。1.標(biāo)簽 2.讀寫器 3.后臺(tái)應(yīng)用系統(tǒng) 4.天線A 5.芯片 6.驗(yàn)證單元 A 7.天線B8.射頻通道模塊 9.控制處理模塊 10.完整性存儲(chǔ)單元 11.讀寫單元 12.驗(yàn)證單元B13.數(shù)據(jù)通信單元14.存儲(chǔ)單元15.計(jì)算單元16.控制單元17.身份 認(rèn)證單元18.完整性驗(yàn)證單元
具體實(shí)施例方式一種安全射頻識(shí)別系統(tǒng),包括天線A4�����、芯片5、天線B7�����、射頻通道模塊8��、控制處理 模塊9�����、數(shù)據(jù)通信單元13�����、存儲(chǔ)單元14���、計(jì)算單元15和控制單元16,還包括驗(yàn)證單元A6�、 完整性存儲(chǔ)單元10、讀寫單元11�����、驗(yàn)證單元B12�����、身份認(rèn)證單元17和完整性驗(yàn)證單元18 ;其 中��,天線A4和芯片5和驗(yàn)證單元A6組成標(biāo)簽1 ���;天線B7��、射頻通道模塊8��、控制處理模塊9����、 完整性存儲(chǔ)單元10�、讀寫單元11和驗(yàn)證單元B12組成讀寫器2 ;數(shù)據(jù)通信單元13�、存儲(chǔ)單 元14、計(jì)算單元15�����、控制單元16���、身份認(rèn)證單元17和完整性驗(yàn)證單元18組成后臺(tái)應(yīng)用系統(tǒng) 3���。標(biāo)簽1中的天線A4分別與芯片5和驗(yàn)證單元A6雙向連接��,芯片5與驗(yàn)證單元A6 雙向連接�;讀寫器2中的天線B7�����、射頻通道模塊8和控制處理模塊9順次串聯(lián)�,控制處理模 塊9分別與讀寫單元11、驗(yàn)證單元B12和完整性存儲(chǔ)單元10連接���,驗(yàn)證單元B12和完整性 存儲(chǔ)單元10分別與數(shù)據(jù)通信單元13連接�����;后臺(tái)應(yīng)用系統(tǒng)3中的數(shù)據(jù)通信單元13分別與身 份認(rèn)證單元17和完整性驗(yàn)證單元18連接���,身份認(rèn)證單元17和完整性驗(yàn)證單元18分別與 控制單元連接16��,控制單元16分別與計(jì)算單元15和存儲(chǔ)單元14連接��,計(jì)算單元15與存儲(chǔ) 單元14雙向連接���。標(biāo)簽1的芯片5存儲(chǔ)的內(nèi)容有標(biāo)示字段�����、標(biāo)簽ID�、產(chǎn)品信息、保留字段與校驗(yàn)和�。 標(biāo)示字段用于標(biāo)示標(biāo)簽1所使用的密鑰對(duì)應(yīng)的編碼信息;標(biāo)簽ID用于標(biāo)示標(biāo)簽1的身份��; 產(chǎn)品信息用于標(biāo)示物品的信息����;保留字段用于存放標(biāo)簽的安全標(biāo)示信息,安全標(biāo)示信息包 括標(biāo)簽1的安全等級(jí)����;校驗(yàn)和字段存放當(dāng)前標(biāo)簽1信息的CRC碼�����。讀寫器2中的完整性存 儲(chǔ)單元10��,實(shí)時(shí)地完成對(duì)讀寫器2的完整性度量���,在對(duì)讀寫器2完整性狀態(tài)進(jìn)行驗(yàn)證時(shí)�,把 度量值發(fā)送給后臺(tái)應(yīng)用系統(tǒng)3中的完整性驗(yàn)證單元18����,完成對(duì)讀寫器2的完整性的驗(yàn)證��。系統(tǒng)初始化時(shí)�,后臺(tái)應(yīng)用系統(tǒng)3�、讀寫器2和標(biāo)簽1各有一個(gè)偽隨機(jī)數(shù)生成函數(shù), 分別存儲(chǔ)于后臺(tái)應(yīng)用系統(tǒng)3的身份認(rèn)證單元17��,讀寫器2的驗(yàn)證單元B12和標(biāo)簽1的驗(yàn)證
6單元A6中���,后臺(tái)應(yīng)用系統(tǒng)3��、讀寫器2和標(biāo)簽1共同保存有單向運(yùn)算函數(shù)F����,后臺(tái)應(yīng)用系統(tǒng) 3和讀寫器2共同保存有單向運(yùn)算函數(shù)G。射頻識(shí)別系統(tǒng)進(jìn)行身份認(rèn)證時(shí)�����,驗(yàn)證單元B12經(jīng)數(shù)據(jù)通信單元13發(fā)送認(rèn)證請(qǐng)求和 隨機(jī)數(shù)Rr給身份認(rèn)證單元17 ���;身份認(rèn)證單元17收到Rr后���,計(jì)算Mr = G (Rr+1)����,并生成隨 機(jī)數(shù)禮����,通過數(shù)據(jù)通信單元13返回認(rèn)證信息Mr和后臺(tái)應(yīng)用系統(tǒng)3對(duì)讀寫器2與標(biāo)簽1的 認(rèn)證請(qǐng)求和隨機(jī)數(shù)禮給驗(yàn)證單元B12 ���;驗(yàn)證單元B12收到Mr和禮后,計(jì)算G (Rr+1)��,驗(yàn)證 Mr = G(Rr+l)成立時(shí)�,完成對(duì)后臺(tái)應(yīng)用系統(tǒng)3的認(rèn)證��。認(rèn)證通過后�,驗(yàn)證單元B12生成隨 機(jī)數(shù)R2,把代表讀寫器2的認(rèn)證請(qǐng)求與隨機(jī)數(shù)R2和后臺(tái)應(yīng)用系統(tǒng)3對(duì)標(biāo)簽1的認(rèn)證請(qǐng)求與 隨機(jī)數(shù)禮信息的電流信號(hào)�,依次經(jīng)控制處理模塊9和射頻通道模塊8,發(fā)送給天線B7����,天線 B7將電流信號(hào)轉(zhuǎn)化為電磁波發(fā)送給天線A4,天線A4再將接收到的電磁波轉(zhuǎn)換成電流信號(hào) 發(fā)送給驗(yàn)證單元A6 ���;驗(yàn)證單元A6收到請(qǐng)求與隨機(jī)數(shù)札和R2后�����,計(jì)算得到Mi = F (R^l)和 M2 = F(R2+1)�����,同時(shí)生成隨機(jī)數(shù)R3�����,把代表認(rèn)證信息Mi�、M2和標(biāo)簽1對(duì)讀寫器2的認(rèn)證請(qǐng)求 與隨機(jī)數(shù)R3的電流信號(hào)發(fā)送給天線A4,天線A4將電流信號(hào)轉(zhuǎn)化為電磁波發(fā)送給天線B7���, 天線B7再將接收到的電磁波轉(zhuǎn)換成電流信號(hào)�,并依次經(jīng)射頻通道模塊8和控制處理模塊9 把信號(hào)發(fā)回給驗(yàn)證單元B12 ���;驗(yàn)證單元B12收到標(biāo)簽1的認(rèn)證信息MpM2和R3后�,計(jì)算得到 M/ = G (M:)��、F (R2+l)和M3 = F (R3+l)����,驗(yàn)證M2 = F (R2+l)是否成立,完成對(duì)標(biāo)簽1的身份 驗(yàn)證��,認(rèn)證通過后�,驗(yàn)證單元B12把代表認(rèn)證信息M3的電流信號(hào),依次經(jīng)控制處理模塊9和 射頻通道模塊8���,發(fā)送給天線B7���,天線B7將電流信號(hào)轉(zhuǎn)化為電磁波發(fā)送給天線A4���,天線A4 再將接收到的電磁波轉(zhuǎn)換成電流信號(hào)回復(fù)給驗(yàn)證單元A6,隨后驗(yàn)證單元B6把自己的認(rèn)證 信息M/和標(biāo)簽1的認(rèn)證信息Mi經(jīng)數(shù)據(jù)通信單元13 —起轉(zhuǎn)發(fā)給身份認(rèn)證單元17 ���;身份認(rèn) 證單元17收到認(rèn)證信息虬和M/后,計(jì)算F(Ri+l)�、G(F(Ri+l)),分別驗(yàn)證虬=FO^+1)和 M/ =G(F(Ri+l))是否成立���,完成對(duì)標(biāo)簽1和讀寫器2的認(rèn)證�;驗(yàn)證單元A6在收到M3后��, 計(jì)算得到F(R3+1)��,驗(yàn)證M3 = F(R3+1)是否成立�,完成讀寫器2的身份認(rèn)證;身份認(rèn)證流程結(jié) 束�。身份認(rèn)證過程中,Mr為后臺(tái)應(yīng)用系統(tǒng)3回應(yīng)給讀寫器2的認(rèn)證信息����,Mi為標(biāo)簽1回應(yīng) 后臺(tái)應(yīng)用系統(tǒng)3的認(rèn)證信息��,M/為讀寫器2回應(yīng)后臺(tái)應(yīng)用系統(tǒng)3的認(rèn)證信息���,M2為標(biāo)簽1 回應(yīng)讀寫器2的認(rèn)證信息,M3為指讀寫器2回應(yīng)標(biāo)簽1的認(rèn)證信息���。完整性驗(yàn)證過程中標(biāo)簽1中的信息除標(biāo)示字段外��,均以密文形式存儲(chǔ)���,后臺(tái)應(yīng)用 系統(tǒng)3存儲(chǔ)標(biāo)簽1的加密密鑰Kt與校驗(yàn)和生成函數(shù),后臺(tái)應(yīng)用系統(tǒng)3和讀寫器2共享一個(gè) 密鑰Kr�。完整性驗(yàn)證由后臺(tái)應(yīng)用系統(tǒng)3發(fā)起,后臺(tái)應(yīng)用系統(tǒng)3的完整性驗(yàn)證單元18���,經(jīng)由 數(shù)據(jù)通信單元13發(fā)送信息完整性驗(yàn)證命令R給讀寫器2的完整性存儲(chǔ)單元10 ���;收到命令 后,完整性存儲(chǔ)單元10把代表R的電流信號(hào)�����,依次經(jīng)控制處理模塊9和射頻通道模塊8,發(fā) 送給天線B7�,天線B7將電流信號(hào)轉(zhuǎn)化為電磁波發(fā)送給天線A4,天線A4再將接收到的電磁 波轉(zhuǎn)換成電流信號(hào)�,轉(zhuǎn)發(fā)給芯片5 ;芯片5收到R后���,把代表存儲(chǔ)信息M的電流信號(hào)發(fā)送給 天線A4���,天線A4將電流信號(hào)轉(zhuǎn)化為電磁波發(fā)送給天線B7,天線B7再將接收到的電磁波轉(zhuǎn) 換成電流信號(hào)���,依次經(jīng)射頻通道模塊8和控制處理模塊9發(fā)給完整性存儲(chǔ)單元10 ;完整性 存儲(chǔ)單元10收到M��,收集自身的完整性信息用密鑰Kr加密生成信息M'后����,把M和M'經(jīng) 數(shù)據(jù)通信單元13轉(zhuǎn)發(fā)給完整性驗(yàn)證單元18 �;完整性驗(yàn)證單元18收到M和M'后,用Kr解 密M'���,得到讀寫器2的完整性狀態(tài)信息�����,并與系統(tǒng)初始化時(shí)讀寫器2的完整性信息進(jìn)行對(duì) 比���,完成對(duì)讀寫器2的完整性驗(yàn)證�,由標(biāo)示字段得到密鑰Kt����,用Kt解密M,得到標(biāo)簽1的完整性信息�����,驗(yàn)證標(biāo)簽ID的合法性����,并對(duì)前四項(xiàng)做校驗(yàn)和運(yùn)算,比對(duì)校驗(yàn)和�,完成對(duì)標(biāo)簽1的 完整性驗(yàn)證;完整性驗(yàn)證流程結(jié)束����。完整性驗(yàn)證過程中,R指后臺(tái)應(yīng)用系統(tǒng)3對(duì)標(biāo)簽1和讀 寫器2的完整性驗(yàn)證請(qǐng)求,M, M'分別指標(biāo)簽1���,讀寫器2的完整性信息��。以上所有流程結(jié) 束之后����,射頻識(shí)別系統(tǒng)的一次安全作業(yè)過程結(jié)束���。
權(quán)利要求
一種安全射頻識(shí)別系統(tǒng)����,包括天線A(4)�����、芯片(5)�、天線B(7)�、射頻通道模塊(8)、控制處理模塊(9)�、數(shù)據(jù)通信單元(13)、存儲(chǔ)單元(14)��、計(jì)算單元(15)和控制單元(16),其特征在于還包括驗(yàn)證單元A(6)�、完整性存儲(chǔ)單元(10)、讀寫單元(11)����、驗(yàn)證單元B(12)、身份認(rèn)證單元(17)和完整性驗(yàn)證單元(18)����;其中,天線A(4)和芯片(5)和驗(yàn)證單元A(6)組成標(biāo)簽(1)�����;天線B(7)�����、射頻通道模塊(8)�����、控制處理模塊(9)�、完整性存儲(chǔ)單元(10)、讀寫單元(11)和驗(yàn)證單元B(12)組成讀寫器(2)�;數(shù)據(jù)通信單元(13)�����、存儲(chǔ)單元(14)�、計(jì)算單元(15)��、控制單元(16)��、身份認(rèn)證單元(17)和完整性驗(yàn)證單元(18)組成后臺(tái)應(yīng)用系統(tǒng)(3)�����;標(biāo)簽(1)中的天線A(4)分別與芯片(5)和驗(yàn)證單元A(6)雙向連接��,芯片(5)與驗(yàn)證單元A(6)雙向連接�;讀寫器(2)中的天線B(7)、射頻通道模塊(8)和控制處理模塊(9)順次串聯(lián)����,控制處理模塊(9)分別與讀寫單元(11)、驗(yàn)證單元B(12)和完整性存儲(chǔ)單元(10)連接���,驗(yàn)證單元B(12)和完整性存儲(chǔ)單元(10)分別與數(shù)據(jù)通信單元(13)連接;后臺(tái)應(yīng)用系統(tǒng)(3)中的數(shù)據(jù)通信單元(13)分別與身份認(rèn)證單元(17)和完整性驗(yàn)證單元(18)連接���,身份認(rèn)證單元(17)和完整性驗(yàn)證單元(18)分別與控制單元連接(16)���,控制單元(16)分別與計(jì)算單元(15)和存儲(chǔ)單元(14)連接��,計(jì)算單元(15)與存儲(chǔ)單元(14)雙向連接���;射頻識(shí)別系統(tǒng)進(jìn)行身份認(rèn)證時(shí),驗(yàn)證單元B(12)經(jīng)數(shù)據(jù)通信單元(13)發(fā)送認(rèn)證請(qǐng)求和隨機(jī)數(shù)Rr給身份認(rèn)證單元�;身份認(rèn)證單元(17)收到Rr后,計(jì)算Mr=G(Rr+1)����,并生成隨機(jī)數(shù)R1,通過數(shù)據(jù)通信單元(13)返回認(rèn)證信息Mr和后臺(tái)應(yīng)用系統(tǒng)(3)對(duì)讀寫器(2)與標(biāo)簽(1)的認(rèn)證請(qǐng)求和隨機(jī)數(shù)R1給驗(yàn)證單元B(12)��;驗(yàn)證單元B(12)收到Mr和R1后�,計(jì)算G(Rr+1),驗(yàn)證Mr=G(Rr+1)成立后��,完成對(duì)后臺(tái)應(yīng)用系統(tǒng)(3)的認(rèn)證�;認(rèn)證通過后,驗(yàn)證單元B(12)生成隨機(jī)數(shù)R2����,把代表讀寫器(2)的認(rèn)證請(qǐng)求與隨機(jī)數(shù)R2和后臺(tái)應(yīng)用系統(tǒng)(3)對(duì)標(biāo)簽(1)的認(rèn)證請(qǐng)求與隨機(jī)數(shù)R1信息的電流信號(hào)��,依次經(jīng)控制處理模塊(9)和射頻通道模塊(8)��,發(fā)送給天線B(7)��,天線B(7)將電流信號(hào)轉(zhuǎn)化為電磁波發(fā)送給天線A(4)��,天線A(4)再將接收到的電磁波轉(zhuǎn)換成電流信號(hào)發(fā)送給驗(yàn)證單元A(6)����;驗(yàn)證單元A(6)收到請(qǐng)求與隨機(jī)數(shù)R1和R2后��,計(jì)算得到M1=F(R1+1)和M2=F(R2+1)����,同時(shí)生成隨機(jī)數(shù)R3,把代表認(rèn)證信息M1����、M2和標(biāo)簽對(duì)讀寫器(2)的認(rèn)證請(qǐng)求與隨機(jī)數(shù)R3的電流信號(hào)發(fā)送給天線A(4),天線A(4)將電流信號(hào)轉(zhuǎn)化為電磁波發(fā)送給天線B(7)��,天線B(7)再將接收到的電磁波轉(zhuǎn)換成電流信號(hào)��,并依次經(jīng)射頻通道模塊(8)和控制處理模塊(9)����,信號(hào)進(jìn)入驗(yàn)證單元B(12);驗(yàn)證單元B(12)收到標(biāo)簽(1)的認(rèn)證信息M1��、M2和R3后����,計(jì)算得到M1′=G(M1)、F(R2+1)和M3=F(R3+1)��,驗(yàn)證M2=F(R2+1)是否成立��,完成對(duì)標(biāo)簽(1)的身份驗(yàn)證���;認(rèn)證通過后���,驗(yàn)證單元B(12)把代表認(rèn)證信息M3的電流信號(hào),依次經(jīng)控制處理模塊(9)和射頻通道模塊(8)���,發(fā)送給天線B(7)���,天線B(7)將電流信號(hào)轉(zhuǎn)化為電磁波發(fā)送給天線A(4),天線A(4)再將接收到的電磁波轉(zhuǎn)換成電流信號(hào)回復(fù)給驗(yàn)證單元A(6)�����,隨后驗(yàn)證單元B(12)把自己的認(rèn)證信息M1′和標(biāo)簽(1)的認(rèn)證信息M1經(jīng)數(shù)據(jù)通信單元(13)一起轉(zhuǎn)發(fā)給身份認(rèn)證單元(17);身份認(rèn)證單元(17)收到認(rèn)證信息M1和M1′后���,計(jì)算F(R1+1)和G(F(R1+1))�,分別驗(yàn)證M1=F(R1+1)和M1′=G(F(R1+1))成立時(shí)���,完成對(duì)標(biāo)簽(1)和讀寫器(2)的認(rèn)證�;驗(yàn)證單元A(6)在收到M3后�����,計(jì)算得到F(R3+1)����,驗(yàn)證M3=F(R3+1)成立時(shí),完成讀寫器(1)的身份認(rèn)證�����;身份認(rèn)證流程結(jié)束����;身份認(rèn)證過程中�����,Mr為后臺(tái)應(yīng)用系統(tǒng)(3)回應(yīng)給讀寫器(2)的認(rèn)證信息���,M1為標(biāo)簽(1)回應(yīng)后臺(tái)應(yīng)用系統(tǒng)(3)的認(rèn)證信息����,M1’為讀寫器(2)回應(yīng)后臺(tái)應(yīng)用系統(tǒng)(3)的認(rèn)證信息,M2為標(biāo)簽(1)回應(yīng)讀寫器(2)的認(rèn)證信息�,M3為指讀寫器(2)回應(yīng)標(biāo)簽(1)的認(rèn)證信息;完整性驗(yàn)證過程中標(biāo)簽(1)中的信息除標(biāo)示字段外��,均以密文形式存儲(chǔ)��,后臺(tái)應(yīng)用系統(tǒng)(3)存儲(chǔ)標(biāo)簽的加密密鑰Kt與校驗(yàn)和生成函數(shù)���,后臺(tái)應(yīng)用系統(tǒng)(3)和讀寫器(2)共享一個(gè)密鑰Kr����;完整性驗(yàn)證由后臺(tái)應(yīng)用系統(tǒng)(3)發(fā)起���,后臺(tái)應(yīng)用系統(tǒng)(3)的完整性驗(yàn)證單元(10)��,經(jīng)由數(shù)據(jù)通信單元(13)發(fā)送信息完整性驗(yàn)證命令R給讀寫器(2)的完整性存儲(chǔ)單元(10)�����;收到命令后��,完整性存儲(chǔ)單元(10)把代表R的電流信號(hào)��,依次經(jīng)控制處理模塊(9)和射頻通道模塊(8)����,發(fā)送給天線B(7),天線B(7)將電流信號(hào)轉(zhuǎn)化為電磁波發(fā)送給天線A(4)���,天線A(4)再將接收到的電磁波轉(zhuǎn)換成電流信號(hào)�,轉(zhuǎn)發(fā)給芯片(5)�;芯片(5)收到R后,把代表存儲(chǔ)信息M的電流信號(hào)發(fā)送給天線A(4)��,天線A(4)將電流信號(hào)轉(zhuǎn)化為電磁波發(fā)送給天線B(7)��,天線B(7)再將接收到的電磁波轉(zhuǎn)換成電流信號(hào)�,依次經(jīng)射頻通道模塊(8)和控制處理模塊(9)進(jìn)入完整性存儲(chǔ)單元(10);完整性存儲(chǔ)單元(10)收到M,收集自身的完整性信息用密鑰Kr加密生成信息M′后����,把M和M′經(jīng)數(shù)據(jù)通信單元(13)轉(zhuǎn)發(fā)給完整性驗(yàn)證單元(18);完整性驗(yàn)證單元(18)收到M和M′后���,用Kr解密M′��,得到讀寫器(2)的完整性狀態(tài)信息��,并與系統(tǒng)初始化時(shí)讀寫器(2)的完整性信息進(jìn)行對(duì)比,完成對(duì)讀寫器(2)的完整性驗(yàn)證�����,由標(biāo)示字段得到密鑰Kt�,用Kt解密M,得到標(biāo)簽(1)的完整性信息��,驗(yàn)證標(biāo)簽(1)ID的合法性�����,并對(duì)前四項(xiàng)做校驗(yàn)和運(yùn)算�,比對(duì)校驗(yàn)和,完成對(duì)標(biāo)簽(1)的完整性驗(yàn)證;完整性驗(yàn)證流程結(jié)束�����;完整性驗(yàn)證過程中����,R指后臺(tái)應(yīng)用系統(tǒng)(3)對(duì)標(biāo)簽(1)和讀寫器(2)的完整性驗(yàn)證請(qǐng)求,M為標(biāo)簽(1)的完整性信息����,M′為讀寫器(2)的完整性信息。
全文摘要
本發(fā)明公開了一種安全射頻識(shí)別系統(tǒng)�����,包括天線A(4)�、天線B(7)、射頻通道模塊(8)�、控制處理模塊(9),還包括完整性存儲(chǔ)單元(10)��、驗(yàn)證單元B(12)���、身份認(rèn)證單元(17)和完整性驗(yàn)證單元(18)�����。天線A(4)分別與芯片(5)和驗(yàn)證單元A(6)雙向連接�����,天線A(4)與天線B(7)無線射頻連接�����。安全射頻識(shí)別系統(tǒng)完成后臺(tái)應(yīng)用系統(tǒng)(3)�����、讀寫器(2)和標(biāo)簽(1)之間安全的雙向身份認(rèn)證���,建立相互信任的射頻識(shí)別網(wǎng)絡(luò)連接,建立連接之后���,由后臺(tái)應(yīng)用系統(tǒng)(3)完成對(duì)標(biāo)簽(1)和讀寫器(2)信息的完整性驗(yàn)證����。本發(fā)明提供兩個(gè)層次的安全防護(hù)��,信息都是以密文形式傳輸,保證了傳輸信息的真實(shí)性���、完整性和機(jī)密性���。
文檔編號(hào)G06K17/00GK101976365SQ201010533310
公開日2011年2月16日 申請(qǐng)日期2010年11月5日 優(yōu)先權(quán)日2010年11月5日
發(fā)明者姚金利, 李紅, 杜中平, 王斌, 王曉程, 陳志浩 申請(qǐng)人:中國(guó)航天科工集團(tuán)第二研究院七○六所