專利名稱:一種讀寫器認證以及標簽認證密碼分發(fā)方法與裝置的制作方法
技術領域:
本發(fā)明屬于射頻標簽(Radio Frequency Identification,簡稱RFID)技術領域以及防偽技術領域�����。具體的說涉及將射頻標簽(RFID)技術應用于物品防偽系統(tǒng)中��,對于防偽射頻標簽讀寫器的認證以及對標簽認證密碼的分發(fā)方法�。
背景技術:
射頻識別技術是20世紀90年代開始興起的ー種非接觸式的自動識別技木。它通過射頻信號自動識別目標對象并獲取相關數(shù)據��,識別工作無須人工干預��,可工作于各種惡劣環(huán)境���。RFID技術可識別高速運動物體并可同時識別多個標簽,操作快捷方便�����。
RFID是ー種簡單的無線系統(tǒng)���,利用無線射頻方式在閱讀器和射頻卡之間進行非接觸雙向傳輸數(shù)據����,已達到目標識別和數(shù)據交換的目的。最基本的RF系統(tǒng)由三部分組成1���、標簽(Tag����,即射頻卡)由耦合元件及芯片組成����,標簽含有內置天線,用于和射頻天線間進行通信�����。2���、閱讀器讀取(在讀寫卡中還可以寫入)標簽信息的設備��。3�、天線在標簽和讀取器間傳遞射頻信號�。有的系統(tǒng)還通過閱讀器的RS232或者RS485接ロ與外部計算機(上位機主系統(tǒng))連接,進行數(shù)據交換����。RFID技術適用于以下領域物流和供應管理���、生產制造和裝配、航空行李處理�、郵件、快運包裹處理�����、文檔追蹤�����、圖書館管理��、動物身份標識����、運動計時��、門禁控制���、電子門票���、道路自動收費等���。近些年來,RFID產品也逐漸應用于酒類�����,珠寶���,等貴重物品的防偽中�。其優(yōu)勢已經引起了廣泛的關注非接觸��、多物體��、移動識別�����;企業(yè)加入防偽功能簡單易行����;防偽過程幾乎不用人工干預;防偽過程中標簽數(shù)據不可見��,無機械磨損��,防污損;支持數(shù)據的雙向讀寫�����;與信息加密技術結合����,使得標簽不易偽造;易干與其他防偽技術結合使用進行防偽��。在“劉立冬�,張曉凌,耿志剛��,RFID在產品防偽應用中的關鍵技術研究���,電腦應用技木����,2008總第72期”一文中�����,介紹了導出密鑰認證的方法以及基于PKI的RFID中間件認證的方法��。實現(xiàn)射頻標簽和讀寫器的相互認證��,目前用的比較多的是導出密鑰的認證�,每個射頻標簽(數(shù)據載體)使用不同的密鑰來保護,并在射頻標簽生產過程中讀出其序列號�����,使用加密算法和主控密鑰計算出密鑰K�����,從而完成了射頻標簽的初始化過程���。這樣每個射頻標簽都擁有了ー個與自己識別號和主控密鑰相關的密鑰����。ー個典型的RFID防偽認證過程如下所示(參見附圖2射頻標簽和讀寫器相互認證導出密鑰方式)I.讀寫器發(fā)送查洵ID識別號ロ令�����;2.射頻標簽返回ID識別號���,和一個隨機數(shù)A���,讀寫器根據ID識別號與主控密鑰算出相互認證的密鑰K�,讀寫器產生ー個隨機數(shù)B���,使用共同的密鑰K和共同的密碼算法E算出一個加密的數(shù)據塊��,包含兩個隨機數(shù)���,發(fā)給射頻標簽;3.射頻標簽解碼����,取得隨機數(shù)A’與A比較,若一致則認為讀寫器合法��,射頻標簽對B加密����,發(fā)送給讀寫器;4.讀寫器解碼得到B’�,與B比較,若一致則認為射頻標簽合法�;5.雙方進行進ー步的通信。這種設計的主要缺點是I)各企業(yè)必須采用專用的讀寫器;2)由于不能控制掌握讀寫器的人是誰�����,因此密鑰一旦泄密��,射頻標簽就很容易被偽造���;3)普通用戶必須到有專用讀寫器的地方才能查看產品的信息。 因此上文提到ー種用PKI方法對標簽進行雙向認證的方案�����。射頻標簽與讀寫器的相互認證由RFID中間件實現(xiàn)���;合法的產品發(fā)送方(是指生產廠家和數(shù)據載體中指定的接收方)通過指定或修改數(shù)據載體中的接收方公鑰MPK來指定下一個接收方�;只有合法的接收方通過自己的中間件才可以讀取標簽中的信息���;接收方通過認證后�����,就可以修改數(shù)據標簽的公鑰MPK����,成為了合法的產品發(fā)送方。但該方案的缺點在于需要對RFID標簽進行非対稱密鑰算法操作���。對于目前無源RFID標簽而言����,芯片中實現(xiàn)非對稱密鑰算法(RSA��,ECC等)的難度很大�����。因此該方案無法在無源RFID標簽中實現(xiàn)商用�����。在專利申請傅予カ劉煒謝勝利�����,RFID標簽及其閱讀器���、讀取系統(tǒng)及安全認證方法�����。申請?zhí)?00810027003. 9中���,公開了ー種基于非対稱秘鑰算法用于標簽合法性認證的方法����。同樣����,該方法只用于針對有源射頻標簽RFID產品�,無法用于無源RFID標簽認證中。在專利申請張華余志良��,存儲式電子標簽安全應用及防偽鑒別方法�����,申請?zhí)?00310106139.6中�,公開了類似上文所述的導出密鑰的認證方法。缺點同樣是不能控制掌握讀寫器的人是誰�,因此密鑰一旦泄密,射頻標簽就很容易被偽造��。
發(fā)明內容
為了克服上述防偽標簽認證時的各類缺點,特別是密鑰泄密的缺點��,本發(fā)明公布了一種射頻標簽防偽系統(tǒng)中的對讀寫器進行認證的方法��,以及對標簽認證密碼的分發(fā)方法�����。讀寫器與防偽認證中心采用證書方式進行雙向認證���;將讀寫器分發(fā)與證書及私鑰的分發(fā)分離開來�����。在射頻標簽讀寫器中放置PKI公鑰證書以及不可導出的私鑰�。放置公鑰證書和不可導出私鑰的方法可以通過在射頻標簽讀寫器上放置USB key形式實現(xiàn)�。也可以在射頻標簽讀寫器中插入接觸式智能卡的形式實現(xiàn)。其中USB Key是指ー種USB接ロ的硬件設備�����。它內置單片機或智能卡芯片���,有一定的存儲空間�,可以存儲用戶的私鑰以及數(shù)字證書,利用USB Key內置的公鑰算法實現(xiàn)對用戶身份的認證�。由于用戶私鑰保存在密碼鎖中,理論上使用任何方式都無法讀取���,因此保證了用戶認證的安全性��。其中接觸式智能卡是指那些內部包含微處理器單元(CPU)�、存儲單元(RAM�����、R0M和EEPR0M)�����、和輸入/輸出接ロ單元的集成電路卡�。其中��,RAM用于存放運算過程中的中間數(shù)據�����,ROM中固化有片內操作系統(tǒng)COS (Card OperatingSystem)����,而EEPROM用于存放持卡人的個人信息以及發(fā)行単位的有關信息����。CPU管理信息的加/解密和傳輸�,嚴格防范非法訪問卡內ィ目息。射頻標簽讀寫器中帶有通信接ロ����,可以實現(xiàn)與互聯(lián)網的連接。通信接ロ的形式可以采用GPRS數(shù)據模塊形式�����,3G數(shù)據模塊形式���,WLAN網卡模塊形式�,也可以采用USB接ロ形式連接到一臺可與互聯(lián)網連接的PC設備的形式�。第一歩讀寫器通過通信鏈路與防偽認證中心采用證書方式進行雙向認證。第二步讀寫器讀取防偽射頻標簽中標識待認證的防偽物品的ID號��,并將該ID號傳遞給防偽認證中心���。第三步防偽認證中心根據待認證防偽物品的ID號���,在其數(shù)據庫中查找到對應的標簽認證密鑰�����。
第四步防偽認證中心向讀寫器傳遞防偽射頻標簽認證密鑰����。傳遞認證密鑰的方法可以有兩種�����,即將防偽標簽的認證密鑰作為明文��,通過非對稱加密方法傳遞�。也可以通過對稱加密的方法傳遞�����。ー個典型的非対稱加密的明文傳遞方式如附圖3所示��。第五步射頻識別讀寫器獲得防偽標簽的認證密鑰后���,按附圖2所示的認證流程對防偽物品進行認證�����。同時將認證結果顯示在相應的顯示設備上�����。采用上述采用USB key以及接觸式智能卡形式的機卡分離的讀寫器的好處是�,可以將讀寫器分發(fā)與證書及私鑰分發(fā)分離開來。并且可以批量制作廉價的防偽射頻標簽讀寫器�,批量分發(fā)。同時只要使用一個防偽認證讀寫器����,可以同時實現(xiàn)對多個防偽產品的認證。
圖I是防偽認證系統(tǒng)三大部分的示意2是通常射頻識別閱讀器對標簽進行防偽認證的過程圖3是防偽認證中心與射頻識別讀寫器之間關于標簽識別用密鑰傳遞過程圖4是實現(xiàn)防偽認證功能的射頻識別讀寫器典型結構圖
具體實施例方式下面參照附圖���,給出上述專利的一種簡易的具體實現(xiàn)方式����。射頻標簽讀寫器除了有正常的RFID標簽讀寫功能外���,還留有USB Host接ロ��,以及與互聯(lián)網的通信接ロ��。防偽認證中心將讀卡器對應的PKI公鑰證書以及私鑰安裝于USB Key中��,分發(fā)給相應的讀寫器用戶���。用戶在對射頻標簽進行認證前���,將互聯(lián)網通信接ロ打開。讀卡器與PKI CA中心進行證書雙向認證�。認證通過后讀寫器讀取射頻防偽標簽的物品標識信息,將物品標識信息通過通信鏈路傳遞給防偽認證中心���。防偽認證中心得到防偽物品標識信息后����,在其數(shù)據庫中查找對應的認證密鑰�����。防偽認證中心根據防偽讀寫器證書中的公鑰將認證密鑰作為明文加密�。通過通信鏈路傳遞給讀寫器���。讀寫器將該密文導入USB key中�����。
USB key用其保存得私鑰將密文解密��,即得到認證密鑰���。讀寫器再根據附圖2所示導出密鑰完成對防偽標簽的認證�。這里描述的模塊以及單元既可以采用硬件實現(xiàn)����,也可以采用軟件實現(xiàn),或軟硬件 的組合方式來實現(xiàn)�����。本發(fā)明并不局限于上述實施例����,本領域內普通技術人員應理解的是可在本發(fā)明范圍內做各種形式和細節(jié)上的改變。
權利要求
1.一種讀寫器認證以及標簽認證密碼分發(fā)裝置�,其特征在于包括讀寫器、認證裝置��、標簽、顯示裝置�����,其中 在射頻標簽防偽系統(tǒng)的讀寫器中放置PKI證書以及私鑰�����,讀寫器具有通信接ロ�,實現(xiàn)與互聯(lián)網的連接; 讀寫器通過通信接ロ與防偽認證中心采用證書方式進行雙向認證����;認證通過后讀寫器讀取防偽射頻標簽中待認證標簽的防偽物品的ID號,并通過通信接ロ將該ID號傳遞給認證裝置���; 防偽認證中心根據待認證標簽的防偽物品的ID號�����,在認證裝置數(shù)據庫中查找到待認證標簽的防偽物品的ID號對應的標簽認證密鑰�; 認證裝置向讀寫器傳遞待認證標簽的防偽物品的認證密鑰��; 讀寫器獲得待認證標簽的防偽物品的的認證密鑰后�����,對待認證標簽的防偽物品進行認證�,同時將認證結果顯示在顯示裝置上。
2.根據權利要求I所述的ー種讀寫器認證以及標簽認證密碼分發(fā)裝置��,其特征在于在射頻標簽防偽系統(tǒng)的讀寫器中放置PKI證書以及私鑰有兩種存放形式PKI證書以及私鑰以USB Key的形式�,與讀寫器分離;PKI證書以及私鑰以接觸式智能卡的形式���,與讀寫器分離�����。
3.根據權利要求I所述的ー種讀寫器認證以及標簽認證密碼分發(fā)裝置����,其特征在于讀寫器中帶有通信接ロ�,通信接ロ的形式能采用GPRS數(shù)據模塊形式,3G數(shù)據模塊形式�����,WLAN網卡模塊形式����,USB接ロ形式�。
4.如權利要求3所述的ー種讀寫器認證以及標簽認證密碼分發(fā)裝置�,其特征在于所述USB接ロ形式是指通過USB接ロ連接到一臺具有互聯(lián)網接入功能的PC設備從而與防偽認證中心進行通信。
5.一種讀寫器認證以及標簽認證密碼分發(fā)方法�����,其特征在于讀寫器與防偽認證中心采用證書方式進行雙向認證��;將讀寫器分發(fā)與證書及私鑰的分發(fā)分離開來���。
全文摘要
本發(fā)明公布了一種射頻標簽防偽系統(tǒng)中的對讀寫器進行認證的方法與裝置�,以及對標簽認證密碼的分發(fā)方法與裝置����。該方法在讀寫器中放置PKI證書,通過讀寫器與防偽認證中心雙向認證的方式完成對讀寫器和防偽認證中心的認證����。讀寫器讀取待認證物品的標識,傳遞給防偽認證中心��。防偽認證中心通過加密通道傳遞認證密鑰�,讀寫器獲取認證密鑰后實現(xiàn)讀寫器對射頻標簽標識物的認證��。
文檔編號H04L9/32GK102968647SQ201110255679
公開日2013年3月13日 申請日期2011年8月31日 優(yōu)先權日2011年8月31日
發(fā)明者滕煒亮, 馬紀豐, 梁浩 申請人:北京中電華大電子設計有限責任公司