商品包装RFID技术的数据安全研究
作者:刘桂阳 ,付国瑜
来源:RFID世界网
日期:2009-07-20 11:53:21
摘要:随着RFID电子标签在包装行业的广泛应用,其信息存储和数据传输安全问题也倍受关注。介绍了RFID 系统组成及工作原理,针对标签与阅读器之间的通信过程,从完整性与保密性两个方面详细分析了RFID 系统有关数据安全的关键技术及存在问题,并提出了相应的对策措施。
随着经济现代化的深入和发展,商业智能(BI)系统逐步得到推广。BI的基本流程是:采集商品原始信息,进行分析与处理,并据此制定合理的商业决策。RFID(无线射频识别)技术为商品信息采集的自动性、准确性提供了技术支持,是实现商品信息自动识别与输入的一种重要方法和手段。
1 RFID技术介绍
RFID属于典型的数据采集技术,要求被识别物体具有特定的电子标签作为载体。它利用射频信号和空间耦合传输特性,实现对被识别物体的自动识别。
一个完整的射频识别系统由电子标签(射频卡)、阅读器和后台数据库3部分构成。电子标签由耦合元件及芯片组成,含有微处理器、E2PR0M及收发电路,其功能是实现智能读写与通信。阅读器,主要由天线、收发控制模块及接口电路组成,执行主机的读写命令。后台数据库则负责数据信息的存储入管理、对卡进行读写控制等。阅读器通过天线发送出一定频率的射频信号,标签进入阅读器工作区域时,通过电磁感应其天线产生感应电流对内部电容充电,在充电电压支撑下标签向阅读器发送出含有自身编码的信息。阅读器接收到来自标签的载波信号后,对所接收的信号解调后送至主机处理。主机根据逻辑运算判断标签的合法性,针对不同的设定做出相应的处理和控制,发出指令信号;标签的数据解调部分从接收到的射频脉冲中解调出数据并送到控制逻辑,控制逻辑接收指令完成数据存储等操作 。其工作原理见图1。
阅读器、标签、网络和数据等各个环节都存在隐患,安全与隐私问题已成为制约RFID技术的主要因素之一。RFID系统实质上是一个计算机网络应用系统。与网络和计算机安全类似,RFID安全的主要目的是保证信息存储和数据传输的安全 。其中,阅读器与后台数据库系统之间通信安全因属于传统信息安全范畴这里就不再赘述,本文仅讨论标签与阅读器之间的通信安全问题。
2 RFID技术中的数据完整性问题及策略
阅读器与射频标签无线通信过程中,存在许多干扰因素,最主要的是信道噪声和多卡操作。采用恰当信道编码和访问控制技术,能显著提高数据传输的完整性、可靠性。
2.1 信号编码、调制与校检
RFID系统基带编码方式有多种,与系统所用的防碰撞算法有关。一般采用Manchester编码:半个bit周期中的负边沿表示1,正边沿表示o。若码元片内没有电平跳变,则被识别为错误码元。这样可以按位识别是否存在碰撞,易于实现阅读器对多个标签的防碰撞处理。信号传输前先进行降噪处理,去除信号中低频分量和高频分量,减少误码率,然后进行载波调制。载波调制有AsK,FsK,PsK 3种制式,分别对应于正弦波的幅度、频率和相位传递数字基带信号。为简化设计、降低成本,大多系统采用AsK调制技术。此外,为减少信号传输过程中的波形失真问题,还应使用校验码对可能或已经出现的差错进行控制:鉴别是否发生错误,进而纠正错误,甚至重新传输全部或部分消息。常用的校验方法有奇偶校验、CRC校验等。
2.2 信号冲突
为使阅读器能顺利完成其作用范围内的标签识别、信息读写操作,防止碰撞,RFID主要采用TDMA 时分多路接入法,每个标签在单独的某个时隙内占用信道与阅读器进行通信。然而多阅读器、多标签系统中,信号间冲突与干扰在所难免,导致信息叠混,严重影响RFID使用性能。冲突分为标签;中突和阅读器冲突两类。解决冲突的关键在于使用防碰撞算法。
1)标签冲突。多个电子标签处于同一个阅读器作用范围内时,在没有采取多址访问控制机制情况下,信息传输过程将产生干扰,导致信息读取失败。
对于标签冲突,一般采用Aloha搜索算法。目前高频段(HF)电子标签都使用A1oha法来处理。它在一个周期性的循环中将数据不断发送给阅读器,数据的传输时间只占重复时间很小部分,传输间歇长,标签重复时间小,各标签可在不同时段上传输数据,数据包传送时不易发生碰撞。改进型的Aloha算法还可对标签数量动态估计,并根据一定的优化准则,自适应选取延迟时间及帧长,显著的提高了识别速度l5]。由于同类型的电子标签工作在同一频率,共享同一通信信道,Al0ha算法中标签利用随机时间响应阅读器命令,其延迟时间和检测时间是随机分布的,是一种不确定性算法。
除随机性方案外,还有一种确定性解决方案,主要用于超高频段(uHF)。其基本思想是:阅读器将冲突区域内标签不断划分为更小的子集,根据标签ID的唯一性来选择标签进行通信。其中最典型的是树型搜索算法:阅读器发出请求命令,N个标签同时响应造成冲突后,检测冲突位置,逐个通知不符合要求的标签退出冲突,最后一个标签予以响应。余下的N一1个标签重复上述步骤,经N一1次循环后所有标签访问完毕。其缺点是标签识别速度较低。
2)阅读器冲突。实际应用中,有时需要近距离布局多个RFID阅读器,从而导致阅读器间相互干扰,一个标签同时接收到多个阅读器命令。
阅读器冲突有两种:由多个阅读器同时在相同频段上运行而引起的频率干扰,以及由多个相邻的阅读器试图同时与一个的标签通信而引起的标签干扰。最简单的做法是对相邻的阅读器分配在不同频率或时隙,而对物理上足够分离的阅读器分配在同一频率或时隙。目前已提出的Colorwave算法提供一个实时、分布式的MAC协议为阅读器分配频率与时隙来减少阅读器间的干扰。此外,分层Q学习算法采用网络信息,在整个日寸间段动态分配频率资源,以保证临近的阅读器之间不发生冲突。
在实际ETsI标准中,阅读器在同标签通信前每隔100ms探测数据信道的状态,采用载波侦听方式解决阅读器冲突。在EPc标准中,在频率谱上将阅读器传输和标签传输分离开,这样阅读器仅与阅读器发生;中突,标签仅与标签之间发生冲突,简化了问题。
3 RFID技术中的数据保密问题及措施
为防止某些试图欺骗射频识别系统而进行的非授权的访问,或企图跟踪、窃取甚至恶意篡改标签信息,必须采取措施保障数据的有效性和隐私性。
3.1 密码机制
1)消息认证。交易进行前,阅读器和标签必须确认对方的身份,即双方在通信过程中互相检验对方的密钥,才能进一步操作。图2是基于相互对称的消息认证法:双方具有相同的密钥K,射频空间只传输加密的随机数而非密钥本身,可使用任意算法对令牌加密,严格使用随机数可有效防止重放攻击。相互对称的认证简单易于实现,但风险大,一旦密钥被破解将直接导致所有标签无法完成加密保护。还有一种是导出密钥的认证方法,是对相互对称认证的改进:每个射频标签使用不同的密钥来保护,并在生产过程中读出其序列号,采用加密算法和主控密钥K计算出该标签专用密钥K ,完成初始化。消息认证时,阅读器请求标签的序列号,通过其特殊安全模块sAM 计算出该标签专用密钥K,,并进行确认。sAM 模块通常用具有加密处理器的接触式Ic卡制作,在提高安全系数的同时也增加了成本和复杂程度。
3.2 物理安全机制
密码技术有效的实现了数据的保密安全,但同时其复杂的算法和流程也大大提升了RFID系统的成本。对一些低成本标签,它们往往受成本严格限制而难以实现上述复杂的密码机制,此时可以采用一些物理方法限制标签功能,防止部分安全威胁。如:读写距离控制机制;主动干扰法;自毁机制,标签从阅读器收到 Kill 命令后自动失效;休眠机制,标签暂时休眠后可再激活使用;静电屏蔽法,将贴有标签的商品放入金属罩网,暂日寸阻隔标签与阅读器间通信;阻止标签等。
4 结语
本文就商品包装中RFID标签与阅读器之间的通信安全问题进行了探讨,全面分析了影响安全的各个环节及其解决办法。随着技术的深入与应用的推厂,必将对RFID系统的安全性能提出更高要求。目前已有很多组织针对RFID系统的安全问题进行了大量深入研究,建立了诸如防火墙、入侵检测等设施,在一定程度上缓解了RFID的部分安全问题。但同日寸,由于数据源和访问界面的扩大化使得原有控制措施不能很好发挥作用,标签及读写器的移动性使得防火墙无法应用等新问题也随之出现。安全方案与技术方案的融合以及隐私性等困绕RFID安全的技术还有待进一步改进。
1 RFID技术介绍
RFID属于典型的数据采集技术,要求被识别物体具有特定的电子标签作为载体。它利用射频信号和空间耦合传输特性,实现对被识别物体的自动识别。
一个完整的射频识别系统由电子标签(射频卡)、阅读器和后台数据库3部分构成。电子标签由耦合元件及芯片组成,含有微处理器、E2PR0M及收发电路,其功能是实现智能读写与通信。阅读器,主要由天线、收发控制模块及接口电路组成,执行主机的读写命令。后台数据库则负责数据信息的存储入管理、对卡进行读写控制等。阅读器通过天线发送出一定频率的射频信号,标签进入阅读器工作区域时,通过电磁感应其天线产生感应电流对内部电容充电,在充电电压支撑下标签向阅读器发送出含有自身编码的信息。阅读器接收到来自标签的载波信号后,对所接收的信号解调后送至主机处理。主机根据逻辑运算判断标签的合法性,针对不同的设定做出相应的处理和控制,发出指令信号;标签的数据解调部分从接收到的射频脉冲中解调出数据并送到控制逻辑,控制逻辑接收指令完成数据存储等操作 。其工作原理见图1。
图1 RDIF工作原理示意图
Fig.1 Schematic 0f RFID w0rking p rincip1e
阅读器、标签、网络和数据等各个环节都存在隐患,安全与隐私问题已成为制约RFID技术的主要因素之一。RFID系统实质上是一个计算机网络应用系统。与网络和计算机安全类似,RFID安全的主要目的是保证信息存储和数据传输的安全 。其中,阅读器与后台数据库系统之间通信安全因属于传统信息安全范畴这里就不再赘述,本文仅讨论标签与阅读器之间的通信安全问题。
2 RFID技术中的数据完整性问题及策略
阅读器与射频标签无线通信过程中,存在许多干扰因素,最主要的是信道噪声和多卡操作。采用恰当信道编码和访问控制技术,能显著提高数据传输的完整性、可靠性。
2.1 信号编码、调制与校检
RFID系统基带编码方式有多种,与系统所用的防碰撞算法有关。一般采用Manchester编码:半个bit周期中的负边沿表示1,正边沿表示o。若码元片内没有电平跳变,则被识别为错误码元。这样可以按位识别是否存在碰撞,易于实现阅读器对多个标签的防碰撞处理。信号传输前先进行降噪处理,去除信号中低频分量和高频分量,减少误码率,然后进行载波调制。载波调制有AsK,FsK,PsK 3种制式,分别对应于正弦波的幅度、频率和相位传递数字基带信号。为简化设计、降低成本,大多系统采用AsK调制技术。此外,为减少信号传输过程中的波形失真问题,还应使用校验码对可能或已经出现的差错进行控制:鉴别是否发生错误,进而纠正错误,甚至重新传输全部或部分消息。常用的校验方法有奇偶校验、CRC校验等。
2.2 信号冲突
为使阅读器能顺利完成其作用范围内的标签识别、信息读写操作,防止碰撞,RFID主要采用TDMA 时分多路接入法,每个标签在单独的某个时隙内占用信道与阅读器进行通信。然而多阅读器、多标签系统中,信号间冲突与干扰在所难免,导致信息叠混,严重影响RFID使用性能。冲突分为标签;中突和阅读器冲突两类。解决冲突的关键在于使用防碰撞算法。
1)标签冲突。多个电子标签处于同一个阅读器作用范围内时,在没有采取多址访问控制机制情况下,信息传输过程将产生干扰,导致信息读取失败。
对于标签冲突,一般采用Aloha搜索算法。目前高频段(HF)电子标签都使用A1oha法来处理。它在一个周期性的循环中将数据不断发送给阅读器,数据的传输时间只占重复时间很小部分,传输间歇长,标签重复时间小,各标签可在不同时段上传输数据,数据包传送时不易发生碰撞。改进型的Aloha算法还可对标签数量动态估计,并根据一定的优化准则,自适应选取延迟时间及帧长,显著的提高了识别速度l5]。由于同类型的电子标签工作在同一频率,共享同一通信信道,Al0ha算法中标签利用随机时间响应阅读器命令,其延迟时间和检测时间是随机分布的,是一种不确定性算法。
除随机性方案外,还有一种确定性解决方案,主要用于超高频段(uHF)。其基本思想是:阅读器将冲突区域内标签不断划分为更小的子集,根据标签ID的唯一性来选择标签进行通信。其中最典型的是树型搜索算法:阅读器发出请求命令,N个标签同时响应造成冲突后,检测冲突位置,逐个通知不符合要求的标签退出冲突,最后一个标签予以响应。余下的N一1个标签重复上述步骤,经N一1次循环后所有标签访问完毕。其缺点是标签识别速度较低。
2)阅读器冲突。实际应用中,有时需要近距离布局多个RFID阅读器,从而导致阅读器间相互干扰,一个标签同时接收到多个阅读器命令。
阅读器冲突有两种:由多个阅读器同时在相同频段上运行而引起的频率干扰,以及由多个相邻的阅读器试图同时与一个的标签通信而引起的标签干扰。最简单的做法是对相邻的阅读器分配在不同频率或时隙,而对物理上足够分离的阅读器分配在同一频率或时隙。目前已提出的Colorwave算法提供一个实时、分布式的MAC协议为阅读器分配频率与时隙来减少阅读器间的干扰。此外,分层Q学习算法采用网络信息,在整个日寸间段动态分配频率资源,以保证临近的阅读器之间不发生冲突。
在实际ETsI标准中,阅读器在同标签通信前每隔100ms探测数据信道的状态,采用载波侦听方式解决阅读器冲突。在EPc标准中,在频率谱上将阅读器传输和标签传输分离开,这样阅读器仅与阅读器发生;中突,标签仅与标签之间发生冲突,简化了问题。
3 RFID技术中的数据保密问题及措施
为防止某些试图欺骗射频识别系统而进行的非授权的访问,或企图跟踪、窃取甚至恶意篡改标签信息,必须采取措施保障数据的有效性和隐私性。
3.1 密码机制
1)消息认证。交易进行前,阅读器和标签必须确认对方的身份,即双方在通信过程中互相检验对方的密钥,才能进一步操作。图2是基于相互对称的消息认证法:双方具有相同的密钥K,射频空间只传输加密的随机数而非密钥本身,可使用任意算法对令牌加密,严格使用随机数可有效防止重放攻击。相互对称的认证简单易于实现,但风险大,一旦密钥被破解将直接导致所有标签无法完成加密保护。还有一种是导出密钥的认证方法,是对相互对称认证的改进:每个射频标签使用不同的密钥来保护,并在生产过程中读出其序列号,采用加密算法和主控密钥K计算出该标签专用密钥K ,完成初始化。消息认证时,阅读器请求标签的序列号,通过其特殊安全模块sAM 计算出该标签专用密钥K,,并进行确认。sAM 模块通常用具有加密处理器的接触式Ic卡制作,在提高安全系数的同时也增加了成本和复杂程度。
图2 标签与阅读器间互相认证的过程
Fig.2 Tag and reader mutual
authentication pr0cess
3.2 物理安全机制
密码技术有效的实现了数据的保密安全,但同时其复杂的算法和流程也大大提升了RFID系统的成本。对一些低成本标签,它们往往受成本严格限制而难以实现上述复杂的密码机制,此时可以采用一些物理方法限制标签功能,防止部分安全威胁。如:读写距离控制机制;主动干扰法;自毁机制,标签从阅读器收到 Kill 命令后自动失效;休眠机制,标签暂时休眠后可再激活使用;静电屏蔽法,将贴有标签的商品放入金属罩网,暂日寸阻隔标签与阅读器间通信;阻止标签等。
4 结语
本文就商品包装中RFID标签与阅读器之间的通信安全问题进行了探讨,全面分析了影响安全的各个环节及其解决办法。随着技术的深入与应用的推厂,必将对RFID系统的安全性能提出更高要求。目前已有很多组织针对RFID系统的安全问题进行了大量深入研究,建立了诸如防火墙、入侵检测等设施,在一定程度上缓解了RFID的部分安全问题。但同日寸,由于数据源和访问界面的扩大化使得原有控制措施不能很好发挥作用,标签及读写器的移动性使得防火墙无法应用等新问题也随之出现。安全方案与技术方案的融合以及隐私性等困绕RFID安全的技术还有待进一步改进。