本发明涉及rfid,具体涉及一种防复制rfid安全系统。
背景技术:
目前,rfid技术已在物流仓储、生产制造、高价值商品防伪、药品生产、病人看护、环境感知和支票防伪等领域防范应用。但rfid存在一些安全隐患,这就导致rfid难以应用到关键任务中,阻碍了rfid系统的应用推广。一般来说,rfid系统常见的安全攻击有:电子标签数据的获取攻击;电子标签和读写器之间的通信侵入;侵犯读写器内部的数据。
目前的rfid防复制的方法有两类:物理方法和逻辑方法。用物理方法来安全性的方法主要有以下几类:kill标签、法拉第网罩、主动干扰以及阻止标签。这些方法都会给用户带来使用上的不便,难以推广。如遭到攻击时,通过kill标签会造成标签损坏,虽然保护了标签不被破解,但是标签也随之毁坏,给用户带来使用上的不便。而逻辑上的方法有:hash锁,匿名id方案等。但是,这些方法也存在标签容易被破解,阅读器也容易遭到破解,也难以解决rfid的安全问题。
针对rfid这些安全隐患,本发明提出一种防复制rfid系统,使rfid的安全性得到保障。
技术实现要素:
本发明针对现有技术存在的不足,提出了一种防复制rfid安全系统。
本发明的技术方案是:一种防复制rfid安全系统,包括加密rfid标签、标签发卡器、安全rfid阅读器、密钥管理和发卡系统和数据分发及身份认证系统;其特征在于:
安全rfid阅读器将相关信息组装成安全协议帧,发送到所述密钥管理和发卡系统4,进行密钥分发请求,所述密钥管理和发卡系统获取标签id,产生标签认证密钥,再进行密码运算,组装安全协议帧后,所述密钥管理和发卡系统通过标签发卡器把初始密钥和id下发到加密rfid标签里,并把加密rfid标签的id和密钥信息上传到数据分发及身份认证系统;同时所述密钥管理和发卡系统把初始密钥下发到安全rfid阅读器;
所述安全rfid阅读器用于与数据分发及身份认证系统以及加密rfid标签之间进行安全认证和加密通信;安全rfid阅读器读取加密rfid标签的id,并带密码读出加密rfid标签的随机数;安全rfid阅读器对读出的数据进行加密,并把加密数据传给所述数据分发及身份认证系统;所述安全rfid阅读器对数据分发及身份认证系统发出的数据进行解密,并与加密rfid标签进行校验,校验成功后更新加密rfid标签的id及秘钥;安全rfid阅读器与加密rfid标签每校验成功一次,加密rfid标签的秘钥、id都会进行更新,形成滚动的加密;
所述数据分发及身份认证系统用于对所述安全rfid阅读器传入的数据进行计算后返回给所述安全rfid阅读器。
安全rfid阅读器的功能主要是对加密rfid标签进行安全认证、从后台获取加密rfid标签id、滚动认证密钥等新参数并写入对应加密rfid标签。安全rfid阅读器中对外的数据协议处理均由内置数据处理模块实现,数据的加解密等功能均由内置数据加解密模块实现。
根据本发明所述的防复制rfid安全系统的优选方案,所述安全rfid阅读器包括数据处理模块、数据加解密模块、rfid读写模块和电源管理模块;
所述rfid读写模块用于与加密rfid标签和数据处理模块进行数据交互;所述rfid读写模块读取加密rfid标签的id,并带密码读出加密rfid标签的随机数,将读取的数据传输到数据处理模块;所述数据处理模块对rfid读写模块传入的数据进行格式转换和数据处理后,输出到所述数据加解密模块;所述数据加解密模块对收到的数据进行加密处理,返回给所述数据处理模块进行格式转换和处理后,通过所述数据处理模块传给所述数据分发及身份认证系统;
所述数据处理模块接收所述数据分发及身份认证系统返回的数据,进行格式转换和处理后传给所述数据加解密模块,所述数据加解密模块对收到的数据进行解密处理,并通过所述数据处理模块进行格式转换和处理后传给所述rfid读写模块;所述rfid读写模块在收到数据处理模块返回的数据后,与加密rfid标签进行校验,校验成功后更新加密rfid标签的id及秘钥。
所述电源管理模块用于为rfid读写模块、数据处理模块为数据加解密模块提供所需电源。
根据本发明所述的防复制rfid安全系统的优选方案,数据分发与身份认证系统包括认证层、表示层、业务层、持久层和系统层;
所述认证层由usbkey认证模块组成;用于对数据分发与身份认证系统的初始化登录进行认证;用于检测是否插入usbkey和进行usbkey密码校验,在usbkey密码校验通过后,进行系统初始化和开始业务流程;
所述表示层由对外接口模块组成,用于接受各业务指令的请示以及指令的回复;对外提供基于http协议的restful风格的接口;
业务层由身份认证模块组成;用于对表示层接收到的各类业务指令进行处理,并将处理结果返回至表示层;
持久层用于为业务层提供数据存取的能力;
系统层为linux操作系统,并在此操作系统上安装jre8,作为软件的基础运行环境。
根据本发明所述的防复制rfid安全系统的优选方案,所述业务层包含用户管理模块、密钥资源导入导出模块、密钥管理模块、阅读器认证模块和标签身份认证模块;
用户管理模块:用于实现用户的登录认证,管理员对系统初始化操作的认证,管理员修改usbkeypin码等业务功能;
密钥资源导入导出模块:用于导出自身的公钥数据,和导入密钥管理与发卡系统下发的加密rfid标签的id和密钥信息;
密钥管理模块用于实现密钥管理接口,如产生密钥、查询密钥、更新密钥、销毁密钥等操作;
阅读器认证模块用于对安全rfid阅读器进行认证;
标签身份认证模块用于对加密rfid标签进行身份认证。
本发明所述的一种防复制rfid安全系统的有益效果是:本发明采用了id和滚动密钥机制,加密rfid标签、安全rfid阅读器和数据分发及身份认证系统均具有防复制功能,安全rfid阅读器与数据分发及身份认证系统进行安全认证和加密通信,同时安全rfid阅读器与加密rfid标签也要进行安全认证和加密通信,保证了系统的安全,本发明具有高安全性、客户使用方便的优点,可广泛应用于物流仓储、生产制造、高价值商品防伪、药品生产、病人看护、环境感知和支票防伪等领域。
附图说明
图1为本发明所述的一种防复制rfid安全系统的电路原理框图。
图2是安全rfid阅读器3的电路原理框图。
图3是数据分发及身份认证系统5构成示意图。
图4是安全rfid阅读器3的认证示意图。
图5是加密rfid标签1的认证示意图。
图6是密钥管理和发卡系统4构成示意图。
具体实施方式
参见图1至图6,一种防复制rfid安全系统,包括加密rfid标签1、标签发卡器2、安全rfid阅读器3、密钥管理和发卡系统4和数据分发及身份认证系统5.
安全rfid阅读器将相关信息组装成安全协议帧,发送到所述密钥管理和发卡系统4,进行密钥分发请求,所述密钥管理和发卡系统获取标签id,产生标签认证密钥,再进行密码运算,组装安全协议帧后,所述密钥管理和发卡系统4通过标签发卡器2把初始密钥和id下发到加密rfid标签1里,并把加密rfid标签1的id和密钥信息上传到数据分发及身份认证系统5;同时所述密钥管理和发卡系统4把初始密钥下发到安全rfid阅读器3;
所述安全rfid阅读器3用于与数据分发及身份认证系统5以及加密rfid标签1之间进行安全认证和加密通信;安全rfid阅读器3读取加密rfid标签1的id,并带密码读出加密rfid标签1的随机数;安全rfid阅读器3对读出的数据进行加密,并把加密数据传给所述数据分发及身份认证系统5;所述安全rfid阅读器3对数据分发及身份认证系统5发出的数据进行解密,并与加密rfid标签1进行校验,校验成功后更新加密rfid标签1的id及秘钥;安全rfid阅读器3与加密rfid标签1每校验成功一次,加密rfid标签的秘钥、id都会进行更新,形成滚动的加密;
所述数据分发及身份认证系统5用于对所述安全rfid阅读器3传入的数据进行计算后返回给所述安全rfid阅读器3。
所述安全rfid阅读器3用于与数据分发及身份认证系统5以及加密rfid标签1之间进行安全认证和加密通信;
安全rfid阅读器的功能主要是对加密rfid标签进行安全认证、从所述数据分发及身份认证系统5获取加密rfid标签id、滚动认证密钥等新参数并写入对应加密rfid标签。安全rfid阅读器中对上位机的数据协议处理均由内置数据处理模块31实现,数据的加解密等功能均由内置数据加解密模块32实现。
在具体实施例中,所述安全rfid阅读器3包括数据处理模块31、数据加解密模块32、rfid读写模块33和电源管理模块34;
所述rfid读写模块33用于与加密rfid标签1和数据处理模块31进行数据交互;所述rfid读写模块33读取加密rfid标签1的id,并带密码读出加密rfid标签1的随机数,将读取的数据传输到数据处理模块31;所述数据处理模块31对rfid读写模块33传入的数据进行格式转换和数据处理后,输出到所述数据加解密模块32;所述数据加解密模块32对收到的数据进行加密处理,返回给所述数据处理模块31进行格式转换和处理后,通过所述数据处理模块31传给所述数据分发及身份认证系统5;
所述数据处理模块31接收所述数据分发及身份认证系统5返回的数据,进行格式转换和处理后传给所述数据加解密模块32,所述数据加解密模块32对收到的数据进行解密处理,并通过所述数据处理模块31进行格式转换和处理后传给所述rfid读写模块33;所述rfid读写模块33在收到数据处理模块31返回的数据后,与加密rfid标签1进行校验,校验成功后更新加密rfid标签1的id及秘钥。
所述电源管理模块34用于为rfid读写模块33、数据处理模块31为数据加解密模块32提供所需电源。
所述数据处理模块31用于与rfid读写模块33和数据加解密模块32以及所述数据分发及身份认证系统5、密钥管理和发卡系统4进行数据交互;所述数据处理模块31对收到的数据进行格式转换和数据处理。
所述数据加解密模块32用于与数据处理模块31进行数据交互;所述数据加解密模块32对rfid读写模块33通过所述数据处理模块31输出的数据进行加密处理,并把加密后的数据通过数据处理模块31传给数据分发及身份认证系统5;所述数据加解密模块32对所述数据分发及身份认证系统5通过数据处理模块31返回的数据进行解密,将解密后的数据通过所述数据处理模块31返回给所述rfid读写模块33;参见图3,所述数据分发与身份认证系统5包括认证层51、表示层52、业务层53、持久层54和系统层55。
所述认证层51由usbkey认证模块组成;用于对数据分发与身份认证系统的初始化登录进行认证;用于检测是否插入usbkey中文名?和进行usbkey密码校验,在usbkey密码校验通过后,进行系统初始化和开始业务流程;
所述表示层52由对外接口模块组成,用于接受各业务指令的请示以及指令的回复;对外提供基于http协议的restful风格的接口;
业务层53由身份认证模块组成;用于对表示层52接收到的各类业务指令进行处理,并将处理结果返回至表示层52;
持久层54用于为业务层53提供数据存取的能力;
系统层55为linux操作系统,并在此操作系统上安装jre8,作为软件的基础运行环境。
所述业务层53包含用户管理模块531、密钥资源导入导出模块532、密钥管理模块533、阅读器认证模块534和标签身份认证模块535;
用户管理模块531:用于实现用户的登录认证,管理员对系统初始化操作的认证,管理员修改usbkeypin码等业务功能;
密钥资源导入导出模块532:用于导出自身的公钥数据,和导入密钥管理与发卡系统4下发的加密rfid标签1的id和密钥信息;
密钥管理模块533用于实现密钥管理接口,如产生密钥、查询密钥、更新密钥、销毁密钥等操作;
阅读器认证模块534用于对安全rfid阅读器3进行认证;
标签身份认证模块535用于对加密rfid标签1进行身份认证。
参见图4,安全rfid阅读器3认证的工作原理为:安全rfid阅读器3将认证信息组装成安全协议帧到所述数据分发与身份认证系统5提出认证请求。所述数据分发与身份认证系统5调用pcie密码卡相关算法与安全rfid阅读器进行密钥协商。完成安全rfid阅读器3认证。
参见图5,加密rfid标签1的身份认证工作原理为:安全rfid阅读器3将认证信息组装成安全协议帧到所述数据分发与身份认证系统5进行标签认证请求。所述数据分发与身份认证系统5校验信息完整性并查询数据库是否有此标签的信息。如果存在,产生新的标签id和密钥tag.dak返回给安全rfid阅读器3。待加密rfid标签1完成id和密钥的更新以后,安全rfid阅读器3将认证反馈信息组装成安全协议帧到所述数据分发与身份认证系统5进行标签身份认证的反馈请求。所述数据分发与身份认证系统5校验通过以后则加密rfid标签1通过认证。
加密rfid标签1密钥分发工作原理为:安全rfid阅读器将相关信息组装成安全协议帧,发送到所述密钥管理和发卡系统4,进行密钥分发请求。所述密钥管理和发卡系统4获取标签id,产生标签认证密钥tag.dak,校验协议帧mac值。然后使用加密密钥tf.tek对tag.dak进行sm4等密码运算,组装安全协议帧后,下发给加密rfid标签1。
参见图6,所述密钥管理和发卡系统4包括认证层二、表示层二52、业务层二、持久层二和系统层二。密钥管理和发卡系统4通过调用usbkey进行开机认证与系统初始化,调用pcie密码卡实现密钥存储、密码运算,随机数产生等功能。usbkey和pcie密码卡已通过国家密码管理局安全认证。
尽管已经示出和描述了本发明的实施例,本领域的普通技术人员可以理解:在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由权利要求及其等同物限定。
1.一种防复制rfid安全系统,包括加密rfid标签(1)、标签发卡器(2)、安全rfid阅读器(3)、密钥管理和发卡系统(4)和数据分发及身份认证系统(5);其特征在于:
所述安全rfid阅读器(3)向所述密钥管理和发卡系统(4)进行密钥分发请求,所述密钥管理和发卡系统(4)获取标签id,产生标签认证密钥,再进行密码运算,所述密钥管理和发卡系统(4)通过标签发卡器(2)把初始密钥和id下发到加密rfid标签(1)里,并把加密rfid标签(1)的id和密钥信息上传到数据分发及身份认证系统(5);同时所述密钥管理和发卡系统(4)把初始密钥下发到安全rfid阅读器(3);
所述安全rfid阅读器(3)用于与数据分发及身份认证系统(5)以及加密rfid标签(1)之间进行安全认证和加密通信;安全rfid阅读器(3)读取加密rfid标签(1)的id,并带密码读出加密rfid标签(1)的随机数;安全rfid阅读器(3)对读出的数据进行加密,并把加密数据传给所述数据分发及身份认证系统(5);所述安全rfid阅读器(3)对数据分发及身份认证系统(5)发出的数据进行解密,并与加密rfid标签(1)进行校验,校验成功后更新加密rfid标签(1)的id及秘钥;安全rfid阅读器(3)与加密rfid标签(1)每校验成功一次,加密rfid标签的秘钥、id都会进行更新,形成滚动的加密;
所述数据分发及身份认证系统(5)用于对所述安全rfid阅读器(3)传入的数据进行计算后返回给所述安全rfid阅读器(3)。
2.根据权利要求1所述的防复制rfid安全系统,其特征在于:所述安全rfid阅读器(3)包括数据处理模块(31)、数据加解密模块(32)、rfid读写模块(33)和电源管理模块(34);
所述rfid读写模块(33)用于与加密rfid标签(1)和数据处理模块(31)进行数据交互;所述rfid读写模块(33)读取加密rfid标签(1)的id,并带密码读出加密rfid标签(1)的随机数,将读取的数据传输到数据处理模块(31);所述数据处理模块(31)对rfid读写模块(33)传入的数据进行格式转换和数据处理后,输出到所述数据加解密模块(32);所述数据加解密模块(32)对收到的数据进行加密处理,返回给所述数据处理模块(31)进行格式转换和处理后,通过所述数据处理模块(31)传给所述数据分发及身份认证系统(5);
所述数据处理模块(31)接收所述数据分发及身份认证系统(5)返回的数据,进行格式转换和处理后传给所述数据加解密模块(32),所述数据加解密模块(32)对收到的数据进行解密处理,并通过所述数据处理模块(31)进行格式转换和处理后传给所述rfid读写模块(33);所述rfid读写模块(33)在收到数据处理模块(31)返回的数据后,与加密rfid标签(1)进行校验,校验成功后更新加密rfid标签(1)的id及秘钥。
所述电源管理模块(34)用于为rfid读写模块(33)、数据处理模块(31)为数据加解密模块(32)提供所需电源。
3.根据权利要求1或2所述的防复制rfid安全系统,其特征在于:数据分发与身份认证系统(5)包括认证层(51)、表示层(52)、业务层(53)、持久层(54)和系统层(55);
所述认证层(51)由usbkey认证模块组成;用于对数据分发与身份认证系统的初始化登录进行认证;用于检测是否插入usbkey和进行usbkey密码校验,在usbkey密码校验通过后,进行系统初始化和开始业务流程;
所述表示层(52)由对外接口模块组成,用于接受各业务指令的请示以及指令的回复;对外提供接口;
业务层(53)由身份认证模块组成;用于对表示层(52)接收到的各类业务指令进行处理,并将处理结果返回至表示层(52);
持久层(54)用于为业务层(53)提供数据存取的能力;
系统层(55)为操作系统,作为软件的基础运行环境。
4.根据权利要求3所述的防复制rfid安全系统,其特征在于:所述业务层(53)包含用户管理模块(531)、密钥资源导入导出模块(532)、密钥管理模块(533)、阅读器认证模块(534)和标签身份认证模块(535);
用户管理模块(531):用于实现用户的登录认证;
密钥资源导入导出模块(532):用于导出自身的公钥数据,和导入密钥管理与发卡系统(4)下发的加密rfid标签(1)的id和密钥信息;
密钥管理模块(533)用于实现密钥管理接口,如产生密钥、查询密钥、更新密钥、销毁密钥等操作;
阅读器认证模块(534)用于对安全rfid阅读器(3)进行认证;
标签身份认证模块(535)用于对加密rfid标签(1)进行身份认证。
技术总结