利用 RFID 保護(hù)系統(tǒng)固件和其它知識產(chǎn)權(quán)
防偽的經(jīng)典方法一直都是采用防偽包裝或某種不可恢復(fù)的防拆包裝,以及專門的標(biāo)簽印記技術(shù)。然而,任何在產(chǎn)品上可見的信息都可能被克隆,而且克隆信息可用于生產(chǎn)貌似真品的假冒產(chǎn)品。RFID 被認(rèn)為是庫存控制和產(chǎn)品追蹤管理的下一代條碼技術(shù),也能確保最終產(chǎn)品固件的安全和防止偽造,同時還能對產(chǎn)品的組成材料、保管環(huán)節(jié)及從原材料采購直到最終用戶購買產(chǎn)品涉及到的各種周邊情況的信息鏈進(jìn)行安全記錄管理。
RFID與產(chǎn)品標(biāo)識技術(shù)
RFID 器件可做得如米粒大小,同時具有足夠的內(nèi)存來保存密鑰、算法及產(chǎn)品擁有信息鏈。RFID 器件裝載的信息不需肉眼直接觀看,因而可嵌入到幾乎任何產(chǎn)品中,包括藥瓶、化妝品,或珠寶飾品。
RFID 標(biāo)簽本身并不安全,因?yàn)槠渲械漠a(chǎn)品信息會以無線信號方式向外廣播,用售價不到100美元的 RFID 讀寫器就可截獲產(chǎn)品信息。不過,也有 RFID 具備安全加密措施,且水平接近加密的微控制器。
口令和加密
最常用的 RFID 安全措施是口令保護(hù)。有些廠家采用幾乎不可破解的加密算法來加密口令。這種方法有個問題,就是口令(無論加密與否)要向外廣播,可能被輕易截獲,然后用于標(biāo)記假冒產(chǎn)品。制假者復(fù)制口令不需要去破解口令。這樣用一個加密口令就可造出數(shù)百個騙過管理讀寫器的假冒 RFID 標(biāo)簽。
密不外泄的鑒別技術(shù)
唯一真正能防止克隆 RFID 標(biāo)簽的方法是防止標(biāo)識信息被訪問。這可利用稱作身份鑒別的加密過程來實(shí)現(xiàn)。在這種鑒別過程中,讀寫器和/或RFID標(biāo)簽需要驗(yàn)證對方的合法性,即確認(rèn)對方能解讀某種無法破解的約定信息。RFID 標(biāo)簽和讀寫器都設(shè)計了某種秘密且不可訪問的信息,用于生成加密詢問字串發(fā)給對方。在這種鑒別機(jī)制中,標(biāo)簽使用這種秘密且不可訪問的鑒別密鑰和一個隨機(jī)數(shù),生成一個加密詢問字串發(fā)給讀寫器。合法的讀寫器要使用自己的秘密鑒別密鑰和這個隨機(jī)數(shù),復(fù)制出這個詢問字串發(fā)給標(biāo)簽。如果標(biāo)簽收到的字串與它自己生成的一樣,就認(rèn)可讀寫器的合法身份。這種鑒別被稱為詢問/響應(yīng)保護(hù)。在雙向的詢問/響應(yīng)鑒別機(jī)制中,讀寫器還要重復(fù)同樣的鑒別過程來確定 RFID 的合法身份。只有當(dāng)雙方相互認(rèn)可對方的身份后,RFID 標(biāo)簽才允許對方讀取和修改其標(biāo)識信息。
這種安全方案的關(guān)鍵在于:用于鑒別產(chǎn)品真?zhèn)蔚男畔Q不離開設(shè)備,因而不會被任何人讀取。標(biāo)識信息只用來計算加密詢問字串,而詢問字串的鑒別是在對方用自己的秘密信息復(fù)制此字串時進(jìn)行。雙方每次交易產(chǎn)生的加密詢問字串都不同,因此,用 RFID 交易過程中截獲的字串來克隆產(chǎn)品標(biāo)識是不行的。詢問字串每次都要改變。
由于在大多數(shù) RFID 協(xié)議中都是由詢問方(標(biāo)簽讀寫器)發(fā)起通信。RFID 標(biāo)簽必須隨時準(zhǔn)備好詢問字串。標(biāo)簽讀寫器讀取這個加密字串,并生成響應(yīng)字串發(fā)給 RFID 標(biāo)簽去驗(yàn)證。RFID 標(biāo)簽每完成一次成功驗(yàn)證后,都要更新字串(圖1),因此一個詢問字串絕不會使用兩次。制假者由于不能對詢問字串進(jìn)行正確的響應(yīng),就不能從設(shè)備獲得產(chǎn)品標(biāo)識信息,因而也就無法克隆產(chǎn)品標(biāo)識。
并非所有 RFID 產(chǎn)品都支持詢問/響應(yīng)鑒別機(jī)制,因此,注重安全的工程師應(yīng)檢查 RFID 標(biāo)簽是否具備此功能。
產(chǎn)品的真正廠家通過管理讀寫器中的密鑰,就能防止制假者讀取他們的產(chǎn)品信息,從而防止非法克隆他們的產(chǎn)品標(biāo)識。帶有假標(biāo)識的克隆產(chǎn)品將被發(fā)現(xiàn)是偽造的。
雙向詢問/響應(yīng)鑒別與單向詢問/響應(yīng)鑒別相似,只是讀寫器也要詢問 RFID 標(biāo)簽(見圖2)。這種鑒別機(jī)制要求讀寫器和 RFID 標(biāo)簽獨(dú)立保存各自鑒別用的不對稱密鑰。這種相互鑒別的機(jī)制保障了讀寫器和 RFID 標(biāo)簽身份的識別。這在合法讀寫器需要現(xiàn)場更新合法 RFID 標(biāo)簽時尤其有用。例如,廠家在對某一移動電子產(chǎn)品(如智能電話)的固件升級前,可能需要用讀寫器(如固件升級設(shè)備)來確認(rèn)該產(chǎn)品標(biāo)簽(產(chǎn)品本身)的真?zhèn)巍?
附加的數(shù)據(jù)保護(hù)安全功能
雙向詢問/響應(yīng)鑒別與單向詢問/響應(yīng)鑒別都能提供有效的防偽解決方案。但這類解決方案本身并不保護(hù)讀寫器與 RFID 標(biāo)簽間通信的數(shù)據(jù)。比如,用竊聽裝置就可監(jiān)聽整個詢問/響應(yīng)過程,并截獲讀寫器與標(biāo)簽間的交換數(shù)據(jù);在某些應(yīng)用中,甚至還可修改這些數(shù)據(jù),達(dá)到侵占的目的。
例如,惡意競爭對手可能故意向某一品牌的消費(fèi)電子產(chǎn)品固件植入錯碼,以達(dá)到所謂拒絕服務(wù)攻擊的目的。這種竊聽裝置還可將虛假信息植入競爭對手合法的消費(fèi)產(chǎn)品(電子或非電子的產(chǎn)品)中,使其變成“假冒產(chǎn)品”。因此,除了鑒別機(jī)制外,更完善的 RFID 標(biāo)識安全方案還得有數(shù)據(jù)保護(hù)機(jī)制。
大多數(shù) RFID 標(biāo)簽都可用寫入保護(hù)功能來鎖定其中的數(shù)據(jù),從而防止以后被修改。這種方法非常適合純粹的靜態(tài)信息標(biāo)識,如藥品,化妝品、服飾等。
在那些必需更新標(biāo)簽內(nèi)數(shù)據(jù)的場合,就應(yīng)當(dāng)使用對讀寫器和標(biāo)簽傳遞的數(shù)據(jù)進(jìn)行加密的標(biāo)簽。對讀寫器和標(biāo)簽傳遞的數(shù)據(jù)進(jìn)行加密,可保證傳輸數(shù)據(jù)的機(jī)密性。數(shù)據(jù)機(jī)密性對保護(hù)秘密或防止“中間人攻擊”可能都有用。這種保護(hù)機(jī)制對那些必需進(jìn)行現(xiàn)場升級的應(yīng)用尤其有用。
信息鑒別碼
要進(jìn)一步提高安全水平,還可增加所謂消息鑒別碼(MAC);采用這種算法,信息接收方就能確認(rèn)數(shù)據(jù)源的身份真?zhèn)我约皵?shù)據(jù)內(nèi)容的完整性。MAC 算法采用的密鑰與存儲在標(biāo)簽讀寫器和 RFID 標(biāo)簽中,用于相互鑒別的密鑰相同。在任何一次信息傳遞中,只有真正合法的讀寫器或RFID 標(biāo)簽才能發(fā)出正確的MAC。數(shù)據(jù)發(fā)送方生成一個MAC隨數(shù)據(jù)一起發(fā)出,數(shù)據(jù)接收方用自己的密鑰復(fù)制該 MAC,通過比對來驗(yàn)證該 MAC。如果該 MAC 沒通過驗(yàn)證,則表明信息源的身份不合法,數(shù)據(jù)的完整性值得懷疑(如信息在離開發(fā)送源后被修改過),或存在通信錯誤。數(shù)據(jù)加密與 MAC 結(jié)合使用,能為現(xiàn)場升級(電子產(chǎn)品的固件升級)提供強(qiáng)大的數(shù)據(jù)保護(hù)。
選擇合適的 RFID 安全方案
許多 RFID 標(biāo)簽都具有一定的安全性。為防止假冒產(chǎn)品,RFID 標(biāo)簽至少要能在釋放標(biāo)識信息前鑒別讀寫器身份。在采購RFID防偽方案時應(yīng)考慮如下兩件事情:
RFID 標(biāo)簽在允許訪問其中存儲的標(biāo)識信息前應(yīng)鑒別讀寫器的身份。如果僅需鑒別讀寫器,選擇詢問/響應(yīng)鑒別方案即可;如果需要更新保存在RFID標(biāo)簽內(nèi)的信息,就得選擇雙向詢問/響應(yīng)鑒別方案(相互鑒別),即驗(yàn)證標(biāo)簽是真正合法的,而不是某種想竊取信息的不法密探。
如果標(biāo)識信息以后不再變更,采用簡單的寫入保護(hù)即可。然而,在有些情況下(如固件升級),數(shù)據(jù)源的真?zhèn)巍?shù)據(jù)機(jī)密性及完整性很重要,這時所選RFID標(biāo)簽就應(yīng)當(dāng)具備數(shù)據(jù)保護(hù)及 MAC 功能。
RFID 技術(shù)能阻止產(chǎn)品制假。將合適的鑒別機(jī)制與數(shù)據(jù)保護(hù)安全機(jī)制結(jié)合起來,就可形成完善的產(chǎn)品保護(hù)方案。
RFID與產(chǎn)品標(biāo)識技術(shù)
RFID 器件可做得如米粒大小,同時具有足夠的內(nèi)存來保存密鑰、算法及產(chǎn)品擁有信息鏈。RFID 器件裝載的信息不需肉眼直接觀看,因而可嵌入到幾乎任何產(chǎn)品中,包括藥瓶、化妝品,或珠寶飾品。
RFID 標(biāo)簽本身并不安全,因?yàn)槠渲械漠a(chǎn)品信息會以無線信號方式向外廣播,用售價不到100美元的 RFID 讀寫器就可截獲產(chǎn)品信息。不過,也有 RFID 具備安全加密措施,且水平接近加密的微控制器。
口令和加密
最常用的 RFID 安全措施是口令保護(hù)。有些廠家采用幾乎不可破解的加密算法來加密口令。這種方法有個問題,就是口令(無論加密與否)要向外廣播,可能被輕易截獲,然后用于標(biāo)記假冒產(chǎn)品。制假者復(fù)制口令不需要去破解口令。這樣用一個加密口令就可造出數(shù)百個騙過管理讀寫器的假冒 RFID 標(biāo)簽。
密不外泄的鑒別技術(shù)
唯一真正能防止克隆 RFID 標(biāo)簽的方法是防止標(biāo)識信息被訪問。這可利用稱作身份鑒別的加密過程來實(shí)現(xiàn)。在這種鑒別過程中,讀寫器和/或RFID標(biāo)簽需要驗(yàn)證對方的合法性,即確認(rèn)對方能解讀某種無法破解的約定信息。RFID 標(biāo)簽和讀寫器都設(shè)計了某種秘密且不可訪問的信息,用于生成加密詢問字串發(fā)給對方。在這種鑒別機(jī)制中,標(biāo)簽使用這種秘密且不可訪問的鑒別密鑰和一個隨機(jī)數(shù),生成一個加密詢問字串發(fā)給讀寫器。合法的讀寫器要使用自己的秘密鑒別密鑰和這個隨機(jī)數(shù),復(fù)制出這個詢問字串發(fā)給標(biāo)簽。如果標(biāo)簽收到的字串與它自己生成的一樣,就認(rèn)可讀寫器的合法身份。這種鑒別被稱為詢問/響應(yīng)保護(hù)。在雙向的詢問/響應(yīng)鑒別機(jī)制中,讀寫器還要重復(fù)同樣的鑒別過程來確定 RFID 的合法身份。只有當(dāng)雙方相互認(rèn)可對方的身份后,RFID 標(biāo)簽才允許對方讀取和修改其標(biāo)識信息。
這種安全方案的關(guān)鍵在于:用于鑒別產(chǎn)品真?zhèn)蔚男畔Q不離開設(shè)備,因而不會被任何人讀取。標(biāo)識信息只用來計算加密詢問字串,而詢問字串的鑒別是在對方用自己的秘密信息復(fù)制此字串時進(jìn)行。雙方每次交易產(chǎn)生的加密詢問字串都不同,因此,用 RFID 交易過程中截獲的字串來克隆產(chǎn)品標(biāo)識是不行的。詢問字串每次都要改變。
由于在大多數(shù) RFID 協(xié)議中都是由詢問方(標(biāo)簽讀寫器)發(fā)起通信。RFID 標(biāo)簽必須隨時準(zhǔn)備好詢問字串。標(biāo)簽讀寫器讀取這個加密字串,并生成響應(yīng)字串發(fā)給 RFID 標(biāo)簽去驗(yàn)證。RFID 標(biāo)簽每完成一次成功驗(yàn)證后,都要更新字串(圖1),因此一個詢問字串絕不會使用兩次。制假者由于不能對詢問字串進(jìn)行正確的響應(yīng),就不能從設(shè)備獲得產(chǎn)品標(biāo)識信息,因而也就無法克隆產(chǎn)品標(biāo)識。
并非所有 RFID 產(chǎn)品都支持詢問/響應(yīng)鑒別機(jī)制,因此,注重安全的工程師應(yīng)檢查 RFID 標(biāo)簽是否具備此功能。
產(chǎn)品的真正廠家通過管理讀寫器中的密鑰,就能防止制假者讀取他們的產(chǎn)品信息,從而防止非法克隆他們的產(chǎn)品標(biāo)識。帶有假標(biāo)識的克隆產(chǎn)品將被發(fā)現(xiàn)是偽造的。
雙向詢問/響應(yīng)鑒別與單向詢問/響應(yīng)鑒別相似,只是讀寫器也要詢問 RFID 標(biāo)簽(見圖2)。這種鑒別機(jī)制要求讀寫器和 RFID 標(biāo)簽獨(dú)立保存各自鑒別用的不對稱密鑰。這種相互鑒別的機(jī)制保障了讀寫器和 RFID 標(biāo)簽身份的識別。這在合法讀寫器需要現(xiàn)場更新合法 RFID 標(biāo)簽時尤其有用。例如,廠家在對某一移動電子產(chǎn)品(如智能電話)的固件升級前,可能需要用讀寫器(如固件升級設(shè)備)來確認(rèn)該產(chǎn)品標(biāo)簽(產(chǎn)品本身)的真?zhèn)巍?
附加的數(shù)據(jù)保護(hù)安全功能
雙向詢問/響應(yīng)鑒別與單向詢問/響應(yīng)鑒別都能提供有效的防偽解決方案。但這類解決方案本身并不保護(hù)讀寫器與 RFID 標(biāo)簽間通信的數(shù)據(jù)。比如,用竊聽裝置就可監(jiān)聽整個詢問/響應(yīng)過程,并截獲讀寫器與標(biāo)簽間的交換數(shù)據(jù);在某些應(yīng)用中,甚至還可修改這些數(shù)據(jù),達(dá)到侵占的目的。
例如,惡意競爭對手可能故意向某一品牌的消費(fèi)電子產(chǎn)品固件植入錯碼,以達(dá)到所謂拒絕服務(wù)攻擊的目的。這種竊聽裝置還可將虛假信息植入競爭對手合法的消費(fèi)產(chǎn)品(電子或非電子的產(chǎn)品)中,使其變成“假冒產(chǎn)品”。因此,除了鑒別機(jī)制外,更完善的 RFID 標(biāo)識安全方案還得有數(shù)據(jù)保護(hù)機(jī)制。
大多數(shù) RFID 標(biāo)簽都可用寫入保護(hù)功能來鎖定其中的數(shù)據(jù),從而防止以后被修改。這種方法非常適合純粹的靜態(tài)信息標(biāo)識,如藥品,化妝品、服飾等。
在那些必需更新標(biāo)簽內(nèi)數(shù)據(jù)的場合,就應(yīng)當(dāng)使用對讀寫器和標(biāo)簽傳遞的數(shù)據(jù)進(jìn)行加密的標(biāo)簽。對讀寫器和標(biāo)簽傳遞的數(shù)據(jù)進(jìn)行加密,可保證傳輸數(shù)據(jù)的機(jī)密性。數(shù)據(jù)機(jī)密性對保護(hù)秘密或防止“中間人攻擊”可能都有用。這種保護(hù)機(jī)制對那些必需進(jìn)行現(xiàn)場升級的應(yīng)用尤其有用。
信息鑒別碼
要進(jìn)一步提高安全水平,還可增加所謂消息鑒別碼(MAC);采用這種算法,信息接收方就能確認(rèn)數(shù)據(jù)源的身份真?zhèn)我约皵?shù)據(jù)內(nèi)容的完整性。MAC 算法采用的密鑰與存儲在標(biāo)簽讀寫器和 RFID 標(biāo)簽中,用于相互鑒別的密鑰相同。在任何一次信息傳遞中,只有真正合法的讀寫器或RFID 標(biāo)簽才能發(fā)出正確的MAC。數(shù)據(jù)發(fā)送方生成一個MAC隨數(shù)據(jù)一起發(fā)出,數(shù)據(jù)接收方用自己的密鑰復(fù)制該 MAC,通過比對來驗(yàn)證該 MAC。如果該 MAC 沒通過驗(yàn)證,則表明信息源的身份不合法,數(shù)據(jù)的完整性值得懷疑(如信息在離開發(fā)送源后被修改過),或存在通信錯誤。數(shù)據(jù)加密與 MAC 結(jié)合使用,能為現(xiàn)場升級(電子產(chǎn)品的固件升級)提供強(qiáng)大的數(shù)據(jù)保護(hù)。
選擇合適的 RFID 安全方案
許多 RFID 標(biāo)簽都具有一定的安全性。為防止假冒產(chǎn)品,RFID 標(biāo)簽至少要能在釋放標(biāo)識信息前鑒別讀寫器身份。在采購RFID防偽方案時應(yīng)考慮如下兩件事情:
RFID 標(biāo)簽在允許訪問其中存儲的標(biāo)識信息前應(yīng)鑒別讀寫器的身份。如果僅需鑒別讀寫器,選擇詢問/響應(yīng)鑒別方案即可;如果需要更新保存在RFID標(biāo)簽內(nèi)的信息,就得選擇雙向詢問/響應(yīng)鑒別方案(相互鑒別),即驗(yàn)證標(biāo)簽是真正合法的,而不是某種想竊取信息的不法密探。
如果標(biāo)識信息以后不再變更,采用簡單的寫入保護(hù)即可。然而,在有些情況下(如固件升級),數(shù)據(jù)源的真?zhèn)巍?shù)據(jù)機(jī)密性及完整性很重要,這時所選RFID標(biāo)簽就應(yīng)當(dāng)具備數(shù)據(jù)保護(hù)及 MAC 功能。
RFID 技術(shù)能阻止產(chǎn)品制假。將合適的鑒別機(jī)制與數(shù)據(jù)保護(hù)安全機(jī)制結(jié)合起來,就可形成完善的產(chǎn)品保護(hù)方案。
評論