专利名称:一种安全的射频识别系统的网络接入系统及方法
技术领域:
本发明涉及一种射频识别系统的网络接入系统及方法,特别是一种安全的射频识别系统的网络接入系统及方法。
背景技术:
目前,射频识别系统由标签、读写器和后端应用系统组成。其中,标签与读写器之间采用射频信号进行通信,而读写器与后端应用系统之间则采用有线传输或无线传输的通信方式。在建立射频识别系统的网络连接的过程中,读写器与后端应用系统之间的通信,以及读写器与标签之间的通信都存在着不小的安全风险,同时,作为射频识别网络的接入终端,读写器面临着与其它接入终端一样的各种安全风险。当前的针对射频识别系统的网络连接的研究更多是专注于功能上扩展,而在安全性方面考虑较少。基于其组成结构,射频识·别系统在建立网络连接的过程中存在几方面的安全风险。第一,由于标签不具备识别与之·进行通信的读写设备的能力,使得标签存在被非法读写器攻击的安全风险;第二,由于标签与读写器之间基于特定频段进行通信,且二者之间缺少必要的身份认证,使得两者之间的通信信息存在被窃听、篡改和破坏的安全风险;第三,由于读写器缺少必要的安全防护,使得在读写终端存储和处理的数据存在被篡改的安全风险;第四,读写器与后端应用系统之间的通信缺乏必要的身份认证和访问控制手段,使得后端通信信息存在被窃取、篡改和破坏的安全风险。
发明内容
本发明针对射频识别系统的应用环境,提供了一种射频识别系统的安全改造方法和一种针对射频识别系统的网络安全接入方案,解决目前射频识别系统在建立网络连接过程中的身份欺骗、信息篡改和非法接入的问题。本发明中的射频识别系统包括三个组成部分标签、读写器和后端应用系统。标签包括天线和处理模块的硬件组成,其特征在于硬件组成进一步包括了用于实现与读写器之间进行双向身份认证的安全认证模块。读写器包括天线、射频通信模块和控制处理模块的硬件组成,其特征在于进一步包括了为读写器提供硬件级安全服务功能的安全硬件模块以及安全中间件层,该安全中间件层采用嵌入式芯片,安全中间件层软件包括用于实现对读写器关键软硬件配置进行完整性度量的完整性度量模块、用于实现读写器分别与标签、后端应用系统进行双向身份认证的身份认证单元、用于实现读写器作为终端的网络安全接入功能的网络接入代理模块、用于管理读写器中网络接入过程中的安全策略的策略管理模块。后端应用系统采用含有通信接口单元的服务器,服务器上的服务查询单元为软件,服务查询单元组成包括用于实现与读写器进行双向身份认证的认证模块、用于完成对读写器的关键软硬件的完整性状态进行校验的校验模块、用于实现对后端应用系统的身份认证、完整性校验和网络准入等安全策略的统一管理的安全管理模块。
本发明的射频识别系统中标签天线A与分别与处理模块和安全认证模块双向连接,与读写器中的天线B通过射频信号的耦合完成标签与读写器之间的能量传递和数据通 目;处理模块与安全认证模块之间双向连接,负责对接收到得射频信号和数据进行解析;安全认证模块实现与读写器之间的双向身份认证,保证标签中的隐私信息在合法设备之间进行传输。读写器是本发明中射频识别系统的核心组成部分,在本发明中主要完成三个基本功能1)按照后端应用系统的完整性度量策略,完成对自身配置信息的完整性度量,收集度量结果,向后端应用系统提出网络连接请求;2)根据系统后端通信的通信协议,实现与后端应用系统的网络安全连接;3)根据与标签之间的通信协议,实现与选定标签之间的双向身·份认证。读写器中,天线B与射频通信模块之间双向连接,与标签中的天线A通过射频信号的耦合完成标签与读写器之间的能量传递和数据通信,并把从天线A接收到的信号传送给射频通信模块;射频通信模块与控制处理模块之间双向连接,通过接收控制处理模块下发的指令,实现对从天线B发送或接收的射频信号进行封装或解析;控制处理模块分别与射频通信模块和安全硬件模块之间双向连接,作为读写器的核心硬件处理模块,负责读写器的内部所有数据的调度和处理;安全硬件模块分别与身份认证单元和完整性度量模块之间双向连接,作为是读写器的核心安全硬件部件,是一个有密码运算单元和存储单元的小型片上系统。具体可以采用COS芯片;通过提供密钥管理和配置管理等特性,与其它的软件功能模块一起,实现平台的身份认证、安全存储、数据加密、访问控制和完整性度量等功能;身份认证单元与完整性度量模块之间双向连接,是负责完成读写器与标签、读写器与后端应用系统之间的双向身份认证的软件功能模块;完整性度量模块是负责完成对读写器终端关键软硬件完整性状态收集的软件模块;网络接入代理分别与身份认证单元、完整性度量模块和策略管理模块之间双向连接,是读写器的软件组成模块,负责按照策略管理模块下发的网络接入策略,建立并维护读写器与后端应用系统的网络连接;策略管理模块是读写器的软件组成模块,负责读写器内部安全策略的制定、修改和定期查询策略的执行情况,并监督后端应用系统下发的安全策略的执行情况。后端应用系统是射频识别系统的后端业务处理系统,负责对标签和读写器组成的前端通信系统的所有数据的解析和处理。通信接口单元与服务查询单元之间双向连接,主要完成与读写器之间的通信数据的解析和封装;服务查询单元分别与认证模块、校验模块和安全管理模块之间双向连接,主要为前端通信系统提供相关业务的查询服务,同时为上层的认证模块、校验模块和安全管理模块提供基础的服务支持;
校验模块与认证模块之间双向连接,根据系统的网络连接和完整性度量的策略,完成对接入读写器的完整性校验;认证模块主要完成对读写器的身份认证并提供认证结果给读写器;安全管理模块分别与校验模块和认证模块之间双向连接,主要完成网络连接决策和安全策略管理的功能;网络决策主要是根据系统的网络连接策略和完整性度量策略,判断当前读写器是否处于可信任状态,以决定是否允许其接入网络,与之建立连接;策略管理负责制定系统所有的安全策略,并监视安全策略的执行情况,同时安全管理模块负责对服务查询模块转发来的安全数据包进行解析并分发,并统一管理读写器与标签之间的会话密钥。发明效果 I.本发明有效地防止了非法标签、非法读写器以及恶意后端应用系统的非法接入,保证了射频识别系统在网络连接建立过程中,标签、读写器和后端应用系统身份的合法 性。2.本发明提供了对申请网络接入的读写器进行关键软硬件状态完整性校验的机制,并提供对关键软硬件状态完整性被破坏的读写器的安全隔离和安全修复的机制,充分保证了接入网络的读写器的状态可信。
图I射频识别系统的组成示意图。
具体实施例方式本发明的工作流程按先后执行顺序分为两个阶段后端网络连接阶段和前端网络连接阶段。后端网络连接是指读写器与后端应用系统之间的网络连接的建立阶段,前端网络连接是指读写器与标签之间的设备身份的认证阶段。系统在进行网络连接过程中,由后端应用系统中的认证模块完成对读写器的认证,其工作流程如下。I)读写器的网络接入代理通过向策略管理模块获取网络连接的请求策略,发起向后端应用系统进行网络连接请求;2)后端应用系统的通信接口单元收到并转发该请求给服务查询单元,服务查询单元把给请求信息转发给安全管理模块,安全管理模块根据网络连接请求,下发对发起连接请求的设备进行身份认证的命令给认证模块,认证模块组成对读写器的身份认证请求数据包并发给服务查询单元,服务查询单元通过通信接口单元把该数据包发送给读写器的网络接入代理;3)读写器的网络接入代理收到该认证请求后,下发收集其身份信息和生成身份认证请求数据包的命令给身份认证单元,身份认证单元通过与策略管理模块通信,获取身份信息的收集策略,通过与安全硬件模块进行通信,根据收集策略提取读写器的身份信息,并生成对后端应用系统的认证请求,把这两个数据包通过网络接入代理一并发送给后端应用系统的通信接口单元;4)后端应用系统的通信接口单元收到该数据包后,通过服务查询模块把该数据包转发给安全管理模块,安全管理模块对该数据包进行解析,获取读写器的身份信息数据包和对后端应用系统的认证请求数据包,并转发给认证模块,认证模块验证读写器提供的身份信息的真实性,如果验证失败,则告诉安全管理模块,安全管理模块通过服务查询模块通知通信接口单元中止与该设备的通信并记录该设备提供的信息,写入黑名单中,同时生成本次操作的系统日志,流程结束;如果验证通过,执行步骤5);5)认证模块根据安全管理模块转发来的对后端应用系统的身份认证请求数据包,获取后端应用系统的身份信息,同时,通知校验模块发起对读写器的状态完整性校验请求,认证模块和校验模块通过与服务查询模块,把后端应用系统的身份信息和对当前读写器状态完整性信息进行验证的请求信息一起组包经通信接口单元发送给读写器的网络接入代理;6)读写器的网络接入代理收到该认证信息和验证请求的数据包后,首先解析认证信息,并对认证信息进行身份鉴别,如果鉴别失败,则终止与当前后端应用系统的通信,记录该后端应用系统的身份信息,同时生成本次操作的网络接入日志,流程结束;如果鉴别通 过,执行步骤7);7)读写器网络接入代理与策略管理模块通信,获取完整性信息收集策略,并下发收集当前读写器的软硬件配置的完整性信息的命令和策略给完整性度量模块,完整性度量模块收集读写器的软硬件完整性信息经安全硬件模块加密后,把加密后的完整性信息经网络接入代理发送给后端应用系统的通信接口单元;8)后端应用系统的通信接口单元收到读写器网络代理发送来的完整性信息后,把该信息经服务查询模块转发给安全管理模块,安全管理模块对该信息进行解析后发送给校验模块,校验模块对解析后的完整性信息进行完整性校验,把解析后的信息与系统存储的完整性状态信息进行一致性验证,如果验证通过,则告诉安全管理模块,安全管理模块同意建立本次连接,并把同意建立网络连接请求的数据包经服务查询模块通过通信接口单元发送给读写器的网络连接代理,后端网络连接流程结束,执行步骤13);如果验证失败,则执行步骤9);9)校验模块把校验失败的结果发送给安全管理模块,安全管理模块认定该读写器完整性状态被破坏,处于不可信状态,下发网络连接安全策略中的安全隔离命令,安全隔离命令经服务查询模块,通过通信接口单元发送给读写器的网络接入代理;10)网络接入代理执行安全隔离策略,让当前读写器处于安全隔离状态,并把当前状态信息发送给后端应用系统的通信接口单元;11)通信接口单元收到读写器的安全隔离状态信息后,经服务查询单元转发给安全管理模块,安全管理模块收到该信息后,验证其隔离状态的真实性,确认其安全隔离状态后,下发安全修复策略给服务查询模块,经通信接口模块转发给读写器的网络接入代理;12)网络接入代理收到安全修复策略后,把该策略通过完整性度量模块、安全硬件模块发送给控制处理模块,控制处理模块执行安全修复策略,对读写器状态进行完整性修复,当修复完成后,重复该网络连接过程,即回到步骤I)。读写器与标签之间的身份认证是建立在读写器与后端应用系统的建立网络连接的基础上进行的,其流程描述如下。13)读写器的网络接入代理向后端应用系统的通信接口单元发起获取与选定的标签的会话密钥的请求;14)后端应用系统的通信接口单元把该请求信息经服务查询模块转发给安全管理模块,安全管理模块查找该会话密钥,经服务查询模块,通过通信接口单元发送给读写器的网络接入代理;15)读写器收到该密钥后,把该密钥经身份认证单元转发给安全硬件模块,同时与策略管理模块通信,获取生成身份认证请求信息的策略,并把该策略转发给身份认证单元,身份认证单元通过与安全硬件模块的通信,依次经控制处理模块、射频通信模块和天线B发送用会话密钥加密后的对标签的认证请求的射频信号发送给标签的天线A ;16)标签的天线A收到认证请求射频信号后,把该信号转发给处理模块,处理模块收到该信号后,对信号进行解析,解析后下发收集身份信息的指令和生成对读写器进行身份认证请求的指令给安全认证模块,安全认证模块收到指令后生成认证信息,并产生对读写器的认证请求,经处理模块转化为射频信号通过天线A —起发送给读写器的天线B ;·17)天线B收到该射频信号后,经射频通信模块,转发给控制处理模块,控制处理模块对该射频信号进行解析,把解析后的认证信息和认证请求经安全硬件模块解密处理后,转发给身份认证单元,身份认证单元首先对认证信息进行解析,完成对标签的身份认证,如果认证失败,则终止与该标签的通信,同时记录该标签的身份信息;如果认证通过后,收集并生成读写器的身份认证信息经安全硬件模块,通过控制处理模块封装为射频信号经射频通信模块通过天线B发送给标签的天线A ;18)天线A收到天线B的射频信号后,转发给处理模块,处理模块对该射频信号进行解析,把解析后的身份信息转发给安全认证模块,安全认证模块对解析后的读写器的身份信息进行认证,如果认证失败,终止与之进行进一步的通信并认为该读写器为非法设备,流程结束,同时记录该设备,如果认证通过,则执行步骤19);19)安全认证模块把认证结果发送给处理模块,处理模块根据认证结果,同意建立了与该读写器之间的连接,并把同意建立前端射频网络连接的射频信号经天线A发给天线B,前端网络连接流程结束。
权利要求
1.一种安全的射频识别系统的网络接入系统,包括三个组成部分标签、读写器和后端应用 系统,其特征在于 标签包括天线和处理模块的硬件组成,硬件组成进一步包括了用于实现与读写器之间进行双向身份认证的安全认证模块; 读写器包括天线、射频通信模块和控制处理模块的硬件组成,其特征在于进一步包括了为读写器提供硬件级安全服务功能的安全硬件模块以及安全中间件层,该安全中间件层采用嵌入式芯片,安全中间件层软件包括用于实现对读写器关键软硬件配置进行完整性度量的完整性度量模块、用于实现读写器分别与标签、后端应用系统进行双向身份认证的身份认证单元、用于实现读写器作为终端的网络安全接入功能的网络接入代理模块、用于管理读写器中网络接入过程中的安全策略的策略管理模块; 后端应用系统采用含有通信接口单元的服务器,服务器上的服务查询单元为软件,月艮务查询单元组成包括用于实现与读写器进行双向身份认证的认证模块、用于完成对读写器的关键软硬件的完整性状态进行校验的校验模块、用于实现对后端应用系统的身份认证、完整性校验和网络准入等安全策略的统一管理的安全管理模块; 射频识别系统中标签天线A与分别与处理模块和安全认证模块双向连接,与读写器中的天线B通过射频信号的耦合完成标签与读写器之间的能量传递和数据通信; 处理模块与安全认证模块之间双向连接,负责对接收到得射频信号和数据进行解析;安全认证模块实现与读写器之间的双向身份认证,保证标签中的隐私信息在合法设备之间进行传输; 读写器中,天线B与射频通信模块之间双向连接,与标签中的天线A通过射频信号的耦合完成标签与读写器之间的能量传递和数据通信,并把从天线A接收到的信号传送给射频通信模块; 射频通信模块与控制处理模块之间双向连接,通过接收控制处理模块下发的指令,实现对从天线B发送或接收的射频信号进行封装或解析; 控制处理模块分别与射频通信模块和安全硬件模块之间双向连接,作为读写器的核心硬件处理模块,负责读写器的内部所有数据的调度和处理; 安全硬件模块分别与身份认证单元和完整性度量模块之间双向连接,作为是读写器的核心安全硬件部件,是一个有密码运算单元和存储单元的小型片上系统; 身份认证单元与完整性度量模块之间双向连接,是负责完成读写器与标签、读写器与后端应用系统之间的双向身份认证的软件功能模块; 完整性度量模块是负责完成对读写器终端关键软硬件完整性状态收集的软件模块;网络接入代理分别与身份认证单元、完整性度量模块和策略管理模块之间双向连接,是读写器的软件组成模块,负责按照策略管理模块下发的网络接入策略,建立并维护读写器与后端应用系统的网络连接; 策略管理模块是读写器的软件组成模块,负责读写器内部安全策略的制定、修改和定期查询策略的执行情况,并监督后端应用系统下发的安全策略的执行情况; 后端应用系统是射频识别系统的后端业务处理系统,负责对标签和读写器组成的前端通信系统的所有数据的解析和处理; 通信接口单元与服务查询单元之间双向连接,主要完成与读写器之间的通信数据的解析和封装; 服务查询单元分别与认证模块、校验模块和安全管理模块之间双向连接,主要为前端通信系统提供相关业务的查询服务,同时为上层的认证模块、校验模块和安全管理模块提供基础的服务支持; 校验模块与认证模块之间双向连接,根据系统的网络连接和完整性度量的策略,完成对接入读写器的完整性校验; 认证模块主要完成对读写器的身份认证并提供认证结果给读写器; 安全管理模块分别与校验模块和认证模块之间双向连接,主要完成网络连接决策和安全策略管理的功能;网络决策根据系统的网络连接策略和完整性度量策略,判断当前读写器是否处于可信任状态,以决定是否允许其接入网络,与之建立连接;策略管理负责制定系统所有的安全策略,并监视安全策略的执行情况,同时安全管理模块负责对服务查询模块转发来的安全数据包进行解析并分发,并统一管理读写器与标签之间的会话密钥。
2.应用权利要求I所述系统的一种安全的射频识别系统的网络接入方法,其特征在于步骤如下 1)读写器的网络接入代理通过向策略管理模块获取网络连接的请求策略,发起向后端应用系统进行网络连接请求; 2)后端应用系统的通信接口单元收到并转发该请求给服务查询单元,服务查询单元把给请求信息转发给安全管理模块,安全管理模块根据网络连接请求,下发对发起连接请求的设备进行身份认证的命令给认证模块,认证模块组成对读写器的身份认证请求数据包并发给服务查询单元,服务查询单元通过通信接口单元把该数据包发送给读写器的网络接入代理; 3)读写器的网络接入代理收到该认证请求后,下发收集其身份信息和生成身份认证请求数据包的命令给身份认证单元,身份认证单元通过与策略管理模块通信,获取身份信息的收集策略,通过与安全硬件模块进行通信,根据收集策略提取读写器的身份信息,并生成对后端应用系统的认证请求,把这两个数据包通过网络接入代理一并发送给后端应用系统的通信接口单元; 4)后端应用系统的通信接口单元收到该数据包后,通过服务查询模块把该数据包转发给安全管理模块,安全管理模块对该数据包进行解析,获取读写器的身份信息数据包和对后端应用系统的认证请求数据包,并转发给认证模块,认证模块验证读写器提供的身份信息的真实性,如果验证失败,则告诉安全管理模块,安全管理模块通过服务查询模块通知通信接口单元中止与该设备的通信并记录该设备提供的信息,写入黑名单中,同时生成本次操作的系统日志,流程结束;如果验证通过,执行步骤5); 5)认证模块根据安全管理模块转发来的对后端应用系统的身份认证请求数据包,获取后端应用系统的身份信息,同时,通知校验模块发起对读写器的状态完整性校验请求,认证模块和校验模块通过与服务查询模块,把后端应用系统的身份信息和对当前读写器状态完整性信息进行验证的请求信息一起组包经通信接口单元发送给读写器的网络接入代理; 6)读写器的网络接入代理收到该认证信息和验证请求的数据包后,首先解析认证信息,并对认证信息进行身份鉴别,如果鉴别失败,则终止与当前后端应用系统的通信,记录该后端应用系统的身份信息,同时生成本次操作的网络接入日志,流程结束;如果鉴别通过,执行步骤7); 7)读写器网络接入代理与策略管理模块通信,获取完整性信息收集策略,并下发收集当前读写器的软硬件配置的完整性信息的命令和策略给完整性度量模块,完整性度量模块收集读写器的软硬件完整性信息经安全硬件模块加密后,把加密后的完整性信息经网络接入代理发送给后端应用系统的通信接口单元; 8)后端应用系统的通信接口单元收到读写器网络代理发送来的完整性信息后,把该信息经服务查询模块转发给安全管理模块,安全管理模块对该信息进行解析后发送给校验模块,校验模块对解析后的完整性信息进行完整性校验,把解析后的信息与系统存储的完整性状态信息进行一致性验证,如果验证通过,则告诉安全管理模块,安全管理模块同意建立本次连接,并把同意建立网络连接请求的数据包经服务查询模块通过通信接口单元发送给读写器的网络连接代理,后端网络连接流程结束,执行步骤13);如果验证失败,则执行步骤 9); 9)校验模块把校验失败的结果发送给安全管理模块,安全管理模块认定该读写器完整性状态被破坏,处于不可信状态,下发网络连接安全策略中的安全隔离命令,安全隔离命令经服务查询模块,通过通信接口单元发送给读写器的网络接入代理; 10)网络接入代理执行安全隔离策略,让当前读写器处于安全隔离状态,并把当前状态信息发送给后端应用系统的通信接口单元; 11)通信接口单元收到读写器的安全隔离状态信息后,经服务查询单元转发给安全管理模块,安全管理模块收到该信息后,验证其隔离状态的真实性,确认其安全隔离状态后,下发安全修复策略给服务查询模块,经通信接口模块转发给读写器的网络接入代理; 12)网络接入代理收到安全修复策略后,把该策略通过完整性度量模块、安全硬件模块发送给控制处理模块,控制处理模块执行安全修复策略,对读写器状态进行完整性修复,当修复完成后,重复该网络连接过程,即回到步骤I); 13)读写器的网络接入代理向后端应用系统的通信接口单元发起获取与选定的标签的会话密钥的请求; 14)后端应用系统的通信接口单元把该请求信息经服务查询模块转发给安全管理模块,安全管理模块查找该会话密钥,经服务查询模块,通过通信接口单元发送给读写器的网络接入代理; 15)读写器收到该密钥后,把该密钥经身份认证单元转发给安全硬件模块,同时与策略管理模块通信,获取生成身份认证请求信息的策略,并把该策略转发给身份认证单元,身份认证单元通过与安全硬件模块的通信,依次经控制处理模块、射频通信模块和天线B发送用会话密钥加密后的对标签的认证请求的射频信号发送给标签的天线A ; 16)标签的天线A收到认证请求射频信号后,把该信号转发给处理模块,处理模块收到该信号后,对信号进行解析,解析后下发收集身份信息的指令和生成对读写器进行身份认证请求的指令给安全认证模块,安全认证模块收到指令后生成认证信息,并产生对读写器的认证请求,经处理模块转化为射频信号通过天线A —起发送给读写器的天线B ; 17)天线B收到该射频信号后,经射频通信模块,转发给控制处理模块,控制处理模块对该射频信号进行解析,把解析后的认证信息和认证请求经安全硬件模块解密处理后,转发给身份认证单元,身份认证单元首先对认证信息进行解析,完成对标签的身份认证,如果认证失败,则终止与该标签的通信,同时记录该标签的身份信息;如果认证通过后,收集并生成读写器的身份认证信息经安全硬件模块,通过控制处理模块封装为射频信号经射频通信模块通过天线B发送给标签的天线A ; 18)天线A收到天线B的射频信号后,转发给处理模块,处理模块对该射频信号进行解析,把解析后的身份信息转发给安全认证模块,安全认证模块对解析后的读写器的身份信息进行认证,如果认证失败,终止与之进行进一步的通信并认为该读写器为非法设备,流程结束,同时记录该设备,如果认证 通过,则执行步骤19); 19)安全认证模块把认证结果发送给处理模块,处理模块根据认证结果,同意建立了与该读写器之间的连接,并把同意建立前端射频网络连接的射频信号经天线A发给天线B,前端网络连接流程结束。
全文摘要
一种安全的射频识别系统的网络接入系统及方法属于网络安全领域。系统包括三标签、读写器和后端应用系统,标签包括天线和处理模块的硬件组成,其特征在于硬件组成进一步包括了用于实现与读写器之间进行双向身份认证的安全认证模块。读写器包括天线、射频通信模块和控制处理模块的硬件,其特征在于进一步包括完整性度量模块、身份认证单元、网络接入代理模块、策略管理模块。后端应用系统采用通信接口单元的服务器,服务查询单元为软件,服务查询单元组成包括认证模块、校验模块、安全管理模块。本发明有效地防止了非法标签、非法读写器以及恶意后端应用系统的非法接入,充分保证了接入网络的读写器的状态可信。
文档编号H04L9/32GK102932338SQ20121041186
公开日2013年2月13日 申请日期2012年10月24日 优先权日2012年10月24日
发明者姚金利, 王斌, 曾颖明, 刘刚, 赵政耀, 黄晨, 钟耀进 申请人:中国航天科工集团第二研究院七〇六所