利用 RFID 保护系统固件和其它知识产权

Taio

利用 RFID 保护系统固件和其它知识产权

( G/ _! z, J1 A) C; P5 t5 `
摘要：防伪的经典方法一直都是采用防伪包装或某种不可恢复的防拆包装，以及专门的标签印记技术。然而，任何在产品上可见的信息都可能被克隆，而且克隆信息可用于生产貌似真品的假冒产品。RFID被认为是库存控制和产品追踪管理的下一代条码技术，也能确保最终产品固件的安全和防止伪造，同时还能对产品的组成材料、保管环节及从原材料采购直到最终用户购买产品涉及到的各种周边情况的信息链进行安全记录管理。

( m- y% h% T) R, D' g关键词：防伪包装   知识产权   产品标识技术   RFID器件
# {( V4 C' I8 ]4 ?" |
防伪的经典方法一直都是采用防伪包装或某种不可恢复的防拆包装，以及专门的标签印记技术。然而，任何在产品上可见的信息都可能被克隆，而且克隆信息可用于生产貌似真品的假冒产品。RFID 被认为是库存控制和产品追踪管理的下一代条码技术，也能确保最终产品固件的安全和防止伪造，同时还能对产品的组成材料、保管环节及从原材料采购直到最终用户购买产品涉及到的各种周边情况的信息链进行安全记录管理。
; D  r. k. I: r& v. SRFID与产品标识技术
) o3 u" o( {) f2 A
5 {/ G. n# w% a. hRFID 器件可做得如米粒大小，同时具有足够的内存来保存密钥、算法及产品拥有信息链。RFID 器件装载的信息不需肉眼直接观看，因而可嵌入到几乎任何产品中，包括药瓶、化妆品，或珠宝饰品。
- g" f! {( c& f+ I$ A1 D

7 W5 u& c* \8 ?6 NRFID 标签本身并不安全，因为其中的产品信息会以无线信号方式向外广播，用售价不到100美元的 RFID 读写器就可截获产品信息。不过，也有 RFID 具备安全加密措施，且水平接近加密的微控制器。
% d2 a$ P$ t/ e$ b' J
口令和加密

( [# E) D/ R1 F( b4 C, n最常用的 RFID 安全措施是口令保护。有些厂家采用几乎不可破解的加密算法来加密口令。这种方法有个问题，就是口令 (无论加密与否) 要向外广播，可能被轻易截获，然后用于标记假冒产品。制假者复制口令不需要去破解口令。这样用一个加密口令就可造出数百个骗过管理读写器的假冒 RFID 标签。
# F: {& ?2 w* a- ^* y
1 x$ e3 U0 _* f( B3 ~" j  i密不外泄的鉴别技术
  e- r6 D' j- v4 K, I& v
唯一真正能防止克隆 RFID 标签的方法是防止标识信息被访问。这可利用称作身份鉴别的加密过程来实现。在这种鉴别过程中，读写器和/或RFID标签需要验证对方的合法性，即确认对方能解读某种无法破解的约定信息。RFID 标签和读写器都设计了某种秘密且不可访问的信息，用于生成加密询问字串发给对方。在这种鉴别机制中，标签使用这种秘密且不可访问的鉴别密钥和一个随机数，生成一个加密询问字串发给读写器。合法的读写器要使用自己的秘密鉴别密钥和这个随机数，复制出这个询问字串发给标签。如果标签收到的字串与它自己生成的一样，就认可读写器的合法身份。这种鉴别被称为询问/响应保护。在双向的询问/响应鉴别机制中，读写器还要重复同样的鉴别过程来确定 RFID 的合法身份。只有当双方相互认可对方的身份后，RFID 标签才允许对方读取和修改其标识信息。
( C# J% X; `) }  B9 y* R

- J! f* W, R" f9 f7 H/ U" \这种安全方案的关键在于：用于鉴别产品真伪的信息决不离开设备，因而不会被任何人读取。标识信息只用来计算加密询问字串，而询问字串的鉴别是在对方用自己的秘密信息复制此字串时进行。双方每次交易产生的加密询问字串都不同，因此，用 RFID 交易过程中截获的字串来克隆产品标识是不行的。询问字串每次都要改变。
+ C  G# x2 `; y/ A. K2 [/ ~
由于在大多数 RFID 协议中都是由询问方 (标签读写器) 发起通信。RFID 标签必须随时准备好询问字串。标签读写器读取这个加密字串，并生成响应字串发给 RFID 标签去验证。RFID 标签每完成一次成功验证后，都要更新字串（图1），因此一个询问字串绝不会使用两次。制假者由于不能对询问字串进行正确的响应，就不能从设备获得产品标识信息，因而也就无法克隆产品标识。

4 b! M) h5 J: [2 F# ~0 a并非所有 RFID 产品都支持询问/响应鉴别机制，因此，注重安全的工程师应检查 RFID 标签是否具备此功能。
/ u1 C- u3 J. c* ~
产品的真正厂家通过管理读写器中的密钥，就能防止制假者读取他们的产品信息，从而防止非法克隆他们的产品标识。带有假标识的克隆产品将被发现是伪造的。
3 i9 i7 m$ v) [. G6 _' T
. e5 j: N: Y8 C2 }! W0 I9 j4 ?双向询问/响应鉴别与单向询问/响应鉴别相似，只是读写器也要询问 RFID 标签 (见图2)。这种鉴别机制要求读写器和 RFID 标签独立保存各自鉴别用的不对称密钥。这种相互鉴别的机制保障了读写器和 RFID 标签身份的识别。这在合法读写器需要现场更新合法 RFID 标签时尤其有用。例如，厂家在对某一移动电子产品 (如智能电话) 的固件升级前，可能需要用读写器 (如固件升级设备) 来确认该产品标签 (产品本身) 的真伪。
  e! A  J: Q, R- s
附加的数据保护安全功能

% o2 T% O. p  \1 I双向询问/响应鉴别与单向询问/响应鉴别都能提供有效的防伪解决方案。但这类解决方案本身并不保护读写器与 RFID 标签间通信的数据。比如，用窃听装置就可监听整个询问/响应过程，并截获读写器与标签间的交换数据；在某些应用中，甚至还可修改这些数据，达到侵占的目的。

例如，恶意竞争对手可能故意向某一品牌的消费电子产品固件植入错码，以达到所谓拒绝服务攻击的目的。这种窃听装置还可将虚假信息植入竞争对手合法的消费产品 (电子或非电子的产品) 中，使其变成“假冒产品”。因此，除了鉴别机制外，更完善的 RFID 标识安全方案还得有数据保护机制。
3 W$ p2 F! b3 K  r9 v
大多数 RFID 标签都可用写入保护功能来锁定其中的数据，从而防止以后被修改。这种方法非常适合纯粹的静态信息标识，如药品，化妆品、服饰等。

* a/ y8 f) ]0 w+ H4 \  b, l6 g  |' S在那些必需更新标签内数据的场合，就应当使用对读写器和标签传递的数据进行加密的标签。对读写器和标签传递的数据进行加密，可保证传输数据的机密性。数据机密性对保护秘密或防止“中间人攻击”可能都有用。这种保护机制对那些必需进行现场升级的应用尤其有用。

信息鉴别码
- }; o" G+ _: J7 ~- k7 F3 O/ B
, h' u; U  Y& t  [3 r要进一步提高安全水平，还可增加所谓消息鉴别码（MAC）；采用这种算法，信息接收方就能确认数据源的身份真伪以及数据内容的完整性。MAC 算法采用的密钥与存储在标签读写器和 RFID 标签中，用于相互鉴别的密钥相同。在任何一次信息传递中，只有真正合法的读写器或RFID 标签才能发出正确的MAC。数据发送方生成一个MAC随数据一起发出，数据接收方用自己的密钥复制该 MAC，通过比对来验证该 MAC。如果该 MAC 没通过验证，则表明信息源的身份不合法，数据的完整性值得怀疑 (如信息在离开发送源后被修改过)，或存在通信错误。数据加密与 MAC 结合使用，能为现场升级 (电子产品的固件升级)提供强大的数据保护。
' |/ \% X+ m- J& G
选择合适的 RFID 安全方案
% j3 P* D" N( d% [3 W- _& E) [
许多 RFID 标签都具有一定的安全性。为防止假冒产品，RFID 标签至少要能在释放标识信息前鉴别读写器身份。在采购RFID防伪方案时应考虑如下两件事情：
% X1 G  a$ E& J
& C2 Y1 S/ b+ ~9 U2 `RFID 标签在允许访问其中存储的标识信息前应鉴别读写器的身份。如果仅需鉴别读写器，选择询问/响应鉴别方案即可；如果需要更新保存在RFID标签内的信息，就得选择双向询问/响应鉴别方案 (相互鉴别)，即验证标签是真正合法的，而不是某种想窃取信息的不法密探。
- d/ [* k$ W8 S0 ?* c- B/ \8 ?3 C
$ J! e6 ^# B! Q如果标识信息以后不再变更，采用简单的写入保护即可。然而，在有些情况下 (如固件升级)，数据源的真伪、数据机密性及完整性很重要，这时所选RFID标签就应当具备数据保护及 MAC 功能。

8 w5 r( G% y! l* W7 N/ LRFID 技术能阻止产品制假。将合适的鉴别机制与数据保护安全机制结合起来，就可形成完善的产品保护方案。
/ |" S4 A# C1 z0 b

wu68aq

好东东必须顶。