2.1隐秘数据起始地址
目前一般的标签可供写入的有200多个存储单元(每个单元一个字节),汽车号牌形式为“吉AAl234”,存储时只需要8个字节,加上其他信息(如发动机号等),一般只需要30~50个字节,这样就可以从地址9—150(地址0—8中存放标签ID)范围中任意选择一个地址作为存储数据的起始地址,由于地址的任意性,即使非法用户获取到标签中的数据,但也很难确认哪些信息是车牌信息。为此系统提供了设置数据起始地址的功能,而这个起始地址是保密的。此外系统还提供了利用随机数生成器来生成随机的起始地址,然后把这个起始位置信息存放到固定的地方,每次读取数据的时候先从固定地方读取出数据的起始地址,然后再去读取真正的号牌信息。安全性虽然增加了,但读标签的次数也会相应增加,效率就会降低,目前这种方法已经实现,但考虑到标签的读写效率以及系统本身的足够安全,因此还没有采用。
2.2随机数初始化
标签在出厂后,内部的数据单元除了标签ID外,其余单元均为数字零,因此可以通过读取标签中非零单元中的数据,就能很容易识别出标签中的车牌号码等信息。即使简单地进行初始化,非法用户依旧可以通过读取标签中的数据后,根据数据本身的特征分析出车牌号码等重要信息。为了防止其他非法用户读取标签中的数据用来分析,系统在运行后提供了随机数初始化功能,该功能主要是利用随机数生成函数生成若干个随机数,然后把标签中所有的单元均写上这样的数据。这个随机数不是任意的,而是和车牌号码相同的,也就是说生成的都是车牌号码,这一点至关重要。如此初始化后,非法用户无法通过读取卡中数据来获知车牌号码等信息,因为标签中存储的是若干个车牌号码。而这样的初始化并不影响真正数据的写入操作,在写入真实号牌信息时会自动覆盖掉原来的数据。具体实现如下:
2.3使用验证码
由于标签是读写式,非法用户可能通过一些非法渠道获得合法的阅读器(尽管机会很小,但仍不可避免),这样非法用户就可以对标签中的数据进行改写或者完全复制,从而把非法的标签冒充为合法标签,逃避车辆识别,也就是现实中的汽车号牌的套牌现象。为了维护合法用户的权力,保证标签中的数据不被恶意篡改或被用户完全拷贝,系统中增加了一种用于辨认标签合法身份的验证码。
系统利用MD5算法加密生成一个16个字节长的验证码,该验证码随同号牌数据一同写入到标签中的另外一个固定的地址中。验证码的明文是由标签ID、车牌、发动机号码以及用户输入的一个8位以上的口令等若干信息组合而成。
识别标签时,首先需要输入相应的用户口令,读取标签ID、标签内的号牌等信息,然后利用同样的MD5加密算法生成一个16个字节的验证码,与标签中的验证码进行比对,相同则验证通过,否则视为非法标签。这样即使非法用户完全拷贝了一个合法的标签,由于MD5算法的不可逆性、标签ID的唯一性以及用户口令的保密性,在读取时肯定不能通过验证。
2.4锁定标签并与数据库结合
每种标签都提供了锁定功能,一旦某个单元地址被锁定,那么该单元内的数据就变成只读,而再也不能被重写(标签不提供解锁功能)。因此系统在写完所有的数据信息后。可以把标签中所有的单元锁定,锁定后的单元均不能被重写,这样避免了被合法用户无意的改写或被非法用户恶意的篡改,从而保证数据的正确性。
以上的措施已经能够保证标签中的数据不会被篡改,也不会被破解。但为了更加安全可靠,系统采用了在写入号牌数据的同时,往公安交通部门的号牌数据库中写入对应的标签ID信息,号牌数据库本身的安全性,使得非法用户难以修改该数据库中的信息。这样在读取的时候只要到数据库中同时比较号牌和标签ID就可以知道该标签和对应号牌是否是真实的,从而确定是否被套牌。
3 验证
为了验证系统安全措施的有效性,搭建了测试平台,阅读器采用系统的阅读器,标签则采用了多种不同厂商的标签(也包括系统中使用过的标签),一部分软件是专门为测试编写的程序,一部分是从网络上收集来的解密程序。分别从获取、解密、改写标签内容、破坏和伪造标签等方面进行了反复测试,多次的测试结果分为以下几类:
(1)可以通过合法的阅读器或伪造的阅读器获取到标签里的内容,很难分析出其中的号牌数据,其成功率小于5%,且不能破解其中的加密内容。
(2)在某些特定的情况下可以改写里面的内容,但在验证的时候不能通过验证。
(3)破坏后的标签和伪造的标签均不能通过系统的验证。
4 结论
为了保证基于RFID的汽车号牌自动识别系统的数据的安全性,文中提出了随机数初始化、隐秘起始地址、MD5加密算法、标签锁定等多种方法,并把这些方法有效地结合起来。多次的实验结果和长时间的系统运行情况都证明了这些方法切实可行而且有效。
未来可以与标签生产商以及读写器生产商联合生产专门的标签和读写器,而这种标签和读写器不对外出售,这样就可以保证号牌标签达到二代身份证的安全级别甚至更高级别。目前该系统正在申请鉴定。
