基于RFID的汽车号牌自动识别系统的安全性设计

　　安全威胁

　　由于成本的限制，标签本身很难具备能够足以保证安全的能力。因此非法用户可以利用合法的阅读器或者自构一个阅读器，直接与标签进行通信。这样就可以很容易地获取标签内所存数据。而对于读写式标签，还面临数据被篡改的风险。

　　对于通信安全和阅读器的安全问题，人们研究得非常多，而且也提出很多行之有效的方法，这些方法包括：采用安全的通信协议或专有的通信协议，如Hash2Lock协议、Hash链协议、基于杂凑的ID变化协议、询问。响应认证协议、再次加密机制等等。使用探测器探测其他RFID阅读器的存在，并发送干扰信号，以防标签上的数据被暴露；为标签编程，使其只可能与已授权的RFID阅读器通信；对标签和阅读器采用更强的加密及安全功能；此外还提出了Kill标签、法拉第网罩、智能标签、阻止标签等方法。这些方法均很成熟，并各有自己的特色和不足，必须针对不同的应用灵活选择和组合。

　　而对于标签中的数据安全，日常应用都是采用加密的方法。然而不同的加密算法复杂程度不同，对硬件性能的要求也不同，其安全级别也不同。

　　为了保证汽车号牌自动识别系统中的安全，在通信和阅读器方面系统采用相应的高安全措
施，对于标签中的数据安全，系统除了采用部分常规的加密方法，还综合衡量标签中可读写的空间大小，读写效率以及读写误差等因素，提出了新的安全设计，这种多层次的安全措施足够保证标签中的号牌数据不能被随意读取甚至篡改。

　　2.1隐秘数据起始地址

　　目前一般的标签可供写入的有200多个存储单元(每个单元一个字节)，汽车号牌形式为“吉AAl234”，存储时只需要8个字节，加上其他信息(如发动机号等)，一般只需要30～50个字节，这样就可以从地址9—150(地址0—8中存放标签ID)范围中任意选择一个地址作为存储数据的起始地址，由于地址的任意性，即使非法用户获取到标签中的数据，但也很难确认哪些信息是车牌信息。为此系统提供了设置数据起始地址的功能，而这个起始地址是保密的。此外系统还提供了利用随机数生成器来生成随机的起始地址，然后把这个起始位置信息存放到固定的地方，每次读取数据的时候先从固定地方读取出数据的起始地址，然后再去读取真正的号牌信息。安全性虽然增加了，但读标签的次数也会相应增加，效率就会降低，目前这种方法已经实现，但考虑到标签的读写效率以及系统本身的足够安全，因此还没有采用。

　　2.2随机数初始化

　　标签在出厂后，内部的数据单元除了标签ID外，其余单元均为数字零，因此可以通过读取标签中非零单元中的数据，就能很容易识别出标签中的车牌号码等信息。即使简单地进行初始化，非法用户依旧可以通过读取标签中的数据后，根据数据本身的特征分析出车牌号码等重要信息。为了防止其他非法用户读取标签中的数据用来分析，系统在运行后提供了随机数初始化功能，该功能主要是利用随机数生成函数生成若干个随机数，然后把标签中所有的单元均写上这样的数据。这个随机数不是任意的，而是和车牌号码相同的，也就是说生成的都是车牌号码，这一点至关重要。如此初始化后，非法用户无法通过读取卡中数据来获知车牌号码等信息，因为标签中存储的是若干个车牌号码。而这样的初始化并不影响真正数据的写入操作，在写入真实号牌信息时会自动覆盖掉原来的数据。具体实现如下：

　　2.3使用验证码

　　由于标签是读写式，非法用户可能通过一些非法渠道获得合法的阅读器(尽管机会很小，但仍不可避免)，这样非法用户就可以对标签中的数据进行改写或者完全复制，从而把非法的标签冒充为合法标签，逃避车辆识别，也就是现实中的汽车号牌的套牌现象。为了维护合法用户的权力，保证标签中的数据不被恶意篡改或被用户完全拷贝，系统中增加了一种用于辨认标签合法身份的验证码。

　　系统利用MD5算法加密生成一个16个字节长的验证码，该验证码随同号牌数据一同写入到标签中的另外一个固定的地址中。验证码的明文是由标签ID、车牌、发动机号码以及用户输入的一个8位以上的口令等若干信息组合而成。

　　识别标签时，首先需要输入相应的用户口令，读取标签ID、标签内的号牌等信息，然后利用同样的MD5加密算法生成一个16个字节的验证码，与标签中的验证码进行比对，相同则验证通过，否则视为非法标签。这样即使非法用户完全拷贝了一个合法的标签，由于MD5算法的不可逆性、标签ID的唯一性以及用户口令的保密性，在读取时肯定不能通过验证。

　　2.4锁定标签并与数据库结合

　　每种标签都提供了锁定功能，一旦某个单元地址被锁定，那么该单元内的数据就变成只读，而再也不能被重写(标签不提供解锁功能)。因此系统在写完所有的数据信息后。可以把标签中所有的单元锁定，锁定后的单元均不能被重写，这样避免了被合法用户无意的改写或被非法用户恶意的篡改，从而保证数据的正确性。