专利名称:一种适合不同用户远程安全控制的超高频读写器的制作方法
技术领域:
本发明涉及一种读写器,特别是一种适合不同用户远程安全控制的超高频读写
O
背景技术:
近年来,无线射频识别技术(Radio Frequency Identification,以下简称RFID) 的研究与应用正飞速发展。已有专家预言,它有可能成为继移动通讯技术、互联网技术之 后又一项影响全球经济与人类生活的新技术。作为一项先进的自动识别和数据采集技术, RFID技术已经成功应用到生产制造、物流管理、公共安全等各个领域。随着RFID技术的成 熟和普及,各国政府都意识到RFID技术对未来的影响和蕴涵的巨大商机,制定相关政策或 投入物力,积极推动本国RFID产业发展。与125KHz低频、13. 56MHz高频射频识别系统相比,900MHz超高频射频识别系统具 有读写速度快、识别距离远、可读写更多电子标签等特点,已经在仓储物流、智能停车场、生 产线管理以及产品防伪等众多领域得到越来越广泛的应用。超高频读写器作为900MHz超 高频射频识别系统的一个主要组成部分,和900MHz电子标签进行相互通信,并通过计算机 网络或串口连到计算机上,从计算机获取命令并返回应答数据。虽然900MHz超高频射频识别系统有如上的诸多优点,但在安全性方面尚存在不 足之处,与13. 56高频射频识别系统不同,符合国际标准EPC Cl G2的超高频射频识别系统 中的读写机具和电子标签不需要相互认证,同时机具方面也没有特别的安全保护措施。随着计算机网络技术的突飞猛进,远程办公、远程控制不再是遥不可及的事情,用 户在不同地点控制象超高频读写器这样的一台设备是很多应用的现实需要,也确实能给用 户带来很多便利和创造很大的价值,但象黑客、病毒等此类计算机问题却是对此类应用的 一大威胁。目前,网络安全特别是数据安全的问题已经日益突出地摆在各类用户的面前。目 前在互联网上大约有将近20%以上的用户曾经遭受过黑客的困扰,几乎所有计算机都遭到 过各类病毒的破坏。网络的不安全,就必然会影响到连到网络上的各个设备,包括连到网络 上的具有跟踪功能的超高频读写器。而今,超高频读写器和计算机交互的信息基本上用明 文数据,以网络或串口方式传输,这对一些特殊如银行、证券以及关系到国家安全的领域, 造成极大的安全隐患,所以超高频读写器的数据安全性要求就更加突出。网络安全的一个非常重要的手段就是加密技术,它的思想核心就是既然网络本身 并不安全可靠,那么所有重要信息就全部通过加密处理。加密的技术主要分两种 单匙技术这种技术无论加密还是解密都是用同一把钥匙(secret key)。这是比较传统的一 种加密方法。发信人用某把钥匙将某重要信息加密,通过网络传给收信人,收信人再用同一 把钥匙将加密后的信息解密。 双匙技术此技术使用两个相关互补的钥匙一个称为公用钥匙(public key),另一个称为私人钥匙(secret key)。公用钥匙是大家被告知的,而私人钥匙则只有每个人自己知道。 发信者需用收信人的公用钥匙将重要信息加密,然后通过网络传给收信人。收信人再用自 己的私人钥匙将其解密。除了私人钥匙的持有者,没有人——即使是发信者——能够将其 解密。公用钥匙是公开的,可以通过网络告知发信人(即使网络不安全)。而只知道公用钥 匙是无法导出私人钥匙的。加密技术主要有两个用途,一是加密信息,正如上面介绍的,发 信者用收信人的公用钥匙将重要信息加密,然后传给收信人,收信人再用自己的私人钥匙 将其解密。另一个是信息数字签名,即发信者用自己的私人钥匙将信息加密,这就相当于在 这条消息上署上了名。任何人只有用发信者的公用钥匙,才能解开这条消息。这一方面可 以证明这条信息确实是此发信者发出的,而且事后未经过他人的改动(因为只有发信者才 知道自己的私人钥匙);另一方面也确保发信者对自己发出的消息负责,消息一旦发出并 署了名,他就无法再否认这一事实。如果既需要保密又希望签名,则可以将上面介绍的两个步骤合并起来。即发信者 先用自己的私人钥匙签名再用收信者的公用钥匙加密,再发给对方。反过来收信者只需用 自己的私人钥匙解密,再用发信者的公用钥匙验证签名。目前,采用单钥加密技术的算法有DES算法、流加密算法等,而采用双钥加密技术 的算法有RSA等。
发明内容
为克服上述已有技术的不足,本发明要解决的技术问题是提供一种适合不同用户 远程安全控制的超高频读写器。该读写器在使用之前,为防止非法计算机或超高频读写器 对该读写系统的攻击,计算机和该超高频读写器之间需要进行相互三重认证,针对不同用 户,超高频读写器需要认证的密钥由SAM安全模块提供,认证通过后超高频读写器和计算 机相互通信的数据采用密文数据。从而解决了计算机在使用超高频读写器时的数据安全问 题,以便于不同用户对它的远程安全控制。为解决上述技术问题,本发明的技术方案是一种超高频读写器,包括MCU处理器模块、SAM安全模块、认证加解密模块、射频读 写模块、计算机通信模块。所述认证加解密模块分别与所述MCU处理器模块和计算机通信模块相连,用于读 写器和计算机之间的相互认证、计算机发给读写器密文数据的解密、及读写器应答给计算 机数据的加密;所述SAM安全模块与所述MCU处理器模块相连,用于存储针对不同用户的多组密 钥,该密钥用于读写器和计算机之间的相互认证和数据加解密;所述射频读写模块与所述MCU处理器模块相连,用于为读写器和电子标签通信提 供物理通道;所述计算机通信模块分别与所述认证加解密模块和计算机相连,用于为读写器和 计算机通信提供接口。该读写器还包括存储器模块,用于数据的存储,该存储器模块与所述MCU处理器 模块相连。所述认证加解密模块是一块FPGA芯片,包括编码电路、解码电路、加解密子模块、控制电路、存储器RAM、接口电路、随机数发生器以及时钟和电源电路。所述SAM安全模块的电气特性、访问指令等都符合IS07816标准,该SAM安全模块 包括它与MCU处理器模块的接口电路、插入Hl卡座的一张应用SAM卡。所述射频读写模块包括超高频读写芯片、外围的压控振荡器、功放环行器以及天 线,通信的协议采用国际标准的EPC C1G2协议,所述射频读写模块和MCU处理器模块通信 的方式采用8位数据总线配合中断的方式。所述计算机通信模块包括串行通信模块和以太网通信模块;所述读写器是 900MHz超高频读写器。本发明超高频读写器,当计算机用户从远程开始使用该超高频读写器时,计算机 向超高频读写器发出命令,MCU处理器模块将用户的密码从SAM安全模块载入认证加解密 模块,用户密码以密文的方式进行传递,包括以下步骤第一步发行时初始密码KEYs的加载;第二步使用过程中用户密码从SAM安全模块载入认证加解密模块。当超高频读写器的MCU处理器模块将用户的密码从SAM安全模块载入认证加解密 模块之后,超高频读写器和计算机之间进行三重相互认证。在计算机通过超高频读写器写入数据到电子标签的阶段在计算机端,首先将需 要写入电子标签的明文数据产生数字摘要,然后将该数字摘要加密,产生数字签名数据;其 次,计算机将数字签名数据和明文数据经加密生成密文数据,发送给超高频读写器;在超高频读写器端,计算机发送的密文数据经过计算机通信模块输入到认证加解 密模块进行数据解密,MCU处理器模块将已解密的数字签名数据和明文数据存放到存储器 模块中;当电子标签进入超高频读写器的操作区域时,MCU处理器模块从存储器模块中取 出已解密的数字签名数据和明文数据,再通过射频读写模块写入处于超高频读写器工作区 域的电子标签。在计算机通过超高频读写器从电子标签读出数据的阶段在超高频读写器端,首 先MCU处理器模块通过射频读写模块将电子标签中的明文数据和数字签名数据读出,并放 到存储器模块中;然后认证加解密模块将该数据进行加密处理;最后,计算机通信模块将 这两部分密文数据送回给计算机;在计算机端,首先计算机将这两部分密文数据进行解密,恢复出明文数据和数字 签名数据;其次再对数字签名数据进行解密,恢复出数字摘要2,另外再对明文数据计算出 数字摘要1,如果这两份数字摘要相同,说明数据在传递过程中没有被篡改,数据完整和一 致性得到保证。与现有技术相比,本发明的有益效果是本发明适合不同用户远程安全控制的900MHz超高频读写器,在使用之前,为防止 非法计算机或超高频读写器对其读写系统的攻击,计算机和该超高频读写器之间需要进行 相互三重认证,针对不同用户,超高频读写器需要认证的密钥由SAM安全模块提供,认证通 过后超高频读写器和计算机相互通信的数据采用密文数据。利用计算机通信模块,每个读写器可以设置一个特定的IP地址,这样不同用户计 算机可以在远端通过连接该IP地址和该读写器取得通信,并进行远程控制操作。本发明可以有效解决计算机和读写器之间数据传送的安全问题,并保证存放在电子标签内的数据安全和签名追溯,可以实现不同用户对读写器的远程安全控制,在应用系 统中充分发挥900MHz超高频RFID系统通信距离远、通信速度快、体积小、方便快捷等优点。
图1是本发明读写器的网络应用的示意图。
图2是本发明读写器的应用系统的操作流程图。
图3是本发明计算机用户使用读写器的流程图。
图4是本发明超高频读写器的结构示意图。
图5是本发明超高频读写器的MCU处理器模块和存储器模块的示意图。
图6是本发明超高频读写器的认证加解密模块的示意图。
图7是本发明超高频读写器和计算机之间的三重认证过程示意图。
图8是本发明超高频读写器的SAM安全模块的示意图。
图9是本发明超高频读写器的射频读写模块的示意图。
图10是本发明超高频读写器的以太网通信模块的示意图。
具体实施例方式下面结合附图和实施例对本发明的具体实施方式
做进一步详细的说明,但不应以 此限制本发明的保护范围。本发明超高频读写器的应用分为网络应用和单机应用这两种,网络应用的示意图 参见图1本发明读写器的网络应用的示意图。网络应用时,和计算机的通信接口采用以太 网网络接口,这时读写器具有唯一的IP地址。在网络权限允许条件下,内网或外网的任意 一台计算机可以通过读写器对应的IP地址,连接并使用该读写器。单机情况下的数据加密和签名方法和网络方式基本一样,只不过网络方式下计算 机传递到超高频读写器的数据通路是通过网络,根据IP地址传递;而单机情况下,计算机 传递到超高频读写器的数据通路时是通过本地的各个接口,如RS232串行接口等,用数据 加密和签名的方法,同样可以起到防止数据泄密、保证安全性的作用。在网络或串口情况下,整个应用系统的加解密和签名方法如图2所示。图2是本 发明读写器的应用系统的操作流程图。整个系统分为写入阶段和读出阶段。写入阶段的重点是网络中的计算机通过超 高频读写器在电子标签内部写入信息的过程,由计算机端和超高频读写器端配合完成。在 计算机端,首先将需要写入电子标签的明文数据利用MD5(Message-digestAlg0rithm 5 信息_摘要算法)算法或SHAl (Secure Hash Algorithml安全散列算法1)算法产生数 字摘要,同时用不同用户私钥进行RSA(算法的名字以发明者的名字命名Ron Rivest, AdiShamir和Leonard Adleman)加密,产生数字签名数据;其次,计算机将数字签名数 据和明文数据经加密生成密文数据,发送给超高频读写器,加密的方法可以用DES(Data Encrypfion Standard,即数据加密算法)单钥。在超高频读写器端,计算机发送的密文数据经过计算机通信模块输入到认证加解 密模块进行数据解密,解密的密钥可以用DES单钥,MCU处理器模块将已解密的数字签名数 据和明文数据存放到存储器模块中;当电子标签进入超高频读写器的操作区域时,MCU处理器模块从存储器模块中取出已解密的数字签名数据和明文数据,再通过射频读写模块写 入处于超高频读写器工作区域的电子标签。读出阶段的重点是将电子标签内部的数据读出到计算机过程,也由计算机端和超 高频读写器端配合完成。在超高频读写器端,首先MCU处理器模块通过射频读写模块将电 子标签中的明文数据和数字签名数据读出,并放到存储器模块中;然后认证加解密模块将 该数据进行加密处理,加密的算法可以采用DES算法;最后,计算机通信模块将这两部分密 文数据送回给计算机。在计算机端,首先计算机将这两部分密文数据进行解密,解密的算法可以采用DES 算法,恢复出明文数据和数字签名数据;其次再用对应该用户的RSA公钥对数字签名数据 进行解密,恢复出数字摘要2,另外再对明文数据通过MD5或SHAl算法计算出数字摘要1, 如果这两份数字摘要相同,说明数据在传递过程中没有被篡改,数据完整和一致性得到保 证。由于数据在网络传递过程中有RSA数字签名及DES加密两重保护,所以可以有效 避免数据被篡改和泄密的问题;同时,电子标签内部存放的数据因为是签名数据,所以安全 性也可以得到充分保证。计算机用户使用该读写器的流程如图3所示。图3是本发明计算机用户使用读写 器的流程图。请参阅图4。图4是本发明超高频读写器的结构示意图。本发明超高频读写器, 包括 MCU(Micro Controller Unit,微处理器单元)处理器模块、SAM(SecurityAccess Module,安全访问模块)安全模块、认证加解密模块、射频读写模块、计算机通信模块。所述认证加解密模块分别与所述MCU处理器模块和计算机通信模块相连,用于读 写器和计算机之间的相互认证、计算机发给读写器密文数据的解密、及读写器应答给计算 机数据的加密。所述SAM安全模块与所述MCU处理器模块相连,用于存储针对不同用户的多组密 钥,该密钥用于读写器和计算机之间的相互认证和数据加解密。所述射频读写模块与所述MCU处理器模块相连,用于为读写器和电子标签通信提 供物理通道。所述计算机通信模块分别与所述认证加解密模块和计算机相连,用于为读写器和 计算机通信提供接口。下面详细介绍读写器的各个模块。请参阅图5。图5是本发明超高频读写器的MCU处理器模块和存储器模块的示意 图。MCU处理器模块是该超高频读写器的核心,所以该处理器具有较强的数据处理能力和较 大的程序存储空间,并提供以太网MAC (Media Access Control介质访问控制子层协议)控 制。可选用但不限于Atmel公司的AT91SAM9260。使用时,处理器解析计算机发出的各条指 令,并作出相应的应答。如图5和图3所示,处理器模块将完成以下工作 在计算机用户从远程开始使用该读写器时,MCU处理器模块接收计算机发出的 命令,并着手将用户密钥从SAM安全模块载入认证加解密模块,该用户密钥以密文的方式 进行传递(传递过程请见下面描述);之后,MCU处理器模块给计算机进行应答,告诉计算机 读写器已经密钥配置完成,可以进行下一步的相互认证。
在读写器和计算机之间完成三重相互认证,确定通信双方的合法性之后,MCU处 理器模块就可以通过认证加解密模块获取计算机发出的已解密数据,并根据应用需要存放 到存储器模块中。 当900MHz电子标签进入读写器场区时,MCU处理器模块配合超高频射频读写模 块完成对电子标签的读写操作。 当读写器需要应答计算机发出的命令时,根据具体命令类型,MCU处理器模块配 合认证加解密模块和计算机通信模块给出加密或非加密的数据应答。例如仅涉及读写器 设置的命令,象通信波特率设置等,认证加解密模块和计算机通信模块可以给出非加密的 数据应答;而需要交互敏感数据的命令,象读写电子标签数据,认证加解密模块和计算机通 信模块可以给出加密的数据应答。用户密钥从SAM安全模块载入认证加解密模块的过程分 以下两步进行第一步发行时初始密钥KEYs的加载;该超高频读写器在出厂前或在每次更换SAM安全模块后,需要发行一次初始密钥 KEYs,该初始密钥KEYs的作用是解密使用过程中从SAM安全模块载入的用户密钥,由MCU 处理器模块负责从SAM安全模块转移到认证加解密模块。该初始密钥KEYs可放到认证加 解密模块提供的1024位片上用户Flash (闪存)存储器中。第二步使用过程中用户密钥从SAM安全模块载入认证加解密模块使用过程中,尤其在读写器和计算机之间的三重认证开始之前,MCU处理器模块需 要将对应用户的用户密钥从SAM安全模块载入认证加解密模块。SAM安全模块针对不同用 户可以算出各自的对应密钥。首先,MCU处理器模块向SAM安全模块发出命令,要求取用对 应用户的用户密钥,SAM安全模块在得到命令后,将用DES或其它加密算法加密的用户密钥 发给MCU处理器模块;之后,MCU处理器模块再将经加密的用户密钥发给认证加解密模块, 认证加解密模块用第一步中初始密钥KEYs将该用户密钥进行解密,并放到认证加解密模 块中FPGA的1024位片上用户Flash (闪存)存储器中。以后认证加解密模块就可以利用 该用户密钥来进行三重认证和数据加解密等工作。请参阅图5。存储器模块主要配合MCU处理器模块进行数据的存储,根据具体应用 需要,有些应用需要存储的数据量不大,就可以把数据存放到MCU处理器内部的数据存储 器中,而有些应用需要存储的数据量很大,则就需要把数据存放到存储器模块中了。MCU处 理器模块和存储器模块接口的线包括多条地址总线、多条数据总线,以及读/写/片选控制 信号线等。存储器模块可选用但不限于ST公司的M29W320DB。如6图本发明超高频读写器的认证加解密模块的示意图所示,认证加解密模块由 一块FPGA实现。FPGA可选用但不限于ACTEL公司的ProASIC3系列FPGA,主要由编解码电 路、加密算法电路、控制电路、RAM、与MCU处理器模块及计算机的接口电路、随机数发生器 以及时钟和电源电路等组成。编解码电路主要进行指令及数据的编码和译码;加密算法电 路主要进行数据的加解密并完成和计算机的相互认证;随机存取存储器(RAM)主要用于存 放加解密过程中的明文和密文数据;对外的接口电路主要由MCU接口电路及网络和串口接 口电路完成;随机数发生器提供认证过程中所需要的随机数时钟和电源电路控制该模块 的时钟树和电源管理。主要进行以下三方面的工作
9
第一读写器和计算机之间的三重相互认证为确认通信双方的合法性,读写器和计算机之间需要进行相互身份认证。在计算 机向读写器发出相互认证指令后,MCU处理器模块就确定好认证的算法和密钥,并和认证加 解密模块配合完成如下流程认证过程如图7本发明超高频读写器和计算机之间的三重认证过程示意图所示A、由读写器向计算机发送一个随机数RB ;B、计算机收到RB后,向读写器发送一串应答数据,数据中包含随机数RB经计算机 DES单钥加密后的密文数据TokenAB和计算机自己产生的随机数RA ;C、读写器收到TokenAB后,对TokenAB进行DES单钥解密后得到RB (T),并校验第 一次由读写器发出去的随机数RB是否与该RB(T)相等,如果相等,则证明计算机的身份是 合法正确的;之后,读写器向计算机发送一串应答数据,数据中包含随机数RA经读写器DES 单钥加密后的密文数据TokenBA ;D、计算机收到令牌密文数据TokenBA后,对进行DES单钥解密后得到RA(T),并校 验第一次由读写器发出去的随机数RA是否与RA(T)相等,如果相等,则证明读写器的身份 是合法正确的。如果上述几个过程都正确,则计算机和读写器完成相互认证,整个认证过程将成 功。计算机就可以进入下一步的操作,即密文数据的传送等操作。第二 计算机发出密文数据的解密当计算机和读写器完成相互认证之后,读写器就进入安全加密模式,同时计算机 就可以把经过加密的命令或数据发到读写器,经过认证加解密模块的解密操作,签名数据 就经由MCU处理器模块保存到存储器模块中。第三读写器应答给计算机数据的加密在计算机和读写器完成相互认证之后,当读写器需要向计算机应答数据时,数据 就送到认证加解密模块进行加密操作,之后再通过计算机通信模块送出到计算机。请参阅图8本发明超高频读写器的SAM安全模块的示意图。SAM安全模块包括如 图所示的一部分接口电路和插入上面Hl卡座上的一张应用SAM卡。SAM卡根据安全级别 和发行机构有根SAM卡、应用SAM卡等。接口电路包括控制上电的VCC_C0N信号线、检查卡 片是否插入的CarcLCheck信号线以及符合IS07816协议的SRST、SCLK, SIO控制线,电源 VCC和地GND用来给SAM卡提供电源和地,而电源VCC是否提供由信号线VCC_C0N控制;SAM 安全模块针对不同用户可以算出各自的对应用户密钥,用于读写器和计算机之间的相互认 证和数据加解密。当MCU处理器模块需要向SAM安全模块请求密钥数据时,将采用标准的 IS07816协议。用户密钥从SAM安全模块取出,到MCU处理器模块,再到认证加解密模块,整 个转移过程都以密文方式进行传递,传递过程请参见上面用户密钥从SAM安全模块载入认 证加解密模块的过程。请参阅图本发明超高频读写器的射频读写模块的示意图。射频读写模块主要由一 颗专门的超高频读写芯片配合外围的压控振荡器(VCO)、功放(PA)以及环行器、天线等组 成,主要提供一个给电子标签相互通信的物理通道。通信的协议采用国际标准的EPC Cl G2 协议,和MCU处理器模块通信的方式采用8位数据总线配合中断的方式。超高频读写芯片 可选用但不限于奥微公司的AS3990芯片。
本发明超高频读写器的计算机通信模块可以是串行通信模块,也可以是以太网通 信模块。作为和计算机通信的一种常用接口,本发明超高频读写器提供RS232串口通信 接口供用户开发、调试程序,该模块实现可以采用一颗MAXIM公司生产的RS232接口芯片 MAX3223。请参阅图10本发明超高频读写器的以太网通信模块的示意图。以太网通信模块 硬件部分由MAC控制器和物理层接口(Physical Layer,PHY)两大部分构成,以太网MAC 控制器已包括在MCU处理器模块内部,支持媒体独立接口(Media IndependentInterface, Mil)和带缓冲DMA接口(Buffered DMA Interface, BDI)。可在半双工或全双工模式下提 供10M/100MbpS的以太网接入。在半双工模式下,控制器支持CSMA/⑶协议,在全双工模式 下支持IEEE802. 3MAC控制层协议。物理层接口本发明可选用但不限于Realtek公司生产的全双工以太网控制器 RTL8201BL,它是一个单端口的物理层收发器,它有一个MII/SNI (媒体独立接口 /串行网络 接口)接口,实现了全部的10/100M以太网物理层功能,包括物理层编码子层(PCS),物理 层介质连接设备(PMA),双绞线物理媒介相关子层(TP-PMD),IOBase-Tx编解码和双绞线媒 介访问单元(TPMAU)。按数据链路的不同,可以将RTL8201BL内部划分为远程DMA (remote, DMA)通道和本地DMA(local DMA)通道两部分。本地DMA完成控制器与网线的数据交换, MCU处理器模块收发数据只需对远程DMA操作。当MCU处理器模块要向网上发送数据时, 先将一帧数据通过远程DMA通道送到RTL8201BL中的发送缓存区,然后发出传送数据命令。 RTL8201BL在完成了上一帧的发送后,再完成此帧的发送。RTL8201BL接收到的数据通过 MAC比较,CRC校验后,由FIFO存到接收缓冲区,收满一帧后,以中断的方式通知MCU处理
ο以太网控制器和RJ45以太网口之间增加了通讯网络变压器,它是一种连接以太 网收发芯片与终端设备接口之间的磁性组件,在其二者之间起着信号传输、阻抗匹配、波形 修复、信号杂波抑制和高电压隔离作用,本发明选用H1012。TCP/IP协议的其它各层实现由MCU处理器模块完成。利用以上以太网通信模块,每个读写器可以设置一个特定的IP地址,这样不同用 户计算机可以在远端通过连接该IP地址和该读写器取得通信,并进行远程控制操作。以上所述仅为本发明的较佳实施例而已,并非用来限定本发明的实施范围。即凡 依本发明申请专利范围的内容所作的等效变化与修饰,都应为本发明的技术范畴。
权利要求
一种适合不同用户远程安全控制的超高频读写器,其特征在于包括MCU处理器模块、SAM安全模块、认证加解密模块、射频读写模块、计算机通信模块,所述认证加解密模块分别与所述MCU处理器模块和计算机通信模块相连,用于读写器和计算机之间的相互认证、计算机发给读写器密文数据的解密、及读写器应答给计算机数据的加密;所述SAM安全模块与所述MCU处理器模块相连,用于存储针对不同用户的多组密钥,该密钥用于读写器和计算机之间的相互认证和数据加解密;所述射频读写模块与所述MCU处理器模块相连,用于为读写器和电子标签通信提供物理通道;所述计算机通信模块分别与所述认证加解密模块和计算机相连,用于为读写器和计算机通信提供接口。
2.根据权利要求1所述的超高频读写器,其特征在于该读写器还包括存储器模块,用 于数据的存储,该存储器模块与所述MCU处理器模块相连。
3.根据权利要求1所述的超高频读写器,其特征在于所述认证加解密模块是一块FPGA 芯片,包括编码电路、解码电路、加解密子模块、控制电路、存储器RAM、接口电路、随机数发 生器以及时钟和电源电路。
4.根据权利要求1所述的超高频读写器,其特征在于所述SAM安全模块的电气特性、访 问指令等都符合IS07816标准,该SAM安全模块包括它与MCU处理器模块的接口电路、插入 Hl卡座的一张应用SAM卡。
5.根据权利要求1所述的超高频读写器,其特征在于所述射频读写模块包括超高频读 写芯片、外围的压控振荡器、功放环行器以及天线,通信的协议采用国际标准的EPC Cl G2 协议,所述射频读写模块和MCU处理器模块通信的方式采用8位数据总线配合中断的方式。
6.根据权利要求1所述的超高频读写器,其特征在于所述计算机通信模块包括串行通 信模块和以太网通信模块;所述读写器是900MHz超高频读写器。
7.根据根据权利要求1或2所述的超高频读写器,其特征在于当计算机用户从远程开 始使用该超高频读写器时,计算机向超高频读写器发出命令,MCU处理器模块将用户的密码 从SAM安全模块载入认证加解密模块,用户密码以密文的方式进行传递,包括以下步骤第一步发行时初始密码KEYs的加载;第二步使用过程中用户密码从SAM安全模块载入认证加解密模块。
8.根据根据权利要求7所述的超高频读写器,其特征在于当超高频读写器的MCU处理 器模块将用户的密码从SAM安全模块载入认证加解密模块之后,超高频读写器和计算机之 间进行三重相互认证。
9.根据根据权利要求8所述的超高频读写器,其特征在于在计算机通过超高频读写器 写入数据到电子标签的阶段在计算机端,首先将需要写入电子标签的明文数据产生数字 摘要,然后将该数字摘要加密,产生数字签名数据;其次,计算机将数字签名数据和明文数 据经加密生成密文数据,发送给超高频读写器;在超高频读写器端,计算机发送的密文数据经过计算机通信模块输入到认证加解密模 块进行数据解密,MCU处理器模块将已解密的数字签名数据和明文数据存放到存储器模块 中;当电子标签进入超高频读写器的操作区域时,MCU处理器模块从存储器模块中取出已解密的数字签名数据和明文数据,再通过射频读写模块写入处于超高频读写器工作区域的 电子标签。
10.根据根据权利要求9所述的超高频读写器,其特征在于在计算机通过超高频读写 器从电子标签读出数据的阶段在超高频读写器端,首先MCU处理器模块通过射频读写模 块将电子标签中的明文数据和数字签名数据读出,并放到存储器模块中;然后认证加解密 模块将该数据进行加密处理;最后,计算机通信模块将这两部分密文数据送回给计算机;在计算机端,首先计算机将这两部分密文数据进行解密,恢复出明文数据和数字签名 数据;其次再对数字签名数据进行解密,恢复出数字摘要2,另外再对明文数据计算出数字 摘要1,如果这两份数字摘要相同,说明数据在传递过程中没有被篡改,数据完整和一致性 得到保证。
全文摘要
本发明公开了一种超高频读写器,包括MCU处理器模块、SAM安全模块、认证加解密模块、射频读写模块、计算机通信模块。所述认证加解密模块分别与所述MCU处理器模块和计算机通信模块相连,用于读写器和计算机之间的相互认证、计算机发给读写器密文数据的解密、及读写器应答给计算机数据的加密;所述SAM安全模块与所述MCU处理器模块相连,用于存储针对不同用户的多组密钥,该密钥用于读写器和计算机之间的相互认证和数据加解密。本发明解决了计算机在使用超高频读写器时的数据安全问题,以便于不同用户对它的远程安全控制。
文档编号G06K17/00GK101923654SQ20091005273
公开日2010年12月22日 申请日期2009年6月9日 优先权日2009年6月9日
发明者朱正, 金可威 申请人:上海坤锐电子科技有限公司