Rfid安全认证的制作方法
【专利说明】RFID安全认证
[0001] 背景
[0002] 1.技术领域
[0003] 本公开一般涉及射频识别技术(也称为RFID),并且更具体地,涉及用于不需要使 用标签的读写存储器的RFID标签的安全认证的系统、设备和相关方法。
[0004] 2.相关技术背景
[0005] RFID是使用射频(RF)信号用于自动识别的方法。被称为RFID读写器的装置无线 地读取并且可选地写入存储在以物理方式连接到物品(例如产品、包装或运输容器)的被 称为RFID标签的应答器中的数据。通常地,RFID标签包括两个主要部分:用于存储和处理 数据并且用于调制和解调RF信号的集成电路(1C),和与芯片耦合以使得芯片在标签和读 写器之间交换数据的天线。RFID标签可以是只读的,其中所述IC包含不可变更的数据(例 如由标签生产商不可消除地编码的用于唯一地识别标签的唯一识别码)。可选择地,RFID 标签可以是可读写的,其中存储的数据可以被修改或删除。然而,通常可读写RFID标签也 会包含只读数据(例如不可消除的唯一识别码)以使得单个的标签可以被唯一地识别。可 读写RFID标签的某些类型或型号(这里称为安全RFID标签)提供安全或保护特征或机制, 以使得在一个或多个密码的成功通信时标签的读取和/或写入是可控的并且有条件的。在 这些安全RFID标签中,密码存储在只写存储器中;也就是说,密码可以通过写操作设置或 修改,但不能被任何读操作显示。为了使读写器在安全RFID标签中访问数据,任何读或写 操作前必须有密码操作,其中标签对读写器提供的密码和标签存储的密码进行比较。所述 安全RFID标签通常在它对密码操作的响应中表明密码比较的成功或失败。密码的成功匹 配将暂时允许随后的读或写操作,直到标签由读写器故意地重置(在操作结束时)或者由 当无源标签从读写器的附近移除时的断电意外地重置。
[0006] RFID标签的特征是有源的或无源的。有源RFID标签包含电源(例如电池),而无 源RFID标签由从RF读写器信号获得的能量供电。其结果是,无源RFID标签通常具有相对 适中的处理和存储能力。一般但不是排他地,有源RFID标签被用于重工业、市政和军事应 用中,而无源RFID标签被用于比较小的装置中(例如工具、电子装置和组件、信用卡/借记 卡等)。有源RFID标签可以提供超过无源类型标签更大的范围。
[0007] RFID标签可以用于多种目的。一个这样的目的是用于认证配件装置(例如外科 手术器械)来确定所述配件或器械装置是否适合与主装置(例如电外科产生器或微波产生 器)一起使用。通过产生和存储或者"编程"在连接或贴在配件装置上的标签中的信息的 秘密片段进行认证的准备或供应。称为"认证签名"的该秘密意在仅由所述RFID标签的编 程者及由生产商、供应商或要被认证的主装置和配件装置的拥有者知道或决定。在通过认 证意图保护的后续的使用中,认证签名必须在用于比较的安全RFID标签和所述读写器之 间传递。假设这些安全RFID标签不能执行加密或解密,并且因此在认证事件期间认证签名 必须以明文形式由RF通信暴露。因此,对手可能试图使用随时可用的设备(例如RFID读 写器和RF信号捕获或记录装置("监听器"))以发现认证签名。
[0008] 如果认证签名是由多个装置内的配件装置的所有实体共有的简单秘密(密钥或 密码),则对手对一个认证签名的任何发现(不管以何种方式)将会破坏用于不限制数量的 配件装置的认证。
[0009] 在现有技术的系统中,所述认证签名存储在RFID标签的读写存储器的已知位置 中。在这些系统中,寻求认证配件的主装置将从与配件相关联的RFID标签读取UID,并且使 用与假设地用于初始编程标签相同的密钥执行相同的计算。接着从配件的RFID标签中读 取存储的认证签名,并且与计算的认证签名进行比较。如果确认匹配,则所述配件被判定为 认证的。
[0010] 这种现有技术的系统具有一些缺点:因为它们需要读写存储器的消耗,而所述读 写存储器为RFID标签中的稀缺资源;而且因为RFID读写存储器可以被拥有易获取的RFID 读写器的任何一方访问,并且因此针对给定的RFID芯片的认证签名可能是容易读取的。这 样可读性的另一个缺点是:可以读取一定数量的认证签名的对手可以推断或获得用于大量 配件装置的多元化模式或规则,从而挫败所述认证系统。
【发明内容】
[0011] 本公开涉及安全RFID认证系统、设备或相关使用方法。在一个新的方面,通常与 密码功能相关联的RFID标签的存储区域适用于存储认证签名,从而释放了要分配给应用 使用的读写存储器。在一些实施例中,RFID标签包括密码控制的对读取和/或写入功能的 访问。通过存储认证签名作为读、写、读写、或其他密码,读、写或进一步操作或与RFID标签 通信的能力能被防止,并且因此与这样的标签相关联的装置的使用也可以被更可靠和安全 地控制。例如但不限于,根据本公开的RFID标签可以使用于控制装置的互操作性、允许认 证的装置和/或配件的使用和禁止未授权的装置和/或配件的使用,并且具有比易受攻击 和损害的现有技术更好的确定性和可靠性。
[0012] 这样的能力可具有益处,例如,可以减少或消除在外科手术过程期间不适当的外 科手术装置的使用。不适当的外科手术装置可以包括但不限于,先前使用过的、未消毒的、 通过未授权分发渠道购买的、伪造的、未测试的、不相容的、未校准的、没有批准的、不受适 当的质量控制的、重生产的等外科手术装置。
[0013] 在一些实施例中,认证RFID标签的方法包括:选择密钥;通过读取来自所述RFID 标签的唯一识别码(UID)制备RFID标签,通过加密地结合密钥和UID创建唯一认证签名, 和将RFID标签的密码或密码组设置为所述唯一认证签名;以及通过读取来自RFID标签的 唯一识别码(UID)对RFID标签进行认证,通过加密地结合密钥和UID重建所述唯一认证签 名;通过向所述RFID标签提供唯一认证签名作为密码或密码组以尝试访问RFID标签的功 能,并且如果RFID标签在密码操作中给出无错响应,或者如果访问所述RFID标签的密码控 制的功能的尝试是成功的,贝lJ判定所述RFID标签是认证的。在实施例中,尝试访问的功能 可以包括但不限于:读功能、写功能和/或私密功能。
[0014] 在一个方面,根据本公开的实施例包括如下装置:例如但不限于可以可操作地连 接到器材或与器材相关联的外科手术器械;例如但不限于包括射频识别(RFID)读写器、或 具有永久性且不可改变的RFID标签、唯一的识别码(UID)、能够保持数据直到重新写入的 读写存储器、能够选择性防止读写存储器的选定部分的读取或重写的保护机制以及可操作 地与读写保护机制耦合并且可写不可读的密码存储中的至少一个的电外科产生器、超声产 生器和微波产生器。
[0015] 在一个方面,根据本公开的实施例的系统使用具有全局唯一识别码(UID)、读写存 储器以及只写且自保护密码的密码机制的一个或多个RFID标签。所述系统包括被配置为 对其供电、读和写RFID标签的一个或多个RFID读写器(例如读取器或认证器)。RFID读写 器中的至少一个被配置为由授权代理使用的RFID编程器创建来自未制备的(例如,新出厂 的或未使用的)RFID标签的安全认证RFID标签。RFID读写器中的至少一个被配置为RFID 认证器用于查询RFID标签以确定其是否为有效的安全认证RFID标签。本公开的系统包括 仅为RFID编程器和RFID认证器所知的密钥。在一些实施例中,密钥被表示为具有已知长 度的比特串。
[0016] 在另一个方面,本公开描述了用于为了安全认证目的(例如为了确保、允许或同 意对正确制备的RFID标签的出现的访问,同时禁用和/或拒绝对相似但不正确制备的或未 制备的RFID标签的访问,同时阻止对认证的RFID标签的未授权复制、克隆或伪造)生产和 识别一个或多个RFID标签的方法和设备。有利的是,因为所述安全认证签名存储为只写密 码并且因此不占用所述RFID标签的读写存储器,所以通过利用安全认证信息制备的RFID 标签的所述读写存储器容量不会减少。拥有密钥的RFID编程器可以通过将每个标签唯一 的信息(例如UID)与预定的密钥结合而从新出厂的RFID标签制备为授权的安全认证RFID 标签。拥有相同密钥的RFID认证器可以验证RFID标签以判定这个标签是否为已经利用授 权的认证密钥编程的安全认证RFID标签。根据本公开的实施例中,任何RFID编程器在没 有认证密钥的知识的情况下不能可行地创建安全认证RFID标签。类似地,没有拥有相同密 钥的RFID读取器不能可行地确认给定的RFID标签是否利用密钥制备一一尽管如果RFID 标签不是利用所述认证密钥编程、制备或是利用RFID认证器拥有的其他密钥(秘密或其 他)编程的,它可能是可以辨认的。拥有一定数量的安全认证RFID标签和空白或其他编程 的RFID标签但是不拥有认证密钥的任何一方,不能可行地确定或提取所述密钥。可以拦截 具有安全认证RFID标签的事务(如认证)会话的认证事件的RFID信号而不知道密钥的一 方,不能可行地确定、推导、计算或提取所述密钥。可以拦截具有安全认证RFID标签的编程 (例如制备或生产)会话的事件的RFID信号但不拥有所述密钥的一方,不能可行地确定、推 导、计算或提取所述密钥。具有这样制备的RFID标签或拦截的信号但不拥有所述密钥的一 方,不能可行地克隆、复制、伪造或由未制备的(例如新出厂的或未使用的)RFID标签可行 地创建安全认证RFID标签。具有这样制备的RFID标签或拦截的信号但不拥有所述密钥的 一方,不能可行地改变或禁用包括在安全认证RFID标签内的认证信息。
[0017] 在另一个方面