基于RFID的通信數(shù)據(jù)安全傳輸系統(tǒng)設(shè)計

張海波

（大連科技學院，遼寧 大連 116011）

0 引言

在信息傳播快速發(fā)展的時代，對數(shù)據(jù)交換和共享的需求越來越大，人們使用各種數(shù)據(jù)傳輸技術(shù)來傳輸和共享數(shù)據(jù)。但是由于發(fā)展過快，計算機網(wǎng)絡(luò)面臨復雜的安全威脅，不同安全需求場景往往需要進行不同方式的劃分。例如，財政部門和政府部門將機密信息和數(shù)據(jù)與公共網(wǎng)絡(luò)進行隔離，這恰恰與數(shù)據(jù)傳輸?shù)谋憷院烷_放性相矛盾，因此，如何有效區(qū)分邊界數(shù)據(jù)已成為目前需要解決的主要問題，保證數(shù)據(jù)既能方便地流動、傳輸和共享，同時將數(shù)據(jù)限制在一定的范圍內(nèi)，設(shè)置嚴格的安全邊界。

在數(shù)據(jù)化的21世紀，我們的大多數(shù)活動都依賴于網(wǎng)絡(luò)通信。而一些人受到利益驅(qū)使，在網(wǎng)絡(luò)中非法獲取信息。國內(nèi)針對此問題，展開安全傳輸系統(tǒng)設(shè)計，希望解決一部分問題，保障通信隱私。國外也提出相應(yīng)的安全協(xié)議，密碼學和設(shè)施等技術(shù)比國內(nèi)成熟。目前，RFID融入各個領(lǐng)域，為我國帶來新的契機。但是RFID存在限制條件，有學者提出有效的解決方案，為技術(shù)的發(fā)展掃清障礙。本文針對此問題，設(shè)計基于RFID的通信數(shù)據(jù)安全傳輸系統(tǒng)，通過軟硬件的設(shè)計，以期提高信息傳輸?shù)陌踩浴?/p>

1 安全傳輸系統(tǒng)硬件設(shè)計

1.1 ARM處理器

為了保證設(shè)計的傳輸系統(tǒng)的安全性，需要使用ARM處理器，該處理器中，具有燁樹的芯片，這種芯片可以對數(shù)據(jù)的類型進行劃分，保證其在寄存器中具有較高的安全性，基于此，在該處理器中添加寄存器結(jié)構(gòu)，最大限度地縮小芯片尺寸，同時，ARM 架構(gòu)增加幾個特殊的特性擴展，以該方式使用Thumb指令集，可以將兩條長的乘法ARM指令相加，增加數(shù)據(jù)傳輸?shù)陌踩浴?/p>

選擇ARM處理器作為系統(tǒng)硬件控制單元。系統(tǒng)設(shè)計4路模擬量采集接口，用來進行靜電保護和保證電壓穩(wěn)定性。考慮到電源可以輸出的功率和后端設(shè)備的需要[1]，系統(tǒng)電源采用開關(guān)電源，將220VAC轉(zhuǎn)換為穩(wěn)定的直流電壓，電源有兩個輸出，分別為-15V轉(zhuǎn)0V/2.5A和0V轉(zhuǎn)15V/3A。設(shè)計兩個電源模塊，使這兩個DC 輸出在電路板上成為各種組件的電源。

1.2 CC2430芯片

在數(shù)據(jù)通信時，為增加數(shù)據(jù)的安全性，在數(shù)據(jù)傳感器中添加CC2430芯片。在傳感器通信中，最重要的就是數(shù)據(jù)傳輸?shù)耐ㄐ虐踩?，因此?shù)據(jù)的接收以及發(fā)送中心有著至關(guān)重要的作用，添加CC2430芯片既能保證通信的效率，又降低通信的成本，因此，在原生2.4GHzISM頻段應(yīng)用該芯片，與ZigBee技術(shù)相結(jié)合。該芯片的工作時鐘為32MHz。由于CC2430運行速度更快，因此需要提前增加該芯片的使用內(nèi)核。

選擇CC2430設(shè)計傳感器節(jié)點，其具備節(jié)點更小、價格更低以及更好的抗干擾能力等優(yōu)點。同時，TI的Z-stack協(xié)議用于實現(xiàn)基于設(shè)備監(jiān)控系統(tǒng)，其操作簡單。CC2430內(nèi)部集成一個8k字節(jié)的靜態(tài)RAM，RAM存儲器的4k字節(jié)部分是一個低功耗SRAM。CC2430芯片集成16MHRC振蕩器、32MHz晶振、包含IEEE802.15.4CSMA-CA算法和IEEE802.15.4MAC層，可準確進行定時，保證數(shù)據(jù)傳輸?shù)男省?/p>

2 安全傳輸系統(tǒng)軟件設(shè)計

2.1 基于RFID設(shè)計初始化模塊

RFID主要由后臺服務(wù)器、電子標簽和讀寫器組成。電子標簽用于存儲和計算。后端處理器用于存儲和管理，進行大數(shù)據(jù)分析[2]。在客戶端與服務(wù)器之間建立網(wǎng)絡(luò)連接，將傳輸?shù)臄?shù)據(jù)進行壓縮、分割后發(fā)送到客戶端。完成以上步驟后，用驗證服務(wù)器的流程驗證其準確性。

數(shù)據(jù)安全傳輸系統(tǒng)由多個部分組成，即發(fā)送方、接收方、轉(zhuǎn)發(fā)器用戶和系統(tǒng)管理模塊等。其中部分場景需要數(shù)據(jù)和文件進行交互，所以需要滿足各個場景的數(shù)據(jù)傳輸需求。因此，數(shù)據(jù)的加解密、密鑰協(xié)商等在應(yīng)用層進行，可以適應(yīng)不同的應(yīng)用場景。用戶庫用于驗證用戶的身份，在驗證后，轉(zhuǎn)發(fā)端根據(jù)用戶的規(guī)則進行地址的加載和初始化，完成此步驟后，即可轉(zhuǎn)發(fā)數(shù)據(jù)。整個數(shù)據(jù)傳輸過程不登陸也不存儲，僅在數(shù)據(jù)傳輸兩端進行橋接服務(wù)，接受規(guī)則限制。整個過程將數(shù)據(jù)處理、加解密等放在應(yīng)用層，可以在不引入其他環(huán)節(jié)的同時保證數(shù)據(jù)傳輸?shù)男省?/p>

管理員可以通過系統(tǒng)管理模塊和人機界面管理整個系統(tǒng)，配置和協(xié)調(diào)規(guī)則和用戶之間的關(guān)系。發(fā)送方是數(shù)據(jù)的實際發(fā)起方，根據(jù)需求在應(yīng)用層進行封裝，通過標準的C/S推送數(shù)據(jù)或?qū)⑵溆米骺蛻舳?。發(fā)送方將數(shù)據(jù)發(fā)送到指定的轉(zhuǎn)發(fā)地址，傳遞數(shù)據(jù)的傳輸請求，對數(shù)據(jù)流量進行加密。接收端是數(shù)據(jù)的實際目的地，根據(jù)不同的需求封裝在應(yīng)用層，與發(fā)送方進行匹配。數(shù)據(jù)可以被動接收，也可以從C/S 接收到服務(wù)器。接收方本身是數(shù)據(jù)的接收層，不對用戶等進行權(quán)限判斷，僅需要根據(jù)與發(fā)送方相同的應(yīng)用層協(xié)議對接收到的數(shù)據(jù)進行解析或解密，并將數(shù)據(jù)存儲在本地。轉(zhuǎn)發(fā)端的作用是為其他安全域中的數(shù)據(jù)傳輸提供有限的連接通道，其從發(fā)送方接收數(shù)據(jù)，根據(jù)加載的規(guī)則選擇路由，并且進行數(shù)據(jù)控制。

規(guī)則庫存儲轉(zhuǎn)發(fā)鏈路的數(shù)據(jù)源地址集、目的地址集、對應(yīng)端口、轉(zhuǎn)發(fā)選擇負載算法、最大轉(zhuǎn)發(fā)量、超時時間、最大連接量等參數(shù)與用戶緊密相連，用戶在其權(quán)限內(nèi)添加、暫停、修改和刪除數(shù)據(jù)。轉(zhuǎn)發(fā)端初始化時滿載，轉(zhuǎn)發(fā)時需要實時對比內(nèi)存中的規(guī)則。用戶數(shù)據(jù)庫存儲用戶信息及其規(guī)則屬性，為用戶提供修改和查看鏈接的信息。系統(tǒng)管理界面為管理員或終端用戶提供人機界面來管理轉(zhuǎn)發(fā)鏈路。MVC 架構(gòu)將操作數(shù)據(jù)存儲解耦，保證系統(tǒng)的數(shù)據(jù)安全。

數(shù)據(jù)安全傳輸系統(tǒng)架構(gòu)有效地隔離發(fā)送方和接收方，并允許數(shù)據(jù)通過轉(zhuǎn)發(fā)進行交互。數(shù)據(jù)由發(fā)送方傳輸并通過轉(zhuǎn)發(fā)端到另一個安全域中的接收端。所有轉(zhuǎn)發(fā)規(guī)則在轉(zhuǎn)發(fā)端初始化時加載，可以根據(jù)規(guī)則權(quán)限建立數(shù)據(jù)路徑。在傳輸過程中不對數(shù)據(jù)進行解析操作，保證數(shù)據(jù)傳輸?shù)男?，也保證數(shù)據(jù)的安全性。

2.2 設(shè)計密碼組控制模塊

密碼組控制模塊中，讀寫器認證階段隨機選擇證書，將選擇到的整數(shù)發(fā)送給標簽，在標簽對整數(shù)U=sQ計算后，返回到讀寫器，根據(jù)讀寫器計算的公鑰，驗證數(shù)據(jù)有效性，公式為：

式中，U表示標簽隨機整數(shù)；Q表示讀寫器計算得到的整數(shù)。如果公式1成立，則對標簽認證階段進行計算，公式為：

公中，x表示曲線上的坐標點；Y表示曲線上的坐標點，T表示全部密鑰知識。標簽將計算結(jié)果發(fā)送給讀寫器。如果處于認證階段，假設(shè)讀寫器行為符合規(guī)則，根據(jù)規(guī)則執(zhí)行，執(zhí)行的驗證算法公式為：

公中，tR表示合法認證數(shù)值。計算結(jié)果得出等式成立，標簽接收數(shù)值，并且根據(jù)設(shè)定執(zhí)行。

2.3 設(shè)置傳輸過程對稱加密

將數(shù)字證書技術(shù)作為認證機制，將輸入的信息通過計算的形式，進行鑒定，與存儲器上的結(jié)果比對。標簽追蹤攻擊是典型的消極攻擊狀態(tài)，攻擊者追蹤標簽的動向，采用多次攻擊標簽的方式，獲得信息。為避免冒充，對標簽設(shè)置認證通信，則攻擊者獲取信息難度提高，并且通信信息經(jīng)過隨機化后，并不能在此識別標簽[3]。同一級別不同密碼體制所對應(yīng)的密鑰長度，具體數(shù)據(jù)如表1所示。

表1 同一級別不同密碼體制所對應(yīng)的密鑰長度

通過表1可知，在很多情況下，解密鑰匙可以根據(jù)加密鑰匙計算出來，傳統(tǒng)系統(tǒng)的問題是加密機制不足，導致無法保證網(wǎng)絡(luò)環(huán)境的安全。

3 應(yīng)用與分析

3.1 實驗準備

實驗開始前，檢測文中系統(tǒng)是否正常工作。檢測結(jié)果如下表所示。

通過表2可知，本文系統(tǒng)正常工作。檢測的目的是，避免因為系統(tǒng)的不正常運行，影響安全性測試。

表2 系統(tǒng)測試計劃表

3.2 結(jié)果分析

在測試中使用的是wireshark抓包工具，先對加密的明文傳輸數(shù)據(jù)進行操作，再對文中系統(tǒng)發(fā)送的數(shù)據(jù)進行操作，最后進行數(shù)據(jù)對比，如圖1、圖2所示。

圖1 傳統(tǒng)SSL系統(tǒng)的數(shù)據(jù)包解包分析

圖2 文中系統(tǒng)的數(shù)據(jù)包解包分析

通過觀察圖1、圖2可知，傳統(tǒng)系統(tǒng)的數(shù)據(jù)解包能夠看到大約28%的內(nèi)容，而本文系統(tǒng)解包后，數(shù)據(jù)全部出現(xiàn)亂碼，看不到通信數(shù)據(jù)，因此得出本文系統(tǒng)優(yōu)于傳統(tǒng)SSL系統(tǒng)。

4 結(jié)束語

本文結(jié)合具體行業(yè)的場景應(yīng)用RFID技術(shù)，設(shè)計通信數(shù)據(jù)安全傳輸系統(tǒng)。系統(tǒng)設(shè)計完成后，通過對比實驗得出，基于RFID通信數(shù)據(jù)安全傳輸系統(tǒng)，在數(shù)據(jù)傳輸安全性上優(yōu)于傳統(tǒng)SSL系統(tǒng)，但系統(tǒng)功能比較單一，后續(xù)研究計劃將進一步設(shè)計系統(tǒng)功能，使系統(tǒng)功能多樣化。