1　引言

　　應(yīng)急機動衛(wèi)生分隊作為醫(yī)院衛(wèi)勤機動力量具備獨立行動和執(zhí)行任務(wù)能力，適應(yīng)于執(zhí)行戰(zhàn)時衛(wèi)勤和平時突發(fā)事件保障任務(wù)需要。衛(wèi)生分隊的物資管理系統(tǒng)通常采用射頻識別（radio frequency identifier，RFID）技術(shù)，在外出機動執(zhí)行保障任務(wù)時?？赏ㄟ^手持PDA來管理物資的使用，在任務(wù)結(jié)束后再與醫(yī)院后臺數(shù)據(jù)庫進行同步，減少了手工的參與，大大地提高衛(wèi)生分隊物資管理的自動化程度。然而，現(xiàn)代高科技信息化局部戰(zhàn)爭使醫(yī)療物資呈現(xiàn)出高消耗特征llI，同時運輸工具的多樣化使得跨地區(qū)執(zhí)行軍事任務(wù)成為常態(tài)，衛(wèi)勤保障地點往往離后方基地庫房較遠，直接從戰(zhàn)備庫房運輸醫(yī)療物資顯然不切實際，只能就近采購，戰(zhàn)備物資的應(yīng)急補充在所難免。傳統(tǒng)應(yīng)急物資采購的RFID標簽通常包含物資的詳細信息，容易受到監(jiān)聽和攻擊。為安全起見，應(yīng)急采購物資的RFID標簽信息應(yīng)避免使用明碼。針對這一現(xiàn)狀，本文提出一種基于RFID技術(shù)的物資安全保障方案。在該方案中。標簽的具體內(nèi)容保存在后方數(shù)據(jù)庫中，PDA通過事先約定的RFID標簽編碼，與后方軍用網(wǎng)絡(luò)建立無線連接來獲取射頻標簽的物資內(nèi)容，同時在PDA與RFID之間建立一種雙向認證機制，防止未授權(quán)的閱讀器和假冒的標簽參與會話，確保了物資應(yīng)急保障的安全性和可靠性。

　　2　RFID技術(shù)簡介

　　射頻識別技術(shù)是一種通過使用輻射電磁場來傳輸和讀取數(shù)據(jù)的技術(shù)。通過將射頻電子標簽粘貼在車輛、包裝箱或單元物品上，就可以實現(xiàn)對在運或貨架上物資等相關(guān)信息的自動存儲和傳遞，通常RFID技術(shù)可獲取10cm以上距離（高頻13.56MHz標簽）乃至幾十米以上距離（超高頻915MHz、2.4GHz標簽）電子標簽中的信息，然后通過軟件進行格式轉(zhuǎn)換并存人數(shù)據(jù)庫。近年來，RFID技術(shù)憑借其非接觸、可重復使用和快速讀取等優(yōu)點，廣泛應(yīng)用于軍事物流領(lǐng)域。

　　3　基于RFID技術(shù)的安全保障方案

　　圖1是我們借鑒移動RFID服務(wù)架構(gòu)體系H建立的安全保障模型。在該模型中，RFID標簽存儲的電子編碼唯一標識了其對應(yīng)的物資編碼信息。就如同互聯(lián)網(wǎng)中的IP地址用來標識網(wǎng)絡(luò)中的一臺計算機一樣：PDA用來承擔RFID標簽的數(shù)據(jù)采集、信息傳輸與獲?。夯究梢允擒娪眯l(wèi)通車，也可以是通過AP訪問的一個無線網(wǎng)絡(luò)，用于連接軍方內(nèi)部網(wǎng)絡(luò)：軍方內(nèi)部網(wǎng)絡(luò)設(shè)置有2種服務(wù)器，即對象解析服務(wù)器和信息內(nèi)容解析服務(wù)器。其中，對象解析服務(wù)器用于返回RFID標簽電子編碼的統(tǒng)一資源標識符（URL）地址；信息內(nèi)容服務(wù)器用來提供與電子標簽對應(yīng)的詳細內(nèi)容。對于一般訪問模式，用戶首先利用PDA掃描物品上的RFID標簽，獲取標簽信息的電子編碼。電子編碼通過無線方式發(fā)送到后方軍隊網(wǎng)絡(luò)，然后通過網(wǎng)絡(luò)中的對象解析服務(wù)器獲得對應(yīng)的URL，最后，利用給定的URL從信息內(nèi)容服務(wù)器獲得電子編碼對應(yīng)的物品內(nèi)容，并返回給PDA。

　　在上述模型中，從2個方面來保障物資的安全，首先，通過約定一種軍事物資RFID標簽的編碼格式，標簽內(nèi)只存有物資的編碼，而具體的物品信息則在軍方后端數(shù)據(jù)庫內(nèi)保存，PDA需要通過無線方式連接到后方網(wǎng)絡(luò)才能獲得物資的具體內(nèi)容；另外，在RFID標簽和PDA之間建立一種基于哈希函數(shù)雙向認證機制，只有經(jīng)過授權(quán)的閱讀器和真實的標簽才能進行會話。下面我們從設(shè)計安全的電子編碼格式和雙向認證協(xié)議2個方面人手，研究、討論基于RFID技術(shù)的安全保障方案如何確保物資應(yīng)急保障的安全性。

　　3.1 設(shè)計安全的電子編碼格式

　　在安全方案中，應(yīng)急保障戰(zhàn)備物資所用的射頻標簽是經(jīng)過特殊處理的，通常由軍方和廠商約定解決?？紤]到這類標簽可以唯一確定某一類具體物資。但是又不能單獨靠PDA得到詳細的物資信息，將RFID標簽的編碼設(shè)計由版本號、域名管理和序列號組成。其中域名管理描述了與此電子編碼相關(guān)的廠商信息，可用于加快內(nèi)容檢索速度；序列號唯一標識某種物資信息，如表1描述了護理箱射頻標簽上的編碼情況。為防止這種簡單編碼被截獲和利用，該文引入一串二進制隨機數(shù)據(jù)，并與原域名管理編碼進行簡單的邏輯運算，從而實現(xiàn)對數(shù)據(jù)的加密。首先，在衛(wèi)生分隊和廠商之間約定一個“<序列號，二進制隨機數(shù)據(jù)>”映射表。針對每個電子編碼序列號。都有一個唯一的二進制隨機數(shù)與之對應(yīng)，在標簽寫入前。先用真實的電子編碼與該隨機數(shù)據(jù)數(shù)進行異或。然后將其結(jié)果寫入RFID標簽，代替原有電子編碼中的域名管理字段，使得普通的PDA無法正確讀出標簽信息，只有裝有反向解密軟件的PDA才能透過逆變換，獲取標簽的真實數(shù)據(jù)。以表1域名管理字段為例，與序列號S對應(yīng)的二進制隨機數(shù)為001110101O111010。則寫入射頻標簽域名管理字段的值應(yīng)為它們的異或值10110000111011O1。

　　該方法簡單且易實現(xiàn)。對于帶有這一約定映射表的我方PDA來說，只需通過簡單的異或運算便可獲得真正的電子編碼。并進行下一步的查詢。而對敵方來說，在不知道該映射表的前提下，對于每一位編碼都有0、1兩種可能，其破解代價達到216=65536種，從而可以有效地保證電子編碼的安全性。

　　3.2 設(shè)計安全的雙向認證協(xié)議

　　近年來，國際標準化組織出臺了ISO／IEC29176等移動RFID保護隱私協(xié)議來確保智能移動終端與RFID標簽之間的信道安全，很多學者和組織在移動RFID系統(tǒng)的安全與隱私保護方面做了大量研究，并取得一定成果。其中，文獻《一種RFID隱私保護雙向認真協(xié)議》提出的零知識雙向認證方法比較典型，它確保了信息擁有者在不泄露標簽ID的情況下。通過一次一換的隨機會話密鑰（randomsessionkey，RSK）和時間戳（datetimestamp，DT），實現(xiàn)了PDA與Tag標簽之間的雙向認證。然而，該方法中隨機數(shù)由RFID標簽生成，不僅增加了成本，而且運算速度慢；加上時間戳DT是明文傳輸，也容易被假冒，不能完全實現(xiàn)所謂的零知識認證。因此，本文提出一種改進的雙向認證協(xié)議。通過在PDA與Tag之間共享一個單向Hash函數(shù)日、擁有極小的初始時間戳、初始共享密鑰（sharedkey，SK）以及對原Tag進行簡單異或等運算。實現(xiàn)PDA與射頻標簽間的雙向安全認證。大致步驟為：

　　（1）PDA向Tag發(fā)送隨機數(shù)r和Query認證請求。

　　（2）Tag使用自己的ID和SK計算a1=ID⊕H（r⊕SK），發(fā)送a1給PDA。

　?。?）PDA計算ID‘=a1⊕H（r⊕SK），在數(shù)據(jù)庫中查找是否有這樣的ID‘，如果有，Tag則通過初步認證，之后PDA產(chǎn)生一個隨機數(shù)RSK，計算bo=DT⊕H（SK），b1=RSK⊕H（DT⊕SK），b2=H（ID⊕RSK⊕SK），并發(fā)送{bo、b1、b2}給Tag。

　　（4）Tag收到{bo、b1、b2}，首先，用SK計算DT=bo⊕H（SK），恢復出DT。如果恢復的DT比以前保存的大，則認為其正常并保存，否則停止驗證；然后，用SK計算RSK’=b1⊕H（DT⊕SK），b2'=H（ID⊕RSK⊕SK），如果b2'=b2，說明RSK'=RSK，通過對PDA的驗證；最后，計算a2=H（r⊕SK⊕RSK⊕DT），并發(fā)送給PDA作為應(yīng)答，該應(yīng)答既確認收到RSK，又證明Tag是整個認證會話的參與者。如果DT不正?；蛘逺SK無效。則Tag忽略此次收到的消息，持續(xù)保持靜默。

　　（5）PDA收到a2，并計算a2'=H（r⊕SK⊕RSK⊕DT），如果a2=a2'，則對Tag的認證通過，否則認證錯誤，從而完成雙向身份認證。圖2為其認證流程示意圖。

 　　在該認證過程中，Hash函數(shù)的單向性確保了從認證消息中無法獲取SK、標簽ID、時間戳DT等敏感信息；采用的共享SK使得PDA和Tag可以對收到的消息進行正確性和完整性驗證，從而確保認證消息、時間戳DT和RSK的機密性：時間戳既可以作為認證的參照，又可以作為會話序號，防止重放攻擊；認證采用雙向認證的機制可以有效防止未授權(quán)的閱讀器和假冒的標簽參與會話，增加認證的安全性。與基于傳統(tǒng)加密算法相比，該雙向認證在計算量和通信量上對RFID標簽是適度的，并可針對應(yīng)用的不同需求，選擇不同Hash函數(shù)等加密變換。

　　4　結(jié)語

　　本文提出一種基于RFID技術(shù)的物資安全保障方案。在方案中事先約定了RFID標簽的編碼格式，PDA只有與后方數(shù)據(jù)庫連接、解析才能獲得應(yīng)急保障物資的詳細內(nèi)容；同時在PDA與RFID之間建立基于哈希函數(shù)的安全雙向認證機制實現(xiàn)了射頻標簽與PDA讀卡器之間編碼的安全讀取與通訊從而較好地解決了衛(wèi)生分隊外出應(yīng)急保障中物資應(yīng)急供應(yīng)的安全。