EPC网络中ONS安全分析及解决方案

摘要：分析了ONS系统架构中存在的安全问题，综合DES和RSA加密算法的优点，提出了基于DES和RSA的混合加密方案，并将其应用于ONS查询过程中的数据通信，有效地防止了偷听等攻击行为，加强了各ONS组件之间交互的可信性和安全性。

关键词：EPC；对象命名服务；混合加密

中图分类号：TP309 文献标识码：A 文章编号：1672-7800（2013）005-0130-03

0、引言

EPC网络（又称为物联网）是当今的热门研究领域，在此网络中，可以识别任何事物及其在物流链中的位置，以达到降低成本、提高物流供应链管理水平的目的。近年来物联网飞速发展，其通信安全也受到了广泛关注。

物联网的安全研究主要分为两类：一类研究RFID阅读器通讯和RFID标签；另一类研究EPC Global网络安全。文献分析了EPC G10bal网络体系中0NS系统存在的安全隐患，并给出了解决方案，由于此方案需要与VPN技术结合，因此局限于大规模应用；文献提出了基于DNS安全扩展的解决方案，以加强ONS系统内部的安全，此方案能够保证0NS内部的安全，但当0NS与EPC系统中的其它组件进行交互时，可能会出现窃听、欺骗等安全威胁。

目前数据加密技术有两种：一是对称加密，采用相同的密钥加解密，如DES、IDEA、AES算法等；二是非对称加密，加密解密使用不同的密钥，如RSA、椭圆曲线算法等。这两类加密算法在速度、安全性和密钥的管理上各有优缺点，优势互补。因此，本文提出了基于DES和RSA的混合加密方案，并将DES—RSA混合加密技术应用于ONS查询过程中的数据通信，使得各ONS组件之间交互时更加可信和安全。

1、EPC网络

EPC网络由EPC编码标准、射频识别系统及信息网络系统组成，如图1所示。

（1）EPC编码标准。EPC编码标准是由版本号、厂商识别代码、对象分类代码及序列号等字段组成的一串数字，其作用是为每个对象提供唯一标识。

（2）射频识别（RFID）系统。射频识别系统用于实现EPC代码的自动采集，由EPC标签和阅读器组成。EPC标签是产品电子代码的载体，附于可跟踪的物品上，在各地流转。阅读器与信息网络系统相连，用来读取EPC标签并写入信息网络系统中。EPC标签与阅读器之间采用无线感应方式交换信息。

（3）信息网络系统。信息网络系统由本地网络和全球互联网组成，用于实现信息管理及流通。EPC中间件是连接标签阅读器和企业应用程序的纽带，其功能是处理来自于阅读器的数据流，任务是校对数据、阅读器协调、数据传送存储和任务管理。对象名解析服务（ONS）类似于域名解析服务DNS，它将一个EPC映射到一个或多个URI，据此可以找到该产品的详细信息，这些信息存放在EPCIS服务器上。EPC信息服务（EPCIS）存放了大量制造商生产的所有物品相关数据信息的PML文件。

2、对象名解析服务（ONS）

2.1 ONS概述

ONS根据DNS的基本原理，实现产品电子编码与相应的EPCIS信息服务器PML地址的映射管理和查询，其组成部分如下：

（1）映射信息。映射信息分布地存储在各层ONS服务器中，其内容包含了URI和EPC编码的映射关系。

（2）ONS服务器。若本地客户端要求查询某个EPC对应的PML服务器的IP地址，则由ONS服务器处理此请求，若查询成功则返回相应信息。ONS服务器具有与DNS服务器相似的结构，最顶层为根ONS服务器，其下为子ONS服务器，每台ONS服务器都存储着部分EPC的权威映射信息和缓存映射信息。

（3）本地ONS解析器。本地ONS解析器向ONS服务器发出请求，查询PML服务器所在的位置。

（4）ONS本地缓存。ONS本地缓存保存频繁及最近查询的“查询-响应”值，当应用程序进行EPC代码查询时，首先查看ONS缓存中是否包含相应的记录，若有则直接获取，这样可以减少外查询的次数，提高查询效率。

2.2 ONS工作过程

ONS查询过程如图2所示。

①阅读器从RFID标签上读取EPC编码，如64位的EPC编码（01000000000000000000010 00000000000000011000000000000000000011100）；②阅读器将EPC编码发送给本地服务器；③本地服务器将二进制的EPC编码转换为十进制整数，并在首部添加“urn：epc：”，转换为URI格式（urn：epc：1.2.3.28），然后将其发送到本地ONS解析器；④本地ONS解析器将URI转换成DNS域名，方法为：清除urn：epc，得1.2.3.28；清除EPC序列号，得到1.2.3；颠倒数列，得到3.2.1；添加“”，得到，本地ONS解析器访问本地ONS服务器，若找到相关的ONS记录，则直接返回DNSNAPTR记录；否则转发给上级ONS服务器做进一步处理；⑤通过ONS基础架构，将EPC域名对应的PML服务器的IP地址返回给本地ONS解析器；⑥本地ONS解析器将IP地址返回给本地ONS服务器；⑦本地服务器根据IP地址找到PML服务器，并与其建立连接，获取EPC信息。

2.3 ONS安全分析

当ONS系统与客户端应用程序交互时，存在一定的安全隐患，如图2中的步骤①和⑥。常见的攻击有欺骗、偷听、篡改等。假如攻击者非法获取了某产品的EPC标签，就可以通过ONS系统来查询此产品的详细信息，这就是伪装身份进行欺骗从而获取信息；攻击者也可以截取ONS与客户端通信的信息，这就是偷听行为；还可以将截获的信息进行修改后再发送，从而导致信息交互出错，这就是篡改行为。

3、基于DES和RSA的混合加密技术

3.1 DES算法

DES是一个分组加密算法，它以64位为分组对数据进行加密，其中有8位奇偶校验，有效密钥长度为56位。DES算法的加密和解密采用同一算法，其安全性依赖于所用的密钥。DES对64位的明文分组进行操作，通过一个初始置换，将明文分成左半部分L。和右半部分Rt，各32位长；然后进行16轮完全相同的运算，运算公式为：L。=Ri-1，Rt=Li-1+f（Ri-1，Ki。），在运算过程中数据与密钥结合；经过16轮后，左、右半部分合在一起经过一个逆置换（初始置换的逆置换），完成算法。

3.2 RSA算法

RSA算法使用两个密钥：加密密钥（公开）和解密密钥（保密）。其过程如下：①随机选择两个大素数a和b（均保密）；②计算n=ab（公开）；③计算欧拉函数ω（η）=（a-1）（b-1）（保密）；④随机选取一整数e，满足O

3.3 算法比较

（1）加解密速度。DES算法的密钥仅为56位，进行的是简单位处理，加解密速度快，适合长数据的加密；RSA算法需要进行多位整数乘幂和求模等多字长处理，运算量大且复杂，速度明显慢于DES算法，只适合于少量数据的加密。

（2）安全性。DES算法的密钥一旦丢失，任何人都可以破解密文，安全性差；RSA算法用不同的密钥来加密和解密，难以破解，安全性相对较高。

（3）密钥的分配和管理。RSA算法公开分配加密密钥，加密密钥容易更新，与不同的对象通信时，只需保管好解密密钥，密钥的分配和管理容易；DES算法在通信前就要秘密分配密钥，密钥难以更换，与不同的对象通信时，要分配和保管不同的密钥，密钥分配和管理相对困难。

3.4 基于DES和RSA的混合加密

通过以上分析，DES和RSA算法各具优势，优缺点正好互补。可以结合两者的优点，避免缺点，因此本文提出了基于DES和RSA的混合加密，思路是：加解密采用DES，密钥传递采用RSA，这样既可以利用DES运算速度快的优势，也可以利用RSA密钥管理容易的优势，克服了各自的弱点。

DES-RSA混合加密的思路是：先用DES算法加密消息明文，再用RSA算法加密DES的密钥，然后将数据发送给接收方。接收方收到密文和被加密的密钥后，先用RSA算法解密密钥，再用此密钥解密密文。混合加密的过程如图3所示。

4、DES-RSA混合加密在ONS中的应用

在ONS服务器与客户端交互时，将DES-RSA混合加密应用到图2中的①和⑥，客户端发送信息的过程为：

将要发送的EPC编码M用DES算法加密，得到密文C。①客户端生成一个DES方式的密钥K；②采用RSA算法，客户端用ONS服务器端的公钥对K进行加密，得到K1；③将密文C和K1发送到ONS服务器。

ONS服务器端收到客户端的请求后，作以下处理：①服务器端用私钥对K1解密，得到K；②服务器端用K作为密钥，对C进行解密，得到原始EPC编码M，并销毁K；③进行下一步查询。

获取不到真正的信息明文，即可以防止攻击者利用非法得到的信息进行攻击。

5、结语

本文分析了DES和RSA算法的优缺点，提出了一种基于DES和RSA的混合加密技术。针对ONS系统中存在的安全隐患，将混合加密应用于ONS查询过程中的数据通信，有效地防止了窃听、篡改等攻击行为。“安全可信物联网”仍是今后研究的重点，结合数字签名认证技术，在EPC物联网上进行授权访问将是下一步研究的热点和方向。