ЖУКОВ1 Игорь Юрьевич доктор технических наук, профессор МУЛЕЙС2 Рами Бассельевич ЗУЙКОВ3 Александр Васильевич ТОЛСТАЯ4 Анастасия Михайловна ЖОРИН5 Федор Валериевич
ЗАЩИТА ТОВАРОВ ОТ КРАЖИ НА ОСНОВЕ RFID-ТЕХНОЛОГИИ
В статье рассматриваются способы использования технологии RFID для. защиты товаров от кражи. Метод защиты товаров от. кражи с использованием, специальных данных об объекте предотвращает, атаки, целью которых является подмена или удаление RFID-меток, закрепленных на товарах. Чтобы, помешать атакам, направленным, на физическое копирование, предлагается, использовать технологию физических неклонируемых функций (PUF) для. хранения, специальной секретной информации на метке.
Ключевые слова: RFID, технология. PUF, специальные данные об объекте.
This article deals with, methods of protection of goods from, theft based, on RFID technology. The method, of goods protection by using special data about the object prevents attacks aimed, at substitution, or removal of RFID-tags attached, to products. In order to prevent attacks against the copying it is proposed, to use the technology of non-clonable physical functions (PUF) to store secret information on the tag.
Keywords: RFID, PUF technology, special data about the object.
Для любого магазина или торговой сети одной из наиболее убыточных ситуаций является ограбление. При этом кража может осуществляться как сторонним лицом, так и сотрудником торговой точки. В среднем по статистике западной торговли в категории магазинов супермаркет/гипермаркет уровень воровства и потерь составляет 1,6% от товарооборота. Лидерами же по уровню потерь являются магазины, торгующие книгами и открытками, музыкальными и видеозаписями, где уровень воровства достигает в среднем 2,3% от товарооборота [1]. Очевидно, что вопрос защиты товаров от кражи или подмены становится все более актуальным. В данной статье будут рассмотрены способы обеспечения защиты товаров на основе RFID-техно-логии (Radio Frequency IDentification — радиочастотная идентификация).
Защита товаров от кражи с использованием специальных данных об объекте
Обеспечение защиты товаров от кражи или подмены, основанное на системах, состоящих лишь из голограмм или микропечатей, нанесенных на упаковку товара, имеет ряд проблем, связанных с тем, что метки не присоединены напрямую к товару. Связь между ними зачастую обеспечивается только при помощи связующего соединения и может быть недостаточно прочной, поэтому нельзя судить о подлинности товара лишь на основе достоверности метки, которая прикреплена к нему [2]. В отличие от перечисленных технологий, ЯРГО-системы могут эффективно решить данную проблему. Даже бюджетные ЯРШ-метки с весьма ограниченным объемом памяти могут хра-
нить специальные данные об объекте (СДО), например точный вес товара, его форм-фактор и даже спектрографический анализ поверхности для удостоверения того, что ЯРШ-метка действительно прикреплена к соответствующему товару. Этот подход напоминает использование личных фотографий в паспортах, которые логически связывают документы с их владельцами. В результате подобной системы защиты отсутствует возможность удаления ЯРШ-метки у подлинного товара, а также ее повторного применения в подделанном товаре.
Подобная ЯРГО-система использует специальные данные об объекте, что обеспечивает требуемую прочность соединения между ЯРГО-меткой и товарами, к которым она прикреплена. ЯРГО-система состоит из четырех основных составляющих (рис. 1):
1 — ФГУП «ЦНИИ ЭИСУ», заместитель генерального директора;
2 — Московский университет путей сообщения; 3 4 5 — НИЯУ «МИФИ».
Рис. 1. Основные составляющие рассматриваемой RFID-системы
♦ метка, содержащая специальные данные об объекте;
♦ маркирующее устройство;
♦ блок управления данными;
♦ пользовательский терминал [2]. Для рассматриваемой RFГО-системы подходят пассивные RFID-метки (лишены источника энергии; электрический ток в подобных метках индуцируется в антенне электромагнитным сигналом от считывателя) с емкостью для хранения данных от 32 до 64 байт. При этом в метках не требуется выполнения криптографических функций, они лишь хранят специальные данные об объекте. Набор СДО приведен ниже.
Данные о подлинности товара:
♦ уникальный номер метки;
♦ уникальный серийный номер товара;
♦ специфические данные товара;
♦ метод подписи;
♦ значение подписи.
Уникальный номер метки: RFID-метка содержит уникальный номер, который программируется изготовителем метки в процессе ее производства. Уникальный серийный номер товара: этот номер назначается владельцем торговой марки. Номер может основываться на системе нумерации Европейской Патентной Конвенции (EPC) [3] или любой другой системе нумерации, которая облегчает идентификацию уникальных объектов. Специфические данные товара: эта информация, если следовать аналогии с паспортом, похожа на отпечатки пальцев. Данные, которые характеризуют отдельный товар, не изменяются с течением времени и легко измеряют-
ся при осмотре. Данные должны быть уникальны с той точки зрения, что два разных экземпляра одного и того же товара могут быть различимы при помощи характерной черты, имеющейся в описании. Выбор свойств зависит от особых измеряемых характеристик, таких как физические, химические, электрические и другие, которые имеет данный товар и которые доступны для измеряющего оборудования. Приведем в качестве примера характеристики, либо полностью, либо частично описывающие товары: масса, физические размеры, серийный номер, напечатанный на товарах или их упаковке, и т.д. Эти данные обычно записываются в RFID-метке поставщиком товара перед его поставкой, например, в процессе упаковки. Также можно сохранять ссылки на данные о RFID-метке, например, унифицированный идентификатор ресурса (URI), которые точно определяют запись в удаленной базе данных. Это помогает сократить емкость RFID-метки и, таким образом, позволяет применять более дешевые метки, но делает проверку товара зависящей от наличия сетевого соединения.
Метод подписи: последовательность битов, которая определяет комбинацию криптографических методов, используемых при вычислении значения подписи. Эта информация используется пользовательским терминалом для применения нужного криптографического алгоритма во время проверки подлинности товара. Значение подписи: поставщик товара вычисляет значение подписи, используя криптографическую хэш-фун-
кцию Л с ассиметричным шифрованием ЯРт.
Значение_подписи = БРт (Л (Уникальный номер метки, Уникальный серийный номер товара, Специфические данные товара, Метод подписи, Значение подписи)).
При вычислении значения подписи, БРг использует секретный ключ продавца товара (ключ подписи), который должен быть известен лишь ему. Для проверки подлинности значения подписи используется открытый ключ (ключ проверки).
Крепление пассивной RFID-метки на товар осуществляется при помощи так называемого маркирующего устройства, которое отвечает за измерение специальных данных об объекте и запись результатов на метку и в базу данных производителя. Блок управления, данными хранит специальные данные об объекте и облегчает управление доступом. Принцип работы блока управления данными схож с системой, занимающейся исключительно проверкой подлинности серийных номеров, за исключением того, что каждая запись базы данных увеличивается за счет дополнительной информации о товарах (СДО). Пользовательский терминал (по сути, устройство, контролирующее подлинность товаров) состоит из модуля считывания, устройства измерения СДО, вычислительного модуля, интерфейса пользователя и средства создания сетевого соединения. Модулем считывания может быть любое устройство, имеющее возможность считывать СДО по определенным адресам памяти. Вычислительный модуль отвечает за проверку целостности СДО, то есть устройство проверяет, была ли изменена информация в RFID-метке, для того чтобы своевременно проинформировать о возможной поддельной записи в базе данных. Средство создания сетевого соединения необходимо для нахождения открытого ключа через доверенный источник производителя товара. В альтернативном случае, пользователь может также хранить необходимые секретные ключи, которые позволяют проверить товар без подключения к сети.
Преимущество такого подхода состо-
ит в том, что могут быть использованы бюджетные пассивные RFID-метки с емкостью для хранения данных всего 32 — 64 байт. При этом в метках не требуется применения криптографических функций, которые необходимы для более дорогих RFID-меток. Описанный подход также может быть комбинирован с проверкой подлинности, которая основывается на отслеживании перемещения или правилах идентификации защищенных RFID-меток с целью предотвратить их копирование или удаление из подлинной RFID-си-стемы [2].
Таким образом, метод успешно предотвращает атаки, целью которых является подмена или удаление RFID-меток, закрепленных на товарах. Метод подходит для бюджетных RFID-меток, которые повсеместно используются в различных сферах и отраслях. Метка, прикрепленная к объекту и жестко связанная с ним, содержит специальные данные об этом объекте. Описанная RFID-си-стема позволяет измерить объект, что помогает избежать копирования. Данное решение также пригодно для проверки подлинности товара без наличия подключения к сети или в случаях, если сеть недоступна. Недостаток метода состоит в том, что он применим только в том случае, если защищаемые товары имеют особые уникальные свойства, которые могут быть проверены экономически выгодным способом. Особыми уникальными свойствами товара могут быть не только индивидуальные особенности, но также информация из электронных документов на груз и таможенных деклараций, где вес партии, информация об источнике и пункте назначения, дата отгрузки и тому подобные сведения могут служить в качестве специальных данных об объекте для привязки документов к определенному товару.
Защита товаров от кражи с использованием технологии PUF
Нахождение RFID-метки на определенном товаре и наличие информации об этом товаре позволяет определить его подлинность. Во время считывания информации с метки произ-
водится ее автоматическая сверка со справочной информацией о товаре. Если информация совпадает, товар считается подлинным, в противном случае — подлинность не подтверждается. Однако, перехватывая необходимую информацию для проверки подлинности (получая ее, например, путем прослушивания протокола между меткой и RFID-считывателем) и сохраняя ее на новой метке, злоумышленник может получить копию оригинальной метки. Для того чтобы распознать такую поддельную метку, необходимо сделать невозможным получение злоумышленником информации о товаре при помощи активных или пассивных атак [4].
Физически скопировать метку довольно легко. Это значит, что злоумышленник, заполучив в свое распоряжение подлинную RFID-метку, может ее исследовать, прочитать содержимое памяти (приложив необходимые усилия), включая информацию, относящуюся к обеспечению безопасности (идентификационный номер, справочную информацию, ключи и т.д.). Затем он может создать новую поддельную метку с полностью идентичной информацией в ее памяти. Когда эта метка встраивается в товар, то для RFID-считывателя становится невозможным отличить подлинный товар от поддельного.
Для того чтобы обезопасить RFID-мет-ки от таких атак, можно защитить память метки от считывания при помощи некоторых способов защиты [5]. Однако эти способы приведут к увеличению цены метки настолько, что они станут неприменимыми в системах массового обслуживания.
Чтобы помешать атакам, направленным на физическое копирование, в данном методе предлагается использовать технологию физических некло-нируемых функций (PUF — Physical Unclonable Function) для хранения специальной секретной информации на метке. PUF была впервые предложена как рентабельный метод для производства неклонируемых электронных ключей доступа [6].
Для защиты товара от подделки необходимо технологически проверить, является ли товар аутентичным. В этих целях нужно сделать неклонируемый
элемент, а для этого требуются следующие компоненты.
♦ Физическая защита достигается путем использования неклонируемой физической структуры встроенной в упаковку товара, удаление которой повлечет за собой разрушение структуры. Тогда один или более характерных признаков, полученных из физической структуры, должны быть напечатаны на изделии для проверки его аутентичности.
♦ Криптографическая защита помогает достигнуть сразу две цели. Во-первых, криптография обладает дополнительными возможностями (цифровые подписи) по определению и предотвращает скрытые действия с данными (по характерным признакам), полученными с физического объекта.
Во-вторых, криптография дополняет функции протоколов аутентификации для определения подлинности товара.
С использованием технологии PUF в дополнение к криптографическим функциям в протоколах аутентификации RFID-систем добавляется элемент интуиции при определении подлинности меток.
Вначале выполняется фаза приема, производимая специальным авторизованным источником. В процессе выполнения этой фазы осуществляются следующие шаги.
♦ Несколько характерных признаков извлекаются из PUF путем отправки многократных запросов и записи пришедших ответов. Эти ответы преобразуются в двоичный вид (также во время данной фазы несколько вспомогательных данных извлекаются для дальнейшего использования во время фазы проверки).
♦ Вышеописанные многократные запросы, характерные признаки и вспомогательные данные помечаются секретным ключом (sk) фирмы-изготовителя товара (фирма-изготовитель обладает необходимыми правами).
♦ Подписи и запросы (соответствующие характерным признакам), а также, возможно, некоторые вспомогательные данные, необходимые для выполнения обработки во время фазы аутентификации, печата-
гтты
ются на товаре и/или хранятся в базе данных. В процессе фазы проверки подлинность устанавливается путем запуска следующего протокола.
♦ Устройство проверки считывает запросы и вспомогательные данные.
♦ Устройство проверки сверяет напечатанную на товаре физическую структуру с одним из запросов. После оценки пришедших ответов устройство проверки получает характерные признаки из ответов на основе вспомогательных данных.
♦ После этого, используя характерные признаки, полученные на втором шаге, устройство проверки сверяет подпись для подтверждения того, обладают ли характерные признаки, запросы и вспомогательные данные, напечатанные на товаре, легитимными правами или нет.
Далее приводится краткий анализ безопасности этого протокола. Злоумышленник встраивает поддельную физическую структуру в товар, который воспроизводит правильные характерные признаки на запросы (вместе с корректными подписями). Сде-
лав предположение, что физическая структура неклонируема, он не может произвести копию оригинальной встроенной физической структуры. С помощью данных нескольких запросов и соответствующих характерных признаков злоумышленник не может воспроизвести поддельную физическую структуру, которая производит те же характерные признаки и данные оригинальных запросов. С другой стороны, он может произвести иную структуру и создать запросы, вспомогательные данные и характерные признаки, соответствующие процедурам, использованным в фазе приема. Однако злоумышленник не знает секретного ключа (sk), пришедшие ответы его поддельной структуры будут отличаться с большой долей вероятности, и он будет не способен ввести правильную подпись в эти данные. Устройство проверки будет определять, что подписи не настоящие, и идентифицировать товар как подделку. Описанное выше решение для предотвращения подделки товаров, основанное на технологии PUF, может быть улучшено при помощи активных компо-
нентов, которые нераздельно связаны с PUF. Система состоит из RFID-метки, оснащенной специальным микрочипом. Из-за наличия микрочипа протокол аутентификации может быть запущен без раскрытия информации о характерных признаках PUF. Также, неразрывно связывая микрочип и PUF, становится возможным предотвратить утечку измерений PUF во внешнюю среду. По сути, для того чтобы использовать RFID-метки в целях борьбы с поддельным товаром, предлагается следующий подход. RFID-метка содержит справочную информацию, встроенную в товар. Информация, хранящаяся в памяти метки, подписана секретным ключом (sk) фирмы-изготовителя. В целях проверки метка связывается с устройством считывания через общий канал. Память метки доступна для злоумышленника. Устройство считывания имеет заверенный общий ключ (pk), соответствующий секретному ключу изготовителя для проверки цифровых подписей.
Подробно определение технологии PUF, а также эффективность ее использования приводится в работе [7]
Литература
1. Крамарев А.Н. Самая, большая, проблема розничной торговли 21 века. — СПб.: НОУ Институт, проблем, предпринимательства, 2004.
URL: http://www.ippnou.ru/article.php?idarticle=000423.
2. Z. Nochta, T. Staake, and E.Fleisch 2006. Product specific security features based, on RFID technology. In Proceedings, International Symposium, on Applications and the Internet Workshops — SAINTW '06. — PP. 72 — 75.
3. European Patent Convention. European Patent Office. URL: http://www.epo.org/law-practice/legal-texts/html/epc/2010/e/ index.html.
4. Совершенные шифры.: Вступительное слово чл.-корр. РАН Б.А. Севастьянова. — М.: Гелиос АРВ, 2003. — 160 с., ил. — С. 11 — 16.
5. S.P. Skorobogatov and. R.J. Anderson. Optical fault induction attacks. In B.S. Kaliski Jr., C.K. Koc, and. C. Paar, editors, Proceedings of the 4th International Workshop on Cryptographic Hardware and. Embedded Systems (CHES), volume 2523 of Lecture Notes in Computer Science. — Springer-Verlag, 2002. — PP. 2 — 12.
6. G.J. Simmons. Identification, of data, devices, documents and. individuals. In Proc. 25th Ann. Intern. Carnahan Conference on Security Technology, IEEE. — Taipei, Taiwan, ROC, October 1-3, 1991. — PP. 197 — 218,
7. M. van Dijk, B. Gassend, D. Clarke and. S. Devadas. Controlled, physical random, functions. Security with, noisy data: on private biometrics, secure key storage and. anti-counterfeiting, Springer, 2007. — PP. 235 — 253.