武文 (中国广东省深圳市南山区高新技术产业园科技南路中兴通讯大厦, Guangdong 7, 518057, CN)
中兴通讯股份有限公司 (中国广东省深圳市南山区高新技术产业园科技南路中兴通讯大厦, Guangdong 7, 518057, CN)
WU, Wen (ZTE Plaza, Keji Road South Hi-Tech Industrial Park, Nansha, Shenzhen Guangdong 7, 518057, CN)
| 权利要求书 1、一种射频识别 RFID系统,其特征在于,包括:移动式射频识别(RFID 读写器)、 无线接入点(AP )、 鉴别服务器(ASU )和中央信息系统; 其中: 移动式射频识别 (RFID )读写器, 用于读取电子标签数据, 并当移动 式 RFID读写器与 AP间没有数据链路时, 将读取的电子标签数据写入无线 局域网鉴别和保密基础结构 (WAPI )证书中, 并根据 WAPI证书中存储的 合法的 AP的介质访问控制( MAC )地址建立与 AP间的数据链路, 通过数 据链路向 AP发送鉴别请求帧,其中鉴别请求帧中包含 WAPI证书以及鉴别 请求帧的 MAC地址, WAPI证书由 ASU颁发并预先存储在移动式 RFID读 写器中; AP,用于接收鉴别请求帧,并确定鉴别请求帧的 MAC地址在 AP中预 先存储的移动式 RFID读写器的 MAC地址列表中, 将鉴别请求帧发送给 ASU; ASU, 用于接收 AP发送的鉴别请求帧, 对鉴别请求帧中的 WAPI证书 进行验证,确定 WAPI证书合法则提取 WAPI证书中的电子标签数据并发送 到中央信息系统; 中央信息系统, 用于接收 ASU发送的电子标签数据。 2、 如权利要求 1所述的系统, 其特征在于, 所述移动式 RFID读写器, 还用于当所述移动式 RFID读写器与 AP之间存在数据链路时, 将读取的电 子标签数据存储。 3、 如权利要求 1或 2所述的系统, 其特征在于, 所述移动式 RFID读 写器, 还用于与 AP进行密钥协商, 并接收 AP发送的写数据; 所述 AP, 还用于在接收到中央信息系统的写数据时, 与移动式 RFID 读写器进行密钥协商建立安全的数据链路, 并将中央信息系统发送的写数 据发送给移动式 RFID读写器; 所述中央信息系统, 还用于在确定需要对电子标签数据进行写操作时, 向 AP发送写数据。 4、 如权利要求 1或 2所述的系统, 其特征在于, 所述 AP , 还用于在接收到中央信息系统的查询请求时, 确定移动式 RFID读写器中存储有未传输的电子标签数据, 与移动式 RFID读写器进行 密钥协商建立安全的数据链路,并接收移动式 RFID读写器发送的电子标签 数据, 并发送到中央信息系统, 在确定移动式 RFID读写器中的电子标签数 据传输完后, 断开与移动式 RFID读写器间的数据链路; 所述中央信息系统, 还用于在确定不需要对电子标签数据进行写操作 时, 向 AP发送查询请求。 5、 如权利要求 4所述的系统, 其特征在于, 所述 AP, 还用于在接收 到中央信息系统的查询请求时,确定移动式 RFID读写器中未存储有未传输 的电子标签数据时, 断开与移动式 RFID读写器间的数据链路。 6、 如权利要求 1所述的系统, 其特征在于, 所述移动式 RFID读写器 具体包括: 闪速存储器、 前端标签读写器、 证书生成模块和终端通讯模块; 其中: 所述闪速存储器, 用于存储所述 ASU颁发的 WAPI证书; 所述前端标签读写器, 用于读取电子标签数据; 所述证书生成模块,用于当所述终端通讯模块与所述 AP间不存在数据 链路时, 将读取的电子标签数据写入 WAPI证书中; 所述终端通讯模块, 用于根据证书中存储的合法的 AP的 MAC地址建 立与所述 AP间的数据链路, 并通过数据链路向所述 AP发送鉴别请求帧, 其中鉴别请求帧中包含 WAPI证书以及鉴别请求帧的 MAC地址。 7、 一种移动式射频识别 RFID读写器, 其特征在于, 包括: 闪速存储 器、 前端标签读写器、 证书生成模块和终端通讯模块; 其中: 所述闪速存储器, 用于存储鉴别服务器 (ASU )颁发的无线局域网鉴 别和保密基础结构 ( WAPI )证书; 所述前端标签读写器, 用于读取电子标签数据; 所述证书生成模块, 用于当所述终端通讯模块与无线接入点 (AP ) 间 不存在数据链路时, 将读取的电子标签数据写入 WAPI证书中; 所述终端通讯模块,用于根据证书中存储的合法的 AP的介质访问控制 MAC地址建立与所述 AP间的数据链路, 并通过数据链路向所述 AP发送 鉴别请求帧,其中鉴别请求帧中包含 WAPI证书以及鉴别请求帧的 MAC地 址。 8、 如权利要求 7所述的读写器, 其特征在于, 所述闪速存储器, 还用 于存储电子标签数据; 所述前端标签读写器,还用于当所述终端通讯模块与 AP间存在数据链 路时, 将读取的电子标签数据存储在所述闪速存储器中。 9、 一种射频识别 RFID系统的数据传输方法, 其特征在于, 包括: 移动式射频识别 (RFID )读写器读取电子标签数据, 并当与无线接入 点 (AP ) 间不存在数据链路时, 将电子标签数据写入无线局域网鉴别和保 密基础结构 (WAPI )证书中, 并根据证书中存储的合法的 AP的介质访问 控制 MAC地址建立与 AP间的数据链路, 通过数据链路向 AP发送鉴别请 求帧, 其中鉴别请求帧中包含证书以及鉴别请求帧的 MAC 地址, WAPI 证书由鉴别服务器 ASU颁发并预先存储在读写器中; AP接收鉴别请求帧, 并确定鉴别请求帧的 MAC地址在 AP预先存储 的移动式 RFID读写器的 MAC地址列表中, 将鉴别请求帧发送给 ASU; ASU接收 AP发送的鉴别请求帧, 对鉴别请求帧中的 WAPI证书进行 验证,确定 WAPI证书合法则提取 WAPI证书中的电子标签数据并发送到中 央信息系统; 中央信息系统接收 ASU发送的电子标签数据。 10、 如权利要求 9所述的方法, 其特征在于, 该方法还包括: 中央信息系统确定需要对电子标签数据进行写操作时,向 AP发送写数 据; AP在接收到写数据时, 与移动式 RFID读写器进行密钥协商建立安全 的数据链路, 并将写数据发送给移动式 RFID读写器。 |
本发明涉及射频识别领域,尤其是涉及一种 RFID系统、读写器及 RFID 系统中的数据传输方法。 背景技术
射频识别 (Radio Frequency Identification, RFID )使用射频信号通过 RFID 读写器读取用户终端内的电子标签(Tag )信息并解码后, 送至中央 信息系统对用户进行识别、 管理相关数据。 其非接触式的自动识别、 无须 人工干预, 并可同时识别多个标签等优点, 使得该技术被广泛被应用于物 流、 考勤、 电子商务等领域, 且规模巨大。
而伴随着无线局域网( Wireless Local Area Network, WLAN )技术的发 展,逐渐出现了可移动式 RFID阅读器,可移动式 RFID阅读器可通过 WLAN 与中央信息系统进行数据传输,从而突破了 RFID技术应用的地域限制且效 率大大提高。 但由此带来的安全性问题日益突出, 基于最新的 802.11标准 的 WLAN依然存在破解隐患,使得基于 WLAN构架的可移动式 RFID的应 用受到了限制。
WAPI ( Wireless LAN Authentication and Privacy Infrastructure , 无线局 域网鉴别和保密基础结构) 的出现使得这一难题的解决成为可能。 WAPI 由认证基础设施 WAI ( Wireless LAN Authentication Infrastructure, 无线局 域网鉴别基础结构) 和保密基础设施 WPI ( Wireless LAN Privacy Infrastructure,无线局域网保密基础结构)组成。 WAI负责鉴别和密钥管理, 通过 STA、 AP( Access Point,无线接入点)、 ASU( Authentication Service Unit, 鉴别服务器)三物理实体的双向认证进行鉴别 。 其中鉴别服务器 ASU是整 个 WAI的核心和基础, 其主要功能是实现对用户证书的管理和用户身 份的 识别。 WAPI用户证书为公钥证书, 通过私钥验证可以唯一地确定网络用户 的身份。 同时, WAPI的这种证书可以被用来加载电子标签内的 息。
但 WAPI在传输数据时需要先进行双向认证, 认证通过后, 再进行数 据传输, 存在认证效率不高的问题, 应用于 RFID领域尚存在一定的瓶颈, 仍然无法解决基于 WLAN网络的 RFID系统面临的安全问题。 发明内容
本发明提供一种 RFID系统、 读写器及 RFID系统的数据传输方法, 能 够解决现有的基于 WLAN网络的 RFID系统面临的安全问题以及提高网络 的运行效率。
为达到上述目的, 本发明的技术方案是这样实现的:
本发明提供了一种射频识别 RFID系统, 包括: 移动式射频识别(RFID 读写器)、 无线接入点(AP )、 鉴别服务器(ASU )和中央信息系统; 其中: 移动式射频识别 (RFID )读写器, 用于读取电子标签数据, 并当移动 式 RFID读写器与 AP间没有数据链路时, 将读取的电子标签数据写入无线 局域网鉴别和保密基础结构 (WAPI )证书中, 并根据 WAPI证书中存储的 合法的 AP的介质访问控制( MAC )地址建立与 AP间的数据链路, 通过数 据链路向 AP发送鉴别请求帧,其中鉴别请求帧中包含 WAPI证书以及鉴别 请求帧的 MAC地址, WAPI证书由 ASU颁发并预先存储在移动式 RFID读 写器中;
AP,用于接收鉴别请求帧,并确定鉴别请求帧的 MAC地址在 AP中预 先存储的移动式 RFID读写器的 MAC地址列表中, 将鉴别请求帧发送给 ASU;
ASU, 用于接收 AP发送的鉴别请求帧, 对鉴别请求帧中的 WAPI证书 进行验证,确定 WAPI证书合法则提取 WAPI证书中的电子标签数据并发送 到中央信息系统;
中央信息系统, 用于接收 ASU发送的电子标签数据。
进一步地, 所述移动式 RFID读写器, 还用于当所述移动式 RFID读写 器与 AP之间存在数据链路时, 将读取的电子标签数据存储。
进一步地, 所述移动式 RFID读写器, 还用于与 AP进行密钥协商, 并 接收 AP发送的写数据;
所述 AP, 还用于在接收到中央信息系统的写数据时, 与移动式 RFID 读写器进行密钥协商建立安全的数据链路, 并将中央信息系统发送的写数 据发送给移动式 RFID读写器;
所述中央信息系统, 还用于在确定需要对电子标签数据进行写操作 时, 向 AP发送写数据。
进一步地, 所述 AP, 还用于在接收到中央信息系统的查询请求时, 确 定移动式 RFID读写器中存储有未传输的电子标签数据, 与移动式 RFID读 写器进行密钥协商建立安全的数据链路,并接 收移动式 RFID读写器发送的 电子标签数据, 并发送到中央信息系统,在确定移动式 RFID读写器中的电 子标签数据传输完后, 断开与移动式 RFID读写器间的数据链路;
所述中央信息系统, 还用于在确定不需要对电子标签数据进行写操 作 时, 向 AP发送查询请求。
进一步地, 所述 AP, 还用于在接收到中央信息系统的查询请求时, 确 定移动式 RFID读写器中未存储有未传输的电子标签数据 ,断开与移动式 RFID读写器间的数据链路。
进一步地, 所述移动式 RFID读写器具体包括: 闪速存储器、 前端标签 读写器、 证书生成模块和终端通讯模块; 其中:
所述闪速存储器, 用于存储所述 ASU颁发的 WAPI证书;
所述前端标签读写器, 用于读取电子标签数据; 所述证书生成模块,用于当所述终端通讯模块 与所述 AP间不存在数据 链路时, 将读取的电子标签数据写入 WAPI证书中;
所述终端通讯模块, 用于根据证书中存储的合法的 AP的 MAC地址建 立与所述 AP间的数据链路, 并通过数据链路向所述 AP发送鉴别请求帧, 其中鉴别请求帧中包含 WAPI证书以及鉴别请求帧的 MAC地址。
本发明还提供了一种移动式射频识别 RFID读写器,包括:闪速存储器、 前端标签读写器、 证书生成模块和终端通讯模块; 其中:
所述闪速存储器, 用于存储鉴别服务器 (ASU )颁发的无线局域网鉴 别和保密基础结构 ( WAPI )证书;
所述前端标签读写器, 用于读取电子标签数据;
所述证书生成模块, 用于当所述终端通讯模块与无线接入点 (AP ) 间 不存在数据链路时, 将读取的电子标签数据写入 WAPI证书中;
所述终端通讯模块,用于根据证书中存储的合 法的 AP的介质访问控制 MAC地址建立与所述 AP间的数据链路, 并通过数据链路向所述 AP发送 鉴别请求帧,其中鉴别请求帧中包含 WAPI证书以及鉴别请求帧的 MAC地 址。
进一步地, 所述闪速存储器, 还用于存储电子标签数据;
所述前端标签读写器,还用于当所述终端通讯 模块与 AP间存在数据链 路时, 将读取的电子标签数据存储在所述闪速存储器 中。
本发明还提供了一种射频识别 RFID系统的数据传输方法, 包括: 移动式射频识别 (RFID )读写器读取电子标签数据, 并当与无线接入 点 (AP ) 间不存在数据链路时, 将电子标签数据写入无线局域网鉴别和保 密基础结构 (WAPI )证书中, 并根据证书中存储的合法的 AP的介质访问 控制 MAC地址建立与 AP间的数据链路, 通过数据链路向 AP发送鉴别请 求帧, 其中鉴别请求帧中包含证书以及鉴别请求帧的 MAC 地址, WAPI 证书由鉴别服务器 ASU颁发并预先存储在读写器中;
AP接收鉴别请求帧, 并确定鉴别请求帧的 MAC地址在 AP预先存储 的移动式 RFID读写器的 MAC地址列表中, 将鉴别请求帧发送给 ASU;
ASU接收 AP发送的鉴别请求帧, 对鉴别请求帧中的 WAPI证书进行 验证,确定 WAPI证书合法则提取 WAPI证书中的电子标签数据并发送到中 央信息系统;
中央信息系统接收 ASU发送的电子标签数据。
进一步地, 该方法还包括: 中央信息系统确定需要对电子标签数据进 行写操作时, 向 AP发送写数据;
AP在接收到写数据时, 与移动式 RFID读写器进行密钥协商建立安全 的数据链路, 并将写数据发送给移动式 RFID读写器。
与现有技术相比,本发明实施例由于在 RFID系统中利用 WAPI的接入 鉴别机制,能够将读写器读取的电子标签数据 写入 WAPI证书中,并将 WAPI 证书添加到鉴别请求帧并发送到 AP,通过 AP的地址验证后 ,再发送到 ASU 进行证书验证, 当 ASU验证证书合法后, 提取证书中的电子标签数据发送 到中央信息系统。 利用上述方法, 将 WAPI的接入鉴别机制应用到 RFID系 统中 , 保证了基于 WLAN网络的 RFID系统的安全性, 并且使得 WAPI网 络的接入与 RFID数据传输一次完成, 极大地提高了网络的运行效率。
进一步, 当中央信息系统需要对电子标签数据进行写操 作时, 或者当 读写器中还存在未传输的电子标签数据时, AP需要和读写器进行密钥协商 建立安全的数据链路, 完成后续中央信息系统与读写器间的数据传输 。 附图说明
图 1为本发明实施例提供的 RFID系统结构图;
图 2为本发明实施例提供的移动式 RFID读写器的结构图;
图 3为本发明实施例提供的 WAPI证书的内容及格式示意图; 图 4为本发明实施例提供的 RFID系统的数据传输方法流程图。 具体实施方式
由于现有的基于无线网架构的 RFID系统,在数据传输时存在的安全性 问题, 本发明实施例提供一种 RFID系统, 能够将 WAPI的鉴别机制应用到 RFID系统中, 极大的提高了基于无线网络的 RFID系统的安全性, 并且能 够将电子标签数据写入 WAPI证书中 ,使得 WAPI网络的接入与 RFID系统 的电子标签数据传输一次完成, 极大地提高了网络的运行效率。
本发明实施例提供一种 RFID系统, 参阅图 1所示, 包括:
1、 移动式 RFID读写器 11 , 用于读取电子标签, 并当移动式 RFID读 写器与 AP尚没有建立数据链路时, 将电子标签的数据写入 WAPI证书 (简 称证书)中,并根据证书中存储的合法的 AP的 MAC( Media Access Control, 介质访问控制 )地址建立与 AP间的数据链路, 通过数据链路向 AP发送鉴 别请求帧, 其中鉴别请求帧中包含鉴别请求帧的 MAC地址以及证书,证书 由 ASU颁发并预先存储在移动式 RFID读写器中;
其中, 当移动式 RFID读写器读取到电子标签数据后, 确定与 AP间已 经存在数据链路时, 则依次将电子标签存储在移动式 RFID读写器中;
其中, 如图 2所示, 移动式 RFID读写器 11具体包括:
闪速存储器(Flash存储器) 22, 用于存储 ASU颁发的证书; 前端标签读写器 21 , 用于读取电子标签数据;
证书生成模块 23 , 用于当终端通讯模块与 AP间不存在数据链路时, 将读取的电子标签数据写入证书中;
终端通讯模块 24,用于根据证书中存储的合法的 AP的 MAC地址建立 与 AP间的数据链路, 并通过数据链路向 AP发送鉴别请求帧; 其中, 终端 通讯模块主要是用于完成 WAPI网络的通信,具体的是移动式 RFID读写器 与 AP间的通信; 其中, Flash存储器 22, 还用于存储电子标签数据;
前端标签读写器 21 , 还用于读取到电子标签数据后, 当确定终端通讯 模块和 AP间存在数据链路时, 将读取的电子标签数据顺序存储在 Flash存 储器中;
其中, 证书由 ASU颁发的, ASU为每一个移动式 RFID读写器颁发一 个证书, 用于标识移动式 RFID读写器, ASU颁发的证书可通过人工拷贝, 或者空中下载等方式预先存储在移动式 RFID读写器的 Flash存储器中, 并 在 Flash存储器中进行备份;
证书釆用 GBW格式, 参阅图 3所示, 为证书的内容及格式示意图, 在 WAPI所釆用的 GB 15629.11标准中未对证书持有者、 颁发者命名进行详细 定义, 只定义其为 6到 256字节的可变长字段。 其目的是为了唯一标识证 书持有者及颁发者。 而 RFID领域目前的主流标准 EPC ( Electronic Product Code, 电子产品代码)、 UID ( User Identification, 用户身份证明) 所釆用 的电子标签分别为 96位和 128位, 即便是用于未来扩展的 512位, 对于证 书中持有者字段的最大 256字节来说用于存储电子标签是足够的。 因此, 将电子标签的数据写入证书中即是将电子标签 的数据写入证书中证书持有 者名称字段的第 6个字节之后的存储空间中, 其前 6个字节存储该移动式 RFID读写器的 MAC地址, 证书颁发者名称字段固定有 6字节用来存储合 法的 AP的 MAC地址;
同时证书中包含有公钥信息, 同时对每一个证书中的公钥信息, ASU 对应有私钥信息, 在移动式 RFID 读写器中可利用公钥信息对证书进行加 密, ASU可通过私钥信息进行解密, 以验证证书的合法性;
其中, 移动式 RFID 读写器的终端通讯模块根据证书中存储的合法 的 AP的 MAC地址建立与 AP间的数据链路,具体为:移动式 RFID读写器根 据证书中存储的合法的 AP的 MAC地址向 AP发起探寻请求, 收到 AP返 回的探寻响应后, 建立与 AP间的数据链路;
2、 AP无线接入点 12, 用于接收移动式 RFID读写器发送的鉴别请求 帧, 并确定鉴别请求帧的 MAC地址在 AP预先存储的移动式 RFID读写器 的 MAC地址列表中, 将鉴别请求帧发送给 ASU;
当 AP确定鉴别请求帧的 MAC地址不在 AP预先存储的移动式 RFID 读写器的 MAC地址列表中时, 则判定此次接入为非法接入,丟弃该鉴别请 求帧, 并删除 AP与该移动式 RFID读写器间的数据链路;
其中, 移动式 RFID读写器向 AP发送探寻请求, AP用于接收移动式 RFID读写器 11发送的探寻请求, 并向移动式 RFID读写器返回探寻响应, 移动式 RFID读写器接收探寻响应建立与 AP间的数据链路;
3、 ASU鉴别服务器 13 , 用于接收 AP发送的鉴别请求帧, 对鉴别请求 到中央信息系统;
ASU通过证书的公钥对证书进行验证 , 具体的: ASU在颁发证书时 , 对每个证书设置公钥信息, 并在 ASU中对应每个公钥信息设置私钥信息, 移动式 RFID 读写器在发送鉴别请求帧时, 会利用公钥信息加密证书, 当 ASU接收到鉴别请求帧时, 会利用私钥信息解密证书, 以验证证书的合法 性;
当 ASU判定证书非法时, 则通知 AP堵塞该 MAC地址用户的后续接 入鉴别请求; 其中, 当 ASU判定证书非法时, 可能是 ASU故障, 也有可 能是伪终端对 AP进行了欺骗,不管是哪种故障,均通知 AP先堵塞该 MAC 地址用户的后续接入鉴别请求, 发出报警, 并进行故障检查;
其中, 检查故障时, 可釆用将移动式 RFID读写器中的备份证书取出, 并存储到另外一个合法的移动式 RFID读写器中, 利用备份证书进行验证, 如果验证未通过, 则说明鉴别设施出现故障, 即是 ASU或 AP故障, 需要 进行故障检查, 如果验证通过, 则说明是伪终端对 AP进行了欺骗, 需要堵 塞该 MAC地址用户的后续接入鉴别请求, 能够避免从移动式 RFID读写器 发起的拒绝服务攻击;
4、 中央信息系统 14, 用于接收 ASU发送的电子标签数据。
上述系统能够完成移动式 RFID读写器读取的电子标签数据到中央信 息系统的安全传输。
当中央信息系统接收到 ASU发送的电子标签数据后, 可直接通知 AP 断开与移动式 RFID读写器间的数据链路,再依照同样的步骤 行下一个电 子标签的传输, 这样可以实现将电子标签数据安全传输到中央 信息系统。
较佳的,为了能够实现中央信息系统与移动式 RFID读写器中数据的安 全及快速交互, 在上述系统中还可以根据应用场合选择是否进 行密钥协商 完成数据通信, 上述系统中:
AP, 还用于在接收到中央信息系统的写操作请求时 , 与移动式 RFID 读写器进行密钥协商建立安全的数据链路, 并将中央信息系统发送的写数 据发送给移动式 RFID读写器;
中央信息系统, 还用于在确定需要对电子标签数据进行写操作 时, 向 AP发送写操作请求, 并将写数据发送给 AP;
其中, AP与移动式 RFID读写器间进行密钥协商,保证了移动式 RFID 读写器与 AP之间数据传输的安全性, 中央信息系统发送给 AP的数据能够 安全的写入移动式 RFID读写器中, 并且进行密钥协商后, 移动式 RFID读 写器能够将存储的电子标签数据继续安全的发 送给 AP, 并由 AP发送给中 央信息系统。
较佳的, 为了能够实现大量电子标签数据的安全及快速 传输, 上述系 统中:
AP, 还用于在接收到中央信息系统的查询请求时, 确定移动式 RFID 读写器中存储有电子标签数据,与移动式 RFID读写器进行密钥协商建立安 全的数据通信链路, 并接收移动式 RFID读写器发送的电子标签, 并发送到 中央信息系统, 在确定移动式 RFID读写器中的电子标签数据传输完成后, 断开与移动式 RFID读写器间的数据链路;
中央信息系统, 还用于在确定不需要对电子标签数据进行写操 作时, 向 AP发送查询请求, 并接收 AP返回的电子标签数据;
其中, AP与移动式 RFID读写器均完成数据传输后, AP断开与移动式 RFID读写器间的数据链路。
其中, AP在接收到中央信息系统的查询请求时, 当确定移动式 RFID 读写器中未存储有未传输的电子标签数据时, 直接断开与移动式 RFID读写 器间的数据链路。
其中, 在上述系统中, AP、 ASU、 中央信息系统通过有线连接, 并且 AP可根据空间情况灵活选择架设地点, 移动式 RFID读写器在 AP覆盖的 空间范围内, 且 AP与移动式 RFID读写器间是无线连接; 并且用户使用的 电子标签与一般的传统的电子标签没有任何区 别。
本发明实施例还提供一种 RFID系统的数据传输方法, 参阅图 4所示, 包括:
5401、 移动式 RFID读写器读取电子标签数据;
其中, 移动式 RFID读写器的前端标签读写器能够读取电子标 数据;
5402、 移动式 RFID读写器判断与 AP间是否存在数据链路, 判断结果 为是时, 执行步骤 S403 , 判断结果为否时, 执行步骤 S404;
移动式 RFID读写器判断与 AP间是否存在数据链路是指移动式 RFID 读写器的终端通讯模块是否与 AP间在进行通信, 如果终端通讯模块与 AP 间在进行数据通信, 则说明移动式 RFID读写器与 AP间存在数据链路, 如 果终端通讯模块与 AP间没有进行数据通信, 则说明移动式 RFID读写器与 AP间不存在数据链路;
5403、 将读取的电子标签数据存储;
前端标签读写器将读取的电子标签顺次存储到 Flash存储器中;
5404、 将电子标签数据写入证书中;
若不存在数据链路,说明该移动式 RFID读写器长时间没有使用, 尚没 有与 AP 建立数据链路, 则证书生成模块将读取的电子标签数据写入证 书 中; 具体的: 将电子标签数据写入证书的证书持有者名称字 段的第 6个字 节之后的存储空间中;
5405、 移动式 RFID读写器根据证书中存储的合法的 AP的 MAC地址 建立与 AP间的数据链路, 并向 AP发送鉴别请求帧;
5406、 AP接收鉴别请求帧, 判断鉴别请求帧的 MAC地址是否在 AP 预先存储的移动式 RFID读写器的 MAC地址列表中, 判断结果为是时, 执 行步骤 S408 , 判断结果为否时, 执行步骤 S407;
5407、 AP判定此次接入为非法接入, 丟弃该鉴别请求帧, 并删除 AP 与该移动式 RFID读写器间的数据链路;
S408、 AP将鉴别请求帧发送给 ASU;
5409、 ASU对鉴别请求帧中的证书进行验证, 验证证书是否合法, 判 断结果为是时, 执行步骤 S411 , 判断结果为否时, 执行步骤 S410;
5410、 ASU判定证书非法,则通知 AP堵塞该 MAC地址用户的后续接 入鉴别请求, 并发出 警;
5411、 ASU判定证书合法, 则提取证书中的电子标签数据并发送到中 央信息系统;
5412、 中央信息系统接收 ASU发送的电子标签数据, 并判定是否需要 对电子标签进行写操作, 判断结果为是时, 执行步骤 S413 , 判断结果为否 时, 执行步骤 S414; 其中, 中央信息系统接收到 ASU发送的电子标签数据后, 即完成了 WAPI网络的接入以及电子标签数据到中央信息 统的传输过程,提高了基 于无线网络的 RFID系统的安全性并将数据传输一次完成,提 了网络的运 行效率。 进一步, 中央信息系统对电子标签数据的判断操作及后 续步骤的 执行, 为了使得中央信息系统与移动式 RFID 读写器间的数据能够实现交 互, 保证后续数据的安全传输;
5413、 向 AP发送写数据, 执行步骤 S416;
5414、 向 AP发送查询请求;
5415、 AP接收到查询请求, 判定移动式 RFID读写器中是否存储有未 传输的电子标签数据, 判断结果为是时, 执行步骤 S416, 判断结果为否时, 执行步骤 S417;
5416、 AP与移动式 RFID读写器间进行密钥协商, 并传输数据, 数据 传输完后, AP与移动式 RFID读写器间断开数据链路;
其中,承接步骤 S413若需要向移动式 RFID读写器写数据, AP在接收 到中央信息系统的写数据时,与移动式 RFID读写器进行密钥协商建立安全 的数据链路后, AP将写数据发送给移动式 RFID读写器;
承接步骤 S415 , 若移动式 RFID读写器中还存储有未传输的电子标签 数据, 则 AP与移动式 RFID读写器进行密钥协商建立安全的数据链路 , 移动式 RFID读写器向 AP发送电子标签数据;
S417、若移动式 RFID读写器中没有未传输的电子标签数据, 则不用进 行密钥协商, AP与移动式 RFID读写器间直接断开数据链路。
釆用本发明实施例的系统及方法,若移动式 RFID阅读器长时间没有使 用, 尚没有建立与 AP间的数据链路, 移动式 RFID读写器读取到电子标签 数据后, 写入移动式 RFID读写器内 Flash存储的 WAPI证书的证书持有者 名称字段的第 6个字节之后的存储空间中,移动式 RFID读写器的终端通讯 模块将使用该证书与 AP完成双向认证建立安全的数据链路, 在此过程中, 当证书被传送到 ASU时, ASU将证书中的电子标签数据提取出来, 并发送 到中央信息系统, 完成了电子标签数据在 RFID系统内的安全传输。
若移动式 RFID读写器频繁使用的时候, 例如上下班高峰期, 移动式 RFID读写器读取到电子标签数据后, 确定与 AP间存在数据链路, 将大量 的电子标签数据依次存储在移动式 RFID读写器的 Flash存储区中, 在完成 首次双向身份认证后, AP与移动式 RFID读写器进行密钥协商, 在移动式 RFID读写器和 AP之间建立起安全的数据链路, 从而建立起移动式 RFID 读写器和中央信息系统的完整的数据通信链路 , 因此, Flash中的电子标签 数据则不再需要写入到 WAPI证书的证书持有者名称字段而直接被传送 中央信息系统完成数据的传输。
本发明实施例提供的 RFID系统,将 WAPI的接入鉴别机制应用到 RFID 系统中, 极大的提高了基于 WLAN网络的 RFID系统的安全性, 并且能够 将电子标签数据写入 WAPI证书中,使得 WAPI网络接入和数据传输一次完 成, 极大地提高了网络的运行效率。 并且, 由于不需要对现有的终端所使 用的电子标签进行任何改造, 只需要升级移动式 RFID读写器, 以及架设 AP, 因此成本不会大幅增加, 适合大规模应用。 并且由于不需要对电子标 签进行任何改造, 因此, 能够全面兼容现有的无源标签数据格式以及标 签 和移动式 RFID读写器之间的通信协议, 因此易于推广使用。 同时, 本发明 实施例釆用的方案可以更有效的对抗针对 WAPI 网络的拒绝服务攻击, 并 且不违背目前的 WAPI标准, 适合推广应用。 本发明的精神和范围。 这样, 倘若本发明的这些修改和变型属于本发明权 利要求及其等同技术的范围之内, 则本发明也意图包含这些改动和变型在 内。