基于DSRC（GB/T 20851）與ISO 18000-6C的電子車牌應(yīng)用安全性分析

　　引言

　　基于GB/T 20851-2007的專用短程通信(DSRC: Dedicated Short Range Communication)技術(shù)和基于ISO 18000-6B與ISO 18000-6C的無(wú)線射頻識(shí)別(RFID: Radio Frequency Identification)技術(shù)在智能交通車輛標(biāo)識(shí)和車路通信領(lǐng)域得到了廣泛的應(yīng)用，如基于DSRC的高速公路ETC系統(tǒng)和城市停車場(chǎng)車輛出入收費(fèi)與管理系統(tǒng)，基于RFID的停車場(chǎng)車輛出入管理系統(tǒng)、海關(guān)碼頭車輛管理系統(tǒng)等等。

　　然而，不同的應(yīng)用環(huán)境、不同的應(yīng)用場(chǎng)景和不同的應(yīng)用目的，對(duì)技術(shù)本身所應(yīng)具備或能夠支持的安全功能的要求是不同的。電子車牌證(EPC: Electronic Plate Card)在智能交通和公安交管領(lǐng)域具有廣闊的應(yīng)用前景，可以解決目前非常難以解決的假牌、套牌和現(xiàn)場(chǎng)執(zhí)法等難題，同時(shí)可用于道路稽查、車輛追蹤、在途狀態(tài)監(jiān)控等等。因此，本文以電子車牌證為應(yīng)用對(duì)象，對(duì)DSRC和RFID的安全性能進(jìn)行綜合的分析和評(píng)價(jià)，評(píng)估其適用性。

　　1電子車牌證安全需求分析

　　1.1應(yīng)用場(chǎng)景和應(yīng)用目的

　　電子車牌證，即實(shí)現(xiàn)車輛牌照、行駛證、駕駛證等證件或標(biāo)識(shí)的電子化存儲(chǔ)，利用RFID、DSRC無(wú)線通信與識(shí)別技術(shù)實(shí)現(xiàn)證件的近距離、短距離的非接觸式讀寫，為公安交管面向人-車的管理和服務(wù)提供可靠、實(shí)時(shí)、準(zhǔn)確和豐富的源數(shù)據(jù)。

　　EPC前端系統(tǒng)由兩部分組成：電子標(biāo)簽或具有電子標(biāo)簽部件的多功能設(shè)備，又稱車載單元(OBU: On Board Unit)或移動(dòng)設(shè)備(ME: Mobile Equipment);路側(cè)讀寫器，又稱路側(cè)單元(RSU: Road Side Unit)或固定設(shè)備(FE: Fixed Equipment)，其典型應(yīng)用模型如下圖所示：

　　EPC的典型應(yīng)用場(chǎng)景有：(1)多車道自由流;(2)交叉口;(3)停車場(chǎng)、站場(chǎng)、小區(qū)門禁的出入口等等。

　　EPC在智能交通和公安交管領(lǐng)域具有廣闊的應(yīng)用前景，包括(1)防治假套牌、車輛稽查、自動(dòng)抄牌、違規(guī)違章識(shí)別、現(xiàn)場(chǎng)執(zhí)法;(2)交通流數(shù)據(jù)采集、行車軌跡追蹤、車輛在途狀態(tài)監(jiān)控;(3)交通信息發(fā)布、不停車收費(fèi)、公共交通優(yōu)先。

　　1.2應(yīng)用特點(diǎn)和安全威脅

　　根據(jù)EPC的應(yīng)用場(chǎng)景和應(yīng)用目的，可以判斷EPC應(yīng)用具有以下特點(diǎn)：(1)開(kāi)放式環(huán)境;(2)短時(shí)、短距離無(wú)線通信;(3)跨省市、全國(guó)性;(4)大規(guī)模、分布式;(5)涉及敏感信息;(6)對(duì)實(shí)時(shí)性和準(zhǔn)確性要求很高。

　　根據(jù)EPC的應(yīng)用特點(diǎn)，可以分析在實(shí)際應(yīng)用中，可能遭受到以下安全威脅或攻擊：

　　(1)輻射截取或載波監(jiān)聽(tīng)。

　　由于DSRC和RFID都是面向比特流的標(biāo)準(zhǔn)公開(kāi)的通信協(xié)議，通過(guò)對(duì)無(wú)線鏈路的監(jiān)聽(tīng)，可以還原發(fā)送端發(fā)出的完整的比特流，通過(guò)比特流分析可以獲取每個(gè)部分的含義。如果用戶信息采用明文傳輸，則該信息被非授權(quán)獲取或惡意利用;如果用戶信息采用密文傳輸，但加密算法的安全性不夠高而容易被破解，則該加密傳輸會(huì)失去意義。

　　(2)身份冒充與重演。

　　由于DSRC和RFID都是面向比特流的標(biāo)準(zhǔn)公開(kāi)的通信協(xié)議，很容易構(gòu)造符合協(xié)議規(guī)范的比特流或數(shù)據(jù)幀格式。如果通過(guò)輻射截取而獲取訪問(wèn)密碼、認(rèn)證序列等安全字段，將安全字段填充到構(gòu)造的有效幀中，則利用偽造的數(shù)據(jù)幀讀寫標(biāo)簽中的信息，造成信息的非授權(quán)獲取或篡改。

　　(3)消息篡改。

　　數(shù)據(jù)在空中傳輸過(guò)程中，受到故意或非故意的干擾時(shí)，可能被破壞。數(shù)據(jù)在存儲(chǔ)過(guò)程中，受到電源、存儲(chǔ)器本身或外部攻擊等干擾時(shí)，可能被破壞或篡改，如上述的身份冒充。數(shù)據(jù)在處理過(guò)程中，受到處理軟硬件的影響，可能造成數(shù)據(jù)故意或非故意的修改、刪除、不上傳，如軟件中的BUG。

　　(4)外部攻擊。

　　目前使用的許多芯片，將程序區(qū)與數(shù)據(jù)區(qū)分離，利用程序?qū)?shù)據(jù)區(qū)進(jìn)行訪問(wèn)控制，如果將程序區(qū)破壞，即數(shù)據(jù)區(qū)的訪問(wèn)控制功能失效，則可利用其它手段直接讀取數(shù)據(jù)區(qū)中的有效數(shù)據(jù);破解常用的訪問(wèn)控制密碼，破壞硬件實(shí)體等都是極具破壞性的外部攻擊。

　　(5)內(nèi)部攻擊。

　　一般指系統(tǒng)的授權(quán)用戶進(jìn)行了非授權(quán)的操作，導(dǎo)致服務(wù)程序被刪除、用戶數(shù)據(jù)被修改和設(shè)備遭受到毀壞，如仍然保持訪問(wèn)控制密碼功能的有效性，但將密碼設(shè)置為任意碼均有效，有時(shí)也稱為陷阱。

　　(6)抵賴。

　　一般指通信的一方不承認(rèn)發(fā)生過(guò)通信這個(gè)事實(shí)。如，收費(fèi)記錄或違法記錄，OBU不希望產(chǎn)生，而RSU及后臺(tái)希望產(chǎn)生，如果對(duì)于生成的記錄的真實(shí)性存在質(zhì)疑，則車主可以對(duì)后續(xù)的扣費(fèi)或執(zhí)法提出質(zhì)疑或申述。

　　本文僅考慮OBU與RSU之間的數(shù)據(jù)(信息和服務(wù))傳輸、存儲(chǔ)和處理，以及RSU與后臺(tái)計(jì)算機(jī)之間的數(shù)據(jù)傳輸?shù)陌踩浴?/P>

　　1.3安全需求與安全策略

　　針對(duì)以上分析的6種威脅或攻擊，提出以下安全需求：

　　(1)數(shù)據(jù)在存儲(chǔ)、處理和傳輸過(guò)程中要防止泄露及保證其準(zhǔn)確性和完整性，防止被非授權(quán)的實(shí)體竊取、篡改、利用;

　　(2)數(shù)據(jù)讀寫的各方實(shí)體，應(yīng)是經(jīng)過(guò)合法授權(quán)的，并且在操作過(guò)程中能夠驗(yàn)證，防止被惡意冒充;

　　(3)設(shè)備、服務(wù)、信息應(yīng)具有自我安全防護(hù)功能，防止授權(quán)的或非授權(quán)的實(shí)體進(jìn)行非授權(quán)的操作，造成故意或非故意的破壞;

　　(4)通信結(jié)果或交易記錄應(yīng)具有明確的狀態(tài)標(biāo)識(shí)，并且能夠進(jìn)行源頭追溯，防止抵賴。

　　在EPC的某些應(yīng)用場(chǎng)景下，要求RSU和OBU之間的通信時(shí)間短、成功率高、數(shù)據(jù)量適當(dāng)，以成功率為主要評(píng)價(jià)指標(biāo)。但是，安全服務(wù)都是需要耗費(fèi)資源的，如時(shí)間、成本、功耗、體積、重量等等。因此，在采用合適的安全機(jī)制、提供必要的安全服務(wù)之前，應(yīng)綜合各方因素，制定合適的安全策略。

　　綜合考慮EPC的應(yīng)用特點(diǎn)、安全威脅和安全需求，提出以下安全策略：

　　(1)注重安全功能的效率和成本，安全性能適用并略有冗余即可，無(wú)需過(guò)高;

　　(2)訪問(wèn)密碼、訪問(wèn)憑證碼、身份認(rèn)證碼、消息鑒別碼等，應(yīng)不可重復(fù)利用，如使用基于時(shí)間的密鑰存活期和功能分組密鑰;

　　(3)密碼算法應(yīng)選用權(quán)威部門發(fā)布的、經(jīng)過(guò)實(shí)踐充分驗(yàn)證的算法，如TDES(Triple Data Encryption Standard)、AES(Advanced Encryption Standard)、國(guó)密算法等;

　　(4)對(duì)于非敏感性數(shù)據(jù)，無(wú)需保證其機(jī)密性，明文傳輸即可，降低復(fù)雜度;

　　(5)對(duì)于敏感性數(shù)據(jù)，如果被非授權(quán)的竊取之后，不能用來(lái)偽造、重演或其它非法利用，也可考慮采用明文傳輸，但在時(shí)間和效率允許的前提下，盡量使用密文傳輸;

　　1.4安全機(jī)制與安全服務(wù)

　　針對(duì)以上提出的安全需求和策略，提供以下安全機(jī)制和服務(wù)以滿足系統(tǒng)實(shí)際的應(yīng)用需求。具體如下：

　　1.5加密算法與密鑰管理

　　密碼學(xué)是許多安全服務(wù)與機(jī)制的基礎(chǔ)。密碼函數(shù)可用于作為加密、解密、數(shù)據(jù)完整性、鑒別交換、口令存儲(chǔ)與校驗(yàn)等的一部分，從而實(shí)現(xiàn)保密性、完整性和鑒別的目的。

　　加密算法可以是可逆的，也可以是不可逆的，可逆加密算法分為對(duì)稱加密和非對(duì)稱加密。常見(jiàn)的對(duì)稱加密算法有DES、TDES、AES、國(guó)密算法SM1、國(guó)密算法SM7等，非對(duì)稱加密算法有RSA、國(guó)密算法SM2、國(guó)密算法SM3。

　　不同的加密算法對(duì)應(yīng)的密鑰的格式和長(zhǎng)度是不一樣的，算法和密鑰是影響系統(tǒng)安全性能的兩個(gè)關(guān)鍵因素。對(duì)于一個(gè)脆弱或者有缺陷的算法，可能受到密碼分析的攻擊，即即使不知道密鑰，也能從密文推導(dǎo)出明文。對(duì)于一個(gè)安全性極高的算法，那系統(tǒng)的安全性就依賴于密鑰的復(fù)雜度和安全性。因此，加密算法與密鑰管理對(duì)系統(tǒng)的安全同等重要，選擇一個(gè)好的加密算法和設(shè)計(jì)一個(gè)好的密鑰管理系統(tǒng)(KMS: Key Management System)是構(gòu)建通信系統(tǒng)安全體系的兩項(xiàng)基礎(chǔ)核心工作。

　　密鑰管理應(yīng)該重點(diǎn)考慮以下方面：

　　密鑰必須經(jīng)常處于機(jī)密性狀態(tài);

　　密鑰或與密鑰相關(guān)的因數(shù)，考慮使用基于時(shí)間的存活期，即有效期;

　　不同的功能或目的，使用不同的密鑰;

　　構(gòu)建層次化的密鑰體系，將責(zé)任分解使得沒(méi)有一個(gè)人具有重要密鑰的完全拷貝;

　　密鑰在產(chǎn)生、存儲(chǔ)、傳輸、使用、歸檔、注冊(cè)、銷毀等生命周期全過(guò)程的每一個(gè)環(huán)節(jié)，都應(yīng)保證其安全性。

　　綜上所述，安全性能是安全算法、密鑰管理、安全策略、安全機(jī)制等因素的綜合體現(xiàn)，在進(jìn)行安全體系設(shè)計(jì)和安全性能評(píng)估時(shí)，應(yīng)全面考慮、合理設(shè)計(jì)、適當(dāng)選用。

　　2基于GB/T 20851的DSRC安全服務(wù)與功能特性

　　2.1GB/T 20851簡(jiǎn)介

　　GB/T 20851定義的DSRC協(xié)議標(biāo)準(zhǔn)是專為智能交通領(lǐng)域的車路短程通信應(yīng)用而設(shè)計(jì)的，目前主要應(yīng)用于高速公路ETC系統(tǒng)(單車道、低車速、現(xiàn)場(chǎng)扣費(fèi))、停車場(chǎng)出入口收費(fèi)管理系統(tǒng)(單車道、低車速、現(xiàn)場(chǎng)扣費(fèi))和城市路橋收費(fèi)系統(tǒng)(多車道、自由流、后臺(tái)扣費(fèi))等，同樣適用于車輛自動(dòng)識(shí)別(AVI: Automatic Vehicle Identification)、電子車牌證、車輛路徑標(biāo)識(shí)等。

　　DSRC遵循ISO定義的開(kāi)放系統(tǒng)互連基本參考模型(OSI: Open System Interconnection Basic Reference Model)的七層協(xié)議，考慮應(yīng)用的短程性和實(shí)時(shí)性，采用三層協(xié)議架構(gòu)：物理層(L1)、數(shù)據(jù)鏈路層(L2)和應(yīng)用層(L7)。因此，GB/T 20851主要包括五個(gè)部分：

　　(1)第1部分：物理層;

　　(2)第2部分：數(shù)據(jù)鏈路層;

　　(3)第3部分：應(yīng)用層;

　　(4)第4部分：設(shè)備應(yīng)用;

　　(5)第5部分：物理層主要參數(shù)測(cè)試方法。

　　其中，GB/T 20851提供的安全機(jī)制和安全服務(wù)主要定義在第3、4部分。

　　2.2安全機(jī)制與安全服務(wù)

　　GB/T 20851的安全加密算法是TDES，基于該算法提供以下安全機(jī)制和服務(wù)：

　　(表2略，閱讀全文請(qǐng)訂閱智能交通管理雜志)

　　綜上所述，GB/T 20851定義的安全體系具有以下特點(diǎn)：

　　第2部分定義了數(shù)據(jù)幀校驗(yàn)碼，采用CRC16算法，保證數(shù)據(jù)傳輸過(guò)程中的完整性;

　　第3部分定義了安全體系的架構(gòu)，支持加密、認(rèn)證、鑒別等服務(wù);

　　第4部分根據(jù)ETC應(yīng)用的需求，在第3部分的框架下，對(duì)ETC系統(tǒng)的安全體系進(jìn)行了詳細(xì)定義：

　　多層密鑰管理系統(tǒng)設(shè)計(jì)，保證密鑰的統(tǒng)一與分散，系統(tǒng)的不同部分、不同用戶使用不同的密鑰，但都由系統(tǒng)根密鑰逐級(jí)分散而來(lái);

　　密鑰功能分組，不同用途對(duì)應(yīng)不同密鑰;一臺(tái)OBU對(duì)應(yīng)一組密鑰，每個(gè)OBU密鑰均不相同;

　　密鑰保密性強(qiáng)，應(yīng)用過(guò)程中不能被讀寫、不泄露;頻繁使用隨機(jī)數(shù)，防止監(jiān)聽(tīng)、冒充、重演;

　　DSRC安全體系完善、結(jié)構(gòu)合理、方便靈活，可以根據(jù)具體的應(yīng)用需求，進(jìn)行自定義。

　　2.3小結(jié)

　　DSRC是一項(xiàng)基礎(chǔ)通信技術(shù)，為車輛(OBU)與道路(RSU)之間提供一個(gè)短距離、高速率、高穩(wěn)定性和高可靠性的數(shù)據(jù)交換平臺(tái)，可以承載車、路之間的許多應(yīng)用，具有廣闊的應(yīng)用前景。

　　國(guó)內(nèi)外關(guān)于DSRC技術(shù)的研究、開(kāi)發(fā)非?；钴S，GB/T 20851也在不斷完善、逐步成熟，在DSRC的協(xié)議框架下，根據(jù)不同行業(yè)的不同應(yīng)用特點(diǎn)，定義滿足自身應(yīng)用需求的應(yīng)用規(guī)范，并適當(dāng)?shù)乜紤]各種應(yīng)用之間的兼容性，是DSRC技術(shù)與應(yīng)用的必然發(fā)展趨勢(shì)。

　　3基于ISO 18000-6C的RFID安全服務(wù)與功能特性

　　3.1ISO 18000-6C簡(jiǎn)介

　　ISO 18000-6定義的RFID協(xié)議標(biāo)準(zhǔn)是專為物品管理(Item Management)而設(shè)計(jì)的，目前主要應(yīng)用于物流和供應(yīng)管理、生產(chǎn)制造和裝配、航空行李處理、郵件、快運(yùn)包裹處理、文檔追蹤、圖書(shū)館管理、動(dòng)物身份標(biāo)識(shí)、運(yùn)動(dòng)計(jì)時(shí)、門禁控制、電子門票等，以封閉式環(huán)境為主。

　　ISO 18000-6分為A、B、C三類，6C相對(duì)6A、6B在多標(biāo)簽防碰撞識(shí)別、安全通訊方面有較大的改進(jìn)和提升，在國(guó)外6C已基本取代6A和6B。下面主要分析6C。

　　3.2安全機(jī)制與安全服務(wù)

　　6C僅是一個(gè)空中接口協(xié)議，單獨(dú)討論其安全性能并不全面也不客觀。在這里我們將結(jié)合工程中常用于6C系統(tǒng)的技術(shù)手段，參照OSI-Basic Reference Model的架構(gòu)和安全體系來(lái)評(píng)估6C系統(tǒng)的安全性能。6C系統(tǒng)的安全體系由以下幾個(gè)部分構(gòu)成：

　　(1)32位的用戶區(qū)訪問(wèn)密碼(Access Password);

　　(2)32位的kill指令允許執(zhí)行口令(Kill Password);

　　(3)用戶區(qū)可分塊設(shè)置為只讀、可讀寫;

　　(4)完善的狀態(tài)轉(zhuǎn)換邏輯和嚴(yán)格的時(shí)序控制約束;

　　(5)16位的隨機(jī)數(shù)，充當(dāng)"鏈路地址"的角色，與DSRC中的32為MAC地址功能相似;

　　(6)密碼數(shù)據(jù)動(dòng)態(tài)加密傳輸;

　　(7)動(dòng)態(tài)隨機(jī)數(shù)通訊認(rèn)證，防止無(wú)線通訊鏈路暴力截取標(biāo)簽操作;

　　(8)數(shù)據(jù)通訊完整性驗(yàn)證;

　　(9)數(shù)據(jù)修改驗(yàn)證。

　　由于6C只是UHF頻段的空中接口協(xié)議，協(xié)議本身所能提供的安全機(jī)制和安全服務(wù)比較有限。支持6C協(xié)議的標(biāo)簽芯片不具有運(yùn)算功能，不能對(duì)通信過(guò)程和存儲(chǔ)數(shù)據(jù)進(jìn)行加解密計(jì)算與驗(yàn)證，在安全性能方面相對(duì)較弱。比如，6C在無(wú)線傳輸密碼時(shí)，雖然使用了動(dòng)態(tài)隨機(jī)數(shù)加密(RN16+異或運(yùn)算)，在一定程度上提高了安全性。但是，其加密算法簡(jiǎn)單，而且動(dòng)態(tài)隨機(jī)數(shù)也會(huì)在密碼傳輸之前由標(biāo)簽明文發(fā)送給讀寫器，也就是比較容易的推導(dǎo)出密碼本身。

　　在實(shí)際應(yīng)用中為了提高6C系統(tǒng)的安全性，提出了一些解決方案來(lái)規(guī)避安全風(fēng)險(xiǎn)，例如：

　　(1)一個(gè)標(biāo)簽一個(gè)密碼

　　使用安全性較高的加密算法，如TDES、AES或國(guó)密算法，將標(biāo)簽的個(gè)性化因子TID作為輸入，來(lái)分散出個(gè)性化密鑰，標(biāo)簽發(fā)行時(shí)將其作為訪問(wèn)密碼寫入標(biāo)簽Access Password和Kill Password區(qū)，密碼驗(yàn)證的時(shí)候也采用同樣的方法。

　　(2)動(dòng)態(tài)更換訪問(wèn)密碼

　　在計(jì)算標(biāo)簽的個(gè)性化密碼時(shí)，輸入?yún)?shù)中加入動(dòng)態(tài)因子，來(lái)計(jì)算動(dòng)態(tài)的訪問(wèn)密碼，并更新標(biāo)簽中原有的密碼。動(dòng)態(tài)因子如果來(lái)源于讀寫器，則需要在同一周期內(nèi)更換完所有的標(biāo)簽，否則造成標(biāo)簽中的密碼混亂。

　　動(dòng)態(tài)因子如果來(lái)源于標(biāo)簽(由讀寫器寫入標(biāo)簽中)，則該動(dòng)態(tài)因子必須處于Access PWD的保護(hù)之外，即在進(jìn)行PWD驗(yàn)證之前能夠讀取該動(dòng)態(tài)因子來(lái)計(jì)算密碼，安全性提高。但是，密碼的傳輸與更換在非保密性的環(huán)境下進(jìn)行，違背了密碼機(jī)密性的基本安全原則。

　　(3)后臺(tái)密碼服務(wù)器授權(quán)分配密碼

　　在這種方案中，系統(tǒng)需要配備一個(gè)密碼服務(wù)器對(duì)系統(tǒng)中的所有標(biāo)簽密碼進(jìn)行管理。標(biāo)簽在發(fā)卡階段就需要向密碼服務(wù)器申請(qǐng)密碼，在以后的業(yè)務(wù)流程中如果需要讀寫受保護(hù)的用戶數(shù)據(jù)，需要讀寫器通過(guò)網(wǎng)絡(luò)向密碼服務(wù)器獲取密碼方可操作。這種方式下的安全性較高，但是增加了系統(tǒng)的復(fù)雜度，影響了系統(tǒng)的實(shí)時(shí)性，在面向跨省市、全國(guó)范圍的應(yīng)用時(shí)，可操作性較低。

　　(4)標(biāo)簽合法性驗(yàn)證

　　讀取TID，并根據(jù)TID來(lái)判斷標(biāo)簽的合法性，如果使用TID登記查詢的方式，則必須將TID發(fā)往后臺(tái)中心，實(shí)時(shí)性受到影響;如果必須現(xiàn)場(chǎng)驗(yàn)證TID的合法性，則可使用加密算法，將TID作為輸入因子計(jì)算密碼，與標(biāo)簽中的密碼比對(duì)，如果校驗(yàn)通過(guò)，則說(shuō)明TID合法。但如果不讀取車輛的屬性信息，僅憑一個(gè)TID號(hào)，則很難現(xiàn)場(chǎng)判斷標(biāo)簽與車輛的一一對(duì)應(yīng)，應(yīng)用范圍受到較大制約。

　　(5)數(shù)據(jù)區(qū)鎖定保護(hù)

　　通過(guò)LOCK鎖保護(hù)指令，可對(duì)標(biāo)簽各個(gè)區(qū)塊的數(shù)據(jù)進(jìn)行鎖保護(hù)。加鎖后的數(shù)據(jù)區(qū)將限定讀寫性，如可限定用戶數(shù)據(jù)只讀。數(shù)據(jù)加鎖可分為臨時(shí)鎖和永久鎖，永久鎖即鎖定狀態(tài)不可更改，臨時(shí)鎖可以在操作過(guò)程中有條件更改。鎖保護(hù)可以防止數(shù)據(jù)的非授權(quán)訪問(wèn)和讀寫，但由于數(shù)據(jù)不可更新，且操作過(guò)程繁瑣，在實(shí)際應(yīng)用中可能會(huì)影響標(biāo)簽的識(shí)別率和限定應(yīng)用范圍。

　　(6)密文存儲(chǔ)

　　由于6C標(biāo)簽本身不具備數(shù)據(jù)加密運(yùn)算功能，即實(shí)際傳輸?shù)臄?shù)據(jù)內(nèi)容和格式與標(biāo)簽中存儲(chǔ)的數(shù)據(jù)內(nèi)容和格式一致。很多系統(tǒng)為了保護(hù)敏感數(shù)據(jù)，寫入標(biāo)簽的數(shù)據(jù)都是經(jīng)過(guò)讀寫器加密后的密文數(shù)據(jù)。這樣在以后的應(yīng)用中，讀寫器讀取數(shù)據(jù)時(shí)都是密文傳輸，獲得數(shù)據(jù)后都要對(duì)數(shù)據(jù)進(jìn)行解密，增加了讀寫器負(fù)擔(dān)，實(shí)時(shí)性受到影響。

　　(7)標(biāo)簽銷毀

　　6C提供Kill標(biāo)簽銷毀指令，對(duì)報(bào)廢標(biāo)簽執(zhí)行自毀程序，可以實(shí)現(xiàn)對(duì)報(bào)廢標(biāo)簽車牌的有效管理，防止報(bào)廢標(biāo)簽重復(fù)進(jìn)入流通領(lǐng)域。但是，也面臨著該指令被惡意利用的威脅。

　　3.3小結(jié)

　　ISO 18000-6C的安全體系和技術(shù)特征本身不是為復(fù)雜的應(yīng)用而設(shè)計(jì)的，雖然可以在應(yīng)用系統(tǒng)中不斷的改進(jìn)而顯著提高其安全性，但是其固有的三大缺陷：(1)密碼本身必須在空中傳輸;(2)缺乏計(jì)算能力，不能做到真正的動(dòng)態(tài)安全;(3)邏輯狀態(tài)、被動(dòng)響應(yīng)讀寫器的命令，使其難有質(zhì)的改變。而且，在復(fù)雜的道路交通環(huán)境、高速的行車速度、未知的外界干擾的應(yīng)用環(huán)境下，加入過(guò)多的安全步驟，會(huì)給時(shí)序敏感的6C增加許多額外的負(fù)擔(dān)，在通訊鏈路過(guò)程中由于數(shù)據(jù)量的增加，通訊成功率會(huì)有所下降，造成標(biāo)簽識(shí)別率的下降，具體的影響程度還需實(shí)際測(cè)試驗(yàn)證。

　　4安全性能適用性分析

　　系統(tǒng)安全性能的高低是相對(duì)而言的。如果破壞安全所能獲得的利益遠(yuǎn)高于破壞安全所付出的代價(jià)，則該系統(tǒng)就會(huì)受到更多的威脅或攻擊，安全性相對(duì)降低。

　　從以上的分析可知，DSRC安全體系非常靈活，啟用或不啟用、加密算法、密鑰長(zhǎng)度、密鑰管理體系、認(rèn)證碼、鑒別碼和數(shù)據(jù)加密方式等都可以根據(jù)具體的應(yīng)用要求來(lái)量身定制，安全性能很高，但也增加了系統(tǒng)成本。RFID安全體系也提供了一定的靈活性，啟用或不啟用、加密算法、密鑰管理體系也可根據(jù)具體的應(yīng)用要求來(lái)量身定制，但其密碼必須為32位，且必須在空中傳輸，安全性能不僅受到算法和密鑰的制約，而且還受到標(biāo)簽芯片廠商的制約。對(duì)于芯片廠商，可能存在未公布的后臺(tái)指令和被惡意復(fù)制的風(fēng)險(xiǎn)，對(duì)于電子車牌證系統(tǒng)，則可能造成全面的安全隱患，即使是少量的復(fù)制或仿制，則對(duì)于電子車牌證系統(tǒng)應(yīng)該具備的防假牌、套牌功能也難于實(shí)現(xiàn)。安全性能夠滿足一定的應(yīng)用要求。

　　因此，關(guān)鍵在于電子車牌證本身的數(shù)據(jù)，以及基于這些數(shù)據(jù)能夠擴(kuò)展的功能和應(yīng)用，由系統(tǒng)的價(jià)值來(lái)決定對(duì)安全的需求。

　　結(jié)語(yǔ)

　　本文通過(guò)對(duì)比研究GB/T 20851和ISO 18000-6C的標(biāo)準(zhǔn)協(xié)議，客觀地分析和評(píng)價(jià)了兩種技術(shù)方案的安全性能。然而，系統(tǒng)的安全需求是與實(shí)際應(yīng)用密切相關(guān)的，不同技術(shù)方案的安全性能實(shí)際表現(xiàn)如何，需要通過(guò)理論分析與實(shí)際測(cè)試獲取大量的數(shù)據(jù)，以數(shù)據(jù)為技術(shù)選型提供充分、科學(xué)的參考依據(jù)。