EPC物联网中的ONS架构及安全分析.docx

       EPC物联网中的ONS架构及安全分析                     李馥娟（江苏警官学院，江苏南京210012）摘要：本文简要介绍EPC（Electronic Product Code，产品电子代码）物联网的组成和工作方式结合TCP/IP网络中DNS（Domain Name System，域名系统）技术规范，重点探讨ONS( Object Naming Services，对象名解析服务)的系统架构及实现原理，分析ONS可能存在的安全隐患及防范对策本研究对深入钻研EPC物联网中ONS的工作机制具有参考价值，对安全部署EPC系统具有一定的借鉴意义关键词：物品电子代码(EPC)；射频识别( RFID)；域名系统(DNS)；对象名解析服务( ONS)TP309.2 ：A ：1671-1122( 2010) 12-0006-040 引言20世纪70年代出现的条形码( Barcode)技术，是在计算机应用发展过程中为消除数据录入的瓶颈问题而产生的一种“古老”的自动识别技术，在商品生产和流通领域发挥着十分重要的作用但条形码在应用过程中却暴露出了许多问题，如无法识别单一物品，采用“看得见”的可视传输技术，印有条形码的横条被撕裂、污损或脱落后无法扫描对应的物品等。

为解决条形码在应用中存在的问题，1999年美国麻省理工学院( MIT)成立的自动识别中心(Auto-ID Center)提出了EPC的概念，旨在用EPC系统来取代当前使用的条形码技术，2005年国际电信联盟( ITU)将EPC系统正式取名为“物联网”(Internet of Things)，也称为“EPC物联网”本文简要介绍了EPC物联网的组成和功能，重点探讨了ONS（Object Naming Services，对象名解析服务）的系统架构及实现原理，并结合Intemet中的DNS，分析了ONS可能存在的安全隐患及相应的防范对策1 EPC物联网工作方式典型的EPC物联网系统如图1所示，其工作过程为：1)每一个物品都被分配一个全球唯一的EPC，EPC信息保存在EPC标签(tag)中EPC由EPC编码方案确定，由EPCglobal和各国的EPC管理机构来分配、管理和维护，中国为EPCglobal China目前EPCglobal推出的EPC编码可分为64bits、96bits和256bits三种当贴有EPC标签的物品（汽车、、计算机等）进入射频识别( Radio FrequencyIdentification，RFID)读写器的信号覆盖范围时，读写器以电磁波形式发出的指令会被EPC标签接收到。

EPC标签在接收到指令后，将存储器中的EPC信息通过内部电路调制后经内置天线以电磁波的形式发送出去，给读写器以“应答”；2)读写器对接收到的EPC电磁波进行解调后便取得了该标签中的EPC信息，之后EPC信息将传给本地信息服务器处理本地信息服务器其实是一个中间件系统，EPC物联网中的专用中间件称为SavantSavant对接收到的EPC信息进行过滤处理；3) EPC仅代表着物品的索引信息，而物品的完整信息存放在企业的EPCIS（EPC Information Service，EPC信息服务）服务器中为了在EPC物联网中能够通过标签中的EPC找到物品的详细信息及属性，就必须借助ONS系统来实现利用互联网中的ONS，以过滤后的EPC为对象查找保存有该EPC详细信息的EPCIS服务器；4)通过ONS系统，得到了该EPC对应的EPCIS服务器的URI（Uniform Resource Identifier，统一资源标识符）；5)利用互联网，通过URI就可以找到该EPC对应的EPCIS服务器；6) EPCIS服务器返回物品的详细信息及属性，从而实现对物品的标识，达到在商品供应链中自动识别、跟踪、监控、定位的管理目的。

在Internet中通过HTML( Hypertext Markup Language，超文本标记语言)来描述、存储和交换信息，而在EPC物联网中则通过PML( Physical Markup Language，物理标记语言)来描述、存储和交换信息2 DNS与ONS之间的关系DNS和ONS分别是互联网中使用的名称解析服务方式，DNS中被解析的对象是域名，而要得到的结果是对应的IP地址ONS中被解析的对象是物品的EPC，而要得到的结果是记录该物品详细信息的服务器URI地址2.1 DNSDNS是当前TCP/IP网络中名称解析服务的基础，它是一个主要记录着域名与lP地址之间对应关系的分布式系统利用DNS，可通过易于记忆的域名来快速查询难于记忆的lP地址例如，当人们通过访问新潮网站时，用户端计算机（DNS客户端）将在本机上启用“DNS Client”程序，首先在本机缓存中查找是否有与该域名相关的记录，如果有则将对应的IP地址（如202.102.75.168）返回给浏览器，如果没有则转到本机所设置的“DNS服务器”或从DNS根服务器开始逐级进行查询，直接查询到结果并将lP地址返回给查询计算机为止，以上操作的简要过程如图2所示。

2.2 0NSONS的工作原理和功能类似于DNS，它用来给Savant系统定位某- EPC对应的存储该物品有关信息的服务器URI地址EPC标签中一般仅存储了物品的EPC，当Savant系统在获得该物品的EPC信息后，还需要根据EPC匹配到相应的物品信息，这个匹配过程即物联网的寻址过程，也就是ONS所提供的功能DNS的作用是将一个域名映射到一个或多个lP，而ONS的功能是将一个EPC映射到一个或多个URI，在这些URI中可以查找到关于这个物品的详细信息和属性与DNS 一样，ONS也是一个分布式递归查询系统如图3所示，ONS系统主要由EPC映射信息、ONS客户端和ONS服务器组成，其中ONS客户端包括本地ONS解析器(Local ONSResolver)和ONS本地缓存(ONS Cache)两部分，而ONS服务器是一个树型系统，从最顶端的ONS(Root ONS)根服务器，到下级的各级ONS服务器在本地缓存和ONS服务器上都保存有不同EPC与URI之间的映射信息，以方便不同情况下的查询ONS客户端中的本地ONS解析器负责ONS查询前的编码和查询语句格式化工作，它将需要查询的EPC转换为EPC域前缀名，再将EPC域前缀名与EPC域后缀名结合起来，形成一个完整的EPC域名，最后由本地ONS解析器负责用这个完整的EPC域名进行ONS查询。

在进行ONS查询时，首先在本地ONS缓存中进行，如果本地ONS缓存中没有要查询的映射记录时再向上一级ONS服务器进行查询3 0NS的工作过程ONS系统主要用于EPC与其对应的EPCIS服务器地址的映射管理和查询，其中ONS服务器中保存着产品生产商位置（产品生产的EPCIS服务器地址）的真实记录，而DNS服务器保存有到达EPCIS服务器位置的真实记录，所以ONS的实现必须基于DNS图4为一个ONS系统工作过程的简图，其中EPC采用64bits编码方案，主要的工作步骤如下所示：1)与Savant网络结构边界节点(Edge Savant，ES)相连接的读写器读取EPC标签上的EPC信息，获得了EPC在EPC编码方案中，整个EPC由EPC头字段、EPC管理者、对象分类、序列号4个字段组成，其中EPC-64 TypeⅢ编码方案中的长度分别为2、26、13和23设该EPC编码的十进制表示为1.1785.786.8979，其二进制表示如下（为表述方便，不同字段之间加上了．号）：01.00000000000000011011111001．0001100010010. 00000000010001100010011;2)读写器将这个EPC发送到本地应用程序（简称为“本地服务器”）：01. 00000000000000011011111001．0001100010010. 00000000010001100010011;3)本地应用程序首先将二进制EPC转换为十进制数，然后在头部添加“urn:epc:”，形成如下所示的URI格式：urn:epc: 1.1785.786.8979之后，将该URI发送给本地ONS解析器。

4)因为本地ONS解析器需要通过DNS来访问本地ONS服务器，所以本地ONS解析器需要将此URI转换为DNS域名形式，然后再利用DNS查询该域名的NAPTR（名称权威指针）在本例中，所添加的域名为“．”，转换后的域名为：786.1785.1.myeprroot．net,5) DNS服务器返回一个或多个NAPTR记录，在每一个NAPTR记录中都包括一个指向EPCIS服务器的URI6)本地ONS解析器从返回的NAPTR记录中提取出需要的EPCIS信息服务器的URI地址，返回给本地应用程序通过该URI，本地应用程序连接到EPCIS服务器，查询产品的详细信息和属性4 0NS数据格式及转换方式ONS系统建立[来自www.lw5U.coM]在DNS系统上，但两者在功能结构、数据表示方式都存在着差异为此，必须提供一种高效的机制，实现ONS系统与DNS系统之间的有机对接4.1 0NS查询报文的生成方式Edge Savant( ES)在从EPC标签接收到EPC后，为了实现ONS查询，必须经过本地应用程序（本地服务器）将EPC转换成URI格式具体步骤如下：1) Edge Savant从EPC标签接收二进制EPC，将其转换成十进制方式，为表述方便，组成EPC代码的EPC头字段、EPC管理者、对象分类、序列号四个字段之间用“．”隔开。

01. 00000000000000011011111001. 0001100010010.OOOOOOOO010001100010011以上二进制EPC转换成十进制后为：1.1785.786.8979；2)在EPC十进制代码的头部加上URI协议头部“urn:epc:”，然后交给本地ONS解析器：urn:epc: 1.1785.786.8979;3)本地ONS解析器在接收到包含有“urn:epc:”协议头部的信息后，开始将ONS转换为DNS域名，首先去掉URI协议头部，得到：1.1785.786.8979；4)去除EPC编码中的“序列号”字段一个完整的EPC编码同时包括EPC头字段、EPC管理者、对象分类、序列号共四个字段，但本地ONS解析器将URI转换成DNS域名格式时，并没有全部提取EPC编码结构中的四个字段，fnf是去掉了其中的“序列号”字段得到：1.1785.786；5)颠倒字段顺序，得到：786.1785.1；6)添加DNS域名，如“”，得到：用生成的786.1785.1．域名进行NAPTR查询在以上步骤中，其中3）至6）步操作都在本地ONS解析器上进行，其目的是将URI转换成DNS域名形式，以便于在DNS系统中进行NAPTR查询。

4.2 0NS应答报文的生成方式ONS服务器在接收到ONS客户端的ONS请求报文后，会给ONS客户端返回ONS应用报文，其中ONS应答报文由一个或多个NAPTR记录组成其中，NAPTR记录各字段的功能划分如图4所示1)顺序顺序字段用于保证返回的NAPTR记录，ONS客户端按照NAPTR记录的前后顺序进行解释；2)优先级优先级字段用于设置应答信息中NAPTR记录的优化级，该字段值越小其优先越。