CN105847009A

CN105847009A - 一种满足后向安全的rfid双向认证方法

Info

Publication number: CN105847009A
Application number: CN201610157282.5A
Authority: CN
Inventors: 凌捷; 刘道微; 谢锐; 柳毅; 龚怡
Original assignee: Guangdong University of Technology
Current assignee: Guangdong University of Technology
Priority date: 2016-03-17
Filing date: 2016-03-17
Publication date: 2016-08-10

Abstract

本发明公开了一种满足后向安全的RFID双向认证方法，包括步骤：读写器生成两个都是L位长度的随机数R1和R2，根据标识符ID_L、ID_R计算出A和B的值，然后将A、B的值以及认证请求命令一同发给标签；标签通过A、B的值计算得到R1_T、R2_T，然后再利用密钥KEY_T、R1_T、R2_T建立一标签真伪验证公式，计算得到标签真伪验证值C_T，将C_T值传给读写器；读写器将自身存储的密钥KEY以及生成的R1和R2代入上述的标签真伪验证公式，验证标签的真伪。如果标签是合法的，读写器用当前密钥KEY以及生成的随机数R2计算得到读写器真伪验证值D，将D值传给标签，读写器更新密钥。标签在收到读写器传来的D之后，验证读写器的真伪。如果验证读写器是合法的，则标签更新自身存放的密钥。

Description

一种满足后向安全的RFID双向认证方法

技术领域

本发明涉及射频识别研究领域，特别涉及一种RFID系统中标签与读写器之间满足后向安全的RFID双向认证方法。

背景技术

无线射频识别技术(radio frequency identification，RFID)是一种利用射频信号实现无接触信息传输，并且通过所传输的信息来达到识别的目的的技术。由于RFID技术是利用无线射频通道来交换数据，因此很容易受到外部环境的干扰以及攻击者的恶意攻击。如果RFID标签中存放的个人信息或者商业情报等被恶意的攻击者非法获取，会给使用者带来巨大的损失。

为克服上述问题，研究人员提出了许多基于伪随机数生成器的认证协议，这类协议可以实现安全与隐私保护；同时也提出了一些基于位运算和HASH函数的轻量级RFID认证协议，但是这些协议都存在安全隐患或是认证效率低等问题。例如，Godor G等人提出的认证方案不能抵抗去同步攻击，攻击者可以通过重放消息，使读写器与标签两者之间的密钥不一致，从而破坏两者之间的后续认证(Godor G,Imre S.Hash-based mutual authentication protocol for low-costRFID systems[C]//Proc of the 18th EUNICE Conf on Information andCommunications Technologies.Berlin:Springer,2012:76-87.)；Miyaji A等人提出的认证方案其实质是一个搜索协议，并不能算一个双向认证协议(Miyaji A,Rahman M S.KIMAP:Key-insulated mutual authentication protocol for RFID[J].Int Journal of Automated Identification Technology,2011,3(2):61-74.)；Mamun MSI等人提出的认证方案不能抵抗主动攻击，攻击者通过不断的询问标签，来分析标签的回复信息，就可以完全推导出标签中存放的所有密钥信息(Mamun M SI,Miyaji A,Rahman M S.A secure and private RFID authentication protocol underSLPN problem[C]//Proc of the 6th Int Conf on Network and System Security.Berlin:Springer,2012:476-489.)；Alomair B等人提出的认证方案不能提供向后的隐私安全性(Alomair B,Cuellar J,Poovendran R.Scalable RFID systems:Aprivacy-preserving protocol with constant time identification[J].IEEE Trans onParallel and Distributed Systems,2012,23(8):1-10.)；杜宗印等人根据遗传算法的相关知识提出了交叉位运算，并结合XOR、Rot运算提出了CURAP协议，但是CURAP在运算方面过于简单，安全性略显不足，同时该协议在每次认证完成之后，标签与读写器两者之间密钥的更新过程过于复杂且计算量相对较大(杜宗印,章国安,袁红林.基于交叉位运算的超轻量RFID认证协议[J].计算机科学,2013,40(11):35-37.)；王少辉等人提出的方案不能抵抗暴力破解攻击，因为r1和r2采用明文传输，因此攻击者很容易获取r1和r2，采用穷举法可以推导出标签中存放的密钥信息(王少辉,刘素娟,陈丹伟.满足后向隐私的可扩展RFID双向认证方案[J].计算机研究与发展,2013,50(6):1276-1284.)。基于上面的叙述，设计一个安全的双向认证协议具有重要的研究意义和实用价值。

发明内容

本发明的目的在于克服现有技术的缺点与不足，提供一种满足后向安全的RFID双向认证方法，该方法解决了目前RFID系统中标签与读写器之间认证存在安全缺陷的问题，具有安全性高、认证效率高、标签成本低的优点。

本发明的目的通过以下的技术方案实现：一种满足后向安全的RFID双向认证方法，包括步骤：

(1)读写器读取内部存储的标签的唯一标识符，将其等分为两部分，记为ID_L、ID_R，长度均为L位；读写器生成两个长度均为L位的随机数R1和R2；读写器利用ID_L和R1进行异或运算得到A，利用ID_R和R2进行异或运算得到B，然后将A、B以及认证请求命令一并发送给标签；

(2)标签接收到读写器发送来的A、B以及认证请求命令后，先取出自身储存的ID_LT和ID_RT，然后将ID_LT与接收到的A进行异或运算得到R1_T，将ID_RT与接收到的B进行异或运算得到R2_T，接着根据标签自身存储的密钥KEY_T以及计算得到的R1_T、R2_T建立一个标签真伪验证公式，计算得到标签真伪验证值C_T；最后，将C_T值传给读写器；

(3)读写器在接收到标签发送来的信息以后，首先读写器将自身存储的密钥KEY以及生成的随机数R1和R2代入上述的标签真伪验证公式，得到验证值C，如果C与C_T不相等，则说明标签是伪造的，认证立刻结束；如果相等，则执行步骤(4)；

(4)读写器用当前密钥KEY以及生成的随机数R2建立一个读写器真伪验证公式，计算得到读写器真伪验证值D，将D值传给标签；读写器按照预设的密钥更新公式更新密钥；

(5)标签在收到读写器传来的D之后，将自身存放的密钥KEY_T以及计算得到的R2_T代入上述的读写器真伪验证公式，得到验证值D_T，如果D与D_T不相等，则说明读写器是伪造的，认证立刻结束；如果相等，则标签按照预设的密钥更新公式更新自身存放的密钥。

优选的，所述步骤(2)中标签真伪验证值C_T的计算公式如下：

C_T＝[(KEY_T&R2_T&R1_T)²mod M]_L；

其中，KEY_T表示标签自身存储的密钥，[]_L取运算结果的前L位；&表示与运算，M表示模数，M＝2^L-1；

同理的，验证值C的计算公式如下：

C＝[(KEY&R2&R1)²mod M]_L。

更进一步的，所述步骤(3)中，读写器自身存储的密钥KEY分为两种，一种是当前的密钥K_new，另一种是历史使用过的密钥K_old，K_old为一个数组；在接收到标签传来的C_T值后，读写器先根据K_new、R1和R2得到第一验证值C`，并将C`与C_T进行比较，

若二者相等，则令KEY等于K_new，执行步骤(4)；

若二者不相等，再根据K_old、R1和R2得到第二验证值C``，C``为一个数组，将C``中所有的值与C_T进行比较，如果均不相等，说明标签是伪造的，认证立刻结束，如果C``中的其中一个值C``_i与C_T相等，则令KEY等于与该C``_i对应的密钥K_old_i，执行步骤(4)。

优选的，步骤(4)中读写器真伪验证值D的计算公式如下：

D＝[KEY²mod M]_L&R2；

其中，[]_L取运算结果的前L位；&表示与运算，M表示模数，M＝2^L-1；

同理的，验证值D_T的计算公式如下：

D_T＝[KEY_T ²mod M]_L&R2_T。

优选的，步骤(4)中，读写器更新密钥的公式是：

KEY_new＝[KEY²mod M]_L；

其中，[]_L取运算结果的前L位；M表示模数，M＝2^L-1；

同理的，步骤(5)中，标签更新自身存放的密钥的公式是：

KEY_T_new＝[KEY_T ²mod M]_L。

本发明的RFID双向认证方法具有如下优点和有益效果：

(1)本发明抛弃传统的Hash运算加密传输的方法，采用具有同等级安全的模运算加密方法对传输的信息进行加密，从而减少标签端及读写器端的运算量，使本发明方法可以达到轻量级的级别；

(2)本发明抛弃标签端产生随机数的做法，选择由读写器端产生随机数，从而达到降低标签成本的目标；

(3)本发明充分利用标签和读写器之间共享的标签唯一的标识符ID的信息，减少信息的引入和存放，将标签的标识符ID分成ID_L和ID_R两部分进行加密传输，作为双向认证的凭据，从而降低标签端的存储成本；

(4)本发明标签与读写器之间双向认证过程所传输的所有的信息都是经过加密之后再传输的，与传统的传输方式相比更为安全，同时传输过程的信息中都至少有两个以上的变量对于攻击者而言是未知的，从而彻底避免了攻击者采用穷举法破解密钥的安全隐患。

附图说明

图1是本实施例所述方法的流程示意图。

图2是本实施例双向认证过程中各参数传递过程示意图。

具体实施方式

下面结合实施例及附图对本发明作进一步详细的描述，但本发明的实施方式不限于此。

实施例1

参见图1、2，首先给出本实施例所述方法中涉及到的各个符号的含义：

R：读写器；

T：标签；

KEY：读写器和标签之间共享的密钥(长度为L位)；

ID：标签的唯一标识符(长度为2L位)；

ID_L：标签ID的左半部分(左边的L位)；

ID_R：标签ID的右半部分(右边的L位)；

K_new：本次认证的共享密钥(长度为L位)；

K_old：历史若干次认证的共享密钥(长度为L位)；

L：密钥的长度；

M：模数，M＝2^L-1；

R1和R2：读写器产生的两个随机数(长度都为L位)；

⊕：异或运算；

&：与运算。

在RFID系统中读写器与后端数据库之间通过有线传输方式进行信息的传输，一般认为两者之间的传输是安全的，因此将后端数据库和读写器看成一个整体。读写器与标签之间的双向认证具体过程如图1所示，其认证过程中各个参数传递过程参见图2，在图2中，A＝ID_L⊕R1；B＝ID_R⊕R2；C＝[(KEY&R2&R1)²mod M]_L，表示取运算结果的前L位；D＝[KEY²mod M]_L&R2，表示首先取[]运算结果的前L位，然后再与R2进行与运算。

结合图1、2对本实施例的认证过程具体说明如下：

①读写器读取内部存储的标签的唯一标识符，将其等分为两部分，记为ID_L、ID_R，长度均为L位。读写器生成两个长度均为L位的随机数R1和R2。

读写器利用ID_L和R1进行异或运算得到A，即A ＝ID_L⊕R1，然后利用ID_R和R2进行异或运算得到B，即B＝ID_R⊕R2。

最后将A、B以及认证请求命令Query一并发送给标签。

②标签接收到读写器发送来的信息以后，首先取出自身储存的信息ID_LT和ID_RT，如果读写器和标签均不是伪造的，那么ID_LT和ID_RT应分别等于ID_L、ID_R。

然后将ID_LT与接收到的A进行异或运算得到R1_T，即R1_T＝ID_L⊕A，将ID_RT与接收到的B进行异或运算得到R2_T，即R2_T＝ID_R⊕B。如果读写器和标签均不是伪造的，那么R1_T和R2_T应分别等于读写器中生成的R1、R2。

接着标签根据自身存储的密钥KEY_T、计算得到的R1_T、R2_T建立一个标签真伪验证公式，计算标签真伪验证值C_T：

C_T＝[(KEY_T&R2_T&R1_T)²mod M]_L；

最后，将C_T值传给读写器。

③读写器接收到标签发送来的信息以后，首先读写器将自身存储的密钥KEY以及生成的R1和R2代入上述的标签真伪验证公式，得到验证值C：

C＝[(KEY&R2&R1)²mod M]_L；

如果C与C_T不相等，则表明标签是伪造的，认证立刻结束；如果相等，则继续下面步骤。

④读写器用当前密钥KEY以及生成的随机数R2建立一个读写器真伪验证公式，计算得到读写器真伪验证值D：

D＝[KEY²mod M]_L&R2；

将D值传给标签；读写器按照预设的密钥更新公式KEY_new＝[KEY²modM]_L，更新密钥。

⑤标签在收到读写器传来的D之后，将自身存放的密钥KEY_T以及计算得到的R2_T代入上述的读写器真伪验证公式，得到验证值D_T：

D_T＝[KEY_T ²mod M]_L&R2_T。

如果D与D_T不相等，则表明读写器是伪造的，认证立刻结束；如果相等，则标签按照预设的密钥更新公式KEY_T_new＝[KEY_T ²mod M]_L，更新自身存放的密钥。如果读写器和标签均不是伪造的，那么标签更新后的密钥KEY_T_new应与读写器更新后的密钥KEY_new相同。

在实际应用中，有可能标签在上面几次的认证过程中没有得到更新，如果只采用读写器最新的密钥作为认证密钥，那么这类标签就得不到认证，为了解决这一问题，可对步骤③进行改进，改进的过程如下：

(3-1)将读写器自身存储的密钥KEY分为两种，一种是当前的密钥K_new，另一种是历史使用过的密钥K_old，K_old为一个数组，里面包括历史采用过的所有密钥或者部分密钥。

(3-2)在接收到标签传来的C_T值后，读写器先根据K_new、R1和R2得到第一验证值C`：

C`＝[(K_new&R2&R1)²mod M]_L

(3-3)判断C`与C_T是否相等，如果相等，执行步骤(3-4)；否则，执行步骤(3-5)。

(3-4)令KEY等于K_new，执行步骤④。

(3-5)根据K_old、R1和R2得到第二验证值C``：

C``＝[(K_old&R2&R1)²mod M]_L

这里的C``为一个数组，如果该数组中所有的值与C_T均不相等，则说明标签是伪造的，认证立刻结束。如果有一个C``_i与C_T相等，则令KEY等于与该C``_i对应的密钥K_old_i，执行步骤④。

下面给出认证协议的BAN逻辑形式化分析，通过BAN形式化分析来证明双向认证方法的安全性和正确性，证明过程如下：(针对上面文字部分的更改，下面也做了一定的更改，请审核，这里涉及的公式麻烦修改)

首先给出协议的理想化模型：

消息①R→T:Query，A，B

消息②T→R:C_T

消息③R→T:D

下面给出协议的初始假设：

P1：R相信R和T共享密钥值KEY。

P2：T相信R和T共享密钥值KEY_T，KEY与KEY_T相等。

P3：R相信R和T共享标识符ID_L。

P4：T相信R和T共享标识符ID_LT，ID_LT与ID_L相等。

P5：R相信R和T共享标识符ID_R。

P6：T相信R和T共享标识符ID_RT，ID_RT与ID_R相等。

P7：R|≡#(R1)，R相信随机数R1的新鲜性。

P8：T|≡#(R1)，T相信随机数R1的新鲜性。

P9：R|≡#(R2)，R相信随机数R2的新鲜性。

P10：T|≡#(R2)，T相信随机数R2的新鲜性。

P11：T相信R对A的管辖权。

P12：T相信R对B的管辖权。

P13：R相信T对C_T的管辖权。

P14：T相信R对D的管辖权。

安全目标：

G1：T|≡A,T相信A。G2：T|≡B,T相信B。

G3：R|≡C,R相信C_T。G4：T|≡D,T相信D。

分析推理：

由消息①得(T曾经收到消息A)，并且由初始假设P1及消息含义法则(若主体P相信主体P和Q的共享秘钥K，且P曾经收到用K加密的密文X，则P相信主体Q发送过来的消息X)，得到

由假设P7、P9及消息新鲜性法则(如果一个消息的一部分是新鲜的，则整个消息也是新鲜的)，得T|≡#(A)。由已经推导出来的T|≡#(A)及随机数验证法则得到R|≡T|≡A。

由R|≡T|≡A、初始化假设P11以及管辖法则可得T|≡A。因此，目标G1得证。

运用上述条件和法则，同理可证得G2、G3以及G4。此处不再赘述。

上述实施例为本发明较佳的实施方式，但本发明的实施方式并不受上述实施例的限制，其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化，均应为等效的置换方式，都包含在本发明的保护范围之内。

Claims

1.一种满足后向安全的RFID双向认证方法，其特征在于，包括步骤：

2.根据权利要求1所述的RFID双向认证方法，其特征在于，所述步骤(2)中标签真伪验证值C_T的计算公式如下：

C_T＝[(KEY_T&R2_T&R1_T)²mod M]_L；

其中，KEY_T表示标签自身存储的密钥，[ ]_L取运算结果的前L位；&表示与运算，M表示模数，M＝2^L-1；

同理的，验证值C的计算公式如下：

C＝[(KEY&R2&R1)²mod M]_L。

3.根据权利要求2所述的RFID双向认证方法，其特征在于，所述步骤(3)中，读写器自身存储的密钥KEY分为两种，一种是当前的密钥K_new，另一种是历史使用过的密钥K_old，K_old为一个数组；在接收到标签传来的C_T值后，读写器先根据K_new、R1和R2得到第一验证值C`，并将C`与C_T进行比较，

若二者相等，则令KEY等于K_new，执行步骤(4)；

4.根据权利要求1所述的RFID双向认证方法，其特征在于，步骤(4)中读写器真伪验证值D的计算公式如下：

D＝[KEY²mod M]_L& R2；

其中，[ ]_L取运算结果的前L位；&表示与运算，M表示模数，M＝2^L-1；

同理的，验证值D_T的计算公式如下：

D_T＝[KEY_T²mod M]_L&R2_T。

5.根据权利要求1所述的RFID双向认证方法，其特征在于，步骤(4)中，读写器更新密钥的公式是：

KEY_new＝[KEY²mod M]_L；

其中，[ ]_L取运算结果的前L位；M表示模数，M＝2^L-1；

同理的，步骤(5)中，标签更新自身存放的密钥的公式是：

KEY_T_new＝[KEY_T²mod M]_L。