CN101645138A

CN101645138A - 一种射频识别隐私认证方法

Info

Publication number: CN101645138A
Application number: CN200910023866A
Authority: CN
Inventors: 齐勇; 姚青松; 韩劲松; 赵季中; 李向阳; 刘云浩
Original assignee: Xian Jiaotong University
Current assignee: Xian Jiaotong University
Priority date: 2009-09-14
Filing date: 2009-09-14
Publication date: 2010-02-10
Anticipated expiration: 2029-09-14
Also published as: CN101645138B

Abstract

本发明公开了一种射频识别隐私认证方法，包括以下步骤：系统初始化步骤，读写器存储各个标签的密钥和索引以及索引空间的摘要值；标签识别步骤，读写器向标签发出认证请求，标签计算并发送认证信息给读写器，该读写器收到认证信息后识别标签；更新步骤，对标签认证完成后，读写器更新标签的密钥和索引，并将更新信息发送给标签，标签更新存储的密钥和索引；系统维护步骤，在有标签进入或离开RFID系统时，读写器维护标签的密钥和索引。本发明能有效抵抗现有的各种被动与主动攻击，并且与基于平衡树结构的RFID认证方法相比，大大降低了在标签端的存储开销和计算开销。

Description

一种射频识别隐私认证方法

技术领域

本发明涉及射频识别技术，特别涉及射频识别标签认证有关的安全技术。

背景技术

射频识别(Radio Frequency Identification，简称“RFID”)是使用无线射频技术对对象进行非接触式的识别。这种技术的显著优点是不需要物理上或者实际上的接触。RFID具有广泛的应用前景，并已经在零售、电子护照、个人身份证、物流、食品存储、药物监控等多个领域中获得了广泛的应用。

RFID系统主要组成部分包括标签(Tag)、读写器(Reader)和后台数据库(Back-end database，简称“DB”)。其中标签中带有天线和集成电路，通常没有处理器。标签中存储有其所附着物品的一些信息和唯一身份标识(ID)。读写器是一个带有天线的无线发射与接收设备，它负责对标签的内容进行读写。后台数据库是运行于硬件平台的数据库系统，通常认为其具有强大的计算和存储能力，并维持系统中所有标签的信息。

通常认为，读写器与后台数据库之间的信道是安全的，而标签与读写器之间的信道是不安全的。因此在RFID系统安全通信协议的设计中，可以把读写器和后台数据库整体看作通信协议中的一方，标签为另一方。因此在本发明中，我们用“读写器”指代读写器和后台数据库的整体。

RFID认证协议基本模型如图1所示。首先读写器向标签发出认证请求，然后标签返回响应信息。读写器使用此信息对标签进行认证并获得标签中一些信息。

由于RFID的非接触特性，恶意的读写器可以在物品拥有者不知情的情况下对RFID标签进行扫描。使用者的标签与读写器之间的正常通信业可能被攻击者监听。如果没有隐私保护，使用者的隐私信息很可能被攻击者获取。因此，一个安全的RFID系统必须满足以下几个需求。私密性，指认证过程中用户的私密信息不会被第三方获取；无法跟踪，指为避免跟踪标签不应与其认证消息相关；克隆抵抗，指合法标签应该无法伪造，回放的以前发送过的信息不应被认证过程接受；前向安全性，指已获得的标签中存储的密钥不会暴露之前发送的内容；对部分标签被破译的抵抗，指部分标签被破译导致受到威胁的标签数目应该降到最低。

为了进行高效的隐私认证，研究人员已进行了很多研究工作。据我们所知目前效率最高的协议是基于树结构的。在这类协议中，每个标签拥有多个密钥(如d个)而不是一个，如图2所示。读写器构造一棵虚拟的有层次的树来组织这些密钥。这棵树称为密钥树，树中的每一个节点存储一个密钥，每个标签与一个叶子节点唯一对应并拥有从根节点到该叶子节点路径上的所有密钥。如果树的深度为d且树的分支因子为δ，那么每个标签有d个密钥，记标签T_i中存储的密钥为(k_i，0，k_i，1，…，k_i，d)。整棵树能够支持N＝δ^d个标签。在认证协议中，标签用这d个密钥分别产生d个密文来响应读写器的认证请求。受到标签的响应后，读写器根据这个d个密文所使用的密钥分别在每一层上进行搜索，直到达到一个叶子节点。该类协议的密钥搜索复杂度为O(log_δN)。

上述基于平衡密钥树的RFID认证协议效率很高，但是有如下缺点。1)缺少更新机制，不能满足前向安全性。2)任意两个标签之间至少共享1个密钥，在某些标签被破译的情况下，会影响密钥树中其他标签的隐私性。

发明内容

本发明的目的是提供一种射频识别隐私认证方法，该方法可较好的克服基于树的方法所存在的上述问题。

为了达到以上目的，本发明是采取如下技术方案予以实现的：

一种射频识别隐私认证方法，包括下述步骤

A、系统初始化步骤，读写器生成标签的ID-key-index表、index的摘要值表来组织和存储各标签的秘密信息；所述标签的ID，是该标签与读写器共享的一组该标签的秘密标识；所述标签的key，是该标签与读写器共享的一组该标签的密钥；所述标签的index，是该标签与读写器共享的该标签的索引；

B、标签识别步骤，读写器向标签发出认证请求，标签响应认证请求，读写器收到认证信息后识别标签；所述认证信息使用密码学意义上的摘要函数计算；

C、更新步骤，如果标签识别成功，读写器更新该标签的密钥和索引并向标签发送更新信息，标签检查此信息，如果合法则更新它所存储的密钥和索引；

D、系统维护步骤，在有标签离开RFID系统时，读写器删除该标签的所有信息；在有标签进入RFID系统时，读写器为该标签随机生成一个密钥和一个索引，并把它们存储到后台数据库和该标签中。

在上述方法中，所述步骤A中，读写器R为每个标签T_i随机指定一个密钥key_i、一个索引index_i，1≤i≤n，并使用摘要函数计算index_i的域中所有元素对应的摘要值，index_i及其摘要值存储在索引摘要值映射的物理地址中，index_i，ID和key_i构成的三元组按索引index_i排列。

所述步骤B中，在标签识别时，读写器R向标签T_i发送一个认证请求，其中包含一个随机数r₁，收到认证请求后，标签生成另一个随机数r₂，并根据这两个随机数和key_i计算出一个密文m，标签还根据这两个随机数和标签所对应的索引index_i计算出一个数w，并将该数w的摘要值和密文m一起发送给读写器；读写器根据数w的摘要值，通过计算和查找得到标签T_i的索引index_i，根据所得到的索引index_i对应的密钥key_i，验证收到的密文m，如果一致则标签认证成功。

所述步骤C中，更新的具体做法是，如果标签识别成功，读写器R根据标签T_i当前的密钥key_i和索引index_i以及认证过程中使用的两个随机数r₁、r₂，为该标签生成新的密钥和索引并向标签发送更新信息，标签检查此信息，如果合法则生成新的密钥和索引并删除原来的密钥和索引；在标签下一次使用新的密钥和索引得到认证后，读写器删除旧的密钥和索引。

通过比较可以发现，本发明射频识别隐私认证协议(RFID PrivateAuthentication Protocol，简称“RPAP”)的技术方案与现有技术的主要区别在于，将标签的密钥和标签的索引分开处理。在减小标签端的认证代价的同时，为RFID系统提供了前向安全性和双向认证。RPAP能有效地抵抗现有的RFID系统的所有被动和主动攻击。大大降低了标签端的存储和计算开销。

本发明的优点在于：实现了RFID系统中标签的隐私认证，具有很强的安全性；提供了更新机制，保证了前向安全性；系统中一些标签被破译不会泄露其他标签的隐私。另外还有高效认证、动态更新密钥和索引、双向的身份认证(指读写器和标签都能够认证对方的合法性)、能够抵抗现有所有已知攻击的特点。

附图说明

图1是RFID认证协议基本模型示意图。

图2是RFID现有系统中基于树结构的隐私认证协议示意图。

图3是根据本发明的RFID系统隐私认证协议，根据索引的摘要值查找索引的示意图。

图4是根据本发明的RFID系统隐私认证协议，读写器和标签间认证过程示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图3、4对本发明作进一步的详细描述。

设h(·)、F(·)为密码学意义上的摘要函数{0，1}^*→{0，1}^l，其中l为RFID系统的安全参数，在这里是标签的安全强度。假设在系统中有n个标签T_i，1≤i≤n，和读写器R。读写器R根据标签的索引组织所有标签的密钥。

在RFID系统初始化时，选择系统的安全参数和索引长度b。读写器为每个标签T_i随机指定一个密钥key_i和索引index_i。并使用摘要函数h(·)计算index_i的域S中所有元素s对应的摘要值{h(s)}。元组(h(s)，s)存储在物理地址F(h(s))处。其中函数F(·)是对摘要函数h(·)输出内容的一个处理，因为摘要函数的输出跟物理地址的位数不一致。在本发明中，我们使用h(·)输出内容前48位的截取加上用户物理地址的起始位置作为最终物理地址。如图3所示，三元组(index_i，ID_i，key_i)构成以index_i排列的表。摘要函数h(·)关系到标签信息的安全，根据实际安全需要取任意长度。

读写器R和标签T_i的认证过程包括三个步骤，如图4所示。在第一轮中，读写器R发送认证请求给标签T_i，请求中包含一个随机数r₁。在第二轮中，标签T_i收到认证请求后，标签T_i产生一个随机数r₂，并计算密文m＝h(0，key_i，r₁，r₂)。并计算w＝(index_i-r₁-r₂)mod 2^b。标签发送响应I＝r₁，r₂，m，h(w)给读写器R。在第三轮中，收到该响应后，读写器计算摘要值F(h(w))，得到w的存放地址，进而得到w。则可以计算出一个index＝w+r₁+r₂，读写器接着在ID-索引-密钥表中查找此index。如果能找到index_j＝index，就取index_j对应的密钥key_j计算h(0，key_j，r₁，r₂)。如果结果与收到的m一致，证明所认证的标签就是标签T_j。

接着是更新过程，在读写器成功认证了标签T_i后，为了保证前向安全性，需要对标签的密钥和索引进行更新。读写器首先向标签发送一个更新请求消息，该消息由标签当前的密钥、索引和当前会话的两个随机数计算得出，为h(1，key_j，r₁，r₂)。读写器然后为此标签计算新的索引G(2，key_j，r₁，r₂)和新的密钥h(3，key_j，r₁，r₂)。其中函数G(·)是对摘要函数h(·)输出内容的一个处理，因为摘要函数的输出跟索引的位数不一定一致。在本发明中，我们使用h(·)输出内容的截取，截取的长度以索引长度b为准。在收到此更新请求后，标签首先验证其合法性。标签取自己的参数计算h(1，key_i，r₁，r₂)，如果与收到值一致，则该读写器是一个合法读写器并对标签进行了成功的认证。标签通过与读写器相同的算法计算新的索引和密钥，标签还将原索引和密钥删除。

在系统维护步骤中，在有标签离开RFID系统时，读写器删除该标签的所有信息。在有标签进入RFID系统时，读写器为该标签随机生成一个密钥和一个索引，并把它们存储到后台数据库和标签中。

虽然通过参照本发明的实例，已经对本发明进行了图示和描述，但本领域的技术人员应该明白，可以在细节和形式上对其作各种变化，比如使用主机的网络地址加硬盘寻址来存储摘要值，认证消息的格式等等，从而仍属于本发明技术方案的保护范围。

Claims

1、一种射频识别隐私认证方法，其特征在于，包括下述步骤

A、系统初始化步骤，读写器生成标签的ID-key-index表、index的摘要值表来组织和存储各标签的秘密信息；所述ID-key-index表中的ID，是该标签与读写器共享的一组该标签的秘密标识；key是该标签与读写器共享的一组该标签的密钥；inde是该标签与读写器共享的该标签的索引；

2、如权利要求1所述的射频识别隐私认证方法，其特征在于，所述步骤A中，读写器R为每个标签T_i随机指定一个密钥key_i、一个索引index_i，1≤i≤n，并使用摘要函数计算index_i的域中所有元素对应的摘要值，index_i及其摘要值存储在索引摘要值映射的物理地址中，index_i，ID和key_i构成的三元组按索引index_i排列。

3、如权利要求1所述的射频识别隐私认证方法，其特征在于，所述步骤B中，在标签识别时，读写器R向标签T_i发送一个认证请求，其中包含一个随机数r₁，收到认证请求后，标签生成另一个随机数r₂，并根据这两个随机数和key_i计算出一个密文m，标签还根据这两个随机数和标签所对应的索引index_i计算出一个数w，并将该数w的摘要值和密文m一起发送给读写器；读写器根据数w的摘要值，通过计算和查找得到标签T_i的索引index_i，根据所得到的索引index_i对应的密钥key_i，验证收到的密文m，如果一致则标签认证成功。

4、如权利要求1所述的射频识别隐私认证方法，其特征在于，所述步骤C中，更新的具体做法是，如果标签识别成功，读写器R根据标签T_i当前的密钥key_i和索引index_i以及认证过程中使用的两个随机数r₁、r₂，为该标签生成新的密钥和索引并向标签发送更新信息，标签检查此信息，如果合法则生成新的密钥和索引并删除原来的密钥和索引；在标签下一次使用新的密钥和索引得到认证后，读写器删除旧的密钥和索引。