CN102332982B

CN102332982B - 一种射频电子标签非对称认证方法

Info

Publication number: CN102332982B
Application number: CN201110317611.5A
Authority: CN
Inventors: 郑建德
Original assignee: BEIJING LIANHE SHILONG TECHNOLOGY Co Ltd
Current assignee: BEIJING LIANHE SHILONG TECHNOLOGY Co Ltd
Priority date: 2011-10-18
Filing date: 2011-10-18
Publication date: 2014-08-27
Anticipated expiration: 2031-10-18
Also published as: CN102332982A

Abstract

本发明的射频电子标签非对称认证方法分别以代数整数a作为公钥、以代数整数b作为私钥，其中，采用挑战-应答协议完成验证。挑战码c为随机整数，应答码其中，x是一个由c映射而成的代数整数。应答码z的验证分为两个步骤：第一步验证是否存在代数整数满足z²＝ay；第二步验证应答码z与挑战码c之间是否存在预设的映射关系。本发明提供的算法相对于现有的非对称密码算法，包括椭圆曲线密码算法更为简单，计算量较小，因此在无源电子标签中使用本发明提供的技术方案来完成认证过程，既可保证无线射频识别系统的安全性，还可有效控制电子标签芯片的造价。

Description

一种射频电子标签非对称认证方法

技术领域

本发明涉及一种射频电子标签非对称认证方法。

背景技术

无线射频识别技术(RFID)目前已经成为全球热门的新科技，迄今为止，许多高科技公司，诸如飞利浦、西门子、英特尔、微软、甲骨文等都积极介入到无线射频识别专用硬件和软件的开发上。无线射频识别系统主要包含电子标签和阅读器两部分，电子标签是射频识别数据的载体，由标签天线和标签芯片组成，常用的标签芯片为无源芯片。从安全的角度看，标签芯片可以分为带对称密码算法(SymmetricCryptographic Algorithm)、带非对称密码算法(AsymmetricCryptographic Algorithm)、与不带密码算法三大类。

其中，不带密码算法的电子标签也称为简单电子标签，其芯片一般只需约2000等效门(gate equivalents)，造价较低，但容易遭受伪造与克隆等攻击。

目前，采用对称密码算法是抵御上述攻击的基本方法，带对称密码算法的标签芯片约需要4000等效门，其造价也可以接受。但是，为了实现基于对称密码算法的电子标签认证需要建立一个庞大的密钥库，而且必须提供安全的网络连接，以支持标签阅读器随时访问该密钥库，这就提高了整个系统的运行费用，因此不利于无线射频识别技术在许多领域的推广应用。

而非对称密码算法是在无线射频识别系统中抵御伪造、克隆等攻击的另一种方法。这种方法不需要密钥库与网络连接的支持，可以在开放、分布式环境中使用。但是，在电子标签(特别是无源电子标签)中植入现有的非对称密码算法势必会大大地增加标签芯片的复杂性。2008年西门子提出了一种带椭圆曲线密码(非对称密码，英文为Elliptic Curve Cryptography，简称ECC)算法的无源电子标签，其芯片的复杂性高达约30000等效门。

发明内容

本发明所要解决的技术问题是提供一种基于代数整数分解问题的新型电子标签非对称认证方法。

本发明的技术方案如下：

一种射频电子标签非对称认证方法，初始化过程包括以下步骤，

步骤1，射频终端生成密钥对，包括公钥a和私钥b；

步骤2，所述射频终端将所述公钥a和射频终端身份信息发送至认证中心；

步骤3，所述认证中心生成数字证书，并发送至所述射频终端；

认证过程采用挑战-应答协议，包括以下步骤：

步骤4，所述射频终端向标签阅读器发送认证请求，并将所述数字证书发送至所述标签阅读器；

步骤5，所述标签阅读器验证所述数字证书的合法性，若合法，则自所述数字证书中提取所述公钥a，并生成挑战码c，将所述挑战码c发送至所述射频终端；若所述数字证书不合法，则拒绝所述射频终端的认证请求；

步骤6，所述射频终端生成应答码z，并发送至所述标签阅读器；

步骤7，所述标签阅读器验证所述应答码z的正确性：若正确，则接受所述射频终端；否则拒绝所述射频终端；

特别地，

所述步骤1中，按照以下步骤生成所述密钥对：

步骤11，所述射频终端随机生成秘密代数整数p，q，b₁，b₂，其中，p，q，b₁，b₂∈R_m，m＞0，R_m根据以下公式递归定义，

R_{1} = Z [\sqrt{r_{1}}] = {z_{1} + z_{2} \sqrt{r_{1}} : &PlusMinus; z_{1}, &PlusMinus; z_{2} &Element; Z};

R_{2} = {e_{1} + e_{2} \sqrt{r_{2}} : e_{1}, e_{2} &Element; R_{1}};

…

R_{i} = {e_{1} + e_{2} \sqrt{r_{i}} : e_{1}, e_{2} &Element; R_{i - 1}};

…

R_{m - 1} = {e_{1} + e_{2} \sqrt{r_{m - 1}} {: e}_{1}, e_{2} &Element; R_{m - 2}}

R_{m} = {e_{1} + e_{2} \sqrt{r_{m}} : e_{1}, e_{2} &Element; R_{m - 1}}

Z＝{0，1，2，3...}，r_i∈Z，i＝1，2，3，…；

步骤12，按照以下公式计算公钥a和私钥b：

b = b_{1} \sqrt{p} + b_{2} \sqrt{q}, a = b^{2} = a_{1} + a_{2} \sqrt{n},

其中，n＝pq，n，a₁，a₂∈R_m；

所述步骤6中，按照以下步骤生成所述应答码z：

步骤61，所述射频终端将挑战码c映射为秘密代数整数x，其中，

x = x_{1} \sqrt{p} + x_{2} \sqrt{q},

x₁，x₂∈R_m；

步骤62，所述射频终端按照以下公式计算应答码z，

z = bx = (b_{1} \sqrt{p} + b_{2} \sqrt{q}) (x_{1} \sqrt{p} + x_{2} \sqrt{q})

= (b_{1} x_{1} p + b_{2} x_{2} q) + (b_{2} x_{1} + b_{1} x_{2}) \sqrt{n},

其中，z₁，z₂∈R_m；

= z_{1} + z_{2} \sqrt{n}

所述步骤7中，按照以下步骤验证所述应答码z的正确性：

步骤71，所述标签阅读器利用所述公钥a验证是否存在代数整数满足z²＝ay，其中，y₁，y₂∈R_m：若存在所述代数整数y，则继续执行步骤72，否则认定应答码z不正确；

步骤72，所述标签阅读器判断所述应答码z与所述挑战码c之间是否存在预设的映射关系：若存在，则认定所述应答码z正确；否则认定应答码z不正确。

进一步地，若设定m＝2，

R_{2} = {e_{1} + e_{2} \sqrt{2} + e_{3} \sqrt{3} + e_{4} \sqrt{6} : e_{1}, e_{2}, e_{3}, e_{4} &Element; Z},

p，q，b₁，b₂∈R₂，则所述步骤61中，所述射频电子标签按照以下方法将所述挑战码c映射为所述秘密代数整数x：

步骤611，将所述挑战码c分解为八个整数c_j，其中，c_j∈Z，1≤j≤8，并建立以下两个方程：

b_{2} x_{1} \approx 2^{θ} (c_{1} + c_{2} \sqrt{2} + c_{3} \sqrt{3} + c_{4} \sqrt{6}),

b_{1} x_{2} \approx 2^{θ} (c_{5} + c_{6} \sqrt{2} + c_{7} \sqrt{3} + c_{8} \sqrt{6}),

其中，θ为预设的整数参数，用于调整认证强度与计算量；

步骤612，根据上述两个方程计算获得x₁和x₂，得到x₁，x₂∈R₂；

所述步骤72中，所述标签阅读器按照以下方法判断所述应答码z与所述挑战码c之间是否存在预设的映射关系：

判断z₂与

2^{θ} (c_{1} + c_{2} \sqrt{2} + c_{3} \sqrt{3} + c_{4} \sqrt{6}) + 2^{θ} (c_{5} + c_{6} \sqrt{2} + c_{7} \sqrt{3} + c_{8} \sqrt{6})

二者之差在预设范围内；

判断a₂y₂与

2^{2 (θ + 1)} (c_{1} + c_{2} \sqrt{2} + c_{3} \sqrt{3} + c_{4} \sqrt{6}) (c_{5} + c_{6} \sqrt{2} + c_{7} \sqrt{3} + c_{8} \sqrt{6})

二者之差在预设范围内；

若上述两个条件均满足，则判定所述应答码z与所述挑战码c之间存在预设的映射关系。

本发明的有益效果是：

本发明为射频电子标签认证提供了一种采用新颖的非对称密码算法的挑战-应答认证协议，该算法基于代数整数分解问题(Algebraic Integer Factorization Problem)，相对于现有的非对称密码算法，包括椭圆曲线密码算法来说更为简单，计算量较小，因此在无源电子标签中使用本发明提供的技术方案来完成认证过程，既可保证无线射频识别系统的安全性，还可有效控制电子标签芯片的造价。

附图说明

具体实施方式

以下结合附图对本发明的原理和特征进行描述，所举实例只用于解释本发明，并非用于限定本发明的范围。

本发明的射频电子标签非对称认证方法可应用于一般无线射频通信系统，其中，射频终端可为其它移动设备，如智能卡、手机等，相应地，标签阅读器也可为其它认证设备或设施，如智能卡读卡器、计算机主机、门禁设备等，认证中心可以是自行开发的、具有类似于公钥基础设施(Public key Infrastructure，PKI)中的安全认证中心功能的系统模块，也可以直接利用PKI的安全认证中心。

下面以m＝2为例，对本发明的非对称认证方法进行简单介绍。

首先，射频终端进行初始化操作，随机生成私钥b，

b = b_{1} \sqrt{p} + b_{2} \sqrt{q},

p，q，b₁，b₂∈R₂，

R_{2} = {e_{1} + e_{2} \sqrt{2} + e_{3} \sqrt{3} + e_{4} \sqrt{6} : e_{1}, e_{2}, e_{3}, e_{4} &Element; Z},

其中，p，q，b₁，b₂为秘密代数整数，所谓秘密代数整数即射频终端不对外公开的参数。射频终端再生成公钥a，其中，n＝pq，n，a₁，a₂∈R₂，n，a₁，a₂为公开代数整数，相对构成私钥的秘密代数整数来说，公开代数整数即射频终端必须对外公开的代数整数。

其次，射频终端为了与标签阅读器之间建立信任通信关系，射频终端将公钥a和射频终端身份信息(例如终端设备的名称和/或终端设备标识)发送至认证中心，由认证中心根据上述信息生成数字证书，并发送至射频终端。

当然，为了进一步简化射频终端的电路构成，省略射频终端内用于产生随机数的电路，可以是由一个密钥分配中心(KeyDistribution Center)为每个射频终端随机生成私钥b和公钥a，并与认证中心通信，向其申请数字证书，再将私钥b和数字证书(含公钥a)一起写入射频终端。显然，这种方法可进一步降低射频终端的造价。

接着，射频终端向标签阅读器发送认证请求，并将数字证书发送至标签阅读器，由标签阅读器根据其自认证中心下载的根证书来验证数字证书的合法性。若数字证书经验证合法，则标签阅读器自数字证书中提取出公钥a，同时还生成随机挑战码c发送至射频终端。在本步骤中，为了完成数字证书的验证，标签阅读器需要从认证中心下载其根证书。需要说明的是，根证书的下载可以预先进行，且一次下载可以长时间使用。

然后，射频终端接收随机挑战码c，并生成应答码z发送至标签阅读器。射频终端生成应答码z的方法如下：

第一步，将随机挑战码c映射为秘密代数整数x，其中，x₁，x₂∈R₂；该映射过程可分为以下两部分：

(1)因为

R_{2} = {e_{1} + e_{2} \sqrt{2} + e_{3} \sqrt{3} + e_{4} \sqrt{6} : e_{1}, e_{2}, e_{3}, e_{4} &Element; Z},

共包括4个系数，故先要将挑战码c分解为8个整数，记为c_j，其中，j＝1，2，3，...，8，并建立以下两个方程：

b_{2} x_{1} \approx 2^{θ} (c_{1} + c_{2} \sqrt{2} + c_{3} \sqrt{3} + c_{4} \sqrt{6}),

b_{1} x_{2} \approx 2^{θ} (c_{5} + c_{6} \sqrt{2} + c_{7} \sqrt{3} + c_{8} \sqrt{6}),

其中，θ为系统预设的参数，可取任意正整数，用于实现认证强度(即认证准确性)与计算量之间的平衡，θ的取值越大，则认证强度越高，计算量也就越大。在对认证精准度要求不高、但对运算量要求较高的情况下，可通过选取合适的θ值来降低运算量。

(2)得到上述两个方程之后，通过计算两个方程尽可能精确的近似解，得到x₁和x₂，进而完成将c映射为x的目的。

第二步，射频终端计算获得应答码z＝bx，并将z发送至标签阅读器。其中，

z = bx = (b_{1} \sqrt{p} + b_{2} \sqrt{q}) (x_{1} \sqrt{p} + x_{2} \sqrt{q})

= (b_{1} x_{1} p + b_{2} x_{2} q) + (b_{2} x_{1} + b_{1} x_{2}) \sqrt{n}

= z_{1} + z_{2} \sqrt{n}

其中，z₁，z₂∈R₂。

最后，标准阅读器自数字证书中提取公钥a，利用公钥a验证应答码z的正确性。主要包括以下两方面：

一方面，利用公钥a验证是否存在代数整数满足z²＝ay，其中，y₁，y₂∈R₂；

另一方面，从应答码的计算方法可以导出：

z_{2} = b_{2} x_{1} + b_{1} x_{2}

\approx 2^{θ} (c_{1} + c_{2} \sqrt{2} + c_{3} \sqrt{3} + c_{4} \sqrt{6}) + 2^{θ} (c_{5} + c_{6} \sqrt{2} + c_{7} \sqrt{3} + c_{8} \sqrt{6});

以及

a_{2} y_{2} = 2 b_{1} b_{2} \times 2 x_{1} x_{2}

= 4 b_{1} x_{2} \times b_{2} x_{1}

\approx 4 \times 2^{θ} (c_{1} + c_{2} \sqrt{2} + c_{3} \sqrt{3} + c_{4} \sqrt{6}) + 2^{θ} (c_{5} + c_{6} \sqrt{2} + c_{7} \sqrt{3} + c_{8} \sqrt{6})

\approx 2^{2 (θ + 1)} (c_{1} + c_{2} \sqrt{2} + c_{3} \sqrt{3} + c_{4} \sqrt{6}) (c_{5} + c_{6} \sqrt{2} + c_{7} \sqrt{3} + c_{8} \sqrt{6}) .

因此，可以按照以下两个条件判断应答码z与挑战码c之间是否存在预设的映射关系：

(1)判断z₂与【

2^{θ} (c_{1} + c_{2} \sqrt{2} + c_{3} \sqrt{3} + c_{4} \sqrt{6}) + 2^{θ} (c_{5} + c_{6} \sqrt{2} + c_{7} \sqrt{3} + c_{8} \sqrt{6})

】相比，二者之差是否在预设范围内；

(2)判断a₂y₂与

2^{2 (θ + 1)} (c_{1} + c_{2} \sqrt{2} + c_{3} \sqrt{3} + c_{4} \sqrt{6}) (c_{5} + c_{6} \sqrt{2} + c_{7} \sqrt{3} + c_{8} \sqrt{6})

相比，二者之差是否在预设范围内；

当z与c之间的关系同时满足上述两个条件时，则判断二者之间存在预设的映射关系。

经过上述两方面的验证，若存在代数整数y，使得z²＝ay，且z与c之间存在预设的映射关系，则判断应答码z经验证正确，射频终端为合法终端，标签阅读器可以与该射频终端进行通信。若上述两方面任意一方面经验证不正确，则标签阅读器拒绝与射频终端进行通信。

在上述实施例中，由于a₁，a₂与b₁，b₂之间存在如下关系：

a_{1} = p b_{1}^{2} + q b_{2}^{2},

a₂＝2b₁b₂，

如果能够分解n即可获得p和q，进而解出b₁，b₂。这是该实施例可能遭受的主要攻击。令

n = n_{1} + n_{2} \sqrt{2} + n_{3} \sqrt{3} + n_{4} \sqrt{6},

p = p_{1} + p_{2} \sqrt{2} + p_{3} \sqrt{3} + p_{4} \sqrt{6},

q = q_{1} + q_{2} \sqrt{2} + q_{3} \sqrt{3} + q_{4} \sqrt{6},

为了分解代数整数n，必须求解如下方程：

n_{1} + n_{2} \sqrt{2} + n_{3} \sqrt{3} + n_{4} \sqrt{6}

= (p_{1} + p_{2} \sqrt{2} + p_{3} \sqrt{3} + p_{4} \sqrt{6}) (q_{1} + q_{2} \sqrt{2} + q_{3} \sqrt{3} + q_{4} \sqrt{6}),

该方程可分解为一组非线性丢番图(Diophante)方程，求解这些方程的困难性是本发明的重要理论基础。

以上仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种射频电子标签非对称认证方法，采用挑战-应答协议，初始化过程与认证过程共包括如下步骤：

步骤1，射频终端生成密钥对，包括公钥a和私钥b；

其特征在于，

所述步骤1中，按照以下步骤生成所述密钥对：

步骤11，所述射频终端随机生成秘密代数整数p,q,b₁,b₂，其中，p,q,b₁,b₂∈R_m，m＞0，R_m根据以下公式递归定义，

R_{1} = {z_{1} + z_{2} \sqrt{r_{1}} : &PlusMinus; z_{1}, &PlusMinus; z_{2} &Element; Z};

R_{2} = {e_{1} + e_{2} \sqrt{r_{2}} : e_{1}, e_{2} &Element; R_{1}};

…

R_{i} = {e_{1} + e_{2} \sqrt{r_{i}} : e_{1}, e_{2} &Element; R_{i - 1}};

…

R_{m - 1} = {e_{1} + e_{2} \sqrt{r_{m - 1}} : e_{1}, e_{2} &Element; R_{m - 2}}

R_{m} = {e_{1} + e_{2} \sqrt{r_{m}} : e_{1}, e_{2} &Element; R_{m - 1}}

Z={0,1,2,3...}，r_i∈Z，i=1,2,3,…;

步骤12，按照以下公式计算公钥a和私钥b：

b = b_{1} \sqrt{p} + b_{2} \sqrt{q}, a = b^{2} = a_{1} + a_{2} \sqrt{n},

其中，n=pq，n,a₁,a₂∈R_m；

所述步骤6中，按照以下步骤生成所述应答码z：

x = x_{1} \sqrt{p} + x_{2} \sqrt{q}, x_{1}, x_{2} &Element; R_{m};

步骤62，所述射频终端按照以下公式计算应答码z，

z = bx = (b_{1} \sqrt{p} + b_{2} \sqrt{q}) (x_{1} \sqrt{p} + x_{2} \sqrt{q})

= (b_{1} x_{1} p + b_{2} x_{2} q) + (b_{2} x_{1} + b_{1} x_{2}) \sqrt{n},

其中，z₁,z₂∈R_m；

= z_{1} + z_{2} \sqrt{n}

所述步骤7中，按照以下步骤验证所述应答码z的正确性：

步骤71，所述标签阅读器利用所述公钥a验证是否存在代数整数满足z²=ay，其中，y₁,y₂∈R_m：若存在所述代数整数y，则继续执行步骤72，否则认定应答码z不正确；

2.按照权利要求1所述的射频电子标签非对称认证方法，其特征在于，

若设定m=2，p,q,b₁,b₂∈R₂，

R_{2} = {e_{1} + e_{2} \sqrt{2} + e_{3} \sqrt{3} + e_{4} \sqrt{6} : e_{1}, e_{2}, e_{3}, e_{4} &Element; Z},

则所述步骤61中，所述射频电子标签按照以下方法将所述挑战码c映射为所述秘密代数整数x：

步骤611，将所述挑战码c分解为八个整数c_j，其中，c_j∈Z,1≤j≤8，并建立以下两个方程：

b_{2} x_{1} \approx 2^{θ} (c_{1} + c_{2} \sqrt{2} + c_{3} \sqrt{3} + c_{4} \sqrt{6}),

b_{1} x_{2} \approx 2^{θ} (c_{5} + c_{6} \sqrt{2} + c_{7} \sqrt{3} + c_{8} \sqrt{6}),

其中，θ为预设的整数参数，用于调整认证强度与计算量；

步骤612，根据上述两个方程计算获得x₁和x₂，得到

x = x_{1} \sqrt{p} + x_{2} \sqrt{q}, x_{1}, x_{2} &Element; R_{2};

判断z₂与

2^{θ} (c_{1} + c_{2} \sqrt{2} + c_{3} \sqrt{3} + c_{4} \sqrt{6}) + 2^{θ} (c_{5} + c_{6} \sqrt{2} + c_{7} \sqrt{3} + c_{8} \sqrt{6})

二者之差在预设范围内；

判断a₂y₂与

2^{2 (θ + 1)} (c_{1} + c_{2} \sqrt{2} + c_{3} \sqrt{3} + c_{4} \sqrt{6}) (c_{5} + c_{6} \sqrt{2} + c_{7} \sqrt{3} + c_{8} \sqrt{6})

二者之差在预设范围内；