CN103345690A

CN103345690A - 一种基于rfid和物理不可克隆函数的防伪方法

Info

Publication number: CN103345690A
Application number: CN2013103049481A
Authority: CN
Inventors: 张方国; 田海博; 张博
Original assignee: Sun Yat Sen University
Current assignee: Sun Yat Sen University
Priority date: 2013-07-19
Filing date: 2013-07-19
Publication date: 2013-10-09
Anticipated expiration: 2033-07-19
Also published as: CN103345690B

Abstract

本发明涉及产品防伪领域，具体涉及一种基于RFID和物理不可克隆函数的防伪方法。其利用RFID标签、读卡器和服务器组成的防伪系统，RFID标签中存储有产品信息、物理不可克隆函数的一组输出的信息和消息认证码；服务器存储密钥；所述方法包括：服务器通过读卡器获取RFID标签中存储的信息；服务器根据获取的信息生成服务器端消息验证码；服务器将服务器端消息验证码与RFID标签中的消息认证码比较，若一致则返回特定挑战值给读卡器，否则返回假冒验证结果给读卡器；服务器通过读卡器获取RFID标签中物理不可克隆函数对特定挑战值的响应，完成最终验证并把最终验证结果返回给读卡器。本发明的产品防伪查询效率高、计算复杂度低。

Description

一种基于RFID和物理不可克隆函数的防伪方法

技术领域

本发明涉及产品防伪领域，更具体地，涉及一种基于RFID和物理不可克隆函数的防伪方法。

背景技术

防伪技术是为了达到防伪目的而采取的措施，它在一定范围内能准确鉴别真伪，并不易被仿制和复制的技术。此类措施能够有效的检验产品的真伪，同时难以被没有授权的攻击者伪造或者复制，从而实现对合法商品的保护。比较传统的防伪技术包括：水印技术、条形码技术、隐形图像防伪技术等等。此类技术主要集中在利用高科技的工具来生成难以复制或伪造的标识。在达不到同等技术的前提下难以伪造。但此类防伪方式较弱，难以抗击能力较强的攻击者。

射频识别（RFID，Radio Frequency IDentification），又称电子标签，是一种可通过无线电讯号进行非接触式的识别特定目标并读写相关数据的技术。此技术类似于条形码技术，但是功能更加强大。标签内可以存储更多的数据，并且一些标签也具有一定的计算能力。一个在线的RFID系统包括三个组成部分：电子标签、读卡器和服务器，读卡器通过安全连接与服务器联系。

物理不可克隆函数（PUF，Physically Unclonable Function）技术是近年来在RFID领域中较多应用的一个新工具。PUF是一个基于消息挑战应答模式的物理装置。它依据物理系统的内在属性和自身结构而设计。PUF的输出与其内部结构和它被制造的环境和过程相关，被看做芯片的DNA，具有唯一性，且造价低廉。

近年来，较多基于RFID或PUF技术的防伪方法被学者提出。基于RFID的方法主要利用RFID的存储和计算能力，以及其较为高效和方便的读写能力。但是目前的方法对于所存储的内容保护强度不足，存在克隆攻击，即攻击者可以成功的拷贝出一个新的标签，然后将其应用到一个伪造的商品中。如申请号为200710077738.8的中国专利，造假者可以很容易就成功克隆攻击；申请号为201010603543.4的中国专利也是直接将商品的信息存储在RFID内部，通过读卡器的调用，进而与厂家的服务器通信来完成商品的认证。此专利的方法也不能抗击克隆攻击。虽然之后利用可信计算的思想，学者们提出了具有抗击克隆攻击的RFID，即RFID中有一个简化可信计算模块，可以安全存储秘密信息。但是此类RFID的造价较为昂贵，不适合大量的应用在产品防伪中。

利用PUF芯片的唯一性，也有学者设计了基于RFID的抗击克隆的防伪方案。如申请号为201010135430.6的中国专利中，利用PUF来作用产品的唯一编号，然后利用ECDSA来签名PUF处理后的信息；最后，通过验证签名的正确性来验证产品的真伪。此方案中服务器的存储复杂度也不高，但是验证的算法需要公钥密码技术的参与，技术复杂度较高。类似地，Tuyls和Batina在国际会议CT-RSA 2006上发表的文章“RFID-Tags for Anti-Counterfeiting”中所采用的技术也是PUF和签名认证。利用PUF的挑战和应答模式，Bolotnyy和Robins在国际会议Pervasive Computing and Communications 2007上发表了文章“Physically Unclonable Function-Based Security and Privacy in RFID Systems”。此文章中，利用PUF构造的RFID系统中，服务器保存了多对PUF的挑战和应答。在标签的认证中，读卡器向标签发送挑战消息。标签计算并发送此消息对应的PUF值给读卡器。最后读卡器来查询服务器中是否存在此应答结果。此方案中，服务器必须保存所有产品的挑战和应答对。

综上所述，仅用RFID来构造的防伪方案难以抗击克隆攻击，而利用可信计算方式设计的RFID代价较高。采用公钥技术、RFID和PUF工具设计的防伪方案虽然服务器的存储复杂度不高，但是服务器端公钥计算的成本较高。而采用挑战和应答模式的防伪方案中，服务器需要存储每个产品的挑战和应答数据对。此类方案中服务器的存储复杂度较高，而且服务器的查询也需要较高的计算量。

发明内容

本发明为克服上述现有技术所述的至少一种缺陷（不足），提供一种查询效率高、计算复杂度低的基于RFID和物理不可克隆函数的防伪方法。

为解决上述技术问题，本发明的技术方案如下：

一种基于RFID和物理不可克隆函数的防伪方法，利用RFID标签、读卡器和服务器组成的防伪系统，所述RFID标签中存储有产品信息、物理不可克隆函数的一组输出的信息和消息认证码（MAC，Message Authentication Code）；服务器存储有密钥；所述方法包括：

服务器通过读卡器获取RFID标签中存储的信息；

服务器根据获取的信息生成服务器端消息验证码；

服务器将服务器端消息验证码与RFID标签中的消息认证码比较，若一致则返回特定挑战值给读卡器，否则返回假冒验证结果给读卡器；

服务器通过读卡器获取RFID标签中物理不可克隆函数对特定挑战值的响应，完成最终验证并把最终验证结果返回给读卡器。

上述方案中，所述RFID标签中存储的消息认证码是通过服务器生成的，服务器预先利用密钥、物理不可克隆函数的一组输出的信息和产品信息生成消息认证码传递给RFID标签存储。

上述方案中， RFID标签中存储的物理不可克隆函数的一组输出的信息是通过如下方式生成：

上述方案中，服务器利用密钥和RFID标签中的物理不可克隆函数的一组输出、产品信息生成一组中间值，将所述一组中间值作为物理不可克隆函数的一组输出的信息，服务器将该物理不可克隆函数的一组输出的信息通过读卡器传递给RFID标签存储。

上述方案中，所述一组中间值先通过布隆过滤器转化为一个比特串，将所述一个比特串为物理不可克隆函数的一组输出的信息传递给RFID标签存储。

上述方案中，所述物理不可克隆函数的一组输出是针对服务器选择的一组挑战值生成的，具体为：

服务器利用其存储的密钥和RFID标签中的产品信息生成第一个挑战值；将第一挑战值输入到给RFID标签的物理不可克隆函数得到第一个输出；服务器用存储的密钥和第一个输出生成第二个挑战值，并把第二挑战值输入RFID标签的物理不可克隆函数得到第二个输出；以此类推，直到生成一组挑战值和物理不可克隆函数的一组输出。

上述方案中，所述服务器根据获取的信息生成服务器端消息验证码，具体为:

服务器使用其自身存储的密钥、获取到的RFID标签中的产品信息和物理不可克隆函数的一组输出的信息，计算服务器端消息认证码。

上述方案中，所述特定挑战值通过如下方式生成：

当首次查询RFID标签中产品信息的真伪时，服务器使用其存储的密钥和RFID标签中产品信息生成所述特定挑战值；

当曾经查询过RFID标签中的产品信息时，服务器使用其存储的密钥和RFID标签中物理不可克隆函数的输出生成所述特定挑战值。

上述方案中，服务器完成最终验证时，其使用存储的密钥、读卡器返回的物理不可克隆函数对特定挑战值的响应和RFID标签中的产品信息，计算一个中间值，并判断该中间值是否满足读卡器返回的RFID标签中物理不可克隆函数的一组输出的信息；如果满足，则最终验证结果为真品，否则最终验证结果为假冒。

上述方案中，服务器在最终验证结果为真品时，存储此次查询的产品信息和产品信息的查询次数，服务器通过其自身存储的信息判断RFID标签中的产品信息是否是首次查询。

上述方案中，服务器判断服务器端消息验证码与RFID标签中的消息认证码一致后，先判断RFID标签中产品信息的查询次数是否超过最大允许查询的次数，若是则服务器直接返回查询次数错误的验证结果给读卡器，否则服务器返回特定挑战值给读卡器。

与现有技术相比，本发明技术方案的有益效果是：

（1）本发明用了物理不可克隆函数技术来抗击电子标签的克隆攻击，而且物理不可克隆函数芯片价格与基于可信计算模式的电子标签相比更加低廉。方案中，通过判定消息认证码和物理不可克隆函数对特定挑战值的响应是否正确，就实现了产品的真伪验证，查询效率高，计算代价较小。而且在所有产品验证之前，服务器不需要存储每个产品的信息，产品的认证信息只需存储在其对应的RFID标签内，大大降低了服务器中的存储复杂度。

（2）本发明的方案中采用了基于密钥技术的消息认证码技术。其中消息认证码可以利用布隆过滤器中高效的杂凑函数进行构造，相对于而传统的基于数字签名验证的方案，能够大大降低服务器端的计算复杂度和RFID标签段的存储复杂度。

（3）本发明的安全性基于杂凑函数的单向性。即使攻击者可以控制一个RFID标签端的所有通信副本，也不能够从其中恢复出服务器端的密钥。另外攻击者在不知道密钥的情况下，也不能够伪造一个盗版产品标签内的消息认证码MAC值。同时MAC值都是与RFID标签内的物理不可克隆函数有直接的联系，而且物理不可克隆函数是不可克隆的，这使得方案中的RFID标签也是可以抗击克隆攻击的。

（4）本发明在所有产品的认证之前，服务器仅仅需要存储密钥。每认证完一个验证结果为真品的产品，服务器中才存储此产品的信息和查询次数。因此服务器的存储复杂度是由不同的产品的查询结果为真品的查询次数决定的，随着查询的产品的数量增加而递增。因此，从始至终都没有验证过的产品，服务器将不会存储其任何信息，这也最大程度的降低了服务器的存储量。

（5）本发明适用于各种产品的防伪检测，如香烟、服装等。而且嵌入了物理不可克隆函数的RFID标签体积比较小，每个RFID标签都不需要较强的计算能力，适于大规模应用。

附图说明

图1为本发明中基于RFID和物理不可克隆函数的防伪方法的流程图。

图2为本发明中在初始化阶段RFID标签内存储的内容。

图3为本发明在验证阶段的交互协议。

图4为本发明中产品在验证之前和验证之后服务器中存储的内容对比图。

具体实施方式

附图仅用于示例性说明，不能理解为对本专利的限制；

为了更好说明本实施例，附图某些部件会有省略、放大或缩小，并不代表实际产品的尺寸；

对于本领域技术人员来说，附图中某些公知结构及其说明可能省略是可以理解的。

下面结合附图和实施例对本发明的技术方案做进一步的说明。

实施例1

本发明采用物理不可克隆函数（PUF）技术来抗击RFID标签的克隆攻击，利用消息验证码技术来完成产品合法性的认证，另外利用布隆过滤器技术来降低RFID标签端的存储复杂度。每个RFID标签至少包含两个部分：存储单元和PUF模块，其中，存储单元主要存储产品信息、PUF的一组输出的信息和消息认证码。PUF模块是一个抗克隆模块，嵌入RFID标签中，不可分离。

本发明的防伪方法中包含三个参与方：嵌有PUF模块的RFID标签、读卡器和服务器。服务器仅存储密钥和查询过的为真品的产品信息和查询次数。RFID标签中存储有产品信息、嵌入其中的PUF的一组输出的信息和一个消息认证码。

一种基于RFID和物理不可克隆函数的防伪方法，具体包括：

服务器通过读卡器获取RFID标签中存储的信息；

服务器根据获取的信息生成服务器端消息验证码；

下面结合RFID标签、读卡器来描述整个实现过程：

如图1所示，读卡器读取RFID标签中存储的信息并传递给服务器，服务器生成服务器端消息认证码与RFID标签中的消息认证码进行比较，若两者一致则完成初次验证并返回特定挑战值给读卡器，若两者不一致则返回假冒验证结果给读卡器；

如果服务器返回的是特定挑战值，读卡器获取PUF对特定挑战值的响应并传递给服务器，服务器完成最终验证并把最终验证结果返回给读卡器。

在具体实施过程中， RFID标签中存储的物理不可克隆函数的一组输出的信息在生成时，其输入包括该RFID标签的PUF的一组输出，这一组输出是针对服务器选择的一组挑战值生成的。具体地，服务器利用密钥和RFID标签中的物理不可克隆函数的一组输出、产品信息生成一组中间值，将所述一组中间值通过布隆过滤器转换为一个比特串，服务器将该一个比特串作为物理不可克隆函数的一组输出的信息通过读卡器传递给RFID标签存储。

其中，物理不可克隆函数的一组输出是针对服务器选择的一组挑战值生成的，服务器选择一组挑战值时可以利用其存储的密钥和RFID标签中的产品信息生成第一个挑战值；将第一挑战值输入到给RFID标签的物理不可克隆函数得到第一个输出；服务器用存储的密钥和第一个输出生成第二个挑战值，并把第二挑战值输入RFID标签的物理不可克隆函数得到第二个输出；以此类推，直到生成一组挑战值和物理不可克隆函数的一组输出。

在具体实施过程中，RFID标签中存储的消息认证码是通过服务器生成的，服务器预先利用密钥、物理不可克隆函数的一组输出的信息和产品信息生成消息认证码传递给RFID标签存储。

在具体实施过程中，服务器根据获取的信息生成服务器端消息验证码，具体是使用其自身存储的密钥、获取到的RFID标签中的产品信息和物理不可克隆函数的一组输出的信息，计算服务器端消息认证码，

在具体实施过程中，服务器在比较服务器端消息认证码与RFID标签中的消息认证码一致时所返回给读卡器的特定挑战值是通过如下方式生成：

在具体实施过程中，服务器在完成初次验证时，使用其存储的密钥、接收到的RFID标签中的产品信息和PUF的一组输出的信息，计算一个服务器端消息认证码，并与接收到的RFID标签中的消息认证码比较，如果不一致，则返回产品为假冒的验证结果给读卡器；如果一致，服务器先判断RFID标签中产品信息的查询次数是否超过最大允许查询的次数，若是则服务器直接返回查询次数错误的验证结果给读卡器，否则服务器返回特定挑战值给读卡器。

在具体实施过程中，服务器完成最终验证时，其使用存储的密钥、读卡器返回的物理不可克隆函数对特定挑战值的响应和RFID标签中的产品信息，计算一个中间值，并判断该中间值是否满足读卡器返回的RFID标签中物理不可克隆函数的一组输出的信息；如果满足，则最终验证结果为真品，否则最终验证结果为假冒。其中，服务器在最终验证结果为真品时，存储此次查询的产品信息和产品信息的查询次数，服务器可以通过其自身存储的产品信息和产品信息的查询次数判断RFID标签中的产品信息是否是首次查询。

实施例2

上述防伪方法通过以下定义的符号可以更为清晰地进行描述。

ID_i：RFID标签i中的产品信息，可以包括产品的唯一编码等信息；

PUF_i(z)：输入为z时，PUF_i模块的输出，其中PUF_i模块嵌入RFID标签i中；

m：安全参数；

sk₁和sk₂：服务器生成并存储的密钥，属于m长的0、1比特串集合{0,1}^m；

n：每个产品可以查询的最大次数；

x_i：RFID标签i所标识的产品在查询时验证结果为真品的查询次数；

k：布隆过滤器长度参数；

t：布隆过滤器中需要用到的杂凑函数个数；

H（）：杂凑函数，映射到区间{0,1}^l，l取值可以是160；

H₁( ),…,H_t( )：布隆过滤器中用到t个杂凑函数，可以将任意元素映射到区间{1,2,…,k}；

s_i：RFID标签i中，PUF_i的一组输出的信息；

MAC_i：RFID标签i内存储的消息认证码。

服务器首先随机选择密钥sk₁、sk₂∈{0,1}^m。当服务器初始化存储有产品信息的RFID标签i时，按照如下方式计算出其中存储的信息：服务器计算第一个挑战值c₁=H(sk₁，ID_i)；将c₁作为PUF_i的输入，输出为R₁=PUF_i(c₁)。定义第一个中间值h₁=H(sk₂，R，ID_i）；对于所有的j∈{2,…,n}，执行c_j=H(sk₁，R_j-1)，R_j=PUFi(c_j)；h_j=H(sk₂，R_j，ID_i）。最后，服务器得到标签i的信息为：ID_i;h₁,h₂, …,h_n。然后，服务器可以利用布隆过滤器技术将h₁, h₂, …,h_n进行简化，即：初始化长度为k的比特串，初始比特都为0；将h₁, h₂, …,h_n作为杂凑函数H₁( ),…,H_t( )的输入进行执行。定义初始化为0的比特串中每个被杂凑函数映射到的位置比特为1。将h₁, h₂, …,h_n处理后得到的比特串定义为s_i∈{0,1}^k。服务器计算出MAC_i=H(sk₁,s_i,ID_i)，然后将ID_i,s_i,MAC_i存储在标签存储区域内。服务器仅仅存储密钥sk₁，sk₂。如图1和图2中所描述的标签存储内容。

在防伪检验时，读卡器读取绑定在产品上的RFID标签i存储的ID_i,s_i,MAC_i。读卡器将这些信息通过安全的信道传递给服务器。服务器利用密钥sk₁，计算出H(sk₁,s_i,ID_i)，并且判断其是否与MAC_i相等。

若它们不相等，服务器通过安全信道返回读卡器产品为假冒的信息；

否则服务器判断其是否存储了产品ID_i的信息：

若不存在此产品信息，服务器计算特定挑战值c=H(sk₁,ID_i)，并发送给读卡器，由读卡器发送给RFID标签i；

若存在此产品信息，服务器判断此ID_i的认证次数x_i是否等于n，

若次数x_i等于n，服务器返回读卡器验证次数错误的信息；

若次数x_i小于n，且服务器存储的PUF_i输出为R_i，则发送c=H(sk₁, R_i)给读卡器，由读卡器输入RFID标签i的PUF_i模块。

RFID标签i的PUFi模块接收到c后，返回R=PUF_i(c)给读卡器。读卡器把关于特定挑战值c的输出R传递给服务器。服务器接收到R后，计算出h=H(sk₂,R,ID_i)，并利用如下布隆过滤器技术来判断h是否满足字符串s_i。服务器将h作为杂凑函数H₁( ),…,H_t( )的输入，判断t个输出值在字符串s_i中的对应位置比特是否为1。若都为1，则说明h满足s_i-，服务器通过安全信道返回读卡器产品为真品的信息；若其中任何一个位置为0，则服务器认定此产品为假冒，并通过安全信道传递最终验证结果给读卡器。服务器认定产品为真品时，服务器存储ID_i、R、x_i=1。若服务器中已有ID_i，则用新接收的PUF_i关于特定挑战值的输出替换R_i，同时x_i加1。图1和图3中给出了此交互流程。图4中给出了验证前后服务器存储内容的一种变化的情况。

在上述描述的方法中，布隆过滤器是一种减小RFID标签中关于“PUF的一组输出的信息”的存储空间大小的技术。该技术具有一定的错误判断概率，例如当验证次数为10时，选取k=500， t≈35，错误判断概率为1/2³⁵。为了出错率更小，可以适当的扩展k的大小。然而本发明也可以不使用布隆过滤器技术，例如标签内直接存储PUF的一组输出的中间值：h₁, h₂, …,h_n，此时标签的存储量较高，但是避免了应用布隆过滤器带来的错误判断的问题。

相同或相似的标号对应相同或相似的部件；

附图中描述位置关系的用于仅用于示例性说明，不能理解为对本专利的限制；

显然，本发明的上述实施例仅仅是为清楚地说明本发明所作的举例，而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明权利要求的保护范围之内。

Claims

1.一种基于RFID和物理不可克隆函数的防伪方法，利用RFID标签、读卡器和服务器组成的防伪系统，其特征在于，所述RFID标签中存储有产品信息、物理不可克隆函数的一组输出的信息和消息认证码；服务器存储有密钥；所述方法包括：

服务器通过读卡器获取RFID标签中存储的信息；

服务器根据获取的信息生成服务器端消息验证码；

2.根据权利要求1所述的基于RFID和物理不可克隆函数的防伪方法，其特征在于，所述RFID标签中存储的消息认证码是通过服务器生成的，服务器预先利用密钥、物理不可克隆函数的一组输出的信息和产品信息生成消息认证码传递给RFID标签存储。

3.根据权利要求1所述的基于RFID和物理不可克隆函数的防伪方法，其特征在于， RFID标签中存储的物理不可克隆函数的一组输出的信息是通过如下方式生成：

服务器利用密钥和RFID标签中的物理不可克隆函数的一组输出、产品信息生成一组中间值，将所述一组中间值作为物理不可克隆函数的一组输出的信息，服务器将该物理不可克隆函数的一组输出的信息通过读卡器传递给RFID标签存储。

4.根据权利要求3所述的基于RFID和物理不可克隆函数的防伪方法，其特征在于，所述一组中间值先通过布隆过滤器转化为一个比特串，将所述一个比特串为物理不可克隆函数的一组输出的信息传递给RFID标签存储。

5.根据权利要求3所述的基于RFID和物理不可克隆函数的防伪方法，其特征在于，所述物理不可克隆函数的一组输出是针对服务器选择的一组挑战值生成的，具体为：

6.根据权利要求1所述的基于RFID和物理不可克隆函数的防伪方法，其特征在于，所述服务器根据获取的信息生成服务器端消息验证码，具体为:

7.根据权利要求1所述的基于RFID和物理不可克隆函数的防伪方法，其特征在于，所述特定挑战值通过如下方式生成：

8.根据权利要求1所述的基于RFID和物理不可克隆函数的防伪方法，其特征在于，服务器完成最终验证时，其使用存储的密钥、读卡器返回的物理不可克隆函数对特定挑战值的响应和RFID标签中的产品信息，计算一个中间值，并判断该中间值是否满足读卡器返回的RFID标签中物理不可克隆函数的一组输出的信息；如果满足，则最终验证结果为真品，否则最终验证结果为假冒。

9.根据权利要求8所述的基于RFID和物理不可克隆函数的防伪方法，其特征在于，服务器在最终验证结果为真品时，存储此次查询的产品信息和产品信息的查询次数，服务器通过其自身存储的信息判断RFID标签中的产品信息是否是首次查询。

10.根据权利要求1至9任一项所述的基于RFID和物理不可克隆函数的防伪方法，其特征在于，服务器判断服务器端消息验证码与RFID标签中的消息认证码一致后，先判断RFID标签中产品信息的查询次数是否超过最大允许查询的次数，若是则服务器直接返回查询次数错误的验证结果给读卡器，否则服务器返回特定挑战值给读卡器。