CN103581206A - 一种轻量级无服务型rfid安全搜索协议 - Google Patents

Abstract

本发明涉及一种轻量级无服务型RFID安全搜索协议，该协议利用多标签碰撞实现了对目标标签隐私性防护；采用松散时间戳和单向Hash函数有效解决了RFID读写器和标签之间数据链路中可能出现的安全性问题；在没有后台服务器的情况下，采用被动标签即可实现的HASH函数保证了对标签的安全性搜索和双向认证，具有快速搜索和安全认证的优良特性。能够有效抵抗无线链路中常见的主动和被动攻击。本发明设计结构精巧、应用环境广泛、具有高安全等级和高隐私等级。

Description

一种轻量级无服务型RFID安全搜索协议

技术领域

本发明涉及一种轻量级无服务型RFID安全搜索协议，属于RFID通信安全技术领域。

背景技术

RFID技术具有非接触式读取、可读写、批量读取、可适用于恶劣环境等诸多优点。因此，RFID技术在识别、传感定位、物流跟踪等领域受到越来越多的关注，广泛应用于物流、航空、交通运输、宠物管理等各行各业。然而，大规模推广使得安全与隐私问题日益凸显，成为制约其发展的关键因素。利用无线信道进行非接触式读取在带来便利的同时也为攻击者提供了良好的攻击条件。利用被动攻击可致使公司数据及顾客个人隐私泄漏、恶意跟踪等后果。利用主动攻击可使得RFID系统瘫痪，标签与读写器之间的认证被永久性破坏，致使标签失效，进而导致物品流失等严重后果。同时，出于对成本的考虑，在实际应用中一般选用被动式标签，其通过读写器电磁耦合提供能量。因而，具有计算能力弱、存储能力低的特点。传统安全协议类似SSL/TLS可提供安全可靠的信道，但由于其耗能较大，并不适应于被动标签。因此，设计轻量级或超轻量级的RFID安全认证协议成为亟需解决的关键问题。

目前，RFID安全协议主要针对具有后台服务器的情况进行相关设计。然而，在许多实际情况中需要读写器进行移动操作。例如，电力系统掌机对其电表RFID标签的识别需要掌机进行移动识别，图书馆系统读写器对标签进行识别需读写器进行移动识别等。对无服务型RFID安全协议进行研究有助于提升系统灵活性，可移动读写器更加适用于实际应用环境。同时，在许多实际应用中只需对某些标签进行认证和识别，例如掌机只需单独对某些目标电表进行操作，并不需要对可识别范围内所有标签进行安全认证。鉴于该种应用情况，因而，需要提出轻量级无服务型RFID安全搜索协议，在保证隐私性、数据传输安全的基础上对目标标签进行安全认证。

发明内容

本发明旨在提供一种轻量级无服务型安全搜索协议。该协议适用于没有单独电源供能的被动式标签、读写器可灵活移动的RFID应用场景，可应用于大型物流系统安全搜索、电力系统掌机对电表的安全搜索等领域，为RFID系统中读写器和标签之间信道提供数据链路安全及标签隐私性防护，在短时间内实现对特定标签的安全搜索及双向认证。

本发明在RFID系统信息安全领域提出了一种轻量级无服务型安全搜索协议。该协议以单向HASH函数为基础，利用松散时间戳设计了一个轻量级无服务型搜索安全协议，能够快速有效的对目标标签进行安全搜索并进行安全认证，能满足可用性、认证性、隐私性、抗重放攻击、抗去同步攻击等安全特性，具有高安全性和高隐私性的特点。

本发明仅仅要求标签具有HASH计算能力，读写器则只需对少量标签应答信号进行比对验证以实现对目标标签的安全搜索。因而，对读写器和标签的硬件资源要求较低。该协议设计结构精巧、灵活高效，适用于大型物流系统安全搜索、电力系统掌机对电表的安全搜索等应用场景，在实现对目标标签安全搜索及双向认证的基础上，保护了信道安全和标签隐私。

本发明通过以下技术手段实现对目标标签的安全搜索任务：

一种轻量级无服务型RFID安全搜索协议，其特征在于：

(1)系统初始化：RFID系统由后台服务器（DB）、A个读写器R_i、n个标签T_j组成，后台服务器（DB）与标签之间共享标签密钥信息，DB确定其搜索任务和选定搜索用读写器后，通过SSL/TLS协议使得DB与读写器双向认证其合法性，并利用协商后的会话密钥下发搜索任务列表。其列表形式如下：

(2)RFID安全搜索协议步骤如下：

1)读写器r_i每次搜索任务开始对下载的列表进行更新：

2)读写器确定搜索目标标签T_j并产生随机数n_r∈_R{0,1}^l，搜索列表L_i'中的目标标签对应值为

同时，计算A和B，并保存B，其中：

f为HASH函数，f(n_r,id_j,G_T)长度k位、A为

的前l位、B为l到k位，在应用环境下总标签数为n的情况下，i个标签具有相同前l位的概率为P(i)。根据HASH函数的特性，经过HASH运算后，结果独立均匀分布，因此有：

E(i)为i个标签具有相同前l位的期望，当E(i)＝L时，故该搜索消息有平均L个标签对搜索信号进行应答。对其l的长度选择取决于应用环境下标签总数n，以及L的选择，其L越大隐私强度越强，其相应的搜索耗时也越大，因此，可以根据具体应用环境进行L的选择，进而确定l的长度。

读写器发送消息1：A,n_r,T_cur,r_i。

3)标签接收到消息A,n_r,T_cur,r_i。

标签T_*利用n_r,T_cur,r_i及自身保存的密钥k_s*及唯一标识id_*，计算相应的A'和B’：

标签进一步比对计算的A'是否等于接收到的读写器发送的A。若相等，则该标签认定自己为目标标签，否则认为自己为非目标标签，不做应答。

标签认定自身为目标标签的情况下，比对自身保存时间T_last与读写器发送的时间戳T_cur，令：

T_Δ＝T_cur-T_last

若T_Δ＞0，则令随机数n_*为空字符串，并做如下计算：

flag＝0 β₁ ¹＝f(flag,B',T_cur,id_*)

δ＝B'

n_*＝空字符串

同时，将标签将时钟T_last置为T_cur：

T_last←T_cur

否则，若T_Δ≤0，标签T_*生成随机数n_*∈_R{0,1}^l：

flag＝1β₁ ²＝f(flag,B',n_*,id_*)

T_last←T_last

δ＝空字符串

发送消息2：flag||n_*||β₂||δ给读写器。

记录保存：β₃和T_cur

4)读写器接受到flag||n_*||β₂||δ。

首先判断flag值：

若flag＝＝0，利用自身保存值B和

计算β₁ ^1'、β₂'、β₃'：

β₁ ^1'＝f(flag,B,T_cur,id_*)

并比对如下值：

若相等，则判定该标签为目标标签；否则判定该标签为非目标标签。

若flag＝＝1，则利用n_*计算

β₁ ^2'＝f(flag,B,n_*,id_j)

并判定：

，若相等则该标签为目标标签，但标签自身时间戳不对，需进行修改；否则判定该标签为非目标标签。

在判定该标签为目标标签的情况下，发送β'₃给标签；否则若判定该标签为非目标标签的情况下，令β₃'为任意随机数。

同时，为了对攻击者可能利用重放攻击（重放消息2）对目标标签进行判定。因此，若读写器判定目标标签存在的情况下，若再次接受到相同的flag||n_*||β₂||δ，则令β₃'为任意随机数。

其后，发送消息3：β₃'给标签。

5）标签接收β'₃。

标签利用自身保存的β₃与其接收到的β₃'进行比对。若相等则置T_last为保存的T_cur；否者保持T_last不变。

目标标签可以通过β'₃确认自己的目标身份地位，同时对读写器实现了双向安全认证。认证其该读写器为合法读写器。

在上述安全搜索协议中涉及到的变量、定义及运算符号分别说明如下：

n_r∈_R{0,1}^l：读写器生成长度为l位的随机数n_r

n_*∈_R{0,1}^l：标签T_*生成长度为l位的随机数n_*

R_i：第i个读写器

T_j：第j个标签

DB：后台服务器

HASH(·)：单向HASH函数

f:单向HASH函数

：第j个标签与后台服务器共享的密钥

id_j：第j个标签的唯一标识码

r_i：第i个读写器的唯一标识码

||：级联运算

：异或运算

{z}_x→y或(z)_x→y：z的x到y位

L_i：读写器与后台服务器认证通过后从服务器端下载的标签认证列表

L_i'：读写器准备进行搜索目标标签时对L_i进行运算，得到时效性标签认证列表

松散时间戳：仅仅需要对读写器和标签时间进行大小比对，而不需要进行精确比对

T_cur：读写器确定进行搜索任务时的读写器系统时间

T_last：标签内部保存的上次更新时间

以上所述的安全搜索协议以松散时间戳和单向HASH函数为基础，实现了对标签的安全搜索。

本发明的特点在于：

1.首次提出了多标签碰撞实现了对目标标签隐私性防护的RFID安全搜索协议。当读写器发送消息1时，由于L个标签满足其验证条件，因而，攻击者不能判断哪个标签为目标标签，进而保护了标签的隐私性。

2.首次利用松散时间戳并结合HASH函数实现了无服务RFID安全搜索协议。首先，松散时间戳的使用可以极大地抵抗重复攻击。鉴于大部分应用环境情况下使用的标签为被动标签，其供能主要依靠读写器的电磁感应产生。因而，严格的时间戳并不适用与被动标签，本协议仅仅需要比对时间先后，因此对标签的供能要求极低；其次，即使标签的时间更新错误对协议也不会产生任何影响，读写器确定该标签为目标标签时会对时间进行相应修改；最后，标签仅仅需要进行HASH运算，现在市场上大量低价RFID标签即可实现。因此，该协议在保证搜索安全性、隐私性的基础上，极大地降低了RFID系统的计算要求、能量消耗。

附图说明

图1为本发明的系统初始化过程

图2为本发明的系统运行流程

图3是本发明的轻量级无服务型RFID安全搜索协议的内部计算及信道交互过程示意图。

具体实施方式

(1)系统初始化

如图1所示，由CA认证中心为后台服务器和A个读写器下发数字证书，后台服务器为应用环境下的标签灌装密钥及其置标签时间戳T_last为后台服务器当前时间，并对应的在后台数据库中记录其标签唯一标识码ID与该标签的密钥对应关系，随后将标签贴附与识别物件上。

(2)系统运行流程

如图2所示。首先，后台服务器确定某一读写器R_i为完成搜索任务读写器；然后，与R_i利用TLS/SSL协议进行双向认证，进而使得双方确认其对方身份合法性；其后，后台服务器下发送其标签搜索访问列表

这里对标签的密钥信息k_s与其标签标识r_i利用HASH函数进行了绑定，由于HASH函数的单向性，由此，即使攻击者获取了整张访问列表也无法读取其标签的密钥信息，从而也无法实现对标签的伪造。获取该列表后，R_i断开与后台服务器之间的连接，进而对列表内标签进行搜索访问任务。

(3)轻量级安全搜索协议

1)读写器r_i每次搜索任务开始对下载的列表进行更新：

2)读写器确定搜索目标标签T_j并产生随机数n_r∈_R{0,1}^l，搜索列表L_i'中的目标标签对应值为

，同时，计算A和B，并保存B，其中：

f为HASH函数，

长度k位、A为

的前l位、B为l到k位，在应用环境下总标签数为n的情况下，i个标签具有相同前l位的概率为P(i)。根据HASH函数的特性，经过HASH运算后，结果独立均匀分布，因此有：

E(i)为i个标签具有相同前l位的期望，当E(i)＝L时，故该搜索消息有平均L个标签对搜索信号进行应答。对其l的长度选择取决于应用环境下标签总数n，以及L的选择，其L越大隐私强度越强，其相应的搜索耗时也越大，因此，可以根据具体应用环境进行L的选择，进而确定l的长度。

读写器发送消息1：A,n_r,T_cur,r_i。

3)标签接收到消息A,n_r,T_cur,r_i。

标签T_*利用n_r,T_cur,r_i及自身保存的密钥k_s*及唯一标识id_*，计算相应的A’和B'：

标签进一步比对计算的A'是否等于接收到的读写器发送的A。若相等，则该标签初步认定自己为目标标签，否则认为自己为非目标标签，不做应答。

标签初步认定自身为目标标签的情况下，比对自身保存时间T_last与读写器发送的时间戳T_cur，令：

T_Δ＝T_cur-T_last

若T_Δ＞0，则令随机数n_*为空字符串，并做如下计算：

flag＝0 β₁ ¹＝f(flag,B',T_cur,id_*)

δ＝B'

n_*＝空字符串

同时，将标签将时钟T_last置为T_cur：

T_last←T_cur

否则，若T_Δ≤0，标签T_*生成随机数n_*∈_R{0,1}^l：

flag＝1β₁ ²＝f(flag,B',n_*,id_*)

T_last←T_last

δ＝空字符串

发送消息2：flag||n_*||β₂||δ给读写器。

记录保存：β₃和T_cur

4)读写器接受到flag||n_*||β₂||δ。

首先判断flag值：

若flag＝＝0，利用自身保存值B和

计算β₁ ^1'、β₂'、β₃'：

β₁ ^1'＝f(flag,B,T_cur,id_*)

并比对如下值：

若相等，则判定该标签为目标标签；否则判定该标签为非目标标签。

若flag＝＝1，则利用n_*计算

β₁ ^2'＝f(flag,B,n_*,id_j)

并判定：，若相等则该标签为目标标签，但标签自身时间戳不对，需进行修改；否则判定该标签为非目标标签。

在判定该标签为目标标签的情况下，发送β'₃给标签；否则若判定该标签为非目标标签的情况下，令β₃'为任意随机数。

同时，为了对攻击者可能利用重放攻击（重放消息2）对目标标签进行判定。因此，若读写器判定目标标签存在的情况下，若再次接受到相同的flag||n_*||β₂||δ，则令β₃'为任意随机数。

其后，发送消息3：β₃'给标签。

5）标签接收β^' ₃。

标签利用自身保存的β₃与其接收到的β₃'进行比对。若相等则置T_last为保存的T_cur；否者保持T_last不变。

目标标签可以通过β'₃确认自己的目标身份地位，同时对读写器实现了双向安全认证。认证其该读写器为合法读写器。

在上述安全搜索协议中涉及到的变量、定义及运算符号分别说明如下：

n_r∈_R{0,1}^l：读写器生成长度为l位的随机数n_r

n_*∈_R{0,1}^l：标签T_*生成长度为l位的随机数n_*

R_i：第i个读写器

T_j：第j个标签

DB：后台服务器

HASH(·)：单向HASH函数

f:单向HASH函数

：第j个标签与后台服务器共享的密钥

id_j：第j个标签的唯一标识码

r_i：第i个读写器的唯一标识码

||：级联运算

：异或运算

{z}_x→y或(z)_x→y：z的x到y位

L_i：读写器与后台服务器认证通过后从服务器端下载的标签认证列表

L_i'：读写器准备进行搜索目标标签时对L_i进行运算，得到时效性标签认证列表

松散时间戳：仅仅需要对读写器和标签时间进行大小比对，而不需要进行精确比对

T_cur：读写器确定进行搜索任务时的读写器系统时间

T_last：标签内部保存的上次更新时间

(4)安全性论证

4.1)标准安全模型

标准安全模型首先设定攻击者A的攻击目标。然后，根据协议的实际运行，A调用一系列功能预言机从而形成攻击策略，其反映了A的攻击能力。若A在概率多项式时间（PPT）内成功达到攻击目标的概率可以忽略，则协议在标准模型下是安全的。这里A假设为拜占庭攻击者，对信道具有完全的控制能力。A可调用预言机如下：

1）O₁(π_search)：获取读写器与标签之间的交互消息；

2）O₂(π_search,tag,m₁,m₂)：发送挑战消息m₁给标签并返回应答消息m₂；

3）O₃(π_search,Reader,m₃,m₄)：发送消息m₃给读写器并返回应答消息m₄；

4）O₄(π_search,Reader,tag)：对交互消息进行篡改。

攻击实验Exp(A)分为两个阶段，学习阶段和猜测阶段：

在学习阶段A能够调用预言机O∈{O₁,O₂,O₃,O₄}进行监听、打断、修改读写器和标签之间通信消息，进行攻击知识积累。

在猜测阶段A根据学习阶段的知识积累进行判断并得出攻击结论，安全搜索协议的攻击目标为A通过分析可判定标签是否存在。若在PPT（概率多项式时间）内A成功的概率与掷硬币的概率相等时，攻击实验失败，即攻击者成功的优势Adv满足：

否则，A攻击实验Exp(A)成功，其中ε(n)为任意小的可忽略量。

4.2)标准安全模型下的论证

结论1：在标准安全模型下，A对搜索协议的目标存在性攻击实验Exp(A)的成功优势Adv≤ε(n)

证明：攻击者通过调用预言机O∈{O₁,O₂,O₃,O₄}判断其目标标签是否存在。分以下几种情况进行论证：

1）A调用预言机O₁(π_search)获取读写器与标签之间的交互消息，即协议正常执行流程下，A判断标签的存在性。A成功的优势Adv≤ε(n)。

证明：A在学习阶段获取协议消息体A,n_r,T_cur,r_i，flag||n_*||β₂||δ，β'₃。在猜测阶段根据其学习阶段获取信息做出目标标签存在性判定。根据碰撞原理可知在消息A,n_r,T_cur,r_i发送后有L个标签应答，因此，A根据flag||n_*||β₂||δ无法判断其是否为目标标签；β'₃根据是否为目标标签而生成，若为目标标签则

或

，否则为任意随机数，若任意随机数的生成采用真随机函数生成的话，A利用β'₃从而实现对是否为目标标签的判定其难度等同于区分真随机数与伪随机数，因此，在该情况下Adv≤ε(n)，得证。

2）A调用预言机O₁(π_search)获取协议交互消息，在随后的PPT内，攻击者可利用O∈{O₂,O₃,O₄}重放，篡改消息流，进行自适应攻击来判断目标标签存在性，A成功的优势Adv≤ε(n)。

证明：A利用预言机O₂拦截搜索消息A,n_r,T_cur,r_i并重放学习阶段消息A,n_r,T_cur,r_i。由于T_Δ＝0，碰撞标签集当中L个标签进行应答，其应答消息为1||n_*||β₂||δ，β₂中加入新的分散因子n_*，A无从判断目标标签与非目标标签应答消息区别，也无从判断同一标签会话链接性。同时，读写器若接受重放flag||n_*||β₂||δ后，若为目标标签的重放消息，则读写器应答β₃'＝任意随机数，若为非目标标签，则β₃'＝任意随机数。因此，A无法利用O∈{O₂,O₃}判定目标标签存在性，可知Adv≤ε(n)。同时，若攻击者同时重放消息A,n_r,T_cur,r_i及T_cur||β'₃，由于T_Δ＝0，目标标签自身计算的

加入了新的分散因子n_*，因此，β'₃≠β₃，标签对读写器的认证失败。

若A利用预言机O₄对消息体进行篡改来验证目标标签的存在，在学习阶段首先收集篡改协议消息后标签或读写器的应答消息，并结合O∈{O₂,O₃}进行消息的重放等攻击策略，进而在猜测阶段得出结论。首先A对消息A,n_r,T_cur,r_i的篡改是没有必要的，因为篡改该消息，则目标标签判定标准发生变化，进而应答标签发生变化，相应的目标标签也发生变化；对消息体flag||n_*||β₂||δ进行篡改后，认证通不过，目标标签被读写器认定为非目标标签，因此应答消息β₃'为任意随机数，若为非目标标签其应答消息β₃'仍然为任意随机数，故攻击者无法判断其目标标签是否存在，可知Adv≤ε(n)得证。

结论2：提出的搜索协议可抵抗去同步攻击。

证明：标签保存信息为T_last,k_s,id，其中k_s,id为不变量，与后台服务器永久保持同步，T_last为虽然可变量，然而，其只参与协议的时间戳比对，即使在不同步的情况下协议仍然可正常运行。因此，其松散同步性对搜索协议的去同步化攻击影响可以忽略。

结论3：提出的搜索协议具有不可追踪性和匿名性。

证明：A调用O∈{O₁,O₂,O₃}收集并发送相同搜索消息，根据应答消息跟踪标签，若应答消息相同则可实现对标签的跟踪。A若发送相同搜索消息A,n_r,T_cur,r_i，则由于T_Δ＝0，β₂的计算中引入新的分散因子n_*，因此，A无从利用重放搜索信息对标签进行跟踪。即使攻击者利用暴力攻击致使标签自身保存T_last变为无限大，即首次搜索flag＝1，β₂的计算中引入n_*，在随后的跟踪当中，若A截断β'₃的传输，那么T_last仍然为无限大，因此下次搜索中flag＝1，β₂中的n_*换为新的随机数，A无法跟踪标签；A不截断β'₃的传输，则标签T_last被读写器进行了修改，A也无法跟踪标签。利用碰撞原理实现匿名性，平均L个标签进行应答，致使A无法对标签进行区分，可有效保证目标标签匿名性。

Claims (10)

1.一种轻量级无服务型安全搜索协议，其特征在于包含如下实现步骤：

(1)系统初始化：RFID系统由后台服务器（DB）、A个读写器R_i、n个标签T_j组成，后台服务器（DB）与标签之间共享标签密钥信息，DB确定其搜索任务和选定搜索用读写器后，通过SSL/TLS协议使得DB与读写器双向认证其合法性，并利用协商后的会话密钥下发搜索任务列表。其下发的列表形式如下：

(2)读写器r_i每次搜索任务开始前，对下载的列表进行更新；

(3)确定搜索目标后，发送搜索消息1：A,n_r,T_cur,r_i；

(4)标签接受到消息1后验证其消息1，进而初步判断自己是不是目标标签，若判断为非目标标签不做应答；若判断自己为目标标签则发送应答消息2：flag||n_*||β₂||δ；

(5)读写器接受到消息2后对其进行验证，进而判断应答标签是否为目标标签，实现对目标标签的安全认证，并根据消息2，计算不同的消息3：β'₃，并发送；

(6)标签接受到消息3后，进而验证β'₃是否与自身保存的β₃，若相等则最后确定自身的目标标签身份，同时实现了读写器的安全认证。

2.如权利要求1所述的一种轻量级RFID安全搜索协议，其特征在于：

所述步骤(2)中下载列表的更新方法如下：

读写器r_i每次搜索任务开始前，对下载的列表进行更新，构成了带有时效性的搜索列表，其中更新仅仅涉及了逐位异或运算，其实现效率高，读写器可在短时间内完成其操作。

3.如权利要求1所述的一种轻量级RFID安全搜索协议，其特征在于：

所述步骤(3)中确定搜索目标后，构造并发送搜索消息1：A,n_r,T_cur,r_i，其具体实现步骤如下：

3.1)读写器确定搜索目标标签T_j并产生随机数n_r∈_R{0,1}^l，搜索列表L_i'中的目标标签对应值为

，同时，计算A和B，并保存B，其中：

f为单向HASH函数，

长度k位、A为的前l位、B为l到k位，在应用环境下总标签数为n的情况下，i个标签具有相同前l位的概率为P(i)。根据HASH函数的特性，经过HASH运算后，结果独立均匀分布，因此有：

E(i)为i个标签具有相同前l位的期望，当E(i)＝L时，故该搜索消息有平均L个标签对搜索信号进行应答。

3.2)构造消息体1：A,n_r,T_cur,r_i，并发送。

4.如权利要求1所述的一种轻量级RFID安全搜索协议，其特征在于：

所述步骤(4)中标签接受到消息1后验证其消息1，进而初步判断自己是不是目标标签，若判断为非目标标签不做应答；若判断自己为目标标签则发送应答消息2：flag||n_*||β₂||δ，其具体实现步骤如下：

4.1）标签接收到消息A,n_r,T_cur,r_i；

4.2）标签T_*利用n_r,T_cur,r_i及自身保存的密钥k_s*及唯一标识id_*，计算相应的A'和B'：

4.3）标签进一步比对计算的A'是否等于接收到的读写器发送的A。若相等，则该标签初步认定自己为目标标签，否则认为自己为非目标标签，不做应答；

4.4）标签初步认定自身为目标标签的情况下，比对自身保存时间T_last与读写器发送的时间戳T_cur，令：

T_Δ＝T_cur-T_last

4.5）若T_Δ＞0，则令随机数n_*为空字符串，并做如下计算：

flag＝0 β₁ ¹=f(flag，B’，T_cur，id_*)

δ＝B'

n_*＝空字符串

同时，将标签将时钟T_last置为T_cur：

T_last←T_cur

4.6）否则，若T_Δ≤0，标签T_*生成随机数n_*∈_R{0,1}^l：

flag＝1β₁ ²＝f(flag,B',n_*,id_*)

T_last←T_last

δ＝空字符串

4.7）构造其消息体：flag||n_*||β₂||δ，并发送给读写器；

4.8）记录保存：β₃和T_cur。

5.如权利要求1所述的一种轻量级RFID安全搜索协议，其特征在于：

所述步骤(5)中读写器接受到消息2后对其进行验证，进而判断应答标签是否为目标标签，实现对目标标签的安全认证，进而根据消息2，计算不同的消息3：β'₃，并发送。其具体步骤如下：

5.1）读写器接受到flag||n_*||β₂||δ；

5.2）首先判断flag值；

5.3）若flag＝＝0，利用自身保存值B和

计算β₁ ^1'、β'₂、β'₃：

β₁ ^1'＝f(flag,B,T_cur,id_*)

并比对如下值：

若相等，则判定该标签为目标标签；否则判定该标签为非目标标签；

5.4）若flag＝＝1，则利用n_*计算：

β₁ ^2'＝f(flag,B,n_*,id_j)

并判定：，若相等则该标签为目标标签，但标签自身时间戳不对，需进行修改；否则判定该标签为非目标标签；

5.5）在判定该标签为目标标签的情况下，发送β'₃给标签；否则若判定该标签为非目标标签的情况下，令β₃'为任意随机数；

5.6）同时，为了对攻击者可能利用重放攻击（重放消息2）对目标标签进行判定。因此，若读写器判定目标标签存在的情况下，若再次接受到相同的flag||n_*||β₂||δ，则令β₃'为任意随机数；

5.7）以上过程构造了消息3：β₃'，并发送消息3用于目标标签确定其目标身份。

6.如权利要求1所述的一种轻量级RFID安全搜索协议，其特征在于：

所述步骤(5)中标签接受到消息3后，进而验证β'₃是否与自身保存的β₃，若相等则最后确定自身的目标标签身份，同时实现了读写器的安全认证。其具体实现步骤如下：

6.1）标签接收β'₃；

6.2）标签利用自身保存的β₃与其接收到的β₃ ^'进行比对。若相等则置T_last为T_cur，目标标签通过β'₃确认自己的目标身份地位，同时对读写器实现了安全认证。认证该读写器为合法读写器；否者保持T_last不变，其标签认定自己非目标标签或读写器为非法读写器。

7.如权利要求3所述的一种轻量级RFID安全搜索协议，其特征在于：

其利用碰撞的方法实现了目标标签隐私性的保护，可以根据具体应用环境进行L的选择，进而确定l的长度，对其l的长度选择取决于应用环境下标签总数n，以及L的选择，其L越大隐私强度越强，其相应的搜索耗时也越大。因此，实现了根据实际运行环境下，确定搜索效率具体要求和隐私强度要求的情况下，进而决定其l的长度。同时，由于松散时间戳在更新列表中的引入使得其下一次搜索任务时，与目标标签碰撞的其他标签不同，因而，极大地 保护了其标签的隐私性。

8.如权利要求4所述的一种轻量级RFID安全搜索协议，其特征在于：

根据时间的先后关系，进而构造不同的消息体2：

T_Δ＝T_cur-T_last

若T_Δ＞0，则消息体2的构造过程如下：

flag＝0 β₁ ¹＝f(flag,B',T_cur,id_*)

δ＝B'

n_*＝空字符串

若T_Δ≤0，则消息体2的构造过程如下：

标签T_*生成随机数n_*∈_R{0,1}^l

flag＝1β₁ ²＝f(flag,B',n_*,id_*)

T_last←T_last

δ＝空字符串

从而，针对时间戳先后关系，对消息1相应的构造消息2。

9.如权利要求3、4、5、6、7、8所述的一种轻量级RFID安全搜索协议，其特征在于：

通过HASH函数与松散时间戳相结合的方法实现了无服务器情况下读写器对目标标签的搜索任务及标签和读写器之间的双向认证，松散时间戳的使用可降低对其标签的硬件要求，使用HASH函数进行认证使得现在市面的RFID被动标签即可满足其运算要求。

10.在上述安全搜索协议中涉及到的变量、定义及运算符号分别说明如下：

n_r∈_R{0,1}^l：读写器生成长度为l位的随机数n_r

n_*∈_R{0,1}^l：标签T_*生成长度为l位的随机数n_*

R_i：第i个读写器

T_j：第j个标签

DB：后台服务器

HASH(·)：单向HASH函数

f:单向HASH函数

：第j个标签与后台服务器共享的密钥

id_j：第j个标签的唯一标识码

r_i：第i个读写器的唯一标识码

||：级联运算

：异或运算

{z}_{x → y}或(z)_{x → y}：z的x到y位

L_i：读写器与后台服务器认证通过后从服务器端下载的标签认证列表

L_i'：读写器准备进行搜索目标标签时对L_i进行运算，得到时效性标签认证列表

松散时间戳：仅仅需要对读写器和标签时间进行大小比对，而不需要进行精确比对

T_cur：读写器确定进行搜索任务时的读写器系统时间

T_last：标签内部保存的上次更新时间 。

Images