CN104113414B

CN104113414B - 一种不可追踪的rfid标签认证方法

Info

Publication number: CN104113414B
Application number: CN201410255485.9A
Authority: CN
Inventors: 许春香; 陈文杰; 张晓均; 金春花; 张源
Original assignee: University of Electronic Science and Technology of China
Current assignee: University of Electronic Science and Technology of China
Priority date: 2014-06-10
Filing date: 2014-06-10
Publication date: 2017-06-13
Anticipated expiration: 2034-06-10
Also published as: CN104113414A

Abstract

本发明提供一种不可追踪的RFID标签认证方法。在初始化阶段，密钥分配中心为读写器和所有的标签分配公‑私钥对；标签认证阶段：读写器R向标签T_i发送一个随机数r_i作为挑战；标签T_i把响应信息(c_i1,c_i2)和数据s_i一起返回给读写器R；读写器R接到响应信息(c_i1,c_i2)和数据s_i后，首先根据自己的私钥x_R从响应信息(c_i1,c_i2)中恢复出标签T_i的身份再从后台数据库保存的公钥列表中查找是否存在若无，则视为非法标签；若有，则找到相应的公钥列表进而计算中间变量c_i1'≡c_i1modq，并验证

Description

一种不可追踪的RFID标签认证方法

技术领域

本发明涉及射频识别的RFID标签认证技术。

背景技术

随着RFID技术的发展和广泛应用，各种各样的安全风险也随之而来，最受关注的就是用户的隐私安全问题。由于读写器和电子标签通过无线射频信号进行通信，任何人都能够获取这些信息，从而得到对自己有利的数据。攻击者可以利用获取到的数据来制造假标签，也可以采用重放合法标签的应答数据的方式来假冒标签与读写器通信。标签对读写器的应答有时会含有固定的信息，这些数据能帮助敌手追踪标签。因此，在使用RFID技术时，要仔细分析所存在的隐私安全风险，采取适当的安全措施来保护用户隐私。目前采用较多的方法是设计安全的RFID标签认证协议，保证数据的机密性、完整性，以及标签的匿名和不可追踪性。

出于对标签低成本的考虑，目前的RFID认证协议大多是基于杂凑和随机函数的询问-应答式协议，比较著名的有Hash-Lock协议、随机化Hash-Lock协议、Hash链协议、基于杂凑的ID变化协议、分布式RFID询问-响应认证协议、LCAP协议、数字图书馆RFID协议等。但这些协议都存在一定的安全缺陷。在Hash-Lock协议和随机化Hash-Lock协议中，标签身份标识保持不变，且是以明文的形式在不安全的信道上传送，外部攻击者很容易区分标签，还可以追踪某个标签以前的认证，协议还容易遭到重放和假冒攻击。Hash链协议、基于杂凑的ID变化协议以及LCAP协议，都存在数据更新不同步的安全隐患。数字图书馆协议不能保证标签的前向安全性。而分布式RFID询问-响应认证协议，虽然目前还没有发现该方案有明显的漏洞或缺陷，但每认证一个标签，标签要进行2次杂凑运算，服务器平均要进行次杂凑运算(这里的n是系统中的标签数量)，协议效率受标签数量影响很大。近几年，随着芯片技术的飞速发展，低成本的标签也具备了一定的运算能力，有文献证明基于公钥的认证协议可以提供更好的安全性和隐私性，公钥密码系统开始被应用在RFID系统中。

由于标签成本较低，计算能力有限，假设标签只能进行生成随机数、Hash运算，加法和乘法运算等基本的密码操作。采用著名的平方-乘算法可以把模指数运算转化为数乘运算。用在RFID标签认证协议中，由发行机构预先为标签计算一些数据集，当标签要进行模指数运算时，调用预计算数据集，只需几步数乘运算就可以实现模指数运算。

发明内容

本发明所要解决的技术问题是，标签一端通过公钥计算来进行认证，并且使得标签对外部攻击者是匿名不可追踪的RFID标签认证方法。

本发明为解决上述技术问题所采用的技术方案是，一种不可追踪的RFID标签认证方法，包括以下步骤：

1)在初始化阶段，密钥分配中心为读写器和所有的标签分配公-私钥对：

1-1)密钥分配中心I选取两个大素数p和q，q是p-1的大素数因子，在中一个选择模p的q阶生成元g，表示整数群除去0，满足g^q≡1modp，g≠1，mod表示取模，≡表示恒等，其中，大素数p和q、生成元g为公开参数；

1-2)对标签T_i，密钥分配中心I为其随机选取作为私钥，并计算相应的公钥为i＝1,2,…n，n是系统中合法标签的数量；

1-3)对读写器R，密钥分配中心I随机选取1<x_R<q作为读写器的私钥，计算相应的公钥y_R为为读写器R分配公私钥对(x_R,y_R)，并在读写器R的后台数据库中保存标签的身份和公钥列表

1-4)密钥分配中心I将读写器的公钥y_R安全存储在标签内T_i内；

2)标签认证阶段：

2-1)读写器R向标签T_i发送一个随机数r_i作为挑战，r_i∈Z_q；

2-2)标签T_i把自己的身份作为待加密的明文，随机选取随机数k_i，1<k_i<q，计算响应数据与接着计算中间变量c_i1'≡c_i1modq，然后用自己的私钥计算数据最后标签T_i把响应信息(c_i1,c_i2)和数据s_i一起返回给读写器R；

2-3)读写器R接到响应信息(c_i1,c_i2)和数据s_i后，首先根据自己的私钥x_R从响应信息(c_i1,c_i2)中恢复出标签T_i的身份再从后台数据库保存的公钥列表中查找是否存在若无，则视为非法标签；若有，则找到相应的公钥列表进而计算中间变量c_i1'≡c_i1modq，并验证是否成立，若成立，则标签通过认证；否则标签是非法的。

2、如权利要求1所述一种不可追踪的RFID标签认证方法，其特征在于，步骤1-4)中密钥分配中心I还为标签T_i预计算数据集其中，数据集元素0≤j≤l_q-1，l_q为大素数q的二进制表示的比特长度，密钥分配中心I将预计算数据集S_i1、S_i2存储在标签T_i内；

步骤2-2)中标签T_i调用快速平方-乘算法，利用存储的预计算数据集S_i1、S_i2来计算响应信息c_i1与c_i2。

进一步，为了简化标签T_i的运算，步骤1-4)中密钥分配中心I还为标签T_i预计算数据集其中，数据集元素0≤j≤l_q-1，l_q为大素数q的二进制表示的比特长度，密钥分配中心I将预计算数据集S_i1、S_i2存储在标签内T_i内；

步骤2-2)中标签T_i调用快速平方-乘算法，并利用存储的预计算数据集S_i1、S_i2来计算响应信息数据c_i1与c_i2。

本发明的有益效果是，不仅能有效的抵御各种攻击，保证标签对外部攻击者是匿名和不可追踪的，还能提供前向安全性。

具体实施方式

首先对实施例中要用到的符号进行说明：

p：大素数；

q：p-1的大素因子；

g：g是除去0的整数群在模p下的q阶生成元，即满足g^q≡1modp，g≠1；

l_q：l_q是q的二进制表示的比特长度；

T代表标签，ID_T是标签的身份，x_T是标签的私钥，y_T是标签的公钥；

R代表读写器，x_R是读写器的私钥，y_R是读写器的公钥；

I代表密钥分配中心；

本发明方法分为系统初始化和标签认证两个过程。

在初始化阶段，密钥分配中心为读写器和所有的标签分配公-私钥。具体过程如下：

1.I首先选取两个大素数p和q，q是p-1的大素数因子。再选择一个q阶生成元即满足g^q≡1modp，g≠1，(g,p,q)是公开参数。

2.对标签T_i，I为其随机选取作为私钥，并计算相应的公钥i＝1,2,…n，n是系统中合法标签的数量。

3.对读写器R，I随机选取1<x_R<q作为读写器的私钥，计算相应的公钥为为读写器分配公私钥对(x_R,y_R)。并在读写器的后台数据库中保存标签的身份和公钥列表1≤i≤n。

4.I为标签T_i预计算数据集其中0≤j≤l_q-1，其中0≤j≤l_q-1。发行机构I将预计算数据集S_i1、S_i2和读写器的公钥y_R安全存储在标签内T_i内。

在标签认证阶段，读写器向标签发送一个随机数作为挑战，标签利用读写器的公钥对自己的身份采用ElGamal加密，并利用变型的Schnorr签名算法对这个随机挑战进行签名。最后将应答消息返回给读写器。读写器首先用自己的私钥恢复出标签的身份，再查询后台数据库对应的标签公钥，用该公钥来验证标签的应答消息。为简化协议，我们使用R和Ti来表示读写器和标签，具体过程如下：

1.R向T_i发送一个随机数r_i作为挑战；

2.T_i把自己的身份作为待加密的明文，随机选取k_i，1<k_i<q，调用快速平方-乘算法，并利用存储的预计算数据集S_i1、S_i2，计算接着计算然后用自己的私钥计算最后T_i把(c_i1,c_i2)和s_i一起返回给R；

3.R接到(c_i1,c_i2)和s_i后，首先根据自己的私钥恢复出标签的身份再根据从后台数据库保存的公钥列表中查找是否存在若无，则视为非法标签。若有，则找到相应的公钥列表进而计算c_i1'≡c_i1modq，并验证是否成立。若成立，则标签通过认证；否则标签是非法的。

认证流程如下所示：

协议的正确性验证：

协议的安全性分析：

本发明提出的协议保护了标签的身份隐私信息，达到了相应的安全性和隐私保护要求。

(1)数据机密性：由于标签和读写器之间的通信信道是不安全的，非法用户可以窃听标签与读写器之间的通信，从中得到有用的数据。在协议中，只有读写器发出的随机挑战是以明文的形式传送，这并不会泄露任何机密信息。标签返回的身份信息是加密过的，非法用户不可能从密文(c_i1,c_i2)中得到标签的身份，只有真正拥有私钥的读写器能解密该密文。

(2)标签匿名性和不可追踪性：标签每次和读写器通信都要选择一个随机数k_i，因此，它们之间的通信信息总是随着随机数的变化而变化。非法用户既不能将窃听的数据与某个标签以前的应答消息相联系，也不能把某个标签的信息和其他标签的信息区分开，即保证了标签的匿名性和不可追踪性。

(3)抗冒充攻击：如果非法用户截取到某个标签的响应数据(c_i1,c_i2,s_i)，想要在以后某次认证时重放该消息来假冒标签进行认证，这是不可行的。因为s_i是标签对读写器所选的随机数的签名，不同的随机数得出的签名是不一样的，读写器在验证时就会发现标签是假冒的。如果非法用户冒充读写器来欺骗用户，由于标签发来的信息都是加密过的，非法用户不能从中得到有用信息，这样的欺骗没有意义。

(4)前向安全性：如果在某个时刻敌手攻破一个标签，拥有了该标签的全部信息，那么敌手根据这些信息能追踪到标签之前的认证信息，这就是前向攻击。本文的协议能抵抗这类攻击，因为协议中标签返回的数据(c_i1,c_i2,s_i)都和选择的随机数有关，由于敌手不知道它们所选取的随机数，随意敌手即使得到标签T_i的私钥但也不能计算出随机数k_i，因而没有办法对标签以前的认证信息进行合理性验证，所以该协议能够抵抗前向攻击。

Claims

1.一种不可追踪的RFID标签认证方法，其特征在于，包括以下步骤：

1)在初始化阶段，密钥分配中心为读写器和所有的标签分配公私钥对：

1-1)密钥分配中心I选取两个大素数p和q，q是p-1的大素数因子，在中一个选择模p的q阶生成元g，表示整数群除去0，满足g^q≡1modp，g≠1，mod表示取模，≡表示恒等，其中，大素数p、q和生成元g为公开参数；

1-4)密钥分配中心I将读写器的公钥y_R安全存储在标签T_i内；

2)标签认证阶段：

2-1)读写器R向标签T_i发送一个随机数r_i作为挑战，r_i∈Z_q；

2-2)标签T_i把自己的身份作为待加密的明文，随机选取随机数k_i，1<k_i<q，计算响应数据与接着计算中间变量c_i1'≡c_i1modq，然后用自己的私钥计算数据s_i≡r_i·k_i-x_Ti·c_i1'modq，最后标签T_i把响应信息(c_i1,c_i2)和数据s_i一起返回给读写器R；

2.如权利要求1所述一种不可追踪的RFID标签认证方法，其特征在于，步骤1-4)中密钥分配中心I还为标签T_i预计算数据集其中，数据集元素0≤j≤l_q-1，l_q为大素数q的二进制表示的比特长度，密钥分配中心I将预计算数据集S_i1、S_i2存储在标签T_i内；