CN104363096B - 匿名的不可追踪的rfid相互认证方法 - Google Patents

Abstract

本发明提供一种匿名的不可追踪的RFID相互认证方法，基于Schnorr签名算法和轻量级对称加密算法，其安全性依赖于离散对数困难问题，具有运算速度快，存储空间小等优点。考虑到标签成本较低，计算能力有限，因此将标签在进行认证时可能需要到的中间结果通过预计算数据集的方式存储在标签中，本发明中标签只需要进行生成随机数，Hash运算，加法和乘法运算这些基本的密码操作就能实现认证，无需进行运算量大的指数运算。本发明在保护了信息安全和用户隐私的同时，降低了系统的时间复杂度。

Description

匿名的不可追踪的RFID相互认证方法

技术领域

本发明涉及数字认证技术，特别涉及RFID相互认证技术。

背景技术

无线射频识别RFID系统使用无线射频技术在开放的系统环境中进行对象识别。RFID是一种非物理性接触、低成本、低功耗的自动识别技术，主要是通过射频技术，在读写器和标签之间传递信息，来获取被标识物体信息的技术。尽管与传统的识别技术相比RFID具有许多优点，但因为RFID一些固有的局限性，其面临着巨大的信息安全的挑战。如果不能很好地解决RFID所面临的信息安全问题，随着其应用的不断扩展，RFID潜在的极大破坏力将逐渐显现。

RFID安全问题中面临的一个重要挑战就是隐私泄露。由于阅读器与标签之间采用无线射频信号进行通信，无线通信固有的脆弱性使得所传送的信息被完全暴露，易受到窃听、篡改等各种攻击，导致一些敏感信息被泄露。RFID的安全隐私问题主要包括两方面：(1)攻击者对标签进行位置追踪。由于标签发送的信息可能包含唯一的身份标识信息(如身份标识ID)，即使经过加密处理也有可能包含某种固定或有规律的信息，攻击者可以根据标签响应阅读器的响应信息对标签进行位置跟踪，而当标签的使用者没有改变时，攻击者就可以通过跟踪标签来推测出用户的位置，从而泄露用户的位置信息。(2)对窃听获取的标签信息进行分析后再进行攻击。当标签携带信息包含了用户的个人信息时，攻击者就可以通过分析标签传输的信息来获取用户的隐私信息。例如用户使用信用卡在商店消费时，如果不良商户将用户的身份信息和用户身上的标签发送的信息内容联系在一起，便可以获取很多用户的隐私信息。因此，设计高效安全的认证协议来保护用户隐私，是我们目前迫切需要解决的难题。

标签在进行认证时，要证明自己是合法的用户，但又不能让敌手知道其身份，这就要求标签具有匿名的特性。此外，如果标签能被敌手追踪，那么用户的隐私和位置信息就有可能泄露，这会带来巨大的安全隐患。所以，不可追踪性也是我们要考虑的问题。

目前已经存在一些匿名认证协议，但它们都存在一定的安全性能等问题。2006年，Heydt设计了一个基于匿名证书公交车票匿名支付系统，但该方案并未给出该系统具体实现的方法。Bichsel在2009年给出一种基于Java Cards的实现匿名证书的方法，但是需要所有的设备执行公钥密码算法，这不符合RFID标签的低成本需求。2009年，Blass给出了一个适用的基于RFID的匿名支付方案，但是该方案要求系统中标签的数目是固定不变的，这使得该方案不具有很好的扩展性。2010年Armknecht等人提出一个高效的RFID匿名认证协议，但该协议每认证一次标签后，需要一个机构对标签进行匿名化处理，代价很高。

发明内容

本发明所要解决的技术问题是，提供一种适用于RFID的匿名的不可追踪的基于类似签密相互认证方法。

本发明为解决上述技术问题所采用的技术方案是，一种匿名的不可追踪的RFID相互认证方法，包括以下步骤：

1)发行机构预处理步骤：

发行机构选择p、q两个大素数，q是p-1的大素数因子；

发行机构生成阅读器的公私钥对(p_R,s_R)，标签的公私钥对

发行机构生成两个哈希函数H₁与H₂，{0,1}^*表示0、1串，表示大素数p的整数模的乘法群，表示大素数q的整数模的乘法群；

发行机构选择一个q阶生成元g，满足g^q≡1mod p，≡为同余，g≠1mod p，mod为取模；

发行机构为标签T_j预计算数据集 数据集中各元素 0≤i≤l_q-1；l_q表示大素数q的二进制比特长度；

发行机构将各标签的公私钥对、标签标识符以及阅读器的公钥和预计算数据集ψ，ζ，π和ρ存储在对应的标签T_j内；将所有标签标识符以及对应的标签的公钥保存在与阅读器相连的后台数据库里；

2)相互认证步骤：

2-1)阅读器选择随机数生成挑战信息z，z≡g^t mod p；

2-2)标签T_j接收到挑战信息z后，选择随机数利用时间-存储折中法，根据原存储的数据集计算得到中间数r≡g^kmod p，对称加密密钥K≡p_R ^kmod p，将中间数r与挑战信息z输入哈希函数H₁中，得到哈希函数值e＝H₁(r,z)，再用标签私钥得到签名数据然后利用对称加密密钥K对标签标识符中间数r、签名数据s、挑战信息z组成的数据加密得到对称加密密文C，||表示数据直接连接，返回响应数据(r,C)给阅读器；

2-3)阅读器收到响应数据(r,C)后，首先提取中间数据r利用阅读器私钥s_R计算密钥然后利用密钥K′解密C得到解密数据将解密得到的挑战信息z′与生成作为挑战信息z进行比较，若z′≠z或r′≠r，则退出；

否则阅读器从后台数据库查找是否存在标签标识符若否，则视为非法标签；若是，找到对应公钥数据项将解密得到的中间数r′与挑战信息z′输入哈希函数H₁中，得到哈希函数值e′＝H₁(r′,z′)，然后利用解密得到的签名数据s′与哈希函数值e′验证是否成立，若否，则视为非法标签，如是，则为合法的标签，阅读器将再利用解密得到的标签标识符中间数r′、挑战信息z′以及对称加密密文C输入哈希函数H₂中得到哈希函数值利用阅读器私钥得到签名数据s₁≡s_Re₁+tmodq，最后把签名数据s₁返回给标签T_j；

2-4)标签T_j收到签名数据s₁后，将本地保存的标签标识符本地计算得到的中间数r、对称加密密文C以及挑战信息z输入哈希函数H₂得到哈希函数值然后利用预计算数据集π和ρ以及时间-存储折中法验证是否成立，若是，则为合法阅读器，若否，则为非法阅读器。

本发明基于Schnorr签名算法和轻量级对称加密算法，其安全性依赖于离散对数困难问题，具有运算速度快，存储空间小等优点。考虑到标签成本较低，计算能力有限，因此将标签在进行认证时可能需要到的中间结果通过预计算数据集的方式存储在标签中，本发明中标签只需要进行生成随机数，Hash运算，加法和乘法运算这些基本的密码操作就能实现认证，无需进行运算量大的指数运算。

本发明的有益效果是，在保护了信息安全和用户隐私的同时，降低了系统的时间复杂度。

具体实施方式

实施例中用到的符号如下：

本发明的相互认证流程大致如下：

系统初始化：发行机构生成阅读器的公私钥对，标签的公私钥对以及两个安全的哈希函数。其中与阅读器相连的后台数据库里保存了所有合法标签的公钥列表。

RFID相互认证步骤：阅读器向标签发送一个消息。标签利用自己的私钥，自己的身份信息通过简单乘法和加法运算计算出应答值，然后把应答值发送给阅读器进行认证。阅读器利用标签公钥对应答值进行验证，若验证通过，则说明标签是合法的，否则，说明标签是非法的。在标签验证合法后，阅读器利用自己的私钥通过简单乘法和加法运算计算出应答值，把应答值发送给标签进行认证。标签利用阅读器公钥对应答值进行正确性验证。若验证通过，则说明阅读器是合法的。否则，说明阅读器是非法的。

本发明在标签生成应答值的过程中，使用了Schnorr签名生成签名数据，还使用了对称加密算法，利用阅读器的公钥生成对称加密密钥，生成的对称加密密钥还对签名数据进行加密。在阅读器生成应答值的过程中，阅读器将基于Schnorr签名生成的签名数据作为应答值。

协议分初始化阶段和认证阶段，具体描述如下：

(一)系统初始化：

1)I首先选择两个大素数p和q，q是p-1的大素数因子，然后选择一个生成元即满足g^q≡1mod p，g≠1，以及两个安全抗碰撞的hash函数，≡为同余符号， 表示大素数p的整数模的乘法群，表示大素数q的整数模的乘法群。

2)对阅读器R，I随机选择作为阅读器的私钥，计算公钥I为阅读器分配公私钥对(p_R,s_R)。

3)对标签T_j，I为其选择私钥计算相应的公钥为此外，I为标签T_j预计算数据集 其中0≤i≤l_q-1。l_q表示大素数q的比特长度。发行机构I将和预计算数据集ψ，ζ，π和ρ安全存储在标签T_j内。

(二)RFID相互认证协议：

1)R选择随机数计算z≡g^t mod p作为挑战信息。

2)T_j选择随机数利用原存储的数据集ψ和ζ和时间-存储折中法计算r≡g^kmod p，K≡p_R ^kmod p，接着计算e＝H₁(r,z)，再用自己的私钥计算然后利用K对加密，||表示数据直接连接，计算最后把(r,C)返回给阅读器R。这里的时间-存储折中法一个本领域常用的迭代运算，不在此赘述。

3)R收到(r,C)后，首先计算利用K'解密C得到若z′≠z，或r′≠r，则退出，其中这里对中间数r的验证是为了防止重放攻击。否则阅读器R从后台数据库保存的公钥列表中查找是否存在若无，则视为非法标签。找到对应公钥数据项计算e′＝H₁(r′,z′)，然后验证是否成立。若成立，则为合法的标签。R计算s₁≡s_Re₁+tmodq，最后把s₁返回给标签T_j。

4)T_j收到s₁后，首先计算然后利用时间-存储折中法，根据原存储的数据集π和ρ验证是否成立。若成立，则为合法的阅读器。

验证公式推导如下：

上述流程的伪代码如下表：

本发明保护了标签的隐私信息，并且实现了标签和阅读器的相互认证，达到了一定的安全和隐私要求，其说明如下：

1)数据机密性：本协议在R与T_j的通信中，只有R发出的随机挑战z是以明文的形式传送，所以并不涉及任何T_j所关联的真实信息。标签返回的身份及相关信息是加密过的，非法用户不可能从密文C中得出标签的身份，只有真正拥有私钥的阅读器能解密该密文。

2)标签的匿名性和不可追踪性：标签T_j每次和阅读器R通信都要选择一个随机数k。但因为k是随机产生的，所以追踪T_j的目的不可行。由于标签T_j的身份信息是被加密过的，并且非法用户不知道随机数k，所以它得不到对称密钥K，无法解密密文C，得不到与标签T_j身份相关的任何信息。即保证了标签的匿名性和不可追踪性。

3)抗重放攻击：如果非法用户截听到某个标签的响应数据(r,C)，在下次认证时重放该消息来假冒标签进行认证，由于C是对r和阅读器R所计算z的加密，不同的随机数得出的加密是不一样的，阅读器R在验证时就会发现标签是假冒的。如果非法用户冒充阅读器R来欺骗标签，由于标签发来的信息都是加密过的，非法用户不能从中得到标签的身份信息，这样的欺骗没有意义。

4)抗前向攻击：如果在某个时刻敌手攻破一个标签，拥有了该标签的全部信息，敌手根据这些信息能追踪到标签之前的认证信息，这就是前向攻击。本协议能抵抗这类攻击。协议中标签返回的数据(r,C)和阅读器计算的z以及标签T_j选择的随机数k有关，由于敌手不知道它们所选择的随机数，所以敌手即使得到标签T_j的私钥也不能计算出K，进而没有办法对标签以前的认证信息进行合理性验证，所以该协议能够抵御前向攻击。

5)标签和阅读器的相互认证：由于敌手不知道标签选择的随机数k和标签的身份信息以及私钥所以敌手不能产生合法的消息(r,C)，其中r≡g^k mod p， 而阅读器能通过验证的正确性认证标签。此外，由于敌手不知道标签的身份信息和阅读器的私钥s_R，其中s₁≡s_Re₁+tmodq。而与阅读器相连接的数据库中保存了标签的身份信息和公钥，所以标签可以通过验证等式认证阅读器。

Claims (1)

1.匿名的不可追踪的RFID相互认证方法，其特征在于，包括以下步骤：

1)发行机构预处理步骤：

发行机构选择p、q两个大素数，q是p-1的大素数因子；

发行机构生成阅读器的公私钥对(p_R,s_R)，标签的公私钥对

发行机构生成两个哈希函数H₁与H₂，{0,1}^*表示0、1串，表示大素数p的整数模的乘法群，表示大素数q的整数模的乘法群；

发行机构选择一个q阶生成元g，满足g^q≡1mod p，≡为同余，g≠1mod p，mod为取模；

发行机构为标签T_j预计算数据集 数据集中各元素 0≤i≤l_q-1；l_q表示大素数q的二进制比特长度；

发行机构将各标签的公私钥对、标签标识符以及阅读器的公钥和预计算数据集ψ，ζ，π和ρ存储在对应的标签T_j内；将所有标签标识符以及对应的标签的公钥保存在与阅读器相连的后台数据库里；

2)相互认证步骤：

2-1)阅读器选择随机数生成挑战信息z，z≡g^tmod p；

2-2)标签T_j接收到挑战信息z后，选择随机数利用时间-存储折中法，根据原存储的数据集ψ和ζ计算中间数r≡g^kmod p，对称加密密钥K≡p_R ^kmod p，将中间数r与挑战信息z输入哈希函数H₁中，得到哈希函数值e＝H₁(r,z)，再用标签私钥得到签名数据然后利用对称加密密钥K对标签标识符中间数r、签名数据s、挑战信息z组成的数据加密得到对称加密密文C，||表示数据直接连接，返回响应数据(r,C)给阅读器；

2-3)阅读器收到响应数据(r,C)后，首先提取中间数据r利用阅读器私钥s_R计算密钥然后利用密钥K′解密C得到解密数据将解密得到的挑战信息z′与生成作为挑战信息z进行比较，或者将解密得到的中间数据r′与生成的中间数据r进行比较，若z′≠z，或r′≠r，则退出；

否则阅读器从后台数据库查找是否存在标签标识符若否，则视为非法标签；若是，找到对应公钥数据项将解密得到的中间数r′与挑战信息z′输入哈希函数H₁中，得到哈希函数值e′＝H₁(r′,z′)，然后利用解密得到的签名数据s′与哈希函数值e′验证是否成立，若否，则视为非法标签，若是，则为合法的标签，阅读器再利用解密得到的标签标识符中间数r′、挑战信息z′以及对称加密密文C输入哈希函数H₂中得到哈希函数值利用阅读器私钥得到签名数据s₁≡s_Re₁+t mod q，最后把签名数据s₁返回给标签T_j；

2-4)标签T_j收到签名数据s₁后，将本地保存的标签标识符本地计算得到的中间数r、对称加密密文C以及挑战信息z输入哈希函数H₂得到哈希函数值然后利用预计算数据集π和ρ以及时间-存储折中法验证是否成立，若是，则为合法阅读器，若否，则为非法阅读器。