CN104702604B

CN104702604B - 基于简单逻辑加密和时间戳的双向认证方法

Info

Publication number: CN104702604B
Application number: CN201510103121.3A
Authority: CN
Inventors: 樊凯; 龚圆圆; 常晋云; 李晖
Original assignee: Xidian University
Current assignee: Xidian University
Priority date: 2015-03-09
Filing date: 2015-03-09
Publication date: 2018-03-06
Anticipated expiration: 2035-03-09
Also published as: CN104702604A

Abstract

本发明公开了一种基于简单逻辑加密和时间戳的双向认证方法，主要解决现有的低成本射频识别系统安全性能差的问题。其实现步骤为：1.射频识别网络的阅读器产生一个随机时间戳T_R并发送给标签发起会话请求；2.标签将该T_R和自身存储的时间戳T_t比较，生成移位认证信息值发送给阅读器；3.阅读器将收到的信息值转发给服务器；4.服务器对标签身份进行验证，依据验证结果终止本次会话或通过认证并将返回认证信息值发送给阅读器；5.阅读器将收到的信息值转发给标签；6.标签对后端服务器身份进行验证，确认其是否通过认证。本发明具有安全性高、执行效率高的优点，可用于安全性要求高的低成本射频识别应用场景中。

Description

基于简单逻辑加密和时间戳的双向认证方法

技术领域

本发明属于通信技术领域，特别是一种射频识别双向认证方法,可用于数字信息的传输。

背景技术

射频识别RFID作为一种快速、实时、准确采集与处理信息的高新技术，目前已经被列为21世纪最重要的十大技术之一。由于RFID具有无需接触，可以实现批量和远程读取，使用寿命长以及操作方便快捷等优点，所以目前已经被广泛应用于生产、零售、物流、交通等诸多领域。另外，在可预见的未来中，RFID将会变得更加的便携和高效，其成本也将会进一步的降低，届时，其应用领域也将会变得更加广泛。

但是，由于标签与阅读器之间是通过无线射频信号来进行通信的，这种开放的无线通信环境很容易遭受到各种攻击，因此RFID系统实际上面临着许多安全与隐私问题。倘若系统的安全性无法获得良好的保障，则系统中的个人私密以及商业机密等敏感类信息都非常容易被攻击者所截获并反过来利用，一旦这种情况发生，则势必会对财产安全、军事安全以及国家安全等造成严重的威胁。伴随着近些年RFID技术的快速发展和广泛应用，这类问题已经成为RFID技术的主要发展瓶颈之一。因此，现阶段对RFID安全问题的研究已经成为RFID研究领域的重点和热点。但针对该问题，目前国内外还尚未研究出一个普遍适用的解决方案。

目前保障RFID系统安全的主要技术手段可被划分为两大类：物理技术和密码技术。其中，物理技术主要包括的有“kill”标签，阻塞标签、静电屏蔽、主动干扰、读取访问控制、智能标签和设置伪随机序列口令等。由于这些物理技术大都存在一个共同的问题，即都会使得标签自身的利用率变得低下，成本变高，且安全性也并不是特别理想。因此近年来采用密码技术来解决RFID系统的安全与隐私问题日益受到人们的重视。而所谓密码技术就是借助密码学方法设计一种可靠的安全认证机制，以防止未经授权的阅读器非法读取标签中的隐私数据，同时也防止非法标签冒充合法标签。由于一个安全的RFID系统应该可以有效的抵抗窃听、跟踪、假冒和重放等攻击。这就要求设计者在设计RFID安全认证机制时，首先应该保证系统具备机密性、完整性、可用性、真实性以及隐私性等基本特征。此外，一个比较完善的RFID认证机制还应该满足不可追踪性、前向安全性以及同步性等。

迄今为止，国内外学者已经相继提出了许多种不同的RFID安全认证协议，有些采用的是一些复杂的密码算法，比如Engberg等人所提出的基于密钥共享机制的零知识认证协议，Feldhofer在安全层所设计出的基于AES算法的认证协议，Manfred等人提出的基于对称密码算法的认证协议以及Junichiro等人提出的基于重加密机制的认证协议等。在这些基于密码算法的认证协议中，有些安全问题能够得到很好的解决，但仍存在很多不能够被有效解决的问题，因此协议仍然需要加以改进。同时它们也大都存在一个共同的缺陷，即都采用比较复杂的密码算法和完善的加密机制，比如AES、DES、3DES甚至还包括有公钥加密算法RSA等。因此这些协议对RFID标签的要求太高，都不能很好地避免标签的局限性，所以它们均不利于低成本RFID系统的广泛应用。

为了很好的兼顾低成本标签的局限性，并且考虑到Hash运算具有计算简单快速等诸多优点，所以基于Hash函数的RFID安全认证方案被提出。其中包括有Hash-lock协议、随机Hash-lock协议、Hash-chain协议、基于杂凑的ID变化协议、David的数字图书馆协议、分布式挑战应答认证协议和LCAP协议等。但这些协议都只能抵抗部分攻击，并不能达到抵抗大多数攻击的高的安全级别。如Hash-lock协议不能抵御重放、假冒和跟踪等攻击，安全性很差；随机Hash-lock协议虽然解决了Hash-lock协议中所提到的跟踪问题，但仍然不能有效解决重放、假冒攻击以及拒绝服务攻击；Hash-chain协议与基于散列运算的ID变化协议同样也不能有效抵御假冒和拒绝服务攻击；David的数字图书馆协议和分布式挑战应答协议虽然能够防御假冒和位置跟踪等方面的攻击，但仍无法抵御拒绝服务攻击。因此，如何在满足RFID局限性的前提下，找到达到高安全级别的方法仍需要加强研究。

后来国内外学者还提出了一类主要面向低成本RFID系统的轻量级安全认证方案，它使用一些比较简单的逻辑位运算来代替较为复杂的杂凑运算和其它一些加密运算，从而大大的降低了协议的计算复杂度。这些逻辑位运算包括：与运算AND、或运算OR、非运算NOT、异或运算XOR以及移位运算Rot(x,y)。此类协议中比较具有代表性的协议包括：SASI协议、Gossamer协议以及RAPP协议。虽然此类协议运算简单，执行效率高，但是这些协议安全性能都比较低，没有完全解决在抵御跟踪、防假冒、抗重放、防止安全性攻击方面的不足问题，并且这些简单的运算往往伴随着潜在的安全漏洞。

发明内容

本发明的目的在于针对上述已有技术存在的问题，提出一种基于简单逻辑加密和时间戳的双向认证方法，以抵御位置跟踪、假冒、重放、前向安全性攻击以及不同步这些常见性攻击，提高抗拒绝服务攻击能力，满足低成本RFID系统的安全性需求。

实现本发明目的的技术思路是：在RFID系统模型中的标签与阅读器和后端服务器之间采用一种典型的询问应答机制进行通信，标签中包含有一个随机数生成模块，一个移位寄存器模块和一个随机时间戳生成模块，以供标签与阅读器和后端服务器进行认证。其实现步骤包括如下：

(1)阅读器产生一个随机时间戳T_R，并将其作为认证请求信息发送给标签；

(2)标签收到随机时间戳T_R后，判断阅读器发送过来的随机时间戳T_R是否大于标签中所存储的时间戳T_t：如果是，则标签判断阅读器合法，且生成一个随机数R_t，并根据标签的身份标识ID、标签的密钥K和收到随机时间戳T_R计算出移位认证信息值：M₁＝Rot(Rot(ID⊕K⊕R_t⊕T_R,ID+R_t),K⊕R_t)，并将标签记录的索引号IDS，移位认证信息值M₁和随机数R_t一起发送给阅读器；反之，标签认为阅读器是非法的，立即终止认证；

(3)阅读器收到标签发送的信息后，立即将标签记录的索引号IDS，移位认证信息值M₁、随机数R_t和随机时间戳T_R一起转发给后端服务器；

(4)后端服务器收到阅读器发送的信息值后，根据收到的标签记录索引号IDS对其数据库中的全部标签记录进行遍历查询，查找到记录号等于当前认证标签记录索引号IDS的标签记录，再利用所查找到的标签记录所对应的旧索引号IDS_old或者新索引号IDS_new，计算出后端服务器中的移位认证信息值M′₁，判断该移位认证信息值M′₁与标签中的移位认证信息值M₁是否相等，若相等，则认为标签合法，认证通过，执行步骤(5)；反之，认为标签不合法，终止认证；

(5)后端服务器根据从标签记录中查找到的标签身份标识ID、密钥K和自身的子密钥索引号i_sub，以及收到的随机数R_t、随机时间戳T_R，计算得到返回认证信息值M₂＝Rot(Rot(ID⊕R_t⊕T_R,ID⊕R_t),K+R_t)以及移位信息值M₃＝Rot(i_sub⊕K,K⊕R_t⊕T_R)，同时对索引号IDS和密钥K进行更新，并将该M₂和M₃一起发送给阅读器；

(6)阅读器收到后端服务器发送的信息后，再将该返回认证信息值M₂和移位信息值M₃一起发送给标签；

(7)标签收到返回认证信息值M₂和移位信息值M₃后，利用自身存储的数据值计算出标签中的返回认证信息值M′₂，并判断该返回认证信息值M′₂与后端服务器中的返回认证信息值M₂是否相等，若相等，则认为服务器合法，并对标签记录索引号IDS、标签密钥K以及时间戳T_t进行更新，完成标签与后端服务器之间的双向认证。

本发明具有如下优点：

(1)本发明由于在标签与后端服务器之间采用双向认证，保证了通信过程中通信双方身份信息的合法性。

(2)本发明由于标签对于阅读器的每次质询作出的响应都不相同，使得攻击者不能根据标签的输出信息来追踪特定标签，能有效的抵抗跟踪攻击行为。

(3)本发明由于标签与阅读器和后端服务器每次通信数据都不相同，且每次认证消息的产生需要依赖标签的私有信息，使得假冒攻击者不能够构造出正确的消息认证信息值来假冒合法标签来通过后端服务器的身份认证；同理，攻击者也不能够构造出正确的消息认证信息值来假冒合法后端服务器来通过标签的身份认证，有效的抵御了假冒攻击的行为。

(4)本发明由于认证消息是由递增的时间戳和随机数共同计算产生的，保证了每次会话过程中的认证消息与之前的认证消息均无直接关联，使得攻击者不能通过重传之前会话过程中的合法通信数据来通过合法性身份认证，提高了有效抵御重放攻击的能力。

(5)本发明由于在每一轮成功会话后，标签和后端服务器都要进行相应的密值更新，并且在每次更新时所使用的时间戳和随机数都是不同的，使得攻击者不能根据标签中的数据信息追溯到该标签之前会话中的通信情况；此外，由于该协议在密钥更新过程中应用了子密钥和子索引号的思想，每次密钥更新时都随机的对密钥的某一部分进行更新，使得整个密钥更新过程具有很强的随机特性，增加攻击者关联前后认证会话的难度，提高了前向安全性。

(6)本发明由于后端服务器中会保存标签在上一次成功会话中所使用的密值信息，使得标签无论是否接收到上一轮认证会话的最后一条消息，都能够在下一次认证时通过后端服务器的认证重新获得同步，提高了有效防止不同步攻击能力。

(7)本发明由于每次认证开始时标签首先会判断阅读器发送过来的随机时间戳是否大于标签中所存储的时间戳，只有当大于时标签才会去执行后续的认证操作，有效的防止了攻击者通过不断发起认证请求来消耗标签资源，导致的标签无法对合法阅读器给予响应的拒绝服务攻击，降低了标签的运算量，提高了抵抗拒绝服务攻击的能力。

(8)本发明由于使用了简单高效的逻辑位运算，消息认证信息值计算速度非常快，提高了认证效率。

附图说明

图1为现有射频识别系统的模型图；

图2为本发明的实现流程图。

以下结合附图对本发明的具体实施方式做详细描述：

具体实施方式

参照图1，本发明使用的射频识别RFID系统，主要由标签、阅读器和服务器组成。其中：

标签：主要由耦合元件和芯片组成，每个标签都具有一个唯一的电子编码，被附着在物体表面以识别目标物体该标签是RFID系统中真正的数据载体，其通过无线射频信号与阅读器进行通信。

阅读器：是读取或者写入标签信息的设备，通过有线通信网络与服务器进行数据通信，以完成对标签中数据的各项操作。

后端服务器：主要用来对标签进行读写控制，其数据库存储射频识别系统中全部标签的相关记录信息。

本发明为标签与服务器的认证方法，只有双方通过安全认证，方可进行相关数据通信。

初始条件：

标签中包含有一个随机数生成模块和一个移位寄存器模块，并保存有记录信息(IDS,ID,K,T_t)，其中IDS为标签记录的索引号，ID为标签的身份标识，K为标签的私有密钥，T_t为阅读器在上轮成功会话过程中所产生的随机时间戳。

阅读器中包含有一个随机时间戳生成模块。

在服务器的数据库中，包含有全部合法标签所对应的记录信息(ID,(IDS_old,K_old),(IDS_new,K_new))和一个移位寄存器模块，其中ID为标签的身份标识，IDS_old为上一轮成功会话过程中标签记录的索引号，K_old为上一轮成功认证过程中标签的密钥，IDS_new为当前会话过程中标签记录的索引号，K_new为当前会话过程中标签的密钥。

本发明提出的双向认证方法充分考虑到低成本标签计算及存储资源的局限性，在尽量降低标签成本的前提下，为系统提供了更高级别的安全性。

参照图2，本发明的实施步骤如下：

步骤1，阅读器中的随机时间戳生成模块产生一个随机时间戳T_R，并将其作为认证请求信息，通过无线射频信号发送给标签。

步骤2，标签对阅读器认证请求进行处理：

2a)标签收到认证请求后，判断收到的随机时间戳T_R是否大于其所存储的时间戳T_t：若不是，则认证立即结束；反之，标签的随机数生成模块产生随机数R_t，并根据收到的随机时间戳T_R、标签自身的身份标识ID和密钥K计算出移位认证信息值：M₁＝Rot(Rot(ID⊕K⊕R_t⊕T_R,ID+R_t),K⊕R_t)；

2b)标签将自身记录的索引号IDS，移位认证信息值M₁和随机数R_t一起通过无线射频信号发送给阅读器。

步骤3，阅读器收到标签发送的信息后，立即将标签记录的索引号IDS，移位认证信息值M₁、随机数R_t和随机时间戳T_R一起通过有线通信网络发送给后端服务器。

步骤4，后端服务器对标签进行认证并对其数据库中的数据进行更新。

4a)后端服务器收到阅读器发送的信息值后，根据收到的索引号IDS对其数据库中的全部标签记录进行遍历查询，以查找记录号等于当前认证标签记录索引号IDS的标签记录，若找不到，则认证立即终止；反之，后端服务器利用所查找到的标签记录所对应的旧索引号IDS_old或者新索引号IDS_new，计算出后端服务器中的移位认证信息值M′₁，判断该M′₁与标签中的移位认证信息值M₁是否相等，若相等，则认为标签合法，认证通过，执行步骤(4b)；反之，认为标签不合法，终止认证；

4b)后端服务器根据从标签记录中查找到的标签身份标识ID、密钥K和自身的子密钥索引号i_sub，以及收到的随机数R_t、随机时间戳T_R，分别计算出返回认证信息值M₂和移位信息值M₃，其中M₂＝Rot(Rot(ID⊕R_t⊕T_R,ID⊕R_t),K+R_t)，M₃＝Rot(i_sub⊕K,K⊕R_t⊕T_R)，对索引号IDS和密钥K进行更新，执行步骤(4c)，并把该M₂和M₃一起通过有线通信网络发送给阅读器；

4c)后端服务器对索引号IDS和密钥K进行更新：

4c1)后端服务器利用子密钥索引号i_sub所指向的子密钥K(i_sub)、从标签收到的随机数R_t、随机时间戳T_R，计算得到新子密钥subkey＝Rot(K(i_sub),K⊕R_t⊕T_R)，其中子密钥K(i_sub)是密钥K的一部分比特段，密钥K包含新密钥K_new和旧密钥K_old；

4c2)后端服务器将查找到的标签记录索引号IDS分别与旧索引号IDS_old和新索引号IDS_new作比较：

如果IDS＝IDS_old，则只需对新索引号IDS_new和新密钥K_new进行更新，执行步骤(4c3)，旧索引号IDS_old和旧密钥K_old保持不变；

如果IDS＝IDS_new，则对旧索引号IDS_old、旧密钥K_old、新索引号IDS_new以及新密钥K_new进行更新，执行步骤(4c4)；

4c3)按照公式IDS_new←Rot(IDS⊕R_t,K⊕R_t⊕T_R)对新索引号IDS_new进行更新；用新子密钥subkey替换子密钥K(i_sub)，以实现对新密钥K_new的更新，其中“←”为替换操作符，表示将操作符左边的值替换为操作符右边的值；

4c4)按照公式IDS_old←IDS_new对旧索引号IDS_old进行更新；按照公式K_old←K_new对旧密钥K_old进行更新；按照公式IDS_new←Rot(IDS⊕R_t,K⊕R_t⊕T_R)对新索引号IDS_new进行更新；用新子密钥subkey替换子密钥K(i_sub)，以实现对新密钥K_new的更新。

步骤5，阅读器收到后端服务器发送的信息后，再将该返回认证信息值M₂和移位信息值M₃通过无线射频信号一起发送给标签。

步骤6，标签对服务器进行认证并对其自身数据进行更新。

6a)标签收到返回认证信息值M₂和移位信息值M₃后，利用自身存储的数据值计算出标签中的返回认证信息值M'₂，并判断该M'₂与后端服务器中的返回认证信息值M₂是否相等，若相等，则通过对后端服务器的认证，执行步骤(6b)；

6b)标签对标签记录索引号IDS、标签密钥K以及时间戳T_t进行更新：

6b1)标签依据从后端服务器发送来的移位信息值M₃得到子密钥索引号i_sub，根据该i_sub得到其所指向的子密钥K(i_sub)，结合随机时间戳T_R和自身产生的随机数R_t，计算得到标签中的新子密钥subkey＝Rot(K(i_sub),K⊕R_t⊕T_R)；

6b2)标签利用该新子密钥subkey替换子密钥K(i_sub)，以实现对标签密钥K的更新，并按照公式IDS←Rot(IDS⊕R_t,K⊕R_t⊕T_R)对标签记录索引号IDS进行更新，按照公式T_t←T_R对标签中存储的时间戳T_t分别进行更新。

符号说明：

Rot(x,y)：表示简单逻辑移位运算，Rot(x,y)＝x<<wh(y)，其中wh(y)是y的汉明重量；

+：用于对操作符左右两边的比特串进行与操作；

T_R：通信过程中由随机时间戳生成器产生的随机时间戳；

R_t：通信过程中由随机数生成器产生的随机数；

←：表示替换操作符，用于将替换操作符左边的值替换为替换操作符右边的值；

⊕：表示异或操作符，用于对异或操作符左右两边的比特串进行异或操作。

以上仅是对本发明的一个具体事例，不构成对本发明的任何限制，凡是在本发明精神和原则之内，所做的任何修改、同等替换、改进等，均应包含在本发明的保护之中。

Claims

1.一种基于简单逻辑加密和时间戳的双向认证方法，是在射频识别RFID系统中进行的，该系统由标签、阅读器和后端服务器组成，其认证步骤包括如下：

(2)标签收到随机时间戳T_R后，判断阅读器发送过来的随机时间戳T_R是否大于标签中所存储的时间戳T_t：如果是，则标签判断阅读器合法，且生成一个随机数R_t，并根据标签的身份标识ID、标签的密钥K和收到随机时间戳T_R计算出移位认证信息值：并将标签记录的索引号IDS，移位认证信息值M₁和随机数R_t一起发送给阅读器；反之，标签认为阅读器是非法的，立即终止认证，其中Rot表示移位运算；

(4)后端服务器收到阅读器发送的信息值后，根据收到的标签记录索引号IDS对其数据库中的全部标签记录进行遍历查询，查找到记录号等于当前认证标签记录索引号IDS的标签记录，再利用所查找到的标签记录所对应的旧索引号IDS_old或者新索引号IDS_new，计算出后端服务器中的移位认证信息值M₁'，判断该移位认证信息值M₁'与标签中的移位认证信息值M₁是否相等，若相等，则认为标签合法，认证通过，执行步骤(5)；反之，认为标签不合法，终止认证；

(5)后端服务器根据从标签记录中查找到的标签身份标识ID、密钥K和自身的子密钥索引号i_sub，以及收到的随机数R_t、随机时间戳T_R，计算得到返回认证信息值以及移位信息值同时对索引号IDS和密钥K进行如下更新，并将该M₂和M₃一起发送给阅读器：

(5.1)后端服务器利用子密钥索引号i_sub所指向的子密钥K(i_sub)、从标签收到的随机数R_t、阅读器产生的随机时间戳T_R，计算得到新子密钥其中子密钥K(i_sub)是密钥K的一部分比特段，密钥K包含新密钥K_new和旧密钥K_old；

(5.2)后端服务器将查找到的标签记录索引号IDS分别与旧索引号IDS_old和新索引号IDS_new作比较：

如果IDS＝IDS_old，则只需对新索引号IDS_new和新密钥K_new进行更新，执行步骤(5.3)，旧索引号IDS_old和旧密钥K_old保持不变；

如果IDS＝IDS_new，则对旧索引号IDS_old、旧密钥K_old、新索引号IDS_new以及新密钥K_new进行更新，执行步骤(5.4)；

(5.3)按照公式对新索引号IDS_new进行更新；用新子密钥subkey替换子密钥K(i_sub)，以实现对新密钥K_new的更新，其中“←”为替换操作符，表示将操作符左边的值替换为操作符右边的值；

(5.4)按照公式IDS_old←IDS_new对旧索引号IDS_old进行更新；按照公式K_old←K_new对旧密钥K_old进行更新；按照公式对新索引号IDS_new进行更新；用新子密钥subkey替换子密钥K(i_sub)，以实现对新密钥K_new的更新；

(7)标签收到返回认证信息值M₂和移位信息值M₃后，利用自身存储的数据值计算出标签中的返回认证信息值M'₂，并判断该返回认证信息值M'₂与后端服务器中的返回认证信息值M₂是否相等，若相等，则认为服务器合法，并对标签记录索引号IDS、标签密钥K以及时间戳T_t进行如下更新，完成标签与后端服务器之间的双向认证：

(7.1)标签依据从后端服务器发送来的移位信息值M₃得到子密钥索引号i_sub，根据该i_sub得到其所指向的子密钥K(i_sub)，结合随机时间戳T_R和自身产生的随机数R_t，计算得到标签中的新子密钥

(7.2)标签利用该新子密钥subkey替换子密钥K(i_sub)，以实现对标签密钥K的更新，并按照公式对标签记录索引号IDS进行更新，按照公式T_t←T_R对标签中存储的时间戳T_t分别进行更新。

2.根据权利要求1所述的基于简单逻辑加密和时间戳的双向认证方法，其特征在于：所述步骤(1)中标签，包含一个伪随机数生成器和一个移位寄存器，并保存有记录信息(IDS,ID,K,T_t)，其中，IDS为标签记录的索引号，ID为标签的身份标识，K为标签的私有密钥，T_t是阅读器在上轮成功会话过程中所产生的随机时间戳。

3.根据权利要求1所述的基于简单逻辑加密和时间戳的双向认证方法，其特征在于：所述步骤(1)中的阅读器，含有一个伪随机数生成器。

4.根据权利要求1所述的基于简单逻辑加密和时间戳的双向认证方法，其特征在于：所述步骤(3)中后端服务器，在其数据库内保存有全部合法标签所对应的记录信息(ID,(IDS_old,K_old),(IDS_new,K_new))以及一个与标签中相同的移位寄存器，其中ID为标签的身份标识，IDS_old为上一轮成功会话过程中标签记录的索引号，K_old为上一轮成功认证过程中标签的密钥，IDS_new为当前会话过程中标签记录的索引号，K_new为当前会话过程中标签的密钥。