CN106027237A - 一种rfid系统中基于组的密钥矩阵安全认证方法 - Google Patents

Abstract

本发明涉及一种在RFID系统中基于组的密钥矩阵安全认证方法，该方法首先利用密钥矩阵，构建生成认证密钥的方法，使每对标签和阅读器都拥有不同的认证密钥，利用生成矩阵的规律性，有效缩减了存储空间的消耗；设计新型的安全认证过程，并添加了标识符更新阶段，进一步解决标签和阅读器通信时的双向认证问题，增强了系统安全性，最后通过GNY逻辑形式化分析安全认证方法的正确性。本方法相比于已有方案，在抵御内部和外部攻击方面，具有更好的安全性，并且具有较低的内存消耗，可接受的通信和计算负载，适用于存在大规模标签的射频识别场景。

Description

一种RFID系统中基于组的密钥矩阵安全认证方法

技术领域

本发明属于射频识别RFID通信领域，涉及一种应用于RFID系统中的安全认证方法，具体涉及一种RFID系统中基于组的密钥矩阵认证方法，适用于大规模的RFID环境，可为系统提供更为安全的保护机制。

背景技术

射频识别(Radio Frequency Identification，RFID)系统是一种非接触式的自动识别系统，可为阅读器和标签之间提供自由的通信链路。近年来，由于RFID系统广泛应用于各类领域，以及使用开放式的通信环境，使其安全及隐私问题受到了更多的关注，必须确保通信数据的安全传输，并解决各实体之间的身份认证问题。在电子标签计算速度、通信能力和存储空间非常有限的情况下，如何设计更为安全高效且开销较小的信息安全认证机制，提供更强的安全性和隐私性保护，是RFID技术研究的重要课题。

为了有效地解决安全问题，许多认证协议已被提出，但绝大多数只关注于对非法外部攻击的处理，而忽视内部合法节点的攻击问题。Hash链协议使用两种不同的Hash函数来确认实体身份，增强了安全性；HIDVP协议通过使用会话编号和自适应变量值来防止监听和重放攻击；Moessner等人通过加强随机密钥的加密方式来提高安全等级；Zhou等人提出了一种轻量级去同步的隐私保留认证协议，有利于降低系统成本。以上文献都没有考虑内部攻击的问题。Karthikeyan等人提出了一种基于简单异或操作和矩阵操作的认证方法，但该方法不能抵御外部攻击，且不支持多个阅读器的安全认证；Yang等人提出了使用Hash函数和异或操作解决欺骗和匿名攻击的方法，但不能提供隐私保护；Chien等人为低成本标签提供了双向认证方案，但需要阅读器与标签保持时间同步，否则将不能抵御DoS攻击；Kolias等人对Chien的方案进行了改进，增强了阅读器与标签通信的安全性，并解决了DoS攻击；Ding等人提出了一种使用密钥矩阵来共享密钥的认证方法，用以解决内部攻击的问题，但没有验证其正确性；KAAP协议扩展了Ding的研究成果，进行了安全和形式化分析，并验证了其正确性，但不能解决阅读器与标签同组时的内部攻击问题，且没有涉及更新操作，因而其安全性有待提高。

发明内容

要解决的技术问题

为了避免现有技术的不足之处，本发明提出一种RFID系统中基于组的密钥矩阵安全认证方法,构造一种基于组的密钥矩阵安全认证方法(Group based Key ArrayAuthentication Protocol，GKAAP)，该方法适用于大规模的RFID应用场景，既可以解决各类外部攻击问题，又可以解决内部合法节点之间的攻击问题，其中包括同组内不同阅读器与标签之间的安全通信问题，具有安全性高和资源消耗少等特点。

技术方案

一种RFID系统中基于组的密钥矩阵安全认证方法，其特征在于步骤如下：

步骤1：利用标签和阅读器生成的矩阵，设计认证密钥：

1、生成认证密钥的过程如下：

设有m个标签表示为T_i,i∈1,2…m，n个阅读器表示为R_j,j∈1,2…n，随机产生序列{a₁,a₂,…,a_m}，生成尺寸为m×n的标签矩阵随机产生序列{g₁,g₂,…,g_n}，生成尺寸为n×n的阅读器矩阵 由A和G生成尺寸为m×n的密钥矩阵 其中k_ij对应的是标签T_i与阅读器R_j的认证密钥，若某对标签和阅读器不允许通信，则此时D中对应位置上的密钥为null；将D存储于服务器的数据库DB中，用于在通信前验证由标签和阅读器计算出的认证密钥的正确性；

矩阵A的第i行对应标签T_i，T_i只记忆a_i，根据矩阵内部各项的生成规律，即还原第i行；矩阵G的第j列对应阅读器R_j，R_j只记忆g_i，根据矩阵内部各项的生成规律，即还原第j列；公式1用于标签T_i与阅读器R_j生成认证密钥：

k_ij＝1+a_ig_j+(a_ig_j)²+…+(a_ig_j)^n-1 (1)

标签和阅读器分别被分成多个组适用于不同的应用场景，不同标签组与阅读器组生成不同的认证密钥矩阵，存储于DB中。

2、随机生成标签与阅读器共享的全局密钥k_u，用于抵御外部攻击；

步骤2：采用循环冗余校验函数来计算伪随机标识符：preID＝CRC(ID)，用伪随机标识符替代标签和阅读器的ID，防止重放攻击和位置跟踪，利用认证密钥，安全认证阶段的信息交互流程如下：

a)阅读器向标签发出认证请求Q_ij，所有请求的内容使用共享的全局密钥k_u加密；

所述请求的内容：此时生成的阅读器随机数、伪随机标识符、阅读器所属组号及生成矩阵对应列g_i；

b)标签收到认证请求Q_ij后，在其访问列表中查找是否包含此阅读器所属组的ID，若有，则此阅读器具有访问该标签的权限，标签利用生成矩阵对应行a_i及从Q_ij中解密得到的g_i，利用公式(1)，计算认证密钥k_ij，用其加密自身和阅读器的随机数，连同标签伪随机标识符和所属组号，作为响应R_ij发送给阅读器；否则，标签将忽略认证请求；

c)阅读器收到响应R_ij后，将解密得到的标签伪随机标识符和所属组号发送给数据库DB，验证标签身份；若标签信息与DB中存储内容相符，则验证成功，DB向阅读器发送认证密钥k_ij，利用认证密钥，阅读器可从响应R_ij中解密出自己的随机数，若与发送时的原值一致，则标签通过阅读器认证；否则，认证失败；

d)阅读器将标签的随机数取反后，再次用认证密钥k_ij加密后发送给标签，标签解密出自己的随机数后，若与发送时的原值一致，则阅读器通过标签认证；否则，认证失败；

所述伪随机标识符的更新过程：

标签T_i与阅读器R_j的新preID生成公式分别如下：

${\mathrm{preID}}_{T_i\left(new\right)}=PRNG\left({\mathrm{preID}}_{T_i}\right)---\left(2\right)$

${\mathrm{preID}}_{R_j\left(new\right)}=PRNG\left({\mathrm{preID}}_{R_j}\right)---\left(3\right)$

其中，PRNG()为单向随机数发生器；

a)数据库DB利用公式(2)、(3)为标签和阅读器计算新的preID，采用k_ij加密后发送给对应的阅读器，阅读器将其中属于自身的新preID与自己利用公式(3)计算出的新preID对比，若一致，则DB信息认证成功，记录其通信范围内标签的新preID，并对自身的preID进行更新；

b)阅读器将标签的新preID连同标签的随机数用认证密钥k_ij加密后发送给相应的标签，标签解密后与自己用公式(2)计算出的preID数值及随机数原值进行对比，若一致，则完成与阅读器的认证，并更新自身的preID。

有益效果

本发明提出的一种RFID系统中基于组的密钥矩阵安全认证方法,克服上述现有方法的缺点，提出一种适用于RFID系统的基于组的密钥矩阵安全认证方法。为了解决内部攻击问题，利用密钥矩阵，设计一种认证密钥的生成方法；在此基础上，设计合理的认证处理过程，以解决内部和外部攻击问题；为了进一步增强方法的机密性和新鲜性，建立阅读器与标签的伪随机标识符更新机制；利用GNY逻辑对所提方法进行形式化分析，以验证其正确性；最后通过安全及性能分析，比较本方法与已有方法在解决各类安全问题，及内存消耗、计算和通信负载等方面的优势。本方法适用于大规模标签的RFID应用场景，将对信息传输的安全技术起到推动作用。

本发明的效果如下：

(1)提出一种通过密钥矩阵为对应标签和阅读器生成认证密钥的方法，解决同组中存在的内部攻击问题，由于标签和阅读器生成矩阵的规律性，只需记忆较小序列即可完成认证密钥的生成，有效的减少存储空间的消耗。

(2)设计新型的安全认证过程，数据库参与身份认证，并验证认证密钥的正确性，利用伪随机标识符和随机数，阅读器与标签完成了双向身份认证，解决了关于内部和外部多种类型的攻击问题。为了进一步增强安全性，加入了标识符更新环节，安全性分析表明，相比于已有协议，本方法具有更好的安全性，可抵御重放、跟踪、仿冒、DoS等多种攻击，还可以抵御组内或组间的内部攻击。

(3)采用GNY逻辑形式化分析安全认证方法，验证其正确性，在理想传输模型的基础上，可达到预期安全目标。性能分析表明，本方法在减少存储空间消耗方面优于已有协议，且通信和计算负载适中。

附图说明

图1：基于组的密钥矩阵安全认证方法的认证过程图；

图2：加入伪随机标识符更新的认证过程图；

图3：GNY逻辑的符号表示；

图4：本方法与相关方法的安全性能比较；

图5：本方法与相关方法的性能比较；

具体实施方式

现结合实施例、附图对本发明作进一步描述：

1、基于组的认证密钥的生成

标签和阅读器分别被分为S组和T组适用于不同的应用场景，假设标签T_i属于第s组，表示为A_s,s∈1,2…S，阅读器R_j属于第t组，表示为G_t,t∈1,2…T。阅读器组与标签组具有独立的访问权限，并在DB中存储了不同的密钥矩阵D_st，如果某一阅读器组不具备读取某一标签组的权限，则在DB中不存在对应的密钥矩阵，因而不能实施安全认证。

同组内不同的标签与同组内不同的阅读器通信时使用不同的认证密钥，可有效解决同组中的内部攻击问题；认证密钥由标签和阅读器共同计算，可有效防止由于节点被俘，而造成的机密信息泄露问题。

2、构造基于组的密钥矩阵认证过程

图1为基于组的密钥矩阵安全认证方法的认证过程图，以标签T_i和阅读器R_j为例，说明认证信息的交互过程：

1)阅读器R_j生成一个随机数连接G_t和g_j，并用共享密钥k_u加密后，由R_j向T_i发送认证请求数据包：

2)标签T_i收到认证请求后，用共享密钥解密，并进行如下操作：

(a)首先认证R_j所属的组G_t是否在T_i的允许访问列表中，若存在，则T_i使用a_i和g_j利用公式(1)计算认证密钥k_ij，否则将停止认证过程。

(b)T_i生成随机数链接采用k_ij加密，并连接和A_s，采用k_u加密后，向R_j发送响应数据包：

3)R_j接收到响应后，将解密后的和A_s发送给DB，以验证T_i身份。

4)DB收到阅读器信息后，首先在数据库中查看是否由A_s中合法标签产生，若正确，DB将从密钥矩阵D_st中找到对应k_ij发送给R_j。R_j收到k_ij后，即可解密对比接收到的与原有值是否相等，若相等，则T_i通过R_j的认证，否则发送错误码停止认证过程。

5)为了防止重放攻击，R_j随后将取反后，用k_ij加密，发送给T_i。T_i收到信息后进行解密，对比收到的与原有值是否相等，若相等，则R_j通过T_i的认证，双向认证完成。

3、伪随机标识符的更新阶段

新preID的传输及认证过程如图2所示，步骤如下：

1)DB通过PRNG函数为标签和阅读器计算新的preID，并连接k_ij，发送信息给R_j。R_j将比较若等式成立，则R_j更新其标识符。

2)R_j使用k_ij加密并发送给T_i，T_i解密后，比较 是否成立，如等式成立，则T_i更新其标识符。

不更换preID，将会带来重放、跟踪及仿冒攻击，因此在每次认证完成后，都必须为每个标签和阅读器更新preID。数据库必须同时记录新旧preID，防止由于更新不及时，而造成认证不通过从而导致的DoS攻击，若更新发生问题，则可以使用旧preID来完成认证。

4、用GNY逻辑进行形式化分析，验证认证过程的正确性。

1)初始化假设

根据图3所示的符号表示，T_i、R_j及DB的假设分别为：

$T_i:r_{T_i}\∈T_i,{\mathrm{preID}}_{T_i}\∈T_i,A_s\∈T_i,T_i|\≡\#{\mathrm{preID}}_{R_j}$

k_u∈T_i，T_i|≡＃k_u，k_ij∈T_i，T_i|≡＃k_ij

$R_j:r_{R_j}\∈R_j,{\mathrm{preID}}_{R_j}\∈R_j,G_t\∈R_j,g_j\∈R_j$

$R_j|\≡\#{\mathrm{preID}}_{T_i}$

2)T_i、R_j及DB之间认证信息传输的理想模型：

3)T_i、R_j及DB的安全目标表示如下：

4)在理想模型中，使用初始化假设和GNY逻辑定理验证安全目标的正确性。

(a)验证

由于应用定理T1：可得由假设k_u∈T_i，应用定理T3：可得根据定理P1：可得应用定理P3：(X∈P)/(H(X)∈P)和定理R6：可得因此T_i有权利相信是可识别的。由假设T_i|≡#k_u，和定理F1：(P|≡(X))/(P|≡＃(X,Y),P|≡#F(X))，可得应用定理I1：得因此T_i相信R_j传输过

(b)验证

由假设k_u∈T_i，应用定理F2： 可得由此证明T_i相信是新鲜的。

(c)验证

由假设及DB与阅读器之间可信任R_j|≡DB，应用定理J1：可得以此证明R_j相信在DB和T_i通信过程中使用密钥k_ij是合理的。

5、安全认证方法的安全及性能分析

1)安全分析

本方法对与RFID系统相关的攻击具有较强的抵御能力，安全分析如下：

a)仿冒攻击的抵御

仿冒攻击是攻击者伪装成合法的阅读器或标签来获取其他实体的有用信息的一种攻击形式，本方法解决此类攻击问题的方法如下：

假冒T_i：攻击者没有正确的a_i和不能计算出正确的认证密钥k_ij，因而不能通过DB的认证。假冒R_j：攻击者没有T_i允许列表中适当的G_t，因而不能通过T_i的认证；由于没有传输正确的g_j，T_i不能计算出正确的认证密钥k_ij，因而也不能通过DB的认证。

b)重放攻击的抵御

重放攻击是攻击者利用以前截获的合法请求或响应数据包，冒充阅读器或标签完成认证的一种攻击形式。可以通过在每次认证过程中，加入不同随机数的方法来解决，通过比较接收到的随机数和原有值是否相等，来判断认证是否可通过。

3)跟踪攻击的抵御

大量恶意阅读器被安放在固定位置，向标签发出相同的请求，若标签在通信过程中保持响应不变，攻击者则可跟踪标签所经路径。改变标签响应，解决该类问题的方法如下：a)在不同时刻产生不同的随机数；b)标签ID通过随机数发生器产生preID，并在每次认证完成后，进行更新。

4)DoS攻击的抵御

由于路径阻塞，preID更新信息不能及时传递给阅读器或标签，造成认证不成功，引发DoS攻击，导致系统不能进行正常通信。可以通过DB同时存储新、旧标识符来解决此类攻击问题，此时当更新消息传输不成功时，节点依然可以使用旧标识符完成认证工作。

5)内部攻击的抵御

已有方法中每组标签和阅读器拥有不同的认证密钥，可以有效解决组间的内部攻击问题，而本方法利用密钥矩阵，为同组内的不同标签和阅读器通信时，分别提供不同的认证密钥，因而本方法不仅可以很好地解决组间的内部攻击问题，还可以有效解决组内的内部攻击问题。

6)双向认证

本方法可以完成阅读器与标签的双向认证，其中和在过程的1、5阶段由标签认证，而和k_ij在过程的3、4阶段，通过DB的帮助由阅读器认证。

图4总结比较了本方法与相关方法的安全性能，从图中可以看出，本方法比已有方法具有更高的安全性能，可以有效地解决内部和外部的攻击问题。

2)性能分析

为了简化分析，将忽略密钥长度和随机数长度等变量。在本方法中，标签访问列表中存储了所有可允许访问的阅读器组号，其数目为T；标签不存储认证密钥，只存储对应每个阅读器组的a_i，数目为T；标签还需存储自身标识符，长度假设为L，此时标签的内存消耗为2T+L，KAAP协议的访问列表长度也定义为L，其中T值小于L。本方法的通信和计算负载与KAAP协议类似，但是由于标识符的更新传输负载增加L。阅读器与数据库直接相连，传输附加数据的能力较强，增加更新阶段后，标签和阅读器都需进行PRNG操作以更新preID，因而计算负载为2(R+E)。由于KAAP协议与方法最相关，因而比较两者的性能。图5给出了两方法性能比较的结果，从图中可以看出本方法具有较低的存储消耗，稍微增加的通信和计算负载。由于PRNG操作的消耗较少，所以增加的计算负载是可接受的。综上所述，本方法具有较高安全性的同时，具有合理的消耗，由此可得通过密钥矩阵生成认证密钥的方法，并没有增加标签的消耗。

Claims (1)

1.一种RFID系统中基于组的密钥矩阵安全认证方法，其特征在于步骤如下：

步骤1：利用标签和阅读器生成的矩阵，设计认证密钥：

1、生成认证密钥的过程如下：

设有m个标签表示为T_i,i∈1,2…m，n个阅读器表示为R_j,j∈1,2…n，随机产生序列{a₁,a₂,…,a_m}，生成尺寸为m×n的标签矩阵随机产生序列{g₁,g₂,…,g_n}，生成尺寸为n×n的阅读器矩阵 由A和G生成尺寸为m×n的密钥矩阵 其中k_ij对应的是标签T_i与阅读器R_j的认证密钥，若某对标签和阅读器不允许通信，则此时D中对应位置上的密钥为null；将D存储于服务器的数据库DB中，用于在通信前验证由标签和阅读器计算出的认证密钥的正确性；

矩阵A的第i行对应标签T_i，T_i只记忆a_i，根据矩阵内部各项的生成规律，即还原第i行；矩阵G的第j列对应阅读器R_j，R_j只记忆g_i，根据矩阵内部各项的生成规律，即还原第j列；公式1用于标签T_i与阅读器R_j生成认证密钥：

k_ij＝1+a_ig_j+(a_ig_j)²+…+(a_ig_j)^n-1 (1)

标签和阅读器分别被分成多个组适用于不同的应用场景，不同标签组与阅读器组生成不同的认证密钥矩阵，存储于DB中。

2、随机生成标签与阅读器共享的全局密钥k_u，用于抵御外部攻击；

步骤2：采用循环冗余校验函数来计算伪随机标识符：preID＝CRC(ID)，用伪随机标识符替代标签和阅读器的ID，防止重放攻击和位置跟踪，利用认证密钥，安全认证阶段的信息交互流程如下：

a)阅读器向标签发出认证请求Q_ij，所有请求的内容使用共享的全局密钥k_u加密；

所述请求的内容：此时生成的阅读器随机数、伪随机标识符、阅读器所属组号及生成矩阵对应列g_i；

b)标签收到认证请求Q_ij后，在其访问列表中查找是否包含此阅读器所属组的ID，若有，则此阅读器具有访问该标签的权限，标签利用生成矩阵对应行a_i及从Q_ij中解密得到的g_i，利用公式(1)，计算认证密钥k_ij，用其加密自身和阅读器的随机数，连同标签伪随机标识符和所属组号，作为响应R_ij发送给阅读器；否则，标签将忽略认证请求；

c)阅读器收到响应R_ij后，将解密得到的标签伪随机标识符和所属组号发送给数据库DB，验证标签身份；若标签信息与DB中存储内容相符，则验证成功，DB向阅读器发送认证密钥k_ij，利用认证密钥，阅读器可从响应R_ij中解密出自己的随机数，若与发送时的原值一致，则标签通过阅读器认证；否则，认证失败；

d)阅读器将标签的随机数取反后，再次用认证密钥k_ij加密后发送给标签，标签解密出自己的随机数后，若与发送时的原值一致，则阅读器通过标签认证；否则，认证失败；

所述伪随机标识符的更新过程：

标签T_i与阅读器R_j的新preID生成公式分别如下：

${\mathrm{preID}}_{T_i\left(new\right)}=PRNG\left({\mathrm{preID}}_{T_i}\right)---\left(2\right)$

${\mathrm{preID}}_{R_j\left(new\right)}=PRNG\left({\mathrm{preID}}_{R_j}\right)---\left(3\right)$

其中，PRNG()为单向随机数发生器；

a)数据库DB利用公式2、3为标签和阅读器计算新的preID，采用k_ij加密后发送给对应的阅读器，阅读器将其中属于自身的新preID与自己利用公式3计算出的新preID对比，若一致，则DB信息认证成功，记录其通信范围内标签的新preID，并对自身的preID进行更新；

b)阅读器将标签的新preID连同标签的随机数用认证密钥k_ij加密后发送给相应的标签，标签解密后与自己用公式2计算出的preID数值及随机数原值进行对比，若一致，则完成与阅读器的认证，并更新自身的preID。