CN107046467A - 一种基于读写器、标签和数据库的三方验证方法及系统 - Google Patents
一种基于读写器、标签和数据库的三方验证方法及系统 Download PDFInfo
- Publication number
- CN107046467A CN107046467A CN201710363248.8A CN201710363248A CN107046467A CN 107046467 A CN107046467 A CN 107046467A CN 201710363248 A CN201710363248 A CN 201710363248A CN 107046467 A CN107046467 A CN 107046467A
- Authority
- CN
- China
- Prior art keywords
- party
- information
- checking
- shared key
- identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
- H04L2209/805—Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于读写器、标签和数据库的三方验证方法及系统,采用自组合交叉运算San(X,Y)、异或和单向伪随机函数相结合的算法对协议信息进行加密传输,由于只采用简单位运算和轻量级伪随机函数,所以满足Gen‑2标准;其次增加读写器和标签的预认证过程,完整三方安全认证,避免协议遭受假冒、重放、去同步化等攻击行为,保证三方通信安全;再者充分利用标签、读写器、后端数据库三方共享密钥信息和三方通信信息,依次将共享密钥和通信信息分成左、右两部分值进行加密传输和加密认证,降低读写器和标签成本,并且基于轻量级伪随机函数的算法同样可以降低标签成本。
Description
技术领域
本发明涉及无线射频识别技术领域,尤其涉及一种基于读写器、标签和数据库的三方验证方法及系统。
背景技术
近年来为实现智慧地球的目标,物联网迅速发展。作为物联网发展的排头兵,无线射频识别(RFID,Radio Frequency Identification)技术成为了市场上最关注的技术之一。它利用无线电讯号无需接触的识别目标并读写相关数据,因此广泛应用于身份证件、门禁系统、供应链和车辆收费等领域。
射频识别系统主要分为三个部分:标签、读写器、数据库。传统意义上,读写器与数据库之间通过有线连接,一般视为安全的通信。但随着物联网和无线通信的紧密结合,移动支付,Pos支付等业务的快速发展,移动RFID系统开始受到广泛的关注。在移动RFID系统中,读写器和数据库采用无线的方式进行通信,具有移动性强,便捷等优点。但由于是无线连接,使得在该链路下的通信存在安全隐患,容易受到假冒、重放等攻击,从而导致用户隐私的泄露。因此设计一种安全有效的移动RFID系统双向认证协议方法是很重要的。
2008年,EPC global(全球产品电子代码中心)推行的电子标签标准(简称Gen-2标准),成为了射频识别标签行业的标准。其约定标签内只有2500~5000门电路用于计算。而常用的哈希函数(SHA-1和MD5需要1.5万-2万门电路)协议不适合Gen-2标准,因此国内外学者开始利用伪随机函数及一些简单位运算来设计安全标准的协议。
专利相关研究:
经过现有技术文献的检索发现,中国专利文献号CN201610015940.7,公开日2016-01-12,记载了一种“基于移动RFID系统的安全协议认证方法”该技术主要通过采用动态ID和Hash函数机制的方法实现移动RFID系统安全认证过程。
以及中国专利文献号CN201510222060.2,公开日2015-05-04,记载了一种“一种基于动态共享密钥的移动RFID双向认证方法”此协议用于解决无线射频识别认证方法中面临的动态共享密钥安全更新和遭受攻击后的同步问题以及易遭受的其他安全威胁。
论文相关研究:
2011年,Wu等人在协议中加入了随机数认证更新。在这之后,出现了很多基于随机函数的移动RFID认证协议。这些协议大都效率不高,标签成本增加,虽然保证了一定的安全性,但也存在安全隐患。
2015年,张琪等人提出了基于伪随机函数的移动射频识别认证协议,虽然满足Gen-2的标准,并具有一定的安全性。但是通过本文的研究发现该协议在实现数据库与读写器、标签认证之前,并没有标签和读写器的安全认证,没有完成其所描述的三方完整认证功能,所以存在假冒的安全漏洞。
2013年,Doss等人基于二次剩余定理设计了隐私保护的移动RFID认证协议,该协议面向低成本标签的应用,但该协议后台数据库查询过程仍要执行多次匹配查询,认证效率较低;此外,数据库接收到的消息不具备新鲜性,容易受到重放攻击。
Xiaoqin等人提出基于时间戳和标识位的移动RFID认证协议,该协议可有效抵御多种攻击行为,但该协议的密钥更新过程并非是不可逆的。攻击者能通过窃听与截获,在得到的历史信息中,进行暴力破解识别标签,因此该协议不能保证不可追踪性。
现存移动RFID认证协议普遍存在安全漏洞遭受假冒、重放、去同步化等攻击行为,为了保证三方通信安全亟待提供一种基于读写器、标签和数据库的三方验证方法。
发明内容
本发明实施例提供了一种基于读写器、标签和数据库的三方验证方法及系统,通过增加读写器和标签的预认证过程,完整三方双向安全认证,避免协议遭受假冒、重放、去同步化等攻击行为,保证三方通信安全。
本发明一种基于读写器、标签和数据库的三方验证方法,包括:
第一方储存第一标识符和共享秘钥;
第二方储存第二标识符和所述共享秘钥;
第三方储存所述第一标识符、所述第二标识符、所述共享秘钥;
当第一方开启双重验证功能后,第一方生成第一随机数,并将所述第一随机数发送给第二方;
所述第二方接收所述第一随机数后,根据第一随机数、第二标识符和所述共享秘钥计算第一条件信息、第一验证信息和第一储存信息;
所述第二方储存所述第一储存信息;
所述第二方向所述第一方发送所述第一条件信息、第一验证信息,及第一随机数、第二标识符和所述共享秘钥计算第一条件信息和第一验证信息的等量关系;
所述第一方根据所述第一条件信息,及第一随机数、第二标识符和所述共享秘钥计算第一条件信息和第一验证信息的等量关系来计算第一验证信息;
所述第一方判断计算得到的第一验证信息和从第二方接收的第一验证信息是否相同;
若否,则终止协议;
若是,则所述第一方根据所述第一随机数、所述第一标识符和所述共享秘钥的等量关系计算第二条件信息、第二验证信息和第二储存信息;
所述第一方储存所述第二储存信息;
所述第一方向所述第二方发送所述第二条件信息、所述第二验证信息和所述第一随机数、所述第一标识符和所述共享秘钥计算第二条件信息、第二验证信息的等量关系;
所述第二方根据所述第二条件信息和所述第一随机数、所述第一标识符和所述共享秘钥计算第二条件信息、第二验证信息的等量关系,来计算第二验证信息;
所述第二方判断计算得到第二验证信息和从第一方接收的第二验证信息是否相同;
若否,则终止协议;
若是,所述第二方则向所述第一方发送确认信息;
当第一方接收所述确认信息后,向第三方发送所述第一验证信息、第二验证信息和第一随机数;以及所述第一条件信息、第一验证信息,及第一随机数、第二标识符和所述共享秘钥计算第一条件信息和第一验证信息的等量关系;所述第二条件信息、所述第二验证信息和所述第一随机数、所述第一标识符和所述共享秘钥计算第二条件信息、第二验证信息的等量关系;
所述第三方根据所述第一标识符、第一随机数和共享密钥,以及所述第一随机数、所述第一标识符和所述共享秘钥计算第二验证信息的等量关系,计算第二验证信息;
所述第三方判断计算得到的第二验证信息与从第一方接收的第二验证信息是否相同;
若计算得到的第二验证信息与从第一方接收的第二验证信息不相同,则协议终止;
若计算得到的第二验证信息与从第一方接收的第二验证信息相同,则第三方根据第二标识符、共享密钥和第一随机数以及第一随机数、第二标识符和第一验证信息之间的等量关系计算第一验证信息,接着判断计算得到的第一验证信息与从第一方接收的第一验证信息是否相同;
若不相同,则协议终止;
若相同,则第三方生成第二随机数、第三条件信息、第三验证信息和第四验证信息,以及第二随机数、共享密钥、第一储存信息和第二储存信息计算得到第三条件信息、第三验证信息和第四验证信息的等量关系;
当第一方接收第三条件信息和第三验证信息时,第一方根据共享密钥和第三条件信息,以及第二随机数、共享密钥、第一储存信息和第二储存信息计算得到第三条件信息、第三验证信息和第四验证信息的等量关系,计算第三验证信息;当第一方判断计算得到的第三验证信息与接收的第三验证信息相同时,第三方与第一方的验证成功;
当第二方接收第三条件信息和第四验证信息时,第二方根据共享密钥和第三条件信息,以及第二随机数、共享密钥、第一储存信息和第二储存信息计算得到第三条件信息、第三验证信息和第四验证信息的等量关系,计算第三验证信息;当第二方判断计算得到的第四验证信息与接收的第三验证信息相同时,第三方与第二方的验证成功。
可选的,
所述步骤所述第一方根据所述第一条件信息,及第一随机数、第二标识符和所述共享秘钥计算第一条件信息和第一验证信息的等量关系来计算第一验证信息包括:
所述第一方根据共享密钥和第一条件信息计算第二标识符;
所述第一方根据第二标识符、共享密钥和第一随机数计算第一验证信息;
其中,第一条件信息与第二标识符和共享密钥第一部分和共享密钥第二部分自组合交叉位具有等量关系;
第一验证信息与共享密钥第一部分、第一标识符和第一随机数的伪函数具有等量关系;
第一储存信息与共享密钥第二部分、第一标识符和第一随机数的伪函数具有等量关系。
可选的,
所述步骤所述第二方根据所述第二条件信息和所述第一随机数、所述第一标识符和所述共享秘钥计算第二条件信息、第二验证信息的等量关系,来计算第二验证信息包括:
所述第二方根据共享密钥和第二条件信息计算第一标识符;
所述第一方根据第一标识符、共享密钥和第一随机数计算第二验证信息;
其中,第二条件信息与第一标识符和共享密钥第一部分和共享密钥第二部分自组合交叉位具有等量关系;
第二验证信息与共享密钥第一部分、第一标识符和第一随机数的伪函数具有等量关系;
第二储存信息与共享密钥第二部分、第一标识符和第一随机数的伪函数具有等量关系。
可选的,
所述步骤当第一方接收第三条件信息和第三验证信息时,第一方根据共享密钥和第三条件信息,以及第二随机数、共享密钥、第一储存信息和第二储存信息计算得到第三条件信息、第三验证信息和第四验证信息的等量关系,计算第三验证信息;当第一方判断计算得到的第三验证信息与接收的第三验证信息相同时,第三方与第一方的验证成功,其中:
第一方还接收第四验证信息;
第三条件信息与第二随机函数和共享密钥第一部分和共享密钥第二部分自组合交叉位具有等量关系。
可选的,
所述步骤当第二方接收第三条件信息和第四验证信息时,第二方根据共享密钥和第三条件信息,以及第二随机数、共享密钥、第一储存信息和第二储存信息计算得到第三条件信息、第三验证信息和第四验证信息的等量关系,计算第三验证信息;当第二方判断计算得到的第四验证信息与接收的第三验证信息相同时,第三方与第二方的验证成功,其中,第二方从第一方接收第三条件信息和第四验证信息。
可选的,
所述步骤当第二方接收第三条件信息和第四验证信息时,第二方根据共享密钥和第三条件信息,以及第二随机数、共享密钥、第一储存信息和第二储存信息计算得到第三条件信息、第三验证信息和第四验证信息的等量关系,计算第三验证信息;当第二方判断计算得到的第四验证信息与接收的第三验证信息相同时,第三方与第二方的验证成功,其中第二方从第三方接收第三条件信息和第四验证信息。
可选的,
所述步骤第三方储存所述第一标识符、所述第二标识符、所述共享秘钥,其中第三方还储存上一轮共享密钥。
可选的,
所述步骤第三方生成第二随机数、第三条件信息、第三验证信息和第四验证信息,以及第二随机数、共享密钥、第一储存信息和第二储存信息计算得到第三条件信息、第三验证信息和第四验证信息的等量关系,其中第三方还生成更新密钥,以及根据第一标识符、第二标识符和第二随机数和更新密钥和共享密钥之间的等量关系;
其中更新共享密钥与第一标识符、第二标识符和第一随机数的伪函数具有等量关系。
可选的,
所述步骤第三方还生成更新密钥,以及根据第一标识符、第二标识符和第二随机数和更新密钥和共享密钥之间的等量关系之后,第三方分别将更新密钥,以及根据第一标识符、第二标识符和第二随机数和更新密钥和共享密钥之间的等量关系发送给第一方和/或第二方。
可选的,
所述第一方为读写器;
,
或所述第一方为标签;
,
或所述第一方为数据库。
本发明还提供了一种应用上述方法的一种基于读写器、标签和数据库的三方验证系统包括:
处理单元和储存单元;
所述处理单元用于实现各指令;
所述储存单元用于储存多条指令,所述指令适,用由储存单元加载并执行:
第一方储存第一标识符和共享秘钥;
第二方储存第二标识符和所述共享秘钥;
第三方储存所述第一标识符、所述第二标识符、所述共享秘钥;
当第一方开启双重验证功能后,第一方生成第一随机数,并将所述第一随机数发送给第二方;
所述第二方接收所述第一随机数后,根据第一随机数、第二标识符和所述共享秘钥计算第一条件信息、第一验证信息和第一储存信息;
所述第二方储存所述第一储存信息;
所述第二方向所述第一方发送所述第一条件信息、第一验证信息,及第一随机数、第二标识符和所述共享秘钥计算第一条件信息和第一验证信息的等量关系;
所述第一方根据所述第一条件信息,及第一随机数、第二标识符和所述共享秘钥计算第一条件信息和第一验证信息的等量关系来计算第一验证信息;
所述第一方判断计算得到的第一验证信息和从第二方接收的第一验证信息是否相同;
若否,则终止协议;
若是,则所述第一方根据所述第一随机数、所述第一标识符和所述共享秘钥的等量关系计算第二条件信息、第二验证信息和第二储存信息;
所述第一方储存所述第二储存信息;
所述第一方向所述第二方发送所述第二条件信息、所述第二验证信息和所述第一随机数、所述第一标识符和所述共享秘钥计算第二条件信息、第二验证信息的等量关系;
所述第二方根据所述第二条件信息和所述第一随机数、所述第一标识符和所述共享秘钥计算第二条件信息、第二验证信息的等量关系,来计算第二验证信息;
所述第二方判断计算得到第二验证信息和从第一方接收的第二验证信息是否相同;
若否,则终止协议;
若是,所述第二方则向所述第一方发送确认信息;
当第一方接收所述确认信息后,向第三方发送所述第一验证信息、第二验证信息和第一随机数;以及所述第一条件信息、第一验证信息,及第一随机数、第二标识符和所述共享秘钥计算第一条件信息和第一验证信息的等量关系;所述第二条件信息、所述第二验证信息和所述第一随机数、所述第一标识符和所述共享秘钥计算第二条件信息、第二验证信息的等量关系;
所述第三方根据所述第一标识符、第一随机数和共享密钥,以及所述第一随机数、所述第一标识符和所述共享秘钥计算第二验证信息的等量关系,计算第二验证信息;
所述第三方判断计算得到的第二验证信息与从第一方接收的第二验证信息是否相同;
若计算得到的第二验证信息与从第一方接收的第二验证信息不相同,则协议终止;
若计算得到的第二验证信息与从第一方接收的第二验证信息相同,则第三方根据第二标识符、共享密钥和第一随机数以及第一随机数、第二标识符和第一验证信息之间的等量关系计算第一验证信息,接着判断计算得到的第一验证信息与从第一方接收的第一验证信息是否相同,若不相同,则协议终止;若相同,则第三方生成第二随机数、第三条件信息、第三验证信息和第四验证信息,以及第二随机数、共享密钥、第一储存信息和第二储存信息计算得到第三条件信息、第三验证信息和第四验证信息的等量关系;
当第一方接收第三条件信息和第三验证信息时,第一方根据共享密钥和第三条件信息,以及第二随机数、共享密钥、第一储存信息和第二储存信息计算得到第三条件信息、第三验证信息和第四验证信息的等量关系,计算第三验证信息;当第一方判断计算得到的第三验证信息与接收的第三验证信息相同时,第三方与第一方的验证成功;
当第二方接收第三条件信息和第四验证信息时,第二方根据共享密钥和第三条件信息,以及第二随机数、共享密钥、第一储存信息和第二储存信息计算得到第三条件信息、第三验证信息和第四验证信息的等量关系,计算第三验证信息;当第二方判断计算得到的第四验证信息与接收的第三验证信息相同时,第三方与第二方的验证成功。
可选的,
所述储存单元用于储存多条指令,所述指令适用由储存单元加载并执行:
所述第一方根据共享密钥和第一条件信息计算第二标识符;
所述第一方根据第二标识符、共享密钥和第一随机数计算第一验证信息;
其中,第一条件信息与第二标识符和共享密钥第一部分和共享密钥第二部分自组合交叉位具有等量关系;
第一验证信息与共享密钥第一部分、第一标识符和第一随机数的伪函数具有等量关系;
第一储存信息与共享密钥第二部分、第一标识符和第一随机数的伪函数具有等量关系。
可选的,
所述储存单元用于储存多条指令,所述指令适用由储存单元加载并执行:
所述第二方根据共享密钥和第二条件信息计算第一标识符;
所述第一方根据第一标识符、共享密钥和第一随机数计算第二验证信息;
其中,第二条件信息与第一标识符和共享密钥第一部分和共享密钥第二部分自组合交叉位具有等量关系;
第二验证信息与共享密钥第一部分、第一标识符和第一随机数的伪函数具有等量关系;
第二储存信息与共享密钥第二部分、第一标识符和第一随机数的伪函数具有等量关系。
可选的,
所述储存单元用于储存多条指令,所述指令适用由储存单元加载并执行:
第一方还接收第四验证信息;
其中,第三条件信息与第二随机函数和共享密钥第一部分和共享密钥第二部分自组合交叉位具有等量关系。
可选的,
所述储存单元用于储存多条指令,所述指令适用由储存单元加载并执行:
第二方从第一方接收第三条件信息和第四验证信息。
可选的,
所述储存单元用于储存多条指令,所述指令适用由储存单元加载并执行:
第二方从第三方接收第三条件信息和第四验证信息。
可选的,
所述储存单元用于储存多条指令,所述指令适用由储存单元加载并执行:
第三方还储存上一轮共享密钥。
可选的,
所述储存单元用于储存多条指令,所述指令适用由储存单元加载并执行:
第三方还生成更新密钥,以及根据第一标识符、第二标识符和第二随机数和更新密钥和共享密钥之间的等量关系;
其中更新共享密钥与第一标识符、第二标识符和第一随机数的伪函数具有等量关系。
可选的,
所述储存单元用于储存多条指令,所述指令适用由储存单元加载并执行:
第三方分别将更新密钥,以及根据第一标识符、第二标识符和第二随机数和更新密钥和共享密钥之间的等量关系发送给第一方和/或第二方。
可选的,
所述第一方为读写器;
,
或所述第一方为标签;
,
或所述第一方为数据库。
从以上技术方案可以看出,本发明实施例具有以下优点:
在初始阶段:第一方储存第一标识符和共享秘钥;第二方储存第二标识符和所述共享秘钥;第三方储存所述第一标识符、所述第二标识符、所述共享秘钥;
当第一方开启双重验证功能后,第一方生成第一随机数,并将所述第一随机数发送给第二方;所述第二方接收所述第一随机数后,根据第一随机数、第二标识符和所述共享秘钥计算第一条件信息、第一验证信息和第一储存信息;
所述第二方储存所述第一储存信息;
所述第二方向所述第一方发送所述第一条件信息、第一验证信息,及第一随机数、第二标识符和所述共享秘钥计算第一条件信息和第一验证信息的等量关系;
所述第一方根据所述第一条件信息,及第一随机数、第二标识符和所述共享秘钥计算第一条件信息和第一验证信息的等量关系来计算第一验证信息;
所述第一方判断计算得到的第一验证信息和从第二方接收的第一验证信息是否相同;
若否,则终止协议;
若是,则所述第一方根据所述第一随机数、所述第一标识符和所述共享秘钥的等量关系计算第二条件信息、第二验证信息和第二储存信息;
所述第一方储存所述第二储存信息;
所述第一方向所述第二方发送所述第二条件信息、所述第二验证信息和所述第一随机数、所述第一标识符和所述共享秘钥计算第二条件信息、第二验证信息的等量关系;
所述第二方根据所述第二条件信息和所述第一随机数、所述第一标识符和所述共享秘钥计算第二条件信息、第二验证信息的等量关系,来计算第二验证信息;
所述第二方判断计算得到第二验证信息和从第一方接收的第二验证信息是否相同;
若否,则终止协议;
若是,所述第二方则向所述第一方发送确认信息;
当第一方接收所述确认信息后,向第三方发送所述第一验证信息、第二验证信息和第一随机数;以及所述第一条件信息、第一验证信息,及第一随机数、第二标识符和所述共享秘钥计算第一条件信息和第一验证信息的等量关系;所述第二条件信息、所述第二验证信息和所述第一随机数、所述第一标识符和所述共享秘钥计算第二条件信息、第二验证信息的等量关系;
所述第三方根据所述第一标识符、第一随机数和共享密钥,以及所述第一随机数、所述第一标识符和所述共享秘钥计算第二验证信息的等量关系,计算第二验证信息;
所述第三方判断计算得到的第二验证信息与从第一方接收的第二验证信息是否相同;
若计算得到的第二验证信息与从第一方接收的第二验证信息不相同,则协议终止;
若计算得到的第二验证信息与从第一方接收的第二验证信息相同,则第三方根据第二标识符、共享密钥和第一随机数以及第一随机数、第二标识符和第一验证信息之间的等量关系计算第一验证信息,接着判断计算得到的第一验证信息与从第一方接收的第一验证信息是否相同;
若不相同,则协议终止;
若相同,则第三方生成第二随机数、第三条件信息、第三验证信息和第四验证信息,以及第二随机数、共享密钥、第一储存信息和第二储存信息计算得到第三条件信息、第三验证信息和第四验证信息的等量关系;
当第一方接收第三条件信息和第三验证信息时,第一方根据共享密钥和第三条件信息,以及第二随机数、共享密钥、第一储存信息和第二储存信息计算得到第三条件信息、第三验证信息和第四验证信息的等量关系,计算第三验证信息;当第一方判断计算得到的第三验证信息与接收的第三验证信息相同时,第三方与第一方的验证成功;
当第二方接收第三条件信息和第四验证信息时,第二方根据共享密钥和第三条件信息,以及第二随机数、共享密钥、第一储存信息和第二储存信息计算得到第三条件信息、第三验证信息和第四验证信息的等量关系,计算第三验证信息;当第二方判断计算得到的第四验证信息与接收的第三验证信息相同时,第三方与第二方的验证成功。
第一方先同第二方进行双向验证,第一方和第二方分别同第三方进行双向验证,通过增加读写器和标签的预认证过程,完整三方双向安全认证,避免协议遭受假冒、重放、去同步化等攻击行为,保证三方通信安全。
附图说明
图1为本发明中一种基于读写器、标签和数据库的三方验证方法所使用的自组合交叉位运算原理示意图;
图2为本发明中一种基于读写器、标签和数据库的三方验证方法的协议流程图。
具体实施方式
本发明实施例提供了一种基于读写器、标签和数据库的三方验证方法及系统,通过增加读写器和标签的预认证过程,完整三方双向安全认证,避免协议遭受假冒、重放、去同步化等攻击行为,保证三方通信安全。
本发明一种基于读写器、标签和数据库的三方验证方法,包括:
第一方储存第一标识符和共享秘钥;
第二方储存第二标识符和所述共享秘钥;
第三方储存所述第一标识符、所述第二标识符、所述共享秘钥;
当第一方开启双重验证功能后,第一方生成第一随机数,并将所述第一随机数发送给第二方;
所述第二方接收所述第一随机数后,根据第一随机数、第二标识符和所述共享秘钥计算第一条件信息、第一验证信息和第一储存信息;
所述第二方储存所述第一储存信息;
所述第二方向所述第一方发送所述第一条件信息、第一验证信息,及第一随机数、第二标识符和所述共享秘钥计算第一条件信息和第一验证信息的等量关系;
所述第一方根据所述第一条件信息,及第一随机数、第二标识符和所述共享秘钥计算第一条件信息和第一验证信息的等量关系来计算第一验证信息;
所述第一方判断计算得到的第一验证信息和从第二方接收的第一验证信息是否相同;
若否,则终止协议;
若是,则所述第一方根据所述第一随机数、所述第一标识符和所述共享秘钥的等量关系计算第二条件信息、第二验证信息和第二储存信息;
所述第一方储存所述第二储存信息;
所述第一方向所述第二方发送所述第二条件信息、所述第二验证信息和所述第一随机数、所述第一标识符和所述共享秘钥计算第二条件信息、第二验证信息的等量关系;
所述第二方根据所述第二条件信息和所述第一随机数、所述第一标识符和所述共享秘钥计算第二条件信息、第二验证信息的等量关系,来计算第二验证信息;
所述第二方判断计算得到第二验证信息和从第一方接收的第二验证信息是否相同;
若否,则终止协议;
若是,所述第二方则向所述第一方发送确认信息;
当第一方接收所述确认信息后,向第三方发送所述第一验证信息、第二验证信息和第一随机数;以及所述第一条件信息、第一验证信息,及第一随机数、第二标识符和所述共享秘钥计算第一条件信息和第一验证信息的等量关系;所述第二条件信息、所述第二验证信息和所述第一随机数、所述第一标识符和所述共享秘钥计算第二条件信息、第二验证信息的等量关系;
所述第三方根据所述第一标识符、第一随机数和共享密钥,以及所述第一随机数、所述第一标识符和所述共享秘钥计算第二验证信息的等量关系,计算第二验证信息;
所述第三方判断计算得到的第二验证信息与从第一方接收的第二验证信息是否相同;
若计算得到的第二验证信息与从第一方接收的第二验证信息不相同,则协议终止;
若计算得到的第二验证信息与从第一方接收的第二验证信息相同,则第三方根据第二标识符、共享密钥和第一随机数以及第一随机数、第二标识符和第一验证信息之间的等量关系计算第一验证信息,接着判断计算得到的第一验证信息与从第一方接收的第一验证信息是否相同;
若不相同,则协议终止;
若相同,则第三方生成第二随机数、第三条件信息、第三验证信息和第四验证信息,以及第二随机数、共享密钥、第一储存信息和第二储存信息计算得到第三条件信息、第三验证信息和第四验证信息的等量关系;
当第一方接收第三条件信息和第三验证信息时,第一方根据共享密钥和第三条件信息,以及第二随机数、共享密钥、第一储存信息和第二储存信息计算得到第三条件信息、第三验证信息和第四验证信息的等量关系,计算第三验证信息;当第一方判断计算得到的第三验证信息与接收的第三验证信息相同时,第三方与第一方的验证成功;
当第二方接收第三条件信息和第四验证信息时,第二方根据共享密钥和第三条件信息,以及第二随机数、共享密钥、第一储存信息和第二储存信息计算得到第三条件信息、第三验证信息和第四验证信息的等量关系,计算第三验证信息;当第二方判断计算得到的第四验证信息与接收的第三验证信息相同时,第三方与第二方的验证成功。
可选的,
所述步骤所述第一方根据所述第一条件信息,及第一随机数、第二标识符和所述共享秘钥计算第一条件信息和第一验证信息的等量关系来计算第一验证信息包括:
所述第一方根据共享密钥和第一条件信息计算第二标识符;
所述第一方根据第二标识符、共享密钥和第一随机数计算第一验证信息;
其中,第一条件信息与第二标识符和共享密钥第一部分和共享密钥第二部分自组合交叉位具有等量关系;
第一验证信息与共享密钥第一部分、第一标识符和第一随机数的伪函数具有等量关系;
第一储存信息与共享密钥第二部分、第一标识符和第一随机数的伪函数具有等量关系。
可选的,
所述步骤所述第二方根据所述第二条件信息和所述第一随机数、所述第一标识符和所述共享秘钥计算第二条件信息、第二验证信息的等量关系,来计算第二验证信息包括:
所述第二方根据共享密钥和第二条件信息计算第一标识符;
所述第一方根据第一标识符、共享密钥和第一随机数计算第二验证信息;
其中,第二条件信息与第一标识符和共享密钥第一部分和共享密钥第二部分自组合交叉位具有等量关系;
第二验证信息与共享密钥第一部分、第一标识符和第一随机数的伪函数具有等量关系;
第二储存信息与共享密钥第二部分、第一标识符和第一随机数的伪函数具有等量关系。
可选的,
所述步骤当第一方接收第三条件信息和第三验证信息时,第一方根据共享密钥和第三条件信息,以及第二随机数、共享密钥、第一储存信息和第二储存信息计算得到第三条件信息、第三验证信息和第四验证信息的等量关系,计算第三验证信息;当第一方判断计算得到的第三验证信息与接收的第三验证信息相同时,第三方与第一方的验证成功,其中:
第一方还接收第四验证信息;
第三条件信息与第二随机函数和共享密钥第一部分和共享密钥第二部分自组合交叉位具有等量关系。
可选的,
所述步骤当第二方接收第三条件信息和第四验证信息时,第二方根据共享密钥和第三条件信息,以及第二随机数、共享密钥、第一储存信息和第二储存信息计算得到第三条件信息、第三验证信息和第四验证信息的等量关系,计算第三验证信息;当第二方判断计算得到的第四验证信息与接收的第三验证信息相同时,第三方与第二方的验证成功,其中,第二方从第一方接收第三条件信息和第四验证信息。
可选的,
所述步骤当第二方接收第三条件信息和第四验证信息时,第二方根据共享密钥和第三条件信息,以及第二随机数、共享密钥、第一储存信息和第二储存信息计算得到第三条件信息、第三验证信息和第四验证信息的等量关系,计算第三验证信息;当第二方判断计算得到的第四验证信息与接收的第三验证信息相同时,第三方与第二方的验证成功,其中第二方从第三方接收第三条件信息和第四验证信息。
可选的,
所述步骤第三方储存所述第一标识符、所述第二标识符、所述共享秘钥,其中第三方还储存上一轮共享密钥。
可选的,
所述步骤第三方生成第二随机数、第三条件信息、第三验证信息和第四验证信息,以及第二随机数、共享密钥、第一储存信息和第二储存信息计算得到第三条件信息、第三验证信息和第四验证信息的等量关系,其中第三方还生成更新密钥,以及根据第一标识符、第二标识符和第二随机数和更新密钥和共享密钥之间的等量关系;
其中更新共享密钥与第一标识符、第二标识符和第一随机数的伪函数具有等量关系。
可选的,
所述步骤第三方还生成更新密钥,以及根据第一标识符、第二标识符和第二随机数和更新密钥和共享密钥之间的等量关系之后,第三方分别将更新密钥,以及根据第一标识符、第二标识符和第二随机数和更新密钥和共享密钥之间的等量关系发送给第一方和/或第二方。
可选的,
所述第一方为读写器;
,
或所述第一方为标签;
,
或所述第一方为数据库。
本实施例中,第一方先同第二方进行双向验证,第一方和第二方分别同第三方进行双向验证,通过增加读写器和标签的预认证过程,完整三方双向安全认证,避免协议遭受假冒、重放、去同步化等攻击行为,保证三方通信安全。
需要说明的是,
第一方为读写器;
,
或第一方为标签;
,
或第一方为数据库。
上面对本发明方法的原理进行了说明,下面以一个实际应用的例子,对上述发明方法进行具体说明:
若第一方为读写器,第二方为标签,则第三方为数据库。
读写器储存唯一确定的读写器标识符IDR和共享秘钥KEY;
标签储存唯一确定的标签标识符IDT和所述共享秘钥KEY;
数据库储存所述读写器标识符IDR、标签标识符IDT、所述共享秘钥KEY和上一轮共享秘钥KEY_OLD;
其中,所述共享秘钥包括两部分;
当读写器开启双重验证功能后,读写器生成第一随机数R1,并将所述第一随机数R1发送给标签;
所述标签接收所述第一随机数R1后,根据所述标签标识符IDT和所述共享秘钥KEY的预设关系计算第一条件信息A,并根据所述第一随机数R1、所述标签标识符IDT和共享秘钥第一部分KEY_L的等量关系计算第一验证信息B_L,再根据所述第一随机数R1、所述标签标识符IDT和共享秘钥第二部分KEY_R的等量关系计算第一储存信息B_R;其中:
需要说明的是,自组合交叉位运算为本发明提出了一种新的位运算,具体解释如下:
假设X、Y、Z是三个L位(偶数)的二进制数组X=x1x2…xL,Y=y1y2…yL,Z=z1z2…zL,xi,yi,zi∈{0,1},i=1,2…L,首先X,Y进行异或运算得到Z,那么自组合交叉位运算San(Z)是由Z的高位和低位交叉组合后形成的新的L位数组W,也即是San(Z)=z1zL/2+1z2zL/2+2…zL/ 2zL。该运算可在标签,阅读器中有效实现:设P1,P2分别指向数组Z的首端与尾端,然后分别从首尾遍历Z,将P1所遍历的数字按顺序放置于新的数组W的奇数位,将P2所遍历的数字按顺序放置于新的数组W的偶数位,最终组合得到新数组W即为San(Z)。
该运算只需要移位以及按位或运算,最终组合实现,降低系统计算量和存储量,实现超轻量级别。并且指针赋值顺序的不同,将会组合得到不同的值,加大破解难度。具体举例如下:L=8,X=10110010,Y=11010111,所以Z=01100101,San(Z)=00111001。
在本实施例中,采用自组合交叉运算San(X,Y)、异或和单向伪随机函数相结合的算法对协议信息进行加密传输,由于只采用简单位运算和轻量级伪随机函数,所以满足Gen-2标准,适应移动RFID系统低成本轻量级的特点。
进一步的,本实施例将共享密钥和通信信息分成左、右两部分值进行加密传输和加密认证,降低读写器和标签成本,并且基于轻量级伪随机函数的算法同样可以降低标签成本。
下面继续对本实施例进行说明:
标签根据所述第一随机数R1、所述标签标识符IDT和共享秘钥第二部分KEY_R的等量关系计算第一储存信息B_R之后,所述标签储存所述第一储存信息B_R;
所述标签发送所述第一条件信息A、及通过标签标识符IDT和所述共享秘钥KEY计算第一条件信息A的等量关系;
所述标签发送所述第一验证信息B_L,及所述第一随机数R1、所述标签标识符IDT和共享秘钥第一部分KEY_L计算第一验证信息B_L的等量关系;
所述读写器根据所述第一条件信息A、及通过标签标识符IDT和所述共享秘钥KEY计算第一条件信息A的等量关系,结合所述共享秘钥KEY计算标签标识符IDT,再根据所述标签标识符IDT和所述第一随机数R1、所述标签标识符IDT和共享秘钥第一部分KEY_L计算第一验证信息B_L的等量关系得到第一验证信息B_L;
所述读写器判断计算得到第一验证信息B_L和从标签接收的第一验证信息B_L是否相同;
若否,则终止协议;
若是,则根据所述读写器标识符IDR和所述共享秘钥KEY的等量关系计算第二条件信息C,并根据所述第一随机数R1、所述读写器标识符IDR和共享秘钥第一部分KEY_L的等量关系计算第二验证信息D_L,再根据所述第一随机数R1、所述读写器标识符IDR和共享秘钥第二部分KEY_R的等量关系计算第二储存信息D_R;
所述读写器储存所述第二储存信息D_R;
所述读写器发送所述第二条件信息C、及通过读写器标识符IDR和所述共享秘钥KEY计算第二条件信息C的等量关系;
所述读写器发送所述第二验证信息D_L,及所述第一随机数R1、所述读写器标识符IDR和共享秘钥第一部分KEY_L计算第二验证信息D_L的等量关系;
所述标签根据所述第二条件信息C、及通过读写器标识符IDR和所述共享秘钥KEY计算第二条件信息C的等量关系,结合所述共享秘钥KEY计算读写器标识符IDR,再根据所述读写器标识符IDR和所述第一随机数R1、所述读写器标识符IDR和共享秘钥第一部分KEY_L计算第二验证信息D_L的等量关系得到第二验证信息D_L;
所述标签判断计算得到第二验证信息D_L和从读写器接收的第二验证信息D_L是否相同;
若否,则终止协议;
若是,则向所述读写器发送确认信息。
下面对本实施例进行进一步说明:
读写器在收到标签端的确认消息后,将信息B_L、D_L、R1转发给数据库,等待数据库的验证。
数据库在收到消息后,首先检索读写器唯一标识IDR,计算验证D_L,存储D_R,如果验证通过,读写器认证通过,数据库接着查询标签唯一标识IDT,计算验证B_L,存储B_R,如果验证通过,标签认证通过,如果D_L或B_L验证不相等,查找数据库中的Keyold,重新计算D_L或B_L,相等后亦可进行后续通信运算;但如果读写器或标签在两次计算中有一方认证未通过,协议终止;
数据库对读写器和标签认证通过后,数据库产生随机数R2,为共享密钥更新和计算消息E,F,G做准备。最后,将计算得到的E,F,G一起发送给读写器后,开始密钥更新。其中:
读写器收到数据库的回复消息后,根据Key,计算得到R2,再利用存储的D_R,验证从数据库端收到的信息E。如果相等验证成功,数据库和读写器端双向认证完成,更新密钥Key,最后将消息F、G发送给标签;如果不相等验证失败,协议终止。
本发明还提供了一种应用上述方法的一种基于读写器、标签和数据库的三方验证系统包括:
处理单元和储存单元;
所述处理单元用于实现各指令;
所述储存单元用于储存多条指令,所述指令适,用由储存单元加载并执行:
第一方储存第一标识符和共享秘钥;
第二方储存第二标识符和所述共享秘钥;
第三方储存所述第一标识符、所述第二标识符、所述共享秘钥;
当第一方开启双重验证功能后,第一方生成第一随机数,并将所述第一随机数发送给第二方;
所述第二方接收所述第一随机数后,根据第一随机数、第二标识符和所述共享秘钥计算第一条件信息、第一验证信息和第一储存信息;
所述第二方储存所述第一储存信息;
所述第二方向所述第一方发送所述第一条件信息、第一验证信息,及第一随机数、第二标识符和所述共享秘钥计算第一条件信息和第一验证信息的等量关系;
所述第一方根据所述第一条件信息,及第一随机数、第二标识符和所述共享秘钥计算第一条件信息和第一验证信息的等量关系来计算第一验证信息;
所述第一方判断计算得到的第一验证信息和从第二方接收的第一验证信息是否相同;
若否,则终止协议;
若是,则所述第一方根据所述第一随机数、所述第一标识符和所述共享秘钥的等量关系计算第二条件信息、第二验证信息和第二储存信息;
所述第一方储存所述第二储存信息;
所述第一方向所述第二方发送所述第二条件信息、所述第二验证信息和所述第一随机数、所述第一标识符和所述共享秘钥计算第二条件信息、第二验证信息的等量关系;
所述第二方根据所述第二条件信息和所述第一随机数、所述第一标识符和所述共享秘钥计算第二条件信息、第二验证信息的等量关系,来计算第二验证信息;
所述第二方判断计算得到第二验证信息和从第一方接收的第二验证信息是否相同;
若否,则终止协议;
若是,所述第二方则向所述第一方发送确认信息;
当第一方接收所述确认信息后,向第三方发送所述第一验证信息、第二验证信息和第一随机数;以及所述第一条件信息、第一验证信息,及第一随机数、第二标识符和所述共享秘钥计算第一条件信息和第一验证信息的等量关系;所述第二条件信息、所述第二验证信息和所述第一随机数、所述第一标识符和所述共享秘钥计算第二条件信息、第二验证信息的等量关系;
所述第三方根据所述第一标识符、第一随机数和共享密钥,以及所述第一随机数、所述第一标识符和所述共享秘钥计算第二验证信息的等量关系,计算第二验证信息;
所述第三方判断计算得到的第二验证信息与从第一方接收的第二验证信息是否相同;
若计算得到的第二验证信息与从第一方接收的第二验证信息不相同,则协议终止;
若计算得到的第二验证信息与从第一方接收的第二验证信息相同,则第三方根据第二标识符、共享密钥和第一随机数以及第一随机数、第二标识符和第一验证信息之间的等量关系计算第一验证信息,接着判断计算得到的第一验证信息与从第一方接收的第一验证信息是否相同,若不相同,则协议终止;若相同,则第三方生成第二随机数、第三条件信息、第三验证信息和第四验证信息,以及第二随机数、共享密钥、第一储存信息和第二储存信息计算得到第三条件信息、第三验证信息和第四验证信息的等量关系;
当第一方接收第三条件信息和第三验证信息时,第一方根据共享密钥和第三条件信息,以及第二随机数、共享密钥、第一储存信息和第二储存信息计算得到第三条件信息、第三验证信息和第四验证信息的等量关系,计算第三验证信息;当第一方判断计算得到的第三验证信息与接收的第三验证信息相同时,第三方与第一方的验证成功;
当第二方接收第三条件信息和第四验证信息时,第二方根据共享密钥和第三条件信息,以及第二随机数、共享密钥、第一储存信息和第二储存信息计算得到第三条件信息、第三验证信息和第四验证信息的等量关系,计算第三验证信息;当第二方判断计算得到的第四验证信息与接收的第三验证信息相同时,第三方与第二方的验证成功。
可选的,
所述储存单元用于储存多条指令,所述指令适用由储存单元加载并执行:
所述第一方根据共享密钥和第一条件信息计算第二标识符;
所述第一方根据第二标识符、共享密钥和第一随机数计算第一验证信息;
其中,第一条件信息与第二标识符和共享密钥第一部分和共享密钥第二部分自组合交叉位具有等量关系;
第一验证信息与共享密钥第一部分、第一标识符和第一随机数的伪函数具有等量关系;
第一储存信息与共享密钥第二部分、第一标识符和第一随机数的伪函数具有等量关系。
可选的,
所述储存单元用于储存多条指令,所述指令适用由储存单元加载并执行:
所述第二方根据共享密钥和第二条件信息计算第一标识符;
所述第一方根据第一标识符、共享密钥和第一随机数计算第二验证信息;
其中,第二条件信息与第一标识符和共享密钥第一部分和共享密钥第二部分自组合交叉位具有等量关系;
第二验证信息与共享密钥第一部分、第一标识符和第一随机数的伪函数具有等量关系;
第二储存信息与共享密钥第二部分、第一标识符和第一随机数的伪函数具有等量关系。
可选的,
所述储存单元用于储存多条指令,所述指令适用由储存单元加载并执行:
第一方还接收第四验证信息;
其中,第三条件信息与第二随机函数和共享密钥第一部分和共享密钥第二部分自组合交叉位具有等量关系。
可选的,
所述储存单元用于储存多条指令,所述指令适用由储存单元加载并执行:
第二方从第一方接收第三条件信息和第四验证信息。
可选的,
所述储存单元用于储存多条指令,所述指令适用由储存单元加载并执行:
第二方从第三方接收第三条件信息和第四验证信息。
可选的,
所述储存单元用于储存多条指令,所述指令适用由储存单元加载并执行:
第三方还储存上一轮共享密钥。
可选的,
所述储存单元用于储存多条指令,所述指令适用由储存单元加载并执行:
第三方还生成更新密钥,以及根据第一标识符、第二标识符和第二随机数和更新密钥和共享密钥之间的等量关系;
其中更新共享密钥与第一标识符、第二标识符和第一随机数的伪函数具有等量关系。
可选的,
所述储存单元用于储存多条指令,所述指令适用由储存单元加载并执行:
第三方分别将更新密钥,以及根据第一标识符、第二标识符和第二随机数和更新密钥和共享密钥之间的等量关系发送给第一方和/或第二方。
可选的,
所述第一方为读写器;
,
或所述第一方为标签;
,
或所述第一方为数据库。
表1 为符号与概念的对应关系
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以储存在一个计算机可读取储存介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品储存在一个储存介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的储存介质包括:U盘、移动硬盘、只读储存器(ROM,Read-OnlyMemory)、随机存取储存器(RAM,Random Access Memory)、磁碟或者光盘等各种可以储存程序代码的介质。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (20)
1.一种基于读写器、标签和数据库的三方验证方法,其特征在于,包括:
第一方储存第一标识符和共享秘钥;
第二方储存第二标识符和所述共享秘钥;
第三方储存所述第一标识符、所述第二标识符、所述共享秘钥;
当第一方开启双重验证功能后,第一方生成第一随机数,并将所述第一随机数发送给第二方;
所述第二方接收所述第一随机数后,根据第一随机数、第二标识符和所述共享秘钥计算第一条件信息、第一验证信息和第一储存信息;
所述第二方储存所述第一储存信息;
所述第二方向所述第一方发送所述第一条件信息、第一验证信息,及第一随机数、第二标识符和所述共享秘钥计算第一条件信息和第一验证信息的等量关系;
所述第一方根据所述第一条件信息,及第一随机数、第二标识符和所述共享秘钥计算第一条件信息和第一验证信息的等量关系来计算第一验证信息;
所述第一方判断计算得到的第一验证信息和从第二方接收的第一验证信息是否相同;
若否,则终止协议;
若是,则所述第一方根据所述第一随机数、所述第一标识符和所述共享秘钥的等量关系计算第二条件信息、第二验证信息和第二储存信息;
所述第一方储存所述第二储存信息;
所述第一方向所述第二方发送所述第二条件信息、所述第二验证信息和所述第一随机数、所述第一标识符和所述共享秘钥计算第二条件信息、第二验证信息的等量关系;
所述第二方根据所述第二条件信息和所述第一随机数、所述第一标识符和所述共享秘钥计算第二条件信息、第二验证信息的等量关系,来计算第二验证信息;
所述第二方判断计算得到第二验证信息和从第一方接收的第二验证信息是否相同;
若否,则终止协议;
若是,所述第二方则向所述第一方发送确认信息;
当第一方接收所述确认信息后,向第三方发送所述第一验证信息、第二验证信息和第一随机数;以及所述第一条件信息、第一验证信息,及第一随机数、第二标识符和所述共享秘钥计算第一条件信息和第一验证信息的等量关系;所述第二条件信息、所述第二验证信息和所述第一随机数、所述第一标识符和所述共享秘钥计算第二条件信息、第二验证信息的等量关系;
所述第三方根据所述第一标识符、第一随机数和共享密钥,以及所述第一随机数、所述第一标识符和所述共享秘钥计算第二验证信息的等量关系,计算第二验证信息;
所述第三方判断计算得到的第二验证信息与从第一方接收的第二验证信息是否相同;
若计算得到的第二验证信息与从第一方接收的第二验证信息不相同,则协议终止;
若计算得到的第二验证信息与从第一方接收的第二验证信息相同,则第三方根据第二标识符、共享密钥和第一随机数以及第一随机数、第二标识符和第一验证信息之间的等量关系计算第一验证信息,接着判断计算得到的第一验证信息与从第一方接收的第一验证信息是否相同;
若不相同,则协议终止;
若相同,则第三方生成第二随机数、第三条件信息、第三验证信息和第四验证信息,以及第二随机数、共享密钥、第一储存信息和第二储存信息计算得到第三条件信息、第三验证信息和第四验证信息的等量关系;
当第一方接收第三条件信息和第三验证信息时,第一方根据共享密钥和第三条件信息,以及第二随机数、共享密钥、第一储存信息和第二储存信息计算得到第三条件信息、第三验证信息和第四验证信息的等量关系,计算第三验证信息;当第一方判断计算得到的第三验证信息与接收的第三验证信息相同时,第三方与第一方的验证成功;
当第二方接收第三条件信息和第四验证信息时,第二方根据共享密钥和第三条件信息,以及第二随机数、共享密钥、第一储存信息和第二储存信息计算得到第三条件信息、第三验证信息和第四验证信息的等量关系,计算第三验证信息;当第二方判断计算得到的第四验证信息与接收的第三验证信息相同时,第三方与第二方的验证成功。
2.根据权利要求1所述的基于读写器、标签和数据库的三方验证方法,其特征在于,
所述步骤所述第一方根据所述第一条件信息,及第一随机数、第二标识符和所述共享秘钥计算第一条件信息和第一验证信息的等量关系来计算第一验证信息包括:
所述第一方根据共享密钥和第一条件信息计算第二标识符;
所述第一方根据第二标识符、共享密钥和第一随机数计算第一验证信息;
其中,第一条件信息与第二标识符和共享密钥第一部分和共享密钥第二部分自组合交叉位具有等量关系;
第一验证信息与共享密钥第一部分、第一标识符和第一随机数的伪函数具有等量关系;
第一储存信息与共享密钥第二部分、第一标识符和第一随机数的伪函数具有等量关系。
3.根据权利要求1所述的基于读写器、标签和数据库的三方验证方法,其特征在于,
所述步骤所述第二方根据所述第二条件信息和所述第一随机数、所述第一标识符和所述共享秘钥计算第二条件信息、第二验证信息的等量关系,来计算第二验证信息包括:
所述第二方根据共享密钥和第二条件信息计算第一标识符;
所述第一方根据第一标识符、共享密钥和第一随机数计算第二验证信息;
其中,第二条件信息与第一标识符和共享密钥第一部分和共享密钥第二部分自组合交叉位具有等量关系;
第二验证信息与共享密钥第一部分、第一标识符和第一随机数的伪函数具有等量关系;
第二储存信息与共享密钥第二部分、第一标识符和第一随机数的伪函数具有等量关系。
4.根据权利要求1所述的基于读写器、标签和数据库的三方验证方法,其特征在于,
所述步骤当第一方接收第三条件信息和第三验证信息时,第一方根据共享密钥和第三条件信息,以及第二随机数、共享密钥、第一储存信息和第二储存信息计算得到第三条件信息、第三验证信息和第四验证信息的等量关系,计算第三验证信息;当第一方判断计算得到的第三验证信息与接收的第三验证信息相同时,第三方与第一方的验证成功,其中:
第一方还接收第四验证信息;
第三条件信息与第二随机函数和共享密钥第一部分和共享密钥第二部分自组合交叉位具有等量关系。
5.根据权利要求4所述的基于读写器、标签和数据库的三方验证方法,其特征在于,
所述步骤当第二方接收第三条件信息和第四验证信息时,第二方根据共享密钥和第三条件信息,以及第二随机数、共享密钥、第一储存信息和第二储存信息计算得到第三条件信息、第三验证信息和第四验证信息的等量关系,计算第三验证信息;当第二方判断计算得到的第四验证信息与接收的第三验证信息相同时,第三方与第二方的验证成功,其中,第二方从第一方接收第三条件信息和第四验证信息。
6.根据权利要求1所述的基于读写器、标签和数据库的三方验证方法,其特征在于,
所述步骤当第二方接收第三条件信息和第四验证信息时,第二方根据共享密钥和第三条件信息,以及第二随机数、共享密钥、第一储存信息和第二储存信息计算得到第三条件信息、第三验证信息和第四验证信息的等量关系,计算第三验证信息;当第二方判断计算得到的第四验证信息与接收的第三验证信息相同时,第三方与第二方的验证成功,其中第二方从第三方接收第三条件信息和第四验证信息。
7.根据权利要求1所述的基于读写器、标签和数据库的三方验证方法,其特征在于,
所述步骤第三方储存所述第一标识符、所述第二标识符、所述共享秘钥,其中第三方还储存上一轮共享密钥。
8.根据权利要求1所述的基于读写器、标签和数据库的三方验证方法,其特征在于,
所述步骤第三方生成第二随机数、第三条件信息、第三验证信息和第四验证信息,以及第二随机数、共享密钥、第一储存信息和第二储存信息计算得到第三条件信息、第三验证信息和第四验证信息的等量关系,其中第三方还生成更新密钥,以及根据第一标识符、第二标识符和第二随机数和更新密钥和共享密钥之间的等量关系;
其中更新共享密钥与第一标识符、第二标识符和第一随机数的伪函数具有等量关系。
9.根据权利要求1所述的基于读写器、标签和数据库的三方验证方法,其特征在于,
所述步骤第三方还生成更新密钥,以及根据第一标识符、第二标识符和第二随机数和更新密钥和共享密钥之间的等量关系之后,第三方分别将更新密钥,以及根据第一标识符、第二标识符和第二随机数和更新密钥和共享密钥之间的等量关系发送给第一方和/或第二方。
10.根据权利要求1-9中任一项所述的基于读写器、标签和数据库的三方验证方法,其特征在于,
所述第一方为读写器;
,
或所述第一方为标签;
,
或所述第一方为数据库。
11.一种应用如权利要求1-10中任一项所述方法的一种基于读写器、标签和数据库的三方验证系统,其特征在于,包括:
处理单元和储存单元;
所述处理单元用于实现各指令;
所述储存单元用于储存多条指令,所述指令适,用由储存单元加载并执行:
第一方储存第一标识符和共享秘钥;
第二方储存第二标识符和所述共享秘钥;
第三方储存所述第一标识符、所述第二标识符、所述共享秘钥;
当第一方开启双重验证功能后,第一方生成第一随机数,并将所述第一随机数发送给第二方;
所述第二方接收所述第一随机数后,根据第一随机数、第二标识符和所述共享秘钥计算第一条件信息、第一验证信息和第一储存信息;
所述第二方储存所述第一储存信息;
所述第二方向所述第一方发送所述第一条件信息、第一验证信息,及第一随机数、第二标识符和所述共享秘钥计算第一条件信息和第一验证信息的等量关系;
所述第一方根据所述第一条件信息,及第一随机数、第二标识符和所述共享秘钥计算第一条件信息和第一验证信息的等量关系来计算第一验证信息;
所述第一方判断计算得到的第一验证信息和从第二方接收的第一验证信息是否相同;
若否,则终止协议;
若是,则所述第一方根据所述第一随机数、所述第一标识符和所述共享秘钥的等量关系计算第二条件信息、第二验证信息和第二储存信息;
所述第一方储存所述第二储存信息;
所述第一方向所述第二方发送所述第二条件信息、所述第二验证信息和所述第一随机数、所述第一标识符和所述共享秘钥计算第二条件信息、第二验证信息的等量关系;
所述第二方根据所述第二条件信息和所述第一随机数、所述第一标识符和所述共享秘钥计算第二条件信息、第二验证信息的等量关系,来计算第二验证信息;
所述第二方判断计算得到第二验证信息和从第一方接收的第二验证信息是否相同;
若否,则终止协议;
若是,所述第二方则向所述第一方发送确认信息;
当第一方接收所述确认信息后,向第三方发送所述第一验证信息、第二验证信息和第一随机数;以及所述第一条件信息、第一验证信息,及第一随机数、第二标识符和所述共享秘钥计算第一条件信息和第一验证信息的等量关系;所述第二条件信息、所述第二验证信息和所述第一随机数、所述第一标识符和所述共享秘钥计算第二条件信息、第二验证信息的等量关系;
所述第三方根据所述第一标识符、第一随机数和共享密钥,以及所述第一随机数、所述第一标识符和所述共享秘钥计算第二验证信息的等量关系,计算第二验证信息;
所述第三方判断计算得到的第二验证信息与从第一方接收的第二验证信息是否相同;
若计算得到的第二验证信息与从第一方接收的第二验证信息不相同,则协议终止;
若计算得到的第二验证信息与从第一方接收的第二验证信息相同,则第三方根据第二标识符、共享密钥和第一随机数以及第一随机数、第二标识符和第一验证信息之间的等量关系计算第一验证信息,接着判断计算得到的第一验证信息与从第一方接收的第一验证信息是否相同,若不相同,则协议终止;若相同,则第三方生成第二随机数、第三条件信息、第三验证信息和第四验证信息,以及第二随机数、共享密钥、第一储存信息和第二储存信息计算得到第三条件信息、第三验证信息和第四验证信息的等量关系;
当第一方接收第三条件信息和第三验证信息时,第一方根据共享密钥和第三条件信息,以及第二随机数、共享密钥、第一储存信息和第二储存信息计算得到第三条件信息、第三验证信息和第四验证信息的等量关系,计算第三验证信息;当第一方判断计算得到的第三验证信息与接收的第三验证信息相同时,第三方与第一方的验证成功;
当第二方接收第三条件信息和第四验证信息时,第二方根据共享密钥和第三条件信息,以及第二随机数、共享密钥、第一储存信息和第二储存信息计算得到第三条件信息、第三验证信息和第四验证信息的等量关系,计算第三验证信息;当第二方判断计算得到的第四验证信息与接收的第三验证信息相同时,第三方与第二方的验证成功。
12.根据权利要求11所述的基于读写器、标签和数据库的三方验证系统,其特征在于,
所述储存单元用于储存多条指令,所述指令适用由储存单元加载并执行:
所述第一方根据共享密钥和第一条件信息计算第二标识符;
所述第一方根据第二标识符、共享密钥和第一随机数计算第一验证信息;
其中,第一条件信息与第二标识符和共享密钥第一部分和共享密钥第二部分自组合交叉位具有等量关系;
第一验证信息与共享密钥第一部分、第一标识符和第一随机数的伪函数具有等量关系;
第一储存信息与共享密钥第二部分、第一标识符和第一随机数的伪函数具有等量关系。
13.根据权利要求11所述的基于读写器、标签和数据库的三方验证系统,其特征在于,
所述储存单元用于储存多条指令,所述指令适用由储存单元加载并执行:
所述第二方根据共享密钥和第二条件信息计算第一标识符;
所述第一方根据第一标识符、共享密钥和第一随机数计算第二验证信息;
其中,第二条件信息与第一标识符和共享密钥第一部分和共享密钥第二部分自组合交叉位具有等量关系;
第二验证信息与共享密钥第一部分、第一标识符和第一随机数的伪函数具有等量关系;
第二储存信息与共享密钥第二部分、第一标识符和第一随机数的伪函数具有等量关系。
14.根据权利要求11所述的基于读写器、标签和数据库的三方验证系统,其特征在于,
所述储存单元用于储存多条指令,所述指令适用由储存单元加载并执行:
第一方还接收第四验证信息;
其中,第三条件信息与第二随机函数和共享密钥第一部分和共享密钥第二部分自组合交叉位具有等量关系。
15.根据权利要求14所述的基于读写器、标签和数据库的三方验证系统,其特征在于,
所述储存单元用于储存多条指令,所述指令适用由储存单元加载并执行:
第二方从第一方接收第三条件信息和第四验证信息。
16.根据权利要求11所述的基于读写器、标签和数据库的三方验证系统,其特征在于,
所述储存单元用于储存多条指令,所述指令适用由储存单元加载并执行:
第二方从第三方接收第三条件信息和第四验证信息。
17.根据权利要求11所述的基于读写器、标签和数据库的三方验证系统,其特征在于,
所述储存单元用于储存多条指令,所述指令适用由储存单元加载并执行:
第三方还储存上一轮共享密钥。
18.根据权利要求17所述的基于读写器、标签和数据库的三方验证系统,其特征在于,
所述储存单元用于储存多条指令,所述指令适用由储存单元加载并执行:
第三方还生成更新密钥,以及根据第一标识符、第二标识符和第二随机数和更新密钥和共享密钥之间的等量关系;
其中更新共享密钥与第一标识符、第二标识符和第一随机数的伪函数具有等量关系。
19.根据权利要求11所述的基于读写器、标签和数据库的三方验证系统,其特征在于,
所述储存单元用于储存多条指令,所述指令适用由储存单元加载并执行:
第三方分别将更新密钥,以及根据第一标识符、第二标识符和第二随机数和更新密钥和共享密钥之间的等量关系发送给第一方和/或第二方。
20.根据权利要求11所述的基于读写器、标签和数据库的三方验证系统,其特征在于,
所述第一方为读写器;
,
或所述第一方为标签;
,
或所述第一方为数据库。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710363248.8A CN107046467B (zh) | 2017-05-22 | 2017-05-22 | 一种基于读写器、标签和数据库的三方验证方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710363248.8A CN107046467B (zh) | 2017-05-22 | 2017-05-22 | 一种基于读写器、标签和数据库的三方验证方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107046467A true CN107046467A (zh) | 2017-08-15 |
CN107046467B CN107046467B (zh) | 2020-08-11 |
Family
ID=59546675
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710363248.8A Expired - Fee Related CN107046467B (zh) | 2017-05-22 | 2017-05-22 | 一种基于读写器、标签和数据库的三方验证方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107046467B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110677401A (zh) * | 2019-09-24 | 2020-01-10 | 桂林电子科技大学 | 一种基于中国剩余定理的rfid系统群组标签认证方法 |
CN111695152A (zh) * | 2020-05-26 | 2020-09-22 | 东南大学 | 一种基于安全代理的MySQL数据库防护方法 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101286849A (zh) * | 2008-06-11 | 2008-10-15 | 任少华 | 基于约定算法的第三方认证系统和方法 |
KR20090005834A (ko) * | 2007-07-10 | 2009-01-14 | 경북대학교 산학협력단 | 분산환경에 적합한 저비용 rfid 인증 프로토콜 방법 |
CN102034123A (zh) * | 2010-10-27 | 2011-04-27 | 北京航空航天大学 | 一种基于标签id随机划分的rfid三重安全认证方法 |
CN102510335A (zh) * | 2011-11-10 | 2012-06-20 | 西北工业大学 | 基于Hash的RFID双向认证方法 |
CN102737260A (zh) * | 2011-04-15 | 2012-10-17 | 深联致远(北京)科技有限公司 | Rfid隐私保护识别验证方法及其装置 |
CN105530263A (zh) * | 2016-01-08 | 2016-04-27 | 广东工业大学 | 一种基于标签id的超轻量级rfid双向认证方法 |
CN106330451A (zh) * | 2016-08-11 | 2017-01-11 | 广东工业大学 | 一种rfid标签所有权转移方法 |
CN106411505A (zh) * | 2016-08-31 | 2017-02-15 | 广东工业大学 | 一种移动射频识别的双向认证方法及移动射频识别系统 |
CN106446663A (zh) * | 2016-08-30 | 2017-02-22 | 德阳市闪通思动科技有限责任公司 | 一种标签阅读器和数据库三向认证系统及方法 |
-
2017
- 2017-05-22 CN CN201710363248.8A patent/CN107046467B/zh not_active Expired - Fee Related
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20090005834A (ko) * | 2007-07-10 | 2009-01-14 | 경북대학교 산학협력단 | 분산환경에 적합한 저비용 rfid 인증 프로토콜 방법 |
CN101286849A (zh) * | 2008-06-11 | 2008-10-15 | 任少华 | 基于约定算法的第三方认证系统和方法 |
CN102034123A (zh) * | 2010-10-27 | 2011-04-27 | 北京航空航天大学 | 一种基于标签id随机划分的rfid三重安全认证方法 |
CN102737260A (zh) * | 2011-04-15 | 2012-10-17 | 深联致远(北京)科技有限公司 | Rfid隐私保护识别验证方法及其装置 |
CN102510335A (zh) * | 2011-11-10 | 2012-06-20 | 西北工业大学 | 基于Hash的RFID双向认证方法 |
CN105530263A (zh) * | 2016-01-08 | 2016-04-27 | 广东工业大学 | 一种基于标签id的超轻量级rfid双向认证方法 |
CN106330451A (zh) * | 2016-08-11 | 2017-01-11 | 广东工业大学 | 一种rfid标签所有权转移方法 |
CN106446663A (zh) * | 2016-08-30 | 2017-02-22 | 德阳市闪通思动科技有限责任公司 | 一种标签阅读器和数据库三向认证系统及方法 |
CN106411505A (zh) * | 2016-08-31 | 2017-02-15 | 广东工业大学 | 一种移动射频识别的双向认证方法及移动射频识别系统 |
Non-Patent Citations (1)
Title |
---|
柳毅 等: "基于Rabin算法的可扩展RFID双向认证协议", 《计算机工程与应用》 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110677401A (zh) * | 2019-09-24 | 2020-01-10 | 桂林电子科技大学 | 一种基于中国剩余定理的rfid系统群组标签认证方法 |
CN110677401B (zh) * | 2019-09-24 | 2021-07-30 | 桂林电子科技大学 | 一种基于中国剩余定理的rfid系统群组标签认证方法 |
CN111695152A (zh) * | 2020-05-26 | 2020-09-22 | 东南大学 | 一种基于安全代理的MySQL数据库防护方法 |
Also Published As
Publication number | Publication date |
---|---|
CN107046467B (zh) | 2020-08-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9864983B2 (en) | Payment method, payment server performing the same and payment system performing the same | |
CN106845304B (zh) | 一种实现rfid系统中阅读器与标签认证的方法与系统 | |
CN101847199B (zh) | 用于射频识别系统的安全认证方法 | |
CN102034123B (zh) | 一种基于标签id随机划分的rfid三重安全认证方法 | |
CN106792686B (zh) | 一种rfid双向认证方法 | |
CN103152174B (zh) | 应用于停车场的数据处理方法、装置及停车场管理系统 | |
CN105450673A (zh) | 基于移动rfid系统的安全协议认证方法 | |
CN111339201B (zh) | 基于区块链的测评方法及系统 | |
CN103795543A (zh) | 一种用于rfid系统的安全双向认证方法 | |
CN106789024A (zh) | 一种远程解锁方法、装置和系统 | |
CN102043973B (zh) | 一种基于半可信中心的电子标签拥有权转移方法 | |
CN106296177A (zh) | 基于银行移动应用的数据处理方法和设备 | |
CN101488179A (zh) | 一种无线射频识别系统认证方法和设备 | |
CN116057554A (zh) | 管理交易数据组的方法、参与者单元、交易登记册和支付系统 | |
CN104506533B (zh) | 一种基于puf的rfid标签所有权转移方法 | |
CN102693438B (zh) | 一种隐私保护无线射频识别密码协议方法及系统 | |
CN107040363B (zh) | 基于混沌加密的轻量级rfid所有权转移方法及系统 | |
CN106712952B (zh) | 一种射频标签安全识别方法和系统 | |
CN107046467A (zh) | 一种基于读写器、标签和数据库的三方验证方法及系统 | |
CN104579673B (zh) | Rfid卡与读卡器之间的交互认证方法 | |
CN112884485A (zh) | 一种基于区块链网络的对称加密溯源交易方法、系统及存储介质 | |
CN104618118B (zh) | 一种rfid所有权转换支持方法 | |
CN103763106B (zh) | 一种物联网认证中的位置隐私保护方法 | |
CN113988103B (zh) | 一种基于多标签的rfid识别方法 | |
CN107342864A (zh) | 一种基于读写器、标签和数据库的三方验证方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20200811 Termination date: 20210522 |