CN107124282B - 基于MIPv6的云环境下RFID认证系统及方法 - Google Patents

基于MIPv6的云环境下RFID认证系统及方法 Download PDF

Info

Publication number
CN107124282B
CN107124282B CN201710351802.0A CN201710351802A CN107124282B CN 107124282 B CN107124282 B CN 107124282B CN 201710351802 A CN201710351802 A CN 201710351802A CN 107124282 B CN107124282 B CN 107124282B
Authority
CN
China
Prior art keywords
key
label
mobile reader
new
cryptographic hash
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710351802.0A
Other languages
English (en)
Other versions
CN107124282A (zh
Inventor
董庆宽
陈萌萌
李璐璐
陈原
王旭枫
张文博
曾敏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xian University of Electronic Science and Technology
Original Assignee
Xian University of Electronic Science and Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xian University of Electronic Science and Technology filed Critical Xian University of Electronic Science and Technology
Priority to CN201710351802.0A priority Critical patent/CN107124282B/zh
Publication of CN107124282A publication Critical patent/CN107124282A/zh
Application granted granted Critical
Publication of CN107124282B publication Critical patent/CN107124282B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/568Storing data temporarily at an intermediate stage, e.g. caching
    • H04L67/5681Pre-fetching or pre-delivering data based on network characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明提出了一种基于MIPv6的云环境下RFID认证系统及方法,用于解决现有技术中存在的移动阅读器位置隐私容易暴露以及标签计算复杂度高的技术问题,认证系统包括标签、移动阅读器、云数据库服务器及包括家乡代理和接入路由器的MIPv6网络框架,移动阅读器和云数据库服务器分别作为MIPv6网络框架的一个移动节点和通信对端,实现步骤为:建立移动阅读器与家乡代理之间的隧道;移动阅读器向标签发送认证请求;标签响应移动阅读器;移动阅读器通过隧道经由家乡代理向云数据库服务器发送消息;云数据库服务器查询验证;移动阅读器认证标签;云数据库服务器更新加密哈希表;移动阅读器向标签发送消息;标签认证移动阅读器。

Description

基于MIPv6的云环境下RFID认证系统及方法
技术领域
本发明属于信息安全技术领域,涉及一种云环境下RFID认证系统及方法,具体涉及一种基于MIPv6的云环境下RFID认证系统及方法,可用于云环境下的RFID系统。
背景技术
无线射频识别(RFID)作为物联网中的一项关键技术,是一种非接触式的自动识别和数据捕获技术,可以同时识别被标记的大量物品,且具有便捷性、无需可视性、快速读取等优势,因此广泛应用于诸多领域:防伪识别、产品跟踪、供应链自动管理、信用卡支付、电子护照、门禁等等。RFID技术与无线应用技术的融合,使它具备了条形码技术所不具备的优越性。
一个完整的RFID认证系统通常由三部分组成:标签、阅读器和后台服务器,标签与阅读器借助后台服务器进行认证。在设计RFID认证方案时,大多数都是基于阅读器与后台数据库安全连接这一假设,这一假设限制了阅读器的移动性,后台服务器的计算能力及其安全性成为一大瓶颈。由于云计算具有按需租用与付费、提供实时计算等优势,因此将RFID与云计算相结合成为研究热点。在基于云的RFID中,云数据库即为后台数据库,阅读器可以移动,标签和阅读器通过验证哈希值来完成相互认证,但是,阅读器与云数据库之间的通信链路不再安全,在阅读器发送消息给云数据库时容易暴露阅读器的位置隐私,且在整个认证过程中,标签的计算复杂度较高,例如,Wei等人在“IEEE International Conference onRFID”上发表了题目为“基于云的RFID认证”的论文(IEEE,2013:168-175),该论文提出了基于云的RFID认证系统及方法,在阅读器与云数据库之间部署了VPN代理,VPN代理为阅读器和云数据库提供VPN路由,并为阅读器提供一个随机的虚拟IP地址,恶意云不能基于数据包源地址将协议消息与同一阅读器连接起来,保护了阅读器的匿名性;阅读器通过验证标签发送的哈希值来认证标签身份,标签通过验证阅读器发送的哈希值来认证阅读器身份,在整个认证过程中,标签需进行一次随机数的产生、四次哈希运算和一次异或运算,其中,哈希运算是对三个对象级联的消息串进行运算。该方案的缺陷是,VPN代理会掌握用户的信息和阅读器的IP地址,这样会容易暴露阅读器的位置隐私,同时,VPN的部署和维护成本较高,标签的计算复杂度较高。
发明内容
本发明的目的在于克服上述现有技术存在的缺陷,提出了一种基于MIPv6的云环境下RFID认证系统及方法,用于解决现有技术中存在的移动阅读器位置隐私容易暴露以及标签计算复杂度高的技术问题。
本发明的技术思路是:通过引入MIPv6网络框架,移动阅读器和标签的交互信息都是经由家乡代理转发至云数据库服务器,从而保护移动阅读器的位置隐私。标签在认证过程中只需进行一次随机数的产生和四次哈希运算,其中,哈希运算是对两个对象级联的消息串进行运算,从而降低了标签计算复杂度。
根据上述技术思路,实现本发明目的采取的技术方案为:
一种基于MIPv6的云环境下RFID认证系统,包括标签、移动阅读器、云数据库服务器和MIPv6网络框架,其中:
所述标签,用于对物品进行标识;
所述移动阅读器,用于识别标签,同时作为MIPv6网络框架的一个移动节点,实现与云数据库服务器的通信;
所述云数据库服务器,用于存储和查询RFID数据,同时作为MIPv6网络框架的通信对端,实现与移动阅读器的通信;
所述MIPv6网络框架,还包括家乡代理和接入路由器;所述家乡代理,用于将标签与移动阅读器交互的信息转发至云数据库服务器,实现对移动阅读器位置隐私的保护;所述接入路由器,用于实现所在接入网络中的IPv6节点的对外通信。
上述基于MIPv6的云环境下RFID认证系统,移动阅读器与云数据库服务器之间的通信,采用双向隧道模式。
一种基于MIPv6的云环境下RFID认证方法,包括如下步骤:
(1)对认证系统进行初始化:
(1a)将标签身份标识idT和标签秘密值key存储至标签,其中,T表示标签;
(1b)将用户身份标识UA和阅读器身份标识idR存储至移动阅读器,其中,R表示阅读器;
(1c)将加密哈希表{h(key||idT),Ek(key||idT)},{h(keyold||idT),Ek(keyold||idT)}存储至云数据库服务器,并令h(key||idT)=h(keyold||idT),Ek(key||idT)=Ek(keyold||idT),其中k为移动阅读器的密钥,keyold为标签旧密钥;
(1d)云数据库服务器和移动阅读器之间共享认证密钥kRC;
(2)建立移动阅读器与家乡代理之间的隧道:
(2a)移动阅读器移动到外地网络,从接入路由器获得一个转交地址,并向家乡代理发送绑定更新消息;
(2b)家乡代理利用绑定更新消息,对移动阅读器的家乡地址和获得的转交地址进行绑定注册,并向移动阅读器返回一个绑定确认消息,实现家乡注册;
(3)移动阅读器向标签发送认证请求:
移动阅读器生成一个随机数r1,并向标签发送认证请求消息Request||r1,其中Request是认证请求消息前缀,||表示消息级联;
(4)标签对移动阅读器作出响应:
(4a)标签接收认证请求消息Request||r1,并生成随机数r2
(4b)标签计算标签秘密值key和标签身份标识idT级联的哈希值X,X=h(key||idT),同时计算随机数r1和标签身份标识idT级联的哈希值M1,M1=h(r1||idT);
(4c)标签将随机数r2、哈希值X和哈希值M1进行级联,并将级联后的消息串r2||X||M1发送至移动阅读器作为对其的响应;
(5)移动阅读器向云数据库服务器发送消息:
(5a)移动阅读器存储哈希值M1
(5b)移动阅读器将用户身份标识UA、阅读器身份标识idR和哈希值X进行级联,并将级联后的消息串UA||idR||X和该消息串的消息摘要MAC1kRC进行级联,得到消息串UA||idR||X||MAC1kRC
(5c)移动阅读器将消息串UA||idR||X||MAC1kRC通过隧道经由家乡代理转发至云数据库服务器;
(6)云数据库服务器进行查询验证:
云数据库服务器对消息摘要MAC1kRC进行验证,当消息摘要MAC1kRC与消息串UA||idR||X的哈希值相等时,根据用户身份标识UA在数据库中查询是否有与哈希值X相等的哈希值h(key||idT)或h(keyold||idT),结果有三种可能:
i)若h(key||idT)≠X且h(keyold||idT)≠X,则终止认证;
ii)若h(key||idT)=X,表明上一次云数据库服务器和标签均成功的进行了密钥更新,云数据库服务器将密文Ek(key||idT)和该密文Ek(key||idT)的消息摘要MAC2kRC进行级联,并经由家乡代理将级联后的消息串Ek(key||idT)||MAC2kRC转发至移动阅读器;
iii)若h(keyold||idT)=X,表明上一次云数据库服务器正常更新,而标签没有正常更新,云数据库服务器将密文Ek(keyold||idT)和该密文Ek(keyold||idT)的消息摘要MAC3kRC进行级联,并经由家乡代理将级联后的消息串Ek(keyold||idT)||MAC3kRC转发至移动阅读器;
(7)移动阅读器对标签进行认证:
移动阅读器采用密钥k对密文Ek(key||idT)进行解密,得到标签秘密值key和标签身份标识idT,并计算随机数r1和标签身份标识idT级联的哈希值h(r1||idT),再判断哈希值h(r1||idT)与哈希值M1是否相等,若是,则实现了对标签的认证,否则,终止认证;
(8)移动阅读器向云数据库服务器发送消息:
(8a)移动阅读器计算随机数r1和标签秘密值key级联的哈希值h(r1||key),并将该哈希值h(r1||key)作为标签新秘密值keynew
(8b)移动阅读器计算标签新秘密值keynew和标签身份标识idT级联的哈希值h(keynew||idT),同时采用密钥k对标签新秘密值keynew和标签身份标识idT的级联结果进行加密,得到密文Ek(keynew||idT);
(8c)移动阅读器将哈希值h(keynew||idT)、密文Ek(keynew||idT)进行级联,并将级联后的消息串h(keynew||idT)||Ek(keynew||idT)和该消息串的消息摘要MAC4kRC进行级联,得到消息串h(keynew||idT)||Ek(keynew||idT)||MAC4kRC
(8c)移动阅读器将消息串h(keynew||idT)||Ek(keynew||idT)||MAC4kRC通过隧道经由家乡代理转发至云数据库服务器;
(9)云数据库服务器利用消息串h(keynew||idT)||Ek(keynew||idT)||MAC4kRC对加密哈希表进行更新,并发送更新完毕信息给移动阅读器;
(10)移动阅读器向标签发送消息:
移动阅读器计算随机数r2和标签新秘密值keynew级联的哈希值M2,M2=h(r2||keynew),并将哈希值M2发送至标签;
(11)标签对移动阅读器进行认证:
(11a)标签计算随机数r1和标签秘密值key级联的哈希值h(r1||key),并将该哈希值h(r1||key)作为标签新秘密值keynew
(11b)标签计算随机数r2和标签新秘密值keynew级联的哈希值h(r2||keynew),并判断该哈希值h(r2||keynew)与哈希值M2是否相等,若是,则实现了对移动阅读器的认证,否则,终止认证。
本发明与现有技术相比,具有如下优点:
1.本发明引入了MIPv6网络框架,利用框架中的家乡代理,将标签与移动阅读器交互的信息转发至云数据库服务器,实现对移动阅读器位置隐私的保护,且无需增加任何硬件基础设施。
2.本发明中的移动阅读器,作为MIPv6网络框架中的一个移动节点,具有较好的移动性,可以移至任何地点。
3.本发明中的标签只需进行一次随机数的产生和四次哈希运算,其中,哈希运算是对两个对象级联的消息串进行运算,标签计算复杂度较小,满足轻量级标签的要求。
附图说明
图1是本发明认证系统的结构示意图;
图2是本发明认证方法的实现流程图。
具体实施方式
下面结合附图和具体实施例,对本发明作进一步的详细描述。
参见图1,一种基于MIPv6的云环境下RFID认证系统,包括标签、移动阅读器、云数据库服务器和MIPv6网络框架,其中,标签用于对物品进行标识;移动阅读器,用于识别标签,同时作为MIPv6网络框架的一个移动节点,实现与云数据库服务器的通信;云数据库服务器用于存储和查询RFID数据,同时作为MIPv6网络框架的通信对端,实现与移动阅读器的通信;MIPv6网络框架还包括家乡代理和接入路由器;所述家乡代理,用于将标签与移动阅读器交互的信息转发至云数据库服务器,实现对移动阅读器位置隐私的保护;所述接入路由器,用于实现所在接入网络中的IPv6节点的对外通信。
上述基于MIPv6的云环境下RFID认证系统,移动阅读器与云数据库服务器之间的通信,采用双向隧道模式。双向隧道是一种经由家乡代理通过隧道传输数据包的通信模式,在这种模式中,通信对端不需要支持MIPv6,移动节点也不需要直接对通信对端可见,因此,采用双向隧道通信模式可以保护移动节点的位置隐私。
参见图2,一种基于MIPv6的云环境下RFID认证方法,包括如下步骤:
步骤1,对认证系统进行初始化:
(1a)将标签身份标识idT和标签秘密值key存储至标签,其中,T表示标签;
(1b)将用户身份标识UA和阅读器身份标识idR存储至移动阅读器,其中,R表示阅读器;
(1c)将加密哈希表{h(key||idT),Ek(key||idT)},{h(keyold||idT),Ek(keyold||idT)}存储至云数据库服务器,并令h(key||idT)=h(keyold||idT),Ek(key||idT)=Ek(keyold||idT),其中k为移动阅读器的密钥,keyold为标签旧密钥;
(1d)云数据库服务器和移动阅读器之间共享认证密钥kRC;
步骤2,建立移动阅读器与家乡代理之间的隧道:
(2a)移动阅读器移动到外地网络,从接入路由器获得一个转交地址,并向家乡代理发送绑定更新消息;
(2b)家乡代理利用绑定更新消息,对移动阅读器的家乡地址和获得的转交地址进行绑定注册,并向移动阅读器返回一个绑定确认消息,实现家乡注册;
步骤3,移动阅读器向标签发送认证请求:
移动阅读器生成一个随机数r1,并向标签发送认证请求消息Request||r1,其中Request是认证请求消息前缀,||表示消息级联;
步骤4,标签对移动阅读器作出响应:
(4a)标签接收认证请求消息Request||r1,并生成随机数r2
(4b)标签计算标签秘密值key和标签身份标识idT级联的哈希值X,X=h(key||idT),同时计算随机数r1和标签身份标识idT级联的哈希值M1,M1=h(r1||idT);
(4c)标签将随机数r2、哈希值X和哈希值M1进行级联,并将级联后的消息串r2||X||M1发送至移动阅读器作为对其的响应;
步骤5,移动阅读器向云数据库服务器发送消息:
(5a)移动阅读器存储哈希值M1
(5b)移动阅读器将用户身份标识UA、阅读器身份标识idR和哈希值X进行级联,并将级联后的消息串UA||idR||X和该消息串的消息摘要MAC1kRC进行级联,得到消息串UA||idR||X||MAC1kRC
(5c)移动阅读器将消息串UA||idR||X||MAC1kRC通过隧道经由家乡代理转发至云数据库服务器;
移动阅读器向云数据库服务器发送的消息是包含在数据包中发送的,在移动阅读器通过隧道发送至家乡代理的数据包中包含下列内容:
1.外层IPv6报头在外层IPv6报头中,源地址是移动阅读器的转交地址,目的地址是家乡代理的IP地址。
2.内层IPv6报头在内层IPv6报头中,源地址是移动阅读器的家乡地址,目的地址是云数据库服务器的IP地址。
3.上层PDU:上层PDU中包含从移动阅读器发送至云数据库服务器的应用层数据。
家乡代理在收到移动阅读器通过隧道发送来的数据包之后,将数据包进行了处理,再转发至云数据库服务器,处理后的数据包中包含下列内容:
1.IPv6报头:在IPv6报头中,源地址为移动阅读器的家乡地址,目的地址为云数据库服务器的IP地址。
2.上层PDU:上层PDU中包含从移动阅读器发送至云数据库服务器的应用层数据。
经过以上过程,云数据库服务器无法确知数据包的真正来向,从而保护了移动阅读器的位置隐私。
步骤6,云数据库服务器进行查询验证:
云数据库服务器对消息摘要MAC1kRC进行验证,当消息摘要MAC1kRC与消息串UA||idR||X的哈希值相等时,根据用户身份标识UA在数据库中查询是否有与哈希值X相等的哈希值h(key||idT)或h(keyold||idT),结果有三种可能:
i)若h(key||idT)≠X且h(keyold||idT)≠X,则终止认证;
ii)若h(key||idT)=X,表明上一次云数据库服务器和标签均成功的进行了密钥更新,云数据库服务器将密文Ek(key||idT)和该密文Ek(key||idT)的消息摘要MAC2KRC进行级联,并经由家乡代理将级联后的消息串Ek(key||idT)||MAC2kRC转发至移动阅读器;
iii)若h(keyold||idT)=X,表明上一次云数据库服务器正常更新,而标签没有正常更新,云数据库服务器将密文Ek(keyold||idT)和该密文Ek(keyold||idT)的消息摘要MAC3kRC进行级联,并经由家乡代理将级联后的消息串Ek(keyold||idT)||MAC3kRC转发至移动阅读器;
云数据库服务器向移动阅读器发送的消息是包含在数据包中发送的,数据包中包含下列内容:
1.IPv6基本报头:在IPv6基本报头中,源地址是云数据库服务器的IP地址,目的地址是移动阅读器的家乡地址。
2.上层PDU:上层PDU中包含从云数据库服务器发送至移动阅读器的应用层数据。
家乡代理截获发送至移动阅读器家乡地址的数据包后,将数据包进行了处理,再通过隧道将数据包发送至移动阅读器,处理后的数据包中包含下列内容:
1.外层IPv6报头在外层IPv6报头中,源地址是家乡代理的IP地址,目的地址是阅读器的转交地址。
2.内层IPv6报头在内层IPv6报头中,源地址是云数据库服务器的IP地址,目的地址是移动阅读器的家乡地址。
3.上层PDU:上层PDU中包含从云数据库服务器发送至移动阅读器的应用层数据。
步骤7,移动阅读器对标签进行认证:
移动阅读器采用密钥k对密文Ek(key||idT)进行解密,得到标签秘密值key和标签身份标识idT,并计算随机数r1和标签身份标识idT级联的哈希值h(r1||idT),再判断哈希值h(r1||idT)与哈希值M1是否相等,若是,则实现了对标签的认证,否则,终止认证;
步骤8,移动阅读器向云数据库服务器发送消息:
(8a)移动阅读器计算随机数r1和标签秘密值key级联的哈希值h(r1||key),并将该哈希值h(r1||key)作为标签新秘密值keynew
(8b)移动阅读器计算标签新秘密值keynew和标签身份标识idT级联的哈希值h(keynew||idT),同时采用密钥k对标签新秘密值keynew和标签身份标识idT的级联结果进行加密,得到密文Ek(keynew||idT);
(8c)移动阅读器将哈希值h(keynew||idT)、密文Ek(keynew||idT)进行级联,并将级联后的消息串h(keynew||idT)||Ek(keynew||idT)和该消息串的消息摘要MAC4kRC进行级联,得到消息串h(keynew||idT)||Ek(keynew||idT)||MAC4kRC
(8c)移动阅读器将消息串h(keynew||idT)||Ek(keynew||idT)||MAC4kRC通过隧道经由家乡代理转发至云数据库服务器;
步骤9,云数据库服务器利用消息串h(keynew||idT)||Ek(keynew||idT)||MAC4kRC对加密哈希表进行更新,令h(key||idT)=h(keynew||idT),Ek(key||idT)=Ek(keynew||idT),h(keyold||idT)=h(key||idT),Ek(keyold||idT)=Ek(key||idT),并发送更新完毕信息给移动阅读器;
步骤10,移动阅读器向标签发送消息:
移动阅读器计算随机数r2和标签新秘密值keynew级联的哈希值M2,M2=h(r2||keynew),并将哈希值M2发送至标签;
步骤11,标签对移动阅读器进行认证:
(11a)标签计算随机数r1和标签秘密值key级联的哈希值h(r1||key),并将该哈希值h(r1||key)作为标签新秘密值keynew
(11b)标签计算随机数r2和标签新秘密值keynew级联的哈希值h(r2||keynew),并判断该哈希值h(r2||keynew)与哈希值M2是否相等,若是,则实现了对移动阅读器的认证,否则,终止认证。

Claims (4)

1.一种基于MIPv6的云环境下RFID认证系统,其特征在于,包括标签、移动阅读器、云数据库服务器和MIPv6网络系统,其中:
所述标签,用于对物品进行标识;
所述移动阅读器,用于识别标签,同时作为MIPv6网络系统的一个移动节点,实现与云数据库服务器的通信;
所述云数据库服务器,用于存储和查询射频识别RFID数据,同时作为MIPv6网络系统的通信对端,实现与移动阅读器的通信;
所述MIPv6网络系统,还包括家乡代理和接入路由器;所述家乡代理,用于将标签与移动阅读器交互的信息转发至云数据库服务器,实现对移动阅读器位置隐私的保护;所述接入路由器,用于实现所在接入网络中的IPv6节点的对外通信。
2.根据权利要求1所述的基于MIPv6的云环境下RFID认证系统,其特征在于,所述移动阅读器,其与云数据库服务器之间的通信,采用双向隧道模式。
3.一种基于MIPv6的云环境下RFID认证方法,包括如下步骤:
(1)对认证系统进行初始化:
(1a)将标签身份标识idT和标签秘密值key存储至标签,其中,T表示标签;
(1b)将用户身份标识UA和阅读器身份标识idR存储至移动阅读器,其中,R表示阅读器;
(1c)将加密哈希表{h(key||idT),Ek(key||idT)},{h(keyold||idT),Ek(keyold||idT)}存储至云数据库服务器,并令h(key||idT)=h(keyold||idT),Ek(key||idT)=Ek(keyold||idT),其中k为移动阅读器的密钥,keyold为标签旧密钥;
(1d)云数据库服务器和移动阅读器之间共享认证密钥kRC;
(2)建立移动阅读器与家乡代理之间的隧道:
(2a)移动阅读器移动到外地网络,从接入路由器获得一个转交地址,并向家乡代理发送绑定更新消息;
(2b)家乡代理利用绑定更新消息,对移动阅读器的家乡地址和获得的转交地址进行绑定注册,并向移动阅读器返回一个绑定确认消息,实现家乡注册;
(3)移动阅读器向标签发送认证请求:
移动阅读器生成一个随机数r1,并向标签发送认证请求消息Request||r1,其中Request是认证请求消息前缀,||表示消息级联;
(4)标签对移动阅读器作出响应:
(4a)标签接收认证请求消息Request||r1,并生成随机数r2
(4b)标签计算标签秘密值key和标签身份标识idT级联的哈希值X,X=h(key||idT),同时计算随机数r1和标签身份标识idT级联的哈希值M1,M1=h(r1||idT);
(4c)标签将随机数r2、哈希值X和哈希值M1进行级联,并将级联后的消息串r2||X||M1发送至移动阅读器作为对其的响应;
(5)移动阅读器向云数据库服务器发送消息:
(5a)移动阅读器存储哈希值M1
(5b)移动阅读器将用户身份标识UA、阅读器身份标识idR和哈希值X进行级联,并将级联后的消息串UA||idR||X和该消息串的消息摘要MAC1kRC进行级联,得到消息串UA||idR||X||MAC1kRC
(5c)移动阅读器将消息串UA||idR||X||MAC1kRC通过隧道经由家乡代理转发至云数据库服务器;
(6)云数据库服务器进行查询验证:
云数据库服务器对消息摘要MAC1kRC进行验证,当消息摘要MAC1kRC与消息串UA||idR||X的哈希值相等时,根据用户身份标识UA在数据库中查询是否有与哈希值X相等的哈希值h(key||idT)或h(keyold||idT),结果有三种可能:
i)若h(key||idT)≠X且h(keyold||idT)≠X,则终止认证;
ii)若h(key||idT)=X,表明上一次云数据库服务器和标签均成功的进行了密钥更新,云数据库服务器将密文Ek(key||idT)和该密文Ek(key||idT)的消息摘要MAC2kRC进行级联,并经由家乡代理将级联后的消息串Ek(key||idT)||MAC2kRC转发至移动阅读器;
iii)若h(keyold||idT)=X,表明上一次云数据库服务器正常更新,而标签没有正常更新,云数据库服务器将密文Ek(keyold||idT)和该密文Ek(keyold||idT)的消息摘要MAC3kRC进行级联,并经由家乡代理将级联后的消息串Ek(keyold||idT)||MAC3kRC转发至移动阅读器;
(7)移动阅读器对标签进行认证:
移动阅读器采用密钥k对密文Ek(key||idT)进行解密,得到标签秘密值key和标签身份标识idT,并计算随机数r1和标签身份标识idT级联的哈希值h(r1||idT),再判断哈希值h(r1||idT)与哈希值M1是否相等,若是,则实现了对标签的认证,否则,终止认证;
(8)移动阅读器向云数据库服务器发送消息:
(8a)移动阅读器计算随机数r1和标签秘密值key级联的哈希值h(r1||key),并将该哈希值h(r1||key)作为标签新秘密值keynew
(8b)移动阅读器计算标签新秘密值keynew和标签身份标识idT级联的哈希值h(keynew||idT),同时采用密钥k对标签新秘密值keynew和标签身份标识idT的级联结果进行加密,得到密文Ek(keynew||idT);
(8c)移动阅读器将哈希值h(keynew||idT)、密文Ek(keynew||idT)进行级联,并将级联后的消息串h(keynew||idT)||Ek(keynew||idT)和该消息串的消息摘要MAC4kRC进行级联,得到消息串h(keynew||idT)||Ek(keynew||idT)||MAC4kRC
(8c)移动阅读器将消息串h(keynew||idT)||Ek(keynew||idT)||MAC4kRC通过隧道经由家乡代理转发至云数据库服务器;
(9)云数据库服务器利用消息串h(keynew||idT)||Ek(keynew||idT)||MAC4kRC对加密哈希表进行更新,并发送更新完毕信息给移动阅读器;
(10)移动阅读器向标签发送消息:
移动阅读器计算随机数r2和标签新秘密值keynew级联的哈希值M2,M2=h(r2||keynew),并将哈希值M2发送至标签;
(11)标签对移动阅读器进行认证:
(11a)标签计算随机数r1和标签秘密值key级联的哈希值h(r1||key),并将该哈希值h(r1||key)作为标签新秘密值keynew
(11b)标签计算随机数r2和标签新秘密值keynew级联的哈希值h(r2||keynew),并判断该哈希值h(r2||keynew)与哈希值M2是否相等,若是,则实现了对移动阅读器的认证,否则,终止认证。
4.根据权利要求3所述的基于MIPv6的云环境下RFID认证方法,其特征在于,步骤(9)所述的对加密哈希表进行更新,实现方法为:云数据库服务器令h(key||idT)=h(keynew||idT),Ek(key||idT)=Ek(keynew||idT),h(keyold||idT)=h(key||idT),Ek(keyold||idT)=Ek(key||idT)。
CN201710351802.0A 2017-05-18 2017-05-18 基于MIPv6的云环境下RFID认证系统及方法 Active CN107124282B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710351802.0A CN107124282B (zh) 2017-05-18 2017-05-18 基于MIPv6的云环境下RFID认证系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710351802.0A CN107124282B (zh) 2017-05-18 2017-05-18 基于MIPv6的云环境下RFID认证系统及方法

Publications (2)

Publication Number Publication Date
CN107124282A CN107124282A (zh) 2017-09-01
CN107124282B true CN107124282B (zh) 2019-10-25

Family

ID=59728288

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710351802.0A Active CN107124282B (zh) 2017-05-18 2017-05-18 基于MIPv6的云环境下RFID认证系统及方法

Country Status (1)

Country Link
CN (1) CN107124282B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022141600A1 (zh) * 2020-12-31 2022-07-07 华为技术有限公司 一种鉴权方法及通信装置
CN117768974A (zh) * 2022-09-26 2024-03-26 华为技术有限公司 管理标签状态的方法和通信装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103813324A (zh) * 2012-11-07 2014-05-21 中国移动通信集团公司 节点签名方法和层次化MIPv6的移动节点接入方法
CN105100112A (zh) * 2015-08-25 2015-11-25 西安电子科技大学 基于云存储的rfid群组标签所有权转移方法
CN105119832A (zh) * 2015-09-29 2015-12-02 东北大学 基于身份密码学的MIPv6安全移动管理系统及移动认证方法
WO2016082273A1 (zh) * 2014-11-27 2016-06-02 中国科学院计算机网络信息中心 一种MIPv6中基于网络的DNS安全更新方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103813324A (zh) * 2012-11-07 2014-05-21 中国移动通信集团公司 节点签名方法和层次化MIPv6的移动节点接入方法
WO2016082273A1 (zh) * 2014-11-27 2016-06-02 中国科学院计算机网络信息中心 一种MIPv6中基于网络的DNS安全更新方法
CN105100112A (zh) * 2015-08-25 2015-11-25 西安电子科技大学 基于云存储的rfid群组标签所有权转移方法
CN105119832A (zh) * 2015-09-29 2015-12-02 东北大学 基于身份密码学的MIPv6安全移动管理系统及移动认证方法

Also Published As

Publication number Publication date
CN107124282A (zh) 2017-09-01

Similar Documents

Publication Publication Date Title
CN104683109B (zh) 基于位置隐私云的rfid认证系统和认证方法
CN101160924B (zh) 在通信系统中分发证书的方法
CN100579304C (zh) 利用密钥重定认证漫游移动节点的方法和装置
US7298847B2 (en) Secure key distribution protocol in AAA for mobile IP
US10791106B2 (en) Digital credential with embedded authentication instructions
US20050197104A1 (en) Method and apparatus for access authentication in wireless mobile communication system
CN107070846A (zh) 提供接入特定的密钥的方法和系统
CN101356759A (zh) 安全密钥材料的基于令牌的分布式生成
CN105493115A (zh) 处理电子令牌
KR20080108130A (ko) 다중 인증을 바인딩하는 방법 및 장치
CN101640887A (zh) 鉴权方法、通信装置和通信系统
CN106100836A (zh) 一种工业用户身份认证和加密的方法及系统
US20100049969A1 (en) System and method for providing security in mobile WiMAX network system
CN106789024A (zh) 一种远程解锁方法、装置和系统
CN107124282B (zh) 基于MIPv6的云环境下RFID认证系统及方法
CN101616407B (zh) 预认证的方法和认证系统
CN102833747B (zh) 分离机制移动性管理系统实现接入认证的密钥分发方法
CN102546523A (zh) 一种互联网接入的安全认证方法、系统和设备
CN103051594A (zh) 一种标识网端到端安全建立的方法、网络侧设备及系统
CN108965266B (zh) 一种基于群组密钥池和Kerberos的User-to-User身份认证系统和方法
CN107276764B (zh) 一种基于rfid的供应链路径管控方法
CN106714158A (zh) 一种WiFi接入方法及装置
Park et al. Securing 6LoWPAN neighbor discovery
CN105898720B (zh) 一种短消息的处理方法、装置及系统
CN106101058A (zh) 一种基于二维码的热点信息处理方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant