CN107147498A

CN107147498A - 一种基于Hash函数和动态共享密钥的强匿名RFID认证协议

Info

Publication number: CN107147498A
Application number: CN201710338985.2A
Authority: CN
Inventors: 何丽莉; 白洪涛; 欧阳丹彤; 胡国博; 郑莹
Original assignee: Jilin University
Current assignee: Jilin University
Priority date: 2017-05-15
Filing date: 2017-05-15
Publication date: 2017-09-08
Anticipated expiration: 2037-05-15
Also published as: CN107147498B

Abstract

本发明公开了一种用于RFID认证过程中传递信息的加密方法，标签能够通信地连接读写器，所述加密方法包括：所述标签接收到所述读写器的查询指令后，产生第一随机数并且对该第一随机数和公共密钥做异或运算得到第一输出；将标签标识、第一输出、所述第一随机数和动态序列值作为输入提供给单向Hash函数从而产生第二输出；将第二输出、公共密钥、第一输出和读写器标识提供给单向Hash函数从而产生第三输出；将读写器标识、标签标识和公共密钥提供给单向Hash函数从而产生过滤标识；所述标签向所述读写器发送第一消息，所述第一消息包括：第二输出、第三输出、过滤标识和动态序列值。本申请还公开了一种基于Hash函数和动态共享密钥的强匿名RFID认证方法。

Description

一种基于Hash函数和动态共享密钥的强匿名RFID认证协议

技术领域

现有的基于Hash函数的轻量级RFID认证协议中的大部分在被截取消息后很容易被追踪，泄露标签隐私，并没有真正实现标签的强匿名性。本发明基于Hash函数和动态共享密钥机制，提出了一种真正满足标签强匿名性的轻量级RFID认证协议。

背景技术

射频识别(RFID)是一种非接触式的自动识别技术，它是公认的物联网的核心技术之一。现在的RFID技术能够并行地识别多个对象，即使处于移动状态的物体也能够准确识别，此项技术已经应用于各种复杂环境之中，如物流，图书馆以及制造业等。射频识别通过无线电信号进行通信并识别物体，在RFID系统中，标签与读写器通过无线信号进行信息交换，标签附着在物体上，内部保存着物体的信息；读写器通过天线与附近的标签进行数据交换，从而实现对目标的识别，读写器不需要看到标签，而是通过电磁场建立通信，将相应数据转发到后台系统，人们通过互联网连接服务器，即可获取相应物品的即时信息，并对其进行管理和追踪。

RFID应用领域在不断地扩展和深入，随之而来安全问题也逐渐成为 RFID技术发展的重点。作为RFID系统中的重要组成部分,标签Tag通常为一种被称作CLD的非接触式装置,由于长期暴露在外界,面临着远程窃听、伪造攻击、标签定位以及采取不正当手段获得数据，去同步攻击等诸多威胁。标签内部数据可能包含着隐私信息,如果发生消息泄露将引起难以估量的损失。因此为了安全地识别标签，识别协议必须满足一系列安全准则，特别是保证攻击人不能窃取合法的RFID标签信息。综合目前RFID技术的发展情况,现有的RFID安全研究都不够完善,存在着大量的不足和漏洞。目前RFID安全技术可以分为物理保护方法和逻辑加密方法；逻辑方法按加密方式可以分为基于对称加密的协议，基于非对称加密的协议和基于物理特性的协议，而物理保护受到成本和实施的制约，应用范围较窄，可以用作辅助保护机制。高成本的标签具有较强的计算和存储能力，但不利于RFID系统的大范围应用。而低成本标签的计算和存储能力受到一定的限制,重量级的加密算法并不适用，因此具有较多的安全问题。目前，设计一个低复杂性兼具强安全性的轻量级RFID安全认证协议是需要急需解决的问题。

发明内容

本发明的一个目的是解决至少上述问题和/或缺陷，并提供至少后面将说明的优点。

本发明还有一个目的是提供一种基于Hash函数和动态共享密钥的强匿名RFID认证方法,能够使标签验证阶段具有强匿名性。

本发明还有一个目的是基于动态共享密钥的强匿名RFID认证的动态过滤方法。

本发明还有一个目的是提供一种传递信息基于Hash函数加密方法。

一种用于RFID认证过程中传递信息的加密方法，标签能够通信地连接读写器，所述加密方法包括：

所述标签接收到所述读写器的查询指令后，产生第一随机数并且对该第一随机数和公共密钥做异或运算得到第一输出；

将标签标识、第一输出、所述第一随机数和动态序列值作为输入提供给单向Hash函数从而产生第二输出；

将第二输出、公共密钥、第一输出和读写器标识提供给单向Hash函数从而产生第三输出；

将读写器标识、标签标识和公共密钥提供给单向Hash函数从而产生过滤标识；

所述标签向所述读写器发送第一消息，所述第一消息包括：第二输出、第三输出、过滤标识和动态序列值。

优选的是，还包括：

所述读写器接收所述第一消息后，产生第二随机数并与公共密钥做异或运算得到第四输出；

将第一消息、第二随机数和公共密钥提供给单向Hash函数从而产生第五输出；

所述读写器向后台服务器发送第二消息，所述第二消息包括：第四输出、第五输出、第一消息和读写器标识。

一种基于Hash函数和动态共享密钥的强匿名RFID认证方法，标签能够通信地连接读写器，所述认证方法包括：

标签收到读写器的发出的查询指令之后，生成一个随机数N_t，计算

α＝h(PID_t||K_ts||N_x||ID_r)，FID＝h(ID_t||ID_r||K_ts)；

然后标签向读写器发送消息，其包括：α,PID_t，seq,FID；其中，seq为最后一次接收到的服务器更新的动态追踪序列；

读写器在收到来自标签的信息之后，生成一个随机数N_r，计算β＝h(M2||N_r||K_rs)；读写器将N_y，β和所述标签的信息,ID_r发送都后端服务器进行处理；

后端服务器收到来自读写器的消息后，首先验证seq是否相等，如果不相等，中断此次认证；否则，计算判断β是否等于h(M2||N_r||K_rs)，如果β验证成功，读写器验证完毕；

验证是否存在一个合法的K_ts使得h(PID_t||K_ts||N_x||ID_r)等于标签发送来的消息α，若α验证失败，则终止认证过程；否则，计算验证后端服务器是存在满足h(ID_t||K_ts||seq||N_t)等于接收到的PID_t的ID_t；如果PID_t也验证成功，标签验证阶段完成，否则终止认证过程。

优选的是，还包括：读写器和标签都认证成功后，所述后端服务器生成一个新的seq动态追踪序列seq_new＝n，n为所述后端服务器生成的随机数，然后计算

γ＝h(Pseq_t||K_ts||ID_t||N_t),

δ＝h(ID_r||N_r||K_rs)；

更新下一轮的共享密钥K_tsnew＝h(K_ts||ID_t||seq_new),后端服务器的动态追踪序列和共享密钥数据更新为seq_new和K_tsnew。

优选的是，还包括：

所述读写器接收到所述标签的信息后，读写器判断过滤表中是否存在对应的FID,若存在则判断为上次已经通过的验证；再判断如果是短时间内的再次申请则视为重复申请，不转发此消息给服务器；若不是短时间内的重复申请，则转发信息到后台服务器。

优选的是，还包括：

如果过滤表中没有对应的FID，然后直接转发到后台服务器进行认证；后端服务器对其完成认证后将相应的信息返回给读写器，读写器更新动态过滤表，并将信息转发给标签。

优选的是，还包括：

验证seq是不相等时，标签会使用standby备用表中的未使用过的 (sid_j，skey_j)键值对用于验证；从服务器的SID集合中寻找有没有满足的 sid_j＝PID_t，若存在，则找出对应的skey_j，计算h(sid_j||skey_j||N_X||ID_r)是否等于来自标签的α，不相等则中断连接，相等则生成一个新的seq_new，更新共享密钥的k_tsnew。

优选的是，还包括：

在读写器收到后端服务器返回的的消息后，验证读写器是否满足h(ID_r||N_r||K_rs)＝δ,验证失败则中断验证；若δ验证成功，则转发Pseq_t,γ到标签。

优选的是，还包括：

标签收到消息后，计算然后验证标签是否满足h(Pseq_t||K_ts||ID_t||N_t)＝γ，验证成功的话，标签和后端服务器认证成功。

优选的是，所述过滤表占用所述读写器空间的5～10。

有益效果：

本申请基于Hash函数和动态共享密钥机制，提出了一种真正满足标签强匿名性的RFID认证协议，在标签和服务器之间实现满足标签强匿名性的双向认证协议。实现抵御伪造攻击和克隆攻击，尤其是能正确处理去同步和 Dos攻击，实现减少服务器负载，加快认证过程。

本申请协议通过在标签和服务器之间提前注册standby备用表的方法解决了共享密钥不同步问题。在基于动态更新密钥的RFID认证协议中，非常容易受到去同步攻击，它使得标签和服务器更新不同步从而无法完成下一步验证。本申请针对失去同步问题，采取在注册阶段在标签和服务器间注册 standby备用表的方法，在发生不同步时，通过预先保存的standby备用表内的键值对进行协议认证，因此本文提出的协议能够很好的抵御Dos和去同步攻击。

附图说明

图1是基于分布式网络布局的RFID系统模型。

图2是协议认证过程。

图3协议合法认证过程实例图。

图4读写器执行过滤操作流程图。

图5是BAN逻辑形式化分析流程。

具体实施方式

下面结合附图对本发明做进一步的详细说明，以令本领域技术人员参照说明书文字能够据以实施。

应当理解，本文所使用的诸如“具有”、“包含”以及“包括”术语并不配出一个或多个其它元件或其组合的存在或添加。

基于Hash函数和动态共享密钥对认证过程进行加密，提出一种满足强匿名性的轻量级RFID安全认证协议。本协议的协议会话的消息都是以单向哈希函数结合动态更新的共享密钥和随机数生成器进行加密，消息即使被截取后也不会有暴露原始数据的危险。认证过程中ID以一次性假名PID的形式传输，读写器也不能得到或者推算出真正的标签ID，严格保证了标签的强匿名性。

作为进一步的实施例，针对Dos和去同步攻击，本协议专门建立了standby 表(一种备用认证机制)来应对。

作为进一步的实施例，在本协议中还应用了自定义的动态过滤表，有效地利用了读写器的存储和计算功能，使其不再是一个简单的转发中介，从而减轻服务器负载，完善了整个认证过程。

表1相关协议符号定义

本申请涉及的RFID系统模型都是基于分布式网络系统布局的，结构模型如图1所示。在基于分布式网络布局的RFID系统中，不同类型的标签属于不同的簇，每个簇对应一个读写器，RFID标签所有权可以从一个簇转移到另一个中去，但是这需要对应簇的读写器通过后台安全通道在后端服务器上重新注册。假设在初始条件下，每个簇对应的读写器与后端服务器通过安全信道共享一个密钥K_rs。

读写器与标签进行交互的信道都是不安全的，协议中的标签是低成本的，计算能力和存储能力都很有限，本申请提出的协议中，标签进行单向Hash函数和简单的连接和异或运算。协议所使用的单向Hash函数对于任何攻击者的暴力破解都足够有效。

认证协议包含两个阶段：第一阶段，后端服务器S通过安全信道，将一系列安全码发送到标签T中，我们称这一阶段为注册阶段。第二阶段是真正的认证阶段，标签T和读写器R都需要向后台服务器S提供自己合法的证明才能够进行通信，同时作为优选读写器在认证过程中会动态在用户内存区中建立过滤表，用来过滤重复的无效申请和抵御重放攻击。

一个RFID标签在投入使用前，通过安全信道向服务器提交其标签标识在收到标签的提交请求后，后端服务器生成一个随机数N_s，计算K_ts为标签T和服务器S之间的共享密钥, 分别存储在标签T和服务器S中，在后续验证时候使用。然后，后端服务器生成一个集合SID，SID＝{sid₁，sid₂，...，sid_j}(0＜j＜n，n为预设上限),对每一个sid_j∈SID，计算对应每个sid_j,计算skey_j∈SKEY。这样就生成了一个的对应SID的 SKEY集合，(SID,SKEY)作为standby备用键值对，用来应对失去同步的情况。N_j和N′_j分别是每轮计算时生成的一次性随机数。然后后端服务器生成一个32-bit的随机数n，令动态追踪序列seq＝n。seq的目的是用于检测认证过程是否失去同步，同时还有加快认证过程，抵御重放攻击的作用。每次认证之后，都会更新seq的值。对于SID和SKEY的设计是针对在失去同步的前提下，即seq发生不匹配，服务器直接终止认证，而这时标签可以用内部没有使用过的(sid_j，skey_j)的备用键值对进行认证，使用过的键值对，要在后台服务器和标签中删除，防止中间人攻击和伪造攻击。

服务器再通过安全信道发送K_ts，seq，(SID，SKEY)和h()给标签T，在服务器中保存对应词的K_ts和seq还有(SID，SKEY)的复制，用于下一步在认证执行过程中使用。在分布式RFID系统中，服务器对应于固定读写器的共享密钥K_rs是通过安全通道预设的，不需要每次验证都动态更新。

认证执行阶段：

Step1.R→T：M1{query}

读写器将query命令发送到标签T。

Step2.T→R：M2{α,PID_t，N_x，seq(if req),FID(optional)}

收到读写器的发出的消息之后，生成一个随机数N_t，计算

PID_t＝h(ID_t||K_ts||seq||N_t)，α＝h(PID_t||K_ts||N_x||ID_r，FID＝h(ID_t||ID_r||K_ts)。

然后标签T向读写器R发送消息M1，发送内容为：α,PID_t，seq,FID。其中seq 为最后一次接收到的服务器更新的动态追踪序列。

FID代替标签ID的作为过滤信息的唯一标识，用来在读写器的动态过滤表中判断是否进行过滤。可以有效利用读写器的计算和存储能力，减轻服务器的负担。

在遭受攻击或者意外情况导致失去同步的情况下，seq验证失败，标签自动启用内部的standby表备用键值对进行验证，使得PID_t＝sid_j，K_ts＝skey_j。这种失去同步再次验证的情况下，不需要再次发送seq进行验证，所以也不是每次验证标签都会发送seq。

Step3.R→S：M3{N_y，β,M2,ID_r}

在收到来自标签的信息M2之后，如果FID不为空，则在最新的过滤表中，查询是否存在FID，然后根据动态过滤表执行过滤操作来判断是否过滤本次验证申请。若此次申请并未被过滤，则进行下一步验证。生成一个随机数N_r，计算β＝h(M2||N_r||K_rs)。读写器将N_y，β和M2,ID_r发送都后端服务器进行处理。

Step4.S→R：M4{Pseq_t，γ，δ，PFID(optional)}

收到来自读写器的消息M3后，首先验证seq是否相等，不相等则可能发生不同步现象，中断此次认证。若是合法标签且有提前注册的standby备用表可以再次申请，更新seq后解决不同步现象。如果通过了第一步的动态追踪序列认证，计算判断β是否等于h(M2||N_r||K_rs)，如果β验证成功，读写器验证完毕。开始验证是否存在一个合法的K_ts使得h(PID_t||K_ts||N_x||ID_r) 等于标签发送来的消息α，若α验证失败，则终止认证过程。如果α验证成功，计算验证后端服务器是存在满足h(ID_t||K_ts||seq||N_t)等于接受到的PID_t的ID_t。如果PID_t也验证成功，标签验证阶段完成，否则终止认证过程。

读写器和标签都认证成功后，服务器生成一个新的seq动态追踪序列 seq_new＝n，n为服务器生成的随机数，然后计算γ＝h(Pseq_t||K_ts||ID_t||N_t),δ＝h(ID_r||N_r||K_rs)。然后更新下一轮的共享密钥K_tsnew＝h(K_ts||ID_t||seq_new),此时后端数据库的动态追踪序列和共享密钥数据已经更新为seq_new和K_tsnew。

特别地，作为进一步的优选实施例，如果本次认证启用了动态过滤表机制的话，在此步骤中，无论验证成功还是失败，我们都需要计算PFID,如果认证不成功，则将失败数据返回给读写器，用于防止来攻击者的重防攻击。如果成功则需要计算最后将 Pseq_t,γ，δ和PFID发送给读写器。

特殊情况下，作为进一步的优选，在失去同步时,标签会使用standby备用表中的未使用过的(sid_j，skey_j)键值对用于验证，消息中不包含seq的请求。此时，从服务器的SID集合中寻找有没有满足的sid_j＝PID_t。若存在，则找出对应的skey_j，计算h(sid_j||skey_j||N_X||ID_r)是否等于来自标签的α。不相等则中断连接，相等则生成一个新的seq_new，分别计算Pseq_t,γ，δ的值，更新共享密钥的 K_tsnew，步骤与上述情况相同。

Step5.R→T：M5{Pseq_t，γ}

在收到服务器返回的的消息M4后，首先验证读写器是否满足h(ID_r||N_r||K_rs)＝δ,验证失败则中断验证。若δ验证成功，则转发Pseq_t,γ到标签。特别地，若M4消息中含有PFID标志，接受 PFID，计算得到需要更新在动态过滤表中的FID 信息，记录相应的时间和次数以及成功或失败标志，更新动态过滤表。

标签收到消息后，计算然后验证标签是否满足h(Pseq_t||K_ts||ID_t||N_t)＝γ，验证成功的话，此次协议验证完毕，标签和后端服务器认证成功。

但是，标签还需要同步后端服务器更新seq和K_ts，其中新的seq＝seq_new, 新的K_ts更新为h(K_ts||ID_t||seq_new)。这样标签中的共享密钥和动态追踪序列更新到与服务器同步，在下次认证中使用。需要特殊说明的是，在失去同步的情况下，标签启用standby表中的键值对发出认证申请，认证成功后，需要用同样的方法同步后端服务器更新seq和K_ts，同时删除使用过的键值对，这样就解决了不同步问题。

作为进一步的实施例，如果失去同步情况下，使用的standby备用表验证方式和正常情况下使用一次性假名与动态序列的方法都具有强匿名性。为保证备用验证方式的安全性，备用验证方式的standby表也是在注册阶段通过安全信道由服务器发送到标签的。standby验证只是用来处理去同步攻击和dos 攻击的。而且每次使用过的standby键值对，要在标签和服务器中同时删除，可以防止伪造攻击和中间人攻击。另外，动态追踪序列seq很好的判断了当前标签认证是否和服务器失去同步，而且也相当于第一层基本验证，大大增加了验证速度，能够防止重放攻击和中间人攻击等。读写器中的动态过滤表在多次验证中动态生成，动态过滤表最大化的利用了读写器的存储和计算功能，减轻了后端服务器短时间内进行大批量运算的负担。

作为进一步的实施例，动态过滤表存储到读写器的内部。读写器内部的存储器可以分为系统存储区和用户存储区两部分。在用户存储区上建立数据表，优选的是，，选取用户存储区的10％作为过滤表存储较为合适。在认证过程中，读写器通过接受后台服务器返回的信息对用户存储区内的过滤表进行更新，为了防止动态过滤表被填满，系统定期自动执行擦除，合理释放内存空间并对保留的记录进行排序。

动态过滤表通过在认证过程中接受来自服务器返回的认证信息，保存相应标签的认证成功或失败的记录，用以对标签申请执行过滤操作。动态过滤表的建立是动态的，随着验证次数的增加而不断更新。对于来自攻击者重复的非法认证申请，读写器将执行过滤操作；短时间内的重复申请和超过认证上限次数的申请都会被作为无效申请执行过滤操作；对于有效的合法申请或者第一次认证申请，读写器将转发相应信息至服务器。动态过滤表对于面临较多重放攻击和无效申请的RFID系统环境，有着降低服务器计算负荷，提高RFID系统的运行效率的作用。

表2动态过滤表结构

“FID”是过滤表的主键，为了保持动态的共享密钥和保持安全协议的强匿名性，与基于静态ID机制下的索引内表的实现有所不同，它并不时真正的标签ID，而是用过滤标识FID代替，FID是单向hash函数的加密后的信息 FID＝h(ID_t||ID_r||K)来进行唯一标识，FID只能用于读写器上的过滤判断，因即使它被截获，它也不可能被追踪或者利用，这保证了原协议的强匿名性。

h(),表示轻量级Hash函数，即单向散列函数。

K为动态共享密钥，会在每次验证结束后动态更新。

ID_t和ID_r分别为标签和读写器的唯一标识。

Flag是验证成功与否的标识，如果成功令Flag＝1，否则Flag＝0；

N是记录短时间内同一FID申请验证的次数，对应的N自动加1，初始值为0。

MaxN是允许同一个FID在一定时间内的最大验证次数。与N对比，这样既可以过滤短期内的重复申请，也可以有效地防止重放攻击。

LastT是记录从该FID的最后一次经过验证判断从服务器返回的时间。

首先在读写器中建立一个上表所示数据结构的空表，具体大小根据标签数量和用户存储区判断，一般占用5％到10％的存储区空间，同时能够站总标签数的5％左右最为合适，这样既不会使得空间太大造成浪费和额外的计算量，也不会使得表太小，达不到好的过滤效果。遵循上一节提到的动态过滤表的结构，在读写器的用户内存区上初始化一个对应结构的空表，表3展示了动态过滤表的一个示例。

表3动态过滤表的示例

在强匿名RFID安全协议中，不能直接使用静态的索引内表，而是动态建立过滤表，主要有两方面的原因：一是基于动态共享密钥的强匿名安全协议，它是一种基于动态ID机制的安全协议，密钥在每次结束认证都需要更新，另外，标签标识ID_t是包含在哈希函数里结合动态密钥和随机数作为参数进行加密，利用加密后的一次性假名进行传输，为了保持它的强匿名性，在整个认证过程中，即使是读写器也无法推算真正的ID_t。因此动态过滤表在初始化以后，每次服务器验证结束将验证消息(失败或者成功)加密返回给读写器，读写器解密后更新动态过滤表，随着认证次数的增多，动态过滤表会随之变化。

针对基于动态共享密钥的强匿名RFID安全协议，使用FID作为过滤标识，FID＝h(ID_t||ID_r||K)，它本身的值不会暴露任何信息，符合标签强匿名性的需求。K是在每次验证结束后动态更新的，如果验证失败，那么 FID＝h(ID_t||ID_r||K_old)，如果成功则使FID＝h(ID_t||ID_r||K_new)，即如果验证成果共享密钥会由K_old更新为K_new，然后计算过滤标识FID返回给读写器，如果验证失败，将失败信息值返回给读写器。这样既可以防范已经验证为非合法标签的重放攻击，也能过滤合法标签短期内无效的重复申请。

第一次标签发送申请，经过读写器，此时过滤表为空，转发到后台服务器，进行验证，返回其它加密消息和FID，FID插入到过滤表最上一行，同时根据实际情况更新Flag，成功flag＝1，失败flag＝0。更新LastT为最新时间。经过多次标签的验证，读写器根据服务器返回的数据执行更新算法，循环往复执行这一过程，实现动态过滤表就的建立。但是过滤表是固定大小的，如果过滤表满了，再次有记录想要插入到过滤表中，那么则删除时间最早的一条记录，并由之替换，过滤表中的数据记录按照排序算法进行排序，最新的放在表的上面，当进行过滤的时候优先比对排位较高的记录，提高执行效率。

标签发送FID＝h(ID_t||ID_r||K)，及其他加密验证信息到读写器，读写器判断过滤表中是否存在对应的FID,若存在，如果Flag＝1，则判断为上次已经通过的验证。根据LastT的值进行下一步判断，如果是短时间内(根据标签的频率和实际情况定义)的再次申请则视为重复申请，执行过滤操作，不转发此消息给服务器。若不是短时间内的重复申请，如果N+1<MaxN，则令N＝N+1并且转发其它加密信息到后台服务器，否则N+1＝MaxN，超出一段时间内允许申请的最大次数，则过滤此次认证申请。如果Flag＝0，是已经验证为非法的申请，当时从服务器返回给读写器的FID中的共享密钥仍为K_old，即旧的共享密钥。一般为攻击者利用截获的过期加密信息进行攻击，则直接执行过滤，这样可以有效地防止重放攻击。

如果过滤表中没有对应的FID，然后直接转发其它加密信息到后台服务器进行认证。后端服务器对其完成认证后将相应的信息返回给读写器，读写器更新动态过滤表，并将信息转发给标签。

对于来自非法攻击者的重复攻击，通过过滤表中的非法记录直接执行过滤操作。来自合法标签的申请，根据预设的MaxN判断申请次数未达上限而且判断为不是短时间(定义为L)内重复的无效申请，读写器将转发申请信息至后端服务器。对于失败的申请，则返回失败信息，同时是更新动态过滤表。

通过模拟协议认证过程，通过对协议中的计算、加密、认证和更新过程进行模拟数值实例分析，以验证其可行性。

认证参数初始化：

待认证标签：A5314071F5CBB8D44D6758AA8E02384A

待认证读写器：7E6F98C91E59EA8291F0E081F92A3B77

标签注册阶段数据生成：

动态共享密钥K_ts＝A37BDA413D67A3A5A0A2F1E82D56872D，动态追踪序列seq＝313DA11632475A8D9520F5CAC00103E4。

发起认证：

读写器发送请求消息M1到标签。

标签生成一次性随机数N_t＝038DEDC09CAAD674D8404DA287E3948D，标签计算 PID_t＝h(ID_t||K_ts||seq||N_t)＝5765F19DD9E282A1644F6429455ED2F1，α＝h(PID_t||K_ts||N_x||ID_r)＝00EE5BEB965C41810F08103E1318DBE7， FID＝h(ID_t||ID_r||K_ts)＝861C2E4182F1B42377A574B088CFC2A6，标签发送消息M2＝{N_x，PID_t，α，FID(可选)}到读写器。

读写器首先匹配后台过滤表，由于是第一次申请，不执行过滤。读写器生成一次性随机数N_r＝FA18E2567B1EB7C00896D1010ADA6BF8。读写器计算β＝h(M2||N_r||K_rs)＝92428B5C3046699029982305113CB7A0，读写器发送消息 M3＝{N_y，β，M2，ID_r}到后端服务器进行认证。

后端服务器认证：

服务器收到来自读写器的消息M3，服务器验证动态追踪序列seq，由于本次认证实例使用的是合法标签和读写器，故验证成功。读写器异或计算计算h(M2||N_r||K_rs)＝92428B5C3046699029982305113CB7A0＝β，β验证成功。计算h(PID_t||K_ts||N_xID_r)＝00EE5BEB965C41810F08103E1318DBE7＝α，α验证成功。异或计算最后服务器验证标签假名PID＝861C2E4182F1B42377A574B088CFC2A6，PID验证成功。读写器和标签均成功认证，服务器认证过程结束。

服务器密钥更新：

服务器开始执行更新操作，生成新的动态追踪 seq_new＝99E41363FD2EE0E00D4B37627C763521，计算γ＝h(Pseq_t||K_ts||ID_t||N_t)＝7C0A41B3E59E845F860C00DC0CAD2E51，δ＝h(ID_r||N_r||K_rs)＝EF32A47D3B6172491A0CBE353FB1CCB6。服务器后端更新下一轮认证的K_ts为5BC44A901A947B67855BE81BFCED68A6，最后生成过滤信息

服务器发送消M4＝{Pseq_t，γ，δ，PFID(可选)}到读写器。

读写器认证：

读写器收到服务器返回的消息M4，读写器通过Hash函数计算 h(ID_r||N_r||K_rs)＝EF32A47D3B6172491A0CBE353FB1CCB6，与来自服务器的δ相等，δ验证成功。通过异或计算提取PFID中过滤信息，更新动态过滤表。读写器转发信息M5＝{Pseq_t，γ}到标签。

标签认证和密钥更新：

标签收到来自读写器返回的消息M5，标签计算h(Pseq_t||K_ts||ID_t||N_t)＝EF32A47D3B6172491A0CBE353FB1CCB6，γ验证成功。标签通过异或运算得到更新后的动态追踪序列并在标签端更新 seq_new＝99E41363FD2EE0E00D4B37627C763521，标签计算并更新下一轮的共享密钥K_ts＝5BC44A901A947B67855BE81BFCED68A6，此时标签、读写器和后端服务器相互认证成功，认证结束。

安全协议的形式化分析将安全协议的非形式化描述转换为规范的逻辑符号表示，根据逻辑推理得到协议可能存在的安全缺陷，使用最为广泛的方法是由Burrows,Abadi和Needham三人一起提出的BAN逻辑，它是一种基于推理的模态逻辑方法。采用这种方法，对申请协议进行安全性证明。

BAN逻辑包括协议参与者(主体)，密钥和公式三种基本对象。通常使用字母P，Q表示主体，X，Y表示公式，K表示密钥。用到的一些主要的BAN 逻辑基本结构如表4所示。

表4 BAN逻辑基本结构

BAN逻辑分析共有六个基本推理规则，本申请在分析过程中主要引用了其中的4个：

消息含义规则：P相信P和Q之间的共享密钥K,且P收到过Q发送的以

密钥K进行加密的消息{X}_K，则P相信Q发送的公式X。

控制权规则：若P相信Q具有X有控制权，同时P相信Q相信X,则有P 相信X。

新鲜规则:P相信X是新鲜的,那么X和Y的组合消息整体对于P来说也是新鲜的。

信念规则：如果P相信X和Y组成的级联信息，则P也相信X。

使用BAN逻辑进行形式化分析需要遵从一定的步骤，首先确认初始状态建立起协议的假设集合，然后进行协议理想化描述，对协议会话进行解释，最后使用推理规则进行推导，BAN逻辑形式化分析的基本步骤如图5所示。

根据BAN逻辑形式化分析的基本规则和步骤，下面提出的基于动态共享密钥和Hash函数的强匿名安全协议进行安全性证明。为了更好的分析我们提出的协议，针对本文提出的基于动态共享密钥和Hash函数的强匿名认证协议，由于共享密钥会动态更新，对规则1进行更为详细的表述，原始规则1 中不能表现出密钥的实时性，在协议中，使用过期密钥也视为非法验证申请。因此将规则1进行扩展,使用函数f()保证加密信息X使用密钥和动态序列是最新的，且不是重复的，新的规则表述如下，将其称为扩展规则：

第一次消息M1省略,因为它对协议没有实际作用,协议形式化如下：

1.

2.

3.

4.

协议的初始化假设集合如下：

1.

2.

3.S|≡T|～M2

4.

5.

协议的理想化模型如下：

1.S|≡M3，S|≡R|～β，S|≡T|～PID_t

2.R|≡M4，R|≡s|～δ

3.T|≡M5，T|≡S|～γ

应用上文提到的基本规则以及扩展规则进行逻辑推理，最终达到证明协议安全性的目的。

根据协议流程，服务器若满足和S|＝T|～M2应用规则5可以写为

可以得到，然后根据规则3和规则4，可以写出：

若应用规则5得到

继续应用规则3和规则4有：

和

同样地，针对读写器若有和可以写出

应用规则5可以写出

然后利用规则3和规则2，能够写出

和

以及

对于标签T来说，若有和可以写出

应用规则5得到如下详细描述

通过上述BAN逻辑推导，可以看出，标签,读写器和后端服务器各自都具有足够的认证能力来保证安全，达到了协议的安全目标。通过BAN逻辑分析证明了提出的协议在标签读写器和后端服务器进行双向认证的安全性。

尽管本发明/发明的实施方案已公开如上，但其并不仅仅限于说明书和实施方式中所列运用。它完全可以被适用于各种适合本发明的领域。对于熟悉本领域的人员而言，可容易地实现另外的修改。因此在不背离权利要求及等同范围所限定的一般概念下，本发明并不限于特定的细节和这里示出与描述的图例。

Claims

1.一种用于RFID认证过程中传递信息的加密方法，其特征在于：标签能够通信地连接读写器，所述加密方法包括：

2.根据权利要求1所述用于RFID认证过程中传递信息的加密方法，其特征在于：还包括：

3.一种基于Hash函数和动态共享密钥的强匿名RFID认证方法，其特征在于：标签能够通信地连接读写器，所述认证方法包括：

标签收到读写器的发出的查询指令之后，生成一个随机数N_t，计算α＝h(PID_t||K_ts||N_x||ID_r)，FID＝h(ID_t||ID_r||K_ts)；

然后标签向读写器发送消息M2，其包括：α,PID_t，seq,FID；其中，seq为最后一次接收到的服务器更新的动态追踪序列；

4.根据权利要求3所述的基于Hash函数和动态共享密钥的强匿名RFID认证方法，其特征在于：还包括：读写器和标签都认证成功后，所述后端服务器生成一个新的seq动态追踪序列seq_new＝n，n为所述后端服务器生成的随机数，然后计算

γ＝h(Pseq_t||K_ts||ID_t||N_t),

δ＝h(ID_r||N_r||K_rs)；

更新下一轮的共享密钥Kt_snew＝h(K_ts||ID_t||seq_new),后端服务器的动态追踪序列和共享密钥数据更新为seq_new和K_tsnew。

5.根据权利要求3或4所述的基于Hash函数和动态共享密钥的强匿名RFID认证方法，其特征在于：还包括：

6.根据权利要求5所述的基于Hash函数和动态共享密钥的强匿名RFID认证方法，其特征在于：还包括：

7.根据权利要求3或4所述的基于Hash函数和动态共享密钥的强匿名RFID认证方法，其特征在于：还包括：

验证seq是不相等时，标签会使用standby备用表中的未使用过的(sid_j，skey_j)键值对用于验证；从服务器的SID集合中寻找有没有满足的sid_j＝PID_t，若存在，则找出对应的skey_j，计算h(sid_j||skey_j||N_X||ID_r)是否等于来自标签的α，不相等则中断连接，相等则生成一个新的seq_new，更新共享密钥的K_tsnew。

8.根据权利要求3或4所述的基于Hash函数和动态共享密钥的强匿名RFID认证方法，其特征在于：还包括：

9.根据权利要求8所述的基于Hash函数和动态共享密钥的强匿名RFID认证方法，其特征在于：还包括：

10.根据权利要求9所述的基于Hash函数和动态共享密钥的强匿名RFID认证方法，其特征在于：所述过滤表占用所述读写器空间的5～10％。