CN108833103A - 射频识别标签和读取设备之间进行安全通信的方法和系统 - Google Patents

Abstract

本发明涉及一种用于在RFID标签和读取设备之间经过空气接口进行安全通信的方法和系统以及相应的RFID标签和相应的读取设备。本发明从如下基本思路出发，即，为了在RFID标签和读取设备之间进行安全通信，使用Rabin方法的修改，其中在对明文M(RFID标签的或与之关联的对象的识别元素进入所述明文中)加密的范围内，RFID标签不是计算明文M的平方模n，即，M²mod n，而是计算明文M的平方关于蒙哥马利基数R模n的蒙哥马利缩减(“Montgomery reduction”)，即，C^*＝M²R^‑1mod n，并且从中得到的密文C^*被用于验证RFID标签。在此模数n＝p·q是读取设备的公钥，其中质数p、q是读取设备的私钥并且蒙哥马利基数R是大于模数n的整数。

Description

射频识别标签和读取设备之间进行安全通信的方法和系统

本申请是申请日为2014年11月6日、中国专利申请号为201380024160.3、发明名称为“用于在射频识别标签和读取设备之间进行安全通信的方法和系统”的专利申请的分案申请。

技术领域

本发明涉及用于在RFID标签和读取设备之间经过空气接口进行安全通信的方法和系统以及相应的RFID标签和相应的读取设备。

背景技术

RFID技术(“radio frequency identification，射频识别”)特别地使得可以自动识别人和对象并且在许多应用中被广泛使用，诸如在供应链管理、接入控制系统、用于货物防窃的系统、电子票等中。RFID通常由以RFID标签形式的便携式数据载体(也称为收发机)，以及用于无接触读取RFID标签的识别码的读取设备组成，所述便携式数据载体是人所携带的或在对象上安装的并且在所述便携式数据载体中存储了唯一地识别RFID标签和/或对象的识别码(专业人员也称为唯一ID(UID)、标签ID(TID)或“物品唯一标识符(UII)”)。在此读取设备通常是在不同的位置安装的并且经过后台系统能够访问在那里存储的、多个RFID标签的数据的多个读取设备中的仅一个读取设备。

特别地对于物流应用和对于供应链管理设置的低成本的RFID标签，其通常是从读取设备的电磁场中获得对于运行所需的能量的无源RFID标签，通常不提供密码功能，从而RFID标签相对于读取设备的验证在这样的RFID标签的情况下是不可能的。例如在UHF-RFID标签的情况下就是这样，其对于专业人员来说以名称Class-1Gen-2EPC标签，即，按照标准EPC Class-1Generation 2或更新的标准ISO/IEC 18000-63构造的RFID标签公知。如专业人员所公知的，术语“Class-1Gen-2EPC标签”也包括按照标准ISO/IEC 18000-63的标签。在这样的RFID标签中将唯一的识别码称为EPC(“Electronic Product Code，产品电子代码”)，其通常是由96个比特组成的、其中存储了各自的RFID标签的比特序列。EPC在RFID标签的读取过程中以没有验证的明文形式被传输到读取设备并且由此既可以主动地通过未授权的第三方的读取设备也可以被动地被截取，这通过由第三方窃取在RFID标签和读取设备之间的未受保护的通信通道，即，空气接口来实现。

这导致两个潜在问题，即，一个是导致，RFID标签的存在和位置可以被未授权的第三方采集并且跟踪，这也被称为RFID标签跟踪，并且另一个导致，第三方可以在新的、伪造的RFID标签中复制所读取的EPC并且由此可以将新的、伪造的RFID标签作为从中已经初始地读出了EPC的标签输出，这也称为RFID标签的克隆。

为了保护在RFID标签和读取设备之间的通信，提供密码方法，所述方法一方面允许在RFID标签和读取设备之间单方面或双方面的验证并且另一方面允许经过空气接口的通信的加密。密码方法划分为发送器和接收器使用相同的密钥的对称方法和发送器使用公钥(“public key”)而接收器使用私钥的公钥方法或者说不对称方法。然而在对称方法中公知地存在问题，即，在RFID标签以及在读取设备或与之关联的后台系统中都必须安全地存储共同的密钥，这在具有多个RFID标签和多个读取设备的系统中需要复杂的密钥管理，该密钥管理在公钥方法或者说不对称方法中被取消。如果在所有RFID标签中和在后台系统中存储相同的通用密钥，这样的密钥管理也可以在使用对称方法的系统中被取消。然而这存在危险，即，只要RFID标签的通用密钥已经被确定，则整个系统失效。该危险在公钥方法中不存在。

公知的公钥方法是Rabin方法，其就像通常使用的RSA方法那样使用模幂作为基础。因为在Rabin方法中加密的计算明显更简单，即，比在RSA方法中计算量更少，所以Rabin方法相对于RSA方法特别地在如下地方提供，在所述地方，执行加密的实体，即，加密消息的发送器，仅具有有限的处理器功率，如在应当安全地与连接到后台系统的读取设备通信的、资源限制的RFID标签的情况下那样。

在Rabin方法中密钥由两个在实践中选择得足够大的、经过确定的同余条件互相关联的质数p和q组成。两个质数p和q的乘积n＝p·q定义了模数或模n并且同时表示公钥。合适地，质数p和q大约相同大小。按照Rabin方法将待传输的明文M通过模平方和应用模运算加密，即，按照以下公式从明文M中得到密文C：C＝M²mod n。

Rabin方法的安全性基于，在不知道质数p和q的情况下从密文C计算模平方根是非常困难的。但这仅当明文M不是明显小于模数n时才是这样。通过在平方之后跟随的模运算防止了通过简单求根就可以解密。

因为在Rabin方法中通过发送器的加密包含了模平方，所以接收器为了解密必须计算密文C的模平方根。在此公知地可以使用中国剩余定理(CRT；“chinese remaindertheorem”)。如专业人员知道的，在此得到四个平方根，从中必须选择一个作为初始的明文M。为此可以例如借助合适的标识、校验和等使得“正确的”明文M对于接收器来说是可以识别的。

如从前面描述的在Rabin方法中用于计算密文C的公式中得到的，发送器为了执行模运算通常必须执行长数除法。然而这样的长数除法特别地在诸如在RFID标签的情况下采用的简单的微处理器上只能非常麻烦地实现。

在Y.Oren和M.Feldhofer的文献“A low-Resource Public-KeyIdentificationScheme for RFID Tags and Sensor Nodes”in D.A.Basin,S.Capkun and W.Lee,editors,WISEC,第59-68页，ACM2009中以名称WIPR方法建议了常规的Rabin方法的一种修改，其特别地用于保护在具有简单的处理器的资源限制的RFID标签和读取设备之间的通信。相对于前面描述的常规Rabin方法，WIPR方法具有优点，即，为了计算密文，替代计算量非常大并且由此在如在RFID标签通常可找到的简单微处理器上几乎不能实现的麻烦的长数除法，采用长数乘法，其比除法明显更快地运行并且可以在硬件方面更简单实现。

按照WIPR方法，计算密文C'，方式是，发送器，例如RFID标签，产生随机数r，该随机数与模数n相乘并且将结果加到明文M的平方，也就是C'＝M²+r·n。在此RFID标签的识别码进入到明文M中并且这样选择随机数r的大小，使得乘积r·n大于模数n的两倍。与常规的Rabin方法不同，在WIPR方法中明文M的平方不是通过执行包含了长数除法的模运算，而是通过乘积r·n与合适选择的随机数r相加而被掩模。

在出版物A.Shamir,“Memory Efficient Variants of Public-Key Schemes forSmart Card Applications”,in A.D.Santis,editor,Advances in Cryptology-EUROCRYPT’94,Springer LNCS，Band 950,第445-449页已经表明，诸如WIPR方法的方法与常规的Rabin方法同样安全，只要随机数r从足够大的数字范围中被随机选择。

然而在WIPR方法中避免长数除法的优点通过如下获得，即，密文C'由于取消在明文M的平方时的模运算和由于模数n与足够大地选择的随机数r的乘积而通常是非常长的，这使得在RFID标签和读取设备之间的验证过程缓慢，因为必须将更大的数据量从RFID标签传输到读取设备。

发明内容

由于该背景，本发明要解决的技术问题是，提供用于在RFID标签和读取设备之间经过空气接口进行安全通信的更好的方法和更好的系统，其特别地保护RFID标签不被跟踪和/或克隆。此外要提供相应构造的RFID标签和相应构造的读取设备。

上述技术问题按照本发明通过独立权利要求的内容解决。本发明的有利扩展在从属权利要求中定义。

本发明从如下基本思路出发，即，为了在RFID标签和读取设备之间进行安全通信，使用Rabin方法的修改，其中在对明文M(RFID标签的或与之关联的对象的识别元素进入所述明文中)加密的范围内，RFID标签不是计算明文M的平方模n，即，M²mod n，而是计算明文M的平方关于蒙哥马利基数R模n的蒙哥马利缩减(“Montgomery reduction”)，即，C^*＝M²R^{- 1}mod n，并且从中得到的密文C^*被用于验证RFID标签。在此模数n＝p·q是读取设备的公钥，其中质数p、q是读取设备的私钥并且蒙哥马利基数R是大于模数n的整数。在此蒙哥马利基数R通常是2的幂(zweierpotenz)。

基于前面描述的本发明基本思路，按照本发明的第一方面提供一种用于在RFID标签和读取设备之间进行安全通信的方法，其中方法包括在RFID标签中执行的以下步骤。加密明文M(RFID标签的或与之关联的对象的识别元素进入所述明文中)，用于计算密文C^*，方式是，计算明文M的平方关于蒙哥马利基数R模n的蒙哥马利缩减，即，C^*＝M²R^-1mod n，并且将验证消息发送到读取设备，其中验证消息基于密文C^*。

此外基于前面描述的本发明基本思路，按照本发明的第二方面提供一种用于在RFID标签和读取设备之间进行安全通信的方法，其中方法包括在读取设备中执行的以下步骤。从RFID标签接收验证消息，所述验证消息基于加密的明文M(RFID标签的或与之关联的对象的识别元素进入所述加密的明文中)，和将加密的明文M解密，其中解密的步骤包括加密的明文M与蒙哥马利基数R相乘和然后利用模数n执行模运算。优选地，解密的步骤还包括然后类似于常规的Rabin方法求平方根的模n。

此外基于前面描述的本发明的基本思路，按照本发明的第三方面提供一种用于与读取设备安全通信的RFID标签。在此RFID标签包括处理器单元和存储器单元。在存储器单元中存储识别元素。处理器单元构造为，为了计算密文C^*将明文M(RFID标签的或与之关联的对象的识别元素进入所述明文中)加密，方式是，计算明文M的平方关于蒙哥马利基数R模n的蒙哥马利缩减，即，C^*＝M²R^-1mod n，并且将验证消息发送到读取设备，其中验证消息基于密文C^*。

此外基于前面描述的本发明基本思路，按照本发明的第四方面提供一种用于与RFID标签安全通信的读取设备。读取设备包括处理器单元，其构造为，从RFID标签接收基于加密的明文M(RFID标签的或与之关联的对象的识别元素进入所述明文中)的验证消息，并且将加密的明文解密，其中在将加密的明文M解密时与蒙哥马利基数R相乘并且然后利用模数n执行模运算。优选地，读取设备的处理器单元还构造为用于将加密的明文解密，然后类似于通常的Rabin方法求平方根的模n。

最后基于前面描述的本发明基本思路，按照本发明的第五方面提供一种用于与按照本发明的第三方面的至少一个RFID标签和按照本发明的第四方面的至少一个读取设备安全通信的系统。

如前所述，在此模数n＝p·q是读取设备的公钥，质数p、q是读取设备的私钥并且蒙哥马利基数R是大于模数n的整数。

优选地，从RFID标签向读取设备传输的验证消息包含以密文C^*(其中C^*＝M²R^-1modn)形式的加密的明文M。

按照本发明的优选实施方式，此外由读取设备产生的第一随机数RND1和由RFID标签产生的第二随机数RND2也进入到明文M中。在此第一随机数RND1优选地作为在挑战-响应方法的范围内的挑战被传输到RFID标签。在该优选构造中，进入到明文M中的数据，特别是RFID标签的识别元素、第一随机数RND1和第二随机数RND2，优选地借助交织运算被洗乱(verwürfelt)，以便将来自于读取设备和来自于RFID标签的随机数据随机地分布到明文M。通过所包含的随机的组成部分RND1和RND2实现了，明文M以及密文C^*在每个读取过程中，即，在每个调用中都不同。

有利地这样构造RFID标签，使得RFID标签还在挑战的读入期间就可以开始加密。此外由RFID标签计算的密文C^*的第一比特或字节还在由RFID标签计算密文C^*的跟随比特或字节期间就可以被传输到读取设备。换言之：RFID标签有利地构造为，连续地逐个比特地计算密文C^*和将已经计算的密文C^*的比特作为验证消息的部分发送到读取设备，由此不需要中间存储器(寄存器)并且通信协议可以快速被执行。

可选地，此外RFID标签的识别元素的数字签名也进入到明文M中，所述数字签名优选地在RFID标签的存储器中存储并且可以由读取设备检验。

按照优选实施方式，为了节省计算时间，将模数n如下选择：n＝1(mod 2^bl·nd)，其中nd是整数，其中1≤nd<d，bl是以比特为单位的、RFID标签的处理器单元的字宽并且d是模数n在处理器单元的字宽中的长度。

在实践中，对于给定的模数n，数R典型地被选择为下一个更大的2的幂，即，对于由k个比特(例如1024个比特)组成的模数n，选择R＝2^k。按照本发明的优选实施方式，设置R＝2^bl·(d+sd)，其中bl是RFID标签的处理器单元的字宽，d是模数n在处理器单元中的字宽中的长度并且sd是安全参数，其选择为，使得成立bl·sd≥1，优选地bl·sd≥10并且最优选bl·sd≥100。

优选地，读取设备是多个读取设备的仅一个读取设备，所述多个读取设备经过后台系统互相连接并且可以访问在后台系统中存储的数据，所述数据分别与各自的RFID标签相关联。

按照优选实施方式，RFID标签是按照标准ISO/IEC 18000-63或标准Class-1Gen-2EPC的UHF标签。

本发明特别地具有以下优点。在按照本发明的加密中不需要模缩减，也就是不需要除法并且不产生比模数n的长度所相应的更大的数据。此外本发明提供如下可能性，在RFID标签已经接收了所有在计算中所包括的数据之前，开始计算密文C^*，和然后在密文C^*的计算结束之前由此开始将该计算的结果发送到读取设备，由此可以并行执行数据传输和计算并且可以节省处理时间。因为按照本发明的方法是公钥方法，所以仅须一个公钥存储于RFID标签上，从而当攻击者获得该公钥时，系统的安全性不受威胁。本发明的另一个优点在于，为了解密密文C^*，读取设备不必与后台系统相连，因为为此所需的私钥可以本地地存储在读取设备上。最后存在另一个优点，即，本发明可以在常规的读取设备上无需硬件修改就可以实现。

如专业人员认识到的，前面描述的和在从属权利要求中定义的优选构造可以有利地在本发明的第一方面的范围内、在本发明的第二方面的范围内、在本发明的第三方面的范围内以及在本发明的第四方面的范围内实现。

附图说明

本发明的其他特征、优点和任务从多个实施例和实施变形的以下详细描述中得到。其中：

图1示出了按照本发明的优选实施方式用于在RFID标签和读取设备之间的安全通信的系统的示意图，

图2示出了图1的系统的RFID标签的示意性细节图，

图3示出了用于在图1的系统的RFID标签和读取设备之间进行安全通信的按照本发明的方法的优选实施方式的示意图，和

图4示出了用于实现图3的按照本发明的方法的算法。

具体实施方式

图1示出了按照本发明的优选实施方式的用于在RFID标签和读取设备之间的安全通信的系统10的示意图。系统10例如可以是电子票务系统，其中RFID标签是人携带的电子票。

系统10例如包括两个RFID标签，即，RFID标签20a和RFID标签20b，其分别经过空气接口可以与读取设备30a以及读取设备30b通信，各自的RFID标签20a、20b位于其通信范围或读取范围中。优选地，RFID标签20a、20b是按照标准ISO/IEC 18000-63或EPC Class-1Generation-2的RFID标签，在此也称为EPC标签。

读取设备30a、30b经过合适的通信网络40与后台系统或后端系统50相连，在所述系统中优选地在数据库中存储了与RFID标签20a、20b相关联的数据。除了读取设备30a、30b，还可以将多个其他读取设备集成到在图1中示出的系统10中，所述多个其他读取设备经过通信网络40与后台系统50通信并且可以访问在那里存储的数据。为清楚起见，在图1中仅示出两个RFID读取设备30a、30b和两个RFID标签，即，RFID标签20a、20b。但是在图1中示出的系统10当然可以构造为，除了RFID标签20a、20b，在该系统10中还可以运行多个其他RFID标签。

图2示出了图1的系统10的示例RFID标签20a的细节图，其中示意性示出了RFID标签20a的对于本发明的该优选实施方式主要的部件。其构造优选地可以、但不是必须与RFID标签20b的构造相同的RFID标签20a包括外部的或内部的天线装置22，用于经过空气接口与图1的系统10的读取设备30a、30b的各自通信。天线装置22经过输入/输出接口24与处理器单元25通信，所述处理器单元为了存储和为了读出数据可以访问RFID标签20a的存储器26。

在图2中示出的RFID标签20a的存储器26(其例如可以是ROM和/或EEPROM(闪存))中，存储了或可以在那里存储对于RFID标签20a与读取设备30a、30b的优选的、后面详细描述的按照本发明的安全通信而被使用的数据。特别地在RFID标签20a的存储器26中存储至少一个识别元素，其使得可以唯一识别RFID标签20a和/或具有RFID标签20a的对象。在存储器26中存储的识别元素例如可以是TID元件(“Tag Identifier”)或UII元件(“Unique ItemIdentifier”)，优选地是专业人员从EPC标准公知的产品电子代码(EPC)。如从图2可以获悉的，在RFID标签20a的存储器26中还存储了公钥n以及优选在存储器26中存储的识别元素的数字签名，例如UII元素的数字签名，其在图2中标记为SIG(UII)，在下面结合图3详细描述其目的。

优选地，RFID标签20a还包括用于产生对于在RFID标签20a和读取设备30a、30b之间的安全通信而被使用的随机数的随机数生成器28(RND)，如在下面结合图3详细描述的。虽然在图2中随机数生成器28作为单独的单元示出，但是专业人员知道，随机数生成器28也可以是处理器单元25的一部分或者可以作为处理器单元25的软件模块实现。同样地，存储器26也可以构造为处理器单元25的部分。

除了对RFID标签20a的存储器26的访问以及与输入/输出接口24和随机数生成器28的例如经过总线系统的内部通信，RFID标签20a的处理器单元25优选地还构造为，在RFID标签20a方面执行或启动以下结合图3描述的步骤，以便实现在RFID标签20a和读取设备30a、30b之间的安全通信。

只要读取设备、例如读取设备30a采集到，RFID标签、例如RFID标签20a位于其通信范围中，则由读取设备30a推动在图3中画出的通信协议。在此在图3的步骤S1中读取设备30a首先产生第一随机数RND1并且将该第一随机数RND1作为在挑战-响应方法的范围内的挑战在图3的步骤S2中发送到RFID标签20a。优选地响应于读取设备30a对第一随机数RND1的接收，在图3的步骤S3中RFID标签20a产生第二随机数RND2。在此该第二随机数RND2优选由RFID标签20a的随机数生成器28产生，并且具体地不取决于第一随机数RND1。

如以下详细描述的，优选地，由读取设备30a提供的(beigesteuerte)的第一随机数RND1以及由RFID标签20a提供的第二随机数RND2都进入到要由RFID标签20a加密的和要向读取设备30a传输的明文M中。因为要加密的明文M由此具有随机的、对于不同的读出过程是不同的元素，所以在每个读出过程中也将另一个加密的明文M，即，另一个密文，从RFID标签20a传输到读取设备30a。由此可以避免，攻击者根据由RFID标签发送的、不变的密文可以识别该RFID标签。此外由读取设备30a产生的第一随机数RND1，如前面所述的，具有在专业人员公知的挑战-响应方法的范围内的挑战功能，用于相对于读取设备30a验证RFID标签20a。

在图3的步骤S4中由RFID标签20a产生待加密的明文M，其允许读出设备30a接收加密的明文M并解密，识别RFID标签20a。为此，特别地，允许唯一地识别RFID标签20a和/或具有RFID标签20a的对象的识别元素进入到明文M中。在图中示出的优选实施方式中，识别元素是在RFID标签20a的存储器26中存储的UII元素。

为了读取设备30a能够检验RFID标签20a的UII元素的真实性，优选地，UII元素的数字签名也进入到明文M中。优选地，UII元素的数字签名存储在RFID标签20a的存储器26中，如在图2中利用附图标记SIG(UII)表示的，由此其不必在RFID标签20a的每个读出过程中被重新计算。如专业人员公知的，RFID标签20a的UII元素的数字签名例如可以通过如下建立，即，在公钥方法的范围内将私钥应用到UII元素。为了通过读取设备30a检验UII元素的数字签名，将与私钥匹配的公钥应用于数字签名。

优选地，除了UII元素和UII元素的数字签名之外，如前面描述的，由读取设备30a提供的第一随机数RND1以及由RFID标签20a提供的第二随机数RND2都进入到明文M中。这优选地借助在RFID标签20a的处理器单元25上实现的交织运算MIX进行，其构造为，将UII元素、UII元素的数字签名、第一随机数RND1和第二随机数RND2互相混合或洗乱。在此通过交织运算MIX的混合例如可以在字节层面上进行。交织运算MIX应用于UII元素、UII元素的数字签名、第一随机数RND1和第二随机数RND2的结果是待加密的明文M。来自于随机数RND1和RND2的、明文M的比特可以作为填充比特(Padding-Bits)来考察。在此有利的可以是，通过合适选择随机数RND1和RND2的长度实现明文M具有与模数n相同的长度，例如1024个比特。

在图3的步骤S4中已经建立了RFID标签20a的包含了UII元素的明文M之后，该明文M在图3的步骤S5中如下地由RFID标签20a加密。如在常规的Rabin方法中那样将明文M首先平方。然而为了产生密文，将该平方的结果不是如在常规的Rabin方法中然后那样利用模数n进行模运算，而是形成平方的明文的蒙哥马利缩减。一般地，将整数T模n关于整数R的蒙哥马利缩减(“Montgomery reduction”)定义为TR^-1mod n，其中R大于模数n，R和模数n互质(即ggT(R,n)＝1)和0≤T<nR(参见A.J.Menezes,P.C.van Oorschot,S.C.Vanstone,“Handbookof Applied Cryptography”的章节14.3.2)。在该文献中整数R有时被称为蒙哥马利基数。

在本发明的范围内，由RFID标签20a计算的、明文M的平方模n关于整数R的蒙哥马利缩减作为密文C^*定义，即，C^*＝M²R^-1mod n，其中整数R，如前面已经提到的，选择为大于模数n。在实践中，对于给定的模数n，数R典型地选择为下一个较大的2的幂，即，对于由k个比特(例如1024个比特)组成的模数n，选择R＝2^k。数R的其他按照本发明的优选的选择可能性在以下描述。

在图3的步骤S5中由RFID标签20a计算了密文C^*＝M²R^-1mod n之后，在图3的步骤S6中将这样计算的密文C^*作为对在图3的步骤S2中发送的挑战的响应发送到读取设备30a。然而专业人员认识到，原理上替代密文C^*＝M²R^-1mod n，也可以将由RFID标签20a进一步处理的密文C^**传输到读取设备30a，只要RFID标签20a和读取设备30a已经互相约定，读取设备30a如何可以从由RFID标签20a进一步处理并传输的密文C^**反向计算密文C^*＝M²R^-1mod n。

在图3的步骤S7中首先将由RFID标签20a在步骤S6中传输的密文C^*与R相乘并且然后利用模数n执行模运算，即，C^*R mod n。如果对于C^*采用结合图3的步骤S5所描述的表达，则获得：C^*R mod n＝M²R^-1R mod n＝M²mod n。如专业人员认识到，最后的表达M²mod n是公知的Rabin方法的密文，其在此被称为密文C。换言之：在图3的步骤S7中获得从公知的Rabin方法中已知的密文C＝M²mod n，方式是，将由RFID标签20a发送的密文C^*与R相乘并且然后利用模数n执行模运算。

如在经典的Rabin方法中那样，现在可以在图3的步骤S8中通过读取设备30a确定初始在步骤S4中由RFID标签20a产生的明文M，方式是，计算在步骤S7中确定的密文C的平方根模n。如前面已经描述的，为此可以在使用为读取设备30a提供的以质数p和q形式的私钥的条件下利用中国剩余定理(CRT)，来计算密文C的四个平方根。优选地，借助合适的标记，使读取设备30a清楚，密文C的四个平方根中的哪一个是由RFID标签20a初始产生的明文M。例如由读取设备30a传输的第一随机数RND1可以被用于选择正确的平方根，即，正确的明文M。

如前面描述的，在图3的步骤S4中产生明文M，方式是，执行交织运算MIX。如专业人员知道的，必须在读取设备方面30a再还原或反转该交织运算，以便可以从明文M中提取RFID标签20a的UII元素、UII元素的数字签名SIG(UII)、第一随机数RND1和第二随机数RND2。交织运算MIX的该反转和在明文M中包含的信息的提取优选地在图3的步骤S9中进行。当然在RFID标签20a和读取设备30a之间必须已经约定，在图3的步骤S4中使用哪个交织运算，以便能够在图3的步骤S9中应用对此的反函数。

在成功执行图3的步骤S9之后对于读取设备30a呈现RFID标签20a的UII元素、UII元素的数字签名、第一随机数RND1和第二随机数RND2。根据这些呈现的元素，读取设备30a可以识别和验证RFID标签20a。优选地在图3的步骤S10中此外由读取设备检验RFID标签20a的UII元素的完好性，方式是，读取设备30a检验UII元素的数字签名。可以考虑，读取设备30a为此访问后台系统50，以便根据RFID标签20a的UII元素找到公钥，该公钥与被用来初始地建立了RFID标签20a的UII元素的数字签名的私钥匹配。

以下参考图4描述通过RFID标签20a按照本发明计算密文C^*，即，对明文M加密的优选实现方式，其流程可以粗略分为三个片段。

在加密的第一片段中将明文M连续地、从最低位直到最高位字节进行处理。当交织运算MIX构造为将读取设备30a的第一随机数RND1均匀分布地散布到明文M中时，在接收随机数RND1的第一字节之后就可以开始第一加密片段，并且，只要明文M的字节存在就一直计算下去。在由读取设备30a接收随机数RND1的下一字节之后一直继续计算加密，直到整个明文M已经被加密。

在加密的第二片段中进行系统范围内约定数量的附加蒙哥马利步骤，即，数R被相应地选择为大于下一个高于模数n提供的2的幂。该措施的原因是，加密的最终结果大于模数n的概率减小(攻击者可以自然地意识到这一点并且趁机采取侧信道攻击(Seitenkanalattacke))。这种溢出的概率通过2^-bl·sd限制，其中bl说明长数运算的使用的比特长度并且sd说明在加密的第二片段中附加的取整(＝数位)的数量。值得推荐的是，这样选择这些数，使得优选地成立bl·sd≥10并且最优选地成立bl·sd≥100，并且为此无需对溢出进行精确检验。然而如果偶然发生溢出，则结果可以没有模缩减地被发送到读取设备30a。

在加密的第三片段中最后连续地产生加密的输出数据，其因此可以与计算的结束重叠地被发送到读取设备30a。这是特别有利的，因为由于密文C^*的长度(在1024比特的模数n的通常和需要的长度的情况下得到128个字节的密文)，数据总之不可以在唯一的传输步骤(数据块)中被发送。商业上采用的UHF-RFID读取设备(按照ISO/IEC 18000-63)不构造为传输较大的数据块，而是按照现有技术将块大小限制到2至16个字节。通过逐片段地传输密文C^*的数据(所谓的链(Chaining))，将数据按照顺序逐部分地传输。由此形成的在计算和传输之间的重叠可以如下非常有利地被使用，即，在接收第一数据之后就可以平行于数据传输开始计算。

图4示出了通过RFID标签20a用于计算密文C^*、即用于对明文M加密的算法(“蒙哥马利平方”)。对于该算法的以下描述，以下定义是有帮助的。假定，RFID标签20a的处理器单元25具有bl个比特的字宽。在此，RFID标签20a的处理器单元25构造为，能够将两个bl个比特宽的字互相相乘，其中结果可以直至2·bl个比特。按照非限制的方式，此外假定，模数n最高具有d个字和由此d·bl个比特的长度。按照本发明的优选实施方式，这样选择安全参数sd，使得前面描述的溢出概率处于数量级2^-bl·sd。如专业人员认识到，sd的较大的值需要较长的计算时间。非限制地设置R＝2^bl(d+sd)。如前面已经描述的，应当优选这样选择R或者安全参数sd，使得优选成立bl·sd≥10并且最优选成立bl·sd≥100。

对于明文M(所述明文是数)，其中0≤M<n，可以借助两个以下步骤计算密文C^*，其中C^*＝M²R^-1mod n：

1.这样计算a，使得成立：a＝M²/n mod R,0≤a<R。

2.设置C^*＝(M²+a·n)/R

在此可以在第二步骤中没有余数地执行除法。因为0≤M<n，所以可以在随机选择的M的情况下假定，值a在区间[0,…,R-1]中也同样地分布。由此对于C^*的溢出的概率(即，成立C^*≥n)最高等于n/R，并且由此最高等于2^-bl·sd。

对于整数x，(x₀,x₁,…x_i,…,x_v-1)是x相对于基数2^bl的表示，即，成立0≤x_i<2^bl。(M₀,…M_d-1)、(n₀,…,n_d-1)、(a₀,…,a_d+sd-1)和(C^* ₀,…,C^* _d-1)是M、n、a和C^*相对于基数2^bl的表示。此外n_inv是通过n·n_inv＝-1(mod 2^bl)和0≤n_inv<2^bl唯一确定的整数。于是可以按照在图4中示出的算法“蒙哥马利平方”计算a和C^*，其中要注意，在图4中示出的算法中利用c_i-s-sd表示C^*的二进制数位C^* ₀,…,C^* _d-1。

关于在图4中示出的算法“蒙哥马利平方”，专业人员认识到以下。

在主循环的i次运行之后，成立a＝-M²/n(mod 2^{bl·min(i,d+sd)})并且在i>d+sd的情况下此外还成立：C^*＝(M²+a·n)/R(mod 2^bl·(i-d-sd))。在主循环的第i次运行时仅需要最前面i个输入值M₀,…M_i-1，从而该运行在存在最前面i个输入值之后就可以被执行。第i个输出值可以在主循环的i+s+sd次运行之后被输出。由此输入、处理和输出的上面描述的重叠按照本发明可以容易地实现。

由中间值a在主循环的第i次运行中最高需要位置a_i,…a_i-d+1，从而对每bl个比特，d个字足够用于存储a的刚好所需的部分。

算法总共需要最高(d+1)(3d/2+sd)个乘法。

按照本发明的优选实施方式，为了节省计算时间，模数n如下选择：n＝1(mod2^{bl ·nd})，其中nd是整数，其中1≤nd<d。在该情况下成立n_inv＝2^bl-1。乘法n_inv＝2^bl-1(modulo2^bl)于是是简单的非运算。除最后位置n₀，n的低位n_nd-1,…n₁等于零，从而与上面描述的算法“蒙哥马利平方”相比，nl·(d+sd)乘法可以被省去。如果例如选择nl＝d/2，则乘法的数量处于数量级d(d+sd)。与上面描述的算法“蒙哥马利平方”相比，这大约节省了乘法的三分之一。质数p、q可以容易地构建，其中log p≈log q，2^bl·d-1<n＝p·q<2^bl·d和n＝p·q＝1(mod2^bl·d/2)。对于n的提到的条件意味着，下半部分的比特(直到最后的比特)在n的二进制表示中等于零。按照目前公知的研究现状，这不意味着对于方法的安全性的限制。用于任意数n的因式化的目前公知最快算法是广义数域筛法(General Number Field Sieve(GNFS))。唯一的公知明显更快的算法(该算法在一定情况下可以将数n＝p·q因式分解，其中对于质数p、q，log p≈log q)是特殊数域筛选法(Special Number Field Sieve(SNFS))。但是对于随机选择的n＝p·q，其中下半部分比特(直到最后的比特)等于零，不能应用SNSF。

如专业人员认识到的，在图3中示出的通信协议的各个步骤不必按照示出的时间顺序运行。明显地这一点仅在一个步骤的结果是另一个步骤的输入数据的地方才是必须的。此外专业人员认识到，尽管参考RFID标签描述了本发明的前面的优选实施方式，其中优选的是按照ISO/IEC 18000-63或Class-1Gen-2EPC的UHF标签，但是本发明同样可以有利地采用其他种类的资源限制的便携式数据载体，其经过空气接口必须相对于读取设备验证，如无接触的芯片卡、令牌等。

Claims (15)

1.一种用于在RFID标签(20a,20b)和读取设备(30a,30b)之间进行安全通信的方法，其中，所述方法包括在RFID标签(20a,20b)中执行的以下步骤：

为了计算密文C^*，加密明文M，RFID标签(20a,20b)的或与之关联的对象的识别元素(UII)进入所述明文中，该加密的方式是，计算明文M的平方关于蒙哥马利基数R模n的蒙哥马利缩减，即，C^*＝M²R^-1mod n，并且

将验证消息发送到读取设备(30a,30b)，其中所述验证消息基于所述密文C^*，

其中，模数n＝p·q是读取设备(30a,30b)的公钥，质数p、q是读取设备(30a,30b)的私钥，并且蒙哥马利基数R是大于模数n的整数，

其中，将所述RFID标签(20a,20b)构造为，所述RFID标签(20a,20b)还在读入以第一随机数RND1形式的挑战期间就能够开始加密，并且还在计算密文C^*的随后的字节期间就能够将所计算的密文C^*的第一字节发送到所述读取设备(30a,30b)。

2.一种用于在RFID标签(20a,20b)和读取设备(30a,30b)之间进行安全通信的方法，其中，所述方法包括在读取设备(30a,30b)中执行的以下步骤：

从RFID标签(20a,20b)接收验证消息，所述验证消息基于加密的明文M，RFID标签(20a,20b)的或与之关联的对象的识别元素(UII)进入所述加密的明文中，和

将加密的明文M解密，其中解密的步骤包括将加密的明文M与蒙哥马利基数R相乘和然后利用模数n执行模运算，

其中，模数n＝p·q是读取设备(30a,30b)的公钥，质数p、q是读取设备(30a,30b)的私钥，并且蒙哥马利基数R是大于模数n的整数。

3.根据权利要求1或2所述的方法，其中，从RFID标签(20a,20b)向读取设备(30a,30b)传输的验证消息包含以密文C^*形式的加密的明文M，其中C^*＝M²R^-1mod n。

4.根据权利要求1或2所述的方法，其中，由读取设备(30a,30b)产生的第一随机数RND1和由RFID标签(20a,20b)产生的第二随机数RND2也进入到所述明文M中，其中所述第一随机数RND1传输到所述RFID标签(20a,20b)。

5.根据权利要求4所述的方法，其中所述第一随机数RND1作为在挑战-响应方法的范围内的挑战被传输到所述RFID标签(20a,20b)。

6.根据权利要求4所述的方法，其中，进入到所述明文M中的数据借助交织运算被洗乱，以便将来自于读取设备(30a,30b)和来自于RFID标签(20a,20b)的随机数据随机地分布到明文M。

7.根据权利要求6所述的方法，其中，进入到所述明文M中的数据是RFID标签的识别元素(UII)、第一随机数RND1和第二随机数RND2。

8.根据权利要求1或2所述的方法，其中，此外RFID标签(20a,20b)的识别元素(UII)的数字签名(SIG(UII))也进入到所述明文M中，所述数字签名被存储在RFID标签(20a,20b)的存储器单元(26)中并且能够由读取设备(30a,30b)检验。

9.根据权利要求1或2所述的方法，其中，为了节省计算时间，将模数n如下选择：n＝1(mod 2^bl·nd)，其中nd是整数，其中1≤nd<d，bl是RFID标签(20a,20b)的处理器单元(25)的字宽，并且d是模数n在处理器单元(25)的字宽中的长度。

10.根据权利要求1或2所述的方法，其中，对于给定的模数n，蒙哥马利基数R被如下选择：R＝2^bl·(d+sd)，其中bl是RFID标签(20a,20b)的处理器单元(25)的字宽，d是模数n在处理器单元(25)的字宽中的长度，并且sd是安全参数，其选择为，使得成立bl·sd≥1。

11.根据权利要求10所述的方法，其中，成立bl·sd≥10。

12.根据权利要求10所述的方法，其中，成立bl·sd≥100。

13.一种用于与读取设备(30a,30b)安全通信的RFID标签(20a,20b)，其中，所述RFID标签(20a,20b)包括处理器单元(25)和存储器单元(26)，在该存储器单元中存储识别元素(UII)，并且其中，所述处理器单元(25)被构造为，为了计算密文C^*，将明文M加密，RFID标签(20a,20b)的或与之关联的对象的识别元素(UII)进入所述明文中，所述加密的方式是，计算明文M的平方关于蒙哥马利基数R模n的蒙哥马利缩减，即，C^*＝M²R^-1mod n，并且将验证消息发送到读取设备(30a,30b)，其中验证消息基于密文C^*，并且其中模数n＝p·q是读取设备(30a,30b)的公钥，质数p、q是读取设备(30a,30b)的私钥，并且蒙哥马利基数R是大于模数n的整数，

其中，将所述RFID标签(20a,20b)构造为，所述RFID标签(20a,20b)还在读入以第一随机数RND1形式的挑战期间就能够开始加密，并且还在计算密文C^*的随后的字节期间就能够将所计算的密文C^*的第一字节发送到所述读取设备(30a,30b)。

14.一种用于与RFID标签(20a,20b)安全通信的读取设备(30a,30b)，其中，所述读取设备(30a,30b)包括处理器单元，该处理器单元被构造为，从RFID标签(20a,20b)接收基于加密的明文M的验证消息，RFID标签(20a,20b)的或与之关联的对象的识别元素(UII)进入所述明文中，并且将加密的明文M解密，其中在将加密的明文M解密时与蒙哥马利基数R相乘并且然后利用模数n执行模运算，其中模数n＝p·q是读取设备(30a,30b)的公钥，质数p、q是读取设备(30a,30b)的私钥，并且蒙哥马利基数R是大于模数n的整数，

其中，将所述RFID标签(20a,20b)构造为，所述RFID标签(20a,20b)还在读入以第一随机数RND1形式的挑战期间就能够开始加密，并且还在计算密文C^*的随后的字节期间就能够将所计算的密文C^*的第一字节发送到所述读取设备(30a,30b)。

15.一种包括至少一个按照权利要求10的RFID标签(20a,20b)和至少一个按照权利要求11的读取设备(30a,30b)安全通信的系统。