CN108900293B

CN108900293B - 一种基于哈希函数和椭圆曲线的rfid安全认证协议

Info

Publication number: CN108900293B
Application number: CN201810434068.9A
Authority: CN
Inventors: 赵太飞; 尹航; 曹丹丹; 程敏花
Original assignee: Xian University of Technology
Current assignee: Jiayuan Technology Co Ltd
Priority date: 2018-05-08
Filing date: 2018-05-08
Publication date: 2021-05-25
Anticipated expiration: 2038-05-08
Also published as: CN108900293A

Abstract

本发明公开了一种基于哈希函数和椭圆曲线的RFID安全认证协议，协议采用基于Sponge结构的Hash函数保证协议新鲜性及身份认证，采用预加密的ID值代替原有ID值，后台数据库采用解密后的ID值作为索引值，采用访问计数器值进行同步，采用一个标志位区分是否发生去同步化攻击，避免重复计算。本发明的一种基于哈希函数和椭圆曲线的RFID安全认证协议解决了现有协议中存在前向信道安全性及标签检索认证效率低的问题。

Description

一种基于哈希函数和椭圆曲线的RFID安全认证协议

技术领域

本发明属于RFID系统安全认证技术领域，涉及一种基于哈希函数和椭圆曲线的RFID安全认证协议。

背景技术

为保证RFID系统中无线信道的安全性，避免电子标签隐私泄露，需在通信过程中采用安全协议完成对标签的认证。针对RFID系统资源受限等特点，应用其中的安全认证协议多为基于Hash函数(哈希函数)的安全协议，目前有大量基于Hash函数的认证协议被提出，包括学者Sarma等人发表《Radio-Frequency Identification:Security Risks andChallenges》，论文中提出的Hash-Lock协议，由Weis等人发表的《Security and PrivacyAspects of Low-Cost Radio Frequency Identification Systems》，文中提出了随机化Hash-Lock协议以及NTT实验的Ohkubo等人发表的《Cryptographic Approach to Privacy-Friendly Tags》，文中提出Hash链协议等经典协议。

Hash链协议是基于共享秘密的询问—应答协议，协议中标签采用更新机制，有较高安全性，但该协议不能完成标签对阅读器的认证，受假冒、重传攻击威胁，且需要消耗数据库更多的计算资源。对Hash链协议的改进主要集在完成双向认证以及增加随机数来提高安全性等方面，但这些操作无疑会增加系统的实现成本，如何在保证安全性的前提下提高系统检索效率是一个重要的研究方向。

发明内容

本发明的目的是提供一种基于哈希函数和椭圆曲线的RFID安全认证协议，解决了现有协议中存在前向信道安全性及标签检索认证效率低的问题。

本发明所采用的技术方案是，一种基于哈希函数和椭圆曲线的RFID安全认证协议，协议执行前，首先选取基于Sponge结构的轻量级Hash函数作为验证函数，阅读器中同样含有该函数，且选取一个初始种子S_r，采用ECC椭圆曲线加密算法，产生公钥与私钥；标签写入的数据为：初始密值S_t、标志位T及访问计数值k_t，以及用公钥加密后的ID值IDS；后台数据库存储的是以ID为索引的一组值(ID，k_d，S_d)，其中k_d，S_d分别与k_t，S_t相等；具体认证过程按照以下步骤实施：

步骤1，阅读器发起认证请求，同时对初始种子S_r进行一次哈希运算，得到哈希值w，将w发给标签并更新种子值S_r＝w；

步骤2，标签接收到阅读器的认证请求后进行响应，进行以下计算：

(IDS⊕w)<<(w mod 48)＝IDS＇，H(S_t||w)＝w₁，同时更新标签的访问计数器值S_t”以及访问计数值k_t”：k_t”＝k_t+1，S_t”＝H(S_t)，将w₁、IDS＇、k_t及标志位值T发送给阅读器，然后将标志位T置为1；

阅读器收到标签的响应信息后首先判断标志位，若标志位为0，进行步骤3认证；若标志位为1，说明该标签曾发生过去同步化攻击，进行步骤4认证；

步骤3，阅读器收到标签的响应信息，与保留上次认证时的H(S_t'||w')和w'对比，若一致，舍弃；若不一致，则将数据w、H(S_t||w)、IDS＇转发到后台数据库，同时保留w、H(S_t||w)值分别作为下次对比的H(St'||w')和w'值；

步骤4，阅读器收到标签的响应信息，与保留上次认证时的H(S_t'||w')和w'对比，若一致，舍弃；若不一致，则将数据k_t、w、H(S_t||w)、IDS＇转发到后台数据库，同时保留w、H(S_t||w)值分别作为下次对比的H(St'||w')和w'值；

步骤5，若后台数据库接收到的数据不含k_t值则说明为正常认证，先通过：IDS＇>>(w mod 48))⊕w＝IDS，得到IDS，然后用私钥解密得到ID，查找数据库是否存在以此ID为索引的数据，如果没有则是无效数据，舍弃；若存在则进行计算：w₂＝H(S_d||w)，对比w₂是否与收到的H(S_t||w)相等，若不相等，则为无效数据，舍弃；若相等则更新k_d”＝k_d+1；S_d”＝H(S_d)，然后计算H(S_d”||w)并发送给标签；

若后台数据库接收到的数据含有k值则说明为该标签曾受到过去同步化攻击，先通过IDS＇>>(w mod 48))⊕w＝IDS，得到IDS，然后用私钥解密得到ID，查找数据库是否存在以此ID为索引的数据，如果没有则是无效数据，舍弃；若存在则进行计算：△＝k_t-k_d，w₃＝H(H^Δ(S_d)||w)，对比w₃是否与收到的H(S_t||w)相等，若不相等，则为无效数据，舍弃；若相等则更新k_d”＝k_d+△+1；S_d”＝H^△+1(S_d)，然后计算H(S_d”||w)并经阅读器转发给标签；

步骤6，标签收到阅读器转发的数据后计算H(S_t”||w)并对比是否与收到的H(S_d”||w)相等，若不相等，则为无效数据，舍弃；若相等则认证成功，并将标志位置为0。

本发明的特征还在于，

标签和后台数据库都有一个访问计数器。

阅读器和标签之间为无线信道是不安全的，阅读器和后台数据库之间的信道为有线或无线，该信道是安全的。

后台数据库包含所有合法标签的ID，所有合法标签在认证前均完成了信息的录入。

本发明的有益效果是：

(1)本发明基于Hash函数和椭圆曲线的RFID安全认证协议，采用椭圆曲线对ID值进行预加密，用加密后的密值代替ID值存储在标签中具有更高的安全性，利用基于Sponge结构Hash函数的单向性及随机性来完成双向认证及保证协议新鲜性，利用访问计数器来完成密值更新，可以有效的抵抗去同步化攻击，不安全信道中传输的均是加密后的信息或是变量，具有很好的安全性。

(2)本发明采用解密后的ID值进行定位检索，大大提高了后台数据库的检索效率，同时利用一个标志位有效过滤了正常情况下的同步计算，避免了重复计算，将耗时的椭圆曲线加密进行预处理及放到后台数据库，可降低标签的计算量，利用基于Sponge结构Hash函数的随机性来保证协议新鲜，避免引入新的随机数发生器。

附图说明

图1是本发明一种基于哈希函数和椭圆曲线的RFID安全认证协议的认证数据传输示意图。

图中，1.后台数据库，2.阅读器，3.标签。

具体实施方式

下面结合附图和具体实施方式对本发明进行详细说明。

本发明一种基于哈希函数和椭圆曲线的RFID安全认证协议需要进行一些预先假定：

(1)标签只有有限计算和存储能力，与之相比后台数据库的计算存储能力是强大的；

(2)标签和后台数据库都有一个访问计数器；

(3)阅读器和标签间的无线信道是不安全的，阅读器和后台数据库间的信道可以是有线的也可以是无线的，同时该信道是安全的；

(4)后台数据库包含所有合法标签的ID，所有合法标签在认证前均完成了信息的录入。

本发明协议中的符号定义如表1所示。

表1

符号	含义
		Tag	电子标签
Reader	阅读器
		DB	数据库
H(·)	基于Sponge结构的哈希函数
		w<sub>x</sub>	Hash值
IDS	椭圆曲线加密后的标签标识符
		k<sub>t</sub>、k<sub>t</sub>”、k<sub>d</sub>、k<sub>d</sub>”	访问计数器
ID	标签的唯一标识
		H<sup>△</sup>(S)	S经d次H(·)运算的计算结果，H<sup>0</sup>(S)＝S
S<sub>d</sub>、S<sub>t</sub>、S<sub>t</sub>”、S<sub>d</sub>”	标签和后台数据库的密值
		\|\|	连接运算符
＝	赋值运算符
		+	加法运算符
-	减法运算符
		⊕	异或运算符
<<	循环左移
		>>	循环右移
T	标志位

本发明一种基于哈希函数和椭圆曲线的RFID安全认证协议，协议执行前，首先选取基于Sponge结构的轻量级Hash函数作为验证函数，阅读器2中同样含有该函数，且选取一个初始种子S_r，采用ECC椭圆曲线加密算法，产生公钥与私钥；标签3写入的数据为：初始密值S_t、标志位T及访问计数值k_t，以及用公钥加密后的ID值IDS；后台数据库1存储的是以ID为索引的一组值(ID，k_d，S_d)，其中k_d，S_d分别与k_t，S_t相等；具体认证过程按照以下步骤实施：

步骤1，阅读器2发起认证请求，同时对初始种子S_r进行一次哈希运算，得到哈希值w，将w发给标签并更新种子值S_r＝w；

步骤2，标签3接收到阅读器2的认证请求后进行响应，进行以下计算：

(IDS⊕w)<<(w mod 48)＝IDS＇，H(S_t||w)＝w₁，同时更新标签3的访问计数器值S_t”以及访问计数值k_t”：k_t”＝k_t+1，S_t”＝H(S_t)，将w₁、IDS＇、k_t及标志位值T发送给阅读器2，然后将标志位T置为1；

阅读器2收到标签3的响应信息后首先判断标志位，若标志位为0，进行步骤3认证；若标志位为1，说明该标签曾发生过去同步化攻击，进行步骤4认证；

步骤3，阅读器2收到标签3的响应信息，与保留上次认证时的H(S_t'||w')和w'对比，若一致，舍弃；若不一致，则将数据w、H(S_t||w)、IDS＇转发到后台数据库，同时保留w、H(S_t||w)值分别作为下次对比的H(St'||w')和w'值；

实施例

假设非法攻击者对标签进行5次非法攻击，则该标签此时的访问计数器与初始密值和后台数据库存储的计数器值和密值不同步，设定初始计数器值为0，初始密值为S_t则标签此时存储的数据为：密值H⁵(S_t)、标志位T为1、访问计数值k_t为5，以及用公钥加密后的ID值IDS。后台数据库存储的是以ID为索引的一组值(ID，0，S_d),其中S_d与S_t相等。

具体按照以下步骤实施：

步骤(1)：RFID阅读器发起认证请求，同时对初始种子S_r进行一次哈希运算，得到哈希值w，将w发给标签并更新种子值S_r＝w；

步骤(2)：RFID标签接收到阅读器的认证请求后进行响应，进行以下计算：

(IDS⊕w)<<(w mod 48)＝IDS＇；

H(H⁵(S_t)||w)＝w₁；

同时更新标签的访问计数器值St”以及访问计数值kt”：

k_t”＝5+1＝6；

S_t”＝H⁶(S_t)；

将w₁、IDS＇、k_t及标志位值T发送给阅读器，然后将标志位T置为1；

阅读器收到标签的响应信息后首先判断标志位，此时标志位为1，说明该标签曾发生过去同步化攻击，进行步骤4认证；

步骤(4)：RFID阅读器收到响应消息，与保留上次认证时的H(S_t'||w')和w'对比，若一致，舍弃；不一致，则将数据k_t＝5、w、H(H⁵(S_t)||w)、IDS＇转发到后台数据库，同时保留H(H⁵(S_t)||w)、w分别作为下次对比的H(St'||w')和w'值；

步骤(5)：后台数据库接收到的数据含有k_t值则说明为该标签曾受到过去同步化攻击，先通过

(IDS＇>>(w mod 48))⊕w＝IDS；

得到IDS，然后用私钥解密得到ID，查找数据库是否存在以此ID为索引的数据，如果没有则是无效数据，舍弃；若存在则进行计算：

△＝k_t-k_d＝5-0＝5

w₃＝H(H⁵(S_d)||w)

对比w₃是否与收到的H(H⁵(S_t)||w)相等，因为S_t＝S_d，所以w₃与收到的H(H⁵(S_t)||w)相等；更新k_d”＝k_d+△+1＝6；S_d”＝H^△+1(S_d)＝H⁶(S_d)，然后计算H(S_d”||w)，发送给标签；

步骤(6)：标签收到RFID阅读器转发的数据后计算w₄＝H(S_t”||w)＝H(H⁶(S_t)||w)并对比是否与收到的H(S_d”||w)＝H(H⁶(S_d)||w)相等，因为S_t＝S_d，所以w₄与收到的H(S_d”||w)相等，认证成功，并将标志位置为0，此时完成了同步，后台数据库存储的是(ID，6，H⁶(S_d))，标签存储的是密值H⁶(S_t)、标志位T为0及访问计数值k_t”为6，以及用公钥加密后的ID值IDS，其中S_d与S_t相等。

本发明利用椭圆曲线加密算法的高安全性及方便的密钥管理机制，用公钥对标签唯一标识符即ID值进行预加密产生IDS值来代替明文ID值，利用基于Sponge结构的轻量级Hash函数的随机性及单向性保证协议新鲜并完成双向认证，利用一个访问计数器进行密值的同步，可以抵抗去同步化攻击，加入一个标志位过滤掉未发生攻击时的同步计算，减少了重复计算，本发明得协议仅需三次通信即可完成阅读器对标签及标签对阅读器的双向认证，对标签ID值的预处理避免了浪费标签有限的计算资源，后台数据库利用解密后的ID值进行快速定位大大提高了检索效率，同时利用Hash函数的随机性来保证协议的新鲜性，避免引入随机数发生器。

Claims

1.一种基于哈希函数和椭圆曲线的RFID安全认证协议，其特征在于，协议执行前，首先选取基于Sponge结构的轻量级Hash函数作为验证函数，阅读器(2)中同样含有该函数，且选取一个初始种子S_r，采用ECC椭圆曲线加密算法，产生公钥与私钥；标签(3)写入的数据为：初始密值S_t、标志位T及访问计数值k_t，以及用公钥加密后的ID值IDS；后台数据库(1)存储的是以ID为索引的一组值(ID，k_d，S_d)，其中k_d，S_d分别与k_t，S_t相等；具体认证过程按照以下步骤实施：

步骤1，阅读器(2)发起认证请求，同时对初始种子S_r进行一次哈希运算，得到哈希值w，将w发给标签(3)并更新种子值S_r＝w；

步骤2，标签接收到阅读器(2)的认证请求后进行响应，进行以下计算：

(IDS⊕w)<<(w mod 48)＝IDS＇，H(S_t||w)＝w₁，同时更新标签的访问计数器值S_t”以及访问计数值k_t”：k_t”＝k_t+1，S_t”＝H(S_t)，将w₁、IDS＇、k_t及标志位值T发送给阅读器(2)，然后将标志位T置为1；

阅读器(2)收到标签(3)的响应信息后首先判断标志位，若标志位为0，进行步骤3认证；若标志位为1，说明该标签曾发生过去同步化攻击，进行步骤4认证；

步骤4，阅读器(2)收到标签(3)的响应信息，与保留上次认证时的H(S_t'||w')和w'对比，若一致，舍弃；若不一致，则将数据k_t、w、H(S_t||w)、IDS＇转发到后台数据库(1)，同时保留w、H(S_t||w)值分别作为下次对比的H(St'||w')和w'值；

步骤5，若后台数据库(1)接收到的数据不含k_t值则说明为正常认证，先通过：IDS＇>>(wmod 48))⊕w＝IDS，得到IDS，然后用私钥解密得到ID，查找数据库是否存在以此ID为索引的数据，如果没有则是无效数据，舍弃；若存在则进行计算：w₂＝H(S_d||w)，对比w₂是否与收到的H(S_t||w)相等，若不相等，则为无效数据，舍弃；若相等则更新k_d”＝k_d+1；S_d”＝H(S_d)，然后计算H(S_d”||w)并发送给标签；

若后台数据库(1)接收到的数据含有k值则说明为该标签曾受到过去同步化攻击，先通过IDS＇>>(w mod 48))⊕w＝IDS，得到IDS，然后用私钥解密得到ID，查找数据库是否存在以此ID为索引的数据，如果没有则是无效数据，舍弃；若存在则进行计算：△＝k_t-k_d，w₃＝H(H^Δ(S_d)||w)，对比w₃是否与收到的H(S_t||w)相等，若不相等，则为无效数据，舍弃；若相等则更新k_d”＝k_d+△+1；S_d”＝H^△+1(S_d)，然后计算H(S_d”||w)并经阅读器转发给标签；

2.根据权利要求1所述的一种基于哈希函数和椭圆曲线的RFID安全认证协议，其特征在于，所述标签(3)和后台数据库(1)都有一个访问计数器。

3.根据权利要求1所述的一种基于哈希函数和椭圆曲线的RFID安全认证协议，其特征在于，所述阅读器(2)和标签(3)之间为无线信道是不安全的，所述阅读器(2)和后台数据库(1)之间的信道为有线或无线，该信道是安全的。

4.根据权利要求1所述的一种基于哈希函数和椭圆曲线的RFID安全认证协议，其特征在于，所述后台数据库(1)包含所有合法标签的ID，所有合法标签在认证前均完成了信息的录入。