CN110677401A - 一种基于中国剩余定理的rfid系统群组标签认证方法 - Google Patents

Abstract

本发明公开了一种基于中国剩余定理的RFID系统群组标签认证方法，包括如下步骤：1）后台数据库认证初始化；2）标签的登记；3）后台数据库认证标签；4）标签认证后台数据库；5）群组标签的管理。这种方法实现了后台数据库与标签之间的双向认证，解决了标签计算能力差的问题，并在认证过程中抵抗各种安全攻击。

Description

一种基于中国剩余定理的RFID系统群组标签认证方法

技术领域

本发明涉及信息处理、RFID技术，具体是涉及一种基于中国剩余定理的RFID系统群组标签认证方法。

背景技术

随着信息处理、移动网络等技术的快速发展，物联网技术逐渐应用到各个领域。物联网技术主要是利用各种传感器对不同的物体进行信息的采集，然后使用无线网络传递信息，最终构成一个整体的通信网络。无线射频识别(radio frequency identification，简称RFID)是物联网中的一项关键技术，它以非接触的方式自动识别物体中的相关信息。RFID技术已经广泛用于移动支付、汽车收费、物流管理、门禁系统、海上环境探测系统等，为物联网技术的快速发展做出了贡献。

目前，在实际应用中发现某些特定的场景中需要对多个标签同时进行认证。例如，在商品供应或物流配送中，许多相同或同一目的地的商品和货物需要形成群组进行销售和传输；在海上进行环境监测时，对某一小块区域的浮标节点进行数据采集，也需要形成一个群组的形式来进行认证。所以，针对群组标签的认证方法需要被提出。

由于RFID技术通过无线通信传输消息，阅读器和标签之间容易受到修改、窃听、重放、假冒、跟踪等各种安全攻击，从而造成数据和用户隐私的泄露，因此，RFID技术的安全问题成为当前研究的热点，另外，标签存储小，计算能力有限，所以复杂的加解密算法很难运用到RFID系统中去。

因此，设计一个简单有效且针对群组标签的认证方法是十分有用的。

发明内容

本发明的目的是为了解决RFID系统易受到各种安全攻击问题，而提出一种基于中国剩余定理的RFID群组标签认证方法。这种方法实现了后台数据库与标签之间的双向认证，解决了标签计算能力差的问题，并在认证过程中抵抗各种安全攻击。

实现本发明目的的技术方案是：

一种基于中国剩余定理的RFID系统群组标签认证方法，所述RFID系统设有后台数据库及与后台数据库连接的阅读器，阅读器外接多个群组标签，该方法包括如下步骤：

1)后台数据库认证初始化：

(1)假设其中一个群组标签的个数为n个，后台数据库选取两个大素数p和q，并且满足p＞q,

然后从后台数据库中的

中选取n个两两互素的私钥sk₁,sk₂,sk₃…sk_n，最后计算其中

表示p阶的乘法循环群；

(2)后台数据库用私钥分别计算

得到

然后计算x_i×y_i≡1modsk_i，得到所有的y_i以及var_i×x_i×y_i，最后将所有的var_i求和得到

其中x_i、y_i、var_i为单个标签的参数，μ为该群组所有标签的参数；

(3)为该群组中的每个标签分配ID₁,ID₂,…ID_n，并选择一个初始群组共享密钥

k_g＜q＜sk_i＜p且满足r_g＝μ×k_g，其中r_g为初始公开传递的密钥参数，

表示后台数据库中的q阶的乘法循环群；

(4)然后在后台数据库中存储(ID₁,sk₁,k_g,x₁,y₁)，(ID₂,sk₂,k_g,x₂,y₂)，……(ID_n,sk_n,k_g,x_n,y_n)；

(5)从后台数据库选取三个单向哈希函数H₁(),H₂(),H₃()，并且均满足

2)标签的登记：后台数据库完成初始化后，对该群组中的每个标签进行登记注册，每个标签通过安全的通道获得自己的(ID_i,sk_i,k_g)，即(ID₁,sk₁,k_g)，(ID₂,sk₂,k_g)，……，(ID_n,sk_n,k_g)的信息参数；

3)后台数据库认证标签：

(1)阅读器向该群组中的每个标签同时发送认证query和随机数α₁；

(2)每个标签接收到认证query和随机数α₁后，利用自身存储的(ID_i,sk_i,k_g)进行以下计算：即N₁＝H₁(k_g)，

N_n＝H₁(k_g)；

(3)完成上述计算后，每个标签向阅读器发送自己的回应信息(M₁,N₁)，(M₂,N₂)，……，(M_n,N_n)；

(4)阅读器收到每个标签的回应信息后，对比每条回应消息中的后半部分(N_i)，如果(N₁＝N₂＝…＝N_n)，则表示所有标签为同一群组的标签，初步判定没有其他群组的标签，然后将回应消息整合为{(M₁,M₂,…,M_n)，(N₁,N₂,…,N_n),α₁}，并通过安全信道将{(M₁,M₂,…,M_n)，(N₁,N₂,…,N_n),α1}发送给后台数据库；

(5)后台数据库收到{(M₁,M₂,…,M_n)，(N₁,N₂,…,N_n),α₁}后，首先通过(N₁,N₂,…,N_n)的值，查找后台数据库中的初始群组共享密钥k_g，并计算H₁(k_g)，若找到与(N₁,N₂,…,N_n)的值相等的k_g，则证明该群组为合法的群组，并确定该群组的位置，并找出存储在后台数据库中的其他信息；

(6)然后将(M₁,M₂,…,M_n)中的每条信息进行以下操作：

即

并将

进行求和，得到

(7)将收到的α₁及确定该群组的其他信息ID₁,ID₂,…ID_n，分别进行如下计算：即H₁(ID₁||α₁)，H₁(ID₂||α₁)，……，H₁(ID_n||α₁)，然后将H₁(ID₁‖α₁)，H₁(ID₂||α₁)，……，H₁(ID_n||α₁)进行求和，得到

(8)比较

与

是否相等，若相等，则证明该群组中的所有标签均为合法标签，并且通过后台数据库的认证；若不相等，则证明该群组中至少存在一个非法标签，或者标签受到了攻击，然后将

的结果与后台数据库计算出的每一项H₁(ID_i||α₁)进行比对，确定

成立的每一个标签的ID_i，找出与

的结果不相等的标签，并通过H₁(ID_i||α₁)来确定不相等标签的ID_i；

4)标签认证后台数据库：

(1)认证该群组中的所有标签为合法标签后，后台数据库将该群组的初始群组共享密钥k_g更新为群组共享密钥k′_g，

且k′_g＜q＜sk_i＜p，计算r′_g＝μ×k′_g，其中r′_g表示为公开传递的密钥参数；

(2)后台数据库同时生成一个随机数α₂，并计算H₂(k′_g||α₂)的值，然后将{r′_g,H₂(k′_g||α2),α₂}发送给阅读器；

(3)阅读器将{r′_g,H₂(k′_g||α₂),α₂}转发给该群组中的每个标签，每个标签收到{r′_g,H₂(k′_g||α₂),α₂}后，通过计算r′_gmod sk_i，即r′_gmod sk₁＝k′_g，r′_gmod sk₂＝k′_g，……，r′_gmod sk_n＝k′_g，每个标签同时来获得更新后的群组共享密钥k′_g；

(4)然后每个标签再通过收到的随机数α₂和算出的群组共享密钥k′_g，计算H′₂(k′_g||α₂)的值，将H′₂(k′_g||α₂)的值与H₂(k′_g||α₂)的值进行对比，若他们的值相等，则表示每个标签认证了阅读器和后台数据库的合法性，则每个标签的群组共享密钥确认更新为k′_g；

(5)每个标签利用群组共享密钥k′_g，计算H₃(k′_g||α₂+1)的值，然后将此值发送给阅读器；

(6)阅读器收到H₃(k′_g||α₂+1)的值后，将H₃(k′_g||α₂+1)的值发送给后台数据库，后台数据库计算H′₃(k′_g||α₂+1)，并比较H₃(k′_g||α₂+1)与H′₃(k′_g||α₂+1)是否相等，若相等，则证明每个标签中群组共享密钥k′_g已经更新成功；

(7)最后，后台数据库最终确定更新的群组共享密钥为k′_g，k′_g用于下一次对该群组标签的认证；

5)群组标签的管理：

(1)若步骤3)中的第8步检测出问题标签后，假设检测出的标签ID_j存在问题，没有通过后台数据库的认证，则需要将标签ID_j从本群组中去除，标签ID_j不与其它的标签共享该群组共享密钥；

(2)在后台数据库查找到标签ID_j的var_j值，计算μ′＝μ-var_j，然后后台数据库选取群组共享密钥k′_g，并计算r′_g＝μ′×k′_g；

(3)向群组中的每个标签发送{r′_g,H₂(k′_g||α₂),α₂}，标签同样通过r′_gmodsk_i＝k′_g来获得群组共享密钥k′_g，即使标签ID_j能够得到r′_g，而μ′中不再含有var_j，因此r′_gmodsk_j≠k′_g，所以标签ID_j不能得到更新后的群组共享密钥k′_g；

(4)只有通过认证合法的标签才能得到更新后的群组共享密钥k′_g，然后进行步骤4)中第5-7步的操作，最终完成标签与后台数据库的双向认证。

步骤1)中所述的大素数由RSA加密算法提出。

有益效果：

1.本技术方案可以实现后台数据库同时认证群组中的多个标签，并且能够实现后台数据库与标签之间的双向认证；

2.本技术方案通过使用中国剩余定理的性质和哈希函数，设计出一种认证方法，该方法中的标签只需进行简单的哈希运算和取模运算，解决了标签计算能力差的问题；

3.本技术方案通过使用随机数、哈希函数、以及群组共享密钥，保证了在认证过程中能够抵抗各种安全攻击；

4.本技术方案可以去除群组中某个损坏的标签，并且损坏的标签不能获得后台数据库更新后的群组共享密钥，所以损坏的标签不能通过后台数据库的认证。

这种方法实现了后台数据库与标签之间的双向认证，解决了标签计算能力差的问题，并在认证过程中抵抗各种安全攻击。

附图说明

图1为RFID系统组成图；

图2为认证过程示意图。

具体实施方式

下面结合附图和实施例对本发明的内容作进一步的阐述，但不是对本发明的限定。

实施例：

参照图1、图2，一种基于中国剩余定理的RFID系统群组标签认证方法，所述RFID系统设有后台数据库及与后台数据库连接的阅读器，阅读器外接多个群组标签，该方法包括如下步骤：

1)后台数据库认证初始化：

(1)假设其中一个群组标签的个数为n个，后台数据库选取两个大素数p和q，并且满足其中大素数由RSA加密算法提出，然后从后台数据库中的

中选取n个两两互素的私钥sk₁,sk₂,sk₃…sk_n，最后计算

其中表示p阶的乘法循环群；

(2)后台数据库用私钥分别计算得到

然后计算x_i×y_i≡1mod sk_i，得到所有的y_i以及var_i＝x_i×y_i最后将所有的var_i求和得到其中x_i、y_i、var_i为单个标签的参数，μ为该群组所有标签的参数；

(3)为该群组中的每个标签分配ID₁,ID₂,…ID_n，并选择一个初始群组共享密钥

k_g＜q＜sk_i＜p且满足r_g＝μ×k_g，其中r_g为初始公开传递的密钥参数，

表示后台数据库中的q阶的乘法循环群；

(4)然后在后台数据库中存储(ID₁,sk₁,k_g,x₁,y₁)，(ID₂,sk₂,k_g,x₂,y₂)，……(ID_n,sk_n,k_g,x_n,y_n)；

(5)从后台数据库选取三个单向哈希函数H₁(),H₂(),H₃()，并且均满足

2)标签的登记：后台数据库完成初始化后，对该群组中的每个标签进行登记注册，每个标签通过安全的通道获得自己的(ID_i,sk_i,k_g)，即(ID₁,sk₁,k_g)，(ID₂,sk₂,k_g)，……，(ID_n,sk_n,k_g)的信息参数；

3)后台数据库认证标签：

(1)阅读器向该群组中的每个标签同时发送认证query和随机数α₁；

(2)每个标签接收到认证query和随机数α₁后，利用自身存储的(ID_i,sk_i,k_g)进行以下计算：即N₁＝H₁(k_g)，

N_n＝H₁(k_g)；

(3)完成上述计算后，每个标签向阅读器发送自己的回应信息(M₁,N₁)，(M₂,N₂)，……，(M_n,N_n)；

(4)阅读器收到每个标签的回应信息后，对比每条回应消息中的后半部分(N_i)，如果(N₁＝N₂＝…＝N_n)，则表示所有标签为同一群组的标签，初步判定没有其他群组的标签，然后将回应消息整合为{(M₁,M₂,…,M_n)，(N₁,N₂,…,N_n),α₁}，并通过安全信道将{(M₁,M₂,…,M_n)，(N₁,N₂,…,N_n),α₁}发送给后台数据库；

(5)后台数据库收到{(M₁,M₂,…,M_n)，(N₁,N₂,…,N_n),α₁}后，首先通过(N₁,N₂,…,N_n)的值，查找后台数据库中的初始群组共享密钥k_g，并计算H₁(k_g)，若找到与(N₁,N₂,…,N_n)的值相等的k_g，则证明该群组为合法的群组，并确定该群组的位置，并找出存储在后台数据库中的其他信息；

(6)然后将(M₁,M₂,…,M_n)中的每条信息进行以下操作：

即

并将

进行求和，得到

(7)将收到的α₁及确定该群组的其他信息ID₁,ID₂,…ID_n，分别进行如下计算：即H₁(ID₁||α₁)，H₁(ID₂||α₁)，……，H₁(ID_n||α₁)，然后将H₁(ID₁||α₁)，H₁(ID₂||α₁)，……，H₁(ID_n||α₁)进行求和，得到

(8)比较

与

是否相等，若相等，则证明该群组中的所有标签均为合法标签，并且通过后台数据库的认证；若不相等，则证明该群组中至少存在一个非法标签，或者标签受到了攻击，然后将

的结果与后台数据库计算出的每一项H₁(ID_i||α₁)进行比对，确定

成立的每一个标签的ID_i，找出与

的结果不相等的标签，并通过H₁(ID_i||α₁)来确定不相等标签的ID_i；

4)标签认证后台数据库：

(1)认证该群组中的所有标签为合法标签后，后台数据库将该群组的初始群组共享密钥k_g更新为群组共享密钥k′_g，

且k′_g＜q＜sk_i＜p，计算r′_g＝μ×k′_g，其中r′_g表示为公开传递的密钥参数；

(2)后台数据库同时生成一个随机数α₂，并计算H₂(k′_g||α₂)的值，然后将{r′_g,H₂(k′_g||α₂),α₂}发送给阅读器；

(3)阅读器将{r′_g,H₂(k′_g||α₂),α₂}转发给该群组中的每个标签，每个标签收到{r′_g,H₂(k′_g||α₂),α₂}后，通过计算r′_gmod sk_i，即r′_gmod sk₁＝k′_g，r′_gmod sk₂＝k′_g，……，r′_gmod sk_n＝k′_g，每个标签同时来获得更新后的群组共享密钥k′_g；

(4)然后每个标签再通过收到的随机数α₂和算出的群组共享密钥k′_g，计算H′₂(k′_g||α₂)的值，将H′₂(k′_g||α₂)的值与H₂(k′_g||α₂)的值进行对比，若他们的值相等，则表示每个标签认证了阅读器和后台数据库的合法性，则每个标签的群组共享密钥确认更新为k′_g；

(5)每个标签利用群组共享密钥k′_g，计算H₃(k′_g||α₂+1)的值，然后将此值发送给阅读器；

(6)阅读器收到H₃(k′_g||α₂+1)的值后，将H₃(k′_g||α₂+1)的值发送给后台数据库，后台数据库计算H′₃(k′_g||α₂+1)，并比较H₃(k′_g||α₂+1)与H′₃(k′_g||α₂+1)是否相等，若相等，则证明每个标签中群组共享密钥k′_g已经更新成功；

(7)最后，后台数据库最终确定更新的群组共享密钥为k′_g，k′_g用于下一次对该群组标签的认证；

5)群组标签的管理：

(1)若步骤3)中的第8步检测出问题标签后，假设检测出的标签ID_j存在问题，没有通过后台数据库的认证，则需要将标签ID_j从本群组中去除，标签ID_j不与其它的标签共享该群组共享密钥；

(2)在后台数据库查找到标签ID_j的var_j值，计算μ′＝μ-var_j，然后后台数据库选取群组共享密钥k′_g，

且k′_g＜q＜sk_i＜p，并计算r′_g＝μ′×k′_g；

(3)向群组中的每个标签发送{r′_g,H₂(k′_g||α₂),α₂}，标签同样通过r′_gmodsk_i＝k′_g来获得群组共享密钥k′_g，即使标签ID_j能够得到r′_g，而μ′中不再含有var_j，因此r′_gmodsk_j≠k′_g，所以标签ID_j不能得到更新后的群组共享密钥k′_g；

(4)只有通过认证合法的标签才能得到更新后的群组共享密钥k′_g，然后进行步骤4)中第5-7步的操作，最终完成标签与后台数据库的双向认证。

证明和分析：

(1)关于步骤4)中r′_gmodsk_i＝k′_g的证明：

①r′_gmodsk_i＝(μ×k′_g)modsk_i＝((μmodsk_i)×(k′_gmodsk_i))modsk_i

其中，

②因x_i×y_i≡1modsk_i，sk_i×…×sk_n-1×y_n的结果为sk_i的倍数，得到(sk_i×…×sk_n-1×y_n)modsk_i＝0，所以μmodsk_i＝1；

③因k′_g＜q＜sk_i＜p，所以可以得出以下的结果：

r′_gmodsk_i＝(1×(k′_gmod sk_i))mod sk_i＝(k′_gmodsk_i)mod sk_i＝k′_g，通过求解得到的k′_g

与后台数据库选取的k′_g相等。

(2)安全分析

①双向认证

本例方法能够实现后台数据库与标签的双向认证，首先后台数据库通过初始群组共享密钥k_g，然后计算并对比

和

来认证标签的合法性，当完成对标签的认证之后，后台数据库更新群组共享密钥，标签获得更新后的群组共享密钥k′_g后，通过计算H′₂(k′_g||α₂)并与收到的H₂(k′_g||α₂)进行对比，来认证后台数据库的合法性，最终完成后台数据库与标签的双向认证。

②抵抗假冒攻击

若攻击者假冒标签，它可以接收到阅读器的认证query和随机数α₁，并且可以依据其他合法标签发送的N_i＝H₁(k_g)，得到N_i之后可以通过阅读器的检查认证，但是非法标签没有合法的ID_i，所以无法伪造出

因此该非法标签不能满足等式

即不能通过后台数据库的认证，所以本例方法能够抵抗假冒攻击。

③抵抗重放攻击

本例中，阅读器在每次认证时中都会生成不同的随机数发送给群组中的标签，同时群组共享密钥也不断更新，即使攻击者能够获取到

和N_i＝H₁(k_g)，也不能重放它们来通过后台数据库的认证，因此本例方法可以抵抗重放攻击。

④抵抗去同步化攻击

在认证过程中，后台数据库完成对标签的认证之后，需要更新群组共享密钥，并将{r′_g,H₂(k′_g||α₂),α₂}发送给群组中的标签，在{r′_g,H₂(k′_g||α₂),α₂}数据信息传输过程中，{r′_g,H₂(k′_g||α₂),α₂}可能受到攻击者的修改攻击，使得标签计算得到更新的群组共享密钥与后台数据库中的不一样，这样标签就无法通过下一次的认证，所以当标签计算得到更新后的群组共享密钥，需要计算H₃(k′_g||α₂+1)并发送给后台数据库，后台数据库收到H₃(k′_g||α₂+1)之后，计算H′₃(k′_g||α₂+1)并比较两者是否相等，如果相等，则证明标签中的群组共享密钥更新成功，这样就能抵抗去同步化攻击。

⑤标签身份信息的保护

在标签发送消息

N_i＝H₁(k_g)的过程中，本例方法使用了单向哈希函数和随机数，依据单向哈希函数的单向性，即使攻击者得到M_i和N_i，也无法得到k_g和ID_i，所以攻击者无法获得标签的身份信息。

⑥抵抗位置追踪攻击

在认证过程中，消息M_i和N_i中使用了哈希函数和随机数，以及每次认证之后需要对群组共享密钥k_g进行更新，所以M_i和N_i在每一次认证时，都是不同的值，这样攻击者就无法找到一个固定不变的消息值，对标签进行追踪，所以能够抵抗位置追踪攻击。

(3)BAN逻辑证明

①逻辑推理规则介绍：

共享密钥消息的推理法则：P相信K是P和Q的共享密钥，且P收到用K加密X后的结果，则P相信Q曾发送过X：

临时校验准则：如果通信实体P相信X是新的，且实体P相信实体Q曾发送过X，则P相信Q也相信X：

管辖法则逻辑原则：如果实体P相信实体Q对X有管辖权，且P相信Q相信X，则P相信X：

时效性法则逻辑法则：如果一个公式的一部分X是新的，则这个公式(X,Y)全部都是新的：

接收原则：P相信K是P和Q的共享密钥，且P收到用K加密X后的结果，则P能收到X：

P能收到(X,Y)时，也能收到X和Y：

信念规则：P相信：Q相信X和Y，则P相信：Q相信X：

②消息形式化和理想化：

下面将本例方法中的每条消息进行形式化和理想化：

③初始假设：

本例方法的BAN逻辑证明有如下八个初始假设：

④要达到的安全目标为两个：

首先证明安全目标G.1:

由消息

{k_g}_H，根据BAN逻辑接收消息原则

得出：

由初始假设A.2:

及

根据BAN逻辑接收消息原则

得出：

由初始假设A.4:

及

根据BAN逻辑共享密钥消息的推理法则：

得出

由初始假设A.7:S|≡#(α₁)，根据时效性法则逻辑法则

得出

由及根据临时校验准则：得出：

由根据信念规则

得出：

由初始假设A.6:

及根据管辖法则逻辑原则

得出：

因此得以证明目标G.1；

证明安全目标G.2:

由初始假设A.1:

及根据BAN逻辑接收消息原则

得出：

由初始假设A.3:

及

根据BAN逻辑共享密钥消息的推理法则：

得出

由初始假设A.8:T|≡#(α₂)，根据时效性法则逻辑法则

得出

由

及

根据临时校验准则：

得出：

由

根据信念规则得出：

由初始假设A.5:

及

根据管辖法则逻辑原则

得出：

因此得以证明目标G.2。

Claims (1)

1.一种基于中国剩余定理的RFID系统群组标签认证方法，所述RFID系统设有后台数据库及与后台数据库连接的阅读器，阅读器外接多个群组标签，其特征在于，该方法包括如下步骤：

1)后台数据库认证初始化：

(1)假设其中一个群组标签的个数为n个，后台数据库选取两个大素数p和q，并且满足

然后从后台数据库中的

中选取n个两两互素的私钥sk₁,sk₂,sk₃…sk_n，最后计算

其中

表示p阶的乘法循环群；

(2)后台数据库用私钥分别计算得到

然后计算x_i×y_i≡1modsk_i，得到所有的y_i以及var_i＝x_i×y_i，最后将所有的var_i求和得到其中x_i、y_i、var_i为单个标签的参数，μ为该群组所有标签的参数；

(3)为该群组中的每个标签分配ID₁,ID₂,…ID_n，并选择一个初始群组共享密钥

k_g＜q＜sk_i＜p且满足r_g＝μ×k_g，其中r_g为初始公开传递的密钥参数，

表示后台数据库中的q阶的乘法循环群；

(4)然后在后台数据库中存储(ID₁,sk₁,k_g,x₁,y₁)，(ID₂,sk₂,k_g,x₂,y₂)，……(ID_n,sk_n,k_g,x_n,y_n)；

(5)从后台数据库选取三个单向哈希函数H₁(),H₂(),H₃()，并且均满足

2)标签的登记：后台数据库完成初始化后，对该群组中的每个标签进行登记注册，每个标签通过安全的通道获得自己的(ID_i,sk_i,k_g)，即(ID₁,sk₁,k_g)，(ID₂,sk₂,k_g)，……，(ID_n,sk_n,k_g)的信息参数；

3)后台数据库认证标签：

(1)阅读器向该群组中的每个标签同时发送认证query和随机数α₁；

(2)每个标签接收到认证query和随机数α₁后，利用自身存储的(ID_i,sk_i,k_g)进行以下计算：即

N₁＝H₁(k_g)，

(3)完成上述计算后，每个标签向阅读器发送自己的回应信息(M₁,N₁)，(M₂,N₂)，……，(M_n,N_n)；

(4)阅读器收到每个标签的回应信息后，对比每条回应消息中的后半部分(N_i)，如果(N₁＝N₂＝…＝N_n)，则表示所有标签为同一群组的标签，初步判定没有其他群组的标签，然后将回应消息整合为{(M₁,M₂,…,M_n)，(N₁,N₂,…,N_n),α₁}，并通过安全信道将{(M₁,M₂,…,M_n)，(N₁,N₂,…,N_n),α₁}发送给后台数据库；

(5)后台数据库收到{(M₁,M₂,…,M_n)，(N₁,N₂,…,N_n),α₁}后，首先通过(N₁,N₂,…,N_n)的值，查找后台数据库中的初始群组共享密钥k_g，并计算H₁(k_g)，若找到与(N₁,N₂,…,N_n)的值相等的k_g，则证明该群组为合法的群组，并确定该群组的位置，并找出存储在后台数据库中的其他信息；

(6)然后将(M₁,M₂,…,M_n)中的每条信息进行以下操作：

即

并将

进行求和，得到

(7)将收到的α₁及确定该群组的其他信息ID₁,ID₂,…ID_n，分别进行如下计算：即H₁(ID₁||α₁)，H₁(ID₂||α₁)，……，H₁(ID_n||α₁)，然后将H₁(ID₁||α₁)，H₁(ID₂||α₁)，……，H₁(ID_n||α₁)进行求和，得到

(8)比较

与

是否相等，若相等，则证明该群组中的所有标签均为合法标签，并且通过后台数据库的认证；若不相等，则证明该群组中至少存在一个非法标签，或者标签受到了攻击，然后将

的结果与后台数据库计算出的每一项H₁(ID_i||α₁)进行比对，确定

成立的每一个标签的ID_i，找出与

的结果不相等的标签，并通过H₁(ID_i||α₁)来确定不相等标签的ID_i；

4)标签认证后台数据库：

(1)认证该群组中的所有标签为合法标签后，后台数据库将该群组的初始群组共享密钥k_g更新为群组共享密钥k′_g，

且k′_g＜q＜sk_i＜p，计算r′_g＝μ×k′_g，其中r′_g表示为公开传递的密钥参数；

(2)后台数据库同时生成一个随机数α₂，并计算H₂(k′_g||α₂)的值，然后将{r′_g,H₂(k′_g||α₂),α₂}发送给阅读器；

(3)阅读器将{r′_g,H₂(k′_g||α₂),α₂}转发给该群组中的每个标签，每个标签收到{r′_g,H₂(k′_g||α₂),α₂}后，通过计算r′_gmodsk_i，即r′_gmodsk₁＝k′_g，r′_gmodsk₂＝k′_g，……，r′_gmodsk_n＝k′_g，每个标签同时来获得更新后的群组共享密钥k′_g；

(4)然后每个标签再通过收到的随机数α₂和算出的群组共享密钥k′_g，计算H′₂(k′_g||α₂)的值，将H′₂(k′_g||α₂)的值与H₂(k′_g||α₂)的值进行对比，若他们的值相等，则表示每个标签认证了阅读器和后台数据库的合法性，则每个标签的群组共享密钥确认更新为k′_g；

(5)每个标签利用群组共享密钥k′_g，计算H₃(k′_g||α₂+1)的值，然后将此值发送给阅读器；

(6)阅读器收到H₃(k′_g||α₂+1)的值后，将H₃(k′_g||α₂+1)的值发送给后台数据库，后台数据库计算H′₃(k′_g||α₂+1)，并比较H₃(k′_g||α₂+1)与H′₃(k′_g||α₂+1)是否相等，若相等，则证明每个标签中的群组共享密钥k′_g已经更新成功；

(7)最后，后台数据库最终确定更新的群组共享密钥为k′_g，k′_g用于下一次对该群组标签的认证；

5)群组标签的管理：

(1)若步骤3)中的第8步检测出问题标签后，假设检测出的标签ID_j存在问题，没有通过后台数据库的认证，则需要将标签ID_j从本群组中去除，标签ID_j不与其它的标签共享该群组共享密钥；

(2)在后台数据库查找到标签ID_j的var_j值，计算μ′＝μ-var_j，然后后台数据库选取群组共享密钥k′_g，并计算r′_g＝μ′×k′_g；

(3)向群组中的每个标签发送{r′_g,H₂(k′_g||α₂),α₂}，标签同样通过r′_gmodsk_i＝k′_g来获得群组共享密钥k′_g，即使标签ID_j能够得到r′_g，而μ′中不再含有var_j，因此r′_gmodsk_j≠k′_g，所以标签ID_j不能得到更新后的群组共享密钥k′_g；

(4)只有通过认证合法的标签才能得到更新后的群组共享密钥k′_g，然后进行步骤4)中第5-7步的操作，最终完成标签与后台数据库的双向认证。

Images