CN111132152B - 一种基于多层密钥体制的rfid标签认证方法 - Google Patents

一种基于多层密钥体制的rfid标签认证方法 Download PDF

Info

Publication number
CN111132152B
CN111132152B CN201911291265.0A CN201911291265A CN111132152B CN 111132152 B CN111132152 B CN 111132152B CN 201911291265 A CN201911291265 A CN 201911291265A CN 111132152 B CN111132152 B CN 111132152B
Authority
CN
China
Prior art keywords
reader
key
authentication
kmd
srw
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911291265.0A
Other languages
English (en)
Other versions
CN111132152A (zh
Inventor
邓威
杨旸
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu 30rtom Mobile Communication Co ltd
Original Assignee
Chengdu 30rtom Mobile Communication Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu 30rtom Mobile Communication Co ltd filed Critical Chengdu 30rtom Mobile Communication Co ltd
Priority to CN201911291265.0A priority Critical patent/CN111132152B/zh
Publication of CN111132152A publication Critical patent/CN111132152A/zh
Application granted granted Critical
Publication of CN111132152B publication Critical patent/CN111132152B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K7/00Methods or arrangements for sensing record carriers, e.g. for reading patterns
    • G06K7/10Methods or arrangements for sensing record carriers, e.g. for reading patterns by electromagnetic radiation, e.g. optical sensing; by corpuscular radiation
    • G06K7/10009Methods or arrangements for sensing record carriers, e.g. for reading patterns by electromagnetic radiation, e.g. optical sensing; by corpuscular radiation sensing by radiation using wavelengths larger than 0.1 mm, e.g. radio-waves or microwaves
    • G06K7/10257Methods or arrangements for sensing record carriers, e.g. for reading patterns by electromagnetic radiation, e.g. optical sensing; by corpuscular radiation sensing by radiation using wavelengths larger than 0.1 mm, e.g. radio-waves or microwaves arrangements for protecting the interrogation against piracy attacks
    • G06K7/10267Methods or arrangements for sensing record carriers, e.g. for reading patterns by electromagnetic radiation, e.g. optical sensing; by corpuscular radiation sensing by radiation using wavelengths larger than 0.1 mm, e.g. radio-waves or microwaves arrangements for protecting the interrogation against piracy attacks the arrangement comprising a circuit inside of the interrogation device
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Toxicology (AREA)
  • Electromagnetism (AREA)
  • General Engineering & Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Lock And Its Accessories (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种基于多层密钥体制的RFID标签认证方法,包括如下步骤:步骤1、密钥管理和发卡认证系统KMD采用多层密钥体制实现对安全阅读器SRW中阅读器密码模块的密钥资源生成及离线分发;步骤2、密钥管理和发卡认证系统KMD实现对RFID标签的密钥资源和RFID标签ID的生成及离线分发;步骤3、密钥管理和发卡认证系统KMD实现安全阅读器SRW的身份认证与密钥协商;步骤4、密钥管理和发卡认证系统KMD实现RFID标签的身份认证与密钥协商,以及安全阅读器SRW实现转发RFID标签认证数据以及对RFID标签的初始化。本发明实现了RFID标签信息的实时滚动,可以防止RFID被非法手段复制利用、并通过完整性校验对信息传输加密保护,有效解决RFID安全隐患,使得RFID的安全性得到保障。

Description

一种基于多层密钥体制的RFID标签认证方法
技术领域
本发明涉及安全管理技术领域,尤其是一种基于多层密钥体制的RFID标签认证方法。
背景技术
无线射频识别即射频识别技术(Radio Frequency Identification,RFID),是自动识别技术的一种,通过无线射频方式进行非接触双向数据通信,利用无线射频方式对记录媒体(电子标签或射频卡)进行读写,从而达到识别目标和数据交换的目的,其被认为是21世纪最具发展潜力的信息技术之一。无线射频识别技术通过无线电波不接触快速信息交换和存储技术,通过无线通信结合数据访问技术,然后连接数据库系统,加以实现非接触式的双向通信,从而达到了识别的目的,用于数据交换,串联起一个极其复杂的系统。在识别系统中,通过电磁波实现电子标签的读写与通信。根据通信距离,可分为近场和远场,为此读/写设备和电子标签之间的数据交换方式也对应地被分为负载调制和反向散射调制。
RFID系统包括标签、读写器以及标签与读写器之间的射频通信信道。RFID系统容易遭受各种主动和被动攻击的威胁,RFID系统本身的安全问题可归纳为隐私和认证两个方面:在隐私方面主要是可追踪性问题,即如何防止攻击者对RFID标签进行任何形式的跟踪;在认证方面主要是要确保只有合法的阅读器才能够与标签进行交互通信。当前,保障RFID系统本身安全的方法主要有三大类:物理方法(Kill命令,静电屏蔽,主动干扰以及BlockerTag方法等),安全协议(哈希锁随着物联网技术的日益普及应用),使用RFID标签的消费者隐私权备受关注;在使用电子标签进行交易的业务中,标签复制和伪造会给使用者带来损失;在RFID标签应用较广的供应链中,如何防止信息的窃听和篡改显得尤为重要。
发明内容
本发明所要解决的技术问题是:针对上述存在的问题,提供一种基于多层密钥体制的RFID标签认证方法。
本发明采用的技术方案为:一种基于多层密钥体制的RFID标签认证方法,包括如下步骤:
步骤1、密钥管理和发卡认证系统KMD采用多层密钥体制实现对安全阅读器SRW中阅读器密码模块的密钥资源生成及离线分发;
步骤2、密钥管理和发卡认证系统KMD实现对RFID标签的密钥资源和RFID标签ID的生成及离线分发;
步骤3、密钥管理和发卡认证系统KMD实现安全阅读器SRW的身份认证与密钥协商;
步骤4、密钥管理和发卡认证系统KMD实现RFID标签的身份认证与密钥协商,以及安全阅读器SRW实现转发RFID标签认证数据以及对RFID标签的初始化。
进一步,步骤1包括如下子步骤:
步骤11、初始化密钥管理和发卡认证系统KMD管理员与操作员并成功登录;
步骤12、阅读器密码模块与安全阅读器SRW绑定成功并与密钥管理和发卡认证系统KMD通信连接;
步骤13、在阅读器密码模块产生阅读器密码模块签名私钥SR.SPRk,并向密钥管理和发卡认证系统KMD请求密钥分发,同时对阅读器密码模块初始加密公钥SR.ICPUK签名;
步骤14、密钥管理和发卡认证系统KMD接收并验证阅读器密码模块初始加密公钥SR.ICPUK,生成阅读器密码模块的相关密钥资源,包括:敏感数据保护密钥SR.KEK、阅读器密码模块本地保护密钥SR.SPK、阅读器密码模块传输加密密钥SR.TK、阅读器密码模块认证密钥SR.CK、以及标签认证密钥TAG.DK,并将相关密钥资源下发至阅读器密码模块;
步骤15、密钥管理和发卡认证系统KMD将生成的阅读器密码模块的相关密钥资源经安全阅读器SRW下发至阅读器密码模块进行保存;
步骤16、阅读器密码模块返回密钥分发成功通信帧,并经安全阅读器SRW转发至密钥管理和发卡认证系统KMD,完成对安全阅读器SRW中阅读器密码模块的密钥资源生成及离线分发。
进一步,步骤2包括如下子步骤:
步骤21、安全阅读器SRW向密钥管理和发卡认证系统KMD发起RFID标签发卡通信帧请求;
步骤22、密钥管理和发卡认证系统KMD生成RFID标签ID和RFID标签认证密钥并下发至安全阅读器SRW;
步骤23、安全阅读器SRW将RFID标签ID与RFID标签认证密钥写入至RFID标签,并立即清除缓存中的RFID标签ID和RFID标签认证密钥;
步骤24、RFID标签返回密钥分发成功通信帧,并经安全阅读器SRW转发至密钥管理和发卡认证系统KMD,完成对RFID标签的密钥资源和RFID标签ID的生成及离线分发。
进一步,步骤3包括如下子步骤:
步骤31、安全阅读器SRW向阅读器密码模块发起安全阅读器与密钥管理和发卡认证系统KMD认证通信帧请求,通过通信帧将安全阅读器ID发送至阅读器密码模块;
步骤32、阅读器密码模块接收到安全阅读器与密钥管理和发卡认证系统KMD认证通信帧请求后组装安全认证请求协议帧;
步骤33、安全阅读器SRW将安全认证请求协议帧发送至密钥管理和发卡认证系统KMD;
步骤34、密钥管理和发卡认证系统KMD接收安全认证请求协议帧,并解析出安全协议帧数据进行安全认证,包括完整性校验和比对安全阅读器SRW与阅读器密码模块绑定关系;在对安全阅读器SRW的安全认证成功后发送认证响应通信帧至安全阅读器SRW,安全阅读器SRW再将认证响应通信帧转发至阅读器密码模块;
步骤35、阅读器密码模块收并解析认证响应通信帧,并在完整性校验后组装认证确认安全协议帧发到安全阅读器SRW,安全阅读器SRW再将认证确认安全协议帧发送到密钥管理和发卡认证系统KMD;
步骤36、密钥管理和发卡认证系统KMD利用认证安全协议帧计算会话密钥并保存。
进一步,步骤4包括如下子步骤:
步骤41、安全阅读器SRW向RFID标签发送激活标签命令;
步骤42、RFID标签向安全阅读器SRW返回RFID标签ID;
步骤43、阅读器收到RFID标签ID后组装携带RFID标签ID的标签上报安全协议帧,并将标签上报安全协议帧发送到密钥管理和发卡认证系统KMD;
步骤44、密钥管理和发卡认证系统KMD接收到标签上报安全协议帧,在完整性校验后解析出安全协议帧数据,并验证解析出的RFID标签ID安全有效时计算新的RFID标签ID和新的RFID标签认证密钥,然后组装标签上报响应帧,并将组装的标签上报响应帧发送到安全阅读器SRW;
步骤45、安全阅读器SRW将标签上报响应帧发送至阅读器密码模块,解析并验证成功后继续步骤46;
步骤46、安全阅读器SRW向RFID标签发起认证请求;
步骤47、认证成功后RFID标签更新RFID标签ID和RFID标签认证密钥,并向安全阅读器SRW返回成功更新标志上报安全协议帧;
步骤48、安全阅读器SRW将成功更新标志上报安全协议帧转发至密钥管理和发卡认证系统KMD;
步骤49、密钥管理和发卡认证系统KMD完成校验标签认证成功。
综上所述,由于采用了上述技术方案,本发明的有益效果是:
本发明实现了RFID标签信息的实时滚动,可以防止RFID被非法手段复制利用、并通过完整性校验对信息传输加密保护,有效解决RFID安全隐患,使得RFID的安全性得到保障。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本发明的基于多层密钥体制的RFID标签认证方法的流程框图。
图2为本发明中对安全阅读器SRW中阅读器密码模块的密钥资源生成及离线分发的时序图。
图3为本发明的多层密钥体制示意图。
图4为本发明中对RFID标签的密钥资源和RFID标签ID的生成及离线分发的时序图。
图5为本发明的安全阅读器认证的时序图。
图6为本发明的RFID标签认证的时序图。
具体实施方式
在详细说明本发明的技术方案之前,先简要介绍本发明涉及的一些基本概念:
RSA加密算法是一种非对称加密算法。其在公开密钥加密和电子商业中RSA被广泛使用。对极大整数做因数分解的难度决定了RSA加密算法的可靠性。换言之,对一极大整数做因数分解愈困难,RSA加密算法愈可靠。假如能找到一种快速因数分解的算法的话,那么用RSA加密算法加密的信息的可靠性就肯定会极度下降。但找到这样的算法的可能性是非常小的。现今只有短的RSA钥匙才可能被强力方式解破。到目前为止,世界上还没有任何可靠的攻击RSA加密算法的方式,只要其钥匙的长度足够长,用RSA加密的信息实际上是不能被解破的。
SHA256安全散列算法,是安全散列算法SHA(Secure Hash Algorithm)系列算法之一,其摘要长度为256bits,即32个字节,故称SHA256。SHA系列安全散列算法是美国国家安全局(NSA)设计,美国国家标准与技术研究院(NIST)发布的一系列密码散列函数,包括SHA-1、SHA-224、SHA-256、SHA-384和SHA-512等变体。主要适用于数字签名标准(DigitalSignature Standard DSS)里面定义的数字签名算法(Digital SignatureAlgorithm DSA)。
AES分组加密算法是一种对称的分组加密算法,使用128位分组加密数据,提供比WEP/TKIPS的RC4算法更高的加密强度。AES分组加密算法的加密码表和解密码表是分开的,并且支持子密钥加密,这种做法优于以前用一个特殊密钥解密的做法。AES分组加密算法支持任意分组大小、初始时间块,特别是它具有的并行性可以有效的利用处理器资源。
本发明的硬件主体包括:密钥管理和发卡认证系统KMD、安全阅读器SRW和RFID标签TAG,其中安全阅读器SRW中嵌入阅读器密码模块。
如图1所示,本发明的一种基于多层密钥体制的RFID标签认证方法,包括如下步骤:
步骤1、密钥管理和发卡认证系统KMD采用多层密钥体制实现对安全阅读器SRW中阅读器密码模块的密钥资源生成及离线分发;
步骤2、密钥管理和发卡认证系统KMD实现对RFID标签的密钥资源和RFID标签ID的生成及离线分发;
步骤3、密钥管理和发卡认证系统KMD实现安全阅读器SRW的身份认证与密钥协商;
步骤4、密钥管理和发卡认证系统KMD实现RFID标签的身份认证与密钥协商,以及安全阅读器SRW实现转发RFID标签认证数据以及对RFID标签的初始化。
如图2所示,步骤1包括如下子步骤:
步骤11、初始化密钥管理和发卡认证系统KMD管理员与操作员并成功登录;
步骤12、阅读器密码模块与安全阅读器SRW绑定成功并与密钥管理和发卡认证系统KMD通信连接;
步骤13、在阅读器密码模块产生阅读器密码模块签名私钥SR.SPRk,并向密钥管理和发卡认证系统KMD请求密钥分发,同时对阅读器密码模块初始加密公钥SR.ICPUK签名;
步骤14、密钥管理和发卡认证系统KMD接收并验证阅读器密码模块初始加密公钥SR.ICPUK,在进行完整性校验(采用SHA256安全散列算法)后生成阅读器密码模块的相关密钥资源,包括:敏感数据保护密钥SR.KEK、阅读器密码模块本地保护密钥SR.SPK、阅读器密码模块传输加密密钥SR.TK、阅读器密码模块认证密钥SR.CK、以及标签认证密钥TAG.DK,并将相关密钥资源下发至阅读器密码模块;如图3所示是本发明中KMD对采用多层密钥体制,其中,
SR.SPRk(阅读器密码模块签名私钥):在阅读器密码模块产生,用于在向KMD请求密钥分发时在阅读器密码模块对SR.ICPUK签名。
SR.ICPUK(阅读器密码模块初始加密公钥):在阅读器密码模块产生,阅读器密码模块发送到KMD以后在KMD使用,用于在KMD系统为阅读器密码模块分发密钥时对SR.KEK加密保护。
SR.KEK(敏感数据保护密钥):在KMD产生,在KMD为阅读器密码模块分发密钥时对SR.SPK加密保护,用于对敏感数据的加密保护。
SR.SPK(阅读器密码模块本地保护密钥):在KMD产生,在KMD为阅读器密码模块分发密钥时对SR.TK、SR.CK加密保护,用于阅读器密码模块敏感数据本地存储保护。
SR.TK(阅读器密码模块传输加密密钥):在KMD产生,一个阅读器密码模块对应一个SR.TK,用于阅读器密码模块与KMD间数据机密性保护。
SR.CK(阅读器密码模块认证密钥):在KMD产生,一个阅读器密码模块对应一个SR.CK,用于阅读器密码模块与KMD间数据完整性保护。
TAG.DK(标签认证密钥):在KMD产生,一个RFID标签对应一个TAG.DK,在RFID标签发卡时通过安全阅读器SRW为RFID标签下发。
上述密钥中,阅读器密码模块签名私钥SR.SPRk和阅读器密码模块初始加密公钥SR.ICPUK为采用RSA加密算法产生的非对称密钥;敏感数据保护密钥SR.KEK、阅读器密码模块本地保护密钥SR.SPK、阅读器密码模块传输加密密钥SR.TK、阅读器密码模块认证密钥SR.CK、以及标签认证密钥TAG.DK为采用AES分组加密算法产生的对称密钥。
步骤15、密钥管理和发卡认证系统KMD将生成的阅读器密码模块的相关密钥资源经安全阅读器SRW下发至阅读器密码模块进行保存;
步骤16、阅读器密码模块返回密钥分发成功通信帧,并经安全阅读器SRW转发至密钥管理和发卡认证系统KMD,完成对安全阅读器SRW中阅读器密码模块的密钥资源生成及离线分发。
如图4所示,步骤2包括如下子步骤:
步骤21、安全阅读器SRW向密钥管理和发卡认证系统KMD发起RFID标签发卡通信帧请求;
步骤22、密钥管理和发卡认证系统KMD生成RFID标签ID和RFID标签认证密钥并下发至安全阅读器SRW;
步骤23、安全阅读器SRW将RFID标签ID与RFID标签认证密钥写入至RFID标签,并立即清除缓存中的RFID标签ID和RFID标签认证密钥;
步骤24、RFID标签返回密钥分发成功通信帧,并经安全阅读器SRW转发至密钥管理和发卡认证系统KMD,完成对RFID标签的密钥资源和RFID标签ID的生成及离线分发。
如图5所示,步骤3包括如下子步骤:
步骤31、安全阅读器SRW向阅读器密码模块发起安全阅读器与密钥管理和发卡认证系统KMD认证通信帧请求,通过通信帧将安全阅读器ID发送至阅读器密码模块;
步骤32、阅读器密码模块接收到安全阅读器与密钥管理和发卡认证系统KMD认证通信帧请求后组装安全认证请求协议帧;
步骤33、安全阅读器SRW将安全认证请求协议帧发送至密钥管理和发卡认证系统KMD;
步骤34、密钥管理和发卡认证系统KMD接收安全认证请求协议帧,并解析出安全协议帧数据进行安全认证,包括完整性校验(采用SHA256安全散列算法)和比对安全阅读器SRW与阅读器密码模块绑定关系;在对安全阅读器SRW的安全认证成功后发送认证响应通信帧至安全阅读器SRW,安全阅读器SRW再将认证响应通信帧转发至阅读器密码模块;
步骤35、阅读器密码模块收并解析认证响应通信帧,并在完整性校验(采用SHA256安全散列算法)后组装认证确认安全协议帧发到安全阅读器SRW,安全阅读器SRW再将认证确认安全协议帧发送到密钥管理和发卡认证系统KMD;
步骤36、密钥管理和发卡认证系统KMD利用认证安全协议帧计算会话密钥并保存。
如图6所示,步骤4包括如下子步骤:
步骤41、安全阅读器SRW向RFID标签发送激活标签命令;
步骤42、RFID标签向安全阅读器SRW返回RFID标签ID;所述RFID标签ID的验证遵循ISO18000-6C协议,由标签上报安全协议帧完成。
步骤43、阅读器收到RFID标签ID后组装携带RFID标签ID的标签上报安全协议帧,并将标签上报安全协议帧发送到密钥管理和发卡认证系统KMD;
步骤44、密钥管理和发卡认证系统KMD接收到标签上报安全协议帧,在完整性校验(采用SHA256安全散列算法)后解析出安全协议帧数据,并验证解析出的RFID标签ID安全有效时计算新的RFID标签ID和新的RFID标签认证密钥,然后组装标签上报响应帧,并将组装的标签上报响应帧发送到安全阅读器SRW;
步骤45、安全阅读器SRW将标签上报响应帧发送至阅读器密码模块,解析并验证成功后继续步骤46;
步骤46、安全阅读器SRW向RFID标签发起认证请求;
步骤47、认证成功后RFID标签更新RFID标签ID和RFID标签认证密钥,并向安全阅读器SRW返回成功更新标志上报安全协议帧;
步骤48、安全阅读器SRW将成功更新标志上报安全协议帧转发至密钥管理和发卡认证系统KMD;
步骤49、密钥管理和发卡认证系统KMD完成校验标签认证成功。
以下结合实施例对本发明的特征和性能作进一步的详细描述。本实施例的一种基于多层密钥体制的RFID标签认证方法的流程如下:
步骤1、初始化KMD管理员与操作员并成功登录;
步骤2、安全阅读器与阅读器密码模块进行绑定;
步骤3、安全阅读器在KMD进行注册、KMD向阅读器密码模块注入相关密钥资源;
步骤4、安全阅读器SRW检测RFID标签是否合法可用;
步骤5、KMD生成RFID标签ID和RFID标签认证密钥;
步骤6、KMD向标签下发RFID标签ID和RFID标签认证密钥、绑定RFID标签身份完成标签初始化;
步骤1到步骤6是进行RFID认证的前置准备工作。步骤7开始RFID认证流程;
步骤7、安全阅读器向阅读器密码模块发起认证请求;
步骤8、阅读器密码模块比对阅读器ID并生成随机数返回认证请求数据,并通过安全阅读器转发给KMD;
步骤9、KMD对RFID标签进行身份认证,并生成随机数响应给安全阅读器该转发到阅读器密码模块;
步骤10、阅读器密码模块计算会话密钥并保存,返回认证确认信息通过阅读器响应给KMD;
步骤11、KMD计算会话密钥并保存,安全阅读器认证成功;
步骤12、安全阅读器标签发起激活标签命令;
步骤13、RFID标签进行标签上报并通过安全阅读器转发给KMD;
步骤14、KMD生成新的RFID标签ID和RFID标签认证密钥返回给安全阅读器;
步骤15、安全阅读器向标签发起标签合法性认证请求;
步骤16、标签合法性认证请求通过以后安全阅读器向RFID标签下发新的RFID标签ID和RFID标签认证密钥;
步骤17、RFID标签更新新的RFID标签ID和RFID标签认证密钥并返回成功标识给安全阅读器,安全阅读器转发成功标识给KMD;
步骤18、KMD收到成功标识,标签认证成功。
通过上述流程可知,本发明中的密钥体制包括:预置密钥(由KMD和阅读器密码模块产生并存储在非易失存储区的用户密钥和密钥加密密钥)、中间层密钥(开机协商计算的会话密钥,是一次性密钥,断电丢失)、RFID认证密钥(一次一密,循环滚动)。也就是说,本发明实现了RFID标签信息的实时滚动,可以防止RFID被非法手段复制利用、并通过完整性校验(采用SHA256安全散列算法)对信息传输加密保护,有效解决RFID安全隐患,使得RFID的安全性得到保障。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (1)

1.一种基于多层密钥体制的RFID标签认证方法,其特征在于,包括如下步骤:
步骤1、密钥管理和发卡认证系统KMD采用多层密钥体制实现对安全阅读器SRW中阅读器密码模块的密钥资源生成及离线分发;
步骤2、密钥管理和发卡认证系统KMD实现对RFID标签的密钥资源和RFID标签ID的生成及离线分发;
步骤3、密钥管理和发卡认证系统KMD实现安全阅读器SRW的身份认证与密钥协商;
步骤4、密钥管理和发卡认证系统KMD实现RFID标签的身份认证与密钥协商,以及安全阅读器SRW实现转发RFID标签认证数据以及对RFID标签的初始化;
步骤1包括如下子步骤:
步骤11、初始化密钥管理和发卡认证系统KMD管理员与操作员并成功登录;
步骤12、阅读器密码模块与安全阅读器SRW绑定成功并与密钥管理和发卡认证系统KMD通信连接;
步骤13、在阅读器密码模块产生阅读器密码模块签名私钥SR.SPRk,并向密钥管理和发卡认证系统KMD请求密钥分发,同时对阅读器密码模块始加密公钥SR.ICPUK签名;
步骤14、密钥管理和发卡认证系统KMD接收并验证阅读器密码模块初始加密公钥SR.ICPUK,在进行完整性校验后生成阅读器密码模块的相关密钥资源,包括:敏感数据保护密钥SR.KEK、阅读器密码模块本地保护密钥SR.SPK、阅读器密码模块传输加密密钥SR.TK、阅读器密码模块认证密钥SR.CK、以及标签认证密钥TAG.DK,并将相关密钥资源下发至阅读器密码模块;
步骤15、密钥管理和发卡认证系统KMD将生成的阅读器密码模块的相关密钥资源经安全阅读器SRW下发至阅读器密码模块进行保存;
步骤16、阅读器密码模块返回密钥分发成功通信帧,并经安全阅读器SRW转发至密钥管理和发卡认证系统KMD,完成对安全阅读器SRW中阅读器密码模块的密钥资源生成及离线分发;
步骤2包括如下子步骤:
步骤21、安全阅读器SRW向密钥管理和发卡认证系统KMD发起RFID标签发卡通信帧请求;
步骤22、密钥管理和发卡认证系统KMD生成RFID标签ID和RFID标签认证密钥并下发至安全阅读器SRW;
步骤23、安全阅读器SRW将RFID标签ID与RFID标签认证密钥写入至RFID标签,并立即清除缓存中的RFID标签ID和RFID标签认证密钥;
步骤24、RFID标签返回密钥分发成功通信帧,并经安全阅读器SRW转发至密钥管理和发卡认证系统KMD,完成对RFID标签的密钥资源和RFID标签ID的生成及离线分发;
步骤3包括如下子步骤:
步骤31、安全阅读器SRW向阅读器密码模块发起安全阅读器与密钥管理和发卡认证系统KMD认证通信帧请求,通过通信帧将安全阅读器ID发送至阅读器密码模块;
步骤32、阅读器密码模块接收到安全阅读器与密钥管理和发卡认证系统KMD认证通信帧请求后组装安全认证请求协议帧;
步骤33、安全阅读器SRW将安全认证请求协议帧发送至密钥管理和发卡认证系统KMD;
步骤34、密钥管理和发卡认证系统KMD接收安全认证请求协议帧,并解析出安全协议帧数据进行安全认证,包括完整性校验和比对安全阅读器SRW与阅读器密码模块绑定关系;在对安全阅读器SRW的安全认证成功后发送认证响应通信帧至安全阅读器SRW,安全阅读器SRW再将认证响应通信帧转发至阅读器密码模块;
步骤35、阅读器密码模块收并解析认证响应通信帧,并在完整性校验后组装认证确认安全协议帧发到安全阅读器SRW,安全阅读器SRW再将认证确认安全协议帧发送到密钥管理和发卡认证系统KMD;
步骤36、密钥管理和发卡认证系统KMD利用认证安全协议帧计算会话密钥并保存;
步骤4包括如下子步骤:
步骤41、安全阅读器SRW向RFID标签发送激活标签命令;
步骤42、RFID标签向安全阅读器SRW返回RFID标签ID;
步骤43、阅读器收到RFID标签ID后组装携带RFID标签ID的标签上报安全协议帧,并将标签上报安全协议帧发送到密钥管理和发卡认证系统KMD;
步骤44、密钥管理和发卡认证系统KMD接收到标签上报安全协议帧,在完整性校验后解析出安全协议帧数据,并验证解析出的RFID标签ID安全有效时计算新的RFID标签ID和新的RFID标签认证密钥,然后组装标签上报响应帧,并将组装的标签上报响应帧发送到安全阅读器SRW;
步骤45、安全阅读器SRW将标签上报响应帧发送至阅读器密码模块,解析并验证成功后继续步骤46;
步骤46、安全阅读器SRW向RFID标签发起认证请求;
步骤47、认证成功后RFID标签更新RFID标签ID和RFID标签认证密钥,并向安全阅读器SRW返回成功更新标志上报安全协议帧;
步骤48、安全阅读器SRW将成功更新标志上报安全协议帧转发至密钥管理和发卡认证系统KMD;
步骤49、密钥管理和发卡认证系统KMD完成校验标签认证成功。
CN201911291265.0A 2019-12-16 2019-12-16 一种基于多层密钥体制的rfid标签认证方法 Active CN111132152B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911291265.0A CN111132152B (zh) 2019-12-16 2019-12-16 一种基于多层密钥体制的rfid标签认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911291265.0A CN111132152B (zh) 2019-12-16 2019-12-16 一种基于多层密钥体制的rfid标签认证方法

Publications (2)

Publication Number Publication Date
CN111132152A CN111132152A (zh) 2020-05-08
CN111132152B true CN111132152B (zh) 2023-04-07

Family

ID=70499074

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911291265.0A Active CN111132152B (zh) 2019-12-16 2019-12-16 一种基于多层密钥体制的rfid标签认证方法

Country Status (1)

Country Link
CN (1) CN111132152B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112487839B (zh) * 2020-12-15 2022-09-20 重庆西南集成电路设计有限责任公司 一种防复制rfid安全系统

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101271534A (zh) * 2008-03-25 2008-09-24 华南理工大学 Rfid标签及其阅读器、读取系统及安全认证方法
WO2009065941A1 (en) * 2007-11-23 2009-05-28 France Telecom Authentication system and method using electronic tags
CN102437915A (zh) * 2011-10-31 2012-05-02 任洪娥 基于id变化和密钥阵列的rfid安全认证系统
CN103854042A (zh) * 2014-03-14 2014-06-11 智坤(江苏)半导体有限公司 Rfid标签读写器鉴权和标签防克隆的方法
CN104488219A (zh) * 2012-03-16 2015-04-01 德国捷德有限公司 用于在射频识别标签和读取设备之间进行安全通信的方法和系统
CN105871904A (zh) * 2016-05-25 2016-08-17 电子科技大学 一种用于rfid的限定距离的安全认证协议
CN107231231A (zh) * 2017-06-16 2017-10-03 深圳市盛路物联通讯技术有限公司 一种终端设备安全接入物联网的方法及系统
CN110121159A (zh) * 2019-03-29 2019-08-13 西安电子科技大学 车联网场景下的轻量级rfid安全认证方法、车联网通信系统

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009065941A1 (en) * 2007-11-23 2009-05-28 France Telecom Authentication system and method using electronic tags
CN101271534A (zh) * 2008-03-25 2008-09-24 华南理工大学 Rfid标签及其阅读器、读取系统及安全认证方法
CN102437915A (zh) * 2011-10-31 2012-05-02 任洪娥 基于id变化和密钥阵列的rfid安全认证系统
CN104488219A (zh) * 2012-03-16 2015-04-01 德国捷德有限公司 用于在射频识别标签和读取设备之间进行安全通信的方法和系统
CN103854042A (zh) * 2014-03-14 2014-06-11 智坤(江苏)半导体有限公司 Rfid标签读写器鉴权和标签防克隆的方法
CN105871904A (zh) * 2016-05-25 2016-08-17 电子科技大学 一种用于rfid的限定距离的安全认证协议
CN107231231A (zh) * 2017-06-16 2017-10-03 深圳市盛路物联通讯技术有限公司 一种终端设备安全接入物联网的方法及系统
CN110121159A (zh) * 2019-03-29 2019-08-13 西安电子科技大学 车联网场景下的轻量级rfid安全认证方法、车联网通信系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
基于PRESENT算法的RFID安全认证协议;张兴等;《通信学报》;20151125;全文 *
基于口令认证的RFID系统安全协议及其BAN逻辑分析;蔡庆玲等;《电信科学》;20081215(第12期);全文 *

Also Published As

Publication number Publication date
CN111132152A (zh) 2020-05-08

Similar Documents

Publication Publication Date Title
Kulseng et al. Lightweight mutual authentication and ownership transfer for RFID systems
USH2270H1 (en) Open protocol for authentication and key establishment with privacy
US9647845B2 (en) Key downloading method, management method, downloading management method, device and system
CA2652084C (en) A method and apparatus to provide authentication and privacy with low complexity devices
CN101847199B (zh) 用于射频识别系统的安全认证方法
CN102882683B (zh) 一种可同步的rfid安全认证方法
US20050210279A1 (en) Authentication between device and portable storage
CN103279775B (zh) 能够保证秘密性和数据完整性的rfid系统及其实现方法
CN110381055B (zh) 医疗供应链中的rfid系统隐私保护认证协议方法
KR100723868B1 (ko) Epc c1g2 rfid 시스템에서 태그와 판독장치간의 상호 인증 방법
CN104424446A (zh) 一种安全认证和传输的方法和系统
CN102684872B (zh) 基于对称加密的超高频射频识别空中接口安全通信方法
CN113591109B (zh) 可信执行环境与云端通信的方法及系统
CN103138925B (zh) 发卡操作方法、ic卡片和发卡设备
CN111132152B (zh) 一种基于多层密钥体制的rfid标签认证方法
Saxena et al. A novel hash-based mutual RFID tag authentication protocol
CN105873043B (zh) 一种用于移动终端的网络私匙的生成及应用方法及其系统
KR101295038B1 (ko) 보안 리더기를 이용한 공인 인증서 사용방법
CN104980280B (zh) 一种基于蔡氏多涡卷混沌序列的rfid安全认证方法
CN102065094B (zh) 基于物联网的防信息泄密方法及系统
EP3185504A1 (en) Security management system for securing a communication between a remote server and an electronic device
KR20140071775A (ko) 암호키 관리 시스템 및 방법
CN114666039A (zh) 基于量子密码网络的rfid群组标签认证系统及方法
JP2005151004A (ja) 無線タグプライバシー保護方法、無線タグ装置、セキュリティサーバ装置、無線タグ装置用プログラムおよびセキュリティサーバ装置用プログラム
US11928247B2 (en) Methods and devices for AI model integrity and secrecy protection

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant