CN111914967A

CN111914967A - 带随机参数委托存储的椭圆曲线射频识别双向认证方法

Info

Publication number: CN111914967A
Application number: CN202010779817.9A
Authority: CN
Inventors: 董庆宽; 杨灿; 陈原; 范美月; 高文鑫; 李丽
Original assignee: Xidian University
Current assignee: Xidian University
Priority date: 2020-08-05
Filing date: 2020-08-05
Publication date: 2020-11-10
Anticipated expiration: 2040-08-05
Also published as: CN111914967B

Abstract

本发明公开了一种带随机参数委托存储的椭圆曲线射频识别认证方法，主要解决了现有射频识别RFID认证中标签由于硬件资源消耗过大、能耗过高导致的成本太大的问题。本发明实现步骤是：(1)初始化过程；(2)委托存储过程；(3)双向认证过程；(4)更新过程。本发明与现有技术相比，在实现电子标签与阅读器之间相互认证的基础上，大大降低了电子标签的成本，同时提高了射频识别的安全性。

Description

带随机参数委托存储的椭圆曲线射频识别双向认证方法

技术领域

本发明属于信息技术领域，更进一步涉及信息安全技术领域中的一种带随机参数委托存储的椭圆曲线射频识别RFID(radio frequency identification)双向认证方法。本发明采用随机参数委托存储的方法，将标签在椭圆曲线射频识别认证过程中需通过点乘运算产生的随机参数委托可信第三方预计算并加密存储到阅读器的后台数据库中；通过循环哈希操作产生标签在认证过程中的随机数。

背景技术

射频识别RFID是物联网中用于实现物体标识的关键技术，由于射频识别RFID技术具有非接触性、无需可视性、便捷性、快速识别性、一次可识别多个标签等优势，因此在交通、物流、医疗以及生产等诸多领域有着广阔的应用前景。

RFID双向认证协议因其安全性好,通过对认证双方合法性的验证,能够有效防止常见的主、被动攻击,提供良好的隐私保护能力，而且对标签的计算能力、存储空间要求与单向认证协议相当；因此,一个安全、适用、低成本的RFID双向认证协议对于解决RFID系统日益严重的安全和隐私威胁具有普适性的重要意义。

蓝盾信息安全技术有限公司在其申请的专利文献“一种基于ECC的RFID双向身份认证系统及方法”(申请号：2016111981857，申请公布号：CN108229602A)中提出了一种基于ECC的RFID双向身份认证方法。该方法首先进行认证的初始化，然后标签利用椭圆密码曲线计算三次倍点和一次倍加进行标签与阅读器的双向认证，最后进行认证的更新，实现了RFID标签和阅读器的双向认证。该方法存在的不足之处是，在标签与阅读器的双向认证阶段，标签利用椭圆密码曲线密码算法需要计算三次倍点运算和一次倍加运算，而椭圆曲线上的倍点和倍加运算是非常消耗硬件资源的，这使得标签成本太大。

西安电子科技大学在其申请的专利文献“基于资源受限标签的椭圆曲线射频识别认证方法”(申请号：2018102641446，申请公布号：CN108520189A)中提出一种椭圆曲线的射频识别双向认证方法。该方法首先由电子标签认证阅读器，然后在阅读器认证电子标签阶段，自己产生了一个48bit的随机数用于认证。该方法存在的不足之处是，电子标签自己产生一个随机数是比较消耗硬件资源的，这使得能源受限的标签能耗过高。

发明内容

本发明的目的是针对上述现有技术存在的不足，提出一种带随机参数委托存储的椭圆曲线射频识别认证方法，用于解决现有技术中射频识别RFID认证过程中的标签易遭受主动攻击、标签计算量大的问题。

实现本发明目的的思路是，采用随机参数委托存储的方法，将标签在椭圆曲线射频识别认证过程中需通过点乘运算产生的随机参数委托可信第三方预计算并加密存储到阅读器的后台数据库中；通过循环哈希操作产生标签在认证过程中的随机数，该方法具体步骤包括如下：

(1)向阅读器和电子标签写入初始值：

(1a)向阅读器写入电子标签身份标识和电子标签公钥的配对信息以及自己的私钥s_R；

(1b)向电子标签写入自己的身份标识ID_T和自己的公钥P_T以及自己的私钥s_T；

(2)委托存储随机参数：

(2a)可信第三方产生n个随机数r₁,…,r_n，n表示用户在(1,100)的范围内根据实际需求设定的一个值；对每个随机数针对椭圆曲线上基点P进行点乘运算，得到n个点乘值r₁P,…r_nP；

(2b)利用k_v1＝h(r₁·P_R),…,k_vn＝h(r_n·P_R)公式，得到n个会话密钥，其中，h(·)表示哈希操作，P_R表示阅读器的公钥；

(2c)按照r₁||r₁P||k_v1||ID_R||seq₁,…,r_n||r_nP||k_vn||ID_R||seq_n级联字符串作为随机参数，其中，||表示级联符号，ID_R表示阅读器的身份标识，seq₁,…,seq_n表示n个序列号，满足seq₁＜seq₂＜…＜seq_n，将随机参数r₁||r₁P||k_v1||ID_R||seq₁放到电子标签中并存储，将剩余随机参数r₂||r₂P||k_v2||ID_R||seq₂,…,r_n||r_nP||k_vn||ID_R||seq_n分别用与电子标签的共享密钥k加密后放到阅读器的后台数据库中存储，若在若干次认证后后台数据库中存储的这些随机参数只剩一个，则在下次认证前先步骤(2)，否则，执行步骤(3)；

(3)阅读器向电子标签发送认证请求：

阅读器产生一个80bit的随机数l₁，将l₁与阅读器的身份标识ID_R级联作为认证请求发送给电子标签T；

(4)电子标签验证请求并向阅读器发送应答消息：

(4a)电子标签接收阅读器发送的请求后拆分得到随机数l₂和阅读器身份标识ID_R1；

(4b)从电子标签存储的r₁||r₁P||k_v1||ID_R||seq₁中拆分出r₁、r₁P、k_v1、ID_R和seq₁，判断ID_R与ID_R1是否相同，若是，则执行步骤(4c)，否则，终止认证过程；

(4c)用Photon哈希函数对会话密钥k_v1进行循环计算，得到电子标签随机数r_T和加密密钥key；

(4d)将

作为应答消息发送给阅读器，其中，

表示异或操作；

(5)阅读器向电子标签发送询问：

(5a)阅读器收到电子标签发送的应答消息后拆分得到

和r₁P，对s_R与r₁P的点乘值进行哈希操作，得到会话密钥k_v1；

(5b)用Photon哈希函数对会话密钥k_v1进行循环计算，得到电子标签随机数r_T1和解密密钥key₁；

(5c)用key₁对

进行异或后拆分得到ID_T||l₂||r_T和h(ID_T||l₂||r_T)，对ID_T||l₂||r_T进行哈希操作，判断哈希值与h(ID_T||l₂||r_T)是否相等，若是，则执行步骤(5d)，否则，终止认证过程；

(5d)拆分ID_T||l₂||r_T得到ID_T、l₂、r_T，判断l₂与l₁是否相等以及r_T与r_T1是否相等；若是，则执行步骤(5e)，否则，终止认证过程；

(5e)查找后台数据库中是否有与ID_T相同的电子标签身份标识，若是，则执行步骤(5f)，否则，终止认证过程；

(5f)找到数据库中与ID_T对应的电子标签公钥P_T并存储后产生一个32bit的随机数l₃，将

作为询问发送给电子标签；

(6)电子标签认证阅读器并应答：

(6a)电子标签收到阅读器发送的询问后，用k_v1对询问进行异或后拆分得到P_T1||l₃||r_T2和h(P_T1||l₃||r_T2)；

(6b)对P_T||l₃||r_T2进行哈希操作，判断哈希值和h(P_T1||l₃||r_T2)是否相等，若是，则执行步骤(6c)，否则，终止认证过程；

(6c)拆分字符串P_T1||l₃||r_T2得到P_T1、l₃、r_T2，比较P_T1与P_T以及r_T2与r_T是否一致，若是，则执行步骤(6d)，否则，终止认证过程；

(6d)将r₁+l₃·s_T作为应答y发送给阅读器；

(7)阅读器认证电子标签：

(7a)阅读器收到电子标签发送的应答y后，计算y与基点P的点乘值是否等于r₁P+l₃·P_T，若相等，双向认证过程完成，否则，终止认证过程；

(8)阅读器向电子标签发送更新的随机参数：

(8a)阅读器将后台数据库中的r₂||r₂P||k_v2||ID_R||seq₂更新为r₃||r₃P||k_v3||ID_R||seq₃后将r₂||r₂P||k_v2||ID_R||seq₂与k的加密值(r₂||r₂P||k_v2||ID_R||seq₂)_k级联上h((r₂||r₂P||k_v2||ID_R||seq₂)_k)作为更新消息发送给电子标签；

(9)电子标签更新随机参数：

(9a)电子标签收到阅读器发送的更新消息后拆分得到异或值(r₂||r₂P||k_v2||ID_R||seq₂)_k和h((r₂||r₂P||k_v2||ID_R||seq₂)_k)，对(r₂||r₂P||k_v2||ID_R||seq₂)_k进行哈希操作，判断哈希值与h((r₂||r₂P||k_v2||ID_R||seq₂)_k)是否相等，若是，则执行步骤(9b)，否则，终止更新过程；

(9b)用与可信第三方的共享密钥k对(r₂||r₂P||k_v2||ID_R||seq₂)_k进行解密得到r₂||r₂P||k_v2||ID_R||seq₂后拆分出seq₂，判断seq₂是否大于seq₁，若是，则将存储的r₁||r₁P||k_v1||ID_R||seq₁更新为r₂||r₂P||k_v2||ID_R||seq₂，否则，不对随机参数进行更新。

与现有技术相比，本发明具有以下优点：

第一，由于本发明采用随机参数委托存储的方法，将标签在椭圆曲线射频识别认证过程中需通过点乘运算产生的随机参数委托可信第三方预计算并加密存储到阅读器的后台数据库中，克服了现有技术中的在标签与阅读器的双向认证阶段，标签利用椭圆密码曲线密码算法需要计算三次倍点运算和一次倍加运算，而椭圆曲线上的倍点和倍加运算是非常消耗硬件资源的，这使得标签成本太大的问题，使得本发明应用于椭圆曲线射频识别时可以大大降低标签的成本。

第二，本方明通过循环哈希操作产生标签在认证过程中的随机数，在保证认证方法安全性的同时，进一步降低了标签的成本，克服了现有技术中的电子标签自己产生一个随机数是比较消耗硬件资源的，这使得能源受限的标签能耗过高的问题，使得本发明在低成本标签的前提下提高了射频识别的安全性。

附图说明

图1是本发明的流程图。

具体实施方式

下面结合附图1，对本发明的具体步骤做进一步描述。本方明的具体步骤包括四个部分：初始化过程、委托存储过程、双向认证过程、更新过程。

初始化过程：

步骤1，向阅读器和电子标签写入初始值。

向阅读器中写入电子标签身份标识和电子标签公钥的配对信息(用于验证电子标签的身份)以及自己的私钥s_R(用于计算会话密钥)。

向电子标签中写入自己的身份标识ID_T和自己的公钥P_T以及自己的私钥s_T。

委托存储过程：

步骤1，委托存储随机参数。

可信第三方产生n个随机数r₁,…,r_n，n为用户在(1,100)的范围内根据实际需求设定的一个值；对每个随机数针对椭圆曲线上基点P进行点乘运算，得到n个点乘值r₁P,…r_nP。

利用k_v1＝h(r₁·P_R),…,k_vn＝h(r_n·P_R)公式，得到n个会话密钥，其中，h(·)表示哈希操作，P_R表示阅读器的公钥。

按照r₁||r₁P||k_v1||ID_R||seq₁,…,r_n||r_nP||k_vn||ID_R||seq_n级联字符串作为随机参数，其中，||表示级联符号，ID_R表示阅读器的身份标识，seq₁,…,seq_n表示n个序列号，满足seq₁＜seq₂＜…＜seq_n，将随机参数r₁||r₁P||k_v1||ID_R||seq₁放到电子标签中并存储，电子标签可直接从r₁||r₁P||k_v1||ID_R||seq₁拆分出r₁P用于认证而不用自己进行点乘运算，将剩余随机参数r₂||r₂P||k_v2||ID_R||seq₂,…,r_n||r_nP||k_vn||ID_R||seq_n分别用与电子标签的共享密钥k加密后放到阅读器的后台数据库中存储，没有放到电子标签中，是为了降低电子标签的硬件空间，从而减低电子标签的成本，认证后由阅读器向电子标签发送一个新的随机参数后电子标签更新随机参数，序列号seq₁,…,seq_n用于判断更新的随机参数是否是新的，只有当更新的随机参数中的序列号大于原随机参数中的序列号时，电子标签才更新随机参数，若在若干次认证后后台数据库中存储的这些随机参数只剩一个，则在下次认证前先进行委托存储过程，否则，直接进行双向认证过程。

双向认证过程：

步骤1，阅读器向电子标签发送认证请求。

阅读器产生一个80bit的随机数l₁，将l₁与阅读器的身份标识ID_R级联作为认证请求发送给电子标签T。

步骤2，电子标签验证请求并向阅读器发送应答消息。

电子标签接收阅读器发送的请求后拆分得到随机数l₂和阅读器身份标识ID_R1。

从电子标签存储的r₁||r₁P||k_v1||ID_R||seq₁中拆分出r₁、r₁P、k_v1、ID_R和seq₁，判断ID_R与ID_R1是否相同，若是，则继续认证过程，否则，终止认证过程。

用Photon哈希函数对会话密钥k_v1进行循环计算，得到电子标签随机数r_T和加密密钥key，具体步骤如下：

第1步，按照下式，计算密钥流：

Z＝h(k_v1)||h(h₁||k_v1)||....||h(h_x||k_v1)

其中，Z表示密钥流，h(k_v1)表示k_v1的哈希函数值，h(h₁||k_v1)表示k_v1的哈希函数值级联k_v1后的哈希函数值，h(h_x||k_v1)表示第x次循环计算的哈希函数值级联k_v1后的哈希函数值；

第2步，任意截取密钥流Z中的48bit作为电子标签随机数r_T，截取密钥流Z中的最后160bit作为加密密钥key。

将

作为应答消息发送给阅读器，其中，

表示异或操作。

步骤3，阅读器向电子标签发送询问。

阅读器收到电子标签发送的应答消息后拆分得到

和r₁P，对s_R与r₁P的点乘值进行哈希操作，得到会话密钥k_v1。

用Photon哈希函数对会话密钥k_v1进行循环计算，得到电子标签随机数r_T1和解密密钥key₁，具体步骤如下：

第1步，按照下式，计算密钥流：

Z＝h(k_v1)||h(h₁||k_v1)||....||h(h_x||k_v1)

第2步，任意截取密钥流Z中的48bit作为电子标签随机数r_T1，截取密钥流Z中的最后160bit作为解密密钥key₁。

用key₁对

进行异或后拆分得到ID_T||l₂||r_T和h(ID_T||l₂||r_T)，对ID_T||l₂||r_T进行哈希操作，判断哈希值与h(ID_T||l₂||r_T)是否相等，若是，则继续认证过程，否则，终止认证过程。

拆分ID_T||l₂||r_T得到ID_T、l₂、r_T，判断l₂与l₁是否相等以及r_T与r_T1是否相等；若是，则继续认证过程，否则，终止认证过程。

查找后台数据库中是否有与ID_T相同的电子标签身份标识，若是，则继续认证过程，否则，终止认证过程。

找到数据库中与ID_T对应的电子标签公钥P_T并存储后产生一个32bit的随机数l₃，将

作为询问发送给电子标签。

步骤4，电子标签认证阅读器并应答。

电子标签收到阅读器发送的询问后，用k_v1对询问进行异或后拆分得到P_T1||l₃||r_T2和h(P_T1||l₃||r_T2)。

对P_T||l₃||r_T2进行哈希操作，判断哈希值和h(P_T1||l₃||r_T2)是否相等，若是，则继续认证过程，否则，终止认证过程。

拆分字符串P_T1||l₃||r_T2得到P_T1、l₃、r_T2，比较P_T1与P_T以及r_T2与r_T是否一致，若是，则继续认证过程，否则，终止认证过程。

将r₁+l₃·s_T作为应答y发送给阅读器。

步骤5，阅读器认证电子标签。

阅读器收到电子标签发送的应答y后，计算y与基点P的点乘值是否等于r₁P+l₃·P_T，若相等，双向认证过程完成，否则，终止认证过程。

更新过程：

步骤1，阅读器向电子标签发送更新的随机参数。

阅读器将后台数据库中的r₂||r₂P||k_v2||ID_R||seq₂更新为r₃||r₃P||k_v3||ID_R||seq₃后将r₂||r₂P||k_v2||ID_R||seq₂与k的加密值(r₂||r₂P||k_v2||ID_R||seq₂)_k级联上h((r₂||r₂P||k_v2||ID_R||seq₂)_k)作为更新消息发送给电子标签。

步骤2，电子标签更新随机参数。

电子标签收到阅读器发送的更新消息后拆分得到异或值(r₂||r₂P||k_v2||ID_R||seq₂)_k和h((r₂||r₂P||k_v2||ID_R||seq₂)_k)，对(r₂||r₂P||k_v2||ID_R||seq₂)_k进行哈希操作，判断哈希值与h((r₂||r₂P||k_v2||ID_R||seq₂)_k)是否相等，若是，则继续更新过程，否则，终止更新过程。

用与可信第三方的共享密钥k对(r₂||r₂P||k_v2||ID_R||seq₂)_k进行解密得到r₂||r₂P||k_v2||ID_R||seq₂后拆分出seq₂，判断seq₂是否大于seq₁，若是，则将存储的r₁||r₁P||k_v1||ID_R||seq₁更新为r₂||r₂P||k_v2||ID_R||seq₂，否则，终止更新过程。

Claims

1.一种带随机参数委托存储的椭圆曲线射频识别认证方法，其特征在于，采用随机参数委托存储的方法，将标签在椭圆曲线射频识别认证过程中需通过点乘运算产生的随机参数委托可信第三方预计算并加密存储到阅读器的后台数据库中；通过循环哈希操作产生标签在认证过程中的随机数，该方法具体步骤如下：

(1)向阅读器和电子标签写入初始值：

(2)委托存储随机参数：

(2c)按照r₁||r₁P||k_v1||ID_R||seq₁,…,r_n||r_nP||k_vn||ID_R||seq_n级联字符串作为随机参数，其中，||表示级联符号，ID_R表示阅读器的身份标识，seq₁,…,seq_n表示n个序列号，满足seq₁<seq₂<…<seq_n，将随机参数r₁||r₁P||k_v1||ID_R||seq₁放到电子标签中并存储，将剩余随机参数r₂||r₂P||k_v2||ID_R||seq₂,…,r_n||r_nP||k_vn||ID_R||seq_n分别用与电子标签的共享密钥k加密后放到阅读器的后台数据库中存储，若在若干次认证后后台数据库中存储的这些随机参数只剩一个，则在下次认证前先步骤(2)，否则，执行步骤(3)；

(3)阅读器向电子标签发送认证请求：

(4)电子标签验证请求并向阅读器发送应答消息：