CN113365270A - 基于物联网应用的rfid多标签联合认证系统及方法 - Google Patents

Abstract

本发明提供基于物联网应用的RFID多标签联合认证系统及方法，通过构建密钥序列分发函数、主控密钥、设定阅读器和标签的共享密钥；基于子密钥、共享密钥和阅读器的公钥构建第一密钥序列并发送至标签；阅读器发送随机数和认证请求消息，标签基于阅读器发送的随机数、自身随机数和子密钥构建响应消息，响应消息通过公钥加密后回传阅读器；阅读器利用私钥解密密文，并获得标签的子密钥；判断阅读器是否在设定的时间内收到所有标签发来的响应消息，如果是则利用标签的子密钥代入密钥序列分发函数，重构获得密钥值，并将其与主控密钥比较，如果相同则表明参与认证的所有标签认证通过，否则判定认证失败；从而实现多标签联合认证功能。

Description

基于物联网应用的RFID多标签联合认证系统及方法

技术领域

本发明涉及物联网射频识别技术领域，具体涉及射频识别技术中标签联合认证领域。

背景技术

在物联网技术发展的初期，物联网应用最为重要的就是对于需求相应的功能实现以及使用感的提升，由于缺乏很多的实际经验，所以它的安全维护系统还依旧沿用的是旧有的、惯用的安全保护系统。随着物联网技术运用越来越广泛，旧有的保护机制也应该随着互联网技术的发展而进步。近些年来，无线射频识别(Radio Frequency Identification，RFID)技术飞速发展，致力于以经济有效的非接触方式识别目标事物，已逐渐成为物联网技术中的重要组成部分。随着RFID系统应用范围的不断扩大，其信息安全问题也日益受到重视。由于RFID系统在物联网应用领域差异非常大，不同应用对安全性的要求也不同，为此，市面上提供了各种各样的安全执行协议和执行机构。但实现无线信息安全传输功能的基础问题，主要还是解决阅读器、应答器(或称标签)和服务器之间相互认证的问题，即应答器应确认阅读器的身份，防止存储数据未被认可地读出或重写，而阅读器也应确认应答器的身份，以防止假冒和读入伪造数据。

目前，大多数的射频认证技术都是以阅读器与标签作为一对一映射关系，单一识别相互之间的身份信息，而在实际应用中，对于具有绑定关系的多个标签载体仍采用此种认证方式只能逐一确定各标签的真伪，但无法确定假冒的标签或缺失的标签出于哪一群组物品内，即无法确定各群组中所有标签的完整性。例如：在具有外包装的产品内，将一部分贴有假标签的伪造商品掺入其中，由于包装内各商品之间都是相互独立的并无关联关系，势必给产品检验带来难度。

发明内容

针对上述现实需求和现有技术存在的不足，本发明提供了基于物联网应用的RFID多标签联合认证系统及方法。

基于物联网应用的RFID多标签联合认证方法，该方法具体包括：

构建密钥序列分发函数和主控密钥；

设定阅读器和标签的共享密钥；

基于子密钥、共享密钥和阅读器的公钥构建第一密钥序列并发送至标签；

阅读器发送随机数和认证请求消息，标签基于阅读器发送的随机数、自身随机数和子密钥构建响应消息，响应消息通过公钥加密后回传阅读器；

阅读器利用私钥解密密文，并获得标签的子密钥；

判断阅读器是否在设定的时间内收到所有标签发来的响应消息，如果是则利用标签的子密钥代入密钥序列分发函数，重构获得密钥值，并将其与主控密钥比较，如果相同则表明参与认证的所有标签认证通过，之后更新各标签的密钥序列；

如果阅读器在设定的时间内未收到所有标签回传的响应消息，则判定认证失败。

在本发明的第一个实施例中，所述构建密钥序列分发函数和主控密钥的步骤包括：

任取n个数x₁,x₂,…x_n分别赋予标签T₁,T₂,…T_n，任取随机数a₀,a₁,a₂,…a_n-1构建密钥序列分发函数

式中m＝1,2,…n，并将a₀作为主控密钥。

在本发明的第一个实施例中，所述阅读器和标签T_m的共享密钥

其中Hash()表示哈希运算，K_R为阅读器的私钥。

在本发明的第一个实施例中，构建第一密钥序列的步骤包括：

对标签T_m进行初始化：将x_m,f(x_m),K_{R_T},K_R′组成第一密钥序列发送并保存至标签T_m,K_R′表示阅读器发布的公钥。

在本发明的第一个实施例中，所述标签T_m构建响应消息的步骤包括：

标签T_m接收阅读器发送的随机数r₁和认证请求消息query，利用其自身生成的随机数r_m、随机数r₁和密钥序列中的两个子密钥x_m,f(x_m)构造响应消息T_{m_c}、T_{m_d}、T_{m_e}：

在本发明的第一个实施例中，所述阅读器利用私钥解密密文的步骤包括：

阅读器利用私钥K_R解密标签回传的密文，获得三个响应消息T_{m_c}、T_{m_d}、T_{m_e}的明文，计算随机数

利用随机数r₁、T_{m_c}、T_{m_d}、T_{m_e}计算获得：

在本发明的第一个实施例中，重构获得密钥值的步骤包括：

将所有标签的子密钥x′_m、f(x_m)′代入密钥序列分发函数，重构获得密钥值a₀′。

在本发明的第一个实施例中，更新各标签的密钥序列的步骤包括：

阅读器生成随机数r₂，令x_{m_new}＝x_{m_old}+r₂，并更新各标签子密钥x_m,f(x_m),K_{R_T}的值，通过更新前的共享密钥K_{R_T}对更新后的密钥序列和计算获得的随机数r′_m一起进行加密，将密文发送至标签T_m，由标签T_m解密得到明文后，进一步判断如果r′_m＝r_m，则对原密钥序列进行替换，否则判定阅读器认证失败。

在本发明的第一个实施例中，该方法还包括对子密钥x′_m进行校验的过程，具体为：遍历数列x₁,x₂,…x_n，如果存在x_m＝x′_m，则执行密钥值a₀′重构运算，否则判定x′_m所对应的标签T_m为假标签。

在本发明的第一个实施例中，对计算获得的x′_m进行校验的过程进一步包括：

遍历数列x₁,x₂,…x_n，如果存在x_m＝x′_m，则执行密钥值a₀′重构运算，否则继续比较：如果x_{m_old}＝x′_m，则执行密钥值a₀′重构运算，否则判定x′_m所对应的标签T_m为假标签。

在本发明的第一个实施例中，所述标签还包括一级标签和二级标签，其中一级标签与多个二级标签绑定，其中标签T₁表示一级标签，阅读器内另存有数列x″₁,x″₂,…x″_n，其中x″₁＝x₁,x″_n＝x_n+x₁，将数值x″_m与计算获得的x′_m作差运算，将差值Δx与x₁比较，如果Δx＝x₁，则表明标签T_m为一级标签T₁所属群组内的二级标签，如果Δx＝0，则表明标签T_m即为一级标签T₁，否则表明标签T_m为假标签。

在本发明的第一个实施例中，所述阅读器将发起认证请求的时刻记录为消息发送时间戳t_R-T，将从标签接收到响应的时刻记录为消息接收时间戳t_T-R，若t_T-R-t_R-T≤t₁或t_T-R-t_R-T＞t₂，则表明发生重放攻击，若t₁＜t_T-R-t_R-T≤t₂，则表明未发生重放攻击，其中t₁、t₂表示预先设定的两个时间阈值。

一种基于物联网应用的RFID多标签联合认证系统，该系统包括：阅读器和标签，所述的阅读器内置随机数生成器、密钥序列生成模块、散列序列生成模块、响应消息验证模块、密钥更新模块和第一加密模块；

随机数生成器：用于随机生成标签T₁,T₂,…T_n的随机数x₁,x₂,…x_n、随机数a₀,a₁,a₂,…a_n-1及随机数r₁、r₂；

密钥序列生成模块：内置密钥序列分发函数f(x_m)，将随机数x₁,x₂,…x_n和随机数a₀,a₁,a₂,…a_n-1作为密钥序列分发函数f(x_m)的输入，计算获得各标签的子密钥f(x_m)；

散列序列生成模块：内置散列函数，将阅读器的私钥K_R与子密钥f(x_m)作为散列函数的输入，计算获得各标签的共享密钥K_{R_T}；

响应消息验证模块：用于接收标签T_m发来的响应消息T_{m_c}、T_{m_d}、T_{m_e}，利用响应消息T_{m_c}、T_{m_d}、T_{m_e}通过逆运算结果判断标签真伪和标签组是否完整；

重放攻击检验模块：在发起认证请求和接收标签发送的响应的时刻分别设置时间戳标记，通过比较两个时间戳标记的值，判断接收到的响应消息是否为重放攻击；

密钥更新模块：利用阅读器生成的随机数r₂对本轮各标签的子密钥x_m,f(x_m),K_{R_T}进行更新；

第一加密模块：利用共享密钥K_{R_T}对明文进行加密，生成并发送密文给标签；

第一解密模块：利用私钥K_R解密标签回传的密文；

所述标签内置响应消息生成模块和第二加密模块；

响应消息生成模块：执行阅读器发送的认证请求消息query指令，利用接收到的随机数r₁、自身生成的随机数r_m及密钥序列中的两个子密钥x_m,f(x_m)构造响应消息T_{m_c}、T_{m_d}、T_{m_e}；

第二加密模块：利用阅读器的公钥K_R′对明文进行加密，生成并发送密文给阅读器；

第二解密模块：利用共享密钥K_{R_T}解密阅读器回传的密文。

结合上述技术方案，本发明的有益效果在于：

1、实现多标签联合认证功能：利用密钥序列分发函数为相互独立的各标签分派不同的子密钥序列，同时各标签被分配的子密钥信息之间建立起了紧密的关联关系，只有采集所有标签的响应消息，并共同参与求解才能认证得出所有标签的真实身份，即获得群组标签是否完整、是否存在缺失及每个标签真伪性的综合认证功能。

2、实现多级标签的认证功能：在上述多标签联合认证协议的框架下，设置多级标签，通过在每级标签中均添加有上一级标签的属性值，能够实现多级标签结构中所有标签的认证过程，针对同级内的群组标签能够获得完整性、缺失性的认证功能，针对单一标签能够认证其所属群组及真伪性的验证功能，实现了多元化多场景的实用需求。

3、避免假冒攻击：本发明能够抵抗攻击者发起的假冒攻击。由于标签是基于阅读器发送的随机数、自身随机数和子密钥构建响应消息，并利用阅读器的公钥进行加密，对于攻击者而言，无法获知具有标签认证功能的响应消息的验证机制，也无法从消息内部反解标签的子密钥，攻击者发来的任何伪造信息对于阅读器来说都是判定为无效消息，攻击者无法假冒真实标签的身份来伪装自己。而对于阅读器而言，启用私钥来执行具有唯一标识特征的签名功能，同样也防止了攻击者伪装成阅读器向标签发送攻击。

4、避免重放攻击：攻击者通过监听等手段可以获取上一轮的通信消息，企图通过重放监听的信息来获取标签存放的隐私信息，本发明能够规避此问题。在所有传输信息加密过程中混入随机数，且随机数每轮都是随机产生，从而使得每一轮通信信息的具体数值是不相同的，因此且无法提前预测。当攻击者重放监听到的上一轮信息时，通信实体用到的认证密钥已经发生变化，攻击者重放的消息会被阅读器和标签判定为过期失效的消息，从而抵抗重放攻击。

5、避免追踪攻击：攻击者企图通过长时间的监听方式，对标签实施追踪攻击。为确保标签不会被攻击者定位，在信息加密及认证过程中未曾使用标签的唯一标识符(EPC编码)或由真实标识符演变的假名标识符，另外，在每次认证前后均会引入新的变量(如：随机数、密钥序列)，使得攻击者无法从窃听的消息中定位标签的位置，以抵抗追踪攻击。

6、避免去同步化攻击：为了保证阅读器与标签之间加密密钥的同步性，即为了能够抵抗攻击者发起的去同步化攻击，或由于意外情况导致的密钥序列不同步的问题，阅读器同时存放有本轮和上一轮认证阶段使用的完整密钥序列，先利用阅读器中存储的本轮密钥序列执行认证过程，如未认证成功，再利用上一轮认证阶段所使用的密钥序列继续认证，从而用来抵抗攻击者发起的去同步化攻击。

7、避免暴力攻击：基于当前计算机计算能力大幅提升，攻击者可能采用更为直接和暴力的穷举方式对信息进行破解，从而破解出标签存放的隐私信息。为抵抗攻击者发起的暴力破解攻击，本发明对所有传送的信息均先加密后传送；信息加密过程中用到的参数，对于攻击者来说，都至少存在两个以上参数的量是不知晓的；信息加密过程中混入的随机数每轮都是随机产生的，无法提前预知；故无法通过穷举的方式破解密钥值和相关变量，由此抵抗攻击者的暴力攻击。

附图说明

图1为本发明中认证的多标签、阅读器和服务器之间的连接关系图。

图2为基于物联网应用的RFID多标签联合认证方法的操作原理图。

图3为基于物联网应用的RFID多标签联合认证方法的认证过程图。

图4为基于物联网应用的RFID多标签联合认证系统的结构图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地详细描述。

随着射频识别RFID系统的广泛应用，人们发现在某些特定的场景中需要对多个标签进行同时认证。例如：在商品供应链中，许多货物需要被成组或者成批发进行传输和销售；在药品分发中需要把医生开的处方和特定的几种药品放在一起，其必须要求同时离开药品库；由成套组件组成的商品被包装在一起进行绑定销售，各组件在使用过程中都是唯一不可或缺的。

在这种需要对绑定一起的多个标签进行认证的情况下，只保证单个标签的安全性是不够的，还需要对多个标签是否同时存在于一个群组进行验证，这样才能保证这些标签的完整性和安全性。为此，本发明提供一种多个标签能够组合认证的方法来实现此功能。

参考图2、3的操作流程，下面以产品检验为例，具体说明认证过程。任何产品在推向市场销售前，在生产线上包装或线下抽样检测时都需要对成品进行检验，对于组件产品需要确保各组件的唯一性和数量的一致性。为每个组件粘贴或内嵌具有唯一标识的标签，可配合手持或固定式阅读器来完成验签。在对标签进行初始化之前，需要对设定的多种参数及计算机运算规则做初步设定，具体包括：

任取n个数x₁,x₂,…x_n分别赋予标签T₁,T₂,…T_n，任取随机数a₀,a₁,a₂,…a_n-1构建密钥序列分发函数

将a₀作为主控密钥；此时n的取值范围由群组中标签数量决定，即某产品中含有n个标准组件，分别贴有n个标签；

设定阅读器与标签T_m之间的共享密钥

其中Hash()表示哈希运算，

表示异或运算，K_R表示阅读器的私钥；私钥K_R与公钥K_R′可设置为非对称加密机制中常用的密钥对组合，例如可采用相对成熟的RSA或椭圆曲线加密算法生成非对称密钥对。

上述参数设定过程可由阅读器完成，需要阅读器具有一定的数据处理能力和相应的数据存储能力，如果当前所使用的阅读器无法满足需求，也可利用服务器来完成此设定，并通过CA总线等有线传输方式或无线传输方式将拟定数据转发给阅读器(参考图1所示的结构)。如果服务器与阅读器同样采用射频信号进行数据交互，为保证无线数据传输过程中的安全，也可采用常用的随机数密钥加密法对要传输的无线数据进行加密，由于本发明的技术重点仅在于如何实现标签的联合认证，对于服务器与阅读器之间的认证过程可参考已有的相关文献，在此不做过多阐述。

之后对标签进行初始化操作：

将x_m,f(x_m),K_{R_T},K_R′组成密钥序列发送并保存至标签T_m。此初始化过程同样可以利用服务器在标签出厂时完成设置，也可在后期利用阅读器设定好初始化的参数后，通过无线射频传输给各标签。

当需要阅读器对产品组件进行认证时，触发阅读器向所有标签发送认证消息，阅读器向标签T_m发送随机数r₁和认证请求消息query，标签T_m利用其自身生成的随机数r_m、阅读器的随机数r₁和密钥序列中的两个子密钥x_m,f(x_m)构造响应消息T_{m_c}、T_{m_d}、T_{m_e}：

将三个响应消息T_{m_c}、T_{m_d}、T_{m_e}连接在一起通过公钥K_R′加密后，将密文回传给阅读器。

此时，阅读器利用私钥K_R解密接收到的密文，获得三个响应消息T_{m_c}、T_{m_d}、T_{m_e}的明文，计算随机数

利用随机数r₁、T_{m_c}、T_{m_d}、T_{m_e}计算获得：

当阅读器在设定的时间内收到所有标签发来的响应消息，则将所有标签的子密钥x′_m、f(x_m)′代入密钥序列分发函数，重构获得密钥值a₀′。具体讲，就是利用n个多项式重构具有n-1个参数{a₀,a₁,a₂,…a_n-1}的密钥序列分发函数f(x_m)的过程，可表示为：

利用上述多项式计算n-1个参数{a₀,a₁,a₂,…a_n-1}，取计算得到的密钥值a₀′与主控密钥a₀比较，如果相同则表明参与认证的所有标签认证通过，否则判定认证失败，其中必然存在假标签；

当阅读器在设定的时间内未收到所有标签发来的响应消息，则仍然判定认证失败。

当所有标签确定认证成功后，阅读器将进一步生成随机数r₂，利用该随机数r₂实现对前一轮认证密钥的更新，令x_{m_new}＝x_{m_old}+r₂，其中x_{m_old}和x_{m_new}分别表示标签T_m在前一轮和下一轮认证阶段所分配的数x_m。

然后利用前述的运算算法重新更新各标签子密钥x_m,f(x_m),K_{R_T}的值，通过更新前的共享密钥K_{R_T}对更新后的密钥序列和计算获得的随机数r′_m一起进行加密，将密文发送至标签T_m，由标签T_m解密的得到的明文后，由于阅读器采用广播方式向各标签发送多个密文，而每个密文都是与群组中唯一的一个标签相对应的，此时需要判断标签收到的所有密文中哪一个密文是阅读器传送给自己的，为此需要标签对收到的密文逐一进行解密，又因不同的标签与阅读器之间拥有不同的共享密钥K_{R_T}，使得标签只有解密属于阅读器发送给自己的密文，才能获得正确的明文，判断是否解获正确明文的依据就是利用随机数r′_m与标签自身存储的随机数r_m进行比较，如果能够找到相等的结果，则表示解密获得了正确的密文，当遍历比较所有解密获得的明文中均未找到相同数值的随机数时，则判断阅读器没有发送给自己需要的密文，阅读器认证失败，标签不对密钥序列进行更新，保留原值。而对于满足r′_m＝r_m的条件时，对原密钥序列进行替换，至此完成同组内多标签的认证过程。

在上述认证过程中，为避免不必要的计算过程，提高阅读器的资源利用率，可在执行密钥值重构前，先将计算得到的x′_m与阅读器中存储的数列x₁,x₂,…x_n作比较，当找到x_m＝x′_m的数值时，在进行密钥值a₀′的求解，否则判定x′_m所对应的标签T_m为假标签,此时无需再进行后续a₀′的求解。

考虑到一种情况，攻击者可截断协议的部分会话内容，使得认证双方只有一方进行了更新操作，或者如前所述的情况，部分标签因未收到正确的密文而没有对密钥序列进行更新，在下一轮认证中阅读器认证合法的标签失败，导致后续的协议无法正常进行；为了避免发生去同步攻击或因未更新而导致的密钥序列不同步问题，阅读器可先按前文的验证方法，先利用阅读器中存储的本轮子密钥寻找x_m＝x′_m的数值，如未找到，再利用前一轮认证阶段所使用的数列x_{1_old},x_{2_old},…x_{n_old}继续寻找与x′_m相同的数值，如果存在上一轮认证阶段的子密钥x_{m_old}＝x′_m，则表明标签发生了密钥序列不同步问题，其密钥序列未能更新，此时仍使用前一轮认证阶段所分配的数x_{m_old}执行密钥值a₀′重构运算，只需利用阅读器中存储的上一轮认证阶段使用的一整套密钥序列集参与运算，如果能够计算出与上一轮使用的主控密钥相同数值的密钥值a₀′，即可确定为真标签。在确认当前不同步的标签为真时，利用本轮计算获得的待更新密钥序列再次发送给出现同步问题的标签，以完成密钥同步操作。而上述标签的同步纠正过程对于其他标签而言是透明的，即该同步纠正操作既不会影响到本轮标签的联合认证的执行，也不需要其他正常同步的标签参与纠正过程。

考虑到另外一种常用的应用场景，目前很多应用场景不仅限于单一级别的标签应用，例如：在大型货物运输中转站，会在成批包装的集装箱外部设置一个一级标签，同时为箱体内部的每个独立的货物也单独设置一个二级标签；又如：在超市常见的包装产品上，特别是较为贵重的商品会先在外包装上贴附一个识别标签，而在内部同样为各配件配备相互独立的标签，通过此设置方式，对一、二级标签的同时认证，即可判定一级标签下所属的多个二级标签是否均为真标签，同时是否存在标签的缺失问题，避免恶意商家以次充好、窃取少量配件等问题。

为此，在本发明中的标签还可设置一级标签和二级标签，其中一级标签与多个二级标签绑定，令标签T₁表示一级标签，阅读器内另存有数列x″₁,x″₂,…x″_n，其中x″₁＝x₁,x″_n＝x_n+x₁，将数值x″_m与步骤5)中计算获得的x′_m作差运算，将差值Δx与x₁比较，如果Δx＝x₁，则表明标签T_m为一级标签T₁所属群组中的二级标签，如果Δx＝0，则表明标签T_m即为一级标签T₁，否则表明标签T_m为假标签。

上述方法是在每个二级标签中均添加有一级标签的属性值，一方面能够在认证过程中确定哪一个是一级标签，哪些又是二级标签；另一方面，能够确定二级标签的归属问题，即其属于哪一个一级标签下的元素，便于归类。

同时，还可进一步确定哪些标签属于认证缺失的标签。一种较为简单的确认方法为：在阅读器中设置一个空集，在服务器或阅读器中设置所有标签的唯一标识符对照表，将所有认证通过的标签对应的标识符在系统中查表，与表中匹配的标识符放入空集，遍历所有认证通过的标签，表中剩余未匹配成功的标识符所对应的标签即为缺失的标签，如果阅读器之前收到过与缺失标签近似属性的响应消息，或判定攻击者可能是在冒充该缺失标签的身份向阅读器发送认证消息。

另外，在上述实施例中是设置了两级标签的认证方式，而根据需求，同理还可设置三级以上的标签认证方式，在上述两级标签认证方式的基础上，将二级标签的属性值赋值到三级标签内，作为二级与三级标签之间确认关系的识别符号，由此即可实现三级标签的认证功能。

对于重放攻击，攻击者通过窃听RFID系统内的会话数据，不断地向合法成员发送窃取到的通信信息试图获得系统的认证。类似前述的同步攻击，这两种攻击方式都使得阅读器收到迟到的响应消息，只不过重放攻击收到的是来自于攻击者发送的重复消息，而同步攻击则可能收到真标签发送的真实的迟到消息，但从安全角度考虑，这两种消息都不能作为有效的回应消息参与标签的认证。为此，需要在阅读器中设置一时间戳标记，通过判定收发消息之间的时间差是否符合预期来确定收到的响应消息的有效性。具体判断过程为：

阅读器将发起认证请求的时刻记录为消息发送时间戳t_R-T，将从标签接收到响应的时刻记录为消息接收时间戳t_T-R，若t_T-R-t_R-T≤t₁或t_T-R-t_R-T＞t₂，则表明发生重放攻击或同步攻击，若t₁＜t_T-R-t_R-T≤t₂，则表明未发生重放攻击或同步攻击，其中t₁、t₂表示预先设定的两个时间阈值。

另外，基于上述多标签的认证方法，本发明还提供了一种基于物联网应用的RFID多标签联合认证系统，该系统具体包括：

阅读器和标签，所述的阅读器内置随机数生成器、密钥序列生成模块、散列序列生成模块、响应消息验证模块、密钥更新模块和第一加密模块；

随机数生成器：用于随机生成标签T₁,T₂,…T_n的随机数x₁,x₂,…x_n、随机数a₀,a₁,a₂,…a_n-1及随机数r₁、r₂；

密钥序列生成模块：内置密钥序列分发函数f(x_m)，将随机数x₁,x₂,…x_n和随机数a₀,a₁,a₂,…a_n-1作为密钥序列分发函数f(x_m)的输入，计算获得各标签的子密钥f(x_m)；

散列序列生成模块：内置散列函数，将阅读器的私钥K_R与子密钥f(x_m)作为散列函数的输入，计算获得各标签的共享密钥K_{R_T}；

响应消息验证模块：用于接收标签T_m发来的响应消息T_{m_c}、T_{m_d}、T_{m_e}，利用响应消息T_{m_c}、T_{m_d}、T_{m_e}通过逆运算结果判断标签真伪和标签组是否完整；

重放攻击检验模块：在发起认证请求和接收标签发送的响应的时刻分别设置时间戳标记，通过比较两个时间戳标记的值，判断接收到的响应消息是否为重放攻击；

密钥更新模块：利用阅读器生成的随机数r₂对本轮各标签的子密钥x_m,f(x_m),K_{R_T}进行更新；

第一加密模块：利用共享密钥K_{R_T}对明文进行加密，生成并发送密文给标签；

第一解密模块：利用私钥K_R解密标签回传的密文；

所述标签内置响应消息生成模块和第二加密模块；

响应消息生成模块：执行阅读器发送的认证请求消息query指令，利用接收到的随机数r₁、自身生成的随机数r_m及密钥序列中的两个子密钥x_m,f(x_m)构造响应消息T_{m_c}、T_{m_d}、T_{m_e}；

第二加密模块：利用阅读器的公钥K_R′对明文进行加密，生成并发送密文给阅读器；

第二解密模块：利用共享密钥K_{R_T}解密阅读器回传的密文。

对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。

Claims (13)

1.基于物联网应用的RFID多标签联合认证方法，其特征在于，

构建密钥序列分发函数和主控密钥；

设定阅读器和标签的共享密钥；

基于子密钥、共享密钥和阅读器的公钥构建第一密钥序列并发送至标签；

阅读器发送随机数和认证请求消息，标签基于阅读器发送的随机数、自身随机数和子密钥构建响应消息，响应消息通过公钥加密后回传阅读器；

阅读器利用私钥解密密文，并获得标签的子密钥；

判断阅读器是否在设定的时间内收到所有标签发来的响应消息，如果是则利用标签的子密钥代入密钥序列分发函数，重构获得密钥值，并将其与主控密钥比较，如果相同则表明参与认证的所有标签认证通过，之后更新各标签的密钥序列；

如果阅读器在设定的时间内未收到所有标签回传的响应消息，则判定认证失败。

2.根据权利要求1所述的基于物联网应用的RFID多标签联合认证方法，其特征在于，所述构建密钥序列分发函数和主控密钥的步骤包括：

任取n个数x₁,x₂,…x_n分别赋予标签T₁,T₂,…T_n，任取随机数a₀,a₁,a₂,…a_n-1构建密钥序列分发函数

式中m＝1,2,…n，并将a₀作为主控密钥。

3.根据权利要求1或2所述的方法，其特征在于，所述阅读器和标签T_m的共享密钥K_{R_T}＝Hash(K_R⊕f(x_m)),其中Hash( )表示哈希运算，K_R为阅读器的私钥。

4.根据权利要求1所述的方法，其特征在于，构建第一密钥序列的步骤包括：

对标签T_m进行初始化：将x_m,f(x_m),K_{R_T},K_R′组成第一密钥序列发送并保存至标签T_m,K_R′表示阅读器发布的公钥。

5.根据权利要求1所述的方法，其特征在于，所述标签T_m构建响应消息的步骤包括：

标签T_m接收阅读器发送的随机数r₁和认证请求消息query，利用其自身生成的随机数r_m、随机数r₁和密钥序列中的两个子密钥x_m,f(x_m)构造响应消息T_{m_c}、T_{m_d}、T_{m_e}：

T_{m_c}＝r₁⊕r_m⊕K_{R_T}

T_{m_d}＝x_m⊕r₁⊕T_{m_c}

T_{m_e}＝f(x_m)⊕r₁⊕T_{m_c}。

6.根据权利要求1所述的方法，其特征在于，所述阅读器利用私钥解密密文的步骤包括：

阅读器利用私钥K_R解密标签回传的密文，获得三个响应消息T_{m_c}、T_{m_d}、T_{m_e}的明文，计算随机数r′_m＝T_{m_c}⊕r₁⊕K_{R_T}，利用随机数r₁、T_{m_c}、T_{m_d}、T_{m_e}计算获得：

x′_m＝T_{m_d}⊕r₁⊕T_{m_c}

f(x_m)′＝T_{m_e}⊕r₁⊕T_{m_c.}。

7.根据权利要求1所述的方法，其特征在于，重构获得密钥值的步骤包括：

基于所有标签的子密钥x′_m、f(x_m)′和密钥序列分发函数，重构获得密钥值a₀′。

8.根据权利要求1所述的方法，其特征在于，更新各标签的密钥序列的步骤包括：

阅读器生成随机数r₂，令x_{m_new}＝x_{m_old}+r₂，并更新各标签子密钥x_m,f(x_m),K_{R_T}的值，通过更新前的共享密钥K_{R_T}对更新后的密钥序列和计算获得的随机数r′_m一起进行加密，将密文发送至标签T_m，由标签T_m解密得到明文后，进一步判断如果r′_m＝r_m，则对原密钥序列进行替换，否则判定阅读器认证失败。

9.根据权利要求7所述的基于物联网应用的RFID多标签联合认证方法，其特征在于，该方法还包括对子密钥x′_m进行校验的过程，具体为：遍历数列x₁,x₂,…x_n，如果存在x_m＝x′_m，则执行密钥值a₀′重构运算，否则判定x′_m所对应的标签T_m为假标签。

10.根据权利要求7所述的基于物联网应用的RFID多标签联合认证方法，其特征在于，对计算获得的x′_m进行校验的过程进一步包括：

遍历数列x₁,x₂,…x_n，如果存在x_m＝x′_m，则执行密钥值a₀′重构运算，否则继续比较：如果x_{m_old}＝x′_m，则执行密钥值a₀′重构运算，否则判定x′_m所对应的标签T_m为假标签。

11.根据权利要求6所述的基于物联网应用的RFID多标签联合认证方法，其特征在于，所述标签还包括一级标签和二级标签，其中一级标签与多个二级标签绑定，其中标签T₁表示一级标签，阅读器内另存有数列x″₁,x″₂,…x″_n，其中x″₁＝x₁,x″_n＝x_n+x₁，将数值x″_m与计算获得的x′_m作差运算，将差值Δx与x₁比较，如果Δx＝x₁，则表明标签T_m为一级标签T₁所属群组内的二级标签，如果Δx＝0，则表明标签T_m即为一级标签T₁，否则表明标签T_m为假标签。

12.根据权利要求1所述的基于物联网应用的RFID多标签联合认证方法，其特征在于，所述阅读器将发起认证请求的时刻记录为消息发送时间戳t_R-T，将从标签接收到响应的时刻记录为消息接收时间戳t_T-R，若t_T-R-t_R-T≤t₁或t_T-R-t_R-T＞t₂，则表明发生重放攻击，若t₁＜t_T-R-t_R-T≤t₂，则表明未发生重放攻击，其中t₁、t₂表示预先设定的两个时间阈值。

13.基于物联网应用的RFID多标签联合认证系统，其特征在于，该系统包括：阅读器和标签，所述的阅读器内置随机数生成器、密钥序列生成模块、散列序列生成模块、响应消息验证模块、密钥更新模块、第一加密模块和第一解密模块；

随机数生成器：用于随机生成标签T₁,T₂,…T_n的随机数x₁,x₂,…x_n、随机数a₀,a₁,a₂,…a_n-1及随机数r₁、r₂；

密钥序列生成模块：内置密钥序列分发函数f(x_m)，将随机数x₁,x₂,…x_n和随机数a₀,a₁,a₂,…a_n-1作为密钥序列分发函数f(x_m)的输入，计算获得各标签的子密钥f(x_m)；

散列序列生成模块：内置散列函数，将阅读器的私钥K_R与子密钥f(x_m)作为散列函数的输入，计算获得各标签的共享密钥K_{R_T}；

响应消息验证模块：用于接收标签T_m发来的响应消息T_{m_c}、T_{m_d}、T_{m_e}，利用响应消息T_{m_c}、T_{m_d}、T_{m_e}通过逆运算结果判断标签真伪和标签组是否完整；

重放攻击检验模块：在发起认证请求和接收标签发送的响应的时刻分别设置时间戳标记，通过比较两个时间戳标记的值，判断接收到的响应消息是否为重放攻击；

密钥更新模块：利用阅读器生成的随机数r₂对本轮各标签的子密钥x_m,f(x_m),K_{R_T}进行更新；

第一加密模块：利用共享密钥K_{R_T}对明文进行加密，生成并发送密文给标签；

第一解密模块：利用私钥K_R解密标签回传的密文；

所述标签内置响应消息生成模块、第二加密模块和第二解密模块；

响应消息生成模块：执行阅读器发送的认证请求消息query指令，利用接收到的随机数r₁、自身生成的随机数r_m及密钥序列中的两个子密钥x_m,f(x_m)构造响应消息T_{m_c}、T_{m_d}、T_{m_e}；

第二加密模块：利用阅读器的公钥K_R′对明文进行加密，生成并发送密文给阅读器；

第二解密模块：利用共享密钥K_{R_T}解密阅读器回传的密文。

Images