一種基于Hash函數可同步更新密鑰的RFID雙向認證方法
【技術領域】
[0001] 本發明屬于射頻識別技術領域,涉及到一種RFID系統中讀寫器與標簽相互安全 認證的方法。
【背景技術】
[0002] 射頻識別(Radio Frequency Identification,RFID)技術,是一種利用射頻通 信實現的非接觸式自動識別技術,其基本原理是利用射頻信號的空間耦合(電感或電磁耦 合)或反射的傳輸特性來傳遞信息,以實現快速識別目標并獲取數據的目的。與傳統的識 別技術相比,RFID技術具有非接觸、抗干擾性強、能識別高速運動的物體以及可適應于惡劣 環境等多方面的優點,RFID技術在物流、跟蹤、定位、工業自動化以及交通運輸控制管理等 領域已得到廣泛應用,被列為21世紀最有發展前途的信息技術之一。
[0003] 近年來,隨著RFID技術地不斷發展,其傳輸與讀取數據的速度也不斷提高,但是 RFID系統面臨的安全威脅以及標簽安全隱私問題日益凸顯,亟待解決。如何有效地保護信 息安全和用戶隱私,已成為RFID技術研宄的一個熱點。首先,電子標簽所傳遞的信息很可 能遭受竊聽、重傳和假冒等攻擊;其次,在開放的環境中標簽有可能被附近的非法讀寫器讀 取,從而泄露了用戶的隱私信息;另外,傳輸信息也可能被追蹤、遭受數據去同步化等攻擊, 這些問題已經嚴重阻礙了 RFID技術的進一步發展。目前,針對RFID安全與隱私問題的解 決方式主要分為:物理機制和基于密碼技術的安全認證機制,由于物理機制需要額外的物 理設備或元件,從而增加了 RFID系統的成本,在實際應用中,更加關注的是安全認證機制。
[0004] 根據系統的不同復雜度和安全性以及成本,可以將安全認證協議分為三類:重量 級、中量級和輕量級協議。重量級認證協議采用比較成熟的加密手段,安全性較高,但其協 議比較復雜,標簽的成本也比較高,所以往往應用在安全性要求比較高的領域。輕量級認證 協議則注重系統的成本代價,其安全性評估有一定的局限。而中量級認證協議兼顧了安全 性和成本的需求,具有更強的適用性,因此成為RFID認證協議研宄的熱點。
[0005] 為了保證系統的通信安全性,必須在通信之前進行讀寫器與標簽之間的相互身份 認證。由于受到標簽硬件成本的嚴格限制,存儲空間、計算能力以及電源供給等均非常有 限,這使得現有的許多成熟的密碼技術難以在RFID系統中得到有效的應用。而單向散列 Hash運算具有快速、低耗的特點,所以基于Hash函數的RFID安全方案的設計近年來備受關 注。
【發明內容】
[0006] 本發明為了解決讀寫器與標簽相互認證過程中的安全隱私問題,結合實際情況, 考慮標簽的制作成本以及協議的復雜度等因素,提出一種基于Hash可同步更新密鑰的 RFID雙向認證方法(協議)。利用密鑰和標簽的ID實現對標簽的二次認證,其分析結果表 明該協議不僅能夠完成既定的安全目標,還能滿足RFID協議設計的隱私保護和安全需求。 除了具有抗重放攻擊,匿名性和不可區分行,抗暴力破解等安全特性之外,該協議還具有抗 異步攻擊,抗拒絕服務攻擊的能力。同時還提高了 RFID協議認證的執行效率,更適合低成 本的RFID系統。
[0007] 本發明是通過以下技術方案實現的。
[0008] -種基于Hash可同步更新密鑰的RFID雙向認證方法,是用于RFID系統中讀寫器 與標簽之間相互認證的安全協議,所述的RFID系統包括讀寫器,標簽和后端數據庫,其特 征在于:
[0009] (1)條件說明:假設讀寫器與后端數據庫之間是在安全可控的環境下進行通信 的,標簽和讀寫器都具有偽隨機發生器,標簽能夠執行Hash運算以及簡單的邏輯運算。 [0010] ⑵對RFID系統初始化:后端數據庫為每個標簽存儲一條記錄(Ki _ H (Ki new),Ki 。1(1,H(Ki。1(1),IDi),標簽則存儲自己的ID i以及密鑰K i。表1為協議所使用的符號說明。
[0011] (3)協議的認證主要分為以下4個過程:讀寫器對標簽的認證過程,后端數據庫更 新密鑰過程,標簽對讀寫器(后端數據庫)的認證過程以及標簽更新密鑰過程,如圖1所 不O
[0012] 表1符號說明
[0013]
【主權項】
1. 一種基于Hash函數可同步更新密鑰的RFID雙向認證方法,其特征是步驟如下: (51) 讀寫器生成一個隨機數rK,并和查詢命令Query-起發給標簽作為認證請求; (52) 標簽收到該消息后,也產生一個隨機數rT,然后計算其密鑰&的哈希值H(KJ,
發送到讀寫器作為應 答消息; (53) 讀寫器接收到應答消息后,將
轉發給后臺數據庫DB,后臺數據 庫再根據接收到的消息對標簽的合法性進行判斷; (54) 若通過對標簽的認證,則DB更新密鑰庫,否則,終止對該標簽后面的認證; (55) 后端數據庫也產生一個隨機數rD,計算h'2=H(rD,ID' ^和心,并將該二 元組
傳遞給讀寫器; (56) 讀寫器收到該消息后,將
轉發給標簽;標簽接收后,首先從&中 提取隨機數rD,然后結合標簽的IDi,計算h2 =H(rD,ID》,再與收到的認證信息h' 2進行一 致性驗證,若不一致,則認證不成功,判讀寫器為非法;反之,則通過對讀寫器的認證; (57) 完成標簽與讀寫器之間的雙向認證之后,標簽再更新自身的密鑰
,即實現標簽與后端數據庫密鑰的同步更新。
2. 根據權利要求1所述的基于Hash函數可同步更新密鑰的RFID雙向認證方法,其特 征是步驟(S3)所述的后臺數據庫再根據接收到的消息對標簽的合法性進行判斷,按以下 步驟進行二次認證: (1) 后端數據庫查找是否存在某個標簽K'i的哈希值滿足H(K'JiHOg,如果不 存在,則判斷該標簽為非法,拒絕認證請求; (2) 如果存在,則后端數據庫首先從/'r?K中求得rT,再結合密鑰K'i以及隨機數rK 一起計算Vi=H(K'Dbig,由弋十/?;可求得ID"i;檢索后端數據庫中ID列表,(查 找對應K' ^于)是否滿足ID'i=ID"i,若不成立,則終止認證;若成立,即通過對標簽 的第二次認證。
3. 根據權利要求1所述的基于Hash函數可同步更新密鑰的RFID雙向認證方法,其特 征是步驟(S4)所述的通過對標簽的認證,則DB更新密鑰庫,按以下兩種情況對密鑰進行更 新: ⑴若等式H〇g=H(KinJ成立,即fKinOT,則將數據庫中的&。1(1更新為Ki M,然后再計算
,將其作為標簽下一會話的密 鑰值; (2)若等式H〇g=H(Ki。1(1)成立,則保留&。1(1,更新
,作為標簽 下一會話的密鑰值。
【專利摘要】一個基于Hash函數密鑰可同步更新的RFID雙向認證方法,該方法引入標簽密鑰動態更新機制,并設計了一個自同步解決方案,實現對RFID標簽的二次認證。與已有的協議進行安全性分析和性能比較,分析結果表明該協議在不增加標簽成本的前提下,新的雙向認證降低了標簽和后端數據庫的計算量,提高了后端數據庫的檢索效率,不僅有效地解決了RFID系統的隱私保護及安全問題,同時也提高了RFID協議認證的執行效率,更適合低成本的RFID系統和大規模的電子標簽系統,具有一定的實用價值。
【IPC分類】G06K17-00, H04L9-32
【公開號】CN104579688
【申請號】CN201510026773
【發明人】張小紅, 胡應夢, 吳政澤
【申請人】江西理工大學
【公開日】2015年4月29日
【申請日】2015年1月20日