CN104901812B

CN104901812B - 一种ECC结合轻量级Hash函数的RFID系统安全认证方法

Info

Publication number: CN104901812B
Application number: CN201510345456.6A
Authority: CN
Inventors: 黎远松; 彭龑; 刘小芳; 梁金明
Original assignee: Sichuan University of Science and Engineering
Current assignee: Sichuan University of Science and Engineering
Priority date: 2015-06-19
Filing date: 2015-06-19
Publication date: 2018-04-20
Anticipated expiration: 2035-06-19
Also published as: CN104901812A

Abstract

本发明公开了一种ECC结合轻量级Hash函数的RFID系统安全认证方法，在标签与阅读器之间进行通信时，首先，利用椭圆曲线离散对数法对阅读器身份进行认证和验证；然后，使用Quark轻量级哈希算法的椭圆曲线数字签名算法对标签身份进行认证和验证。本发明的ECC结合轻量级Hash函数的RFID系统安全认证方法，相比传统方案，具有较高的安全等级，减少了48％的通信开销，在总体内存消耗方面，本发明降低了24％的内存消耗，在通信开销和内存需求方面性能优越。

Description

一种ECC结合轻量级Hash函数的RFID系统安全认证方法

技术领域

本发明属于植入式RFID领域，尤其涉及一种ECC结合轻量级Hash函数的RFID系统安全认证方法。

背景技术

植入式射频识别(radio frequency identification,RFID)系统是一种基于物联网(Internet Of Things,IoT)技术的医疗保健解决方案，RFID可以植入人体内，采集人体信息，在紧急情况下能挽救病人的生命。标签与阅读器之间的通信信道存在风险，且RFID系统是一种资源有限系统，因此，植入式RFID系统需要一种鲁棒、优化和轻量级的安全框架来满足安全等级要求和能量约束。

现有技术，一种基于椭圆曲线密码的随机密钥机制，尽管该机制能有效抵抗与RFID系统相关的黑客攻击，但它仍然不能进行相互验证。另一现有技术，一种融合ID验证传输协议和ECC的认证机制，该机制达到了RFID系统要求的安全级别，然而，需要较大的标签认证计算时间和内存需求。

发明内容

本发明的目的在于提供一种ECC结合轻量级Hash函数的RFID系统安全认证方法，旨在解决现有技术存在的安全等级低，通信开销和内存需求大的问题。

本发明是这样实现的，一种ECC结合轻量级Hash函数的RFID系统安全认证方法包括：

步骤一、在标签与阅读器之间进行通信时，利用椭圆曲线离散对数法对阅读器身份进行认证和验证；

步骤二、使用Quark轻量级哈希算法的椭圆曲线数字签名算法对标签身份进行认证和验证。

进一步，阅读器身份认证和验证的方法为：

步骤一、阅读器选择一个随机数r₁∈Z_n且计算R₁＝r₁；

步骤二、阅读器初始化对应的i₁值且将R₁和i₁发送给标签；

步骤三、阅读器通过r₁改变i₁值，根据收到的消息，标签检查i₂是否比i₁值大，i₂初始化为0；

如果结果为真，标签用i₁代替i₂且选择随机数r₂∈Z_n，然后，标签计算等式r₃＝X(r₂.P)*Y(R₁)，其中P为阅读器的公钥，*为(r₂.P)横坐标与R₁纵坐标的非代数运算，如果是二进制，则为位同与，如果是质数，则为按位异或运算，且标签将r₃发送给阅读器；

步骤四、阅读器接收到r₃后，将计算R₂＝r₁.ID_t+r₃.s₃，且将R₂发送给标签；

步骤五、标签检查等式是否成立，标签验证阅读器是否可信。

进一步，标签身份认证的方法为：

步骤一、根据s₂和ID_t计算初始机密点s₁∈E(F_g)；

步骤二、标签计算s₂＝f(X(s₁)).P，生成第2个机密点，一旦生成第2个密钥，标签将选择随机整数k∈Z_g且计算曲线坐标点(x,y)＝k.G；

步骤三、标签首先计算d＝x mod n，然后将数字信号消息(d,c)发送给阅读器；

步骤四、如果d＝0，标签重新选择随机数k∈Z_g且计算下一个曲线坐标点；标签计算ID_t＝Mb(X(s₁))*Mb(X(s₂)).P，式中Mb将会输出输入值的一些中间比特位；操作数*为非代数操作符∈F_g，作用于第一个机密点和第二个机密点；

步骤五、标签计算c＝k(hash(ID_t)+X(s₁).d)，如果c＝0，标签将选择另一个整数k同时开始运行上述算法，最后，标签将计算值(c,d)和ID_t并发送给阅读器。

进一步，标签身份验证的方法为：

步骤一、阅读器选择随机整数r_s∈Z_n且计算它的公钥p_r＝r_s.P。对j∈[1,n-1]，阅读器检查是否d,c∈Z_n；

步骤二、若结果可信，阅读器计算h＝Hash(ID_t)，其中，Hash为Quark轻量级哈希函数；

步骤三、一旦完成计算ID_t的哈希函数，阅读器选择h值最左边的比特位作为z值；

步骤四、阅读器计算w,u₁,u₂，计算曲线坐标点(x,y)＝u₁.P+p_r；

步骤五、如果等式r＝x mod n成立，则阅读器会将标签的数字签名作为标签可信性的标志。

本发明的ECC结合轻量级Hash函数的RFID系统安全认证方法，相比传统方案，具有较高的安全等级，减少了48％的通信开销，在总体内存消耗方面，本发明降低了24％的内存消耗，在通信开销和内存需求方面性能优越。

附图说明

图1是本发明实施例提供的ECC结合轻量级Hash函数的RFID系统安全认证方法流程图。

具体实施方式

为能进一步了解本发明的发明内容、特点及功效，兹例举以下实施例，并配合附图详细说明如下。

如图1所示，本发明是这样实现的，一种ECC结合轻量级Hash函数的RFID系统安全认证方法包括：

S101、在标签与阅读器之间进行通信时，利用椭圆曲线离散对数法对阅读器身份进行认证和验证；

S102、使用Quark轻量级哈希算法的椭圆曲线数字签名算法对标签身份进行认证和验证。

进一步，阅读器身份认证和验证的方法为：

步骤一、阅读器选择一个随机数r₁∈Z_n且计算R₁＝r₁；

如果结果为真，标签用i₁代替i₂且选择随机数r₂∈Z_n，然后，标签计算等式r₃＝X(r₂.P)*Y(R₁)，其中P为阅读器的公钥，*为(r₂.P)横坐标与R₁纵坐标的非代数运算，如果是二进制，则为位同与，如果是质数，则为按位异或运算，且标签将r3发送给阅读器；

进一步，标签身份认证的方法为：

步骤一、根据s₂和ID_t计算初始机密点s₁∈E(F_g)；

进一步，标签身份验证的方法为：

一、安全性分析

双向认证：在阅读器认证阶段，为了认证阅读器是否合法，标签计算等式是否成立。相反，为了认证标签是否可信(基于标签传输的ID_t和数字签名消息)，阅读器检查等式r＝x mod n是否成立。这就是本发明中的双向认证过程。

可用性：在本发明算法中，一旦完成双向认证，标签和阅读器将改变它们的机密点s₁,s₂,s₃，因此，攻击者不可能实现拒绝服务攻击。

前向安全：在本发明算法中，如果攻击者试图根据已经窃听的信息进行伪装，例如标签的第2个密钥s₂，攻击者将不可能从窃听的信息获取任何有用信息。从第2个密钥获取第1个密钥需要解决ECDSA问题，然而该问题不易求解。

非法跟踪标签：本发明算法的公共信息仅关心标签的ID。在标签身份认证阶段，通过非代数操作标签的第1个密钥和第2个密钥的横坐标的中间比特位来生成ID值。因此，从现有的ID获取标签的密钥是不可能的。主要原因是获取密钥意味着需要计算椭圆曲线离散对数算法。因为求解离散对数问题与整数分解问题一样困难，因此该问题很难求解。

窃听攻击：一方面，在标签认证阶段，若攻击者尝试获取标签的密钥s₁,s₂，正如前面所讨论的，标签ID的比特位来自于非代数操作不同密钥s₁,s₂横坐标的中间二进制位的结果。因此，根据上述计算理论，从标签ID获取密钥不可行。另一方面，在数字签名生成阶段，攻击者可能获取d值，但很难获取c值。因为c值也来自于非代数操作密钥s₁横坐标的中间比特位和d。获取的值将添加到ID_t的哈希值中且与一个随机数k相乘。攻击者很难完成该计算过程，因为需要求解离散对数问题，离散对数问题在计算上是不可行的。与上面原理相似，在阅读器认证阶段，尽管攻击者能获取R₁或R₂或r₃，但不能很容易获取与阅读器相关的其它安全信息。基于上面的讨论，攻击者也不能完成任何重放攻击。

伪装攻击：考虑两种不同场景：

(1)伪装成阅读器：如果攻击者尝试伪装成阅读器，它将会失败。因为如果攻击者要尝试伪装成虚假阅读器，它必须计算R₁且同时尝试计算r₂(不容易计算)。然而，没有阅读器的计算值R₃＝r₁.ID_t+r₃.s₁，攻击者(虚假阅读器)将不可能计算出来使自己可信。

(2)伪装成标签：为了伪装成标签，如前面所述，攻击者需要访问标签的密钥s₁,s₂，然而不能从ID_t的公共信息获取密钥。

本发明算法能安全抵抗植入式RFID系统的攻击。

二、计算开销分析

可植入标签的资源有限性限制了植入式RFID系统的性能，因此，认证算法需要保证负载较小。根据计算成本、内存需求和通信开销标准来分析算法的计算性能。

使用标准163比特椭圆曲线域参数加密算法，这些参数定义在有限比特位域F(2¹⁶³)。利用ECDSA算法的坐标系(x,y)，在F(2^m)域的椭圆曲线参数通过多元组T＝(m,f(x),a,b,G,n,h)定义，其中m＝163且通过f(x)＝x¹⁶³+x⁷+x⁶+x³+1¹¹定义F(2¹⁶³)。现有根据椭圆曲线的163比特位的纯量乘法计算算法运行时间，即SHA-1哈希函数和高级加密标准算法(AES)，实验结果表明，在5MHz频率时，163比特位椭圆曲线纯量相乘需要的计算时间为64ms。在低频时，例如323KHz，完成163比特位椭圆曲线纯量相乘的计算时间为243ms，与64ms相比，时间太长。因此，本发明在5MHz频率下计算本发明算法的运行时间。

标签的内存需求包括公钥和私钥内存需求，私钥表示标签的密钥s₁,s₂且公钥表示标签的公钥ID_t。在本发明算法中，系统内存需求由(ID_t，s₁，s₂)组成，其中ID_t需要163比特位内存，s₁和s₂总共需要326比特位内存。因此，总内存为：62bytes＝163bits+326bits。

本发明标签身份识别算法的计算成本包括三个标量点的计算且计算时间为：64ms*3＝162ms。因此，本发明标签身份识别算法需要192ms完成标量点相乘。当ECC点乘数量增加时，它将直接影响完成该运算所需的时间。因此，在实时系统中，系统需要考虑成功实现认证所需时间的问题。

为了计算标签认证阶段中，标签与阅读器之间的通信开销，本发明计算基于标签与阅读器之间通信消息ID_t，(d,c)的通信开销，这里，通信开销为41bytes，计算式为：(163*2/8＝326/8≈41bytes)。

通信开销比较结果表明，本发明算法成功减少了48％的通信开销。在总体内存消耗方面，本发明算法降低了24％的内存消耗。

以上所述仅是对本发明的较佳实施例而已，并非对本发明作任何形式上的限制，凡是依据本发明的技术实质对以上实施例所做的任何简单修改，等同变化与修饰，均属于本发明技术方案的范围内。

Claims

1.一种ECC结合轻量级Hash函数的RFID系统安全认证方法，其特征在于，所述的ECC结合轻量级Hash函数的RFID系统安全认证方法包括：

步骤二、使用Quark轻量级哈希算法的椭圆曲线数字签名算法对标签身份进行认证和验证；

阅读器身份认证和验证的方法为：

第一步、阅读器选择一个随机数r₁∈Z_n且计算R₁＝r₁；

第二步、阅读器初始化对应的i₁值且将R₁和i₁发送给标签；

第三步、阅读器通过r₁改变i₁值，根据收到的消息，标签检查i₂是否比i₁值大，i₂初始化为0；

如果结果为真，标签用i₁代替i₂且选择随机数r₂∈Z_n，然后，标签计算等式r₃＝X(r₂.P)*Y(R₁)，其中P为阅读器的公钥，*为(r₂×P)横坐标与R₁纵坐标的非代数运算，如果是二进制，则为位同与，如果是质数，则为按位异或运算，且标签将r₃发送给阅读器；

第四步、阅读器接收到r₃后，将计算R₂＝r₁×ID_t+r₃×s₃，且将R₂发送给标签；

第五步、标签检查等式是否成立，标签验证阅读器是否可信；

标签身份认证的方法为：

(1)根据s₂和ID_t计算初始机密点s₁∈E(F_g)；

(2)标签计算s₂＝f(X(s₁))×P，生成第2个机密点，一旦生成第2个机密点，标签将选择随机整数k∈Z_g且计算曲线坐标点(x,y)＝k×G；

(3)标签首先计算d＝x mod n，然后将数字信号消息(d,c)发送给阅读器；

(4)如果d＝0，标签重新选择随机数k∈Z_g且计算下一个曲线坐标点；标签计算ID_t＝Mb(X(s₁))*Mb(X(s₂))×P，式中Mb将会输出输入值的一些中间比特位；操作数*为非代数操作符∈F_g，作用于第一个机密点和第二个机密点；

(5)标签计算c＝k(hash(ID_t)+X(s₁)×d)，如果c＝0，标签将选择另一个整数k同时开始运行上述算法，最后，标签将计算值(c,d)和ID_t并发送给阅读器；

标签身份验证的方法为：

1)阅读器选择随机整数r_s∈Z_n且计算它的公钥p_r＝r_s×P，对j∈[1,n-1]，阅读器检查是否d,c∈Z_n；

2)若结果可信，阅读器计算h＝Hash(ID_t)，其中，Hash为Quark轻量级哈希函数；

3)一旦完成计算ID_t的哈希函数，阅读器选择h值最左边的比特位作为z值；

4)阅读器计算w,u₁,u₂，计算曲线坐标点(x,y)＝u₁×P+p_r；

5)如果等式r＝x mod n成立，则阅读器会将标签的数字签名作为标签可信性的标志。