CN103532718A

CN103532718A - 一种认证方法及系统

Info

Publication number: CN103532718A
Application number: CN201310492590.XA
Authority: CN
Inventors: 石志强; 金永明; 孙利民; 芦翔
Original assignee: Institute of Information Engineering of CAS
Current assignee: Institute of Information Engineering of CAS
Priority date: 2013-10-18
Filing date: 2013-10-18
Publication date: 2014-01-22

Abstract

本发明涉及一种认证方法及系统。认证方法包括：读写器将自身产生的第一随机数r₁发送给标签；标签接收到第一随机数r₁后,产生第二随机数r₂,并根据r₁和r₂计算第一认证消息M₁和第二认证消息M₂,把M₁的全部位数的数据和M₂的设定位数的数据发送给读写器，其中，M₁=x⊕r₂,M₂=[(r₁⊕r₂　⊕ID)²mod n]_l；读写器接收第一认证消息M₁和第二认证消息M₂后,根据第一认证消息M₁计算出所述第二随机数r₂，r₂=M₁⊕x,然后验证是否存在(ID,x)满足等式M₂=[(r₁⊕r₂　⊕ID)²mod n]_l,若存在则执行下一步；读写器计算第三认证消息M₃，将该第三认证消息M₃发送给标签，并将共享密钥x更新为[x²mod n]_l；标签接收并验证第三认证消息M₃是否正确，若正确则判定本次认证成功。本发明减少了认证算法的计算代价和存储代价。

Description

一种认证方法及系统

技术领域

本发明涉及通信领域，尤其涉及一种认证方法及系统。

背景技术

RFID(Radio Frequency Identification,无线射频识别)技术是一种利用射频信号实现无接触信息传递，并通过所传递的信息达到识别目的的技术。RFID系统一般由三部分组成：标签、读写器和后端数据库。标签包括芯片和天线，用于存放物品的标识。读写器通过射频信号来获得标签中的数据，然后传输给后端数据库。

一般情况下，假设后端数据库和读写器之间存在安全的通信信道，它们之间的安全问题，可以理解为传统的网络安全问题。RFID安全问题主要关注读写器和标签之间的射频通信安全问题。读写器和标签之间是射频无线通信，容易受到攻击者的攻击。攻击主要分为两类：一是被动攻击，二是主动攻击。被动攻击中，攻击者只是偷偷的嗅探或窃听读写器和标签之间的通信，然后根据获得的数据进行密码分析或进行跟踪等。主动攻击中，攻击者在读写器和标签之间作为第三人存在。攻击者会截获读写器和标签之间交互的数据，然后通过重放或篡改的方式发送给另一方。

目前，已经提出了很多的安全与隐私保护机制，其中RFID轻量级认证协议是常见的一种方法。一般来说，一个RFID认证协议应满足如下特点：(1)低成本。随着物联网的应用越来越广泛，特别是供应链环境，会有大量的物品需要RFID标签。而标签的成本已经成为影响物联网大规模应用的因素之一。为了能够适应低成本的RFID标签，RFID认证协议需要使用尽量少的计算资源和存储资源，满足低成本的要求。（2）双向认证。为了避免非法读写器的攻击，认证协议不仅能认证标签的合法性，而且能够认证读写器的合法性。（3）隐私保护。随着RFID应用越来越多，比如二代身份证、公交卡、门禁卡等，它们与人们的生活越来越密切相关。如何保护标签所有者的隐私，也是要考虑的问题之一。（4）能抵抗常见的攻击。

目前，已经出现了很多针对RFID认证协议的攻击方式，比如伪造攻击、重放攻击、中间人攻击等。Ohkubo等人研究了标签的隐私问题，特别是前向安全性，即现在传输的信息不会因为未来标签信息的泄露而变得不安全。提出了一种基于哈希链的认证协议(M.Ohkubo,Suzuki K.,Kinoshita S.Cryptographic approach to“privacy-friendly”tags.in RFID PrivacyWorkshop)，该协议可以提供前向安全性。该方案的缺点是需要使用两个哈希函数，并且容易受到重放攻击。Dimitriou等人提出了一个轻量级的RFID认证协议，可以保护用户隐私和抵抗克隆攻击(T.Dimitriou.A lightweightRFID protocol to protect against traceability and cloning attacks.in Proc.of the First International Conference on Security and Privacyfor Emerging Areas in Communications Networks)。该协议是基于挑战响应的认证协议，可以实现读写器和标签之间的双向认证。但是对于标签，哈希计算代价比较大。Lopez等人提出了一个非常轻量级的认证协议LMAP(P.Peris-Lopez,Hernandez-Castro J.C.,Estevez-Tapiador J.M.,RibagordaA.LMAP:A real lightweight mutual authentication protocol forlow-cost RFID tags.in Proc.of2nd Workshop on RFID Security)。该协议使用假名IDS（Index-Pseudonym，假名索引），作为标签的索引。LMAP没有使用哈希函数，只使用了位异或等简单运算。该协议不能抵抗异步攻击，即攻击者可以阻塞最后一步认证过程，让读写器无法认证标签，导致不能更新IDS和密钥K，而标签已经更新了密钥。另外，若攻击者对标签发送Hello消息，则标签会返回当前的IDS，攻击者就可以跟踪标签，不能保护用户的隐私。Chien等人分析了Karthikeyan等人协议和Duc等人协议的安全缺陷，提出了一种新的适用于EPC C1G2标签的双向认证协议(Hung-Yu Chien,ChenChe-Hao.Mutual authentication protocol for RFID conforming to EPCClass1Generation2standards.Computer Standards&Interfaces)。该协议基于GEN-2标准，使用了PRNG和CRC运算，可以抵抗异步攻击。Ma等人研究了RFID的两种隐私：不可区分性隐私和不可预测性隐私(C.Ma,LiY.,Deng R.H.,Li T.RFID privacy:relation between two notions,minimal condition,and efficient construction.in Proc.of the16thACM conference on Computer and communications security)。基于PRF（Pseudo Random Function，伪随机函数），提出了一个满足强不可预测性隐私的RFID单向认证协议。但是，该协议容易受到拒绝服务攻击，若攻击者不断发送挑战c给标签，则标签会更新自己的计数ctr，导致读写器遍历查询的时间增加。丁等人提出了一种基于Hash函数的RFID安全认证协议HSAP(Zhenhua Ding,Li Jintao,Feng Bo.Research on hash-based RFIDsecurity authentication protocol.Journal of Computer Research andDevelopment)。该协议在标签中仅仅使用Hash操作，标签中仅需要执行两次Hash运算，因此比较适合低成本的RFID系统。同时，HSAP是双向认证协议，可以抵抗假冒攻击、重放攻击、防止追踪、去同步化等问题。本质上，该协议是一个挑战响应协议。另外，它不具有前向安全性，若当前的ID泄漏的话，攻击者可以分析出以前的交互信息，跟踪标签的活动足迹。另外，研究学者还提出了很多超轻量级的认证协议。这些协议只使用异或、点乘等简单运算，并没有使用PRNG、CRC等密码学元素。为了满足强隐私要求，RFID认证协议至少需要具有伪随机数函数的能力。所以这些协议一般都会存在拟线性分析、差分攻击、异步攻击等。

发明内容

本发明所要解决的技术问题是提供一种认证方法及系统，适用于低成本的RFID标签。

为解决上述技术问题，本发明提出了一种认证方法，应用于无线射频识别系统，包括：

步骤a，读写器将自身产生的第一随机数r₁发送给标签；

步骤b，标签接收到第一随机数r₁后,产生第二随机数r₂,并根据所述第一随机数r₁和第二随机数r₂计算第一认证消息M₁和第二认证消息M₂,把第一认证消息M₁的全部位数的数据和第二认证消息M₂的设定位数的数据发送给读写器，其中，M₁=x⊕r₂,M₂=[(r₁⊕r₂　⊕ID)²mod n]_l,符号“⊕”表示异或运算，符号“mod”表示模平方运算，“[]_l”表示取“[]”中密文的l位，x为已知的读写器和标签的共享密钥，ID为标签标识，n为模数；

步骤c，读写器接收第一认证消息M₁和第二认证消息M₂后,根据第一认证消息M₁计算出所述第二随机数r₂，r₂=M₁⊕x,然后验证是否存在(ID,x)满足等式M₂=[(r₁⊕r₂　⊕ID)²mod n]_l,若存在则执行步骤d；

步骤d，读写器计算第三认证消息M₃，将该第三认证消息M₃发送给标签，并将共享密钥x更新为[x²mod n]_l；

步骤e，标签接收并验证第三认证消息M₃是否正确，若正确则判定本次认证成功。

进一步地，上述认证方法还可具有以下特点，步骤c中，若不存在(ID,x)满足等式M₂=[(r₁⊕r₂　⊕ID)²mod n]_l,则进一步验证是否存在(ID,x')满足等式M₂=[(r₁⊕r₂　⊕ID)²mod n]_l,其中，x'为读写器中保存的本次认证的前一次认证时的共享密钥，若存在则用(ID,x')代替(ID,x)后执行所述步骤d。

进一步地，上述认证方法还可具有以下特点，n使用梅森数，即n=2^k-1，其中，k为共享密钥x的长度。

进一步地，上述认证方法还可具有以下特点，所述设定位数小于或等于所述第二认证消息M₂的总位数。

进一步地，上述认证方法还可具有以下特点，若步骤e中，第三认证消息M₃经过标签验证是正确的，则在判定本次认证成功后执行步骤f：标签将共享密钥x更新为[x²mod n]_l。

为解决上述技术问题，本发明提出了一种认证系统，应用于无线射频识别系统，包括：

第一产生及发送模块，置于读写器中，用于将读写器自身产生的第一随机数r₁发送给标签；

第二产生及发送模块，置于标签中，用于接收第一随机数r₁,产生第二随机数r₂,并根据所述第一随机数r₁和第二随机数r₂计算第一认证消息M₁和第二认证消息M₂,把第一认证消息M₁的全部位数的数据和第二认证消息M₂的设定位数的数据发送给读写器，其中，M₁=x⊕r₂,M₂=[(r₁⊕r₂　⊕ID)²modn]_l,符号“⊕”表示异或运算，符号“mod”表示模平方运算，“[]_l”表示取“[]”中密文的l位，x为已知的读写器和标签的共享密钥，ID为标签标识，n为模数；

验证模块，置于读写器中，用于接收第一认证消息M₁和第二认证消息M₂,根据第一认证消息M₁计算出所述第二随机数r₂，r₂=M₁⊕x,然后验证是否存在(ID,x)满足等式M₂=[(r₁⊕r₂　⊕ID)²mod n]_l,若存在则启动计算及更新模块；

计算及更新模块，置于读写器中，用于计算第三认证消息M₃，将该第三认证消息M₃发送给标签，并将共享密钥x更新为[x²mod n]_l；

判定模块，置于标签中，用于接收并验证第三认证消息M₃是否正确，若正确则判定本次认证成功。

进一步地，上述认证系统还可具有以下特点，所述验证模块包括再次验证单元，用于在不存在(ID,x)满足等式M₂=[(r₁⊕r₂　⊕ID)²mod n]_l时,进一步验证是否存在(ID,x')满足等式M₂=[(r₁⊕r₂　⊕ID)²mod n]_l,其中，x'为读写器中保存的本次认证的前一次认证时的共享密钥，若存在则用(ID,x')代替(ID,x)后启动所述计算及更新模块。

进一步地，上述认证系统还可具有以下特点，n使用梅森数，即n=2^k-1，其中，k为共享密钥x的长度。

进一步地，上述认证系统还可具有以下特点，所述设定位数小于或等于所述第二认证消息M₂的总位数。

进一步地，上述认证系统还可具有以下特点，所述判定模块包括密钥更新单元，密钥更新单元用于在所述第三认证消息M₃经过标签验证为正确的时，在判定本次认证成功后将标签中的共享密钥x更新为[x²mod n]_l。

本发明的认证方法及系统能够抵抗已知的攻击方法，包括重放攻击、异步攻击、中间人攻击，并能提供前向安全性；并且，本发明的认证方法及系统只使用伪随机函数，减少了认证算法的计算代价和存储代价，适合在低成本标签中应用。

附图说明

图1为本发明中RFID轻量级双向认证的过程示意图；

图2为本发明实施例中认证方法的流程图；

图3为本发明实施例中认证系统的结构框图。

具体实施方式

以下结合附图对本发明的原理和特征进行描述，所举实例只用于解释本发明，并非用于限定本发明的范围。

RFID认证协议主要解决读写器与标签之间无线传输的安全与隐私问题。本文中主要讨论读写器R和标签T之间的交互过程。设读写器R和标签T之间的对称密钥为x，标签的标识为ID。按照读写器与标签的工作模式可以分为:读写器先讲(RTF)模式和标签先讲(TTF)模式。大部分低成本标签是被动式的，一般采用RTF模式。不失一般性，这里讨论RTF模式。

设读写器和标签在认证消息中,能够使用的参数集合为τ,则τ={ID,x,r₁,r₂}.设可以采用的轻量级运算符和密码学元素的集合为σ（即运算集合）,则σ={⊕,←,·,CRC,PRNG,MAC,…},其中“⊕”为异或运算符,“←”为移位运算符,“·”为点乘运算,CRC为循环冗余校验，PRNG为伪随机发生器，MAC代表消息摘要函数,常见的比如Hash函数等.设认证消息的集合为ξ={F_i|i∈Ζ}。所有的认证消息函数F_i都是参数集合τ和运算集合σ的某种组合。为了保护标签的隐私，认证过程中不会直接把标签的ID明文传输给读写器来进行认证。因此，读写器在未完成认证时，并不知道当前要对哪个标签认证。因此，本发明中，通过认证消息M₁和M₂来产生一个关于ID和共享密钥x的恒等式，遍历查询要认证的标签身份。一般情况下，读写器会把这些信息发送给数据库，由数据库来遍历查询。对于数据库的计算能力来说，这样的遍历查询是可行的。另外，还可以通过提前计算、缓存、并行计算等其它机制来提供命中率。对于读写器来说，因为不知道是哪个标签参与认证，所以密钥x和随机数r₂都是未知的。本发明中，设M₁为x⊕r₂，则读写器就可以用x表示出r₂来，即r₂=M₁⊕x，从而可以构造关于x的恒等式。而消息M₂则是在集合τ上的MAC函数。数据库查找到对应的记录后，把(ID,x)发送给读写器。读写器计算认证消息M3,发送给标签。M3的主要目的是标签对读写器的认证，读写器需要通过M3来表明它知道它们之间的秘密，比如共享密钥x，或随机数r₂等。因为这些信息，只有合法的读写器才能通过认证消息M₁和M₂求解出来。本发明中RFID轻量级双向认证的过程如图1所示。

图2为本发明实施例中认证方法的流程图。该认证方法可以应用于无线射频识别系统。如图2所示，本实施例中，认证方法的流程可以包括如下步骤：

步骤S201，读写器将自身产生的第一随机数r₁发送给标签；

步骤S202，标签接收到第一随机数r₁后,产生第二随机数r₂,并根据所述第一随机数r₁和第二随机数r₂计算第一认证消息M₁和第二认证消息M₂,把第一认证消息M₁的全部位数的数据和第二认证消息M₂的设定位数的数据发送给读写器，其中，M₁=x⊕r₂,M₂=[(r₁⊕r₂　⊕ID)²mod n]_l,符号“⊕”表示异或运算，符号“mod”表示模平方运算，“[]_l”表示取“[]”中密文的l位，x为已知的读写器和标签的共享密钥，ID为标签标识，n为模数；

r₂的作用主要是为了防止攻击者根据标签返回的认证消息M₁和M₂来识别标签进行跟踪。若每次认证过程中，标签都产生自己的随机数r₂，则协议就可以避免这种问题。可见，本发明在认证过程中,读写器和标签分别产生随机数r₁和r₂，因此能够有效地抵抗重放攻击。

在一个优选实施例中，n可以使用梅森数，即n=2^k-1，其中，k为共享密钥x的长度。

其中，设定位数小于或等于第二认证消息M₂的总位数。

步骤S203，读写器接收第一认证消息M₁和第二认证消息M₂后,根据第一认证消息M₁计算出所述第二随机数r₂，r₂=M₁⊕x,然后验证是否存在(ID,x)满足等式M₂=[(r₁⊕r₂　⊕ID)²mod n]_l,若存在则执行步骤S204；

本步骤中，若不存在(ID,x)满足等式M₂=[(r₁⊕r₂　⊕ID)²mod n]_l,则进一步验证是否存在(ID,x')满足等式M₂=[(r₁⊕r₂　⊕ID)²mod n]_l,其中，x'为读写器中保存的本次认证的前一次认证时的共享密钥，若存在则用(ID,x')代替(ID,x)后执行步骤S204。

由于读写器和标签之间射频通信的不确定性,或者由于攻击者的存在,会导致标签不能正确的收到M₃.从而无法验证M₃后,更新密钥。待下次认证时,标签使用旧的密钥产生消息M₁和M₂,读写器就无法找到正确的共享密钥x.为了解决这种情况,读写器需要保存上次的共享密钥x'（也即本次认证的前一次认证中的共享密钥）,用来恢复因上次终止的认证过程而造成的密钥不一致。为了保证协议具有前向安全性,密钥更新函数F₄(τ)应该是单向的。需要说明的是,这里的前向安全性,是针对标签的。因为读写器能够恢复前一次认证的密钥,所以读写器是无法做到前向安全的。

步骤S204，读写器计算第三认证消息M₃，将该第三认证消息M₃发送给标签，并将共享密钥x更新为[x²mod n]_l；

步骤S205，标签接收并验证第三认证消息M₃是否正确，若正确则判定本次认证成功。

若步骤S205中，第三认证消息M₃经过标签验证是正确的，则在判定本次认证成功后还可以进一步执行如下步骤：标签将共享密钥x更新为[x²modn]_l。

本发明的认证方法能够抵抗已知的攻击方法，包括重放攻击、异步攻击、中间人攻击，并能提供前向安全性；并且，本发明的认证方法只使用伪随机函数，减少了认证算法的计算代价和存储代价，适合在低成本标签中应用。

本发明还提出了一种认证系统，用以实施上述的认证方法。

图3为本发明实施例中认证系统的结构框图。如图3所示，本实施例中，认证系统包括第一产生及发送模块310、第二产生及发送模块320、验证模块330、计算及更新模块340和判定模块550。第一产生及发送模块310、第二产生及发送模块320、验证模块330、计算及更新模块340和判定模块550顺次串联。其中，第一产生及发送模块310置于读写器中，用于将读写器自身产生的第一随机数r₁发送给标签。第二产生及发送模块320置于标签中，用于接收第一随机数r₁,产生第二随机数r₂,并根据所述第一随机数r₁和第二随机数r₂计算第一认证消息M₁和第二认证消息M₂,把第一认证消息M₁的全部位数的数据和第二认证消息M₂的设定位数的数据发送给读写器，其中，M₁=x⊕r₂,M₂=[(r₁⊕r₂　⊕ID)²mod n]_l,符号“⊕”表示异或运算，符号“mod”表示模平方运算，“[]_l”表示取“[]”中密文的l位，x为已知的读写器和标签的共享密钥，ID为标签标识，n为模数。验证模块330置于读写器中，用于接收第一认证消息M₁和第二认证消息M₂,根据第一认证消息M₁计算出所述第二随机数r₂，r₂=M₁⊕x,然后验证是否存在(ID,x)满足等式M₂=[(r₁⊕r₂　⊕ID)²mod n]_l,若存在则启动计算及更新模块。计算及更新模块340，置于读写器中，用于计算第三认证消息M₃，将该第三认证消息M₃发送给标签，并将共享密钥x更新为[x²mod n]_l。判定模块550置于标签中，用于接收并验证第三认证消息M₃是否正确，若正确则判定本次认证成功。

在本发明实施例中，验证模块330中可以包括再次验证单元。再次验证单元用于在不存在(ID,x)满足等式M₂=[(r₁⊕r₂　⊕ID)²mod n]_l时,进一步验证是否存在(ID,x')满足等式M₂=[(r₁⊕r₂　⊕ID)²mod n]_l,其中，x'为读写器中保存的本次认证的前一次认证时的共享密钥，若存在则用(ID,x')代替(ID,x)后启动计算及更新模块340。

其中，n可以使用梅森数，即n=2^k-1，其中，k为共享密钥x的长度。

其中，设定位数小于或等于第二认证消息M₂的总位数。

在本发明实施例中，判定模块550中可以包括密钥更新单元。密钥更新单元用于在第三认证消息M₃经过标签验证为正确的时，在判定本次认证成功后将标签中的共享密钥x更新为[x²mod n]_l。

本发明的认证系统能够抵抗已知的攻击方法，包括重放攻击、异步攻击、中间人攻击，并能提供前向安全性；并且，本发明的认证系统只使用伪随机函数，减少了认证算法的计算代价和存储代价，适合在低成本标签中应用。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种认证方法，应用于无线射频识别系统，其特征在于，包括：

步骤a，读写器将自身产生的第一随机数r₁发送给标签；

2.根据权利要求1所述的认证方法，其特征在于，步骤c中，若不存在(ID,x)满足等式M₂=[(r₁⊕r₂　⊕ID)²mod n]_l,则进一步验证是否存在(ID,x')满足等式M₂=[(r₁⊕r₂　⊕ID)²mod n]_l,其中，x'为读写器中保存的本次认证的前一次认证时的共享密钥，若存在则用(ID,x')代替(ID,x)后执行所述步骤d。

3.根据权利要求1所述的认证方法，其特征在于，n使用梅森数，即n=2^k-1，其中，k为共享密钥x的长度。

4.根据权利要求1所述的认证方法，其特征在于，所述设定位数小于或等于所述第二认证消息M₂的总位数。

5.根据权利要求1所述的认证方法，其特征在于，若步骤e中，第三认证消息M₃经过标签验证是正确的，则在判定本次认证成功后执行步骤f：标签将共享密钥x更新为[x²mod n]_l。

6.一种认证系统，应用于无线射频识别系统，其特征在于，包括：

7.根据权利要求6所述的认证系统，其特征在于，所述验证模块包括再次验证单元，用于在不存在(ID,x)满足等式M₂=[(r₁⊕r₂　⊕ID)²mod n]_l时,进一步验证是否存在(ID,x')满足等式M₂=[(r₁⊕r₂　⊕ID)²mod n]_l,其中，x'为读写器中保存的本次认证的前一次认证时的共享密钥，若存在则用(ID,x')代替(ID,x)后启动所述计算及更新模块。

8.根据权利要求6所述的认证系统，其特征在于，n使用梅森数，即n=2^k-1，其中，k为共享密钥x的长度。

9.根据权利要求6所述的认证系统，其特征在于，所述设定位数小于或等于所述第二认证消息M₂的总位数。

10.根据权利要求6所述的认证系统，其特征在于，所述判定模块包括密钥更新单元，密钥更新单元用于在所述第三认证消息M₃经过标签验证为正确的时，在判定本次认证成功后将标签中的共享密钥x更新为[x²mod n]_l。