CN103699863B

CN103699863B - 一种抗异步攻击的超轻量级无线射频识别认证方法

Info

Publication number: CN103699863B
Application number: CN201310654793.4A
Authority: CN
Inventors: 凌捷; 沈金伟; 邓小丹; 叶盛元
Original assignee: GUANGZHOU JN UNION TECHNOLOGY Co Ltd; Guangdong University of Technology
Current assignee: GUANGZHOU JN UNION TECHNOLOGY Co Ltd; Guangdong University of Technology
Priority date: 2013-12-06
Filing date: 2013-12-06
Publication date: 2016-08-17
Anticipated expiration: 2033-12-06
Also published as: CN103699863A

Abstract

本发明公开了一种抗异步攻击的超轻量级无线射频识别认证方法，标签中增设了会话密钥N_t作为标志位，该标志位与上次认证过程中阅读器产生的随机数相关，并保持动态刷新，使攻击者重放的消息失效，能够有效解决抵抗异步攻击的问题；采用了双向认证方法来实现身份的认证，且引入超轻量级的非线性函数NLMC(x,y)来加密通信中的消息，提高了无线射频识别***在开放环境中通信的保密性，更加安全。本发明可广泛应用于无线射频识别领域。

Description

一种抗异步攻击的超轻量级无线射频识别认证方法

技术领域

本发明涉及无线射频识别领域，尤其是一种抗异步攻击的超轻量级无线射频识别认证方法。

背景技术

现有技术中，无线射频识别(RFID，Radio Frequency Identification) 是众多自动识别技术的一种，其基本原理是利用射频信号和空间耦合(电感或电磁耦合)传输特性，实现对被识别物体的自动识别。基于RFID众多的优点，RFID已经得到十分广泛的应用并且受到越来越多的关注。

现有的基于异或运算的超轻量级无线射频识别认证方法对硬件的要求低，其标签不具有产生伪随机数的能力，但这种认证方法的缺陷是，当攻击者窃听并重放消息时，服务器端难以验证该消息的合法性，从而使非法标签认证通过，造成服务器端和标签端的数据更新不同步，导致异步攻击的问题。

发明内容

为了解决上述技术问题，本发明的目的是：提供一种安全性高和抗异步攻击的超轻量级无线射频识别认证方法。

本发明解决其技术问题所采用的技术方案是：一种抗异步攻击的超轻量级无线射频识别认证方法，包括：

S1、阅读器的随机数发生器产生随机数N₁，然后向选中的标签发送消息Query||N₁；

S2、标签计算出A=（IDS∨K₂）+N_t的值，并经过NLMC（x,y）非线性函数运算、ROT（x,y）函数运算与异或运算后得到B=(K1⊕K₂ ^*)+(K₁ ^*⊕K₂)的值，然后经过阅读器将消息IDS||A||B||N1转发给后台服务器；所述K₁ ^*=ROT(K₁⊕Nm,K₁)，K₂ ^*=ROT(K₂⊕Nm,K₂)，Nm=NLMC(N_t,N₁)；其中，IDS表示标签的假名，N_t表示无线射频识别***通信过程中的会话密钥，K₁、K₂均表示消息的加密密钥，“∨”表示逻辑加法运算，“⊕”表示异或运算；

S3、后台服务器检查其存储的IDS数据中是否存储有能与消息IDS||A||B||N1中的IDS数据相匹配的数据；若否，表示阅读器认证标签失败，终止协议，流程结束；否则，则执行步骤S4；

S4、后台服务器从消息IDS||A||B||N1中提取出N_t＇=A-（IDS∨K₂），并用与IDS数据相对应的K₁、K₂计算B＇=(K1⊕K₂ ^*)+(K₁ ^*⊕K₂)；然后判断B＇是否等于B，若否，表示阅读器认证标签失败，终止协议，流程结束；否则，则执行步骤S5；

S5、阅读器生成随机数N₂，对后台服务器的标签假名IDS、密匙K₁、密匙K₂和会话密钥N_t进行更新，并经过NLMC（x,y）非线性函数运算、ROT（x,y）函数运算与异或运算后得到发送给标签的数据C和D；

S6、标签从接收的数据中提取出数据N₂＇，并经过NLMC（x,y）非线性函数运算、ROT（x,y）函数运算与异或运算后得到数据D＇，然后根据数据D与数据D＇是否相等来判断标签对阅读器是否验证成功。

进一步，所述步骤S5，其包括：

S51、阅读器生成随机数N₂，并将阅读器当前的标签假名IDS、密匙K₁、密匙K₂作为旧标签假名IDS、旧密匙K₁、旧密匙K₂存储至后台服务器；

S52、阅读器对数据N₁、N_2、IDS、K₁、K₂进行计算，从而得到新标签假名IDS^new、新密匙K₁ ^new、新密匙K₂ ^new和新会话密钥N_t ^new，并将IDS^new、K₁ ^new、K₂ ^new和N_t ^new存储至后台服务器；

S53、阅读器对经过NLMC（x,y）非线性函数运算、ROT（x,y）函数运算与异或运算，从而得到发送给标签的数据C和D。

进一步，所述的新标签假名IDS^new、新密匙K₁ ^new、新密匙K₂ ^new和新会话密钥N_t ^new的计算公式如下：

其中，ID表示标签的身份标示符。

进一步，在所述步骤C53中，所述数据C的计算公式为：C=ROT（K₁⊕K₂,Nm＇）⊕N₂；所述数据D的计算公式为：D=（K2^*+Nx）⊕（（K1⊕K2）∨K1^*）。

进一步，所述步骤S6，其包括：

S61、标签从接收的数据中提取出数据N₂＇,所述数据N₂＇的计算公式为：

N₂＇=C⊕ROT(K₁⊕K₂,Nm＇)；

S62、根据提取出的N₂＇对数据D＇进行计算，所述数据D＇的计算公式为：

D＇=(K₂ ^*+Nx＇)⊕((K₁⊕K₂)∨K₁ ^*),其中，Nx＇=NLMC（N₂＇,N_t＇）；

S63、判断数据D与数据D＇是否相等，若相等，则对标签的IDS数据、密匙K₁、密匙K₂和数据N_t进行更新,从而得到更新后的IDS数据IDS^new、密匙K₁ ^new、密匙K₂ ^new和数据N_t ^new；其中，IDS^new=（IDS+ID）⊕（Nm＇+K₁ ^*）,K₁ ^new=K₁ ^*，K₂ ^new=K₂ ^*，N_t ^new= Nx＇。

进一步，所述步骤S52中将IDS^new、K₁ ^new、K₂ ^new和N_t ^new存储至后台服务器这一步骤，其具体为：

判断计算出的IDS^new是否与后台服务器存储的任一IDS数据相同，若是，则重新生成随机数N₂并计算出对应的IDS^new、K₁ ^new、K₂ ^new和N_t ^new；反之，则将IDS^new、K₁ ^new、K₂ ^new和N_t ^new存储至后台服务器。

本发明的有益效果是：在标签中增设了会话密钥N_t作为标志位，该标志位与上次认证过程中阅读器产生的随机数相关，并保持动态刷新，使攻击者重放的消息失效，能够有效解决抵抗异步攻击的问题；采用了双向认证方法来实现身份的认证，且引入超轻量级的非线性函数NLMC(x,y)来加密通信中的消息，提高了无线射频识别***在开放环境中通信的保密性，更加安全。

附图说明

下面结合附图和实施例对本发明作进一步说明。

图1为本发明一种抗异步攻击的超轻量级无线射频识别认证方法的步骤流程图；

图2为非线性函数NLMC(x,y)的具体运算流程图；

图3为本发明无线射频识别认证过程的示意图。

具体实施方式

参照图1，一种抗异步攻击的超轻量级无线射频识别认证方法，包括：

其中，非线性函数NLMC(x,y)是使用遗传编程思想，通过引入超轻操作数组件,从而获得的高度非线性函数。在标签上实现NLMC(x,y)函数，硬件上只要求标签具有右位移操作的能力，该函数具有超轻量级的性质，其具体操作如图2所示。ROT（x,y）函数是左旋函数，用于将x的值左旋y位。N_t＇是后台服务器端的会话密钥，若通信正确则与N_t一致。B＇的计算过程及所采用的公式与B的一致，区别仅在于N_t换成了N_t＇。N₂＇是标签端提取的随机数，若通信正确则与阅读器端的N₂一致。D＇的计算过程及所采用的公式与D的一致，区别仅在于N₂换成了N₂＇。

进一步作为优选的实施方式，所述步骤S5，其包括：

进一步作为优选的实施方式，所述的新标签假名IDS^new、新密匙K₁ ^new、新密匙K₂ ^new和新会话密钥N_t ^new的计算公式如下：

其中，ID表示标签的身份标示符。

进一步作为优选的实施方式，在所述步骤C53中，所述数据C的计算公式为：C=ROT（K₁⊕K₂,Nm＇）⊕N₂；所述数据D的计算公式为：D=（K2^*+Nx）⊕（（K1⊕K2）∨K1^*）。

进一步作为优选的实施方式，所述步骤S6，其包括：

N₂＇=C⊕ROT(K₁⊕K₂,Nm＇)；

进一步作为优选的实施方式，所述步骤S52中将IDS^new、K₁ ^new、K₂ ^new和N_t ^new存储至后台服务器这一步骤，其具体为：

下面结合说明书附图和具体的实施例对本发明作进一步详细说明。

参照图3，本发明的第一实施例：

本发明一种抗异步攻击的超轻量级无线射频识别认证方法，用于无线射频识别***中标签和阅读器之间进行无线通信时的安全认证。本发明的无线射频识别***包括标签、阅读器和后台服务器。其中标签选用无源可读写式标签，标签的内部EEPROM存储数据，它的内部门电路不需产生伪随机数，只需要满足位运算(异或运算、移位运算等)操作，且能实现NLMC(x,y)函数操作的功能即可。

本发明主要包括认证初始化阶段、双向认证阶段、标签假名与密钥更新阶段这三个阶段。

认证初始化阶段，具体如下：

在每个标签中载入五元组(ID,IDS,K₁,K₂,N_t)，其中ID表示标签的身份标示符；IDS表示标签的假名，初始值为96bit的二进制数，其值为Hash(ID)；标签的ID是唯一的，因此，经过哈希运算之后，可以得到唯一的的IDS；K₁、K₂表示消息的加密密钥，其初始值为96bit的二进制随机数；N_t表示无线射频识别***通信过程中的会话密钥，设置其初始值为96bit二进制数，其值为经过函数NLMC(N₁，N₂)运算后的结果,其中N₁,N₂为阅读器伪随机数发生器产生的随机数。

在后台服务器中保留一个七元组(ID,IDS^new,IDS^old,K₁ ^new,K₁ ^old,K₂ ^new,K₂ ^old)。其中ID表示标签的身份标示符；(IDS^new,K₁ ^new，K₂ ^new)分别表示标签本次认证的假名、标签本次认证的K₁、K₂密钥，它们都是96bit的二进制数，初始值等于标签IDS、标签密钥K1、K2的初始值；(IDS^old,K₁ ^old,K₂ ^old)分别表示上次认证过程中标签的假名IDS、上次认证过程中标签的密钥K1、K2，它们的初始值和标签的(IDS、K1、K2)初始值相同，都是96bit的二进制数。

参照图3，无线射频识别***的认证过程的具体执行过程如下：

a、阅读器中的随机数发生器产生随机数N₁；然后向选中的标签发送消息(Query||N₁)。

b、标签收到阅读器发送过来的数据N₁和通信请求之后，按照公式计算A=(IDS∨K₂)+N_t、Nm=NLMC(N_t,N₁)、K₁ ^*=ROT(K₁⊕Nm,K₁)、K₂ ^*=ROT(K₂⊕Nm,K₂)、B=(K₁⊕K₂ ^*)+(K₁ ^*⊕K₁)；然后将消息(IDS||A||B)发送给阅读器，阅读器再将消息(IDS||A||B||N₁)转发给后台服务器；其中NLMC(x,y)表示函数作用于括号中的参数。

c、服务器收到消息后，首先查找后台中的IDS^new和IDS^old记录,验证这两个数据能否与收到消息IDS||A||B中的IDS匹配；如果匹配成功，就从消息中提取出N_t=A－IDS∨K₂,然后按照标签中的计算公式，用与IDS对应的K₁、K₂计算B′=(K₁⊕K₂ ^*)+(K₁ ^*⊕K₂)，用来验证B′=B是否成立；如果等式成立，则阅读器验证标签成功，并转到步骤d；否则认证失败，结束当前会话。服务器与阅读器成功认证标签之后，生成随机数N₂，计算N_x=NLMC(Nm,N₂)、C=ROT(K₁⊕K₂,Nm)⊕N₂、D=(K₂ ^*+Nx)⊕((K₁⊕K₂)∨K₁ ^*)；然后更新数据K₁ ^new=K₁ ^*、K₁ ^old=K₁、K₂ ^new=K₂ ^*、K₂ ^old=K₂、IDS^old=IDS、IDS^new=(IDS+ID)⊕(Nm+K₁ ^*)，将消息C||D发送给标签。

d、标签收到消息C||D之后，首先从消息中提取N₂=C⊕ROT(K₁⊕K₂,Nm)；然后用与后台服务器相同的公式计算D′，验证等式D′=D是否成立，其中D′=(K₂ ^*+Nx)⊕((K₁⊕K₂)∨=K₁ ^*)；如果等式成立，则更新数据IDS=(IDS+ID)⊕(Nm+=K₁ ^*)，K₁==K₁ ^*、K₂==K₂ ^*、N_t=Nx。

本发明通过步骤a至d的操作，实现了标签和阅读器的双向认证，而验证成功的标签和阅读器即可进行后续通信。

与现有技术相比，本发明具有以下优点：

（1）硬件方面

a.低运算成本：标签只需要满足位运算、包括逻辑运算、异或运算、移位运算等操作；

b.低通信成本：协议只需3个轮回的通信量（参照图3）,且交换的信息量少；

c.标签上的硬件开销小：标签不需要具有伪随机数发生器的功能，所需门电路数量大大减少；

d.标签上的运算量少：标签只需要完成16次逻辑运算操作、3次ROT(x,y)函数操作、2次NLMC(x,y)函数操作就可以实现RFID标签和RFID阅读器之间的身份认证。

(2)本发明在标签中设置了数据N_t，该数据与上次认证过程中的阅读器产生的随机数相关，并保持动态刷新，这样就相当于标签也具有了产生随机数的能力，但是又不需要增加额外的硬件，能够有效解决标签和后端数据库数据同步问题。

(3)本发明通过双向认证来实现的无线射频识别***身份认证，提高了无线射频识别***在开放环境中通信的保密性，能抵抗异步攻击、中间人攻击、重放攻击、拒绝服务攻击等无线射频识别***常见的攻击方式。

(4)本发明具有算法新颖简单、响应速度快、所需资源少、易于实现的优点，适用于解决低成本RFID标签的安全问题。

以上是对本发明的较佳实施进行了具体说明，但本发明创造并不限于所述实施例，熟悉本领域的技术人员在不违背本发明精神的前提下还可做作出种种的等同变形或替换，这些等同的变形或替换均包含在本申请权利要求所限定的范围内。

Claims

1.一种抗异步攻击的超轻量级无线射频识别认证方法，其特征在于：包括：

S2、标签计算出A＝(IDS∨K₂)+N_t的值，并经过NLMC(x,y)非线性函数运算、ROT(x,y)函数运算与异或运算后得到B＝(K1⊕K₂ ^*)+(K₁ ^*⊕K₂)的值，然后经过阅读器将消息IDS||A||B||N1转发给后台服务器；所述K₁ ^*＝ROT(K₁⊕Nm,K₁)，K₂ ^*＝ROT(K₂⊕Nm,K₂)，Nm＝NLMC(N_t,N₁)；其中，IDS表示标签的假名，N_t表示无线射频识别***通信过程中的会话密钥，K₁、K₂均表示消息的加密密钥，“∨”表示逻辑加法运算，“⊕”表示异或运算；

S4、后台服务器从消息IDS||A||B||N1中提取出N_t＇＝A-(IDS∨K₂)，并用与IDS数据相对应的K₁、K₂计算B＇＝(K1⊕K₂ ^*)+(K₁ ^*⊕K₂)；然后判断B＇是否等于B，若否，表示阅读器认证标签失败，终止协议，流程结束；否则，则执行步骤S5；

S5、阅读器生成随机数N₂，对后台服务器的标签假名IDS、密匙K₁、密匙K₂和会话密钥N_t进行更新，并经过NLMC(x,y)非线性函数运算、ROT(x,y)函数运算与异或运算后得到发送给标签的数据C和D；

S6、标签从接收的数据中提取出数据N₂＇，并经过NLMC(x,y)非线性函数运算、ROT(x,y)函数运算与异或运算后得到数据D＇，然后根据数据D与数据D＇是否相等来判断标签对阅读器是否验证成功；

所述步骤S5，其包括：

S52、阅读器对数据N₁、N₂、IDS、K₁、K₂进行计算，从而得到新标签假名IDS^new、新密匙K₁ ^new、新密匙K₂ ^new和新会话密钥N_t ^new，并将IDS^new、K₁ ^new、K₂ ^new和N_t ^new存储至后台服务器；

S53、阅读器对经过NLMC(x,y)非线性函数运算、ROT(x,y)函数运算与异或运算，从而得到发送给标签的数据C和D。

2.根据权利要求1所述的一种抗异步攻击的超轻量级无线射频识别认证方法，其特征在于：所述的新标签假名IDS^new、新密匙K₁ ^new、新密匙K₂ ^new和新会话密钥N_t ^new的计算公式如下：

\{\begin{matrix} {Nm}^{'} = N L M C ({N_{t}}^{'}, N_{1}) \\ N_{x} = N L M C ({N_{m}}^{'}, N_{2}) \\ {IDS}^{n e w} = (I D S + I D) &CirclePlus; (N_{x} + {K_{1}}^{*}) \\ {K_{1}}^{n e w} = {K_{1}}^{*} \\ {K_{2}}^{n e w} = {K_{2}}^{*} \\ {N_{t}}^{n e w} = N_{x} \end{matrix}

其中，ID表示标签的身份标示符。

3.根据权利要求2所述的一种抗异步攻击的超轻量级无线射频识别认证方法，其特征在于：在所述步骤S53中，所述数据C的计算公式为：C＝ROT(K₁⊕K₂,Nm＇)⊕N₂；所述数据D的计算公式为：D＝(K2^*+Nx)⊕((K1⊕K2)∨K1^*)。

4.根据权利要求3所述的一种抗异步攻击的超轻量级无线射频识别认证方法，其特征在于：所述步骤S6，其包括：

N₂＇＝C⊕ROT(K₁⊕K₂,Nm＇)；

D＇＝(K₂ ^*+Nx＇)⊕((K₁⊕K₂)∨K₁ ^*),其中，Nx＇＝NLMC(N₂＇,N_t＇)；

S63、判断数据D与数据D＇是否相等，若相等，则对标签的IDS数据、密匙K₁、密匙K₂和数据N_t进行更新,从而得到更新后的IDS数据IDS^new、密匙K₁ ^new、密匙K₂ ^new和数据N_t ^new；其中，IDS^new＝(IDS+ID)⊕(Nm＇+K₁ ^*),K₁ ^new＝K₁ ^*，K₂ ^new＝K₂ ^*，N_t ^new＝Nx＇。

5.根据权利要求4所述的一种抗异步攻击的超轻量级无线射频识别认证方法，其特征在于：所述步骤S52中将IDS^new、K₁ ^new、K₂ ^new和N_t ^new存储至后台服务器这一步骤，其具体为：