CN110147666B - 物联网场景下的轻量级nfc身份认证方法、物联网通信平台 - Google Patents
物联网场景下的轻量级nfc身份认证方法、物联网通信平台 Download PDFInfo
- Publication number
- CN110147666B CN110147666B CN201910251314.1A CN201910251314A CN110147666B CN 110147666 B CN110147666 B CN 110147666B CN 201910251314 A CN201910251314 A CN 201910251314A CN 110147666 B CN110147666 B CN 110147666B
- Authority
- CN
- China
- Prior art keywords
- reader
- message
- server
- equipment
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06K—GRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
- G06K7/00—Methods or arrangements for sensing record carriers, e.g. for reading patterns
- G06K7/10—Methods or arrangements for sensing record carriers, e.g. for reading patterns by electromagnetic radiation, e.g. optical sensing; by corpuscular radiation
- G06K7/10009—Methods or arrangements for sensing record carriers, e.g. for reading patterns by electromagnetic radiation, e.g. optical sensing; by corpuscular radiation sensing by radiation using wavelengths larger than 0.1 mm, e.g. radio-waves or microwaves
- G06K7/10297—Methods or arrangements for sensing record carriers, e.g. for reading patterns by electromagnetic radiation, e.g. optical sensing; by corpuscular radiation sensing by radiation using wavelengths larger than 0.1 mm, e.g. radio-waves or microwaves arrangements for handling protocols designed for non-contact record carriers such as RFIDs NFCs, e.g. ISO/IEC 14443 and 18092
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Toxicology (AREA)
- General Physics & Mathematics (AREA)
- Artificial Intelligence (AREA)
- General Health & Medical Sciences (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Electromagnetism (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明属于物联网通信技术领域,公开了一种物联网场景下的轻量级NFC身份认证方法、物联网通信平台;考虑了标签和服务器之间的双向认证,同时在阅读器和服务器实现认证,保证***各方身份的合法性以及通信信息的可靠性。本发明对***内部的所有NFC设备进行了匿名处理,采用动态的身份标识确保匿名性,匿名可以帮助标签实现身份隐私保护。本发明会话动态身份标识及设备密钥被有序地更新,并且通过验证有效性来确保一致性;针对可能出现的失同步问题,服务器提供了矫正措施;能抵御失同步攻击。本发明中NFC使用了双密钥的方式,其中***密钥用于抵御***外部的攻击者,设备密钥用于抵御***内部的攻击者,实现***内部与外部的双重防护。
Description
技术领域
本发明属于物联网通信技术领域,尤其涉及一种物联网场景下的轻量级NFC身份认证方法、物联网通信平台。
背景技术
目前,最接近的现有技术:近场通信(NFC)是一种新兴的非接触式射频通信技术,可以让设备间在无需接触的条件下快速进行数据交换与身份认证。它具有成本低廉,方便易用,能耗低的特点。物联网包了大量的智能设备,这些设备可以代替人们实现认证,传输信息和做出决策,物联网的发展离不开物联网下通信技术的发展,NFC为物联网的发展提供了很强的助力,带有NFC功能的智能终端大量普及使得在不同环境中连接、调试和控制物联网设备变得更加容易。在日常出行中,人们可以使用搭载了NFC模块的手机代替地铁卡、公交卡实现刷卡上车。在工业场景下,带有NFC模块的工业设备可以方便工人及时采集设备的工作状态及运转信息。NFC在非接触式电子支付场景下应用尤其备受青睐,传统的电子支付采用二维码、条形码,它们虽然制作成本低廉,但携带的信息极易被篡改,安全性非常脆弱,NFC提供了更高的安全性,操作简单。可以看出,NFC在交通,家庭,办公,工业,支付等多种场景下已有广泛应用。
当前,现有技术一是一种确保NFC智能设备支付场景下的安全,但是该协议对设备的要求非常高,需要集成特定厂商的安全单元SE,同时在使用时也会占用一定的资源。同时现有技术二是一种用于物联网场景下的NFC信息管理***,关注使用NFC技术对设备进行管理,这种技术在安全方面并无突破,但是拓展了NFC技术的应用场景,所以安全问题很突出。现有技术三是一种基于云服务器的认证***,它的最大特点是AES加密与动态的密钥协商机制用于对抗协议进行过程中可能存在的恶意追踪、重放攻击、身份伪造等安全威胁。但是协议无法抵御拒绝服务攻击,同时对称加密技术的使用也为设备带来了不小的运行开销。现有技术四是一种适用于NFC移动设备的双向认证方案。虽然协议仍然无法摆脱哈希,AES加解密技术的使用,但有效的解决了伪造,重放,监听,篡改,异步等攻击问题。但是该方案存在隐私泄露的问题,身份认证***内的设备可以被攻击者恶意追踪,此外开销大的问题仍然无法忽视。
尽管应用广泛,保护NFC的安全和隐私变得比以往任何时候都更加重要。近年来还发生了多起NFC相关的安全事件。2012年美国几名研究人员发现,NFC手机可以绕过部分地铁计费模块,实现盗刷。2013年6月,媒体报到攻击者可以使用NFC设备读取受害者银行卡上的基本信息,进而绕过银行的安全问题实现盗刷。2018年4月,部分华为型号的手机被由于NFC模块对数据传输请求校验不足,攻击者可以获取受漏洞影响手机上的任意文件。事实上,这些安全事件的距离远比本发明想象中的近。目前,小区物业基本都有门禁***,而主流的门禁***使用的加密算法都存在的问题。如果门禁***工作的无线范围内存在一台攻击者的嗅探设备,那门禁卡或模拟了门禁卡的NFC手机与门禁控制***间交互的数据将被记录下来,将使得冒充合法住宅用户通过门禁成为可能,用户的财产安全也将受到严重威胁。NFC的安全性问题如果不得到解决,将制约NFC技术的进一步发展。
作为一种无线通信技术手段,NFC的安全性面临着多方面的挑战。一方面,NFC在设计之初重点关注低功耗下的设备通信,设计者坚信短距离的信号覆盖范围可以降低资源消耗也会有更强的私密性,因此忽视了通信前的身份认证及数据加密。这就要求设备拥有者手动检查通信双方10cm的NFC信号衰减半径内不存在其他异常设备。而这种检查手段本质是不可靠的。因此NFC想要更好的发展,必须增强对数据的防护。另一方面,NFC使用的是13.56MHz频段的无线信道,而无线信道是一种不安全的信道,NFC设备在无线信道内进行通讯,会遭遇隐私泄露,恶意追踪,中间人攻击等多种威胁隐患。
综上所述,现有技术存在的问题是:现有的NFC设备通信前无身份认证及数据加密,在无线信道内进行通讯,导致隐私泄露,恶意追踪,中间人攻击等多种威胁隐患。
解决上述技术问题的难度:解决通信安全威胁的主要手段就是使用加密技术。可是强壮的加密算法如非对称加密技术、哈希技术一方面能够有效的抵御数据破解问题,但也使得***内的设备更容易面临拒绝服务攻击的安全风险。物联网下的设备往往受处理能力,存储量,电池寿命和电磁波信号范围等多方面的限制,也非常关注认证过程的成本与开销问题。如何在适应设备有限资源环境的条件下解决NFC通信是非常困难的。
解决上述技术问题的意义:如何保证NFC设备通信时双方的身份安全及数据安全非常重要,身份认证是一种有效保护不安全信道中设备隐私的手段。身份认证协议工作在设备间的通信建立阶段,主要用于实现设备间的相互认证,只有通过了身份认证,设备间才可以开始正常通信。在复杂的物联网环境下,NFC认证协议必须在充分适应有限的设备资源的基础上考虑安全性问题。使用轻量级的加密手段是一种有效降低***开销的方法,但是要确保实现性能、安全性和成本之间的权衡,这对任何协议在实际工作中都是非常重要的。因此设计一种适用于物联网场景下的轻量级的安全认证协议是一个需要研究的热点问题,对NFC的推广与发展也有重要的意义。
发明内容
针对现有技术存在的问题,本发明提供了一种物联网场景下的轻量级NFC身份认证方法、物联网通信平台。
本发明是这样实现的,一种物联网场景下的轻量级NFC身份认证方法,所述物联网场景下的轻量级NFC身份认证方法包括:
第一步,NFC身份认证***的阅读器生成一个随机数Nr,经过***密钥Ksys加密后,和询问请求信息Query一同发给标签设备;
第三步,服务器根据接收到的信息匹配,如果成功,说明标签设备与阅读器通过认证,之后生成Kd加密后的Ns1信息、构造校验消息M2与M3,最后将消息发送给阅读器;
第四步,阅读器解出Ns1,通过校验M3验证服务器身份,最后发送加密后的Ns1及M2给标签;
第五步,标签解出Ns1并检查M2的正确性,若通过,向阅读器回复发送更新设备信息的请求信息;
第六步,阅读器收到消息后转发给服务器;
第七步,服务器收到消息后进行校验,若校验通过,更新设备信息,并向阅读器与标签设备发送同步信息;
第八步,阅读器收到消息后进行校验,若通过,更新设备信息,并通知标签设备;
第九步,标签设备收到消息,经过校验后及时更新设备信息;至此,协议完成。
进一步,所述物联网场景下的轻量级NFC身份认证方法具体包括:
(3)阅读器解出标签设备的虚拟身份标识TID。接着阅读器构造M1;M1满足:
(4)服务器收到消息后首先查询是否存在动态索引标识为RID的设备;接着服务器查询是否存在动态索引标识为TID的设备;存在,使用设备对应的设备密钥Kd解出标签设备产生的随机数Kd,服务器通过已知的消息重新计算得到的数值与M1相等说明阅读器与标签通过了服务器的认证,之后服务器作为可信的第三方向阅读器与标签设备告知认证结果;阅读器生成随机数Ns1,接着分别构造消息M2及M3。其中,M2满足:
M3满足:
(7)阅读器收到消息后不做处理,转发给服务器,服务器收到消息后得到Nd2,通过比较M4是否与相等确定消息是否真实有效;如果相等,服务器开始同步阅读器与标签设备的私有密钥还有动态索引标识;首先,服务器将数据库中阅读器与标签设备记录的RIDold、TIDold、Kd old、Kr old更新为当前使用RID、TID、Kd、Kr;接着服务器计算下一次设备身份认证时密钥及身份信息RIDnext、TIDnext、Kd next、Kr next,并及时写入数据库;下一次认证的设备新密钥满足:
下一次通信的设备新动态索引标识满足:
同时服务器保留当前通信中设备使用的各密钥及动态索引标识直至身份认证结束;
其中,M5、M6分别满足:
消息的目的在于告知阅读器与服务器可以开始同步更新;
至此,实现认证与同步。
进一步,所述(1)中的阅读器包含伪随机数生成器,异或单元,循环移位单元,同时存储当前的***密钥Ksys与设备密钥Kr,以及设备的身份标识R;其中阅读器、标签设备、服务器的***密钥Ksys是相同的。
进一步,所述步骤(2)中NFC标签设备包含伪随机数生成器,异或单元,循环移位单元,模加单元;同时存储当前的***密钥Ksys与设备密钥Kd,以及自身的身份标识D。其中阅读器、标签设备、服务器的***密钥Ksys是相同的。
进一步,所述步骤(3)中的阅读器向服务器发送的消息中包含了自身的动态身份标识,同时还定义了消息M1帮助服务器校验数据;M1采用一种双重循环移位的操作,参数包含了当前正在传输的消息及阅读器设备的秘密信息,是一种轻量级的哈希函数操作。
进一步,所述步骤(4)中的服务器,包含伪随机数生成器,异或单元,循环移位单元,模加单元;服务器存储设备更新前后的***密钥、设备密钥以及动态身份标识;服务器接收到先关信息后,查询数据库是否有对应数据,如果匹配到数据,构造响应信息;具体步骤如下:
(1)服务器查询是否存在动态标识为RID的设备;如果有,通过数据表中RID对应的Ksys解出标签设备动态标识TID,进一步的求出随机数Nr;
(2)查询是否存在动态标识为TID的设备,如果存在,通过数据表中TID对应的Kd求解出随机数Nd1;
进一步,所述步骤(5)中的阅读器收到消息根据收到的求解出Ns1,接着验证M3的正确性;M3正确代表阅读器与服务器之间实现了相互认证;M3采用了一种双重循环移位的操作,参数包含了Ns1及阅读器设备的秘密信息,是一种轻量级的哈希函数操作。
进一步,所述步骤(6)中的标签设备会通过验证双重循环移位消息M2的正确性实现对阅读器及服务器的认证;发起同步更新,标签设备还会构造二重循环移位消息M4,M4包含了标签设备的秘密信息及生成的新随机数Nd2。
进一步,所述步骤(8)中的服务器设备会通过M4与Nd2判断阅读器消息的真实性;同时完成对阅读器与标签身份的更新,按如下步骤进行:
Kd old=Kd;Kr old=Kr
RIDold=RID;TIDold=TID;
通过循环移位消息M5、M6及加密过的随机数Ns2、Ns3来通知阅读器与标签设备完成更新;M5、M6满足:
步骤(9)中的阅读器设备会通过解密后的Ns3重新计算M5验证消息的真实性,如果M5与收到的消息一致,执行设备密钥及动态身份标识的同步更新;更新步骤具体如下:
步骤(10)中的标签设备会通过解密后的Ns2重新计算M6验证消息的真实性,如果M6与收到的消息一致,执行设备密钥及动态身份标识的同步更新;
综上所述,本发明的优点及积极效果为:本发明考虑了标签和服务器之间的双向认证,同时也在阅读器和服务器实现了认证,保证了***各方身份的合法性以及通信信息的可靠性。
本发明对***内部的所有NFC设备进行了匿名处理,会话过程中并未直接传输标签与阅读器的身份信息,而是采用了动态的身份标识确保匿名性,匿名可以帮助标签实现身份隐私保护。同时对于攻击者来说,即使他们非法获取相关信息,他们也无法确定标签的身份。
本发明中会话动态身份标识及设备密钥被有序地更新,并且通过验证有效性来确保一致性。针对可能出现的失同步问题,服务器提供了矫正措施。因此能抵御失同步攻击。本发明中标签、阅读器以及服务器都会多次生成随机数,这些数字都会在新一轮通信中发生更改,Kd(Kr)由上一次通信的Kd next(Kr next)确定。即便攻击者以某种方式获得这些信息也不能对***的安全造成影响,可以看出***具有抗重放攻击的能力。本发明的每一次合法会话后NFC设备密钥Kd(Kr)、NFC动态身份标识Kd next(Kr next)都会发生变化,同时每次会话中的随机数均是无规律的,即便攻击者以某种方式获得了当前会话中的信息,仍然无法破解出之前的历史会话信息,可以说本发明的方法是前向安全的。
本发明中NFC使用了双密钥的方式,其中***密钥用于抵御***外部的攻击者,设备密钥用于抵御***内部的攻击者,实现了***内部与外部的双重防护。
附图说明
图1是本发明实施例提供的物联网场景下的轻量级NFC身份认证方法流程图。
图2是本发明实施例提供的图1为物联网场景下的NFC***模型图。
图3是本发明实施例提供的NFC双密钥身份认证***模型图。
图4是本发明实施例提供的物联网场景下的轻量级NFC身份认证方法实现流程图。
图5是本发明实施例提供的***网络拓扑图。
图6是本发明实施例提供的实现的***硬件架构图。
图7是本发明实施例提供的实际工作场景下的***环境照片图。
图8是本发明实施例提供的服务器数据库中存储的设备认证信息。
图9是本发明实施例提供的标签设备收到及发送的数据。
图10是本发明实施例提供的阅读器设备收到及发送的数据。
图11是本发明实施例提供的攻击者伪造合法标签身份进行认证图。
图12是本发明实施例提供的攻击者伪造合法阅读器身份进行认证图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
针对现有的NFC设备通信前无身份认证及数据加密,在无线信道内进行通讯,导致隐私泄露,恶意追踪,中间人攻击等多种威胁隐患的问题。本发明的NFC使用双密钥的方式,其中***密钥用于抵御***外部的攻击者,设备密钥用于抵御***内部的攻击者,实现了***内部与外部的双重防护。
下面结合附图对本发明的应用原理作详细的描述。
如图1所示,本发明实施例提供的物联网场景下的轻量级NFC身份认证方法包括以下步骤:
S101:NFC身份认证***的阅读器生成一个随机数Nr,经过***密钥Ksys加密后,和询问请求信息Query一同发给标签设备;
S103:服务器根据接收到的信息匹配,如果成功,说明标签设备与阅读器通过了认证,之后生成Kd加密后的Ns1信息、构造校验消息M2与M3,最后将消息发送给阅读器;
S104:阅读器解出Ns1,通过校验M3验证服务器身份,最后发送加密后的Ns1及M2给标签;
S105:标签解出Ns1并检查M2的正确性,若通过,向阅读器回复发送更新设备信息的请求信息;
S106:阅读器收到消息后转发给服务器;
S107:服务器收到消息后进行校验,若校验通过,更新设备信息,并向阅读器与标签设备发送同步信息;
S108:阅读器收到消息后进行校验,若通过,更新设备信息,并通知标签设备;
S109:标签设备收到消息,经过校验后及时更新设备信息。至此,协议完成。
下面结合附图对本发明的应用原理作进一步的描述。
如图2所示,本发明适用于NFC***场景中,NFC***主要以下几部分组成:
卡模拟模式是NFC的一种工作模式,用于帮助设备工作在标签状态。
读写模式设备是NFC的一种工作模式,用于帮助NFC设备工作于阅读器状态,这将使得设备拥有读取写入标签信息的能力。
P2P模式是NFC的另一种工作模式,用于帮助NFC智能设备之间实现对等通信。
服务器是NFC***中重要的一部分,服务器可以为NFC设备间的交互提供可信的认证服务,与其他必要的存储支持。
如图3所示,本发明提出了双密钥的身份认证***设计模型,该模型基于NFC***。主要由NFC标签设备、NFC阅读器以及服务器三部分组成。
NFC标签设备包括NFC***中工作于NFC仿真卡模式的设备及P2P模式下的需要被认证的设备,标签设备上的密钥由标签设备密钥与身份认证***密钥两部分组成。
NFC阅读器设备包括NFC***中工作于NFC读写模式的设备及P2P模式下试图发起认证的设备,一方面它可以读取或处理来自NFC标签设备发来的认证请求或数据,同时也可以将相关数据转发给服务器。NFC阅读器设备含有阅读器设备密钥与身份认证***密钥。
服务器同时承担多种功能。一方面,服务器作为可信第三方,向阅读器与标签发送仅由各自可以解密的身份认证消息,这可以用来帮助阅读器与标签之间实现双向认证。另一方面,服务器也可存储阅读器与标签的身份认证信息甚至标签设备采集的物联网数据。
NFC***内部可能含有多个身份认证***,不同的身份认证的***内又包含了大量的NFC标签设备与NFC阅读器设备。同一身份认证***内的设备拥有相同的身份认证密钥,但是设备密钥不相同。因此身份认证***密钥一方面能隔离不同身份认证***内的设备,防止身份认证***可能的外部威胁。同一身份认证***内的设备拥有不同的设备密钥因此能够防止敏感数据被其他设备获得。
本发明是NFC阅读器和服务器之间,NFC标签和NFC阅读器之间的简单认证方法,只有通信各方通过身份安全认证,才可以进行有效通信。
初始条件:
标签中包含伪随机数生成器,异或单元,循环移位模块,模加单元。同时,标签设备存储了当前的设备密钥Kd及自身的身份标识TID。
标签中包含伪随机数生成器,异或单元,循环移位模块,模加单元。同时,标签设备存储了当前的设备密钥Kr及自身的身份标识RID。
在云服务器中包含伪随机数生成器,异或单元,循环移位模块,模加单元。同时,云服务器存储了身份认证***的***密钥Ksys,上一轮与当前设备使用的设备身份标识与设备密钥。
本发明中的隐私保护方法在解决***的匿名隐私信息保护及内部外部安全隐患的同时,使用轻量级的加密方法降低了***的性能开销,保障了NFC身份认证***快速安全高效的需求。
如图4所示,本发明的具体实施步骤如下:
步骤一,阅读器初始化请求:
步骤2,标签设备对消息进行响应并处理:
步骤3,阅读器设备对消息进行处理并转发:
步骤4,服务器对接收到的信息进行处理:
4a)服务器查询是否存在动态标识为RID的设备。如果有,通过数据表中RID对应的Ksys解出标签设备动态标识TID,进一步的求出随机数Nr;
4b)查询是否存在动态标识为TID的设备。如果存在,通过数据表中TID对应的Kd求解出随机数Nd1;
步骤5,阅读器对来自服务器的消息进行验证、处理,最后进行转发。
步骤6,标签设备对消息进行处理实现对服务器及阅读器的认证。最后发起设备信息更新的同步请求:
6a)标签设备已知Nr,可以从收到的消息中解出Ns1,接着验证M2的正确性,如果满足,继续执行;
步骤7,阅读器收到消息后直接转发给服务器。
步骤8,服务器对收到的消息进行验证,如果通过则生成新的设备密钥及设备标识信息:
8a)服务器依据Ns1解出Nd2,接着重新计算M4,验证是否与收到的M4相等,若相等,开始设备信息的同步更新;
8b)服务器会对阅读器与标签设备的设备密钥Kr(或Kd)及设备动态标识RID(或TID)进行更新。主要步骤如下:
Kd old=Kd;Kr old=Kr
RIDold=RID;TIDold=TID;
步骤9,阅读器收到消息后解出Ns3并验证M5的正确性,如果一致,生成设备下一轮使用的动态身份标识及设备密钥。最后将剩余消息转发给标签设备。同步公示如下:
步骤10,标签设备收到消息后解出Ns2并验证M6的正确性,如果一致,生成设备下一轮使用的动态身份标识及设备密钥。同步公示如下:
符号说明:
Nr:通信过程中由阅读器中伪随机数生成器产生的随机数;
Nd1,Nd2:通信过程中由标签设备中伪随机数生成器产生的随机数;
Ns1,Ns2,Ns3:通信过程中由服务器伪随机数生成器产生的随机数;
Rot():表示循环移位的加密操作;
D,R:标签设备与阅读器设备的真实身份信息;
TID,RID:标签设备与阅读器设备使用的动态身份标识;
Kd,Kr:标签设备与阅读器设备当前使用的设备密钥;
Kd old,Kr old:标签设备与阅读器设备旧的设备密钥;
Kd next,Kr next:标签设备与阅读器设备下一轮使用的设备密钥;
Ksys:每一台***内NFC设备都拥有的***密钥。
下面结合实验对本发明的应用效果作详细的描述。
将本发明的方案与其他方案的对比,其中,UMA协议无法满足隐私保护的要求,存在标签克隆,恶意追踪,数据泄露的安全性问题,本发明的方案使用了动态的身份标识与加密密钥可以防止数据泄露问题。四个协议都无法同时满足阅读器、标签与服务器之间的相互认证,与此同时还存在失同步攻击的安全性问题。其中,Lee,Gossamer与Bilal三种协议场景中不区分阅读器与服务器的身份差别,未考虑阅读器可能存在的安全隐患。Baek提出的NFC轻量级协议分为2个子协议,分别对应于服务器对标签设备及NFC阅读器的认证,无法实现服务器、阅读器与标签设备之间的相互认证。本发明的协议可以实现阅读器、标签设备与服务器的相互认证,另一方面能够对可能出现的同步异常做出保护。最后,由于Baek的方案使用到了哈希技术,相较于其他方案更容易遭受拒绝服务攻击。总的来说本发明的方法具有多方面的安全防护。
表1.不同方案的安全性对比
本发明方案的技术效果:
标签设备是物联网身份认证***的最关键的部分,它们在认证阶段的开销大小直接影响到标签设备提供其他服务的质量与能力。为了进一步评估协议中标签设备的开销,本发明在FPGA仿真平台(软件版本:vivado 2017.3(64位);虚拟板版本:Kintex-7xc7k70tfbv676-1(32位);Xilinx,硅谷,加利福尼亚,美国,2017)上模拟了标签的通信,表2是在软件仿真平台上得到的开销报告,本发明的协议占用了149个LUT和262个片寄存器,本发明的方案中LUT和寄存器的利用率低于0.5%,这意味着在实际工作时标签设备可以占用更少的存储开销,达到轻量级的技术指标。虽然这一仿真技术常用于RFID技术下的仿真工作,但在NFC设备上也基本适用,印证了本发明的身份验证方案是轻量级的。
表2.逻辑门开销仿真
本发明记录了多次***在认证过程中数据,绘制成如下表格。其中CPU占用率表示在正常的通信过程中程序最高占用的使用的***计算资源,内存占用率表示程序消耗的内存与***总内存占比。本发明还进行了4次认证时长测试,结果表明认证时长能控制在1秒以内。***NFC标签设备与阅读器设备均基于树莓派3B实现,树莓派3B是一款基于ARM架构的嵌入式开发平台,被广泛应用于物联网场景下提供服务。它搭载1GB的LPDDR2SDRAM内存,搭载四核ARM Cortex-A53(ARMv8)64位@1.4GHz CPU,甚至还搭载了博通Videocore-IVGPU,可以同时承担多项物联网任务,拥有较强的数据处理能力。
表3性能测试
依据图5NFC身份认证***网络拓扑图、图6NFC设备***硬件架构图,本发明搭建了一套身份认证***如图7所示。本发明测试了方案中NFC标签设备与NFC阅读器之间相互通信与认证的过程,展示了标签设备与阅读器每步认证的具体细节,其中图8表示服务器数据库中存储的设备认证信息。图9表示标签设备收到及发送的数据,图10为阅读器设备收到及发送的数据。结果表明设备间可以正常实现认证。
本发明还试图模拟攻击者对***内发起的攻击。第一种是攻击者伪造正常NFC标签设备通过认证并与其他设备建立通信连接,如图11。第二种是攻击者伪造正常的NFC阅读器设备通过认证并与其他设备建立通信连接,如图12。结果均表明表明其他同新方经过校验与分析后不会对攻击者进行响应,认证失败。
本发明记录了多次***在认证过程中数据,绘制成表格3。其中CPU占用率表示在正常的通信过程中程序最高占用的使用的***计算资源,内存占用率表示程序消耗的内存与***总内存占比。本发明还进行了4次认证时长测试,结果表明认证时长能控制在1秒以内。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种物联网场景下的轻量级NFC身份认证方法,其特征在于,所述物联网场景下的轻量级NFC身份认证方法包括:
第一步,NFC身份认证***的阅读器生成一个随机数Nr,经过***密钥Ksys加密后,和询问请求信息Query一同发给标签设备;
第三步,服务器根据接收到的信息匹配,如果成功,说明标签设备与阅读器通过认证,之后生成Kd加密后的Ns1信息、构造校验消息M2与M3,最后将消息发送给阅读器;
第四步,阅读器解出Ns1,通过校验M3验证服务器身份,最后发送加密后的Ns1及M2给标签;
第五步,标签解出Ns1并检查M2的正确性,若通过,向阅读器回复发送更新设备信息的请求信息;
第六步,阅读器收到消息后转发给服务器;
第七步,服务器收到消息后进行校验,若校验通过,更新设备信息,并向阅读器与标签设备发送同步信息;
第八步,阅读器收到消息后进行校验,若通过,更新设备信息,并通知标签设备;
第九步,标签设备收到消息,经过校验后及时更新设备信息;至此,协议完成。
2.如权利要求1所述的物联网场景下的轻量级NFC身份认证方法,其特征在于,所述物联网场景下的轻量级NFC身份认证方法具体包括:
(3)阅读器解出标签设备的虚拟身份标识TID;接着阅读器构造M1;M1满足:
(4)服务器收到消息后首先查询是否存在动态索引标识为RID的设备;接着服务器查询是否存在动态索引标识为TID的设备;存在,使用设备对应的设备密钥Kd解出标签设备产生的随机数Kd,服务器通过已知的消息重新计算得到的数值与M1相等说明阅读器与标签通过了服务器的认证,之后服务器作为可信的第三方向阅读器与标签设备告知认证结果;阅读器生成随机数Ns1,接着分别构造消息M2及M3;其中,M2满足:
M3满足:
(7)阅读器收到消息后不做处理,转发给服务器,服务器收到消息后得到Nd2,通过比较M4是否与相等确定消息是否真实有效;如果相等,服务器开始同步阅读器与标签设备的私有密钥还有动态索引标识;首先,服务器将数据库中阅读器与标签设备记录的RIDold、TIDold、Kd old、Kr old更新为当前使用RID、TID、Kd、Kr;接着服务器计算下一次设备身份认证时密钥及身份信息RIDnext、TIDnext、Kd next、Kr next,并及时写入数据库;下一次认证的设备新密钥满足:
下一次通信的设备新动态索引标识满足:
同时服务器保留当前通信中设备使用的各密钥及动态索引标识直至身份认证结束;
消息的目的在于告知阅读器与服务器可以开始同步更新;
至此,实现认证与同步。
3.如权利要求2所述的物联网场景下的轻量级NFC身份认证方法,其特征在于,所述(1)中的阅读器包含伪随机数生成器,异或单元,循环移位单元,同时存储当前的***密钥Ksys与设备密钥Kr,以及设备的身份标识R;其中阅读器、标签设备、服务器的***密钥Ksys是相同的。
4.如权利要求2所述的物联网场景下的轻量级NFC身份认证方法,其特征在于,所述步骤(2)中NFC标签设备包含伪随机数生成器,异或单元,循环移位单元,模加单元;同时存储当前的***密钥Ksys与设备密钥Kd,以及自身的身份标识D;其中阅读器、标签设备、服务器的***密钥Ksys是相同的。
5.如权利要求2所述的物联网场景下的轻量级NFC身份认证方法,其特征在于,所述步骤(3)中的阅读器向服务器发送的消息中包含了自身的动态身份标识,同时还定义了消息M1帮助服务器校验数据;M1采用一种双重循环移位的操作,参数包含了当前正在传输的消息及阅读器设备的秘密信息,是一种轻量级的哈希函数操作。
6.如权利要求2所述的物联网场景下的轻量级NFC身份认证方法,其特征在于,所述步骤(4)中的服务器,包含伪随机数生成器,异或单元,循环移位单元,模加单元;服务器存储设备更新前后的***密钥、设备密钥以及动态身份标识;服务器接收到先关信息后,查询数据库是否有对应数据,如果匹配到数据,构造响应信息;具体步骤如下:
(1)服务器查询是否存在动态标识为RID的设备;如果有,通过数据表中RID对应的Ksys解出标签设备动态标识TID,进一步的求出随机数Nr;
(2)查询是否存在动态标识为TID的设备,如果存在,通过数据表中TID对应的Kd求解出随机数Nd1;
8.如权利要求2所述的物联网场景下的轻量级NFC身份认证方法,其特征在于,所述步骤(6)中的标签设备会通过验证双重循环移位消息M2的正确性实现对阅读器及服务器的认证;发起同步更新,标签设备还会构造二重循环移位消息M4,M4包含了标签设备的秘密信息及生成的新随机数Nd2。
9.如权利要求2所述的物联网场景下的轻量级NFC身份认证方法,其特征在于,所述步骤(8)中的服务器设备会通过M4与Nd2判断阅读器消息的真实性;同时完成对阅读器与标签身份的更新,按如下步骤进行:
Kd old=Kd;Kr old=Kr
RIDold=RID;TIDold=TID;
通过循环移位消息M5、M6及加密过的随机数Ns2、Ns3来通知阅读器与标签设备完成更新;M5、M6满足:
步骤(9)中的阅读器设备会通过解密后的Ns3重新计算M5验证消息的真实性,如果M5与收到的消息一致,执行设备密钥及动态身份标识的同步更新;更新步骤具体如下:
步骤(10)中的标签设备会通过解密后的Ns2重新计算M6验证消息的真实性,如果M6与收到的消息一致,执行设备密钥及动态身份标识的同步更新;
10.一种应用权利要求1~9任意一项所述物联网场景下的轻量级NFC身份认证方法的物联网通信平台。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910251314.1A CN110147666B (zh) | 2019-03-29 | 2019-03-29 | 物联网场景下的轻量级nfc身份认证方法、物联网通信平台 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910251314.1A CN110147666B (zh) | 2019-03-29 | 2019-03-29 | 物联网场景下的轻量级nfc身份认证方法、物联网通信平台 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110147666A CN110147666A (zh) | 2019-08-20 |
CN110147666B true CN110147666B (zh) | 2022-12-16 |
Family
ID=67588741
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910251314.1A Active CN110147666B (zh) | 2019-03-29 | 2019-03-29 | 物联网场景下的轻量级nfc身份认证方法、物联网通信平台 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110147666B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111083131B (zh) * | 2019-12-10 | 2022-02-15 | 南瑞集团有限公司 | 一种用于电力物联网感知终端轻量级身份认证的方法 |
CN111552538B (zh) * | 2020-04-21 | 2023-03-24 | 深圳信息职业技术学院 | 基于虚拟仿真的实训***构建方法、装置和计算机设备 |
CN113395493A (zh) * | 2021-06-18 | 2021-09-14 | 中冶北科(北京)水务工程技术有限公司 | 一种视频监控***及点对点无线链路传输认证方法 |
CN114727280B (zh) * | 2022-03-21 | 2022-10-21 | 慧之安信息技术股份有限公司 | 基于物联网的匿名化身份认证方法和*** |
CN114845302B (zh) * | 2022-03-30 | 2023-01-10 | 慧之安信息技术股份有限公司 | 基于物联网的近场加密通信方法和*** |
CN116801249B (zh) * | 2022-12-30 | 2024-05-07 | 慧之安信息技术股份有限公司 | 一种基于物联网的新型身份认证方法 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101449611B1 (ko) * | 2013-07-19 | 2014-10-14 | 숭실대학교산학협력단 | Rfid태그 인증 시스템 |
CN105024824B (zh) * | 2014-11-05 | 2018-12-21 | 浙江码博士防伪科技有限公司 | 基于非对称加密算法的可信标签的生成与验证方法及*** |
CN108566385B (zh) * | 2018-03-24 | 2021-02-09 | 西安电子科技大学 | 基于云的高效隐私保护的双向认证方法 |
-
2019
- 2019-03-29 CN CN201910251314.1A patent/CN110147666B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN110147666A (zh) | 2019-08-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110147666B (zh) | 物联网场景下的轻量级nfc身份认证方法、物联网通信平台 | |
Cho et al. | Consideration on the brute-force attack cost and retrieval cost: A hash-based radio-frequency identification (RFID) tag mutual authentication protocol | |
Abdi Nasib Far et al. | LAPTAS: lightweight anonymous privacy-preserving three-factor authentication scheme for WSN-based IIoT | |
US7791451B2 (en) | Methods, systems, and computer program products for providing mutual authentication for radio frequency identification (RFID) security | |
Liu et al. | Grouping-proofs-based authentication protocol for distributed RFID systems | |
CN101777978A (zh) | 一种基于无线终端的数字证书申请方法、***及无线终端 | |
Chen et al. | An ownership transfer scheme using mobile RFIDs | |
CN103795543A (zh) | 一种用于rfid***的安全双向认证方法 | |
CN102034123A (zh) | 一种基于标签id随机划分的rfid三重安全认证方法 | |
CN103532718A (zh) | 一种认证方法及*** | |
CN108566385B (zh) | 基于云的高效隐私保护的双向认证方法 | |
Chen et al. | A secure ownership transfer protocol using EPCglobal Gen-2 RFID | |
CN103218633B (zh) | 一种rfid安全认证方法 | |
Jannati et al. | Cryptanalysis and enhancement of a secure group ownership transfer protocol for RFID tags | |
Tao et al. | Anonymous identity authentication mechanism for hybrid architecture in mobile crowd sensing networks | |
CN107040363B (zh) | 基于混沌加密的轻量级rfid所有权转移方法及*** | |
Kumar et al. | Ultra-lightweight blockchain-enabled RFID authentication protocol for supply chain in the domain of 5G mobile edge computing | |
CN104579688A (zh) | 一种基于Hash函数可同步更新密钥的RFID双向认证方法 | |
CN110572392A (zh) | 一种基于Hyperledger网络的身份认证方法 | |
Chen et al. | Sustainable secure communication in consumer-centric electric vehicle charging in industry 5.0 environments | |
CN103152181A (zh) | 一种rfid数据加密方法 | |
CN106027237A (zh) | 一种rfid***中基于组的密钥矩阵安全认证方法 | |
Chien | The study of RFID authentication protocols and security of some popular RFID tags | |
Jensen et al. | A secure credit card protocol over NFC | |
Wei et al. | Tripartite Authentication Protocol RFID/NFC Based on ECC. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |