CN111314084A

CN111314084A - 基于秘密共享和在线离线签名的抗量子计算rfid认证方法和***

Info

Publication number: CN111314084A
Application number: CN202010073254.1A
Authority: CN
Inventors: 富尧; 钟一民; 邱雅剑
Original assignee: Ruban Quantum Technology Co Ltd; Nanjing Ruban Quantum Technology Co Ltd
Current assignee: Ruban Quantum Technology Co Ltd; Nanjing Ruban Quantum Technology Co Ltd
Priority date: 2020-01-21
Filing date: 2020-01-21
Publication date: 2020-06-19
Anticipated expiration: 2040-01-21
Also published as: CN111314084B

Abstract

本发明公开了一种基于秘密共享和在线离线签名的抗量子计算RFID认证方法和***，包括若干RFID标签、身份识别装置和服务器，将RFID标签的ID通过秘密共享得到两组影子秘密，分别存储到RFID标签和服务器内，RFID标签和服务器之间的消息通过身份识别装置传送，由服务器向RFID标签发起挑战信息，收到RFID标签的应答消息后，服务器启动认证和更新流程。本发明中RFID标签配备密钥卡，服务器配置随机数发生器或密钥卡，在认证消息传递过程中，采用了抗量子计算的在线离线签名方式，ID不会在硬件装置或通信消息中被完整记录，敌方无法通过门禁识别装置或通信消息追踪ID得到用户隐私，安全性高。

Description

基于秘密共享和在线离线签名的抗量子计算RFID认证方法和 ***

技术领域

本发明涉及安全通信技术及设备认证技术领域，具体涉及基于秘密共享和在线离线签名的抗量子计算RFID认证方法和***。

背景技术

射频识别(RFID)是Radio Frequency Identification的缩写。RFID射频识别技术是一项较早的技术，在20世纪50年代的时候，RFID射频识别技术的理论得到发展。70年代，出现了一些较早的RFID应用，RFID逐渐进入商业阶段。80年代起，随着RFID技术标准化日渐收到重视，RFID产品得到越来越广泛的采用。其原理为阅读器与标签之间进行非接触式的数据通信，达到识别目标的目的。RFID的应用非常广泛，目前典型应用有动物晶片、汽车晶片防盗器、门禁管制、停车场管制、生产线自动化、物料管理。

但是，RFID***与传统的Internet网络一样面临相似的问题，即安全问题。RFID***容易受到各种攻击，这主要是由于标签和阅读器之间的通信是通过电磁波的形式实现的，其过程中没有任何物理或者可视的接触，这种非接触和无线通信存在严重安全隐患。

公开号为CN 103218633B的专利文献公开了一种RFID安全认证方法，包括读写器、标签和后台数据库，这三者都分别存放着四种轻量级数据加密算法，每一种加密算法都有自己的密钥，其采用双密钥三重认证机制，分别采用公用密钥、随机私用密钥以及标签的ID来进行安全认证，标签存储四种轻量级安全算法作为算法库，每一次加密或者解密的时候都是从中随机选取一种，在一定程度上提高了认证安全性，但是读写器在整个认证过程中的角色较重要，每个标签ID在通信过程中是完整传输和存储的，一旦后台数据库、读写器或者在传输路径中受到敌方攻击、破坏或窃取，用户信息就容易被敌方获取，造成信息泄露。

综上，现有技术中RFID认证技术存在的问题如下：

1、RFID的ID可读，或者丢失后可能被拆解造成ID信息泄露，如果ID在多个门禁识别装置处被记录，则可以实现ID追踪，某些应用场景下属于严重的信息泄露

2、给RFID颁发对称密钥，由于对称密钥无法进行可靠的数字签名，因此对身份识别不利

3、给RFID颁发非对称密钥对，并用私钥进行数字签名，该方式由于验证数字签名时公钥需要公开，不能抵抗量子计算

4、给RFID颁发非对称密钥的私钥，并将公钥存于服务器，则可以抵抗量子计算，但由于服务器处的公钥由ID或类似ID的公钥指针随机数所识别，因此ID或公钥指针随机数必须公开，造成用户信息泄露。

发明内容

发明目的：为解决上述技术问题，本发明提供了一种基于秘密共享和在线离线签名的抗量子计算RFID认证方法和***，包括RFID标签、身份识别装置和服务器，在认证消息传递过程中，采用了抗量子计算的在线离线签名方式，ID不会在硬件装置或通信消息中被完整记录，敌方无法通过门禁识别装置或通信消息追踪ID得到用户隐私，安全性高。

技术方案：为实现上述技术目的，本发明采用了如下技术方案：

一种基于秘密共享和在线离线签名的抗量子计算RFID认证方法，其特征在于，包括若干RFID标签、身份识别装置和服务器，每个RFID标签具有惟一身份识别ID；

所述服务器将RFID标签的ID通过秘密共享得到第一影子秘密和第二影子秘密，其中第一影子秘密包括第一随机数和第一ID分量、第二影子秘密包括第二随机数和第二ID分量，第一影子秘密存储到RFID标签中，第一随机数和第二影子秘密存储到服务器中，并计算ID、第一ID分量、第二ID分量组合的哈希值作为RFID标签的假身份；

所述RFID标签和服务器之间的消息通过身份识别装置传送，由服务器向RFID标签发起挑战信息，收到RFID的应答消息后，服务器启动认证流程。

可选地，所述服务器内存储若干个RFID信息列表，即RFID标签的用户信息单元，每个用户信息单元包括对应的RFID标签的假身份、第一随机数、第二影子秘密和RFID标签的公钥；各个RFID标签的密钥卡内存有自身的假身份、第一影子秘密、RFID标签的私钥、临时公钥和临时私钥，所述私钥、临时公钥和临时私钥用于RFID标签对消息进行在线离线签名。

可选地，所述在线离线签名的生成方法为：采用RFID标签的临时公钥、临时私钥和私钥对消息进行签名，生成一个中间在线签名和最终得到的一个在线离线签名；

所述在线离线签名的验证方法为：服务器取出RFID标签的公钥，根据公钥计算得到新临时公钥及新中间在线签名；比较签名时生成的中间在线签名和验证签名时生成的新中间在线签名，若两者相等，则签名有效，验证通过；若不等则签名无效，验证失败。

可选地，包括如下认证步骤：

步骤1)、服务器向RFID标签发送挑战消息：生成第三随机数作为挑战消息；

步骤2)、RFID标签判断挑战消息是否有效：无效则返回步骤1)，有效则向服务器发送应答消息，应答消息中包括RFID标签的假身份和第一ID分量；

步骤3)、服务器对应答消息进行验证和处理，向其应答消息通过验证的RFID标签发送确认消息：确认消息中包括服务器生成的RFID标签的新第二ID分量；

步骤4)、RFID对接收到的确认消息进行验证和处理：验证失败，或没有收到确认消息，则认证失败；验证成功，表示RFID已被服务器认可，认证成功。

可选地，所述步骤2)的操作如下：

步骤2.1)、RFID标签从密钥卡中取出第一随机数，对第三随机数和第一随机数的组合、第一随机数和第三随机数的组合进行哈希运算，得到新第一随机数和新第二随机数，比较第一随机数、新第一随机数、新第二随机数，如果有二者相等，则挑战消息无效，返回步骤1)；如果任意二者不等，则挑战消息有效，向服务器发送应答消息；

步骤2.2)、RFID标签将假身份与第一ID分量的组合作为应答分消息一、将新第一随机数与新第二随机数的组合作为应答分消息二；采用临时公钥、临时私钥和私钥对应答分消息一和应答分消息二的组合进行在线离线签名，过程中得到中间在线签名，最终得到一个在线离线签名，过程中生成一个中间在线签名；RFID标签将应答分消息一和在线离线签名的组合作为总的应答消息发送给服务器。

可选地，所述步骤3)的操作如下：

步骤3.1)、服务器收到应答消息，解析应答分消息一得到假身份和第一ID分量，根据假身份搜索本地RFID信息列表中的假身份项，如找不到相同的假身份，则认证失败；如找到，取出假身份所在的RFID信息列表，包括假身份、第一随机数、第二影子秘密和公钥；

步骤3.2)、服务器根据第一随机数和第三随机数计算得到新第一随机数和新第二随机数，新第一随机数和新第二随机数的组合记为密钥；服务器根据公钥，对在线离线签名进行验证，根据公钥计算得到新临时公钥，进一步计算新中间在线签名；比较新中间在线签名和步骤2.2)中生成的中间在线签名，若两者相等，则签名有效，验证通过；若不等则签名无效，验证失败；

步骤3.4)、服务器根据第一影子秘密和第二影子秘密利用秘密共享理论恢复ID，结合新第一随机数和新第二随机数，计算得到新第一ID分量和新第二ID分量，将假身份和新第二ID分量的组合作为确认分消息一；

步骤3.5)、服务器生成一个真随机数作为新临时密钥，计算对应的新临时公钥，服务器将临时公钥和新临时公钥进行异或运算后的值、临时私钥和新临时密钥进行异或运算后的值的组合作为确认分消息二，将新临时公钥和新临时密钥的组合作为确认分消息二；

步骤3.6)、服务器采用步骤3.2)中获得的密钥对确认分消息一和确认分消息三进行计算，得到消息认证码，将消息认证码与确认分消息一、确认分消息二组成总的确认消息发送给RFID标签。

可选地，所述步骤4)的操作如下：

步骤4.1)、RFID标签解析确认消息得到消息确认分消息一、确认分消息二，将新第一随机数和新第二随机数的组合作为新密钥；

步骤4.2)、RFID标签根据第一影子秘密和新第二影子秘密，利用秘密共享理论来恢复ID；

步骤4.3)、RFID标签根据临时公钥、临时私钥结合确认分消息二进行异或运算得到新临时公钥、新临时密钥，将新临时公钥和新临时密钥的组合作为新确认分消息三；

步骤4.4)、RFID标签利用新密钥对确认分消息一、新确认分消息三进行计算，得到新消息认证码，与接收到的确认消息中的消息认证码进行对比认证；如验证失败，或没有收到确认消息，则认证失败；如验证成功则表明ID已被服务器认可，认证成功；

步骤4.5)、RFID认证成功后执行更新流程，RFID标签对ID、新第一ID分量、新第二ID分量的组合计算哈希值作为新假身份，将本地存储的假身份更新为新假身份，第一影子秘密更新为新第一影子秘密，临时公钥和临时私钥更新为新临时公钥和新临时密钥。

可选地，所述RFID配备具有数据处理能力的密钥卡，服务器配置随机数发生器或具有数据处理能力的密钥卡。

可选地，所述身份识别装置采用RFID读卡器。

可选地，所述***包括密钥管理服务器，所述密钥卡通过密钥管理服务器统一颁发。

有益效果：由于采用了上述技术方案，本发明具有益效果：

1)、本发明的RFID标签的ID不公开，且身份认证过程中ID不会在门禁识别装置处或通信消息中被记录，因此敌方无法通过门禁识别装置或通信消息追踪ID得到用户隐私。

2)、本发明中，ID没有存储于服务器硬件或者身份识别装置，因此单独对服务器硬件或者身份识别装置进行断电拆解无法获取ID，因此本发明对ID的秘密共享方式大大提高了真实ID的隐藏能力。

3)、本发明中，服务器只需要存储一个用户信息池，配合上抗量子签名算法，即可抵抗量子计算，而无需存储更大容量的对称密钥池并不断更换密钥来抵抗量子计算，从而降低了存储成本。

4)、本发明中，在认证消息传递过程中，将用户信息池中的秘密共享信息对数字签名进行改进，使得量子计算机无法得到数字签名的输入，从而无法通过数字签名破解非对称密钥，最终使得数字签名具有抗量子计算的效果。

5)、本发明中，RFID标签无需具有随机数生成模块，且不需要进行耗时的非对称密码学计算，大大降低了RFID标签的复杂度和成本。

附图说明

图1为图1为服务器和客户端密钥区结构示意图；

图2为实施例的认证流程示意图。

具体实施方式

本发明***结构如附图1所示。

1、***说明

本发明实现场景为在一个基于秘密共享体系下的RFID标签(RFID频射设备)进行认证的过程，RFID标签的认证包括RFID标签和服务器之间的认证，当RFID标签和服务器之间认证时，可以通过身份识别装置进行通信，身份识别装置可以包括但不限于RFID阅读器、RFID接收设备等，是一种传感装置。

RFID频射设备包含密钥卡(密钥卡的描述见下文)，可存储密钥，也具备处理信息的能力。服务器匹配有随机数发生器，或由上级管理服务器颁发的密钥卡。

身份识别装置为服务器可控制的识别装置，与服务器可安全通信。本发明的密钥体系中服务器具有用户信息池。

密钥卡的描述可见申请号为“201610843210.6”的发明。当为移动终端时，密钥卡优选为密钥SD卡；当为固定终端时，密钥卡优选为密钥USBkey或主机密钥板卡。

密钥卡从智能卡技术上发展而来，是结合了密码学技术、硬件安全隔离技术、量子物理学技术(搭载量子随机数发生器的情况下)的身份认证和加解密产品。密钥卡的内嵌芯片和操作***可以提供密钥的安全存储和密码算法等功能。由于其具有独立的数据处理能力和良好的安全性，密钥卡成为私钥和密钥池的安全载体。每一个密钥卡都有硬件PIN码保护，PIN码和硬件构成了用户使用密钥卡的两个必要因素。即所谓“双因子认证”，用户只有同时取得保存了相关认证信息的密钥卡和用户PIN码，才可以登录***。即使用户的PIN码被泄露，只要用户持有的密钥卡不被盗取，合法用户的身份就不会被仿冒；如果用户的密钥卡遗失，拾到者由于不知道用户PIN码，也无法仿冒合法用户的身份。总之，密钥卡使得密钥等绝密信息不以明文形式出现在主机的磁盘及内存中，从而能有效保证绝密信息的安全。

2、实施例

2.1、准备阶段

2.1.1、本实施例基于在线离线签名，密钥区内部存有公共参数{A，B，S，g，h}。其中A，B，S为三个整数，g为一个乘法群G上的生成元，h为哈希函数(本文所用在线离线签名方法来源于参考资料《On the Fly Authentication and Signature Schemes Based onGroups of Unknown Order》)。

2.1.2、本发明采用离散对数非对称密码学，设公私钥对为pk/sk，临时公私钥对为pkt/skt，则公私钥满足pk＝g^sk，临时公私钥满足pkt＝g^skt。

2.1.3、密钥区的用户信息单元具体内容如表1所示：

表1

RFID标签	服务器
		PID\|\|(x1，ID1)\|\|sk\|\|pkt\|\|skt	PID\|\|x1\|\|(x2，ID2)\|\|pk

由此可见，ID没有存储于服务器硬件或者RFID，因此单独对服务器硬件或者RFID进行断电拆解无法获取ID，因此本发明对ID的秘密共享方式大大提高了真实ID的隐藏能力。

2.1.4、服务器生成函数f(x)＝ID+RAND*x，RAND为随机数(不同ID，RAND也不同)。服务器随机生成x1/x2，计算得到ID1＝ID+RAND*x1和ID2＝ID+RAND*x2。即服务器对ID进行(2，2)的秘密共享，每个秘密为(x1，ID1)，(x2，ID2)。服务器凑齐2组秘密可以恢复ID，实现方式如下：

两组秘密求得拉格朗日参数λi＝∏j＝tj＝1，j≠i((-xj)/(xi-xj))。其中：

λ1＝(-x2)/(x1-x2)

λ2＝(-x1)/(x2-x1)

求得ID＝M*ID1+λ2*ID2＝(x1*ID2-x2*ID1)/(x1-x2)

RAND＝(ID2-ID1)/(x2-x1)

2.1.5、服务器计算得到假身份信息PID＝HASH(ID||ID1||ID2)。保存用户信息到本地用户信息池，具体为：PID||x1||(x2，ID2)||pk。

2.1.6、服务器将信息PID||(x1，ID1)||sk和pkt||skt以及其他参数信息颁发给RFID标签。

2.2、认证阶段

2.2.1、认证流程如图2所示。服务器根据匹配的随机数发生器生成真随机数x0，作为挑战消息通过身份识别装置发送给RFID标签。

2.2.2、RFID标签通过身份识别装置接收到服务器发送过来的消息x0，从用户信息单元中取出x1，并与x0进行哈希计算分别得到x1′和x2′，即x1′＝HASH(x1||x0)，x2′＝HASH(x0||x1)。

2.2.3、RFID标签将x1、x1′、x2′进行比较，如果任意二者相等，则返回错误消息并由服务器重新发起挑战消息。反之，进行下一步。

2.2.4、RFID标签将PID与ID1组成消息M1_0＝PID||ID1，将x1′与x2′组成消息M1_1＝x1′||x2′。

2.2.5、RFID标签利用临时公钥pkt对消息M10和M1_1进行数字签名得到c＝h(M1_0||M1_1，pkt)，y＝skt+c*sk，即SIGN(M1_0||M1_1，sk)＝(c，y)，SIGN(m，k)表示以m为消息、以k为密钥的在线离线数字签名。本发明把整个签名的运算过程分成离线签名和在线签名两个部分，所述在线离线签名是一种技术方案，把整个签名的运算过程分成离线签名和在线签名两个部分：其中在线部分签名计算为c＝h(m，x)，y＝r+c*x，离线部分计算则是x＝g^r，其中，由于pk/pkt均未公开且签名的对象(M1_0||M1_1)无法被敌方所知，因此敌方无法通过签名破解签名私钥。

2.2.6、RFID标签将该消息与M1_0组成应答消息M1＝M1_0||SIGN(M1_0||M1_1，sk)发送给身份识别装置。

2.2.7、服务器通过身份识别装置获取到消息M1，从M1_0解析得到PID||ID1。根据PID搜索本地RFID信息列表中的PID项，如找不到PID，则认证失败。反之，取出PID所在的用户信息条目，包括PID||x1||(x2，ID2)||pk，进行下一步。

2.2.8、服务器根据x1和x0计算得到x1′＝HASH(x1||x0)和x2′＝HASH(x0||x1)。组合出MK＝x1′||x2′。

2.2.9、服务器取出公钥pk对消息SIGN(M1_0||M1_1，sk)进行验证。验证流程：计算pkt′＝(g^y)/(pk^c)，c＇＝h(m，pkt′)；若c′等于c，则签名有效，否则无效。验证失败则流程结束，验证通过则进行下一步骤。

2.2.10、服务器根据(x1，ID1)和(x2，ID2)利用秘密共享理论来恢复ID和RAND，即通过(x1，ID1)和(x2，ID2)这两组秘密计算出f(x)函数，再根据f(x)函数计算得到ID1＇＝f(x1′)和ID2′＝f(x2′)。

2.2.11、服务器生成一个真随机数skt′并计算得到pkt′＝g^skt′

2.2.12、服务器令M2_0＝PID||ID2′，并将pkt、pkt′、skt、skt′进行异或运算后组成消息

M2_2＝pkt′||skt′。利用MK对M2_0||M2_2进行加密得到消息认证码MAC(M2_0||M2_2，MK)，并与M2_0||M2_1组成确认消息M2＝M2_0||M2_1||MAC(M2_0||M2_2，MK)发送给RFID标签。MAC(m，k)表示以m为消息、以k为密钥的消息认证码。其中，由于消息认证码的消息MAC(M2_0||M2_2)和密钥(MK)无法被敌方所知，因此敌方无法伪造消息认证码。

2.3、更新阶段

2.3.1、服务器计算PID′＝HASH(ID||ID1′||ID2′)。

2.3.2、服务器将PID更新为PID′，x1更新为x1′，(x2，ID2)更新为(x2′，ID2′)。

2.3.3、服务器将确认消息M2发给RFID标签。

2.3.4、RFID标签解析消息M2得到消息M2_0′、M2_1′，即将解析获得的M2_0和M2_1分别作为M2_0′、M2_1′，并令MK＇＝x1′||x2′。

2.3.5、RFID标签根据(x1，ID1)和(x2′，ID2′)利用秘密共享理论来恢复ID和RAND，即通过(x1，ID1)和(x2′，ID2′)这两组秘密计算出f(x)函数，再根据f(x)函数计算得到ID1′＝f(x1′)

2.3.6、RFID标签根据pkt/skt结合消息M2_1′进行异或运算得到pkt′、skt′，并组成消息M2_2′＝pkt′||skt′。

2.3.7、RFID标签利用MK′生成认证码MAC(M2_0′||M2_2′，MK′)。

MAC(M2_0′||M2_2′，MK′)和MAC(M2_0||M2_2，MK)进行对比认证。如验证失败，或没有收到确认消息，则认证失败。身份识别装置报警以提示需要人工处理。人工处理的方式可以包括但不限于为认证失败的RFID标签重新颁发PID||(x1，ID1)||sk||pkt||skt。如验证成功则表明ID已被服务器认可，认证成功。

2.3.8、RFID标签计算PID′＝HASH(ID||ID1′||ID2′)。

2.3.9、RFID标签将PID更新为PID’，(x1，ID1)更新为(x1′，ID1′)。

2.3.10、RFID标签将临时密钥对pkt和skt更新为pkt′和skt′。

以上所述仅是本发明的优选实施方式，应当指出：对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims

1.一种基于秘密共享和在线离线签名的抗量子计算RFID认证方法，其特征在于，包括若干RFID标签、身份识别装置和服务器，每个RFID标签具有惟一身份识别ID；

2.根据权利要求1所述的基于秘密共享和在线离线签名的抗量子计算RFID认证方法，其特征在于，所述服务器内存储若干个RFID信息列表，即RFID标签的用户信息单元，每个用户信息单元包括对应的RFID标签的假身份、第一随机数、第二影子秘密和RFID标签的公钥；各个RFID标签的密钥卡内存有自身的假身份、第一影子秘密、RFID标签的私钥、临时公钥和临时私钥，所述私钥、临时公钥和临时私钥用于RFID标签对消息进行在线离线签名。

3.根据权利要求2所述的基于秘密共享和在线离线签名的抗量子计算RFID认证方法，其特征在于，所述在线离线签名的生成方法为：采用RFID标签的临时公钥、临时私钥和私钥对消息进行签名，生成一个中间在线签名和最终得到的一个在线离线签名；

4.根据权利要求2所述的基于秘密共享和在线离线签名的抗量子计算RFID认证方法，其特征在于，包括如下认证步骤：

5.根据权利要求4所述的基于秘密共享和在线离线签名的抗量子计算RFID认证方法，其特征在于，所述步骤2)的操作如下：

6.根据权利要求5所述的基于秘密共享和在线离线签名的抗量子计算RFID认证方法，其特征在于，所述步骤3)的操作如下：

步骤3.5)、服务器生成一个真随机数作为新临时密钥，计算对应的新临时公钥，服务器将临时公钥和新临时公钥进行异或运算后的值、临时私钥和新临时密钥进行异或运算后的值的组合作为确认分消息二，将新临时公钥和新临时密钥的组合作为确认分消息三；

7.根据权利要求5所述的基于秘密共享和在线离线签名的抗量子计算RFID认证方法，其特征在于，所述步骤4)的操作如下：

8.一种用于实现权利要求1-7任一所述的基于秘密共享和在线离线签名的抗量子计算RFID认证方法的***，其特征在于：所述RFID配备具有数据处理能力的密钥卡，服务器配置随机数发生器或具有数据处理能力的密钥卡。

9.根据权利要求8所述的基于秘密共享和在线离线签名的抗量子计算RFID认证***，其特征在于：所述身份识别装置采用RFID读卡器。

10.根据权利要求8所述的基于秘密共享和在线离线签名的抗量子计算RFID认证***，其特征在于：所述***包括密钥管理服务器，所述密钥卡通过密钥管理服务器统一颁发。