CN114205082B - 一种读写器与电子标签的双向身份认证方法及设备 - Google Patents

一种读写器与电子标签的双向身份认证方法及设备 Download PDF

Info

Publication number
CN114205082B
CN114205082B CN202111501201.6A CN202111501201A CN114205082B CN 114205082 B CN114205082 B CN 114205082B CN 202111501201 A CN202111501201 A CN 202111501201A CN 114205082 B CN114205082 B CN 114205082B
Authority
CN
China
Prior art keywords
key
electronic tag
reader
writer
kec
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111501201.6A
Other languages
English (en)
Other versions
CN114205082A (zh
Inventor
秦蕾
叶青
李杨
张帆
姜志祥
陈玺
李旭
冯烽
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Institute of Computer Technology and Applications
Original Assignee
Beijing Institute of Computer Technology and Applications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Institute of Computer Technology and Applications filed Critical Beijing Institute of Computer Technology and Applications
Priority to CN202111501201.6A priority Critical patent/CN114205082B/zh
Publication of CN114205082A publication Critical patent/CN114205082A/zh
Application granted granted Critical
Publication of CN114205082B publication Critical patent/CN114205082B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K17/00Methods or arrangements for effecting co-operative working between equipments covered by two or more of main groups G06K1/00 - G06K15/00, e.g. automatic card files incorporating conveying and reading operations
    • G06K17/0022Methods or arrangements for effecting co-operative working between equipments covered by two or more of main groups G06K1/00 - G06K15/00, e.g. automatic card files incorporating conveying and reading operations arrangements or provisious for transferring data to distant stations, e.g. from a sensing device
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Power Engineering (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本说明书实施例公开了一种读写器与电子标签的双向身份认证方法及设备,包括:读写器生成公私钥对,利用证书授权中心(CA)进行证书发布;密钥管理中心(KMC)利用标识密码算法生成电子标签的公私钥对,将其托管到密钥托管中心(KEC)存储;密钥管理中心(KMC)生成所述电子标签的加解密密钥,并将其存放至密钥托管中心(KEC);密钥托管中心(KEC)基于身份标识算法,代替电子标签完成与读写器的双向身份认证。本发明利用密钥托管中心KEC代替计算和存储能力有限的电子标签实现与计算资源相对丰富的读写器进行双向身份认证,保证了通信双方的身份可信度。

Description

一种读写器与电子标签的双向身份认证方法及设备
技术领域
本申请涉及无线通信技术领域,尤其涉及一种读写器与电子标签的双向身份认证方法及设备。
背景技术
在高安全等级网络的超高频射频识别采集应用场景中,尤其是跨域环境下的应用,最具有挑战性的是如何实现计算能力严重不对称的读写器与电子标签之间的双向身份鉴别,从而确保合法的读写器读写合法的电子标签。
由于超高频无源电子标签芯片存储和运算能力的局限性,传统的基于非对称密码算法的身份鉴别协议(包括公钥证书或者身份标识证书算法)无法在标签上完成运算。尽管目前有厂商提出采用对称密码算法的超高频无源电子标签芯片可以通过预共享密钥的方式实现读写器与标签之间的身份鉴别和数据保护,但这种芯片并未普及,且预共享密钥方式面临跨部门跨域密钥互通的管理挑战。
因此,高安全等级网络的超高频射频识别采集应用场景,尤其是跨域环境迫切需要一种安全可靠的认证算法,实现读写器与海量电子标签间的双向身份认证。
发明内容
有鉴于此,本申请实施例提供了一种读写器与电子标签的双向身份认证方法及设备,用于解决物联网读写器与海量电子标签之间的双向身份认证问题。
为解决上述技术问题,本说明书实施例是这样实现的:
一方面,本说明书实施例提供的一种读写器与电子标签的双向身份认证方法,包括:
读写器生成公私钥对,利用证书授权中心(CA)进行证书发布;
密钥管理中心(KMC)利用标识密码算法生成电子标签的公私钥对,将其托管到密钥托管中心(KEC)存储;
密钥管理中心(KMC)生成所述电子标签的加解密密钥,并将其存放至密钥托管中心(KEC);
密钥托管中心(KEC)基于身份标识算法,代替电子标签完成与读写器的双向身份认证。
可选的,基于PKI及IBC两种证书生成算法,生成读写器公钥证书和电子标签身份标识证书。
可选的,读写器生成公私钥对,利用证书授权中心(CA)进行证书发布,具体包括:
读写器在本地生成一个公私密钥对,并向证书授权中心(CA)或者数字证书注册中心(RA)提交证书申请;
所述证书授权中心(CA)对所述证书申请进行审核检查,检查无误后对证书进行签署和发布。
可选的,密钥管理中心(KMC)利用标识密码算法生成电子标签的公私钥对,具体包括:
密钥管理中心(KMC)利用标识密码算法将电子标签的唯一标签识别号TID作为所述电子标签的公钥,并生成与之对应的私钥。
可选的,密钥管理中心(KMC)生成所述电子标签的加解密密钥,具体包括:
密钥管理中心(KMC)建立对称密钥体系的根密钥,利用所述电子标签的TID进行对称密钥的逐级分散,利用HMAC进行密钥的保密性和完整性保护。
可选的,在密钥管理中心(KMC)生成所述电子标签的加解密密钥,并将其存放至密钥托管中心(KEC)之前,所述方法还包括:
RFID制卡终端在本地利用非对称算法生成公私钥对,利用证书授权中心(CA)进行证书发布;
制卡终端读取电子标签的TID信息,并将制卡数据利用对称算法加密后,以密文形式写入电子标签的存储区;
制卡终端将读取到的电子标签的TID标识发给密钥管理中心(KMC)。
可选的,密钥托管中心(KEC)基于身份标识算法,代替电子标签完成与读写器的双向身份认证,具体包括:
密钥托管中心(KEC)和读写器之间利用标识密码算法公钥算法,获取彼此的公钥证书,验证证书签名的有效性、验证证书的有效期、提取证书公钥、采用挑战/应答模式的认证协议验证双方身份;
密钥托管中心(KEC)和读写器根据预先协商的验签算法,产生随机数,密钥托管中心(KEC)利用电子标签的私钥进行数字签名;
所述读写器根据证书标识和发行方公共参数进行运算,得到验证结果。
可选的,密钥托管中心(KEC)基于身份标识算法,代替电子标签完成与读写器的双向身份认证,具体包括:
读写器读取电子标签的TID和存储的标签数据密文;
读写器发送电子标签的TID,向密钥托管中心(KEC)要求验证电子标签的身份;
密钥托管中心(KEC)和读写器基于身份标识算法进行验证,密钥托管中心用电子标签的私钥进行签名,读写器利用TID进行身份验证;
密钥托管中心(KEC)和读写器基于PKI公钥算法进行验证;
密钥托管中心(KEC)和读写器双方协商会话密钥,读写器向(KEC)发送从所述电子标签读取到的密文数据,(KEC)利用所述电子标签的对称密钥解密后将数据发回给读写器。
可选的,所述密钥托管中心(KEC)和读写器基于PKI公钥算法进行验证,具体包括:
密钥托管中心(KEC)代替电子标签验证读写器的身份,双方基于公钥算法进行验证,读写器用私钥签名,密钥托管中心(KEC)利用公钥进行验证,确定读写器的身份。
另一方面,本说明书实施例提供的一种读写器与电子标签的双向身份认证设备,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够:
读写器生成公私钥对,利用证书授权中心(CA)进行证书发布;
密钥管理中心(KMC)利用标识密码算法生成电子标签的公私钥对,将其托管到密钥托管中心(KEC)存储;
密钥管理中心(KMC)生成所述电子标签的加解密密钥,并将其存放至密钥托管中心(KEC);
密钥托管中心(KEC)基于身份标识算法,代替电子标签完成与读写器的双向身份认证。
本说明书实施例采用的上述至少一个技术方案能够达到以下有益效果:
1、利用密钥托管中心KEC代替计算和存储能力有限的电子标签实现与计算资源相对丰富的读写器进行双向身份认证,保证了通信双方的身份可信度。
2、基于电子标签具有全球唯一TID这一特性,采用标识密钥算法为电子标签生成身份证书,实现对电子标签的身份认证。
3、本方法解决了采用预共享密钥认证方式面临的密钥泄露问题,以及跨域环境下的密钥协商、分发、管理等问题,在大规模物联网应用场景中身份识别环节将发挥重要作用。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为实施例一提供的一种读写器与电子标签的双向身份认证方法的流程示意图;
图2为实施例二提供的一种读写器与电子标签的双向身份认证方法的流程示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本发明涉及的英文缩写的英文全称和中文解释如下:
TID(Tag identifier):标签识别号
PKI(Public Key Infrastructure):公钥基础设施
IBC(Identity-Based Cryptograph):标识密码
CA(CertificateAuthority):证书授权中心
KMC(Key Management Center):密钥管理中心
KEC(Key Escrow Center):密钥托管中心
SK(Session Key):会话密钥
以下结合附图,详细说明本申请各实施例提供的技术方案。
实施例一
图1为实施例一提供的一种读写器与电子标签的双向身份认证方法的流程示意图。从程序角度而言,流程的执行主体可以为搭载于应用服务器的程序或应用客户端。
如图1所示,该流程可以包括以下步骤:
步骤102:读写器生成公私钥对,利用证书授权中心(CA)进行证书发布;
步骤104:密钥管理中心(KMC)利用标识密码算法生成电子标签的公私钥对,将其托管到密钥托管中心(KEC)存储;
步骤106:密钥管理中心(KMC)生成所述电子标签的加解密密钥,并将其存放至密钥托管中心(KEC);
步骤108:密钥托管中心(KEC)基于身份标识算法,代替电子标签完成与读写器的双向身份认证。
具体的,所述方法包括以下步骤:
(1)读写器生成公钥证书。读写器生成对应的公私钥对,并利用证书授权中心CA进行证书发布。
(2)电子标签加解密密钥托管。密钥管理中心KMC生成电子标签数据的加解密密钥,并将其存放至密钥托管中心KEC,实现整个***的密钥统一安全管理。
(3)建立及托管电子标签身份标识证书。密钥管理中心KMC利用标识密码算法,将超高频无源电子标签的唯一标签识别号TID作为该电子标签的公钥,生成与之对应的私钥,并将其安全地托管到密钥托管中心KEC存储。
(4)密钥托管中心KEC和读写器之间双向身份认证。密钥托管中心KEC和读写器利用双方协商好的公钥算法完成双向身份认证。
(5)读写器与电子标签间完成双向身份认证。读写器通过与电子标签交互,获得电子标签的TID及其存储的加密数据后,将待验证的电子标签的身份证书发送给密钥托管中心KEC,由密钥托管中心KEC代替电子标签完成与读写器的双向身份认证。
(6)电子标签数据解密后发送给读写器。密钥托管中心KEC利用存储的电子标签解密密钥将读写器发送来的电子标签加密数据解密后将返回给读写器。
本方法在实现跨域环境下读写器与海量电子标签间的双向身份认证时,利用密钥托管中心KEC代替计算和存储能力有限的电子标签实现与计算资源相对丰富的读写器进行双向身份认证,保证了通信双方的身份可信度;基于电子标签具有全球唯一TID这一特性,采用标识密钥算法为电子标签生成身份证书,实现对电子标签的身份认证。同时,本方法解决了采用预共享密钥认证方式面临的密钥泄露问题,以及跨域环境下的密钥协商、分发、管理等问题,在大规模物联网应用场景中身份识别环节将发挥重要作用。
实施例二
图2为实施例二提供的一种读写器与电子标签的双向身份认证方法的流程示意图。如图2所示,该方法包括:
(1)读写器生成公钥证书。
读写器生成对应的公私钥对,并利用证书授权中心(CA)进行证书发布。在具体实施时,可以采用常规的证书生成及发布方式。包括读写器在本地生成一个公私密钥对、向(CA)或者数字证书注册中心(RA)提交证书申请、(CA)对证书进行审核检查、对证书进行签署和发布等各个环节。
(2)电子标签加解密密钥托管。
密钥管理中心(KMC)生成电子标签数据的加解密密钥,并将其存放至密钥托管中心(KEC),实现整个***的密钥统一安全管理。在具体实施时,可以按照常规的密钥生成算法生成电子标签的加解密密钥,包括(KMC)建立对称密钥体系的根密钥,利用标签的TID进行对称密钥的逐级分散,利用HMAC进行密钥的保密性和完整性保护等。
(3)电子标签数据写入。
制卡终端读取电子标签的TID信息,并将制卡数据利用对称算法加密后,以密文形式写入电子标签的存储区。在具体实施时,制卡终端与电子标签遵照超高频空口协议指令,完成信息和数据交互过程;制卡终端根据密钥分散算法,利用密钥管理中心(KMC)发送的分散密钥以及电子标签的TID,计算所述电子标签的加密密钥;制卡终端利用电子标签的加密密钥,通过对称加密算法将数据加密后写入电子标签的数据存储区。
(4)电子标签身份信息传输。
制卡终端将读取到的电子标签的TID标识发给密钥管理中心(KMC)。在具体实施时,可以按照常规的数据通信协议进行。
(5)建立电子标签的身份标识证书。
密钥管理中心(KMC)利用标识密码算法,将超高频无源电子标签的唯一标签识别号TID作为该电子标签的公钥,生成标签对应的私钥,并将其安全地托管到密钥托管中心(KEC)存储。在具体实施时,可以按照常规的方式生成及分发电子标签的身份标识证书,包括(KMC)利用电子标签的TID号作为用户身份标识信息申请标识证书;(KMC)生成与电子标签身份信息匹配的用户私有密钥;利用证书管理***响应、生成及签发包含所述电子标签公开密钥和用户私有密钥信息的身份标识证书,并将所述身份标识证书发放给密钥托管中心(KEC)存储。
(6)读写器获取电子标签身份信息和存储数据。
读写器读取电子标签的TID标识和存储的标签数据密文。在具体实施时,读写器与电子标签遵照超高频空口协议指令,完成信息和数据交互过程。
(7)读写器要求验证电子标签的身份。
读写器发送电子标签的TID,向密钥托管中心(KEC)要求验证电子标签的身份。在具体实施时,读写器按照常规的数据通信协议,将待验证的电子标签的TID信息作为所述电子标签的身份标识证书的公钥,发送给密钥托管中心(KEC)。
(8)密钥托管中心(KEC)代替电子标签进行身份认证。
密钥托管中心(KEC)和读写器基于身份标识算法进行验证,(KEC)用电子标签的私钥进行签名,读写器用其TID进行身份验证。在具体实施时,可以按照常规的身份标识证书验证方式,由密钥托管中心(KEC)代替电子标签完成与读写器的双向身份认证,包括密钥托管中心(KEC)和读写器根据预先协商的验签算法,产生随机数,密钥托管中心(KEC)利用电子标签的私钥进行数字签名;读写器凭证书标识和发行方公共参数进行运算,得到验证结果;验证通过后,密钥托管中心(KEC)与读写器协商后续操作的会话密钥SK;读写器将获得的电子标签加密数据安全发送给密钥托管中心(KEC)。
(9)密钥托管中心(KEC)代替电子标签验证读写器的身份。
密钥托管中心(KEC)和读写器基于PKI公钥算法进行验证。在具体实施时,可以按照常规的公钥证书验证方式,完成密钥托管中心(KEC)和读写器之间的双向身份认证,包括协商认证算法,获取彼此的公钥证书,验证证书签名的有效性、验证证书的有效期、提取证书公钥、采用挑战/应答模式的认证协议验证双方身份等。
(10)密钥托管中心(KEC)将电子标签的加密数据解密后将返回给读写器。
密钥托管中心(KEC)和读写器双方协商会话密钥SK,读写器向(KEC)发送从所述电子标签读取到的密文数据,(KEC)利用所述电子标签的对称密钥解密后将数据发回给读写器。在具体实施时,可以按照常规的密钥分发方式进行,包括密钥托管中心(KEC)利用步骤2中获得的电子标签加解密密钥,对从步骤7中获得的电子标签加密数据进行解密,并通过步骤8中协商的会话密钥SK,将解密后的电子标签数据安全传送给读写器。
实施例三
实施例三提供了一种读写器与电子标签的双向身份认证设备,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够:
读写器生成公私钥对,利用证书授权中心(CA)进行证书发布;
密钥管理中心(KMC)利用标识密码算法生成电子标签的公私钥对,将其托管到密钥托管中心(KEC)存储;
密钥管理中心(KMC)生成所述电子标签的加解密密钥,并将其存放至密钥托管中心(KEC);
密钥托管中心(KEC)基于身份标识算法,代替电子标签完成与读写器的双向身份认证。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于***实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。

Claims (2)

1.一种读写器与电子标签的双向身份认证方法,其特征在于,包括:
读写器生成公私钥对,利用证书授权中心(CA)进行证书发布;
密钥管理中心(KMC)利用标识密码算法生成电子标签的公私钥对,将其托管到密钥托管中心(KEC)存储;
密钥管理中心(KMC)生成所述电子标签的加解密密钥,并将其存放至密钥托管中心(KEC);
密钥托管中心(KEC)基于身份标识算法,代替电子标签完成与读写器的双向身份认证;
基于PKI生成读写器公钥证书,基于标识密码算法(IBC)生成电子标签身份标识证书;
读写器生成公私钥对,利用证书授权中心(CA)进行证书发布,具体包括:
读写器在本地生成一个公私密钥对,并向证书授权中心(CA)或者数字证书注册中心(RA)提交证书申请;
所述证书授权中心(CA)对所述证书申请进行审核检查,检查无误后对证书进行签署和发布;
密钥管理中心(KMC)利用标识密码算法生成电子标签的公私钥对,具体包括:
密钥管理中心(KMC)利用标识密码算法将电子标签的唯一标签识别号TID作为所述电子标签的公钥,并生成与之对应的私钥;
密钥管理中心(KMC)生成所述电子标签的加解密密钥,具体包括:
密钥管理中心(KMC)自身生成一个对称密钥体系的密钥Kroot,作为整个***的根密钥,密钥管理中心(KMC)利用根密钥加密所述电子标签的TID,加密结果就是所述电子标签的加解密密钥,密钥管理中心(KMC)利用HMAC方法和根密钥,计算所述电子标签的加解密密钥的散列值(又称为哈希值),对所述电子标签的加解密密钥进行完整性保护;
在密钥管理中心(KMC)生成所述电子标签的加解密密钥,并将其存放至密钥托管中心(KEC)之前,所述方法还包括:
RFID制卡终端在本地利用非对称算法生成公私钥对,利用证书授权中心(CA)进行证书发布;
制卡终端读取电子标签的TID信息,并将制卡数据利用对称算法加密后,以密文形式写入电子标签的存储区;
制卡终端将读取到的电子标签的TID标识发给密钥管理中心(KMC);
密钥托管中心(KEC)基于身份标识算法,代替电子标签完成与读写器的双向身份认证,具体包括:
密钥托管中心(KEC)和读写器之间利用标识密码算法公钥算法,获取彼此的公钥证书,验证证书签名的有效性、验证证书的有效期、提取证书公钥、采用挑战应答模式的认证协议验证双方身份;
密钥托管中心(KEC)和读写器根据预先协商的验签算法,产生随机数,密钥托管中心(KEC)利用电子标签的私钥进行数字签名;
所述读写器根据证书标识和发行方公共参数进行运算,得到验证结果;
密钥托管中心(KEC)基于身份标识算法,代替电子标签完成与读写器的双向身份认证,具体包括:
读写器读取电子标签的TID和存储的标签数据密文;
读写器发送电子标签的TID,向密钥托管中心(KEC)要求验证电子标签的身份;
密钥托管中心(KEC)和读写器基于身份标识算法进行验证,密钥托管中心用电子标签的私钥对电子标签进行签名,读写器利用TID进行身份验证;
密钥托管中心(KEC)和读写器基于PKI公钥算法进行验证;
密钥托管中心(KEC)和读写器双方协商会话密钥,读写器向(KEC)发送从所述电子标签读取到的密文数据,KEC利用所述电子标签的对称密钥解密后将数据发回给读写器;
密钥托管中心(KEC)和读写器基于PKI公钥算法进行验证,具体包括:
密钥托管中心(KEC)代替电子标签验证读写器的身份,双方基于公钥算法进行验证,读写器用私钥对读写器进行签名,密钥托管中心(KEC)利用公钥进行验证,确定读写器的身份。
2.一种应用如权利要求1所述的读写器与电子标签的双向身份认证方法的设备,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够:
读写器生成公私钥对,利用证书授权中心(CA)进行证书发布;
密钥管理中心(KMC)利用标识密码算法生成电子标签的公私钥对,将其托管到密钥托管中心(KEC)存储;
密钥管理中心(KMC)生成所述电子标签的加解密密钥,并将其存放至密钥托管中心(KEC);
密钥托管中心(KEC)基于身份标识算法,代替电子标签完成与读写器的双向身份认证。
CN202111501201.6A 2021-12-09 2021-12-09 一种读写器与电子标签的双向身份认证方法及设备 Active CN114205082B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111501201.6A CN114205082B (zh) 2021-12-09 2021-12-09 一种读写器与电子标签的双向身份认证方法及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111501201.6A CN114205082B (zh) 2021-12-09 2021-12-09 一种读写器与电子标签的双向身份认证方法及设备

Publications (2)

Publication Number Publication Date
CN114205082A CN114205082A (zh) 2022-03-18
CN114205082B true CN114205082B (zh) 2024-01-26

Family

ID=80651781

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111501201.6A Active CN114205082B (zh) 2021-12-09 2021-12-09 一种读写器与电子标签的双向身份认证方法及设备

Country Status (1)

Country Link
CN (1) CN114205082B (zh)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1949250A (zh) * 2006-07-10 2007-04-18 王耀 利用移动通讯设备识别电子标签的***及方法
CN101814991A (zh) * 2010-03-12 2010-08-25 西安西电捷通无线网络通信股份有限公司 基于身份的双向认证方法及***
KR20110074441A (ko) * 2009-12-24 2011-06-30 삼성테크윈 주식회사 Rfid 시스템에서 태그와 리더간 상호 인증 방법
CN102646203A (zh) * 2012-02-29 2012-08-22 电子科技大学 一种rfid数据传输与认证***及方法
CN103078744A (zh) * 2013-01-25 2013-05-01 西安电子科技大学 基于公钥的射频识别双向认证方法
CN104113414A (zh) * 2014-06-10 2014-10-22 电子科技大学 一种不可追踪的rfid标签认证方法
CN106992861A (zh) * 2017-05-24 2017-07-28 广东工业大学 一种带有epc标签的rfid密钥无线生成方法及***
CN108600230A (zh) * 2018-04-26 2018-09-28 深圳市盛路物联通讯技术有限公司 一种射频识别方法及***

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200059363A1 (en) * 2018-08-17 2020-02-20 Walmart Apollo, Llc Systems and methods of authenticating items

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1949250A (zh) * 2006-07-10 2007-04-18 王耀 利用移动通讯设备识别电子标签的***及方法
KR20110074441A (ko) * 2009-12-24 2011-06-30 삼성테크윈 주식회사 Rfid 시스템에서 태그와 리더간 상호 인증 방법
CN101814991A (zh) * 2010-03-12 2010-08-25 西安西电捷通无线网络通信股份有限公司 基于身份的双向认证方法及***
CN102646203A (zh) * 2012-02-29 2012-08-22 电子科技大学 一种rfid数据传输与认证***及方法
CN103078744A (zh) * 2013-01-25 2013-05-01 西安电子科技大学 基于公钥的射频识别双向认证方法
CN104113414A (zh) * 2014-06-10 2014-10-22 电子科技大学 一种不可追踪的rfid标签认证方法
CN106992861A (zh) * 2017-05-24 2017-07-28 广东工业大学 一种带有epc标签的rfid密钥无线生成方法及***
CN108600230A (zh) * 2018-04-26 2018-09-28 深圳市盛路物联通讯技术有限公司 一种射频识别方法及***

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于PKI和CPK的RFID***混合密钥管理机制研究;张兵;秦志光;万国根;;电子科技大学学报(03);全文 *

Also Published As

Publication number Publication date
CN114205082A (zh) 2022-03-18

Similar Documents

Publication Publication Date Title
US10516538B2 (en) System and method for digitally signing documents using biometric data in a blockchain or PKI
CN110380852B (zh) 双向认证方法及通信***
EP3318043B1 (en) Mutual authentication of confidential communication
KR20190073472A (ko) 데이터 송신 방법, 장치 및 시스템
CN101212293B (zh) 一种身份认证方法及***
CN106789042B (zh) Ibc域内的用户访问pki域内的资源的认证密钥协商方法
CN103546289B (zh) 一种基于USBKey的安全传输数据的方法及***
JP7292263B2 (ja) デジタル証明書を管理するための方法および装置
US8806206B2 (en) Cooperation method and system of hardware secure units, and application device
US11228450B2 (en) Method and apparatus for performing multi-party secure computing based-on issuing certificate
CN105049434B (zh) 一种对等网络环境下的身份认证方法与加密通信方法
US10887110B2 (en) Method for digital signing with multiple devices operating multiparty computation with a split key
CN101090316A (zh) 离线状态下存储卡与终端设备之间的身份认证方法
US20160226837A1 (en) Server for authenticating smart chip and method thereof
US11070537B2 (en) Stateless method for securing and authenticating a telecommunication
CN103905388A (zh) 一种认证方法、认证装置、智能卡、服务器
CN114143117A (zh) 数据处理方法及设备
CN114331456A (zh) 一种通信方法、装置、***以及可读存储介质
CN105812130B (zh) Rfid所有权转移方法
KR100456624B1 (ko) 이동 통신망에서의 인증 및 키 합의 방법
CN114205082B (zh) 一种读写器与电子标签的双向身份认证方法及设备
CN114553426B (zh) 签名验证方法、密钥管理平台、安全终端及电子设备
EP3185504A1 (en) Security management system for securing a communication between a remote server and an electronic device
JP2011250335A (ja) 効率的相互認証方法,プログラム,及び装置
Surya et al. Single sign on mechanism using attribute based encryption in distributed computer networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant