用于在射频识别标签和读取设备之间进行安全通信的方法和系统技术方案

本发明专利技术涉及一种用于在RFID标签和读取设备之间经过空气接口进行安全通信的方法和系统以及相应的RFID标签和相应的读取设备。本发明专利技术从如下基本思路出发，即，为了在RFID标签和读取设备之间进行安全通信，使用Rabin方法的修改，其中在对明文M(RFID标签的或与之关联的对象的识别元素进入所述明文中)加密的范围内，RFID标签不是计算明文M的平方模n，即，M2 mod n，而是计算明文M的平方关于蒙哥马利基数R模n的蒙哥马利缩减(“Montgomery reduction”)，即，C*＝M2 R-1 mod n，并且从中得到的密文C*被用于验证RFID标签。在此模数n＝p·q是读取设备的公钥，其中质数p、q是读取设备的私钥并且蒙哥马利基数R是大于模数n的整数。

【技术实现步骤摘要】
【国外来华专利技术】用于在射频识别标签和读取设备之间进行安全通信的方法和系统
本专利技术涉及用于在RFID标签和读取设备之间经过空气接口进行安全通信的方法和系统以及相应的RFID标签和相应的读取设备。
技术介绍
RFID技术(“radiofrequencyidentification，射频识别”)特别地使得可以自动识别人和对象并且在许多应用中被广泛使用，诸如在供应链管理、接入控制系统、用于货物防窃的系统、电子票等中。RFID通常由以RFID标签形式的便携式数据载体(也称为收发机)，以及用于无接触读取RFID标签的识别码的读取设备组成，所述便携式数据载体是人所携带的或在对象上安装的并且在所述便携式数据载体中存储了唯一地识别RFID标签和/或对象的识别码(专业人员也称为唯一ID(UID)、标签ID(TID)或“物品唯一标识符(UII)”)。在此读取设备通常是在不同的位置安装的并且经过后台系统能够访问在那里存储的、多个RFID标签的数据的多个读取设备中的仅一个读取设备。特别地对于物流应用和对于供应链管理设置的低成本的RFID标签，其通常是从读取设备的电磁场中获得对于运行所需的能量的无源RFID标签，通常不提供密码功能，从而RFID标签相对于读取设备的验证在这样的RFID标签的情况下是不可能的。例如在UHF-RFID标签的情况下就是这样，其对于专业人员来说以名称Class-1Gen-2EPC标签，即，按照标准EPCClass-1Generation2或更新的标准ISO/IEC18000-63构造的RFID标签公知。如专业人员所公知的，术语“Class-1Gen-2EPC标签”也包括按照标准ISO/IEC18000-63的标签。在这样的RFID标签中将唯一的识别码称为EPC(“ElectronicProductCode，产品电子代码”)，其通常是由96个比特组成的、其中存储了各自的RFID标签的比特序列。EPC在RFID标签的读取过程中以没有验证的明文形式被传输到读取设备并且由此既可以主动地通过未授权的第三方的读取设备也可以被动地被截取，这通过由第三方窃取在RFID标签和读取设备之间的未受保护的通信通道，即，空气接口来实现。这导致两个潜在问题，即，一个是导致，RFID标签的存在和位置可以被未授权的第三方采集并且跟踪，这也被称为RFID标签跟踪，并且另一个导致，第三方可以在新的、伪造的RFID标签中复制所读取的EPC并且由此可以将新的、伪造的RFID标签作为从中已经初始地读出了EPC的标签输出，这也称为RFID标签的克隆。为了保护在RFID标签和读取设备之间的通信，提供密码方法，所述方法一方面允许在RFID标签和读取设备之间单方面或双方面的验证并且另一方面允许经过空气接口的通信的加密。密码方法划分为发送器和接收器使用相同的密钥的对称方法和发送器使用公钥(“publickey”)而接收器使用私钥的公钥方法或者说不对称方法。然而在对称方法中公知地存在问题，即，在RFID标签以及在读取设备或与之关联的后台系统中都必须安全地存储共同的密钥，这在具有多个RFID标签和多个读取设备的系统中需要复杂的密钥管理，该密钥管理在公钥方法或者说不对称方法中被取消。如果在所有RFID标签中和在后台系统中存储相同的通用密钥，这样的密钥管理也可以在使用对称方法的系统中被取消。然而这存在危险，即，只要RFID标签的通用密钥已经被确定，则整个系统失效。该危险在公钥方法中不存在。公知的公钥方法是Rabin方法，其就像通常使用的RSA方法那样使用模幂作为基础。因为在Rabin方法中加密的计算明显更简单，即，比在RSA方法中计算量更少，所以Rabin方法相对于RSA方法特别地在如下地方提供，在所述地方，执行加密的实体，即，加密消息的发送器，仅具有有限的处理器功率，如在应当安全地与连接到后台系统的读取设备通信的、资源限制的RFID标签的情况下那样。在Rabin方法中密钥由两个在实践中选择得足够大的、经过确定的同余条件互相关联的质数p和q组成。两个质数p和q的乘积n＝p·q定义了模数或模n并且同时表示公钥。合适地，质数p和q大约相同大小。按照Rabin方法将待传输的明文M通过模平方和应用模运算加密，即，按照以下公式从明文M中得到密文C：C＝M2modn。Rabin方法的安全性基于，在不知道质数p和q的情况下从密文C计算模平方根是非常困难的。但这仅当明文M不是明显小于模数n时才是这样。通过在平方之后跟随的模运算防止了通过简单求根就可以解密。因为在Rabin方法中通过发送器的加密包含了模平方，所以接收器为了解密必须计算密文C的模平方根。在此公知地可以使用中国剩余定理(CRT；“chineseremaindertheorem”)。如专业人员知道的，在此得到四个平方根，从中必须选择一个作为初始的明文M。为此可以例如借助合适的标识、校验和等使得“正确的”明文M对于接收器来说是可以识别的。如从前面描述的在Rabin方法中用于计算密文C的公式中得到的，发送器为了执行模运算通常必须执行长数除法。然而这样的长数除法特别地在诸如在RFID标签的情况下采用的简单的微处理器上只能非常麻烦地实现。在Y.Oren和M.Feldhofer的文献“Alow-ResourcePublic-KeyIdentificationSchemeforRFIDTagsandSensorNodes”inD.A.Basin,S.CapkunandW.Lee,editors,WISEC,第59-68页，ACM2009中以名称WIPR方法建议了常规的Rabin方法的一种修改，其特别地用于保护在具有简单的处理器的资源限制的RFID标签和读取设备之间的通信。相对于前面描述的常规Rabin方法，WIPR方法具有优点，即，为了计算密文，替代计算量非常大并且由此在如在RFID标签通常可找到的简单微处理器上几乎不能实现的麻烦的长数除法，采用长数乘法，其比除法明显更快地运行并且可以在硬件方面更简单实现。按照WIPR方法，计算密文C'，方式是，发送器，例如RFID标签，产生随机数r，该随机数与模数n相乘并且将结果加到明文M的平方，也就是C'＝M2+r·n。在此RFID标签的识别码进入到明文M中并且这样选择随机数r的大小，使得乘积r·n大于模数n的两倍。与常规的Rabin方法不同，在WIPR方法中明文M的平方不是通过执行包含了长数除法的模运算，而是通过乘积r·n与合适选择的随机数r相加而被掩模。在出版物A.Shamir,“MemoryEfficientVariantsofPublic-KeySchemesforSmartCardApplications”,inA.D.Santis,editor,AdvancesinCryptology-EUROCRYPT’94,SpringerLNCS，Band950,第445-449页已经表明，诸如WIPR方法的方法与常规的Rabin方法同样安全，只要随机数r从足够大的数字范围中被随机选择。然而在WIPR方法中避免长数除法的优点通过如下获得，即，密文C'由于取消在明文M的平方时的模运算和由于模数n与足够大地选择的随机数r的乘积而通常是非常长的，这使得在RFID标签和读取设备之间的验证过程缓慢，因本文档来自技高网...

【技术保护点】
一种用于在RFID标签(20a,20b)和读取设备(30a,30b)之间进行安全通信的方法，其中，所述方法包括在RFID标签(20a,20b)中执行的以下步骤：为了计算密文C*，加密明文M，RFID标签(20a,20b)的或与之关联的对象的识别元素(UII)进入所述明文中，该加密的方式是，计算明文M的平方关于蒙哥马利基数R模n的蒙哥马利缩减，即，C*＝M2R‑1mod n，并且将验证消息发送到读取设备(30a,30b)，其中所述验证消息基于所述密文C*，其中，模数n＝p·q是读取设备(30a,30b)的公钥，质数p、q是读取设备(30a,30b)的私钥，并且蒙哥马利基数R是大于模数n的整数。

【技术特征摘要】
【国外来华专利技术】2012.03.16 DE 102012005427.01.一种用于在RFID标签(20a,20b)和读取设备(30a,30b)之间进行安全通信的方法，其中，所述方法包括在RFID标签(20a,20b)中执行的以下步骤：为了计算密文C*，加密明文M，RFID标签(20a,20b)的或与之关联的对象的识别元素(UII)进入所述明文中，该加密的方式是，计算明文M的平方关于蒙哥马利基数R模n的蒙哥马利缩减，即，C*＝M2R-1modn，并且将验证消息发送到读取设备(30a,30b)，其中所述验证消息基于所述密文C*，其中，模数n＝p·q是读取设备(30a,30b)的公钥，质数p、q是读取设备(30a,30b)的私钥，并且蒙哥马利基数R是大于模数n的整数，其中，进入到所述明文M中的数据借助交织运算被洗乱，以便将来自于读取设备(30a,30b)和来自于RFID标签(20a,20b)的随机数据随机地分布到明文M。2.根据权利要求1所述的方法，其中，进入到所述明文M中的数据是RFID标签的识别元素(UII)、第一随机数RND1和第二随机数RND2。3.一种用于在RFID标签(20a,20b)和读取设备(30a,30b)之间进行安全通信的方法，其中，所述方法包括在读取设备(30a,30b)中执行的以下步骤：从RFID标签(20a,20b)接收验证消息，所述验证消息基于加密的明文M，RFID标签(20a,20b)的或与之关联的对象的识别元素(UII)进入所述加密的明文中，和将加密的明文M解密，其中解密的步骤包括将加密的明文M与蒙哥马利基数R相乘和然后利用模数n执行模运算，其中，模数n＝p·q是读取设备(30a,30b)的公钥，质数p、q是读取设备(30a,30b)的私钥，并且蒙哥马利基数R是大于模数n的整数。4.根据权利要求1至3中任一项所述的方法，其中，从RFID标签(20a,20b)向读取设备(30a,30b)传输的验证消息包含以密文C*形式的加密的明文M，其中C*＝M2R-1modn。5.根据权利要求1至3中任一项所述的方法，其中，由读取设备(30a,30b)产生的第一随机数RND1和由RFID标签(20a,20b)产生的第二随机数RND2也进入到所述明文M中，其中所述第一随机数RND1被传输到所述RFID标签(20a,20b)。6.根据权利要求5所述的方法，其中所述第一随机数RND1作为在挑战-响应方法的范围内的挑战被传输到所述RFID标签(20a,20b)。7.根据权利要求6所述的方法，其中，将所述RFID标签(20a,20b)构造为，所述RFID标签(20a,20b)还在读入以第一随机数RND1形式的挑战期间就能够开始加密，并且还在计算密文C*的随后的字节期间就能够将所计算的密文C*的第一字节发送到所述读取设备(30a,30b)。8.根据权利要求1至3中任一项所述的方法，其中，此外RFID标签(20a,20b)的识别元素(UII)的数字签名(SIG(UII))也进入到所述明文M中，所述数字签名被存储在RFID标签(20a,20b)的存储器单元(26)中并且能够由读取设备(30a,30b)检验。9.根据权利要求...

【专利技术属性】
技术研发人员：W欣茨，K芬肯泽勒，M·赛森，
申请(专利权)人：德国捷德有限公司，
类型：发明
国别省市：德国;DE