本发明专利技术涉及一种基于分级密钥的RFID询问-应答安全认证方法。本发明专利技术提出的认证方法引入分级密钥机制,不仅能够有效解决RFID系统前向空中接口和后向通信链路的数据安全问题,而且实现了不同用户之间的访问权限控制,能够有效抵抗典型的主动和被动攻击,满足了系统的安全和隐私保护要求。同时,本协议将复杂的加密、解密和验证运算主要交由后台数据库和读写器完成,降低了标签的计算负载和存储负载,节约了标签的成本和功耗,提高了系统的安全性,适合于系统资源受限且要求高安全性和隐私鉴权保护的RFID应用场景。
【技术实现步骤摘要】
本专利技术涉及一种基于分级密钥的RFID询问-应答安全认证方法,属于RFID通信 安全
,涉及RFID标签安全认证协议。
技术介绍
随着RFID(射频识别)技术的广泛发展,RFID系统的安全问题特别是空中接口的 安全和隐私问题日益突显,受到业内的广泛关注,成为制约RFID技术应用发展的关键因素 之一。由于通信链路的开放性和无线性,空中接口存在着极大地安全隐患和安全脆弱点,面 临着各种安全风险和威胁,例如假冒、重放、跟踪、流量分析和拒绝服务等攻击,因而亟需提 出适用于RFID系统硬件条件的安全措施和解决方案。目前,大部分安全机制对合法的读写器没有访问权限的细化限制,只要满足身份 认证的读写器都可以读取标签的所有信息,但是由于在不同应用场景中,可能涉及到多方 的用户,彼此之间存在商业利益关系,某些标签数据信息涉及到不同用户的隐私保护问题, 因而需要对不同的读写器进行一定的访问权限控制机制,以实现不同用户的安全和隐私保 护。
技术实现思路
本专利技术的目的在于提供一种基于分级密钥的RFID询问-应答安全认证方法,该方 法适用于系统资源受限且要求高安全性和隐私鉴权保护的RFID应用场景,可以满足中等 级和高等级RFID系统中读写器和标签空中接口的数据安全和隐私保护。本专利技术在RFID系统通信安全领域提出了基于分级密钥的询问-应答安全认证方 法,该方法以Hash函数和公钥加密系统为基础,将所有合法的读写器划分为三个访问权限 等级,对应访问不同的标签数据信息。能够有效抵抗典型的主动和被动攻击。本专利技术将复杂的加密、解密和验证运算主要交由后台数据库和读写器完成,对系 统硬件资源要求不太高,节约了标签成本和功耗,提高了系统安全性,该方法简单新颖、易 于硬件实现,适合于系统资源受限且要求高安全性和隐私鉴权保护的RFID应用场景。本专利技术通过采取以下技术方案予以实现一种基于分级密钥的RFID询问-应答安全认证方法,其特征在于在RFID 系统中,有 M 个读写器 Ri (i = 1,2,. . .,Μ)、N 个标签 Tj (j = 1,2,... ,N) 和后台数据库DB,将所有的读写器划分为三个访问权限等级,在不同权限的读写器和标签 之间分别具有指定的认证密钥馭ρ用于读写器根据权限等级授权访问标签中部分或全部 数据信息;标签通过预设的密钥标识符Lk,对认证密钥Kq进行权限鉴定;在所有读写器和 数据库之间具有唯一的共享密钥Ku。RFID系统初始化时,在标签Tj的内存中存储所有密钥标识符!^ (包括 LK,,lK2,lK3)、所有认证密钥Kq (包括Km,K2, j,K3,P以及不同认证密钥所对应的标签部分或全部数据信息1DT(包括1IDT丨,IDT;);在读写器Ri的内存中存储特定密钥标识 符lK1 , lK2^lK3、特定认证密钥K1^ K2, J或K3, j、共享密钥Ku和读写器数据信息IDRi ;在 数据库中存储所有标签和读写器的数据信息(IDT 和IDr.)、密钥(认证密钥K和共享密JavIj钥 Ku)。 RFID系统的通信认证协议步骤如下(1) Ri — Tj 读写器Ri首先产生随机数rK,并通过自己的认证密钥K*,」加密IDr,得 到密文IidriIf^,然后将IIDr, j、,Γε, Lk 作为询问请求发送给标签τ」。(2) Tj — Ri 标签Tj收到请求后,首先通过鉴定密钥等级标识符Liu判断读写器 的权限等级,将Lk.作为索引指向认证密钥Kq的具体形式(Ky,Kq或K3, p,进而读取相应的标签部分或全部信息IDT; (IDTj , IDT;或IDT;);然后对密文IIDrJi^进行解密得到IDr ;最后通过生成的随机数rT计算H(IDT;||rR)十IDr, ’将H(ID—|rR)ΘIDr^t作为应答发送给读写器Ri。⑶Ri — Db 读写器Ri收到标签的应答后,将H(IDT;||rR)十IDivS行异或逆运算得到H(IDT;||rR),同时计算H(IDRi||rT)。将H(IDT/||rR),rT,H(IDR,||rT), rK发送给后台数据库DB进行身份验证。(4) DB 数据库DB将存储的IDfP接收的rT进行单向Hash运算得到H(IDT; ||rR ),存储的IDRf接收的rK进行单向Hash运算得到H(IDRi||rT)。通过比较计算值是否等于接收值来验证标签和读写器身份的合法性和有效性。如果成立,认证继续,否则,认证中止并 返回错误信息。(5) DB — Ri 数据库通过共享密钥Ku将标签信息ID .加密成fIDT· j发送给读写丁)、 j jKuO(B)Ri 读写器通过使用共享密钥Ku解密密文,可以得到其访问权限指定的标签部 分或全部信息。在上述安全认证协议中涉及到的变量、定义以及运算符号分别说明如下氏第1个读写器,1= 1,2,...,1Tj 第 j 个标签,j = 1,2,· · ·,NDB:后台数据库Lk,通用密钥等级标识符Ku 读写器和数据库之间的共享密钥K , j 读写器与标签Tj对应的认证密钥,包括K1, j, K2, j, K3, jIDRi 读写器Ri的信息IDT;标签 Tj 的信息,包括 10Tj , IDT;, ΙΟηLK], LKz,Lk3 是不同权限的密钥等级标识符Kljj, K2,」,K3,」是不同权限的读写器与标签Tj对应的认证密钥IDt- IDT丨,1Dt丨:是不同认证密钥Klij, K2, j, K3, j对应的读写器能够访问的标签Tj. 的部分或全部信息rE 读写器生成的16位随机数rT 标签生成的16位随机数{ · }κ 用密钥K进行加密运算Η( ·)单向Hash函数运算I I 级联运算十异或运算。所述的安全认证协议以分级密钥为基础,通过密钥等级标识符Lk鉴定不同权限的 读写器,实现对标签部分或全部数据信息进行访问控制。本专利技术所述的安全认证协议以分级密钥为基础,通过密钥等级标识符Lk,对不同权限的读写器进行访问控制,授权读取标签的部分或全部信息。同时,引入随机数机制,利 用共享密钥Ku保证读写器身份的真实性,利用认证密钥Kq保证不同权限读写器访问标签 部分或全部信息,实现了系统安全性和隐私性保护。在前向链路和后向链路中均采用公钥 加密或单向Hash函数进行密文传输,验证标签和读写器有效性的运算主要由后台数据库 完成。本专利技术的特点在于1、首次提出了分级密钥的RFID询问-应答安全认证协议。由于RFID系统在某些 特定应用场景中,例如物流、身份识别(电子护照和第二代个人身份证)、资产仓储管理等 领域,标签存储的数据信息涉及到的各个相关用户的实际利益。目前,满足通用通信协议的 读写器均可以自由读取标签数据,存在着极大地安全隐患,因而需要对读写器进行访问权 限控制。通过分级密钥机制,对应于不同的标签信息,实现了不同权限用户的分级保护。2、首次提出了分级密钥的RFID询问-应答安全认证协议,以Hash函数和公钥加 密系统为基础,实现标签数据在前向空中接口和后向通信链路中均采用密文传输,有效保 障数据安全。该协议将复杂的加密、解密和验证运算主要交由后台数据库和读写器完成,节 约了标签成本和功耗,提高了系统安全性,适用于系统资源受限的RFID应用场景。本专利技术的本文档来自技高网...
【技术保护点】
一种基于分级密钥的RFID询问-应答安全认证方法,其特征在于:在RFID系统中,有M个读写器R↓[i](i=1,2,...,M)、N个标签T↓[j](j=1,2,...,N)和后台数据库DB,将所有的读写器划分为三个访问权限等级,在不同权限的读写器和标签之间分别具有指定的认证密钥K↓[*,j],用于读写器根据权限等级授权访问标签中部分或全部数据信息;标签通过预设的密钥标识符L↓[K],对认证密钥K↓[*,j]进行权限鉴定;在所有读写器和数据库之间具有唯一的共享密钥K↓[u];↑[*]]‖r↓[R]),同时计算H(ID↓[R↓[i]]‖r↓[T]);将H(ID↓[T↓[j]↑[*]]‖r↓[R]),r↓[T],H(ID↓[R↓[i]]‖r↓[T]),r↓[R]发送给后台数据库DB进行身份验证;(4)DB:数据库DB将存储的ID↓[T↓[j]↑[*]]和接收的r↓[T]进行Hash运算得到H(ID↓[T↓[j]↑[*]]‖r↓[R]),存储的ID↓[R↓[i]]和接收的r↓[R]进行Hash运算得到H(ID↓[R↓[i]]‖r↓[T]);通过比较计算值是否等于接收值来验证标签和读写器身份的合法性和有效性;如果成立,认证继续,否则,认证中止并返回错误信息;(5)DB→R↓[i]:数据库通过共享密钥K↓[u]将标签信息ID↓[T↓[j]↑[*]]加密成{ID↓[T↓[j]↑[*]]}↓[K↓[u]]发送给读写器;(6)R↓[i]:读写器通过使用共享密钥K↓[u]解密密文,可以得到其访问权限指定的标签部分或全部信息;在上述安全认证协议中涉及到的变量、定义以及运算符号分别说明如下:R↓[i]:第i个读写器,i=1,2,...,MT↓[j]:第j个标签,j=1,2,...,NDB:后台数据库:L↓[K↓[*]]:通用密钥等级标识符K↓[u]:读写器和数据库之间的共享密钥K↓[*,j]:读写器与标签T↓[j]对应的认证密钥,包括K↓[1,j],K↓[2,j],K↓[3,j]ID↓[R↓[i]]:读写器R↓[j]的信息ID↓[T↓[j]↑[*]]:标签T↓[j]的信息,包括ID↓[T↓[j]],ID↓[T↓[j]′],ID↓[T↓[j]″]L↓[K↓[1]],L↓[K↓[2]],L↓[K↓[3]]:是不同权限的密钥等级标识符K↓[1,j],K↓[2,j],K↓[3,j]:是不同权限的读写器与标签T↓[j]对应的认证密钥ID↓[T...
【技术特征摘要】
【专利技术属性】
技术研发人员:宁焕生,刘虹,
申请(专利权)人:北京航空航天大学,
类型:发明
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。