一种利用物理不可克隆技术实现rfid双向认证的方法

一种利用物理不可克隆技术实现rfid双向认证的方法
【专利摘要】本发明提供一种利用物理不可克隆技术实现RFID双向认证的方法，包括如下步骤：读写器向标签发送请求认证的命令；标签收到命令后，将自身存放的IDS作为响应，发送给读写器；读写器验证标签发送过来的IDS的真伪，计算和的值，并将计算结果发送给标签；标签验证读写器发送的计算结果的真伪，通过计算得到随机数r，进一步计算且标签通过计算来验证ID的正确性，若正确，则标签计算Gn+1＝P(Gn)和Gn+2＝P(Gn+1)的值，然后将和的值发送给读写器；读写器再次验证标签发送过来的值的真伪，读写器通过计算获得Gn+2，进一步地读写器验证消息的正确性，若正确，则认证过程到此结束。本发明解决了RFID系统中标签与读写器之间双向认证存在安全缺陷的问题，且降低标签端的成本。
【专利说明】
一种利用物理不可克隆技术实现RFID双向认证的方法
技术领域
[0001]本发明涉及射频识别技术领域，尤其涉及一种利用物理不可克隆技术实现RFID双 向认证的方法。
【背景技术】
[0002] 无线射频识别技术(Radio Frequency Identification，RFID)已被广泛应用于许 多领域，如物流、国防、交通等。RFID系统是一个自动识别系统，它通常由三部分组成:标签、 读写器和后端数据库。读写器可以访问存储在标签内部的信息，也可以转发标签和后端数 据库之间通信的消息。后端数据库可以提供多样化的服务，如身份验证服务、库存管理服务 等等。
[0003] 许多基于伪随机数生成器的RFID认证协议被提出，这类协议可以实现安全与隐私 保护。同时，一些基于位运算和HASH函数的轻量级RFID认证协议也被提出。但是大多数协议 都存在安全隐患或是认证效率低等问题。
[0004] 近些年的研究成果中，（Alomair B,Cuellar J，Poovendran R. Scalable RFID systems:A privacy-preserving protocol with constant time identification!!J] .IEEE Trans on Parallel and Distributed Systems，2012，23(8):1-10?)Alomair B等 人提出的认证方案不能提供向后的隐私安全性；（Godor G, Imre S.Hash-based mutual authentication protocol for low-cost RFID systems[C]//Proc of the 18th EUNICE Conf on Information and Communications Technologies.Berlin:Springer,2012:76-87. )Godor G等人提出的认证方案不能抵抗去同步攻击，攻击者可以通过重放消息，使读写 器与标签两者之间的密钥不一致，从而破坏两者之间的后续认证；（Mamun M S I，Miyaji A,Rahman M S.A secure and private RFID authentication protocol under SLPN problem[C]//Proc of the 6th Int Conf on Network and System Security.Berlin: Springer,2012:476-489. )Mamun M S I等人提出的认证方案不能抵抗主动攻击，攻击者通 过不断的询问标签，来分析标签的回复信息，就可以完全推导出标签中存放的所有密钥信 息；（王少辉，刘素娟，陈丹伟.满足后向隐私的可扩展RFID双向认证方案[J].计算机研究与 发展，2013,50(6): 1276-1284)王少辉等人提出的方案不能抵抗暴力破解攻击，攻击者采用 穷举法可以推导出标签中存放的密钥信息。基于物理不可克隆函数(PUF)和线性反馈移位 寄存器（LFSR) (L.Kulseng，Z? Yu，Y.Wei，Y.Guan，"Lightweight mutual authentication and ownership transfer for rfid systems"，In proceedings of the 29th conference on Information communications，pp? 251-255，2010? )L.Kulseng等人提出了 一种RFID双向认证协议，协议不需使用复杂的密码操作，非常适用于轻量级RFID。但是， (S.Kardas,M.Akgun,M.S.Kiraz,H.Demirci, ''Cryptanalysis of Lightweight Mutual Authentication and Ownership Transfer for RFID Systems"，Workshop on Lightweight Security&Privacy:Devices protocols,and Applications,pp.20-25, 2011. )Kardas等人指出上述协议事实上存在一些严重的安全问题。基于上面的叙述，设计 一个安全的双向认证协议具有重大的实用价值意义。

【发明内容】

[0005] 为了克服现有技术存在的缺点与不足，本发明提供一种利用物理不可克隆技术实 现RFID双向认证的方法，能够解决RFID系统中标签与读写器之间双向认证存在安全缺陷的 问题。
[0006] 为解决上述技术问题，本发明提供如下技术方案：一种利用物理不可克隆技术实 现RFID双向认证的方法，包括如下步骤：
[0007] si.读写器向标签发送认证请求命令；
[0008] S2.标签收到认证请求命令后，将自身存放的IDS作为响应，发送给读写器，所述 IDS为标签的索引；
[0009] S3.读写器验证标签的真伪:读写器查找是否存在与之相对应的IDS，若存在，说明 该标签是真实的，则读写器产生一个随机数r，计算和ZD?F(/AS?r)的值，并将计 算结果发送给标签;若不存在，则说明该标签是伪造的，终止整个认证协议;其中，所述1为 读写器与标签之间共享的密钥，所述ID为标签的唯一标识符，所述F为随机置换函数，函数 的映射区间为[l，q]，q为IDS的长度；
[0010] S 4 .标签验证读写器的真伪：通过I ? r ? t计算得到随机数r '，并计算 ? /?')，且标签通过计算/D十F(瓜S ? r') ?八/AS十r')来验证ID的正确性，若正确， 贝 1J 标签计算 Gn+1 = P(GnWPGn+2 = P(Gn+1)的值，然后将C?a+1?G"+2?r 和C?"+2?F(r)的值发送 给读写器;若不正确，则说明读写器是伪造的，终止整个认证协议;其中，所述P为随机置换 函数，函数的映射区间为[l，q]，所述6"为标签的出厂设定值，n表示标签的数量；
[0011] S5.读写器再次验证标签的真伪：读写器通过计算获得 Gn+2，并进一步地验证消息G"+2=G"+2 ? _F(r) ? F(r)的正确性，若正确，则认证过程结束;若不 正确，则说明标签是伪造的，终止整个认证协议。
[0012]进一步地，所述步骤S1中，读写器向标签发送一个"Request"信号，并发起认证请 求。
[0013] 进一步地，所述步骤S2中标签的IDS在每次的协议认证成功后进行更新。
[0014]进一步地，所述步骤S3中，在存在的情况下，所述读写器同步更新自身存放的 !DS = F(IDS@(l,@Kn)c
[0015] 进一步地，所述步骤S 4中，若I D验证为正确，所述标签同步更新 IDS = F(1DS@G" 0 K") > Ktt ：= K" ? F{Ktl @ r)>fnG"=G"+i"
[0016] 进一步地，所述步骤S5中验证消息的正确性，其具体验证 过程为:令M=G"+1?G"+2?r，令N=G,,+2?F(r)，读写器通过自身产生的随机数r、自身存放 的G n+1、接收到的M来计算M毋Gntl?rv得到G'n+2;读写器再通过自身存放的随机数r来计算F (r)，得到的F(r);然后通过F(r)、接收到的N来计算N?F(r) ,得到G''n+2;最后通过比较G 'n+2与G''n+2是否相等来验证标签的真伪。
[0017] 进一步地，所述步骤S5中，若消息验证为正确，所述读写器更新自身的 K<f = Kn ? F{Kh, ? I") '>Gn = Gn+l^PGn+l = Gn+2〇
[0018] 进一步地，所述随机置换函数F采用线性反馈移位寄存器LFSR对传输信息进行加 密，所述随机置换函数P采用物理不可克隆函数PUF来实现。
[0019] 采用上述技术方案后，本发明至少具有如下有益效果：
[0020] (1)本发明抛弃传统的Hash运算加密传输的方法，并且随机置换函数P采用物理不 可克隆函数PUF和随机置换函数F采用线性反馈移位寄存器LFSR对传输信息进行加密，从而 减少标签端及读写器端的运算量，使本发明中的协议可以达到轻量级的级别；
[0021] (2)本发明抛弃标签端产生随机数的做法，选择由读写器端产生随机数，从而达到 降低标签成本的目标；
[0022] (3)本发明充分利用标签和读写器之间共享的标签唯一的标识符ID的信息，减少 信息的引入和存放，将标签的标识符ID与随机数r进行加密传输，作为双向认证的凭据，从 而降低标签端的存储成本。
【附图说明】
[0023]图1为本发明一种利用物理不可克隆技术实现RFID双向认证的方法的流程图。 [0024]图2为本发明一种利用物理不可克隆技术实现RFID双向认证的方法的BAN逻辑。
【具体实施方式】
[0025]需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相 互结合，下面结合附图和具体实施例对本申请作进一步详细说明。
[0026]如图1所示，本发明提供一种利用物理不可克隆技术实现RFID双向认证的方法，本 方法包括如下步骤：
[0027] S1.读写器向标签发送请求认证的命令；
[0028] S2.标签收到命令后，就会将自身存放的IDS发送给读写器作为响应，所述IDS为标 签的索引，并且在整个协议认证成功后IDS会进行更新；
[0029] S3.读写器验证标签的真伪:读写器查找是否存在与之相对应的IDS，若存在，则说 明该标签是真实的，此时读写器产生一个随机数r，进一步计算^ 和!D?F(iDS?r)的 值，并将计算结果发送给标签，进一步地所述读写器同步更新自身存放的 / = F(/DS?G" ?《");若不存在与之相对应的ids，则说明该标签是伪造的，终止整个认 证协议;其中，所述Kn为读写器与标签之间共享的密钥，所述ID为标签的唯一标识符，所述F 为随机置换函数，映射区间为[1，q]，其中q是IDS的长度;优选地，F函数可以用线性反馈移 位寄存器LFSR来实现;G n是指读写器与编号为n的标签之间共享的随机数，该随机数是标签 刚出厂的时候设定的;Gn+1是编号为n的标签通过P函数计算得到的，即G n+1 = P(Gn)，然后将 (Gn，Gn+i)存放在读写器端。n表示标签的数量，比如n = l表示编号为1的标签，n = 5表示编号 为5的标签，n的取值范围取决于标签的个数；
[0030] S4 .标签验证读写器的真伪：通过反计算得到随机数r，进一步计算 尸(/AS ? r)，且标签通过计算/￡>十尸(/1? ?r)十FUAS十r)来验证ID的正确性，若正确，贝1J 标签计算Gn+1 = P(GnWPGn+2 = P(Gn+1)的值，然后将C?"+1?(7"+2?r和的值发送给 读写器，进一步地所述标签同步更新五^二 6"+1;若不正确，则说明读写器是伪造的，终止整个认证协议;其中，所述P为随机置换函数， 映射区间为[l，q];优选地，所述随机置换函数P采用物理不可克隆函数PUF;
[0031] S5.读写器再次验证标签的真伪：读写器通过计算G"+1?G"+2?r?G"+1?r获得 Gn+2，进一步地读写器验证消息G"+2 =G"+: ? F(r) ? F(r)的正确性，若正确，则认证过程结束， 进一步地所述读写器更新自身的I = A； ?八心? r)、Gn = Gn+dpGn+1 = Gn+2;若不正确，则说 明标签是伪造的，终止整个认证协议;其中，验证消息化2 =G,,+2 ? F(r) ? Rr)的正确性具体 过程为：令M= C4+1 ?g:+2 ?r ,令N=G"+2 ?F(r)，读写器通过自身产生的随机数r、自身存 放的Gn+1、接收到的M来计算M?G ml?「，得到G'n+2;读写器再通过自身存放的随机数r来计算 F(r)，得到的F(r);然后通过F(r)、接收到的N来计算N?F(r),得到G''n+2;最后通过比较G 'n+2与G''n+2是否相等来验证标签的真伪。
[0032]下面给出认证协议的BAN逻辑形式化分析，如图2所示，通过BAN形式化分析来证明 双向认证方法的安全性和正确性，证明过程如下：
[0033]首先给出符号的简记：
[0034] R:读写器；
[0035] T:标签；
[0036] M = Kn ?r .
[0037] N =仍十 F(/Z? 十 r);
[0038] P 二 GB+1 十G"+2 十r;
[0039] Q 二 ?F(r)。
[0040] 给出协议的理想化模型：
[0041] 步骤 S1R-T: Query
[0042] 步骤 S2T-R:IDS
[0043] 步骤 S3R-T:M，N
[0044] 步骤 S4T-R:P，Q
[0045] 下面给出协议的初始假设：
[0046] P1: ，R相信R和T共享密钥值Kn。
[0047] P2: ，T相信R和T共享密钥值Kn。
[0048] P3: _ /?、^>'厂，R相信R和T共享标识符ID。
[0049] P4: r 一及，T相信R和T共享标识符ID。
[0050] P5:R|e#(IDS)，r相信索弓丨IDS的新鲜性。
[0051 ] ?6:1'|三#(1〇3)，!'相信索弓丨103的新鲜性。
[0052] P7: 相信R对M的管辖权。
[0053] P8: 了一用:^况^相信尺对袖勺管辖权。
[0054] P9: _ r|==> /)，R相信T对P的管辖权。
[0055] P10: 呤fi,R相信T对Q的管辖权。
[0056] 安全目标：
[0057] G1:T| eM，T相信M<3G2:T| eN，T相信N。
[0058] G3:R| eP，r相信PXLRl eQ，r相信Q。
[0059] 分析推理：
[0060] 由步骤S3得7'<!M}(R曾经收到消息M)，并且由初始假设PI及消息含义法则
_(若主体P相信主体P和Q的共享秘钥K，且P曾经收到用K加密的密文X，则 P相信主体Q发送过来的消息X)，得到T | |~M。
[0061] 由假设P5、P7及消息新鲜性法则-（如果一个消息的一部分是新鲜的，则 整个消息也是新鲜的），得T | =#(M)。
[0062] 由已经推导出来的T|=R|~M、T|=#(M)及随机数验证法则
，得 到T| _ =M〇
[0063] 由T| =R| =M、初始化假设P7以及管辖法则可得T | =M。因此，目 标G1得证。
[0064] 运用上述条件和法则，同理可证得G2，G3和G4。此处不再赘述。
[0065]尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以 理解的是，在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种等效的变 化、修改、替换和变型，本发明的范围由所附权利要求及其等同范围限定。
【主权项】
1. 一种利用物理不可克隆技术实现RFID双向认证的方法，其特征在于，包括如下步骤：51. 读写器向标签发送认证请求命令；52. 标签收到认证请求命令后，将自身存放的IDS作为响应，发送给读写器，所述IDS为 标签的索引；53. 读写器验证标签的真伪:读写器查找是否存在与之相对应的IDS，若存在，说明该标 签是真实的，则读写器产生一个随机数r，计算和的值，并将计算结 果发送给标签;若不存在，则说明该标签是伪造的，终止整个认证协议;其中，所述K n为读写 器与标签之间共享的密钥，所述ID为标签的唯一标识符，所述F为随机置换函数，函数的映 射区间为[l，q]，q为IDS的长度；54. 标签验证读写器的真伪:通过计算得到随机数r'，并计算F(/aS?r')， 且标签通过计算仍ΘΡ(/Ι?Θγ')十/χ/?λ5θΓ')来验证ID的正确性，若正确，则标签计算 Gn+1 = P(Gn)和6"+2 = P(Gn+1)的值，然后将Φ ? r和Gs+2 ΦF(r)的值发送给读写器;若 不正确，则说明读写器是伪造的，终止整个认证协议;其中，所述P为随机置换函数，函数的 映射区间为[1，q]，所述6"为标签的出厂设定值，η表示标签的数量；55. 读写器再次验证标签的真伪：读写器通过计算G,i+1?G"+2?r?G,i+1?/^# Gn+2^ 进一步地验证消息G,i+2=G"+2 @F(r) ?F(r)的正确性，若正确，则认证过程结束;若不正确， 则说明标签是伪造的，终止整个认证协议。2. 根据权利要求1所述的一种利用物理不可克隆技术实现RFID双向认证的方法，其特 征在于，所述步骤S1中，读写器向标签发送一个"Request"信号，并发起认证请求。3. 根据权利要求1所述的一种利用物理不可克隆技术实现RFID双向认证的方法，其特 征在于，所述步骤S2中标签的IDS在每次的协议认证成功后进行更新。4. 根据权利要求1所述的一种利用物理不可克隆技术实现RFID双向认证的方法，其特 征在于，所述步骤S3中，在存在的情况下，所述读写器同步更新自身存放的 ")5 =厂(腐十 G,,十 A，〃）c5. 根据权利要求1所述的一种利用物理不可克隆技术实现RFID双向认证的方法，其特征在 于，所述步骤S4中，若ID验证为正确，所述标签同步更新= & θ?? ?r) 和Gn = Gn+l 〇6. 根据权利要求1所述的一种利用物理不可克隆技术实现RFID双向认证的方法，其特 征在于，所述步骤S5中验证消息,: =G"+2 ? F(r)的正确性，其具体验证过程为：令 皿=(^1?6"+20〃，令恥〇"+2?/^)，读写器通过自身产生的随机数^自身存放的6 11+1、接 收到的Μ来计算Μ十C^er，得到G'n+2;读写器再通过自身存放的随机数r来计算F(r)，得到 的F(r);然后通过F(r)、接收到的N来计算ΝφΡ (r):，得到G' 'n+2;最后通过比较G'n+2与G' 'n+2 是否相等来验证标签的真伪。7. 根据权利要求1或6所述的一种利用物理不可克隆技术实现RFID双向认证的方法，其 特征在于，所述步骤S5中，若消息验证为正确，所述读写器更新自身的& = Φ? r)、 Gn = Gn+l 和 Gn+l = Gn+2〇8. 根据权利要求1所述的一种利用物理不可克隆技术实现RFID双向认证的方法，其特 征在于，所述随机置换函数F采用线性反馈移位寄存器LFSR对传输信息进行加密，所述随机 置换函数P采用物理不可克隆函数PUF来实现。
【文档编号】H04L29/06GK105959101SQ201610509127
【公开日】2016年9月21日
【申请日】2016年6月29日
【发明人】凌捷, 刘道微, 谢锐, 龚怡
【申请人】广东工业大学