用于通过读取器来标识和验证射频标识标签的方法

专利名称：用于通过读取器来标识和验证射频标识标签的方法
技术领域：
本发明涉及通过无线电读取器来标识和验证无线电标签的技术。本发明的特别有利的应用在于在英文中具体已知为“射频标识(radio frequencyidentification)”或“RFID”的无线电标识的领域。
背景技术：
无线电标识是用于通过使用已知为无线电标签或“RFID标签”的标记来远程地存储和恢复数据的技术。无线电标签是诸如粘性签条之类的小物品(item)，其可以被粘贴到实体或货物上，或者被合并到实体或货物中。它包括与电子芯片相关联的天线，该天线使得它能够接收和响应于从被称作“读取器”的收发器传送的无线电请求。借助于 示例，当将无线电标签合并到护照、票据(ticket)、或支付卡中时，使用所述标签用于对人进行标识，或者使用所述标签用于对货物进行标识，正如条形码一样。对于货物的这种应用促进管理库存，并且使得可能贯穿于用于货物的分发系统来跟踪库存。现今，众多活动领域(sector)(诸如，制药产业、分发、时尚、和图书销售)利用RFID系统来跟踪物件。RFID技术正被越来越多地用于使得手工处理自动化，验证和保护货运(freight)，和提供库存的实时可见性。在用于标识无线电标签的现有机制之中，电子产品代码(EPC)联盟EPC全球(EPCglobal)已经对公知为“标签分割(tag singulation)”机制的标签标识协议进行了标准化[EPCglobal:EPC Radio-frequency identity protocols, class-1 generation-2 UHFRFID, Protocol for communications at 860-960MHz, Version 1.2.0]。该标识机制适于管理当多个无线电标签同时响应于来自读取器的请求时、在无线电级别处的冲突。因而，它使得无线电读取器能够在标签集合之中相继地标识每个标签，以便随后在一些特定应用的环境中一次与一个所标识的标签进行交谈(converse)。借助于示例，这种应用是验证应用，该验证应用适于检验所标识的标签确实是它声称自己是的那个标签。因而，将这些标识与验证机制相关联使得可能提供利用这种无线电标签提供的货物的准确跟踪，并且通过在用于分发货物的系统中在每个步骤处动作为检验真实性、并因而检验货物的来源，来有效地打击假冒(counterfeiting)。参考图I来描述由EPC全球联盟定义的标识协议。在前期阶段(未示出)，无线电读取器R对要质询(interrogate)的标签的类别进行判定。借助于示例，这可以是来自给定制造商的所有标签。假设满足此准则的多个标签T1........Tn处于无线电读取器R的无线电范围内。在第一参数设置步骤ElO中，读取器R设置用于被写为q的参数的值，该参数确定其中读取器R要质询读取器的无线电范围中的标签的时隙范围。该范围中的时隙的数目等于2\在查询步骤Ell中，读取器R在无线电信道上传送查询消息“查询(QUERY)”，该消息包含事先所确定的时隙的数目，具体地2\在读取器R已经传送了该查询消息之后执行的选择步骤E12中，读取器R的无线电范围中的标签T1........Tn选择所提议的范围内的相应时隙。因而，每个标签所选择的时隙是处于范围O到2q-l中的数字。每个标签以随机的方式来选择此时隙，并且它确定具体的时间间隔，在该时间间隔期间，标签能够对读取器进行回复，并且可能地能够在标识协议期间由读取器R进行隔离，以便在具体应用(例如，验证应用)的环境中，按照特许的(privileged)方式来与读取器进行对话。在它已经选择的时隙期间质询的标签通过发送由该标签所选择的16比特随机值RN来对读取器R进行回复。时隙O表示与读取器R在步骤Ell期间发送的查询消息QUERY相关联的第一时隙。这里假设仅仅标签Tj已经选择了 O作为其时隙。因而，标签Tj被从读取器接收到的查询消息QUERY所关注。然后，标签Tj在回复步骤E13中动作为向读取器R发送回复消息REP，该消息包括由标签Tj所选择的随机值RN。在测试步骤E14中，读取器R确定是零个、一个、还是多个标签已经回复了它所发送的查询消息QUERY。
如上所述，假设此时仅仅标签Tj已经进行了回复。在回复步骤E15中，读取器R通过发送确认消息ACK来对标签L进行回复，该确认消息ACK包括从标签L接收到的随机值RN。因而，标签Tj知道读取器R已经正确地接收到其回复消息。在标识步骤E16中，标签Tj向读取器R发送标识消息ID，该消息包括专用于标签Tj的信息序列。此序列包括已知为其产品代码(PC)的16比特字符串，用于标识标签的能力；64到128比特上的电子产品代码(EPC)，用于按照唯一的方式来标识标签Tj ;以及16比特循环冗余校验码(CRC)，用于校正误差，该CRC是基于代码PC和标识符EPC来确定的，并且用来检测传送误差。在其中在步骤Ell中多个标签对由读取器R所发送的查询消息QUERY进行回复的第二情形(在图I中未示出)中，已经进行回复的标签将它们置于还已知为“休眠”状态的临时等待状态中。此情形对应于来自标签的回复之间的冲突，因此读取器R无法对其进行处理。读取器R发送新的查询消息(传统地写为QUERYREP)，该查询消息包含接下来的时隙。在其中没有标签已经对查询消息QUERY进行回复的第三情形(在图I中未示出)中，读取器R发送包括接下来的时隙的新查询消息QUERYREP。一旦已经处理了范围
中的所有时隙，读取器就可以再一次传送查询消息QUERY,以便试图标识无法被标识的标签，同时发送早先的查询消息QUERY和QUERYREP。在标识步骤E16的结束处，所有的其他标签T1........Τ”、Tj+1........Tn都处
于等待状态中，这是因为它们已经进入到休眠状态中，或者因为它们没有被当前的交换所关注。然后，读取器R可以按照取决于应用的具体需求的方式，与它已经标识出的标签Tj进行对话。在图I中通过专用于应用的步骤E17来图示性地示出一个这种对话。在本发明的环境中，有利示例是验证应用，该验证应用使得读取器R能够确保已经利用读取器来标识它自己的标签Tj确实是它声称自己是的那个标签。应该观察到，这种验证在该标签已经在上述标识协议期间标识出它自己之后发生。存在用于利用无线电读取器来验证标签的几种方案。例如，已知的验证方案被以它的发明人Girault、Pailles, Poupard和Stern而命名为“GPS”或“密码GPS(cryptoGPS)，，[M. Girault, G. Poupard,和 J. Stern, 〃0n the fly authentication andsignature schemes based on groups of unknown order〃，Journal of Cryptology, pp.463-488，Vol. 19，No. 4，2006]。GPS方案是公开密钥(public key)验证技术。它是“零知识(zero-knowledge)”类型的协议,其中安全性依赖于计算组中的离散对数的难度。借助于示例，此方案的实现可以依赖于基于椭圆曲线的密码学。通常说来，使用此方案，以使得在存储器和/或计算功率方面具有非常小功率的装置可以利用具有更大功率的第二装置来验证它自己。该协议使得通常可以借助于一系列优化来减少用于功能较弱的(less-powerful)装置的验证的成本。例如，GPS方案的一个优化依赖于所谓的“票券(coupon)”模式。此模式在于在验证会话以前，动作为计算可以事先计算的所有东西，使得在适当的验证发生的时候，遗留最少的需要执行的操作。这使得GPS协议非常良好地适于基于RFID标签的应用。参考图2，跟随有用于利用读取器来验证无线电标签的并且如在现有技术中所使用的GPS验证方案的实现示例的描述。这里描述的示例基于椭圆曲线；它使用点P在曲线E上所生成的点的子组。这里描述的实现利用标签验证票券，并且利用通过该标签来重新生成与这些票券中的每一个票券相关联的随机数，因而构成了基本GPS方案中的优化。在此实现中，通过读取器来执行椭圆曲线上的算数计算，而通过标签来仅仅执行基本的算术运算。可以理解，这个示例在用于标签的性能方面和实现空间方面是最为有利的。 在该方案中，验证系统具有至少一个标签T，适于当该标签进入到读取器R的附近的范围内时，利用读取器R来验证它自己。在传统的方式中，该方案包括两个阶段配置阶段E20，在该配置阶段E20期间，计算验证数据，和/或将该验证数据供应到标签T并供应到读取器R ；以及验证阶段E21，在该验证阶段E21期间，标签T利用读取器R来验证它自己。在该系统的使用期限中，配置阶段E20仅仅需要被执行一次。每当利用读取器R来验证该标签时，执行验证阶段E21。在配置阶段E20期间，生成一对GPS密钥(S，V)。该对包括秘密密钥s和相关联的公开密钥V。专用于标签T的秘密密钥S被存储在标签T中，并且决不从标签T中提取或传送出。读取器R可访问公开密钥V。例如，借助于以下公式来链接密钥s和V :V=-sP，其中，P是读取器R所已知的椭圆曲线E上的点。在变体中，V=sP。换言之，通过经由将点P添加s次而在椭圆曲线上进行添加，来计算公开密钥V。在目前描述的GPS方案(有时已知为“缩减票券”模式)的实现中，在标签T中安装已知为再生密钥的第二秘密密钥k。将它用作用于在标签T中安装的伪随机函数(PRF)的参数。在配置阶段E20期间，在配置步骤E20-1中，重新计算预定数目η个值，所述值通常称作标签的验证票券并且写为Xi，I < i < η。将索引i的票券写为Xi。索引i是票券Xi的标识索引。为了计算票券Xi，借助于使用再生密钥k作为参数的并且被应用于索引i的伪随机函数PRF来生成随机数ri (ri=PRFk(i))。随机数ri (即，作为来自函数PRF的输出)具有大尺寸，例如1100比特。然后,使用以下公式来计算该标签的验证票券Xi =Xi=HASHCriP),其中HASH是应用于将点P在椭圆曲线上添加次的已知散列函数。这种添加(并且在较小程度上，散列函数HASH的评估)是在计算功率方面昂贵的操作。因而，通常的做法是，通过不同于标签T并且不同于读取器R的验证系统的计算实体(未示出)来预先计算票券Xi。然后，将标签的验证票券Xi存储在标签τ中，存储在标签τ的存储器(未不出)中，以便在利用读取器R的验证期间进行使用。在验证阶段E21期间，在初始选择和发送步骤E21-1中，正在验证它自己的标签T选择索引i的票券Xi。在步骤E21-1的结束处，将所选择的票券Xi发送到读取器R。
在选择和发送询问(challenge)的步骤21-2中，读取器R生成询问C。随机地生成该询问C。在步骤E21-2的结束处，读取器R将询问c发送到标签T。在再生和计算步骤21-3中，标签T再生随机数ri0为此目的，将在标签T中安装的并且通过秘密再生密钥k来参数化的伪随机函数PRF应用到用于标识票券Xi的索引i。已知的是，伪随机函数需要来自标签T的很小的计算功率。然后，标签T使用以下公式来计算对于询问c的回复y a^i+sc。回复y是随机数η和秘密密钥s与询问c的标量积之和。在步骤E21-3的结束处，将回复y发送到读取器R。在检验步骤E21-4中，读取器R检验在步骤E21-1的结束处从标签接收到的票券Xi等于通过将散列函数HASH应用于点P在椭圆曲线上的y次添加、并且应用于公开密钥V的c次添加所获得的值HASH(yP+cV)。如果检验是肯定的(图2中的支路“好的(0k)”)，则已经利用读取器R正确地标识了标签T。 借助于示例，函数HASH可以是函数SHA-1，其中SHA代表“安全散列算法”。可以观察到，当根据参考图2所描述的方案来实现标签验证时，在参考图I所描述的标识协议期间，这必须在读取器已经隔离出具体标签之后发生。因而，实现该标识协议和然后相继地实现验证协议需要与在全部这两个协议中存在的交换一样多的要交换的消息、以及与在这两个协议期间涉及的要在所述实体之间交换的需求一样多的要传输的数据。

发明内容
本发明试图通过提出以下方法来改善该情形，即一种当由无线电读取器来实现时、用于标识和验证无线电标签的方法，所述标签形成该读取器的无线电范围中的标签集合的部分，并且已经从可用时隙的集合中选择了时隙，该方法包括·该读取器在所选择的时隙期间发送查询消息的步骤；以及·该读取器从已经选择了该时隙的标签接收回复消息的步骤，所述回复消息包括该标签所选择的随机值；该方法的特征在于，该标签存储验证票券，并且该读取器在该时隙期间从该标签接收的回复包含作为所述票券之一的函数的值，作为该标签所选择的随机值。本发明的标识和验证方法用来使得在初始上相异的并且使用相异协议来实现以用于标识和验证无线电标签的步骤相互作用。在本发明中，作为验证票券的函数的值取代了以下随机值，当标签在标识协议期间对与该标签所选择的时隙相关的读取器的查询消息进行回复时，该标签通常向该读取器传送该随机值。因而，为了对来自读取器的质询进行回复，该标签发送仅仅一个消息，该消息既宣告标签已经选择的时隙，又标识该标签。在现有技术中，应该回想起，发送了两个消息第一消息，专用于该标识协议，并且包含16比特随机数；和第二消息，专用于该验证协议，并且包含作为类似具有随机特性的验证票券的函数的值。利用本发明的方法，将作为验证票券的函数的值用于标识和验证该标签两者。在一个实现中，这个值是票券它自己。本发明的方法用于使得在标识和验证标签的时候所交换的消息的数目最小化。在一实现中，该方法还包括·该读取器向所述标签发送确认消息的步骤，该确认消息是作为该随机值的函数所建立的，并且包括该读取器所选择的询问；以及·该读取器从该标签接收标识消息的步骤，该标识消息包括标识信息。还使用该确认消息用于向标签传送询问C，该确认消息传统上由读取器向标签传送，以便使得标签知道读取器已经正确地接收到其回复。传统上，在验证期间发送该询问。再一次地，使用仅仅一个消息用于向标签传送两条信息，所述两条信息在传统上被首先在标识期间并其次在验证期间分开地进行处理。再一次地，与当如现有技术中那样一个接一个地运行标识协议和验证协议时交换的消息的数目相比，减少了在读取器和标签之间交换的消息的数目。在一实现中，该标识消息包括根据该询问并且根据专用于该标签的秘密所计算的验证回复，该方法包括·该读取器检验在从该标签接收的回复消息中包含的随机值等于根据该验证回复并且根据该询问所计算的值的步骤，其中当该检验是肯定的时，该标签的验证是成功的。
在此实现中，在与对该标签进行标识的同时对它进行验证。于是，不需要附加的验证阶段。应该观察到，利用本发明的方法，将在标签和读取器之间交换的消息的数目减少一半。类似地，还减少了在标签和读取器之间交换的数据的数量。现在，具有随机特性并且在验证协议期间通常发送的验证票券(或作为票券的函数的值)、和在标识协议期间通常发送的由标签所选择的随机值是单一一条数据。仅仅将这个数据传送一次，并且它动作为标识协议意义中的随机值和验证协议意义中的约定(engagement)两者。应该观察到，利用本发明的方法，并且利用优化，它在所交换的消息数目和数据数量方面进行了提供，与现有技术相比，减少了用于标识和验证所需的时间。在一实现中，该确认消息包括作为验证票券的函数的数据。在变体实现中，来自该标签的回复消息还包括第二随机数，并且该读取器所发送的确认还作为该第二随机数的函数来建立。此实现使得读取器和标签能够相互地进行彼此验证。作为对于读取器的询问的由标签进行的第二随机数的发送有助于通过标签来验证读取器。然后，读取器计算对于此询问的回复，并然后，在接下来的消息中，将该回复传送到标签。应该观察到，无论对于标识和验证该标签还是对于验证该标签和读取器而言，消息的数目保持不变。本发明还提供了一种利用无线电读取器来标识和验证标签的方法，该标签处于该读取器的无线电范围内，所述标签已经从可用时隙的集合中选择了时隙，该方法包括·在所选择的时隙期间从该读取器接收查询消息的步骤；以及·从该标签向该读取器发送回复消息的步骤，所述回复消息包括该标签所选择的随机值；该方法的特征在于，该标签存储验证票券，并且从该标签向该读取器发送的回复包含该标签所选择的随机值，该值是所述票券之一的函数。在变体实现中，用于验证标签的方法还包括·从该读取器接收确认消息的步骤，该消息是作为该随机值的函数所建立的，并且包括该读取器所选择的询问；以及·向该读取器发送标识消息的步骤，该消息包括标识信息。在用于验证标签的方法的变体实现中，向该读取器发送的标识消息还包括根据该询问并且根据专用于该标签的秘密所计算的验证回复。本发明还提供了一种读取器，适于标识和验证无线电标签，所述标签形成该读取器的无线电范围中的标签集合的部分，并且已经从可用时隙的集合之中选择了时隙，该标签存储验证票券，并且该读取器包括·第一发送部件，被安排为在所选择的时隙期间发送查询消息； 第一接收部件，被安排为从已经选择了该时隙的标签接收回复消息，所述回复消息包括由该标签所选择的随机值，该值是所述验证票券之一的函数；以及·检验部件，被安排为检验在所选择的时隙期间有多少回复消息已经被该第一接收部件所接收。本发明还提供了一种无线电标签，适于通过无线电读取器来进行标识和验证，该 标签包括 用于存储验证票券的部件；·选择器部件，被安排为从可用时隙的集合中选择时隙；·第一接收部件，被安排为在该选择器部件所选择的时隙期间从该读取器接收查询消息；以及 第一发送部件，被安排为向该读取器发送回复消息，该回复消息包括由所述验证票券之一构成的、由该标签所选择的随机值。本发明还提供了一种无线电验证系统，包括·本发明的无线电读取器；以及·至少一个本发明的无线电标签。本发明还提供了一种计算机程序，用于安装在无线电读取器的存储器中，该程序包括指令，用于实现本发明的由读取器进行的无线电标签标识和验证方法的步骤，当通过处理器来执行该程序时，通过该读取器来执行所述步骤。本发明还提供了一种数据介质，在其上存储有本发明的计算机程序。


在按照非限制性方式而阅读参考附图所做出的具体实现的以下描述时，可以更好地理解本发明的众多细节和优点，并且其中·(以上描述的)图I示出了用于通过无线电读取器来标识无线电标签的现有技术协议的步骤；·(以上描述的)图2示出了用于利用读取器来验证标签的现有技术方案(并且具体地，GPS方案)的步骤；·图3示出了构成用于通过读取器来标识和验证标签的本发明的实现的方法的步骤；·图4示出了被安排为标识和验证图5所示的无线电标签的无线电读取器的实施例；以及·图5示出了被安排为利用本发明的无线电读取器来标识和验证它自己的标签的实施例。
具体实施例方式下面，参考图3来描述本发明实现中的用于通过读取器来标识和验证无线电标签的方法的步骤。假设多个标签T1........Tn处于无线电读取器R的无线电范围内。出于易读性
的原因，在图3中示出了仅仅一个标签Tj。本发明的方法包括两个阶段配置阶段E30，在该配置阶段E30期间，计算验证数
据，和/或将该验证数据供应到标签T1........Tn,并供应到读取器R ；以及操作阶段E31，
在该操作阶段E31期间，读取器R转而标识和验证标签Τ”在该系统的使用期限中，配置 阶段E30仅仅需要被执行一次。每当通过读取器R来标识和验证标签时，都执行操作阶段E31。下面的描述仅仅涉及用于配置标签Tj的阶段。应该理解的是，还对于其他标签T1,, V1, TJ+1,Tn中的每一个来执行配置阶段。在配置阶段E30期间，生成专用于标签Tj的GPS密钥对(S，V)。该对包括秘密密钥s和相关联的公开密钥V。专用于标签L的秘密密钥s被存储在标签L中，并且决不从标签Tj中提取或传送出。读取器R可访问公开密钥V。例如，借助于以下公式来链接密钥s和V :V=-sP，其中，P是读取器R所已知的椭圆曲线E上的点。在变体中，V=sP。换言之，通过将点P在椭圆曲线E上添加s次来计算公开密钥V。在目前描述的GPS方案(有时已知为“缩减票券”模式)的实现中，在标签L中安装已知为再生密钥的第二秘密密钥k。将它用作用于在标签中安装的伪随机函数(PRF)的参数。在配置阶段Ε30期间，在配置步骤Ε30-1中，重新计算预定数目m个值，所述值通常称作标签的验证票券并且被写为Xi，I < i < m。将索引i的票券写为Xi。索引i是票券Xi的标识索引。为了计算票券Xi，借助于使用再生密钥k作为参数的并且应用于索引i的伪随机函数PRF来生成随机数A (ri=PRFk(i))。随机数ri (即，作为来自函数PRF的输出)具有大尺寸，例如1100比特。然后,使用以下公式来计算标签的验证票券Xi =Xi=HASHCriP),其中HASH是应用于将点P在椭圆曲线上添加ri次的已知散列函数。这种添加(并且在较小程度上，散列函数HASH的评估)是在计算功率方面昂贵的操作。因而，通常的做法是，通过不同于标签L并且不同于读取器R的该系统的计算实体(未示出)来预先计算票券Xi。然后，将标签的验证票券Xi存储在存储器(未示出)中的标签Tj中，以便在利用读取器R的标识和验证期间进行使用。在操作阶段E31的前期步骤(未示出)，读取器R对要查询的标签的类别进行判定。借助于示例，这可以是来自相同制造商的所有标签。在对操作阶段E31进行参数化的第一步骤E31-1中，读取器R设置用于被写为q的参数的值，并且确定其中将通过读取器来质询读取器的无线电范围内的标签的时隙范围。该范围中的时隙的数目等于2\在查询步骤E31-2中，读取器R传送查询消息AUTH-QUERY，该消息用于指定如事先所确定的一连串时隙。在接收步骤E31-3中，标签(并且具体地，标签Tp接收该查询消息。在该标签已经接收到查询消息AUTH-QUERY之后，在选择步骤Ε31-4期间，读取器R的无线
电范围内的标签 \、......、Τη中的每一个随机地选择来自所提议的范围内的相应时隙。因
而，通过处于范围O到2^-1中的数字来标识每个标签所选择的时隙。在标签已经选择了它们的时隙之后，它们中的每一个等待来自与这个时隙相关的读取器R的质询。
在这里描述的具体示例中，假设·在选择步骤E31-4期间，标签Tj选择时隙0，该时隙O表示了读取器R所确定的一连串时隙中的第一时隙； 在步骤E31-2期间所发送的来自读取器R的该第一查询消息AUTH-QUERY宣告时隙O;以及·仅仅该标签Tj已经选择了时隙O。在回复步骤E31-5中，标签Tj向读取器R发送响应消息AUTH-REP，该响应消息包含作为验证票券Xi的函数的值。在这里描述的具体示例中，这个值等于验证票券Xi它自己。应该回想起，使用以下公式来计算票券Xi =Xi=HASH(rip)，其中，P是椭圆曲线E上的点，并且A是随机数。验证票券Xi动作为由标签Tj所选择的并且由标签Tj插入到回复消息AUTH-REP中的随机值。在接收步骤E31-6中，读取器R接收回复消息AUTH-REP。 在测试步骤E31-7中，读取器R确定有多少标签已经对查询消息AUTH-QUERY进行了回复。如上所述，在此示例中，假设仅仅标签Tj已经进行了回复。在回复步骤E31-8中，读取器R通过发送用于所接收到的回复的确认消息AUTH-ACK来对标签Tj进行回复。该确认消息包括作为所接收到的验证票券Xi的函数的数据、连同询问C。在传统的方式中，该询问是读取器R选择的随机值。借助于示例，该数据是该票券的一部分，并且在此示例中，它对应于票券Xi的16个最低有效比特；这写为[Xi]16。例如，对所发送的Xi的该部分(即，[Xi]16)和询问c进行级联。因而，确认消息AUTH-ACK包括被写为[Xj16I Ic的级联值。在接收和检验步骤E31-9中，标签L接收确认消息，该标签1检验它已经接收到的值[Xi]16| I c确实与它发送的票券Xi相关联。考虑到验证票券的随机特性，当标签L将它在确认中已接收到的票券[Xi] 16的该部分与它所发送的票券Xi的16个最低有效比特进行比较时，并且当所述值相等时，该标签肯定读取器R已经正确地接收到它的回复消息。应该观察到，在确认消息中发送的询问c是用于在通过读取器R来验证标签L时使用的数据。在标识和验证步骤E31-10中，标签Tj计算对于它已经从读取器接收到的询问c的验证回复，并然后，它将该验证回复连同专用于该标签Tj的标识信息一起进行发送。因而，在再生和计算子步骤E31-10a中，标签Tj对随机数&进行再生。为此目的，将在标签Tj中安装的并且通过再生秘密密钥k来参数化的伪随机函数PRF应用于用于标识票券Xi的索引i。已知的是，伪随机函数需要用于标签L的很小的计算功率。然后，标签L使用以下公式来计算对于询问c的回复y d^i+sc。回复y是随机数!Ti和秘密密钥s与询问c的标量积之和。其后，在发送子步骤E31-10b中，标签Tj将验证消息AUTH-ID发送到读取器，该消息包括验证回复y、连同专用于标签Tj的标识序列。专用于标签的该序列包括写为“PC”(代表了“产品代码”)的16比特字符串，其用于标识标签的能力；64到128比特上的电子产品代码“EPC”，其用于唯一地标识标签；以及16比特循环冗余校验码“CRC”，其用于误差校正，该CRC是基于代码PC和标识符EPC来确定的，并且用来检测传送误差。通过对数据y、PC、EPC和CRC全部进行级联来获得标识消息AUTH-ID，并且将此级联的结果写为y PC EPC |CRC。在接收步骤E31-11中，读取器接收该标识消息。在检验步骤E31-12中，读取器R检验在接收步骤E31-6期间从标签Tj接收到的票券等于通过应用散列函数HASH、同时使用椭圆曲线上的添加来将点P添加y次、并且将公开密钥V添加C次所获得的值。换言之，将所接收到的票券与HASH(yP+cV)进行比较。如果检验是肯定的(图3中的支路“好的”)，则已经利用读取器R来正确地验证了标签Τ」。因而，如果在步骤E31-12中执行的检验是肯定的，则读取器R保持专用于标签Tj的标识数据，并且读取器R还已经验证了该标签Τ」。在步骤E31-12的结束处，除了标签L之外的所有无线电标签都处于等待状态，这是由于在此示例中，它们已经选择的时隙没有在来自读取器R的查询消息中被涉及。借助于示例，HASH函数是函数SHA-I (代表了“保密散列算法”)。交换还可以发生在标签Tj与读取器R之间。那么，(这里没有描述的)这些交换专用于应用。一旦标签1与读取器R之间的交换已经终止，标签Tj就进入休眠状态。如果读取器期望与该集合中的其他标签进行交互，则它发送用于指定接下来的时隙的新的质询消息AUTH-QUERYREP。此质询步骤类似于质询步骤E31-2。
在给定时隙中，并且当仅仅一个标签对读取器进行回复时，执行如上所述的步骤E31-3 到 E31-12。在其中多个标签对读取器R在步骤E31-2期间发送的质询消息AUTH-QUERY(或在接下来的时隙中发送的消息AUTH-QUERYREP)进行回复的情形(在图I中未示出)中，已经回复的标签将它们自己置于临时等待状态或休眠状态中。此情形对应于来自标签的回复之间的冲突，并因此，所述回复无法被读取器R处理。在其中还没有标签对读取器R在步骤E31-2期间发送的查询消息AUTH-QUERY进行回复的情形(在图I中未示出)中，读取器R发送用于指定接下来的时隙的新的查询消息AUTH-QUERYREPο一旦读取器R已经处理了范围[OJtl-I]中的所有时隙，读取器就可以发送新的查询消息AUTH-QUERY，以便标识和验证在先前交换期间没有标识和验证的标签。如上所述，假设标签Tj已经选择了时隙O。自然地，该标签本可以选择任何时隙。当适当时，它等待以从读取器R接收新的查询消息AUTH-QUERYREP，该新的查询消息指定了它已经选择的时隙，以便根据上述回复步骤E31-5，来在回复时发送它的验证票券之一。在这里描述的cryptoGPS变体中，当实际上使用票券时，具体地在此示例中，在子步骤31-10a期间，标签Tj对用于使用公式Xi=HASH(riP)来计算验证票券的值巧进行再生。因而，仅仅票券Xi需要被标签L存储。这在标签具有有限储存存储器时是有利的。本发明不限于所描述的cryptoGPS变体。存在这个方案的其他变体。因而，在用于构成该方案的优化的GPS方案(未示出)的另一实现中，通过除了读取器R和标签Tj之外的计算实体来预先计算该标签的验证票券Xi，并且将它们存储在读取器中，或者计算实体经由通信信道来将它们传递到读取器。在这种情况下，标签Tj在回复步骤E31-5期间发送的回复消息包括以下值，该值是标签所选择的随机数RN和用于向读取器告知在当前交换期间标签正在使用哪个票券Xi的票券索引CID的函数。因而，在指定用于该票券的索引的意义上，该响应消息取决于该票券，并此外，保留了其随机特性，这是由于将随机数RN用于计算来自标签的回复。将在该回复中传送的值写为g(RN，CID)。例如，函数g可以包括对随机数RN和票券索引CID进行级联。通常，在配置阶段E30之后，再生秘密密钥k仅仅存在于标签中，它决不离开该标签，并且没有将它设计为与任何其他实体进行共享，除了可能地与用于预先计算该标签的验证票券的计算实体进行共享之外。再生密钥k不同于秘密密钥S。不过，在GPS方案的实现中，它可以根据密钥s来推导出。在cryptoGPS验证方案的另一变体中，在标签Tj中存储的并且传送到读取器R的验证票券是对(^，Xi)、或所谓的“非缩减票券”。在此变体中，因而将随机数存储在标签中，并且，没有如它们在上述方案中那样对它们进行再生。应该观察到，此变体在标签Tj中的存储空间占用方面不太有利，这是由于它需要标签存储更多的信息。在cryptoGPS方案的另一实现中，所述票券同样地是对Cri, Xi)，其中Xi=HASiKriPh该值&是随机数，并且P是椭圆曲线E上的点。借助于示例，函数HASH表示“SHA-1”密码散列函数。一般地，本发明扩展到任何验证协议，该协议基于在涉及验证、询问、和验证回复的约定中在传统上称为“证明器(prover)”的第一实体与传统上称为“检验器(verifier)” 的第二实体之间的交换。在本发明的另一实现中，在回复步骤E31-5中，通过从票券Xi中提取某些比特来获得标签所传送的并且作为该票券的函数的值。例如，通过选择票券Xi的16比特来获得该值。在另一示例中，通过选择一小部分票券来获得该值，该一小部分小于原始票券Xi。在本发明的另一实现中，在回复步骤E31-5中，标签在回复消息中传送的值包括标签所选择的随机数和验证票券Xi。因而，在单一消息中，标签发送如传统上在验证协议(诸如，cryptoGPS)期间所发送的验证票券、和如传统上在标识协议期间所发送的随机数。此外，本发明不限于确认消息AUTH-ACK，该确认消息由读取器R发送，并且包含票券Xi的16个最低有效比特与询问c的级联([Xj161 I c)(或者在上述示例中，该询问与作为该票券的函数的该值的级联)。因而，在本发明的另一实现中，读取器在步骤E31-8中发送的确认AUTH-ACK包括所得到的值，该值是在步骤E31-6期间从读取器R接收到的验证票券和读取器所选择的询问c的函数。因而，在此示例中，确认消息AUTH-ACK包括写为h (Xi, c)的值，其对应于将函数h应用于票券Xi并应用于询问C。在另一实现中，标签Tj在步骤E31-5期间发送的回复消息AUTH-REP的一部分对应于随机数c’。有利地，标签可以在读取器的验证期间使用此随机数，该方法然后实现该标签和该读取器的相互验证。在此示例中，读取器R在确认消息AUTH-ACK中发送值，该值是询问c的验证票券Xi和从标签接收到的随机数的函数。将所传送的值写为h’ (Xi, c，c’)。下面，参考图4来描述本发明具体实施例中的无线电读取器R。无线电读取器R是有源装置，用于在无线电频率处进行传送，并且通过向进入到该读取器R附近范围内的标签集合(在图4中未示出)供应它们所需要的能量来激活该标签集合。本发明的读取器R适于在根据如上所述的本发明方法的步骤的标识和验证序列期间，与该集合的标签进行对话，以便标识和验证该集合(在图4中未示出)中的具体标签Tj。该步骤的每个标签存储专用于其的并且被写为Xi的验证票券。读取器R具有多个模块·处理器模块40或中央处理器单元(CPU)； 存储器的集合，包括易失性随机存取存储器(RAM)41，用于执行代码指令、存储变
且雄
里寺；·天线42，适合于在无线电信道上进行传送和接收；
·选择器模块43，用于选择定义了时隙集合的操作模块q，在该时隙集合期间，读取器正要向标签发送查询消息。根据操作参数q来定义时隙的数目；它等于2\选择器模块43适于实现参考图3所描述的标识和验证方法的步骤E31-1 ；·第一模块，耦接到天线42，其构成第一发送模块44，该第一发送模块44被安排为在时隙期间发送查询消息AUTH-QUERY或AUTH-QUERYREP。因而，取决于其特性，查询消息指定了用于基于该操作参数所定义的时隙数目的当前时隙。传统上，使得AUTH-QUERY类型的第一消息传送时隙的数目(2 ，并且与值O所标识的第一时隙相关联。被写为AUTH-QUERYREP的接下来的查询消息传送当前时隙值。第一发送模块44适于实现参考图3所描述的方法的步骤E31-2。它还适于实现在读取器已经在先前时隙期间从标签接收到零或者多个回复之后、发送新的查询消息AUTH-QUERYREP的步骤(在图3中未示出)；·第二模块，当耦接到天线42时，其构成第一接收模块45，该第一接收模块45被安排为从已经选择了当前时隙的该集合中的一个或多个标签接收回复消息。标签所发送的回复消息包括作为专用于该标签的所述验证票券之一的函数的值，这构成该标签所选择的随机值。第一接收模块45适于实现参考图3所描述的方法的步骤E31-6 ； 检验模块46，被安排为检验第一接收部件45在所选择的时隙期间已经接收到仅仅一个回复消息。由于回复消息的数目表示已经对查询消息进行回复的标签的数目，所以检验模块46因而检验在所选择的时隙期间有多少标签已经对读取器进行回复。检验模块46适于实现参考图3所描述的检验步骤E31-7 ； 第三模块，当与天线42耦接时，其构成第二发送模块47，被安排为在检验部件46的控制之下向单一标签发送确认消息，该消息是作为随机值的函数而建立的。因而，只有当检验模块46已经检验出仅仅一个标签对第一发送模块44所发送的查询消息进行了回复时，才激活第二发送模块47。第二发送模块47适于实现该标识和验证方法的步骤E31-8 ；以及 第四模块，当与天线42耦接时，其构成第二接收模块48，被安排为从票券(具体地，仅仅从进行回复的标签)接收标识消息，该消息包括标识信息。只有在第二发送模块47已经发送确认消息之后，第二接收模块才接收该标识消息。因而，只有当单一标签已经对读取器进行回复时，第二接收模块48才接收标识消息。第二接收模块48适于实现参考图3所描述的方法的接收步骤E31-11。所述模块经由通信总线来进行通信。模块43、44、45、46、47和48优选地是软件模块，所述软件模块包括用于使得执行本发明的标识和验证方法的步骤的软件指令。因此，本发明还提供了 ·计算机程序，包括用于当由处理器来执行该程序时，实现由读取器执行的用于标识和验证标签的方法的那些步骤的指令；以及·读取器可读记录介质，在其上记录有上述计算机程序。该软件模块可以存储在数据介质中或者通过数据介质进行传送。该介质可以是硬件存储介质(例如，致密盘只读存储器(CD-ROM)、磁软盘或硬盘)、或事实上的传送介质(诸如，信号、或电信网络)。在本发明的变化实施例中，读取器R包括通信部件(未示出)，用于与计算实体进行通信，适于请求和接收用于当前验证的票券。
在没有详细描述的本发明的具体实施例中，所述标签是有源装置。于是，所述标签具有使得它们能够传送信号的它们自己的电池。因而，与当所述标签是用于从读取器接收其能量的无源装置时可能交互的距离相比，所述标签和该读取器R能够在更大的距离上进行交互。下面，参考图5来描述本发明的具体实施例中的无线电标签T。在根据上述方法的步骤的标识和验证序列期间，标签T适于与无线电读取器(在图5中未示出)进行对话。在这里描述的具体示例中，标签T是用于从无线电读取器接收其能量的无源装置，同时该标签T由该无线电读取器来进行查询。标签T包括·天线50，适合于向读取器进行发送，并且从读取器进行接收；·储存部件51，诸如存储器，适合于当预先计算标签的验证票券Xi时，存储用于形 成私密和公开密钥的GPS对(S，V)的部分的秘密密钥S、第一再生密钥k、伪随机函数PRF、和这种票券； 硅芯片52，具有适合于构成不可编程硬接线逻辑电路的逻辑门的多个晶体管。该逻辑电路定义·选择器部件53，被安排为从可用时隙的集合中选择时隙；·第一部件，当稱接到天线50时，其构成第一接收部件54,该第一接收部件54被安排为在选择器部件53所选择的时隙期间从读取器接收查询消息；·第二部件，当稱接到天线50时,其构成第一发送部件55,该第一发送部件55被安排为向读取器发送回复消息，该消息包括以下值，该值是作为该标签所选择的随机值的所述验证票券之一的函数；·第三部件，当耦接到天线50时，其构成第二接收部件56，该第二接收部件56被安排为从读取器接收确认消息，该消息是作为验证票券的函数而建立的；以及·第四部件，当耦接到天线50时，其构成第二发送部件57，该第二发送部件57被安排为向读取器发送标识消息，该标识消息包括标识信息。该标识消息还包括根据专用于该标签并且根据从读取器接收到的询问而计算的验证回复y。选择器部件53适于实现参考图3所描述的步骤E31-4。该第一接收部件54适于实现标识和验证方法的步骤E31-3。第一发送部件55适于实现参考图3所描述的步骤E31-5。第二接收部件56适于实现参考图3所描述的步骤E31-9。第二发送部件57适于实现参考图3所描述的标识和验证方法的步骤E31-10。本发明还提供了标识和验证系统，该标识和验证系统包括诸如参考图4所描述的读取器R、和诸如参考图5所描述的至少一个标签。该系统适于实现参考图3所描述的方法的步骤。
权利要求
1.一种当由无线电读取器(R)来实现时、用于标识和验证无线电标签(Tj)的方法，所述标签形成该读取器的无线电范围中的标签集合的部分，并且已经从可用时隙的集合(2”中选择了时隙，该方法包括 该读取器在所选择的时隙期间发送查询消息的步骤(E31-2);以及 该读取器从选择了该时隙的标签接收回复消息的步骤(E31-6)，所述回复消息包括该标签所选择的随机值； 该方法的特征在于，该标签存储验证票券(Xi)，并且该读取器在该时隙期间从该标签接收的回复包含作为所述票券之一的函数的值，作为该标签所选择的随机值。
2.根据权利要求I的方法，还包括 该读取器向所述标签发送确认消息的步骤(E31-8)，该确认消息是作为该随机值的函数所建立的，并且包括该读取器所选择的询问(c)；以及 该读取器从该标签接收标识消息的步骤(E31-11)，该标识消息包括标识信息。
3.根据权利要求2的方法，其中，该标识消息还包括根据该询问并且根据专用于该标签的秘密所计算的验证回复(y)，该方法包括 该读取器检验在从该标签接收的回复消息中包含的随机值等于根据该验证回复并且根据该询问所计算的值的步骤(E31-12)，其中当该检验是肯定的时，该标签的验证是成功的。
4.根据权利要求2的方法，其中，该确认消息包括作为验证票券的函数的数据([Xi] 16, f (Xi))。
5.根据权利要求I的方法，其中，来自该标签的回复消息还包括第二随机数(C’)，并且该读取器所发送的确认还作为该第二随机数的函数来建立。
6.一种利用无线电读取器(R)来标识和验证标签(Tj)的方法，该标签处于该读取器的无线电范围内，所述标签已经从可用时隙的集合(2 中选择了时隙，该方法包括 在所选择的时隙期间从该读取器接收查询消息的步骤(E31-3);以及 从该标签向该读取器发送回复消息的步骤(E31-5)，所述回复消息包括该标签所选择的随机值； 该方法的特征在于，该标签存储验证票券(Xi)，并且从该标签向该读取器发送的回复包含该标签所选择的随机值，该值是所述票券之一的函数。
7.根据权利要求6的方法，还包括 从该读取器接收确认消息的步骤(E31-9)，该消息是作为该随机值的函数所建立的，并且包括该读取器所选择的询问(c);以及 向该读取器发送标识消息的步骤(E31-10)，该消息包括标识信息。
8.根据权利要求7的方法，其中，向该读取器发送的标识消息还包括根据该询问并且根据专用于该标签的秘密所计算的验证回复(y)。
9.一种读取器，适于标识和验证无线电标签(Tj),所述标签形成该读取器的无线电范围中的标签集合的部分，并且已经从可用时隙的集合(2”之中选择了时隙，该标签存储验证票券(Xi)，并且该读取器包括 第一发送部件(44)，被安排为在所选择的时隙期间发送查询消息； 第一接收部件(45)，被安排为从已经选择了该时隙的标签接收回复消息，所述回复消息包括由该标签所选择的随机值，该值是所述验证票券之一的函数；以及 检验部件(46)，被安排为检验在所选择的时隙期间有多少回复消息已经被该第一接收部件所接收。
10.一种无线电标签(Tj),适于通过无线电读取器(R)来进行标识和验证，该标签包括 用于存储验证票券的部件(51)； 选择器部件(53)，被安排为从可用时隙的集合中选择时隙； 第一接收部件(54)，被安排为在该选择器部件所选择的时隙期间从该读取器接收查询消息；以及 第一发送部件(55)，被安排为向该读取器发送回复消息，该回复消息包括由所述验证票券之一构成的、由该标签所选择的随机值。
11.一种无线电验证系统，包括 根据权利要求9的无线电读取器；以及 至少一个根据权利要求10的无线电标签。
12.—种计算机程序，用于安装在无线电读取器的存储器中，该程序包括指令，用于实现根据权利要求I到5中任一项的由读取器实现的无线电标签标识和验证方法的步骤，当通过处理器来执行该程序时，通过该读取器来执行所述步骤。
13.一种数据介质，在其上存储有根据权利要求12的计算机程序。
全文摘要
本发明涉及一种用于通过无线电读取器(R)来标识和验证RFID标签(Tj)的方法，所述标签属于该读取器的无线电范围内的标签集合，并且已经从可用时隙的集合(2q)中选择了时隙，该方法包括以下步骤-该读取器在所选择的时隙期间传送(E31-2)质询消息；-以及从已经选择了该时隙的标签接收(E31-6)响应消息，所述响应消息包括该标签所选择的随机值。本发明的特征在于，当该标签存储验证票券(xi)时，该读取器在该时隙期间接收的该标签的响应包含作为所述票券之一的函数的值，作为该标签所选择的随机值。
文档编号H04L12/06GK102823222SQ201180016539
公开日2012年12月12日 申请日期2011年1月26日 优先权日2010年2月1日
发明者M.罗布肖, H.吉尔伯特 申请人:法国电信公司