一种物联网电子标签的传感信息安全防护方法

专利名称：一种物联网电子标签的传感信息安全防护方法
技术领域：
:本发明涉及信息安全领域，是利用密码技术实现电子标签即:RFID传感信息的传输可信、安全和完整。
背景技术：
:目前，国内外一些厂商开发的物联网系统，都是将RFID的传感信息以明文的形式存储在RFID中，RFID内的信息容易外泄，或被篡改，个别厂商采用公钥技术如:PKI，对RFID的传感信息进行签名和加密，但是，采用PKI技术建立CA认证中心的成本较高，CA认证中心对RFID的传感信息进行完整性验证的速度都较慢，由于，物联网RFID数量十分巨大，CA认证中心不能满足超大规模即:海量RFID传感信息完整性验证的市场需求，从而，影响了 PKI技术在物联网RFID传感信息安全防护领域的应用
发明内容
:一种电子标签的传感信息安全防护方法，是采用轻量级密码算法即:密码编制简单且加解密速度快的单钥密码算法、一种安全单钥管理技术和芯片硬件技术，建立物联网RFID传感信息的安全防护系统；若采用常用的单钥管理情况下，在RFID读卡器智能卡芯片里建立RFID读卡器端加密系统，在智能卡芯片里写入:轻量级密码算法、摘要算法、一组传输密钥、RFID读卡器端智能卡芯片的标识、RFID读卡器传感信息的加密和数字签名协议，在物联网认证中心加密卡芯片里建立物联网认证中心端加密系统，在加密卡芯片里写入:轻量级密码算法、摘要算法、全体对应RFID读卡器端的传输密钥、全体对应加密RFID签名密钥的存储密钥、对应认证中心端的全体RFID读卡器端智能卡芯片的标识、RFID传感信息的加密和数字签名协议、RFID传感信息的密文解密和签名验证协议，RFID读卡器传感信息的密文解密和签名验证协议；RFID传感信息的加密和数字签名协议，物联网认证中心端加密系统，在加密卡里调用随机数发生器产生一组随机数，将该组随机数作为RFID的签名密钥，来将RFID传感信息事先加密和数字签名，再用存储密钥将RFID的签名密钥加密成密文，将RFID的标识、RFID传感信息的密文和RFID传感信息的数字签名这3组数据，一起事先存储在RFID里，同时，将RFID的标识和RFID的签名密钥密文这两组数据，存放在物联网认证中心端的签名密钥数据库中；RFID读卡器传感信息的加密和数字签名协议，RFID读卡器端加密系统，在RFID读卡器端智能卡芯片里，调用随机数发生器产生一组随机数，用该组随机数作为RFID读卡器的签名密钥，将RFID读卡器从RFID中读出的RFID读卡器的传感信息进行加密和数字签名，生成RFID读卡器传感信息的密文和RFID读卡器传感信息的数字签名，其中:RFID读卡器的传感信息包括=RFID的标识、RFID传感信息的密文和RFID传感信息的数字签名这3组数据，用RFID读卡器智 能卡芯片里的传输密钥，将RFID读卡器的签名密钥加密成密文，再将RFID读卡器的签名密钥密文、RFID读卡器端智能卡芯片的标识、RFID读卡器传感信息的密文和RFID读卡器传感信息的数字签名这4组数据，一起发送给物联网认证中心；RFID读卡器传感信息的密文解密和签名验证协议，物联网认证中心端加密系统，根据RFID读卡器智能卡芯片的标识，在物联网认证中心加密卡芯片里，取出对应RFID读卡器端的传输密钥，并用该传输密钥将接收到的签名密钥的密文解密，再用解密后的签名密钥，来解密RFID读卡器端传感信息的密文，并对RFID读卡器端传感信息的数字签名进行签名验证，来实现感知层RFID读卡器的传感信息保密传输和完整性验证；RFID传感信息的密文解密和签名验证协议，当物联网认证中心端已确认接收到的RFID读卡器端的传感信息可信、完整后，物联网认证中心端加密系统，根据RFID的标识选出对应的存储密钥，用该存储密钥将RFID的签名密钥的密文解密成明文，再用解密后的RFID的签名密钥，来解密RFID传感信息的密文，并对RFID传感信息的数字签名进行签名验证，来确认对RFID传感信息的签名是否可信、完整；当RFID或RFID读卡器量较大时，物联网认证中心需要部署较多的加密卡设备，来存储大量对应RFID的存储密钥、或对应RFID读卡器端的传输密钥；在采用一种安全单钥管理技术情况下，在RFID读卡器智能芯片和物联网认证中心加密卡芯片里，建立物联网RFID感知层传感信息的保密传输和完整性验证系统，其方法的技术特征在于:在RFID读卡器智能卡芯片里建立RFID读卡器端加密系统，在智能卡芯片里写A:轻量级密码算法、摘要算法、RFID读卡器智能卡芯片的标识、一套密钥种子表B、单钥密钥组合生成算法、RFID读卡器传感信息的加密和数字签名协议，在物联网认证中心端加密卡芯片里建立物联网认证中心端加密系统，在加密卡芯片里写入:轻量级密码算法、摘要算法、一套密钥种子表A、 单钥密钥组合生成算法、RFID传感信息的加密和数字签名协议、密钥种子表B元素的加密和数字签名协议、RFID传感信息的解密和签名验证协议、RFID读卡器传感信息的解密和签名验证协议，在物联网认证中心端认证服务器的硬盘存储区，将对应物联网认证中心端全体RFID读卡器端智能卡芯片标识、密钥种子表B元素的密文及其密钥种子表B元素的数字签名、对应生成存储密钥的一组时间戳和随机数，一起存储在传输密钥数据库中，同时，将对应物联网认证中心端全体RFID标识、RFID签名密钥的密文、对应生成存储密钥的一组时间戳和随机数，一起存储在存储密钥数据库中；采用一种安全单钥管理技术即:采用三种密钥的管理方法，第一种密钥为:签名密钥，签名密钥用来建立RFID传感信息的加密和数字签名协议、或RFID读卡器传感信息的加密和数字签名协议；第二种密钥为:传输密钥，传输密钥用于加密签名密钥，保证签名密钥的交换安全；第三种密钥为:存储密钥，存储密钥用于分别加密对应全体RFID的签名密钥，或加密对应RFID读卡器端生成传输密钥的密钥种子表的元素，保证RFID的签名密钥在物联网认证中心端的存储安全，保证对应RFID读卡器端的密钥种子表的元素，在物联网认证中心端的存储安全，其中:传输密钥和存储密钥都是由一组时间戳和随机数组成的单钥密钥组合生成算法，对一套密钥种子表B或表A的元素进行选取，将选出的元素合成一组传输密钥或存储密钥；当RFID或RFID读卡器的数量十分大时，不需要在物联网认证中心端部署较多的加密卡设备，来存储大量对应RFID读卡器端生成传输密钥的密钥种子，或存储大量用于加密RFID签名密钥的存储密钥，或存储大量用于加密对应RFID读卡器端密钥种子表B的存储密钥；RFID传感信息的加密和数字签名协议，物联网认证中心端加密系统，用加密卡芯片里生成的RFID的签名密钥，将RFID的传感信息事先进行加密和数字签名，将RFID的标识、RFID传感信息的密文和RFID传感信息的数字签名，一并写入RFID中，再根据单钥密钥组合生成算法，产生一组存储密钥，将RFID的签名密钥加密成密文，将RFID的标识、RFID的签名密钥密文，以及对应生成存储密钥的一组时间戳和随机数，一并存放在物联网认证中心端的签名密钥数据库中；密钥种子表B元素的加密和数字签名协议，物联网认证中心端加密系统，在加密卡芯片里，分别将对应RFID读卡器端密钥种子表B的元素，用单钥密钥组合生成算法产生的存储密钥进行加密和数字签名，并将对应的RFID读卡器智能卡芯片的标识、密钥种子表B的元素密文、密钥种子表B的元素的数字签名、以及对应生成存储密钥的一组时间戳和随机数，一并事先存储在物 联网认证中心端的传输密钥数据库中；RFID读卡器传感信息的加密和数字签名协议，RFID读卡器端加密系统，用智能卡芯片里生成的RFID读卡器的签名密钥，将RFID读卡器的传感信息进行加密和数字签名，根据单钥密钥组合生成算法，产生一组传输密钥，将RFID读卡器的签名密钥加密成密文，再将RFID读卡器端智能卡芯片的标识、RFID读卡器的传感信息密文、RFID读卡器传感信息的数字签名、RFID读卡器的签名密钥密文，以及对应生成传输密钥的一组时间戳和随机数，一起发送给物联网认证中心；当物联网认证中心接收到RFID读卡器端，发送来的RFID读卡器传感信息的密文和RFID读卡器传感信息的数字签名后，首先，对传输密钥数据库中对应记录的密钥种子表B的元素密文进行解密和完整性验证，之后，对RFID读卡器传感信息的密文进行解密，并对RFID读卡器传感信息的数字签名进行签名验证，最后，再对RFID传感信息密文的进行解密，并对RFID传感信息的数字签名进行签名验证，实现感知层的传感信息保密传输和完整性验证，从而，建立一种物联网RFID的感知层信息安全防护系统，全部过程用软件和硬件结合方式实现，具体方法如下:1、在RFID读卡器上嵌入一块智能卡，将智能卡作为RFID读卡器端的加密系统硬件设备，即=RFID读卡器与一块智能卡连接，两者之间的数据是双向传输，在RFID读卡器端智能卡芯片里，建立RFID读卡器端的加密系统，在智能卡芯片里，写入轻量级密码算法、摘要算法、单钥密钥组合生成算法、RFID读卡器传感信息的加密和数字签名协议，且写入数据:RFID读卡器端智能卡芯片的标识和一套密钥种子表Bi的元素，i = I n，n为对应物联网认证中心全体RFID读卡器数量总和。2、每个RFID读卡器端智能卡芯片都有唯一的标识，且两两互不相同，每台RFID读卡器都与嵌入的智能卡--对应。3、RFID是一种电子标签，RFID中的数据为事先写入，工作时由RFID读卡器进行读取；RFID内主要存放的数据为:RFID的标识、对应物品的基本信息，如:一袋奶粉的基本信息，包括:奶粉的生产厂商名称、生产日期、重量、成分配料、配料的生产地、配料的生产厂商、……，每个RFID都有唯一的标识，且两两互不相同；定义:RFID的传感信息为物品的基本信息，RFID的传感信息是事先被签名和加密成密文后，与RFID的标识一起被写入RFID中；定义:事先写入RFID中的RFID的标识、RFID传感信息的密文和RFID传感信息的数字签名这3组数据为RFID读卡器的传感信息。4、物联网认证中心由认证服务器和加密卡硬件设备组成，在认证服务器的PCI接口上插入加密卡，将加密卡作为物联网认证中心端的加密系统硬件设备，在加密卡的芯片里，建立物联网认证中心端的加密系统，在加密卡芯片里，写入轻量级密码算法、摘要算法、单钥密钥组合生成算法、RFID传感信息的加密和数字签名协议、密钥种子表B元素的加密和数字签名协议、RFID传感信息密文的解密和签名验证协议、RFID读卡器传感信息密文的解密和签名验证协议，且写入数据:一套密钥种子表A的元素，在物联网认证中心端认证服务器的硬盘存储区，将全体对应RFID读卡器端智能卡芯片里的密钥种子表Bi的元素，存储在传输密钥数据库中，该传输密钥数据库中的每条记录包含字段内容为:①RFID读卡器端智能卡芯片的标识T1、②密钥种子表Bi元素的密文即:Bi’、③密钥种子表Bi元素的数字签名即:密钥种子表Bi元素摘要Gl的密文、④一组时间戳和随机数，其中:一组时间戳和随机数，作为单钥密钥组合生成算法中的选取参数，对表A的元素进行选取，将选出的元素合成一组存储密钥Ki，并用该存储密钥Ki来加密密钥种子表Bi的元素，并对密钥种子表Bi元素进行数字签名；将RFID的标识Xj、RFID的签名密钥密文，以及对应生成存储密钥KKj的选取参数即:一组时间戳和随机数，一并存放在物联网认证中心端的签名密钥数据库中，其中:对应生成的存储密钥KKj，是用于加密RFID的签名密钥，i = I n，n为对应物联网认证中心端全体RFID读卡器数量总和，j = I m，m为对应物联网认证中心端全体RFID数量总和。5,RFID读卡器端和物联网认证中心两端的加密系统，使用的轻量级密码算法，如:SM1、DES、RC5、SMS4，使用的摘要算法，如:SHA_1、SM3、MD5，定义密钥长度为128比特，摘要算法的摘要信息长度为:128比特或256比特。6、采用一种安全单钥管理技术进行轻量级密码的密钥管理，来建立物联网RFID感知层传感信息保密传输和完整性验证系统，(I)签名密钥，设:RFID读卡器的签名密钥为:CK，由RFID读卡器端智能卡芯片里的随机数发生器实时产生一组128比特的随机数，用该组随机数作为RFID读卡器的签名密钥CK，对RFID读卡器的传感信息进行加密和数字签名，再用单钥密钥组合生成算法生成的一组传输密钥SK，来加密签名密钥CK，生成签名密钥密文即:CK’，并将CK’与生成传输密钥SK的选取参数即:一组时间戳和随机数，一并发送给物联网认证中心端，实现从RFID读卡器端到物联网认证中心端之间，RFID读卡器签名密钥CK的安全交换；
设:RFID的签名密钥为:CKK，在向RFID里写RFID传感信息时，使用物联网认证中心端加密卡芯片里的随机数发生器，产生一组128比特的随机数，用该组随机数作为RFID的签名密钥CKKjfRFID内的传感信息进行加密和数字签名，再用单钥密码组合生成算法生成一组存储密钥，来加密RFID的签名密钥CKK，生成签名密钥密文即:CKK’，其中:存储密钥KK是由一组时间戳和随机数组成的单钥密钥组合生成算法，对一套密钥种子表A的元素进行选取，将选出的元素合并成存储密钥KK，并将RFID的标识、RFID的签名密钥密文即:CKK’、生成存储密钥KK的选取参数即:一组时间戳和随机数，一并存储在物联网认证中心的签名密钥数据库中，实现RFID签名密钥CKK在物联网认证中心端的安全存储。
(2)传输密钥设:传输密钥为:SK，用传输密钥SK加密RFID读卡器的签名密钥CK，在密钥初始化过程中，由物联网认证中心端加密卡芯片里的随机数发生器，生成一组Fl字节随机数，Fl = 1424或1680字节，将Fl字节的随机数组成，一套WX Y的密钥种子表Bi，
权利要求
1.一种物联网电子标签的传感信息安全防护方法，是采用轻量级密码算法即:密码编制简单且加解密速度快的单钥密码算法、一种安全单钥管理技术和芯片硬件技术，建立物联网RFID传感信息的安全防护系统，其实施步骤如下: 若采用常用的单钥管理情况下，在RFID读卡器智能卡芯片里建立RFID读卡器端加密系统，在智能卡芯片里写入:轻量级密码算法、摘要算法、一组传输密钥、RFID读卡器端智能卡芯片的标识、RFID读卡器传感信息的加密和数字签名协议，在物联网认证中心加密卡芯片里建立物联网认证中心端加密系统，在加密卡芯片里写入:轻量级密码算法、摘要算法、全体对应RFID读卡器端的传输密钥、全体对应加密RFID签名密钥的存储密钥、对应认证中心端的全体RFID读卡器端智能卡芯片的标识、RFID传感信息的加密和数字签名协议、RFID传感信息的密文解密和签名验证协议，RFID读卡器传感信息的密文解密和签名验证协议； RFID传感信息的加密和数字签名协议，物联网认证中心端加密系统，在加密卡里调用随机数发生器产生一组随机数，将该组随机数作为RFID的签名密钥，来将RFID传感信息事先加密和数字签名，再 用存储密钥将RFID的签名密钥加密成密文，将RFID的标识、RFID传感信息的密文和RFID传感信息的数字签名这3组数据，一起事先存储在RFID里，同时，将RFID的标识和RFID的签名密钥密文这两组数据，存放在物联网认证中心端的签名密钥数据库中； RFID读卡器传感信息的加密和数字签名协议，RFID读卡器端加密系统，在RFID读卡器端智能卡芯片里，调用随机数发生器产生一组随机数，用该组随机数作为RFID读卡器的签名密钥，将RFID读卡器从RFID中读出的RFID读卡器的传感信息进行加密和数字签名，生成RFID读卡器传感信息的密文和RFID读卡器传感信息的数字签名，其中:RFID读卡器的传感信息包括=RFID的标识、RFID传感信息的密文和RFID传感信息的数字签名这3组数据，用RFID读卡器智能卡芯片里的传输密钥，将RFID读卡器的签名密钥加密成密文，再将RFID读卡器的签名密钥密文、RFID读卡器端智能卡芯片的标识、RFID读卡器传感信息的密文和RFID读卡器传感信息的数字签名这4组数据，一起发送给物联网认证中心； RFID读卡器传感信息的密文解密和签名验证协议，物联网认证中心端加密系统，根据RFID读卡器智能卡芯片的标识，在物联网认证中心加密卡芯片里，取出对应RFID读卡器端的传输密钥，并用该传输密钥将接收到的签名密钥的密文解密，再用解密后的签名密钥，来解密RFID读卡器端传感信息的密文，并对RFID读卡器端传感信息的数字签名进行签名验证，来实现感知层RFID读卡器的传感信息保密传输和完整性验证； RF ID传感信息的密文解密和签名验证协议，当物联网认证中心端已确认接收到的RFID读卡器端的传感信息可信、完整后，物联网认证中心端加密系统，根据RFID的标识选出对应的存储密钥，用该存储密钥将RFID的签名密钥的密文解密成明文，再用解密后的RFID的签名密钥，来解密RFID传感信息的密文，并对RFID传感信息的数字签名进行签名验证，来确认对RFID传感信息的签名是否可信、完整； 当RFID或RFID读卡器量较大时，物联网认证中心需要部署较多的加密卡设备，来存储大量对应RFID的存储密钥、或对应RFID读卡器端的传输密钥； 在采用一种安全单钥管理技术情况下，在RFID读卡器智能芯片和物联网认证中心加密卡芯片里，建立物联网RFID感知层传感信息的保密传输和完整性验证系统，其方法的技术特征在于: 在RFID读卡器智能卡芯片里建立RFID读卡器端加密系统，在智能卡芯片里写入:轻量级密码算法、摘要算法、RFID读卡器智能卡芯片的标识、一套密钥种子表B、单钥密钥组合生成算法、RFID读卡器传感信息的加密和数字签名协议，在物联网认证中心端加密卡芯片里建立物联网认证中心端加密系统，在加密卡芯片里写入:轻量级密码算法、摘要算法、一套密钥种子表A、单钥密钥组合生成算法、RFID传感信息的加密和数字签名协议、密钥种子表B元素的加密和数字签名协议、RFID传感信息的解密和签名验证协议、RFID读卡器传感信息的解密和签名验证协议，在物联网认证中心端认证服务器的硬盘存储区，将对应物联网认证中心端全体RFID读卡器端智能卡芯片标识、密钥种子表B元素的密文及其密钥种子表B元素的数字签名、对应生成存储密钥的一组时间戳和随机数，一起存储在传输密钥数据库中，同时，将对应物联网认证中心端全体RFID标识、RFID签名密钥的密文、对应生成存储密钥的一组时间戳和随机数，一起存储在存储密钥数据库中； 采用一种安全单钥管理技术即:采用三种密钥的管理方法，第一种密钥为:签名密钥，签名密钥用来建立RFID传感信息的加密和数字签名协议、或RFID读卡器传感信息的加密和数字签名协议；第二种密钥为:传输密钥，传输密钥用于加密签名密钥，保证签名密钥的交换安全；第三种密钥为:存储密钥，存储密钥用于分别加密对应全体RFID的签名密钥，或加密对应RFID读卡器端生成传输密钥的密钥种子表的元素，保证RFID的签名密钥在物联网认证中心端的存储安全，保证对应RFID读卡器端的密钥种子表的元素，在物联网认证中心端的存储安全，其中:传输密钥和存储密钥都是由一组时间戳和随机数组成的单钥密钥组合生成算法，对一套密钥种子表B或表A的元素进行选取，将选出的元素合成一组传输密钥或存储密钥； 当RFID或RFID读卡器的数量十分大时，不需要在物联网认证中心端部署较多的加密卡设备，来存储大量对应RFID读卡器端生成传输密钥的密钥种子，或存储大量用于加密RFID签名密钥的存储密钥，或存储大量用于加密对应RFID读卡器端密钥种子表B的存储密钥； RFID传感信息的加密和数字签名协议，物联网认证中心端加密系统，用加密卡芯片里生成的RFID的签名密钥，将RFID的传感信息事先进行加密和数字签名，将RFID的标识、RFID传感信息的密文和RFID传感信息的数字签名，一并写入RFID中，再根据单钥密钥组合生成算法，产生一组存储密钥，将RFID的签名密钥加密成密文，将RFID的标识、RFID的签名密钥密文，以及对应生成存储密钥的一组时间戳和随机数，一并存放在物联网认证中心端的签名密钥数据库中； 密钥种子表B元素的加密和数字签名协议，物联网认证中心端加密系统，在加密卡芯片里，分别将对应RFID读卡器端密钥种子表B的元素，用单钥密钥组合生成算法产生的存储密钥进行加密和数字签名，并将对应的RFID读卡器智能卡芯片的标识、密钥种子表B的元素密文、密钥种子表B的元素的数字签名、以及对应生成存储密钥的一组时间戳和随机数，一并事先存储在物联网认证中心端的传输密钥数据库中； RFID读卡器传感信息的加密和数字签名协议，RFID读卡器端加密系统，用智能卡芯片里生成的RFID读卡器的签名密钥，将RFID读卡器的传感信息进行加密和数字签名，根据单钥密钥组合生成算法，产生一组传输密钥，将RFID读卡器的签名密钥加密成密文，再将RFID读卡器端智能卡芯片的标识、RFID读卡器的传感信息密文、RFID读卡器传感信息的数字签名、RFID读卡器的签名密钥密文，以及对应生成传输密钥的一组时间戳和随机数，一起发送给物联网认证中心； 当物联网认证中心接收到RFID读卡器端，发送来的RFID读卡器传感信息的密文和RFID读卡器传感信息的数字签名后，首先，对传输密钥数据库中对应记录的密钥种子表B的元素密文进行解密和完整性验证，之后，对RFID读卡器传感信息的密文进行解密，并对RFID读卡器传感信息的数字签名进行签名验证，最后，再对RFID传感信息密文的进行解密，并对RFID传感信息的数字签名进行签名验证，实现感知层的传感信息保密传输和完整性验证，从而，建立一种物联网RFID的感知层信息安全防护系统。
2.根据权利I要求所述的方法其特征在于: 采用一种安全单钥管理技术进行轻量级密码的密钥管理，来建立物联网RFID感知层传感信息保密传输和完整性验证系统， (1)签名密钥， 设:RFID读卡器的签名密钥为:CK，用RFID读卡器的签名密钥CK，对RFID读卡器的传感信息进行加密和数字签名，再用单钥密钥组合生成算法生成的一组传输密钥SK，来加密签名密钥CK，生成签名密钥密文即:CK’，并将CK’与生成传输密钥SK的选取参数即:一组时间戳和随机数，一并发送给物联网认证中心端，实现从RFID读卡器端到物联网认证中心端之间，RFID读卡器签名密钥CK的安全交换； 设=RFID的签名密钥为:CKK，用RFID的签名密钥CKK JfRFID内的传感信息进行加密和数字签名，再用单钥密码组合生成算法生成一组存储密钥，来加密RFID的签名密钥CKK，生成签名密钥密文即:CKK’，其中:存储密钥KK是由一组时间戳和随机数组成的单钥密钥组合生成算法，对一套密钥种子表A的元素进行选取，将选出的元素合并成存储密钥KK，并将RFID的标识、RFID的签 名密钥密文即:CKK’、生成存储密钥KK的选取参数即:一组时间戳和随机数，一并存储在物联网认证中心的签名密钥数据库中，实现RFID签名密钥CKK在物联网认证中心端的安全存储； (2)传输密钥 设:传输密钥为:SK，用传输密钥SK加密RFID读卡器的签名密钥CK， 将密钥种子表Bi存放在RFID读卡器端智能卡芯片里，当运行RFID读卡器传感信息的加密和数字签名协议时，用一组时间戳和随机数组成的单钥密钥组合生成算法，对密钥种子表Bi的元素进行选取，将选出的Y个元素合成一组传输密钥SK，其中-.Y= 16，或32 ;每套密钥种子表Bi都对应一块RFID读卡器端智能卡芯片，设:物联网认证中心对应的全体RFID读卡器智能芯片里密钥种子表分别为:B1、B2........Bn，n为对应物联网认证中心的全体RFID读卡器的总和,其中:Bd、Be(l ；^d*e；^n,d#e),的元素都两两不同； 用于生成传输密钥SK的单钥密钥组合生成算法和密钥种子表Bi，都存储在对应RFID读卡器端智能卡芯片里，且生成后的传输密钥明文不出RFID读卡器的智能卡芯片，保证传输密钥在RFID读卡器端的存储和运行安全； 在物联网认证中心端加密卡的芯片里，采用单钥密钥组合生成算法生成的存储密钥Ki，将对应RFID读卡器端用于生成传输密钥的密钥种子表Bi的元素加密成密文，并将密钥种子表Bi的元素以密文的形式，分别与对应的RFID读卡器端智能卡芯片的标识、以及生成对应存储密钥Ki的选取参数即:一组时间戳和随机数，一起事先存储在认证中心端的传输密钥数据库中； 当物联网认证中心端的密钥种子表Bi密文被调用时，是在加密卡芯片里被解密成明文，全体密钥种子表Bi元素的明文不出加密卡芯片，保证全体密钥种子表Bi元素在认证中心端的存储和运行安全，其中:i = I n，n为对应物联网认证中心全体RFID读卡器数量总和； (3)存储密钥 设:用于加密RFID签名密钥的存储密钥为:KK，用于加密对应RFID读卡器端密钥种子表Bi元素的存储密钥为:K， 将表A的元素存放在物联网认证中心加密卡卡芯片里，用一组时间戳和随机数组成的单钥密钥组合生成算法，对密钥种子表A的元素进行选取，将选出的Y个元素合成一组存储密钥K或KK，其中:Y = 16，或32 ; 设=RFID的签名密钥共有m个，则用于加密RFID签名密钥的存储密钥也有m个，SP:KKU KK2........KKm，用存储密钥KKj JfRFID的签名密钥CKKj，加密成密文即=CKKl \CKK2’........CKKm’后，存储在认证中心端的签名密钥数据库中； 设:用于加密密钥种子表Bi的元素的存储密钥Ki共n个，即:K1、K2........Kn，用对应的存储密钥Ki将全体密钥种子表Bi的元素加密，生成密钥种子表Bi的密文，即:B1’、B2’........Bn’，并将Bi’存储在认证中心端的传输密钥数据库中，其中:i = I n j =`I m，n为对应物联网认证中心全体RF`ID读卡器数量总和，m为对应物联网认证中心全体RFID数量总和。
3.根据权利I要求所述的方法其特征在于: (1)单钥密钥组合生成算法，是通过一组时间戳和随机数组成的选取参数，来对一套密钥种子表的元素进行选取，用时间戳对密钥种子表的“行”元素进行选取，选出Y行Y列的密钥种子表的子表，再根据随机数，对Y行Y列的密钥种子表的“列”元素进行选取，选出Y个元素，并合成一组密钥，其中:Y= 16或32，存储密钥K或KK和传输密钥SK都是由单钥密钥组合生成算法实时产生； 若时间戳为:10位数字组成，即:“年”由4位数字组成即:XXXO年 XXX9年，即:取O 9年，“月”由2位数字组成即:取I月 12月，“日”由2位数字组成即:取I日 31日，“时”由2位数字组成即-M O时 23时，如:2013122819，表示2013年12月28日19点； 随机数由Y = 16或,32位,二进制数组成，当Y = 16位二进制数时,每位随机数为4比特二进制数，每位随机数的二进制数据的数值为0 15，如=0011,1010,0000,......，`1111,0110，其二进制数据的数值为:3，10，0，......,15,6 ;当Y = 32位二进制数时，每位随机数的二进制数的数值为:0 31，如:00110,10100,00000,......，11111,01100，其二进制数据的数值为:6，20，0，......,31,12 ； (2)单钥密钥组合生成算法的具体实现方法， 密钥种子表A和表B的结构一样，只是表中的元素不同，以表A为例说明单钥密钥组合生成算法的具体实现方法， 当选择表A元素为89行16列元素时，S卩:89X16 = 1424个元素，每个元素占I字节，共占1424字节，当选择表A元素为105行32列元素时，SP =105X32 = 3360个元素，每个元素占，0.5字节，共占1680字节； 用时间戳的“年”对应表A中的第I 10行，共10行，“月”对应表A中的第11 22行，共12行，“日”对应表A中的第23 53行，共31行，“时”对应表A中的第54 77行，共24行，当选择表A元素为89行16列元素时，表A还有12行元素不对应时间戳；当选择表A元素为105行32列元素时，表A还有28行元素不对应时间戳； 根据时间戳从表A的元素中先选出4行，其方法是:从表A的第I 10行共10行中取I行即:用时间戳“年”数字中个位数的数值，作为取表A中“年”对应的行数，如:时间戳为:2013XXXXXX，则:取表A中的第4行，从表A的第11 22行共12行中取I行即:用时间戳“月”数字的数值，作为取表A中“月”对应的“行”，如:时间戳为:20XX11XXXX，则:取表A中的第21行，从表A的第23 53行共31行中取I行即:用时间戳“日”数字的数值，作为取表A中“日”对应的“行”，如:时间戳为:20XXXX30XX，则:取表A中的第52行，从表A的第54 77行共24行中取I行即:用时间戳“时”数字的数值，作为取表A中“时”对应的“行”，如:时间戳为:20XXXXXX21，则:取表A中的第74行，再将表A的第78行 第W行共W-78+1行选出，共选出Y行，其中:Y= 16或32行，组成:YXY表A的子表Al ； 设:随机数为:Q1，Q2，......，QY，对应的数值分别为:L1，L2，......，LY，当Y = 16时，16位随机数对应的数值为:0 15之间，用:L1，L2，......，L16，对表Al的列进行选取，即:用第I位随机数Ql的数值LI，来选取表Al第I行的第L1+1列的元素，用第2位随机数Q2的数值L2，来选取表Al第2行的第L2+1列的元素，......，用第16位随机数Q16的数值L16，来选取表Al第16行的第L16+1列的元素，共选出16个元素；当Y = 32时，32位随机数的数值为:0 31，用:L1，L2，......，L32，对表Al的列进行选取，即:用第I位随机数Ql的数值LI，来选取表Al第I行的第L1+1列的元素，用第2位随机数Q2的数值L2，来选取表Al第2行的第L2+1列的元素，......，用第32位随机数Q32的数值L32，来选取表Al第32行的第L32+1列的元素，共选出32个元素； 由于，单钥密钥的长度为128比特，则从表A中选出的Y组元素合并成一组单钥密钥，即:为存储密钥，若表A的元素为:8比特，Y= 16，则从表A中选出的16组元素合并成的单钥密钥为128比特，若表A的元素为:4比特，Y = 32，则从表A中选出的32组元素合并成的单钥密钥也为128比特； (3)RFID读卡器的签名密钥CK、RFID的签名密钥CKK、传输密钥SK、或两种存储密钥:K或KK的长度，都为:128，CK和CKK的重复率为:1/2128，基本上实现一次一密； 传输密钥SK、两种存储密钥K或KK，都是通过一组时间戳和随机数来对密钥种子表A或B的元素进行选取，将选出的Y个元素合成一组传输密钥SK、或两种存储密钥:K或KK，若选取参数中的随机数为16位，密钥种子表A或B的元素为8比特，时间戳为“年、月、日、时”的情况下，在一小时内，传输密钥SK、两种存储密钥:K或KK的重复率为: 1/264 ;若选取参数中的随机数为32位，密钥种子表A或B的元素为4比特，时间戳为“年、月、日、时”的情况下，在一小时内，传输密钥SK、两种存储密钥:K或KK的重复率为:1/216°，传输密钥SK、两种存储密钥:K或KK也基本上为一次一密。
4.根据权利I要求所述的方法其特征在于:RFID读卡器传感信息的加密和数字签名协议，RFI D读卡器将读取RFID中的RFID读卡器的传感信息，输入RFID读卡器端的智能卡芯片中后，RFID读卡器端的加密系统，在RFID读卡器端智能卡芯片里，调用摘要算法对RFID读卡器的传感信息进行“摘要”，得到RFID读卡器传感信息的“摘要”信息LI，再调用RFID读卡器端智能卡芯片里的随机数发生器，产生一组128比特的随机数，将该随机数作为RFID读卡器的签名密钥CK，来加密RFID读卡器传感信息和RFID读卡器传感信息的“摘要”信息LI，得到RFID读卡器传感信息的密文和RFID读卡器传感信息的数字签名即:“摘要”信息LI的密文，在智能卡芯片里，产生一组时间戳和随机数，根据单钥密钥组合生成算法，用该组时间戳和随机数，对密钥钥种子表Bi的元素进行选取，选出Y个元素合成一组传输密钥SKi，用SKi将RFID读卡器的签名密钥CK加密成密文即:CK’，最后，将RFID读卡器端智能卡芯片的标识、RFID读卡器传感信息的密文、RFID读卡器传感信息的数字签名、RFID读卡器的签名密钥的密文CK’、对应生成传输密钥的一组时间戳和随机数这6组感知层数据，一并发送给物联网认证中心端，其中:i =I n。
5.根据权利I要求所述的方法其特征在于: (1)RFID传感信息的加密和数字签名协议，物联网认证中心端加密系统，在加密卡芯片里调用随机数发送器产生一组128比特随机数，用该组随机数作为RFID的签名密钥CKK，对RFID的传感信息和RFID的传感信息的“摘要” Vl进行加密，得到RFID的传感信息密文和RFID的传感信息的数字签名，在物联网认证中心端加密卡芯片里产生一组时间戳和随机数，根据单钥密钥组合生成算法，用该时间戳和随机数对“密钥种子”表A的元素进行选取，选出Y个元素合成一组存 储密钥KK，用该存储密钥KK来加密RFID的签名密钥CKK，生成RFID的签名密钥密文即:CKK’，将RFID的标识、RFID传感信息的密文和RFID传感信息的数字签名共3组数据写入RFID中，同时，将RFID的标识、签名密钥密文CKK’、生成存储密钥KK的选取参数:时间戳和随机数这4组数据，存储在物联网认证中心端的签名密钥数据库中； (2)密钥种子表B元素的加密和数字签名协议，物联网认证中心端加密系统，在加密卡芯片里产生一组时间戳和随机数，根据单钥密钥组合生成算法，用该组时间戳和随机数，对密钥种子表A的元素进行选取，将选出的Y个元素合成一组存储密钥Ki，用该存储密钥Ki来加密密钥种子表Bi的元素，得到密钥种子表Bi的元素密文Bi’，并用该存储密钥Ki来对密钥种子表Bi元素进行数字签名即:对密钥种子表Bi元素的“摘要，，信息Gl进行加密，得到密钥种子表Bi元素“摘要”信息Gl的密文即:数字签名，再将对应的RFID读卡器智能卡芯片的标识、密钥种子表Bi的元素密文即:Bi’、密钥种子表Bi元素的数字签名、以及对应生成存储密钥Ki的一组时间戳和随机数，一并存储在物联网认证中心端的传输密钥数据库中，其中:i = I n, Y = 16,或32 ; (3)RFID读卡器传感信息的密文解密和签名验证协议，当物联网认证中心端，收到RFID读卡器端发送来的6组感知层数据后，物联网认证中心端加密系统，首先，根据RFID读卡器端智能卡芯片的标识，在传输密钥数据库中定位对应该标识的记录，将记录中生成传输密钥的“密钥种子”表Bi密文即:表Bi’、生成存储密钥的一组时间戳和随机数、以及生成传输密钥的一组时间戳和随机数，一并输入物联网认证中心端的加密卡芯片中，在加密卡芯片里，根据单钥密钥组合生成算法，用生成存储密钥的一组时间戳和随机数，对表A的元素进行选取，选出Y个元素并合成存储密钥Ki，使用Ki将生成传输密钥的“密钥种子”表Bi的元素密文即:Bi’解密，得到“密钥种子”表Bi的元素明文，使用Ki对Bi元素明文的数字签名进行解密，得到“密钥种子”表Bi的元素“摘要”信息Gl的明文，再调用摘要算法对Bi的明文元素进行摘要，得到“摘要”信息G2，通过对比Gl和G2是否相同？来判断密钥种子表Bi的元素是否被篡改，若密钥种子表Bi的元素未被篡改，则根据单钥密钥组合生成算法，用生成传输密钥的一组时间戳和随机数，对表Bi的元素明文进行选取，选出Y个元素并合成传输密钥SKi，用SKi将RFID读卡器的签名密钥的密文CK’解密，得到签名密钥的明文即:CK，用CK解密RFID读卡器传感信息密文和RFID读卡器传感信息的数字签名，得到RFID读卡器传感信息的明文和RFID读卡器传感信息的“摘要”信息LI的明文，再用摘要算法对RFID读卡器传感信息进行“摘要”，得到RFID读卡器传感信息的“摘要”信息L2，通过对比LI和L2是否相同？来确认RFID读卡器端对RFID读卡器传感信息的签名是否可信、完整，其中:i = I n，在RFID读卡器传感信息的密文解密和签名验证协议中，也包含了密钥种子表B的元素密文的解密和签名验证协议的内容； ⑷RFID传感信息密文的解密和签名验证协议，物联网认证中心端加密系统根据RFID的标识，在签名密钥数据库中定位对应该标识的记录，将记录中的签名密钥的密文即:CKKj’、对应生成存储密钥的一组时间戳和随机数，一并输入认证中心端的加密卡芯片中，在加密卡芯片里，根据单钥密钥组合生成算法，用该组时间戳和随机数，对表A的元素进行选取，共选出Y个元素并合成一组存储密钥KKj，用该存储密钥KKj将签名密钥的密文即:CKKj’解密，得到明文即:CKKj，再用CKKj解密RFID传感信息密文和RFID传感信息的数字签名，得到RFID传感信息的明文和RFID传感信息的摘要信息VI，再用摘要算法对RFID传感信息进行“摘要”，得到RFID传感信息的“摘要”信息V2，通过对比Vl和V2是否相同，来确认对RFID传感信息的签名是否可信、完整，其中:j = I m，m为对应物联网认证中心的全体RFID数量总和。
6.根据权利I要求所述的方法其特征在于: 由于物联网RFID和RFID读卡器的数量十分大，在物联网认证中心端需要存储的数据量也十分大，对应RFID读卡器端生成传输密钥的每套“密钥种子”表Bi的元素占1424字节或1680字节存储空间，每组RFID的签名密钥占16字节存储空间，当RFID读卡器和RFID的数量上亿时，对应RFID和RFID读卡器设备涉及的数据量，属于大数据的范畴，用单钥密钥组合生成算法产生一次一变的 存储密钥，来加密对应各个RFID读卡器端的生成传输密钥的“密钥种子”表Bi的元素，或加密各个RFID的签名密钥CKKj，保证存放在物联网认证中心端全体对应RFID读卡器端的“密钥种子”表Bi中元素的存储安全，保证存放在物联网认证中心端全体对应RFID的签名密钥即:CKK1、CKK1、.......CKKm的存储安全，不需要购置大量的加密卡硬件设备，来存储海量的生成传输密钥的“密钥种子”表Bi的元素，或存储海量的两种存储密钥:K或KK，能大大节约认证中心的建设成本，使得单一物联网认证中心能管理海量(如:5 6亿)RFID和RFID读卡器设备，其中:j = I m，i = I n。
7.根据权利I要求所述的方法其特征在于: (I)采用一种安全单钥管理技术建立各种安全协议的策略，是基于智能卡和加密卡的芯片是可信的基础上，RFID读卡器传感信息的加密和数字签名协议，是在智能卡芯片里完成，RFID传感信息的加密和数字签名协议、密钥种子表B元素的加密和数字签名协议、RFID传感信息密文的解密和签名验证协议、以及RFID读卡器传感信息密文的解密和签名验证协议，也是在加密卡的芯片里完成，都是基于“芯片级”的协议，安全性高；(2)RFID的签名密钥、RFID读卡器的签名密钥、传输密钥和两种存储密钥:K或KK，都是在智能卡或加密卡的芯片里生成，明文不出芯片，RFID的签名密钥、RFID读卡器的签名密钥、传输密钥都是以密文的形式在芯片外存储和传输； 所有RFID的签名密钥是在加密卡芯片里生成，并在加密卡芯片里被存储密钥加密成密文后，以密文形式存储在物联网认证中心端的签名密钥数据库中，保证全体RFID的签名密钥在物联网认证中心端的存储安全； 所有RFID读卡器的签名密钥是在智能芯片里生成，并在智能卡芯片里被传输密钥加密成密文后，传输到物联网认证中心端，并在加密卡芯片里被解密成明文，从而，保证在RFID端卡器的签名密钥交换和运行安全； 传输密钥是在RFID读卡器端智能卡芯片里生成，生成传输密钥的单钥密钥组合生成算法和生成传输密钥的一套密钥种子表Bi，也是存储在智能卡芯片里，在物联网认证中心端，生成传输密钥的单钥密钥组合生成算法存储在加密卡芯片里，生成传输密钥的一套“密钥种子”表Bi，是以密文形式存储在物联网认证中心端的传输密钥数据库中，保证传输密钥在RFID读卡器端和物联网认证中心端的存储、交换和运行安全，其中:i = I n ; 两种存储密钥:K或KK都是在加密卡的芯片里生成，生成两种存储密钥:K或KK的单钥密钥组合生成算法 和一套密钥种子表A，都存储在加密卡芯片里，保证两种存储密钥:K或KK的存储和运行安全。
8.根据权利I要求所述的方法其特征在于: 用一次一变的传输密钥，来加密一次一变的RFID读卡器的签名密钥，生成的RFID读卡器签名密钥密文也具有随机性，一次一变，也都属于一组乱码，无规律性，破译者无法将公开获得的大量RFID读卡器签名密钥的密文，作为破译条件——“重复报”(使用相同的单钥将多份不同的明文报文加密成密文报文)，来破译RFID读卡器的签名密钥，或破译传输密钥，或破译生成传输密钥的“密钥种子”表Bi的元素，其中:i = I n，n为全体RFID读卡器的总和； 用一次一变的存储密钥KK，来加密一次一变的RFID的签名密钥，生成RFID的签名密钥的密文也具有随机性，一次一变，也都属于一组乱码，破译者无法将RFID的签名密钥的密文，作为破译条件——“重复报”来破译RFID的签名密钥，或者来破译存储密钥； 用一次一变的存储密钥K，来加密具有随机数性质的“密钥种子”表Bi，生成的密钥种子表Bi的密文Bi’也具有随机性，也都属于一组乱码，破译者无法将表Bi’，作为破译条件——“重复报”来破译表Bi，或者来破译存储密钥，其中:i = I n。
9.根据权利I要求所述的方法其特征在于: 在物联网感知层传输的RFID的传感信息，被进行两次签名和加密，首先，是用物联网认证中心端加密卡中产生的RFID的签名密钥，将RFID的传感信息进行加密和数字签名，生成RFID读卡器的传感信息后被写入RFID里，当RFID读卡器的传感信息被RFID读卡器读出后，再被RFID读卡器端的签名密钥进行加密和数字签名，生成RFID读卡器传感信息的密文和RFID读卡器传感信息的数字签名； 在物联网认证中心端，对RFID读卡器端传输来的6组感知层数据，进行两次解密和签名验证，首先，是用物联网认证中心端产生对应RFID读卡器端签名密钥，对RFID读卡器传感信息的密文进行解密，对RFID读卡器传感信息的数字签名进行签名验证，得到RFID读卡器传感信息的明文，且得到RFID读卡器的传感信息完整性验证结果，再用物联网认证中心端产生对应RFID的签名密钥，对RFID传感信息的密文进行解密，对RFID传感信息的数字签名进行签名验证，得到RFID传感信息的明文，且得到RFID传感信息的完整性验证结果，从而，防止RFID的传感信 息、或RFID读卡器的传感信息外泄、被篡改或克隆。
全文摘要
一种物联网电子标签的传感信息安全防护方法，是采用轻量级密码算法和一种安全单钥密钥管理技术，在RFID读卡器端和物联网认证中心端分别建立加密系统，将RFID内的传感信息进行两次签名和两次加密，在物联网认证中心端，将FID读卡器传感信息的密文和RFID读卡器传感信息的数字签名，进行两次解密和两次签名验证，防止感知层的传感信息外泄或被篡改，保证感知层的传感信息传输保密、可信和完整，从而，建立一种物联网RFID的传感信息安全防护系统。
文档编号H04W12/02GK103237302SQ201310101860
公开日2013年8月7日 申请日期2013年3月28日 优先权日2013年3月28日
发明者胡祥义, 赵桂芬, 杜丽萍 申请人:北京市科学技术情报研究所