用于在射频识别标签和读取设备之间进行安全通信的方法和系统的制作方法

用于在射频识别标签和读取设备之间进行安全通信的方法和系统的制作方法
【专利摘要】本发明涉及一种用于在RFID标签和读取设备之间经过空气接口进行安全通信的方法和系统以及相应的RFID标签和相应的读取设备。本发明从如下基本思路出发，即，为了在RFID标签和读取设备之间进行安全通信，使用Rabin方法的修改，其中在对明文M(RFID标签的或与之关联的对象的识别元素进入所述明文中)加密的范围内，RFID标签不是计算明文M的平方模n，即，M2 mod n，而是计算明文M的平方关于蒙哥马利基数R模n的蒙哥马利缩减(“Montgomery reduction”)，即，C*＝M2 R-1 mod n，并且从中得到的密文C*被用于验证RFID标签。在此模数n＝p·q是读取设备的公钥，其中质数p、q是读取设备的私钥并且蒙哥马利基数R是大于模数n的整数。
【专利说明】用于在射频识别标签和读取设备么间进行安全通信的方法 和系统

【技术领域】
[0001] 本发明设及用于在RFID标签和读取设备之间经过空气接口进行安全通信的方法 和系统W及相应的RFID标签和相应的读取设备。

【背景技术】
[000引 RFID技术（"radio frequen巧identification,射频识别"）特别地使得可W自 动识别人和对象并且在许多应用中被广泛使用，诸如在供应链管理、接入控制系统、用于货 物防窃的系统、电子票等中。RFID通常由WRFID标签形式的便携式数据载体（也称为收 发机），W及用于无接触读取RFID标签的识别码的读取设备组成，所述便携式数据载体是 人所携带的或在对象上安装的并且在所述便携式数据载体中存储了唯一地识别RFID标签 和/或对象的识别码（专业人员也称为唯一 ID扣ID)、标签ID(TID)或"物品唯一标识符 扣II)")。在此读取设备通常是在不同的位置安装的并且经过后台系统能够访问在那里存 储的、多个RFID标签的数据的多个读取设备中的仅一个读取设备。
[0003] 特别地对于物流应用和对于供应链管理设置的低成本的RFID标签，其通常是从 读取设备的电磁场中获得对于运行所需的能量的无源RFID标签，通常不提供密码功能， 从而RFID标签相对于读取设备的验证在该样的RFID标签的情况下是不可能的。例如在 UHF-RFID标签的情况下就是该样，其对于专业人员来说W名称Class-lGen-2EPC标签， 良P，按照标准EPC Class-lGeneration 2或更新的标准IS0/IEC 18000-63构造的RFID标 签公知。如专业人员所公知的，术语"Class-lGen-2EPC标签"也包括按照标准IS0/IEC 18000-63的标签。在该样的RFID标签中将唯一的识别码称为EPC("Electronic Product Code,产品电子代码"），其通常是由96个比特组成的、其中存储了各自的RFID标签的比特 序列。EPC在RFID标签的读取过程中W没有验证的明文形式被传输到读取设备并且由此既 可W主动地通过未授权的第=方的读取设备也可W被动地被截取，该通过由第=方窃取在 RFID标签和读取设备之间的未受保护的通信通道，即，空气接口来实现。
[0004] 该导致两个潜在问题，即，一个是导致，RFID标签的存在和位置可W被未授权的第 S方采集并且跟踪，该也被称为RFID标签跟踪，并且另一个导致，第S方可W在新的、伪造 的RFID标签中复制所读取的EPC并且由此可W将新的、伪造的RFID标签作为从中已经初 始地读出了 EPC的标签输出，该也称为RFID标签的克隆。
[0005] 为了保护在RFID标签和读取设备之间的通信，提供密码方法，所述方法一方面允 许在RFID标签和读取设备之间单方面或双方面的验证并且另一方面允许经过空气接口的 通信的加密。密码方法划分为发送器和接收器使用相同的密钥的对称方法和发送器使用公 钥（"public key")而接收器使用私钥的公钥方法或者说不对称方法。然而在对称方法中 公知地存在问题，即，在RFID标签W及在读取设备或与之关联的后台系统中都必须安全地 存储共同的密钥，该在具有多个RFID标签和多个读取设备的系统中需要复杂的密钥管理， 该密钥管理在公钥方法或者说不对称方法中被取消。如果在所有RFID标签中和在后台系 统中存储相同的通用密钥，该样的密钥管理也可w在使用对称方法的系统中被取消。然而 该存在危险，即，只要RFID标签的通用密钥已经被确定，则整个系统失效。该危险在公钥方 法中不存在。
[0006] 公知的公钥方法是Rabin方法，其就像通常使用的RSA方法那样使用模幕作为基 础。因为在R油in方法中加密的计算明显更简单，即，比在RSA方法中计算量更少，所W Rabin方法相对于RSA方法特别地在如下地方提供，在所述地方，执行加密的实体，即，加密 消息的发送器，仅具有有限的处理器功率，如在应当安全地与连接到后台系统的读取设备 通信的、资源限制的RFID标签的情况下那样。
[0007] 在R油in方法中密钥由两个在实践中选择得足够大的、经过确定的同余条件互相 关联的质数P和q组成。两个质数P和q的乘积n = P ? q定义了模数或模n并且同时表 示公钥。合适地，质数P和q大约相同大小。按照Rabin方法将待传输的明文M通过模平 方和应用模运算加密，即，按照W下公式从明文M中得到密文C ;C = M2mod n。
[000引 Rabin方法的安全性基于，在不知道质数p和q的情况下从密文C计算模平方根是 非常困难的。但该仅当明文M不是明显小于模数n时才是该样。通过在平方之后跟随的模 运算防止了通过简单求根就可W解密。
[0009] 因为在R油in方法中通过发送器的加密包含了模平方，所W接收器为了解密必须 计算密文C的模平方根。在此公知地可W使用中国剩余定理（CRT ;"chinese remainder theorem")。如专业人员知道的，在此得到四个平方根，从中必须选择一个作为初始的明文 M。为此可W例如借助合适的标识、校验和等使得"正确的"明文M对于接收器来说是可W 识别的。
[0010] 如从前面描述的在Rabin方法中用于计算密文C的公式中得到的，发送器为了执 行模运算通常必须执行长数除法。然而该样的长数除法特别地在诸如在RFID标签的情况 下采用的简单的微处理器上只能非常麻烦地实现。
[0011] 在 Y. Oren 和 M.化1 化ofer 的文献"A low-Resource 化blic-KeyIdentification Scheme for RFID Tags and Sensor Nodes" in D. A. Basin, S. Capkun and W. Lee, editors, WISE。第59-68页，ACM2009中W名称WIPR方法建议了常规的R油in方法 的一种修改，其特别地用于保护在具有简单的处理器的资源限制的RFID标签和读取设备 之间的通信。相对于前面描述的常规Rabin方法，WIPR方法具有优点，即，为了计算密文， 替代计算量非常大并且由此在如在RFID标签通常可找到的简单微处理器上几乎不能实现 的麻烦的长数除法，采用长数乘法，其比除法明显更快地运行并且可W在硬件方面更简单 实现。
[001引按照WIPR方法，计算密文C'，方式是，发送器，例如RFID标签，产生随机数r，该随 机数与模数n相乘并且将结果加到明文M的平方，也就是C' =M2+r'n。在此RFID标签的 识别码进入到明文M中并且该样选择随机数r的大小，使得乘积r ? n大于模数n的两倍。 与常规的Rabin方法不同，在WIPR方法中明文M的平方不是通过执行包含了长数除法的模 运算，而是通过乘积r ? n与合适选择的随机数r相加而被掩模。
[0013]在出版物 A.化amir, "Memoir Efficient Variants of 化blic-Key Schemes for Smart Card Applications", in A. D. Santis, editor, Advances in Cryptology-EUROCRYP T' 94, Springer LNCS，Band 950,第445-449页已经表明，诸如WIPR方法的方法与常规的 Rabin方法同样安全，只要随机数r从足够大的数字范围中被随机选择。
[0014] 然而在WIPR方法中避免长数除法的优点通过如下获得，即，密文C'由于取消在明 文M的平方时的模运算和由于模数n与足够大地选择的随机数r的乘积而通常是非常长 的，该使得在RFID标签和读取设备之间的验证过程缓慢，因为必须将更大的数据量从RFID 标签传输到读取设备。


【发明内容】

[0015] 由于该背景，本发明要解决的技术问题是，提供用于在RFID标签和读取设备之间 经过空气接口进行安全通信的更好的方法和更好的系统，其特别地保护RFID标签不被跟 踪和/或克隆。此外要提供相应构造的RFID标签和相应构造的读取设备。
[0016] 上述技术问题按照本发明通过独立权利要求的内容解决。本发明的有利扩展在从 属权利要求中定义。
[0017] 本发明从如下基本思路出发，即，为了在RFID标签和读取设备之间进行安全通 信，使用Rabin方法的修改，其中在对明文M(RFID标签的或与之关联的对象的识别元素进 入所述明文中）加密的范围内，RFID标签不是计算明文M的平方模n，即，M2mod n，而是计 算明文M的平方关于蒙哥马利基数R模n的蒙哥马利缩减（"Montgome巧re化ction")， 良p，C*=M 2R-imod n，并且从中得到的密文C*被用于验证RFID标签。在此模数n = p.q是 读取设备的公钥，其中质数P、q是读取设备的私钥并且蒙哥马利基数R是大于模数n的整 数。在此蒙哥马利基数R通常是2的幕（zweie巧otenz)。
[001引基于前面描述的本发明基本思路，按照本发明的第一方面提供一种用于在RFID 标签和读取设备之间进行安全通信的方法，其中方法包括在RFID标签中执行的W下步骤。 加密明文M(RFID标签的或与之关联的对象的识别元素进入所述明文中），用于计算密文 折方式是，计算明文M的平方关于蒙哥马利基数R模n的蒙哥马利缩减，即，（f = M 2irimod n，并且将验证消息发送到读取设备，其中验证消息基于密文(f。
[0019] 此外基于前面描述的本发明基本思路，按照本发明的第二方面提供一种用于在 RFID标签和读取设备之间进行安全通信的方法，其中方法包括在读取设备中执行的W下步 骤。从RFID标签接收验证消息，所述验证消息基于加密的明文M(RFID标签的或与之关联 的对象的识别元素进入所述加密的明文中），和将加密的明文M解密，其中解密的步骤包括 加密的明文M与蒙哥马利基数R相乘和然后利用模数n执行模运算。优选地，解密的步骤 还包括然后类似于常规的R油in方法求平方根的模n。
[0020] 此外基于前面描述的本发明的基本思路，按照本发明的第=方面提供一种用于与 读取设备安全通信的RFID标签。在此RFID标签包括处理器单元和存储器单元。在存储器 单元中存储识别元素。处理器单元构造为，为了计算密文(f将明文M(RFID标签的或与之 关联的对象的识别元素进入所述明文中）加密，方式是，计算明文M的平方关于蒙哥马利基 数R模n的蒙哥马利缩减，即，(f= M 2irimod n，并且将验证消息发送到读取设备，其中验证 消息基于密文(f。
[0021] 此外基于前面描述的本发明基本思路，按照本发明的第四方面提供一种用于与 RFID标签安全通信的读取设备。读取设备包括处理器单元，其构造为，从RFID标签接收基 于加密的明文M(RFID标签的或与之关联的对象的识别元素进入所述明文中）的验证消息， 并且将加密的明文解密，其中在将加密的明文M解密时与蒙哥马利基数R相乘并且然后利 用模数n执行模运算。优选地，读取设备的处理器单元还构造为用于将加密的明文解密，然 后类似于通常的Rabin方法求平方根的模n。
[0022] 最后基于前面描述的本发明基本思路，按照本发明的第五方面提供一种用于与按 照本发明的第S方面的至少一个RFID标签和按照本发明的第四方面的至少一个读取设备 安全通信的系统。
[0023] 如前所述，在此模数n = P ? q是读取设备的公钥，质数P、q是读取设备的私钥并 且蒙哥马利基数R是大于模数n的整数。
[0024] 优选地，从RFID标签向读取设备传输的验证消息包含W密文(其中= M2R^mod n)形式的加密的明文M。
[0025] 按照本发明的优选实施方式，此外由读取设备产生的第一随机数RND1和由RFID 标签产生的第二随机数RND2也进入到明文M中。在此第一随机数RND1优选地作为在挑 战-响应方法的范围内的挑战被传输到RFID标签。在该优选构造中，进入到明文M中的数 据，特别是RFID标签的识别元素、第一随机数RND1和第二随机数RND2,优选地借助交织运 算被洗乱（verwilrfelt)，W便将来自于读取设备和来自于RFID标签的随机数据随机地分 布到明文M。通过所包含的随机的组成部分RND1和RND2实现了，明文M W及密文(T在每 个读取过程中，即，在每个调用中都不同。
[0026] 有利地该样构造RFID标签，使得RFID标签还在挑战的读入期间就可W开始加密。 此外由RFID标签计算的密文(f的第一比特或字节还在由RFID标签计算密文的跟随比 特或字节期间就可W被传输到读取设备。换言之；RFID标签有利地构造为，连续地逐个比 特地计算密文(f和将已经计算的密文的比特作为验证消息的部分发送到读取设备，由此 不需要中间存储器（寄存器）并且通信协议可W快速被执行。
[0027] 可选地，此外RFID标签的识别元素的数字签名也进入到明文M中，所述数字签名 优选地在RFID标签的存储器中存储并且可W由读取设备检验。
[002引按照优选实施方式，为了节省计算时间，将模数n如下选择；n = l(mod 2"?d)，其 中nd是整数，其中1《nd<d，bl是W比特为单位的、RFID标签的处理器单元的字宽并且d 是模数n在处理器单元的字宽中的长度。
[0029] 在实践中，对于给定的模数n，数R典型地被选择为下一个更大的2的幕，即，对于 由k个比特（例如1024个比特）组成的模数n，选择R = 2k。按照本发明的优选实施方式， 设置R = 2" ' 其中bl是RFID标签的处理器单元的字宽，d是模数n在处理器单元中 的字宽中的长度并且sd是安全参数，其选择为，使得成立bl -sd > 1，优选地bl -sd > 10 并且最优选bl ? sd > 100。
[0030] 优选地，读取设备是多个读取设备的仅一个读取设备，所述多个读取设备经过后 台系统互相连接并且可W访问在后台系统中存储的数据，所述数据分别与各自的RFID标 签相关联。
[0031] 按照优选实施方式，RFID标签是按照标准ISO/IEC 18000-63或标准 Class-lGen-2EPC 的 UHF 标签。
[0032] 本发明特别地具有W下优点。在按照本发明的加密中不需要模缩减，也就是不需 要除法并且不产生比模数n的长度所相应的更大的数据。此外本发明提供如下可能性，在 RFID标签已经接收了所有在计算中所包括的数据之前，开始计算密文C%和然后在密文(f 的计算结束之前由此开始将该计算的结果发送到读取设备，由此可W并行执行数据传输和 计算并且可W节省处理时间。因为按照本发明的方法是公钥方法，所W仅须一个公钥存储 于RFID标签上，从而当攻击者获得该公钥时，系统的安全性不受威胁。本发明的另一个优 点在于，为了解密密文C%读取设备不必与后台系统相连，因为为此所需的私钥可W本地地 存储在读取设备上。最后存在另一个优点，即，本发明可W在常规的读取设备上无需硬件修 改就可W实现。
[0033] 如专业人员认识到的，前面描述的和在从属权利要求中定义的优选构造可W有利 地在本发明的第一方面的范围内、在本发明的第二方面的范围内、在本发明的第=方面的 范围内W及在本发明的第四方面的范围内实现。

【专利附图】

【附图说明】
[0034] 本发明的其他特征、优点和任务从多个实施例和实施变形的W下详细描述中得 到。其中：
[0035] 图1示出了按照本发明的优选实施方式用于在RFID标签和读取设备之间的安全 通信的系统的示意图，
[0036] 图2示出了图1的系统的RFID标签的示意性细节图，
[0037] 图3示出了用于在图1的系统的RFID标签和读取设备之间进行安全通信的按照 本发明的方法的优选实施方式的示意图，和
[003引图4示出了用于实现图3的按照本发明的方法的算法。

【具体实施方式】
[0039] 图1示出了按照本发明的优选实施方式的用于在RFID标签和读取设备之间的安 全通信的系统10的示意图。系统10例如可W是电子票务系统，其中RFID标签是人携带的 由玉西 化于示。
[0040] 系统10例如包括两个RFID标签，即，RFID标签20a和RFID标签20b，其分别经过 空气接口可W与读取设备30a W及读取设备3化通信，各自的RFID标签20a、2化位于其通 信范围或读取范围中。优选地，RFID标签20a、2化是按照标准ISO/IEC 18000-63或EPC Class-lGeneration-2的RFID标签，在此也称为EPC标签。
[0041] 读取设备30a、3化经过合适的通信网络40与后台系统或后端系统50相连，在所 述系统中优选地在数据库中存储了与RFID标签20a、2化相关联的数据。除了读取设备30a、 30b，还可W将多个其他读取设备集成到在图1中示出的系统10中，所述多个其他读取设备 经过通信网络40与后台系统50通信并且可W访问在那里存储的数据。为清楚起见，在图 1中仅示出两个RFID读取设备30a、3化和两个RFID标签，即，RFID标签20a、20b。但是在 图1中示出的系统10当然可W构造为，除了 RFID标签20a、20b，在该系统10中还可从运行 多个其他RFID标签。
[00创图2示出了图1的系统10的示例RFID标签20a的细节图，其中示意性示出了 RFID 标签20a的对于本发明的该优选实施方式主要的部件。其构造优选地可W、但不是必须与 RFID标签20b的构造相同的RFID标签20a包括外部的或内部的天线装置22,用于经过空 气接口与图1的系统10的读取设备30a、30b的各自通信。天线装置22经过输入/输出接 口 24与处理器单元25通信，所述处理器单元为了存储和为了读出数据可W访问RFID标签 20a的存储器26。
[0043] 在图2中示出的RFID标签20a的存储器26 (其例如可W是ROM和/或邸PROM (闪 存））中，存储了或可W在那里存储对于RFID标签20a与读取设备30a、30b的优选的、后面 详细描述的按照本发明的安全通信而被使用的数据。特别地在RFID标签20a的存储器26 中存储至少一个识别元素，其使得可W唯一识别RFID标签20a和/或具有RFID标签20a的 对象。在存储器26中存储的识别元素例如可W是TID元件（"化g Identifier")或UII 元件（"化ique Item Identifier"),优选地是专业人员从EPC标准公知的产品电子代码 巧PC)。如从图2可W获悉的，在RFID标签20a的存储器26中还存储了公钥n W及优选 在存储器26中存储的识别元素的数字签名，例如UII元素的数字签名，其在图2中标记为 SIG扣II)，在下面结合图3详细描述其目的。
[0044] 优选地，RFID标签20a还包括用于产生对于在RFID标签20a和读取设备30a、30b 之间的安全通信而被使用的随机数的随机数生成器28 (RND)，如在下面结合图3详细描述 的。虽然在图2中随机数生成器28作为单独的单元示出，但是专业人员知道，随机数生成 器28也可W是处理器单元25的一部分或者可W作为处理器单元25的软件模块实现。同 样地，存储器26也可W构造为处理器单元25的部分。
[0045] 除了对RFID标签20a的存储器26的访问W及与输入/输出接口 24和随机数生 成器28的例如经过总线系统的内部通信，RFID标签20a的处理器单元25优选地还构造为， 在RFID标签20a方面执行或启动W下结合图3描述的步骤，W便实现在RFID标签20a和 读取设备30a、3化之间的安全通信。
[0046] 只要读取设备、例如读取设备30a采集到，RFID标签、例如RFID标签20a位于其 通信范围中，则由读取设备30a推动在图3中画出的通信协议。在此在图3的步骤S1中读 取设备30a首先产生第一随机数RND1并且将该第一随机数RND1作为在挑战-响应方法的 范围内的挑战在图3的步骤S2中发送到RFID标签20a。优选地响应于读取设备30a对第 一随机数RND1的接收，在图3的步骤S3中RFID标签20a产生第二随机数RND2。在此该第 二随机数RND2优选由RFID标签20a的随机数生成器28产生，并且具体地不取决于第一随 机数RND1。
[0047] 如W下详细描述的，优选地，由读取设备30a提供的化eigesteuerte)的第一随机 数RND1 W及由RFID标签20a提供的第二随机数RND2都进入到要由RFID标签20a加密的 和要向读取设备30a传输的明文M中。因为要加密的明文M由此具有随机的、对于不同的 读出过程是不同的元素，所W在每个读出过程中也将另一个加密的明文M，即，另一个密文， 从RFID标签20a传输到读取设备30a。由此可W避免，攻击者根据由RFID标签发送的、不 变的密文可W识别该RFID标签。此外由读取设备30a产生的第一随机数RND1，如前面所述 的，具有在专业人员公知的挑战-响应方法的范围内的挑战功能，用于相对于读取设备30a 验证RFID标签20a。
[0048] 在图3的步骤S4中由RFID标签20a产生待加密的明文M，其允许读出设备30a接 收加密的明文M并解密，识别RFID标签20a。为此，特别地，允许唯一地识别RFID标签20a 和/或具有RFID标签20a的对象的识别元素进入到明文M中。在图中示出的优选实施方 式中，识别元素是在RFID标签20a的存储器26中存储的UII元素。
[0049] 为了读取设备30a能够检验RFID标签20a的Un元素的真实性，优选地，UII元素 的数字签名也进入到明文M中。优选地，UII元素的数字签名存储在RFID标签20a的存储 器26中，如在图2中利用附图标记SIG(UII)表示的，由此其不必在RFID标签20a的每个 读出过程中被重新计算。如专业人员公知的，RFID标签20a的UII元素的数字签名例如可 W通过如下建立，即，在公钥方法的范围内将私钥应用到UII元素。为了通过读取设备30a 检验UII元素的数字签名，将与私钥匹配的公钥应用于数字签名。
[0化0] 优选地，除了 un元素和un元素的数字签名之外，如前面描述的，由读取设备30a 提供的第一随机数RND1 W及由RFID标签20a提供的第二随机数RND2都进入到明文M中。 该优选地借助在RFID标签20a的处理器单元25上实现的交织运算MIX进行，其构造为，将 UII元素、UII元素的数字签名、第一随机数RND1和第二随机数RND2互相混合或洗乱。在 此通过交织运算MIX的混合例如可W在字节层面上进行。交织运算MIX应用于UII元素、 UII元素的数字签名、第一随机数RND1和第二随机数RND2的结果是待加密的明文M。来自 于随机数RND1和RND2的、明文M的比特可W作为填充比特（Padding-Bits)来考察。在此 有利的可W是，通过合适选择随机数RND1和RND2的长度实现明文M具有与模数n相同的 长度，例如1024个比特。
[0化1] 在图3的步骤S4中已经建立了 RFID标签20a的包含了 UII元素的明文M之后， 该明文M在图3的步骤S5中如下地由RFID标签20a加密。如在常规的Rabin方法中那 样将明文M首先平方。然而为了产生密文，将该平方的结果不是如在常规的Rabin方法中 然后那样利用模数n进行模运算，而是形成平方的明文的蒙哥马利缩减。一般地，将整数 T模n关于整数R的蒙哥马利缩减（"Montgome巧re化ction")定义为TR-imod n，其中R 大于模数n，R和模数n互质（即ggT (R, n) = 1)和0《T<nR (参见A. J. Menezes, P. C. van Oorschot,S. C.Vanstone, "Hanclbook of Applied Cryptography"的章节 14. 3. 2)。在该 文献中整数R有时被称为蒙哥马利基数。
[0化2] 在本发明的范围内，由RFID标签20a计算的、明文M的平方模n关于整数R的蒙 哥马利缩减作为密文(T定义，即，Ct=M2irimod n，其中整数R，如前面已经提到的，选择为 大于模数n。在实践中，对于给定的模数n，数R典型地选择为下一个较大的2的幕，即，对 于由k个比特（例如1024个比特）组成的模数n，选择R = 2\数R的其他按照本发明的 优选的选择可能性在W下描述。
[0化引 在图3的步骤S5中由RFID标签20a计算了密文C*= M2R-imod n之后，在图3的 步骤S6中将该样计算的密文(f作为对在图3的步骤S2中发送的挑战的响应发送到读取设 备30a。然而专业人员认识到，原理上替代密文C*= M2R-imod n，也可W将由RFID标签20a 进一步处理的密文(ft传输到读取设备30a，只要RFID标签20a和读取设备30a已经互相 约定，读取设备30a如何可^从由RFID标签20a进一步处理并传输的密文(^^^向计算密 文 C*= M2R-imod n。
[0化4] 在图3的步骤S7中首先将由RFID标签20a在步骤S6中传输的密文C*与R相乘 并且然后利用模数n执行模运算，即，(TR mod n。如果对于(f采用结合图3的步骤S5所描 述的表达，卯j获得；C*R mod n = M2R-iR mod n = M2mod n。如专业人员认识到，最后的表达 M2mod n是公知的Rabin方法的密文，其在此被称为密文C。换言之：在图3的步骤S7中获 得从公知的R油in方法中已知的密文C = M2mod n，方式是，将由RFID标签20a发送的密文 (T与R相乘并且然后利用模数n执行模运算。
[0化5] 如在经典的R油in方法中那样，现在可W在图3的步骤S8中通过读取设备30a确 定初始在步骤S4中由RFID标签20a产生的明文M，方式是，计算在步骤S7中确定的密文 C的平方根模n。如前面已经描述的，为此可W在使用为读取设备30a提供的W质数P和q 形式的私钥的条件下利用中国剩余定理（CRT),来计算密文C的四个平方根。优选地，借助 合适的标记，使读取设备30a清楚，密文C的四个平方根中的哪一个是由RFID标签20a初 始产生的明文M。例如由读取设备30a传输的第一随机数RND1可W被用于选择正确的平方 根，即，正确的明文M。
[0化6] 如前面描述的，在图3的步骤S4中产生明文M，方式是，执行交织运算MIX。如专 业人员知道的，必须在读取设备方面30a再还原或反转该交织运算，W便可W从明文M中提 取RFID标签20a的UII元素、UII元素的数字签名SIG扣II)、第一随机数RND1和第二随机 数RND2。交织运算MIX的该反转和在明文M中包含的信息的提取优选地在图3的步骤S9 中进行。当然在RFID标签20a和读取设备30a之间必须已经约定，在图3的步骤S4中使 用哪个交织运算，W便能够在图3的步骤S9中应用对此的反函数。
[0化7] 在成功执行图3的步骤S9之后对于读取设备30a呈现RFID标签20a的Un元素、 UII元素的数字签名、第一随机数RND1和第二随机数RND2。根据该些呈现的元素，读取设 备30a可W识别和验证RFID标签20a。优选地在图3的步骤S10中此外由读取设备检验 RFID标签20a的UII元素的完好性，方式是，读取设备30a检验un元素的数字签名。可W 考虑，读取设备30a为此访问后台系统50, W便根据RFID标签20a的un元素找到公钥，该 公钥与被用来初始地建立了 RFID标签20a的UII元素的数字签名的私钥匹配。
[0化引 W下参考图4描述通过RFID标签20a按照本发明计算密文C*，即，对明文M加密 的优选实现方式，其流程可W粗略分为=个片段。
[0化9] 在加密的第一片段中将明文M连续地、从最低位直到最高位字节进行处理。当交 织运算MIX构造为将读取设备30a的第一随机数RND1均匀分布地散布到明文M中时，在接 收随机数RND1的第一字节之后就可W开始第一加密片段，并且，只要明文M的字节存在就 一直计算下去。在由读取设备30a接收随机数RND1的下一字节之后一直继续计算加密，直 到整个明文M已经被加密。
[0060] 在加密的第二片段中进行系统范围内约定数量的附加蒙哥马利步骤，即，数R 被相应地选择为大于下一个高于模数n提供的2的幕。该措施的原因是，加密的最终结 果大于模数n的概率减小（攻击者可W自然地意识到该一点并且趁机采取侧信道攻击 (Seitenkanalattacke))。该种溢出（Ubetiauf)的概率通过2-bi'sd限制，其中bl说明 长数运算的使用的比特长度并且sd说明在加密的第二片段中附加的取整（=数位）的 数量。值得推荐的是，该样选择该些数，使得优选地成立bl ? sd > 10并且最优选地成立 bl 'sd > 100,并且为此无需对溢出进行精确检验。然而如果偶然发生溢出，则结果可W没 有模缩减地被发送到读取设备30a。
[0061] 在加密的第=片段中最后连续地产生加密的输出数据，其因此可W与计算的结束 重叠地被发送到读取设备30a。该是特别有利的，因为由于密文(f的长度（在1024比特的 模数n的通常和需要的长度的情况下得到128个字节的密文），数据总之不可W在唯一的传 输步骤（数据块）中被发送。商业上采用的UHF-RFID读取设备（按照ISO/IEC 18000-63) 不构造为传输较大的数据块，而是按照现有技术将块大小限制到2至16个字节。通过逐片 段地传输密文C*的数据（所谓的链（化aining))，将数据按照顺序逐部分地传输。由此形 成的在计算和传输之间的重叠可W如下非常有利地被使用，即，在接收第一数据之后就可 W平行于数据传输开始计算。
[0062] 图4示出了通过RFID标签20a用于计算密文(f、即用于对明文M加密的算法（"蒙 哥马利平方"）。对于该算法的W下描述，W下定义是有帮助的。假定，RFID标签20a的处 理器单元25具有bl个比特的字宽。在此，RFID标签20a的处理器单元25构造为，能够将 两个bl个比特宽的字互相相乘，其中结果可W直至2 ? bl个比特。按照非限制的方式，此 外假定，模数n最高具有d个字和由此d ?bl个比特的长度。按照本发明的优选实施方式， 该样选择安全参数sd，使得前面描述的溢出概率处于数量级2^'sd。如专业人员认识到，sd 的较大的值需要较长的计算时间。非限制地设置R = 2bW+sd>。如前面已经描述的，应当优 选该样选择R或者安全参数sd，使得优选成立bl .sd > 10并且最优选成立bl .sd > 100。 [006引对于明文M(所述明文是数），其中0《M<n，可W借助两个W下步骤计算密文C% 其中 C*= M2R-imod n ;
[0064] 1.该样计算a,使得成立；a = M2/n mod R, 0《a<R。
[00(55] 2.设置 C*= (M 2+a ? n)/R
[0066] 在此可W在第二步骤中没有余数地执行除法。因为〇《M<n，所W可W在随机选择 的M的情况下假定，值a在区间[0,…，R-1]中也同样地分布。由此对于(f的溢出的概率 (即，成立n)最高等于n/R，并且由此最高等于2 -bl ? sd。
[0067] 对于整数X，（X。, X。…X。…，Xv_i)是X相对于基数2"的表示，即，成立 ^ =玄=(12化'，0《Xi<2bi。（M〇,…Md_i)、（n〇,…，叫_1)、（a〇,…，ad+sd-i)和（C*〇,…，C*d-i)是 M、n、a和C*相对于基数2 bl的表示。此外n hv是通过n ? n hv= -1 (mod 2 bl)和0《rihv<2bi 唯一确定的整数。于是可W按照在图4中示出的算法"蒙哥马利平方"计算a和C%其中要 注意，在图4中示出的算法中利用表示C t的二进制数位C t。，…，CVi。
[0068] 关于在图4中示出的算法"蒙哥马利平方"，专业人员认识到W下。
[0069] 在主循环的i次运行之后，成立a = -MVn(mod 2bi'min(i'd+sd))并且在i〉d+sd的情 况下此外还成立；C*= (M2+a，n)/R(mod 2bww-sd>)。在主循环的第i次运行时仅需要最前 面i个输入值M。，…My，从而该运行在存在最前面i个输入值之后就可W被执行。第i个 输出值可W在主循环的i+s+sd次运行之后被输出。由此输入、处理和输出的上面描述的重 叠按照本发明可W容易地实现。
[0070] 由中间值a在主循环的第i次运行中最高需要位置a。…a^+i，从而对每bl个比 特，d个字足够用于存储a的刚好所需的部分。
[0071] 算法总共需要最高（d+1) (3d/2+sd)个乘法。
[0072] 按照本发明的优选实施方式，为了节省计算时间，模数n如下选择；n = l(mod2bi'nd)，其中nd是整数，其中l《nd<d。在该情况下成立rVv=2bi-l。乘法nhv= 2bi-l(mcxlulo 2bi)于是是简单的非运算。除最后位置rvn的低位n"d_i，…ni等于零，从而 与上面描述的算法"蒙哥马利平方"相比，nl ? (d+sd)乘法可W被省去。如果例如选择nl =d/2,则乘法的数量处于数量级d(d+sd)。与上面描述的算法"蒙哥马利平方"相比，该 大约节省了乘法的S分之一。质数P、q可W容易地构建，其中log P > log q，2bi'w<n = p-q<2bi'哺n = p.q=l(mod 2bi'd/2)。对于n的提到的条件意味着，下半部分的比特 (直到最后的比特）在n的二进制表示中等于零。按照目前公知的研究现状，该不意味着 对于方法的安全性的限制。用于任意数n的因式化的目前公知最快算法是广义数域筛法 (General Number Field Sieve(GNF巧）。唯一的公知明显更快的算法（该算法在一定情 况下可W将数n = P ? q因式分解，其中对于质数p、q，log P > log q)是特殊数域筛选法 (Special Number Field Sieve (SNF巧）。但是对于随机选择的n = P ? q，其中下半部分比 特（直到最后的比特）等于零，不能应用SNSF。
[0073] 如专业人员认识到的，在图3中示出的通信协议的各个步骤不必按照示出的时间 顺序运行。明显地该一点仅在一个步骤的结果是另一个步骤的输入数据的地方才是必须 的。此外专业人员认识到，尽管参考RFID标签描述了本发明的前面的优选实施方式，其中 优选的是按照IS0/IEC 18000-63或Class-lGen-2EPC的UHF标签，但是本发明同样可W有 利地采用其他种类的资源限制的便携式数据载体，其经过空气接口必须相对于读取设备验 证，如无接触的巧片卡、令牌等。
【权利要求】
1. 一种用于在RFID标签（20a，20b)和读取设备（30a，30b)之间进行安全通信的方法， 其中，所述方法包括在RFID标签（20a，20b)中执行的以下步骤： 为了计算密文C%加密明文M，RFID标签（20a，20b)的或与之关联的对象的识别元素 (UII)进入所述明文中，该加密的方式是，计算明文M的平方关于蒙哥马利基数R模n的蒙 哥马利缩减，即，CkMfimod n，并且 将验证消息发送到读取设备（30a，30b)，其中所述验证消息基于所述密文C% 其中，模数n = p*q是读取设备（30a，30b)的公钥，质数p、q是读取设备（30a，30b) 的私钥，并且蒙哥马利基数R是大于模数n的整数。
2. -种用于在RFID标签（20a，20b)和读取设备（30a，30b)之间进行安全通信的方法， 其中，所述方法包括在读取设备（30a，30b)中执行的以下步骤： 从RFID标签（20a，20b)接收验证消息，所述验证消息基于加密的明文M，RFID标签 (20a，20b)的或与之关联的对象的识别元素（MI)进入所述加密的明文中，和 将加密的明文M解密，其中解密的步骤包括将加密的明文M与蒙哥马利基数R相乘和 然后利用模数n执行模运算， 其中，模数n = p*q是读取设备（30a，30b)的公钥，质数p、q是读取设备（30a，30b) 的私钥，并且蒙哥马利基数R是大于模数n的整数。
3. 根据权利要求1或2所述的方法，其中，从RFID标签（20a，20b)向读取设备 (30a，30b)传输的验证消息包含以密文(T形式的加密的明文M，其中C#= Mfimod n。
4. 根据权利要求1或2所述的方法，其中，由读取设备（30a，30b)产生的第一随机数 RND1和由RFID标签（20a，20b)产生的第二随机数RND2也进入到所述明文M中，其中所述 第一随机数RND1优选地作为在挑战-响应方法的范围内的挑战被传输到所述RFID标签 (20a，20b)。
5. 根据权利要求4所述的方法，其中，进入到所述明文M中的数据，特别是RFID标签的 识别元素（UII)、第一随机数RND1和第二随机数RND2,借助交织运算被洗乱，以便将来自于 读取设备（30a，30b)和来自于RFID标签（20a，20b)的随机数据随机地分布到明文M。
6. 根据权利要求4所述的方法，其中，将所述RFID标签（20a，20b)构造为，所述RFID 标签（20a，20b)还在读入以第一随机数RND1形式的挑战期间就能够开始加密，并且还在 计算密文(T的随后的字节期间就能够将所计算的密文C #的第一字节发送到所述读取设备 (30a，30b) 〇
7. 根据权利要求1或2所述的方法，其中，此外RFID标签（20a，20b)的识别元素（UII) 的数字签名（SIG(UII))也进入到所述明文M中，所述数字签名被优选地存储在RFID标签 (20a，20b)的存储器单元（26)中并且能够由读取设备（30a，30b)检验。
8. 根据权利要求1或2所述的方法，其中，为了节省计算时间，将模数n如下选择：n =l(mod 2bl'nd)，其中nd是整数，其中1彡nd〈d，bl是RFID标签（20a，20b)的处理器单元 (25)的字宽，并且d是模数n在处理器单元（25)的字宽中的长度。
9. 根据权利要求1或2所述的方法，其中，对于给定的模数n，蒙哥马利基数R被如下 选择：R = 2bl'(d+Sd)，其中bl是RFID标签（20a，20b)的处理器单元（25)的字宽，d是模数n 在处理器单元（25)的字宽中的长度，并且sd是安全参数，其选择为，使得成立bl 多1， 优选地bl ? sd多10并且最优选bl ? sd多100。
10. -种用于与读取设备（30a，30b)安全通信的RFID标签（20a，20b)，其中，所述RFID 标签（20a，20b)包括处理器单元（25)和存储器单元（26)，在该存储器单元中存储识别元 素（UII)，并且其中，所述处理器单元（25)被构造为，为了计算密文C%将明文M加密，RFID 标签（20a，20b)的或与之关联的对象的识别元素（UII)进入所述明文中，所述加密的方式 是，计算明文M的平方关于蒙哥马利基数R模n的蒙哥马利缩减，S卩，(f = M W^iiod n，并且 将验证消息发送到读取设备（30a，30b)，其中验证消息基于密文C%并且其中模数n = p ?(! 是读取设备（30a，30b)的公钥，质数p、q是读取设备（30a，30b)的私钥，并且蒙哥马利基数 R是大于模数n的整数。
11. 一种用于与RFID标签（20a，20b)安全通信的读取设备（30a，30b)，其中，所述读取 设备（30a，30b)包括处理器单元，该处理器单元被构造为，从RFID标签（20a，20b)接收基 于加密的明文M的验证消息，RFID标签（20a，20b)的或与之关联的对象的识别元素（UII) 进入所述明文中，并且将加密的明文M解密，其中在将加密的明文M解密时与蒙哥马利基数 R相乘并且然后利用模数n执行模运算，其中模数n = p*q是读取设备（30a，30b)的公钥， 质数P、q是读取设备（30a，30b)的私钥，并且蒙哥马利基数R是大于模数n的整数。
12. -种用于与按照权利要求10的至少一个RFID标签（20a，20b)和按照权利要求11 的至少一个读取设备（30a，30b)安全通信的系统。
【文档编号】H04L9/30GK104488219SQ201380024160
【公开日】2015年4月1日 申请日期:2013年2月13日 优先权日:2012年3月16日
【发明者】W.欣茨, K.芬肯泽勒, M·赛森 申请人:德国捷德有限公司