一种射频标签安全识别方法和系统与流程
本发明涉及通信技术领域,尤其涉及一种射频标签安全识别方法和系统。
背景技术:
射频识别 (RFID) 技术是一种非接触式的自动识别技术,与传统的条型码、磁卡及IC 卡相比,RFID 系统无须人工干预,且具有阅读速度快、非接触、无磨损、不受环境影响、寿命长、便于使用的特点,因此得到了广泛的应用。
RFID 系统一般由 RFID 标签、RFID 读写器和PC端三部分组成,标签和读写器之间采用非接触方式通信。RFID技术的出现,解决了数据自动识别的难题,处理信息更为快速、准确,减少了人工干预,避免了繁琐的手工输入等流程,从而降低了生产成本,无线射频识别目前已广泛应用于国内外企业的供应链中,在各行业都有所运用,不过因为信息安全问题的存在,RFID 应用尚未普及到至为重要的关键任务中。认证与密钥协商机制是保护 RFID 系统安全的核心技术之一,当下我国亟需设计出安全可靠的 RFID 认证与密钥协商方法,促进国内各行各业实施 RFID 系统,提高劳动生产率。
RFID系统中最主要的安全风险是保密性。显然,没有安全机制的RFID标签会向邻近的识读器泄漏标签内容和一些敏感信息。在RFID系统应用过程中,不法分子有许多机会可以发现、篡改RFID标签上的数据。
现有专利中,主要是直接进行标签和读写器直接通过证书或者非对称密钥的身份认证例如专利“基于公钥的射频识别双向认证方法”,但实际上由于标签往往是低成本,低功耗的,这样的模式对于标签的性能提出了更高的要求;在专利“一种射频识别标签识别的方法及系统”中,只是使用了固有ID和私有算法,只是起到了保护标签身份的作用,对于标签数据没有能够提供有效保护。
技术实现要素:
本发明的实施例提供了一种射频标签安全识别方法和系统。本发明提供了如下方法:
当标签端与读写端通讯验证通过,标签端采用第一会话密钥加密标签ID,形成第一密文,
标签端采用标签身份密钥加密标签数据以及读写端回传的第二随机数,形成第二密文,
将所述第一密文和所述第二密文发送至读写端。
根据本发明的上述方法,包括:
标签端发送第一随机数至读写端;
接收由读写端回传的经过第一通讯密钥加密的第一测试数据,所述第一测试数据包括所述第一随机数、所述第二随机数以及第一会话密钥;
根据第一通讯密钥解密所述第一测试数据,若解密后的第一测试数据中包括所述第一随机数,则标签端与读写端通讯验证通过。
根据本发明的上述方法,包括:
将经过第一通讯密钥加密的第一测试数据回传至标签端,验证标签端与读写端通讯是否通过,所述第一测试数据包括所述第一随机数、所述第二随机数以及第一会话密钥;
当标签端与读写端通讯验证通过,读写端接收第一密文和第二密文;
当读写端与PC端通讯验证通过,读写端采用第二会话密钥加密读写器ID,形成第三密文,
读写端采用读写器身份密钥加密所述第一密文和所述第二密文以及PC端回传的第四随机数,以及第一会话密钥,形成第四密文;
将所述第三密文和所述第四密文发送至PC端。
根据本发明的上述方法,包括:
读写端发送第三随机数至PC端;
接收PC端回传的经过第二通讯密钥加密的第二测试数据,所述第二测试数据包括所述第三随机数、所述第四随机数以及第二会话密钥;
根据第二通讯密钥解密所述第二测试数据,若解密后的第二测试数据中包括所述第三随机数,则读写端与PC端通讯验证通过。
根据本发明的上述方法,包括:
PC端将经过第二通讯密钥加密的第二测试数据回传至读写端,验证PC端和读写端通讯是否通过,所述第二测试数据包括所述第三随机数、所述第四随机数以及第二会话密钥;
当PC端和读写端通讯通过,PC端接收读写端发送的第三密文和第四密文;
当PC端与读写端数据传递验证通过,根据解密的第四密文获取第一密文、第二密文、以及第一会话密钥;
根据所述第一会话密钥解密第一密文,获取标签ID;
获取标签总密钥,并根据所述标签ID,将所述标签总密钥进行分散,获取标签身份密钥,根据所述标签身份密钥解密第二密文,获得标签数据。
根据本发明的上述方法,包括:
根据第二会话密钥解密第三密文,获取读写器ID;
获取读写器总密钥,并根据所述读写器ID,将所述读写器总密钥进行分散,获取读写器身份密钥,根据所述读写器身份密钥解密第四密文;
当解密的第四密文中包括所述第四随机数,PC端与读写端数据传递验证通过。
根据本发明的另一方面,还提供一种射频标签安全识别系统,包括:
标签加密模块:其用于与读写器加密模块通讯,当标签加密模块与读写器加密模块通讯验证通过,采用第一会话密钥加密标签ID,形成第一密文,
采用标签身份密钥加密标签数据以及读写器加密模块回传的第二随机数,形成第二密文,
将所述第一密文和所述第二密文发送至读写器。
根据本发明的另一方面,标签加密模块,包括:
标签验证模块:其用于判断标签加密模块与读写器加密模块通讯是否通过验证;
标签加密模块发送第一随机数至读写器加密模块;
标签加密模块接收由读写器加密模块回传的经过第一通讯密钥加密的第一测试数据,所述第一测试数据包括所述第一随机数、所述第二随机数以及第一会话密钥;
根据第一通讯密钥解密所述第一测试数据,若解密后的第一测试数据中包括所述第一随机数,则标签加密模块与读写器加密模块通讯通过验证。
根据本发明的另一方面,该系统,包括:
读写器加密模块:其用于将经过第一通讯密钥加密的第一测试数据回传至标签加密模块,验证标签加密模块与读写加密模块通讯是否通过,所述第一测试数据包括所述第一随机数、所述第二随机数以及第一会话密钥;
当标签加密模块与读写器加密模块通讯验证通过,其还用于接收第一密文和第二密文;
当读写器加密模块与PC解密模块通讯验证通过,采用第二会话密钥加密读写器ID,形成第三密文,
读写器加密模块采用读写器身份密钥加密所述第一密文和所述第二密文以及PC解密模块回传的第四随机数,以及第一会话密钥,形成第四密文;
将所述第三密文和所述第四密文发送至PC解密模块。
根据本发明的另一方面,所述读写器加密模块,包括:
读写验证模块:其用于判断读写器加密模块与PC解密模块通讯是否通过验证;
读写器加密模块发送第三随机数至PC解密模块;
读写器加密模块接收PC解密模块回传的经过第二通讯密钥加密的第二测试数据,所述第二测试数据包括所述第三随机数、所述第四随机数以及第二会话密钥;
根据第二通讯密钥解密所述第二测试数据,若解密后的第二测试数据中包括所述第三随机数,则读写器加密模块与PC解密模块通讯通过验证。
根据本发明的另一方面,该系统,包括:
PC解密模块:其用于将经过第二通讯密钥加密的第二测试数据回传至读写器加密模块,验证PC解密模块和读写器加密模块通讯是否通过,所述第二测试数据包括所述第三随机数、所述第四随机数以及第二会话密钥;
当PC端和读写端通讯通过,其还用于接收读写端发送的第三密文和第四密文;
当PC解密模块与读写加密模块数据传递验证通过,根据解密的第四密文获取第一密文、第二密文、以及第一会话密钥;根据所述第一会话密钥解密第一密文,获取标签ID;获取标签总密钥,并根据所述标签ID,将所述标签总密钥进行分散,获取标签身份密钥,根据所述标签身份密钥解密第二密文,获得标签数据。
根据本发明的另一方面,PC解密模块,包括:
PC验证模块:其用于根据第二会话密钥解密第三密文,获取读写器ID;获取读写器总密钥,并根据所述读写器ID,将所述读写器总密钥进行分散,获取读写器身份密钥,根据所述读写器身份密钥解密第四密文;
当解密的第四密文中包括所述第四随机数,则PC解密模块与标签加密模块数据传递通过验证。
根据本发明的另一方面,一种射频标签安全识别系统,包括:上述的标签加密模块、上述的读写器加密模块以及上述的PC解密模块。
由上述本发明的实施例提供的技术方案可以看出,本发明实施例中读写端将第一测试数据回传至标签端,标签端验证与读写端通讯是否通过,当验证通过,标签端加密标签ID,形成第一密文,标签端加密标签数据,形成第二密文,将第一、第二密文发送至读写端;读写端接收第一密文和第二密文;PC端将第二测试数据回传至读写端,PC端验证和读写端通讯是否通过,当通讯验证通过,读写端加密读写器ID,形成第三密文;读写端加密第一密文和第二密文,形成第四密文;将第三密文和第四密文发送至PC端。当PC端与读写端数据传递验证通过,PC端依次解密第三、第四、第一、第二密文,获得标签数据。本发明基于标签密钥的安全存储机制,在标签发行过程中,利用标签ID的唯一性,以及相关私有算法,进行通信密钥以及身份密钥的存储,以及在缓冲区内将相关密钥进行解密,从而实现密钥存储和使用的安全性。标签和读写器产生会话密钥,PC端和读写器之间产生会话密钥,这样用会话密钥加密读写器ID和标签ID加密进行通讯,保证标签ID和读写器ID的安全性,完成整个系统安全验证和数据处理,能够对于标签数据提供更有效的保护。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一提供的一种射频标签安全识别方法的处理流程图;
图2为本发明实施例二提供的一种射频标签安全识别系统的系统模块图。
具体实施方式
为便于对本发明实施例的理解,下面将结合附图以几个具体实施例为例做进一步的解释说明,且各个实施例并不构成对本发明实施例的限定。
实施例一
该实施例提供了一种射频标签安全识别方法的处理流程如图1所示,包括如下的处理步骤:
在标签端执行如下步骤:
步骤S1、标签端发送第一随机数至读写端;
步骤S2、接收由读写端回传的经过第一通讯密钥加密的第一测试数据,所述第一测试数据包括所述第一随机数、所述第二随机数以及第一会话密钥;
步骤S3、根据第一通讯密钥解密所述第一测试数据,若解密后的第一测试数据中包括所述第一随机数,则标签端与读写端通讯验证通过;若解密后的第一测试数据不包括所述第一随机数,则退出通讯。
步骤S4、当标签端与读写端通讯验证通过,标签端采用第一会话密钥加密标签ID,形成第一密文,标签端采用标签身份密钥加密标签数据以及读写端回传的第二随机数,形成第二密文。
步骤S5、将所述第一密文和所述第二密文发送至读写端。
在读写端执行如下步骤:
步骤K1、将经过第一通讯密钥加密的第一测试数据回传至标签端,用于验证标签端与读写端通讯是否通过,所述第一测试数据包括所述第一随机数、所述第二随机数以及第一会话密钥,链接步骤S2;
步骤K2、当标签端与读写端通讯验证通过,链接步骤S3,读写端接收第一密文和第二密文;链接步骤S5;
步骤K3、读写端发送第三随机数至PC端;
步骤K4、接收PC端回传的经过第二通讯密钥加密的第二测试数据,所述第二测试数据包括所述第三随机数、所述第四随机数以及第二会话密钥;
步骤K5、根据第二通讯密钥解密所述第二测试数据,若解密后的第二测试数据中包括所述第三随机数,则读写端与PC端通讯验证通过,链接步骤G2;若解密后的第二测试数据中不包括所述第三随机数,则退出通讯。
步骤K6、当读写端与PC端通讯验证通过,读写端采用第二会话密钥加密读写器ID,形成第三密文,读写端采用读写器身份密钥加密所述第一密文和所述第二密文以及PC端回传的第四随机数,以及第一会话密钥,形成第四密文;
步骤K7、将所述第三密文和所述第四密文发送至PC端;链接步骤G2。
在PC端执行如下步骤:
步骤G1、PC端将经过第二通讯密钥加密的第二测试数据回传至读写端,用于验证PC端和读写端通讯是否通过,所述第二测试数据包括所述第三随机数、所述第四随机数以及第二会话密钥;链接步骤K4;
步骤G2、当PC端和读写端通讯通过, PC端接收读写端发送的第三密文和第四密文;链接步骤K7;
步骤G3、根据第二会话密钥解密第三密文,获取读写器ID;
步骤G4、获取读写器总密钥,并根据所述读写器ID,将所述读写器总密钥进行分散,获取读写器身份密钥,根据所述读写器身份密钥解密第四密文;
步骤G5、当解密的第四密文中包括所述第四随机数,PC端与读写端数据传递验证通过;当解密的第四密文中不包括所述第四随机数,则退出通讯。
步骤G6、当PC端与读写端数据传递验证通过,根据解密的第四密文获取第一密文、第二密文、以及第一会话密钥;根据所述第一会话密钥解密第一密文,获取标签ID;获取标签总密钥,并根据所述标签ID,将所述标签总密钥进行分散,获取标签身份密钥,根据所述标签身份密钥解密第二密文,获得标签数据。
实施例二
该实施例提供了一种射频标签安全识别系统,其具体实现结构如图2所示,具体可以包括如下的模块:标签加密模块21、读写器加密模块22和PC解密模块23。
标签加密模块21:其用于与读写器加密模块通讯,当标签加密模块与读写器加密模块通讯验证通过,采用第一会话密钥加密标签ID,形成第一密文,
采用标签身份密钥加密标签数据以及读写器加密模块回传的第二随机数,形成第二密文。
将所述第一密文和所述第二密文发送至读写器。
所述标签加密模块21,包括:
标签验证模块211:其用于判断标签加密模块与读写器加密模块通讯是否通过验证;
标签加密模块发送第一随机数至读写器加密模块;
标签加密模块接收由读写器加密模块回传的经过第一通讯密钥加密的第一测试数据,所述第一测试数据包括所述第一随机数、所述第二随机数以及第一会话密钥;
根据第一通讯密钥解密所述第一测试数据,若解密后的第一测试数据中包括所述第一随机数,则标签加密模块与读写器加密模块通讯通过验证。
读写器加密模块22:其用于将经过第一通讯密钥加密的第一测试数据回传至标签加密模块,验证标签加密模块与读写加密模块通讯是否通过,所述第一测试数据包括所述第一随机数、所述第二随机数以及第一会话密钥;
当标签加密模块与读写器加密模块通讯验证通过,其还用于接收第一密文和第二密文;
当读写器加密模块与PC解密模块通讯验证通过,采用第二会话密钥加密读写器ID,形成第三密文,
读写器加密模块采用读写器身份密钥加密所述第一密文和所述第二密文以及PC解密模块回传的第四随机数,以及第一会话密钥,形成第四密文;
将所述第三密文和所述第四密文发送至PC解密模块。
所述读写器加密模块22,包括:
读写验证模块221:其用于判断读写器加密模块与PC解密模块通讯是否通过验证;
读写器加密模块发送第三随机数至PC解密模块;
读写器加密模块接收PC解密模块回传的经过第二通讯密钥加密的第二测试数据,所述第二测试数据包括所述第三随机数、所述第四随机数以及第二会话密钥;
根据第二通讯密钥解密所述第二测试数据,若解密后的第二测试数据中包括所述第三随机数,则读写器加密模块与PC解密模块通讯通过验证。
一种射频标签安全识别系统,其特征在于,包括:
PC解密模块23:其用于将经过第二通讯密钥加密的第二测试数据回传至读写器加密模块,验证PC解密模块和读写器加密模块通讯是否通过,所述第二测试数据包括所述第三随机数、所述第四随机数以及第二会话密钥;
当PC端和读写端通讯通过,其还用于接收读写端发送的第三密文和第四密文;
当PC解密模块与读写加密模块数据传递验证通过,根据解密的第四密文获取第一密文、第二密文、以及第一会话密钥;根据所述第一会话密钥解密第一密文,获取标签ID;获取标签总密钥,并根据所述标签ID,将所述标签总密钥进行分散,获取标签身份密钥,根据所述标签身份密钥解密第二密文,获得标签数据。
所述PC解密模块23,包括:
PC验证模块231:其用于根据第二会话密钥解密第三密文,获取读写器ID;获取读写器总密钥,并根据所述读写器ID,将所述读写器总密钥进行分散,获取读写器身份密钥,根据所述读写器身份密钥解密第四密文;当解密的第四密文中包括所述第四随机数,则PC解密模块与标签加密模块数据传递通过验证。
对于标签加密模块21,在发行标签的过程中,需要将安全通讯的相关密钥写入到标签中,通常标签发行是指,在标签使用之前,需要在标签内写入一定的初始数据和一些密钥以便标签正常工作中使用。为了保护这些标签中的密钥,需要利用标签ID的唯一性。在发行的时候读取标签ID,然后利用标签ID产生对应的特征码,来加密通信密钥,标签身份密钥,然后存储到标签内部。在通讯过程中,在标签内存中读取ID,产生对应的特征码,解密出通信密钥和标签身份密钥, 然后再利用通讯密钥和身份密钥进行安全认证和数据加密运算,实现标签数据安全和通讯安全。
在标签加密模块21和读写器加密模块22实际通讯过程中,标签加密模块21发送随机数R1,
读写器加密模块22中带有PSAM卡,在读写器加密模块和标签加密模块,读写器加密模块和PC解密模块的通讯过程中,产生随机数,或者对相关数据进行加解密。
读写器加密模块22利用第一通讯密钥K1进行加密第一测试数据,加密内容包括随机数R1和第一会话密钥Ks,以及随机数R2。
其中,第一通信密钥:用于读写器加密模块与标签加密模块之间的通信的密钥。
第一会话密钥:其为在读写器加密模块内部的产生的密钥,用于与标签加密模块会话。
读写器加密模块22采用第一通信密钥K1将第一测试数据传回给标签加密模块21,标签验证模块211解密读写器加密模块22传回的第一测试数据,验证解密出的随机数是否和标签加密模块发出去的随机数R1一致,如果不一致,则退出通讯;
如果一致,标签加密模块21,则会利用第一会话密钥Ks加密标签ID形成第一密文M1;并且标签加密模块21采用标签身份密钥加密标签数据Dt和读写器加密模块传回的随机数R2,形成第二密文M2。标签加密模块再把第一密文M1和第二密文M2一起传给读写器加密模块22。
PC解密模块23和读写器加密模块22通讯中,PC解密模块23与读写器加密模块22相连接,读写器加密模块22中带有PSAM卡,其存储读写器身份密钥、标签身份密钥、第一通信密钥、第二通信密钥、第一会话密钥、第二会话密钥。
读写器加密模块22发送第三随机数R3至PC解密模块,PC解密模块利用PSAM卡中的和读写器一样的第二通讯密钥K2对第三随机数R3和第二会话密钥Ksm,以及第四随机数R4,形成第二测试数据。PC解密模块传回给读写器加密模块22,读写器验证模块221解密PC加密模块传回的第二测试数据,验证解密出的随机数是否和发出去的第三随机数R3一致,如果不一致,则退出通讯;
其中,第二通信密钥:用于读写器加密模块与PC解密模块之间的通信的密钥。
第二会话密钥:其为在读写器加密模块内部的产生的密钥,用于与PC解密模块会话。
如果一致,读写器加密模块22则会利用第二会话密钥Ksm加密读写器ID形成第三密文M3。并且读写器加密模块采用读写器身份密钥加密第一密文M1和第二密文M2和PC解密模块23传回的随机数R4,以及第一会话密钥Ks,形成第四密文M4;
读写器加密模块22再将第三密文M3和第四密文M4发送至标签加密模块21;
标签加密模块21再把第三密文M3和第四密文M4一起传给PC解密模块23;
PC解密模块利用第二会话密钥Ksm解开第三密文M3,从而得到读写器ID,再利用读写器总密钥及读写器ID进行分散,从而得到读写器的身份密钥,然后利用读写器身份密钥解开M4, 从而得到第一密文M1和第二密文M2,以及第四随机数R4,第一会话密钥Ks,如果R4与PC端发送的不一致,则退出通讯;如果一致,则利用第一会话密钥Ks解密第一密文M1,从而得到标签ID,再利用PSAM卡中的标签总密钥及标签ID进行分散,从而得到标签所用的身份密钥,然后利用标签身份密钥解开第二密文M2,从而得到标签数据,PC端对相关数据进行处理。这就完成了PC端、读写器和标签的通讯。
用本发明实施例的装置进行射频标签安全识别的具体过程与前述方法实施例类似,此处不再赘述。
综上所述,本发明实施例中当标签端与读写端通讯验证通过,读写端将第一测试数据回传至标签端,标签端验证与读写端通讯是否通过,当验证通过,标签端加密标签ID,形成第一密文,标签端加密标签数据,形成第二密文,将第一、第二密文发送至读写端;读写端接收第一密文和第二密文;PC端将第二测试数据回传至读写端,PC端验证和读写端通讯是否通过,当通讯验证通过,读写端加密读写器ID,形成第三密文;读写端加密第一密文和第二密文,形成第四密文;将第三密文和第四密文发送至PC端。当PC端与读写端数据传递验证通过,PC端依次解密第三、第四、第一、第二密文,获得标签数据。本发明基于标签密钥的安全存储机制,在标签发行过程中,利用标签ID的唯一性,以及相关私有算法,进行通信密钥以及身份密钥的存储,以及在缓冲区内将相关密钥进行解密,从而实现密钥存储和使用的安全性。标签和读写器产生会话密钥,PC端和读写器之间产生会话密钥,这样用会话密钥加密读写器ID和标签ID加密进行通讯,保证标签ID和读写器ID的安全性,完成整个系统安全验证和数据处理,能够对于标签数据提供更有效的保护。
本领域普通技术人员可以理解:附图只是一个实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置或系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
- 还没有人留言评论。精彩留言会获得点赞!