专利名称:用于鉴定低资源示证者的方法和系统的制作方法
技术领域:
本发明涉及数字系统中的安全性,尤其是涉及在数字系统中鉴定示证者(prover )。从产品的制造到销售给消费者这一点(当射频识别标签将取代当 前使用的条形码时),将射频识别(RFID)标签用于消费产品管理很 可能在降低产品管理成本的同时会提高效率。已经定义了一个通用标 准,即RFID标签规范版本1. 0, 2003a,全球EPC (称为全球电子产品 码(EPC))。这个创举被认为基本上覆盖了所有的消费产品。为了在 更廉价的产品中经济合理地具有RFID标签,这些标签也必须是低成本 的,这意味着它们受限于其处理能力、存储量和通信能力。低成本、无源RFID标签基本上通过在被RFID读取器询问时利用 每个标签的唯一标识符(所述EPC )进行应答来起作用,这些标签从所 述RFID读取器中获得功率。每一个消费产品项目中的这个唯一标识符 可以由例如零售商的读取器使用以便识别出产品并且指向可以由零售 商访问的数据库中的完全产品记录。 一般情况下,这些应用将涉及到 相当多的可以进入读取器范围的带标签产品。在这种情况下,为了保 持系统的灵活性和实用性,可能要求在事先没有向读取器注册这些产 品的标识符的条件下,读取器识别出这些产品/标签中的任何一个。对于消费者而言,也存在唯一产品标识符的许多可能的应用(例 如智能炉自动设置食物项目的烹调指令),因此在销售给消费者之后 保持标签的功能是有意义的。然而,这些标签的这种普遍存在的方面 连同它们的直接应答行为(对于任何读取器请求都大声呼叫出其EPC ) 也引起对于消费者的隐私方面的考虑。携带了读取器的未授权个人可 能能够掌握活动的个人携带的产品的标识符,从而了解这个人携带或 穿戴的物品。而且,可以通过他们经常随身携带的标签的唯一组合来 进行个人跟踪。已经做出了尝试来解决对于这些隐私的考虑。在Ari Juels的名 称为"Minimalist Cryptography for Low-Cost RFID Tags"并且在 本专利申请提交时可在 URL http:〃www.rsasecurity.com/rsalabs/node.asp icN2033上获得的文章中已经提出了解决这些问题的尝 试。这篇文章提出了用于利用读取器进行标签的隐私鉴定的安全方案, 其将对标签的负荷从计算需求转移到存储需求。在这种方案中,标签 具有多个假名,当读取器查询时,其循环移动这些假名。为了实现标 签和读取器的相互鉴定,它们事先共享所有标签假名的列表并且对于 每个假名共享双方进行交换的两个另外的秘密值,从而实现互相鉴定。 由于所有的值都是以明文来传送的,因此描述了 一种用于读取器在相 互鉴定之后更新标签中的所有值(即假名和秘密值)的机制。虽然这 种方案提供了防止标签克隆的标签鉴定(并且不仅仅是识别),但是 它存在缺陷。 一个有相当份量的缺陷在于,必须预先向读取器注册标 签。而且,没有解决标签与不止一个读取器的交互作用,因此一旦读 取器更新了标签,那么不存在其他读取器学习该新的被更新标签值的 被建议的机制。此外,该方案对于标签-读取器的通信成本的要求非常 高。鉴于上述情况,本发明的目的在于解决上述问题,尤其是提供了 由读取器进行的对于低功率标签的隐私鉴定,其中在不要求预先注册 的情况下可以由 一个或多个读取器对任何标签进行隐私鉴定。 总体上,上述目的是通过随附的独立权利要求来实现的。 本发明的第一方面是用于允许在包括示证者和验证者(verifier ) 的射频识别系统中鉴定示证者的方法,该方法包括步骤示证者向验 证者发送示证者标识符和双亲标识符;验证者向示证者发送验证者标 识符;示证者借助于示证者多项式计算第一公共秘密,其中示证者多 项式中的未知数由使用至少验证者标识符的函数计算的结果来代替; 以及验证者借助于第 一验证者多项式计算第 一公共秘密,其中第一验 证者多项式中的第 一未知数由示证者标识符代替并且第 一验证者多项 式中的第二未知数由所述双亲标识符代替;示证者通过关于至少所述第 一公共秘密调制第 一核心秘密来创建第 一 消息;所述示证者向验证 者发送第一消息;以及验证者通过利用第一公共秘密对第一消息进行 解调来创建笫一核心秘密的第一候选,由此将第一核心秘密的候选用 于所述鉴定。这允许验证者和示证者独立地创建用于调制核心秘密的 公共秘密。这个公共秘密使得示证者向验证者进行预先注册变得不必要。此外,使用多项式的计算要求很小的处理能力。示证者计算第一公共秘密的步骤可以涉及借助于示证者多项式来 计算第 一公共秘密,其中示证者多项式中的未知数由使用至少验证者 标识符以及参数的第一值的函数计算的结果来代替,验证者计算第一 公共秘密的步骤可以涉及借助于第 一验证者多项式计算第 一公共秘 密,其中第二验证者多项式中的第 一 未知数由示证者标识符代替并且 第二验证者多项式中的第二未知数由所述双亲标识符代替,其中第一 验证者多项式与所述参数的笫一值关联,并且该方法可以包括另外的步骤示证者借助于示证者多项式计算第二公共秘密,其中示证者多 项式中的未知数由使用至少验证者标识符以及参数的第二值的函数计 算的结果来代替;以及验证者借助于第二验证者多项式计算第二公共 秘密,其中第二验证者多项式中的第 一未知数由示证者标识符来代替 并且第二验证者多项式中的第二未知数由所述双亲标识符来代替,其 中第二验证者多项式与所述参数的第二值关联。所述至少验证者标识符以及参数的值的函数可以是验证者标识符 与参数的值之和。使用求和作为所述函数在这种情况下就足够了,并 且需要很小的处理能力。示证者多项式可以从主多项式中导出,其中第一未知数已经由示 证者标识符代替并且笫二未知数已经用双亲标识符代替;验证者多项式从主多项式中导出,其中第三未知数已经由验证者标识符与所述参 数的第一值之和代替,第一验证者多项式与所述参数的第二值关联, 主多项式包括至少三个未知数。主多项式因此可以被保密并且产生所 需的验证者多项式和示证者多项式。对于所述方法的后续执行而言,可以将第二核心秘密设置成示证者标识符。主多项式可以从网络主多项式中导出,该网络主多项式具有至少 四个未知数。因此,可以创建多项式层级,简化配置。所述方法可以包括另外的步骤示证者通过利用第二公共秘密调 制第一核心秘密来创建第二消息;示证者向验证者发送笫二消息;验 证者通过利用第二公共秘密解调第二消息来创建第一核心秘密的第二 候选;验证者有条件地鉴定第一核心秘密为第一核心秘密的第一候选, 该验证者条件至少包括第一核心秘密的第一候选的值等于第一核心秘密的第二候选的值。这允许鉴定第一核心秘密。所述方法可以包括另外的步骤验证者创建第二核心秘密;验证 者通过利用公共秘密调制第二核心秘密来创建第三消息;验证者创建 计算秘密;验证者通过利用公共秘密调制计算秘密来创建笫四消息; 验证者通过利用公共秘密调制第二核心秘密和计算秘密来创建第五消 息;验证者向示证者发送第三、第四和第五消息;示证者通过利用与 调制第三消息所用的公共秘密对应的公共秘密对第三被调制消息进行 解调来创建候选第二核心秘密;示证者通过利用与调制第四消息所用 的公共秘密对应的公共秘密对第四被调制消息进行解调来创建候选计 算秘密;示证者通过利用与调制第五消息所用的公共秘密对应的公共秘密对第五被调制消息进行解调来创建鉴定项目;示证者有条件地将 第二核心秘密鉴定为候选第二核心秘密并且将计算秘密鉴定为候选计算秘密,该有条件的示证者条件至少包括鉴定项目等于第五被调制秘 密。验证者对于特定秘密的更新增加了下一次鉴定的安全性。计算秘密可以包括在计算后续公共秘密时由示证者使用的示证者 多项式的新系数。验证者创建计算秘密的步骤可以涉及通过利用第二核心秘密代替 第一验证者多项式中的未知数来创建示证者多项式的系数。对于所述方法的后续执行而言,可以将第二核心秘密设置成示证 者标识符。所述方法在示证者发送示证者标识符的步骤之前可以包括另外的 步骤验证者选择第一参数和第二参数,验证者向示证者发送第一参 数和第二参数,其中示证者计算第一公共秘密的步骤涉及使用第一参 数,示证者计算第二公共秘密的步骤涉及使用第二参数,第一验证者 多项式与第一参数关联,并且第二验证者多项式与第二参数关联。这 提供了抵抗重放攻击的安全性。所述方法在验证者创建第四消息的步骤之前可以包括另外的步 骤示证者和验证者建立第三公共秘密和第四公共秘密,并且其中在 验证者创建第三消息的步骤中,所述公共秘密为第三公共秘密,在验 证者创建第四消息的步骤中,所述公共秘密为第三公共秘密,在验证 者创建第五消息的步骤中,所述公共秘密为第四公共秘密,在示证者 创建候选第二核心秘密的步骤中,所述公共秘密为第三公共秘密,在示证者创建候选计算秘密的步骤中,所述公共秘密为第三公共秘密, 在示证者创建鉴定项目的步骤中,所述公共秘密为第四公共秘密。第三公共秘密可以与所述参数的第三值关联,所述第四秘密与所 述参数的第四值关联。验证者创建第二核心秘密的步骤可以涉及将第二核心秘密设置成 随机数。第一核心秘密为电子产品码。每个调制操作可以涉及执行异或操作,每个解调操作可以涉及执 行异或操作。本发明的第二方面是用于允许鉴定示证者的射频识别系统,该系 统包括示证者和验证者、示证者,示证者包括用于向验证者发送示证 者标识符和双亲标识符的装置,验证者包括用于向示证者发送验证者 标识符的装置,示证者包括用于借助于示证者多项式计算第 一公共秘 密的装置,其中示证者多项式中的未知数由使用至少验证者标识符的 函数计算的结果来代替,验证者包括用于借助于第一验证者多项式计 算第一公共秘密的装置,其中第一验证者多项式中的第一未知数由示 证者标识符代替,第 一验证者多项式中的笫二未知数由所述双亲标识 符代替,示证者包括用于通过关于至少第一公共秘密调制第一核心秘 密来创建第 一 消息的装置,示证者包括用于向验证者发送第 一消息的 装置,以及验证者包括用于通过利用第一公共秘密解调第一消息来创 建第一核心秘密的第一候选的装置。本发明的第三方面为射频识别示证者,其被配置成形成依照所述 第二方面的系统的一部分。本发明的第四方面为射频识别验证者,其被配置成形成依照所述 第二方面的系统的一部分。应当指出的是,在RFID系统中,示证者一般对应于标签并且验证 者一般对应于读取器。根据下面的详细公开、根据所附的权利要求以及根据附图,可以 看出本发明的其他目的、特征和优点。总体而言,除非本文中另有明确的定义,权利要求中使用的所有 术语都应当按照其在本技术领域中的普通含义来解释。除非另有明确 的说明,对于"一/一个/该[元件、设备、部件、装置、步骤等等]"的所有引用都应当广义地解释为涉及所述元件、设备、部件、装置、 步骤等等的至少一个实例。除非另有明确的说明,本文中公开的任何 方法的步骤都不必按照所公开的确切顺序来执行。现在将参照附图更加详细地描述本发明的实施例,在附图中
图1示出了其中可以应用本发明的一个实施例的环境; 图2示出了说明本发明第一实施例的协议的顺序图; 图3示出了说明本发明第二实施例的协议的顺序图。应当指出的是,尽管下面描述的实施例涉及RFID,但是本发明并 不限于RFID系统。图1示出了其中可以应用本发明的一个实施例的环境。第一读取 器111具有有限的范围131,它在该范围内可以与标签进行通信。当前, 存在笫一标签101和第二标签102,这些标签能够分别通过无线链路 122和123与读取器111通信,而第三标签103处于更远的位置,因而 当前不能与读取器111通信。不过,第三标签103处于第二读取器112 的范围132内,因而可以通过无线链路124与第二读取器112通信。 每个标签都包含标签与其通信的读取器可以检测的电子产品码(EPC) (未示出)。如下面进一步所解释的,存在一种方法,其包括每个标 签和每个读取器的多项式和身份、允许读取器相当安全地读取标签的 EPC、确保EPC的真实性。受信任第三方(TTP) 121向标签和读取器分 配多项式和身份(未示出)。下面详细地讨论依照本发明一个实施例的方法。所提出的用于隐私鉴定的解决方案基于Blom的方案,借助于多项 式产生共享的秘密。这种方案的优点在于,每个示证者和每个验证者 可以共享唯一的秘密,而不必(i)在协议开始之前建立它们之间的相 互秘密,以及(ii )在每方存储所有这些秘密。由于标签和读取器之 间具有共享的秘密,因此可以在各方之间安全地交换值。而且,这种 方案满足了不向读取器预先注册标签的要求。所述系统中的实体包括低功率RFID标签101、 102、 103; RFID 读取器111、 112;以及受信任第三方(TTP) 121。下面描述这些实体 的动作以及它们之间的交互。TTP 121选择三个变量的多项式Q(x,y:,y2),该多项式称为"主,, 多项式。该多项式关于变量x的次数为(n-l),而关于变量y,和y2 次数为(m-l),因此整个多项式的自由度等于nxmxm。选择值n和m, 使得m相对较小并且n相对较大,其原因在下面将变得清楚明白。而 且,选择Q (x, yi, y2),使得它关于变量yi和L是对称的,即对于所有 (x,y"y2), Q(x,y"y2卜Q(x,y2,yi)。在这些约束下,可以随机地选择 该多项式。然后,TTP 121在系统中向每个读取器R 111、 112分配(i) 随机数IDa,这是多项式系统中的读取器标识符;以及(i i )关于两个变量x和yi的、形如Q/p) (x, yi) =Q (x, yi, y2=IDR+p) 的四个多项式,p=0,l,2,3, nxm个系数应当由读取器111、 112保密。对于系统中的任何两个读取器Ri和Rj,必须成立对于所有i、 j和p,有IDR(VlDR(j)+p。而且,当它们进入系统中时,TTP 121向每个标签T 101分配a) 随机数IDT(多项式系统中标签的标识符)和S, 一个随机数(其 模仿"双亲,,读取器的ID,参见下文);以及b) 关于一个变量y,的多项式QT(yJ-Q(x-IDT,y,,y尸S),迈个系数 应当由标签101保密。可替换地,当把值分配给标签T 101时,TTP 121也可以是受信任 读取器TR (受标签101的信任)的形式,其向标签T 101发送(i )随机数IDT (同上)和IDTR (多项式系统中受信任读取器的标 识符);以及(ii) 多项式QT(yJ-Q(x^DT,y,,y尸IDTR),同上。 受信任读取器TR称为标签的"双亲"。由于m相对较小并且n相对较大,因而所述标签不必存储非常大 的多项式(m个系数)。另一方面,读取器111、 112必须存储nxm个 系数。在这里,存储负荷转移到(资源多得多的)读取器111、 112。在系统的这种初始设置中,随机数(例如标识符)和多项式系数 的传输应当通过安全的信道来完成。而且,任何新实体(标签或读取 器)在任何时间点上都可以进入系统中。在任何时间点上进入系统时, 执行上面初始设置(对于读取器和对于标签)中所述的相同过程。为了标签T101向读取器R111秘密地发送其唯一 (EPC)标识符,执行图2中绘出的协议。在这个协议中,通过标签101和读取器111 开始时向彼此披露其多项式标识符来完成标签101和读取器111之间 共享秘密的建立。如同将要描述的,利用这些共享的秘密,双方可以 互相鉴定并且标签101可以秘密地发送其唯一 EPC标识符。然而,在 这个过程中,观察者可以了解到该标签的多项式标识符IDT。为了防止 标签101通过IDT以及不同鉴定会话的可链接性被跟踪,在给定鉴定会 话中查询标签101的读取器111在该会话结束时"刷新"标签101。这 意味着读取器111产生新的标识符和新的多项式系数并且将它们安全 地发送给标签101,所述标签101然后更新这些值。这个读取器111 于是成为该标签的新双亲。下面详细地解释整个协议。上面所述可替 换的设置(涉及受信任读取器TR)被使用,并且为了简单起见,假设 标签101在进入系统之后第一次被鉴定(即其双亲为受信任读取器 TR)。这个假设没有丧失所述解决方案的一般性。图2示出了说明本发明第一实施例的协议的顺序图,其涉及标签 101和读取器111。在第一步骤210中,读取器111通过向标签101发送请求来启动 通信,以便发送其标签标识符IDT和其双亲标识符IDTR。此外,读取器 111向标签101发送其标识符IDR。在步骤212中,在步骤210中由读取器111查询之后,标签101 向读取器111发送其标识符1&和其当前双亲的标识符IDTK。然后在步骤214中,标签101计算p=0、 1、 2、 3时的值 KT(')=QT(IDR+p)=Q(x=IDT,yi=IDK+p,y2=IDTR)。相应地,读取器111在步 骤 216 中计算 p=0,l,2,3 时的值 KK(P)=Q/P)(IDT,IDTK)= Q(x-IDT,yi=IDTR,y2=IDR+p)。给定多项式对称性,只要标签和读取器的 多项式按照前面规定的方式来产生,那么有KT(P>=K/P)。当出现这种情 况时,标签101和读取器111可以建立起p=0,l,2,3时的共享秘密K(p) —V (p) =f (p) t —kit =k o在步骤218中,在双方产生了秘密之后,标签101用其计算的KT(Q) 以及其计算的K/"与其EPC标识符进行异或,并且将两个所得结果XW 和X"'发送给读取器111。这是通过标签101利用两个不同的秘密值(或 密钥)K/。)和Kt")来完成的。因此在步骤220中,读取器lll可以(i) 通过将X(。'与其计算的秘密Kj'进行异或来从X("中恢复标签的EPC标识符,并且(ii)通过将X")与其计算的秘密K/"进行异或来从X^中 检查标签的EPC标识符。如果这两个值不匹配,那么读取器lll停止。 如果它们匹配,那么读取器111鉴定出标签101 (因为标签101能够产 生与读取器111相同的密钥),并且读取器111获得正确的EPC标识符。然后,读取器111继续以更新标签101。在步骤222中,它选择随 机数IDt,(其将用作标签的新多项式标识符)并且在步骤224中计算 系数为 "(i=0,l,...,m-l )的新多项式 QR(x=IDTnew,yi)= Q(x-ID/ew,y!,y2-IDK)。然后在步骤226中,读取器111将ID,和每个 新系数"与其计算的K/2)进行异或,从而形成值X")和X(")。为了允许 标签101检查这些值(如同之前对于读取器111所做的),读取器111 进一步将新标识符ID/^和校验和值C-c。6CC2…cv,与其计算的K/3) 进行异或,从而形成值X"5。应当指出的是,在这里表示异或操 作。然后,将所有这些(m+2)个值发送到标签101。现在在步骤228中,标签101可以通过将这些值中的每一个与其 计算的秘密K,进行异或来从X")和X"'"中恢复ID,"和新系数Ci,。而 且在步骤 230 中,标签 101 可以通过计算校验和值 。=0。, (;1, (;2,...(; 1-1,来检查这些值。然后,标签101使用该值和其计 算的秘密K/3)来计算X(3),=IDr" C, KT(3)。如果X(3)^X(3),那么标签 101停止。如果这些值匹配,那么标签101鉴定出读取器111 (因为读 取器111能够产生与标签101相同的密钥),并且标签101获得正确 的新的标识符ID广"以及正确的新的系数。在步骤232中,标签101最终用这些新值重写其多项式和标识符, 这些新值用于下一次启动该方法时。在一个实施例中,如果需要的话,在标签101和读取器111之间 可以存在更多的共享秘密以用于进一步操作,即p可以采用大于3的 值。更明确地说,p=0,l,2,...,P,其中P〉3。这将在下面进一步加以讨 论。在上述方案中,TTP121具有关于三个变量的(主)多项式,其被 简化成发送给读取器的关于两个变量的多项式,这些多项式反过来又 简化成发送给标签的关于一个变量的多项式。这个层级可以向上拓展, 即可以在原始TTP 121之上引入更多的具有关于四个、五个等变量的多项式的TTP,在沿该层级向下的每一级,这些多项式的级次降低。这 允许将系统组织成各级,每个TTP负责归入其下的实体(即其他TTP、 读取器和标签)。可选地,可以让读取器存储其通信历史。该历史可以用来回退任 何异常。由于全局系统安全性依赖于主多项式的秘密性,因此现在利用描 述的附加的实施例来更加详细地讨论这一点。主多项式Q(x,y^y2)具有nxmxm个系数,但是由于它关于最后两 个变量是对称的,因而具有的自由度为nm(m+l)/2 (与n个大小为mxm 的对称矩阵的自由度相同)。对于K-Q(Vi,V2,V3),知道秘密K以及值Vh V2和V3就给出有关多 项式Q(x,y^y2)的系数的一个方程。知道存储于标签中的一个多项式 QT(yJ就等价于关于Q的系数的m个方程。知道存储于读取器中的一个 多项式Q/P) (x, yi)就给出关于Q的系数的mxn个方程。这意味着因此,有必要"侵入"(意即非法地获悉秘密)n(m+l)/2个标签 以便获悉主多项式。如果读取器具有(P+l)个多项式(应当指出的是,图2中P=3) 那么有必要侵入(m+l) / (2 (P+l))个读取器以便获得主多项式。如上所述,选择值n和m,使得m相对较小并且n相对较大。这意 味着,假设读取器比标签更难侵入的情况下,攻击者需要侵入数量比 读取器的数量大得多的标签(标签数量/读取器数量-n(P+l))以便获 得主多项式。侦听合法标签T和合法读取器R之间的通信的攻击者可能记录该 通信并且之后重放该通信以便模仿读取器到标签的通信或者模仿标签 到读取器的通信。下面考虑这两种情况。当恶意的读取器设法读取合法的标签时,所述值的简单重放不能 帮助该读取器,因为标签的多项式标识符与被记录协议中发送的值并 不相同(因为在协议结束时值被更新了 )。该读取器不能够获得标签 的EPC,因为它不能够计算正确的秘密K/。)和K/1)。而且,如果该读取 器设法用伪造值更新标签,那么标签将检测出ID,w值的失配并且它将 停止协议。当恶意的标签通过模仿有效的标签来设法欺骗合法的读取器时,该标签必须重放完全的协议,但是只能利用合法的读取器R。在这种情 况下,读取器将获得标签T的EPC,并且继续以更新该标签的值。因此, 该标签處多用合法的EPC来欺骗读取器。为了防止这种攻击,可以按 照下述图3中示出的方式来扩展系统。现在将更加详细地描述依照这 个实施例的协议。在系统设置期间,TTP 121向系统中的每个读取器111 (R) 111 分配数量为(P+l)的多项式,其中P>3。与前面相同,这些多项式形如 Q/p) (x, yi) =Q (x, y!, y2=IDR+p),不过现在p=0, 1, 2, 3, " P。像前面一样, 标签只接收一个多项式。现在在标签鉴定协议的开始处,在步骤310 中,当读取器111向标签101发送其标识符IDK时,读取器lll还将发 送两个从集合(O, 1, 2, 3, ...,P}中随机选取的不同值,比如p。和p"类 似于结合图2描述的协议,标签101向读取器111发送IDt和IDTR。在 步骤314中,值p。和p!指示标签101奸算秘密Kt(p。^Qt(IDr+p。)以及 KTW = QT(IDR+Pl),并且在步骤318中使用这些秘密对其EPC进行异或, 产生x("和x"),并且将这些值发送给读取器111。同时,读取器111 已经在步骤316中计算了相应的共享秘密。通过这种方式,值x^和x^与攻击者记录的值(比如X("和X^) (假定在被记录协议中,如图2中一样,p。-0和p产l)相同的机会只 是P(P+l)/2分之一。并且如果恶意的标签不能产生x(p。)和x"),那么读 取器111就能够在步骤320中检查EPC值时检测出它,并且停止协议。用于发送/检查IDT,的另外两个秘密以及新的系数Ci (即 K,)/K,)和K,)/K,))由具有p个值、P2和P3的读取器和标签产生,其事先由读取器和标签达成一致。例如,它们可以总是由读取器和标 签选取为剩余集合S={0,1,2,3,...,P}-(p。,pj中的两个最低值。应当 指出的是,关键值为P。和P"它们的选择允许读取器确定标签是否合 法(如上所述,失败的机会为P(P+1)/2分之一)。类似于结合图2描述的协议,读取器111在步骤322中产生ID/6" 并且在步骤324中计算新的标签多项式的新Ci值。在步骤"6中,通 过将IDT,和每个系数Ci与K/2)进行异或来计算值X(p2'、 X(P2i);通过读 取器111进一步将新的标识符ID广"和校验和值C-c。0d①C2…CH与其 计算的K/")进行异或以便形成X(p3'来计算X(P3)。然后,将X(P2>、 X(p2i) 和X(")发送给标签101。现在在步骤328中,标签101可以通过将这些值中的每一个与其 计算的秘密K/"进行异或来从X^和X^'i'中恢复IDr"和新系数Ci,。 而且在步骤330中,标签101可以通过计算校验和值 C,^。,6d,扭C2,…"V来检查这些值。然后,标签101使用该值和其计 算的秘密K/")来计算X(P3),=IDTne" C, KT(P3)。如果X(F3)VX(P3),那么标 签101停止。如果这些值匹配,那么标签101鉴定出读取器111 (因为 读取器111能够产生与标签101相同的密钥),并且标签101获得正 确的新的标识符ID,w以及正确的新的系数。在步骤332中,标签101最终用这些新值重写其多项式和标识符, 这些新值用于下一次启动该方法时。在上面,必须调节P的值,作为在两个安全性要求之间的折衷 它应当足够大以便如上所述降低模仿攻击的可能性;但是它应当显著 小于(m-1) /2 ,以使攻击者为获取主多项式而必须侵入的读取器数量 (m+l)/(2 (P+l))相当大。假定通过(i )隐藏标签的EPC标识符以及(ii )在成功地相互鉴 定之后更新标签的标识符(在多项式方案中)和标签的多项式来实现 秘密性,那么所提出的方案的代价在于标签和读取器之间增加的通信。 然而,由于标签的多项式具有m个系数并且m的选择使得其相对较小, 因此通信负荷(以及标签中必要的存储空间)得以降低。尽管上迷实施例涉及RFID,但是应当指出的是,本发明并不限于 RFID系统。上面已经主要参照一些实施例描述了本发明。但是,本领域技术 人员容易理解的是,在本发明的范围内同样可能存在不同于所公开实 施例的其他实施例,所述范围由随附专利权利要求所限定。
权利要求
1.一种允许在包括示证者(101)和验证者(111)的系统中鉴定所述示证者(101)的方法,所述方法包括步骤所述示证者(101)向所述验证者(111)发送示证者标识符和双亲标识符,所述验证者(111)向所述示证者(101)发送验证者标识符,所述示证者(101)借助于示证者多项式计算第一公共秘密,其中所述示证者多项式中的未知数由使用至少所述验证者标识符的函数计算的结果来代替,以及所述验证者(111)借助于第一验证者多项式计算所述第一公共秘密,其中所述第一验证者多项式中的第一未知数由所述示证者标识符代替并且所述第一验证者多项式中的第二未知数由所述双亲标识符代替,所述示证者(101)通过关于至少所述第一公共秘密调制第一核心秘密来创建第一消息,所述示证者(101)向所述验证者(111)发送所述第一消息,以及所述验证者(111)通过利用所述第一公共秘密对所述第一消息进行解调来创建所述第一核心秘密的第一候选,由此将所述第一核心秘密的所述候选用于所述鉴定。
2. 依照权利要求l的方法,其中所述示证者(101 )计算第一公共秘密的所述步骤涉及借助于所述 示证者多项式来计算所述第 一公共秘密,其中所述示证者多项式中的 未知数由使用至少所述验证者标识符以及参数的第一值的函数计算的 结果来代替,所述验证者(111 )计算所述第一公共秘密的所述步骤涉及借助于 第 一验证者多项式计算所述第 一公共秘密,其中所述第二验证者多项 式中的第 一未知数由所述示证者标识符代替并且所述第二验证者多项 式中的第二未知数由所述双亲标识符代替,其中所述第一验证者多项式与所述参数的所述第一值关联, 并且所述方法包括另外的步骤所述示证者(101)借助于所述示证者多项式计算第二公共秘密,其中所述示证者多项式中的未知数由使用至少所述验证者标识符以及 参数的第二值的函数计算的结果来代替,以及所述验证者(111)借助于笫二验证者多项式计算第二公共秘密, 其中所述第二验证者多项式中的第 一未知数由所述示证者标识符来代 替并且所述第二验证者多项式中的第二未知数由所述双亲标识符来代 替,其中所述第二验证者多项式与所述参数的所述第二值关联。
3. 依照权利要求2的方法,其中至少所述验证者标识符以及参数 的值的所述函数是所述验证者标识符与所述参数的所述值之和。
4. 依照权利要求2或3的方法,其中所述示证者多项式从主多项式中导出,其中第一未知数已经由所 述示证者标识符代替并且第二未知数已经用双亲标识符代替,以及所述验证者多项式从所述主多项式中导出,其中第三未知数已经 由所述验证者标识符与所述参数的所述第 一值之和代替,所述第 一验 证者多项式与所述参数的第二值关联,所述主多项式包括至少三个未知数。
5. 依照权利要求4的方法,其中所述主多项式从网络主多项式中 导出,所述网络主多项式具有至少四个未知数。
6. 依照权利要求2-5中任何一项的方法,包括另外的步骤 所述示证者(101)通过利用所述第二公共秘密调制所述第一核心秘密来创建第二消息,所述示证者(101)向所述验证者(111)发送所述第二消息, 所述验证者(111)通过利用所述第二公共秘密解调所述笫二消息来创建所述第 一核心秘密的第二候选,所述验证者(111 )有条件地鉴定所述第一核心秘密为所述第一核心秘密的所述第一候选,所述验证者条件至少包括所述第一核心秘密的所述第一候选的值等于所述第一核心秘密的所述第二候选的值。
7. 依照权利要求6的方法,包括另外的步骤 所述验证者(111)创建第二核心秘密,所述验证者(111 )通过利用公共秘密调制所述第二核心秘密来创 建第三消息,所述验证者(111)创建计算秘密,所述验证者(111)通过利用公共秘密调制所述计算秘密来创建第四消息,所述验证者(111)通过利用公共秘密调制所述第二核心秘密和所 述计算秘密来创建第五消息,所述验证者(111)向所述示证者(101)发送所述第三、所述第四和所述第五消息,所述示证者(101)通过利用与调制所述第三消息所用的所述公共秘密对应的公共秘密对所述第三被调制消息进行解调来创建候选第二核心;秘密,所述示证者(101)通过利用与调制所述第四消息所用的所述公共 秘密对应的公共秘密对所述第四被调制消息进行解调来创建候选计算 秘密,所述示证者(101)通过利用与调制所述第五消息所用的所述公共 秘密对应的公共秘密对所述第五被调制消息进行解调来创建鉴定项 3 ,所述示证者(101 )有条件地将所述第二核心秘密鉴定为所述候选 第二核心秘密并且将所述计算秘密鉴定为所述候选计算秘密,该有条件的示证者条件至少包括所述鉴定项目等于所述第五被调制秘密。
8. 依照权利要求7的方法,其中所述计算秘密包括在计算后续公 共秘密时由所述示证者(101)使用的所述示证者多项式的新系数。
9. 依照权利要求8的方法,其中所述验证者(111)创建计算秘 密的所述步骤涉及通过利用所述第二核心秘密代替所述第一验证者多 项式中的未知数来创建所述示证者多项式的系数。
10. 依照权利要求7-9中任何一项的方法,其中将所述第二核心 秘密设置成用于所述方法的后续执行的所述示证者标识符。
11. 依照权利要求2-10中任何一项的方法,在所述示证者(101) 发送示证者标识符的所述步骤之前包括另外的步骤所述验证者(111)选择第一参数和第二参数, 所述验证者(111)向所述示证者(101)发送所述第一参数和所 述第二参数,其中所述示证者(101 )计算所述第一公共秘密的所述步骤涉及使 用所述第一参数,所述示证者(101)计算第二公共秘密的所述步骤涉及使用所述笫二参数,所述第一验证者多项式与所述第一参数关联,并且 所述第二验证者多项式与所述第二参数关联。
12. 依照权利要求7-11中任何一项的方法,在所述验证者(111) 创建第四消息的所述步骤之前包括另外的步骤所述示证者(101)和所述验证者(111)建立第三公共秘密和第 四/〉共禾》密,并且其中在所述验证者(111)创建第三消息的所述步骤中,所述 公共秘密为所述第三公共秘密,在所述验证者(111)创建第四消息的所述步骤中,所述公共秘密 为所述第三公共秘密,在所述验证者(111)创建第五消息的所述步骤中,所述公共秘密 为所述第四公共秘密,在所述示证者(101)创建候选第二核心秘密的所述步骤中,所述 公共秘密为所述第三公共秘密,在所述示证者(101)创建候选计算秘密的所述步骤中,所述公共 秘密为所述第三公共秘密,在所述示证者(101)创建鉴定项目的所述步骤中,所述公共秘密 为所述笫四公共秘密。
13. 依照权利要求12的方法,其中所述第三公共秘密与所述参数 的第三值关联,并且所述笫四秘密与所述参数的笫四值关联。
14. 依照权利要求7-12中任何一项的方法,其中所述验证者(lll) 创建第二核心秘密的所述步骤涉及将所述第二核心秘密设置成随机 数。
15. 依照前述权利要求中任何一项的方法,其中所述系统为射频 识别系统。
16. 依照前述权利要求中任何一项的方法,其中所述第一核心秘 密为电子产品码。
17. 依照前述权利要求中任何一项的方法,其中每个调制操作涉 及执行异或操作,并且每个解调操作涉及执行异或操作。
18. —种用于允许鉴定示证者(101)的系统,所述系统包括所述 示证者(101)和验证者(111)、所述示证者(101),所述示证者(101)包括用于向所述验证者(111)发送示证者标识符和双亲标识符的装置,所述验证者(111)包括用于向所述示证者(101)发送验证者标识符的装置,所述示证者(101)包括用于借助于示证者多项式计算第一公共秘密的装置,其中所述示证者多项式中的未知数由使用至少所述验证者 标识符的函数计算的结果来代替,以及所述验证者(111)包括用于借助于第一验证者多项式计算所述第 一公共秘密的装置,其中所述第一验证者多项式中的笫一未知数由所 述示证者标识符代替,所述第 一验证者多项式中的第二未知数由所述 双亲标识符代替,所述示证者(101)包括用于通过关于至少所述第一公共秘密调制第 一 核心秘密来创建第 一 消息的装置,所述示证者(101 )包括用于向所述验证者(111 )发送所述第一消息的装置,以及所述验证者(111)包括用于通过利用所述第一公共秘密解调所述 第 一 消息来创建所述第 一核心秘密的第 一候选的装置。
19. 依照权利要求18的系统,其中所述系统为射频识别系统。
20. —种示证者(101),其被配置成形成依照权利要求18的系 统的一部分。
21. 依照权利要求20的示证者,其中所述示证者为射频识别示证者。
22. —种验证者(111),其被配置成形成依照权利要求18的系 统的一部分。
23. 依照权利要求22的验证者,其中所述验证者为射频识别验证者。
全文摘要
提出了一种允许在包括示证者和验证者的射频识别系统中鉴定所述示证者的方法,所述方法包括步骤示证者向验证者发送示证者标识符和双亲标识符;验证者向示证者发送验证者标识符;示证者借助于示证者多项式计算第一公共秘密,其中所述示证者多项式中的未知数由使用至少所述验证者标识符的函数计算的结果来代替;以及验证者借助于第一验证者多项式计算第一公共秘密,其中所述第一验证者多项式中的第一未知数由示证者标识符代替并且所述第一验证者多项式中的第二未知数由所述双亲标识符代替,示证者通过关于至少所述第一公共秘密调制第一核心秘密来创建第一消息,所述示证者向验证者发送所述第一消息,以及验证者通过利用所述第一公共秘密对所述第一消息进行解调来创建所述第一核心秘密的第一候选,由此将所述第一核心秘密的所述候选用于所述鉴定。这允许验证者和示证者独立地创建用于调制所述核心秘密的公共秘密。此外,无需向验证者预先注册示证者,并且使用多项式的计算要求很小的处理能力。还提供了相应的系统、示证者和验证者。
文档编号H04L9/08GK101331705SQ200680046938
公开日2008年12月24日 申请日期2006年11月27日 优先权日2005年12月14日
发明者C·V·康拉多, G·J·斯里詹, S·J·莫巴赫 申请人:皇家飞利浦电子股份有限公司