基于挑战响应机制将受保护存储器访问嵌入RFID认证过程的制作方法

相关申请的交叉引用

本申请要求于2015年3月27日提交的美国临时申请no.62/139,264的优先权，其全部内容通过引用并入本文。

发明背景

本发明总体上涉及射频识别(rfid)系统，并且更具体地涉及rfid读取器、rfid标签和rfid协议。

背景技术：

rfid系统包括rfid标签(下文中称为“标签”)和rfid读取器(下文中称为“读取器”)。标签包括天线和集成电路。读取器包括天线以及包括射频(rf)发射器和rf接收器的电路。

rfid技术包括低频段、高频段、超高频(uhf)频段和微波频段。每个国际电信联盟地区在uhf频段内都具有自己的特定频率分配；例如，欧洲(地区1)分配866-869mhz，北美和南美(地区2)分配902-928mhz，亚洲(地区3)分配950-956mhz。频率范围902-928mhz也被称为工业、科学和医疗(ism)无线电频段。

已知多种标准化的密码技术方法。标准化的密码技术方法包括限定的处理数据串的方式。密码技术的目标包括：1)数据机密性，即，避免未经授权的数据泄露的保护；2)数据完整性，即，使得数据的接收者能够验证数据没有以未经授权的方式被修改的保护；3)数据来源认证，即，使得数据的接收者能够验证数据来源者的身份的保护；4)不可否认性，5)实体认证。为了实现这些目标，密码技术可以使用用于加密、散列、数字签名等的算法。

认证加密是一种同时提供数据机密性、数据完整性和数据来源认证的加密方法。在iso/iec19772中定义了一种被称为“加密然后mac”的认证加密方法。术语“mac”是消息认证码的缩写。“加密然后mac”加密方法应用对称密钥技术，该方法可以被纳入传统的rfid处理中，其中读取器的命令指示标签在其标签到读取器传输期间以密文形式用来自标签的存储器的数据进行应答，该应答具有数据机密性、数据完整性和数据来源认证。

图1描绘了待由读取器从标签的存储器读取的数据的认证加密的一个已知示例。在图1中，在标签从读取器接收到传统的读取请求(“命令”)之后，标签应答。应答包括来自标签的存储器的读取数据。在将认证加密方法应用于数据(例如，“加密然后mac”)之后，读取数据是密文形式。然后，读取器通过密码技术处理标签的经认证的加密应答，以确认其完整性和数据来源并且检索明文数据。

图2描绘了待由读取器写入标签的存储器的数据的认证加密的一种已知示例。在图2所示的示例中，读取器不以明文形式向标签发送传统的写入请求；相反，读取器将认证加密方法应用于要写入的数据(例如，“加密然后mac”)。然后，读取器将密文输出发送到标签。接下来，标签通过密码技术处理读取器的经认证的加密消息以确认其完整性和数据来源，并且检索要写入标签的存储器中的明文数据。

在现有技术图1和图2所示的示例中，受保护的数据设置有机密性、完整性和数据来源认证。使用对称密钥技术的读取器认证是对多个参数使用密码算法的操作。例如，cbc模式下的aes-128可以通过data_protection_mode来选择以生成protected_data。

实体认证是一种验证实体实际上是谁或他们声称是什么的加密方法。有一种基于挑战响应机制并且在iso/iec9798-2中定义的标准化和公知的实体认证方法。该挑战响应机制要求请求者和验证者共享秘密对称密钥(下文中称为“对称密钥”)。然后，请求者和验证者在两个步骤中使用随机数执行单边实体认证。请求者通过使用对称密钥对挑战(随机数)加密来证明对称密钥的知识以确认其身份。读取器与标签之间的传统通信可以包括对称密钥技术。

在rfid系统中，存在两种可能的单边实体认证，一种是读取器认证，另一种是标签认证。在uhfrfid协议的当前实体认证方法中，典型的标签认证过程始于读取器向标签发送挑战。来自读取器的挑战包括无法被攻击者预料/猜测的随机数或时变数据。来自读取器的挑战以明文形式传输到标签。当读取器出于标签认证的目的向标签发送挑战时，如果标签向读取器证明标签具有共享对称密钥的知识，则标签被认为是真实的。显然，标签在不会公开揭示对称密钥的情况下这样做。为了向读取器证明标签具有对称密钥的知识，标签使用对称密钥加密挑战并且发送所得到的密文。对称密钥不能从密文和明文对中提取或推断出。接下来，读取器解密密文，并且检查所接收的挑战是否与发送到标签的原始挑战相匹配。如果存在匹配，则标签必然已经使用对称密钥并且标签是真实的。

图3描绘了使用对称密钥技术的标签认证的一种已知示例。在图3所示的已知示例中，读取器将其挑战(例如，随机数)发送到标签，并且作为响应，标签使用对称密钥加密挑战并且使用密文进行应答。uhfrfid协议中的这种单边标签认证采取两个步骤。

图4描绘了使用对称密钥技术的读取器认证的一种已知示例。在图4所示的已知示例中，与已知的uhfrfid协议一样，读取器首先讲话。读取器以发送挑战请求开始，并且作为响应，标签使用随机数进行应答。然后，读取器使用对称密钥加密挑战并且传输其输出密文。这种根据已知rfid协议的单边读取器认证采取至少三个步骤。在图4所示的已知示例中，包括第四步骤，其中标签向读取器确认结果是成功或不成功的读取器认证。

附图说明

本发明以示例的方式示出并且不受附图的限制，附图中的相同的附图标记表示相似的元件。附图中的元件为了简单和清楚而示出，并且不一定按比例绘制。

图1描绘了待由读取器从标签的存储器读取的数据的认证加密的一个已知示例。

图2描绘了待由读取器写入标签的存储器的数据的认证加密的一个已知示例。

图3描绘了使用具有对称密钥技术的挑战响应机制的标签认证的一个已知示例。

图4描绘了使用具有对称密钥技术的挑战响应机制的读取器认证的一个已知示例。

图5描绘了包括标签和读取器的一种rfid通信系统。

图6是根据本发明的一个实施方案的标签的集成电路的简化框图。

图7是根据本发明的一个实施方案的读取器的电路的简化框图。

图8描绘了根据本发明的一个实施方案的标签的简化的内部状态图。

图9是根据本发明的一个实施方案的在读取器处执行的关于读取器对来自标签的数据的受保护的读取操作的功能流程图。

图10是根据本发明的一个实施方案的在标签处执行的关于读取器对来自标签的数据的受保护的读取操作的功能流程图。

图11是根据本发明的一个实施方案的在读取器处执行的关于读取器对写到标签的数据的受保护的写入操作的功能流程图。

图12是根据本发明的一个实施方案的在标签处执行的关于读取器对写到标签的数据的受保护的写入操作的功能流程图。

图13描绘了根据本发明的一个实施方案的使用待由读取器从标签的存储器读取的数据的认证加密的标签认证的示例，并且还描绘了来自读取器的关于读取器对来自标签的数据的受保护读取的命令，并且描绘了来自标签的对命令的应答。

图14示出了图13所示的命令的内容的示例。

图15示出了图13所示的应答的内容的示例。

图16描绘了根据本发明的一个实施方案的使用待由读取器写入标签的存储器的数据的认证加密的读取器认证的示例，并且还描绘了来自读取器的关于读取器对写到标签的数据的受保护写入的第一命令、来自标签的第一应答、来自读取器的第二命令、和来自标签的第二应答。

图17示出了图16所示的第一命令的内容的示例。

图18示出了图16所示的第一应答的内容的示例。

图19示出了图16所示的第二命令的内容的示例。

图20示出了图16所示的第二应答的内容的示例。

图21示出了根据本发明的一个实施方案的关于读取器对来自标签的数据的受保护的读取操作的在标签与读取器之间的传输。

图22示出了根据本发明的一个实施方案的关于读取器对到标签的数据的受保护的写入操作的在读取器与标签之间的传输。

具体实施方式

已知的uhfrfid协议可以通过依次执行已知的uhfrfid协议来提供数据读取或写入操作的单边实体认证和认证加密，不利地导致很多步骤。本发明以较少的步骤提供数据读取或写入操作的单边实体认证和认证加密，从而有利地要求在读取器与标签之间交换较少的命令和响应。

图5描绘了包括至少一个rfid标签(下文中称为“标签”)501和至少一个rfid读取器(下文中称为“读取器”)502的rfid通信系统500。标签501包括天线513和集成电路515。读取器502包括天线524和电路526。具有两个箭头头部的箭头表明标签501和读取器502彼此双向无线通信。

图6是根据本发明的标签501的集成电路515的简化框图。集成电路515包括形成rf接收器631的模拟电路以及组合和顺序数字逻辑电路；rf发射器633；有限状态机或状态机逻辑635；非易失性存储器(下文中称为“存储器”)637和密码引擎639。存储器637存储数据和/或密码密钥。组合和顺序数字逻辑电路控制所述rf接收器631、rf发射器633、存储器637和密码引擎639。特别地，状态机逻辑635和密码引擎639与已知标签的状态机逻辑和密码引擎相比被增强。标签501还可以包括电绝缘材料的外覆盖物或包装物。

图7是根据本发明的读取器502的电路526的简化框图。电路526包括rf接收器740和耦接到控制器744的rf发射器742。电路526还包括耦接到控制器744的应用控制器746和密码引擎748。应用控制器746可以包括微处理器。读取器502通过应用控制器746中的应用软件和控制器744中的固件被编程，以实现根据本发明的方法。

每个rfid命令都以标识rfid命令类型的命令码开始。在命令码之后，rfid命令可以具有消息、句柄(handle)和crc。在一个实施方案中，根据本发明的每个增强型命令将已知命令码和已知命令的已知消息替换为根据本发明的命令码和根据本发明的消息。在另一实施方案中，根据本发明的每个增强型命令仅将已知命令的已知消息替换为根据本发明的消息。

图8描绘了如在rfiduhf协议(例如，gs1epcglobalgen2协议或iso/iec18000-63)中定义的uhfrfid标签的简化的内部状态图800。实现根据本发明的方法的标签501包括内部状态图800的操作。图8描述了根据uhf协议(gs1epcglobalgen2或iso/iec18000-63)的rfid标签的状态流程。rfid标签由发起通信的rfid读取器控制。读取器(包括读取器502)指示标签(包括标签501)进入若干状态。图8中示出了多个状态，包括就绪状态、判断状态、应答状态、已确认状态、打开状态、安全状态和死亡状态。一般来说，就绪、判断、应答和已确认状态是用于读取器访问标签的存储器的准备步骤。读取器一次只能访问一个标签，并且准备步骤是必要的以便从标签集合中切割(singulate，单一化)一个标签。处于就绪状态的标签从读取器接收命令，然后标签通过执行由uhf协议规范定义的防冲突判断算法来处理命令。读取器的命令可以导致标签进入应答状态或判断状态。这是由标签和读取器执行的一个复杂的切割过程，以便最终允许一次仅一个所选择的标签在应答状态之后转换到其他状态，而其他标签在判断状态下等待。一旦标签被读取器切割，标签应当处于打开状态或处于安全状态。然后，读取器可以从切割的标签的存储器读取数据或向其写入数据。此外，读取器还可以发送定制的或增强型命令。本文中描述了在切割阶段之后应用的增强型命令和相应的增强型应答。

判断是标签501的可能的内部状态。然而，如图8所示，标签501的内部状态根据在标签501与读取器502之间的增强型命令和增强型应答的交换来改变。根据uhf协议，读取器502总是执行用于切割的步骤；因此，在切割阶段期间，标签501可以临时转换到判断状态。最终，标签501转换到打开状态或到安全状态。增强型命令在标签501处于打开状态或安全状态时发生。只有当标签的内部状态处于打开状态或安全状态时，图8和图10中所示的步骤才由标签501执行。

图9是在使用通过读取器502对来自标签501的数据的嵌入式受保护的读取操作建立单边标签认证期间在读取器502处执行的方法的功能流程图900。在步骤901，读取器502生成挑战，挑战是图13和14所示的增强型命令的部分。在步骤903，读取器定义用于请求对来自标签501的存储器637的数据的读取的参数。这些参数包括图14所示的“数据请求”字段的内容。在步骤905，读取器502通过挑战定义标签501的密码引擎639的配置参数，并且定义要从存储器637读取的数据。例如，读取器502指示标签501在cbc模式和cmac模式下执行aes密码引擎。配置参数在图14所示的“数据保护模式”字段中找到。在步骤907，读取器502收集增强型命令用于传输。在步骤909，读取器502向标签501无线地传输增强型命令。在步骤911，读取器502从标签501接收增强型应答(见图13和15)。与当已知读取器执行单独的单边标签认证和受保护的读取操作时在已知标签与已知读取器之间的传输次数相比，读取器502使用标签501与读取器502之间的较少无线传输实施用来自标签501的数据的嵌入式受保护的读取操作执行单边标签认证。

图10是在标签501处执行的关于使用由读取器502对来自标签501的数据的嵌入式受保护的读取操作进行标签认证的方法的功能流程图1000。当标签501被读取器502切割时，标签将处于打开或安全状态。一旦发生切割并且标签501处于打开状态或安全状态之一，则读取器502和标签可以遵循该方法的步骤。在步骤1002，标签501接收由读取器502无线地传输(见图9的步骤909)的增强型命令(见图13)。增强型命令包括挑战。在步骤1004，标签501检查由读取器502在步骤903和905定义的增强型命令的参数。在步骤1006，基于数据请求参数，标签501从其存储器637读取数据。在步骤1008，基于数据保护模式的配置参数，标签501通过接收的挑战并且通过来自其存储器637的数据运行其密码引擎639。在步骤1010，标签501收集增强型应答(见图13)用于传输。在步骤1012，标签501向读取器502无线地传输增强型应答。与当已知标签执行单独的单边标签认证和受保护的读取操作时在已知标签与已知读取器之间的传输次数相比，标签501通过读取器502使用标签501与读取器502之间的较少无线传输实施用来自标签501的数据的嵌入式受保护的读取操作执行单边标签认证。

与已知方法相比，在标签501与读取器502之间需要较少的无线传输来通过由读取器502对来自标签501的数据的嵌入式受保护的读取操作完成单边标签认证。为了使用嵌入式受保护的读取操作完成单边标签认证，标签501与读取器502之间的无线传输次数有利地只是两次。第一无线传输是从读取器502到标签501的增强型命令，第二无线传输是从标签501到读取器502的增强型应答。另一方面，已知标签与已知读取器之间用于完成相同任务的传输次数不利地是四次。第一无线传输是从已知读取器到已知标签的已知命令(用于标签认证)。第二无线传输是从已知标签到已知读取器的已知应答(用于标签认证)。第三无线传输是从已知读取器到已知标签的已知命令(用于受保护的读取)。第四无线传输是从已知标签到已知读取器的已知应答(用于受保护的读取)。

图11是在读取器502处执行的关于使用读取器502对到标签501的数据的嵌入式受保护的写入操作进行读取器认证的方法的功能流程图1100。在步骤1101，读取器502收集用于标签501的第一增强型命令的参数(见图16和17)。在步骤1103，读取器向标签501无线地传输第一增强型命令。在步骤1105，读取器502从标签501无线地接收增强型应答(见图16)。增强型应答包括挑战(见图18)。在步骤1107，读取器502定义用于请求到标签501的数据写入的参数。在步骤1109，读取器502通过挑战定义读取器502的密码引擎748的配置参数，并且定义要写入标签501的数据。在步骤1111，读取器运行其密码引擎748以作为从标签接收挑战的结果生成包括加密的标签挑战和受保护的数据(见图19)的密码块，并且生成要写入标签501的受保护的数据。在步骤1113，读取器502收集第二增强型命令(见图16和19)。第二增强型命令包括配置参数以及包含要写入标签501的挑战和数据的密码块。在步骤1115，读取器502向标签501无线地传输第二增强型命令。在步骤1117，读取器502从标签501接收第二应答(见图16和20)。在步骤1119，读取器502检查其内容指示业务的成功或失败的第二应答。与当已知读取器执行单独的单边读取器认证和受保护的写入操作时在已知标签与已知读取器之间的传输次数相比，读取器502通过使用标签501与读取器502之间的较少无线传输实施对到标签501的数据的嵌入式受保护的写入操作来执行单边读取器认证。

图12是在标签501处执行的关于使用由读取器502对到标签501的数据的嵌入式受保护的写入操作的读取器认证的方法的功能流程图1200。当标签501由读取器502切割时，标签将处于打开或安全状态。一旦发生切割并且标签501处于打开状态或安全状态之一，则读取器502和标签可以遵循该方法的步骤。在步骤1202，标签501从读取器502接收第一增强型命令。第一增强型命令包括对挑战的请求。在步骤1204，标签501检查第一增强型命令的参数。在步骤1206，响应于接收到第一增强型命令，标签501生成包括挑战的增强型应答，并且标签收集增强型应答用于传输。在步骤1208，标签501向读取器502传输增强型应答。在步骤1210，标签501从读取器502接收第二增强型命令。第二增强型命令包括配置参数以及包含要写入标签501的数据的密码块。在步骤1212，标签501检查配置参数。在步骤1214，标签501通过密码块运行其密码引擎639，以获取明文形式的挑战和数据。在步骤1216，标签501确定由标签传输的挑战是否与由读取器502传输并且由标签接收的挑战相同。如果为真，则在步骤1218，标签501将数据写入其存储器637中，并且然后在步骤1220，标签收集成功应答用于传输。如果为假，则在步骤1224，标签501收集错误应答用于传输。在步骤1222，标签501向读取器502传输成功应答和错误应答中的一个。与当已知标签执行单独的单边读取器认证和受保护的写入操作时在已知标签与已知读取器之间的传输次数相比，标签501通过使用标签501与读取器502之间的较少无线传输实施对到标签501的数据的嵌入式受保护的写入操作来执行单边读取器认证。

与已知方法相比，在标签501与读取器502之间需要较少的无线传输以通过读取器502对到标签501的数据的嵌入式受保护的写入操作来完成单边读取器认证。为了使用嵌入式受保护的写入操作完成单边读取器认证，标签501与读取器502之间的无线传输次数有利地只是四次。第一无线传输是从读取器502到标签501的第一增强型命令。第二无线传输是从标签501到读取器502的第一增强型应答。第三无线传输是从读取器502到标签501的第二增强型命令。第四无线传输是从标签501到读取器502的第二增强应答。另一方面，已知标签与已知读取器之间用于完成相同任务的传输次数不利地是六次。第一无线传输是从已知读取器到已知标签的第一命令(用于读取器认证)。第二无线传输是从已知标签到已知读取器的第一应答(用于读取器认证)。第三无线传输是从已知读取器到已知标签的第二命令(用于读取器认证)。第四无线传输是从已知标签到已知读取器的第二应答(用于读取器认证)。第五无线传输是从已知读取器到已知标签的第三命令(用于受保护的写入)。第六无线传输是从已知标签到已知读取器的第三应答(用于受保护的写入)。

根据本发明的方法组合了前面描述的现有技术的示例中的两个。一个现有技术的示例是图1或图2所示的用于向数据添加密码安全性(下文中称为“安全性”)的认证加密方法。另一现有技术的示例是图3或图4所示的基于挑战响应机制和对称密钥技术的单边认证。图1所示的用于向数据添加安全性的认证加密方法的现有技术的示例可以与图3所示的基于挑战响应机制和对称密钥技术的现有技术的单边认证相组合。图2所示的用于向数据添加安全性的认证加密方法的现有技术的示例可以与图4所示的基于挑战响应机制和对称密钥技术的单边认证的现有技术的示例相组合。

对来自或去往标签501的存储器的信息的请求是来自读取器502的命令的独立且不同的参数，并且标签不向读取器发送回对信息的请求。

挑战应该具有使得发生其中读取器向标签重新发送相同的比特流用于认证目的的情形最小化的特性，以使得不知晓对称密钥的攻击者不太可能重新使用先前的观察和成功的认证业务。如果攻击者确实观察并且记录了先前的成功的认证业务，则当读取器对于挑战重新使用相同的值时，攻击者可以传输记录的密文并且被认证，这是一个安全漏洞。因此，为了避免发生快速且低成本的“重放攻击”，挑战通常是具有足够大的范围的随机数或时变数据，使得挑战不能被攻击者猜测到或穷举地记录。因此，挑战可能仅包括随机数或时变数据。在另一实施方案中，挑战可以包括随机数或时变数据加上用于向/从标签的存储器写入/读取数据的信息的请求。

使用密码块密码技术在两个步骤标签认证中嵌入受保护的读取操作

rfid通信系统500可以使用根据本发明的增强型读取命令。增强型读取命令不仅包括挑战，而且还包括请求从标签501的存储器637进行读取操作的明文形式的信息。

在rfid通信系统500中，可以借助于使用对称密钥密码技术的两个步骤挑战响应机制来实现标签认证。见图13。

标签认证的第一步包括读取器502传输增强型读取命令。与图1所示的已知读取命令不同，增强型读取命令包括到标签501的标签认证挑战(下文中称为“挑战”)。见图14。挑战包括由读取器502生成的明文形式的随机数或时变数据。增强型读取命令包括请求要从标签501的存储器637读取的数据所需要的所有信息。增强型读取命令包括请求用于从标签501传输增强型应答的数据保护模式的信息。数据保护模式包括密钥指针、密钥大小、密码算法选择器和密码保护模式选择器。在一个实施方案中，数据保护模式是用于增强型读取命令的标签认证部分的挑战响应组成的相同的对称密钥和块密码模式。在其他实施方案中，数据保护模式可以被暗示并且不被明确地配置在增强型读取命令信号中。在再一些实施方案中，用于从标签的存储器读取数据的数据保护模式可以是与用于标签认证的挑战响应组成的数据保护模式不同的数据保护模式。

标签认证的第二步包括标签501传输对挑战的增强型应答。见图15。与图1所示的对已知读取命令的已知应答不同，对增强型命令的正确的增强型应答包括标签501使用已经在彼此通信的标签与读取器502之间共享的特定对称密钥对所接收的挑战的正确加密。通过标签501正确传输对来自读取器502的挑战的增强型应答产生标签的成功认证。使用该方法，标签501的增强型应答包括至少两个组成，一个组成是对挑战的加密响应，另一组成是由读取器502请求的数据保护模式下的从标签的存储器637读取的数据。读取器502请求的经认证的读取信息隐含地或不隐含地可以是明文、mac保护的、加密的、或者既加密又mac保护的。

使用密码块密码技术在四个步骤读取器认证中嵌入受保护的写入操作

在rfid通信系统500中，可以借助于使用对称密钥密码技术的四个步骤挑战响应机制来实现读取器认证。图16示出了由读取器发起的在读取器502与标签501之间的一系列传输，其中读取器向标签认证其身份，并且还经由加密的无线传输向标签的存储器637写入数据。

认证的第一步包括请求来自标签501的挑战的来自读取器502的增强型命令。见图17。第二步包括来自标签501的增强型应答。增强型应答包括为明文的到读取器502的挑战。见图18。来自标签501的挑战包括由标签生成的为明文的随机数或时变数据。

读取器认证的第三步包括读取器502将增强型写入命令传输到标签501。与图2所示的已知写入命令不同，图19所示的增强型写入命令不仅包括将数据写入标签501的存储器637的写入请求，而且还包括由读取器502使用已经在彼此通信的读取器与标签之间共享的特定对称密钥对接收的挑战的正确加密。增强型写入命令包括用于将数据写入标签501的存储器637所需要的所有信息。增强型写入命令包括标识数据保护模式的为明文的所有必要信息，所述数据保护模式被读取器502用以对要写入标签501的存储器637中的数据进行加密。在一个实施方案中，数据保护模式基于用于读取器认证的挑战响应组成的相同的对称密钥和块密码模式。在另一实施方案中，数据保护模式可以暗示并且不被来自读取器502的增强型命令明确地配置。在又一实施方案中，写入标签501的存储器637的数据的数据保护模式也可以使用与读取器认证的挑战响应组成不同的对称密钥或块密码模式。

认证的第四步是来自标签501的应答，该应答指示读取器的认证和/或受保护的写入操作的成功或失败。见图20。

使用根据本发明的方法，包括来自读取器502的增强型命令或来自标签501的增强型应答的参数的序列、位置、数量和长度不是固定的。

在一个实施方案中，来自读取器502的增强型命令具有定义数据操作的数据保护模式的配置参数。如果不明确，则配置参数由协议暗示。如果明确，则读取器502能够在任何给定的增强型挑战响应认证过程中选择任何一种数据保护模式。

在一个实施方案中，来自读取器502的增强型命令具有定义要在保护数据操作时使用的密钥指针、密钥大小、密码算法或密码保护模式的配置参数。如果不明确，则配置参数由协议暗示，并且不能更改。如果明确，则读取器502能够在任何给定的增强型挑战响应认证过程中选择特定对称密钥、密码算法和数据保护模式。

在一个实施方案中，来自读取器502的增强型命令基于密码操作模式来指示涉及机密性的标签数据的数据保护模式。在另一实施方案中，来自读取器502的增强型命令基于密码操作模式来指示涉及出于完整性目的而生成mac的数据的数据保护模式。在又一实施方案中，读取器的命令基于单个或多个密码操作模式来指示涉及机密性和出于完整性目的而生成mac两者的数据的数据保护模式。在再一实施方案中，来自读取器502的增强型命令指示不涉及任何特殊密码操作的标签数据的数据保护模式，允许明文形式的数据传输。

在一个实施方案中，来自读取器502的增强型命令具有定义其数据报是否完全包括数据操作的另一配置参数。如果不需要数据操作，则该过程将缩小到通用标签/读取器认证过程，这表示来自标签501的应答或来自读取器502的命令根本不包括任何受保护的数据。

在一个实施方案中，来自读取器502的增强型命令指示要写入标签501的存储器的受保护的数据，其中这样的受保护的数据构成密码密钥的部分或整体。

在图13、14和15中示出根据本发明的方法的一个实施方案的示例。

图13描绘了根据本发明的一个实施方案的对待由读取器502从标签501的存储器读取的数据的认证加密的示例，并且还描绘了来自读取器的关于读取器对来自标签的数据的受保护读取的增强型命令，并且描绘了来自标签的对增强型命令的增强型应答。

图14描绘了在使用嵌入式受保护读取的标签认证期间来自读取器502的增强型命令及其消息内容。“数据请求”包括“数据包含使能”字段、“指针”字段和“字计数”字段。读取器挑战字段仅包含随机数或时变数据。增强型命令还包括命令码、消息、句柄和crc。命令码指定命令类型，并且消息包含执行命令所需要的信息。句柄是允许读取器502能够从多个if标签中指定一个特定标签501的数字，每个标签可以具有不同的句柄，并且crc是允许标签检查命令的错误的错误检查码。这些字段中的每个在gs1epcglobalgen2规范或iso/iec18000-63标准中更详细地描述。

图15描绘了在使用嵌入式受保护读取的标签认证期间来自标签501的增强型应答和增强型应答的内容(“resp”)。来自标签501的增强型应答的resp部分包括确认标签501的真实性的数据。标签501通过在增强型应答的resp部分中包括密文形式的读取器的挑战来确认其真实性。来自标签501的增强型应答的resp部分还包括来自标签的存储器的加密数据。在使用共享对称密钥对内容进行加密之后，经加密的读取器挑战字段包含读取器挑战字段的内容。

图16描绘了根据本发明的一个实施方案的对待由读取器502写入标签501的存储器的数据的认证加密的示例，并且还描绘了来自读取器的关于读取器对来自标签的数据的受保护写入的增强型命令、来自标签的挑战、对挑战的响应、和来自标签的增强型应答。

图17示出了在使用嵌入式受保护写入的读取器认证过程期间图16所示的增强型命令的内容的示例。所述增强型命令包括消息部分。所述增强型命令被用在读取器502从标签501请求挑战时的步骤期间。“请求标签挑战”字段包含请求标签501生成并且将其挑战发送到读取器502的控制信息。在其中在该步骤中使用用于增强型命令的专用代码的实施方案中，该控制信息被认为是不必须的。在这种情况下，增强型命令的消息部分可以是空的。

图18示出了图16所示的来自标签501的挑战的内容的示例。图18示出了在使用嵌入式受保护写入的读取器认证期间包括来自标签的第一resp的来自标签501的增强型应答。“标签挑战”字段仅包含随机数或时变数据。

图19示出了图16所示的对挑战的响应的内容的示例。图19示出了在使用嵌入式受保护写入的读取器认证过程期间来自读取器502的增强型命令及其第二消息内容的示例。在一个实施方案中，如果“数据请求”的功能总是隐含的并且由增强型命令强加，则可以避免参数“数据请求”，因此在本公开的这样的实施方案中，在消息字段中避免了该参数。类似地，在特定实施方案中，如果“数据保护模式”的功能总是隐含的并且被强加，则也可以避免参数“数据保护模式”。在另一实施方案中，所提出的命令可以定义参数“指针”和参数“字计数”也应该根据“数据保护模式”被加密，而不是以明文形式传输。此外，增强型命令的消息部分内的任何参数的顺序可以改变。可以预见，任何参数都可以分为子部分(拆分)和重新排列。

如前所述，参数“数据保护模式”可以包括用于数据保护的控制/配置信息，包括但不限于：要使用的密码算法的定义、密钥指针、密钥大小和所使用的密码保护模式的选择，诸如仅机密性(cbc)、仅完整性(cmac)、机密性加完整性(cbc+cmac)或简单明文(无密码技术)。

图20示出了来自图16所示的标签501的增强型应答的内容的示例，该增强型应答包括在使用嵌入式受保护写入的读取器认证过程期间来自标签的第二resp。如果写入操作或认证步骤失败，则标签501使用错误报头进行应答，并且resp可以包括用于标识特定类型的错误的错误代码。否则，如果成功，则标签501使用成功报头进行应答，并且resp可以是空的，因为不需要向读取器502发送任何另外的信息。

使用受保护的读取操作的标签认证方法的实施方案

图21描绘了根据本发明的使用受保护的读取的标签认证方法的四(4)个实施方案。为了比较，图21还描绘了来自已知标签的已知响应的内容。

“resp_prior”是已知的挑战响应标签认证：没有从已知标签的存储器读取任何rdata。

“resp_a”是根据所述方法的一个实施方案的标签认证和从标签501的存储器637读取rdata，其中rdata是明文数据。

“resp_b”是根据所述方法的另一实施方案的标签认证和从标签501的存储器637读取rdata，其中rdata是明文数据，随后是使用aes-128cmac模式计算的mac。

“resp_c”是根据所述方法的又一实施方案的标签认证和从标签501的存储器637读取rdata，其中rdata是aes-128cbc加密模式下的密码数据。

“resp_d”是根据所述方法的再一实施方案的标签认证和从标签501的存储器637读取rdata，其中rdata是aes-128cbc加密模式下的密码数据，随后是使用aes-128cmac模式计算的mac。

命令的消息或resp部分内的参数顺序可以改变。因为cfg可以是隐含的并且根据协议版本是固定的，cfg、const和rand是可选参数。

使用受保护的写入操作的读取器认证方法的实施方案

图22描绘了根据本发明的使用受保护的写入的读取器认证方法的四(4)个实施方案。为了比较，图22还描绘了来自已知读取器的已知响应的内容。

“message2_prior”是已知的挑战响应询问器认证：没有wdata被写入已知标签的存储器。

“message2_a”是根据本发明的一个实施方案的通过将wdata写入标签501的存储器637的读取器认证，其中wdata是明文数据。

“message2_b”是根据本发明的另一实施方案的通过将wdata写入标签501的存储器637的读取器认证，其中wdata是明文数据，随后是使用aes-128cmac模式计算的mac。

“message2_c”是根据本发明的又一实施方案的通过将wdata写入标签501的存储器637的读取器认证，其中wdata是aes-128cbc解密模式下的密码数据。

“message2_d”是根据本发明的再一实施方案的通过将wdata写入标签501的存储器637的读取器认证，其中wdata是aes-128cbc解密模式下的密码数据，随后是使用aes-128cmac模式计算的mac。

增强型命令的消息或resp部分内的参数的顺序可以改变。因为cfg可以是隐含的并且根据协议版本是固定的，cfg、const和rand是可选参数。

根据本发明的方法有利地实现了以下各项的认证和组合：1)数据机密性，2)数据完整性，以及3)数据来源认证。

术语和缩写的定义

加密：将数据转换成不能被未经授权的人轻易理解的被称为密文的形式。

密码块密码技术：基于块密码的密码技术，与基于流密码的密码技术相对。

对称密钥技术：使用相同的密码密钥用于明文加密和密文解密两者的技术，与其中用于加密的密码密钥与用于解密的密码密钥不同的非对称密钥技术相对。

加密密钥：由密码算法用于将明文转换为密文(反之亦然)的比特串。该密钥保持私有并且确保安全通信。

消息：来自读取器的命令内的参数或多个参数。

resp：来自标签的应答内的参数或多个参数。

cfg：配置参数的集合，其：

选择在响应中是否存在附加数据，例如图13的数据请求；

选择附加数据是否使用机密性进行密码保护，例如图13的数据保护模式；

选择附加数据是否使用mac进行密码保护，例如图13的数据保护模式；

选择附加数据是否使用mac并且使用机密性进行密码保护，例如图13的数据保护模式；

选择附加数据是否为明文形式，例如图13的数据保护模式；

选择附加数据的存储器位置和长度，例如图13的指针和字计数；

选择在密码操作中使用的密钥，例如图13的数据保护模式；以及

选择wdata为数据值还是密钥更新值，例如图19的指针、字计数和数据保护模式。

cbc：密码块链接，在nistsp800-38a中定义的块密码模式。

cmac：基于块密码的消息认证码(如在nistsp800-38b中描述的)。

const：常数(可选)。

pc：主要定义uii/epc的字数的协议控制字(见gs1epcglobalgen2协议或iso/iec18000-63)。

rand：随机数(可选)。

rdata：从存储器读取的附加数据。

rn16：16位随机或伪随机数(见gs1epcglobalgen2协议或iso/iec18000-63)。

wdata：要写入存储器或新密钥值的附加数据。

aes：高级加密标准，在fipspub197和iso/iec18033-3中定义的块密码。

aes-128：使用128位密钥的aes块密码。

ich：询问器挑战(也称为读取器挑战)。

tch：标签挑战

uii/epc：对标签附加到的对象进行标识的代码(见gs1epcglobalgen2协议或iso/iec18000-63)。