无线射频设备、认证服务器、认证系统及安全认证方法与流程

本发明涉及无线通信技术领域，具体涉及一种无线射频设备、认证服务器、认证系统及安全认证方法。

背景技术

物联网被称为继计算机、互联网之后，世界信息产业的第三次浪潮。无线射频识别(radiofrequencyidentification，rfid)技术作为构建物联网的关键技术，近年来受到人们的广泛关注。基于rfid的无线射频设备也越来越多，例如智能卡、移动终端、微处理器、计算机、路由器、机顶盒等。

在实际应用中，克隆、假冒攻击、重放攻击、恶意监听、恶意拦截、非同步攻击等是对无线射频设备的主要攻击手段。为了应对上述攻击，无线射频设备在使用前，通常需要与认证服务器进行相互认证，以验证认证双方的合法性，提高后续使用的安全性。

目前，无线射频设备与认证服务器之间相互认证都是基于固定密钥，利用固定密钥对某个随机数进行加密，从而验证认证双方的合法性。

为了获得该固定密钥，攻击者通常采用侧信道能量分析的方法对无线射频设备或认证服务器进行攻击。一旦攻击者获得了用于认证的密钥，就可以大量的伪造无线射频设备，后续使用无线射频设备的安全性得不到有效保证，无法满足用户对安全性的要求。

技术实现要素：

本发明解决的技术问题是如何提高无线射频设备与认证服务器认证过程中的安全性。

为解决上述技术问题，本发明实施例提供一种无线射频设备，所述无线射频设备包括：密钥存储单元，适于存储原始密钥数据；密钥更新单元，适于在接收到认证服务器发送的认证请求后，对所述原始密钥数据进行更新，得到更新后的密钥数据；编码器，适于对所述更新后的密钥数据进行编码处理，获得对应的辅助数据并发送至认证服务器；第一处理单元，适于在接收到所述认证服务器发送的第一处理数据时，基于所述更新后的密钥数据，对所述第一处理数据进行逆处理，分别获得与第一数据对应的第二数据，以及与第三数据对应的第四数据，其中，所述第一处理数据为所述认证服务器对所述第一数据及第三数据处理后的数据；第一认证单元，适于基于所述第二数据及第一数据，对所述认证服务器进行认证。

可选地，所述无线射频设备还包括：第二处理单元，适于当所述认证服务器通过认证时，基于所述更新后的密钥数据，对所述第四数据进行处理，获得第二处理数据并发送至所述认证服务器。

可选地，所述无线射频设备还包括：第一密钥生成单元，适于对所述更新后的密钥数据进行压缩或运算处理，获得长度小于或等于所述更新后的密钥数据的第一密钥数据，并将所述第一密钥数据发送至所述第一处理单元及第二处理单元。

可选地，所述第一密钥生成单元，适于利用所述第一数据对所述更新后的密钥数据进行压缩或运算处理。

可选地，所述第二处理单元，适于当所述认证服务器通过认证时，将所述更新后的密钥数据作为密钥，对所述第四数据进行加密处理，获得所述第二处理数据。

可选地，所述无线射频设备还包括：加密单元，适于在将所述辅助数据发送至所述认证服务器之前，对所述辅助数据进行加密处理，得到加密数据并发送至所述认证服务器。

可选地，所述无线射频设备还包括：数据获取单元，适于产生所述第一数据。

可选地，所述数据获取单元还适于产生第六数据；所述第二处理单元，适于当所述认证服务器通过认证时，对所述第六数据及所述第四数据进行处理，获得所述第二处理数据。可选地，所述数据获取单元为随机数发生器。

本发明实施例还提供了一种认证服务器，所述认证服务器包括：认证请求单元，适于产生认证请求并发送至无线射频设备；解码器，适于当接收到所述无线射频设备发送的辅助数据时，对所述辅助数据及预先获取到的原始密钥数据进行解码处理，获得解码数据，其中，所述辅助数据为所述无线射频设备对更新后的密钥数据进行编码处理后的数据；第三处理单元，适于基于所述解码数据，对第一数据及第三数据进行处理，获得第一处理数据并发送至所述无线射频设备。

可选地，所述认证服务器还包括：第四处理单元，适于在接收到所述无线射频设备发送的第二处理数据时，基于所述解码数据，对所述第二处理数据进行逆处理，获得第五数据，其中，所述第二处理数据为所述无线射频设备基于所述更新后的密钥数据，对第四数据进行处理后得到的数据；第二认证单元，适于基于所述第五数据及第三数据，对所述无线射频设备进行认证。

可选地，所述认证服务器还包括：第二密钥生成单元，适于对所述解码数据进行压缩或运算处理，获得长度小于或等于所述解码数据的第二密钥数据，并将所述第二密钥数据发送至所述第三处理单元及第四处理单元。

可选地，所述第二密钥生成单元，适于利用所述第一数据对所述解码数据进行压缩或运算处理。

可选地，所述第三处理单元，适于将所述解码数据作为密钥，对所述第一数据及第三数据进行加密处理，获得所述第一处理数据。

可选地，所述认证服务器还包括：解密单元，适于当接收到所述无线射频设备发送的加密数据时，对所述加密数据进行解密，得到解密数据。

可选地，所述认证服务器还包括：数据产生单元，适于产生所述第三数据。

可选地，所述数据产生单元为随机数发生器。

本发明实施例还提供了一种无线射频认证系统，所述无线射频认证系统包括上述任一种的无线射频设备及上述任一种的认证服务器。

本发明实施例还提供了另一种无线射频设备，所述无线射频设备包括：密钥存储单元，适于存储原始密钥数据；密钥更新单元，适于在接收到认证服务器发送的认证请求后，对所述原始密钥数据进行更新，得到更新后的密钥数据；编码器，适于对所述更新后的密钥数据进行编码处理，获得对应的辅助数据并发送至认证服务器；第一处理单元，适于在接收到所述认证服务器发送的第一处理数据时，对所述第一处理数据进行逆处理，分别获得与第一数据对应的第二数据，以及与第三数据对应的第四数据，其中，所述第一处理数据为所述认证服务器对所述第一数据及第三数据处理后的数据；第一认证单元，适于基于所述第二数据及第一数据，对所述认证服务器进行认证；第二处理单元，适于当所述认证服务器通过认证时，基于所述更新后的密钥数据，对所述第四数据进行处理，获得第二处理数据并发送至所述认证服务器。

本发明实施例还提供了另一种认证服务器，所述认证服务器包括：认证请求单元，适于产生认证请求并发送至无线射频设备；解码器，适于当接收到所述无线射频设备发送的辅助数据时，对所述辅助数据及预先获取到的原始密钥数据进行解码处理，获得解码数据，其中，所述辅助数据为所述无线射频设备对更新后的密钥数据进行编码处理后的数据；第三处理单元，适于对第一数据及第三数据进行处理，获得第一处理数据并发送至所述无线射频设备，第四处理单元，适于在接收到所述无线射频设备发送的第二处理数据时，基于所述解码数据，对所述第二处理数据进行逆处理，获得第五数据，其中，所述第二处理数据为所述无线射频设备基于所述更新后的密钥数据，对第四数据进行处理后得到的数据；第二认证单元，适于基于所述第五数据及第三数据，对所述无线射频设备进行认证。

本发明实施例还提供了另一种无线射频认证系统，所述无线射频认证系统包括上述任一种的无线射频设备及上述任一种的认证服务器。

本发明实施例还提供了又一种无线射频设备，所述无线射频设备包括：密钥存储单元，适于存储原始密钥数据；密钥更新单元，适于在接收到认证服务器发送的认证请求后，对所述原始密钥数据进行更新，得到更新后的密钥数据；编码器，适于对所述更新后的密钥数据进行编码处理，获得对应的辅助数据并发送至认证服务器；第二处理单元，适于基于所述更新后的密钥数据，对所述第三数据进行处理，获得第二处理数据并发送至所述认证服务器。

本发明实施例还提供了又一种认证服务器，所述认证服务器包括：认证请求单元，适于产生认证请求并发送至无线射频设备；解码器，适于当接收到所述无线射频设备发送的辅助数据时，对所述辅助数据及预先获取到的原始密钥数据进行解码处理，获得解码数据，其中，所述辅助数据为所述无线射频设备对更新后的密钥数据进行编码处理后的数据；第四处理单元，适于在接收到所述无线射频设备发送的第二处理数据时，基于所述解码数据，对所述第二处理数据进行逆处理，获得第五数据，其中，所述第二处理数据为所述无线射频设备基于所述更新后的密钥数据，对所述第三数据进行处理后得到的数据；第二认证单元，适于基于所述第五数据及第三数据，对所述无线射频设备进行认证。

本发明实施例还提供了又一种无线射频认证系统，所述无线射频认证系统包括上述的无线射频设备及上述的认证服务器。

本发明实施例还提供了一种抗侧信道能量分析的安全认证方法，所述方法包括：认证服务器向无线射频设备发送认证请求；所述无线射频设备在接收到所述认证服务器发送的认证请求时，对原始密钥数据进行更新，并对更新后的密钥数据进行编码处理，获得对应的辅助数据并发送至所述认证服务器；所述认证服务器基于预先获取到的原始密钥数据对所述辅助数据进行解码处理，获得解码数据，并基于所述解码数据对第一数据及第三数据进行处理，获得第一处理数据并发送至所述无线射频设备；所述无线射频设备基于所述更新后的密钥数据，对所述第一处理数据进行逆处理，分别获得与第一数据对应的第二数据，以及与第三数据对应的第四数据，并基于所述第二数据及第一数据，对所述认证服务器进行认证。

可选地，所述方法还包括：所述无线射频设备在所述认证服务器通过认证时，基于所述更新后的密钥数据，对所述第四数据进行处理，获得第二处理数据并发送至所述认证服务器；所述认证服务器基于所述解码数据，对所述第二处理数据进行逆处理，获得第五数据，并基于所述第五数据及第三数据，对所述无线射频设备进行认证。

可选地，在所述认证服务器对第一数据及第三数据进行处理之前，所述方法还包括：所述认证服务器对所述解码数据进行压缩或运算处理，获得长度小于或等于所述解码数据的第二密钥数据；在所述无线射频设备对第一处理数据进行处理之前，所述方法还包括：所述无线射频设备对所述更新后的密钥数据进行压缩或运算处理，获得长度小于或等于所述更新后的密钥数据的第一密钥数据。

可选地，在所述无线射频设备将所述辅助数据发送至所述认证服务器之前，所述方法还包括：所述无线射频设备对所述辅助数据进行加密处理，获得加密数据；在所述认证服务器对所述辅助数据进行解码处理之前，所述方法还包括：所述认证服务器对所述加密后的辅助数据进行解密，获得解密数据。

可选地，在所述认证服务器向无线射频设备发送认证请求前，所述方法还包括：所述认证服务器从所述无线射频设备读取所述原始密钥数据并存储。

本发明实施例还提供了另一种抗侧信道能量分析的安全认证方法，其所述方法包括：认证服务器向无线射频设备发送认证请求；所述无线射频设备在接收到所述认证服务器发送的认证请求时，对原始密钥数据进行更新，并对更新后的密钥数据进行编码处理，获得对应的辅助数据并发送至所述认证服务器；所述认证服务器预先获取到的原始密钥数据进行解码处理，获得解码数据，并对第一数据及第三数据进行处理，获得第一处理数据并发送至所述无线射频设备；所述无线射频设备对所述第一处理数据进行逆处理，分别获得与第一数据对应的第二数据，以及与第三数据对应的第四数据，并基于所述第二数据及第一数据，对所述认证服务器进行认证；所述无线射频设备在所述认证服务器通过认证时，基于所述更新后的密钥数据，对所述第四数据进行处理，获得第二处理数据并发送至所述认证服务器；所述认证服务器基于所述解码数据，对所述第二处理数据进行逆处理，获得第五数据，并基于所述第五数据及第三数据，对所述无线射频设备进行认证。

本发明实施例还提供了又一种抗侧信道能量分析的安全认证方法，所述方法包括：认证服务器向无线射频设备发送认证请求；所述无线射频设备在接收到所述认证服务器发送的认证请求时，对原始密钥数据进行更新，并对更新后的密钥数据进行编码处理，获得对应的辅助数据并发送至所述认证服务器；所述认证服务器基于预先获取到的原始密钥数据对所述辅助数据进行解码处理，获得解码数据，并将第三数据发送至所述无线射频设备；所述无线射频设备在接收到第三数据后，基于所述更新后的密钥数据，对所述第三数据进行处理，获得第二处理数据并发送至所述认证服务器；所述认证服务器基于所述解码数据，对所述第二处理数据进行逆处理，获得第五数据，并基于所述第五数据及第三数据，对所述无线射频设备进行认证。

相对于现有技术，本发明实施例的优点在于：

采用上述方案，由于无线射频设备在每次对认证服务器进行认证前，密钥更新单元均会对所存储的原始密钥数据进行更新，由此可以使得每次基于更新后的密钥数据对第一处理数据进行逆处理时，所产生的中间数据是随机的，从而可以防止攻击者通过侧信道能量分析的方法分析获得该更新后的密钥数据，提高无线射频设备与认证服务器认证过程中的安全性。

由于第二处理单元可以基于更新后的密钥数据对所述第四数据进行处理，而更新后的密钥数据在每次认证服务器对所述无线射频设备进行认证时均不同，由此可以使得第二处理单元每次在对所述第四数据进行处理时，都基于一个不同的更新后的密钥数据，所产生的中间数据是随机的，从而可以防止攻击者通过侧信道能量分析的方法分析获得第二处理单元所使用的更新后的密钥数据，进一步提高无线射频设备与认证服务器认证过程中的安全性。

通过第一密钥生成单元对更新后的密钥数据进行压缩或运算处理，可以提高密钥的复杂度，提高认证的安全性。

通过第二密钥生成单元对解码数据进行压缩或运算处理，可以提高密钥的复杂度，提高认证的安全性。

在将辅助数据发送至所述认证服务器之前，对所述辅助数据进行加密处理，将加密处理后的辅助数据再发送至所述认证服务器，可以防止攻击者通过辅助数据来分析预测原始密钥数据，进而防止伪造无线射频设备，从而可以进一步提高无线射频设备与认证服务器认证过程中的安全性。

采用上述方案，由于无线射频设备在每次对认证服务器进行认证前，均会对所存储的原始密钥数据进行更新，由此可以使得无线射频设备每次发送的辅助数据均不同，进而使得解码器每次输出的解码数据均不同，每次基于解码数据对第一数据及第三数据进行处理时都基于一个不同的解码数据，所产生的中间数据是随机的，从而可以防止攻击者通过侧信道能量分析的方法分析获得该解码数据，提高无线射频设备与认证服务器认证过程中的安全性。

由于第四处理单元可以基于解码数据对所述第二处理数据进行处理，而解码数据在每次认证服务器对所述无线射频设备进行认证时均不同，由此可以使得第四处理单元每次在对第二处理数据进行逆处理时，都基于一个不同的解码数据，所产生的中间数据是随机的，从而可以防止攻击者通过侧信道能量分析的方法分析获得第四处理单元所使用的解码数据，进一步提高无线射频设备与认证服务器认证过程中的安全性。

附图说明

图1是本发明实施例中一种无线射频认证系统的结构示意图；

图2是本发明实施例中另一种无线射频认证系统的结构示意图；

图3是本发明实施例中又一种无线射频认证系统的结构示意图；

图4是本发明实施例中又一种无线射频认证系统的结构示意图；

图5是本发明实施例中一种认证过程中的数据交互流程示意图。

具体实施方式

目前，无线射频设备与认证服务器之间相互认证都是基于固定密钥。基于该固定密钥进行安全认证时，会产生中间数据。所产生的中间数据的功耗与该固定密钥存在一定的相关性。因此，攻击者可以采用侧信道能量分析的方法，对所述中间值的功耗进行分析，最终获得该密钥。

一旦攻击者获得了用于认证的密钥，就可以大量地伪造无线射频设备，后续使用无线射频设备的安全性得不到有效保证，无法满足用户对安全性的要求。

针对上述问题，本发明实施例提供了一种无线射频设备，该无线射频设备在每次对认证服务器进行认证前，密钥更新单元均会对所存储的原始密钥数据进行更新，由此可以使得每次基于更新后的密钥数据对第一处理数据进行逆处理时，所产生的中间数据是随机值，从而可以防止攻击者通过侧信道能量分析的方法分析获得该更新后的密钥数据，提高无线射频设备与认证服务器认证过程中的安全性。

针对上述问题，本发明实施例还提供了一种认证服务器，由于无线射频设备在每次对该认证服务器进行认证前，均会对所存储的原始密钥数据进行更新，由此可以使得无线射频设备每次发送的辅助数据均不同，进而使得解码器每次输出的解码数据均不同，每次基于解码数据对第一数据及第三数据进行处理时，所产生的中间数据是随机的，从而可以防止攻击者通过侧信道能量分析的方法分析获得该更新后的密钥数据，提高无线射频设备与认证服务器认证过程中的安全性。

为使本发明的上述目的、特征和有益效果能够更为明显易懂，下面结合附图对本发明的具体实施例做详细的说明。

首先，为了便于本领域技术人员更加清楚地理解本发明，对所述无线射频认证系统进行说明如下：

参照图1，所述无线射频认证系统可以包括：无线射频设备10及认证服务器20。所述无线射频设备10可以在接收到认证服务器20的认证请求后，对认证服务器20进行认证。下面分别对所述无线射频设备10及认证服务器20进行详细说明：

参照图1，本发明实施例提供了一种无线射频设备10，所述无线射频设备10可以包括：密钥存储单元101，密钥更新单元102，编码器103，第一处理单元104及第一认证单元105。其中：

所述密钥存储单元101，适于存储原始密钥数据r0；

所述密钥更新单元102，适于在接收到认证服务器20发送的认证请求q后，对所述原始密钥数据r0进行更新，得到更新后的密钥数据d0；

所述编码器103，适于对所述更新后的密钥数据d0进行编码处理，获得对应的辅助数据p0并发送至认证服务器20；

所述第一处理单元104，适于在接收到所述认证服务器20发送的第一处理数据t1时，基于所述更新后的密钥数据d0，对所述第一处理数据t1进行逆处理，分别获得与第一数据w1对应的第二数据w2，以及与第三数据w3对应的第四数据w4。其中，所述第一处理数据t1为所述认证服务器20对所述第一数据w1及第三数据w3处理后的数据；

所述第一认证单元105，适于基于所述第二数据w2及第一数据w1，对所述认证服务器20进行认证。

本发明实施例还提供了一种认证服务器20，所述认证服务器20可以包括：

认证请求单元201，适于产生认证请求q并发送至无线射频设备10；

解码器202，适于当接收到所述无线射频设备10发送的辅助数据p0时，对所述辅助数据p0及预先获取到的原始密钥数据r0进行解码处理，获得解码数据d1，其中，所述辅助数据p0为所述无线射频设备10对更新后的密钥数据d0进行编码处理后的数据；

第三处理单元203，适于基于所述解码数据d1，对第一数据w1及第三数据w3进行处理，获得第一处理数据t1并发送至所述无线射频设备10。

在具体实施中，无线射频设备10对认证服务器20进行认证之前，认证服务器20可以从无线射频设备10中读取密钥存储单元101中存储的原始密钥数据r0，并保存在认证服务器20的数据库中。上述过程作为无线射频认证系统的初始化阶段，通常在安全环境下进行，且仅进行一次。初始化过程结束后，无线射频设备10上用于读取原始密钥数据r0的数据接口永远关闭。其中，所述密钥存储单元101中存储的原始密钥数据r0可以为固定数据，也可以为随机数据，具体不作限制。

在具体实施中，认证请求单元201可以在多种情况下，向无线射频设备10发送认证请求q，具体不作限制。比如，认证请求单元201可以在接收到认证控制指令后，向无线射频设备10发送认证请求q，也可以在认证服务器检测到无线射频设备时，向无线射频设备10发送认证请求q。

在具体实施中，密钥更新单元102在接收到认证服务器20发送的认证请求q后，可以基于随机数，对所述原始密钥数据r0的若干比特位或全部比特位进行更新。比如，密钥更新单元102可以利用某一随机数与原始密钥数据r0中的若干比特执行异或操作，得到更新后的密钥数据d0。

在具体实施中，编码器103可以采用多种方式对所述更新后的密钥数据d0进行编码处理，具体不作限制，只要相应的编码处理后，能够获得对应的辅助数据p0即可。比如，所述编码器103可以采用golay码、reed-muller码或bch码的编码方式对所述更新后的密钥数据d0进行编码处理。具体编码时，还可以利用随机数进行编码，以增强所获得的辅助数据p0的随机性。

在具体实施中，解码器202接收到辅助数据p0后，对所述辅助数据p0及原始密钥数据r0进行解码处理，获得解码数据d1。可以理解的是，所述解码器202对所述辅助数据p0的解码方式，与所述编码器102对更新后的密钥数据d0的编码方式相对应。

在具体实施中，第三处理单元203获得解码数据d1后，对第一数据w1及第三数据w3进行处理，获得第一处理数据t1。所述第一处理单元104在接收到第一处理数据t1后，对所述第一处理数据t1进行逆处理，分别获得与第一数据w1对应的第二数据w2，以及与第三数据w3对应的第四数据w4。

其中，所述第三处理单元203可以先对所述第一数据w1及第三数据w3进行拼接后，得到拼接后的数据w1||w3，再对拼接后的数据w1||w3进行相应地处理，以便第一处理单元104在对所述第一处理数据t1进行逆处理后，可以恢复出所述第二数据w2及第四数据w4。

在具体实施中，所述第三处理单元203对拼接后的数据w1||w3进行处理时，可以存在多种处理方式，包括但不限于加密等。例如，所述第三处理单元203可以通过密码运算的方式，对拼接后的数据w1||w3进行处理。其中，所选择的密码算法可以为对称密码算法，例如，des算法、rc2算法、rc4算法、rc5算法和blowfish算法等；还可以为非对称密码算法，例如rsa算法、ecc算法和knapsack算法等。其中，所述密码算法还可以包括但不限于上述标准算法及简化的定制算法

可以理解的是，由于所述第一处理单元104与所述第三处理单元203的处理过程互逆，因此，本领域技术人员可以参照上述对第三处理单元203的描述，选择所述第三处理单元203的逆处理算法对所述第一处理数据t1进行处理即可。比如，所述第三处理单元203选择des加密算法对拼接后的数据w1||w3进行加密处理时，所述第一处理单元103可以选择对应的des解密算法对第一处理数据t1进行解密处理。

在具体实施中，所述第三处理单元203基于所述解码数据d1对拼接后的数据w1||w3进行处理时，可以基于对所述辅助数据p0解码后所获得的第一响应数据d1对拼接后的数据w1||w3进行处理。例如，当所述第三处理单元203的处理方式为加密处理时，可以将所述第一响应数据d1作为密钥，对拼接后的数据w1||w3进行处理。

需要说明的是，在具体实施中，所述第一数据w1可以为无线射频设备10产生的，也可以为无线射频设备10从其它设备或器件中获取到的，具体不受限制。在本发明的一实施例中，为了获得更高的安全性，所述第一数据w1可以是从包含有限个数值的集合中随机抽取的，且每次所抽取的数值均不同。当然，所述第一数据w1也可以为随机数，只要使得每次认证中的第一数据w1均不相同即可。

需要说明的是，在具体实施中，所述第三数据w3可以为认证服务器20产生的，也可以为认证服务器20从其它设备或器件中获取到的，具体不受限制。在本发明的一实施例中，为了获得更高的安全性，所述第三数据w3可以是从包含有限个数值的集合中随机抽取的，且每次所抽取的数值均不同。当然，所述第三数据w3也可以为随机数，只要使得每次认证中的第三数据w3均不相同即可。

获得第二数据w2后，所述第一认证单元104可以将所述第二数据w2与第一数据w1进行对比，对所述认证服务器20进行认证，并输出认证结果out1。具体地，若二者相同，则所述认证服务器20通过认证，即所述认证服务器20为合法的服务器。若二者不同，则所述认证服务器20未通过认证，即所述认证服务器20为非法的服务器。

由于无线射频设备10对认证服务器20每次认证过程中，密钥更新单元102均会对原始密钥数据r0进行更新，因此使得第三处理单元203以及第一处理单元104每次对相应数据进行处理时所产生的中间数据均是随机的，故使得攻击者难以通过分析中间数据与功耗的关系，获得更新后的密钥数据或解码数据或原始密钥数据r0，因此可以提高无线射频设备10对认证服务器20认证过程中的安全性。

图2为本发明实施例提供的另一种无线射频认证系统的结构示意图。参照图2，与图1中示出的实施例不同之处在于，所述无线射频设备10还可以包括：

第二处理单元106，适于当所述认证服务器20通过认证时，基于所述更新后的密钥数据d0，对所述第四数据w4进行处理，获得第二处理数据t2并发送至所述认证服务器20。

所述认证服务器20还可以包括：

第四处理单元204，适于在接收到所述无线射频设备10发送的第二处理数据w2时，基于所述解码数据d1，对所述第二处理数据t2进行逆处理，获得第五数据w5，其中，所述第二处理数据t2为所述无线射频设备10基于所述更新后的密钥数据d0，对所述第四数据w4进行处理后得到的数据；

第二认证单元205，适于基于所述第五数据w5及第三数据w3，对所述无线射频设备10进行认证。

当所述认证服务器20通过认证时，所述第二处理单元106继续对所述第四数据w4进行处理，获得第二处理数据t2。所述第四处理单元204在接收到第二处理数据t2时，对所述第二处理数据t2进行逆处理，获得第五数据w5，最后由第二认证单元205将第五数据w5与第三数据w3进行比对，并输出认证结果out2。若二者相同，则所述无线射频设备10通过认证，即所述无线射频设备10为合法设备，否则所述无线射频设备10未通过认证，即所述无线射频设备10为非法设备。

由于密钥更新单元102在每次认证过程中均会对原始密钥数据r0进行更新，故更新后的密钥数据d0及解码数据d1在每次认证过程中均不同，第二处理单元106以及第四处理单元204对相应数据处理的过程中所产生的中间数据也是随机的，因此攻击者难以通过分析中间数据与功耗的关系，获得更新后的密钥数据d0，或解码数据d1，或原始密钥数据r0，因此可以提高认证服务器20对无线射频设备10认证过程中的安全性。

在具体实施中，当所述第二处理单元106基于更新后的密钥数据d0对第四数据w4进行处理时，可以直接利用所述更新后的密钥数据d0对第四数据w4进行处理，例如，将所述更新后的密钥数据d0作为密钥，对第四数据w4进行加密处理。

所述第二处理单元106也可以先将第四数据w4与第六数据w6进行拼接，得到拼接后的数据w4||w6，再利用所述更新后的密钥数据d0对拼接后的数据w4||w6进行处理。例如，将所述更新后的密钥数据d0作为密钥，对拼接后的数据w4||w6进行加密处理。

可以理解的是，由于所述第二处理单元106与所述第四处理单元204的处理过程互逆，因此，本领域技术人员可以参照上述对第二处理单元106的描述，选择所述第二处理单元106的逆处理算法对所述第一处理数据t1进行逆处理即可。比如，所述第二处理单元106可以选择des加密算法对拼接后的数据w4||w6进行加密处理时，所述第四处理单元204可以选择对应的des解密算法对第二处理数据t2进行解密处理。

在具体实施中，可以参照上述对第一数据w1的描述实施所述第六数据w6，此处不再赘述。

在本发明的一实施例中，参照图2，所述无线射频设备10还可以包括：数据获取单元107，适于产生第一数据w1。当所述数据获取单元107产生第一数据w1后，可以分别将第一数据w1发送至第一认证单元105以及第三处理单元203。在具体实施中，所述数据获取单元107还适于产生第六数据w6，并将所产生的第六数据w6发送至第二处理单元106。

在本发明的一实施例中，所述认证服务器20还可以包括：数据产生单元206，适于产生所述第三数据w3，并将所述第三数据w3发送至第三处理单元203和第二认证单元205。

在具体实施中，所述数据获取单元107及数据产生单元206可以为随机数发生器，以进一步增强第三处理单元203及第二处理单元106处理过程中的随机性，提高认证安全性。

在具体实施中，本领域技术人员可以参照上述对所述第三处理单元203的描述,实施所述第二处理单元106，以及参照上述对所述第一处理单元104的描述实施所述第四处理单元204，此处不再赘述。

在具体实施中，对于无线射频设备10，第一处理单元104及第二处理单元106可以均基于更新后的密钥数据d0对相应数据进行处理；或者，第一处理单元104基于更新后的密钥数据d0对相应数据进行处理，而第二处理单元106基于非更新后的密钥数据对相应数据进行处理；或者，第一处理单元104基于非更新后的密钥数据对相应数据进行处理，而第二处理单元106基于更新后的密钥数据d0对相应数据进行处理。可以理解的是，第一处理单元104及第二处理单元106可以均基于更新后的密钥数据d0对相应数据进行处理时，无线射频认证系统的认证安全性更高。

相应地，对于认证服务器20，第三处理单元203及第四处理单元204可以均基于解码数据d1对相应数据进行处理；或者，第三处理单元203基于解码数据d1对相应数据进行处理，而第四处理单元204基于非解码数据对相应数据进行处理；或者，第三处理单元203基于非解码数据对相应数据进行处理，而第四处理单元204基于解码数据d1对相应数据进行处理。可以理解的是，第三处理单元203及第四处理单元204可以均基于解码数据d1对相应数据进行处理时，无线射频认证系统的认证安全性更高。

图3为本发明实施例提供的另一种无线射频认证系统。参照图3，与图2中示出的实施例不同之处在于，所述无线射频设备10还可以包括：

第一密钥生成单元108，适于对所述更新后的密钥数据d0进行压缩或运算处理，获得长度小于或等于所述更新后的密钥数据d0的第一密钥数据d2，并将所述第一密钥数据d2发送至所述第一处理单元104及第二处理单元106。

所述认证服务器20还可以包括：

第二密钥生成单元207，适于对所述解码数据d1进行压缩或运算处理，获得长度小于或等于所述解码数据的第二密钥数据d3，并将所述第二密钥数据d3发送至所述第三处理单元203及第四处理单元204。

在具体实施中，第一密钥生成单元108适于对所述更新后的密钥数据d0进行压缩或运算处理。例如，所述更新后的密钥数据d0的长度为300byte，经第一密钥生成单元108的压缩或运算处理后，第一密钥数据d2的数据的长度可以为128bit，其中，1byte＝8bits。

相似地，第二密钥生成单元207适于对所述解码数据d1进行压缩或运算处理，获得长度小于或等于所述解码数据的第二密钥数据d3，并将所述第第二密钥数据发送d3至所述203及第四处理单元204。

在具体实施中，第一密钥生成单元108以及第二密钥生成单元207的处理过程相同，具体的压缩算法或运算操作不受限制，比如，可以采用相邻比特位进行异或的方法，对所述更新后的密钥数据d0及解码数据d1进行压缩，也可以采用哈希算法对所述更新后的密钥数据d0及解码数据d1进行相应的运算操作。

在具体实施中，第一密钥数据d2是否发送至所述第一处理单元104及第二处理单元106，以及第二密钥数据d3是否发送至所述第三处理单元203及第四处理单元204，可以根据实际情况进行设置。

比如，当所述第一处理单元104基于更新后的密钥数据d0对第一处理数据t1进行逆处理时，所述第一密钥生成单元108将第一密钥数据d2发送至第一处理单元104，否则无须将第一密钥数据d2发送至第一处理单元104。当第三处理单元203基于解码数据d1对第一数据w1及第三数据w3进行处理时，所述第二密钥生成单元207将第二密钥数据d3发送至第三处理单元203，否则无须将第二密钥数据d3发送至第三处理单元203。

图4为本发明实施例提供的又一种无线射频认证系统。与图3中示出的实施例不同之处在于，所述无线射频设备10还可以包括：

加密单元109，适于在将所述辅助数据p0发送至所述认证服务器20之前，对所述辅助数据p0进行加密处理，得到加密数据p1并发送至所述认证服务器20。

相应地，所述认证服务器20还可以包括：解密单元208，适于当接收到所述无线射频设备10发送的加密数据p1时，对所述加密数据p1进行解密，得到解密数据p2。

在具体实施中，所述加密单元109用于加密的密钥，以及所述解密单元208用于解密的密钥，可以为固定密钥，也可以为利用随机数产生的密钥流，具体不受限制。并且，所述加密单元109可以利用对称密码算法对所述辅助数据p0进行加密，也可以利用非对称密码算法对所述辅助数据p0进行加密，具体不受限制。

可以理解的是，所述解密单元208对加密后的辅助数据p1进行解密时，所选择的解密算法与加密单元109所选择的密码算法相对应。比如，所述加密单元109选择的密码算法为des加密算法时，所述解密单元208可以选择对应的des解密算法。通过解密单元208的解密，可以获得解密数据p2，从而由解码器202对解密数据p2以及原始密钥数据r0进行解码处理，得到解码d1。

通过加密单元109对辅助数据p0进行加密，进而将加密数据p1发送至认证服务器20，从而可以防止攻击者通过分析辅助数据来获得原始密钥数据r0，进一步提高无线射频认证系统的安全性。

基于上述实施例，在具体实施中，所述无线射频设备10也可以包括第二处理单元106，但不包括第一处理单元104及第一认证单元105，相应地，所述认证服务器20可以包括第四处理单元204及第二认证单元205，但不包括第三处理单元203。换句话说，在具体实施中，可以由认证服务器20对无线射频设备10进行单向认证。此时，认证服务器20可以预先产生第三数据w3，并将第三数据w3发送至无线射频设备10。无线射频设备10的第二处理单元106可以基于所述更新后的密钥数据d0，对第三数据w3进行处理，获得第二处理数据t2并发送至所述认证服务器20。

综上可知，本发明实施例的无线射频认证系统，由于密钥更新单元102在每次认证过程中均会对原始密钥数据r0进行更新，使得无线射频设备10以及认证服务器20中相应处理单元每次产生的中间数据都是随机的，因此可以防止攻击者通过侧信道能量分析方法获得更新后的密钥数据或原始密钥数据r0，也就可以防止伪造无线射频设备10，提高认证过程中的安全性。

为了使本领域技术人员更好地理解和实现本发明，以下对上述无线射频认证系统对应的认证方法进行详细描述。

参照图5，本发明实施例还提供了一种认证方法，所述认证方法可以包括如下步骤：

s51：认证服务器20向无线射频设备10发送认证请求；

s52：无线射频设备10在接收到所述认证服务器20送的认证请求时，对原始密钥数据r0进行更新，并对更新后的密钥数据d0进行编码处理，获得对应的辅助数据p0并发送至所述认证服务器20；

s53：认证服务器20基于预先获取到的原始密钥数据r0对辅助数据p0进行解码处理，获得解码数据d1，并基于解码数据d1对第一数据w1及第三数据w3进行处理，获得第一处理数据t1并发送至所述无线射频设备10；

s54：所述无线射频设备10基于所述更新后的密钥数据d0，对所述第一处理数据t1进行逆处理，分别获得与第一数据w1对应的第二数据w2，以及与第三数据w3对应的第四数据w4，并基于所述第二数据w2及第一数据w1，对所述认证服务器20进行认证。

在本发明的一实施例中，所述认证方法还可以包括如下步骤：

步骤s55：所述无线射频设备10在所述认证服务器20通过认证时，基于所述更新后的密钥数据d0对所述第四数据w4进行处理，获得第二处理数据t2并发送至所述认证服务器20；

步骤s56：所述认证服务器20基于所述解码数据d1，对所述第二处理数据t2进行逆处理，获得第五数据w5，并基于所述第五数据w5及第三数据w3，对所述无线射频设备10进行认证。

在本发明的另一实施例中，所述认证方法可以不包括步骤s54，但包括步骤s55及步骤s56，即由认证服务器对无线射频设备进行单向认证。并且，在步骤s55中，所述无线射频设备10可以直接基于所述更新后的密钥数据d0对第三数据w3进行处理，获得第二处理数据t2并发送至所述认证服务器20。其中，所述第三数据w3可以是认证服务器产生并预先发送给无线射频设备的。

其中，认证服务器20可以基于解码数据d1，对第一数据w1及第三数据w3进行处理，但基于非解码数据对第二处理数据t2进行逆处理。相应地，所述无线射频设备10可以基于更新后的密钥数据d0对第一处理数据t1进行逆处理，但基于非更新后的密钥数据对所述第四数据w4进行处理。

认证服务器20也可以基于非解码数据，对第一数据w1及第三数据w3进行处理，但基于解码数据d1对第二处理数据t2进行逆处理。相应地，所述无线射频设备10可以基于非更新后的密钥数据对第一处理数据t1进行逆处理，但基于更新后的密钥数据d0对所述第四数据w4进行处理。

认证服务器20还可以既基于解码数据d1，对第一数据w1及第三数据w3进行处理，也基于解码数据d1对第二处理数据t2进行逆处理。相应地，所述无线射频设备10可以既基于非更新后的密钥数据对第一处理数据t1进行逆处理，也基于更新后的密钥数据d0对所述第四数据w4进行处理。

在具体实施中，为了降低所述认证服务器20对第一数据w1及第三数据w3进行处理的复杂度，所述认证服务器20在对第一数据w1及第三数据w3进行处理之前，可以先对所述解码数据d1进行压缩或运算处理，获得长度小于或等于所述解码数据d1的第二密钥数据d3。相应地，所述无线射频设备10对第一处理数据t1进行处理之前，可以先对所述更新后的密钥数据d0进行压缩或运算处理，获得长度小于或等于所述更新后的密钥数据d0的第一密钥数据d2。

在具体实施中，为了进一步提高数据交互过程中的安全性，所述无线射频设备10将所述辅助数据p0发送至所述认证服务器20之前，可以先对所述辅助数据p0进行加密处理，获得加密数据p1。相应地，所述认证服务器20对所述加密数据p1进行解码处理之前，可以先对加密数据p1进行解密，获得解密数据p2，进而再对所述解密数据p2解码。

需要说明的是，本发明的上述实施例中，所述无线射频设备为基于无线射频技术的设备，包括但不限于智能卡、移动终端、微处理器、计算机、路由器、机顶盒等。具体无论所述无线射频设备的表现形式如何，均不够成对本发明的限制，且均在本发明的保护范围之内。

需要说明的是，本发明的上述实施例中，所述认证服务器为与所述无线射频设备适配的无线射频服务器。比如，所述无线射频设备为智能卡时，所述认证服务器可以为读卡器。并且，所述认证服务器可以是一台独立的专用服务器，也可以同时提供其它服务，比如可以在其他服务器上开辟一块专用的存储区和内存区，以提供性能监测服务。当然，无论是采用何种方式的认证服务器，只要可以与所述无线射频设备进行数据交互即可。

由上述内容可知，本发明实施例中的认证方法，在相互认证的过程中，通过对原始密钥数据进行更新，可以使得每次认证过程中所产生的中间数据具有一定的随机性，进而可以防止攻击者获取中间数据并进行侧信道能力分析，提高认证过程中的安全性。

本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：rom、ram、磁盘或光盘等。

虽然本发明披露如上，但本发明并非限定于此。任何本领域技术人员，在不脱离本发明的精神和范围内，均可作各种更动与修改，因此本发明的保护范围应当以权利要求所限定的范围为准。