一种具有所有权转移的相互认证协议方法与流程

本发明属于rfid技术领域，尤其涉及一种具有所有权转移的相互认证协议方法。

背景技术：

rfid(无线射频识别)技术是一种无线自动通信技术，它使用开放的通道来识别附有射频标签的物体。与其他自动化技术相比，它具有很多优点，例如不需要视线(los)，可以同时识别多个标签，而且对操作环境不敏感等。在制造业，供应链管理，库存管理，动物监管，运输支付等过程中有价值的工具。rfid技术本身的巨大价值在过去几年已经成为一个充满活力和迅速发展的研究和开发领域。在文献中，发表了在ieee安全与隐私，消费类电子产品的ieee交易以及acm通信等56种期刊上发表的1995～2005年期间发表的论文85篇，rfid技术的热情正在逐年提高。尽管rfid技术有许多优点，其应用范围日益广泛，但仍然有许多挑战。例如，安全和隐私问题日益突出。rfid与消费品的连接已经引起了人们对隐私问题的广泛关注。rfid应用中两个值得关注的隐私问题是它们泄露个人财产信息的潜力，以及跟踪消费者支出历史和物理行踪的能力。如果消费者购买的标签仍然可以被阅读，那么一个人的衣服或配件可以在他们进行业务时识别他们。顾客担心商店一进入商店就有能力识别他们。这表明，安全和隐私已经成为阻碍rfid零售业潜在革命的两大问题，并且是影响消费者对rfid技术接受度的主要因素。如果这些问题得不到解决，将对rfid系统的进一步推广和应用产生重大影响。在rfid标签的整个生命周期中，其所有者可能会多次改变，例如当标签被用于供应链时。为了保护标签的新旧所有者的隐私，必须实施一些所有权转移协议。tonvandeursenetal。提出了一个正式的模型来定义所有权和所有权转让的概念以及安全属性。他们分别考虑标签所有权，系统视图和代理视图的两种观点。在系统视图中，他们将标签的所有权定义为使用标签执行指定协议的能力，而在代理视图中，他们认为标签所有权的定义允许验证代理是否拥有标签。他们还提出了两个功能要求来定义所有权转移协议。

综上所述，现有技术存在的问题是：现有的rfid技术应用中容易泄露个人财产信息等安全问题。

技术实现要素：

针对现有技术存在的问题，本发明提供了一种具有所有权转移的相互认证协议方法。

本发明是这样实现的，一种具有所有权转移的相互认证协议方法，所述具有所有权转移的相互认证协议方法，包括以下步骤：

(1)阅读器到标签ti：阅读器产生一个随机比特串r1∈r{0,1}l并将其发送到标签钛；

(2)标签ti到阅读器：从阅读器接收到r1后，标签ti生成一个随机位串r2∈r{0,1}l，计算然后向读者发送m1，m2；

(3)读写器到服务器：从标签ti收到m1，m2，读卡器发送r1，m1，m2，krs到服务器；

(4)服务器到读写器：如果接收到的请求krs有效，服务器从中选择t1'和kt'i，对于1≤i≤n，计算如果m2'＝m2，ti标签t被服务器认证为合法标签；在这种情况下，将当前秘密记为然后服务器计算并将其与di一起发送给阅读器；最后，服务器更新到并设置其数据库否则，服务器发送ε和停止会话；

(5)阅读器到标签ti：阅读器将m3转发给标签ti，标签ti计算并检查h(s′i)＝ti'；如果结果为真，则表明服务器是合法的服务器；

然后，标签t将ti更新为并且否则标签保持当前值，ti和kti不变。

进一步，所述所有权转移协议具体方法如下：

(1)服务器sj+1到标签ti：服务器sj+1产生随机比特串r1∈r{0,1}l并发送给标签ti；

(2)标签ti到服务器sj+1：tagti生成随机比特串r2∈r{0,1}l，计算m1＝ti×r2和然后发送到服务器sj+1；

(3)服务器sj+1到服务器sj：在接收到(m1,m2)来自标签ti，服务器sj+1发送(r1,m1,m2)到服务器sj，并请求标签

(4)服务器sj到服务器sj+1：如果接收到的请求rti有效，sj在其数据库中搜索以检查它是否满足如果方程是有效的，sj设置和计算否则，会话停止；sj更新秘密

并通过安全通道发送和传送更新的秘密以及标签ti到sj+1的一些其他必要信息；

(5)服务器sj+1到标签ti：当服务器从服务器sj接收到它存储在其数据库中的数据并将m3转发给标签ti；然后，标签t计算

如果h(s′i)＝ti标签t将其秘密更新为

进一步，所述秘密更新协议具体方法如下：

(1)服务器sj+1到标签ti：sj+1产生两个随机的随机数r1∈r{0,1}^lands′i∈r{0,1}^l，计算最后，新的标签拥有者sj+1发送(r1,m1,m2)到ti；

(2)标签ti到服务器sj+1：从服务器sj+1接收(r1,m1,m2)到标签ti后计算这里kti是存储在内存中的值h(si)＝ti；如果标签ti将认证的服务器sj+1认证为授权服务器；否则，会话停止；然后标签ti更新其秘密为ti←t′i，产生一个随机的随机数r2∈r{0,1}^l，并计算最后，标签ti发送(r2,m3)到服务器sj+1；在收到(r2,m3)服务器sj+1检查是否如果验证成功，则意味着标签t已经更新了它的两个秘密值ti和然后服务器将分别更新其秘密和否则，服务器sj+1开始一个新的会话。

本发明对rfid系统的安全性和隐私性问题进行了研究，分析了基本的挑战-响应协议和潜在攻击，并提出了一些安全需求和假设；总结了一些相关的工作，主要集中在宋提出的协议；在分析song协议漏洞的基础上，提出了相互认证协议，所有权转移协议和秘密更新协议安全协议；通过分析可以看出，提出的协议可以弥补宋协议的缺陷。

附图说明

图1是本发明实施提供的具有所有权转移的相互认证协议方法流程图。

图2是本发明实施提供的建议相互认证协议图。

图3是本发明实施提供的拟议的所有权转让协议图。

图4是本发明实施提供的建议的秘密更新协议图。

图5是本发明实施提供的基本质询-响应协议图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

下面结合附图对本发明的应用原理作进一步描述。

如图1所示，本发明实施例提供的具有所有权转移的相互认证协议方法包括以下步骤：

s101：阅读器到标签ti：阅读器产生一个随机比特串r1∈r{0,1}l并将其发送到标签钛；

s102：标签ti到阅读器：从阅读器接收到r1后，标签ti生成一个随机位串r2∈r{0,1}l，计算然后向读者发送m1，m2；

s103：读写器到服务器：从标签ti收到m1，m2，读卡器发送r1，m1，m2，krs到服务器；

s104：服务器到读写器；

s105：阅读器到标签ti：阅读器将m3转发给标签ti。

本发明实施例提供的步骤s101中，在协议中，有两个假设，一个是阅读器和标签之间的通道不安全，阅读器和服务器之间的通道是安全的，另一个是本发明中考虑的标签是被动标签，其具有很少的计算资源。本发明使用的符号除了两个新的符号kti和krs之外，与表1中的相同。kti是一个一位密钥，用于在标签ti和服务器之间进行认证。类似地，krs是用于在读取器和服务器之间进行认证的1位字符串；

本发明实施例提供的步骤s102中，发起者为每个标签ti分配1比特的比特串si，计算ti＝h(si)，其可以用于在标签ti和服务器之间进行认证，这个参数应该足够大，这样一个彻底的搜索旨在找到si，ti的l位值，并且读取器和标签产生的随机数在计算上是不可行的，每个标签ti具有散列函数h和密钥散列函数fk，并且还具有xor函数，此外，最初，每个标签ti也被给予一个一位密钥kti，它被存储在标签ti的存储器和服务器的后端数据库中，以用于它们之间的认证。此外，每个标签ti具有rng(随机数发生器)，它可以生成一个新的随机数，r∈r{0,1}l，用于所提出的协议中；阅读器也有一个rng，并在其存储器中存储一个1位的字符串krs。如上所述，krs用于在读取器和服务器之间进行认证；服务器的后端数据库存储形式为[(si，ti，kti)new，(si，ti，kti)old，di]的元组每个标签ti，其中(si，ti，kti)new是新分配的秘密，(si，ti，kti)old是旧秘密，di是与标签ti相关的信息，服务器还具有散列函数h和密钥散列函数fk。另外，服务器的后端数据库也存储字符串krs；

本发明实施例提供的步骤s103中相互认证协议具体方法如下：

(1)阅读器到标签ti：阅读器产生一个随机比特串r1∈r{0,1}l并将其发送到标签钛；

(2)标签ti到阅读器：从阅读器接收到r1后，标签ti生成一个随机位串r2∈r{0,1}l，计算然后向读者发送m1，m2。

(3)读写器到服务器：从标签ti收到m1，m2，读卡器发送(r1，m1，m2，krs到服务器；

(4)服务器到读写器：如果接收到的请求krs有效，服务器从中选择t1'和kt'i，对于1≤i≤n，计算如果m2'＝m2，ti标签t被服务器认证为合法标签；在这种情况下，将当前秘密记为然后服务器计算并将其与di一起发送给阅读器。最后，服务器更新到并设置其数据库否则，服务器发送ε和停止会话；

(5)阅读器到标签ti：阅读器将m3转发给标签ti，标签ti计算并检查h(s′i)＝ti'。如果结果为真，则表明服务器是合法的服务器；

标签t将ti更新为并且否则标签保持当前值，ti和kti不变。

本发明实施例提供的步骤s103中所有权转移协议具体方法如下：

(1)服务器sj+1到标签ti：服务器sj+1产生随机比特串r1∈r{0,1}l并发送给标签ti；

(2)标签ti到服务器sj+1：tagti生成随机比特串r2∈r{0,1}l，计算m1＝ti×r2和然后发送(m1,m2)到服务器sj+1；

(3)服务器sj+1到服务器sj：在接收到(m1,m2)来自标签ti，服务器sj+1发送(r1,m1,m2)到服务器sj，并请求标签

(4)服务器sj到服务器sj+1：如果接收到的请求rti有效，sj在其数据库中搜索以检查它是否满足如果方程是有效的，sj设置和计算否则，会话停止。sj更新秘密

并通过安全通道发送和传送更新的秘密以及标签ti到sj+1的一些其他必要信息。

(5)服务器sj+1到标签ti：当服务器从服务器sj接收到它存储在其数据库中的数据并将m3转发给标签ti。然后，标签t计算

如果h(s′i)＝ti标签t将其秘密更新为

本发明实施例提供的步骤s103中秘密更新协议具体方法如下：

(1)服务器sj+1到标签ti：sj+1产生两个随机的随机数r1∈r{0,1}^lands′i∈r{0,1}^l，计算最后，新的标签拥有者sj+1发送(r1,m1,m2)到ti；

(2)标签ti到服务器sj+1：从服务器sj+1接收(r1,m1,m2)到标签ti后计算这里kti是存储在内存中的值h(si)＝ti；如果标签ti将认证的服务器sj+1认证为授权服务器。否则，会话停止。然后标签ti更新其秘密为ti←t′i，产生一个随机的随机数r2∈r{0,1}^l，并计算最后，标签ti发送(r2,m3)到服务器sj+1。在收到(r2,m3)服务器sj+1检查是否如果验证成功，则意味着标签t已经更新了它的两个秘密值ti和然后服务器将分别更新其秘密和否则，服务器sj+1开始一个新的会话。

如图2所示，本发明实施提供的建议相互认证协议图。

如图3所示，本发明实施提供的拟议的所有权转让协议图。

如图4所示，发明实施提供的建议的秘密更新协议图。

下面结合具体实施例对本发明的应用原理作进一步的描述。

实施例1；基本的挑战-响应协议和潜在的攻击

如图5所示，基本上，rfid系统，阅读器和标签至少有两个组件。每个标签在其存储器中都有一个唯一的标识号(id)。在无源rfid系统中，当阅读器向标签发送查询(挑战标签)时，标签将通过将其id发送给阅读器来作出响应。这被称为挑战-响应协议。

在这个基本的挑战-响应协议中，如果没有攻击者，协议可以正常工作，读者可以成功获取标签的id。但是如上所述，读写器与标签之间用来沟通的通道是开放的射频通道，攻击者可以轻松窃听，篡改，阻挡通讯数据，或者在通道上放置伪造消息。rfid系统有一些安全性要求，如机密性，完整性，可用性，真实性和匿名性。为了满足这些安全需求，必须处理以下主要攻击：窃听，欺骗攻击和拒绝服务攻击，前向安全和后向安全攻击等。

一个好的相互认证协议必须能够有效地解决上述攻击。通过对各种相互认证协议的研究，本发明发现几乎所有这些协议都是从基本的挑战-响应协议演化而来的。有一些安全性要求和假设如下，它们是从t.c.vanstijn发展而来的：

要求1：合法的读者只能识别标签，其标识由合法的读者先验知道；

要求2：无论如何，必须保证合法的读者随时可以随时识别合法的标签；

要求3：攻击者控制的阅读器不能读取id；

要求4：攻击者不能使用窃听的消息来跟踪标签；

要求5：标签的前一个所有者不能再获取标签的信息，而标签的新所有者不能获得以前标签事务的任何信息。

假设1：攻击者事先不知道合法读者知道的任何id；

假设2：加密是完美的；

假设3：攻击者事先不知道任何使用的密钥或id；

假设4：在不违反上述任何其他假设或要求的情况下，尽可能简化相互认证协议。

实施例2；相关内容

在实际应用中，rfid系统由三个主要实体组成，分别是阅读器，标签和带有后端数据库的服务器。这三个部分组合在一起，形成一个系统，任何附有射频标签的物理项目都可以进行无线标签和扫描。出于安全性和隐私方面的考虑，存在一些原因：第一，读写器与标签之间通信的渠道是开放的射频通道，攻击者可以轻松地窃听，修改，重放发送的消息；其次，在许多实用的rfid系统中，当阅读器查询标签时，标签以一个固定的消息进行回复。即使消息被加密，攻击者也可以使用这个常量消息来跟踪标签。有时，即使消息不是一个常量，攻击者也可以从所有被窃听的消息中获得一个恒定的值，正如本发明在本发明的下一个内容中看到的那样。最后，为了大规模部署rfid系统，要求标签的成本尽可能低。无源rfid标签通常被设计为具有受限资源，其具有有限的存储和低计算能力。因此，标准的安全机制难以实现，例如aes，sha-1等高效公钥协议对于低成本标签来说太精细了。例如，即使是高端的无源标签，出于安全的考虑，最多也只有2000个门，而标准的密码算法则需要大约数万门的门。因此，设计一个高效，低成本的相互认证协议仍然是一项具有挑战性的工作。近年来，许多研究人员为解决安全性和隐私问题做了大量工作。例如，molnar等人提出了msw方案，这似乎是明确处理所有权转移的第一篇论文。osaka等人]也提出了一个被广泛研究的所有权转移协议。也有一些论文研究一些提出的rfid所有权转让协议的脆弱性。本发明的工作重点是宋提出的协议。song有三种协议：相互认证协议，所有权转移协议和秘密更新协议。

表1中显示了用于分析宋的协议的符号。

人员跟踪攻击。由于m1，m2和m3都是随机位串r1或r2的函数，并且它们彼此独立，所以song提出了他提出的防止标签位置跟踪(人员跟踪)的方案。但实际上，这个方案可能会导致人们跟踪问题。本发明可以看到，本发明可以从表达式中得到从song的相互认证协议中，本发明可以得到以下等式：

fromtheaboveequations,wecanget:

从等式(6)可以看出，与随机位串r1和r2无关，它是一个常数值。由于m1，m2和m3是在开放的射频通道中传输的，所以攻击者可以很容易地实现。因此，攻击者可以使用这三个值来跟踪标签。

欺骗攻击在宋的相互认证协议中，攻击者可以冒充合法的读者。合法的阅读器产生一个随机位串r1，并将其发送给标签ti。标签ti生成随机比特串r2，计算m1和m2，然后发送(m1，m2)给阅读器。之后，读卡器将(r1，m1，m2)转发给服务器，以实现标签ti的信息di。同样，对手可以捕获r1，m1和m2。当标签ti向读取器发送消息(m1，m2)时，攻击者将其阻止。然后他发送消息(r1，m1，m2)到服务器，可以得到标签ti的信息di。song还认为，相互认证协议对于标签假冒攻击是安全的，因为攻击者难以在不知道ti的情况下为读者查询计算有效响应(m1，m2)。但实际上，对手可以冒充一个合法的标签。假设阅读器产生一个随机位串r1，并将其发送给标签ti。标签ti生成一个随机位串r2，计算m1和m2，然后将(m1，m2)发送给阅读器。从上面的过程中，敌手可以达到r1，m1和m2。下一次当阅读器用随机比特串r1'向标签ti发送查询时，攻击者阻止阅读器和标签ti之间的通信，并向m1'和m2发送响应给阅读器，其中m1'满足以下等式：

当服务器获得对手的响应时，计算m2：

用公式(8)中的m1代入公式(7)中的右边表达式，本发明可以得到结果：

从上面的公式(9)中，本发明可以知道读者会认为对手是合法的标签。而且，对手也可以冒充合法的服务器。有关更多详细信息，请参阅文献。

后续安全攻击。song认为即使攻击者妥协了标签并且知道ti，如果他不能阻塞最后的消息m3或者他不能得到所有的值r1，r2和si，

落后的安全感满意。但是，证明了以下等式(10)和(11)都是满足的，这意味着当标签被损害时，即使攻击者不知道所有值r1，r2和si，他也可以生成将来的标签标识符。有关更多详细信息，请参阅文献[20]。

服务攻击。如上所述，攻击者可以模仿为合法的服务器，这将导致标签和服务器之间无法正常通信。这是一种dos攻击。在song的秘密更新协议中，也可能发生dos攻击。攻击者只能阻止消息(r1，m1，m2)到达目标标签，然后发送(r1,m′1,m′2)到目标标签，其中m′1∈r{0,1}^l和可以证明标签将接受(r1,m′1,m′2)并更新其秘密ti到一个新的值，这是服务器绝对不知道的。

信息泄露。如果价值l的长度足够大，ti和si的穷举在计算上是不可行的。证明攻击者只需选择al-bitti，然后重复认证会话2l次，他就可以拥有与每个标签链接的私有信息并存储在后台服务器上，结束数据库。

实施例3；安全分析

所提议的协议基于song的协议，旨在解决它们的安全漏洞。所有这些提议的协议都符合安全要求，并能有效抵御第2节中的所有形式的攻击。更详细的分析如下：

1、窃听和人员跟踪。由于在标签和阅读器之间传输的m1，m2和m3是随机比特串r1或r2的功能，且彼此独立，攻击者不能使用窃听的数据来跟踪标签。如上所示，在song的协议中，是一个与r1或r2没有关系的常量。因此，尽管m1，m2和m3是随机数，攻击者也可以使用来跟踪一个标签。但是在本发明的协议中，不管在m1，m2和m3上做了什么样的操作，结果都是随机比特串r1或r2的功能。对手不能使用m1，m2和m3窃听追踪标签。在本发明的协议中，窃听是没有意义的。

2、阻塞和干扰攻击。在本发明的协议中，攻击者可以阻止来自阅读器或标签的任何消息，协议可以正常工作。但是对于rfid系统的工作原理来说，这些协议并不能抵抗干扰攻击。

3、欺骗攻击。在相互认证协议中，攻击者可以使用消息r1，m1，m2伪装成合法的读者来获取标签ti的信息di。但在本发明的协议中，krs被用来验证读者。只有阅读器发送的krs是有效的，服务器才会将标签ti的信息di发送给它。与此同时，在本发明的协议中，ti和kti被用来认证一个标签来对付敌手，将其伪装成合法的标签。

4、服务攻击。在song的秘密更新协议中，dos攻击可能发生。但是在本发明的秘密更新协议中，可以很容易地证明攻击者不能使用中的方法来满足方程h(si)＝ti。存储在标签ti和t中的秘密si，ti和kti服务器sj+1可以同步更新，从而避免了dos攻击。

5、前向安全和落后的安全攻击。在本发明的协议中，在标签的每个成功查询之后，秘密被更新。因此，即使标签被攻破，对手也知道当前的秘密，他也无法实现标签的过去交易，这就意味着前向安全是有保证的。同样，如果攻击者想知道标签的未来交易，他应该可以访问所有的值si，r1，r2和旧的ti来刷新ti。如果他想获得价值si，他必须有机会获得秘密的kti。总之，如果攻击者无法访问上面所有的值，他就无法追踪标签的未来交易。用于追踪标签未来事务的文件中的方法也失败了。所以，落后的安全也是有保证的。

6、信息泄露。在本发明的协议中，信息泄漏问题可以被解决，p.peris-lopez等人使用的方法失败了。因为如果攻击者想要得到与每个标签链接的私人信息并将其存储在服务器的后端数据库中，那么他不能只选择一个l位的ti。如果他想找出价值si，kti也是需要的。因此，如果值l的长度足够大，则在计算上是不可行的价值si。

另外，通过上述分析，本发明可以清楚地看到，所提议的协议对重放攻击也是免疫的。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。