一种超轻量级RFID认证协议的制作方法

本发明属于无线通信领域，具体涉及一种超轻量级rfid认证协议。

背景技术：

rfid拥有轻便的物理载体，采用阅读器(reader)、服务器(server)、标签(tag)三方结构，是可自动识别人或物的非接触式技术。该技术能够适应复杂的环境，多目标识别，具有低成本高速度的优点。但正是由于低成本的优点，导致标签的存储和计算能力受到限制，很难抵御各种被动或主动攻击。

目前对rfid的攻击主要有被动攻击、主动攻击和中间人攻击。被动攻击主要是通过监听、窃取等一系列用户不易察觉的方式进行信息的收集和整理，因为被动攻击不涉及任何数据上改变，所以对其检测是十分困难的，但可以通过加密等手段抵御该攻击行为。主动攻击指攻击者通过伪装成阅读器，生成假的数据流，采用资源使用、欺骗、伪装等攻击方法以获取信息，主动攻击易于通过检测被发现。而中间人攻击，不仅可以窃听主机a、b的通信还可以对信息进行篡改再发送给对方，但因为阅读器和标签之间通常是近距离通信，中间人攻击的实现较为困难，所以此类攻击不在本设计的考虑范围内。

rfid系统通常需要实现两种安全需求：身份认证和隐私保护。实现身份认证最简单的方法是通过广播一个标识符，但是明文广播标识符会失去隐私性，敌手很容易通过这个标识符对标签进行追踪。在一个低成本的rfid标签上，能够使用的电路门数大约是2000门，而传统密码算法所需要的电路门数在3000门以上，如aes算法所需要的电路门数在10000门以上。所以，传统的密码算法并不适用于rfid系统。如何设计高效安全的超轻量级rfid密码系统成为学术界与产品界一直密切关注的问题。

目前最具有代表性的超轻量级rfid认证协议是hb类协议族。在hb协议中，reader和tag共享长度为k的密钥s＝(s1,s2,…,sk)∈{0,1}^k，下述基本认证过程循环l轮：

1)reader生成随机向量ai＝(ai1,ai2,…,aik)∈{0,1}^k发送给tag；

2)tag获得随机向量ai后，计算(其中〈·,·〉为向量积异或计算，即e是一个满足pr(e＝1)＝p的噪声比特，其中p<0.5，随后将zi发给reader；

3)reader计算<ai,s>与收到的zi比较，验证其是否相等，若相等则此轮认证通过，否则此轮认证失败。

hb协议需执行上述基本认证过程l轮，若用户通过的次数在l*(1-p)附近，则通过协议认证，视为合法用户。该协议虽能抵御被动攻击，但对于伪装成reader的主动攻击者却无能为力，当主动攻击者多次向tag发送同一个修改过的ai即可推算出密钥向量s的值。

抗主动攻击的hb+协议在hb协议的基础上引入第二个共享密钥t＝(t1,t2,…,tk)∈{0,1}^k，下述基本认证过程循环l轮：

1)reader向tag发送随机向量ai∈{0,1}^k；

2)tag生成随机向量bi∈{0,1}^k，并计算e同hb协议，最后将bi,zi发送给reader；

3)reader计算与收到的zi比较，验证其是否相等，若相等则此轮认证通过，否则此轮认证失败。

hb和hb+协议都采用求和、异或、随机数生成器等操作，具有效率高、运算简单的优点，同时能够有效抵御被动攻击和主动攻击，满足认证安全的要求。但也存在以下三个问题：

1)hb和hb+协议在分别抵御主动攻击和被动攻击的过程中，并不能保证合法用户100％通过认证，即存在合法用户也无法通过认证的情况，虽然这种情况概率很小，但依然无法避免；

2)为了保证合法用户极大概率通过认证，而非法用户极小概率通过认证，协议需通过执行多轮基本认证过程满足上述要求，例如，当p＝0.125时，轮数l推荐为441；而p＝0.25时，轮数l推荐高达1164，这将导致认证过程通信量过大；

3)在认证过程中，tag需要调用随机数生成算法生成随机数，当认证轮数过大时，多次调用伪随机函数也必然会占用tag大量的计算资源。

技术实现要素：

发明目的：本发明针对超轻量级rfid认证协议进行了新的设计，协议采用位异或、位乘、求和等简单运算，分别提出了抗被动攻击和主动攻击的超轻量级rfid认证协议，新协议具有高效率、低成本、强认证的特性。

技术方案：

一种超轻量级rfid认证协议，包括：

抗被动攻击超轻量级rfid认证协议：

1)reader和tag共享密钥s＝(s1,s2,…,s2k)∈{0,1}^2k，k为奇数，同时s的汉明权重hw(s)＝k；reader生成一个随机向量ai＝(ai1,ai2,…,ai2k)∈{0,1}^2k发送给tag，同时要求hw(ai)＝k；

2)tag收到向量ai后，计算∑ais＝ai1s1+ai2s2+…+ai2ks2k，若则e＝1，否则令e＝0，随后计算并发送给reader；e满足等概分布；

3)reader根据收到的zi计算并与其自身计算的e比较，若相等则此轮认证通过，否则认定标签非法终止认证；

抗主动攻击超轻量级rfid认证协议：

1)引入共享密钥t＝(t1,t2,…,t2k)∈{0,1}^2k，k为奇数，同时hw(t)＝k；reader产生随机向量ai∈{0,1}^2k发送给tag，同时保证hw(ai)＝k；

2)tag收到ai，计算∑ais，若则e1＝1，否则令e1＝0；同时tag也产生随机向量bi∈{0,1}^2k，并计算∑bit，若则e2＝1，否则令e2＝0；e1与e2满足等概分布；最后计算将bi，zi发送给reader；

3)reader根据收到的bi和zi，计算并与自身计算的比较，两者相等则通过此轮认证，若不相等则终止整个认证。

有益效果：本发明在满足运算简单、认证效率高、抵御非法攻击等要求的同时，弥补了hb和hb+协议的缺点。抗被动攻击的新协议中，标签不需要调用随机数生成函数，运算效率更高，且两个协议均能够保证合法用户100％通过认证。因为e、e1和e2等概分布，非法用户猜对e、e1、e2的概率为50％，被动攻击者正确猜测zi的值的概率是0.5。主动攻击者虽能通过修改ai的值对e1操控，但不能修改bi的值，无法操控e2。故当一轮认证过程循环执行l次，非法用户能正确通过认证的概率为(0.5)^l，则认证轮数可以选择60，远小于hb类认证协议推荐的轮数要求。且在协议执行过程中，只要有一轮未通过认证，即可终止协议认证，相比于hb和hb+协议将大大减少通信量，这也可以避免主动攻击者发起的一系列恶意消耗设备资源的攻击。

附图说明

图1为rfid物理结构图。

图2为抗被动攻击超轻量级rfid认证协议1轮认证过程图。

图3为抗主动攻击超轻量级rfid认证协议1轮认证过程图。

具体实施方式

下面结合附图和具体实施例，进一步阐明本发明。

图1是本发明中rfid的物理结构图，如图1所示，rfid由三部分组成：服务器、阅读器、标签。

标签相当于条码技术中的条码符号，用来存储需要识别传输的信息，另外，与条码不同的是，标签必须能够自动或在外力的作用下，把存储的信息发射出去。标签一般是带有线圈、天线、存储器与控制系统的低电集成电路。

阅读器基本的功能就是提供与标签进行数据传输的途径。另外，阅读器还提供相当复杂的信号状态控制、奇偶错误校验与更正功能等。标签中除了存储需要传输的信息外，还必须含有一定的附加信息，如错误校验信息等。识别数据信息和附加信息按照一定的结构编制在一起，并按照特定的顺序向外发送。阅读器通过接收到的附加信息来控制数据流的发送。一旦到达阅读器的信息被正确的接收和译解后，阅读器通过特定的算法决定是否需要发射机对发送的信号重发一次，或者知道发射器停止发信号。使用这种协议，即便在很短的时间、很小的空间阅读多个标签，也可以有效地防止“欺骗问题”的产生。

阅读器获得标签的数据后，将数据发送给服务器，服务器用于处理阅读器传来的数据信息。阅读器和服务器之间的通信信道是由传统加密算法保证安全，而阅读器和标签间的通信信道因为标签较弱的计算能力要求协议的基本操作不能够太复杂，同时又要保证通信的安全。

本发明考虑到标签存储和计算能力的限制，采用位异或、位乘、求和等简单计算方法达到抵御被动攻击和主动攻击的目的，同时能够保证合法用户100％通过协议认证，减少认证过程的通信量。

1、抗被动攻击超轻量级rfid认证协议：

在本发明中reader和tag共享密钥s＝(s1,s2,…,s2k)∈{0,1}^2k，k为奇数，同时s的汉明权重hw(s)＝k。协议执行l轮如图2所示的基本认证过程。

1)reader生成一个随机向量ai＝(ai1,ai2,…,ai2k)∈{0,1}^2k发送给tag，同时要求hw(ai)＝k；

2)tag收到向量ai后，计算∑ais＝ai1s1+ai2s2+…+ai2ks2k，若则e＝1，否则令e＝0，随后计算并发送给reader；

3)reader根据收到的zi计算并与其自身计算的e比较，若相等则此轮认证通过，否则认定标签非法终止认证。

下面我们证明变量e的概率分布满足：pr(e＝1)＝pr(e＝0)＝0.5。当ai∈{0,1}^2k，hw(ai)＝k时，则存在以下概率分布：

……

……

当有

当有

2、抗主动攻击超轻量级rfid认证协议：

与hb协议一样，上述认证协议无法抵御主动攻击。基于hb+协议的设计框架，经过引入共享密钥t＝(t1,t2,…,t2k)∈{0,1}^2k，k为奇数，同时hw(t)＝k，我们提出了抗主动攻击的超轻量级rfid认证协议。该协议执行l轮如图3所示的基本认证过程：

1)reader产生随机向量ai∈{0,1}^2k发送给tag，同时保证hw(ai)＝k；

2)tag收到ai，计算∑ais，若则e1＝1，否则令e1＝0。同时tag也产生随机向量bi∈{0,1}^2k，并计算∑bit，若则e2＝1，否则令e2＝0。同e一样，e1与e2满足等概分布。最后计算将bi，zi发送给reader；

3)reader根据收到的bi和zi，计算并与自身计算的比较，两者相等则通过此轮认证，若不相等则终止整个认证。

本发明就是基于标签和阅读器间通信信道的特性所设计的能够保证通信安全的超轻量级认证协议，能够满足以下特性：

1)安全性：保障标签-阅读器间通信的安全，抵御非法用户的入侵和攻击，避免泄漏关键信息；

2)有效性：采用合理的认证方式，使其适用于标签存储空间小、计算能力弱的特点；

3)隐私保护：保护关键信息，避免泄漏。

本发明在满足运算简单、认证效率高、抵御非法攻击等要求的同时，弥补了hb和hb+协议的缺点。抗被动攻击的新协议中，标签不需要调用随机数生成函数，运算效率更高，且两个协议均能够保证合法用户100％通过认证。因为e、e1和e2等概分布，非法用户猜对e、e1、e2的概率为50％，被动攻击者正确猜测zi的值的概率是0.5。主动攻击者虽能通过修改ai的值对e1操控，但不能修改bi的值，无法操控e2。故当一轮认证过程循环执行l次，非法用户能正确通过认证的概率为(0.5)^l，则认证轮数可以选择60，远小于hb类认证协议推荐的轮数要求。且在协议执行过程中，只要有一轮未通过认证，即可终止协议认证，相比于hb和hb+协议将大大减少通信量，这也可以避免主动攻击者发起的一系列恶意消耗设备资源的攻击。

以上详细描述了本发明的优选实施方式，但是本发明并不限于上述实施方式中的具体细节，在本发明的技术构思范围内，可以对本发明的技术方案进行多种等同变换(如数量、形状、位置等)，这些等同变换均属于本发明的保护。