射頻識別認證方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明實施例涉及射頻識別技術(shù)領(lǐng)域���,尤其涉及一種射頻識別認證方法和系統(tǒng)�����。
【背景技術(shù)】
[0002]RFID(射頻識別)技術(shù)利用無線射頻信號實現(xiàn)目標對象的非接觸自動識別��,逐漸推廣應(yīng)用于身份識別���、安全防偽�����、交通物流�、資產(chǎn)管理等領(lǐng)域��。作為一項新興的無線識別技術(shù)�,RFID技術(shù)作為物聯(lián)網(wǎng)系統(tǒng)的典型無線傳感技術(shù),可以實現(xiàn)全球范圍內(nèi)物品感知和信息共享��,具有廣泛的市場應(yīng)用前景��。然而����,由于RFID系統(tǒng)自身硬件系統(tǒng)的局限性和通信鏈路的特殊性,標簽和讀寫器之間的空中接口面臨著嚴峻的安全威脅和隱私問題,使得RFID系統(tǒng)安全成為一項重要的研究課題��。
[0003]由于RFID系統(tǒng)中標簽和讀寫器之間的通信信道是無線信道�,并且標簽和讀寫器的計算能力有限,導致標簽和讀寫器之間進行相互認證時����,它們之間的交互面臨著嚴峻的安全威脅。
【發(fā)明內(nèi)容】
[0004]針對上述技術(shù)問題�����,本發(fā)明實施例提供了一種射頻識別認證方法和系統(tǒng)����,以增強射頻識別認證過程的安全性。
[0005]第一方面��,本發(fā)明實施例提供了一種射頻識別認證方法���,所述方法包括:
[0006]射頻識別讀寫器生成讀寫器端偽隨機數(shù)����,并將包含所述讀寫器端偽隨機數(shù)的請求消息發(fā)送給射頻識別標簽���;
[0007]接收到所述請求消息之后�,所述射頻識別標簽生成標簽端偽隨機數(shù)�����,根據(jù)所述標簽端偽隨機數(shù)中的至少一個標簽端標識位從標簽端預(yù)共享密值集合及標簽端密鑰集合中分別選擇標簽端預(yù)共享密值及標簽端密鑰�����,根據(jù)所述標簽端預(yù)共享密值及所述標簽端密鑰計算標簽端消息認證碼���,并將包含所述標簽端偽隨機數(shù)和所述標簽端消息認證碼的應(yīng)答消息發(fā)送給所述射頻識別讀寫器��;
[0008]接收到所述應(yīng)答消息之后��,所述射頻識別讀寫器對所述讀寫器端偽隨機數(shù)和所述標簽端偽隨機數(shù)進行處理����,根據(jù)處理結(jié)果中的至少一個讀寫器端標識位從讀寫器端預(yù)共享密值集合及讀寫器端密鑰集合中分別選擇讀寫器端預(yù)共享密值及讀寫器端密鑰���,根據(jù)所述讀寫器端預(yù)共享密值及所述讀寫器端密鑰計算讀寫器端消息認證碼����,并將包含所述標簽端偽隨機數(shù)、所述讀寫器端偽隨機數(shù)����、所述標簽端消息認證碼以及所述讀寫器端消息認證碼的驗證消息發(fā)送給后臺數(shù)據(jù)庫;
[0009]所述后臺數(shù)據(jù)庫根據(jù)基于散列函數(shù)的消息認證碼算法對所述射頻識別讀寫器及所述射頻識別標簽進行身份驗證���;
[0010]如果對所述射頻識別讀寫器及所述射頻識別標簽的身份驗證成功�,所述后臺數(shù)據(jù)庫分別提取所述射頻識別讀寫器的偽身份標識符及所述射頻識別標簽的偽身份標識符����,根據(jù)所述射頻識別讀寫器的偽身份標識符及所述射頻識別標簽的偽身份標識符生成所述后臺數(shù)據(jù)庫的消息認證碼,并將所述后臺數(shù)據(jù)庫的消息認證碼發(fā)送給所述射頻識別讀寫器���;
[0011]所述射頻識別讀寫器接收到所述后臺數(shù)據(jù)庫的消息認證碼之后��,提取所述射頻識別讀寫器的偽身份標識符�,利用單向散列函數(shù)計算所述后臺數(shù)據(jù)庫的二次消息認證碼��,并將所述后臺數(shù)據(jù)庫的二次消息認證碼發(fā)送給所述射頻識別標簽���;
[0012]所述射頻識別標簽接收到所述二次消息認證碼之后����,提取所述射頻識別標簽的偽身份標識符���,利用單向散列函數(shù)對所述射頻識別標簽的偽身份標識符進行計算���,將計算的結(jié)果與所述二次消息認證碼進行比較,并根據(jù)比較結(jié)果對所述射頻識別讀寫器進行身份驗證��。
[0013]第二方面�,本發(fā)明實施例還提供了一種射頻識別認證系統(tǒng),所述系統(tǒng)包括:
[0014]射頻識別標簽�����,用于接收到請求消息之后�,生成標簽端偽隨機數(shù),根據(jù)所述標簽端偽隨機數(shù)中的至少一個標簽端標識位從標簽端預(yù)共享密值集合及標簽端密鑰集合中分別選擇標簽端預(yù)共享密值及標簽端密鑰��,根據(jù)所述標簽端預(yù)共享密值及所述標簽端密鑰計算標簽端消息認證碼��,并將包含所述標簽端偽隨機數(shù)和所述標簽端消息認證碼的應(yīng)答消息發(fā)送給射頻識別讀寫器��,以及接收到所述二次消息認證碼之后���,提取所述射頻識別標簽的偽身份標識符���,利用單向散列函數(shù)對所述射頻識別標簽的偽身份標識符進行計算�,將計算的結(jié)果與所述二次為身份驗證標識進行比較����,并根據(jù)比較結(jié)果對所述射頻識別讀寫器進行身份驗證;
[0015]射頻識別讀寫器��,用于生成讀寫器端偽隨機數(shù)���,將包含所述讀寫器端偽隨機數(shù)的請求消息發(fā)送給射頻識別標簽��,在接收到所述應(yīng)答消息之后���,對所述讀寫器端偽隨機數(shù)和所述標簽端偽隨機數(shù)進行處理,根據(jù)處理結(jié)果中的至少一個讀寫器端標識位從讀寫器端預(yù)共享密值集合及讀寫器端密鑰集合中分別選擇讀寫器端預(yù)共享密值及讀寫器端密鑰���,根據(jù)所述讀寫器端預(yù)共享密值及所述讀寫器端密鑰計算讀寫器端消息認證碼�����,并將包含所述標簽端偽隨機數(shù)�、所述讀寫器端偽隨機數(shù)、所述標簽端消息認證碼以及所述讀寫器端消息認證碼的驗證消息發(fā)送給后臺數(shù)據(jù)庫�,以及接收到所述后臺數(shù)據(jù)庫的消息認證碼之后,提取所述射頻識別讀寫器的偽身份標識符���,利用單向散列函數(shù)計算所述后臺數(shù)據(jù)庫的二次消息認證碼�,并將所述后臺數(shù)據(jù)庫的二次消息認證碼發(fā)送給所述射頻識別標簽����;
[0016]后臺數(shù)據(jù)庫����,用于根據(jù)基于散列函數(shù)的消息認證碼算法對所述射頻識別讀寫器及所述射頻識別標簽進行身份驗證,若對所述射頻識別讀寫器及所述射頻識別標簽的身份驗證成功�����,分別提取所述射頻識別讀寫器的偽身份標識符及所述射頻識別標簽的偽身份標識符�����,根據(jù)所述射頻識別讀寫器的偽身份標識符及所述射頻識別標簽的偽身份標識符生成所述后臺數(shù)據(jù)庫的消息認證碼�����,并將所述后臺數(shù)據(jù)庫的消息認證碼發(fā)送給所述射頻識別讀寫器���。
[0017]本發(fā)明實施例提供的射頻識別認證方法和系統(tǒng)通過根據(jù)隨機生成的偽隨機數(shù)中的標識位的具體取值從共享密值集合以及密鑰集合中選擇共享密值以及密鑰�����,并根據(jù)選擇的共享密值及密鑰進行射頻識別標簽與射頻識別讀寫器之間的通信�����,使得重放攻擊����、假冒攻擊等攻擊的攻擊者難以入侵上述認證過程,從而提高了認證過程的安全性�����。
【附圖說明】
[0018]圖1是本發(fā)明第一實施例提供的射頻識別認證方法的流程圖��;
[0019]圖2是本發(fā)明第二實施例提供的射頻識別認證方法的交互流程圖��;
[0020]圖3是本發(fā)明第三實施例提供的射頻識別認證系統(tǒng)的結(jié)構(gòu)圖���。
【具體實施方式】
[0021]下面結(jié)合附圖和實施例對本發(fā)明作進一步的詳細說明����。可以理解的是�,此處所描述的具體實施例僅僅用于解釋本發(fā)明,而非對本發(fā)明的限定��。另外還需要說明的是�����,為了便于描述��,附圖中僅示出了與本發(fā)明相關(guān)的部分而非全部結(jié)構(gòu)���。
[0022]第一實施例
[0023]本實施例提供了射頻識別認證方法的一種技術(shù)方案。所述射頻識別認證方法可以由射頻識別系統(tǒng)實施����。所述射頻識別系統(tǒng)包括:射頻識別標簽、射頻識別讀寫器以及后臺數(shù)據(jù)庫��。所述射頻識別讀寫器與所述射頻識別標簽�、后臺數(shù)據(jù)庫分別連接,并且所述射頻識別標簽與所述后臺數(shù)據(jù)庫之間不具有通信連接��。在上述的兩個通信連接中,所述射頻識別標簽與所述射頻識別讀寫器之間的連接是使用射頻識別技術(shù)的無線連接�����,因此該通信連接容易受到攻擊����;而所述射頻識別讀寫器與所述后臺數(shù)據(jù)庫之間的連接是有線的通信連接,攻擊者很難接入�����,所以可以認為所述射頻識別讀寫器與所述后臺數(shù)據(jù)庫之間的連接是安全的通信連接����。
[0024]參見圖1,所述射頻識別認證方法包括:
[0025]S11�����,射頻識別讀寫器生成讀寫器端偽隨機數(shù)�,并將包含所述讀寫器端偽隨機數(shù)的請求消息發(fā)送給射頻識別標簽。
[0026]在運行本實施例提供的射頻識別認證方法之前�����,執(zhí)行所述射頻識別認證方法的射頻識別系統(tǒng)需要首先進行初始化。在初始化的過程中�,每個射頻識別標簽擁有自身的偽身份標識符PIDt、標簽端預(yù)共享密值集合以及標簽端密鑰集合�。相應(yīng)的,每個射頻識別讀寫器擁有自身的偽身份標識符PIDr�、讀寫器端預(yù)共享密值集合以及讀寫器端密鑰集合。在所述后臺數(shù)據(jù)庫中����,存儲有每個射頻識別標簽的偽身份標識符、可能的標簽端預(yù)共享密值及可能的標簽端密鑰��,還存儲有每個射頻識別讀寫器的偽身份標識符�����、可能的讀寫器端預(yù)共享密值及可能的讀寫器端密鑰����。
[0027]完成了射頻識別系統(tǒng)的初始化����,在認證過程開始之后,射頻識別讀寫器首先生成一個讀寫器端偽隨機數(shù)rR����,并且將包含這個讀寫器端偽隨機數(shù)rR的請求消息發(fā)送給射頻識別標簽�����。
[0028]S12��,接收到所述請求消息之后��,所述射頻識別標簽生成標簽端偽隨機數(shù)�����,根據(jù)所述標簽端偽隨機數(shù)中的至少一個標簽端標識位從標簽端預(yù)共享密值集合及標簽端密鑰集合中分別選擇標簽端預(yù)共享密值及標簽端密鑰���,根據(jù)所述標簽端預(yù)共享密值及所述標簽端密鑰計算標簽端消息認證碼,并將包含所述標簽端偽隨機數(shù)和所述標簽端消息認證碼的應(yīng)答消息發(fā)送給所述射頻識別讀寫器����。
[0029]所述射頻識別標簽接收到包含所述讀寫器端偽隨機數(shù)^的請求消息之后,生成標簽端偽隨機數(shù)rT���。然后���,所述射頻識別標簽根據(jù)所述標簽端偽隨機數(shù)中的至少一個標簽端標識位從標簽端預(yù)共享密值集合中選擇標簽端共享密值���,并根據(jù)所述標簽端標識位從標簽端密鑰集合中選擇標簽端密鑰。比如����,規(guī)定所述標簽端標識位是所述標簽端偽隨機數(shù)中的最低一位,而所述標簽端預(yù)共享密值集合包括標簽端預(yù)共享密值Sw及S Τ10那么�,可以當所述標簽端標識位,也就是所述標簽端偽隨機數(shù)中的最低一位的取值是O的時候選擇St�。作為標簽端預(yù)共享密值,而當所述標簽端標識位�,也就是所述標簽端偽隨機數(shù)的最低一位的取值是I的時候選擇Sn作為標簽端預(yù)共享密值。
[0030]由于標簽端預(yù)共享密值及標簽端密鑰是根據(jù)偽隨機數(shù)的中的至少一位的取值從標簽端預(yù)共享密值集合及標簽端密鑰集合中隨機選取的���,因此�,難以準確的偽造上述兩個參數(shù)���,為重放攻擊、仿冒攻擊設(shè)置了障礙�,提高了身份驗證過程的安全性。
[0031]可以理解的是��,如果所述標簽端標識位共有η個二進制位�����,則所述標簽端預(yù)共享密值集合可以容納2。個標簽端預(yù)共享密值��,同樣�,所述標簽端密