一种抗异步攻击的超轻量级无线射频识别认证方法.pdf

摘要
申请专利号：	CN201310654793.4	申请日：	2013.12.06
公开号：	CN103699863A	公开日：	2014.04.02
当前法律状态：	授权	有效性：	有权
法律详情：	授权\|\|\|实质审查的生效IPC(主分类):G06K 7/00申请日:20131206\|\|\|公开
IPC分类号：	G06K7/00	主分类号：	G06K7/00
申请人：	广东工业大学; 广州江南科友科技股份有限公司
发明人：	凌捷; 沈金伟; 邓小丹; 叶盛元
地址：	510090 广东省广州市越秀区东风东路729号
优先权：
专利代理机构：	广州嘉权专利商标事务所有限公司 44205	代理人：	谭英强
PDF下载：	PDF下载

内容摘要

本发明公开了一种抗异步攻击的超轻量级无线射频识别认证方法，标签中增设了会话密钥Nt作为标志位，该标志位与上次认证过程中阅读器产生的随机数相关，并保持动态刷新，使攻击者重放的消息失效，能够有效解决抵抗异步攻击的问题；采用了双向认证方法来实现身份的认证，且引入超轻量级的非线性函数NLMC(x,y)来加密通信中的消息，提高了无线射频识别系统在开放环境中通信的保密性，更加安全。本发明可广泛应用于无线射频识别领域。

权利要求书

权利要求书
1.  一种抗异步攻击的超轻量级无线射频识别认证方法，其特征在于：包括：
S1、阅读器的随机数发生器产生随机数N1，然后向选中的标签发送消息Query||N1；
S2、标签计算出A=（IDS∨K2）+Nt的值，并经过NLMC（x,y）非线性函数运算、ROT（x,y）函数运算与异或运算后得到B=(K1⊕K2*)+(K1*⊕K2)的值，然后经过阅读器将消息IDS||A||B||N1转发给后台服务器；所述K1*=ROT(K1⊕Nm,K1)，K2*=ROT(K2⊕Nm,K2)，Nm=NLMC(Nt,N1)；其中，IDS表示标签的假名，Nt表示无线射频识别系统通信过程中的会话密钥，K1、K2均表示消息的加密密钥，“∨”表示逻辑加法运算，“⊕”表示异或运算；
S3、后台服务器检查其存储的IDS数据中是否存储有能与消息IDS||A||B||N1中的IDS数据相匹配的数据；若否，表示阅读器认证标签失败，终止协议，流程结束；否则，则执行步骤S4；
S4、后台服务器从消息IDS||A||B||N1中提取出Nt＇=A-（IDS∨K2），并用与IDS数据相对应的K1、K2计算B＇=(K1⊕K2*)+(K1*⊕K2)；然后判断B＇是否等于B，若否，表示阅读器认证标签失败，终止协议，流程结束；否则，则执行步骤S5；
S5、阅读器生成随机数N2，对后台服务器的标签假名IDS、密匙K1、密匙K2和会话密钥Nt进行更新，并经过NLMC（x,y）非线性函数运算、ROT（x,y）函数运算与异或运算后得到发送给标签的数据C和D；
S6、标签从接收的数据中提取出数据N2＇，并经过NLMC（x,y）非线性函数运算、ROT（x,y）函数运算与异或运算后得到数据D＇，然后根据数据D与数据D＇是否相等来判断标签对阅读器是否验证成功。

2.  根据权利要求1所述的一种抗异步攻击的超轻量级无线射频识别认证方法，其特征在于：所述步骤S5，其包括：
S51、阅读器生成随机数N2，并将阅读器当前的标签假名IDS、密匙K1、密匙K2作为旧标签假名IDS、旧密匙K1、旧密匙K2存储至后台服务器；
S52、阅读器对数据N1、N2、IDS、K1、K2进行计算，从而得到新标签假名IDSnew、新密匙K1new、新密匙K2new和新会话密钥Ntnew，并将IDSnew、K1new、K2new和Ntnew存储至后台服务器；
S53、阅读器对经过NLMC（x,y）非线性函数运算、ROT（x,y）函数运算与异或运算，从而得到发送给标签的数据C和D。

3.  根据权利要求2所述的一种抗异步攻击的超轻量级无线射频识别认证方法，其特征在于：所述的新标签假名IDSnew、新密匙K1new、新密匙K2new和新会话密钥Ntnew的计算公式如下：

其中，ID表示标签的身份标示符。

4.  根据权利要求3所述的一种抗异步攻击的超轻量级无线射频识别认证方法，其特征在于：在所述步骤C53中，所述数据C的计算公式为：C=ROT（K1⊕K2,Nm＇）⊕N2；所述数据D的计算公式为：D=（K2*+Nx）⊕（（K1⊕K2）∨K1*）。

5.  根据权利要求4所述的一种抗异步攻击的超轻量级无线射频识别认证方法，其特征在于：所述步骤S6，其包括：
S61、标签从接收的数据中提取出数据N2＇,所述数据N2＇的计算公式为：
N2＇=C⊕ROT(K1⊕K2,Nm＇)；
S62、根据提取出的N2＇对数据D＇进行计算，所述数据D＇的计算公式为：
D＇=(K2*+Nx＇)⊕((K1⊕K2)∨K1*),其中，Nx＇=NLMC（N2＇,Nt＇）；
S63、判断数据D与数据D＇是否相等，若相等，则对标签的IDS数据、密匙K1、密匙K2和数据Nt进行更新,从而得到更新后的IDS数据IDSnew、密匙K1new、密匙K2new和数据Ntnew；其中，IDSnew=（IDS+ID）⊕（Nm＇+K1*）,K1new=K1*，K2new=K2*，Ntnew= Nx＇。

6.  根据权利要求5所述的一种抗异步攻击的超轻量级无线射频识别认证方法，其特征在于：所述步骤S52中将IDSnew、K1new、K2new和Ntnew存储至后台服务器这一步骤，其具体为：
判断计算出的IDSnew是否与后台服务器存储的任一IDS数据相同，若是，则重新生成随机数N2并计算出对应的IDSnew、K1new、K2new和Ntnew；反之，则将IDSnew、K1new、K2new和Ntnew存储至后台服务器。

说明书

说明书一种抗异步攻击的超轻量级无线射频识别认证方法
技术领域
本发明涉及无线射频识别领域，尤其是一种抗异步攻击的超轻量级无线射频识别认证方法。
背景技术
现有技术中，无线射频识别(RFID，Radio Frequency Identification) 是众多自动识别技术的一种，其基本原理是利用射频信号和空间耦合(电感或电磁耦合)传输特性，实现对被识别物体的自动识别。基于RFID众多的优点，RFID已经得到十分广泛的应用并且受到越来越多的关注。
现有的基于异或运算的超轻量级无线射频识别认证方法对硬件的要求低，其标签不具有产生伪随机数的能力，但这种认证方法的缺陷是，当攻击者窃听并重放消息时，服务器端难以验证该消息的合法性，从而使非法标签认证通过，造成服务器端和标签端的数据更新不同步，导致异步攻击的问题。
发明内容
为了解决上述技术问题，本发明的目的是：提供一种安全性高和抗异步攻击的超轻量级无线射频识别认证方法。
本发明解决其技术问题所采用的技术方案是：一种抗异步攻击的超轻量级无线射频识别认证方法，包括：
S1、阅读器的随机数发生器产生随机数N1，然后向选中的标签发送消息Query||N1；
S2、标签计算出A=（IDS∨K2）+Nt的值，并经过NLMC（x,y）非线性函数运算、ROT（x,y）函数运算与异或运算后得到B=(K1⊕K2*)+(K1*⊕K2)的值，然后经过阅读器将消息IDS||A||B||N1转发给后台服务器；所述K1*=ROT(K1⊕Nm,K1)，K2*=ROT(K2⊕Nm,K2)，Nm=NLMC(Nt,N1)；其中，IDS表示标签的假名，Nt表示无线射频识别系统通信过程中的会话密钥，K1、K2均表示消息的加密密钥，“∨”表示逻辑加法运算，“⊕”表示异或运算；
S3、后台服务器检查其存储的IDS数据中是否存储有能与消息IDS||A||B||N1中的IDS数据相匹配的数据；若否，表示阅读器认证标签失败，终止协议，流程结束；否则，则执行步骤S4；
S4、后台服务器从消息IDS||A||B||N1中提取出Nt＇=A-（IDS∨K2），并用与IDS数据相对应的K1、K2计算B＇=(K1⊕K2*)+(K1*⊕K2)；然后判断B＇是否等于B，若否，表示阅读器认证标签失败，终止协议，流程结束；否则，则执行步骤S5；
S5、阅读器生成随机数N2，对后台服务器的标签假名IDS、密匙K1、密匙K2和会话密钥Nt进行更新，并经过NLMC（x,y）非线性函数运算、ROT（x,y）函数运算与异或运算后得到发送给标签的数据C和D；
S6、标签从接收的数据中提取出数据N2＇，并经过NLMC（x,y）非线性函数运算、ROT（x,y）函数运算与异或运算后得到数据D＇，然后根据数据D与数据D＇是否相等来判断标签对阅读器是否验证成功。
进一步，所述步骤S5，其包括：
S51、阅读器生成随机数N2，并将阅读器当前的标签假名IDS、密匙K1、密匙K2作为旧标签假名IDS、旧密匙K1、旧密匙K2存储至后台服务器；
S52、阅读器对数据N1、N2、IDS、K1、K2进行计算，从而得到新标签假名IDSnew、新密匙K1new、新密匙K2new和新会话密钥Ntnew，并将IDSnew、K1new、K2new和Ntnew存储至后台服务器；
S53、阅读器对经过NLMC（x,y）非线性函数运算、ROT（x,y）函数运算与异或运算，从而得到发送给标签的数据C和D。
进一步，所述的新标签假名IDSnew、新密匙K1new、新密匙K2new和新会话密钥Ntnew的计算公式如下：

其中，ID表示标签的身份标示符。
进一步，在所述步骤C53中，所述数据C的计算公式为：C=ROT（K1⊕K2,Nm＇）⊕N2；所述数据D的计算公式为：D=（K2*+Nx）⊕（（K1⊕K2）∨K1*）。
进一步，所述步骤S6，其包括：
S61、标签从接收的数据中提取出数据N2＇,所述数据N2＇的计算公式为：
N2＇=C⊕ROT(K1⊕K2,Nm＇)；
S62、根据提取出的N2＇对数据D＇进行计算，所述数据D＇的计算公式为：
D＇=(K2*+Nx＇)⊕((K1⊕K2)∨K1*),其中，Nx＇=NLMC（N2＇,Nt＇）；
S63、判断数据D与数据D＇是否相等，若相等，则对标签的IDS数据、密匙K1、密匙K2和数据Nt进行更新,从而得到更新后的IDS数据IDSnew、密匙K1new、密匙K2new和数据Ntnew；其中，IDSnew=（IDS+ID）⊕（Nm＇+K1*）,K1new=K1*，K2new=K2*，Ntnew= Nx＇。
进一步，所述步骤S52中将IDSnew、K1new、K2new和Ntnew存储至后台服务器这一步骤，其具体为：
判断计算出的IDSnew是否与后台服务器存储的任一IDS数据相同，若是，则重新生成随机数N2并计算出对应的IDSnew、K1new、K2new和Ntnew；反之，则将IDSnew、K1new、K2new和Ntnew存储至后台服务器。
本发明的有益效果是：在标签中增设了会话密钥Nt作为标志位，该标志位与上次认证过程中阅读器产生的随机数相关，并保持动态刷新，使攻击者重放的消息失效，能够有效解决抵抗异步攻击的问题；采用了双向认证方法来实现身份的认证，且引入超轻量级的非线性函数NLMC(x,y)来加密通信中的消息，提高了无线射频识别系统在开放环境中通信的保密性，更加安全。
附图说明
下面结合附图和实施例对本发明作进一步说明。
图1为本发明一种抗异步攻击的超轻量级无线射频识别认证方法的步骤流程图；
图2为非线性函数NLMC(x,y)的具体运算流程图；
图3为本发明无线射频识别认证过程的示意图。
具体实施方式
参照图1，一种抗异步攻击的超轻量级无线射频识别认证方法，包括：
S1、阅读器的随机数发生器产生随机数N1，然后向选中的标签发送消息Query||N1；
S2、标签计算出A=（IDS∨K2）+Nt的值，并经过NLMC（x,y）非线性函数运算、ROT（x,y）函数运算与异或运算后得到B=(K1⊕K2*)+(K1*⊕K2)的值，然后经过阅读器将消息IDS||A||B||N1转发给后台服务器；所述K1*=ROT(K1⊕Nm,K1)，K2*=ROT(K2⊕Nm,K2)，Nm=NLMC(Nt,N1)；其中，IDS表示标签的假名，Nt表示无线射频识别系统通信过程中的会话密钥，K1、K2均表示消息的加密密钥，“∨”表示逻辑加法运算，“⊕”表示异或运算；
S3、后台服务器检查其存储的IDS数据中是否存储有能与消息IDS||A||B||N1中的IDS数据相匹配的数据；若否，表示阅读器认证标签失败，终止协议，流程结束；否则，则执行步骤S4；
S4、后台服务器从消息IDS||A||B||N1中提取出Nt＇=A-（IDS∨K2），并用与IDS数据相对应的K1、K2计算B＇=(K1⊕K2*)+(K1*⊕K2)；然后判断B＇是否等于B，若否，表示阅读器认证标签失败，终止协议，流程结束；否则，则执行步骤S5；
S5、阅读器生成随机数N2，对后台服务器的标签假名IDS、密匙K1、密匙K2和会话密钥Nt进行更新，并经过NLMC（x,y）非线性函数运算、ROT（x,y）函数运算与异或运算后得到发送给标签的数据C和D；
S6、标签从接收的数据中提取出数据N2＇，并经过NLMC（x,y）非线性函数运算、ROT（x,y）函数运算与异或运算后得到数据D＇，然后根据数据D与数据D＇是否相等来判断标签对阅读器是否验证成功。
其中，非线性函数NLMC(x,y)是使用遗传编程思想，通过引入超轻操作数组件,从而获得的高度非线性函数。在标签上实现NLMC(x,y)函数，硬件上只要求标签具有右位移操作的能力，该函数具有超轻量级的性质，其具体操作如图2所示。ROT（x,y）函数是左旋函数，用于将x的值左旋y位。Nt＇是后台服务器端的会话密钥，若通信正确则与Nt一致。B＇的计算过程及所采用的公式与B的一致，区别仅在于Nt换成了Nt＇。N2＇是标签端提取的随机数，若通信正确则与阅读器端的N2一致。D＇的计算过程及所采用的公式与D的一致，区别仅在于N2换成了N2＇。
进一步作为优选的实施方式，所述步骤S5，其包括：
S51、阅读器生成随机数N2，并将阅读器当前的标签假名IDS、密匙K1、密匙K2作为旧标签假名IDS、旧密匙K1、旧密匙K2存储至后台服务器；
S52、阅读器对数据N1、N2、IDS、K1、K2进行计算，从而得到新标签假名IDSnew、新密匙K1new、新密匙K2new和新会话密钥Ntnew，并将IDSnew、K1new、K2new和Ntnew存储至后台服务器；
S53、阅读器对经过NLMC（x,y）非线性函数运算、ROT（x,y）函数运算与异或运算，从而得到发送给标签的数据C和D。
进一步作为优选的实施方式，所述的新标签假名IDSnew、新密匙K1new、新密匙K2new和新会话密钥Ntnew的计算公式如下：

其中，ID表示标签的身份标示符。
进一步作为优选的实施方式，在所述步骤C53中，所述数据C的计算公式为：C=ROT（K1⊕K2,Nm＇）⊕N2；所述数据D的计算公式为：D=（K2*+Nx）⊕（（K1⊕K2）∨K1*）。
进一步作为优选的实施方式，所述步骤S6，其包括：
S61、标签从接收的数据中提取出数据N2＇,所述数据N2＇的计算公式为：
N2＇=C⊕ROT(K1⊕K2,Nm＇)；
S62、根据提取出的N2＇对数据D＇进行计算，所述数据D＇的计算公式为：
D＇=(K2*+Nx＇)⊕((K1⊕K2)∨K1*),其中，Nx＇=NLMC（N2＇,Nt＇）；
S63、判断数据D与数据D＇是否相等，若相等，则对标签的IDS数据、密匙K1、密匙K2和数据Nt进行更新,从而得到更新后的IDS数据IDSnew、密匙K1new、密匙K2new和数据Ntnew；其中，IDSnew=（IDS+ID）⊕（Nm＇+K1*）,K1new=K1*，K2new=K2*，Ntnew= Nx＇。
进一步作为优选的实施方式，所述步骤S52中将IDSnew、K1new、K2new和Ntnew存储至后台服务器这一步骤，其具体为：
判断计算出的IDSnew是否与后台服务器存储的任一IDS数据相同，若是，则重新生成随机数N2并计算出对应的IDSnew、K1new、K2new和Ntnew；反之，则将IDSnew、K1new、K2new和Ntnew存储至后台服务器。
下面结合说明书附图和具体的实施例对本发明作进一步详细说明。
参照图3，本发明的第一实施例：
本发明一种抗异步攻击的超轻量级无线射频识别认证方法，用于无线射频识别系统中标签和阅读器之间进行无线通信时的安全认证。本发明的无线射频识别系统包括标签、阅读器和后台服务器。其中标签选用无源可读写式标签，标签的内部EEPROM存储数据，它的内部门电路不需产生伪随机数，只需要满足位运算(异或运算、移位运算等)操作，且能实现NLMC(x,y)函数操作的功能即可。
本发明主要包括认证初始化阶段、双向认证阶段、标签假名与密钥更新阶段这三个阶段。
认证初始化阶段，具体如下：
在每个标签中载入五元组(ID,IDS,K1,K2,Nt)，其中ID表示标签的身份标示符；IDS表示标签的假名，初始值为96bit的二进制数，其值为Hash(ID)；标签的ID是唯一的，因此，经过哈希运算之后，可以得到唯一的的IDS；K1、K2表示消息的加密密钥，其初始值为96bit的二进制随机数；Nt表示无线射频识别系统通信过程中的会话密钥，设置其初始值为96bit二进制数，其值为经过函数NLMC(N1，N2)运算后的结果,其中N1,N2为阅读器伪随机数发生器产生的随机数。
在后台服务器中保留一个七元组(ID,IDSnew,IDSold,K1new,K1old,K2new,K2old)。其中ID表示标签的身份标示符；(IDSnew,K1new，K2new)分别表示标签本次认证的假名、标签本次认证的K1、K2密钥，它们都是96bit的二进制数，初始值等于标签IDS、标签密钥K1、K2的初始值；(IDSold,K1old,K2old)分别表示上次认证过程中标签的假名IDS、上次认证过程中标签的密钥K1、K2，它们的初始值和标签的(IDS、K1、K2)初始值相同，都是96bit的二进制数。
参照图3，无线射频识别系统的认证过程的具体执行过程如下：
a、阅读器中的随机数发生器产生随机数N1；然后向选中的标签发送消息(Query||N1)。
b、标签收到阅读器发送过来的数据N1和通信请求之后，按照公式计算A=(IDS∨K2)+Nt、Nm=NLMC(Nt,N1)、K1*=ROT(K1⊕Nm,K1)、K2*=ROT(K2⊕Nm,K2)、B=(K1⊕K2*)+(K1*⊕K1)；然后将消息(IDS||A||B)发送给阅读器，阅读器再将消息(IDS||A||B||N1)转发给后台服务器；其中NLMC(x,y)表示函数作用于括号中的参数。
c、服务器收到消息后，首先查找后台中的IDSnew和IDSold记录,验证这两个数据能否与收到消息IDS||A||B中的IDS匹配；如果匹配成功，就从消息中提取出Nt=A－IDS∨K2,然后按照标签中的计算公式，用与IDS对应的K1、K2计算B′=(K1⊕K2*)+(K1*⊕K2)，用来验证B′=B是否成立；如果等式成立，则阅读器验证标签成功，并转到步骤d；否则认证失败，结束当前会话。服务器与阅读器成功认证标签之后，生成随机数N2，计算Nx=NLMC(Nm,N2)、C=ROT(K1⊕K2,Nm)⊕N2、D=(K2*+Nx)⊕((K1⊕K2)∨K1*)；然后更新数据K1new=K1*、K1old=K1、K2new=K2*、K2old=K2、IDSold=IDS、IDSnew=(IDS+ID)⊕(Nm+K1*)，将消息C||D发送给标签。
d、标签收到消息C||D之后，首先从消息中提取N2=C⊕ROT(K1⊕K2,Nm)；然后用与后台服务器相同的公式计算D′，验证等式D′=D是否成立，其中D′=(K2*+Nx)⊕((K1⊕K2)∨=K1*)；如果等式成立，则更新数据IDS=(IDS+ID)⊕(Nm+=K1*)，K1==K1*、K2==K2*、Nt=Nx。
本发明通过步骤a至d的操作，实现了标签和阅读器的双向认证，而验证成功的标签和阅读器即可进行后续通信。
与现有技术相比，本发明具有以下优点：
（1）硬件方面
a.低运算成本：标签只需要满足位运算、包括逻辑运算、异或运算、移位运算等操作；
b.低通信成本：协议只需3个轮回的通信量（参照图3）,且交换的信息量少；
c.标签上的硬件开销小：标签不需要具有伪随机数发生器的功能，所需门电路数量大大减少；
d.标签上的运算量少：标签只需要完成16次逻辑运算操作、3次ROT(x,y)函数操作、2次NLMC(x,y)函数操作就可以实现RFID标签和RFID阅读器之间的身份认证。
(2)本发明在标签中设置了数据Nt，该数据与上次认证过程中的阅读器产生的随机数相关，并保持动态刷新，这样就相当于标签也具有了产生随机数的能力，但是又不需要增加额外的硬件，能够有效解决标签和后端数据库数据同步问题。
(3)本发明通过双向认证来实现的无线射频识别系统身份认证，提高了无线射频识别系统在开放环境中通信的保密性，能抵抗异步攻击、中间人攻击、重放攻击、拒绝服务攻击等无线射频识别系统常见的攻击方式。
(4)本发明具有算法新颖简单、响应速度快、所需资源少、易于实现的优点，适用于解决低成本RFID标签的安全问题。
以上是对本发明的较佳实施进行了具体说明，但本发明创造并不限于所述实施例，熟悉本领域的技术人员在不违背本发明精神的前提下还可做作出种种的等同变形或替换，这些等同的变形或替换均包含在本申请权利要求所限定的范围内。

资源描述

《一种抗异步攻击的超轻量级无线射频识别认证方法.pdf》由会员分享，可在线阅读，更多相关《一种抗异步攻击的超轻量级无线射频识别认证方法.pdf（12页珍藏版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 103699863 A (43)申请公布日 2014.04.02 CN 103699863 A (21)申请号 201310654793.4 (22)申请日 2013.12.06 G06K 7/00(2006.01) (71)申请人广东工业大学地址 510090 广东省广州市越秀区东风东路 729 号申请人广州江南科友科技股份有限公司 (72)发明人凌捷沈金伟邓小丹叶盛元 (74)专利代理机构广州嘉权专利商标事务所有限公司 44205 代理人谭英强 (54) 发明名称一种抗异步攻击的超轻量级无线射频识别认证方法 (57) 摘要本发明公开了一。

2、种抗异步攻击的超轻量级无线射频识别认证方法，标签中增设了会话密钥 Nt 作为标志位，该标志位与上次认证过程中阅读器产生的随机数相关，并保持动态刷新，使攻击者重放的消息失效，能够有效解决抵抗异步攻击的问题；采用了双向认证方法来实现身份的认证，且引入超轻量级的非线性函数 NLMC(x,y) 来加密通信中的消息，提高了无线射频识别系统在开放环境中通信的保密性，更加安全。本发明可广泛应用于无线射频识别领域。 (51)Int.Cl. 权利要求书 2 页说明书 6 页附图 3 页 (19)中华人民共和国国家知识产权局 (12)发明专利申请权利要求书2页说明书6。

3、页附图3页 (10)申请公布号 CN 103699863 A CN 103699863 A 1/2 页 2 1. 一种抗异步攻击的超轻量级无线射频识别认证方法，其特征在于：包括： S1、阅读器的随机数发生器产生随机数 N1，然后向选中的标签发送消息 Query|N1； S2、标签计算出 A=（IDS K2） +Nt的值，并经过 NLMC（x,y）非线性函数运算、 ROT （x,y）函数运算与异或运算后得到 B=(K1 K2*)+(K1* K2) 的值，然后经过阅读器将消息 IDS|A|B|N1 转发给后台服务器；所述 K1*=ROT(K1 Nm,K1)， K2*=RO。

4、T(K2 Nm,K2)， Nm=NLMC(Nt,N1) ；其中， IDS 表示标签的假名， Nt表示无线射频识别系统通信过程中的会话密钥， K1、 K2均表示消息的加密密钥，“” 表示逻辑加法运算，“” 表示异或运算； S3、后台服务器检查其存储的IDS数据中是否存储有能与消息IDS|A|B|N1中的IDS 数据相匹配的数据；若否，表示阅读器认证标签失败，终止协议，流程结束；否则，则执行步骤 S4 ； S4、后台服务器从消息 IDS|A|B|N1 中提取出 Nt =A-（IDS K2），并用与 IDS 数据相对应的 K1、 K2计算 B =(K1 K2*)+(。

5、K1* K2) ；然后判断 B 是否等于 B，若否，表示阅读器认证标签失败，终止协议，流程结束；否则，则执行步骤 S5 ； S5、阅读器生成随机数N2，对后台服务器的标签假名IDS、密匙K1、密匙K2和会话密钥Nt 进行更新，并经过 NLMC（x,y）非线性函数运算、 ROT（x,y）函数运算与异或运算后得到发送给标签的数据 C 和 D ； S6、标签从接收的数据中提取出数据 N2，并经过 NLMC（x,y）非线性函数运算、 ROT （x,y）函数运算与异或运算后得到数据 D ，然后根据数据 D 与数据 D 是否相等来判断标签对阅读器是否验证成功。。

6、 2. 根据权利要求 1 所述的一种抗异步攻击的超轻量级无线射频识别认证方法，其特征在于：所述步骤 S5，其包括： S51、阅读器生成随机数 N2，并将阅读器当前的标签假名 IDS、密匙 K1、密匙 K2作为旧标签假名 IDS、旧密匙 K1、旧密匙 K2存储至后台服务器； S52、阅读器对数据N1、 N2、IDS、 K1、 K2进行计算，从而得到新标签假名IDSnew、新密匙K1new、新密匙 K2new和新会话密钥 Ntnew，并将 IDSnew、 K1new、 K2new和 Ntnew存储至后台服务器； S53、阅读器对经过 NLMC（x,y）非。

7、线性函数运算、 ROT（x,y）函数运算与异或运算，从而得到发送给标签的数据 C 和 D。 3. 根据权利要求 2 所述的一种抗异步攻击的超轻量级无线射频识别认证方法，其特征在于：所述的新标签假名 IDSnew、新密匙 K1new、新密匙 K2new和新会话密钥 Ntnew的计算公式如下：权利要求书 CN 103699863 A 2 2/2 页 3 其中， ID 表示标签的身份标示符。 4. 根据权利要求 3 所述的一种抗异步攻击的超轻量级无线射频识别认证方法，其特征在于：在所述步骤 C53 中，所述数据 C 的计算公式为： C=ROT（K1 K2,。

8、Nm ） N2；所述数据 D 的计算公式为： D=（K2*+Nx）（（K1 K2） K1*）。 5. 根据权利要求 4 所述的一种抗异步攻击的超轻量级无线射频识别认证方法，其特征在于：所述步骤 S6，其包括： S61、标签从接收的数据中提取出数据 N2 , 所述数据 N2的计算公式为： N2 =C ROT(K1 K2,Nm ) ； S62、根据提取出的 N2对数据 D 进行计算，所述数据 D 的计算公式为： D =(K2*+Nx ) (K1 K2) K1*), 其中， Nx =NLMC（N2 ,Nt）； S63、判断数据D与数据D是否相等，若相等，则对。

9、标签的IDS数据、密匙K1、密匙K2和数据 Nt进行更新 , 从而得到更新后的 IDS 数据 IDSnew、密匙 K1new、密匙 K2new和数据 Ntnew；其中， IDSnew=（IDS+ID）（Nm +K1*） ,K1new=K1*， K2new=K2*， Ntnew= Nx 。 6. 根据权利要求 5 所述的一种抗异步攻击的超轻量级无线射频识别认证方法，其特征在于：所述步骤 S52 中将 IDSnew、 K1new、 K2new和 Ntnew存储至后台服务器这一步骤，其具体为：判断计算出的 IDSnew是否与后台服务器存储的任一 IDS 数据相同，若是。

10、，则重新生成随机数 N2并计算出对应的 IDSnew、 K1new、 K2new和 Ntnew；反之，则将 IDSnew、 K1new、 K2new和 Ntnew存储至后台服务器。权利要求书 CN 103699863 A 3 1/6 页 4 一种抗异步攻击的超轻量级无线射频识别认证方法技术领域 0001 本发明涉及无线射频识别领域，尤其是一种抗异步攻击的超轻量级无线射频识别认证方法。背景技术 0002 现有技术中，无线射频识别 (RFID， Radio Frequency Identification) 是众多自动识别技术的一种，其基本原理是利用射频信号和空间。

11、耦合(电感或电磁耦合)传输特性，实现对被识别物体的自动识别。基于 RFID 众多的优点， RFID 已经得到十分广泛的应用并且受到越来越多的关注。 0003 现有的基于异或运算的超轻量级无线射频识别认证方法对硬件的要求低，其标签不具有产生伪随机数的能力，但这种认证方法的缺陷是，当攻击者窃听并重放消息时，服务器端难以验证该消息的合法性，从而使非法标签认证通过，造成服务器端和标签端的数据更新不同步，导致异步攻击的问题。发明内容 0004 为了解决上述技术问题，本发明的目的是：提供一种安全性高和抗异步攻击的超轻量级无线射频识别认证方法。 0005 本发明解决其技术问。

12、题所采用的技术方案是：一种抗异步攻击的超轻量级无线射频识别认证方法，包括： S1、阅读器的随机数发生器产生随机数 N1，然后向选中的标签发送消息 Query|N1； S2、标签计算出 A=（IDS K2） +Nt的值，并经过 NLMC（x,y）非线性函数运算、 ROT （x,y）函数运算与异或运算后得到 B=(K1 K2*)+(K1* K2) 的值，然后经过阅读器将消息 IDS|A|B|N1 转发给后台服务器；所述 K1*=ROT(K1 Nm,K1)， K2*=ROT(K2 Nm,K2)， Nm=NLMC(Nt,N1) ；其中， IDS 表示标签的假名， Nt表示无。

13、线射频识别系统通信过程中的会话密钥， K1、 K2均表示消息的加密密钥，“” 表示逻辑加法运算，“” 表示异或运算； S3、后台服务器检查其存储的IDS数据中是否存储有能与消息IDS|A|B|N1中的IDS 数据相匹配的数据；若否，表示阅读器认证标签失败，终止协议，流程结束；否则，则执行步骤 S4 ； S4、后台服务器从消息 IDS|A|B|N1 中提取出 Nt =A-（IDS K2），并用与 IDS 数据相对应的 K1、 K2计算 B =(K1 K2*)+(K1* K2) ；然后判断 B 是否等于 B，若否，表示阅读器认证标签失败，终止协议，流程结。

14、束；否则，则执行步骤 S5 ； S5、阅读器生成随机数N2，对后台服务器的标签假名IDS、密匙K1、密匙K2和会话密钥Nt 进行更新，并经过 NLMC（x,y）非线性函数运算、 ROT（x,y）函数运算与异或运算后得到发送给标签的数据 C 和 D ； S6、标签从接收的数据中提取出数据 N2，并经过 NLMC（x,y）非线性函数运算、 ROT （x,y）函数运算与异或运算后得到数据 D ，然后根据数据 D 与数据 D 是否相等来判断标说明书 CN 103699863 A 4 2/6 页 5 签对阅读器是否验证成功。 0006 进一步，所述步骤 S5，其。

15、包括： S51、阅读器生成随机数 N2，并将阅读器当前的标签假名 IDS、密匙 K1、密匙 K2作为旧标签假名 IDS、旧密匙 K1、旧密匙 K2存储至后台服务器； S52、阅读器对数据N1、 N2、IDS、 K1、 K2进行计算，从而得到新标签假名IDSnew、新密匙K1new、新密匙 K2new和新会话密钥 Ntnew，并将 IDSnew、 K1new、 K2new和 Ntnew存储至后台服务器； S53、阅读器对经过 NLMC（x,y）非线性函数运算、 ROT（x,y）函数运算与异或运算，从而得到发送给标签的数据 C 和 D。 0007 进一步，。

16、所述的新标签假名 IDSnew、新密匙 K1new、新密匙 K2new和新会话密钥 Ntnew的计算公式如下：其中， ID 表示标签的身份标示符。 0008 进一步，在所述步骤C53中，所述数据C的计算公式为： C=ROT （K1K2,Nm） N2；所述数据 D 的计算公式为： D=（K2*+Nx）（（K1 K2） K1*）。 0009 进一步，所述步骤 S6，其包括： S61、标签从接收的数据中提取出数据 N2 , 所述数据 N2的计算公式为： N2 =C ROT(K1 K2,Nm ) ； S62、根据提取出的 N2对数据 D 进行计算，所述数据 D 。

17、的计算公式为： D =(K2*+Nx ) (K1 K2) K1*), 其中， Nx =NLMC（N2 ,Nt）； S63、判断数据D与数据D是否相等，若相等，则对标签的IDS数据、密匙K1、密匙K2和数据 Nt进行更新 , 从而得到更新后的 IDS 数据 IDSnew、密匙 K1new、密匙 K2new和数据 Ntnew；其中， IDSnew=（IDS+ID）（Nm +K1*） ,K1new=K1*， K2new=K2*， Ntnew= Nx 。 0010 进一步，所述步骤 S52 中将 IDSnew、 K1new、 K2new和 Ntnew存储至后台服务器这一步骤。

18、，其具体为：判断计算出的 IDSnew是否与后台服务器存储的任一 IDS 数据相同，若是，则重新生成随机数 N2并计算出对应的 IDSnew、 K1new、 K2new和 Ntnew；反之，则将 IDSnew、 K1new、 K2new和 Ntnew存储至后台服务器。 0011 本发明的有益效果是：在标签中增设了会话密钥 Nt作为标志位，该标志位与上次说明书 CN 103699863 A 5 3/6 页 6 认证过程中阅读器产生的随机数相关，并保持动态刷新，使攻击者重放的消息失效，能够有效解决抵抗异步攻击的问题；采用了双向认证方法来实现身份的认证，且。

19、引入超轻量级的非线性函数 NLMC(x,y) 来加密通信中的消息，提高了无线射频识别系统在开放环境中通信的保密性，更加安全。附图说明 0012 下面结合附图和实施例对本发明作进一步说明。 0013 图 1 为本发明一种抗异步攻击的超轻量级无线射频识别认证方法的步骤流程图；图 2 为非线性函数 NLMC(x,y) 的具体运算流程图；图 3 为本发明无线射频识别认证过程的示意图。具体实施方式 0014 参照图 1，一种抗异步攻击的超轻量级无线射频识别认证方法，包括： S1、阅读器的随机数发生器产生随机数 N1，然后向选中的标签发送消息 Query|N1； S2、标签。

20、计算出 A=（IDS K2） +Nt的值，并经过 NLMC（x,y）非线性函数运算、 ROT （x,y）函数运算与异或运算后得到 B=(K1 K2*)+(K1* K2) 的值，然后经过阅读器将消息 IDS|A|B|N1 转发给后台服务器；所述 K1*=ROT(K1 Nm,K1)， K2*=ROT(K2 Nm,K2)， Nm=NLMC(Nt,N1) ；其中， IDS 表示标签的假名， Nt表示无线射频识别系统通信过程中的会话密钥， K1、 K2均表示消息的加密密钥，“” 表示逻辑加法运算，“” 表示异或运算； S3、后台服务器检查其存储的IDS数据中是否存储有能与消息IDS|A。

21、|B|N1中的IDS 数据相匹配的数据；若否，表示阅读器认证标签失败，终止协议，流程结束；否则，则执行步骤 S4 ； S4、后台服务器从消息 IDS|A|B|N1 中提取出 Nt =A-（IDS K2），并用与 IDS 数据相对应的 K1、 K2计算 B =(K1 K2*)+(K1* K2) ；然后判断 B 是否等于 B，若否，表示阅读器认证标签失败，终止协议，流程结束；否则，则执行步骤 S5 ； S5、阅读器生成随机数N2，对后台服务器的标签假名IDS、密匙K1、密匙K2和会话密钥Nt 进行更新，并经过 NLMC（x,y）非线性函数运算。

22、、 ROT（x,y）函数运算与异或运算后得到发送给标签的数据 C 和 D ； S6、标签从接收的数据中提取出数据 N2，并经过 NLMC（x,y）非线性函数运算、 ROT （x,y）函数运算与异或运算后得到数据 D ，然后根据数据 D 与数据 D 是否相等来判断标签对阅读器是否验证成功。 0015 其中，非线性函数NLMC(x,y)是使用遗传编程思想，通过引入超轻操作数组件,从而获得的高度非线性函数。在标签上实现 NLMC(x,y) 函数，硬件上只要求标签具有右位移操作的能力，该函数具有超轻量级的性质，其具体操作如图 2 所示。ROT（x,y）函数是左旋函数，。

23、用于将 x 的值左旋 y 位。Nt是后台服务器端的会话密钥，若通信正确则与 Nt一致。 B 的计算过程及所采用的公式与 B 的一致，区别仅在于 Nt换成了 Nt。N2是标签端提取的随机数，若通信正确则与阅读器端的 N2一致。D 的计算过程及所采用的公式与 D 的一致，区别仅在于 N2换成了 N2。 0016 进一步作为优选的实施方式，所述步骤 S5，其包括：说明书 CN 103699863 A 6 4/6 页 7 S51、阅读器生成随机数 N2，并将阅读器当前的标签假名 IDS、密匙 K1、密匙 K2作为旧标签假名 IDS、旧密匙 K1、旧密匙 K2存储。

24、至后台服务器； S52、阅读器对数据N1、 N2、IDS、 K1、 K2进行计算，从而得到新标签假名IDSnew、新密匙K1new、新密匙 K2new和新会话密钥 Ntnew，并将 IDSnew、 K1new、 K2new和 Ntnew存储至后台服务器； S53、阅读器对经过 NLMC（x,y）非线性函数运算、 ROT（x,y）函数运算与异或运算，从而得到发送给标签的数据 C 和 D。 0017 进一步作为优选的实施方式，所述的新标签假名IDSnew、新密匙K1new、新密匙K2new和新会话密钥 Ntnew的计算公式如下：其中， ID 表示标签的身份标示符。

25、。 0018 进一步作为优选的实施方式，在所述步骤C53中，所述数据C的计算公式为： C=ROT （K1 K2,Nm ） N2；所述数据 D 的计算公式为： D=（K2*+Nx）（（K1 K2） K1*）。 0019 进一步作为优选的实施方式，所述步骤 S6，其包括： S61、标签从接收的数据中提取出数据 N2 , 所述数据 N2的计算公式为： N2 =C ROT(K1 K2,Nm ) ； S62、根据提取出的 N2对数据 D 进行计算，所述数据 D 的计算公式为： D =(K2*+Nx ) (K1 K2) K1*), 其中， Nx =NLMC（N2 ,Nt）。

26、； S63、判断数据D与数据D是否相等，若相等，则对标签的IDS数据、密匙K1、密匙K2和数据 Nt进行更新 , 从而得到更新后的 IDS 数据 IDSnew、密匙 K1new、密匙 K2new和数据 Ntnew；其中， IDSnew=（IDS+ID）（Nm +K1*） ,K1new=K1*， K2new=K2*， Ntnew= Nx 。 0020 进一步作为优选的实施方式，所述步骤 S52 中将 IDSnew、 K1new、 K2new和 Ntnew存储至后台服务器这一步骤，其具体为：判断计算出的 IDSnew是否与后台服务器存储的任一 IDS 数据相同，若。

27、是，则重新生成随机数 N2并计算出对应的 IDSnew、 K1new、 K2new和 Ntnew；反之，则将 IDSnew、 K1new、 K2new和 Ntnew存储至后台服务器。 0021 下面结合说明书附图和具体的实施例对本发明作进一步详细说明。 0022 参照图 3，本发明的第一实施例：本发明一种抗异步攻击的超轻量级无线射频识别认证方法，用于无线射频识别系统中标签和阅读器之间进行无线通信时的安全认证。本发明的无线射频识别系统包括标签、阅读器和后台服务器。其中标签选用无源可读写式标签，标签的内部 EEPROM 存储数据，它的说明书 CN 10369986。

28、3 A 7 5/6 页 8 内部门电路不需产生伪随机数，只需要满足位运算 ( 异或运算、移位运算等 ) 操作，且能实现 NLMC(x,y) 函数操作的功能即可。 0023 本发明主要包括认证初始化阶段、双向认证阶段、标签假名与密钥更新阶段这三个阶段。 0024 认证初始化阶段，具体如下：在每个标签中载入五元组 (ID,IDS,K1,K2,Nt)，其中 ID 表示标签的身份标示符； IDS 表示标签的假名，初始值为 96bit 的二进制数，其值为 Hash(ID) ；标签的 ID 是唯一的，因此，经过哈希运算之后，可以得到唯一的的 IDS ； K1、 K2表。

29、示消息的加密密钥，其初始值为 96bit 的二进制随机数； Nt表示无线射频识别系统通信过程中的会话密钥，设置其初始值为96bit 二进制数，其值为经过函数 NLMC(N1， N2) 运算后的结果 , 其中 N1,N2为阅读器伪随机数发生器产生的随机数。 0025 在后台服务器中保留一个七元组 (ID,IDSnew,IDSold,K1new,K1old,K2new,K2old)。其中 ID 表示标签的身份标示符； (IDSnew,K1new， K2new) 分别表示标签本次认证的假名、标签本次认证的 K1、 K2密钥，它们都是 96bit 的二进制数，初始值等于标签 IDS。

30、、标签密钥 K1、 K2 的初始值； (IDSold,K1old,K2old) 分别表示上次认证过程中标签的假名 IDS、上次认证过程中标签的密钥 K1、 K2，它们的初始值和标签的 (IDS、 K1、 K2) 初始值相同，都是 96bit 的二进制数。 0026 参照图 3，无线射频识别系统的认证过程的具体执行过程如下： a、阅读器中的随机数发生器产生随机数 N1；然后向选中的标签发送消息 (Query|N1)。 0027 b、标签收到阅读器发送过来的数据 N1和通信请求之后，按照公式计算 A=(IDS K2)+Nt、。

31、 Nm=NLMC(Nt,N1)、 K1*=ROT(K1 Nm,K1)、 K2*=ROT(K2 Nm,K2)、 B=(K1 K2*)+(K1* K1) ；然后将消息 (IDS|A|B) 发送给阅读器，阅读器再将消息 (IDS|A|B|N1) 转发给后台服务器；其中 NLMC(x,y) 表示函数作用于括号中的参数。 0028 c、服务器收到消息后，首先查找后台中的 IDSnew和 IDSold记录 , 验证这两个数据能否与收到消息 IDS|A|B 中的 IDS 匹配；如果匹配成功，就从消息中提取出 Nt=A IDS K2, 然后按照。

32、标签中的计算公式，用与 IDS 对应的 K1、 K2计算 B=(K1K2*)+(K1*K2)，用来验证B=B是否成立；如果等式成立，则阅读器验证标签成功，并转到步骤 d ；否则认证失败，结束当前会话。服务器与阅读器成功认证标签之后，生成随机数 N2，计算 Nx=NLMC(Nm,N2)、 C=ROT(K1 K2,Nm) N2、 D=(K2*+Nx) (K1 K2) K1*) ；然后更新数据 K1new=K1*、 K1old=K1、 K2new=K2*、 K2old=K2、 IDSold=IDS、 IDSnew=(IDS+ID) (Nm+K1*)，。

33、将消息 C|D 发送给标签。 0029 d、标签收到消息 C|D 之后，首先从消息中提取 N2=C ROT(K1 K2,Nm) ；然后用与后台服务器相同的公式计算 D ，验证等式 D =D 是否成立，其中 D=(K2*+Nx)(K1K2)=K1*) ；如果等式成立，则更新数据IDS=(IDS+ID)(Nm+=K1*)， K1=K1*、 K2=K2*、 Nt=Nx。 0030 本发明通过步骤a至d的操作，实现了标签和阅读器的双向认证，而验证成功的标签和阅读器即可进行后续通信。 0031 与现有技术相比，本。

34、发明具有以下优点：（1）硬件方面 a. 低运算成本：标签只需要满足位运算、包括逻辑运算、异或运算、移位运算等操作；说明书 CN 103699863 A 8 6/6 页 9 b. 低通信成本：协议只需 3 个轮回的通信量（参照图 3） , 且交换的信息量少； c. 标签上的硬件开销小：标签不需要具有伪随机数发生器的功能，所需门电路数量大大减少； d. 标签上的运算量少：标签只需要完成 16 次逻辑运算操作、 3 次 ROT(x,y) 函数操作、 2 次 NLMC(x,y) 函数操作就可以实现 RFID 标签和 RFID 阅读器之间的身份认证。 003。

35、2 (2) 本发明在标签中设置了数据 Nt，该数据与上次认证过程中的阅读器产生的随机数相关，并保持动态刷新，这样就相当于标签也具有了产生随机数的能力，但是又不需要增加额外的硬件，能够有效解决标签和后端数据库数据同步问题。 0033 (3) 本发明通过双向认证来实现的无线射频识别系统身份认证，提高了无线射频识别系统在开放环境中通信的保密性，能抵抗异步攻击、中间人攻击、重放攻击、拒绝服务攻击等无线射频识别系统常见的攻击方式。 0034 (4) 本发明具有算法新颖简单、响应速度快、所需资源少、易于实现的优点，适用于解决低成本 RFID 标签的安全问题。 0035 以上是对本发明的较佳实施进行了具体说明，但本发明创造并不限于所述实施例，熟悉本领域的技术人员在不违背本发明精神的前提下还可做作出种种的等同变形或替换，这些等同的变形或替换均包含在本申请权利要求所限定的范围内。说明书 CN 103699863 A 9 1/3 页 10 图 1 说明书附图 CN 103699863 A 10 2/3 页 11 图 2 说明书附图 CN 103699863 A 11 3/3 页 12 图 3 说明书附图 CN 103699863 A 12 。

展开阅读全文