[发明专利]基于稀疏树的动态密钥更新的射频识别隐私认证方法

说明书

技术领域

本发明涉及射频识别技术，特别涉及射频识别标签认证有关的安全技术。

背景技术

射频识别(Radio Frequency Identification，简称“RFID”)是使用无线射频技术在开放系统环境中进行对象识别。这种技术的优点之一是无需物理或其它任何可见的接触。它是计算机系统和现实世界的联系纽带，为计算机感知和识别现实世界提供了一种高效、价廉的方式。

RFID具有广泛的应用前景，可用于零售、电子护照、电子钞票、个人身份证、数字图书馆管理，甚至可用于构建智能自组织网络环境，等等。零售巨头沃尔玛，美国国防部等机构均采用了RFID技术来识别和自动追踪它们的产品供应链中流转的物品。

RFID主要组成部分包括后台数据库(Back-end database，简称“DB”)、读写器(Reader)和标签(Tag)等。其中后台数据库是运行于硬件平台的数据库系统，通常认为其具有强大的计算和存储能力，同时它包含系统中所有标签的信息。读写器(Reader)是一个带有天线的无线发射与接收设备，负责对标签中的信息进行读写。标签(tag)是带有天线的微型电路，通常没有处理器，仅由数千个逻辑门电路组成。标签中存储有唯一的身份标识(ID)和一些其它信息。整个RFID系统如图1所示。

通常认为，标签与读写器之间的信道是不安全信道。而读写器与后台数据库之间的信道是安全信道。因此，在RFID系统安全通讯协议的设计中，可以认为读写器与后台数据库是一体的(即整体看作通讯协议中的一方，另一方是标签)。因此，在本发明中，我们用“读写器”指代“读写器和后台数据库”。

RFID认证协议是典型的“请求-响应”协议，其基本模型如图2所示。读写器首先向标签发出认证请求；然后标签返回认证响应信息，比如标签ID和存储的产品信息等等。

随着应用的增多，对RFID系统提出了很高的安全需求，即保护使用者在被认证时的隐私信息不被泄漏是其中一个重要的安全需求。在可扫描范围里，恶意的读写器能运行伪造的认证过程来探测标签以得到标签中记录的敏感信息。如果没有隐私保护，任意读写器可以通过标签发出的序列号来识别和记录标签拥有者的身份和其它敏感信息。因此，一个安全的RFID系统必须满足以下两个需求。一方面，合法的读写器必须能成功地识别合法的标签；另一方面，非法的读写器不能从标签中获得任何隐私信息。

为满足安全需求，人们设计了新的RFID标签，这种标签在最简单的EPC标签基础上增加了约1600个门电路，使得标签具有计算哈希函数和生成伪随机数的功能。这样就可以在RFID认证协议中使用加密方法。该认证方案如图3所示。每个标签与合法的读写器共享唯一的一个密钥k。读写器将认证请求和一个随机数r发送给标签，标签用一个哈希函数，比如MD-5，SHA-1等计算加密结果并返回给读写器，读写器在后台数据库中搜索k，直到找到某个密钥k，并计算h(r，k)，使得计算结果与标签返回的加密消息相等为止。在这种体制中，有两个问题必须考虑，即搜索效率和密钥安全性。第一，搜索密钥过程必须效率足够高以支持大规模系统。第二，出于密钥安全性考虑，共享密钥必须随时间动态更新。

为了达到高效的隐私认证，研究者已进行了很多工作。就我们所知，目前效率最高的协议是基于平衡树结构。在这类协议模型中，如图4所示，每个标签拥有多个密钥(比如d个)而不是一个。读写器构造一棵虚拟的层次树结构(称为密钥树，我们以一棵深度为2的平衡二叉树为例，如图5所示)来组织这些密钥。树中的每个节点存储一个密钥。每个标签与唯一的叶子节点相关联。从根节点到叶子节点路径上的所有密钥就是该叶子对应的标签所掌握的密钥组。如果树的深度为d并且树的分支因子为α(密钥树设为平衡树)，那么每个标签拥有d个密钥组成的密钥组，为方便起见，记标签T_i中存储的密钥组为(k_i⁰，k_i¹，...k_i^d)。整棵树能支持N＝α^d个标签(即能支持N个叶子节点)。在认证协议中，标签用d个密钥分别对同一认证信息加密d次。收到标签的认证信息后，读写器在密钥树做广度优先搜索。在每一层，读写器在α个密钥中缩小搜索范围，直到达到一个叶子节点。由上，该类协议的密钥搜索复杂度为O(log_αN)。