一种基于云服务器的轻量级RFID身份认证方法及系统

技术领域

本发明涉及信息安全技术领域，具体涉及一种基于云服务器的轻量级RFID身份认证方法及系统。

背景技术

无线射频识别技术(RFID，Radio Frequency Identification)是物联网技术中至关重要的一项应用技术，能够实现自动识别，在恶劣环境下也能正常工作。RFID系统主要由三部分组成：服务器，阅读器和标签。在这种传统的RFID体系结构中，服务器和阅读器之间的通信通道是安全的。后端服务器是完全可信的。对于标签数量较少且身份验证频率较低的情况，后端服务器的计算和存储性能已经足够了。随着标签识别的对象增多，RFID系统则会生成大量数据时，云计算能够解决物联网环境中后端服务器有限的性能问题。在基于云服务器的RFID系统中，将数据存储在云端，云数据库可支持大量的用户在同一时间进行存储、查询和检索等操作，用户可以通过购买或租赁云存储服务来部署和维护RFID系统，从而降低其部署和维护成本，云服务器是不可信的第三方，并且阅读器和云服务器之间通信是不可靠的。由于标签分布广且数量多，易受到成本限制，且在无源RFID系统中电子标签的计算能力和存储空间通常是有限的，无法使用成熟的安全加密算法，例如非对称加密。因此，如何对低成本标签实现有效的身份认证已经引起广泛的关注和研究。

西安电子科技大学在其申请的专利文献“基于云的低成本射频识别NTRU的认证方法”(申请号：201611113163.6，申请公布号：CN 106603240 A)中提出一种基于云的低成本射频识别NTRU的认证方法。该方法实现了标签，阅读器和云服务器之间的相互认证，提高了RFID系统的安全性。但是该方法在阅读器和标签端使用了公钥系统，在阅读器和标签通信时使用了公钥加密，私钥解密等复杂操作。这样会大大增加标签的制作成本，无法满足轻量级RFID系统低成本的特性。

发明内容

为了解决上述技术问题，本发明的目的在于提供一种基于云服务器的轻量级RFID身份认证方法及系统，所采用的技术方案具体如下：

第一方面，本发明一个实施例提供了一种基于云服务器的轻量级RFID身份认证方法，包括以下步骤：

阅读器向标签发送携带有第一随机数的询问请求,所述询问请求用于触发所述标签返回响应信息，所述响应信息包括第一加密信息和待验证标签信息，所述第一加密信息为第一假名加密信息由所述标签与所述阅读器之间的第一共享秘钥、所述第一随机数、所述标签产生的第二随机数利用加密算法加密后获得；所述第一假名加密信息由所述标签与云服务器之间的第二共享秘钥对所述第一假名进行加密获取；所述待验证标签信息由所述第一共享秘钥、所述第二共享秘钥和所述第二随机数对所述第一假名进行加密获取；

利用解密算法对所述第一加密信息进行解密提取所述第一假名加密信息；并生成第三随机数，结合所述阅读器与云服务器之间的第三共享秘钥对所述第一假名加密信息和阅读器信息进行加密后，作为身份信息发送给云服务器；所述身份信息用于触发所述云服务器根据自身存储的身份验证信息对所述第一假名加密信息和阅读器身份进行验证；所述阅读器信息包括阅读器的第二假名；

在验证成功后，接收所述云服务器返回的第一验证信息，利用解密算法提取所述第二共享秘钥，利用所述第二共享秘钥提取所述第一假名加密信息中的第一假名；利用所述第一共享秘钥、第二共享秘钥以及第二随机数结合加密算法获取标签验证信息，与所述待验证标签信息对比判身份断验证是否通过。

优选的，所述的与所述待验证标签信息对比判身份断验证是否通过的方法还包括：在阅读器对标签身份认证通过后，利用所述第二共享秘钥、所述第一假名、所述云服务器生成的第四随机数和所述第二随机数通过加密算法生成认证成功信息，发送至标签，所述认证成功信息用于触发自所述标签至所述阅读器再到所述云服务器利用更新算法对自身信息的更新，获得第一更新共享秘钥、第一更新假名、第二更新共享秘钥、第二更新假名、第三更新共享秘钥以及更新后的身份验证信息。

优选的，所述云服务器利用更新算法对自身信息的更新的方法还包括：在所述云服务器完成信息更新后，根据所述云服务器返回的第一更新响应信息验证更新完成，并生成第二更新响应信息发送至标签；所述第二更新响应信息用于触发标签对阅读器以及云服务器的更新结果进行验证。

优选的，所述的自所述标签至所述阅读器再到所述云服务器对自身信息的更新，包括以下步骤：

阅读器接收到所述标签对自身信息更新完成后返回的第一更新信息，根据所述第一假名、第二随机数和第二共享秘钥结合更新算法获得阅读器第二更新共享秘钥，与接收到的所述第二更新共享秘钥信息对比，判断是否更新成功；若更新成功，阅读器更新其他信息，获得第三更新共享秘钥和第二更新假名，并根据加密算法生成第二更新信息发送至云服务器；所述第二更新信息用于触发云服务器更新共享秘钥以及存储的所述身份验证信息；所述第一更新信息为标签更新产生的第一更新共享秘钥、第二更新共享秘钥以及第一更新假名经加密算法处理后获得。

优选的，所述的加密算法、解密算法为通过循环移位算法和位运算构成的算法，所述加密算法的基本公式包括：

其中，M为加密信息，Rot为循环右移操作，

所述解密算法的基本公式包括：

其中，J为解密后的数据信息，RRot为循环左移操作。

所述加密算法和所述解密算法包括根据基本公式增减异或运算用于添加或者减少待加密信息数量的变式。

优选的，所述的更新算法的基本公式包括：

其中，A为更新后的共享秘钥或者假名；

所述更新算法包括根据基本公式增减异或运算用于添加或者减少待加密信息数量的变式。

第二方面，本发明另一个实施例提供了一种基于云服务器的轻量级RFID身份认证系统，包括：

身份询问模块，用于利用阅读器向标签发送携带有第一随机数的询问请求,所述询问请求用于触发所述标签返回响应信息，所述响应信息包括第一加密信息和待验证标签信息，所述第一加密信息为第一假名加密信息由所述标签与所述阅读器之间的第一共享秘钥、所述第一随机数、所述标签产生的第二随机数利用加密算法加密后获得；所述第一假名加密信息由所述标签与云服务器之间的第二共享秘钥对所述第一假名进行加密获取；所述待验证标签信息由所述第一共享秘钥、所述第二共享秘钥和所述第二随机数对所述第一假名进行加密获取；

请求验证模块，用于利用解密算法对所述第一加密信息进行解密提取所述第一假名加密信息；并生成第三随机数，结合所述阅读器与云服务器之间的第三共享秘钥对所述第一假名加密信息和阅读器信息进行加密后，作为身份信息发送给云服务器；所述身份信息用于触发所述云服务器根据自身存储的身份验证信息对所述第一假名加密信息和阅读器身份进行验证；所述阅读器信息包括阅读器的第二假名；

身份验证模块，用于在验证成功后，接收所述云服务器返回的第一验证信息，利用解密算法提取所述第二共享秘钥，利用所述第二共享秘钥提取所述第一假名加密信息中的第一假名；利用所述第一共享秘钥、第二共享秘钥以及第二随机数结合加密算法获取标签验证信息，与所述待验证标签信息对比判身份断验证是否通过。

优选的，所述的身份验证模块还包括信息更新单元，所述信息更新单元用于在阅读器对标签身份认证通过后，利用所述第二共享秘钥、所述第一假名、所述云服务器生成的第四随机数和所述第二随机数通过加密算法生成认证成功信息，发送至标签，所述认证成功信息用于触发自所述标签至所述阅读器再到所述云服务器利用更新算法对自身信息的更新，获得第一更新共享秘钥、第一更新假名、第二更新共享秘钥、第二更新假名、第三更新共享秘钥以及更新后的身份验证信息。

优选的，所述信息更新单元还包括更新验证单元，所述更新验证单元用于在所述云服务器完成信息更新后，根据所述云服务器返回的第一更新响应信息验证更新完成，并生成第二更新响应信息发送至标签；所述第二更新响应信息用于触发标签对阅读器以及云服务器的更新结果进行验证。

优选的，所述的信息更新单元包括顺序更新子单元，所述顺序更新子单元用于自所述标签至所述阅读器再到所述云服务器对自身信息的更新，阅读器接收到所述标签对自身信息更新完成后返回的第一更新信息，根据所述第一假名、第二随机数和第二共享秘钥结合更新算法获得阅读器第二更新共享秘钥，与接收到的所述第二更新共享秘钥信息对比，判断是否更新成功；若更新成功，阅读器更新其他信息，获得第三更新共享秘钥和第二更新假名，并根据加密算法生成第二更新信息发送至云服务器；所述第二更新信息用于触发云服务器更新共享秘钥以及存储的所述身份验证信息；所述第一更新信息为标签更新产生的第一更新共享秘钥、第二更新共享秘钥以及第一更新假名经加密算法处理后获得。

本发明实施例至少具有如下有益效果：

本发明通过使用成本低的位运算，即循环移位和异或来降低标签的制作成本。阅读器向标签发送询问请求,询问请求用于触发标签返回响应信息；提取响应信息中第一假名加密信息，经加密处理后生成身份信息发送给云服务器；身份信息用于触发云服务器对第一假名加密信息和阅读器身份进行验证；在验证成功后，接收云服务器返回的第一验证信息，利用解密算法提取第二共享秘钥；利用第二共享秘钥提取第一假名加密信息中的第一假名，与待验证标签信息对比判身份断验证是否通过。该方法可以有效效抵抗重放攻击，假冒攻击，中间人攻击，跟踪攻击和去同步攻击，从而确保RFID应用较高的安全性需求并同时有效降低成本。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案和优点，下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它附图。

图1为本发明一个实施例所提供的一种基于云服务器的轻量级RFID身份认证方法的流程图；

图2为本发明一个实施例所提供的一种基于云服务器的轻量级RFID身份认证方法的示意图；

图3为本发明一个实施例所提供的一种基于云服务器的轻量级RFID身份认证系统结构框图；

具体实施方式

为了更进一步阐述本发明为达成预定发明目的所采取的技术手段及功效，以下结合附图及较佳实施例，对依据本发明提出的一种基于云服务器的轻量级RFID身份认证方法及系统，其具体实施方式、结构、特征及其功效，详细说明如下。在下述说明中，不同的“一个实施例”或“另一个实施例”指的不一定是同一实施例。此外，一或多个实施例中的特定特征、结构、或特点可由任何合适形式组合。

除非另有定义，本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。

下面结合附图具体的说明本发明所提供的一种基于云服务器的轻量级RFID身份认证方法及系统的具体方案。

请参阅图1和图2，图1示出了本发明一个实施例所提供的一种基于云服务器的轻量级RFID身份认证方法的流程图；图2示出了本发明一个实施例所提供的一种基于云服务器的轻量级RFID身份认证方法的示意图；

一种基于云服务器的轻量级RFID身份认证方法的流程图，其流程如图1所示，包括以下步骤：

步骤1：阅读器向标签发送携带有第一随机数的询问请求,询问请求用于触发标签返回响应信息，响应信息包括第一加密信息和待验证标签信息，第一加密信息为第一假名加密信息由标签与阅读器之间的第一共享秘钥、第一随机数、标签产生的第二随机数利用加密算法加密后获得；第一假名加密信息由标签与云服务器之间的第二共享秘钥对第一假名进行加密获取；待验证标签信息由第一共享秘钥、第二共享秘钥和第二随机数对第一假名进行加密获取；

步骤2：利用解密算法对第一加密信息进行解密提取第一假名加密信息；并生成第三随机数，结合阅读器与云服务器之间的第三共享秘钥对第一假名加密信息和阅读器信息进行加密后，作为身份信息发送给云服务器；身份信息用于触发云服务器根据自身存储的身份验证信息对第一假名加密信息和阅读器身份进行验证；阅读器信息包括阅读器的第二假名；

步骤3：在验证成功后，接收云服务器返回的第一验证信息，利用解密算法提取第二共享秘钥，利用第二共享秘钥提取第一假名加密信息中的第一假名；利用第一共享秘钥、第二共享秘钥以及第二随机数结合加密算法获取标签验证信息，与待验证标签信息对比判身份断验证是否通过。

综上所述，本发明实施例提供了一种基于云服务器的轻量级RFID身份认证方法，该方法通过使用成本低的位运算，即循环移位和异或来降低标签的制作成本。阅读器向标签发送询问请求,询问请求用于触发标签返回响应信息；提取响应信息中第一假名加密信息，经加密处理后生成身份信息发送给云服务器；身份信息用于触发云服务器对第一假名加密信息和阅读器身份进行验证；在验证成功后，接收云服务器返回的第一验证信息，利用解密算法提取第二共享秘钥；利用第二共享秘钥提取第一假名加密信息中的第一假名，与待验证标签信息对比判身份断验证是否通过。该方法可以有效抵抗重放攻击，假冒攻击，中间人攻击，跟踪攻击和去同步攻击，从而确保RFID应用较高的安全性需求并同时有效降低成本。

具体的，在本实施例中，标签身份ID的第一假名为TID，阅读器身份ID的第二假名为RID，标签与阅读器之间的第一共享秘钥为K

具体的，在本实施例中，所采用的加密算法的基本公式为：

其中，M为加密信息，Rot为循环右移操作，

所采用的解密算法的基本公式为：

其中，J为解密后的数据信息，RRot为循环左移操作。

所采用的更新算法的基本公式为：

其中，A为更新后的共享秘钥或者假名；

需要说明的是，本实施例所采用的加密算法、解密算法以及更新算法还包括根据基本公式增减异或运算用于添加或者减少待加密信息数量的变式。

具体的，在本实施例的步骤1中，标签返回的响应信息为M1||M2||M3，其中，M1||M2为第一加密信息，其加密算法的表达式为：

其中，N

M3为待验证标签信息，其加密算法的表达式为：

具体的，在本实施例的步骤2中，阅读器首先利用解密算法从第一加密信息的M1中提取第二随机数N

然后利用第二随机数N

最后阅读器生成身份信息M4||M5||M6，并发送给云服务器；其中，M4为第三随机数加密信息，其加密算法表达式为：

其中，N

M5为第一假名的二次加密信息，其加密算法表达式：

M6为第二假名的加密信息，其加密算法的表达式为：

具体的，云服务器接收到阅读器发送的身份信息后，首先利用解密算法从第三随机数加密信息M4中提取第三随机数N

然后在云服务器所存储的身份验证信息中搜索

最后，云服务器生成第四随机数N

具体的，在本实施例的步骤3中，阅读器首先从第一验证消息的M7中提取第四随机数N

最后，阅读器计算

进一步的，在本实施例中，在阅读器对标签身份认证通过后，利用第二共享秘钥、第一假名、云服务器生成的第四随机数和第二随机数通过加密算法生成认证成功信息，发送至标签，认证成功信息用于触发自标签至阅读器再到云服务器利用更新算法对自身信息的更新，获得第一更新共享秘钥、第一更新假名、第二更新共享秘钥、第二更新假名、第三更新共享秘钥以及更新后的身份验证信息。具体的：

认证成功信息M9||M10的加密算法表达式为：

优选的，上述通过自标签至阅读器再到云服务器利用更新算法对自身信息的更新，具体包括：阅读器接收到标签对自身信息更新完成后返回的第一更新信息，根据第一假名、第二随机数和第二共享秘钥结合更新算法获得阅读器第二更新共享秘钥，与接收到的第二更新共享秘钥信息对比，判断是否更新成功；若更新成功，阅读器更新其他信息，获得第三更新共享秘钥和第二更新假名，并根据加密算法生成第二更新信息发送至云服务器；第二更新信息用于触发云服务器更新共享秘钥以及存储的身份验证信息；第一更新信息为标签更新产生的第一更新共享秘钥、第二更新共享秘钥以及第一更新假名经加密算法处理后获得。具体的：

(1)标签根据上述阅读器发送的认证成功信息对阅读器进行身份验证，并进行自身信息更新：

标签首先利用解密算法，从认证成功信息中的M9提取第四随机数NS，其解密算法的表达式为：

然后计算

在对阅读器身份验证通过后，根据更新算法对第一共享秘钥、第二共享秘钥和第一假名进行更新，获得第一更新共享秘钥nK

最后，利用第一更新共享秘钥nK

(2)阅读器接收到第一更新信息后，根据更新算法获取阅读器第二更新共享秘钥dK

然后通过对比所接受的第一更新信息中的A1与

在第一更新共享秘钥更新成功后，阅读器根据更新算法获取第三更新共享秘钥nK

然后阅读器利用第一更新共享秘钥nKRT、第二随机数和第四随机数结合解密算法，从第一更新信息中提取第一更新假名加密信息

最后，阅读器将第三更新共享秘钥KSR和身份验证更新信息k||v生成第二更新信息A3||A4||A5并发送给云服务器，具体的，计算第二更新信息A3||A4||A5的加密算法的表达式为：

(3)云服务器收到第二更新信息后，根据更新算法获得云服务器第二更新共享秘钥dK

然后对比A3与

最后云服务器利用解密算法提取第二更新信息中的身份验证更新信息k||v，更新自身存储的身份验证信息，并保存原始的身份验证信息。具体地，解密算法的表达式为：

进一步的，在本实施例中，在云服务器完成信息更新后，根据云服务器返回的第一更新响应信息验证更新完成，并生成第二更新响应信息发送至标签；第二更新响应信息用于触发标签对阅读器以及云服务器的更新结果进行验证。具体的:

第一更新响应信息包括A6，其加密算法的表达式为：

阅读器接收到第一更新响应信息后，验证A6是否与

最后标签接收第二更新响应信息，验证阅读器和云服务器是否更新完成，具体的：

标签验证A7与

标签验证A8与

至此，身份认证结束。

基于与上述方法实施例相同的发明构思，本发明实施例还提供了一种基于云服务器的轻量级RFID身份认证系统。

请参阅图3，该基于云服务器的轻量级RFID身份认证系统100包括身份询问模块101、请求验证模块102和身份验证模块103。

具体的,身份询问模块用于利用阅读器向标签发送携带有第一随机数的询问请求,询问请求用于触发标签返回响应信息，响应信息包括第一加密信息和待验证标签信息，第一加密信息为第一假名加密信息由标签与阅读器之间的第一共享秘钥、第一随机数、标签产生的第二随机数利用加密算法加密后获得；第一假名加密信息由标签与云服务器之间的第二共享秘钥对第一假名进行加密获取；待验证标签信息由第一共享秘钥、第二共享秘钥和第二随机数对第一假名进行加密获取。

请求验证模块用于利用解密算法对第一加密信息进行解密提取第一假名加密信息；并生成第三随机数，结合阅读器与云服务器之间的第三共享秘钥对第一假名加密信息和阅读器信息进行加密后，作为身份信息发送给云服务器；身份信息用于触发云服务器根据自身存储的身份验证信息对第一假名加密信息和阅读器身份进行验证；阅读器信息包括阅读器的第二假名。

身份验证模块用于在验证成功后，接收云服务器返回的第一验证信息，利用解密算法提取第二共享秘钥，利用第二共享秘钥提取第一假名加密信息中的第一假名；利用第一共享秘钥、第二共享秘钥以及第二随机数结合加密算法获取标签验证信息，与待验证标签信息对比判身份断验证是否通过。

进一步的，身份验证模块还包括信息更新单元。具体的：

信息更新单元用于在阅读器对标签身份认证通过后，利用第二共享秘钥、第一假名、云服务器生成的第四随机数和第二随机数通过加密算法生成认证成功信息，发送至标签，认证成功信息用于触发自标签至阅读器再到云服务器利用更新算法对自身信息的更新，获得第一更新共享秘钥、第一更新假名、第二更新共享秘钥、第二更新假名、第三更新共享秘钥以及更新后的身份验证信息。

进一步的，信息更新单元还包括更新验证单元。

具体的，更新验证单元用于在云服务器完成信息更新后，根据云服务器返回的第一更新响应信息验证更新完成，并生成第二更新响应信息发送至标签；第二更新响应信息用于触发标签对阅读器以及云服务器的更新结果进行验证。

进一步的，信息更新单元包括顺序更新子单元。

具体的，顺序更新子单元用于自标签至阅读器再到云服务器对自身信息的更新，阅读器接收到标签对自身信息更新完成后返回的第一更新信息，根据第一假名、第二随机数和第二共享秘钥结合更新算法获得阅读器第二更新共享秘钥，与接收到的第二更新共享秘钥信息对比，判断是否更新成功；若更新成功，阅读器更新其他信息，获得第三更新共享秘钥和第二更新假名，并根据加密算法生成第二更新信息发送至云服务器；第二更新信息用于触发云服务器更新共享秘钥以及存储的身份验证信息；第一更新信息为标签更新产生的第一更新共享秘钥、第二更新共享秘钥以及第一更新假名经加密算法处理后获得。

需要说明的是：上述本发明实施例先后顺序仅仅为了描述，不代表实施例的优劣。且上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。