(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号(10)申请公布号CNCN103560881103560881A(43)申请公布日2014.02.05(21)申请号201310484464.X(22)申请日2013.10.16(71)申请人南京邮电大学地址210000江苏省南京市栖霞区亚东新城区文苑路9号(72)发明人林巧民王汝传杨金文叶宁李鹏孙力娟肖甫黄海平徐鹤(74)专利代理机构江苏爱信律师事务所32241代理人唐小红(51)Int.Cl.H04L9/32(2006.01)H04L29/06(2006.01)G06K7/00(2006.01)权权利要求书2页利要求书2页说明书7页说明书7页附图2页附图2页(54)发明名称一种射频识别系统安全认证与密钥协商方法(57)摘要本发明公开了一种射频识别系统安全认证与密钥协商方法，该方法简化了通信双方公开值的传递，将其交由认证服务器来传达，而且这对安全性没有影响，因为即便服务器被攻破，那么其必定无法通过后面的认证。认证过程中每生成一个会话密钥，需要执行3轮通信，7步运算，相比同类方法，效率有很大提高。该发明的主要特点是安全，具有低存储成本、低通信成本、方法新颖、易于实现等特点。本发明能够有效抵御服务器泄露攻击、中间者攻击、离线猜测攻击和不可察觉的在线猜测攻击,同时提供双向认证、强安全性的会话密钥以及前向安全性，非常适合于必须提供隐私保护的RFID应用系统。CN103560881ACN103568ACN103560881A权利要求书1/2页1.一种射频识别系统安全认证与密钥协商方法，其特征在于该方法具体包括以下步骤：步骤1：电子标签发送身份标识<L>给后台认证服务器，步骤2：阅读器发送身份标识<R>给认证服务器，请求认证开始，步骤3：认证服务器选取随机值，是乘法群，计算，，E是椭圆曲线，并用表示，即，使用对加密以便之后认证服务器能对标签进行认证，，D是字典,；设加密后结果为，，向标签发送<、L、R、S>，其中S是认证服务器的身份标识，步骤4：认证服务器选取随机值，计算，同上，并用表示，即，使用，，对加密以便之后认证服务器能对阅读器进行认证，设加密后结果为，，向阅读器发送<、L、R、S>，步骤5：阅读器选取随机值，计算，同上，并用表示，即，计算出用于之后协商出共享秘密值，使用，同上，对进行解密，得到，计算，并用表示，即，计算出作为认证服务器对阅读器进行认证的密钥，计算，:是哈希函数，是安全参数，并用表示，即，计算出用作MAC码，向认证服务器发送<V、>，步骤6：标签选取随机值，计算，同上，并用表示，即，计算出用于之后协商共享秘密值，使用对进行解密，得到，计算，并用表示，即，计算出作为认证服务器对电子标签进行认证的密钥，计算，并用表示，即，计算出作为MAC码，向认证服务器发送<U、>，步骤7：认证服务器计算，、同上，因此有，由椭圆曲线的间隙迪菲-赫尔曼GDH困难性假设可知该密钥只有标签、认证服务器知道，从而可以用于后面认证服务器对标签的认证；认证服务器计算，如果与接收到的不等，则说明对方不是标签或消息被篡改过，认证服务器终止认证过程；否则，则完成了对标签的认证；类似地，认证服务器计算，、同上，因此有，同样由椭圆曲线的GDH困难性假设可知该密钥只有阅读器、认证服务器知道，从而可以用于后面认证服务器对阅读器的认证；认证服务器计算，如果与接收到的不等，则说明对方不是阅读器或消息被篡改过，认证服务器终止认证过程；否则，则完成了对阅读器的认证；当完成了对标签、阅读器的认2CN103560881A权利要求书2/2页证之后，认证服务器选取一个随机值，计算，并用表示，即，计算出用于之后协商共享的秘密值，计算，:是哈希函数，是安全参数，并用表示，即，计算出作MAC码，向标签发送，步骤8：认证服务器选取一个随机值，计算，并用表示，即，计算出用于之后协商共享秘密值，计算，并用表示，即，计算出作为MAC码，向阅读器发送，步骤9：标签计算，与收到的进行比较，如果不等，说明对方不是认证服务器或者消息已被篡改，标签终止认证过程；否则，标签完成对认证服务器的认证，步骤10：阅读器计算，与收到的进行比较，如果不等，说明对方不是认证服务器或者消息已被篡改，阅读器终止认证过程；否则，阅读器完成对认证服务的认证，步骤11：标签计算共享秘密值，阅读器计算共享秘密值，步骤12：标签与阅读器取cs为会话密钥，保障后续通信安全。3CN103560881A说明书1/7页一种射频识别系统安全认证与密钥协商方法技术领域[0001]本发明属于信息安全技术领域，特别涉及一种基于射频识别系统的安全认证与密钥协商方法。背景技术[0002]射频识别（RadioFrequencyIdentification，RFID）是一种非接