基于位置隱私云的rfid認證系統和認證方法
【技術領域】
[0001]本發明屬于信息安全領域，涉及到云數據庫服務和射頻識別(RFID)認證，具體是一種基于位置隱私云的RFID認證系統和認證方法，主要應用于云計算環境下的RFID標簽和閱讀器的相互認證。
【背景技術】
[0002]射頻識別(RFID)技術是一種利用射頻信號來識別特定物品的自動識別技術。它與傳統的條形碼相比，具有非接觸性，識別速度快，一次能夠識別多個標簽，可以跟蹤管理等優勢，因此，在物流應用，零售產業，動物識別，圖書管理等領域得到廣泛的使用。
[0003]RFID確實對于許多領域可以提高其管理和運營效率，節約成本，然而一旦為物品貼上標簽，那么物品的數據隱私以及物品擁有者的位置隱私就會受到威脅。因此，保障用戶的安全和隱私是RFID技術走向工業化廣泛使用的前提。
[0004]傳統的RFID認證方案，包括標簽、閱讀器以及后臺服務器三部分，后臺服務器幫助標簽和閱讀器完成認證。在傳統方案中，閱讀器與后臺服務器之間的信道均假設是安全的，這一假設，限制了閱讀器的移動性。隨著物聯網的發展，海量的物品將依靠RFID技術進行識別和認證，以接入互聯網，將會形成RFID應用大數據。然而傳統的后臺服務器系統維護成本很高，而且后臺服務器的計算搜索能力也會成為系統瓶頸，將無法滿足RFID大數據的應用需求。Weis等人提出的基于哈希函數的雙向認證協議，Zhang等人提出的基于橢圓曲線密碼的認證方案，均較好的解決了安全和隱私問題，但其仍面臨著閱讀器固定，閱讀器位置隱私暴露，后臺服務器計算能力成為瓶頸，無法適應RFID大數據應用等問題。
[0005]后臺服務器限制了閱讀器的移動性，維護成本又很高，C.C.Tan等人提出無需服務器的認證協議。但它只支持離線認證，而且閱讀器需從可信第三方CA中下載訪問列表AL，由于閱讀器中存著很多訪問列表秘密信息，該方案導致閱讀器本身的安全性存在較大的威脅。
[0006]由于云計算具有按需租用，按時付費，可以提供實時計算等優勢，因此較多的學者將RFID研宄與云計算服務結合在一起，提出了較多基于云的RFID方案，但大都只是關注功能，并未涉及到安全和隱私問題。目前基于云的RFID認證方案較少，并且均未解決閱讀器位置隱私等問題。
[0007]綜上所述，現有的RFID認證方案存在以下的缺陷:
[0008]1.現有的很多RFID認證協議只支持單向認證，即閱讀器對標簽的認證，這使得標簽的安全性受到威脅。
[0009]2.現有的很多基于公鑰的認證方案，占用的標簽資源很多，增加了標簽計算的復雜度，遠遠超過了低成本標簽的資源承受范圍。
[0010]3.現有的基于后臺服務器的認證方案，限制了閱讀器的移動性，當要求閱讀器跨市甚至跨國移動的場景下是不適用的，而且后臺服務器的維護成本較高，并且在多數方案中，后臺服務器參與認證過程中都是邊計算邊搜索匹配，這使得后臺服務器的計算能力和檢索效率也成為系統的瓶頸。
[0011]4.現有的無服務器的認證方案，大都僅支持離線認證，而且閱讀器中存儲著很多秘密信息，若閱讀器被盜走，將會造成標簽信息的泄露。
[0012]5.現有的基于云的認證方案，標簽計算復雜度過高，并且均未能保護閱讀器的位置隱私。
[0013]6.現有的較多認證協議不能抵抗現有的各種攻擊手段，安全性能不夠。

【發明內容】

[0014]本發明的目的在于提出一個基于位置隱私云的RFID認證系統和認證方法，不僅滿足物聯網時代，海量物品依靠RFID技術識別和認證產生的RFID應用大數據的需求，更重要的是解決了閱讀器的位置隱私暴露，通信信道安全性的不足，以及標簽存儲資源受限、計算復雜度過高等問題。
[0015]為實現上述目的，本發明提出了一個基于位置隱私云的RFID認證系統和認證方法，本發明的基于位置隱私云的RFID認證系統，包括射頻識別標簽、移動閱讀器和后臺服務器，其特征在于還包括有能夠保護移動閱讀器位置隱私的公共接入平臺即位置隱私云，所述后臺服務器由云數據庫服務器構成；閱讀器與標簽交互的信息經過位置隱私云轉發給云數據庫服務器。
[0016]基于位置隱私云本發明還設計了一個安全的RFID認證方法，包括的步驟如下:
[0017]步驟I閱讀器R選擇一個隨機數A，并向標簽T發送包含隨機數A的認證請求Request | T1;
[0018]步驟2標簽對閱讀器的請求作出響應，標簽T選擇另一個隨機數r2，計算包含有標簽秘密值Key、標簽身份丨屯及閱讀器選擇的隨機數r i的哈希值11 PM1= H (Key |idT| Ir1),計算包含有標簽秘密值Key與標簽身份哈希值M 2，M2= H (Key | I id τ),并發送A I |r2| M1 112給閱讀器，即對閱讀器的請求作出了響應；
[0019]步驟3閱讀器R收到來自標簽的Γι| r2 |Mj %以后，存儲M i，并發送UaI IidJ Ir1I IM2 |MACkK經由位置隱私云轉發至云數據庫服務器，其中UA用于標識所屬用戶，云數據庫服務器驗證時只搜索隊用戶存儲的內容，以提高搜索效率，其中閱讀器選擇的隨機數η用于標識本次會話，其中MAC㈣是本條信息的消息摘要；
[0020]步驟4如果云數據庫服務器對閱讀器R發送的消息摘要認證成功，那么提取M2,并根據隊所標識的用戶屬性在其數據庫中查詢，結果有三種可能:
[0021]i)沒有找到記錄，認證失敗，終止認證；
[0022]ii)在數據庫中找到記錄H (Key I I idT) = M2，表明上一次云數據庫服務器和標簽均成功的進行了密鑰更新，發送r」|Ek (Key| |idT) | I MACkKg由位置隱私云轉發至閱讀器；
[0023]iii)在數據庫中找到記錄HOfeytjldI I idT) = M2，表明上一次云服務器正常更新但標簽沒有正常更新，發送A I IEk(KeytjldI I idT) I |MACkK^由位置隱私云轉發至閱讀器；
[0024]步驟5閱讀器R用自己的密鑰k解密Ek(Key| | idT)，得到標簽秘密值Key，標簽身份idT，并驗證包含解密得到的標簽秘密值Key、標簽身份idT及閱讀器選擇的隨機數!^的哈希值H (Key I I id T| T1)是否等于先前存儲的M1，若相等則完成了閱讀器對標簽的認證，然后閱讀器計算新的秘密值Keymw= H (Key r J I r2)，并計算包括新秘密值Keymw和標簽身份id #勺哈希值M 3，M3= H (Key new | idT)，和密文Ek (KeyneJ | idT)，發送rj Im3 I Ek (Keynew I I idT) | I MACkKCg由位置隱私云轉發至云數據庫服務器去完成更新；
[0025]步驟6云數據庫服務器收到該串后，更新數據庫存儲的記錄，并返回更新完畢信息;
[0026]步驟7閱讀器R收到更新完畢的消息后，計算用新的秘密值Keynrat異或加密包含標簽秘密值Key和標簽選擇的隨機數r2的哈希值得到密文C，C = H (Key |r 2) ? Keynew,并發送CI ^給標簽丁。
[0027]步驟8標簽T收到CI IM3后計算解密出標簽新秘密值Key new,驗證標簽身份1屯和解密得到的新的秘密值Keymw的哈希值是否等于M3，若相等則完成了標簽對閱讀器的認證，存儲13用于下一次查詢，并更新標簽秘密值為Key = Key η?。
[0028]本發明具有如下優點:
[0029]1.實現了閱讀器和標簽的雙向認證。
[0030]2.標簽需要存儲的資源和計算復雜度均較小，滿足輕量級標簽的要求。
[0031]3.通過租用云數據庫服務器取代傳統后臺服務器，減少了自己部署和維護數據庫的成本，具有較好的擴展性，安全性得到了保障，而且數據庫的檢索效率較高。
[0032]4.閱讀器可以跨市甚至跨國移動，由于云計算的實時性，所以也支持實時認證。
[0033]5.通過引入位置隱私云，解決了閱讀器的位置隱私問題，并且標簽計算復雜度較低。
【附圖說明】
[0034]圖1是本發明基于位置隱私云的RFID系統結構圖；
[0035]圖2是本發明基于位置隱私云的RFID認證方法示意圖。
【具體實施方式】
[0036]下面結合附圖對本發明進行了說明。
[0037]實施例1
[0038]本發明首先提出了一種基于位置隱私云的RFID認證系統。
[0039]參見圖1，基于位置隱私云的RFID認證系統包括射頻識別標簽、移動閱讀器和云數據庫服務器，重要的是本發明還包括有能夠保護移動閱讀器位置隱私的公共接入平臺即位置隱私云，位置隱私云是一種物聯網基礎設施，由可信第三方或提供隱私服務的可信組織維護，比如物聯網公共接入平臺。它能夠為閱讀器提供位置隱私保護傳輸和實現數據信息匯聚等公共服務的支持。本發明的后臺服務器由云數據庫服務器構成。本發明的閱讀器與標簽交互的信息經過位置隱私云轉發給云數據庫服務器。本發明通過引入位置隱私云，解決了閱讀器的位置隱私問題，通過租用云數據庫服務器取代傳統后臺服務器，減少了自己部署和維護數據庫的成本，具有較好的擴展性，安全性得到了保障，