專利名稱:用于鑒定低資源示證者的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)字系統(tǒng)中的安全性,尤其是涉及在數(shù)字系統(tǒng)中鑒定示證者(prover )��。從產(chǎn)品的制造到銷售給消費(fèi)者這一點(diǎn)(當(dāng)射頻識(shí)別標(biāo)簽將取代當(dāng) 前使用的條形碼時(shí))����,將射頻識(shí)別(RFID)標(biāo)簽用于消費(fèi)產(chǎn)品管理很 可能在降低產(chǎn)品管理成本的同時(shí)會(huì)提高效率。已經(jīng)定義了一個(gè)通用標(biāo) 準(zhǔn)����,即RFID標(biāo)簽規(guī)范版本1. 0, 2003a����,全球EPC (稱為全球電子產(chǎn)品 碼(EPC))�����。這個(gè)創(chuàng)舉被認(rèn)為基本上覆蓋了所有的消費(fèi)產(chǎn)品。為了在 更廉價(jià)的產(chǎn)品中經(jīng)濟(jì)合理地具有RFID標(biāo)簽��,這些標(biāo)簽也必須是低成本 的���,這意味著它們受限于其處理能力����、存儲(chǔ)量和通信能力�。低成本、無(wú)源RFID標(biāo)簽基本上通過在被RFID讀取器詢問時(shí)利用 每個(gè)標(biāo)簽的唯一標(biāo)識(shí)符(所述EPC )進(jìn)行應(yīng)答來起作用�,這些標(biāo)簽從所 述RFID讀取器中獲得功率。每一個(gè)消費(fèi)產(chǎn)品項(xiàng)目中的這個(gè)唯一標(biāo)識(shí)符 可以由例如零售商的讀取器使用以便識(shí)別出產(chǎn)品并且指向可以由零售 商訪問的數(shù)據(jù)庫(kù)中的完全產(chǎn)品記錄�����。 一般情況下�����,這些應(yīng)用將涉及到 相當(dāng)多的可以進(jìn)入讀取器范圍的帶標(biāo)簽產(chǎn)品�����。在這種情況下,為了保 持系統(tǒng)的靈活性和實(shí)用性�����,可能要求在事先沒有向讀取器注冊(cè)這些產(chǎn) 品的標(biāo)識(shí)符的條件下��,讀取器識(shí)別出這些產(chǎn)品/標(biāo)簽中的任何一個(gè)�����。對(duì)于消費(fèi)者而言����,也存在唯一產(chǎn)品標(biāo)識(shí)符的許多可能的應(yīng)用(例 如智能爐自動(dòng)設(shè)置食物項(xiàng)目的烹調(diào)指令),因此在銷售給消費(fèi)者之后 保持標(biāo)簽的功能是有意義的�。然而,這些標(biāo)簽的這種普遍存在的方面 連同它們的直接應(yīng)答行為(對(duì)于任何讀取器請(qǐng)求都大聲呼叫出其EPC ) 也引起對(duì)于消費(fèi)者的隱私方面的考慮��。攜帶了讀取器的未授權(quán)個(gè)人可 能能夠掌握活動(dòng)的個(gè)人攜帶的產(chǎn)品的標(biāo)識(shí)符���,從而了解這個(gè)人攜帶或 穿戴的物品���。而且�����,可以通過他們經(jīng)常隨身攜帶的標(biāo)簽的唯一組合來 進(jìn)行個(gè)人跟蹤����。已經(jīng)做出了嘗試來解決對(duì)于這些隱私的考慮�。在Ari Juels的名 稱為"Minimalist Cryptography for Low-Cost RFID Tags"并且在 本專利申請(qǐng)?zhí)峤粫r(shí)可在 URL http:〃www.rsasecurity.com/rsalabs/node.asp icN2033上獲得的文章中已經(jīng)提出了解決這些問題的嘗 試����。這篇文章提出了用于利用讀取器進(jìn)行標(biāo)簽的隱私鑒定的安全方案, 其將對(duì)標(biāo)簽的負(fù)荷從計(jì)算需求轉(zhuǎn)移到存儲(chǔ)需求�����。在這種方案中�,標(biāo)簽 具有多個(gè)假名,當(dāng)讀取器查詢時(shí)�����,其循環(huán)移動(dòng)這些假名�。為了實(shí)現(xiàn)標(biāo) 簽和讀取器的相互鑒定,它們事先共享所有標(biāo)簽假名的列表并且對(duì)于 每個(gè)假名共享雙方進(jìn)行交換的兩個(gè)另外的秘密值����,從而實(shí)現(xiàn)互相鑒定��。 由于所有的值都是以明文來傳送的�,因此描述了 一種用于讀取器在相 互鑒定之后更新標(biāo)簽中的所有值(即假名和秘密值)的機(jī)制��。雖然這 種方案提供了防止標(biāo)簽克隆的標(biāo)簽鑒定(并且不僅僅是識(shí)別)�����,但是 它存在缺陷��。 一個(gè)有相當(dāng)份量的缺陷在于�����,必須預(yù)先向讀取器注冊(cè)標(biāo) 簽�。而且,沒有解決標(biāo)簽與不止一個(gè)讀取器的交互作用�����,因此一旦讀 取器更新了標(biāo)簽�,那么不存在其他讀取器學(xué)習(xí)該新的被更新標(biāo)簽值的 被建議的機(jī)制。此外���,該方案對(duì)于標(biāo)簽-讀取器的通信成本的要求非常 高����。鑒于上述情況,本發(fā)明的目的在于解決上述問題�����,尤其是提供了 由讀取器進(jìn)行的對(duì)于低功率標(biāo)簽的隱私鑒定��,其中在不要求預(yù)先注冊(cè) 的情況下可以由 一個(gè)或多個(gè)讀取器對(duì)任何標(biāo)簽進(jìn)行隱私鑒定���。 總體上,上述目的是通過隨附的獨(dú)立權(quán)利要求來實(shí)現(xiàn)的�。 本發(fā)明的第一方面是用于允許在包括示證者和驗(yàn)證者(verifier ) 的射頻識(shí)別系統(tǒng)中鑒定示證者的方法,該方法包括步驟示證者向驗(yàn) 證者發(fā)送示證者標(biāo)識(shí)符和雙親標(biāo)識(shí)符�;驗(yàn)證者向示證者發(fā)送驗(yàn)證者標(biāo) 識(shí)符;示證者借助于示證者多項(xiàng)式計(jì)算第一公共秘密���,其中示證者多 項(xiàng)式中的未知數(shù)由使用至少驗(yàn)證者標(biāo)識(shí)符的函數(shù)計(jì)算的結(jié)果來代替����; 以及驗(yàn)證者借助于第 一驗(yàn)證者多項(xiàng)式計(jì)算第 一公共秘密�����,其中第一驗(yàn) 證者多項(xiàng)式中的第 一未知數(shù)由示證者標(biāo)識(shí)符代替并且第 一驗(yàn)證者多項(xiàng) 式中的第二未知數(shù)由所述雙親標(biāo)識(shí)符代替;示證者通過關(guān)于至少所述第 一公共秘密調(diào)制第 一核心秘密來創(chuàng)建第 一 消息���;所述示證者向驗(yàn)證 者發(fā)送第一消息�;以及驗(yàn)證者通過利用第一公共秘密對(duì)第一消息進(jìn)行 解調(diào)來創(chuàng)建笫一核心秘密的第一候選���,由此將第一核心秘密的候選用 于所述鑒定���。這允許驗(yàn)證者和示證者獨(dú)立地創(chuàng)建用于調(diào)制核心秘密的 公共秘密。這個(gè)公共秘密使得示證者向驗(yàn)證者進(jìn)行預(yù)先注冊(cè)變得不必要�����。此外����,使用多項(xiàng)式的計(jì)算要求很小的處理能力。示證者計(jì)算第一公共秘密的步驟可以涉及借助于示證者多項(xiàng)式來 計(jì)算第 一公共秘密����,其中示證者多項(xiàng)式中的未知數(shù)由使用至少驗(yàn)證者 標(biāo)識(shí)符以及參數(shù)的第一值的函數(shù)計(jì)算的結(jié)果來代替,驗(yàn)證者計(jì)算第一 公共秘密的步驟可以涉及借助于第 一驗(yàn)證者多項(xiàng)式計(jì)算第 一公共秘 密,其中第二驗(yàn)證者多項(xiàng)式中的第 一 未知數(shù)由示證者標(biāo)識(shí)符代替并且 第二驗(yàn)證者多項(xiàng)式中的第二未知數(shù)由所述雙親標(biāo)識(shí)符代替����,其中第一 驗(yàn)證者多項(xiàng)式與所述參數(shù)的笫一值關(guān)聯(lián),并且該方法可以包括另外的步驟示證者借助于示證者多項(xiàng)式計(jì)算第二公共秘密�,其中示證者多 項(xiàng)式中的未知數(shù)由使用至少驗(yàn)證者標(biāo)識(shí)符以及參數(shù)的第二值的函數(shù)計(jì) 算的結(jié)果來代替;以及驗(yàn)證者借助于第二驗(yàn)證者多項(xiàng)式計(jì)算第二公共 秘密����,其中第二驗(yàn)證者多項(xiàng)式中的第 一未知數(shù)由示證者標(biāo)識(shí)符來代替 并且第二驗(yàn)證者多項(xiàng)式中的第二未知數(shù)由所述雙親標(biāo)識(shí)符來代替,其 中第二驗(yàn)證者多項(xiàng)式與所述參數(shù)的第二值關(guān)聯(lián)��。所述至少驗(yàn)證者標(biāo)識(shí)符以及參數(shù)的值的函數(shù)可以是驗(yàn)證者標(biāo)識(shí)符 與參數(shù)的值之和���。使用求和作為所述函數(shù)在這種情況下就足夠了��,并 且需要很小的處理能力。示證者多項(xiàng)式可以從主多項(xiàng)式中導(dǎo)出��,其中第一未知數(shù)已經(jīng)由示 證者標(biāo)識(shí)符代替并且笫二未知數(shù)已經(jīng)用雙親標(biāo)識(shí)符代替���;驗(yàn)證者多項(xiàng)式從主多項(xiàng)式中導(dǎo)出�����,其中第三未知數(shù)已經(jīng)由驗(yàn)證者標(biāo)識(shí)符與所述參 數(shù)的第一值之和代替����,第一驗(yàn)證者多項(xiàng)式與所述參數(shù)的第二值關(guān)聯(lián), 主多項(xiàng)式包括至少三個(gè)未知數(shù)���。主多項(xiàng)式因此可以被保密并且產(chǎn)生所 需的驗(yàn)證者多項(xiàng)式和示證者多項(xiàng)式���。對(duì)于所述方法的后續(xù)執(zhí)行而言,可以將第二核心秘密設(shè)置成示證者標(biāo)識(shí)符��。主多項(xiàng)式可以從網(wǎng)絡(luò)主多項(xiàng)式中導(dǎo)出��,該網(wǎng)絡(luò)主多項(xiàng)式具有至少 四個(gè)未知數(shù)��。因此����,可以創(chuàng)建多項(xiàng)式層級(jí),簡(jiǎn)化配置���。所述方法可以包括另外的步驟示證者通過利用第二公共秘密調(diào) 制第一核心秘密來創(chuàng)建第二消息���;示證者向驗(yàn)證者發(fā)送笫二消息;驗(yàn) 證者通過利用第二公共秘密解調(diào)第二消息來創(chuàng)建第一核心秘密的第二 候選;驗(yàn)證者有條件地鑒定第一核心秘密為第一核心秘密的第一候選�����, 該驗(yàn)證者條件至少包括第一核心秘密的第一候選的值等于第一核心秘密的第二候選的值�����。這允許鑒定第一核心秘密��。所述方法可以包括另外的步驟驗(yàn)證者創(chuàng)建第二核心秘密���;驗(yàn)證 者通過利用公共秘密調(diào)制第二核心秘密來創(chuàng)建第三消息����;驗(yàn)證者創(chuàng)建 計(jì)算秘密�����;驗(yàn)證者通過利用公共秘密調(diào)制計(jì)算秘密來創(chuàng)建笫四消息�����; 驗(yàn)證者通過利用公共秘密調(diào)制第二核心秘密和計(jì)算秘密來創(chuàng)建第五消 息�;驗(yàn)證者向示證者發(fā)送第三、第四和第五消息����;示證者通過利用與 調(diào)制第三消息所用的公共秘密對(duì)應(yīng)的公共秘密對(duì)第三被調(diào)制消息進(jìn)行 解調(diào)來創(chuàng)建候選第二核心秘密;示證者通過利用與調(diào)制第四消息所用 的公共秘密對(duì)應(yīng)的公共秘密對(duì)第四被調(diào)制消息進(jìn)行解調(diào)來創(chuàng)建候選計(jì) 算秘密��;示證者通過利用與調(diào)制第五消息所用的公共秘密對(duì)應(yīng)的公共秘密對(duì)第五被調(diào)制消息進(jìn)行解調(diào)來創(chuàng)建鑒定項(xiàng)目�����;示證者有條件地將 第二核心秘密鑒定為候選第二核心秘密并且將計(jì)算秘密鑒定為候選計(jì)算秘密���,該有條件的示證者條件至少包括鑒定項(xiàng)目等于第五被調(diào)制秘 密����。驗(yàn)證者對(duì)于特定秘密的更新增加了下一次鑒定的安全性����。計(jì)算秘密可以包括在計(jì)算后續(xù)公共秘密時(shí)由示證者使用的示證者 多項(xiàng)式的新系數(shù)。驗(yàn)證者創(chuàng)建計(jì)算秘密的步驟可以涉及通過利用第二核心秘密代替 第一驗(yàn)證者多項(xiàng)式中的未知數(shù)來創(chuàng)建示證者多項(xiàng)式的系數(shù)����。對(duì)于所述方法的后續(xù)執(zhí)行而言,可以將第二核心秘密設(shè)置成示證 者標(biāo)識(shí)符���。所述方法在示證者發(fā)送示證者標(biāo)識(shí)符的步驟之前可以包括另外的 步驟驗(yàn)證者選擇第一參數(shù)和第二參數(shù)��,驗(yàn)證者向示證者發(fā)送第一參 數(shù)和第二參數(shù)�,其中示證者計(jì)算第一公共秘密的步驟涉及使用第一參 數(shù),示證者計(jì)算第二公共秘密的步驟涉及使用第二參數(shù)�,第一驗(yàn)證者 多項(xiàng)式與第一參數(shù)關(guān)聯(lián),并且第二驗(yàn)證者多項(xiàng)式與第二參數(shù)關(guān)聯(lián)��。這 提供了抵抗重放攻擊的安全性��。所述方法在驗(yàn)證者創(chuàng)建第四消息的步驟之前可以包括另外的步 驟示證者和驗(yàn)證者建立第三公共秘密和第四公共秘密��,并且其中在 驗(yàn)證者創(chuàng)建第三消息的步驟中����,所述公共秘密為第三公共秘密,在驗(yàn) 證者創(chuàng)建第四消息的步驟中�����,所述公共秘密為第三公共秘密���,在驗(yàn)證 者創(chuàng)建第五消息的步驟中�����,所述公共秘密為第四公共秘密��,在示證者 創(chuàng)建候選第二核心秘密的步驟中��,所述公共秘密為第三公共秘密���,在示證者創(chuàng)建候選計(jì)算秘密的步驟中,所述公共秘密為第三公共秘密�, 在示證者創(chuàng)建鑒定項(xiàng)目的步驟中,所述公共秘密為第四公共秘密���。第三公共秘密可以與所述參數(shù)的第三值關(guān)聯(lián)�����,所述第四秘密與所 述參數(shù)的第四值關(guān)聯(lián)����。驗(yàn)證者創(chuàng)建第二核心秘密的步驟可以涉及將第二核心秘密設(shè)置成 隨機(jī)數(shù)�。第一核心秘密為電子產(chǎn)品碼。每個(gè)調(diào)制操作可以涉及執(zhí)行異或操作����,每個(gè)解調(diào)操作可以涉及執(zhí) 行異或操作�����。本發(fā)明的第二方面是用于允許鑒定示證者的射頻識(shí)別系統(tǒng)��,該系 統(tǒng)包括示證者和驗(yàn)證者��、示證者�,示證者包括用于向驗(yàn)證者發(fā)送示證 者標(biāo)識(shí)符和雙親標(biāo)識(shí)符的裝置���,驗(yàn)證者包括用于向示證者發(fā)送驗(yàn)證者 標(biāo)識(shí)符的裝置��,示證者包括用于借助于示證者多項(xiàng)式計(jì)算第 一公共秘 密的裝置����,其中示證者多項(xiàng)式中的未知數(shù)由使用至少驗(yàn)證者標(biāo)識(shí)符的 函數(shù)計(jì)算的結(jié)果來代替���,驗(yàn)證者包括用于借助于第一驗(yàn)證者多項(xiàng)式計(jì) 算第一公共秘密的裝置�,其中第一驗(yàn)證者多項(xiàng)式中的第一未知數(shù)由示 證者標(biāo)識(shí)符代替����,第 一驗(yàn)證者多項(xiàng)式中的笫二未知數(shù)由所述雙親標(biāo)識(shí) 符代替,示證者包括用于通過關(guān)于至少第一公共秘密調(diào)制第一核心秘 密來創(chuàng)建第 一 消息的裝置�,示證者包括用于向驗(yàn)證者發(fā)送第 一消息的 裝置�,以及驗(yàn)證者包括用于通過利用第一公共秘密解調(diào)第一消息來創(chuàng) 建第一核心秘密的第一候選的裝置�。本發(fā)明的第三方面為射頻識(shí)別示證者,其被配置成形成依照所述 第二方面的系統(tǒng)的一部分�。本發(fā)明的第四方面為射頻識(shí)別驗(yàn)證者���,其被配置成形成依照所述 第二方面的系統(tǒng)的一部分����。應(yīng)當(dāng)指出的是�,在RFID系統(tǒng)中,示證者一般對(duì)應(yīng)于標(biāo)簽并且驗(yàn)證 者一般對(duì)應(yīng)于讀取器�。根據(jù)下面的詳細(xì)公開、根據(jù)所附的權(quán)利要求以及根據(jù)附圖����,可以 看出本發(fā)明的其他目的、特征和優(yōu)點(diǎn)���?����?傮w而言���,除非本文中另有明確的定義��,權(quán)利要求中使用的所有 術(shù)語(yǔ)都應(yīng)當(dāng)按照其在本技術(shù)領(lǐng)域中的普通含義來解釋����。除非另有明確 的說明����,對(duì)于"一/一個(gè)/該[元件、設(shè)備����、部件、裝置���、步驟等等]"的所有引用都應(yīng)當(dāng)廣義地解釋為涉及所述元件���、設(shè)備、部件�、裝置、 步驟等等的至少一個(gè)實(shí)例���。除非另有明確的說明�,本文中公開的任何 方法的步驟都不必按照所公開的確切順序來執(zhí)行。現(xiàn)在將參照附圖更加詳細(xì)地描述本發(fā)明的實(shí)施例���,在附圖中
圖1示出了其中可以應(yīng)用本發(fā)明的一個(gè)實(shí)施例的環(huán)境���; 圖2示出了說明本發(fā)明第一實(shí)施例的協(xié)議的順序圖; 圖3示出了說明本發(fā)明第二實(shí)施例的協(xié)議的順序圖���。應(yīng)當(dāng)指出的是,盡管下面描述的實(shí)施例涉及RFID����,但是本發(fā)明并 不限于RFID系統(tǒng)。圖1示出了其中可以應(yīng)用本發(fā)明的一個(gè)實(shí)施例的環(huán)境����。第一讀取 器111具有有限的范圍131,它在該范圍內(nèi)可以與標(biāo)簽進(jìn)行通信����。當(dāng)前, 存在笫一標(biāo)簽101和第二標(biāo)簽102��,這些標(biāo)簽?zāi)軌蚍謩e通過無(wú)線鏈路 122和123與讀取器111通信,而第三標(biāo)簽103處于更遠(yuǎn)的位置����,因而 當(dāng)前不能與讀取器111通信。不過�,第三標(biāo)簽103處于第二讀取器112 的范圍132內(nèi),因而可以通過無(wú)線鏈路124與第二讀取器112通信�。 每個(gè)標(biāo)簽都包含標(biāo)簽與其通信的讀取器可以檢測(cè)的電子產(chǎn)品碼(EPC) (未示出)。如下面進(jìn)一步所解釋的�,存在一種方法,其包括每個(gè)標(biāo) 簽和每個(gè)讀取器的多項(xiàng)式和身份���、允許讀取器相當(dāng)安全地讀取標(biāo)簽的 EPC�、確保EPC的真實(shí)性�。受信任第三方(TTP) 121向標(biāo)簽和讀取器分 配多項(xiàng)式和身份(未示出)。下面詳細(xì)地討論依照本發(fā)明一個(gè)實(shí)施例的方法���。所提出的用于隱私鑒定的解決方案基于Blom的方案�����,借助于多項(xiàng) 式產(chǎn)生共享的秘密�。這種方案的優(yōu)點(diǎn)在于����,每個(gè)示證者和每個(gè)驗(yàn)證者 可以共享唯一的秘密�,而不必(i)在協(xié)議開始之前建立它們之間的相 互秘密���,以及(ii )在每方存儲(chǔ)所有這些秘密�。由于標(biāo)簽和讀取器之 間具有共享的秘密����,因此可以在各方之間安全地交換值。而且��,這種 方案滿足了不向讀取器預(yù)先注冊(cè)標(biāo)簽的要求���。所述系統(tǒng)中的實(shí)體包括低功率RFID標(biāo)簽101、 102��、 103; RFID 讀取器111����、 112;以及受信任第三方(TTP) 121。下面描述這些實(shí)體 的動(dòng)作以及它們之間的交互��。TTP 121選擇三個(gè)變量的多項(xiàng)式Q(x,y:�����,y2),該多項(xiàng)式稱為"主��,���, 多項(xiàng)式��。該多項(xiàng)式關(guān)于變量x的次數(shù)為(n-l)��,而關(guān)于變量y,和y2 次數(shù)為(m-l)�,因此整個(gè)多項(xiàng)式的自由度等于nxmxm����。選擇值n和m, 使得m相對(duì)較小并且n相對(duì)較大����,其原因在下面將變得清楚明白。而 且�����,選擇Q (x���, yi��, y2)���,使得它關(guān)于變量yi和L是對(duì)稱的�����,即對(duì)于所有 (x����,y"y2)����, Q(x,y"y2卜Q(x����,y2�,yi)。在這些約束下����,可以隨機(jī)地選擇 該多項(xiàng)式�。然后���,TTP 121在系統(tǒng)中向每個(gè)讀取器R 111��、 112分配(i) 隨機(jī)數(shù)IDa����,這是多項(xiàng)式系統(tǒng)中的讀取器標(biāo)識(shí)符��;以及(i i )關(guān)于兩個(gè)變量x和yi的����、形如Q/p) (x, yi) =Q (x�, yi, y2=IDR+p) 的四個(gè)多項(xiàng)式�����,p=0�,l,2�����,3, nxm個(gè)系數(shù)應(yīng)當(dāng)由讀取器111��、 112保密�。對(duì)于系統(tǒng)中的任何兩個(gè)讀取器Ri和Rj,必須成立對(duì)于所有i����、 j和p,有IDR(VlDR(j)+p��。而且�����,當(dāng)它們進(jìn)入系統(tǒng)中時(shí)����,TTP 121向每個(gè)標(biāo)簽T 101分配a) 隨機(jī)數(shù)IDT(多項(xiàng)式系統(tǒng)中標(biāo)簽的標(biāo)識(shí)符)和S, 一個(gè)隨機(jī)數(shù)(其 模仿"雙親�,,讀取器的ID��,參見下文)�;以及b) 關(guān)于一個(gè)變量y,的多項(xiàng)式QT(yJ-Q(x-IDT����,y,���,y尸S),邁個(gè)系數(shù) 應(yīng)當(dāng)由標(biāo)簽101保密??商鎿Q地,當(dāng)把值分配給標(biāo)簽T 101時(shí)����,TTP 121也可以是受信任 讀取器TR (受標(biāo)簽101的信任)的形式,其向標(biāo)簽T 101發(fā)送(i )隨機(jī)數(shù)IDT (同上)和IDTR (多項(xiàng)式系統(tǒng)中受信任讀取器的標(biāo) 識(shí)符)�����;以及(ii) 多項(xiàng)式QT(yJ-Q(x^DT���,y,�,y尸IDTR),同上��。 受信任讀取器TR稱為標(biāo)簽的"雙親"���。由于m相對(duì)較小并且n相對(duì)較大�����,因而所述標(biāo)簽不必存儲(chǔ)非常大 的多項(xiàng)式(m個(gè)系數(shù))��。另一方面����,讀取器111、 112必須存儲(chǔ)nxm個(gè) 系數(shù)�����。在這里�����,存儲(chǔ)負(fù)荷轉(zhuǎn)移到(資源多得多的)讀取器111���、 112����。在系統(tǒng)的這種初始設(shè)置中���,隨機(jī)數(shù)(例如標(biāo)識(shí)符)和多項(xiàng)式系數(shù) 的傳輸應(yīng)當(dāng)通過安全的信道來完成��。而且�����,任何新實(shí)體(標(biāo)簽或讀取 器)在任何時(shí)間點(diǎn)上都可以進(jìn)入系統(tǒng)中���。在任何時(shí)間點(diǎn)上進(jìn)入系統(tǒng)時(shí), 執(zhí)行上面初始設(shè)置(對(duì)于讀取器和對(duì)于標(biāo)簽)中所述的相同過程�����。為了標(biāo)簽T101向讀取器R111秘密地發(fā)送其唯一 (EPC)標(biāo)識(shí)符�,執(zhí)行圖2中繪出的協(xié)議。在這個(gè)協(xié)議中�����,通過標(biāo)簽101和讀取器111 開始時(shí)向彼此披露其多項(xiàng)式標(biāo)識(shí)符來完成標(biāo)簽101和讀取器111之間 共享秘密的建立�。如同將要描述的,利用這些共享的秘密�����,雙方可以 互相鑒定并且標(biāo)簽101可以秘密地發(fā)送其唯一 EPC標(biāo)識(shí)符�����。然而,在 這個(gè)過程中����,觀察者可以了解到該標(biāo)簽的多項(xiàng)式標(biāo)識(shí)符IDT。為了防止 標(biāo)簽101通過IDT以及不同鑒定會(huì)話的可鏈接性被跟蹤����,在給定鑒定會(huì) 話中查詢標(biāo)簽101的讀取器111在該會(huì)話結(jié)束時(shí)"刷新"標(biāo)簽101。這 意味著讀取器111產(chǎn)生新的標(biāo)識(shí)符和新的多項(xiàng)式系數(shù)并且將它們安全 地發(fā)送給標(biāo)簽101�����,所述標(biāo)簽101然后更新這些值�。這個(gè)讀取器111 于是成為該標(biāo)簽的新雙親。下面詳細(xì)地解釋整個(gè)協(xié)議����。上面所述可替 換的設(shè)置(涉及受信任讀取器TR)被使用,并且為了簡(jiǎn)單起見��,假設(shè) 標(biāo)簽101在進(jìn)入系統(tǒng)之后第一次被鑒定(即其雙親為受信任讀取器 TR)�����。這個(gè)假設(shè)沒有喪失所述解決方案的一般性。圖2示出了說明本發(fā)明第一實(shí)施例的協(xié)議的順序圖����,其涉及標(biāo)簽 101和讀取器111。在第一步驟210中��,讀取器111通過向標(biāo)簽101發(fā)送請(qǐng)求來啟動(dòng) 通信�����,以便發(fā)送其標(biāo)簽標(biāo)識(shí)符IDT和其雙親標(biāo)識(shí)符IDTR�。此外�����,讀取器 111向標(biāo)簽101發(fā)送其標(biāo)識(shí)符IDR�����。在步驟212中����,在步驟210中由讀取器111查詢之后,標(biāo)簽101 向讀取器111發(fā)送其標(biāo)識(shí)符1&和其當(dāng)前雙親的標(biāo)識(shí)符IDTK��。然后在步驟214中,標(biāo)簽101計(jì)算p=0�、 1、 2�����、 3時(shí)的值 KT(')=QT(IDR+p)=Q(x=IDT��,yi=IDK+p����,y2=IDTR)。相應(yīng)地����,讀取器111在步 驟 216 中計(jì)算 p=0,l����,2,3 時(shí)的值 KK(P)=Q/P)(IDT��,IDTK)= Q(x-IDT��,yi=IDTR�����,y2=IDR+p)。給定多項(xiàng)式對(duì)稱性���,只要標(biāo)簽和讀取器的 多項(xiàng)式按照前面規(guī)定的方式來產(chǎn)生�,那么有KT(P>=K/P)�。當(dāng)出現(xiàn)這種情 況時(shí),標(biāo)簽101和讀取器111可以建立起p=0����,l����,2,3時(shí)的共享秘密K(p) —V (p) =f (p) t —kit =k o在步驟218中�����,在雙方產(chǎn)生了秘密之后��,標(biāo)簽101用其計(jì)算的KT(Q) 以及其計(jì)算的K/"與其EPC標(biāo)識(shí)符進(jìn)行異或�����,并且將兩個(gè)所得結(jié)果XW 和X"'發(fā)送給讀取器111。這是通過標(biāo)簽101利用兩個(gè)不同的秘密值(或 密鑰)K/���。)和Kt")來完成的�。因此在步驟220中�,讀取器lll可以(i) 通過將X(。'與其計(jì)算的秘密Kj'進(jìn)行異或來從X("中恢復(fù)標(biāo)簽的EPC標(biāo)識(shí)符����,并且(ii)通過將X")與其計(jì)算的秘密K/"進(jìn)行異或來從X^中 檢查標(biāo)簽的EPC標(biāo)識(shí)符。如果這兩個(gè)值不匹配�����,那么讀取器lll停止�。 如果它們匹配,那么讀取器111鑒定出標(biāo)簽101 (因?yàn)闃?biāo)簽101能夠產(chǎn) 生與讀取器111相同的密鑰)�,并且讀取器111獲得正確的EPC標(biāo)識(shí)符。然后���,讀取器111繼續(xù)以更新標(biāo)簽101�。在步驟222中��,它選擇隨 機(jī)數(shù)IDt,(其將用作標(biāo)簽的新多項(xiàng)式標(biāo)識(shí)符)并且在步驟224中計(jì)算 系數(shù)為 "(i=0�,l����,...��,m-l )的新多項(xiàng)式 QR(x=IDTnew��,yi)= Q(x-ID/ew�����,y!���,y2-IDK)。然后在步驟226中���,讀取器111將ID,和每個(gè) 新系數(shù)"與其計(jì)算的K/2)進(jìn)行異或����,從而形成值X")和X(")���。為了允許 標(biāo)簽101檢查這些值(如同之前對(duì)于讀取器111所做的)�����,讀取器111 進(jìn)一步將新標(biāo)識(shí)符ID/^和校驗(yàn)和值C-c���。6CC2…cv,與其計(jì)算的K/3) 進(jìn)行異或����,從而形成值X"5���。應(yīng)當(dāng)指出的是����,在這里表示異或操 作����。然后,將所有這些(m+2)個(gè)值發(fā)送到標(biāo)簽101?,F(xiàn)在在步驟228中,標(biāo)簽101可以通過將這些值中的每一個(gè)與其 計(jì)算的秘密K,進(jìn)行異或來從X")和X"'"中恢復(fù)ID,"和新系數(shù)Ci�����,�。而 且在步驟 230 中,標(biāo)簽 101 可以通過計(jì)算校驗(yàn)和值 ����。=0���。, (;1���, (;2�����,...(; 1-1��,來檢查這些值���。然后,標(biāo)簽101使用該值和其計(jì) 算的秘密K/3)來計(jì)算X(3)��,=IDr" C�, KT(3)�����。如果X(3)^X(3)��,那么標(biāo)簽 101停止。如果這些值匹配�����,那么標(biāo)簽101鑒定出讀取器111 (因?yàn)樽x 取器111能夠產(chǎn)生與標(biāo)簽101相同的密鑰)�����,并且標(biāo)簽101獲得正確 的新的標(biāo)識(shí)符ID廣"以及正確的新的系數(shù)���。在步驟232中�,標(biāo)簽101最終用這些新值重寫其多項(xiàng)式和標(biāo)識(shí)符����, 這些新值用于下一次啟動(dòng)該方法時(shí)。在一個(gè)實(shí)施例中��,如果需要的話�,在標(biāo)簽101和讀取器111之間 可以存在更多的共享秘密以用于進(jìn)一步操作,即p可以采用大于3的 值�����。更明確地說,p=0�����,l����,2,...����,P,其中P〉3����。這將在下面進(jìn)一步加以討 論。在上述方案中���,TTP121具有關(guān)于三個(gè)變量的(主)多項(xiàng)式���,其被 簡(jiǎn)化成發(fā)送給讀取器的關(guān)于兩個(gè)變量的多項(xiàng)式,這些多項(xiàng)式反過來又 簡(jiǎn)化成發(fā)送給標(biāo)簽的關(guān)于一個(gè)變量的多項(xiàng)式��。這個(gè)層級(jí)可以向上拓展��, 即可以在原始TTP 121之上引入更多的具有關(guān)于四個(gè)�、五個(gè)等變量的多項(xiàng)式的TTP,在沿該層級(jí)向下的每一級(jí),這些多項(xiàng)式的級(jí)次降低����。這 允許將系統(tǒng)組織成各級(jí),每個(gè)TTP負(fù)責(zé)歸入其下的實(shí)體(即其他TTP�、 讀取器和標(biāo)簽)?�?蛇x地�����,可以讓讀取器存儲(chǔ)其通信歷史�����。該歷史可以用來回退任 何異常�。由于全局系統(tǒng)安全性依賴于主多項(xiàng)式的秘密性,因此現(xiàn)在利用描 述的附加的實(shí)施例來更加詳細(xì)地討論這一點(diǎn)����。主多項(xiàng)式Q(x,y^y2)具有nxmxm個(gè)系數(shù)�����,但是由于它關(guān)于最后兩 個(gè)變量是對(duì)稱的,因而具有的自由度為nm(m+l)/2 (與n個(gè)大小為mxm 的對(duì)稱矩陣的自由度相同)����。對(duì)于K-Q(Vi,V2�����,V3),知道秘密K以及值Vh V2和V3就給出有關(guān)多 項(xiàng)式Q(x����,y^y2)的系數(shù)的一個(gè)方程。知道存儲(chǔ)于標(biāo)簽中的一個(gè)多項(xiàng)式 QT(yJ就等價(jià)于關(guān)于Q的系數(shù)的m個(gè)方程���。知道存儲(chǔ)于讀取器中的一個(gè) 多項(xiàng)式Q/P) (x��, yi)就給出關(guān)于Q的系數(shù)的mxn個(gè)方程�����。這意味著因此�,有必要"侵入"(意即非法地獲悉秘密)n(m+l)/2個(gè)標(biāo)簽 以便獲悉主多項(xiàng)式��。如果讀取器具有(P+l)個(gè)多項(xiàng)式(應(yīng)當(dāng)指出的是,圖2中P=3) 那么有必要侵入(m+l) / (2 (P+l))個(gè)讀取器以便獲得主多項(xiàng)式��。如上所述�����,選擇值n和m�����,使得m相對(duì)較小并且n相對(duì)較大�。這意 味著���,假設(shè)讀取器比標(biāo)簽更難侵入的情況下��,攻擊者需要侵入數(shù)量比 讀取器的數(shù)量大得多的標(biāo)簽(標(biāo)簽數(shù)量/讀取器數(shù)量-n(P+l))以便獲 得主多項(xiàng)式��。偵聽合法標(biāo)簽T和合法讀取器R之間的通信的攻擊者可能記錄該 通信并且之后重放該通信以便模仿讀取器到標(biāo)簽的通信或者模仿標(biāo)簽 到讀取器的通信��。下面考慮這兩種情況���。當(dāng)惡意的讀取器設(shè)法讀取合法的標(biāo)簽時(shí),所述值的簡(jiǎn)單重放不能 幫助該讀取器�����,因?yàn)闃?biāo)簽的多項(xiàng)式標(biāo)識(shí)符與被記錄協(xié)議中發(fā)送的值并 不相同(因?yàn)樵趨f(xié)議結(jié)束時(shí)值被更新了 )。該讀取器不能夠獲得標(biāo)簽 的EPC����,因?yàn)樗荒軌蛴?jì)算正確的秘密K/。)和K/1)�����。而且�����,如果該讀取 器設(shè)法用偽造值更新標(biāo)簽���,那么標(biāo)簽將檢測(cè)出ID,w值的失配并且它將 停止協(xié)議���。當(dāng)惡意的標(biāo)簽通過模仿有效的標(biāo)簽來設(shè)法欺騙合法的讀取器時(shí),該標(biāo)簽必須重放完全的協(xié)議�,但是只能利用合法的讀取器R。在這種情 況下��,讀取器將獲得標(biāo)簽T的EPC��,并且繼續(xù)以更新該標(biāo)簽的值。因此����, 該標(biāo)簽處多用合法的EPC來欺騙讀取器。為了防止這種攻擊����,可以按 照下述圖3中示出的方式來擴(kuò)展系統(tǒng)?,F(xiàn)在將更加詳細(xì)地描述依照這 個(gè)實(shí)施例的協(xié)議。在系統(tǒng)設(shè)置期間����,TTP 121向系統(tǒng)中的每個(gè)讀取器111 (R) 111 分配數(shù)量為(P+l)的多項(xiàng)式,其中P>3�。與前面相同,這些多項(xiàng)式形如 Q/p) (x���, yi) =Q (x��, y!����, y2=IDR+p)�����,不過現(xiàn)在p=0, 1���, 2��, 3�, " P�。像前面一樣, 標(biāo)簽只接收一個(gè)多項(xiàng)式?���,F(xiàn)在在標(biāo)簽鑒定協(xié)議的開始處,在步驟310 中�����,當(dāng)讀取器111向標(biāo)簽101發(fā)送其標(biāo)識(shí)符IDK時(shí)��,讀取器lll還將發(fā) 送兩個(gè)從集合(O����, 1, 2, 3��, ...�����,P}中隨機(jī)選取的不同值�,比如p。和p"類 似于結(jié)合圖2描述的協(xié)議�,標(biāo)簽101向讀取器111發(fā)送IDt和IDTR。在 步驟314中���,值p。和p!指示標(biāo)簽101奸算秘密Kt(p�����。^Qt(IDr+p�����。)以及 KTW = QT(IDR+Pl)����,并且在步驟318中使用這些秘密對(duì)其EPC進(jìn)行異或, 產(chǎn)生x("和x")����,并且將這些值發(fā)送給讀取器111�。同時(shí)�����,讀取器111 已經(jīng)在步驟316中計(jì)算了相應(yīng)的共享秘密����。通過這種方式,值x^和x^與攻擊者記錄的值(比如X("和X^) (假定在被記錄協(xié)議中��,如圖2中一樣����,p。-0和p產(chǎn)l)相同的機(jī)會(huì)只 是P(P+l)/2分之一��。并且如果惡意的標(biāo)簽不能產(chǎn)生x(p�����。)和x")����,那么讀 取器111就能夠在步驟320中檢查EPC值時(shí)檢測(cè)出它����,并且停止協(xié)議�。用于發(fā)送/檢查IDT,的另外兩個(gè)秘密以及新的系數(shù)Ci (即 K,)/K,)和K,)/K,))由具有p個(gè)值、P2和P3的讀取器和標(biāo)簽產(chǎn)生���,其事先由讀取器和標(biāo)簽達(dá)成一致��。例如����,它們可以總是由讀取器和標(biāo) 簽選取為剩余集合S={0����,1���,2���,3,...�����,P}-(p。�,pj中的兩個(gè)最低值。應(yīng)當(dāng) 指出的是����,關(guān)鍵值為P。和P"它們的選擇允許讀取器確定標(biāo)簽是否合 法(如上所述����,失敗的機(jī)會(huì)為P(P+1)/2分之一)。類似于結(jié)合圖2描述的協(xié)議��,讀取器111在步驟322中產(chǎn)生ID/6" 并且在步驟324中計(jì)算新的標(biāo)簽多項(xiàng)式的新Ci值����。在步驟"6中,通 過將IDT�����,和每個(gè)系數(shù)Ci與K/2)進(jìn)行異或來計(jì)算值X(p2'����、 X(P2i);通過讀 取器111進(jìn)一步將新的標(biāo)識(shí)符ID廣"和校驗(yàn)和值C-c���。0d①C2…CH與其 計(jì)算的K/")進(jìn)行異或以便形成X(p3'來計(jì)算X(P3)。然后����,將X(P2>、 X(p2i) 和X(")發(fā)送給標(biāo)簽101?��,F(xiàn)在在步驟328中�����,標(biāo)簽101可以通過將這些值中的每一個(gè)與其 計(jì)算的秘密K/"進(jìn)行異或來從X^和X^'i'中恢復(fù)IDr"和新系數(shù)Ci����,��。 而且在步驟330中�,標(biāo)簽101可以通過計(jì)算校驗(yàn)和值 C,^��。�����,6d����,扭C2,…"V來檢查這些值�。然后,標(biāo)簽101使用該值和其計(jì) 算的秘密K/")來計(jì)算X(P3)���,=IDTne" C�, KT(P3)�����。如果X(F3)VX(P3)�,那么標(biāo) 簽101停止。如果這些值匹配�����,那么標(biāo)簽101鑒定出讀取器111 (因?yàn)?讀取器111能夠產(chǎn)生與標(biāo)簽101相同的密鑰)����,并且標(biāo)簽101獲得正 確的新的標(biāo)識(shí)符ID,w以及正確的新的系數(shù)。在步驟332中���,標(biāo)簽101最終用這些新值重寫其多項(xiàng)式和標(biāo)識(shí)符���, 這些新值用于下一次啟動(dòng)該方法時(shí)�。在上面����,必須調(diào)節(jié)P的值,作為在兩個(gè)安全性要求之間的折衷 它應(yīng)當(dāng)足夠大以便如上所述降低模仿攻擊的可能性�;但是它應(yīng)當(dāng)顯著 小于(m-1) /2 ,以使攻擊者為獲取主多項(xiàng)式而必須侵入的讀取器數(shù)量 (m+l)/(2 (P+l))相當(dāng)大���。假定通過(i )隱藏標(biāo)簽的EPC標(biāo)識(shí)符以及(ii )在成功地相互鑒 定之后更新標(biāo)簽的標(biāo)識(shí)符(在多項(xiàng)式方案中)和標(biāo)簽的多項(xiàng)式來實(shí)現(xiàn) 秘密性�,那么所提出的方案的代價(jià)在于標(biāo)簽和讀取器之間增加的通信�����。 然而�����,由于標(biāo)簽的多項(xiàng)式具有m個(gè)系數(shù)并且m的選擇使得其相對(duì)較小�, 因此通信負(fù)荷(以及標(biāo)簽中必要的存儲(chǔ)空間)得以降低。盡管上迷實(shí)施例涉及RFID�,但是應(yīng)當(dāng)指出的是,本發(fā)明并不限于 RFID系統(tǒng)�。上面已經(jīng)主要參照一些實(shí)施例描述了本發(fā)明。但是����,本領(lǐng)域技術(shù) 人員容易理解的是,在本發(fā)明的范圍內(nèi)同樣可能存在不同于所公開實(shí) 施例的其他實(shí)施例���,所述范圍由隨附專利權(quán)利要求所限定。
權(quán)利要求
1.一種允許在包括示證者(101)和驗(yàn)證者(111)的系統(tǒng)中鑒定所述示證者(101)的方法�����,所述方法包括步驟所述示證者(101)向所述驗(yàn)證者(111)發(fā)送示證者標(biāo)識(shí)符和雙親標(biāo)識(shí)符�,所述驗(yàn)證者(111)向所述示證者(101)發(fā)送驗(yàn)證者標(biāo)識(shí)符,所述示證者(101)借助于示證者多項(xiàng)式計(jì)算第一公共秘密��,其中所述示證者多項(xiàng)式中的未知數(shù)由使用至少所述驗(yàn)證者標(biāo)識(shí)符的函數(shù)計(jì)算的結(jié)果來代替�����,以及所述驗(yàn)證者(111)借助于第一驗(yàn)證者多項(xiàng)式計(jì)算所述第一公共秘密���,其中所述第一驗(yàn)證者多項(xiàng)式中的第一未知數(shù)由所述示證者標(biāo)識(shí)符代替并且所述第一驗(yàn)證者多項(xiàng)式中的第二未知數(shù)由所述雙親標(biāo)識(shí)符代替�,所述示證者(101)通過關(guān)于至少所述第一公共秘密調(diào)制第一核心秘密來創(chuàng)建第一消息,所述示證者(101)向所述驗(yàn)證者(111)發(fā)送所述第一消息��,以及所述驗(yàn)證者(111)通過利用所述第一公共秘密對(duì)所述第一消息進(jìn)行解調(diào)來創(chuàng)建所述第一核心秘密的第一候選�����,由此將所述第一核心秘密的所述候選用于所述鑒定��。
2. 依照權(quán)利要求l的方法�,其中所述示證者(101 )計(jì)算第一公共秘密的所述步驟涉及借助于所述 示證者多項(xiàng)式來計(jì)算所述第 一公共秘密,其中所述示證者多項(xiàng)式中的 未知數(shù)由使用至少所述驗(yàn)證者標(biāo)識(shí)符以及參數(shù)的第一值的函數(shù)計(jì)算的 結(jié)果來代替�����,所述驗(yàn)證者(111 )計(jì)算所述第一公共秘密的所述步驟涉及借助于 第 一驗(yàn)證者多項(xiàng)式計(jì)算所述第 一公共秘密����,其中所述第二驗(yàn)證者多項(xiàng) 式中的第 一未知數(shù)由所述示證者標(biāo)識(shí)符代替并且所述第二驗(yàn)證者多項(xiàng) 式中的第二未知數(shù)由所述雙親標(biāo)識(shí)符代替,其中所述第一驗(yàn)證者多項(xiàng)式與所述參數(shù)的所述第一值關(guān)聯(lián)����, 并且所述方法包括另外的步驟所述示證者(101)借助于所述示證者多項(xiàng)式計(jì)算第二公共秘密,其中所述示證者多項(xiàng)式中的未知數(shù)由使用至少所述驗(yàn)證者標(biāo)識(shí)符以及 參數(shù)的第二值的函數(shù)計(jì)算的結(jié)果來代替�����,以及所述驗(yàn)證者(111)借助于笫二驗(yàn)證者多項(xiàng)式計(jì)算第二公共秘密, 其中所述第二驗(yàn)證者多項(xiàng)式中的第 一未知數(shù)由所述示證者標(biāo)識(shí)符來代 替并且所述第二驗(yàn)證者多項(xiàng)式中的第二未知數(shù)由所述雙親標(biāo)識(shí)符來代 替���,其中所述第二驗(yàn)證者多項(xiàng)式與所述參數(shù)的所述第二值關(guān)聯(lián)。
3. 依照權(quán)利要求2的方法���,其中至少所述驗(yàn)證者標(biāo)識(shí)符以及參數(shù) 的值的所述函數(shù)是所述驗(yàn)證者標(biāo)識(shí)符與所述參數(shù)的所述值之和��。
4. 依照權(quán)利要求2或3的方法����,其中所述示證者多項(xiàng)式從主多項(xiàng)式中導(dǎo)出���,其中第一未知數(shù)已經(jīng)由所 述示證者標(biāo)識(shí)符代替并且第二未知數(shù)已經(jīng)用雙親標(biāo)識(shí)符代替���,以及所述驗(yàn)證者多項(xiàng)式從所述主多項(xiàng)式中導(dǎo)出,其中第三未知數(shù)已經(jīng) 由所述驗(yàn)證者標(biāo)識(shí)符與所述參數(shù)的所述第 一值之和代替���,所述第 一驗(yàn) 證者多項(xiàng)式與所述參數(shù)的第二值關(guān)聯(lián)�,所述主多項(xiàng)式包括至少三個(gè)未知數(shù)���。
5. 依照權(quán)利要求4的方法����,其中所述主多項(xiàng)式從網(wǎng)絡(luò)主多項(xiàng)式中 導(dǎo)出,所述網(wǎng)絡(luò)主多項(xiàng)式具有至少四個(gè)未知數(shù)��。
6. 依照權(quán)利要求2-5中任何一項(xiàng)的方法���,包括另外的步驟 所述示證者(101)通過利用所述第二公共秘密調(diào)制所述第一核心秘密來創(chuàng)建第二消息�����,所述示證者(101)向所述驗(yàn)證者(111)發(fā)送所述第二消息�����, 所述驗(yàn)證者(111)通過利用所述第二公共秘密解調(diào)所述笫二消息來創(chuàng)建所述第 一核心秘密的第二候選�����,所述驗(yàn)證者(111 )有條件地鑒定所述第一核心秘密為所述第一核心秘密的所述第一候選����,所述驗(yàn)證者條件至少包括所述第一核心秘密的所述第一候選的值等于所述第一核心秘密的所述第二候選的值��。
7. 依照權(quán)利要求6的方法,包括另外的步驟 所述驗(yàn)證者(111)創(chuàng)建第二核心秘密�����,所述驗(yàn)證者(111 )通過利用公共秘密調(diào)制所述第二核心秘密來創(chuàng) 建第三消息���,所述驗(yàn)證者(111)創(chuàng)建計(jì)算秘密��,所述驗(yàn)證者(111)通過利用公共秘密調(diào)制所述計(jì)算秘密來創(chuàng)建第四消息,所述驗(yàn)證者(111)通過利用公共秘密調(diào)制所述第二核心秘密和所 述計(jì)算秘密來創(chuàng)建第五消息��,所述驗(yàn)證者(111)向所述示證者(101)發(fā)送所述第三��、所述第四和所述第五消息����,所述示證者(101)通過利用與調(diào)制所述第三消息所用的所述公共秘密對(duì)應(yīng)的公共秘密對(duì)所述第三被調(diào)制消息進(jìn)行解調(diào)來創(chuàng)建候選第二核心;秘密,所述示證者(101)通過利用與調(diào)制所述第四消息所用的所述公共 秘密對(duì)應(yīng)的公共秘密對(duì)所述第四被調(diào)制消息進(jìn)行解調(diào)來創(chuàng)建候選計(jì)算 秘密�����,所述示證者(101)通過利用與調(diào)制所述第五消息所用的所述公共 秘密對(duì)應(yīng)的公共秘密對(duì)所述第五被調(diào)制消息進(jìn)行解調(diào)來創(chuàng)建鑒定項(xiàng) 3 �,所述示證者(101 )有條件地將所述第二核心秘密鑒定為所述候選 第二核心秘密并且將所述計(jì)算秘密鑒定為所述候選計(jì)算秘密,該有條件的示證者條件至少包括所述鑒定項(xiàng)目等于所述第五被調(diào)制秘密��。
8. 依照權(quán)利要求7的方法,其中所述計(jì)算秘密包括在計(jì)算后續(xù)公 共秘密時(shí)由所述示證者(101)使用的所述示證者多項(xiàng)式的新系數(shù)����。
9. 依照權(quán)利要求8的方法,其中所述驗(yàn)證者(111)創(chuàng)建計(jì)算秘 密的所述步驟涉及通過利用所述第二核心秘密代替所述第一驗(yàn)證者多 項(xiàng)式中的未知數(shù)來創(chuàng)建所述示證者多項(xiàng)式的系數(shù)�����。
10. 依照權(quán)利要求7-9中任何一項(xiàng)的方法�,其中將所述第二核心 秘密設(shè)置成用于所述方法的后續(xù)執(zhí)行的所述示證者標(biāo)識(shí)符。
11. 依照權(quán)利要求2-10中任何一項(xiàng)的方法�����,在所述示證者(101) 發(fā)送示證者標(biāo)識(shí)符的所述步驟之前包括另外的步驟所述驗(yàn)證者(111)選擇第一參數(shù)和第二參數(shù)��, 所述驗(yàn)證者(111)向所述示證者(101)發(fā)送所述第一參數(shù)和所 述第二參數(shù)����,其中所述示證者(101 )計(jì)算所述第一公共秘密的所述步驟涉及使 用所述第一參數(shù),所述示證者(101)計(jì)算第二公共秘密的所述步驟涉及使用所述笫二參數(shù)�����,所述第一驗(yàn)證者多項(xiàng)式與所述第一參數(shù)關(guān)聯(lián)�,并且 所述第二驗(yàn)證者多項(xiàng)式與所述第二參數(shù)關(guān)聯(lián)�����。
12. 依照權(quán)利要求7-11中任何一項(xiàng)的方法��,在所述驗(yàn)證者(111) 創(chuàng)建第四消息的所述步驟之前包括另外的步驟所述示證者(101)和所述驗(yàn)證者(111)建立第三公共秘密和第 四/〉共禾》密�,并且其中在所述驗(yàn)證者(111)創(chuàng)建第三消息的所述步驟中���,所述 公共秘密為所述第三公共秘密����,在所述驗(yàn)證者(111)創(chuàng)建第四消息的所述步驟中�����,所述公共秘密 為所述第三公共秘密���,在所述驗(yàn)證者(111)創(chuàng)建第五消息的所述步驟中,所述公共秘密 為所述第四公共秘密����,在所述示證者(101)創(chuàng)建候選第二核心秘密的所述步驟中,所述 公共秘密為所述第三公共秘密����,在所述示證者(101)創(chuàng)建候選計(jì)算秘密的所述步驟中�,所述公共 秘密為所述第三公共秘密����,在所述示證者(101)創(chuàng)建鑒定項(xiàng)目的所述步驟中,所述公共秘密 為所述笫四公共秘密�����。
13. 依照權(quán)利要求12的方法���,其中所述第三公共秘密與所述參數(shù) 的第三值關(guān)聯(lián)�����,并且所述笫四秘密與所述參數(shù)的笫四值關(guān)聯(lián)���。
14. 依照權(quán)利要求7-12中任何一項(xiàng)的方法,其中所述驗(yàn)證者(lll) 創(chuàng)建第二核心秘密的所述步驟涉及將所述第二核心秘密設(shè)置成隨機(jī) 數(shù)���。
15. 依照前述權(quán)利要求中任何一項(xiàng)的方法����,其中所述系統(tǒng)為射頻 識(shí)別系統(tǒng)。
16. 依照前述權(quán)利要求中任何一項(xiàng)的方法��,其中所述第一核心秘 密為電子產(chǎn)品碼�����。
17. 依照前述權(quán)利要求中任何一項(xiàng)的方法���,其中每個(gè)調(diào)制操作涉 及執(zhí)行異或操作���,并且每個(gè)解調(diào)操作涉及執(zhí)行異或操作。
18. —種用于允許鑒定示證者(101)的系統(tǒng)�����,所述系統(tǒng)包括所述 示證者(101)和驗(yàn)證者(111)���、所述示證者(101),所述示證者(101)包括用于向所述驗(yàn)證者(111)發(fā)送示證者標(biāo)識(shí)符和雙親標(biāo)識(shí)符的裝置�����,所述驗(yàn)證者(111)包括用于向所述示證者(101)發(fā)送驗(yàn)證者標(biāo)識(shí)符的裝置��,所述示證者(101)包括用于借助于示證者多項(xiàng)式計(jì)算第一公共秘密的裝置,其中所述示證者多項(xiàng)式中的未知數(shù)由使用至少所述驗(yàn)證者 標(biāo)識(shí)符的函數(shù)計(jì)算的結(jié)果來代替�����,以及所述驗(yàn)證者(111)包括用于借助于第一驗(yàn)證者多項(xiàng)式計(jì)算所述第 一公共秘密的裝置����,其中所述第一驗(yàn)證者多項(xiàng)式中的笫一未知數(shù)由所 述示證者標(biāo)識(shí)符代替,所述第 一驗(yàn)證者多項(xiàng)式中的第二未知數(shù)由所述 雙親標(biāo)識(shí)符代替����,所述示證者(101)包括用于通過關(guān)于至少所述第一公共秘密調(diào)制第 一 核心秘密來創(chuàng)建第 一 消息的裝置,所述示證者(101 )包括用于向所述驗(yàn)證者(111 )發(fā)送所述第一消息的裝置���,以及所述驗(yàn)證者(111)包括用于通過利用所述第一公共秘密解調(diào)所述 第 一 消息來創(chuàng)建所述第 一核心秘密的第 一候選的裝置����。
19. 依照權(quán)利要求18的系統(tǒng)����,其中所述系統(tǒng)為射頻識(shí)別系統(tǒng)。
20. —種示證者(101),其被配置成形成依照權(quán)利要求18的系 統(tǒng)的一部分��。
21. 依照權(quán)利要求20的示證者����,其中所述示證者為射頻識(shí)別示證者�。
22. —種驗(yàn)證者(111)��,其被配置成形成依照權(quán)利要求18的系 統(tǒng)的一部分�����。
23. 依照權(quán)利要求22的驗(yàn)證者���,其中所述驗(yàn)證者為射頻識(shí)別驗(yàn)證者����。
全文摘要
提出了一種允許在包括示證者和驗(yàn)證者的射頻識(shí)別系統(tǒng)中鑒定所述示證者的方法����,所述方法包括步驟示證者向驗(yàn)證者發(fā)送示證者標(biāo)識(shí)符和雙親標(biāo)識(shí)符;驗(yàn)證者向示證者發(fā)送驗(yàn)證者標(biāo)識(shí)符�����;示證者借助于示證者多項(xiàng)式計(jì)算第一公共秘密��,其中所述示證者多項(xiàng)式中的未知數(shù)由使用至少所述驗(yàn)證者標(biāo)識(shí)符的函數(shù)計(jì)算的結(jié)果來代替��;以及驗(yàn)證者借助于第一驗(yàn)證者多項(xiàng)式計(jì)算第一公共秘密����,其中所述第一驗(yàn)證者多項(xiàng)式中的第一未知數(shù)由示證者標(biāo)識(shí)符代替并且所述第一驗(yàn)證者多項(xiàng)式中的第二未知數(shù)由所述雙親標(biāo)識(shí)符代替,示證者通過關(guān)于至少所述第一公共秘密調(diào)制第一核心秘密來創(chuàng)建第一消息���,所述示證者向驗(yàn)證者發(fā)送所述第一消息����,以及驗(yàn)證者通過利用所述第一公共秘密對(duì)所述第一消息進(jìn)行解調(diào)來創(chuàng)建所述第一核心秘密的第一候選�����,由此將所述第一核心秘密的所述候選用于所述鑒定�����。這允許驗(yàn)證者和示證者獨(dú)立地創(chuàng)建用于調(diào)制所述核心秘密的公共秘密�����。此外�,無(wú)需向驗(yàn)證者預(yù)先注冊(cè)示證者,并且使用多項(xiàng)式的計(jì)算要求很小的處理能力。還提供了相應(yīng)的系統(tǒng)����、示證者和驗(yàn)證者。
文檔編號(hào)H04L9/08GK101331705SQ200680046938
公開日2008年12月24日 申請(qǐng)日期2006年11月27日 優(yōu)先權(quán)日2005年12月14日
發(fā)明者C·V·康拉多, G·J·斯里詹, S·J·莫巴赫 申請(qǐng)人:皇家飛利浦電子股份有限公司