基于RFID 技術(shù)的無(wú)線(xiàn)Key 模型

　　無(wú)線(xiàn)Key 由用戶(hù)隨身攜帶，其硬件構成如上圖所示。其中ROM 單元存放的是標簽的ID 號。COS 即芯片操作系統，是無(wú)線(xiàn)Key 的核心，它主要實(shí)現控制無(wú)線(xiàn)Key 和外界的信息交 換，管理存儲器單元并在無(wú)線(xiàn)Key 內部完成各種命令的處理等功能。 無(wú)線(xiàn) Key 的認證過(guò)程主要分為兩個(gè)步驟：第一步：利用RFID 技術(shù)實(shí)現標簽與讀卡器之 間的雙向認證；第二步：在標簽與讀卡器進(jìn)行雙向認證無(wú)誤后，用戶(hù)機終端提示用戶(hù)輸入 PIN 碼，進(jìn)行主機對用戶(hù)身份的認證。

　　3.2 協(xié)議設計

　　這里，假設讀卡器和用戶(hù)機終端數據庫的通信是在一條安全可靠的有連接信道上進(jìn)行而讀卡器和無(wú)線(xiàn)Key 之間的通信是不安全的。并且在用戶(hù)機終端和無(wú)線(xiàn)Key 的RAM 中已 經(jīng)存儲了讀卡器和無(wú)線(xiàn)Key 雙方的證書(shū)。協(xié)議描述過(guò)程（6）（7）如下：

　?、女攷в袠撕灥臒o(wú)線(xiàn) Key 進(jìn)入到讀卡器的作用范圍內時(shí)，讀卡器會(huì )向應答器發(fā)送請求。 ⑵應答器產(chǎn)生響應，并由無(wú)線(xiàn)Key 的COS 執行一系列操作：先由隨機數發(fā)生器產(chǎn)生隨機數 R1 并存儲到RAM 單元，然后取出RAM 單元中存儲的讀卡器的證書(shū)Certreader，在加/解密邏 輯單元中利用讀卡器證書(shū)里的公鑰KUB 對隨機數R1 進(jìn)行加密。最后通過(guò)應答器再發(fā)送給讀 卡器，如圖2 所示：

　　圖2 應答器響應并利用KUB 發(fā)送R1

　?、亲x卡器射頻接口接收到信號后，讀卡器的控制單元先從用戶(hù)機終端取得自己的證書(shū)，再由 加解密部件進(jìn)行解密獲得R1，接著(zhù)調用隨機數發(fā)生器(RNG)產(chǎn)生一個(gè)隨機數R2 并存儲到用 戶(hù)機終端的RAM 中，然后再從用戶(hù)機終端取得無(wú)線(xiàn)Key 的證書(shū)CertKey，在加/解密邏輯單 元中執行以下操作：首先利用自己的私鑰KRB 對R1、R2 進(jìn)行簽名，再利用無(wú)線(xiàn)Key 的公鑰 KUA 對上一步的結果進(jìn)行加密得到數據Token1，即：Token1= EKUA(DKRB(R2|| R1))。最后讀 卡器通過(guò)射頻接口將Token1 發(fā)送給無(wú)線(xiàn)Key 端，如圖3 所示。

　　圖3 發(fā)送Token1 給無(wú)線(xiàn)Key

　?、葢鹌魇盏胶?，COS 從RAM 單元中取出讀卡器和無(wú)線(xiàn)Key 的證書(shū)，交由加解密邏輯單 元完成解密和驗證讀卡器的過(guò)程：首先用無(wú)線(xiàn)Key 的私鑰KRA 進(jìn)行解密，接著(zhù)利用讀卡器 的公鑰KUB 進(jìn)行驗證，得到R1 和R2 并存儲R2，將通過(guò)解密得到的R1 與第⑵步中存儲的 R1 進(jìn)行比較看是否一致。如果沒(méi)有改變，則進(jìn)行下步操作。否則標簽進(jìn)入休眠狀態(tài)。 ⑸無(wú)線(xiàn) Key 端的隨機數發(fā)生器產(chǎn)生另一隨機數R3 并存儲，同時(shí)從ROM 中取得標簽的ID 號， 利用讀卡器和無(wú)線(xiàn)Key 的證書(shū)，將R2、R3 和ID 號交由加/解密邏輯單元進(jìn)行加密和簽名操 作得到數據Token2，即：Token2 = DKRA(EKUB(R3|| R2||ID))。完成后應答器將Token2 發(fā)送 給讀卡器，如圖4 所示。

　　圖4 無(wú)線(xiàn)Key 發(fā)送Token2 給讀卡器

　?、首x卡器接收后，從用戶(hù)機終端取得讀卡器和無(wú)線(xiàn) Key 的證書(shū)，在加解密邏輯單元中完成 驗證標簽和得到標簽ID 號的過(guò)程：首先用無(wú)線(xiàn)Key 的公鑰KUA 進(jìn)行驗證，再利用自己的 私鑰KRB 解密得到隨機數R2、R3 和ID 號碼。將得到的R2 和ID 號與存儲在用戶(hù)機終端RAM 中的R2 和ID 號進(jìn)行比較，如果一致標簽得到驗證。讀卡器再將得到的R3 利用自己的私鑰 進(jìn)行簽名后發(fā)送給無(wú)線(xiàn)Key，以便無(wú)線(xiàn)Key 接收后確認讀卡器已收到自己的ID 號。