基于3G的RFID身份识别系统安全研究

　　2.2 解决方案

　　基于以上的安全需求，我们设计了如图3所示的基于3G的RFID身份识别方案。

　　图3中，我们使用了两种无线认证方式，用户和运营商之间使用WPKI认证，以及确定用户身份的合法性和真实性;用户和商家之间使用了椭圆曲线零知识双向认证，以此验证交易双方的身份。

　　WPKI是“无线公开密钥体系”的缩写，它是将互联网电子商务中PKI(Public Key Infrastrcture)安全机制引入到无线网络环境中的一套遵循既定标准的密钥及证书管理平台体系，用它来管理在移动网络环境中使用的公开密钥和数字证书，有效建立安全和值得信赖的无线网络环境。WPKI采用优化的ECC椭圆曲线加密和压缩的X.509数字证书，同样采用证书管理公钥，通过第三方的可信任机构：认证中心(CA)验证用户的身份，从而实现信息的安全传输。

　　椭圆曲线零知识双向认证是基于椭圆加密算法的零知识认证;而零知识认证是指：证明者(prover)在不泄露任何私密信息的情况下向验证者(verifier)证明自己知道这个秘密。假设证明者P拥有秘密S，并向验证者v证明。v首先向P发送若干相关问题中的一个，并且只有P能够回答此问题，而且此间题与S相关，并几乎不泄露任何关于S的信息;而后，P向V发送问题的答案;然后v继续选取问题向P发送;以上过程重复n次，全部成功即可证明P拥有s。在此过程中，为了不泄露任何与秘密s相关的信息，v与P之间的通信的安全性依靠选取随机数值来保证。在v与P的信息交换过程中，如果攻击者采用偷听的方式，那么一次只能获得某一次的问题或者答案;但因为整个认证过程是随机的，所以获得的信息并不能帮他对系统欺骗。

　　一次完整的身份识别认证如下：

　　(1)商家的读写器设备向用户的手机发出验证请求;

　　(2)用户手机通过WPKI认证与运营商建立联系，在此过程中即互相验证了对方的身份;

　　(3)用户与商家通过椭圆曲线零知识认证互相验证身份。此过程中用户会将拿到的商家标示向运营商询问其合法性，同时商家也会将用户的身份标示向运营商询问其真实性和有效性。其中商家和运营商之间也有进行双向认证。

　　(4)如果各方认证成功，则可以进行下一步的交易;否则，退出并报警。

　　3 结论

　　本文研究了RFID中的安全威胁，并分析了3G移动支付中的信息安全需求，最后给出了一个基于3G的RFID身份识别安全解决方案，供系统设计人员参考。