徐鵬翱 滕濟(jì)凱 馬鴻洋

(青島理工大學(xué)理學(xué)院 山東青島 266033) (xupa123@163.com)

RFID技術(shù)即射頻識(shí)別技術(shù)是近幾年來(lái)業(yè)界非常關(guān)注的熱點(diǎn).正是因?yàn)镽FID標(biāo)簽的體積小、壽命長(zhǎng)、容量大而且可以重復(fù)使用等優(yōu)點(diǎn)， 目前RFID技術(shù)已被廣泛應(yīng)用于各種領(lǐng)域[1-2].RFID由2個(gè)主要模塊構(gòu)成：標(biāo)簽和讀寫(xiě)器.RFID讀寫(xiě)器能夠直接掃描目標(biāo)對(duì)象，這帶來(lái)了很高的效率，但同時(shí)也帶來(lái)了很大的安全隱患，主要是因?yàn)殡娮訕?biāo)簽的內(nèi)容容易被泄露，另外，標(biāo)簽也很容易被追蹤、定位，這給人們帶來(lái)了很多隱私威脅問(wèn)題.盡管有許多安全手段，但是也沒(méi)有完全解決安全和隱私問(wèn)題[3].如果這里的安全和隱私問(wèn)題不能解決，人們就不會(huì)很放心地使用RFID系統(tǒng)，這就會(huì)極大地阻礙RFID的發(fā)展.因此，RFID應(yīng)用中的安全隱私保護(hù)問(wèn)題受到人們的重視，提出了許多RFID隱私保護(hù)協(xié)議，有Sarma等人[4]提出的一種基于Hash函數(shù)的Hash-Lock協(xié)議和隨機(jī)化Hash-Lock協(xié)議[5]，其中隨機(jī)化Hash-Lock協(xié)議是Hash-Lock協(xié)議的一個(gè)擴(kuò)展，它解決了標(biāo)簽定位隱私問(wèn)題，解決的方法是主動(dòng)干擾無(wú)線電信號(hào)，標(biāo)簽用戶可以通過(guò)一個(gè)設(shè)備主動(dòng)廣播無(wú)線電信號(hào)阻止或破壞附近的RFID閱讀器的操作.Juels等人[6]提出了基于Hash鏈的認(rèn)證協(xié)議，該認(rèn)證協(xié)議在認(rèn)證過(guò)程中通過(guò)阻止閱讀器讀取標(biāo)簽來(lái)確保消費(fèi)者隱私，另外標(biāo)簽還通過(guò)刷新認(rèn)證所用的ID來(lái)實(shí)現(xiàn)前向安全性.陳瑞鑫等人[7]提出了一種基于Hash函數(shù)的雙向RFID認(rèn)證協(xié)議，為了避免信息泄露和被追蹤，使用metaID代替真實(shí)的標(biāo)簽ID.但是這些協(xié)議需要大量運(yùn)算和通信，所需要的計(jì)算資源和通信資源都非常多，只適用于小規(guī)模應(yīng)用.Zhou等人[8]提出了輕量級(jí)協(xié)議來(lái)提高協(xié)議的可行性，但該協(xié)議被發(fā)現(xiàn)不能抵抗拒絕服務(wù)攻擊.Duc等人[9]提出了一種抵抗拒絕服務(wù)攻擊的認(rèn)證協(xié)議，但是該協(xié)議在最壞情況下計(jì)算復(fù)雜度為O(m×n)，可行性仍然不好，而且不具有前向安全性.為了提高協(xié)議的可行性，有些研究人員提出了采用輕量級(jí)分組密碼的認(rèn)證協(xié)議[10-11].Chien等人[12]和Fernàndez-Mir等人[13]試圖通過(guò)標(biāo)簽和服務(wù)器共享的索引偽標(biāo)識(shí)符來(lái)提高協(xié)議的可擴(kuò)展性，但由于系統(tǒng)數(shù)據(jù)同步性失敗所導(dǎo)致的位置跟蹤問(wèn)題，張順和陳海進(jìn)[14]提出了雙向認(rèn)證協(xié)議，該協(xié)議可擴(kuò)展性好，而且能抵抗拒絕服務(wù)攻擊.在上述協(xié)議[3-14]中，服務(wù)器的搜索量都和標(biāo)簽的個(gè)數(shù)有關(guān).

本文基于M序列提出了一種安全高效的輕量級(jí)RFID認(rèn)證協(xié)議.在該協(xié)議中，服務(wù)器的搜索量和標(biāo)簽個(gè)數(shù)無(wú)關(guān).標(biāo)簽和服務(wù)器只需做少量計(jì)算就可以完成協(xié)議的運(yùn)行.協(xié)議具有抗重放、抗分析、防偽造、防跟蹤等安全屬性.

1 基礎(chǔ)知識(shí)介紹

在描述協(xié)議之前，先介紹和協(xié)議相關(guān)的n級(jí)移位寄存器、M序列以及聯(lián)結(jié)多項(xiàng)式.

n級(jí)移位寄存器：n級(jí)移位寄存器由n個(gè)寄存器和1個(gè)開(kāi)關(guān)電路組成，寄存器從左至右依次稱為第1級(jí)，第2級(jí)，…，第n級(jí).每個(gè)寄存器中的內(nèi)容為有限域Fq中的一個(gè)元素，每一級(jí)的內(nèi)容移給下一級(jí)，最后一級(jí)的內(nèi)容輸出，為了保持連續(xù)工作，將移位寄存器的某些內(nèi)容進(jìn)行運(yùn)算后反饋到第1級(jí).不斷加脈沖即移位寄存器不斷移動(dòng)，上述n級(jí)移位寄存器的輸出就構(gòu)成一個(gè)無(wú)限序列a0，a1，…，an，…這個(gè)寄存器稱為線性移位反饋寄存器.

M序列：上述序列a0，a1，…，an，…必為周期序列，序列a0，a1，…，an，…的周期最大值可達(dá)到2n-1，稱周期達(dá)到最大值的線性移位寄存器序列為M序列.

聯(lián)結(jié)多項(xiàng)式:如果有一個(gè)序列適合遞歸關(guān)系式ak=-c1ak-1-c2ak-2-…-cnak-n(k≥n)，則稱多項(xiàng)式f(x)=1+c1x+c2x2+…+cnxn為這個(gè)線性移位反饋寄存器序列的聯(lián)結(jié)多項(xiàng)式.

2 協(xié)議介紹

在以往大多數(shù)認(rèn)證協(xié)議中，標(biāo)簽和讀寫(xiě)器有較高的計(jì)算量和通信量，服務(wù)器的搜索量和標(biāo)簽個(gè)數(shù)有關(guān).本文基于M序列提出了一種輕量級(jí)RFID認(rèn)證協(xié)議，該協(xié)議可以使標(biāo)簽和讀寫(xiě)器具有較低的計(jì)算量和通信量，而且服務(wù)器的搜索量為常數(shù)級(jí)，該協(xié)議也具有較強(qiáng)的安全屬性.

2.1 協(xié)議描述

協(xié)議初始化：

首先，為系統(tǒng)選擇一個(gè)合適的Hash函數(shù)H:{0,1}*→Fq，然后為每個(gè)標(biāo)簽Ti分配1個(gè)聯(lián)結(jié)多項(xiàng)式fi，聯(lián)結(jié)多項(xiàng)式fi為該標(biāo)簽和服務(wù)器共享，fi在服務(wù)器中的存儲(chǔ)位置被標(biāo)識(shí)為ui.

該協(xié)議運(yùn)行過(guò)程如下：

1) 閱讀器向標(biāo)簽Ti發(fā)送1個(gè)認(rèn)證請(qǐng)求，生成

1個(gè)隨機(jī)數(shù)mi∈2n-1，然后將請(qǐng)求和mi發(fā)送給標(biāo)簽Ti.

2) 標(biāo)簽Ti收到后，選擇隨機(jī)數(shù)ti∈2n-1，以fi為聯(lián)結(jié)多項(xiàng)式，以H(IDi)為初態(tài)，移動(dòng)mi步，將得到的狀態(tài)ni和ti發(fā)送給閱讀器，閱讀器轉(zhuǎn)發(fā)給服務(wù)器.

3) 服務(wù)器收到后，以fui為聯(lián)結(jié)多項(xiàng)式，以ni為初態(tài)，移動(dòng)2n-1-mi步，得到H(IDi)，并檢查與數(shù)據(jù)中保存的身份信息的Hash值是否一致，如果一致，接受標(biāo)簽Ti，服務(wù)器將fui轉(zhuǎn)發(fā)給讀寫(xiě)器；否則標(biāo)簽認(rèn)證失敗，服務(wù)器停止響應(yīng).

4) 閱讀器fui聯(lián)結(jié)多項(xiàng)式，以H(R)為初態(tài)，其中R為讀寫(xiě)器的身份信息，移動(dòng)ti步，將得到的狀態(tài)vi發(fā)送給標(biāo)簽Ti.

5) 標(biāo)簽以fi為聯(lián)結(jié)多項(xiàng)式，以vi為初態(tài)，移動(dòng)2n-1-ti步，得到H(R)，并檢查計(jì)算的H(R)是否正確，如果正確則接受讀寫(xiě)器，否則意味著受到了1次攻擊.

因?yàn)樾蛄械闹芷跒?n-1，所以序列移動(dòng)mi步后，再移動(dòng)2n-1-mi步可以得到初態(tài)H(IDi).同理，移動(dòng)ti步后，再移動(dòng)2n-1-ti步可以得到初態(tài)H(R)，因此，協(xié)議正確.

2.2 協(xié)議的分析

2.2.1安全性分析

1) 抗重放攻擊和哄騙攻擊，抗數(shù)據(jù)分析

因?yàn)镸序列和偽隨機(jī)序列的不可區(qū)分性，對(duì)敵手來(lái)說(shuō)，每次發(fā)送的消息都具有隨機(jī)性.另外因?yàn)镸序列的周期非常大，所以攻擊者無(wú)法記錄下每一次的通信數(shù)據(jù).

2) 防偽造

在2次認(rèn)證中，盡管參數(shù)明文傳輸，但是聯(lián)結(jié)多項(xiàng)式是保密的，而且M序列和偽隨機(jī)序列是不可區(qū)分的，因此只有正確參數(shù)的持有者才能通過(guò)對(duì)方的驗(yàn)證，攻擊者無(wú)法通過(guò)對(duì)方的驗(yàn)證.

不可跟蹤性也就是如果攻擊者不能從一個(gè)協(xié)議通信報(bào)文集中區(qū)分出2個(gè)具有不同密鑰的標(biāo)簽，則稱這個(gè)RFID協(xié)議具有不可跟蹤性.在本協(xié)議中，因?yàn)镸序列和偽隨機(jī)序列的不可區(qū)分性，攻擊者即使獲取了大量的通信數(shù)據(jù)，也無(wú)法判別出數(shù)據(jù)屬于哪個(gè)標(biāo)簽，所以本協(xié)議具有不可跟蹤性.

2.2.2復(fù)雜性分析

為了便于協(xié)議的分析和比較，將使用如下記號(hào).

H:表示 Hash運(yùn)算；

XOR:表示異或運(yùn)算；

PRNG:表示1次偽隨機(jī)數(shù)產(chǎn)生的運(yùn)算；

l:表示元素長(zhǎng)度.

n:表示數(shù)據(jù)庫(kù)中標(biāo)簽的個(gè)數(shù).

協(xié)議的復(fù)雜度比較如表1所示:

表1 復(fù)雜度比較

由表1可以看出，本文提出的協(xié)議在存儲(chǔ)量、計(jì)算量、通信量和搜索量上優(yōu)于其他協(xié)議，特別是在服務(wù)器的搜索量上，本文的協(xié)議是常數(shù)，和標(biāo)簽的個(gè)數(shù)無(wú)關(guān)，而其他協(xié)議都和標(biāo)簽的個(gè)數(shù)有關(guān)，因此，本文提出的協(xié)議其效率要高于其他協(xié)議的效率.

3 結(jié) 論

本文采用M序列提出了一種輕量級(jí)RFID認(rèn)證協(xié)議，該協(xié)議在存儲(chǔ)量、計(jì)算量、通信量方面均優(yōu)于目前大多數(shù)協(xié)議，特別是在服務(wù)器的搜索量上，該協(xié)議的搜索量和標(biāo)簽的個(gè)數(shù)無(wú)關(guān).在安全性上，本文的協(xié)議實(shí)現(xiàn)了抗重放、抗分析、防偽造、防跟蹤等安全屬性.

[1]Rhee K, Kwak J, Kim S, et al. Challenge-response based RFID authentication protocol for distributed database environment[G]LNCS 3450: Proc of the Int Conf on Security in Pervasive Computing. Berlin: Springer, 2005: 70-84

[2]周永彬, 馮登國(guó). RFID安全協(xié)議的設(shè)計(jì)與分析[J]. 計(jì)算機(jī)學(xué)報(bào), 2006, 29(4): 581-589

[3]Burmester M, Medeiros B, Motta R, et al. Anonymous RFID authentication with constant key-lookup[C]Proc of the 2008 ACM Symp on Information, Computer and Communications Security. New York: ACM, 2008: 283-291

[4]Sarma S E, Weis S A, Engels D W. RFID systems and security and privacy implications[C]Proc of Int Workshop on Cryptographic Hardware and Embedded Systems.Berlin: Springer, 2003: 454-469

[5]Sarma S E, Weis S A, Engels D W. Radiofrequency identification: Secure risks and challenges[J]. RSA Laboratories Cryptophytes, 2003, 6(1): 2-9

[6]Juels A, Rivest R L, Szydlo M. The blocker tag: Selective blocking of RFID tags for consumer privacy[C]Proc of the 10th ACM Conf on Computer and Communication Security. New York: ACM, 2003: 103-111

[7]陳瑞鑫, 鄒傳云, 黃景武. 一種基于雙向Hash認(rèn)證的RFID安全協(xié)議[J]. 微計(jì)算信息, 2010, 26(11): 149-151

[8]Zhou S J, Zhang Z, Luo Z, et al. A lightweight anti-desynchronization RFID authentication protocol[J]. Information Systems Frontiers, 2010, 12(5): 521-52

[9]Duc D N, Kim K. Defending RFID authentication protocols against DoS attacks[J]. Computer Communi-cations, 2011, 34(3): 384-390

[10]Ohkubo M, Suzuki K, Kinoshita S. Efficient hash-chain based RFID privacy protection scheme[C]Proc of Int Conf on Ubiquitous Computing Ubicomp, Workshop. 2004 [2018-05-29]. https:ci.nii.ac.jpnaid10030538475#cit

[11]Tsudik G. YA-TRAP: Yet another trivial RFID authenti-cation protocol[C]Proc of the 4th Annual IEEE Int Conf

on Pervasive Computing and Communications Workshops. Piscataway, NJ: IEEE, 2006: 640-643

[12]Chien H Y, Huang C W. A lightweight authentication protocol for low-cost RFID[J]. Journal of Signal Processing Systems, 2010, 59(1): 95-102

[13]Fernàndez-Mir A, Castellà-Roca J, Viejo A. Secure and scalable RFID authentication protocol[G]LNCS 6514: Proc of the 5th Int Workshop on Data Privacy Management. Berlin: Springer, 2011: 231-243

[14]張順, 陳海進(jìn). 輕量級(jí)的無(wú)線射頻識(shí)別安全認(rèn)證協(xié)議[J]. 計(jì)算機(jī)應(yīng)用, 2012, 32(7): 2010-2014