熊永平

(廣州科技職業(yè)技術(shù)大學(xué),信息工程學(xué)院， 廣東，廣州 510550)

0 引言

射頻識(shí)別技術(shù)是一種能夠不需要與特定商品有接觸即可讀出商品中信息的技術(shù)[1-2]。一個(gè)經(jīng)典的射頻識(shí)別系統(tǒng)至少含有電子標(biāo)簽、讀寫器、后臺(tái)服務(wù)器三者，因電子標(biāo)簽具有體積小、方便攜帶、安裝簡(jiǎn)單、成本便宜等優(yōu)勢(shì)，使得射頻識(shí)別系統(tǒng)在很多領(lǐng)域中都可以見到其身影，比如：門禁系統(tǒng)等[3-5]。

由于電子標(biāo)簽體積小、成本低，因此電子標(biāo)簽一端的計(jì)算能力受到嚴(yán)重制約，使得電子標(biāo)簽通信過程中無法采用經(jīng)典加密算法對(duì)信息加密[6-7]。為了確保隱私信息安全性，必須在各方面受限制的電子標(biāo)簽一端設(shè)計(jì)出適用于低成本無源標(biāo)簽中的安全協(xié)議，該方面的研究是一個(gè)非常具有挑戰(zhàn)性的課題。

伴隨著科技發(fā)展，人們需求增加，經(jīng)常會(huì)將多個(gè)電子標(biāo)簽用來標(biāo)記同一個(gè)商品或物體，此時(shí)就需要給出多個(gè)電子標(biāo)簽同時(shí)存在的證據(jù)證明。比如,JUELS等[8]給出了一個(gè)具體實(shí)例，用2個(gè)電子標(biāo)簽分別標(biāo)記藥品和藥品說明書，同時(shí)他們還給出了2個(gè)電子標(biāo)簽同時(shí)存在的證明協(xié)議。然而對(duì)協(xié)議進(jìn)行分析，發(fā)現(xiàn)該協(xié)議存在諸多不足，比如協(xié)議無法提供前向安全性、無法抵抗假冒攻擊等。

SUNDARESAN等[9]提出了一個(gè)組證明協(xié)議，該協(xié)議具備一定的安全性，但仍無法抵抗去同步化攻擊，同時(shí)該協(xié)議對(duì)系統(tǒng)的通信負(fù)荷量較大，缺乏推廣實(shí)用價(jià)值。KANG等[10]給出了一個(gè)組證明協(xié)議,但它無法滿足前向安全性，使得攻擊者可以通過竊聽獲取的當(dāng)前會(huì)話中分析出上輪會(huì)話消息攜帶的隱私信息，從而造成隱私信息的泄露。

ZHOU等[11]設(shè)計(jì)的組證明協(xié)議雖然具備較低的計(jì)算量，同時(shí)也具備一定的安全性，但協(xié)議仍無法抵抗攻擊者的前向分析攻擊。SHI等[12]設(shè)計(jì)了一個(gè)具有隱私保護(hù)的組證明協(xié)議，協(xié)議能夠同時(shí)證明多標(biāo)簽存在，具備一定使用價(jià)值，但協(xié)議存在一些缺陷，比如：電子標(biāo)簽一端將產(chǎn)生多個(gè)隨機(jī)數(shù)，增加電子標(biāo)簽計(jì)算量，且多個(gè)隨機(jī)數(shù)是否真有必要產(chǎn)生還有待商榷;電子標(biāo)簽的標(biāo)識(shí)符本應(yīng)該是確定不會(huì)發(fā)生變動(dòng)的。但在這個(gè)協(xié)議過程中，電子標(biāo)簽的標(biāo)識(shí)符每次會(huì)話結(jié)束之前將會(huì)進(jìn)行一次更新操作，該操作正確性仍有待商榷。同時(shí)對(duì)該協(xié)議進(jìn)行安全分析，協(xié)議存在隱私泄露安全缺陷，rj由明文傳輸，再加之gmj消息，攻擊者可以窮舉出gmj消息里面加密用到的隱私信息gid；當(dāng)攻擊者有了gid隱私信息之后，可假冒發(fā)起其他攻擊，進(jìn)而獲取更多隱私信息。

鑒于現(xiàn)有協(xié)議僅能證明單個(gè)標(biāo)簽存在或計(jì)算量大或安全缺陷問題，本文給出一種采用線性函數(shù)加密實(shí)現(xiàn)的能夠同時(shí)證明多標(biāo)簽存在的證明協(xié)議。本文將在下一章節(jié)中給出線性函數(shù)的具體構(gòu)造實(shí)現(xiàn)步驟，第四節(jié)給出本文協(xié)議具體加密步驟，后續(xù)章節(jié)將從不同角度對(duì)本文設(shè)計(jì)協(xié)議進(jìn)行理論及仿真實(shí)驗(yàn)方面的安全性分析及性能對(duì)比分析，從而多角度說明本文協(xié)議具備較高的安全性能。

1 線性函數(shù)

本文協(xié)議為進(jìn)一步減少會(huì)話實(shí)體的計(jì)算量，不再使用傳統(tǒng)的加密算法或哈希函數(shù)等，采用線性函數(shù)，線性函數(shù)的構(gòu)造具體如下。

線性函數(shù)構(gòu)造的一般形式為y=Ax+B，線性函數(shù)統(tǒng)一用f(x,y)表示。其中，x、y是2個(gè)需要加密的參數(shù)，上面公式中的A是加密參數(shù)y的漢明權(quán)值，同時(shí)公式中的B是加密參數(shù)x的漢明權(quán)值。按照上述方法即可構(gòu)造出統(tǒng)一模型的線性函數(shù)，同時(shí)每次需要加密的參數(shù)不同，將會(huì)使得上面公式中A和B的值也不同，處于變動(dòng)狀態(tài)，每次的線性函數(shù)具體形態(tài)又有差別，增加了攻擊者破解難度。其中,約定加密參數(shù)x、y的長(zhǎng)度是等長(zhǎng)的且都為l位長(zhǎng)度。

為便于對(duì)構(gòu)造線性函數(shù)的理解，取l=6、x=001101、y=000100，則可以得到A=1、B=3，再根據(jù)上述構(gòu)造線性函數(shù)方法可以得到f(x,y)=Ax+B=1×x+3=x+3，然后將需要加密的x=001101、y=000100的值代入上述線性函數(shù)進(jìn)行運(yùn)算，即可得到加密之后的結(jié)果為

f(x,y)=f(001101、000100)=(001101)2+(3)10=(13)10+(3)10=(16)10=(010000)2=010000。

其中,(001101)2表示二進(jìn)制的001101,(3)10表示十進(jìn)制的3。即，加密參數(shù)x=001101、y=000100時(shí)，得到A=1、B=3、線性函數(shù)為f(x,y)=Ax+B=1×x+3=x+3，加密結(jié)果為001101。

2 標(biāo)簽組存在證明協(xié)議

與其他經(jīng)典協(xié)議[13-14]一樣，給出如下約定：電子標(biāo)簽與讀寫器間信息交換線路不可靠，讀寫器與后臺(tái)服務(wù)器間信息交換線路可靠。

2.1 協(xié)議解釋

標(biāo)簽組存在證明協(xié)議中涉及符號(hào)較多，下面給出部分符號(hào)表示的含義。

DB：后臺(tái)服務(wù)器。

T：電子標(biāo)簽。

R：讀寫器。

Tj：第j個(gè)電子標(biāo)簽。

gid：電子標(biāo)簽所在的標(biāo)簽組的編號(hào)。

x：后臺(tái)服務(wù)器產(chǎn)生的隨機(jī)數(shù)。

rj：第j個(gè)電子標(biāo)簽產(chǎn)生的隨機(jī)數(shù)。

Hello：開始會(huì)話消息。

f(x,y)：線性函數(shù)。

⊕：異或運(yùn)算。

&：與運(yùn)算。

2.2 協(xié)議闡述

與標(biāo)簽組存在證明協(xié)議示意圖如圖1所示。

圖1 標(biāo)簽組存在證明協(xié)議示意圖

結(jié)合圖1可將標(biāo)簽組存在證明協(xié)議步驟描述如下。

步驟1：讀寫器向電子標(biāo)簽發(fā)送Hello消息，激活會(huì)話范圍內(nèi)的所有電子標(biāo)簽。

步驟3：讀寫器收到信息后，將Aj、gmj轉(zhuǎn)發(fā)給后臺(tái)服務(wù)器。

不等，協(xié)議停止。

步驟5：讀寫器收到信息后，將B、E轉(zhuǎn)發(fā)給電子標(biāo)簽。

步驟6：電子標(biāo)簽收到信息后，先對(duì)E變形得到x′，再將x′及gid結(jié)合線性函數(shù)計(jì)算得到B′，接著比較B與B′值。

不等，則該電子標(biāo)簽進(jìn)入休眠狀態(tài)。

等，后臺(tái)服務(wù)器通過電子標(biāo)簽的驗(yàn)證，該電子標(biāo)簽繼續(xù)保持激活狀態(tài)(即活躍狀態(tài))。然后電子標(biāo)簽計(jì)算得到消息Fj、Gj，并將Fj、Gj發(fā)送給讀寫器。

步驟7：讀寫器在收到所有電子標(biāo)簽信息后，將所有收到的Fj結(jié)合線性函數(shù)計(jì)算得到mp，并將mp發(fā)送給所有還處于活躍狀態(tài)的電子標(biāo)簽。

其中,mp=f(F1⊕F2⊕…⊕Fn,F1&F2&…&Fn)，其中,n表示電子標(biāo)簽的總個(gè)數(shù)。

步驟8：處于活躍狀態(tài)的電子標(biāo)簽收到信息后，用自身的Kj對(duì)收到的信息mp結(jié)合線性函數(shù)進(jìn)行簽名加密得到mpj，并將mpj發(fā)送給讀寫器。

其中,mpj=f(mp,mp⊕Kj)。

步驟9：讀寫器收到所有處于活躍狀態(tài)的電子標(biāo)簽發(fā)送來的信息后，對(duì)所有的mpj結(jié)合線性函數(shù)進(jìn)行加密計(jì)算得到p，然后將接收到的信息及計(jì)算所得信息整理得到消息gp，并將gp發(fā)送給后臺(tái)服務(wù)器。

其中,p=f(mp1&mp2&…&mpn,mp1⊕mp2⊕…⊕mpn)、gp={(F1,G1),(F2,G2),…,(Fn,Gn),mp,p},n表示電子標(biāo)簽的總個(gè)數(shù)。

步驟10：后臺(tái)服務(wù)器先對(duì)處于活躍狀態(tài)的電子標(biāo)簽進(jìn)行驗(yàn)證，判斷是否有假冒的電子標(biāo)簽。待所有處于活躍狀態(tài)的電子標(biāo)簽全部通過驗(yàn)證后，后臺(tái)服務(wù)器在對(duì)處于活躍狀態(tài)的電子標(biāo)簽存在的正確性進(jìn)行驗(yàn)證。

(1) 后臺(tái)服務(wù)器先對(duì)處于活躍狀態(tài)的電子標(biāo)簽進(jìn)行驗(yàn)證

(2) 后臺(tái)服務(wù)器在對(duì)處于活躍狀態(tài)的電子標(biāo)簽存在的正確性進(jìn)行證明驗(yàn)證

不等，該電子標(biāo)簽則舍棄收到的信息，不做任何操作。

3 協(xié)議安全性

(1) 信息隱私性

隱私的信息主要是指重要的信息，比如電子標(biāo)簽與后臺(tái)服務(wù)器間共享密鑰等。本文一個(gè)完整的會(huì)話過程中涉及隱私信息的消息比較多，比如有Aj、gmj、Fj、Gj等，攻擊者想要從上述任何一個(gè)消息中獲取正確的完整的隱私信息是很困難的。設(shè)定通信消息長(zhǎng)度為32個(gè)比特，則攻擊者正確獲取隱私信息的概率為1/232，幾乎為零。因此協(xié)議可以確保信息的隱私安全性。

(2) 前向安全性

所有會(huì)話消息加密過程中，不論是基于線性函數(shù)方式加密，還是普通方式加密，整個(gè)加密過程中均有隨機(jī)數(shù)的加入。前后兩輪通信中加密用到的隨機(jī)數(shù)不可能相同，且隨機(jī)數(shù)間無關(guān)聯(lián)性，因此攻擊者無法通過當(dāng)前獲取的消息逆推出上輪會(huì)話中隱私信息，協(xié)議具備前向安全性。

(3) 去同步化攻擊

(4) 重放攻擊

將截獲上輪會(huì)話消息，在當(dāng)前會(huì)話中釋放，以通過某個(gè)實(shí)體認(rèn)證，但本文協(xié)議攻擊者無法成功。消息加密過程中混入隨機(jī)數(shù)，隨機(jī)數(shù)產(chǎn)生器可以確保產(chǎn)生的隨機(jī)數(shù)具備互異性，使得前后兩輪加密消息結(jié)果不同。當(dāng)攻擊者重放上輪消息，當(dāng)前消息值以發(fā)生變更，因此協(xié)議能夠提供重放攻擊安全性。

(5) 假冒攻擊

本文協(xié)議每個(gè)實(shí)體在進(jìn)行具體步驟之前，都會(huì)先對(duì)接收到的信息進(jìn)行驗(yàn)證，當(dāng)且僅當(dāng)消息來源通過消息接收方驗(yàn)證之后，接收方才會(huì)進(jìn)行后續(xù)步驟。比如，本文協(xié)議后臺(tái)數(shù)據(jù)庫(kù)可以通過消息Aj、gmj來驗(yàn)證電子標(biāo)簽的真假等。

(6) 標(biāo)簽組存在正確性

攻擊者有可能充當(dāng)電子標(biāo)簽響應(yīng)后臺(tái)服務(wù)器的消息，向后臺(tái)數(shù)據(jù)發(fā)送信息，企圖通過后臺(tái)服務(wù)器的驗(yàn)證，從而獲取部分隱私信息，因此驗(yàn)證電子標(biāo)簽的存在必須要保證其正確性。本文協(xié)議在步驟10中，先對(duì)電子標(biāo)簽進(jìn)行驗(yàn)證，當(dāng)且僅當(dāng)所有電子標(biāo)簽全部通過驗(yàn)證之后，后臺(tái)服務(wù)器將再次通過mp′、p′消息驗(yàn)證存在證據(jù)的正確性。攻擊者充當(dāng)?shù)碾娮訕?biāo)簽想要通過前后各種驗(yàn)證，其通過的概率為1/232×1/232×1/232×1/232=1/2128(假定每個(gè)消息長(zhǎng)度均為32個(gè)比特，攻擊者需要確保4個(gè)消息值全部正確才可以通過驗(yàn)證，因此是4個(gè)1/232相乘)，幾乎為零。

協(xié)議安全性對(duì)比結(jié)果見表1所示。

表1 各協(xié)議間安全對(duì)比

4 協(xié)議性能分析

相對(duì)于電子標(biāo)簽來說，讀寫器及后臺(tái)服務(wù)器具備強(qiáng)大的計(jì)算能力及搜索查詢能力，因此這里只選擇電子標(biāo)簽為對(duì)象進(jìn)行性能角度的討論分析，具體是從電子標(biāo)簽一端的計(jì)算量、一個(gè)完整會(huì)話過程的通信量、電子標(biāo)簽一端的存儲(chǔ)量出發(fā)分析討論。具體見表2。

表2 多個(gè)協(xié)議之間性能對(duì)比分析

在表2中，約定協(xié)議所有需要存放的參數(shù)長(zhǎng)度都為l，所有會(huì)話消息長(zhǎng)度也為l，從而可以得到表2中各個(gè)協(xié)議中通信量大小、存儲(chǔ)量大小情況。rand符號(hào)代表產(chǎn)生隨機(jī)數(shù)的計(jì)算量；f符號(hào)代表線性函數(shù)的計(jì)算量；bit符號(hào)代表位運(yùn)算的計(jì)算量(常見的位運(yùn)算有與運(yùn)算、異或運(yùn)算、連接運(yùn)算等)；hash符號(hào)代表哈希函數(shù)的計(jì)算量；prng符號(hào)代表偽隨機(jī)函數(shù)的計(jì)算量；ecc符號(hào)代表橢圓曲線加密的計(jì)算量；mod符號(hào)代表模運(yùn)算的計(jì)算量。

綜合對(duì)表2分析，電子標(biāo)簽一端的存儲(chǔ)量角度出發(fā)，本文協(xié)議與其他協(xié)議在存儲(chǔ)量角度大小相差不大。再?gòu)囊粋€(gè)完整會(huì)話的通信量角度分析，雖每個(gè)協(xié)議一個(gè)完整會(huì)話通行量不盡相同，但都相差不大，有協(xié)議比本文協(xié)議通信量小的，也有協(xié)議通信量比本文協(xié)議通信量大的，整體而言相當(dāng)。最后從電子標(biāo)簽一端的計(jì)算量角度分析，本文協(xié)議用到的加密算法是構(gòu)造出來的線性函數(shù)加密算法，其計(jì)算量小于其他算法。同時(shí)根據(jù)第三節(jié)有關(guān)線性函數(shù)的構(gòu)造說明可以得知，線性函數(shù)具體實(shí)現(xiàn)時(shí)是可以基于位運(yùn)算實(shí)現(xiàn)的，從而實(shí)現(xiàn)加密算法的超輕量級(jí)運(yùn)算量，因此，從該點(diǎn)出發(fā)，本文協(xié)議在電子標(biāo)簽端的計(jì)算量得到一定幅度的降低，優(yōu)于其他協(xié)議。

5 總結(jié)

本文給出的協(xié)議為能夠降低整體計(jì)算量，摒棄采用哈希函數(shù)等加密算法，采用線性函數(shù)對(duì)信息進(jìn)行加密；同時(shí)為減少參量引入，及降低存儲(chǔ)空間，線性函數(shù)加密過程中巧妙結(jié)合加密參數(shù)自身固有的漢明權(quán)值，在滿足上述要求的同時(shí)還可以增加攻擊者破解難度。對(duì)設(shè)計(jì)協(xié)議的安全性和性能進(jìn)行綜合性對(duì)比分析，本文協(xié)議在提供較高安全性的同時(shí)，還可以滿足當(dāng)前低成本計(jì)算受限系統(tǒng)環(huán)境。