王明斐，　魏　勇，　孫　挺

(1.河南工學(xué)院 計(jì)算機(jī)科學(xué)與技術(shù)系，河南 新鄉(xiāng) 453002；2.西北大學(xué) 可視化研究所，陜西 西安 710069)

?

基于Hash函數(shù)和排列的輕量級(jí)RFID安全認(rèn)證協(xié)議*

王明斐1*，魏勇1，孫挺2

(1.河南工學(xué)院 計(jì)算機(jī)科學(xué)與技術(shù)系，河南 新鄉(xiāng) 453002；2.西北大學(xué) 可視化研究所，陜西 西安 710069)

針對(duì)無(wú)線射頻識(shí)別(RFID)系統(tǒng)的安全性問(wèn)題，提出一種新的基于Hash函數(shù)和排列的輕量級(jí)RFID認(rèn)證協(xié)議．利用Hash函數(shù)的單向性解決RFID的安全隱私問(wèn)題，使用一種稱(chēng)為排列的操作算子，結(jié)合XOR操作和密鑰備份技術(shù)來(lái)提高協(xié)議的安全性能．通過(guò)簡(jiǎn)單進(jìn)程元語(yǔ)言解釋器(SPIN)工具進(jìn)行驗(yàn)證.結(jié)果表明，該協(xié)議能夠有效地抵御去同步、泄漏、追蹤和重放攻擊，且沒(méi)有明顯增加計(jì)算量．能夠彌補(bǔ)已有基于Hash函數(shù)的認(rèn)證協(xié)議中存在的安全缺陷，更適合低成本RFID系統(tǒng)的安全需求．

安全認(rèn)證協(xié)議；射頻識(shí)別；Hash函數(shù)；排列；抵御攻擊；SPIN

無(wú)線射頻識(shí)別(RFID)是一種能夠自動(dòng)識(shí)別目標(biāo)的技術(shù)[1]，主要包括三個(gè)關(guān)鍵組件：RFID標(biāo)簽、RFID讀寫(xiě)器和后端數(shù)據(jù)庫(kù)服務(wù)器.由于標(biāo)簽與閱讀器之間的通信信道存在風(fēng)險(xiǎn)，且RFID系統(tǒng)是一種資源有限系統(tǒng)，因此，RFID系統(tǒng)需要一種安全且輕量級(jí)的協(xié)議來(lái)滿(mǎn)足安全等級(jí)要求和能量約束[2]．針對(duì)上述問(wèn)題，目前也提出了多種協(xié)議[3～7].提出了一種基于Hash函數(shù)的RFID認(rèn)證協(xié)議，用標(biāo)簽ID的Hash函數(shù)值作虛擬ID來(lái)應(yīng)答閱讀器，并且更新標(biāo)簽的虛擬ID，保證RFID的私密性，其可以有效防止追蹤攻擊．文獻(xiàn)[7]提出了一種基于排列的超輕量級(jí)RFID認(rèn)證協(xié)議(UAPP)，沒(méi)有使用不平衡OR和AND操作，標(biāo)簽僅執(zhí)行按位XOR、左旋轉(zhuǎn)和排列三種操作，然而其很容易受到去同步化攻擊．

本文提出一種基于Hash函數(shù)和排列的輕量級(jí)RFID認(rèn)證協(xié)議，應(yīng)用D-Quark輕量級(jí)Hash函數(shù)來(lái)提高協(xié)議安全性且不增加大量額外成本．此外，使用一種稱(chēng)為排列的新操作算子，并結(jié)合XOR操作和密鑰備份技術(shù)來(lái)保護(hù)RFID系統(tǒng)的隱私信息．通過(guò)簡(jiǎn)單進(jìn)程元語(yǔ)言解釋器(SPIN)驗(yàn)證本文協(xié)議的安全性能，實(shí)驗(yàn)結(jié)果顯示，本文協(xié)議能有效抵抗現(xiàn)存的多種可能攻擊．

1　提出的安全認(rèn)證協(xié)議

1.1“排列”操作

1.2協(xié)議詳述

作為輕量級(jí)協(xié)議，UAPP協(xié)議沒(méi)有考慮消息傳輸之間的聯(lián)系．任何攻擊都可能會(huì)利用這個(gè)漏洞來(lái)攻擊UAPP協(xié)議．如果可以降低變量之間的相關(guān)性而不增加標(biāo)簽代價(jià)成本，則能很好的解決上述問(wèn)題．圖2描述了本文協(xié)議規(guī)范，表1介紹了本文協(xié)議的相關(guān)數(shù)學(xué)符號(hào)．

表1　本文協(xié)議數(shù)學(xué)符號(hào)Tab.1　Themathematical symbols in protocol

(1)

(2)

(3)

2　安全性分析

2.1數(shù)據(jù)的保密性

根據(jù)數(shù)據(jù)保密性，消息α，β，γ，δ，ζ都與讀寫(xiě)器和標(biāo)簽之間的密鑰相關(guān)．在不知道這些密鑰時(shí)，很難恢復(fù)隨機(jī)數(shù)和標(biāo)簽的TID[8]．因?yàn)镵eyH和KeyM是保密信息，因此從(Pre(KeyM,KeyH))和R1的可能組合中不可能獲取KeyH、KeyM或R1，所以可以保證數(shù)據(jù)的私密性．β和ζ不僅能提供讀寫(xiě)器認(rèn)證信息，而且能保證消息的可信性．例如，如果攻擊者嘗試通過(guò)修改α中某些比特位來(lái)修改R1，則標(biāo)簽將不能認(rèn)證該消息，因?yàn)棣率菬o(wú)效的．然而，攻擊者想調(diào)整β為正確值是非常困難的，因?yàn)閔ash(Pre(Key-M⊕KeyH,hash(KeyM⊕R1))⊕Pre(KeyL,hash(KeyM⊕R1)))操作使R1只要有輕微變動(dòng)都會(huì)導(dǎo)致輸出結(jié)果有很大不同．

2.2抵御去同步化攻擊

本文使用一種輕量級(jí)Hash函數(shù)來(lái)檢測(cè)傳輸數(shù)據(jù)的誤差．由于Hash函數(shù)不可逆，所以能降低傳輸消息之間的相關(guān)性來(lái)抵御去同步化，且不會(huì)增加任何代價(jià)成本[9]．

為了驗(yàn)證本文協(xié)議能有效抵抗特定類(lèi)型去同步化攻擊，本文使用簡(jiǎn)單進(jìn)程元語(yǔ)言解釋器(SPIN)[10]工具來(lái)完成驗(yàn)證實(shí)驗(yàn)．讀寫(xiě)器和標(biāo)簽將根據(jù)R1=64 793,R2=43 373計(jì)算獲得α=17 605,β=39 157,γ=61 304,δ=12 957,ζ=41 294，R1,R2為讀寫(xiě)器產(chǎn)生的兩個(gè)隨機(jī)數(shù)．實(shí)驗(yàn)結(jié)果顯示，如果不存在攻擊，消息α,β,γ,δ,ζ可以通過(guò)本文協(xié)議認(rèn)證．

2.3抵御追蹤攻擊

追蹤攻擊通常由惡意活躍的讀寫(xiě)器引起，攻擊的目的是找到一個(gè)特定標(biāo)簽，攻擊者通過(guò)標(biāo)簽附近的很小設(shè)備不斷遠(yuǎn)距離掃描標(biāo)簽并記錄RF信號(hào)[11]．如果標(biāo)簽重復(fù)發(fā)送一種信息兩次，例如相同的TID，標(biāo)簽將被追蹤．根據(jù)本文協(xié)議，通信過(guò)程中，R1,R2值的改變將導(dǎo)致α，β，γ，δ，ζ值發(fā)生變化，同時(shí)完成每次認(rèn)證后，必須更新TID．因此，本文協(xié)議能有效抵抗各種追蹤攻擊．

2.4抵御重放攻擊

如果惡意讀寫(xiě)器嘗試通過(guò)重放α=hash(Per(KeyM,KeyH))⊕R1和β=hash(Per(KeyM⊕KeyH,hash(KeyM⊕R1))⊕Per(KeyL,hash(KeyM⊕R1)))消息來(lái)通過(guò)標(biāo)簽認(rèn)證，然而在步驟3中，讀寫(xiě)器已經(jīng)攔截了這兩個(gè)消息，標(biāo)簽將會(huì)根據(jù)XORα和hash(Pre(KeyM,KeyH)) 操作提取重放的α來(lái)形成R1．標(biāo)簽?zāi)芨鶕?jù)R1和密鑰來(lái)計(jì)算本地β′，并將其與重放的β作比較來(lái)確定是否通過(guò)步驟4的認(rèn)證過(guò)程．本文協(xié)議中，R1由讀寫(xiě)器產(chǎn)生，且在每次認(rèn)證時(shí)R1值將會(huì)不同，惡意閱讀器不能偽造信息γ=hash(Per(hash(KeyTH⊕R1),hash(R1⊕KeyTM))⊕Per(hash(KeyTM⊕KeyL),hash(R1⊕KeyTL))) ，因此，將會(huì)認(rèn)證失敗，所以本文協(xié)議能有效抵抗重放攻擊．

2.5抵御泄露攻擊

在會(huì)話過(guò)程中，作用于兩個(gè)或兩個(gè)以上消息的XOR操作不會(huì)泄露任何秘密信息．即使攻擊者得到α=hash(Per(KeyH,KeyM))⊕R1，也不能確定KeyH或KeyM或R1，因?yàn)榇嬖诤芏嗫赡芙M合，通過(guò)計(jì)算后產(chǎn)生同樣的值α．另外，攻擊者可能會(huì)采用修改和測(cè)試方法來(lái)猜想密鑰[12]．例如，攻擊者可能更改α和β，且將更改后的消息發(fā)送給標(biāo)簽來(lái)測(cè)試是否更改正確．然而，因?yàn)镠ash函數(shù)存在單向函數(shù)特性，因此從(KeyH,KeyM)和R1組合不可能獲取KeyH或KeyM或R1．所以，本文協(xié)議能有效抵抗泄露攻擊．

3　計(jì)算性能分析

表2顯示了本文協(xié)議與其他協(xié)議在安全性能上的對(duì)比結(jié)果．可以看出，本文協(xié)議相比于其它協(xié)議，能夠全面防止去同步化攻擊、泄露攻擊和標(biāo)簽追蹤攻擊．

表2　各種認(rèn)證協(xié)議的安全性比較Tab.2　The safety comparisons of various authentication protocol

表3描述了本文協(xié)議與其他協(xié)議在計(jì)算性能上的比較結(jié)果，其中，H表示Hash函數(shù)計(jì)算操作，R表示參數(shù)的隨機(jī)數(shù)操作，L表示標(biāo)簽ID的長(zhǎng)度[15]．可以看出，本文協(xié)議在保證高安全性的條件下，存儲(chǔ)量、通信量和協(xié)議計(jì)算量都具有較優(yōu)的表現(xiàn)．

表3　各種認(rèn)證協(xié)議的計(jì)算性能比較Tab.3 The calculated performance comparison of various authentication protocol

4　結(jié)束語(yǔ)

本文提出了一種輕量級(jí)RFID認(rèn)證協(xié)議，利用Hash函數(shù)、排列、XOR操作和密鑰備份技術(shù)來(lái)提高協(xié)議的安全性能并保證較高的計(jì)算性能．通過(guò)SPIN工具驗(yàn)證本文協(xié)議的安全性能．與其他方法相比，本文協(xié)議能夠有效地檢測(cè)去同步、泄漏、追蹤和重放攻擊，且沒(méi)有明顯增加計(jì)算量．

[1]金永明, 吳棋瀅, 石志強(qiáng),等. 基于PRF的RFID輕量級(jí)認(rèn)證協(xié)議研究[J]. 計(jì)算機(jī)研究與發(fā)展, 2014, 51(7):1 506-1 514.

[2]趙蓮清, 陳元?jiǎng)? 段曉萌. 基于Grain-128a算法的RFID安全機(jī)制[J]. 電子技術(shù)應(yīng)用, 2013, 39(4): 126-129.

[3]CHANG C C, CHEN W Y, CHENG T F. A secure RFID mutual authentication protocol conforming to EPC class 1 generation 2 standard[C]// Intelligent Information Hiding and Multimedia Signal Processing (IIH MSP), 2014 Tenth International Conference on. IEEE, 2014:642-645.

[4]HAN W, ZHU Z. An ID-based mutual authentication with key agreement protocol for multiserver environment on elliptic curve cryptosystem[J]. International Journal of Communication Systems, 2014, 27(8):1 173-1 185.

[5]CHOU J S. An efficient mutual authentication RFID scheme based on elliptic curve cryptography[J]. Journal of Supercomputing, 2013, 70(1):75-94.

[6]WANG X, ZHANG Q. Mutual authentication for RFID based on elliptic curve and zero knowledge[J]. Computer Engineering & Applications, 2013, 49(15):97-100.

[7]TIAN Y, CHEN G, LI J. A new ultralightweight RFID authentication protocol with permutation[J]. Communications Letters IEEE, 2012, 16(5):702-705.

[8]苑津莎, 徐揚(yáng), 戚銀城, 等. 基于非對(duì)稱(chēng)密鑰和 Hash 函數(shù)的 RFID 雙向認(rèn)證協(xié)議[J]. 密碼學(xué)報(bào), 2014,1(5):456-464.

[9]張兵, 馬新新, 秦志光. 輕量級(jí) RFID 雙向認(rèn)證協(xié)議設(shè)計(jì)與分析[J]. 電子科技大學(xué)學(xué)報(bào), 2013, 42(3):425-430.

[10]KOMU B N, MZYECE M, DJOUANI K. SPIN-based verification of authentication protocols in WiMAX networks[C]// Vehicular Technology Conference, 1988, IEEE 38th. 2012:1-5.

[11]王少輝, 劉素娟, 陳丹偉. 滿(mǎn)足后向隱私的可擴(kuò)展RFID雙向認(rèn)證方案[J]. 計(jì)算機(jī)研究與發(fā)展, 2013, 50(6):1 276-1 284.

責(zé)任編輯：龍順潮

A Lightweight RFID Security Authentication Protocol Based on Hash Function and Arrangement

WANGMing-fei1*,WEIYong1,SUNTing2

(1.Department of Computer Science & Technology,Henan Institute of Technology, Xinxiang 453002;2.Institute of Visualization,Northwestern University,Xi'an 710069 China)

For the security and privacy issues of RFID system, a new lightweight RFID authentication protocol based on hash function is proposed. The one-way Hash function is used to solve the RFID security and privacy issues, and integrates the arrangement operator, exclusive or (XOR) operation and the key backup technology to improve the safety performance of the protocol. Simple Promela Interpreter (SPIN) is used to verify the performance of the protocol, results show that the protocol can effectively resist the desynchronization, disclosure, tracing and replay attacks, and don’t significantly increase the amount of computation. This protocol improves the security flaws existing in the current Hash-based operation authentication protocol, and it is suitable for the security requirement of the low cost RFID system.

security authentication protocol; radio frequency identification devices (RFID); Hash function; arrangement; resist attacks; SPIN

2015-10-07

河南省高等學(xué)校重點(diǎn)項(xiàng)目(16A520083,16520010)

王明斐(1982-),男，河南 新鄉(xiāng)人，講師. E-mail:wangmingfei82@126.com

TP393

A

1000-5900(2016)01-0115-05