劉揚(yáng)，徐明明，尹毅峰

（鄭州輕工業(yè)學(xué)院計(jì)算機(jī)與通信工程學(xué)院，鄭州　450001）

基于安全虛S-盒的RFID系統(tǒng)密鑰管理機(jī)制研究

劉揚(yáng)1，徐明明2，尹毅峰3

（鄭州輕工業(yè)學(xué)院計(jì)算機(jī)與通信工程學(xué)院，鄭州450001）

RFID系統(tǒng)包含對(duì)象數(shù)量龐大，實(shí)現(xiàn)安全的數(shù)據(jù)傳輸離不開(kāi)大量密鑰的分發(fā)、存儲(chǔ)與銷毀。將基于對(duì)稱密鑰加密的，可以同時(shí)完成通信雙方身份認(rèn)證與密鑰協(xié)商的安全虛-S盒技術(shù)進(jìn)行相應(yīng)改進(jìn)，結(jié)合RFID系統(tǒng)安全的需求，設(shè)計(jì)一個(gè)針對(duì)RFID系統(tǒng)的密鑰管理機(jī)制。新的機(jī)制由會(huì)話雙方協(xié)商出的安全虛S-盒為RFID系統(tǒng)的通信快速的產(chǎn)生大量隨機(jī)的會(huì)話密鑰，且不需要可信第三方的參與。

RFID系統(tǒng)；密鑰管理；安全虛S-盒

國(guó)家自然科學(xué)基金資助項(xiàng)目（No.61272038、No.61572445）、鄭州輕工業(yè)學(xué)院研究生科技創(chuàng)新基金項(xiàng)目（No.201330）

0　引言

近年來(lái)RFID系統(tǒng)在物流、醫(yī)療、交通等方面的應(yīng)用技術(shù)不斷被開(kāi)發(fā)和完善。用戶的安全與隱私問(wèn)題越來(lái)越受到人們的關(guān)注。雖然系統(tǒng)的規(guī)模不斷擴(kuò)展，安全需求不斷復(fù)雜化，多元化，然而智能終端低成本高實(shí)時(shí)性，高并發(fā)性卻限制了RFID安全機(jī)制的構(gòu)建，使RFID安全成為研究的熱點(diǎn)和難點(diǎn)。

RFID系統(tǒng)不但包含隸屬各個(gè)機(jī)構(gòu)或個(gè)人的閱讀器，更包含了數(shù)量龐大的RFID標(biāo)簽。目前針對(duì)RFID安全系統(tǒng)的數(shù)據(jù)存儲(chǔ)主要分為兩類，第一類由標(biāo)簽和后臺(tái)數(shù)據(jù)庫(kù)同時(shí)存儲(chǔ)秘密信息和標(biāo)簽標(biāo)識(shí)，每對(duì)標(biāo)簽進(jìn)行一次讀寫(xiě)操作，都會(huì)進(jìn)行密鑰更新以抵御重放攻擊，此類存儲(chǔ)方式常用于銀行卡，校園卡等金融射頻卡[1]中；第二類只有后臺(tái)服務(wù)器存儲(chǔ)標(biāo)簽秘密信息，通過(guò)閱讀器向后臺(tái)數(shù)據(jù)庫(kù)轉(zhuǎn)發(fā)標(biāo)簽回復(fù)信息，在通過(guò)服務(wù)器授權(quán)通過(guò)的條件下可以獲得服務(wù)器發(fā)送的自身所讀標(biāo)簽的秘密信息[2]。顯然，對(duì)于大規(guī)模部署的低成本的RFID標(biāo)簽，應(yīng)該承擔(dān)更少的加解密運(yùn)算量和關(guān)鍵信息的保存，因此，第二種存儲(chǔ)結(jié)構(gòu)更易于保護(hù)用戶隱私，并且針對(duì)第二種存儲(chǔ)結(jié)構(gòu)的系統(tǒng)密鑰管理機(jī)制相對(duì)簡(jiǎn)便，更具有擴(kuò)展性。

本文基于提出的安全虛S-盒技術(shù)[3]，針對(duì)實(shí)際的RFID系統(tǒng)進(jìn)行了移植與改進(jìn)，通過(guò)在后臺(tái)服務(wù)器與閱讀器之間建立安全快速的數(shù)據(jù)傳輸通道，設(shè)計(jì)出了無(wú)需可信第三方的密鑰管理機(jī)制，利用通信雙方協(xié)商的安全虛S-盒，快速的產(chǎn)生大量滿足密碼學(xué)特性的會(huì)話密鑰，并且在每一輪會(huì)話完成后重新協(xié)商，可免于重放攻擊，用于低成本標(biāo)簽RFID系統(tǒng)中閱讀器與后臺(tái)數(shù)據(jù)庫(kù)之間關(guān)于標(biāo)簽秘密信息的安全傳輸。

1　系統(tǒng)模型設(shè)計(jì)

1.1安全虛S-盒協(xié)商方案

安全虛S-盒是基于對(duì)稱密碼理論設(shè)計(jì)的一種快速的密鑰協(xié)商方案，通過(guò)通信雙方的一次交互，可以快速生成一個(gè)參數(shù)相同且由通信雙方共享的安全S-盒。在基礎(chǔ)理論方面結(jié)合了Diffie-Hellman的密鑰交換方式，同時(shí)安全虛S-盒的安全性是基于多態(tài)性密碼的自編譯系統(tǒng)的不可讀性[4]。如果存在敵手對(duì)傳輸中的數(shù)據(jù)進(jìn)行密碼分析，將會(huì)啟動(dòng)自編譯系統(tǒng)，所得出的參數(shù)已不再是最初的參數(shù)，因此不能得到對(duì)方的數(shù)據(jù)。

將安全虛S盒的協(xié)商方案介紹如下：

（1）假設(shè)通信的雙方分別是Alice和Bob，他們各自擁有一個(gè)安全的控制密鑰ka和kb，用來(lái)調(diào)用置換函數(shù)構(gòu)造安全子算法集。此算法集沒(méi)有被注入另一組隨機(jī)參數(shù)時(shí)，不具備完整S-盒的混淆和置換功能。

（2）Alice和Bob擁有相同的候選單向函數(shù)構(gòu)造的自編譯器；

（3）Alice和Bob利用各自的通信狀態(tài)產(chǎn)生自己的隨機(jī)參數(shù)組pa和pb；

構(gòu)造安全S-盒的步驟如下：

①雙方采用相同的自編譯器結(jié)合Hash映射，利用各自的控制密鑰加密各自產(chǎn)生的包含自身通信狀態(tài)的隨機(jī)參數(shù)組pa和pb，得到各自的輸出數(shù)組xa和xb；

②Alice將得到的輸出數(shù)組帶入偽隨機(jī)數(shù)發(fā)生器，得到左半S-盒Sa=（xa，Y）；

③同理，Bob利用自身的輸出數(shù)組得到右半S-盒Sb=（X，yb）；

④雙方利用公開(kāi)信道交換各自生成的半個(gè)S-盒；

⑤雙方將自身的輸出數(shù)組帶入收到的半個(gè)S-盒，得到一個(gè)用于生成會(huì)話密鑰的完整的S-盒S（a，b）=（xa，yb）；

1.2RFID系統(tǒng)的密鑰管理

密鑰管理通常包含密鑰的生成、儲(chǔ)存、保護(hù)、分配、驗(yàn)證、使用和銷毀，也就是負(fù)責(zé)管理在密鑰的整個(gè)生存周期內(nèi)的安全性和實(shí)用性[5]。由于當(dāng)前的密碼算法通常是公開(kāi)的，因此當(dāng)密碼算法確定下來(lái)之后，整個(gè)系統(tǒng)的保密程度取決于密鑰的保密性[6]。密鑰管理也因此成為了整個(gè)系統(tǒng)安全的決定因素。傳統(tǒng)的基于RFID的密鑰管理系統(tǒng)多是針對(duì)智能IC卡的密鑰管理系統(tǒng)，主要包括發(fā)卡機(jī)構(gòu)，由可信第三方組成的驗(yàn)證機(jī)構(gòu)，由系統(tǒng)管理員，領(lǐng)導(dǎo)者等組成的多級(jí)的密鑰分發(fā)機(jī)制等。這樣的密鑰管理系統(tǒng)多應(yīng)用于銀行儲(chǔ)蓄卡、門(mén)禁系統(tǒng)、校園卡系統(tǒng)等相對(duì)安全需求等級(jí)較高且用戶不大可能出現(xiàn)高并發(fā)性的場(chǎng)景中。而針對(duì)供應(yīng)鏈，圖書(shū)管理系統(tǒng)這些RFID標(biāo)簽數(shù)量龐大，且對(duì)象分布集中的場(chǎng)景。一方面，系統(tǒng)的成本限制在RFID標(biāo)簽上不能采用高計(jì)算復(fù)雜度的加密措施，另一方面，由于標(biāo)簽的流動(dòng)性以及標(biāo)簽通常以群組的形式出現(xiàn)，造成系統(tǒng)的高并發(fā)性，導(dǎo)致此類低成本標(biāo)簽的密鑰管理不太可能做到為每一個(gè)標(biāo)簽設(shè)置唯一的密鑰并由密鑰管理中心進(jìn)行安全存儲(chǔ)。因此我們假設(shè)系統(tǒng)的閱讀器與標(biāo)簽端采用現(xiàn)行的低成本標(biāo)簽的國(guó)際標(biāo)準(zhǔn)ISO/IEC 18000-6C[7]，在閱讀器與后端服務(wù)器之間嵌入改進(jìn)的安全虛S-盒來(lái)實(shí)現(xiàn)對(duì)低成本RFID系統(tǒng)的密鑰管理。整個(gè)RFID密鑰管理機(jī)制模型框圖如圖1。

圖1　密鑰管理機(jī)制整體框圖

將安全虛S-盒嵌入到后端服務(wù)器以及閱讀器中，構(gòu)成一個(gè)臨時(shí)密鑰管理機(jī)制，在閱讀器登錄后臺(tái)服務(wù)器時(shí)建立，閱讀器完成標(biāo)簽掃描時(shí)斷開(kāi)連接，隨機(jī)銷毀會(huì)話密鑰和控制密鑰。與傳統(tǒng)的密鑰交換協(xié)議相比，不需要大量的控制密鑰以及會(huì)話密鑰的秘密分發(fā)與存儲(chǔ)，也不需要額外的可信第三方來(lái)發(fā)布證書(shū)并進(jìn)行各個(gè)機(jī)構(gòu)的證書(shū)的管理[8]。

2　方案的具體實(shí)現(xiàn)

針對(duì)虛S-盒技術(shù)中的限制與需求，結(jié)合RFID系統(tǒng)的特性對(duì)整體的密鑰協(xié)商方案進(jìn)行改進(jìn)。我們采取在構(gòu)造S-盒的過(guò)程中加入閱讀器和服務(wù)器的身份信息的方法，在協(xié)商S-盒的同時(shí)完成身份認(rèn)證。假設(shè)合法的閱讀器擁有自己的標(biāo)識(shí)IDi和對(duì)應(yīng)的控制密鑰kR以及認(rèn)證口令μi，后臺(tái)服務(wù)器的數(shù)據(jù)庫(kù)中存儲(chǔ)所有合法閱讀器的標(biāo)識(shí)和對(duì)應(yīng)的口令μ以及自身的控制密鑰kD。所有的閱讀器和后臺(tái)服務(wù)器都擁有相同的公開(kāi)的虛擬迭代函數(shù)S（X，Y）和含有自編譯系統(tǒng)的單向Hash函數(shù)HS（）。具體的協(xié)商過(guò)程如圖2所示。

①需要建立會(huì)話的閱讀器和后臺(tái)服務(wù)器利用網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)據(jù)流的隨機(jī)性各自抓取四個(gè)隨機(jī)數(shù)連同自己的私鑰構(gòu)成一個(gè)五元數(shù)組作為新的私鑰組KR[5]={kR，rR1，rR2，rR3，rR4}和KD[5]={kD，rD1，rD2，rD3，rD4}。

圖2　方案具體流程圖

②閱讀器將得到的五元組私鑰帶入含自編譯系統(tǒng)的單向函數(shù)HS（）得到部分參數(shù)KRp[4]={kR⊕HS（rR1），kR⊕HS（rR2），kR⊕HS（rR3），kR⊕HS（rR4）}，帶入雙方共有的虛擬迭代函數(shù)S（X，Y）得到左半S-盒Sa=S（kR⊕HS（rR1），kR⊕HS（rR2），kR⊕HS（rR3），kR⊕HS（rR4），Y）；同樣的，后端服務(wù)器將生成的五元組私鑰帶入含自編譯系統(tǒng)的單向函數(shù)HS（）得到另一部分參數(shù)KDp[4]={kD⊕HS（rD1），kD⊕HS（rD2），kD⊕HS（rD3），kD⊕HS（rD4）}，帶入雙方共有的虛擬迭代函數(shù)得到右半虛S-盒Sb=S（X，kD⊕HS（rD1），kD⊕HS（rD2），kD⊕HS（rD3），kD⊕HS（rD4））；

③閱讀器和后端服務(wù)器利用以太網(wǎng)的公開(kāi)信道將各自生成的半個(gè)S-盒發(fā)送給對(duì)方；

④閱讀器收到服務(wù)器發(fā)來(lái)的右半虛S-盒Sb后，將自身的參數(shù)KRp[4]帶入右半虛S-盒，得到完整的虛S-盒S=S（KRp[4]，KDp[4]）=S（kR⊕HS（rR1），kR⊕HS（rR2），kR⊕HS（rR3），kR⊕HS（rR4），kD⊕HS（rD1），kD⊕HS（rD2），kD⊕HS（rD3），kD⊕HS（rD4））；同理，服務(wù)器收到閱讀器發(fā)來(lái)的左半虛S-盒Sb后，將自身參數(shù)KDp[4]帶入左半虛S-盒，得到相同的完整的虛S-盒；自此，雙方虛S-盒協(xié)商完成；

⑤閱讀器和后端服務(wù)器利用協(xié)商出的安全虛S-盒產(chǎn)生周期很長(zhǎng)的加密序列，此時(shí)待認(rèn)證的閱讀器發(fā)送經(jīng)過(guò)與加密長(zhǎng)周期序列XOR操作后的自身標(biāo)識(shí)IDi和認(rèn)證口令μi給數(shù)據(jù)服務(wù)器；

⑥數(shù)據(jù)服務(wù)器利用收到的密文再與自身產(chǎn)生的S-盒加密序列異或，得到當(dāng)前請(qǐng)求認(rèn)證的閱讀器的標(biāo)識(shí)和口令，在數(shù)據(jù)庫(kù)中查找是否有符合要求的二元組{ID，μ}，如果有，返回認(rèn)證通過(guò)指令，反之，斷開(kāi)連接；

⑦當(dāng)閱讀器認(rèn)證通過(guò)后，向服務(wù)器發(fā)送掃描的標(biāo)簽標(biāo)識(shí)，由服務(wù)器閱讀器查詢標(biāo)簽信息并反饋給閱讀器；

⑧完成掃描范圍內(nèi)的標(biāo)簽認(rèn)證，進(jìn)入靜默狀態(tài)，服務(wù)器自動(dòng)銷毀之前產(chǎn)生的隨機(jī)參數(shù)組以及私鑰組，準(zhǔn)備進(jìn)入下一輪會(huì)話。

3　安全性分析及性能評(píng)估

假設(shè)一個(gè)潛在的敵手企圖通過(guò)竊聽(tīng)公開(kāi)信道上傳輸?shù)男畔?lái)破解雙方協(xié)商的虛S-盒，即通過(guò)獲取任意一方的私鑰以及隨機(jī)種子，來(lái)破譯通信雙方協(xié)商生成的虛S-盒，從而試圖獲取整個(gè)會(huì)話的密鑰生成系統(tǒng)。由于在某一瞬間通信雙方從網(wǎng)絡(luò)中獲取的隨機(jī)數(shù)不能再次獲取，因此，即使敵手獲取了通信雙方的密鑰也不能猜測(cè)出他所需要的隨機(jī)數(shù)種子。

如果敵手假冒通信的其中一方試圖實(shí)施中間人攻擊也是不能實(shí)現(xiàn)的。因?yàn)闊o(wú)論如何，攻擊者只能獲取半個(gè)虛S-盒，因此不可能獲得與通信雙方同步的產(chǎn)生會(huì)話密鑰的虛S-盒，此外，服務(wù)器和閱讀器之間的認(rèn)證還依賴于閱讀器存儲(chǔ)的和自身標(biāo)識(shí)對(duì)應(yīng)的口令μ，敵手不能獲取會(huì)話密鑰也就意味著虛S-盒協(xié)商完成后發(fā)送的閱讀器的口令是安全的，不可被敵手或取的。

相比一般的加密算法，安全虛S-盒繼承了普通S-盒計(jì)算速度快，能快速生成大量長(zhǎng)周期滿足密碼學(xué)特性的密鑰序列的特性。結(jié)合RFID系統(tǒng)的匯聚節(jié)點(diǎn)數(shù)據(jù)量大、高實(shí)時(shí)性、高并發(fā)行的特點(diǎn)，改進(jìn)的虛S-盒協(xié)商及認(rèn)證方案適用于閱讀器與服務(wù)器之間的密鑰管理。

4　結(jié)語(yǔ)

本文基于安全虛S-盒技術(shù)，針對(duì)實(shí)際的RFID系統(tǒng)進(jìn)行了移植與改進(jìn)，通過(guò)在后臺(tái)服務(wù)器與閱讀器之間建立安全快速的數(shù)據(jù)傳輸通道，設(shè)計(jì)出了無(wú)需可信第三方的密鑰管理機(jī)制，利用通信雙方協(xié)商的安全虛S-盒，快速的產(chǎn)生大量滿足密碼學(xué)特性的會(huì)話密鑰，并且在每一輪會(huì)話完成后重新協(xié)商，可免于重放攻擊，本方案可用于低成本標(biāo)簽RFID系統(tǒng)中閱讀器與后臺(tái)數(shù)據(jù)庫(kù)之間關(guān)于標(biāo)簽秘密信息的安全傳輸，在供應(yīng)鏈以及圖書(shū)管理系統(tǒng)中具有很大的實(shí)用價(jià)值。

[1]范春鵬.金融IC卡密鑰管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].北京交通大學(xué)，2015.

[2]付小麗.高效的RFID安全協(xié)議研究與設(shè)計(jì)[D].武漢理工大學(xué)，2011.

[3]Yin Y，Gan Y，Wen H，et al.A Symmetric Key Exchange Protocol Bsaed on Virtual S-Box[J].中國(guó)通信（英文版），2014，11（s2）:46-52.

[4]尹毅峰.基于多態(tài)性密碼的S-盒安全機(jī)制研究[D].西安電子科技大學(xué)，2009.

[5]WENBO MAO（美）.現(xiàn)代密碼學(xué)理論與實(shí)踐[M].電子工業(yè)出版社，2004.

[6]卓麗，耿夫利，王艷艷.信息加密算法研究[J].科教導(dǎo)刊:電子版，2015（18）:175-175.

[7]EPCglobal，UHF Class 1 Gen 2 Standard v.2.0.1[S].Globe standard 1，2013.

[8]徐陽(yáng).物聯(lián)網(wǎng)密鑰管理和認(rèn)證技術(shù)研究[D].南京理工大學(xué)，2015.

RFID System;Key Management Mechanism;Safety Virtual S-Box

Research on Key Management Mechanism of RFID System Based on Safety Virtual S-Box

LIU Yang，XU Ming-ming，YIN Yi-feng

（College of Computer and Communication Engineering，Zhengzhou University of Light Industry，Zhengzhou 450001）

RFID system contains a large number of objects,to obtain safety data transmission requires the distribution,storage and destruction of a plenty number of keys.Based on safety virtual S-box which is used for symmetric key encryption algorithm and can simultaneously complete the identity authentication with key agreement of both sides of the conversation.According to the requirement of RFID system security,designs a key management mechanism for RFID system.The new mechanism can generate a large number of randomized session keys in a short time by safety virtual S-box,while does not require the participation of trusted third party.

1007-1423（2016）32-0003-04

10.3969/j.issn.1007-1423.2016.32.001

劉揚(yáng)（1992-），女，河南鄭州人，碩士研究生，研究方向?yàn)槲锫?lián)網(wǎng)安全

徐明明（1991-），男，河南許昌人，碩士研究生，研究方向?yàn)槲锫?lián)網(wǎng)安全

尹毅峰（1971-），男，河北饒陽(yáng)人，博士，教授，研究方向?yàn)樾畔踩c密碼學(xué)

2016-09-23

2016-11-10

1007-1423（2016）32-0007-06

10.3969/j.issn.1007-1423.2016.32.002