汪 亞 魏國珩

(海軍工程大學信息安全系 湖北 武漢 430033)

適用于RFID的輕量級密碼算法研究綜述

汪 亞 魏國珩

(海軍工程大學信息安全系 湖北 武漢 430033)

隨著物聯(lián)網技術的飛速發(fā)展和普及，RFID等資源受限設備的安全性受到越來越多的重視，關于此類設備應用的輕量級密碼算法成為近些年的研究熱點。針對適用于RFID設備的輕量級密碼算法在研究進展、設計方法和安全性分析方面作了綜述。介紹了輕量級密碼設計中的常用方法和關鍵問題，對目前能夠應用于RFID設備的典型輕量級算法進行了歸納總結，闡述了針對輕量級密碼常用的安全性分析方法，突出旁路攻擊對算法的威脅，并對一些算法的實現性能進行了對比。最后進一步闡明了當前及今后輕量級密碼研究中要解決的問題及可能的研究方向。

RFID 輕量級密碼算法 安全性分析

0 引 言

隨著物聯(lián)網技術的推廣及RFID等微型計算設備應用的普及，計算和信息交互已經可以在更小、計算能力更有限的設備中進行。在物聯(lián)網領域，無線射頻識別RFID技術被廣泛應用到各個行業(yè)，它所具有的成本低、效率高的特點使得RFID標簽越來越受歡迎。這類設備的計算能力、存儲空間和能量來源都非常有限，信息交互也是在無線信道中進行，因此，如何提高RFID在信息傳輸進程中的安全性，成為日益重要的研究課題。

給信息加密是目前較為有效的保障信息安全性的方法。經典的加密算法如AES、DES等加密強度高，算法安全性好，但是強度越高，算法實現起來就要消耗越多的資源，耗費越多的時間。RFID標簽不同于傳統(tǒng)的高性能計算機和臺式機，它的存儲空間較小，計算能力和電量儲存能力也相對較弱，資源極端受限，顯然傳統(tǒng)復雜的加密算法對這種低功耗低成本的設備是不適用也是不必要的，因此輕量級密碼算法便應運而生，并受到人們日益廣泛的關注。輕量級密碼算法是為了適應物聯(lián)網環(huán)境下，射頻識別標簽、智能卡等設備資源相對受限的限制，而提出的一種功耗低、占用門數少的密碼算法[1]。與傳統(tǒng)的密碼算法相比，輕量級算法在計算時消耗更少的資源、擁有更高的效率，非常適用于RFID等計算能力有限的微型設備使用。近幾年來，隨著物聯(lián)網的安全問題日益嚴峻，輕量級密碼算法的研究取得豐碩成果，國際標準化組織也正在制定輕量級算法的相關標準，包括輕量級的序列密碼算法、分組密碼算法和雜湊算法等。無論是序列密碼還是分組密碼，都屬于對稱密碼算法，對稱密碼和非對稱密碼最大的不同就是只有一個密鑰，輕量化實現起來比較容易。非對稱密碼加密時使用公鑰，解密時使用私鑰，增加了實現輕量化的難度，所以很少有非對稱的加密算法能夠實現絕對的輕量化[2]。本文在參考大量文獻的基礎上歸納和總結了輕量級密碼算法的研究進展，首先闡述輕量級密碼在設計與實現過程中使用的方法、遵循的原則以及要達到的目標；隨后介紹了一些典型的能夠用于RFID的輕量級密碼；其次總結了針對輕量級密碼算法的常用攻擊方法；接著在這些攻擊方法的基礎上總結針對典型輕量級算法常用的安全性分析方法；最后概括出輕量級密碼今后發(fā)展必須解決的問題和可能的發(fā)展方向。

1 輕量級密碼算法的設計與實現

很多非輕量級的密碼算法在設計時只考慮安全性，忽略了實現起來所消耗的資源，導致這些算法無法在資源受限的設備中使用。與其它資源受限設備相比，RFID標簽有其自身特點，輕量級密碼算法在標簽中的應用場合也有所不同，首先從硬件上來看，通常RFID標簽有1000到10 000 GE(等效門，也稱等價門，表示為完成一個電路功能而與制造技術相互獨立的邏輯門數量)，但可用于實現安全性的組件只有200到2000 GE。在標簽使用過程中，讀寫器向外發(fā)送信號，大部分標簽都是從信號產生的磁場中獲取能量進行激活，因此標簽是低功耗的，同時，標簽與讀寫器之間的通信是在無線信道中進行的，這種方式很容易被竊聽和干擾，最終導致用戶無法接收到正確信息或非法用戶對標簽進行偽造，從而達到欺騙用戶的目的。因此，針對以上特點和應用場景，RFID標簽對輕量級密碼算法有其自身的不同需求。近年來，針對RFID這類設備的特點，相關人員做了很多工作來實現算法的輕量化。主要有以下兩種方法。

通過減少加密過程中的輪數來減少算法實現起來的能量消耗。這種方法主要針對分組加密算法，本質上，分組密碼是一種帶有密鑰的有限輪置換，它的安全性體現在對明文的反復代換上，每一次代換稱為一輪，因此減少加密的輪數便可實現算法的輕量化。其次，通過減少密鑰的長度可以降低實現起來的復雜度。在對稱密碼算法中，加密強度的高低往往由密鑰的長度決定，針對某些算法適當減少密鑰長度可實現算法的輕量化。

目前的輕量級密碼算法在設計時針對不同的應用平臺，有主要面向硬件實現的、主要面向軟件實現的和綜合考慮軟硬件的混合設計。面向RFID的輕量級密碼算法設計大部分都是結合軟硬件二者的優(yōu)點的混合設計，在設計過程中主要有三個指標需要考慮：安全、成本和效率[3]，側重點越不同，算法實現起來的差異就越明顯，它們三者的折中關系如圖1所示。

圖1 安全、成本和效率的折中關系

由圖1中可以看出，安全、成本和效率中任意兩者的平衡都受到一個因素制約，代換的輪數會影響安全和效率之間的平衡，密鑰的長度會影響安全和成本之間的平衡，算法的結構則會影響成本和效率之間的平衡。在設計輕量級的密碼算法時，優(yōu)化其中的任意兩個：安全和成本、成本和效率或安全和效率比較容易，因為只需要考慮一個因素，但是如果要在三個目標之間找到一個平衡點則存在一定的難度。因此，在設計輕量級的密碼算法時，要結合它的應用環(huán)境來滿足不同的需求，日常使用的大部分RFID標簽都是低成本的、一次性的，例如電子門票這種應用到RFID標簽的只需要在某一時間段內保證其安全性就可以。

2 輕量級密碼算法

依據當前的應用環(huán)境和研究趨勢，輕量級密碼的研究主要集中在分組密碼、序列密碼和散列函數這三種算法上，但也有少部分的非對稱加密算法經過驗證實現了輕量化。

2.1 分組密碼

輕量級分組密碼是研究最早也是很有研究價值的輕量級密碼算法，因為它具有兩個典型的安全結構：Feistel結構和SP網絡結構，使用Feistel結構的算法在加密和解密過程中的結構相同，SP網絡結構有兩層，“S”稱作混淆層，“P”稱作擴散層，SP結構與Feistel結構相比，最大的優(yōu)點是密碼擴散快。輕量級分組密碼無論在實現效率還是在運行功耗上都比傳統(tǒng)的AES等高強度加密算法具備明顯優(yōu)勢，非常適合RFID等物聯(lián)網微型設備使用。這些輕量級分組密碼有的是在傳統(tǒng)的分組密碼如AES等基礎上的簡化，有的是對算法實現組件的改進，如DESL[4]就是用一個全新的S盒替換掉DES中原來的8個S盒，從而大大減少了實現安全組件的等效門數，此外還有其他新設計的輕量級分組密碼算法，這些算法主要有三種結構：Feistel網絡結構、SP結構和其他結構。有些算法在硬件實現需求上超過了2000 GE，無法應用到RFID標簽中，一些典型的符合RFID標簽實現需求的算法包括：SEA[5]、PRESENT[6]、KATAN/KTANTAN[7]、mCrypton[8]、MIBS[9]、LED[10]、LBlock[11]、KLEIN[12]等等。下面從三種結構中各選取一個有代表性的算法進行介紹。

SEA算法采用Feistel網絡結構，明文和密文長度相同，均為128 bit，有三種密鑰長度可供選擇，分別為128 bit、192 bit和256 bit，與之對應的加密輪數為6、9和12。該算法全部使用基于字節(jié)的運算，并且僅有異或和加兩種運算，占用的存儲量很低，特別適合在智能卡上運用。

PRESENT算法是由Bogdanov等人[6]在CHES 2007國際會議上提出的輕量級密碼算法，該算法的設計思路借鑒了DES算法，但實現起來有很大的差別，DES算法采用的是FEISTEL結構，而PRESENT的輪函數采用SP結構，明文共經過31輪迭代，密鑰長度為80 bit的稱為PRESENT-80，密鑰長度為128 bit的稱為PRESENT-128。與其他輕量級算法相比，PRESENT算法無論在軟件還是硬件方面實現效率都很高，是典型的超輕量級加密算法，它的提出在輕量級密碼的設計史上具有里程碑的意義。

KATAN/KTANTAN算法采用其它結構，是Cannière等人[7]在2009年提出的適用于硬件實現的輕量級密碼族，該密碼族包括兩組，密鑰長度均為80 bit，第一組KATAN包含三個分組長度分別為32 bit、48 bit和64 bit的密碼算法，第二組KTANTAN包含另外三個密碼算法，并且和第一組有相同的分組長度，但有更好的硬件特性。該密碼簇在設計思想上借鑒了序列密碼，即使用移位寄存器來構造基礎組件。KATAN/KTANTAN實現起來最多需要1054個等效門，是專門為RFID標簽等資源受限環(huán)境設計的輕量級密碼算法。

2.2 序列密碼

由于不像分組密碼那樣具備典型的安全結構，用線性反饋移位寄存器來構造安全組件很困難，所以針對序列密碼的輕量化研究技術還不是很成熟。隨著eSTREAM計劃的啟動，序列密碼軟硬件簡單、實現效率高的特點逐步受到重視，一些輕量級的序列密碼被人們提出。在eSTREAM計劃最終入選的算法中，實現所需的安全組件在2000 GE以內，能夠滿足RFID應用場景的算法有以下兩類：

適用于軟件實現的輕量級序列密碼有：HC-128[13]，它是HC-256算法的簡化版，由初始化算法和密鑰流算法構成，它的密鑰和初始化向量都為128 bit，運行速度比HC-256慢，但HC-128的安全性能較高，至今還沒有對其有效的分析方法。SOSEMANUK[14]由Berbain等人提出，它的設計結合了流密碼SNOW2.0和分組密碼SERPENT的優(yōu)點，密鑰長度介于128 bit和256 bit間，SOSEMANUK算法最大的特點就是不僅繼承了其它算法的優(yōu)點，還在結構上進行了改進，在一定程度上降低了威脅發(fā)生的概率，達到了輕量級密碼對安全性和實現效率的要求。Rabbit[15]由Boesgaard等人提出，包含移位、異或、模232加、級聯(lián)等操作，簡單有效，既有利于軟件實現，也有利于硬件實現。Salsa20[16]在軟件組中被認為是最適合RFID等受限設備的輕量化算法，它是由Daniel J.Bernstein提出的基于512 bit輸入，512 bit輸出的hash函數的密碼算法，密鑰長度為256 bit和128 bit，算法操作簡單，易于實現。

適用于硬件實現的輕量級序列密碼有：Grain[17]，它由Hell等人設計，算法分為密鑰流產生和初始化兩個過程，密鑰長度為80 bit，還有改進版本的Grain-128，密鑰長度為128 bit，比較適合在RFID等資源受限平臺下使用。Trivium[18]算法雖然結構簡單，安全性較高，但硬件實現需要2600 GE，不適用于常用的RFID標簽。

此外，還有專門為RFID標簽設計的WG-7[19]算法和A2U2[20]算法。WG-7算法的密鑰長度為80 bit，初始向量為81 bit，都是為RFID而專門進行的參數化設計。文獻[19]經過嚴格的安全性分析證明WG-7算法能夠有效抵御差分攻擊、代數攻擊、相關攻擊等攻擊方法，是能夠滿足RFID標簽實現需求并非常有應用前景的一種算法。A2U2是一種專用輕量級序列密碼，它結合了序列密碼的設計原則和分組密碼的設計方法，并且充分考慮資源受限設備的特點，硬件實現代價很低，最多僅需300 GE[20]，是目前最輕量級的序列密碼。

2.3 雜湊函數

雜湊函數也稱hash函數，它是一種只能用于正向計算的單向函數，想要通過逆向運算計算輸入參數非常困難，雜湊函數被廣泛應用于RFID認證協(xié)議中，自從PRESENT算法被提出后，很多基于PRESENT的輕量級hash函數被提出，但是大部分算法實現所需的組件數量都超過了2000 GE，例如文獻[21]提到的一系列算法中，C-PRESENT-192算法實現所需的等效門數為4600 GE，H-PRESENT-128需要2330 GE，只有DM-PRESENT-80算法實現需要1600 GE，能夠滿足RFID的應用要求。此外，還有一些采用sponge[22]結構設計的算法，能夠用于RFID的算法有：QUARK[23]、PHOTON[24]和SPONGENT[25]，其中SPONGENT是目前最輕量級也是最有研究價值的hash函數族，它在CHES 2011會議上被提出，根據輸出的哈希值長度分為SPONGENT-88/128/160/224/256五種函數，實現起來所需的安全組件也都在2000 GE以內，符合RFID標簽的應用需求。SPONGENT-88實現起來需要738 GE，適用于RFID等資源受限和安全性要求較低的環(huán)境中。SPONGENT-128和SPONGENT-160的實現分別占用1060 GE和1329 GE，它們能夠適應資源更加受限的環(huán)境。所以SPONGENT算法在所有的輕量級雜湊函數中非常有競爭力。

2.4 非對稱密碼

非對稱密碼在加解密時使用的密鑰不同，像RSA、ECC等公鑰密碼體制，實現起來就已經相當復雜了。這種固有的復雜性使得非對稱密碼在實現絕對輕量化時存在一定的困難，同時，復雜性也說明在安全性方法有一定的優(yōu)勢，所以對非對稱密碼進行輕量化的研究也有一定的必要性。雖然有的算法實現了輕量化，但由于安全組件數量的限制，能夠滿足RFID設備硬件實現需求的很少。在文獻[26]中Saarinen提出了一種基于Rabin的混合公鑰加密體制BlueJay，它適用于微傳感器和RFID認證標簽等超輕量化平臺。BlueJay使用了隨機數乘法并結合了中國剩余定理，在保證相同的安全性前提下，BlueJay實現起來比傳統(tǒng)的非對稱密碼RSA和ECC效率更高，更輕量化。

3 輕量級密碼的分析方法

輕量級密碼主要用于低成本和資源受限的設備中，這些設備在日常生活中使用非常廣泛，一旦被攻破，會造成巨大損失。輕量級密碼算法在設計時既要保證安全性又要注重實現效率，然而這兩者卻相互制約，當提高算法的執(zhí)行效率時，安全性就會在一定程度上受到影響。所以，對輕量級密碼算法的安全性進行分析和研究非常有必要。密碼分析就是利用算法設計的弱點對算法進行破譯，在對輕量級密碼進行分析時主要有兩種方法：一種是根據算法本身的代數結構進行分析，另一種是繞過對算法本身結構的分析，利用算法實現過程中所泄露的信息，如功耗、故障和電磁輻射等對密碼進行破解，也就是旁路攻擊。

目前，已經有很多人對輕量級密碼算法進行了安全性分析，針對不同的密碼類型有不同的分析方法。針對分組密碼的分析方法有：線性分析[27]、差分分析[28]和強力攻擊[29]等。其中線性分析和差分分析經過多年的發(fā)展，已經有很多不同的方法推廣，例如不可能差分分析、高階差分分析、多重線性分析和劃分密碼分析等。針對序列密碼的分析方法有：代數攻擊、線性區(qū)分攻擊、相關攻擊等[30]，其中利用代數攻擊對序列密碼的安全性進行分析效果最好，研究表明序列密碼最常遭受也是代數攻擊[31]。針對hash函數的分析方法有[32]：碰撞攻擊、原像攻擊、第二原像攻擊和差分分析等，其中差分分析是最有效的分析方法也是密碼安全性判別的主要依據。

在對典型的輕量級密碼進行安全性分析的過程中，旁路攻擊對算法的安全造成了很大的威脅，因為設備在算法執(zhí)行的過程中，都會不可避免地泄漏功耗、電磁輻射等信息。在文獻[33]中Zhang等人使用選擇明文功耗攻擊對KATAN32算法進行分析，結果表明只需要統(tǒng)計160條功耗波形和160個固定明文就可以成功破解算法，說明該算法不能抵御功耗攻擊。在文獻[34]中Bogdanov等人針對KTANTAN算法提出一種中間相遇的攻擊方法。在文獻[35]中楊林等人提出一種針對MIBS算法的約減輪的差分分析方法。在文獻[36]中薛紅等人指出LBlock算法在實現過程中容易受到代數旁路攻擊。文獻[37]證明使用一種改進的代數故障攻擊方法可以對LED和MIBS算法進行有效分析。文獻[38]針對LED算法進行了代數差分故障攻擊，證明僅用一次的故障注入就可以在短時間內破解密碼，恢復出正確的密鑰。PRESENT是最具代表性的密碼算法，它能在很大程度上抵御線性分析和差分分析，很多學者都對其進行了安全性分析。在文獻[39]中Collard等人對PRESENT算法進行飽和攻擊，利用已知的235.6對明密文對可以對15輪的PRESENT進行破解，但是無法破解31輪的PRESENT。在文獻[40]中葛十景等人經過數小時的實驗，利用代數分析方法可以破解6輪的PRESENT，但是也無法破解31輪的PRESENT。文獻[41]利用S盒和P盒的相關性質，總結出約減輪PRESENT的5到15輪的差分特征。此外，還有很多針對PRESENT的分析方法，如文獻[42]提到的側信道立方攻擊方法，文獻[43]提到的結合Linear hull的弱密鑰攻擊方法等?，F代密碼算法在設計時已經能夠充分考慮到各種可能存在的攻擊方法，所以在對密碼算法進行分析時，只單純地使用一種方法很難找到算法的弱點，要想得到良好的攻擊效果，必須將各種有效的分析方法結合起來。

在對輕量級密碼進行分析時，算法的實現性能也是一個不容忽視的重要因素，雖然都是輕量級算法，各算法在實現起來的性能表現有很大不同，尤其是針對軟件和硬件實現所需消耗的資源參數不同，有的算法適合在硬件上實現，有的適合在軟件上實現，在硬件實現上主要體現在占用的面積，即等效門數，在軟件實現上主要體現在占用RAM和ROM的內存量上。近幾年針對算法在fpga硬件平臺上的實現方法和優(yōu)化研究較多，文獻[44]中鄒祎等人針對LBlock算法的硬件實現和優(yōu)化進行了研究，并提出了一種可以有效減少算法實現面積的優(yōu)化方法。文獻[45]中徐遠澤等人通過設計硬件結構，對LBlock和PRESENT-128算法在FPGA平臺上的實現進行了比較研究，得出兩種算法的各自優(yōu)缺點。文獻[46]中劉波濤等人通過在FPGA平臺上實現的方式，設計了一種LED與PRESENT算法的重構實現方法，該方法在保證加密速度的前提下，使實現面積縮小了一倍。文獻[47]中李浪等人設計了一種針對Piccolo算法的硬件優(yōu)化方法，既提高了加密效率又降低了實現面積。表1針對部分適用于RFID的輕量級密碼算法所適合的實現平臺，歸納了算法實現所消耗的資源參數。

表1 各算法實現性能比較

4 結 語

相對于傳統(tǒng)密碼算法，輕量級密碼算法的研究開始較晚，在安全性、成本和效率等方面都存在很多需要深入研究的問題:

(1) 大部分的研究集中在對密碼算法的攻擊上，而對如何增強輕量級算法的防御性能的研究卻比較少，研究表明很多算法都存在針對旁路攻擊的脆弱性，如何提高算法抗旁路攻擊的能力需要算法設計者著重考慮。

(2) 與輕量級分組密碼相比，序列密碼缺少相應的安全結構，用線性反饋移位寄存器構建安全組件目前還存在很多困難，如何充分利用序列密碼加解密效率高、結構簡單的特點設計出成本更低、更適用的輕量級密碼仍是當前的研究熱點。

(3) 針對非對稱密碼算法固有的復雜性，實現其絕對的輕量化還存在一定的困難。

(4) 目前已設計出大量的輕量級密碼算法，由于實現平臺的標準不同，參數不一，很難確立通用評價指標，例如針對RFID標簽此類設備的特點及應用場合，缺少一套完整的密碼算法評價體系。

隨著物聯(lián)網技術的飛速發(fā)展，輕量級密碼算法的研究和應用已成為RFID等資源受限設備的必然選擇，很多算法在設計時的側重點不同，實現起來在安全、成本和效率各方面的表現也存在很大的差異，能夠真正應用到資源受限設備的算法還很少。同時，不同的設備對算法的需求不同，以RFID標簽為例，大部分都應用在像電子門票這種成本很低的環(huán)境中，對安全性的要求不是很高，更注重的是減少算法實現起來資源的消耗。

因此，設計針對不同應用平臺的輕量級算法，完善指標評價體系將會成為研究的熱點。針對以上問題的研究和探討，將有利于輕量級密碼算法在RFID等資源受限設備中得到更廣泛的應用。

[33] Zhang L, Gu D, Guo Z, et al. Correlation power analysis and implementation on KATAN32 cipher[J]. Journal of Computer Applications, 2011, 31(2): 504-506,510.

[34] Bogdanov A, Rechberger C. A 3-subset Meet-in-the-middle Attack: Cryptanalysis of the Lightweight Block Cipher KTANTAN[C]//Proceedings of the 17th International Conference on Selected Areas in Cryptography, 2011: 229-240.

[35] 楊林，王美琴. 約減輪的 MIBS算法的差分分析[J]. 山東大學學報(理學版)，2010，45(4)：12-15,20.

[36] 薛紅，趙新杰，王小娟. LBlock分組密碼代數旁路攻擊[J]. 華中科技大學學報(自然科學版)，2013，41(6): 55-60.

[37] Zhang F, Zhao X, Guo S, et al. Improved algebraic fault analysis: a case study on Piccolo and applications to other lightweight block ciphers[EB/OL]. [2014-03-05]. http://www.engr.uconn.edu/～zshi/publications/zhang13_improved_afa.pdf.

[38] Jovanovic P, Kreuzer M, Polian I. An algebraic fault attack on the LED block cipher[EB/OL]. [2014-03-06]. http://eprint.iacr.org/2012/400.pdf.

[39] Collard B, Standaert F X. A statistical saturation attack against the block cipher PRESENT[C]//Proceedings of the Cryptographers’ Track at the RSA Conference on Topics in Cryptology, 2009: 195-210.

[40] 葛十景，谷大武，劉志強，等. 針對PRESENT分組密碼算法的代數分析[J]. 計算機應用研究，2011，28(5): 1889-1893.

[41] Wang M. Differential Cryptanalysis of Reduced-round PRESENT[C]//Proceedings of the Cryptology in Africa 1st International Conference on Progress in Cryptology, 2008: 40-49.

[42] Yang L, Wang M, Qiao S. Side Channel Cube Attack on PRESENT[C]//Proceedings of the 8th International Conference on Cryptology and Network Security, 2009: 379-391.

[43] Nakahara J, Sepehrdad P, Zhang B, et al. Linear (hull) and Algebraic Cryptanalysis of The Block Cipher PRESENT[C]//Proceedings of the 8th International Conference on Cryptology and Network Security, 2009: 58-75.

[44] 鄒祎，李浪，賀位位，等. 輕量級密碼算法LBlock的FPGA優(yōu)化實現[J]. 計算機系統(tǒng)應用，2015，24(7): 240-243.

[45] 徐遠澤，張文科. RFID加密算法的FPGA實現研究[J]. 信息安全與通信保密，2015(2): 84-88,91.

[46] 劉波濤，李浪，賀位位，等. 一種LED與PRESENT密碼算法重構實現研究[J]. 衡陽師范學院學報，2015，36(3): 156-161.

[47] 李浪，劉波濤，余孝忠，等. 一種Piccolo加密算法硬件優(yōu)化實現研究[J]. 計算機應用研究，2015，32(10): 3056-3059.

A RESEARCH SUMMARY ON LIGHTWEIGHT CRYPTOGRAPHIC ALGORITHMS FOR RFID

Wang Ya Wei Guoheng

(DepartmentofInformationSecurity,NavalUniversityofEngineering,Wuhan430033,Hubei,China)

With the rapid development and popularization of the Internet of things technology, the security of RFID and other resource constrained devices is becoming more and more important, research on the lightweight cryptographic algorithms which applied in this kind of device has become a hot research in recent years.The research progress, design methods and security analysis of the lightweight cryptographic algorithms for RFID devices are summarized.Firstly, the common methods and key issues in the design of lightweight cryptography are introduced andthe typical lightweight algorithms which can be applied in RFID devices are summarized. Besides, not only the security analysis method for lightweight password is introduced, but also the threat of side channel attacks is highlighted. Then the realizing performance of some algorithms are compared. Finally, the problems and possible research directions of the current and future lightweight cryptography research are further clarified.

RFID Lightweight cryptographic algorithm Security analysis

2015-10-16。汪亞，碩士生，主研領域：網絡安全。魏國珩，副教授。

TP309

A

10.3969/j.issn.1000-386x.2017.01.002