吳偉民，張晶晶，彭家進(jìn)，張俊源，蘇 慶

WU Weimin,ZHANG Jingjing,PENG Jiajin,ZHANG Junyuan,SU Qing

廣東工業(yè)大學(xué) 計算機(jī)學(xué)院，廣州 510006

School of Computer,Guangdong University of Technology,Guangzhou 510006,China

1 引言

射頻識別RFID（Radio Frequency Identification）是一種自動識別技術(shù)，最初的目的是識別和跟蹤物體[1]。隨著RFID技術(shù)的不斷發(fā)展，應(yīng)用也越廣泛，如供應(yīng)鏈管理、門禁系統(tǒng)、防盜檢測、無線支付、智能交通系統(tǒng)等。在RFID的生命周期內(nèi)，標(biāo)簽的所有權(quán)經(jīng)常需要發(fā)生改變[2]，這就涉及到一系列的安全和隱私問題[3]。因此，設(shè)計一個安全性高的RFID所有權(quán)轉(zhuǎn)移協(xié)議具有極其重要的現(xiàn)實意義。

Molnar等人[4]首次提出一個支持RFID所有權(quán)的可擴(kuò)展的匿名協(xié)議而且支持與可信實體進(jìn)行的所有權(quán)轉(zhuǎn)移，但是該協(xié)議需要一個新舊所有者之間的可信中心。Osaka等[5]提出基于Hash函數(shù)和對稱密碼體制提出一種滿足安全協(xié)議的RFID所有權(quán)轉(zhuǎn)移協(xié)議，經(jīng)研究發(fā)現(xiàn)該協(xié)議不能抵抗DOS攻擊和不滿足不可追蹤性。Chen等[6]遵循EPC global C1G2標(biāo)準(zhǔn)的標(biāo)簽僅使用PRNG和CRC的所有權(quán)協(xié)議，然而該協(xié)議容易受到拒絕服務(wù)攻擊。金永明等人[7]在Shamir[8]提出的SQUASH優(yōu)化函數(shù)的基礎(chǔ)上提出一種新的輕量級RFID所有權(quán)轉(zhuǎn)移協(xié)議，經(jīng)驗證該協(xié)議不能抵抗重放攻擊和拒絕服務(wù)攻擊。毛雅佼等[9]提出的所有權(quán)轉(zhuǎn)移協(xié)議的隨機(jī)數(shù)r1、r2都是明文傳輸，因此該協(xié)議在假冒攻擊、重放攻擊存在很大的漏洞。

以上大多數(shù)協(xié)議都是基于Hash函數(shù)加密，但是Hash函數(shù)計算過程相對復(fù)雜且需要較大的存儲空間，而RFID系統(tǒng)標(biāo)簽固有的內(nèi)部計算資源和能量有限，所以Hash加密在中RFID系統(tǒng)的實際應(yīng)用受到限制。另外，Hash函數(shù)是一種公開的加密機(jī)制，不能抵抗窮舉密碼式攻擊?；煦缂用苁且环N動態(tài)加密方法，并且初始密鑰隨機(jī)下可實現(xiàn)一次一密鑰機(jī)制，提高了加密的安全性。其處理速度與密鑰長度無關(guān)，實時性好、易于軟硬件實現(xiàn)，體現(xiàn)了輕量級的實用要求。其產(chǎn)生的密鑰空間巨大能夠有效地抵抗窮舉式密碼攻擊。在混沌密鑰協(xié)議研究方面，牛玉軍[10]等提出了一個新的基于混沌映射的密鑰一致協(xié)議。趙劍鋒[11]提出了一種改進(jìn)的基于增強(qiáng)的Chebyshev混沌映射的密鑰協(xié)商協(xié)議。王興元[12]提出一個新的基于切比雪夫混沌映射的密鑰協(xié)議。基于此本文提出一種基于混沌加密的輕量級RFID所有權(quán)轉(zhuǎn)移協(xié)議CELOTP（Chaotic Encryption Lightweigt Ownership Transfer Protocol），并給出了基于BAN的形式化證明。

2 基于混沌加密的輕量級RFID所有權(quán)轉(zhuǎn)移協(xié)議：CELOTP

本協(xié)議采用易于實現(xiàn)和隨機(jī)性強(qiáng)的Arnold cat混沌映射[13]產(chǎn)生密鑰序列并針對該映射置亂的漏洞[14]對初始點(diǎn)進(jìn)行置亂，同時保持隨機(jī)數(shù)動態(tài)刷新實現(xiàn)一次一密鑰，提高加密的安全性和保持通信過程的新鮮性。采用隨機(jī)數(shù)函數(shù)產(chǎn)生隨機(jī)數(shù)降低標(biāo)簽了成本，體現(xiàn)了輕量級的要求。采用挑戰(zhàn)響應(yīng)機(jī)制，利用Flag標(biāo)志位來表示所有權(quán)的歸屬，提高了協(xié)議通信的安全性。

2.1 Arnold cat混沌加密

針對輕量級RFID系統(tǒng)固有的內(nèi)部資源有限、能量有限和快速讀取的特性。協(xié)議對初始點(diǎn)進(jìn)行置亂的Arnold cat映射，其具有對初始參數(shù)的依賴性、偽隨機(jī)性以及真值有限性?；煦缬成浜瘮?shù)表達(dá)式如下：

其混沌序列分布情況如圖1所示。由四次仿真圖像表明該映射對初始條件極度敏感，初始值的微小變化導(dǎo)致該映射進(jìn)入完全不同的狀態(tài)。

圖1 混沌序列分布圖

由此可見，在未知初始參數(shù)的情況下，很難預(yù)測該映射的運(yùn)動趨勢。協(xié)議同時采取了隨機(jī)數(shù)保持動態(tài)刷新的機(jī)制，每次初始值微小的變化都會引起加密序列巨大的變化，說明了此映射能夠抵抗窮舉式密碼攻擊。基于該映射的RFID所有權(quán)轉(zhuǎn)移協(xié)議有很高的安全性能。

RFID系統(tǒng)中所使用的數(shù)據(jù)均為二進(jìn)制，但是該混沌映射的初始值是約定范圍內(nèi)實數(shù)，所以需要進(jìn)行數(shù)據(jù)轉(zhuǎn)換，將RFID需要加密的二進(jìn)制信息先轉(zhuǎn)換成十進(jìn)制實數(shù)再通過乘以計算因子[15]轉(zhuǎn)換為（0，1）上的數(shù)。初值利用一維Logistic映射 θn+1=4θn(1-θn)置亂：設(shè)初始序列是M 個二進(jìn)制組成，將（0，1）分成M 個小區(qū)間，從小到大依次標(biāo)號。然后將每次迭代得到的值落入小區(qū)間內(nèi)并得到區(qū)間號。重復(fù)迭代直到得到M個不同的值即產(chǎn)生新的置亂序列。

根據(jù)Arnold cat映射進(jìn)行加密。先將初始序列y0進(jìn)行置亂成為新的y0，二元組(x0,y0)為產(chǎn)生混沌序列的密鑰，根據(jù)公式（1）迭代N次則可得到序列A=((x1,y1),(x2，y2),…,(xn,yn))。假設(shè)：

則序列 A可表示為二進(jìn)制序列b1b2…bn，其中bi={0,1}。為了提高保持密鑰的安全性和新鮮性，可動態(tài)地截取中間序列作為混沌加密序列。假設(shè)序列{bi}的長度為L，則從第r位開始，截取中間N位數(shù)作為加密序列。其中r為RFID系統(tǒng)產(chǎn)生的隨機(jī)數(shù)，N為會話密鑰長度，且滿足1≤r+N≤L。

2.2 輕量級所有權(quán)轉(zhuǎn)移協(xié)議

本節(jié)首先以文獻(xiàn)[9]中提出的RFID所有權(quán)轉(zhuǎn)移協(xié)議的安全隱患進(jìn)行分析為例，并與其他的協(xié)議安全進(jìn)行分析，然后根據(jù)該分析的結(jié)果提出新的輕量級所有權(quán)轉(zhuǎn)移協(xié)議。文獻(xiàn)[9]協(xié)議假冒攻擊、重放攻擊如圖2所示。

圖2 協(xié)議攻擊過程

由于文獻(xiàn)[9]的通信信息都是明文傳輸，隨機(jī)數(shù)很容易被截取。當(dāng)敵手E假冒所有者并獲得隨機(jī)數(shù)r1時，發(fā)送請求后能成功獲得A、r2的值進(jìn)而獲得B成功竊取整個通信過程，因此，該協(xié)議不能抵抗假冒攻擊。敵手產(chǎn)生一個為0的隨機(jī)數(shù)并發(fā)送請求，此時標(biāo)簽返回的值與通信信息B完全相同，因此該協(xié)議不能抵抗重放攻擊。

CELOTP協(xié)議具有以下特點(diǎn)：（1）采用混沌加密，與傳統(tǒng)的哈希函數(shù)相比混沌加密具有易于軟硬件實現(xiàn)、密鑰空間巨大的特性?；煦缂用苁沟谜麄€協(xié)議的安全性有了極大的提高，同時減少了標(biāo)簽的計算量；（2）使用動態(tài)刷新函數(shù)和隨機(jī)函數(shù)[12]保持?jǐn)?shù)據(jù)的新鮮性，而不使用隨機(jī)數(shù)發(fā)生器也極大地減少了標(biāo)簽的硬件成本；同時動態(tài)刷新隨機(jī)數(shù)也提高了通信的安全性；（3）采用挑戰(zhàn)響應(yīng)機(jī)制，利用Flag標(biāo)志位來表示所有權(quán)的歸屬，提高了協(xié)議通信的安全性。本協(xié)議用到的符號說明如表1所示。

表1 符號說明

其中C(x,y)表示(x,y)作為混沌加密序列的初始值(x0,y0)，Nx作為標(biāo)簽的隨機(jī)數(shù)并保持動態(tài)刷新，通過MIXBITS()函數(shù)[16]產(chǎn)生增加數(shù)據(jù)的隨機(jī)性，使得標(biāo)簽不需要隨機(jī)數(shù)發(fā)生器就能產(chǎn)生隨機(jī)數(shù)，減少了標(biāo)簽的成本，實現(xiàn)了輕量級。

輕量級所有權(quán)轉(zhuǎn)移協(xié)議主要是解決讀寫器與標(biāo)簽之間無線傳輸?shù)陌踩c隱私問題。因此，不失一般性，假設(shè)讀寫器與數(shù)據(jù)庫、原所有者的數(shù)據(jù)庫與新所有者的數(shù)據(jù)庫之間都是安全信道。協(xié)議的執(zhí)行過程如圖3所示，主要分成以下8個步驟：

步驟1Ri→T：原讀寫器對標(biāo)簽發(fā)出請求并和讀寫器生成的隨機(jī)數(shù)r1一起發(fā)送給標(biāo)簽。

圖3 協(xié)議執(zhí)行過程

步驟2T→Ri：標(biāo)簽收到讀寫器的請求，此時標(biāo)簽歸原所有者所有即Flag=0；標(biāo)簽生成隨機(jī)數(shù)rt1=Nx；并計算 M1=r1⊕rt1，M2=ID⊕rt1；M3=C(ki,ID)。標(biāo)簽T將信息(M1,M2,M3,rt1)發(fā)送給讀寫器Ri。

步驟3 Ri→Di：Ri將從標(biāo)簽端接收到的信息(M1,M2,M3,rt1,r1)傳給Di。Di根據(jù)收到的信息計算rt1'=M1⊕r1；ID'=M2⊕rt1'。 Di查找數(shù)據(jù)庫中是否存在ID=ID'，若不存在則終止協(xié)議，若存在則找到對應(yīng)的密鑰ki，并計算M3'=C(ki,ID)；M4=C(ki,rt1)。數(shù)據(jù)庫比較M3'與M3，若不相等則表示標(biāo)簽不合法，協(xié)議終止。若相等則認(rèn)為該標(biāo)簽是合法的，Di將M4發(fā)送給標(biāo)簽。

步驟4Di→T：標(biāo)簽接收到數(shù)據(jù)庫傳來的信息。然后計算M4'=C(ki,rt1)，并與收到的M4比較，若不相等則表示數(shù)據(jù)庫不合法，協(xié)議結(jié)束。若相等則表示數(shù)據(jù)庫Di是合法的，到此標(biāo)簽與原所有者的認(rèn)證通過，刷新Nx=MIXBITS(r1,rt1)。

步驟5Rj→T：新所有者的讀寫器Rj向標(biāo)簽發(fā)出所有權(quán)轉(zhuǎn)移請求Query并將隨機(jī)數(shù)r2一起發(fā)送給標(biāo)簽。

步驟6T→Rj：標(biāo)簽收到新所有者的讀寫器Query和r2后，生成隨機(jī)數(shù)rt2=Nx；計算M5=C(kj,r2)。并將M5和rt2一起發(fā)送給新的閱讀器Rj。

步驟7 Rj→Dj：Rj將 M5，rt2及r2發(fā)送給新所有者的數(shù)據(jù)庫Dj。Dj計算M′5=C(kj,r2)并與傳來的M5比較，若不等則表示標(biāo)簽不合法，協(xié)議終止。若相等則證明標(biāo)簽是合法的，計算M6=C(kj,rt2)并發(fā)送給標(biāo)簽。

步驟8 Dj→T：標(biāo)簽計算 M6'=C(kj,rt2)，與傳來的M6比較，若不相等則表示新數(shù)據(jù)庫不合法，協(xié)議失敗。相等則說明Dj是合法的，到此標(biāo)簽與新所有者間的認(rèn)證完成。Flag置為1，表示標(biāo)簽歸新所有者擁有。

3 協(xié)議的形式化證明與分析

3.1 協(xié)議的形式化證明

BAN[17]邏輯開辟了密碼協(xié)議安全性分析的新方向，是一種基于信念的模態(tài)邏輯，是一種很早也比較成熟的安全協(xié)議形式化證明方法。本文將采用BAN邏輯對該協(xié)議進(jìn)行形式化證明，具體表達(dá)方式和推理規(guī)則遵照文獻(xiàn)[17-18]中的相關(guān)內(nèi)容。本節(jié)需要用到的BAN公理如下：

（1）消息意義公理

（2）說過公理

（3）新鮮性公理

（4）亂數(shù)證明公理

（5）裁決權(quán)公理

該過程的理想化模型如下：

初始化假設(shè)如下，其中P1、P4表示原所有者與標(biāo)簽彼此相信Ki是雙方共享密鑰；P7、P11表示新所有者與標(biāo)簽彼此相信Kj是雙方共享密鑰；P2、P8表示原/新所有者相信隨機(jī)數(shù)是新鮮的；P3、P6、P10、P13表示標(biāo)簽和原/新所有者對共享密鑰的擁有；P5、P9、P12表示標(biāo)簽和新所有者相信加密信息是新鮮的。

本協(xié)議的形式化安全證明目標(biāo)有4個：原所有者數(shù)據(jù)庫對標(biāo)簽信息的相信；標(biāo)簽對原所有者數(shù)據(jù)庫的相信；新所有者數(shù)據(jù)庫對標(biāo)簽擁有新所有者共密鑰的相信；標(biāo)簽對新所有者數(shù)據(jù)庫的相信。

基于以上的理想化模型和初始化假設(shè)，根據(jù)BAN邏輯公理現(xiàn)證明安全目標(biāo)G1如下（G2、G3、G4的證明同理）：（1）由初始化假設(shè) P1和已知的知識 Di?{rt1,ID,C(ki,ID)}ki，根據(jù)公理 M1，可以得到 Di|≡T～{rt1,ID,C(ki,ID)}ki；（2）由（1）中推導(dǎo)得出的結(jié)果，根據(jù)公理SAID1可以得到 Di|≡T～I(xiàn)D ；（3）由 P2，根據(jù)公理 F1得到 Di|≡#ID ；（4）由（2）、（3）的結(jié)果，根據(jù)公理 N1得到Di|≡T|≡ID ；（5）由（4）的結(jié)果，根據(jù)公理 J1得到Di|≡ID 。

3.2 協(xié)議的安全性分析

下面對本協(xié)議安全性和隱私進(jìn)行簡要分析：

（1）假冒攻擊(IA)：假設(shè)攻擊者假冒原所有者Di，當(dāng)協(xié)議執(zhí)行到第（3）步，需要驗證ID和ki，而假冒者是無法同時獲得ID和ki，甚至假冒者不知道混沌加密的密鑰序列無法進(jìn)行后續(xù)的驗證，驗證必然失敗，由此該協(xié)議可以抵抗假冒攻擊（對于新所有者的攻擊類似）。

（2）重放攻擊(RA)：在本協(xié)議中標(biāo)簽使用動態(tài)數(shù)據(jù)Nx加密消息，而且一旦標(biāo)簽收到消息后，Nx就會刷新數(shù)據(jù)，保持了協(xié)議執(zhí)行的新鮮性，從而能夠抵抗重放攻擊[19]。

（3）拒絕服務(wù)攻擊(DOS)：因為在標(biāo)簽中加入了Flag標(biāo)示位，標(biāo)簽在任意時刻只能歸某一所有者唯一所有，不會出現(xiàn)某一狀態(tài)不被所有者所有，從而能夠抵抗拒絕服務(wù)攻擊[20]。

（4）去異步攻擊(DA)：因為在該協(xié)議中不涉及到所有者與標(biāo)簽的共享密鑰更新的問題，所以也不存在異步攻擊。

（5）前/后向隱私(F/BP)：Flag標(biāo)志位的取值決定了密鑰的歸屬問題，因此原所有者無法得知新所有者與標(biāo)簽之間的共享密鑰kj，新所有者也無法得知舊所有者與標(biāo)簽之間的通信密鑰ki，因此該協(xié)議很好地保護(hù)了前/后向隱私安全。

本協(xié)議分別與幾個具有代表性的協(xié)議進(jìn)行比較，如表2所示。

表2 安全性比較

3.3 協(xié)議的性能比較

一般從標(biāo)簽的計算量，存儲量和通信量三方面對該類協(xié)議進(jìn)行分析。在本協(xié)議中，標(biāo)簽需要存儲5個變量(Nx,Flag,ki,kj,ID)，其中Flag只需要1 bit存儲，ID需要k位存儲，其余均需要l位存儲，即存儲量為4l+1。h是Hash函數(shù)的代價，c是混沌序列的代價，p是異或運(yùn)算的代價，q是位移運(yùn)算，在本協(xié)議中標(biāo)簽計算6次，所以標(biāo)簽計算代價為(4c+2p)。在通信過程中共有10個通信量參與，所以協(xié)議的通信量為10l。與幾個典型協(xié)議比較如表3所示（其中t為交換密文的長度）。

表3 性能比較

4 結(jié)束語

本文提出了一種基于混沌加密的RFID所有權(quán)轉(zhuǎn)移協(xié)。該協(xié)議采用了安全性高的混沌加密機(jī)制，并基于BAN邏輯加以形式化證明。通過安全分析該協(xié)議可以抵抗假冒攻擊、重放攻擊、拒絕服務(wù)攻擊、去異步攻擊、前（后）向隱私這些常見的攻擊。協(xié)議采用易于軟硬件實現(xiàn)且安全性高的Arnold cat混沌加密，標(biāo)簽使用隨機(jī)函數(shù)而不是隨機(jī)發(fā)生器減少了標(biāo)簽的成本。體現(xiàn)了輕量級的要求，適用于低成本的RFID的系統(tǒng)。RFID作為物聯(lián)網(wǎng)的基礎(chǔ)，下一步可將該混沌加密協(xié)議應(yīng)用到物聯(lián)網(wǎng)中去。

參考文獻(xiàn)：

[1]Edelev S，Taheri S，Hogrefe D.A secure minimalist RFID authentication and an ownership transfer protocol compliant to EPC C1G2[C]//International Conference on RFID Technology and Applications（RFID-TA），2016：126-133.

[2]Fouladgar S，Afifi H.An efficient delegation and transfer of ownership protocol for RFID tags[C]//Proc of the 1st Int Eurasip Workshop on RFID Technology，2007.

[3]周世杰，張文清，羅嘉慶.射頻識別（RFID）隱私保護(hù)技術(shù)綜述[J].軟件學(xué)報，2015，26（4）：960-976.

[4]Molnar D，Soppera A，Wagner D.A secalable，delegatable psecudonym protocol enabling ownership transfer of RFID tags[C]//Proc of Selected Areas in Crytography-SAC 2005.Berlin：Springer，2005，3897：276-290.

[5]Osaka K，Takagit，Yamazaki K，et al.An efficient and secure RFID security method with ownership transfer[C]//Proceedings of IEEE 2006 International Conference on Computational Intelligence and Security，2006.

[6]Chen C L，Huang Y C，Jiang J R.A secure ownership transfer protocol using EPCglobalGen-2RFID[J].Telecommunication Systems，2013，53（4）：387-399.

[7]金永明，孫惠平，關(guān)志，等.RFID標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議研究[J].計算機(jī)研究與發(fā)展，2011，48（8）：1400-1405.

[8]Shamir A.SQUASH-A new MAC with provable security properties for highly constrained devices such as RFID tags[C]//Proc of 15th Annual Fast Software，2008，5086：144-157.

[9]毛雅佼，孫達(dá)志.一種新的RFID標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議[J].計算機(jī)工程，2015，41（3）：147-150.

[10]Niu Y，Wang X.An anonymous key agreement protocol based on chaotic maps[J].Communications in Nonlinear Science and Numerical Simulation，2011，16（4）：1986-1992.

[11]Wang X，Zhao J.An improved key agreement protocol based on chaos[J].Communications in Nonlinear Science&Numerical Simulation，2010，15（12）：4052-4057.

[12]Wang X，Wang S，Wang Z，et al.A new key agreement protocol based on Chebyshev chaotic maps[J].Security&Communication Networks，2016，9（18）.

[13]張健，于曉洋，任洪娥.一種改進(jìn)的Arnold cat變換圖像置亂算法[J].計算機(jī)工程與應(yīng)用，2009，45（35）：14-17.

[14]Zhang Y Q，Wang X Y.A symmetric image encryption algorithm based on mixed linear-nonlinear coupled map lattice[J].Information Sciences，2014，273（8）：329-351.

[15]陳勇，李鳳華，陳榮金.電子標(biāo)簽RFID系統(tǒng)的混沌加密算法設(shè)計與仿真[J].數(shù)字通信，2009，36（1）：49-52.

[16]沈金偉，凌捷.一種改進(jìn)的超輕量級RFID所有權(quán)轉(zhuǎn)移協(xié)議[J].計算機(jī)科學(xué)，2014，41（12）：125-128.

[17]張文政，王立斌.安全協(xié)議設(shè)計與分析[M].北京：國防工業(yè)出版社，2015-11.

[18]Burrows M，Abadi M，Needham R.A logic of authentication[J].ACM Transactions on Computing Systems，1990，8（1）：18-36.

[19]Song B，Mitchell C J.RFID authentication protocol for low-cost tags[C]//Proc of ACM Conference on Wireless Network Security（WiSec’08），2008.

[20]Wang Xingyuan，Luan Dapeng.A secure key agreement protocol based on chaotic maps[J].Chinese Physics B，2013，22（11）：239-243.