王 艷, 雷雪梅, 高 通

1. 內(nèi)蒙古大學(xué), 呼和浩特 010021

2. 哈爾濱工業(yè)大學(xué), 哈爾濱 150001

1 引言

中國工業(yè)和信息化部于2017 年發(fā)布的《物聯(lián)網(wǎng)“十三五” 規(guī)劃》文件中指出, 我國物聯(lián)網(wǎng)技術(shù)在物流、環(huán)保、醫(yī)療、交通等多個領(lǐng)域均已得到廣泛應(yīng)用. 而RFID (radio frequency identification) 作為實(shí)現(xiàn)物聯(lián)網(wǎng)的關(guān)鍵技術(shù), 以其特有的無接觸、可同時識別多個物體等優(yōu)點(diǎn)在物聯(lián)網(wǎng)應(yīng)用領(lǐng)域中大放異彩.

但是隨著RFID 應(yīng)用日益廣泛, 其安全與隱私問題也隨之而來. 如用戶標(biāo)簽被秘密定位并追蹤, 使個人隱私遭到破壞; 又如物品的詳細(xì)信息在傳輸過程中易受攻擊, 從而導(dǎo)致物品隱私信息泄露等[1]. 同時,RFID 安全系統(tǒng)不僅要滿足抵御攻擊、數(shù)據(jù)認(rèn)證、訪問控制等要求, 而且需要注重RFID 系統(tǒng)標(biāo)簽的計算能力、存儲空間和可編程性等限制所導(dǎo)致的無法利用高復(fù)雜度的加解密算法保證自身安全的問題等[2]等.

目前針對RFID 的安全策略主要可分為兩大類: 物理安全機(jī)制和軟件安全機(jī)制. 物理安全機(jī)制主要包含kill 標(biāo)簽、法拉第籠、主動干擾、阻止標(biāo)簽等[3], 軟件安全機(jī)制主要以密碼算法和密碼協(xié)議為基礎(chǔ). 目前, 現(xiàn)有的RFID 認(rèn)證協(xié)議依據(jù)標(biāo)簽的計算能力可被分為以下四類:

(1) 重量級認(rèn)證協(xié)議: 一般使用較為完善和安全的加密方法, 包括基于對稱密鑰的RFID 安全協(xié)議以及非對稱密鑰算法的RSA 方案、橢圓曲線密碼機(jī)制ECC 等. 目前應(yīng)用比較成熟的對稱加密算法有DES 數(shù)據(jù)加密算法(data encryption standard)[4]以及AES 高級加密標(biāo)準(zhǔn)(advanced encryption standard)[5]等. 對稱密鑰指閱讀器和標(biāo)簽之間共享同一個密鑰, 該方法的缺點(diǎn)是一旦標(biāo)簽的密鑰被泄露就會影響整個系統(tǒng)的安全性[6]. 非對稱密鑰算法又稱為公鑰密碼算法、雙鑰密碼算法, 這類算法是基于數(shù)學(xué)的密碼理論技術(shù)[7], 例如RSA 算法[8]是一種基于數(shù)論構(gòu)造雙鑰的方法, 它的安全依賴于數(shù)論大整數(shù)分解的困難性, 密鑰長度一般介于1024 bit 到2048 bit 之間. 再如ECC[9]算法基于離散對數(shù), 數(shù)學(xué)理論復(fù)雜、工程上應(yīng)用較困難, 但其破譯求解難度基本是指數(shù)級的, 可滿足所期望的安全強(qiáng)度. 綜上, 使用重量級認(rèn)證協(xié)議對標(biāo)簽的計算能力和存儲資源要求很高, 因此不適合大規(guī)模推廣使用.

(2) 簡單級認(rèn)證協(xié)議: 一般指標(biāo)簽內(nèi)部可支持偽隨機(jī)數(shù)發(fā)生器以及基于哈希函數(shù)的安全機(jī)制. 常見的有hash lock 協(xié)議、隨機(jī)hash lock 協(xié)議、hash chain 協(xié)議等. hash lock 協(xié)議[10]對密鑰進(jìn)行明文傳輸且metaID 保持不變, 這樣容易被記錄跟蹤; 閱讀器與標(biāo)簽之間傳輸?shù)臄?shù)據(jù)未經(jīng)加密, 攻擊者很容易獲得Key 和ID 值, 故該協(xié)議還易受到假冒攻擊、重放攻擊. 隨機(jī)hash lock 協(xié)議[11]雖有改進(jìn), 可以防跟蹤, 但仍易遭到假冒攻擊、重放攻擊等. 而且在該協(xié)議中, 閱讀器要計算數(shù)據(jù)庫全部ID 的hash 值, 計算量復(fù)雜, 易受拒絕服務(wù)攻擊. Hash chain 協(xié)議[12]中秘密值雖不斷更新, 但雙方秘密值更新不同步, 即該協(xié)議無法抵擋去同步化攻擊.

(3) 輕量級認(rèn)證協(xié)議: 一般指使用PRNG 和簡單函數(shù)對RFID 系統(tǒng)加密的協(xié)議. 文獻(xiàn)[13] 中提出HB 協(xié)議, 以及后續(xù)改進(jìn)提出的HB+ 協(xié)議, 均沒有對閱讀器進(jìn)行安全驗證, 因此易受到中間人攻擊和跟蹤攻擊.

(4) 超輕量級認(rèn)證協(xié)議: 一般指僅包含一些簡單的位運(yùn)算操作(例如與、或、非、異或等) 的認(rèn)證協(xié)議. 文獻(xiàn)[14] 中提出的LMAP 協(xié)議僅僅采用簡單的位運(yùn)算操作, 雖然它的私鑰不斷更新, 但由于運(yùn)算簡單, 容易受到跟蹤攻擊、同步攻擊和拒絕服務(wù)攻擊等.

由上述分析可知, 重量級以及簡單級認(rèn)證協(xié)議對標(biāo)簽的存儲性能和計算能力提出了挑戰(zhàn), 超輕量級認(rèn)證協(xié)議雖然滿足低計算量條件, 但其安全性較弱. 為此, 根據(jù)RFID 系統(tǒng)的特點(diǎn)以及安全需求, 已有學(xué)者提出一系列輕量級安全協(xié)議, 本文主要研究基于密鑰矩陣的輕量級安全認(rèn)證協(xié)議. 例如在文獻(xiàn)[15] 中提出一種基于密鑰矩陣的RFID 安全認(rèn)證協(xié)議, 該協(xié)議采用雙密鑰矩陣進(jìn)行了雙向身份認(rèn)證, 具有標(biāo)簽?zāi)涿?、前向安全性等特點(diǎn), 但是該協(xié)議的不足之處是: 第一, 標(biāo)簽和數(shù)據(jù)庫的密值更新不同步, 容易受到去同步化攻擊; 第二, 標(biāo)簽存儲信息量較大. 在文獻(xiàn)[16] 提出一種自同步密鑰矩陣RFID 安全協(xié)議, 解決了文獻(xiàn)[15] 中“標(biāo)簽中信息和后臺數(shù)據(jù)庫中信息沒有同步更新” 的問題, 但仍沒有解決標(biāo)簽存儲信息量大的問題. 在文獻(xiàn)[17] 中提出一種基于動態(tài)共享密鑰的移動RFID 雙向認(rèn)證協(xié)議, 該協(xié)議中標(biāo)簽不能對閱讀器的合法性進(jìn)行驗證, 讓攻擊者有機(jī)可乘假冒合法閱讀器查詢標(biāo)簽, 即該協(xié)議無法抵抗假冒攻擊.

為此, 本文在文獻(xiàn)[18] 的基礎(chǔ)上, 提出一種基于變模且自更新密鑰矩陣的輕量級RFID 安全認(rèn)證協(xié)議, 并利用Winograd 算法對密鑰矩陣的加解密過程進(jìn)行加速設(shè)計, 以此提高標(biāo)簽認(rèn)證的實(shí)時性, 經(jīng)分析,該協(xié)議可有效抵抗多種典型攻擊, 且具備低復(fù)雜性和適合低成本標(biāo)簽的特點(diǎn).

2 基于變模與自更新密鑰矩陣的RFID 安全認(rèn)證協(xié)議的提出

首先給出密鑰矩陣算法涉及的數(shù)學(xué)定義.

定義1 若一個n階矩陣A的所有元素均為整數(shù), 則稱A為n階整數(shù)矩陣.

引理1 若p為正整數(shù),a為整數(shù), 且p與a互素, 則同余方程ax ≡1 mod(p) 在模p意義下存在唯一解, 即存在正整數(shù)a′＜p, 使aa′≡1 mod(p).

定義2 若A、B為整數(shù)方陣, 且A×B ≡Emod(p), 其中E為單位矩陣, 則稱B是A的模p逆矩陣.

不難證明,n階整數(shù)方陣A存在模p逆矩陣的條件是矩陣A的行列式的值與p互素. 根據(jù)上述定義,對于一個給定的n階整數(shù)矩陣A, 若其行列式的值與整數(shù)p互素, 則可利用初等變換方法求得A矩陣的模p逆矩陣B, 利用A、B與p可建立密鑰矩陣的加密過程與解密過程如式(1)和式(2)所示.

其中E(),D(),t,c分別代表加密過程、解密過程、明文以及密文.

根據(jù)上述加解密過程可知, 在傳統(tǒng)的基于密鑰矩陣的RFID 安全認(rèn)證協(xié)議中, 為提高協(xié)議安全性的可能做法是直接存儲多組加密、解密矩陣. 相比單一的密鑰矩陣, 這種預(yù)共享多組密鑰矩陣的方式雖然可以提高加密算法的安全性, 但也消耗了標(biāo)簽大量的存儲空間.

為了在不增加原有密鑰矩陣的存儲量的前提下同時提高協(xié)議的安全性, 本文提出變模密鑰矩陣加密算法, 將原有密鑰矩陣加密算法的常量模p擴(kuò)展為變量模p, 在標(biāo)簽認(rèn)證過程中通過模的自更新, 弱化明文與密文之間的相關(guān)性, 提高認(rèn)證協(xié)議的安全性.

下面給出變模密鑰矩陣可行性的證明過程.

定理1 若正整數(shù)a與p互素, 則a與q互素, 其中q為p的整數(shù)約數(shù).

該定理可通過基本的數(shù)論理論直接得到. 這意味著, 對于整數(shù)矩陣A, 其行列式與模p互素, 那么對于整數(shù)q, 其中q為p的整數(shù)約數(shù), 滿足A的行列式與模q也互素. 再結(jié)合定義2, 可以得到整數(shù)矩陣A存在模q逆矩陣. 隨后將證明整數(shù)矩陣A的任意模q(q為p的任意約數(shù)) 逆矩陣是相同的, 這可以表述為定理2.

定理2 若A、B為整數(shù)方陣, 使得:A×B ≡Emodp,E為單位矩陣, 即B為A的模p逆矩陣,那么B同時為A的模q逆矩陣, 其中q為p的整數(shù)約數(shù).

證明: 由于A×B ≡Emodp, 那么A×B ≡pC+E, 其中C為任意整數(shù)矩陣. 又由于q為p的整數(shù)約數(shù), 即p=aq, 其中a為正整數(shù). 那么A×B=aqC+E=qD+E, 其中D為整數(shù)矩陣. 因此,可以得到A×B ≡Emodq.

根據(jù)上述證明, 可以發(fā)現(xiàn)加密矩陣A與解密矩陣B可以利用模p或者模q實(shí)現(xiàn)加密與解密過程, 其中p為合數(shù),q為p的整數(shù)約數(shù). 雖然實(shí)現(xiàn)了模的自更新, 但不同模值下所對應(yīng)的加密、解密矩陣是相同的, 此時, 密鑰矩陣的固定不變有損RFID 安全認(rèn)證協(xié)議的安全性. 為此, 考慮利用矩陣的初等變換實(shí)現(xiàn)密鑰矩陣的自更新. 首先以初等行變換為例說明如何實(shí)現(xiàn)密鑰矩陣的自更新, 初等列變換同理. 初等行變換包含以下三種變換:

(1) 以一個非零的數(shù)乘矩陣的某一行;

(2) 把矩陣中的某一行的k倍加到另一行;

(3) 互換矩陣中兩行的位置.

考慮本文RFID 安全認(rèn)證協(xié)議是針對低成本標(biāo)簽提出的, 對于低成本標(biāo)簽來說, 實(shí)現(xiàn)乘法操作相對于實(shí)現(xiàn)加法操作更難更耗時, 因此取消乘法操作, 同時在第(2) 種初等行變換中取k=1, 這樣需要在標(biāo)簽中執(zhí)行的矩陣的初等行變換只有兩種, 即:

(a) 矩陣的某一行加到另一行;

(b) 互換矩陣中兩行的位置.

下面給出經(jīng)過初等變換的密鑰矩陣可實(shí)現(xiàn)加解密過程的可行性論證.

由矩陣的初等變換可知, 矩陣的某行(列) 加另一行(列), 該矩陣對應(yīng)的行列式的值不變. 互換矩陣中的某兩行(列) 一次, 其對應(yīng)的行列式的值加一個負(fù)號, 互換矩陣中的某兩行(列) 兩次, 或者, 先互換一次行(列), 再互換一次列(行), 兩個負(fù)號抵消, 其對應(yīng)的行列式的值還是原矩陣對應(yīng)的行列式的值. 又根據(jù)定義2,n階整數(shù)方陣A存在模p逆矩陣的條件是矩陣A的行列式的值與p互素. 由于矩陣經(jīng)過上述初等變換后其對應(yīng)的行列式的值不變, 即該值仍與模p互素, 即經(jīng)過上述初等變換的新的密鑰矩陣同樣可建立如式(1)和式(2)所示的密鑰矩陣加解密過程.

根據(jù)自更新密鑰矩陣可行性論證可知, 構(gòu)建n階加密矩陣初等變換方式索引表可分為“列交換兩次”、“行交換兩次”、“行相加”、“列相加”、“先換行(列) 再換列(行)” 等五種情況, 根據(jù)n階加密矩陣初等變換方式索引表可以相應(yīng)構(gòu)建出n階解密矩陣初等變換方式的逆變換索引表. 初始加密、解密矩陣可通過查找初等變換方式索引表、相應(yīng)的逆變換索引表, 形成新的加密、解密矩陣, 得到的新的密鑰矩陣更新原來初始密鑰矩陣的存儲單元, 不需要額外增加其他存儲空間來存放新的密鑰矩陣. 即標(biāo)簽僅需要存儲一個初始加密矩陣和一個初始解密矩陣的空間, 通過初等變換, 即可實(shí)現(xiàn)多次加解密過程.

考慮到更高階的密鑰矩陣的初等變換方式眾多, 其中會涉及多次兩行(列) 相加, 為避免密鑰矩陣的元素數(shù)值過大而溢出, 將初等變換后的密鑰矩陣中的元素按照模p處理, 這樣所有元素的值將不大于p.

綜上, 密鑰矩陣的自更新僅涉及加法和互換操作, 這對低成本標(biāo)簽是可實(shí)現(xiàn)的, 同時, 密鑰矩陣自更新在不額外增加存儲空間的前提下, 實(shí)現(xiàn)了密鑰矩陣的多樣性, 提高了密鑰矩陣加密算法的安全性.

2.1 構(gòu)建基于變模與自更新密鑰矩陣的RFID 安全認(rèn)證協(xié)議

根據(jù)變模且自更新密鑰矩陣加密算法, 構(gòu)建RFID 系統(tǒng)的安全認(rèn)證協(xié)議, 如圖1 所示. 該協(xié)議每一次認(rèn)證都會更新當(dāng)前的密鑰矩陣模值, 使得密鑰矩陣模值具有強(qiáng)無關(guān)性, 同時利用矩陣初等變換方法實(shí)現(xiàn)密鑰矩陣自更新, 提高了RFID 安全認(rèn)證協(xié)議的安全性.

圖1 基于變模與自更新密鑰矩陣的RFID 認(rèn)證協(xié)議Figure 1 RFID authentication protocol based on variable modulus and self-updating key matrix

基于變模與自更新密鑰矩陣的高效RFID 安全認(rèn)證協(xié)議的初始條件如下:

(1) 本協(xié)議假設(shè)閱讀器與后臺數(shù)據(jù)庫之間的通信是安全可靠的;

(2)標(biāo)簽、閱讀器、服務(wù)器內(nèi)需預(yù)先存儲的元素如圖1 所示. 其中,圖1 中虛色框中以二階矩陣為例,說明標(biāo)簽和閱讀器內(nèi)需要預(yù)先存儲的“加密矩陣初等變換方式索引表”、“解密矩陣初等變換方式的逆變換索引表”、“模p的整數(shù)約數(shù)集合f(p) ” 的構(gòu)建方法. 這里應(yīng)注意, 二階密鑰矩陣經(jīng)過“行交換兩次”、“列交換兩次” 之后會回歸為初始密鑰矩陣, 所以這兩列為空, 但對于三階以及更高階密鑰矩陣, “行交換兩次”、“列交換兩次” 的初等變換方式可形成多種不同的密鑰矩陣. 此外, 由于模p的整數(shù)約數(shù)一定包含模p本身, 所以在存儲模p的整數(shù)約數(shù)時, 為了節(jié)省存儲空間, 不必再存儲模p本身, 模p的其他整數(shù)約數(shù)按照從小到大的順序排列.

RFID 安全協(xié)議的認(rèn)證步驟如下:

(1) 閱讀器向標(biāo)簽發(fā)送Query 指令.

(2) 標(biāo)簽響應(yīng)閱讀器, 使用內(nèi)部隨機(jī)數(shù)發(fā)生器產(chǎn)生的隨機(jī)N、加密矩陣A以及模p根據(jù)公式(1)對秘密值S進(jìn)行加密, 記作E(N ‖S,A,p).

(3) 標(biāo)簽將E(N ‖S,A,p) 發(fā)送給閱讀器.

(4) 閱讀器根據(jù)公式(2)對標(biāo)簽發(fā)來的密文進(jìn)行解密, 得到S.

(5) 閱讀器將S發(fā)送給后臺數(shù)據(jù)庫.

(6) 后臺數(shù)據(jù)庫查詢所有S, 若查詢不到, 記為非法標(biāo)簽, 結(jié)束認(rèn)證. 若可查詢到, 后臺數(shù)據(jù)庫生成新的秘密值Snew.

(7) 后臺數(shù)據(jù)庫向閱讀器發(fā)送新的秘密值Snew.

(8) 閱讀器收到新的秘密值Snew后保存, 并利用Snew、加密矩陣A、模p根據(jù)公式(1)對N+1 進(jìn)行加密, 記作E(N+1‖Snew,A,p).

(9) 閱讀器將E(N+1‖Snew,A,p) 發(fā)送給標(biāo)簽.

(10) 標(biāo)簽收到來自閱讀器的E(N+ 1‖ Snew,A,p) 后, 根據(jù)公式(2)解密得到N+ 1‖ Snew, 驗證隨機(jī)數(shù)N, 若N正確, 證明閱讀器合法, 則接受新秘密值Snew, 否則認(rèn)證失敗. 標(biāo)簽計算mod(Snew,Nc) 的值作為在集合{q|q ∈f(p)}的序號, 進(jìn)一步確定密鑰矩陣的模值q, 同時利用mod(Snew,Nc) 的值作為在矩陣初等變換方式索引表中的序號, 決定用哪種初等變換方式生成新的加密矩陣Anew, 標(biāo)簽利用模q和Anew根據(jù)公式(1)對敏感信息ID 加密, 記作E(ID,Anew,q).

(11) 標(biāo)簽將E(ID,Anew,q) 發(fā)送給閱讀器.

(12) 閱讀器收到E(ID,Anew,q) 后, 利用先前保存的Snew計算mod (Snew,Nc) 的值確定模和矩陣的初等變換方式, 采取該初等變換方式的逆變換就可確定解密矩陣, 利用解密矩陣根據(jù)公式(2)對E(ID,Anew,q) 解密, 獲得敏感信息ID.

其中E() 代表加密過程, 表示認(rèn)證過程所傳輸?shù)木鶠槊芪?S代表秘密值, 秘密值的取值會影響密鑰矩陣模值的選取,N代表隨機(jī)數(shù),A為加密矩陣,Nc代表集合f(p) 中元素的個數(shù), “mod(Snew,Nc) =Snew%Nc”, 表示Snew除以Nc所得的余數(shù), “‖” 代表字符串連接符號.

3 基于變模與自更新密鑰矩陣的RFID 安全認(rèn)證協(xié)議的形式化分析

BAN 邏輯被稱為“密碼協(xié)議形式化分析之父”. 它是一種基于知識和信仰的形式邏輯分析方法. 本文采用BAN 邏輯分析所提出的RFID 安全認(rèn)證. 本次推理用到的BAN 邏輯推理規(guī)則:

上述四條推理規(guī)則中所涉及的基本術(shù)語如下:P、Q表示一般意義上的主體,X、Y表示一般意義上的觀點(diǎn),K表示一般意義上的加密密鑰, (X,Y) 表示X和Y的連接.P|≡X表示P相信X,P?X表示P收到過X, #(X) 表示X是新鮮的,Q|～X表示Q發(fā)送過X,Q|?X表示Q對X有管轄權(quán).

使用BAN 邏輯分析該RFID 安全認(rèn)證協(xié)議的步驟如下: 本協(xié)議主體為: 標(biāo)簽T 和閱讀器R. 該協(xié)議的理想化模型:

取key 表示本協(xié)議中標(biāo)簽和閱讀器之間共享的加密矩陣A及Anew、加密所用到的模值p或q, 則初始假設(shè)為:

邏輯推理過程:

(1) M1、A2 根據(jù)規(guī)則R1 可得R|≡T|～{N||S}記作L1;

A3 根據(jù)規(guī)則R2 可得R|≡#(N||S) 記作L2;

L1、L2 根據(jù)規(guī)則R3 可得R|≡T|≡{N||S}記作L3;

L3 和A5 根據(jù)規(guī)則R4 可得R|≡(N||S) 即得G1. 推理完畢.

(2) M2、A1 根據(jù)規(guī)則R1 可得T|≡R|～{N+1||Snew}A,p記作W1;

A4 根據(jù)規(guī)則R2 可得T|≡#(N+1||Snew) 記作W2;

W1、W2 根據(jù)規(guī)則R3 可得T|≡R|≡{N+1||Snew}記作W3;

W3 和A6 根據(jù)規(guī)則R4 可得T|≡(N+1||Snew) 即得G2. 推理完畢.

(3) M3、A2 根據(jù)規(guī)則R1 可得R|≡T|～{ID}記作Y1;

A7、Y1 根據(jù)規(guī)則R3 可得R|≡T|≡{ID}記作Y2;

Y2 和A8 根據(jù)規(guī)則R4 可得R|≡(ID) 即得G3. 推理完畢.

通過BAN 邏輯推理過程, 最終能夠推理出目標(biāo)G1、G2、G3, 即說明本文提出的基于變模與自更新鑰矩陣的高效RFID 安全認(rèn)證協(xié)議能夠達(dá)到預(yù)期目標(biāo).

4 基于變模與自更新密鑰矩陣的RFID 安全認(rèn)證協(xié)議的加速設(shè)計

由公式(1)和(2)可知, 密鑰矩陣的加解密過程主要涉及矩陣乘法和取模運(yùn)算. 首先, 對于標(biāo)簽來說, 集合f(p) 是預(yù)先存儲在標(biāo)簽內(nèi)的, 即模p的整數(shù)約數(shù)q的個數(shù)對標(biāo)簽是已知的, 所以取模運(yùn)算次數(shù)對于標(biāo)簽來說是計算量較小的操作. 其次, 經(jīng)計算, 本文所提出的基于變模與自更新密鑰矩陣的RFID 安全認(rèn)證協(xié)議, 其加密過程共涉及n2次乘法與n(n-1) 次加法. 由于乘法運(yùn)算相比加法運(yùn)算復(fù)雜得多, 有必要減少其乘法運(yùn)算次數(shù)以提高加密速度. 故本文引入Winograd 算法[19,20], 通過減少密鑰矩陣加解密過程中的乘法運(yùn)算量提高算法實(shí)時性. 對于加密矩陣A模p, 其第i行j列的元素表示為Aij, 那么可應(yīng)用Winograd 算法對明文t進(jìn)行加密如下所示:

表1 不同長度的明文加密或解密過程的乘法與加法運(yùn)算次數(shù)對比Table 1 Comparison of number of multiplication and addition operations in different lengths of plaintext encryption or decryption

5 變模與密鑰矩陣初等變換結(jié)合起來對標(biāo)簽存儲空間節(jié)省情況與安全性分析

一般情況下, 認(rèn)為閱讀器和后臺服務(wù)器的存儲空間都遠(yuǎn)強(qiáng)于標(biāo)簽, 因此本協(xié)議需要重點(diǎn)考慮變模和初等變換結(jié)合之后對標(biāo)簽的存儲變量個數(shù)的節(jié)省情況.

首先說明由常量模擴(kuò)展為變量模之后, 標(biāo)簽內(nèi)需要存儲的模p的整數(shù)約數(shù)個數(shù)情況.

在前面變模密鑰矩陣可行性的證明過程中指出, 模p為合數(shù),q為p的整數(shù)約數(shù). 由于合數(shù)眾多, 不能一一舉例, 又因為最小的合數(shù)是4, 因此在本文中首先利用C 程序找出4 到100 以內(nèi)的所有合數(shù)以及每一個合數(shù)所對應(yīng)的整數(shù)約數(shù)的個數(shù), 如表2 所示.

由表2 可見, 不同合數(shù)的整數(shù)約數(shù)個數(shù)可能相同, 比如4、9、25、49 這四個合數(shù)的整數(shù)約數(shù)個數(shù)都是3 個. 由于標(biāo)簽需要存儲的是p的整數(shù)約數(shù)集合f(p), 因此對于具有相同整數(shù)約數(shù)個數(shù)的不同合數(shù)來說,在標(biāo)簽中需要存儲的f(p) 集合元素個數(shù)是相同的. 故本文在整數(shù)約數(shù)個數(shù)相同的合數(shù)中, 只取其中一個合數(shù)作為代表, 來舉例說明標(biāo)簽需要預(yù)存儲的變模變量的個數(shù).

表2 4 至100 以內(nèi)的所有合數(shù)以及每個合數(shù)對應(yīng)的整數(shù)約數(shù)個數(shù)Table 2 All composite numbers from 4 to 100 and corresponding integer divisor for each composite number

表3 中選取了比較典型的12 個合數(shù), 并列出他們對應(yīng)的整數(shù)約數(shù)以及個數(shù). 結(jié)合前文在描述協(xié)議認(rèn)證過程中已經(jīng)取Nc表示標(biāo)簽需要存儲的模p的整數(shù)約數(shù)個數(shù), 由協(xié)議的初始條件可知,Nc值會比模p的整數(shù)約數(shù)總個數(shù)Num 少1, 即Nc=Num-1.

表3 12 個典型合數(shù)所對應(yīng)的整數(shù)約數(shù)以及其整數(shù)約數(shù)個數(shù)Table 3 Integer divisor corresponding to a typical composite of 12 and number of integer divisor

在表4 中對比說明了不同的變模個數(shù)Nc以及不同的明文長度n使用變模密鑰矩陣算法前后標(biāo)簽需要預(yù)存儲的總變量個數(shù)情況, 表格中W1 表示使用變模密鑰矩陣算法后標(biāo)簽需要預(yù)存儲的總的變量個數(shù),W2 表示直接存儲多個密鑰矩陣時標(biāo)簽需要預(yù)存儲的總的變量個數(shù), 取S= (W2-W1)/W2×100%表示使用變模密鑰矩陣算法前后節(jié)省標(biāo)簽存儲空間的百分比. 例如, 當(dāng)使用變模密鑰矩陣算法時, 標(biāo)簽內(nèi)需要存儲明文長度n、n階加密矩陣變量個數(shù)n2、n階解密矩陣變量個數(shù)n2、一個模值p、標(biāo)簽需要存儲的p的整數(shù)約數(shù)個數(shù)即Nc個變量以及一個使用Winograd 算法過程中預(yù)先計算的變量mi, 即W1=n+n2+n2+1+Nc+1=n+2n2+Nc+2. 而當(dāng)不使用變模密鑰矩陣算法即直接存儲多個密鑰矩陣并想同樣達(dá)到Num 種可能性時, 需要存儲Num 種n階加密矩陣變量個數(shù)n2以及Num 種n階解密矩陣變量個數(shù)n2, 即W2=Num×2n2. 利用MATLAB 程序計算不同明文長度n以及不同模p下使用變模密鑰矩陣算法前后的標(biāo)簽需要預(yù)存儲的變量個數(shù), 即得到表4.

表4 使用變模密鑰矩陣算法前后標(biāo)簽需要預(yù)存儲的總變量個數(shù)情況對比Table 4 Comparison of total number of variables pre-stored in tags before and after using variable mode key matrix algorithm

根據(jù)圖1 可知, 變模和初等變換結(jié)合后, 可完成加解密次數(shù)如式(5)所示:

因此根據(jù)圖1 中的構(gòu)建方法可知, 不同明文長度n, 需使用不同的n階密鑰矩陣加解密, 相應(yīng)密鑰矩陣初等變換方式索引表及其對應(yīng)逆變換索引表的元素數(shù)量不同, 即X不同. 由于更高階密鑰矩陣的初等變換方式眾多, 不能一一列舉, 故本文只列舉了二階、三階密鑰矩陣初等變換方式索引表中的可選擇數(shù)量,即當(dāng)n=2 時,X=5; 當(dāng)n=3 時,X=33. 在不同的n、Nc下可得到不同的K1、K2, 具體如表5 所示.

表5 變模和初等變換結(jié)合起來對標(biāo)簽內(nèi)預(yù)存儲變量個數(shù)的節(jié)省情況對比Table 5 Saving comparison of number of pre-stored variables in tag by combining variable modulus and elementary transformation

對比表4、表5 可知, 在相同明文長度n、相同Nc的情況下, 變模和初等變換結(jié)合起來之后, 節(jié)省的標(biāo)簽需要存儲變量個數(shù)的百分比均有所提高. 可見無論是變模, 還是密鑰矩陣的初等變換, 均節(jié)省了密鑰存儲空間, 而且變模與密鑰矩陣的自更新使加解密過程的安全性有所提高.

6 基于變模與自更新密鑰矩陣的高效RFID 安全認(rèn)證協(xié)議的安全性分析

本文協(xié)議安全性能分析與對比如表6 所示.

表6 協(xié)議安全性能比較Table 6 Protocol security performance comparison

(1) 雙向認(rèn)證: 在協(xié)議認(rèn)證過程中, 本協(xié)議通過秘密值和隨機(jī)數(shù), 首先分別認(rèn)證閱讀器和標(biāo)簽是否合法, 確認(rèn)閱讀器和標(biāo)簽的合法身份信息后再進(jìn)行敏感信息處理. 由于認(rèn)證信息均被加密和隨機(jī)化, 故本協(xié)議做到了標(biāo)簽與閱讀器的雙向認(rèn)證.

(2) 跟蹤攻擊: 本協(xié)議在認(rèn)證過程中發(fā)送的數(shù)據(jù)均包含隨機(jī)數(shù)和秘密值, 且標(biāo)簽和閱讀器之間的密鑰矩陣是由秘密值決定, 加密解密過程中密鑰矩陣的模參數(shù)和密鑰矩陣都是可自更新的, 因此保證了所有認(rèn)證過程中, 標(biāo)簽和閱讀器互相反饋的信息均為隨機(jī)的, 故本協(xié)議中攻擊者無法對標(biāo)簽進(jìn)行定位跟蹤.

(3) 拒絕服務(wù)攻擊: 若攻擊者在閱讀器和標(biāo)簽之間大量施加噪聲干擾信號, 有可能導(dǎo)致信道阻塞, 或者由于大量的數(shù)據(jù)請求而導(dǎo)致認(rèn)證負(fù)載過大系統(tǒng)癱瘓, 造成拒絕服務(wù)攻擊. 而本協(xié)議先查詢后臺數(shù)據(jù)庫Index, 若查詢不到記為非法標(biāo)簽則結(jié)束認(rèn)證. 這種先查詢后認(rèn)證的方式有效抵御了拒絕服務(wù)攻擊.

(4) 假冒攻擊: 分情況討論: 第一, 當(dāng)攻擊者企圖偽裝成標(biāo)簽向閱讀器發(fā)送E(N ‖ S,A,p) 時, 閱讀器查詢后臺數(shù)據(jù)庫找不到對應(yīng)的秘密值S, 隨后記為非法標(biāo)簽; 第二, 當(dāng)攻擊者偽裝成閱讀器向標(biāo)簽發(fā)送E(N+1‖ Snew,A,p) 時, 標(biāo)簽解密, 驗證隨機(jī)數(shù)N不正確, 因此得知閱讀器非法. 故該協(xié)議能夠防范假冒攻擊.

(5) 中間人攻擊: 假設(shè)攻擊者想實(shí)施中間人攻擊, 則攻擊者需要知道閱讀器和標(biāo)簽之間發(fā)送的隨機(jī)數(shù)和秘密值, 甚至密鑰矩陣, 并能夠造出可以通過雙方認(rèn)證的數(shù)據(jù), 但是本協(xié)議每一次認(rèn)證都會更新秘密值,密鑰矩陣的模參數(shù)是根據(jù)秘密值更新的, 密鑰矩陣本身根據(jù)秘密值選取不同的初等變換方式不斷更新, 且標(biāo)簽內(nèi)部具有偽隨機(jī)數(shù)發(fā)生模塊, 攻擊者無法通過標(biāo)簽和閱讀器的身份認(rèn)證, 因此避免中間人攻擊.

(6) 重放攻擊: 本協(xié)議中, 標(biāo)簽和閱讀器之間的認(rèn)證數(shù)據(jù)由于含有隨機(jī)數(shù)而一直保持新鮮性, 且隨著秘密值的更新而更新密鑰矩陣, 攻擊者無法從上一輪截獲的信息中推導(dǎo)出當(dāng)前的數(shù)值, 而且即使攻擊者獲得當(dāng)前密鑰矩陣的模q, 攻擊者也不可能根據(jù)約數(shù)q推出模p進(jìn)而推出密鑰矩陣, 因為同一q值可能是多個模p 的整數(shù)約數(shù), 例如24 同時是p= 24 和p= 48 的整數(shù)約數(shù), 不能根據(jù)q= 24 推出p= 24 還是p= 48, 而且秘密值的不同影響密鑰矩陣初等變換方試的選擇, 因此也不能推出密鑰矩陣的值, 故攻擊者無法進(jìn)行重放攻擊.

(7) 去同步化攻擊: 假如攻擊者阻攔或者修改了閱讀器與標(biāo)簽通信的一部分或者全部數(shù)據(jù), 使兩者變得不同步, 遭遇去同步化攻擊. 但是本協(xié)議都是在認(rèn)證通過以后才進(jìn)行通信, 且閱讀器中建立了標(biāo)簽秘密值Index, 保存上一輪的秘密值S, 即保留著密鑰矩陣, 可以確保即使當(dāng)前認(rèn)證失敗, 可以用上一輪密鑰矩陣再次計算, 以此來抵抗去同步化攻擊.

(8) 前向安全性: 本協(xié)議認(rèn)證過程中所傳輸?shù)臄?shù)據(jù)均由隨機(jī)數(shù)N 和秘密值S直接參與, 模參數(shù)和密鑰矩陣均可自更新, 因此攻擊者不可能通過本次認(rèn)證的數(shù)據(jù)計算得出上一次的認(rèn)證數(shù)據(jù). 因此協(xié)議具有前向安全性.

7 結(jié)束語

通過運(yùn)算次數(shù)效率對比分析表明, 本文所提出的基于變模密鑰矩陣的RFID 安全認(rèn)證協(xié)議通過Winograd 算法加速后, 大幅度減少標(biāo)簽內(nèi)協(xié)議運(yùn)算量, 從而提高標(biāo)簽認(rèn)證效率; 經(jīng)過密鑰矩陣模參數(shù)的在線更新節(jié)省了低成本標(biāo)簽的存儲空間, 通過矩陣初等變換方法使密鑰矩陣可實(shí)現(xiàn)自更新, 更提高了協(xié)議的安全性. 經(jīng)BAN 邏輯分析與協(xié)議安全性分析得知, 該協(xié)議能夠?qū)崿F(xiàn)雙向認(rèn)證且有效抵抗跟蹤攻擊、拒絕服務(wù)攻擊、假冒攻擊、中間人攻擊、重放攻擊、去同步化攻擊等多種典型攻擊, 能夠較好的滿足RFID 系統(tǒng)所需的各項安全性. 此協(xié)議通過密鑰矩陣模參數(shù)以及密鑰矩陣本身的在線更新, 實(shí)現(xiàn)了不以增加密鑰矩陣的額外存儲量為代價去提高協(xié)議安全性. 因此本文所提出的RFID 安全認(rèn)證協(xié)議具有低計算量、低存儲量的優(yōu)勢.