新的超輕RFID互認(rèn)證協(xié)議：使用遞歸散列的SASI

付惠茹 張厚武 何勇 湯攀

摘 要：由于RFID使用無線信道與其相關(guān)設(shè)備進(jìn)行通信，應(yīng)該有一些最佳的加密方法來保護(hù)來自攻擊者的通信數(shù)據(jù)。之前提出的超輕量級(jí)相互認(rèn)證協(xié)議（UMAP），以成本有效的方式保護(hù)RFID系統(tǒng)。針對(duì)大多數(shù)UMAP的安全漏洞，提出一個(gè)改進(jìn)的UMAP，使用遞歸散列函數(shù)提供強(qiáng)認(rèn)證和強(qiáng)完整性（SASI）。所提出的協(xié)議在其設(shè)計(jì)中僅包含簡(jiǎn)單的邏輯運(yùn)算符XOR，Rot和非三角函數(shù)（遞歸散列），降低了對(duì)標(biāo)簽計(jì)算能力和存儲(chǔ)能力的要求。分析結(jié)果表明，該協(xié)議可以有效地抵抗去同步攻擊、重傳攻擊和可追溯性攻擊，適用于較低成本的RFID系統(tǒng)。

關(guān)鍵詞：超輕量級(jí);相互認(rèn)證協(xié)議;無線射頻識(shí)別;遞歸散列;強(qiáng)認(rèn)證性和強(qiáng)完整性

中圖分類號(hào)：TP309

文獻(xiàn)標(biāo)志碼：A

1 引 言

RFID系統(tǒng)可以唯一地識(shí)別每個(gè)物品/產(chǎn)品（標(biāo)簽），RFID技術(shù)的快速增長(zhǎng)的唯一障礙是其安全性和標(biāo)簽的總成本，低成本標(biāo)簽的需求限制了我們使用無源RFID標(biāo)簽，其僅僅涉及用于安全性和其它功能的簡(jiǎn)單計(jì)算操作。通常這樣的標(biāo)簽可以僅存儲(chǔ)32 -1K位，并且可以支持250-4K的邏輯門并用于安全相關(guān)任務(wù)。因此，傳統(tǒng)的加密算法（如AES和三重DES）和原語（如Hash函數(shù)）不能用于保護(hù)系統(tǒng)。安全和隱私是基于RFID識(shí)別系統(tǒng)的兩個(gè)主要關(guān)注點(diǎn)，它們與標(biāo)簽的成本相關(guān)聯(lián)。高成本標(biāo)簽足夠支持傳統(tǒng)的加密算法和原語，如AES、散列函數(shù)。這些常規(guī)的加密算法和原語需要過多的功率，存儲(chǔ)器和芯片面積，這些要求超出了低成本標(biāo)簽的計(jì)算能力。因此，引入了一個(gè)新的超輕互認(rèn)證協(xié)議來確保低成本RFID系統(tǒng)的安全性。許多已經(jīng)提出的UMAP只支持簡(jiǎn)單的T函數(shù)[1]和一些特殊用途的超輕量原語來執(zhí)行相關(guān)的安全任務(wù)。提出的大多數(shù)UMAP是容易受到去同步攻擊、重傳攻擊和可追溯性攻擊這三種的攻擊。為了避免所有可能的安全攻擊，本文提出了一種新的UMAP，為較低成本的RFID系統(tǒng)提供使用遞歸散列的強(qiáng)認(rèn)證和強(qiáng)完整性。

2 相關(guān)知識(shí)

2006年，Peris-Lopez等人奠定了超輕量級(jí)加密的基礎(chǔ)，并提出了三種超輕量級(jí)RFID相互認(rèn)證協(xié)議（ UMAP）：LMAP[2]，EMAP[3]和M2 AP[4]。所有三個(gè)UMAP在其設(shè)計(jì)中涉及簡(jiǎn)單的按位邏輯運(yùn)算（XOR，AND和ADD），因此可以在大約1K邏輯門內(nèi)實(shí)現(xiàn)。然而，2007年，Tieyan等人[5，6]強(qiáng)調(diào)了上述所有三個(gè)UMAP的漏洞，并提出了它們易受到去同步攻擊和全面披露的攻擊。

2007年，Chien[7]在協(xié)議消息中進(jìn)行了整合，并提出了一種新的UMAP來提供強(qiáng)大的完整性和強(qiáng)認(rèn)證（SASI）。然而，隨著協(xié)議的引入，幾位研究人員強(qiáng)調(diào)了SASI協(xié)議設(shè)計(jì)中的陷阱。Sun等人[8]提出了此協(xié)議易受到去同步攻擊，Avoine等人[9]提出了此協(xié)議易受到全面的披露攻擊。以前提出的UMAP大多數(shù)在安全上都有漏洞，因此，本文提出一種新的UMAP，為較低成本的RFID系統(tǒng)提供使用遞歸散列的強(qiáng)認(rèn)證和強(qiáng)完整性。

3 使用遞歸散列的SASI

正如我們已經(jīng)討論的，SASI是第一個(gè)在其設(shè)計(jì)中引入了非三角函數(shù)“Rot”的UMAP，并于2007年提出[10]。在本節(jié)中，我們改進(jìn)了SASI協(xié)議的整體描述，并使其對(duì)于突出的安全漏洞更具有防御性。在我們提出的協(xié)議中，閱讀器和標(biāo)簽預(yù)先共享假名IDS和密鑰（K1，K2）（舊和當(dāng)前）的兩個(gè)副本。在兩側(cè)存儲(chǔ)假名IDS和密鑰的額外副本避免了所有可能的去同步攻擊。此外，這個(gè)新的協(xié)議還在每次成功認(rèn)證會(huì)話之后更新其假名和密鑰。為了加強(qiáng)公開消息的功能特性，在協(xié)議設(shè)計(jì)中引入了兩個(gè)新的超輕量原語（遞歸散列（R_h）[11]和雙旋轉(zhuǎn)）。遞歸散列函數(shù)（R_h）可以如下計(jì)算。

假設(shè)Y是一個(gè)“n”位字符串，其中

3.1 協(xié)議

圖1顯示了協(xié)議的基本工作。假設(shè)閱讀器和數(shù)據(jù)庫之間的通道是安全的，協(xié)議的描述如下：

步驟1.閱讀器通過向標(biāo)簽發(fā)送消息“Hello”來啟動(dòng)協(xié)議。

步驟2.標(biāo)簽以其當(dāng)前的IDS進(jìn)行響應(yīng)。

步驟3.在接收到IDS，閱讀器將其用作索引并在其數(shù)據(jù)庫中搜索匹配的條目。如果讀者沒有在其數(shù)據(jù)庫中找到IDS，那么它會(huì)向標(biāo)簽發(fā)送錯(cuò)誤消息（這意味著標(biāo)簽應(yīng)該發(fā)送IDSold）如果發(fā)生匹配，則閱讀器生成兩個(gè)偽隨機(jī)數(shù)（ n1，n2）并且將它們隱藏在消息A，B中：

4 SISI協(xié)議的功能分析

UMAP提供三個(gè)基本功能：保密性，完整性和認(rèn)證性，它們只能被認(rèn)為是安全的。我們提出的協(xié)議可以確保這些功能達(dá)到最佳。

4.1 保密性

UMAP的主要目標(biāo)之一是秘密消息的ID從標(biāo)簽到閱讀器的安全傳輸。在SASI使用遞歸散列，閱讀器和標(biāo)簽預(yù)共享靜態(tài)ID和動(dòng)態(tài)密鑰（K1，K2）。因此，只有具有這些變量的先驗(yàn)知識(shí)的合法方可以解密A，B，C和D消息。如Khovra-tovich和Nikolic[12]所示，增加旋轉(zhuǎn)次數(shù)就相應(yīng)的增加了保密性。在我們提出的協(xié)議中，雙旋轉(zhuǎn)函數(shù)和遞歸散列函數(shù)會(huì)導(dǎo)致廣泛的整體旋轉(zhuǎn)，從而增加了保密性。此外，公開暴露的消息（A，B，C和D）的最優(yōu)組合增加了計(jì)算復(fù)雜性，因此使得攻擊者不可能檢索隱藏的數(shù)據(jù)。恢復(fù)連接的偽隨機(jī)數(shù)（n1，n2）的復(fù)雜度如下：

因此，對(duì)于復(fù)雜度0（64×l0g2 K1×l0g2K2），攻擊者可以計(jì)算偽隨機(jī)數(shù)。然而，無論協(xié)議會(huì)話的成功或失敗，這些偽隨機(jī)數(shù)都會(huì)在每個(gè)認(rèn)證會(huì)話進(jìn)行更新。因此所提出的協(xié)議可以確保數(shù)據(jù)的可信性最佳。

4.2 完整性

在我們提出的協(xié)議中，所有發(fā)送的消息（A，B，C和D）是互連的，如果攻擊者試圖通過切換某些比特來修改任何消息，則該修改的影響也直接傳送到其他消息。例如，如果攻擊者修改消息A的某些位，則標(biāo)簽從消息B計(jì)算無效的nl并進(jìn)一步計(jì)算無效的n2。因此，標(biāo)簽不能認(rèn)證閱讀器，因此終止其與閱讀器的協(xié)議會(huì)話。消息B中存在nl，確保消息的完整性。

4.3 認(rèn)證性

每個(gè)UMAP應(yīng)該提供一個(gè)強(qiáng)大的相互認(rèn)證機(jī)制。在SASI中，使用遞歸散列，發(fā)送的消息不僅確保了完整性，而且提供了相互之間的互相認(rèn)證。為了標(biāo)簽的初始識(shí)別，閱讀器向標(biāo)簽發(fā)送A，B和C消息。只有合法標(biāo)簽可以從A和B消息中提取隨機(jī)數(shù)，因此可以對(duì)閱讀器進(jìn)行認(rèn)證。此外，合法標(biāo)簽只能產(chǎn)生合法閱讀器可接受的消息，比如消息D。

5 SISI協(xié)議的安全性和性能分析

5.1 安全性分析

5.1.1 去同步攻擊

在我們提出的協(xié)議中，閱讀器和標(biāo)簽在每次成功認(rèn)證會(huì)話之后更新它們的假名（IDS）和密鑰（Kl，K2）。由于同步取決于C和D消息的接收，攻擊者可以中斷所發(fā)送的消息以使閱讀器和標(biāo)簽的合法通信受到去同步攻擊。有兩種可能的去同步攻擊場(chǎng)景，我們提出的協(xié)議可以在這種場(chǎng)景下，很好的抵抗去同步攻擊，使標(biāo)簽和閱讀器保持同步，如下：

（1）攻擊者中斷消息C。在這種情況下，標(biāo)簽不接收消息C，因此標(biāo)簽不認(rèn)證閱讀器并保持假名和密鑰的先前值。標(biāo)簽也放棄這個(gè)不完整的協(xié)議會(huì)話，因此也不接收消息D。這時(shí)，閱讀器和標(biāo)簽保持在相同的狀態(tài)（同步）。

（2）攻擊者中斷消息D。在這種情況下，閱讀器不接收消息D;因此它保持以前的假名和密鑰的值，標(biāo)簽更新其內(nèi)部變量（因?yàn)樗呀?jīng)接收到消息C）。在這種情況下，我們提出的協(xié)議通過在雙方存儲(chǔ)額外的假名和密鑰（舊的和新的）副本來解決這樣的中斷問題。對(duì)于下一個(gè)會(huì)話，閱讀器和標(biāo)簽使用舊值（假名和密鑰）進(jìn)行認(rèn)證。因此，兩個(gè)合法方都保持同步。

5.1.2重傳攻擊

攻擊者假冒為有效標(biāo)簽并向閱讀器重新發(fā)假的消息D。由于消息D涉及遞歸散列函數(shù)值和隨機(jī)數(shù)（n1，n2）（獨(dú)立于會(huì)話），閱讀器不認(rèn)證這樣的標(biāo)簽并中止與特定標(biāo)簽的協(xié)議會(huì)話。另一個(gè)重傳攻擊情形：攻擊者可以在一個(gè)會(huì)話中中斷消息D，然后向標(biāo)簽重傳先前捕獲的消息A‖B‖C。這種情況不會(huì)影響合法各方的內(nèi)部秘密和同步。存儲(chǔ)兩個(gè)局部變量副本可以抵御所有可能的重發(fā)和去同步攻擊。此外，Sun等人對(duì)SASI[13]提出的重發(fā)攻擊也利用了假名和密鑰的單個(gè)副本。

5.1.3 可追溯性攻擊

與RCIA[11]一樣，使用遞歸散列的SASI也避免了所有可能的可追溯性攻擊。在我們提出的協(xié)議中，標(biāo)簽使用動(dòng)態(tài)IDS，而不是其原始的靜態(tài)ID與閱讀器交互。對(duì)于每個(gè)新的認(rèn)證會(huì)話，閱讀器和標(biāo)簽都使用新的（更新的）IDS，這使得對(duì)特定標(biāo)簽的跟蹤不可能?？勺匪菪怨舻牧硪环N可能性是通過交換的消息來跟蹤標(biāo)簽。但是在提出的協(xié)議中，每個(gè)新的認(rèn)證會(huì)話帶來新的隨機(jī)的集成消息，這確保消息的新鮮，從而使協(xié)議不可追蹤。

5.2 性能分析

表2列出了幾個(gè)有名的超輕量協(xié)議的性能的簡(jiǎn)單比較。分析表明，此文所提出的UMAP在使用最少資源的情況下優(yōu)于其他UMAP。

6 結(jié)束語

在本文中，我們提出了一種新型的超輕型相互認(rèn)證協(xié)議（UMAP）：使用遞歸散列的SASI。提出的協(xié)議涉及兩個(gè)新的非三角形原語：遞歸散列和雙旋轉(zhuǎn)功能，為極低成本的RFID系統(tǒng)提供使用遞歸散列的強(qiáng)認(rèn)證和強(qiáng)完整性。該協(xié)議的最佳設(shè)計(jì)避免了以前的安全漏洞，并且該協(xié)議具有保密性、完整性和認(rèn)證性并且安全可靠，性能優(yōu)于其他類似的協(xié)議。

參考文獻(xiàn)

[1]KLIMOV A，SHAMIR A.New applications of T-functions inblock ciphers and hash functions [C]//InternationalWorkshop on Fast Software Encryption.Springer Berlin Hei-delberg，2005：18-31.

[2] PERIS-LOPEZ P，HERNANDEZ-CASTOR J C，ESTEVEZ-TAPIADOR J M，et al.LMAP：A real lightweight mutual au-thentication protocol for low cost RFID tags[C]//Proc. of 2nd Workshop on RFID Security.2006：06.

[3]PERIS-LOPEZ P，HERNANDEZ-CASTOR J， ESTEVEZ-TAPIADOR J， et al.EMAP： An efficient mutual-authentication protocol for low-cost RFID tags[C]//On themove to meaningful internet systems 2006 ： Otm 2006 Work-shops.Springer Berlin/Heidelberg，2006 ：352 - 361.

[4]PERIS-LOPEZ P， HERNANDEZ-CASTOR J， ESTEVEZ-TAPIADOR J，et al.M2AP：a minimalist mutualau then tica-tion protocol for lowcost RFID tags[Cl// in Ubiquitous In-telligence and Computing：Tird International Conference，UIC2006，Wuhan，China，September 3 - 6，2006：912-923.

[5] L1 T，WANG G.Security analysis of two ultra-lightweightRFID authentication protocols[J].New approaches for securi-ty， privacy and trust in complex environments， 2007： 109-120.

[6] 11 T，DENG R.Vulnerability analysis of EMAP-an efficientRFID mutual authentication protocol[C]//Availability，Reli-ability and Security， 2007. ARES 2007.The Second Interna-tional Conference on.IEEE，2007 ：238 - 245.

[7]CHIEN H Y.SASI：A new ultralightweight RFID authentica-tion protocol providing strong authentication and strong in-tegrity[J].IEEE Transactions on Dependable and SecureComputing，2007，4（4） ：337-340.

[8]SUN H M，TING W C，WANG K H.On the security of Chiens ultralightweight RFID authentication protocol[J].IEEETransactions on Dependable and Secure Computing， 2011， 8（2） ：315-317.

[9]AVOINE G， CARPENT X， MARTIN B. Strongauthentication and strong integrity （SASI） is not that strong[C]//International Workshop on Radio Frequency Identifica-tion：Security and Privacy Issues.Springer Berlin Heidelberg，2010：50-64.

[10] CHIEN H Y.SASI：A new ultralightweight RFID authenti-cation protocol providing strong authentication and strongintegrity[J].IEEE Transactions on Dependable and SecureComputing，2007，4（4） ：337-340.

[11]MUJAHID U， NAJAM-UL-ISLAM M， SHAMI M A.RCIA：A new ultralightweight RFID authentication protocolusing recursive hash[J].International Journal of DistributedSensor Networks，2015.

[12]KHOVRATOVICH D，NIKOLIC I.Rotationalcryptanalysisof ARX[C]//International Workshop on Fast Software En-cryption.Springer Berlin Heidelberg， 2010 ： 333 - 346.

[13] SUN H M，TING W C，WANG K H.On the security ofChien's ultralightweight RFID authentication protocol[J].IEEE Transactions on Dependable and Secure Computing，2011，8（2）：315-317.

[14] ZHUANG X，ZHUY，CHANGC C.A New UltralightweightRFID Protocol for LoYrCost Tags：R- {2} AP[J].WirelessPersonal Communications，2014，79 （3） ：1787- 1802.

[15]TIAN Y，CHEN G， LI J.A new ultralightweight RFID au-thentication protocol with permutation[J].IEEE Communi-cations Letters，2012，16（5） ：702 - 705.