付惠茹 張厚武 何勇 湯攀
摘 要:由于RFID使用無線信道與其相關(guān)設(shè)備進(jìn)行通信,應(yīng)該有一些最佳的加密方法來保護(hù)來自攻擊者的通信數(shù)據(jù)。之前提出的超輕量級(jí)相互認(rèn)證協(xié)議(UMAP),以成本有效的方式保護(hù)RFID系統(tǒng)。針對(duì)大多數(shù)UMAP的安全漏洞,提出一個(gè)改進(jìn)的UMAP,使用遞歸散列函數(shù)提供強(qiáng)認(rèn)證和強(qiáng)完整性(SASI)。所提出的協(xié)議在其設(shè)計(jì)中僅包含簡(jiǎn)單的邏輯運(yùn)算符XOR,Rot和非三角函數(shù)(遞歸散列),降低了對(duì)標(biāo)簽計(jì)算能力和存儲(chǔ)能力的要求。分析結(jié)果表明,該協(xié)議可以有效地抵抗去同步攻擊、重傳攻擊和可追溯性攻擊,適用于較低成本的RFID系統(tǒng)。
關(guān)鍵詞:超輕量級(jí);相互認(rèn)證協(xié)議;無線射頻識(shí)別;遞歸散列;強(qiáng)認(rèn)證性和強(qiáng)完整性
中圖分類號(hào):TP309
文獻(xiàn)標(biāo)志碼:A
1 引 言
RFID系統(tǒng)可以唯一地識(shí)別每個(gè)物品/產(chǎn)品(標(biāo)簽),RFID技術(shù)的快速增長(zhǎng)的唯一障礙是其安全性和標(biāo)簽的總成本,低成本標(biāo)簽的需求限制了我們使用無源RFID標(biāo)簽,其僅僅涉及用于安全性和其它功能的簡(jiǎn)單計(jì)算操作。通常這樣的標(biāo)簽可以僅存儲(chǔ)32 -1K位,并且可以支持250-4K的邏輯門并用于安全相關(guān)任務(wù)。因此,傳統(tǒng)的加密算法(如AES和三重DES)和原語(如Hash函數(shù))不能用于保護(hù)系統(tǒng)。安全和隱私是基于RFID識(shí)別系統(tǒng)的兩個(gè)主要關(guān)注點(diǎn),它們與標(biāo)簽的成本相關(guān)聯(lián)。高成本標(biāo)簽足夠支持傳統(tǒng)的加密算法和原語,如AES、散列函數(shù)。這些常規(guī)的加密算法和原語需要過多的功率,存儲(chǔ)器和芯片面積,這些要求超出了低成本標(biāo)簽的計(jì)算能力。因此,引入了一個(gè)新的超輕互認(rèn)證協(xié)議來確保低成本RFID系統(tǒng)的安全性。許多已經(jīng)提出的UMAP只支持簡(jiǎn)單的T函數(shù)[1]和一些特殊用途的超輕量原語來執(zhí)行相關(guān)的安全任務(wù)。提出的大多數(shù)UMAP是容易受到去同步攻擊、重傳攻擊和可追溯性攻擊這三種的攻擊。為了避免所有可能的安全攻擊,本文提出了一種新的UMAP,為較低成本的RFID系統(tǒng)提供使用遞歸散列的強(qiáng)認(rèn)證和強(qiáng)完整性。
2 相關(guān)知識(shí)
2006年,Peris-Lopez等人奠定了超輕量級(jí)加密的基礎(chǔ),并提出了三種超輕量級(jí)RFID相互認(rèn)證協(xié)議( UMAP):LMAP[2],EMAP[3]和M2 AP[4]。所有三個(gè)UMAP在其設(shè)計(jì)中涉及簡(jiǎn)單的按位邏輯運(yùn)算(XOR,AND和ADD),因此可以在大約1K邏輯門內(nèi)實(shí)現(xiàn)。然而,2007年,Tieyan等人[5,6]強(qiáng)調(diào)了上述所有三個(gè)UMAP的漏洞,并提出了它們易受到去同步攻擊和全面披露的攻擊。
2007年,Chien[7]在協(xié)議消息中進(jìn)行了整合,并提出了一種新的UMAP來提供強(qiáng)大的完整性和強(qiáng)認(rèn)證(SASI)。然而,隨著協(xié)議的引入,幾位研究人員強(qiáng)調(diào)了SASI協(xié)議設(shè)計(jì)中的陷阱。Sun等人[8]提出了此協(xié)議易受到去同步攻擊,Avoine等人[9]提出了此協(xié)議易受到全面的披露攻擊。以前提出的UMAP大多數(shù)在安全上都有漏洞,因此,本文提出一種新的UMAP,為較低成本的RFID系統(tǒng)提供使用遞歸散列的強(qiáng)認(rèn)證和強(qiáng)完整性。
3 使用遞歸散列的SASI
正如我們已經(jīng)討論的,SASI是第一個(gè)在其設(shè)計(jì)中引入了非三角函數(shù)“Rot”的UMAP,并于2007年提出[10]。在本節(jié)中,我們改進(jìn)了SASI協(xié)議的整體描述,并使其對(duì)于突出的安全漏洞更具有防御性。在我們提出的協(xié)議中,閱讀器和標(biāo)簽預(yù)先共享假名IDS和密鑰(K1,K2)(舊和當(dāng)前)的兩個(gè)副本。在兩側(cè)存儲(chǔ)假名IDS和密鑰的額外副本避免了所有可能的去同步攻擊。此外,這個(gè)新的協(xié)議還在每次成功認(rèn)證會(huì)話之后更新其假名和密鑰。為了加強(qiáng)公開消息的功能特性,在協(xié)議設(shè)計(jì)中引入了兩個(gè)新的超輕量原語(遞歸散列(Rh)[11]和雙旋轉(zhuǎn))。遞歸散列函數(shù)(Rh)可以如下計(jì)算。
假設(shè)Y是一個(gè)“n”位字符串,其中
3.1 協(xié)議
圖1顯示了協(xié)議的基本工作。假設(shè)閱讀器和數(shù)據(jù)庫之間的通道是安全的,協(xié)議的描述如下:
步驟1.閱讀器通過向標(biāo)簽發(fā)送消息“Hello”來啟動(dòng)協(xié)議。
步驟2.標(biāo)簽以其當(dāng)前的IDS進(jìn)行響應(yīng)。
步驟3.在接收到IDS,閱讀器將其用作索引并在其數(shù)據(jù)庫中搜索匹配的條目。如果讀者沒有在其數(shù)據(jù)庫中找到IDS,那么它會(huì)向標(biāo)簽發(fā)送錯(cuò)誤消息(這意味著標(biāo)簽應(yīng)該發(fā)送IDSold)如果發(fā)生匹配,則閱讀器生成兩個(gè)偽隨機(jī)數(shù)( n1,n2)并且將它們隱藏在消息A,B中:
4 SISI協(xié)議的功能分析
UMAP提供三個(gè)基本功能:保密性,完整性和認(rèn)證性,它們只能被認(rèn)為是安全的。我們提出的協(xié)議可以確保這些功能達(dá)到最佳。
4.1 保密性
UMAP的主要目標(biāo)之一是秘密消息的ID從標(biāo)簽到閱讀器的安全傳輸。在SASI使用遞歸散列,閱讀器和標(biāo)簽預(yù)共享靜態(tài)ID和動(dòng)態(tài)密鑰(K1,K2)。因此,只有具有這些變量的先驗(yàn)知識(shí)的合法方可以解密A,B,C和D消息。如Khovra-tovich和Nikolic[12]所示,增加旋轉(zhuǎn)次數(shù)就相應(yīng)的增加了保密性。在我們提出的協(xié)議中,雙旋轉(zhuǎn)函數(shù)和遞歸散列函數(shù)會(huì)導(dǎo)致廣泛的整體旋轉(zhuǎn),從而增加了保密性。此外,公開暴露的消息(A,B,C和D)的最優(yōu)組合增加了計(jì)算復(fù)雜性,因此使得攻擊者不可能檢索隱藏的數(shù)據(jù)。恢復(fù)連接的偽隨機(jī)數(shù)(n1,n2)的復(fù)雜度如下:
因此,對(duì)于復(fù)雜度0(64×l0g2 K1×l0g2K2),攻擊者可以計(jì)算偽隨機(jī)數(shù)。然而,無論協(xié)議會(huì)話的成功或失敗,這些偽隨機(jī)數(shù)都會(huì)在每個(gè)認(rèn)證會(huì)話進(jìn)行更新。因此所提出的協(xié)議可以確保數(shù)據(jù)的可信性最佳。
4.2 完整性
在我們提出的協(xié)議中,所有發(fā)送的消息(A,B,C和D)是互連的,如果攻擊者試圖通過切換某些比特來修改任何消息,則該修改的影響也直接傳送到其他消息。例如,如果攻擊者修改消息A的某些位,則標(biāo)簽從消息B計(jì)算無效的nl并進(jìn)一步計(jì)算無效的n2。因此,標(biāo)簽不能認(rèn)證閱讀器,因此終止其與閱讀器的協(xié)議會(huì)話。消息B中存在nl,確保消息的完整性。
4.3 認(rèn)證性
每個(gè)UMAP應(yīng)該提供一個(gè)強(qiáng)大的相互認(rèn)證機(jī)制。在SASI中,使用遞歸散列,發(fā)送的消息不僅確保了完整性,而且提供了相互之間的互相認(rèn)證。為了標(biāo)簽的初始識(shí)別,閱讀器向標(biāo)簽發(fā)送A,B和C消息。只有合法標(biāo)簽可以從A和B消息中提取隨機(jī)數(shù),因此可以對(duì)閱讀器進(jìn)行認(rèn)證。此外,合法標(biāo)簽只能產(chǎn)生合法閱讀器可接受的消息,比如消息D。
5 SISI協(xié)議的安全性和性能分析
5.1 安全性分析
5.1.1 去同步攻擊
在我們提出的協(xié)議中,閱讀器和標(biāo)簽在每次成功認(rèn)證會(huì)話之后更新它們的假名(IDS)和密鑰(Kl,K2)。由于同步取決于C和D消息的接收,攻擊者可以中斷所發(fā)送的消息以使閱讀器和標(biāo)簽的合法通信受到去同步攻擊。有兩種可能的去同步攻擊場(chǎng)景,我們提出的協(xié)議可以在這種場(chǎng)景下,很好的抵抗去同步攻擊,使標(biāo)簽和閱讀器保持同步,如下:
(1)攻擊者中斷消息C。在這種情況下,標(biāo)簽不接收消息C,因此標(biāo)簽不認(rèn)證閱讀器并保持假名和密鑰的先前值。標(biāo)簽也放棄這個(gè)不完整的協(xié)議會(huì)話,因此也不接收消息D。這時(shí),閱讀器和標(biāo)簽保持在相同的狀態(tài)(同步)。
(2)攻擊者中斷消息D。在這種情況下,閱讀器不接收消息D;因此它保持以前的假名和密鑰的值,標(biāo)簽更新其內(nèi)部變量(因?yàn)樗呀?jīng)接收到消息C)。在這種情況下,我們提出的協(xié)議通過在雙方存儲(chǔ)額外的假名和密鑰(舊的和新的)副本來解決這樣的中斷問題。對(duì)于下一個(gè)會(huì)話,閱讀器和標(biāo)簽使用舊值(假名和密鑰)進(jìn)行認(rèn)證。因此,兩個(gè)合法方都保持同步。
5.1.2重傳攻擊
攻擊者假冒為有效標(biāo)簽并向閱讀器重新發(fā)假的消息D。由于消息D涉及遞歸散列函數(shù)值和隨機(jī)數(shù)(n1,n2)(獨(dú)立于會(huì)話),閱讀器不認(rèn)證這樣的標(biāo)簽并中止與特定標(biāo)簽的協(xié)議會(huì)話。另一個(gè)重傳攻擊情形:攻擊者可以在一個(gè)會(huì)話中中斷消息D,然后向標(biāo)簽重傳先前捕獲的消息A‖B‖C。這種情況不會(huì)影響合法各方的內(nèi)部秘密和同步。存儲(chǔ)兩個(gè)局部變量副本可以抵御所有可能的重發(fā)和去同步攻擊。此外,Sun等人對(duì)SASI[13]提出的重發(fā)攻擊也利用了假名和密鑰的單個(gè)副本。
5.1.3 可追溯性攻擊
與RCIA[11]一樣,使用遞歸散列的SASI也避免了所有可能的可追溯性攻擊。在我們提出的協(xié)議中,標(biāo)簽使用動(dòng)態(tài)IDS,而不是其原始的靜態(tài)ID與閱讀器交互。對(duì)于每個(gè)新的認(rèn)證會(huì)話,閱讀器和標(biāo)簽都使用新的(更新的)IDS,這使得對(duì)特定標(biāo)簽的跟蹤不可能??勺匪菪怨舻牧硪环N可能性是通過交換的消息來跟蹤標(biāo)簽。但是在提出的協(xié)議中,每個(gè)新的認(rèn)證會(huì)話帶來新的隨機(jī)的集成消息,這確保消息的新鮮,從而使協(xié)議不可追蹤。
5.2 性能分析
表2列出了幾個(gè)有名的超輕量協(xié)議的性能的簡(jiǎn)單比較。分析表明,此文所提出的UMAP在使用最少資源的情況下優(yōu)于其他UMAP。
6 結(jié)束語
在本文中,我們提出了一種新型的超輕型相互認(rèn)證協(xié)議(UMAP):使用遞歸散列的SASI。提出的協(xié)議涉及兩個(gè)新的非三角形原語:遞歸散列和雙旋轉(zhuǎn)功能,為極低成本的RFID系統(tǒng)提供使用遞歸散列的強(qiáng)認(rèn)證和強(qiáng)完整性。該協(xié)議的最佳設(shè)計(jì)避免了以前的安全漏洞,并且該協(xié)議具有保密性、完整性和認(rèn)證性并且安全可靠,性能優(yōu)于其他類似的協(xié)議。
參考文獻(xiàn)
[1]KLIMOV A,SHAMIR A.New applications of T-functions inblock ciphers and hash functions [C]//InternationalWorkshop on Fast Software Encryption.Springer Berlin Hei-delberg,2005:18-31.
[2] PERIS-LOPEZ P,HERNANDEZ-CASTOR J C,ESTEVEZ-TAPIADOR J M,et al.LMAP:A real lightweight mutual au-thentication protocol for low cost RFID tags[C]//Proc. of 2nd Workshop on RFID Security.2006:06.
[3]PERIS-LOPEZ P,HERNANDEZ-CASTOR J, ESTEVEZ-TAPIADOR J, et al.EMAP: An efficient mutual-authentication protocol for low-cost RFID tags[C]//On themove to meaningful internet systems 2006 : Otm 2006 Work-shops.Springer Berlin/Heidelberg,2006 :352 - 361.
[4]PERIS-LOPEZ P, HERNANDEZ-CASTOR J, ESTEVEZ-TAPIADOR J,et al.M2AP:a minimalist mutualau then tica-tion protocol for lowcost RFID tags[Cl// in Ubiquitous In-telligence and Computing:Tird International Conference,UIC2006,Wuhan,China,September 3 - 6,2006:912-923.
[5] L1 T,WANG G.Security analysis of two ultra-lightweightRFID authentication protocols[J].New approaches for securi-ty, privacy and trust in complex environments, 2007: 109-120.
[6] 11 T,DENG R.Vulnerability analysis of EMAP-an efficientRFID mutual authentication protocol[C]//Availability,Reli-ability and Security, 2007. ARES 2007.The Second Interna-tional Conference on.IEEE,2007 :238 - 245.
[7]CHIEN H Y.SASI:A new ultralightweight RFID authentica-tion protocol providing strong authentication and strong in-tegrity[J].IEEE Transactions on Dependable and SecureComputing,2007,4(4) :337-340.
[8]SUN H M,TING W C,WANG K H.On the security of Chiens ultralightweight RFID authentication protocol[J].IEEETransactions on Dependable and Secure Computing, 2011, 8(2) :315-317.
[9]AVOINE G, CARPENT X, MARTIN B. Strongauthentication and strong integrity (SASI) is not that strong[C]//International Workshop on Radio Frequency Identifica-tion:Security and Privacy Issues.Springer Berlin Heidelberg,2010:50-64.
[10] CHIEN H Y.SASI:A new ultralightweight RFID authenti-cation protocol providing strong authentication and strongintegrity[J].IEEE Transactions on Dependable and SecureComputing,2007,4(4) :337-340.
[11]MUJAHID U, NAJAM-UL-ISLAM M, SHAMI M A.RCIA:A new ultralightweight RFID authentication protocolusing recursive hash[J].International Journal of DistributedSensor Networks,2015.
[12]KHOVRATOVICH D,NIKOLIC I.Rotationalcryptanalysisof ARX[C]//International Workshop on Fast Software En-cryption.Springer Berlin Heidelberg, 2010 : 333 - 346.
[13] SUN H M,TING W C,WANG K H.On the security ofChien's ultralightweight RFID authentication protocol[J].IEEE Transactions on Dependable and Secure Computing,2011,8(2):315-317.
[14] ZHUANG X,ZHUY,CHANGC C.A New UltralightweightRFID Protocol for LoYrCost Tags:R- {2} AP[J].WirelessPersonal Communications,2014,79 (3) :1787- 1802.
[15]TIAN Y,CHEN G, LI J.A new ultralightweight RFID au-thentication protocol with permutation[J].IEEE Communi-cations Letters,2012,16(5) :702 - 705.