抗去同步化的輕量級RFID雙向認證協議

賈慶軒，陳鵬，高欣，韋凌云，王鑫，趙兵

?

抗去同步化的輕量級RFID雙向認證協議

賈慶軒1，陳鵬1，高欣1，韋凌云1，王鑫1，趙兵2

(1. 北京郵電大學自動化學院，北京，100876；2. 中國電力科學研究院，北京，100192)

針對低成本RFID應用中輕量級認證協議的安全性進行研究，提出一種組合型去同步化攻擊方法，該類攻擊不用篡改任何協議消息，僅通過攔截、竊聽、重放等攻擊手段的順序組合就能導致后臺數據庫/標簽的共享密鑰失去同步；設計一種輕量級抗去同步化的RFID雙向認證協議，并利用形式化工具CPN Tools模擬運行該協議，該協議可以達到預期狀態空間；與同類RFID協議相比，該協議在滿足一般隱私安全屬性的同時，還能有效抵抗來自惡意閱讀器的組合型去同步化攻擊，同時能有效減少RFID系統的計算開銷，彌補原始協議的不足，更適合低成本RFID系統應用的隱私安全需求。

射頻識別技術；RFID雙向認證協議；CPN形式化分析；去同步化攻擊；隱私安全性

RFID(Radio frequency identification)認證協議是解決無線射頻識別系統安全與隱私問題的有效手段，而低成本RFID在計算能力、存儲空間、電源等方面存在諸多局限性，難以實現復雜的密碼算法和大容量的數據存儲，如何在低成本制造工藝的前提下實現高效、安全的RFID認證協議仍是一個亟待解決的問題，對解決無線射頻系統的安全與隱私問題具有重要意義。目前國內外學者已經提出不少RFID系統的認證協議和方案，但都不能較全面地滿足無線射頻系統的隱私安全屬性，不能得到廣泛認可。輕量級RFID協議[1]利用Hash(哈希)函數的隨機性和單向性實現身份認證和密鑰更新，如Dang和Kwangjo的抗Dos的RFID認證協議[2]以及Mitchell的擁有權轉換協議[3]等。在基于Hash函數的RFID協議的中，Hash具有單向性和防碰撞特性的優勢，單向性能夠防止攻擊者直接利用消息密文推測明文數據或密鑰更新參數，從而保證協議的機密性和前向安全性；防碰撞特性能夠保證后臺對目標標簽的成功檢索以及交互消息的偽造。但EPC-C1G2標準(Class-1 Generation-2)規定RFID標簽成本應低于0.05歐元，其內部芯片中的邏輯門電路為5~10 K，其中只有4~250 K是用于安全計算，SHA-1或MD5等標準Hash函數大約需要8K的邏輯門函數，這對于低成本RFID標簽來說仍是龐大的開銷；同時，Hash函數較低的運算效率也對標簽的響應速度有很大影響。為進一步降低標簽計算開銷，提高協議運行速度，協議設計者開始尋求計算開銷更小，消耗時鐘周期更少的輕量級算法代替多次Hash計算，以實現協議認證和密鑰更新(前向安全)。但在節約成本的同時，協議的設計缺陷也引發了密鑰更新去同步化和標簽位置跟蹤等諸多問題。如Chien HY[1]在超輕量級SASI認證協議中僅利用有限次數的XOR(異或)、ROT循環移位等超輕量級算法實現挑戰-應答，并在后臺數據庫中建立2個密鑰存儲單元，提高密鑰恢復能力；Peris等[4]在SASI的基礎上引入Mixbits函數用于避免攻擊者利用ROT移位的漏洞進行代數攻擊，但Gossamer仍受到去同步化攻擊的威脅。Lim的隱私保護認證協議[5]中，會話雙方在未完成認證的情況下仍能執行密鑰動態更新，可以避免標簽位置隱私泄露，由于該協議缺乏可信任新鮮量[6]，攻擊者仍可以利用通信量分析獲得標簽密鑰狀態。Lopez等[7]設計的協議完全依靠閱讀器PRNG(偽隨機數發生器)提供新鮮量，節約了標簽的計算開銷，但該協議同樣容易遭受去同步化攻擊[8]和代數攻擊[9]。基于對文獻[10]中輕量級RFID協議的缺陷分析，本文作者提出一種組合型去同步化攻擊方法，并完整地描述其攻擊路徑和攻擊效果，表明該協議存在安全漏洞；并引入輕量級循環移位函數Mixbits，進一步優化協議消息，設計1個新的能夠抵抗去同步化的RFID認證協議，在滿足RFID系統安全和隱私屬性的同時也降低了標簽的計算開銷，提高了協議的運行效率；最后，利用形式化分析工具CPN tools對協議進行狀態可達性分析和安全隱私性分析，同時與一些近年來獲認可較多的同類RFID協議進行性能比較。

1 組合型去同步化攻擊

1.1 文獻[10]協議缺陷分析

Zhou等[10]提出了一個抗去同步化的RFID認證協議，見圖1。該協議基于Hash算法并能夠利用后臺數據庫的Cur-Pre雙密鑰單元實現密鑰恢復，以解決傳統去同步化攻擊帶來的系統密鑰同步問題，但在攻擊者能夠控制閱讀器的情況下，該協議并不能有效抵抗去同步化，以下是對該協議的簡要描述。

圖1 文獻[9] 的RFID協議

1.1.1 協議描述

1) 初始化。RFID系統為每個標簽Tag產生一個唯一性序列號C、自更新參數T，并與數據庫共享密鑰key。雙方各自保存標簽唯一檢索名IDS。其中數據庫存儲目錄為(Pre-IDS，Pre-key；Cur-IDS，Cur-key)，標簽目錄為(IDS，key，T)，數據庫的Cur單元和標簽的(IDS，key)相同。

2) 協議認證。

①Reader→Tag(Challenge Message):

Query with

②Tag→Reader(Responding Message):

IDS=( key),(T⊕),-left

=Hash (key⊕⊕(T⊕) ⊕)

③Reader→Back-end Server(Forwarding Message):

, IDS,-left,(T⊕)

④Back-end→Reader (Authenticating Tag):

,-right=Hash(key⊕⊕(T⊕))

⑤Reader→Tag(Authenticating Reader Message):

,-right

1.1.2 缺陷分析

本節從協議新鮮性、惡意閱讀器以及時變參數3個方面分析上述協議的安全缺陷。

1) 可信任新鮮性。協議新鮮性必須是可信任的[16]才能保證協議各方不會因缺乏新鮮性校驗而遭受重放攻擊。文獻[10]中協議會話的新鮮性僅依靠閱讀器和后臺數據庫提供的隨機數r和，而數據庫和閱讀器之間缺乏新鮮性校驗，閱讀器可以通過舊r欺騙后臺數據庫，利用Pre-Cur密鑰恢復機制使其強制更新標簽密鑰單元。此外，由于無法提供新鮮量，一旦密鑰更新步驟被干擾，標簽很容易受到重放攻擊。

2) 惡意閱讀器。隨著物聯網應用的日益廣泛，RFID技術作為其關鍵技術，部署范圍越來越廣，規模也在逐年增加。閱讀器作為RFID系統中有線信道和無線信道的中間部件，誘發的攻擊行為也越來越多。作為協議發起方和信息傳遞者，閱讀器更容易受到惡意攻擊者的操縱，其異常行為會直接影響協議認證過程和密鑰更新過程。因此，在建立攻擊者能力假設時考慮存在一種攻擊者被操縱的閱讀器(惡意閱讀器)是非常有必要的。

惡意閱讀器具有合法密鑰，且有能力接入后臺數據庫并與之進行正常通信。此外，由于RFID系統的分布式結構，龐大用戶數量決定了后臺數據庫不能作為協議的發起方而實時發送隨機數，因此，也很容易收到來自惡意閱讀器的重放消息，從而引發中間人攻擊，造成密鑰惡意更新、欺騙認證。

3) 時變參數。偽隨機數和時間戳機制都能夠提供協議新鮮量，但由于成本和供電方式的限制，“被動式”RFID標簽[11]沒有時鐘電路，只能利用偽隨機數機制抵抗消息重放。面對被攻擊者操縱的閱讀器，偽隨機數機制卻無法和時間戳一樣識別來自惡意閱讀器的陳舊消息，但后臺數據庫和閱讀器卻有足夠的計算能力維護一個可靠的時變參數，為協議提供簡單的防重放保護機制。

1.2 組合型去同步化攻擊

在針對RFID系統的惡意攻擊中，去同步化攻擊通常分為2種[12]：一種是攔截型去同步化，在協議的密鑰更新階段利用消息攔截使認證雙方的更新失去同步；另一種是篡改型去同步化[13]，由于成本限制，RFID標簽函數因計算復雜度較低而受到代數攻擊的威脅，攻擊者通過按位(bit)窮舉或者暴力破解，獲得函數輸入與輸出在某1bit位上的對應關系，并通過篡改認證消息的特定bit位通過認證，最終導致更新失去同步。

除上述2種攻擊外，針對文獻[9]中的RFID雙向認證協議，本文提出一種新的去同步化攻擊方法—組合型去同步化，攻擊者利用認證雙方的密鑰存儲單元不對稱的特點，按特定序列組合攔截、竊聽、重放等攻擊手段，能夠在不篡改任何會話消息的情況下由閱讀器惡意更新后臺數據庫中目標標簽的密鑰(Pre單元和Cur單元)，最終導致雙方密鑰徹底失衡。下面結合文獻[9]的協議詳述該攻擊過程。

1.3 攻擊路徑及效果

組合型去同步化攻擊中，攻擊者控制惡意閱讀器，能正常接入后臺數據庫以及向任何標簽發送認證請求。攻擊過程持續三輪會話時間。假設開始時認證雙方密鑰狀態同步(即標簽中的(IDS，key)單元和后臺數據庫中的(Pre-IDS，Pre-key)相同。

1.3.1 前提

假設被攻擊之前，協議雙方上次認證是合法且成功的，后臺數據庫的初始密鑰單元分別是pre-(IDSx，keyx)和Cur-(IDS0，key0)，標簽的密鑰單元是(IDS0，key0)。

1.3.2 攻擊路徑和效果

1) 首次協議會話中，惡意閱讀器執行一次攔截型去同步化攻擊。發送認證請求消息step1=1，同時記錄標簽的返回數據Res1IDS=H(Key)，(T⊕1)，-left=Hash-left(key⊕1⊕(T⊕1)⊕C)，直至收到數據庫的返回消息step4，然后直接結束協議(屏蔽step5)。此時，數據庫密鑰單元變為Pre-(IDS0，key0)和Cur-(IDS1，key1)，但標簽沒有收到step5，故沒有執行更新。

2) 第二次協議會話是正常且未收到干擾的，雙方進行正常協議處理，且標簽可以和任一閱讀器執行會話；閱讀器發現Cur單元與標簽當前密鑰不符，執行異常處理，恢復Pre單元密鑰并認證標簽，最后雙方都執行密鑰更新，閱讀器pre-(IDS0，key0)和Cur-(IDS2，key2)，標簽密鑰(IDS2，key2)。本次協議交互的目的主要是為了更新標簽的內部密鑰狀態。

3) 最后一次會話時，惡意閱讀器重放首次協議會話時的step2，由于無法識別重復的R，后臺數據庫錯以為目標標簽在上一次認證后，由于特殊原因仍未執行更新，再次作異常處理，導致其密鑰單元變為pre-(IDS0，key0)和Cur-(IDS1，key1)，而真實的目標標簽密鑰為(IDS2，key2)，此時認證雙方的密鑰單元徹底失衡，合法標簽再也無法通過后臺數據庫的認證，如圖2所示后臺數據庫和標簽密鑰完全不匹配。

圖2 組合型去同步攻擊路徑

2 抗去同步化的輕量級RFID認證協議

2.1 改進思路

基于對原始協議缺陷以及組合型去同步化攻擊的分析，本文在協議新鮮性、閱讀器認證以及協議關鍵函數方面提出以下3點改進措施。

1) 標簽增加偽隨機數發生器PRNG，每次標簽收到query立即產生T并計算=keyL⊕T，為協議提供充分的可信任新鮮性以抵制重放和交錯攻擊。僅憑閱讀器提供協議新鮮性容易引起中間人攻擊(惡意閱讀器)和標簽數據泄露?攻擊者通過操縱隨機數并將其設置為特定字節，強制標簽產生預期響應，造成數據泄露和欺騙認證。同時，為了保證前向安全性，標簽隨機數以密文形式發送。

2) 閱讀器和后臺數據庫各自維護1個時鐘參數并周期性地校對。每當閱讀器收到標簽回應，就計算,→(,)=α，參數是1個固定字節的時參變量，可以有效增加隨機數的可信任性[14]和實時性，用于防止惡意閱讀器通過重放實現去同步化攻擊和延遲攻擊。此外，數據庫周期性地對閱讀器進行身份驗證和時鐘校正，可以有效防止惡意閱讀器非法接入和時鐘修改。

3) 為節約計算成本并提高標簽效率，引入Mixbits[14]代替部分Hash計算實現交互消息中的參數校驗。Mixbits在Gossamer協議[14]中首次出現，是一種輕量級循環移位函數，其硬件資源需要約721個邏輯門，約為U-QUARK[14]的1/5(目前所需硬件資源最少的Hash函數)。同時，其高度的非線性密碼特性仍能使輸出消息保持足夠的隨機性，從而避免攻擊者從密文推測出明文信息，保證了協議的前向安全性和機密性。

此外，Mixbits計算的時鐘周期數為4×32×96 個/m，其中=16(C1-G2標準=16，標簽數據處理單元是16位)[15]，比普通Hash函數更快，在不降低協議安全性的前提下能有效減少系統的計算開銷，提高協議運行效率。

2.2 協議描述

2.2.1 符號及算法定義

為保證協議輸出的隨機性和前向安全性，新協議保留了Hash函數用作協議認證和密鑰更新。共享密鑰分為低位keyL(bit)和高位keyH(bit)，以和的形式密文發送，保證協議的前向安全性。同時，密鑰key更新由原來的key+1=key⊕-left改為key+1=key⊕-right以減少Hash運算次數。表1所示為文獻[9]中的協議符號。較量級抗去同步化的RFID協議見圖3。

表1 文獻[9]中的協議符號

注：“+”為模32加；“<<”和 “>>”分別表示按位左移、右移。文獻[15]描述了Mixbits函數的設計方法(遺傳編程)。

圖3 輕量級抗去同步化的RFID協議

Mixbits函數：=MixBits(,){=;for(=0;<32;++) {=(＜＜1)+((+)＞＞1);}

時變參數以代數循環的偽隨機數代替傳統時間戳，可有效降低時鐘開銷，并由后臺數據庫與合法閱讀器各自維護。此外，附時加密函數和解密函數分別由閱讀器和后臺數據庫實現，后臺數據庫周期性地校驗并修正閱讀器的參數以確保每次都能被正確解讀。閱讀器和后臺數據庫計算開銷遠大于標簽的開銷，附時函數可由輕量級加解密算法實現：

(，)→α；(α，)→

2.2.2 協議步驟

1) 認證階段。

Step 1 Reader→Tag(Challenge Message):r

Step 2 Tag→Reader(Responding Message):

IDS,=key⊕T，=Mixbits(，r)

=Hash (key⊕T⊕⊕)，=-left。

Step 3 Reader→Back-End Server

(Forwarding Message):

IDS,α,,,r其中，α=(，)

Step 4 Back-End→Reader (Authenticating Tag):

,=Mixbits(-right,⊕r)

Step 5 Reader→Tag

(Authenticating Reader Message):,

后臺數據庫通過IDS搜索目標標簽，首先遍歷Cur單元(=1，…，)，若找不到則繼續遍歷Prer-單元，取本地時參并解密(α，)→→r，然后計算并校驗，不相等則終止協議，否則產生偽隨機數偽，并計算=Mixbits(m-right,⊕T)，發送和給閱讀器，執行更新參數。閱讀器轉發消息給標簽，標簽取出-right，計算=Mixbits(-right,⊕r)并認證閱讀器，若通過，協議完畢，執行更新。

2) 更新階段。為保證協議前向安全，協議雙方通過協議新鮮量各自執行更新，數據庫將Cur-IDS和Cur-key寫入Pre單元，并將更新后的IDS+1和key寫入Cur單元。標簽則直接將更新后的參數寫入內存：

IDS+1=Hash(key)

key+1=key⊕-right

T+1=Hash(T⊕-right)

2.2.3 形式化分析

CPN tools是基于有色petri網(CPN)理論的形式化分析工具[12]，顏色集(COLOR)代表不同的數據類型，該工具擁有良好的異步并發特性，是對網絡協議和安全協議建模分析的新方法[16?17]?；谟猩玴etri網安全協議分析方法可以解決本文采用CPN tools模擬協議(見圖4)，其形式化建模嚴格按照CPN理論的形式化步驟進行。

圖4 CPN tools模擬

根據協議中不同的數據類型將協議數據劃分為單一顏色集(如DATA，KEY，H，M)和復合顏色集(如，1，2)等，其中標簽唯一性序列號C，等屬于DATA集，keyL和keyH屬于KEY顏色集，1和2集為消息顏色集。測試用例詳細參數見表2。

表2 CPN協議模型參數初始化

由圖4可以看出：接收step2時后臺數據庫經過一系列的運算產生’=Hash-left(keyi⊕r⊕⊕)并與收到的比較，最后由庫所D15輸出托肯()，說明后臺數據庫成功認證標簽；同樣，標簽通過比對計算值’和接收值，成功認證數據庫。最后，雙方對各參數進行更新得到IDS+1，key+1；另外，標簽還順利更新了參數T即T+1=Hash(T⊕-right)。

3 協議安全性分析和性能比較

3.1 安全性分析

3.1.1 數據機密性和完整性

標簽和閱讀器之間通過不安全信道傳輸消息，攻擊者通過監聽信道分析有用的數據信息。本文所提協議中的消息由單向哈希函數Hash和非線性循環移位函數Mixbits保護。Step2中-left為Hash值，以Mixbits值為輸入作完整性校驗；Step4中為Mixbits輸出值，以供標簽認證閱讀器；不安全信道中的交互消息具有足夠的隨機性和單向性。此外，Hash函數良好的防碰撞特性保證后臺能夠發現任何形式的消息篡改，因此新協議能夠保證消息數據的機密性和完整性。

3.1.2 標簽位置跟蹤隱私

標簽的索引名IDS、認證密鑰key以及自更新參數T每經過1次認證就會更新，而且協議雙方都利用偽隨機數提供新鮮量，尤其IDS和標簽序列號C都在Hash函數的保護下傳輸，具有良好的隨機性，第三方攻擊者無法獲得標簽響應之間的關聯，也不能從標簽的某次響應中獲得可跟蹤的字節，因此，本文的協議能夠有效抵抗位置跟蹤攻擊。

3.1.3 標簽偽造

要想偽造標簽并獲得閱讀器的認可，必須在每次協議會話中產生正確的標簽響應，即持有標簽密鑰和標簽內部的唯一序列號。key和C在協議會話中都由Hash函數和Mixbits保護，所以，除非打開標簽內部電路進行逆向工程分析或暴力破解協議消息，否則，攻擊者很難獲取標簽的內部密鑰和標識，從而無法通過偽造正確的標簽響應。

3.1.4 前向安全

攻擊者在有能力破解標簽并獲得當前標簽內部狀態[18]的前提下仍不能解密標簽之前的消息表明協議滿足前向安全。本文協議的密鑰更新包括key值更新、IDS更新以及標簽參數T自更新(其中key通過m-right實現更新)，但-right在前一次認證過程中并沒有暴露在不安全信道，攻擊者無從獲得，也就無法利用本次的密鑰計算上一次的密鑰，無法解密之前的協議消息；此外，由于Hash函數的單向性和Mixbits函數高度的非線性，攻擊者也不能從本次T+1和IDS+1分析出T和IDS。

3.1.5 后向安全

協議滿足后向安全性[18]的前提是攻擊者僅通過竊聽無法獲得密鑰更新參數—當前密鑰信息key和協議新鮮量(r，T，)。本文協議中標簽偽隨機數T與keyL異或后發送，因此，不會被攻擊者直接竊聽；同時，參數T只有標簽自己知道并且執行更新，-right也不參與傳輸，因此，攻擊者在僅有r和的情況下仍不能通過自行計算獲得下一次認證所需的密鑰信息，協議是滿足后向安全的。協議安全性與隱私性的比較見表3。

表3 協議安全性與隱私性比較

注：√表示滿足安全性；×表示不滿足；〇表示在一定計算條件下滿足。

3.1.6 組合型去同步化攻擊

由于時參變量的參與，后臺數據庫只能從當前會話的α中獲得正確的偽隨機數T，進而通過校驗，因此，協議能有效識別惡意閱讀器重放的α。

在組合型去同步化攻擊中，假設在首次會話(0時刻)，閱讀器轉發并記錄step2(0，0)給后臺；經過1次正常會話(假設此時的step2為(1，1))，當閱讀器第3次轉發step2給后臺時，已經變為2，一旦閱讀器重放step2(0，0)，后臺數據庫就得不到正確的0，因此，在校驗時就會出錯，協議被迫關閉。因此，對于本文提出的組合型去同步化攻擊，新協議能夠有效避免密鑰失衡。

3.2 性能比較

對RFID認證協議的性能分析主要從存儲量、通信開銷以及計算開銷3個方面分析。協議性能比較如表4所示。從表4可見：文獻[2?3，5]中的協議需要數據庫實時計算Hash值，并由后臺數據庫逐個計算直到最終找到目標標簽，標簽搜索空間是2即最壞的搜索情況就是數據庫需要進行2次哈希計算和對比。雖然每次有新鮮量參與生成標簽應答，使協議具有很好的防跟蹤性，但標簽搜索效率較低。Zhou[10]的協議采用直接查詢索引名的方法將數據庫搜索復雜度降到了O(1)，但除偽隨機數發生器之外，標簽每次會話需要3次Hash運算，系統需要5次Hash運算，且協議無法抵抗組合型去同步化攻擊。

表4 性能比較

注：為密鑰長度；為數據庫中標簽個數；MOD為2 m模計算。

安全認證協議的設計原則是首先應該滿足協議的安全需求，其次再考慮對于各種資源的消耗。本文在文獻[10]協議的基礎上，增加了標簽PRNG使協議具有充分的新鮮性以抵抗消息重放；同時，引入時變參數，提高了協議新鮮量T的可信任度，使協議能有效抵抗組合型去同步化攻擊。

此外，從硬件資源考慮，和文獻[10]中的協議相比，由于新協議引入非線性循環移位函數Mixbits，標簽的Hash運算次數降為2次；另外，1次Mixbits迭代運算的時鐘周期比Hash少(50個周期以上)，且其邏輯電路門數控制在1 000門以下[14](約為721門)；同時，標簽索引名IDS和閱讀器/標簽的共享密鑰仍然依靠Hash計算進行動態更新。因此，該協議能夠在較全面地滿足隱私安全性的前提下，減少硬件資源開銷，提高協議的運行效率。

4 結論

1) 提出的組合型去同步化攻擊能夠在不篡改任何消息的前提下實現協議密鑰的去同步化，對共享密鑰單元不對稱的RFID系統造成威脅；

2) 通過與文獻[9]以及近年輕量級RFID協議進行隱私安全性分析和性能比較，表明本文提出的基于Hash和Mixbits的抗去同步化RFID雙向認證協議在滿足匿名性、抗跟蹤、抗偽造、抗去同步化等安全屬性的同時，還能夠保證協議的可信任新鮮性、減少標簽Hash計算次數并將標簽搜索復雜度限制在O(1)。

3) 有色Petri網理論的形式化仿真工具CPN Tools對新協議進行了狀態可達性分析，證明協議可以成功達到預期狀態空間；

4) 新協議沒有規定后臺數據庫和閱讀器之間附時加密函數的具體形式，可根據系統成本和安全需求靈活選擇，對RFID技術有廣泛的實用價值。

[1] Chien H Y. SASI: A new ultralightweight RFID authentication protocol providing strong authentication and strong integrity[J]. IEEE Transactions on Dependable and Secure Computing, 2007, 4(9): 337?340.

[2] Duc D N, Kim K. Defending RFID authentication protocols against DoS attacks[J]. Computer Communications, 2011, 34(3): 384?390.

[3] Song B, Mitchell C J. Scalable RFID security protocols supporting tag ownership transfer[J]. Computer Communications，, 2011, 34(4): 556?566.

[4] Peris L P, Hernandez Castro J C, Juan M T. Advances in Ultralightweight Cryptography for Low-Cost RFID Tags: Gossamer Protocol[M]. Berlin, Heidelberg: Spring-Verlag, 2009: 56?68.

[5] Lim J, Oh H, Kim S. A new Hash-based RFID mutual authentication protocol providing enhanced user privacy protection[C]//Proceedings of the 4th Information Security Practice and Experience Conference. Berlin: Springer-Verlag, 2008: 278?289.

[6] 董玲, 陳克非. 密碼協議—基于可信任新鮮性的安全性分析[M]. 北京: 高等教育出版社, 2012: 84?88. DONG Ling, CHEN Kefei. Cryptographic protocol?based on trusted freshness security analysis[M]. Beijing: Higher Education Press, 2012: 84?88.

[7] Lopez P, Li P, Lim T, et al. Vulnerability analysis of a mutualauthentication scheme under the EPC class-1 generation-2 standard[J]. Computer Communications, 2009, 11(8): 1185?1193.

[8] Li T Wang. Security analysis of two ultra-lightweight RFID authentication protocols[C]//Proceedings of the IFIP TC-11 22ndInternational Information Security Conference. South Africa, 2007: 109?120.

[9] Avoine G, Carpent X. Strong Authentication and Strong Integrity (SASI) is Not That Strong[C]//The 6th International Workshop. Turkey: Istanbul, 2010: 50?64.

[10] ZHOU Shijie, ZHANG Zhen, LUO Zongwei. A lightweight anti-desynchronization RFID authentication protocol[J]. Information Systems Frontiers, 2010, 12(5): 521?528.

[11] 周永彬, 馮登國. RFID安全協議的設計與分析[J]. 計算機學報, 2006, 29(4): 581?589. ZHOU Yongbin, FENG Dengguo. Design and analysis of cryptographic protocols for RFID[J]. Chinese Journal of Computers, 2006, 29(4): 581?589.

[12] GAO Lijun, MA Maode, SHU Yantai, et al. Security protocol resistant to intermittent position trace attacks and desynchronization attacks in RFID systems[J]. Wireless Personal Communications, 2011, 68(4): 1943?1959.

[13] Avoine G, Carpent X. Strong Authentication and Strong Integrity (SASI) Is Not That Strong[C]//The 6th International Workshop. RFIDSec 2010. Turkey: Istanbul, 2010: 50?64.

[14] Hernandez-Castro J C. Wheedham: An automatically designed block cipher by means of genetic programming[C]//Evolutionary Computation2006. Vancouver, BC, 2006: 192?199.

[15] Nieh B B, Tavares S E. Modelling and analyzing cryptographic protocols using Petri nets[J]. Advances in Cryptology, 1993, 718(5): 275?295.

[16] Cho J S, Yeo S S, Kim S K. Securing against brute-force attack: A Hash-based RFID mutual authentication protocol using a secret value[J]. Computer Communications, 2011, 34(3): 391?397.

[17] Ndez-Mir A F, Castell-Roca J, Viejo A. Secure and scalable RFID authentication protocol[C]//Proceedings of the 5th International Workshop on Data Privacy Management. LNCS 6514. Berlin: Springer-Verlag, 2011: 231?243.

[18] 薛銳, 馮登國. 安全協議的形式化分析技術與方法[J]. 計算機學報, 2006, 29(1): 1?20. XUE Rui, FENG Dengguo. The approaches and technologies for formal verification of security protocols[J]. Chinese Journal of Computers, 2006, 29(1): 1?20.

(編輯 陳愛華)

Lightweight anti-desynchronization RFID mutual authentication protocol

JIA Qingxuan1, CHEN Peng1, GAO Xin1, WEI Lingyun1, WANG Xin1, ZHAO Bing2

(1. College of Automation, Beijing University of Posts and Telecommunications, Beijing 100876, China) 2. China Electric Prower Research Institute, Beijing 100192, China)

In researching the Lightweight authentication protocol in low-cost RFID applications, a kind of combinational desynchronization attack was proposed which could make the shared keys desynchronize without message manipulation, and a lightweight anti-desynchronized mutual authentication protocol, of which the state reachability was proved by the formal simulation with CPN tools was proposed. The results show that in addition to meeting the conventional security and privacy requirements, the proposed protocol is able to resist the combinational desynchronization attack in comparison with similar protocols. Since it can effectively save the RFID system’s computation overhead by decreasing the calculation times of the one-way Hash, the proposed protocol is more suitable for low-cost RFID applications than others.

radio frequency identification technology; RFID mutual authentication protocol; colored petri-net formal analysis; desynchronization attacks; privacy and security

10.11817/j.issn.1672-7207.2015.06.024

TN915.08

A

1672?7207(2015)06?2149?08

2014?04?13；

2014?07?20

國家重點基礎研究發展計劃(973計劃)項目(2012cb724400)；國家自然科學基金資助項目(61170268)(Project (2012cb724400) supported by the National Basic Research Program (973 Program) of China; Project (61170268) supported by the National Natural Science Foundation of China)

賈慶軒，教授，博士生導師，從事信息安全及無線傳感網研究；E-mail：cxy_freedom@bupt.edu.cn