新的輕量級RFID 雙向認證協議:PUF-LMAP+

朱 峰，白恩健,2

(1.東華大學 信息科學與技術學院，上海201620；2．數字化紡織服裝技術教育部工程研究中心，上海201620)

新的輕量級RFID 雙向認證協議:PUF-LMAP+

朱 峰1，白恩健1,2

(1.東華大學 信息科學與技術學院，上海201620；2．數字化紡織服裝技術教育部工程研究中心，上海201620)

隨著射頻識別(RFID)技術越來越廣泛的應用，其安全與隱私問題成為制約RFID技術的主要原因之一。為了降低標簽的成本，有一些基于位操作的超輕量級安全認證協議被提出，但僅僅利用位操作的超輕量級安全認證協議安全性不能很好保證。本文針對改進的LMAP+安全認證協議不能夠抵抗跟蹤攻擊和完全泄露攻擊的問題，融合物理不可克隆函數(PUF)提出新的輕量級算法，新算法能夠抵抗追蹤攻擊、完全泄露攻擊和標簽克隆攻擊等攻擊方法。

RFID；輕量級；改進的LMAP+；物理不可克隆函數

[3]提出了超輕量級雙向認證協議族(Ultra-lightweight Mutual Authentication Protocol,UMAP),包括最低要求雙向認證協議(Minimalist Mutual-Authentication Protocol，M2AP)、高效雙向認證協議(EfficientMutual Authentication Protocol，EMAP)和輕量型相互認證協議(Lightweight Mutual Authentication Protocol，LMAP)。這個協議族只需要簡單的位操作就可以完成認證協議，但這些協議無法抵抗去同步破壞攻擊和跟蹤攻擊。文獻[2]提出了輕量級強認證強完整性協議(Strong Authentication and Strong Integrity，SASI協議)，該協議擁有更強的完整性保障，但也不能抵抗拒絕服務攻擊和去同步攻擊[4]。針對SASI協議的缺點，文獻[5]提到了Gossamer協議，同時也指出該協議也存在拒絕服務攻擊和去同步攻擊。

針對LMAP不能抵抗的攻擊，不斷有學者對LMAP協議進行改進，但同時也陸續有學者指出改進的協議中仍存在缺陷。在2012年，Gurubani[6]等人在較完善的LMAP+協議的基礎上進行了改進，提出了新的協議，該協議僅使用按位加、按位異或等簡單的位運算，改進后的協議能夠抵抗跟蹤攻擊和去同步攻擊。2014年王超[7]等人針對改進的LMAP+協議提出跟蹤攻擊(在該文獻中用的是追蹤攻擊)以及由跟蹤攻擊發展而來的完全泄露攻擊。

本文針對文獻[7]提出的攻擊，對改進的LMAP+協議進行進一步的改進，在原有的協議中融入物理不可克隆函數(Physical Unclonable Function，PUF)后提出新協議并對新協議進行安全性分析。結果表明新協議能夠抵抗追蹤攻擊、完全泄露攻擊和標簽克隆攻擊等其他攻擊方法。

1 改進的LMAP+和PUF

1.1 改進的LMAP+

2012年，Gurubani[6]等人分析了所提出的跟蹤攻擊和去同步攻擊后，在原有的LMAP+協議上添加了一項密鑰信息K3，并且在整個認證過程中沒有涉及到標簽的ID，對在閱讀器和標簽之間相互認證的傳輸數據表達式和最后的更新表達式都進行了改進。在改進的LMAP+中僅使用了位加、位異或等位操作，而且假設閱讀器與后臺數據庫之間傳輸信息是安全的。

2014年，王超[7]等人提出針對改進LMAP+協議的基于模擬退火算法的攻擊策略，并對該協議進行安全性分析，通過自定義評價函數，以啟發式算法的思想，使猜測數據逐漸逼近真實秘密數據，從而完成跟蹤攻擊和在跟蹤攻擊上衍生出來的完全泄漏攻擊。

1.2 PUF

為了提高RFID系統的安全性，大部分安全認證協議都采用加密算法或哈希函數來實現。但是這些協議需要一定的硬件成本才能實現加密運算過程。即使對于簡化之后的哈希運算而言，加密運算過程也至少需要1 700個等效門[8]。因此盡管這些協議有較高的安全性，但是它們很難應用于低成本的RFID系統中，并且應用擴展性也較低。同時采用這些安全協議的RFID系統也難以抵抗一些不良攻擊，如無法抵抗物理攻擊和標簽克隆等。攻擊者可以通過解剖芯片的方式獲取標簽內部存儲的密鑰，在此基礎上進行芯片的反向設計實現標簽的克隆。物理不可克隆功能[9]的出現能有效解決上述問題。PUF是一組微型延遲電路，當收到一個隨機的二進制輸入之后，會生成一個唯一的、隨機的二進制序列作為響應。由于芯片制造過程中產生的差異本身具有不可模仿和復制的特性，所以每個芯片中的PUF電路可以生成無限多個、唯一的、不可預測的“密鑰”。即使是芯片的制造廠商也不可能從另外一個芯片上復制出一套一模一樣的響應序列。所以，如果在標簽芯片內部集成一個PUF模塊，則該標簽就具有反克隆的功能，同時PUF 唯一的響應序列也可以用來對標簽進行認證。而且PUF 電路所需的硬件開銷很小，一個64 位的PUF 電路大概需要545個等效門電路[9]，大大少于簡化后的Hash 運算和MD5等加密電路。正是由于PUF的這些特點，使得利用PUF 來設計RFID 認證協議成為一個新的研究熱點。

但是單獨使用PUF也存在一定的安全問題，每個標簽需要預先在后臺數據庫中存儲大量的響應對，如果標簽數量很多，后臺數據庫在對標簽進行安全認證的時候就要進行大量的查找，從而會降低整個系統安全認證的效率。另外，由于認證過程中沒有隨機數，標簽容易被攻擊者跟蹤。

本文針對上述安全問題提出了新的PUF-LMAP+協議，新協議不僅能夠克服上述沒有融合PUF時的安全問題，而且能夠滿足低成本要求，依然屬于輕量級安全認證協議。

2 新輕量級安全認證協議PUF-LMAP+

PUF-LMAP+協議在LMAP+的基礎上融合了PUF技術，不僅能夠解決上述的安全問題，而且還能夠抵抗克隆攻擊等一些其他攻擊。新協議作了如下的改進：

(1)為了降低RFID系統成本，只在標簽芯片內部集成一個PUF模塊(以下部分將PUF模塊當成一個PUF函數來使用)，PUF的特性使標簽能夠抵抗克隆攻擊。

(2)在后臺數據庫中除了要提前存儲LMAP+算法中所存儲的信息外，還要存儲PUF函數的兩個輸出量，而PUF函數的兩個輸入量則為共享密鑰對。而且經過PUF模塊后兩個輸出量是唯一的。

(3)為了降低RFID系統的成本，將閱讀器中的隨機數產生器(Pseudo-random Number Generator，PRNG)改用線性反饋移位寄存器(Linear Feedback Shift Registers，LFSR)，在文獻[3]中已經提到LFSR也能產生隨機數，并且其等效門比PRNG的等效門要少一些。

(4)在文獻[10]中闡明了用模2m不能夠抵抗由信息量的最低位引起的跟蹤攻擊，而用模2m-1能夠抵制上述攻擊，所以也將新協議中凡是用到模2m的地方都改用模2m-1。

表1 新算法符號與說明

(1)

(2)

(3)

圖1 新算法具體認證過程

為了提高隨機性，閱讀器每次在產生隨機數l時隨意選擇j等于1或2。

圖1中的A、B、C、D和E具體表達式如下：

(4)

(5)

(6)

(7)

(8)

新協議的具體流程如下：

(9)

(10)

(11)

(12)

(13)

(14)

3 PUF-LMAP+安全性分析

(4)中間人攻擊：在閱讀器認證標簽時會發送A和B，攻擊者可以攔截A和B后對兩者進行更改，然后再傳給標簽。但是在協議中標簽會根據A的表達式和存儲的信息量來計算隨機數得l1，再根據B的表達式和存儲的信息量來計算隨機數得l2，判斷l1和l2是否相等來判斷是否有中間人攻擊。在標簽認證閱讀器時會發送C、D和E,而表達式E也是用來驗證C和D是否受到中間人攻擊。因此該新算法能夠抵抗中間人攻擊。

(5)克隆攻擊：攻擊者可以利用物理方法來復制標簽存儲的信息來克隆出一個合法的標簽，但在新協議的認證過程中使用到PUF函數的輸出量來進行安全認證。由于PUF函數的特殊性，攻擊者想要模擬PUF函數的輸出量是很困難的。因此新協議能夠抵抗克隆攻擊。

4 結論

本文首先分析了改進的LMAP+算法并且指出其存在的安全問題。為了解決這些安全問題，在標簽中融合PUF模塊，提出新的PUF-LMAP+協議。分析表明新協議能夠解決文獻[7]中所提出的安全問題(跟蹤攻擊和完全泄露攻擊)，PUF模塊為新算法提供了防止硬件復制篡改的特性。

參考文獻

[1] 劉彥龍,白煜,滕建輔.RFID 分布式密鑰陣列認證協議的安全性分析[J].計算機工程與應用,2014,50(16):72-76.

[2] CHIEN H Y．SASI：a new ultra-lightweight RFID authentication protocol providing strong authentication and strong integrity[J]．IEEE Transactions on Dependable and Secure Computing，2007，4(4)：337-340.

[3] 高樹靜.低成本無源RFID安全關鍵技術研究[D].濟南：山東大學，2012.

[4] RAPHAEL C W. Cryptanalysis of a new ultra-lightweight RFID authentication protocol-SASI[J]. IEEE Transactions on Dependable and Secure Computing, 2009, 6(4):316-320.

[5] TAQIEDDIN E,SARANGAPANI J. Vulnerability analysis of two ultra-lightweight RFD authentication protocols: RAPP and gossamer[C].The 7th International Conference for Internet Technology and Secured Transactions,2012:80-86.

[6] GURUBANI J B, THAKKAR H, PATEL D R. Improvements over extended LMAP+: RFID authentication protocol[C]. In: IFIP Advances in Infoomation and Communicatioh Fechnology， 2012: 225-231.

[7] 王超,秦小麟,劉亞麗.對改進LMAP+協議的啟發式攻擊策略[J].計算機科學,2014,41(5): 143-149.

[9] BOLOTNYY L,ROBINS G. Physically unclonable function-based security and privacy in RFID systems[C]. Pervasive Computing and Communications, Fifth Annual IEEE International Conference on, 2007:211-220.

[10] Huang Anqi, Zhang Chen, Tang Chaojing. Another improvement of LMAP++: a RFID authentication protocol[J].Communications in Computer and Information Science,2014(426):100-106.

德州儀器為中國多家領先互聯網企業帶來創新的物聯網解決方案

2016年1月4日(北京訊)德州儀器 (TI) (NASDAQ: TXN)日前宣布其與騰訊、百度、阿里巴巴及京東四家中國領先的互聯網企業建立了IoT合作伙伴關系。通過久經行業驗證的低功耗和超低功耗SimpleLinkTM無線MCU產品組合，TI針對四家企業的不同IoT應用提供了多種創新的無線連接解決方案。SimpleLinkTM產品組合包括面向廣泛嵌入式市場的無線MCU、無線網絡處理器 (WNP) 、RF收發器和距離擴展器，能夠簡化IoT應用的開發并輕松實現萬物互聯。憑借對Bluetooth?Smart、Wi-Fi?、Sub-1 GHz、6LoWPAN、ZigBee?等多達14項無線連接標準的支持，該產品組合可幫助生產商將無線連接功能輕松添加至任何產品和設計中，并滿足所有的應用需求。

作為中國領先的互聯網綜合服務提供商，騰訊所推出的社交軟件微信已經成為主流的在線溝通工具。作為此次TI與騰訊的合作項目之一，微信將指定TI作為其Bluetooth Smart以及Wi-Fi?芯片的供應商，其終端用戶可以在TI的無線芯片上實現AirKiss和AirSync協議，并接入騰訊推廣的微信硬件平臺。未來，微信還希望將其合作論壇的一部分權限開放給TI，讓TI的技術工程人員能夠在論壇上為開發者提供支持，共同打造更多的創新應用。

CC2541是一款針對Bluetooth Smart以及2.4-GHz私有協議應用功率優化的片上系統 (SoC) 解決方案。其所提供的超低能耗特性能夠幫助客戶在僅需極低物料成本投入的情況下建立強健的網絡節點；TI SimpleLink CC2640無線MCU則是一款面向Bluetooth Smart應用的無線MCU，可支持廣泛的Bluetooth Smart應用，其中包括用于保健、健身和醫療的可穿戴設備、手機配件、信號臺及工業自動化等；SimpleLink CC3200 器件是一款集成了高性能ARM Cortex-M4 MCU的無線MCU，使得客戶能夠用單個集成電路 (IC) 開發整個應用。借助片上Wi-Fi、互聯網和穩健耐用的安全協議，無需之前的Wi-Fi經驗即可實現前所未有的快速開發。TI的SimpleLink Bluetooth Smart無線MCU CC2541與CC2640被廣泛應用于阿里巴巴的商場定位導航應用，而TI的Wi-Fi CC3200無線MCU也在終端用戶處接入了阿里云，未來還將推進在阿里云上的藍牙應用接入。同時，CC3200還被應用于針對京東金融的京東云中，TI將攜手京東智能(原京東旗下的NSNG子公司)共同開發新一代的京東云。

在與百度的合作中，雙方共同致力于在IoT領域推動垂直行業標準化的制定以及物聯網產業的發展，并將TI的硬件優勢與百度的軟件技術進行整合，以實現結構更為整體化、體驗更加順暢的物聯網基礎建設。此外，TI還希望與百度在IoT OS等方面展開進一步的合作，并成立相關的OS聯盟，以企業的發展需求和各方的共同利益為基礎，一起打造智能、完整的物聯網軟件棧，提升物聯網產業技術創新能力。

(TI公司供稿)

A new lightweight mutual authentication protocol for RFID: PUF-LMAP+

Zhu Feng1，Bai Enjian1,2

(1.College of Information Science and Technology，Donghua University，Shanghai 201620，China；2.Engineering Research Center of Digitized Textile and Fashion Technology，Ministry of Education，Shanghai 201620，China)

With the wide usage of radio frequency identification (RFID), its security and privacy have become the main problems which restrict the development of the technology.Some ultra-lightweight RFID authentication protocols have been proposed. They only involve simple bite-wise operations in order to reduce the cost of the tag. However, their protocols are unable to guarantee the strong security property. What is more, the improved LMAP+ protocol is proven to be vulnerable to the tracking and full disclosure attacks. In this paper, we propose a new protocol which combines the improved LMAP+ with the physical unclonable function (PUF).Through analysis, the new protocol can prevent the tracking, the full disclosure, the cloning and other attacks.

Radio Frequency identification；lightweight；improved lightweight mutual authentication protocol+；physical unclonable function

TN918.91

A

1674-7720(2016)01-0001-04

朱峰,白恩健. 新的輕量級RFID 雙向認證協議:PUF-LMAP+ [J] .微型機與應用，2016,35(1)：1-4.

0 引言

2015-10-11)

朱峰(1990-)，通信作者，男，在讀碩士生，主要研究方向：射頻識別防碰撞和安全。E-mail:zhufeng511@126.com

白恩健(1977-)，男，博士，副教授，主要研究方向：保密通信、網絡安全、物聯網安全等。

隨著RFID應用范圍的不斷擴大，其安全與隱私問題也得到越來越廣泛的重視。現有的RFID系統安全技術可以分為兩大類[1]：一類是通過物理方法保證標簽與閱讀器之間通信的安全；另一類是通過邏輯方法增加標簽安全機制。物理方法由于缺乏靈活性而很難在標簽中廣泛使用，因此邏輯方法得到廣泛的關注。邏輯方法[2]主要包含超輕量級安全認證協議(僅采用位運算)、輕量級安全認證協議(偽隨機數發生器和簡單的函數運算)、中量級安全認證協議(隨機數產生器和Hash 函數)和重量級安全認證協議(對稱或非對稱加密函數)。

盡管重量或中量級安全認證協議有很好的安全和隱私保護，但是由于受到成本的制約，標簽計算能力和存儲能力受到一定限制。因此重量或中量級安全認證協議很難廣泛應用于實際當中。設計安全、低成本和輕量級的RFID雙向認證協議是非常值得研究的一個課題。