基于安全虛S-盒的RFID系統密鑰管理機制研究

劉揚，徐明明，尹毅峰

（鄭州輕工業學院計算機與通信工程學院，鄭州　450001）

基于安全虛S-盒的RFID系統密鑰管理機制研究

劉揚1，徐明明2，尹毅峰3

（鄭州輕工業學院計算機與通信工程學院，鄭州450001）

RFID系統包含對象數量龐大，實現安全的數據傳輸離不開大量密鑰的分發、存儲與銷毀。將基于對稱密鑰加密的，可以同時完成通信雙方身份認證與密鑰協商的安全虛-S盒技術進行相應改進，結合RFID系統安全的需求，設計一個針對RFID系統的密鑰管理機制。新的機制由會話雙方協商出的安全虛S-盒為RFID系統的通信快速的產生大量隨機的會話密鑰，且不需要可信第三方的參與。

RFID系統；密鑰管理；安全虛S-盒

國家自然科學基金資助項目（No.61272038、No.61572445）、鄭州輕工業學院研究生科技創新基金項目（No.201330）

0　引言

近年來RFID系統在物流、醫療、交通等方面的應用技術不斷被開發和完善。用戶的安全與隱私問題越來越受到人們的關注。雖然系統的規模不斷擴展，安全需求不斷復雜化，多元化，然而智能終端低成本高實時性，高并發性卻限制了RFID安全機制的構建，使RFID安全成為研究的熱點和難點。

RFID系統不但包含隸屬各個機構或個人的閱讀器，更包含了數量龐大的RFID標簽。目前針對RFID安全系統的數據存儲主要分為兩類，第一類由標簽和后臺數據庫同時存儲秘密信息和標簽標識，每對標簽進行一次讀寫操作，都會進行密鑰更新以抵御重放攻擊，此類存儲方式常用于銀行卡，校園卡等金融射頻卡[1]中；第二類只有后臺服務器存儲標簽秘密信息，通過閱讀器向后臺數據庫轉發標簽回復信息，在通過服務器授權通過的條件下可以獲得服務器發送的自身所讀標簽的秘密信息[2]。顯然，對于大規模部署的低成本的RFID標簽，應該承擔更少的加解密運算量和關鍵信息的保存，因此，第二種存儲結構更易于保護用戶隱私，并且針對第二種存儲結構的系統密鑰管理機制相對簡便，更具有擴展性。

本文基于提出的安全虛S-盒技術[3]，針對實際的RFID系統進行了移植與改進，通過在后臺服務器與閱讀器之間建立安全快速的數據傳輸通道，設計出了無需可信第三方的密鑰管理機制，利用通信雙方協商的安全虛S-盒，快速的產生大量滿足密碼學特性的會話密鑰，并且在每一輪會話完成后重新協商，可免于重放攻擊，用于低成本標簽RFID系統中閱讀器與后臺數據庫之間關于標簽秘密信息的安全傳輸。

1　系統模型設計

1.1安全虛S-盒協商方案

安全虛S-盒是基于對稱密碼理論設計的一種快速的密鑰協商方案，通過通信雙方的一次交互，可以快速生成一個參數相同且由通信雙方共享的安全S-盒。在基礎理論方面結合了Diffie-Hellman的密鑰交換方式，同時安全虛S-盒的安全性是基于多態性密碼的自編譯系統的不可讀性[4]。如果存在敵手對傳輸中的數據進行密碼分析，將會啟動自編譯系統，所得出的參數已不再是最初的參數，因此不能得到對方的數據。

將安全虛S盒的協商方案介紹如下：

（1）假設通信的雙方分別是Alice和Bob，他們各自擁有一個安全的控制密鑰ka和kb，用來調用置換函數構造安全子算法集。此算法集沒有被注入另一組隨機參數時，不具備完整S-盒的混淆和置換功能。

（2）Alice和Bob擁有相同的候選單向函數構造的自編譯器；

（3）Alice和Bob利用各自的通信狀態產生自己的隨機參數組pa和pb；

構造安全S-盒的步驟如下：

①雙方采用相同的自編譯器結合Hash映射，利用各自的控制密鑰加密各自產生的包含自身通信狀態的隨機參數組pa和pb，得到各自的輸出數組xa和xb；

②Alice將得到的輸出數組帶入偽隨機數發生器，得到左半S-盒Sa=（xa，Y）；

③同理，Bob利用自身的輸出數組得到右半S-盒Sb=（X，yb）；

④雙方利用公開信道交換各自生成的半個S-盒；

⑤雙方將自身的輸出數組帶入收到的半個S-盒，得到一個用于生成會話密鑰的完整的S-盒S（a，b）=（xa，yb）；

1.2RFID系統的密鑰管理

密鑰管理通常包含密鑰的生成、儲存、保護、分配、驗證、使用和銷毀，也就是負責管理在密鑰的整個生存周期內的安全性和實用性[5]。由于當前的密碼算法通常是公開的，因此當密碼算法確定下來之后，整個系統的保密程度取決于密鑰的保密性[6]。密鑰管理也因此成為了整個系統安全的決定因素。傳統的基于RFID的密鑰管理系統多是針對智能IC卡的密鑰管理系統，主要包括發卡機構，由可信第三方組成的驗證機構，由系統管理員，領導者等組成的多級的密鑰分發機制等。這樣的密鑰管理系統多應用于銀行儲蓄卡、門禁系統、校園卡系統等相對安全需求等級較高且用戶不大可能出現高并發性的場景中。而針對供應鏈，圖書管理系統這些RFID標簽數量龐大，且對象分布集中的場景。一方面，系統的成本限制在RFID標簽上不能采用高計算復雜度的加密措施，另一方面，由于標簽的流動性以及標簽通常以群組的形式出現，造成系統的高并發性，導致此類低成本標簽的密鑰管理不太可能做到為每一個標簽設置唯一的密鑰并由密鑰管理中心進行安全存儲。因此我們假設系統的閱讀器與標簽端采用現行的低成本標簽的國際標準ISO/IEC 18000-6C[7]，在閱讀器與后端服務器之間嵌入改進的安全虛S-盒來實現對低成本RFID系統的密鑰管理。整個RFID密鑰管理機制模型框圖如圖1。

圖1　密鑰管理機制整體框圖

將安全虛S-盒嵌入到后端服務器以及閱讀器中，構成一個臨時密鑰管理機制，在閱讀器登錄后臺服務器時建立，閱讀器完成標簽掃描時斷開連接，隨機銷毀會話密鑰和控制密鑰。與傳統的密鑰交換協議相比，不需要大量的控制密鑰以及會話密鑰的秘密分發與存儲，也不需要額外的可信第三方來發布證書并進行各個機構的證書的管理[8]。

2　方案的具體實現

針對虛S-盒技術中的限制與需求，結合RFID系統的特性對整體的密鑰協商方案進行改進。我們采取在構造S-盒的過程中加入閱讀器和服務器的身份信息的方法，在協商S-盒的同時完成身份認證。假設合法的閱讀器擁有自己的標識IDi和對應的控制密鑰kR以及認證口令μi，后臺服務器的數據庫中存儲所有合法閱讀器的標識和對應的口令μ以及自身的控制密鑰kD。所有的閱讀器和后臺服務器都擁有相同的公開的虛擬迭代函數S（X，Y）和含有自編譯系統的單向Hash函數HS（）。具體的協商過程如圖2所示。

①需要建立會話的閱讀器和后臺服務器利用網絡節點數據流的隨機性各自抓取四個隨機數連同自己的私鑰構成一個五元數組作為新的私鑰組KR[5]={kR，rR1，rR2，rR3，rR4}和KD[5]={kD，rD1，rD2，rD3，rD4}。

圖2　方案具體流程圖

②閱讀器將得到的五元組私鑰帶入含自編譯系統的單向函數HS（）得到部分參數KRp[4]={kR⊕HS（rR1），kR⊕HS（rR2），kR⊕HS（rR3），kR⊕HS（rR4）}，帶入雙方共有的虛擬迭代函數S（X，Y）得到左半S-盒Sa=S（kR⊕HS（rR1），kR⊕HS（rR2），kR⊕HS（rR3），kR⊕HS（rR4），Y）；同樣的，后端服務器將生成的五元組私鑰帶入含自編譯系統的單向函數HS（）得到另一部分參數KDp[4]={kD⊕HS（rD1），kD⊕HS（rD2），kD⊕HS（rD3），kD⊕HS（rD4）}，帶入雙方共有的虛擬迭代函數得到右半虛S-盒Sb=S（X，kD⊕HS（rD1），kD⊕HS（rD2），kD⊕HS（rD3），kD⊕HS（rD4））；

③閱讀器和后端服務器利用以太網的公開信道將各自生成的半個S-盒發送給對方；

④閱讀器收到服務器發來的右半虛S-盒Sb后，將自身的參數KRp[4]帶入右半虛S-盒，得到完整的虛S-盒S=S（KRp[4]，KDp[4]）=S（kR⊕HS（rR1），kR⊕HS（rR2），kR⊕HS（rR3），kR⊕HS（rR4），kD⊕HS（rD1），kD⊕HS（rD2），kD⊕HS（rD3），kD⊕HS（rD4））；同理，服務器收到閱讀器發來的左半虛S-盒Sb后，將自身參數KDp[4]帶入左半虛S-盒，得到相同的完整的虛S-盒；自此，雙方虛S-盒協商完成；

⑤閱讀器和后端服務器利用協商出的安全虛S-盒產生周期很長的加密序列，此時待認證的閱讀器發送經過與加密長周期序列XOR操作后的自身標識IDi和認證口令μi給數據服務器；

⑥數據服務器利用收到的密文再與自身產生的S-盒加密序列異或，得到當前請求認證的閱讀器的標識和口令，在數據庫中查找是否有符合要求的二元組{ID，μ}，如果有，返回認證通過指令，反之，斷開連接；

⑦當閱讀器認證通過后，向服務器發送掃描的標簽標識，由服務器閱讀器查詢標簽信息并反饋給閱讀器；

⑧完成掃描范圍內的標簽認證，進入靜默狀態，服務器自動銷毀之前產生的隨機參數組以及私鑰組，準備進入下一輪會話。

3　安全性分析及性能評估

假設一個潛在的敵手企圖通過竊聽公開信道上傳輸的信息來破解雙方協商的虛S-盒，即通過獲取任意一方的私鑰以及隨機種子，來破譯通信雙方協商生成的虛S-盒，從而試圖獲取整個會話的密鑰生成系統。由于在某一瞬間通信雙方從網絡中獲取的隨機數不能再次獲取，因此，即使敵手獲取了通信雙方的密鑰也不能猜測出他所需要的隨機數種子。

如果敵手假冒通信的其中一方試圖實施中間人攻擊也是不能實現的。因為無論如何，攻擊者只能獲取半個虛S-盒，因此不可能獲得與通信雙方同步的產生會話密鑰的虛S-盒，此外，服務器和閱讀器之間的認證還依賴于閱讀器存儲的和自身標識對應的口令μ，敵手不能獲取會話密鑰也就意味著虛S-盒協商完成后發送的閱讀器的口令是安全的，不可被敵手或取的。

相比一般的加密算法，安全虛S-盒繼承了普通S-盒計算速度快，能快速生成大量長周期滿足密碼學特性的密鑰序列的特性。結合RFID系統的匯聚節點數據量大、高實時性、高并發行的特點，改進的虛S-盒協商及認證方案適用于閱讀器與服務器之間的密鑰管理。

4　結語

本文基于安全虛S-盒技術，針對實際的RFID系統進行了移植與改進，通過在后臺服務器與閱讀器之間建立安全快速的數據傳輸通道，設計出了無需可信第三方的密鑰管理機制，利用通信雙方協商的安全虛S-盒，快速的產生大量滿足密碼學特性的會話密鑰，并且在每一輪會話完成后重新協商，可免于重放攻擊，本方案可用于低成本標簽RFID系統中閱讀器與后臺數據庫之間關于標簽秘密信息的安全傳輸，在供應鏈以及圖書管理系統中具有很大的實用價值。

[1]范春鵬.金融IC卡密鑰管理系統的設計與實現[D].北京交通大學，2015.

[2]付小麗.高效的RFID安全協議研究與設計[D].武漢理工大學，2011.

[3]Yin Y，Gan Y，Wen H，et al.A Symmetric Key Exchange Protocol Bsaed on Virtual S-Box[J].中國通信（英文版），2014，11（s2）:46-52.

[4]尹毅峰.基于多態性密碼的S-盒安全機制研究[D].西安電子科技大學，2009.

[5]WENBO MAO（美）.現代密碼學理論與實踐[M].電子工業出版社，2004.

[6]卓麗，耿夫利，王艷艷.信息加密算法研究[J].科教導刊:電子版，2015（18）:175-175.

[7]EPCglobal，UHF Class 1 Gen 2 Standard v.2.0.1[S].Globe standard 1，2013.

[8]徐陽.物聯網密鑰管理和認證技術研究[D].南京理工大學，2015.

RFID System;Key Management Mechanism;Safety Virtual S-Box

Research on Key Management Mechanism of RFID System Based on Safety Virtual S-Box

LIU Yang，XU Ming-ming，YIN Yi-feng

（College of Computer and Communication Engineering，Zhengzhou University of Light Industry，Zhengzhou 450001）

RFID system contains a large number of objects,to obtain safety data transmission requires the distribution,storage and destruction of a plenty number of keys.Based on safety virtual S-box which is used for symmetric key encryption algorithm and can simultaneously complete the identity authentication with key agreement of both sides of the conversation.According to the requirement of RFID system security,designs a key management mechanism for RFID system.The new mechanism can generate a large number of randomized session keys in a short time by safety virtual S-box,while does not require the participation of trusted third party.

1007-1423（2016）32-0003-04

10.3969/j.issn.1007-1423.2016.32.001

劉揚（1992-），女，河南鄭州人，碩士研究生，研究方向為物聯網安全

徐明明（1991-），男，河南許昌人，碩士研究生，研究方向為物聯網安全

尹毅峰（1971-），男，河北饒陽人，博士，教授，研究方向為信息安全與密碼學

2016-09-23

2016-11-10

1007-1423（2016）32-0007-06

10.3969/j.issn.1007-1423.2016.32.002