適用于RFID的輕量級密碼算法研究綜述

汪 亞 魏國珩

(海軍工程大學(xué)信息安全系 湖北 武漢 430033)

適用于RFID的輕量級密碼算法研究綜述

汪 亞 魏國珩

(海軍工程大學(xué)信息安全系 湖北 武漢 430033)

隨著物聯(lián)網(wǎng)技術(shù)的飛速發(fā)展和普及，RFID等資源受限設(shè)備的安全性受到越來越多的重視，關(guān)于此類設(shè)備應(yīng)用的輕量級密碼算法成為近些年的研究熱點。針對適用于RFID設(shè)備的輕量級密碼算法在研究進展、設(shè)計方法和安全性分析方面作了綜述。介紹了輕量級密碼設(shè)計中的常用方法和關(guān)鍵問題，對目前能夠應(yīng)用于RFID設(shè)備的典型輕量級算法進行了歸納總結(jié)，闡述了針對輕量級密碼常用的安全性分析方法，突出旁路攻擊對算法的威脅，并對一些算法的實現(xiàn)性能進行了對比。最后進一步闡明了當(dāng)前及今后輕量級密碼研究中要解決的問題及可能的研究方向。

RFID 輕量級密碼算法 安全性分析

0 引 言

隨著物聯(lián)網(wǎng)技術(shù)的推廣及RFID等微型計算設(shè)備應(yīng)用的普及，計算和信息交互已經(jīng)可以在更小、計算能力更有限的設(shè)備中進行。在物聯(lián)網(wǎng)領(lǐng)域，無線射頻識別RFID技術(shù)被廣泛應(yīng)用到各個行業(yè)，它所具有的成本低、效率高的特點使得RFID標(biāo)簽越來越受歡迎。這類設(shè)備的計算能力、存儲空間和能量來源都非常有限，信息交互也是在無線信道中進行，因此，如何提高RFID在信息傳輸進程中的安全性，成為日益重要的研究課題。

給信息加密是目前較為有效的保障信息安全性的方法。經(jīng)典的加密算法如AES、DES等加密強度高，算法安全性好，但是強度越高，算法實現(xiàn)起來就要消耗越多的資源，耗費越多的時間。RFID標(biāo)簽不同于傳統(tǒng)的高性能計算機和臺式機，它的存儲空間較小，計算能力和電量儲存能力也相對較弱，資源極端受限，顯然傳統(tǒng)復(fù)雜的加密算法對這種低功耗低成本的設(shè)備是不適用也是不必要的，因此輕量級密碼算法便應(yīng)運而生，并受到人們?nèi)找鎻V泛的關(guān)注。輕量級密碼算法是為了適應(yīng)物聯(lián)網(wǎng)環(huán)境下，射頻識別標(biāo)簽、智能卡等設(shè)備資源相對受限的限制，而提出的一種功耗低、占用門數(shù)少的密碼算法[1]。與傳統(tǒng)的密碼算法相比，輕量級算法在計算時消耗更少的資源、擁有更高的效率，非常適用于RFID等計算能力有限的微型設(shè)備使用。近幾年來，隨著物聯(lián)網(wǎng)的安全問題日益嚴(yán)峻，輕量級密碼算法的研究取得豐碩成果，國際標(biāo)準(zhǔn)化組織也正在制定輕量級算法的相關(guān)標(biāo)準(zhǔn)，包括輕量級的序列密碼算法、分組密碼算法和雜湊算法等。無論是序列密碼還是分組密碼，都屬于對稱密碼算法，對稱密碼和非對稱密碼最大的不同就是只有一個密鑰，輕量化實現(xiàn)起來比較容易。非對稱密碼加密時使用公鑰，解密時使用私鑰，增加了實現(xiàn)輕量化的難度，所以很少有非對稱的加密算法能夠?qū)崿F(xiàn)絕對的輕量化[2]。本文在參考大量文獻的基礎(chǔ)上歸納和總結(jié)了輕量級密碼算法的研究進展，首先闡述輕量級密碼在設(shè)計與實現(xiàn)過程中使用的方法、遵循的原則以及要達到的目標(biāo)；隨后介紹了一些典型的能夠用于RFID的輕量級密碼；其次總結(jié)了針對輕量級密碼算法的常用攻擊方法；接著在這些攻擊方法的基礎(chǔ)上總結(jié)針對典型輕量級算法常用的安全性分析方法；最后概括出輕量級密碼今后發(fā)展必須解決的問題和可能的發(fā)展方向。

1 輕量級密碼算法的設(shè)計與實現(xiàn)

很多非輕量級的密碼算法在設(shè)計時只考慮安全性，忽略了實現(xiàn)起來所消耗的資源，導(dǎo)致這些算法無法在資源受限的設(shè)備中使用。與其它資源受限設(shè)備相比，RFID標(biāo)簽有其自身特點，輕量級密碼算法在標(biāo)簽中的應(yīng)用場合也有所不同，首先從硬件上來看，通常RFID標(biāo)簽有1000到10 000 GE(等效門，也稱等價門，表示為完成一個電路功能而與制造技術(shù)相互獨立的邏輯門數(shù)量)，但可用于實現(xiàn)安全性的組件只有200到2000 GE。在標(biāo)簽使用過程中，讀寫器向外發(fā)送信號，大部分標(biāo)簽都是從信號產(chǎn)生的磁場中獲取能量進行激活，因此標(biāo)簽是低功耗的，同時，標(biāo)簽與讀寫器之間的通信是在無線信道中進行的，這種方式很容易被竊聽和干擾，最終導(dǎo)致用戶無法接收到正確信息或非法用戶對標(biāo)簽進行偽造，從而達到欺騙用戶的目的。因此，針對以上特點和應(yīng)用場景，RFID標(biāo)簽對輕量級密碼算法有其自身的不同需求。近年來，針對RFID這類設(shè)備的特點，相關(guān)人員做了很多工作來實現(xiàn)算法的輕量化。主要有以下兩種方法。

通過減少加密過程中的輪數(shù)來減少算法實現(xiàn)起來的能量消耗。這種方法主要針對分組加密算法，本質(zhì)上，分組密碼是一種帶有密鑰的有限輪置換，它的安全性體現(xiàn)在對明文的反復(fù)代換上，每一次代換稱為一輪，因此減少加密的輪數(shù)便可實現(xiàn)算法的輕量化。其次，通過減少密鑰的長度可以降低實現(xiàn)起來的復(fù)雜度。在對稱密碼算法中，加密強度的高低往往由密鑰的長度決定，針對某些算法適當(dāng)減少密鑰長度可實現(xiàn)算法的輕量化。

目前的輕量級密碼算法在設(shè)計時針對不同的應(yīng)用平臺，有主要面向硬件實現(xiàn)的、主要面向軟件實現(xiàn)的和綜合考慮軟硬件的混合設(shè)計。面向RFID的輕量級密碼算法設(shè)計大部分都是結(jié)合軟硬件二者的優(yōu)點的混合設(shè)計，在設(shè)計過程中主要有三個指標(biāo)需要考慮：安全、成本和效率[3]，側(cè)重點越不同，算法實現(xiàn)起來的差異就越明顯，它們?nèi)叩恼壑嘘P(guān)系如圖1所示。

圖1 安全、成本和效率的折中關(guān)系

由圖1中可以看出，安全、成本和效率中任意兩者的平衡都受到一個因素制約，代換的輪數(shù)會影響安全和效率之間的平衡，密鑰的長度會影響安全和成本之間的平衡，算法的結(jié)構(gòu)則會影響成本和效率之間的平衡。在設(shè)計輕量級的密碼算法時，優(yōu)化其中的任意兩個：安全和成本、成本和效率或安全和效率比較容易，因為只需要考慮一個因素，但是如果要在三個目標(biāo)之間找到一個平衡點則存在一定的難度。因此，在設(shè)計輕量級的密碼算法時，要結(jié)合它的應(yīng)用環(huán)境來滿足不同的需求，日常使用的大部分RFID標(biāo)簽都是低成本的、一次性的，例如電子門票這種應(yīng)用到RFID標(biāo)簽的只需要在某一時間段內(nèi)保證其安全性就可以。

2 輕量級密碼算法

依據(jù)當(dāng)前的應(yīng)用環(huán)境和研究趨勢，輕量級密碼的研究主要集中在分組密碼、序列密碼和散列函數(shù)這三種算法上，但也有少部分的非對稱加密算法經(jīng)過驗證實現(xiàn)了輕量化。

2.1 分組密碼

輕量級分組密碼是研究最早也是很有研究價值的輕量級密碼算法，因為它具有兩個典型的安全結(jié)構(gòu)：Feistel結(jié)構(gòu)和SP網(wǎng)絡(luò)結(jié)構(gòu)，使用Feistel結(jié)構(gòu)的算法在加密和解密過程中的結(jié)構(gòu)相同，SP網(wǎng)絡(luò)結(jié)構(gòu)有兩層，“S”稱作混淆層，“P”稱作擴散層，SP結(jié)構(gòu)與Feistel結(jié)構(gòu)相比，最大的優(yōu)點是密碼擴散快。輕量級分組密碼無論在實現(xiàn)效率還是在運行功耗上都比傳統(tǒng)的AES等高強度加密算法具備明顯優(yōu)勢，非常適合RFID等物聯(lián)網(wǎng)微型設(shè)備使用。這些輕量級分組密碼有的是在傳統(tǒng)的分組密碼如AES等基礎(chǔ)上的簡化，有的是對算法實現(xiàn)組件的改進，如DESL[4]就是用一個全新的S盒替換掉DES中原來的8個S盒，從而大大減少了實現(xiàn)安全組件的等效門數(shù)，此外還有其他新設(shè)計的輕量級分組密碼算法，這些算法主要有三種結(jié)構(gòu)：Feistel網(wǎng)絡(luò)結(jié)構(gòu)、SP結(jié)構(gòu)和其他結(jié)構(gòu)。有些算法在硬件實現(xiàn)需求上超過了2000 GE，無法應(yīng)用到RFID標(biāo)簽中，一些典型的符合RFID標(biāo)簽實現(xiàn)需求的算法包括：SEA[5]、PRESENT[6]、KATAN/KTANTAN[7]、mCrypton[8]、MIBS[9]、LED[10]、LBlock[11]、KLEIN[12]等等。下面從三種結(jié)構(gòu)中各選取一個有代表性的算法進行介紹。

SEA算法采用Feistel網(wǎng)絡(luò)結(jié)構(gòu)，明文和密文長度相同，均為128 bit，有三種密鑰長度可供選擇，分別為128 bit、192 bit和256 bit，與之對應(yīng)的加密輪數(shù)為6、9和12。該算法全部使用基于字節(jié)的運算，并且僅有異或和加兩種運算，占用的存儲量很低，特別適合在智能卡上運用。

PRESENT算法是由Bogdanov等人[6]在CHES 2007國際會議上提出的輕量級密碼算法，該算法的設(shè)計思路借鑒了DES算法，但實現(xiàn)起來有很大的差別，DES算法采用的是FEISTEL結(jié)構(gòu)，而PRESENT的輪函數(shù)采用SP結(jié)構(gòu)，明文共經(jīng)過31輪迭代，密鑰長度為80 bit的稱為PRESENT-80，密鑰長度為128 bit的稱為PRESENT-128。與其他輕量級算法相比，PRESENT算法無論在軟件還是硬件方面實現(xiàn)效率都很高，是典型的超輕量級加密算法，它的提出在輕量級密碼的設(shè)計史上具有里程碑的意義。

KATAN/KTANTAN算法采用其它結(jié)構(gòu)，是Cannière等人[7]在2009年提出的適用于硬件實現(xiàn)的輕量級密碼族，該密碼族包括兩組，密鑰長度均為80 bit，第一組KATAN包含三個分組長度分別為32 bit、48 bit和64 bit的密碼算法，第二組KTANTAN包含另外三個密碼算法，并且和第一組有相同的分組長度，但有更好的硬件特性。該密碼簇在設(shè)計思想上借鑒了序列密碼，即使用移位寄存器來構(gòu)造基礎(chǔ)組件。KATAN/KTANTAN實現(xiàn)起來最多需要1054個等效門，是專門為RFID標(biāo)簽等資源受限環(huán)境設(shè)計的輕量級密碼算法。

2.2 序列密碼

由于不像分組密碼那樣具備典型的安全結(jié)構(gòu)，用線性反饋移位寄存器來構(gòu)造安全組件很困難，所以針對序列密碼的輕量化研究技術(shù)還不是很成熟。隨著eSTREAM計劃的啟動，序列密碼軟硬件簡單、實現(xiàn)效率高的特點逐步受到重視，一些輕量級的序列密碼被人們提出。在eSTREAM計劃最終入選的算法中，實現(xiàn)所需的安全組件在2000 GE以內(nèi)，能夠滿足RFID應(yīng)用場景的算法有以下兩類：

適用于軟件實現(xiàn)的輕量級序列密碼有：HC-128[13]，它是HC-256算法的簡化版，由初始化算法和密鑰流算法構(gòu)成，它的密鑰和初始化向量都為128 bit，運行速度比HC-256慢，但HC-128的安全性能較高，至今還沒有對其有效的分析方法。SOSEMANUK[14]由Berbain等人提出，它的設(shè)計結(jié)合了流密碼SNOW2.0和分組密碼SERPENT的優(yōu)點，密鑰長度介于128 bit和256 bit間，SOSEMANUK算法最大的特點就是不僅繼承了其它算法的優(yōu)點，還在結(jié)構(gòu)上進行了改進，在一定程度上降低了威脅發(fā)生的概率，達到了輕量級密碼對安全性和實現(xiàn)效率的要求。Rabbit[15]由Boesgaard等人提出，包含移位、異或、模232加、級聯(lián)等操作，簡單有效，既有利于軟件實現(xiàn)，也有利于硬件實現(xiàn)。Salsa20[16]在軟件組中被認(rèn)為是最適合RFID等受限設(shè)備的輕量化算法，它是由Daniel J.Bernstein提出的基于512 bit輸入，512 bit輸出的hash函數(shù)的密碼算法，密鑰長度為256 bit和128 bit，算法操作簡單，易于實現(xiàn)。

適用于硬件實現(xiàn)的輕量級序列密碼有：Grain[17]，它由Hell等人設(shè)計，算法分為密鑰流產(chǎn)生和初始化兩個過程，密鑰長度為80 bit，還有改進版本的Grain-128，密鑰長度為128 bit，比較適合在RFID等資源受限平臺下使用。Trivium[18]算法雖然結(jié)構(gòu)簡單，安全性較高，但硬件實現(xiàn)需要2600 GE，不適用于常用的RFID標(biāo)簽。

此外，還有專門為RFID標(biāo)簽設(shè)計的WG-7[19]算法和A2U2[20]算法。WG-7算法的密鑰長度為80 bit，初始向量為81 bit，都是為RFID而專門進行的參數(shù)化設(shè)計。文獻[19]經(jīng)過嚴(yán)格的安全性分析證明WG-7算法能夠有效抵御差分攻擊、代數(shù)攻擊、相關(guān)攻擊等攻擊方法，是能夠滿足RFID標(biāo)簽實現(xiàn)需求并非常有應(yīng)用前景的一種算法。A2U2是一種專用輕量級序列密碼，它結(jié)合了序列密碼的設(shè)計原則和分組密碼的設(shè)計方法，并且充分考慮資源受限設(shè)備的特點，硬件實現(xiàn)代價很低，最多僅需300 GE[20]，是目前最輕量級的序列密碼。

2.3 雜湊函數(shù)

雜湊函數(shù)也稱hash函數(shù)，它是一種只能用于正向計算的單向函數(shù)，想要通過逆向運算計算輸入?yún)?shù)非常困難，雜湊函數(shù)被廣泛應(yīng)用于RFID認(rèn)證協(xié)議中，自從PRESENT算法被提出后，很多基于PRESENT的輕量級hash函數(shù)被提出，但是大部分算法實現(xiàn)所需的組件數(shù)量都超過了2000 GE，例如文獻[21]提到的一系列算法中，C-PRESENT-192算法實現(xiàn)所需的等效門數(shù)為4600 GE，H-PRESENT-128需要2330 GE，只有DM-PRESENT-80算法實現(xiàn)需要1600 GE，能夠滿足RFID的應(yīng)用要求。此外，還有一些采用sponge[22]結(jié)構(gòu)設(shè)計的算法，能夠用于RFID的算法有：QUARK[23]、PHOTON[24]和SPONGENT[25]，其中SPONGENT是目前最輕量級也是最有研究價值的hash函數(shù)族，它在CHES 2011會議上被提出，根據(jù)輸出的哈希值長度分為SPONGENT-88/128/160/224/256五種函數(shù)，實現(xiàn)起來所需的安全組件也都在2000 GE以內(nèi)，符合RFID標(biāo)簽的應(yīng)用需求。SPONGENT-88實現(xiàn)起來需要738 GE，適用于RFID等資源受限和安全性要求較低的環(huán)境中。SPONGENT-128和SPONGENT-160的實現(xiàn)分別占用1060 GE和1329 GE，它們能夠適應(yīng)資源更加受限的環(huán)境。所以SPONGENT算法在所有的輕量級雜湊函數(shù)中非常有競爭力。

2.4 非對稱密碼

非對稱密碼在加解密時使用的密鑰不同，像RSA、ECC等公鑰密碼體制，實現(xiàn)起來就已經(jīng)相當(dāng)復(fù)雜了。這種固有的復(fù)雜性使得非對稱密碼在實現(xiàn)絕對輕量化時存在一定的困難，同時，復(fù)雜性也說明在安全性方法有一定的優(yōu)勢，所以對非對稱密碼進行輕量化的研究也有一定的必要性。雖然有的算法實現(xiàn)了輕量化，但由于安全組件數(shù)量的限制，能夠滿足RFID設(shè)備硬件實現(xiàn)需求的很少。在文獻[26]中Saarinen提出了一種基于Rabin的混合公鑰加密體制BlueJay，它適用于微傳感器和RFID認(rèn)證標(biāo)簽等超輕量化平臺。BlueJay使用了隨機數(shù)乘法并結(jié)合了中國剩余定理，在保證相同的安全性前提下，BlueJay實現(xiàn)起來比傳統(tǒng)的非對稱密碼RSA和ECC效率更高，更輕量化。

3 輕量級密碼的分析方法

輕量級密碼主要用于低成本和資源受限的設(shè)備中，這些設(shè)備在日常生活中使用非常廣泛，一旦被攻破，會造成巨大損失。輕量級密碼算法在設(shè)計時既要保證安全性又要注重實現(xiàn)效率，然而這兩者卻相互制約，當(dāng)提高算法的執(zhí)行效率時，安全性就會在一定程度上受到影響。所以，對輕量級密碼算法的安全性進行分析和研究非常有必要。密碼分析就是利用算法設(shè)計的弱點對算法進行破譯，在對輕量級密碼進行分析時主要有兩種方法：一種是根據(jù)算法本身的代數(shù)結(jié)構(gòu)進行分析，另一種是繞過對算法本身結(jié)構(gòu)的分析，利用算法實現(xiàn)過程中所泄露的信息，如功耗、故障和電磁輻射等對密碼進行破解，也就是旁路攻擊。

目前，已經(jīng)有很多人對輕量級密碼算法進行了安全性分析，針對不同的密碼類型有不同的分析方法。針對分組密碼的分析方法有：線性分析[27]、差分分析[28]和強力攻擊[29]等。其中線性分析和差分分析經(jīng)過多年的發(fā)展，已經(jīng)有很多不同的方法推廣，例如不可能差分分析、高階差分分析、多重線性分析和劃分密碼分析等。針對序列密碼的分析方法有：代數(shù)攻擊、線性區(qū)分攻擊、相關(guān)攻擊等[30]，其中利用代數(shù)攻擊對序列密碼的安全性進行分析效果最好，研究表明序列密碼最常遭受也是代數(shù)攻擊[31]。針對hash函數(shù)的分析方法有[32]：碰撞攻擊、原像攻擊、第二原像攻擊和差分分析等，其中差分分析是最有效的分析方法也是密碼安全性判別的主要依據(jù)。

在對典型的輕量級密碼進行安全性分析的過程中，旁路攻擊對算法的安全造成了很大的威脅，因為設(shè)備在算法執(zhí)行的過程中，都會不可避免地泄漏功耗、電磁輻射等信息。在文獻[33]中Zhang等人使用選擇明文功耗攻擊對KATAN32算法進行分析，結(jié)果表明只需要統(tǒng)計160條功耗波形和160個固定明文就可以成功破解算法，說明該算法不能抵御功耗攻擊。在文獻[34]中Bogdanov等人針對KTANTAN算法提出一種中間相遇的攻擊方法。在文獻[35]中楊林等人提出一種針對MIBS算法的約減輪的差分分析方法。在文獻[36]中薛紅等人指出LBlock算法在實現(xiàn)過程中容易受到代數(shù)旁路攻擊。文獻[37]證明使用一種改進的代數(shù)故障攻擊方法可以對LED和MIBS算法進行有效分析。文獻[38]針對LED算法進行了代數(shù)差分故障攻擊，證明僅用一次的故障注入就可以在短時間內(nèi)破解密碼，恢復(fù)出正確的密鑰。PRESENT是最具代表性的密碼算法，它能在很大程度上抵御線性分析和差分分析，很多學(xué)者都對其進行了安全性分析。在文獻[39]中Collard等人對PRESENT算法進行飽和攻擊，利用已知的235.6對明密文對可以對15輪的PRESENT進行破解，但是無法破解31輪的PRESENT。在文獻[40]中葛十景等人經(jīng)過數(shù)小時的實驗，利用代數(shù)分析方法可以破解6輪的PRESENT，但是也無法破解31輪的PRESENT。文獻[41]利用S盒和P盒的相關(guān)性質(zhì)，總結(jié)出約減輪PRESENT的5到15輪的差分特征。此外，還有很多針對PRESENT的分析方法，如文獻[42]提到的側(cè)信道立方攻擊方法，文獻[43]提到的結(jié)合Linear hull的弱密鑰攻擊方法等?，F(xiàn)代密碼算法在設(shè)計時已經(jīng)能夠充分考慮到各種可能存在的攻擊方法，所以在對密碼算法進行分析時，只單純地使用一種方法很難找到算法的弱點，要想得到良好的攻擊效果，必須將各種有效的分析方法結(jié)合起來。

在對輕量級密碼進行分析時，算法的實現(xiàn)性能也是一個不容忽視的重要因素，雖然都是輕量級算法，各算法在實現(xiàn)起來的性能表現(xiàn)有很大不同，尤其是針對軟件和硬件實現(xiàn)所需消耗的資源參數(shù)不同，有的算法適合在硬件上實現(xiàn)，有的適合在軟件上實現(xiàn)，在硬件實現(xiàn)上主要體現(xiàn)在占用的面積，即等效門數(shù)，在軟件實現(xiàn)上主要體現(xiàn)在占用RAM和ROM的內(nèi)存量上。近幾年針對算法在fpga硬件平臺上的實現(xiàn)方法和優(yōu)化研究較多，文獻[44]中鄒祎等人針對LBlock算法的硬件實現(xiàn)和優(yōu)化進行了研究，并提出了一種可以有效減少算法實現(xiàn)面積的優(yōu)化方法。文獻[45]中徐遠(yuǎn)澤等人通過設(shè)計硬件結(jié)構(gòu)，對LBlock和PRESENT-128算法在FPGA平臺上的實現(xiàn)進行了比較研究，得出兩種算法的各自優(yōu)缺點。文獻[46]中劉波濤等人通過在FPGA平臺上實現(xiàn)的方式，設(shè)計了一種LED與PRESENT算法的重構(gòu)實現(xiàn)方法，該方法在保證加密速度的前提下，使實現(xiàn)面積縮小了一倍。文獻[47]中李浪等人設(shè)計了一種針對Piccolo算法的硬件優(yōu)化方法，既提高了加密效率又降低了實現(xiàn)面積。表1針對部分適用于RFID的輕量級密碼算法所適合的實現(xiàn)平臺，歸納了算法實現(xiàn)所消耗的資源參數(shù)。

表1 各算法實現(xiàn)性能比較

4 結(jié) 語

相對于傳統(tǒng)密碼算法，輕量級密碼算法的研究開始較晚，在安全性、成本和效率等方面都存在很多需要深入研究的問題:

(1) 大部分的研究集中在對密碼算法的攻擊上，而對如何增強輕量級算法的防御性能的研究卻比較少，研究表明很多算法都存在針對旁路攻擊的脆弱性，如何提高算法抗旁路攻擊的能力需要算法設(shè)計者著重考慮。

(2) 與輕量級分組密碼相比，序列密碼缺少相應(yīng)的安全結(jié)構(gòu)，用線性反饋移位寄存器構(gòu)建安全組件目前還存在很多困難，如何充分利用序列密碼加解密效率高、結(jié)構(gòu)簡單的特點設(shè)計出成本更低、更適用的輕量級密碼仍是當(dāng)前的研究熱點。

(3) 針對非對稱密碼算法固有的復(fù)雜性，實現(xiàn)其絕對的輕量化還存在一定的困難。

(4) 目前已設(shè)計出大量的輕量級密碼算法，由于實現(xiàn)平臺的標(biāo)準(zhǔn)不同，參數(shù)不一，很難確立通用評價指標(biāo)，例如針對RFID標(biāo)簽此類設(shè)備的特點及應(yīng)用場合，缺少一套完整的密碼算法評價體系。

隨著物聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，輕量級密碼算法的研究和應(yīng)用已成為RFID等資源受限設(shè)備的必然選擇，很多算法在設(shè)計時的側(cè)重點不同，實現(xiàn)起來在安全、成本和效率各方面的表現(xiàn)也存在很大的差異，能夠真正應(yīng)用到資源受限設(shè)備的算法還很少。同時，不同的設(shè)備對算法的需求不同，以RFID標(biāo)簽為例，大部分都應(yīng)用在像電子門票這種成本很低的環(huán)境中，對安全性的要求不是很高，更注重的是減少算法實現(xiàn)起來資源的消耗。

因此，設(shè)計針對不同應(yīng)用平臺的輕量級算法，完善指標(biāo)評價體系將會成為研究的熱點。針對以上問題的研究和探討，將有利于輕量級密碼算法在RFID等資源受限設(shè)備中得到更廣泛的應(yīng)用。

[33] Zhang L, Gu D, Guo Z, et al. Correlation power analysis and implementation on KATAN32 cipher[J]. Journal of Computer Applications, 2011, 31(2): 504-506,510.

[34] Bogdanov A, Rechberger C. A 3-subset Meet-in-the-middle Attack: Cryptanalysis of the Lightweight Block Cipher KTANTAN[C]//Proceedings of the 17th International Conference on Selected Areas in Cryptography, 2011: 229-240.

[35] 楊林，王美琴. 約減輪的 MIBS算法的差分分析[J]. 山東大學(xué)學(xué)報(理學(xué)版)，2010，45(4)：12-15,20.

[36] 薛紅，趙新杰，王小娟. LBlock分組密碼代數(shù)旁路攻擊[J]. 華中科技大學(xué)學(xué)報(自然科學(xué)版)，2013，41(6): 55-60.

[37] Zhang F, Zhao X, Guo S, et al. Improved algebraic fault analysis: a case study on Piccolo and applications to other lightweight block ciphers[EB/OL]. [2014-03-05]. http://www.engr.uconn.edu/～zshi/publications/zhang13_improved_afa.pdf.

[38] Jovanovic P, Kreuzer M, Polian I. An algebraic fault attack on the LED block cipher[EB/OL]. [2014-03-06]. http://eprint.iacr.org/2012/400.pdf.

[39] Collard B, Standaert F X. A statistical saturation attack against the block cipher PRESENT[C]//Proceedings of the Cryptographers’ Track at the RSA Conference on Topics in Cryptology, 2009: 195-210.

[40] 葛十景，谷大武，劉志強，等. 針對PRESENT分組密碼算法的代數(shù)分析[J]. 計算機應(yīng)用研究，2011，28(5): 1889-1893.

[41] Wang M. Differential Cryptanalysis of Reduced-round PRESENT[C]//Proceedings of the Cryptology in Africa 1st International Conference on Progress in Cryptology, 2008: 40-49.

[42] Yang L, Wang M, Qiao S. Side Channel Cube Attack on PRESENT[C]//Proceedings of the 8th International Conference on Cryptology and Network Security, 2009: 379-391.

[43] Nakahara J, Sepehrdad P, Zhang B, et al. Linear (hull) and Algebraic Cryptanalysis of The Block Cipher PRESENT[C]//Proceedings of the 8th International Conference on Cryptology and Network Security, 2009: 58-75.

[44] 鄒祎，李浪，賀位位，等. 輕量級密碼算法LBlock的FPGA優(yōu)化實現(xiàn)[J]. 計算機系統(tǒng)應(yīng)用，2015，24(7): 240-243.

[45] 徐遠(yuǎn)澤，張文科. RFID加密算法的FPGA實現(xiàn)研究[J]. 信息安全與通信保密，2015(2): 84-88,91.

[46] 劉波濤，李浪，賀位位，等. 一種LED與PRESENT密碼算法重構(gòu)實現(xiàn)研究[J]. 衡陽師范學(xué)院學(xué)報，2015，36(3): 156-161.

[47] 李浪，劉波濤，余孝忠，等. 一種Piccolo加密算法硬件優(yōu)化實現(xiàn)研究[J]. 計算機應(yīng)用研究，2015，32(10): 3056-3059.

A RESEARCH SUMMARY ON LIGHTWEIGHT CRYPTOGRAPHIC ALGORITHMS FOR RFID

Wang Ya Wei Guoheng

(DepartmentofInformationSecurity,NavalUniversityofEngineering,Wuhan430033,Hubei,China)

With the rapid development and popularization of the Internet of things technology, the security of RFID and other resource constrained devices is becoming more and more important, research on the lightweight cryptographic algorithms which applied in this kind of device has become a hot research in recent years.The research progress, design methods and security analysis of the lightweight cryptographic algorithms for RFID devices are summarized.Firstly, the common methods and key issues in the design of lightweight cryptography are introduced andthe typical lightweight algorithms which can be applied in RFID devices are summarized. Besides, not only the security analysis method for lightweight password is introduced, but also the threat of side channel attacks is highlighted. Then the realizing performance of some algorithms are compared. Finally, the problems and possible research directions of the current and future lightweight cryptography research are further clarified.

RFID Lightweight cryptographic algorithm Security analysis

2015-10-16。汪亞，碩士生，主研領(lǐng)域：網(wǎng)絡(luò)安全。魏國珩，副教授。

TP309

A

10.3969/j.issn.1000-386x.2017.01.002