新的超輕RFID互認證協(xié)議：使用遞歸散列的SASI

付惠茹 張厚武 何勇 湯攀

摘 要：由于RFID使用無線信道與其相關設備進行通信，應該有一些最佳的加密方法來保護來自攻擊者的通信數(shù)據(jù)。之前提出的超輕量級相互認證協(xié)議（UMAP），以成本有效的方式保護RFID系統(tǒng)。針對大多數(shù)UMAP的安全漏洞，提出一個改進的UMAP，使用遞歸散列函數(shù)提供強認證和強完整性（SASI）。所提出的協(xié)議在其設計中僅包含簡單的邏輯運算符XOR，Rot和非三角函數(shù)（遞歸散列），降低了對標簽計算能力和存儲能力的要求。分析結果表明，該協(xié)議可以有效地抵抗去同步攻擊、重傳攻擊和可追溯性攻擊，適用于較低成本的RFID系統(tǒng)。

關鍵詞：超輕量級;相互認證協(xié)議;無線射頻識別;遞歸散列;強認證性和強完整性

中圖分類號：TP309

文獻標志碼：A

1 引 言

RFID系統(tǒng)可以唯一地識別每個物品/產(chǎn)品（標簽），RFID技術的快速增長的唯一障礙是其安全性和標簽的總成本，低成本標簽的需求限制了我們使用無源RFID標簽，其僅僅涉及用于安全性和其它功能的簡單計算操作。通常這樣的標簽可以僅存儲32 -1K位，并且可以支持250-4K的邏輯門并用于安全相關任務。因此，傳統(tǒng)的加密算法（如AES和三重DES）和原語（如Hash函數(shù)）不能用于保護系統(tǒng)。安全和隱私是基于RFID識別系統(tǒng)的兩個主要關注點，它們與標簽的成本相關聯(lián)。高成本標簽足夠支持傳統(tǒng)的加密算法和原語，如AES、散列函數(shù)。這些常規(guī)的加密算法和原語需要過多的功率，存儲器和芯片面積，這些要求超出了低成本標簽的計算能力。因此，引入了一個新的超輕互認證協(xié)議來確保低成本RFID系統(tǒng)的安全性。許多已經(jīng)提出的UMAP只支持簡單的T函數(shù)[1]和一些特殊用途的超輕量原語來執(zhí)行相關的安全任務。提出的大多數(shù)UMAP是容易受到去同步攻擊、重傳攻擊和可追溯性攻擊這三種的攻擊。為了避免所有可能的安全攻擊，本文提出了一種新的UMAP，為較低成本的RFID系統(tǒng)提供使用遞歸散列的強認證和強完整性。

2 相關知識

2006年，Peris-Lopez等人奠定了超輕量級加密的基礎，并提出了三種超輕量級RFID相互認證協(xié)議（ UMAP）：LMAP[2]，EMAP[3]和M2 AP[4]。所有三個UMAP在其設計中涉及簡單的按位邏輯運算（XOR，AND和ADD），因此可以在大約1K邏輯門內(nèi)實現(xiàn)。然而，2007年，Tieyan等人[5，6]強調(diào)了上述所有三個UMAP的漏洞，并提出了它們易受到去同步攻擊和全面披露的攻擊。

2007年，Chien[7]在協(xié)議消息中進行了整合，并提出了一種新的UMAP來提供強大的完整性和強認證（SASI）。然而，隨著協(xié)議的引入，幾位研究人員強調(diào)了SASI協(xié)議設計中的陷阱。Sun等人[8]提出了此協(xié)議易受到去同步攻擊，Avoine等人[9]提出了此協(xié)議易受到全面的披露攻擊。以前提出的UMAP大多數(shù)在安全上都有漏洞，因此，本文提出一種新的UMAP，為較低成本的RFID系統(tǒng)提供使用遞歸散列的強認證和強完整性。

3 使用遞歸散列的SASI

正如我們已經(jīng)討論的，SASI是第一個在其設計中引入了非三角函數(shù)“Rot”的UMAP，并于2007年提出[10]。在本節(jié)中，我們改進了SASI協(xié)議的整體描述，并使其對于突出的安全漏洞更具有防御性。在我們提出的協(xié)議中，閱讀器和標簽預先共享假名IDS和密鑰（K1，K2）（舊和當前）的兩個副本。在兩側存儲假名IDS和密鑰的額外副本避免了所有可能的去同步攻擊。此外，這個新的協(xié)議還在每次成功認證會話之后更新其假名和密鑰。為了加強公開消息的功能特性，在協(xié)議設計中引入了兩個新的超輕量原語（遞歸散列（R_h）[11]和雙旋轉）。遞歸散列函數(shù)（R_h）可以如下計算。

假設Y是一個“n”位字符串，其中

3.1 協(xié)議

圖1顯示了協(xié)議的基本工作。假設閱讀器和數(shù)據(jù)庫之間的通道是安全的，協(xié)議的描述如下：

步驟1.閱讀器通過向標簽發(fā)送消息“Hello”來啟動協(xié)議。

步驟2.標簽以其當前的IDS進行響應。

步驟3.在接收到IDS，閱讀器將其用作索引并在其數(shù)據(jù)庫中搜索匹配的條目。如果讀者沒有在其數(shù)據(jù)庫中找到IDS，那么它會向標簽發(fā)送錯誤消息（這意味著標簽應該發(fā)送IDSold）如果發(fā)生匹配，則閱讀器生成兩個偽隨機數(shù)（ n1，n2）并且將它們隱藏在消息A，B中：

4 SISI協(xié)議的功能分析

UMAP提供三個基本功能：保密性，完整性和認證性，它們只能被認為是安全的。我們提出的協(xié)議可以確保這些功能達到最佳。

4.1 保密性

UMAP的主要目標之一是秘密消息的ID從標簽到閱讀器的安全傳輸。在SASI使用遞歸散列，閱讀器和標簽預共享靜態(tài)ID和動態(tài)密鑰（K1，K2）。因此，只有具有這些變量的先驗知識的合法方可以解密A，B，C和D消息。如Khovra-tovich和Nikolic[12]所示，增加旋轉次數(shù)就相應的增加了保密性。在我們提出的協(xié)議中，雙旋轉函數(shù)和遞歸散列函數(shù)會導致廣泛的整體旋轉，從而增加了保密性。此外，公開暴露的消息（A，B，C和D）的最優(yōu)組合增加了計算復雜性，因此使得攻擊者不可能檢索隱藏的數(shù)據(jù)。恢復連接的偽隨機數(shù)（n1，n2）的復雜度如下：

因此，對于復雜度0（64×l0g2 K1×l0g2K2），攻擊者可以計算偽隨機數(shù)。然而，無論協(xié)議會話的成功或失敗，這些偽隨機數(shù)都會在每個認證會話進行更新。因此所提出的協(xié)議可以確保數(shù)據(jù)的可信性最佳。

4.2 完整性

在我們提出的協(xié)議中，所有發(fā)送的消息（A，B，C和D）是互連的，如果攻擊者試圖通過切換某些比特來修改任何消息，則該修改的影響也直接傳送到其他消息。例如，如果攻擊者修改消息A的某些位，則標簽從消息B計算無效的nl并進一步計算無效的n2。因此，標簽不能認證閱讀器，因此終止其與閱讀器的協(xié)議會話。消息B中存在nl，確保消息的完整性。

4.3 認證性

每個UMAP應該提供一個強大的相互認證機制。在SASI中，使用遞歸散列，發(fā)送的消息不僅確保了完整性，而且提供了相互之間的互相認證。為了標簽的初始識別，閱讀器向標簽發(fā)送A，B和C消息。只有合法標簽可以從A和B消息中提取隨機數(shù)，因此可以對閱讀器進行認證。此外，合法標簽只能產(chǎn)生合法閱讀器可接受的消息，比如消息D。

5 SISI協(xié)議的安全性和性能分析

5.1 安全性分析

5.1.1 去同步攻擊

在我們提出的協(xié)議中，閱讀器和標簽在每次成功認證會話之后更新它們的假名（IDS）和密鑰（Kl，K2）。由于同步取決于C和D消息的接收，攻擊者可以中斷所發(fā)送的消息以使閱讀器和標簽的合法通信受到去同步攻擊。有兩種可能的去同步攻擊場景，我們提出的協(xié)議可以在這種場景下，很好的抵抗去同步攻擊，使標簽和閱讀器保持同步，如下：

（1）攻擊者中斷消息C。在這種情況下，標簽不接收消息C，因此標簽不認證閱讀器并保持假名和密鑰的先前值。標簽也放棄這個不完整的協(xié)議會話，因此也不接收消息D。這時，閱讀器和標簽保持在相同的狀態(tài)（同步）。

（2）攻擊者中斷消息D。在這種情況下，閱讀器不接收消息D;因此它保持以前的假名和密鑰的值，標簽更新其內(nèi)部變量（因為它已經(jīng)接收到消息C）。在這種情況下，我們提出的協(xié)議通過在雙方存儲額外的假名和密鑰（舊的和新的）副本來解決這樣的中斷問題。對于下一個會話，閱讀器和標簽使用舊值（假名和密鑰）進行認證。因此，兩個合法方都保持同步。

5.1.2重傳攻擊

攻擊者假冒為有效標簽并向閱讀器重新發(fā)假的消息D。由于消息D涉及遞歸散列函數(shù)值和隨機數(shù)（n1，n2）（獨立于會話），閱讀器不認證這樣的標簽并中止與特定標簽的協(xié)議會話。另一個重傳攻擊情形：攻擊者可以在一個會話中中斷消息D，然后向標簽重傳先前捕獲的消息A‖B‖C。這種情況不會影響合法各方的內(nèi)部秘密和同步。存儲兩個局部變量副本可以抵御所有可能的重發(fā)和去同步攻擊。此外，Sun等人對SASI[13]提出的重發(fā)攻擊也利用了假名和密鑰的單個副本。

5.1.3 可追溯性攻擊

與RCIA[11]一樣，使用遞歸散列的SASI也避免了所有可能的可追溯性攻擊。在我們提出的協(xié)議中，標簽使用動態(tài)IDS，而不是其原始的靜態(tài)ID與閱讀器交互。對于每個新的認證會話，閱讀器和標簽都使用新的（更新的）IDS，這使得對特定標簽的跟蹤不可能。可追溯性攻擊的另一種可能性是通過交換的消息來跟蹤標簽。但是在提出的協(xié)議中，每個新的認證會話帶來新的隨機的集成消息，這確保消息的新鮮，從而使協(xié)議不可追蹤。

5.2 性能分析

表2列出了幾個有名的超輕量協(xié)議的性能的簡單比較。分析表明，此文所提出的UMAP在使用最少資源的情況下優(yōu)于其他UMAP。

6 結束語

在本文中，我們提出了一種新型的超輕型相互認證協(xié)議（UMAP）：使用遞歸散列的SASI。提出的協(xié)議涉及兩個新的非三角形原語：遞歸散列和雙旋轉功能，為極低成本的RFID系統(tǒng)提供使用遞歸散列的強認證和強完整性。該協(xié)議的最佳設計避免了以前的安全漏洞，并且該協(xié)議具有保密性、完整性和認證性并且安全可靠，性能優(yōu)于其他類似的協(xié)議。

參考文獻

[1]KLIMOV A，SHAMIR A.New applications of T-functions inblock ciphers and hash functions [C]//InternationalWorkshop on Fast Software Encryption.Springer Berlin Hei-delberg，2005：18-31.

[2] PERIS-LOPEZ P，HERNANDEZ-CASTOR J C，ESTEVEZ-TAPIADOR J M，et al.LMAP：A real lightweight mutual au-thentication protocol for low cost RFID tags[C]//Proc. of 2nd Workshop on RFID Security.2006：06.

[3]PERIS-LOPEZ P，HERNANDEZ-CASTOR J， ESTEVEZ-TAPIADOR J， et al.EMAP： An efficient mutual-authentication protocol for low-cost RFID tags[C]//On themove to meaningful internet systems 2006 ： Otm 2006 Work-shops.Springer Berlin/Heidelberg，2006 ：352 - 361.

[4]PERIS-LOPEZ P， HERNANDEZ-CASTOR J， ESTEVEZ-TAPIADOR J，et al.M2AP：a minimalist mutualau then tica-tion protocol for lowcost RFID tags[Cl// in Ubiquitous In-telligence and Computing：Tird International Conference，UIC2006，Wuhan，China，September 3 - 6，2006：912-923.

[5] L1 T，WANG G.Security analysis of two ultra-lightweightRFID authentication protocols[J].New approaches for securi-ty， privacy and trust in complex environments， 2007： 109-120.

[6] 11 T，DENG R.Vulnerability analysis of EMAP-an efficientRFID mutual authentication protocol[C]//Availability，Reli-ability and Security， 2007. ARES 2007.The Second Interna-tional Conference on.IEEE，2007 ：238 - 245.

[7]CHIEN H Y.SASI：A new ultralightweight RFID authentica-tion protocol providing strong authentication and strong in-tegrity[J].IEEE Transactions on Dependable and SecureComputing，2007，4（4） ：337-340.

[8]SUN H M，TING W C，WANG K H.On the security of Chiens ultralightweight RFID authentication protocol[J].IEEETransactions on Dependable and Secure Computing， 2011， 8（2） ：315-317.

[9]AVOINE G， CARPENT X， MARTIN B. Strongauthentication and strong integrity （SASI） is not that strong[C]//International Workshop on Radio Frequency Identifica-tion：Security and Privacy Issues.Springer Berlin Heidelberg，2010：50-64.

[10] CHIEN H Y.SASI：A new ultralightweight RFID authenti-cation protocol providing strong authentication and strongintegrity[J].IEEE Transactions on Dependable and SecureComputing，2007，4（4） ：337-340.

[11]MUJAHID U， NAJAM-UL-ISLAM M， SHAMI M A.RCIA：A new ultralightweight RFID authentication protocolusing recursive hash[J].International Journal of DistributedSensor Networks，2015.

[12]KHOVRATOVICH D，NIKOLIC I.Rotationalcryptanalysisof ARX[C]//International Workshop on Fast Software En-cryption.Springer Berlin Heidelberg， 2010 ： 333 - 346.

[13] SUN H M，TING W C，WANG K H.On the security ofChien's ultralightweight RFID authentication protocol[J].IEEE Transactions on Dependable and Secure Computing，2011，8（2）：315-317.

[14] ZHUANG X，ZHUY，CHANGC C.A New UltralightweightRFID Protocol for LoYrCost Tags：R- {2} AP[J].WirelessPersonal Communications，2014，79 （3） ：1787- 1802.

[15]TIAN Y，CHEN G， LI J.A new ultralightweight RFID au-thentication protocol with permutation[J].IEEE Communi-cations Letters，2012，16（5） ：702 - 705.