一種基于二次剩余的改進的RFID認證協議

劉直良

（黃淮學院信息工程學院，河南 駐馬店 463000）

1 引言

無線射頻識別（radio frequency identification，RFID）是一種通過無線電信號識別目標并讀寫相關數據的技術。近年來為逐步實現智慧城市、智慧地球的目標，需要以完整且安全的物聯網技術為基礎。因此，作為物聯網發展的先行者，無線射頻識別技術成為市場上最受關注的技術之一。它廣泛應用于汽車收費、身份證件、門禁控制和生產控制等領域[1]。但是，一方面由于RFID系統本身具有無線通信的特點，容易遭受信號干擾、惡意攻擊等安全性問題；另一方面由于系統硬件資源成本和計算能力的限制。因此想要設計出安全性高、低成本的 RFID認證協議也是極具研究性的課題[2]。

2 相關工作

2.1 二次剩余理論概述

若a、m互質（記為(a，m)=1），m整除2b-a有解，則稱a為模m的二次剩余（或平方剩余）。

本文二次剩余加密、解密算法操作具體如下[3,4]：因為m是一個非常大的數，對其進行因數分解是不可能的，可以保證加密數據的安全性；又因為m是一個復合數，在通信雙方知道m的因數分解下（n個素數的乘積），可以分解，通過求解每一個分解方程，而得到k個b的值，再根據提供的已知數據，解密唯一值。具體加密解密過程如下所述。

（3）解密：根據p、q、a解密b，其中C是中國剩余定理，具體如下：

返回b1、b2、b3、b4，解密后有4個不同的解密結果，所以在應用中，通常還需要后續計算解密，確定唯一解。比如，可在b中加入某些冗余信息，如隨機數、身份ID等，以便驗證者可以快速有效地提取密文[5]。

2.2 相關協議綜述

近年來，國內外很多學者在 RFID認證協議方面做出了大量工作，研究主要分為3個方向，見表1。

表1 協議分類

其中為了設計出高效安全的RFID認證協議，基于二次剩余理論的研究成果也尤為突出，主要列舉如下。2008年，Chen等人[11]提出了一種基于二次剩余的認證協議，此協議有較好的安全性，但標簽要進行公鑰加解密運算及多次散列運算，時間復雜度大、計算成本較高。2011年，Yeh等人[12]在其提出的協議中完整證明了參考文獻[11]不能提供位置隱私并且不能抵抗重放攻擊。之后，軒秀巍等人[3]提出了一種基于二次剩余的增強型RFID認證協議，在該協議中進一步證明了參考文獻[12]容易受讀寫器假冒攻擊和拒絕服務攻擊，并在此基礎上提出了一種改進的更簡單安全的認證協議。但是通過本文的研究發現，參考文獻[3]并不能抵抗去同步化攻擊和拒絕服務攻擊，具體證明將在第2.3節詳解。2013年，Doss等人[4]根據二次剩余定理提出了一種新的可隱私保護的移動RFID認證協議，該協議遵循EPC Gen-2標準[13]（EPC class1 Generation2，電子標簽標準），系統復雜度低，適合低成本標簽的應用，但由于協議過程中后端數據庫識別標簽仍要進行多次計算查詢，所以協議認證效率較低；另外，當后端數據庫收到讀寫器發送的消息后并沒有對消息的新鮮性進行驗證，攻擊者可以進行重放攻擊，以達到破壞或竊取秘密信息的目的。2015年，Zhou[14]提出了一種基于二次剩余的定時 RFID認證協議，在不使用計算代價昂貴的散列函數情況下，實現在恒定時間內的識別認證。但此做法需要在后臺數據庫中標記每一個標簽的有效認證時間，這必然會在查詢后臺數據時增加對比時耗，認證效率不高，且認證過程稍顯煩瑣，對于通常實際應用中使用的無源標簽來說，計算量較大。2016年，周治平等人[15]提出了一種更具實用性的基于二次剩余的移動 RFID認證協議，該協議增加了時間戳生成器，提高系統安全性。

本文綜合前人研究提出了一種改進的基于二次剩余的可抵抗去同步化攻擊、拒絕服務攻擊等多種常見攻擊的 RFID認證協議，且協議在數據庫端的認證效率上要優于現有方案。

2.3 具體協議不足

參考文獻[15]提出的更具實用性的基于二次剩余的移動RFID認證協議，包括Doss協議的初始化和雙向認證階段，新增加了時間戳生成器，提高系統安全性，但是該協議仍然在標簽端延續使用散列函數進行加密運算，標簽端成本略高，與此對應的數據庫也仍要進行多次散列運算進行匹配查詢，認證效率略低。而參考文獻[3]在以下情況下不能抵抗去同步化攻擊[16]以及拒絕服務攻擊。

2.3.1 去同步化攻擊

攻擊者假冒標簽，通過截獲、重放竊聽到的消息，就可以通過數據庫的身份驗證，以獲取數據庫的信任，進行后續過程。最終因標簽與數據庫兩邊的共享密鑰更新不同步，協議失效。具體攻擊過程如下。

（1）第一輪通信

正確標簽和讀寫器開始進行通信認證，當攻擊者竊聽通信消息，并截獲數據庫將要發送給標簽端的驗證消息。此時，數據庫 key更新成功，而正常標簽因為沒有收到消息而沒有同時更新key，這時數據庫和標簽兩端數據分別為：

（2）第二輪通信

攻擊者假冒正確標簽與數據庫進行通信認證，當讀寫器發送完消息時，攻擊者重放上一輪竊聽得到的給數據庫，因為隨機數對協議秘密信息的無關性，使得數據庫僅根據提供的隨機數進行秘密信息提取的工作。因此數據庫認證假冒標簽成功，更新key，這時攻擊者對原標簽重放上一輪截獲到的，原標簽認證成功，更新key，這時數據庫和標簽兩端數據分別為：

至此攻擊者成功的對參考文獻[3]進行了共享密鑰去同步化攻擊，由于標簽和數據庫后端共享密鑰 key沒有同步更新，這樣在進行新一輪通信時，標簽就不能被數據庫識別。最終，認證失敗，攻擊成功。

2.3.2 拒絕服務攻擊

攻擊者竊聽正常通信過程，記錄消息，在標簽下一次與讀寫器通信之前，如果攻擊者不斷地向原服務器重放消息，由于此時原數據庫只根據提供數據進行解密計算，并沒有新鮮性驗證，所以數據庫對攻擊者認證成功，并不斷計算的值，這不僅消耗通信資源，使得其他正常的讀寫器無法與新數據庫完成通信，還可能因為通信請求頻繁使通信系統崩潰，新數據庫中存儲的大量隱私信息因此泄露，拒絕服務攻擊成功。

3 改進協議描述

針對上述協議存在的安全漏洞和認證低效的不足，本文提出了一種改進的基于二次剩余的RFID認證協議。本協議將第2.1節中概述的二次剩余理論作為核心加密解密算法，并在此基礎上引入數據庫端隨機數查重驗證機制，利用隨機數的新鮮性檢驗來抵抗去同步化和拒絕服務等攻擊行為，在保證系統穩定安全的同時，摒棄成本較高的散列函數算法，引入超輕量級位替換等運算方法，降低系統成本。最后在認證識別標簽的環節中，本協議最差情況下只需要執行4次計算查找操作，提高了數據庫認證效率。

3.1 符號說明

首先本文協議與其他協議基于二次剩余認證協議類似做出如下假設：讀寫器與數據庫之間有線連接，通信安全；標簽和數據庫之間無線連接，容易受到惡意攻擊。下面給出本協議將要用到的全部符號含義，見表2。

表2 協議符號定義

其中，位替換運算采用指針的形式，從最高位開始遍歷X，當X中某位是1時，對應替換Y中的值，它的實現比直接采用邏輯門效率更高，具體示例過程如圖1所示以及參考文獻[17]所述，設 X=11101000，Y=01110101，Sub(X, Y)=10011101。

圖1 Sub(X, Y)位替換運算

3.2 協議過程

協議過程詳述如下。

（1）讀寫器首先生成隨機數a，并將請求認證消息請求（request）一起發送給標簽。

（2）標簽收到讀寫器傳來的消息后，進行3步預處理一步加密計算，分別是①生成隨機數 b；②將當前與后端數據庫的共享密鑰key進行分解得到左右兩部分；③計算生成驗證數據p、q；④之后基于二次剩余理論進行加密處理，得到 p’、b’；最后將消息< p’, b’,q >返回給讀寫器端。

（3）讀寫器收到消息后，將轉發給后端數據庫。

（4）后端數據庫在收到認證請求后，分別對p和b進行解密。解得4個模平方根（b1,b2,b3,b4）和一個確定的p，p由a從解得的4個模平方根中提取出來；而后通過驗證ID′=?ID的值，確定 b的值。b的值成功確定后，判斷Temp=？b是否成立，如果不成立，令Temp=b，協議繼續；如果成立，協議終止。之后通過數據庫查找合法標簽的組合；比較計算q'=?q是否成立，若相等數據庫驗證標簽真實性通過，可進行后續計算得到 Ack，并將 Ack回復給讀寫器后更新共享密鑰key，若不成立，說明驗證失敗，協議終止。

（5）讀寫器收到Ack消息后，將之轉發給標簽。

（6）標簽收到Ack消息后，驗證Ack'=?Ack。若成立，標簽更新其密鑰key，若不成立，標簽驗證后端數據庫失敗（也即驗證讀寫器失敗），協議終止。

圖2為本文提出的一種基于二次剩余的RFID認證協議過程。

4 改進協議形式化證明

本文以 GNY邏輯證明[18,19]為依據對改進協議進行形式化證明。證明如下：

（1）形式化模型，模型中標簽為T，讀寫器為R，用GNY邏輯化形式語言來描述本協議中的消息。

（2）初始化假設，設P1、P2表示標簽、讀寫器的擁有；P3、P4表示標簽、讀寫器對數據新鮮性的信任；P5、P6表示標簽和讀寫器對密鑰的信任；P7、P8表示標簽和讀寫器相信各自的信息是可識別的。

（3）安全目標，本協議的安全目標有4個，即讀寫器對標簽的認證識別；標簽對讀寫器擁有雙方共享密鑰key的信任；讀寫器對標簽擁有雙方共享密鑰key的信任；標簽對讀寫器的認證識別。

（4）證明過程，當標簽收到消息 M2時，由假設 P4，得可得由已根據新鮮性規則 F1：知假設 P2、P6，得認證成功，根據消息解析規則I1：得到目標D1得證，目標D4同理。

圖2 一種改進的基于二次剩余的RFID認證協議過程

5 改進協議安全性分析

5.1 去同步化攻擊

當攻擊者企圖用第 2.3.1節中描述的去同步化攻擊方式，使數據庫與標簽兩端的共享密鑰信息不一致時，攻擊會失敗。因為，本協議在保留上一輪共享密鑰的前提下，數據庫端加入標簽隨機數查重機制，當第一次重放時，數據庫即檢測出Temp=b，協議就會終止，并不會造成兩方密鑰不一致的問題，所以，新協議可以抵抗去同步化攻擊。

5.2 拒絕服務攻擊

當攻擊者企圖以第2節描述的不斷地重放信息，以完成資源消耗，系統崩潰地拒絕服務攻擊時，攻擊將會失敗。因為，在本協議中使用隨機數查重機制，記錄上一輪認證過程中數據庫從標簽端得到的隨機數。因為隨機數發生器產生數據的信息性和短期不可重復性，當攻擊者第一次重放數據時，數據庫解密得到隨機數b，驗證得到Temp=b，即是上一輪所用隨機數和當前所用隨機數相同，于是系統判定異常，協議終止，也就不會繼續發生由于頻繁交互通信所造成的秘密信息泄露等嚴重問題。所以，新協議可以抵抗拒絕服務攻擊。

5.3 假冒攻擊

一方面，攻擊者在不知道標簽標識ID和標簽隨機數b的前提下假冒標簽，將無法計算出正確的二次剩余加密信息即使將這些信息發送給數據庫求解出的p和b也是不真實的，無論在驗證還是在驗證的過程中，都無法與數據庫中的標簽信息進行匹配，故數據庫認證失敗，協議終止；另一方面，攻擊者在不知道二次剩余解密私鑰p、q信息的前提下假冒數據庫，將無法解密得到標簽秘密信息ID和key，從而無法計算出正確的確認消息Ack，所以標簽認證失敗，協議終止。因此，新協議可以抵抗假冒攻擊。

5.4 重放攻擊

本協議利用讀寫器和標簽的雙隨機數機制和隨機數查重驗證機制來抵抗攻擊者進行的重放攻擊。當攻擊者截獲來自標簽的消息< p’, b’, q >假冒標簽，并在下一輪重放時，因為在數據庫端加入對上一輪隨機數 b的查重檢測，所以當發現Temp=b時，協議終止，攻擊者重放攻擊失敗；當攻擊者截獲來自數據庫的回復信息，以假冒數據庫并在下一輪重放Ack時，因為標簽端會在新的一輪認證中產生新的隨機數b而此時標簽端的隨機數b和重放Ack中的b并不一致，所以認證失敗，協議終止。因此新的協議可以抵抗重放攻擊。

5.5 標簽匿名性

在本協議全部通信過程中標簽的標識 ID并沒有明文傳輸，而是通過二次剩余加密處理；并且，攻擊者在沒有私鑰x、y的前提下僅通過竊聽得到的消息中并不能獲得標簽ID，所以本協議標簽端具有匿名性。

5.6 跟蹤攻擊

本協議中，雖然標簽 ID不變，但是每次通信過程中均是由隨機數 a、b 經過組合計算而得到，具有新鮮性和不確定性，攻擊者無法僅通過上述竊聽得到的消息對協議進行跟蹤攻擊。

5.7 前向安全

在本協議中，通過二次剩余理論和位替換與異或超輕量級運算加密數據，在保證了數據具有一定安全性的前提下，引入了標簽隨機數組合運算，具有不可預測性和協議無關性，即使標簽信息發生泄露，攻擊者仍然不能根據標簽現有信息推測標簽以前的行為，因此協議具有前向安全性。

綜上所述，針對以上攻擊類型，表3給出了本協議和其他相關RFID協議的安全性比較。

表 3中，“√”表示可以抵抗這種攻擊行為，“×”表示不能抵抗這種攻擊行為，“O”表示不確定。

表3 協議的安全性比較

6 改進協議性能分析

本節主要從標簽的計算量、存儲量和通信量3個方面對本協議進行性能分析，見表4。

表4 協議標簽端性能比較

標簽計算量：本協議標簽端包含二次剩余基礎算法和隨機數生成器之外摒棄成本較高的散列運算，僅使用兩種簡單位運算（位替換位和異或運算），降低標簽成本。

標簽存儲量：初始階段，標簽只存儲了標簽唯一標識信息ID和與數據庫之間的共享密鑰key。

標簽通信量：每一輪認證過程中，標簽端只傳送一次< p’, b’, q>信息。

表4中，E表示二次剩余計算，H表示散列運算，X表示異或運算，P表示隨機數計算，S表示位替換運算，標識、共享密鑰的長度都是I，通信量的單位為L。

通過表4可以看出，本文協議與其他對比協議在綜合考慮標簽通信量和存儲空間占用量的情況下，有明顯優勢。在存儲量方面因為標簽充分利用已有信息（共享密鑰），將共享密鑰分成左右兩部分進行加密計算，減少了其他信息的引入，故本協議最優。計算量方面，因為協議引入超輕量級位運算并減少了隨機數生成次數，所以同樣降低標簽計算成本，具有明顯優勢。綜上所述，本協議具有更好的性能。

7 結束語

本文分析并總結了現有RFID認證協議的分類與特點，并通過分析一些二次剩余理論協議的安全漏洞與性能缺陷，設計了一種改進的基于二次剩余的超輕量級RFID安全認證協議。改進協議具有如下特點：在基礎二次剩余算法中加入隨機數混合加密運算，實現更高效認證；摒棄常用的散列算法，引入超輕量級位運算，降低成本；設計數據庫隨機數校驗機制，避免協議遭受一些惡意攻擊。下一步會對所提出協議進行進一步的實驗仿真。

參考文獻:

[1] 張平, 李建武, 馮志勇, 等.認知無線網絡基礎理論與關鍵技術研究[J].電信科學, 2014, 30(2)： 1-13.ZHANG P, LI J W, FENG Z Y, et al.Research on basic theory and key technology of cognitive radio network [J].Telecommu-nications Science, 2014, 30(2)： 1-13.

[2] 李榮榮, 寇建濤, 董剛, 等.面向智慧園區的RFID系統信息安全認證方案[J].電信科學, 2016, 32(2)： 164-169.LI R R, KOU J T DONG G, et al.A security authentication scheme in RFID system for smart park[J].Telecommunications Science, 2016, 32(2)： 164-169.

[3] 軒秀巍, 膝建輔, 自煜.基于二次剩余的增強型RFID認證協議[J].計算機工程, 2012, 38(3)： 123-125.XUAN X W, XI J F, ZI Y.Enhanced RFID authentication protocol based on quadratic residue[J].Computer Engineering,2012, 38(3)： 123-125.

[4] DOSS R, ZHOU W L, YU S.Secure RFID tag ownership transfer based on quadratic residues[J].IEEE Transactions on Information Forensics and Security, 2013, 8(2)： 390-401.

[5] 高利軍.無線射頻識別系統安全認證協議研究[D].天津： 天津大學, 2015： 70-71.GAO L J.Research on security authentication protocol for radio frequency identification system[D].Tianjin： Tianjin University,2015： 70-71.

[6] VAIDYA B, MAKRAKIS D, MOUFTAH H T.Authentication mechanism for mobile RFID based smart grid network[C]//Electrical and Computer Engineering(CCECE),May 4-7, 2014, Toronto, ON, Canada.Piscataway： IEEE Press, 2014： 1-6.

[7] 裴小強, 衛宏儒.基于Hash鏈的RFID安全雙向認證協議[J].計算機應用, 2014, 34(S1)： 47-49.PEI X Q, WEI H R.RFID mutual security authentication protocol based on Hash-chain[J].Journal of Computer Applications,2014, 34(S1)： 47-49.

[8] NIU B, ZHU X, CHI H, et a1.Privacy and authentication protocol for mobile RFID systems[J].Wireless Personal Communications, 2014, 77(3)： 1713-1731.

[9] 寇紅召, 張紫楠, 馬駿.基于物理不可隆函數的RFID雙向認證[J].計算機工程, 2013, 39(6)： 142-145.KOU H Z, ZHANG Z N, MA J.RFID bi-directional authentication based on physical immovable function[J].Computer Engineering, 2013, 39(6)： 142-145.

[10] 王超.超輕量級 RFID 認證協議研究與實現[D].南京： 南京航空航天大學, 2014.WANG C.Research and implementation of super lightweight RFID authentication protocol[D].Nanjing： Nanjing University of Aeronautics & Astronautics, 2014.

[11] CHEN Y L, CHOU J S, SUN H M．A novel mutual authentication scheme based on quadratic residues for RFD systems[J].Computer Networks, 2008, 52(12)： 2373-2380.

[12] YEH T C, WU C H, TSENG Y M．Improvement of the RFID authentication scheme based on quadratic residues[J].Computer Communications, 201l, 34(3)： 337-341.

[13] IMPLIED E OR, THIS T, IS D, et al.Specification for RFID air interface EPC “radio-frequency identity protocols class-1 generation-2 UHF RFID protocol for communications at 860MHz-960MHz [EB].2013.

[14] ZHOU J.A quadratic residue-based lightweight RFID mutual authentication protocol with constant-time identification[J].Journal of Communications, 2015, 10(2)： 117-123.

[15] 周治平, 張惠根.一種更具實用性的移動RFID認證協議[J].傳感技術學報, 2016, 29(2)： 271-277.ZHOU Z P, ZHANG H G.A more practical mobile RFID authentication protocol[J].Chinese Journal of Sensors and Actuators, 2016, 29(2)： 271-277.

[16] 馬巧梅.基于 HMAC的輕量級 RFID 認證協議[J].微處理機, 2015, 5(4)： 27-31.MA Q M.A HMAC-based RFID lightweight authentication protocol[J].Microprocessors, 2015, 5(4)： 27-31.

[17] 杜宗印, 章國安, 袁紅林.基于位替換運算的RFID雙向認證協議[J].電視技術, 2013, 37(19)： 134-137.DU Z Y, ZHANG G A, YUAN H L.Bits substitution based on RFID mutual authentication protocol[J] Video Engineering,2013, 37(19)： 134-137.

[18] 侯峻峰, 黃連生.安全協議形式化驗證方法和安全協議設計研究[D].北京： 清華大學, 2004.HOU J F, HUANG L S.Research on formal verification method and security protocol design for security protocol[D].Beijing：Tsinghua University, 2004.

[19] 王崇霞, 高美真, 劉倩, 等.混合云聯合身份認證與密鑰協商協議設計[J].電信科學, 2014, 30(4)： 95-99, 108.WANG C X, GAO M Z, LIU Q, et al.Design of united identity authentication and key agreement protocol for hybrid cloud [J].Telecommunications Science, 2014, 30(4)：95-99, 108.