基于混沌加密的輕量級RFID所有權轉移協議

吳偉民，張晶晶，彭家進，張俊源，蘇 慶

WU Weimin,ZHANG Jingjing,PENG Jiajin,ZHANG Junyuan,SU Qing

廣東工業大學 計算機學院，廣州 510006

School of Computer,Guangdong University of Technology,Guangzhou 510006,China

1 引言

射頻識別RFID（Radio Frequency Identification）是一種自動識別技術，最初的目的是識別和跟蹤物體[1]。隨著RFID技術的不斷發展，應用也越廣泛，如供應鏈管理、門禁系統、防盜檢測、無線支付、智能交通系統等。在RFID的生命周期內，標簽的所有權經常需要發生改變[2]，這就涉及到一系列的安全和隱私問題[3]。因此，設計一個安全性高的RFID所有權轉移協議具有極其重要的現實意義。

Molnar等人[4]首次提出一個支持RFID所有權的可擴展的匿名協議而且支持與可信實體進行的所有權轉移，但是該協議需要一個新舊所有者之間的可信中心。Osaka等[5]提出基于Hash函數和對稱密碼體制提出一種滿足安全協議的RFID所有權轉移協議，經研究發現該協議不能抵抗DOS攻擊和不滿足不可追蹤性。Chen等[6]遵循EPC global C1G2標準的標簽僅使用PRNG和CRC的所有權協議，然而該協議容易受到拒絕服務攻擊。金永明等人[7]在Shamir[8]提出的SQUASH優化函數的基礎上提出一種新的輕量級RFID所有權轉移協議，經驗證該協議不能抵抗重放攻擊和拒絕服務攻擊。毛雅佼等[9]提出的所有權轉移協議的隨機數r1、r2都是明文傳輸，因此該協議在假冒攻擊、重放攻擊存在很大的漏洞。

以上大多數協議都是基于Hash函數加密，但是Hash函數計算過程相對復雜且需要較大的存儲空間，而RFID系統標簽固有的內部計算資源和能量有限，所以Hash加密在中RFID系統的實際應用受到限制。另外，Hash函數是一種公開的加密機制，不能抵抗窮舉密碼式攻擊。混沌加密是一種動態加密方法，并且初始密鑰隨機下可實現一次一密鑰機制，提高了加密的安全性。其處理速度與密鑰長度無關，實時性好、易于軟硬件實現，體現了輕量級的實用要求。其產生的密鑰空間巨大能夠有效地抵抗窮舉式密碼攻擊。在混沌密鑰協議研究方面，牛玉軍[10]等提出了一個新的基于混沌映射的密鑰一致協議。趙劍鋒[11]提出了一種改進的基于增強的Chebyshev混沌映射的密鑰協商協議。王興元[12]提出一個新的基于切比雪夫混沌映射的密鑰協議。基于此本文提出一種基于混沌加密的輕量級RFID所有權轉移協議CELOTP（Chaotic Encryption Lightweigt Ownership Transfer Protocol），并給出了基于BAN的形式化證明。

2 基于混沌加密的輕量級RFID所有權轉移協議：CELOTP

本協議采用易于實現和隨機性強的Arnold cat混沌映射[13]產生密鑰序列并針對該映射置亂的漏洞[14]對初始點進行置亂，同時保持隨機數動態刷新實現一次一密鑰，提高加密的安全性和保持通信過程的新鮮性。采用隨機數函數產生隨機數降低標簽了成本，體現了輕量級的要求。采用挑戰響應機制，利用Flag標志位來表示所有權的歸屬，提高了協議通信的安全性。

2.1 Arnold cat混沌加密

針對輕量級RFID系統固有的內部資源有限、能量有限和快速讀取的特性。協議對初始點進行置亂的Arnold cat映射，其具有對初始參數的依賴性、偽隨機性以及真值有限性。混沌映射函數表達式如下：

其混沌序列分布情況如圖1所示。由四次仿真圖像表明該映射對初始條件極度敏感，初始值的微小變化導致該映射進入完全不同的狀態。

圖1 混沌序列分布圖

由此可見，在未知初始參數的情況下，很難預測該映射的運動趨勢。協議同時采取了隨機數保持動態刷新的機制，每次初始值微小的變化都會引起加密序列巨大的變化，說明了此映射能夠抵抗窮舉式密碼攻擊。基于該映射的RFID所有權轉移協議有很高的安全性能。

RFID系統中所使用的數據均為二進制，但是該混沌映射的初始值是約定范圍內實數，所以需要進行數據轉換，將RFID需要加密的二進制信息先轉換成十進制實數再通過乘以計算因子[15]轉換為（0，1）上的數。初值利用一維Logistic映射 θn+1=4θn(1-θn)置亂：設初始序列是M 個二進制組成，將（0，1）分成M 個小區間，從小到大依次標號。然后將每次迭代得到的值落入小區間內并得到區間號。重復迭代直到得到M個不同的值即產生新的置亂序列。

根據Arnold cat映射進行加密。先將初始序列y0進行置亂成為新的y0，二元組(x0,y0)為產生混沌序列的密鑰，根據公式（1）迭代N次則可得到序列A=((x1,y1),(x2，y2),…,(xn,yn))。假設：

則序列 A可表示為二進制序列b1b2…bn，其中bi={0,1}。為了提高保持密鑰的安全性和新鮮性，可動態地截取中間序列作為混沌加密序列。假設序列{bi}的長度為L，則從第r位開始，截取中間N位數作為加密序列。其中r為RFID系統產生的隨機數，N為會話密鑰長度，且滿足1≤r+N≤L。

2.2 輕量級所有權轉移協議

本節首先以文獻[9]中提出的RFID所有權轉移協議的安全隱患進行分析為例，并與其他的協議安全進行分析，然后根據該分析的結果提出新的輕量級所有權轉移協議。文獻[9]協議假冒攻擊、重放攻擊如圖2所示。

圖2 協議攻擊過程

由于文獻[9]的通信信息都是明文傳輸，隨機數很容易被截取。當敵手E假冒所有者并獲得隨機數r1時，發送請求后能成功獲得A、r2的值進而獲得B成功竊取整個通信過程，因此，該協議不能抵抗假冒攻擊。敵手產生一個為0的隨機數并發送請求，此時標簽返回的值與通信信息B完全相同，因此該協議不能抵抗重放攻擊。

CELOTP協議具有以下特點：（1）采用混沌加密，與傳統的哈希函數相比混沌加密具有易于軟硬件實現、密鑰空間巨大的特性。混沌加密使得整個協議的安全性有了極大的提高，同時減少了標簽的計算量；（2）使用動態刷新函數和隨機函數[12]保持數據的新鮮性，而不使用隨機數發生器也極大地減少了標簽的硬件成本；同時動態刷新隨機數也提高了通信的安全性；（3）采用挑戰響應機制，利用Flag標志位來表示所有權的歸屬，提高了協議通信的安全性。本協議用到的符號說明如表1所示。

表1 符號說明

其中C(x,y)表示(x,y)作為混沌加密序列的初始值(x0,y0)，Nx作為標簽的隨機數并保持動態刷新，通過MIXBITS()函數[16]產生增加數據的隨機性，使得標簽不需要隨機數發生器就能產生隨機數，減少了標簽的成本，實現了輕量級。

輕量級所有權轉移協議主要是解決讀寫器與標簽之間無線傳輸的安全與隱私問題。因此，不失一般性，假設讀寫器與數據庫、原所有者的數據庫與新所有者的數據庫之間都是安全信道。協議的執行過程如圖3所示，主要分成以下8個步驟：

步驟1Ri→T：原讀寫器對標簽發出請求并和讀寫器生成的隨機數r1一起發送給標簽。

圖3 協議執行過程

步驟2T→Ri：標簽收到讀寫器的請求，此時標簽歸原所有者所有即Flag=0；標簽生成隨機數rt1=Nx；并計算 M1=r1⊕rt1，M2=ID⊕rt1；M3=C(ki,ID)。標簽T將信息(M1,M2,M3,rt1)發送給讀寫器Ri。

步驟3 Ri→Di：Ri將從標簽端接收到的信息(M1,M2,M3,rt1,r1)傳給Di。Di根據收到的信息計算rt1'=M1⊕r1；ID'=M2⊕rt1'。 Di查找數據庫中是否存在ID=ID'，若不存在則終止協議，若存在則找到對應的密鑰ki，并計算M3'=C(ki,ID)；M4=C(ki,rt1)。數據庫比較M3'與M3，若不相等則表示標簽不合法，協議終止。若相等則認為該標簽是合法的，Di將M4發送給標簽。

步驟4Di→T：標簽接收到數據庫傳來的信息。然后計算M4'=C(ki,rt1)，并與收到的M4比較，若不相等則表示數據庫不合法，協議結束。若相等則表示數據庫Di是合法的，到此標簽與原所有者的認證通過，刷新Nx=MIXBITS(r1,rt1)。

步驟5Rj→T：新所有者的讀寫器Rj向標簽發出所有權轉移請求Query并將隨機數r2一起發送給標簽。

步驟6T→Rj：標簽收到新所有者的讀寫器Query和r2后，生成隨機數rt2=Nx；計算M5=C(kj,r2)。并將M5和rt2一起發送給新的閱讀器Rj。

步驟7 Rj→Dj：Rj將 M5，rt2及r2發送給新所有者的數據庫Dj。Dj計算M′5=C(kj,r2)并與傳來的M5比較，若不等則表示標簽不合法，協議終止。若相等則證明標簽是合法的，計算M6=C(kj,rt2)并發送給標簽。

步驟8 Dj→T：標簽計算 M6'=C(kj,rt2)，與傳來的M6比較，若不相等則表示新數據庫不合法，協議失敗。相等則說明Dj是合法的，到此標簽與新所有者間的認證完成。Flag置為1，表示標簽歸新所有者擁有。

3 協議的形式化證明與分析

3.1 協議的形式化證明

BAN[17]邏輯開辟了密碼協議安全性分析的新方向，是一種基于信念的模態邏輯，是一種很早也比較成熟的安全協議形式化證明方法。本文將采用BAN邏輯對該協議進行形式化證明，具體表達方式和推理規則遵照文獻[17-18]中的相關內容。本節需要用到的BAN公理如下：

（1）消息意義公理

（2）說過公理

（3）新鮮性公理

（4）亂數證明公理

（5）裁決權公理

該過程的理想化模型如下：

初始化假設如下，其中P1、P4表示原所有者與標簽彼此相信Ki是雙方共享密鑰；P7、P11表示新所有者與標簽彼此相信Kj是雙方共享密鑰；P2、P8表示原/新所有者相信隨機數是新鮮的；P3、P6、P10、P13表示標簽和原/新所有者對共享密鑰的擁有；P5、P9、P12表示標簽和新所有者相信加密信息是新鮮的。

本協議的形式化安全證明目標有4個：原所有者數據庫對標簽信息的相信；標簽對原所有者數據庫的相信；新所有者數據庫對標簽擁有新所有者共密鑰的相信；標簽對新所有者數據庫的相信。

基于以上的理想化模型和初始化假設，根據BAN邏輯公理現證明安全目標G1如下（G2、G3、G4的證明同理）：（1）由初始化假設 P1和已知的知識 Di?{rt1,ID,C(ki,ID)}ki，根據公理 M1，可以得到 Di|≡T～{rt1,ID,C(ki,ID)}ki；（2）由（1）中推導得出的結果，根據公理SAID1可以得到 Di|≡T～ID ；（3）由 P2，根據公理 F1得到 Di|≡#ID ；（4）由（2）、（3）的結果，根據公理 N1得到Di|≡T|≡ID ；（5）由（4）的結果，根據公理 J1得到Di|≡ID 。

3.2 協議的安全性分析

下面對本協議安全性和隱私進行簡要分析：

（1）假冒攻擊(IA)：假設攻擊者假冒原所有者Di，當協議執行到第（3）步，需要驗證ID和ki，而假冒者是無法同時獲得ID和ki，甚至假冒者不知道混沌加密的密鑰序列無法進行后續的驗證，驗證必然失敗，由此該協議可以抵抗假冒攻擊（對于新所有者的攻擊類似）。

（2）重放攻擊(RA)：在本協議中標簽使用動態數據Nx加密消息，而且一旦標簽收到消息后，Nx就會刷新數據，保持了協議執行的新鮮性，從而能夠抵抗重放攻擊[19]。

（3）拒絕服務攻擊(DOS)：因為在標簽中加入了Flag標示位，標簽在任意時刻只能歸某一所有者唯一所有，不會出現某一狀態不被所有者所有，從而能夠抵抗拒絕服務攻擊[20]。

（4）去異步攻擊(DA)：因為在該協議中不涉及到所有者與標簽的共享密鑰更新的問題，所以也不存在異步攻擊。

（5）前/后向隱私(F/BP)：Flag標志位的取值決定了密鑰的歸屬問題，因此原所有者無法得知新所有者與標簽之間的共享密鑰kj，新所有者也無法得知舊所有者與標簽之間的通信密鑰ki，因此該協議很好地保護了前/后向隱私安全。

本協議分別與幾個具有代表性的協議進行比較，如表2所示。

表2 安全性比較

3.3 協議的性能比較

一般從標簽的計算量，存儲量和通信量三方面對該類協議進行分析。在本協議中，標簽需要存儲5個變量(Nx,Flag,ki,kj,ID)，其中Flag只需要1 bit存儲，ID需要k位存儲，其余均需要l位存儲，即存儲量為4l+1。h是Hash函數的代價，c是混沌序列的代價，p是異或運算的代價，q是位移運算，在本協議中標簽計算6次，所以標簽計算代價為(4c+2p)。在通信過程中共有10個通信量參與，所以協議的通信量為10l。與幾個典型協議比較如表3所示（其中t為交換密文的長度）。

表3 性能比較

4 結束語

本文提出了一種基于混沌加密的RFID所有權轉移協。該協議采用了安全性高的混沌加密機制，并基于BAN邏輯加以形式化證明。通過安全分析該協議可以抵抗假冒攻擊、重放攻擊、拒絕服務攻擊、去異步攻擊、前（后）向隱私這些常見的攻擊。協議采用易于軟硬件實現且安全性高的Arnold cat混沌加密，標簽使用隨機函數而不是隨機發生器減少了標簽的成本。體現了輕量級的要求，適用于低成本的RFID的系統。RFID作為物聯網的基礎，下一步可將該混沌加密協議應用到物聯網中去。

參考文獻：

[1]Edelev S，Taheri S，Hogrefe D.A secure minimalist RFID authentication and an ownership transfer protocol compliant to EPC C1G2[C]//International Conference on RFID Technology and Applications（RFID-TA），2016：126-133.

[2]Fouladgar S，Afifi H.An efficient delegation and transfer of ownership protocol for RFID tags[C]//Proc of the 1st Int Eurasip Workshop on RFID Technology，2007.

[3]周世杰，張文清，羅嘉慶.射頻識別（RFID）隱私保護技術綜述[J].軟件學報，2015，26（4）：960-976.

[4]Molnar D，Soppera A，Wagner D.A secalable，delegatable psecudonym protocol enabling ownership transfer of RFID tags[C]//Proc of Selected Areas in Crytography-SAC 2005.Berlin：Springer，2005，3897：276-290.

[5]Osaka K，Takagit，Yamazaki K，et al.An efficient and secure RFID security method with ownership transfer[C]//Proceedings of IEEE 2006 International Conference on Computational Intelligence and Security，2006.

[6]Chen C L，Huang Y C，Jiang J R.A secure ownership transfer protocol using EPCglobalGen-2RFID[J].Telecommunication Systems，2013，53（4）：387-399.

[7]金永明，孫惠平，關志，等.RFID標簽所有權轉移協議研究[J].計算機研究與發展，2011，48（8）：1400-1405.

[8]Shamir A.SQUASH-A new MAC with provable security properties for highly constrained devices such as RFID tags[C]//Proc of 15th Annual Fast Software，2008，5086：144-157.

[9]毛雅佼，孫達志.一種新的RFID標簽所有權轉移協議[J].計算機工程，2015，41（3）：147-150.

[10]Niu Y，Wang X.An anonymous key agreement protocol based on chaotic maps[J].Communications in Nonlinear Science and Numerical Simulation，2011，16（4）：1986-1992.

[11]Wang X，Zhao J.An improved key agreement protocol based on chaos[J].Communications in Nonlinear Science&Numerical Simulation，2010，15（12）：4052-4057.

[12]Wang X，Wang S，Wang Z，et al.A new key agreement protocol based on Chebyshev chaotic maps[J].Security&Communication Networks，2016，9（18）.

[13]張健，于曉洋，任洪娥.一種改進的Arnold cat變換圖像置亂算法[J].計算機工程與應用，2009，45（35）：14-17.

[14]Zhang Y Q，Wang X Y.A symmetric image encryption algorithm based on mixed linear-nonlinear coupled map lattice[J].Information Sciences，2014，273（8）：329-351.

[15]陳勇，李鳳華，陳榮金.電子標簽RFID系統的混沌加密算法設計與仿真[J].數字通信，2009，36（1）：49-52.

[16]沈金偉，凌捷.一種改進的超輕量級RFID所有權轉移協議[J].計算機科學，2014，41（12）：125-128.

[17]張文政，王立斌.安全協議設計與分析[M].北京：國防工業出版社，2015-11.

[18]Burrows M，Abadi M，Needham R.A logic of authentication[J].ACM Transactions on Computing Systems，1990，8（1）：18-36.

[19]Song B，Mitchell C J.RFID authentication protocol for low-cost tags[C]//Proc of ACM Conference on Wireless Network Security（WiSec’08），2008.

[20]Wang Xingyuan，Luan Dapeng.A secure key agreement protocol based on chaotic maps[J].Chinese Physics B，2013，22（11）：239-243.