基于PRESENT算法的安全標簽基帶設計

秦 琴,李 聰,蔡 磊,黃 沖,郭俊平,李建成

(1.湘潭大學材料與光電物理學院,湖南湘潭411005;2.國防科學技術大學電子科學與工程學院,長沙410073)

基于PRESENT算法的安全標簽基帶設計

秦 琴1,李 聰2,蔡 磊1,黃 沖2,郭俊平1,李建成2

(1.湘潭大學材料與光電物理學院,湖南湘潭411005;2.國防科學技術大學電子科學與工程學院,長沙410073)

針對無線射頻識別(RFID)標簽芯片中存在的安全問題,設計一款具有安全功能的UHF RFID標簽基帶,該基帶遵循我國自主射頻識別空中接口協議GJB 7377.1-2011。通過研究RFID標簽的設計需求和安全策略,給出基于PRESENT加密算法和安全協議的標簽安全性設計方案?；鶐гO計采用寄存器分時復用、功耗管理、多時鐘域設計、門控時鐘等低功耗策略。實驗結果表明,該數字基帶符合自主標準,具有安全功能,基帶總面積為339.84 μm×332.56 μm,其中安全模塊占總面積的36.5%,基帶總功耗低至5.26 μW。

無線射頻識別;PRESENT算法;自主標準;安全標簽;數字基帶;低功耗

1 概述

無線射頻識別(Radio Frequency Identification, RFID)技術是通過空間耦合實現信息無接觸傳遞,并通過傳遞的信息來識別特定目標的技術。RFID技術廣泛應用公共交通、供應鏈管理、公共管理、安全防偽、運動賽事、工業自動化、醫療等諸多領域［1-2］。

RFID系統的通信主要通過電磁波傳輸,這種非接觸的無線通信很容易受到竊聽和干擾,RFID系統面臨著信息被非法監聽、竊取甚至篡改等安全威脅［3］。安全與隱私問題已經成為決定RFID系統能否更為廣泛應用的重要因素。

我國的RFID技術起步較晚,目前超高頻芯片的設計大都使用國外的標準,如ISO/IEC 18000-6C(以下簡稱6C)、EPC class1 gen2、Ubiquitous ID等,其中6C是SIO/IEC通過適當修改EPC class1 gen2而制定,最為常用。在6C協議中存在著若干安全問題,6C中采用的數據保護是在執行寫入操作時,用一個16位

的隨機數與待寫入的數據異或后傳送,雖然避免了明文傳輸,但是攻擊者可以很容易地截獲用于異或操作的16位的隨機數,從而分析出要寫入標簽的信息,甚至冒充合法讀寫器對標簽的數據任意篡改。

具有我國自主知識產權的RFID標準:《軍用射頻識別空中接口第一部分:800/900 MHz》(以下簡稱自主標準)于2011年10月1日正式頒布［4］,該標準規定了840 MHz～845 MHz及920 MHz～925 MHz超高頻頻段的通信協議和空中接口規范。相比于6C,自主標準根據數據密級需要,選擇是否工作在安全模式。在安全模式下,讀寫器和標簽通信前需要進行安全鑒別。安全鑒別通過后,重要信息以密文的方式傳輸,讀寫器每次發起請求時都會首先發送一個隨機數,能有效抵抗重放攻擊、假冒攻擊、跟蹤攻擊和篡改攻擊等安全威脅。

本文通過研究RFID標簽數字基帶的安全技術,設計了一款基于自主標準、具有安全功能、低功耗的無源UHF RFID標簽數字基帶。

2 標簽芯片的安全性

2.1 安全標簽芯片的設計要求

標簽的安全性主要解決標簽與讀寫器的合法性認證及數據保密的問題,以防止跟蹤、竊取、非法訪問或篡改標簽信息的行為。

受芯片成本的限制,標簽芯片的硬件資源十分有限,用于實現安全功能的硬件資源更少。對存儲容量為幾百位的標簽,用于實現安全功能的等效門電路數僅為250門～5 000門［5］。

對于無源標簽,標簽工作的能量由整流讀寫器發送的電磁波獲得,標簽的工作距離與功耗成反比。降低標簽的功耗能有效提高無源標簽的工作距離。

RFID安全性設計的目標是用最小的芯片面積,確保標簽信息在存儲、處理和傳輸過程中的有效性和安全性,并盡可能地降低芯片的功耗。

2.2 標簽芯片安全性機制

目前,實現RFID安全防護所采用的方法主要有物理安全機制和密碼安全機制［6］。

物理安全機制是采用物理方法保護標簽的安全性。常用的物理安全機制有靜電屏蔽、阻塞標簽、Kill命令機制、剪裁標簽和主動干擾等［7］。使用物理安全機制需增加額外設備或破壞標簽,存在較多的局限性。

密碼安全機制通過認證協議和消息密文傳輸保證數據安全。

認證是指在信息交互前,讀寫器和標簽對對方身份的合法性的判定。標簽有3種認證方式:讀寫器對標簽的單向認證;標簽對讀寫器的單向認證;讀寫器與標簽的雙向認證。

消息密文傳輸是指將重要數據用加密算法和加密密鑰加密后傳輸,接收方接到數據后通過解密算法和解密密鑰將密文恢復成明文。在通常情況下,標簽與讀寫器間的無線通信為明文傳輸,通信信息容易被攻擊者獲取和利用。當消息密文傳輸時,即使信息被截獲,攻擊者也不知道信息內容。同時,標簽不響應非法讀寫器的相關操作,有效地防止了篡改攻擊。

與物理安全機制相比,密碼安全機制更加經濟、靈活和便捷。本文設計的基帶,通過安全協議和加密算法的使用來保證標簽的安全性。

3 安全功能實現

3.1 安全協議

基帶設計遵循自主標準中的雙向鑒別協議和安全通信協議。

自主標準中的雙向鑒別協議是基于Hash函數與密鑰更新的雙向安全認證協議,既解決了已有協議存在的安全問題,同時能夠滿足無源標簽計算能力與存儲容量的苛刻要求。

圖1為讀寫器和標簽的雙向鑒別協議流程。首先讀寫器發送安全參數獲取命令,收到命令后,標簽將包含加密算法、密鑰長度、安全模式、安全功能及響應參考時間的安全參數發送給讀寫器。接著讀寫器發送請求加密鑒別命令,收到命令后,標簽生成隨機數RNt發送給讀寫器。之后讀寫器用根密鑰AK加密接收到的RNt及生成的隨機數RNr和會話密鑰SK,發送雙向鑒別命令。收到命令后,標簽用根密鑰AK解密接收到的數據,并將接收到的隨機數RN′t與跟發送的RNt進行比較,若兩者相等,則判定讀寫器通過安全鑒別,且會話密鑰為SK,并將隨機數RN′r發送給讀寫器。讀寫器比較接收到的RN′r和發送的RNr,若兩者相等,則判定標簽通過安全鑒別。

圖1 雙向鑒別協議

讀寫器和標簽通過鑒別后,便可按圖2所示的安全通信協議流程進行通信［3］。讀寫器生成隨機數RNt,用會話密鑰SK加密隨機數和通信命令。隨后,標簽用SK解密接收的數據,并根據通信命令類型做相應的處理,同時將響應數據和生成的隨機數RNr用SK加密后返回給讀寫器。通信協議中會話密鑰和隨機數的引用能有效防止跟蹤、重放攻擊等安全威脅。

圖2 安全通信協議

3.2 加密算法選取及實現

在RFID系統中,標簽有嚴格的成本限制,硬件資源非常有限［8］,難以使用較復雜的加密算法來保障標簽和讀寫器之間的通信安全,因此,加密算法的簡潔高效至關重要。

3.2.1 加密算法的選取

隨著RFID的廣泛應用,國內外學者提出了很多用于RFID應用的輕量級加密算法,如Hight, mCrypton,DESL,PRESENT等［9-12］。表1為上述算法的比較。

表1 輕量級算法的比較

從表中可以看到,PRESENT,DESL,Ktantan, Katan,Grain 5種算法硬件實現所需的面積較小?？紤]到自主標準規定讀寫器發送命令后,標簽需在一定時間范圍響應,因此,吞吐率較小的DESL, Ktantan,Katan算法不利于讀寫器與標簽的信息交互。Grain算法所需的門數較低,但算法消耗的功率較大［10］,不適合要求低功耗的標簽芯片。綜合考慮,基帶設計選用面積和吞吐率都較優的PRESENT算法。

3.2.2 PRESENT算法的硬件實現

PRESENT是由Bogdanov等人于在2007年的CHES會議上在提出的輕量級分組密碼［13］,加密流程如圖3所示。算法采用SPN結構,分組長度為64位,支持80位和128位2種密鑰長度,共迭代31輪。使用128位密鑰時,密鑰更新時使用2個S盒,同時需要128位的寄存器,增加了額外的門數和功耗,而使用80位密鑰的足以提供滿足RFID眾多應用的安全等級［25］,故本設計選用長度為80位的密鑰。

圖3 PRESENT加密流程

根據PRESENT加密運算過程,其硬件實現結構可以有并行處理、串行處理及循環迭代3種。并行處理結構可以在1個時鐘周期內完成加密過程,但硬件實現時需共用到496個S盒和31個64位的寄存器,占用硬件資源多,適合高速或實時數據處理等應用場合。串行處理一次處理4位數據,完成加密過程僅需用到一個S盒,硬件實現時所需的硬件資源少,消耗的功耗低。不足之處是完成一輪運算需要16個周期,完全所有加密需要497個時鐘周期,僅適用與對時間沒有限制的應用場合。循環迭代結構中,需要的硬件資源和時鐘周期及消耗的功耗介于并行處理結構和串行處理結構之間,包含16個S盒,完成一次加密過程需32個時鐘周期,適合對實

時性要求不高,硬件資源有限,低功耗的應用。本文的硬件設計采用循環迭代結構。

采用循環迭代結構,PRESETN算法的硬件實現如圖4所示。圖4左部分是數據路徑的塊加密操作,首先一個64位的2選1選擇器選擇初始明文或上一輪加密后的數據作為輸入,并存儲在一個64位的寄存器中。接著數據與輪密鑰的右64位進行逐位異或。然后6位的輪計數器判斷是否為第32輪,若是,則直接輸出數據,即密文,否則將數據依次通過S盒代換層和P置換層。S盒將一個4位的數值用另一個4位的數值替代,保證了數據的隨機性和非線性,S盒層由16個并行的S盒構成。P置換層是將原來的數值重新排列,保證了算法的非線性。P置換層直接由連線實現。

圖4 PRESENT硬件實現

圖4右部分為密鑰更新操作。一個80位二選一選擇器根據輪計數器數值選擇密鑰,除第一輪使用初始密鑰外,其他輪的運算均使用上一輪的更新密鑰。密鑰跟新由移位操作(循環左移61位)、左4位的S盒代換和19位～15位的數值與輪數的異或組成。硬件實現時需用到一個80位的移位寄存器、一個S盒和一個5位的異或器。注意到塊加密和密鑰跟新使用相同的S盒,且它們分別在一個時鐘周期的高電平和低電平階段完成,因此,硬件實現時對S盒進行復用,節約了部分硬件資源。此外,輪密鑰在每輪加密之前計算,使用后進行更新,這樣節省大量的存儲單元。

4 基帶總體設計及低功耗設計

4.1 基帶總體設計

本文設計的數字基帶總體結構如圖5所示。首先標簽上電后初始化模塊完成初始化存儲區、讀取標簽狀態和鑒別密鑰、產生隨機化種子等操作。隨后,解密模塊對射頻模擬前端解調后的TPP編碼信號進行解碼,并將命令頭和命令中的參數分別傳至命令解析模塊和接收模塊,需要進行解密操作的參數傳送至安全模塊。接著狀態機模塊作根據接收到的參數作相應的狀態跳轉,發送模塊完成標簽的響應操作,并將需要進行加密的數據傳至安全模塊。最后,標簽的響應由編碼模塊編碼輸出。各個模塊與存儲的數據交互由存儲器控制模塊完成。功耗管理模塊負責為其他各個模塊產生使能信號;分頻模塊對系統主時鐘進行分頻,產生其他各模塊工作所需的時鐘信號。

圖5 數字基帶結構

4.2 低功耗設計

4.2.1 寄存器分時復用

多位寄存器占相當多的硬件資源,所使用的工藝中,一個帶異步復位的觸發器所占面積為7.5個等效門電路。數字基帶中安全功能的使用需要用到大量寄存器,接收模塊對安全鑒別命令的數據、安全通信命令的數據進行了分時復用,節約了一個64位的寄存器。

4.2.2 功耗管理

通過功耗管理模塊中的使能信號控制模塊中主要時鐘的關斷,讓各個模塊依次工作,未用到的模塊處于關斷狀態,大大減小了動態功耗。

4.2.3 時鐘域策略

自主標準對反向鏈路頻率允差有苛刻規定,為了達到時鐘頻率精度要求,時鐘頻率需大于1.60 MHz［26］。自主標準中反向鏈路時鐘最高頻率為640 KHz［4］,本文通過主時鐘分頻的方式產生鏈路時鐘,故選取1.92 MHz作為基帶的主時鐘頻率。

動態功耗與頻率成正比,本設計使用主時鐘頻率、鏈路時鐘頻率、主時鐘頻率的八分頻3個時鐘域,使不同模塊根據需要工作在不同時鐘頻率下。解碼模塊在主時鐘頻率下工作,保證了反向鏈路頻率允差。存儲器控制模塊在初始化時工作頻率為主時鐘頻率的八分頻,用最低頻率完成了從存儲器讀取所需數據操作。其余模塊在頻率適中的鏈路時鐘

頻率下工作,保證了標簽的反應速度。這種多時鐘域的設計在保證基帶功能和效率的同時大大降低了基帶的總功耗。

4.2.4 門控時鐘

通過使用門控時鐘進一步降低功耗。表2給出對芯片數字基帶進行邏輯綜合后的功耗和面積報告?？梢钥闯?使用門控時鐘后,設計的動態功耗降低很多,并且,在降低功耗的同時,面積也有了一定的減小。

對基帶進行物理設計,面積為339.84 μm× 332.56 μm,約12 872門。其中,安全模塊所占面積為339.8 μm×121.48 μm,占基帶總面積的36.5%。進行功耗分析,工作電壓為1.0 V,系統時鐘采用1.92 MHz,總功耗5.26 μW,各個模塊的功耗分布如表2所示?？梢钥闯?由于需要多次對數據進行加解密,安全模塊消耗的功耗較大。其功耗分布如圖6所示。

表2 使用門控時鐘前后的功耗和面積報告

圖6 各模塊的功耗分布

5 FPGA驗證及對比分析

5.1 FPGA驗證

建立RFID讀寫器的仿真模型,并用該模型向標簽數字基帶發送相關的操作命令,對數字基帶進行功能驗證。驗證結果顯示,當讀寫器未通過安全鑒別時,標簽對讀寫器的訪問命令不予響應,數字基帶具有一定的安全性。圖7為讀寫器模型與標簽進行安全鑒別和安全通信的仿真結果。

圖7 安全鑒別和安全通信仿真結果

基于FPGA開發標簽模擬器,將標簽數字基帶下載到FPGA,得到標簽原型。用基于NI-VISN-100射頻識別軟件無線電平臺搭建的模擬讀寫器發送命令,與標簽之間進行通信,完成標簽數字基帶的原型驗證。圖8為測試平臺實物圖。圖9給出了發送Query命令時,示波器測得的模擬讀寫器和標簽響應的波形。

圖8 原型驗證平臺

圖9 Query命令和標簽響應的測試波形

5.2 與其他基帶方案的對比分析

目前,具有安全功能的標簽芯片較少。表3將本文的設計與同類工作進行對比,與文獻［27］相比,本文設計的基帶面積更小,功耗更低,與文獻［28］相比,面積更低,功耗略大,與文獻［29］相比,安全模塊所占的面積更小,而且本文設計采用了復雜的安全協議,更能保證標簽的通信安全。在表3中,部分數據文獻［28］沒給出明確數值,?1表示根據面積和工藝折算,?2表示根據版圖估算。

表3 本文基帶方案與其他基帶方案對比

6 結束語

本文通過研究我國自主標準及標簽設計的安全策略,比較分析多種加密算法和研究標簽的安全協議,提出基于PRESENT算法,設計一款雙向認證協議與安全通信協議的符合自主標準的UHF RFID安全標簽數字基帶。通過模塊劃分、模塊復用、寄存器分時復用、引入功耗管理模塊、多時鐘域方案以及門控時鐘等方法,使整個基帶的功耗低至5.26 μW。FPGA驗證結果表明,本文設計的標簽符合自主標準,具有安全功能。采用TSMC 0.18 μm mix RF工藝,數字基帶總門數為12 872,其中安全模塊占36.5%。

［1]Klaus F.RFID Handbook:Fundamentals and Applications in Contactless Smart Cards,Radio Frequency Identification and Near-field Com-munication［M］.3rd ed.［S.1.］: Wiley,2010.

［2]林為民,張 濤,馬媛媛,等.射頻識別(RFID)技術應用及其安全［M］.北京:電子工業出版社,2013.

［3]Thornton F,HainesB,DasAM,etal.RFID Security［M］.［S.1.］:Syngress Publishing,2006.

［4]解放軍總裝備部.GJB 7377.1-2011軍用射頻識別空中接口第一部分:800/900MHz參數［S］.2011.

［5]粟 偉,崔 喆.基于Hash鏈的RFID隱私增強標簽研究［J］.計算機應用,2006,26(10):2328-2331.

［6]Juels A.RFIDSecurityandPrivacy:AResearch Survey［J］.IEEEJournalonSelectedAreasin Communications,2006,24(2):381-394.

［7]Juels A,Rivest R L,Szydlo M.The Blocker Tag: SelectiveBlockingofRFIDTagsforConsumer Privacy［C］//Proceedings of the 10th ACM Conference on Computer and Communications Security.［S.1.］: ACM Press,2003:103-111.

［8]Robshaw M J B.An Overview of RFID Tags and New Cryptographic Developments［J］.Information Security Technical Report,2006,11(2):82-88.

［9]Maimut D,Ouafi K.Lightweight Cryptography for RFID Tags［J］.IEEE Security&Privacy,2012,10(2):76-79.

［10]Good T,Benaissa M.Hardware Results for Selected Stream Cipher Candidates［J］.State of the Art of Stream Ciphers,2007:191-204.

［11]Kitsos P,Sklavos N.A Comparative Study of Hardware ArchitecturesforLightweightBlockCiphers［J］.Computers&Electrical Engineering,2012,38(1):148-160.

［12]Engels D,FanX.Hummingbird:Ultra-lightweight Cryptography for Resource-constrained Devices［C］// Proceedings of Financial Cryptography and Data Security Conference.Berlin,Germany:Springer,2010:3-18.

［13]Bogdanov A,KnudsenLR,LeanderG,etal.PRESENT:An Ultra-lightweight Block Cipher［C］// Proceedings of CHES’07.Berlin,Germany:Springer, 2007:450-466.

［14]Lim C H,Korkishko T.mCrypton——A Lightweight Block Cipher for Security of Low-cost RFID Tags and Sensors［C］//ProceedingsofInformationSecurity Applications Conference.Berlin,Germany:Springer, 2006:243-258.

［15]Feldhofer M,WolkerstorferJ,RijmenV.AES ImplementationonaGrainofSand［J］.IEE Proceedings-information Security,2005,152(1):13-20.

［16]Hong D,Sung J.HIGHT:A New Block Cipher Suitable forLow-resourceDevice［C］//Proceedingsof CHES’06.Berlin,Germany:Springer,2006:46-59.

［17]Poschmann A,Leander G.New Light-weight Crypto Algorithms for RFID［C］//Proceedings of ISCAS’07.Berlin,Germany:Springer,2007:1843-1846.

［18]de Canniere C,Dunkelman O,Kne?evic'M.KATAN and KTANTAN——A Family of Small and Efficient Hardware-orientedBlockCiphers［C］//Proceedingsof CHES’06.Berlin,Germany:Springer,2009:272-288.

［19]Izadi M,Sadeghiyan B,Sadeghian S S,et al.MIBS:A New Lightweight Block Cipher［C］//Proceedings of Cryptology and Network Security Conference.Berlin, Germany:Springer,2009:334-348.

［20]Cheng H,Heys H M.Puffin:A Novel Compact Block Cipher Targeted to Embedded Digital Systems［C］// Proceedings of the 11th EUROMICRO Conference on DigitalSystemDesignArchitectures,Methodsand Tools.［S.1.］:IEEE Press,2008:383-390.

［21]Gong Z,Nikova S.KLEIN:A New Family of Lightweight Block Ciphers［C］//Proceedings of Security and Privacy Conference.Berlin,Germany:Springer,2012:1-18.

［22]肖夢琴,沈 翔,楊玉慶,等.Hummingbird算法在射頻識別標簽中的應用［J］.計算機工程,2011,37(17): 78-80.

［23]Engels D,Saarinen M J O,Schweitzer P,et al.The Hummingbird-2 Lightweight Authenticated Encryption Algorithm［C］//Proceedings of Security and Privacy Conference.Berlin,Germany:Springer,2012:19-31.

［24]Hell M,Johansson T,Meier W.Grain:A Stream Cipher for Constrained Environments［J］.International Journal of Wireless and Mobile Computing,2007,2(1):86-93.

［25]Rolfes C,PoschmannA,LeanderG,etal.UltralightweightImplementationsforSmartDevices——Security for 1 000 Gate Equivalents［C］//Proceedings of Smart Card Research and Advanced Applications Conference.Berlin,Germany:Springer,2008:89-103.

［26]李 聰,谷曉忱,李建成,等.一種對時鐘偏差不敏感的無源RFID標簽編解碼算法［J］.國防科技大學學報,2013,35(3):126-131.

［27]Xiao M,Shen X,Wang J,et al.Design of a UHF RFID Tag Baseband with the Hummingbird Cryptographic Engine［C］//Proceedings of ASIC’11.［S.1.］:IEEE Press,2011:800-803.

［28]Man A S W,Zhang E S,Lau V K N,et al.Low Power VLSI Design for a RFID Passive Tag Baseband System Enhanced with an AES Cryptography Engine［C］// ProceedingsofRadioFrequencyIdentification Conference.［S.1.］:IEEE Press,2007:1-6.

［29]Ricci A,Grisanti M,De Munari I,et al.Design of a 2 μW RFID Baseband Processor Featuring an AES Cryptography Primitive［C］//Proceedings of the 15th IEEE International Conference on Electronics,Circuits and Systems.［S.1.］:IEEE Press,2008:376-379.

編輯 索書志

Design of Security Tag Baseband Based on PRESENT Algorithm

QIN Qin1,LI Cong2,CAI Lei1,HUANG Chong2,GUO Junping1,LI Jiancheng2
(1.School of Materials and Optoelectronics Physics,Xiangtan University,Xiangtan 410005,China;
2.College of Electronic Science and Engineering,National University of Defense Technology,Changsha 410073,China)

To improve the security and privacy problems in Radio Frequency Identification(RFID)tags,a low power UHF RFID security tag baseband in accordance with the independent national protocol(GJB 7377.1-2011)is designed.Through studying RFID tags’security strategy and comparing plenty of cryptographic algorithms,PRESENT cryptographic algorithm and security protocol are used to ensure tag’s security.Reuse of several blocks,time-sharing reuses of registers,power management and multiple time regions design are employed to minimize the power consumption of baseband.Experimental results show that the baseband is in accordance with the independent national UHF RFID standard and has security function.The area of the digital baseband is 369.84 μm×362.56 μm,of which the security module takes 36.5%,and the power consumption of the baseband is 5.26 μW.

Radio Frequency Identification(RFID);PRESENT algorithm;independent standard;security tag;digital baseband;low power consumption

秦 琴,李 聰,蔡 磊,等.基于PRESENT算法的安全標簽基帶設計［J］.計算機工程, 2015,41(3):110-115.

英文引用格式:Qin Qin,Li Cong,Cai Lei,et al.Design of Security Tag Baseband Based on PRESENT Algorithm［J］.Computer Engineering,2015,41(3):110-115.

1000-3428(2015)03-0110-06

:A

:TP309

10.3969/j.issn.1000-3428.2015.03.021

秦 琴(1990-),女,碩士研究生,主研方向:加密算法,數字集成電路設計;李 聰,博士研究生;蔡 磊、黃 沖、郭俊平,碩士研究生;李建成,教授。

2014-03-17

:2014-05-11E-mail:qinqin7799@163.com