基于M序列的輕量級RFID認證協議

徐鵬翱 滕濟凱 馬鴻洋

(青島理工大學理學院 山東青島 266033) (xupa123@163.com)

RFID技術即射頻識別技術是近幾年來業界非常關注的熱點.正是因為RFID標簽的體積小、壽命長、容量大而且可以重復使用等優點， 目前RFID技術已被廣泛應用于各種領域[1-2].RFID由2個主要模塊構成：標簽和讀寫器.RFID讀寫器能夠直接掃描目標對象，這帶來了很高的效率，但同時也帶來了很大的安全隱患，主要是因為電子標簽的內容容易被泄露，另外，標簽也很容易被追蹤、定位，這給人們帶來了很多隱私威脅問題.盡管有許多安全手段，但是也沒有完全解決安全和隱私問題[3].如果這里的安全和隱私問題不能解決，人們就不會很放心地使用RFID系統，這就會極大地阻礙RFID的發展.因此，RFID應用中的安全隱私保護問題受到人們的重視，提出了許多RFID隱私保護協議，有Sarma等人[4]提出的一種基于Hash函數的Hash-Lock協議和隨機化Hash-Lock協議[5]，其中隨機化Hash-Lock協議是Hash-Lock協議的一個擴展，它解決了標簽定位隱私問題，解決的方法是主動干擾無線電信號，標簽用戶可以通過一個設備主動廣播無線電信號阻止或破壞附近的RFID閱讀器的操作.Juels等人[6]提出了基于Hash鏈的認證協議，該認證協議在認證過程中通過阻止閱讀器讀取標簽來確保消費者隱私，另外標簽還通過刷新認證所用的ID來實現前向安全性.陳瑞鑫等人[7]提出了一種基于Hash函數的雙向RFID認證協議，為了避免信息泄露和被追蹤，使用metaID代替真實的標簽ID.但是這些協議需要大量運算和通信，所需要的計算資源和通信資源都非常多，只適用于小規模應用.Zhou等人[8]提出了輕量級協議來提高協議的可行性，但該協議被發現不能抵抗拒絕服務攻擊.Duc等人[9]提出了一種抵抗拒絕服務攻擊的認證協議，但是該協議在最壞情況下計算復雜度為O(m×n)，可行性仍然不好，而且不具有前向安全性.為了提高協議的可行性，有些研究人員提出了采用輕量級分組密碼的認證協議[10-11].Chien等人[12]和Fernàndez-Mir等人[13]試圖通過標簽和服務器共享的索引偽標識符來提高協議的可擴展性，但由于系統數據同步性失敗所導致的位置跟蹤問題，張順和陳海進[14]提出了雙向認證協議，該協議可擴展性好，而且能抵抗拒絕服務攻擊.在上述協議[3-14]中，服務器的搜索量都和標簽的個數有關.

本文基于M序列提出了一種安全高效的輕量級RFID認證協議.在該協議中，服務器的搜索量和標簽個數無關.標簽和服務器只需做少量計算就可以完成協議的運行.協議具有抗重放、抗分析、防偽造、防跟蹤等安全屬性.

1 基礎知識介紹

在描述協議之前，先介紹和協議相關的n級移位寄存器、M序列以及聯結多項式.

n級移位寄存器：n級移位寄存器由n個寄存器和1個開關電路組成，寄存器從左至右依次稱為第1級，第2級，…，第n級.每個寄存器中的內容為有限域Fq中的一個元素，每一級的內容移給下一級，最后一級的內容輸出，為了保持連續工作，將移位寄存器的某些內容進行運算后反饋到第1級.不斷加脈沖即移位寄存器不斷移動，上述n級移位寄存器的輸出就構成一個無限序列a0，a1，…，an，…這個寄存器稱為線性移位反饋寄存器.

M序列：上述序列a0，a1，…，an，…必為周期序列，序列a0，a1，…，an，…的周期最大值可達到2n-1，稱周期達到最大值的線性移位寄存器序列為M序列.

聯結多項式:如果有一個序列適合遞歸關系式ak=-c1ak-1-c2ak-2-…-cnak-n(k≥n)，則稱多項式f(x)=1+c1x+c2x2+…+cnxn為這個線性移位反饋寄存器序列的聯結多項式.

2 協議介紹

在以往大多數認證協議中，標簽和讀寫器有較高的計算量和通信量，服務器的搜索量和標簽個數有關.本文基于M序列提出了一種輕量級RFID認證協議，該協議可以使標簽和讀寫器具有較低的計算量和通信量，而且服務器的搜索量為常數級，該協議也具有較強的安全屬性.

2.1 協議描述

協議初始化：

首先，為系統選擇一個合適的Hash函數H:{0,1}*→Fq，然后為每個標簽Ti分配1個聯結多項式fi，聯結多項式fi為該標簽和服務器共享，fi在服務器中的存儲位置被標識為ui.

該協議運行過程如下：

1) 閱讀器向標簽Ti發送1個認證請求，生成

1個隨機數mi∈2n-1，然后將請求和mi發送給標簽Ti.

2) 標簽Ti收到后，選擇隨機數ti∈2n-1，以fi為聯結多項式，以H(IDi)為初態，移動mi步，將得到的狀態ni和ti發送給閱讀器，閱讀器轉發給服務器.

3) 服務器收到后，以fui為聯結多項式，以ni為初態，移動2n-1-mi步，得到H(IDi)，并檢查與數據中保存的身份信息的Hash值是否一致，如果一致，接受標簽Ti，服務器將fui轉發給讀寫器；否則標簽認證失敗，服務器停止響應.

4) 閱讀器fui聯結多項式，以H(R)為初態，其中R為讀寫器的身份信息，移動ti步，將得到的狀態vi發送給標簽Ti.

5) 標簽以fi為聯結多項式，以vi為初態，移動2n-1-ti步，得到H(R)，并檢查計算的H(R)是否正確，如果正確則接受讀寫器，否則意味著受到了1次攻擊.

因為序列的周期為2n-1，所以序列移動mi步后，再移動2n-1-mi步可以得到初態H(IDi).同理，移動ti步后，再移動2n-1-ti步可以得到初態H(R)，因此，協議正確.

2.2 協議的分析

2.2.1安全性分析

1) 抗重放攻擊和哄騙攻擊，抗數據分析

因為M序列和偽隨機序列的不可區分性，對敵手來說，每次發送的消息都具有隨機性.另外因為M序列的周期非常大，所以攻擊者無法記錄下每一次的通信數據.

2) 防偽造

在2次認證中，盡管參數明文傳輸，但是聯結多項式是保密的，而且M序列和偽隨機序列是不可區分的，因此只有正確參數的持有者才能通過對方的驗證，攻擊者無法通過對方的驗證.

不可跟蹤性也就是如果攻擊者不能從一個協議通信報文集中區分出2個具有不同密鑰的標簽，則稱這個RFID協議具有不可跟蹤性.在本協議中，因為M序列和偽隨機序列的不可區分性，攻擊者即使獲取了大量的通信數據，也無法判別出數據屬于哪個標簽，所以本協議具有不可跟蹤性.

2.2.2復雜性分析

為了便于協議的分析和比較，將使用如下記號.

H:表示 Hash運算；

XOR:表示異或運算；

PRNG:表示1次偽隨機數產生的運算；

l:表示元素長度.

n:表示數據庫中標簽的個數.

協議的復雜度比較如表1所示:

表1 復雜度比較

由表1可以看出，本文提出的協議在存儲量、計算量、通信量和搜索量上優于其他協議，特別是在服務器的搜索量上，本文的協議是常數，和標簽的個數無關，而其他協議都和標簽的個數有關，因此，本文提出的協議其效率要高于其他協議的效率.

3 結 論

本文采用M序列提出了一種輕量級RFID認證協議，該協議在存儲量、計算量、通信量方面均優于目前大多數協議，特別是在服務器的搜索量上，該協議的搜索量和標簽的個數無關.在安全性上，本文的協議實現了抗重放、抗分析、防偽造、防跟蹤等安全屬性.

[1]Rhee K, Kwak J, Kim S, et al. Challenge-response based RFID authentication protocol for distributed database environment[G]LNCS 3450: Proc of the Int Conf on Security in Pervasive Computing. Berlin: Springer, 2005: 70-84

[2]周永彬, 馮登國. RFID安全協議的設計與分析[J]. 計算機學報, 2006, 29(4): 581-589

[3]Burmester M, Medeiros B, Motta R, et al. Anonymous RFID authentication with constant key-lookup[C]Proc of the 2008 ACM Symp on Information, Computer and Communications Security. New York: ACM, 2008: 283-291

[4]Sarma S E, Weis S A, Engels D W. RFID systems and security and privacy implications[C]Proc of Int Workshop on Cryptographic Hardware and Embedded Systems.Berlin: Springer, 2003: 454-469

[5]Sarma S E, Weis S A, Engels D W. Radiofrequency identification: Secure risks and challenges[J]. RSA Laboratories Cryptophytes, 2003, 6(1): 2-9

[6]Juels A, Rivest R L, Szydlo M. The blocker tag: Selective blocking of RFID tags for consumer privacy[C]Proc of the 10th ACM Conf on Computer and Communication Security. New York: ACM, 2003: 103-111

[7]陳瑞鑫, 鄒傳云, 黃景武. 一種基于雙向Hash認證的RFID安全協議[J]. 微計算信息, 2010, 26(11): 149-151

[8]Zhou S J, Zhang Z, Luo Z, et al. A lightweight anti-desynchronization RFID authentication protocol[J]. Information Systems Frontiers, 2010, 12(5): 521-52

[9]Duc D N, Kim K. Defending RFID authentication protocols against DoS attacks[J]. Computer Communi-cations, 2011, 34(3): 384-390

[10]Ohkubo M, Suzuki K, Kinoshita S. Efficient hash-chain based RFID privacy protection scheme[C]Proc of Int Conf on Ubiquitous Computing Ubicomp, Workshop. 2004 [2018-05-29]. https:ci.nii.ac.jpnaid10030538475#cit

[11]Tsudik G. YA-TRAP: Yet another trivial RFID authenti-cation protocol[C]Proc of the 4th Annual IEEE Int Conf

on Pervasive Computing and Communications Workshops. Piscataway, NJ: IEEE, 2006: 640-643

[12]Chien H Y, Huang C W. A lightweight authentication protocol for low-cost RFID[J]. Journal of Signal Processing Systems, 2010, 59(1): 95-102

[13]Fernàndez-Mir A, Castellà-Roca J, Viejo A. Secure and scalable RFID authentication protocol[G]LNCS 6514: Proc of the 5th Int Workshop on Data Privacy Management. Berlin: Springer, 2011: 231-243

[14]張順, 陳海進. 輕量級的無線射頻識別安全認證協議[J]. 計算機應用, 2012, 32(7): 2010-2014