按位運(yùn)算的RFID系統(tǒng)密鑰無(wú)線生成算法

曹朝陽(yáng) 吳慶濤

1(河南省市場(chǎng)監(jiān)督管理局 河南 鄭州 450008)2(鄭州航空工業(yè)管理學(xué)院 河南 鄭州 450015)

0 引 言

無(wú)線射頻識(shí)別(Radio Frequency Identification，RFID)是一種非接觸式、自動(dòng)識(shí)別和采集信息的綜合性技術(shù)[1-3]。RFID系統(tǒng)具備成本低、易攜帶、壽命長(zhǎng)等優(yōu)點(diǎn)，已經(jīng)運(yùn)用在身份識(shí)別等各個(gè)領(lǐng)域中[4-6]。

為推動(dòng)RFID系統(tǒng)更進(jìn)一步發(fā)展及應(yīng)用，研究人員提出許多方法來(lái)解決安全問(wèn)題，其中標(biāo)簽與讀寫(xiě)器之間的雙向認(rèn)證尤為突出。兩個(gè)通信實(shí)體在雙向認(rèn)證過(guò)程中，涉及共享密鑰重要參量[7-9]。

現(xiàn)有的雙向認(rèn)證協(xié)議中用到的共享密鑰大多都是在標(biāo)簽出廠之前設(shè)定好的，這種做法有一定的好處，但也存在一定的缺陷：(1) 會(huì)帶來(lái)密鑰托管問(wèn)題，負(fù)責(zé)托管的人員可能會(huì)因托管不當(dāng)而導(dǎo)致密鑰泄露；(2) 密鑰始終只能由廠商設(shè)定，無(wú)法由用戶自己設(shè)定，在一定程度上無(wú)法滿足用戶自定義密鑰的需求?；谝陨先毕?，專家及學(xué)者提出在標(biāo)簽與讀寫(xiě)器之間動(dòng)態(tài)地生成共享密鑰，既可以避免因托管人員管理不當(dāng)而造成的密鑰泄露問(wèn)題，也可以滿足用戶自定義密鑰的需求。

1 相關(guān)工作

文獻(xiàn)[10]創(chuàng)新地利用RFID系統(tǒng)信道的前后非對(duì)稱性特征，設(shè)計(jì)出一種動(dòng)態(tài)生成共享密鑰的算法。該算法能夠彌補(bǔ)提前設(shè)定密鑰的不足，但仍存在一定缺陷：協(xié)議基于后向信道的不可竊聽(tīng)性，在標(biāo)簽傳送給讀寫(xiě)器信息時(shí)，采用明文直接傳送。但在實(shí)際應(yīng)用中，后向信道仍存在被攻擊者竊聽(tīng)的可能性，具有一定的局限性。

文獻(xiàn)[11]在文獻(xiàn)[10]的基礎(chǔ)之上提出一種動(dòng)態(tài)生成共享密鑰的算法，遵行前向信道與后向信道均能被攻擊者竊聽(tīng)的原則，彌補(bǔ)了文獻(xiàn)[10]算法的不足，但其在設(shè)計(jì)過(guò)程中未全面考慮，導(dǎo)致攻擊者在阻塞讀寫(xiě)器到標(biāo)簽的最后一個(gè)消息情況下，讀寫(xiě)器生成密鑰的同時(shí)，標(biāo)簽不能生成密鑰，標(biāo)簽與讀寫(xiě)器兩端失去一致性，因此算法無(wú)法抵抗去同步化攻擊。

文獻(xiàn)[12]算法采用動(dòng)態(tài)生成密鑰的思想，仍遵行前后向信道均可被攻擊者竊聽(tīng)原則。算法設(shè)計(jì)過(guò)程中，采用對(duì)部分ID加密的機(jī)制進(jìn)行信息的傳輸，能夠增大攻擊者的破解難度，但算法無(wú)法抵抗攻擊者發(fā)起的重放攻擊。攻擊者在竊聽(tīng)到上一輪信息后，對(duì)消息進(jìn)行重放，并阻塞標(biāo)簽與讀寫(xiě)器之間的通信，破解出相關(guān)隱私信息。

文獻(xiàn)[13]基于假名設(shè)計(jì)出一種密鑰無(wú)線生成算法，該算法雖能夠彌補(bǔ)文獻(xiàn)[10]算法的不足，但無(wú)法抵抗去同步化攻擊。攻擊者可以截獲通信實(shí)體之間傳送的消息C，從而導(dǎo)致合法標(biāo)簽無(wú)法驗(yàn)證消息C，使得標(biāo)簽一端無(wú)法生成共享密鑰，但讀寫(xiě)器一端卻已生成共享密鑰，最終導(dǎo)致標(biāo)簽與讀寫(xiě)器之間的共享密鑰失去一致性。

綜上，本文設(shè)計(jì)出一種采用位運(yùn)算的低計(jì)算量的共享密鑰無(wú)線生成算法。利用標(biāo)簽的假名標(biāo)識(shí)符ID_S進(jìn)行傳輸信息的加密計(jì)算，減少其他變量的引入，有助于降低存儲(chǔ)空間；假名標(biāo)識(shí)符的使用，在一定程度上可避免標(biāo)簽唯一標(biāo)識(shí)符ID的泄露；采用計(jì)算量較低的位運(yùn)算進(jìn)行加密，可有效減少系統(tǒng)整體計(jì)算量；采用標(biāo)簽一端不生成隨機(jī)數(shù)機(jī)制，降低標(biāo)簽端的門電路總量，有助于成本的降低。

2 密鑰無(wú)線生成算法

2.1 符號(hào)說(shuō)明

標(biāo)簽、讀寫(xiě)器、后臺(tái)數(shù)據(jù)庫(kù)三部分組成一個(gè)完整的RFID系統(tǒng)。系統(tǒng)在通信過(guò)程中，讀寫(xiě)器與后臺(tái)數(shù)據(jù)庫(kù)之間采用安全的有限信道進(jìn)行通信，故可將兩者看成一個(gè)整體；標(biāo)簽與讀寫(xiě)器之間的通信采用不安全的無(wú)線信道[14-15]。有關(guān)符號(hào)的含義如表1所示，其中L取值為偶數(shù)值。

表1 符號(hào)說(shuō)明

2.2 密鑰生成

共享密鑰動(dòng)態(tài)生成開(kāi)始之前，Tag存有(id,ids)；Reader存有(id_i,ids_i)。參考文獻(xiàn)[10]可以得知：密鑰生成算法需要分三種情況討論，具體如下：

1) 單標(biāo)簽密鑰生成算法。算法流程如圖1所示。

圖1 單標(biāo)簽密鑰生成算法流程

算法過(guò)程簡(jiǎn)述如下：

(1) 讀寫(xiě)器向標(biāo)簽發(fā)出通信請(qǐng)求命令。

(2) 標(biāo)簽計(jì)算消息A；將A傳給讀寫(xiě)器。其中A=id_r⊕ids_l。

(3) 讀寫(xiě)器查找存放的(id_i,ids_i)中是否有滿足A的計(jì)算結(jié)果。如未找到，算法停止。如找到，生成隨機(jī)數(shù)r；計(jì)算消息B和C、共享密鑰k；將B、C傳給標(biāo)簽。其中B=r⊕ids_r，C=r⊕id_l。

說(shuō)明：r長(zhǎng)度為L(zhǎng)位，ids_r、id_l長(zhǎng)度為L(zhǎng)/2位，在計(jì)算過(guò)程中將ids_r、id_l的高位部分補(bǔ)L/2個(gè)0，從而使得ids_r、id_l、r長(zhǎng)度均為L(zhǎng)位，便于計(jì)算。后面涉及長(zhǎng)度不同的地方進(jìn)行計(jì)算時(shí)，按照此計(jì)算法則進(jìn)行。

(4) 標(biāo)簽對(duì)B、C進(jìn)行驗(yàn)證(B⊕ids_r是否等于C⊕id_l)。如不相等，算法停止；如相等，計(jì)算共享密鑰k。其中k= (r⊕id)⊕(r⊕ids)。

2) 多標(biāo)簽密鑰生成算法。多標(biāo)簽密鑰生成算法過(guò)程與單標(biāo)簽密鑰生成算法過(guò)程主要不同之處在于：每個(gè)不同的標(biāo)簽在接收到讀寫(xiě)器發(fā)送來(lái)的消息且通過(guò)驗(yàn)證之后，共享密鑰k的生成過(guò)程中需要根據(jù)每個(gè)標(biāo)簽的自身信息(id_i,ids_i)來(lái)生成屬于自身的個(gè)體密鑰。其他思想一樣，故不再闡述。

3) 群組標(biāo)簽密鑰生成算法。算法流程如圖2所示。

圖2 群組標(biāo)簽密鑰生成算法流程

算法流程如下：

(1) 讀寫(xiě)器向標(biāo)簽組廣播通信請(qǐng)求命令。

(2) 標(biāo)簽Tagi計(jì)算消息Qi；將Qi傳給讀寫(xiě)器。i=1,2,…,n。其中Qi=id_i_r⊕ids_i_l。

(3) 后臺(tái)數(shù)據(jù)庫(kù)中查找已存放的信息并計(jì)算是否與Qi信息完全一致。如不完全一致，說(shuō)明有標(biāo)簽未響應(yīng)，第二次發(fā)送請(qǐng)求命令。如一致，生成隨機(jī)數(shù)r；計(jì)算唯一的共享密鑰k；同時(shí)為標(biāo)簽Tagi生成唯一的密鑰因子ki；將ki發(fā)給所有標(biāo)簽。其中k=ids_1_r⊕ids_2_r⊕…⊕ids_i_r⊕r，ki=k⊕ids_i_r。

(4) 標(biāo)簽Tagi將自身的標(biāo)號(hào)與ki中的i值作對(duì)比。如不相等，不做任何操作；如相等，計(jì)算唯一共享密鑰k。其中k=ki⊕ids_i_r。

3 安全性分析

算法的安全性分析一般從兩個(gè)角度進(jìn)行闡述：(1) 對(duì)算法進(jìn)行抽象，進(jìn)而采用邏輯化形式進(jìn)行分析，文中采用基于BAN的邏輯形式化證明對(duì)算法進(jìn)行邏輯形式化分析，來(lái)說(shuō)明算法的安全性。(2) 從具體的攻擊方式對(duì)算法的安全性進(jìn)行分析。具體的攻擊方式主要分為兩大類：主動(dòng)攻擊及被動(dòng)攻擊。最常見(jiàn)的被動(dòng)攻擊方式為監(jiān)聽(tīng)。而主動(dòng)攻擊的方式較多，比較常見(jiàn)的有：異步攻擊、重放攻擊、追蹤攻擊等。

據(jù)了解，本次技能大賽分為初賽、決賽兩部分，60%的參賽人員通過(guò)初賽考核，可進(jìn)入決賽環(huán)節(jié)。在決賽之前，青島市家庭服務(wù)業(yè)生態(tài)圈統(tǒng)一組織入圍參賽者接受為期1個(gè)月的培訓(xùn)。通過(guò)決賽階段綜合筆試和實(shí)操兩項(xiàng)成績(jī)，最終評(píng)選出“首席家庭服務(wù)員”8人、“首席嬰幼兒營(yíng)養(yǎng)烹飪師”“首席母嬰護(hù)理師”各10名，共28位首席技師，優(yōu)勝獎(jiǎng)50名，由青島市家庭服務(wù)產(chǎn)業(yè)生態(tài)圈頒發(fā)榮譽(yù)證書(shū)并授予稱號(hào)，舉行優(yōu)勝獲獎(jiǎng)?wù)吲c客戶供需見(jiàn)面會(huì)，為島城家庭服務(wù)市場(chǎng)輸送優(yōu)質(zhì)服務(wù)人員。

攻擊者通過(guò)監(jiān)聽(tīng)、跟蹤等方式獲取通信實(shí)體之間的通信消息，該種攻擊方式稱之為被動(dòng)攻擊。對(duì)于通信實(shí)體而言，當(dāng)被動(dòng)攻擊發(fā)生之時(shí)，通信實(shí)體絕大多數(shù)情況下是不知曉的。因此，為確保傳輸信息的安全性，算法必須能夠抵抗攻擊者發(fā)起的被動(dòng)攻擊，即：在通信實(shí)體不知被監(jiān)聽(tīng)的情況下，攻擊者獲取通信信息，亦無(wú)法破解出有用的隱私信息。與被動(dòng)攻擊有所不同的是，攻擊者在發(fā)起主動(dòng)攻擊之時(shí)，通信實(shí)體通過(guò)實(shí)體之間的雙向認(rèn)證是可以識(shí)別出真?zhèn)蔚?。較為常見(jiàn)的主動(dòng)攻擊方式有重放攻擊、追蹤攻擊等。

單標(biāo)簽密鑰生成算法與多標(biāo)簽密鑰生成算法大體一致，可將兩種算法放在一塊進(jìn)行分析討論。采用監(jiān)聽(tīng)的方式可以獲取一個(gè)通話中所有的消息，但攻擊者仍無(wú)法得到所想要的信息。原因如下：(1) 攻擊者不知曉id、ids，因此無(wú)法從A、B或C中逆推出共享密鑰；(2)A、B、C在計(jì)算過(guò)程中，對(duì)于攻擊者來(lái)說(shuō)，都至少有兩個(gè)變量是不知曉的，因此無(wú)法窮舉；(3) 計(jì)算過(guò)程中，混入隨機(jī)數(shù)r，使得前后兩次數(shù)值并不一樣，增大破解難度；(4)A、B、C加密過(guò)程中涉及的參量值，在通信過(guò)程中都沒(méi)有明文出現(xiàn)過(guò)?；谏鲜龇治觯粽邿o(wú)法破解出有用的信息。

對(duì)群組標(biāo)簽密鑰生成算法進(jìn)行被動(dòng)攻擊及主動(dòng)攻擊分析。攻擊者通過(guò)監(jiān)聽(tīng)一個(gè)完整的通信過(guò)程，可獲取如下信息：Qi、ki。攻擊者通過(guò)這些消息仍無(wú)法破解出有用的隱私信息，原因如下：(1)Qi加密過(guò)程中，有兩個(gè)變量，對(duì)于攻擊者來(lái)說(shuō)，是事前不知曉的，因此攻擊者無(wú)法窮舉；(2)ki僅僅只是計(jì)算共享密鑰k的一個(gè)密鑰因子，攻擊者即便是可以獲取，但仍無(wú)任何用處，因?yàn)橛蒶i計(jì)算出k需要每個(gè)標(biāo)簽相對(duì)應(yīng)的假名，但攻擊者無(wú)法獲取該變量；(3)k在計(jì)算過(guò)程中，因隨機(jī)數(shù)r的加入，使得k前后兩次的數(shù)值并不一致；(4)k的計(jì)算，需要群組標(biāo)簽里的每個(gè)標(biāo)簽的假名變量，對(duì)于攻擊者來(lái)說(shuō)，這些信息是無(wú)法獲取的?；谏鲜鲈?，攻擊者通過(guò)監(jiān)聽(tīng)獲取的信息，不足以破解出有用的隱私信息。

本文算法與其他此類密鑰動(dòng)態(tài)生成算法進(jìn)行安全性分析比較，結(jié)果如表2所示。表中，×表示不能抵抗；√表示能夠抵抗。

4 BAN邏輯形式化證明

采用基于BAN邏輯[16]對(duì)算法進(jìn)行形式化分析：R表示讀寫(xiě)器與后臺(tái)數(shù)據(jù)庫(kù)的整體；T表示標(biāo)簽。選取單標(biāo)簽密鑰生成算法為例進(jìn)行證明，其他兩種場(chǎng)合的算法證明分析過(guò)程類似。

1) 理想化模型：

消息① R→T：Request；

消息② T→R：A；

消息③ R→T：B，C。

2) 初始假設(shè)：

P7：R|≡T|?A；P8：T|≡R|?B；P9：T|≡R|?C。

3) 安全目標(biāo)：

G1：T|≡B；G2：T|≡C；G3：R|≡A。

4) 分析推理：

G2、G3同理。

5 性能分析

性能分析部分選取單標(biāo)簽密鑰生成算法為例。其他兩種算法可參考表3的分析過(guò)程及方法。

表3 性能分析

表3中，符號(hào)XOR表示“異或”運(yùn)算的計(jì)算量，符號(hào)AND表示“與”運(yùn)算的計(jì)算量，符號(hào)R表示移位運(yùn)算。id、ids長(zhǎng)度一致，用L表示。

綜合性能分析的三個(gè)方面來(lái)看，本文算法的計(jì)算量明顯多于文獻(xiàn)[10]算法的計(jì)算量，但文獻(xiàn)[10]算法存在應(yīng)用局限性等缺陷，本文算法能夠彌補(bǔ)該缺陷。與其他算法相比，本文算法在計(jì)算量或通信量或存儲(chǔ)空間方面有提升，且能夠解決其他算法中存在的一些安全缺陷問(wèn)題。

6 結(jié) 語(yǔ)

本文研究了RFID系統(tǒng)中標(biāo)簽與讀寫(xiě)器雙向認(rèn)證過(guò)程用到的共享密鑰設(shè)定問(wèn)題，提出按位運(yùn)算的RFID系統(tǒng)密鑰無(wú)線生成算法。采用動(dòng)態(tài)無(wú)線生成的機(jī)制產(chǎn)生共享密鑰，能夠解決密鑰托管問(wèn)題，且能夠滿足用戶進(jìn)行自定義共享密鑰的需求。使用按位運(yùn)算對(duì)所要生成的共享密鑰信息進(jìn)行加密，使算法整體計(jì)算量減少。為確保信息傳輸?shù)陌踩?，信息加密過(guò)程中，混入隨機(jī)數(shù)，使得前后兩輪信息不同，增大攻擊者破解難度。為拓展算法的運(yùn)用范圍，設(shè)計(jì)出三種不同場(chǎng)合的共享密鑰生成算法。安全性以及性能分析表明，本文算法能夠適用于當(dāng)前的RFID系統(tǒng)中。