基于偽隨機(jī)數(shù)發(fā)生器的雙向認(rèn)證協(xié)議

謝海寶，呂 磊

(1.河南省市場(chǎng)監(jiān)督管理局 信息中心，河南 鄭州 450008；2.河南工業(yè)大學(xué) 信息科學(xué)與工程學(xué)院，河南 鄭州 450008)

0 引 言

射頻識(shí)別技術(shù)是一種不用與特定物品相接觸即可讀出該物品存放信息的通信技術(shù)。該技術(shù)雖在20世紀(jì)早已產(chǎn)生，但在20世紀(jì)并未得到充分的發(fā)展，進(jìn)入新世紀(jì)后，伴隨著云計(jì)算、物聯(lián)網(wǎng)、大數(shù)據(jù)等新技術(shù)的產(chǎn)生，射頻識(shí)別技術(shù)得到了廣泛的推廣運(yùn)用。

射頻識(shí)別系統(tǒng)經(jīng)典的組成模塊包含讀寫器、電子標(biāo)簽、后臺(tái)服務(wù)器，其中讀寫器主要用來轉(zhuǎn)發(fā)電子標(biāo)簽發(fā)送給后臺(tái)服務(wù)器、后臺(tái)服務(wù)器發(fā)送給電子標(biāo)簽的消息。在一般的通信模型中，電子標(biāo)簽與讀寫器間基于無線鏈路通信，易被第三方人員竊聽，存在一定隱患，一般認(rèn)定為不安全；讀寫器與后臺(tái)服務(wù)器間基于有線鏈路通信，一般認(rèn)定為安全，故經(jīng)常將二者看成一個(gè)整體對(duì)待。電子標(biāo)簽常見的有兩種類型，一種是無源被動(dòng)式電子標(biāo)簽，因自身不攜帶電源，無法主動(dòng)向讀寫器發(fā)送信息；另一種是有源主動(dòng)式電子標(biāo)簽，因自身攜帶有電源，因此具備主動(dòng)向讀寫器發(fā)送消息的能力。在絕大多數(shù)射頻識(shí)別系統(tǒng)中，前者類型的電子標(biāo)簽更常見，即無源被動(dòng)式電子標(biāo)簽運(yùn)用更為廣泛。

正是因?yàn)闊o源被動(dòng)式電子標(biāo)簽與讀寫器間基于無線鏈路通信，因無線鏈路固有的開放性，才使得會(huì)話消息易被第三方人員竊聽獲取，存在一定的安全隱患。為保證隱私信息的安全性，文中提出一種基于偽隨機(jī)數(shù)發(fā)生器的雙向認(rèn)證協(xié)議。該協(xié)議選擇時(shí)鐘周期數(shù)及門電路數(shù)均較少的偽隨機(jī)數(shù)發(fā)生器進(jìn)行信息的加密操作，可降低成本；為保障消息的新鮮性，在消息加密過程中全部插入隨機(jī)數(shù)。最后從不同的安全性角度及性能角度出發(fā)對(duì)文中協(xié)議進(jìn)行分析，表明文中協(xié)議具備較高的安全需求，且同時(shí)滿足成本開銷低的優(yōu)勢(shì)。

文中內(nèi)容按照如下方式展開：第一節(jié)，介紹文中研究的背景，從而引出文中研究的問題所在。第二節(jié)，介紹近年來部分經(jīng)典的認(rèn)證協(xié)議，并指出其優(yōu)缺之處。第三節(jié)，詳細(xì)介紹了文中協(xié)議的設(shè)計(jì)實(shí)現(xiàn)步驟。第四節(jié)，從多個(gè)不同攻擊類型分析文中協(xié)議的安全性。第五節(jié)，從電子標(biāo)簽一端的計(jì)算量、存儲(chǔ)量等角度分析文中協(xié)議的性能特征。第六節(jié)，總結(jié)全文工作。

1 相關(guān)工作

為能夠確保電子標(biāo)簽與讀寫器間消息傳遞的安全性，國內(nèi)外專家學(xué)者提出眾多認(rèn)證協(xié)議。2016年，SHI等人基于偽隨機(jī)散列函數(shù)設(shè)計(jì)一個(gè)認(rèn)證協(xié)議，該協(xié)議能夠提供比較理想的安全需求，但第三方人員仍可以發(fā)起窮舉攻擊，從而窮舉出部分隱私信息。

2017年，TEWARI等人基于按位運(yùn)算設(shè)計(jì)出一個(gè)超輕量級(jí)的認(rèn)證協(xié)議，因協(xié)議采用按位運(yùn)算實(shí)現(xiàn)，在極大程度上降低了整體計(jì)算量，但根據(jù)已有的研究成果顯示，超輕量級(jí)的按位運(yùn)算本身仍存在一定的不足或缺陷，故該協(xié)議的使用范圍受到制約。

2018年，XIE等人基于經(jīng)典的哈希函數(shù)設(shè)計(jì)出一個(gè)協(xié)議，能夠抵抗經(jīng)典的重放攻擊、異步攻擊等類型的攻擊，但深層次分析協(xié)議，協(xié)議在電子標(biāo)簽一端需多次進(jìn)行哈希函數(shù)運(yùn)算，使得電子標(biāo)簽一端整體計(jì)算量大幅度上升，無法推廣運(yùn)用。

2019年，PANG等人基于RRAM PUF設(shè)計(jì)出一個(gè)認(rèn)證協(xié)議，能夠抵抗克隆等類型的攻擊，但分析協(xié)議發(fā)現(xiàn)，該協(xié)議僅能提供最后一步讀寫器對(duì)電子標(biāo)簽的認(rèn)證，無法提供電子標(biāo)簽對(duì)讀寫器最后一步的認(rèn)證，從而存在假冒攻擊的安全隱患。

2020年，F(xiàn)EI等人利用Universal Hash函數(shù)提出一個(gè)協(xié)議，協(xié)議具備一定的安全需求，但協(xié)議設(shè)計(jì)過程中，在讀寫器或后臺(tái)服務(wù)器一端未存放前后會(huì)話共享密鑰，使得協(xié)議無法抵抗異步攻擊。

2021年，CHEN等人利用RRAM PUF提出一種認(rèn)證協(xié)議，協(xié)議能夠提供較好的安全保障，但仍無法抵抗第三方人員發(fā)起的定位攻擊，即電子標(biāo)簽發(fā)送的消息在加密時(shí)，部分消息加密中未插入隨機(jī)數(shù)，前后多次會(huì)話產(chǎn)生的會(huì)話消息值保持不變，第三方人員可通過多次竊聽手段定位電子標(biāo)簽具體位置，從而進(jìn)行其他破壞操作。

鑒于現(xiàn)有的經(jīng)典協(xié)議或多或少存在計(jì)算量大或存在安全隱患等諸多問題，文中設(shè)計(jì)出一個(gè)輕量級(jí)的雙向認(rèn)證協(xié)議。協(xié)議設(shè)計(jì)過程中，考慮到電子標(biāo)簽一端的成本受到制約的因素，因此選擇在時(shí)鐘周期及門電路數(shù)實(shí)現(xiàn)成本均較低的偽隨機(jī)數(shù)發(fā)生器來對(duì)發(fā)送的信息進(jìn)行加密。通過后續(xù)性能分析對(duì)比可發(fā)現(xiàn)，文中協(xié)議在電子標(biāo)簽一端的時(shí)鐘周期數(shù)及門電路數(shù)均是最少的，能夠有效降低電子標(biāo)簽一端的成本；同時(shí)將文中協(xié)議與其他協(xié)議進(jìn)行安全性分析對(duì)比，表明文中協(xié)議能夠抵抗第三方人員發(fā)起的諸如假冒攻擊、窮舉攻擊、異步攻擊等常見類型的攻擊，使得協(xié)議具備良好的安全性能。

2 雙向認(rèn)證協(xié)議設(shè)計(jì)

本章節(jié)將先介紹協(xié)議相關(guān)符號(hào)含義，再介紹協(xié)議具體實(shí)現(xiàn)步驟。

(1)協(xié)議符號(hào)含義。

文中協(xié)議出現(xiàn)的部分符號(hào)具體所要表達(dá)的含義解釋如下：

DB/R：后臺(tái)服務(wù)器與讀寫器組合成的一個(gè)整體(該整體具備足量的存儲(chǔ)空間、強(qiáng)大的計(jì)算能力及搜索能力)；

T：電子標(biāo)簽(側(cè)重于無源被動(dòng)式電子標(biāo)簽種類)；

IDT：電子標(biāo)簽的假名；

IDT：更新之前的電子標(biāo)簽假名；

IDT：更新之后的電子標(biāo)簽假名；

IDT：電子標(biāo)簽標(biāo)識(shí)符的左半邊；

IDT：電子標(biāo)簽標(biāo)識(shí)符的右半邊；

K

：電子標(biāo)簽與DB/R間的共享密鑰值；

K

：更新之后的電子標(biāo)簽與DB/R間的共享密鑰值；

K

：更新之前的電子標(biāo)簽與DB/R間的共享密鑰值；

g

()：偽隨機(jī)數(shù)發(fā)生器；

a

：電子標(biāo)簽產(chǎn)生的隨機(jī)數(shù)；

b

：DB/R產(chǎn)生的隨機(jī)數(shù)；

⊕：異或運(yùn)算；

&：與運(yùn)算；

A

、

B

、

C

、

D

、

E

、Hello、ACK：通信會(huì)話消息。

(2)協(xié)議具體實(shí)現(xiàn)。

文中協(xié)議與其他協(xié)議一樣，做出下面假設(shè)約定：后臺(tái)服務(wù)器與讀寫器間基于有線信道方式交換數(shù)據(jù)，可認(rèn)定為安全，故兩者看成一個(gè)整體；讀寫器與電子標(biāo)簽間基于無線信道完成數(shù)據(jù)交換，無線信道固有的開放性，易被第三方人員竊聽，存在一定的安全缺陷，故不安全。

協(xié)議正式開始之前，分為初始化階段、雙向認(rèn)證階段、密鑰信息更新階段。初始化階段主要完成各通信實(shí)體在出場(chǎng)之前信息的初始化操作；雙向認(rèn)證階段實(shí)現(xiàn)DB/R與電子標(biāo)簽之間的彼此認(rèn)證；密鑰信息更新階段是對(duì)共享秘密值及假名進(jìn)行更新，為下次認(rèn)證做好準(zhǔn)備工作。

初始化階段完成，DB/R端存放的信息有所有合法電子標(biāo)簽的IDT、IDT、IDT、

K

；電子標(biāo)簽T端存放的信息有自身的IDT、IDT、IDT、

K

。

文中協(xié)議雙向認(rèn)證示意圖可參見圖1。

圖1 雙向認(rèn)證協(xié)議示意圖

結(jié)合圖1，可將文中協(xié)議詳細(xì)實(shí)現(xiàn)步驟描述如下：

第一步：DB/R整體向電子標(biāo)簽發(fā)送Hello消息，開啟認(rèn)證協(xié)議。

第二步：電子標(biāo)簽收到消息，利用偽隨機(jī)數(shù)發(fā)生器產(chǎn)生一個(gè)隨機(jī)數(shù)

a

，并通過約定好的規(guī)則計(jì)算得到會(huì)話消息

A

、

B

，最后將

A

、

B

、IDT發(fā)送給DB/R整體。其中有關(guān)會(huì)話消息

A

、

B

的具體計(jì)算方式如下：

A

=

a

⊕IDT、

B

=

g

(

a

,IDT)。

發(fā)送電子標(biāo)簽假名IDT的作用如下：其一，假名即便是明文發(fā)送，第三方人員可竊聽獲取，但第三方人員仍無法獲取隱私信息；其二，假名與電子標(biāo)簽的標(biāo)識(shí)符間無任何關(guān)聯(lián)，第三方人員無法通過假名推到標(biāo)識(shí)符；其三，假名可在每次認(rèn)證后進(jìn)行更新，使得前后兩輪認(rèn)證中，假名值保持變動(dòng)之中，使得第三方人員無法對(duì)電子標(biāo)簽實(shí)施追蹤定位攻擊。

第三步：DB/R整體收到消息，先查找自身存放的眾多假名數(shù)據(jù)中是否存在與接收到的IDT相同的數(shù)值。

未找到，則表明電子標(biāo)簽可能由第三方人員偽造，為安全著想，協(xié)議終止。

找到，僅能說明電子標(biāo)簽暫時(shí)通過驗(yàn)證，可進(jìn)行后續(xù)操作。DB/R整體取出與IDT相對(duì)應(yīng)的IDT、IDT參數(shù)信息，接著先對(duì)消息

A

進(jìn)行變形處理，可得到一個(gè)隨機(jī)數(shù)

a

=

A

⊕IDT，并將變形所得隨機(jī)數(shù)帶入消息

B

中，可得到DB/R整體計(jì)算所得到的

B

=

g

(

a

,IDT)=

g

(

A

⊕IDT,IDT)，然后DB/R整體開始對(duì)比接收到的

B

與計(jì)算得到的

B

是否相等。

不相等，則說明電子標(biāo)簽雖之前通過了DB/R整體驗(yàn)證，但無法通過DB/R整體更進(jìn)一步驗(yàn)證，電子標(biāo)簽仍可能是第三方人員假冒，協(xié)議終止。

相等，則表明電子標(biāo)簽真實(shí)可靠，DB/R整體可接著進(jìn)行后續(xù)操作。DB/R整體將產(chǎn)生一個(gè)隨機(jī)數(shù)

b

，并按照約定好的規(guī)則計(jì)算得到消息

C

、

D

，最終將

C

、

D

發(fā)送給電子標(biāo)簽。其中有關(guān)消息

C

、

D

的計(jì)算方式具體如下：

C

=

b

⊕IDT、

D

=

g

(

a

,

b

)。第四步：電子標(biāo)簽收到消息，將先對(duì)消息

C

進(jìn)行變形處理，變形處理之后可得到一個(gè)隨機(jī)數(shù)

b

=

C

⊕IDT，接著將變形處理得到的隨機(jī)數(shù)帶入消息

D

中，可計(jì)算得到一個(gè)

D

=

g

(

a

,

b

)=

g

(

a

,

C

⊕IDT)，然后對(duì)比計(jì)算所得

D

與接收到的

D

是否相等。

不相等，表明消息來源方無法通過電子標(biāo)簽驗(yàn)證，出于安全考慮，協(xié)議終止。

相等，可說明消息來源方真實(shí)可靠，通過電子標(biāo)簽驗(yàn)證，協(xié)議可繼續(xù)進(jìn)行。電子標(biāo)簽接著按照約定的規(guī)則計(jì)算得到消息

E

，最終將

E

發(fā)送給DB/R整體。待電子標(biāo)簽將消息

E

發(fā)送給DB/R整體后，電子標(biāo)簽開始更新相關(guān)信息，具體更新方式如下：IDT=

g

(

b

,IDT)、

K

=

g

(

a

,

K

)。其中會(huì)話消息

E

計(jì)算的方式如下：

E

=

g

(

a

⊕

K

,

b&K

)。第五步：DB/R整體收到消息，將先用當(dāng)前通信的共享密鑰按照約定的規(guī)則計(jì)算得到一個(gè)

E

=

g

(

a

⊕

K

,

b&K

)，并對(duì)比接收到的

E

與自身計(jì)算所得

E

值是否相同。不相同，還未能說明電子標(biāo)簽是偽造，有可能是電子標(biāo)簽與DB/R整體間共享密鑰失去一致性而造成。為避免該情況發(fā)生，DB/R整體將再次用上輪通信的共享密鑰按照約定的規(guī)則計(jì)算得到一個(gè)

E

=

g

(

a

⊕

K

,

b&K

)，并再次對(duì)比接收到的

E

與自身計(jì)算所得

E

值是否相等。若仍不相等，則說明電子標(biāo)簽可能是第三方人員假冒，出于安全考慮，協(xié)議終止；反之，表明通過此步驟后，不僅電子標(biāo)簽通過了DB/R整體的驗(yàn)證，同時(shí)也使得DB/R整體與電子標(biāo)簽間再次恢復(fù)共享密鑰一致性，接著DB/R整體將進(jìn)行操作一。

相同，可表明消息來源方通過DB/R整體驗(yàn)證，接著DB/R整體將進(jìn)行操作一。

操作一：DB/R整體將向電子標(biāo)簽發(fā)送ACK消息，以表示電子標(biāo)簽通過DB/R整體的驗(yàn)證，同時(shí)DB/R整體開始更新信息。

DB/R整體在更新信息的時(shí)候，將按照下面方式進(jìn)行：若DB/R整體用

K

驗(yàn)證電子標(biāo)簽成功，則信息更新方式為IDT=IDT、IDT=

g

(

b

,IDT)、

K

=

K

、

K

=

g

(

a

,

K

)；若DB/R整體用

K

驗(yàn)證電子標(biāo)簽成功，則信息更新方式為IDT=IDT、IDT=

g

(

b

,IDT)、

K

=

g

(

a

,

K

)。

第六步：電子標(biāo)簽收到消息，ACK消息表示電子標(biāo)簽與DB/R整體間雙向認(rèn)證正常完成，協(xié)議可正常結(jié)束。

3 協(xié)議安全性分析

本章節(jié)主要從不同的攻擊類型角度出發(fā)，對(duì)文中協(xié)議安全性進(jìn)行分析。

(1)雙向認(rèn)證。

協(xié)議需要能夠提供最基本的認(rèn)證安全需求，以保證消息的來源方是安全可靠的。文中協(xié)議能夠確保會(huì)話實(shí)體雙方實(shí)現(xiàn)對(duì)彼此的認(rèn)證，具體的：

DB/R整體對(duì)電子標(biāo)簽的驗(yàn)證如下：在第三步中，DB/R整體將先通過IDT對(duì)電子標(biāo)簽進(jìn)行驗(yàn)證，為實(shí)現(xiàn)對(duì)電子標(biāo)簽的更進(jìn)一步驗(yàn)證，DB/R整體將再次通過

A

、

B

對(duì)電子標(biāo)簽進(jìn)行驗(yàn)證，兩次驗(yàn)證均通過，才表明電子標(biāo)簽通過DB/R整體的驗(yàn)證；在第五步中，DB/R整體將借助第三步中獲取的隨機(jī)數(shù)，同時(shí)結(jié)合消息

E

驗(yàn)證電子標(biāo)簽身份，并且為確保兩者間因失去一致性而錯(cuò)過相互認(rèn)證，DB/R整體將會(huì)采用前后兩輪共享密鑰對(duì)電子標(biāo)簽進(jìn)行驗(yàn)證。電子標(biāo)簽對(duì)DB/R整體的驗(yàn)證如下：在第四步中，電子標(biāo)簽將通過

C

、

D

實(shí)現(xiàn)對(duì)DB/R整體的驗(yàn)證。

基于上述分析，文中協(xié)議能夠提供DB/R整體與電子標(biāo)簽間的雙向認(rèn)證需求。

(2)假冒攻擊。

從理論上來講，第三方人員可以假冒成任何一個(gè)會(huì)話實(shí)體，比如：第三方人員可以假冒成DB/R整體、第三方人員可以假冒成電子標(biāo)簽。文中這里僅選擇第三方人員假冒成電子標(biāo)簽進(jìn)行分析。

第三方人員假冒成電子標(biāo)簽向合法的DB/R整體發(fā)送消息，以企圖通過DB/R整體的驗(yàn)證，進(jìn)而分析出部分隱私信息。但面對(duì)文中協(xié)議，第三方人員無法成功，具體原因是：第三方人員無法獲取合法電子標(biāo)簽的標(biāo)識(shí)符參數(shù)，同時(shí)也無法獲取DB/R整體與電子標(biāo)簽間的共享密鑰值參數(shù)，使得第三方人員無法計(jì)算得到正確的消息

A

、

B

或

E

。當(dāng)DB/R整體收到第三方人員發(fā)送來的消息后，依據(jù)協(xié)議中的第三步或第五步即可識(shí)別出消息來源方是第三方人員假冒的，協(xié)議即可終止。對(duì)于第三方人員來說，第三方人員并未獲取任何有用的隱私信息。

基于上述分析，文中協(xié)議能夠抵抗第三方人員發(fā)起的假冒攻擊。

(3)窮舉攻擊。

第三方人員可以對(duì)竊聽獲取的消息進(jìn)行窮舉方式的破解分析，比如：利用超級(jí)計(jì)算機(jī)窮舉出所有可能的某些隱私信息的參數(shù)取值，從而確定該隱私信息具體數(shù)值。但對(duì)于文中協(xié)議來說，第三方人員無法采用窮舉的方式獲取任何隱私信息，下面將具體以消息

A

、

B

為例展開分析。比如第三方人員先單獨(dú)對(duì)消息

A

發(fā)起窮舉攻擊，在消息

A

=

a

⊕IDT中，對(duì)于第三方人員來講，第三方人員有

a

和IDT兩個(gè)參數(shù)信息不知道，且第三方人員竊聽獲悉的消息中也沒有出現(xiàn)上述兩個(gè)參數(shù)值，因此，第三方人員無法窮舉出任何有用隱私信息。再比如說第三方人員對(duì)消息

A

、

B

同時(shí)進(jìn)行窮舉攻擊分析，第三方人員可以先對(duì)消息

A

變形，然后將變形之后的結(jié)果帶入消息

B

可得到

B

=

g

(

a

,IDT)=

g

(

A

⊕IDT,IDT)，在上述公式中，第三方人員雖然獲悉了

A

，但第三方人員仍有IDT和IDT兩個(gè)參量值不知曉，因此，第三方人員仍還是無法窮舉出任何有用隱私信息。

基于上述分析，文中協(xié)議可抵抗第三方人員發(fā)起的窮舉攻擊。

(4)定位攻擊。

第三方人員可通過持續(xù)不斷的竊聽方式，定位電子標(biāo)簽的具體位置，從而實(shí)施追蹤攻擊。對(duì)于文中協(xié)議來講，第三方人員無法跟蹤電子標(biāo)簽成功，具體原因如下：其一，整個(gè)協(xié)議過程中，并沒有出現(xiàn)電子標(biāo)簽的標(biāo)識(shí)符，故第三方人員無法獲取電子標(biāo)簽唯一標(biāo)識(shí)的信息；其二，協(xié)議中引入電子標(biāo)簽假名，用假名代替標(biāo)識(shí)符出現(xiàn)在協(xié)議通信過程中，即便是第三方人員可獲取假名信息，但假名與標(biāo)識(shí)符間無任何關(guān)聯(lián)；其三，協(xié)議在每輪認(rèn)證正常結(jié)束之后，會(huì)話實(shí)體端將進(jìn)行假名的更新操作，且假名更新時(shí)插入隨機(jī)數(shù)，使得前后兩輪用到的假名無關(guān)聯(lián)性，使得第三方人員無法定位電子標(biāo)簽位置。

基于上述分析，文中協(xié)議可抵抗第三方人員發(fā)起的定位攻擊。

(5)前/后向安全性。

文中協(xié)議為能夠提供前后向安全性，所采用的措施是：混入隨機(jī)數(shù)。所有通信消息加密過程中全部混入隨機(jī)數(shù)，使得前后會(huì)話消息值存在差異性，這樣第三方人員就無法進(jìn)行前后向破解分析。隨機(jī)數(shù)由偽隨機(jī)數(shù)發(fā)生器產(chǎn)生，產(chǎn)生的隨機(jī)數(shù)具備隨機(jī)性、互異性、無法預(yù)測(cè)性等優(yōu)點(diǎn)，使得第三方人員無法通過當(dāng)前的隨機(jī)數(shù)預(yù)測(cè)下輪會(huì)話時(shí)用到的隨機(jī)數(shù)值，同時(shí)也使得第三方人員無法通過當(dāng)前的隨機(jī)數(shù)逆推出上輪會(huì)話用到的隨機(jī)數(shù)值。在隨機(jī)數(shù)安全的情況下，第三方人員更加無法逆推出或預(yù)測(cè)出之前或下輪的隱私信息。

基于上述分析，文中協(xié)議可以提供前后向安全性。

(6)異步攻擊。

異步攻擊是指第三方人員破解會(huì)話實(shí)體間共享密鑰的一致性，比如其中一方進(jìn)行信息更新，而另一方不進(jìn)行信息更新，造成兩者間信息更新不同步，而出現(xiàn)后續(xù)無法相互認(rèn)證的情況。

文中協(xié)議在DB/R整體一端不僅存放有當(dāng)前會(huì)話用到的共享密鑰值，同時(shí)也存放之前若干輪次會(huì)話用到的共享密鑰值，當(dāng)DB/R整體用當(dāng)前會(huì)話的共享密鑰值對(duì)電子標(biāo)簽驗(yàn)證失敗之時(shí)，DB/R整體將會(huì)依次用之前若干輪次會(huì)話的共享密鑰值逐一對(duì)電子標(biāo)簽進(jìn)行驗(yàn)證，從而可恢復(fù)兩者間的一致性。當(dāng)且僅當(dāng)，所有存儲(chǔ)的共享密鑰值均驗(yàn)證電子標(biāo)簽失敗時(shí)，電子標(biāo)簽才算沒有通過驗(yàn)證。

基于上述分析，文中協(xié)議可以肯定第三方人員發(fā)起的異步攻擊。

(7)重放攻擊。

重放攻擊主要是將第三方人員通過竊聽的方式獲取之前某輪會(huì)話的通信消息，然后在之后的某輪會(huì)話過程中，第三方人員重放竊聽獲取的之前某輪會(huì)話的通信消息，以企圖通過合法會(huì)話實(shí)體的驗(yàn)證。

但對(duì)于文中協(xié)議來說，第三方人員發(fā)起的重放攻擊只能以失敗而告終，原因在于：其一，文中協(xié)議所有消息全部采用密文方式發(fā)送，即隱私信息全部先加密再發(fā)送，攻擊者竊聽獲取的值全都是密文，而非明文；其二，所有信息加密過程中均插入隨機(jī)數(shù)，隨機(jī)數(shù)的插入可使得所有消息每輪均保持新鮮性，當(dāng)攻擊者在第

i

+1輪會(huì)話過程中重放竊聽獲取的第

i

輪會(huì)話消息時(shí)，第

i

+1輪會(huì)話消息值早已發(fā)生變更，因此，第三方人員重放的消息無法通過合法實(shí)體的驗(yàn)證。

基于上述分析，文中協(xié)議可抵抗第三方人員發(fā)起的重返攻擊。

將文中協(xié)議與其他經(jīng)典協(xié)議進(jìn)行安全性對(duì)比，對(duì)比結(jié)果可參見表1。

表1 協(xié)議間安全性對(duì)比

4 協(xié)議性能分析

本節(jié)內(nèi)容將從電子標(biāo)簽一端存儲(chǔ)量大小、計(jì)算量大小等分析文中協(xié)議與其他經(jīng)典協(xié)議的性能，具體分析結(jié)果見表2。

表2 協(xié)議間性能對(duì)比

對(duì)表2中出現(xiàn)的符號(hào)所表示的含義解釋如下：and符號(hào)所表示的含義為異或運(yùn)算的計(jì)算量；g符號(hào)所表示的含義為偽隨機(jī)數(shù)發(fā)生器的計(jì)算量；PUF符號(hào)所表示的含義為物理不可克隆函數(shù)的計(jì)算量；HASH符號(hào)所表示的含義為基于

m

×1階Toeplitz矩陣實(shí)現(xiàn)的Uinversal Hash函數(shù)的計(jì)算量。約定存儲(chǔ)的信息，以及會(huì)話消息長度均為

L

位，但類似于Hello、ACK這樣的會(huì)話消息僅需1 bit即可存放。文中協(xié)議在電子標(biāo)簽一端存放的參數(shù)有IDT、IDT、

K

，因此，電子標(biāo)簽一端的存儲(chǔ)量大小為3

L

。

文中協(xié)議中，DB/R整體向電子標(biāo)簽發(fā)送消息次數(shù)一共有3次，電子標(biāo)簽向DB/R整體發(fā)送消息次數(shù)一共有2次，因此文中協(xié)議一個(gè)完整的會(huì)話過程中會(huì)話次數(shù)為5次。

文中協(xié)議一個(gè)完整的會(huì)話過程中包含的消息如下：Hello、IDT、

A

、

B

、

C

、

D

、

E

、ACK。其中Hello、ACK長度各為1 bit，IDT、

A

、

B

、

C

、

D

、

E

長度各為1

L

，因此，文中協(xié)議一個(gè)完整的會(huì)話過程中會(huì)話量為6

L

+2 bits。文中協(xié)議電子標(biāo)簽一端的計(jì)算量為2and+5g，詳細(xì)分析過程如下：電子標(biāo)簽在計(jì)算消息

A

的時(shí)候，第一次用到and運(yùn)算；電子標(biāo)簽在對(duì)消息

C

進(jìn)行變形處理時(shí)，第二次用到and運(yùn)算；電子標(biāo)簽在計(jì)算消息

B

的時(shí)候，第一次用到g運(yùn)算；電子標(biāo)簽在計(jì)算消息

D

的時(shí)候，第二次用到g運(yùn)算；電子標(biāo)簽在計(jì)算消息

E

的時(shí)候，第三次用到g運(yùn)算；電子標(biāo)簽在更新信息的時(shí)候，第四次、第五次用到g運(yùn)算?；谏鲜龇治觯娮訕?biāo)簽一端總共2次用到and運(yùn)算，總共5次用到g運(yùn)算，故文中協(xié)議電子標(biāo)簽一端的計(jì)算量為2and+5g。

有關(guān)時(shí)鐘周期數(shù)及門電路數(shù)的詳細(xì)計(jì)算過程可以參考文獻(xiàn)[16]中“5.2 效率比較”章節(jié)內(nèi)容，這里僅分析文中協(xié)議的過程。文中協(xié)議在電子標(biāo)簽一端僅僅只有偽隨機(jī)數(shù)發(fā)生器裝備，異或運(yùn)算實(shí)現(xiàn)的時(shí)鐘周期數(shù)及門電路數(shù)相對(duì)于上述來說均可忽略，故文中協(xié)議電子標(biāo)簽一端的時(shí)鐘周期數(shù)為104、門電路數(shù)為1 294。

結(jié)合表2，綜合分析各協(xié)議性能指標(biāo)，在存儲(chǔ)量、會(huì)話量、會(huì)話次數(shù)方面，文中協(xié)議與其他協(xié)議的存儲(chǔ)量大小、會(huì)話量大小、會(huì)話次數(shù)大小基本相當(dāng)；但在計(jì)算量、時(shí)鐘周期數(shù)、門電路數(shù)方面，文中協(xié)議有一定的優(yōu)勢(shì)。具體分析，在計(jì)算量方面，文中協(xié)議僅選擇偽隨機(jī)數(shù)發(fā)生器作為加密函數(shù)及隨機(jī)數(shù)的產(chǎn)生設(shè)備，一定程度上降低了電子標(biāo)簽一端的計(jì)算量；在時(shí)鐘周期數(shù)及門電路數(shù)方面，因文中協(xié)議在電子標(biāo)簽一端僅需要實(shí)現(xiàn)偽隨機(jī)數(shù)發(fā)生器，使得時(shí)鐘周期數(shù)及門電路數(shù)均較少?；谏鲜龇治?，文中協(xié)議具備低成本、成本開銷低等優(yōu)勢(shì)，具備推廣使用的價(jià)值意義。

5 結(jié)束語

文中在介紹射頻識(shí)別技術(shù)應(yīng)用過程中遇到安全缺陷問題后，分析了近些年來部分經(jīng)典協(xié)議的優(yōu)缺點(diǎn)，在綜合各協(xié)議特點(diǎn)之上，設(shè)計(jì)一個(gè)基于偽隨機(jī)數(shù)發(fā)生器的RFID雙向認(rèn)證協(xié)議。該協(xié)議為能夠抵抗常見類型的攻擊，所有需發(fā)送信息先加密再傳送，可使得第三方人員無法獲悉明文信息；信息加密過程中，始終保持至少有兩個(gè)參數(shù)于第三方人員無法知曉，可使得第三方人員無法進(jìn)行窮舉攻擊。從不同的攻擊類型對(duì)協(xié)議進(jìn)行分析，表明協(xié)議可以提供較高的安全性能需求；從電子標(biāo)簽一端的時(shí)鐘周期數(shù)、門電路數(shù)等角度對(duì)協(xié)議進(jìn)行分析，表明協(xié)議各成本開銷均滿足現(xiàn)有低成本的要求，能夠使用在現(xiàn)有低成本RFID系統(tǒng)中。