CN105391544A

CN105391544A - 一种适用于RFID认证系统的Hash函数构造方法

Info

Publication number: CN105391544A
Application number: CN201510808969.6A
Authority: CN
Inventors: 刘建东; 张啸; 王淑鸿; 赵晨
Original assignee: Beijing Institute of Petrochemical Technology
Current assignee: Beijing Institute of Petrochemical Technology
Priority date: 2015-11-19
Filing date: 2015-11-19
Publication date: 2016-03-09

Abstract

本发明公开了一种适用于RFID认证系统的Hash函数构造方法，建立耦合动态整数帐篷映象格子模型；根据RFID认证系统的硬件资源及应用场合确定所述RFID认证系统的尺寸L；针对待散列的数据消息进行填充，填充后的消息字节数为b，且b为L的最小整数倍；将填充后的消息分为若干组，使每组的字节数为L，将各组的对应字节进行累加，再对256求余数，得到一个长度为L字节的数组作为迭代初值；将所述迭代初值带入所建立的耦合动态整数帐篷映象格子模型中进行L步迭代，将第L+10步的迭代结果作为最终Hash函数的输出值。利用该方法可以随格子数目的变化，得到不同字节长度的散列值，具有输出任意字节长度散列值的能力。

Description

一种适用于RFID认证系统的Hash函数构造方法

技术领域

本发明涉及信息安全技术领域，尤其涉及一种适用于RFID认证系统的Hash函数构造方法。

背景技术

射频识别(RFID)技术作为物联网的重要支撑技术之一，具有自动识别、非接触、容量大、速度快等优点，被广泛应用在门禁、物流管理、自动收费等场合。然而随着RFID技术的普及，其安全问题日渐突出，由于RFID系统中电子标签的计算能力、存储能力以及能源的限制，成熟的公钥算法无法直接应用于RFID系统的认证过程。

现有技术中针对RFID电子标签与读写器的认证协议，已有大量研究成果被公开发表，这些成果中的大部分都利用了Hash函数来解决完整性检测以及TID(TagIdentific-ation)和RID(ReaderIdentification)在不安全的无线信道中传输等问题。然而，这些Hash函数的算法以及实现过程却很少有人涉及。传统的散列(Hash)算法如MD5，SHA-1等已被证明不安全，国际上开展了新一轮Hash函数标准的公开征集，然而近几年新提出的Hash函数设计方案主要考虑了PC技术的发展，新算法更适合在多核环境及大内存的情况下实现,这与RFID的要求背道而驰。因此探索研究一种适合于RFID认证系统的Hash函数是一个十分迫切的问题。

发明内容

本发明的目的是提供一种适用于RFID认证系统的Hash函数构造方法，利用该方法可以随系统格子数目的变化，得到不同字节长度的散列值，具有输出任意字节长度散列值的能力，从而可以根据用户需求以及RFID系统的安全性需求来确定Hash函数的输出长度。

一种适用于RFID认证系统的Hash函数构造方法，所述方法包括：

建立耦合动态整数帐篷映象格子模型；

根据RFID认证系统的硬件资源及应用场合确定所述RFID认证系统的尺寸L；所述L为所述耦合动态整数帐篷映象格子模型的格子数，同时也是Hash函数的输出字节数；

针对待散列的数据消息进行填充，填充后的消息字节数为b，且b为L的最小整数倍；

将填充后的消息分为若干组，使每组的字节数为L，将各组的对应字节进行累加，再对256求余数，得到一个长度为L字节的数组作为迭代初值；

将所述迭代初值带入所建立的耦合动态整数帐篷映象格子模型中进行L步迭代，将第L+10步的迭代结果作为最终Hash函数的输出值。

由上述本发明提供的技术方案可以看出，利用该方法可以随系统格子数目的变化，得到不同字节长度的散列值，具有输出任意字节长度散列值的能力，从而可以根据用户需求以及RFID系统的安全性需求来确定Hash函数的输出长度。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他附图。

图1为本发明实施例所提供的适用于RFID认证系统的Hash函数构造方法流程示意图；

图2为本发明所举实例中消息填充的示意图；

图3为本发明所举实例中迭代初值的获取示意图；

图4为本发明实施例所述方法在RFID认证系统中的应用实例示意图。

具体实施方式

下面结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明的保护范围。

本发明实施例所述构造方法是将待散列数据作为耦合动态整数帐篷映象格子模型的迭代初值，在经过一定步数的迭代后，将最后的迭代结果作为散列值输出，这样Hash函数的输出长度由模型的格子数决定，每一个格点值是一个8位无符号整数，即一字节，由于模型的格子数是可以任意变化，故最后输出的散列值长度可以是任意字节，从而可以根据用户需求以及RFID系统的安全性需求来确定Hash函数的输出长度。下面将结合附图对本发明实施例作进一步地详细描述，如图1所示为本发明实施例所提供的适用于RFID认证系统的Hash函数构造方法流程示意图，所述方法包括：

步骤11：建立耦合动态整数帐篷映象格子模型；

在该步骤中，动态整数帐篷映射是将帐篷映射进行整数化，并且加入动态参量后形成的一种非线性映射，它既保持了帐篷映射均匀分布的特性，又克服了整数帐篷映射的短周期问题，是一种性能优良的整数混沌映射，十分适用于构造密码算法。

而本发明实施例为了获得性能良好的密码序列，利用耦合映像格子模型(CML)将动态整数帐篷映射进行耦合。CML是人们研究非线性时空混沌行为极其重要的一类模型，其所选用的非线性函数、系统格子大小、耦合系数及非线性函数参数的不同取值都将直接影响耦合映象格子系统所产生序列的复杂性，进而影响由其构造的密码系统的安全性。为使系统生成的时间序列具有均匀分布特性，对CML结构进行改进，即用动态整数帐篷映射作为耦合映象格子系统的非线性函数，具体建立耦合动态整数帐篷映象格子模型的过程有多种，其中一种典型的建立过程为：

首先将动态整数帐篷映射用如下公式1进行描述:

公式1：

其中，g(n)＝[x(n)+k(n)]mod2^k，上式中，x(n)表示第n步迭代结果；k(n)表示每一步迭代时的动态参量，一般k(n)取值与迭代步数有关；2^k-1为x(n)取值的整数集上界；mod为取余数运算；

然后用所述动态整数帐篷映射作为耦合映象格子模型的非线性函数，耦合方式如公式2所示：

公式2：x_t(n+1)＝(f[x_t(n)]+f[x_t-1(n)])mod2^k；

上式中，i的取值范围为：0,1,…,L-1，L为RFID认证系统的尺寸；x_i(n+1)表示第i个格点的第n+1步迭代所得状态值；f(·)表示格点的非线性函数，这里取为所述动态整数帐篷映射；2^k为格点取值的状态数目。

上述每一个格点值由上一步迭代的三个格点值确定，同时每一个格点又能对下一步迭代的三个格点产生影响，实现了格点间的耦合，有利于信息的混淆与扩散。

步骤12：根据RFID认证系统的硬件资源及应用场合确定所述RFID认证系统的尺寸L；

在该步骤中，所述L为所述耦合动态整数帐篷映象格子模型的格子数，同时也是Hash函数的输出字节数。

这里，RFID认证系统的尺寸L主要由两个因素决定：一是RFID电子标签的硬件资源。一般情况下，RFID系统的硬件资源限制只来自于电子标签，即只要电子标签能够完成的计算、存储，读写器都能够轻易完成。故在确定L时，只需考虑电子标签是否能够承受，且要求尽量少地占用用户存储区；二是RFID系统的应用场合，依据RFID系统的应用场合不同将RFID认证协议分为轻量级、中量级、重量级三种级别。综上所述，L的确定既要考虑标签的硬件资源，又要考虑系统的应用场合。

步骤13：针对待散列的数据消息进行填充，填充后的消息字节数为b，且b为L的最小整数倍；

在该步骤中，待散列的数据消息一般是以字节为单位的一系列十六进制数。

所述填充后的消息字节数b表示为：

b＝b₁+b₂+1；

上式中，b₁为原消息的字节数；b₂为进行消息填充的消息字节数，且填充的消息内容为若干字节的十六进制数80；1表示一个字节，内容为原消息的比特数。

举例来说，如图2所示为本发明所举实例中消息填充的示意图，图2中选取消息为遵循EPC编码体系的一段电子标签序列号，为十六进制数0x020000A6800010D000112DED，共96bit，12字节，填充后的消息字节数为20字节(总长度b)＝12字节(原消息长度b₁)+7字节(填充长度b₂)+1字节(原消息比特数)，即020000A6800010D000112DED8080808080808060(20字节)。

步骤14：将填充后的消息分为若干组，使每组的字节数为L，将各组的对应字节进行累加，再对256求余数，得到一个长度为L字节的数组作为迭代初值；

这里，由于每个字节占8bit，故字节的状态取值范围为{0,1,2,…,2⁸-1}，要保证累加后每个字节的状态值在取值范围内，故需要对256求余数。

举例来说，如图3所示为本发明所举实例中迭代初值的获取示意图，本实例中填充后的消息为20字节，L＝10，则分为两组，如下所示：

组1：020000A6800010D00011

组2：2DED8080808080808060

再将上述两组消息的对应位置字节分别相加，再对256求余数，得到一组10字节(长度等于L)的数组作为迭代初值，即：X₀＝{2FED8026008090508071}。

步骤15：将所述迭代初值带入所建立的耦合动态整数帐篷映象格子模型中进行L步迭代，将第L+10步的迭代结果作为最终Hash函数的输出值。

在该步骤中，迭代步数是由模型的耦合方式得知的，若要初值影响到所有输出格点值，则至少需要迭代L步，再考虑一定的裕量，这里取迭代步数为L+10。

下面以具体实例对上述迭代过程进行描述，迭代过程如下：

1)取耦合动态整数帐篷映象格子模型中的动态参量k(n)＝当前迭代步数+1，L＝10个格点初值为填充后消息的十个字节X₀。

2)迭代过程如下表1所示：

表1迭代过程

3)输出x₁(20)||x₂(20)||……||x₁₀(20)作为最终Hash值，即：

E14A7083C83621F678DF，共L*8＝80bit。

下面给出本发明所述方法的一个应用实例，如图4所示为本发明实施例所述方法在RFID认证系统中的应用实例示意图，参考图4：每个电子标签都要存储一个与后台数据库共享的秘密值S_i，阅读器内置一个随机数发生器，后台数据库存放所有标签的标识TID_i以及标识TID_i对应的秘密值S_i。

现假设一个电子标签需要被认证，标签标识TID取为用户自定义的编号，为4字节十六进制数0xFF000001，电子标签与后台数据库之间的秘密值S_i取为标签的唯一身份标识UID(EPC标准)0x020000A6800010D000112DED，其认证过程如下：

(1)R-T：阅读器随机生成一个随机数r＝0x9A054E17D03CBD4E,向标签发送r和Query认证请求；

(2)T-R：标签收到请求后计算H(S||TID||r)，并将其发送给阅读器并储存r。其中，H(·)为散列运算，这里选取系统尺寸L＝10的Hash函数，||为级联操作。

H(S||TID||r)

＝H(020000A6800010D000112DED||FF000001||9A054E17D03CBD4E)

＝H(020000A6800010D000112DEDFF0000019A054E17D03CBD4E)

＝2DDD67E1EA9954911F87

(3)R-D：阅读器收到标签发来的H(S||TID||r)后，将其和r发给数据库；

(4)D-R：数据库查询并计算是否存在某个数据对(TID_i，S_i)，使得H(S_i||TID_i||r)＝H(S||TID||r)，若不存在，则认证失败；若存在，则数据库计算并将H(TID_i||r)发给阅读器；

H(TID_i||r)＝H(FF000001||9A054E17D03CBD4E)

＝H(FF0000019A054E17D03CBD4E)

＝B4165EE8DDA9BAD29A57

(5)R-T：阅读器收到数据库发来的H(TID_i||r)后，将其转发给标签，标签收到H(TID_i||r)后，计算H(TID||r)，验证H(TID||r)是否等于H(TID_i||r)，若相等，则认证通过；否则，认证失败。

由于本发明方法采用耦合动态整数帐篷映象格子模型实现扩散与混淆，格点间的耦合起到了扩散作用，使得一个格点值能够影响到其他格点，双重取模运算起到了很好的混淆作用，使得映射很难进行逆向运算，保证了Hash函数的单向性。这样利用本发明对含有TID的信息进行散列运算，避免了TID在不安全的无线信道中直接传播，即便标签与读写器通讯的内容被截获，由于Hash函数具有单向性，攻击者无法从截获的信息中恢复出原消息，无法获取任何有用的情报。

进一步的，为了验证本发明方法的效果，对上述所构造的Hash函数的性能分析如下：

1.随机性测试

根据美国国家标准与技术研究院(NationalInstituteofStandardsandTechnology,NIST)提供的SpecialPublication800-22标准，利用S.T.S-2.1.2测试包对生成的Hash值进行随机性测试。该测试采用假设检验的方法，使用统计量P_value来判定是否接受原假设。这里取显著性水平α＝0.01，若P_value≥α，则接受原假设，认为序列是随机的，通过该项测试。测试结果如下表2所示：

表2NIST随机性测试结果

本发明中的Hash函数生成的序列通过了全部测试，可以认为生成的序列是一个比较理想的随机序列。

2.初值敏感度测试

首先按照EPCglobal的标准及编码结构，随机给出一个电子标签的UID，为十六进制数0x020000A6800010D000112DED，共96bit。对UID采用几种不同规模的Hash函数进行散列运算，并对原消息进行改动再进行散列运算，结果如下表3所示。

表3初值敏感度测试结果

由上表可以看出，原消息具有微小改变，其散列值会有很大差异，表明算法具有很高的初值敏感度。

3.混乱与扩散性质统计分析

通常用于分析混乱与扩散性质的四个统计量为：

平均比特变化数：

<math><math display = 'block'> <mrow> <mi>B</mi> <mo>=</mo> <mfrac> <mn>1</mn> <mi>N</mi> </mfrac> <munderover> <mo>&Sigma;</mo> <mrow> <mi>i</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>N</mi> </munderover> <msub> <mi>B</mi> <mi>i</mi> </msub> </mrow> </math>

平均比特变化率：

<math><math display = 'block'> <mrow> <mi>P</mi> <mo>=</mo> <mfrac> <mi>B</mi> <mrow> <mn>8</mn> <mo>&CenterDot;</mo> <mi>L</mi> </mrow> </mfrac> <mo>&times;</mo> <mn>100</mn> <mi></mi> <mo lspace='0px' rspace='0px'>%</mo> </mrow> </math>

比特变化数的均方差：

<math><math display = 'block'> <mrow> <msub> <mi>s</mi> <mi>B</mi> </msub> <mo>=</mo> <msqrt> <mrow> <mfrac> <mn>1</mn> <mrow> <mi>N</mi> <mo>&minus;</mo> <mn>1</mn> </mrow> </mfrac> <munderover> <mo>&Sigma;</mo> <mrow> <mi>i</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>N</mi> </munderover> <msup> <mrow> <mo>(</mo> <msub> <mi>B</mi> <mi>i</mi> </msub> <mo>&minus;</mo> <mi>B</mi> <mo>)</mo> </mrow> <mn>2</mn> </msup> </mrow> </msqrt> </mrow> </math>

比特变化率的均方差：

上式中，B_i为第i次实验中输出的Hash值与原Hash值相比改变的比特数。一次实验是指，对原消息进行散列运算得到Hash值H₁，改变原消息1bit后再进行散列运算得到Hash值H₂，比较H₁与H₂的每一比特变化情况，N为实验次数。

对不同长度的Hash算法进行统计分析，得到如下表4所示结果：

表4混乱与扩散性质统计分析结果

由上表可以看出，本发明所提出的Hash函数在任何输出长度下其平均比特变化率都比较接近理论值50％，算法具有很好的混乱与扩散性质。而比特变化率的均方差表明，算法具有很强的稳定性。

4.碰撞测试

由于Hash函数的输出长度固定，而输入长度没有限制，故一定存在两个不同的输入产生相同散列值的情况。找到一对碰撞消息的难易程度是衡量一个Hash函数安全等级的重要依据。碰撞测试的一般方法是随机选取一段消息，计算出其散列值；再改变原消息中的1bit，也计算出其散列值。比较两个散列值的相同位置上的字节，若一样则称为击中一次。重复以上步骤统计其击中次数。下表5给出了几种Hash函数的碰撞测试结果，实验次数为1832次。

表5Hash函数碰撞测试结果

上表在一定程度上反映了算法的抗碰撞性能，对于L＝30，改变原消息1bit，输出30字节Hash值中有约有2.36个字节相同，可见碰撞概率较低。

5.字符距离测试

字符距离是一种测试两个Hash值是否相互独立的统计量，其定义如下：

d = \frac{1}{s} Σ_{i = 1}^{s} | H_{1} [i] - H_{2} [i] |

其中，d为字符距离，H₁[i]和H₂[i]分别以十进制数表示两个Hash值的第i个字节的值；s为Hash值的字节长度。

两个独立且各字节取值都服从均匀分布的Hash值的字符距离理论值为85.33。

理论值的推导过程为：

85.33的推导过程可抽象为如下概率模型：两个在[0,255]内服从均匀分布的离散随机变量η₁和η₂，在其定义域内取每个值的概率均为2^-8，现求随机变量ζ＝|η₁-η₂|的数学期望B(ζ)。

ζ的分布如下表所示。

ζ分布

故容易求得B(ζ)＝85.33。

测试时改变原消息1bit，求出两个Hash函数的字符距离，并重复以上步骤1832次，求其平均字符距离。下表6给出了本发明算法在不同输出长度下的平均字符距离计算结果。

表6平均字符距离

由上表可以看出，本发明提出的Hash算法的字符距离比较接近理论值，可以认为更改原消息1bit后，新的Hash值与原Hash值是两个相互独立的随机序列。

综上所述，本发明采用的适用于RFID认证系统的Hash函数构造方法有如下特点：

(1)迭代运算使用了耦合动态整数帐篷映象格子模型，具有均匀分布性及良好的非线性特征，并且实现简单，运算速度快；

(2)运算及数据存储采用单字节方式，能根据RFID硬件资源的限制调整计算规模，具有输出任意字节长度散列值的能力，从而可以根据用户需求以及RFID系统的安全性需求来确定Hash函数的输出长度，十分适用于硬件资源有限的系统，便于软件实现；

(3)传统Hash函数的操作只能用串行方式实现，该算法的迭代结构适应于并行方式实现；

(4)该方法描述简单，运算过程全部采用基于8位操作数的一些简单位操作，易于软件实现，借鉴并改进了混沌密码学研究中广泛采用的帐篷映射模型，将其从实数域变换到整数集中，并引入了动态化机制,充分利用了帐篷映射拉伸与折叠的非线性本质与均匀分布的特性。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明披露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求书的保护范围为准。

Claims

1.一种适用于RFID认证系统的Hash函数构造方法，其特征在于，所述方法包括：

建立耦合动态整数帐篷映象格子模型；

2.根据权利要求1所述适用于RFID认证系统的Hash函数构造方法，其特征在于，所述建立耦合动态整数帐篷映象格子模型的过程为:

将动态整数帐篷映射用如下公式1进行描述:

公式1：

其中，g(n)＝[x(n)+k(n)]mod2^k，上式中，x(n)表示第n步迭代结果；k(n)表示每一步迭代时的动态参量；2^k-1为x(n)取值的整数集上界；mod为取余数运算；

公式2：x_t(n+1)＝(f[x_t(n)]+f[x_t-1(n)]+f[x_t+1(n)])mod2^k；

3.根据权利要求1所述适用于RFID认证系统的Hash函数构造方法，其特征在于，所述填充后的消息字节数b表示为：

b＝b₁+b₂+1；