CN107171811B - 一种基于Present算法的轻量级RFID安全认证方法 - Google Patents

Abstract

本发明实施例提供了一种基于Present算法的轻量级RFID安全认证方法，包括：通过后端数据库与标签之间共享新旧密钥及秘密信息，实现标签与数据库之间身份的相互验证，采用双向随机数作为协议执行过程中的新鲜量，并进行加密计算，标签端对数据库的认证信息由数据库端产生随机数进行加密，数据库端对标签的认证信息由标签端产生的随机数进行加密，在每次验证过程中通过执行Present加密算法来验证双方身份。该方法具有良好的安全与隐私保护特性，能够很好的抵抗来自RFID系统外的各类攻击，同时也可保护内容隐私、位置隐私、前后向安全及抵抗重放攻击、窃听攻击等攻击。

Description

一种基于Present算法的轻量级RFID安全认证方法

技术领域

本发明涉及一种基于Present算法的轻量级RFID安全认证方法，属于RFID系统信息安全技术领域。

背景技术

RFID(Radio frequency identification)认证协议是解决无线射频识别系统安全与隐私问题的有效手段，但由于低成本RFID系统在计算能力、存储空间方面存在诸多局限性，难以实现复杂的密码算法和大容量的数据存储，因此现有的不少RFID认证协议和方案都不能较全面地满足无线射频系统的隐私安全属性。早期提出的轻量级RFID协议完全依靠Hash(哈希)函数的随机性和单向性实现身份认证和密钥更新，如DUC DN和Kwangjo Kim的抗Dos的RFID认证协议(DUC DN，KIM K.Defending RFID authentication protocolsagainst Do-S attacks[J].Computer Communications，2011，34(3)：384－390)以及Mitchell的拥有权转换协议(SONG B，MITCHELL C J.Scalable RFID security protocolssupporting tag ownership transfer[J].Computer Communications，2011，34(4)：556－566)等。

为进一步降低标签计算开销，后来的协议设计者开始寻求具有更小计算开销的轻量级算法代替多次Hash计算，以实现协议认证和前向安全。但在节约成本的同时，协议的设计缺陷也引发了密钥更新去同步化和标签位置跟踪等诸多问题。比如LimJ的隐私保护认证协议(LIM J，OH H，KIM S.A new Hash-based RFID mutual authentication protocolproviding enhanced user privacy protection[C]//Roceedings of the 4thInformation Security Practice and Experience Conference.LNCS4991，Berlin：Springer-Verlag，2008：278－289)中，会话双方在未完成认证的情况下仍能执行密钥动态更新，可以避免标签位置隐私泄露，但由于该协议缺乏可信任新鲜量，攻击者仍可以利用通信量分析获得标签密钥状态。2007年Chien HY在超轻量级SASI认证协议(H Y Chien.SASI：A new ultralightweight RFID authentication protocol providing strongauthentication and strong integrity[J].IEEE Transactions on Dependable andSecure Computing，2007，4(9)：337-340)中仅利用有限次数的XOR(异或)、循环移位等超轻量级算法实现挑战-应答，并在后台数据库中建立两个密钥存储单元，提高密钥恢复能力，但由于ROT函数的代数特性，SASI被证明易受位篡改型(Dimitriou,T.(2005).ALightweight RFID Protocol to protect against Traceability and Cloningattacks[C]//Proceedings of First International Conference on Security andPrivacy for Emerging Areas in Communications Networks(SecureComm 2005)，Athens，Greece，ISBN:0769523692)去同步化攻击。Peris Lopez设计的协议完全依靠阅读器PRNG(伪随机数发生器)提供新鲜量，节约了标签的计算开销，但是该协议同样容易遭受去同步化攻击(Li T Wang.Security analysis of two ultra-lightweight RFIDauthentication protocols[C]//Proceedings of the IFIP TC-11 22nd InternationalInformation Security Conference IFIP SEC 2007.South Africa：2007：109-120)和代数攻击(Gidas Avoine，Xavier Carpent.Strong Authentication and Strong Integrity(SASI)Is Not That Strong[C]//The 6th International Workshop.RFIDSec2010.Turkey：Istanbul，2010，50-64)。

发明内容

基于上述，本发明提出面向物联网低成本RFID系统的双向认证方法，该方法利用记录新旧密钥对的办法提高协议对密钥去同步化的容忍度，利用双随机数的办法提高协议新鲜量的可信任性和实时性，可以有效抵抗来自系统外部和内部的攻击，不仅具有完善的隐私安全属性，而且满足低成本RFID系统对于通信次数、密钥长度、标签搜索复杂度和标签计算复杂度方面的要求，通过BAN逻辑的形式化证明方法和非形式化方法对方法进行隐私安全性分析，证明该方法可以达到预期状态空间，能够安全、高效地完成RFID阅读器和标签之间的身份认证以及密钥更新。

为实现低成本RFID应用的安全认证，本发明设计了基于Present算法的轻量级RFID双向认证方法，其具体认证方法会话过程如附图所示。

本发明的优点在于：方法交互轮数少，密钥长度低、标签搜索复杂度低以及计算开销小等，能够实现RFID应用的双向身份认证，具有完美的前向安全和后向安全，能够有效避免由消息重放、位置跟踪、标签伪造等典型攻击方式给RFID系统带来的安全性威胁。

表1协议中出现的符号及其含义

附图说明

附图1为本发明中设计的流程附图；

附图2为本发明中设计的基于Present算法的RFID双向认证方法。

具体实施方式

(一)实施步骤

认证方法包括初始化、认证、更新三个阶段，现将协议中后台数据库、阅读器、标签之间的具体交互过程描述如下：

1.初始化阶段

RFID系统为每个标签Tag产生一个唯一性检索名IDS(标签假名)，并和数据库共享密钥(K)。标签方保存其唯一检索名和密钥，存储单元为(IDS,K)；后台数据库存储目录(IDS^old,K^old；IDS,K)，其中数据库的密钥单元(IDS,K)和标签的(IDS,K)相同。

2.认证阶段

2.1)Step 1Reader→Tag(Challenge Message):Hello

读写器发请求应答消息(Hello)给标签。

2.2)Step 2Tag→Reader→Back-End Server(Responding Message):A

标签接收到请求消息后，取出当前唯一性索引名IDS，计算A＝Pre(IDS)并将其发送给读写器，读写器将标签应答消息转发给后台数据库。

2.3)Step 3Back-End Server→Reader→Tag(Forwarding Message):r₁,B

数据库接收到认证信息后，对其进行解密运算IDS＝DPre(A)，然后查询IDS，若在数据库端查询到IDS，则生成随机数r₁，并计算认证信息

将其发送给读写器。

2.4)Step 4Reader→Back-End(Authenticating Back-End):B'

读写器将信息

及随机数r₁发送给标签，标签收到消息后分离出随机数r₁，然后根据随机数r₁和自存储信息计算消息

2.4.1)若B'＝B，则标签完成对数据库端的认证，标签生成随机数r₂，并计算

并将信息

及随机数r₂发送给读写器；

2.4.2)若B'≠B，则数据库未通过标签的认证，认证失败，认证过程结束。

2.5)Step 5Tag→Reader→Back-End Server(Authenticating Tag):r₂,C

读写器将信息

及随机数r₂转发给数据库，数据库分离出随机数r₂后，计算认证信息

2.5.1)若C'＝C，数据库完成对标签的认证，计算更新指令信息

并开始更新存储信息；

2.5.2)若C'≠C，则标签未通过数据库的认证，认证失败，认证过程结束。

在本阶段的认证步骤中，运用了随机数及预置共享密钥对相结合的方法；之所以能够抵抗来自第三方的攻击，在于标签与数据库端所有的认证信息都是加密传输，攻击者不能够简单的通过截获信息来获取或推测标签及数据库的内部未加密信息；且数据库端存储有标签的两次认证信息，若攻击者截断更新消息指令或篡改更新消息指令，导致标签未能同步更新的话，在下次认证时，数据库端能够找到对应标签信息，从而抵抗了攻击者的攻击；同时，在标签对数据库的认证过程中，由数据库端产生随机数r₁并参与到数据库的认证信息

的加密计算中，确保数据库的认证信息对标签来说每次都是新鲜和实时的；在数据库对标签的认证过程中，由标签产生随机数r₂并参与到认证信息

的加密计算当中，同时保证标签得到的每次更新指令信息

都是新鲜和实时的；

2.6)Back-End Server→Reader→Tag(Updating mesage):D

标签接到更新指令信息

后，计算认证信息

2.6.1)若D'＝D，标签更新存储信息。

2.6.2)若D'≠D，标签放弃更新存储信息，认证结束。

正是因为数据库对标签的认证信息是由数据库端产生的随机数r₁参与运算，所以可以防止攻击者恶意截取标签上轮的通信信息与数据库发生恶意对话；而标签的更新指令由标签端产生的随机数r₂参与运算，由于标签在每次认证过程都会产生新的随机数，可以防止攻击者截取上几轮的通信信息直接与标签对话，使其直接更新导致与数据库端是去同步；而标签收到对数据库的认证消息为

为标签秘密信息与数据库端产生的随机数异或计算后经过Present算法加密计算后的值；数据库端的认证信息为

标签端的更新指令信息

都由标签新产生的随机数与存储密钥异或后经过Present算法加密计算后的值；其中，Present算法是一种轻量级的分组加密算法，可以将输入的信息经过31轮循环加密及1轮的白化变换后，得出加密后的密文，具有强的隐私性和安全性。

3.更新阶段

为保证方法前向安全，认证双方通过协议新鲜量执行更新，数据库将IDS和K写入IDS^old,K^old单元，并将更新后的IDS和K写入本轮认证的IDS和K所占单元。标签则直接将更新后的参数写入内存。

3.1)若认证过程中以IDS认证的话，数据库端更新：

IDS^old＝IDS K^old＝K

3.2)若认证过程中以IDS^old认证的话，数据库端更新：

IDS^old＝IDS^old K^old＝K^old

3.3)标签端更新：

(二)BAN逻辑形式化证明

1.BAN逻辑

BAN逻辑是由美国DEC公司研究人员提出的一种可用于认证协议形式化分析的逻辑。借助此逻辑，认证双方可以对相互身份进行确认。该逻辑是基于知识和信仰的，认证双方通过相互接收和发送消息来从最初的信仰逐渐发展到最终信仰。BAN逻辑在协议分析时假设协议采用的密码算法是完美的，即不考虑密码算法被攻破。BAN逻辑主要对象包括：主体P、Q，密钥K，公式，任意语句X。

1.1BAN逻辑的基本语句

BAN逻辑的基本语句及其解释如下：

(1)P∣≡X主体P相信X是真的

(2)P∣～X主体P曾经发送过包含X的消息

(3)

主体P接收到了包含X的消息，或存在某主体Q向P发送了包含X的消息

(4)

主体P对X有管辖权

(5)#(X)X是新鲜的，没有在当前回合前被作为消息的一部分发送过

(6)

K为主体P和Q的共享密钥

(7)

K为主体P的公开密钥

(8)<X>_K用密钥K对消息X进行加密的密文

1.2BAN逻辑的推理规则

BAN逻辑的主要推理规则如下所示：

(1)消息含义规则

P相信Q与P之间共享密钥K，且P曾收到过用密钥K加密的消息X，则得出P相信Q曾说过X。

(2)仲裁规则

P相信Q对X有仲裁权，P也相信Q相信X，则得到P相信X。

(3)临时验证规则

P相信X是新鲜的，P相信Q说过X，则P相信Q相信X。

(4)信仰规则

a)P相信X的真实性，P相信Y的真实性，则P相信由X、Y组成的信息。

b)P相信由X、Y组成的信息，则P相信信息X。

c)P相信Q相信由X、Y组成的信息，则P相信Q相信X。

(5)新鲜性规则

P相信信息X的新鲜性，则P相信由X、Y组成信息的新鲜性。

2.本文协议的形式化证明

2.1协议描述：

1)T→DB:Pre(IDS)

2)DB→T:

r₁

3)T→DB:

r₂

4)DB→T:

2.2协议理想化：

1)T→DB:{IDS}_P

2)DB→T:

3)T→DB:

4)DB→T:

2.3协议初始化假设：

1)

2)

3)

4)

T|≡#(r₂)

2.4协议目标：

1)

2)

3)

2.5协议证明：

1)由消息2可得到：

根据规则

可得到：

可得到：

由初始化假设

和规则

可得到：

在

初始化假设条件下，由规则

可得到：

因此，由规则

可得到：

在根据规则

可得到：

再由初始化假设条件

和规则

可得到：

2)由消息3可得到：

根据规则

可得到：

可得到：

由初始化假设

和规则

可得到：

在

初始化假设条件下，由规则

可得到：

因此，由规则

可得到：

在根据规则

可得到：

再由初始化假设条件

和规则

可得到：

3)由消息4可得到：

由初始化假设

和规则

可得到：

在T|≡#(r₂)初始化假设条件下，由规则

可得到：

因此，由规则

可得到：

在根据规则

可得到：

(三)认证方法的安全性分析

轻量级协议认证方法中仅包括位运算来实现加密过程及相互认证，因此其安全性分析主要依靠非形式化的分析方法。从加密计算的角度来看，协议需要满足数据的机密性、完整性和安全认证性；从攻击检测角度来看，协议需要抵抗重放攻击、窃听攻击、跟踪攻击、去同步化攻击，并能够保证前向安全和后向安全。

下面详细介绍：

1.协议的安全认证性

只有合法的数据库和标签才能够取得对方的彼此认证，并在认证过程结束后对内部存储信息进行更新。新协议在每次认证过程结束后，都会对协议信息进行更新，并且更新的消息同步且相同，只有合法的数据库与标签才知道更新过的信息，且它们之间信息共享，所以，新协议满足安全认证性。

2.数据的机密性和完整性

标签和阅读器之间通过不安全信道传输消息，攻击者通过监听信道分析有用的数据信息。本文所提协议中的传递消息全部由Present加密函数进行加密，不安全信道中的认证消息具有足够的机密性。此外，Present算法的密钥只在数据库和标签端共享，任何形式的消息篡改都会导致认证过程的失败，因此，新协议能够保证消息数据的机密性和完整性。

3.抵抗重放攻击

每次标签与读写器的会话信息中都有随机数的参与，并且在认证过程结束后，所有信息都会更新。当攻击者截获本轮的认证消息要对下一轮标签与读写器会话时进行重放，标签会根据计算识别出重放的会话信息，并停止会话，导致攻击失败。所以，标签可以抵抗重放攻击。

4.抵抗窃听攻击

标签与数据库执行互相认证时，所有认证过程中的消息都有数据库产生的随机数的参与，且通过Present算法加密，因此，攻击者对认证过程进行非法入侵时，是不能够从截获的消息中推测出任何关于标签和数据库的消息。因此，新协议可以抵抗窃听攻击。

5.防跟踪攻击

标签和读写器在每完成一次认证过程后，都会对标签假名信息IDS，密钥信息K进行更新，并且更新的信息都包含了每次认证过程中标签端提供的随机数来作为新鲜量。在认证交互的信息中，所有的信息都由Present算法加密，攻击者无法从截获的信息中获取标签的关联性，也不能从标签的发送信息中获得相关的信息。因此，新协议能够保证防跟踪攻击。

6.防去同步化攻击

本协议在认证过程中，标签端产生了新的随机数，它的产生使得每次认证过程的信息都不相同。因此，在抵抗去同步化攻击时，若攻击者第一轮会话中截获了消息B和随机数r1，并阻止了标签接收消息D，使读写器更新，标签不更新；第二轮会话，攻击者再次截止消息D的发送以阻止标签更新；第三轮，攻击者对标签重放第一轮截获的消息B和随机数r1，标签通过分离得出的随机数r1通过了消息B的验证，而攻击者截取的对标签更新起绝对作用的消息D并不能够通过认证，因为在第三轮会话时，标签已经产生了新的随机数来计算认证消息。因此，标签识别出消息假冒，会话结束，标签信息不更新。因此，新协议能够防止去同步化攻击。

7.协议的前向安全和后向安全

攻击者利用侧信道攻击等方式获得标签内部状态，并通过获取的信息推导之前或之后读写器与标签之间的会话情况，即通过记录回话消息来推测内部存储信息。在双向认证过程中，每次会话过程都引入数据新鲜量——随机数，同时，每次认证的回话消息都是加密消息，没有明文发送，攻击者无法根据present加密运算后输出结果来推导加密运算前的输入信息。因此，可知协议能够保证前向安全和后向安全。

(四)性能分析

本设计协议中，选取Present加密算法作为信息加密的安全手段，而Present加密算法在执行过程中所消耗的硬件功耗低，算法运行周期短，因此，本协议所采用的Present算法的加密机制，非常适合于硬件资源有限的RFID系统。

计算开销：本文所设计的协议在计算方面仅使用了Present加密算法一种，并且，Present加密算法在加密和解密阶段的计算时间小于Hash、Rot及Mixbits等加密计算方法。因此，在计算开销上，本协议完全适用于低成本的RFID系统。

存储开销：本文在标签端的存储开销为2L，而文献[贾庆轩,陈鹏,高欣,韦凌云,王鑫,赵兵.抗去同步化的轻量级RFID双向认证协议[J].中南大学学报(自然科学版),2015,46(06):2149-2156.]、[刘亚丽,秦小麟,王超.一种超轻量级RFID双向认证协议[J].计算机科学,2013,40(12):141-146.]、[彭朋,赵一鸣,韩伟力,金波.一种超轻量级的RFID双向认证协议[J].计算机工程,2011,37(16):140-142]中的在标签端的开销为4L，4L，4L。与他们相比，大大减少了标签的存储量，导致标签在存储结构的逻辑门电路设计上的开销进一步降低。

通信开销：本协议在认证过程中，共有标签共有5次的交互信息认证，3次接收，2次发送。接收和发送的数据量都为3L。而协议[贾庆轩,陈鹏,高欣,韦凌云,王鑫,赵兵.抗去同步化的轻量级RFID双向认证协议[J].中南大学学报(自然科学版),2015,46(06):2149-2156.]、[刘亚丽,秦小麟,王超.一种超轻量级RFID双向认证协议[J].计算机科学,2013,40(12):141-146.]、[彭朋,赵一鸣,韩伟力,金波.一种超轻量级的RFID双向认证协议[J].计算机工程,2011,37(16):140-142]中具有较高的协议接收和发送量，降低了协议的信息交互效率。

表2协议标签端的性能对比分析

其中，H代表Hash计算，R代表Rot(x,y)循环移位计算，M代表Misbits嵌套式循环移位计算，P代表Present加密计算，加密算法的效率为：H>R>M>P。

Claims (1)

1.一种基于Present算法的轻量级RFID安全认证方法，其特征在于：

使用双向随机数和预置共享新旧密钥对相结合的方式来实现后台数据库与标签之间的互认证，并通过存储新旧密钥对的方法协助RFID系统抵抗来自第三方的攻击，具体认证步骤如下：

1-1系统初始状态，后台数据库存储有标签的两次认证信息，分别为上一轮认证信息及本轮认证信息，标签只存储一次认证信息，为本轮认证信息；

1-2读写器向标签发送认证请求；

1-3标签接到认证请求，将自存储的标签假名信息IDS经过Present算法加密后的认证信息A＝Pre(IDS)发送给读写器，由读写器转发给后台数据库，其中Pre()表示对括号内的信息进行Present加密运算；

1-4后台数据库接收到认证信息A后，对其进行解密运算IDS＝DPre(A)，然后查询IDS，若在后台数据库查询到IDS，则生成随机数r₁，并利用存储的密钥k计算认证信息

将其发送给读写器，其中DPre()表示对括号内信息进行Present算法的解密运算，

为异或运算；

1-5读写器将

及随机数r₁发送给标签，标签收到消息(B,r₁)后分离出随机数r₁，然后根据随机数r₁和自存储信息(IDS,k)计算验证消息

1-5-1若B'＝B，则标签完成对后台数据库的认证，标签生成随机数r₂，并计算认证信息

并将

及随机数r₂发送给读写器；

1-5-2若B'≠B，则后台数据库未通过标签的认证，认证失败，认证过程结束；

1-6读写器将

及随机数r₂转发给后台数据库，后台数据库分离出随机数r₂后，计算验证信息

1-6-1若C'＝C，后台数据库完成对标签的认证，然后计算更新指令信息

并开始更新存储信息(IDS,k)，

为密钥k的取反操作；

1-6-2若C'≠C，则标签未通过后台数据库的认证，认证失败，认证过程结束；

在1-3到1-6的认证步骤中，运用了随机数及预置共享密钥对相结合的方法；之所以能够抵抗来自第三方的攻击，在于标签与后台数据库所有的认证信息都是加密传输，攻击者不能够简单的通过截获信息来获取或推测标签及后台数据库的内部未加密信息(IDS,k)；且后台数据库存储有标签的两次认证信息，若攻击者截断更新消息指令或篡改更新消息指令D，导致标签未能同步更新的话，在下次认证时，后台数据库能够找到对应标签信息(IDS,k)，从而抵抗了攻击者的攻击；同时，在标签对后台数据库的认证过程中，由后台数据库产生随机数r₁并参与到后台数据库的认证信息

的加密计算中，确保后台数据库的认证信息对标签来说每次都是新鲜和实时的；在后台数据库对标签的认证过程中，由标签产生随机数r₂并参与到认证信息

的加密计算当中，同时保证标签得到的每次更新指令信息

都是新鲜和实时的；

1-7标签接到更新指令信息

后，计算更新指令验证信息

1-7-1若D'＝D，标签更新自存储信息(IDS,k)；

1-7-2若D'≠D，标签放弃更新自存储信息(IDS,k)，认证结束；

正是因为后台数据库对标签的认证信息是由后台数据库产生的随机数r₁参与运算，所以可以防止攻击者恶意截取标签上轮的通信信息与后台数据库发生恶意对话；而标签的更新指令由标签产生的随机数r₂参与运算，由于标签在每次认证过程都会产生新的随机数，可以防止攻击者截取上几轮的通信信息直接与标签对话，使其直接更新导致与后台数据库失去同步；而标签收到对后台数据库的认证消息为

为标签秘密信息(IDS,k)与后台数据库产生的随机数r₁异或计算后经过Present算法加密计算后的值；后台数据库的认证信息为

标签的更新指令信息

都由标签新产生的随机数r₂与存储密钥异或后经过Present算法加密计算后的值；其中，Present算法是一种轻量级的分组加密算法，可以将输入的信息经过31轮循环加密及1轮的白化变换后，得出加密后的密文，具有强的隐私性和安全性。

Images