1、基于部分假名 ID 的 RFID 系统密钥无线生成算法 王金茹 沈阳体育学院管理与新闻传播学院计算机教研室 摘 要: 针对现有无线射频识别系统密钥生成算法中 WiKey 算法存在的安全与成本问题, 提出了一种改进的基于部分假名 ID 的 RFID 系统密钥无线生成算法。在后向信道也可被窃听的情况下, 加入部分假名 ID 信息以减少其他信息引入, 并在一定程度上防止标签真实标识信息泄露;利用异或运算和双向认证机制对秘密数据进行加密传输及验证, 使算法可以抵抗主动、被动攻击。最后, 通过三种不同情况下的 GNY 逻辑证明和安全与性能分析表明算法的可行性。关键词: 无线射频识别 (RFID) ; 密
2、钥生成; WiKey 算法; 假名; 双向认证; GNY 逻辑; 作者简介:王金茹 (1977) , 女, 讲师, 主要研究方向:数字图像处理与计算机应用, E-mail:WangJRFID。收稿日期:2017-06-29基金:国家自然科学基金 (No.61603262) Wireless key generation algorithm for RFID system based on partial pseudonym IDWANG Jinru Department of Computer Teaching, School of Management and Journalism, She
3、nyang Sport University; Abstract: Aiming at the security and cost problem of the WiKey algorithm in the key generation algorithm of the existing radio frequency identification system, an improved wireless key generation algorithm for RFID system based on partial pseudonym ID is proposed. In the case
4、 where the backward channel can also be tapped, some pseudonym ID information is added to reduce the introduction of other information, and to a certain extent, to prevent the true identification of labels leaked information. Secret data are encrypted, transmitted and verified by XOR operation and b
5、idirectional authentication mechanism, so that the algorithm can resist active and passive attacks. Finally, the GNY logical proof and security and performance analysis of the three different cases show the feasibility of the algorithm.Keyword: Radio Frequency Identification (RFID) ; key generation;
6、 Wi Key algorithm; pseudonym; bidirectional authentication; GNY logic; Received: 2017-06-291 引言无线射频识别 (Radio Frequency Identification, RFID) 是一种结合无需接触的自动识别技术与信息采集技术的综合性技术, 是物联网的重要支持技术1, 广泛应用于物流识别、门禁监控、身份识别、交通运输、生产自动化等领域2。在 RFID 系统中安全生成密钥是一项非常具有挑战性的工作: (1) 如果是标签制造商在标签出厂之前就预先设置好密钥, 由于人为因素在监管不当的情况下容易造成
7、密钥信息的泄露3; (2) 如果是读写器以无线的方式将密钥信息写入标签, 由于读写器和标签之间的无线通信, 存在安全攻击风险; (3) 标签成本受限, 在实际应用中大多采用的标签都是低成本无源标签, 若采用复杂的传统密钥协商协议算法, 此类标签将无法正常工作4。因此, 设计系统安全性高的、成本低的 RFID 密钥生成算法是极具研究性的方向。2 相关研究近些年来, 国内外有不少学者针对 RFID 系统密钥生成问题做出了大量研究性的工作, 而现阶段的密钥生成方法主要有两种, 分别是基于物理机制和基于密码机制。基于物理机制的方法主要有法拉第网罩法5和有线连接写入6等, 法拉第网罩方法主要核心思想是信
8、号隔离, 屏蔽无线信号, 但此方法受限于法拉第网罩的空间, 因此该类方法很难运用于 RFID 系统的实际应用中。有线连接写入方法需要硬件接口来建立信号连接, 而 RFID 标签没有物理接口来支持这种连接, 因此这种方法也不适用于 RFID 系统中。密码机制的方法, 主要是基于公钥密钥学的密钥协商7, 例如 RSA 加密算法8, 但此类方法需要大量计算和存储空间, 成本太高, 也不适合于 RFID 标签的应用。基于以上的研究结果, 鲁力提出了一种在 RFID 标签上进行密钥安全无线生成的方法9 (Wireless Key Generation, Wi Key) , Wi Key 的基本思想是利用
9、RFID 系统前、后向信道的非对称性特点, 创造性的提出了“后向信道不可窃听”的观点。虽然文献9论证了 Wi Key 具有多项优点: (1) 密钥无线生成, 无需物理接口; (2) 轻量级; (3) 能抵抗主动和被动攻击; (4) 密钥生成过程可由终端非专业用户执行, 但是这些优点是完全建立在他所提出的“后向信道不可窃听”, “攻击者会在用户目视范围之外进行窃听, 导致攻击者距离标签较远”之上, 而这些假设过于绝对, 不能完全符合实际生活。综上所述, 针对实际生活应用中存在“后向信道也可被窃听”的情况本文提出一种改进的基于部分假名 ID 的 RFID 系统密钥无线生成算法。在本文算法中引入标签
10、假名标识 IDS10, 减少其他信息引入, 降低成本, 同时可避免泄露标签唯一标识符 ID;本文算法充分利用异或加密运算进行传输数据并实现双向认证功能, 保证算法安全性, 并且标签不再产生随机数, 减少标签端门电路使用, 以达到降低标签成本的目的。3 新的密钥无线生成算法3.1 算法前提说明首先做出如下假设:读写器与数据库之间有线连接, 即为通信安全;标签和数据库之间无线连接, 即可被窃听, 容易受到恶意攻击。并且给出本文算法将要用到的全部符号含义, 见表 1。表 1 算法符号说明 下载原表 另外, 本文算法初始状态标签保存数据 (ID, IDS) , 读写器端保存数据 (ID i, IDSi
11、) 。3.2 三种情况下算法执行过程本节根据文献9所提出的两种实际场景, 进一步具体描述, 更加细化的覆盖主要三种不同场景下的算法执行过程:单标签密钥生成、多标签个体密钥生成以及群组标签组密钥生成。3.2.1 单标签密钥生成读写器为某个特定标签生成一个个体共享密钥的算法过程如下:(1) 读写器 R 先向一个标签 Ti发出密钥生成请求 Request。(2) 标签 Ti在收到请求后, 利用自身标识 ID 和假名 IDS 的左半部分, 计算生成待验证数据 v, A=IDIDS L, 并随之将 A 发送给读写器 R。(3) 读写器在收到待验证数据 A 后, 利用后端数据库中存储的 (ID i, ID
12、Si) 信息验证 A 的值, 如果找到对应的 (ID, IDS L) , 说明验证标签成功, 读写器生成随机数 r, 再利用对应的 (ID, IDS R) 计算生成 B=rIDS R和 C=rID 发送给标签 T, 之后计算共享密钥 v, k=rIDIDS;如果未找到对应信息 (ID i, IDSi) , 数据 A 验证失败, 协议终止。(4) 标签收到消息 B、C 后, 利用自身信息 (ID, IDSR) , 提取随机数 r, 并验证 C 的值, 如果验证成功, 生成共享密钥 k, k=rIDIDS;如果验证失败说明读写器假冒, 协议终止。具体算法过程图如图 1 所示。图 1 单个标签密钥生
13、成协议 下载原图在此应用中, 读写器对消息 A 的验证, 标签对消息 C 的验证, 构成了单标签个体密钥生成算法的双向认证安全框架, 这其中消息 A、B 利用标签假名标识 IDS的左右两部分来进行加密计算, 并且标签端不在生成随机数, 降低成本, 减少信息引入, 也一定程度上减小标签真实标识 ID 信息的泄露。3.2.2 多标签个体密钥生成多个标签的密钥生成与单个标签密钥生成算法特征和优势相似, 主要算法特征不同之处在于:不同标签在收到读写器回复信息并验证成功后, 共享密钥 k 的生成中, 需要依据每个标签的不同信息 (ID i, IDSi) 来生成自己的个体秘钥, 也即 k=rID iIDS
14、 i。具体算法过程图如图 2 所示。图 2 多个标签密钥生成协议 下载原图3.2.3 群组标签组密钥生成读写器为一组标签 T1, T2, , Tn, 生成一个唯一的共享密钥协议过程如下:(1) 读写器 R 向组标签 T1, T2, , Tn广播发出密钥生成请求 Request。(2) 小组内的标签在收到请求后, 根据自身 ID 和假名 IDSL, 开始计算 Z1, Z2, , Zn:Z1=ID1IDS 1_L, Z2=ID2IDS 2_LZn=IDnIDS n_L并发送给读写器。(3) 读写器收到待验证数据 Z1, Z2, , Zn后, 将收到的信息与后端数据库中所存储的信息 (ID, IDS
15、L) , 计算进行对比验证。若完全相同, 说明组内所有标签此刻均是合法标签且都已应答, 协议继续执行, 读写器开始计算生成群组唯一共享密钥 k, k=IDS1_RIDS 2_RIDS n_R, 并为每一个标签 Ti生成密钥因子 ki, ki=kIDS i_R, 之后广播发送给标签;若验证并不完全相同, 则表明组内有标签存在非法或是未应答标签, 读写器重新发送请求 Request 以重启密钥生成过程或终止协议。(4) 标签收到密钥因子 ki信息后, 根据自身假名标识信息 IDSi_R计算群组共享密钥 k, 也即 k=kiIDS i_R。具体算法过程图如图 3 所示。图 3 群组标签密钥生成协议
16、下载原图在此应用中, 读写器首先广播请求, 等待群组所有标签应答, 群组内标签必须全部返回消息 (Z 1, Z2, , Zn) 。读写器验证所有消息 Z1, Z2, , Zn成功, 标签验证全部读写器回复消息 IDSi_R成功, 构成了群组标签组密钥生成算法的双向认证安全框架。消息 Z1, Z2, , Zn, 同样利用假名标识 IDS, 加密秘密信息 ID, 并且摒弃文献9所使用的的随机数生成器, 减少额外信息引入, 降低系统成本。4 算法形式化证明GNY 逻辑是一种基于规则和假设的形式化分析方法, 本章根据 GNY 逻辑的推理法则, 一步步推理证明, 最终得到算法的形式化证明。由于 3 种场
17、景协议过程类似, 这里只对单标签密钥生成算法作具体证明, 其余两种情况将不做赘述。4.1 形式化模型在本协议中使用标签为 T, 读写器为 R, 用形式化语言来描述本协议中的消息。4.2 初始化假设设 P1、P2 表示标签、读写器的拥有;P3、P4 表示标签、读写器对数据新鲜性的相信;P5、P6 表示标签和读写器相信各自的信息是可以识别的。4.3 安全目标本协议的安全目标有 3 个, 分别为读写器对标签的身份信息验证信息 ID、IDS L的识别;标签对读写器发送信息新鲜性的相信;标签对读写器身份信息的验证。4.4 分析证明从读写器收到消息 M1 开始, 当读写器收到消息 ID 和 IDSL的异或
18、消息后与后台数据库的信息 (ID i, IDSi) 验证是否匹配, 也即是与假设 P2 进行匹配, 如果匹配成功, 则读写器预认证标签成功, 即:R| (ID, IDSL) , 再根据可识别规则 R1:得到 R|F (ID, IDS L) , 预期目标 D1 得证。当标签收到读写器回复消息 M2 后, 由已知结论 T|# (IDS R) 和新鲜性规则 F1:得到 T|# (IDS R, r) , 继续使用新鲜性规则 F1, 可得到 T|#F (IDS R, r) , 预期目标 D2 得证。由上步可得, 标签对读写器发送来的消息 r 新鲜性的相信并且根据假设消息 P1, 对得到的回复消息 C 进
19、行匹配, 如果匹配成功, 也即是:T| (ID, r) , 再根据可识别规则 R1:得到 T|F (ID, r) , 预期目标 D3 得证。5 算法安全性分析本章分别从被动攻击和主动攻击对三种不同情况下的 RFID 系统密钥无线生成算法做具体安全性分析。算法可以防御被动攻击和主动攻击的关键在于读写器端动态更新随机数的数据新鲜性, 以及部分假名标识 IDS 的加密传输和通信两端双向认证功能的实现。5.1 被动攻击被动攻击主要是通过窃听、监听和跟踪等手段获取正在传输的信息而不是进行访问, 通常情况下数据的合法用户是无法察觉。因此, 要防止攻击者获悉通信数据进行后续的主动攻击从而得到秘密数据13-1
20、4。在第一和第二种算法应用中攻击者可以通过窃听得到消息 A、B、C。但由于数据是加密传输, 攻击者根据窃听得到的消息 A、B、C, 无法倒推出每个标签的假名标识 IDSL和 IDSR, 也就无法得到完整假名标识 IDS, 更无法从已获得的信息中得到随机数 r, 最终无法计算共享密钥。攻击者也可以截取响应信息A、B、C, 对其进行跟踪行为, 最终破译标签与读写器端的共享密钥。但因为在算法中读写器端每轮通信过后, 动态更新随机数 r 并且每次传输过程中随机数都是以密文的形式化传输, 攻击者想要获取构成共享密钥信息的关键值 (随机数) 是不可能的, 所以在第一和第二种算法应用中可以抵抗被动攻击。在第
21、三种算法应用中攻击者企图通过被动攻击, 窃听消息 Z1, Z2, , Zn, 获取和共享密钥相关的信息。但是读写器是利用所有标签的 IDSR计算组密钥, 而在整个通信过程中, 全部标签的 ID 和 IDSL信息进行加密处理, 因此攻击者无法获取共享密钥。即使攻击者通过某些手段获取某些标签的 IDSR, 但是只要其中一个信息出错, 攻击者仍然得不到正确的共享密钥, 所以在第三种算法应用中可以抵抗被动攻击。5.2 主动攻击主动攻击包含对通信数据的某些修改, 或者生成一个假的数据, 来进行重放、拒绝服务等攻击。在第一和第二种算法应用中攻击者可以假冒成任意一方通过重放或篡改的方式发送消息给另一方, 最
22、终导致密钥信息被窃取。但是由于读写器端随机数 r 的动态更新保证了信息的新鲜性, 当攻击者重放或修改上一轮的消息 B、C 时, 随机数 r 早已更新, 又因为算法有双向认证机制, 导致两端认证失败, 协议终止, 攻击失败。在第三种算法应用中攻击者可以通过伪装成合法的读写器, 来获取共享密钥。但因攻击者没有全部标签的 (ID i, IDSi_L) , 无法对群组内的每个标签验证成功, 协议终止, 更无法计算正确共享密钥 k=IDS1_RIDS 2_RIDS n_R, 攻击失败。攻击者也可以假冒成合法的标签, 来获取共享密钥。读写器首先向群组标签发送密钥生成请求, 但假冒标签只有部分 (ID i,
23、 IDSi_L) 信息, 即使能做异或加密运算后将不完整的 Z1, Z2消息作为响应信息发给读写器。但当读写器收到此消息后, 后台数据库验证数据完整性失败, 协议终止, 而此时假冒标签的攻击者并没有得到任何有用的秘密信息, 因此无法计算出正确的共享密钥, 攻击失败。综上所述, 本文所提出的改进算法能更全面的抵抗被动攻击和主动攻击, 下面给出文献9与本文协议的安全性对比, 见表 2。表 2 协议安全性对比 下载原表 在表 2 中, “”表示满足安全性, “O”表示满足部分安全性攻击, 其中文献9具体不能满足的被动攻击有通过大量窃听通信消息进行的暴力破解攻击, 文献9具体不能满足的主动攻击有重放攻
24、击和中间人攻击13,15。6 算法性能分析本章分别对三种不同情况下的 RFID 系统密钥无线生成算法, 从标签的计算量、存储量和通信量三方面与文献9进行性能分析对比, 见表 3表 5。表 3 单标签密钥生成算法性能对比 下载原表 表 4 多标签个体密钥生成算法性能对比 下载原表 表 5 群组标签组密钥生成算法性能对比 下载原表 计算量:该算法标签端只包含一种简单的位运算异或运算。该运算可以在标签中有效的实现, 并且该协议的随机数由读写器端产生, 标签只是用异或提取运算, 使标签的计算量降低。存储量:该算法在执行前, 标签端只存储了假名 IDS 和标签唯一标识 ID, 并且在认证过程中, 标签端
25、需要一些临时用来存放计算信息的存储空间。通信量:标签端传输的消息只有待认证消息 A 或 Z, 若同样设备传输长度为 L, 标签端总的通信量就为 L。在表 3表 5 中, XOR 表示异或运算, PRNG 表示随机数产生器, 假名标识 IDS 标识、标签唯一标识 ID 的长度都是 I, X 表示认证过程中的临时存储空间, 单位通信量为 L。通过表 3表 5 可以看出, 对于单个和多标签密钥生成算法, 在标签通信量相同的情况下, 改进算法的标签计算量更少, 因为本文算法标签端不再使用随机数发生器产生随机数, 大大减少了标签端计算量, 降低标签成本, 实现密钥无线快速生成。对于群组标签密钥生成算法,
26、 虽然标签端计算量比文献9增加, 但本协议摒弃文献9数据明文传输, 采用加密运算使得系统具有更高的安全性。7 结束语本文提出了一种基于部分假名标识的改进 RFID 无线密钥生成算法, 改进之处在于: (1) 引入标签部分假名标识 IDSL或 IDSR加密数据, 避免秘密信息泄露, 减少信息引入, 降低系统成本; (2) 标签不再使用随机数发生器产生随机数, 降低了标签成本与计算量; (3) 实现标签和读写器两端的双向认证功能, 增强算法安全性。分别对三种不同情况下的 RFID 密钥无线生成算法进行具体分析、证明, 表明本文算法在满足文献9所述成本需求下, 能更好地抵抗被动攻击和主动攻击。下一步
27、的研究方向, 是研究具有标签防碰撞功能的无线密钥生成算法和实验仿真。参考文献1周世杰, 张文清, 罗嘉庆.射频识别 (RFID) 隐私保护技术综述J.软件学报, 2015, 26 (4) :960-976. 2金永明, 吴棋滢, 石志强, 等.基于 PRF 的 RFID 轻量级认证协议研究J.计算机研究与发展, 2014, 51 (7) :1506-1514. 3Mamun M S I, Miyaji A, Rahman M S.A secure and private RFID authentication protocol under SLPN problemC/Proc of the 6
28、th Int Conf on Network and System Security.Berlin:Springer, 2012:476-489. 4隋雷, 郭渊博, 姜文博, 等.基于无线信道特征的密钥生成与提取研究J.计算机科学, 2015, 42 (2) :137-141. 5Kuo C, Luk M, Negi R, et a1.Message-in-a-bottle:User friendly and secure key deployment for sensor nodesC/Proceedings of the 5th International Conference on E
29、mbedded Networked Sensor Systems, Sydney, Australia, 2007:233-246. 6Stajano F, Anderson R.The resurrecting duckling:Security issues for ubiquitous computingJ.Computer, 2002, 35 (4) :22-26 7Wang Rangding, Jiang Gangyi, Chen Jiner.A new method of audio-digital watermarking based on trap strategyJ.Jour
30、nal of Computer Research and Development, 2006, 43 (4) :613-620. 8Shamir A.SQUASHA new MAC with provable security properties for highly constrained devices such as RFID tagsC/Proc of Fast Software Encryption.Berlin:Springer, 2008:144-157. 9鲁力.RFID 系统密钥无线生成J.计算机学报, 2015, 38 (4) :822-832. 10沈金伟, 凌捷.一种
31、改进的超轻量级 RFID 认证协议J.计算机应用与软件, 2015, 32 (2) :304-306. 11王少辉, 刘素娟, 陈丹伟.满足后向隐私的可扩展 RFID 双向认证方案J.计算机研究与发展, 2013, 50 (6) :1276-1284. 12李杰.RFID 安全认证协议研究与设计D.西安:西安电子科技大学, 2012:40-46. 13张朝晖, 刘悦, 刘道微.基于标签 ID 的 RFID 系统密钥无线生成算法J.计算机应用研究, 2017, 34 (1) :261-263. 14王少辉.对 RFID 无条件安全认证协议的研究J.小型微型计算机系统, 2012, 33 (9) :2023-2026. 15黄琪, 凌捷, 何晓桃.一种改进的基于标签部分 ID 的 RFID 密钥无线生成算法J.计算机科学, 2017, 44 (1) :172-175.
