朱 峰，白恩健,2

(1.東華大學(xué) 信息科學(xué)與技術(shù)學(xué)院，上海201620；2．?dāng)?shù)字化紡織服裝技術(shù)教育部工程研究中心，上海201620)

新的輕量級(jí)RFID 雙向認(rèn)證協(xié)議:PUF-LMAP+

朱 峰1，白恩健1,2

(1.東華大學(xué) 信息科學(xué)與技術(shù)學(xué)院，上海201620；2．?dāng)?shù)字化紡織服裝技術(shù)教育部工程研究中心，上海201620)

隨著射頻識(shí)別(RFID)技術(shù)越來(lái)越廣泛的應(yīng)用，其安全與隱私問(wèn)題成為制約RFID技術(shù)的主要原因之一。為了降低標(biāo)簽的成本，有一些基于位操作的超輕量級(jí)安全認(rèn)證協(xié)議被提出，但僅僅利用位操作的超輕量級(jí)安全認(rèn)證協(xié)議安全性不能很好保證。本文針對(duì)改進(jìn)的LMAP+安全認(rèn)證協(xié)議不能夠抵抗跟蹤攻擊和完全泄露攻擊的問(wèn)題，融合物理不可克隆函數(shù)(PUF)提出新的輕量級(jí)算法，新算法能夠抵抗追蹤攻擊、完全泄露攻擊和標(biāo)簽克隆攻擊等攻擊方法。

RFID；輕量級(jí)；改進(jìn)的LMAP+；物理不可克隆函數(shù)

[3]提出了超輕量級(jí)雙向認(rèn)證協(xié)議族(Ultra-lightweight Mutual Authentication Protocol,UMAP),包括最低要求雙向認(rèn)證協(xié)議(Minimalist Mutual-Authentication Protocol，M2AP)、高效雙向認(rèn)證協(xié)議(EfficientMutual Authentication Protocol，EMAP)和輕量型相互認(rèn)證協(xié)議(Lightweight Mutual Authentication Protocol，LMAP)。這個(gè)協(xié)議族只需要簡(jiǎn)單的位操作就可以完成認(rèn)證協(xié)議，但這些協(xié)議無(wú)法抵抗去同步破壞攻擊和跟蹤攻擊。文獻(xiàn)[2]提出了輕量級(jí)強(qiáng)認(rèn)證強(qiáng)完整性協(xié)議(Strong Authentication and Strong Integrity，SASI協(xié)議)，該協(xié)議擁有更強(qiáng)的完整性保障，但也不能抵抗拒絕服務(wù)攻擊和去同步攻擊[4]。針對(duì)SASI協(xié)議的缺點(diǎn)，文獻(xiàn)[5]提到了Gossamer協(xié)議，同時(shí)也指出該協(xié)議也存在拒絕服務(wù)攻擊和去同步攻擊。

針對(duì)LMAP不能抵抗的攻擊，不斷有學(xué)者對(duì)LMAP協(xié)議進(jìn)行改進(jìn)，但同時(shí)也陸續(xù)有學(xué)者指出改進(jìn)的協(xié)議中仍存在缺陷。在2012年，Gurubani[6]等人在較完善的LMAP+協(xié)議的基礎(chǔ)上進(jìn)行了改進(jìn)，提出了新的協(xié)議，該協(xié)議僅使用按位加、按位異或等簡(jiǎn)單的位運(yùn)算，改進(jìn)后的協(xié)議能夠抵抗跟蹤攻擊和去同步攻擊。2014年王超[7]等人針對(duì)改進(jìn)的LMAP+協(xié)議提出跟蹤攻擊(在該文獻(xiàn)中用的是追蹤攻擊)以及由跟蹤攻擊發(fā)展而來(lái)的完全泄露攻擊。

本文針對(duì)文獻(xiàn)[7]提出的攻擊，對(duì)改進(jìn)的LMAP+協(xié)議進(jìn)行進(jìn)一步的改進(jìn)，在原有的協(xié)議中融入物理不可克隆函數(shù)(Physical Unclonable Function，PUF)后提出新協(xié)議并對(duì)新協(xié)議進(jìn)行安全性分析。結(jié)果表明新協(xié)議能夠抵抗追蹤攻擊、完全泄露攻擊和標(biāo)簽克隆攻擊等其他攻擊方法。

1 改進(jìn)的LMAP+和PUF

1.1 改進(jìn)的LMAP+

2012年，Gurubani[6]等人分析了所提出的跟蹤攻擊和去同步攻擊后，在原有的LMAP+協(xié)議上添加了一項(xiàng)密鑰信息K3，并且在整個(gè)認(rèn)證過(guò)程中沒(méi)有涉及到標(biāo)簽的ID，對(duì)在閱讀器和標(biāo)簽之間相互認(rèn)證的傳輸數(shù)據(jù)表達(dá)式和最后的更新表達(dá)式都進(jìn)行了改進(jìn)。在改進(jìn)的LMAP+中僅使用了位加、位異或等位操作，而且假設(shè)閱讀器與后臺(tái)數(shù)據(jù)庫(kù)之間傳輸信息是安全的。

2014年，王超[7]等人提出針對(duì)改進(jìn)LMAP+協(xié)議的基于模擬退火算法的攻擊策略，并對(duì)該協(xié)議進(jìn)行安全性分析，通過(guò)自定義評(píng)價(jià)函數(shù)，以啟發(fā)式算法的思想，使猜測(cè)數(shù)據(jù)逐漸逼近真實(shí)秘密數(shù)據(jù)，從而完成跟蹤攻擊和在跟蹤攻擊上衍生出來(lái)的完全泄漏攻擊。

1.2 PUF

為了提高RFID系統(tǒng)的安全性，大部分安全認(rèn)證協(xié)議都采用加密算法或哈希函數(shù)來(lái)實(shí)現(xiàn)。但是這些協(xié)議需要一定的硬件成本才能實(shí)現(xiàn)加密運(yùn)算過(guò)程。即使對(duì)于簡(jiǎn)化之后的哈希運(yùn)算而言，加密運(yùn)算過(guò)程也至少需要1 700個(gè)等效門(mén)[8]。因此盡管這些協(xié)議有較高的安全性，但是它們很難應(yīng)用于低成本的RFID系統(tǒng)中，并且應(yīng)用擴(kuò)展性也較低。同時(shí)采用這些安全協(xié)議的RFID系統(tǒng)也難以抵抗一些不良攻擊，如無(wú)法抵抗物理攻擊和標(biāo)簽克隆等。攻擊者可以通過(guò)解剖芯片的方式獲取標(biāo)簽內(nèi)部存儲(chǔ)的密鑰，在此基礎(chǔ)上進(jìn)行芯片的反向設(shè)計(jì)實(shí)現(xiàn)標(biāo)簽的克隆。物理不可克隆功能[9]的出現(xiàn)能有效解決上述問(wèn)題。PUF是一組微型延遲電路，當(dāng)收到一個(gè)隨機(jī)的二進(jìn)制輸入之后，會(huì)生成一個(gè)唯一的、隨機(jī)的二進(jìn)制序列作為響應(yīng)。由于芯片制造過(guò)程中產(chǎn)生的差異本身具有不可模仿和復(fù)制的特性，所以每個(gè)芯片中的PUF電路可以生成無(wú)限多個(gè)、唯一的、不可預(yù)測(cè)的“密鑰”。即使是芯片的制造廠商也不可能從另外一個(gè)芯片上復(fù)制出一套一模一樣的響應(yīng)序列。所以，如果在標(biāo)簽芯片內(nèi)部集成一個(gè)PUF模塊，則該標(biāo)簽就具有反克隆的功能，同時(shí)PUF 唯一的響應(yīng)序列也可以用來(lái)對(duì)標(biāo)簽進(jìn)行認(rèn)證。而且PUF 電路所需的硬件開(kāi)銷(xiāo)很小，一個(gè)64 位的PUF 電路大概需要545個(gè)等效門(mén)電路[9]，大大少于簡(jiǎn)化后的Hash 運(yùn)算和MD5等加密電路。正是由于PUF的這些特點(diǎn)，使得利用PUF 來(lái)設(shè)計(jì)RFID 認(rèn)證協(xié)議成為一個(gè)新的研究熱點(diǎn)。

但是單獨(dú)使用PUF也存在一定的安全問(wèn)題，每個(gè)標(biāo)簽需要預(yù)先在后臺(tái)數(shù)據(jù)庫(kù)中存儲(chǔ)大量的響應(yīng)對(duì)，如果標(biāo)簽數(shù)量很多，后臺(tái)數(shù)據(jù)庫(kù)在對(duì)標(biāo)簽進(jìn)行安全認(rèn)證的時(shí)候就要進(jìn)行大量的查找，從而會(huì)降低整個(gè)系統(tǒng)安全認(rèn)證的效率。另外，由于認(rèn)證過(guò)程中沒(méi)有隨機(jī)數(shù)，標(biāo)簽容易被攻擊者跟蹤。

本文針對(duì)上述安全問(wèn)題提出了新的PUF-LMAP+協(xié)議，新協(xié)議不僅能夠克服上述沒(méi)有融合PUF時(shí)的安全問(wèn)題，而且能夠滿足低成本要求，依然屬于輕量級(jí)安全認(rèn)證協(xié)議。

2 新輕量級(jí)安全認(rèn)證協(xié)議PUF-LMAP+

PUF-LMAP+協(xié)議在LMAP+的基礎(chǔ)上融合了PUF技術(shù)，不僅能夠解決上述的安全問(wèn)題，而且還能夠抵抗克隆攻擊等一些其他攻擊。新協(xié)議作了如下的改進(jìn)：

(1)為了降低RFID系統(tǒng)成本，只在標(biāo)簽芯片內(nèi)部集成一個(gè)PUF模塊(以下部分將PUF模塊當(dāng)成一個(gè)PUF函數(shù)來(lái)使用)，PUF的特性使標(biāo)簽?zāi)軌虻挚箍寺」簟?/p>

(2)在后臺(tái)數(shù)據(jù)庫(kù)中除了要提前存儲(chǔ)LMAP+算法中所存儲(chǔ)的信息外，還要存儲(chǔ)PUF函數(shù)的兩個(gè)輸出量，而PUF函數(shù)的兩個(gè)輸入量則為共享密鑰對(duì)。而且經(jīng)過(guò)PUF模塊后兩個(gè)輸出量是唯一的。

(3)為了降低RFID系統(tǒng)的成本，將閱讀器中的隨機(jī)數(shù)產(chǎn)生器(Pseudo-random Number Generator，PRNG)改用線性反饋移位寄存器(Linear Feedback Shift Registers，LFSR)，在文獻(xiàn)[3]中已經(jīng)提到LFSR也能產(chǎn)生隨機(jī)數(shù)，并且其等效門(mén)比PRNG的等效門(mén)要少一些。

(4)在文獻(xiàn)[10]中闡明了用模2m不能夠抵抗由信息量的最低位引起的跟蹤攻擊，而用模2m-1能夠抵制上述攻擊，所以也將新協(xié)議中凡是用到模2m的地方都改用模2m-1。

表1 新算法符號(hào)與說(shuō)明

(1)

(2)

(3)

圖1 新算法具體認(rèn)證過(guò)程

為了提高隨機(jī)性，閱讀器每次在產(chǎn)生隨機(jī)數(shù)l時(shí)隨意選擇j等于1或2。

圖1中的A、B、C、D和E具體表達(dá)式如下：

(4)

(5)

(6)

(7)

(8)

新協(xié)議的具體流程如下：

(9)

(10)

(11)

(12)

(13)

(14)

3 PUF-LMAP+安全性分析

(4)中間人攻擊：在閱讀器認(rèn)證標(biāo)簽時(shí)會(huì)發(fā)送A和B，攻擊者可以攔截A和B后對(duì)兩者進(jìn)行更改，然后再傳給標(biāo)簽。但是在協(xié)議中標(biāo)簽會(huì)根據(jù)A的表達(dá)式和存儲(chǔ)的信息量來(lái)計(jì)算隨機(jī)數(shù)得l1，再根據(jù)B的表達(dá)式和存儲(chǔ)的信息量來(lái)計(jì)算隨機(jī)數(shù)得l2，判斷l(xiāng)1和l2是否相等來(lái)判斷是否有中間人攻擊。在標(biāo)簽認(rèn)證閱讀器時(shí)會(huì)發(fā)送C、D和E,而表達(dá)式E也是用來(lái)驗(yàn)證C和D是否受到中間人攻擊。因此該新算法能夠抵抗中間人攻擊。

(5)克隆攻擊：攻擊者可以利用物理方法來(lái)復(fù)制標(biāo)簽存儲(chǔ)的信息來(lái)克隆出一個(gè)合法的標(biāo)簽，但在新協(xié)議的認(rèn)證過(guò)程中使用到PUF函數(shù)的輸出量來(lái)進(jìn)行安全認(rèn)證。由于PUF函數(shù)的特殊性，攻擊者想要模擬PUF函數(shù)的輸出量是很困難的。因此新協(xié)議能夠抵抗克隆攻擊。

4 結(jié)論

本文首先分析了改進(jìn)的LMAP+算法并且指出其存在的安全問(wèn)題。為了解決這些安全問(wèn)題，在標(biāo)簽中融合PUF模塊，提出新的PUF-LMAP+協(xié)議。分析表明新協(xié)議能夠解決文獻(xiàn)[7]中所提出的安全問(wèn)題(跟蹤攻擊和完全泄露攻擊)，PUF模塊為新算法提供了防止硬件復(fù)制篡改的特性。

參考文獻(xiàn)

[1] 劉彥龍,白煜,滕建輔.RFID 分布式密鑰陣列認(rèn)證協(xié)議的安全性分析[J].計(jì)算機(jī)工程與應(yīng)用,2014,50(16):72-76.

[2] CHIEN H Y．SASI：a new ultra-lightweight RFID authentication protocol providing strong authentication and strong integrity[J]．IEEE Transactions on Dependable and Secure Computing，2007，4(4)：337-340.

[3] 高樹(shù)靜.低成本無(wú)源RFID安全關(guān)鍵技術(shù)研究[D].濟(jì)南：山東大學(xué)，2012.

[4] RAPHAEL C W. Cryptanalysis of a new ultra-lightweight RFID authentication protocol-SASI[J]. IEEE Transactions on Dependable and Secure Computing, 2009, 6(4):316-320.

[5] TAQIEDDIN E,SARANGAPANI J. Vulnerability analysis of two ultra-lightweight RFD authentication protocols: RAPP and gossamer[C].The 7th International Conference for Internet Technology and Secured Transactions,2012:80-86.

[6] GURUBANI J B, THAKKAR H, PATEL D R. Improvements over extended LMAP+: RFID authentication protocol[C]. In: IFIP Advances in Infoomation and Communicatioh Fechnology， 2012: 225-231.

[7] 王超,秦小麟,劉亞麗.對(duì)改進(jìn)LMAP+協(xié)議的啟發(fā)式攻擊策略[J].計(jì)算機(jī)科學(xué),2014,41(5): 143-149.

[9] BOLOTNYY L,ROBINS G. Physically unclonable function-based security and privacy in RFID systems[C]. Pervasive Computing and Communications, Fifth Annual IEEE International Conference on, 2007:211-220.

[10] Huang Anqi, Zhang Chen, Tang Chaojing. Another improvement of LMAP++: a RFID authentication protocol[J].Communications in Computer and Information Science,2014(426):100-106.

德州儀器為中國(guó)多家領(lǐng)先互聯(lián)網(wǎng)企業(yè)帶來(lái)創(chuàng)新的物聯(lián)網(wǎng)解決方案

2016年1月4日(北京訊)德州儀器 (TI) (NASDAQ: TXN)日前宣布其與騰訊、百度、阿里巴巴及京東四家中國(guó)領(lǐng)先的互聯(lián)網(wǎng)企業(yè)建立了IoT合作伙伴關(guān)系。通過(guò)久經(jīng)行業(yè)驗(yàn)證的低功耗和超低功耗SimpleLinkTM無(wú)線MCU產(chǎn)品組合，TI針對(duì)四家企業(yè)的不同IoT應(yīng)用提供了多種創(chuàng)新的無(wú)線連接解決方案。SimpleLinkTM產(chǎn)品組合包括面向廣泛嵌入式市場(chǎng)的無(wú)線MCU、無(wú)線網(wǎng)絡(luò)處理器 (WNP) 、RF收發(fā)器和距離擴(kuò)展器，能夠簡(jiǎn)化IoT應(yīng)用的開(kāi)發(fā)并輕松實(shí)現(xiàn)萬(wàn)物互聯(lián)。憑借對(duì)Bluetooth?Smart、Wi-Fi?、Sub-1 GHz、6LoWPAN、ZigBee?等多達(dá)14項(xiàng)無(wú)線連接標(biāo)準(zhǔn)的支持，該產(chǎn)品組合可幫助生產(chǎn)商將無(wú)線連接功能輕松添加至任何產(chǎn)品和設(shè)計(jì)中，并滿足所有的應(yīng)用需求。

作為中國(guó)領(lǐng)先的互聯(lián)網(wǎng)綜合服務(wù)提供商，騰訊所推出的社交軟件微信已經(jīng)成為主流的在線溝通工具。作為此次TI與騰訊的合作項(xiàng)目之一，微信將指定TI作為其Bluetooth Smart以及Wi-Fi?芯片的供應(yīng)商，其終端用戶可以在TI的無(wú)線芯片上實(shí)現(xiàn)AirKiss和AirSync協(xié)議，并接入騰訊推廣的微信硬件平臺(tái)。未來(lái)，微信還希望將其合作論壇的一部分權(quán)限開(kāi)放給TI，讓TI的技術(shù)工程人員能夠在論壇上為開(kāi)發(fā)者提供支持，共同打造更多的創(chuàng)新應(yīng)用。

CC2541是一款針對(duì)Bluetooth Smart以及2.4-GHz私有協(xié)議應(yīng)用功率優(yōu)化的片上系統(tǒng) (SoC) 解決方案。其所提供的超低能耗特性能夠幫助客戶在僅需極低物料成本投入的情況下建立強(qiáng)健的網(wǎng)絡(luò)節(jié)點(diǎn)；TI SimpleLink CC2640無(wú)線MCU則是一款面向Bluetooth Smart應(yīng)用的無(wú)線MCU，可支持廣泛的Bluetooth Smart應(yīng)用，其中包括用于保健、健身和醫(yī)療的可穿戴設(shè)備、手機(jī)配件、信號(hào)臺(tái)及工業(yè)自動(dòng)化等；SimpleLink CC3200 器件是一款集成了高性能ARM Cortex-M4 MCU的無(wú)線MCU，使得客戶能夠用單個(gè)集成電路 (IC) 開(kāi)發(fā)整個(gè)應(yīng)用。借助片上Wi-Fi、互聯(lián)網(wǎng)和穩(wěn)健耐用的安全協(xié)議，無(wú)需之前的Wi-Fi經(jīng)驗(yàn)即可實(shí)現(xiàn)前所未有的快速開(kāi)發(fā)。TI的SimpleLink Bluetooth Smart無(wú)線MCU CC2541與CC2640被廣泛應(yīng)用于阿里巴巴的商場(chǎng)定位導(dǎo)航應(yīng)用，而TI的Wi-Fi CC3200無(wú)線MCU也在終端用戶處接入了阿里云，未來(lái)還將推進(jìn)在阿里云上的藍(lán)牙應(yīng)用接入。同時(shí)，CC3200還被應(yīng)用于針對(duì)京東金融的京東云中，TI將攜手京東智能(原京東旗下的NSNG子公司)共同開(kāi)發(fā)新一代的京東云。

在與百度的合作中，雙方共同致力于在IoT領(lǐng)域推動(dòng)垂直行業(yè)標(biāo)準(zhǔn)化的制定以及物聯(lián)網(wǎng)產(chǎn)業(yè)的發(fā)展，并將TI的硬件優(yōu)勢(shì)與百度的軟件技術(shù)進(jìn)行整合，以實(shí)現(xiàn)結(jié)構(gòu)更為整體化、體驗(yàn)更加順暢的物聯(lián)網(wǎng)基礎(chǔ)建設(shè)。此外，TI還希望與百度在IoT OS等方面展開(kāi)進(jìn)一步的合作，并成立相關(guān)的OS聯(lián)盟，以企業(yè)的發(fā)展需求和各方的共同利益為基礎(chǔ)，一起打造智能、完整的物聯(lián)網(wǎng)軟件棧，提升物聯(lián)網(wǎng)產(chǎn)業(yè)技術(shù)創(chuàng)新能力。

(TI公司供稿)

A new lightweight mutual authentication protocol for RFID: PUF-LMAP+

Zhu Feng1，Bai Enjian1,2

(1.College of Information Science and Technology，Donghua University，Shanghai 201620，China；2.Engineering Research Center of Digitized Textile and Fashion Technology，Ministry of Education，Shanghai 201620，China)

With the wide usage of radio frequency identification (RFID), its security and privacy have become the main problems which restrict the development of the technology.Some ultra-lightweight RFID authentication protocols have been proposed. They only involve simple bite-wise operations in order to reduce the cost of the tag. However, their protocols are unable to guarantee the strong security property. What is more, the improved LMAP+ protocol is proven to be vulnerable to the tracking and full disclosure attacks. In this paper, we propose a new protocol which combines the improved LMAP+ with the physical unclonable function (PUF).Through analysis, the new protocol can prevent the tracking, the full disclosure, the cloning and other attacks.

Radio Frequency identification；lightweight；improved lightweight mutual authentication protocol+；physical unclonable function

TN918.91

A

1674-7720(2016)01-0001-04

朱峰,白恩健. 新的輕量級(jí)RFID 雙向認(rèn)證協(xié)議:PUF-LMAP+ [J] .微型機(jī)與應(yīng)用，2016,35(1)：1-4.

0 引言

2015-10-11)

朱峰(1990-)，通信作者，男，在讀碩士生，主要研究方向：射頻識(shí)別防碰撞和安全。E-mail:zhufeng511@126.com

白恩健(1977-)，男，博士，副教授，主要研究方向：保密通信、網(wǎng)絡(luò)安全、物聯(lián)網(wǎng)安全等。

隨著RFID應(yīng)用范圍的不斷擴(kuò)大，其安全與隱私問(wèn)題也得到越來(lái)越廣泛的重視。現(xiàn)有的RFID系統(tǒng)安全技術(shù)可以分為兩大類(lèi)[1]：一類(lèi)是通過(guò)物理方法保證標(biāo)簽與閱讀器之間通信的安全；另一類(lèi)是通過(guò)邏輯方法增加標(biāo)簽安全機(jī)制。物理方法由于缺乏靈活性而很難在標(biāo)簽中廣泛使用，因此邏輯方法得到廣泛的關(guān)注。邏輯方法[2]主要包含超輕量級(jí)安全認(rèn)證協(xié)議(僅采用位運(yùn)算)、輕量級(jí)安全認(rèn)證協(xié)議(偽隨機(jī)數(shù)發(fā)生器和簡(jiǎn)單的函數(shù)運(yùn)算)、中量級(jí)安全認(rèn)證協(xié)議(隨機(jī)數(shù)產(chǎn)生器和Hash 函數(shù))和重量級(jí)安全認(rèn)證協(xié)議(對(duì)稱(chēng)或非對(duì)稱(chēng)加密函數(shù))。

盡管重量或中量級(jí)安全認(rèn)證協(xié)議有很好的安全和隱私保護(hù)，但是由于受到成本的制約，標(biāo)簽計(jì)算能力和存儲(chǔ)能力受到一定限制。因此重量或中量級(jí)安全認(rèn)證協(xié)議很難廣泛應(yīng)用于實(shí)際當(dāng)中。設(shè)計(jì)安全、低成本和輕量級(jí)的RFID雙向認(rèn)證協(xié)議是非常值得研究的一個(gè)課題。