何 烜，王紅軍，袁 泉，王倫文

(國防科技大學(xué) 電子對抗學(xué)院，合肥 230037)

射頻識別LMAP協(xié)議改進(jìn)研究

何 烜，王紅軍，袁 泉，王倫文

(國防科技大學(xué) 電子對抗學(xué)院，合肥 230037)

安全問題是射頻識別技術(shù)領(lǐng)域的重要問題，輕量級安全協(xié)議成為該技術(shù)領(lǐng)域研究的主流。針對輕量級相互認(rèn)證協(xié)議易受克隆攻擊、去同步攻擊等安全隱患問題，在對原有協(xié)議分析的基礎(chǔ)上提出了系列改進(jìn)措施，即通過對原有協(xié)議增加時(shí)間戳機(jī)制、物理不可克隆函數(shù)(physical unclonable function, PUF)電路以及改進(jìn)密鑰的生成方式來提高協(xié)議的安全性，并利用BAN邏輯對改進(jìn)協(xié)議的安全性進(jìn)行形式化證明。從安全性、計(jì)算量和存儲量等方面將改進(jìn)協(xié)議與其他協(xié)議進(jìn)行比較，結(jié)果表明，協(xié)議安全性高，計(jì)算量小，也適合標(biāo)簽的存儲量，在射頻識別領(lǐng)域安全方面具有一定的應(yīng)用價(jià)值。

射頻識別；協(xié)議改進(jìn)；時(shí)間戳機(jī)制；PUF電路；BAN邏輯

0 引 言

射頻識別(radio frequency identification，RFID)技術(shù)是通過射頻信號對目標(biāo)物體進(jìn)行識別或者認(rèn)證的技術(shù)。該技術(shù)具有自動化程度高、方便快捷、無磨損等優(yōu)勢，被廣泛應(yīng)用于各行各業(yè)中。然而，射頻識別技術(shù)存在安全隱患問題，因?yàn)樵谠摷夹g(shù)中讀寫器與標(biāo)簽之間的信息交互是通過無線方式，另外由于讀寫器發(fā)射信號傳輸較遠(yuǎn)，而標(biāo)簽的響應(yīng)距離較近，這種“非對稱”通信[1]對系統(tǒng)的安全機(jī)制會造成較大影響，可能存在各種攻擊的風(fēng)險(xiǎn)，因此需要設(shè)計(jì)出合適的安全認(rèn)證協(xié)議，來保證讀寫器與標(biāo)簽之間的安全傳輸。由于標(biāo)簽大規(guī)模生產(chǎn)，受限于成本，其計(jì)算能力差、存儲量小，然而重量級和中量級安全協(xié)議所需要的邏輯門電路多、存儲要求高，不適合應(yīng)用到射頻識別技術(shù)中，所以輕量級和超輕量級安全認(rèn)證協(xié)議成為該技術(shù)領(lǐng)域的主流。

目前，國內(nèi)外學(xué)者對輕量級和超輕量級協(xié)議進(jìn)行了研究與分析，提出一些協(xié)議，但都存在缺陷：Hash-Lock協(xié)議及其改進(jìn)協(xié)議[2]沒有密鑰更新機(jī)制，容易受到假冒、重放和跟蹤攻擊。另外文獻(xiàn)[3]指出Hash函數(shù)所需的邏輯門電路為8K，并不適用于邏輯門電路只有5-10K的標(biāo)簽中，而且使用Hash函數(shù)后的運(yùn)算效率較低，時(shí)效性較差，會影響標(biāo)簽的響應(yīng)速度?；陔s湊的ID變化協(xié)議[4]和低成本監(jiān)析(low cost authentication protocol, LCAP)協(xié)議[5]后端數(shù)據(jù)庫和標(biāo)簽之間會出現(xiàn)嚴(yán)重的數(shù)據(jù)不同步問題，這就意味著合法標(biāo)簽在下一次響應(yīng)中將無法通過認(rèn)證。所有權(quán)轉(zhuǎn)移協(xié)議[6]其模型并不完善，而且存在新舊所有者的密鑰泄露問題。

輕量級相互認(rèn)證協(xié)議(lightweight mutual authentication protocol, LMAP)協(xié)議[7]只運(yùn)用了簡單的連接、異或、位與等二進(jìn)制運(yùn)算，是典型的輕量級安全協(xié)議，但是該協(xié)議自P.Peris-Lopez等[8]提出不久，就被指出存在去同步攻擊和跟蹤攻擊等安全隱患問題。文獻(xiàn)[9]針對LMAP協(xié)議進(jìn)行改進(jìn)，提出了LMAP+協(xié)議，但是改進(jìn)協(xié)議依然易受非同步攻擊和跟蹤攻擊[10]。文獻(xiàn)[11]利用模擬退火算法對LMAP+協(xié)議進(jìn)行重復(fù)攻擊實(shí)驗(yàn)，驗(yàn)證了該協(xié)議存在信息泄露的風(fēng)險(xiǎn)。文獻(xiàn)[12]提出PUF-LMAP+協(xié)議，但是該協(xié)議依然無法保證讀寫器與標(biāo)簽通信的安全?？傊甃MAP協(xié)議還存在攻擊風(fēng)險(xiǎn)。

本文針對LMAP協(xié)議進(jìn)行分析，對原有協(xié)議中存在的安全問題提出可靠的改進(jìn)方法，并在此基礎(chǔ)上設(shè)計(jì)出一種安全、高效、低成本的安全協(xié)議。利用BAN邏輯對此協(xié)議的安全性進(jìn)行形式化證明，最后與其他輕量級安全協(xié)議進(jìn)行性能對比分析，來證明本協(xié)議的優(yōu)越性。

1 LMAP協(xié)議分析

1.1 LMAP協(xié)議原理

在對射頻識別系統(tǒng)安全性分析中，由文獻(xiàn)[13]可知，可以認(rèn)為讀寫器與后端數(shù)據(jù)庫之間是通過安全信道傳輸，而讀寫器與標(biāo)簽之間的傳輸是不安全的，所以本文著重分析LMAP協(xié)議能否保證讀寫器與標(biāo)簽信息傳輸?shù)陌踩?。協(xié)議流程如圖1所示，其中，符號說明如表1所示。

圖1 LMAP協(xié)議流程圖Fig.1 Flow chart of LMAP protocol

圖1為LMAP協(xié)議流程圖，該協(xié)議流程可以分為以下3個(gè)階段：①初始化階段；②互認(rèn)證階段；③索引假名和密鑰更新階段。在初始化階段，標(biāo)簽需要存儲索引假名IDS、共享密鑰K和唯一標(biāo)識符ID，其中密鑰K是由K1，K2，K3，K4連接而成，即

K=K1‖K2‖K3‖K4

(1)

讀寫器需要存儲偽隨機(jī)數(shù)G1，G2和所有標(biāo)簽的ID；數(shù)據(jù)庫需要存儲索引假名IDS和其對應(yīng)的密鑰K。

在互認(rèn)證階段，首先分析讀寫器對標(biāo)簽的認(rèn)證：標(biāo)簽收到Query請求后，將IDS發(fā)送至讀寫器，讀寫器將IDS轉(zhuǎn)發(fā)給后端數(shù)據(jù)庫，后端數(shù)據(jù)庫尋找是否存在密鑰K與其對應(yīng)，如果有則證明該標(biāo)簽合法，然后將對應(yīng)的密鑰K發(fā)送給讀寫器；如果沒有，則證明非法。標(biāo)簽對讀寫器的認(rèn)證：圖1中，如果是合法讀寫器，會對IDS，K1，K2，K3，G1，G2進(jìn)行簡單的邏輯運(yùn)算，生成A，B，C，并將A‖B‖C發(fā)送給標(biāo)簽，標(biāo)簽從A，B中分別計(jì)算出G1，比較得到的G1是否相等，如果相等，則證明讀寫器合法，否則認(rèn)為讀寫器非法。

表1 符號說明Tab.1 Symbol description

在索引假名和密鑰更新階段，后端數(shù)據(jù)庫和標(biāo)簽分別會對IDS和K進(jìn)行更新，更新公式為

(2)

(3)

1.2 LMAP協(xié)議存在的風(fēng)險(xiǎn)

假設(shè)攻擊者不知道讀寫器與標(biāo)簽之間所用的安全認(rèn)證協(xié)議，但是可以截獲、篡改和阻塞雙方在無線傳輸中的消息[14]。依據(jù)此攻擊者模型對LMAP協(xié)議進(jìn)行安全性分析，雖然LMAP協(xié)議具有互認(rèn)證和密鑰更新過程，但是其安全性不高，可能存在以下幾種攻擊風(fēng)險(xiǎn)。

1.2.1 克隆攻擊的風(fēng)險(xiǎn)

克隆攻擊屬于物理攻擊，即對合法標(biāo)簽進(jìn)行拆分，去分析它的邏輯電路，然后再克隆出相同的標(biāo)簽。當(dāng)克隆標(biāo)簽通過讀寫器識別區(qū)域時(shí)，由于讀寫器無法進(jìn)行區(qū)分，則克隆標(biāo)簽就可以通過認(rèn)證。

1.2.2 去同步攻擊的風(fēng)險(xiǎn)

標(biāo)簽在發(fā)送D的過程中(見圖1)，如果攻擊者阻塞D并將D篡改成D1發(fā)送給讀寫器，讀寫器接收到D1而不是D，從D1中取得的ID1與標(biāo)簽索引假名所對應(yīng)的ID不同，則認(rèn)為此標(biāo)簽是非法標(biāo)簽，讀寫器不進(jìn)行密鑰更新。而標(biāo)簽發(fā)送D后會直接更新索引假名IDS和密鑰K，這就會造成數(shù)據(jù)的不同步，下次標(biāo)簽就無法得到讀寫器的認(rèn)證，從而造成去同步攻擊。

1.2.3 跟蹤攻擊的風(fēng)險(xiǎn)

因?yàn)樽x寫器與標(biāo)簽是通過無線方式進(jìn)行認(rèn)證，則在空中傳輸?shù)男畔⒍伎赡鼙还粽咄ㄟ^監(jiān)聽方式保存下來。如圖1所示，假設(shè)攻擊者在讀寫器和標(biāo)簽之間安插一個(gè)偽讀寫器，則在空中傳播的IDS，A‖B‖C，D都有可能被竊取。假設(shè)攻擊者監(jiān)聽到IDS，A‖B‖C，D，并對此進(jìn)行跟蹤，由于ID是一不變的量，則可以通過多次跟蹤標(biāo)簽，可能將ID破解出來。

1.2.4 轉(zhuǎn)發(fā)式欺騙攻擊的風(fēng)險(xiǎn)

如果攻擊者先阻塞雙方通信，再充當(dāng)?shù)?方接入到讀寫器與標(biāo)簽的通信過程中，轉(zhuǎn)發(fā)讀寫器與標(biāo)簽交互的信息。則讀寫器對標(biāo)簽認(rèn)證的同時(shí)，也對攻擊者進(jìn)行了認(rèn)證，如圖2所示。

圖2 轉(zhuǎn)發(fā)式欺騙干擾模型Fig.2 Model of repeater deception jamming

2 LMAP協(xié)議的改進(jìn)及流程

針對上述不足，可對LMAP協(xié)議進(jìn)行改進(jìn)，改進(jìn)后的協(xié)議首先能夠適用于射頻識別技術(shù)，即改進(jìn)后的LMAP協(xié)議對標(biāo)簽而言，不需要消耗過多的邏輯門電路。其次，能夠有效抵抗常見攻擊，如克隆攻擊，去同步攻擊，跟蹤攻擊和轉(zhuǎn)發(fā)式欺騙攻擊等。針對原有LMAP協(xié)議的不足，有如下幾點(diǎn)改進(jìn)。

2.1 針對克隆攻擊

可以通過PUF電路的方式進(jìn)行改進(jìn)：PUF是一組微型延遲電路，由于在制造過程中芯片之間會表現(xiàn)出細(xì)微的電子上的差異，利用這種差異可以生成唯一的、不可復(fù)制的密鑰，即使是制造相同PUF電路也不會生成相同的密鑰，所以，PUF電路具有防克隆的功能。在實(shí)際應(yīng)用中，可以將PUF看成一個(gè)函數(shù)，當(dāng)一個(gè)偽隨機(jī)數(shù)輸入后，會輸出唯一的偽隨機(jī)數(shù)作為響應(yīng)[15]。在改進(jìn)協(xié)議中，后端數(shù)據(jù)庫提前存儲好每個(gè)標(biāo)簽所對應(yīng)的輸入輸出(G1,G2)，即G2=PUF(G1)，后端數(shù)據(jù)庫將(G1,G2)發(fā)送給讀寫器，讀寫器給標(biāo)簽發(fā)送G1讓標(biāo)簽返回G2，然后驗(yàn)證G2。這樣不僅可以對標(biāo)簽具有認(rèn)證作用，而且可以有效的抵抗克隆攻擊。

2.2 針對去同步攻擊

可進(jìn)行如下改進(jìn)：首先，后端數(shù)據(jù)庫在更新索引假名和密鑰后，同時(shí)保存當(dāng)前未更新的索引假名和密鑰；其次，增加一個(gè)反饋的過程，標(biāo)簽發(fā)送完消息后，不是立即更新，而是等待讀寫器認(rèn)證成功后，回復(fù)“Success”指令后才更新，否則不更新。假設(shè)攻擊者在標(biāo)簽發(fā)送D后進(jìn)行去同步攻擊，則可能出現(xiàn)如下情況。

一方面攻擊者修改了D變成D1發(fā)送給讀寫器，讀寫器經(jīng)計(jì)算后的ID1與真實(shí)ID不符，則不會發(fā)送“Success”指令，不進(jìn)行索引假名和密鑰的更新。由于標(biāo)簽沒有收到“Success”指令，也不進(jìn)行更新，雙方都沒有進(jìn)行更新，則攻擊者無法進(jìn)行去同步攻擊。在下次認(rèn)證過程中，標(biāo)簽用當(dāng)前索引假名去響應(yīng)讀寫器，依然可以得到認(rèn)證。

另一方面攻擊者并沒有修改D，讀寫器驗(yàn)證成功并進(jìn)行索引假名和密鑰的更新，同時(shí)發(fā)送“Success”指令，此時(shí)如果攻擊者截取這一指令或者更改這一指令導(dǎo)致標(biāo)簽沒有收到正確指令，標(biāo)簽不會更新索引假名和密鑰。但是由于在改進(jìn)協(xié)議中，后端數(shù)據(jù)庫保存了當(dāng)前未更新的索引假名和密鑰，所以標(biāo)簽利用未更新的索引假名和密鑰依然可以得到讀寫器的認(rèn)證，所以改進(jìn)的方法可以抵抗去同步攻擊。

2.3 針對跟蹤攻擊

可進(jìn)行如下改進(jìn)：修改D的生成方式，可以將密鑰K3引入到生成D的表達(dá)式中，修改成如下形式

(4)

這樣攻擊者即使跟蹤很多次，也不會破解出ID。根據(jù)文獻(xiàn)[16]，可將模2m加運(yùn)算改成模2m-1加運(yùn)算，修改后就不能認(rèn)為將模運(yùn)算等效成異或中的位運(yùn)算，那么即使攻擊者通過修改最低位的方式去進(jìn)行跟蹤，也無法破解出ID。

2.4 針對轉(zhuǎn)發(fā)式欺騙攻擊

可以利用時(shí)間戳機(jī)制。如圖2所示，如果攻擊者在這之間進(jìn)行轉(zhuǎn)發(fā)，由于攻擊者對信號處理需要消耗時(shí)間，而在空間中電磁波的傳輸時(shí)間遠(yuǎn)小于攻擊者的處理時(shí)間，則可以通過時(shí)間戳機(jī)制來抵抗轉(zhuǎn)發(fā)式欺騙攻擊。實(shí)施過程為：在讀寫器電路中增加時(shí)間戳模塊，讀寫器先記錄發(fā)送A‖B‖C的時(shí)間，再記錄標(biāo)簽返回D的時(shí)間，然后判斷標(biāo)簽返回D的時(shí)間是否在預(yù)設(shè)的接收窗口內(nèi)，在則認(rèn)為是標(biāo)簽發(fā)送，否則認(rèn)為該信息無效。設(shè)讀寫器發(fā)送的時(shí)間為Tr，傳輸?shù)綐?biāo)簽的時(shí)間為Δt，標(biāo)簽的處理時(shí)間為Δs，標(biāo)簽返回給讀寫器的時(shí)間為Δt，考慮到有時(shí)間偏差Δl，則讀寫器的窗口設(shè)置為[Tr+2Δt+Δs-Δl,Tr+2Δt+Δs+Δl]，如果標(biāo)簽返回D的時(shí)間在這一窗口內(nèi)，則認(rèn)為是合法信息。這樣可以有效抵抗轉(zhuǎn)發(fā)式欺騙攻擊。

2.5 針對協(xié)議存儲量和計(jì)算量的改進(jìn)

標(biāo)簽與讀寫器的認(rèn)證過程中，可以對一些認(rèn)證過程進(jìn)行優(yōu)化，使認(rèn)證簡單有效，則可以進(jìn)行如下改進(jìn)：一方面，更改密鑰K的生成方式，可以更改成

K=K1‖K2‖K3

(5)

在實(shí)際標(biāo)簽電路中，K1，K2，K3，K4每個(gè)都需要一定比特的存儲量，如果只用K1，K2，K3去生成K，則可以節(jié)省存儲量。在原有協(xié)議中，IDS是由K4生成的，則需要更改IDS的生成方式，用K3生成，可以改成如下形式

IDSu=(IDS+(G2⊕K3))⊕ID

(6)

另一方面，讀寫器不需要發(fā)送C，標(biāo)簽也不需要從C中計(jì)算出G2，可以利用PUF電路進(jìn)行加密，用G1生成G2。利用PUF電路不僅可以為標(biāo)簽節(jié)省計(jì)算量，而且具有加密驗(yàn)證的作用?，F(xiàn)對改進(jìn)協(xié)議中的IDS，K，A，B，D的生成方式進(jìn)行總結(jié)。

(7)

改進(jìn)協(xié)議流程如圖3所示。

圖3 改進(jìn)LMAP協(xié)議流程圖Fig.3 Flow chart of improved LMAP protocol

協(xié)議步驟如下。

1)讀寫器向標(biāo)簽發(fā)送Query請求；

4)后端數(shù)據(jù)庫檢驗(yàn)是否有對應(yīng)的密鑰K與IDS相對應(yīng)，如果有，則將密鑰K、唯一標(biāo)識符ID和其所對應(yīng)的偽隨機(jī)數(shù)G1，G2發(fā)給讀寫器；

5)讀寫器進(jìn)行相應(yīng)的運(yùn)算，生成A、B，將其發(fā)送給標(biāo)簽并記錄發(fā)送時(shí)間；

6)標(biāo)簽從A、B中分別計(jì)算出G1，驗(yàn)證得到的G1是否相等，如果相等，用G1作為PUF電路的輸入，得到G2的輸出響應(yīng)，最后利用IDS、K3、G2和ID共同生成D，并將D發(fā)送給讀寫器；

7)讀寫器首先驗(yàn)證標(biāo)簽信息是否在預(yù)設(shè)的接收窗口之內(nèi)，如果在，則從D中計(jì)算出G2，其次驗(yàn)證與數(shù)據(jù)庫發(fā)送過來的G2是否相等，如果相等，則從D中計(jì)算出ID，最后驗(yàn)證ID和數(shù)據(jù)庫發(fā)送過來的ID是否一致，如果一致，則認(rèn)證成功，并發(fā)送成功識別的指令，更新數(shù)據(jù)庫同時(shí)保留當(dāng)前未更新的數(shù)據(jù)；如果驗(yàn)證過程中發(fā)現(xiàn)有一項(xiàng)不符合條件，則放棄驗(yàn)證，不進(jìn)行數(shù)據(jù)庫的更新；

8)標(biāo)簽如果收到“Success”指令，則成功更新索引假名和密鑰，如果沒有收到“Success”指令，則不更新，由于后端數(shù)據(jù)庫保留了未更新的數(shù)據(jù)，則標(biāo)簽以未更新的索引假名和密鑰同樣可以得到驗(yàn)證。

3 形式化分析與證明

形式化分析理論與方法是目前對安全協(xié)議研究的主要方法之一[17]，即通過對安全協(xié)議內(nèi)容進(jìn)行抽象化，采用正規(guī)的、標(biāo)準(zhǔn)的方法對協(xié)議環(huán)境、狀態(tài)以及運(yùn)行協(xié)議后出現(xiàn)的狀況進(jìn)行描述與分析，最終驗(yàn)證協(xié)議的安全性[18]。本文主要通過BAN邏輯去證明改進(jìn)協(xié)議的安全性。

利用BAN邏輯對本協(xié)議進(jìn)行證明前，首先對協(xié)議消息進(jìn)行形式化描述，然后進(jìn)行初始化假設(shè)，最后列出協(xié)議要達(dá)到的安全目標(biāo)。BAN邏輯就是通過邏輯分析判斷該協(xié)議能否達(dá)到其安全目標(biāo)。

3.1 協(xié)議描述

A1：R→T:Query

A3：R→T:A∥B

A4：T→R:D

A5：R→T:Success

在該協(xié)議模型中，A1，A2和A5是利用明文傳輸，不需要分析。將A3和A4寫成形式化語言，可寫成如下形式：

A3：T?{A‖B}K

A4：R?{(ID)G2}K

3.2 協(xié)議初始化假設(shè)

B3：R|≡#A∥B

B4：T|≡#ID

B6：R|≡#ID

B7：R|≡T|?ID

密鑰K是讀寫器與標(biāo)簽的雙方密鑰，攻擊者無法知道，所以B1和B2成立。A‖B是由讀寫器發(fā)送的，所以是新鮮的，同理標(biāo)簽認(rèn)為ID是新鮮的，所以B3和B4成立。因?yàn)镚2是PUF電路G1的輸出，是讀寫器與標(biāo)簽共享秘密，所以只有讀寫器和標(biāo)簽知道外，其他主體都無法知道，所以，B5成立。因?yàn)楸疚膮f(xié)議具有時(shí)間戳機(jī)制，發(fā)送ID的時(shí)間必須在接收窗口內(nèi)，所以，B6成立。讀寫器認(rèn)為只有標(biāo)簽對ID具有控制權(quán)，所以，B7成立。

3.3 協(xié)議證明的目標(biāo)

C1：R?ID且R|≡ID

只有讀寫器接收標(biāo)簽發(fā)送的ID，且讀寫器認(rèn)為ID為真才能說明ID沒有受攻擊者篡改、攔截，此時(shí)ID就是標(biāo)簽唯一的ID。

證明如下：

?{(ID)G2}K?R?(ID)G2

(8)

R?(ID)G2?R?ID

(9)

由B5知

(10)

?(ID)G2?R|≡T|～I(xiàn)D

(11)

R|≡#ID,R|≡T|～I(xiàn)D?R|≡T|≡ID

(12)

R|≡T|?ID,R|≡T|≡ID?R|≡ID

(13)

由(9)式和(13)式可知

R?ID且R|≡ID

(14)

所以得證。由(14)式可知，該協(xié)議能夠達(dá)到其目標(biāo)，所以該協(xié)議經(jīng)過BAN邏輯證明是安全的。

4 協(xié)議性能分析與比較

在分析過程中，將本文協(xié)議與其它輕量級協(xié)議進(jìn)行安全性、計(jì)算量和存儲量比較。綜合論文引言和改進(jìn)協(xié)議的相關(guān)內(nèi)容，可得到本文協(xié)議與其他輕量級協(xié)議的安全性比較結(jié)果，如表2所示。表2中，用“√”表示協(xié)議可以抵抗該攻擊，用“×”表示協(xié)議不可以抵抗該攻擊。表3為本文協(xié)議與其他協(xié)議在計(jì)算量和存儲量的比較。表3中，在分析計(jì)算量時(shí)，用H表示Hash運(yùn)算，用P表示PUF電路運(yùn)算，用R表示偽隨機(jī)數(shù)運(yùn)算，用X表示一次異或運(yùn)算，用A表示位與運(yùn)算，用O表示或運(yùn)算，用M1表示模加運(yùn)算，用M2表示模乘運(yùn)算，用C表示連接運(yùn)算，用S表示平方運(yùn)算，用TC表示時(shí)間戳運(yùn)算。在分析存儲量時(shí)，由文獻(xiàn)[19]知，標(biāo)簽索引假名IDS、偽隨機(jī)數(shù)G1，G2，共享認(rèn)證密鑰K1，K2，K3和ID長度都可設(shè)置成L。比較結(jié)果如表3所示。

表2 各協(xié)議安全性比較Tab.2 Security comparison of different protocol

由表2可知，本文協(xié)議由于對原有LMAP協(xié)議不能抵抗的攻擊進(jìn)行了詳細(xì)分析與改進(jìn)，改進(jìn)協(xié)議彌補(bǔ)了原有協(xié)議的不足，所以可以抵抗上述攻擊；而其它協(xié)議對某些攻擊并不能抵抗，文獻(xiàn)[2]提出的協(xié)議沒有密鑰更新機(jī)制，不能抵抗假冒、重放、跟蹤等攻擊，所以安全性差；文獻(xiàn)[4-6]提出的協(xié)議沒有綜合考慮各種安全隱患問題，只是考慮假冒、去同步、重放等攻擊，忽略了克隆和轉(zhuǎn)發(fā)式欺騙攻擊等安全隱患問題，存在一定的缺陷，所以安全性較差；而文獻(xiàn)[9]、文獻(xiàn)[12]是對LMAP協(xié)議的改進(jìn)，改進(jìn)后的協(xié)議較原有LMAP協(xié)議在安全性方面有一定的提升，但是仍然不夠高。綜上所述，本文協(xié)議安全性高。

表3 各協(xié)議計(jì)算量和存儲量比較Tab.3 Computation and storage comparison of different protocol

由表4可知，從計(jì)算量上分析，本文協(xié)議只是進(jìn)行異或、模加、位或等簡單運(yùn)算，沒有進(jìn)行運(yùn)算量較大的Hash運(yùn)算，而文獻(xiàn)[2，4-6]提出的協(xié)議都利用了Hash運(yùn)算，Hash運(yùn)算至少需要消耗1 700個(gè)邏輯門電路[20]，而PUF電路開銷需要545個(gè)邏輯門電路[21]，所以，本文協(xié)議計(jì)算量小，處理實(shí)效性強(qiáng)，且可在實(shí)際情況中實(shí)現(xiàn)。從存儲量上分析，因?yàn)槌鲇诎踩钥紤]，后端數(shù)據(jù)庫需要存儲未更新的索引假名和密鑰，所以，后端數(shù)據(jù)庫存儲量比其它協(xié)議高。然而本文協(xié)議中標(biāo)簽的存儲量依然比原有LMAP協(xié)議和LMAP+協(xié)議低，在存儲量小的標(biāo)簽電路中易實(shí)現(xiàn)；而且本文協(xié)議中讀寫器只需利用時(shí)間戳存儲時(shí)間，不需要存儲所有標(biāo)簽的ID和偽隨機(jī)數(shù)G1，G2，存儲量也比原有LMAP協(xié)議及其改進(jìn)協(xié)議小。

5 結(jié)束語

本文通過對LMAP協(xié)議進(jìn)行改進(jìn)，改進(jìn)協(xié)議能夠解決原有協(xié)議中存在的克隆攻擊、去同步攻擊、跟蹤攻擊和轉(zhuǎn)發(fā)式欺騙攻擊等問題，并利用BAN邏輯對改進(jìn)協(xié)議進(jìn)行形式化證明，最后將本文協(xié)議與其它輕量級協(xié)議進(jìn)行性能分析與比較，結(jié)果表明，本文協(xié)議在保證安全性的基礎(chǔ)上，計(jì)算量小，硬件電路消耗少，也適合標(biāo)簽電路的存儲量，對于射頻識別技術(shù)具有一定的參考價(jià)值。

[1] 周永彬,馮登國. RFID安全協(xié)議的設(shè)計(jì)與分析[J]. 計(jì)算機(jī)學(xué)報(bào),2006,29(4):4581-4589.

ZHOU Yongbin, FENG Dengguo. Design and analysis of cryptographic protocols for RFID[J]. Chinese Journal of Computers, 2006,29(4):4581-4589.

[2] YU Y H, ZHANG L. Research on a provable security RFID authentication protocol based on Hash function[J]. The Journal of China Universities of Posts and Telecommunications, 2016, 23(2):31-37.

[3] 賈慶軒,陳鵬,高欣,等. 抗去同步化的輕量級RFID雙向認(rèn)證協(xié)議[J]. 中南大學(xué)學(xué)報(bào)：自然科學(xué)版,2015,46(6):2149-2156.

JIA Qingxuan, CHEN Peng, GAO Xin, et al. Lightweight anti-desynchron-ization RFID mutual authentication protocol[J]. Journal of Central South University：Science and Technology,2015,46(6):2149-2156.

[4] ZHANG X H, Hu Y M. RFID mutual-authentication protocol with synchronous updated keys based on Hash function[J]. The Journal of China Universities of Posts and Telecommunications, 2015, 22(6):27-35.

[5] PROSANTA G, TZONELIH H. A realistic lightweight authentication protocol preserving strong anonymity for securing RFID system[J]. Computers & Security, 2015,55(5):271-280.

[6] MORIYAMA D. Cryptanalysis and improvement of a provably secure RFID ownership transfer protocol[C]//Kara O. Lightweight Cryptography for Security and Privacy. Heidelberg: Springer Berlin Heidelberg, 2013:114-129.

[7] PERIS-L P. LMAP: A real lightweight mutual authentication protocol for low-cost RFID tags[J]. Journal of Signal Processing, 2006,59(4):1-12.

[8] CAO T J, BERTINO E, LEI H. Security Analysis of the SASI Protocol[J].IEEE Trans. Dependable and Secure Computing, 2009,6(1):73-77.

[9] GURUBANI J B, THAKKAR H, PATEL D R. Improvements over extended LMAP+: RFID authentication protocol[C]//6th International Conference on Trust Management. Surat: Springer Boston, 2012:225-231.

[10] ZAHEA A, MAHMOUD S, MOHAMMAD R A. De-synchronization attack on RAPP ultralightweight authentication protocol[J]. Information Processing Letters, 2013,113: 205-209.

[11] 王超,秦小麟,劉亞麗. 對改進(jìn)LMAP+協(xié)議的啟發(fā)式攻擊策略[J]. 計(jì)算機(jī)科學(xué),2014,41(5):143-149.

WANG Chao, QIN Xiaolin, LIU Yali. Heuristic attack strategy against improved LMAP+ protocol[J].Computer Science,2014,41(5):143-149.

[12] 朱峰,白恩健. 新的輕量級RFID雙向認(rèn)證協(xié)議:PUF-LMAP+[J]. 微型機(jī)與應(yīng)用,2016,35(1):1-4+8.

ZHU Feng, BAI Enjian. A new lightweight mutual authentication protocol for RFID: PUF-LMAP+[J]. Microcomputer & Its Applications,2016,35(1):1-4+8.

[13] 原變青,劉吉強(qiáng). 通用可組合安全的RFID標(biāo)簽組所有權(quán)轉(zhuǎn)移協(xié)議[J]. 計(jì)算機(jī)研究與發(fā)展,2015,52(10):2323-2331.

YUAN Bianqing, LIU Jiqiang. A universally composable secure group ownership transfer protocol for RFID Tags[J]. Journal of Computer Research and Development,2015,52(10):2323-2331.

[14] GILDAS A, XAVIER C, BENJAMIN M. Privacy-friendly synchronized ultralightweight authentication protocols in the storm[J]. Journal of Network and Computer Applications 2012,35(12):826-843.

[15] 劉偉強(qiáng),崔益軍,王成華. 一種低成本物理不可克隆函數(shù)結(jié)構(gòu)的設(shè)計(jì)實(shí)現(xiàn)及其RFID應(yīng)用[J]. 電子學(xué)報(bào),2016,44(7):1772-1776.

LIU Weiqiang, CUI Yijun, WANG Chenghua. Design and implementation of a low-cost physical unclonable function and its application in RFID[J]. Acta Electronica Sinica,2016,44(7):1772-1776.

[16] ANQI H, CHEN Z, CHAOJING T. Another improvement of LMAP+: an RFID authentication protocol[J].Communications in Computer and Information Science,2014,42(6):100-106.

[17] 李建華,張愛新,薛質(zhì)等.網(wǎng)絡(luò)安全協(xié)議的形式化分析與驗(yàn)證[M].北京，機(jī)械工業(yè)出版社，2010：11-12.

LI Jianhua, ZHANG Aixin, XUE Zhi. Formal analysis and verification of network security protocols[M].Beijing, China Machine Press,2010:11-12.

[18] 馮登國.安全協(xié)議—理論與實(shí)踐[M].北京：清華大學(xué)出版社，2011：28-30.

FENG Dengguo. Security protocols: theory and prac-tice[M].Beijing:Tsinghua University Press,2011:28-30.

[19] 石樂義,賈聰,宮劍,等. 基于共享秘密的偽隨機(jī)散列函數(shù)RFID雙向認(rèn)證協(xié)議[J]. 電子與信息學(xué)報(bào),2016,38(2):361-366.

SHI Leyi, JIA Cong, GONG Jian, et al. RFID mutual authentication protocol on pseudo-random hash function with shared secrets[J]. Journal of Electronics & Information Technology,2016, 38(2):361-366.

[20] YAUKSEL K. Universal hashing for ultra-low-power cryptographic hardware applications[D]. Worcester, MA, USA, Worcester Polytechnic Institute,2004.

[21] BOLOTNYY L, ROBINS G. Physically unclonable function-based security and privacy in RFID systems[C]//Pervasive Computing and Communications, NY: IEEE Computer Society Washington.2007:211-220.

s：The National Natural Science Foundation of China(61273302)

ImprovementresearchonLMAPprotocolforradiofrequencyidentification

HE Xuan, WANG Hongjun, YUAN Quan, WANG Lunwen

School of Electronic Countermeasures, National University of Defense Technology, Hefei 230037, P.R. China)

Security is an important issue in the field of radio frequency identification, and the research on lightweight security protocol has become the mainstream of this field. Since the lightweight mutual authentication protocol is vulnerable to clone attack, de-synchronization attack or other security problems, this paper proposes a series of improvement measures based on the analysis of original protocol, such as adding the timestamp mechanism, physical unclonable function (PUF) circuit and improving the way of generating the key to improve the security of the lightweight mutual authentication protocol. Then the security of the improved protocol is verified by the BAN logic. Finally the improved protocol is compared with other protocols in terms of security, computation and storage. The results show that the protocol has high security, less calculation, and is suitable for the storage of tags. It has certain application value in the field of radio frequency identification.

radio frequency identification; protocol improvement; timestamp mechanism; PUF circuit; BAN logic

10.3979/j.issn.1673-825X.2017.06.016

2016-11-10

2017-08-10

何 烜 hxdsgyx56@163.com

國家自然科學(xué)基金資助項(xiàng)目(61273302)

TP309

A

1673-825X(2017)06-0814-08

何 烜(1993 -)，男，江蘇興化人，碩士研究生，主要研究方向?yàn)樯漕l識別輕量級安全協(xié)議。E-mail：hxdsgyx56@163.com。

王紅軍(1968 -)，男，江蘇鎮(zhèn)江人，博士，教授、碩士生導(dǎo)師，主要研究方向?yàn)橐苿油ㄐ偶夹g(shù)、射頻識別技術(shù)。E-mail：hongjun-wang@163.com。

袁 泉(1977 -)，男，安徽合肥人，博士，講師，主要研究方向?yàn)橄到y(tǒng)仿真、輕量級安全協(xié)議。E-mail：lm365cn@163.com。

王倫文(1966 -)，男，安徽合肥人，博士，教授、博士生導(dǎo)師，主要研究方向?yàn)樯窠?jīng)網(wǎng)絡(luò)、通信系統(tǒng)仿真。E-mail：wanglunwen@163.com。

(編輯：張 誠)