張金鴻 邱進(jìn)云

摘 要：在研究了T密碼的基礎(chǔ)上，對比現(xiàn)有的RFID安全協(xié)議，提出一種低成本的RFID協(xié)議，并對該協(xié)議的成本及安全性進(jìn)行分析。

關(guān)鍵詞：Trivim；RFID安全協(xié)議；低成本

1 引言

無線射頻識別（Radio Frequency Identificatio，RFID）是一種非接觸式的自動(dòng)識別技術(shù)，它通過射頻信號自動(dòng)識別目標(biāo)對象并獲取相關(guān)數(shù)據(jù)。目前，隨著RFID技術(shù)應(yīng)用的廣泛，RFID的安全性也越來越重要。本文根據(jù)RFID技術(shù)的特點(diǎn)（標(biāo)簽成本），提出一種基于Trivium的低成本RFID安全協(xié)議。

2 Trivim簡介

Trivim算法是由Canniere和Preneel提出的面向硬件的同步流密碼，是典型的非線性反饋同步序列密碼，其安全性和加密性能被廣泛認(rèn)可。其內(nèi)部狀態(tài)為288bit，由三個(gè)非線性反饋移位寄存器（NFSR）組成，運(yùn)行時(shí)，將秘鑰和初始向量IV分別載入第一和第二個(gè)NFSR，然后經(jīng)過若干拍后產(chǎn)生密鑰流。

Trivium算法在RFID安全協(xié)議的應(yīng)用優(yōu)勢在于：硬件加密算法，安全強(qiáng)度高，經(jīng)受了攻擊測試和學(xué)術(shù)分析；滿足低成本標(biāo)簽的要求，在3000門條件下可實(shí)現(xiàn)，軟件設(shè)計(jì)簡單；其輸出具備良好的雪崩性，同時(shí)可用作散列函數(shù)和隨機(jī)數(shù)機(jī)制；其可以通過參數(shù)設(shè)置控制輸出長度，能滿足不同的安全等級和成本需求。

3 低成本RFID協(xié)議研究及實(shí)現(xiàn)

根據(jù)Trivium密碼的安全特性，本文研究并設(shè)計(jì)了一個(gè)以保護(hù)標(biāo)簽隱私性為主要目標(biāo)，以降低標(biāo)簽計(jì)算、通信和存儲為主要目的的雙向認(rèn)證協(xié)議。

本文中，ID表示電子標(biāo)簽，ID_R為標(biāo)簽假名，KEY表示標(biāo)簽密鑰；E（X1，X2）代表加密；F（X）為分割函數(shù)；電子標(biāo)簽具有加密、分割及模二加和寫操作功能，閱讀器具有加密、分割、模二加及寫操作和其他功能（查找、存儲、計(jì)算等）。

3.1 協(xié)議設(shè)計(jì)

協(xié)議描述：

閱讀器對標(biāo)簽認(rèn)證：首先由閱讀器產(chǎn)生隨機(jī)數(shù)R并將R發(fā)送給電子標(biāo)簽ID_R，，同時(shí)通過加密函數(shù)產(chǎn)生中間值N（N=E（R，Key）），并通過分割函數(shù)M將N分為四部分記為（N1，N2，N3，N4）；電子標(biāo)簽通過加密函數(shù)及初始秘鑰產(chǎn)生中間值M，并將M分割為四部分，記為（M1，M2，M3，M4），然后將M1及ID_R發(fā)送給閱讀器；閱讀器通過標(biāo)簽ID_R查找到對應(yīng)的ID，同時(shí)比較N1和M1，若兩者相等則完成閱讀器對標(biāo)簽的認(rèn)證，若不等，則認(rèn)證失敗。

標(biāo)簽對閱讀器認(rèn)證：

在閱讀器對標(biāo)簽認(rèn)證完成的基礎(chǔ)上，閱讀器將N2及N3⊕N4的結(jié)果發(fā)送給電子標(biāo)簽，電子標(biāo)簽計(jì)算M3⊕M4，若相等則完成認(rèn)證，不相等認(rèn)證失敗。

同步機(jī)制：

本文中同步機(jī)制分為兩種，一種通過備用標(biāo)簽ID_B，一種通過備用Key_B來完成。

標(biāo)簽更新機(jī)制：

閱讀器標(biāo)簽更新為電子標(biāo)簽，即：ID=ID_T；電子標(biāo)簽更新為ID_T=M2⊕M3。

3.2 協(xié)議計(jì)算成本

隨機(jī)數(shù)機(jī)制：閱讀器一次，電子標(biāo)簽零次。

加密運(yùn)算：閱讀器一次，電子標(biāo)簽一次。

通信成本：閱讀器、電子標(biāo)簽共計(jì)5次。

查詢次數(shù)：N<=K（K為查詢上限）。

信息量：設(shè)ID m，通信中信息傳輸量為5m。

服務(wù)器負(fù)載：同步情況下查找標(biāo)簽ID的復(fù)雜度為O（1）、不同步情況下查找復(fù)雜度為O（1）、O（n×O（E）/2）。服務(wù)器負(fù)載可通過臨界點(diǎn)控制。

與其他協(xié)議對比結(jié)果見表1。

3.3 安全性分析

假設(shè)攻擊者可截獲認(rèn)證過程的所有通信數(shù)據(jù)，則攻擊者可獲取的信息包括：隨機(jī)數(shù)R，ID_T，M1，N3⊕N4。閱讀器產(chǎn)生隨機(jī)數(shù)R、加密函數(shù)產(chǎn)生中間值N，M均可視為隨機(jī)數(shù)故N3⊕N4也可視為也可視為隨機(jī)數(shù)。

不可追蹤性：

在標(biāo)簽更新同步的情況下，ID_T更新為M2⊕M3，因M可視為隨機(jī)數(shù)，故ID_T不可更新；標(biāo)簽更新同步失敗時(shí)，ID_T不變，但下一次更新成功后將無法追蹤。

前向安全性：

在通信過程中，通信只與隨機(jī)數(shù)R及中間值M和N有關(guān)，與之前通信無關(guān)，攻擊者無法通過這次通信獲取有用信息，故具備前向安全性。

假冒攻擊：

通信過程中，輸入輸出均可視為隨機(jī)數(shù)且每次各不相同，故無法假冒，該協(xié)議可抵抗假冒攻擊。

重傳攻擊：

在所有通信過程中，只有ID可視為明文，其余部分可視為隨機(jī)數(shù)，重傳攻擊無法進(jìn)行。

雙向認(rèn)證性：

該協(xié)議中，閱讀器可以對電子標(biāo)簽進(jìn)行認(rèn)證，電子標(biāo)簽也可以對閱讀器認(rèn)證，故具有雙向認(rèn)證性。

綜上，該協(xié)議相比于其他協(xié)議，在較低的成本條件下，具有較高的安全性。

4 結(jié)論

本文基于Trivium密碼特性，設(shè)計(jì)了一個(gè)低成本RFID協(xié)議。分析表明，本協(xié)議以一個(gè)較低的成本實(shí)現(xiàn)了一個(gè)RFID安全協(xié)議。隨著RFID應(yīng)用的普及，其成本及安全性受到廣泛關(guān)注，本文在具有一定的研究及應(yīng)用價(jià)值。