劉揚(yáng)，徐明明，尹毅峰

（鄭州輕工業(yè)學(xué)院計算機(jī)與通信工程學(xué)院，鄭州　450001）

基于安全虛S-盒的RFID系統(tǒng)密鑰管理機(jī)制研究

劉揚(yáng)1，徐明明2，尹毅峰3

（鄭州輕工業(yè)學(xué)院計算機(jī)與通信工程學(xué)院，鄭州450001）

RFID系統(tǒng)包含對象數(shù)量龐大，實現(xiàn)安全的數(shù)據(jù)傳輸離不開大量密鑰的分發(fā)、存儲與銷毀。將基于對稱密鑰加密的，可以同時完成通信雙方身份認(rèn)證與密鑰協(xié)商的安全虛-S盒技術(shù)進(jìn)行相應(yīng)改進(jìn)，結(jié)合RFID系統(tǒng)安全的需求，設(shè)計一個針對RFID系統(tǒng)的密鑰管理機(jī)制。新的機(jī)制由會話雙方協(xié)商出的安全虛S-盒為RFID系統(tǒng)的通信快速的產(chǎn)生大量隨機(jī)的會話密鑰，且不需要可信第三方的參與。

RFID系統(tǒng)；密鑰管理；安全虛S-盒

國家自然科學(xué)基金資助項目（No.61272038、No.61572445）、鄭州輕工業(yè)學(xué)院研究生科技創(chuàng)新基金項目（No.201330）

0　引言

近年來RFID系統(tǒng)在物流、醫(yī)療、交通等方面的應(yīng)用技術(shù)不斷被開發(fā)和完善。用戶的安全與隱私問題越來越受到人們的關(guān)注。雖然系統(tǒng)的規(guī)模不斷擴(kuò)展，安全需求不斷復(fù)雜化，多元化，然而智能終端低成本高實時性，高并發(fā)性卻限制了RFID安全機(jī)制的構(gòu)建，使RFID安全成為研究的熱點和難點。

RFID系統(tǒng)不但包含隸屬各個機(jī)構(gòu)或個人的閱讀器，更包含了數(shù)量龐大的RFID標(biāo)簽。目前針對RFID安全系統(tǒng)的數(shù)據(jù)存儲主要分為兩類，第一類由標(biāo)簽和后臺數(shù)據(jù)庫同時存儲秘密信息和標(biāo)簽標(biāo)識，每對標(biāo)簽進(jìn)行一次讀寫操作，都會進(jìn)行密鑰更新以抵御重放攻擊，此類存儲方式常用于銀行卡，校園卡等金融射頻卡[1]中；第二類只有后臺服務(wù)器存儲標(biāo)簽秘密信息，通過閱讀器向后臺數(shù)據(jù)庫轉(zhuǎn)發(fā)標(biāo)簽回復(fù)信息，在通過服務(wù)器授權(quán)通過的條件下可以獲得服務(wù)器發(fā)送的自身所讀標(biāo)簽的秘密信息[2]。顯然，對于大規(guī)模部署的低成本的RFID標(biāo)簽，應(yīng)該承擔(dān)更少的加解密運(yùn)算量和關(guān)鍵信息的保存，因此，第二種存儲結(jié)構(gòu)更易于保護(hù)用戶隱私，并且針對第二種存儲結(jié)構(gòu)的系統(tǒng)密鑰管理機(jī)制相對簡便，更具有擴(kuò)展性。

本文基于提出的安全虛S-盒技術(shù)[3]，針對實際的RFID系統(tǒng)進(jìn)行了移植與改進(jìn)，通過在后臺服務(wù)器與閱讀器之間建立安全快速的數(shù)據(jù)傳輸通道，設(shè)計出了無需可信第三方的密鑰管理機(jī)制，利用通信雙方協(xié)商的安全虛S-盒，快速的產(chǎn)生大量滿足密碼學(xué)特性的會話密鑰，并且在每一輪會話完成后重新協(xié)商，可免于重放攻擊，用于低成本標(biāo)簽RFID系統(tǒng)中閱讀器與后臺數(shù)據(jù)庫之間關(guān)于標(biāo)簽秘密信息的安全傳輸。

1　系統(tǒng)模型設(shè)計

1.1安全虛S-盒協(xié)商方案

安全虛S-盒是基于對稱密碼理論設(shè)計的一種快速的密鑰協(xié)商方案，通過通信雙方的一次交互，可以快速生成一個參數(shù)相同且由通信雙方共享的安全S-盒。在基礎(chǔ)理論方面結(jié)合了Diffie-Hellman的密鑰交換方式，同時安全虛S-盒的安全性是基于多態(tài)性密碼的自編譯系統(tǒng)的不可讀性[4]。如果存在敵手對傳輸中的數(shù)據(jù)進(jìn)行密碼分析，將會啟動自編譯系統(tǒng)，所得出的參數(shù)已不再是最初的參數(shù)，因此不能得到對方的數(shù)據(jù)。

將安全虛S盒的協(xié)商方案介紹如下：

（1）假設(shè)通信的雙方分別是Alice和Bob，他們各自擁有一個安全的控制密鑰ka和kb，用來調(diào)用置換函數(shù)構(gòu)造安全子算法集。此算法集沒有被注入另一組隨機(jī)參數(shù)時，不具備完整S-盒的混淆和置換功能。

（2）Alice和Bob擁有相同的候選單向函數(shù)構(gòu)造的自編譯器；

（3）Alice和Bob利用各自的通信狀態(tài)產(chǎn)生自己的隨機(jī)參數(shù)組pa和pb；

構(gòu)造安全S-盒的步驟如下：

①雙方采用相同的自編譯器結(jié)合Hash映射，利用各自的控制密鑰加密各自產(chǎn)生的包含自身通信狀態(tài)的隨機(jī)參數(shù)組pa和pb，得到各自的輸出數(shù)組xa和xb；

②Alice將得到的輸出數(shù)組帶入偽隨機(jī)數(shù)發(fā)生器，得到左半S-盒Sa=（xa，Y）；

③同理，Bob利用自身的輸出數(shù)組得到右半S-盒Sb=（X，yb）；

④雙方利用公開信道交換各自生成的半個S-盒；

⑤雙方將自身的輸出數(shù)組帶入收到的半個S-盒，得到一個用于生成會話密鑰的完整的S-盒S（a，b）=（xa，yb）；

1.2RFID系統(tǒng)的密鑰管理

密鑰管理通常包含密鑰的生成、儲存、保護(hù)、分配、驗證、使用和銷毀，也就是負(fù)責(zé)管理在密鑰的整個生存周期內(nèi)的安全性和實用性[5]。由于當(dāng)前的密碼算法通常是公開的，因此當(dāng)密碼算法確定下來之后，整個系統(tǒng)的保密程度取決于密鑰的保密性[6]。密鑰管理也因此成為了整個系統(tǒng)安全的決定因素。傳統(tǒng)的基于RFID的密鑰管理系統(tǒng)多是針對智能IC卡的密鑰管理系統(tǒng)，主要包括發(fā)卡機(jī)構(gòu)，由可信第三方組成的驗證機(jī)構(gòu)，由系統(tǒng)管理員，領(lǐng)導(dǎo)者等組成的多級的密鑰分發(fā)機(jī)制等。這樣的密鑰管理系統(tǒng)多應(yīng)用于銀行儲蓄卡、門禁系統(tǒng)、校園卡系統(tǒng)等相對安全需求等級較高且用戶不大可能出現(xiàn)高并發(fā)性的場景中。而針對供應(yīng)鏈，圖書管理系統(tǒng)這些RFID標(biāo)簽數(shù)量龐大，且對象分布集中的場景。一方面，系統(tǒng)的成本限制在RFID標(biāo)簽上不能采用高計算復(fù)雜度的加密措施，另一方面，由于標(biāo)簽的流動性以及標(biāo)簽通常以群組的形式出現(xiàn)，造成系統(tǒng)的高并發(fā)性，導(dǎo)致此類低成本標(biāo)簽的密鑰管理不太可能做到為每一個標(biāo)簽設(shè)置唯一的密鑰并由密鑰管理中心進(jìn)行安全存儲。因此我們假設(shè)系統(tǒng)的閱讀器與標(biāo)簽端采用現(xiàn)行的低成本標(biāo)簽的國際標(biāo)準(zhǔn)ISO/IEC 18000-6C[7]，在閱讀器與后端服務(wù)器之間嵌入改進(jìn)的安全虛S-盒來實現(xiàn)對低成本RFID系統(tǒng)的密鑰管理。整個RFID密鑰管理機(jī)制模型框圖如圖1。

圖1　密鑰管理機(jī)制整體框圖

將安全虛S-盒嵌入到后端服務(wù)器以及閱讀器中，構(gòu)成一個臨時密鑰管理機(jī)制，在閱讀器登錄后臺服務(wù)器時建立，閱讀器完成標(biāo)簽掃描時斷開連接，隨機(jī)銷毀會話密鑰和控制密鑰。與傳統(tǒng)的密鑰交換協(xié)議相比，不需要大量的控制密鑰以及會話密鑰的秘密分發(fā)與存儲，也不需要額外的可信第三方來發(fā)布證書并進(jìn)行各個機(jī)構(gòu)的證書的管理[8]。

2　方案的具體實現(xiàn)

針對虛S-盒技術(shù)中的限制與需求，結(jié)合RFID系統(tǒng)的特性對整體的密鑰協(xié)商方案進(jìn)行改進(jìn)。我們采取在構(gòu)造S-盒的過程中加入閱讀器和服務(wù)器的身份信息的方法，在協(xié)商S-盒的同時完成身份認(rèn)證。假設(shè)合法的閱讀器擁有自己的標(biāo)識IDi和對應(yīng)的控制密鑰kR以及認(rèn)證口令μi，后臺服務(wù)器的數(shù)據(jù)庫中存儲所有合法閱讀器的標(biāo)識和對應(yīng)的口令μ以及自身的控制密鑰kD。所有的閱讀器和后臺服務(wù)器都擁有相同的公開的虛擬迭代函數(shù)S（X，Y）和含有自編譯系統(tǒng)的單向Hash函數(shù)HS（）。具體的協(xié)商過程如圖2所示。

①需要建立會話的閱讀器和后臺服務(wù)器利用網(wǎng)絡(luò)節(jié)點數(shù)據(jù)流的隨機(jī)性各自抓取四個隨機(jī)數(shù)連同自己的私鑰構(gòu)成一個五元數(shù)組作為新的私鑰組KR[5]={kR，rR1，rR2，rR3，rR4}和KD[5]={kD，rD1，rD2，rD3，rD4}。

圖2　方案具體流程圖

②閱讀器將得到的五元組私鑰帶入含自編譯系統(tǒng)的單向函數(shù)HS（）得到部分參數(shù)KRp[4]={kR⊕HS（rR1），kR⊕HS（rR2），kR⊕HS（rR3），kR⊕HS（rR4）}，帶入雙方共有的虛擬迭代函數(shù)S（X，Y）得到左半S-盒Sa=S（kR⊕HS（rR1），kR⊕HS（rR2），kR⊕HS（rR3），kR⊕HS（rR4），Y）；同樣的，后端服務(wù)器將生成的五元組私鑰帶入含自編譯系統(tǒng)的單向函數(shù)HS（）得到另一部分參數(shù)KDp[4]={kD⊕HS（rD1），kD⊕HS（rD2），kD⊕HS（rD3），kD⊕HS（rD4）}，帶入雙方共有的虛擬迭代函數(shù)得到右半虛S-盒Sb=S（X，kD⊕HS（rD1），kD⊕HS（rD2），kD⊕HS（rD3），kD⊕HS（rD4））；

③閱讀器和后端服務(wù)器利用以太網(wǎng)的公開信道將各自生成的半個S-盒發(fā)送給對方；

④閱讀器收到服務(wù)器發(fā)來的右半虛S-盒Sb后，將自身的參數(shù)KRp[4]帶入右半虛S-盒，得到完整的虛S-盒S=S（KRp[4]，KDp[4]）=S（kR⊕HS（rR1），kR⊕HS（rR2），kR⊕HS（rR3），kR⊕HS（rR4），kD⊕HS（rD1），kD⊕HS（rD2），kD⊕HS（rD3），kD⊕HS（rD4））；同理，服務(wù)器收到閱讀器發(fā)來的左半虛S-盒Sb后，將自身參數(shù)KDp[4]帶入左半虛S-盒，得到相同的完整的虛S-盒；自此，雙方虛S-盒協(xié)商完成；

⑤閱讀器和后端服務(wù)器利用協(xié)商出的安全虛S-盒產(chǎn)生周期很長的加密序列，此時待認(rèn)證的閱讀器發(fā)送經(jīng)過與加密長周期序列XOR操作后的自身標(biāo)識IDi和認(rèn)證口令μi給數(shù)據(jù)服務(wù)器；

⑥數(shù)據(jù)服務(wù)器利用收到的密文再與自身產(chǎn)生的S-盒加密序列異或，得到當(dāng)前請求認(rèn)證的閱讀器的標(biāo)識和口令，在數(shù)據(jù)庫中查找是否有符合要求的二元組{ID，μ}，如果有，返回認(rèn)證通過指令，反之，斷開連接；

⑦當(dāng)閱讀器認(rèn)證通過后，向服務(wù)器發(fā)送掃描的標(biāo)簽標(biāo)識，由服務(wù)器閱讀器查詢標(biāo)簽信息并反饋給閱讀器；

⑧完成掃描范圍內(nèi)的標(biāo)簽認(rèn)證，進(jìn)入靜默狀態(tài)，服務(wù)器自動銷毀之前產(chǎn)生的隨機(jī)參數(shù)組以及私鑰組，準(zhǔn)備進(jìn)入下一輪會話。

3　安全性分析及性能評估

假設(shè)一個潛在的敵手企圖通過竊聽公開信道上傳輸?shù)男畔砥平怆p方協(xié)商的虛S-盒，即通過獲取任意一方的私鑰以及隨機(jī)種子，來破譯通信雙方協(xié)商生成的虛S-盒，從而試圖獲取整個會話的密鑰生成系統(tǒng)。由于在某一瞬間通信雙方從網(wǎng)絡(luò)中獲取的隨機(jī)數(shù)不能再次獲取，因此，即使敵手獲取了通信雙方的密鑰也不能猜測出他所需要的隨機(jī)數(shù)種子。

如果敵手假冒通信的其中一方試圖實施中間人攻擊也是不能實現(xiàn)的。因為無論如何，攻擊者只能獲取半個虛S-盒，因此不可能獲得與通信雙方同步的產(chǎn)生會話密鑰的虛S-盒，此外，服務(wù)器和閱讀器之間的認(rèn)證還依賴于閱讀器存儲的和自身標(biāo)識對應(yīng)的口令μ，敵手不能獲取會話密鑰也就意味著虛S-盒協(xié)商完成后發(fā)送的閱讀器的口令是安全的，不可被敵手或取的。

相比一般的加密算法，安全虛S-盒繼承了普通S-盒計算速度快，能快速生成大量長周期滿足密碼學(xué)特性的密鑰序列的特性。結(jié)合RFID系統(tǒng)的匯聚節(jié)點數(shù)據(jù)量大、高實時性、高并發(fā)行的特點，改進(jìn)的虛S-盒協(xié)商及認(rèn)證方案適用于閱讀器與服務(wù)器之間的密鑰管理。

4　結(jié)語

本文基于安全虛S-盒技術(shù)，針對實際的RFID系統(tǒng)進(jìn)行了移植與改進(jìn)，通過在后臺服務(wù)器與閱讀器之間建立安全快速的數(shù)據(jù)傳輸通道，設(shè)計出了無需可信第三方的密鑰管理機(jī)制，利用通信雙方協(xié)商的安全虛S-盒，快速的產(chǎn)生大量滿足密碼學(xué)特性的會話密鑰，并且在每一輪會話完成后重新協(xié)商，可免于重放攻擊，本方案可用于低成本標(biāo)簽RFID系統(tǒng)中閱讀器與后臺數(shù)據(jù)庫之間關(guān)于標(biāo)簽秘密信息的安全傳輸，在供應(yīng)鏈以及圖書管理系統(tǒng)中具有很大的實用價值。

[1]范春鵬.金融IC卡密鑰管理系統(tǒng)的設(shè)計與實現(xiàn)[D].北京交通大學(xué)，2015.

[2]付小麗.高效的RFID安全協(xié)議研究與設(shè)計[D].武漢理工大學(xué)，2011.

[3]Yin Y，Gan Y，Wen H，et al.A Symmetric Key Exchange Protocol Bsaed on Virtual S-Box[J].中國通信（英文版），2014，11（s2）:46-52.

[4]尹毅峰.基于多態(tài)性密碼的S-盒安全機(jī)制研究[D].西安電子科技大學(xué)，2009.

[5]WENBO MAO（美）.現(xiàn)代密碼學(xué)理論與實踐[M].電子工業(yè)出版社，2004.

[6]卓麗，耿夫利，王艷艷.信息加密算法研究[J].科教導(dǎo)刊:電子版，2015（18）:175-175.

[7]EPCglobal，UHF Class 1 Gen 2 Standard v.2.0.1[S].Globe standard 1，2013.

[8]徐陽.物聯(lián)網(wǎng)密鑰管理和認(rèn)證技術(shù)研究[D].南京理工大學(xué)，2015.

RFID System;Key Management Mechanism;Safety Virtual S-Box

Research on Key Management Mechanism of RFID System Based on Safety Virtual S-Box

LIU Yang，XU Ming-ming，YIN Yi-feng

（College of Computer and Communication Engineering，Zhengzhou University of Light Industry，Zhengzhou 450001）

RFID system contains a large number of objects,to obtain safety data transmission requires the distribution,storage and destruction of a plenty number of keys.Based on safety virtual S-box which is used for symmetric key encryption algorithm and can simultaneously complete the identity authentication with key agreement of both sides of the conversation.According to the requirement of RFID system security,designs a key management mechanism for RFID system.The new mechanism can generate a large number of randomized session keys in a short time by safety virtual S-box,while does not require the participation of trusted third party.

1007-1423（2016）32-0003-04

10.3969/j.issn.1007-1423.2016.32.001

劉揚(yáng)（1992-），女，河南鄭州人，碩士研究生，研究方向為物聯(lián)網(wǎng)安全

徐明明（1991-），男，河南許昌人，碩士研究生，研究方向為物聯(lián)網(wǎng)安全

尹毅峰（1971-），男，河北饒陽人，博士，教授，研究方向為信息安全與密碼學(xué)

2016-09-23

2016-11-10

1007-1423（2016）32-0007-06

10.3969/j.issn.1007-1423.2016.32.002