第50卷第6期 2017年6月 通信技术 Communications Technology V0l_5O No.6 Jun.2017 doi:10.3969/j.issn.1002-0802.2017.06.035 基于SASI协议的轻量级RFID安全协议的研究实现 刘雅萱,解岩凯,史 洋,杨牧川,王婉玲,李秦伟 (贵州大学计算机科学与技术学院,贵州贵阳550025) 摘 要:随着物联网应用的飞速发展,射频识别(RFID)技术作为其重要组成部分拥有了广阔的 发展前景。选取一种轻量级RFID协议强认证强完整性协议即SASI进行研究及改进,推出了一种 新的安全协议RSASI。它克服了原协议不能防御攻击读写造成读写器中与标签中信息更新不同步 的问题和拒绝服务攻击等缺陷,仅增加少量计算量和存储空间,较大幅度地提高了其安全性。采 用可编程门阵列及Verilog HDL编程技术,实现了轻量级安全新协议的通信过程,证明此协议具有 低成本、低功耗、高安全性、高效率等特点。 关键词:射频 识别;安全轻量级协议;双向认证;现场可编程门阵列 中图分类号: TN915.04;TN915.08 文献标志码:A 文章编号:1002—0802(2017)一06—1284—06 Implementation of Lightweight RFID Security Protocol based on SASI LIU Ya-xuan,XIE Yan-kai,SHI Yang,YANG Mu-chuan,WANG Wan-ling,LI Qin-wei (Department of Internet Engineering,Computer Science and Technology,Guizhou University,Guiyang Guizhou 550025,China) Abstract:With the rapid development of the IoT(Internet of things),RFID(Radio Frequency Identiicatifon)technology as its important component has broad development prospects.A lightweight RFID protocol,that is,Random Strong Authentication and Strong Integrity(SASI),is chosen for study and improvement,and based on this a new security protocol RSASI is proposed,which overcomes the defects that the original protocol cannot resist the read-and-write the attack.This may result in label information update non—synchronization and denial—of-service attack.Only by increasing a small amount of computation and storage space,the safety could be greatly improved.By adopting FPGA and Verilog HDL programming techniques,the new lightweight security protocol for the communication process is implemented,and the agreement proves to be of low cost,low power consumption,high safety, high efficiency and SO on. Key words:RFID(Radio Frequency Identiifcation);security lightweight protocol;two——way authentication; FPGA(Field—Programmable Gate Array1 0引 言 在物联网快速发展的当下,RFID具有无需直 由于RFID系统的特殊性及硬件成本,在 实际应用中,RFID技术中的安全问题不断暴露。 目前,安全认证协议的研究与设计是RFID技术研 接与被识别物体进行接触和人工干预、数据存储量 大、操作简单方便等优点,被广泛应用于多种应用 领域的数据收集和处理。 究方面最重要的课题之一,而标准的研究及制定是 首要前提 。但是,要设计一个安全的RFID系统 收稿日期:2017-02—18;修回日期:2017—05—20 Received date:2017—02—18;Revised{late:2017—05—20 基金项目:贵州大学SRT项目(责大SRT字(2015)102号) Foundation ltem:Guizhou University SRT project(SRT(2015)102) 1284・ ・第50卷刘雅萱,解岩凯,史洋,杨牧川,王婉玲,李秦伟:基于SASI协议的轻量级RFID安全协议的研究实现第6期 认证协议,尤其是轻量级RFID系统的安全认证协 议非常困难。诸多因素使得RFID系统的认证协议 研究,成为当今一项极具挑战性的课题。 标签:IDS=IDSn , = 1, = 2 读写器:IDS=IDSo ̄d 1原协议介绍 1.1 SASI协议介绍 SASI协议是强认证强完整性协议,协议流程如 当标签与读写器进行第二次通信时,标签返回 给读写器IDSn 时,由于读写器中没有IDSn ,则 标签无法通过安全认证,认证协议失败。 此外,有相关研究表明,SASI协议也无法抵抗 代数攻击『3】。通过简单重放,也能对阅读器进行攻击 使其无法正确阅读移动中的标签。 图l所示。 。 、 Reader Tag oIlerv , ^=IDs0K 0-lI O,tUA、B计算出n1、“2 IBS B=(IDSv疋)+ 、 胃=rot(g,0 , ) =舶t 毋* 墨) A BIl =Rot(h'z0,II. ) r 巧=舶喁0 ) c= 0 + 0 ) c=(墨0 +( 0 ) D D +J旧国( exz)v / \ / 图1原协议流程 协议执行步骤如下_2】 (1)Reader向Tag发送”Query”请求认证; (2)Tag向Reader发送假名IDS; (3)Reader找到对应假名的密钥 和 ,随 机产生/-/ 和rl ,然后分别按照图1中公式计算 、 、 、 和C,同时将AIIBIIC发送给Tag; (4)标签从 、 中计算出,z。和,z:,再计算 出 、 并得到C。比较接收到的C与计算出的 C的一致性,如果一致,则完成Tag对Reader的认 证,将 运算结果发送给Reader; (5)Reader比较收到的D和计算的D,如果 结果一致,则完成Reader对Tag的认证; (6) 根据IDS:(IDS+D)①l 2①KlJ、 K =K 、K,=K,,分别更新假名和密钥。 1.2 SASI协议安全性分析 RFID系统中,认证协议的安全性对保护标签 中信息的安全至关重要,也是设计认证协议时须首 要考虑的因素。下面将对新协议的安全性进行分析。 无法预防拒绝服务攻击。攻击者使用收/发信 机监听并记录合法读写器与标签之间的通信,并在 协议的第6步发送随机数(与读写器、标签使用相 同的信道),这样合法读写器将收到错误标签发送 的信息 。因为 不等于 ,所以合法读写器不 更新相关参数IDS、 、 ,而标签正常将会更新 这三个数据。因此,此时标签和读写器两端的存储 信息为: 1.3基于SASI的改进协议 文献[4]提出了一种对SASI的改进协议。此协 议的步骤如图2所示。 1)B-Back/Reader (D) 收到消息2后,根据每个 ID计算RT’=A0ID和B’ =Rot( ’,RR0ID ),查 找是否存在某个ID ,使 得B’=B 收到消息3后,Tag计 若Tag通过了验证,则 算c’ Rot(RT,RR0I 计算C=Rot(RT,,RR0I————— ——. D)0Rot(RR,RT④IDj D)0Rot(RR.RT,0IDi ),若C=C’,则Reader ),并向标签发送消息c 通过认证. 图2基于SASI的改进协议流程 此协议虽然改良了SASI协议,使其可以防御 拒绝服务攻击,一定程度上降低了成本,但出现了 以下缺陷。 (I)无法预防假冒攻击。攻击者可以 发送Query和 获取标签发送的 和 。通 过计算公式A=R ①ID、B=Rot(RnRR④ID)和 C=Rot(Rr',RR④ID)①Rot(R 一①11)),在获得 与 之后,攻击者可以计算出 的值。因为C中所用 计算的数值在A、B和 中均可得到,所以计算后 可以直接认证标签。因此,无论读写器是否合法, 都可以对标签进行合法认证。可见,该协议无法预 防假冒攻击。 (2)该改进协议中,读写器对标签进行认证, 因此协议在安全性方面存在问题。此协议在标签端 引入伪随机数隐藏ID,但由于门数,标签产 生的伪随机数的伪随机性较差。例如,常用的 一1= fax.+c)mod m,通过代数攻击很容易求出参数a、c 与m,从而破解,D信息 】。 2改进后算法 2.1新协议介绍 新协议称为随机SASI协议,流程如图3所示。 ・1285・ 通信技术 厂 、 / 、 Reader Tag n;NZXan'S(R,. ) BI=P0k。 QuelW , ^=Rot(n0七1. ) n.=MiXBn'S(R ̄. ) Rt 瓤=脚0 .如) 、 A¨B AI=R砷 0七 kz) B=矗r0k。 r 瓤。= 0 .b) Cl lD I =c0 t C=Rt0 I \或I =c0七JD, / 或c=P ̄0k,oz / 图3新协议流程 协议执行步骤如下: (1)Reader向Tag发送”Query”请求认证; (2)Tag随机生成 ,对其进行求余并存储 于 中,发送给Reader。 (3)Reader利用addAB对数据进行加密,自己 生成随机数 。根据i=Rt.%2和n=MIXBITS(Rt,Rr), 仅需要代人觚。如果i-=1,则A=Rot(n① );否则, A=Rot(n① ,岛),之后根据公式计算得到 。 存于 Reader,AIIB发送给Tag。 (4)Tag收到AIIB,调用knowAB函数进行 解密,代人AIIB和 ,根据公式计算得到 ,再 根据i=Rt.%2和 ’=MIXBITS(Rt,B1),如果f==l, 则A =Rot(n ① , ;否则,A D ① , )。得到 A lib 后,如与AIIB都相等,则认证成功;否则,失败。 (5)认证成功后, ag调用addCD进行加密, 自己生成 ,再代入得到的 ,根据i=Rt】%2, 如果 ==l,则C=Rt① 1,否则C=Rt① 2,之后 根据公式计算得到D。尺 存储于Rt,CIID发送给 Readero (6)Reader调用knowCD进行认证,代人 CIID。根据i=Rt.%2,如果f==1,则Rt2=C① 】, 否则Rt2=C① 。得到 存储于 f,之后根据 图3中的公式计算得到D ,再得到CIDI ,并与 C]ID对照,若相等,则认证成功;否则,进行下一 组 与 的对照。如果遍历全部数据后还是没有 认证成功,则认证失败。 2.2新协议安全性分析 在RFID认证系统中,认证协议的安全性对于 保护标签中敏感信息的安全至关重要,也是设计认 证协议时须首先考虑的因素。下面通过几种常见的 攻击手段对新协议的安全性进行分析。 (1)标签对读写器的认证过程:协议使用读 ・1286・ 写器产生随机数胁和B=Rr①Kl,完成对密钥 的加密;并选用对 ,求余来选择通信使用的密钥, 进而标签再次计算A=Rot(MIXBITS(R ,.① , 从而完成对读写器的认证。认证过程安全可靠。 (2)读写器对标签的认证:在标签信息中采 用了两组 和 。标签向读写器发送的信息中, 和上D分别在不同的信息中,且C与D无直接 关系。因此,攻击者在得不到(Km,ID)表的情况下, 不可能掌握标签的ID信息。 (3)防窃听攻击:读写器和标签之间的通信 信息都经过了加密,而且各个信息之间的关联性非 常低(即传送密文与明文之间的互信息量非常低), 窃听者无法根据标签和读写器之间的加密信息获取 标签中的敏感信息。 (4)防假冒攻击:新协议中,标签产生的随 机数 每次都不相同。如果攻击者伪装成读写器 向标签发送相同的请求,标签返回的信息将都不相 同。此时,攻击者无法确定这些响应信息是否来自 同一个标签,因此无法对标签实施跟踪。同样,因 每次通信的信息都不相同,攻击者无法伪装成合法 读写器读取标签的敏感信息。此外,为了防止读取 标签信息并利用线性方程组求解密钥,采取了先对 读写器进行认证的模式。可见,该协议可以抵抗假 冒攻击。 (5)防重传攻击:每次认证过程中,标签和 读写器都分别产生新的随机数密值,攻击者即使截 获了某一次认证过程中的传送信息,也是无法重放 或伪造薪一次认证过程中的信息进行攻击。 (6)防篡改攻击:由于不知道认证密钥,且 该协议在通信过程中使用MIXBITS和Rot函数对信 息进行加密,攻击者无法将原信息篡改成另外一条 合法信息。所以,篡改攻击只能使认证失败,而不 会造成认证错误。可见,该协议能抵抗篡改攻击。 (7)防代数攻击:由于采用标签先验证读写 器的机制,故攻击者假冒读写器只能得到伪随机数 ,且 使用移位寄存器生成随机数。生成随机 数采用2个种子和3种种子更新机制,故较难通过 方程组求解伪随机数 。攻击者使用窃听后进行 代数攻击时,每一次使用密钥不确定,方程之间的 相关度不确定,故攻击者同样很难通过线性方程组 求解所使用的密钥。可见,该协议能防御代数攻击。 2.3同SASI认证协议进行性能比较 虽然SASI协议的计算量与存储量相对较小, 第50卷刘稚 ,解 凯,史 洋,畅牧川,王婉玲,拿秦伟: 1 SASI 议的 绒II F、ID安全 议的研究实 第6 j9j 但是f{{于在每次溪写时要更新除 外的所有数 , 所以在硬件实现时必须加量 存和 态门来控 制渎写。 改进后的协议只有随机数的种子需要不停改 ,fI』足并没有引起门数量的火幅度增加 . 经过l 述详细汁算,RSASI协议仅仅比原协议 多…_r 3.9%的门,却大幅提升了协议安全性。 2.4基于FPGA的改进后通讯协议实现 第一模块:标签随机数产生模块,其芯片 如 变,与原协议相比,需要改变的数据量有限,f,_4此 所需要使用的门的数量有限。需要说明的是,改进 协议虽然加入了MIXBITS算法来增强协议的安全 f冬1 4所示 ・ -・-・・・一 -・.・. .・-, .・. . ..・……・t・’…・・… 一-・….…・一-”・….…・.・ 一一……..……一1 .. .... ........ . .... 冈4标签随机数产: 模块芯片l皋] 标签收到滇写器发}H的“Query”请求后, 筇 模块是标签中用于埘渎写器进行认证的 产生随机数 f。并发送给渎写器、 模块标签对发来的A、B进行检测,验证通过则 第二模块:AB验汪信息 成模块,其芯片图ll'll{" 示为高电平: 则,则为低电平 此外,也 如 5所示= 第 模块发送求余信息,以减少计算复杂度 渎写器收到以后,对 .进行求余,进fn 选 第四模块:CD验证信息生成模块,其芯片 择使用的密钥。fI已产生随机数尺,,使用AddAB 曳lj 7所示 加密模块进行加密,得到加密后的A与B后,发送 第【几j模块足标签发送自己的加密认证信息模块。 给标签。此外,也向第四模块发送求余信息,以减 标签,卜成随机数 ,许l将自己的 与 ,信息进行 少汁算复杂度。 7Jli惭后发送给读写器,使读写器可以埘标签进行认 、 第j模块:AB信息验证模块,其芯片 如 6 五模块:CD信息验证模块,其芯片 如同8 所示。 所永 咻r---2_嚼 q[ 耋善 善薹 一0:0 . :一一 _■ 一 一 —m卜 ÷叫螂m” }铒 K…芒 _.蛸- .¨啪 ~ l 1h -一… 州 —一 ,‘ … r ]: :L : ::::t:: : :: 一 口蜷 : 盖 l==:::===:ii : 聃 I p…_一 口 口 _一 b【弱q 一『:-_●1竺 l冈5 AB验证信息,fi成模块芯片l皋J ^ 瑚亡:=) 口 ————百 R ol亡:兰 q∞ol亡≥ 芒:) 霍 ————q—95 0]I__J】 I— 。:。:I ・-叶 95 01 的口l — ' ^1l95 Ol n 一 ................... D 静 。 .. ; <;; 6 AB信息验 模块芯片 ・1 287・ 通信技术 2017住 7 CD验证信息生成模块芯片 竺 …Soad rl-mallla ̄ S,Wew t'iI sS S,Engel s D.Radio-frequenc y进 兰 萎无 搴放 堕 翼 息苎 Id ific “o :s ure Risk …一一ll。 g。 ….RsA JIJ 茎 、,计 譬L。a…bor…ato…rie…s…Crvptob ytes,2003 ( ̄0t161 1.1U一9l1.d…“ 。。 … 里.少量增加条件下的新RFID安全协议。新协议仅 【2】zh士 一 . u w.R 1ationship Amo ng .d 、c。 pt iI1 ・1 288・ 第50卷刘雅萱,解岩凯,史洋,杨牧川,王婉玲,李秦伟:基于SASI协议的轻量级RFID安全协议的研究实现第6期 Covering—based Rough Sets[J].Information Scienc es,2009,179(14):2478—2486. 【3】彭朋,赵一鸣,韩伟力等.一种超轻量级的RFID双 向认证协议[JJ.计算机工程,201 1,37(16):140-142, PENG Peng,ZHAO Yi—ming,HAN Wei-li,et a1.A Ultra—lightweight RFID Bidirectional Authentication Protocol[J].Computer Engineering,201 l,37(16):140—142. 『4]马巧梅,王尚平.一个超轻量级的RFID认证协议[J]. 计算机工程,2012,38(02):151-152. MA Qiao—mei,WANG Shang-ping.An Ultra Lightweight RFID Authentication Protocol[J].Computer Engineeri ng,2012,38(02):151-152. [5】吴立知.轻量级RFID系统的认证协议研究[J].通信 技术,2012,45(02):29—31. WU Li-zhi.Study on the Systems of Lightweight RFID[J]. Communications Technology,2012,45(02):29-31 作者简介: 刘雅萱(1995一),女,学士,主要 研究方向为信息安全、云计算; 解岩凯(1995一),男,学士,主要 研究方向为信息安全、云计算; 史洋(1995一),男,学士,主要 研究方向为网络、人工智能; 杨牧川(1995一),男,学士,主要研究方向为网络、 云计算; 王婉玲(1997一),女,学士,主要研究方向为信 息安全; 李秦伟(1961一),男,硕士,教授,主要研究方 向为信息安全。 ・1289・
