基于PUF的高效低成本RFID认证协议
时间:2022-09-28 10:26:03
摘 要:已提出的针对低成本RFID系统的安全机制,要么存在安全缺陷,要么硬件成本太高。为此设计了一个基于物理不可克隆功能(PUF)的RFID安全认证协议,利用PUF和线性反馈移位寄存器(LFSR)实现了阅读器和标签之间强的安全认证,解决了已有安全协议存在的问题。安全性分析表明:该协议成本低、安全性高,能够抵抗物理攻击和标签克隆,并有极强的隐私性。
关键词: 射频识别;安全认证协议;物理不可克隆功能;线性反馈移位寄存器;加密
中图分类号: TP309 文献标志码:A
Lowcost RFID authentication protocol based on PUF
HE Zhangqing1,2*, ZHENG Zhaoxia1, DAI Kui1, ZOU Xuecheng1
(
1.Department of Electronic Science and Technology, Huazhong University of Science and Technology, Wuhan Hubei 430074,China;
2.School of Electrical and Electronic Engineering, Hubei University of Technology, Wuhan Hubei 430068, China
)
Abstract:
The available security mechanisms for the lowcost Radio Frequency IDentification (RFID) systems are either defective or highcost. Therefore, this paper proposed an efficient security authentication protocol for lowcost RFID system based on Physical Unclonable Function (PUF) and Linear Feedback Shift Register (LFSR). The protocol provides strong security and can resist physical attack and tag clone with strong privacy.
Key words:
Radio Frequency IDentification (RFID); security authentication protocol; Physical Unclonable Function (PUF); Linear Feedback Shift Register (LFSR); encryption
0 引言
射频识别(Radio Frequency IDentification, RFID)技术作为一种全新的非接触自动识别技术,可广泛应用于生产、零售、物流、交通、医疗、国防各个行业,是目前发展最为迅速和最具潜力的新兴技术之一。典型的RFID系统由标签、阅读器和后端服务器3个部分组成。当标签进入阅读器产生的电磁场中,阅读器和标签相互发送射频信号进行通信,阅读器获得标签存储的信息,进而传递给后端数据处理系统进行管理控制。由于RFID系统中阅读器和标签之间采用无线通信的方式,RFID系统可能面临着监听、欺骗、篡改和跟踪等威胁,带来通信安全问题和用户隐私泄露问题,这已经成为制约RFID技术发展的关键问题之一。尤其是在低成本的RFID系统中,电子标签有限的硬件资源极大地制约了RFID安全机制的实现,传统的安全与加密技术很难直接应用到RFID系统中来。因此,如何实现RFID系统的安全并保护电子标签持有人隐私将是目前和今后发展RFID技术十分关注的课题。
为了解决RFID安全与隐私问题,国内外研究人员展开了大量研究,提出了一系列解决方案。除了针对部分极低成本的标签提出了一些物理机制,譬如Kill命令机制、静电屏蔽、主动干扰以及Blocker Tag方法等外,大部分的安全机制都采用安全认证协议[1]。
目前提出的安全认证协议有很多,影响较大的主要有HashLock协议[2]、随机化HashLock协议[3]、 HashChain协议[4]、分布式RFID挑战响应认证协议[5]、数字图书馆RFID协议[6]等,另外还有HASP协议[7]、轻量级认证协议SASI[8]等。但是HashLock协议和随机化HashLock协议存在明显安全缺陷。分布式RFID询问响应认证协议、数字图书馆RFID协议和HASP协议需要在标签中集成随机数产生和安全伪随机函数两大功能模块,标签成本太高。而SASI协议虽然对标签成本要求较低,但无法抵抗物理攻击和标签克隆。至今仍未能提出一种针对RFID系统低功耗低成本特点,满足各种安全需求,高效实用的安全认证机制。
1 基于PUF的RFID安全认证机制
传统的RFID安全认证协议大多采用Hash函数来执行加密运算,需要大量的硬件开销。例如标准的MD4、MD5和SHA256大概需要7350~10868个门电路来实现,即使是根据RFID系统特点而简化设计的Hash运算和高级加密标准(Advanced Encryption Standard, AES)加密运算也分别需要1700个[9]和3400个门电路[10],对成本非常敏感的低成本RFID标签显然难以承受。而且使用这些加密机制的RFID系统还存在一个致命的缺陷,就是无法抵抗物理攻击和标签克隆。攻击者可以通过解剖芯片的方式获取标签内部存储的密钥,在此基础上进行芯片的反向设计实现标签的克隆。
物理不可克隆功能(Physical Unclonable Function, PUF)[11]的出现能有效解决上述问题。PUF是一组微型延迟电路,当收到一个随机的二进制输入口令之后,会生成一个唯一的、随机的二进制序列作为响应,而这个响应是利用芯片制造过程中的光刻、掺杂等环节所产生的差异来生成的。由于芯片制造过程中产生的差异本身具有不可模仿和复制的特性,所以每个芯片中的PUF电路可以生成无限多个、唯一的、不可复制的口令/响应序列。即使是芯片的制造厂商也不可能从另外一个芯片上复制出一套一模一样的口令/响应序列。所以,如果在标签芯片内部集成一个PUF模块,则该标签就具有反克隆的功能,同时PUF唯一的口令/响应序列也可以用来对标签进行认证。同时,PUF电路所需的硬件开销很小,一个64位的PUF电路大概需要545个门电路[12],大大少于简化后的Hash运算和AES加密电路。正是由于PUF的这些特点,使得利用PUF来设计RFID认证协议成为一个新的研究热点。
Suh等[11首先提出基于PUF的RFID认证机制,如图1所示。每个包含PUF的标签芯片在安全的环境下提取足够多的口令/响应对,并将这些口令/响应对存储于阅读器的后台数据库中。如果阅读器要对某个标签进行认证,就从后台数据库中提取该标签的一对口令/响应对,将口令发送给标签,然后将标签传送过来的响应与存储的响应值进行比较,如果相同,则通过认证,同时在数据库中删除该条口令/响应对。该方案是一种最简单的认证方案,但只实现了阅读器对标签的单向认证。同时每个标签需要预先在数据库中存储大量的口令/响应对,如果标签数量很多,数据库对口令/响应对的查找和管理将是一个浩大的工程。
2 基于PUF的高效低成本RFID安全认证协议
虽然已提出的基于PUF的安全认证机制存在一些问题,但是为设计更好的认证机制提出了很好的参考思路。本文设计的安全认证协议,解决了以上协议存在的问题,能够抵抗窃听攻击、重放攻击、物理攻击和标签复制,防止跟踪,具有很好的前向安全性和后向安全性。
协议的认证过程如图3所示。简单起见,本文将阅读器和后台数据作为一个整体看待。
3 协议安全性分析
一个安全可靠的RFID认证协议,需要满足正确性(Correctness)、安全性(Security)和隐私性(Privacy)3个特性。正确性确保合法的阅读器和标签能够可靠地对对方进行认证;安全性确保该协议能抵抗各种攻击;而私密性则确保标签的私有信息不被非法获取,或者被跟踪。本文将从这3个方面对协议进行分析。
1)正确性。
本协议中阅读器和标签通过共享密钥,实现了双向认证。假设信道传输可靠,且在PUF发生错误的概率可忽略的情况下,协议的错误肯定(Falsepositive)和错误否定(Falsenegative)的概率是可忽略的,系统满足正确性。协议中标签只需要集成PUF模块和LFSR,PUF需要545个等效门,LFSR需要300个等效门[14],少于Hash函数的至少1700个门电路。协议对标签硬件的需求少,执行效率高。
2)安全性。
为了分析协议的安全性,我们先对对手进行定义。我们假设攻击者可以随时窃听阅读器和标签之间的通信,对信息进行分析或者重放;也可以通过反向工程等物理手段打开标签获取标签内存储的信息,然后利用这些信息进行假冒和哄骗攻击;或者对标签进行跟踪。
窃听攻击 通过分析发现,在阅读器和标签的每轮通信中,除了IDn之外,所有传输的信息都与随机数进行异或操作,且每一轮都采用了一个新的随机数。Shannon理论证明,如果在异或操作中至少有一项是随机的,那么一个简单的异或加密有极好的安全性。同时每次认证成功后,标签内存储的信息都与阅读器同步更新,更新使用随机数和标签内的PUF运算,攻击者无法通过多轮窃听来分析获取任何有用信息。
重放攻击 由于每次认证中都采用了不同的随机数,且标签和阅读器的共享密钥即时更新,攻击者通过重放阅读器的查询或者标签的响应无法对系统构成威胁。
物理攻击 假设攻击者可以通过反向工程或者物理探测等手段获取存储在标签内的IDn,Kn,Gn信息,但是获取的信息不足以对系统构成威胁。因为标签对阅读器的认证是依据第5)步中阅读器发送过来的Gn+1,而阅读器对标签的认证则是通过第7)步中的Gn+2,这两个信息由标签中的PUF实时产生,由于PUF的不可克隆特性,攻击者不可能模仿PUF产生这两个信息,从而假冒标签或者阅读器通过认证。
标签复制 由于标签内PUF的物理不可克隆特性,攻击者不可能复制该标签。
假冒和哄骗攻击 该认证机制中,攻击者不管是从无线信道上,或者通过物理手段获取了标签内部的密钥,也无法假冒阅读器或者标签进行假冒和哄骗攻击。
前向安全性和后向安全性 每次认证之后,标签内IDn和Kn通过和一个随机数异或来更新,而Gn,Gn+1,Gn+2则是通过标签内PUF产生的输出进行更新。在这种更新机制中,即使攻击者知道了某一轮中IDn,Kn,Gn的值,也无法推导出前一轮和后一轮的秘密值。所以,该协议具有前向安全性和后向安全性。
3)隐私性。
保护隐私的一个重要方面要求标签具有不可跟踪性。所谓的不可跟踪性,就是攻击者不能从一个协议通信报文集中区分出两个具有不同密钥的标签。
本协议中,每次认证都由阅读器发送认证请求开始,在它通信范围内的标签接到请求后发送它的IDn作为应答。由于标签的IDn每次成功认证之后都会更新,而且每次更新都是和一个新的随机数异或,即使对手窃听了同一标签多次通信所使用的ID,也无法将这几个ID联系起来,也就是对手无法跟踪该标签。当然,如果标签没有成功认证,也就是IDn没有更新的情况下,跟踪是可能的。但是由于对手跟踪某一标签的目的常常是分析同一标签多次通信中的信息,如果跟踪到的标签每次都没有通过合法阅读器认证,也就是未执行任何操作,这种跟踪也就没有意义。
4 结语
本文设计了一个基于PUF的低成本高效率RFID认证协议,解决了已有的安全认证协议存在的问题,能够抵抗窃听攻击、重放攻击、物理攻击和标签复制,防止跟踪,具有很好的前向安全性和后向安全性。需要指出的是,该协议设计的基础是假定PUF是不可克隆的,也就是攻击者无法建立一个精确的攻击模型来模拟PUF。但根据最新的研究成果,如果攻击者能够获取某个PUF足够多的口令/响应对,就可以利用建模攻击(modeling attacks)构造一个计算算法,以比较高的准确率预测该PUF的口令/响应对[15]。但是在本文设计的认证机制中,攻击者很难获取足够的口令/响应对来建立破解模型,所以该机制能够抵抗这种攻击。另外,本协议可能会受到拒绝服务攻击,也就是在认证中当标签更新存储的信息后,由于受到攻击致使阅读器内的信息没有同步更新,就会造成信息不同步的情况。为了解决这个问题,可以在标签内存储上一次认证时的密钥,必要时采用旧的密钥进行认证。
参考文献:
[1]
JUELS A, WEIS S A. Authenticating pervasive devices with human protocols[C]// CRYPTO 2005: Proceedings of 25th Annual International Cryptology Conference, LNCS 3621. Berlin: SpringerVerlag, 2005:293-308.
[2] SARMA S, WEIS S, ENGELS D. Radio frequency identification: Secure risks and challenges[J]. RSA Laboratories Cryptobytes, 2003,6(1):2-9.
[3] WEIS S A, SARMA S E, RIVEST R L, et al. Security and privacy aspects of lowcost radio frequency identification systems [C]// Proceedings of the 1st International Conference on Security in Pervasive Computing, LNCS 2802. Berlin: SpringerVerlag,2004:201-212.
[4] OHKUBO M, SUZUKI K, KINOSHITA S. Hashchain based forwardsecure privacy protection scheme for lowcost RFID[C]// SCIS 2004: Proceedings of the 2004 Symposium on Cryptography and Information Security.Berlin: SpringerVerlag,2004:719-724.
