低成本無源RFID安全關(guān)鍵技術(shù)研究.pdf

1、作為物聯(lián)網(wǎng)(Internet of Things，IoT)的底層感知技術(shù)，射頻識別(RFID)是普適計(jì)算領(lǐng)域最重要的技術(shù)之一。RFID最初是作為條形碼技術(shù)的替代而引入的。盡管RFID比其他的識別技術(shù)具有很強(qiáng)的優(yōu)勢，但是與之相關(guān)的安全隱私問題也非常不容易解決，甚至已經(jīng)成為了阻礙RFID技術(shù)普及應(yīng)用的主要原因。
　　 隨著物聯(lián)網(wǎng)的發(fā)展，RFID技術(shù)也已經(jīng)滲入到了人們生活的各個(gè)方面，一些應(yīng)用甚至涉及到了使用者的敏感信息，如人體植入、電

2、子護(hù)照等。因此，RFID技術(shù)的安全問題已不再是單純的數(shù)據(jù)安全，還涉及到了使用者的隱私權(quán)問題。RFID技術(shù)的安全隱私問題將成為該技術(shù)普及應(yīng)用的重要阻礙。
　　 根據(jù)能量獲取方式，標(biāo)簽可以分為無源、有源和半有源標(biāo)簽，根據(jù)價(jià)格，又可以分為低成本標(biāo)簽和高成本標(biāo)簽。標(biāo)準(zhǔn)的密碼學(xué)解決方案在安全性方面有較好的保障，但是在電路規(guī)模、能量消耗、內(nèi)存容量等方面都有較高的要求。無源低成本標(biāo)簽由于受到價(jià)格和能量的限制，只能采用輕量級的密碼技術(shù)，其安全隱

3、私問題極難解決。
　　 本論文對低成本無源標(biāo)簽的安全隱私問題進(jìn)行了廣泛深入地研究，并重點(diǎn)解決基于EPC1類2代（EPC Class1 Generation2，簡稱EPC C1G2）的供應(yīng)鏈系統(tǒng)安全隱私問題。
　　 論文首先在查閱了大量國內(nèi)外有關(guān)技術(shù)文獻(xiàn)的基礎(chǔ)上，對低成本RFID安全隱私問題的解決方法進(jìn)行了研究，確定以基于哈希函數(shù)和偽隨機(jī)數(shù)發(fā)生器(PseudoRandom Number Generator，PRNG)的輕量

4、級解決方案為研究重點(diǎn)，并對低復(fù)雜性哈希函數(shù)、偽隨機(jī)數(shù)發(fā)生器和輕量級RFID認(rèn)證協(xié)議的研究現(xiàn)狀進(jìn)行了綜述。然后對RFID的安全隱私問題及分類情況進(jìn)行了介紹，確定安全隱私目標(biāo)，并概述了EPC1類2代標(biāo)準(zhǔn)和其安全問題。自第三章開始，論文從電路設(shè)計(jì)、安全隱私協(xié)議設(shè)計(jì)和模型構(gòu)造三個(gè)方面對基于低復(fù)雜性哈希函數(shù)和偽隨機(jī)數(shù)發(fā)生器的安全隱私技術(shù)進(jìn)行了深入的研究，并提出自己的解決方案。
　　 本文首先提出了一種基于并行線性反饋移位寄存器(Linea

5、r Feedback ShiftRegister, LFSR)的輕量級通用哈希函數(shù)HMISR;然后以HMISR為基礎(chǔ)，采用循環(huán)迭代方式構(gòu)造了輕量級偽隨機(jī)數(shù)發(fā)生器M-PRNG;并設(shè)計(jì)了基于通用哈希函數(shù)和偽隨機(jī)數(shù)發(fā)生器的所有權(quán)轉(zhuǎn)移隱私雙向認(rèn)證協(xié)議πOTP，在標(biāo)準(zhǔn)模型下證明了πOTP的安全性;最后構(gòu)建了所有權(quán)轉(zhuǎn)移隱私的UC模型，并證明了πOTP的UC安全性。
　　 本文所做創(chuàng)新性工作主要包含以下五個(gè)方面。
　　 (1)提出了一

6、種適用于低成本無源RFID標(biāo)簽的低復(fù)雜性通用哈希函數(shù)HM-hash。哈希函數(shù)在認(rèn)證協(xié)議中是非常重要的，許多輕量級RFID認(rèn)證協(xié)議也采用哈希函數(shù)在認(rèn)證過程中對標(biāo)簽的身份標(biāo)識進(jìn)行保護(hù)。但是針對低成本無源RFID標(biāo)簽的哈希函數(shù)硬件實(shí)現(xiàn)方法的研究卻很少，僅有基于LFSR的Toeplitz哈希和循環(huán)冗余碼(Cyclic Redundancy Code，CRC)哈希被提出來。HM-hash以并行線性反饋移位寄存器作為基本電路，采用并行壓縮方式計(jì)算哈

7、希值，利用壓縮過程的信息損失而帶來的單向性提供哈希函數(shù)的安全性。經(jīng)過嚴(yán)格的理論證明，HM-hash具有最佳的平衡度，即平衡度為1，是一個(gè)規(guī)則哈希函數(shù)，且為強(qiáng)通用哈希函數(shù)族，可以保證其具有很高的安全性。在硬件實(shí)現(xiàn)上，HM-hash以LFSR為核心電路，結(jié)構(gòu)簡單，復(fù)雜性低，與基于LFSR的Toeplitz哈希相比，具有安全性高和硬件消耗低的優(yōu)點(diǎn)（詳見3.3和3.4節(jié)）。
　　 (2)提出了一種適用于低成本無源RFID標(biāo)簽的低復(fù)雜性偽

8、隨機(jī)數(shù)發(fā)生器M-PRMG。為了提供標(biāo)簽認(rèn)證過程中的隨機(jī)性，RFID認(rèn)證協(xié)議通常在標(biāo)簽中設(shè)置一個(gè)偽隨機(jī)數(shù)發(fā)生器。此外在EPC C1G2標(biāo)簽中，偽隨機(jī)數(shù)還用來幫助標(biāo)簽的防碰撞識別。目前針對適用于RFID標(biāo)簽的偽隨機(jī)數(shù)發(fā)生器的研究大多是LFSR結(jié)合真隨機(jī)數(shù)的方式，但是這種發(fā)生器的缺點(diǎn)是功耗過高，且效率低。另外一種適用于EPC C1G2的偽隨機(jī)數(shù)發(fā)生器LAMED基于簡單的異或等邏輯運(yùn)算，安全性較差。本文以HM-hash為基礎(chǔ)，提出一種基于單向函

9、數(shù)迭代的偽隨機(jī)數(shù)發(fā)生器M-PRMG。此類發(fā)生器的主要代表有BMY和GKL發(fā)生器。BMY發(fā)生器的主要優(yōu)點(diǎn)是結(jié)構(gòu)簡單，效率高，種子長度與單向函數(shù)的輸入可以保持線性關(guān)系，缺點(diǎn)是對單向函數(shù)有嚴(yán)格的限制，必須為單向置換。而GKL發(fā)生器通過在迭代過程中引入隨機(jī)性因素，放松了對單向函數(shù)的要求，僅要求是規(guī)范單向函數(shù)，但是要求所采用的單向函數(shù)和通用哈希函數(shù)均為長度保持函數(shù)，其本質(zhì)還是單向置換。本文結(jié)合了BMY和GKL兩種發(fā)生器的優(yōu)點(diǎn)，同時(shí)對GKL發(fā)生器的

10、隨機(jī)化迭代方式進(jìn)行了擴(kuò)展，采用規(guī)范單向函數(shù)和通用哈希函數(shù)為基礎(chǔ)，提出了適用于LFSR標(biāo)簽的偽隨機(jī)數(shù)發(fā)生器M-PRNG。M-PRNG的基本結(jié)構(gòu)與BMY發(fā)生器類似，種子長度與單向函數(shù)的輸入為線性關(guān)系，但是降低了BMY結(jié)構(gòu)中的單向置換要求，采用規(guī)范單向函數(shù)，實(shí)現(xiàn)效率更高。在硬件實(shí)現(xiàn)上，M-PRNG的單向函數(shù)、通用哈希函數(shù)和核心斷言函數(shù)均基于LFSR進(jìn)行設(shè)計(jì)，硬件消耗比其他低復(fù)雜性偽隨機(jī)數(shù)發(fā)生器都要低，如Grain、LAMED。經(jīng)過證明，M-P

11、RNG所產(chǎn)生的隨機(jī)序列與真隨機(jī)序列是不可區(qū)分的，從理論上證明了M-PRNG的安全性;對所產(chǎn)生的偽隨機(jī)序列進(jìn)行統(tǒng)計(jì)分析的結(jié)果表明，其隨機(jī)性通過了NIST測試，并完全滿足EPC C1G2對偽隨機(jī)數(shù)的要求（詳見4.3節(jié)）。
　　 (3)建立了所有權(quán)轉(zhuǎn)移隱私的標(biāo)準(zhǔn)模型和通用可組合(UniversallyComposable，UC)模型。安全隱私協(xié)議的設(shè)計(jì)需要基于特定的模型，包括敵手能力、安全隱私目標(biāo)和系統(tǒng)設(shè)置，且協(xié)議的安全隱私屬性也需要

12、借助特定的模型進(jìn)行驗(yàn)證。目前的安全隱私標(biāo)準(zhǔn)模型大多以前向隱私作為最高隱私性，關(guān)于所有權(quán)轉(zhuǎn)移隱私標(biāo)準(zhǔn)模型的研究很少。本文對最常用的Vaudenay模型進(jìn)行了擴(kuò)展，增加了前向不可追蹤性，建立了所有權(quán)轉(zhuǎn)移安全隱私模型。根據(jù)基于RFID的供應(yīng)鏈系統(tǒng)的安全隱私要求，對安全性、隱私性和正確性三個(gè)安全隱私需求進(jìn)行了定義（詳見5.2節(jié)），并在該模型下驗(yàn)證了協(xié)議πOTP的安全隱私性（詳見5.5節(jié)）。UC模型是一種驗(yàn)證安全協(xié)議的特殊方式，當(dāng)被證明為UC安全

13、的協(xié)議作為復(fù)雜系統(tǒng)的組成部分時(shí)，該系統(tǒng)的安全性不用經(jīng)過重新證明。RFID一般是作為復(fù)雜網(wǎng)絡(luò)的組成部分，因此為了保證以RFID作為組成部分的系統(tǒng)安全性，論文對πOTP的UC安全性進(jìn)行了驗(yàn)證。本文在前向隱私UC模型的基礎(chǔ)上，重新設(shè)計(jì)了所有權(quán)轉(zhuǎn)移隱私理想函數(shù)FOTP，首次建立了所有權(quán)轉(zhuǎn)移UC模型（詳見5.6.2節(jié)）。并構(gòu)建了將真實(shí)協(xié)議轉(zhuǎn)換到理想過程的模擬器，用逐次逼近法驗(yàn)證了協(xié)議πOTP的UC安全性，保證了當(dāng)RFID系統(tǒng)作為物聯(lián)網(wǎng)組成部分時(shí)的

14、系統(tǒng)安全性。
　　 (4)提出了一種所有權(quán)轉(zhuǎn)移隱私雙向認(rèn)證協(xié)議πOTP。所有權(quán)轉(zhuǎn)移隱私是供應(yīng)鏈領(lǐng)域特有的隱私保護(hù)問題，要求協(xié)議具有前向不可追蹤性和后向不可追蹤性。目前對所有權(quán)轉(zhuǎn)移隱私協(xié)議的研究缺大多都需要借助可信第三方或單獨(dú)的所有權(quán)轉(zhuǎn)移環(huán)境，不能實(shí)現(xiàn)真正的所有權(quán)轉(zhuǎn)移隱私性。由于所有權(quán)轉(zhuǎn)移隱私性包含了前向隱私性，本文對OSK前向隱私協(xié)議進(jìn)行了改進(jìn)，使其可以抗擊DoS攻擊，同時(shí)又具有前向不可追蹤性和雙向認(rèn)證性，設(shè)計(jì)實(shí)現(xiàn)了所有權(quán)轉(zhuǎn)移隱

15、私雙向認(rèn)證協(xié)議πOTP。為了實(shí)現(xiàn)匿名性，πOTP協(xié)議設(shè)有一個(gè)私有密鑰，在每次應(yīng)答時(shí)由偽隨機(jī)數(shù)發(fā)生器進(jìn)行更新，以保證標(biāo)簽的位置隱私性和不可跟蹤性。為了實(shí)現(xiàn)雙向認(rèn)證性、正確性和隱私性，πOTP協(xié)議設(shè)有一個(gè)公有密鑰，由安全的通用哈希函數(shù)產(chǎn)生，同時(shí)保持在標(biāo)簽和后端數(shù)據(jù)庫中，每次成功認(rèn)證后進(jìn)行更新。πOTP以通用哈希函數(shù)、偽隨機(jī)發(fā)生器作為密碼技術(shù)，利用通用哈希函數(shù)的抗碰撞性和偽隨機(jī)數(shù)與真隨機(jī)數(shù)的不可區(qū)分性保證協(xié)議的安全隱私屬性，是一種適用于低成本