低成本RFID安全协议研究

张金鸿 邱进云

摘 要：在研究了T密码的基础上，对比现有的RFID安全协议，提出一种低成本的RFID协议，并对该协议的成本及安全性进行分析。

关键词：Trivim；RFID安全协议；低成本

1 引言

无线射频识别（Radio Frequency Identificatio，RFID）是一種非接触式的自动识别技术，它通过射频信号自动识别目标对象并获取相关数据。目前，随着RFID技术应用的广泛，RFID的安全性也越来越重要。本文根据RFID技术的特点（标签成本），提出一种基于Trivium的低成本RFID安全协议。

2 Trivim简介

Trivim算法是由Canniere和Preneel提出的面向硬件的同步流密码，是典型的非线性反馈同步序列密码，其安全性和加密性能被广泛认可。其内部状态为288bit，由三个非线性反馈移位寄存器（NFSR）组成，运行时，将秘钥和初始向量IV分别载入第一和第二个NFSR，然后经过若干拍后产生密钥流。

Trivium算法在RFID安全协议的应用优势在于：硬件加密算法，安全强度高，经受了攻击测试和学术分析；满足低成本标签的要求，在3000门条件下可实现，软件设计简单；其输出具备良好的雪崩性，同时可用作散列函数和随机数机制；其可以通过参数设置控制输出长度，能满足不同的安全等级和成本需求。

3 低成本RFID协议研究及实现

根据Trivium密码的安全特性，本文研究并设计了一个以保护标签隐私性为主要目标，以降低标签计算、通信和存储为主要目的的双向认证协议。

本文中，ID表示电子标签，ID_R为标签假名，KEY表示标签密钥；E（X1，X2）代表加密；F（X）为分割函数；电子标签具有加密、分割及模二加和写操作功能，阅读器具有加密、分割、模二加及写操作和其他功能（查找、存储、计算等）。

3.1 协议设计

协议描述：

阅读器对标签认证：首先由阅读器产生随机数R并将R发送给电子标签ID_R，，同时通过加密函数产生中间值N（N=E（R，Key）），并通过分割函数M将N分为四部分记为（N1，N2，N3，N4）；电子标签通过加密函数及初始秘钥产生中间值M，并将M分割为四部分，记为（M1，M2，M3，M4），然后将M1及ID_R发送给阅读器；阅读器通过标签ID_R查找到对应的ID，同时比较N1和M1，若两者相等则完成阅读器对标签的认证，若不等，则认证失败。

标签对阅读器认证：

在阅读器对标签认证完成的基础上，阅读器将N2及N3⊕N4的结果发送给电子标签，电子标签计算M3⊕M4，若相等则完成认证，不相等认证失败。

同步机制：

本文中同步机制分为两种，一种通过备用标签ID_B，一种通过备用Key_B来完成。

标签更新机制：

阅读器标签更新为电子标签，即：ID=ID_T；电子标签更新为ID_T=M2⊕M3。

3.2 协议计算成本

随机数机制：阅读器一次，电子标签零次。

加密运算：阅读器一次，电子标签一次。

通信成本：阅读器、电子标签共计5次。

查询次数：N<=K（K为查询上限）。

信息量：设ID m，通信中信息传输量为5m。

服务器负载：同步情况下查找标签ID的复杂度为O（1）、不同步情况下查找复杂度为O（1）、O（n×O（E）/2）。服务器负载可通过临界点控制。

与其他协议对比结果见表1。

3.3 安全性分析

假设攻击者可截获认证过程的所有通信数据，则攻击者可获取的信息包括：随机数R，ID_T，M1，N3⊕N4。阅读器产生随机数R、加密函数产生中间值N，M均可视为随机数故N3⊕N4也可视为也可视为随机数。

不可追踪性：

在标签更新同步的情况下，ID_T更新为M2⊕M3，因M可视为随机数，故ID_T不可更新；标签更新同步失败时，ID_T不变，但下一次更新成功后将无法追踪。

前向安全性：

在通信过程中，通信只与随机数R及中间值M和N有关，与之前通信无关，攻击者无法通过这次通信获取有用信息，故具备前向安全性。

假冒攻击：

通信过程中，输入输出均可视为随机数且每次各不相同，故无法假冒，该协议可抵抗假冒攻击。

重传攻击：

在所有通信过程中，只有ID可视为明文，其余部分可视为随机数，重传攻击无法进行。

双向认证性：

该协议中，阅读器可以对电子标签进行认证，电子标签也可以对阅读器认证，故具有双向认证性。

综上，该协议相比于其他协议，在较低的成本条件下，具有较高的安全性。

4 结论

本文基于Trivium密码特性，设计了一个低成本RFID协议。分析表明，本协议以一个较低的成本实现了一个RFID安全协议。随着RFID应用的普及，其成本及安全性受到广泛关注，本文在具有一定的研究及应用价值。