• 平台首页 |
  • 手机版 |
  • 二维码 |

基于物理不可克隆函数的高性能RFID网络隐私保护算法

来源:互联网

0简介

由于人们无法察觉非法阅读射频信号,RFID技术具有独特的安全和隐私问题。 RFID标签和阅读器之间有七种主要类型的攻击:伪造标签攻击,伪读卡器攻击,跟踪标签攻击,窃听攻击,中间件攻击,重放攻击和去同步攻击。其中,虚假的读写攻击,跟踪标签攻击,窃听攻击和中间件攻击破坏了标签的隐私。因此,为了确保RFID系统的隐私性,有必要满足机密性,非跟踪性,前向安全性和验证读取器的四个隐私保护要求[1]。一些研究使用树结构来存储秘密密钥以降低搜索复杂度(O(n) - > O(logn)),并且这样的方案易受损害攻击,因此基于树的协议具有较低的隐私级别。 。

文献[2]基于物理实体的固有物理结构来唯一识别单个物理实体的思想,实现有效认证,提出PUF(物理不可克服功能),PUF具有鲁棒性,非克隆性和不可预测性的特征,目前广泛用于RFID系统的认证领域。文献[3,4]使用PUF(物理不可克隆功能)来提高RFID的安全性。然而,这种算法是狭隘破坏性的隐私[5],并且搜索复杂度至少为O(logN)。

本文提出了一种基于PUF的RFID认证协议。该协议的最大优点是它不需要搜索数据库(识别标签)。其搜索复杂度仅为O(1),因此该协议可应用于大规模RFID网络。该协议不需要标签和阅读器侧的额外计算和通信开销,并且该算法可抵抗侧信道攻击。

1背景知识简介

假设标签是T,其ID是唯一的,读取器是R.RFID系统由许多读取器R,发送器和后端数据库组成。发件人和数据库之间有一个通道。

1.1系统模型

RFID功能可以表示为以下功能形式:

(1)SetupReader(1S)→(KS,KP):生成公共参数KP,隐私参数KS和读者安全参数s,并生成数据库(保存标签的ID)。

(2)

生成标记(唯一ID),密钥K和内存状态S.如果标记有效,则ID和K保存在数据库中。

(3)IdentTag→out:该函数表示标签T和阅读器R之间的交互。如果阅读器最终识别标签,则输出标签的ID,否则“?”是输出。

1.2攻击模型

假设攻击者A具有以下属性:首先,攻击者C执行SetupReader(1S)程序,生成1S,KS和KP参数,并将1S,KP传递给A;然后A使用CreateTagb(ID)生成标签,此模型标签按攻击者的读取范围分类:如果分类在读取范围内,则为危险标签(DanTag),否则为安全标签(SecTag)。

为攻击者定义以下10种行为或攻击功能:

(1)CreateTagb(ID):创建一个SecTag并为其分配一个ID。此函数使用create标记,如果标记合法(b=1),则将其添加到数据库中。

(2)DanTag(distr,n)→(vtag0,b0,...,vtagn-1,bn-1):从SecTag标签集中随机选择n个标签,并将标签状态从SecTag更改为Dantag。为所选标签分配新ID并输出虚拟标签(vtag0,...,vtagn-1)或“?”如果标签已经是Dantag或不再存在。

(3)Free(vtag):将标签状态从DanTag更改为SecTag。

(4)启动()→π:触发阅读器启动新的协议循环,并输出循环协议的IDπ(为每轮协议设置一个ID)。

(5)SendReader(m,π)→m':向阅读器R发送消息m(在协议循环π中),阅读器的回复消息为m'。

(6)SendTag(m,vtag)→m':向虚拟ID为vtag的标签发送消息m。读者的回复信息是m'。

(7)执行(vtag)→(π,transcript):在标签(标签虚拟ID是vtag)和阅读器之间执行完整的协议。该协议从Lauch()开始,然后是SendReader和SendTag,它输出协议周期π的成功消息列表。

(8)结果(π)→x:如果读者成功识别出有效标签,则返回1;否则返回0.

(9)时间(π)→δ:返回阅读器的总计算时间δ。

(10)Corrupt(vtag)→S:获取标签的当前状态S(虚拟ID为vtag)。

1.3隐私分类

攻击者分为强大,破坏性,前进和弱势攻击者。此外,与这四种类型的攻击者正交的是宽攻击者和窄攻击者的概念。广泛的攻击者可以通过阅读器访问身份验证结果,但是狭窄的攻击不能。图1描绘了六种攻击概念之间的关系[5]。

1.4安全级别

定义1正确性:如果在IdentTag程序之后R返回标签ID的成功率非常高,则认为该协议是正确的。

定义2强正确性:如果在R与合法标签T交互后返回标签ID的成功率非常高,则认为其符合强正确性。

定义3稳定性[5]:如果合法标签T的假冒攻击成功率极低,则认为是稳定的。

1.5隐私

定义4个盲目攻击:假设B表示模拟Lauch(),SendReader(m,π),SendTag(m,vtag)和Result(π)4程序(攻击者A)的串行组合的算法,我不知道知道任何秘密信息。盲人攻击者(AB)不使用Lauch(),SendReader(m,π),SendTag(m,vtag)和Result(π)程序。如果B存在,则攻击者A具有最小威胁,即| Pr [Awins] -Pr [ABwins] |可以忽略不计。

2本文采用大规模RFID网络安全协议

定义5 Hash函数:假设l∈N是一个安全参数,γ,K∈N是l中的项,那么散列函数H可以定义为{0,1}γ→{0,1} K,以下条件:

(1)对于给定的输出yi,不能向后计算满足H(xi)=yi的xi。

(2)计算满足条件xi≠xj&&的参数组合(xi,xj)是极其困难的。 H(XI)=H(XJ)。

定义6物理不可克隆函数(PUF)[6]:假设l∈N是安全参数,γ,K∈N是l的项。理想的PUF(设置为P)定义为{0,1}γ→{0,1} K,具有以下条件:

(1)对于参数对(ci,cj)∈{0,1}γ,P(ci)=ri,P(cj)=rj。如果ci=cj,则概率Pr [ri=rj]=1。

(2)攻击者无法在有限次数内计算出P的输出。

表1显示了预设参数及其含义。

本文分为两个主要阶段:初始化和验证。图2显示了RFID隐私保护协议的主要流程。

2.1初始化阶段

为数据库随机生成秘密密钥S,并为每个标签生成两个随机且唯一的密钥a和b。然后,对于每个标签,计算其秘密密钥c=SP(a)P(b),其中P(·)是每个标签的嵌入PUF。数据库保存每个标签的基本信息{ID,a,b,DATA}。

2.2验证阶段

(1)每个读取器生成随机数r1∈{0,1} l并广播随机数。

(2)标签Ti生成随机数r2∈{0,1} l,并计算M1←H(r1,r2,ai),M2←H(r1,r2,ai)IDi,h←H(r2, 1,2)。然后,Pi(ai)与r2进行异或运算以计算消息k。使用kPi(bi)ci而不是消息k从内存中删除Pi(bi)。标签将M1,M2,k发送给阅读器。 (3)读者生成随机数r3∈{0,1} l。计算读取器通过计算验证M1以实现标签Ti的验证。如果标签Ti被成功验证,则读取器计算然后将r3和M3发送回标签Ti。

(4)标签Ti通过计算H(h,r3,bi)来验证M3。如果验证成功,则Ti会成功验证读者。

3本文中协议的性能分析

3.1安全分析

本文中的协议在理论上对伪造攻击具有抵抗力。以下将说明此方法可以安全地防止欺骗攻击。由于本文中的协议是无状态协议,并且标签不需要与数据库同步,因此去同步攻击对此协议也无效。

引理1:假设A是破坏性攻击者。 A的特点是在不执行Corrupt程序的情况下获得共享密钥的成功率极低。

证明:假设有攻击者A可以学习共享密钥(不执行Corrupt程序)。每个标签响应读者的查询语句(M1,M2,k),其中k=Sr2,r2是标签产生的随机值。为了获得共享密钥S,A需要知道随机数r2。但是,r2不与密文一起发送,A必须从消息M1,M2和M3解密r2。此外,标签IDIDi以密文形式H(r2,r1,1)IDi被发送到读取器,并且A在不知道随机值的情况下不能解密IDi。

3.2计算效率和隐私实验与分析

在这里,我们分析标签端和数据库端的性能。在此协议中,标记需要完成4个散列操作,两个PUF操作和4个XOR操作。数据库端需要完成标签验证程序。此验证需要3个散列操作和两个XOR操作及其复杂性。是O(1)。该协议不需要标签端和数据库端的密钥更新机制。

表2示出了所提出的方法与其他RFID隐私保护算法的计算效率和隐私的比较。成本1:共有2128个RFID网络标签;成本2:共216个带标签的RFID网络;成本3:全N标签RFID网络; nonce:生成随机数运算; hash:hash操作; PUF:PUF操作。可以看出,该方法具有最高级别的隐私,并且其在数据库方面的计算复杂度低。

4结论

PUF是健壮的,非克隆的和不可预测的。本文提出了一种基于PUF的RFID验证协议。该协议的最大优点是它不需要搜索数据库(识别标签),其搜索复杂度仅为O(1)。因此,该协议可以应用于大规模RFID网络。与其他RFID隐私保护算法的比较表明,该方法具有最高的隐私级别,并且其在数据库方面的计算复杂度较低。

1
免责声明
• 
当前页仅为信息展示,该页所展示的批发价格、报价等相关信息均有企业自行提供,真实性、准确性、合法性由店铺所有企业负责,如若文中涉及有违公德、触犯法律的内容,一经发现,立即删除。