为向第三方证明一组RFID标签已被阅读器同时扫描过，针对低性能标签，提出了一个基于ElGamal加密方案的轻量级RFID标签组证明协议。该协议执行时，阅读器首先与主标签进行认证，然后转发主标签的部分输出信息至标签组中的第一个标签，该标签对输入信息进行哈希运算后，再产生输出信息并由阅读器转发至第二个标签。第二个标签再对输入信息进行哈希运算，其输出再被阅读器转发至第三个标签。此过程重复执行，直至标签组中最后一个标签的输出信息被阅读器转发回主标签。最后，阅读器记录所有标签的输出信息并形成标签组证明，该证明可交由第三方验证。所提出的协议需要阅读器执行ElGamal加密算法，主标签执行轻量级对称加密运算
第7期 杨兴春,等:轻量级RFID标签组证明协议 2141 4.2标签组验证 4)抵抗中间人攻击 当标签组证明(u,ts1,c-1,lo,co),("1,1),(n2,2),…, 阅读器与T的交互过程要验证消息中的h,而且阅读器 (x,),(cn1,82)通过离线方式发送给验证者后,验证者用其他标签的父互信息n=12,=(c1,)需要标签标 私钥s进行验证,其过程为 志符的哈希值参与计算得到。囚此,在不知道标志符哈希值的 )检验时间差的有效性和t,c-1,cn的真实可信性。 情况下,提出的标签组证明协议抵抗中间人攻击。 验证2-65是否小于给定的时间差Δt,若是,则说明阅 5)抵抗去同步攻击和拒绝服务攻击 读器已经在规定的很短时间內扫描了标签(产生组证明);然 阅读器与标签没有同步信息,不需夏更新任何同步交量 后计算h6=t0,并在自身数据库中检索ho。如果检索到因此协议抵抗去同步攻击,并能有效抵抗拒绝服务攻击。 (即=h′0),则说明阅读器确实已认证过T,然后验证: 6)抵抗证明伪造 e(c-1,g)=e(b,y1) (1) 如果一个多项式时间攻击者A要伪造有效的标签组证明 ts (u,tS1,c,,c),(n,c1),(v2,c2),…,(vn,Cn),(cn1,ts2)以 是否均成立。若式(1)成立,则证明c1是阅读器用私钥x对通过验证者的验正,那么他必须 h的签名结果,同时也证明了c-1是真实可信的,因为 a)伪造有效的c1=h但是如果没有获得阅读器的私 e(ho, g)=e(ho, g")=e(ho, y 钥x,伪造成功的概率是可忽略的(除非正确猜中私钥x)。 如果式(2)成立,则证明c是真实可信的,因为攻击者在 b)获取T的标志符哈希值h。并计算出co。A可通过计 不知道ho的情况下,不能伪造有效的co。然后验证者继续步 算tna得到hn,然后进一步计算出cn=h(c-‖ho‖ts1);或 骤b)。 者攻破标签T0,从而获得h并计算出co=h(c-1‖ho‖ts1)。 b)验证h1和c1。 但是,如果没有验证者的私钥s,A通过计算v2从而得到h 计算h1="1u和d'1=h(cω‖h)。若检索到h1,再验证的概率是可忽略的。并且,即使攻破该私钥,要先计算出正确 r'1=q是否成立,若成立,则证明1是真实可信的,因为攻击的c-1后,才能计算得到有效的c。但是,如果没有阅读器私 者在不知道h1的情况下不能伪造c1。然后继续c)。 钥,要计算出有效的c-1是困难的。 c)验证h2和c2 c)获取其他标笭的标志符哈希值h,(i=1,2,…),但是A 计算h2=n2/和e2=h(a1|h2),如果检索到h2,再验证必须首先获得验证者私钥S才能计算 从而 是否成立,若成立,则证明c2是真实可信的。 得到正确的h2(i=1,2,…)。 验证者按上述验证规则继续计算后续每个标签的标志符 d)虽然攻击者A可以计算出一个有效的t=t,+t,= 哈希值h,并检索h;和验证c=c;是否成立……验证步骤直2+hg2=(h+h)g2,并构造一个有效的标志符哈希值 至第(n+1)步。 h.+h。但是,于验证者解密v'后,在后台数据库检索不到 (n+1)验证h和Cn。 h1+h,所以伪造的d无法通过验证者的检索。 计算hn=Un/u并检索h。和验证c’,=Cn。若所有验证通 综上,所提出的标签组证明协议抵抗证据伪造攻击。 过,则继续第(n+2)步。 (n+2)验证cn+1=h(ts2| ho c)。 6协议性能分析 如果cn+1=h(ts2‖h。‖c)成立,则证明标签To,T1 所提出的标签组证明协议要使用刭性能稍高的主标签,但 72……,Tn已在规定的很短时间内被阅读器扫描过,即n个标在实际应用中,标签组中的个主标签对应多个普通标签,因 签和主标签是同时存在的。 此,主标签的使用数量少。所以,木章将从标签组中一个普通 标签的计算开销、协议执行次的通信开销和标签存储开销 5协议安全分析 个方面,将所提出的协议与近期其他的标签组证明协 1)标签匿名性 议31作比较分析。 由于该协议的交互消息中,标签T的身份标志符以密文 1)标签计算开销 =hY2和哈希值c;=h(c1-1‖h;)的形式传输,所以,协议对 根据对比文献的协议描述,表2列出了各协议执行一次 标签标志符具有匿名性。 时,一个普通标签所需完成的椭圆曲线标量乘法次数和哈希运 2)抵抗标签/阅读器假冒攻击 算次数。 在标签的标志符哈希值h=h(t)未被泄露的情况下 表2标答汁算廾 攻击者不能假冒T以通过R的验证(除非猜中一个正确的哈 对比办议 椭园曲线标量乘法 哈希运算 希值)。 文献[刁」 文献「8 在其他标签的标志符哈希值h,(i=1,2,…)未被泄露的情 文献[14 0 况下,攻击者不能假冒其他标签以构造有效的;和c;= 文献[15 h(c1-1‖h1),达到通过验证者验证的目的(除非猜中一个正确本文提出的协议 0 的哈希值) 根据文献[16的工作,完成一次椭圆由线标量乘法的计 在阅读器私钥x末泄露的情况下,攻击者不能假冒阅读器算时间约为次哈希运算时间的3300倍。因此,从表2看 以通过To的验证。 出,木文所提出的协议仅需标签执行哈希运算,对标签性能要 3)抵抗消息重放攻击 求很低,协议的执行效率高。 由于:a)在阅读器R与标签T的交互过程中,使用了随机 2)协议通信开销 数α和时戳;b)在阅读器与其他标签的交玍过程中,其标签的 为公平起见,协议通信开销只比较个普通标签收到和发 输入均为上一个标签的输岀消息;e)'发送的消息co=送的数据。偎设选择输出为20Byte的哈希函数,有限域定义 h(ct‖h‖)是整个输入链的始端,而月时戳s1参与了co在F(2),则一个或元系需要20Bste。经分析,比较结果 的计算。因此,协议抵抗消息重放攻击。 如表3所示。该结果表明,本文所提出的协议通信开销最小 2142 计算机应用研究 第35卷 (60Byte),仅为文献[7,14,15中协议通信开销的50%。 Network Computer Applications, 2011, 34(3): 833-845 表3协议通信开销 /Byte [5. Saito J, Sakurai K Grouping proof for RFID tags[ C]//Proc of the 协议来源文献[7]文款[8]文献(14文献15]本文提出的协议 19th International Conference on Advanced Information Ne 标釜收到 and Applications. New York: IEEE Press, 2005: 621-624 标答发吕 [6. Piramuthu S On cxistcncc proofs for multiplc RFID tags[ C]//Proc of 合计 120 120 International Conference on Pervasive Services. New York. IEEE 3)标签存储开销 Press,2006:317-320 标签存储开销仅对协议所描述的在标签上存储的数据{7 Batina l.,ceYk,Seys,tl, vacy-preserving ECC-based grou ping proofs for RFID[ C]// Proc of International Conference on Infor (如标志符和密钥长度等)总和进行比较,同吋假定系统运行 I:alion Securily. Berlin: Springer, 2010: 159-16.5 时标鳘所需的其他存储开销(如代码存储区等)都相同。表4[8- Lin Qiping, hang Fangguo. ECC-based grouping-proof RFID for inpa 列出了各协议的标签存储廾销分析结果。 tient medication safety J]. Journal of Medical Systems, 2012, 36 表4标签存储开 /Byte (6):3527-3531 协议來源文献7文献[8]文献「14]文献[15]本文提出的协议 9 Koblitz N. Elliptic curve cryptosystems[ J]. Mathematics of Compu 存储开销 tation,1987,48(177):203-209 从表4看出,本文所提出的标签组证明协议的标签存储开01 Miller V S. Use of elliptic curves in cryptography[ c/ Proc of con 销均小于所对比协议的标签存储开销。 ference on the Thcory and Application of Cryptographic Techniques 综合上述三方面的比较结果,所提出的协议在标签计算川 Berlin: Springer, 1985: 417-426 销、协议通信开销和标签冇储开销方面,均优于对比协议。 11 Boneh D, Franklin M. Identity-based encryption from the Weil pairin [J]. SIAM Journal on Computing, 2001, 32 (3): 213-229 7结束语 [12 FlGamal T. A publie key eryplosyslern and a signal ure sc heme: based on diserete logarithms [J. IEEE Trans on Information Theory 本文提出了一个轻量级标签组证明协议,该协议仪需标签 1985,31(4):469-472 支持哈希运算。经分析,该协议满足标签匿名性,抵抗标签/阅[13 Merkle r. One way hash functions and DES[ C]//Proc of the Confe 读器假冒以及消息重放攻击,抵抗中间人攻击、去同步攻击及 ce on Advances in Cryptology. Berlin Springer, 1990: 428-446 拒绝服务攻击,抵抗标签组证明伪造。为适应低性能标签和提1410WT, Chiou s y,LuEH,tal. An improvement of privacy preser- 高协议执行效率,本协议中标签对阅读器的响应消息v;(i=1 ving ECC-bascd grouping proof for RFID[ C|//Proc of Conference on Cross Strait Quad-Rcgional Radio Sciencc and Wireless Tcchnology 2,…)是不变的,因此协议不具有标签隐私保护,适合于对标 New York IEEE Press 2011: 1062-1064. 签隐私要求不高的应用,如设备零配件识别、仓库物资管理等。[15KoWT, Chiou s y,LEⅡ,etot. Modifying the ECC-based grou 但是,该协议可以配合具有标签信息更新功能的认证协议使 ping-porm of RFID syslem In inerease irpalienl mlerlicalion salely[J] 用,以达到标签隐私保护的目的。比如每次执行完标签组证明 Journal of Medical Systems, 2014, 38(9): 1-12 协议后,再对所有标签执行一次认证协议,以更新标签中的n1,[16] Chatterjee S, Das A K, SingK. An enhanced access control schem 从而避免再次执行标签组证明协议时,标签发出相同的响应消 in wireless sensor networks[ J. Ad hoc &Sensor Wireless Net 息。另外,经分析,所提出的协议在标签计算开销、协议通信开 works,2014,21(1):121-149 销和标签存储开销方面,优于所对比的其他标签组证明协议。[17] Yuan bianqing, Liu Jiqiang. A universally composable secure grou ping proof protocol for RFID tags[ J]. Concurrency Computation 参考文献 Practice Experience, 2016, 28(6): 1872-1883 [1] Juels A "Yoking-proofs"for RFID tags[ c]//Proc of the 2nd IEEE 18] Canetti R Universally composable security: a new paradigm for crypto Annual Conference on Pervasive Computing and Communications graphic protocols[ C]// Proc of the 42nd IEEE Symposium on Foun- Workshops. New York: IEEE Press, 2004: 138-14 dations of Computer Science. New York IEEE Press, 2001: 136-145 [2] Huang H H, Ku Chengyuan. A RFid grouping proof protocol for medi- [19 Safkhani M, Bagheri N, Ilosseinzadeh M, et al. On the security of an cation safety of inpatient[J] Journal of Medical Systems, 2009, 33 RFID-Iased parking lol managemenl syslem[J/OL. -(2017-03-24) (6):467-4 2017-06-11.http://onlinelibrary.wileycom/doi/10.1002/dac [3 Chicn H Y, Yang CC, Wu C, et al. Two RFID-bascd solutions to 3313/ful enhance inpatient medication safety [J] Journal of Medical Sys 20 Ham H, Kim I, Song J. An efficient offline grouping proof protocol tems,2011,35(3):369-375. using multiple types of tags[ c]//Proc of the 9th International Confe [4 Peris-Lopez P, Orfila A, Ilemandez-Castro J C, et al. Flaws on RFID rence on Ubiquitous Information Management and Communication yroupiny-prools guidelines for fulure sound prolocols[ J]. Joumal of New York. ACM Press. 2015: 94-101 (上接第2138页) s Letters,2009,26(12):120307 [8 Hillery M, Buzek V, Berthiaume A. Quanl um secre sharing[ J]. [13] Lo H K, Curly M, Tamaki K Secure quantum key dislribulin[J Physical Review A,1999,59(3):1829-183 Nature Photonics, 2014. 8(8): 595-604 [9] Abulkasim H, Hamad S, Bahnasy K E, et aL. Authenticated quantum [14 Kogias L, Xiang Yu, He Qiongyi, et al. Unconditional security of er secret sharing with quantum dialogue based on Bell states. J]. Physi tanglement based quantum secret sharing schemes[ J/OL]. Physical ca Scripta,2016,91(8):085101 Review A, 2017, 95(1). helps: //journals. aps. ory/pra/absl racI [10]张建中,张文昊.两个基于四粒子纠缠态的量子秘密共享方案 10.1103/ Phys reva.95.012315 J.计算机应用研究,2016,33(1):225-228. 「15]龙银香,龙冬阳,邱道文.和用最大真纠缠六方态共亨经典秘密信 [l1]刘斌,量子密码协议中信息编码方式研究及应用[D].北京:北京 息[冂].计算机科学与探索,2012,6(5):465-472 邮电大学,2015 [16 Lau H K, Weedbrouk C Quanlunll secret sharing with conlinluous-via-liab 12] Lin Song, Wen Qiaoyan, Liu Xiaofen. Cryptanalysis and luster states[I]. Physical Review A, 2013, 88(4): 1985-1988 of quantum secret sharing protocol between multiparty and multiparty「17李文骞,刘志灵,基于CH态的无酉操作多方量子秘密共亭方案 with single photons and unitary transformations [ J]. Chinese Phy J].计算机应用研究,2016,33(2):491-494