朱 峰，白恩健,2

(1.东华大学 信息科学与技术学院，上海201620；2．数字化纺织服装技术教育部工程研究中心，上海201620)

新的轻量级RFID 双向认证协议:PUF-LMAP+

朱 峰1，白恩健1,2

(1.东华大学 信息科学与技术学院，上海201620；2．数字化纺织服装技术教育部工程研究中心，上海201620)

随着射频识别(RFID)技术越来越广泛的应用，其安全与隐私问题成为制约RFID技术的主要原因之一。为了降低标签的成本，有一些基于位操作的超轻量级安全认证协议被提出，但仅仅利用位操作的超轻量级安全认证协议安全性不能很好保证。本文针对改进的LMAP+安全认证协议不能够抵抗跟踪攻击和完全泄露攻击的问题，融合物理不可克隆函数(PUF)提出新的轻量级算法，新算法能够抵抗追踪攻击、完全泄露攻击和标签克隆攻击等攻击方法。

RFID；轻量级；改进的LMAP+；物理不可克隆函数

[3]提出了超轻量级双向认证协议族(Ultra-lightweight Mutual Authentication Protocol,UMAP),包括最低要求双向认证协议(Minimalist Mutual-Authentication Protocol，M2AP)、高效双向认证协议(EfficientMutual Authentication Protocol，EMAP)和轻量型相互认证协议(Lightweight Mutual Authentication Protocol，LMAP)。这个协议族只需要简单的位操作就可以完成认证协议，但这些协议无法抵抗去同步破坏攻击和跟踪攻击。文献[2]提出了轻量级强认证强完整性协议(Strong Authentication and Strong Integrity，SASI协议)，该协议拥有更强的完整性保障，但也不能抵抗拒绝服务攻击和去同步攻击[4]。针对SASI协议的缺点，文献[5]提到了Gossamer协议，同时也指出该协议也存在拒绝服务攻击和去同步攻击。

针对LMAP不能抵抗的攻击，不断有学者对LMAP协议进行改进，但同时也陆续有学者指出改进的协议中仍存在缺陷。在2012年，Gurubani[6]等人在较完善的LMAP+协议的基础上进行了改进，提出了新的协议，该协议仅使用按位加、按位异或等简单的位运算，改进后的协议能够抵抗跟踪攻击和去同步攻击。2014年王超[7]等人针对改进的LMAP+协议提出跟踪攻击(在该文献中用的是追踪攻击)以及由跟踪攻击发展而来的完全泄露攻击。

本文针对文献[7]提出的攻击，对改进的LMAP+协议进行进一步的改进，在原有的协议中融入物理不可克隆函数(Physical Unclonable Function，PUF)后提出新协议并对新协议进行安全性分析。结果表明新协议能够抵抗追踪攻击、完全泄露攻击和标签克隆攻击等其他攻击方法。

1 改进的LMAP+和PUF

1.1 改进的LMAP+

2012年，Gurubani[6]等人分析了所提出的跟踪攻击和去同步攻击后，在原有的LMAP+协议上添加了一项密钥信息K3，并且在整个认证过程中没有涉及到标签的ID，对在阅读器和标签之间相互认证的传输数据表达式和最后的更新表达式都进行了改进。在改进的LMAP+中仅使用了位加、位异或等位操作，而且假设阅读器与后台数据库之间传输信息是安全的。

2014年，王超[7]等人提出针对改进LMAP+协议的基于模拟退火算法的攻击策略，并对该协议进行安全性分析，通过自定义评价函数，以启发式算法的思想，使猜测数据逐渐逼近真实秘密数据，从而完成跟踪攻击和在跟踪攻击上衍生出来的完全泄漏攻击。

1.2 PUF

为了提高RFID系统的安全性，大部分安全认证协议都采用加密算法或哈希函数来实现。但是这些协议需要一定的硬件成本才能实现加密运算过程。即使对于简化之后的哈希运算而言，加密运算过程也至少需要1 700个等效门[8]。因此尽管这些协议有较高的安全性，但是它们很难应用于低成本的RFID系统中，并且应用扩展性也较低。同时采用这些安全协议的RFID系统也难以抵抗一些不良攻击，如无法抵抗物理攻击和标签克隆等。攻击者可以通过解剖芯片的方式获取标签内部存储的密钥，在此基础上进行芯片的反向设计实现标签的克隆。物理不可克隆功能[9]的出现能有效解决上述问题。PUF是一组微型延迟电路，当收到一个随机的二进制输入之后，会生成一个唯一的、随机的二进制序列作为响应。由于芯片制造过程中产生的差异本身具有不可模仿和复制的特性，所以每个芯片中的PUF电路可以生成无限多个、唯一的、不可预测的“密钥”。即使是芯片的制造厂商也不可能从另外一个芯片上复制出一套一模一样的响应序列。所以，如果在标签芯片内部集成一个PUF模块，则该标签就具有反克隆的功能，同时PUF 唯一的响应序列也可以用来对标签进行认证。而且PUF 电路所需的硬件开销很小，一个64 位的PUF 电路大概需要545个等效门电路[9]，大大少于简化后的Hash 运算和MD5等加密电路。正是由于PUF的这些特点，使得利用PUF 来设计RFID 认证协议成为一个新的研究热点。

但是单独使用PUF也存在一定的安全问题，每个标签需要预先在后台数据库中存储大量的响应对，如果标签数量很多，后台数据库在对标签进行安全认证的时候就要进行大量的查找，从而会降低整个系统安全认证的效率。另外，由于认证过程中没有随机数，标签容易被攻击者跟踪。

本文针对上述安全问题提出了新的PUF-LMAP+协议，新协议不仅能够克服上述没有融合PUF时的安全问题，而且能够满足低成本要求，依然属于轻量级安全认证协议。

2 新轻量级安全认证协议PUF-LMAP+

PUF-LMAP+协议在LMAP+的基础上融合了PUF技术，不仅能够解决上述的安全问题，而且还能够抵抗克隆攻击等一些其他攻击。新协议作了如下的改进：

(1)为了降低RFID系统成本，只在标签芯片内部集成一个PUF模块(以下部分将PUF模块当成一个PUF函数来使用)，PUF的特性使标签能够抵抗克隆攻击。

(2)在后台数据库中除了要提前存储LMAP+算法中所存储的信息外，还要存储PUF函数的两个输出量，而PUF函数的两个输入量则为共享密钥对。而且经过PUF模块后两个输出量是唯一的。

(3)为了降低RFID系统的成本，将阅读器中的随机数产生器(Pseudo-random Number Generator，PRNG)改用线性反馈移位寄存器(Linear Feedback Shift Registers，LFSR)，在文献[3]中已经提到LFSR也能产生随机数，并且其等效门比PRNG的等效门要少一些。

(4)在文献[10]中阐明了用模2m不能够抵抗由信息量的最低位引起的跟踪攻击，而用模2m-1能够抵制上述攻击，所以也将新协议中凡是用到模2m的地方都改用模2m-1。

表1 新算法符号与说明

(1)

(2)

(3)

图1 新算法具体认证过程

为了提高随机性，阅读器每次在产生随机数l时随意选择j等于1或2。

图1中的A、B、C、D和E具体表达式如下：

(4)

(5)

(6)

(7)

(8)

新协议的具体流程如下：

(9)

(10)

(11)

(12)

(13)

(14)

3 PUF-LMAP+安全性分析

(4)中间人攻击：在阅读器认证标签时会发送A和B，攻击者可以拦截A和B后对两者进行更改，然后再传给标签。但是在协议中标签会根据A的表达式和存储的信息量来计算随机数得l1，再根据B的表达式和存储的信息量来计算随机数得l2，判断l1和l2是否相等来判断是否有中间人攻击。在标签认证阅读器时会发送C、D和E,而表达式E也是用来验证C和D是否受到中间人攻击。因此该新算法能够抵抗中间人攻击。

(5)克隆攻击：攻击者可以利用物理方法来复制标签存储的信息来克隆出一个合法的标签，但在新协议的认证过程中使用到PUF函数的输出量来进行安全认证。由于PUF函数的特殊性，攻击者想要模拟PUF函数的输出量是很困难的。因此新协议能够抵抗克隆攻击。

4 结论

本文首先分析了改进的LMAP+算法并且指出其存在的安全问题。为了解决这些安全问题，在标签中融合PUF模块，提出新的PUF-LMAP+协议。分析表明新协议能够解决文献[7]中所提出的安全问题(跟踪攻击和完全泄露攻击)，PUF模块为新算法提供了防止硬件复制篡改的特性。

参考文献

[1] 刘彦龙,白煜,滕建辅.RFID 分布式密钥阵列认证协议的安全性分析[J].计算机工程与应用,2014,50(16):72-76.

[2] CHIEN H Y．SASI：a new ultra-lightweight RFID authentication protocol providing strong authentication and strong integrity[J]．IEEE Transactions on Dependable and Secure Computing，2007，4(4)：337-340.

[3] 高树静.低成本无源RFID安全关键技术研究[D].济南：山东大学，2012.

[4] RAPHAEL C W. Cryptanalysis of a new ultra-lightweight RFID authentication protocol-SASI[J]. IEEE Transactions on Dependable and Secure Computing, 2009, 6(4):316-320.

[5] TAQIEDDIN E,SARANGAPANI J. Vulnerability analysis of two ultra-lightweight RFD authentication protocols: RAPP and gossamer[C].The 7th International Conference for Internet Technology and Secured Transactions,2012:80-86.

[6] GURUBANI J B, THAKKAR H, PATEL D R. Improvements over extended LMAP+: RFID authentication protocol[C]. In: IFIP Advances in Infoomation and Communicatioh Fechnology， 2012: 225-231.

[7] 王超,秦小麟,刘亚丽.对改进LMAP+协议的启发式攻击策略[J].计算机科学,2014,41(5): 143-149.

[9] BOLOTNYY L,ROBINS G. Physically unclonable function-based security and privacy in RFID systems[C]. Pervasive Computing and Communications, Fifth Annual IEEE International Conference on, 2007:211-220.

[10] Huang Anqi, Zhang Chen, Tang Chaojing. Another improvement of LMAP++: a RFID authentication protocol[J].Communications in Computer and Information Science,2014(426):100-106.

德州仪器为中国多家领先互联网企业带来创新的物联网解决方案

2016年1月4日(北京讯)德州仪器 (TI) (NASDAQ: TXN)日前宣布其与腾讯、百度、阿里巴巴及京东四家中国领先的互联网企业建立了IoT合作伙伴关系。通过久经行业验证的低功耗和超低功耗SimpleLinkTM无线MCU产品组合，TI针对四家企业的不同IoT应用提供了多种创新的无线连接解决方案。SimpleLinkTM产品组合包括面向广泛嵌入式市场的无线MCU、无线网络处理器 (WNP) 、RF收发器和距离扩展器，能够简化IoT应用的开发并轻松实现万物互联。凭借对Bluetooth®Smart、Wi-Fi®、Sub-1 GHz、6LoWPAN、ZigBee®等多达14项无线连接标准的支持，该产品组合可帮助生产商将无线连接功能轻松添加至任何产品和设计中，并满足所有的应用需求。

作为中国领先的互联网综合服务提供商，腾讯所推出的社交软件微信已经成为主流的在线沟通工具。作为此次TI与腾讯的合作项目之一，微信将指定TI作为其Bluetooth Smart以及Wi-Fi®芯片的供应商，其终端用户可以在TI的无线芯片上实现AirKiss和AirSync协议，并接入腾讯推广的微信硬件平台。未来，微信还希望将其合作论坛的一部分权限开放给TI，让TI的技术工程人员能够在论坛上为开发者提供支持，共同打造更多的创新应用。

CC2541是一款针对Bluetooth Smart以及2.4-GHz私有协议应用功率优化的片上系统 (SoC) 解决方案。其所提供的超低能耗特性能够帮助客户在仅需极低物料成本投入的情况下建立强健的网络节点；TI SimpleLink CC2640无线MCU则是一款面向Bluetooth Smart应用的无线MCU，可支持广泛的Bluetooth Smart应用，其中包括用于保健、健身和医疗的可穿戴设备、手机配件、信号台及工业自动化等；SimpleLink CC3200 器件是一款集成了高性能ARM Cortex-M4 MCU的无线MCU，使得客户能够用单个集成电路 (IC) 开发整个应用。借助片上Wi-Fi、互联网和稳健耐用的安全协议，无需之前的Wi-Fi经验即可实现前所未有的快速开发。TI的SimpleLink Bluetooth Smart无线MCU CC2541与CC2640被广泛应用于阿里巴巴的商场定位导航应用，而TI的Wi-Fi CC3200无线MCU也在终端用户处接入了阿里云，未来还将推进在阿里云上的蓝牙应用接入。同时，CC3200还被应用于针对京东金融的京东云中，TI将携手京东智能(原京东旗下的NSNG子公司)共同开发新一代的京东云。

在与百度的合作中，双方共同致力于在IoT领域推动垂直行业标准化的制定以及物联网产业的发展，并将TI的硬件优势与百度的软件技术进行整合，以实现结构更为整体化、体验更加顺畅的物联网基础建设。此外，TI还希望与百度在IoT OS等方面展开进一步的合作，并成立相关的OS联盟，以企业的发展需求和各方的共同利益为基础，一起打造智能、完整的物联网软件栈，提升物联网产业技术创新能力。

(TI公司供稿)

A new lightweight mutual authentication protocol for RFID: PUF-LMAP+

Zhu Feng1，Bai Enjian1,2

(1.College of Information Science and Technology，Donghua University，Shanghai 201620，China；2.Engineering Research Center of Digitized Textile and Fashion Technology，Ministry of Education，Shanghai 201620，China)

With the wide usage of radio frequency identification (RFID), its security and privacy have become the main problems which restrict the development of the technology.Some ultra-lightweight RFID authentication protocols have been proposed. They only involve simple bite-wise operations in order to reduce the cost of the tag. However, their protocols are unable to guarantee the strong security property. What is more, the improved LMAP+ protocol is proven to be vulnerable to the tracking and full disclosure attacks. In this paper, we propose a new protocol which combines the improved LMAP+ with the physical unclonable function (PUF).Through analysis, the new protocol can prevent the tracking, the full disclosure, the cloning and other attacks.

Radio Frequency identification；lightweight；improved lightweight mutual authentication protocol+；physical unclonable function

TN918.91

A

1674-7720(2016)01-0001-04

朱峰,白恩健. 新的轻量级RFID 双向认证协议:PUF-LMAP+ [J] .微型机与应用，2016,35(1)：1-4.

0 引言

2015-10-11)

朱峰(1990-)，通信作者，男，在读硕士生，主要研究方向：射频识别防碰撞和安全。E-mail:zhufeng511@126.com

白恩健(1977-)，男，博士，副教授，主要研究方向：保密通信、网络安全、物联网安全等。

随着RFID应用范围的不断扩大，其安全与隐私问题也得到越来越广泛的重视。现有的RFID系统安全技术可以分为两大类[1]：一类是通过物理方法保证标签与阅读器之间通信的安全；另一类是通过逻辑方法增加标签安全机制。物理方法由于缺乏灵活性而很难在标签中广泛使用，因此逻辑方法得到广泛的关注。逻辑方法[2]主要包含超轻量级安全认证协议(仅采用位运算)、轻量级安全认证协议(伪随机数发生器和简单的函数运算)、中量级安全认证协议(随机数产生器和Hash 函数)和重量级安全认证协议(对称或非对称加密函数)。

尽管重量或中量级安全认证协议有很好的安全和隐私保护，但是由于受到成本的制约，标签计算能力和存储能力受到一定限制。因此重量或中量级安全认证协议很难广泛应用于实际当中。设计安全、低成本和轻量级的RFID双向认证协议是非常值得研究的一个课题。