刘扬，徐明明，尹毅峰

（郑州轻工业学院计算机与通信工程学院，郑州　450001）

基于安全虚S-盒的RFID系统密钥管理机制研究

刘扬1，徐明明2，尹毅峰3

（郑州轻工业学院计算机与通信工程学院，郑州450001）

RFID系统包含对象数量庞大，实现安全的数据传输离不开大量密钥的分发、存储与销毁。将基于对称密钥加密的，可以同时完成通信双方身份认证与密钥协商的安全虚-S盒技术进行相应改进，结合RFID系统安全的需求，设计一个针对RFID系统的密钥管理机制。新的机制由会话双方协商出的安全虚S-盒为RFID系统的通信快速的产生大量随机的会话密钥，且不需要可信第三方的参与。

RFID系统；密钥管理；安全虚S-盒

国家自然科学基金资助项目（No.61272038、No.61572445）、郑州轻工业学院研究生科技创新基金项目（No.201330）

0　引言

近年来RFID系统在物流、医疗、交通等方面的应用技术不断被开发和完善。用户的安全与隐私问题越来越受到人们的关注。虽然系统的规模不断扩展，安全需求不断复杂化，多元化，然而智能终端低成本高实时性，高并发性却限制了RFID安全机制的构建，使RFID安全成为研究的热点和难点。

RFID系统不但包含隶属各个机构或个人的阅读器，更包含了数量庞大的RFID标签。目前针对RFID安全系统的数据存储主要分为两类，第一类由标签和后台数据库同时存储秘密信息和标签标识，每对标签进行一次读写操作，都会进行密钥更新以抵御重放攻击，此类存储方式常用于银行卡，校园卡等金融射频卡[1]中；第二类只有后台服务器存储标签秘密信息，通过阅读器向后台数据库转发标签回复信息，在通过服务器授权通过的条件下可以获得服务器发送的自身所读标签的秘密信息[2]。显然，对于大规模部署的低成本的RFID标签，应该承担更少的加解密运算量和关键信息的保存，因此，第二种存储结构更易于保护用户隐私，并且针对第二种存储结构的系统密钥管理机制相对简便，更具有扩展性。

本文基于提出的安全虚S-盒技术[3]，针对实际的RFID系统进行了移植与改进，通过在后台服务器与阅读器之间建立安全快速的数据传输通道，设计出了无需可信第三方的密钥管理机制，利用通信双方协商的安全虚S-盒，快速的产生大量满足密码学特性的会话密钥，并且在每一轮会话完成后重新协商，可免于重放攻击，用于低成本标签RFID系统中阅读器与后台数据库之间关于标签秘密信息的安全传输。

1　系统模型设计

1.1安全虚S-盒协商方案

安全虚S-盒是基于对称密码理论设计的一种快速的密钥协商方案，通过通信双方的一次交互，可以快速生成一个参数相同且由通信双方共享的安全S-盒。在基础理论方面结合了Diffie-Hellman的密钥交换方式，同时安全虚S-盒的安全性是基于多态性密码的自编译系统的不可读性[4]。如果存在敌手对传输中的数据进行密码分析，将会启动自编译系统，所得出的参数已不再是最初的参数，因此不能得到对方的数据。

将安全虚S盒的协商方案介绍如下：

（1）假设通信的双方分别是Alice和Bob，他们各自拥有一个安全的控制密钥ka和kb，用来调用置换函数构造安全子算法集。此算法集没有被注入另一组随机参数时，不具备完整S-盒的混淆和置换功能。

（2）Alice和Bob拥有相同的候选单向函数构造的自编译器；

（3）Alice和Bob利用各自的通信状态产生自己的随机参数组pa和pb；

构造安全S-盒的步骤如下：

①双方采用相同的自编译器结合Hash映射，利用各自的控制密钥加密各自产生的包含自身通信状态的随机参数组pa和pb，得到各自的输出数组xa和xb；

②Alice将得到的输出数组带入伪随机数发生器，得到左半S-盒Sa=（xa，Y）；

③同理，Bob利用自身的输出数组得到右半S-盒Sb=（X，yb）；

④双方利用公开信道交换各自生成的半个S-盒；

⑤双方将自身的输出数组带入收到的半个S-盒，得到一个用于生成会话密钥的完整的S-盒S（a，b）=（xa，yb）；

1.2RFID系统的密钥管理

密钥管理通常包含密钥的生成、储存、保护、分配、验证、使用和销毁，也就是负责管理在密钥的整个生存周期内的安全性和实用性[5]。由于当前的密码算法通常是公开的，因此当密码算法确定下来之后，整个系统的保密程度取决于密钥的保密性[6]。密钥管理也因此成为了整个系统安全的决定因素。传统的基于RFID的密钥管理系统多是针对智能IC卡的密钥管理系统，主要包括发卡机构，由可信第三方组成的验证机构，由系统管理员，领导者等组成的多级的密钥分发机制等。这样的密钥管理系统多应用于银行储蓄卡、门禁系统、校园卡系统等相对安全需求等级较高且用户不大可能出现高并发性的场景中。而针对供应链，图书管理系统这些RFID标签数量庞大，且对象分布集中的场景。一方面，系统的成本限制在RFID标签上不能采用高计算复杂度的加密措施，另一方面，由于标签的流动性以及标签通常以群组的形式出现，造成系统的高并发性，导致此类低成本标签的密钥管理不太可能做到为每一个标签设置唯一的密钥并由密钥管理中心进行安全存储。因此我们假设系统的阅读器与标签端采用现行的低成本标签的国际标准ISO/IEC 18000-6C[7]，在阅读器与后端服务器之间嵌入改进的安全虚S-盒来实现对低成本RFID系统的密钥管理。整个RFID密钥管理机制模型框图如图1。

图1　密钥管理机制整体框图

将安全虚S-盒嵌入到后端服务器以及阅读器中，构成一个临时密钥管理机制，在阅读器登录后台服务器时建立，阅读器完成标签扫描时断开连接，随机销毁会话密钥和控制密钥。与传统的密钥交换协议相比，不需要大量的控制密钥以及会话密钥的秘密分发与存储，也不需要额外的可信第三方来发布证书并进行各个机构的证书的管理[8]。

2　方案的具体实现

针对虚S-盒技术中的限制与需求，结合RFID系统的特性对整体的密钥协商方案进行改进。我们采取在构造S-盒的过程中加入阅读器和服务器的身份信息的方法，在协商S-盒的同时完成身份认证。假设合法的阅读器拥有自己的标识IDi和对应的控制密钥kR以及认证口令μi，后台服务器的数据库中存储所有合法阅读器的标识和对应的口令μ以及自身的控制密钥kD。所有的阅读器和后台服务器都拥有相同的公开的虚拟迭代函数S（X，Y）和含有自编译系统的单向Hash函数HS（）。具体的协商过程如图2所示。

①需要建立会话的阅读器和后台服务器利用网络节点数据流的随机性各自抓取四个随机数连同自己的私钥构成一个五元数组作为新的私钥组KR[5]={kR，rR1，rR2，rR3，rR4}和KD[5]={kD，rD1，rD2，rD3，rD4}。

图2　方案具体流程图

②阅读器将得到的五元组私钥带入含自编译系统的单向函数HS（）得到部分参数KRp[4]={kR⊕HS（rR1），kR⊕HS（rR2），kR⊕HS（rR3），kR⊕HS（rR4）}，带入双方共有的虚拟迭代函数S（X，Y）得到左半S-盒Sa=S（kR⊕HS（rR1），kR⊕HS（rR2），kR⊕HS（rR3），kR⊕HS（rR4），Y）；同样的，后端服务器将生成的五元组私钥带入含自编译系统的单向函数HS（）得到另一部分参数KDp[4]={kD⊕HS（rD1），kD⊕HS（rD2），kD⊕HS（rD3），kD⊕HS（rD4）}，带入双方共有的虚拟迭代函数得到右半虚S-盒Sb=S（X，kD⊕HS（rD1），kD⊕HS（rD2），kD⊕HS（rD3），kD⊕HS（rD4））；

③阅读器和后端服务器利用以太网的公开信道将各自生成的半个S-盒发送给对方；

④阅读器收到服务器发来的右半虚S-盒Sb后，将自身的参数KRp[4]带入右半虚S-盒，得到完整的虚S-盒S=S（KRp[4]，KDp[4]）=S（kR⊕HS（rR1），kR⊕HS（rR2），kR⊕HS（rR3），kR⊕HS（rR4），kD⊕HS（rD1），kD⊕HS（rD2），kD⊕HS（rD3），kD⊕HS（rD4））；同理，服务器收到阅读器发来的左半虚S-盒Sb后，将自身参数KDp[4]带入左半虚S-盒，得到相同的完整的虚S-盒；自此，双方虚S-盒协商完成；

⑤阅读器和后端服务器利用协商出的安全虚S-盒产生周期很长的加密序列，此时待认证的阅读器发送经过与加密长周期序列XOR操作后的自身标识IDi和认证口令μi给数据服务器；

⑥数据服务器利用收到的密文再与自身产生的S-盒加密序列异或，得到当前请求认证的阅读器的标识和口令，在数据库中查找是否有符合要求的二元组{ID，μ}，如果有，返回认证通过指令，反之，断开连接；

⑦当阅读器认证通过后，向服务器发送扫描的标签标识，由服务器阅读器查询标签信息并反馈给阅读器；

⑧完成扫描范围内的标签认证，进入静默状态，服务器自动销毁之前产生的随机参数组以及私钥组，准备进入下一轮会话。

3　安全性分析及性能评估

假设一个潜在的敌手企图通过窃听公开信道上传输的信息来破解双方协商的虚S-盒，即通过获取任意一方的私钥以及随机种子，来破译通信双方协商生成的虚S-盒，从而试图获取整个会话的密钥生成系统。由于在某一瞬间通信双方从网络中获取的随机数不能再次获取，因此，即使敌手获取了通信双方的密钥也不能猜测出他所需要的随机数种子。

如果敌手假冒通信的其中一方试图实施中间人攻击也是不能实现的。因为无论如何，攻击者只能获取半个虚S-盒，因此不可能获得与通信双方同步的产生会话密钥的虚S-盒，此外，服务器和阅读器之间的认证还依赖于阅读器存储的和自身标识对应的口令μ，敌手不能获取会话密钥也就意味着虚S-盒协商完成后发送的阅读器的口令是安全的，不可被敌手或取的。

相比一般的加密算法，安全虚S-盒继承了普通S-盒计算速度快，能快速生成大量长周期满足密码学特性的密钥序列的特性。结合RFID系统的汇聚节点数据量大、高实时性、高并发行的特点，改进的虚S-盒协商及认证方案适用于阅读器与服务器之间的密钥管理。

4　结语

本文基于安全虚S-盒技术，针对实际的RFID系统进行了移植与改进，通过在后台服务器与阅读器之间建立安全快速的数据传输通道，设计出了无需可信第三方的密钥管理机制，利用通信双方协商的安全虚S-盒，快速的产生大量满足密码学特性的会话密钥，并且在每一轮会话完成后重新协商，可免于重放攻击，本方案可用于低成本标签RFID系统中阅读器与后台数据库之间关于标签秘密信息的安全传输，在供应链以及图书管理系统中具有很大的实用价值。

[1]范春鹏.金融IC卡密钥管理系统的设计与实现[D].北京交通大学，2015.

[2]付小丽.高效的RFID安全协议研究与设计[D].武汉理工大学，2011.

[3]Yin Y，Gan Y，Wen H，et al.A Symmetric Key Exchange Protocol Bsaed on Virtual S-Box[J].中国通信（英文版），2014，11（s2）:46-52.

[4]尹毅峰.基于多态性密码的S-盒安全机制研究[D].西安电子科技大学，2009.

[5]WENBO MAO（美）.现代密码学理论与实践[M].电子工业出版社，2004.

[6]卓丽，耿夫利，王艳艳.信息加密算法研究[J].科教导刊:电子版，2015（18）:175-175.

[7]EPCglobal，UHF Class 1 Gen 2 Standard v.2.0.1[S].Globe standard 1，2013.

[8]徐阳.物联网密钥管理和认证技术研究[D].南京理工大学，2015.

RFID System;Key Management Mechanism;Safety Virtual S-Box

Research on Key Management Mechanism of RFID System Based on Safety Virtual S-Box

LIU Yang，XU Ming-ming，YIN Yi-feng

（College of Computer and Communication Engineering，Zhengzhou University of Light Industry，Zhengzhou 450001）

RFID system contains a large number of objects,to obtain safety data transmission requires the distribution,storage and destruction of a plenty number of keys.Based on safety virtual S-box which is used for symmetric key encryption algorithm and can simultaneously complete the identity authentication with key agreement of both sides of the conversation.According to the requirement of RFID system security,designs a key management mechanism for RFID system.The new mechanism can generate a large number of randomized session keys in a short time by safety virtual S-box,while does not require the participation of trusted third party.

1007-1423（2016）32-0003-04

10.3969/j.issn.1007-1423.2016.32.001

刘扬（1992-），女，河南郑州人，硕士研究生，研究方向为物联网安全

徐明明（1991-），男，河南许昌人，硕士研究生，研究方向为物联网安全

尹毅峰（1971-），男，河北饶阳人，博士，教授，研究方向为信息安全与密码学

2016-09-23

2016-11-10

1007-1423（2016）32-0007-06

10.3969/j.issn.1007-1423.2016.32.002