防伪研究综述--终稿.doc

防伪研究综述 终稿基于PUF的RFID防伪技术综述 蒋政君，田海博，张方国 1,中山大学信息科学与技术学院，广州 510006 2,广东省信息安全技术重点实验室 E-mail: isszhfg 摘 要：随着信息科学与技术的快速发展，射频识别技术应用到越来越多的场合，给人类带来了诸多便利。但是，RFID技术存在一些安全隐患。例如攻击者可以窃取RFID系统通信过程中的重要信息，进行克隆攻击。物理不可克隆函数是解决克隆问题的有效技术手段。就当前基于PUF的RFID主要防伪技术进行综述。 关键词：RFID;物理不可克隆函数;防伪;认证 Survey On PUF Based RFID Anti-Counterfeiting Techniques Zhengjun Jiang, Haibo Tian, Fangguo Zhang 1,School of Information Science and Technology Sun yat-sen University, Guangzhou 510006 2, Guangdong Provincial Key Laboratory of Information Security Abstract: With the fast development of information science and technology，Radio Frequency Identification (RFID) technique has been used in more and more scenarios, bringing people a lot of conveniences. However, RFID technique has some potential security problems. For example, an attacker can steal important information from the communication process of the RFID system，then it could complete the clone attack. Physical unclonable function (PUF) is an effective method to solve the problem of cloning. This article will do a survey on physically unclonable function based RFID anti-counterfeiting techniques. Key words: RFID; physically unclonable function; anti-counterfeiting;authentication 1 1引言 射频识别技术起源于英国，曾应用于第二次世界大战中辨别敌我飞机。随着信息科学与技术的飞速发展，RFID进入民用领域，其应用主要分布在防盗、供应链、门禁控制、库存跟踪、汽车收费、生产控制和资产管理等场合，是物联网时代自动化信息收集的一种基本技术。 RFID系统一般标签、阅读器和服务器组成。对于无源标签而言，阅读器发送无线电能量给标签，标签获得能量后把内部的数据返回给阅读器，阅读器再把数据给服务器做相应地处理。阅读器不需要与特定目标之间建立机械或光学接触，只需通过附着其上的RFID标签，就可以完成信息收集的任务。 随着RFID应用范围的扩大，伪造问题逐渐引起了人们的关注。于普通RFID标签自身是可以克隆的，标签和阅读器之间的信道也是不安全的，攻击者可以很容易地复制一个RFID标签中的信息到另一个RFID标签上。例如市场上贴有RFID标签的高档酒1，伪造者可以很轻松地读取标签上的信息，并进行复制，写到一个有相同唯一编号的RFID标签中，并把标签贴到假酒上，就能达到伪造目的。 物理不可克隆函数被认为是解决克隆问题的主要手段。Pappu等人2在2002年首次提出了PUF的概念。图1给出了在文献3中的一个示意图。从图1中可以看到，该电路是一个基于判决的PUF延迟电路。对于输入X0到X63，该电路生成了两条相同长度的延迟路径，一个输入信号同时给到这两条路径，然后判决器判决优先到达终点的一条路径。如果是与D端连接的路径优先到达，输出“1”，否则输出0。不同的物理制造过程会使得这样的“竞赛”产生不同的结果，从而对于同一个输入，会给出极为不同的输出。这样即使是生产厂家也无法制造出两个能产生类似输出的硬件，使得PUF有了硬件“DNA”的美誉。除了图1的构造之外，人们还能够生产涂层PUF4、蝴蝶PUF5、光纤PUF6等不同材料和结构的PUF，拓展了PUF的应用范围。 图1 基于判决的PUF延迟电路示意图 2 PUF嵌入到RFID标签中，就组成了基于PUF的RFID标签，具有非常好的抗克隆属性。研究人员也给出了一系列基于PUF的RFID相关的技术文章，具有例如搜索7、防伪认证8、密钥建立9-10等功能。就基于PUF的RFID防伪技术进行综述。 2 PUF防伪系统 防伪，是指为防止假冒伪造采取的措施。防伪工作主要包括两种方式：防止和检测。防止即遏制伪造；检测是在伪造发生后采取的检查机制。基于PUF的RFID防伪系统是属于“防止”伪造的一种技术。 如图2所示，在基于PUF的RFID防伪系统中，产品的数字标识放在RFID标签内，然后把RFID标签附着在产品上11-12。 数字标识写入RFID标签附着产 品 图2：数字标识与产品的绑定 一般来说，基于PUF的RFID防伪系统是分两个阶段的：注册阶段和验证阶段。在注册阶段，后台服务器通过挑战PUF标签得到响应，并储存该RFID标签的ID和所有的挑战-响应对。在验证阶段，阅读器从服务器获得挑战，并挑战PUF标签，得到响应。阅读器把PUF响应返回给服务器，服务器通过验证该响应和所存储的响应是否相同来判断该标签的真实性。在很多研究中,假设了阅读器和后台服务器之间是具有安全连接的,而阅读器与标签之间的通信信道是公开的,如图3所示。 ID1ID2ID3CRPsCRPsCRPsROM安全不安全ID.IDiCRPsPUF后台服务器阅读器图3 基本的PUF防伪方案 3 标签 从上述基本方案中可以抽象出来PUF的一些基本安全属性13，包括不可克隆性、鲁棒性、不可预测性等： 1、不可克隆性：把两个PUF看成两个函数F和F，那么对于同一个输入x，它们的?输出F(x)和F?(x)的差距以极大概率大于某个可判的差距，可以认为F(x)?F?(x)。 2、鲁棒性：对于一个PUF，对于两次输入x1?x2，这两次输出F(x1)与F(x2)的差距以极大概率小于某个可判的差距，那么可以认为F(x1)?F(x2)。 3、不可预测性：已知某个PUF的挑战响应对CRPs：xi,F(xi),i?1,.,n，n是某个自然数，如果输入xj?x1,.,xn，那么输出以极大概率满足F(xj)?F(x1),.,F(xn)。 即使PUF具备了这些安全属性，基于PUF的RFID防伪系统依旧可能遭受各种攻击，例如： 1、重放攻击：是指攻击者可以重复发送某些目的方已接收过的数据，达到欺骗系统的目的。例如攻击者向阅读器重放以前的PUF响应。这显然要求一个安全的防伪系统中同一个挑战是不能重复使用的。 2、跟踪攻击：是指攻击者使用阅读器不断发送挑战，让标签给响应，并判断标签是否是同一个标签。 3、窃听攻击：是指攻击者窃听标签与阅读器之间的信息往来，然后利用这些信息来进一步攻击防伪系统。 4、中间人攻击：是指攻击者在标签和正常阅读器之间，对正常的通信数据进行截断、注入、修改等攻击，达到破坏防伪系统的目的。 6、拒绝服务攻击：是指攻击者对后台服务器进行攻击，使其无法响应正常的查询请求，达到破坏防伪系统的目的。 为了应对针对防伪系统的各种攻击，人们引入了密码学的各种算法，包括安全哈希函数14，对称加密算法15, 16，17，公钥加密算法10等。这些方案在隐私性、认证性等方面有较好的表现。例如文献18要求在每一轮认证时，标签的ID都与不同的伪随机数异或之后发送给阅读器，并且认证通过之后，标签的ID会更新。这样做是期望攻击者多次挑战同一标签，也无法对标签进行位置跟踪。文献19也是要求不断更新标签所发送的信息，以保护标签的位置信息。文献20把PUF和一次性密码技术结合起来,希望实现双向认证协议，对抗中间人、窃听、重放等攻击。文献21通过在标签和阅读器之间共享密钥，4 生成针对挑战-响应的密钥链，希望实现阅读器和标签的双向认证。 相比于传统的密码学应用，标签防伪系统对效率有更高的要求。研究人员在提升防伪系统效率方面也作了大量的工作。例如文献14采用了哈希算法结合PUF实现抗密钥泄露的防伪验证协议，标签只需要计算一次哈希和两次PUF，存储一个随机数和一个标签的ID，具有较高的效率。文献7建议使用椭圆曲线公钥密码技术，对其使用的代价和性能进行了讨论，认为其适用于低成本的RFID防伪系统。文献10针对通信效率进行了提升，给出了一个离线验证的协议，证明在不需要在线服务器的情况下，依旧能够实现基于PUF的RFID防伪系统；文献22则在离线状态下，进一步考虑了防伪系统的隐私性。 3、PUF防伪技术 基于PUF的防伪技术按照其主要使用的密码学算法来区分，可以粗略地分为基于非对称密钥算法的技术和基于对称密钥算法的技术。 基于非对称密钥算法的PUF防伪技术 2006年，Batina等人10给出了利用身份识别协议、数字签名和PUF的防伪系统。该方案代表了一类基于非对称密码技术给出的防伪系统解决方案。后续的工作包括23，24，25等。 Batina等人10给出的离线认证方案包括基于PUF的RFID标签、发行者、验证者三个主体。标签中存储有与商品相关的信息，称之为标签的ID。发行者可以是商品的生产厂商或者专门的防伪系统提供商，负责对标签进行初始化。验证者验证商品的真伪。在技术上，该方案包括了一个身份识别协议(Kg,P,V)，一个数字签名方案(SKg,Sign,Ver)和一个密钥提取算法G。其中Kg是身份识别协议的密钥生成算法，P是证明者协议，V是验证者协议；