基于Montgomery型橢圓曲線密碼的RFID安全認證方案

章武媚

（浙江同濟科技職業學院，浙江 杭州 310023）

基于Montgomery型橢圓曲線密碼的RFID安全認證方案

章武媚

（浙江同濟科技職業學院，浙江 杭州 310023）

針對現有基于橢圓曲線密碼 （elliptic curve cryptography，ECC） 體制的 RFID （radio frequency identification device）安全認證方案不能滿足相互認證、隱私保護和前向安全性等要求，提出一種基于Montgomery型橢圓曲線密碼的認證方案。利用Montgomery型橢圓曲線來降低計算量，并提供標簽和服務器之間的相互認證，具有匿名性和前向安全性。通過分析表明，該方案能夠抵抗重放攻擊、標簽偽裝攻擊、服務器欺騙攻擊、DoS攻擊、位置跟蹤攻擊和克隆攻擊。與現有方案相比，該方案在保證較低的內存、計算和通信需求的情況下，提供了較高的安全性能，能夠滿足RFID系統的安全性要求。

RFID；安全認證；橢圓曲線密碼；Montgomery；前向安全

1 引言

無線射頻識別 （radio frequency identification device，RFID）是一種能夠自動識別目標的技術［1］。其主要包括3個關鍵組件：RFID標簽、RFID閱讀器和后端數據庫服務器。閱讀器用于查詢標簽ID，并將查詢到的標簽ID傳輸給后端服務器。一旦服務器檢測到標簽可用，將進一步處理標簽存儲的信息。由于標簽與閱讀器之間的通信信道存在風險，且RFID系統資源有限，因此，需要一種安全且輕量級的認證協議來滿足安全等級要求和能量約束［2］。

由于橢圓曲線密碼 （elliptic curve cryptography，ECC）體制［3］的安全性高、占用帶寬小、計算復雜度低等眾多優勢，能夠有效地保證各種通信網絡的安全，已成為公鑰密碼體制研究熱點［4］。為此，學者提出了多種基于ECC的RFID認證協議。例如，參考文獻［5］提出了一種基于多元ECC的身份識別方案，可以抵制標簽偽造攻擊。然而，該方案僅僅考慮了標簽的身份認證，并沒考慮閱讀器的身份驗證，使得標簽很容易遭受惡意查詢。參考文獻［6］也提出了一種基于ECC的認證方案，然而，該方案中攻擊者可以利用公鑰追蹤目標標簽，存在前向保密缺陷。參考文獻［7］提出了一種基于橢圓曲線離散對數問題 （elliptic curve discrete logarithm problem，ECDLP）的認證協議，然而，該方案存在不能抵抗跟蹤攻擊和偽造攻擊的缺陷。為此，參考文獻［8］對此進行改進，提出了ECDLP-RK方案，能夠抵抗跟蹤攻擊。然而，該方案在身份認證階段更新數據庫，增加了后臺服務器的成本，且缺乏相互認證過程。

ECC中，影響計算速度的關鍵是曲線中的點乘運算。所以，為了設計出適合資源有限的RFID系統的ECC快速認證算法，降低點乘運算是其中的關鍵［9］。目前，出現了一種新興的橢圓曲線類型：蒙哥馬利（Montgomery）型橢圓曲線［10］，比傳統ECC曲線具有更快的點乘計算速度，而且不需要預計算，可以在計算能力和存儲空間有限的條件下實現，非常適合應用于RFID系統中的標簽計算。為此，本文提出了一種基于Montgomery型橢圓曲線加密的RFID安全認證方案，實現服務器和標簽之間的相互認證，并提供匿名性保護和前向安全性。通過分析表明，本文方案在保持低計算量的同時能夠抵御多種攻擊，實現了高安全性。

2 Montgomery型橢圓曲線

2.1 傳統橢圓曲線

傳統 ECC 中，輸入兩個點 P1、P2，且 P1、P2滿足橢圓曲線方程，然后生成P3，且P3也滿足曲線方程。這種點的標量乘法被定義為：

橢圓曲線生成了計算式P和執行次數n。給出（x，y）∈E（Fq），找出整數 c∈Zn，由此得到的 Y=c·X 就是橢圓曲線的離散對數。

2.2 Montgomery型橢圓曲線

Montgomery型橢圓曲線與傳統橢圓曲線相比，其優勢主要體現在2個方面［11］：由于在點乘計算時不需要計算Y軸值，降低了計算量，提高了計算速度；對于簡單的能量攻擊和時間攻擊具有更強的免疫力。

P+Q=（x3，y3）的值為：

而點乘式為（P=Q）：

3 本文提出的認證方案

本文提出了一種基于Montgomery型橢圓曲線密碼體制的RFID相互身份認證方案。在典型RFID系統中，標簽和閱讀器之間通信的無線信道是不安全的［12］，典型RFID系統框架如圖1所示。為了確保身份識別碼從標簽到服務器無線通信傳輸的安全性，本文設計了一種安全的身份認證傳輸方案，并采用回應機制來更新交流信息。其主要分為兩個階段：設置階段和身份認證階段。

3.1 設置階段

在設置階段，設定服務器和標簽均知曉橢圓曲線參數。服務器持有私鑰xS∈Zn，并將其與橢圓曲線上的點P相乘，以此獲得ECC加密的服務器公鑰PS（=xSP）。服務器為每個標簽選擇私鑰xT∈Zn，并設置ECC加密的標簽身份識別碼或公鑰ZT（=xTP）。接下來，服務器將每個標簽的入口值｛ZT，xT｝記錄到數據庫中。此外，每個標簽存儲｛ZT，xT｝、服務器公鑰PS及域參數D。

圖1 典型RFID系統框架

3.2 身份認證階段

身份認證階段中，標簽和服務器之間交互的步驟如下。

步驟 1 服務器生成隨機數r2∈Zn，并計算 R2=r2P，然后服務器將附有查詢信息的R2發送給標簽。

步驟2 標簽收到查詢信息＜Query，R2＞后，選擇一個隨機數r1∈Zn，并計算R1=r1P。然后計算兩個臨時密鑰TKT1=r1R2，TKT2=r1PS。接下來，標簽通過計算 AuthT=ZT+TKT1+TKT2將身份識別碼 ZT譯成密碼，并返回結果＜AuthT，R1＞到服務器。

步驟 3 服務器接收到＜AuthT，R1＞后，通過計算 TKS1=r2R1，TKS2=xSP1重新獲得兩個臨時密鑰。接著，服務器利用這兩個臨時密鑰通過以下計算重新獲得身份認證碼ZT：

然后，服務器在數據庫中搜索標簽的身份認證碼。如果找到認證碼，則服務器確認該標簽是合法的，并且獲得私鑰 xT。接著，服務器計算 AuthS=xTR1+r2ZT，并發回＜AuthS＞給標簽。

步驟4 標簽計算r1ZT+xTR2，并核對其結果是否等于接收到的＜AuthS＞。如果相等，則標簽將確認該服務器是可信的。其中，AuthS的計算式推導如下：

本文方案的身份認證階段過程如圖2所示。

4 安全性

4.1 系統功能

4.1.1 提供標簽與服務器間的相互認證

服務器通過核對接收到的AuthT的正確性來確認標簽是否可信。 如步驟 3中，服務器接收到信息＜AuthT，R1＞，根據橢圓曲線離散對數問題（ECDLP），服務器可以通過計算（AuthT-TKS1-TKS2）解密ZT。如果解密結果與數據庫中的記錄相吻合，則標簽通過服務器的認證。另一方面，標簽通過核對接收到的AuthS的正確性來確認服務器是否可信。如步驟 4 中，標簽接收到信息 AuthS（=xTR1+r2ZT）后 ，利 用（r1，R2）進行r1ZT+xTR2計算。如果計算結果與接收到的AuthS匹配，則標簽認證服務器成功，即完成相互認證過程。

圖2 提出的基于Montgomery型ECC的認證方案

4.1.2 提供匿名性保護

RFID系統中，匿名性是隱私保護的重要安全需求。在身份認證步驟中，攻擊者不能從收集到的信息＜AuthT，AuthS＞中得到ZT，所以，攻擊者不能夠通過監控交換消息來獲得身份認證碼 ZT。此外，由于兩個隨機數（r1，r2）是新數，所以每個環節的交換信息＜AuthT，AuthS＞是變化且不可預知的。盡管攻擊者可通過隨機數r2*和橢圓曲線點R2*=r2*P向目標標簽發送惡意查詢，但是攻擊者在不知道TKT2（=r1PS=xSR1）的情況下，仍然不能解析交換信息。

4.1.3 提供前向安全性

本文方案中，攻擊者不能利用目前傳輸的標簽信息來追蹤之前的傳輸信息，提供了前向安全性。本文假設攻擊者知道標簽密鑰ZT和xT。盡管如此，攻擊者仍然無法知道臨時生成的隨機數，因此無法獲知之前的交流信息。

4.2 抵抗攻擊

4.2.1 抵抗重放攻擊

重放攻擊中，攻擊者攔截了之前的交流信息后，通過重放這些信息，嘗試通過認證系統。攻擊者可偽裝成服務器或標簽，通過重復使用之前的AuthS或AuthT發起重放攻擊。本文系統中，利用兩個隨機數（r1，r2）控制信息 AuthT和 AuthS信息，且（r1，r2）在每個環節都是不同且不可預知的。也就是說，攻擊者不能重復利用先前的信息去欺騙標簽或服務器。所以，本文方案能夠抵抗重放攻擊。

4.2.2 抵抗標簽偽裝攻擊

標簽偽裝攻擊中，攻擊者通過攔截或修改之前合法標簽的信息，并使這些信息經過服務器的身份認證。本文方案中，如果攻擊者想構建一個有效的身份認證信息＜AuthT，R1＞，則需要從之前的AuthT中獲得身份認證碼ZT。由于存在橢圓曲線離散對數問題，攻擊者不能從收集到的信息中推斷出（TKT1，TKT2）和（TKS1，TKS2）。也就是說，攻擊者不能通過之前的AuthT解密獲得ZT。因此，攻擊者不能構建有效的身份認證消息，本文方案能夠抵抗標簽偽裝攻擊。

4.2.3 抵抗服務器欺騙攻擊

服務器欺騙攻擊中，攻擊者創建一個嵌有身份認證碼ZT的有效信息AuthS，偽裝成服務器來獲得標簽信任。本文方案中，服務器發給標簽的AuthS（=xTR1+r2ZT）為有著臨時密鑰 xTR1的密鑰r2ZT。換句話說，標簽計算的 AuthS（=r1ZT+xTR2）可為有著臨時密鑰 xTR2的密碼 r1ZT。由于（r2，xT）和（r1，xT）均不能被攻擊者通過橢圓曲線離散對數問題得知，所以身份驗證碼ZT不能通過AuthS得出。所以，本方案能夠抵抗服務器欺騙攻擊。

4.2.4 抵抗DoS攻擊

DoS攻擊中，攻擊者通過阻斷每次通信中的會話，導致服務器更新了隨機數，而標簽沒有更新，使標簽和服務器失去同步，從而形成DoS攻擊。然而，通過上述可知，本方案不需要同步更新密鑰信息來提供標簽和后端服務器之間的隱私保護。因此，本方案可以抵抗DoS攻擊。

4.2.5 抵抗位置跟蹤攻擊

在位置跟蹤攻擊中，攻擊者截聽會話信息，并根據信息內容將其與特定的標簽相關聯，以此跟蹤標簽位置。然而，在本方案中，服務器和標簽之間傳輸的數據被保護，所以標簽身份認證碼ZT不能從信息流中解碼獲得。此外，信息流在每個環節都會發生不可預知的變化。因此，可以抵抗位置跟蹤攻擊。

4.2.6 抵抗克隆攻擊

如果許多標簽共享相同的密鑰，并用該密鑰進行身份認證，這很容易導致克隆攻擊?？寺」糁校粽呃貌东@標簽的密鑰嘗試控制其他標簽。然而，在本文方案中，每個標簽擁有它自己唯一的密鑰xT和身份認證碼ZT。即使很多標簽被捕獲，攻擊者也不能用一個標簽的密鑰｛xT，ZT｝去獲得其他標簽的密鑰。也就是說，攻擊者不能利用這些泄露的密鑰去攻擊其他標簽，從而實現抵抗克隆攻擊。

5 性能比較

在RFID認證過程中，RFID標簽和后臺服務器需要進行各種認證計算，由于后臺服務器能源、計算和存儲資源較為豐富，所以服務器的計算復雜度可不考慮。然后，RFID標簽的資源有限，因此，在實際應用中，認證方案在RFID標簽上的資源性能非常重要。認證方案的資源性能指標包括存儲需求、計算成本和通信開銷［13］。內存需求由標簽的存儲量（包括私鑰和公鑰）決定。其中，私鑰為標簽的密鑰，公鑰包括標簽的公鑰、服務器的公鑰及橢圓曲線的基準點。計算成本根據有限域內的點標量乘法的數量來估計。通信成本為身份認證階段的信息交流量。

本文利用163 bit Montgomery型橢圓曲線定義有限域F（2163），一個 5 MHz的標簽在 32 ms內可以完成一個 163 bit標量乘法運算［14］，可以此來估計協議所需的計算時間。本文利用的Montgomery型橢圓曲線，其輸入為不完整的點，僅需要仿射x坐標。所以，在方案運行過程中，不需要曲線點的y坐標，從而減少了信息的數量，降低了認證協議的運算量。參考文獻［15］證明，Montgomery型橢圓曲線點乘運算比傳統橢圓曲線的計算量降低約30%。

本方案中，內存需求包括｛xT，ZT，PS，P｝，其中xT私鑰為163 bit，公鑰｛ZT，PS，P｝為 489 bit（一個公鑰的 x坐標為 163 bit）。這是因為本文使用了163 bit的Montgomery型橢圓曲線加密公鑰，致使每個公鑰為163 bit，這導致了較大的公鑰位數，但會使求解ECDLP的難度更大，即提供更高的安全性。

由于本方案中需要5個點標量乘法運算，所以大約需要112 ms（32 ms×5×30%）。通信開銷為閱讀器和標簽之間的82 bit交流信息本文方案與現有基于ECC方案在RFID標簽上的計算、存儲和通信開銷比較見表1。可以看出，在標簽的資源性能上，本方案和其他方案相近，但是本方案提供了很高的安全性能。其中，為了提高安全性，本方案執行5次點乘運算，但并沒有明顯增加計算時間，這是因為本文Montgomery型ECC點乘運算比其他方案采用的傳統ECC點乘的計算復雜度低。另外，在協議執行輪數上，本方案在服務器和標簽之間只需要執行3次信息交換即可完成相互認證。減少信息交互次數能夠降低通信開銷和通信信息被非法截取的概率。

將本文方案和現有基于ECC的方案的安全性能比較見表2。可以看出，本方案具有多種系統功能且能夠抵御多種針對RFID的攻擊類型。

表1 基于ECC認證方案在RFID標簽上資源性能比較

表2 基于ECC方案之間的安全性能比較

6 結束語

針對現有基于ECC的RFID安全認證方案不能滿足系統的認證、隱私保護和前向安全性等要求。提出了一種基于Montgomery型橢圓曲線密碼的認證方案，提供標簽和服務器之間的相互認證，具有匿名性和前向安全性，能夠抵抗重放攻擊、標簽偽裝攻擊、服務器欺騙攻擊、DoS攻擊、位置跟蹤攻擊和克隆攻擊。與現有方案相比，本文所提方案在保證較低的內存、計算和通信需求下，提供了較高的安全性能，非常適用于RFID認證系統。

本方案雖然沒有增加計算量，但公鑰位數較大。在今后的工作中，將考慮采用較低位數Montgomery型橢圓曲線或其他簡化型橢圓曲線來加密密鑰，在保證安全性前提下減小公鑰位數，進一步降低資源開銷。

［1］張學軍，陳彥君，常昆.改進型 RFID相互認證協議研究［J］.計算機技術與發展，2013，23（8）：129-132.ZHANG X J，CHEN Y J，CHANG K.An improved RFID mutual authentication protocol ［J］.Computer Technology and Development，2013，23（8）：129-132.

［2］張兵，馬新新，秦志光.輕量級 RFID雙向認證協議設計與分析［J］.電子科技大學學報，2013，42（3）：425-430.ZHANG B，MA X X，QIN Z G.Design and analysis of a lightweight mutual authentication protocol for RFID ［J］.Journal of University of Electronic Science and Technology of China，2013，42（3）：425-430.

［3］張文芳，王小敏，郭偉，等.基于橢圓曲線密碼體制的高效虛擬企業跨域認證方案［J］.電子學報，2014，42（6）：1095-1102.ZHANG W F，WANG X M，GUO W，et al.An efficient inter-enterprise authentication scheme for VE based on the elliptic curve cryptosystem ［J］.Acta Electronica Sinica，2014，42（6）：1095-1102.

［4］王明輝，王建東.高效的 RFID雙向認證協議 ［J］.計算機應用，2011，31（10）：2694-2696.WANG M H，WANG J D.Efficient RFID mutual authentication protocol ［J］.Journal of Computer Applications，2011，31 （10）：2694-2696.

［5］ARBIT A，OREN Y，WOOL A.Toward practical public key anti-counterfeiting for low-cost EPC tags ［C］／2011 IEEE International Conference on RFID，April 12-14，2011，Orlando，FL，USA.New Jersey：IEEE Press，2011：184-191.

［6］GODOR G，IMRE S.Elliptic curve cryptography based authentication protocol for low-cost RFID tags ［C］／2011 IEEE International Conference on RFID-Technologies and Applications（RFID-TA），Sept 15-16，2011，Sitges，Spain.New Jersey：IEEE Press，2011：386-393.

［7］CHEN Z，LIL，WU Y，etal.A mutualauthentication improvement for traditional unidirectional ECDLP-based RFID authentication protocols［C］／2012 Second International Conference on Electric Information and Control Engineering-Volume 02，2012.Washington：IEEE Computer Society，2012：421-432.

［8］FARASH M S.Cryptanalysis and improvement of an efficient mutual authentication RFID scheme based on elliptic curve cryptography［J］.Journal of Supercomputing，2014，70（2）：987-1001.

［9］吳燾，李樹國，劉理天.一種新的余數系統下快速計算素域橢圓曲線點乘的方法 ［J］. 計算機工程與科學，2014，36（10）：1839-1845.WU T，LI S G，LIU L T.A new RNS approach for fast Fp elliptic curve point multiplication［J］.Computer Engineering and Science，2014，36（10）：1839-1845.

［10］龐世春，劉淑芬，從福仲，等.一種Montgomery型橢圓曲線的高效標量乘算法［J］.電子學報，2011，39（4）：865-868.PANG S C，LIU S F，CONG F Z，et al.An efficient scalar multiplication algorithm on Montgomery-form elliptic curve ［J］.ACTA Electronica Sinica，2011，39（4）：865-868.

［11］ALKHATIB M，JAAFAR A，MRM S，et al.Parallelizing GF （p）Montgomery elliptic curve crypto-system operations to improve security and performance ［J］.Advanced Materials Research，2012，36（7）：1906-1911.

［12］楊玉龍，彭長根，周洲，等.基于Edwards曲線的移動RFID安全認證協議［J］.通信學報，2014，35（11）：133-138.YANG Y L，PENG C G，ZHOU Z，et al.Edwards curves based security authentication protocol for mobile RFID systems ［J］.Journal on Communications，2014，35（11）：133-138.

［13］HUO L，JIANG Y L，HU L Q.Research on hash-based low-cost RFID security authentication protocol ［J］.Advanced Materials Research，2013，46（2）：1524-1530.

［14］LIU Z，LIU D，ZOU X，et al.Design of an elliptic curve cryptography processor for RFID tag chips［J］.Sensors，2014，14（10）：883-904.

［15］王潮，時向勇，牛志華.基于Montgomery曲線改進ECDSA算法的研究［J］.通信學報，2010，31（1）：9-13.WANG C，SHI X Y，NIU Z H.The research of the promotion forECDSA algorithm basedonMontgomery-form ECC ［J］.Journal on Communications，2010，31（1）：9-13.

RFID security authentication scheme based on Montgomery-form elliptic curve cryptography

ZHANG Wumei
Zhejiang Tongji Vocational College of Science and Technology，Hangzhou 310023，China

For the issues that the existing RFID security authentication scheme based on elliptic curve cryptography（ECC）can not meet the requirements of mutual authentication，privacy protection and forward security，a RFID security authentication scheme based on Montgomery-form elliptic curve cryptography was proposed.This scheme uses the Montgomery elliptic curve to reduce the amount of computation，and to provide mutual authentication between the label and the server，and anonymity and forward security.The analysis showed that the scheme could resist replay attack，tag camouflage attack，server cheat attack，DoS attack，position tracking attack and clone attack.Compared with the existing schemes，the proposed scheme provides high security performance under low memory，computation and communication requirements，and it can meet the security requirements of the RFID system.

RFID，security authentication，elliptic curve cryptography，Montgomery，forward security

The Natural Science Foundation of Zhejiang Province（No.RC1226）

TP309

A

10.11959／j.issn.1000-0801.2016107

2015-10-16；

2016-03-09

浙江省自然科學基金資助項目（No.RC1226）

章武媚（1971-），女，浙江同濟科技職業學院副教授，主要研究方向為網絡安全、信息安全等。