广告

超轻量级的认证

开放获取
  • 2.7 k下载

摘要

在本章中,我们提供了一个关键看最先进的超轻量级身份验证协议。我们首先概述当前普遍存在的和普遍存在的计算环境的特性,这些特性推动了只使用基本算术和逻辑操作的超轻量级范式的开发。我们强调其目标和主要挑战。然后,我们将注意力集中在身份验证问题上。我们使用一个抽象的框架来建模这些年来提出的协议,以便讨论它们的设计策略以及它们旨在实现的安全性和隐私属性。然后,我们调查了在设计和分析超轻量级身份验证协议时的弱点和常见缺陷。最后,讨论了本章的基本思路和研究方向。

6.1简介

但是一个完全连接的小设备世界

在当今的技术基础设施中,小型和廉价的设备正变得越来越重要。在自然界中普遍存在的现代计算范式,包括监控物理对象的状态、捕获有意义的数据以及通过网络通道与处理服务器进行数据通信的方法。在许多情况下,连接系统的端点元素是连接到物理对象上的小型廉价设备。这些设备携带识别信息,并用于实现某些功能:打开和锁门,控制加热系统,在购物篮中分类商品,识别物体,操作防盗系统,等等。无线通信在这一领域扮演着重要的角色,特别是在处理移动对象,其中无线电和近场频率是常用的。以射频识别(RFID)为例,有“标签”和“阅读器”。标签是用来标记物体的微小设备;它们包含数据并与读者交流。阅读器是更大的设备,它收集信息并将其转发给处理数据的后端服务器。RFID标签已经广泛应用于跟踪对象(例如,在配送中心配送的货物)。 Tags, in their most basic form, the被动其一,没有电池:它们从阅读器无线接收能量。标签极其便宜,成本在几美分左右。它们在计算能力方面受到严重限制。

一般来说,目前可用的所有形式的小型设备都是系统中的薄弱环节(例如,见[579),对安全和隐私问题的良好解决方案至关重要。特别是,身份验证(两个实体相互确认身份的过程)是开发安全应用程序的基本步骤。

6.1.2认证:协议分类和物理约束

不幸的是,在超轻量级设置中,身份验证问题是一个具有挑战性的问题。事实上,这些设备的局限性严重影响了协议的设计。在[139]粗分类将认证协议划分为4类:成熟的简单的轻量级,超轻量级的.这种划分是基于受约束设备的能力。成熟的协议允许使用公钥和对称密钥加密。因此,他们可以充分利用标准的加密工具。简单协议依赖于有限数量的加密功能,如伪随机数生成和哈希。轻量级协议进一步限制了可用的密码学。它们避免了哈希,转而使用更简单的操作,比如CRC校验和。最后,超轻量级协议只依赖于基本的算术和逻辑操作(模块化加法,而且xor等)。

虽然上面的分类并没有提供各种类别之间的确切区分,但我们仍然采用它,因为它已经在文献中出现的几篇论文中使用。在本章中,我们关注的是非常小的计算元素,如被动RFID标签,以及这种设备的超轻量级认证协议。很有可能,未来互联世界的很大一部分将由超轻量级计算元素组成。事实上,如在[308,尽管技术进步使我们能够在相同的价格下制造出性能改善、价格低廉的设备,但市场通常要求我们使用性能相同、价格越来越低的设备。因此,我们应该继续与最不强大的国家打交道。

这些便宜的设备究竟有什么限制?在[26,作者提供了约束的详细描述。1这些限制主要受硬件因素的影响:芯片大小、功耗和时钟速度。这种设备的计算能力的一个标准衡量是门等效(GE)元件的数量,它反映了集成在设备上的电路所包含的逻辑门的数量。

让我们以RFID标签为例。一个RFID标签可以以非常慢的速度进行通信(通常在200kb /s以下),并且假定身份验证必须在合理的时间限制内发生(例如,150ms),这是协议可以使用的总通信大小的上限。RFID标签通常不超过2000个标签。这种限制是由可用的物理区域和设备的成本所决定的。大多数门用于标签的基本功能,只有一小部分仍然可用来实现身份验证协议。最便宜的RFID标签是被动供电的。它们通过读者发出的电磁场接收能量;这限制了在一次运行的身份验证协议中可以使用的总功耗。标签可用的功率与标签和读取器必须操作的最大距离成反比:更大的距离意味着更少的可用功率,这对时钟速度施加了限制(典型的限制是100 kHz),因此,在给定的时间范围内,标签被允许执行的指令数量来完成协议的运行。RFID标签的另一个限制是内存位的总数:一个典型的限制是2048位。

最后,请注意,身份验证协议通常依赖于随机或伪随机数生成器。无源RFID标签几乎负担不起这样的组件。虽然存在低成本的伪随机生成器,但它们仍然给RFID标签带来了巨大的负担。一个生成器可能需要使用超过1000个ge,这超过了这些设备上通常可用的ge总数的一半。

6.1.3设计的挑战

可以通过几种方式实现身份验证。标准的身份验证协议表现为challenge-and-response构造,并利用公钥或对称密钥加密。有时它们需要可信的第三方的存在。在所有情况下,协议中涉及的各方必须能够执行所需的加密算法(例如,使用AES加密数据片段)。因此,不用说,标准的认证协议并不是为超轻量级设备量身定制的。因此,只需要使用基本操作的超轻量级身份验证协议。因此,要达到标准身份验证协议提供的同等安全级别可能要困难得多,甚至可能是不可能的,这一点不应该让人感到惊讶。

因此,考虑到硬件限制,超轻量级身份验证的真正挑战是获得尽可能高的安全性。部分挑战涉及到一个正式模型的开发,该模型可用于评估通过超轻量级身份验证协议实现的安全性和隐私性。

如今,安全断言用形式化的数学模型表示,用于描述问题和分析提出的解决方案。特别是,安全性断言用正式的数学术语表示,密码协议建立在计算硬度假设的基础上,证明采用数学约简的形式。正如我们将在下面几节中讨论的那样,应该使用类似的严格方法来处理超轻量级密码学。我们可能不得不重新考虑,或者适当地调整,在这个正式的框架中设计了超轻量级协议,并评估了关于这些协议的安全性和隐私断言。

6.1.4分会的组织

在教派。6.2我们提供了一个通用的简明框架,该框架捕获了已知的超轻量级认证协议的公共结构,并讨论了它们旨在实现的设计策略和属性。然后,在教派。6.3,我们指出了使用非常有限的计算设备来实现安全的局限性,这些设备只允许简单的操作。具体地说,我们调查了超轻量级身份验证协议设计中的弱点和常见缺陷。在教派。6.4,我们详细阐述了使用安全和隐私模型的重要性,并为合理的设计策略提供建议。最后,在教派。6.5我们给出了一些结论。

6.2超轻量级的身份验证协议

2006年前后,文献中出现了超轻量级的相互认证协议。米2美联社(467], LMAP [466]及EMAP [465是第一个设计在只有几百个门的电路上执行的协议。他们被统称为UMAP家庭.第二年,另一项名为SASI的协议[139,解决了这些协议中存在的一些弱点。SASI受到了密码分析师和设计师的极大关注。然而,就像它的前辈一样,它在几个月内很快就被打破了。令人惊讶的是,随后出现了大量类似的协议,其“结构”仍在使用。

几乎所有提议的超轻量级相互认证协议都可以看作是一个通用框架的实例。这涉及到三个实体:标签、阅读器和后端服务器。我们假定读写器和后端服务器之间的通道是安全的,但是读写器和标签之间的通道是公共的,容易受到攻击。为了简化描述,我们说读取器执行一些计算,即使读取器只是转发消息,而后端服务器是执行计算的真实实体。

每个标签都有一个静态标识符ID,它是在生产时硬编码到电路中,从来没有透露。此外,标签有一个笔名id,还有一些密钥,它们存储在标记内存中,通常在每次成功执行协议后更新。所有这些值都是位字符串,长度不超过100位。常用值为64和96。

读者期望能够产生随机数伪随机数

后端服务器,用于每个带有静态标识符的标记ID,将假名和键存储在一个表中,因此它们与标记共享。

认证协议只有几轮。通常情况下,四个。

数字6.1描述了许多超轻量级身份验证协议的结构。这里我们提供了消息的描述:
  • 你好消息是阅读器激活标签的起始消息,为其提供后续计算所需的能量。
    图6.1

    一般框架:认证协议的步骤

  • id是当前的假名,标记将其发送给读取器并启动后续的身份验证协议。

  • 值序列一个1一个2、……一个n,通常以下列形式使用:第一个值是一种航空公司对于新鲜的随机或伪随机生成的数字,而最后的是真实的身份验证器,通过使用随机数、密钥以及读写器和标签之间共享的信息来计算。从一些一个标签,通过使用密钥,检索由阅读器选择的随机数。然后,通过使用密钥、检索到的随机数和其他一些共享信息,标记重新计算剩下的信息一个并检查它们是否与收到的相符。这种检查的目的是确保所传递价值观的完整性和真实性。

  • 的值B1B2、……Bk最后,被读写器用作标签已对读写器进行身份验证的确认,并完成对读写器的标签身份验证。它们以类似于值的方式生成和使用一个1一个2、……一个n

在成功执行之后,读取器和标记会更改笔名id通过应用一些更新函数,对标记和所有密钥进行更新。更新函数使用id以及在协议的最后一次执行中使用的密钥,以及一些随机数字。的更新函数id也使用静态标记ID

在实践中,许多协议要求读取器和标签同时存储新内容id和前面的密钥序列一样id和之前的密钥序列。原因是标记在读取器之前完成协议。如果出于某种原因,不管是否是敌对的,读取器没有完成协议,标签就会更新id和秘钥,而读者不。然后,在随后的执行中,读取器和标记互不识别。从技术上讲,它们不是同步了。通过保留旧的值元组,可以修改身份验证协议,以便在读取器不回复新值的情况下id,则标签发送旧的id再次使用旧的密钥序列执行身份验证协议。

为了举例说明总体框架,请注意在M2AP和EMAP三个值从阅读器发送到标签,两个值从标签发送到阅读器。在LMAP, SASI和Gossamer中[463]时,三个值从阅读器发送到标签,一个值从标签发送到阅读器。接下来是KMAP中最新的协议[323], RCIA [431)和SASI+431],三个值从阅读器发送到标签,一个值从标签发送到阅读器,而在SLAP [383两个值从阅读器发送到标签,一个值从标签发送到阅读器。然而,有些协议稍微偏离了一般框架,例如,RAPP [554再来一轮。

为了获得计算的概念,让我们看看SASI。表示由K 1而且K 2阅读器和标记之间共享的两个密钥n 1而且n 2由读取器生成的两个新的随机值。此外,我们用⊕,∨,+ the表示xor以及模加法运算符。最后,表示腐烂年代)一个位字符串循环旋转函数,它返回字符串年代向左旋转的位置。这三个值,一个 1一个 2而且一个 3.,由读者计算为:
$$\displaystyle \begin{aligned}A_1=\mathit{IDS}\oplus K_1 \oplus n_1, \quad A_2=(\mathit{IDS}\vee K_2)+n_2, \mbox{and} A_3=(K_1 \oplus overline{K_2})+(\overline{K_1} \oplus K_2), \end{aligned}$$
在哪里\(\眉题{K_1} =腐烂(K_1 \ oplus甲烷,K_1) \ mbox{和}\眉题{K_2} =腐烂(K_2 \ oplus n_1 K_2)。\)然后,价值B 1,由标签计算,为
$$\displaystyle \begin{aligned}B_1=(\overline{K_2}+ID)\oplus((K_1\oplus K_2)\vee \overline{K_1})\end{aligned}$$
假名和键的更新函数是:
$ ${对齐}\ \ displaystyle \开始开始数组{}{1}\ mathit {ID} = (\ mathit {ID} _{老}+ \ mathit {ID}) \ oplus(甲烷\ oplus \眉题{K_1}), \四K_1 = \眉题{K_1}, \四K_2 = \眉题{K_2}, \ \ \{数组}结束\{对齐}$ $

考虑了一个示例计算之后,让我们转向身份验证协议的基本要求,即正确性:当读写器和标签至少共享一个协议时,它们会启动一个协议执行id而对应的密钥序列,且没有发生对抗动作或传输错误,则它们应该成功地完成执行并互相验证。

在设计超轻量级认证协议时,主要的安全和隐私目标是:
  • 抵抗去同步攻击。对手不应该能够使读取器和标记不同步。

  • 抵抗假冒攻击。对手不应该能够模拟到标签的读取器或到读取器的标签。

  • 匿名和抵制跟踪攻击。该协议应防止任何旨在识别标签的对抗行动,并应保证标签的运动不能被跟踪。

  • 抵抗重放攻击。协议应该不会受到攻击,在这种攻击中,对手从读取器和标记之间执行协议时收集消息,并将它们再次发送给双方,以破坏某些安全和隐私属性。

  • 提出安全。即使在某个时候标签被破坏了,而对手得到了存储在标签内存中的秘密信息,过去的通信应该不会受到影响。

  • 抵抗泄漏和泄露攻击。协议不应该在对抗行为下泄露秘密信息,并且没有办法访问标签和读写器之间共享的秘密信息。

在某些应用程序中,上面的一些目标应该保证不会出现被动对手,他只是窃听协议执行,而其他人应该对活跃的对手,他可以拦截和修改消息并与各方交互。

在下一节中,我们将详细介绍安全性和隐私属性。事实上,在这个领域,它们几乎总是以一种非正式的方式表达,如列表项要求这需要实现。没有严格的模型被用来清楚地陈述目标和证明给定协议的优点。的证明是旨在说服读者相信设计的优点的论点。如[169在SASI协议的一个案例研究中,这种方法为意想不到的后果打开了大门。

6.3的弱点和缺陷

由于RFID标签的空间、能源和成本有限,超轻量化协议力求实现强大的安全性和私密性,同时满足极端的设计约束。不出所料,对文献中几乎所有提议的攻击都已发表。2

因此,在实践中没有一种协议能够合理地使用。3.尽管从这些失败中吸取了一些教训,尽管研究社区大力倡导更好的筛查,但协议一再成为常见陷阱的受害者,甚至在最近的提议中也是如此。以下是对主要弱点的简短描述。

6.3.1扩散和线性差

许多协议广泛使用所谓的“t函数”。在这些函数中,输出中的每个位只依赖于输入中相同或较低位置的位。二进制操作(例如,而且xor)和模加法均为t函数。

根据定义,在t函数中,不可能所有的输出位都依赖于所有的输入位,这是最大化“扩散”(密码学原语的一个重要属性)的理想场景。这在加密应用程序(轻量级或其他)中特别危险。解决这一缺点的唯一合理方法是将这些操作与其他不表现出这一特征的操作结合起来。不幸的是,许多设计师并没有遵循这个简单的组合规则,他们提出的方案完全基于t -function,这注定是失败的。LMAP [466是一个专门使用t函数的协议的例子,它在其密码分析中被利用[464].

线性,即f一个b) =f一个⊙)fb)是另一个麻烦的来源。的xor运算、旋转和其他排列都是线性的。与t函数一样,线性是可传递的(线性操作的组合是线性的),有些方案已经被证明是完全线性的,这很容易导致攻击。特别值得注意和常见的例子是,许多建议的安全性很大程度上是基于循环冗余码(crc)的使用。crc被设计用来纠正信道错误,但安全性非常低,如果有的话。

可怜的信息组成

在超轻量级协议上安全地设计交换的消息是一个困难的开放问题。确保交换的秘密尽可能安全,防止任何泄漏确实是一个巨大的挑战,特别是在这种受限的环境中。一般来说,消息应该保证良好的混淆(即键混合)和扩散特性。也就是说,秘密密钥(或多个密钥)应该完全参与到消息的构建中,秘密密钥中的细微变化应该导致完全不同的消息。然而,由于超轻量级协议的限制,消息通常使用少量操作构建,并且在许多情况下无法获得良好的混淆和扩散级别。

例如在LMAP中,密钥更新阶段被定义为:
$ $ \ displaystyle \{对齐}开始IDS ^ {(n + 1)} = (IDS ^ {(n)} +(甲烷、^ {(n)} \ oplus K_4 ^ {(n)})) \ oplus ID \{对齐}$ $
我们在哪里可以看到ID这是一个协议旨在保护的秘密,很简单xor他的价值观既有公开的,也有秘密的。这种操作表现出较差的混淆和扩散特性。尽管在不同的攻击中对这一特性的利用有所不同,但这一相当频繁的特征启发式地导致了秘密位的主要泄漏,因为消息的其余部分ID结合起来可能会有偏颇,或者被对手部分了解。

6.3.3偏置输出

许多轻量级方案的另一个重要缺点是,一些操作是有偏见的,这一特性在许多情况下会导致安全漏洞。这是典型的布尔函数,例如(∨)和而且(∧),xy而且xy对于无偏随机比特x而且y,严重(75%)的输出分别倾向于1和0。

这可能构成一个安全弱点,因为这些函数会泄露两个参数的信息。例如,如果xy= 0,那么x=y= 0,表示公开两个输入。对于均匀分布的输入,这种情况发生的概率为25%(类似于而且当然,)。在某些情况下,在看到一些交换之后,能够完全恢复所有的输入就足够了。

在LMAP中,读取器发送B= (idK2) +n1.攻击者因此可以使用B+ (2l−1)作为未知的“屏蔽的”现在的一个非常好的近似n1(平均来说,75%的比特是正确的),这个近似可以用于协议的其他部分来近似秘密(参见例[44)进行全面攻击,部分基于此)。

6.3.4旋转

旋转在密码学中已经使用了很长时间。许多现代的块密码和散列函数,如BLAKE [37]或RC5 [502依赖于ARX(添加,旋转,异或)范式。在硬件中实现旋转非常便宜,而且它们引入了扩散,这很好地补充了模块化加法和异或(显示出较差的扩散特性)。固定数量的旋转通常用于ARX设计,但数据依赖的旋转,如RC5分组密码[502),也存在。

SASI [139协议是第一个具有数据依赖旋转特性的超轻量级身份验证协议。从那时起,大多数超轻量级协议都使用了它们,在许多情况下,它们是临时攻击的弱点。除了线性之外,与数据相关的旋转最重要的缺点是只有l可能的输出。国防部n密码分析(319[也是一种很有前途的工具,可以利用旋转和附加攻击方案,尽管据我们所知,它从未被应用于超轻量级协议的密码分析中。另一方面,它已经被用来成功攻击区块密码,如RC5P和M6,它们使用相同的操作类型。

6.3.5知识积累的脆弱性

如果在协议中出现静态机密的部分泄漏,则存在明显的可跟踪性问题。事实上,攻击者有可能将窃听交换的两个泄露痕迹关联起来。一个典型的例子是恢复静态标识符的最低有效位(参见示例[473,第一次对SASI的可追溯性攻击)。更重要的是,攻击者有时能够在几轮后恢复完整的静态秘密。事实上,不同的观察结果可以用贝叶斯推断结合起来。这种攻击的一个例子是对SASI的完整密码分析[44].

同步协议的最初目标之一4就是提供前向隐私。向前隐私是一个比仅仅是隐私更强大的概念。简单地说,如果攻击者恢复了标记的内部状态(标识符和密钥的动态值),在过去的交互跟踪中无法识别标记,那么该协议就被称为前向私有协议。有关更正式的定义,请参见[453].如果在交换中使用的秘密都是静态的,那么转发隐私在协议中是无法实现的。事实上,如果攻击者在某个时刻知道标签的秘密,那么它在过去也知道,因为这个秘密在标签的生命周期内不会改变。因此,在之前的交互中,标签发送的消息可以被重新计算,并且很容易被识别。请注意,对于前向隐私,更改秘密是必需的,但它不能保证(实际上,有许多同步协议不是私有的,因此也不是前向私有的)。

更改秘密的一个积极的副作用是,如果在每一轮身份验证中只获得部分泄漏,那么在任何给定时间都可能更难获得完整的秘密。这似乎是一个很好的功能,因为从直觉上看,击中移动目标比击中静态目标更难。然而,这并不一定会使完全的密码分析变得不可能,只是稍微更难一点,正如Tango攻击所证明的那样[273468].

6.3.6安全性的可疑证明:随机性测试和自动化证明

在许多情况下,通过验证交换的消息看起来足够随机,就可以获得某种程度的安全性。为此,运行协议的多个会话,并记录交换的消息,然后使用各种随机测试电池(如众所周知的ENT)进行分析。568],顽固的[394]及NIST [509].不幸的是,这并不能证明任何安全级别(例如,LMAP提供了这样的“证明”,但在发布后不久就被破坏了)。可能会出现随机性,这不是一个设计良好的协议的结果,而仅仅是在消息混合中使用nonces的结果。随机性不是充分条件,也不是必要条件。说明这一点的一个简单方法是考虑高度格式化的消息,以及即使协议是安全的,由于部分或全部消息的格式化和填充,这些消息可能无法通过一些随机测试。

另一种流行但有缺陷的证明超轻量级协议安全性的方法是使用逻辑建模和形式化协议验证软件。

一个著名的例子是[492].这个计划被打破了464,尽管在BAN逻辑中附带了正式的安全性证明。作者错误地使用了CRC(正如EPC-C1-G2标准所推荐的那样),但是没有将其作为一种简单的错误检测工具,而是将其用于加密。在他们的理想模型中,他们将CRC的使用等同于加密,因此一些BAN逻辑规则(例如R1:消息含义规则)不再有效。这是一个常见的错误,因为像BAN逻辑(具有完美的、不可破解的和零泄露的密码)所建模的理想场景永远无法准确地模拟现实。建模阶段所需的抽象级别基本上使它在大多数实际情况下不切实际。不幸的是,这不仅是BAN逻辑的一个限制,而且在不同程度上,在大多数正式模型(GNY等)中也是如此。

6.4走向稳妥的方法

6.4.1文学的现状

RFID技术在安全和隐私研究领域引发了许多有趣的挑战,为非常低端的标签设计安全的身份验证协议无疑是其中之一。

然而,这一领域一直是大量质量可疑的论文的受害者。许多研究结果要么重复错误(针对新方案),要么重复过去的成就(针对攻击),或者两者兼而有之。与以前的协议相比,最近的协议通过使用存储在标签内存中的数据的更复杂的转换得到了增强。然而,错误似乎在重复:糟糕的设计选择,在转换中缺乏混乱和扩散,以及支持安全声明的非正式错误的安全分析[170].这种坏名声,再加上对RFID安全研究兴趣的整体下降,可能吓跑了许多经验丰富的密码学家,导致了该领域的相对停滞。

尽管目前的情况似乎表明,超轻量级协议注定会失败,但没有明确的证据表明,设计一个具有这种约束的安全协议是不可能的。

该领域现在可能是不活跃的,但有许多未解之谜(事实上,没有实际的、具体的和可信的协议从中产生)。虽然它可能会以不同的形式重新出现,但设计安全的身份验证协议,同时最小化其设计的某些方面(例如,门数)的问题不会消失,并且仍然是一个有趣的研究问题。

6.4.2有前途的方法

在低端系统中,对加密构建块的需求肯定不是超轻量级身份验证协议所独有的。一个更大的研究社区致力于所谓的“轻量级密码学”,有无数的应用。

特别是,在开发适合于轻量级身份验证的密码和哈希函数方面已经做出了很大的努力。一个值得注意的例子是kecak哈希函数[81],是SHA-3竞赛的冠军,硬件性能非常出色。此外,有许多正在进行的工作是开发专门的原语,更侧重于硬件占用空间/性能,可能会权衡“一些”安全性(例如,将128或256位安全性降低到80位)或其他方面,例如减少块大小或软件性能。示例包括PRESENT分组密码[101或hash函数PHOTON [251和夸克[33].

其中一些人,比如BLAKE [37]或RC5 [502是所谓的添加-旋转-异或算法,它们使用与超轻量级协议相同的操作集。

虽然还不完全符合对超轻量级协议施加的同样的极端限制,但它们是朝这个方向迈进的一块跳板。它们还受益于更广泛的曝光和审查,这对它们的整体安全来说是更好的兆头。

超轻量级协议采用了一种独特的方法,例如,在设计整个方案时,没有使用加密构建块作为黑盒。对这些轻量级原语使用标准的身份验证协议似乎更有希望。

6.4.3简化的方法

为RFID标签设计轻量级认证协议的一个深入研究的方法是由乙肝+协议(310这是建立在之前的基础上的乙肝协议(284,用来有效地对计算机进行人的身份验证。这些协议的安全性是基于解决的难点带噪声的学习奇偶性(LPN)问题[284].随后,出现了几个变体乙肝,但几乎所有的方法都存在一些问题,例如,[231232233457].不幸的是,根据[26),乙肝类协议不适合在超受限设备上实现。然而,识别允许设计超轻量级认证协议的硬问题是一个不应该放弃的研究方向。

另一种设计RFID标签身份验证协议的有趣方法在[520].文中介绍了一种用于RFID身份验证的轻量级哈希函数。这样的哈希函数的安全性关系到拉宾公钥方案的安全性。我们的想法是为a计算一个很好的数值近似值位的短窗口中间的密文由拉宾产生加密功能。拉宾加密函数使用一种特定形式的模量,在这种方式下,为对手计算这些比特位就像破坏整个拉宾方案一样困难。该方案的一个基本版本在[458].据我们所知,[的方法]520,但随后并没有其他重大提案出台。我们认为,这条旨在减少计算负担的同时保持完整协议的安全性,甚至以一种比完整协议更现实的方式,即付出比完整协议更小的损失的研究路线,是值得追求的,以获得该领域的改进。

6.5结论

我们提供了该领域的简短概述:从我们的远足来看,似乎很明显,超轻量级身份验证是一项具有挑战性的任务,目前的解决方案是不够的。目前的知识水平总体上是相当贫乏的。

也许,第一个重要的开放问题是为这类超轻量级协议提出一个合理的模型,以便深入了解这些协议的可能性和限制。

此外,我们注意到,虽然大多数超轻量级身份验证协议都被破坏了,但也有一些被破坏了比别人更破碎:如果一个人可以模拟10之后的标签6窃听会话,或者在1个这样的会话之后,这两种攻击在理论上有效地“破坏”了协议,但问题是,在某些设置中,前者是否代表了“可接受”或“足够”的安全级别?在安全性和复杂性之间进行这种权衡是非常独特的,例如,但不只是在ge中。我们应该考虑一下。

最后,建立在知名密码方法和实践基础上的积极的、有前途的途径是可用的。这是一个很好的起点,以获得新的发现,并实现适合应用市场的解决方案。

脚注

  1. 1

    的标题[26]使用术语“轻量级”,但其作者没有使用[139].载于[26事实上,是关于超受限的设备,比如RFID标签。

  2. 2

    据观察,超轻量级协议在发布后不久就相对容易地“被破坏”了。Avoine等[43)显示了一项简短的统计研究,并保守地得出结论,大多数在4个月内就被打破了。

  3. 3.

    据我们所知,Gossamer协议[463是唯一一个没有任何公开攻击的实例,尽管已经发现了其构造中的一些弱点[130].此外,Gossamer的功能更丰富,可以说,它几乎不可能被认为是“超轻”的。

  4. 4

    在同步协议中,双方在每次执行协议后,对他们的密钥和状态信息应用相同的更新功能。

参考文献

  1. 26.
    弗雷德里克·阿姆克内希特,马提亚斯·哈曼和瓦西里·米哈列夫。关于超轻量级rfid的轻量级认证协议-神话和事实。在射频识别安全工作坊-射频识别第14期2014年7月,英国牛津。谷歌学者
  2. 33.
    Jean-Philippe Aumasson, Luca Henzen, Willi Meier和María Naya-Plasencia。夸克:轻量级散列。《密码学, 26(2): 313-339, 2013年4月。MathSciNetCrossRef谷歌学者
  3. 37.
    Jean-Philippe Aumasson, Samuel Neves, Zooko Wilcox-O 'Hearn和Christian Winnerlein。BLAKE2:更简单,更小,和MD5一样快。在Michael J. Jacobson Jr, Michael E. Locasto, Payman Mohassel和Reihaneh safavii - naini,编辑,第11届应用密码学与网络安全国际会议的第7954卷计算机科学课堂讲稿, 119-135页,班夫,AB,加拿大,2013年6月25-28日。beplay登入施普林格。谷歌学者
  4. 43.
    Gildas Avoine, Xavier Carpent,和Julio Hernandez-Castro。超轻量级认证协议设计中的缺陷。IEEE反式。暴徒。第一版。15(9): 2317 - 2332年,2016年。CrossRef谷歌学者
  5. 44.
    吉尔达斯·阿维恩,泽维尔·卡彭特,还有本杰明·马丁。强认证和强完整性(SASI)并不是那么强。在S.B.奥尔斯亚尔辛,编辑,射频识别保安工作坊-射频识别第10期,第6370卷计算机科学课堂讲稿, 50-64页,伊斯坦布尔,土耳其,2010年6月。beplay登入施普林格。谷歌学者
  6. 81.
    G. Bertoni, J. Daemen, M. peters和G. Van Assche。海绵功能家族主要文件。提交给NIST(第二轮),2009年。谷歌学者
  7. 101.
    Andrey Bogdanov, Lars R. Knudsen, Gregor Leander, Christof Paar, Axel Poschmann, Matthew J. B. Robshaw, Yannick Seurin和C. Vikkelsoe。一种超轻量级分组密码。Pascal Paillier和Ingrid Verbauwhede,编辑们,密码硬件和嵌入式系统的第4727卷计算机科学课堂讲稿, 450-466页,维也纳,奥地利,2007年9月10-13日。beplay登入施普林格。谷歌学者
  8. 130.
    泽维尔Carpent。RFID认证和时间-内存权衡.博士论文,鲁汶天主教大学,新鲁汶,比利时,2015。谷歌学者
  9. 139.
    庄志渊简。SASI:一种新的超轻型RFID认证协议,提供强认证和强完整性。IEEE可靠与安全计算汇刊, 2007年12月,4(4):337-340。CrossRef谷歌学者
  10. 169.
    保罗·达科和阿尔弗雷多·德·桑蒂斯。关于超轻量RFID认证协议。IEEE可靠与安全计算汇刊, 99(预印本),2010。谷歌学者
  11. 170.
    Paolo D 'Arco和Roberto De Prisco。最近的超轻型RFID认证协议的设计弱点。在信息通信技术系统安全和隐私保护-第33届IFIP TC 11国际会议,SEC 2018,在第24届IFIP世界计算机大会上举行,WCC 2018,波兰波兹南,2018年9月18-20日,会议记录, 2018年第3-17页。谷歌学者
  12. 231.
    Henri Gilbert, Matthew Robshaw,和Hervé Sibert。对HB的主动攻击+-一个可证明安全的轻量级认证协议。专业电子信件, 41(21): 1169-1170。CrossRef谷歌学者
  13. 232.
    亨利·吉尔伯特,马修·j·b·罗布肖,亚尼克·瑟林。好的HB+变体很难找到。编辑Gene Tsudik说,FC 2008:第12届金融密码学和数据安全国际会议的第5143卷计算机科学课堂讲稿,第156-170页,科苏梅尔,墨西哥,2008年1月28-31日。beplay登入施普林格。谷歌学者
  14. 233.
    亨利·吉尔伯特,马修·j·b·罗布肖,亚尼克·瑟林。乙肝:提高HB的安全性和效率+.编辑Nigel P. Smart说,密码学进展- EUROCRYPT 2008的第4965卷计算机科学课堂讲稿,第361-378页,伊斯坦布尔,土耳其,2008年4月13-17日。beplay登入施普林格。谷歌学者
  15. 251.
    郭健,托马斯·佩林,阿克塞尔·波希曼。PHOTON家族的轻量级哈希函数。在编辑Phillip Rogaway身上,密码学进展- CRYPTO 2011,第6841卷计算机科学课堂讲稿, 222-239页,圣巴巴拉,加州,美国,2011年8月14-18日。beplay登入施普林格。谷歌学者
  16. 273.
    Julio C. Hernandez-Castro, Pedro Peris-Lopez, Raphael C.W. Phan和Juan M. Estevez-Tapiador。David-Prasad RFID超轻量化认证协议的密码分析。在S.B.奥尔斯亚尔辛,编辑,射频识别保安工作坊-射频识别第10期,第6370卷计算机科学课堂讲稿, 22-34页,伊斯坦布尔,土耳其,2010年6月。beplay登入施普林格。谷歌学者
  17. 284.
    尼古拉斯·j·霍珀和曼纽尔·布鲁姆。安全的人体识别协议。编辑科林·博伊德密码学进展-亚洲密码2001,第2248卷计算机科学课堂讲稿, 52-66页,黄金海岸,澳大利亚,2001年12月9-13日。beplay登入施普林格。谷歌学者
  18. 308.
    Ari Juels。RFID安全与隐私:研究综述。IEEE通讯选定领域杂志, 2006年2月,24(2):381-394。MathSciNetCrossRef谷歌学者
  19. 310.
    Ari Juels和Stephen A. Weis。使用人类协议对普及设备进行身份验证。编辑维克多·苏普,密码学进展- CRYPTO 2005的第3621卷计算机科学课堂讲稿,页293-308,圣巴巴拉,加州,美国,2005年8月14-18日。beplay登入施普林格。谷歌学者
  20. 319.
    约翰·凯尔西,布鲁斯·施奈尔和大卫·瓦格纳。国防部n密码分析,应用于RC5P和M6。在Lars R. Knudsen,编辑,快速软件加密- FSE ' 99,第1636卷计算机科学课堂讲稿, 139-155页,意大利罗马,1999年3月24-26日。beplay登入施普林格。谷歌学者
  21. 323.
    Umar Mujahid Khokhar, Muhammad Najam-ul-Islam和Shahzad Sarwar。一种新的用于无源低成本标签的超轻型RFID认证协议:KMAP。无线个人通信, 94(3): 725 - 744年,2017年。谷歌学者
  22. 383.
    罗汉光、文广军、苏建、黄忠。用于低成本RFID系统的简洁和轻量级的身份验证协议。无线网络24(1): 69 - 78年,2018年。CrossRef谷歌学者
  23. 394.
    乔治马。马萨加利亚随机数光盘,包括随机试验的硬电池,1995年。谷歌学者
  24. 431.
    奥马尔·穆贾希德,穆罕默德·纳贾姆·伊斯兰,还有阿里·沙米。RCIA:一种使用递归哈希的新型超轻型RFID身份验证协议。国际分布式传感器网络杂志, 2014年12月。谷歌学者
  25. 453.
    大久保宫子、铃木久太郎、木下真吾。“隐私友好”标签的加密方法。在RFID隐私车间2003年11月,美国麻省理工学院。谷歌学者
  26. 457.
    Khaled Ouafi, Raphael Overbeck和Serge Vaudenay。关于hb#对中间人攻击的安全性。编辑Josef Pieprzyk说,密码学进展- ASIACRYPT 2008,第5350卷计算机科学课堂讲稿, 108-124页,墨尔本,澳大利亚,2008年12月7-11日。beplay登入施普林格。谷歌学者
  27. 458.
    Khaled Ouafi和Serge Vaudenay。粉碎SQUASH-0。在编辑Antoine Joux看来,密码学进展- EUROCRYPT 2009,第5479卷计算机科学课堂讲稿,页300-312,科隆,德国,2009年4月26-30日。beplay登入施普林格。谷歌学者
  28. 463.
    Pedro Peris-Lopez, Julio Hernandez-Castro, Juan M. Estévez-Tapiador和Arturo Ribagorda。用于低成本RFID标签的超轻加密技术的进展:游丝协议。在Kyo-Il Chung Kiwook Sohn和Moti Yung,编辑,WISA 08:第九届信息安全应用国际研讨会,第5379卷计算机科学课堂讲稿, 56-68页,济州岛,韩国,2009年9月23-25日。beplay登入施普林格。谷歌学者
  29. 464.
    Pedro Peris-Lopez, Julio C. Hernandez-Castro, Juan M. Estevez-Tapiador, Tieyan Li和Jan C.A. van der Lubbe。最近两种轻量级RFID认证协议的弱点。在RFID安全研讨会- RFID ' 092009年7月,比利时鲁汶。谷歌学者
  30. 465.
    Pedro Peris-Lopez, Julio C. Hernandez-Castro, Juan M. Estevez-Tapiador和Arturo Ribagorda。EMAP:一种用于低成本RFID标签的有效的相互认证协议。在OTM联合会议和研讨会:IS Workshop - IS ' 06,第4277卷计算机科学课堂讲稿,第352-361页,法国蒙彼利埃,2006年11月。beplay登入施普林格。谷歌学者
  31. 466.
    Pedro Peris-Lopez, Julio C. Hernandez-Castro, Juan M. Estevez-Tapiador和Arturo Ribagorda。LMAP:一个用于低成本RFID标签的真正轻量级的相互认证协议。在RFID安全研讨会- RFID ' 062006年7月,奥地利格拉茨。Ecrypt。谷歌学者
  32. 467.
    Pedro Peris-Lopez, Julio C. Hernandez-Castro, Juan M. Estevez-Tapiador和Arturo Ribagorda。M2AP:一种用于低成本RFID标签的极简互鉴协议。在马建华、金海、杨天若和蔡崇信的编辑中,国际泛在智能与计算会议- UIC ' 06,第4159卷计算机科学课堂讲稿,第912-923页,武汉与三峡,中国,2006年9月。beplay登入施普林格。谷歌学者
  33. 468.
    Pedro Peris-Lopez, Julio C. Hernandez-Castro, Raphael C.- w。Juan M. E. Tapiador和Tieyan Li。一种安全的RFID超轻量级认证协议的准线性密码分析。在第六届中国信息安全与密码学国际会议——Inscrypt2010年10月,中国上海。beplay登入施普林格。谷歌学者
  34. 473.
    拉斐尔C.-W。表象。一种新型的超轻型RFID认证协议SASI的密码分析。IEEE可靠与安全计算汇刊, 99(1), 2008。谷歌学者
  35. 492.
    蔡庆玲,詹艺菊,王永华。一种极简的RFID系统互认证协议& BAN逻辑分析。在计算、通信、控制和管理国际研讨会- CCCM ' 08。,第二卷,449-453页,2008年8月。谷歌学者
  36. 502.
    罗纳德·l·莱维斯特。RC5加密算法。编辑Bart Preneel,快速软件加密- FSE ' 94的第1008卷计算机科学课堂讲稿, 86-96页,鲁汶,比利时,1995年12月14-16日。beplay登入施普林格。谷歌学者
  37. 509.
    Andrew Rukhin, Juan Soto, James Nechvatal, Miles Smid和Elaine Barker。一种用于加密应用的随机和伪随机数生成器的统计测试套件。技术报告,DTIC文件,2001。谷歌学者
  38. 520.
    阿迪。一个新的MAC,具有可验证的安全特性,适用于高度受限的设备,如RFID标签。佳兆业·纽伯格,编辑,快速软件加密- FSE 2008,第5086卷计算机科学课堂讲稿,第144-157页,瑞士洛桑,2008年2月10-13日。beplay登入施普林格。谷歌学者
  39. 554.
    田云,陈公亮,李建华。一种新型的超轻量排列RFID认证协议。IEEE通信信, 16(5): 702-705, 2012年5月。CrossRef谷歌学者
  40. 568.
    约翰·沃克。Ent,一个伪随机数序列测试程序。Fourmilab, 2008年。谷歌学者
  41. 579.
    奥斯卡Williams-Grut。黑客曾经通过大堂鱼缸里的温度计窃取了一家赌场的豪客数据库。商业内幕,2018。谷歌学者

版权信息

©作者(s) 2021

开放获取本章根据知识共享署名4.0国际许可协议(http://creativecommons.org/licenses/by/4.0/),它允许以任何媒介或格式使用、共享、改编、分发和复制,只要您适当地注明原作者和来源,提供创作共用许可的链接,并说明是否进行了更改。

本章中的图像或其他第三方材料均包括在本章的创作共用许可中,除非材料的信用额度另有说明。如果材料不包括在本章的创作共用许可中,并且您的预期使用不被法定法规允许或超过允许的使用,您将需要直接获得版权持有人的许可。

作者和联系

  1. 1.加州大学欧文美国
  2. 2.萨勒诺大学Fisciano意大利

个性化推荐