تحلیل امنیتی پروتکل بهبود‌یافته SPRS: یک پروتکل احراز اصالت برای سامانه‌های RFID

نویسنده

دانشگاه تربیت دبیر شهید رجایی

چکیده

پروتکل‌های احراز اصالت یکی از ابزارهایی هستند که برای اطمینان از هویت طرفین در فضای سایبری استفاده می‌شوند. اگر این‌چنین پروتکل‌هایی دارای ضعف باشند، امنیت فضای سایبری با تهدیدات جدی روبرو می‌شود که این تهدیدات در کاربردهای نظامی، از اهمیت فوق‌العاده‌ای برخوردار است. اخیراً در مرجع ] 1[ یک پروتکل احراز اصالت به نام SPRS ] 2[ مورد بررسی قرار گرفته است و حملاتی مانند کشف مقادیر مخفی، جعل هویت برچسب و ردیابی برچسب به آن اعمال شده است. هم‌چنین نویسندگان مقاله مذکور در همان منبع ] 1[ نسخه بهبود-یافته این پروتکل را معرفی نموده‌اند و ادعا کرده‌اند که این پروتکل برخلاف نسخه پیشین خود هم در مقابل حملات وارده بر نسخه پیشین و هم در برابر دیگر حملات فعال و غیر فعال امن است.
ما در این مقاله نشان می‌دهیم که متاسفانه ادعاهای امنیتی نویسندگان صحیح نمی‌باشد و پروتکل بهبود‌یافته هم در مقابل حمله کشف مقادیر مخفی و حمله ردیابی برچسب آسیب‌پذیر است. ما دو نسخه بیرون از خط و برخط از حمله کشف مقادیر مخفی را ارائه می‌دهیم. نسخه بیرون از خط با پیچیدگی یک بار شنود پروتکل و اجرای بار ارزیابی تابع PRNG امکان‌پذیر است و نسخه برخط با پیچیدگی دو بار جعل هویت برچسب‌خوان و اجرای بار ارزیابی تابع PRNG امکان‌پذیر است. با این حملات، پروتکل بهبود‌یافته در مقابل دیگر حملات فعال و غیرفعال دیگر هم امن نمی‌باشد.
علاوه بر این، یک حمله ردیابی برچسب ارائه می‌شود که مستقل از طول تابع PRNG می‌باشد و با استفاده از آن حمله‌کننده قادر است که برچسب را بین دو نشست با برچسب‌خوان ردیابی کند.

کلیدواژه‌ها


M. Mardani Shahrbabak, B. Abdolmaleki, and K. Baghery,
“Weaknesses of SPRS Authentication Protocol and Present a
Developed Protocol for RFID Systems,” Journal of
Electronical & Cyber Defence, vol. 3, no. 3, pp. 39-48, 2016.
F. Xiao, Y. Zhou, J. Zhou, H. Zhu, and X. Niu, “Security
Protocol for RFID System Conforming to EPC-C1G2
Standard,” JCP, vol. 8, no. 3, pp. 605-612, 2013.
“EP Cglobal Inc.,” [Online]:
Available:http://www.epcglobalinc.org. [Accessed 04 06
.
M. Burmester, B. de Medeiros, J. Munilla, and A. Peinado,
“Secure EPC Gen2 Compliant Radio Frequency
Identification,” in ADHOC-NOW, LNCS 5793, pp. 227-240,
C.-L. Chen and Y.-Y. Deng, “Conformation of EPC Class 1
Generation 2 Standards RFID System with Mutual
Authentication and Privacy protection,” Eng. Appl. AI, vol.
, no. 8, pp. 1284–1291, 2009.
T. C. Yeh, Y. J. Wang, T. C. Kuo, and S. S. Wang, “Securing
RFID systems conforming to EPC Class-1Generation-2
standard,” Expert Syst. Appl., vol. 37, no. 12, pp. 7678-7683,
E.-Y. Choi, D.-H. Lee, and J.-I. Lim, “Anti-cloning Protocol Suitable to EPCglobal Class-1 Generation-2 RFID Systems,” Comp. Stand. Inter., vol. 31, no. 6, pp. 1124-1130, 2009.
M. H. Habibi, M. R. Alaghband, and M. R. Aref, “Attacks on a Lightweight Mutual Authentication Protocol under EPC C-1 G-2 Standard,” in WISTP, LNCS 6633, pp. 254-263, 2011.
M. H. Habibi, M. Gardeshi, and M. R. Alaghband, “Practical Attacks on a RFID Authentication Protocol Conforming to EPC C-1 G-2 Standard,” IJU, vol. 2, no. 1, pp. 1-13, 2011.
G. Jin, E.-Y. Jeong, H.-Y. Jung, and K.-D. Lee, “RFID Authentication Protocol Conforming to EPC Class-1 Generation-2 standard,” Arabnia HR, Daimi K (eds) Security and Management, CSREA Press, USA, pp. 227–231, 2009.
E.-J. Yoon, “Improvement of the Securing RFID Systems Conforming to EPC Class 1 Generation 2 Standard,” Expert Syst. Appl., vol. 39, no. 11, pp. 1589-1594, 2012.
N.-W. Lo and K.-H. Yeh, “A Secure Communication Protocol for EPCglobal Class 1 Generation 2 RFID Systems,” in IEEE 24th international conference on advanced information networking and applications workshops, pp. 562–566, 2010.
P. Peris-Lopez, J. C. H. Castro, J. M. Este´vez-Tapiador, and A. Ribagorda, “Cryptanalysis of a Novel Authentication Protocol Conforming to EPC-C1G2 Standard,” Comp. Stand. Inter., vol. 31, no. 2, pp. 372-380, 2009.
P. Peris-Lopez, J. C. H. Castro, J. M. Este´vez-Tapiador, and A. Ribagorda, “RFID Specification Revisited,” The internet of things: from RFID to the next-generation pervasive networked systems, Taylor& Francis Group, London, pp. 311-346, 2008.
P. Peris-Lopez, J. C. Hernandez-Castro, J. E. Tapiador, and J. C. A. van der Lubbe, “Cryptanalysis of an EPC Class-1 Generation-2 Standard Compliant Authentication Protocol,” Eng. Appl. AI, vol. 24, no. 6, pp. 1061-1069, 2011.
P. Peris-Lopez, T. Li, and J. C. Hernandez-Castro, “Lightweight Props on the Weak Security of EPC Class-1 Generation-2 Standard,” IEICE Trans., vol. 93-D, no. 3, pp. 518-527, 2010.
P. Peris-Lopez, T. Li, J. C. Hernandez-Castro, and J. E. Tapiador, “Practical Attacks on a Mutual Authentication Scheme under the EPC Class-1 Generation-2 Standard,” Comput. Commun., vol. 32, no. 7-10, pp. 1185-1193, 2009.
T. Shirai, K. Shibutani, T. Akishita, S. Moriai, and T. Iwata, “The 128-bit blockcipher CLEFIA (extended abstract),” in Biryukov A(ed) FSE, LNCS 4593, pp. 181-195, 2007.
K.-H. Yeh and N.-W. Lo, “Improvement of an EPC Gen2 Compliant RFID Authentication Protocol,” in IAS. IEEE Computer Society, pp. 532-535, 2009.
H. Martin, E. S. Millan, L. Entrena, J. C. H. Castro, and P. Peris-Lopez, “Akari-x: A Pseudorandom Number Generator for Secure Lightweight Systems,” in IOLTS, pp. 228-233, IEEE, 2011.
H. Niu, E. Taqieddin, and S. Jagannathan, “EPC Gen2v2 RFID Standard Authentication and Ownership Management Protocol,” IEEE Trans. Mob. Comput., vol. 15, no. 1, pp. 137-149, 2016.
W. I. Khedr, “On the Security of Moessner's and Khan's Authentication Scheme for Passive EPCglobal C1G2 RFID Tags,” I. J. Network Security, vol. 16, no. 5, pp. 369-375, 2014.
S. Wang, S. Liu, and D. Chen, “Security Analysis and Improvement on Two RFID Authentication Protocols,” Wireless Pers. Commun., vol. 82, no. 1, pp. 21-33, 2015.
F. Moradi, H. Mala, and B. T. Ladani, “Cryptanalysis and Strengthening of SRP+ Protocol,” ISCISC 2015, pp. 91-97, 2015.
M. Safkhani, N. Bagheri, M. Hosseinzadeh, M. Eslamnezhad Namin, and S. Rostampour, “On the (im)possibility of receiving security beyond 2l using an l-bit PRNG: the case of Wang et. al. protocol,” Wireless Pers. Commun., 2016. doi:10.1007/s11277-016-3623-z
N. Bagheri, M. Safkhani, and H. Jannati, “Security Analysis of Niu et al. Authentication and Ownership Management Protocol,” IACR Cryptology ePrint Archive 2015: 615 , 2015.