基于 LMAP和 EAP-SAKE的 RFID系統(tǒng)安全解決方案

呂欣美

(中州大學(xué)就業(yè)指導(dǎo)中心,鄭州 450044)

1.引言

無線射頻識別(Radio Frequency IDentification,RF ID)是一種利用射頻信號自動識別目標(biāo)對象并獲取相關(guān)信息的技術(shù)。與條形碼技術(shù)相比,RF ID技術(shù)具有使用壽命長、讀取距離遠(yuǎn)、掃描速度快、數(shù)據(jù)存儲量大等優(yōu)點(diǎn)。目前,其應(yīng)用領(lǐng)域日益擴(kuò)大,已在制造、零售、物流等領(lǐng)域顯示出強(qiáng)大的實(shí)用價(jià)值和發(fā)展?jié)摿Α?/p>

RF ID系統(tǒng)主要包括三個(gè)組成部分:標(biāo)簽 (Tag)、讀寫器(Reader)和后端數(shù)據(jù)庫 (Backend database)。標(biāo)簽主要由芯片和內(nèi)置天線組成,存儲有所附的物品信息,可以和讀寫器進(jìn)行通信。讀寫器主要用于和標(biāo)簽進(jìn)行通信,并將標(biāo)簽所發(fā)送的消息轉(zhuǎn)發(fā)給后端數(shù)據(jù)庫進(jìn)行處理,以及將后端數(shù)據(jù)庫的處理結(jié)果轉(zhuǎn)發(fā)給標(biāo)簽。后端數(shù)據(jù)庫主要為整個(gè)系統(tǒng)提供各種服務(wù),如認(rèn)證服務(wù)等。

阻礙 RF ID系統(tǒng)進(jìn)一步推廣應(yīng)用的一個(gè)關(guān)鍵問題是系統(tǒng)中信息的安全性。標(biāo)簽和讀寫器之間采用的是無線通信,具有開放性的特點(diǎn),容易受到竊聽攻擊。而且 RF ID標(biāo)簽的計(jì)算能力、存儲空間和電力供應(yīng)都非常有限,無法執(zhí)行對稱或非對稱密碼算法,為保護(hù)系統(tǒng)中信息的安全性帶來很大困難[1,2]。

目前所進(jìn)行的研究工作主要集中于研究標(biāo)簽與標(biāo)簽讀寫器之間的安全通信,并沒有設(shè)計(jì)出一個(gè)包括標(biāo)簽、讀寫器和后端數(shù)據(jù)庫在內(nèi)的完整的安全方案。本文提出一種用于保護(hù) RF ID系統(tǒng)中標(biāo)簽 -讀寫器 -后端數(shù)據(jù)庫之間安全通信的整體安全方案,并對其進(jìn)行了分析。

2.標(biāo)簽與讀寫器之間的安全通信協(xié)議

LMAP(LightweightMutualAuthentication Protocol)由Pedro等人提出。在該協(xié)議中,標(biāo)簽只需要具備偽隨機(jī)發(fā)生器,并能執(zhí)行異或運(yùn)算 (⊕)、按位的與運(yùn)算 (∩)、按位的或運(yùn)算(∪)和模 2m(+)的加法即可,大大降低了對標(biāo)簽計(jì)算能力的要求。該協(xié)議可以分成四個(gè)階段,標(biāo)簽身份標(biāo)識階段、相互認(rèn)證階段、索引假名更新階段和密鑰更新階段。其過程為[3]:

(1)讀寫器向標(biāo)簽發(fā)送查詢請求。

(2)標(biāo)簽收到請求后,發(fā)送索引假名 IDS(index-pseudonym)給讀寫器。

(3)讀寫器轉(zhuǎn)發(fā) IDS給后端數(shù)據(jù)庫。

(4)后端數(shù)據(jù)庫搜尋相對應(yīng)的記錄,找出所對應(yīng)的標(biāo)簽I

D與四個(gè)子密鑰 K1、K2、K3與 K4,并發(fā)送給讀寫器。

(5)讀寫器生成兩個(gè)隨機(jī)數(shù) n1與 n2,并計(jì)算 A= IDS⊕K1⊕ n1、B=( IDS K2)+n1、C= IDS+K3+n2,并發(fā)送 A、B和 C給標(biāo)簽。

(6)標(biāo)簽收到消息后,根據(jù)標(biāo)簽存儲的 IDS和 K1與 K2,可以求出 n1,并對讀寫器進(jìn)行身份認(rèn)證,再使用 C計(jì)算出n2。計(jì)算出 n1與 n2后,標(biāo)簽計(jì)算 D=( IDS+ ID)⊕ n1⊕ n2并將其發(fā)送給讀寫器,n1、n2用來保護(hù)標(biāo)簽 ID并供讀寫器驗(yàn)證標(biāo)簽的合法性。

(7)讀寫器使用自己存儲的 n1、n2、 IDS、 ID和收到的 D對標(biāo)簽的身份進(jìn)行認(rèn)證,防止偽造標(biāo)簽。

(8)讀寫器與標(biāo)簽認(rèn)證完成后,標(biāo)簽與后臺數(shù)據(jù)庫所儲存的索引假名 IDS與密鑰 K必須同時(shí)進(jìn)行更新,以提供前向安全,并抵御重放攻擊。更新過程分別為: IDS=( IDS+(n2⊕ K4))⊕ ID、K1=K1⊕ n2⊕ (K3+ ID)、K2=K2⊕ n2⊕(K4+ ID)、K3=(K3⊕ n1)+(K1⊕ ID)、K4=(K4⊕ n1)+(K2⊕ ID)。

圖 1 LMAP協(xié)議

3.讀寫器與后端數(shù)據(jù)庫之間的安全通信協(xié)議

在標(biāo)簽讀寫器與后端數(shù)據(jù)庫之間的通信中,采用基于EAP-SAKE(Extensible Authentication Protocol-Shared-secretAuthentication and Key Establishment)的安全協(xié)議[4,5]提供相互認(rèn)證和協(xié)商密鑰的安全特性。

在報(bào)文交換之前,后端數(shù)據(jù)庫和讀寫器要共享一個(gè)根密鑰 (Root-Secret),并用其生成兩個(gè)相互獨(dú)立的、用于不同目的的密鑰,分別是根密鑰 A(Root-Secret-A)和根密鑰 B(Root-Secret-B)。根密鑰A主要用于進(jìn)行認(rèn)證和生成臨時(shí) EAP密鑰 (Transient EAP Keys,TEK),根密鑰 B主要用于計(jì)算主會話密鑰 (Master Session Key,MSK)和擴(kuò)展主會話密鑰 (Extended Master Session Key,EMSK)。臨時(shí) EAP密鑰TEK又可分為 TEK-Auth和 TEK-Cipher,前者為 TEK的前16個(gè)字節(jié),用于消息完整性保護(hù)和認(rèn)證過程;后者為 TEK的后 16個(gè)字符,用于加解密過程。其密鑰體系結(jié)構(gòu)如圖 2所示:

圖 2 EAP-SAKE中的密鑰體系

報(bào)文交換過程為:

(1)當(dāng)讀寫器要和后端數(shù)據(jù)庫進(jìn)行通信時(shí),后端數(shù)據(jù)庫首先發(fā)送 EAP.Request_Challenge報(bào)文,其中包括數(shù)據(jù)庫生成的隨機(jī)數(shù) AT_RAND_S和數(shù)據(jù)庫的身份標(biāo)識符 AT_SERVER ID。

(2)讀寫器收到 EAP.Request_Challenge報(bào)文后發(fā)送EAP.Response_Challenge報(bào)文,其中包括讀寫器生成的隨機(jī)數(shù) AT_RAND_P、讀寫器的身份標(biāo)識符 AT_PEER ID、所支持的密文族 AT_SPI_P和生成的完整性校驗(yàn)碼 AT_M I C_P。然后讀寫器使用 AT_RAND_S、AT_RAND_P和 Root-Secret-A計(jì)算出 SAKE主密鑰 (SAKE Master Secret,S MS)和臨時(shí)EAP密鑰 TEK。

(3)后端數(shù)據(jù)庫收到讀寫器發(fā)送來的 EAP.Response_Challenge報(bào)文后,用同樣的辦法計(jì)算出 S MS和 TEK,以及完整性校驗(yàn)碼,并將計(jì)算結(jié)果與收到的 AT_M IC_P進(jìn)行比較,如果相同,就認(rèn)為讀寫器通過了認(rèn)證。后端數(shù)據(jù)庫從讀寫器發(fā)送的AT_SPI_P中選擇適當(dāng)?shù)募用芩惴ê蛥?shù),對通信數(shù)據(jù)進(jìn)行加密。然后后端數(shù)據(jù)庫發(fā)送 EAP.Request_Confirm報(bào)文,其中包括后端數(shù)據(jù)庫選擇的密文 AT_SPI_S、加密后的信息 AT_ENCR_DATA和完整性校驗(yàn)碼 AT_M IC_S。

(4)讀寫器收到后端數(shù)據(jù)庫發(fā)送的 EAP.Request_Confir m報(bào)文后認(rèn)為后端數(shù)據(jù)庫已經(jīng)通過了對它的認(rèn)證。讀寫器采用同樣的方法計(jì)算完整性校驗(yàn)碼,將計(jì)算結(jié)果與 EAP.Request_Confir m報(bào)文中的 AT_M IC_S進(jìn)行比較,如果相同,就認(rèn)為后端數(shù)據(jù)庫通過了認(rèn)證。然后發(fā)送 EAP.Response_Confir m報(bào)文,其中包括完整性校驗(yàn)碼 AT_M IC_P。

(5)后端數(shù)據(jù)庫收到 EAP.Request_Confir m報(bào)文后,發(fā)送 EAP.Success報(bào)文給讀寫器,結(jié)束 EAP會話。此后,讀寫器使用協(xié)商生成的 TEK-Cipher加密 IDS發(fā)送給后端數(shù)據(jù)庫,后端數(shù)據(jù)庫則將加密后的標(biāo)簽的 ID和密鑰 K發(fā)送給讀寫器。

4.協(xié)議分析

在該安全方案中,標(biāo)簽與讀寫器之間采用了 LMAP協(xié)議,讀寫器與后端數(shù)據(jù)庫之間采用的是基于 EAP-SAKE的安全協(xié)議。

(1)LMAP協(xié)議分析

在 LMAP協(xié)議中,只采用了偽隨機(jī)生成、異或運(yùn)算、按位的與運(yùn)算、按位的或運(yùn)算和模 2m的加法等輕量級計(jì)算,具有計(jì)算量小、計(jì)算速度快等優(yōu)點(diǎn),對標(biāo)簽的計(jì)算資源、存儲空間和電力供應(yīng)的要求非常低,非常適合用于具有有限計(jì)算資源的標(biāo)簽和讀寫器之間的安全通信。在安全性方面,對該協(xié)議做如下分析:

標(biāo)簽 ID的機(jī)密性

在LMAP協(xié)議中,后端數(shù)據(jù)庫主要使用標(biāo)簽的假名 IDS確認(rèn)標(biāo)簽的身份,標(biāo)簽 ID并不以明文形式進(jìn)行傳輸,而是以加密之后的密文形式進(jìn)行傳輸。因此,該協(xié)議提供了標(biāo)簽ID的機(jī)密性。

標(biāo)簽的匿名性

為了防范攻擊者對標(biāo)簽攜帶者進(jìn)行跟蹤,需要保證標(biāo)簽I

D不被攻擊者截獲,而且每輪通信中所發(fā)送的消息都要不同 ,即上一輪所發(fā)送的 A、B、C、D和下一輪發(fā)送的 A、B、C、D不同。前者已通過標(biāo)簽 ID的機(jī)密性得以實(shí)現(xiàn),后者則通過讀寫器生成的不重復(fù)的 n1和 n2以及每次會話完成后對 IDS和 K1、K2、K3、K4進(jìn)行更新來實(shí)現(xiàn)。

雙向認(rèn)證

本協(xié)議中,讀寫器和后端數(shù)據(jù)庫通過檢查標(biāo)簽發(fā)送來的I

DS和 D是否正確來確定該標(biāo)簽是否為合法標(biāo)簽;標(biāo)簽則通過檢查讀寫器發(fā)送來的 A、B、C是否正確來讀寫器是否為授權(quán)的讀寫器。

抵御中間人攻擊和重放攻擊

該協(xié)議中,即使攻擊者竊聽到標(biāo)簽和讀寫器之間的所有通信,也無法獲取機(jī)密信息密鑰 K1、K2、K3、K4和標(biāo)簽 ID,因此能夠抵御中間人攻擊。此外,由于在協(xié)議中使用了不重復(fù)的隨機(jī)數(shù) n1和 n2,因此能抵御重放攻擊。

LMAP協(xié)議能夠提供雙向認(rèn)證和對標(biāo)簽機(jī)密性、匿名性的保護(hù),并抵御中間人攻擊和重放攻擊。

(2)EAP-SAKE協(xié)議分析

讀寫器與后端數(shù)據(jù)庫之間采用的基于 EAP-SAKE的安全協(xié)議,只需要 2輪的請求 /響應(yīng)消息交換,能夠提供雙向認(rèn)證功能,確認(rèn)通信雙方的身份。還可以提供密鑰協(xié)商功能,生成會話密鑰進(jìn)行保密通信。

雙向認(rèn)證

后端數(shù)據(jù)庫通過檢查讀寫器發(fā)送來的M IC_P是否正確來對讀寫器進(jìn)行認(rèn)證;讀寫器通過檢查后端數(shù)據(jù)庫發(fā)送來的M I C_S是否正確來對后端數(shù)據(jù)庫進(jìn)行認(rèn)證。因此,該協(xié)議提供了雙向認(rèn)證。

密鑰協(xié)商

在協(xié)議初始化時(shí),后端數(shù)據(jù)庫和讀寫器共享一個(gè)根密鑰,由此生成根密鑰 A和根密鑰 B、S MS、TEK-Auth和 TEK-Cipher。TEK-Auth用于進(jìn)行認(rèn)證,TEK-Cipher用于進(jìn)行后續(xù)的保密通信。因此,該協(xié)議提供了密鑰協(xié)商功能。

EAP-SAKE協(xié)議提供了雙向認(rèn)證和密鑰協(xié)商功能,并能對后續(xù)通信提供機(jī)密性保護(hù)。

從以上的分析可以看出,提出的基于 LMAP和 EAPSAKE的 RF ID安全方案不僅可以保護(hù)標(biāo)簽 -讀寫器之間的安全通信,也可以保護(hù)讀寫器 -后端數(shù)據(jù)庫之間的安全通信。在標(biāo)簽 -讀寫器端,所采用的安全協(xié)議計(jì)算量小、計(jì)算速度快,對標(biāo)簽的計(jì)算資源的要求很低,非常適合用低成本標(biāo)簽和讀寫器之間的安全通信,而且能夠提供雙向認(rèn)證和對標(biāo)簽機(jī)密性、匿名性的保護(hù),并抵御中間人攻擊和重放攻擊。在讀寫器 -后端數(shù)據(jù)庫端,所采用的安全協(xié)議提供了雙向認(rèn)證和密鑰協(xié)商功能,并能夠?qū)罄m(xù)通信進(jìn)行加密,提供機(jī)密性保護(hù)。

5.結(jié)束語

無線射頻識別系統(tǒng)目前已廣泛應(yīng)用于制造、零售、物流等領(lǐng)域,但系統(tǒng)中信息傳輸?shù)陌踩詥栴}阻礙了它的進(jìn)一步推廣。目前所進(jìn)行的研究主要集中于研究標(biāo)簽與標(biāo)簽讀寫器之間的安全通信。本文提出一種用于保護(hù) RF ID系統(tǒng)中標(biāo)簽 -讀寫器 -后端數(shù)據(jù)庫之間安全通信的整體安全方案,該方案適用于使用低成本標(biāo)簽的 RF ID系統(tǒng),能夠?yàn)闃?biāo)簽 -讀寫器 -后端數(shù)據(jù)庫之間提供雙向認(rèn)證和機(jī)密性保護(hù)等安全特性。

[1]Sarma S E,Weis SA,EngelsD W.RF ID systems and security and privacy implications:CHES 2002:Proceedings of the 4th InternationalWorkshop on Cryptographic Hardware and Embedded Systems[C].Berlin:Springer-Verlag,2003.

[2]Sarma S E,Weis S A,Engels D W.Radio-frequency identification:Secure risks and challenges[J].RSA Laboratories Cryptobytes,2003(6):2-9.

[3]Pedro Peris-Lopez,Julio Cesar Hernandez-Castro,Juan M.Estevez Tapiador,Arturo Ribagorda.LMAP:A Real LightweightMutual Authentication Protocol for Low-cost RF ID tags[M].Proceeding of 2ndWorkshop on RF ID Security,2006.

[4]VanderveenM,Soliman H.RFC4763,ExtensibleAuthentication ProtocolMethod for Shared-secret Authentication and Key Establishment[S].2006.

[5]Blunk L,Vollbrecht J.RFC2284,PPP Extensible Authentication Protocol[S],1998.