RFID雙向安全認證協(xié)議的設(shè)計及分析

張文麗 趙峰

摘要：針對RFID系統(tǒng)的實際安全需求，利用數(shù)學(xué)和密碼學(xué)技術(shù)方法，同時考慮交互認證協(xié)議的安全性，隱私性和有效性，對RFID系統(tǒng)認證協(xié)議進行研究，提出了一個RFID互認證協(xié)議。對其進行安全性及性能分析發(fā)現(xiàn)，該協(xié)議安全性能良好，功能全面，能夠保證內(nèi)容隱私、防止位置跟蹤攻擊、抵抗重放攻擊、防止假冒攻擊，并且具有前向安全性。

關(guān)鍵詞：射頻識別； 安全； 穩(wěn)私； 認證； 互認證

中圖分類號：TP391.4 文獻標識碼：A文章編號：2095-2163（2013）05-0091-03

0引言

射頻識別（Radio Frequency Identification）技術(shù)是一種非接觸的無線自動識別技術(shù)，主要由RFID標簽和讀寫器組成。電子標簽通過與讀寫器發(fā)生電磁耦合并獲得能量，將自身的數(shù)據(jù)信息傳遞給讀寫器，所交換數(shù)據(jù)自動傳送，系統(tǒng)無需任何物理接觸就可以完成對特定目標對象的自動識別，并可在各種惡劣的環(huán)境下工作，同時還對多個標簽進行數(shù)據(jù)交換，操作簡單快捷[1]。因而在上世紀末，RFID技術(shù)就已逐漸進入到企業(yè)應(yīng)用領(lǐng)域。

盡管RFID技術(shù)比傳統(tǒng)的識別技術(shù)有著許多無法比擬的優(yōu)點，但是，由于讀寫器和電子標簽之間的信息是通過無線射頻信號傳播的，所傳遞的這些數(shù)據(jù)信息完全暴露在外面，任何人通過一定手段都能夠得到這些信息，這樣就會使得一些比較敏感的信息可能發(fā)生泄漏，因而會導(dǎo)致其存在傳統(tǒng)識別技術(shù)并不曾面對的一些安全隱私方面的問題。

安全認證技術(shù)是解決RFID安全的關(guān)鍵之一。有了可靠的安全機制，就可以保證RFID標簽中的數(shù)據(jù)、信息不被竊取、干擾、更改等，RFID系統(tǒng)中的個人信息，甚至是軍事機密和商業(yè)機密才能不被人盜竊和利用。另外，由于電子標簽本身在處理能力、存儲空間、電源供給等方面的局限性，目前比較成熟的加密算法難以應(yīng)用其中。因此，研究設(shè)計一種高效、安全、低成本的RFID安全認證協(xié)議具有重大的實用意義。

1相關(guān)工作

國內(nèi)外專家針對RFID的安全問題提出了許多不同的對策，如電磁屏蔽方法，Kill命令機制，標簽阻塞器的方法，有源干擾的方法等物理方法[2]。但是，這些物理方法都使得標簽的利用率降低，成本增高，安全性也較差，甚至有可能涉及到法律問題。

物理安全機制主要用于低成本的RFID標簽中，但物理安全機制存在著種種缺陷，而密碼機制通過采用各種密碼算法來保護RFID系統(tǒng)的安全和隱私，其實現(xiàn)方法較為靈活，是目前的研究熱點。

由于標簽資源的有限性，傳統(tǒng)的密碼算法不能被運用在協(xié)議的認證過程中。研究者提出了不同的解決方案，Sarma等人在2003年提出了Hash-Lock協(xié)議[3]，此方案不能防止位置跟蹤攻擊，還會遭受假冒和重放攻擊；為了在認證過程中避免信息的跟蹤，對Hash-Lock方法加以改進，就得到了隨機Hash-Lock協(xié)議[4]；對其再改進，又得到了HSAP協(xié)議以及改進的協(xié)議IHSAP[5]；Hash鏈方案[6]也是基于秘密共享的詢問—應(yīng)答機制，且標簽具有自主更新ID的能力，但是Hash鏈協(xié)議只能對標簽身份進行單向認證，并且不能抵抗重放攻擊；另有基于雜湊的ID變化協(xié)議[2]、David的數(shù)字圖書館RFID協(xié)議[2]、分布式RFID詢問—響應(yīng)協(xié)議等被提出[2]。

以上提出的協(xié)議中，存在著各種缺陷和漏洞，部分協(xié)議存在嚴重的安全隱患，無法真正實現(xiàn)低成本RFID系統(tǒng)的安全要求。所以，隨著研究的深入和應(yīng)用的不斷推廣，迫切需要適用于不同應(yīng)用領(lǐng)域的低成本RFID系統(tǒng)的安全認證協(xié)議。第5期張文麗，等：RFID雙向安全認證協(xié)議的設(shè)計及分析智能計算機與應(yīng)用第3卷

2協(xié)議設(shè)計

以上所提出的大多數(shù)協(xié)議，僅僅是讀寫器對標簽的單向認證，使得合法的標簽?zāi)軌虮蛔x寫器所處理，而在現(xiàn)實應(yīng)用中，攻擊者常常假冒合法讀寫器來讀取標簽中的數(shù)據(jù)信息，以此來謀取非法利益，所以，標簽對于讀寫器的認證即顯得尤為重要。

因此，RFID安全認證協(xié)議的設(shè)計，就要求一方面能夠?qū)崿F(xiàn)讀寫器對標簽的認證，同時還要能夠?qū)崿F(xiàn)標簽對讀寫器的認證，這種雙向認證RFID的安全認證協(xié)議的安全性能才會更高。

下面，就提出一種雙向認證的RFID安全認證協(xié)議，該協(xié)議的認證過程如圖1所示。

2.1協(xié)議描述

初始狀態(tài)：先為每個標簽分配IDT值，為每個讀寫器分配IDR值，同時后臺數(shù)據(jù)庫應(yīng)保存各個合法標簽的IDT值以及各個合法讀寫器的（IDR，H（IDR））數(shù)據(jù)對。

2.2認證過程

（1） 讀寫器以時間戳TS，作為認證請求并發(fā)送至標簽；

（2） 標簽判斷TS>TSlast是否成立，若成立，則將H（IDT‖TS）值發(fā)送給讀寫器，并置TSlast=TS；否則拒絕；

（3） 讀寫器根據(jù)自身IDR計算H（IDR），并把（H（IDT‖TS）），H（IDR），TS）值發(fā)送給數(shù)據(jù)庫；

（4）數(shù)據(jù)庫根據(jù)收到的TS，在IDT項目中計算并查詢是否存在滿足H（IDTk‖TS）=H（ITT‖TS）的記錄，若找到滿足等式的IDTk，則說明標簽合法；然后數(shù)據(jù)庫根據(jù)收到的H（IDR），并在（IDR，H（IDR））項目中查詢是否有相對應(yīng)的H（IDR）值，若有則說明讀寫器合法，最后，可根據(jù)H（IDR）在（IDR，H（IDR））項目中得到讀寫器的IDR值；

（5） 數(shù)據(jù)庫計算出IDTIDRTS值，將此值發(fā)給讀寫器；

（6） 讀寫器根據(jù)自身IDR值可計算出IDTTS，然后計算H（IDTTS），并發(fā)給標簽；

（7） 標簽根據(jù)自身IDT、TS計算H*（IDTTS），比較H*（IDTTS）=H（IDTTS）是否成立，若成立，則標簽通過讀寫器的認證，而同時，讀寫器通過標簽的認證，從而標簽開鎖，并允許讀寫器讀取其信息；若不相等，則認為讀寫器為非法讀寫器，標簽不作任何回應(yīng)。

雙向認證的RFID安全認證協(xié)議如圖1所示。

圖1 雙向認證的安全認證協(xié)議

Fig.1 Mutual authentication protocol of RFID3協(xié)議評價

3.1安全性分析

（1）保證隱私內(nèi)容安全。只有授權(quán)的后臺數(shù)據(jù)庫和讀寫器才能夠訪問標簽的詳細信息，而所有信息均是利用Hash函數(shù)變換后進行傳遞的，Hash函數(shù)的單向性保證了標簽的內(nèi)容是安全的；

（2） 防止位置跟蹤攻擊。在該協(xié)議中，在每次成功認證后，標簽都要更新其IDT值，在不同的通信時間，標簽的H（IDT‖TS）值都不同，攻擊者即使截獲這些信息，也不能夠據(jù)此確定標簽位置，因此可以防止位置信息被跟蹤；同時，在該協(xié)議中，時間戳TS防止了攻擊者持續(xù)發(fā)送同一個數(shù)的這樣的攻擊方式，若每次認證請求時時間戳TS都不同，則標簽的回應(yīng)H（ID‖TS）信息都不同，從而攻擊者無法由此確定標簽所在的位置；

（3） 防止重放攻擊。在該協(xié)議中，標簽在每次完成成功認證過程后，要更新標簽的值，則每次通信中標簽的返回值都和上一次不同，所以攻擊者無法使用之前竊聽到的通信內(nèi)容重放給讀寫器來欺騙后臺數(shù)據(jù)庫從而獲得認證；

（4） 防止假冒攻擊。加入了時間戳TS，標簽的回應(yīng)信息為H（IDT‖TS），如果是非法標簽想冒充合法通過讀寫器的認證，而攻擊者無法通過截獲TS或H（IDT‖TS）得到H*（IDTTS）到和H（IDTTS）， 所以，就無法通過讀寫器的認證；同樣，若是非法讀寫器想要冒充合法通過標簽的認證，也是要滿足H*（IDTTS）=H（IDTTS）這個等式，攻擊者根據(jù)竊聽等方式截獲的信息無法得到H*（IDTTS）和H（IDTTS），所以，非法讀寫器也就不能通過合法標簽的認證了；

（5） 具有前向安全性。在該協(xié)議中，如果一個攻擊者獲取了該標簽先前發(fā)出的信息H（IDT‖TS），那么攻擊者利用此次截獲的信息不能夠確定該標簽，也即攻擊者不能夠根據(jù)在本次通信中截取到的標簽的輸出H（IDT‖TS），然后通過某種推算，以此得出標簽所發(fā)送的歷史數(shù)據(jù)；

（6） 具有雙向認證功能。在該協(xié)議中，只有合法的標簽才能夠得到讀寫器的認證，而同樣，只有合法的讀寫器才能夠得到標簽的認證。在認證過程中，讀寫器收到標簽的回應(yīng)信息H（IDT‖TS）后，將（H（IDT‖TS），H（IDR），TS）數(shù)據(jù)對發(fā)送至后臺數(shù)據(jù)庫，后臺數(shù)據(jù)庫根據(jù)收到的數(shù)據(jù)來驗證標簽以及讀寫器的合法性。若是非法標簽，在驗證過程中，后臺數(shù)據(jù)庫根據(jù)收到的TS，在IDT項目中計算并查詢是否存在滿足H（IDTk‖TS）=H（IDT‖TS）的記錄時，理論上是不會找到滿足等式的IDTk，從而非法標簽就不能繼續(xù)之后的認證過程；若是非法讀寫器，后臺數(shù)據(jù)庫根據(jù)收到的H（IDR）并在（IDR，H（IDR））項目中查詢是否有相對應(yīng)的H（IDR）值時，理論上是不會找到滿足等式的H（IDR）來的，從而非法讀寫器就不能繼續(xù)之后的認證過程。只是當且僅當讀寫器和標簽同時合法時，才能互相通過認證。

以上對該協(xié)議的安全性進行了詳細分析，現(xiàn)將文中提到的部分協(xié)議的安全性進行比較。

3.2性能分析

由以上的分析可知，該協(xié)議有比較好的安全性能，RFID安全認證協(xié)議除了安全性能要得到保證以外，還要在計算時間和存儲容量方面進行考慮以降低標簽成本，從而降低RFID系統(tǒng)的成本。通過計算標簽、讀寫器和后臺數(shù)據(jù)庫在完成整個認證過程中所需要的計算時間和存儲空間來對協(xié)議進行評估。

為了方便起見，假設(shè)系統(tǒng)中標簽的數(shù)目為n，，L表示128個比特位，標簽和讀寫器的標識只有128bit，也就是1L。H代表進行Hash運算的次數(shù)，G代表生成隨機數(shù)的次數(shù)，T代表時間戳的生成次數(shù)，X表示進行異或運算的次數(shù)。

對于本文提到的部分安全認證協(xié)議，其時間復(fù)雜度和空間復(fù)雜度如表2所示。

從表2可看出，Hash-Lock協(xié)議、隨機Hash-Lock協(xié)議、以及HSAP協(xié)議都有n數(shù)量級以上的運算量，這使得計算量過大，對RFID系統(tǒng)的成本和運算速度都帶來了影響。表2文中部分協(xié)議的存儲空間和計算量比較

Tab.2 Comparison of capacity and computing with different authentication protocol

安全協(xié)議計算時間存儲容量標簽讀寫器后臺數(shù)據(jù)庫標簽讀寫器后臺數(shù)據(jù)庫Hash-Lock協(xié)議1H——2L—3nL隨機Hash-Lock協(xié)議1H+1G—nH1L—nLHSAP協(xié)議3H+1G—2H2L—4nLIHSAP協(xié)議2H+1X1T （2n+1）H+1X2L—2nL本文協(xié)議2H+1X1T+2H+1XnH+2X2L1L（n+2）L在本文提出的雙向認證協(xié)議中，標簽的存儲容量小，只需要2L，同時不需要隨機數(shù)產(chǎn)生器，所以計算時間不大，標簽成本大大降低，RFID系統(tǒng)成本也會因此而降低。

4結(jié)束語

本文提出了一種基于Hash函數(shù)的RFID安全認證協(xié)議，從安全性能，計算速度和存儲容量三方面考慮，本文提出的雙向認證的RFID安全認證協(xié)議更優(yōu)于其他協(xié)議。首先，在安全性方面，該協(xié)議能夠較好地解決RFID系統(tǒng)中的安全隱私問題，通過對其進行安全性分析可知，該協(xié)議可以保證內(nèi)容隱私、防止位置跟蹤攻擊、抵抗重放攻擊，防止假冒攻擊，具有前向安全性，并且具有雙向認證功能，這是協(xié)議最基本的要求，雖然這需要計算速度和存儲容量上的一點代價。但是與其他一些協(xié)議相比，該協(xié)議的計算量并不是太大，其次對存儲容量要求非常低，并且該協(xié)議是基于Hash函數(shù)的RFID安全認證協(xié)議，所以具有計算量小，成本低的特點，由此可知該協(xié)議是一種安全、高效、低成本的RFID安全認證協(xié)議。

參考文獻：

[1]鄧淼磊，馬建峰，周利華.RFID匿名認證協(xié)議的設(shè)計[J].通信學(xué)報，2009，30（7）：20-26.

[2]周永彬，馮登國.RFID安全協(xié)議的設(shè)計與分析[J]. 計算機學(xué)報，2006，29（4）：581-589.

[3]SARMA S E，WEIS S A， Engels D W.RFID systems and security and privacy implications[C]//Proceedings of the 4th International Workshop on Cryptographic Hardware and Embedded Systems.Berlin：Springer-Verlag，2003：454-469.

[4]WEIS S A， SARMA S E， RIVEST R L，et al. Security and privacy aspects of low-cost radio frequency identication systems[C]//Proceedings of the 1st Security in Pervasive Computing. Berlin：Springer-Verlag，2003：201-212.

[5]張文麗.RFID安全認證協(xié)議HSAP的分析及改進[J].智能計算機與應(yīng)用，2012，2（5）： 78-80.

[6]OHKUBO M，SUZUKI K，KINOSHITA S. Hash-chain based forward-secure privacy protection scheme for low-cost RFID [C]//Sendai：SCIS，2004：719-724.