基于區(qū)塊鏈技術(shù)的RFID匿名認證協(xié)議

◆莊 園 甘 勇 王冰麗 賀 蕾

( 1.鄭州輕工業(yè)大學(鄭州)計算機與通信工程學院 河南 450002; 2.鄭州工程技術(shù)大學(鄭州) 河南 450044 )

射頻識別（Radio Frequency Identification，RFID）技術(shù)是一種自動識別技術(shù)，采用無線射頻技術(shù)完成實體之間的非接觸式通信。RFID理論基礎(chǔ)誕生于1948年，源于雷達技術(shù)，后被廣泛應用于物流管理、醫(yī)藥、供應鏈管理、電子收費、航空航天等領(lǐng)域。RFID標簽主要分為三種：有源標簽、無源標簽和半有源標簽，其中無源標簽成本低廉且前景廣闊，因此本文將重點介紹無源標簽。由于無源標簽在計算能力和存儲資源極為有限，RFID標簽在許多應用中不適合使用基于大數(shù)計算的對稱加密或操作過于復雜的非對稱加密作為安全加密方法，因此如何在RFID系統(tǒng)中確保隱私安全是一項具有挑戰(zhàn)性的問題[1]。

當前，RFID標簽認證協(xié)議往往都基于傳統(tǒng)的集中式數(shù)據(jù)庫，它極大地限制了身份認證過程中后端服務器中數(shù)據(jù)的檢索效率。在數(shù)據(jù)檢索性能方面，順序搜索的時間復雜度為，其平均查找長度為，在搜索失敗的情況下，則共計需要次比較。假設(shè)數(shù)據(jù)結(jié)構(gòu)通過區(qū)塊鏈技術(shù)進行設(shè)計，則數(shù)據(jù)庫可以通過Merkle哈希樹快速驗證區(qū)塊中是否存在待對比信息，并且最多進行次對比就可驗證數(shù)據(jù)的真實性[2]。此外，部分協(xié)議在標簽和閱讀器之間的通信過程中，通常使用標簽真實ID進行身份驗證，這可能導致泄露標簽隱私信息，攻擊者可以通過不同類型的攻擊來獲取存儲在 RFID標簽或后端服務器中的所有信息。

1 相關(guān)工作

在RFID認證協(xié)議中哈希函數(shù)的應用較為廣泛，其中經(jīng)典的Hash-Lock協(xié)議由S. A. Weis等人[3]首次提出于2003年，該協(xié)議使用哈希函數(shù)完成RFID身份驗證，以便攻擊者無法通過重復查詢從標簽答復中獲取關(guān)鍵信息來跟蹤標簽的移動。但后續(xù)學者分析發(fā)現(xiàn)，該協(xié)議以真實的標簽ID進行信息傳輸，這使得標簽身份信息易受到攻擊造成信息泄露。Liu Yang和 Peng Yu[4]提出了一種用于標簽、閱讀器和后端服務器的三方身份認證協(xié)議，協(xié)議確保了各方實體之間的有效認證，然而在每個認證過程中，標簽和后端服務器執(zhí)行大量的哈希操作，導致計算開銷較大。M.Ohkubo等人[5]使用了兩個哈希函數(shù)：和參與身份驗證，并提出了 Hash-Chain協(xié)議，協(xié)議每輪結(jié)束時通過哈希函數(shù)對密鑰及時更新，保證協(xié)議的前向安全。Jung-Sik Cho[6]提出了一種基于哈希函數(shù)的身份認證協(xié)議，但在后續(xù)的研究中，Masoud[7]分析了Cho等人提出的協(xié)議，指出該協(xié)議不具有抵抗拒絕服務攻擊和假冒攻擊的能力。Shafiqul Abidin[8]提出了一種基于橢圓曲線函數(shù)和哈希函數(shù)的RFID標簽認證協(xié)議，該協(xié)議使用11次散列哈希函數(shù)，6次點積和6次基于橢圓曲線方程的大數(shù)運算，因此標簽較重的計算負擔阻礙了其推廣。Guang等人[9]基于動態(tài)密鑰機制的思想提出了一種移動RFID第三方認證協(xié)議，協(xié)議采用動態(tài)密鑰機制確保數(shù)據(jù)的安全性和保密性，并且認證過程中閱讀器允許在可移動的場景下進行讀寫操作。Prosanta Gope等人[10]對協(xié)議[9]進行了分析，表示協(xié)議無法抵抗去同步攻擊，同時也不適用于低成本的RFID系統(tǒng)，在此基礎(chǔ)上他們對此協(xié)議進行了改進，稱協(xié)議可以抵抗跟蹤攻擊并同步進行攻擊，提供匿名性和轉(zhuǎn)發(fā)安全性。

2 數(shù)據(jù)結(jié)構(gòu)設(shè)計

基于比特幣的區(qū)塊鏈數(shù)據(jù)結(jié)構(gòu)[11]，結(jié)合本文所提方案，給出以下數(shù)據(jù)結(jié)構(gòu)設(shè)計構(gòu)想。在協(xié)議認證過程中，將會話中秘密信息進行哈希加密后存入?yún)^(qū)塊中，其中區(qū)塊體中的秘密值基于Merkle哈希樹進行存儲，區(qū)塊頭中存儲由眾多秘密值生成的根節(jié)點、時間戳以及隨機數(shù)，一個區(qū)塊存儲基本信息的存儲結(jié)構(gòu)如圖1所示。當標簽向后端數(shù)據(jù)庫發(fā)送認證消息后，數(shù)據(jù)庫通過 Merkle哈希樹可以對塊內(nèi)的任何秘密值是否被篡改進行快速的檢測，檢驗一份數(shù)據(jù)的完整性不需要樹上全部節(jié)點參與，僅根據(jù) Merkle根到各分支節(jié)點的直接路徑，沿此直接路徑從分支節(jié)點追溯到Merkle根處，然后通過計算根節(jié)點與待檢測秘密值求得的哈希值判斷數(shù)據(jù)的真實性和完整性。

圖1 基于比特幣的數(shù)據(jù)結(jié)構(gòu)設(shè)計

例如，要想驗證HID是否存在于該塊中，僅需節(jié)點Hash2、Hash34和Merkle根即可完成驗證。在由N個交易組成的區(qū)塊中，至多計算 2 log2(n)次哈希即可驗證數(shù)據(jù)是否存在。

3 本文所提協(xié)議

3.1 協(xié)議初始化

基于區(qū)塊鏈技術(shù)的RFID匿名認證協(xié)議過程主要由初始化階段、雙向認證階段兩部分構(gòu)成。協(xié)議中出現(xiàn)的符號說明如下表1所示。

在初始化階段，數(shù)據(jù)庫端存儲標簽的基本信息，包括TID,oldTID,HID,S,s1,s2等信息；標簽存儲TID,HID,S,s1,s2；共享密鑰S的標志位status初始值默認為0；HID是標簽的偽名，用來代替TID在信道上傳輸，以保護用戶隱私，其初始值為TID的哈希值；假設(shè)Hash加密足夠安全，標簽和數(shù)據(jù)庫均可執(zhí)行Hash運算和XOR操作，且兩者都具有一個偽隨機數(shù)發(fā)生器；協(xié)議的認證流程建立在后臺數(shù)據(jù)庫端與閱讀器之間為安全通信的基礎(chǔ)上。

表1 協(xié)議符號說明

3.2 協(xié)議認證階段

安全協(xié)議的認證流程如圖2所示，協(xié)議流程如下：

圖2 協(xié)議認證流程圖

步驟1：DB→R→T:Rd,OTA

后臺數(shù)據(jù)庫產(chǎn)生偽隨機數(shù)Rd和認證請求OTA，通過閱讀器，將Rd和OTA一起發(fā)送至標簽。

步驟2：T→R→DB:Q1||Q2 ||Rt

標簽收到Rd，OTA后，通過偽隨機數(shù)生成器產(chǎn)生隨機數(shù)Rt，并計算Q1 =h(Rt⊕Rd)⊕S，Q2 =h(Rt⊕Rd⊕S) ⊕HID，標簽形成消息Q1||Q2 ||Rt后通過閱讀器發(fā)送給標簽。

步驟 3、4、5：DB→R→T:Q3 ||Rd或Q4 ||Q5 ||Rd

后臺數(shù)據(jù)庫接收到標簽的消息后，首先對比驗證數(shù)據(jù)的真實性，用本身存儲的隨機數(shù)Rd和接收的消息Rt，計算S'=Q1 ⊕h(Rd⊕Rt)，查找區(qū)塊中是否存在一個S，使S'=S，若不存在則說明標簽不合法，認證失敗并退出。然后判斷S'的標志位status的值，若為0則認證繼續(xù)，若為1則說明密鑰失效，認證失敗并退出。接下來數(shù)據(jù)庫獲取區(qū)塊中的密鑰S、隨機數(shù)Rd以及接收的消息Rt，計算HID'=Q2 ⊕h(Rd⊕Rt⊕S)，并驗證HID'和區(qū)塊鏈中存儲的HID、oldHID是否一致，具體情況如下：

若三者皆不相等，則說明此標簽沒有在數(shù)據(jù)庫中進行登記，是不合法的，認證失敗并退出。

若存在一條記錄使HID'=HID，則計算Q3 = (h(s1⊕Rd⊕HID') ||h(s2⊕Rd⊕HID'))，并發(fā)送給標簽。

若存在一條記錄使HID'=oldHID，則認為是在之前的認證過程中由于物理因素或惡意攻擊等導致標簽與后臺數(shù)據(jù)庫失去了同步，同樣認證此標簽是合法的，則進行以下計算，并生成消息Q4 ||Q5 ||Rd發(fā)送給標簽。

步驟6：T→R→DB:Y||Rt

如果標簽接收到消息Q3 ||Rt，用其本身存儲的s1、s2、HID以及接收的消息Rd，計算Q3'并與Q3進行比較，若不相等則標簽認證失敗，并退出協(xié)議。

Q3'= (h(s1 ⊕Rd⊕HID) ||h(s2 ⊕Rd⊕HID))

如果標簽接收到消息Q4 ||Q5 ||Rd，計算并更新HID=Q5 ⊕ (Rd⊕Rt)，然后計算比較Q4與Q4'，若不相等則標簽認證失敗，并退出協(xié)議。

Q4'= (h(sO1 ⊕Rd⊕HID) ||h(sO2 ⊕Rd⊕HID))

認證通過后，標簽向后臺數(shù)據(jù)庫發(fā)送認證成功標識Y和隨機數(shù)Rt，并更新標簽中S的status值為1，表明標簽此時的密鑰已經(jīng)無效。

步驟5：DB→R→T:m1 ||m2 ||m3 ||Rd

后臺數(shù)據(jù)庫接收到標簽的認證成功標識Y，更新密鑰和偽名等 信 息 ， 即S'=h(S⊕Rd⊕Rt)，s1'=h(s1 ⊕Rd⊕Rt)，s2'=h(s2 ⊕Rd⊕Rt)，HID'=h(HID⊕Rd⊕Rt)， 然 后 計 算m1 =S'⊕ (Rd⊕Rt)、m2 =s1'⊕ (Rd⊕Rt)、m3 =s2'⊕ (Rd⊕Rt)，并形成消息m1||m2 ||m3 ||Rd發(fā)送給標簽。

4 協(xié)議安全性分析

4.1 GNY形式化證明

GNY形式化證明所使用的表示和推理規(guī)則遵循文獻[15]中的相關(guān)內(nèi)容。協(xié)議根據(jù)GNY邏輯的要求形式化表述，其中D表示后端服務器與讀寫器，T表示標簽。

（1）協(xié)議理想化表述

根據(jù)GNY邏輯公式和命題對協(xié)議的認證過程進行形式化描述如下：

（2）協(xié)議初始化假設(shè)

為了研究的方便，對協(xié)議的相關(guān)情形進行合理化假設(shè)，比如數(shù)據(jù)庫端在每一輪協(xié)議中都生成新的隨機數(shù)以保證數(shù)據(jù)的新鮮性，即A3 :D|≡#Rd。

（3）安全目標證明

根據(jù)（1）、（2）中的命題和假設(shè)，以及GNY邏輯推理規(guī)則我們可以證得以下安全目標：

G1:T|≡D~S

說明：標簽相信閱讀器與數(shù)據(jù)庫端發(fā)送過真實的共享密鑰S

推理：由消息M5和前文的假設(shè){A6,A7,A1 0 ,A11}，經(jīng)被告知規(guī)則T1、T3、擁有規(guī)則P1、P2、P5和新鮮性規(guī)則F1，結(jié)合消息解釋規(guī)則I1，可證得安全目標T|≡D~S。

說明：閱讀器端相信標簽發(fā)送過真實的標簽偽名HID

推理：由消息M2和合理假設(shè){A2,A3,A1 2 ,A9}，經(jīng)被告知規(guī)則T1、T3，擁有規(guī)則P1、P2、P5和新鮮性規(guī)則F1，結(jié)合消息解釋規(guī)則I1，可證得安全目標D|≡T~HID。

G3:T|≡D?HID

說明：標簽相信數(shù)據(jù)庫擁有真實的標簽偽名HID

推理：由消息M3和假設(shè){A5,A6,A7,A13}，經(jīng)被告知規(guī)則T1、T5，擁有規(guī)則P2和新鮮性規(guī)則F1，結(jié)合消息解釋規(guī)則I3，I6，可證得安全目標T|≡D?HID。

類似的，我們還可以推理出安全目標G4，G5，G6。

G4 :D|≡T~S

G5 :T|≡D~s1

G6 :T|≡D~s2

從協(xié)議形式化分析可以看出，標簽和閱讀器通過雙向認證確保用戶的安全性和保密性，每輪通信都加入隨機數(shù)保證了每條消息的新鮮性，可以有效抵抗重傳攻擊和假冒攻擊。

4.2 安全性分析

本節(jié)將對提出的基于區(qū)塊鏈的RFID匿名認證協(xié)議進行安全性分析，具體從假冒攻擊、重放攻擊、跟蹤攻擊、雙向認證、去同步化攻擊五個方面說明協(xié)議的安全性。

（1）假冒攻擊

在認證過程中，攻擊者假冒數(shù)據(jù)庫端向標簽發(fā)送認證請求消息{Rd,OTA}，標簽響應請求后，攻擊者竊取到標簽的響應消息Q1||Q2 | |Rt，當真正合法的數(shù)據(jù)庫端發(fā)送請求消息{Rd',OTA}時，攻擊者假冒標簽用上一輪獲取的標簽消息回應數(shù)據(jù)庫端，數(shù)據(jù)庫端用本身存儲的Rd'和接收的消息Rt，計算S'=Q1 ⊕h(Rt⊕Rd')，由于Rd'≠Rd，可知S≠S'，協(xié)議認證失敗并退出，因此攻擊者無法假冒數(shù)據(jù)庫端欺騙標簽。

（2）重傳攻擊

假設(shè)攻擊者獲取到標簽、閱讀器和后臺數(shù)據(jù)庫的相關(guān)信息，在這之后的認證過程中也無法實現(xiàn)重傳攻擊。因為認證過程中的消息都引入隨機數(shù)以保持數(shù)據(jù)的新鮮性，如Q1 =h(Rt⊕Rd) ⊕S，Q3 = (h(s1 ⊕Rd⊕HID') | |h(s2 ⊕Rd⊕HID'))等，同時在每一輪認證結(jié)束后，協(xié)議及時更新共享密鑰與標簽密鑰。因此，攻擊者無法對數(shù)據(jù)庫端或標簽進行重傳攻擊。

（3）跟蹤攻擊

協(xié)議為保證標簽的隱私，對標簽的身份標識進行哈希加密生成標簽偽名HID，用來代替TID在信道上傳輸。同時標簽任意一輪的響應信息中都包含隨機數(shù){Rt，Rd}以便確保數(shù)據(jù)的新鮮性，假設(shè)攻擊者對標簽進行定位追蹤，攻擊者獲取到相關(guān)認證消息，通過分析竊取到的信息來追蹤發(fā)出響應的標簽，由于Rd和Rt在每一次的認證中都不相同，標簽偽名HID可以有效保證標簽隱私，且Hash操作具有不可逆性，因此，攻擊者無法進行跟蹤攻擊。

（4）雙向認證

在協(xié)議第三步中數(shù)據(jù)庫端接收到標簽的消息后，首先驗證消息Q1中包含的S是否為合法密鑰，若認證通過，繼續(xù)驗證HID的合法性，若計算得到的HID'和區(qū)塊中存儲的HID，oldHID均不相等，則認證失敗并退出，若相等則對應的將計算結(jié)果向標簽再次發(fā)出響應。在協(xié)議第五步中標簽接收到消息分別計算并比較Q3'與Q3和Q4'與Q4，若兩者相等，則標簽認證成功，向數(shù)據(jù)庫端發(fā)送認證成功消息Y，至此雙向認證完成。

（5）去同步化攻擊

在認證過程中，可能出現(xiàn)物理因素或人為惡意攻擊等原因，導致數(shù)據(jù)庫端與標簽未能同步更新出現(xiàn)異步情況。假如標簽未及時得到更新仍保留上一輪信息，即使數(shù)據(jù)庫端已更新信息，但區(qū)塊中仍舊存儲著上一輪認證成功的標簽信息 {oldHID,so1,so2}，當標簽發(fā)出認證請求時，數(shù)據(jù)庫端在區(qū)塊中檢索已有的{HID,oldHID,s1,s2,so1,so2}，即使檢索不到當前標簽信息，但仍能與上一輪標簽信息匹配，使標簽與數(shù)據(jù)庫端完成認證，同時有效地抵御了去同步化攻擊。

基于上述分析結(jié)果，本文所提協(xié)議具有較高的安全性。此外，表2給出本文協(xié)議與其他認證協(xié)議在安全方面的對比結(jié)果，顯然，本文協(xié)議較其他協(xié)議具有更強大的安全性。Y表示能抵抗此種攻擊，N表示不能抵抗此種攻擊。

表2 所提協(xié)議與其他協(xié)議的安全性對比

5 結(jié)束語

本文提出了一種全新的基于區(qū)塊鏈技術(shù)的RFID匿名認證協(xié)議。協(xié)議中標簽使用偽名代替真實的身份信息進行通信，避免將身份透漏給不信任的實體，后端數(shù)據(jù)庫通過 Merkle哈希樹實現(xiàn)認證過程中數(shù)據(jù)的快速查找驗證，每輪認證結(jié)束后，為保證協(xié)議的前向安全，標簽和數(shù)據(jù)庫端均對偽名和密鑰進行更新。經(jīng)安全分析可知，協(xié)議可以抵抗假冒攻擊、重傳攻擊、跟蹤攻擊和去同步化攻擊，在相互完成認證的基礎(chǔ)上還提供了匿名性。在保證安全性的同時提高協(xié)議性能以及在區(qū)塊鏈技術(shù)基礎(chǔ)上如何完成群組標簽所有權(quán)轉(zhuǎn)換是下一步待解決的問題。