孫 肖，趙澤茂

(杭州電子科技大學(xué)通信工程學(xué)院，浙江杭州310018)

0 引言

無線射頻識別(Radio Frequency Identification，RFID)是一種用于非接觸識別物品對象的技術(shù)，它利用射頻方式進(jìn)行非接觸的雙向通信，以達(dá)到自動識別目標(biāo)對象并獲取相關(guān)數(shù)據(jù)的目的。由于RFID系統(tǒng)中標(biāo)簽的存儲空間和計(jì)算能力有限，RFID標(biāo)簽和閱讀器之間的通信是非接觸和無線的很容易受到竊聽，使得犯罪分子可以利用RFID的漏洞進(jìn)行各種非法攻擊，導(dǎo)致標(biāo)簽信息隱私泄漏和標(biāo)簽用戶的位置隱私泄漏等。針對RFID的安全問題學(xué)者已經(jīng)提出了很多基于哈希函數(shù)的RFID認(rèn)證協(xié)議。文獻(xiàn)1中提出的協(xié)議利用MAC函數(shù)值對標(biāo)簽發(fā)出詢問，然而，標(biāo)簽應(yīng)答信息的漏洞使得該協(xié)議并不能有效抵抗標(biāo)簽假冒、服務(wù)器假冒和拒絕服務(wù)攻擊。文獻(xiàn)2提出了一種能夠在任何情況下抵抗服務(wù)器攻擊的協(xié)議，但是一個(gè)強(qiáng)攻擊者通過物理攻擊獲取標(biāo)簽的內(nèi)部信息，然后假冒閱讀器得到種子密鑰后便可發(fā)動假冒服務(wù)器攻擊和非同步攻擊。文獻(xiàn)3是一種輕量級抗非同步攻擊的RFID協(xié)議，協(xié)議聲明能夠抵抗幾乎所有常見的攻擊，但是攻擊者通過觀察和操縱標(biāo)簽和閱讀器之間的信息流可以很容易的發(fā)起非同步攻擊。文獻(xiàn)4利用哈希函數(shù)提出了一個(gè)雙向認(rèn)證協(xié)議，協(xié)議利用密鑰值S，隨機(jī)數(shù)N和哈希函數(shù)，結(jié)合靜態(tài)和動態(tài)更新機(jī)制，只有合法的標(biāo)簽和服務(wù)器才能認(rèn)證通信信息流，同時(shí)該協(xié)議也具備可擴(kuò)展性和抗閱讀器攻擊。文獻(xiàn)5中提出了一種新的攻擊方式，即服務(wù)器信息泄露攻擊，攻擊者通過某種手段可以獲取某標(biāo)簽在服務(wù)器中的存儲信息，并利用這些信息假冒真實(shí)的閱讀器通過服務(wù)器認(rèn)證，認(rèn)證成功后，服務(wù)器更新標(biāo)簽信息，導(dǎo)致服務(wù)器和真實(shí)標(biāo)簽中的秘密信息不同步。針對該攻擊提出了一種新的協(xié)議，但該協(xié)議不能有效抵抗假冒閱讀器攻擊，并且不具備可擴(kuò)展性，不適用于大型低成本的RFID系統(tǒng)。針對上述幾種協(xié)議的缺點(diǎn)，結(jié)合RFID標(biāo)簽的局限性以及哈希計(jì)算效率高、耗能低的優(yōu)點(diǎn)，本文提出一種新的基于哈希函數(shù)的RFID雙向認(rèn)證協(xié)議，該協(xié)議在安全和隱私保護(hù)性能以及系統(tǒng)開銷上具有明顯的優(yōu)勢。

1 一種基于哈希函數(shù)的RFID安全認(rèn)證協(xié)議

1.1 初始狀態(tài)

標(biāo)簽和閱讀器之間的無線通信環(huán)境是開放的，也就是不安全的，攻擊者有可能竊聽它們之間的通信內(nèi)容，因此假設(shè)閱讀器和服務(wù)器之間的通信是不安全的;服務(wù)器和閱讀器之間是有線通信，假設(shè)他們之間的通信是安全的;標(biāo)簽和服務(wù)器都具有一個(gè)偽隨機(jī)數(shù)發(fā)生器;標(biāo)簽和服務(wù)器也都能夠進(jìn)行哈希計(jì)算。

標(biāo)簽是被動標(biāo)簽，不能抵抗物理攻擊。RFID系統(tǒng)面臨的攻擊者可以分為強(qiáng)攻擊者和弱攻擊者，弱攻擊者只能觀察和非法操作服務(wù)器和目標(biāo)標(biāo)簽之間的通信內(nèi)容，不能通過物理攻擊獲取標(biāo)簽當(dāng)前的內(nèi)部狀數(shù)據(jù);標(biāo)簽的存儲能力和計(jì)算能力決定了它不具備防篡改能力，強(qiáng)攻擊者通過物理攻擊可非法獲取標(biāo)簽當(dāng)前的內(nèi)部數(shù)據(jù);同時(shí)強(qiáng)攻擊者還具備弱攻擊者的攻擊能力。

協(xié)議中所使用符號的說明如表1所示。

表1 協(xié)議使用符號含義說明

初始化執(zhí)行系統(tǒng)產(chǎn)生一個(gè)隨機(jī)數(shù)ki，將ki分配給標(biāo)簽Ti。

服務(wù)器產(chǎn)生并存儲一個(gè)隨機(jī)數(shù)S作為它的私鑰，計(jì)算IDi=ES(ki)，其中Ek()表示一種對稱密碼算法，密鑰是S，并通過安全信道將IDi=ES(ki)分配被標(biāo)簽Ti。為了防止非同步攻擊，服務(wù)器中同時(shí)存儲上一輪各認(rèn)證密鑰(IDi)pre，IDi;為了降低標(biāo)簽存儲開銷，標(biāo)簽中只存儲IDi，ki。

1.2 協(xié)議流程

協(xié)議的具體認(rèn)證過程如圖1所示。

圖1 協(xié)議流程

(1)閱讀器生成一個(gè)隨機(jī)數(shù)NR∈R{0，1}n，計(jì)算P=h(NR)，然后R將認(rèn)證請求命令Query、P發(fā)送給Ti。

(2)標(biāo)簽 Ti收到 P 后生成一個(gè)隨機(jī)數(shù) NT，計(jì)算 Q=h(NT)，［IDi］Q，M1=IDi⊕Rot(IDi，Q)，M2=h(ki∥P∥Q)⊕NT，發(fā)送［IDi］Q∥Q∥M1∥M2給閱讀器。

(3)閱讀器將［IDi］Q∥Q∥M1∥M2∥P轉(zhuǎn)發(fā)給后臺服務(wù)器D。

(4)服務(wù)器收到標(biāo)簽響應(yīng)后，在后臺數(shù)據(jù)庫中搜尋滿足［IDi］Q的IDi，若沒有找到IDi，則發(fā)送錯(cuò)誤信息給閱讀器，否則，利用找到的標(biāo)簽標(biāo)識符計(jì)算M'1=IDi⊕Rot(IDi，Q)，比較M'1?=M1，若相等，則用S解密標(biāo)識符得到標(biāo)簽密鑰，然后計(jì)算N'T=M2⊕h(ki∥P∥Q)，比較h(N'T)?=Q，若相等，則服務(wù)器對標(biāo)簽的認(rèn)證通過，說明標(biāo)簽Ti為合法標(biāo)簽。服務(wù)器計(jì)算M3=h(ki∥P∥Q)⊕NR，更新(IDi)old=IDi，ki=NR，IDi=ES(ki)，計(jì)算 M4=ki⊕IDi，發(fā)送 M3∥M4給 R。

(5)R將M3∥M4轉(zhuǎn)發(fā)給Ti。

(6)標(biāo)簽Ti計(jì)算N'R=M3⊕h(ki∥P∥Q)，比較h(N'R)與P是否相等，若相等，則標(biāo)簽對服務(wù)器認(rèn)證成功，說明服務(wù)器是合法的。然后Ti更新并存儲ki=N'R，IDi=M4⊕ki。

2 協(xié)議分析

2.1 協(xié)議的安全特性分析

協(xié)議利用哈希運(yùn)算、異或等完成了標(biāo)簽和后臺服務(wù)器之間的相互認(rèn)證，這里從協(xié)議的具體執(zhí)行過程分析其隱私保護(hù)和安全特性。

(1)重放攻擊:該協(xié)議采用詢問－應(yīng)答機(jī)制，IDi依賴于隨機(jī)數(shù)NT，每次認(rèn)證時(shí)NT都會更新，同時(shí)M1和M2也依賴于每輪閱讀器和標(biāo)簽產(chǎn)生的隨機(jī)值若攻擊者重放M1、M2，服務(wù)器或者標(biāo)簽?zāi)軌驒z測到，攻擊者不能實(shí)施重放攻擊;若攻擊者重放閱讀器的認(rèn)證請求，標(biāo)簽產(chǎn)生新的隨機(jī)數(shù)NT并產(chǎn)生新的M1，從而也能有效避免攻擊者對標(biāo)簽的跟蹤定位。

(2)非同步攻擊:該協(xié)議同時(shí)存儲了(IDi)pre，IDi，能夠保證服務(wù)器和標(biāo)簽之間秘密信息的同步。

(3)后向安全性:標(biāo)簽采用閱讀器產(chǎn)生的隨機(jī)數(shù)更新標(biāo)簽密鑰，各輪認(rèn)證密鑰之間是沒有關(guān)系的，攻擊者即使獲得了ki，它也并不能破解該標(biāo)簽之前的內(nèi)部秘密信息，從而該協(xié)議提供了后向安全性，攻擊者不能跟蹤標(biāo)簽過去的行為。

(4)前向安全性:弱攻擊者只能獲得服務(wù)器和標(biāo)簽之間的交互信息，不知道ki無法推測出新密鑰。對于強(qiáng)攻擊者來說，即便通過物理攻擊獲得當(dāng)前輪標(biāo)簽密鑰ki，也不能夠得到標(biāo)簽下一輪的認(rèn)證密鑰，因?yàn)闃?biāo)簽下一輪的認(rèn)證密鑰依賴于閱讀器產(chǎn)生的隨機(jī)數(shù)，攻擊者無法預(yù)測，從而攻擊者無法跟蹤標(biāo)簽未來的行為。

(5)假冒服務(wù)器攻擊:服務(wù)器發(fā)送消息M3驗(yàn)證標(biāo)簽認(rèn)證服務(wù)器的合法身份，不知道標(biāo)簽密鑰ki的攻擊者不能計(jì)算出有效的M2，因而，向標(biāo)簽假冒合法服務(wù)器的攻擊無法奏效。然而，對于強(qiáng)攻擊者，如果它能在一次協(xié)議成功運(yùn)行中獲取到所有交互信息和標(biāo)簽的私鑰ki，那么它就可以計(jì)算出更新的密鑰，進(jìn)而計(jì)算出有效的M3成功假冒合法服務(wù)器;因此，該方案抵抗這種攻擊是有前提的，即攻擊者獲知標(biāo)簽的所有交互信息后，沒有獲取到標(biāo)簽的臨時(shí)私鑰ki，本文方案就能抵抗服務(wù)器假冒攻擊。

2.2 協(xié)議的性能分析

從服務(wù)器和標(biāo)簽的計(jì)算開銷和存儲開銷方面對各協(xié)議比較如表2所示。相比簡單運(yùn)算，哈希函數(shù)計(jì)算復(fù)雜度很高，因此這里根據(jù)哈希函數(shù)和對稱加解密計(jì)算次數(shù)來衡量服務(wù)器和標(biāo)簽的計(jì)算開銷。從表2中可以看出，新協(xié)議中服務(wù)器搜尋目標(biāo)標(biāo)簽時(shí)顯著的減少了哈希函數(shù)的計(jì)算次數(shù)，另外，協(xié)議中標(biāo)簽和服務(wù)器的存儲開銷也降低了。其中N表示系統(tǒng)中標(biāo)簽的個(gè)數(shù)，l1表示協(xié)議中產(chǎn)生的各信息的長度。

從安全和隱私保護(hù)性能方面對文獻(xiàn)1－4中的協(xié)議進(jìn)行比較如表3所示。其中Y表示協(xié)議能夠抵抗該類攻擊;N表示協(xié)議不能抵抗該類攻擊;*表示協(xié)議在某條件下能夠抵抗該類攻擊。

表2、3的分析和比較說明新協(xié)議不僅滿足上面文獻(xiàn)的協(xié)議提供的安全性能，還能有效抵抗服務(wù)器信息泄露攻擊，有效抵抗位置跟蹤，為RFID提供了更強(qiáng)的安全性能，而且明顯減少了服務(wù)器的計(jì)算開銷，縮短了服務(wù)器的計(jì)算時(shí)間，提高了RFID系統(tǒng)的認(rèn)證效率，減少了標(biāo)簽的計(jì)算開銷，大大降低了系統(tǒng)開銷，是一個(gè)安全、高效的雙向認(rèn)證協(xié)議。

表2 各參考文獻(xiàn)的協(xié)議計(jì)算和存儲開銷對比

表3 各參考文獻(xiàn)的協(xié)議安全和隱私性能比較

3 結(jié)束語

針對RFID系統(tǒng)中標(biāo)簽和閱讀器之間的通信安全威脅，分析了現(xiàn)有的幾種協(xié)議存在的安全漏洞，在這些協(xié)議的基礎(chǔ)上提出了一種新的雙向認(rèn)證協(xié)議，并分析了其安全特性和系統(tǒng)性能。新協(xié)議結(jié)合動態(tài)更新機(jī)制、隨機(jī)分割機(jī)制充分保證了標(biāo)簽的位置隱私;利用服務(wù)器強(qiáng)大的處理能力加解密標(biāo)簽標(biāo)識符，有效降低了服務(wù)器的存儲開銷，提高了系統(tǒng)的安全性能，通過分析和比較新協(xié)議具有顯著的性能優(yōu)勢，滿足安全、高效、低成本RFID系統(tǒng)的設(shè)計(jì)要求。

［1］Song B，Mitchell C J.RFID authentication protocol for low-cost tags［C］.WiSec:Proceedings of the first ACM conference on Wireless network security，2008:140 －147.

［2］Akgun M，Caglayan M U，Anarim E.A new RFID authentication protocol with resistance to server impersonation［C］.Washington:Proceedings of the 2009 IEEE International Symposium on Parallel Distributed Processing，2009:1 –8.

［3］Zhou Shi Jie，Zhang Zhen，Luo Zong Wei.A lightweight Anti Desynchronization RFID Authentication Protocol［J］.Information Systems Frontiers，2010，12(5):521 －528.

［4］Wei Chia Hui，Hwang Min Shiang，Chin A Y.A Mutual Authentication Protocol for RFID［J］.IT Professional，2011，13(2):20－24.

［5］Kardas Süleyman，Levi Albert，Murat Ertugrul.Providing resistance against server information leakage in RFID systems［C］.Turkey:Telecom ParisTech，2011:34－40