張建華, 張楠

（西南民族大學計算機科學與技術學院, 四川 成都 610041）

【特約專稿】

基于混沌的RFID雙向認證協(xié)議

張建華, 張楠

（西南民族大學計算機科學與技術學院, 四川 成都 610041）

針對物聯(lián)網(wǎng)環(huán)境下RFID系統(tǒng)已知的安全缺陷, 提出了一種基于混沌的雙向認證協(xié)議. 該協(xié)議使用相對簡單的異或運算和帶混沌鎖的哈希運算,實現(xiàn)了標簽和閱讀器之間高效低成本的雙向認證. 即使在閱讀器和數(shù)據(jù)庫之間信道不安全的情況下也能進行完成密鑰分發(fā)和安全認證, 提高了閱讀器的移動應用能力, 能有效地避免竊聽、假冒、重放、位置跟蹤等攻擊.

射頻識別(RFID); 雙向認證; 混沌

1 引言

射頻識別(RFID, Radio Frequency Identification)是一種通過射頻信號在開放環(huán)境中自動識別目標對象并獲取相關數(shù)據(jù)的非接觸式技術[1]. RFID系統(tǒng)由電子標簽、閱讀器和后臺數(shù)據(jù)庫構成. 其中每個標簽具有唯一的電子編碼, 其存儲能力和計算能力較弱; 閱讀器通過射頻接口來獲取標簽中的數(shù)據(jù), 并將其傳遞給后臺數(shù)據(jù)庫; 后臺數(shù)據(jù)庫接收來自閱讀器的數(shù)據(jù), 其存儲能力和計算能力較強.

RFID技術的無接觸、信號廣播等特點給RFID應用帶來各種各樣的安全問題. 首先, 電子標簽可能被竊聽、假冒、重放、跟蹤等. 其次, 電子標簽在開放的環(huán)境中可能被附近的非法閱讀器讀取, 泄露用戶的隱私信息. RFID系統(tǒng)的安全問題關鍵就是電子標簽和閱讀器之間的雙向認證問題. 針對RFID標簽的計算和存儲資源的限制, 本文提出了一種基于混沌更新密鑰的雙向認證協(xié)議, 使用帶混沌密鑰的Hash算法進行身份認證, 具有存儲量、通信量和計算量小的特點.

2 相關協(xié)議分析

由于RFID標簽資源有限, 較為成熟的基于公鑰密碼體制的認證技術無法很好地應用在RFID系統(tǒng)的認證之中. 目前提出的RFID認證協(xié)議主要包括基于Hash函數(shù)的認證、基于矩陣運算的認證、基于對稱加密的認證等[2-6].其中基于Hash函數(shù)的認證計算量小, 受到許多學者的關注.

Sarma等人提出Hash鎖協(xié)議[7]. 在協(xié)議中每個標簽T存儲自身ID和一個經(jīng)過Hash散列后的替代ID號metaID; 后臺數(shù)據(jù)庫D存儲標簽ID、metaID、key, 其中metaID=Hash(key). 認證過程如圖1所示.

上述認證過程中, 數(shù)據(jù)庫如果找到metaID匹配的項, 則發(fā)送(key, ID)給閱讀器R, 否則返回失敗; 標簽T驗證閱讀器R發(fā)送回的key是否滿足metaID=Hash(key), 若一致則發(fā)送ID給閱讀器R, 否則標簽T靜止; 閱讀器R比較標簽T發(fā)送回的ID是否與數(shù)據(jù)庫D發(fā)送的ID一致, 若一致則認證通過, 否則屏蔽標簽T. 在該協(xié)議中key沒有動態(tài)更新機制, metaID始終保持不變, 協(xié)議最后一步標簽ID在不安全信道中明文傳輸, 容易遭受竊聽、假冒、跟蹤定位等攻擊.

圖1 Hash鎖協(xié)議Fig.1 Hash-Lock protocol

Weis等人提出隨機鎖來解決位置跟蹤問題[8]. 協(xié)議流程如圖2所示.

圖2 隨機Hash鎖協(xié)議Fig. 2 Random Hash-Lock protocol

隨機Hash鎖執(zhí)行過程中, 標簽T產生隨機數(shù)r, 并將Hash(ID,r)發(fā)送給閱讀器R; 閱讀器R向數(shù)據(jù)庫D請求所有標簽的ID, 并檢索是否存在IDi, 滿足Hash(IDi,r)=Hash(ID,r), 若存在則認證通過, 并將IDi發(fā)送給標簽T,否則失敗; 標簽T比較IDi是否與自己的ID相同, 若一致則認證成功, 否則標簽T靜止. 該協(xié)議的第1步使用隨機數(shù)防止靜態(tài)ID而導致的位置跟蹤, 但第5步時依然在不安全信道中傳送了標簽ID的明文信息. 每次認證需要向后臺數(shù)據(jù)庫請求所有標簽ID, 數(shù)據(jù)通信量大, 導致效率降低.

Ohkubo等人提出Hash鏈來解決前向安全問題[9]. 標簽T和后臺數(shù)據(jù)庫D共享一個初始密值Si,j. 認證過程如圖3所示.

圖3 Hash鏈協(xié)議Fig. 3 Hash-Link protocol

Hash鏈協(xié)議認證時, 標簽T收到Query, 使用當前密值Si,j計算兩次散列H(Si,j)和G(Si,j), 并更新密值Si,j+1=H(Si,j), 將G(Si,j)發(fā)送給閱讀器R; 數(shù)據(jù)庫查找并計算是否存在(ID, Si,j)滿足G(Hi-1(Si,j))=G(Si,j), 若存在則認證通過, 將IDi發(fā)送給閱讀器R, 否則標簽T為非法. 該協(xié)議只能實現(xiàn)單向認證, 而且每次認證時數(shù)據(jù)庫要對每個標簽進行i次散列運算, 不適合大量標簽的應用.

另外還有許多學者提出基于Hash算法的改進認證協(xié)議, 對協(xié)議的成本進行控制. 這些協(xié)議有一個共同的前提是RFID閱讀器到標簽之間的信道是不安全信道, 而閱讀器和后臺數(shù)據(jù)庫之間的信道總是安全的. 原因是閱讀器和數(shù)據(jù)庫之間可以通過RS232、RS422或USB等方式連接, 但卻限制了閱讀器的移動性. 隨著移動應用的發(fā)展,移動閱讀器成為了越來越多的RFID應用的需要, 必須有相應的協(xié)議來保證閱讀器和數(shù)據(jù)庫之間的通信安全.

3 基于混沌Hash鎖的隱私保護協(xié)議

基于上述幾種協(xié)議的優(yōu)點和在隱私保護方法上存在的不足, 本文提出了一種基于混沌Hash鎖的開放式RFID雙向認證協(xié)議, 實現(xiàn)高效低成本的安全訪問控制.

3.1 協(xié)議工作原理

在本協(xié)議中, 標簽和閱讀器之間的通信是在不安全信道中進行, 同時閱讀器的數(shù)據(jù)庫之間的通信也可以是不安全的長距離信道或無線信道. 攻擊者可能竊聽標簽和閱讀器之間的通信, 也可能竊聽閱讀器和數(shù)據(jù)庫之間的通信. 本協(xié)議能夠在完全開放的環(huán)境中實現(xiàn)安全認證和隱私保護.

RFID系統(tǒng)初始化時, 系統(tǒng)為每個標簽(Tag)和閱讀器(Reader)分配ID及密鑰等信息, 如表1所示.

表1 符號說明Tab.1 Symbols

協(xié)議中, 標簽存儲自己的標識IDT等相關信息以及一個與數(shù)據(jù)庫共享的密鑰KT、混沌鎖CK和一個替代ID號HID. HID由標簽標識IDT和混沌鎖CK經(jīng)散列后生成,HID=Hash(CK,IDT). 每次認證完成后, CK混沌更新, HID動態(tài)變化, 有效地保護標簽的隱私. 閱讀器中存儲自己的標識IDR、與數(shù)據(jù)庫共享的密鑰KR以及相關應用. 數(shù)據(jù)庫中存儲的與認證相關的內容包括: 標簽IDT、標簽HID、合法授權閱讀器IDR、KT、KR、混沌鎖CK. 考慮到如果因為認證中斷等原因造成標簽和數(shù)據(jù)庫更新不同步, 從而標簽中存儲的HID與數(shù)據(jù)庫中存儲的HID不一致, 從而出現(xiàn)標簽無法被正確被識別而失效, 所以我們在數(shù)據(jù)庫中還存儲了HIDold, 用來解決標簽與數(shù)據(jù)庫之間的更新同步問題.混沌Hash鎖協(xié)議能夠保證用戶數(shù)據(jù)的機密性、完整性及可用性, 能夠抵御RFID系統(tǒng)常見的攻擊, 包括竊聽、假冒、重放、位置跟蹤等, 在一個全開放的環(huán)境中提供雙向認證功能, 其協(xié)議流程如圖4所示.

圖4 混沌HASH鎖協(xié)議認證流程Fig. 4 Certification Flow of Chaos Hash-Lock protocol

其中:

3.2 密鑰管理及混沌更新

本協(xié)議中的密鑰包括標簽和閱讀器與數(shù)據(jù)庫的共享密鑰KT和KR、標簽與閱讀器之間的會話密鑰KS、混沌鎖CK三類.

KT和KR的分發(fā)是在系統(tǒng)部署前完成的. 密鑰在安全的環(huán)境中生成并被寫入標簽和閱讀器, 并同步存儲到數(shù)據(jù)庫中. 在認證階段, 密鑰總是與一個隨機數(shù)同時使用, 能夠達到一次一密的效果.

KS是在每一次認證過程中由數(shù)據(jù)庫臨時隨機產生并分發(fā), 用于標簽與閱讀器在一次會話的后續(xù)通信中加密消息.

混沌鎖CK通過一個混沌迭代動態(tài)更新. 混沌是指在確定系統(tǒng)中出現(xiàn)的一種貌似無規(guī)則的、類似隨機的現(xiàn)象[10]. 近年來混沌學在實際應用中得到迅速發(fā)展, 引起許多學者的廣泛關注[11-13]. 本文利用Logistic映射的來進行密鑰的產生與更新:

其中xn為系統(tǒng)軌跡;x0為初始值;λ為系統(tǒng)參數(shù).x0的細微不同, 將導致xn產生極大的隨機變化.

3.3 認證過程描述

閱讀器向標簽發(fā)送Query.

標簽生成隨機數(shù)NT, 并計算標簽認證碼TAC=NT⊕KT, 將結果連同自己的HID一起發(fā)送給閱讀器.

閱讀器生成隨機數(shù)NR, 并將收到的消息連同自己閱讀器認證碼RAC=NR⊕KR一起發(fā)送給數(shù)據(jù)庫.

在數(shù)據(jù)庫中查找數(shù)據(jù)庫中的HID, 如果在數(shù)據(jù)庫中找到一個HID與收到的HID一致, 則計算TAC⊕KT得到NT; 計算RAC⊕KR得到NR; 然后隨機生成KS并向閱讀器發(fā)送認證碼DACT和DACR.

最后數(shù)據(jù)庫按式(2)-(4)混沌更新CK, 并計算:

數(shù)據(jù)庫完成對標簽的認證.

如果在數(shù)據(jù)庫中不存在該HID, 則在數(shù)據(jù)庫中查找HIDold, 如果存在一個HIDold與收到的HID一致, 說明在上一次認證過程中因為某原因導致標簽沒有混沌更新密鑰, 那么本次認證過程中數(shù)據(jù)庫不再更新密鑰, 直接向閱讀器發(fā)送認(8)式的證碼DACT和DACR, 表示認證成功.

如果數(shù)據(jù)庫里既沒有HID也沒有HIDold與收到的HID匹配, 則認證失敗.

標簽按式(2)-(4)混沌更新自己的CK并按(10) 計算HID; 否則認證失敗, 標簽進入休眠狀態(tài).

閱讀器收到標簽發(fā)來的消息后進行一致性認證, 雙向認證結束.

4 協(xié)議安全性分析

本協(xié)議在開放的環(huán)境中實現(xiàn)標簽和閱讀器之間的雙向認證. 能夠對抗RFID系統(tǒng)包括竊聽、跟蹤、重放等攻擊在內的所有常見攻擊.

4.1 抗竊聽攻擊

本協(xié)議不但能夠抵御標簽和閱讀器之間的竊聽, 還能夠抵御閱讀器和數(shù)據(jù)庫之間的竊聽, 實現(xiàn)了在完全開放環(huán)境中的機密性保護.

首先在認證過程中, HID代替標簽ID進行認證, 由于HASH函數(shù)的單向性和混沌鎖的不確定性, 竊聽者無法解密其截獲HID. 其次所有的認證消息都使用了加密傳輸. 考慮到計算能力和成本, 我們沒有使用復雜的加密函數(shù), 而是使用隨機數(shù)與密鑰進異或運算, 可以實現(xiàn)一次一密. 第三, 認證完成后標簽和閱讀器均安全獲得了一個臨時會話密鑰, 可保證后續(xù)通信的安全通信. 因此, 本協(xié)議用較低的成本實現(xiàn)了消息的機密性.

4.2 抗重放和假冒攻擊

由于在本協(xié)議中使用了混沌鎖和密鑰機制, 系統(tǒng)部署時, 已經(jīng)將CK、KT、KR安全寫入了標簽、閱讀器和數(shù)據(jù)庫中, 攻擊者(O)無從得知. 若攻擊者截獲標簽(T)與閱讀器(R)以前的認證信息, 當合法閱讀器向標簽發(fā)送Query時, 攻擊者就假冒標簽將以前得到消息發(fā)送給閱讀器:

在本文的協(xié)議中, 由于HID是動態(tài)更新的, 原來的HID不能得到數(shù)據(jù)庫的認證. 即使攻擊者利用系統(tǒng)的容錯機制, 用最近一次HID來匹配HIDold, 但認證的最后一步需要對本次產生的隨機數(shù)做一致性認證, 由于攻擊者沒有KT, 同樣也會無法通過認證, 因此無法直接進行假冒和重放.

4.3 抗中間人攻擊

攻擊者(O)企圖向閱讀器(R)假冒標簽(T)、向標簽(T)假冒合法閱讀器(R), 非法讀取標簽信息. 攻擊者截獲標簽和閱讀器之間的消息, 并進行轉發(fā):

攻擊成功的前提是攻擊者必須實時轉發(fā)標簽和閱讀器之間的每一條消息. 即使認證成功, 但攻擊者不知道KS, 對截獲的標簽和閱讀器之間的所有消息, 也無法得知其中內容, 因此本協(xié)議有效地保護了標簽的隱私.

4.4 抗位置跟蹤

攻擊者(O)偽裝成合法閱讀器(R)在某區(qū)域內向標簽(T)發(fā)送相同的認證請求, 如果標簽的響應信息也相同,說明信息來自同一個標簽, 就可以判斷標簽出現(xiàn)的時間和位置來跟蹤標簽的運動.

本協(xié)議中混沌更新的CK和HID使得認證信息每一次都不同, 攻擊者無法判斷這些響應是否來自同一個標簽, 從而無法實現(xiàn)對標簽的位置跟蹤.

4.5 前向安全與后向安全

前向安全指認證過期后, 用戶不能讀取將來的數(shù)據(jù); 后向安全指新用戶可以讀取將來的數(shù)據(jù), 但不能讀取過去的數(shù)據(jù).

本協(xié)議中, 所有的認證消息均使用帶隨機數(shù)的加密方法, 保證了消息的機密性和新鮮性. 攻擊者無法讀取消息內容, 實現(xiàn)了前向安全和后向安全.

5 結論

本文設計了一種基于混沌的雙向認證協(xié)議, 能實現(xiàn)開放環(huán)境下標簽和閱讀器之間的雙向安全認證, 提高了閱讀器的移動應用能力. 基于標簽在計算能力、存儲空間和電源供給方面的限制, 協(xié)議使用相對簡單的Hash運算和異或運算代替復雜的加密技術. 在認證和會話密鑰分發(fā)階段, 通過使用隨機數(shù)和混沌密鑰, 有效地避免假冒和重放攻擊. 在認證過程中, 使用動態(tài)更新的將標簽ID隱于其中的混沌HASH鎖, 能夠隱藏標簽位置等相關信息, 有效地防止位置跟蹤. 密鑰的預分配依賴初值敏感的混沌算子, 減少重復密鑰的出現(xiàn), 適合標簽量大的應用.

[1] 單承贛, 單玉峰, 姚磊, 等. 射頻識別(RFID)原理與應用[M]. 北京: 電子工業(yè)出版社, 2010.

[2] KARTHIKEYAN S, NESTERENKO M. RFID security without extensive cryptography[C]// Proceedings of the 3rd ACM workshop on Security of AdHoc and Sensor Networks, SASN’05, 2005:63-67.

[3] 馬昌社. 前向隱私安全的低成本RFID認證協(xié)議[J]. 計算機學報, 2011, 34(8):1387-1398.

[4] 張楠, 張建華. 開放式RFID雙向認證協(xié)議及安全性分析[J]. 計算機應用, 2013, 33(1):131-134.

[5] 丁治國, 郭立, 王星潔. 基于密鑰陣列的RFID安全認證協(xié)議[J]. 電子與信息學報, 2009, 31(3): 722-726.

[6] 聶鵬. EPCglobal Class1 Gen2 標準的RFID高效雙向認證協(xié)議[J]. 計算機工程與應用, 2011, 47(10): 92-94.

[7] SARMA S, WEIS S, ENGELS D. RFID systems and security and privacy implications[C]//Proc of CHES’02, 2002: 454-469.

[8] WEIS S, SARMA S, RIVEST R. Security and privacy aspects of low-cost radio frequency identification systems[C]//Proc of Security in pervasive Computing’04, 2004: 201-212.

[9] OHKUBO M, SUZUKI K, KINOSHITA S. Cryptographic approach to privacy-friendly tags[C]//Proc of RFID Privacy Workshop, USA: MIT, 2003.

[10] 張化光, 王智良, 黃瑋. 混沌系統(tǒng)的控制理論[M]. 沈陽: 東北大學出版社, 2003.

[11] 王宏霞, 何晨, 丁科. 基于混沌映射的魯棒性公開水印[J]. 軟件學報, 2004, 15(8):1245-1250.

[12] 肖方紅, 閻桂榮, 韓宇航. 混沌時序相空間重構參數(shù)確定的信息論方法[J]. 物理學報, 2005, 54(2): 550-556.

[13] 張楠, 張建華, 陳建英, 等. 無線傳感器網(wǎng)絡中基于混沌的密鑰預分配方案. 計算機應用, 2007, 27(8): 1901-1903.

Chaos-based mutual authentication protocol for RFID

ZHANG Jian-hua, ZHANG Nan
(School of Computer Science and Technology, Southwest University for Nationalities, Chengdu 610041, P.R.C.)

In order to solve the RFID system known security flaws in IOT environment, this paper proposes a mutual authentication protocol based on chaos. The protocol uses a relatively simple mathematical operation like XOR and chaos with hash locks to achieve an efficient and low-cost mutual authentication between tag and reader. Even in the case of an insecure channel between the reader and the database, the protocol can perform security authentication and key distribution, which improves the ability of the reader of in the mobile environment and prevent eavesdropping, masquerade, replaying and location tracking attacks effectively.

radio frequency identification; mutual authentication; chaos

TP391.45

A

1003-4271(2014)04-0531-06

10.3969/j.issn.1003-4271.2014.04.12

2014-05-20

張建華(1971-), 男, 漢族, 四川武勝人, 教授, 博士, 研究方向: 物聯(lián)網(wǎng), 網(wǎng)絡安全.

國家社會科學基金項目“云計算時代民族地區(qū)網(wǎng)絡輿情監(jiān)控與疏導研究”(12BTQ056); 四川省應用基礎研究項目“基于云計算的物聯(lián)網(wǎng)應用及關鍵安全技術研究”(2012JY0096); 西南民族大學中央高?；究蒲袠I(yè)務專項資金“物聯(lián)網(wǎng)若干關鍵技術研究” (11NZYTH06).