李冰鵬

摘 要：RFID成為人們生活中不可或缺的一部分，其安全性也開始受到重視。RFID系統(tǒng)由于受到生產(chǎn)成本、計(jì)算能力、存儲(chǔ)容量、電源供電等方面的限制， 使得安全機(jī)制的設(shè)計(jì)需要滿足其許多特殊的要求，一些傳統(tǒng)意義上的安全機(jī)制可能無法在RFID系統(tǒng)中實(shí)現(xiàn)。針對(duì)RFID安全機(jī)制的設(shè)計(jì)需要的特點(diǎn)，各式各樣的安全認(rèn)證協(xié)議被提出。該文在分析RFID協(xié)議需求的基礎(chǔ)上，對(duì)RFID安全認(rèn)證協(xié)議按照輕量級(jí)協(xié)議、中量級(jí)協(xié)議和重量級(jí)協(xié)議三個(gè)類別進(jìn)行分類，分別介紹每個(gè)類別中經(jīng)典的安全認(rèn)證協(xié)議；最后從安全性、認(rèn)證方式、安全隱患和邏輯電路數(shù)量等多方面來對(duì)比分析RFID安全認(rèn)證協(xié)議，總結(jié)各協(xié)議的特點(diǎn)。

關(guān)鍵詞：無線射頻識(shí)別 協(xié)議安全 認(rèn)證

中圖分類號(hào)：TP31 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-098X（2015）11（b）-0017-03

RFID 即無線射頻識(shí)別，俗稱電子標(biāo)簽，是一種利用射頻通信實(shí)現(xiàn)的非接觸式自動(dòng)識(shí)別技術(shù)。它通過射頻信號(hào)自動(dòng)識(shí)別目標(biāo)對(duì)象并對(duì)其信息進(jìn)行標(biāo)志、登記、儲(chǔ)存和管理，RFID相比傳統(tǒng)條形碼所不具備的防水、防磁、耐高溫、使用壽命長、讀取距離大、標(biāo)簽上數(shù)據(jù)可加密、存儲(chǔ)數(shù)據(jù)容量大、存儲(chǔ)數(shù)據(jù)更改自如等優(yōu)點(diǎn)。RFID已經(jīng)在生活中已經(jīng)被廣泛應(yīng)用如門禁、停車卡、產(chǎn)品追蹤、身份識(shí)別等各個(gè)領(lǐng)域，RFID成為人們生活中不可或缺的一部分，其安全性也開始受到重視。RFID系統(tǒng)由于受到生產(chǎn)成本、計(jì)算能力、存儲(chǔ)容量、電源供電等方面的限制， 使得安全機(jī)制的設(shè)計(jì)需要滿足其許多特殊的要求，一些傳統(tǒng)意義上的安全機(jī)制可能無法在RFID系統(tǒng)中實(shí)現(xiàn)。針對(duì)RFID安全機(jī)制的設(shè)計(jì)需要的特點(diǎn)，各式各樣的安全認(rèn)證協(xié)議被提出，設(shè)計(jì)安全性能好、實(shí)施效率高和花費(fèi)成本低的安全認(rèn)證協(xié)議仍然是一個(gè)非常具有挑戰(zhàn)性和研究意義的課題，該文圍繞RFID安全認(rèn)證協(xié)議進(jìn)行相關(guān)的介紹和分析。

1 RFID協(xié)議需求

RFID通信系統(tǒng)主要由物理層、通信層和應(yīng)用層三部分組成。物理層主要功能是標(biāo)簽與讀寫器的物理接口、傳輸速率、編碼方式、通信頻道、信號(hào)調(diào)制調(diào)節(jié)方式等問題。通信層定義了多標(biāo)簽讀寫中防沖突機(jī)制，通信數(shù)據(jù)和指令定義等。應(yīng)用層主要來完成雙向認(rèn)證和查詢協(xié)議，來保證數(shù)據(jù)通信和業(yè)務(wù)應(yīng)用的安全。RFID安全認(rèn)證協(xié)議需要滿足的安全需求如下。

（1）互認(rèn)證性（Mutual Authentication），保證標(biāo)簽和讀寫器雙方都能夠?qū)?duì)方的身份有效性進(jìn)行驗(yàn)證，只有在認(rèn)證的基礎(chǔ)之上才能保證數(shù)據(jù)傳輸和交換才有保障。

（2）不可區(qū)分性（Indistinguishability），攻擊者不能確認(rèn)當(dāng)前的標(biāo)簽是否是他曾經(jīng)遇見過的標(biāo)簽。因?yàn)楣粽叩玫降南⒖赡軟]有具體的含義，也不能被還原，但是如果它能對(duì)這些信息進(jìn)行區(qū)分，那么它可以據(jù)此對(duì)消息發(fā)送方進(jìn)行追蹤，或有針對(duì)性的收集信息，以實(shí)現(xiàn)破解算法。

（3）抗拒絕服務(wù)攻擊（Denial of Service），攻擊者不能使得當(dāng)前的RFID系統(tǒng)進(jìn)入拒絕服務(wù)狀態(tài)。

（4）抗重放攻擊（Replay Attack Resistance），攻攻擊者可以對(duì)標(biāo)簽和讀寫器之間的無線信道進(jìn)行竊聽，然后獲取它們之間的完整通信信息，并記錄下這些信息。在以后的會(huì)話中，使用這些信息通過讀寫器的認(rèn)證，假冒合法的標(biāo)簽，去實(shí)現(xiàn)自己的攻擊的，這被稱為消息重放攻擊。

（5）消息完整性檢查（Messages Integrity Check），安全協(xié)議應(yīng)提供標(biāo)簽和讀寫器間消息的完整性檢測，以防止攻；對(duì)信道傳輸消息的惡意攻擊，如改、刪除等。

2 RFID安全認(rèn)證協(xié)議

根據(jù)RFID協(xié)議的需求，國內(nèi)外專家學(xué)者進(jìn)行了深入的研究并提出了一些RFID安全協(xié)議。目前根據(jù)這些協(xié)議所基于的密碼算法的計(jì)算復(fù)雜度，可將RFID協(xié)議當(dāng)前分為三類：輕量級(jí)協(xié)議、中量級(jí)協(xié)議和重量級(jí)協(xié)議。

2.1 輕量級(jí)密碼協(xié)議

2.1.1 UMAP協(xié)議族

在2006年，Pedro等人提出了一些RFID認(rèn)證協(xié)議族：LMAP、M2AP和EMAP[1]。因?yàn)檫@協(xié)議基于簡單的代數(shù)運(yùn)算包括：XOR、OR、AND、模加法等，計(jì)算復(fù)雜度低，所以非常適合無源標(biāo)簽的安全保護(hù)。針對(duì)UMAP協(xié)議的安全性，文獻(xiàn)[2]指出了對(duì)LMAP和M2AP的攻擊方法，該方法只需要攻擊者與標(biāo)簽進(jìn)行0（n）次交互，即可以獲得標(biāo)簽的n長的ID。之后，Li等人提出了LMAP協(xié)議的擴(kuò)展版LMAP+[3]。2011年，Safkhani等人在文獻(xiàn)[7]中指出LMAP+不能抵抗跟蹤攻擊和非同步攻擊。

2.1.2 SASI 協(xié)議

2007年，Chien等人提出另一個(gè)超輕量級(jí)認(rèn)證協(xié)議SASI[4]，其使用比特位的異或操作和左循環(huán)移位操作計(jì)算標(biāo)簽和閱讀器間的交互信息。針對(duì)SASI安全性，2011年，Sun等人通過重放消息的攻擊方式可以攻擊SASI協(xié)議， Arco等人指出SASI協(xié)議在完全揭露攻擊下攻擊者能夠獲取所有的秘密數(shù)據(jù)。

2.1.3 HB協(xié)議族

2001年，Hopper和Blum設(shè)計(jì)了第—基于LPN（Learning Parity with Noise）問題的認(rèn)證協(xié)議，稱之為HB協(xié)議[5]。LPN問題是一個(gè)“矢量子集求和”困難問題，LPN問題被證明是NP問題，其中涉及的操作僅包括二進(jìn)制與、或、異或等，對(duì)計(jì)算能力和存儲(chǔ)空間要求較低，正好適合RFID標(biāo)簽的使用?；贚PN問題，更多的HB族協(xié)議被設(shè)計(jì)出來，如HB+[6]，HB#[7]等。在安全性方面，HB協(xié)議在抗被動(dòng)攻擊方面的安全性可以規(guī)約到解LPN困難問題，HB協(xié)議族對(duì)被動(dòng)攻擊是安全的，但HB對(duì)主動(dòng)攻擊是不安全的，HB+和HB#對(duì)偽裝成有效標(biāo)簽閱讀器的中間人攻擊是不安全的。

2.2 中量級(jí)密碼協(xié)議

目前中量級(jí)密碼協(xié)議主要是Hash函數(shù)類，該類協(xié)議主要包括Hash-Lock協(xié)議[8]、Hash-Chain協(xié)議[9]、LCAP 協(xié)議[10]等，這些認(rèn)證協(xié)議使用的都是Hash雜湊算法。在安全性方面，Hash-Lock協(xié)議可以提供訪問控制和標(biāo)簽數(shù)據(jù)隱私保護(hù)，其中共享密鑰key不變，因此侵犯者可以通過對(duì)標(biāo)簽進(jìn)行非法追蹤進(jìn)行攻擊，不能抵抗假冒攻擊和重放攻擊；在Hash-Chain協(xié)議中，雖然標(biāo)簽是主動(dòng)更新式標(biāo)簽，然而協(xié)議只是一個(gè)單向認(rèn)證協(xié)議，閱讀器可對(duì)標(biāo)簽認(rèn)證，但標(biāo)簽無法驗(yàn)證閱讀器的合法性，Hash-Chain協(xié)議不能抵抗重放和假冒攻擊；LCAP協(xié)議采用詢問-應(yīng)答協(xié)議，每次執(zhí)行完后都會(huì)動(dòng)態(tài)刷新標(biāo)示，成功解決了標(biāo)簽隱私問題，能夠有效抵抗重放攻擊和假冒攻擊，但是在通信中需要不斷的刷新ID，效率存在性能瓶頸，不適用于分布數(shù)據(jù)庫的計(jì)算環(huán)境和大規(guī)模應(yīng)用。

2.3 重量級(jí)密碼協(xié)議

為解決一些其它識(shí)別協(xié)議的安全不足，提出了一些基于公鑰對(duì)稱密鑰的密碼協(xié)議，最具代表性的是基于對(duì)稱加密算法DES等的“三通互相鑒別”協(xié)議和基于RSA算法的認(rèn)證協(xié)議[11]。其中，“三通互相鑒別”協(xié)議可有效抵抗來自系統(tǒng)外部的偽造和攻擊，但是DES和RSA采用這種協(xié)議的系統(tǒng)標(biāo)簽電路需要一萬門以上的邏輯門，成本過高?；诔杀具^高的問題，給出了一些基于ECC（Elliptic Curve Cryptography）的密碼的研究方案[12]，在滿足系統(tǒng)高安全需求的情況下，基于ECC橢圓曲線密碼體制的安全認(rèn)證協(xié)議，相較同樣高安全性，在加解密速度、計(jì)算負(fù)擔(dān)和存儲(chǔ)空間開銷上都有著明顯的優(yōu)勢(shì)。

3 RFID安全認(rèn)證協(xié)議比較

以下從安全性、認(rèn)證方式、安全隱患行和邏輯電路數(shù)量來對(duì)比分析RFID安全認(rèn)證協(xié)議。安全性主要是分析RFID安全認(rèn)證協(xié)議對(duì)各種攻擊方式的抵抗；認(rèn)證方式存在單向認(rèn)證和雙向認(rèn)證兩種方式；安全隱患行共分為五級(jí)，5級(jí)標(biāo)示存在嚴(yán)重安全隱患，1級(jí)標(biāo)示安全；邏輯電路數(shù)量主要放映RFID安全認(rèn)證協(xié)議在具體實(shí)現(xiàn)時(shí)，所需要的成本。見表1。

其中，輕量級(jí)密碼協(xié)議的特點(diǎn)是實(shí)現(xiàn)電路簡單、成本低，但安全性不高，容易遭到攻擊；中量級(jí)密碼協(xié)議中Hash-Lock和Hash-Chain協(xié)議安全性不高；LCAP協(xié)議具有較高的安全性，LCAP協(xié)議采用詢問-應(yīng)答協(xié)議，需要不斷的刷新ID，不適用于分布數(shù)據(jù)庫的計(jì)算環(huán)境和大規(guī)模應(yīng)用；重量級(jí)密碼協(xié)議中所有協(xié)議都具備較高的安全性，其中只有DES的算法存在內(nèi)部攻擊的可能性，ECC算法的認(rèn)證協(xié)議具體RSA算法的認(rèn)證協(xié)議相同的安全性，在加解密速度、計(jì)算負(fù)擔(dān)和存儲(chǔ)空間開銷上都有著明顯的優(yōu)勢(shì)，所以ECC算法的認(rèn)證協(xié)議受到了廣泛的關(guān)注。

4 結(jié)語

RFID安全認(rèn)證協(xié)議隨著芯片材質(zhì)和電路架構(gòu)的進(jìn)步同步發(fā)展，早期受到RFID標(biāo)簽低成本性，導(dǎo)致許多重量級(jí)密碼算法無法在RFID系統(tǒng)中實(shí)現(xiàn)，輕量級(jí)密碼算法和中量級(jí)密碼算法被廣泛使用；隨著芯片的計(jì)算、存儲(chǔ)能力得到提升，伴隨著RFID的生產(chǎn)成本將會(huì)越來越低，同時(shí)攻擊技術(shù)的不斷提高，中量級(jí)密碼算法和重量級(jí)密碼協(xié)議被廣泛使用。除以上經(jīng)典的RFID安全認(rèn)證協(xié)議，很多學(xué)者對(duì)經(jīng)典RFID安全認(rèn)證協(xié)議在實(shí)際使用過程中，不斷進(jìn)行改造，也產(chǎn)生了很多新的協(xié)議。隨著電路制造業(yè)的不斷發(fā)展，RFID的生產(chǎn)成本將會(huì)越來越低，也就使得RFID標(biāo)簽上會(huì)有更多計(jì)算資源和存儲(chǔ)空間可用于安全方面，RFID安全認(rèn)證協(xié)議的研究會(huì)有更多的突破，同時(shí)安全和隱私的級(jí)數(shù)需要依賴于具體的應(yīng)用，并不存在普遍適用的解決方案，需要和具體應(yīng)用相結(jié)合。

參考文獻(xiàn)

[1] Li Tie-yan， Deng Robert. Vulnerability Analysis of EMAP-An Efficient RFID Mutual Authentication Protocol [C]//The Second International Conference on Availability， Reliability and Security，2007：238-245.

[2] Li Tie-yan. Employing Lightweight Primitives on Low-cost RFID Tags Ior Authentication [C]// Vehicular Technology Conference，2008：1-5.

[3] M Safkhani， N Bagheri， M Naderi， et al. Security Analysis of LMAP++，an RFID Authentication Protocol [C]// International Conference for Internet Technology and Secured Transactions，2011：689-694.

[4] HY Chien. SASI： A New Ultralightweight RFID Authentication Protocol Providing Strong Authentication and Strong Integrity [J]. IEEE Transactions on Dependable and Secure Computing，2007，4（4）：337-340.

[5] Nicholas J Hopper， Manuel Blum. A secure human-computer authentication scheme[R]. Pittsburgh： Carnegie Mellon University Technical Report CMU-CS-00-139，2000.

[6] A Juels， S Weis. Authenticating pervasive devices with human protocols [J]. Lecture Notes in Computer Science， 2005（3621）：293-308.

[7] K Ouafi， R Overbeck， S Vaudenay. On the security of HB# against a man-in-the-middle attack [J]. Lecture Notes in Computer Science，2008（5350）：108-124.

[8] RL Rivest. Security and Privacy in Radio-Frequency Identification Devices [D]. Boston：MIT，2003.

[9] M.Ohkubo， K Suzuki， S Kinoshita. Hash-Chain Based Forward-Secure Privacy Protection Scheme for Low-Cost RFID [A]. In： Proceedings of the SCIS，2004：719-724.

[10] Su Mi Lee， Young Ju Hwang， Dong Hoon Lee， et al. Efficient authentication for low-cost RFID systems [A]. Proceedings of the International Conference on Computational Science and Its Applications （ICCSA2005）[C]. Lecture Notes in Computer Science，2005（3480）：619-627.

[11] Philippe Golle， Markus Jakobsson， Ari Juels， et al. Universal re-encryption for mixnets [J]. Berlin： Lecture Notes in Computer Science，2004（2964）：163-178.

[12] Michael Braun， Erwin Hess， Bernd Meyer. Using elliptic curves on RFID tags [J].International Journal of Computer Science and Network Security，2008，8（2）：1-9.