◆王 悅

RFID安全認證協(xié)議研究

◆王 悅

（西安文理學(xué)院信息工程學(xué)院 陜西 710065）

無線射頻識別（Radio Frequency Identification， RFID）技術(shù)作為一種利用射頻信號在物聯(lián)網(wǎng)中實現(xiàn)自動識別的關(guān)鍵技術(shù)，已經(jīng)被廣泛應(yīng)用于日常生活中銷售，物流，醫(yī)療，交通，二代身份證等領(lǐng)域。但隨之而來的，是RFID技術(shù)潛在的安全隱私問題。由于低成本的RFID標(biāo)簽計算能力和存儲功能非常有限，所以現(xiàn)有的已經(jīng)成熟的密碼學(xué)技術(shù)無法直接使用。研究低成本、高效、安全的RFID雙向認證協(xié)議具有重要意義和價值。本文在分析RFID協(xié)議需求的基礎(chǔ)上，對RFID安全認證協(xié)議進行分類，最后從系統(tǒng)的資源開銷需求和安全需求方面來對比分析RFID超輕量級安全認證協(xié)議，并基于此提出對未來超輕量級認證協(xié)議的要求。

無線射頻識別；RFID；安全協(xié)議；認證

1 引言

射頻識別（Radio Frequency Identification）是物聯(lián)網(wǎng)中通過無線通信實現(xiàn)電子標(biāo)簽和終端閱讀器數(shù)據(jù)交換的關(guān)鍵技術(shù)。所以作為新興的識別技術(shù)，RFID技術(shù)不僅制造成本低，而且穿透性更強，可識別距離也更遠。伴隨著RFID技術(shù)逐漸滲入到各行各業(yè)，其固有的局限性和暴露出來的安全隱私問題也逐漸引起人們的關(guān)注。因為RFID技術(shù)使用無線射頻信號進行通信，所以閱讀器和標(biāo)簽之間互相傳輸?shù)臄?shù)據(jù)會暴露在公共信道中，攻擊者很容易通過非法渠道獲取認證過程中的會話內(nèi)容。由于標(biāo)簽存儲了一些載體的敏感信息，所以標(biāo)簽發(fā)送這些敏感信息之前需要先驗證參與者的身份合法性。同理，為了避免攻擊者假冒標(biāo)簽發(fā)生假冒攻擊，該參與者也應(yīng)該提前了解標(biāo)簽的身份合法性，在雙方互相認證對方的身份后再發(fā)送需要交換的信息?；诖耍瑸榱吮ＷCRFID系統(tǒng)的雙向安全認證，相關(guān)研究人員不斷提出各種新的RFID安全認證協(xié)議。

2 RFID系統(tǒng)的安全威脅和安全需求

通常后臺服務(wù)器和閱讀器之間通過穩(wěn)定安全的有線信道相互連接，可以認為兩者之間的通信是安全可靠的。但是標(biāo)簽和閱讀器是通過無線的、非接觸式的不安全信道進行通信的，可能遭受各種無線攻擊。圖1是RFID系統(tǒng)受到安全威脅的模型。

低成本標(biāo)簽RFID系統(tǒng)中常見的攻擊類型有如下幾種：

（1）標(biāo)簽追蹤：攻擊者偽裝成合法的閱讀器不停地向標(biāo)簽發(fā)送認證請求，攻擊者可以通過分析多次從標(biāo)簽處收到的響應(yīng)消息追蹤到該標(biāo)簽。

（2）假冒攻擊：當(dāng)攻擊者截獲到合法標(biāo)簽的身份信息時，攻擊者可以利用該信息偽裝成合法標(biāo)簽以得到合法閱讀器的認證。

（3）隱私侵犯：信息發(fā)生泄露后，攻擊者竊取標(biāo)簽中的ID并在數(shù)據(jù)庫中查詢該ID的相關(guān)信息，從而非法獲得標(biāo)簽擁有者的隱私信息。

（4）中間人攻擊：攻擊者通過各種技術(shù)手段竊取RFID系統(tǒng)內(nèi)標(biāo)簽和閱讀器之間的會話數(shù)據(jù)，從而冒充合法成員向合法成員發(fā)送偽造的通信信息。

（5）重放攻擊：攻擊者通過竊聽RFID系統(tǒng)內(nèi)的會話數(shù)據(jù)，不斷地向合法成員發(fā)送竊取到的通信信息試圖獲得系統(tǒng)的認證。

（6）去同步攻擊：攻擊者截斷了協(xié)議的部分會話內(nèi)容，使得認證雙方只有一方進行了更新操作，在下一輪認證中標(biāo)簽認證合法的閱讀器失敗，后續(xù)的協(xié)議無法正常進行。

（7）拒絕服務(wù)攻擊（DoS攻擊）：攻擊者不斷地發(fā)送認證請求消息，迫使服務(wù)器的緩存區(qū)滿，達到讓RFID系統(tǒng)停止提供服務(wù)的目的。

圖1 RFID系統(tǒng)受到安全威脅的模型

除此之外，一個良好的RFID安全認證協(xié)議需要滿足如下幾種安全需求：

（1）數(shù)據(jù)保密性：RFID標(biāo)簽不應(yīng)該向任何未經(jīng)授權(quán)的非法用戶發(fā)送消息，但是攻擊者可以通過惡意地竊聽合法用戶的會話消息非法獲取密鑰信息。

（2）數(shù)據(jù)安全性：安全協(xié)議應(yīng)該保證數(shù)據(jù)在會話過程中不會被攻擊者惡意地編輯修改（刪除、插入、替換等）。

（3）數(shù)據(jù)真實性：RFID安全協(xié)議要求閱讀器在會話過程中獲取的標(biāo)簽信息是真實的，即標(biāo)簽是合法標(biāo)簽，信息也是真實可靠的信息。

（4）用戶隱私性：攻擊者可以非法監(jiān)聽RFID標(biāo)簽并獲取該標(biāo)簽所有者的隱私信息。

（5）前向安全性：攻擊者通過各種非法渠道獲得存儲在標(biāo)簽內(nèi)的密鑰值，如果攻擊者可以借此計算出之前會話的密鑰值，那么之前的會話內(nèi)容也會被攻擊者破解。

（6）后向安全性：攻擊者通過各種非法渠道獲得存儲在標(biāo)簽內(nèi)的密鑰值，如果攻擊者可以借此計算出之后會話的密鑰值，那么之后的會話內(nèi)容也會被攻擊者破解。

3 RFID技術(shù)分類

研究傳統(tǒng)RFID系統(tǒng)的安全性主要是研究如何保護RFID系統(tǒng)中標(biāo)簽和閱讀器之間的數(shù)據(jù)傳輸安全。目前主流的采用密碼技術(shù)實現(xiàn)RFID系統(tǒng)中標(biāo)簽和閱讀器的相互認證。針對認證協(xié)議中RFID標(biāo)簽的計算能力和系統(tǒng)的操作性能，認證協(xié)議被分為以下四類：第一類指標(biāo)簽支持對稱密鑰或公鑰等傳統(tǒng)加密算法加密的“重量級認證協(xié)議”；第二類指標(biāo)簽可以支持偽隨機數(shù)生成器和單向哈希散列函數(shù)計算的“簡單級認證協(xié)議”；第三類指需要一個偽隨機數(shù)發(fā)生器和一些簡單的如CRC驗證函數(shù)這一類的功能的“輕量級認證協(xié)議”；第四類指只包含一些簡單的“邏輯位”運算（如異或、與、或和移位等）的“超輕量級認證協(xié)議”[2]。

（1）重量級認證協(xié)議

基于對稱密鑰的RFID認證協(xié)議是最早受到關(guān)注的，Alomair等人[3]提出的認證協(xié)議是通過一個超大的后臺數(shù)據(jù)庫提高標(biāo)簽效率，從而可以利用對稱密鑰在固定時間內(nèi)對RFID系統(tǒng)進行隱私保護。Van等人[4]提出的O-FRAP認證協(xié)議也使用了對稱密鑰，并在認證過程中通過標(biāo)簽生成一次性隨機數(shù)保護標(biāo)簽的真實身份和隱私安全，容易產(chǎn)生拒絕服務(wù)攻擊。這類認證方案大多存在各種安全問題，而且使用對稱密鑰技術(shù)的限制較多，對標(biāo)簽的計算能力和存儲資源的要求較高，所以這類認證方案不能大規(guī)模使用。

（2）簡單級認證協(xié)議

簡單級認證協(xié)議的主要特點就是在認證過程中引入單向哈希函數(shù)計算。2002年Sarma等人[5]最先基于偽隨機數(shù)生成器和單向哈希函數(shù)加密提出Hash-Lock協(xié)議，標(biāo)簽容易受到位置跟蹤攻擊，標(biāo)簽的隱私安全無法得到保護。次年Weis等人在Sarma等人[6]提出的協(xié)議的基礎(chǔ)上引入一次性隨機數(shù)，提出隨機化Hash-Lock協(xié)議（RHL），該協(xié)議可以抵抗攻擊者的偽造攻擊和重放攻擊。2004年Ohkubo等人[7]在Sarma的工作基礎(chǔ)上引入哈希操作，提出了Hash-Chain協(xié)議，該協(xié)議只能實現(xiàn)單向認證，之后使用Hash函數(shù)的RFID認證協(xié)議基本都是上述工作的延伸。

（3）輕量級認證協(xié)議

輕量級認證協(xié)議主要指使用隨機數(shù)和簡單函數(shù)對RFID系統(tǒng)中的標(biāo)簽進行加密處理的協(xié)議。2007年Chien等人[8]提出僅包括CRC和PRNG的輕量級RFID認證協(xié)議，該協(xié)議容易出現(xiàn)假冒標(biāo)簽攻擊。Liu等人[9]于2010年基于糾錯碼（ECC）提出一個輕量級相互認證方案，容易受到位置追蹤攻擊和重放攻擊。Niu等人[10]于2013年提出一個基于CRC和PRNG功能的輕量級認證協(xié)議，重放攻擊和披露攻擊對此協(xié)議是不可行的。

（4）超輕量級認證協(xié)議

表1 超輕量級RFID協(xié)議安全性對比

表2 超輕量級RFID協(xié)議開銷對比

4 總結(jié)和展望

本文首先介紹了RFID認證協(xié)議需要抵御的幾種常見的安全威脅和需要滿足的安全需求。接著總結(jié)了幾種RFID安全認證協(xié)議的發(fā)展和特點。最后，本文就幾種經(jīng)典的RFID超輕量級協(xié)議的安全性和開銷進行比較，發(fā)現(xiàn)現(xiàn)有的超輕量級協(xié)議安全性都有所欠缺。所以我們認為未來超輕量級認證協(xié)議的目標(biāo)是在消耗盡可能小的開銷的情況下提出更安全可靠的協(xié)議，尤其是要可以抵抗去同步攻擊和DoS攻擊。

[1]陶雅欣. 基于云的低成本RFID公鑰認證協(xié)議的設(shè)計與分析[D]. 西安電子科技大學(xué)：西安電子科技大學(xué)，2017.

[2]余曉鋒. 輕量級RFID認證協(xié)議的設(shè)計及其應(yīng)用研究[D]. 西南交通大學(xué)：西南交通大學(xué)，2013.

[3]Alomair B，Clark A，Cuellar J，etal. Scalable RFID Systems：A Privacy-Preserving Protocol with Constant-Time Identification[J]. IEEE Transactions on Parallel & Distributed Systems，2012，23（8）：1536-1550.

[4]Burmester M，Le T V，Medeiros B D，etal. Universally Composable RFID Identification and Authentication Protocols[J]. Acm Transactions on Information & System Security，2009，12（4）：1-33.

[5]Sarma S. I. Radio-Frequency Identification： Security Risks and Challenges[J]. Cryptobytes，2003，6（2）：93-98.

[6]Weis S A，Sarma S E，Rivest R L，etal. Security and Privacy Aspects of Low-Cost Radio Frequency Identification Systems[C]. //Lecture Notes in Computer Science，2004，2802：201-212.

[7]Ohkubo B M，Protection Suzuki K，Kinoshita S. Hash-Chain Based Forward-Secure Privacy for Low-Cost RFID[C]. //Proceedings of the 2004 Symposium on Cryptography and Information Security. Sendai：SCIS，2004：719-724.

[8]Chien H Y，Chen C H. Mutual authentication protocol for RFID，conforming to EPC，Class 1 Generation 2 standards[J]. Computer Standards&Interfaces，2007，29（2）：254-259.

[9]Liu A X，Bailey L R A，Krishnamurthy A H. RFIDGuard：a lightweight privacy and authentication protocol for passive RFID tags[J]. Security & Communication Networks，2010，3（5）：384-393.

[10]Xiao F，Zhou Y，Zhou J，etal. Security protocol for RFID system conforming to EPC-C1G2 standard[J]. Journalof Computers，2013，8（3）.

[11]Juels A，Weis S A. Authenticating Pervasive Devices with Human Protocols[J]. Lecture Notes in Computer Science，2005，3621：293-308.

[12]PerisLopez P，HernandezCastro J C， EstevezTapiador J M， etal. LMAP：A Real Lightweight Mutual Authentication Protocol for Low-Cost RFID Tags[C]. //Proceedings of the Second Workshop on RFID Security， Austria： Graz， 2006：6-17.

[13]PerisLopez P， HernandezCastro J C，EstevezTapiador J M，etal. EMAP：an efficient mutual- authentication protocol for low-cost RFID tags[C]. //Proceedings of the 1st International Workshop on Information Security（OTM '06），F(xiàn)rance：Montpellier，2006：352-361.

[14]Juels A，Molner D，Wagner D. Security and Privacy Issues in E-Passports[C]. //International Conference on Security and Privacy for Emerging Areas in Communications Networks，Networks：IEEE，2005：74-88.

[15]Chien H Y. SASI：A New Ultralightweight RFID Authentication Protocol Providing Strong Authentication and Strong Integrity[J]. IEEE Transactions on Dependable & Secure Computing，2007，4（4）：337-340.

[16]Peris-Lopez P， Hemandez-Castro J C，Tapiador J M E，etal. Advances in ultra-lightweight cryptography for low-cast RFID tags： Gossamer Protocol [C]. //Proceedings of International Workshop on Information Security Applications（WISA'08），Berlin：Springer Heidelberg，2009：56-68.

[17]Bilal Z，Masood A，and Kausar F. Security analysis of ultra-lightweight cryptographic protocol for low-cost RFID tags：Gossamer protocol[C]. //Proceedings of the International Conference on Network-Based Information Systems（NBIS'09），Indianapolis：IEEE，2009：260-267.

[18]Zubair M，Mujahid U，Najam-ul-Islam，etal. Crypt-analysis of RFID ultra-lightweight protocols and comparison between its solutions approaches[J]. Bahria University Journalof Information&Communication Technologies，2012，5（1）：58-63.

[19]Tian Y，Chen G，Li J. A New Ultralightweight RFID Authentication Protocol with Permutation [J]. IEEE Communications Letters，2012，16（5）：702-705.

[20]Shao-hui W，Zhijie H，Sujuan L，etal. Security analysis of RAPP an RFID authentication protocol based on permutation[J]. College of computer，Nanjing University of Posts and Telecommunications，Nanjing，2012，（210046）.

[21]Mujahid U，Najam-ulIslam M，Shami M A，2015. Rcia：A new ultralightweight r?d authentication protocol using recursive hash[J]. International Journal of Distributed Sensor Networks ，2015，（642180）.

[22]Safkhani，Masoumeh，Bagheri，etal. Generalized Desynchronization Attack on UMAP：Application to RCIA，KMAP，SLAP and SASI+ protocols[J]. IACR Cryptology ePrint Archive，2016（2016）：905.

西安市科技計劃項目（CXY1352WL30）