基于相互認證的移動RFID安全協議

陳瑞鑫,鄒傳云

(西南科技大學信息工程學院移動計算研究室,四川綿陽621010)

0 引言

最近幾年,隨著互聯網、無線通信技術及移動設備的發展,移動商務被越來越多的人所接受,RFID也成為這一新產業的技術熱點。如果把RFID技術應用到移動商務上來,固定式讀寫器將不能滿足這一新的需求,必須采用移動 RFID技術。有了移動RFID,人們可以隨時隨地得到附有RFID標簽的產品的信息及相關身份認證,為移動商務提供了更大的發展空間,這一技術的應用,不僅提高了工作效率,而且為人們的日常生活帶來了很大的便利。然而,移動RFID的廣泛應用使其安全隱私面臨巨大的挑戰,攻擊者可以通過移動讀寫器與后臺數據庫之間的不安全信道截獲信息并解密以獲取用戶信息。總之,在未來為移動RFID系統提供一個安全的通信協議以增強隱私保護和數據安全將是至關重要的。

1 移動RFID網絡及其安全隱患

1.1 移動RFID網絡

移動RFID網絡是指利用具有讀寫器模塊的移動終端通過GPRS等移動網絡訪問EPC網絡獲取相關信息,主要由移動RFID系統和EPC網絡組成,包含的基本組件有：

①EPC標簽：存有EPC等信息,作為被附著物品信息的載體。EPC由4部分組成：編碼類型Header、企業代碼Manager number、商品類別Object class以及單品序列號;

②移動RFID：具有閱讀器功能模塊的智能移動終端,如：手機、PDA。移動RFID與EPC標簽組成移動RFID系統;

③移動網：可信任的網絡實體,為移動RFID用戶提供安全基礎上的傳輸服務。移動網可以是GPRS、CDMA及3G網絡等;

④移動RFID中間件(M-RFIDMiddleware)：中間件是一類軟件的統稱,實時地處理讀取的信息和事件、發出告警信息,為EPC-IS等處理原始數據;

⑤EPC-IS：是處于EPC網絡中的一類數據庫,為移動RFID用戶提供相關信息服務,還可以對訪問申請進行認證、授權等操作;

⑥ONS(Object Naming Service)：是 EPC網絡中的地址翻譯服務器,類似于Internet網絡中的DNS。ONS對標簽中的EPC編碼進行網絡地址翻譯,獲得相應的IS網絡地址。

1.2 移動RFID網絡的安全隱患

在移動RFID網絡中存在的安全問題主要還是假冒與非授權服務,特別是在EPC-IS提供基于EPC的應用服務中。

首先,在移動RFID網絡中,讀寫器與后臺數據庫之間不存在任何固定物理連接,通過射頻信道傳送其身份信息,攻擊者截獲一個身份信息時,就可以利用這個身份信息來假冒該合法讀寫器的身份入網。

其次,通過復制他人讀寫器的信息,多次頂替別人消費。復制攻擊實現的代價不高,且不用任何其他條件,所以經常成為攻擊者最常用的手段。

最后,移動RFID網絡還存在非授權服務、否認服務與拒絕服務等攻擊。當移動RFID手機在非授權的情況下獲得標簽的信息或者訪問EPC-IS,就稱為非授權服務;否認服務也稱抵賴服務,即在獲得相關服務之后對服務的不承認性;而拒絕服務則往往會導致EPC-IS等服務器因資源的耗盡而癱瘓。

2 基于相互認證的安全協議

在分析了移動RFID網絡構成及其安全隱患后,提出了一種基于相互認證的安全協議,該協議使用橢圓曲線加密體制(ECC)對信息進行簽名驗證,最終實現移動讀寫器與后臺數據庫之間的安全通信。

2.1 橢圓曲線加密體制(ECC)

橢圓曲線加密體制(ECC)是一種公鑰密碼系統,具有一般的公鑰密碼系統的特點,所以具有2個密鑰：公鑰和私鑰。在加密與解密的過程中,分別使用不同的密鑰,想要由加密密鑰推出解密密鑰在計算上是不可行的,作為一種比較新的技術已逐漸被人們用作基本的數字簽名系統,橢圓曲線簽名系統是建立在求解離散對數困難性的基礎上,它具有安全性高,密鑰短,運行速度快等特點。

在橢圓曲線密碼體制(ECC)中,利用了某種特殊形式的橢圓曲線,即定義在有限域GF(p)上的橢圓曲線,其方程如下：y2=x3+ax+b(mod p),其中p是素數(p＞3),且它們滿足：4a3+27b2(mod p)≠0,x、y、a、b∈GF(p),則滿足上述條件的點(x,y)和一個無窮點O就組成了橢圓曲線Ep(a,b)。

在此協議中,將構造橢圓曲線Ep(a,b)∈GF(p),由此曲線產生 B1、B2和 G 3個不同的基點,它們的階是 n。其中 Ep(a,b),B1、B2和 G 都是公開信息。

2.2 系統標識

在對此安全協議的工作流程進行詳細闡述之前,首先介紹一下在此協議中用到的一些系統標識：

Ek(M)：表示用密鑰 k對消息M進行加密;Cert(I)：表示對消息 I進行數字簽名;

H()：表示單向的Hash函數;IDr：表示移動RFID讀寫器的ID值;

IDs：表示后臺數據庫的ID值;kauth：表示移動讀寫器與后臺數據庫之間通信密鑰;

kr：表示移動讀寫器的密鑰;ks：表示后臺數據庫的公鑰;

kst：表示后臺數據庫與第3方服務器共享密鑰;

kt：表示第3方服務器的公鑰kt=i1B1+i2B2,式中,i1、i2∈[0,n-1];

kti：表示第3方服務器的私鑰 kti=(i1,i2),其中(i1、i2)與 kt中的相同;

n1、n2：分別表示為2個隨機數;

Pc和Rc：表示由橢圓曲線加密算法產生的一組密鑰對 Pc=c1B1+c2B2,Rc=(c1,c2),其中 c1、c2是在[0,n-1]范圍內的隨機取值;Pi表示移動讀寫器隨機產生的一個隨機數;

t1、t2、t3：表示移動讀寫器產生的瞬時時間戳;

t1last：表示第3方服務器與移動讀寫器之間最后一次成功通信的時間戳;

t2last：表示后臺數據庫與移動讀寫器之間最后一次成功通信的時間戳。

2.3 工作流程

通過該安全協議,要達到的目標是通過第3方服務器(以下簡稱服務器)所提供的密鑰使移動RFID讀寫器(以下簡稱讀寫器)與后臺數據庫(以下簡稱數據庫)完成相互認證建立合法通信,該協議過程如圖1所示。

圖1 基于相互認證的移動RFID安全協議

如圖1所示,具體流程如下：

(1)讀寫器→服務器：Ekt(IDr||IDs||t1||kr)

首先讀寫器用服務器的公鑰 kt對自身的 IDr,目標數據庫的 IDs,當前時間戳t1和讀寫器的密鑰kr進行非對稱橢圓曲線加密[3],生成密文Ekt(IDr||IDs||t1||kr),并將其發送至服務器。

(2)服務器→讀寫器：Ekr(Rc||Cert(Rc));服務器→數據庫：Ekst(P|cCert(Pc))

服務器收到密文后,用私鑰kti進行解密獲取密文內容,并在自身的數據庫中查找是否存在 IDr和IDs,若存在則通過身份驗證,然后對 t1與t1last進行比較,若t1≤t1last,則表明此消息在此之前已經收到過,服務器停止應答;若t1＞t1last則表明了此消息有效,將時間戳t1last更新為 t1。時間戳更新完成后,服務器根據橢圓曲線加密體制產生一組密鑰對Rc=(c1,c2),Pc=c1B1+c2B2,其中(c1,c2)是在[0,n-1]范圍內的隨機取值,為了對Rc、Pc進行數字簽名,服務器產生一個臨時值 Rt=j1B1+j2B2,其中(j1,j2)是在[0,n-1]范圍內的隨機取值,最后服務器利用私鑰kti按照橢圓曲線加密體制(ECC)對 Pc,Rc分別進行數字簽名[1,5]生成Cert(Pc),Cert(Rc),過程如下：

簽名生成后,服務器利用收到的讀寫器的密鑰值kr對Rc和Cert(Rc)進行加密生成密文Ekr(Rc||Cert(Rc)),然后將其發送至讀寫器;利用密鑰 kst對Pc和Cert(Pc)進行加密生成密文Ekst(Pc||Cert(Pc))并將其發送至數據庫。

讀寫器和數據庫收到密文后,分別對其解密并進行簽名驗證,具體工作流程如下：讀寫器利用密鑰kr對密文進行解密獲得Rc和Cert(Rc),然后利用公鑰 kt和橢圓曲線公共基點B1、B2,計算Z′：

計算出 Z′后利用單向 Hash函數計算H(Rc,Z′)并與 e′比較 ,若相等,則讀寫器通過簽名驗證,然后更新其密鑰 kr為 H(kr);若不相等,則將該簽名視為無效,讀寫器不進行任何響應。

與讀寫器相同,數據庫收到密文后利用密鑰kst對密文進行解密獲得Pc和Cert(Pc),然后利用公鑰kt和橢圓曲線公共基點 B1、B2,計算 Z：

計算出Z后利用單向Hash函數計算H(Pc,Z)并與e比較,若相等,則數據庫通過簽名驗證,等待接收讀寫器發送信息;若不相等,則將該簽名視為無效,不進行任何響應。

讀寫器完成對Rc的簽名驗證后,產生一個隨機數Pi作為其身份標識來代替IDr,為了對Pi進行數字簽名,讀寫器產生一個臨時值Rs=d1B1+d2B2,其中(d1,d2)是在[0,n-1]范圍內隨機取值,然后利用密鑰Rc按照橢圓曲線加密體制(ECC)對 Pi進行數字簽名[1,5],過程如下：

完成對Pi簽名后,讀寫器產生一個隨機數n1,其中n1∈[0,n-1],計算n1G并產生當前的時間戳t2,最后讀寫器利用數據庫的公鑰ks對Cert(Pi)和t2進行加密生成密文 Eks(Cert(Pi)||t2),并將 Pi、n1G、Eks(Cert(Pi)||t2)依次發送至數據庫。

(4)數據庫→讀寫器：Pi、n2G、Ekauth(t2)

數據庫完成對Pc的簽名驗證后,等待接收讀寫器發送的信息,在收到讀寫器發送的密文后,用公鑰ks進行解密,獲得Cert(Pi)和 t2,然后對 Pi進行簽名驗證,具體過程如下：數據庫利用已經收到的密鑰Pc和橢圓曲線公共基點B1、B2,計算 Z″：

計算出 Z″后,利用單向Hash函數計算H(Pi,Z″)與e″進行比較,若相等,則數據庫通過簽名驗證,進行下一步操作;若不相等,則數據庫將此簽名視為無效,不進行任何響應。數據庫通過簽名驗證后,將收到的時間戳t2與 t2last進行比較,若 t2≤t2last,則表明此消息在此之前已經收到過,數據庫不進行任何響應;若 t2＞t2last,則表明此消息有效,數據庫完成對讀寫器合法性的驗證,將t2last更新為t2。隨后產生一個隨機數 n2,其中 n2∈[0,n-1],計算n2G并且與收到的 n1G相乘得n2n1G,其中 n2n1G即為 kauth,用 n2n1G對 t2進行加密生成密文Ekauth(t2),將 Pi、n2G、Ekauth(t2)依次發送至讀寫器。

讀寫器收到信息后,首先將收到的Pi與自身的Pi進行比較,若相等則證明該消息是發送給自身的。然后利用已經生成的 n1與收到的 n2G相乘得n1n2G,這樣就獲得的密鑰kauth,最后用n1n2G對密文Ekauth(t2)進行解密得到t2,再與先前產生的t2進行比較,若相等則讀寫器證明了數據庫的合法性,kauth便為它們之后通信的密鑰,至此讀寫器與數據庫之間完成了相互認證。

3 性能分析

對該安全協議進行性能分析,有如下特點：

①防竊聽。在讀寫器,服務器與數據庫三者之間通信過程中,都使用了相應的密鑰 kt、kr、kst和 ks對信息進行加密,即使攻擊者截獲該密文也無法解密獲取密文內容。因此該協議可以有效防止竊聽;

②防哄騙。讀寫器在每次與數據庫建立通信時,將產生不同的隨機數組Pi來代替其自身IDr,這樣一來攻擊者就無法通過假冒IDr與數據庫建立通信,因此可以有效地防止假冒攻擊;

③防重傳。每次認證過程中讀寫器將產生瞬時的時間戳t,并對其進行加密,即使攻擊者截獲上次的信息,也無法偽造當前時間戳,因此該協議可以有效地防止重傳攻擊;

④防追蹤。根據橢圓曲線離散對數問題(ECDLP),即使攻擊者通過追蹤截獲了n1G與n2G,但由于不知道 n1和 n2的具體取值,也無法得到kauth=n1n2G,因此該協議可以有效地防止跟蹤;

⑤前向安全性。在讀寫器與數據庫每次建立通信時都將產生不同的隨機數n1、n2,從而生成不同的密鑰kauth=n1n2G,即使攻擊者獲取了上次通信的密鑰值kauth,也無法獲知本次通信的密鑰kauth,從而保證了數據的前向安全性;

⑥實現雙向認證。數據庫通過對 Pi簽名驗證,實現了對讀寫器合法性的驗證;而讀寫器通過對時間戳t2的比較,實現了對數據庫合法性的驗證。

4 結束語

本文提出了一種基于相互認證的移動RFID安全協議,該協議引入了一個第3方服務器來為移動讀寫器和后臺數據庫提供簽名密鑰,并且通過橢圓曲線加密體制(ECC)在發送端對信息進行數字簽名,在接收端進行驗證,能有效地防止各種攻擊且能保證前向安全性,使移動讀寫器與后臺數據庫通過相互認證建立安全合法通信,基本上彌補了目前移動RFID安全保護方法安全性不夠的缺陷,是一種較為實用的算法,具有較高的實用價值。

[1]YU Fang-chung,SHUAN Huang-kuo,LAI Fei-pei,et al.ID based digitalsignature scheme on the elliptic curve cryptosystem[J].Computer Standards and Interfaces,2007,29：601-604.

[2]ELGAMAL T.A public key cryptosystem and a signature scheme based on discrete logarithms[J].IEEE Transaction on Information Theory,1985,31(4)：469-472.

[3]MENEZES A,VANSTONE SA.Elliptic curve in cryptosystem and their implementation[J].Journal of Cryptology,1993,209-224.

[4]張方國,王常杰,王育民.基于橢圓曲線的數字簽名與盲簽名[J].通信學報,2001,22(8)：22-27.

[5]羅大文,董麗莉,何明星.基于橢圓曲線的數字簽名方案[J].西華大學學報,2006,25(3)：79-80.

[6]陳信剛,李超鋒.移動RFID網絡的安全性研究[J].廣東通信技術,2007,11：14-17.

[7]宋國琴.橢圓曲線加密體制ECC[J].電腦開發與應用,2008,21(8)：28-30.