基于Hash函數的RFID安全認證協議的研究*

劉明生，王 艷，趙新生

(1.邯鄲學院信息技術研究所，河北邯鄲 056005;2.河北工程大學信息與電氣工程學院，河北邯鄲 056038)

射頻識別(Radio Frequency Identification，RFID)技術是一種非接觸式自動識別技術，它利用射頻信號自動識別目標對象并獲取相關數據。作為一種快速、實時、準確地采集與處理信息的高新技術，通過對實體對象的唯一有效標識，RFID已經廣泛應用到了生產、零售、物流、交通、國防等各個行業。但在享受RFID帶來的諸多便捷的同時，也必須要面對伴隨而來的多種安全隱私問題。為此，本文提出一種新的基于Hash函數的認證協議并利用BAN邏輯對該協議進行形式化分析。

1 RFID安全協議相關研究

到目前為止，針對RFID傳感網絡中閱讀器與標簽間的安全隱私問題已經提出了多種安全認證協議。典型的基于單向Hash函數的RFID安全隱私保護協議主要有 3 種:Hash-Lock 協議［1－2］，隨機化Hash-Lock 協議［3］和 Hash 鏈協議［4］。

1.1 Hash-Lock 協議

Hash-Lock 協議［1－2］是由 Sarma 等人提出的一種RFID安全協議，為避免信息泄漏和被追蹤，標簽的真實 ID使用metaID來代替，即 metaID=Hash(key)。初始時標簽處于鎖定狀態，后臺數據庫存儲每一個標簽的密鑰metaID，key，ID。認證過程如圖1所示。

圖1 Hash-Lock協議

該協議利用單向Hash函數的難解密性來加密傳輸中的信息，所以在一定程度上解決了訪問控制的隱私保護。但是，因為每次標簽回答的數據metaID都是固定不變的，所以該協議不能防止位置跟蹤攻擊;并且ID也以明文的形式通過不安全信道傳送，攻擊者很容易得到標簽的信息，極易受到重傳攻擊和哄騙攻擊，不具有不可分辨性。

1.2 隨機化Hash-Lock協議

為了解決Hash-Lock協議中位置跟蹤問題，weis等人提出了隨機化Hash-Lock協議［3］。它采用基于隨機數的詢問—應答機制，是對Hash-Lock協議的一種改進形式。標簽中除Hash函數外，還嵌入了偽隨機數發生器，以便通過添加隨機數來保證傳輸數據的不可預測性。后臺數據庫中存儲了所有標簽的標識，設為 ID1，ID2，…，IDn。具體驗證過程如圖2所示。

圖2 隨機化Hash-Lock協議

該協議利用隨機數的不可預測性解決了標簽的位置跟蹤問題。但是，在低成本和運算能力有限的標簽中集成偽隨機數發生器是不現實的，實現也比較困難。此外，已經通過認證的Tag標識ID仍以明文的形式通過不安全信道傳送，仍然不能應對重傳和哄騙攻擊。每一次Tag認證，后臺數據庫都要將所有Tag的標識發送給閱讀器，這大大增加了閱讀器的運算量。就此而言，該協議仍然不實用。

1.3 Hash 鏈協議

Hash鏈方法［4］是由NTT實驗室提出的，是基于共享秘密的詢問—應答協議。該協議的標簽集成了兩個不同的Hash函數H和G。標簽和后臺數據庫都存儲了初始值Si，1，后臺數據庫存儲了所有標簽的標識ID，在認證過程中不停的動態刷新標簽認證所用的ID。認證過程如圖3所示。

圖3 Hash鏈協議

通過添加標簽ID的動態刷新機制，該協議滿足了不可分辨性和前向安全性，同時具有了較強的抗猜測抗分析能力。但是，Hash鏈協議是單向認證協議，只對標簽進行認證，不對閱讀器進行認證，若攻擊者偽裝成合法閱讀器，則很容易受到重傳攻擊和哄騙攻擊。此外，該協議需要兩個不同的雜湊函數G和H，無形中增加了Tag的制造成本。后臺數據庫的運算量非常大，若有N個標簽，后臺數據庫就需要進行N次搜索、2N次雜湊運算和N次比較。因此該協議不適用于標簽和閱讀器眾多的情況。

2 改進的認證協議

通過對上述3種安全認證協議的深入學習，認識到了RFID傳感網絡中閱讀器和標簽間仍存在的安全隱患，從而結合幾種方法的思想提出了一種改進的方案。該方案同樣是基于Hash函數的，也仍舊采用原有的詢問—應答機制。為有效抵御非法讀取、位置跟蹤、竊聽、偽裝哄騙和重放等不安全問題，標簽和數據庫有效性的驗證仍由后臺數據庫執行。

2.1 初始條件及相關說明

在初始狀態下，標簽和閱讀器都僅需要存儲自己的標識，分別為IDt、IDr，后臺數據庫要存放所有標簽和閱讀器的(IDt，H(IDt))、(IDr，H(IDr))數據對，其中H(·)是指Hash函數加密過的數據。

另外我們假設，標簽是低成本的被動式標簽，含有很少量的存儲容量和較低的計算能力，Hash函數對RFID應用是足夠安全的，偽隨機數也足夠安全。還有仍采用原有的信道，即假設標簽和閱讀器之間的通信信道是不安全信道，而閱讀器和后臺數據庫之間的信道是安全信道。

2.2 認證步驟

以現有的安全協議［5－9］為基礎，提出了改進的基于Hash函數的RFID認證方案如圖4所示。

圖4 改進協議的認證過程

具體的驗證過程如下:

(1)閱讀器產生一個隨機數 R，并將 Query，R發送至標簽作為認證請求;

(2)標簽利用自身標識IDt和隨機數R計算出H(IDt)和 H(IDt‖R)(‖為串聯運算)，并將 H(IDt)、H(IDt‖R)發送給閱讀器作為響應;

(3)閱讀器利用Hash函數加密自身標識IDr得出H(IDr)，并與標簽發送過來的H(IDt‖R)進行異或運算H(IDt‖R)⊕H(IDr)，最后閱讀器將 R，H(IDt)，H(IDt‖R)⊕H(IDr)轉發給后臺數據庫;

(4)后臺數據庫根據接收到的H(IDt)查找自身是否存儲有相對應的H(IDt)值，若有則標簽合法，否則認證失敗。后臺數據庫依據H(IDt)得出對應的IDt并將其與R串聯計算出H(IDt‖R)，進而依據H(IDt‖R)⊕H(IDr)解出H(IDr)，查找出對應的IDr;

(5)后臺數據庫計算出IDt⊕IDr⊕R，并將其轉發給閱讀器;

(6)閱讀器根據自身標識IDr和隨機數R解出標簽標識IDt，進而計算出H(IDt⊕R)，并將其發送給標簽;

(7)標簽將自身標識IDt和隨機數R進行異或運算IDt⊕R，進而計算出H*(IDt⊕R)，比較得到值H(IDt⊕R)和計算得出值H*(IDt⊕R)是否相等，若相等，則閱讀器合法，此時，根據閱讀器發出的查詢指令，后臺數據庫可以通過前面計算出的標簽標識IDt查到標簽對應的信息發送給閱讀器;否則認為閱讀器為非法閱讀器，標簽不予回應。

3 改進協議的安全分析和性能比較

3.1 安全性分析

(1)前向安全性:假設攻擊者截取了某次標簽的輸出，由于Hash函數的單向性和每次通信過程中隨機數R的相異性，攻擊者也不可能根據此值回溯出標簽的歷史數據，因此此協議具有良好的前向安全性。

(2)位置跟蹤:每次通信的隨機數R不同，決定了每次標簽傳輸的消息也不同，這樣就可以有效的防止因固定輸出而引發的位置跟蹤問題。

(3)竊聽:所有有用信息都是經過單向散列函數—Hash函數加密后傳輸的，因此，即使非法者截取信息，也無法解密Hash函數而得出信息的真正內容。

(4)偽裝哄騙:非法者是無法獲知標簽和閱讀器標識的，因此也根本無法偽裝成合法標簽和閱讀器。

(5)不可分辨性:對于標簽響應輸出，由于使用了單向Hash函數和隨機數，這樣即使攻擊者獲得了多張標簽的輸出，也無法區分出某一張的輸出;即使獲得了同一張的輸出，也無法區分出該張標簽的某一次輸出。

(6)重放攻擊:非法者事先記錄標簽發出的信息，當閱讀器再次與標簽通信時，非法者通過記錄下的標簽信息來偽裝成合法標簽和閱讀器通信，但隨機數R的不同性決定了即使非法者截取了前一次的信息也無法模擬出下次的值，這樣也就無法將截獲信息重放給標簽或閱讀器。

(7)拒絕服務:標簽在收到閱讀器的詢問信息時，不需要為它們存儲隨機數作為一次性密鑰，且標簽也沒有設置讀取標簽的上限值。因此，本協議可以有效防止標簽因同時被大量閱讀器訪問而造成的標簽停止工作。

3.2 性能分析

為了清晰地對比改進協議與其它協議在安全性能［10］方面的特點，表1給出了詳細比較。其中，√表示具備該項要求;×表示不具備該項要求。

表1 安全性能比較

假設數據庫中標簽的數目為N，L表示128個比特位(因為從前面對于hash函數的要求來看，hash函數輸出的值至少為128位才能保證抵御相關的攻擊)，標簽和閱讀器標識IDt、IDr只有128bits也就是1L。由分析可知，隨機Hash鎖協議，Hash鏈協議等都有N數量級上的運算量，這使得運算量過大，對RFID系統的成本和運算速度帶來影響。在改進的安全協議中，后臺數據庫最多需執行2N個記錄搜索，進行一次Hash運算。相比于現存協議，如Hash鏈中需計算2N個Hash函數和N個記錄搜索，本方案的計算速度快。標簽中只需要1L的存儲容量，也不需要隨機數產生器，這樣可以大大降低標簽的成本。

此外，因大部分計算和查找都由后臺數據庫執行，效率也較高。本協議中標簽和閱讀器不需要存儲對方的身份標識信息，查找相應記錄和大部分計算過程全由后臺數據庫執行，隨著標簽和閱讀器數目的增加，后臺數據庫計算時間緩慢增加，因此，該協議還可適用于標簽和閱讀器數目較多的情況。

4 安全性推導與分析

到目前為止，已經提出了很多RFID安全協議，但大都缺乏嚴格的形式化分析和證明。下面將采用經典的安全協議分析方法—BAN邏輯對改進協議進行形式化分析和證明。

4.1 BAN 邏輯

BAN邏輯［11－12］是一種基于主體信念以及用于從已知信念推出新的信念的推理規則的邏輯。應用BAN邏輯時，首先要進行“理想化”，即將協議的消息轉換為BAN邏輯中的公式，再根據具體情況進行合理假設，最后由邏輯的推理規則根據理想化協議和假設進行推理，推斷出協議能否完成預期目標。

本文使用到的BAN邏輯的幾條基本邏輯推理規則如下:

對于一個 Hash函數 H(X)，還有以下兩條規則:

4.2 本協議的BAN邏輯安全分析

4.2.1 協議的初始化假設

假設R代表閱讀器，T代表標簽，S代表閱讀器產生的隨機數，IDt仍代表標簽標識，則協議的初始假設為:

4.2.2 協議的理想化模型

M1:R→T:Query，S

M2:T→R:H(IDt)，H(IDt‖S)

M3:R→T:H(IDt⊕S)

其中M1是明文傳輸，對協議邏輯屬性的分析沒有作用，將以上模型轉換成如下BAN邏輯語言時可省略，即:

M2:R?H(IDt)，H(IDt，S)

M3:T?H(IDt，S)

4.2.3 協議的安全目標及分析推理

(1)R|≡T|～#(IDt)

(2)T|≡R|～#(IDt)

下面分析推理改進協議能否達到以上安全目標:

(1)證明 R|≡T|～#(IDt)

由①②可得:R|≡T|～#(IDt)，即達到安全目標(1)。

(2)T|≡R|～#(IDt)

由M3拆分消息后可知:T?IDt，T?S，根據規則

得出:T|≡R|～ (IDt，S) ①

又由假設P3可知:T|≡#(IDt) ②

由①②可得:T|≡R|～#(IDt)，即達到安全目標(2)。

4.3 BAN分析結論

通過對本文提出的安全協議進行BAN邏輯形式化分析，可推導出其安全目標R|≡T|～#(IDt)和T|≡R|～#(IDt)，因此該協議能夠有效地實現RFID傳感網絡中標簽和閱讀器的雙向合法身份認證的安全目標。

5 結論

本文介紹了RFID傳感網絡中幾種典型的基于Hash函數的RFID安全認證協議，針對協議中的不足提出了一種新的基于Hash函數的改進方案。此方案有效地解決了RFID傳感網絡中閱讀器與標簽間面臨的多種安全隱私問題，具有成本低、效率高、安全性高等特點。最后通過建立協議的理想化模型，利用BAN邏輯對該協議進行形式化分析，在理論上證明了其安全性，使其在實際應用中具有較高的實用價值。

［1］Sarma S E，Weis S A，Engels D W.RFID Systems and Security and Privacy Implications［C］//Proc.of the 4th International Workshop on Cryptographic Hardware and Embedded Systems.Berlin，Germany:Springer-Verlag，2003:454－469.

［2］Sarma S E，Weis S A，Engels D W.Radio Frequency Identification:Secure Risks and Challenges［J］.RSA Laboratories Crypto bytes，2003，6(1):2－9.

［3］Weis S A，Sarma S E，Rivest R L，et al.Security and Privacy Aspects of Low-Cost Radio Frequency Identification Systems［C］//Proc.of the 1st International Conference on Security in Pervasive Computing.Berlin，Germany:Springer-Verlag，2004:201－212.

［4］Ohkubo M，Suzuki K，Kingships S.Hash-Chain Based Forward-Secure Privacy Protection Scheme for Low-Cost RFID［C］//Proc.of Symposium on Cryptography and Information Security.Sendai，Japan:［s.n.］，2004:719－724.

［5］王健偉，王東，TIMO Korhonen，等.一種新的RFID傳感網絡中多閱讀器防碰撞協議［J］.傳感技術學報，2008，21(8):2140－6140.

［6］陳穎，張福洪.RFID傳感網絡中多閱讀器碰撞算法的研究［J］.傳感技術學報，2010，23(2):1206－1210.

［7］余恬恬，馮全源.基于Hash函數的RFID挑戰－應答認證協議［J］.計算機工程，2009，35(24):156－157.

［8］Chen Y C，Wang Weilin，Huang M S.RFID Authentication Protocol for Anti-Counterfeiting and Privacy Protection［C］//Proc.of the 9th International Conference on Advanced Communication Technology.Phoenix Park，Korea:［s.n.］，2007.

［9］丁振華，李錦濤，馮波，等.基于Hash函數的RFID安全認證協議研究［J］.計算機研究與發展，2009，46(4):583－592.

［10］Osaka K，Takagi T.An Efficient and Secure RFID Security Method with Ownership Transfer［C］//Proc.of Computational Intelligence and Security.Guangzhou，China:［s.n.］，2006:1090－1095.

［11］Burrows M A，Needham R.Logic of Authentication［J］.ACM Transaction on Computer Systems，1990，8(1):18－36.

［12］馮登國.可證明安全性理論與方法研究［J］.軟件學報，2005，16(10):1743－1756.