輕量級RFID系統的認證協議研究

吳立知， 李秦偉， 趙 欣

（貴州大學，貴州 貴陽 550025）

0 引言

無線射頻識別技術是自動識別技術的一種，通過無線射頻方式進行非接觸雙向數據通信，對目標加以識別并獲取相關數據[1]。在射頻識別系統中，由于標簽強大的追蹤能力，RFID越來越多地被應用到與安全相關的各個領域，從而對安全功能提出了很高的要求。RFID系統面臨的最主要的安全威脅是標簽和閱讀器之間的交互數據可以被攻擊者技術監聽以及任何讀寫器都可不經認證讀取標簽的內容，系統的安全問題主要包括信息隱私問題和數據認證問題[2]。信息隱私問題是指閱讀器無需安全認證即可讀標簽的內容,由此可引發標簽被跟蹤問題和信息泄露問題；數據認證問題是指標簽在被閱讀器讀取時無需經過認證，因此會引發包括標簽內容被克隆、標簽數據被篡改等安全問題。RFID的安全問題被日漸提上研究日程,《中國射頻識別技術政策白皮書》中指出，RFID的共性和前瞻性技術包括安全算法和實現技術[3]。而國內RFID安全研究才處于起步階段，RFID應用是一個高度復雜的產業化問題，作為一種新興技術，RFID在中國大量普及行業應用之前，還有很長的一段路要走，而標準的研究和制定是首要前提。

1 RFID 的安全問題分析

RFID系統面臨的主要安全威脅可分為兩類：

1）物理系統的威脅，如電磁干擾、設備故障和斷電等威脅，對于此類威脅，可以通過保持系統原理電磁干擾源，及時維修故障設備、加不間斷電源UPS等方法予以解決[4]；

2）人員對系統的攻擊，包括假冒攻擊、偽造攻擊、復制攻擊和重放攻擊等[5]。

假冒攻擊是指攻擊者使用合法用戶丟失的電子標簽來進行攻擊。此類攻擊具有隨機性和時間性，目前主要是通過及時掛失或注銷合法用戶的丟失標簽來進行防范。

偽造攻擊是通過偽造系統認可的合法用戶標簽來進行攻擊。實現該攻擊的代價高，周期長，但無法避免管理者或前管理者攻擊，須通過加強系統管理員的監督機制等來防止攻擊。

復制攻擊是指通過復制合法用戶的電子標簽信息，達到享受頂替別人消費或非授權進入建筑物的目的。該手段實現的代價較低，是最常見的攻擊手段，防范的關鍵在于將電子標簽進行完善的數據加密，防止用戶的標簽被復制。

重放攻擊是攻擊者以竊聽無線電通信的方法，將用戶的重要記錄重放，騙取系統的信任，從而達到攻擊目的。防范這類攻擊，需要加強對訪問的安全認證以及數據傳輸過程的加密。

2 已有的RFID安全協議

迄今為止，已經有許多種安全協議被相繼提出，下面將介紹幾種具有代表性的RFID安全協議，并對其安全性質進行分析。

Sarma 等人于 2003年提出了Hash一 Lock協議[6]，可以有效地避免信息泄漏和被追蹤。該協議是由標簽的真實 ID經過雜湊運算得到 metaID，并使用metaID來代替真實的標簽ID。但是由于Hash一Lock協議中，認證通過后的標簽ID是以明文的形式通過非加密信道傳送的，并且缺少ID動態刷新機制，因此攻擊者可以很容易地對標簽進行追蹤，Hash一Lock協議非常容易受到重傳和假冒攻擊。

針對Hash一Lock協議的缺陷，Weis等人提出了隨機化Hash一Lock協議（2004）[7]。該協議采用了基于隨機數的詢問一應答機制，具有完美的前向安全性，從而實現了標簽的訪問控制和信息的隱匿；但是標簽標識ID仍是以明文形式通過非加密信道進行傳送的，還是容易受到多種的攻擊。

Ohkubo等人提出了Hash鏈協議(2004)[8]。該協議是基于共享秘密的詢問一應答協議，進一步解決了 RFID標簽易被跟蹤的問題。但是在標簽向讀寫器發出認證信息時，只要攻擊者截獲了一次有效信息，就可以對系統進行重放攻擊，因此Hash鏈協議無法保證系統的安全性，同時協議的執行效率也比較低下。

Rhee等人在 2005年提出了分布式詢問一應答認證協議[9]。該協議是典型的詢問一應答型雙向認證協議，目前還沒有發現該協議有明顯的缺陷或安全漏洞。但是，標簽中集成了隨機數產生器和雜湊函數模塊；而且每執行一次認證協議標簽要進行兩次雜湊運算，標簽成本增加，所以并不適用于于低成本的RFID系統。

3 針對輕量級RFID系統的安全認證協議

針對上述方案的缺陷，文中改進的基于流密碼算法的輕量級 RFID安全認證協議，既能在認證環節中重復利用標簽的內在硬件資源，從而達到降低成本的目的，提高了資源的利用效率，也能夠在認證過程中完成必要的密鑰更新和密鑰協商的步驟，能夠對竊聽、位置跟蹤、重放與同步性破壞等威脅有免疫作用，有效地保障了RFID系統的安全性能。

如圖1所示，認證過程分成8個步驟，所有的加密操作都采用流密碼方式：

l)首先閱讀器（Reader）在通信范圍內，向標簽(Tag)發送請求信號Query和一個與ID位數相同的隨機數RT1。

2)收到信號的標簽隨即計算Ks( ID)以及a=Ks( ID)⊕RT1，異或結果可以保證每次傳輸的數據發生變化，防止信息被跟蹤。然后計算t=Ks( RT1)，最后將數據t，a通過安全的信道傳送給閱讀器。

3)閱讀器將收到的數據連同RT1一起發給后臺數據庫(Database)。

4)后臺數據庫對接收到的數據a和RT1進行異或運算，并尋找相對應的ID號和密鑰Ks，然后用密鑰Ks對隨機數RT1進行加密計算t'=Ks(RT1)，并與t進行比較。如果 t'=t，則身份鑒定完成，認為電子標簽是合法的。進而數據庫對應這個標簽生成用于閱讀器和標簽之間交流的新密鑰Ks'，并產生一個長度與Ks'相同的隨機數Rb（為了保證前向安全性），然后計算e=Ks( ID⊕Ks'⊕Rb)，以及Ks( Rb)。最后，后臺數據庫把Ks'、e和Ks( Rb)一起傳送給閱讀器。

5)閱讀器收到數據后，把和電子標簽進行無線通信的密鑰Ks'留下來，同時生成另一個隨機數RT2，并且計算Ks'( RT2)，把它和e、Ks( Rb)一同傳給標簽。

6)標簽收到數據后，首先用密鑰Ks解密 e和Ks( Rb)，可以獲得ID⊕Ks'⊕Rb和Rb，再跟變換之后的ID'與Rc進行模2加，得到新的密鑰Ks'。標簽繼續對Ks'( RT2)其進行解密，得到RT2，然后計算Ks（'R- 1)（為了防止重放攻擊）；同時標簽產生一T2個隨機數RA，并進行加密計算Ks'( RA)，最后標簽把這兩個數據一起發給閱讀器。

7)閱讀器先自己計算Ks（'RT2-1)，再將其和標簽發來的數據進行比較，如果相等，即完成了閱讀器對標簽的二次認證，然后解密數據Ks'( RA)，得到RA，再計算Ks'( RA-1)，并將它傳送給標簽。

8)電子標簽在收到數據后，先自己計算Ks'( RA-1)，并將其和發來的信息進行比較，如果相等，則對閱讀器的身份鑒定完成，認為閱讀器合法，雙方認證過程到此結束。最后電子標簽和數據庫同時銷毀舊密鑰Ks。

4 結語

在文中提出的基于流密碼的認證協議中,標簽和閱讀器之間進行多次的雙向認證，可以確保通信雙方的合法性。分析結果顯示該協議具有認證性、保密性和完整性。另外, 使用通過修改的基于流密碼的 RFID安全認證協議，為標簽省去了隨機數生成模塊，只需要一個加解密模塊，有效地節省了生產成本。同時，促使攻擊者必須在成功欺騙數據庫端和標簽的情況下，才能實現攻擊，成功概率非常小，達到了安全認證的目的。目前對低成本 RFID安全技術的研究還處于初級階段,現有的一些成果都是局部的、零星的、不系統的,還不能真正完全解決低成本RFID的安全問題。如何設計安全、實用、低成本的RFID安全協議仍是以后研究的重點。

[1] 譚民,劉禹,曾雋芳.RFID技術系統工程及應用指南[M].北京:機械工業出版社,2007.

[2] 丁治國.RFID關鍵技術研究與實現[D],北京:中國科學技術大學,2009.

[3] 唐靜,姬東耀.基于LPN問題的RFID安全協議設計與分析[J].電子與信息學報,2009,31(02):439-443.

[4] 陳民,鄒傳云.基于非線性譯碼問題的RFID安全協議[J].通信技術，2010,43(07):118-122.

[5] 鄧淼磊,黃照鶴,魯志波.EPCGen2標準下安全的RFID認證協議[J].計算機科學,2010,37(07):115-117.

[6] LUO Z W,ZHOU S J.Enhancement of a Lightweight RFID Security Protocol [J].Journal of University of Electronic Science and Technology of China,2007,36(06):153-155.

[7] NIU Z H,WU X H.A New Lightweight Authentication Protocol for the RFID System[J]. Chinese Journal of Engineering Mathematics,2010,27(05):939-942.

[8] 武岳山.無源RFID系統中多標簽識別的基本原理[J].中國自動識別技術,2008(04):48-52.

[9] 蔣邵崗,譚杰.RFID中間件數據處理與過濾方法的研究[J].計算機應用,2008,28(10):2613-2615.