基于HMAC的輕量級RFID認證協議*

馬巧梅

（寶雞文理學院計算機科學系，寶雞721016）

基于HMAC的輕量級RFID認證協議*

馬巧梅

（寶雞文理學院計算機科學系，寶雞721016）

針對無線射頻識別（Radio Frequency Identification，RFID）系統容易受到各種惡意攻擊，且RFID標簽的計算能力有限和存儲空間小等問題，提出一個基于HMAC的輕量級RFID認證協議。新協議的主要優點是僅使用哈希函數和異或操作，有效利用讀寫器的計算能力和存儲空間，并達到降低標簽的計算能力和存儲空間的需求。安全性和性能分析表明，新的協議可以抵抗一些惡意攻擊，如假冒攻擊、重傳攻擊，跟蹤等；基于BAN邏輯給出了形式化的安全性分析，說明新協議在BAN邏輯分析下是安全的，更適用于低成本RFID系統。

射頻識別；認證；協議；安全；算法；哈希

1 引 言

射頻識別（RFID）是物聯網應用中的核心技術之一，它是一種非接觸式的自動識別技術，通過無線射頻信號可以自動識別移動目標對象并獲取相關數據，識別工作無須人工干預，可工作于各種惡劣環境下，快速地信息采集和自動識別。RFID技術可廣泛應用于物流、交通、門禁、零售等各個行業，被評為21世紀十大重要技術之一。在RFID系統中，讀寫器和標簽之間的通信通常是在不安全的無線信道進行的，因此，系統容易遭受假冒攻擊、重放攻擊和竊聽等，因此它需要安全機制以確保其安全。由于標簽存儲空間有限和計算能力較低等局限性，使得設計一個安全、高效、低成本的RFID安全機制成為一個具有挑戰性的研究課題。設計RFID協議，我們最好要減少標簽的計算負荷，目的是為了提高協議效率，并降低標簽成本。

1．1 RFID系統面臨的威脅

由于無線通信的非接觸式和讀寫器與標簽之間的廣播信號，攻擊者有很大機會攻擊，因此RFID系統很容易受到各種各樣的攻擊。RFID系統面臨的主要威脅如下：

（1）假冒攻擊

攻擊者假冒讀寫器發送認證請求，進而獲得標簽響應輸出。當合法讀寫器詢問標簽時，攻擊者將獲得標簽響應發送給讀寫器。這樣攻擊者屏蔽了真實標簽的響應，通過讀寫器的認證。通常來講，解決假冒攻擊問題的主要途徑是執行認證協議和數據加密。

（2）重傳攻擊

在讀寫器發出認證請求時，攻擊者偷聽獲取到標簽的響應。在下一輪認證過程中，攻擊者發送已獲得的數據至讀寫器，從而通過認證。通常來講，解決重傳攻擊問題需要用到挑戰－響應機制，計時和計數的機制也經常用來抵御重傳攻擊。

（3）追蹤

不同于前面的兩種攻擊，追蹤是一種對人有威脅的安全問題，攻擊者通過標簽的響應信息來追蹤標簽。

（4）去同步化

指通過使標簽和后端數據庫所存儲的信息不一致導致標簽失效的一種威脅［1］。

1．2 相關工作

目前，實現RFID安全機制主要有密碼方法和物理方法，物理方法包括：主動干擾、靜電屏蔽（Faraday，也稱法拉第籠）、Kill命令機制等。這些物理方法既不方便，又增加了標簽成本。目前更多的RFID協議是采用密碼方法構建的，這類協議包括靜態ID機制和動態ID機制。靜態ID機制的協議特點是標簽的標識符在每一次認證執行過程中一直保持不變，而動態ID機制的協議特點是標簽的標識符在每一次認證識別會話中都不斷更新，在具體應用中，它們各有優缺點。基于靜態ID機制的安全協議有：Sarmar等人的Hash－Lock協議［2］、Weis等人的隨機化Hash－Lock協議［3］、Rhee等人的分布式RFID詢問－響應認證協議［4］等等。在這里，我們主要介紹與本文研究工作緊密相關的靜態ID機制的協議。

（1）2004年，X．Gao等人提出了一個RFID雙向認證協議［5］，該協議在標簽隱私保護方面存在缺陷，主要原因是由于標簽每次發送固定的值H（IDT），導致攻擊者跟蹤標簽的威脅。

（2）2007年，Y．C．Chen等人針對文獻［5］中協議的安全漏洞，提出了一個改進協議［6］，改進協議雖然可以阻止標簽的跟蹤攻擊，但是仍然不能夠抵抗一些其他攻擊，例如假冒攻擊。攻擊者用H（IDT）可以假冒一個合法標簽，并可順利通過下一次認證。可見，Chen等人的協議仍然不能滿足安全需求。

（3）2008年，Y．C．Lee等人針對Y．C．Chen等人的協議存在的安全漏洞，提出了一個改進協議［7］，協議執行過程如圖1所示。

圖1 Y．－C．Lee等人的協議

對于文獻［7］的深入分析可知，在一次認證過程中，標簽要進行四次哈希計算，而標簽的存儲空間和計算能力都非常有限，過多的運算必然影響協議的執行效率。在該協議中，讀寫器僅僅作為一個轉發器，而事實上，讀寫器具有一定的計算和存儲能力。如何充分利用讀寫器，降低對于標簽計算能力的要求，是在低成本標簽安全協議設計中需要考慮的重要問題。

（4）對2012年軒秀巍等人的文獻［8］認真分析后，得知每一次認證過程中，標簽需進行四次哈希運算，顯然增加了標簽的計算負載，并未降低標簽成本，進而也會影響協議執行效率；另外該協議亦不能抵抗去同步化攻擊。

分析幾個現有的RFID協議，針對文獻［7］及［8］的協議存在的協議效率及安全問題，提出了一種基于HMAC方法的輕量級RFID認證協議。新協議的設計思想是對讀寫器的計算和存儲能力進行有效利用［9］，降低了對于標簽計算能力的要求，從而提高整個協議的執行效率和對于資源的低需求。

2 新協議的設計

協議假設：設H為密碼學Hash函數；ID為標簽的唯一身份標識符，在標簽、讀寫器和后端數據庫中存儲這一標識符信息；標簽具有一個偽隨機數發生器，并能進行Hash計算和異或操作；讀寫器也具有一個偽隨機數發生器，能進行Hash計算，并具有存儲能力，可以存儲和傳輸后端數據庫和標簽之間所傳輸的數據；后端數據庫能進行Hash計算。HID（X）表示用密鑰ID對消息X進行單向雜湊運算。在這里我們假設方案中使用的Hash算法是安全的。構造的方案如圖2所示。

圖2 新的協議

按照協議中消息傳遞的順序對所提出的協議執行步驟描述如下：

Step1：Challenge

RFID讀寫器產生一個隨機數NR，向標簽發送Query認證請求，然后將NR發送給標簽。此時有三種可能性：①一個標簽響應；②沒有標簽響應；③多個標簽響應。當多個標簽響應發生沖突的時候，會執行像二進制搜索算法［10］這樣的一次沖突仲裁（collision arbitration）過程，執行完該算法會從中選取一個標簽與讀寫器進行信息交互。

Step2：T－R Response

此時，剛才被選中的標簽產生一個偽隨機數NT，（ISO和EPC GEN2標準都支持標簽中偽隨機數的產生），計算σ＝HID（0，NR，NT），其中ID為標簽標識符。標簽將NT，σ發送給讀寫器。

Step3：R－B Response

在讀寫器收到來自標簽的σ和NT后，完成一個過濾操作：讀寫器根據上一次所緩存的ID′計算HID′（0，NR，NT），如果HID′（0，NR，NT）＝HID（0，NR，NT），則過濾掉該標簽。這時如果該標簽T是前一次認證中認定的合法標簽時，該過濾可以降低后端服務器的計算負載；如果該標簽T是上一次認證過程中認定的非法標簽時，該過濾可以避免該攻擊對后端數據庫的重傳攻擊。如果這兩種情況都不是，即HID′（0，NR，NT）≠HID（0，NR，NT），則RFID讀寫器將σ＝HID（0，NR，NT）、NR和NT發送給后端數據庫DB。

Step4：B－R Reply

后端數據庫查找是否存在某個IDj（1≤j≤m，m為標簽的最大個數）使得HIDj（0，NR，NT）＝HID（0，NR，NT）成立，如果有，則標簽認證通過，認為該標簽是合法的，并將μ＝HID（1，NR，NT）和ID返回給讀寫器，并標志該標志是合法的；否則，返回給讀寫器認證失敗信息，認為該標簽是非法的，然后將該ID返回給讀寫器保存并標志該標簽是非法的。

Step5：R－T Reply

讀寫器收到后端數據庫返回的ID，將其保存在存儲器中，并將μ轉發給標簽。標簽驗證收到的μ＝HID（1，NR，NT）是否與自己緩存中ID、NR、NT所計算的值HID（1，NR，NT）相等，如果相等，則讀寫器認證通過，此時標簽處于鎖定狀態。

3 形式化分析與證明

RFID認證協議的目標就是實現通信雙方（標簽和讀寫器）之間對于對方身份的證實，本文提出的協議屬于無可信第三方參與的認證協議。對于新協議的安全性將采用經典的安全協議分析方法BAN邏輯進行形式化的分析和證明。

首先，將協議消息進行形式化以適應形式化分析的需要。協議實現了讀寫器（R）和標簽（T）之間進行相互的身份認證，整個協議過程也可縮減為三條通信消息，如圖3所示。

圖3 協議的抽象模型

協議的三條通信消息如下：

（1）R－－＞T：NR（NR，即為讀寫器產生的偽隨機數）

（2）T－－＞R：NT，NR，HID（0，NR，NT）

（3）R－－＞T：HID（1，NR，NT）

遵循BAN邏輯證明的過程，首先需要理想化協議，然后初始狀態及假設，最后寫出協議目標，其證明如下：

1）理想化協議

M1：R－－＞T：NR

M2：T－－＞R：NT，NR，＜H（0，NR，NT）＞ID

M3：R－－＞T：＜H（1，NR，NT）＞ID，NT

2）初始狀態及假設

A1：bel（R，secret（R，ID、T））

A2：bel（T，secret（T，ID，R））

3）協議目標

G1：bel（R，said（T，（NT，NR）））

G2：bel（T，said（R，（NR，NT）））

4）邏輯推理

由M2可得，

（1）see（R，＜H（0，NR，NT）＞ID）

由A1與（1）可得，

（2）bel（R，said（T，H（0，NR，NT）））

由M2可得，

（3）see（R，NT），see（R，NR），

由A1與（3）可得，

（4）see（R，（NT，NR））

由（2）與（4）可得：

（5）bel（R，said（T，（0，NR，NT））

由（5）得：

（6）bel（R，said（T，（NR，NT））

即證明了協議滿足目標G1。

由M3可得，

（7）see（T，＜H（1，NR，NT）＞ID）

由A2與（7）得，

（8）bel（T，said（R，H（0，NR，NT））））

由M1得，

（9）see（T，NR）

由M3得，

（10）see（T，NT）

由（9）與（10）得，

（11）see（T，（NR，NT））

由（8）與（11）可得，

（12）bel（T，said（R，（NR，NT）））

即證明了協議滿足目標G2。

經過嚴格的BAN邏輯推理后，達到了我們事先預期的協議目標G1和G2，說明BAN邏輯分析過程證明了協議可以實現讀寫器和標簽之間的雙向認證。

4 安全性分析

4．1 新協議的安全性分析

重傳攻擊，假冒攻擊，去同步化及追蹤是RFID協議面臨的常見威脅，我們主要分析新協議針對這四種安全威脅的抵抗能力，以此來說明協議的安全性。

（1）假冒攻擊：敵手偽裝成真正的讀寫器向標簽通過前向信道R－＞T發送Query和NR；敵手獲取標簽的響應：σ＝HID（0，NR，NT），NT。在下一次認證過程中，當真正合法的讀寫器發送Query和N′R的時候，敵手通過后向信道T－＞R響應剛才所得的信息σ＝HID（0，NR，NT），NT。

但是由于讀寫器在每一次認證會話過程中都會產生一個新的偽隨機數，即NR≠N′R，所以該協議對假冒攻擊具有安全性。

（2）重傳攻擊：在讀寫器通過前向信道向標簽發送Query和NR之后，敵手獲取標簽的響應：HID（0，NR，NT）和NT；在下一次的認證會話過程中，攻擊者通過后向信道響應HID（0，NR，NT）和NT，從而對后端數據庫發起重傳攻擊。通過前一次對“標簽”（實為敵手）的認證和該協議中的RFID讀寫器過濾功能，RFID讀寫器可以成功識別出攻擊者的重傳攻擊，并將其屏蔽掉。所以，該協議對重傳攻擊具有安全性。

（3）追蹤：就是敵手截獲標簽的響應：HID（0，NR，NT）和NT，進而通過分析該響應來跟蹤發出該響應的標簽。

由于在每一次的認證會話過程中，標簽都產生新的偽隨機數NT，并且Hash操作是單向的，所以敵手也無法從該信息HID（0，NR，NT）中判斷是哪個標簽作出的響應。所以該協議對追蹤攻擊具有安全性。

（4）去同步化：由于標簽的ID是固定的，在協議執行過程中，即使出現信息丟失或者是電源中斷或與后端數據庫失去連接，也不會對后端數據庫造成影響，進而不會影響協議的執行。

新的協議及以上安全性分析都是基于密鑰ID絕對保密的假設而給出的，不管在任何時候都要注意對密鑰的嚴格保護。新的協議屬于靜態ID的RFID認證協議，近年來同類的研究有Sarmar等人的Hash－Lock協議，Weis等人的隨機化Hash－Lock協議，Rhee等人的協議，HSAP協議等文獻，新的協議與相關協議的安全性比較如表1所示。

表1 安全性對比表

4．2 新協議的性能分析

RFID協議的性能主要通過存儲（標簽）空間、計算需求（標簽和數據庫）、通信（標簽和讀寫器之間）等方面來表征。設l為ID的長度或Hash輸出的長度；h為Hash操作；r為產生隨機數操作（隨機數的長度與ID相比較小，不予考慮）；n為標簽的數量。本文協議與同類型研究方案的性能比較如表2所示。

在同類型的靜態ID機制中，此協議中標簽只需要存儲其身份標識符ID，在一次認證過程中，標簽進行了一次偽隨機數產生運算和兩次Hash運算，與文獻［6］相比，大大減少了標簽的計算負載。特別是，隨著標簽數量增加，只是存儲量和后端數據庫搜索時間的增加，而并沒有增加標簽的運算量，所以此協議適合于大規模的RFID系統，且安全性較高。

表2 性能對比表

5 結束語

通過認真分析Y．C．Lee等人提出的一個基于Hash函數的認證協議，針對該協議的優點和在安全性和效率上的不足，提出了一個基于HMAC的輕量級RFID雙向認證協議。通過BAN邏輯的形式化分析表明，在基于所采用的Hash函數是安全的假設下，新協議可以達到讀寫器和標簽之間雙向認證的安全目標。同時，針對各種常見攻擊場景的分析表明，新協議可以抵抗假冒攻擊、重傳攻擊等常見的針對RFID認證協議的攻擊。此外，新協議效率的對比分析表明，對標簽具有低成本的特點，特別是對于標簽運算能力的要求下降，使得新協議可適合于一些價格低廉的RFID系統應用需求。

［1］ Molnar D，Wagner D．Privacy and security in library RFID：Issues，Practices and architectures［C］．／／In：proceedings of the l1th ACM Conference on Computer and Communication Security（CCS 04），Washington，DC，USA，2004：210－219．

［2］ S Sarma，S Weis，D Engels．RFID systems and security and privacy implications［J］．In Workshop on Cryptographic Hardware and Em－bedded Systems，volume 2523 of Lecture Notes in Computer Science，AutoID Center，MIT，2002：454－470．

［3］ S Weis，S Sarma，R Rivest，D Engels．Security and privacy aspects of low－cost radio frequency identi cation systems［J］．International Conference on Security in Pervasive Computing（SPC 2003），volume 2802 of Lecure Notes in Computer Science，Berlin：Springer－Verlag，2003，201－212．

［4］ K Rhee，J Kwak，S Kim，D Won．Challenge－response basedRFIDauthenticationprotocolfordistributed database environment［J］．International Conference on Security in Pervasive Computing（SPC 2005），volume 3450 of Lecure Notes in Computer Science，Berlin：Springer－Verlag，2005，70－84．

［5］ X Gao，Z Xiang，H Wang，J Shen，J Huang，S Song．An Approach to Security and Privacy of RFID System for Supply Chain［C］．Proceedings of the IEEE International Conference on E－Commerce Technology for Dynamic E－Business（CEC－East’04），2004：164－168．

［6］ Y C Chen，W L Wang，M S Hwang．RFID Authentication Protocol for Anti－counterfeiting and Privacy Protection［C］．Proceedings of the 9th International Conference on Advanced Communication Technology，ICACT2007，2007（1）：255－259．

［7］ Y C Lee，Y C Hsieh，P S You，T C Chen．An Improvement on RFID Authentication Protocol with Privacy Protection［J］．Third 2008 International Conference on Convergence and Hybrid Information Technology，South Korea：Busan，2008（2）：569－573．

［8］ 軒秀巍，滕建輔，白煜．基于二次剩余的增強型RFID認證協議［J］．計算機工程，2012，38（3）：124－129．Xuan Xiuwei，Teng Jianfu，Bai Yu．Enhanced RFID Authentication Protocol Based on Quadratic Residue［J］．Computer Engineering，2012，38（3）：124－129．

［9］ 丁振華，李錦濤，馮波．基于Hash函數的RFID安全認證協議研究［J］．計算機研究與發展，2009，46（4），583－592．Ding Zhenhua，Li Jintao，Feng Bo．Research on Hash－Based RFID Security Authentication Protocol［J］．Journal OF Computer research and development，2009，46（4）：583－592．

［10］ 楊茜，吳海鋒，曾玉．捕獲效益下RFID標簽的CATPE防沖突協議［J］．通信學報，2014，35（7）：215－222．YangXi，WuHaifeng，ZengYu．Capteprotocolwith capture effect for RFID tag anti－collision［J］．Journal on Communications，2014，35（7）：215－222．

A HMAC－Based RFID Lightweight Authentication Protocol

Ma Qiaomei
（Department of Computer Science，Baoji University of Arts and Sciences，Baoji 721016，China）

Radio Frequency Identification（RFID），as a non－contact automatic identification technology，has wide application prospect in many fields such as logistics of IOT，transportation，retail，etc．As the RFID system is vulnerable by various malicious attacks and RFID tag has low calculation and small storage，a HMAC－based RFID lightweight authentication protocol is proposed in this paper．The new protocol has advantages of using the Hash function and XOR operation to efficiently utilize calculation ability and storage space of reader and reducing the demand to the calculation and storage of tag．The security and performance analysis show that the new protocol can defend some malicious attacks，such as spoofing attack，replay attack，tracking，etc．The formalized security analysis，based on BAN logic，shows that the improved protocol is secure and is suitable for low－cost RFID system．

Radio Frequency Identification；Authentication；Protocol；Security；Algorithm；Hash

10．3969／j．issn．1002－2279．2015．04．008

TP309

A

1002－2279（2015）04－0027－05

國家青年科學基金資助項目（61402015）；陜西省教育廳科學研究計劃基金資助項目（14JK1047）；寶雞文理學院院級資助項目（ZK14026）；陜西省自然科學基礎研究計劃資助項目（2014JQ2－6036）

馬巧梅（1983－），女，陜西省榆林市人，碩士研究生，講師，主研方向：網絡與信息安全。

2014－12－31