移動醫療中基于Hash函數的RFID認證協議

陳秀清　胡俊峰　馬凱　袁洋　耿德勤　劉偉　樸雪　張紅偉　朱婷婷　郝杰

[摘要] 為了滿足醫療系統中RFID的低成本、可擴展、高效率和強隱私的要求，研究者進行了安全分析，并對協議的復雜度和各種攻擊策略進行闡述，揭示現有協議的缺陷和不足。該研究提出一種適用于移動醫療的基于Hash運算的RFID雙向認證協議，并證明了新協議具有強大的抗追蹤能力。

[關鍵詞] 無線射頻識別；認證協議；追蹤攻擊

[中圖分類號] R19 [文獻標識碼] A [文章編號] 1672-5654（2018）07（a）-0157-03

[Abstract] In order to meet the requirements of low cost， scalability， high efficiency and strong privacy of RFID in medical systems， the researchers conducted security analysis and elaborated the complexity of the protocol and various attack strategies to reveal the defects and shortcomings of existing protocols. This study proposes an RFID-based two-way authentication protocol based on Hash operation for mobile healthcare， and proves that the new protocol has strong anti-tracing capability.

[Key words] Radio frequency identification； Authentication protocol； Trace attack

移動醫療可以簡化看病流程，由于超輕量級協議本質上僅針對秘密信息采取移位或異或等簡單的操作，無法保證信息的完整性和真實性，因此基于Hash函數的中量級協議得到廣泛重視。

一部分超輕量級RFID安全協議存在去同步化攻擊，主要因為該類安全協議采用的是簡單原語操作，比如與、或、異或、移位等簡單原語操作。Mete等人于2016年提出的一種可擴展識別的RFID系統（TSI協議）[1]?？蓴U展性TSI協議的認證效率很高，滿足醫療條件下的可擴展性高的要求，由于使用了PUF技術作為安全存儲機制來保護標簽的隱私，因此標簽的設計成本要比KMAP協議稍微高，但是TSI協議在隱私保護中具有明顯的優勢。在保護標簽隱私的RFID協議中，標簽產生隨機化的應答，第三方不能區分前后響應消息的關聯關系。識別過程由于隨機化的應答而變得更加復雜，標簽的應答因每個閱讀器查詢而異。閱讀器不知道哪個標簽正在回答，因此對所有標簽執行搜索操作以識別標簽。閱讀器必須通過對所有的標簽進行線性搜索，直到找到匹配項，此時識別復雜度變為，是標簽數量。Wu等人[2]發現ESAP協議很容易遭受計時攻擊和假冒攻擊，并且不適用于移動醫療環境。為了解決RFID中的識別復雜度高的問題，Molnar和Wagner引入了基于樹形結構的方法[3]，在保護標簽隱私同時能夠降低識別復雜度。

該文針對適用于醫用環境中的低成本中量級RFID的協議進行分析，并提出優化協議，再經模型分析證明提出協議的有效性。并通過形式化以及程序仿真等方法，證明了新協議具有更好的抵抗跟蹤攻擊的能力；同時證明了新提出的協議具有不可區分性和時間上的安全性，具有強隱私程度。

1 安全模型

基于Vaudenay模型[4]改進安全模型，可以訪問以下預言機：CreateTag（ID），DrawTag（dist），Free （vtag），Launch（），SendReader（m，π），SendTag（m，T），Corrupt（vtag）。根據攻擊者的能力，Vaudenay首次將攻擊者依據能否查詢Corrupt（vtag）預言機劃分為弱，前向，破壞，強（Weak，Forward，Destructive，Strong）等4個能力等級。同時依據敵手能否查詢Result（π）預言機將敵手能力分為窄（Narrow）和寬（Wide）兩種敵手。該文協議中使用的符號和定義如表1所列。

2 基于Hash函數的RFID安全協議

基于Hash函數提出了具有較強隱私性的RFID安全協議，命名為HPAP協議（high privacy RFID authentication protocol，HPAP），認證協議描述如下。

服務器存放，（IDSinew，IDSiodl，ID，Stodl，Sinew），（RIDSinew，RIDSiodl，RID，Srodl，Srnew），閱讀器存放（RIDSinew，RIDSiodl，RID，Srodl，Srnew），標簽存放（IDSinew，IDSiodl，ID，Stodl，Sinew）。

HPAP協議交互次數較多，保證了強認證機制，具有如下特點：①服務器對標簽和閱讀器執行強認證機制，當閱讀器和標簽驗證M2=M2'。如果不成立，協議終止。②閱讀器提供其秘密值和更新操作，抵抗閱讀器假冒攻擊，利用flag機制表明密鑰是否通過驗證。見表2。

3 HAPA協議的安全分析

3.1 HPAP協議非形式化分析

①HPAP協議抵抗重放攻擊。由于HPAP協議每次都更新密鑰和假名，當攻擊者重復一次協議交互的過程，相鄰兩次操作間不會發生重放攻擊。

②HPAP協議抵抗追蹤攻擊。如果攻擊者可以推斷出假名，那么攻擊者必須捕獲標簽的ID，由于有假名更新機制保障，并且攻擊者無法根據上一次的假名推斷出下一次交互假名。

③HPAP協議抵抗信息篡改攻擊。假設攻擊者修改了，M1由Hash函數的單向性，可以推導出服務器必然無法認證協議。

④HPAP協議抵抗去同步化攻擊。假設M3消息被干擾，服務器完成密鑰更新，由于此時所有flag=1，意味著密鑰不同步，下一次交互數據庫會使用舊密鑰與標簽交互，可以抵抗去同步化攻擊。

3.2 HPAP協議比較分析

3.2.1 協議安全性比較 將HPAP方案與其他協議的安全性對比見表3。在協議[5]中指出協議[6-7]存在標簽假冒攻擊和異步攻擊。在協議[5]中為了解決更新標簽密鑰機制中的隨機數容易泄露的問題，使用二次剩余定理同步更新標簽和新所有者的密鑰，使得這類協議可以抵抗追蹤攻擊，但是僅有協議[5]能抵抗異步攻擊和內部讀卡器惡意攻擊。該文為了解決更新標簽密鑰機制中的使用的隨機數容易泄露的問題，提出HPAP協議，并證明新協議能抵抗標簽假冒高級、抵抗異步攻擊和抵抗追蹤攻擊。

3.2.2 協議性能比較 將HPAP協議與其他相關協議進行性能比較。

從表4可以總結出HPAP協議的后臺和讀卡器端的Hash運算比前兩者協議少，從后臺服務器計算代價和存儲代價分析，HPAP協議的計算性能有更多的優勢。

①后臺服務器計算代價：為了實現后臺服務器較低的計算代價，HPAP協議使用較少的哈希函數保證了協議的計算的高效性。

②存儲代價：減少讀卡器端的存儲量會減少協議整體的計算量；在降低讀卡器和標簽存儲空間的基礎上實現更高的安全性能和隱私特性，提高讀卡器的計算性能。

4 結語

提出的基于Hash函數的HPAP協議滿足醫療環境中病人的隱私需求，并證明該協議可以抵抗標簽假冒攻擊，抵抗異步攻擊，抵抗追蹤攻擊，抵抗重放攻擊，抵抗信息篡改攻擊以及可以抵抗去同步化攻擊。將來可以使用仿真軟件對HPAP協議進行了仿真并對其抗跟蹤能力進行Java程序測試，驗證了HPAP協議具有較強的抗跟蹤能力。

[參考文獻]

[1] METE Akgün，MEHMET Ufuk ？觭a layan. Towards Scalable Identification in RFID Systems [M].Kluwer Academic Publishers，2016.

[2] WU Xiaoqin， Min Z，YANG X. Time-stamp based mutual aut-hentication protocol for mobile RFID system[M].Wireless and Optical Communication Conference IEEE，2013：702-706.

[3] MOLNAR David，WAGNER David. Privacy and security in library RFID： issues， practices， and architectures[J].Acm Conference on Computert & Communications Secvnity，2004：210-219.

[4] VAUDENAY Serge. On Privacy Models for RFID [M]. Lecture Notes in Computer Science， Springer Berlin Heidelberg， 2007：68-87.

[5] 陳秀清， 曹天杰， 翟靖軒.可證明安全的輕量級RFID所有權轉移協議[J].電子與信息學報，2016，38（8）：2091-2098.

[6] DOSS Robin，ZHOU Wanlei. A secure tag ownership transfer scheme in a closed loop RFID system [C]//Proceedings of the Wireless Communications and Networking Conference Workshops（WCNCW）， Paris， 2012：164-169.

[7] DOSS Robin， ZHOU Wanlei，Yu Shui. Secure RFID tag ownership transfer based on quadratic residues[J].IEEE Transactions on Information Forensics and Security，2013，8（2）：390-401.

（收稿日期：2018-06-10）