應對密鑰攻擊的低成本RFID改進安全協議*

楊 靈， 蔡旭燦， 吳 霆

(仲愷農業工程學院 信息科學與技術學院， 廣州 510225)

隨著物聯網技術的快速應用，物聯網安全問題日益突出，尤其是作為產品電子代碼(EPC)物理載體的低成本無源電子標簽RFID(radio frequency identification)，其標簽計算能力有限，要求門電路數量不超過2 000個[1-2]，而常用的SHA-256和MD5安全算法需要8 000～10 000個門電路，實現AES算法需要3 400個門電路[3-4]，這導致常用無線網絡傳輸安全算法無法使用RFID.為了推動低成本RFID的普及應用，EPCglobal和ISO制定了EPC-C1G2標準，并被ISO接收為國際標準ISO18000-6C，但仍然存在一定的安全隱患[5]，業界也提出了一些安全認證協議用于提高其安全性.

Weis等人[6]提出一種以metaID作為隨機密鑰來加密通信的安全認證協議，即標簽使用散列函數產生metaID，然后用metaID鎖定標簽，響應查詢.但由于對于同一標簽，采用相同metaID來響應查詢便可以通過獲取之前的會話信息來跟蹤標簽，因此，該方法不能抵抗跟蹤攻擊.Dimitriou[7]提出了一種變更發送與接收密鑰的安全認證協議，即為了解決標簽克隆問題.在發送階段，該協議采用標簽ID散列值來加密響應信息，服務器在驗證標簽ID后，對標簽ID散列值進行更新，這樣發送階段與接收階段的標簽ID散列值不一致，攻擊者無法對標簽進行克隆.但由于在會話中，標簽的ID仍然固定，產生的隨機數可以被重復，因此，該方法還是可以被跟蹤.Karthikeyan等人[8]提出一種使用矩陣乘法來進行加密通信的安全認證協議，即標簽和密鑰做矩陣乘法來加密響應信息.由于通過矩陣值很難獲取矩陣被乘數或乘數，因此，攻擊者即使獲取會話信息，也很難進行攻擊.但攻擊者可以發動暴力攻擊或者關鍵猜測攻擊，同時，攻擊者也可以利用會話信息進行重放和跟蹤攻擊.Chien等人[9]提出了一種符合EPCGen-2接口標準的安全認證協議，該協議在服務器存儲了新舊2份標簽密碼，用舊密碼進行認證，認證通過后，認證密碼與ID散列值進行計算得到新密碼，標簽也可以使用同樣的方法得到新密碼，從而解決標簽跟蹤問題.但是，攻擊者可以通過捕獲之前的通信信息獲得舊密碼，并與固定的ID散列值計算出新密碼，從而模擬服務器去欺騙標簽.LO等人[5]提出通過每次對話都變更密鑰的方式來抵御重放攻擊，即每次對話時，服務器和標簽都產生隨機數，與密鑰進行散列、異或運算，通過驗證后利用隨機數變更新的密鑰，這樣就可以防止重放攻擊，而且服務器和標簽都可以計算出相同的新密鑰，提高效率.

綜上所述，LO提出的協議安全性已經相對完善，但在對其安全性進行分析時，還是發現一些安全漏洞.本文將對該協議進行改進，提出了一種應對密鑰攻擊的低成本RFID改進協議，解決低成本RFID系統安全問題.

1 LO安全協議及漏洞分析

1.1 LO安全協議

為了更好地分析LO安全協議的安全性，找出協議漏洞，首先對該協議的過程進行簡述.

定義各變量含義：DB為存儲器，Reader為RFID讀寫器，Tags為標簽，EPCX為RFID標簽保存的EPC編碼，KX為RFID標簽保存密鑰，EPCXDB為RFID服務器數據庫保存的RFID標簽EPC編碼，KXDB為RFID服務器數據庫保存的RFID標簽密鑰，CRC為循環冗余校驗，⊕為異或運算符，“‖”為邏輯“或”運算，flag代表上一次通信是否成功，“0”表示成功，“1”表示不成功，PRNG為偽隨機數發生器產生的數據.

EPC C1G2安全協議分二種情況：一種是上一次通信成功，即flag=0；另一種是上一次通信失敗，即flag=1.當flag=0時，協議認證過程如圖1所示，具體流程如下：

1) 閱讀器產生一個隨機數N1，發送給標簽.

3) 將N1、N2、M1、flag發送給后臺數據庫.

如果系統通過認證，則進行如下操作：

① 產生一個隨機數N3、N4；

③ 更新共享密鑰KXDB=PRNG(KXDB⊕N4)；

④ 通過安全通道發送M2、N3及對象數據給閱讀器.

5) 閱讀器接收到信息，它將繼續發送M2、N3給標簽.在接收的過程中，標簽將執行如下操作：

① 計算M2⊕PRNG(KX+N3)；

③ 如果相等，則認證成功，并更新密鑰KX=PRNG(KX⊕N4)，設置flag=0.

圖1 flag=0時認證協議過程圖Fig.1 Process diagram of protocol authentication with flag=0

當flag=1時協議認證過程如圖2所示，具體流程如下：

1) 閱讀器產生一個隨機數N1，發送給標簽.

3) 將N1、N2、M1、flag發送給后臺數據庫.

如果系統通過認證，則進行如下操作：

① 產生一個隨機數N3、N4；

③ 更新共享密鑰KXDB=PRNG(KXDB⊕N4)；

④ 通過安全通道發送M2、N3對象數據給閱讀器.

5) 閱讀器接收到信息，將繼續發送M2、N3給標簽.在接收過程中，標簽將執行如下操作：

① 計算M2⊕PRNG(KX⊕N3)；

③ 如果相等，則認證成功，并更新密鑰KX=PRNG(KX⊕N4)，設置flag=0.

圖2 flag=1時認證協議過程圖Fig.2 Process diagram of protocol authentication with flag=1

1.2 協議漏洞分析

本節分析了一個有效的攻擊方法，它能夠恢復標簽的EPCX和KX.該攻擊主要依據異或運算法則：C⊕B⊕C=B.即已知A=B⊕C和C，可以通過計算B=C⊕A，很容易恢復B.根據該原理，可以通過捕獲N1、N2、M1，從而恢復PRNG(KX⊕N2)和EPCX.同時，攻擊者可以根據已知的PRNG(KX⊕N2)和N2，通過窮舉搜索計算出KX.當flag=1時，先竊聽一次協議會話，并保存M1、M2、N1、N2、N3、flag等所有信息，攻擊者無需通過窮舉搜索就可以獲取KX.當flag=0時，具體操作步驟如下：

1) 由(M1|31-16)⊕N2推算出PRNG(KX⊕N2)，其中，M1|31-16是M1從低位到高位的16位到32位；

2) 由PRNG(KX⊕N2)推算出Y；

4) 通過窮舉法找到i，使得PRNG(i)=PRNG·(KX⊕N2)，那么可由i⊕N2推算出KX，其中，?i=0，1，…，216-1；

5) 由M2|31-16⊕PRNG(KX⊕N3)推算出N4；

6) 由PRNG(KX⊕N4)推算出Kxnew；

7) 返回Kxnew、KX、EPCX.

當flag=1時，具體操作步驟如下：

1) 由(M1|31-16)⊕N2推算出PRNG(KX⊕N2)；

2) 由PRNG(KX⊕N2)推算出Y；

3) 由M1|63-48⊕Y推算出KX；

5) 由M2|31-16⊕PRNG(KX⊕N3)推算出N4；

6) 由PRNG(KX⊕N4)推算出Kxnew；

7) 返回Kxnew、KX、EPCX.

綜上所述，密鑰泄露攻擊的復雜度是竊聽一次閱讀器和標簽完整會話，同時通過窮舉法找到i，最多不超過216PRNG函數的運算時間，成功率為100%.

2 協議改進算法

結合RFID無線通信的線路不安全和RFID標簽計算能力低的實際情況，安全認證協議主要考慮以下3個方面：首先是標簽EPCX、KX要與服務器EPCXDB、KXDB匹配；其次是每次通信后，雙方的密鑰必須按照同一規則更新；最后是不能采用高運算能力的加密算法.因此，本協議采用PRNG(KX⊕N2)與EPCX、KX進行異或運算來模糊閱讀器和標簽之間的傳輸，采用KXDB=PRNG(KXDB⊕N4)來更新密鑰，并用隨機數N1、N2來表明閱讀器、標簽的身份，防止重放攻擊.但通過對LO協議漏洞分析可知，攻擊者可以通過異或運算法則，即通過捕獲N1、N2、M1計算出KX和EPCX.其中，隨機數N2是攻擊漏洞的關鍵：一方面是在計算EPCX時，可以通過N2計算出PRNG(KX⊕N2)；另一方面是計算KX過程中，可以通過N2按照公式N2⊕KX⊕N2=KX計算出KX.為了保證通信安全，本文將N2隱藏在M2=f(EPCX)⊕N2中進行傳輸，在服務器上，根據C⊕B⊕C=B，重新獲取N2.當flag=0時，改進協議過程圖如圖3所示，具體過程如下：

1) 閱讀器產生一個隨機數N1，在通信范圍內進行廣播.

3) 閱讀器將M1、M2、N1、flag發送給后臺數據庫.

① 產生隨機數N3、N4；

③M4=f(EPCX)⊕N3；

④ 更新共享密鑰KXDB=PRNG(KXDB⊕N4)；

⑤ 通過安全通道發送M3、M4給閱讀器.

5) 閱讀器接收到信息，它將繼續發送M3、M4給標簽.在接收的過程中，標簽將執行如下操作：

① 計算N3=f(EPCXDB⊕M4)；

② 計算M3⊕PRNG(KX⊕N3)；

④ 如果相等，則認證成功，并更新密鑰KX=PRNG(KX⊕N4)，設置flag=0.

當flag=1時，改進協議過程圖如圖4所示，具體過程如下：

1) 閱讀器產生一個隨機數N1，發送給標簽.

2) 標簽將M1、M2、flag發送給閱讀器.

3) 將N1、M1、M2、flag發送給后臺數據庫.

① 產生一個隨機數N3、N4；

③M4=f(EPCX)⊕N3；

④ 更新共享密鑰KXDB=PRNG(KXDB⊕N4)；

⑤ 通過安全通道發送M3、M4給閱讀器.

5) 閱讀器接收到信息，它將繼續發送M3、M4給標簽.在接收的過程中，標簽將執行如下操作：

① 計算N3=f(EPCXDB)⊕M4；

② 計算M3⊕PRNG(KX⊕N3)；

圖3 flag=0時改進協議過程圖Fig.3 Process diagram of improved protocol with flag=0

④ 如果相等，則認證成功，并更新密鑰KX=PRNG(KX⊕N4)，設置flag=0.

圖4 flag=1時改進協議過程圖Fig.4 Process diagram of improved protocol with flag=1

3 協議安全性及性能分析

3.1 協議安全性分析

3.1.1 重放攻擊

重放攻擊[1]主要是攻擊者將之前捕獲的標簽響應或者閱讀器查詢進行重放，從而欺騙閱讀器或者標簽.本協議通過改變通信信息中的隨機數來防御重放攻擊.

首先，在本協議中，當標簽、讀寫器、服務器之間通信時，包含了N1、N2、N3等隨機數，每次通信結束后都會產生新的隨機數，而攻擊者重放信息中的隨機數是舊隨機數，這樣閱讀器可以通過比較新舊隨機數來判斷是否為無效信息，因此，重放標簽的響應是沒有用的.其次，因為標簽接收的數據M2會包含標簽自己產生的隨機數N2，故只需將接收到的隨機數與之前發出的隨機數進行比較即可判斷是否需要發出響應，重放閱讀器的查詢并沒有效果.

3.1.2 跟蹤攻擊

本協議能夠有效抵御跟蹤攻擊.首先，雖然傳送的信息M1、M2、M3、M4包含了EPCX，但信息均采用了加密方式，攻擊者無法獲取標簽的EPCX，這樣攻擊者就無法誘使標簽發送響應信息.其次，即使標簽的EPCX泄露，但由于每次通信過程都會包含不同的隨機數，標簽或者服務器可以通過匹配隨機數來判斷是否是合法信息，從而有效解決標簽跟蹤問題.最后，即使某個標簽信息泄露，攻擊者獲取了通信密鑰，由于本協議已經保存新舊二份密鑰，每次通信都會對密鑰進行更新，攻擊者無法獲得之前通信的通信密鑰，也就無法捕獲之前的標簽位置信息.

3.1.3 竊聽攻擊

根據Shannon理論，傳輸數據與隨機數進行異或運算可以很好地對傳輸數據進行加密，如果攻擊者無法獲得隨機數，則不能獲得傳輸數據.在本協議中，需傳輸的信息M1、M2分別與PRNG·(EPCX⊕N2)、PRNG(EPCX⊕N3)進行異或運算，而每次傳輸數據中的隨機數N2、N3都不同，這樣攻擊者即使捕獲了通信數據，也無法獲取隨機數N2、N3，也就無法得到傳輸數據，因此，本協議可以有效抵御竊聽攻擊.

3.1.4 DoS攻擊

本協議通過設置flag位來抵御DoS攻擊，當前一次通信成功時，flag=0，M1=PRNG(KXDB⊕N2)，當flag=1時，M1=PRNG(EPCXDB⊕N2).由于EPC是不變化的，即使被攻擊者異常打斷，也可以重新更新共享密鑰KX；即使某個標簽泄露，其存儲在標簽上的密碼數據被攻擊者獲得，但由于共享密鑰正常進行更新，攻擊者仍然不能追溯到泄露標簽的軌跡.

3.2 性能分析

由于本協議是為被動式RFID標簽設計，所以必須提高安全算法的性能，以適應被動式RFID標簽運算能力低、存儲空間小的實際情況，本文從計算能力和存儲空間二個方面進行分析.

3.2.1 存儲空間

本協議存儲空間的要求有兩類[10-11]：一類是標簽所需存儲空間，在標簽上需要存儲動態密鑰KX和標識EPCX，因此，標簽所需的存儲空間為EPCX和KX的長度，一般為128 bit；另一類是服務器所需存儲空間，服務器上需要存儲每個標簽的[EPCXDB，KXDB]，則服務器的最小存儲空間為N×128 bit.因此，本協議對服務器存儲空間要求隨著標簽數量的增加而增加，對標簽的存儲空間要求是固定的，滿足低成本標簽的要求.

3.2.2 計算能力

本協議中，CRC、散列函數等復雜函數運算的次數是統計計算能力的主要參數指標[12-13]，因此，對Dim、Chien以及本協議復雜函數各階段的計算次數進行了統計，對比情況如表1所示，表中k為整數，且1≤k≤2n，n為標簽的個數.

表1 各階段計算能力需求表Tab.1 Computing capacity requirements at each stage

綜上所述，本協議在服務器運算能力需求與Dim、Chien協議是相同的，但在標簽計算能力需求比Dim、Chien協議更低.

4 結 論

本文對業界提出的一些典型的安全協議進行分析，發現其安全漏洞，并在LO所提出協議基礎上，提出了一種安全、高效、實用且能適用于低成本RFID系統的雙向認證協議.本協議通過在服務器上保存每個標簽新、舊標識，有效地解決了服務器和標簽的同步問題.通過對協議的可行性、安全性及性能3方面進行分析可知，該協議切實可行、安全性高、性能優良，適合低成本RFID系統.