藥品信息公共環境物聯網認證方案研究

苑津莎，李亞，李梅燕

（華北電力大學電子與通信工程系，保定071003）

0 引言

現有的物聯網環境只是單一用戶管理，不允許其他用戶或組織操作的私有環境[1]，即封閉式物聯網。本文提出一種公共環境物聯網，公共環境物聯網是指多用戶數據資源存儲在同一物聯網環境中，是一個多用戶資源的開放的物聯網環境。本文以藥品信息物聯網為例，多個藥品制造商把數據資源存儲在同一物聯網環境中，以滿足不同用戶對藥品信息真偽查詢等需求。

目前我國藥品防偽方式存在有：標識防偽、條形碼防偽、包裝結構防偽以及油墨印刷防偽等幾種[2]。利用條形碼對藥品防偽是條形碼功能之一。當前市場上流通的藥品都已經采用條形碼技術，然而條碼技術存在著易復制的缺點，因此利用條形碼進行防偽目前并沒有得到廣泛認可。而隨著低成本RFID 標簽的不斷出現，商品防偽已被視為RFID 最具潛力的應用領域[3-4]。文獻[5]等利用RFID 技術設計了多功能防偽系統，但其僅僅依靠RFID 讀寫技術無法對仿制的標簽進行辨識。文獻[6]等引入了加密算法提高系統的安全性，但其使用的對稱加密算法，高強度的對稱加密算法難以在低成本的RFID 標簽中實現。

為此，本文設計了藥品信息公共環境物聯網XML模型，并且把基于非對稱密鑰和Hash 函數的雙向認證協議（AKHF）[7]和基于哈希函數的物聯網三方安全認證協議[8]應用在藥品真偽認證中，設計了藥品真偽認證方案。

1 藥品信息物聯網XML模型設計

XML 概念數據模型是直接面向用戶的需求信息結構，是對各種對象和復雜關系的直觀描述。本文采用Aspect-Oriented Modeling（AOM）新型建模方法，并使用Power Designer 模型設計工具建立基于XML 的藥品信息模型。由AOM 概念數據建模方法得到的XML 模型，根據公共環境物聯網中用戶的訪問權限對XML 模型進行調整，圖1 的XML 模型中，從“批準藥”分離出“廠家銷售信息”，包括“出廠價”、“庫存”等便于訪問控制。此外，訪問的主體一般有管理員、經銷商、普通用戶等，為了方便各主體對藥品信息的訪問控制，使訪問主體擁有訪問權限的藥品信息在XML 樹狀結構中處于一條“枝干”，故而將“生產廠家”節點與“尼斯藥品類”節點調換位置。

為了增加藥品認證功能，圖1 中增加了“閱讀器信息”和“標簽信息”，其中電子監管碼（追溯碼）與標簽ID相對應。

圖1 藥品物聯網XML模型圖

2 基于RFID的藥品真偽驗證方案

2.1 藥品RFID標簽

標簽內信息包括標簽唯一ID 值和認證數字串num。標簽生產廠商售出標簽的同時，會向藥品生產廠商管理員提供包括標簽ID 和認證數字串的數據。

在藥品生產完成后管理員要給每一個藥品標簽在數據庫中建立電子身份檔案，包括標簽唯一標識符ID、加密后的藥品信息（藥品名稱、生產批號、生產日期、有效期、劑型、規格、使用方法等信息）、公鑰加密后的標簽認證數字串等信息。藥品信息在上傳階段，應用服務器會提供一個專門的接口，當藥品生產廠商管理員需要上傳藥品信息時，先通過身份認證和登錄系統，然后通過接口將藥品信息傳至物聯網服務器。

2.2 藥品認證協議

由于藥品銷售的主要地點是醫院和零售藥店，因此在醫院和藥店可以設置專門的RFID 閱讀器，連接藥品信息公共環境物聯網EPC-IS 數據系統進行認證。經銷商進行藥品入庫時，也可以通過相同的途徑查詢其是否為假藥，這樣就防止了藥品在運輸過程中被掉包的可能。

一般情況下，閱讀器與EPC-IS 數據系統之間為有線連接，安全措施相對完善，標簽和閱讀器之間的為無線連接，其通信信道是公開的，攻擊者可通過通信過程讀取標簽中的信息，并復制到其他RFID 標簽中，從而達到偽造的目的。

本文針對不同情況，采用兩種方法認證，一種是基于哈希函數的物聯網三方安全認證方法。另一種是非對稱密鑰AKHF 協議。基于哈希函數的物聯網三方安全認證協議對標簽、閱讀器、應用服務器三方認證，確保藥品信息的有效認證。AKHF 協議采用標簽和閱讀器雙向認證的方式驗證相互身份，并通過非對稱密鑰對認證數字加密的方式保證了私密數據在公共環境物聯網存儲的安全。

2.3 基于哈希函數的三方認證方法的藥品認證

（1）認證數字加密

認證數字代表的是藥品標簽中與藥品相關聯的字符串，除了標簽中認證數字，數據庫中也存放著藥品認證數字。在認證階段，閱讀器通過數據庫返回的認證數字num 的哈希運算值，并與標簽返回的num 哈希運算值比較，從而判斷標簽真偽。

由于認證數字num 是進行藥品信息真偽認證的關鍵信息，雖說藥品信息公共環境物聯網設有訪問控制措施，但直接將標簽認證數字存放至公共環境物聯網數據庫中仍有危險，如果被其他人員訪問到，或者一旦有人非法入侵數據庫，則會造成數據泄漏的威脅。文獻[8]中的基于哈希函數的物聯網三方認證方法對認證數字是沒有加密的。因此，在藥品信息存儲至數據庫之前需要對其中的認證數字進行加密。本文利用藥品信息物聯網的應用服務器對其進行加解密運算，密鑰存儲在應用服務器中。一旦藥品廠商管理員上傳藥品信息時，應用服務器會對認證數字部分進行加密，加密完成后將藥品信息傳至數據庫。如果消費者請求進行真偽認證，數據庫將存儲的相關信息傳至應用服務器，應用服務器先利用密鑰對加密的認證數字解密，再進行相關運算判斷真偽。由于加解密運算都是在應用服務器中運行，所以只須利用對稱加密算法即可保證信息安全。

（2）基于哈希函數的物聯網三方認證方法認證過程

協議中用到的符號定義如表1 所示。

表1 符號說明

安全認證之前標簽應存儲的信息：TID，Tnum，M；閱讀器應存儲的信息：RID，Rnum；應用服務器應存儲的信息：L；EPC-IS 數據庫應存儲的信息：TID，RID，DTnum，DRnum，DM；具體過程見圖2。

圖2 中Tag 表示標簽，Reader 表示閱讀器，As 表示應用服務器，DB 表示EPC-IS 數據庫。

協議詳細認證步驟如下：

步驟1 應用服務器認證閱讀器和標簽

步驟1.1 閱讀器向藥品標簽發送Request 請求，產生隨機數r1并傳給標簽；

步驟1.2 標簽根據閱讀器命令產生隨機數r2，將Tnum 和隨機數r2與r3進行Hash 運算H1=h（Tnum‖r1‖r2），并將計算結果H1、隨機數r2和標簽TID 發送給閱讀器；

步驟1.3 閱讀器根據標簽發送的H1和閱讀器的Rnum 進行Hash 運算H2＝h（Rnum‖H1），并將計算結果H2，RID，TID 和隨機數r1與r2發送給應用服務器；

步驟1.4 應用服務器將RID 和TID 發送給數據庫服務器進行檢索；

步驟1.5 數據庫服務器根據TID 和RID 的數值在數據庫中檢索到與之相對應的DTnum，DM 和DRnum并返回給應用服務器；

步驟1.6 應用服務器對DTnum，DM 和DRnum 進行解密得到Tnum、M、Rnum，并計算H=h（（Rnum‖h（Tnum‖r1‖r2））），比較H 值和H2值是否相等，若相等，則認證此藥品標簽和閱讀器合法，既藥品得到認證，根據用戶的需要決定是否將藥品信息M 傳送給閱讀器；若不相等或者數據庫未檢索出結果，則認證失敗，返回閱讀器此藥品標簽認證失敗信息。

步驟2 標簽認證閱讀器和服務器

圖2 基于哈希函數物聯網三方認證協議的方案

步驟2.1 應用服務器產生隨機數r3，并對解密后Tnum、Rnum 與r3進行計算H3=h（Tnum‖h（Rnum‖r3）），隨后將r3和H3發送給閱讀器；

步驟2.2 閱讀器計算H4=h（Rnum‖r3）值，將H3、H4、r3發送給標簽；

步驟2.3 標簽根據發送過來的數據信息進行計算H＝h（Tnum‖H4），并對H3與H 進行比較，相等則閱讀器和服務器認證成功，不相等則認證失敗，此認證過程結束。

步驟2 可以認證閱讀器和藥品信息物聯網服務器，但并非必須的，如認為藥品信息物聯網是可信的，則可省略該步驟。

2.4 基于AKHF協議藥品真偽認證

文獻[7]的AKHF 協議中，數據庫存儲的是經過加密處理的標簽TID、Tnum，則不必考慮數據庫中的認證數字的加密問題，但必須藥品標簽和閱讀器同時合法才能驗證成功。

安全認證之前標簽應存儲的信息：DTID，Tnum，M；閱讀器應存儲的信息：L，L-1；應用服務器應存儲的信息：L；EPC-IS 數據庫應存儲的信息：TID，DTnum，M

步驟1 應用服務器認證標簽

步驟1.1 當藥品標簽進入到閱讀器射頻作用范圍內，閱讀器發送請求Request 給標簽；

步驟1.2 藥品標簽收到閱讀器的請求后，生成隨機數r1，計算H=h（Tnum‖r1），并把DTID，r1，H 發送給閱讀器；

步驟1.3 閱讀器收到信息后用存儲的私鑰L-1對DTID 進行解密，得到藥品標簽TID，并發送TID，r1，H給服務器；

步驟1.4 服務器把TID 發送給EPC-IS 數據庫；

步驟1.5 EPC-IS 根據TID 查找相對應的信息｛DTnum，M｝并發送給服務器；

步驟1.6 服務器對DTnum 進行解密得到Tnum，計算H1=H（Tnum‖r1），并比較H1、H 是否相等，若相等，則此藥品標簽合法，完成認證。若不相等，此藥品標簽非法，終止會話；

步驟2 標簽認證應用服務器

步驟2.1 應用服務器產生隨機數r2，并對解密后Tnum 與r2進行計算H2=h（Tnum‖r2），隨后將r2和H2發送給閱讀器；

步驟2.2 閱讀器將H2、r2發送給標簽；

步驟2.3 標簽根據發送過來的數據信息進行計算H3＝h（Tnum‖r2），并對H3與H2進行比較，相等則應用服務器認證成功，不相等則認證失敗，此認證過程結束。

3 協議安全性證明

GNY 邏輯是對BAN 邏輯方法的一種改進，不僅繼承了BAN 邏輯的優點，例如其易于擴展、簡單等[9]。同時又取消了一些全局假設，新增了一些邏輯規則，使用范圍也得到了更加廣泛的應用[10]。因此，本文利用GNY 邏輯對協議進行證明。

圖3 基于AKHF協議的方案

GNY 邏輯分析過程包括以下步驟：

（1）按照GNY 分析方法，分析協議的基本邏輯表示方式。將安全認證協議的模型進行理想化。

（2）對協議進行初始化假設，并給出協議在初始化階段必須滿足的一些基本條件。

（3）根據推理規則對協議進行形式化分析，最終推斷出目標是否可行。若達到預期目標則該認證協議是安全可行的。

GNY 邏輯的基本符號和推理規則：

（1）基本語法說明：

P ?*X：P 是公式X 的接受者，但不是公式X 的首發者，P 是第一次接收到X。

P ?X ：主體P 被告知X，X 既可以是消息本身，也可以是經過一定計算后的內容。

P ?X：主體P 擁有公式X。

P|～X ：主體P 曾經在過去的某個時刻傳遞過公式X。

P|≡Φ(X)：主體P 相信X 是可以被識別的。

P|≡#(X)：表示主體P 信任公式X 的新鮮性，即在此之前，P 都沒有使用過X。

P|≡P?SQ：S 表示的是密鑰，此語法代表的是主體P 相信S 是P 和Q 獨有的共享密鑰。即S 僅能被P、Q 擁有，不會被除此之外的第三方獲取。

（2）本文用到的基本邏輯推理公式說明：

基于GNY 邏輯的三方認證協議安全性證明：

為了便于描述，把應用服務器和公共環境物聯網EPC-IS 數據庫作為一個整體，統稱為公共環境物聯網應用服務器As，標簽、閱讀器分別簡稱為T、R。

對協議做出的初始化假設如下：

A1：T ?TID

A2：T ?Tnum

A3：T ?h()

A4：T|≡#(ri)

A6：R ?RID

A7：R ?Rnun

A8：R ?h()

A9：R|≡#(ri)

A11：As ?L

A12：As ?h()

A13：As|≡#(ri)

A16：As|≡#(Tnum)

A17：As|≡#(Rnum)

本協議的理想化模型：

M1：R→T：Request，r1

M2：T→R：TID，r2，H1

M3：R→As：RID，TID，r1，r2，H2

M4：As→R：r3，H3

M5：R→T：r3，H3，H4

將上述理想化模型中的M1-M10 轉化為邏輯語言規范化為：

M1：T ?*Request，*r1

M2：R ?*TID，*r2，*H1

M3：As ?*RID，*TID，*r2，*r3，H2

M4：R ?*r3，*H3

M5：T ?*r3，*H3，*H4

協議的證明目標：

G1：As|≡T|～#(H1)

G2：As|≡R|～#(H2)

G3：T|≡As|～#(H3)

G4：T|≡R|～#(H4)

協議的證明過程如下：

（1）根據M2：As ?*RID,*r1,*H1，由被告知規則T1可 得 到 As ?RID,r1,H1，由 擁 有 規 則T3 可 得 到As ?RID,r1,H1。 由 識 別 規 則 R6 可 得 到As|≡Φ(Rnum,r1)，又由A13、A17，和新鮮性規則F10 可推出As|≡#(H1)，上述已推出As ?h(Rnum‖r1)，即等價于，又由A14 和消息解釋規則I1 可推出As|≡T|～#(H1)。

（2）根據M5：As ?*RID,*TID,*r2,*r3,*H3，由被告知規則T1 可得到As ?RID,TID,r2,r3,H3，由擁有規則P1 可 得 到As ?r2,r3,H3。因H3＝h（Rnum‖H2）=h（（Rnum‖h（Tnum‖r2‖r3）），由擁有規則P2 可得到As ?H2，由被告知規則得到As ?H2，由A13 和新鮮規則F1 可得到As|≡#(H2)，由A14: As|≡R ?RnumAs 和消息解釋規則I3 可推出As|≡R|～#(H2)。

同理，G3、G4 的證明過程與上述證明過程類似，此處將不再贅述。因此，由上述證明可知，基于哈希函數的物聯網三方認證協議的方案在滿足假設的前提下，標簽、閱讀器、公共環境物聯網應用服務器三方之間可以得到有效地相互認證。而在基于AKHF 的方案中，也是要證明通信雙方在相互認證過程中的安全性。由于證明過程和上述證明過程相同，將不再敘述。

4 安全性能分析

方案的安全性能既要考慮認證過程中消息的安全傳輸又要保證隱私信息不被泄露。為進一步證明系統的安全性，并考慮到實際情況中，系統可能遭受到的攻擊手段，接下來從可抗攻擊類型對協議進行安全分析。

4.1 抗重放攻擊

在基于哈希函數的物聯網三方認證協議認證過程中，即使通過已監聽信息偽裝成合法標簽與閱讀器進行通信，但因閱讀器每次生成的隨機數都是隨機的,也無法認證成功。而在基于AKHF 方案中，標簽ID 值加密，即使被截獲，沒有正確密鑰也無法解密，所以即使想復制其ID 值制造假冒標簽也無法實現。并且，方案認證過程中即便被重放攻擊干擾中斷，并不影響認證的正確性，可在適時重新進行認證。

4.2 抗竊聽攻擊

由于閱讀器與標簽之間信息傳輸是通過無線通信傳遞，其信道容易遭受竊聽攻擊。在基于哈希函數物聯網三方認證方案中，標簽和閱讀器傳輸的數據類型包括2 類。第1 類隨機數ri的傳輸，由于其隨機性，即使截獲到某次隨機數對攻擊者也沒有用處。第2 類計算結果H、標簽TID，H 值分別通過HASH 運算的數值，通過此數值并不能推斷出算法的邏輯關系，且每次的隨機數都不同，也獲取不到有效信息。而標簽TID，即使對ID 值進行了非法復制，沒有與之對應的Tnum值，也無法完成認證。而在AKHF 中，標簽和閱讀器傳輸數據分別為步驟1.2、2.2 三次。步驟1.2 是DTID 的傳送，但由于方案采用對TID 值加密，沒有正確密鑰也無法解密。步驟2.2 包括隨機數和H（Tnum‖r2）計算過的H2傳輸，對于此兩種值，上面也已做分析，此處不作解釋。

4.3 抗位置跟蹤

藥品信息公共環境物聯網的信息資源查詢或認證通常是一次性操作，并沒有涉及到被跟蹤的問題。

4.4 雙向認證

在基于AKHF 方案中，步驟2 完成反向認證，閱讀器對DTID 進行解密得到TID，并將標簽TID 值傳輸給應用服務器，應用服務器通過標簽認證數字和隨機數的哈希計算H1=H（Tnum‖r1）與標簽計算的H 值比較進行雙向認證。基于哈希函數物聯網三方認證方案中，步驟2 完成反向認證，標簽計算H＝h（Tnum‖H4），其中H4=h（Rnum‖r3），并與應用服務器計算的H3=h（Tnum‖h（Rnum‖r3））比較驗證閱讀器與應用服務器的合法性。

4.5 信息隱私

對于標簽中的認證數字部分，前端的認證不傳輸認證數字，所以閱讀器無權訪問認證數字信息。在基于AKHF 方案中，對于DTnum，此解密部分在應用服務器內部完成，在基于哈希函數物聯網三方認證方案中，涉及到認證數字傳輸的部分，則是數據庫與應用服務器之間傳輸DTnum 和DRnum，其解密過程在應用服務器獨立完成，均未傳輸到閱讀器。

5 結語

本文提出并設計了藥品信息公共環境物聯網認證方案，將物聯網AKHF 認證協議、基于哈希函數的物聯網三方認證協議應用在物聯網藥品真偽認證中，設計了兩種藥品信息公共環境物聯網認證方案。并通過性能分析，得到方案可抗重放、竊聽、位置跟蹤等攻擊。同時，利用GNY 邏輯對方案中的協議進行推理證明可知，方案中的通信三方均相信對方的真實性，并證明了認證過程中數據傳輸的有效性和安全性。