摘 要：作為一種非接觸式自動(dòng)識(shí)別技術(shù)，RFID在帶來成本節(jié)約和效率提高的同時(shí)，也帶來了安全和隱私的風(fēng)險(xiǎn)。為保證安全性和隱私性，必須對(duì)閱讀器和標(biāo)簽之間的通信提供認(rèn)證和保護(hù)，對(duì)現(xiàn)有的RFID安全性和隱私性解決方案進(jìn)行了簡要分析，之后應(yīng)用零知識(shí)思想，提出了一種基于單向Hash函數(shù)的雙向RFID認(rèn)證協(xié)議，并分析了其安全性和抗攻擊性。

關(guān)鍵詞：RFID；零知識(shí)；認(rèn)證；安全性

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：B 文章編號(hào)：1004373X(2008)1508004

Mutual Authentication Protocol for RFID Privacy Protection

CHANG Zhenhua，CHEN Yue，SHAO Jing，ZHEN Honghu

(Institute of Electronic Technology，PLA Information Engineering University，Zhengzhou，450004，China)

Abstract：As a contactless auto-identification technology，RFID provides cost saving and efficiency enhancement.But it also causes security and privacy vulnerabilities for RFID applications.In order to ensure security and privacy，authentication and protection for communication between reader and tag must be provided.After analyzing existing security and privacy solutions for RFID and by adopting zero-knowledge ideas，a mutual RFID authentication protocol based on oneway Hash function is proposed，its security and anti-attack properties are also analyzed.

Keywords：RFID;zero knowledge;authentication;security

1 引 言

無線射頻識(shí)別(Radio Frequency Identification，RFID)是一種非接觸式的自動(dòng)識(shí)別技術(shù)，利用它可以在遠(yuǎn)距離、惡劣環(huán)境下對(duì)集群目標(biāo)和移動(dòng)目標(biāo)進(jìn)行快速信息采集和自動(dòng)識(shí)別。因其不需要物理與視覺接觸便可以對(duì)目標(biāo)對(duì)象進(jìn)行識(shí)別而被看作是一項(xiàng)革命性的新技術(shù)。近年來，RFID在供應(yīng)鏈管理、動(dòng)物識(shí)別管理、礦井管理、交通管理、電子錢包、生產(chǎn)線自動(dòng)控制、軍事等多領(lǐng)域廣泛應(yīng)用。

一個(gè)完整的RFID系統(tǒng)包括數(shù)據(jù)庫服務(wù)器、閱讀器和標(biāo)簽。雖然數(shù)據(jù)庫本身和閱讀器向服務(wù)器的認(rèn)證也存在安全問題，但它們有足夠的能源和計(jì)算資源，可以采用傳統(tǒng)的密碼算法來確保其安全。相比之下RFID標(biāo)簽的所帶來的安全性和隱私性問題顯得尤為突出。RFID標(biāo)簽與閱讀器之間的通信媒體是無線電，對(duì)攻擊者和其它未授權(quán)的閱讀器是完全暴露的，因此信息的傳遞缺乏機(jī)密性。在缺乏認(rèn)證的情況下，攻擊者可以采用重放合法閱讀器或標(biāo)簽信號(hào)的方式來假冒，以獲得標(biāo)簽或閱讀器的信任，進(jìn)而獲取秘密信息。第三方可以監(jiān)聽、干擾、篡改標(biāo)簽和閱讀器之間的會(huì)話，信息的完整性和可用性難以保證。攻擊者也可以通過監(jiān)聽來獲取敏感信息，并制造假標(biāo)簽，或通過監(jiān)聽、查詢來跟蹤標(biāo)簽和標(biāo)簽攜帶者。由于人們對(duì)安全性和隱私性越來越多的關(guān)注，有人稱RFID標(biāo)簽為“間諜芯片”和“跟蹤設(shè)備”，并建立組織來抵制任何RFID測(cè)試計(jì)劃。

2 解決安全性和隱私性的相關(guān)工作

由于RFID標(biāo)簽尺寸和成本的限制，設(shè)計(jì)RFID系統(tǒng)安全性和隱私性解決方案是一項(xiàng)富有挑戰(zhàn)性的研究工作，也是關(guān)系到RFID技術(shù)能否進(jìn)一步發(fā)展應(yīng)用的關(guān)鍵。許多文章討論了RFID系統(tǒng)的安全性和隱私性，并提出了許多方案。根據(jù)所采取的安全機(jī)制，這些方案分為物理機(jī)制方案和加密機(jī)制方案。

2.1 物理機(jī)制方案

物理機(jī)制主要有：Kill命令機(jī)制^［1］、靜電屏蔽^［2］、阻塞法^［3］等。

“Kill命令機(jī)制”是在設(shè)計(jì)標(biāo)簽時(shí)使之能夠接受一個(gè)Kill命令。帶標(biāo)簽的產(chǎn)品在賣點(diǎn)掃描結(jié)賬后，向標(biāo)簽發(fā)出該命令，使標(biāo)簽自動(dòng)失效。完全殺死標(biāo)簽可以完美的阻止掃描和追蹤，但對(duì)于消費(fèi)者來說，犧牲了RFID標(biāo)簽所有售后利益，比如售后服務(wù)、智能家庭應(yīng)用、產(chǎn)品交易與回收等。而且在很多情況下，標(biāo)簽不能被殺死，比如圖書館、租用商店等，他們必須保證標(biāo)簽?zāi)軌虮辉俅问褂谩?/p>

“靜電屏蔽”是指將標(biāo)簽或帶標(biāo)簽的產(chǎn)品放入特制的具有靜電屏蔽功能的容器中再攜帶，使之不能與外界進(jìn)行電磁耦合，也就不會(huì)被訪問到。但顯然這種方法需要一個(gè)額外的物理設(shè)備，增加了系統(tǒng)的成本。

阻塞法依靠編入標(biāo)簽識(shí)別碼的可修改位來保護(hù)隱私性，這一位稱為隱私位，為0表示可以公開掃描，為1表示是私有。阻塞法依賴樹遍歷反沖突協(xié)議來起作用。除此之外，由于不可靠的RFID傳輸，可以造成阻塞的失敗。隨著閱讀器的發(fā)展，可以利用信號(hào)強(qiáng)度等特征來過濾阻塞信號(hào)。

2.2 加密機(jī)制方案

在目前提出的方案中采用的協(xié)議大多都是詢問/響應(yīng)的協(xié)議模式，不同之處在于所采用的算法不同。主要有基于單向Hash函數(shù)和基于傳統(tǒng)加密算法兩類。

基于單向Hash函數(shù)的安全協(xié)議主要包括Hashlock協(xié)議^［1］、隨機(jī)化Hashlock協(xié)議^［4］、Hash鏈協(xié)議^［5］、基于雜湊的ID變化協(xié)議^［6］、分布式RFID詢問/響應(yīng)認(rèn)證協(xié)議^［7］、LCAP協(xié)議^［8］等。文獻(xiàn)［1，4，5］提出的協(xié)議容易受到重傳和假冒攻擊。文獻(xiàn)［7］提出的方案在匹配標(biāo)簽ID時(shí)需要計(jì)算所有標(biāo)簽ID和所交換隨機(jī)數(shù)的Hash值，對(duì)于擁有大量標(biāo)簽的RFID系統(tǒng)，后端數(shù)據(jù)庫計(jì)算量太大。文獻(xiàn)［6，8］提出的方案用升級(jí)ID來防止重放攻擊，但存在數(shù)據(jù)庫與標(biāo)簽數(shù)據(jù)不同步的隱患。

基于傳統(tǒng)的加密算法的安全協(xié)議，文獻(xiàn)［9］提出基于矩陣乘法的認(rèn)證方案，由于標(biāo)簽存儲(chǔ)能力的限制，矩陣階數(shù)不能太大，因此作者分析了該方案存在的弱點(diǎn)是不能防止野蠻密鑰攻擊。文獻(xiàn)［10］提出基于橢圓曲線的公鑰認(rèn)證方案。文獻(xiàn)［11］提出的方案基于零知識(shí)證明思想。這類協(xié)議大部分在計(jì)算量和通信量上較大，適合于電能、計(jì)算能力和存儲(chǔ)能力限制不大的主動(dòng)式RFID標(biāo)簽，不適合于低成本RFID標(biāo)簽。

3 零知識(shí)泄露的雙向RFID認(rèn)證協(xié)議

提出一種零知識(shí)泄露的雙向RFID認(rèn)證協(xié)議。對(duì)于低成本RFID標(biāo)簽來說，該協(xié)議有合適的通信量和計(jì)算量，并能夠有效地保護(hù)RFID系統(tǒng)的安全性和隱私性。首先，我們給出協(xié)議的主要思想，定義協(xié)議的假設(shè)，然后給出協(xié)議的描述。

為方便和簡化協(xié)議的描述，定義：T表示標(biāo)簽，R表示閱讀器，B表示后端數(shù)據(jù)庫系統(tǒng)，A表示攻擊者。

3.1 主要思想

由前面的安全性和隱私性分析可以看出，RFID安全弱點(diǎn)來自T和R之間不安全的無線通信接口。A可以干擾、篡改或竊聽T和R之間的通信，使T和B的數(shù)據(jù)不同步，可以對(duì)T和R實(shí)施重放攻擊，也可以在不被察覺的情況下跟蹤標(biāo)簽持有者的位置和行為，并模仿合法的T或R。而基于零知識(shí)證明的身份認(rèn)證機(jī)制的基本思想是：信息的擁有者可以在無需泄漏密秘信息的情況下就能夠向驗(yàn)證者證明它擁有該信息。因此，基于零知識(shí)的身份認(rèn)證機(jī)制很適合于RFID系統(tǒng)。

我們的協(xié)議采用在Ｒ與Ｔ之間傳送零知識(shí)認(rèn)證消息(Zero-knowledge Authentication Message，ZAM)的方式，在不泄露標(biāo)簽ID的情況下，實(shí)現(xiàn)R和T之間的雙向認(rèn)證，并為以后的會(huì)話提供一個(gè)一次一換的隨機(jī)會(huì)話密鑰(Random Session Key，RSK)和可以作為會(huì)話序號(hào)的時(shí)間戳(Date Timestamp，DT)。

3.2 假設(shè)

我們的方案主要針對(duì)低成本標(biāo)簽中可以執(zhí)行同步加密操作的一類標(biāo)簽(也稱為同步密鑰標(biāo)簽)，這類標(biāo)簽是目前低成本標(biāo)簽的主流和發(fā)展趨勢(shì)。根據(jù)Auto-ID中心的試驗(yàn)數(shù)據(jù)，在設(shè)計(jì)5美分標(biāo)簽時(shí)，集成電路芯片的成本不應(yīng)該超過2美分，也就是說用于安全和隱私保護(hù)的門電路數(shù)量不能超過2.5k~5k個(gè)。根據(jù)文獻(xiàn)［12］，實(shí)現(xiàn)一個(gè)Hash函數(shù)單元只需要1.7k個(gè)門電路，實(shí)現(xiàn)一個(gè)隨機(jī)數(shù)發(fā)生器(Pseudorandom Number Generator，PRNG)也僅需要數(shù)百個(gè)門電路。因此，我們假設(shè)T有一個(gè)單向Hash函數(shù)H( )，有一個(gè)隨機(jī)數(shù)發(fā)生器，有一定的存儲(chǔ)能力，有基本的運(yùn)算能力(如XOR)。T和B有相同的單向Hash函數(shù)，并預(yù)共享一個(gè)會(huì)話密鑰(Session Key，SK)。

R和B有很大的計(jì)算機(jī)能力，因此假設(shè)R和B之間的通信信道是安全的。

3.3 協(xié)議描述

協(xié)議執(zhí)行過程如圖1所示。

(1) R向T發(fā)送Query認(rèn)證請(qǐng)求。

(2) T產(chǎn)生一個(gè)隨機(jī)數(shù)r，使用自己的ID和SK計(jì)算a₁=ID⊕H(r⊕SK)，形成ZAM₁＝{r，a₁}并發(fā)送給R。

(3) R將ZAM₁轉(zhuǎn)發(fā)給B。

(4) B計(jì)算ID′=a₁⊕H(r⊕SK)，在數(shù)據(jù)庫中查找是否有這樣的ID′，如果有，T則通過初步認(rèn)證，之后R產(chǎn)生隨機(jī)數(shù)作為RSK，計(jì)算β₁=RSK⊕H(DT⊕SK)，β₂＝H(ID⊕RSK⊕SK)，形成ZAM₂＝{DT，β₁，β₂}發(fā)給R。其中：DT為時(shí)間戳，是B的系統(tǒng)時(shí)間或具有時(shí)間戳功能的隨機(jī)數(shù)，用于防止重放攻擊，并作為本次會(huì)話的序號(hào)，合法的T可以用β₁恢復(fù)出RSK，用β₂驗(yàn)證RSK的有效性，同時(shí)驗(yàn)證R的合法性。

(5) R將ZAM₂轉(zhuǎn)發(fā)給T。

(6) T收到ZAM₂后，首先判斷DT，如果比以前保存的大，則認(rèn)為正常，然后T用自己的SK計(jì)算H(DT⊕SK)，恢復(fù)出RSK，并進(jìn)行驗(yàn)證，如果正確則通過對(duì)R的認(rèn)證，并保存DT，計(jì)算a₂＝H(r⊕SK⊕RSK⊕DT)，形成再次認(rèn)證消息ZAM₃＝{a₂}發(fā)送給R，作為對(duì)ZAM₂的應(yīng)答。該應(yīng)答也是零知識(shí)的，既確認(rèn)正確的收到RSK，又證明T是整個(gè)認(rèn)證會(huì)話的參與者。如果DT不正?；騌SK無效，則忽略ZAM₂，并保持靜默。

(7) R將ZAM₃轉(zhuǎn)發(fā)給B，B計(jì)算H(r⊕SK⊕RSK⊕DT)，與收到的a₂進(jìn)行比較，如果相等則通過對(duì)T的認(rèn)證。

4 協(xié)議安全性和抗攻擊性分析

4.1 安全性分析

機(jī)密性 Hash函數(shù)的單向性確保了從認(rèn)證消息中無法獲得SK等敏感信息。認(rèn)證過程的零知識(shí)性保證在完成認(rèn)證的同時(shí)，不泄露標(biāo)簽ID等信息。協(xié)議采用共享SK，閱讀器和標(biāo)簽可以對(duì)收到的消息進(jìn)行正確性和完整性驗(yàn)證，從而保證認(rèn)證信息和交換RSK的機(jī)密性。

可認(rèn)證性 采用雙向身份認(rèn)證的機(jī)制，有效地防止了未授權(quán)的閱讀器和假冒的標(biāo)簽參與會(huì)話，增加了認(rèn)證的可靠性，因此協(xié)議在不可信環(huán)境中依然有效。

可用性 入侵者可能發(fā)起一個(gè)DoS攻擊來影響的RFID系統(tǒng)的使用，但無法通過這種攻擊獲取敏感信息，因此具有較高的可用性。

4.2 抗攻擊性分析

4.2.1 對(duì)RFID標(biāo)簽的攻擊

一種是攻擊者假裝成合法的閱讀器。這種攻擊會(huì)被DT、RSK和SK的組合擊敗，因?yàn)橹挥泻戏ǖ拈喿x器才能提供一個(gè)有效的ZAM₂，假冒閱讀器采用重放或篡改個(gè)別信息等方式向標(biāo)簽作認(rèn)證時(shí)會(huì)被標(biāo)簽識(shí)破。

另一種是攻擊者通過查詢來跟蹤標(biāo)簽。這種攻擊會(huì)被r的隨機(jī)性擊敗，因?yàn)槊看螛?biāo)簽所發(fā)出的ZAM₁都是不同的，所以跟蹤者無法判定跟蹤的是否是同一個(gè)標(biāo)簽。

4.2.2 對(duì)RFID閱讀器攻擊

攻擊者假裝成有效標(biāo)簽的攻擊有兩種情況：一是攻擊者發(fā)出假的ZAM₁，在沒有SK的情況下這種攻擊在對(duì)標(biāo)簽的初次認(rèn)證時(shí)就會(huì)被閱讀器識(shí)破；二是攻擊者對(duì)閱讀器重放某次有效標(biāo)簽的ZAM₁進(jìn)行攻擊，這種攻擊雖然能使B產(chǎn)生ZAM₂，但在再次認(rèn)證時(shí)，由于攻擊者沒有SK，不可能恢復(fù)出RSK，因此不能構(gòu)造出正確的ZAM₃，進(jìn)而不能通過系統(tǒng)對(duì)其的再次認(rèn)證。

4.2.3 中間人攻擊

假定協(xié)議在長距離下工作，由中間人來轉(zhuǎn)發(fā)認(rèn)證消息，但認(rèn)證和響應(yīng)都是加密和零知識(shí)的，因此認(rèn)證消息對(duì)于中間人是透明的，通過直接讀取消息，攻擊者僅可以得知閱讀器和標(biāo)簽在通信，而不能得到任何秘密信息。即使攻擊者通過轉(zhuǎn)發(fā)標(biāo)簽的認(rèn)證消息和再次認(rèn)證消息而通過認(rèn)證，但不可能獲得RSK，從而無法進(jìn)行后續(xù)的會(huì)話，使這種欺騙變得沒有意義。

5 結(jié) 語

RFID技術(shù)的使用提高了制造業(yè)、服務(wù)業(yè)等行業(yè)的效率，節(jié)約了成本，但同時(shí)也帶來了安全和隱私問題。這些問題越來越成為RFID技術(shù)進(jìn)一步發(fā)展和應(yīng)用的障礙。本文簡單分析了RFID技術(shù)所帶來的安全和隱私風(fēng)險(xiǎn)，回顧了解決安全和隱私問題的相關(guān)方案，提出了一種適合于低成本標(biāo)簽的雙向RFID認(rèn)證協(xié)議。

與其他基于Hash函數(shù)的方案相比，在計(jì)算量和通信量略有增加的情況下，本文協(xié)議提高了認(rèn)證的安全性和有效性，增加了抗攻擊的能力。與基于傳統(tǒng)加密算法的方案相比，該協(xié)議在計(jì)算量和通信量上對(duì)低成本RFID標(biāo)簽是適度的，且在認(rèn)證的靈活性方面有較大的優(yōu)勢(shì)。針對(duì)不同的安全級(jí)別要求，可以選擇不同規(guī)模的Hash函數(shù)。

參 考 文 獻(xiàn)

［1］Sarma S E，Weis S A，Engels D W.RFID Systems and Security and Privacy Implications［C］.Berlin: Springer-Verlag，2003:454-469.

［2］Sarma S E，Weis S A，Engels D W.Radio-frequency Identification:Secure Risks and Challenges ［J］.RSA Laboratories Cryptophytes，2003，6(1):2-9.

［3］Juels A，Rivest R L，Szydlo M.The Blocker Tag:Selective Blocking of RFID Tags for Consumer Privacy［C］.In Vijay Atluri and Peng Liu，editors，Proceedings of the 10th ACM Conference on Computer and Communication Security (ACCS′03)，2003:103-111.

［4］Weis S A，Sarma S E，Rivest R l，et al.Security and Privacy Aspects of Low-Cost Radio Frequency Identification Systems［C］.Berlin: Springer-Verlag，2004:201-212.

［5］Ohkubo M，Suzuki K，Kinoshita S.Hash-chain based Forward Secure Privacy Protection Scheme for Low-cost RFID［C］.In:Proceedings of the 2004 Symposium on Cryptography and Information Security (SCIS 2004)，Sendai，2004:719-724.

［6］Henrici D，Müller P.Hash-based Enhancement of Location Privacy for Radio-frequency Identification Devices Using Varying Identifiers［C］.In:Proceedings of the 2nd IEEE Annual Conference on Pervasive Computing and Communications Workshops (PerComW′04).Washington，DC，USA，2004:149-153.

［7］Rhee K，Kwak J，Kim S，et al.Challenge/Response-based RFID Authentication Protocol for Distributed Database Environment［C］.Berlin:Springer-Verlag，2005:70-84.

［8］Lee S M，Hwang Y J，Lee D H，et al.Efficient Authentication for Low-cost RFID Systems［C］.Berlin:Springer-Verlag，2005:619-627.

［9］Karthikeyan S，Nesterenko M.RFID Security without Extensive Cryptography［C］.Proceedings of the 3rd ACM Workshop on Security of ad hoc and Sensor Networks，2005.

［10］Batina L，Guajardo J.Public-Key Cryptography for RFID-Tags［C］.In:Proceedings of the 5th IEEE International Conference on Pervasive Computing and Communication Workshops (PerComW′07)，2007:217-222.

［11］李浩，謝桂海，王新鋒，等.一種基于零知識(shí)證明的RFID鑒別協(xié)議［J］.通信與信息技術(shù)，2006，29(1):23-25.

［12］Kaan Yüksel.Universal Hashing for Ultra-low-power Cryptographic Hardware Applications［D］.Master′s Thesis，Dept.of Electronical Engineering，WPI，2004.

［13］陳香，薛小平，張思東.標(biāo)簽防沖突算法的研究\\.現(xiàn)代電子技術(shù)，2006，29(5):13-15.

作者簡介 常振華 男，1975年出生，碩士研究生。研究方向?yàn)榫W(wǎng)絡(luò)與信息安全、射頻識(shí)別技術(shù)。

陳 越 男，1965年出生，博士，教授，碩士生導(dǎo)師。主要從事網(wǎng)絡(luò)應(yīng)用技術(shù)和信息安全的研究。

邵 婧 女，1986年出生，碩士研究生。研究方向?yàn)樾畔⒐芾硐到y(tǒng)、射頻識(shí)別的安全與隱私。

甄鴻鵠 男，1983年出生，碩士研究生。研究方向?yàn)榫W(wǎng)絡(luò)信息及數(shù)據(jù)的安全與隱私。