黎彤亮，王新川，程 煜

（1.河北省計算機學(xué)會，河北石家莊 050081；2.河北省科學(xué)院應(yīng)用數(shù)學(xué)研究所，河北石家莊 050081；3.河北省信息安全認證工程技術(shù)研究中心，河北石家莊 05008；4.河北省科學(xué)院，河北石家莊 050081）

一種使用口令提升RFID識別協(xié)議安全性的方法

黎彤亮1，2，3，王新川1，4，程 煜1，2，3

（1.河北省計算機學(xué)會，河北石家莊 050081；2.河北省科學(xué)院應(yīng)用數(shù)學(xué)研究所，河北石家莊 050081；3.河北省信息安全認證工程技術(shù)研究中心，河北石家莊 05008；4.河北省科學(xué)院，河北石家莊 050081）

RFID技術(shù)可以很方便地自動識別目標對象并獲取相關(guān)信息，但因RFID利用射頻信號獲取數(shù)據(jù)的過程無需要接觸且不通知持有者而導(dǎo)致安全及隱私問題。針對這一狀況學(xué)者提出諸多方法以應(yīng)對，其中基于密碼技術(shù)的協(xié)議因更具備靈活性而受到重視。為了提供更好的安全性，需要使用高強度的密碼算法，而這通常會導(dǎo)致標簽成本的增加。為此，筆者提出一個使用口令提升RFID識別協(xié)議安全性的新方法，口令作為識別的必須數(shù)據(jù)以抵抗非授權(quán)的惡意讀取來提升識別過程的安全性，并且在讀寫器端接受口令，不增加標簽制作成本。

RFID；識別協(xié)議；安全；隱私；口令

1 RFID系統(tǒng)簡述

1.1 RFID系統(tǒng)構(gòu)成

RFID系統(tǒng)一般由讀寫器（Reader）和標簽（Tag）組成，通常還會包括一個后端服務(wù)器或后端數(shù)據(jù)庫用來記錄標簽更多信息（見圖1）。主動標簽是附帶有電池，而被動標簽由線圈耦合提供能量。讀寫器通過發(fā)送射頻信號到電子標簽并接收標簽返回的射頻信號的方式讀取存儲在標簽中的數(shù)據(jù)，如標簽的ID。

1.2 面臨的安全風(fēng)險

標簽讀寫器至標簽的通信通道稱為“前向信道”，標簽至標簽讀寫器的通信通道則稱為“反向信道”，一般認為，標簽和標簽讀寫器之間的通信通道為不安全信道。這是因為RFID通過開放的空間使用電磁信息進行信息的傳遞，且標簽和讀寫器無需接觸，攻擊者有更多的機會來獲取數(shù)據(jù)。

當讀寫器發(fā)送讀取請求時，在其讀取范圍內(nèi)的標簽會自動進行應(yīng)答，但這一應(yīng)答并不通知其持有者。如人們攜帶的物品貼有RFID標簽，而標簽信息被惡意讀寫器所讀取，那么標簽持有者的興趣愛好等隱私將受到威脅。如標簽信息被惡意讀寫器所竊取、篡改，則導(dǎo)致安全問題。再有當RFID發(fā)送出有固定信息的數(shù)據(jù)時，人所處的位置隱私將可能被侵犯。同時讀寫器和標簽傳遞的信息被竊取、篡改等的威脅，一些人也因為這些原因抵制RFID技術(shù)［1］。

目前存在多種類型的安全威脅，從攻擊的角度看，如果攻擊者能提供識別所需的信息，則可以通過識別，即使他／她不知道識別所需秘密。攻擊者的手段有：1）直接竊聽；2）根據(jù)已有消息提前計算并預(yù)測；3）根據(jù)已有和當前獲得的事后計算分析。

1.3 應(yīng)對

安全和隱私是RFID要解決的兩個主要問題，否則將阻礙其發(fā)展。針對這些問題，可以采取物理防范機制，如靜電屏蔽、主動干擾等方法保證安全及隱私［2］，但是這些方法會增加標簽的制作成本。密碼技術(shù)相對于物理防范機制，無需額外的其他投入而顯得更為高效，因此學(xué)者對RFID協(xié)議進行研究以應(yīng)對安全及隱私問題［2－11］。從安全協(xié)議的角度，需要讀寫器與標簽在識別后，標簽再把它所持有的信息通過一定的保護手段發(fā)送給讀寫器，保障在不安全信道傳遞的數(shù)據(jù)不被截取、重放和篡改。對于標簽的唯一標識，需要進行保護，以防止對特定標簽的跟蹤、定位等妨礙隱私的操作發(fā)生。重要的一個辦法是借助隨機數(shù)將RFID標簽所發(fā)送的ID信息匿名化。簡單的一種方式是：后端數(shù)據(jù)庫和標簽共享一個秘密。當讀寫器讀取標簽信息時，讀寫器發(fā)出一個隨機數(shù)，當標簽接收到隨機數(shù)時，它使用一種算法將其ID和這個隨機數(shù)做運算，之后將該運算結(jié)果返回給讀寫器，讀寫器將這個結(jié)果和之前產(chǎn)生的隨機數(shù)發(fā)給后端數(shù)據(jù)庫進行判斷，確定標簽的信息。

基于密碼技術(shù)的協(xié)議可以分為靜態(tài)ID機制和動態(tài)ID機制。在靜態(tài)ID機制中標簽的標識保持不變，而動態(tài)ID機制則需要在每次認證后標簽和后端數(shù)據(jù)庫（讀寫器）都要同步的更改ID。動態(tài)ID機制較靜態(tài)ID機制更為安全，但面臨數(shù)據(jù)同步問題。

文獻［2］對一些經(jīng)典的協(xié)議［3－7］等進行了分析。文獻［3］中提出的協(xié)議用metalID代替標簽的真實ID，但metalID是固定的，當攻擊者獲知metalID與其所附著的人或物的對應(yīng)關(guān)系后，則可以對該人或物進行定位。文獻［4］的研究雖然在步驟2中使用隨機數(shù)使得標簽所發(fā)送的ID信息動態(tài)化，但在步驟5中沒有使隨機數(shù)對ID起保護作用，這樣攻擊者依然可以獲得固定的ID信息。文獻［5］論述了利用Hash函數(shù)體現(xiàn)出隨機，但實際上不具備真正的隨機性，計算Hash鏈時，從1開始計算并檢查是否有匹配的，這樣就給了攻擊者進行重放的機會，因為攻擊者在獲得某一Hash鏈值時，他可以計算后面的值。對應(yīng)文獻［6］，攻擊者可以利用了XOR操作的特性，選擇特定的隨機數(shù)對協(xié)議進行攻擊。文獻［7］所述未發(fā)現(xiàn)明顯的漏洞，但是在文獻［11］所定義的強攻擊模型下（Strong Attacker，SA），它依然存在被攻擊的可能。

圖1 RFID系統(tǒng)構(gòu)成

文獻［8］中給出的協(xié)議不同認證過程的數(shù)據(jù)存在關(guān)聯(lián)關(guān)系，攻擊者利用連續(xù)2次獲得的信息即可獲得密鑰K。文獻［9］給出的LCSS協(xié)議中，包含秘密的消息缺乏校驗，入侵者有機會對消息進行篡改。文獻［10］提出的協(xié)議試圖使攻擊者在沒有標簽ID時，無法構(gòu)造出應(yīng)答消息。但如果攻擊者控制讀寫器給標簽發(fā)送特定的隨機數(shù)，并利用之前收集的信息可構(gòu)造出關(guān)鍵消息。

在以上的協(xié)議中，讀寫器僅起到了產(chǎn)生隨機數(shù)及傳遞數(shù)據(jù)的作用，而沒有參與到識別的過程中，并且當后端數(shù)據(jù)庫數(shù)據(jù)被攻擊者獲得后，將面臨安全及隱私危險。為了在不增加標簽成本的情況下提升整體系統(tǒng)的安全性，可以在讀寫器端增加操作來保障標簽可以被合法的讀寫器所讀取。下面給出固定ID機制的一個新協(xié)議。

2 一種使用口令的RFID識別協(xié)議

2.1 協(xié)議實現(xiàn)

在介紹所設(shè)計的協(xié)議前，先將文中常用的符號說明在表1中給出。

表1 符號說明

2.1.1 基本假設(shè)及系統(tǒng)初始狀態(tài)

假設(shè)后端數(shù)據(jù)庫和讀寫器都具備足夠的能力進行高強度密碼運算，如公鑰運算?？梢员Ｕ纤麄冎g的通信是安全的。而讀寫器與標簽之間的通信信道因通過無線的方式傳遞是不安全的。標簽具有一個隨機數(shù)發(fā)射器，可以進行XOR運算及F（）運算。

對于一個標簽，它所持有的秘密為ID和Key，后端數(shù)據(jù)庫對應(yīng)的為ID′和Key′。

讀寫器接受的合法用戶的口令為PWD，則ID、Key和ID′、Key′的關(guān)系為：

2.1.2 識別過程

讀寫器的接入認證。讀寫器聯(lián)系后端數(shù)據(jù)庫前需經(jīng)過認證，方式可以采用成熟的傳統(tǒng)口令認證方式。

標簽的識別過程如圖2所示。

1）讀寫器產(chǎn)生一個隨機數(shù)Rr，并發(fā)送給標簽。

2）收到隨機數(shù)Rr的標簽產(chǎn)生另一隨機數(shù)R t并準備消息M1、M2，之后將消息M1、M2發(fā)送給讀寫器：

后將M1′、M2′、Rr發(fā)送給后端數(shù)據(jù)庫。

4）后端數(shù)據(jù)庫收到讀寫器發(fā)送來的消息后，對于其存儲的所有標簽信息（IDi′，Keyi′）i＝1，2，3，…，n可計算對應(yīng)的可能的R ti：

如果滿足，則Rti為標簽所產(chǎn)生的隨機數(shù)，（IDi′，Keyi′）為標簽信息。

2.2 協(xié)議分析

2.2.1 安全性分析

依據(jù)文獻［12］中的攻擊者能力模型，假定攻擊者具備強大的攻擊能力。

未受保護的通信會比較容易受到被竊聽攻擊（Eavesdropping Attacks），欺騙攻擊（Spoofing Attacks）等。當攻擊者要攻擊的RFID系統(tǒng)，他／她有兩個選擇。一是他／她直接計算秘密，二是他／她在獲取一系列數(shù)據(jù)（監(jiān)聽之間的標簽和讀寫器通信，竊取的數(shù)據(jù)后端數(shù)據(jù)庫等）的基礎(chǔ)上，構(gòu)造出可以通過識別的消息。

1）機密性（Confidentiality）：ID和Key以不明文的方式進行傳遞，因此ID和Key的機密性可以保障。

2）匿名性（Anonymity）：在識別過程中，標簽不以明文的方式發(fā)應(yīng)答消息，而是通過隨機數(shù)的保護來現(xiàn)出應(yīng)答的隨機性以保障了標簽的匿名性。

3）重放攻擊（Replay attack）：因每次識別過程中，都有新產(chǎn)生的隨機數(shù)參與到保護密碼的過程中，使得同一標簽的應(yīng)答消息總是不同，且體現(xiàn)出隨機性。因此重放以前的消息是行不通的。

4）跟蹤（Traceability）：一個人或它持有一個物品帶有標簽，標簽會自動應(yīng)答讀寫器的請求，如果標簽回復(fù)固定的消息，如ID信息，則人可以被跟蹤定位。在這種情況下，標簽的ID變成了一種秘密，這與傳統(tǒng)的口令識別是不同的。協(xié)議運行時隨機數(shù)可以保證發(fā)送的消息都是變化的且不可預(yù)測的，因此可以防止跟蹤。

5）不可區(qū)分性（Indistinguishability）：消息的隨機性保證了當多標簽存在時，攻擊者無法區(qū)分在某一時刻是那個標簽在應(yīng)答讀寫器。

6）服務(wù)器數(shù)據(jù)竊?。↖mpersonate the Reader）：協(xié)議的運行由讀寫器開始，因此攻擊者可能利用暗中的讀寫器來發(fā)送請求在其讀寫范圍內(nèi)的標簽進行應(yīng)答。如果攻擊者竊取了服務(wù)器數(shù)據(jù)，但因為要判斷一個標簽還需要用戶的口令，因此攻擊者在竊取了服務(wù)器數(shù)據(jù)時依然無法對所讀取的標簽信息進行判斷。

7）計算秘密（Calculate the Secret）：Rr、M1和M2通過不安全的信道傳遞，對具有強大攻擊能力的攻擊者來說可視作明文。那么通過不安全的信道傳遞的M1和M2包含三個未知數(shù)：ID、Key和Rt。求解這三個未知數(shù)需求解形如下方程：

這對于攻擊者來說是困難的。

8）構(gòu)造消息（Message Construction）：攻擊者要構(gòu)造出消息和滿足服務(wù)器的驗證。假定攻擊者選擇特定的數(shù)R＊t作為標簽產(chǎn)生的隨機數(shù)，那么對于在ID、Key未知的情況下構(gòu)造出和且能通過服務(wù)器的檢查，這顯然是困難的。

圖2 協(xié)議

9）標簽數(shù)據(jù)泄露（Tag Data Leakage）：攻擊者可能利用暗中的讀寫器來發(fā)送請求在其讀寫范圍內(nèi)的標簽進行應(yīng)答。如果標簽數(shù)據(jù)泄露，但因為要判斷一個標簽還需要用戶的口令，因此攻擊者在竊取服務(wù)器數(shù)端標簽數(shù)據(jù)時依然無法對所讀取的標簽信息進行判斷。

2.2.2 性能分析

如前所假定，服務(wù)器端和讀寫器端具備強大的計算能力，而標簽不具備，它的性能是影響整個系統(tǒng)的關(guān)鍵所在。因此性能分析主要涉及通信、計算及存儲三部分內(nèi)容。

（1）通信：標簽端僅需要2輪通信，接收讀寫器端發(fā)送的隨機數(shù)，并發(fā)揮應(yīng)答數(shù)據(jù)。

（2）計算：標簽無需承擔(dān)高強度的計算，僅需進行產(chǎn)生隨機數(shù)、XOR和輕量的F（）運算，其運算要求低。

（3）存儲：標簽端僅需要ID和Key兩個秘密數(shù)據(jù)來完成整個識別過程。

2.3 討論

所給出的新協(xié)議是一個固定ID機制的單項識別協(xié)議，即后端數(shù)據(jù)庫（或讀寫器）對標簽的識別，而不具備標簽對后端數(shù)據(jù)庫的認證。對于RFID技術(shù)來說，當標簽發(fā)送了保護其ID信息的消息后，如果后端數(shù)據(jù)庫（或讀寫器）可識別該ID，則識別過程即可結(jié)束，而對于之后是否由標簽來認證后端數(shù)據(jù)庫（或讀寫器）已不再必須，因為標簽無力改變是否被正確的讀寫器所讀取這一結(jié)果。但如果是需要在認證后動態(tài)刷新ID信息的協(xié)議，則雙向認證是必須的。

3 結(jié)束語

安全性取決于多種因素，在保障安全性的同時要考慮成本投入問題。所給出的協(xié)議針對低成本被動式標簽，在讀寫器端增加操作以提高抵抗惡意讀寫器對標簽的暗中讀取，提高了RFID系統(tǒng)安全性。

［1］Protest against RFID［DB／OL］.http：／／www.spychips.com，2010－03－29.

［2］周永彬，馮登國.RFID安全協(xié)議的設(shè)計與分析［J］.計算機學(xué)報，2006，29（4）：81－89.

［3］S.E.Sarma，S.A.Weis and D.W.Engels.RFID Systems and Security and Privacy Implication［C］.Proceedings of the 4th International Workshop on Cryptographic Hardware and Embedded Systems，CA，USA：Springer LNCS.2523，2002，454－469.

［4］S.Weis，S.Sarma，R.Rivest，and D.Engels.Security and Privacy Aspects of Low－cost Radio Frequency Identification Systems［C］.Proceedings of the 1st International Conference on Security in Pervasive Computing，Boppard，Germany：Springer LNCS vol.2802，2003，201－212.

［5］M.Ohkubo，K.Suzuki，and S.Kinoshita.Hash－chain Based Forward－secure Privacy Protection Scheme for Low－cost RFID［C］.Proceedings of the 2004 Symposium on Cryptography and Information Security，Sendai，Japan，2004，719－724.

［6］D.Henrici and P.Muller.Hash－based Enhancement of Location Privacy for Radio－Frequency Identification Devices Using Varying Identifiers［C］.Proceedings of the 2nd IEEE Annual Conference On Pervasive Computing and Communications Workshops，Washington DC，USA：IEEE Computer Society，2004，149－153.

［7］K.Rhee，J.Kwak，S.Kim and D.Won.Challenge－Response Based RFID Authentication Protocol for Distributed Database Environment［C］.Proceedings of the 2nd International Conference On Security In Pervasive Computing.Boppard，Germany：Springer LNCS vol.3450，2005，70－84.

［8］Y.C.Lee，Y.C.Hsieh，P.S.You，and T.C.Chen.A New Ultralightweight RFID Protocol with Mutual Authentication［C］.Proceedings of the 2009 WASE International Conference on Information Engineering，Taiyuan，China：IEEE CS，2009：vol 2 of ICIE，58－61.

［9］J.C.Ha，S.J.Moon，J.M.G.Nieto and C.Boyd.Low－Cost and Strong－Security RFID Authentication Protocol［C］.EUC Workshops 2007，Taipei：Springer LNCS 4809，2007，795－807.

［10］B.Song and C.Mitchell.RFID Authentication Protocol for Low－cost Tags［C］.Proceedings of the First ACM Conference on Wireless Security.Virginia，USA：ACM Press，2008，140－147.

［11］B.Song，C.J.Mitchella，Scalable RFID Security Protocols supporting Tag Ownership Transfer［J］，Computer Communications，2011，34（4）：556－566.

［12］D.Dolev，and A.C.Yao，“On the Security of Public Key Protocols”.IEEE Transactions on Information Theory.1983，2（29）：198–208.

A method for RFID authentication protocol by using of simple password

LI Tong－liang1，2，3，WANG Xin－chuan1，4，CHENG Yu1，2，3

（1.HebeiComputerFederation，ShijiazhuangHebei050081，China；2.InstituteofAppliedMathematics，HebeiAcademyofSciences，ShijiazhuangHebei050081，China；3.HebeiAuthenticationTechnologyEngineeringResearchCenter，ShijiazhuangHebei050081，China；4.HebeiAcademyofSciences，ShijiazhuangHebei050081，China）

By using of RFID（Radio Frequency Identification）technology，we can identify an object and get its information conveniently and automatically，but it causes security and privacy problem for its exchange information without contacting and without notifying the tag owner via radio waves.In response to this situation，scholars proposed many authentication protocols.The cryptographic techniques based schemes are attended due to its flexibilities.For promoting the security guarantee，heavyweight cryptographic techniques can be employed，but it cost and it not fit the requirement of the RFID coats.In order to solve the problem，a method for RFID authentication protocol by using of simple password is given.The password is involved in the authentication process，and it is indispensable.This can resist the illegal reading of the RFID tags and promote the security.The input interface is on the RFID reader side，and it is not adding the tags burden.

RFID；Authentication protocol；Security；Privacy；Password

TP309

：A

1001－9383（2011）03－0014－05

2011－06－30

黎彤亮（1974－），男，四川青神人，博士研究生，副研究員，主要從事信息安全認證技術(shù)的研究.