謝國波,郭 龍

(廣東工業(yè)大學 計算機學院, 廣東 廣州 510006)

基于雙私鑰橢圓曲線加密的RFID身份認證協(xié)議

謝國波,郭 龍

(廣東工業(yè)大學 計算機學院, 廣東 廣州 510006)

為了確保RFID系統(tǒng)標簽數(shù)據(jù)的完整性和安全性，將雙私鑰橢圓曲線加密算法應用在RFID系統(tǒng)的身份認證協(xié)議中.選取兩個橢圓雙曲線基點，每個點對應一個私鑰，第一個基點用來隱藏RFID系統(tǒng)的標簽ID，防止追蹤攻擊；第二個基點隱藏隨機數(shù)，防止重放攻擊.用橢圓曲線加密算法對標簽數(shù)據(jù)的加密過程代替?zhèn)鹘y(tǒng)協(xié)議中的哈希函數(shù)對標簽數(shù)據(jù)的摘要過程，保證標簽數(shù)據(jù)的完整性.結果表明，協(xié)議可以有效保護標簽數(shù)據(jù)的完整性和安全性，防止偽裝閱讀器攻擊和偽裝后臺服務器攻擊.

RFID系統(tǒng); 雙私鑰; 橢圓曲線加密算法

近幾年，隨著計算機的快速發(fā)展，計算機對數(shù)據(jù)的處理能力空前提高，為物聯(lián)網(wǎng)技術的大規(guī)模普及奠定了堅實的基礎.物聯(lián)網(wǎng)(the Internet of Things,IOT) ：通過RFID(Radio Frequency Identification)射頻識別傳感器，無線通信等技術將傳感器設備與計算機互聯(lián)網(wǎng)結合，以構成一種物體與物體之間的網(wǎng)絡[1-3].射頻識別技術作為物聯(lián)網(wǎng)的重要技術之一[4]，已成為該領域?qū)W者廣泛研究的課題.

RFID系統(tǒng)設計的初衷是對應用完全開放.因此，攻擊者可以利用其通過無線信道傳輸數(shù)據(jù)的特點，在身份認證和數(shù)據(jù)讀取階段對RFID系統(tǒng)進行攻擊.大部分RFID系統(tǒng)因受標簽限制，防偽造和抗非法讀取能力非常弱，攻擊者可以很容易讀取或篡改標簽信息，偽造標簽，甚至可通過標簽對所有者進行追蹤.在現(xiàn)代大數(shù)據(jù)的環(huán)境下，標簽和閱讀器的計算能力和存儲空間都已經(jīng)不能滿足設計需求，人們往往通過網(wǎng)絡，將采集到的數(shù)據(jù)信息實時傳輸給計算能力較強的設備處理.比如，利用云技術處理有源標簽發(fā)送云空間的數(shù)據(jù).RFID系統(tǒng)所受到的安全威脅主要包括以下兩方面：(1) 在閱讀器和標簽之間通信的過程中，身份認證和數(shù)據(jù)信息交互階段的安全；(2) 在信息采集系統(tǒng)和后臺處理系統(tǒng)通信過程中，數(shù)據(jù)傳輸網(wǎng)絡的安全.

針對RFID的安全性問題,現(xiàn)階段的解決方案主要集中在協(xié)議認證和信息加密兩方面.文獻[5]證明橢圓曲線加密算法(ECC)適合于RFID系統(tǒng)，文中分析了RFID系統(tǒng)的特點，設計出適合RFID標簽的橢圓曲線密碼處理器.文獻[6]基于哈希函數(shù)提出一種改進的RFID雙向認證協(xié)議.但是，協(xié)議沒有考慮到數(shù)據(jù)完整性問題，也無法保證數(shù)據(jù)在互聯(lián)網(wǎng)傳輸?shù)陌踩?文獻[7]提出基于橢圓曲線密碼(ECC)的RFID雙向認證協(xié)議，論證了橢圓加密算法在RFID上實現(xiàn)的可行性與安全性.但此協(xié)議不能應用到RFID標簽數(shù)據(jù)信息加密過程中，攻擊者很容易對標簽進行跟蹤攻擊.文獻[8]主要針對數(shù)據(jù)丟失的情況，設計了一種從云存儲系統(tǒng)中恢復RFID標簽數(shù)據(jù)的協(xié)議.不足之處是將云系統(tǒng)作為后臺，而沒有考慮傳輸過程中數(shù)據(jù)的安全性問題.文獻[9]將橢圓曲線私鑰交換協(xié)議與基于嵌入明文的加密方案相結合，將橢圓曲線加密應用在認證協(xié)議和數(shù)據(jù)信息加密兩部分，保證了閱讀器和標簽之間數(shù)據(jù)交換的完整性，卻忽略了服務器和閱讀器之間的通信安全性.

本文通過分析已有認證方案，針對RFID系統(tǒng)的特點，提出一種基于雙私鑰橢圓曲線加密的RFID系統(tǒng)身份認證協(xié)議.考慮到標簽和閱讀器之間、閱讀器和后臺服務器之間的通信特點，提出雙私鑰雙基點的解決方案，在數(shù)據(jù)從標簽到閱讀器的過程中隱藏標簽ID；在數(shù)據(jù)從閱讀器到后臺服務器的過程中，將標簽數(shù)據(jù)加密傳輸，解決哈希函數(shù)對信息摘要不準確的問題，保證了標簽數(shù)據(jù)的完整性和安全性.本協(xié)議可以預防RFID系統(tǒng)中閱讀器和后臺服務器的偽裝攻擊.

1 預備知識

1.1 RFID系統(tǒng)

RFID系統(tǒng)主要由3部分組成：(1) RFID標簽，包含標簽ID、產(chǎn)品ID、產(chǎn)品信息以及完整性校驗碼；(2) RFID讀取器，用于讀取和寫入標簽數(shù)據(jù)；(3) 后臺服務器，包含后臺處理器和數(shù)據(jù)庫兩部分，分別用于處理標簽數(shù)據(jù)和存放標簽數(shù)據(jù).

在RFID系統(tǒng)中，由于標簽的存儲空間和計算能力有限，標簽成為整個系統(tǒng)中最易攻破的環(huán)節(jié).在一些低成本的應用場合，RFID系統(tǒng)安全性與標簽協(xié)議的成本相互制約，對標簽的成本比較敏感，如何在資源有限的條件下，設計出高效算法來保護RFID系統(tǒng)的安全，成為設計整個系統(tǒng)的關鍵部分[10-12].

本文以表1為例進行闡述.表1為某一類產(chǎn)品的RFID標簽包含的所有信息，標簽ID是標簽身份識別的唯一標識.產(chǎn)品號是指某一類產(chǎn)品的編號，但是在某些情況下幾個不同標簽的產(chǎn)品號有可能相同.文中標簽產(chǎn)品數(shù)據(jù)DATA由D1，D2和D3組成，完整性校驗碼(Integrity Check Code，ICC)是由校驗碼生成器根據(jù)RFID標簽的ID和產(chǎn)品的數(shù)據(jù)字段生成的校驗碼[8].

表1 RFID標簽存儲內(nèi)容信息

1.2 ECDLP問題

橢圓曲線是有Weierstrass齊次方程確定的平面曲線[13]，表示為

y2+a1xy+a3y=x3+a2x2+a4x+a6(modp)

橢圓曲線加密算法是一種公開密鑰算法，它的加密原理是基于有限區(qū)域(通常稱作F域)上橢圓曲線離散對數(shù)問題的難解性，橢圓曲線在加密之前必須被離散化.橢圓曲線離散對數(shù)問題ECDLP(E11ipticCurveDiscreteLogarithms)：已知橢圓曲線E和素數(shù)p，則對于R=KG,可以通過隨機數(shù)K和基點獲得R，但是，反過來很難獲取K和基點值.所以，在橢圓曲線身份認證協(xié)議里，往往把R作為公鑰傳輸.圖1是橢圓曲線加原理圖.

圖1 橢圓曲線加密算法原理圖

1.3 符號標識

本文中認證協(xié)議的詳細標號如表2所示.

表2 符號描述

2 雙私鑰安全協(xié)議

本文將雙私鑰的橢圓曲線身份認證應用到標簽和閱讀器的通信過程中，隱藏標簽ID，預防了跟蹤攻擊；將橢圓曲線加密算法應用到閱讀器和后臺服務的通信過程中，預防偽裝閱讀器攻擊和和偽裝后臺攻擊，維護數(shù)據(jù)的完整性.文中認證協(xié)議的過程如圖2所示.

圖2 改進的協(xié)議

步驟1 閱讀器向標簽發(fā)送Query請求.

步驟2 標簽收到請求后，發(fā)送基點G1和隨機校驗位I1到閱讀器，G1點是由標簽ID哈希映射產(chǎn)生，公式為H(G)=Hash(ID)，由于后臺和標簽的ID對外不可見，本步驟可以預防重放攻擊和跟蹤攻擊.

步驟3 閱讀器接收到G1和I1后，判斷G1是否在橢圓曲線上，如果收到的G1在橢圓曲線上，則標簽有效，發(fā)送G1和I1給后臺.如果G1不在橢圓曲線上或者閱讀器多次重復得到G1，則RFID系統(tǒng)受到了標簽偽裝攻擊和重放攻擊，結束本次認證.由于使用哈希映射，攻擊者在不知道映射規(guī)則的前提下，無法反向推導出標簽ID.

步驟4 服務器收到G1和I1后，解析G1對應的標簽ID，將I1存入后臺數(shù)據(jù)庫相應標簽ID的信息中.隨機數(shù)生成器RNG隨機生成k(1

步驟5 標簽獲得R和I1后，驗證I1是否和ICC中的對應位一致，如果一致則計算得x=xR(modp)，x是公鑰R的x軸坐標；生成兩個簽名,公式為s1=KH+xr1(modp)和s2=KH+xr2(modp)；對標簽中的數(shù)據(jù)(DATA)信息D1、D2和D3，進行計算M=EKPU(ID||DATA||I),N=M⊕R，使用M主要是為了給數(shù)據(jù)加密，增強在網(wǎng)絡傳輸中的安全性，防止攻擊者截獲數(shù)據(jù)，使用N是為了防止相同ID的標簽發(fā)生數(shù)據(jù)碰撞.將五元組(x,s1,s2,M,N)發(fā)送到閱讀器.

步驟6 閱讀器收到后，更新一次I1記做I2，記錄I2并將I2和五元組(x,s1,s2,M,N)一起發(fā)送到服務器.

步驟7 服務器先記下I2，然后判斷是否認證成功，當v=x，說明R有效.證明過程如下：

(1) 計算Q(xQ,yQ)=H-1(s1×G1+s2×G2-xQ)；

(2)v≡xQ(modp);

Q=H-1(s1×G1+s2×G2-xQ)=H-1(KHG1+xr1G1+KHG2+xr2G2-xr1G1-xr2G2)=H-1(KHG1+KHG2)=KG1+KG2=R,驗證成功后，對M解密DKpr(M)，判斷后臺數(shù)據(jù)庫中相應ID存儲的數(shù)據(jù)是否和ID，DATA以及I1嚴格一致.如果一致則判斷N=M⊕R；如果相等則認證成功，向閱讀器發(fā)送相應ID的標簽數(shù)據(jù)以及I2.驗證I2是否有效，如果有效，則發(fā)送數(shù)據(jù)給閱讀器并將I2替換I1，認證過程結束；如果不同則認證失敗，注銷接收到的數(shù)據(jù).

3 安全性與效率分析

3.1 安全性分析

為了保證整個RFID系統(tǒng)的安全性，傳統(tǒng)協(xié)議主要預防針對RFID標簽的攻擊，但是攻擊者同樣可以攻擊閱讀器和劫持后臺服務器.本文提出的協(xié)議針對幾種常見的攻擊方式有以下特點：

(1) 偽造攻擊.攻擊方可以假冒RFID系統(tǒng)的三方中的任一方進行攻擊.如果RFID標簽被假冒,假標簽必須實現(xiàn)與RFID系統(tǒng)的閱讀器進行通信，偽造出檢驗位I1，I2和標簽ID.本協(xié)議中，當閱讀器第一次請求驗證時，所傳輸?shù)膮?shù)是G1，此時的G1是ID的哈希映射，攻擊者無法獲得真實標簽ID，標簽中也有一個映射結果.在選定橢圓曲線情況下，二者相同的可能性很小，即使二者相同，攻擊者仍需在認證階段模擬發(fā)送五元組(x,s1,s2,M,N).在加密信息M中包含真正的標簽ID，如果標簽ID不能通過后臺服務器的嚴格認證，將取消本次認證.s1，s2，R，G2都是由隨機數(shù)的參與生成，不同認證過程的值都不相同.若攻擊者強行編造數(shù)據(jù)，不可能通過閱讀器和后臺服務器的認證；如果閱讀器被假冒，假閱讀器無法知道標簽ID就無法產(chǎn)生G1，無法與后臺服務器通信，服務器端也不能產(chǎn)生G2和公鑰R，標簽返回的隨機校驗位I1失效，攻擊失?。蝗绻俪趾笈_服務器,假服務器產(chǎn)生的隨機數(shù)k無效，生成的G2無效，產(chǎn)生錯誤的公鑰R，錯誤的校驗位I1，不能通過閱讀器的驗證.文中雙私鑰雙基點點的設計用意就是為了防止閱讀器和后臺服務器被假冒攻擊.

(2) 跟蹤攻擊.攻擊者在通信過程中針對某一個標簽ID進行跟蹤.本協(xié)議涉及標簽ID的通信過程有：① 閱讀器發(fā)送Query和G1給標簽，而G1是標簽ID的哈希映射得來，攻擊者無法通過G1獲得標簽ID；② 閱讀器向后臺服務器發(fā)送簽名五元組(x,s1,s2,M,N)時，標簽ID和DATA同樣經(jīng)過橢圓曲線加密，確保了標簽ID的安全性，攻擊者無法獲取標簽ID.綜上，在本文RFID系統(tǒng)中，攻擊者不能獲得標簽ID.跟蹤攻擊失敗.

(3) 重放攻擊.攻擊者截獲某標簽和閱讀器之間的通信數(shù)據(jù)，不斷向標簽和閱讀器發(fā)送其截獲的數(shù)據(jù)，企圖從標簽和閱讀器反饋的數(shù)據(jù)中找到規(guī)律.在本協(xié)議步驟3中，初次驗證成功時I1是一個隨機非零值，每一個驗證過程都可能不相同，在步驟4中的k，G2和R，都是直接或者間接通過隨機數(shù)獲得，攻擊者在不能完全知道k，G2和R的情況下，將在步驟7中無法通過認證，重放攻擊失敗.

(4) 數(shù)據(jù)完整性攻擊.傳統(tǒng)RFID系統(tǒng)的橢圓曲線認證協(xié)議采用對數(shù)據(jù)進行摘要的方法.然而，這種方法不夠嚴謹，很容易被攻破，導致數(shù)據(jù)庫被攻擊者修改，破壞原有數(shù)據(jù)的完整性.如果本文的協(xié)議收到數(shù)據(jù)完整性攻擊，步驟7中服務器用私鑰對M解密DKpr(M)，產(chǎn)生的ID，DATA以及I1，將在數(shù)據(jù)庫中無法嚴格對應，后臺服務器會丟掉這部分數(shù)據(jù)，保護數(shù)據(jù)的完整性.

將本文協(xié)議與傳統(tǒng)協(xié)議比較，如表3所示.

表3 協(xié)議安全性比較

表3中√表示有效防御，×表示無效防御.由表3可知大部分協(xié)議都能抵御偽裝標簽攻擊，本文提出的協(xié)議考慮了其他協(xié)議未考慮的情況，能抵御偽裝閱讀器攻擊和偽裝服務器攻擊，保證了數(shù)據(jù)的完整性，在需要計算機網(wǎng)絡傳輸數(shù)據(jù)的情況下，也能保護數(shù)據(jù)安全,大大增加了系統(tǒng)的安全性.

3.2 效率分析

文獻[13]和文獻[14]分別對身份認證方案的指數(shù)操作、雙線性對操作、乘除法操作計算時間進行了測試.文獻[15]基于Microsoft Visual C++ 6.0平臺，在計算機硬件參數(shù)為處理器Intel(R) Penti-um(R) 4 CPU，主頻2GHz，內(nèi)存1G環(huán)境下，針對哈希運算、異或運算、加密解密運算的計算時間進行測試,最終得出的各類計算的平均運算時間如表4所示，表5為各方案處理時間的對比.

表4 各操作計算平均時間

表5 各方案處理時間

分析可知，在一次完整認證過程中，本文協(xié)議總的處理時間為：2Th+15T⊕+9Tm+2Tb+2Ts.其中標簽計算量為：1Th+6T⊕+4Tm+1Tb.閱讀器：3T⊕+1Ts.后臺計算量為：1Th+6T⊕+5Tm+1Tb+1Ts. 表5將本文協(xié)議與幾個典型的身份認證方案在總的處理時間上做對比，結果表明：文中所提出的雙私鑰橢圓曲線認證協(xié)議與大部分方案相比，在計算量上差別不大，但是本文協(xié)議具有更高的安全性.

4 結語

文中所提出的協(xié)議將傳統(tǒng)的橢圓曲線加密應用在RFID系統(tǒng)認證協(xié)議中，考慮到偽裝閱讀器攻擊和偽裝服務器攻擊，提出了雙私鑰橢圓曲線加密匿名認證協(xié)議，在沒有增加計算量的情況下，大大增加了RFID系統(tǒng)的安全性.

[1] International Telecommunication Union.ITU Internet Reports 2005: The Internet of Things[R].2005,73(2):133-137.

[2] Gustavo R G, Mario M O, Carlos D K. Early infrastructure of an Internet of Things in Spaces for Learning [C]∥Eighth IEEE Internat-ional Conference on Advanced Learning Technol-ogies.Santander,Cantabria:IEEE,2008,27(4):381-383.

[3] Amardeo C,Sarma,J G.Identities in the future internet of things[J].Wireless Pers Commun,2009.49:353-363.

[4] 王寶云.物聯(lián)網(wǎng)技術研究綜述[J].電子測量與儀器學報,2009,23(12):34-38.

Wang B Y.Review on internat of things[J].Journal of Electronic Measurement and Instrument,2009,23(12):34-38.

[5] Yong Ki Lee,Sakiyama K,Batina L,et al.Elliptic curve based security processor for RFID[J].IEEE Transactions on Computers,2008,57(11):1514-1527.

[6] 張兵,馬新新,秦志光.基于Hash運算的RFID認證協(xié)議分析和改進[J].計算機應用與研究,2011,28(11):4311-4314.

Zhang B,Ma X X, Qin Z G.Analysis and improvement of Hash-based RFID authentication protocol [J].Application Research of Computers,2011,28(11):4311-4314.

[7] 康鴻雁.一種基于ECC的RFID雙向認證協(xié)議設計[J].計算機應用與軟件,2012,29(9):79- 84.

Kang H Y. An ECC-based design of mutual authentication protocol for RFID[J].Computer Applications and Software,2012,29(9):79- 84.

[8] 李志科，劉竹松.基于云存儲技術的RFID標簽數(shù)據(jù)校驗與恢復[J].廣東工業(yè)大學學報,2014,31(3):137-142.

Li Z K,Liu Z S. A method of RFID tag data validation and recovery based on cloud storage technology[J].Journal of Guangdong University of Technology,2014,31(3):137-142.

[9] 吳學慧,牛志華,王潮.基于橢圓曲線密碼的RFID安全協(xié)議[J].計算機工程與設計，2010,31(24):24- 29.

Wu X H,Niu Z H,Wang C.Security protocol of RFID based on elliptic curve cryptography[J]. Computer Engineering and Design,2010,31(24):24- 29.

[10] 未有彬.一種改進的RFID物聯(lián)網(wǎng)系統(tǒng)加密技術[J].軟件導刊,2011,10(8):24- 27.

Wei Y B.An improved encryption technology of RFID network system[J].Software Guide,2011,10(8):24- 27.

[11] 楊庚,王江濤,程宏兵,等.基于身份加密的無線傳感器網(wǎng)絡密鑰分配方法[J].電子學報, 2007, 35(1): 180-185.

Yang G,Wang J T,Cheng H B,et al. A key establish scheme for WSN based on IBE and diffie-Hellman algorithms[J].Chinese Journal of Electronic, 2007, 35(1): 180-185.

[12] Tuyls P，Batina L.RFID tags for anticounterfeiting[C]∥Proceedings the Cryptographers Trackat the RSA Conference.Berlin:Springerer,2006:115-131.

[13] 劉振鵬，吳鳳龍，尚開雨，等.基于TPM的云計算平臺雙向認證方案[J].通信學報，2012，33(22)：20- 24.

Liu Z P,Wu F L,Shang K Y,et al.Mutual authenticat-ion scheme based on the TPM cloud computing platform[J].Journal on Communications， 2012，33(22)：20- 24.

[14] Cao X, Kou W,Du X. A pairing-free identity-based authenticated key agreement protocol with minimal message exchanges [J]. Information Sciences，2010，180(15)：2895- 2903.

[15] 趙廣強, 凌捷.基于雙線性對和隨機數(shù)的云計算環(huán)境匿名認證協(xié)議[J].廣東工業(yè)大學學報,2014,31(3):67-71.

Zhao G Q，Ling J.Anonymous authentic-ation protocol based on bilinear pairing and nonce in cloud computing[J].Journal of Guangdong University of Technology,2014,31(3):67-71.

Security Protocol of RFID Based on Double Private Key Elliptic Curve Cryptography

Xie Guo-bo, Guo Long

(School of Computers, Guangdong University of Technology, Guangzhou 510006, China)

In order to ensure the safety of the RFID tag data integrity and RFID system, it is proposed that in the elliptic curve encryption double private key and double G-spot authentication protocol of RFID system, the protocol will hide tag ID in the first G point to prevent track attack. The process of Elliptic curve encryption algorithm to tag data encryption will replace the abstract process of tag data with hash function, at the same time calculate second G point. The results show that, the protocol can not only protect the integrity and security of tag data, but also prevent attacks of spoofing reader and the server.

radio frequency identification(RFID) systems; double private key; elliptic curve encryption algorithm

2015- 01- 21

廣東省重大科技專項(2012A080103010);廣東省重點實驗室建設專項(2011A091000046);粵港關鍵領域重點突破項目(2012A080107007)

謝國波(1977-)，男，教授, 博士，主要研究方向為嵌入式系統(tǒng)、混沌保密通訊.

10.3969/j.issn.1007- 7162.2015.03.007

TP309

A

1007-7162(2015)03- 0034- 05