丁潔 王澤眾

摘要：對基于哈希函數(shù)的RFID身份認證協(xié)議進行了簡要的介紹，對多個協(xié)議的安全性能進行了詳細的分析和比較，指出其存在的安全缺陷，并提出相應(yīng)的改進思路。

關(guān)鍵詞：無線射頻識別；哈希函數(shù)；身份認證

DOI：10.3969/j.issn.1005-5517.2016.1.007

引言

無線射頻識別（Radio Frequency ldentification，RFID）是一種非接觸式的自動識別技術(shù)，可以視為無線版本的條形碼，具有使用時間長、讀取精度高、能夠加密標簽數(shù)據(jù)、數(shù)據(jù)容量更大、操作便捷等優(yōu)點。RFID技術(shù)在生活中的應(yīng)用日趨廣泛，其安全與隱私問題也日益受到關(guān)注，比如偽造標簽、非法訪問等。身份認證是保證信息安全的關(guān)鍵技術(shù)之一，由于RFID系統(tǒng)中標簽的存儲空間和計算能力有限、難以進行復雜的數(shù)據(jù)加、解密運算，因此輕量級的RFID身份認證協(xié)議成為當前研究的熱點之一。

現(xiàn)有的輕量級RFID身份認證協(xié)議多數(shù)基于哈希函數(shù)、其中比較典型的有：啥希鎖協(xié)議^[1]、隨機啥希鎖協(xié)議^[2]、哈希鏈協(xié)議^[3]等，這幾個協(xié)議都存在無法保障用戶隱私、標簽容易追蹤等安全隱患。對此、Shen等人提出了一種基于匿名機制的RFID身份認證協(xié)議ARAP（Anonymous RFID AuthenticationProtoc01）^[4]。本文將對多個RFID身份認證協(xié)議進行簡要介紹，著重對其安全性能進行討論和比較。

1協(xié)議簡介

1.1哈希鎖協(xié)議

哈希鎖協(xié)議采用哈希函數(shù)實現(xiàn)簡單的訪問控制，工作原理如圖1所示：閱讀器存儲每個標簽的訪問密鑰Key，并生成metaID=hash（key），寫入標簽。標簽接收到閱讀器的訪問請求時，發(fā)送metaID，閱讀器則查出相應(yīng)的key發(fā)給標簽。標簽計算并判斷hash（key）與metaID是否相同，若相同，則把自己的ID信息發(fā)給閱讀器。

1.2隨機哈希鎖協(xié)議義

隨機哈希鎖是哈希鎖協(xié)議的改良，工作原理如圖2所示：當收到閱讀器的訪問請求時、標簽先生成一個隨機數(shù)R、并和計算的h（IDkIIR）-起發(fā)給閱讀器。閱讀器將此信息轉(zhuǎn)送給后臺數(shù)據(jù)庫，后臺數(shù)據(jù)庫則需要窮舉所有標簽的JD_i來計算h（ID_iIIR），直至找到計算值與接收到的哈希值相同的ID_i，閱讀器將此JD_i發(fā)回，對標簽進行解鎖和訪問。

1.3哈希鏈協(xié)議

在哈希鏈協(xié)議中，標簽和閱讀器共享兩個哈希函數(shù)H和G，H用來進行更新，G用來計算響應(yīng)消息，具體過程如圖3所示，S為共享的初始隨機標識符。在收到閱讀器的查詢請求時，標簽返回ai=G（Si），同時更新當前的Si為Si+1=H（Si），準備接受閱讀器的下一個訪問請求。

1.4 ARAP協(xié)議

在ARAP協(xié)議中，閱讀器R和標簽T都擁有一個偽隨機數(shù)發(fā)生器，每個標簽T都與后端數(shù)據(jù)庫DB共享一個初始秘密X_T，DB能夠根據(jù)T的假名P遍歷出初始共享的秘密X_T，實現(xiàn)對T的身份認證。具體認證過程如圖3所示：

（1）R→T：R向T發(fā)送認證請求Query和隨機數(shù)r_R；

（2）T→R：T計算s=h（P⊕x_T）和M=h（r_T⊕r_A⊕P）⊕S，并向R發(fā)送消息{r_T，P，M）1乍為應(yīng)答，其中X_T是T與R互相共享的秘密；

（3）R→DB：R向DB發(fā)送消息{r_T，r_R，P，M}；

（4）DB→R：DB收到消息后，計算S=h（P⊕x_T）和M=h（r_T⊕r_A⊕P⊕S'，驗證M與M是否相等。若相等，則通過認證，DB計算N=h（M⊕s）發(fā)送給R。否則，認證失敗，協(xié)議終止。

（5）R→T：R收到N后轉(zhuǎn)發(fā)給T，T計算N=h（M⊕S），驗證N與N是否相等，若相等，則R通過認證，T更新假名P，否則認證失敗，協(xié)議終止。

2協(xié)議的安全和性能分析

2.1協(xié)議的安全性分析

哈希鎖協(xié)議為標簽提供初步的訪問控制，可在一定程度上保護標簽數(shù)據(jù)，抵抗非法訪問攻擊^[5]。但由于每次標簽響應(yīng)時均使用固定的metaID、攻擊者可將此當作對應(yīng)標簽的別名、跟蹤標簽及其攜帶者。此外，密鑰key通過明文傳輸，攻擊者容易竊取，并可以通過記錄、計算組合（metaID，key，ID），在與合法標簽或者閱讀器的信息交互中進行假冒攻擊。

隨機哈希鎖協(xié)議采用基于隨機數(shù)的詢問/應(yīng)答機制，可防止標簽被跟蹤，保護其隱私。但由于標簽的返回消息不包含能夠唯一確定本次會話的標識，攻擊者可以此進行重放和假冒攻擊。再者，每確認一個標簽身份都需要遍歷數(shù)據(jù)庫所存的所有ID，認證過程耗時較多，且容易遭受拒絕服務(wù)攻擊。因此哈希鎖協(xié)議的可擴展性較差，只適用于小規(guī)模應(yīng)用。

在哈希鏈協(xié)議中，標簽使用不同的標識符響應(yīng)閱讀器的詢問，以確保前向安全性，但無法抵抗假冒閱讀器的攻擊。此外，閱讀器收到標簽的響應(yīng)后，需要計算數(shù)據(jù)庫中所有標簽標識符的哈希值來與之匹配。若標簽被攻擊者惡意掃描多次、則將導致窮舉匹配時標簽的認證時間過長、系統(tǒng)無法正常工作。因此，哈希鏈協(xié)議也只適合小規(guī)模的應(yīng)用，且無法抵抗重放和拒絕服務(wù)攻擊。

ARAP協(xié)議能夠?qū)崿F(xiàn)匿名雙向認證，標簽使用了大量假名來防止被跟蹤，能夠很好地保障用戶的隱私，且協(xié)議每執(zhí)行一次，假名P就隨之更新，能夠有效抵抗重放攻擊。在通常情況下，ARAP協(xié)議執(zhí)行時保持標簽和閱讀器共享的信息同時更新，能夠抵抗拒絕服務(wù)攻擊。

但是，ARAP協(xié)議也存在因異或不當而被攻擊者假冒的安全隱患^[6-7]。在ARAP協(xié)議的第2步中，標簽T計算了S=h（P⊕x_T）和M=h（r_T⊕r_A⊕P）⊕S，其中P為標簽的匿名，X_T為共享秘密，r_A和r_T分別為攻擊者與標簽生成的偽隨機數(shù)。若攻擊者截取了消息M，r_A，r_T，P，利用異或運算的性質(zhì)（a⊕a=O，a⊕O=a），則可直接計算M⊕h（r_T⊕r_A⊕P）=h（r_T⊕r_A⊕P）⊕S⊕h（r_T⊕r_A⊕P）=s，從而獲取S，就相當于獲得了閱讀器向標簽進行認證的鑰匙N=h（M⊕S），攻擊者可假冒閱讀器向標簽發(fā)送N，從而獲取標簽的信任，成功進行假冒攻擊。

綜上，可通過表1對上述協(xié)議的安全性進行比較，其中ARAP協(xié)議比其他3個協(xié)議復雜，安全性能也略勝一籌。無法抵抗假冒攻擊是ARAP協(xié)議的重大缺陷。

2.2協(xié)議的性能分析

在RFID系統(tǒng)中，標簽的存儲空間和計算能力有限，認證協(xié)議在解決安全性問題的同時，也要盡可能減少標簽的計算量和存儲容量，以降低標簽的成本。在此對典型的RFID身份認證協(xié)議進行對比，比較各協(xié)議中標簽、閱讀器和后端數(shù)據(jù)庫的計算量，結(jié)果如表2所示。其中，“H”表示Hash運算的次數(shù)，“X”表示異或運算的次數(shù)，“R”表示產(chǎn)生隨機數(shù)的次數(shù)，“N”表示數(shù)據(jù)庫存儲的標簽數(shù)量，“j”表示Hash鏈的長度。

通過比較，啥希鎖協(xié)議的計算量是最小的，但其安全性得不到保證。隨機啥希鎖協(xié)議和哈希鏈協(xié)議的計算量與標簽數(shù)量成正比，且執(zhí)行過程需要遍歷計算，只適合小規(guī)模應(yīng)用。ARAP協(xié)議的計算量相對較大，但其并沒有采用計算開銷大的操作，協(xié)議中的哈希運算、異或運算、隨機數(shù)運算標簽都夠?qū)崿F(xiàn)，在RFID系統(tǒng)可執(zhí)行的能力范圍之內(nèi)，具有較高的可行性。

3 結(jié)束語

本文主要對基于哈希函數(shù)的四種RFID身份認證協(xié)議進行了簡要介紹和安全性能分析，與哈希鎖協(xié)議、隨機哈希鎖協(xié)議和哈希鏈協(xié)議相比，ARAP協(xié)議的安全性能較好，但存在因異或不當而遭受假冒攻擊的安全隱患。對此，需要對部分異或運算和驗證操作進行修改，將標簽用戶的秘密隱藏入哈希函數(shù)中，使攻擊者無法通過異或運算實施假冒攻擊。ARAP協(xié)議的全面分析和改進工作將在后繼的科研工作中展開。

參考文獻：

[1]SARMA S E，WEIS S A， ENGELS D W. RFID systems and security and privacy implications[C].//Proceedings of the 4th International Workshop on Cryptographic Hardware and Embedded Systems， New York： Springer-Verlag，2002：454-469

[2]WEIS S A.SARMA S E.RIVEST R L.et al. Security and privacy aspects of low-cost radio frequency identification systems[Jl. Security ln Pervasive Computing， 2004，28（2）：201-212

[3]OHKUBO M， SUZUKI K. KINOSHITA S， Hash-chain based forward-secure privacy protection scheme for low-cost RFID[C].//Proceedings of 2004 Symposium on Cryptography and Information Security（SCIS 2004）， Berlin： Springer-Verlag，2004：719-724

[4]SHEN J. CHOI D， MOH S， et al. A novel anonymous RFID authentication protocol providing strong privacy and security[C].// Proceedings of 2010 International Conference on Multimedia Information Networking and Security， Nanjing： ACM Press，2010：584-588

[5]陸桑璐，謝磊射頻識別技術(shù)：原理、協(xié)議及系統(tǒng)設(shè)計[M]北京：科學出版社2014

[6]田蕓，陳恭亮，李建華針對RFID身份認證協(xié)議-ARAP協(xié)議的攻擊及改進[J]中國電子科學研究院學報，2011，6（6）：556-560

[7]李景峰，郭衛(wèi)鋒對ARAP認證協(xié)議的攻擊及改進[J]武漢大學學報（理學版），2012，58[6）526-530