王 悅 樊 凱

1(西安文理學(xué)院信息工程學(xué)院 西安 710065) 2 (西安電子科技大學(xué)網(wǎng)絡(luò)與信息安全學(xué)院 西安 710071) (ywang@xawl.edu.cn)

隨著云計算、大數(shù)據(jù)以及新一代移動通信技術(shù)的普及應(yīng)用，物聯(lián)網(wǎng)技術(shù)也得以快速發(fā)展，該技術(shù)可應(yīng)用的領(lǐng)域也越來越多.物聯(lián)網(wǎng)是一種通過信息傳感設(shè)備，把任何物品與互聯(lián)網(wǎng)相連接，按約定的協(xié)議進行信息交換和通信，以實現(xiàn)智能化識別、定位、跟蹤、監(jiān)控和管理的網(wǎng)絡(luò).無線射頻識別(radio frequency identification, RFID)技術(shù)是物聯(lián)網(wǎng)的關(guān)鍵技術(shù)之一，也在諸多物聯(lián)網(wǎng)場景中被廣泛應(yīng)用.RFID是一種非接觸式自動識別技術(shù)，具有快速高效等特點，可以快速、實時和精確地識別、采集并處理相關(guān)對象的信息.近年來，國內(nèi)的RFID技術(shù)發(fā)展迅速，已被廣泛應(yīng)用于公共交通、自動收費站、社會保障等領(lǐng)域[1].

在票據(jù)領(lǐng)域，RFID廣泛應(yīng)用于獲取電子票據(jù)的信息認證和隱私保護等方面，是電子票據(jù)應(yīng)用技術(shù)的重要組成部分.通過將RFID技術(shù)應(yīng)用于傳統(tǒng)的票據(jù)，電子票據(jù)比紙質(zhì)的標(biāo)簽?zāi)芴峁└咝?、便利的服?wù)[2].但在節(jié)約工作成本和提高效率的同時，也帶來了一系列潛在的安全威脅.

在實際應(yīng)用中，使用RFID技術(shù)的電子票據(jù)體現(xiàn)了物聯(lián)網(wǎng)的智能化識別和檢測.但這一過程存在多種安全問題，比如身份隱私泄露和安全認證等問題.由于電子標(biāo)簽和讀卡器之間通過無線鏈路來交換數(shù)據(jù)信息，這種無線通信工作于開放環(huán)境中，其固有的脆弱性使得傳輸?shù)臄?shù)據(jù)信息被完全地暴露出來，容易受到外部的干擾和攻擊，使標(biāo)簽的隱私信息存在極大的安全隱患[3]，如攻擊者可以通過跟蹤電子標(biāo)簽，追蹤用戶的位置，從而泄露用戶的位置信息[4].此外，攻擊者還可以通過竊聽獲取到電子標(biāo)簽的隱私信息，并對信息分析后進行攻擊，也就進一步影響了后續(xù)的安全認證.

RFID的安全問題制約著電子票據(jù)系統(tǒng)的發(fā)展和應(yīng)用，解決RFID安全問題的有效手段是引入具有隱私保護的安全認證機制.與此同時，由于電子標(biāo)簽的計算能力、存儲空間、通信容量、邏輯門的數(shù)量和電源供給能力等多方面的資源限制，一些成熟復(fù)雜的加密算法不能應(yīng)用在RFID安全認證系統(tǒng)中，因此輕量級安全認證協(xié)議得到了廣泛的應(yīng)用，也成為了當(dāng)前電子票據(jù)安全認證協(xié)議研究的重點.

為解決RFID技術(shù)在電子票證中存在的安全問題，通過分析研究，本文提出了一個超輕量級的RFID安全認證方案，使得電子票證的隱私保護和安全認證等方面的需求得以保障.本方案采用計算復(fù)雜度較簡單的邏輯運算用于信息的加密，在保障系統(tǒng)信息安全的同時，可以降低計算開銷，能夠更好地適用于無源標(biāo)簽系統(tǒng).方案采用時間戳同步升級機制，可有效解決失同步攻擊和重放攻擊等安全問題，并可有效防止信息泄露.另外，為了提高信息匹配的速度，后端數(shù)據(jù)庫采用時間戳匹配標(biāo)簽信息的方法，極大地提高了數(shù)據(jù)搜索效率.

1 相關(guān)工作

物聯(lián)網(wǎng)技術(shù)正在快速發(fā)展，在不同的應(yīng)用場景中，人們的安全意識和需求也都在逐步提升.物聯(lián)網(wǎng)的安全主要是指保護在其系統(tǒng)中軟硬件的數(shù)據(jù)免受泄露、篡改、破壞等安全問題，從而使得整個系統(tǒng)穩(wěn)定、安全且高效地運行.

由于RFID技術(shù)在物聯(lián)網(wǎng)中應(yīng)用廣泛，系統(tǒng)應(yīng)用的安全問題一直以來都是該領(lǐng)域研究人員重點關(guān)注的問題.隨著RFID技術(shù)的發(fā)展，為了進一步擴大輕量級的RFID系統(tǒng)的應(yīng)用場景和應(yīng)用領(lǐng)域，一些低成本的RFID安全認證方案先后陸續(xù)被提出.早在2003年，文獻[5]就曾基于Hash函數(shù)提出過Hash-lock協(xié)議.在該方案中，標(biāo)簽的身份信息是匿名的，盡管如此，匿名化的身份信息在每輪會話過程中是保持不變的，在保護用戶身份隱私的同時，卻失去了抵抗追蹤的能力.該協(xié)議整體設(shè)計較為簡單，安全防御能力還有待提升.隨后， Hash-chain協(xié)議[6]被提出，該協(xié)議是基于Hash-lock改進的方案，盡管解決了之前協(xié)議的不足，卻也帶來了一些新的安全問題，比如無法抵抗重放攻擊等.

2006年，RFID輕量級安全認證協(xié)議SPAP[7]被提出，但該協(xié)議不僅不能抵抗重放攻擊，且容易泄露標(biāo)簽的敏感信息.2007年提出的超輕量級RFID認證協(xié)議(SASI)[8]能抵抗重放攻擊，并且提供強認證性和強集成性，卻不能有效抵抗拒絕服務(wù)攻擊.一旦有攻擊者反復(fù)認證IDS信息，會使數(shù)據(jù)庫一直處于忙碌狀態(tài)，帶來資源消耗嚴重，從而影響正常數(shù)據(jù)的通信.此外，和SPAP協(xié)議相似，SASI協(xié)議也容易泄露標(biāo)簽的敏感信息.2012年，文獻[9]提出了基于時間戳的認證協(xié)議，該協(xié)議實現(xiàn)了雙向認證.此外，在該協(xié)議中，標(biāo)簽的ID信息在傳送時都經(jīng)過了Hash運算，可以保證標(biāo)簽身份的機密性.但是該協(xié)議存在一定的缺陷，不能有效抵抗去同步攻擊，甚至在失同步的情況下還會進一步遭受重放攻擊.2013年文獻[10]提出了一個抵抗去同步攻擊的協(xié)議，但該協(xié)議數(shù)據(jù)庫中對同一個標(biāo)簽存儲數(shù)據(jù)過多且不便于查找.以上這些方案或多或少均存在一些安全不足，因此如何設(shè)計更安全、成本更低的方案仍然是當(dāng)前研究的重點.針對RFID技術(shù)在電子票據(jù)應(yīng)用場景中存在的安全問題，本文提出了一種安全高效的輕量級認證方案，可以有效地防止重放攻擊、去同步攻擊等常見的安全威脅，并極大地提高了數(shù)據(jù)的搜索效率.

2 輕量級RFID電子票據(jù)安全認證方案

2.1 電子票證的安全特征

一個完善的票證防偽認證系統(tǒng)應(yīng)當(dāng)具備匿名訪問、票證防偽、防追蹤等3種基本的特征[11].

1) 匿名性

票證和讀卡器之間是通過無線鏈路來交換數(shù)據(jù)信息的，而無線通信固有的脆弱性使得傳輸?shù)臄?shù)據(jù)信息完全地暴露出來，容易受到外部的干擾和攻擊，導(dǎo)致一些信息被泄露.而票證中有很多敏感信息，一旦泄露會給用戶造成一定的威脅，如用戶的身份信息、當(dāng)前位置等.在讀卡器對票證進行讀寫和通信的過程中要對重要信息進行加密，不能出現(xiàn)有關(guān)這些數(shù)據(jù)的明文信息，以保證信道中信息傳輸?shù)臋C密性.票證在與外界設(shè)備的交互過程中也不能直接將自身敏感信息直接傳輸，而是要經(jīng)過一些匿名處理，實現(xiàn)對票證的隨機化訪問控制，即使攻擊者通過無線信道截獲了交互消息，在未知解密密鑰和解密方法的情況下也無法獲知票證中的重要信息.而在認證的過程中，每次票證請求時，請求消息中的認證標(biāo)識符都不相同，從而實現(xiàn)了用戶身份的匿名性[12].

2) 票證防偽

RFID技術(shù)的票證中都內(nèi)嵌有獨立的芯片，由于芯片制造過程中產(chǎn)生的差異本身具有不可模仿和復(fù)制的特性，所以芯片的復(fù)制難度極高，并且芯片內(nèi)存儲有唯一的ID，結(jié)合通信前的相互認證過程，沒有通過認證的票證不能進行下一步操作.芯片ID和雙向認證共同作用使票證具有防偽的功能[13].

一般說來，RFID的安全隱私問題與非法的讀卡器從合法的標(biāo)簽上讀取重要信息有關(guān).因此，解決RFID安全問題的有效手段是引入安全認證機制.即在電子標(biāo)簽和讀卡器進行重要信息交換之前先通過一定的手段進行雙向認證，認證通過后才可以進一步操作[14].

3) 防追蹤

由于票證發(fā)送的信息中可能包含某種固有的或者有規(guī)律的能唯一標(biāo)識身份的信息，如ID序列號，攻擊者可以根據(jù)票證響應(yīng)讀卡器的響應(yīng)信息對票證進行跟蹤分析.因此，當(dāng)用戶沒有改變時，攻擊者就可以通過跟蹤票證追蹤用戶的位置，從而泄露用戶的位置信息[15]，因此，在協(xié)議交互的過程中不能使用ID的明文信息，需要將ID進行變換，混淆ID信息，防止追蹤.

2.2 方案設(shè)計

輕量級RFID電子票據(jù)安全認證方案在電子標(biāo)簽與讀卡器進行有效的數(shù)據(jù)傳輸前，會先進行雙向認證，只有通過認證后,電子標(biāo)簽才會把身份信息等數(shù)據(jù)發(fā)送給讀卡器.雙方傳輸?shù)臄?shù)據(jù)信息用異或、置換變換、循環(huán)移位等超輕量級邏輯運算進行加密.電子標(biāo)簽和服務(wù)器中存儲有相應(yīng)的時間戳信息，既可以防止失同步問題的出現(xiàn)，又可以提高檢索效率.在認證的過程中，一旦發(fā)現(xiàn)不能匹配的信息，電子標(biāo)簽、讀卡器和后臺服務(wù)器可隨時終止協(xié)議.

由于認證期間，只需要傳輸時間戳作為認證的標(biāo)識，可以很大程度上減少電子標(biāo)簽的開銷.

在電子標(biāo)簽向后臺服務(wù)器傳輸數(shù)據(jù)時，沒有直接傳輸明文ID或者ID的部分明文，而是將ID進行加密、變換后再進行傳輸，防止標(biāo)簽的重要信息泄露.

時間戳的更新分別在電子標(biāo)簽和服務(wù)器中完成，更新后的數(shù)據(jù)沒有在不安全信道上傳輸，被攻擊者竊聽到的幾率大大減小.

2.3 符號說明

為方便方案描述，協(xié)議中需要用到的符號和操作說明如表1所示:

Table 1 Notations表1 符號說明

2.4 方案介紹

本方案涉及到3個實體：電子標(biāo)簽、讀卡器和后臺服務(wù)器.讀卡器和服務(wù)器之間的數(shù)據(jù)交互基于有線信道，故而是安全可靠的；而讀卡器和電子標(biāo)簽之間的數(shù)據(jù)傳輸是在無線開放環(huán)境中進行的，因此是不安全的.

在電子標(biāo)簽和后臺服務(wù)器進行通信的過程中，標(biāo)簽運算只涉及加法、異或、置換、循環(huán)移位4種簡單的位操作.置換變換可以有效地應(yīng)用在無源標(biāo)簽上，減少標(biāo)簽的計算開銷.

2.4.1 置換變換

定義1. 置換變換Per(A,B).假設(shè)A，B是2個均為l位長的字符串，且

A=a1a2…al,ai∈{0,1},i=1,2…,l,

B=b1b2…bl,bj∈{0,1},j=1,2…,l,

B中1的個數(shù)為m，即:

bk1=bk2=…=bkm=1,bkm+1=bkm+2=…=bkl=0,

其中，1≤k1

例如A=10110101，B=11010110，即可得到Per(A,B)=01001101.

設(shè)指針pA和pB分別指向字符串A，B，且同步地從字符串的第1位到最后一位，當(dāng)pB指向1時，就將pA指向的位取反并復(fù)制到第3個字符串中，直到pA，pB都同時指向最后一位，如圖1陰影部分所示.然后pA，pB同時從最后一位向第1位同步移動，當(dāng)pB指向0時，就將pA指向的位復(fù)制到第3個字符串中，直到pA，pB都同時指向第1位，計算結(jié)果如圖1所示Per(A,B).

Fig. 1 Permutation operation圖1 置換變換

2.4.2 協(xié)議步驟

本方案包括2個階段：初始化階段和認證階段.

1) 初始化階段.該階段實現(xiàn)標(biāo)簽和后臺服務(wù)器存儲數(shù)據(jù)的初始化.

① 標(biāo)簽的初始化.系統(tǒng)為每個標(biāo)簽指定唯一的l位長的身份認證信息(Secure ID,SID)和本次認證的密鑰信息Kl.將SID,Kl和時間戳Tl存儲在每個標(biāo)簽中.

② 后臺服務(wù)器的初始化.系統(tǒng)將每個電子標(biāo)簽的SID信息、Kl和時間戳Tl存儲在后臺服務(wù)器Database中，并將上次成功認證的時間戳To和上次成功認證的密鑰Ko置為0.

2) 認證階段.方案的認證過程如圖2所示.協(xié)議共分為6步，每一步的認證過程如下所示：

① 讀卡器發(fā)送詢問信號.電子標(biāo)簽接收到詢問信號后，將上次更新的時間戳信息Tl發(fā)送給讀卡器，讀卡器將Tl和隨機數(shù)R1發(fā)送給后臺數(shù)據(jù)庫.

② 搜索后臺數(shù)據(jù)庫中保存的時間戳信息.如果Tl匹配到的是上次成功認證的時間戳信息To，那么可能是標(biāo)簽上次認證未更新時間戳，而密鑰信息是否更新未知，為了保證標(biāo)簽和數(shù)據(jù)庫中數(shù)據(jù)的一致性，將Ko的值賦給Kl；如果Tl匹配到的是更新后的時間戳Tn，則將Kn的值賦給Kl.通過加密運算Per(R1,Kl)對R1進行加密后傳輸.

③ 讀卡器接收到后臺數(shù)據(jù)庫發(fā)送的消息P后，將P發(fā)送給電子標(biāo)簽.標(biāo)簽通過相應(yīng)的逆置換變換P-1得到R1，產(chǎn)生隨機數(shù)R2，計算V=Per(Kl⊕R2,R1),SID′=Rot(SID⊕V,R2)，R′=f(SID′,1,R1)‖f(SID′,R2,l).電子標(biāo)簽將計算得到的信息V和R′發(fā)送給讀卡器.

④ 讀卡器將V和R′發(fā)送給后臺數(shù)據(jù)庫.后臺數(shù)據(jù)庫從V中得到R2，計算SID′=Rot(SID⊕V,R2)，得到f(SID′,1,R1)‖f(SID′,R2,l)，將其與標(biāo)簽發(fā)送的數(shù)據(jù)R′進行比較是否匹配，如果匹配成功，則計算R″=f(SID′,R1,R2)，將R″發(fā)送給讀卡器.然后更新To←Tl,Ko←Kl，Kn←Rot(Kl⊕R1,R1)，Tn←Tl+Per(Kn,R1).

⑤ 讀卡器將R″發(fā)送給電子標(biāo)簽.標(biāo)簽計算f(SID′,R1,R2)，并與R″比較，如果相等，則發(fā)送“OK”給讀卡器，然后更新Kl←Rot(Kl⊕R1,R1)，Tl←Tl+Per(Kl,R1)；否則發(fā)送“No find”信息給讀卡器.

⑥ 如果讀卡器收到的是“OK”信息，那么就將信息轉(zhuǎn)發(fā)給后臺數(shù)據(jù)庫，數(shù)據(jù)庫將發(fā)送SID信息給讀卡器；否則，讀卡器終止協(xié)議.

在協(xié)議認證的過程中，如果有多個電子標(biāo)簽同時對讀卡器的詢問信號做出響應(yīng)，那就會產(chǎn)生干擾，影響認證的進行.因此在本協(xié)議中使用BMSA(breadth-first-search m-ary split algorithm)來解決標(biāo)簽碰撞問題[16].

Fig. 2 Ultra-lightweight RFID electronic ticket authentication scheme in IoT圖2 物聯(lián)網(wǎng)中超輕量級RFID電子票據(jù)安全認證方案

3 安全性分析

本文對SPAP協(xié)議、SASI協(xié)議和本文提出的協(xié)議進行了分析比較，3種方案的比較如表2所示.SPAP協(xié)議中，電子標(biāo)簽中的SID信息僅僅通過簡單的取子串和異或的方法就進行發(fā)送，一旦被攻擊者竊聽到，就容易泄露相應(yīng)的ID信息.在SASI協(xié)議中，由于ID信息是以明文的形式在無線鏈路中傳輸，因此也容易造成信息泄露.本方案中后臺數(shù)據(jù)庫是用時間戳信息搜索電子標(biāo)簽的，標(biāo)簽的ID信息得到保護.本方案在安全性方面具有7個特點：

1) 標(biāo)簽?zāi)涿也豢勺粉?在整個協(xié)議的認證期間，攻擊者能獲取到的值只有Tl,P,V,R′,R″.而Tl只有時間戳的意義，不包含其他有關(guān)電子標(biāo)簽身份的信息.對于系統(tǒng)來說，時間戳只是起到便于后臺數(shù)據(jù)庫搜索標(biāo)簽的作用.所以對攻擊者來說，即使截獲了時間戳，也不能最終通過和后臺數(shù)據(jù)庫之間的認證過程.而P,V,R′和R″均會受到隨機數(shù)的影響，也無法追蹤.

Table 2 Comparison of Various Authentication Protocols表2 安全認證協(xié)議比較

2) 雙向認證.后臺服務(wù)器通過Tl和R′實現(xiàn)對電子標(biāo)簽的認證，電子標(biāo)簽通過R″實現(xiàn)對后臺數(shù)據(jù)庫和讀卡器的認證.只有存儲密鑰K的標(biāo)簽和數(shù)據(jù)庫才能完成對R′,R″的認證.

3) 防止重放攻擊.攻擊者可能會截獲標(biāo)簽和讀卡器之間傳輸?shù)南?，但這些消息依賴于每次認證都會更新的密鑰和隨機數(shù).所以即使攻擊者重放消息，也不能通過數(shù)據(jù)庫和標(biāo)簽的認證.

4) 防止去同步攻擊.后臺數(shù)據(jù)庫中不僅存儲當(dāng)前通信需要的時間戳、密鑰，還存儲著上次認證成功的時間戳和密鑰.防止R″被攻擊者截獲導(dǎo)致標(biāo)簽更新失敗后合法的標(biāo)簽不能通過再次認證的問題.

5) 防止隱私泄露.電子標(biāo)簽和讀卡器間傳輸?shù)男畔er(R1,Kl)，Per(Kl⊕R2,R1)是加密后的數(shù)據(jù)，因為很多對Kl,R1都會得到相同的Per(R1,Kl)值，所以即使攻擊者截獲Per(R1,Kl)，也不能計算出隨機數(shù)R1和密鑰Kl的值.同理通過Per(Kl⊕R2,R1)也不能得到R1,R2和Kl.

6) 前向安全性.后臺數(shù)據(jù)庫和電子標(biāo)簽使用隨機數(shù)分別更新時間戳和密鑰信息.因此，即使當(dāng)前的密鑰泄露，攻擊者也不能推測出以前的密鑰信息.

7) 后向安全性.即使攻擊者獲取到后臺數(shù)據(jù)庫和電子標(biāo)簽之間當(dāng)前傳輸?shù)慕换バ畔,V,R′和R″，也不能從當(dāng)前信息中推測出更新電子標(biāo)簽的信息Kl，因此不能更新假冒標(biāo)簽的信息.

4 性能分析

本文提出的協(xié)議只需要標(biāo)簽進行簡單的邏輯運算、位運算，可大大減少對標(biāo)簽的軟硬件要求.下面將詳細論述本方案中標(biāo)簽和后臺服務(wù)器的開銷.

1) 標(biāo)簽的通信開銷.在本協(xié)議中，電子標(biāo)簽只涉及隨機數(shù)發(fā)生器，簡單的加法+、異或XOR⊕、循環(huán)移位Rot、置換變換Per等操作，計算簡單高效.

2) 標(biāo)簽的存儲開銷.在本協(xié)議中，身份信息SID、時間戳Tl、密鑰信息Kl都是l位的，那么標(biāo)簽共需要3l位的空間存儲信息.

Fig. 3 Authentication time versus the number of tags圖3 認證時間和標(biāo)簽數(shù)量的關(guān)系圖

5 仿真分析

本文采用MATLAB軟件對協(xié)議進行模擬仿真.圖3和圖4分別對認證時間和攻擊次數(shù)進行了仿真，將SASI協(xié)議、SPAP協(xié)議與本方案進行了分析比較.

Fig. 4 The number of attacks versus the length of l圖4 攻擊次數(shù)和l長度的關(guān)系圖

由圖3可知，隨著數(shù)據(jù)庫中存儲標(biāo)簽個數(shù)的增加，標(biāo)簽通過后臺數(shù)據(jù)庫認證的時間也隨之增加.在后臺數(shù)據(jù)庫認證標(biāo)簽的時間開銷方面，本文提出的協(xié)議的認證時間較短、認證速度較快，具有較好的性能.由圖4可知，隨著每個標(biāo)簽中SID，Kl長度的增加，為了獲取標(biāo)簽的隱私信息需要攻擊的次數(shù)也在不斷增加，可見本文提出的協(xié)議安全性較高，抵抗攻擊性較強.

6 總 結(jié)

物聯(lián)網(wǎng)旨在實現(xiàn)萬物相連，將傳統(tǒng)票證電子化也是將其物聯(lián)網(wǎng)化的一種應(yīng)用.針對物聯(lián)網(wǎng)中RFID技術(shù)在電子票據(jù)應(yīng)用中存在的安全問題，本文對現(xiàn)有的RFID認證方案進行了優(yōu)化與改進，提出了一種輕量級安全高效的認證方案.該方案實現(xiàn)了電子標(biāo)簽和讀卡器間的雙向認證，具有機密性和標(biāo)簽?zāi)涿?，可有效抵抗重放攻擊、失同步攻擊，同時具有前向安全性，基本滿足了低成本RFID系統(tǒng)的要求.另外，性能分析和仿真結(jié)果均表明，該方案在保證一定安全性的同時，具有較高的性能和較低的資源消耗.