王 沅 龍桂鈴

1(內蒙古警察職業(yè)學院公安管理系 內蒙古 呼和浩特 010000)2(宜春學院網(wǎng)絡與教育技術中心 江西 宜春 336000)

0 引 言

射頻識別技術不需要與物體直接接觸，即可讀出物體中存放的信息[1]。射頻識別技術在運用過程中，用到最為廣泛的當屬RFID系統(tǒng)。典型的RFID系統(tǒng)可以抽象為三個節(jié)點和兩條通信信道的模型，具體為：標簽、讀寫器、服務器；標簽和讀寫器之間信道、讀寫器和服務器之間信道[2-4]。

在上述模型中，標簽與服務器之間不會進行直接通信，而是由讀寫器作為中間轉發(fā)裝置，讀寫器起到轉發(fā)信息作用[5]。由于標簽和讀寫器之間信道是無線方式，導致其易被竊聽，存在一定的安全缺陷，研究人員一般認為該信道不安全；讀寫器與服務器之間的通信信道基于有線方式，比如采用光纖作為傳輸介質，該類介質一般放于室內，攻擊者難以進行監(jiān)聽等行為，具備較好的安全性，研究人員一般將其認定為安全信道[6-7]。

RFID系統(tǒng)在廣泛運用的過程中，也逐漸產生諸多問題，其中最為突出的是安全性問題[8]。無線方式通信基于本身固有的缺陷，使得讀寫器與標簽之間的通信消息不再是百分之百安全，認證協(xié)議的出現(xiàn)則解決了該問題。

1 相關工作

朱峰等[9]提出認證協(xié)議，通過通信實體之間的多次認證，可以在一定程度上確保隱私信息的安全，但協(xié)議仍無法滿足抵抗重放攻擊的需求。

Shen等[10]設計了一個認證協(xié)議，在通信消息加密過程中混入隨機數(shù)，可抵抗攻擊者的追蹤攻擊，但協(xié)議無法抵抗攻擊者發(fā)起的異步攻擊。

徐揚等[11]設計出一個認證協(xié)議，用串空間模型對協(xié)議的安全性進行了證明，但是標簽一端因需要產生隨機數(shù)，需要具備隨機數(shù)產生器且認證過程復雜，使得協(xié)議的推廣受到制約。

趙太飛等[12]提出的協(xié)議無法滿足標簽位置隱私的安全需求，攻擊者通過監(jiān)聽等手段，能夠定位通信實體的位置，從而實施追蹤攻擊，獲取通信實體的隱私信息。

張興等[13]設計了一個認證協(xié)議，本文對該協(xié)議進行分析，其存在安全隱患，如：協(xié)議無法抵抗攻擊者發(fā)起的異步攻擊；未給出有關密鑰更新的算法。

文獻[14-18]提出了其他幾種關于RFID雙向認證的協(xié)議。

上述文獻中協(xié)議存在的不足總結如下：(1) 計算量較大，無法滿足低成本無源標簽的計算能力；(2) 認證過程復雜，應用范圍受到局限；(3) 存在安全缺陷，無法提供協(xié)議所需的安全需求。本文在總結上述協(xié)議基礎上，提出一種能抵抗攻擊者去同步化攻擊的射頻識別認證協(xié)議。

2 文獻[13]協(xié)議分析

鑒于篇幅有限，該協(xié)議在文獻[13]中有詳細步驟描述，在此不再贅述。

文獻[13]協(xié)議主要存在兩個方面的安全問題：(1) 通讀協(xié)議，未能看出協(xié)議有給出共享密鑰、ID等參數(shù)信息的更新方法；(2) 協(xié)議無法提供抗異步攻擊的安全需求。

通讀協(xié)議發(fā)現(xiàn)：協(xié)議中讀寫器一端僅存放當前一輪通信的密鑰和ID，沒有存放上一輪通信用到的密鑰和ID。鑒于此，給出如下攻擊模型過程，即可使協(xié)議中標簽與讀寫器之間失去同步性，即協(xié)議無法抵抗異步攻擊。

系統(tǒng)中的通信實體之間進行第n輪信息的交換與傳輸，且第n輪通信正常進行；攻擊者竊聽該輪會話過程，可獲取該輪會話所有消息。

第n輪通信后，標簽一端信息如下：ID記作為IDn，m記作為mn(哈希函數(shù)加密用到的參數(shù)m)；讀寫器一端信息如下：ID記作為IDn，m記作為mn。從上述兩個通信實體中存放的信息可以看出，此時兩者之間還保持同步。

待第n輪通信完成，在開始第(n+1)輪通信過程中，攻擊者執(zhí)行去同步化攻擊步驟，即攻擊者切斷通信協(xié)議過程中的最后一個步驟；同時攻擊者將監(jiān)聽第n輪通信過程所獲取的H(ID′,i)參數(shù)發(fā)送給標簽。標簽對收到的信息進行驗證，結合原協(xié)議會發(fā)現(xiàn)，攻擊者能夠通過標簽的驗證，且標簽在驗證完成之后，將開始進行信息的更新。

第(n+1)輪通信后，因標簽端信息有更新，而讀寫器端未進行信息更新，因此標簽一端信息如下：ID記作為IDn+1，m記作為mn+1(哈希函數(shù)加密用到的參數(shù)m)；讀寫器一端信息如下：ID記作為IDn，m記作為mn。從上述兩個通信實體中存放的信息可以看出，此時兩者之間不再保持一致性，即IDn≠IDn+1、mn≠mn+1。

當進行第(n+2)輪通信之時，標簽用存放的當前密鑰和ID信息進行加密計算，再發(fā)給讀寫器；讀寫器收到消息，對其進行驗證，此時讀寫器驗證標簽是失敗的，因在第(n+1)輪通信后，標簽與讀寫器兩者之間的密鑰和ID已失去同步性。

至此，攻擊者發(fā)起的異步攻擊成功，使得標簽與讀寫器之間失去同步性。

3 協(xié)議設計

通過上述分析可得：文獻[13]協(xié)議之所以無法抵抗攻擊者的異步攻擊，主要存在以下兩個方面的缺陷。

(1) 讀寫器一端僅存放當前認證用到的密鑰和ID，沒存放上一輪認證用到的密鑰和ID，從而易造成攻擊者發(fā)起異步攻擊；(2) 在通信最后一步中，標簽對讀寫器發(fā)送過來的信息未進行統(tǒng)計，凡驗證通過，即進行信息更新，從而造成攻擊者異步攻擊成功。

本文將從上述兩個方面考慮，提出改進的能夠抵抗異步攻擊的認證協(xié)議。本文協(xié)議主要創(chuàng)新如下：(1) 讀寫器一端存儲當前和上一輪認證用到的信息，當前信息驗證失敗之時，會調用存放的上一輪認證信息再次進行驗證，從而抵抗攻擊者的異步攻擊；(2) 標簽一端引入信息統(tǒng)計器Q，對最后一步讀寫器發(fā)送給標簽的信息個數(shù)進行統(tǒng)計，當且僅當Q=0時，標簽一端才會進行信息的更新，否則不進行任何信息更新，從而抵抗攻擊者發(fā)起的異步攻擊。

3.1 符號解釋

本文協(xié)議涉及到的各符號含義解釋如表1所示。

表1 符號含義

字合成運算在文中統(tǒng)一用符號Syn(X,Y)表示，其定義如下：X和Y均屬于二進制序列，長度均為L位；取二進制序列X的前M位和二進制序列Y的后(L-M)位組合成一個新的二進制序列Z，即Z=Syn(X,Y)。其中M的取值為二進制序列X的漢明重量或二進制序列Y的漢明重量。

為進一步保證加密的安全性，加密過程中M的取值具體選擇哪個參量的漢明重量將具體分析；同時加密過程中參與運算的二進制序列X和Y每輪不盡相同，使得每輪中漢明重量的值也不盡相同，從而增大攻擊者的破解難度。為進一步對字合成運算的理解，此處取一實例進行講解，比如：取長度L=8，X=0110 0001，Y=1001 0101，同時約定M的值取Y的漢明重量，則M=4，那么Z=Syn(X,Y)=0110 0101，具體過程如圖1所示。

圖1 字合成運算示意圖

3.2 協(xié)議描述

協(xié)議通信過程中各加密消息計算公式如表2所示。

表2 計算公式

協(xié)議的通信過程如圖2所示。

圖2 協(xié)議的通信過程

結合圖2協(xié)議的具體通信步驟描述如下：

Step1讀寫器中隨機數(shù)產生器隨機產生一個隨機數(shù)a，通過表2中的運算法則計算得到A和B，然后發(fā)給標簽。

Step2標簽收到消息，通過a=A⊕key計算得到一個隨機數(shù)，暫記作為a′；接著用a′及id計算得到B′，在比較B′與接收到的B是否相等。若相等，則可說明a′=a，且讀寫器通過標簽的驗證，然后標簽產生隨機數(shù)b，通過表2中的運算法則計算得C和D，并發(fā)送給讀寫器；若不等，得出讀寫器是偽造結論，協(xié)議將停止。

其中B′=Syn(A⊕key,id)。

Step3讀寫器收到消息，通過b=C⊕id計算得到一個隨機數(shù)，暫記作為b′；接著用b′及key、a計算得到D′，再比較D′與接收到的D是否相等。

若相等，則可說明b′=b，且標簽通過讀寫器的驗證；然后讀寫器計算得到通信消息E；接著開始更新信息keyold=keynew、keynew=Syn(a,b)；并把E發(fā)送給標簽。若不等，則讀寫器將查找keyold，將keyold替換keynew再次進行計算得到D″，再次比較D″與接收到的D是否相等。如果相等，表明標簽與讀寫器之間先前某次通信后暫時失去同步性，通過本次認證后，兩者將再次恢復同步；然后讀寫器計算得到通信消息E；接著開始更新信息keynew=Syn(a,b)；并把E發(fā)送給標簽。如果還不相等，協(xié)議結束。

其中D′、D″的計算過程分別如下：D′=Syn(a⊕(C⊕id),(C⊕id)⊕keynew)、D″=Syn(a⊕(C⊕id),(C⊕id)⊕keyold)。

Step4標簽收到信息，先對收到的消息E進行統(tǒng)計，查看當前與E消息相對應的計數(shù)器Q的值。若Q=0，則表示標簽第一次接收到該消息E，標簽計算得到E′，接著用E′與接收到的E進行比較。如果E′≠E，表明標簽驗證讀寫器失敗，協(xié)議結束；如果E′=E，認證過程完成，更新信息key=Syn(a,b)。若Q≠0，表示標簽之前已經(jīng)至少接收到該消息E一次，為防止攻擊者的異步攻擊，標簽一端不進行信息更新。

4 本文協(xié)議分析

4.1 安全性分析

安全性分析部分可以從雙向認證、重放攻擊、異步攻擊、前向安全、假冒攻擊、暴力破解、追蹤攻擊等多種常見的攻擊方式角度對協(xié)議的安全性進行分析。其中雙向認證、重放攻擊、前向安全、假冒攻擊、暴力破解、追蹤攻擊等多種常見的攻擊方式，已有相關文獻作出分析，本文不再贅述。因此，本節(jié)選擇對異步攻擊方式進行重點分析。

本文協(xié)議能夠抵抗攻擊者的異步攻擊，主要原因如下：

1) 讀寫器一端存放keynew和keyold兩個參數(shù)的數(shù)值。當讀寫器收到標簽發(fā)送來的消息之后，會首先用keynew對接收到的消息進行正確性驗證。只有驗證失敗時，讀寫器一端會再次用keyold對接收到的消息進行正確性驗證。當且僅當上述兩次驗證均失敗的時候，才會得出標簽是偽造結論，從而避免了攻擊者發(fā)起的異步攻擊。相比較文獻[13]協(xié)議僅存放當前的通信共享密鑰，本文協(xié)議存放本輪和上一輪共享密鑰，使得協(xié)議中讀寫器與標簽之間，即便是上一輪通信中暫時失去一致性，在本輪認證中又可以恢復一致性。

2) 標簽一端引進一個新的參量，即計數(shù)器Q。該計數(shù)器Q的功能是：完成讀寫器發(fā)送給標簽信息E的個數(shù)統(tǒng)計。標簽每次在接收到讀寫器發(fā)送來的信息E之后，先在Q里面查找與此次接收到E信息相對應的Q的數(shù)值。

如果沒有查找到，即此時Q=0，表示本次接收到的信息E是標簽一端第一次收到；接著標簽就可以對信息E進行驗證，在驗證其正確性之后，就可以進行后續(xù)操作，同時將該次信息E相對應的計數(shù)器Q的值修改為1。

如果查找到，即此時Q≠0，表示此次接收到的信息E在此次之前標簽一端至少已經(jīng)接收到一次；此次再次接收到該信息E，不排除是攻擊者重放的信息E，而發(fā)起的異步攻擊操作。為確保協(xié)議能夠抵抗攻擊者可能發(fā)起的異步攻擊，在該情況下，標簽一端將不進行任何操作，即標簽一端不會再次進行共享密鑰等參數(shù)的更新操作。因標簽一端未進行任何參數(shù)的更新，使得標簽一端與讀寫器一端通信認證用到的共享密鑰等參數(shù)信息仍是一致的，因此攻擊者通過重放消息E而發(fā)起的異步攻擊失敗。

基于上述分析，本文協(xié)議能夠抵抗異步攻擊。各協(xié)議之間的安全性對比如表3所示。

表3 安全性比對

4.2 協(xié)議形式化證明分析

基于BAN邏輯形式化分析步驟一般從四個角度進行：(1) 對證明的對象進行理想化建立模型；(2) 對證明的對象進行初始化假設；(3) 給出需要證明的對象目標；(4) 給出嚴謹?shù)耐评碜C明過程[19]。用BAN邏輯形式化對文中協(xié)議證明過程具體如下：

(1) 協(xié)議的理想化模型。

消息①R→T:A,B

消息②T→R:C,D

消息③R→T:E

(2) 協(xié)議的初始假設。

P5：R|≡#(a)，R相信R產生的隨機數(shù)a的新鮮性。

P6：T|≡#(a)，T相信R產生的隨機數(shù)a的新鮮性。

P7：R|≡#(b)，R相信T產生的隨機數(shù)b的新鮮性。

P8：T|≡#(b)，T相信T產生的隨機數(shù)b的新鮮性。

P9：R|≡T|?C，R相信T對C的管轄權。

P10：R|≡T|?D，R相信T對D的管轄權。

P11：T|≡R|?A，T相信R對A的管轄權。

P12：T|≡R|?B，T相信R對B的管轄權。

P13：T|≡R|?E，T相信R對E的管轄權。

(3) 協(xié)議的安全目標。

G1：R|≡C，R相信C。

G2：R|≡D，R相信D。

G3：T|≡A，T相信A。

G4：T|≡B，T相信B。

G5：T|≡E，T相信E。

(4) 協(xié)議的分析推理。

目標G1證明完成。

G2、G3、G4、G5的證明推導過程與的G1證明推到過程相似，故省略。

4.3 協(xié)議性能分析

認證協(xié)議中的通信實體由標簽、服務器、讀寫器三部分組成。其中讀寫器與服務器看為一個整體，具備計算能力強、存儲空間大的特征；而標簽則不具備該特征。鑒于上述，選標簽作為對象進行性能分析。本文協(xié)議與其他此類協(xié)議進行性能分析的結果如表4所示。

表4 協(xié)議的性能分析

表4中：pa表示產生隨機數(shù)需要的計算量；pb表示哈希函數(shù)加密計算需要的計算量；pc表示按位運算需要的計算量；pd表示模運算的計算量；pe表示字合成運算加密需要的計算量。約定協(xié)議中用到的參數(shù)長度為l位。

從計算量角度進行分析：上述各種不同的計算所對應的計算量亦不同，大抵可以按照如下由大到小的順序進行排序：pd>pb>pa>pe>pc。其中pd、pb兩者運算量相差不大，且pd、pb、pa均屬于輕量級的計算。本文協(xié)議選擇計算量為超輕量級的位運算進行加密，相對于文獻[11-13]來說，標簽一端的計算量有較大幅度的減少；同時本文設計協(xié)議能夠彌補上述文獻中協(xié)議存在的安全缺陷。從性能分析角度表明，本文協(xié)議具備一定的使用和推廣價值。

5 結 語

本文在重點分析文獻[13]協(xié)議后，指出其存在無法抵抗異步攻擊的缺陷，在此基礎之上，提出改進的能抵抗異步攻擊的認證協(xié)議。該協(xié)議采用字合成運算對通信消息進行加密，能最大限度降低通信實體的計算量；讀寫器端通過存放前后兩輪的共享密鑰來抵抗攻擊者發(fā)起的異步攻擊，同時標簽一端引入計數(shù)器Q，對通信最后一輪中讀寫器發(fā)送給標簽的消息E進行計數(shù)，根據(jù)Q的值，選擇進行計算更新操作或放棄計算更新操作。經(jīng)典協(xié)議之間的安全對比表明本文協(xié)議具備較好的安全；邏輯形式化分析協(xié)議驗證了協(xié)議具備嚴謹?shù)耐评磉^程；對協(xié)議進行性能分析，表明協(xié)議具備低計算量的特征。未來研究的方向是將協(xié)議應用在具體的RFID系統(tǒng)中，對具體的通信時間及計算量進行研究分析。