王小驥，楊 競，劉 瑤，張 娟，劉 賀

（中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引 言

射頻識別（Radio Frequency Identification，RFID）技術[1]是一種利用無線射頻信號近距離、非接觸式識別目標和交換數(shù)據(jù)的雙向通信傳輸技術，是物聯(lián)網(wǎng)感知層最具代表性的通信技術之一，已廣泛應用于物流倉儲、交通管理、工業(yè)/辦公自動化、身份識別等領域。

RFID系統(tǒng)一般由電子標簽、閱讀器和后臺服務器等組成[2]。RFID系統(tǒng)的基本工作原理為閱讀器通過天線發(fā)送特定頻率的射頻信號及能量，驅動無源電子標簽工作并讀取其信息，或由有源電子標簽主動發(fā)送特定頻率的射頻信號，閱讀器讀取其信息，再將信息轉發(fā)給后臺服務器進行處理，實現(xiàn)對電子標簽的認證、讀寫和管理等功能。

由于電子標簽與閱讀器之間以開放的無線信道傳輸信息，以及電子標簽一般存在電路結構簡單、存儲容量小、處理能力弱等固有缺陷，RFID系統(tǒng)的信息易被非法竊取、偽造和篡改，電子標簽易被捕獲、分析和復制。遭受主動和被動攻擊的RFID系統(tǒng)所面臨的安全問題主要有隱私和認證兩個方面：在隱私方面，需要對標簽信息傳輸進行安全保護；在認證方面，需要閱讀器與電子標簽互相認證，確保兩者的合法性[3-6]。當前，研究學者已提出了一些RFID標簽安全與隱私保護機制，大體可以分為兩類：一類是通過Kill命令（Kill標簽）、靜電屏蔽（法拉第籠）、阻塞標簽法及主動干擾等物理方法保障RFID系統(tǒng)自身安全；另一類是通過設計安全協(xié)議確保RFID系統(tǒng)信息傳輸?shù)臋C密性、完整性和可認證性。

本文主要通過設計安全協(xié)議，實現(xiàn)RFID系統(tǒng)信息傳輸?shù)陌踩?。一般來說，RFID安全協(xié)議應考慮其實用性和易用性，具有的特點如下文所述。

（1）為適應低成本和低功耗的RFID電子標簽，RFID安全協(xié)議需要進行輕量化設計，降低協(xié)議使用上的開銷，即使用盡量少的運行資源、計算資源和存儲資源。

（2）為防止假冒閱讀器讀取電子標簽的信息，以及假冒電子標簽通過閱讀器欺騙后臺服務器，RFID安全協(xié)議需要確保電子標簽與閱讀器雙向認證的合法性。

（3）為防止RFID系統(tǒng)傳輸?shù)男畔⒈桓`取、偽造和篡改，RFID安全協(xié)議需要對其進行機密性、完整性保護。

結合RFID系統(tǒng)安全需求和特點，本文提出一種輕量級RFID安全認證協(xié)議，通過隨機數(shù)、PUF技術、輕量級雜湊函數(shù)（Lightweight Hash，LHash）和輕量級分組算法MIBS[7]，來實現(xiàn)RFID系統(tǒng)信息傳輸?shù)臋C密性、完整性、新鮮性和可認證性。

1 RFID系統(tǒng)面臨的安全風險與安全目標

RFID系統(tǒng)目前存在設備資源和計算能力有限、開放環(huán)境下無線通信易被攻擊、電子標簽自身脆弱性等風險，本節(jié)針對RFID系統(tǒng)存在的安全風險進行分析并推導出安全目標。

1.1 RFID系統(tǒng)組成

典型的RFID系統(tǒng)一般由電子標簽、閱讀器和后臺服務器（含數(shù)據(jù)管理系統(tǒng)）3部分組成，如圖1所示。

（1）電子標簽：又稱為射頻標簽、應答器、數(shù)據(jù)載體等，通常由射頻接口、編解碼電路及微處理器芯片等組成，每個電子標簽具有唯一的序列號（即電子編碼），附著在實物上識別目標對象，大容量的電子標簽具有用戶可寫入數(shù)據(jù)的存儲空間。按驅動電子標簽的工作能量來源劃分，電子標簽主要有無源標簽（也稱為被動標簽）和有源標簽（也稱為主動標簽）兩種，無源標簽由閱讀器的發(fā)射電磁波提供工作電源及能量，而有源標簽由內(nèi)置電池提供工作電源及能量。

（2）閱讀器：又稱為讀寫器、掃描器等，通常由天線、射頻接口模塊、收發(fā)模塊及控制模塊等功能模塊組成，閱讀器通過天線與電子標簽進行無線通信，實現(xiàn)對電子標簽的識別碼讀取、內(nèi)部數(shù)據(jù)讀寫等操作。

（3）后臺服務器（含數(shù)據(jù)管理系統(tǒng)）：一般為一套含有RFID數(shù)據(jù)管理系統(tǒng)的后臺服務器，可采用RS232、RS485、RJ45等有線接口或Wi-Fi、藍牙、GPRS等無線接口與閱讀器相連，后臺服務器通過閱讀器從電子標簽中獲取其內(nèi)部信息，對獲取的信息數(shù)據(jù)進行后臺處理，實現(xiàn)對電子標簽的認證和信息讀寫等操作。

1.2 安全風險分析

與傳統(tǒng)網(wǎng)絡相比，RFID系統(tǒng)面臨的安全風險更加嚴峻，這主要是RFID產(chǎn)品有限的處理能力和安全措施等自身屬性造成的安全缺陷引起的[8]，RFID系統(tǒng)主要面臨以下安全風險。

（1）假冒的閱讀器非法訪問電子標簽的風險。電子標簽自身采取的安全防護措施較弱，非法用戶可以使用假冒的閱讀器與電子標簽進行通信，從而讀取或修改電子標簽內(nèi)部存儲的信息。

（2）無線通信鏈路傳輸信息的安全問題。RFID采用近距離無線通信技術，無線信道具有開放性的特點，電子標簽與閱讀器之間傳輸?shù)男畔⒁妆还粽邔嵤﹤陕牎⒋鄹?、重放等攻擊?/p>

（3）電子標簽自身的安全風險。電子標簽一般受限于成本、功耗和體積等因素，存在電路結構相對簡單、存儲容量有限、計算處理能力較弱等固有缺陷，攻擊者可以實現(xiàn)對電子標簽的捕獲和分析，并非法復制電子標簽，還可以利用假冒電子標簽欺騙合法閱讀器使其提供虛假信息。

1.3 安全目標

RFID系統(tǒng)的安全目標主要包括RFID信息的機密性、完整性和可認證性等。

（1）機密性：電子標簽與閱讀器之間傳輸?shù)男畔⒔?jīng)加密處理，不會被泄露給非授權用戶或實體，信息只能被授權用戶使用。

（2）完整性：電子標簽與閱讀器之間傳輸?shù)男畔⒔?jīng)完整性校驗處理，確保接收的信息和發(fā)送的信息是一致的，未受到主動攻擊者的復制、插入、修改、刪除、亂序、偽造等攻擊行為。

（3）可認證性：電子標簽與閱讀器之間進行互相認證，驗證雙方身份的合法、真實可信。

2 RFID安全認證協(xié)議

本協(xié)議綜合運用隨機數(shù)、PUF技術、輕量級的雜湊函數(shù)和分組算法對RFID系統(tǒng)信息進行機密性、完整性和新鮮性保護，設計科學合理的協(xié)議交互處理流程，既可抵抗RFID系統(tǒng)信息遭受竊聽、偽造、篡改和重放等傳統(tǒng)攻擊，又可抵抗電子標簽被物理克隆攻擊。

2.1 物理不可克隆函數(shù)技術

Srini-Devadas等人[9]提出物理不可克隆函數(shù)（Physical Unclonable Function，PUF）技術，是一種“芯片數(shù)字指紋”，可用來標識芯片的身份。PUF是將一個激勵輸入一個芯片實體，基于芯片內(nèi)部物理構造的隨機差異性，輸出唯一的響應。一個理想的PUF應具備魯棒性、可計算性、唯一性和不可克隆性。PUF的電路結構相對簡單，可在極小開銷的條件下嵌入芯片中，作為RFID電子標簽的“指紋”。

2.2 輕量級算法

（1）輕量級雜湊函數(shù)LHash：是一個低功耗的輕量級雜湊函數(shù)，具有靈活可調(diào)的參數(shù)[10]，具有占用資源少、運算速度快等優(yōu)點，比較適用于低成本、資源受限的RFID系統(tǒng)。

（2）輕量級分組算法MIBS：MIBS是一個輕量級分組密碼算法，具有占用資源少、運算速度快等優(yōu)點，主要適用于RFID、無線傳感技術等資源和計算能力有限的設備和環(huán)境中[11]。

2.3 符號說明

本協(xié)議使用的主要符號及說明如表1所示。

表1 協(xié)議中的主要符號及說明

2.4 基本要求

（1）電子標簽應內(nèi)置PUF模塊（對輸入相同的激勵能產(chǎn)生相同的響應），具有產(chǎn)生隨機數(shù)、存儲并運行輕量級密碼算法的能力。電子標簽需要存儲本輪密鑰（Kn）和電子標簽本輪ID（IDn）。

（2）閱讀器應具有產(chǎn)生隨機數(shù)的能力。

（3）后臺服務器應具有產(chǎn)生隨機數(shù)、存儲并運行輕量級密碼算法的能力。后臺服務器可產(chǎn)生、編配電子標簽ID和對應密鑰K，將電子標簽的PUF信息、本輪密鑰（Kn）、上輪密鑰（Kn-1）、電子標簽本輪ID（IDn）及雜湊值LH(IDn)、電子標簽上輪ID（IDn-1）及雜湊值LH(IDn-1)等信息進行本地存儲，并確保PUF信息和電子標簽中的PUF信息相同。

2.5 協(xié)議交互流程

閱讀器、電子標簽和后臺服務器之間的協(xié)議交互流程和協(xié)議交互處理流程分別如圖2、圖3所示。

（1）閱讀器將本地產(chǎn)生的隨機數(shù)R1和認證請求AQ命令發(fā)送給電子標簽。

（2）電子標簽接收到閱讀器發(fā)送的隨機數(shù)R1和認證請求AQ命令后，本地產(chǎn)生隨機數(shù)R2，使用R1和本輪密鑰Kn，運行輕量級分組算法LB，加密得到電子標簽ID雜湊值的密文CLH(IDn)=LB_EKn(R1,LH(IDn))、隨機數(shù)R2的密文CR2=LB_EKn(PUF(R1),R2)；運行輕量級的雜湊函數(shù)，產(chǎn)生PUF信息的雜湊值H=LH(PUF(R1⊕R2)⊕Kn)，截取雜湊值H的高位部分、低位部分分別作為HM、HL，將CLH(IDn)||CR2||HM發(fā)送給閱讀器，將HL保存于本地。

（3）閱讀器收到電子標簽ID雜湊值的密文、隨機數(shù)R2的密文和PUF信息的雜湊值CLH(IDn)||CR2||HM后，將隨機數(shù)R1附在其后，組成CLH(IDn)||CR2||HM||R1，轉發(fā)給后臺服務器。

（4）后臺服務器收到CLH(IDn)||CR2||HM||R1后：

①運行輕量級分組算法LB，解密得到LH(IDn)=LB_DKn(R1,CLH(IDn))，若在本地未檢索到LH(IDn)，則終止通信；否則，從本地獲取該電子標簽對應的PUF信息和本輪密鑰Kn，運行輕量級分組算法LB，解密得到R2=LB_DKn(PUF(R1),CR2)。

②運行輕量級雜湊函數(shù)LH，得到雜湊值H'=LH(PUF(R1⊕R2)⊕Kn)，截取雜湊值H'的高位部分、低位部分分別作為H'M、H'L，將H'M與HM進行比較，若不相等，則終止通信；否則，通過電子標簽認證。

③產(chǎn)生隨機數(shù)R3，使用PUF(R1⊕R2)和本輪密鑰Kn，運行輕量級分組算法LB，加密得到隨機數(shù)R3的密文CR3=LB_EKn(PUF(R1⊕R2),R3)，將H'L||CR3發(fā)送給閱讀器。

④后臺服務器計算更新下輪電子標簽IDn+1=IDn⊕R2⊕R3、下輪密鑰Kn+1=Kn⊕R2⊕R3，并將上輪認證信息更新為本輪的認證信息。

（5）閱讀器收到PUF信息的雜湊值、隨機數(shù)R3的密文H'L||CR3后，轉發(fā)給電子標簽。

（6）電子標簽將收到的H'L和本地存儲的HL進行比較，若兩者相等，則電子標簽對后臺服務器的認證通過；否則，終止通信，電子標簽對后臺服務器認證通過后，運行輕量級分組算法LB，解密得到R3=LB_DKn(PUF(R1⊕R2),CR3)，計算更新下輪電子標簽ID：IDn+1=IDn⊕R2⊕R3、下輪密鑰Kn+1=Kn⊕R2⊕R3，結束本次認證過程。

3 協(xié)議安全性分析

本節(jié)對RFID安全認證協(xié)議主要從機密性、完整性和新鮮性等方面進行安全性分析。

（1）機密性：電子標簽、閱讀器與后臺服務器之間傳輸?shù)碾娮訕撕濱D、隨機數(shù)、PUF信息等認證信息，均采用輕量級分組算法進行加密處理，確保了認證信息的機密性，可防止非授權用戶知悉敏感信息，抵抗攻擊者的竊聽攻擊。

（2）完整性：在電子標簽與閱讀器認證的過程中，先采用輕量級雜湊函數(shù)對電子標簽ID計算雜湊值，再對雜湊值采用輕量級分組算法進行加密處理，確保電子標簽ID的完整性；先將PUF信息與密鑰異或后，再采用輕量級雜湊函數(shù)對異或值計算雜湊值，確保PUF信息的完整性；對電子標簽ID、PUF信息等重要信息進行完整性保護，可抵抗攻擊者對重要信息的篡改攻擊。

（3）新鮮性：在電子標簽與閱讀器認證的過程中，閱讀器、電子標簽、后臺服務器分別在本地實時產(chǎn)生隨機數(shù)，采用隨機數(shù)來確保信息的新鮮性，且通過隨機數(shù)更新電子標簽和密鑰等信息，可抵抗攻擊者對認證信息的重放攻擊。

4 結 語

由于電子標簽受限于成本低和計算處理能力弱等因素，以及電子標簽與閱讀器之間信息傳輸?shù)拈_放性，導致RFID系統(tǒng)易遭受傳統(tǒng)攻擊和物理克隆攻擊。針對這些攻擊，本文采用隨機數(shù)、輕量級雜湊函數(shù)、輕量級分組算法和PUF函數(shù)技術等密碼原語，使用較少的計算處理和存儲資源，提出了一種基于PUF的輕量級RFID安全認證協(xié)議，可抵抗竊聽、篡改、假冒、重放和物理克隆等多種攻擊方式。