一種ＲＦＩＤ隱私保護雙向認證協議

摘 要：作為一種非接觸式自動識別技術，RFID在帶來成本節約和效率提高的同時，也帶來了安全和隱私的風險。為保證安全性和隱私性，必須對閱讀器和標簽之間的通信提供認證和保護，對現有的RFID安全性和隱私性解決方案進行了簡要分析，之后應用零知識思想，提出了一種基于單向Hash函數的雙向RFID認證協議，并分析了其安全性和抗攻擊性。

關鍵詞：RFID；零知識；認證；安全性

中圖分類號：TP309 文獻標識碼：B 文章編號：1004373X(2008)1508004

Mutual Authentication Protocol for RFID Privacy Protection

CHANG Zhenhua，CHEN Yue，SHAO Jing，ZHEN Honghu

(Institute of Electronic Technology，PLA Information Engineering University，Zhengzhou，450004，China)

Abstract：As a contactless auto-identification technology，RFID provides cost saving and efficiency enhancement.But it also causes security and privacy vulnerabilities for RFID applications.In order to ensure security and privacy，authentication and protection for communication between reader and tag must be provided.After analyzing existing security and privacy solutions for RFID and by adopting zero-knowledge ideas，a mutual RFID authentication protocol based on oneway Hash function is proposed，its security and anti-attack properties are also analyzed.

Keywords：RFID;zero knowledge;authentication;security

1 引 言

無線射頻識別(Radio Frequency Identification，RFID)是一種非接觸式的自動識別技術，利用它可以在遠距離、惡劣環境下對集群目標和移動目標進行快速信息采集和自動識別。因其不需要物理與視覺接觸便可以對目標對象進行識別而被看作是一項革命性的新技術。近年來，RFID在供應鏈管理、動物識別管理、礦井管理、交通管理、電子錢包、生產線自動控制、軍事等多領域廣泛應用。

一個完整的RFID系統包括數據庫服務器、閱讀器和標簽。雖然數據庫本身和閱讀器向服務器的認證也存在安全問題，但它們有足夠的能源和計算資源，可以采用傳統的密碼算法來確保其安全。相比之下RFID標簽的所帶來的安全性和隱私性問題顯得尤為突出。RFID標簽與閱讀器之間的通信媒體是無線電，對攻擊者和其它未授權的閱讀器是完全暴露的，因此信息的傳遞缺乏機密性。在缺乏認證的情況下，攻擊者可以采用重放合法閱讀器或標簽信號的方式來假冒，以獲得標簽或閱讀器的信任，進而獲取秘密信息。第三方可以監聽、干擾、篡改標簽和閱讀器之間的會話，信息的完整性和可用性難以保證。攻擊者也可以通過監聽來獲取敏感信息，并制造假標簽，或通過監聽、查詢來跟蹤標簽和標簽攜帶者。由于人們對安全性和隱私性越來越多的關注，有人稱RFID標簽為“間諜芯片”和“跟蹤設備”，并建立組織來抵制任何RFID測試計劃。

2 解決安全性和隱私性的相關工作

由于RFID標簽尺寸和成本的限制，設計RFID系統安全性和隱私性解決方案是一項富有挑戰性的研究工作，也是關系到RFID技術能否進一步發展應用的關鍵。許多文章討論了RFID系統的安全性和隱私性，并提出了許多方案。根據所采取的安全機制，這些方案分為物理機制方案和加密機制方案。

2.1 物理機制方案

物理機制主要有：Kill命令機制^［1］、靜電屏蔽^［2］、阻塞法^［3］等。

“Kill命令機制”是在設計標簽時使之能夠接受一個Kill命令。帶標簽的產品在賣點掃描結賬后，向標簽發出該命令，使標簽自動失效。完全殺死標簽可以完美的阻止掃描和追蹤，但對于消費者來說，犧牲了RFID標簽所有售后利益，比如售后服務、智能家庭應用、產品交易與回收等。而且在很多情況下，標簽不能被殺死，比如圖書館、租用商店等，他們必須保證標簽能夠被再次使用。

“靜電屏蔽”是指將標簽或帶標簽的產品放入特制的具有靜電屏蔽功能的容器中再攜帶，使之不能與外界進行電磁耦合，也就不會被訪問到。但顯然這種方法需要一個額外的物理設備，增加了系統的成本。

阻塞法依靠編入標簽識別碼的可修改位來保護隱私性，這一位稱為隱私位，為0表示可以公開掃描，為1表示是私有。阻塞法依賴樹遍歷反沖突協議來起作用。除此之外，由于不可靠的RFID傳輸，可以造成阻塞的失敗。隨著閱讀器的發展，可以利用信號強度等特征來過濾阻塞信號。

2.2 加密機制方案

在目前提出的方案中采用的協議大多都是詢問/響應的協議模式，不同之處在于所采用的算法不同。主要有基于單向Hash函數和基于傳統加密算法兩類。

基于單向Hash函數的安全協議主要包括Hashlock協議^［1］、隨機化Hashlock協議^［4］、Hash鏈協議^［5］、基于雜湊的ID變化協議^［6］、分布式RFID詢問/響應認證協議^［7］、LCAP協議^［8］等。文獻［1，4，5］提出的協議容易受到重傳和假冒攻擊。文獻［7］提出的方案在匹配標簽ID時需要計算所有標簽ID和所交換隨機數的Hash值，對于擁有大量標簽的RFID系統，后端數據庫計算量太大。文獻［6，8］提出的方案用升級ID來防止重放攻擊，但存在數據庫與標簽數據不同步的隱患。

基于傳統的加密算法的安全協議，文獻［9］提出基于矩陣乘法的認證方案，由于標簽存儲能力的限制，矩陣階數不能太大，因此作者分析了該方案存在的弱點是不能防止野蠻密鑰攻擊。文獻［10］提出基于橢圓曲線的公鑰認證方案。文獻［11］提出的方案基于零知識證明思想。這類協議大部分在計算量和通信量上較大，適合于電能、計算能力和存儲能力限制不大的主動式RFID標簽，不適合于低成本RFID標簽。

3 零知識泄露的雙向RFID認證協議

提出一種零知識泄露的雙向RFID認證協議。對于低成本RFID標簽來說，該協議有合適的通信量和計算量，并能夠有效地保護RFID系統的安全性和隱私性。首先，我們給出協議的主要思想，定義協議的假設，然后給出協議的描述。

為方便和簡化協議的描述，定義：T表示標簽，R表示閱讀器，B表示后端數據庫系統，A表示攻擊者。

3.1 主要思想

由前面的安全性和隱私性分析可以看出，RFID安全弱點來自T和R之間不安全的無線通信接口。A可以干擾、篡改或竊聽T和R之間的通信，使T和B的數據不同步，可以對T和R實施重放攻擊，也可以在不被察覺的情況下跟蹤標簽持有者的位置和行為，并模仿合法的T或R。而基于零知識證明的身份認證機制的基本思想是：信息的擁有者可以在無需泄漏密秘信息的情況下就能夠向驗證者證明它擁有該信息。因此，基于零知識的身份認證機制很適合于RFID系統。

我們的協議采用在Ｒ與Ｔ之間傳送零知識認證消息(Zero-knowledge Authentication Message，ZAM)的方式，在不泄露標簽ID的情況下，實現R和T之間的雙向認證，并為以后的會話提供一個一次一換的隨機會話密鑰(Random Session Key，RSK)和可以作為會話序號的時間戳(Date Timestamp，DT)。

3.2 假設

我們的方案主要針對低成本標簽中可以執行同步加密操作的一類標簽(也稱為同步密鑰標簽)，這類標簽是目前低成本標簽的主流和發展趨勢。根據Auto-ID中心的試驗數據，在設計5美分標簽時，集成電路芯片的成本不應該超過2美分，也就是說用于安全和隱私保護的門電路數量不能超過2.5k~5k個。根據文獻［12］，實現一個Hash函數單元只需要1.7k個門電路，實現一個隨機數發生器(Pseudorandom Number Generator，PRNG)也僅需要數百個門電路。因此，我們假設T有一個單向Hash函數H( )，有一個隨機數發生器，有一定的存儲能力，有基本的運算能力(如XOR)。T和B有相同的單向Hash函數，并預共享一個會話密鑰(Session Key，SK)。

R和B有很大的計算機能力，因此假設R和B之間的通信信道是安全的。

3.3 協議描述

協議執行過程如圖1所示。

(1) R向T發送Query認證請求。

(2) T產生一個隨機數r，使用自己的ID和SK計算a₁=ID⊕H(r⊕SK)，形成ZAM₁＝{r，a₁}并發送給R。

(3) R將ZAM₁轉發給B。

(4) B計算ID′=a₁⊕H(r⊕SK)，在數據庫中查找是否有這樣的ID′，如果有，T則通過初步認證，之后R產生隨機數作為RSK，計算β₁=RSK⊕H(DT⊕SK)，β₂＝H(ID⊕RSK⊕SK)，形成ZAM₂＝{DT，β₁，β₂}發給R。其中：DT為時間戳，是B的系統時間或具有時間戳功能的隨機數，用于防止重放攻擊，并作為本次會話的序號，合法的T可以用β₁恢復出RSK，用β₂驗證RSK的有效性，同時驗證R的合法性。

(5) R將ZAM₂轉發給T。

(6) T收到ZAM₂后，首先判斷DT，如果比以前保存的大，則認為正常，然后T用自己的SK計算H(DT⊕SK)，恢復出RSK，并進行驗證，如果正確則通過對R的認證，并保存DT，計算a₂＝H(r⊕SK⊕RSK⊕DT)，形成再次認證消息ZAM₃＝{a₂}發送給R，作為對ZAM₂的應答。該應答也是零知識的，既確認正確的收到RSK，又證明T是整個認證會話的參與者。如果DT不正常或RSK無效，則忽略ZAM₂，并保持靜默。

(7) R將ZAM₃轉發給B，B計算H(r⊕SK⊕RSK⊕DT)，與收到的a₂進行比較，如果相等則通過對T的認證。

4 協議安全性和抗攻擊性分析

4.1 安全性分析

機密性 Hash函數的單向性確保了從認證消息中無法獲得SK等敏感信息。認證過程的零知識性保證在完成認證的同時，不泄露標簽ID等信息。協議采用共享SK，閱讀器和標簽可以對收到的消息進行正確性和完整性驗證，從而保證認證信息和交換RSK的機密性。

可認證性 采用雙向身份認證的機制，有效地防止了未授權的閱讀器和假冒的標簽參與會話，增加了認證的可靠性，因此協議在不可信環境中依然有效。

可用性 入侵者可能發起一個DoS攻擊來影響的RFID系統的使用，但無法通過這種攻擊獲取敏感信息，因此具有較高的可用性。

4.2 抗攻擊性分析

4.2.1 對RFID標簽的攻擊

一種是攻擊者假裝成合法的閱讀器。這種攻擊會被DT、RSK和SK的組合擊敗，因為只有合法的閱讀器才能提供一個有效的ZAM₂，假冒閱讀器采用重放或篡改個別信息等方式向標簽作認證時會被標簽識破。

另一種是攻擊者通過查詢來跟蹤標簽。這種攻擊會被r的隨機性擊敗，因為每次標簽所發出的ZAM₁都是不同的，所以跟蹤者無法判定跟蹤的是否是同一個標簽。

4.2.2 對RFID閱讀器攻擊

攻擊者假裝成有效標簽的攻擊有兩種情況：一是攻擊者發出假的ZAM₁，在沒有SK的情況下這種攻擊在對標簽的初次認證時就會被閱讀器識破；二是攻擊者對閱讀器重放某次有效標簽的ZAM₁進行攻擊，這種攻擊雖然能使B產生ZAM₂，但在再次認證時，由于攻擊者沒有SK，不可能恢復出RSK，因此不能構造出正確的ZAM₃，進而不能通過系統對其的再次認證。

4.2.3 中間人攻擊

假定協議在長距離下工作，由中間人來轉發認證消息，但認證和響應都是加密和零知識的，因此認證消息對于中間人是透明的，通過直接讀取消息，攻擊者僅可以得知閱讀器和標簽在通信，而不能得到任何秘密信息。即使攻擊者通過轉發標簽的認證消息和再次認證消息而通過認證，但不可能獲得RSK，從而無法進行后續的會話，使這種欺騙變得沒有意義。

5 結 語

RFID技術的使用提高了制造業、服務業等行業的效率，節約了成本，但同時也帶來了安全和隱私問題。這些問題越來越成為RFID技術進一步發展和應用的障礙。本文簡單分析了RFID技術所帶來的安全和隱私風險，回顧了解決安全和隱私問題的相關方案，提出了一種適合于低成本標簽的雙向RFID認證協議。

與其他基于Hash函數的方案相比，在計算量和通信量略有增加的情況下，本文協議提高了認證的安全性和有效性，增加了抗攻擊的能力。與基于傳統加密算法的方案相比，該協議在計算量和通信量上對低成本RFID標簽是適度的，且在認證的靈活性方面有較大的優勢。針對不同的安全級別要求，可以選擇不同規模的Hash函數。

參 考 文 獻

［1］Sarma S E，Weis S A，Engels D W.RFID Systems and Security and Privacy Implications［C］.Berlin: Springer-Verlag，2003:454-469.

［2］Sarma S E，Weis S A，Engels D W.Radio-frequency Identification:Secure Risks and Challenges ［J］.RSA Laboratories Cryptophytes，2003，6(1):2-9.

［3］Juels A，Rivest R L，Szydlo M.The Blocker Tag:Selective Blocking of RFID Tags for Consumer Privacy［C］.In Vijay Atluri and Peng Liu，editors，Proceedings of the 10th ACM Conference on Computer and Communication Security (ACCS′03)，2003:103-111.

［4］Weis S A，Sarma S E，Rivest R l，et al.Security and Privacy Aspects of Low-Cost Radio Frequency Identification Systems［C］.Berlin: Springer-Verlag，2004:201-212.

［5］Ohkubo M，Suzuki K，Kinoshita S.Hash-chain based Forward Secure Privacy Protection Scheme for Low-cost RFID［C］.In:Proceedings of the 2004 Symposium on Cryptography and Information Security (SCIS 2004)，Sendai，2004:719-724.

［6］Henrici D，Müller P.Hash-based Enhancement of Location Privacy for Radio-frequency Identification Devices Using Varying Identifiers［C］.In:Proceedings of the 2nd IEEE Annual Conference on Pervasive Computing and Communications Workshops (PerComW′04).Washington，DC，USA，2004:149-153.

［7］Rhee K，Kwak J，Kim S，et al.Challenge/Response-based RFID Authentication Protocol for Distributed Database Environment［C］.Berlin:Springer-Verlag，2005:70-84.

［8］Lee S M，Hwang Y J，Lee D H，et al.Efficient Authentication for Low-cost RFID Systems［C］.Berlin:Springer-Verlag，2005:619-627.

［9］Karthikeyan S，Nesterenko M.RFID Security without Extensive Cryptography［C］.Proceedings of the 3rd ACM Workshop on Security of ad hoc and Sensor Networks，2005.

［10］Batina L，Guajardo J.Public-Key Cryptography for RFID-Tags［C］.In:Proceedings of the 5th IEEE International Conference on Pervasive Computing and Communication Workshops (PerComW′07)，2007:217-222.

［11］李浩，謝桂海，王新鋒，等.一種基于零知識證明的RFID鑒別協議［J］.通信與信息技術，2006，29(1):23-25.

［12］Kaan Yüksel.Universal Hashing for Ultra-low-power Cryptographic Hardware Applications［D］.Master′s Thesis，Dept.of Electronical Engineering，WPI，2004.

［13］陳香，薛小平，張思東.標簽防沖突算法的研究\\.現代電子技術，2006，29(5):13-15.

作者簡介 常振華 男，1975年出生，碩士研究生。研究方向為網絡與信息安全、射頻識別技術。

陳 越 男，1965年出生，博士，教授，碩士生導師。主要從事網絡應用技術和信息安全的研究。

邵 婧 女，1986年出生，碩士研究生。研究方向為信息管理系統、射頻識別的安全與隱私。

甄鴻鵠 男，1983年出生，碩士研究生。研究方向為網絡信息及數據的安全與隱私。