一種改進的EPCGen2 標準RFID 加密方法

胡捷程，胡共由，凌 力

0 引言

射頻識別（RFID）技術是20 世紀90年代興起的一種非接觸式自動識別技術，通過射頻信號來自動識別目標對象并獲取相關數(shù)據(jù)。 RFID 技術具有條形碼所不具備的防水、防磁、耐高溫、使用壽命長、讀取距離大、標簽數(shù)據(jù)可加密、存儲數(shù)據(jù)容量大等優(yōu)點，可以工作于各種惡劣環(huán)境。近年來，隨著 RFID 技術成本的不斷降低，該技術被廣泛應用于供應鏈管理、動物識別管理、礦井管理、交通管理、軍事物流、門禁管理、醫(yī)療和藥物管理、建筑工程、食品管理、圖書館管理等實際應用領域。

RFID 革命性的無線通信方式和無可視性讀寫的要求，給我們帶來了極大方便，也同時帶來了很多安全隱私問題。針對 RFID的安全隱私問題，目前國內(nèi)外開展了很多加強RFID 安全隱私保護的研究，并提出了一系列的方法，如Hash 鎖、隨機 Hash 鎖和 Hash 鏈，但這些方法存在安全性不高或效率低等缺陷。

本文針對現(xiàn)有方法的不足，進一步對 RFID的安全隱私保護展開研究。

1 RFID 技術及其安全隱私分析

1.1 RFID 簡介

基本的 RFID 系統(tǒng)是由 RFID 標簽，RFID 閱讀器及應用支撐軟硬件3 部分組成，如圖1所示：

圖1：RFID 系統(tǒng)示意圖

1.2 RFID 安全隱私問題

RFID的無線通信方式和無可視性讀寫的要求，在給我們帶來了方便的同時也帶來了許多安全和隱私問題。這里我們應注意安全問題和隱私問題的區(qū)別：隱私（Privacy）問題主要指RFID標簽背后隱藏的用戶隱私可能被非法的閱讀器獲取而泄露隱私信息，而安全（Security）問題則主要存在于讀寫器對標簽的操作信道的可靠性以及標簽本身的真實合法性上。普遍應用的消費級RFID 系統(tǒng)中可能的安全隱私問題大體有以下這些：

A.隱私問題

1)非法讀取。不法分子可通過未授權的閱讀器快速讀取某人的隨身攜帶物品或者某商場的商品組成，以獲取隱秘信息。

2)位置跟蹤。通過 RFID 標簽掃描，依據(jù)標簽的特定輸出，可在受害者不知情的情況下對人或物品的當前位置進行跟蹤定位。

B.安全問題

1)拒絕服務。人為的信號干擾使得合法閱讀器不能正常閱讀標簽數(shù)據(jù)；

2)偽裝哄騙。通過偽裝成合法標簽，哄騙閱讀器為其提供錯誤的數(shù)據(jù)；

3)重放。根據(jù)竊聽到的閱讀器和標簽間的數(shù)據(jù)通信，重復之前的通信行為從而獲取數(shù)據(jù)信息。

2.現(xiàn)有RFID 安全隱私保護技術

自從RFID 技術開始正式投入使用以來，安全問題就是一個受高度重視的問題，隨著RFID的應用越來越廣泛，其安全技術也不斷地被開發(fā)出來。我們要研究新的安全保護措施，較合適的方式也是從現(xiàn)有技術出發(fā)。現(xiàn)有的RFID 安全隱私保護技術主要分為兩種：物理方法和邏輯加密方法。

2.1.物理方法

物理方法的提出是基于RFID 標準標簽本身的功能較為簡單，而使用額外的硬件設備進行保護的措施，更多的是起到隔斷通信的作用。比較主流的物理方法有，讓閱讀器在進行合法閱讀后可以利用交互命令將標簽“殺死”的Kill 標簽，RSA 安全公司提出的阻塞器標簽，把 RFID 標簽置于由金屬網(wǎng)或金屬薄片制成的容器中的電磁屏蔽等。

物理方法的原理和實施都非常簡明易懂，實施后的效果也是立竿見影，非常直接。然而真的實施則需要額外的物理器件的開銷，并且無法解決多個安全隱私問題，只能有針對性地解決特定的安全隱私問題，并且使用范圍也限制在特定領域。由于其高成本和泛用性差的特點，并不推薦在民用領域推廣。

2.2 邏輯加密方法

隨著芯片技術的進步，比現(xiàn)有標簽更加智能并可多次讀寫的 RFID 標簽將會被廣泛地應用。這就為解決 RFID 隱私與安全問題提供了更多的可能。

現(xiàn)有邏輯加密方法使用較多的是基于 Hash 運算的Hash-lock、隨機化Hash-lock 以及Hash-Chain 算法、基于重加密的RFID 加密算法等。這里我們主要介紹Hash 類算法中的Hash-lock。

2.2.1 Hash-lock（哈希鎖）及衍生算法

Sarma 等人在2003年提出了Hash-Lock 協(xié)議，如圖2所示：

圖2：Hash-lock 原理圖

由經(jīng)過Hash 運算的訪問密鑰，代替標簽真實的ID 傳輸給閱讀器，來防止攻擊者的讀取。

安全協(xié)議執(zhí)行步驟：

1)標簽進入閱讀器的有效范圍，接收到閱讀器R 發(fā)出的請求命令Query。

2)標簽通過反向信道發(fā)送MetaID 作為回復。

3)閱讀器將MetaID 傳送給后臺數(shù)據(jù)庫，數(shù)據(jù)庫查詢是否存在相等的MetaID 值，若匹配則發(fā)送相應的標簽信息(key,ID)給閱讀器。

4)閱讀器僅將其中的key’發(fā)送給標簽。標簽驗證key’是否等于key。

5)若key’＝key 則標簽將其ID 發(fā)送給閱讀器。

該協(xié)議初步的提出了用Hash 函數(shù)認證的想法， 一定程度上解決了隱私保護問題。但是可以看到認證過程中MetaID 是不變的，并且最后ID 也以明文形式傳輸，因此非常容易收到重傳攻擊和哄騙攻擊，并且不具有防跟蹤性。

在這個基礎上，Weis 等人在2004年提出了隨機Hash-Lock。此協(xié)議用標簽ID 與隨機數(shù)R的Hash 函數(shù)結果，使得每次傳送的結果都有所不同，可起到防跟蹤的作用。然而隨機化Hash-lock 也有自己的問題，在查詢過程中，數(shù)據(jù)庫要講所有ID信息傳輸給閱讀器并讓閱讀器進行檢索工作，這一步的開銷是非常巨大的，并且最后的ID 依然是明文傳輸，所以還是無法達到真正安全。

2.2.2 重加密算法

重加密算法由RSA 實驗室提出，采用公鑰加密。標簽可以在用戶請求下通過第三方數(shù)據(jù)加密裝置定期對標簽數(shù)據(jù)進行重寫。因采用公鑰加密大量的計算負載超出了標簽的能力，通常這個過程由閱讀器來處理。該方案存在的最大缺陷是標簽的數(shù)據(jù)必須經(jīng)常重寫，否則即使加密標簽ID 固定的輸出也將導致標簽定位隱私泄露。標簽數(shù)據(jù)加密裝置與公鑰加密將導致系統(tǒng)成本的增加使得大規(guī)模的應用受到限制。并且經(jīng)常的重復加密操作也給實際操作帶來困難。

2.2.3 邏輯加密算法總結

總體來說邏輯加密算法給了我們一個全新的思路，即通過標簽和閱讀器的現(xiàn)有資源通過邏輯運算獲取安全和隱私方面的保護。但是就現(xiàn)有Hash 類算法與重加密算法來說，還存在幾個問題，其一是無法保證安全與隱私（如ID的明文傳輸），第二是開銷過大（如隨機Hash-lock 和重加密算法），還有很大的改進空間。

3.輕量級 RFID 安全隱私保護

RFID的安全隱私問題阻礙了RFID 技術的進一步推廣，引起了消費者的高度關注，加強對RFID的安全隱私保護有著極其重要的意義。

3.1.限制條件與要求

研究RFID的安全隱私問題，主要研究的是易被攻擊的閱讀器與標簽之間的無線通信，而閱讀器與后臺數(shù)據(jù)庫的通信雖然可能是有線的也有可能是無線信道，但是比起標簽和閱讀器之間的信道來其變化要少許多，而且管理與控制相對要方便，故可以認為這是一條安全可靠的有連接信道。

本文討論的輕量級RFID 系統(tǒng)，是面向能夠普及應用的RFID 技術，更確切地說是用于超市、圖書館及物流產(chǎn)業(yè)的物品管理應用。這一類應用的特點在于：若要使用RFID 技術，則需求的量較大，相應的成本也必須較低才能普及推廣，而其安全性和隱私性的考量相對要求不是那么嚴格。實際使用的標準的安全機制要求的計算比較復雜，如SHA-1 約需12,000 個門，低成本標簽上本來運算能力就有限，還要進行日常讀寫操作，所以根本無法實現(xiàn)，因此我們必須采用低成本低開銷的加密方式——這也是本文提出的RFID 安全算法的前提。

雖然是輕量級RFID 安全方案，也應當有一定可靠性的認定。安全的 RFID 系統(tǒng)應能抵御各種攻擊，且考慮到較壞的情況，即使外人獲得了標簽內(nèi)部的秘密數(shù)據(jù)，也應保證其無法追蹤到跟標簽有關的歷史活動信息，即保證前向安全性。

3.2.EPCGen2 標準簡介

作為輕量級標簽中的重量級標準，EPCGen2 標準是繼EPCGen1 后出現(xiàn)的UHF 標簽的最新標準。由于EPCglobal 在歐美西方發(fā)達國家及全球的公信力，以及Gen2 標準標簽的優(yōu)秀性能（更長的閱讀距離），EPCGen2 標準得到了廣泛的應用，所以我們的設計也針對EPCGen2 標準的標簽進行。

EPCGen2 于2006年7 月被ISO 通過為國際標準，標準號為ISO18000-6C。標準定義的Gen2 標簽擁有以下特征：

被動式無源標簽；工作在UHF 頻段：800～960MHz；通信范圍：2～10m；成本：<5 美分/片；

而我們更為關心的是EPCGen2的安全措施。標準中利用一個16bit的偽隨機數(shù)生成器PRNG 和一個16bit的循環(huán)冗余校驗碼CRC為RFID協(xié)議提供基本的可靠性保證,符合該標準的標簽只采用硬件復雜度較低的PRNG 和CRC,而不能采用加密函數(shù)和Hash 函數(shù)。

3.3.基于EPCGen2 標準的優(yōu)化Hash-lock

基于Gen2 標簽的標準以及前述的各種加密方式的啟發(fā)，本文針對Hash-lock 進行了優(yōu)化，使其更適應EPCGen2 標準的輕量化標簽，并且有更強的安全性。

3.3.1 協(xié)議環(huán)境描述

本協(xié)議使用3 個字段：ID，MetaID，Key，其含義如下：ID：RFID 標簽的唯一ID(UID)。

MetaID：在Hash-lock 中是對ID的hash 運算結果，由于Gen2 標簽的運算性能，這里的MetaID 使用對ID的CRC 校驗值。

Key：通過與標簽ID 一一對應的方式進行發(fā)布，其實為ID的一個隨機副本，用于在非安全信道傳輸。

這3 個字段構成了我們協(xié)議的基礎，在標簽和數(shù)據(jù)庫端都應當保存有這3 個字段。

另外，為了對傳輸信息進行混淆，我們還采用了隨機數(shù)R。這個隨機數(shù)雖然Gen2 標簽可以生成，但是考慮到開銷問題，我們還是把生成隨機數(shù)的工作交由閱讀器完成。

3.3.2 協(xié)議過程描述

基于EPCGen2 優(yōu)化的Hash-lock 協(xié)議流程如圖（2）所示：（MetaID 簡寫為MID）

圖2：優(yōu)化的Hash-lock 流程圖

安全協(xié)議執(zhí)行步驟：

1)標簽進入閱讀器的有效范圍，閱讀器生成本次交互的唯一隨機數(shù)R，并和請求Query 一起發(fā)送給標簽。

2)標簽通過反向信道發(fā)送C(R⊕MID)和key 作為回復。這里的C 表示CRC 校驗操作，而⊕表示異或操作。通過這樣一個方式，標簽回復給閱讀器的信息是經(jīng)過加密和混淆的。

3)閱讀器將C(R⊕MID)、key 和自己生成的隨機數(shù)R 傳送給后臺數(shù)據(jù)庫，數(shù)據(jù)庫進行第一次認證：認證標簽的合法性。查詢Key 對應的MetaID 計算出的C(R⊕MID)是否和閱讀器傳來的相一致，如果一致，則表示標簽是合法標簽。

4)數(shù)據(jù)庫計算C(R⊕ID)并將其發(fā)送閱讀器，通過閱讀器發(fā)送給標簽。標簽進行交互的第二步驗證：驗證閱讀器的合法性。標簽計算C(R⊕ID)是否與閱讀器發(fā)送來的相一致，若一致，則表示閱讀器和后臺的數(shù)據(jù)庫是合法的。雙向認證完成。

3.3.3 協(xié)議特點分析

本協(xié)議通過雙向認證的方式，提高了系統(tǒng)的安全性。本協(xié)議可以抵抗以下攻擊：

1)偽造標簽。偽造的標簽無法模擬出真實合法的ID 和Key組合，并且在實際應用中攻擊者也只能獲取到Key 值，當數(shù)據(jù)庫進行C(R⊕MID)運算結果與傳輸結果不符后，就可以告知閱讀器停止與偽造標簽的交互。

2)非法閱讀器。由于閱讀器和數(shù)據(jù)庫的信道基本可以認為是安全的，所以非法閱讀器一般進行的是通過截取標簽發(fā)出的信息而進行跟蹤和侵犯隱私操作。而在本協(xié)議中，在未認證數(shù)據(jù)庫和閱讀器之前，標簽只發(fā)出了C(R⊕MID)的信息，這一信息通過隨機數(shù)與MID的異或混淆后進行了單向的CRC 操作，很難進行反向破譯，基本上是無法獲取MID的，更不用說標簽的真實ID，僅這點來說其安全性就比Hash-lock 要更上一個臺階。

3)重放攻擊。通過在傳輸中加入閱讀器產(chǎn)生的隨機數(shù)R，可以讓非法監(jiān)聽者無法對每次通信內(nèi)容進行分析，而其重放的信息也只專屬于每次交互過程，并無法在每次交互中通用，有效地防范了重放攻擊。

當然，作為一個輕量級標簽的加密協(xié)議，采用CRC 來代替類似MD5 或SHA-1 這樣的專業(yè)Hash 算法，其沖突（不同明文對應相同數(shù)據(jù)摘要）的情況會相對較多，但是在大批量標簽的情況下，CRC的成本和開銷優(yōu)勢就體現(xiàn)出來了。

4.結論

本文提出的EPCGen2 標準下的Hash-lock 優(yōu)化協(xié)議在Hash-lock的基礎上，使用Gen2 標簽所采用的CRC 校驗算法作為單向函數(shù)算法，并采用一種改進的標簽和達到了性能和開銷的統(tǒng)一，能一定程度上保證安全和隱私，并能以低廉的成本得到推廣。下一步工作將會是將此算法引入實際應用，獲取更多實際反饋。

[1]Sun,H.M.,W.C.Ting and K.H.Wang,On the Security of Chien's Ultralightweight RFID Authentication Protocol.[j]IEEE TRANSACTIONS ON DEPENDABLE AND SECURE COMPUTING,2011.8(2):p.315-317.

[2]Hoque,M.E.,et al.,Enhancing Privacy and Security of RFID System with Serverless Authentication and Search Protocols in Pervasive Environments.[j]WIRELESS PERSONAL COMMUNICATIONS,2010.55(1):p.65-79.

[3]Yoon,E.J.and K.Y.Yoo,Two Security Problems of RFID Security [j]Method with Ownership Transfer.2008.p.68-73.

[4]Khoo,B.,P.Harris and S.A.Husain,Security Risk Analysis of RFID Technology:A RFID Tag Life Cycle Approach.2009,[C]IEEE:NEW YORK.p.371-377.

[5]Rotter,P.,A framework for assessing RFID system security and privacy risks.[j]IEEE PERVASIVE COMPUTING,2008.7(2):p.70-77.

[6]Mobahat,H.Authentication and lightweight cryptography in low cost RFID.[j]in Software Technology and Engineering (ICSTE),2010 2nd International Conference on.2010.