RFID無線射頻安全認證協議綜述

李冰鵬

摘 要：RFID成為人們生活中不可或缺的一部分，其安全性也開始受到重視。RFID系統由于受到生產成本、計算能力、存儲容量、電源供電等方面的限制， 使得安全機制的設計需要滿足其許多特殊的要求，一些傳統意義上的安全機制可能無法在RFID系統中實現。針對RFID安全機制的設計需要的特點，各式各樣的安全認證協議被提出。該文在分析RFID協議需求的基礎上，對RFID安全認證協議按照輕量級協議、中量級協議和重量級協議三個類別進行分類，分別介紹每個類別中經典的安全認證協議；最后從安全性、認證方式、安全隱患和邏輯電路數量等多方面來對比分析RFID安全認證協議，總結各協議的特點。

關鍵詞：無線射頻識別 協議安全 認證

中圖分類號：TP31 文獻標識碼：A 文章編號：1674-098X（2015）11（b）-0017-03

RFID 即無線射頻識別，俗稱電子標簽，是一種利用射頻通信實現的非接觸式自動識別技術。它通過射頻信號自動識別目標對象并對其信息進行標志、登記、儲存和管理，RFID相比傳統條形碼所不具備的防水、防磁、耐高溫、使用壽命長、讀取距離大、標簽上數據可加密、存儲數據容量大、存儲數據更改自如等優點。RFID已經在生活中已經被廣泛應用如門禁、停車卡、產品追蹤、身份識別等各個領域，RFID成為人們生活中不可或缺的一部分，其安全性也開始受到重視。RFID系統由于受到生產成本、計算能力、存儲容量、電源供電等方面的限制， 使得安全機制的設計需要滿足其許多特殊的要求，一些傳統意義上的安全機制可能無法在RFID系統中實現。針對RFID安全機制的設計需要的特點，各式各樣的安全認證協議被提出，設計安全性能好、實施效率高和花費成本低的安全認證協議仍然是一個非常具有挑戰性和研究意義的課題，該文圍繞RFID安全認證協議進行相關的介紹和分析。

1 RFID協議需求

RFID通信系統主要由物理層、通信層和應用層三部分組成。物理層主要功能是標簽與讀寫器的物理接口、傳輸速率、編碼方式、通信頻道、信號調制調節方式等問題。通信層定義了多標簽讀寫中防沖突機制，通信數據和指令定義等。應用層主要來完成雙向認證和查詢協議，來保證數據通信和業務應用的安全。RFID安全認證協議需要滿足的安全需求如下。

（1）互認證性（Mutual Authentication），保證標簽和讀寫器雙方都能夠對對方的身份有效性進行驗證，只有在認證的基礎之上才能保證數據傳輸和交換才有保障。

（2）不可區分性（Indistinguishability），攻擊者不能確認當前的標簽是否是他曾經遇見過的標簽。因為攻擊者得到的消息可能沒有具體的含義，也不能被還原，但是如果它能對這些信息進行區分，那么它可以據此對消息發送方進行追蹤，或有針對性的收集信息，以實現破解算法。

（3）抗拒絕服務攻擊（Denial of Service），攻擊者不能使得當前的RFID系統進入拒絕服務狀態。

（4）抗重放攻擊（Replay Attack Resistance），攻攻擊者可以對標簽和讀寫器之間的無線信道進行竊聽，然后獲取它們之間的完整通信信息，并記錄下這些信息。在以后的會話中，使用這些信息通過讀寫器的認證，假冒合法的標簽，去實現自己的攻擊的，這被稱為消息重放攻擊。

（5）消息完整性檢查（Messages Integrity Check），安全協議應提供標簽和讀寫器間消息的完整性檢測，以防止攻；對信道傳輸消息的惡意攻擊，如改、刪除等。

2 RFID安全認證協議

根據RFID協議的需求，國內外專家學者進行了深入的研究并提出了一些RFID安全協議。目前根據這些協議所基于的密碼算法的計算復雜度，可將RFID協議當前分為三類：輕量級協議、中量級協議和重量級協議。

2.1 輕量級密碼協議

2.1.1 UMAP協議族

在2006年，Pedro等人提出了一些RFID認證協議族：LMAP、M2AP和EMAP[1]。因為這協議基于簡單的代數運算包括：XOR、OR、AND、模加法等，計算復雜度低，所以非常適合無源標簽的安全保護。針對UMAP協議的安全性，文獻[2]指出了對LMAP和M2AP的攻擊方法，該方法只需要攻擊者與標簽進行0（n）次交互，即可以獲得標簽的n長的ID。之后，Li等人提出了LMAP協議的擴展版LMAP+[3]。2011年，Safkhani等人在文獻[7]中指出LMAP+不能抵抗跟蹤攻擊和非同步攻擊。

2.1.2 SASI 協議

2007年，Chien等人提出另一個超輕量級認證協議SASI[4]，其使用比特位的異或操作和左循環移位操作計算標簽和閱讀器間的交互信息。針對SASI安全性，2011年，Sun等人通過重放消息的攻擊方式可以攻擊SASI協議， Arco等人指出SASI協議在完全揭露攻擊下攻擊者能夠獲取所有的秘密數據。

2.1.3 HB協議族

2001年，Hopper和Blum設計了第—基于LPN（Learning Parity with Noise）問題的認證協議，稱之為HB協議[5]。LPN問題是一個“矢量子集求和”困難問題，LPN問題被證明是NP問題，其中涉及的操作僅包括二進制與、或、異或等，對計算能力和存儲空間要求較低，正好適合RFID標簽的使用。基于LPN問題，更多的HB族協議被設計出來，如HB+[6]，HB#[7]等。在安全性方面，HB協議在抗被動攻擊方面的安全性可以規約到解LPN困難問題，HB協議族對被動攻擊是安全的，但HB對主動攻擊是不安全的，HB+和HB#對偽裝成有效標簽閱讀器的中間人攻擊是不安全的。

2.2 中量級密碼協議

目前中量級密碼協議主要是Hash函數類，該類協議主要包括Hash-Lock協議[8]、Hash-Chain協議[9]、LCAP 協議[10]等，這些認證協議使用的都是Hash雜湊算法。在安全性方面，Hash-Lock協議可以提供訪問控制和標簽數據隱私保護，其中共享密鑰key不變，因此侵犯者可以通過對標簽進行非法追蹤進行攻擊，不能抵抗假冒攻擊和重放攻擊；在Hash-Chain協議中，雖然標簽是主動更新式標簽，然而協議只是一個單向認證協議，閱讀器可對標簽認證，但標簽無法驗證閱讀器的合法性，Hash-Chain協議不能抵抗重放和假冒攻擊；LCAP協議采用詢問-應答協議，每次執行完后都會動態刷新標示，成功解決了標簽隱私問題，能夠有效抵抗重放攻擊和假冒攻擊，但是在通信中需要不斷的刷新ID，效率存在性能瓶頸，不適用于分布數據庫的計算環境和大規模應用。

2.3 重量級密碼協議

為解決一些其它識別協議的安全不足，提出了一些基于公鑰對稱密鑰的密碼協議，最具代表性的是基于對稱加密算法DES等的“三通互相鑒別”協議和基于RSA算法的認證協議[11]。其中，“三通互相鑒別”協議可有效抵抗來自系統外部的偽造和攻擊，但是DES和RSA采用這種協議的系統標簽電路需要一萬門以上的邏輯門，成本過高。基于成本過高的問題，給出了一些基于ECC（Elliptic Curve Cryptography）的密碼的研究方案[12]，在滿足系統高安全需求的情況下，基于ECC橢圓曲線密碼體制的安全認證協議，相較同樣高安全性，在加解密速度、計算負擔和存儲空間開銷上都有著明顯的優勢。

3 RFID安全認證協議比較

以下從安全性、認證方式、安全隱患行和邏輯電路數量來對比分析RFID安全認證協議。安全性主要是分析RFID安全認證協議對各種攻擊方式的抵抗；認證方式存在單向認證和雙向認證兩種方式；安全隱患行共分為五級，5級標示存在嚴重安全隱患，1級標示安全；邏輯電路數量主要放映RFID安全認證協議在具體實現時，所需要的成本。見表1。

其中，輕量級密碼協議的特點是實現電路簡單、成本低，但安全性不高，容易遭到攻擊；中量級密碼協議中Hash-Lock和Hash-Chain協議安全性不高；LCAP協議具有較高的安全性，LCAP協議采用詢問-應答協議，需要不斷的刷新ID，不適用于分布數據庫的計算環境和大規模應用；重量級密碼協議中所有協議都具備較高的安全性，其中只有DES的算法存在內部攻擊的可能性，ECC算法的認證協議具體RSA算法的認證協議相同的安全性，在加解密速度、計算負擔和存儲空間開銷上都有著明顯的優勢，所以ECC算法的認證協議受到了廣泛的關注。

4 結語

RFID安全認證協議隨著芯片材質和電路架構的進步同步發展，早期受到RFID標簽低成本性，導致許多重量級密碼算法無法在RFID系統中實現，輕量級密碼算法和中量級密碼算法被廣泛使用；隨著芯片的計算、存儲能力得到提升，伴隨著RFID的生產成本將會越來越低，同時攻擊技術的不斷提高，中量級密碼算法和重量級密碼協議被廣泛使用。除以上經典的RFID安全認證協議，很多學者對經典RFID安全認證協議在實際使用過程中，不斷進行改造，也產生了很多新的協議。隨著電路制造業的不斷發展，RFID的生產成本將會越來越低，也就使得RFID標簽上會有更多計算資源和存儲空間可用于安全方面，RFID安全認證協議的研究會有更多的突破，同時安全和隱私的級數需要依賴于具體的應用，并不存在普遍適用的解決方案，需要和具體應用相結合。

參考文獻

[1] Li Tie-yan， Deng Robert. Vulnerability Analysis of EMAP-An Efficient RFID Mutual Authentication Protocol [C]//The Second International Conference on Availability， Reliability and Security，2007：238-245.

[2] Li Tie-yan. Employing Lightweight Primitives on Low-cost RFID Tags Ior Authentication [C]// Vehicular Technology Conference，2008：1-5.

[3] M Safkhani， N Bagheri， M Naderi， et al. Security Analysis of LMAP++，an RFID Authentication Protocol [C]// International Conference for Internet Technology and Secured Transactions，2011：689-694.

[4] HY Chien. SASI： A New Ultralightweight RFID Authentication Protocol Providing Strong Authentication and Strong Integrity [J]. IEEE Transactions on Dependable and Secure Computing，2007，4（4）：337-340.

[5] Nicholas J Hopper， Manuel Blum. A secure human-computer authentication scheme[R]. Pittsburgh： Carnegie Mellon University Technical Report CMU-CS-00-139，2000.

[6] A Juels， S Weis. Authenticating pervasive devices with human protocols [J]. Lecture Notes in Computer Science， 2005（3621）：293-308.

[7] K Ouafi， R Overbeck， S Vaudenay. On the security of HB# against a man-in-the-middle attack [J]. Lecture Notes in Computer Science，2008（5350）：108-124.

[8] RL Rivest. Security and Privacy in Radio-Frequency Identification Devices [D]. Boston：MIT，2003.

[9] M.Ohkubo， K Suzuki， S Kinoshita. Hash-Chain Based Forward-Secure Privacy Protection Scheme for Low-Cost RFID [A]. In： Proceedings of the SCIS，2004：719-724.

[10] Su Mi Lee， Young Ju Hwang， Dong Hoon Lee， et al. Efficient authentication for low-cost RFID systems [A]. Proceedings of the International Conference on Computational Science and Its Applications （ICCSA2005）[C]. Lecture Notes in Computer Science，2005（3480）：619-627.

[11] Philippe Golle， Markus Jakobsson， Ari Juels， et al. Universal re-encryption for mixnets [J]. Berlin： Lecture Notes in Computer Science，2004（2964）：163-178.

[12] Michael Braun， Erwin Hess， Bernd Meyer. Using elliptic curves on RFID tags [J].International Journal of Computer Science and Network Security，2008，8（2）：1-9.