基于共享秘密的偽隨機(jī)散列函數(shù)RFID雙向認(rèn)證協(xié)議

石樂(lè)義　　賈 聰　　宮 劍　　劉 昕　　陳鴻龍(中國(guó)石油大學(xué)(華東)計(jì)算機(jī)與通信工程學(xué)院　青島　 266555)(上海市金融信息技術(shù)研究重點(diǎn)實(shí)驗(yàn)室　上海　 200433)

?

基于共享秘密的偽隨機(jī)散列函數(shù)RFID雙向認(rèn)證協(xié)議

石樂(lè)義*①②賈 聰①宮 劍②劉 昕①陳鴻龍①
①(中國(guó)石油大學(xué)(華東)計(jì)算機(jī)與通信工程學(xué)院青島 266555)
②(上海市金融信息技術(shù)研究重點(diǎn)實(shí)驗(yàn)室上海 200433)

摘要：針對(duì)資源受限的RFID標(biāo)簽，結(jié)合偽隨機(jī)數(shù)和共享秘密機(jī)制，該文提出一種基于散列函數(shù)的輕量級(jí)雙向認(rèn)證協(xié)議，實(shí)現(xiàn)了后端數(shù)據(jù)庫(kù)、閱讀器和標(biāo)簽之間的雙向認(rèn)證。詳細(xì)分析了雙向認(rèn)證協(xié)議的抗攻擊性能和效率性能，并基于BAN邏輯分析方法對(duì)協(xié)議模型進(jìn)行了形式化證明。理論分析表明，該文提出的認(rèn)證協(xié)議能夠?qū)崿F(xiàn)預(yù)期安全目標(biāo)，抗攻擊性能好，認(rèn)證執(zhí)行效率高且標(biāo)簽開(kāi)銷(xiāo)小，適用于大數(shù)量的RFID應(yīng)用。

關(guān)鍵詞：射頻識(shí)別；雙向認(rèn)證協(xié)議；隱私保護(hù)；BAN邏輯；散列函數(shù)

1　引言

RFID射頻識(shí)別技術(shù)是物聯(lián)網(wǎng)的一項(xiàng)關(guān)鍵技術(shù)，它通常由后端數(shù)據(jù)庫(kù)、電子標(biāo)簽和閱讀器3部分組成。閱讀器通過(guò)天線向標(biāo)簽發(fā)送和接收信號(hào)，識(shí)別讀取標(biāo)簽中存儲(chǔ)的信息，并將信息數(shù)據(jù)傳送給后端數(shù)據(jù)庫(kù)做進(jìn)一步處理，從而實(shí)現(xiàn)對(duì)目標(biāo)的識(shí)別。近年來(lái)，由于具有非接觸、耐磨損、壽命長(zhǎng)等優(yōu)點(diǎn)，RFID技術(shù)受到了廣泛關(guān)注。然而，閱讀器與電子標(biāo)簽之間通過(guò)無(wú)線信道傳輸數(shù)據(jù)，可能會(huì)帶來(lái)非授權(quán)訪問(wèn)標(biāo)簽內(nèi)容、篡改或偽造標(biāo)簽等安全隱患。在此背景下，RFID隱私安全保護(hù)方案如物理機(jī)制、認(rèn)證加密等相繼提出。前者使用非密碼學(xué)方式如Kill、阻斷等機(jī)制保護(hù)RFID標(biāo)簽數(shù)據(jù)隱私，后者則采用加密方法實(shí)現(xiàn)RFID安全通信，如Hash-Lock協(xié)議[1]等。

Hash-Lock協(xié)議是一種基于單向Hash散列函數(shù)的RFID訪問(wèn)控制方法，通過(guò)使用metaID代替真實(shí)標(biāo)簽ID來(lái)避免信息泄露。而射頻通信中的標(biāo)簽一般體積小，內(nèi)部組成簡(jiǎn)單，計(jì)算存儲(chǔ)能力有限，因而使用散列函數(shù)進(jìn)行認(rèn)證加密是合適的。隨機(jī)Hash-Lock[2]和Hash鏈[3]則分別將隨機(jī)數(shù)和共享秘密機(jī)制引入Hash-Lock協(xié)議，能有效防范竊聽(tīng)和跟蹤攻擊，但仍然存在假冒攻擊等問(wèn)題。

近年來(lái)，研究人員基于Hash散列函數(shù)提出了諸多認(rèn)證加密方法。文獻(xiàn)[4]設(shè)計(jì)了一種基于距離的RFID安全認(rèn)證協(xié)議Noent，通過(guò)距離邊界區(qū)分閱讀器是否合法，適合于大量標(biāo)簽認(rèn)證的應(yīng)用，并且由于使用了離線數(shù)據(jù)庫(kù)，對(duì)于密鑰更新和防范去同步攻擊有利。文獻(xiàn)[5]則基于閱讀器和標(biāo)簽之間同步的秘密信息，提出了基于數(shù)據(jù)庫(kù)服務(wù)器和無(wú)數(shù)據(jù)庫(kù)服務(wù)器兩種方式的RFID標(biāo)簽雙向認(rèn)證協(xié)議。數(shù)據(jù)庫(kù)服務(wù)器方式下，同步秘密信息由數(shù)據(jù)庫(kù)組件監(jiān)控，因而存在組件失效或被攻擊后秘密信息泄漏的風(fēng)險(xiǎn)；而無(wú)數(shù)據(jù)庫(kù)服務(wù)器方式中，標(biāo)簽對(duì)閱讀器是匿名的，閱讀器對(duì)標(biāo)簽的認(rèn)證過(guò)程需要可信第三方，因而增加了開(kāi)銷(xiāo)。文獻(xiàn)[6，7]通過(guò)RFID標(biāo)簽發(fā)送隨機(jī)數(shù)并使用秘密值替代隨機(jī)數(shù)，設(shè)計(jì)了基于Hash散列函數(shù)的RFID標(biāo)簽雙向認(rèn)證協(xié)議，用于解決假冒攻擊、暴力攻擊等問(wèn)題。文獻(xiàn)[8，9]則分析認(rèn)為文獻(xiàn)[6，7]的雙向認(rèn)證協(xié)議并不能抵御去同步、標(biāo)簽假冒和閱讀器假冒等攻擊，并隨后給出了基于秘密同步的散列函數(shù)和標(biāo)簽閱讀器雙偽隨機(jī)數(shù)改進(jìn)方案。文獻(xiàn)[10]在Hash鏈基礎(chǔ)上引入偽隨機(jī)數(shù)以抵抗重放和竊聽(tīng)攻擊，標(biāo)簽在向閱讀器發(fā)送詢問(wèn)響應(yīng)消息時(shí)需要對(duì)更新后的密鑰值加密，密鑰更新代價(jià)較大。文獻(xiàn)[11]提出了認(rèn)證識(shí)別的單一會(huì)話模式和連續(xù)會(huì)話模式的概念，基于Hash函數(shù)設(shè)計(jì)了一個(gè)介于RFID標(biāo)簽和后端服務(wù)器之間的安全認(rèn)證協(xié)議，并基于GNY邏揖給出了形式化證明。文獻(xiàn)[12]和文獻(xiàn)[13]在標(biāo)簽和數(shù)據(jù)庫(kù)中共享認(rèn)證密鑰K，每個(gè)標(biāo)簽存儲(chǔ)一個(gè)自身標(biāo)識(shí)和認(rèn)證密鑰的信息對(duì)，讓閱讀器和標(biāo)簽分別產(chǎn)生偽隨機(jī)數(shù)Rr和Rt，從而實(shí)現(xiàn)標(biāo)簽和閱讀器間的雙向認(rèn)證，并在每次認(rèn)證完成都進(jìn)行密鑰更新。顯然，標(biāo)簽產(chǎn)生偽隨機(jī)數(shù)和每次都進(jìn)行密鑰更新，增加了計(jì)算開(kāi)銷(xiāo)。文獻(xiàn)[14]則給出了一種基于密鑰值更新的安全認(rèn)證協(xié)議，標(biāo)簽中除存儲(chǔ)標(biāo)識(shí)外，還需存儲(chǔ)上次認(rèn)證和本次認(rèn)證使用的索引值和認(rèn)證密鑰，后端數(shù)據(jù)庫(kù)對(duì)標(biāo)簽的認(rèn)證需要多次查詢和計(jì)算，標(biāo)簽和數(shù)據(jù)庫(kù)為了實(shí)現(xiàn)同步需要對(duì)認(rèn)證密鑰更新，計(jì)算量大。文獻(xiàn)[15]則給出了一種射頻識(shí)別空中接口協(xié)議，采用異或運(yùn)算和對(duì)稱加密的方法進(jìn)行標(biāo)簽和閱讀器之間的加密認(rèn)證。對(duì)稱加密計(jì)算復(fù)雜度和資源開(kāi)銷(xiāo)大，因而對(duì)RFID標(biāo)簽有較高要求。

本文旨在針對(duì)RFID系統(tǒng)計(jì)算存儲(chǔ)能力有限的特點(diǎn)，設(shè)計(jì)一種具有良好機(jī)密性、完整性、可用性的RFID認(rèn)證協(xié)議。論文基于單向散列函數(shù)方式，引入偽隨機(jī)數(shù)和共享秘密機(jī)制，設(shè)計(jì)了一種計(jì)算存儲(chǔ)開(kāi)銷(xiāo)較小的RFID雙向認(rèn)證協(xié)議，分析了認(rèn)證協(xié)議的抗攻擊性能和效率性能，并進(jìn)一步對(duì)協(xié)議模型安全性進(jìn)行了形式化證明。

2　協(xié)議設(shè)計(jì)與描述

許多RFID認(rèn)證算法假定RFID與閱讀器之間通信信道是不安全的，而RFID系統(tǒng)中數(shù)據(jù)庫(kù)與閱讀器間通信信道是安全的，認(rèn)證過(guò)程主要關(guān)注閱讀器與標(biāo)簽之間的通信安全。然而，假冒閱讀器在實(shí)際應(yīng)用中會(huì)給RFID系統(tǒng)帶來(lái)嚴(yán)重威脅。因此，本文算法假定RFID與閱讀器之間信道不安全，且閱讀器與后端數(shù)據(jù)庫(kù)之間的信道也可能不安全。

本文協(xié)議考慮標(biāo)簽、閱讀器、后端數(shù)據(jù)庫(kù)之間的雙向認(rèn)證，適用于被動(dòng)標(biāo)簽，閱讀器具有偽隨機(jī)數(shù)產(chǎn)生器，可獨(dú)立生成偽隨機(jī)數(shù)；后端數(shù)據(jù)庫(kù)和標(biāo)簽中均設(shè)置有兩個(gè)散列函數(shù)模塊H(·)和f(·)、異或運(yùn)算和字符連接運(yùn)算模塊，用于對(duì)偽隨機(jī)數(shù)和身份標(biāo)識(shí)進(jìn)行加密和運(yùn)算。其中，H(·)是RFID系統(tǒng)散列函數(shù)，而f(·)則是標(biāo)簽的私有Hash映射，不同標(biāo)簽使用不同的f(·)單向映射。兩個(gè)單向散列函數(shù)的Hash映射為：{0，1}*→{0，1}L，代表了輸入不定長(zhǎng)度的二進(jìn)制數(shù)串，可得到定長(zhǎng)為L(zhǎng)的二進(jìn)制數(shù)串輸出。

這里，我們使用Reader，DB，Tag分別表示閱讀器、后端數(shù)據(jù)庫(kù)和標(biāo)簽，以N表示閱讀器產(chǎn)生的偽隨機(jī)數(shù)，K是標(biāo)簽和數(shù)據(jù)庫(kù)之間的共享認(rèn)證密鑰。散列函數(shù)運(yùn)算、按位異或和字符串按比特連接操作分別用H，f，⊕和‖表示。合法標(biāo)簽和閱讀器在出廠時(shí)被隨機(jī)分配一個(gè)唯一的身份標(biāo)識(shí)和認(rèn)證密鑰，同時(shí)這些標(biāo)識(shí)和認(rèn)證密鑰存儲(chǔ)在認(rèn)證系統(tǒng)的數(shù)據(jù)庫(kù)中，合法標(biāo)簽的唯一身份標(biāo)識(shí)UID(長(zhǎng)度為L(zhǎng))、認(rèn)證密鑰K、私有散列函數(shù)f以三元組(UID，K，f)的方式存儲(chǔ)在后端數(shù)據(jù)庫(kù)。后端數(shù)據(jù)庫(kù)中同時(shí)還存儲(chǔ)與其相對(duì)應(yīng)的閱讀器標(biāo)識(shí)IDR，標(biāo)簽除了存儲(chǔ)自身三元組標(biāo)識(shí)(UID，K，f)外，還需要存儲(chǔ)系統(tǒng)散列函數(shù)H。RFID雙向認(rèn)證協(xié)議流程如圖1所示。

RFID雙向認(rèn)證協(xié)議的具體步驟執(zhí)行如下：

圖1　RFID雙向認(rèn)證協(xié)議

步驟1閱讀器用偽隨機(jī)數(shù)發(fā)生器生成偽隨機(jī)數(shù)N，將其和認(rèn)證詢問(wèn)請(qǐng)求Query一起發(fā)送至標(biāo)簽；

步驟 2標(biāo)簽收到認(rèn)證請(qǐng)求和偽隨機(jī)數(shù)N后，先從自身存儲(chǔ)器中找出K，用私有散列函數(shù)f()對(duì)認(rèn)證密鑰K和偽隨機(jī)數(shù)N加密計(jì)算后得到M=f(N|| K)，并將其存儲(chǔ)在自身存儲(chǔ)器中，結(jié)合自身標(biāo)識(shí)UID，M和偽隨機(jī)數(shù)N，運(yùn)用系統(tǒng)散列函數(shù)H()和邏輯運(yùn)算操作計(jì)算S=UID⊕H(N‖M)，然后將計(jì)算結(jié)果和M作為詢問(wèn)響應(yīng)消息發(fā)給閱讀器；

步驟 3閱讀器將收到的UID⊕H(N‖M)和M，偽隨機(jī)數(shù)N和自身身份標(biāo)識(shí)IDR一起發(fā)送給后端數(shù)據(jù)庫(kù)；

步驟 4后端數(shù)據(jù)庫(kù)收到IDR后，首先與數(shù)據(jù)庫(kù)存儲(chǔ)的閱讀器標(biāo)識(shí)比較，驗(yàn)證閱讀器的合法性。如果不是合法閱讀器，則立刻中斷認(rèn)證過(guò)程，因?yàn)榧倜暗拈喿x器與后端數(shù)據(jù)庫(kù)進(jìn)行通信，不僅消耗通信資源，使得其他正常的閱讀器無(wú)法與數(shù)據(jù)庫(kù)完成通信，還可能因通信請(qǐng)求頻繁使通信系統(tǒng)崩潰，數(shù)據(jù)庫(kù)中存儲(chǔ)的大量隱私信息因此泄露。閱讀器驗(yàn)證通過(guò)后，數(shù)據(jù)庫(kù)端將收到的M、偽隨機(jī)數(shù)N進(jìn)行系統(tǒng)散列函數(shù)H(·)加密得到H(N‖M)，再與收到的UID⊕H(N‖M)邏輯運(yùn)算即可快速獲得UID，然后搜索數(shù)據(jù)庫(kù)中是否存在標(biāo)簽標(biāo)識(shí)UID'與UID匹配。如果沒(méi)有匹配項(xiàng)，說(shuō)明閱讀器對(duì)標(biāo)簽認(rèn)證失敗，該標(biāo)簽不合法，閱讀器向標(biāo)簽發(fā)送認(rèn)證失敗消息；反之若存在匹配項(xiàng)UID'，則表示標(biāo)簽通過(guò)了后臺(tái)數(shù)據(jù)庫(kù)的第1次認(rèn)證。數(shù)據(jù)庫(kù)還需進(jìn)一步讀取該標(biāo)簽認(rèn)證密鑰K和私有Hash函數(shù)f()，加密計(jì)算M'=f(N|| K)，并檢查是否與M一致。若一致，則標(biāo)簽順利通過(guò)第2次認(rèn)證，后臺(tái)數(shù)據(jù)庫(kù)計(jì)算a=H(K⊕M)，將計(jì)算結(jié)果a和UID一起發(fā)給已經(jīng)通過(guò)認(rèn)證的閱讀器；否則若不一致，標(biāo)簽未通過(guò)認(rèn)證，標(biāo)簽不合法；

步驟 5閱讀器獲得標(biāo)簽標(biāo)識(shí)UID，同時(shí)將a=H(K⊕M)轉(zhuǎn)發(fā)至標(biāo)簽；

步驟 6RFID標(biāo)簽收到a后，利用認(rèn)證密鑰K 和ROM中存儲(chǔ)的M進(jìn)行一次異或運(yùn)算和一次散列加密計(jì)算可得到b=H(K⊕M)，然后比較b和a是否一致。如若結(jié)果一致，則標(biāo)簽對(duì)閱讀器認(rèn)證成功；否則，標(biāo)簽對(duì)閱讀器認(rèn)證失敗。

至此，閱讀器和標(biāo)簽之間已完成雙向身份認(rèn)證，接下來(lái)就可以進(jìn)行正常的數(shù)據(jù)通信。

3　協(xié)議性能效率分析

3.1 協(xié)議抗攻擊性能分析

本文協(xié)議基于共享秘密機(jī)制并引入偽隨機(jī)數(shù)和私有散列函數(shù)，認(rèn)證過(guò)程中進(jìn)行了2次閱讀器認(rèn)證和2次標(biāo)簽認(rèn)證，不使用明文直接傳輸標(biāo)識(shí)數(shù)據(jù)，因此具有較好的抗攻擊性能，分析如下：

(1)假冒攻擊：攻擊者利用偽造的非法標(biāo)簽、閱讀器乃至后端數(shù)據(jù)庫(kù)進(jìn)行假冒攻擊。對(duì)于標(biāo)簽假冒攻擊，后臺(tái)數(shù)據(jù)庫(kù)存儲(chǔ)合法標(biāo)簽的(UID，K，f)，并在認(rèn)證通信過(guò)程中進(jìn)行2次標(biāo)簽認(rèn)證以驗(yàn)證UID，K 和f是否匹配，只有具有正確三元組的標(biāo)簽才可以通過(guò)認(rèn)證，因而可以有效防范標(biāo)簽假冒；對(duì)于非法閱讀器，后臺(tái)數(shù)據(jù)庫(kù)在認(rèn)證步驟4中對(duì)閱讀器標(biāo)識(shí)IDR進(jìn)行驗(yàn)證，從而避免非法閱讀器攻擊。在最壞的假冒攻擊情況下，即閱讀器和后臺(tái)數(shù)據(jù)庫(kù)均為非法假冒，此時(shí)閱讀器向合法標(biāo)簽發(fā)送查詢請(qǐng)求和隨機(jī)數(shù)N，合法標(biāo)簽根據(jù)協(xié)議應(yīng)答UID⊕H(N‖M)和M，非法后臺(tái)數(shù)據(jù)庫(kù)獲得消息后，不僅無(wú)法獲得合法標(biāo)簽的三元組(UID，K，f)，并且即便假冒認(rèn)證通過(guò)，合法標(biāo)簽還要使用自身密鑰K對(duì)H(K⊕M)進(jìn)行計(jì)算以驗(yàn)證是否為正常RFID系統(tǒng)，而非法數(shù)據(jù)庫(kù)無(wú)法得到K，因而無(wú)法通過(guò)合法標(biāo)簽的認(rèn)證。可見(jiàn)，本文協(xié)議很好地抵御了假冒攻擊。

(2)重放攻擊：攻擊者收集閱讀器和標(biāo)簽認(rèn)證過(guò)程中的查詢數(shù)據(jù)(Query，N)和應(yīng)答響應(yīng)UID⊕H(N‖M)和M，隨后重放以實(shí)現(xiàn)非法訪問(wèn)。本文協(xié)議引入偽隨機(jī)數(shù)進(jìn)行盲化處理，閱讀器和標(biāo)簽之間的當(dāng)前認(rèn)證數(shù)據(jù)UID⊕H(N‖M)和下次認(rèn)證通信UID⊕H(N'‖M')不一致，即便攻擊者獲得了標(biāo)簽UID，但由于N'和M'失效而不能通過(guò)認(rèn)證，因而可以防范重放攻擊。

(3)竊聽(tīng)攻擊：攻擊者偽裝成合法標(biāo)簽或閱讀器以竊聽(tīng)分析認(rèn)證通信數(shù)據(jù)。本文協(xié)議中，標(biāo)簽應(yīng)答消息M=f(N||K)和H(N‖M)是單向散列函數(shù)與偽隨機(jī)數(shù)N加密運(yùn)算的結(jié)果，攻擊者無(wú)法反向得到標(biāo)簽密鑰K，因而可以有效抵御竊聽(tīng)攻擊。

(4)用戶跟蹤：攻擊者根據(jù)多次截獲的相同的標(biāo)簽認(rèn)證應(yīng)答消息確定標(biāo)簽用戶并進(jìn)行跟蹤。本文協(xié)議中，標(biāo)簽用戶每次與閱讀器進(jìn)行認(rèn)證通信數(shù)據(jù)M=f(N||K)和S=UID⊕H(N‖M)都在不斷變化和不可連接關(guān)聯(lián)，可以解決用戶跟蹤問(wèn)題。

(5)拒絕服務(wù)攻擊：本文協(xié)議對(duì)標(biāo)簽被訪問(wèn)讀取的次數(shù)沒(méi)有限定，標(biāo)簽收到閱讀器發(fā)送的認(rèn)證請(qǐng)求和偽隨機(jī)數(shù)后，只進(jìn)行加密運(yùn)算而無(wú)需密鑰更新。因此，相比較密鑰動(dòng)態(tài)更新的認(rèn)證協(xié)議而言，當(dāng)標(biāo)簽收到多個(gè)偽造的認(rèn)證請(qǐng)求時(shí)，不會(huì)因?yàn)橛?jì)算量過(guò)大而停止工作。可見(jiàn)，本文協(xié)議具有一定的抗拒絕服務(wù)攻擊能力。

(6)前向安全性：每次認(rèn)證過(guò)程中標(biāo)簽的私有哈希映射f(·)都對(duì)認(rèn)證密鑰K與偽隨機(jī)數(shù)N邏輯運(yùn)算后的結(jié)果進(jìn)行了加密，而且每次都隨機(jī)產(chǎn)生N，因此即使認(rèn)證密鑰K被攻擊者獲取，它也無(wú)法獲取該標(biāo)簽的歷史活動(dòng)信息，從而有效實(shí)現(xiàn)了系統(tǒng)的前向安全性。

表1給出了本文所提出的基于共享秘密和偽隨機(jī)機(jī)制的雙散列函數(shù)認(rèn)證協(xié)議與幾種經(jīng)典輕量級(jí)RFID認(rèn)證協(xié)議，即Hash-Lock協(xié)議[1]、隨機(jī)Hash-Lock協(xié)議[2]、Hash鏈協(xié)議[3]、數(shù)字圖書(shū)館協(xié)議[16]、LCAP協(xié)議[17]和雜湊ID變化協(xié)議[18]等認(rèn)證協(xié)議與本文協(xié)議安全性能的比較。

表1　抗攻擊性能對(duì)比

表中使用“×”表示協(xié)議可能會(huì)遭受相應(yīng)的攻擊，不具備相應(yīng)的安全性；用“√”表示協(xié)議具備相應(yīng)的安全性，可以避免相應(yīng)的攻擊。本文協(xié)議在用戶跟蹤、拒絕服務(wù)、重放攻擊、竊聽(tīng)等方面具備良好的安全防護(hù)，并且可以抵御假冒標(biāo)簽、假冒閱讀器乃至假冒數(shù)據(jù)庫(kù)等攻擊。

3.2 協(xié)議執(zhí)行效率分析

本文協(xié)議認(rèn)證過(guò)程中，閱讀器進(jìn)行1次偽隨機(jī)數(shù)生成，標(biāo)簽進(jìn)行2次哈希運(yùn)算，后端數(shù)據(jù)庫(kù)則進(jìn)行1次搜索查詢操作和2次哈希運(yùn)算，數(shù)據(jù)庫(kù)只需執(zhí)行1次UID的搜索查詢即可驗(yàn)證標(biāo)簽的合法性，而不是通過(guò)對(duì)數(shù)據(jù)庫(kù)中的標(biāo)簽標(biāo)識(shí)逐個(gè)進(jìn)行散列計(jì)算匹配來(lái)找到驗(yàn)證，大大降低了計(jì)算和搜索匹配的復(fù)雜度。本文協(xié)議中，標(biāo)簽不需要產(chǎn)生偽隨機(jī)數(shù)，降低了標(biāo)簽的復(fù)雜性和制造成本。表2給出了與前述幾種經(jīng)典常用協(xié)議效率性能的比較結(jié)果，其中n表示系統(tǒng)中待認(rèn)證的標(biāo)簽數(shù)目，j表示正在進(jìn)行第j次通信認(rèn)證，R表示偽隨機(jī)數(shù)的產(chǎn)生操作次數(shù)，H表示散列運(yùn)算的次數(shù)。為了方便比較，這里將標(biāo)簽標(biāo)識(shí)UID、共享認(rèn)證密鑰K和偽隨機(jī)數(shù)的長(zhǎng)度比特統(tǒng)一設(shè)定為L(zhǎng)。

從表2可以看出，在標(biāo)簽和后端數(shù)據(jù)庫(kù)的存儲(chǔ)開(kāi)銷(xiāo)上，幾種認(rèn)證協(xié)議相差不大，隨機(jī)Hash-Lock協(xié)議的存儲(chǔ)開(kāi)銷(xiāo)最低，而雜湊ID變化協(xié)議存儲(chǔ)開(kāi)銷(xiāo)最多。在計(jì)算開(kāi)銷(xiāo)方面，由于Hash-Lock協(xié)議和隨機(jī)Hash-Lock協(xié)議后端數(shù)據(jù)庫(kù)沒(méi)有采用散列運(yùn)算，因而計(jì)算開(kāi)銷(xiāo)最低，但也失去安全保障；Hash鏈協(xié)議后端數(shù)據(jù)庫(kù)計(jì)算開(kāi)銷(xiāo)和存儲(chǔ)開(kāi)銷(xiāo)都與標(biāo)簽數(shù)量n成正比，不適合用于大規(guī)模標(biāo)簽應(yīng)用；數(shù)字圖書(shū)館認(rèn)證協(xié)議在標(biāo)簽中產(chǎn)生偽隨機(jī)數(shù)，增加了標(biāo)簽的成本和復(fù)雜性。本文協(xié)議標(biāo)簽和后端數(shù)據(jù)庫(kù)的存儲(chǔ)開(kāi)銷(xiāo)與其他認(rèn)證協(xié)議相當(dāng)(僅高于隨機(jī)Hash-Lock協(xié)議)，計(jì)算開(kāi)銷(xiāo)均為2H，并且實(shí)現(xiàn)了雙向認(rèn)證和各安全性目標(biāo)。這意味著每增加1個(gè)標(biāo)簽，本文協(xié)議將增加2次后端數(shù)據(jù)庫(kù)Hash計(jì)算和1次隨機(jī)數(shù)生成，因此本文協(xié)議可適用于標(biāo)簽數(shù)量多的系統(tǒng)。

表2　效率性能比較

4　協(xié)議BAN邏輯分析與安全性證明

為了形式化分析和證明本文加密認(rèn)證協(xié)議的安全性，我們采用BAN邏輯分析方法[19]進(jìn)行證明。

4.1 協(xié)議模型形式化描述

首先對(duì)本文協(xié)議的認(rèn)證加密過(guò)程進(jìn)行簡(jiǎn)化：閱讀器和標(biāo)簽分別用R和T表示，標(biāo)簽向閱讀器發(fā)送了自身標(biāo)識(shí)UID，本文協(xié)議中閱讀器雖然沒(méi)有將自身標(biāo)識(shí)發(fā)送給標(biāo)簽，但形式化分析簡(jiǎn)化具體認(rèn)證過(guò)程，抽象化之后可以認(rèn)為閱讀器向標(biāo)簽發(fā)送了標(biāo)識(shí)IDR。這樣，本文協(xié)議模型可以形式化描述為：

考慮到通常假定后端數(shù)據(jù)庫(kù)和閱讀器之間的通信信道是安全的，因而可將閱讀器和后端數(shù)據(jù)庫(kù)看作同一認(rèn)證主體R，標(biāo)簽則是另一認(rèn)證主體T，協(xié)議模型可進(jìn)一步形式化為：

4.2 協(xié)議安全目標(biāo)

4.3 協(xié)議初始假設(shè)

4.4 協(xié)議證明分析

再根據(jù)隨機(jī)數(shù)驗(yàn)證規(guī)則

再根據(jù)隨機(jī)數(shù)驗(yàn)證規(guī)則

通過(guò)以上BAN邏輯證明分析可知，本文協(xié)議實(shí)現(xiàn)了安全目標(biāo)，標(biāo)簽和閱讀器之間實(shí)現(xiàn)了安全的雙向認(rèn)證。

5　結(jié)束語(yǔ)

本文在分析借鑒近年來(lái)國(guó)內(nèi)外RFID認(rèn)證加密協(xié)議方面的研究工作的基礎(chǔ)上，設(shè)計(jì)了一種基于共享秘密的偽隨機(jī)散列函數(shù)RFID雙向認(rèn)證協(xié)議。認(rèn)證協(xié)議中引入標(biāo)簽私有Hash函數(shù)f并由后端數(shù)據(jù)庫(kù)和標(biāo)簽共享，用于實(shí)現(xiàn)標(biāo)簽對(duì)閱讀器和后端服務(wù)器的反向認(rèn)證，強(qiáng)化標(biāo)簽密鑰K的保護(hù)，提高了抵御竊聽(tīng)和假冒攻擊的性能；引入偽隨機(jī)數(shù)并由閱讀器而不是標(biāo)簽產(chǎn)生，實(shí)現(xiàn)對(duì)認(rèn)證通信數(shù)據(jù)的盲化處理，有效防范重放攻擊，也降低了標(biāo)簽計(jì)算存儲(chǔ)開(kāi)銷(xiāo)；將標(biāo)簽UID與系統(tǒng)單向散列函數(shù)的邏輯運(yùn)算結(jié)果作為應(yīng)答消息，大幅減少了后端數(shù)據(jù)庫(kù)的查詢開(kāi)銷(xiāo)，也在一定程度上保障了認(rèn)證通信的機(jī)密性。在此基礎(chǔ)上，本文分析了認(rèn)證協(xié)議的抗攻擊性能和效率性能，并基于經(jīng)典的BAN邏輯分析方法對(duì)協(xié)議模型進(jìn)行了分析，證明了本文協(xié)議能夠?qū)崿F(xiàn)預(yù)期安全目標(biāo)。

參考文獻(xiàn)

[1]HUANG H F，YU P K，and LIU K C.A privacy and authentication protocol for mobile RFID system[C].2014 IEEE International Symposium on Independent Computing，IEEE，Orlando，USA，2014:1-6.

[2]NYALAMADUGU S，LIU J，and DE VELASCO CORTINA F M.Methods and apparatus for preserving privacy in an RFID system[P].U.S.Patent 8710960.2014.

[3]LI N，MU Y，SUSILO W，et al.Privacy-preserving Authorized RFID Authentication Protocols[M].Radio Frequency Identification:Security and Privacy Issues.Springer International Publishing，Berlin，Germany，2014:108-122.

[4]PERIS-LOPEZ P，ORFILA A，PALOMAR E，et al.A secure distance-based RFID identification protocol with an off-line back-end database[J].Personal and Ubiquitous Computing，2012，16(3):351-365.

[5]HAN S，DILLON T，POTDAR V，et al.RFID mutual authentication protocols for tags and readers with and without a server[J].Computer Systems Science and Engineering，2013，28(2):91-99.

[6]CHO J S，YEO S S，and KIM S K.Securing against bruteforce attack:A hash-based RFID mutual authentication protocol using a secret value[J].Computer Communications，2011，34(3):391-397.

[7]CHO J S，JEONG Y S，and PARK S O.Consideration on the brute-force attack cost and retrieval cost:A hash-basedradio-frequency identification(RFID)tag mutual authentication protocol[J].Computers ＆ Mathematics with Applications，2012:1-8.

[8]Kim H.RFID mutual authentication protocol based on synchronized secret[J].International Journal of Security ＆ Its Applications，2013，7(4):37-49.

[9]SAFKHANI M，PERIS-LOPEZ P，HERNANDEZ-CASTRO J C，et al.Cryptanalysis of the Cho et al.protocol:a hash-based RFID tag mutual authentication protocol[J].Journal of Computational and Applied Mathematics，2014，259:571-577.

[10]周曄.基于Hash鏈的RFID雙向認(rèn)證協(xié)議研究[D].[碩士論文]，西南交通大學(xué)，2012.ZHOU Y.Research on RFID mutual authentication protocol based on Hash chain[D].[Master dissertation]，South West Jiaotong University，2012.

[11]丁振華，李錦濤，馮波.基于 Hash 函數(shù)的 RFID 安全認(rèn)證協(xié)議研究[J].計(jì)算機(jī)研究與發(fā)展，2009，46(4):583-592.DING Z，LI J，and FENG B.Research on Hash-based RFID security authentication protocol[J].Journal of Computer Research and Development，2009，46(4):583-592.

[12]孫肖，趙澤茂.一種基于哈希函數(shù)的RFID雙向認(rèn)證協(xié)議[J].杭州電子科技大學(xué)學(xué)報(bào)，2012，32(6):29-32.SUN X and ZHAO Z.A Hash-based mutual authentication protocol for the RFID system[J].Journal of Hangzhou Dianzi University，2012，32(6):29-32.

[13]蔡豪.RFID安全認(rèn)證協(xié)議的研究與設(shè)計(jì)[D].[碩士論文]，華中科技大學(xué)，2010.CAI H.Studies on RFID security authentication protocol[D].[Master dissertation]，Huazhong University of Science ＆Technology，2010.

[14]李斌.RFID安全協(xié)議的研究[D].[碩士論文]，復(fù)旦大學(xué)，2012.LI B.Research on RFID security protocol[D].[Master dissertation]，F(xiàn)udan University，2012.

[15]信息技術(shù)射頻識(shí)別800/900 MHz空中接口協(xié)議[S].北京:中國(guó)標(biāo)準(zhǔn)出版社，2013，GB/T29768-2013.Information technology-radio frequency identification air interface protocol at 800/900 MHz[S].Beijing:Standards Press of China，2013，GB/T 29768-2013.

[16]WANG J，F(xiàn)LOERKEMEIER C，and SARMA S E.Session-based security enhancement of RFID systems for emerging open-loop applications[J].Personal and Ubiquitous Computing，2014，18(8):1881-1891.

[17]MAMUN M S I and MIYAJI A.A privacy-preserving efficient RFID authentication protocol from SLPN assumption[J].International Journal of Computational Science and Engineering，2015，10(3):234-243.

[18]SHOARINEJAD K and SOLTAN M.Systems and methods for RFID security[P].U.S.Patent Application 14/592，455.2015-1-8.

[19]BURROWS M，ABADI M，and NEEDHAM R M.A logic of authentication[C].Proceedings of the Royal Society of London.A:Mathematical and Physical Sciences.The Royal Society，London，1989，426(1871):233-271.

石樂(lè)義：男，1975年生，博士，教授，碩士生導(dǎo)師，研究方向?yàn)榫W(wǎng)絡(luò)與信息安全、博弈理論、移動(dòng)計(jì)算.

賈 聰：男，1989年生，碩士生，研究方向?yàn)榫W(wǎng)絡(luò)與信息安全、移動(dòng)支付安全.

宮 劍：男，1975年生，碩士，高級(jí)工程師，研究方向?yàn)榻鹑谛畔⒐芾?

劉 昕：女，1974年生，博士，講師，研究方向?yàn)榫W(wǎng)絡(luò)與信息安全、社會(huì)計(jì)算.

陳鴻龍：男，1982年生，博士，副教授，研究方向?yàn)闊o(wú)線傳感器網(wǎng)絡(luò)、網(wǎng)絡(luò)安全、物聯(lián)網(wǎng).

RFID Mutual Authentication Protocol on Pseudo-random Hash Function with Shared Secrets

SHI Leyi①②JIA Cong①GONG Jian②LIU Xin①CHEN Honglong①
①(College of Computer and Communication Engineering，China University of Petroleum，Qingdao 266555，China)
②(Shanghai Key Laboratory of Financial Information Technology，Shanghai 200433，China)

Abstract:Concerning the resource-limited RFID tags，this paper presents a lightweight mutual authentication scheme based on Hash function，combining with the pseudo-random number and shared secret mechanisms，and implements the mutual authentication among the end database，reader and the tags.The anti-attack performance and the overhead of the scheme are analyzed in detail.Afterwards，the protocol security model is formalized using BAN logical analysis method.Theoretical analysis shows that the proposed authentication scheme could achieve the desired security goals，has good anti-attack performance and high efficiency.It can be applied to big population RFID since its low overhead for RFID tags.

Key words:Radio Frequency IDentification(RFID); Mutual authentication protocol; Privacy protection; BAN logic; Hash function

基金項(xiàng)目：國(guó)家自然科學(xué)基金(61309024)，上海市金融信息技術(shù)研究重點(diǎn)實(shí)驗(yàn)室開(kāi)放課題(2015)，山東省重點(diǎn)研發(fā)計(jì)劃項(xiàng)目(2015GGX101045)

*通信作者：石樂(lè)義shileyi@upc.edu.cn

收稿日期：2015-06-01，改回日期：2015-11-08；網(wǎng)絡(luò)出版：2015-12-18

DOI:10.11999/JEIT150653

中圖分類(lèi)號(hào)：TP391.45

文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-5896(2016)02-0361-06

Foundation Items:The National Natural Science Foundation of China(61309024)，The Funding of Shanghai Key Laboratory of Financial Information Technology(2015)，Shandong Provincial Key Program of Research and Development(2015GGX191945)