基于Hash函數的RFID雙向認證協議

高華 黃穩定 魯俊

摘要：為了改善RFID無線傳感網絡中讀寫器與標簽之間安全隱私容易泄漏的問題，在現有安全協議研究基礎上，提出一種改進的RFID雙向認證協議。該協議包含讀寫器、電子標簽雙重認證，通過安全性檢測可以有效抵御重傳攻擊、竊聽、位置跟蹤、非法讀取以及假冒攻擊等不安全問題，具有成本低、效率高、安全性好等優點。通過對協議建立理想化模型，利用BAN邏輯形式化分析方法從理論上證明其安全性。通過軟件仿真模擬RFID系統，對讀寫器和標簽的雙向認證進行仿真測試，證明了協議的實用性。

關鍵詞：射頻識別;安全認證協議;安全性分析;BAN邏輯;軟件仿真

RFID Mutual Authentication Protocol Based on Hash Function

GAO Hua?HUANG Wen?ding?LU Jun

（1.Academic Affairs Office，University of Shanghai for Science and Technology， Shanghai 200093， China;

2.The Third Institute， Ministry of Public Security，Shanghai 201204， China;

3.Shanghai Electric Central Research Institute， Shanghai 200070， China）

Abstract：In order to improve issue of easy leak of privacy between readers and tags in RFID wireless sensor networks， an improved RFID bidirectional authentication protocol is proposed based on the existing security protocols. The protocol includes dual authentication of the reader and the tag， and it can effectively resist location tracking， retransmission attacks， eavesdropping and illegal reading and counterfeiting attacks and other unsafe problems through security analysis with advantages of low cost， high efficiency and high security advantages. BAN logic formalization analysis is used to prove the security of the protocol in theory by establishing an idealized model of the protocol. The two?way authentication of the reader and the tag is simulated by software simulation， which demonstrates the practicability of the protocol.

Key Words：radio frequency identification;security authentication protocol;security analysis;BAN logic; software simulation

0?引言

射頻識別（Radio Frequency Identification，RFID）技術是一種利用電磁耦合或者電磁發射實現無接觸信息傳遞，從而實現對目標對象信息數據的獲取和自動識別[1]。RFID技術能快速、穩定、可靠地采集數據，同時對數據進行加工，完成響應，已在生活中多個領域得到了應用并充分突顯出其強大的實用價值。針對可變RFID系統的安全問題，很多國內外學者已進行大量研究并提出相應的解決方案，促進了RFID系統安全問題研究的發展[2]。認證方案主要分為兩大類：一類是物理安全機制，其是使用物理方法完善RFID系統安全性問題的機制;另一類是認證安全機制，其是使用成熟的密碼體制以設計滿足RFID系統安全性的認證協議。

Hash?Lock協議是由Sarma等[3?4]提出的一種安全協議，但很容易受到位置追蹤、重傳攻擊和假冒攻擊。Weis等[5?6]提出一種隨機化Hash?Lock安全協議。RFID系統在每一次認證時，讀寫器需要請求后端數據庫保存的全部標簽ID，導致隨機化Hash?Lock很難在實際生產中廣泛使用。Hash鏈協議是由NTT實驗室提出的一種基于共享秘密的安全協議[7]。由于RFID系統標簽需要嵌入2個不同的哈希函數，一個用于認證請求響應，一個用于秘密值更新，因此增加了RFID系統標簽的制造成本。曾麗華等[8]提出一種 “Key值更新隨機Hash鎖對RFID安全隱私的加強” 安全認證協議。RFID系統標簽需要嵌入2種不同的哈希函數，一個用于讀寫器認證響應，一個用于隨機關鍵字更新，增加了標簽制造成本[9]。

針對前人對RFID系統研究存在的不足，本文提出一種新的基于共享密鑰Hash函數的RFID雙向認證協議，采用雙向認證和向前安全檢驗，在防止位置跟蹤、防重傳攻擊和假冒攻擊方面做了新的工作，能夠有效防止竊聽與非法讀取，同時該協議具有系統低復雜性和低成本的優點。使用BAN邏輯和軟件進行仿真實驗，結果證明了協議的適用性和安全性。

1?RFID簡介

1.1?RFID系統構成

RFID系統一般由三大部分構成：RFID標簽、RFID讀寫器以及后端數據庫[10?11]。RFID系統基本構成如圖1所示。

（1）RFID標簽。主要由無線通信天線及芯片組成，通過在電子標簽中存儲需要被識別物品的相關信息，以標識和分類不同物品。

（2）RFID讀寫器。讀寫器包含無線通信天線、射頻接口和邏輯控制單元3個主要組成部分，主要實現與電子標簽之間的數據通信，實現數據的讀出和寫入。

（3）后端數據庫。對讀寫器轉發過來的全部電子標簽相關信息進行集中統計與分析，并通過特定的安全信道反饋給讀寫器。

1.2?RFID安全隱私需求

RFID技術在方便人們生活的同時，也帶來諸多安全隱患，造成RFID系統出現安全隱私問題的根本原因是RFID系統應用完全開放。RFID系統面臨的具體安全問題主要包括：重傳攻擊、位置跟蹤、竊聽與非法讀取、假冒攻擊[12]。能否抵御重傳攻擊等安全威脅，通常被用作評價RFID系統應用層協議安全性的重要指標[13]。

1.3?基于Hash函數的RFID安全認證協議

基于Hash函數的RFID安全認證協議是劉明生等[14]提出的一種安全認證協議。標簽存儲IDt，讀寫器存儲IDr，后臺數據庫存儲系統全部標簽和讀寫器的記錄對（IDt， H（IDt））、（IDr， H（IDr）），其中H是哈希函數。在每次標簽認證過程中，假設數據庫系統中存儲N標簽，認證時后臺服務器需要執行2次記錄搜索、1次Hash 函數運算。讀寫器需要生成一個隨機數、執行2次Hash函數運算，相比而言增加了讀寫器計算能力需求[15]。標簽需要執行1次數值比較和3次Hash函數計算。RFID系統中添加了異或操作，同時增加了系統制造成本。

2?基于共享秘密Hash函數的RFID安全認證協議

通過對基于Hash函數的RFID安全認證協議的深入學習與研究[16?17]，針對其中存在的一些不足與安全隱患，本文提出一種新的改進型安全認證協議——基于共享秘密Hash函數的RFID安全認證協議。協議包含讀寫器、電子標簽的雙重認證，仿真實驗結果證明該協議能夠有效提高RFID認證的安全性[18]。

2.1?協議原理

標簽存儲ID、S和H（ID||S），認證前鎖定標簽。將所有標簽數據對（ID、S、H（ID||S））存儲到后端數據庫，并將隨機數生成器嵌入到后端數據庫中。ID是唯一標識，S是認證前系統預先設置的秘密值，Hash（ID||S）為ID||S的單向Hash函數，其中S與Hash（ID||S）會因隨機數的不同而不斷更新。協議流程如圖2所示。

2.2?認證步驟

安全協議步驟如下：

（1）后端數據庫生成隨機數R并發送給讀寫器。

（2）讀寫器向標簽發出Query、R認證請求。

（3）標簽計算H（ID||R||S），然后將（H（ID||R||S）、H（ID||S））數據對發送給讀寫器，并自行計算ST=H（R||S）、H（ID||ST）。

（4）讀寫器將接收到的標簽信息轉發到后端數據庫。

（5）后端數據庫根據接收到的數據，搜索是否存在（IDj，S，H（IDj||S））的H（IDj||S）與讀寫器轉發過來的數據H（ID||S）相同。若相同，則根據該組的IDj、S計算H（IDj||R||S），并與讀寫器轉發過來的數據H（ID||R||S）比較是否一致。若一致，則進行下一步，否則標簽認證失敗。

（6）后端數據庫計算SDB=H（R||S）、H（ID||SDB）、H（IDj||R||SDB），并通過讀寫器將H（ID?j||R||SDB）轉發給標簽。后端數據庫使用SDB和H（ID||SDB）替換相應的S和H（ID||S）。

（7）計算H（ID||R||ST），同時與讀寫器轉發過來的數據H（IDj||R||SDB）比較是否一致。若一致，則讀寫器認證成功，標簽使用ST、H（ID||ST）替換相應的S、H（ID||S），否則讀寫器認證失敗。

3?實驗與分析

3.1?數值實驗

假設認證前數據庫系統記錄了5個標簽，ID分別為1、2、3、4、5，S分別為a、b、c、d、e，H（ID||S）分別為H（1||a）、H（2||b）、H（3||c）、H（4||d）、H（5||e），認證前數據庫標簽信息如表1所示。

假設讀寫器需要對ID為1的標簽進行認證，那么數值實驗的認證步驟如下：

（1）假設后臺數據庫生成隨機數7，并將其發送到讀寫器。

（2）讀寫器發送認證請求和隨機數7到標簽。

（3）標簽根據自身的唯一標識ID、哈希函數H和共享秘密值S計算H（ID||R||S），并將結果（H（1||7||a）、H（1||a））數據對響應給讀寫器。

（4）讀寫器將（H（1||7||a）、H（1||a））數據對轉發到后臺服務器。

（5）后臺數據庫根據H（1||a）檢索數據庫H（ID||S）列記錄，找到ID等于1、S等于a的記錄，然后計算H（1||7||a），并與讀寫器轉發過來的H（1||7||a）對比是否一致。如果不一致，則標簽認證失敗，一致則標簽認證通過，繼續向下運行。

（6）后臺數據庫計算H（7||a）、H（1||H（7||a））、H（1||7||H（7||a）），使用H（7||a）替換數據庫ID為1的S列，使用H（1||H（7||a））替換數據庫ID為1的H（ID||S）列，并將H（1||7||H（7||a））發送給讀寫器。

（7）讀寫器將H（1||7||H（7||a））轉發給標簽。

（8）標簽計算H（7||a）、H（1||H（7||a））、H（1||7||H（7||a）），比較H（1||7||H（7||a））與讀寫器轉發過來的H（1||7||H（7||a））數據是否相等。如果相等，則讀寫器認證通過，并使用H（7||a）替換S，使用H（1||H（7||a））替換H（ID||S），否則讀寫器認證失敗。認證完成后數據庫標簽記錄如表2所示。

3.2?協議安全性分析

每個表均需要標注如下：

（1）雙向認證。通過后端數據庫比較H（IDj||R||S）與H（ID||R||S）是否相等，通過標簽比較H（ID||R||ST）與H（IDj||R||SDB）是否相等，實現RFID系統合法身份的雙向認證。

（2）向前安全。由于共享秘密值S、隨機數R的可變性和Hash函數的單向性，即使非法獲取了H（ID||R||S）和H（ID||S）的值，也無法回溯標簽之前的相關信息。

（3）防位置跟蹤。由于共享秘密值S和隨機數R是動態變化與實時更新的，因此標簽每一次回答讀寫器詢問值H（ID||R||S）和H（ID||S）也是不等的，可以防止攻擊者按照RFID系統標簽特定的響應進行定位跟蹤。

（4）防重傳攻擊。每次秘密數S是變化的，攻擊者即使竊聽到合法讀寫器前面發送的H（ID?j||R||SDB）、合法標簽前面發送的H（ID||S）和H（ID||R||S），也無法再次模擬出H（ID?j||R||SDB）或H（ID||S）和H（ID||R||S）的值，有效防止了重傳攻擊。

（5）防竊聽與非法讀取。標簽ID經過Hash函數加密后，即使在非安全信道傳播，非法用戶也無法竊聽到標簽的真實ID信息。

（6）防假冒攻擊。因為在每次認證過程完成后，都對標簽共享秘密值S和服務器共享秘密值S進行了更新，所以攻擊者無法偽造秘密值S。攻擊者偽造的標簽響應與真實H（ID||S）和H（ID||R||S）不一致，因此無法通過讀寫器認證。讀寫器響應的H（ID?j||R||SDB）與攻擊者偽造的讀寫器響應不同，所以不會通過標簽認證。

（7）低復雜性、低成本。將較為復雜的隨機數產生器等運算轉移到RFID系統后端數據庫中，降低了RFID系統標簽的復雜性，并且在標簽中只嵌入一個哈希運算，同時又減少了RFID系統成本。

由此得出，基于Hash函數的RFID安全認證協議安全性能比較如表3所示。表3中以“×”表示不符合安全，以“√”表示符合安全。

3.3?BAN邏輯安全分析

3.3.1?慣性權重自適應調整

BAN邏輯分析時，假設讀寫器和后端數據庫是主體A，標簽是主體B。協議中S表示預共享秘密值，R表示后端數據庫生成的隨機數，ID?i和ID?t分別是后端數據庫與標簽中存放的唯一標識[19?20]。協議初始化假設如下：

3.3.2?理想化模型、邏輯規則及安全目標

在進行BAN分析時，可以抽象并省略掉與協議安全性分析間接相關的邏輯部分，只保留與協議安全性分析直接相關的邏輯部分，協議的理想化模型如下：

A{R，ID?t}?s（7）

B{R，ID?i}?s（8）

可能用到的邏輯規則包括消息含義規則、新鮮規則、隨機數驗證規則、仲裁規則，分別如式（9）、式（10）、式（11）、式（12）所示。

安全目標為：

3.3.3?分析推理及結論

（1）?證明?A|≡ID?t?。

步驟一：由假設條件式（1）、理想化模型式（7）、消息含義規則式（9），可推導出式（15）。

步驟二：由假設條件式（3）、新鮮規則式（10）可推導出式（16）。

步驟三：由隨機數驗證規則式（11）可推導出式（17）。

步驟四：由假設條件式（5）、仲裁規則式（12），推導出目標結果：?A|≡ID?t?。

（2）證明?B|≡ID?i?。

步驟一：由假設條件式（2）、理想化模型式（8）、消息含義規則式（9），可推導出式（18）。

步驟二：由假設條件式（4）、新鮮規則式（10），可推導出式（19）。

步驟三：由隨機數驗證規則式（11），可推導出式（20）。

步驟四：由假設條件式（6）、仲裁規則式（12），推導出目標結果：?B|≡ID?i?。

由上可推導出本文協議的安全目標?A|≡ID?t和B|≡ID?i?。因此，本文提出的安全協議能夠有效實現RFID標簽和讀寫器雙向認證的安全目標。

3.4?仿真實驗與分析

為驗證基于共享秘密Hash函數的RFID雙向認證協議的安全性和適用性，選用計算機軟件模擬該協議進行仿真實驗。

3.4.1?仿真實驗系統軟件結構

本文開發的仿真實驗系統，主要以Eclipse作為系統開發環境，采用JavaSE?1.8開發系統應用軟件，后臺數據庫管理系統采用MySQL關系型數據庫，用MD5對通信數據進行加密。系統主要包括3個模塊： 標簽、后臺服務器和讀寫器，各模塊間通過TCP/IP通信。通過仿真實驗軟件模擬真實環境的RFID系統，并使用改進算法實現安全協議的認證過程。標簽模塊與讀寫器模塊之間使用TCP/IP通信模擬射頻通信，標簽模塊與讀寫器模塊之間的通信信道為向前信道。圖3為仿真實驗系統軟件結構。

3.4.2?協議報文設計

根據IP報文的設計思想，可將協議報文格式設計如下：報文首部的控制信息占3個字節，首字節表示協議的版本信息，第二個字節表示指令類型，第三個字節表示指令長度;控制信息部分之后就是實際的有效數據，即0個或多個數據字節。協議的報文格式如圖4所示。

根據協議的認證過程，協議將發送和接收的報文分為6類，如表4所示。

3.4.3?仿真結果與分析

首先在數據庫管理系統預先設置需要認證的標簽信息，然后通過綁定、監聽與連接端口，建立后臺服務器、讀寫器和標簽模塊的通信鏈路，接下來選擇一個合法的讀寫器和標簽，并從后臺服務器模塊開始執行安全協議認證。完成一次安全協議認證，其后臺服務器模塊如圖5示，讀寫器模塊如圖6示，標簽模塊如圖7示。

當讀寫器和標簽認證通過后，會生成新的秘密值S和H（ID||S），替換數據庫標簽信息表中相應的記錄。認證前和認證后“合法標簽1”的記錄如表5所示。

從協議認證過程可以看出，后臺服務器模塊實現了對合法標簽的安全認證，標簽模塊也實現了對合法讀寫器的安全認證，達到了協議雙向認證的安全目標。

4?結語

本文通過分析目前典型的RFID安全認證協議，基于RFID系統制造成本和安全隱私問題的相關性，提出一種新的基于Hash函數的RFID動態認證協議，設計了相應的模擬認證過程，從不同角度對協議的性能進行分析，并使用形式分析方法BAN邏輯證明了新協議的安全性，最后在Eclipse環境下對該協議進行軟件模擬仿真實驗，對標簽和讀寫器的雙向認證過程進行仿真實驗。通過理論分析和實驗模擬仿真，結果表明本文提出的基于Hash函數的RFID動態認證協議可以改善多種RFID安全隱私泄漏問題，并且資源占用率、系統復雜性以及RFID系統硬件要求均保持在可接受范圍之內，是一種可行的安全認證協議。本文實驗是在理想條件下進行的，沒有考慮到實際應用中的干擾因素，未來可在實驗驗證中加入干擾因素，驗證其在實際應用中的價值。

參考文獻：

[1]?裴小強，衛宏儒.基于Hash鏈的RFID安全雙向認證協議[J].計算機應用，2014（S1）：47?49+54.

[2]?張捍東，丁磊，岑豫皖.基于Hash函數的RFID安全協議研究[J].計算機工程與設計，2013，34（11）：3766?3769.

[3]?石樂義，賈聰，宮劍，等.基于共享秘密的偽隨機散列函數RFID雙向認證協議[J].電子與信息學報，2016，38（2）：361?366.

[4]?SARMA S E， WEIS S A， ENGELS D W. RFID systems，security and privacy implications[J]. Proceedings of the 4th International Workshop on Cryptographic Hardware and Embedded Systems（CHES 2002），2003：454?469.

[5]?SARMA S E， WEIS S A， ENGELS D W. Radio frequency identification： secure risks and challenges[J]. RSA Laboratories Cryptobytes， 2003，6（1）：2?9.

[6]?WEIS S A， SARMA S E， RIVEST R L， et al. Security and privacy aspects of low cost radio frequency identification systems[C]. Proceedings of the 1st International Conference on Security in Pervasive Computing， 2004：201?212.

[7]?周揚，龔暢，徐平平，等. Hash函數結合相互認證的智能卡遠程雙向安全認證方案[J].計算機測量與控制，2017，25（6）：115?119.

[8]?曾麗華，熊璋，張挺.Key值更新隨機Hash鎖對RFID安全隱私的加強[J].計算機工程，200（3）：151?153+159.

[9]?張朝暉，劉悅，劉道微.基于標簽ID的RFID系統密鑰無線生成算法[J].計算機應用研究， 2017，34（1）：261?263.

[10]?謝錦彪， 歐毓毅， 凌捷.一種改進的基于Hash函數的RFID雙向認證協議[J]. 廣東工業大學學報， 2014 （3）：62?66.

[11]?周永彬，馮登國.RFID安全協議的設計與分析[J].計算機學報，2006（4）：4581?4589.

[13]?RHEE K， KWAK J， KIM S， et al. Challenge?response based RFID authentication protocol for distributed database environment[C]. Proc of the 2nd Int Conf on Security in Pervasive Computing， 2005：70?84.

[14]?劉明生，王艷，趙新生.基于Hash函數的RFID安全認證協議的研究[J].傳感技術學報，2011（9）：1317?1321.

[15]?黃穩定，鄔春學，高華.基于Hash函數的RFID安全認證協議研究[J].軟件導刊，2017，16（2）：159?161.

[16]?熊婧，王建明.基于HASH函數的RFID安全雙向認證協議研究[J].中國測試，2017，43（3）：87?90.

[17]?陳莊，陳亞茹.基于hash實現低成本RFID的SRFID安全方案[J].重慶理工大學學報，2017（12）：140?145.

[18]?丁振華，李錦濤，馮波.基于Hash函數的RFID安全認證協議研究[J].計算機研究與發展，2009（4）：583?592.

[19]?BURROWS M A， NEEDHAM R. Logic of authentication [J]. Computer Systems， 1990，8（1）：18?36.

[20]?馮登國.可證明安全性理論與方法研究[J].軟件學報，2005，10：1743?1756.