基于Hash的閱讀器與標簽之間的認證協議優化研究

陳紅琳

摘要：伴隨物聯網技術的不斷發展，其在眾多領域得到了廣泛的應用，并推動了社會技術進步，然而物聯網技術也帶來一系列較為突出的安全問題。本文選擇當前物聯網RFID技術中的安全問題為研究重點，通過研究RFID技術中的安全認證協議，設計了一種基于Hash的Reader與Tag之間的優化認證協議，核心重點在于確保Tag的不可跟蹤性。通過對認證協議的優化實現了對跟蹤性的保護，提升了協議防范主動攻擊的能力。

關鍵詞：物聯網;RFID;優化認證協議;隱私保護

中圖分類號：TP311? ? ? ?文獻標識碼：A

文章編號：1009-3044（2019）27-0019-03

為了保障物聯網技術的穩定健康發展，必須高度重視物聯網的安全問題，特別是在RFID系統中，在閱讀器（Reader）與標簽（Tag）之間存在著較為顯著的隱私數據安全問題與雙向認證問題，尤其是用戶隱私信息的可跟蹤性一直是備受重視的一個研究領域，要想較好地解決這一問題，必須在Reader與Tag之間構建一種雙方向認證機制。考慮到傳統RFID Tag通常會被資源予以限制，本文提出一種優化的認證協議方案，即確保Tag的不可追蹤性，旨在提供更加良好的可跟蹤性安全保護，同時提升系統的通信效率。該優化協議方案屬于一種輕量級的認證協議，其雙向認證的方式主要是通過“Challenge/Response”（挑戰/應答）的方式予以實現。

為了解決可跟蹤性這一問題，則是確保詢問器在各個詢問過程中對同一Tag查詢避免采用一致的Challenge。Challenge/Response方案的核心內容在于：每一次對身份進行認證時，認證Server端均會發送不同的Challenge字符串給Client端，Client端在獲取Challenge后，將進行對應的Response，具體路程如下：User向認證Server端請求進行身份認證;在User Database中認證Server進行用戶的身份查詢，若查詢顯示該用戶身份不合法，則不予以處理，反之則進入下一步流程;認證Server端產生一個Random Number，將其傳輸給User;User將User Name與Random Number相互連接，借助單方向Hash Function生成Response字符串;認證Server端將該Response字符串與自身的計算結果相互對比，若結果一致，則完成本次認證，反之則不予以認證;認證Server端發送信息告知User本次認證是否通過，后續User再次發起認證，在該過程中就缺少了請求認證的操作步驟。由此在兩次認證之間的時間間隔不能設置過短，否則將會給Client端、認證Server端與網絡造成過大的負擔。除此以外時間間隔也不能過長，否則存在User的IP Address被盜用的風險，最終將兩次認證之間的時間間隔設置為1-2分鐘較為合適。

1 系統模型

本研究中RFID系統由Reader、Tag以及后端Server共同組成，此處的Tag均采用無源Tag，由于各個Tag內可以容納的資源大小有限制，僅包含數百Bit非易失性內存與Hash函數功能。各個Tag（Ti）中均預先內置有密鑰ki（長度為l比特），未對此前使用過的Random Number予以記錄，該優化方案中對各個tag留取m比特的內存將上述記錄予以存儲。Reader向Tag查詢獲取其有關身份數據。后端Server則對Tag的全部必要數據信息（如Hash Function、Random Number Generator）予以存儲。

2 攻擊模型

本優化協議方案中，假定后端Server為可信實體，同時具有良好的安全性，在Reader與后端Server之間的通信信道不存在安全隱患，則惡意Reader無法借助Server獲取相應的認證。若攻擊者可以對Reader與Tag之間的通信信道予以監聽，并可向通信信道注入任意類型的數據信息，由此攻擊類型既可以是被動型，也可以是主動型。本文所假設的攻擊模型可以是一個惡意Reader、惡意Tag或者監聽器，同時在攻擊模型對攻擊者掃描Tag或欺騙Reader的次數設置有一定上限數量。

3 安全需求

分析RFID系統的安全需求主要包括保密性、不可跟蹤性、歷史安全性和可用性。

4 協議描述

本文所提出的優化協議是在基于Hash的協議的基礎上予以優化的。后端Server產生Random Number（Nr），各個Tag均有對應的密鑰ki（長度為l比特）與長度為m比特的映射。后端Server負責對Database的維護管理，該Database為全部密鑰負責存儲Random Number（Nr）與Hash值h（ki，N）。

本文研究的優化協議具體流程如下：閱讀器Reader將Random Number（Nr）傳輸給標簽Ti;標簽Ti在收到Random Number（Nr）后，首先計算標簽在映射中的具體位置j=h（ki，Nr）mod m，接著檢驗映射中的比特j（map[j]）是否完成設置。若未對map[j]完成設置，則代表Random Number（Nr）此前未被使用，然后標簽將h（ki，Nr）作為Response，同時設置map[j]=1。相反，則代表Random Number（Nr）存在被使用的可能性，并由標簽分配一個Random Number作為Response;標簽發送Response給Reader;閱讀器Reader得到標簽的Response后，借助（Response，Nr）對后端Server查找，若是后端Server可以在Database中查詢到一致結果，那么將計算h（ki+1，Nr），同時將相應的ki替換為h（ki），將各個Random Number（Nj）的Hash值替換為Hash（ki，Nj）。若后端Server無法在Database中查詢到一致結果，那么后端Server將會確認Value為Deny，最終后端Server將會對Reader返回確認;Reader最終將確認信息發送給Tag，Tag也會自檢校驗，若確認值為Deny，則Reader會向Tag查詢新的Random Number;Tag會將h（ki+1，Nr）與確認對比，若二者一致，則Tag將會更新自身的密鑰為h（ki），同時將映射對應的所有比特重置為零。

本研究提出的基于Hash的閱讀器與標簽之間的優化認證協議如下列圖1所示：

m比特映射主要的用途是存儲使用過的Random Number數據信息，同時可以避免連續成功查詢時間間隔區間的跟蹤攻擊。從長期而言，Tag是無法跟蹤的，攻擊者即使在某一時間點對（Nr，Response）予以記錄，在Tag完成若干次成功查詢后，也無法將同一Tag的Response與上述記錄予以關聯，這是由于密鑰Ki在每次查詢成功后均會進行替換。但是因為密鑰在兩次成功的詢問時間間隔區間內是保持不變的，由此Tag是可跟蹤的。為解決這一難題，本文中的優化協議采用m比特映射對Random Number予以記錄。這樣可以避免惡意Reader采用相同的Random Number持續訪問同一個Tag。若在一定的時間段內避免惡意Reader采用同一Random Number，這樣就可以解決此類跟蹤型的攻擊。

后端Server生成Random Number（Nr），單一Random Number可以完成對一組Tag的查詢，這是因為其獲取了全部Tag的密鑰，后端Server可為各個Tag事先完成h（ki，Nr）的運算，同時將其存儲在Database中。后端Server在每次查詢完成后，依靠搜索器Database對Tag發出的Response予以校驗。若采用Hash算法，則搜索的復雜度為O（1）。由此，即使Tag的數量過多，后端Server進行計算時也不會占用過多的資源。

一般而言，系統的效率與安全性是相互矛盾的，需要找到一個適當的均衡點。借助同一個Random Number可以完成對多個Tag的查詢，由此攻擊者可供給獲取上述Random Number，然后借助這個random number進行對合法Tag的查詢，同時將獲取的response存儲在一個偽造的Tag中。當進行詢問時，偽造Tag可通過此前獲取的Response假冒原有合法的Tag，這是一種克隆的攻擊方式，本文所設計的優化協議，借助限制批處理方式，可以增加此類攻擊的難度或避免此類攻擊。

若攻擊者未對Tag進行非法查詢，這種狀況下Reader在第一次查詢時就可以成功獲取Tag相關信息;若攻擊者已對上述Tag進行非法查詢，則比特映射的值會被設定。由此，本研究中，對Reader從Tag獲取一個有效Response之前，需對多次詢問的情況予以分析說明，以確保Reader對合法Tag完成詢問后，后端Server應當為Reader發送多個Random Number。在設計的優化協議中，進行系統部署時，后端Server將生成一組Random Number。對每一個Random Number與相應的Tag，Server端均預先對Hash Value予以運算，并將運算的結果h（ki，Nr）存儲在Server端。若Reader想要對一組Tag進行查詢，則Reader需要向Server端提供相應的Random Number。在完成詢問后，后端Server應當對密鑰ki予以更新，同時對Random Number（Nr）的Hash值h（ki，Nr）予以更新。除此以外，在Tag被后端Server驗證后，Random Number也被更新，這樣可以提升其安全性。

5 協議參數與安全強度

因為內存本身的限制，Tag無法將Random Number予以存儲，在本文設計的優化協議中，Tag采用l比特對Random Number在映射中相應的位置予以標注，并用以記錄Random Number。要計算上述位置，必須要先對h（ki，Nr）mod m予以計算。對新生成的各個Random Number，其在映射內的位置是按照0 ～（m-1）的概率均勻分布的，由此若是映射中的若干比特被設置，將會產生碰撞。假設存在n比特完成設置，則對于下個Random Number而言，其碰撞概率為：

Reader如果想從Tag獲取有效的Response，平均嘗試次數達到m/n次，假設n=m，則碰撞概率達到100%。要確保合法Reader能夠查詢到Tag，Tag需對映射內的全部或一部分比特位予以清除。攻擊者可以通過該此前的Random Number實現對Tag的跟蹤。由此，攻擊者可借助對映射內所有比特位的設置，實現對Tag的跟蹤，在此基礎上借助原有的Random Number完成對Tag的詢問。但是攻擊者若想完成對全部比特位的設置，其嘗試次數會受到碰撞影響，從而達到一個非常大的次數，通過相應的概率計算，可以得出如下計算式：

一般單一Tag的內存大小有數百比特，通過上述公式計算可知攻擊者的嘗試次數將會達到數千次。若Tag按照某一速度或足夠慢的速度返回Response，攻擊者將會需要耗費數個小時才能完成對Tag的跟蹤。若是按照該種攻擊方式，對那些較低成本的RFID而言，攻擊者需要耗費較多的時間成本，從而導致缺少足夠的利益驅動進行此類攻擊。由此，按照本章節提出的優化協議實現了此類跟蹤攻擊的保護。

通過碰撞的方式，造成攻擊者在進行Tag跟蹤時需要花費更久的時間，但是這樣也會對合法Reader詢問Tag造成影響。然而合法Reader所需嘗試的次數相對較少，若RFID系統未曾遭受過主動攻擊，這種情況下合法Reader僅需一次嘗試，即可以從Tag獲取有效的Response。考慮極端情況下，即使映射內有m-1比特位被攻擊者予以設置，合法Reader只需嘗試m次就可以獲取有效的Response，相對攻擊者而言，在數量上仍然具備絕對的優勢。除此以外，對于攻擊者而言，要想主動完成對m-1個比特位的設置實際上是非常艱難的，這是因為各個Random Number在映射中的具體位置實際上是無法預測的。在一般情況下，若攻擊者完成設置的比特位數符合0～（m-1）的均勻分部，攻擊者的嘗試平均次數如下所示：

相比較而言，從下列圖3中可以看出惡意攻擊者的嘗試次數遠遠超過合法Reader的嘗試次數，隨著m的比特位數增加這種差距愈來愈大。

本文設計的優化協議中，Server端將生成t個random number，若選取適當的t值，使其略微超過m值，那么Reader在大多數情形下均可以從Tag處獲取有效的Response，后端Server在每次重新嘗試時僅僅需要對執行Database予以查詢搜索，復雜度為O（l）。

在現有協議研究的基礎上，針對抵御主動攻擊優化分析如下：讀寫器和標簽分別存儲各自的身份信息、密鑰及與其他參與方共享的秘密。令m為一組標簽的總數，n為預先授權給讀寫器的可執行協議的總輪數。驗證者為讀寫器預計算執行n輪協議所需的信息，見圖4所示。令[runv]和[runt]表示當前正在執行的協議的輪數，即如果當前正在執行的是第i輪協議，那么此時[runv]和[runt]的值是i。為此，我們在下圖5中“Generate future timestamp TS”操作后，增加操作“[runv←i]”。同時，讀寫器在每輪協議的預計算信息中也需要存儲[runv]值，標簽組的每個標簽中存儲[runv]值，且[runv]，且[runv]和[runt]的初始值均為1。

上述初始化操作完成后，每個標簽中存儲[{Gid，TGs，Tidj，Tsj，runtj，VTsj，VT'Sj}（1≤j≤m）]，其中初始時[runtj=1] 且[VTsj=VT'Sj] 。此外，標簽中還存儲被授權可訪問該標簽的每個Reader的信息[{Rid，RTSj，R-1rj}] 。Reader存儲[{Rid，RVs}] ，并存儲n輪協議的預計算信息，每輪協議的預計算信息為[{runv，Gid，TSri，TSvi，V1i（1..m），V2，μi（1..m），RTSi（1..m），RTnSi（1..m）}（1≤i≤n）]。驗證者存儲上述身份信息及預計算的n輪協議執行所需的信息。

上述協議不僅具備Tag/Reader匿名性、Tag/Reader位置隱私、前向安全性、抗重放攻擊等安全屬性。此外，該協議還可以抵抗異步攻擊和主動攻擊。

新協議中，即使敵手中斷了讀寫器與標簽之問傳送的某些消息，標簽和驗證者共享的秘密[VTs] 仍可保持同步。在某輪協議執行過程中，當Tag j發送[Mj，βj，Yj，Rcj] 給Reader后，敵手可能截獲該信息，同時分別將[Mj] 和[βj] 替換為[M''j] 和[β''j] ，其中[M''j=Mj⊕r，β''j=βj⊕r] （r為敵手選取的隨機數）。然而，當接收信息[M''j，β''j，Yj，Rcj] 后，Reader驗證等式[Rid=Rcj⊕PRNG（PRNG（M''j）⊕PRNG（β''j）⊕Yj⊕RTs⊕Rrj）] 時，無論使用[RTsj] 還是[RTnSj] ，該驗證都將會失敗且協議終止。因此，協議經過進一步優化可以抵抗主動攻擊。

本文中設計了一種基于Hash的Reader與Tag之間的優化認證協議，核心重點在于確保Tag的不可跟蹤性。同時針對協議進行了進一步的優化，提升了協議防范主動攻擊的能力。因受到本人能力有限，本研究仍然存在若干地方需要進一步完善和深入研究：如本文設計的Reader與Tag間的認證協議，在避免跟蹤攻擊方面有著較為顯著的功效，然而在安全性上的設計仍然需要進一步深入研究與完善。

參考文獻：

[1] 劉道微，凌捷，楊昕.一種改進的滿足后向隱私的RFID認證協議[J].計算機科學，2016，43（8）：128-130.

[2] 趙太飛，鄒波，尹航.基于Hash鏈的RFID認證協議[J].微型機與應用，2016，35（19）：60-63.

[3] 位書敏，張永華，商玉芳.輕量級移動RFID認證協議研究設計[J].計算機與現代化，2016（11）：74-78.

【通聯編輯：唐一東】