基于區(qū)塊鏈的RFID供應(yīng)鏈安全協(xié)議

陳小海，丁 勇，黃廷輝

(桂林電子科技大學(xué) 計(jì)算機(jī)與信息安全學(xué)院，廣西 桂林 541004)

0 引 言

隨著經(jīng)濟(jì)全球化的迅速發(fā)展，RFID技術(shù)雖然得到了廣泛的應(yīng)用，但卻面臨著安全和隱私的威脅，包括RFID偽造、嗅探、追蹤、拒絕服務(wù)、欺騙、拒絕和重放攻擊等[1,2]。同時(shí)，RFID安全研究主要集中在加強(qiáng)各種RFID協(xié)議的安全性和私密性，并與集中式數(shù)據(jù)庫結(jié)合使用[3-5]。基于集中式數(shù)據(jù)庫RFID系統(tǒng)存在數(shù)據(jù)易丟失、被篡改和單點(diǎn)故障等問題，且供應(yīng)鏈產(chǎn)品溯源困難，數(shù)據(jù)透明度低，易出現(xiàn)假冒產(chǎn)品。區(qū)塊鏈技術(shù)是一種新興的去中心化的安全管理技術(shù)，可以通過引入?yún)^(qū)塊鏈來解決集中式數(shù)據(jù)庫的缺點(diǎn)[6-8]。

區(qū)塊鏈解決了傳統(tǒng)供應(yīng)鏈技術(shù)存在的漏洞，但它的廣泛應(yīng)用存在許多問題，如與區(qū)塊鏈系統(tǒng)中集成RFID技術(shù)相關(guān)的安全和隱私問題。Toyoda等[9]、Wang等[10]提出的基于區(qū)塊鏈的RFID認(rèn)證協(xié)議，用于解決區(qū)塊鏈在RFID系統(tǒng)中應(yīng)用的安全認(rèn)證問題，但該協(xié)議存在易受追蹤攻擊和計(jì)算需求較大的問題。

當(dāng)前輕量級(jí)RFID認(rèn)證協(xié)議得到了廣泛的研究，例如Lin等提出了一種用于供應(yīng)鏈系統(tǒng)的基于云的RFID標(biāo)簽互認(rèn)證協(xié)議[11]，Hsu等[12]提出了一種用于高吞吐量RFID系統(tǒng)的密鑰管理身份認(rèn)證(KMIA)協(xié)議，Mujahid等[13]提出了一種超輕量級(jí)原語，即pseudo-Kasami代碼，然而這些協(xié)議均存在不同程度的安全漏洞。

本文研究設(shè)計(jì)了一種超輕量級(jí)身份認(rèn)證協(xié)議UPBBC(ultralightweight protocol based on block chain)來保障基于區(qū)塊鏈系統(tǒng)的標(biāo)簽與閱讀器之間的通信安全。與當(dāng)前使用的方法相比，將區(qū)塊鏈技術(shù)用于供應(yīng)鏈管理具有明顯的優(yōu)勢(shì)。

1 區(qū)塊鏈技術(shù)

區(qū)塊鏈技術(shù)于2008年引入，最初的目的是解決當(dāng)前經(jīng)濟(jì)的問題[14]，它可以使用戶能夠在沒有中間第三方參與的情況下進(jìn)行交易。區(qū)塊鏈?zhǔn)且粋€(gè)以分布式分散賬本(DLT)為基礎(chǔ)的基礎(chǔ)架構(gòu)。數(shù)據(jù)只能添加到分類賬中，不能刪除[15]。所有的數(shù)據(jù)都以塊的形式存儲(chǔ)，對(duì)等節(jié)點(diǎn)網(wǎng)絡(luò)共享區(qū)塊鏈的副本，任何篡改數(shù)據(jù)的操作都將無法進(jìn)行，并且大多數(shù)參與節(jié)點(diǎn)需要就添加到鏈上的數(shù)據(jù)達(dá)成共識(shí)。因此，與集中式數(shù)據(jù)庫相比，不存在單點(diǎn)故障。

目前存在幾種類型的區(qū)塊鏈，它們根據(jù)網(wǎng)絡(luò)上的節(jié)點(diǎn)可見性、用戶如何連接到網(wǎng)絡(luò)以及連接后獲得的權(quán)限分為不同的類別，分別為公有鏈、聯(lián)盟鏈和私有鏈。每種類型的區(qū)塊鏈在匿名性、不變性、效率和透明度上都具有不同的重要性級(jí)別。公共區(qū)塊鏈網(wǎng)絡(luò)由于每個(gè)用戶都可以看到所寫的信息，私有區(qū)塊鏈實(shí)體將完全控制權(quán)授予單個(gè)實(shí)體，從而使其變得所有權(quán)過于集中，不適用供應(yīng)鏈系統(tǒng)。因此，具有混合功能的聯(lián)盟區(qū)塊鏈網(wǎng)絡(luò)更適合在供應(yīng)鏈管理中使用。

2 基于區(qū)塊鏈的RFID供應(yīng)鏈系統(tǒng)及協(xié)議設(shè)計(jì)

2.1 安全協(xié)議設(shè)計(jì)

協(xié)議設(shè)計(jì)中主要的供應(yīng)鏈節(jié)點(diǎn)有：制造商、分銷商、零售商和最終用戶。制造商節(jié)點(diǎn)作為控制供應(yīng)鏈平臺(tái)的治理主體，起著至關(guān)重要的作用，它具有完全的訪問權(quán)限，并且能夠授予某些參與方加入網(wǎng)絡(luò)的權(quán)限。此外，它是這個(gè)網(wǎng)絡(luò)中唯一可以執(zhí)行一致協(xié)議的節(jié)點(diǎn)。網(wǎng)絡(luò)中的其它節(jié)點(diǎn)，如分銷商和零售商，具有與制造商節(jié)點(diǎn)相同的完全訪問控制權(quán)限，但是，它們無法驗(yàn)證事務(wù)。終端用戶節(jié)點(diǎn)只允許從網(wǎng)絡(luò)讀取數(shù)據(jù)。由于不同的供應(yīng)鏈節(jié)點(diǎn)具有不同的訪問級(jí)別，因此標(biāo)簽需要區(qū)分它們，并相應(yīng)地更新或保持其機(jī)密數(shù)據(jù)的完整。同時(shí)由于RFID標(biāo)簽在計(jì)算上受到限制，因此引入了一個(gè)簡(jiǎn)單的解決方案來通知訪問級(jí)別，并包含向標(biāo)簽發(fā)送特定的值。采用隨機(jī)數(shù)的偶數(shù)表示具有讀寫訪問權(quán)的供應(yīng)鏈節(jié)點(diǎn)，采用隨機(jī)數(shù)的奇數(shù)表示只具有讀寫訪問權(quán)的終端用戶節(jié)點(diǎn)。

UPBBC該協(xié)議主要包含3個(gè)部分：標(biāo)簽、閱讀器和供應(yīng)鏈節(jié)點(diǎn)。供應(yīng)鏈節(jié)點(diǎn)包括上述的制造商、分銷商、零售商和最終用戶。由于低成本RFID標(biāo)簽在計(jì)算上受到限制，本文提出的協(xié)議采用按位異或和移位操作。而供應(yīng)鏈節(jié)點(diǎn)沒有計(jì)算限制，因此它可以執(zhí)行更復(fù)雜的哈希計(jì)算操作。

通常供應(yīng)鏈節(jié)點(diǎn)與讀寫器之間的通信通道是安全的，而讀寫器與標(biāo)簽之間的通信通道是不安全的，且由于分布式分類賬本的特性，存儲(chǔ)在區(qū)塊鏈中的數(shù)據(jù)被認(rèn)為是安全的。因此，設(shè)計(jì)該協(xié)議是為了保護(hù)讀寫器和標(biāo)簽之間通過通信信道傳輸?shù)南ⅰ１?為協(xié)議中使用的符號(hào)說明，圖1為供應(yīng)鏈節(jié)點(diǎn)、閱讀器和標(biāo)簽之間的身份驗(yàn)證階段進(jìn)行的操作，以下對(duì)每個(gè)步驟進(jìn)行解釋。

表1 協(xié)議符號(hào)說明

圖1 協(xié)議流程

(1)發(fā)起會(huì)話，閱讀器向標(biāo)簽發(fā)送一條Query消息和一個(gè)隨機(jī)數(shù)T。

(2)接收到這兩條消息后，標(biāo)簽使用其存儲(chǔ)的IDS、K、生成的隨機(jī)數(shù)N和接收到的隨機(jī)數(shù)T來計(jì)算消息A和消息B。標(biāo)簽將計(jì)算出的A和B發(fā)送給閱讀器。

(3)閱讀器將T、A、B的消息轉(zhuǎn)發(fā)給供應(yīng)鏈節(jié)點(diǎn)。

(4)供應(yīng)鏈節(jié)點(diǎn)提取存儲(chǔ)的密鑰K，根據(jù)公式計(jì)算生成N′、IDS′，根據(jù)N′、IDS′計(jì)算得到S

N′=RROT(B,T)⊕K

IDS′=RROT(A,N′⊕K)⊕T

(5)讀取器將消息C和D轉(zhuǎn)發(fā)給標(biāo)簽。

(6)接收到消息C和D后，標(biāo)簽從接收到的消息D中提取隨機(jī)數(shù)Z

Z′=RROT(D⊕ROT(T,K),IDS)

C′=ROT(T,IDS⊕K)⊕ROT(Z′,K)

如果從提取的Z計(jì)算出的消息C′等于接收到的C，則標(biāo)簽對(duì)讀取器進(jìn)行身份驗(yàn)證。身份驗(yàn)證之后，如果Z的值為偶數(shù)則標(biāo)簽更新其IDSnew，如果Z的值為奇數(shù)，則標(biāo)簽將不會(huì)更新其IDSnew

IDSnew=ROT(K⊕N,IDS)⊕ROT(IDS⊕K,T)

2.2 供應(yīng)鏈系統(tǒng)協(xié)議UPBBC執(zhí)行過程

圖2 基于區(qū)塊鏈的供應(yīng)鏈中相互認(rèn)證協(xié)議應(yīng)用場(chǎng)景

3 區(qū)塊鏈系統(tǒng)協(xié)議分析

3.1 BAN邏輯形式化分析

BAN邏輯形式化分析方法是由Burrows、Abadi和Neesham提出的，是最具影響力的安全協(xié)議形式化分析方法。本文使用BAN邏輯形式化分析方法對(duì)提出的協(xié)議UPBBC進(jìn)行安全性分析。

3.1.1 BAN邏輯基本符號(hào)與推理規(guī)則

本節(jié)介紹UPBBC協(xié)議中用到的BAN邏輯形式化分析方法的基本符號(hào)和推理規(guī)則。

(1)BAN邏輯基本語義

BAN邏輯形式化分析過程中用到的表達(dá)符號(hào)的基本語義表示如下：

P、Q：分別表示不同的通信主體；

X、Y：分別表示通信的消息；

K：表示共享秘鑰；

KP、KQ：表示對(duì)應(yīng)主體P、Q公有秘鑰；

P|≡X：表示主體P相信消息X為真；

P|～X：表示主體P發(fā)出了包含X的消息；

{X}K：表示X經(jīng)過秘鑰K加密的消息；

#(X)：表示消息X是新鮮的；

P→Q：表示主體P發(fā)送消息給主體Q；

P|≡Q?X：表示主體P相信主體Q對(duì)消息X的管轄權(quán)。

(2)推理規(guī)則

BAN邏輯形式化分析方法的推理規(guī)則總體分為7類，安全協(xié)議根據(jù)推理規(guī)則來推導(dǎo)出協(xié)議的安全目標(biāo)。以下介紹本協(xié)議用到的其中6類推理規(guī)則。

接收消息規(guī)則：接收消息規(guī)則(1)表明若P收到消息整體(X,Y)，則P收到該消息的組成部分X

(1)

消息含義規(guī)則：消息含義規(guī)則(2)表明若P相信K為實(shí)體P、Q之間的共享密鑰，且P收到由密鑰K加密的消息{X}K，則P相信給主體Q發(fā)送了包含X的消息

(2)

新鮮性規(guī)則：新鮮性規(guī)則(3)表明若P相信X是新鮮的，則P相信包含X消息的整體(X,Y)也是新鮮的

(3)

臨時(shí)校驗(yàn)規(guī)則：臨時(shí)校驗(yàn)規(guī)則(4)表明若P相信消息X是新鮮的，且P相信Q發(fā)送過消息X，則P相信消息X

(4)

管轄權(quán)規(guī)則：管轄權(quán)規(guī)則(5)表明若P相信Q對(duì)消息X有管轄權(quán)，且P相信Q相信X消息，則P相信消息X

(5)

信念規(guī)則：信念規(guī)則(6)表明若主體P相信消息整體(X,Y)，則P相信消息的組成部分X

(6)

安全協(xié)議的形式化分析證明需要先將協(xié)議轉(zhuǎn)化成BAN邏輯形式化語言，并根據(jù)協(xié)議提出安全目標(biāo)。下面介紹UPBBC協(xié)議轉(zhuǎn)化為BAN邏輯形式化語言，提出協(xié)議的安全目標(biāo)，并通過BAN邏輯規(guī)則對(duì)安全目標(biāo)進(jìn)行證明。

3.1.2 協(xié)議描述

(1)協(xié)議的理想化模型

將安全協(xié)議轉(zhuǎn)換為BAN邏輯理想化模型如下，其中R表示閱讀器，T表示標(biāo)簽：

M1:R→T:Query,T

M2:T→R:{{IDS,T,N}K,{T,N}K}

M3:R→T:{{IDS,T,Z}K,{T,IDS,Z}K}

將消息M2,M3轉(zhuǎn)換成BAN邏輯語言：

(2)協(xié)議初始化假設(shè)

初始化假設(shè)為協(xié)議中已有的推導(dǎo)條件。本協(xié)議已有的條件有如下8條。

P3:T|≡#(N)

P4:R|≡#(N)

P5:T|≡#(T)

P6:R|≡#(T)

P7:T|≡R|?N

P8:R|≡T|?Z

(3)安全目標(biāo)

安全目標(biāo)即安全協(xié)議需要達(dá)到的目標(biāo)，本協(xié)議需要到達(dá)的目標(biāo)為閱讀器相信標(biāo)簽動(dòng)態(tài)IDS為真，且標(biāo)簽相信隨機(jī)數(shù)Z為真，即目標(biāo)一G1和目標(biāo)二G2。

G1:R|≡IDS

G2:T|≡Z

3.1.3 安全性證明過程

安全性證明過程即安全協(xié)議推導(dǎo)安全目標(biāo)的過程。協(xié)議能根據(jù)推理規(guī)則和初始化假設(shè)推導(dǎo)出安全目標(biāo)G1、G2則證明協(xié)議安全。安全目標(biāo)推導(dǎo)過程如下：

由邏輯語言M2、初始化假設(shè)P1和接收消息規(guī)則(1)可推出

(7)

由式(7)根據(jù)初始化假設(shè)P1和消息含義規(guī)則(2)推導(dǎo)出

R|≡T|～(IDS,T,N)

(8)

根據(jù)初始化假設(shè)P4和新鮮性規(guī)則(3)得出

R|≡#(IDS,T,N)

(9)

再由式(8)和式(9)根據(jù)臨時(shí)校驗(yàn)規(guī)則(4)推導(dǎo)出

R|≡T|≡(IDS,T,N)

(10)

由式(10)及初始化假設(shè)P7根據(jù)管轄權(quán)規(guī)則(5)得出

R|≡(IDS,T,N)

(11)

再由式(11)根據(jù)信念規(guī)則(6)可推導(dǎo)出安全目標(biāo)R|≡IDS，即安全目標(biāo)G1得證。同理可證安全目標(biāo)G2:T|≡Z。

3.2 安全性分析

本文對(duì)該系統(tǒng)及安全協(xié)議UPBBC可能面臨的安全性攻擊進(jìn)行分析，具體如下：

(1)單點(diǎn)故障、數(shù)據(jù)篡改和假冒攻擊

由于該系統(tǒng)基于分布式區(qū)塊鏈技術(shù)設(shè)計(jì)，所有的數(shù)據(jù)都以塊的形式存儲(chǔ)，對(duì)等節(jié)點(diǎn)網(wǎng)絡(luò)共享區(qū)塊鏈的副本，任何篡改數(shù)據(jù)的操作都將無法進(jìn)行，并且大多數(shù)參與節(jié)點(diǎn)需要就添加到鏈上的數(shù)據(jù)達(dá)成共識(shí)。因此，與集中式數(shù)據(jù)庫相比，本系統(tǒng)不存在單點(diǎn)故障，也無法對(duì)數(shù)據(jù)進(jìn)行篡改和假冒攻擊。

(2)重放攻擊

當(dāng)攻擊者記錄在通信信道中交換的消息并重放這些消息以竊取信息或獲得訪問權(quán)時(shí)，就會(huì)發(fā)生重放攻擊。①攻擊者將前一會(huì)話中捕獲的消息A和消息B重放給讀取器。然而，讀取器無法驗(yàn)證由真正的標(biāo)簽發(fā)送的消息，因?yàn)镮D和K在每個(gè)新會(huì)話中都使用新的隨機(jī)數(shù)(T和N)加密，無法通過認(rèn)證；②攻擊者將前一會(huì)話捕獲的消息C和消息D重放到標(biāo)簽。同樣，攻擊者也不會(huì)成功，因?yàn)闃?biāo)簽無法對(duì)消息進(jìn)行身份驗(yàn)證，因?yàn)橄和消息D的計(jì)算需要對(duì)每個(gè)新會(huì)話使用不同的隨機(jī)數(shù)(T和Z)。因此所提出的協(xié)議能夠抵抗重放攻擊。

(3)中間人攻擊

(4)去同步化攻擊

(5)追蹤攻擊

這種攻擊的目的是基于標(biāo)簽對(duì)閱讀器查詢返回的常量響應(yīng)來追蹤標(biāo)簽的移動(dòng)。可以通過使用密鑰對(duì)其進(jìn)行加密來防止這種恒定響應(yīng)。在該協(xié)議中，消息A～消息D分別使用秘密信息ID和K，以及隨機(jī)數(shù)T、N、Z進(jìn)行加密，每次成功會(huì)話結(jié)束時(shí)，都使用隨機(jī)數(shù)T和N對(duì)ID和K進(jìn)行更新。協(xié)議可以有效抵抗追蹤攻擊。

協(xié)議安全性對(duì)比見表2，可以看出本協(xié)議能有效抵抗重放攻擊、數(shù)據(jù)完整性、去同步化攻擊和追蹤攻擊者5種安全威脅，且由于區(qū)塊鏈技術(shù)的優(yōu)越性，本文提出的協(xié)議能有效解決單點(diǎn)故障和數(shù)據(jù)篡改問題，相比文獻(xiàn)[2]、文獻(xiàn)[10]、文獻(xiàn)[13]、文獻(xiàn)[15]安全性更高。

表2 協(xié)議安全性對(duì)比

3.3 性能分析

由于RFID閱讀器和供應(yīng)鏈節(jié)點(diǎn)具有較高的處理能力，而標(biāo)簽資源受限，因此以下對(duì)RFID標(biāo)簽的性能進(jìn)行分析。

存儲(chǔ)開銷，指RFID標(biāo)簽在部署之前存儲(chǔ)所需數(shù)據(jù)所產(chǎn)生的成本。在UPBBC協(xié)議中，一個(gè)RFID標(biāo)簽需要存儲(chǔ)K和ID，每個(gè)K和ID長(zhǎng)度均為96位，所以標(biāo)簽總的存儲(chǔ)開銷為192位。

計(jì)算開銷，指RFID系統(tǒng)認(rèn)證所需的計(jì)算時(shí)間。Txor、Trot分別表示執(zhí)行異或、移位操作所需的時(shí)間。RFID標(biāo)簽在認(rèn)證階段的總計(jì)算成本為12Txor+12Trot，異或操作Txor的計(jì)算成本可以忽略，因?yàn)樵撚?jì)算成本大大低于使用單向哈希函數(shù)Th和對(duì)稱加密Tenc的計(jì)算成本。此外，移位操作都是按位操作，其計(jì)算消耗可以忽略不計(jì)，因此可以忽略本協(xié)議的計(jì)算成本。

通信開銷，指RFID系統(tǒng)認(rèn)證所需的通信時(shí)間。通信由讀取器發(fā)送給標(biāo)簽的40位Query消息和96位隨機(jī)數(shù)T啟動(dòng)。提出的協(xié)議使用4條消息(A、B、C和D)執(zhí)行相互身份驗(yàn)證，每條消息長(zhǎng)度為96位。因此，總的通信成本僅僅是傳輸520位的成本。

綜上所述，該協(xié)議在性能方面與現(xiàn)有的輕量級(jí)身份驗(yàn)證RFID協(xié)議進(jìn)行了比較，見表3，可以看出本協(xié)議保持了較低的通信開銷，且在存儲(chǔ)開銷和計(jì)算開銷方面相比現(xiàn)有協(xié)議均具有優(yōu)勢(shì)。

表3 協(xié)議性能對(duì)比

4 結(jié)束語

本文針對(duì)集中式數(shù)據(jù)庫的傳統(tǒng)RFID供應(yīng)鏈系統(tǒng)存在的問題，在供應(yīng)鏈管理系統(tǒng)集成利用聯(lián)盟區(qū)塊鏈網(wǎng)絡(luò)，并針對(duì)該系統(tǒng)設(shè)計(jì)一種輕量級(jí)安全協(xié)議。將供應(yīng)鏈節(jié)點(diǎn)分為4類，即制造商、分銷商、零售商和最終用戶，每個(gè)供應(yīng)鏈節(jié)點(diǎn)被授予不同的訪問級(jí)別，通過使用一個(gè)具有奇數(shù)或偶數(shù)的隨機(jī)數(shù)來表示節(jié)點(diǎn)的訪問級(jí)別來區(qū)分它們。根據(jù)該系統(tǒng)特點(diǎn)設(shè)計(jì)輕量級(jí)的身份認(rèn)證協(xié)議，對(duì)系統(tǒng)及協(xié)議安全性進(jìn)行分析并對(duì)協(xié)議性能進(jìn)行分析，結(jié)果表明所提出的系統(tǒng)不受單點(diǎn)故障、數(shù)據(jù)篡改、假冒問題影響，且協(xié)議能保證系統(tǒng)不受密鑰泄露、重放、中間人、去同步和追蹤5種攻擊。與現(xiàn)有的協(xié)議相比，所提出的協(xié)議UPBBC在存儲(chǔ)、計(jì)算和通信成本方面均具有優(yōu)勢(shì)，該協(xié)議適用于RFID基于聯(lián)盟區(qū)塊鏈的供應(yīng)鏈與網(wǎng)絡(luò)，基于區(qū)塊鏈的RFID供應(yīng)鏈系統(tǒng)更適用于保護(hù)產(chǎn)品信息及用戶數(shù)據(jù)的安全。