基于RFID的隱私保護協議＊

任雪萍，蔡培偉，郭遠凱，范 揚

(杭州電子科技大學信息工程學院，浙江 杭州 311305)

0 引言

無線射頻識別（radio frequency identification,RFID）作為一種新型的自動識別技術在物流管理，工業自動化，商業自動化，交通運輸控制管理等眾多領域得到了廣泛的應用，在不遠的將來將進行產品級大規模應用進入日常生活。如果說標準問題與標簽價格是阻礙RFID 技術推廣所面臨的兩個難題，那么安全與隱私問題便是RFID 這項技術是否能夠進行行業應用的關鍵。由于RFID 標簽強大的追蹤能力，RFID 的廣泛應用，也勢必給消費者帶來新的隱私威脅問題[1,2]。這種環境下隱私保護問題必將越來越受到人們的重視，對RFID 安全協議進行研究具有重要的意義。研究RFID 隱私保護協議，有利于保護系統的安全性、保護信息傳輸的安全性，推動RFID技術的普及。

1 相關研究

目前，已經有許多認證技術方案被提出來用于保護RFID 系統用戶的安全和隱私。根據所采取的措施，可以分為物理機制方案[3]和加密機制[4]方案。

物理機制方案主要有：Kill 命令機制、靜電屏蔽、阻塞法等。

“Kill 命令機制”是在設計標簽時使之能夠接受一個Kill 命令。帶標簽的產品在賣點掃描結賬后，向標簽發出該命令，使標簽自動失效。

完全殺死標簽可以完美地阻止掃描和追蹤，但對于消費者來說，犧牲了RFID 標簽所有售后利益。在很多情況下，標簽不能被殺死。

阻塞法依靠編入標簽識別碼的可修改位來保護隱私性，這一位稱為隱私位，為0 表示可以公開掃描，為1表示是私有。阻塞法依賴樹遍歷反沖突協議來起作用。除此之外，由于不可靠的RFID 傳輸，可以造成阻塞的失敗。隨著閱讀器的發展，可以利用信號強度等特征來過濾阻塞信號。

加密機制方案根據標簽有沒有被分成多個小組，這些方案可分為兩類：基于分組的方法和不分組的方法。

不分組傳統的認證方法，通常采用位邏輯運算符，哈希函數和偽隨機數字生成器(PRNG)，對稱密鑰加密，數字簽名和零知識隱私模型等技術來實現安全和隱私保護的目的。

在文獻[5]中提及Sarma 等人于2003 年設計提出了基于哈希函數的Hash-Lock認證機制。該認證機制將通信中的數據用哈希函數進行隱藏。但是，該協議也有較多的安全漏洞。因此，Hash-Lock 協議并不能滿足系統安全性要求。

根據能不能為標簽提供字段級的保護，基于分組的方法又可以分成兩類。

部分基于分組的方法，讀寫器或者可以獲取標簽的整體信息，或者不能獲得任何信息。Avoine 等人提出的基于分組的認證協議在可擴展性和隱私保護中得到了較好的權衡。但是該協議存在嚴重缺陷。Farzana等人提出一個用于大規模RFID 系統的基于分組的認證協議。但是該協議標簽信息保護沒有達到字段級，而且系統的可擴展性有限。

另一類基于分組的協議，提供分類保護。分類保護協議確保合法讀寫器僅獲得標簽的部分授權信息。為了解決這個問題，H.Ning 等人為RFID 系統提出了一個可擴展的分布式密鑰組身份認證協議(KAAP)[6]。通過分析，號稱該協議具備抵制外部和內部攻擊的能力。但是，在KAAP協議里讀寫器的角色被事先設定，很難改變。這個特性限制了該協議的可擴展性。

X.Ren 等人提出了一個可擴展的分類保護RFID認證協議（SAAP）[7]。系統分析表明該協議在保證良好性能和較好可擴展性的同時，能抵制內外部的各種攻擊。如同不分組的協議，這兩個協議的隱私模型也假設攻擊方沒有破譯標簽的能力。

2 改進的RFID隱私保護協議

2.1 初始條件及符號含義

協議執行的初始條件包括以下幾個方面。

標簽組：在本課題里，標簽根據類型的不同被分成N 個組，每個小組里標簽個數不同。其中考慮到醫院同時能夠接納的產婦和嬰兒的個數有限。這兩種類型的在用標簽數目固定。（出院嬰兒和產婦的標簽物理銷毀）。每個標簽組有唯一的組密碼KGi，組內標簽共享這個密碼。每個標簽組共享一個標簽標識（ID）池SETi。

其中1≤i ≤N，s是系統設置的參數。任意兩個標簽組不共享任何一個ID，也就是當?i≠q時，SETi∩SETq=?。

標簽：每個標簽保存有組密碼KGi，在授權的讀寫器和標簽之間共享的唯一密碼KTj，以及標識符IDi,x。IDi,x從SETi集合中隨機選出一個ID。

讀寫器組：讀寫器根據功能被分成M 個組，每個組內的個數各不相同。讀寫器組對于標簽組有一個授權訪問密碼組KEYMN,用來指示該組讀寫器對于某個標簽組里的標簽有哪幾個字段的訪問權。

讀寫器：每個讀寫器對于有訪問權限的標簽組有一個秘密信息集合σi={K Gi,{K Tj,1 ≤j ≤s} |1 ≤i ≤M}，保存有該讀寫器所在的讀寫器組相關的授權訪問密碼組KEYpN，其中p表示該讀寫器所在的組別。

發行者：發行者初始化各個系統參數（N-標簽組數，M-讀寫器組數，s-標簽組最多標簽的個數）。給每個標簽組分配一個組密碼KGi和一個標識符集。初始化授權訪問密碼組KEYMN，把每個讀寫器允許訪問的標簽組的相關信息集和授權訪問密碼組KEYpN寫入該讀寫器。其中p表示該讀寫器所在的組別。該協議描述中使用的符號及其含義如表1所示。

表1 協議中的符號及其含義

2.2 認證過程

新設計的隱私保護協議認證過程如圖1，詳情如下。

圖1 基于RFID的隱私保護協議

⑴讀寫器產生一個隨機數nr，利用它要訪問的標簽組密碼KGi，采用對稱加密算法加密隨機數，并把加密后的結果發給標簽。

⑵收到信息的標簽，用自身的組密碼KGi，解密。如果可以解密則轉⑶繼續，否則不予理會，直接結束。

⑶標簽先產生一個隨機數nt，接著利用KGi和對稱加密算法加密nr，nt和IDi,x這三個數連接后的值，用KTj和對稱加密算法加密nr和nt這二個數連接后的值，最后把獲得加密后的值發給讀寫器。

⑷讀寫器在秘密信息集中，查找有沒有KGi可以解密第一個數。如果沒有，就結束認證。否則，查看解密后的第一部分是不是nr，如果不是，結束認證，否則得到IDi,x。然后在σi中，查找跟IDi,x關聯的密碼，搜索合適的KTj，進行解密。如果存在著這樣一個密碼KTj，則接受該標簽轉⑸，否則拒絕。

⑸在授權訪問密碼組KEYMN中，找出合適的Kij，利用KTj和對稱加密算法加密Kij和nt的連接值，把結果發給標簽。

⑹標簽收到信息后，用KTj解密，獲得隨機數和授權訪問碼。如果隨機數與nt不符，則結束，否則根據授權訪問碼，允許該讀寫器訪問本標簽相應字段的值，把相信字段的信息加密后發給讀寫器。

⑺特殊情況，遇到嬰兒出院，需要先在讀寫器和嬰兒的標簽之間通訊，獲得其母親的信息。讀寫器再和產婦的標簽通信獲得其相關信息，一致后，讀寫器發出通過的信號，放行，同時他們的標簽物理銷毀。

⑻讀寫器每隔5分鐘主動發出請求驗證信號時，如果嬰兒的標簽位置無反饋或反饋數據異常時，發送警報，提醒醫護人員注意。

⑼嬰兒需要離開病房去檢查時，用特定的讀寫器去讀取嬰兒標簽，先檢查是否有醫療檢查預約，若有則驗證抱嬰兒人的身份，若身份驗證通過則暫時關閉該標簽報警系統。檢查科室有相應的掃描讀寫器，當該標簽進入時即刻反饋嬰兒位置信息。當回到病房區域后讀寫器掃描到該標簽時同樣自動開啟報警系統。估計路程時間，若超過規定時間還沒到達指定區域，發警報給醫護人員，醫護人員詢問相關聯系人，一定時間內未聯系上則報警。

3 安全性和復雜度分析

3.1 安全性分析

⑴防竊聽攻擊

協議中，讀寫器和標簽之間的信道，讀寫器和后端數據之間的信道，所有真實消息均經過對稱加密算法后傳遞，基于隨機數的堆成加密算法保證了攻擊者即使在信道中竊聽到了傳遞的消息，也無法恢復出消息的真實內容。

⑵防篡改、假冒攻擊

協議中，如果攻擊者截獲了加密后的值，由于攻擊者只能在標簽和讀寫器之間的無線信道中竊聽到一個加密的值，信息截獲后相應的讀寫器或標簽無相應的反饋。而本協議是雙向認證的，所以攻擊者偽造消息企圖假冒標簽通過讀寫器的認證是困難的，實施篡改無法通過服務器認證。因為非法讀寫器沒有訪問后端認證服務器的權限，因而無法獲取標簽ID 等信息，即攻擊者假冒讀寫器沒有意義。

⑶防重放攻擊和跟蹤

協議中讀寫器產生的隨機數Nr 每次通信中都是不相同的，因此每次通信發送響應的消息也不同。這樣一方面，有效防止攻擊者根據通信中固定的輸入消息對標簽進行跟蹤；另一方面，即使攻擊者獲取到了某一次的通信消息，在下次通信時偽裝成標簽對讀寫器產生正確的應答消息是困難的，仍然無法通過對方認證。

3.2 復雜度分析

在新協議中，只使用了哈希函數和簡單的異或運算，相較于分布式挑戰-應答協議，新協議在標簽中只進行了一次哈希運算且不需要集成偽隨機數發生單元，降低了標簽的成本，提高了效率。此外，相較于大部分RFID 認證協議的3-5步認證，新提出的協議需要六步實現認證，雖然步驟增加，但協議在安全性上有非常大的提升。

假設數據庫中存儲了N 個標簽的信息，那么完整地執行一次本協議，后端數據庫最少執行一次哈希運算和一次比較，最多執行N次哈希運算和N次查找；標簽執行一次哈希運算；讀寫器只需產生一次偽隨機數。假設協議中選取的哈希函數輸出以及標簽ID 的長度均為L，那么每次通信信道中傳輸的數據長度為2L，標簽的空間復雜度為2L。執行一次本協議最多需要在后端數據庫中進行N 次哈希運算和N 次查找，雖然隨著系統中標簽數量的增加會增加認證服務器的負擔，但這從本質上不會對RFID 系統的效率造成太大影響，因為本協議可用于分布式數據庫環境，可以分散存儲和計算。

針對上述安全問題以及協議執行所需步驟，將文中提出的協議與幾種經典認證協議進行比較，如表2所示。

表2 協議比較

3.3 協議模擬

使用的開發工具為IntelliJ IDEA(以下簡稱IDEA)，使用的數據庫為MySQL 數據庫，使用的數據庫管理軟件為Navicat for MySQL，開發環境配置為JDK1.8，使用JAVA 按照RFID 隱私保護協議進行程序設計實現協議的模擬。讀寫器有非法讀寫器和合法讀寫器。而合法讀寫器又可細分為產房讀寫器、藥房和檢查科讀寫器。

標簽分為產房標簽和藥房標簽。只有當讀寫器為合法讀寫器且是相對應的標簽的讀寫器時才可根據自己的權限訪問數據庫從數據庫中取得權限所對應的信息，如圖2所示；否則訪問失敗。

以產房讀寫器讀取產房標簽為例（其他操作指令的程序設計與此相近），通過點擊下發“讀取標簽中的數據存儲區”指令在IDEA 中的JAVA 代碼實現，如圖3所示。

圖3 控制程序段

新建一個信息提示框，通過點擊按鈕，獲取相應屬性的reader和tag，根據點擊后的reader和tag進行訪問，通過標志為1來確認此次訪問是成功的，訪問成功后，因為每個相同類型的標簽id 均不同，去數據庫查詢相應條目，獲取相應的訪問字段內容，展示在提示框中。具體的應用場景模擬如圖4所示。

圖4 基于RFID的隱私保護協議應用場景模擬

4 結束語

本研究針對基于射頻識別的醫院嬰兒管理系統，基于分組思想，設計了一個新的RFID 協議。該協議具有分類保護和可擴展性。通過安全性討論證明了協議的安全性，本協議能夠抵御常見安全攻擊。通過復雜度分析，證實了本協議更適用于低性能的標簽。分析表明，與其他相關協議相比：該協議在抵抗各種內外部攻擊（內部攻擊、重放攻擊、跟蹤攻擊、欺騙攻擊和DOS 攻擊）的同時，能進行醫護正常交流，能實現母嬰身份驗證，能日常預防嬰兒被盜（假設暴力剪開標簽可以確保物理毀壞，無法回復信息）。該協議將大幅度提高醫療領域的安全管理，可節省原本需要的人力物力成本，創造經濟價值，改善社會風氣。