EPCGen2標(biāo)準(zhǔn)下強(qiáng)安全射頻識(shí)別認(rèn)證協(xié)議

-.zEPCGen2標(biāo)準(zhǔn)下強(qiáng)平安射頻識(shí)別認(rèn)證協(xié)議摘要:由于現(xiàn)在很多射頻識(shí)別〔rfid〕認(rèn)證協(xié)議不符合epcclass1gen2(epcgen2)標(biāo)準(zhǔn)的要求，同時(shí)對(duì)rfid系統(tǒng)的計(jì)算能力要求很高，因此很難在低端標(biāo)簽中實(shí)現(xiàn)。針對(duì)上述問題，通過分析已有協(xié)議的平安性，總結(jié)出不平安協(xié)議的缺陷，提出了一種新的基于epcgen2標(biāo)準(zhǔn)的rfid認(rèn)證協(xié)議，并采用ban邏輯對(duì)協(xié)議進(jìn)展了平安性證明。通過平安性分析，新協(xié)議滿足了信息**性、數(shù)據(jù)完整性和身份真實(shí)性的rfid系統(tǒng)認(rèn)證協(xié)議的平安需求。

關(guān)鍵詞:無線射頻識(shí)別；前向平安；認(rèn)證協(xié)議；密鑰；循環(huán)冗余校驗(yàn)

中圖:tp309文獻(xiàn)標(biāo)志碼:a

enhancedsecurerfidauthenticationprotocolforepcgen2

tangyong.zheng1*,wangming.hui1,wangjian.dong2(

1.schoolofinformationengineering,yanchenginstituteoftechnology,yanchengjiangsu224051,china;2.collegeofinformationscienceandtechnology,nanjinguniversityofaeronauticsandastronautics,nanjingjiangsu210016,chinaabstract:

asmanycurrentradiofrequencyidentification〔rfid〕authenticationprotocolshavesomeproblems:cannotconformwiththeepcclass1gen2(epcgen2)standards;orcannotmeettherequirementsoflow-costtagsfortherfidauthenticationprotocol.anovelrfidauthenticationprotocolbasedontheepcclass1gen2(epcgen2)standardsisproposedandthesecurityproofisgivenwithbanlogic.afteranalysisthesecurity,theproposedprotocolcanmeettherfidsecuritydemand:informationconfidentiality,dataintegrityandidentityauthentication.

manycurrentradiofrequencyidentification〔rfid〕authenticationprotocolscannotconformwiththeepcclass1gen2(epcgen2)standardsorcannotmeettherequirementsoflow.costtagsfortherfidauthenticationprotocol.anewrfidauthenticationprotocolbasedontheepcclass1gen2(epcgen2)standardswasproposedandthesecurityproofwasgivenwithbanlogic.afteranalyzingthesecurity,theproposedprotocolcanmeettherfidsecuritydemands:informationconfidentiality,dataintegrityandidentityauthentication.keywords:

radiofrequencyidentification(rfid);forwardsecrecy;authenticationprotocol;key;cyclicredundancycheck(crc)

0引言

射頻識(shí)別技術(shù)〔radiofrequencyidentification，rfid〕是一種非接觸式的自動(dòng)識(shí)別技術(shù)，在系統(tǒng)的前端主要由rfid標(biāo)簽和讀寫器組成。讀寫器向標(biāo)簽發(fā)出認(rèn)證請(qǐng)求，并將標(biāo)簽返回的數(shù)據(jù)傳輸給后臺(tái)進(jìn)展數(shù)據(jù)處理。它通過射頻信號(hào)自動(dòng)識(shí)別目標(biāo)并獲取相關(guān)數(shù)據(jù)，使得系統(tǒng)無需任何物理接觸就可以完成特定目標(biāo)對(duì)象的自動(dòng)識(shí)別。目前rfid技術(shù)已經(jīng)被廣泛應(yīng)用于物流供應(yīng)管理、生產(chǎn)制造和裝配、航空行李處理、、快運(yùn)包裹處理及物聯(lián)網(wǎng)等領(lǐng)域。

然而，在有些情況下，未授權(quán)讀寫器可以讀取和收集用戶的電子標(biāo)簽里的個(gè)人信息，通過信息處理和比對(duì)，在用戶下次使用標(biāo)簽時(shí)就可以跟蹤其位置信息，并且還可以獲取用戶的隱私信息，因此，rfid系統(tǒng)的平安問題引起了人們的極大關(guān)注。但是，由于低本錢電子標(biāo)簽在計(jì)算能力和存儲(chǔ)上具有很大限制，目前很多的平安協(xié)議沒有方法在其上面應(yīng)用。本文通過比較分析目前比較典型的rfid平安協(xié)議，設(shè)計(jì)了一種低本錢、高效率、平安的雙向認(rèn)證協(xié)議。并通過ban邏輯分析了協(xié)議的平安性。

1rfid系統(tǒng)

1.1rfid系統(tǒng)的構(gòu)成

rfid系統(tǒng)由標(biāo)簽、讀寫器和數(shù)據(jù)處理系統(tǒng)三局部組成

〔如圖1所示〕。標(biāo)簽和讀寫器通過無線信號(hào)進(jìn)展通信，讀寫器向rfid標(biāo)簽發(fā)出命令，標(biāo)簽根據(jù)接收到的命令做出響應(yīng)。圖片

圖1rfid系統(tǒng)構(gòu)成

1)標(biāo)簽(tag)。

rfid的標(biāo)簽是由用于無線通信的耦合線圈電路〔天線〕和計(jì)算、存儲(chǔ)數(shù)據(jù)的邏輯門電路組成。天線用于無線通信，芯片的計(jì)算和存儲(chǔ)能力十分有限。每個(gè)標(biāo)簽具有唯一的id。

2)讀卡器(reader)。

讀卡器由無線收發(fā)模塊、信號(hào)天線、控制單元及接口電路等組成,其計(jì)算能力和存儲(chǔ)能力都比標(biāo)簽要大。當(dāng)rfid讀寫器通過收發(fā)模塊發(fā)出詢問命令且接收到標(biāo)簽返回的信息后，將信息傳送給后端數(shù)據(jù)庫(kù)。

3)后端數(shù)據(jù)庫(kù)(database)。

后端數(shù)據(jù)庫(kù)系統(tǒng)具有巨大的數(shù)據(jù)分析和存儲(chǔ)能力，存儲(chǔ)著包含讀卡器和標(biāo)簽的所有相關(guān)的數(shù)據(jù)信息，并且接收來自rfid讀寫器的數(shù)據(jù)。

從rfid讀寫器到標(biāo)簽的信道是不平安信道；從rfid讀寫器和后端數(shù)據(jù)庫(kù)之間是平安信道。1.2平安需求

rfid系統(tǒng)的平安類似于網(wǎng)絡(luò)和計(jì)算機(jī)平安，其主要目的是為了保證數(shù)據(jù)傳輸和數(shù)據(jù)存儲(chǔ)的平安，但是rfid系統(tǒng)中的讀寫器和標(biāo)簽所具有的運(yùn)算能力極其有限，因此，根據(jù)信息系統(tǒng)平安的根本要求，結(jié)合rfid系統(tǒng)自身的實(shí)際情況，比較完善的rfid系統(tǒng)平安解決方案應(yīng)當(dāng)具備信息**性、數(shù)據(jù)完整性和身份真實(shí)性等根本特征。

1)信息**性。

一個(gè)rfid系統(tǒng)在運(yùn)行過程中，電子標(biāo)簽不能向任何未經(jīng)允許的讀寫器泄漏任何產(chǎn)品信息，rfid電子標(biāo)簽中所包含的信息一旦被攻擊者獲取，將會(huì)泄露使用者的隱私，因而，一個(gè)完備的rfid平安方案必須能夠保證標(biāo)簽中所包含的信息僅能被授權(quán)的讀寫器。

2)數(shù)據(jù)完整性。

在通信過程中，數(shù)據(jù)完整性能夠保證接收者收到的信息在傳輸過程中沒有被攻擊者篡改或替換。在rfid系統(tǒng)中，通常使用循環(huán)冗余校驗(yàn)〔cyclicredundancycheck,crc〕來進(jìn)展數(shù)據(jù)完整性的檢驗(yàn)，它使用的是一種帶有共享密鑰的散列算法，即將共享密鑰和待檢驗(yàn)的消息連接在一起進(jìn)展散列運(yùn)算，對(duì)數(shù)據(jù)的任何細(xì)微改動(dòng)都會(huì)對(duì)消息認(rèn)證碼的值產(chǎn)生較大影響。

3)身份真實(shí)性。

電子標(biāo)簽的身份認(rèn)證在rfid系統(tǒng)的許多應(yīng)用中非常重要。攻擊者可以偽造電子標(biāo)簽，也可以通過*種方式隱藏標(biāo)簽，使讀寫器無法獲取該標(biāo)簽，從而成功地實(shí)施產(chǎn)品轉(zhuǎn)移，讀寫器只有通過身份認(rèn)證才能夠確信消息是從正確的電子標(biāo)簽發(fā)送過來的；也有攻擊者偽造讀寫器通過屢次標(biāo)簽來獲取標(biāo)簽中的信息。因此，標(biāo)簽也需要對(duì)讀寫器的身份進(jìn)展認(rèn)證，這稱之為雙向認(rèn)證。

2.1相關(guān)協(xié)議分析

因?yàn)閞fid系統(tǒng)應(yīng)用廣泛，很多學(xué)者在這方面投入很大精力，但由于每個(gè)學(xué)者對(duì)rfid系統(tǒng)能力的假設(shè)不同，所以提出的基于rfid的認(rèn)證協(xié)議千差萬別。有些協(xié)議中使用了哈希函數(shù)，其中比較典型的是hash鎖協(xié)議［1］，隨機(jī)hash鎖協(xié)議［2］和hash鏈協(xié)議［3］；有些協(xié)議使用了更加復(fù)雜的運(yùn)算，這些協(xié)議對(duì)rfid系統(tǒng)的計(jì)算能力要求很高，在實(shí)際使用中的本錢很高。為了促進(jìn)rfid技術(shù)的推廣，epcglobal組織制訂了epcclass1gen2(epcgen2)［4］標(biāo)準(zhǔn)，這個(gè)標(biāo)準(zhǔn)利用了一個(gè)16位的偽隨機(jī)數(shù)生成器〔pseudorandomnumbergenerator,prng〕和一個(gè)16位的循環(huán)冗余校驗(yàn)碼〔crc〕為rfid協(xié)議提供根本的可靠性保證，符合該標(biāo)準(zhǔn)的標(biāo)簽只需采用硬件復(fù)雜度較低的prng和crc，而不采用加密函數(shù)和hash函數(shù)，這樣就可以很大程度地提高協(xié)議的執(zhí)行效率。

近年來，研究者們提出了很多符合epcgen2標(biāo)準(zhǔn)的認(rèn)證協(xié)議。2008年，burrow等［5］提出一個(gè)新的符合epcgen2標(biāo)準(zhǔn)的協(xié)議，聲稱該協(xié)議能夠抵抗標(biāo)簽跟蹤和偽裝攻擊，在這個(gè)協(xié)議中使用了偽隨機(jī)數(shù)生成器〔prng〕，同時(shí)標(biāo)簽具有乘法和加法的運(yùn)算能力。通過分析可以發(fā)現(xiàn)文獻(xiàn)[5]協(xié)議的平安性取決于一個(gè)線性函數(shù)g()，通過運(yùn)算，攻擊者能夠得到標(biāo)簽中密鑰的值，而且攻擊者連續(xù)竊聽同一個(gè)標(biāo)簽和讀寫器之間的回話，可以有效偽裝一個(gè)標(biāo)簽，并且攻擊者可以對(duì)標(biāo)簽進(jìn)展跟蹤［6］。

chen等［7］提出一個(gè)輕量級(jí)的rfid認(rèn)證協(xié)議，在協(xié)議中，產(chǎn)品電子代碼(electronicproductcode,epc)被用作標(biāo)簽的標(biāo)識(shí)碼，讀寫器和標(biāo)簽共享秘密信息s1，s2和epc。這個(gè)協(xié)議的致命缺陷是標(biāo)簽可以被模仿［8］。協(xié)議的運(yùn)行過程如下：首先讀寫器r向標(biāo)簽t發(fā)送認(rèn)證請(qǐng)求，并發(fā)送隨機(jī)數(shù)rr：crc(s1,rr)。標(biāo)簽t驗(yàn)證crc(s1,rr)，生成隨機(jī)數(shù)rt，通過計(jì)算*←(s2⊕epc⊕rt)，y←crc(rt⊕epc⊕*)，再將(rt,*,y)發(fā)送給讀寫器r。讀寫器r驗(yàn)證(*，y)后將結(jié)果返回標(biāo)簽t。

攻擊者能夠被動(dòng)監(jiān)聽讀寫器和標(biāo)簽之間的通信，并且保存它們之間的交換數(shù)據(jù)。在同一個(gè)標(biāo)簽第二次認(rèn)證時(shí)，攻擊者將協(xié)議中的(rt,*,y)替換為(r,*′,y′)。其中*′=*⊕rt⊕r〔*和rt在上次通信中獲得〕，y′=y，y=crc(rt⊕epc⊕*)=crc(rt⊕s1⊕s2⊕epc⊕rt)。這樣，攻擊者可以成功扮演標(biāo)簽t［9］。

最近，鄧淼磊等［10］提出一個(gè)新的基于gen2標(biāo)準(zhǔn)的rfid認(rèn)證協(xié)議。在協(xié)議中，讀寫器r向標(biāo)簽t發(fā)出認(rèn)證請(qǐng)求，并發(fā)送nr。標(biāo)簽t計(jì)算m1=crc(p⊕(nr‖nt))⊕k，并且發(fā)送(m1,nt)給讀寫器r，讀寫器r轉(zhuǎn)發(fā)(m1,nr,nt)給數(shù)據(jù)庫(kù)d。在協(xié)議中，crc被當(dāng)成一個(gè)單項(xiàng)的加密函數(shù)，忽略了crc的另外一個(gè)不平安屬性，對(duì)于所有的a,b，都有crc(a⊕b)=crc(a)⊕crc(b)［6］。再者，攻擊者通過偵聽，可以獲得nr和nt，因此，攻擊者可以計(jì)算出crc(nr‖nt)，m1⊕crc(nr‖nt)=crc(p)⊕k，攻擊者可以通過偽造nr，在不需要知道p和k的情況下，成功地冒充標(biāo)簽t。2.2基于epcgen2認(rèn)證協(xié)議中存在的問題

1)標(biāo)簽的id以明文形式出現(xiàn)在認(rèn)證協(xié)議中，沒有對(duì)id進(jìn)展有效保護(hù)，致使標(biāo)簽容易受到跟蹤，泄漏用戶隱私信息。

2)錯(cuò)誤地將crc()當(dāng)成加密函數(shù)，致使攻擊者能夠推導(dǎo)出標(biāo)簽的id。

3)為了適應(yīng)分布式環(huán)境，有些協(xié)議提供數(shù)據(jù)同步功能，但是標(biāo)簽和數(shù)據(jù)庫(kù)的更新沒有同時(shí)進(jìn)展，或者受到攻擊，導(dǎo)致數(shù)據(jù)不同步。

4)到目前為止，已經(jīng)有很多的rfid平安協(xié)議被提出，但是大多缺乏嚴(yán)格的格式化分析和證明。

在總結(jié)上述問題的根底上，本文提出一個(gè)新的基于epcgen2標(biāo)準(zhǔn)的rfid認(rèn)證協(xié)議，并采用ban邏輯對(duì)上面所提出的協(xié)議進(jìn)展形式化分析、證明。

3強(qiáng)平安的epcgen2認(rèn)證協(xié)議

3.1協(xié)議設(shè)計(jì)系統(tǒng)初始化之后，數(shù)據(jù)庫(kù)d和標(biāo)簽t之間共享秘密隨機(jī)數(shù)k，數(shù)據(jù)庫(kù)d和標(biāo)簽t之間共享標(biāo)簽的id〔id在標(biāo)簽中稱idt，id在數(shù)據(jù)庫(kù)中稱idd〕，數(shù)據(jù)庫(kù)中存儲(chǔ)記錄(tid，k)。

r→t：讀寫器r向標(biāo)簽t發(fā)出認(rèn)證請(qǐng)求query。

t→r→d：標(biāo)簽t生成隨機(jī)數(shù)α，計(jì)算mt=crc(prng(idt‖α)⊕k，nt=k⊕α。并將(mt,nt)發(fā)送給讀寫器r。讀寫器r產(chǎn)生隨機(jī)數(shù)β，將(mt,nt,β)發(fā)送給數(shù)據(jù)庫(kù)d。

d→r→t：數(shù)據(jù)庫(kù)d首先認(rèn)證標(biāo)簽t，數(shù)據(jù)庫(kù)d本身存儲(chǔ)有參數(shù)m的值，可以計(jì)算出α=nt⊕m。通過查詢記錄〔idd，k〕，看是否滿足crc(prng(idd‖α)⊕k=mt，如果找到這樣的idd，則數(shù)據(jù)庫(kù)d完成對(duì)標(biāo)簽t的認(rèn)證，否則放棄此次連接。標(biāo)簽t通過數(shù)據(jù)庫(kù)d的認(rèn)證以后，數(shù)據(jù)庫(kù)d計(jì)算k=prng(idd)⊕α⊕β，md=crc(prng(idd‖β)⊕k，更新k=k⊕k。將(md,prng(idd))發(fā)送給讀寫器r，讀寫器r計(jì)算α=nt⊕k，k=prng(idd)⊕α⊕β，更新k=k⊕k，并將(md,β)發(fā)送給標(biāo)簽t。

t：標(biāo)簽t收到數(shù)據(jù)后，計(jì)算出k=(prng(idt)⊕α⊕β)，如果crc(prng(idt‖β)⊕k=md，則標(biāo)簽t完成對(duì)數(shù)據(jù)庫(kù)d的認(rèn)證，同時(shí)更新m=m⊕k。

4〕邏輯推理。

由消息3知d{idt‖α}k，由假設(shè)p1和規(guī)則p|≡qyp,p{*}yp|≡q|～*得到d|≡t|～(idt‖α)；由假設(shè)p3和規(guī)則p|≡*(*)p|≡*(*,y)，可得d|≡*(idt‖α)；由公式p|≡*(*),p|≡q|～*p|≡q|≡*可得d|≡t|≡(idt‖α)；再由規(guī)則p|≡q|*,p|≡q|≡*p|≡*可得d|≡(idt‖α)；最后由規(guī)則p|≡(*,y)p|≡*得到d|≡idt。

由消息5知t{idd‖β}k，由假設(shè)p1和規(guī)則p|≡qyp,p{*}yp|≡q|～*得到t|≡d|～(idd‖β)；由假設(shè)p4和規(guī)則p|≡*(*)p|≡*(*,y)，可得t|≡*(idd‖β)；由公式p|≡*(*),p|≡q|～*p|≡q|≡*可得t|≡d|≡(idd