一種RFID隱私保護(hù)雙向認(rèn)證協(xié)議

時(shí)間：2009-05-06 15:20:16

關(guān)鍵字： RFID RS RFID標(biāo)簽 HASH函數(shù)

手機(jī)看文章

掃描二維碼
隨時(shí)隨地手機(jī)看文章

[導(dǎo)讀]1 引言無線射頻識(shí)別(Radio Frequency Identification，RFID)是一種非接觸式的自動(dòng)識(shí)別技術(shù)，利用它可以在遠(yuǎn)距離、惡劣環(huán)境下對(duì)集群目標(biāo)和移動(dòng)目標(biāo)進(jìn)行快速信息采集和自動(dòng)識(shí)別。因其不需要物理與視覺接觸便可以對(duì)目標(biāo)

1 引言

無線射頻識(shí)別(Radio Frequency Identification，RFID)是一種非接觸式的自動(dòng)識(shí)別技術(shù)，利用它可以在遠(yuǎn)距離、惡劣環(huán)境下對(duì)集群目標(biāo)和移動(dòng)目標(biāo)進(jìn)行快速信息采集和自動(dòng)識(shí)別。因其不需要物理與視覺接觸便可以對(duì)目標(biāo)對(duì)象進(jìn)行識(shí)別而被看作是一項(xiàng)革命性的新技術(shù)。近年來，RFID在供應(yīng)鏈管理、動(dòng)物識(shí)別管理、礦井管理、交通管理、電子錢包、生產(chǎn)線自動(dòng)控制、軍事等多領(lǐng)域廣泛應(yīng)用。

一個(gè)完整的RFID系統(tǒng)包括數(shù)據(jù)庫(kù)服務(wù)器、閱讀器和標(biāo)簽。雖然數(shù)據(jù)庫(kù)本身和閱讀器向服務(wù)器的認(rèn)證也存在安全問題，但它們有足夠的能源和計(jì)算資源，可以采用傳統(tǒng)的密碼算法來確保其安全。相比之下RFID標(biāo)簽的所帶來的安全性和隱私性問題顯得尤為突出。RFID標(biāo)簽與閱讀器之間的通信媒體是無線電，對(duì)攻擊者和其它未授權(quán)的閱讀器是完全暴露的，因此信息的傳遞缺乏機(jī)密性。在缺乏認(rèn)證的情況下，攻擊者可以采用重放合法閱讀器或標(biāo)簽信號(hào)的方式來假冒，以獲得標(biāo)簽或閱讀器的信任，進(jìn)而獲取秘密信息。第三方可以監(jiān)聽、干擾、篡改標(biāo)簽和閱讀器之間的會(huì)話，信息的完整性和可用性難以保證。攻擊者也可以通過監(jiān)聽來獲取敏感信息，并制造假標(biāo)簽，或通過監(jiān)聽、查詢來跟蹤標(biāo)簽和標(biāo)簽攜帶者。由于人們對(duì)安全性和隱私性越來越多的關(guān)注，有人稱RFID標(biāo)簽為“間諜芯片”和“跟蹤設(shè)備”，并建立組織來抵制任何RFID測(cè)試計(jì)劃。

2 解決安全性和隱私性的相關(guān)工作

由于RFID標(biāo)簽尺寸和成本的限制，設(shè)計(jì)RFID系統(tǒng)安全性和隱私性解決方案是一項(xiàng)富有挑戰(zhàn)性的研究工作，也是關(guān)系到RFID技術(shù)能否進(jìn)一步發(fā)展應(yīng)用的關(guān)鍵。許多文章討論了RFID系統(tǒng)的安全性和隱私性，并提出了許多方案。根據(jù)所采取的安全機(jī)制，這些方案分為物理機(jī)制方案和加密機(jī)制方案。

2.1 物理機(jī)制方案

物理機(jī)制主要有：Kill命令機(jī)制、靜電屏蔽、阻塞法等。

“Kill命令機(jī)制”是在設(shè)計(jì)標(biāo)簽時(shí)使之能夠接受一個(gè)Kill命令。帶標(biāo)簽的產(chǎn)品在賣點(diǎn)掃描結(jié)賬后，向標(biāo)簽發(fā)出該命令，使標(biāo)簽自動(dòng)失效。完全殺死標(biāo)簽可以完美的阻止掃描和追蹤，但對(duì)于消費(fèi)者來說，犧牲了RFID標(biāo)簽所有售后利益，比如售后服務(wù)、智能家庭應(yīng)用、產(chǎn)品交易與回收等。而且在很多情況下，標(biāo)簽不能被殺死，比如圖書館、租用商店等，他們必須保證標(biāo)簽?zāi)軌虮辉俅问褂谩?

“靜電屏蔽”是指將標(biāo)簽或帶標(biāo)簽的產(chǎn)品放入特制的具有靜電屏蔽功能的容器中再攜帶，使之不能與外界進(jìn)行電磁耦合，也就不會(huì)被訪問到。但顯然這種方法需要一個(gè)額外的物理設(shè)備，增加了系統(tǒng)的成本。

阻塞法依靠編入標(biāo)簽識(shí)別碼的可修改位來保護(hù)隱私性，這一位稱為隱私位，為0表示可以公開掃描，為1表示是私有。阻塞法依賴樹遍歷反沖突協(xié)議來起作用。除此之外，由于不可靠的RFID傳輸，可以造成阻塞的失敗。隨著閱讀器的發(fā)展，可以利用信號(hào)強(qiáng)度等特征來過濾阻塞信號(hào)。

2.2 加密機(jī)制方案

在目前提出的方案中采用的協(xié)議大多都是詢問／響應(yīng)的協(xié)議模式，不同之處在于所采用的算法不同。主要有基于單向Hash函數(shù)和基于傳統(tǒng)加密算法兩類。

基于單向Hash函數(shù)的安全協(xié)議主要包括Hashlock協(xié)議、隨機(jī)化Hash lock協(xié)議、Hash鏈協(xié)議、基于雜湊的ID變化協(xié)議、分布式RFID詢問／響應(yīng)認(rèn)證協(xié)議、LCAP協(xié)議等。文獻(xiàn)[1，4，5]提出的協(xié)議容易受到重傳和假冒攻擊。文獻(xiàn)[7]提出的方案在匹配標(biāo)簽ID時(shí)需要計(jì)算所有標(biāo)簽ID和所交換隨機(jī)數(shù)的Hash值，對(duì)于擁有大量標(biāo)簽的RFID系統(tǒng)，后端數(shù)據(jù)庫(kù)計(jì)算量太大。文獻(xiàn)[6，8]提出的方案用升級(jí)ID來防止重放攻擊，但存在數(shù)據(jù)庫(kù)與標(biāo)簽數(shù)據(jù)不同步的隱患。

基于傳統(tǒng)的加密算法的安全協(xié)議，文獻(xiàn)[9]提出基于矩陣乘法的認(rèn)證方案，由于標(biāo)簽存儲(chǔ)能力的限制，矩陣階數(shù)不能太大，因此作者分析了該方案存在的弱點(diǎn)是不能防止野蠻密鑰攻擊。文獻(xiàn)[10]提出基于橢圓曲線的公鑰認(rèn)證方案。文獻(xiàn)[11]提出的方案基于零知識(shí)證明思想。這類協(xié)議大部分在計(jì)算量和通信量上較大，適合于電能、計(jì)算能力和存儲(chǔ)能力限制不大的主動(dòng)式RFID標(biāo)簽，不適合于低成本RFID標(biāo)簽。

3 零知識(shí)泄露的雙向RFID認(rèn)證協(xié)議

提出一種零知識(shí)泄露的雙向RFID認(rèn)證協(xié)議。對(duì)于低成本RFID標(biāo)簽來說，該協(xié)議有合適的通信量和計(jì)算量，并能夠有效地保護(hù)RFID系統(tǒng)的安全性和隱私性。首先，我們給出協(xié)議的主要思想，定義協(xié)議的假設(shè)，然后給出協(xié)議的描述。

為方便和簡(jiǎn)化協(xié)議的描述，定義：T表示標(biāo)簽，R表示閱讀器，B表示后端數(shù)據(jù)庫(kù)系統(tǒng)，A表示攻擊者。

3.1 主要思想

由前面的安全性和隱私性分析可以看出，RFID安全弱點(diǎn)來自T和R之間不安全的無線通信接口。A可以干擾、篡改或竊聽T和R之間的通信，使T和B的數(shù)據(jù)不同步，可以對(duì)T和R實(shí)施重放攻擊，也可以在不被察覺的情況下跟蹤標(biāo)簽持有者的位置和行為，并模仿合法的T或R。而基于零知識(shí)證明的身份認(rèn)證機(jī)制的基本思想是：信息的擁有者可以在無需泄漏密秘信息的情況下就能夠向驗(yàn)證者證明它擁有該信息。因此，基于零知識(shí)的身份認(rèn)證機(jī)制很適合于RFID系統(tǒng)。

我們的協(xié)議采用在R與T之間傳送零知識(shí)認(rèn)證消息(Zero-knowledge Authentication Message，ZAM)的方式，在不泄露標(biāo)簽ID的情況下，實(shí)現(xiàn)R和T之間的雙向認(rèn)證，并為以后的會(huì)話提供一個(gè)一次一換的隨機(jī)會(huì)話密鑰(Random Session Key，RSK)和可以作為會(huì)話序號(hào)的時(shí)間戳(Date Timestamp，DT)。

3.2 假設(shè)

我們的方案主要針對(duì)低成本標(biāo)簽中可以執(zhí)行同步加密操作的一類標(biāo)簽(也稱為同步密鑰標(biāo)簽)，這類標(biāo)簽是目前低成本標(biāo)簽的主流和發(fā)展趨勢(shì)。根據(jù)Auto-ID中心的試驗(yàn)數(shù)據(jù)，在設(shè)計(jì)5美分標(biāo)簽時(shí)，集成電路芯片的成本不應(yīng)該超過2美分，也就是說用于安全和隱私保護(hù)的門電路數(shù)量不能超過2.5k～5k個(gè)。根據(jù)文獻(xiàn)[12]，實(shí)現(xiàn)一個(gè)Hash函數(shù)單元只需要1.7k個(gè)門電路，實(shí)現(xiàn)一個(gè)隨機(jī)數(shù)發(fā)生器(Pseudorandom Number Generator，PRNG)也僅需要數(shù)百個(gè)門電路。因此，我們假設(shè)T有一個(gè)單向Hash函數(shù)H()，有一個(gè)隨機(jī)數(shù)發(fā)生器，有一定的存儲(chǔ)能力，有基本的運(yùn)算能力(如XOR)。T和B有相同的單向Hash函數(shù)，并預(yù)共享一個(gè)會(huì)話密鑰(Session Key，SK)。

R和B有很大的計(jì)算機(jī)能力，因此假設(shè)R和B之間的通信信道是安全的。

3.3 協(xié)議描述

協(xié)議執(zhí)行過程如圖1所示。

(1)R向T發(fā)送Query認(rèn)證請(qǐng)求。

(2)T產(chǎn)生一個(gè)隨機(jī)數(shù)r，使用自己的ID和SK計(jì)算α1=ID⊕H(r⊕SK)，形成ZAM1={r，α1}并發(fā)送給R。

(3)R將ZAM1轉(zhuǎn)發(fā)給B。

(4)B計(jì)算ID'=α1⊕H(r⊕SK)，在數(shù)據(jù)庫(kù)中查找是否有這樣的ID'，如果有，T則通過初步認(rèn)證，之后R產(chǎn)生隨機(jī)數(shù)作為RSK，計(jì)算β=RSK⊕H(DT⊕SK)，β2=H(ID⊕RSK⊕SK)，形成ZAM2={DT，β1，β2)發(fā)給R。其中：DT為時(shí)間戳，是B的系統(tǒng)時(shí)間或具有時(shí)間戳功能的隨機(jī)數(shù)，用于防止重放攻擊，并作為本次會(huì)話的序號(hào)，合法的T可以用β1恢復(fù)出RSK，用β2驗(yàn)證RSK的有效性，同時(shí)驗(yàn)證R的合法性。

(5)R將ZAM2轉(zhuǎn)發(fā)給T。

(6)T收到ZAM2后，首先判斷DT，如果比以前保存的大，則認(rèn)為正常，然后T用自己的SK計(jì)算H(DT⊕SK)，恢復(fù)出RSK，并進(jìn)行驗(yàn)證，如果正確則通過對(duì)R的認(rèn)證，并保存DT，計(jì)算α2=H(r⊕SK⊕RSK⊕DT)，形成再次認(rèn)證消息ZAM3={α2)發(fā)送給R，作為對(duì)ZAM2的應(yīng)答。該應(yīng)答也是零知識(shí)的，既確認(rèn)正確的收到RSK，又證明T是整個(gè)認(rèn)證會(huì)話的參與者。如果DT不正?；騌SK無效，則忽略ZAM2，并保持靜默。

(7)R將ZAM3轉(zhuǎn)發(fā)給B，B計(jì)算H(r⊕SK⊕RSK⊕DT)，與收到的α2進(jìn)行比較，如果相等則通過對(duì)T的認(rèn)證。

4 協(xié)議安全性和抗攻擊性分析

4.1 安全性分析

機(jī)密性 Hash函數(shù)的單向性確保了從認(rèn)證消息中無法獲得SK等敏感信息。認(rèn)證過程的零知識(shí)性保證在完成認(rèn)證的同時(shí)，不泄露標(biāo)簽ID等信息。協(xié)議采用共享SK，閱讀器和標(biāo)簽可以對(duì)收到的消息進(jìn)行正確性和完整性驗(yàn)證，從而保證認(rèn)證信息和交換RSK的機(jī)密性。

可認(rèn)證性采用雙向身份認(rèn)證的機(jī)制，有效地防止了未授權(quán)的閱讀器和假冒的標(biāo)簽參與會(huì)話，增加了認(rèn)證的可靠性，因此協(xié)議在不可信環(huán)境中依然有效。

可用性入侵者可能發(fā)起一個(gè)DoS攻擊來影響的RFID系統(tǒng)的使用，但無法通過這種攻擊獲取敏感信息，因此具有較高的可用性。

4.2 抗攻擊性分析

4.2.1 對(duì)RFID標(biāo)簽的攻擊

一種是攻擊者假裝成合法的閱讀器。這種攻擊會(huì)被DT、RSK和SK的組合擊敗，因?yàn)橹挥泻戏ǖ拈喿x器才能提供一個(gè)有效的ZAM2，假冒閱讀器采用重放或篡改個(gè)別信息等方式向標(biāo)簽作認(rèn)證時(shí)會(huì)被標(biāo)簽識(shí)破。

另一種是攻擊者通過查詢來跟蹤標(biāo)簽。這種攻擊會(huì)被r的隨機(jī)性擊敗，因?yàn)槊看螛?biāo)簽所發(fā)出的ZAM1都是不同的，所以跟蹤者無法判定跟蹤的是否是同一個(gè)標(biāo)簽。

4.2.2 對(duì)RFID閱讀器攻擊

攻擊者假裝成有效標(biāo)簽的攻擊有兩種情況：一是攻擊者發(fā)出假的ZAM1，在沒有SK的情況下這種攻擊在對(duì)標(biāo)簽的初次認(rèn)證時(shí)就會(huì)被閱讀器識(shí)破；二是攻擊者對(duì)閱讀器重放某次有效標(biāo)簽的ZAM1進(jìn)行攻擊，這種攻擊雖然能使B產(chǎn)生ZAM2，但在再次認(rèn)證時(shí)，由于攻擊者沒有SK，不可能恢復(fù)出RSK，因此不能構(gòu)造出正確的ZAM3，進(jìn)而不能通過系統(tǒng)對(duì)其的再次認(rèn)證。

4.2.3 中間人攻擊

假定協(xié)議在長(zhǎng)距離下工作，由中間人來轉(zhuǎn)發(fā)認(rèn)證消息，但認(rèn)證和響應(yīng)都是加密和零知識(shí)的，因此認(rèn)證消息對(duì)于中間人是透明的，通過直接讀取消息，攻擊者僅可以得知閱讀器和標(biāo)簽在通信，而不能得到任何秘密信息。即使攻擊者通過轉(zhuǎn)發(fā)標(biāo)簽的認(rèn)證消息和再次認(rèn)證消息而通過認(rèn)證，但不可能獲得RSK，從而無法進(jìn)行后續(xù)的會(huì)話，使這種欺騙變得沒有意義。

5 結(jié) 語

RFID技術(shù)的使用提高了制造業(yè)、服務(wù)業(yè)等行業(yè)的效率，節(jié)約了成本，但同時(shí)也帶來了安全和隱私問題。這些問題越來越成為RFID技術(shù)進(jìn)一步發(fā)展和應(yīng)用的障礙。本文簡(jiǎn)單分析了RFID技術(shù)所帶來的安全和隱私風(fēng)險(xiǎn)，回顧了解決安全和隱私問題的相關(guān)方案，提出了一種適合于低成本標(biāo)簽的雙向RFID認(rèn)證協(xié)議。

與其他基于Hash函數(shù)的方案相比，在計(jì)算量和通信量略有增加的情況下，本文協(xié)議提高了認(rèn)證的安全性和有效性，增加了抗攻擊的能力。與基于傳統(tǒng)加密算法的方案相比，該協(xié)議在計(jì)算量和通信量上對(duì)低成本RFID標(biāo)簽是適度的，且在認(rèn)證的靈活性方面有較大的優(yōu)勢(shì)。針對(duì)不同的安全級(jí)別要求，可以選擇不同規(guī)模的Hash函數(shù)。