呂欣美

(中州大學(xué)就業(yè)指導(dǎo)中心,鄭州 450044)

1.引言

無(wú)線(xiàn)射頻識(shí)別(Radio Frequency IDentification,RF ID)是一種利用射頻信號(hào)自動(dòng)識(shí)別目標(biāo)對(duì)象并獲取相關(guān)信息的技術(shù)。與條形碼技術(shù)相比,RF ID技術(shù)具有使用壽命長(zhǎng)、讀取距離遠(yuǎn)、掃描速度快、數(shù)據(jù)存儲(chǔ)量大等優(yōu)點(diǎn)。目前,其應(yīng)用領(lǐng)域日益擴(kuò)大,已在制造、零售、物流等領(lǐng)域顯示出強(qiáng)大的實(shí)用價(jià)值和發(fā)展?jié)摿Α?/p>

RF ID系統(tǒng)主要包括三個(gè)組成部分:標(biāo)簽 (Tag)、讀寫(xiě)器(Reader)和后端數(shù)據(jù)庫(kù) (Backend database)。標(biāo)簽主要由芯片和內(nèi)置天線(xiàn)組成,存儲(chǔ)有所附的物品信息,可以和讀寫(xiě)器進(jìn)行通信。讀寫(xiě)器主要用于和標(biāo)簽進(jìn)行通信,并將標(biāo)簽所發(fā)送的消息轉(zhuǎn)發(fā)給后端數(shù)據(jù)庫(kù)進(jìn)行處理,以及將后端數(shù)據(jù)庫(kù)的處理結(jié)果轉(zhuǎn)發(fā)給標(biāo)簽。后端數(shù)據(jù)庫(kù)主要為整個(gè)系統(tǒng)提供各種服務(wù),如認(rèn)證服務(wù)等。

阻礙 RF ID系統(tǒng)進(jìn)一步推廣應(yīng)用的一個(gè)關(guān)鍵問(wèn)題是系統(tǒng)中信息的安全性。標(biāo)簽和讀寫(xiě)器之間采用的是無(wú)線(xiàn)通信,具有開(kāi)放性的特點(diǎn),容易受到竊聽(tīng)攻擊。而且 RF ID標(biāo)簽的計(jì)算能力、存儲(chǔ)空間和電力供應(yīng)都非常有限,無(wú)法執(zhí)行對(duì)稱(chēng)或非對(duì)稱(chēng)密碼算法,為保護(hù)系統(tǒng)中信息的安全性帶來(lái)很大困難[1,2]。

目前所進(jìn)行的研究工作主要集中于研究標(biāo)簽與標(biāo)簽讀寫(xiě)器之間的安全通信,并沒(méi)有設(shè)計(jì)出一個(gè)包括標(biāo)簽、讀寫(xiě)器和后端數(shù)據(jù)庫(kù)在內(nèi)的完整的安全方案。本文提出一種用于保護(hù) RF ID系統(tǒng)中標(biāo)簽 -讀寫(xiě)器 -后端數(shù)據(jù)庫(kù)之間安全通信的整體安全方案,并對(duì)其進(jìn)行了分析。

2.標(biāo)簽與讀寫(xiě)器之間的安全通信協(xié)議

LMAP(LightweightMutualAuthentication Protocol)由Pedro等人提出。在該協(xié)議中,標(biāo)簽只需要具備偽隨機(jī)發(fā)生器,并能執(zhí)行異或運(yùn)算 (⊕)、按位的與運(yùn)算 (∩)、按位的或運(yùn)算(∪)和模 2m(+)的加法即可,大大降低了對(duì)標(biāo)簽計(jì)算能力的要求。該協(xié)議可以分成四個(gè)階段,標(biāo)簽身份標(biāo)識(shí)階段、相互認(rèn)證階段、索引假名更新階段和密鑰更新階段。其過(guò)程為[3]:

(1)讀寫(xiě)器向標(biāo)簽發(fā)送查詢(xún)請(qǐng)求。

(2)標(biāo)簽收到請(qǐng)求后,發(fā)送索引假名 IDS(index-pseudonym)給讀寫(xiě)器。

(3)讀寫(xiě)器轉(zhuǎn)發(fā) IDS給后端數(shù)據(jù)庫(kù)。

(4)后端數(shù)據(jù)庫(kù)搜尋相對(duì)應(yīng)的記錄,找出所對(duì)應(yīng)的標(biāo)簽I

D與四個(gè)子密鑰 K1、K2、K3與 K4,并發(fā)送給讀寫(xiě)器。

(5)讀寫(xiě)器生成兩個(gè)隨機(jī)數(shù) n1與 n2,并計(jì)算 A= IDS⊕K1⊕ n1、B=( IDS K2)+n1、C= IDS+K3+n2,并發(fā)送 A、B和 C給標(biāo)簽。

(6)標(biāo)簽收到消息后,根據(jù)標(biāo)簽存儲(chǔ)的 IDS和 K1與 K2,可以求出 n1,并對(duì)讀寫(xiě)器進(jìn)行身份認(rèn)證,再使用 C計(jì)算出n2。計(jì)算出 n1與 n2后,標(biāo)簽計(jì)算 D=( IDS+ ID)⊕ n1⊕ n2并將其發(fā)送給讀寫(xiě)器,n1、n2用來(lái)保護(hù)標(biāo)簽 ID并供讀寫(xiě)器驗(yàn)證標(biāo)簽的合法性。

(7)讀寫(xiě)器使用自己存儲(chǔ)的 n1、n2、 IDS、 ID和收到的 D對(duì)標(biāo)簽的身份進(jìn)行認(rèn)證,防止偽造標(biāo)簽。

(8)讀寫(xiě)器與標(biāo)簽認(rèn)證完成后,標(biāo)簽與后臺(tái)數(shù)據(jù)庫(kù)所儲(chǔ)存的索引假名 IDS與密鑰 K必須同時(shí)進(jìn)行更新,以提供前向安全,并抵御重放攻擊。更新過(guò)程分別為: IDS=( IDS+(n2⊕ K4))⊕ ID、K1=K1⊕ n2⊕ (K3+ ID)、K2=K2⊕ n2⊕(K4+ ID)、K3=(K3⊕ n1)+(K1⊕ ID)、K4=(K4⊕ n1)+(K2⊕ ID)。

圖 1 LMAP協(xié)議

3.讀寫(xiě)器與后端數(shù)據(jù)庫(kù)之間的安全通信協(xié)議

在標(biāo)簽讀寫(xiě)器與后端數(shù)據(jù)庫(kù)之間的通信中,采用基于EAP-SAKE(Extensible Authentication Protocol-Shared-secretAuthentication and Key Establishment)的安全協(xié)議[4,5]提供相互認(rèn)證和協(xié)商密鑰的安全特性。

在報(bào)文交換之前,后端數(shù)據(jù)庫(kù)和讀寫(xiě)器要共享一個(gè)根密鑰 (Root-Secret),并用其生成兩個(gè)相互獨(dú)立的、用于不同目的的密鑰,分別是根密鑰 A(Root-Secret-A)和根密鑰 B(Root-Secret-B)。根密鑰A主要用于進(jìn)行認(rèn)證和生成臨時(shí) EAP密鑰 (Transient EAP Keys,TEK),根密鑰 B主要用于計(jì)算主會(huì)話(huà)密鑰 (Master Session Key,MSK)和擴(kuò)展主會(huì)話(huà)密鑰 (Extended Master Session Key,EMSK)。臨時(shí) EAP密鑰TEK又可分為 TEK-Auth和 TEK-Cipher,前者為 TEK的前16個(gè)字節(jié),用于消息完整性保護(hù)和認(rèn)證過(guò)程;后者為 TEK的后 16個(gè)字符,用于加解密過(guò)程。其密鑰體系結(jié)構(gòu)如圖 2所示:

圖 2 EAP-SAKE中的密鑰體系

報(bào)文交換過(guò)程為:

(1)當(dāng)讀寫(xiě)器要和后端數(shù)據(jù)庫(kù)進(jìn)行通信時(shí),后端數(shù)據(jù)庫(kù)首先發(fā)送 EAP.Request_Challenge報(bào)文,其中包括數(shù)據(jù)庫(kù)生成的隨機(jī)數(shù) AT_RAND_S和數(shù)據(jù)庫(kù)的身份標(biāo)識(shí)符 AT_SERVER ID。

(2)讀寫(xiě)器收到 EAP.Request_Challenge報(bào)文后發(fā)送EAP.Response_Challenge報(bào)文,其中包括讀寫(xiě)器生成的隨機(jī)數(shù) AT_RAND_P、讀寫(xiě)器的身份標(biāo)識(shí)符 AT_PEER ID、所支持的密文族 AT_SPI_P和生成的完整性校驗(yàn)碼 AT_M I C_P。然后讀寫(xiě)器使用 AT_RAND_S、AT_RAND_P和 Root-Secret-A計(jì)算出 SAKE主密鑰 (SAKE Master Secret,S MS)和臨時(shí)EAP密鑰 TEK。

(3)后端數(shù)據(jù)庫(kù)收到讀寫(xiě)器發(fā)送來(lái)的 EAP.Response_Challenge報(bào)文后,用同樣的辦法計(jì)算出 S MS和 TEK,以及完整性校驗(yàn)碼,并將計(jì)算結(jié)果與收到的 AT_M IC_P進(jìn)行比較,如果相同,就認(rèn)為讀寫(xiě)器通過(guò)了認(rèn)證。后端數(shù)據(jù)庫(kù)從讀寫(xiě)器發(fā)送的AT_SPI_P中選擇適當(dāng)?shù)募用芩惴ê蛥?shù),對(duì)通信數(shù)據(jù)進(jìn)行加密。然后后端數(shù)據(jù)庫(kù)發(fā)送 EAP.Request_Confirm報(bào)文,其中包括后端數(shù)據(jù)庫(kù)選擇的密文 AT_SPI_S、加密后的信息 AT_ENCR_DATA和完整性校驗(yàn)碼 AT_M IC_S。

(4)讀寫(xiě)器收到后端數(shù)據(jù)庫(kù)發(fā)送的 EAP.Request_Confir m報(bào)文后認(rèn)為后端數(shù)據(jù)庫(kù)已經(jīng)通過(guò)了對(duì)它的認(rèn)證。讀寫(xiě)器采用同樣的方法計(jì)算完整性校驗(yàn)碼,將計(jì)算結(jié)果與 EAP.Request_Confir m報(bào)文中的 AT_M IC_S進(jìn)行比較,如果相同,就認(rèn)為后端數(shù)據(jù)庫(kù)通過(guò)了認(rèn)證。然后發(fā)送 EAP.Response_Confir m報(bào)文,其中包括完整性校驗(yàn)碼 AT_M IC_P。

(5)后端數(shù)據(jù)庫(kù)收到 EAP.Request_Confir m報(bào)文后,發(fā)送 EAP.Success報(bào)文給讀寫(xiě)器,結(jié)束 EAP會(huì)話(huà)。此后,讀寫(xiě)器使用協(xié)商生成的 TEK-Cipher加密 IDS發(fā)送給后端數(shù)據(jù)庫(kù),后端數(shù)據(jù)庫(kù)則將加密后的標(biāo)簽的 ID和密鑰 K發(fā)送給讀寫(xiě)器。

4.協(xié)議分析

在該安全方案中,標(biāo)簽與讀寫(xiě)器之間采用了 LMAP協(xié)議,讀寫(xiě)器與后端數(shù)據(jù)庫(kù)之間采用的是基于 EAP-SAKE的安全協(xié)議。

(1)LMAP協(xié)議分析

在 LMAP協(xié)議中,只采用了偽隨機(jī)生成、異或運(yùn)算、按位的與運(yùn)算、按位的或運(yùn)算和模 2m的加法等輕量級(jí)計(jì)算,具有計(jì)算量小、計(jì)算速度快等優(yōu)點(diǎn),對(duì)標(biāo)簽的計(jì)算資源、存儲(chǔ)空間和電力供應(yīng)的要求非常低,非常適合用于具有有限計(jì)算資源的標(biāo)簽和讀寫(xiě)器之間的安全通信。在安全性方面,對(duì)該協(xié)議做如下分析:

標(biāo)簽 ID的機(jī)密性

在LMAP協(xié)議中,后端數(shù)據(jù)庫(kù)主要使用標(biāo)簽的假名 IDS確認(rèn)標(biāo)簽的身份,標(biāo)簽 ID并不以明文形式進(jìn)行傳輸,而是以加密之后的密文形式進(jìn)行傳輸。因此,該協(xié)議提供了標(biāo)簽ID的機(jī)密性。

標(biāo)簽的匿名性

為了防范攻擊者對(duì)標(biāo)簽攜帶者進(jìn)行跟蹤,需要保證標(biāo)簽I

D不被攻擊者截獲,而且每輪通信中所發(fā)送的消息都要不同 ,即上一輪所發(fā)送的 A、B、C、D和下一輪發(fā)送的 A、B、C、D不同。前者已通過(guò)標(biāo)簽 ID的機(jī)密性得以實(shí)現(xiàn),后者則通過(guò)讀寫(xiě)器生成的不重復(fù)的 n1和 n2以及每次會(huì)話(huà)完成后對(duì) IDS和 K1、K2、K3、K4進(jìn)行更新來(lái)實(shí)現(xiàn)。

雙向認(rèn)證

本協(xié)議中,讀寫(xiě)器和后端數(shù)據(jù)庫(kù)通過(guò)檢查標(biāo)簽發(fā)送來(lái)的I

DS和 D是否正確來(lái)確定該標(biāo)簽是否為合法標(biāo)簽;標(biāo)簽則通過(guò)檢查讀寫(xiě)器發(fā)送來(lái)的 A、B、C是否正確來(lái)讀寫(xiě)器是否為授權(quán)的讀寫(xiě)器。

抵御中間人攻擊和重放攻擊

該協(xié)議中,即使攻擊者竊聽(tīng)到標(biāo)簽和讀寫(xiě)器之間的所有通信,也無(wú)法獲取機(jī)密信息密鑰 K1、K2、K3、K4和標(biāo)簽 ID,因此能夠抵御中間人攻擊。此外,由于在協(xié)議中使用了不重復(fù)的隨機(jī)數(shù) n1和 n2,因此能抵御重放攻擊。

LMAP協(xié)議能夠提供雙向認(rèn)證和對(duì)標(biāo)簽機(jī)密性、匿名性的保護(hù),并抵御中間人攻擊和重放攻擊。

(2)EAP-SAKE協(xié)議分析

讀寫(xiě)器與后端數(shù)據(jù)庫(kù)之間采用的基于 EAP-SAKE的安全協(xié)議,只需要 2輪的請(qǐng)求 /響應(yīng)消息交換,能夠提供雙向認(rèn)證功能,確認(rèn)通信雙方的身份。還可以提供密鑰協(xié)商功能,生成會(huì)話(huà)密鑰進(jìn)行保密通信。

雙向認(rèn)證

后端數(shù)據(jù)庫(kù)通過(guò)檢查讀寫(xiě)器發(fā)送來(lái)的M IC_P是否正確來(lái)對(duì)讀寫(xiě)器進(jìn)行認(rèn)證;讀寫(xiě)器通過(guò)檢查后端數(shù)據(jù)庫(kù)發(fā)送來(lái)的M I C_S是否正確來(lái)對(duì)后端數(shù)據(jù)庫(kù)進(jìn)行認(rèn)證。因此,該協(xié)議提供了雙向認(rèn)證。

密鑰協(xié)商

在協(xié)議初始化時(shí),后端數(shù)據(jù)庫(kù)和讀寫(xiě)器共享一個(gè)根密鑰,由此生成根密鑰 A和根密鑰 B、S MS、TEK-Auth和 TEK-Cipher。TEK-Auth用于進(jìn)行認(rèn)證,TEK-Cipher用于進(jìn)行后續(xù)的保密通信。因此,該協(xié)議提供了密鑰協(xié)商功能。

EAP-SAKE協(xié)議提供了雙向認(rèn)證和密鑰協(xié)商功能,并能對(duì)后續(xù)通信提供機(jī)密性保護(hù)。

從以上的分析可以看出,提出的基于 LMAP和 EAPSAKE的 RF ID安全方案不僅可以保護(hù)標(biāo)簽 -讀寫(xiě)器之間的安全通信,也可以保護(hù)讀寫(xiě)器 -后端數(shù)據(jù)庫(kù)之間的安全通信。在標(biāo)簽 -讀寫(xiě)器端,所采用的安全協(xié)議計(jì)算量小、計(jì)算速度快,對(duì)標(biāo)簽的計(jì)算資源的要求很低,非常適合用低成本標(biāo)簽和讀寫(xiě)器之間的安全通信,而且能夠提供雙向認(rèn)證和對(duì)標(biāo)簽機(jī)密性、匿名性的保護(hù),并抵御中間人攻擊和重放攻擊。在讀寫(xiě)器 -后端數(shù)據(jù)庫(kù)端,所采用的安全協(xié)議提供了雙向認(rèn)證和密鑰協(xié)商功能,并能夠?qū)罄m(xù)通信進(jìn)行加密,提供機(jī)密性保護(hù)。

5.結(jié)束語(yǔ)

無(wú)線(xiàn)射頻識(shí)別系統(tǒng)目前已廣泛應(yīng)用于制造、零售、物流等領(lǐng)域,但系統(tǒng)中信息傳輸?shù)陌踩詥?wèn)題阻礙了它的進(jìn)一步推廣。目前所進(jìn)行的研究主要集中于研究標(biāo)簽與標(biāo)簽讀寫(xiě)器之間的安全通信。本文提出一種用于保護(hù) RF ID系統(tǒng)中標(biāo)簽 -讀寫(xiě)器 -后端數(shù)據(jù)庫(kù)之間安全通信的整體安全方案,該方案適用于使用低成本標(biāo)簽的 RF ID系統(tǒng),能夠?yàn)闃?biāo)簽 -讀寫(xiě)器 -后端數(shù)據(jù)庫(kù)之間提供雙向認(rèn)證和機(jī)密性保護(hù)等安全特性。

[1]Sarma S E,Weis SA,EngelsD W.RF ID systems and security and privacy implications:CHES 2002:Proceedings of the 4th InternationalWorkshop on Cryptographic Hardware and Embedded Systems[C].Berlin:Springer-Verlag,2003.

[2]Sarma S E,Weis S A,Engels D W.Radio-frequency identification:Secure risks and challenges[J].RSA Laboratories Cryptobytes,2003(6):2-9.

[3]Pedro Peris-Lopez,Julio Cesar Hernandez-Castro,Juan M.Estevez Tapiador,Arturo Ribagorda.LMAP:A Real LightweightMutual Authentication Protocol for Low-cost RF ID tags[M].Proceeding of 2ndWorkshop on RF ID Security,2006.

[4]VanderveenM,Soliman H.RFC4763,ExtensibleAuthentication ProtocolMethod for Shared-secret Authentication and Key Establishment[S].2006.

[5]Blunk L,Vollbrecht J.RFC2284,PPP Extensible Authentication Protocol[S],1998.