黃斌，張金鴻,胡忠奎（四川大學計算機學院，成都　610065）

基于動態(tài)ID的RFID安全協(xié)議研究及設計

黃斌，張金鴻,胡忠奎
（四川大學計算機學院，成都610065）

0　引言

無線射頻 （Radio Frenquency Identification，RFID）技術是一種非接觸式的自動識別技術，它通過無線射頻信號對標簽進行讀寫。相對與其他識別技術[1]，具有讀取方便、容量大、識別快、適應性強等優(yōu)點。目前，主要應用于物流管理、自動收費、防偽等方面[2-3]，例如ETC收費、電子錢包等。

盡管RFID具有很明顯的優(yōu)勢，但由于其本身的結構特性和固有的缺陷，使其面臨著嚴重的安全威脅。標簽和讀寫器之間通過開放無線信道進行通信，攻擊者能夠截獲通信信息，利用這些信息進行仿冒、重放等攻擊，嚴重威脅隱私和財產(chǎn)安全。

為了使RFID能被廣泛應用于各個領域，解決安全性問題是當務之急。RFID安全性問題研究的難點在于其標簽的存儲和計算資源都十分有限，現(xiàn)有的成熟的安全體系難以直接利用，所以設計一個高效、低成本和安全的認證協(xié)議具有重要的意義。

1　問題說明

RFID安全問題是制約其推廣的主要因素之一，隨著物聯(lián)網(wǎng)等新技術的發(fā)展和廣泛應用，基于密碼技術的低成本RFID安全協(xié)議研究備受關注，出現(xiàn)了許多新的安全性協(xié)議。但受到RFID系統(tǒng)中的存儲空間，計算能力和電力供應等限制，大部分協(xié)議都存在一些安全隱患。如Zhou于2010年提出的抵御去同步攻擊的RFID驗證協(xié)議[4]、何家亮于2012年提出的適用于無線連接的 RFID驗證協(xié)議[5]，雖然都具有一定的安全性，但也存在缺陷：Zhou所提出的協(xié)議存在被追蹤的安全缺陷，何所提出的協(xié)議不能夠抵御重放攻擊。

2　動態(tài)ID安全協(xié)議

針對上述兩種協(xié)議中存在的問題，對其進行改進，提出一種新的基于動態(tài)ID機制的安全協(xié)議。下面介紹協(xié)議的具體流程并分析其安全性。

2.1協(xié)議流程

一個完整的RFID系統(tǒng)由標簽 （Tag）、讀寫器（Reader）、服務器（Server）組成。服務器中保存了認證必須的數(shù)據(jù)：認證標示SID，SCpre和SCnow，讀寫器的標示SRID，使用過的隨機數(shù)表T。讀寫器保存自身的表示：RID。標簽保存TCnow和TID，SCnow和 TCnow，SID和TID保持一致。

下面以第n（n>1）次認證為例，描述協(xié)議認證流程，對流程中的符號加以說明：H（）表示hash函數(shù)[6]，⊕表示模2加，‖表示連接 。具體見圖1：

圖1　協(xié)議認證流程圖

（1）讀寫器給電子標簽發(fā)送隨機數(shù)R和查詢消息。

（2）電子標簽計算H（TCnow⊕R）返回給讀寫器。

（3）讀寫器計算 H（RID⊕R），將H（TCnow⊕R），H （RID⊕R），R）發(fā)送給服務器做認證。

（4）服務器收到認證請求后，查詢隨機數(shù)表T，若表中存在隨機數(shù)R，則認為遭受攻擊，認證失敗。否則服務器對標簽和讀寫器進行認證：

①標簽認證：取出服務器上的SCpre，SCnow，分別計算H（SCnow⊕R）和H（SCpre⊕R）。若其中有一個等于接收到的H（TCnow⊕R），則認為標簽驗證成功。

②讀寫器認證：取出服務器上保存的SRID，然后計算H（SRID⊕R）并與接收到的H（RID⊕R）比較，若相等則讀寫器認證成功。

如果標簽和讀寫器都認證成功，向讀寫器發(fā)送（H （SID‖R），H（SRID‖R））。然后更新數(shù)據(jù)：SID=H（RL‖SID），SCpre=SCnow，SCnow=H（RL‖SCnow）。

（5）讀寫器接收服務器的認證反饋后，比較接收到的H（SRID‖R）與自己計算的H（RID‖R），若相等，則讀寫器對服務器的認證成功，并給電子標簽發(fā)送H （SID‖R）。標簽把H（SID‖R）與自身計算的H（TID‖R）比較，若相等，則標簽對服務器的認證成功，然后更新標簽數(shù)據(jù)，TID=H（RL‖TID）和TCnow=H（RL‖TCnow）。

2.2協(xié)議安全性分析

（1）BAN邏輯

BAN邏輯[7-8]是基于知識和信仰的形式化分析方法，可以用來描述和驗證協(xié)議，而且證明過程直觀簡潔。證明過程中首先把協(xié)議的消息轉化為BAN邏輯公式，設定合理的條件假設，然后根據(jù)邏輯推理規(guī)則，推導協(xié)議是否滿足預期目的。

BAN邏輯中的基本語義：P，Q表示主體變量，X，Y表示消息，K表示密鑰。P∣≡X表示P永遠相信X為真。P▽X表示P收到包含X的消息。P∣≈X表示P曾發(fā)送過包含X的消息。P∣=>X 表示P對X有管轄權。#（X）表示X是在當前產(chǎn)生的消息。P?kQ）表示P和Q的共享密鑰K。→kP）表示K是P的公開密鑰。P?XQ表示X為P和Q共享秘密。{X}K表示由密鑰K加密X后得到的密文。Y表示由X和密鑰Y合成的消息。

BAN邏輯中包含的與本文相關的幾個推理規(guī)則：

①消息含義規(guī)則：

②新鮮性規(guī)則:

③臨時值驗證規(guī)則:

④仲裁規(guī)則:

⑤信念規(guī)則:

⑥消息接收規(guī)則:

（2）協(xié)議證明

下面通過BAN邏輯來證明協(xié)議的安全性，為方便描述，用S代表服務器、R代表讀寫器、T代表標簽、M代表隨機數(shù)、RID代表讀寫器標示、SID代表服務器存儲的標簽標示、SRID代表服務器存儲的閱讀器標示、TC代表存儲在標簽的隨機認證標示、SC代表存儲在服務器的隨機認證標示。根據(jù)BAN邏輯證明步驟，分四步來完成對協(xié)議的證明：

（1）協(xié)議理想化描述：

①形式化描述

R→T:{M}

T→R:{H（M⊕TC）}

R→S:{R，H（M⊕RID），H（M⊕TC）}

S→R:{H（SID‖M）}

S→T:{H（SID‖M）}

②語法描述

T▽{M}

R▽{H（M⊕TC）}

S▽{R，H（M⊕RID），H（M⊕TC）} R▽{H（SID‖M），H（RID‖M）}

T▽{H（SID‖M）}

（2）初始化假設

S∣≡T∣=>TC

S∣≡R∣=>RID

T∣≡S∣=>SC

R∣≡S∣=>SRID

R∣≡#（M）

T∣≡#（M）

S∣≡#（M）

（3）預期目標

S∣≡TC

S∣≡SID

S∣≡RID

S∣≡SRID

（4）安全性證明

①預期目標S∣≡TC的證明：

●由BAN邏輯推理規(guī)則6和語法描述2得到S ▽{M⊕TC}。

●由假設條件1及語法描述S▽{M⊕TC}，根據(jù)推理規(guī)則1，可推出S∣≡T∣≈{M⊕TC}。

●假設條件11和推理規(guī)則2，可知S∣≡#（M⊕ TC）。

●根據(jù)S∣≡#（M⊕TC）和推理規(guī)則3，可知S∣≡T∣≡{M⊕TC}。

●根據(jù)S∣≡T∣≡{M⊕TC}和推理規(guī)則5，可知S∣≡T∣≡TC。

●依據(jù)S∣≡T∣≡TC和假設條件5，依據(jù)推理規(guī)則4，可得出結論S∣≡TC。

②預期目標S∣≡SID的證明：

●由語法描述5和推理規(guī)則6，得到T▽ {SID‖M}。

●由初始假設2和T▽ {SID‖M}，根據(jù)推導規(guī)則1，可推出T∣≡S∣≈{SID‖M}。

●由假設條件T∣≡#（M）及推導規(guī)則2，可知T∣≡#（M⊕SID）。

●由T∣≡S∣≈{SID‖M}和T∣≡#（M⊕SID），根據(jù)推導規(guī)則3，可知T∣≡S∣≡（M‖SID）。

●據(jù)T∣≡S∣≡（M‖SID）。和推導規(guī)則5，可推出T∣≡S∣≡SID。

●依據(jù)T∣≡S∣≡SID和假設條件T∣≡S∣=> SID以及推導規(guī)則4，可得出結論T∣≡SID。

預期目標3，4可以參照上面的兩個證明過程加以證明。綜上可以證明本文所設計的協(xié)議的滿足預定的目標。

（3）攻擊檢測分析

根據(jù)協(xié)議可能受到的攻擊，分析本協(xié)議的安全性。假設攻擊者具有Dolev-Yao攻擊模型的所有能力，攻擊者可以截獲的信息包括：H（R⊕TC）、H（R⊕RID）、H （R‖SID）和H（R‖SRID），下面進行具體分析：

本協(xié)議可以抵御標簽追蹤：在傳輸過程中，與標簽相關的兩個數(shù)據(jù)TC和TID都是通過Hash函數(shù)處理過的，攻擊者只能截獲到Hash值，根據(jù)Hash函數(shù)的理論不可破特性，攻擊者無法獲得和標簽相關的任何信息，所以不可能追蹤標簽。

本協(xié)議不可被假冒攻擊:攻擊者不可假冒服務器。在協(xié)議流程第3步，攻擊者假冒服務器，意圖欺騙讀寫器和標簽。那么在第4步，假冒的服務器必須發(fā)送正確的（H（SID‖R），H（SRID‖R））消息，但攻擊者無法獲得SID和SRID，所以無法仿冒服務器。攻擊者同時也無法仿冒標簽，因為攻擊者無法獲取標簽中的TID和TC信息。

本協(xié)議可以抵御重放攻擊。本協(xié)議的設計中，加入了對隨機數(shù)的檢測機制，每次驗證的時候都檢測隨機數(shù)的新鮮性。攻擊者即使獲取到隨機數(shù)，也會被檢測出不符合要求，所以可以抵御重放攻擊。

3　結語

現(xiàn)有的一些RFID安全協(xié)議雖然解決了一些問題，但同時也存在一些安全性隱患，為解決此問題，提出了一個新的基于動態(tài)ID的安全性協(xié)議，并用BAN邏輯證明了其安全性。但該協(xié)議的效率還不夠高，研究協(xié)議中的Hash算法，提高效率和通用性是下一步的研究重點。

[1]現(xiàn)代自動識別技術與應用[M].淸華大學出版社,2003.

[2]RFID Forecasts,Players and Opportunities 2014-2024[EB/OL].http://www.idtechex.com/research/reports/rfid-forecasts-players-andopportunities-2014-2024-000368.asp.

[3]G Tsudik.YA-TRAP:Yet Another Trivial RFID Authentication Protocol[C].Proceedings of The 4th IEEE Annual Conference on Pervasive Computing and Communications.2006.

[4]Zhou S,Zhang Z,Luo Z,et al.A Lightweight Anti-Desynchronization RFID Authentication Protocol[J].Information Systems Frontiers, 2010,12(5):521-528.

[5]何加亮.基于散列函數(shù)的RFID安全協(xié)議研究[D].吉林大學,2012.

[6]William Stallings.密碼編碼學與網(wǎng)絡安全——原理與實踐(第四版)[M].孟慶樹，王麗娜，傅建明等譯.北京:電子工業(yè)出版社，2007，246-254.

[7]Burrows M,Abadi M,Needham R M.A Logic of Authentication[C].Proceedings of the Royal Society of London A:Mathematical, Physical and Engineering Sciences.The Royal Society,1989,426(1871):233-271.

[8]萇進.BAN邏輯及BAN類邏輯研究.河南科技，2010.

RFID;Security Protocol;BAN Logic

Research and Design RFID of Security Protocol Based on Dynamic ID

HUANG Bin，ZHANG Jin-hong，HU Zhong-kui

（College of Computer Science,Sichuan University,Chengdu 610065）

1007-1423（2016）05-0024-05

10.3969/j.issn.1007-1423.2016.05.005

黃斌（1986-），男，云南曲靖人，在讀碩士研究生，研究方向為信息安全和高性能計算

張金鴻（1983-），男，河南信陽人，碩士研究生，研究方向為嵌入式和信息安全

胡忠奎（1981-），男，遼寧海城人，碩士研究生，研究方向為大數(shù)據(jù)分析

2015-12-25

2016-01-12

無線射頻技術是一項應用前景廣闊的技術，但受限于安全性問題，難以推廣。為解決此問題，以RFID協(xié)議安全性和隱私性為著力點，利用密碼等相關技術設計一個基于動態(tài)ID的安全性協(xié)議，并用BAN邏輯和安全檢測技術分析其安全性。

射頻識別；安全協(xié)議；BAN邏輯

Radio frequency technology is a promising technology,but it is difficult to promote because of security issues.To solve this problem,with the RFID security and privacy agreement,uses the cryptography related to design a security protocols based on dynamic ID,uses BAN logic and safety testing technology to analyze its security.