陳　卓

（信陽農(nóng)林學院，河南信陽，464000）

一種RFID系統(tǒng)的Tag-Reader雙向安全認證協(xié)議

陳卓

（信陽農(nóng)林學院，河南信陽，464000）

為了保證RFID系統(tǒng)的信息安全，本文在分析現(xiàn)有RFID認證協(xié)議的基礎(chǔ)上，提出一種基于Grain-Mac流密碼加密算法的雙向安全認證協(xié)議，采用流密碼和密鑰動態(tài)更新的方法實現(xiàn)了標簽與閱讀器的雙向認證。仿真結(jié)果表明，該協(xié)議成本低、效率高、安全性好，且能夠有效抵抗拒絕服務(wù)攻擊，達到了預期的效果。

射頻識別；加密算法；認證協(xié)議

隨著物聯(lián)網(wǎng)技術(shù)日趨成熟，射頻識別（Radio Frequency Identification，RFID）系統(tǒng)逐漸在零售、物流等領(lǐng)域得到廣泛應(yīng)用。人們享受其帶來的便捷，同時也逐漸意識到信息安全和隱私保護問題。犯罪分子利用開放型無線環(huán)境的漏洞進行非法攻擊，會造成系統(tǒng)紊亂，甚至機密泄露。目前，依據(jù)RFID層次特點實施的針對性攻擊主要有兩種：Tag-Reader攻擊和后臺攻擊。

1　現(xiàn)有Tag-Reader認證機制

國內(nèi)外學者對Tag-Reader攻擊提出兩類安全對策：一是物理機制，主要包括kill命令、主動干擾、阻塞標簽和靜電屏蔽等。其對象為計算能力弱的低成本標簽，能一定程度上解決安全問題，但標簽利用率低，局限性大。其二是加密認證機制，是采用密碼學技術(shù)來完善協(xié)議，綜合性能更為優(yōu)越，本文的研究對象為后者。

最早的Hash-Lock協(xié)議以metaID來代替真實的標簽ID，能夠防止未經(jīng)授權(quán)者閱讀標簽內(nèi)容。但metaID固定，并以明文形式發(fā)送，難以抵抗偽造攻擊和重放攻擊。隨機Hash-Lock協(xié)議在標簽內(nèi)存儲標簽ID與一個隨機數(shù)產(chǎn)生程序，達到一定的保密效果，但仍無法擺脫攻擊者的追蹤。Hash鏈協(xié)議與上述兩個協(xié)議不同，標簽（tag）和閱讀器（reader）間有一個約定的初始密鑰，前向安全性良好。但要求tag具備讀寫能力，增加了制造成本。文獻［2］提出一種分布式RFID詢問—應(yīng)答協(xié)議，其reader和tag分別生成一個隨機數(shù)，只有兩者都通過認證才允許訪問。安全漏洞較少，但運算時間較長。文獻［3］提出一種O-FRAP認證協(xié)議，其密鑰在認證后被更新，不易被跟蹤。但每次查詢都要利用記錄做計算和匹配，浪費后臺服務(wù)器資源，容易遭受拒絕服務(wù)攻擊（DoS），引起系統(tǒng)崩潰?，F(xiàn)階段還缺乏一種低成本、高效率與安全性兼具的協(xié)議，本文針對DoS的特點，設(shè)計了一種基于Grain-Mac流密碼加密算法的雙向安全認證協(xié)議。

2　基于Grain-Mac流密碼加密算法的雙向安全認證協(xié)議

2.1認證流程

符號定義如下：R為閱讀器，T為RFID標簽，S為服務(wù)器，rt、rs和rr分別是三者產(chǎn)生的隨機數(shù)，D是S的數(shù)據(jù)庫，PRNG（）為偽隨機函數(shù)，K（）是加密函數(shù)，D.query（）和D.update（）為數(shù)據(jù)庫查詢和更新命令，||為連接操作符。每個標簽和服務(wù)器擁有兩個密鑰：公共密鑰kc，用于在查詢數(shù)據(jù)庫之前判斷標簽和閱讀器的合法性，此密鑰為固定值。私有密鑰kt，在認證過程中動態(tài)更新，且每個標簽的kt都具有唯一性。在標簽、閱讀器和服務(wù)器上都有一個算法相同的密鑰流產(chǎn)生器，kc和kt只作為密鑰源，由產(chǎn)生器產(chǎn)生密鑰流，經(jīng)過異或運算加密明文。D中為每個標簽保存數(shù)組（Kc（ID），ID，kt），標簽中存儲一組數(shù)據(jù)（ID，kt，kc），服務(wù)器存儲kc。認證步驟如下：

（1）當檢測到T進入R通信范圍內(nèi)，R會向T發(fā)送一個詢問信號Query。

（2）收到信號的T產(chǎn)生一個與ID位數(shù)相同的隨機數(shù)rt，然后發(fā)送給R。

（3）R收到數(shù)據(jù)后，產(chǎn)生自己的隨機數(shù)rr，并與rt一起通過安全信道發(fā)送給S。

（4）S將兩者進行連接：b=rr||rt，用公共密鑰kc對b進行加密：c=Kc（b），然后把c傳回R。

（5）R把自己的rr與c一起發(fā)送給T。

（6）T將收到的rr’和rt連接，用公共密鑰kc加密得：c’=Kc（rr’||rt），然后判斷是否c’=c，若不相等則認為R不合法。否則對ID用kc加密并與rt異或得：a= Kc（ID）⊕rt，目的是讓每次傳輸數(shù)據(jù)有所區(qū)別，防止被追蹤。然后將a與rr’||rt連接并用kc加密：m=Kc（a||rr’||rt），用私有密鑰kt加密rt：d=Kt（rt），再把這三個數(shù)據(jù)發(fā)給R，最后更新密鑰kt：kt’=PRNG（kt），表示用原先密鑰做種子隨機生成新密鑰。

（7）R將收到的a與rr||rt連接，用kc加密：m’= Kc（a||rr||rt），判斷是否m’=m，若不相等則認為T不合法，停止認證過程。否則將a、d發(fā)送給S。

（8）S將收到的a與rt異或得：n=a⊕rt，以n為索引在D中查找T的記錄：D.query（n），找到對應(yīng)的ID和密鑰kt：（ID，kt）。

①用密鑰kt加密rt：d’=Kt（rt）。判斷是否d’=d，若相等則認為T合法，認證通過，然后執(zhí)行②，若不等則先執(zhí)行②，然后重新執(zhí)行①。防止因阻塞攻擊導致數(shù)據(jù)不同步。

②更新密鑰kt：kt’’=PRNG（kt）。

③用kt’’更新數(shù)據(jù)庫記錄：D.update（kt’’）。

④生成隨機數(shù)rs，用kt’’加密：h=Kt（rs），然后與rs一起發(fā)送給R。

（9）R把h和rs轉(zhuǎn)發(fā)給T。

（10）T收到后用更新后的密鑰kt’加密rs：h’=Kt（rs），比較h’和h，若相等則接受R與S合法通過，整個認證過程結(jié)束。

2.2安全性分析

（1）嗅探跟蹤。利用流密碼加密使密文之間相關(guān)度較低，保證了信息交換中數(shù)據(jù)的不可讀性，除非同時知曉kc與kt才能通過認證。

（2）重放攻擊。信息流中的隨機數(shù)使每次傳輸數(shù)據(jù)有所變化，任何一步出錯都會關(guān)閉通信，無法截取相同T信息進行重放。

（3）前向安全。每次認證都會更新密鑰，PRNG是單向偽隨機函數(shù)，即使T中的本次kt泄露，也無法推算上一次的kt。

（4）數(shù)據(jù)一致性。D和T中并非存儲兩個密鑰，而是在S端重復使用PRNG函數(shù)更新kt進行認證，避免數(shù)據(jù)不同步。

（5）拒絕服務(wù)攻擊。S在發(fā)出查詢命令后用kc加密rr與rt，發(fā)送給T，T計算判別R和S的合法性。再用kc加密自己的a、rr與rt，發(fā)送給R，R判別T是否合法。若不合法則拒絕將數(shù)據(jù)發(fā)給S，防止偽造的標簽頻繁查詢D而導致系統(tǒng)崩潰。

3　仿真

本文以客戶端—服務(wù)器模式設(shè)計程序，對幾種Tag-Reader安全協(xié)議的認證過程進行仿真實驗，軟件如下：VS2008，VC6.0，ACE通信軟件包，MSSQL Server2000，Mysql7.0。利用ACE連接模塊功能，增加攻擊程序模擬攻擊過程，結(jié)果存儲在數(shù)據(jù)庫中便于分析比較。另采用文獻［4］提出的Grain-Mac流密碼加密算法進行加解密，加密速度快，硬件占用率低。因篇幅有限，不再給出具體程序。

從表1中可看出，相比于前三種Hash系列協(xié)議，分布式詢問—應(yīng)答協(xié)議、O-FRAP協(xié)議和本文協(xié)議的攻擊成功率大幅度降低，一方面是針對普遍性攻擊，各協(xié)議性能的差異。另一方面由于加入了DoS，原本安全性較強的協(xié)議暴露出劣勢，故從成本、效率和安全綜合考慮，本文的協(xié)議具有明顯的優(yōu)勢。

4　結(jié)束語

本文設(shè)計了一種基于Grain-Mac流密碼加密算法的雙向安全認證協(xié)議，采用流密碼和密鑰動態(tài)更新的方法實現(xiàn)標簽與閱讀器的雙向認證。仿真結(jié)果表明，該協(xié)議綜合性能良好且能夠有效抵抗拒絕服務(wù)攻擊，達到了預期的效果。

［1］ 梁晨.基于物聯(lián)網(wǎng)的RFID安全認證協(xié)議研究與設(shè)計［D］.西安：西安電子科技大學，2011：27-34.

［2］ 張瑾瑾，張浩軍.一種改進的RFID高效認證協(xié)議［J］.計算機技術(shù)與發(fā)展，2015，25（1）：147-150.

［3］ T r i V a n L e，M i k e B u r n m e s t e r，B r e n o d e Medeiros，Universally composable and forward secure RFID authentication and authenticated key exchange in：The Proceedings of the Second ACM Symposium on Information，Computer and Communications Security，2007：242-252.

［4］ 李雪峰.基于RFID系統(tǒng)的認證協(xié)議與加密算法的研究［D］.上海：東華大學，2008：52-69.

A mutual secure authentication protocol for Tag-Reader of RFID system

Chen Zhuo
（XinYang College Of Agriculture And Forestry，XinYang，464000）

In order to protect the information security of RFID system，this paper proposes a mutual secure authentication protocol based on Grain-Mac stream-cipher cryptographic algorithm by analyzing existing RFID authentication protocols.The mutual authentication between tags and readers is achieved through use of stream-cipher and dynamic key-updating methods.Simulation results show that，the new protocol has feature of low cost，high efficiency and good safety，also it can effectively resist denial-of-service attack，so as to achieve the desired effect.

RFID；cryptographic algorithm； authentication protocol

表1　攻擊實驗數(shù)據(jù)