??? 摘? 要： 基于Hash鎖的RFID安全協(xié)議以其低成本優(yōu)勢(shì)得到了普遍應(yīng)用，但其安全性能尚不完善。在分析已有Hash鎖安全協(xié)議的執(zhí)行過(guò)程及優(yōu)缺點(diǎn)的基礎(chǔ)上，提出了一種將雙層認(rèn)證與雙向認(rèn)證相結(jié)合的隨機(jī)Hash鎖安全協(xié)議，分析了協(xié)議的基本思想，描述了協(xié)議的執(zhí)行過(guò)程，對(duì)協(xié)議的性能分析表明，該協(xié)議符合低成本、高效率、高安全的RFID實(shí)用性要求。?

??? 關(guān)鍵詞： RFID; 隨機(jī)Hash鎖; 雙層認(rèn)證; 雙向認(rèn)證;協(xié)議

?

??? 無(wú)線射頻識(shí)別技術(shù)RFID(Radio Frequency Identification)或稱(chēng)電子標(biāo)簽技術(shù)是一種利用射頻通信實(shí)現(xiàn)的非接觸式雙向通信技術(shù)，以達(dá)到自動(dòng)識(shí)別目標(biāo)對(duì)象并獲取相關(guān)數(shù)據(jù)的目的，具有精度高、適應(yīng)環(huán)境能力強(qiáng)、抗干擾性強(qiáng)、操作快捷等許多優(yōu)點(diǎn)。它已經(jīng)逐漸應(yīng)用于物流、防偽、門(mén)禁、電子錢(qián)包、高速公路收費(fèi)等領(lǐng)域。RFID 系統(tǒng)一般由RFID標(biāo)簽(Tag)、RFID 標(biāo)簽讀寫(xiě)器以及RFID應(yīng)用數(shù)據(jù)庫(kù)（DB）三大部分構(gòu)成，如圖1所示。其中,RFID標(biāo)簽與讀寫(xiě)器之間是射頻無(wú)線通信，而讀寫(xiě)器與應(yīng)用數(shù)據(jù)庫(kù)之間則是通過(guò)互聯(lián)網(wǎng)進(jìn)行的有線（也可以是無(wú)線）通信。?

?

?

??? RFID系統(tǒng)要想得到普遍應(yīng)用，特別是在有嚴(yán)格安全要求的防偽領(lǐng)域得到廣泛應(yīng)用，還需要解決RFID的低成本與安全性這一對(duì)矛盾。當(dāng)前RFID的安全機(jī)制主要有物理機(jī)制與密碼機(jī)制兩大類(lèi)。由于物理安全機(jī)制受到成本或法律因素等極大制約，使密碼安全機(jī)制越來(lái)越受到人們的青睞。在通用安全應(yīng)用中，具有比較成熟和先進(jìn)的加解密算法如DES、 AES、RSA、橢圓曲線密碼等算法，可以較好地抵制非法讀取、位置跟蹤、拒絕服務(wù)、偽裝哄騙、重放攻擊等安全威脅，具有較好的安全可靠性。但實(shí)現(xiàn)AES等算法需要大約20 000個(gè)～30 000個(gè)邏輯門(mén)，實(shí)現(xiàn)RSA、橢圓曲線密碼等公鑰密碼算法則需要更多的邏輯門(mén)。而電子標(biāo)簽受到低成本(約為0.05美元)限制，通常只能擁有大約5 000個(gè)～10 000個(gè)邏輯門(mén)，而且這些邏輯門(mén)主要用于實(shí)現(xiàn)一些最基本的標(biāo)簽功能，僅剩少許可用于實(shí)現(xiàn)安全功能。因此，RFID 安全性的難點(diǎn)在于，RFID標(biāo)簽的有限計(jì)算資源難以實(shí)現(xiàn)復(fù)雜的加解密算法。目前關(guān)于RFID的密碼安全方案主要有：(1)基于Hash函數(shù)的Hash-lock協(xié)議^[1-2]、隨機(jī)化Hash-lock協(xié)議^[3]、Hash鏈協(xié)議^[4]、ID變化協(xié)議、數(shù)字圖書(shū)館RFID協(xié)議、分布式RFID協(xié)議、LCAP協(xié)議^[5]；(2)基于TEA算法的的TEA協(xié)議^[6]、XXTEA協(xié)議；(3)基于公鑰的再加密方案^[5]。其中,基于Hash函數(shù)的方案因其實(shí)現(xiàn)電路簡(jiǎn)單尤其成為研究的熱點(diǎn)。參考文獻(xiàn)[5]對(duì)基于Hash函數(shù)的各類(lèi)算法比較分析后認(rèn)為:它們或者不能滿足較高的安全要求，或者不能滿足低成本的實(shí)用性要求。參考文獻(xiàn)[7]提出了一種輕量級(jí)RFID安全協(xié)議，并進(jìn)行了改進(jìn)。參考文獻(xiàn)[8]提出了一種Key值更新的隨機(jī)Hash鎖協(xié)議，對(duì)隨機(jī)Hash鎖協(xié)議進(jìn)行了改進(jìn)。參考文獻(xiàn)[9]、[10]也都基于Hash鎖協(xié)議提出了一些新的改進(jìn)。?

??? 本文在分析幾種隨機(jī)Hash鎖協(xié)議的基礎(chǔ)上提出了一種將雙重認(rèn)證與雙向認(rèn)證相結(jié)合的隨機(jī)Hash鎖的RFID安全協(xié)議，將原始ID經(jīng)加密后寫(xiě)入標(biāo)簽中，原始ID的加解密都只在后臺(tái)服務(wù)器中完成，而在RFID標(biāo)簽和閱讀器中出現(xiàn)的ID（稱(chēng)為認(rèn)證ID），都是經(jīng)過(guò)加密后的數(shù)據(jù)，即使出現(xiàn)了安全攻擊，也不會(huì)獲得真正的ID，杜絕了產(chǎn)品被假冒的可能。?

1 Hash鎖相關(guān)協(xié)議分析?

??? 在分析RFID系統(tǒng)的安全性時(shí)，通常作如下假定：?

??? (1)標(biāo)簽與讀寫(xiě)器之間的通信信道是不安全的，而標(biāo)簽讀寫(xiě)器與后端數(shù)據(jù)庫(kù)之間的通信信道則是安全的。?

??? (2)協(xié)議所使用的密碼構(gòu)造，如偽隨機(jī)生成函數(shù)、加密體制、簽名算法、MAC 機(jī)制以及哈希函數(shù)等，都是安全的。?

??? Hash鎖相關(guān)協(xié)議均采用Hash函數(shù)作為電子標(biāo)簽的訪問(wèn)鎖，只有通過(guò)認(rèn)證的閱讀器才能取得對(duì)標(biāo)簽有效數(shù)據(jù)進(jìn)行訪問(wèn)(解鎖)，否則標(biāo)簽處于鎖定狀態(tài)。使用的Hash函數(shù)H應(yīng)滿足如下要求^[10]：?

??? (1)對(duì)于任意長(zhǎng)度的消息M，H返回固定長(zhǎng)度 m 的函數(shù)值h=H(M)。?

??? (2)在資源有限的RFID芯片上，對(duì)給定的M很容易計(jì)算出h。?

??? (3)即使知道H的算法的情況下，從給定的h很難還原出M。?

??? (4)即使知道 H的算法的情況下，對(duì)于特定的M，很難找到另一個(gè)M′，使得H(M)=H(M′)。?

1.1 Hash鎖協(xié)議?

??? Hash鎖協(xié)議的主要內(nèi)容如下：?

??? (1)鎖定標(biāo)簽:讀寫(xiě)器生成一個(gè)隨機(jī)密鑰Key，讀寫(xiě)器將真實(shí)ID、Key一起寫(xiě)入標(biāo)簽后，標(biāo)簽進(jìn)入鎖定狀態(tài)。同時(shí)讀寫(xiě)器計(jì)算meataID=H(Key)，并將metaID、Key、ID寫(xiě)入后臺(tái)數(shù)據(jù)庫(kù)中；?

??? (2)認(rèn)證解鎖:讀寫(xiě)器在需要讀寫(xiě)標(biāo)簽中的信息時(shí)，先發(fā)送訪問(wèn)請(qǐng)求，標(biāo)簽計(jì)算meatID=H(Key)，然后將metaID經(jīng)讀寫(xiě)器返回至數(shù)據(jù)庫(kù)，并查找與metaID相符的記錄，并將其Key發(fā)送給標(biāo)簽。標(biāo)簽計(jì)算其metaID并比較metaID與H(Key′)是否相符，若相符則解鎖。?

??? 該協(xié)議的優(yōu)點(diǎn)是：在認(rèn)證過(guò)程中使用對(duì)真實(shí)ID加密后的metaID；缺點(diǎn)是：對(duì)密鑰進(jìn)行明文傳輸，且metaID是固定不變的，不利于防御信息跟蹤威脅。?

1.2 隨機(jī)Hash鎖協(xié)議?

??? 隨機(jī)Hash鎖協(xié)議的認(rèn)證過(guò)程如下：標(biāo)簽在收到讀寫(xiě)器的讀寫(xiě)請(qǐng)求后，生成一隨機(jī)數(shù)R，并計(jì)算H(Key||R)其中，||表示將Key和R進(jìn)行連接，并將(R，H（Key||R))數(shù)據(jù)對(duì)送至后臺(tái)數(shù)據(jù)庫(kù)。數(shù)據(jù)庫(kù)查詢(xún)滿足H(Key′||R)=H(Key||R)的記錄。若找到則將對(duì)應(yīng)的ID′發(fā)往標(biāo)簽，標(biāo)簽比較ID與ID′是否相同以確定是否解鎖。?

??? 該協(xié)議的優(yōu)點(diǎn)是：為認(rèn)證過(guò)程中出現(xiàn)的隨機(jī)信息避免了信息跟蹤，但仍出現(xiàn)了ID的明文傳輸，易遭到竊聽(tīng)威脅。?

1.3 Hash鏈協(xié)議?

??? 在Hash鏈協(xié)議中，標(biāo)簽在每次認(rèn)證過(guò)程中其密鑰Key值是不斷更新的，每次更新后的Key′＝H(Key)，從而形成1個(gè)Hash鏈。其認(rèn)證過(guò)程如下：標(biāo)簽在收到讀寫(xiě)器的讀寫(xiě)請(qǐng)求后，利用當(dāng)前密鑰Key計(jì)算下次密鑰Key′＝H(Key)，在更新當(dāng)前密鑰為Key′后經(jīng)讀寫(xiě)器返給數(shù)據(jù)庫(kù)，數(shù)據(jù)庫(kù)對(duì)第一條標(biāo)簽記錄，判斷G(Hi(Key0))的結(jié)果是否與Key′相等。若相等則返回相應(yīng)記錄的ID′值至標(biāo)簽，標(biāo)簽再比較ID與ID′是否相同，以確定是否解鎖。?

??? 該協(xié)議優(yōu)點(diǎn)：具有不可分辨性及前向安全性。但容易受到重傳和假冒攻擊，且計(jì)算量大，不適于標(biāo)簽數(shù)目較多的情況。?

??? 前述三種協(xié)議基本上都只具備單向認(rèn)證能力，即只完成了讀寫(xiě)器（后臺(tái)數(shù)據(jù)庫(kù)）對(duì)標(biāo)簽的身份認(rèn)證，尚未實(shí)現(xiàn)標(biāo)簽對(duì)讀寫(xiě)器的認(rèn)證功能，因此這些協(xié)議都是不完善的。?

1.4 Key值更新的隨機(jī)Hash鎖協(xié)議?

??? Key值更新的隨機(jī)Hash鎖協(xié)議提供了讀寫(xiě)器與標(biāo)簽之間的雙向認(rèn)證功能。其雙向認(rèn)證過(guò)程如下：?

??? (1)讀寫(xiě)器對(duì)標(biāo)簽的認(rèn)證。認(rèn)證時(shí)數(shù)據(jù)庫(kù)生成一隨機(jī)密碼R，經(jīng)讀寫(xiě)器連同查詢(xún)請(qǐng)求一同發(fā)往標(biāo)簽。標(biāo)簽計(jì)算H(Key)及H（Key||R）后將其發(fā)往數(shù)據(jù)庫(kù)，數(shù)據(jù)庫(kù)對(duì)每一記錄判斷H(Key′||R)＝H(Key||R）與H(Key′)＝H(Key）是否成立。若找到符合條件的記錄，則完成了讀寫(xiě)器對(duì)標(biāo)簽的認(rèn)證過(guò)程，繼續(xù)進(jìn)行標(biāo)簽對(duì)讀寫(xiě)器的認(rèn)證；否則停止認(rèn)證過(guò)程。?

??? (2)標(biāo)簽對(duì)讀寫(xiě)器的認(rèn)證。數(shù)據(jù)庫(kù)計(jì)算找到記錄的H（ID′||R）與H（ID′），并經(jīng)讀寫(xiě)器將其發(fā)送給標(biāo)簽。數(shù)據(jù)庫(kù)還計(jì)算S（Key）和H（S（Key）），并將數(shù)據(jù)庫(kù)中的Key值更新為S（Key）；標(biāo)簽判斷H（ID||R）＝H（ID′||R）與H（ID）＝H（ID′）。若兩者均成立，則完成標(biāo)簽對(duì)讀寫(xiě)器的認(rèn)證過(guò)程，將標(biāo)簽中的Key值更新為S（Key）。?

??? 該協(xié)議保證了前向安全性，實(shí)現(xiàn)了標(biāo)簽和讀寫(xiě)器的雙向認(rèn)證，同時(shí)標(biāo)簽上只實(shí)現(xiàn)Hash函數(shù)功能而將隨機(jī)數(shù)發(fā)生器改為在資源豐富的后臺(tái)數(shù)據(jù)庫(kù)中，有利于標(biāo)簽的低成本實(shí)現(xiàn)。但在該協(xié)議中，每次認(rèn)證成功后需要更新標(biāo)簽中的Key值，由于Key是存放在EEPROM中的，更新一次需要較長(zhǎng)的時(shí)間，這在某些移動(dòng)應(yīng)用的場(chǎng)合中如物流、高速公路收費(fèi)站等場(chǎng)合可能會(huì)影響讀取的可靠性。同時(shí)，該協(xié)議中最終ID還是會(huì)在讀寫(xiě)器和標(biāo)簽間明文傳遞，不利于保密性要求較高的場(chǎng)合。?

2 雙層/雙向認(rèn)證的隨機(jī)Hash鎖協(xié)議?

??? 鑒于前述幾種基于Hash鎖的RFID協(xié)議存在不能滿足RFID應(yīng)用中低成本及安全性要求，結(jié)合幾種方法的主要思想，本文提出了一種雙層/雙向認(rèn)證的隨機(jī)Hash鎖RFID安全協(xié)議，實(shí)現(xiàn)了安全高效、雙向認(rèn)證的讀取訪問(wèn)控制。?

2.1基本思想?

??? 將認(rèn)證過(guò)程劃分為通信和鑒別兩層。通信層主要提供通信雙方身份的相互認(rèn)證(雙向認(rèn)證) 。鑒別層主要提供對(duì)鑒別產(chǎn)品的身份認(rèn)證。具體而言，對(duì)每個(gè)產(chǎn)品標(biāo)簽分配一個(gè)原始標(biāo)識(shí)ID0，在數(shù)據(jù)庫(kù)系統(tǒng)上采用DES等先進(jìn)算法加密后作為ID寫(xiě)入標(biāo)簽，然后在讀寫(xiě)器與標(biāo)簽之間利用隨機(jī)Hash鎖協(xié)議進(jìn)行雙向認(rèn)證。雙向認(rèn)證通過(guò)后標(biāo)簽將ID發(fā)送給數(shù)據(jù)庫(kù)服務(wù)器經(jīng)解密后得到ID0′。服務(wù)器再比較ID0與ID0＇是否相等以進(jìn)行二次認(rèn)證。?

2.2 認(rèn)證過(guò)程?

??? 雙層/雙向認(rèn)證的隨機(jī)Hash鎖協(xié)議的主要過(guò)程如圖2所示。其具體過(guò)程如下： ?

?

?

??? (1)鎖定標(biāo)簽。數(shù)據(jù)庫(kù)生成ID0并利用密鑰K0進(jìn)行加密ID＝D_K0(ID0)，并生成隨機(jī)密鑰K1，將ID、K1經(jīng)讀寫(xiě)器寫(xiě)入標(biāo)簽。這里的加密過(guò)程是在資源豐富的服務(wù)器上完成的，所以可以采用目前先進(jìn)的復(fù)雜的密碼機(jī)制，如DES、AES、RSA等。?

??? (2)讀寫(xiě)器對(duì)標(biāo)簽的認(rèn)證：①認(rèn)證開(kāi)始時(shí)，讀寫(xiě)器生成一隨機(jī)數(shù)R，連同查詢(xún)請(qǐng)求Q一同發(fā)給標(biāo)簽；②標(biāo)簽計(jì)算H(K1||R)和H(K1)，并將結(jié)果返回給讀寫(xiě)器；③讀寫(xiě)器將H(K1||R)、H(K1)及R傳送給服務(wù)器，并在數(shù)據(jù)庫(kù)中查詢(xún)每個(gè)標(biāo)簽是否滿足H（Ki||R）=H(K1||R)并且H（Ki）=K(K1)。若未找到則表明是非法標(biāo)簽；若找到則完成了讀寫(xiě)器對(duì)標(biāo)簽的認(rèn)證，尚需要繼續(xù)對(duì)讀寫(xiě)器進(jìn)行驗(yàn)證。?

??? (3)標(biāo)簽對(duì)讀寫(xiě)器的認(rèn)證：①數(shù)據(jù)庫(kù)利用找到的記錄的IDi，計(jì)算H（IDi）及H（IDi||R），并將其送給讀寫(xiě)器；②讀寫(xiě)器將H（IDi）及H（Idi||R）送給標(biāo)簽；③標(biāo)簽判斷是否滿足H（IDi）=H(ID)及H（IDi||R）＝H（ID||R），若滿足則完成了標(biāo)簽對(duì)讀寫(xiě)器的驗(yàn)證，同時(shí)完成標(biāo)簽與讀寫(xiě)器之間的雙向認(rèn)證；否則為非法讀寫(xiě)器。?

??? (4)雙層認(rèn)證： 標(biāo)簽返回ID給數(shù)據(jù)庫(kù)，從數(shù)據(jù)庫(kù)獲得密鑰K0對(duì)ID進(jìn)行解密獲得最終的ID0′，并比較ID0′與ID0是否相符，從而最終確認(rèn)產(chǎn)品的合法性。?

2.3 性能分析?

??? (1) 提供了雙向認(rèn)證過(guò)程。既有讀寫(xiě)器對(duì)標(biāo)簽的認(rèn)證,也有標(biāo)簽對(duì)讀寫(xiě)器的認(rèn)證，保證了只有合法的讀寫(xiě)器和合法標(biāo)簽才能進(jìn)行有效通信。在雙向認(rèn)證過(guò)程中采用隨機(jī)Hash鎖，可以有效防止對(duì)標(biāo)簽和讀寫(xiě)器信息的非法讀取、位置跟蹤、竊聽(tīng)、重放等安全風(fēng)險(xiǎn)。?

??? (2) 提供了雙層加密機(jī)制。第1層加密傳輸主要用于通信實(shí)體的身份認(rèn)證，在讀寫(xiě)器與標(biāo)簽之間通信數(shù)據(jù)是隨機(jī)加密后的數(shù)據(jù)，在數(shù)據(jù)庫(kù)與讀寫(xiě)器之間的加密采用的是假設(shè)安全的，可以采用復(fù)雜的加密方案。第2層加密主要用于鑒別產(chǎn)品的身份認(rèn)證。

??? (3) 提供了產(chǎn)品身份的最終鑒別。防偽層加/解密過(guò)程只在認(rèn)證服務(wù)器里完成，其密鑰K0和產(chǎn)品原始ID0只在服務(wù)器里存儲(chǔ)和運(yùn)算，避免了產(chǎn)品身份信息在網(wǎng)絡(luò)傳輸中的非法竊聽(tīng)、非法讀取、假冒哄騙、重放等安全風(fēng)險(xiǎn)，實(shí)現(xiàn)了產(chǎn)品身份的有效鑒別。?

??? (4) 實(shí)現(xiàn)簡(jiǎn)單高效。該協(xié)議無(wú)需復(fù)雜的隨機(jī)數(shù)發(fā)生器，適合于低成本的RFID應(yīng)用；認(rèn)證過(guò)程無(wú)須更新標(biāo)簽和數(shù)據(jù)庫(kù)中的Key值，可以大大縮短認(rèn)證時(shí)間，提高系統(tǒng)的吞吐率。?

??? 目前出現(xiàn)了多種RFID安全協(xié)議，但多數(shù)協(xié)議只是針對(duì)安全風(fēng)險(xiǎn)的某些方面，有些協(xié)議由于成本過(guò)高、認(rèn)證時(shí)間過(guò)長(zhǎng)等原因不實(shí)用。本文提出的雙層/雙向認(rèn)證的隨機(jī)Hash鎖RFID安全協(xié)議，將分層認(rèn)證與雙向認(rèn)證的思想相結(jié)合，具有低成本、運(yùn)算高效、認(rèn)證可靠、安全性高等特點(diǎn)，可以有效地應(yīng)用于產(chǎn)品防偽、電子錢(qián)包等對(duì)身份認(rèn)證要求較高的RFID應(yīng)用領(lǐng)域。?

??? 此外，本協(xié)議所使用的Hash函數(shù)主要在目前資源有限的標(biāo)簽中實(shí)現(xiàn)，待標(biāo)簽技術(shù)進(jìn)一步發(fā)展，資源相對(duì)豐富和運(yùn)算能力足夠強(qiáng)時(shí)，可以將Hash函數(shù)改成更加可靠的公鑰函數(shù)，而協(xié)議的執(zhí)行過(guò)程可以不做大的改動(dòng)，這將是下一步的研究?jī)?nèi)容。?

參考文獻(xiàn)?

[1] SARMA S E, WEOS S A, ENGELS D W. RFID systems?and security and privacy implications[C]. KALISKR B. S.,KOC C K, PAAR C. eds. Proceedings of the 4th International Workshop on Cryptographic Hardware and Embedded Systems(CHES 2002). Lectures Notes in Computer Science 2523. Ber2lin: Springer2Verlag, 2003：454-469.?

[2] SARMA S E,WEIS S A,ENGELS D W. Radio frequency?identification: Secure risks and challenges[R]. RSA Laboratories Cryptobytes, 2003,6(1):2-9.?

[3]?WEIS S A, SARMA S E, RIVEST R L, et al. Security?and privacy aspects of low-cost radio frequency identification systems[C].? HUTTER D, M?譈LLER G, STEPHAN W,ULLMANN M. eds. Proceedings of the 1st International?Conference on Security in Pervasive Computing. Lectures?Notes in Computer Science 2802. Berlin: Springer2Verlag,2004:201-212.?

[4] OHKUBO M, SUZUKI K, KINOSHITA S. Hash-chain?based forward-secure privacy protection scheme for lowcost RFID[C]. Proceedings of the 2004 Symposium on?Cryptography and Information Security (SCIS 2004),Sendai,2004:719-724.?

[5] 周永彬,馮登國(guó). RFID 安全協(xié)議的設(shè)計(jì)與分析[J].計(jì)算機(jī)學(xué)報(bào), 2006(4).?

[6] ISRASENA P. Securing ubiquitous and low 2cost RFID?using tiny encryption algorithm[C]. W ireless Pervasive Computing, 2006. 1st International Symposium, 16218 Jan. ?? 2006, 124.?

[7]?駱宗偉,周世杰, LI Jen Ny.一種輕量級(jí)RFID安全協(xié)議的改進(jìn)[J]. 電子科技大學(xué)學(xué)報(bào), 2007(12).?

[8] 曾麗華, 熊璋,張挺. Key值更新隨機(jī)Hash鎖對(duì)RFID安全隱私的加強(qiáng)[J]. 計(jì)算機(jī)工程, 2007(2).?

[9] 粟偉,崔喆,王曉京. 基于Hash鏈的RFID隱私增強(qiáng)標(biāo)簽研究[J]. 計(jì)算機(jī)應(yīng)用, 2006(10).?

[10] 高磊,盛煥燁. RFID應(yīng)用系統(tǒng)中的Tag-reader 安全通信協(xié)議[J]. 計(jì)算機(jī)工程, 2007(11).?