Gen-2标签的RFID认证协议的研究

摘要: 针对RFID系统的Gen-2类标签容量有限的特点，提出了一种基于Gen-2标签的RFID认证协议，将标签32位ID号分为低16位和高16位，利用标签的CRC-16位生成相应校验码作为密文传输.该协议避免了已有协议在安全性方面的5个缺陷，提高了数据库查询速度、降低了RFID标签的设计成本.并利用BAN逻辑对所提出协议的目标、假设和消息传递进行形式化分析，从理论上证明了该协议是安全可达的.

关键词: RFID；认证；安全；BAN

中图分类号:TP393

文献标识码:A文章编号:1672-8513(2010)04-0241-03

RFID Authentication Protocol in Conformity with the Gen-2 Standard

LI Jing,XIA Youming,JIANG Yiting,RAN Jie,CHANG Xia

(School of Computer Science and Information Technology, Yunnan Normal University, Kunming 650092, China)

Abstract: Considering that Radio Frequency Identification (RFID) Gen-2 tags have very limited computational capabilities, a Gen-2-based for RFID authentication protocol is proposed. The 32-bit ID number label is divided into the low and high 16-bit, using the CRC-16 function as a verification function to encapsulate texts. It has been proved that the protocol could avoid the five security deficiencies, improve the speed of querying database and reduce the design cost of RFID tags. It has used BAN logic to do the formal analysis about the proposed protocol, assumptions and sending messages, and theoretically proved that the protocol is safe.

Key words: RFID; authentication; security; BAN

无线射频识别技术（RFID）的安全和隐私问题，在RFID发展过程中显得越来越重要. RFID安全的难点在于RFID标签芯片为低成本芯片，其Gen-2标签仅支持单片16 bit伪随机数发成器(PRNG)和用于数据传输过程中探测错误的循环冗余码(CRC)校验［1］，难以实现复杂的安全算法.

目前，国内外研究人员分析了RFID协议中的安全问题，提出了许多新的方法和新的协议体制［2,8-9］.但多数的认证协议是基于Hash函数认证［3-6］；而少数基于异或运算的认证协议［7,10］，存在复杂密钥更新程序，均额外增加标签设计成本.因此本文提出一种基于Gen-2标签的认证协议，标签在仅具有16位伪随机数生成器、异或运算及16位循环冗余码（CRC）的条件下，不需要额外增加标签设计成本，即可实现阅读器与标签通信安全的认证模型，以达到降低了标签的成本的目的.

1 基于CRC的RFID安全协议

1.1 协议的基本条件

1)后台服务器与阅读器之间的通信是安全的.并且阅读器采用临时服务器的方案，阅读器从数据库中下载带有要识读的所有标签信息的数据文件，以临时脱离中央数据库的束缚.

2)阅读器具有一个单向哈希函数、伪随机数发生器和异或功能.

3)标签为Gen-2类标签，支持16位伪随机数发成器(PRNG)和16位循环冗余码(CRC)校验，具有异或功能和预先存储TID和Hash(TID)，分别代表标签的ID号和对TID哈希运算后的序列，且其具有少量存储能力.其中：TID分为TIDL和TIDH ，分别代表标签ID号的低16位和高16位；Hash(TID)分为Hash(TID)L和Hash(TID)H，分别代表对TID哈希运算后的序列的低16位和高16位.

4)阅读器与标签信息通信中，允许至多有d位码出错，并且数据库中的标签编码之间的海明距离至少有d+1位，即在通信中绝对不会将一个有效码传输为另一个有效码.

5)符号说明：

代表二进制数的异或运算；

|| 代表字符串连接.

本文所提出的认证模型如图1所示.

1.2 协议认证过程

本文利用CRC的校验码生成功能，在认证过程中，将信息的CRC校验码作为密文，其功能类似加密函数.具体认证过程如下：

1) 阅读器使生成伪随机数r1，暂存r1且发送给标签.

2) 标签收到信息，标签生成伪随机数t1，并计算：

Tem1=t1r1;

TL =CRC(TIDLTem1);

TH =CRC(TIDHTem1);

TtoR1=(TL||TH)(t1||r1).

将TtoR1,Tem1发送给阅读器.

3) 阅读器接收到信息，计算Tem1r1得到t1′，由TtoR1(t1′||r1)分别得到TL′和TH′.查找数据库，是否存在一个TIDi（i为标签标号），其高16位TIDiH和低16位TIDiL通过反运算后，其值分别为TL′和TH′.

①若不存在，则认证终止.

②阅读器产生一个伪随机数r2，并计算：

Tem2=t1r2；

RL =CRC(Hash(TIDi)LTem2)；

RH =CRC(Hash(TIDi)HTem2)；

RtoT =(RL||RH)(t1||r2).

将RtoT,Tem2一并发给标签.

第4期 李 静,夏幼明,姜懿庭，等：Gen-2标签的RFID认证协议的研究

云南民族大学学报（自然科学版） 第19卷

③若找到的TID′不止一个（说明产生了碰撞的问题），则阅读器重新发送r给标签，执行步骤(1).

4) 标签根据收到信息，计算Tem2t1得到r2′，并利用自身存储的Hash(TID)计算CRC(Hash (TID)LTem2)的值RL′和CRC(Hash (TID)HTem2)的值RH′，判断(RL′|| RH′)(t1||r2)的值与RtoT是否相同.

①若不同则认证终止;

②若相同，随机产生t2，并计算：

Tem3=t2r2;

TL =CRC(Hash(TID)LTem3);

TH =CRC(Hash(TID)HTem3);

TtoR2 = (RL||RH)(t2||r2).

将TtoR2，Tem3发送给阅读器.

5) 阅读器收到信息，计算Tem3r2得到t2′，并计算CRC(Hash(TIDiL)Tem3)的值TL′和CRC(Hash(TIDiH)Tem3)的值TH′，判断(TL′||TH′)(t2||r2)的值与TtoR2是否相同.若相同，通过认证；若不同，终止认证.

1.3 安全性能分析

1) 真实信息的保密性

本协议在阅读器和标签的通信中，利用CRC加密产生的密文进行传输，并未出现明文.

2) 不可跟踪性

弥补了“攻击者伪装成合法的阅读器，给标签发送r1”这一缺陷.这是因为每次t1是随机的，所以标签每次回复都不同，使得标签无法被跟踪.

3) 前向安全性

如果攻击者已经成功贿赂某个标签并取得了其中的信息.且攻击者已经窃听了阅读器与标签之间不同的交互信息.但是攻击者仍然无法从这许多次的交互信息中知道哪些是它所贿赂的标签参与的.因为标签每次回应阅读器的信息都带有其随机生成的伪随机数，即发送的信息不同，所以它无法从它所窃听的之前的那些交互信息中辨别出哪些是其贿赂所参与的.

4) Tag反克隆性

攻击者可以成功地获得标签与阅读器间交互的信息，但是攻击者不可能克隆这些交互信息，因为r1在每次交互中都是不同的.除非攻击者成功贿赂了Tag.

5) 不可重放性

每次通信都包含有随机数，保证消息的新鲜性.

2 协议BAN逻辑安全分析

BAN逻辑［11］是由Burrows，Abadi和Needham在1990年提出的一种基于信仰的逻辑.这种逻辑通过对认证协议的运行进行形式分析，来研究认证双方通过相互接受和发送消息，从最初的信仰逐渐发展到协议运行最终要达到的目的：认证双方的最终信仰.为了验证协议的安全性，本文利用BAN逻辑对协议的目标、假设和消息传递进行形式化分析，证明从协议的假设出发，经过协议的运行可以达到预先设定的目标.

2.1 协议的假设

Y1: tag|#(t2);

Y2: tag|reader|TtoR2;

Y3: tag|reader|~{RtoT,Tem2};

Y4: reader|#(r2);

Y5: reader|tag|RtoT;

Y6: reader|tag|~{TtoR2,Tem3}.

2.2 协议的理想认证模型

1) readertag:{r1};

2) tagreader:{TtoR,Tem1};

3) readertag:{RtoT,Tem2};

4) tagreader:{TtoR,Tem3}.

2.3 协议的安全目标

[JP3]tag|RtoT if (T′L||T′H)t1||r1=TtoR1;[JP]

[JP4]reader|TtoR if (R′L||R′H)t1||r1=RtoT.[JP]

2.4 协议的消息传递过程

由 tagreader:{TtoR1,Tem1}，

得到reader{TtoR1,Tem1}，查找数据库记录，查找是否存在一个TIDi（i为标签标号），使得CRC (TIDiL||Tem1)的值TL′和CRC (TIDiH||Tem1)的值TH′是否满足(TL′|| TH′)(t1||r1)的值与TtoR1相同.

由readertag:{RtoT,Tem2}，

得到 tag{RtoT,Tem2}. (1)

由Y4和式(1)，根据BAN消息新鲜性规则P|#(X)|－P|#(X,Y)得：

tag|#(Tem2)，

tag|#(RtoT,Tem2). (2)

由Y6和式(2)，根据BAN临时值验证规则P|#(X),P|Q|~X|－P|Q|X得：

tag|reader|{RtoT,Tem2}. (3)

由式(3)，根据BAN信念规则P|Q|(X,Y)|－P|Q|X得：

tag|reader|{RtoT}. (4)

由Y3和式(4)，根据BAN管辖规则P|Q|X,P|Q|X|－P|Q|X得：

tag|{RtoT}.

由tagreader:{TtoR2,Tem3}，得到reader{TtoR2,Tem3}. (5)

由Y5和式(5)，根据BAN消息新鲜性规则P|#(X)|－P|D(X,Y)得：

reader|#(Tem3),

reader|#(TtoR2,Tem3). (6)

由Y3，式(6)，根据BAN临时值验证规则P|#(X),P|Q|~X|－P|Q|X得：

reader|tag|{TtoR2,Tem3}. (7)

由式(7)，根据BAN信念规则P|Q|(X,Y)|－P|Q|X得：

reader|tag|{TtoR2}. (8)

由Y6和式(8)，根据BAN管辖规则P|Q|X,P|Q|X|－P|Q|X得：

reader|{TtoR2}.

由以上推理可得，标签相信阅读器拥有与自己相同的TID号，阅读器相信标签拥有与自己相同的Hash (TID)号.

3 结语

[JP+2]标签的安全隐私问题是RFID研究的热点和难点之一.主要因为RFID应用必须严格限制标签的成本，而低成本的标签又极大限制了其安全和隐私问题的解决.本文利用Gen-2标签的容量小的特点，针对使用Hash函数增加标签设计成本的弱点，选择基于异或的方法，在仅具有16位伪随机数生成器、异或运算及16位循环冗余码（CRC）的条件下的安全认证协议，降低了标签的成本.由于本协议将标签ID号分别划分为高、低16位，则在数据库查询时，仅高16位匹配时，才会进一步与低16位进行匹配，提高了数据的查询速度.[JP]

（下转第252页）