基于低成本标签的RFID匿名双向认证协议

文章编号:1001-9081(2012)01-0111-04 doi:10.3724/SP.J.1087.2012.00111

摘 要:为消除目前现有低成本无线射频识别(RFID)认证协议存在的各种安全隐患，解决认证协议所忽视的针对后端数据库的拒绝服务攻击问题，使用简单的逻辑运算以及读写器的屏蔽操作，以两个16位循环冗余校验(CRC)函数消息的级联作为标签与读写器相互认证因子，设计了一种新的基于低成本标签的RFID匿名双向认证协议，并对其进行了性能分析。分析结果表明，所提协议能够抵抗重放攻击和同步攻击，具备不可追踪性、真实性和服务的可用性，是一个比较安全、高效、实用的RFID低功耗安全认证方案。

关键词:低成本标签；无线射频识别；安全协议；认证；动态密钥

中图分类号: TP309.2; TP391.45 文献标志码:A

Abstract: To remove hidden risks and solve neglected Denial-of-Service (DoS) attacks in the back-end database in current low-cost Radio Frequency Identification (RFID) authentication protocols, a new anonymous bidirectional RFID authentication protocol based on low-cost tags was proposed, and the performance analysis was conducted. According to the simple operative logic and shielded operation of reader, this scheme was designed by utilizing two cascading 16 bit Cyclic Redundancy Check (CRC) messages as mutual authentication factor between the label and the reader. The analytical results show the proposed protocol possesses untraceability, authenticity and usability and resists replaying attack and synchronization attack. Overall, it is a RFID low-power security authentication scheme of security, efficiency and practicality.

Key words: low-cost tag; Radio Frequency Identification (RFID); security protocol; authentication; dynamic key

0 引言

无线射频识别(Radio Frequency Identification, RFID)技术是一种非接触的自动识别技术，其基本原理是利用射频信号的空间耦合（电感或电磁耦合）或反射的传输特性，实现对被识别物体的自动识别。近年来，RFID技术以其独特的优势，逐渐地被广泛应用于工业自动化、商业自动化和交通运输控制管理等众多领域。随着RFID应用的扩大，它所面临的信息泄露、恶意追踪等安全问题日益突出。RFID系统最初的设计思想是［1］――系统对应用是完全开放的，这是RFID系统出现安全隐患的根本原因。

在EPC-Global组织公布的EPC Class-1 Generation-2(EPC-C1G2)标准中，标签只采用了硬件复杂度较低的16b的伪随机数发生器PRNG和16b的循环冗余校验(Cyclic Redundancy Check, CRC)，而目前EPC-C1G2标准的安全体制还无法提供较好地安全保障［2］，低成本标签要得到大规模的应用必须解决其安全问题。对于目前RFID系统安全认证，还没有一个比较完善的解决方案，如何设计一个安全、高效、实用的RFID低功耗安全认证方案将成为目前主要研究的问题。

1 RFID系统安全需求和相关协议分析

RFID系统一般由3大部分构成：标签、读写器以及后台数据库，如图1所示。

商品和用户的信息存储在RFID标签中，通过标签与阅读器之间的非接触式的无线数据通信传送给后端数据库，后端数据库在经过认证之后发送授权信息给标签。无线数据通信是在一定的信道上进行传输的。读写器到标签之间的信道称为“前向信道”；而标签到读写器的信道则称为“反向信道”。读写器与标签的无线功率差别很大，前向信道的通信范围远远大于反向信道的通信范围。这种信道范围的不对称性对RFID系统安全机制造成很大的影响［3］，很容易受到第三方的安全威胁，因此在设计认证协议的时候一定要在保证基本的安全需求的基础上尽量消除这些安全威胁。

1.1 RFID系统的安全需求

1)不可追踪性。为了有效保护标签持有者的隐私和合法利益，必须要保证标签输出信息可区分的同时，也能防止攻击者从双方通信的信息中得到区分标签的信息，进而破坏目标标签的位置隐私。通常为保证标签的不可追踪性，设计者采用动态ID机制或者伪ID加随机数的方法达到标签匿名的效果，使得攻击者无法通过相同的标签响应来进行标签追踪。

2)真实性。阅读器必须确信消息是来自合法标签，同样标签也必须确信消息是来自合法阅读器。这种真实性是通过认证来确定的。通常为保证真实性，设计者采用双向认证的方式来验证各自所收到的消息确实来自真正的发送方且未被修改。

3)前向安全性。即使攻击者分析得到了某次通信过程中的全部信息，但是敌手不能利用分析得到的信息来获得关于目标标签以前的信息，比如在何时何地认证的、标签所处的环境信息等。目前一般采用加密后的随机数来打乱前后信息的逻辑性，使得攻击者无法推测通信以前的信息，保证了前向安全性。

4)同步性。即使攻击者在某次认证过程中阻塞、篡改了更新消息，设计者可以通过在后端数据库中存储上次认证的秘密信息和本次认证更新后的秘密信息，一旦攻击者在秘密更新阶段进行干扰去同步，下次认证时可以通过上次认证的秘密信息进行认证再进行秘密更新，保证了数据库和标签的同步性。

5)服务可用性。与拒绝服务攻击相对应，本文中是指后端数据库要能够实时给标签提供资源访问服务，不存在服务器瘫痪被洪泛攻击的隐患。通常利用读写器的屏蔽操作来屏蔽虚假标签的服务请求，防止针对数据库的洪泛攻击。

1.2 相关协议分析

近年来，针对RFID安全隐私问题，国内外学者已经提出了许多安全协议，但是大部分使用了Hash函数或加密函数，成本比较高，不适合大规模推广应用，只有少数协议能够满足低成本标签的要求。Karthikeyan等［4］提出了一种简单加密技术的安全认证协议，实现比较容易，只涉及异或和矩阵运算操作等简单逻辑运算，但是存在重放攻击、不能保证不可追踪性等问题；Chien等［5］在EPC-C1G2标准下提出了一个读写器和标签相互认证的安全协议，协议只涉及XOR、CRC和PRNG等简单逻辑运算，且每次认证后都对数据库和标签进行秘密信息同步更新；但Peris-Lopez等［6］发现协议存在读写器和标签假冒以及去同步化攻击的安全缺陷；后来，Han等［7］提出此协议存在安全缺陷主要是由于CRC用作单向函数本身脆弱的安全性；van Le等［8］提出了在UC模型下安全的O-FRAP（Optimistic Forward secure RFID Authentication Protocol）协议,由于协议的相对复杂性，van Le等舍弃了前向安全性的基础上提出了O-FRAP的简化版协议O-RAP,后来发现两种协议都存在DoS攻击的安全缺陷。为了解决以上安全缺陷，2010年Duc等［9］提出了O-FRAP和O-RAP的升级版本O-FRAP+和O-RAP+，目前还未发现存在安全缺陷；赵跃华等［2］提出了一种适合于低成本标签的基于动态密钥的双向认证协议，由于匿名IDS(Index-Pseudonyms)请补充其中文名称和英文全称。构造存在漏洞，IDS的高16位IDSM只与Nr有关，据此可追踪标签的位置隐私，因此此协议无法保证不可追踪性。目前低成本方案里面只有O-FRAP+还未发现安全缺陷，不过其协议计算复杂，无法保证协议的高效性。

1.3 目前待解决的问题

通过1.2节可知，目前现有认证协议存在着诸多安全问题，因此设计一个安全、高效、实用的RFID低功耗安全认证协议仍将是目前RFID系统中需要重点解决的问题。另外现有的认证协议只考虑标签的拒绝服务攻击，考虑到RFID的后端数据库同所有网络数据库一样，可能存在着非法标签的大量非法访问而导致服务器瘫痪，因此在设计认证协议时也要能抵抗后端数据库的拒绝服务攻击。

2 基于动态密钥的RFID匿名双向认证协议

在描述本文设计的协议之前，先介绍一种攻击者模型，以此模型刻画出目前安全协议存在的已知攻击，并根据此模型中攻击者的能力，简略阐述本协议所具有的安全属性。

2.1 攻击者模型

一个RFID系统是由多个主体和通信信道构成的。对RFID协议进行安全性分析时，通常将后台数据库和读写器当作同一个独立和唯一的通信实体来对待。这种处理方法符合大多数RFID系统通信信道安全假设。鉴于前向信道与反向信道的不对称性(如图1所示)，对它们分别进行处理。这样，攻击者所能获得的信息仅来自于RFID系统的信道，如图2所示。在该模型中，所有实体的通信都在攻击者的控制下，攻击者可以任意地读取、插入、删除、篡改、延迟发送、重放任何消息，也可以在任何时候发起与任何实体的任意应答。

由于目前的安全认证协议的拒绝服务攻击都是指标签的拒绝服务攻击，但是与所有网络数据库系统一样，RFID系统的后端数据库系统同样可能存在非法标签的大量非法访问而导致服务器的拒绝服务攻击。因此本文在整合文献［10］中攻击者的5种行为能力的基础上增加攻击者的Flooding行为。下面用Oracle查询来模型化攻击者的能力。用T表示标签，用R表示读写器，用A表示攻击者，用DB表示后端数据库。假设攻击者可以进行如下Oracle查询。

1)Query(T,m1,x2,m3)。该查询刻画了攻击者A通过前向信道向T发送消息m1,并在接收到T的应答消息x2后再向T发送消息m3，即刻画了攻击者询问标签的能力。

2)Send(R,x1,m2,x3)。该查询刻画了攻击者A在接收到阅读器发送的消息x1后通过反向信道向R发送消息m2，并接收到读写器的响应消息x3，即刻画了攻击者伪造标签的能力。

3)Execute(T,R)。该查询刻画了攻击者执行T和R的协议的一个实例，并且攻击者可以通过窃听获取前向信道和反向信道上的所有消息。本查询刻画了攻击者监控标签与阅读器通信信道的能力。

4)Block(A)。该查询刻画了攻击者A阻塞协议通信过程中的任何消息，即刻画了攻击者发起拒绝服务攻击的能力。

5)Reveal(T)。该查询刻画了攻击者A能够获取标签私有存储空间内的密钥信息，即刻画了从物理结构上捕获标签以及获取秘密密钥的能力。

6)Flooding(DB,T)。该查询刻画了攻击者A能够利用大量的非法标签在任何时刻同时访问后端数据库，即刻画了攻击者同时与RFID系统内大量阅读器终端通信的能力，攻击者可能有多个。

由于该模型中，攻击者拥有物理破解标签芯片内部存储秘密密钥的能力，因此该模型能够攻陷所有无法保证后向安全性的认证协议。本文设计的协议不能保证后向安全性，因此对该模型中的Reveal行为不予考虑。

2.2 模型下的RFID安全威胁分析

这里假设一个攻击者正常的信道通信模型，即攻击者A参与标签Ti(Ti∈（T1,T2,…,Tn))与阅读器C的正常通信中。攻击者与目标Ti以及可能的R进行一定的交互过程之后，获得一个交互记录Ω（Ti）。攻击者也可以分别与（T1,T2,…,Tn)再次进行交互过程，并可以获得多个交互记录(Ω1，Ω2，…,Ωn)。攻击者利用模型中的5种能力，可以对安全协议实施以下攻击。下面来仔细刻画攻击者如何利用这5种能力来进行几种已知的攻击。

1)恶意追踪。攻击者A实施恶意追踪的目的是要区别一系列标签（T1,T2,…,Tn)，以便确认出所追踪的目标Ti。攻击者A首先从前一次正常通信中利用Execute行为监控得到标签Ti发送给读写器R的响应消息，记录响应信息中可析取出的固定不变的全部或部分消息，攻击者A即可在下次通信中利用Query行为和记录从一系列标签中追踪到目标Ti。

2)重放攻击。攻击者A从前一次通信中利用Execute行为监控得到标签或者读写器发送的消息，在下次通信时再利用Send此消息至合法标签或读写器。

3)假冒攻击。假冒攻击包括假冒标签和假冒读写器攻击，攻击者A利用Execute行为监控得到标签或读写器的认证因子，然后利用Send行为发送该认证因子，取得合法标签或读写器的认证。

4)拒绝服务攻击。包括标签和数据库的拒绝服务攻击，在本文中，特指后端数据库的拒绝服务攻击。即攻击者A利用Flooding行为在系统内大量的读写器上进行非法访问，导致后端数据库由于大量数据的查询而瘫痪，从而使同一时段内系统内其他正常读写器无法使用。

5)去同步化攻击。这种攻击方式只针对密钥更新的协议，而密钥更新一般都是在最后一条协议消息中完成的。攻击者A利用Block行为破坏密钥更新过程，从而导致数据库与标签密钥不同步。

2.3 协议描述

本文在综合分析现有各种方案的基础上，提出了一种基于动态密钥的双向认证方案，该方案改进了已有方案的不足，弥补了各种方案存在的安全缺陷，并通过安全性能分析，说明改进方案是安全的，并能达到较好的安全性能。

协议中的符号表示如表1，协议描述如图3。

2.4 协议工作过程

首先对标签初始化，为每个标签Ti生成32位metaID、32位密钥K1i和16位密钥K2i，后台数据库注册标签Ti，保存metaID对应的ID和K1i，初始化Li1，Li2，使记录Li1，Li2都保存着metaID和K2i的初始值，以flag标记值检索每个标签对应的两条记录Li1和Li2， flag=0表示记录Li1， flag=1表示记录Li2，协议开始前将K1i发送至读写器缓存，K1i对于所有Ti都相等。

完整认证过程如下。

1)RT。读写器R产生随机数Nr,并向标签Ti发送消息（Query,Nr）。

2)TR。标签Ti收到消息（Query,Nr）后，产生随机数Nt,并分别计算：M1=［CRC(K2(NrNt)CRC(K2Nt)］metaID,N=CRC(K1MNr)Nt,然后向读写器发送消息M1,N(NtK1L)。

3)RDB。读写器接收到消息后，用K1L解密得到Nt,计算N′与N是否匹配：不匹配则认证失败，终止协议；如果匹配，则将M1,Nt,Nr转发给后端数据库DB。

4)DBR。后端数据库接收到（M1,Nt,Nr）后，在已注册的标签记录中查找Li1或Li2，利用记录中的参数计算M1′与M1是否匹配，如果存在这样的标签记录Li1或Li2使得M1′与M1匹配，那么DB完成对Ti的合法认证，同时找出匹配的记录Li1或Li2，如果其中的flag=1,即匹配记录为Li2，计算M2=［CRC(K2newNt)CRC(K2newNr)］(metaID)new，并以ID为索引，查找出另一记录Li1，后端数据库对Li1和Li2做如下更新：将Li2中的(metaID)new,K2new替换Li1中的(metaID)old,K2old的值，将Li2中的(metaID)new,K2new自更新为：(metaID)new=PRNG((metaID)new)CRC((metaID)new),K2new=PRNG(K2new)；如果flag=0,对Li1和Li2不做更新，计算M2=［CRC(K2oldNt)CRC(K2oldNr)］(metaID)old，最后后端数据库DB给读写器发送消息M2至读写器R。

5)RT。读写器接受到数据库发来的消息，转发M2至标签。

6)T。标签接收到M2时，用标签内的秘密参数计算CRC(K2Nt)CRC(K2Nr)是否与M2metaID匹配，匹配则标签完成对后端数据库的合法认证，自更新标签内的参数：metaID=PRNG(metaID)CRC(metaID),K2=PRNG(K2);不匹配，则认证失败，终止协议。

3 协议的性能分析

一般而言，由于R和DB间的数据是在可信链路上进行加密传输［11］，因此本文认定读写器与后台数据库之间的通信信道是安全的。从安全、高效的角度出发，本文提出的认证方案安全性比已有的方案有了一定程度的提高，表2为各种方案的安全性能比较。本文方案的具体安全性能分析如下。

1)不可追踪性。本文方案中ID没有直接在信道中传输，而是通过用匿名metaID来代替真实标签身份，并且每次认证时采用随机数来破坏每次认证时标签响应的规律性，且攻击者很难获取加密后的标签随机数，可以避免攻击者假冒读写器来恶意追踪标签的位置隐私等，可以很好地保证标签的不可追踪性。

2)真实性。本文是一个双向认证协议，只有授权的合法读写器和授权的合法标签才能成功通过认证，可以避免标签假冒或者读写器假冒等安全问题。

3)抗重放攻击。每次的认证因子均采用的是随机数加密，而且加密密钥在每次认证后都进行更新，可以达到“一次一密”的效果，完全抵抗重放攻击。

4)抗同步攻击。涉及到认证密钥的更新的方案都存在同步更新的问题，在本文方案中，在数据库中为每个标签存储两条记录，记录中保存更新前的密钥和更新后的密钥，即使攻击者采用干扰技术破坏标签进行密钥的更新，下次仍可以被合法认证，且继续对标签进行密钥更新。

5)服务可用性。目前大多数协议的拒绝服务攻击只是考虑拒绝标签服务攻击的安全性，很少考虑后端数据库面临的洪泛攻击导致数据库瘫痪而产生的拒绝数据库服务攻击问题，本文方案中利用阅读器的屏蔽功能，可以避免非法标签的洪泛攻击，保证数据库服务器稳定地提供服务。

从硬件复杂度的角度出发，本方案没有使用计算复杂的加密技术，认证时，标签只需使用5次XOR操作、2个16b伪随机数、6次CRC计算和2次PRNG计算，存储空间最少只需要10B即可，成本比较低，由于方案采用相对比较简单的逻辑运算，运算速度比较快。另外本方案通过在读写器上加载屏蔽操作，可以大大减少后端数据库的计算负载，提高了协议运行效率。通过上面的安全性能分析可知，该方案可以抵抗目前已知的各种安全威胁，因此无论是在安全、效率、成本三方面来看，本方案都是一个比较满意的RFID安全认证协议。

4 结语

本文设计了一个基于低成本标签的RFID匿名双向认证协议，该协议具备良好的安全与隐私保护特性，可保护内容隐私、位置隐私，可抵抗重放攻击、拒绝服务攻击、数据同步攻击，具备良好的前向安全性。协议中的标签只使用了简单的逻辑运算，硬件成本比较低，符合标签大规模应用的情况。另外，协议利用阅读器的屏蔽操作可以大大减少后端数据库的计算负载，提高协议的运行效率。因此针对目前的RFID系统的安全认证，本协议是一个比较安全、高效、实用的RFID低功耗安全认证方案。

参考文献:

[1]

周永彬,冯登国.RFID安全协议的设计与分析［J］.计算机学报,2006,29(4):581-589.

[2]

赵跃华,维,李晓聪.一种适合于低成本标签的RFID双向认证协议［J］.计算机应用研究,2010,27(5):1885-1888.

[3]

周晓光,王晓华,王伟.射频识别(RFID)系统设计、仿真与应用［M］.北京：人民邮电出版社,2008.

[4]

KARTHIKEYAN S, NESTERENKO M. RFID security without extensive cryptography ［C］// SASN05: Proceedings of the 3rd ACM Workshop on Security of Ad Hoc and Sensor Networks. New York: ACM Press, 2005: 63-67.

[5]

CHIEN H-Y, CHEN C-H. Mutual authentication protocol for RFID conforming to EPC Class-1 Generation-2 standards ［J］. Computer Standards and Interfaces, 2007, 29(2): 254-259.

[6]

PERIS-LOPEZ P, HERNANDEZ-CASTRO J C, ESTEVEZ-TAPIADOR J M, et al. Cryptanalysis of a novel authentication protocol conforming to EPC-C1G2 standard ［J］. Computer Standards and Interfaces, 2009, 31(2): 372-380.

[7]

HAN D, KWON D. Vulnerability of an RFID authentication protocol conforming to EPC Class-1 Generation-2 standards ［J］. Computer Standards and Interfaces, 2009, 31(4): 648-652.

[8]

van LE T, MIKE BURNMESTER, BRENO DE MEDEIROS. Universally composable and forward-secure RFID authentication and authenticated key exchange ［C］// Proceedings of the Second ACM Symposium on Information. Computer and Communications Security. New York: ACM Press, 2007: 242-252.

[9]

DUC D N, KIM K. Defending RFID authentication protocol against DoS attacks ［J］. Computer Communications, 2011, 34(3): 384-390.

[10]

AVOINE G. Adversarial model for radio frequency identification ［EB/OL］. (2005-01-01)［2010-05-15］. eprint.省略.

[11]

聂鹏.EPCglobal Class 1 Gen 2标准的RFID高效双向认证协议［J］.计算机工程与应用,2011,47(10):92-94.

收稿日期:2011-07-28;修回日期:2011-09-19。

作者简介:胡韬(1987-)，男，湖南长沙人，硕士研究生，主要研究方向：信息安全、密码应用； 魏国珩(1977-)，男，湖北武穴人，副教授，主要研究方向：网络安全、可信计算。