無(wú)線射頻識(shí)別(Radio Frequency Identification，RFID)是一種非接觸式的自動(dòng)識(shí)別技術(shù)，可以視為無(wú)線版本的條形碼，具有使用時(shí)間長(zhǎng)、讀取精度高、能夠加密標(biāo)簽數(shù)據(jù)、數(shù)據(jù)容量更大、操作便捷等優(yōu)點(diǎn)。RFID技術(shù)在生活中的應(yīng)用日趨廣泛，其安全與隱私問(wèn)題也日益受到關(guān)注，比如偽造標(biāo)簽、非法訪問(wèn)等。身份認(rèn)證是保證信息安全的關(guān)鍵技術(shù)之一，由于RFID系統(tǒng)中標(biāo)簽的存儲(chǔ)空間和計(jì)算能力有限，難以進(jìn)行復(fù)雜的數(shù)據(jù)加、解密運(yùn)算，因此輕量級(jí)的RFID身份認(rèn)證協(xié)議成為當(dāng)前研究的熱點(diǎn)之一。

　　現(xiàn)有的輕量級(jí)RFID身份認(rèn)證協(xié)議多數(shù)基于哈希函數(shù)，其中比較典型的有：哈希鎖協(xié)議、隨機(jī)哈希鎖協(xié)議、哈希鏈協(xié)議等，這幾個(gè)協(xié)議都存在無(wú)法保障用戶隱私、標(biāo)簽容易追蹤等安全隱患。對(duì)此，Shen等人提出了一種基于匿名機(jī)制的RFID身份認(rèn)證協(xié)議ARAP(Anonymous RFID Authentication Protocol) 。本文將對(duì)多個(gè)RFID身份認(rèn)證協(xié)議進(jìn)行簡(jiǎn)要介紹，著重對(duì)其安全性能進(jìn)行討論和比較。

　　1 協(xié)議簡(jiǎn)介

　　1.1 哈希鎖協(xié)議

　　哈希鎖協(xié)議采用哈希函數(shù)實(shí)現(xiàn)簡(jiǎn)單的訪問(wèn)控制，工作原理如圖1所示：閱讀器存儲(chǔ)每個(gè)標(biāo)簽的訪問(wèn)密鑰Key，并生成metaID=hash(key)，寫入標(biāo)簽。標(biāo)簽接收到閱讀器的訪問(wèn)請(qǐng)求時(shí)，發(fā)送metaID，閱讀器則查出相應(yīng)的key發(fā)給標(biāo)簽。標(biāo)簽計(jì)算并判斷hash(key)與metaID是否相同，若相同，則把自己的ID信息發(fā)給閱讀器。

　　1.2 隨機(jī)哈希鎖協(xié)議

　　隨機(jī)哈希鎖是哈希鎖協(xié)議的改良，工作原理如圖2所示：當(dāng)收到閱讀器的訪問(wèn)請(qǐng)求時(shí)，標(biāo)簽先生成一個(gè)隨機(jī)數(shù)R，并和計(jì)算的h(IDk||R)一起發(fā)給閱讀器。閱讀器將此信息轉(zhuǎn)送給后臺(tái)數(shù)據(jù)庫(kù)，后臺(tái)數(shù)據(jù)庫(kù)則需要窮舉所有標(biāo)簽的IDi來(lái)計(jì)算h(IDi||R)，直至找到計(jì)算值與接收到的哈希值相同的IDi，閱讀器將此IDi發(fā)回，對(duì)標(biāo)簽進(jìn)行解鎖和訪問(wèn)。

　　1.3 哈希鏈協(xié)議

　　在哈希鏈協(xié)議中，標(biāo)簽和閱讀器共享兩個(gè)哈希函數(shù)H和G，H用來(lái)進(jìn)行更新，G用來(lái)計(jì)算響應(yīng)消息，具體過(guò)程如圖3所示，S為共享的初始隨機(jī)標(biāo)識(shí)符。在收到閱讀器的查詢請(qǐng)求時(shí)，標(biāo)簽返回ai=G(Si)，同時(shí)更新當(dāng)前的Si為Si+1 =H(Si)，準(zhǔn)備接受閱讀器的下一個(gè)訪問(wèn)請(qǐng)求。

　　1.4 ARAP協(xié)議

　　在ARAP協(xié)議中，閱讀器R和標(biāo)簽T都擁有一個(gè)偽隨機(jī)數(shù)發(fā)生器，每個(gè)標(biāo)簽T都與后端數(shù)據(jù)庫(kù)DB共享一個(gè)初始秘密xT，DB能夠根據(jù)T的假名P遍歷出初始共享的秘密xT，實(shí)現(xiàn)對(duì)T的身份認(rèn)證。

　　(1)R→T：R向T發(fā)送認(rèn)證請(qǐng)求Query和隨機(jī)數(shù)rR;

　　(2)T→R：T計(jì)算S=h(P⊕xT)和M=h(rT⊕rA⊕P)⊕S，并向R發(fā)送消息{rT，P，M}作為應(yīng)答，其中xT是T與R互相共享的秘密;

　　(3)R→DB：R向DB發(fā)送消息{rT，rR，P，M};

　　(4)DB→R：DB收到消息后，計(jì)算S’=h(P⊕xT)和M’=h(rT⊕rA⊕P)⊕S’，驗(yàn)證M’與M是否相等。若相等，則通過(guò)認(rèn)證，DB計(jì)算N’=h(M’⊕S’)發(fā)送給R。否則，認(rèn)證失敗，協(xié)議終止。

　　(5)R→T：R收到N’后轉(zhuǎn)發(fā)給T，T計(jì)算N=h(M⊕S)，驗(yàn)證N’與N是否相等，若相等，則R通過(guò)認(rèn)證，T更新假名P，否則認(rèn)證失敗，協(xié)議終止。

　　2 協(xié)議的安全和性能分析

　　2.1 協(xié)議的安全性分析

　　哈希鎖協(xié)議為標(biāo)簽提供初步的訪問(wèn)控制，可在一定程度上保護(hù)標(biāo)簽數(shù)據(jù)，抵抗非法訪問(wèn)攻擊。但由于每次標(biāo)簽響應(yīng)時(shí)均使用固定的metaID，攻擊者可將此當(dāng)作對(duì)應(yīng)標(biāo)簽的別名，跟蹤標(biāo)簽及其攜帶者。此外，密鑰key通過(guò)明文傳輸，攻擊者容易竊取，并可以通過(guò)記錄、計(jì)算組合(metaID，key，ID)，在與合法標(biāo)簽或者閱讀器的信息交互中進(jìn)行假冒攻擊。

　　隨機(jī)哈希鎖協(xié)議采用基于隨機(jī)數(shù)的詢問(wèn)/應(yīng)答機(jī)制，可防止標(biāo)簽被跟蹤，保護(hù)其隱私。但由于標(biāo)簽的返回消息不包含能夠唯一確定本次會(huì)話的標(biāo)識(shí)，攻擊者可以此進(jìn)行重放和假冒攻擊。再者，每確認(rèn)一個(gè)標(biāo)簽身份都需要遍歷數(shù)據(jù)庫(kù)所存的所有ID，認(rèn)證過(guò)程耗時(shí)較多，且容易遭受拒絕服務(wù)攻擊。因此哈希鎖協(xié)議的可擴(kuò)展性較差，只適用于小規(guī)模應(yīng)用。

　　在哈希鏈協(xié)議中，標(biāo)簽使用不同的標(biāo)識(shí)符響應(yīng)閱讀器的詢問(wèn)，以確保前向安全性，但無(wú)法抵抗假冒閱讀器的攻擊。此外，閱讀器收到標(biāo)簽的響應(yīng)后，需要計(jì)算數(shù)據(jù)庫(kù)中所有標(biāo)簽標(biāo)識(shí)符的哈希值來(lái)與之匹配。若標(biāo)簽被攻擊者惡意掃描多次，則將導(dǎo)致窮舉匹配時(shí)標(biāo)簽的認(rèn)證時(shí)間過(guò)長(zhǎng)，系統(tǒng)無(wú)法正常工作。因此，哈希鏈協(xié)議也只適合小規(guī)模的應(yīng)用，且無(wú)法抵抗重放和拒絕服務(wù)攻擊。

　　ARAP協(xié)議能夠?qū)崿F(xiàn)匿名雙向認(rèn)證，標(biāo)簽使用了大量假名來(lái)防止被跟蹤，能夠很好地保障用戶的隱私，且協(xié)議每執(zhí)行一次，假名P就隨之更新，能夠有效抵抗重放攻擊。在通常情況下，ARAP協(xié)議執(zhí)行時(shí)保持標(biāo)簽和閱讀器共享的信息同時(shí)更新，能夠抵抗拒絕服務(wù)攻擊。

　　但是，ARAP協(xié)議也存在因異或不當(dāng)而被攻擊者假冒的安全隱患。在ARAP協(xié)議的第2步中，標(biāo)簽T計(jì)算了S=h(P⊕xT)和M=h(rT⊕rA⊕P)⊕S，其中P為標(biāo)簽的匿名，xT為共享秘密，rA和rT分別為攻擊者與標(biāo)簽生成的偽隨機(jī)數(shù)。若攻擊者截取了消息M，rA，rT，P，利用異或運(yùn)算的性質(zhì)(a⊕a=0，a⊕0=a)，則可直接計(jì)算M⊕h(rT⊕rA⊕P)=h(rT⊕rA⊕P)⊕S⊕h(rT⊕rA⊕P) =S，從而獲取S，就相當(dāng)于獲得了閱讀器向標(biāo)簽進(jìn)行認(rèn)證的鑰匙N’=h(M⊕S)，攻擊者可假冒閱讀器向標(biāo)簽發(fā)送N’，從而獲取標(biāo)簽的信任，成功進(jìn)行假冒攻擊。

　　綜上，可通過(guò)表1對(duì)上述協(xié)議的安全性進(jìn)行比較，其中ARAP協(xié)議比其他3個(gè)協(xié)議復(fù)雜，安全性能也略勝一籌。無(wú)法抵抗假冒攻擊是ARAP協(xié)議的重大缺陷。

　　2.2 協(xié)議的性能分析

　　在RFID系統(tǒng)中，標(biāo)簽的存儲(chǔ)空間和計(jì)算能力有限，認(rèn)證協(xié)議在解決安全性問(wèn)題的同時(shí)，也要盡可能減少標(biāo)簽的計(jì)算量和存儲(chǔ)容量，以降低標(biāo)簽的成本。在此對(duì)典型的RFID身份認(rèn)證協(xié)議進(jìn)行對(duì)比，比較各協(xié)議中標(biāo)簽、閱讀器和后端數(shù)據(jù)庫(kù)的計(jì)算量，結(jié)果如表2所示。其中，“H”表示Hash運(yùn)算的次數(shù)，“X”表示異或運(yùn)算的次數(shù)，“R”表示產(chǎn)生隨機(jī)數(shù)的次數(shù)，“N”表示數(shù)據(jù)庫(kù)存儲(chǔ)的標(biāo)簽數(shù)量，“j”表示Hash鏈的長(zhǎng)度。

　　通過(guò)比較，哈希鎖協(xié)議的計(jì)算量是最小的，但其安全性得不到保證。隨機(jī)哈希鎖協(xié)議和哈希鏈協(xié)議的計(jì)算量與標(biāo)簽數(shù)量成正比，且執(zhí)行過(guò)程需要遍歷計(jì)算，只適合小規(guī)模應(yīng)用。ARAP協(xié)議的計(jì)算量相對(duì)較大，但其并沒(méi)有采用計(jì)算開銷大的操作，協(xié)議中的哈希運(yùn)算、異或運(yùn)算、隨機(jī)數(shù)運(yùn)算標(biāo)簽都?jí)驅(qū)崿F(xiàn)，在RFID系統(tǒng)可執(zhí)行的能力范圍之內(nèi)，具有較高的可行性。

　　3 結(jié)束語(yǔ)

　　本文主要對(duì)基于哈希函數(shù)的四種RFID身份認(rèn)證協(xié)議進(jìn)行了簡(jiǎn)要介紹和安全性能分析，與哈希鎖協(xié)議、隨機(jī)哈希鎖協(xié)議和哈希鏈協(xié)議相比，ARAP協(xié)議的安全性能較好，但存在因異或不當(dāng)而遭受假冒攻擊的安全隱患。對(duì)此，需要對(duì)部分異或運(yùn)算和驗(yàn)證操作進(jìn)行修改，將標(biāo)簽用戶的秘密隱藏入哈希函數(shù)中，使攻擊者無(wú)法通過(guò)異或運(yùn)算實(shí)施假冒攻擊。ARAP協(xié)議的全面分析和改進(jìn)工作將在后繼的科研工作中展開。