關 輝

（蘇州市職業(yè)大學 計算機工程學院，江蘇 蘇州 215104）

引 言

RFID（Radio Frequency Identification，射頻識別）利用射頻信號通過空間耦合（交變磁場或電磁場）在閱讀器和電子標簽之間實現無接觸的信息傳遞，并可通過所傳遞的信息達到自動識別的目的[1]。隨著大規(guī)模集成電路技術的不斷進步， RFID 產品的成本正不斷降低，RFID 技術在各行各業(yè)的應用也越來越廣泛。但隨之而來的各種安全問題也日益嚴峻，并逐漸成為制約 RFID 進一步推廣應用的重要因素。因此，必須開發(fā)出一種高效、可靠和具備一定強度的安全技術，來解決RFID 的安全問題。

1 RFID系統(tǒng)面臨的安全威脅

基本的RFID 系統(tǒng)主要由讀寫器（Reader）和標簽（Tag） 兩部分組成。標簽是由IC 芯片和無線通信天線組成的微型電路，每個標簽都具有唯一的電子編碼 ；讀寫器負責向標簽發(fā)射讀取信號并接收標簽的應答，對標簽的對象標識信息進行解碼，將對象標識信息和標簽上其它相關信息傳輸到主機以供處理[2]。由于標簽和讀寫器之間的通信是非接觸和無線的， 很容易造成一些安全問題。因此，RFID 系統(tǒng)面臨的安全威脅主要體現在以下兩個方面：

(1)標簽信息泄漏

沒有安全機制的電子標簽會向鄰近的讀寫器泄露標簽內容和一些重要信息。由于低成本電子標簽資源的有限性，它們普遍缺乏支持點對點加密和PKI 密鑰交換的功能。在RFID 系統(tǒng)應用過程中，惡意攻擊者能夠讀取、篡改電子標簽上的數據。

(2)惡意跟蹤

在 RFID 系統(tǒng)中，電子標簽不用保存和傳輸大量信息， 大量的數據都保存在后臺數據庫中。通常情況下標簽只需要傳輸簡單的標識符，通過該標識符訪問數據庫即可獲得目標對象的相關數據和信息。因此，即使標簽進行加密后不知道標簽內容仍然可以通過固定的加密信息追蹤標簽，得出標簽的定位信息，從而進一步推斷出標簽持有者的行蹤。

2 現有安全方案

目前，實現 RFID 安全機制所采用的方法主要有兩大類：

一類稱之為物理方法，另一類稱之為邏輯方法[3]。

2.1 物理方法

物理方法主要依靠外加硬件設備或硬件功能從而阻止標簽與讀寫器之間的通信。目前主要的方法有：KILL 標簽、法拉第網罩和主動干擾等。KILL 標簽是使標簽失效，但標簽破壞后無法重用；法拉第網罩可以屏蔽無線電波，但需增加硬件設備，提高了成本 ；主動干擾法可以使用戶通過主動發(fā)送信號來干擾附近讀寫器的操作，但可能導致非法干擾[4]。

2.2 邏輯方法

邏輯方法是一種基于加密認證技術的安全機制，通過設計讀寫器與標簽之間相互認證的方案，來實現 RFID 系統(tǒng)的信息安全。目前，這種方法被更多地采用。具有代表性的主要有以下幾種方案：

(1)Hash鎖方案[5]

該方案使用 metaID 來代替標簽真實 ID。讀寫器存儲每個標簽的訪問密鑰 K， 標簽中存儲對應的 metaID， metaID=Hash（K），此時標簽處于“加鎖”狀態(tài)。若要“解鎖”標簽，讀寫器需要發(fā)送 K 值到標簽，標簽通過Hash 函數計算出Hash（K），若該值與存儲的 metaID 匹配則解鎖，發(fā)送標簽真實ID 給讀寫器。

該方案可以提供訪問控制和標簽數據隱私保護，但由于其metalID 固定，且訪問密鑰 K 和標簽 ID 以明文形式發(fā)送， 易被跟蹤、偽造攻擊和重傳攻擊。

(2)隨機 Hash鎖方案[5]

該方案是Hash 鎖方案的擴展。標簽包含有 Hash 函數和偽隨機數生成器，讀寫器請求訪問標簽時，標簽用一對數據（r， Hash（IDi|| r））響應讀寫器的詢問，其中 r 是標簽產生的一個隨機數，Has（h IDi|| r）是第i 個標簽的ID 與隨機數r 的Hash 值。讀寫器收到響應后，在后臺數據庫中遍歷所有標簽 ID 和 r 的Hash 值，如果找到匹配的則發(fā)送其ID“解鎖”標簽。該方案雖然解決了標簽定位隱私問題，但標簽的秘密信息一旦被截獲，侵犯者可以獲得訪問控制權并通過信息回溯得到標簽歷史記錄，從而推斷出標簽持有者的隱私。

(3)Hash 鏈方案[6]

該方案采用一種鏈狀的Hash 過程來加強安全。標簽最初設置一個隨機的初始化標識符 S1，并包含兩個不同的Hash 函數 G 和 H，當讀寫器請求標簽時，標簽返回當前標簽標識符 rk=G（Sk）給讀寫器， 同時自動更新標識符 Sk+1=H（Sk），讀寫器通過遍歷獲取匹配的值，完成驗證。

該方案的主要優(yōu)點是標簽實現了自主ID 更新，從而提供了前向安全性，但只能對標簽身份進行認證，不能阻止重放攻擊和假冒攻擊。

3 基于Hash函數的雙向認證協議

通過對RFID 系統(tǒng)安全技術的分析，發(fā)現現有的RFID 安全技術在不同程度上都存在著這樣那樣的缺陷。本文提出了一種基于 Hash 函數的雙向認證協議。

在初始條件下，標簽中包含一個偽隨機數生成器和一個Hash 函數，并保存有一個密鑰 ki ；讀寫器中也有一個偽隨機數生成器和一個相同的Hash 函數 ；后臺數據庫中保存有每一個標簽的密鑰集合 K。

具體認證過程如下：

（1）讀寫器生成一個隨機數 rr，發(fā)送給標簽并向標簽發(fā)出訪問請求。

（2）標簽收到請求后， 生成另一隨機數 rt， 并計算

m=rt   5 ki，n=Hash（rt || rr），將 m、n 發(fā)回給讀寫器。

（3）讀寫器將 m、n 和 rr 發(fā)送給后臺數據庫。

（4）遍歷后臺數據庫中每一個密鑰 k，計算 r=k 5 m，判斷 Hash（r || rr）是否等于 n。若找到某個密鑰 kj 滿足條件， 則停止計算并將 kj 發(fā)給讀寫器 ；若全部遍歷完后所有密鑰都無法滿足條件則認證失敗。

遍歷后臺數據庫中每一個密鑰 k，計算 r=k 5 m，判斷 Hash（r || rr）是否等于 n。若找到某個密鑰 kj 滿足條件， 則停止計算并將 kj 發(fā)給讀寫器 ；若全部遍歷完后所有密鑰都無法滿足條件則認證失敗。

（5）讀寫器收到后臺數據庫發(fā)來的密鑰 kj 后，計算 Hash（kj || rr || rt）并發(fā)給標簽。

（6）標簽計算 Hash（ki || rr || rt）并與讀寫器發(fā)來的 Hash 值進行比較，若相同則完成認證。如圖 1 所示。

4 性能分析

（1）標簽資源是 RFID 系統(tǒng)的瓶頸，本協議中標簽僅需 要存儲密鑰 ki、隨機數 rt 和讀寫器發(fā)來的隨機數 rr，涉及的運 算是兩次 Hash 運算和一次異或運算，并生成隨機數一次?？?體來說對標簽運算能力要求不高，適合實際應用。

（2）防非法讀取 ：標簽和讀寫器都需經過身份認證后才 能交換數據，可有效防止非法讀取。

（3）防竊聽 ：認證過程中所有傳遞的有用信息均經過 Hash 函數加密或隨機數異或處理，可有效防止竊聽。

（4）防位置跟蹤 ：每次產生的隨機數都不相同，因此標 簽在每次通信中所傳輸的消息也都是不同的，可有效防止因固 定輸出而引發(fā)的位置跟蹤問題。

（5）防偽裝哄騙和重放：隨機數在每次通信時都是不同的， 攻擊者即使記錄下標簽先前發(fā)出的信息，也無法模擬出下次標 簽發(fā)出的信息，可有效防止哄騙和重放攻擊。

（6）前向安全性 ：兩個隨機數在每次通信中均不同，即 使攻擊者截取了某次標簽的輸出，也無法根據該值推算出以 前標簽的輸出。

（7）雙向身份認證 ：通過計算 r=k 5 m 并判斷 Hash（r || rr）是否等于 n，讀寫器實現了對標簽的身份認證 ；通過計算 Hash（ki || rr || rt）并與 Hash（kj || rr || rt）進行匹配，標簽實現 了對讀寫器的身份認證。

5 結 語

本文在分析了 RFID 系統(tǒng)面臨的安全威脅和現有的安全方案后，針對一些典型安全方案的不足，提出了一種基于Hash 函數的RFID 雙向認證協議。該協議應用成本較低，標簽負載較小，實現了讀寫器和標簽之間的雙向身份認證，可以保證前向安全性，在一定程度上為RFID 系統(tǒng)提供了更好的安全隱私保護。