无线网络安全第8章资料

1、无线网络安全（第八章）共四十八页第八章 RFID网络安全 2中国密码(m m)学会组编共四十八页目录(ml)RFID网络简介RFID安全的物理机制RFID安全密码协议举例(j l)1RFID安全密码协议举例2协议的安全性分析与证明3中国密码学会组编共四十八页RFID网络(wnglu)简介 RFID系统的基本构成 无线射频识别是一种非接触式自动识别技术。由于成本低廉，它广泛应用于仓储管理、追踪、防伪、配送、过程(guchng)控制、访问控制、自动付费、供应链管理等领域。RFID系统一般由3部分组成：RFID标签（Tag）、RFID标签读写器（Reader）及后端数据库（Back-end Data

2、base）。RFID系统的基本构成如下图所示：4中国密码学会组编共四十八页RFID系统(xtng)的基本构成5中国密码(m m)学会组编共四十八页RFID网络(wnglu)简介 RFID系统的基本构成 标签 根据(gnj)标签的能量来源，可以将其分为三大类：被动式标签、半被动式标签和主动式标签。被动式标签内部不带电池，需要靠外界提供能量才能正常工作，即需要从读写器发出的无线电波中获取能量。因而它能永久使用，常用于标签信息需要频繁读/写的场合，而且它支持长时间数据传输和长期数据存储。被动式标签比主动式标签轻便、便宜、寿命长，但它的传送距离短且需要更高功率的读写器，灵敏度和定位性能受限于读写器，且

3、存储数据的容量和抗噪声能力有限。半被动标签本身也带有电池，但只起到对标签内部数字电路供电的作用，标签并不通过自身能量主动发送数据，只有当它被读写器的能量场“激活”时，才传送自身的数据。主动标签的能量来自内部电池，所以一个密封的主动标签寿命是有限的。和被动标签相比，主动标签传送距离更远、速度更快、抗噪声更好，使用相同频率时，数据传输速率更高，但体积大、价格高。6中国密码学会组编共四十八页被动式、半被动式、主动式标签(bioqin)被动式标签半被动式标签主动式标签能量来源被动式内部电池内部电池发送器被动被动主动最大距离10m100m1000m7中国(zhn u)密码学会组编共四十八页RFID网络(

4、wnglu)简介 RFID系统的基本构成 标签 根据射频标签内部使用的存储器类型的不同可分为3种：可读写标签、一次写入多次读出标签和只读标签。RW标签一般比WORM标签和RO标签贵得多，如信用卡等。WORM标签是用户可以一次性写入的标签，写入后数据不能改变(gibin)，WORM标签比RW标签要便宜。RO标签存有一个唯一的号码ID，不能修改，但最便宜。8中国密码学会组编共四十八页RFID网络(wnglu)简介 RFID系统的基本构成 读写器读写器实际上是一个带有天线的无线发射与接收设备，它的处理能力、存储空间都比较大。读写器分为手持和固定两种。RFID标签(bioqin)是非接触的，借助读写器

5、来实现数据的读/写功能，对RFID标签写入信息或者读取标签所携带的数据信息。读写器到标签之间的信道叫做前向信道，而标签到读写器之间的信道叫做反向信道。由于读写器与标签的无线功率差别很大，前向信道的通信范围远大于反向信道的通信范围。9中国密码学会组编共四十八页RFID网络(wnglu)简介 RFID系统的基本构成 后端数据库后端数据库是一个数据库系统，通常假设其计算和存储能力强大，并包含所有标签的信息(xnx)。通常假设标签和读写器之间的通信信道是不安全的，而读写器和后端数据库之间的通信信道则是安全的。RFID的基本工作原理如下：读写器发射电磁波，而此电磁波有其辐射范围，当标签进入此电磁波辐射范

6、围内，标签将读写器所发射的微小电磁波能量存储起来，并转换成电路所需的电能，并且将存储的标识信息以电磁波的方式传送给读写器。标签和读写器之间的通信距离受到多个参数的影响。10中国密码学会组编共四十八页RFID网络(wnglu)简介 RFID系统的安全需求 安全问题简单而言，RFID的安全问题包括隐私问题和认证问题。隐私问题是由读写器读标签时无须认证引起的，包括信息泄露问题和追踪问题；认证问题是由标签被读取时无须认证引起的，包括标签克隆、篡改标签数据等。广义的RFID系统的隐私保护包括两点：一是标签和读写器之间的隐私保护；另一种是服务器中的信息隐私保护，它所关心的是服务器所包含什么样的信息。本小节

7、主要讨论第一种情况。隐私问题中的追踪问题是指通过标签的唯一标识符可恶意地追踪用户的位置或者行为。例如，标识在不同的地方的两次出现，说明用户曾经(cngjng)到达了这两个地方。敌手可在任何地点、任何时间追踪识别某个固定标签，从而侵犯了用户隐私。隐私问题可通过对读写器的认证来解决。认证问题可通过对标签的认证来解决。因此，读写器和标签之间的双向认证是RFID系统的主要安全需求。11中国密码学会组编共四十八页RFID网络(wnglu)简介 RFID系统的安全需求 安全威胁非法(fif)读取：非法(fif)者通过未授权的读写器读取标签中的数据信息。窃听：标签和读写器之间的数据传输容易受到窃听攻击。无前

8、向安全性：攻击者在此次通信中截取到了标签的输出，然后通过某种推算可以得出标签以前所发送的信息。反过来说，如果攻击者不能推算前面发出的信息，则称为前向安全性。位置跟踪：非法者通过标签发出的固定消息来定位标签的位置以达到跟踪的目的。12中国密码学会组编共四十八页RFID网络(wnglu)简介 RFID系统的安全需求 安全威胁伪装：非法者截取到标签信息后，把真实标签信息复制到自己假冒的标签中。当读写器发送认证消息给标签时，非法者把自己复制的标签信息发给读写器，以伪装成合法标签通过读写器的认证。重放：当读写器发出认证信息时，攻击者截取了标签发出的响应信息。当下一次读写器发出认证请求时，攻击者把截取到的

9、信息发送给读写器，从而(cng r)通过读写器对它的认证。拒绝服务攻击：许多基于挑战应答方式的协议都要求每次对标签进行访问时，标签都需要提供额外的存储器来存储要产生的随机数，当大量读写器向标签发送询问信息时，标签的存储器就因要存储过多的随机数而停止工作。13中国密码学会组编共四十八页RFID网络(wnglu)简介 RFID系统的安全需求 安全方案设计时的考虑因素基本标签：不能执行加密操作，但可执行XOR操作和简单(jindn)的逻辑控制的标签。对称密码标签：指能够执行对称密钥加密操作的标签。公钥密码标签：指能够执行公开密钥加密操作的标签。该分类也将RFID安全协议按顺序分为三类协议。实现第三类

10、安全协议的一般是主动式标签（Active Tag），如用于集装箱的主动标签、高安全非接触卡等。14中国密码学会组编共四十八页RFID安全(nqun)的物理机制 RFID系统的安全需求 实现RFID安全性机制所采用的方法主要有三大类：物理方法、密码机制，以及二者相结合的方法。 物理方法来保护RFID标签安全性的方法主要有如下几类：Kill命令机制、休眠机制、阻塞机制、静电屏蔽、主动干扰等方法。物理方法通常用于一些低成本的标签中，因为这些(zhxi)标签难以采用复杂的密码机制来实现与标签读写器之间的安全通信。 15中国密码学会组编共四十八页RFID安全(nqun)的物理机制 RFID系统的安全需求

11、 Kill命令机制：由标准化组织Auto-ID Center提出的Kill命令机制是解决信息泄露的一个最简单的方法。即从物理上毁坏标签(bioqin)，一旦对标签(bioqin)实施了Kill毁坏命令，标签便不能再次使用。例如，超市结账时可禁用附着在商品上的标签。但是，如果RFID标签用于标识图书馆中的书籍，当书籍离开图书馆后，这些标签是不能被禁用的，这是因为当书籍归还后还需要使用相同的标签再次标识书籍。 16中国密码学会组编共四十八页RFID安全的物理(wl)机制 RFID系统的安全需求 休眠机制：让标签处于睡眠状态，而不是禁用，以后可使用唤醒口令将其唤醒。困难在于唤醒口令需要和标签相关联，

12、于是这就需要一个口令管理系统。但是，当标签处于睡眠状态时，不可能直接使用空中接口将特定的标签和特定的唤醒口令相关联。因此(ync)需要另一种识别技术，例如条形码，以标识用于唤醒的标签，这显然是不理想的。17中国密码学会组编共四十八页RFID安全的物理(wl)机制 RFID系统的安全需求 阻塞机制：隐私比特“0”表示标签接受无限制的公共扫描(somio)；隐私比特“1”表示标签是私有的。当商品生产出来，并在购买之前，即在仓库、运输汽车、存储货价的时候，标签的隐私比特置为“0”。换句话说，任何读写器都可扫描它们。当消费者购买了使用RFID标签的商品时，销售终端设备将隐私比特设置为“1”。18中国密

13、码学会组编共四十八页RFID安全(nqun)的物理机制 RFID系统的安全需求 法拉第网罩：也称为静电屏蔽法。由于无线电波可被传导材料做成的电容屏蔽，将贴有RFID标签的商品放入由金属网罩或金属箔片组成的容器中，从而阻止标签和读写器通信。由于每件商品都需使用一个网罩，提高了成本。主动干扰：标签用户通过一个设备主动广播无线电信号用于阻止或破坏附近的RFID读写器操作。但该方法可能干扰附近其他合法RFID系统，甚至(shnzh)阻塞附近其他无线电信号系统。19中国密码学会组编共四十八页RFID安全(nqun)密码协议举例1 Hash锁协议 标签的锁定过程如下：读写器选定一个随机密钥key，并计算m

14、etaID=H(key)。读写器写metaID到标签。标签进入(jnr)锁定状态。读写器以metaID为索引，将(metaID，key，ID)存储到本地后端数据库。20中国密码学会组编共四十八页RFID安全密码(m m)协议举例1 Hash锁协议 Hash-Lock协议的执行过程(guchng) 读写器向标签发送认证请求，用“Query”表示，即向标签发出问询其标识的请求。将metaID发送给读写器。读写器将metaID转发给后端数据库。后端数据库查询自己的数据库，如果找到与metaID匹配的项，则将该项的（key，ID）发送给读写器，其中ID为待认证标签的标识；否则，返回给读写器认证失败信息

15、。读写器将从后端数据库接收的部分信息key发送给标签。标签验证metaID=H(key)是否成立，如果成立，则将其ID发送给读写器。读写器比较从标签接收到的ID是否与后端数据库发送过来的ID一致，若一致，则对标签的认证通过；否则认证失败。21中国密码学会组编共四十八页 Hash-Lock协议(xiy)22中国(zhn u)密码学会组编共四十八页RFID安全密码(m m)协议举例1 随机化Hash锁协议 随机化Hash锁协议的执行过程如下：读写器向标签发送认证请求“Query”。生成(shn chn)一个随机数R，计算H(IDk|R)，其中IDk为标签的标识。标签将（R, H(IDk|R)）发送

16、给读写器。读写器向后端数据库请求获得所有标签的标识。后端数据库将自己数据库中的所有标签的标识（ID1, ID2, IDn）发送给读写器。读写器检查是否有某个IDj (1jn)，使得H (IDj|R)成立；如果有，则对标签的认证通过，并且把IDj发送给标签。标签验证。IDj与IDk是否相同，如相同，则对读写器的认证通过。23中国密码学会组编共四十八页 随机化Hash锁协议(xiy)24中国(zhn u)密码学会组编共四十八页RFID安全密码(m m)协议举例1 Hash链协议 在系统运行之前，标签和后端数据库首先要共享一个(y )初始秘密值st,1，则标签和读写器之间执行第j次Hash链的过程如

17、下：读写器向标签发送认证请求（Query）。标签使用当前的秘密值st,j计算at,j=G(st,j)，并更新其秘密值为st,j+1=H(st,j)，标签将at,j发送给读写器（G也是一个密码学安全的hash函数）。读写器将at,j转发给后端数据库。后端数据库系统针对所有的标签数据项查找并计算是否存在某个IDt(1tn)及是否存在某个j (1jm)，其中m为系统预先设定的最大链长度，使得at,j = G(Hj-1(st,1)成立。如果有，则认证通过，并将IDt发送给标签；否则，认证失败。25中国密码学会组编共四十八页Hash链协议(xiy)26中国密码(m m)学会组编共四十八页RFID安全(n

18、qun)密码协议举例1 Good Reader协议 协议过程如下：当读写器发送问询消息给标签以开始认证。标签产生一个随机数，并把此随机数发送给读写器，同时，标签计算(j sun)a(k)*= H(ReaderID|k)。读写器将接收到的随机数发送给后台数据库，后台数据库利用k和已存有的读写器标识ReaderID进行计算：a(k)=H(ReaderID|k)。然后，数据库将所得数据a(k)发送给读写器。读写器将接收到的a(k)发送给标签。标签通过比较先前计算过的a(k)*和接收到的a(k)是否相等来判别读写器的合法性。27中国密码学会组编共四十八页Good Reader协议(xiy)28中国(z

19、hn u)密码学会组编共四十八页RFID安全密码(m m)协议举例2 David数字图书馆协议 系统(xtng)运行之前，后端数据库和每一个标签之间需要预先共享一个秘密值s，该协议的执行过程如下：读写器生成一个秘密随机数RR，向标签发送认证请求Query，将RR也发送给标签。标签生成一个随机数RT，使用自己的ID和秘密值s计算 = IDifs(0, RR, RT)，标签将 (RT, )发送给读写器。读写器将(RT, )转发给后端数据库。后端数据库检查是否有某个IDi (1in)，满足IDi = fs(0, RR, RT)；如果有，则对标签的认证通过，并计算 = IDifs(1, RR, RT)

20、，然后将发送给读写器。读写器将转发给标签。标签验证IDi =fs(1, RR, RT)是否成立，如成立，则对读写器的认证通过。29中国密码学会组编共四十八页David数字(shz)图书馆RFID协议30中国(zhn u)密码学会组编共四十八页RFID安全密码协议(xiy)举例2 分布式RFID双向认证协议该分布式RFID双向认证协议的执行过程如下：读写器生成(shn chn)一个随机数RReader，向标签发送认证请求Query，将RReader发送给标签。标签生成一个随机数RTag，计算H(ID|RReader|RTag)，其中，ID为标签的标识。标签将(H(ID| RReader |RTa

21、g),RTag)发送给读写器。读写器将(H(ID|RReader|RTag), RReader, RTag)发送给后端数据库。后端数据库检查是否有某个IDj (1jn)，使得H(IDj| RReader|RTag) = H(ID| RReader|RTag)成立；如果有，则对标签的认证通过，并将H(IDj|RTag)发送给读写器。读写器将H(IDj|RTag)发送给标签，标签验证H(IDj|RTag)与H(ID|RTag)是否相同，如相同，则对读写器的认证通过。31中国密码学会组编共四十八页分布式RFID双向认证(rnzhng)协议32中国(zhn u)密码学会组编共四十八页RFID安全密码(

22、m m)协议举例2 基于Hash的ID变化协议 基于Hash的ID变化协议的执行过程如下：读写器向标签发送Query认证(rnzhng)请求。标签将当前回话号加1，并将H(ID)，H(TID*ID)，TID发送给读写器；其中，H(ID)可以使得后端数据库恢复出标签的标识，TID则可以使得后端数据库恢复出TID（TID+LST=TID），进而计算出H(TID*ID)。读写器将H(ID)、H(TID*ID)、TID转发给后端数据库。依据所存储的标签信息，后端数据库检查所接收到数据的有效性。如果所有的数据全部有效，则它产生一个秘密随机数R，并将(R，H(R*TID*ID)发送给读写器。然后，数据库更

23、新该标签的ID为IDR，并相应地更新TID和LST。读写器将（R，H(R*TID*ID)）转发给标签。标签验证所接收的信息的有效性；如果有效，则认证通过。33中国密码学会组编共四十八页基于(jy)Hash的ID变化协议34中国密码(m m)学会组编共四十八页RFID安全密码(m m)协议举例2 LCAP协议 LCAP协议的执行过程如下：读写器生成一随机数R，向标签发送Query认证请求，将R发送给标签。标签计算HaID = H(ID)和HL(ID|R)，其中ID为标签的标识，HL(ID|R)表示hash函数H输出的左半部分；标签将(HaID, HL(ID|R)发送给读写器。读写器将(HaID,

24、 R, HL(ID|R)发送给后端数据库。后端数据库检查历史（Prev）数据库条目中HaID的值是否与所接收到的HaID一致，如果一致，则使用(shyng)R和数据条目中的ID信息来计算HR(ID|R)，其中HR(ID|R)表示hash函数H输出的右半部分。然后，后端数据库更新当前（Curr）数据条目中的信息如下：HaID = H(IDR)，ID=IDR。Prev数据条目中的TD数据域设为HaID=H(IDR)。最后，将HR(ID|R)发送给读写器。读写器将HR(ID|R)转发给标签。标签验证HR(ID|R)的有效性。如果有效，则更新其ID为IDR。35中国密码学会组编共四十八页LCAP协议(

25、xiy)36中国密码(m m)学会组编共四十八页协议(xiy)的安全性分析与证明 安全协议分析方法简介 使用可证明安全性理论来证明协议的安全性主要包括以下5个主要过程(guchng)： 协议中涉及通信模型的描述；该模型下安全目标的形式化定义；安全假设说明（基于的计算复杂性困难问题）；协议的形式化描述；协议在该安全模型内达到其安全目标的证明。37中国密码学会组编共四十八页协议的安全性分析(fnx)与证明 密钥分配协议的安全性证明 协议定义(dngy)为一个多项式时间可计算的三元组： P = (, , LL)，描述诚实方的行为，描述S的行为，LL描述用户主密钥的初始分布。协议参与方为I=0, 1,

26、 2, N（0代表可信中心S），敌手为E。协议参与者的所有预言机（Oracle）只能被动地回答攻击者E对它们进行的各种问询（Query），Oracle之间并不直接进行通信。38中国密码学会组编共四十八页协议的安全性分析(fnx)与证明 密钥分配协议的安全性证明 敌手模型：E控制所有合法方之间的通信（如可以控制协议启动时间、篡改、替换或删除数据等），形式化为一个概率图灵机（Polynomial Turing Machine），能访问模型中的所有预言机，即Oracle 和Oracle ，其中i, jI。形式化了成员i试图和成员j协商一个会话密钥的通信实例S，形式化了S试图给i、j分配会话密钥的通信

27、实例。E所能发起的攻击(gngj)形式化为5种Oracle问询：(SendPlayer, i, j, S, x)；(SendS, i, j, S, x)；(Reveal, i, j, S)；(Corrupt, i, K)；(Test, i, j, S)。前4种Oracle问询可以是多项式的，形式化了E所能发动的各种攻击，如窃听、已知会话密钥、重放、收买某合法方等攻击，(Test, i, j, S)则只能问询一次，是为了定义安全性而提供的“测试”Oracle（即挑战预言机）。39中国密码学会组编共四十八页协议的安全性分析(fnx)与证明 密钥分配协议的安全性证明 (SendPlayer, i,

28、j, S, x)：E可以向Oracle 发送消息。该Oracle按照协议规范应答一个响应消息。(SendS, i, j, S, x)：E可以向Oracle 发送消息。该Oracle按照协议规范应答一个响应消息。(Reveal, i, j, S)：收到此问询的Oracle，返回它协商得到的会话密钥。如果该Oracle的状态不是“已接受”（Accepted），那么返回一个符号表示(biosh)终止。(Corrupt, i, K)：此问询要求被问询的协议参与者返回它拥有的长期私钥。相应地，回答过Corrupt问询的实体的状态被称为“已攻陷”（Corrupted）。(Test, i, j, S)：E可

29、以向一个Oracle发出Test问询。E将收到该Oracle所拥有的会话密钥或者一个随机值。具体来说，该预言机通过随机猜测bR 0,1来回答此查询。40中国密码学会组编共四十八页协议(xiy)的安全性分析与证明 密钥分配协议的安全性证明 协议的安全性定义为：敌手的成功是以其在进行Test问询之后以区分会话密钥与随机密钥的优势来衡量的。除合理性（Validity）之外，敌手得到Oracle问询(Test, i, j, S)的回答后，对Challenge进行“猜测”，得到正确应答的优势函数为 Adv(k) = (2PrGoodGuess-1)，如果该值是可忽略的，则称协议是安全的。这里，当敌手发起

30、Test询问时，Oracle回答如下：bR 0,1，如果b=0，返回一个(y )随机数，否则返回敌手要得到的会话密钥；如果敌手对b的取值猜测正确，就称事件“GoodGuess”发生，敌手成功。敌手随机猜测成功的概率为1/2。该优势值与安全参数k相关。上述定义就是表明，如果敌手的猜测成功的概率偏离1/2的值是可忽略的，则敌手失败，即意味着协议是安全的。41中国密码学会组编共四十八页协议(xiy)的安全性分析与证明 RFID协议的BR安全性证明 用Oracle查询(chxn)来模型化攻击者A的能力。用T表示Tag，用R表示Tag读写器，两者参与的RFID协议为P。协议双方都可以发起P的多个实例，用

31、表示第i个Tag实例，用表示第j个读写器实例。攻击者A可以进行如下Oracle查询：Query(，m1，m3)：该查询刻画了攻击者A通过前向信道（从读写器到标签）向T发送消息m1（消息1），并在接收到T的应答后再向T发送消息m3（消息3）；Send(，m2)：该查询刻画了攻击者A通过反向信道（从标签到读写器）向R发送消息m2，并接收R之应答；Execute(，)：该查询刻画了攻击者A执行T和R之间的协议P的一个实例，并获得通过前向信道和反向信道交换的所有消息；42中国密码学会组编共四十八页协议的安全性分析(fnx)与证明 RFID协议的BR安全性证明 Execute*(，)：该查询刻画了攻击者A执行T和R之间的协议P的一个实例，但是攻击者A仅能获得通过前向信道交换的所有消息；Corrupt(，sk)：该查