一种改进的RFID安全认证协议的设计

一种改进的RFID安全认证协议的设计摘要:随着RFID技术应用范围的不断扩大，该技术中存在的安全隐私问题也逐渐暴露。针对RFID系统中读写器与标签间传输的信息容易遭受非法分子的多种攻击，我们在原有Hash函数协议的基础上做了进一步改进，设计了一个双向认证的安全协议。新协议具有良好的安全与性能优势。文章最后通过BAN逻辑对协议的安全性进行了验证。关键词：RFID;Hash函数；BAN逻辑;安全性分析0引言无线射频识别(RadioFrequencyIdentification,RFID)是一种非接触式的自动识别技术，利用射频信号通过空间耦合(交变磁场和电磁场)来实现无接触信息传递,并通过所传递的信息达到识别目的。随着RFID技术在零售、物流、生产、交通、安防、医疗等各个应用领域的推广与深入，RFID系统的安全与隐私保护问题成为人们日益关注的重点，由于系统内读写器与标签间的通信是在无线信道上进行,二者所传输的数据信息均暴露于外界环境中因此很容易遭受不法分子的窃听截获、伪造篡改，使隐私遭到泄露，严重损害了用户的合法利益。本文旨在设计一种RFID安全认证协议来保障RFID系统的安全。1改进协议的认证1.1协议初始条件我们规定每个标签与读写器之间都安排有一个密钥K。并在标签中存储着标签的标识ID和共享密钥K，与此同时将标签的标识ID与相对应读写器的密钥K以及经过Hash加密了的标签标识值H(ID)—一对应的存放在后端数据库中。读写器与标签各自产生一个字符串型随机数分别记为R1，R2。假定标签与读写器间的无线通信不安全。1.2协议认证过程因为RFID的系统安全性与标签的制作成本相互制约。一个良好的RFID认证协议需要兼顾系统安全性和标签成本两个因素。本节在原有Hash函数协议的基础上融入一些改进思想和创新意识设计出了一个双向认证的RFID安全认证协议。即改进了的认证协议。协议认证过程如图1所示。协议的认证过程描述如下：读写器首先产生一个随机数R1存储下来，然后向标签发送请求信息Hello和随机数R1。标签收到Hello请求后，立即产生一个随机数R2并存储，然后计算A,B并将计算出来的A,B与R2组合在一起一同发送给读写器。读写器将接收到的数据A,B,R2与自身存储的R1组合在一起转发给后端数据库。数据库在数据组中提取出A并查找与之对应的H(ID)值，若数据库找到相应的H(ID)值后则提取出与之对应的K'、TD'数据，之后再计算数据B'(B'=H(ID'IIR1IIR2)㊉K'),并判断B'是否与收到的B数值一致。如果二者数值一致则判定标签合法，标签成功通过读写器的认证。如果二者数值不一致，则判定标签非法，系统立即终止本次协议的认证。数据库依据公式计算出数据C后立即将其发送给读写器，读写器接收到的数据C后立即将其给标签转发过去。当标签在接收到数据C后将之前使用过的密钥K和标识ID调取出来进行一次H(K\\R1IIR2)㊉ID运算，之后判断数据C与该运算得出的结果值是否一致。如果两者数值结果相等则证明读写器成功通过标签的认证，读写器合法；如果两者数值结果不一致则证明读写器没有通过标签的认证，读写器非法。(6)完成以上5步后，若认证成功则表明本次协议双向认证执行完成，读写器与标签均合法，若未成功则协议双向认证不通过，协议终止。2改进认证协议的安全性和性能分析协议设计的安全与否是保障RFID系统安全的首要前提，同时认证协议设计的好坏也影响着RFID系统性能。本节我们将说明改进协议的安全性和性能优势。2.1安全性分析（1）防非法读取：读写器与标签之间首先需要进行消息格式验证才能使发生信息交换。这种做法有效的避免了非法读写器对标签实施非法读取攻击。（2）防窃听和篡改：认证过程中的2、3、4步骤中所传输的信息都是经过hash函数加密过的，攻击者不仅无法获知消息的原始数据而且还不能够对消息进行数据篡改。消息传输过程中所使用的随机数保障了数据传输的无规律性即便攻击者截取或窃听了某一次的通信消息，但下一次消息的内容和这一次的截然不同。（3）防止伪造攻击：攻击者事先在一个假冒的标签内存储着上次窃听到合法标签响应读写器的正常通信信息。在本次认证的时候向读写器发送认证信息，但由于数据B，R1，R2，C在每次认证时刻全部发生变化且无规律，故读写器在验证的过程中自然会判定消息信息不正确而终止认证。因此攻击者即便是伪造了标签也不一定会通过读写器的认证，同理假冒的读写器也不会通过标签的认证。（4）防重放攻击：协议认证的过程中，攻击者会将之前截获标签或读写器发送过的数据信息再次发送给此时刻的读写器或标签，但是由于数据B，R2和C含有随机数，系统在执行新一次认证后，以上数据无一不发生变化，最后必然会由于结果验证不匹配而造成认证失败。（5）防位置追踪：由数据B，R1，R2和C内都包含随机数，标签在每次通信过程中的通信消息都各不一样，攻击者无法通过连续获得某一标签的响应而对标签实施位置追踪。（6）前向安全性：攻击者截获一次标签或读写器所发出的消息信息，想通过推理演算这一方式得出该时刻之前标签或读写器所发送的信息。由于在本协议中，消息数据B，R1，R2和C均为随机信息每次协议认证过后都将发生变化。故能保障RFID系统的前向安全性。（7）双向认证：在本协议中，想要使数据B计算正确就必须知道相互配对的标识ID和密钥K,同理想要使数据C计算正确也必须知道相互配对的标识ID和密钥K。系统通过发送A、B、C标签和读写器实现了双向认证。（8）防拒绝服务：在协议的执行过程中,不法分子可以利用数量之多的非法读写器向合法标签发送非法请求,由于合法标签接收到的请求信息过多,产生信息积压导致正常回应信息无法发送。但在本协议中合法标签在收到任何读写器发出的请求信息时,不需要存储请求信息作为验证条件,同时合法标签不限制任何读写器的访问次数。因此本协议可以有效的防御非法读写器发送大量的请求信息导致合法标签无法正常响应请求所造成的拒绝服务攻击。为了显示出本协议的安全性优势,现将本改进协议和当前几种主要的安全认证协议从安全性方面进行比较。比较结果如表1所示。表1女全协议防伪造防窃听防重放刖向女全防位置防拒绝双向认证数据冋步追踪服务Hash锁协议否否否否否是是是随机化Hash锁协议否是否是是否是是Hash链协议否是否是是否是是分布式询问-应答协议是是是是是否是是LCAP协议是是是是是是是否SASI协议是是否是是否是否Gorssamer协议是是否是是是是否2.2性能分析RFID女全认证协议不单要消除系统存在的女全威胁,还要为协议的执行时间、系统组件的存储容量以及系统整体的运算能力而考虑。由于后端数据库具有强大的性能,现可忽略其对系统的影响,最终本协议性能的优劣是通过标签、读写器二者的计算能力、存储容量而进行评估。运算能力分析：在本改进协议中,标签需要计算数据A、B、C和产生一个随机数R2,而读写器只需要产生一个随机数R1。存储容量分析：由于Hash函数输出数据长度通常为128bit，令1L表示128bit。标签内部需要存储自身标识ID(64bit)和共享密钥K(64bit)。为了更直观的显示出本协议的性能与其它协议的性能差别，现绘制表2。下表中我们定义H代表Hash函数运算的次数，Xor代表异或运算的次数，R代表产生随机数的次数,n为需要认证的标签数目表2安全协议计算性能存储容量标签读写器标签读写器Hash锁协议⑸H：1■2L■随机Hash锁协议⑵H：1，R：1H:n1L■Hash链协议⑶H：2■1L■基于Hash的ID变化协议⑹H：3■3L■分布式询问-应答协议⑹H：2，R：1R：11L■LCAP协议[9]H：2R：12L■MW隐私保护协议［10］Xor:2Xor:12L■改进的认证协议H:3Xor:2R:1R:11L■3BAN逻辑证明3.1BAN逻辑及其语法、语义描述BAN逻辑［1,6］以主体信念为出发点，通过对安全协议认证过程的形式化分析来研究协议的认证双方如何以发送与接收消息为手段从原始的信念渐演化到协议所要达到的目标。下面我们将详细的描述BAN逻辑的语法及语义［6,7］PIX:P相信X，P相信消息X是真实的；PX:P看见X，P曾接收到了含有X的消息；

(3)PI〜X:P说了X,P曾发送了含有X的消息;PInX:P控制X，主体P对X有仲裁权；#(X):X是新的，即X没有在本次消息发送之前被当成消息向外发送过。lx.:X和消息Y的结合；&}:使用密钥K加密X后的密文；kPQ:K是P和Q之间的共享密钥，除了P和Q以及他们相信的主体以外，其他任何主体均不知道K；—tP:K是P的公开密钥，且除了P以及P相信的主体以外，其他任何主体均不知道与之相对应的密钥k-1；XPOQ:X是P和Q之间的共享秘密，并且除了P和Q以及他们相信的主体之外，其他任何主体都不知道X；3.2BAN逻辑的推理规则及推理步骤⑴消息含义规则：P匕。〜；V&}k公钥的表示方法：PI公钥的表示方法：PI二「kTQ,PV&}

PI三QI~X共享秘密的表示方法：2)临时验证规则：共享秘密的表示方法：2)临时验证规则：PI三POq,Pv&}YPI三QI~XPI三#(X)PI三Q〜XPI三QI三X3)管辖规则：3)管辖规则：PI三QnX,PI三QI三XPI三X4)接收消息规则：该规则共5条分别表示如下①卩V&，Y)4)PVX，③PI二PJTQ,PV&} ④PI二—TP,PV&}

，③(5)消息新鲜性规则：PI=#（X）PI=#（X,Y）⑹信念规则：该规则共4条分别表示如下①，②PI=（X,Y）,③PI=QI=（X,Y）,④PI=Q〜（X,Y）PI=X'PI=QI=X'PI=Q〜X⑺密钥与秘密规则：该规则共4条分别表示如下①p:n'二:，②PI=QI=N^xtN' ③PI=N畐N' ④PI=QI=N畐N'P|=Q|=N'Np|=n'昌NPI=QI=N'畐N关于Hash函数H,还有如下两条推理规则：PI=QI〜H（X）PVXPI三QI〜X9)PI=9)PI=QI~H（X1,X,X, , X）PVX,PVX,2 3 n 12-

PI=QI~\X,X,X, X丿1 2 3 n,PVX n①根据上文的要求，我们将改进协议用BAN逻辑做出如下描述:RfT:Hello,R1TfR:4i(ID)H(IDIIR1IIR2)㊉K,R2)RfT:H(KIIR1IIR2)㊉ID②建立理想化的协议模型A1：RfT：R1A2：TfR：b1,R2,饬补,::{iD,R1,R2补:K}A3：RfT：:：{k,R1,R2,ID③协议的初始假设S1：RI=#(R1)S2：RI三R<R1R2>TS3：RI三T RS4：RI三T<id>RS5：TI三R TS6：TI三R<id>T④协议的证明目标G1：RI三T〜#Gd)⑤协议的逻辑推证为方便推理我们将R1、R2看为一个整体记做N（1）证明RI三T~#Gd）由由A2：T—R:J1：R<<{iD,N}>KH又S3：rt…r，依据消息含义规则PI三。＜＞〜；＜&〔得J2：RI三TI~{ID,N}H又S4：RI三T R,依据消息含义规则PI三卩Q, 得:PI三QI~XJ3：RI三TI~（ID,N）即R＜（ID,N）因A2：R＜N联立J3依据接收消息①卩*''Y）得：R＜IDP＜X由假设S1:R［三#R1依据消息新鲜性规则P=#G）得：PI三#（X,Y）R三曲R2）即R三N再依据消息新鲜性规则需整得rI三#Gd,n)- g1

利用J3：RI三TI〜（ID,N）及信念规则④Pl三Q~ ，Y）得:PI三Q〜XJ4：RI三TI~Gd） g2由gl、g2可知目标G1:RI三T〜#（ID）得证。（2）证明目标TI三R〜K由A3：R—T:<{k,R1,R2和>ID得:Ll：TV<{K,N}>IDHL2：TVR1由S6由S6：TI三R T和Ll以及消息含义规则PI三PJK、Q,PV{X} KPI三QI~X得:Pl:TI三RI~W,N}即TV衣,N}HH由Pl,S5：TI三RJK^T以及接收消息规则③卩〔三卩Q'卩V'ITOC\o"1-5"\h\zPVX 得:P2:TV（K,N）由接收规则①PV吟）得：P3：TVK又L2：TV得Rl:TVR2PVX\o"CurrentDocument", PI三QI~H（X,X,X, ,X）PVX,PVX, , PVX再由规则（9） 】启三Qi上,Xn,X，…1....X）2 nl2 3 n得：P:TI三R〜K因此目标G2：TI三R〜K得证。5结束语本文针对当下RFID系统面临的安全问题改进了一个基于Hash函数的RFID双向认证协议。在与不同安全协议的比较过程中我们发现新协议能够有效的抵抗假冒、窃听、重放、位置追踪、拒绝服务等攻击并且协议具有双向认证、数据同步等特点。通过将改进协议的性能与其它认证协议分析对比过后发现改进协议能够有效的减少标签需要的存储容量，本文最后又利用BAN逻辑系统对安全协议做了形式化分析证明了协议的安全性。参考文献李志全.基于Hash函数的RFID安全认证协议的研究与设计[D].太原，太原科技大学，2011.WeiSA,SarmaSE,RivestRI,etal.Securityandprivacyaspectsoflow-costradiofrequencyidentificationsystems[C]//LNCS2802.Berlin:Springer-Verlag.2004:201-212.MiyakoOhkubo,KoutarouSuzuki,ShingoKinoshia.Hash-chainbasedForward-SecurePrivacyProtectionSchemeforLow-costRFID.Proceedingsofthe2004SymposiumonCryptographyandInformationSecurity(SCIS2004),2004.RheeK.,KwakJ.,KimS.,WonChDallenge-responseBaseRdFIDAuthenticationProtocolforDistributedDatabaseEnvironment[C].Proceedingosfthe2ndInternationalConferenceonSecurityPervasiveComputing(SPC2005).SarmSE,WeisSA.Radi