陳泓宇，姚孝明，寇瑜琨

（海南大學(xué) 信息科學(xué)技術(shù)學(xué)院，海南 ?？?70228）

0 引 言

RFID技術(shù)主要由標(biāo)簽、閱讀器和RFID中間件組成。標(biāo)簽和閱讀器之間的通信采用雙向認(rèn)證技術(shù)來保障安全。但是在無線傳輸、信號廣播和資源局限等條件下，RFID標(biāo)簽面臨篡改、跟蹤、監(jiān)聽等安全攻擊?，F(xiàn)有的大多數(shù)研究都是關(guān)注標(biāo)簽的隱私性和標(biāo)簽與閱讀器之間的通信安全［1－3］，而對標(biāo)簽安全性關(guān)注得甚少，然而，現(xiàn)有的EPC－global［4］標(biāo)準(zhǔn)——EPC Class 1Gen 2 （EPCC1G2）是允許對標(biāo)簽進(jìn)行讀寫操作的。惡意攻擊者不僅可以通過RFID標(biāo)簽追溯商品的特點來獲取消費者的喜好，而且可以隨時對標(biāo)簽進(jìn)行訪問進(jìn)而篡改標(biāo)簽。由于RFID標(biāo)簽成本低廉，其計算、存儲與通訊能力都十分有限，現(xiàn)在需設(shè)計出一個既不增加運算復(fù)雜度又不增加存儲空間的方法。基于傳統(tǒng)加密技術(shù)或Hash函數(shù)等安全隱私保護(hù)方案并不適用于低成本的RFID標(biāo)簽中，當(dāng)前基于硬件更改的RFID標(biāo)簽方案無法遵循現(xiàn)有的EPCC1G2標(biāo)準(zhǔn)，其技術(shù)難以得到推廣。數(shù)字水印技術(shù)一個卓越的特性是人眼無法察覺但是機器可以識別。值得注意的是，基于數(shù)字水印的方法可以在不修改當(dāng)前標(biāo)準(zhǔn)的前提下提高標(biāo)簽的安全性。雖然現(xiàn)有應(yīng)用于RFID標(biāo)簽中的脆弱數(shù)字水印方案在提高標(biāo)簽的安全性方面取得了一定進(jìn)步，但其本身的局限性使惡意攻擊者能夠獲取水印，無法保證RFID標(biāo)簽數(shù)據(jù)安全性。

針對以上問題，基于脆弱零水印的RFID標(biāo)簽篡改檢測方案將水印和標(biāo)簽載體進(jìn)行物理分離，并且把水印存放在后臺數(shù)據(jù)庫中，這使得只有合法閱讀器才能獲取水印信息。該方案在與現(xiàn)有的標(biāo)準(zhǔn)相兼容的前提下提高了RFID標(biāo)簽的安全性。

1 相關(guān)研究

最初在安全性和隱私性方面，RFID研究的主流是隱私性問題。到目前為止，EPCglobal協(xié)議群中關(guān)于RFID安全性問題的描述并不多。由于大多數(shù)RFID數(shù)據(jù)傳輸都是在沒有任何保護(hù)下的無線通信信道，這樣就給惡意攻擊者竊聽數(shù)據(jù)以及篡改標(biāo)簽留有漏洞。影響RFID標(biāo)簽安全性的主要因素有：低成本標(biāo)簽計算能力有限、存儲空間小、閱讀器和標(biāo)簽之間的射頻通信是開放式的。根據(jù)RFID技術(shù)的特點，獲取RFID標(biāo)簽有兩種方法：①直接獲取標(biāo)簽實體；②通過射頻通信獲取。在第1種情況下，即惡意攻擊者對標(biāo)簽擁有者不知情，對目標(biāo)標(biāo)簽進(jìn)行物理破壞是幾乎不可能發(fā)生的。在第2種情況下，惡意攻擊者無需知道標(biāo)簽擁有者的任何信息可以通過射頻通信對標(biāo)簽中可復(fù)寫存儲區(qū)中的數(shù)據(jù)進(jìn)行修改，這種情況是容易發(fā)生的。例如L.Grunwald設(shè)計的RFDump軟件，惡意攻擊者只需把這個軟件裝在電腦中且安裝上閱讀器，他就能輕易地讀取標(biāo)簽數(shù)據(jù)、修改標(biāo)簽數(shù)據(jù)。所以標(biāo)簽的安全性是一個不容忽視的問題，怎樣提高標(biāo)簽的安全性是我們亟待解決的問題。

到目前為止，關(guān)于RFID標(biāo)簽數(shù)據(jù)篡改檢測的方法可以分為3大類：基于標(biāo)簽數(shù)據(jù)加密的篡改檢測方案；基于硬件更改的篡改檢測方案；基于軟件更改的篡改檢測方案。

1.1 基于標(biāo)簽數(shù)據(jù)加密的篡改檢測方案

Palo Bernardi等［5］提出了基于RSA加密標(biāo)準(zhǔn)的身份認(rèn)證方案，即對標(biāo)簽ID加密且存放在標(biāo)簽中。如果對標(biāo)簽解密后的ID與實際ID不相符，則認(rèn)定該標(biāo)簽是偽造的。該方案的優(yōu)點是既能夠防止標(biāo)簽數(shù)據(jù)被復(fù)制，又能防止標(biāo)簽數(shù)據(jù)被篡改。但是該方案是基于公鑰加密的，低成本RFID標(biāo)簽不具備加密的能力，所以這個方案在實際情況中難以實現(xiàn)。S.Spiekermann［6］提出了一種基于對稱加密系統(tǒng)的方案。在對標(biāo)簽進(jìn)行篡改檢測時，只需解密數(shù)據(jù)，且只有授權(quán)方才能夠?qū)?biāo)簽檢測。惡意攻擊者當(dāng)且僅當(dāng)獲得密鑰才有可能篡改數(shù)據(jù)。該方案對讀／寫數(shù)據(jù)沒有特殊要求，并且簡單易實現(xiàn)。但是該方案只適用于遵循ISO14443標(biāo)準(zhǔn)的標(biāo)簽，該標(biāo)簽存儲區(qū)容量多達(dá)8000位。然而，目前應(yīng)用最廣泛的是只有96位存儲區(qū)的EPCC1G2標(biāo)簽，大多數(shù)標(biāo)簽是沒有足夠的存儲空間去存儲這些加密信息。此外，由于該方案系統(tǒng)的魯棒性是基于密鑰安全的，所以該方案依賴于參與實體間高度信任。

以上基于標(biāo)簽數(shù)據(jù)加密的篡改檢測方案的缺點是：廣泛應(yīng)用于實際中的RFID低成本標(biāo)簽沒有高效的計算能力和強大的存儲空間，所以以上方案難以在實際情況中實施。

1.2 基于硬件更改的篡改檢測方案

EPCC1G2標(biāo)準(zhǔn)下的標(biāo)簽存儲區(qū)分為保留區(qū)、EPC區(qū)、TagID區(qū)和用戶區(qū)，Yamamoto等［7］提出了基于寫活動記錄的方案，該方案把標(biāo)簽存儲區(qū)中用戶存儲區(qū)的部分區(qū)域定義為隱私存儲區(qū)。在這個區(qū)域中只有標(biāo)簽自己能夠讀和寫，而閱讀器只能讀數(shù)據(jù)。判斷標(biāo)簽是否被篡改過，只要檢查該隱私存儲區(qū)是否被復(fù)寫過。如果此區(qū)域沒有被復(fù)寫則認(rèn)定標(biāo)簽未被篡改過。該方案的優(yōu)點是：在能夠檢測出標(biāo)簽是否被篡改過的基礎(chǔ)上提高了標(biāo)簽的安全性，并且不涉及加密技術(shù)和繁復(fù)的運算。但是該方案的缺點是不僅需要增加額外的存儲區(qū)，而且需要更改中間件，況且錯誤的數(shù)據(jù)在未用過的區(qū)域中是無法檢測出來的。該方案同樣不適用于信息系統(tǒng)等需要重復(fù)使用存儲區(qū)域的系統(tǒng)。索尼的靈通芯片在RFID芯片中增加了安全機制，即在首次寫入數(shù)據(jù)后將存儲區(qū)鎖住。由于靈通芯片需要很多的集成電路使得制造該標(biāo)簽的成本會很高。HITACHI安全標(biāo)簽［8］是基于塊的讀寫鎖函數(shù)，它將用戶區(qū)分成5個塊，一旦多于5個用戶需要使用，那么就需要用口令區(qū)分這幾個部分，況且基于鎖機制的這個方案和現(xiàn)有的標(biāo)準(zhǔn)不兼容。

以上基于硬件更改的篡改檢測方案的缺點有二。其一：如果制造商希望充分使用標(biāo)簽并且多次寫標(biāo)簽數(shù)據(jù)，這些首次寫鎖機制的方案就不能滿足制造商們的需求。其二：這些方案和現(xiàn)有EPCC1G2標(biāo)準(zhǔn)不兼容。

1.3 基于軟件更改的篡改檢測方案

數(shù)字水印技術(shù)是利用特定的算法在數(shù)字作品中嵌入具有標(biāo)志性的信息的同時不影響原作品的價值。數(shù)字水印系統(tǒng)主要包括水印的嵌入和水印的提取。Potdar［9］最先將數(shù)字水印技術(shù)引入到RFID領(lǐng)域，即將標(biāo)簽數(shù)據(jù)中EM位或OC位作為脆弱數(shù)字水印形成的輸入。在形成8位的水印后，將形成的水印和1位奇偶校驗碼一起嵌入到標(biāo)簽數(shù)據(jù)結(jié)構(gòu)中的序列號位置。通過對比水印的方法判斷標(biāo)簽是否被篡改過。Potdar提出的這個方案在不需要對現(xiàn)有的標(biāo)簽和閱讀器之間的通訊協(xié)議做修改的條件下不僅能夠檢測出標(biāo)簽是否被篡改過，而且能夠檢測出被篡改過的具體位置。但是，該方案存在一些缺陷：首先，由于該方案是基于單向函數(shù)的，如果惡意攻擊者猜測出這個方法，大量的標(biāo)簽數(shù)據(jù)將會被篡改。其次，由于該方案中的數(shù)據(jù)信息在任何情況下都是不變的，以至于惡意攻擊者可以通過多次對比標(biāo)簽，確定數(shù)字水印放在序列號的具體位置從而篡改標(biāo)簽、克隆標(biāo)簽。此外該方案只能應(yīng)用于96位的RFID標(biāo)簽中，致使其應(yīng)用受限。Noman［10］提出的方案是用32位的滅活口令作為載體，它可以檢測RFID中任何位置的篡改。雖然將水印嵌入到滅活口令域中直接降低了數(shù)字水印被修改的可能性。但是這種將水印嵌入標(biāo)簽中并且沒有加密形式的方法都有可能被惡意攻擊者獲取，進(jìn)而危害到標(biāo)簽的安全性。Curran等［11］提出了用混沌映射的數(shù)字水印的篡改檢測方法，先將EM位和OC位分別填充擴展至32位后通過哈希函數(shù)產(chǎn)生6位的水印。EM產(chǎn)生的6位水印嵌入到OC位中，OC產(chǎn)生的6位水印嵌入到SN位中。該方案在和現(xiàn)有的標(biāo)準(zhǔn)相兼容的同時又適用于低成本標(biāo)簽。但是把OC和SN作為載體，可能會使標(biāo)簽被惡意攻擊者篡改。

以上基于軟件更改的篡改檢測方案的缺點是：水印存放在標(biāo)簽中，惡意攻擊者可以對比標(biāo)簽猜測出水印的形成和存放的位置從而篡改標(biāo)簽。

2 技術(shù)方案

數(shù)字水印原本應(yīng)用于數(shù)字產(chǎn)品的版權(quán)認(rèn)證［12］，它被廣泛應(yīng)用于數(shù)字圖像、數(shù)字音頻以及數(shù)字視頻中，鮮有應(yīng)用于RFID中數(shù)據(jù)完整性和安全性。數(shù)字水印的出現(xiàn)為保護(hù)數(shù)據(jù)不被非法操縱和控制提供了一個低成本的實現(xiàn)方法。在全國第三屆信息隱藏學(xué)術(shù)研討會上，溫泉等首次提出了“零水印”的概念?！傲闼　钡奶岢鍪菫榱嗽鰪姶嗳鯏?shù)字水印的魯棒性，實際上是魯棒零水印。而本方案提出的零水印是對脆弱數(shù)字水印的一種擴充，實際上是脆弱零水印?；诖嗳趿闼〖夹g(shù)RFID標(biāo)簽方案并不將水印嵌入到作品載體中，而是存放在后臺數(shù)據(jù)庫中。這種將水印和標(biāo)簽載體進(jìn)行物理隔離的方法使得未被授權(quán)者和惡意攻擊者難以獲得水印，從而保護(hù)了標(biāo)簽的安全性。

我們所提出的方案需要滿足：①在遵循EPCC1G2標(biāo)準(zhǔn)的同時又對現(xiàn)有的RFID標(biāo)簽不增加額外的負(fù)擔(dān)；②水印的形成和篡改檢測方法應(yīng)該足夠簡單的同時又能提供較好的安全性，使惡意攻擊者不能獲取水印。

具體分為3個步驟：水印的形成；水印的存放；篡改檢測。

我們所討論的標(biāo)簽是符合EPCC1G2標(biāo)準(zhǔn)的96位的EPC標(biāo)簽。在EPC標(biāo)簽數(shù)據(jù)結(jié)構(gòu)的4個域中，H位和EM位都是由EPCGlobal機構(gòu)決定的。H位代表EPC標(biāo)簽固定標(biāo)識符，即對H位的任何篡改都會使整個標(biāo)簽無效。最具有篡改價值的是EM位和OC位，它們分別代表的是具體公司和產(chǎn)品類型，因此EM位和OC位是最有可能被篡改的。SN位代表具體的產(chǎn)品，它的商業(yè)價值較小，篡改SN位所需成本較大。因此，我們把相對重要的EM位和OC位作為形成水印的輸入。

符號定義見表1。

表1 符號定義

2.1 零水印的形成

輸入：RFID標(biāo)簽中EM位和OC位 （將28位的EM位填充到32位，OC位同上）

輸出：通過偽隨機數(shù)發(fā)生器產(chǎn)生一個唯一的數(shù)值串，即水印Wz。

水印的形成如圖1所示。

圖1 水印的形成

水印形成算法

（1）將28位EM和24位OC填充到32位。

Pad＿F函數(shù)的偽代碼：

開始

1）計算需要填充的位數(shù)j。（例如：EM位需要填充4位）。

2）用j位長的最高有效位作為填充數(shù)對低位填充至32位。

（例如

結(jié)束

（2）通過偽隨機函數(shù)發(fā)生器產(chǎn)生16位的輸出。

H＿F函數(shù)的偽代碼：

開始

1）執(zhí)行LAMED－EPC函數(shù)產(chǎn)生16位輸出，Out［0～15］

2）將Out［0～7］和Out［8～15］異或產(chǎn)生8位輸出，最終將Out［0～7］中高6位作為輸出。

3）6位由EM位產(chǎn)生的水印和6位由OC位產(chǎn)生的水印都產(chǎn)生了。

結(jié)束

LAMED－EPC函數(shù)［13］：這個用于低成本標(biāo)簽的基于遺傳算法的偽隨機函數(shù)和EPCC1G2標(biāo)準(zhǔn)是相兼容的。該函數(shù)的初始向量有iv和只有合法閱讀器和標(biāo)簽知道的s。

開始

1）32位輸出由以下等式形成

其中n是內(nèi)部狀態(tài)變量 （本例中是32），a0和a1都是32位長的隨機形成的無符號整數(shù)，O是馬特賽特旋轉(zhuǎn)演算發(fā)生器。

2）產(chǎn)生的32位輸出被分成兩部分高16位和低16位

3）高16位和低16位異或產(chǎn)生16位輸出。

結(jié)束

2.2 水印的存放

在后臺數(shù)據(jù)庫中建立一個表，存放水印Wz。

2.3 篡改檢測

通過后臺數(shù)據(jù)庫的驗證后，閱讀器獲得水印Wz，進(jìn)行水印比對。如圖2所示。

輸入：Wz，哈希函數(shù)f（.）

輸出：判斷標(biāo)簽是否被篡改過

圖2 篡改檢測

再次用偽隨機數(shù)發(fā)生器生成數(shù)字水印Wz～，通過和后臺數(shù)據(jù)庫取出的Wz比對。若相等則沒有被篡改過，否則標(biāo)簽被篡改過。

3 安全性分析

這部分將要討論該方案在滿足EPCC1G2標(biāo)準(zhǔn)的前提下，與現(xiàn)有方案的安全性做比較以及是否能在低成本RFID標(biāo)簽中應(yīng)用。

與現(xiàn)有的方案相比，可能出現(xiàn)的最壞的情況是：沒有察覺到惡意攻擊者篡改了標(biāo)簽或者修改標(biāo)簽并且形成相應(yīng)的水印。例如，惡意攻擊者通過非法手段獲取了標(biāo)簽，與此同時他篡改了標(biāo)簽中EM位。在脆弱數(shù)字水印方案中，由于水印存放在標(biāo)簽載體中，所以這種情況是可能發(fā)生的。但是在本方案中，由于未授權(quán)者無法獲取后臺數(shù)據(jù)庫中的水印，因此這種情況是不會發(fā)生的。只要后臺數(shù)據(jù)庫中存放水印的表足夠安全，我們提出的脆弱零水印技術(shù)就能準(zhǔn)確判斷出標(biāo)簽是否被修改過。

該方案有3個操作算法，異或操作、填充數(shù)操作和偽隨機函數(shù)。其中異或操作和填充數(shù)操作都是輕量級算法，而相對繁復(fù)的LAMED－EPC函數(shù)是符合EPCC1G2標(biāo)準(zhǔn)的。因為LAMED－EPC的標(biāo)準(zhǔn)安全性分析要求：從之前隨機數(shù)發(fā)生器產(chǎn)生的結(jié)果去預(yù)測現(xiàn)在所形成結(jié)果的概率要小于0.025%。而且它需要邏輯門的個數(shù)遠(yuǎn)遠(yuǎn)少于存儲閾值。所提出方案的安全性是依賴于LAMED－EPC的強度的，因此該方案的安全性更強。水印的形成和篡改檢測過程都是基于已證明過的數(shù)學(xué)性質(zhì)。所以和現(xiàn)有方案相比，該方案在滿足EPCC1G2標(biāo)準(zhǔn)的前提下又能提高標(biāo)簽的安全性。

4 結(jié)束語

針對RFID標(biāo)簽面臨的安全性問題和現(xiàn)有方案的局限性，提出基于脆弱零水印的RFID標(biāo)簽篡改檢測方案。該方案詳細(xì)地介紹了一個既能夠適用于現(xiàn)有低成本RFID標(biāo)簽的環(huán)境中，又在細(xì)節(jié)實現(xiàn)上是容易的。該方案把標(biāo)簽和水印進(jìn)行物理隔離從而保護(hù)標(biāo)簽水印不被惡意攻擊者獲取。將水印存放在后臺數(shù)據(jù)庫中使得只有合法的閱讀器才能獲取后臺數(shù)據(jù)庫的水印的方案不僅節(jié)省了低成本標(biāo)簽有限空間成本，而且提供了更高的安全性。此外該方案滿足EPCC1G2標(biāo)準(zhǔn)。在今后的研究中，我們將進(jìn)一步研究如何將該方案和標(biāo)簽與閱讀器雙向認(rèn)證技術(shù)結(jié)合起來。

［1］Cho Jung－Sik，Yeo Sang－Soo，Sung Kwon Kim.Securing against brute－force attack：A hash－based RFID mutual authentication protocol using a secret value ［J］.Computer Communications，2010，34 （3）：391－397.

［2］Dang Nguyen Duc，Kwangjo Kim.Defending RFID authentication protocols against DoS attacks ［J］.Computer Communications，2011，34 （3）：384－390.

［3］ZHANG Fan，SUN Xuan，MA Jianfeng，et al.Universal composable secure RFID communication protocol in supply chain ［J］.Journal of Computers，2008，31 （10）：1754－1767（in Chinese）.［張帆，孫璇，馬建峰，等.供應(yīng)鏈環(huán)境下通用可組合安全的RFID通信協(xié)議 ［J］.計算機學(xué)報，2008，31（10）：1754－1767.］

［4］EPCglobal Inc，EPC radio－frequency identity protocols class－1 generation－2UHF RFID protocol for communications at 860MHz－960MHz version 1.4 ［S］.USA：GS1EPCglobal，2008.

［5］Bernardi P.An anti－counterfeit mechanism for the application layer in low cost RFID devices ［C］／／Proc 4th European Conference on Circuits and Systems for Communications，2008：227－231.

［6］Spiekermann S.Critical RFID privacy enhancing technologies［J］.IEEE Security and Privacy，2009，7 （2）：56－62.

［7］Yamamoto A.A tamper detection method for RFID tag data［C］／／IEEE International Conference on RFID，2008：51－57.

［8］Han S，Chu C，Luo Z.Tamper detection in the EPC network using digital watermarking ［J］.IEEE Security ＆ Privacy，2011，9 （5）：62－69.

［9］Fan M，Wang H.Tamper discrimination in RFID tags using chaotic fragile watermark ［C］／／International Conference on Networks Security， Wireless Communications and Trusted Computing，2009：147－150.

［10］Ali Nur Mohammad Noman，Kevin Curran，Tom Lunney.A watermarking based tamper detection solution for RFID tags［C］／／Sixth International Conference on Intelligent Information Hiding and Multimedia Signal Processing，2010：98－101.

［11］Curran K，Lunney T，Noman A N M.Tamper detection for low cost RFID Tags：Using watermarking with chaotic mapping ［J］.International Journal of Engineering and Technology，2011 （1）：27－32.

［12］YE Tianyu，MA Zhaofeng.Strong robust watermarking technology ［J］.Beijing University of Posts and Telecommunications，2010，33 （3）：126－129 （in Chinese）.［葉天語，馬兆豐.強魯棒零水印技術(shù) ［J］.北京郵電大學(xué)學(xué)報，2010，33（3）：126－129.］

［13］Pedro Peris－Lopez，Julio Cesar Hernandez－Castro，Juan M Estevez－Tapiador，et al.LAMED－A PRNG for EPC class－1 generation－2RFID specification ［J］.Computer Standards and Interfaces，2009，31 （1）：88－97.