面向智慧園區(qū)的RFID系統(tǒng)信息安全認證方案

2016-11-30 03:15:06李榮榮寇建濤董剛唐良瑞

電信科學 2016年2期

關鍵詞：重傳閱讀器后臺

李榮榮，寇建濤，董剛，唐良瑞

（1.華北電力大學新能源電力系統(tǒng)國家重點實驗室，北京102206；2.國家電網公司客戶服務中心，天津300012；3.北京國電通網絡技術有限公司，北京100070）

電力信息化專欄

面向智慧園區(qū)的RFID系統(tǒng)信息安全認證方案

李榮榮1，寇建濤2，董剛3，唐良瑞1

RFID系統(tǒng)本身在設備身份認證及信息傳輸過程中存在眾多安全漏洞，且現(xiàn)有的RFID安全認證大多為重量級認證，必然會加重認證雙方的信息處理負擔，導致出現(xiàn)有效信息率低的問題。為此，對ARAP加以改進，提出了一種可靠的輕量級RFID系統(tǒng)信息安全認證協(xié)議（DARAP），該協(xié)議可以有效抵抗重傳、跟蹤、欺騙、克隆和去同步等多種攻擊手段，具有較高的安全性和實用性。

RFID；智慧園區(qū)；輕量級；DARAP

1 引言

射頻識別（radio frequency identification，RFID）是20世紀90年代興起并逐漸走向成熟的一種非接觸式的自動識別技術，它通過無線通信的方式自動識別和捕捉數據，以實現(xiàn)對象身份和信息的鑒定，在識別、跟蹤、定位等領域已得到廣泛應用。在智慧園區(qū)中使用RFID技術，可實現(xiàn)對園區(qū)人員的自動化管理識別、南北園區(qū)大量資產的有序便捷管理及維護，提高園區(qū)信息自動化管理水平。然而，RFID系統(tǒng)本身會存在一些隱私安全問題：一方面，由于RFID技術在標簽與閱讀器間采用無線傳輸方式，信道中傳輸的信息極易受到惡意攻擊，從而造成標簽敏感信息的泄露、篡改等問題，對園區(qū)信息安全造成巨大的威脅；另一方面，由于標簽和閱讀器的存儲空間及計算能力有限，在進行認證協(xié)議設計時，必須考慮到計算復雜度及效率問題。此外，在智慧園區(qū)系統(tǒng)中，客服人員身份識別和設備維護權限識別等大多采用無源標簽，其所處的硬件環(huán)境，如大門的數量和數據庫內存的大小，一般是有嚴格限制的，對消息進行復雜的加密算法來保證信息安全的傳統(tǒng)算法并不適用。為解決這些問題，亟需有效靈活的輕量級雙向安全認證方案來保證智慧園區(qū)信息的隱私和安全，為實現(xiàn)園區(qū)信息管理的高度自動化提供保障。

目前，國內外關于輕量級認證協(xié)議的研究已有一些成果，但都存在一定的缺陷和漏洞。Peris等人［1］曾提出一種輕量級雙向認證協(xié)議，但后續(xù)研究發(fā)現(xiàn)該協(xié)議無法抵御非同步攻擊與信息泄露攻擊［2］；參考文獻［3］介紹了另外一種基于SASI的輕量級算法來提供頑健的身份驗證，以保證信息的完整性，但也存在一些安全漏洞，如標簽的可追溯性、非同步性和信息外泄等問題；參考文獻［4-7］通過在特定場景下人為假設特定攻擊，對SASI協(xié)議的相關漏洞進行了驗證和說明；參考文獻［8］在SASI算法的基礎上，對其進行了改進，提出了一種Gossamer協(xié)議來彌補SASI算法的不足，但該算法仍然無法抵御參考文獻［6］中提及的非同步攻擊；參考文獻［9］介紹了一種針對輕量級協(xié)議的新型攻擊模式Tango，在不需要獲知雙方密鑰的情況下，通過巧妙地計算截獲信息中“0”、“1”總數及比率，可以達到恢復原始信息的目的。此外，大多協(xié)議設計時都忽略了來自系統(tǒng)內部的合法閱讀器之間的偽造和篡改問題。但是，在實際應用中，一旦攻擊者通過物理手段截獲合法閱讀器，它就可以直接獲取到后臺數據庫的全部信息，這必然對后臺數據中心的信息安全造成無法挽回的巨大損失。

基于以上分析，本文對ARAP進行了改進，提出了一種新型的RFID雙向安全認證協(xié)議——DARAP，通過標簽匿名來抵御標簽的跟蹤攻擊，并采用隨機數的方式保證信息的高度安全性與隱私性，具有很強的頑健性，可以抵御重傳、跟蹤、欺騙、克隆和去同步等多種攻擊手段，可為RFID系統(tǒng)提供可靠的雙向認證。

2 智慧園區(qū)中RFID系統(tǒng)漏洞分析

簡單的RFID系統(tǒng)主要由閱讀器、電子標簽和后臺數據庫3部分組成［10］，RFID系統(tǒng)的組成如圖1所示。其中電子標簽存儲其持有者的相關數據信息，由射頻芯片和天線構成，且具有全球唯一標識，即物理ID；閱讀器負責對標簽進行讀寫，分為只讀閱讀器和讀寫器；后臺數據庫的主要作用是存儲閱讀器和標簽的相關信息，并為標簽和讀寫器之間的認證過程提供服務。閱讀器與后臺數據庫間的通信一般認為是通過安全信道實現(xiàn)的，而標簽與閱讀器間的通信則是采用無線通信的方式，如射頻識別技術等。

圖1 RFID系統(tǒng)的組成

在分析智慧園區(qū)RFID系統(tǒng)安全漏洞時，本文首先建立了威脅模型［11］，并假設攻擊者可以完全控制閱讀器和標簽之間的通信內容。攻擊者既可以采用被動的攻擊方式進行攻擊，如竊聽、截取、轉發(fā)等；也可以采用主動的攻擊方式進行攻擊，如對讀寫器與標簽之間的通信內容進行篡改等。威脅模型如圖2所示，其中攻擊者可以獲取到標簽是否通過認證的信息，如園區(qū)客服人員在刷門禁卡時，往往可以通過門是否打開來判斷標簽認證是否成功；此外，部分標簽的密鑰可以通過物理破解的方式得到。

圖2 威脅模型

假設攻擊者是一個惡意的實體，其目的是通過監(jiān)聽或者直接與標簽通信的方式實施某些攻擊?？紤]到RFID系統(tǒng)在智慧園區(qū)中的具體應用，攻擊的形式包括假冒合法持卡者身份、跟蹤設備位置、竊取設備信息等，常見的攻擊類型有以下幾種［12］。

（1）竊聽

竊聽是指未授權者的無線通信接收設備，對標簽與閱讀器之間傳遞的數據進行監(jiān)視與記錄。當數據未被加密時，竊聽者可以很容易地截獲傳輸過程中的數據，甚至還可以篡改數據。被加密的數據同樣也存在被竊聽的危險，但相對會困難些。

（2）欺騙

欺騙是指攻擊者采用一種特殊功能模擬合法的RFID標簽或者閱讀器發(fā)送數據，從而獲取相關隱私數據以及向閱讀器或標簽發(fā)送虛假信息。要成功執(zhí)行欺騙攻擊，攻擊者必須預先知道RFID系統(tǒng)使用的協(xié)議及認證密碼。

（3）拒絕服務

攻擊者使用許多特殊設計的標簽同時向閱讀器發(fā)送大量會話請求，使閱讀器超出其處理能力，從而導致閱讀器崩潰，合法標簽也不能被識別，從而阻斷了標簽與閱讀器之間的正常通信。

（4）跟蹤

攻擊者在某個區(qū)域偽裝成多個閱讀器，向標簽發(fā)送相同的認證信息，如果標簽響應的信息也相同，攻擊者就可以通過判斷標簽出現(xiàn)的先后位置來跟蹤標簽的運動。采用假名替代真實的ID，且每次認證后對假名進行更新，可以有效地抵御跟蹤攻擊。

（5）克隆

盡管克隆和欺騙都是從一個合法標簽復制數據，但欺騙是模擬標簽數據的傳輸，而克隆則復制數據到攻擊者自己的標簽中，相當于產生了一個假冒的標簽，該標簽甚至可以侵入目的RFID系統(tǒng)，進行有計劃地攻擊。

（6）非法訪問

非法訪問是指攻擊者采用合法的讀寫器來獲取該讀寫器非管轄范圍內的標簽上的信息，但一般不會對標簽信息進行修改。如園區(qū)內某一部門的人員利用本部門的閱讀器去獲取非自己管轄范圍內的設備信息。

（7）重放

重傳攻擊主要包括2種：一種是攻擊者偽裝成標簽，重傳標簽對閱讀器的認證響應，從而獲取標簽的信任；另一種是攻擊者偽裝成閱讀器，重傳閱讀器對標簽的認證請求，使閱讀器誤以為其是合法的身份。常用的抵抗重傳攻擊的方法是時間戳和隨機數。

（8）去同步

在需要密鑰更新的RFID系統(tǒng)中，標簽端與讀寫器端、后臺數據庫端的密鑰更新應是同步進行的，但如果攻擊者通過一定的手段，使得標簽與二者之間的密鑰更新不同步，就會導致合法標簽、讀寫器及后臺數據庫互相不識別。攻擊者就可以利用該機會實施其他的攻擊，從而破壞RFID系統(tǒng)的安全。

3 新型RFID安全認證協(xié)議DARAP

3.1 協(xié)議模型

為了更好地理解協(xié)議的執(zhí)行過程，對該協(xié)議中采用的一些符號進行了定義和說明，相關符號定義及說明見表1。DARAP涉及3個認證實體，即識別器、標簽和后臺數據庫，且假設只有識別器可以與后臺數據庫進行通信。由于園區(qū)處于封閉狀態(tài)，信息的傳輸是在樓內及近距離樓宇間進行的，因此可將閱讀器（園區(qū)中應為識別器）與后臺數據庫間的信道視為安全信道，信息在本環(huán)節(jié)的傳輸被認為是安全的。但是識別器與標簽之間采用的是無線信道，雖然在門禁類系統(tǒng)中，門禁卡的識別屬于短距離非接觸式識別，無線信道的安全性可以忽略不計，只需要考慮門禁卡身份冒充及欺騙的問題即可，但對于其他一些遠程的信息識別及信息管理，必須重點考慮信息在無線信道中傳輸的安全性。

表1 相關符號定義及說明

在DARAP中，標簽不采用自己真實的ID，而是采用匿名的方式與識別器進行信息傳輸。但如果標簽使用的假名固定不變，該假名本質上已經等同于標簽的真實ID，標簽仍然無法抵御被動攻擊，如果對標簽設置動態(tài)的獨立假名，則可以有效地解決該問題。假設智慧園區(qū)內所有標簽共用一個假名庫和散列函數，標簽每次進行一個會話過程時，都會首先選取一個假名，同一個假名可以被不同的標簽同時使用。設假名P的長度為k bit，為保證園區(qū)內所有標簽的可區(qū)分性，規(guī)定每個假名都具有覆蓋值S，S=h（P⊕xT），其中xT為標簽的真實ID值，h（）為單向的散列函數，該函數可以將任何長度的信息映射為l bit。這樣就可以保證同一個假名在不同標簽的覆蓋值S是不同的。由于散列函數為單向函數，攻擊者通過捕獲到的假名信息來獲取標簽真實ID幾乎是不可能的。

此外，識別器需要與標簽采用相同的散列函數，后臺數據庫也必須包含標簽假名庫、每個識別器的真實ID值、每個標簽的真實ID值及相同的散列函數。其中，P與xT的長度都為k bit，S的長度為l bit，隨機數的長度也為k bit。為了抵御重放攻擊，每次會話任務時，標簽端的隨機數rT和識別器端的rR都要進行變化。

3.2 DARAP的描述

DARAP的認證過程如圖3所示。

圖3 DARAP的認證過程

（1）初始化：在標簽T的內存中存儲本標簽本次會話所需的假名P、真實ID標識xT以及h（）函數，識別器內存含有自身真實ID與同一個h（）函數，后臺數據庫中存儲所有標簽的真實ID、所有識別器的真實ID、假名數據庫以及同一個h（）函數。

（2）當識別器R感知到周圍存在標簽T時，即刻發(fā)起認證，識別器R產生隨機數rR，并連同request一起發(fā)送給標簽T。

（3）標簽T接收到來自識別器R的信息后，其隨機數發(fā)生器產生隨機數rT，然后利用內存中本標簽的xT進行如下運算：S=h（P⊕xT），M=h（rT⊕rR⊕P）⊕S，之后將rT、P、M一并發(fā)送給識別器R。

（4）識別器R收到標簽T返回的信息時，計算N=h（M⊕rT⊕xT⊕rR），之后將rT、rR、M、N發(fā)送給后臺數據庫，由后臺數據庫進行識別器R和標簽T身份的認證。

（5）后臺數據庫收到rT、rR、M、N后，首先驗證識別器R的合法性：計算N’=h（M⊕rT⊕xT⊕rR），判斷是否存在xR，使得N’=N，若不存在，本次認證失??；若存在，對標簽T進行認證：S’=h（P⊕xT），M’=h（rT⊕rR⊕P）⊕S’，判斷是否存在xT及P，使得M’=M，若不存在，則標簽T認證失?。蝗舸嬖?，標簽T認證成功，令N’=h（M’⊕S’），將N’發(fā)送給識別器R。

（6）識別器R接收到N’后，將其轉發(fā)給標簽T。

（7）標簽T根據內存信息計算N=h（M⊕S），并與接收到的N’比較，如果N=N’，則更新自己內存中的P和S，本次認證過程成功結束。

4 DARAP安全性分析

衡量一個RFID系統(tǒng)安全協(xié)議的優(yōu)劣，除了協(xié)議的復雜度及計算效率外，對各種攻擊的抵御能力也是至關重要的因素。在此，為了驗證本文提出的新協(xié)議DARAP的安全性，以智慧園區(qū)中常見的幾種攻擊類型為例加以分析說明，其中G為攻擊者，R為合法的識別器，T為合法標簽，BS為后臺數據庫，message＜R-T＞為R發(fā)給T的消息，message＜T-R＞為T發(fā)給R的消息。

（1）重放攻擊

G在上次會話過程中，截取到了message＜T-R＞，在本次會話過程中，T重新在假名庫里面選取新的假名P，且rT和rR的值也發(fā)生變化。G先阻斷本次的message＜T-R＞，然后向識別器發(fā)送上次會話中截獲的message＜T-R＞，該message＜T-R＞經過識別器轉發(fā)給BS，但由于本message＜T-R＞中的P及rT和rR跟上次是一樣的，因此BS根本無法搜索到滿足條件的T，本次會話過程即刻被終止。

（2）欺騙攻擊

由于G無法獲知共享的散列函數及假名庫P，G無法向R發(fā)送BS可以滿足識別格式條件的message＜T-R＞，因此無法擬造虛假信息欺騙T或者R，也不能獲取系統(tǒng)的信任以得到相關的隱私數據。

（3）跟蹤攻擊

T在每次會話任務時，采用的不是自己的真實ID值，而是從假名庫里選擇假名P來替代真實ID，并且即使某次選擇到了曾經使用過的假名P，假名的覆蓋值S、R產生的隨機數rR及T產生的隨機數rT也是不同的。因此，G無法通過向T發(fā)送相同的認證信息來跟蹤標簽的運動。

（4）克隆攻擊

由于G無法獲知T的真實ID、散列函數及假名庫P，因此G也就無法克隆出合法的標簽。即使克隆出了標簽，該標簽也會因與協(xié)議不符合而被系統(tǒng)識別出來，無法達到侵入目的RFID系統(tǒng)進行有計劃攻擊的目的。

（5）去同步攻擊

去同步攻擊針對的是T與BS信息更新不同步的問題，新協(xié)議的信息更新只在T中進行，每完成一次成功的會話過程，T就會在假名庫里面重新選取新的假名P。而對于后臺數據庫而言，不需要進行P的更新，即不需要對每次T所使用的假名P進行記錄，因為后臺數據庫是通過尋找T的ID并把假名庫里面的P都匹配一遍來完成對標簽T的認證的。

5 結束語

本文針對RFID系統(tǒng)在智慧園區(qū)中的具體應用，提出了一種新型輕量級雙向安全認證協(xié)議——DARAP。該協(xié)議通過引入假名庫和隨機數，定期對標簽假名進行更新，有效地抵御了跟蹤及去同步攻擊。此外，由于采用的是輕量級數據，新協(xié)議減輕了閱讀器及后臺數據庫的計算復雜度，在節(jié)約成本的基礎上，可抵抗包括重傳、跟蹤、欺騙、克隆和去同步等在內的多種攻擊手段，具有較高的安全性和實用性。

［1］PERIS-LOPEZ P，HERNANDEZ-CASTRO J C，TAPIADOR J ME，et al.M2AP：a minimalist mutual-authentication protocol for low cost RFID tags［J］.Lecture Notes in Computer Science，2006，4159（10）：912-923.

［2］LI T，WANG G.Security analysis of two ultra-lightweight RFID authentication protocols［C］/IFIP RC-11 International Information Security Conference，May 14-16，2007，Sandton，South Africa.Berlin：Springer US，2007：109-120.

［3］CHIEN H Y.SASI：a new ultra lightweight RFID authentication protocol providing strong authentication and strong integrity［J］.IEEE Transactions on Dependable and Secure Computing，2007，4（4）：337-340.

［4］CAO T，BERTINO E，LEI H.Security analysis of the SASI protocol［J］.IEEE Transactions on Dependable and Secure Computing，2009，6（1）：73-77.

［5］PHANR C W.Cryptanalysis of a new ultralight-weight RFID authentication protocol［J］.IEEE Transactions on Dependable and Secure Computing，2009，6（4）：316-320.

［6］SUN H M，TING W C，WANG K H.On the security of Chien’sultralight-weight RFID authentication protocol［J］.IEEE Transactions on Dependable and Secure Computing，2011，8（2）：315-317.

［7］ARCO P D，SANTISA D E.On ultralight-weight RFID authentication protocols［J］.IEEE Transactions on Dependable and Secure Computing，2011，8（4）：548-563.

［8］PERIS-LOPEZ P，HERNANDEZ-CASTRO J C，TAPIADOR J ME，et al.Advances in ultra lightweight cryptography for low-cost RFID tags：gossamer protocol［C］/International Workshop on Information Security Applications，September 23-25，2008，Jeju Island，Korea.Berlin：Springer US，2008：56-68.

［9］HERNANDEZ-CASTRO J C，PERIS-LOPEZ P，PHAN R C W，et al.Cryptanalysis of the david-prasad RFID ultralightweight authentication protocol［C］/International Workshop on Radio Frequency Identification：Security and Privacy Issues，June 8-9，2010，Istanbul，Turkey.Berlin：Springer US，2010：22-34.

［10］辛偉，郭濤，董國偉，等.RFID認證協(xié)議漏洞分析［J］.清華大學學報（自然科學版），2013，53（12）：1719-1725.XIN W，GUO T，DONG G W，et al.Vulnerability analysis of RFID authentication protocols［J］.Journal of Tsinghua University（Science and Technology），2013，53（12）：1719-1725.

［11］YAO D D.On the security of public-key protocols［J］.IEEE Transactions on Information Theory，1983，2（29）：198-208.

［12］丁治國，郭立，王昱潔.基于密鑰陣列的RFID安全認證協(xié)議［J］.電子與信息學報，2009，3（13）：722-726.DING Z G，GUO L，WANG Y J.An authentication protocol based on key array for RFID［J］.Journal of Electronics and Information Technology，2009，3（13）：722-726.

A security authentication scheme in RFID system for smart park

LI Rongrong1，KOU Jiantao2，DONG Gang3，TANG Liangrui1
1.State Key Laboratory of Alternate Electrical Power System with Renewable Energy Sources，North China Electric Power University，Beijing 102206，China
2.State Grid Customer Services Center，Tianjin 300012，China
3.Beijing GuoDianTong Network Technology Co.，Ltd.，Beijing 100070，China

There exist many security vulnerabilities in device’s identity verification and the information transmition through RFID system，the computations and procedures in the classical RFID authentication protocols are so complex that will impose processing burdens on the data base or readers，leading to the problem of low effective information rate.To solve the problem，an improvement of ARAP protocol which called DARAP was proposed to realize authentication in RFID system for smart park.The new protocol could effectively resist attacks of re-transmission，tracking，deception，cloning and de-synchronizationand，and it had high security and practicability.

RFID，smart park，lightweight，DARAP

TP393.08

10.11959/j.issn.1000-0801.2016067

2015-09-20；

2016-01-26