應(yīng)對密鑰攻擊的低成本RFID改進(jìn)安全協(xié)議*

楊 靈， 蔡旭燦， 吳 霆

(仲愷農(nóng)業(yè)工程學(xué)院 信息科學(xué)與技術(shù)學(xué)院， 廣州 510225)

隨著物聯(lián)網(wǎng)技術(shù)的快速應(yīng)用，物聯(lián)網(wǎng)安全問題日益突出，尤其是作為產(chǎn)品電子代碼(EPC)物理載體的低成本無源電子標(biāo)簽RFID(radio frequency identification)，其標(biāo)簽計(jì)算能力有限，要求門電路數(shù)量不超過2 000個(gè)[1-2]，而常用的SHA-256和MD5安全算法需要8 000～10 000個(gè)門電路，實(shí)現(xiàn)AES算法需要3 400個(gè)門電路[3-4]，這導(dǎo)致常用無線網(wǎng)絡(luò)傳輸安全算法無法使用RFID.為了推動低成本RFID的普及應(yīng)用，EPCglobal和ISO制定了EPC-C1G2標(biāo)準(zhǔn)，并被ISO接收為國際標(biāo)準(zhǔn)ISO18000-6C，但仍然存在一定的安全隱患[5]，業(yè)界也提出了一些安全認(rèn)證協(xié)議用于提高其安全性.

Weis等人[6]提出一種以metaID作為隨機(jī)密鑰來加密通信的安全認(rèn)證協(xié)議，即標(biāo)簽使用散列函數(shù)產(chǎn)生metaID，然后用metaID鎖定標(biāo)簽，響應(yīng)查詢.但由于對于同一標(biāo)簽，采用相同metaID來響應(yīng)查詢便可以通過獲取之前的會話信息來跟蹤標(biāo)簽，因此，該方法不能抵抗跟蹤攻擊.Dimitriou[7]提出了一種變更發(fā)送與接收密鑰的安全認(rèn)證協(xié)議，即為了解決標(biāo)簽克隆問題.在發(fā)送階段，該協(xié)議采用標(biāo)簽ID散列值來加密響應(yīng)信息，服務(wù)器在驗(yàn)證標(biāo)簽ID后，對標(biāo)簽ID散列值進(jìn)行更新，這樣發(fā)送階段與接收階段的標(biāo)簽ID散列值不一致，攻擊者無法對標(biāo)簽進(jìn)行克隆.但由于在會話中，標(biāo)簽的ID仍然固定，產(chǎn)生的隨機(jī)數(shù)可以被重復(fù)，因此，該方法還是可以被跟蹤.Karthikeyan等人[8]提出一種使用矩陣乘法來進(jìn)行加密通信的安全認(rèn)證協(xié)議，即標(biāo)簽和密鑰做矩陣乘法來加密響應(yīng)信息.由于通過矩陣值很難獲取矩陣被乘數(shù)或乘數(shù)，因此，攻擊者即使獲取會話信息，也很難進(jìn)行攻擊.但攻擊者可以發(fā)動暴力攻擊或者關(guān)鍵猜測攻擊，同時(shí)，攻擊者也可以利用會話信息進(jìn)行重放和跟蹤攻擊.Chien等人[9]提出了一種符合EPCGen-2接口標(biāo)準(zhǔn)的安全認(rèn)證協(xié)議，該協(xié)議在服務(wù)器存儲了新舊2份標(biāo)簽密碼，用舊密碼進(jìn)行認(rèn)證，認(rèn)證通過后，認(rèn)證密碼與ID散列值進(jìn)行計(jì)算得到新密碼，標(biāo)簽也可以使用同樣的方法得到新密碼，從而解決標(biāo)簽跟蹤問題.但是，攻擊者可以通過捕獲之前的通信信息獲得舊密碼，并與固定的ID散列值計(jì)算出新密碼，從而模擬服務(wù)器去欺騙標(biāo)簽.LO等人[5]提出通過每次對話都變更密鑰的方式來抵御重放攻擊，即每次對話時(shí)，服務(wù)器和標(biāo)簽都產(chǎn)生隨機(jī)數(shù)，與密鑰進(jìn)行散列、異或運(yùn)算，通過驗(yàn)證后利用隨機(jī)數(shù)變更新的密鑰，這樣就可以防止重放攻擊，而且服務(wù)器和標(biāo)簽都可以計(jì)算出相同的新密鑰，提高效率.

綜上所述，LO提出的協(xié)議安全性已經(jīng)相對完善，但在對其安全性進(jìn)行分析時(shí)，還是發(fā)現(xiàn)一些安全漏洞.本文將對該協(xié)議進(jìn)行改進(jìn)，提出了一種應(yīng)對密鑰攻擊的低成本RFID改進(jìn)協(xié)議，解決低成本RFID系統(tǒng)安全問題.

1 LO安全協(xié)議及漏洞分析

1.1 LO安全協(xié)議

為了更好地分析LO安全協(xié)議的安全性，找出協(xié)議漏洞，首先對該協(xié)議的過程進(jìn)行簡述.

定義各變量含義：DB為存儲器，Reader為RFID讀寫器，Tags為標(biāo)簽，EPCX為RFID標(biāo)簽保存的EPC編碼，KX為RFID標(biāo)簽保存密鑰，EPCXDB為RFID服務(wù)器數(shù)據(jù)庫保存的RFID標(biāo)簽EPC編碼，KXDB為RFID服務(wù)器數(shù)據(jù)庫保存的RFID標(biāo)簽密鑰，CRC為循環(huán)冗余校驗(yàn)，⊕為異或運(yùn)算符，“‖”為邏輯“或”運(yùn)算，flag代表上一次通信是否成功，“0”表示成功，“1”表示不成功，PRNG為偽隨機(jī)數(shù)發(fā)生器產(chǎn)生的數(shù)據(jù).

EPC C1G2安全協(xié)議分二種情況：一種是上一次通信成功，即flag=0；另一種是上一次通信失敗，即flag=1.當(dāng)flag=0時(shí)，協(xié)議認(rèn)證過程如圖1所示，具體流程如下：

1) 閱讀器產(chǎn)生一個(gè)隨機(jī)數(shù)N1，發(fā)送給標(biāo)簽.

3) 將N1、N2、M1、flag發(fā)送給后臺數(shù)據(jù)庫.

如果系統(tǒng)通過認(rèn)證，則進(jìn)行如下操作：

① 產(chǎn)生一個(gè)隨機(jī)數(shù)N3、N4；

③ 更新共享密鑰KXDB=PRNG(KXDB⊕N4)；

④ 通過安全通道發(fā)送M2、N3及對象數(shù)據(jù)給閱讀器.

5) 閱讀器接收到信息，它將繼續(xù)發(fā)送M2、N3給標(biāo)簽.在接收的過程中，標(biāo)簽將執(zhí)行如下操作：

① 計(jì)算M2⊕PRNG(KX+N3)；

③ 如果相等，則認(rèn)證成功，并更新密鑰KX=PRNG(KX⊕N4)，設(shè)置flag=0.

圖1 flag=0時(shí)認(rèn)證協(xié)議過程圖Fig.1 Process diagram of protocol authentication with flag=0

當(dāng)flag=1時(shí)協(xié)議認(rèn)證過程如圖2所示，具體流程如下：

1) 閱讀器產(chǎn)生一個(gè)隨機(jī)數(shù)N1，發(fā)送給標(biāo)簽.

3) 將N1、N2、M1、flag發(fā)送給后臺數(shù)據(jù)庫.

如果系統(tǒng)通過認(rèn)證，則進(jìn)行如下操作：

① 產(chǎn)生一個(gè)隨機(jī)數(shù)N3、N4；

③ 更新共享密鑰KXDB=PRNG(KXDB⊕N4)；

④ 通過安全通道發(fā)送M2、N3對象數(shù)據(jù)給閱讀器.

5) 閱讀器接收到信息，將繼續(xù)發(fā)送M2、N3給標(biāo)簽.在接收過程中，標(biāo)簽將執(zhí)行如下操作：

① 計(jì)算M2⊕PRNG(KX⊕N3)；

③ 如果相等，則認(rèn)證成功，并更新密鑰KX=PRNG(KX⊕N4)，設(shè)置flag=0.

圖2 flag=1時(shí)認(rèn)證協(xié)議過程圖Fig.2 Process diagram of protocol authentication with flag=1

1.2 協(xié)議漏洞分析

本節(jié)分析了一個(gè)有效的攻擊方法，它能夠恢復(fù)標(biāo)簽的EPCX和KX.該攻擊主要依據(jù)異或運(yùn)算法則：C⊕B⊕C=B.即已知A=B⊕C和C，可以通過計(jì)算B=C⊕A，很容易恢復(fù)B.根據(jù)該原理，可以通過捕獲N1、N2、M1，從而恢復(fù)PRNG(KX⊕N2)和EPCX.同時(shí)，攻擊者可以根據(jù)已知的PRNG(KX⊕N2)和N2，通過窮舉搜索計(jì)算出KX.當(dāng)flag=1時(shí)，先竊聽一次協(xié)議會話，并保存M1、M2、N1、N2、N3、flag等所有信息，攻擊者無需通過窮舉搜索就可以獲取KX.當(dāng)flag=0時(shí)，具體操作步驟如下：

1) 由(M1|31-16)⊕N2推算出PRNG(KX⊕N2)，其中，M1|31-16是M1從低位到高位的16位到32位；

2) 由PRNG(KX⊕N2)推算出Y；

4) 通過窮舉法找到i，使得PRNG(i)=PRNG·(KX⊕N2)，那么可由i⊕N2推算出KX，其中，?i=0，1，…，216-1；

5) 由M2|31-16⊕PRNG(KX⊕N3)推算出N4；

6) 由PRNG(KX⊕N4)推算出Kxnew；

7) 返回Kxnew、KX、EPCX.

當(dāng)flag=1時(shí)，具體操作步驟如下：

1) 由(M1|31-16)⊕N2推算出PRNG(KX⊕N2)；

2) 由PRNG(KX⊕N2)推算出Y；

3) 由M1|63-48⊕Y推算出KX；

5) 由M2|31-16⊕PRNG(KX⊕N3)推算出N4；

6) 由PRNG(KX⊕N4)推算出Kxnew；

7) 返回Kxnew、KX、EPCX.

綜上所述，密鑰泄露攻擊的復(fù)雜度是竊聽一次閱讀器和標(biāo)簽完整會話，同時(shí)通過窮舉法找到i，最多不超過216PRNG函數(shù)的運(yùn)算時(shí)間，成功率為100%.

2 協(xié)議改進(jìn)算法

結(jié)合RFID無線通信的線路不安全和RFID標(biāo)簽計(jì)算能力低的實(shí)際情況，安全認(rèn)證協(xié)議主要考慮以下3個(gè)方面：首先是標(biāo)簽EPCX、KX要與服務(wù)器EPCXDB、KXDB匹配；其次是每次通信后，雙方的密鑰必須按照同一規(guī)則更新；最后是不能采用高運(yùn)算能力的加密算法.因此，本協(xié)議采用PRNG(KX⊕N2)與EPCX、KX進(jìn)行異或運(yùn)算來模糊閱讀器和標(biāo)簽之間的傳輸，采用KXDB=PRNG(KXDB⊕N4)來更新密鑰，并用隨機(jī)數(shù)N1、N2來表明閱讀器、標(biāo)簽的身份，防止重放攻擊.但通過對LO協(xié)議漏洞分析可知，攻擊者可以通過異或運(yùn)算法則，即通過捕獲N1、N2、M1計(jì)算出KX和EPCX.其中，隨機(jī)數(shù)N2是攻擊漏洞的關(guān)鍵：一方面是在計(jì)算EPCX時(shí)，可以通過N2計(jì)算出PRNG(KX⊕N2)；另一方面是計(jì)算KX過程中，可以通過N2按照公式N2⊕KX⊕N2=KX計(jì)算出KX.為了保證通信安全，本文將N2隱藏在M2=f(EPCX)⊕N2中進(jìn)行傳輸，在服務(wù)器上，根據(jù)C⊕B⊕C=B，重新獲取N2.當(dāng)flag=0時(shí)，改進(jìn)協(xié)議過程圖如圖3所示，具體過程如下：

1) 閱讀器產(chǎn)生一個(gè)隨機(jī)數(shù)N1，在通信范圍內(nèi)進(jìn)行廣播.

3) 閱讀器將M1、M2、N1、flag發(fā)送給后臺數(shù)據(jù)庫.

① 產(chǎn)生隨機(jī)數(shù)N3、N4；

③M4=f(EPCX)⊕N3；

④ 更新共享密鑰KXDB=PRNG(KXDB⊕N4)；

⑤ 通過安全通道發(fā)送M3、M4給閱讀器.

5) 閱讀器接收到信息，它將繼續(xù)發(fā)送M3、M4給標(biāo)簽.在接收的過程中，標(biāo)簽將執(zhí)行如下操作：

① 計(jì)算N3=f(EPCXDB⊕M4)；

② 計(jì)算M3⊕PRNG(KX⊕N3)；

④ 如果相等，則認(rèn)證成功，并更新密鑰KX=PRNG(KX⊕N4)，設(shè)置flag=0.

當(dāng)flag=1時(shí)，改進(jìn)協(xié)議過程圖如圖4所示，具體過程如下：

1) 閱讀器產(chǎn)生一個(gè)隨機(jī)數(shù)N1，發(fā)送給標(biāo)簽.

2) 標(biāo)簽將M1、M2、flag發(fā)送給閱讀器.

3) 將N1、M1、M2、flag發(fā)送給后臺數(shù)據(jù)庫.

① 產(chǎn)生一個(gè)隨機(jī)數(shù)N3、N4；

③M4=f(EPCX)⊕N3；

④ 更新共享密鑰KXDB=PRNG(KXDB⊕N4)；

⑤ 通過安全通道發(fā)送M3、M4給閱讀器.

5) 閱讀器接收到信息，它將繼續(xù)發(fā)送M3、M4給標(biāo)簽.在接收的過程中，標(biāo)簽將執(zhí)行如下操作：

① 計(jì)算N3=f(EPCXDB)⊕M4；

② 計(jì)算M3⊕PRNG(KX⊕N3)；

圖3 flag=0時(shí)改進(jìn)協(xié)議過程圖Fig.3 Process diagram of improved protocol with flag=0

④ 如果相等，則認(rèn)證成功，并更新密鑰KX=PRNG(KX⊕N4)，設(shè)置flag=0.

圖4 flag=1時(shí)改進(jìn)協(xié)議過程圖Fig.4 Process diagram of improved protocol with flag=1

3 協(xié)議安全性及性能分析

3.1 協(xié)議安全性分析

3.1.1 重放攻擊

重放攻擊[1]主要是攻擊者將之前捕獲的標(biāo)簽響應(yīng)或者閱讀器查詢進(jìn)行重放，從而欺騙閱讀器或者標(biāo)簽.本協(xié)議通過改變通信信息中的隨機(jī)數(shù)來防御重放攻擊.

首先，在本協(xié)議中，當(dāng)標(biāo)簽、讀寫器、服務(wù)器之間通信時(shí)，包含了N1、N2、N3等隨機(jī)數(shù)，每次通信結(jié)束后都會產(chǎn)生新的隨機(jī)數(shù)，而攻擊者重放信息中的隨機(jī)數(shù)是舊隨機(jī)數(shù)，這樣閱讀器可以通過比較新舊隨機(jī)數(shù)來判斷是否為無效信息，因此，重放標(biāo)簽的響應(yīng)是沒有用的.其次，因?yàn)闃?biāo)簽接收的數(shù)據(jù)M2會包含標(biāo)簽自己產(chǎn)生的隨機(jī)數(shù)N2，故只需將接收到的隨機(jī)數(shù)與之前發(fā)出的隨機(jī)數(shù)進(jìn)行比較即可判斷是否需要發(fā)出響應(yīng)，重放閱讀器的查詢并沒有效果.

3.1.2 跟蹤攻擊

本協(xié)議能夠有效抵御跟蹤攻擊.首先，雖然傳送的信息M1、M2、M3、M4包含了EPCX，但信息均采用了加密方式，攻擊者無法獲取標(biāo)簽的EPCX，這樣攻擊者就無法誘使標(biāo)簽發(fā)送響應(yīng)信息.其次，即使標(biāo)簽的EPCX泄露，但由于每次通信過程都會包含不同的隨機(jī)數(shù)，標(biāo)簽或者服務(wù)器可以通過匹配隨機(jī)數(shù)來判斷是否是合法信息，從而有效解決標(biāo)簽跟蹤問題.最后，即使某個(gè)標(biāo)簽信息泄露，攻擊者獲取了通信密鑰，由于本協(xié)議已經(jīng)保存新舊二份密鑰，每次通信都會對密鑰進(jìn)行更新，攻擊者無法獲得之前通信的通信密鑰，也就無法捕獲之前的標(biāo)簽位置信息.

3.1.3 竊聽攻擊

根據(jù)Shannon理論，傳輸數(shù)據(jù)與隨機(jī)數(shù)進(jìn)行異或運(yùn)算可以很好地對傳輸數(shù)據(jù)進(jìn)行加密，如果攻擊者無法獲得隨機(jī)數(shù)，則不能獲得傳輸數(shù)據(jù).在本協(xié)議中，需傳輸?shù)男畔1、M2分別與PRNG·(EPCX⊕N2)、PRNG(EPCX⊕N3)進(jìn)行異或運(yùn)算，而每次傳輸數(shù)據(jù)中的隨機(jī)數(shù)N2、N3都不同，這樣攻擊者即使捕獲了通信數(shù)據(jù)，也無法獲取隨機(jī)數(shù)N2、N3，也就無法得到傳輸數(shù)據(jù)，因此，本協(xié)議可以有效抵御竊聽攻擊.

3.1.4 DoS攻擊

本協(xié)議通過設(shè)置flag位來抵御DoS攻擊，當(dāng)前一次通信成功時(shí)，flag=0，M1=PRNG(KXDB⊕N2)，當(dāng)flag=1時(shí)，M1=PRNG(EPCXDB⊕N2).由于EPC是不變化的，即使被攻擊者異常打斷，也可以重新更新共享密鑰KX；即使某個(gè)標(biāo)簽泄露，其存儲在標(biāo)簽上的密碼數(shù)據(jù)被攻擊者獲得，但由于共享密鑰正常進(jìn)行更新，攻擊者仍然不能追溯到泄露標(biāo)簽的軌跡.

3.2 性能分析

由于本協(xié)議是為被動式RFID標(biāo)簽設(shè)計(jì)，所以必須提高安全算法的性能，以適應(yīng)被動式RFID標(biāo)簽運(yùn)算能力低、存儲空間小的實(shí)際情況，本文從計(jì)算能力和存儲空間二個(gè)方面進(jìn)行分析.

3.2.1 存儲空間

本協(xié)議存儲空間的要求有兩類[10-11]：一類是標(biāo)簽所需存儲空間，在標(biāo)簽上需要存儲動態(tài)密鑰KX和標(biāo)識EPCX，因此，標(biāo)簽所需的存儲空間為EPCX和KX的長度，一般為128 bit；另一類是服務(wù)器所需存儲空間，服務(wù)器上需要存儲每個(gè)標(biāo)簽的[EPCXDB，KXDB]，則服務(wù)器的最小存儲空間為N×128 bit.因此，本協(xié)議對服務(wù)器存儲空間要求隨著標(biāo)簽數(shù)量的增加而增加，對標(biāo)簽的存儲空間要求是固定的，滿足低成本標(biāo)簽的要求.

3.2.2 計(jì)算能力

本協(xié)議中，CRC、散列函數(shù)等復(fù)雜函數(shù)運(yùn)算的次數(shù)是統(tǒng)計(jì)計(jì)算能力的主要參數(shù)指標(biāo)[12-13]，因此，對Dim、Chien以及本協(xié)議復(fù)雜函數(shù)各階段的計(jì)算次數(shù)進(jìn)行了統(tǒng)計(jì)，對比情況如表1所示，表中k為整數(shù)，且1≤k≤2n，n為標(biāo)簽的個(gè)數(shù).

表1 各階段計(jì)算能力需求表Tab.1 Computing capacity requirements at each stage

綜上所述，本協(xié)議在服務(wù)器運(yùn)算能力需求與Dim、Chien協(xié)議是相同的，但在標(biāo)簽計(jì)算能力需求比Dim、Chien協(xié)議更低.

4 結(jié) 論

本文對業(yè)界提出的一些典型的安全協(xié)議進(jìn)行分析，發(fā)現(xiàn)其安全漏洞，并在LO所提出協(xié)議基礎(chǔ)上，提出了一種安全、高效、實(shí)用且能適用于低成本RFID系統(tǒng)的雙向認(rèn)證協(xié)議.本協(xié)議通過在服務(wù)器上保存每個(gè)標(biāo)簽新、舊標(biāo)識，有效地解決了服務(wù)器和標(biāo)簽的同步問題.通過對協(xié)議的可行性、安全性及性能3方面進(jìn)行分析可知，該協(xié)議切實(shí)可行、安全性高、性能優(yōu)良，適合低成本RFID系統(tǒng).