苑津莎，李亞，李梅燕

（華北電力大學電子與通信工程系，保定071003）

0 引言

現(xiàn)有的物聯(lián)網(wǎng)環(huán)境只是單一用戶管理，不允許其他用戶或組織操作的私有環(huán)境[1]，即封閉式物聯(lián)網(wǎng)。本文提出一種公共環(huán)境物聯(lián)網(wǎng)，公共環(huán)境物聯(lián)網(wǎng)是指多用戶數(shù)據(jù)資源存儲在同一物聯(lián)網(wǎng)環(huán)境中，是一個多用戶資源的開放的物聯(lián)網(wǎng)環(huán)境。本文以藥品信息物聯(lián)網(wǎng)為例，多個藥品制造商把數(shù)據(jù)資源存儲在同一物聯(lián)網(wǎng)環(huán)境中，以滿足不同用戶對藥品信息真?zhèn)尾樵兊刃枨蟆?/p>

目前我國藥品防偽方式存在有：標識防偽、條形碼防偽、包裝結(jié)構防偽以及油墨印刷防偽等幾種[2]。利用條形碼對藥品防偽是條形碼功能之一。當前市場上流通的藥品都已經(jīng)采用條形碼技術，然而條碼技術存在著易復制的缺點，因此利用條形碼進行防偽目前并沒有得到廣泛認可。而隨著低成本RFID 標簽的不斷出現(xiàn)，商品防偽已被視為RFID 最具潛力的應用領域[3-4]。文獻[5]等利用RFID 技術設計了多功能防偽系統(tǒng)，但其僅僅依靠RFID 讀寫技術無法對仿制的標簽進行辨識。文獻[6]等引入了加密算法提高系統(tǒng)的安全性，但其使用的對稱加密算法，高強度的對稱加密算法難以在低成本的RFID 標簽中實現(xiàn)。

為此，本文設計了藥品信息公共環(huán)境物聯(lián)網(wǎng)XML模型，并且把基于非對稱密鑰和Hash 函數(shù)的雙向認證協(xié)議（AKHF）[7]和基于哈希函數(shù)的物聯(lián)網(wǎng)三方安全認證協(xié)議[8]應用在藥品真?zhèn)握J證中，設計了藥品真?zhèn)握J證方案。

1 藥品信息物聯(lián)網(wǎng)XML模型設計

XML 概念數(shù)據(jù)模型是直接面向用戶的需求信息結(jié)構，是對各種對象和復雜關系的直觀描述。本文采用Aspect-Oriented Modeling（AOM）新型建模方法，并使用Power Designer 模型設計工具建立基于XML 的藥品信息模型。由AOM 概念數(shù)據(jù)建模方法得到的XML 模型，根據(jù)公共環(huán)境物聯(lián)網(wǎng)中用戶的訪問權限對XML 模型進行調(diào)整，圖1 的XML 模型中，從“批準藥”分離出“廠家銷售信息”，包括“出廠價”、“庫存”等便于訪問控制。此外，訪問的主體一般有管理員、經(jīng)銷商、普通用戶等，為了方便各主體對藥品信息的訪問控制，使訪問主體擁有訪問權限的藥品信息在XML 樹狀結(jié)構中處于一條“枝干”，故而將“生產(chǎn)廠家”節(jié)點與“尼斯藥品類”節(jié)點調(diào)換位置。

為了增加藥品認證功能，圖1 中增加了“閱讀器信息”和“標簽信息”，其中電子監(jiān)管碼（追溯碼）與標簽ID相對應。

圖1 藥品物聯(lián)網(wǎng)XML模型圖

2 基于RFID的藥品真?zhèn)悟炞C方案

2.1 藥品RFID標簽

標簽內(nèi)信息包括標簽唯一ID 值和認證數(shù)字串num。標簽生產(chǎn)廠商售出標簽的同時，會向藥品生產(chǎn)廠商管理員提供包括標簽ID 和認證數(shù)字串的數(shù)據(jù)。

在藥品生產(chǎn)完成后管理員要給每一個藥品標簽在數(shù)據(jù)庫中建立電子身份檔案，包括標簽唯一標識符ID、加密后的藥品信息（藥品名稱、生產(chǎn)批號、生產(chǎn)日期、有效期、劑型、規(guī)格、使用方法等信息）、公鑰加密后的標簽認證數(shù)字串等信息。藥品信息在上傳階段，應用服務器會提供一個專門的接口，當藥品生產(chǎn)廠商管理員需要上傳藥品信息時，先通過身份認證和登錄系統(tǒng)，然后通過接口將藥品信息傳至物聯(lián)網(wǎng)服務器。

2.2 藥品認證協(xié)議

由于藥品銷售的主要地點是醫(yī)院和零售藥店，因此在醫(yī)院和藥店可以設置專門的RFID 閱讀器，連接藥品信息公共環(huán)境物聯(lián)網(wǎng)EPC-IS 數(shù)據(jù)系統(tǒng)進行認證。經(jīng)銷商進行藥品入庫時，也可以通過相同的途徑查詢其是否為假藥，這樣就防止了藥品在運輸過程中被掉包的可能。

一般情況下，閱讀器與EPC-IS 數(shù)據(jù)系統(tǒng)之間為有線連接，安全措施相對完善，標簽和閱讀器之間的為無線連接，其通信信道是公開的，攻擊者可通過通信過程讀取標簽中的信息，并復制到其他RFID 標簽中，從而達到偽造的目的。

本文針對不同情況，采用兩種方法認證，一種是基于哈希函數(shù)的物聯(lián)網(wǎng)三方安全認證方法。另一種是非對稱密鑰AKHF 協(xié)議?；诠：瘮?shù)的物聯(lián)網(wǎng)三方安全認證協(xié)議對標簽、閱讀器、應用服務器三方認證，確保藥品信息的有效認證。AKHF 協(xié)議采用標簽和閱讀器雙向認證的方式驗證相互身份，并通過非對稱密鑰對認證數(shù)字加密的方式保證了私密數(shù)據(jù)在公共環(huán)境物聯(lián)網(wǎng)存儲的安全。

2.3 基于哈希函數(shù)的三方認證方法的藥品認證

（1）認證數(shù)字加密

認證數(shù)字代表的是藥品標簽中與藥品相關聯(lián)的字符串，除了標簽中認證數(shù)字，數(shù)據(jù)庫中也存放著藥品認證數(shù)字。在認證階段，閱讀器通過數(shù)據(jù)庫返回的認證數(shù)字num 的哈希運算值，并與標簽返回的num 哈希運算值比較，從而判斷標簽真?zhèn)巍?/p>

由于認證數(shù)字num 是進行藥品信息真?zhèn)握J證的關鍵信息，雖說藥品信息公共環(huán)境物聯(lián)網(wǎng)設有訪問控制措施，但直接將標簽認證數(shù)字存放至公共環(huán)境物聯(lián)網(wǎng)數(shù)據(jù)庫中仍有危險，如果被其他人員訪問到，或者一旦有人非法入侵數(shù)據(jù)庫，則會造成數(shù)據(jù)泄漏的威脅。文獻[8]中的基于哈希函數(shù)的物聯(lián)網(wǎng)三方認證方法對認證數(shù)字是沒有加密的。因此，在藥品信息存儲至數(shù)據(jù)庫之前需要對其中的認證數(shù)字進行加密。本文利用藥品信息物聯(lián)網(wǎng)的應用服務器對其進行加解密運算，密鑰存儲在應用服務器中。一旦藥品廠商管理員上傳藥品信息時，應用服務器會對認證數(shù)字部分進行加密，加密完成后將藥品信息傳至數(shù)據(jù)庫。如果消費者請求進行真?zhèn)握J證，數(shù)據(jù)庫將存儲的相關信息傳至應用服務器，應用服務器先利用密鑰對加密的認證數(shù)字解密，再進行相關運算判斷真?zhèn)?。由于加解密運算都是在應用服務器中運行，所以只須利用對稱加密算法即可保證信息安全。

（2）基于哈希函數(shù)的物聯(lián)網(wǎng)三方認證方法認證過程

協(xié)議中用到的符號定義如表1 所示。

表1 符號說明

安全認證之前標簽應存儲的信息：TID，Tnum，M；閱讀器應存儲的信息：RID，Rnum；應用服務器應存儲的信息：L；EPC-IS 數(shù)據(jù)庫應存儲的信息：TID，RID，DTnum，DRnum，DM；具體過程見圖2。

圖2 中Tag 表示標簽，Reader 表示閱讀器，As 表示應用服務器，DB 表示EPC-IS 數(shù)據(jù)庫。

協(xié)議詳細認證步驟如下：

步驟1 應用服務器認證閱讀器和標簽

步驟1.1 閱讀器向藥品標簽發(fā)送Request 請求，產(chǎn)生隨機數(shù)r1并傳給標簽；

步驟1.2 標簽根據(jù)閱讀器命令產(chǎn)生隨機數(shù)r2，將Tnum 和隨機數(shù)r2與r3進行Hash 運算H1=h（Tnum‖r1‖r2），并將計算結(jié)果H1、隨機數(shù)r2和標簽TID 發(fā)送給閱讀器；

步驟1.3 閱讀器根據(jù)標簽發(fā)送的H1和閱讀器的Rnum 進行Hash 運算H2＝h（Rnum‖H1），并將計算結(jié)果H2，RID，TID 和隨機數(shù)r1與r2發(fā)送給應用服務器；

步驟1.4 應用服務器將RID 和TID 發(fā)送給數(shù)據(jù)庫服務器進行檢索；

步驟1.5 數(shù)據(jù)庫服務器根據(jù)TID 和RID 的數(shù)值在數(shù)據(jù)庫中檢索到與之相對應的DTnum，DM 和DRnum并返回給應用服務器；

步驟1.6 應用服務器對DTnum，DM 和DRnum 進行解密得到Tnum、M、Rnum，并計算H=h（（Rnum‖h（Tnum‖r1‖r2））），比較H 值和H2值是否相等，若相等，則認證此藥品標簽和閱讀器合法，既藥品得到認證，根據(jù)用戶的需要決定是否將藥品信息M 傳送給閱讀器；若不相等或者數(shù)據(jù)庫未檢索出結(jié)果，則認證失敗，返回閱讀器此藥品標簽認證失敗信息。

步驟2 標簽認證閱讀器和服務器

圖2 基于哈希函數(shù)物聯(lián)網(wǎng)三方認證協(xié)議的方案

步驟2.1 應用服務器產(chǎn)生隨機數(shù)r3，并對解密后Tnum、Rnum 與r3進行計算H3=h（Tnum‖h（Rnum‖r3）），隨后將r3和H3發(fā)送給閱讀器；

步驟2.2 閱讀器計算H4=h（Rnum‖r3）值，將H3、H4、r3發(fā)送給標簽；

步驟2.3 標簽根據(jù)發(fā)送過來的數(shù)據(jù)信息進行計算H＝h（Tnum‖H4），并對H3與H 進行比較，相等則閱讀器和服務器認證成功，不相等則認證失敗，此認證過程結(jié)束。

步驟2 可以認證閱讀器和藥品信息物聯(lián)網(wǎng)服務器，但并非必須的，如認為藥品信息物聯(lián)網(wǎng)是可信的，則可省略該步驟。

2.4 基于AKHF協(xié)議藥品真?zhèn)握J證

文獻[7]的AKHF 協(xié)議中，數(shù)據(jù)庫存儲的是經(jīng)過加密處理的標簽TID、Tnum，則不必考慮數(shù)據(jù)庫中的認證數(shù)字的加密問題，但必須藥品標簽和閱讀器同時合法才能驗證成功。

安全認證之前標簽應存儲的信息：DTID，Tnum，M；閱讀器應存儲的信息：L，L-1；應用服務器應存儲的信息：L；EPC-IS 數(shù)據(jù)庫應存儲的信息：TID，DTnum，M

步驟1 應用服務器認證標簽

步驟1.1 當藥品標簽進入到閱讀器射頻作用范圍內(nèi)，閱讀器發(fā)送請求Request 給標簽；

步驟1.2 藥品標簽收到閱讀器的請求后，生成隨機數(shù)r1，計算H=h（Tnum‖r1），并把DTID，r1，H 發(fā)送給閱讀器；

步驟1.3 閱讀器收到信息后用存儲的私鑰L-1對DTID 進行解密，得到藥品標簽TID，并發(fā)送TID，r1，H給服務器；

步驟1.4 服務器把TID 發(fā)送給EPC-IS 數(shù)據(jù)庫；

步驟1.5 EPC-IS 根據(jù)TID 查找相對應的信息｛DTnum，M｝并發(fā)送給服務器；

步驟1.6 服務器對DTnum 進行解密得到Tnum，計算H1=H（Tnum‖r1），并比較H1、H 是否相等，若相等，則此藥品標簽合法，完成認證。若不相等，此藥品標簽非法，終止會話；

步驟2 標簽認證應用服務器

步驟2.1 應用服務器產(chǎn)生隨機數(shù)r2，并對解密后Tnum 與r2進行計算H2=h（Tnum‖r2），隨后將r2和H2發(fā)送給閱讀器；

步驟2.2 閱讀器將H2、r2發(fā)送給標簽；

步驟2.3 標簽根據(jù)發(fā)送過來的數(shù)據(jù)信息進行計算H3＝h（Tnum‖r2），并對H3與H2進行比較，相等則應用服務器認證成功，不相等則認證失敗，此認證過程結(jié)束。

3 協(xié)議安全性證明

GNY 邏輯是對BAN 邏輯方法的一種改進，不僅繼承了BAN 邏輯的優(yōu)點，例如其易于擴展、簡單等[9]。同時又取消了一些全局假設，新增了一些邏輯規(guī)則，使用范圍也得到了更加廣泛的應用[10]。因此，本文利用GNY 邏輯對協(xié)議進行證明。

圖3 基于AKHF協(xié)議的方案

GNY 邏輯分析過程包括以下步驟：

（1）按照GNY 分析方法，分析協(xié)議的基本邏輯表示方式。將安全認證協(xié)議的模型進行理想化。

（2）對協(xié)議進行初始化假設，并給出協(xié)議在初始化階段必須滿足的一些基本條件。

（3）根據(jù)推理規(guī)則對協(xié)議進行形式化分析，最終推斷出目標是否可行。若達到預期目標則該認證協(xié)議是安全可行的。

GNY 邏輯的基本符號和推理規(guī)則：

（1）基本語法說明：

P ?*X：P 是公式X 的接受者，但不是公式X 的首發(fā)者，P 是第一次接收到X。

P ?X ：主體P 被告知X，X 既可以是消息本身，也可以是經(jīng)過一定計算后的內(nèi)容。

P ?X：主體P 擁有公式X。

P|～X ：主體P 曾經(jīng)在過去的某個時刻傳遞過公式X。

P|≡Φ(X)：主體P 相信X 是可以被識別的。

P|≡#(X)：表示主體P 信任公式X 的新鮮性，即在此之前，P 都沒有使用過X。

P|≡P?SQ：S 表示的是密鑰，此語法代表的是主體P 相信S 是P 和Q 獨有的共享密鑰。即S 僅能被P、Q 擁有，不會被除此之外的第三方獲取。

（2）本文用到的基本邏輯推理公式說明：

基于GNY 邏輯的三方認證協(xié)議安全性證明：

為了便于描述，把應用服務器和公共環(huán)境物聯(lián)網(wǎng)EPC-IS 數(shù)據(jù)庫作為一個整體，統(tǒng)稱為公共環(huán)境物聯(lián)網(wǎng)應用服務器As，標簽、閱讀器分別簡稱為T、R。

對協(xié)議做出的初始化假設如下：

A1：T ?TID

A2：T ?Tnum

A3：T ?h()

A4：T|≡#(ri)

A6：R ?RID

A7：R ?Rnun

A8：R ?h()

A9：R|≡#(ri)

A11：As ?L

A12：As ?h()

A13：As|≡#(ri)

A16：As|≡#(Tnum)

A17：As|≡#(Rnum)

本協(xié)議的理想化模型：

M1：R→T：Request，r1

M2：T→R：TID，r2，H1

M3：R→As：RID，TID，r1，r2，H2

M4：As→R：r3，H3

M5：R→T：r3，H3，H4

將上述理想化模型中的M1-M10 轉(zhuǎn)化為邏輯語言規(guī)范化為：

M1：T ?*Request，*r1

M2：R ?*TID，*r2，*H1

M3：As ?*RID，*TID，*r2，*r3，H2

M4：R ?*r3，*H3

M5：T ?*r3，*H3，*H4

協(xié)議的證明目標：

G1：As|≡T|～#(H1)

G2：As|≡R|～#(H2)

G3：T|≡As|～#(H3)

G4：T|≡R|～#(H4)

協(xié)議的證明過程如下：

（1）根據(jù)M2：As ?*RID,*r1,*H1，由被告知規(guī)則T1可 得 到 As ?RID,r1,H1，由 擁 有 規(guī) 則T3 可 得 到As ?RID,r1,H1。 由 識 別 規(guī) 則 R6 可 得 到As|≡Φ(Rnum,r1)，又由A13、A17，和新鮮性規(guī)則F10 可推出As|≡#(H1)，上述已推出As ?h(Rnum‖r1)，即等價于，又由A14 和消息解釋規(guī)則I1 可推出As|≡T|～#(H1)。

（2）根據(jù)M5：As ?*RID,*TID,*r2,*r3,*H3，由被告知規(guī)則T1 可得到As ?RID,TID,r2,r3,H3，由擁有規(guī)則P1 可 得 到As ?r2,r3,H3。因H3＝h（Rnum‖H2）=h（（Rnum‖h（Tnum‖r2‖r3）），由擁有規(guī)則P2 可得到As ?H2，由被告知規(guī)則得到As ?H2，由A13 和新鮮規(guī)則F1 可得到As|≡#(H2)，由A14: As|≡R ?RnumAs 和消息解釋規(guī)則I3 可推出As|≡R|～#(H2)。

同理，G3、G4 的證明過程與上述證明過程類似，此處將不再贅述。因此，由上述證明可知，基于哈希函數(shù)的物聯(lián)網(wǎng)三方認證協(xié)議的方案在滿足假設的前提下，標簽、閱讀器、公共環(huán)境物聯(lián)網(wǎng)應用服務器三方之間可以得到有效地相互認證。而在基于AKHF 的方案中，也是要證明通信雙方在相互認證過程中的安全性。由于證明過程和上述證明過程相同，將不再敘述。

4 安全性能分析

方案的安全性能既要考慮認證過程中消息的安全傳輸又要保證隱私信息不被泄露。為進一步證明系統(tǒng)的安全性，并考慮到實際情況中，系統(tǒng)可能遭受到的攻擊手段，接下來從可抗攻擊類型對協(xié)議進行安全分析。

4.1 抗重放攻擊

在基于哈希函數(shù)的物聯(lián)網(wǎng)三方認證協(xié)議認證過程中，即使通過已監(jiān)聽信息偽裝成合法標簽與閱讀器進行通信，但因閱讀器每次生成的隨機數(shù)都是隨機的,也無法認證成功。而在基于AKHF 方案中，標簽ID 值加密，即使被截獲，沒有正確密鑰也無法解密，所以即使想復制其ID 值制造假冒標簽也無法實現(xiàn)。并且，方案認證過程中即便被重放攻擊干擾中斷，并不影響認證的正確性，可在適時重新進行認證。

4.2 抗竊聽攻擊

由于閱讀器與標簽之間信息傳輸是通過無線通信傳遞，其信道容易遭受竊聽攻擊。在基于哈希函數(shù)物聯(lián)網(wǎng)三方認證方案中，標簽和閱讀器傳輸?shù)臄?shù)據(jù)類型包括2 類。第1 類隨機數(shù)ri的傳輸，由于其隨機性，即使截獲到某次隨機數(shù)對攻擊者也沒有用處。第2 類計算結(jié)果H、標簽TID，H 值分別通過HASH 運算的數(shù)值，通過此數(shù)值并不能推斷出算法的邏輯關系，且每次的隨機數(shù)都不同，也獲取不到有效信息。而標簽TID，即使對ID 值進行了非法復制，沒有與之對應的Tnum值，也無法完成認證。而在AKHF 中，標簽和閱讀器傳輸數(shù)據(jù)分別為步驟1.2、2.2 三次。步驟1.2 是DTID 的傳送，但由于方案采用對TID 值加密，沒有正確密鑰也無法解密。步驟2.2 包括隨機數(shù)和H（Tnum‖r2）計算過的H2傳輸，對于此兩種值，上面也已做分析，此處不作解釋。

4.3 抗位置跟蹤

藥品信息公共環(huán)境物聯(lián)網(wǎng)的信息資源查詢或認證通常是一次性操作，并沒有涉及到被跟蹤的問題。

4.4 雙向認證

在基于AKHF 方案中，步驟2 完成反向認證，閱讀器對DTID 進行解密得到TID，并將標簽TID 值傳輸給應用服務器，應用服務器通過標簽認證數(shù)字和隨機數(shù)的哈希計算H1=H（Tnum‖r1）與標簽計算的H 值比較進行雙向認證?；诠：瘮?shù)物聯(lián)網(wǎng)三方認證方案中，步驟2 完成反向認證，標簽計算H＝h（Tnum‖H4），其中H4=h（Rnum‖r3），并與應用服務器計算的H3=h（Tnum‖h（Rnum‖r3））比較驗證閱讀器與應用服務器的合法性。

4.5 信息隱私

對于標簽中的認證數(shù)字部分，前端的認證不傳輸認證數(shù)字，所以閱讀器無權訪問認證數(shù)字信息。在基于AKHF 方案中，對于DTnum，此解密部分在應用服務器內(nèi)部完成，在基于哈希函數(shù)物聯(lián)網(wǎng)三方認證方案中，涉及到認證數(shù)字傳輸?shù)牟糠郑瑒t是數(shù)據(jù)庫與應用服務器之間傳輸DTnum 和DRnum，其解密過程在應用服務器獨立完成，均未傳輸?shù)介喿x器。

5 結(jié)語

本文提出并設計了藥品信息公共環(huán)境物聯(lián)網(wǎng)認證方案，將物聯(lián)網(wǎng)AKHF 認證協(xié)議、基于哈希函數(shù)的物聯(lián)網(wǎng)三方認證協(xié)議應用在物聯(lián)網(wǎng)藥品真?zhèn)握J證中，設計了兩種藥品信息公共環(huán)境物聯(lián)網(wǎng)認證方案。并通過性能分析，得到方案可抗重放、竊聽、位置跟蹤等攻擊。同時，利用GNY 邏輯對方案中的協(xié)議進行推理證明可知，方案中的通信三方均相信對方的真實性，并證明了認證過程中數(shù)據(jù)傳輸?shù)挠行院桶踩浴?/p>