（计算机应用技术专业论文）rfid安全认证协议研究.pdf

， ， l ： 5 独创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独立进行研究 工作所取得的成果。除文中己注明引用的内容以外，本论文不包含任何其他个人 或集体己经发表或撰写过的作品成果，也不包含为获得江苏大学或其他教育机构 的学位或证书而使用过的材料。对本文的研究做出重要贡献的个人和集体，均已 在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。 学位论文作者签名：i 辛个斋 d ff 年纠弓，绸 学位论文版权使用授权书 江苏大学、中国科学技术信息研究所、国家图书馆、中国学术期刊( 光盘版) 电子杂志社有权保留本人所送交学位论文的复印件和电子文档，可以采用影印、 缩印或其他复制手段保存论文。本人电子文档的内容和纸质论文的内容相一致， 允许论文被查阅和借阅，同时授权中国科学技术信息研究所将本论文编入中国 学位论文全文数据库并向社会提供查询，授权中国学术期刊( 光盘版) 电子杂 志社将本论文编入中国优秀博硕士学位论文全文数据库并向社会提供查询。 论文的公布( 包括刊登) 授权江苏大学研究生处办理。 本学位论文属于不保密口。 学位论文作者签名：1 宇心、二电 p l1 年月，e l 指导教师签名j 民 2 0i 、年b 月l 歹日 射频识别技术( r a d i of r e n q u e n c ei d e n t i f i c a t i o n ，简称r f i d ) 是一项继条形码 技术、生物识别技术之后的自动识别技术，它利用射频信号通过空间耦合实现信 息无接触传递并通过所传递的信息达到识别的目的。r f i d 技术具有许多突出的 优点，例如不需光学可视，不需人工干预，不需直接接触即可完成信息的输入和 处理，操作方便快捷，可同时识别多个电子标签，能够工作在各种恶劣环境中等。 如今，r f i d 技术己经被世界公认为2 l 世纪十大重要技术之一，在交通、零售、 物流、生产等方面有着广阔的应用前景。 目前，r f i d 系统仍存在着许多的技术问题，例如：安全和隐私问题，标签防 碰撞问题，网络部署问题，中间件问题等。本文主要研究r f i d 系统中的安全和隐 私问题。随着射频识别技术的广泛应用，其安全和隐私问题将日益得到人们的重 视。如果r f i d 系统中不能提供有效的安全保证，其应用范围将会受到很大的限 制。 本文首先系统分析了r f i d 基本组成结构和基本工作原理，并介绍了协议中 常用的算法，然后分析了r f i d 系统当前的安全机制，主要介绍了物理安全机制 和基本的协议方案。 其次，综合当前基于g e n 一2 标准的r f i d 认证协议的安全性指标，提出g e n 2 标准须满足1 0 项安全指标。在发现当前存在的一些基于g e n 2 标准的r f i d 认 证协议都不满足该这1 0 项指标时，针对c h i e n 协议的安全缺陷，提出了满足这 1 0 项安全指标的改进方案，改进后的协议仍采用e p cc l a s s 1g e n 2 标准的c r c 和p r n g 运算，分析表明，在协议通信量和运算量增加并不明显的前提下，改 进后的协议满足1 0 项安全指标。但改进后的安全协议仍没有解决后端数据库搜 索量过大的问题，特别是在大规模的r f i d 系统中。 再次，提出一个适用于低成本标签的并且满足可扩展性的r f i d 安全认证协 议。通过利用后端数据库的存储空间降低后端数据库搜索标签的次数和时间复杂 度。保护了用户数据隐私，优化了后端数据库标签假名的更新，并实现了识别标 签次数为l g ( n ) ( n 为系统中标签的个数) ，实现了协议的可扩展性。 最后，利用b a n 逻辑证明了改进的c h i e n 协议以及提出的满足可扩展性的 江苏大学硕士学位论文 协议的完整性。 关键词：r f i d ，安全协议，g e n 2 ，可扩展性，假名 1 1 a bs t r a c t r f i d ( r a d i of r e q u e n c yi d e n t i f i c a t i o n ) i sr e c e n t l yb e c o m i n gp o p u l a r ，p r o m i s i n ga n d w i d e s p r e a d r f i da r es m a l lw i r e l e s sd e v i c e sw h i c hc a nb eu s e df o ri d e n t i f i c a t i o no f o b j e c t sa n dh u m a n sa sw e l l t h e i ra c c e p t a n c eh a sg r o w ni np a s ty e a r sa n di se x p e c t e d t og r o wf u r t h e r d u et or e d u c t i o ni nc o s to fp r o d u c t i o nr f i dd e v i c e sa l eb e i n g d e p l o y e di nf i e l d si n c l u d i n ga c c e s sc o n t r o l ，v a r i o u sp a y m e n ts y s t e m s ，e l e c t r o n i c i d e n t i f i c a t i o nc a r d s ，a n ds oo n h o w e v e r ，t h em o s tn o t a b l ea n dr e v o l u t i o n a r y a p p l i c a t i o no fr f i ds y s t e mi nn e a rf u t u r ew i l lb et h er e p l a c e m e n to fac u r r e n tb a r c o d e s y s t e mf o rs u p p l yc h a i nm a n a g e m e n t ，i n v e n t o r yc o n t r o l ，a n da n t i c o u n t e r f e i t i n g i nc o n t r a s t ，r f i dt a g sc a nb r i n ga b o u tt r a c e a b i l i t yt h a tc a u s e su s e rp r i v a c ya n d r e d u c e ss c a l a b i l i t yo fr f i d g u a r a n t e e i n gu n t r a c e a b i l i t ya n ds c a l a b i l i t ya tt h es a m e t i m ei ss oc r i t i c a l i no r d e rt o d e p l o yr f i dw i d e l ys i n c eu s e rp r i v a c ys h o u l db e g u a r a n t e e d al a r g en u m b e ro fr f i dp r o t o c o l sw e r ed e s i g n e di nt h eo p e nl i t e r a t u r e ， b u ta n yk n o w n p r o t o c o l sd on o ts a t i s f ys e c u r i t ya n ds c a l a b i l i t ya tt h es a m et i m et ot h e b e s to fo u rk n o w l e d g e i nt h i s p a p e r ，w ei n v e s t i g a t eac o m p r e h e n s i v es u r v e yo fv a r i o u sr f i d a u t h e n t i c a t i o np r o t o c o l sp r o p o s e di nt h el i t e r a t u r ea n dc l a s s i f yt h e mi nd i f f e r e n t c a t e g o r i e s w ei n v e s t i g a t et h ep o s s i b l ep r i v a c ya n ds e c u r i t yt h r e a t st or f i ds y s t e m s ， a n dc o n s i d e rw h e t h e rp r e v i o u s l yp r o p o s e dr f i dp r o t o c o l sa d d r e s st h e s et h r e a t s w h e nf i n d i n gt h ed r a w b a c k so fp r e v i o u sp r o t o c o l s ，w et h e np r o p o s ea ni m p r o v e d a u t h e n t i c a t i o np r o t o c o lw h i c hp r o v i d e st h ei d e n t i f i e dp r i v a c ya n ds e c u r i t yf e a t u r e s a n ds a t i s f i e st h ee p c g l o b a lc l a s s 1g e n 一2 t h ei m p r o v e dp r o t o c o lr e s i s t st a g i n f o r m a t i o nl e a k a g e ，t a gl o c a t i o nt r a c k i n g ，r e p l a ya t t a c k s ，d e n i a lo fs e r v i c ea t t a c k s ， b a c k w a r d t r a c e a b i l i t y ，f o r w a r dt r a c e a b i l i t y ( u n d e r a n a s s u m p t i o n ) ，a n d s e r v e r i m p e r s o n a t i o n ( a l s ou n d e ra na s s u m p t i o n ) a n ds oo n h o w e v e r w ed on o tr e d u c et h e i d e n t i f i c a t i o nt i m e c o m p l e x i t yf o ras p e c i f i ct a gw h i c hi sn o ti n f e a s i a b l ee n o u g hi n p r a c t i c ee x p e c i a l l yi nl a r g es c a l es y s t e m i i i 江苏大学硕士学位论文 t oa d d r e s st i m e c o m p l e x i t yo fp r i v a t ei d e n t i f i c a t i o ni nl a r g e s c a l er f i ds y s t e m s ， w ep r o p o s ea n o t h e rp r o t o c o lw h i c ht a k e sad i f f e r e n ta p p r o a c h w eu t i l i z et h es p e c i a l a r c h i t e c t u r eo fr f i ds y s t e m st o p r o p o s e as y m m e t r i c k e y p r i v a c y p r e s e r v i n g a u t h e n t i c a t i o np r o t o c o lf o rr f i ds y s t e m sw i t hl g ( n ) 一t i m ei d e n t i f i c a t i o nw h e r eni st h e t a gn u m b e ro fr f i ds y s t e m i n s t e a do fi n c r e a s i n gc o m m u n i c a t i o no v e r h e a d ，t h e e x i s t e n c eo fal a r g es t o r a g ed e v i c ei nr f i ds y s t e m s ，t h ed a t a b a s e ，i su t i l i z e df o r i m p r o v i n gt h et i m ee f f i c i e n c yo ft a gi d e n t i f i c a t i o n t oe n s u r et h ei n t e g r i t yo ft h ei m p r o v e dc h i e n sp r o t o c o la n dt h e p r o p o s e d s c a l a b l ep r o t o c o l ，b a nl o g i ci su t i l i z e da tt h ee n do fo u rp a p e r k e y w o r d s ：r f i d ，p r o t o c o l ，g e n - 2 ，s c a l a b l e ，p s e u d o n y m i v 江苏大学硕士学位论文 目录 第一章绪论1 1 1 研究背景及意义1 1 2r f i d 安全机制的考虑2 1 3 论文研究内容及主要工作3 1 4 论文结构安排3 第二章r f i d 安全协议相关知识概述5 2 1r f i d 概述5 2 2r f i d 系统的组成及工作方式6 2 3 相关算法介绍7 2 3 1h a s h 函数7 2 3 2 循环冗余码8 2 3 3 伪随机数产生器9 2 4r f i d 安全机制1 0 2 4 1 物理安全机制1 0 2 4 2 加密安全机制1 1 2 5 小结1 5 第三章基于g e n - 2 的r f i d 安全认证协议1 6 3 1e p cg e n - 2 标准1 6 3 2 基于g e n - 2 的安全认证协议设计目标1 8 3 3 基于g e n - 2 的r f i d 安全协议分析1 9 3 4c h i e n 协议及其安全性分析2 4 3 4 1c h i e l l 协议初始化及其认证过程2 4 3 4 2c h i e n 协议安全性分析2 6 3 5 改进的c h i e n 协议2 8 3 6 改进后协议安全性分析3 0 3 7 小结3 2 第四章基于假名的可扩展r f i d 安全认证协议3 4 4 1 主要思想3 4 4 2 系统模型及攻击者模型3 5 4 3 低成本r f i d 安全认证协议的设计目标3 6 v 江苏大学硕士学位论文 4 4 可扩展的r f i d 安全认证协议分析3 6 4 5 基于假名的可扩展r f i d 安全认证协议3 9 4 5 1 基于假名的可扩展协议3 9 4 5 2 后端数据库处理4 1 4 5 3 系统更新4 1 4 6 基于假名的可扩展协议安全性分析：4 2 4 7 小结4 4 第五章r f i d 安全认证协议形式化证明4 6 5 1 形式化证明概述4 6 5 2b a n 逻辑概述4 6 5 3b a n 逻辑的语法及推理规则4 8 5 4 安全协议的形式化证明4 8 5 4 1 改进协议的安全协议证明4 8 5 4 2 可扩展协议的安全性证明5 0 5 5 小结5 2 第六章总结与展望5 3 6 1 工作总结5 3 6 2 展望5 4 参考文献5 5 致谢6 1 v i 论文 r f i d ( 无线射频) 技术是一项正在兴起的自动识别技术，并有望作为普及的 基础设施在识别物体领域中扮演重要角色，它将是下一代大宗物体识别技术并且 成为现有的光学条形码系统的替代者i l j 。i 强i d 利用射频方式进行非接触双向通 信，从而实现对物体的识别，并将采集到的相关信息数据通过无线信道远程传输。 相较目前广泛采用的条型码技术，r f i d 具有读取距离远、穿透能力强、抗污染、 效率高、信息量大等特点。目前，r f i d 广泛应用于物流和供应链、小额支付、 人员安全防识别( 包括门禁管理等) 、物品防盗与防伪、动物识别、运动计时、 疾病追溯以及车辆识别与管理等领域1 2 j 。 r f i d 系统灵敏度和耐用性的不断提高以及标签价格的不断下降增加了r f i d 在后勤和供应链领域的巨大使用潜力。沃尔玛已经要求其前1 0 0 位的供应商在其 货箱和托盘使用r f i d 技术，而2 0 0 6 年所要求的供应商数达到了3 0 0 位；其他的采 用r f i d 的著名公司还包括g i l e r e 、t e s c o 和美国国防部( d o d ) 。r f i d 研发公司包 括m i c r o s o f t 、i b m 、g e 、t e 和s u nm i c r o s y s t e m s 等【3 1 。 虽然r f i d 系统潜在的应用不计其数，然而任何事物都是矛盾的统一体，r f i d 技术也不例外。在实际应用中，我们必须面对一个非常重要的问题，这就是r f i d 的安全问题。r f i d 技术的优越特性，如数据可现场改写、无需接触自动扫描等， 虽然满足了使用者的需要，但是将会面临可能的安全问题，比如窃听通过无线传 输的数据、伪造标签、跟踪标签等，而r f i d 标签设备所具有的局限性，例如有 限的计算能力、有限的存储空间( r f i d 标签的存储空间极其有限，最便宜的t a g 只有6 4 1 2 8 b i t 的r o m ，仅可容纳一个标识符) 、外形小、电源供给有限等，给 r f i d 系统安全机制的设计带来了特殊的要求，也使加密算法的选择受到很大限 制，正因为此，设计安全、高效、低成本的r f i d 协议成为了一个新的具有挑战 性的问题。安全攻击的另一个隐患是标签数据的泄漏会导致用户隐私的泄漏，隐 私保护活动者已经发起了针对r f i d 技术的警报，并呼吁推迟甚至放弃标签的部 署，很多公司被迫重新审查部署r f i d 的计划以应对被抵制的威胁1 4 1 。目前，r f i d 江苏大学硕士学位论文 安全问题已经吸引了许多国际一流密码学家的关注和投入( 如j u e l s ，w e i s - 等) 1 5 。j 。 综上所述，如果没有有效的安全保障，标签中的信息可能会被窃取、更改， 甚至被伪造，无法保证r f i d 标签中数据的安全。虽然r f i d 的使用能够给我们 的生活带来便捷，但是其潜在的安全问题若不能得到很好的解决，这将会使l 疆i d 的使用弊大于利。因此，一个可靠的安全协议将会促进r f i d 的发展，反之，则 会阻碍其部署和实施。然而，r f i d 标签本身局限性，如存储空间有限，电源供 给有限，处理能力有限，特别是标签的低价格等，使得现有的加密算法无法在标 签上执行，大大增加了实现r f i d 安全的难度。因此，设计一个安全、高效、低 成本的r f i d 安全认证协议有很强的实际意义。本论文正是在这样的背景下设计 和完成的。 1 2r f i d 安全机制的考虑 随着r f i d 的应用领域不断增长，比如权限控制、付款以及票务等，对安全需 求的复杂性则在不断的增加。由于标签和读写器之间是通过空中接口进行通信， 如果没有可靠的安全机制，非法的攻击者可能欺骗r f i d 系统，比如没有付款就能 获取门票。另外，如果任何的读写器都可以和标签进行通信，进而获取标签携带 者的信息，将会导致用户的隐私泄漏。这部分隐私问题具体将会在下一章进行分 析。 为了消除r f i d 系统的安全脆弱性并保护用户隐私，认证协议可以作为实现 r f i d 系统安全的措施之一。一个良好的认证协议，标签和读写器可以实现相互认 证( 读写器和后端数据库可视为一个安全统一体，将会在下一章介绍) 并就用于 加密会话的密钥达成一致。正如协议【8 1 0 ，在r f i d 环境下，设计相互认证协议 的重要一点在满足低计算能力和严格的存储空间限制的情况下提供安全服务。 当设计r f i d 认证协议时，我们应该考虑如下因素：协议的环境和协议整体的 资源。对于r f i d 系统，有几点需要特别考虑，一是r f i d 通信信道的特征。由于标 签的能量由读写器发送的无线电波提供，因此，r f i d 标签和读写器在信号能量上 是不对称的，这意味着攻击者能更容易窃听到读写器发送给标签的信号。另一个 因素是和读写器或者后端数据库相比，低成本标签的计算资源非常有限。 另外，到目前为止，还缺乏一个实用的r f i d 系统攻击者模型，当然更缺乏 2 江苏大学硕士学位论文 针对这些协议进行严格形式化的分析和证明。 1 3 论文研究内容及主要工作 在广泛阅读国内外研究r f i d 安全认证协议的相关文献的基础上，比较和借 鉴了现有的r f i d 安全认证协议的设计方法，提出了一个改进的满足g e n 2 安全 要求的r f i d 安全认证协议，在此基础上为了解决r f i d 系统的可扩展性问题提 出了一个可扩展的r f i d 安全认证协议。论文的主要研究内容包括： 1 研究基于g e n 2 标准的r f i d 安全认证协议 通过对当前基于g e n 2 安全认证协议的分析和总结，提出满足g e n - 2 安全 的l o 项安全指标，在此基础上分析了c h i e n 协议的安全漏洞，并进行了改进， 然后对改进后的协议进行了详细的安全分析。 2 研究可扩展r f i d 安全认证协议 采用密钥池及假名实现用户隐私保护，考虑到可扩展性问题，设计协议时利 用后端数据库存储空问换取识别标签的时间效率，实现了识别标签的效率为 l g ( n ) 。 3 证明以上两个r f i d 安全认证协议的完整性 采用b a n 逻辑对改进协议以及提出的可扩展的r f i d 安全协议进行完整性 证明。通过形式化的方法验证了协议设计的有效性。 4 对全文的研究工作进行总结，并提出进一步研究的目标和方向 1 4 论文结构安排 论文共分六章，主要内容概括如下： 第一章介绍课题的研究背景和研究意义，概述了r f i d 系统的特点和应用， 分析和提出本文的主要研究工作。 第二章系统分析现有的r f i d 安全协议设计的相关技术与发展现状，从理论 上对这些方法的优缺点进行了分析。 第三章改进基于g e n 2 的r f i d 安全认证协议。首先对g e n 2 的现状和安全 需求做出了分析总结，提出g e n 2 应满足的安全指标，在此基础上对c h i e n t 3 2 】 提出的协议进行安全分析，并对其进行了改进，使其满足提出的安全指标。 江苏大学硕士学位论文 第四章提出可扩展的r f i d 安全认证协议。采用密钥池及假名实现用户隐私 保护，考虑到可扩展性问题，设计协议时利用后端数据库存储空间换取识别标签 的时问效率，实现了识别标签的时问效率为l g ( n ) 。 第五章形式化证明r f i d 安全认证协议的完整性。采用b a n 逻辑对 发计的 r f i d 安全认证协议进行完整性证明。通过形式化证明的方法验证了协议设计的 有效性。 第六章总结全文工作，并对下一步工作进行展望。 4 江苏大学硕士学位论文 2 1r fid 概述 第二章r f i d 安全协议相关知识概述 一套典型的r f i d 系统，是由读写器( 或收发器) 与电子标签( 或应答器) 以及 后端数据库组成f 1 2 1 。r f i d 的工作环境如图2 1 所示。 觚一 盈霪雯笼盈 湮量量勇i p r i n t e r ll 此i l d “ 嘿琵宠军搦国翟豳 垦 黧銎，_ l 虽面一圆 v l i d d l e w a r e l j 8 t a n 2 0 8 e 图2 1r f i d 的作环境 标签由i c 芯片和天线组成，当接收到读写器的询问消息后，标签发送其存储 的数据给读写器作为响应。读写器向标签发送一个射频信号并接收标签响应的消 息，然后将接收的信息转发给后端数据库。后端数据库( 或后端服务器) 是一个 安全的服务器，并有一个数据库存储每个标签的相关信息，比如标签标识符信息、 所有与应用相关的数据以及读写器的位置信息等。后端数据库在收到读写器转发 的消息后，判断标签的身份，并将结果返回给读写器。后端数据库所传输的数据 取决于r f i d 具体的应用。考虑到用户的隐私问题，标签的唯一的标识符必须是 匿名的，即标签是不可辨别的，以保护用户的位置信息。并且传输的所有消息必 须是安全的，即消息所包含的秘密信息不能被攻击者获得，以保护用户数据信息 安全。读写器和标签之间数据是通过不安全的信道传输，这个信道远比读写器和 后端数据库之间的信道要脆弱。当标签是无源标签，标签从读写器发送的射频信 号获取能量，读写器发送信号的范围要大于标签发送信号的范围。因此，攻击者 5 江苏大学硕士学位论文 能够从比较远的距离窃听读写器发送的射频信号【1 3 】。 为了扩大标签的应用范围，r f i d 标签的价格应降低到0 5 美元以下。为了达 到此目标，i c 价格应低于o 2 美元【14 1 。低成本标签的价格限制了标签中门的数量 ( 7 5 k 一1 5 k ) ，而应用于安全的门数则限制在2 5 5 k 之间1 1 5 j 。因此，在标签上 使用现有的加密算法是不可行的【m i 。 2 2r f i d 系统的组成及工作方式 总的说来，典型的r f i d 系统包括标签、读写器和后端数据库。他们三者作 为整体相互关联。另外，考虑到实际的应用场景，我们将r f i d 的操作频率也作为 r f i d 系统的一个基本组成部分。 1 标签( 或者转发器) 标签根据工作方式可分为有源( 主动式) 标签和无源( 被动式) 标签两大类， 本文研究的是无源r f i d 标签及系统。无源r f i d 标签由i c 和天线或线圈组成， 通过耦合读写器发射的电磁场能量作为自己的能量。除非非常靠近读写器，否则 标签并不会执行操作旧。每个r f i d 标签中存储一个唯一编码，通常为6 4 b i t s 、 9 6 b i t s 甚至更高，其存储空间大大多于条形码所能提供的空间，因此可以实现单 品级物品的编码。由于标签没有内部电源，无源标签很小，因此不容易被看到。 有源标签有一个内部电源，因此，它有很大的读取距离，在某些情况下，甚 至可以达到1 5 米。但是，有源标签要比无源标签大很多，而且它们属于不同的 应用领域。 按照不同的分类标准，r f i d 电子标签有许多不同的分类。按照工作频率的 不同，电子标签可以分为低频( l f ) 、高频( h f ) 、超高频( u h f ) 和微波等不同种 类；根据内部使用存储器的不同，电子标签可以分成只读标签和可读标签；按应 用分可分为物流标签、图书标签和抗金属标签等；其他标签还有服装标签、医疗 标签、牧畜管理标签、安防防盗标签、洗衣标签等。 2 读写器( 或者收发器) 读写器不仅负责对r f i d 标签进行读写操作，而且给无源标签提供能量， 并负责标签与后端数据库的通信【1 8 1 。读写器有时负责标签端算法的执行1 6 1 。一般 而言，由于读写器和标签之间的通信通过空中接口，他们之问的信道是不安全的。 6 行操作，读写 在物联网中， 3 后端数据库( 或者后端服务器) 在r f i d 系统中，后端数据库的主要作用是存储标签和读写器相关的信息， 为标签和读写器之间的认证过程提供服务f 1 8 j 。后端数据库是典型的拥有自己的 数据库和存储产品相关信息以及特定标签交易信息的个体。在许多情况下，读写 器和后端数据库之间的通信信道像v p n 或者s s l 被认为是安全的。 4 工作频率 射频标签的工作频率不仅决定着r f i d 系统工作原理、识别距离，还决定着标 签及读写器实现的难易程度和设备成本等。目前国际上广泛采用4 种波段的频率， 低频( 1 2 5 k h z ) 、高频( 1 3 5 4 m h z ) 、超高频( 8 5 0 m h z 9 1 0 m f z ) 和微波 ( 2 4 5 g h z ) 。不同频段的r f i d 系统工作原理不同，l f 和h f 频段的r f i d 电子标 签一般采用电磁耦合原理，而u h f 及微波频段的r f i d 电子标签一般采用电磁发射 原理。每一种频率都有其特点，被用在不同的领域，因此要正确使用就要先选择 合适的频率。 2 3 相关算法介绍 本节将简要介绍设计r f i d 安全协议时主要用到的一些算法，包括i 。l a s h 函 数、伪随机数产生器( p r n g ) 和循环冗余代码( c r c ) 。 2 3 1h a s h 函数 h a s h 函数的基本操作是将一个大域的元素映射到小域的元素。在许多非加密 计算机应用中，使用h a s h 函数这个性质来优化存储分配。但是，加密h a s h 函数 有更重要的方面，它扮演了现代密码学的基础性作用【2 0 】。 h a s h 函数必须具备两个基本特征：单向性和碰撞约束。单向性是指其操作方 向的不可逆性，在h a s h 函数中只能由输入计算出输出，而不能由输出推导出输入； 碰撞约束是指不能同时找到两个不同的输入使他们的输出结果完全一致或者不 7 江苏大学硕士学位论文 能找到一个输入使其输出结果等于一个已知的输入的输出结果。一个函数只有同 时具备了这两种特性，它才能被认为是一个h a s h 。 目前，常用的h a s h 函数主要有两个系列，r p s h a 和m d 系列。s h a 系列包括 s h a l 和s h a 2 系列；m d 系列主要包括m d 2 、m d 4 和m d 5 。 h a s h 函数具有以下特点：输出的长度固定、单向不可逆和碰撞约束。h a s h 函数的应用场景包括： 1 数据校验功能：h a s h 函数有数据冗余校验类似的功能，但是它碰撞的概率 要比简单的冗余校验要小得多，因而在现在密码学中总是用h a s h 来做关键数据的 验证。 2 单向性的使用：利用h a s h 函数的这个特点，我们能够实现口令、密码等数 据的安全存储。我们需要把很多关键数据存储在数据库中，但是在实际运用的过 程中，只是作比较操作，因为我们可以比较h a s h 结果。 3 碰撞约束以及有限固定摘要长度：数字签名正是运用了这些特点来提高效 率。我们知道非对称加密算法速度较低，我们可以通过h a s h 进行处理使其仅仅作 用于h a s h 摘要上，从而提高效率。 4 可以运用h a s h 至l j 随机数的生成和密码：因为h a s h 算法能够最大限度的保 证其唯一性，故而可以运用到关键数据的衍生中( 从一个随机的种子数产生，并 且不暴露种子本身秘密) 。 2 3 2 循环冗余码 循环冗余码c r c ( c y c l i cr e d u n d a n c yc o d e ) 是一种在当今计算机网络中常用的 错误检测技术 2 1 。 1 循环冗余码：是数据通信领域中最常用的一种差错校验码，其特征是信息 字段和校验字段的长度可以任意选定。 2 生成c r c 码的基本原理：任意一个由二进制位串组成的代码都可以和一个 系数仅为0 和1 取值的多项式一一对应。例如：代码1 0 11 0 11 对应的多项式为 x 6 + x 4 + x 3 + x + 1 ，而多项式为x s + x 4 + x z + x + l 对应的代码11 0 11 1 。 3 c r c 码集选择的原则：若设码字长度为n ，信息字段为k 位，校验字段 为r 位( n = k + r ) ，则对于c r c 码集中的任一码字，存在且仅存在一个r 次多项 8 江苏大学硕士学位论文 式g ( x ) ，使得 v ( x ) = a ( x ) g ( x ) - - x r m ( x ) + “x ) 其中：m ( x ) 为k 次信息多项式，r ( x ) 为r 1 次校验多项式，g ( x ) 称为生成多 项式： g ( x ) = 9 0 + g l x + 9 2 x 2 + + g ( r 1 ) ) ( r 1 ) + g r x r 发送方通过指定的g ( x ) 产生c r c 码字，接收方则通过该g ( x ) 来验证收到的 c r c 码字。 4 c r c 码软件生成方法：借助于多项式除法，其余数为校验字段。 例如：信息字段代码为：1 0 11 0 0 1 ，对应m ( x ) = x 6 + x 4 + x 3 + 1 。假设生成多项式 为：g ( x ) = x 4 + x 3 + l ，则对应g ( x ) 的代码为：11 0 0 1 。m ( x ) = x l o + x 8 + x 7 + x 4 对应的代 码记为：1 0 11 0 0 10 0 0 0 。 采用多项式除法：得余数为：1 0 1 0 ( 臣l j 校验字段为：1 0 1 0 ) 。发送方发出的传 输字段为：1 0 1 1 0 0 1 1 0 1 0 ( 即信息字段和校验字段) ：接收方使用相同的生成码进 行校验：接收到的字段生成码( 二进制除法) ，如果能够除尽，则正确。 2 3 3 伪随机数产生器 伪随机数产生器p r n g ( p s e u d o r a n d o mn u m b e rg e n e r a t o r ) 用于各种加密操 作，比如，用于生成密钥和挑战响应协议。随机数产生器是一个函数，它输出0 和l 序列，并且下一个输出的位是不可预测的，即使己获知先前的输出位也不能 预测下一个输出。一个伪随机数产生器产生一个看起来离散的随机位序列。不同 的种子，伪随机数产生器产生不同的伪随机序列。一个相对小的随机数种子，伪 随机数产生器可以产生一个长的而且看起来随机的字符串。伪随机数产生器经常 用于加密函数，比如流加密或者块加密【2 2 1 。 事实上，2 0 0 3 年p r n g 才首次在r f i d 系统中出现。w e i s 等提出的随机 h a s h 1 0 c k 协议，使用随机数和h a s h 函数抵抗跟踪攻击，但仅受限于比较少的标 签数量 6 1 。目前，e p c g l o b a l ( e p c g l o b a lc l a s s 1g e n 2 ) 和i s o ( i s o i e c 1 8 0 0 0 6 c ) 己经批准p r n g 使用。p r n g 应该满足下面几个标准： 1 产生单个1 6 位随机数r n l 6 的概率：由p r n g 产生的任意r n l 6 ，对于 任意的i ，满足r n l 6 = j 的概率应介于： 9 江苏大学硕士学位论文 丽0 8 p ( r n l 6 钏 鬃 2 同时产生相同序列的概率：对于标签数量达到1 0 ，0 0 0 以上r f i d 系统，无 论能量是否足够，任意两个或者两个以上的标签同时产生相同的r n l 6 序列的概 率应小于0 1 。 3 成功预；浈j r n l 6 的概率：在相同的运行条件下，一个r n l 6 被成功预测的 概率不应大于0 0 0 2 5 。 2 4r fid 安全机制 典型r f i d 系统设计的目标是识别标签并保护用户隐私。为同时达到这两个 目标密码学家提出了物理安全机制和加密机制以及两者的结合。 2 4 1 物理安全机制 物理安全机制主要包括自毁标签【2 3 1 、阻塞标签f 2 4 1 、假名标签【2 4 1 、法拉第网 罩1 2 5 1 、主动干扰l ：6 j 和天线能量分析【2 7 】等。 1 自毁( k i l l ) 标签【2 3 】：k i l l 命令是在需要的时候使标签失效的命令。标签接 收到该命令后，标签便终止其发送和接收功能，标签的发射和接收数据功能将永 久失效。把标签杀死或将其丢弃并不能解决r f i d 系统中所有的隐私问题，而且 标签在出售后永久失活对售后服务等将产生影响，所以简单的执行k i l l 命令的方 案并不可行。 2 阻塞标签【2 4 l ：阻塞标签基于二进制树型查询算法，通过模拟标签i d 来干 扰算法的查询过程。阻塞标签方法的优点是r f i d 标签基本不需要修改，也不必 执行密码运算，减少了投入成本，这使得阻塞标签可作为一种有效的隐私保护工 具。但阻塞标签也可能被用于进行恶意攻击，比如通过模拟标签i d ，恶意阻塞不 需隐私保护的其他标签，从而干扰正常的r f i d 系统应用。 3 假名标签【2 4 1 ：在每个标签中存储一个假名集合 p l ，p 2 ，p k ) ，标签 在被访问的时候循环使用这些假名，这就是假名标签。它不需向标签写入密码， 只简单改变他们的序号就可以保护消费者隐私的目的。但是，攻击者可以反复扫 描同一标签，从而迫使它循环使用所有可用的假名，即攻击者可辨别特定标签， 进而实现跟踪标签等。 l o 江苏大学硕士学位论文 4 法拉第网罩1 2 5 l ：此方法是将标签置于由金属箔片或金属网组成的容器中， 此容器可以阻止射频信号穿透进去，可以有效防止容器中的标签被扫描。标签接 收不到信号就不能获得能量，同样，网罩内部的信号也无法发送出去，即标签和 外部通信中断。这种方法需要一个额外的物理设备，增加了r f i d 系统的成本，而 且给消费者带来不便。 5 主动干扰1 2 q ：标签用户可以通过携带主动发送射频信号的设备阻止或干 扰其他r f i d 读写器对标签进行操作。这种方法是一种强制性的方法，并可能给 其他标签的访问造成困难，因此，一般都不单独使用。 6 天线能量分析1 27 】： 2 7 提出了一个隐私保护系统，该系统是基于信噪比 原理。由于信号的信噪比随距离的增加迅速降低，所以读写器离标签越远，标签 接收到的噪声信号越弱。加上一些附加电路，r f i d 标签能粗略估计读写器的距 离，并以此为依据改变它的行为：标签只会提供少量的信息给远处读写器，却告 诉近处的读写器自己唯一的i d 信息等。但是更狡猾、多层次的攻击方式可能成功， 因为随着读写器离标签的距离的减小，标签会向读写器提供越来越多的信息。 通过以上的分析以及介绍，发现物理安全机制在实际使用中存在各种问题。 2 4 2 加密安全机制 采用加密的机制是当前的热点。采用加密机制识别标签最简单的方法就是标 签直接以明文的形式广播自身的标识符。当考虑用户隐私要求时，显然难以接受 标识符以明文的形式传输。如果标签能够执行非对称加密，比如公钥加密【2 8 j 或 者陷门函数1 2 9 1 等，同时实现隐私保护和标签识别是能够轻易实现的( 比如使用读 写器的公钥加密标签的标识符) 。但是公钥加密操作超出了低成本标签的计算能 力。虽然根据h o p i n gm o o r e 定律，标签不能执行公钥加密操作的情况只是暂时的， 但实际决定r f i d 标签能否执行公钥加密的因素是标签价格。当零售商在可执行复 杂操作的标签和更便宜的标签之间进行选择时，显然，更便宜的标签更有可能流 行，因此，在大多数应用中低成本标签仅限于对称密钥加密。 采用对称密钥加密的协议实现保护隐私的同时识别标签面临着一个矛盾：一 方面标签必须使用对称密钥加密自身的i d ；另一方面，为了提取标签i d ，读写 器必须知道标签使用哪一个密钥加密它的i d 。因此，即使标签相应的信息是随 江苏大学硕士学位论文 机的( 用于保护用户隐私) 并且标签响应的信息长度足够长( 抵抗耗尽搜索和字 典攻击等容易实施的攻击) ，在后端数据库搜索这些信息