基于Hash函数的RFID安全认证协议的设计及安全性分析.doc

I基于 Hash 函数的 RFID 安全认证协议的设计及安全性分析 摘要摘要 射频识别（RFID，Radio Frequency Identification）技术，作为物联网产业的重要支撑技术，是当前极具发展前途的信息技术之一。然而，由于RFID标签与读卡器之间进行无线通信带来的信息可窃听性，以及标签中计算资源的有限性，使得安全和隐私问题成为RFID技术广泛应用的一个瓶颈。本文针对RFID系统的实际安全需求，利用数学和密码学技术方法，同时考虑交互认证协议的安全性，隐私性和有效性，对RFID系统认证协议进行研究，设计轻量级RFID互认证协议，对其进行安全性及性能分析发现，该协议安全性能良好，功能全面。 关键词关键词 射频识别 安全 隐私 认证协议IIDesign and Safety Analysis of Hash-based RFID Security Authentication Protocol Abstract: As an important supporting technology of networking industry, RFID (Radio Frequency Identification) technology is one of the most promising techniques. However, as the information can be eavesdropped through the public channel between RFID tags and readers and the limited nature of the computing resources in the label, security and privacy are becoming the bottleneck of the RFID technology which is widespread applied to practical. In order to content with the security requirements of RFID system, we use mathematic and cryptography methods to solve these problems. Considering the security, privacy and effectiveness of RFID protocol, the paper researches the authentication protocol of the RFID system and we show a lightweight RFID mutual authentication protocol. Its safety and performance analysis show that our protocol is relatively good in these aspects.Keywords: RFID security Privacy authentication protocol目 录引 言 .11 1 绪论绪论.21.1 研究背景和意义 .21.1.1 研究背景.21.1.2 研究意义.21.1.3 RFID 技术的应用.21.1.4 RFID 的特点.31.2 研究现状 .32 RFID 系统的基础知识.52.1 RFID 技术基础 .52.1.1 RFID 系统的基本组成.52.1.2 RFID 系统的通信模型.62.1.3 RFID 系统的工作原理.62.1.4 RFID 系统的分类.62.1.5 RFID 的工作频率及应用.72.2 RFID 安全问题分析 .102.2.1 RFID 安全隐私.102.2.2 RFID 系统面临的安全攻击.102.2.3 RFID 安全问题研究方法.112.3 RFID 安全机制 .122.3.1 物理安全机制.122.3.2 基于密码技术的安全机制 .133 RFID 相关安全协议.143.1 Hash-Lock 协议 .143.2 随机化 Hash-Lock 协议 .153.3 Hash 链协议 .153.4 分布式 RFID 询问-应答认证协议.173.5 基于杂凑的 ID 变化协议 .183.6 David 的数字图书馆 RFID 协议.193.7 LCAP 协议 .193.8 小结 .204 基于 Hash 函数的 RFID 协议设计.214.1 Hash 函数的简介 .214.2 对随机 Hash-Lock 协议的改进 .224.2.1 随机 Hash-Lock 的缺陷.224.2.2 S(ID)值更新随机 Hash-Lock 协议 .224.3 安全性分析 .254.4 性能分析 .254.5 小结 .26结束语 .27致谢 .28参考文献 .29附录 A 英文文献原文.31附录 B 英文文献译文.35第 1 页 共 41 页引 言射频识别技术简称为 RFID 技术，它是近几年来业界关注的热点。由于 RFID 标签本身具有体积小、容量大、寿命长、可重复使用等诸多特点，并可支持快速读写、非可视识别、移动识别、多目标识别、定位及长期跟踪管理。目前，射频识别技术已被广泛应用于工业自动化、商业自动化、交通运输控制管理等众多领域；汽车、火车等交通监控，高速公路自动收费系统，停车场管理系统，物品管理，流水线生产自动化，安全出入检查，仓储管理，动物管理，车辆防盗。它也可以用于生产和销售管理场合以简化供应链管理并实现对存货成本的有效控制,可以代替传统的二维条形码用于数字图书馆管理,可用于动物研究和饲养中的动物识别,可用于防伪造的电子护照系统,甚至可以用于构建智能自组网络环境等等。随着 RFID 技术在各个领域的应用,安全隐私问题越来越成为各应用领域关心的问题。如果这些问题得不到很好的解决,就会在一定程度上制约着 RFID 技术大规模的推广。部署和使用 RFID 系统时,关键的问题之一是要确保只有授权用户能够识别各个标签( Tag),而攻击者无法对这些标签进行任何形式的跟踪。尽管可追踪性问题(最主要的 RFID 保密性问题)经常被这项技术的支持者所低估,抑或有时被其责难者所夸大,但它确实阻碍了这项技术的推广和应用。使用密码学方法来解决可追踪性问题是一种被研究了多年的方法。迄今为止,已经有许多 RFID 安全协议被提出,如 Hash-Lock 协议、 随机化 Hash-Lock 协议、 Hash 链协议、 基于杂凑的 ID 变化协议、 David 的数字图书馆 RFID 协议、分布式 RFID 询问-响应认证协议、LCAP 协议、再次加密机制等等。但是,这些协议存在安全性不高、效率低、计算量大、存储空间大，成本高等缺陷。尽管用于认证和识别用途的密码技术已相对比较成熟,但是,到目前为止,由于组成 RFID 系统的必备设备 Tag 的特殊性和局限性,设计安全、 高效、低成本的 RFID 安全机制仍然是一个具有挑战性的课题。本文提出了一种改进的安全、高效 RFID 认证协议。并对目前常用的基于 Hash 函数的三种认证协议进行分析,讨论其各自的优点及不足,并对 Hash 函数自身存在的 Hash 值冲突问题进行研究。提出一种基于 Hash 函数的改进 RFID 认证协议,引入两个不同的 Hash 函数模块解决 Hash值冲突问题。同时对认证协议中的明文传送电子标签 ID 进行了加密,将 ID 与随机数相结合并进行Hash 变换后传输。同时采用动态 ID 刷新机制实现了数据同步，即后端数据库中所保存的 Tag 标识和存储在 Tag 中的标识同步进行刷新,保证了 Tag 在下一次认证识别过程中能够正常的进行认证和识别。经过对比分析,改进后的认证协议对 RFID 系统的安全性有了很大的增强。第 2 页 共 41 页1 绪论1.1 研究背景和意义1.1.1 研究背景无线射频识别(Radio Frequency Identification，RFID)技术基于无线频率技术，常被用来追踪运输、仓储等环节的货物信息，同时，该技术的使用还可以让货物的购买者随时检验产品信息，从而最大程度地降低交易风险。目前，RFID 产品已经被广泛应用于零售、物流、仓储、生产制造、商品防伪、自动收费、动物识别、图书馆管理等领域。RFID 成为电子信息产业新的经济增长点的说法得到了市场的普遍认同。其市场规模呈现了一个非常强劲的增长。2007 年东亚 RFID 产值为 27亿美元，全球 496 亿美元。2008 年全球 RFID 市场产值 52 亿 9 千万美元，同比增长了 7 3，根据ABI 调查报告，2009 年全球 RFID 市场规模达约 55 亿美元，将于 2014 年达 9202 亿美元，估计年复合增长率为 10，大幅超越其他自动辨识技术的增长率。在我国，2004 年是 12 亿人民币，2005年为 15 58 亿人民币，2006 年接近 70 亿元人民币，2007 年全球 27 亿美元中国占击了 19 亿美元，即全球的 38的 RFID 市场在中国，中国第一次成为全球 RFID 的最大市场” 。我国各部委积极推广RFID 技术及其产业化，有科技部、发改委、信息产业部推进 RFID 的研究与应用，国家“十五”重大科技攻关项目“电子商务与现代物流技术研究开发与示范工程”安排了 RFID 和 EPC 攻关谦题，制定了国家“十一五”RFID 技术专项计划。1.1.2 研究意义随着技术的进步，RFID 应用领域日益扩大，现已涉及到人们日常生活的各个方面，并将成为未来信息社会建设的一项基础技术。RFID 相对与传统的条形码，具有十分明显的优势，将来必然会代替传统的条形码。1.1.3 RFID 技术的应用（1）在零售业中，条形码技术的运用使得数以万计的商品种类、价格、产地、批次、货架、库存、销售等各环节被管理得井然有序。 （2）采用车辆自动识别技术，使得路桥、停车场等收费场所避免了车辆排队通关现象，减少了时间浪费，从而极大地提高了交通运输效率及交通运输设施的通行能力。（3）在自动化的生产流水线上，整个产品生产流程的各个环节均被置于严密的监控和管理之下。（4）在粉尘、污染、寒冷、炎热等恶劣环境中，远距离射频识别技术的运用改善了卡车司机必须下车办理手续的不便。 （5）在公交车的运行管理中，自动识别系统准确地记录着车辆在沿线各站点的到发站时刻，为车辆调度及全程运行管理提供实时可靠的信息。 第 3 页 共 41 页RFID 电子标签的技术应用非常广泛，目前典型应用：动物晶片、门禁控制、航空包裹识别、文档追踪管理、包裹追踪识别、畜牧业、后勤管理、移动商务、产品防伪、运动计时、票证管理、汽车晶片防盜器、停车场管制、生产线自动化、物料管理等等。 1.1.4 RFID 的特点（1）快速扫描 条形码一次只能有一个条形码受到扫描;RFID 辨识器可同时辨识读取数个 RFID 标签。 (2)体积小型化、形状多样化 RFID 在读取上并不受尺寸大小与形状限制，不需为了读取精确度而配合纸张的固定尺寸和印刷品质。此外，RFID 标签更可往小型化与多样形态发展，以应用于不同产品。 (3)抗污染能力和耐久性强 传统条形码的载体是纸张，因此容易受到污染，但 RFID 对水、油和化学药品等物质具有很强抵抗性。此外，由于条形码是附于塑料袋或外包装纸箱上，所以特别容易受到折损；RFID 卷标是将数据存在芯片中，因此可以免受污损。 (4)可重复使用 现今的条形码印刷上去之后就无法更改，RFID 标签则可以重复地新增、修改、删除 RFID 卷标内储存的数据，方便信息的更新。 (5)穿透性和无屏障阅读 在被覆盖的情况下，RFID 能够穿透纸张、木材和塑料等非金属或非透明的材质，并能够进行穿透性通信。而条形码扫描机必须在近距离而且没有物体阻挡的情况下，才可以辨读条形码。 (6)数据的记忆容量大 一维条形码的容量是 50Bytes，二维条形码最大的容量可储存 2 至 3000 字符，RFID 最大的容量则有数 MegaBytes。随着记忆载体的发展，数据容量也有不断扩大的趋势。未来物品所需携带的资料量会越来越大，对卷标所能扩充容量的需求也相应增加。 (7)安全性 由于 RFID 承载的是电子式信息，其数据内容可经由密码保护，使其内容不易被伪造及变造。 近年来，RFID 因其所具备的远距离读取、高储存量等特性而备受瞩目。它不仅可以帮助一个企业大幅提高货物、信息管理的效率，还可以让销售企业和制造企业互联，从而更加准确地接收反馈信息，控制需求信息，优化整个供应链。 1.2 研究现状尽管 RFID 技术已经出现多年，在很多领域都具有良好的应用前景，并且已经逐渐在一些领域开始广泛的应用，但仍有许多因素在制约着 RFID 技术的快速发展。 标准不统一是影响 RFID 大规模上线生产制造的原因之一。迄今为止，全球也还没有正式形成统一的（包括各个频段）RFID 国际标准。标准（特别是关于数据格式定义的标准）的不统一是制第 4 页 共 41 页约 RFID 发展的重要因素，而数据格式的标准问题又涉及到各个国家自身的利益和安全。标准的不统一也使但前各个厂家推出的 RFID 产品互不兼容，这势必阻碍了未来 RFID 产品的互通和发展。 成本问题也是 RFID 系统不容忽视的。如果要实现大规模商用，就必须降低成本。目前，美国一个电子标签最低的价格是 520 美分左右，而条形码还不到一美分。RFID 在单价低价格物品上的使用会导致成本陡涨，甚至有可能超过物品本身的价值。只有标签的单价下降到 10 美分以下，才可能大规模应用于整箱整包的商品；只有下降到 3 美分一下，才有可能应用于单件包装消费品。 在欧美国家，RFID 的最大问题是 RFID 技术可能导致对个人隐私权的侵犯，因而 RFID 的使用受到了许多人权组织和个人的反对，他们示威甚至企图通过法律来阻止 RFID 产品的使用。目前，各大 RFID 厂商正努力寻找解决之道，他们试图通过使射频标签在商品销售到消费者手中后自动失效或者通过加密手段来保护个人隐私。 在技术方面，虽然在 RFID 电子标签单项技术上已经趋于成熟，但总体上产品还不够完善，还存在较高的差错率。由于液体和金属制品等对无线电信号的干扰很大，单个标签被误读的比例有时高达 20。射频标签和读写器具有方向性，且射频识别信号容易被物体阻断，这也是射频技术发展的一大挑战。 安全方面的问题，已经受到越来越多的人的关注。尽管很多厂家一再保证 RFID 使用的电磁波符合国际关于电磁辐射的标准，但 RFID 所使用的 800900MHz 已经属于甚高频范围，很多人担心长期生活在 RFID 包围中会受到高频射线影响。人生安全也是 RFID 大规模配置时应当考虑的问题之一。第 5 页 共 41 页2 RFID 系统的基础知识2.1 RFID 技术基础2.1.1 RFID 系统的基本组成RFID 系统一般由三大部分组成：RFID 标签(tagortransponder)、RFID 读写器(reader or transceiver)和后端数据库(后端服务器)，如图 2.1 所示： 前向通信距离 反向通信距离 安全信道 不安全信道后端数据库读写器监听者Tag2Tag1 图 2.1 RFID 系统的基本组成RFID 系统基本组成(1)RFID 标签电子标签由标签天线和标签专用芯片组成。每个电子标签具有唯一的电子编码，附着在物体目标对象上。标签相当于条形码技术中的条形码符号，用来存储需要识别和传输的信息。 依据电子标签的供电方式的不同，电子标签可以分为有源电子标签和无源电子标签；从功能方面来看，可将电子标签分为只读标签、可重写标签、带微处理器标签和配有传感器的标签；按调制方式来看，标签还可以分为主动式标签和被动式标签。(2)RFID 读写器由射频接口(radio frequencyinterface)和控制单元(control unit)组成，其计算能力和存储能力都比较大。RFID 读写器通过射频接口来获取标签中的数据(主要是 ID)，并将其传递给后端数据库：从 RFID 读写器到标签的信道，称为前向信道(forward channel)，信号的距离可达百米，是不安全信道；从标签到读写器的信道，称为后向信道(backward channel)，强度相对较弱，范围几米，也是不安全信道。后端数据库：接收来自 RFID 读写器的数据，通常假设其计算和存储能力强大，存储有标签的信息或关联信息，RFID 读写器和后端数据库之间是安全信道。(3)后端数据库 后端数据库主要完成数据信息的存储、管理以及对电子标签进行读写控制。后端数据库可以是市面上现有的各种大小不一的数据库或供应链系统，用户还能够买到面向特定行业的、高度专业化的库存管理数据库。 系统的基本工作流程是：读写器通过发射天线发送出一定频率的射频信号，当附着标签的目标对象进入发射天线工作区域时会产生感应电流，电子标签凭借感应电流所获得的能量发送出存储在芯片中的产品信息，或者主动发送某一频率的信号；读写器对接收天线接收到电子标签发送来的载第 6 页 共 41 页波信号进行解调和解码后，送到数据管理系统进行相关的处理；数据管理系统根据逻辑运算判断该电子标签的合法性，针对不同的设置做出相应的处理和控制。2.1.2 RFID 系统的通信模型ISO/ IEC 18000 标准定义了 Tag 读写器与 Tag 之间的双向通信协议,其基本的通信模型如图 2.2 所示： Tag 读写器 Tag 识别/认证协议 防冲突协议 切割协议应用层通信层 物理层通信层应用层物理层 图 2.2 RFID 系统的通信模型由图 2.2 可以看出,RFID 系统的通信模型由三层组成,从下到上依次为:物理层、通信层和应用层。(1)物理层:主要关心的是电气信号问题,例如频道分配、物理载波等,其中最重要的一个问题就是要载波“切割”(singulation)问题。(2)通信层:定义了 Tag 读写器与 Tag 之间双向交换数据和指令的方式,其中最重要的一个问题就是解决多个 Tag 同时访问一个 Tag 读写器时的冲突问题。(3)应用层:用于解决和最上层应用直接相关的内容,包括认证、识别以及应用层数据的表示、 处理逻辑等。通常情况下,我们所说的 RFID 安全协议指的就是应用层协议,本文所讨论的所有 RFID 协议都属于这个范畴。但是,也有学者认,可追踪性问题必须针对 RFID 通信模型的各层来整体解决,任何一个单层面的解决方案都是不全面的,都有可能导致 RFID 系统出现明显的安全弱点和漏洞。实际上,这一观点与信息安全中的 “深度防御” 策略不谋而合。 除此之外,我们还认为,在部署和实施 RFID 系统的安全方案时,同时还应该综合考虑多种其它因素,例如可扩展性、系统开销、可管理性等。2.1.3 RFID 系统的工作原理RFID 的工作原理是：电子标签进入天线磁场后，如果接收到阅读器发出的特殊射频信号，就能凭借感应电流所获得的能量发送出存储在芯片中的产品信息（无源标签，或者主动发送某一频率的信号（有源标签，阅读器读取信息并解码后，送至中央信息系统进行有关数据处理。发生在阅读器和电子标签之间的射频信号的耦合类型有两种：(1) 电感耦合。变压器模型，通过空间高频交变磁场实现耦合，依据的是电磁感应定律。(2) 电磁反向散射耦合。雷达原理模型，发射出去的电磁波，碰到目标后反射，同时携带回目标信第 7 页 共 41 页息，依据的是电磁波的空间传播规律。2.1.4 RFID系统的分类在RFID系统中，标签和读写器是核心部件，依据不同的特点，可以对RFID进行以下分类：(1)按照标签的供电方式按照标签的供电方式，RFID标签可以分成无源和有源两种形式。有源标签它使用的是标签内置电源，识别的距离比较远，可达几十米甚至上百米，但价格也就相对较高。无源标签内部自身没有电源，工作时从读写器的电磁场中通过电磁感应电流供电。无源标签也有很多优点，比如重量轻、体积小、寿命长、成本低，但缺点就是通信距离比较短，通常需要大功率读写器来提供能源。(2)按照标签的数据调制方式根据标签数据调制方式的不同，可以分为被动式、半主动式和主动式。主动式标签用自身内置的电源主动发射数据给读写器。主动标签内部自带电池对内部电路和主动发送数据供电，工作可靠性高，信号覆盖距离远，但寿命会随电池电力消耗而缩短。被动标签内部不带电池，要靠外界提供能源工作。被动标签供电装置比较典型的是天线和线圈。标签进入工作磁场时，线圈产生感应电流提供能源。被动标签信号覆盖距离短，并要求读写器功率较大。半主动标签本身也带有电池，但是电池只对标签内部数字电路供电，并不对主动发送数据提供能量，只有被读写器电磁信号激活时，才能传送自身数据。(3)按照工作频率按照标签的工作频率可以把标签分为低频、高频、超高频和微波系。低频系统的典型工作频率是125KHz和133Kl-Iz。其主要特点是标签的成本较低，存储数据较少，读写距离较短(10cm左右)。高频系统的典型工作频率为1356MHz。其主要特点是电子标签和读写器成本较低，存储数据量较大，读写距离较远(可达lm)。超高频系统的典型工作频率为433MHz、865956MHz。微波频段的典型工作频率2.45GHz、5.8GHz。(4)按照耦合类型按照耦合类型分为电磁反向散射耦合系统和电感耦合系统。在电磁反向散射耦合系统中，读写器和电子标签依照雷达系统模型进行通信，即读写器发射出去的电磁波，在碰到目标标签后，通过反射信号带回标签信息。电磁反向散射耦合系统通常使用于高频及微波频段的相对远距离的RFID系统，已被广泛应用于物流、跟踪及识别领域。在电感耦合系统中，读写器和标签之间的信号传输有点像变压器模型，其原理是根据电磁感应定律实现空间高频交变磁场的耦合。电感耦合方式一般使用于中、低频工作的近距离射频识别系统，其识别距离相对较短，一般小于lm，典型工作距离为1020cm。2.1.5 RFID 的工作频率及应用 不同频段的 RFID 产品会有不同的特性，下面详细介绍无源的感应器在不同工作频率产品的特性以及主要的应用。 目前定义 RFID 产品的工作频率有低频、高频和超高频的频率范围内的符合不同标准的不同的第 8 页 共 41 页产品，而且不同频段的 RFID 产品会有不同的特性。其中感应器有无源和有源两种方式，下面详细介绍无源的感应器在不同工作频率产品的特性以及主要的应用。 （1）低频 从 125KHz 到 135KHz，其实 RFID 技术首先在低频得到广泛的应用和推广。该频率主要是通过电感耦合的方式进行工作，也就是在读写器线圈和感应器线圈间存在着变压器耦合作用。通过读写器交变场的作用在感应器天线中感应的电压被整流，可作供电电压使用。磁场区域能够很好的被定义，但是场强下降的太快。 特性： 1)工作在低频的感应器的一般工作频率从120KHz 到 134KHz,TI 的工作频率为134.2KHz。该频段的波长大约为 2500m。 2)除了金属材料影响外，一般低频能够穿过任意材料的物品而不降低它的读取距离。 3)工作在低频的读写器在全球没有任何特殊的许可限制。 4)低频产品有不同的封装形式。好的封装形式就是价格太贵，但是有10 年以上的使用寿命。 5)虽然该频率的磁场区域下降很快，但是能够产生相对均匀的读写区域。 6)相对于其他频段的 RFID 产品，该频段数据传输速率比较慢。 7)感应器的价格相对与其他频段来说要贵。 主要应用： 1)畜牧业的管理系统 2)汽车防盗和无钥匙开门系统的应用 3)马拉松赛跑系统的应用 4)自动停车场收费和车辆管理系统 5)自动加油系统的应用 6）酒店门锁系统的应用 7）门禁和安全管理系统 符合国际标准的： a) ISO 11784 RFID 畜牧业的应用编码结构 b) ISO 11785 RFID 畜牧业的应用技术理论 c) ISO 14223-1 RFID 畜牧业的应用 空气接口 d) ISO 14223-2 RFID 畜牧业的应用协议定义 e) ISO 18000-2 定义低频的物理层、防冲撞和通讯协议 f) DIN 30745 主要是欧洲对垃圾管理应用定义的标准 (2)高频 工作频率为 13.56MHz，在该频率的感应器不再需要线圈进行绕制，可以通过腐蚀或者印刷的方式制作天线。感应器一般通过负载调制的方式进行工作。也就是通过感应器上的负载电第 9 页 共 41 页阻的接通和断开促使读写器天线上的电压发生变化，实现用远距离感应器对天线电压进行振幅调制。如果人们通过数据控制负载电压的接通和断开，那么这些数据就能够从感应器传输到读写器。 特性： 1）工作频率为 13.56MHz，该频率的波长大概为 22m。 2）除了金属材料外，该频率的波长可以穿过大多数的材料，但是往往会降低读取距离。感应器需要离开金属一段距离。 3）该频段在全球都得到认可并没有特殊的限制。 4）感应器一般以电子标签的形式。 5）虽然该频率的磁场区域下降很快，但是能够产生相对均匀的读写区域。 6）该系统具有防冲撞特性，可以同时读取多个电子标签。 7）可以把某些数据信息写入标签中。 8）数据传输速率比低频要快，价格不是很贵。 主要应用： 1）图书管理系统的应用 2）瓦斯钢瓶的管理应用 3）服装生产线和物流系统的管理和应用 4）三表预收费系统 5）酒店门锁的管理和应用 6）大型会议人员通道系统 7）固定资产的管理系统 8）医药物流系统的管理和应用 9）智能货架的管理 符合的国际标准： a) ISO/IEC 14443 近耦合 IC 卡，最大的读取距离为 10cm b) ISO/IEC 15693 疏耦合 IC 卡，最大的读取距离为 1m c) ISO/IEC 18000-3 该标准定义了 13.56MHz 系统的物理层，防冲撞算法和通讯协议 d) 13.56MHz ISM Band Class 1 定义 13.56MHz 符合 EPC 的接口定义 （3）超高频 工作频率为 860MHz 到 960MHz 之间，超高频系统通过电场来传输能量。电场的能量下降的不是很快，但是读取的区域不是很好进行定义。该频段读取距离比较远，无源可达10m 左右。主要是通过电容耦合的方式进行实现。 特性： 1）在该频段，全球的定义不是很相同欧洲和部分亚洲定义的频率为868MHz，北美定义的频段为 902 到 905MHz 之间，在日本建议的频段为 950 到 956 之间。该频段的波长大概为第 10 页 共 41 页30cm 左右。 2）目前，该频段功率输出目前没有统一的定义（美国定义为 4W，欧洲定义为 500mW，可能欧洲限制会上升到 2W EIRP。 3）超高频频段的电波不能通过许多材料，特别是水，灰尘，雾等悬浮颗粒物质。 4）电子标签的天线一般是长条和标签状。天线有线性和圆极化两种设计，满足不同应用的需求。 5）该频段有好的读取距离，但是对读取区域很难进行定义。 6）有很高的数据传输速率，在很短的时间可以读取大量的电子标签。 主要应用： 1）供应链上的管理和应用 2）生产线自动化的管理和应用 3）航空包裹的管理和应用 4）集装箱的管理和应用 5）铁路包裹的管理和应用 6）后勤管理系统的应用 符合的国际标准： a) ISO/IEC 18000-6 定义了超高频的物理层和通讯协议；空气接口定义了Type A 和Type B 两部分；支持可读和可写操作。 b) EPCglobal 定义了电子物品编码的结构和甚高频的空气接口以及通讯的协议。例如：Class 0,Class 1,UHF Gen2。 c) Ubiquitous ID 日本的组织，定义了 UID 编码结构和通信管理协议。 2.2 RFID 安全问题分析要设计好 RFID 安全协议的一个困难就是定义敌人和攻击，这对于确立设计的原则、假定、目标非常重要。下面就对 RFID 系统所面临的安全问题(攻击)进行分析。2.2.1 RFID 安全隐私首先，我们要定义 RFID 概念下的两个术语：“安全”和“隐私” 。在 RFID 研究领域，安全是指下面的一个或者多个元素：1)机密性。即消息内容的安全。2)完整性。3)发送方和接收方的身份认证。4)有效性(可用性)。这 4 个元素主要来自安全需求的角度。相对于安全的概念来讲，隐私则是一个包含了政策、法律等多领域的多元概念。评价 RFID 系统隐私的一个标准是看其是否提供了匿名性和不可连接性，也有研究者认为这两者是同一个概念；这两个元素主要来自隐私保护需求的角度。通常来讲，隐私是安全问题的一种。2.2.2 RFID 系统面临的安全攻击1)假冒攻击(spoofing attack)。攻击者假冒读写器来记录标签的响应，之后，攻击者用该响第 11 页 共 41 页应去响应合法的读写器使得该合法的读写器仍然以为真正的标签还在，而实际上标签已经离去。通常来讲，解决假冒攻击问题的主要途径是执行认证协议和数据加密。2)重传攻击(replay attack)。攻击者通过中途截取读写器和标签之间通信的有效信号，之后将该有效信号在 RFID 系统中进行重传从而对系统进行的一种攻击。通常来讲，解决重传攻击问题需要用到挑战一响应机制，计时和计数的机制也经常用来抵御重传攻击。3)追踪(tracking)。不同于前面的两种攻击，追踪是一种对人有威胁的安全问题，攻击者通过标签的响应信息来追踪标签。因此，一个 RFID 系统应该满足：不可分辨性(indistinguishability)和前向安全(forward security)。不可分辨性是包含在 ID 匿名(anonymity)中的一个概念，意味着一个标签所发出的信息与其他标签所发出的信息具有不可分辨性，即与 ID 无关；前向安全则是指，如果一个攻击者获取了该标签先前发出的信息，那么攻击者用该先前获取的信息不能够确定该标签。通常来讲，Hash 函数的随机特性和随机数被用来解决该类问题。4)去同步化。去同步化(desynchronization)主要是指通过使标签和后台数据库所存储的信息不一致导致标签失效的一种威胁。读写器对标签有读和写两种操作，在现实的 RFID 应用中，写操作的内容主要是标签 ID，攻击者通过对写操作的攻击而带来去同步化问题。5)其他窃听(eavesdropping)。由于读写器和标签之间是无线通信，攻击者可以中途读取读写器和标签之间通信的有效信号，从而执行加强的攻击，如重传或假冒攻击；会话劫持(session hijackinginterception)该攻击是中间人攻击(maninthe-middle attack)的一种具体体现形式，它所带来的主要威胁是应用层的去同步化问题；RFID 病毒(virus)可以通过 RFID 中间件的过滤功能来去除。电磁干扰(jamming)、能量分析、克隆(clone)和篡改标签(tampering)等 RFID 安全问题发生在物理层，不在本文研究范围之内，所以能否抵御假冒攻击、重传攻击、追踪和去同步化等安全威胁通常被用来作为评价一个应用层安全协议的指标。 2.2.3 RFID 安全问题研究方法目前，针对以上安全问题实现 RFID 安全性机制所采用的方法主要有物理机制和密码机制两种。物理机制包括法拉第笼(Faraday cage)、阻塞器标签(blocker tag)引、主动干扰(active jamming)、按钮式标签、裁剪标签技术(clipped tag)、消除标签数据(kill tag)、跳频通信技术(frequency hoppingspread spectrum)等等，但是这些物理方法增加了额外的物理设备或元件，既不方便，还增加了成本。鉴于物理安全机制存在的种种缺点，在最近的 RFID 安全机制研究中，提出了许多基于密码技术的安全机制。在诸多的基于密码技术的安全机制中，基于 Hash 函数的 RFID 安全协议的设计备受关注，因为，无论是从安全需求来讲，还是从低成本的 RFID 标签的硬件执行上来讲(块大小 64 b 的 Hash 函数单元只需大约 1700 个门电路即可实现)，Hash 函数都是最适合于 RFID 认证协议的。这类协议又大致可以分为两类：静态 ID 机制和动态 ID 机制。所谓“静态 ID 机制”是指标签的标识在认证识别过程中保持不变，而“动态 ID 机制”是指标签的标识在每一次的认证识别会话中变化。采用动态 ID机制时的一个非常重要的问题就是数据同步问题，也就是说，后端数据库中所保存的标签的标识和第 12 页 共 41 页存储在标签中的标识必须同步刷新，否则，在下一次认证识别会话中就会出现合法 RFID 标签无法通过认证和识别的系统异常。目前，基于 Hash 函数的静态 ID 机制安全协议包括：Sarma 等人的HashLock 协议、Weis 等人的随机化 HashLock 协议、Rhee 等人的分布式 RFID 询问一响应认证协议等，此外还包括 Ha 等人和 Choi 等人的工作；动态 ID 机制包括：Ohkubo 等人的 Hash 一链协议、Lee 等人的 LCAP 协议、Henrici 等人的基于杂凑 ID 变化协议、Dimitriou 等人的防追踪和克隆的轻量级协议、Avoine 等人的可伸缩安全协议等等。其中，静态 ID 机制主要存在的问题是后端服务器的计算量太大；动态 ID 机制主要存在的问题是 ID 的刷新会带来去同步化问题。除了基于 Hash 函数的安全机制外，到目前为止提出的安全机制还包括 Molnar 等人的基于共享密钥的伪随机函数而设计的数字图书馆协议、Juels 等人的再次加密机制、Feldhofer 等人的低成本、Vajda 和 Buttydn 的基于轻量级块密码的认证机制们等等。以上所述的这些协议大多是 3 轮协议，如图 2.3 所示：Database Tag Request Information Data to Refresh the Information Fig 2.3 3-round protocol model 图 2.3 三轮协议模型2.3 RFID 安全机制当前,实现 RFID 安全性机制所采用的方法主要有三大类:物理方法、 密码机制以及二者的结合,下面对其进行简要的介绍。2.3.1 物理安全机制使用物理方法来保护 RFID Tag 安全性的方法主要有如下几类: Kill 命令机制、 静电屏蔽、 主动干扰以及 Blocker Tag 方法等。这些方法主要用于一些低成本的 Tag 中,之所以如此,主要是因为这类 Tag 有严格的成本限制,因此难以采用复杂的密码机制来实现与 Tag 读写器之间的安全通信。“Kill 命令机制”采用从物理上毁坏 Tag 的办法。一旦对 Tag 实施了 Kill 毁坏命令, Tag 便不可能再被重用；此外,另外一个重要的问题就是难以验证是否真正对 Tag 实施了 Kill 操作。 “静电屏蔽”(也称为“Faraday Cage”)可以对 Tag 进行屏蔽,使之不能接收任何来自 Tag 读写器的信号,但是这自然需要一个额外的物理设备,既造成了不便,也增加了系统的成本。 “主动干扰” 第 13 页 共 41 页机制则可能带来法律问题,而“Blocker Tag”方法也需要一个额外的 Tag。鉴于物理安全机制存在的种种缺点,在最近的 RFID 系统中,提出了许多基于密码技术的安全机制。2.3.2 基于密码技术的安全机制与基于物理方法的硬件安全机制相比,基于密码技术的软件安全机制受到人们更多的青睐,其主要研究内容则是利用各种成熟的密码方案和机制来设计和实现符合 RFID 安全需求的密码协议。这已经成为当前 RFID 安全研究的热点。 目前,已经提出了多种 RFID 安全协议,例如 Hash-Lock 协议、随机化 Hash-Lock 协议、Hash 链协议等。 但是,遗憾的是,现有的大多数 RFID 协议都存在着各种各样的缺陷。第 14 页 共 41 页3 RFID 相关安全协议到目前为止,已有多种 RFID 安全协议被提出。分析这类协议时,我们仍然基于关于 RFID 系统信道的基本假设来进行。此外,我们还假定这些协议所使用的基本密码构造,如伪随机生成函数、加密体制、签名算法、MAC 机制以及杂凑函数等都是安全的。3.1 Hash-Lock 协议Hash-Lock 协议是由 Sarma 等人提出的,为了避免信息泄漏和被追踪,它使用 metaID 来代替真实的标签 ID。其协议流程如图 3.1 所示： Query MetaID metaID key (key,ID) IDDBMetaID ID keyMetaID=H(key)ReaderTag MetaIDID图 3.1 Hash-Lock 协议Hash-Lock 协议的执行过程如下:(1)Tag 读写器向 Tag 发送 Query 认证请求；(2)Tag 将 metaID 发送给 Tag 读写器；(3)Tag 读写器将 metaID 转发给后端数据库；(4)后端数据库查询自己的数据库,如果找到与 metaID 匹配的项,则将该项的(key,ID) 发送给 Tag 读写器,其中 ID 为待认证 Tag 的标识, metaID=H(key)；否则,返回给 Tag 读写器认证失败信息；(5)Tag 读写器将接收自后端数据库的部分信息 key 发送给 Tag；(6)Tag 验证 metaID=H(key) 是否成立,如果成立,则将其 ID 发送给 Tag 读写器；(7)Tag 读写器比较自 Tag 接收到的 ID 是否与后端数据库发送过来的 ID 一致,如一致,则认证通过；否则,认证失败。由上述过程可以看出，Hash-Lock 协议中没有 ID 动态刷新机制,并且 metaID 也保持不变, ID 是以明文的形式通过不安全的信道传送,因此 Hask-Lock 协议非常容易受到假冒攻击和重传攻第 15 页 共 41 页击,攻击者也可以很容易地对 Tag 进行追踪。也就是说,Hask-Lock 协议完全没有达到其安全目标。3.2 随机化 Hash-Lock 协议随机化 Hash-Lock 协议由 Weis 等人提出,它采用了基于随机数的询问-应答机制,其协议流程如图 3.2 所示： Query Get all IDs R,H(IDk|R) ID1,ID2,IDn IDkDBIDReaderTagID 图 3.2 随机化 Hash-Lock 协议随机化 Hash-Lock 协议的执行过程如下:(1)Tag 读写器向 Tag 发送 Query 认证请求；(2)Tag 生成一个随机数 R,计算 H(IDkR),其中 IDk 为 Tag 的标识。Tag 将( R,H(IDkR)发送给 Tag 读写器；(3)Tag 读写器向后端数据库提出获得所有 Tag 标识图 3.2 随机化 Hash-Lock 协议的请求；(4)后端数据库将自己数据库中的所有 Tag 标识(ID1 ,ID2 , , IDn)发送给 Tag 读写器；(5)Tag 读写器检查是否有某个 IDj(1 j n) ,使得 H(IDjR)=(IDkR) 成立；如果有,则认证通过,并将 IDj 发送给 Tag；(6)Tag 验证 IDj 与 IDk 是否相同,如相同,则认证通过。在随机化 Hash-Lock 协议中,认证通过后的 Tag 标识 IDk 仍以明文的形式通过不安全信道传送,因此攻击者可以对 Tag 进行有效的追踪。同时,一旦获得了 Tag 的标识 IDk,攻击者就可以对 Tag 进行假冒。当然,该协议也无法抵抗重传攻击。因此,随机化 Hash-Lock 协议也是不安全的。不仅如此,每一次 Tag 认证时,后端数据库都需要将所有 Tag 之标识发送给读写器,二者之间的数据通信量很大。就此而言,该协议也不实用。3.3 Hash 链协议第 16 页 共 41 页本质上, Hash 链协议也是基于共享秘密的询问-应答协议。但是,在 Hash 链协议中,当使用两个不同杂凑函数的 Tag 读写器发起认证时,Tag 总是发送不同的应答,其协议流程如图 3.3 所示。值得提出的是,作者声称 Hash 链协议具有完美的前向安全性。 Query G(St,j) IDt At,j=G(St,j)ReaderTagSt,j+1H(St,j)St,j图 3.3Hash 链协议在系统运行之前,Tag 和后端数据库首先要预共享一个初始秘密值 st,1,则 Tag 和 Tag 读写器之间执行第 j 次 Hash 链的过程如下:(1)Tag 读写器向 Tag 发送 Query 认证请求；(2)Tag 使用当前的秘密值 st,j 计算 at,j=H(st,j),并更新其秘密值为 st,j+1=H(st,j)。Tag 将 at,j 发送给 Tag 读写器；(3)Tag 读写器将 at,j 转发给后端数据库；(4)后端数据库系统针对所有的 Tag 数据项查找并计算是否存在某个 IDt(1tn) 以及是否存在某个 j(1 t m),其中 m 为系统预设置的最大链长度)使得 at,j=G(Hj-1(st,1)成立。 如果有,则认证通过,并将 IDt 发送给 Tag；否则,认证失败。实质上,在 Hash 链协议中, Tag 成为了一个具有自主 ID 更新能力的主动式 Tag。同时,由上述流程可以看出, Hash 链协议是一个单向认证协议,即它只能对 Tag 身份进行认证。不难看出,Hash 链协议非常容易受到重传和假冒攻击,只要攻击者截获某个 at,j,它就可以进行重传攻击,伪装 Tag 通过认证。此外,每一次 Tag 认证发生时,后端数据库都要对每一个 Tag 进行 j 次杂凑运算,因此其计算量也很大。同时,该协议需要两个不同的杂凑函数,也增加了 Tag 的制造成本。 DBFor all IDt,At,j=G(Hj-1(St,j) IDt, St,j第 17 页 共 41 页 (Anonymous-ID) a杂凑函数 G杂凑函数 H图 3.4 Hash 链协议中的主动式Tag 原理3.4 分布式 RFID 询问-应答认证协议Rhee 等人提了一种适用于分布式数据库环境的 RFID 认证协议,它是典型的询问-应答型双向认证协议,其协议流程如图 3.5 所示： Query,Rreader H(ID|Rreader|Rtag) Rreader,Rtag H(ID|Rreader|Rtag),Rtag H(ID|Rtag) H(ID|Rtag)DBID ReaderTagID 图 3.5分布式 RFID 询问-应答认证协议该分布式 RIFD 询问-应答协议的执行过程如下:(1)Tag 读写器生成一秘密随机数 Rreader,向 Tag 发送 Query 认证请求,将 Rreader 发送给 Tag；(2)Tag 生成一随机数 Rtag, 计算 H(IDRreaderRtag),其中 ID 为 Tag 之标识。Tag 将 ( 第 18 页 共 41 页H(IDRreaderRtag), Rtag)发送给 Tag 读写器；(3)Tag 读写器将 (H(IDRreaderRtag), Rreader , Rtag)发送