2024 RFID安全协议解析

RFID安全协议解析RFID的安全主要感知层安全，包括RFID安全威胁和安全关键技术。重点：RFID安全威胁和防护技术

内容：RFID安全主要技术2密码相关技术除了可实现隐私保护，还可以保护RFID系统的机密性、真实性和完整性，并且密码相关技术具有广谱性，在任何标签上均可实施。但完善的密码学机制一般需要较强的计算能力，对标签的功耗和成本是一个较大的挑战。迄今为止，国内外的学者对RFID安全协议进行了大量研究，并设计和提出了大量用于各种场合和环境的安全认证协议。2、密码相关技术3基于Hash函数的安全通信协议基于随机数机制的安全通信协议基于服务器数据搜索的安全通信协议基于逻辑算法的安全通信协议基于重加密机制的安全通信协议基于加密算法的安全认证协议（1）基于Hash函数的安全通信协议

①Hash锁协议数据库读写器电子标签metaID(key,ID)1.QueryMetaIDkeyID(metaID,key,ID)(metaID,ID)metaID=H(key)在初始化阶段，每个标签有一个ID值，并指定一个随机的Key，计算metalID=Hash(Key)，把ID和metalID存储在标签中。后端数据存储每一个标签的密钥Key，metalID、ID。优点：标签运算量小，数据库查询块，实现了标签对读写器的认证；缺点：空中数据不变，明文传递，标签可被跟踪、窃听和克隆；重放攻击、中间人攻击、拒绝服务攻击均可奏效。4②

随机Hash-Lock协议采用基于随机数的询问-应答机制。ID1，ID2…IDn数据库读写器电子标签获取所有ID号QueryR，H（IdkR)IDkID1，ID2…IDn(ID)1、标签计算两次，工作量大；2、读写器计算所有ID，计算量大；3、不能防止重放攻击4、发送IDk，暴露（1）基于Hash函数的安全通信协议标签除HASH函数外，嵌入了伪随机数发生器，后端数据库存储所有标签的ID。阅读器首先查询标签，标签返回一个随机数R和H（IDK|R),阅读器对数据库中的所有标签计算H（IDK|R)，直到找到相同的HASH为止。5优点：解决了标签隐私性问题；实现了阅读器对标签认证

③

供应链RFID协议数据库读写器电子标签kHilK随机数a(k)Hash(TagID)，TagIDReaderID,Hash(TagID)a(k)=Hash(ReaderIDk)Hash(TagID)TagIDHash(TagID)1、标签需要Hash，增加了标签成本、功耗和运行时间；2、不能防止重放攻击；3、监听Hash（TagID），跟踪标签；4、阅读器管理TID，难度大5、一个地点的所有标签共享同一个ReaderID,安全性不高。（1）基于Hash函数的安全通信协议协议解决了机密性、真实性和隐私性问题。简单明了，数据库查询速度快。6④

相互认证RFID安全系统（改进上个协议：标签认证和加密信息获取）数据库读写器电子标签ka(k)=Hash(ReaderIDk)H（TagID)TagIDE(userinfo)userinfoHilKa(k)H（TagID)rH[H（TagID)r]请求加密信息E(userinfo)ReadID,Hash(TagID)E(userinfo)Hash(TagID)，TagIDE(userinfo)，userinfo1标签需要Hash；2、不能防止重放攻击；3、E(userinfo)加重跟踪标签；4、阅读器管理TID，难度大，管理userinfo，多事（1）基于Hash函数的安全通信协议7⑤

移动型RFID安全协议数据库读写器电子标签1.Query2.ID3.r随机数4.Hash(s,r)5.ID,r,Hash(s,r)6.DATA安全信道不安全信道IDisiDATAi1标签需要Hash；2、不能防止重放攻击；3、ID不变，跟踪标签；4、管理秘密值Si难度大因为系统越大，Si越多。（1）基于Hash函数的安全通信协议协议解决了机密性、真实性和隐私性问题。简单明了。8IDisi后端数据库读写器电子标签RH(Key),H(keyR）Query，R(H(key),ID,Key,Pointer)(ID，Key)IDk，H(IDkR）H(Key),H(keyR）H(IDkR）⑥Reader-Tag安全协议流程1、标签需要2个Hash，4次计算；2、攻击者可以发同一R，跟踪标签；3、标签存在数据更新问题，识别距离减半。更新Key=S(Key)更新Key=S(Key)（1）基于Hash函数的安全通信协议协议解决了机密性、真实性和隐私性问题。数据库搜索速度快，并可从失步中恢复。9开始TID=LST∆TID=TID-LSTID=ID⊕R保存⑦基于Hash的ID变化协议数据库读写器电子标签H(ID),TIDQuery[H(ID),ID,TID,LST,AE](ID,TID,LST)H(TIDID)R,H(RTIDID)H(ID),TIDR,H(RTIDID)更新Key=S(Key)开始TID+1，计算∆TID=TID-LST，ID=ID⊕R保存H(TID||ID)（1）基于Hash函数的安全通信协议初始状态：标签存储ID，TID（上次发送序号，LST（最后发送序号），且TID=LST；后端数据库存储（HID）、ID、TID、LST、AE）。在每一次认证过程中都改变了与阅读器交换的信息。每次会话TID都会加1,TID加1导致Hash值每次不一样，避免跟踪，比较复杂10开始TID=LST∆TID=TID-LSTID=ID⊕R保存⑦基于Hash的ID变化协议数据库读写器电子标签H(ID),TIDQuery[H(ID),ID,TID,LST,AE](ID,TID,LST)H(TIDID)R,H(RTIDID)H(ID),TIDR,H(RTIDID)更新Key=S(Key)开始TID+1，计算∆TID=TID-LST，ID=ID⊕R保存H(TID||ID)（1）基于Hash函数的安全通信协议1、阅读器向标签发送查询命令；2、标签将自身TID加1，计算H（ID），∆TID=TID-LST，H（TID||ID），然后将3个值发送给阅读器；阅读器将收到的3个数转发给数据库；3、数据库根据H（ID），搜索标签，找到后利用TID=LST+∆TID计算出TID，然后计算H（TID||ID），并与接收到的标签数据比较，如果相等则通过认证；通过认证后，更新TID、LST=TID及ID=ID⊕R，其中R是随机数，然后数据库计算H（R||TID||ID），并随R一起发送给阅读器；阅读器转发给标签；4、标签利用自身保存的TID、ID及收到的R计算H（R||TID||ID），判断是否与收到的是否相等，相等则通过认证，更新LST=TID，ID=ID⊕R11特点：TID加1导致Hash值每次都不同，避免跟踪。问题：1、干扰造成不同步；2、攻击者发送查询命令，记录第二步的三个记录，发给阅读器，从而使数据库更新，造成不同步；3、攻击阻止阅读器发给标签，也可造成不同步；4、攻击者发送两次查询，可以跟踪标签开始TID=LST∆TID=TID-LSTID=ID⊕R保存⑦基于Hash的ID变化协议数据库读写器电子标签H(ID),TIDQuery[H(ID),ID,TID,LST,AE](ID,TID,LST)H(TIDID)R,H(RTIDID)H(ID),TIDR,H(RTIDID)更新Key=S(Key)开始TID+1，计算∆TID=TID-LST，ID=ID⊕R保存H(TID||ID)（1）基于Hash函数的安全通信协议12⑧LCAP协议（连接控制访问协议）读写器电子标签(HaIDID)数据库当前HaIDIDTDDATA先前HaIDIDTDDATA1.Query，R2.HaID=H(ID),HL(IDR)5.HR(IDR)3.HaID=H(ID),R,HL(IDR)4.HR(IDR)=LCAP协议的执行过程如下：（1）读写器生成一秘密随机数R，向标签发送Query认证请求，将R发送给标签；（2）标签计算HaID=H（ID）和HL（ID||R），其中ID为标签的标识，HL表示Hash函数H输出的左半部分，标签将（HaID，HL（ID||R））发送给读写器；（3）读写器将（HaID，R，HL（ID||R））发送给后台数据库：

（1）基于Hash函数的安全通信协议13（4）后台数据库查询预先计算好的Hash值Hash（ID）是否与所接收到的HaID一致。如果一致，认证通过，更新数据库中的ID=ID⊕R，相应更新Hash值，以备下次查询；然后用旧的ID计算HR（ID||R），并通过阅读器转发给标签；（5）标签验证HR（ID||R）的有效性，如果有效，则更新其ID为ID=ID⊕R。

（1）基于Hash函数的安全通信协议协议解决了机密性、真实性和隐私性问题。并且数据库可预先计算H(ID)，数据库搜索速度快。缺点：1、标签需要Hash；2、两次请求可以获得H(ID)，跟踪标签；3、攻击造成不同步；4、ID有可能与其他标签一致；标签不能抵抗重放攻击，因为用同样的R(可以截获)和HR（ID||R），这样可以重放了；5、攻击和干扰可造成ID不同步。14⑨LCAP改进协议区别更新ID=ID⊕S，非ID=ID⊕R，S由数据库选择，这样保证ID的唯一性，但S明文传送，容易篡改，如果S全0，ID异或没有变化，容易跟踪，且造成数据库与标签不同步。（1）基于Hash函数的安全通信协议15

⑩RFID反跟踪安全通信协议标签和数据库共享密钥K，K同时作为标签的标志。标签存储一个可更新的时间戳Tt，并实现一个带密钥的Hash函数Hk。数据库保存一个时间戳Tr。Tr每隔一定周期变化一次，当其变化时数据库预先计算并保存所有标签的Hash值Hk（Tr）。（1）基于Hash函数的安全通信协议1、读写器发送当前时间戳Tr到标签；2、标签比较时间戳Tr与Tt，若Tr大于Tt，则阅读器合法，用Tr更新Tt，计算并返回Hk（Tr）；3、后端数据库搜索标签返回值，若有效则认证通过。此处Tr作为时间戳。协议解决了机密性、真实性和隐私性问题。提出了通过时间戳的自然变化防止标签跟踪，数据库也预先计算，搜索速度快。并且数据库可预先计算H(ID)，数据库搜索速度快。缺点：Tr不具有机密性，伪造Tr通过认证；计算量大，识别距离减半16（2）基于随机数机制的安全通信协议①UHFRFID隐私增强保护方案（移动电话）设想：用户购买商品后马上把标签的原ID结合随机数加密后生成新的ID写入标签。当需要根据ID查询商品信息时，再用手机解密，并且再次生成并写入新的随机密文。优点：简单，标签不需要增加任何功能。缺点：用户手机需要集成阅读器；用户需要不时对标签加密，商品数量多时困难l；密钥管理困难；未考虑相互认证。17

②基于PUF的安全和隐私方案PUF(PhysicalUnclonableFunctions)是一组微型延迟电路，利用提取芯片制造过程中不可避免产生的差异，生成无限多个、唯一的、不可预测的“密钥”。这些密钥是动态随机生成的，它使用口令/响应机制进行验证。PUF系统收到一个随机的64位的代码后，会同时生成一个唯一的随机的64位(或者更长)代码作为响应。由于芯片制造过程中产生的差异本身具有不可模仿和复制的特性，即使是芯片的制造厂商也不可能从另外一个芯片上复制出一套一模一样的口令响应序列。因此，PUF技术使得芯片具有反仿制的功能。PUF判优电路的工作原理如图1所示。在低成本RFID系统中使用PUF电路有一些好处：对于同样的输入，2个PUF不大可能产生同样的输出。因此PUF具有很好的抗物理攻击性能输出结果不能通过数学运算产生，因此，它不能被预测。64位PUF实现只需要545门。（2）基于随机数机制的安全通信协议18PUF(PhysicalUnclonableFunctions)是一组微型延迟电路，利用提取芯片制造过程中不可避免产生的差异，生成无限多个、唯一的、不可预测的“密钥”。这些密钥是动态随机生成的，它使用口令/响应机制进行验证。PUF系统收到一个随机的64位的代码后，会同时生成一个唯一的随机的64位(或者更长)代码作为响应。由于芯片制造过程中产生的差异本身具有不可模仿和复制的特性，即使是芯片的制造厂商也不可能从另外一个芯片上复制出一套一模一样的口令响应序列。因此，PUF技术使得芯片具有反仿制的功能。PUF判优电路的工作原理如图1所示。在低成本RFID系统中使用PUF电路有一些好处：对于同样的输入，2个PUF不大可能产生同样的输出。因此PUF具有很好的抗物理攻击性能输出结果不能通过数学运算产生，因此，它不能被预测。64位PUF实现只需要545门。

②基于PUF的安全和隐私方案（2）基于随机数机制的安全通信协议19认证协议：假设标签具有一个PUF函数p，一个ID，则每次阅读器查询标签时，标签返回ID，并更新ID=p（ID）。由于PUF的不可预测性，数据库必须在初始化阶段，在一个安全环境中把这些ID序列从标签中收集并保存起来。PUF函数本身受到两个问题的制约：一个是对于相同的输入，两个PUF产生相同输出的概率。另一个是对于相同输入，同一个PUF产生不同输出的概率。其他问题：1、数据库存储量增加过大；2、初始化过程时间过长；3、难以确定需要收集多少初始化数据；4、标签需要更新数据，识别距离减半；5、攻击者可调整功率使标签可读取，但不可更新，即可跟踪标签。

②基于PUF的安全和隐私方案（2）基于随机数机制的安全通信协议20（3）基于服务器数据搜索的安全通信协议服务器与标签共享密钥和ID。服务器保存上次成功密钥和当前密钥。特点：基于流密码，未指定何种算法，仅指出其协议流程基于挑战响应协议。认证成功后，其密钥会被更新。

①Hun-WookKim认证协议Ckey：表示当前密钥；Lkey：:最后一次成功的密钥；Tflag：表示上次认证标签是否成功更新密钥，上次成功则为0，否则随机数；EID：表示加密后的ID，R1，R2，R3表示流密码模块生成的密钥流的前三个字。21（3）基于服务器数据搜索的安全通信协议协议：当标签发出的R1到到数据库时，数据库对R1进行比较，若相等，则认证通过，然后把R2发送到标签；标签与R2进行比较，若相等，则认证通过。双方在认证通过时，将把当前密钥更新为R3。

①Hun-WookKim认证协议22数据库针对所有标签数据生成密钥流。数据库可以预先存储密文。（3）基于服务器数据搜索的安全通信协议

①Hun-WookKim认证协议优点：该协议基本解决了隐私性、真实性和机密性问题，其优点：一是提出了用流密码实现，比分组密码复杂度低；二是利用密钥更新增大了破解难度；三是当密钥同步时，数据库搜索速度快。缺点：一是当密钥不同步时，数据库需要针对所有标签进行加密运算，不适合较大的系统；二是攻击者给阅读器发送任意数据，将引起数据库执行全库计算，非常容易产生拒绝服务；三是标签需要更新数据，造成识别距离减半。23（3）基于服务器数据搜索的安全通信协议②基于密钥矩阵的RFID安全协议

24（3）基于服务器数据搜索的安全通信协议②基于密钥矩阵的RFID安全协议协议：1、读写器询问标签2、标签计算X=K1S，并将其通过阅读器转发给数据库；253、后端数据库查找X，计算K1-1X，并与数据库中的S比较，若相等则认证通过；然后计算Y=K2S；选取Snew，计算Z=K2Snew，Xnew=K1Snew，用Snew和Xnew更新数据库字段；把Y、Z通过阅读器转发给标签；4、标签用Y计算出S认证阅读器，若认证通过，则用Z计算出Snew标更新原S。（3）基于服务器数据搜索的安全通信协议②基于密钥矩阵的RFID安全协议该协议基本解决了隐私性、真实性和机密性问题，其优点：1、数据库搜索速度很快；2、引入密钥矩阵加密，运算量不大。缺点：1、矩阵乘法加密的安全性堪忧，只要一个明文和密文对即可破解密钥；如果用低价矩阵，甚至难以对抗唯密文攻击；2、两次成功认证之后可跟踪标签；3、干扰或攻击失步；4、标签需要更新数据；5、密钥管理问题。26（4）基于逻辑算法的安全通信协议LMAP(LightweightMutualAuthenticationProtocol)协议

是一种轻量级的相互认证协议,仅使用300个逻辑门应用于RFID系统的标签和阅读器之间的相互认证。LMAP协议基于“假名”IDS的使用，用简单的逻辑运算:异或、或、模2加来提供系统的安全性,并将96位的密钥分成4组单独的子密钥,每次运算过程中更新密钥值和假名,这样可以防止位置跟踪和重传攻击。标签存储了一系列的IDS(96位),阅读器每次发送询问消息给标签时,标签都释放一个不同的IDS。每个标签都与一个密钥值相关。随机数由阅读器通过随机数字发生器来产生。由于大多数低成本的标签都是被动的,所以通信过程由阅读器开始。27（4）基于逻辑算法的安全通信协议1、标签的识别：在进行相互认证之前,阅读器必须识别标签。阅读器向标签发送询问信号(query),标签发送假名IDS来进行回答。通过使用假名IDS,确保只有经过授权的阅读器能够访问标签的密钥,这一过程对接下来的认证阶段是非常必要的。28（4）基于逻辑算法的安全通信协议阅读器认证:阅读器产生2个随机数n1和n2。由随机数n1和子密钥K1、K2,产生子消息A和B,见公式⑴和⑵;由随机数n2和子密钥K3,产生子消息C,见公式(3)。3个数发给标签。标签认证:标签从A计算出n1;然后用B认证阅读器。用C得到n2，然后计算D并发给阅读器，阅读器用D认证标签。292、相互认证：此过程基于标签和阅读器之间消息的相互交换。分为阅读器认证和标签认证2步执行。（4）基于逻辑算法的安全通信协议3、假名更新：在阅读器和标签相互认证之后,标签由于其成本低,计算能力有限,假名的更新必须依靠异或、模2加等运算来实现,并且没有增加逻辑门的数量。具体更新过程见公式⑸。4、密钥更新:4个子密钥的更新见公式⑹-⑼。上面，K1、K2、K3、K4为4个子密钥,IDS为假名,n1、n2是由阅读器产生的2个随机数。LMAP协议可以满足RFID系统标签低成本的要求,但是也存在如下缺陷:①阅读器和标签相互认证完毕后,标签产生的消息D由标签的真实ID值参与逻辑运算所得;②密钥和假名更新时,也是由标签的真实ID值参与逻辑运算。以上2种运算极易被攻击者破译得到标签的真实ID值,从而获取标签上存储的信息和用户的隐私。30（5）基于重加密机制的安全通信协议重加密机制是一种不需要在线数据库的重命名方法。重加密方法使用公钥加密机制，但仅依靠读写器完成运算，标签不参与运算，只存储数据1、基于椭圆曲线体制的实现方案：在钞票中嵌入RFID芯片，除认证中心外，任何机构都不能识别标签ID。重加密时，重加密读写器以光线扫描方式获得钞票上印刷的序列号，然后用认证中心的公钥对序列号及随机数加密后重新写入芯片。由于每次加密结果不同，因此，防止了跟踪。2、基于EIGamal算法的通用重加密方案；3、“抗置换”、“检测置换”、“防置换跟踪”方案优点：对标签要求低缺点：1、需要比较多的重加密读写器，成本高；2、需要引入复杂密钥管理机制；3、标签别名不变，易受跟踪；4、系统实用性不强31（6）基于加密算法的安全认证协议基于加密算法的安全认证协议主要特点是在认证过程中采用具有高安全性的加密算法。加密算法根据安全性要求，可采用对称加密算法（DES、3DE、AES等），或者采用RSA和ECC等基于公钥机制的加密算法。主要用于高频RFID安全。“三通互相鉴别”协议。该协议是IS09798-2中采用的加密认证协议，协议中阅读器和电子标签端共享相同的密钥，并采用对称加密算法加密，传递的消息和数据均用随机数和密钥加密。32（6）基于加密算法的安全认证协议过程：1、阅读器发送查询标签；2、标签产生一个随机数Rt，并回送给阅读器；3、阅读器则产生另外一个随机数Rr，并使用共同的密钥K，和共同的密码算法EK，算出一个加密数据T1=EK（Rr|Rt|IDr），并将T1发送给标签,顺带读写器的标识；4、标签解密T1，核对Rt是否正确，若正确，则阅读器通过认证，然后再生成一个随机数Rt2，并计算T2=EK（Rr|Rt2|M），顺带需要传递的信息M，将T2发送给阅读器；5、阅读器解密T2，核对Rr的正确性，若正确，则标签通过认证。33该协议无法应对来自内部的攻击。设想在某一金融系统中，下设多久不同的银行，每个银行都有自己的利益。标签就是银行卡，读写器就是银行的取款ATM机，银行卡与ATM机采用“三通互相鉴别”进行认证，系统内所有读写器和标签都共享相同的密钥。一个用户可以拥有多个银行的卡。其存在的安全风险是，如果某银行将自己读写器A的伪造为代表另一家银行利益的读写器B的

，则可以在别人的银行帐户中取钱，并可以抵