RFID安全协议的设计与分析

计　　算　　机　　学　　报

CHINESEJOURNALOFCOMPUTERS

Vol.29No.4

Apr.2006

　RFID安全协议的设计与分析

周永彬　　冯登国

(中国科学院软件研究所信息安全国家重点实验室　北京　100080)

摘　要　回顾了已有的各种RFID安全机制,重点介绍基于密码技术的RFID安全协议;分析了这些协议的缺陷;讨论了基于可证明安全性理论来设计和分析RFID安全协议的模型和方法.关键词　RIFD系统;安全协议;可证明安全性;安全模型中图法分类号TP309

DesignandAnalysisofCryptographicProtocolsforRFIDZHOUYong2Bin　FENGDeng2Guo

(StateKeyLaboratoryofInformationSecurity,InstituteofSoftware,ChineseAcademyofSciences,Beijing　100080)

Abstract　Recently,RFIDsystemisbeingwidelyconsideredasamaintechnologytorealizeubiquitouscomputingenvironment,butthefeaturesoftheRFIDsystemsandtheconstraintsofRFIDdevicesmaybringaboutvariousprivacyproblems.ThebiggestchallengeforRFIDtechnol2ogyistoprovidebenefitswithoutthreateningtheprivacyofconsumers.ThispaperreviewstheexistingRFIDsystemsecuritymechanisms,withafocusoncryptographicprotocols.Weaknessesorflawsintheseprotocolsareexamined.Thenatheoreticalmodelandmethodtodesignandana2lyzeRFIDprotocolswithintheprovablesecurityframeworkisdiscussed.

Keywords　RFIDsystem;cryptographicprotocol;provablesecurity;securitymodel

1　引　言

无线射频识别(RFID)系统是使用无线射频技

术在开放系统环境中进行对象识别.这种识别的优点之一是无需物理接触或其它任何可见的接触.现在,许多人已将RFID系统看作是一项实现普适计算环境的有效技术.RFID应用十分广泛,例如,它可以用于生产和销售管理场合以简化供应链管理并实现对存货成本的有效控制,可以代替传统的二维条形码用于数字图书馆管理,可用于动物研究和饲养中的动物识别,可用于防伪造的电子护照系统,甚至可以用于构建智能自组网络环境,等等.

部署和使用RFID系统时,关键的问题之一是要确保只有授权用户能够识别各个标签(Tag),而攻击者无法对这些标签进行任何形式的跟踪.尽管可追踪性问题(最主要的RFID保密性问题)经常被这项技术的支持者所低估,抑或有时被其责难者所夸大,但它确实阻碍了这项技术的推广和应用.使用密码学方法来解决可追踪性问题是一种被研究了多年的方法.迄今为止,已经有许多RFID安全协议被提出,如Hash2Lock协议[1,2]、随机化Hash2Lock协议[3]、Hash链协议[4]、基于杂凑的ID变化协议[5]、David的数字图书馆RFID协议[6]、分布式RFID询问2响应认证协议[7]、LCAP协议[8]、再次加密机制[9,10]等等.但是,到目前为止,还缺乏一个实用的形式化的RFID系统攻击者模型,当然更缺乏

收稿日期:2005212213;修改稿收到日期:2006201213.本课题得到国家自然科学基金(60503014,60273027,60573042)资助.周永彬,男,

1973年生,博士,副研究员,主要研究领域为网络与信息安全理论与技术.E2mail:zhouyongbin@sina.com.冯登国,男,1965年生,博士,

研究员,博士生导师,目前主要从事信息和网络安全的研究.

582计　　算　　机　　学　　报2006年

针对这些协议进行的严格的形式化分析和证明.

尽管用于认证和识别用途的密码技术已相对比较成熟,但是,到目前为止,由于组成RFID系统的必备设备Tag的特殊性和局限性,设计安全、高效、低成本的RFID安全机制仍然是一个具有挑战性的课题.本文将详细介绍这类协议,并分析这些协议中所存在的安全缺陷.现有的基于密码技术的RFID安全机制大致可以分为两大类:静态ID机制以及动态ID刷新机制.所谓“静态ID机制”就是Tag的标识保持不变,而“动态ID刷新机制”则是Tag的标识随着每一次Tag与Tag读写器之间的交互而动态变化.采用动态ID刷新机制时,一个非常重要的问题就是“数据同步问题”,也就是说,后端数据库中所保存的Tag标识必须和存储在Tag中的标识同步进行刷新,否则,在下一次认证识别过程中就可能出现合法Tag无法通过认证和识别的系统异常.此外,与其它系统设备不同,在RFID系统中,Tag面临的一个其它设备通常不会面对的主要威胁就是它很有可能会突然掉电(例如,绝大多数低成本的Tag都是依靠外部环境的电磁感应供给能量),这种情况出现时,我们希望RFID安全协议或机制应该仍然是健壮的(Sudden2loss2of2PowerRobust).

基于可证明安全性理论和方法来进行安全协议的设计和分析,是近来安全协议研究领域的一个重要的研究方向,相关研究也取得了较为丰富的成果.但是,使用可证明安全性理论和方法来设计和分析RFID协议的研究还很少.针对这个问题,本文进行了尝试性探索,提出了一个RFID协议安全模型,并给出了相应的安全性定义.

本文第2节简要介绍RFID系统的基本构成、通信模型以及基本的安全需求和安全机制;第3节介绍已有的RFID协议,分析这些协议中存在的安全缺陷和安全漏洞;第4节讨论使用可证明安全性理论和方法来分析RFID安全协议安全性的方法,提出一个RFID系统攻击者模型,并且定义RFID协议的安全性;第5节总结全文.

图1　RFID系统基本构成

后端数据库可以是运行于任意硬件平台的数据库系统,可由用户根据实际的需要自行选择,通常假设其计算和存储能力强大,同时它包含所有Tag的信息.Tag读写器实际是一个带有天线的无线发射与接收设备,它的处理能力、存储空间都比较大.RFID标签是配备有天线的微型电路.Tag通常没有微处理器,仅由数千个逻辑门电路组成,因此要将加密或者签名算法集成到这类设备中确实是一个不小的挑战.Tag和Tag读写器之间的通信距离受到多个参数的影响,特别是通信频率.目前,主要有两种通信频率的RFID系统共存:一种使用13156MHz,一种使用860～960MHz(通信距离更长).

依据其能量来源,可以将Tag分为三大类:被动式Tag、半被动式Tag以及主动式Tag,其特点如表1所示.

表1　Tag分类及其特点

被动式Tag半被动式Tag主动式Tag

能量来源被动式内部电池内部电池

发送器被动被动主动

最大距离(m)

　10

1001000

依据其功能,可以将Tag分为五大类:Class0,Class1,Class2,Class3和Class4,其功能依次增强,如表2所示.

表2　Tag分类及其功能

种类

ClassClassClassClassClass01234能量来源被动式任意任意内部电池内部电池别名防盗窃Tag

EPCEPC传感器Tag

存储

None

智能颗粒只读读写读写读写特点EAS功能仅用于识别数据日志记录环境传感器自组网络2　RFID系统的基本构成与安全需求

本部分将简要介绍RFID系统的基本构成、通信模型以及基本的安全需求等.2.1　RFID系统的基本构成

RFID系统一般由三大部分构成:RFID标签(Tag)、RFID标签读写器以及后端数据库,如图1所示.

Tag读写器到Tag之间的信道称为“前向信(forwardchannel),而Tag到Tag读写器之间道”

(backwardchannel).由的信道则称为“反向信道”

于Tag读写器与Tag的无线功率差别很大,前向信道的通信范围远远大于反向信道的通信范围.这种固有的信道“非对称”性自然会对RFID系统安全机制的设计和分析产生极大的影响.

一般而言,我们通常做如下基本假设:Tag与

4期周永彬等:RFID安全协议的设计与分析583

Tag读写器之间的通信信道是不安全的,而Tag读

写器与后端数据库之间的通信信道则是安全的.这也是出于对RFID系统设计、管理和分析方便的考虑.

2.2　RFID系统的通信模型

ISO/IEC18000标准定义了Tag读写器与Tag之间的双向通信协议[11],其基本的通信模型如图2所示.

图2　RFID系统的通信模型

由图2可以看出,RFID系统的通信模型由三层组成,从下到上依次为:物理层、通信层和应用层.物理层主要关心的是电气信号问题,例如频道分配、物理载波等,其中最重要的一个问题就是要载波“切

(singulation)问题.通信层定义了Tag读写器与割”

Tag之间双向交换数据和指令的方式,其中最重要的一个问题就是解决多个Tag同时访问一个Tag读写器时的冲突问题;应用层用于解决和最上层应用直接相关的内容,包括认证、识别以及应用层数据的表示、处理逻辑等.通常情况下,我们所说的RFID安全协议指的就是应用层协议,本文所讨论的所有RFID协议都属于这个范畴.

但是,也有学者认为,可追踪性问题必须针对RFID通信模型的各层来整体解决,任何一个单层面的解决方案都是不全面的,都有可能导致RFID系统出现明显的安全弱点和漏洞[12].实际上,这一观点与信息安全中的“深度防御”策略不谋而合.除此之外,我们还认为,在部署和实施RFID系统的安全方案时,同时还应该综合考虑多种其它因素,例如可扩展性、系统开销、可管理性等.2.3　RFID系统的安全需求

RFIDTag设备具有一些局限性,例如有限的计算能力、有限的存储空间(RFID标签的存储空间极其有限,最便宜的Tag只有～128bit的ROM,仅可容纳唯一标识符)、外形很小、电源供给有限等.所有这些特点和局限性都对RFID系统安全机制的设计带来了特殊的要求,也使得设计者对密码机制的选择受到很多.正因为此,设计安全、高效、低成本的RFID协议成为了一个新的具有挑战性的问题,也吸引了许多国际一流密码学家的

关注和投入(如Rivest,Wanger等)[3,6,13].

RFID系统很容易受到各种攻击,主要由于它的通信过程中没有任何物理或者可见的接触(通过电磁波的形式进行).因此,RFID系统必须能够抵抗各类形式的攻击,如监听、主动攻击、跟踪以及拒绝服务等.一般说来,一个安全的RFID系统都应该解决如下3个基本的安全问题:保密性、信息泄漏和可追踪性.

2.4　RFID安全机制

当前,实现RFID安全性机制所采用的方法主要有三大类:物理方法、密码机制以及二者的结合,下面对其进行简要的介绍.2.4.1　物理安全机制使用物理方法来保护RFIDTag安全性的方法主要有如下几类:Kill命令机制[3]、静电屏蔽[2]、主动干扰[13]以及BlockerTag方法[13]等.这些方法主要用于一些低成本的Tag中,之所以如此,主要是因为这类Tag有严格的成本,因此难以采用复杂的密码机制来实现与Tag读写器之间的安全通信.

“Kill命令机制”采用从物理上毁坏Tag的办法.一旦对Tag实施了Kill毁坏命令,Tag便不可能再被重用;此外,另外一个重要的问题就是难以验证是否真正对Tag实施了Kill操作.“静电屏蔽”(也称为)可以对Tag进行屏蔽,使“FaradayCage”

之不能接收任何来自Tag读写器的信号,但是这自然需要一个额外的物理设备,既造成了不便,也增加了系统的成本.“主动干扰”机制则可能带来法律问题,而“BlockerTag”方法也需要一个额外的Tag.鉴于物理安全机制存在的种种缺点,在最近的RFID系统中,提出了许多基于密码技术的安全机制.2.4.2　基于密码技术的安全机制

与基于物理方法的硬件安全机制相比,基于密码技术的软件安全机制受到人们更多的青睐,其主要研究内容则是利用各种成熟的密码方案和机制来设计和实现符合RFID安全需求的密码协议.这已经成为当前RFID安全研究的热点.目前,已经提出了多种RFID安全协议,例如Hash2Lock协议[1,2]、随机化Hash2Lock协议[3]、Hash链协议[4]等.但是,遗憾的是,现有的大多数RFID协议都存在着各种各样的缺陷,第3节将对此进行详细的分析.

3　RFID安全协议

到目前为止,已有多种RFID安全协议被提出.

584计　　算　　机　　学　　报2006年

分析这类协议时,我们仍然基于关于RFID系统信

道的基本假设来进行.此外,我们还假定这些协议所使用的基本密码构造,如伪随机生成函数、加密、签名算法、MAC机制以及杂凑函数等[14],都是安全的.本文中,我们用H和G来表示两个不同的抗碰撞的安全杂凑函数,f则表示一个安全的伪随机函数.3.1　Hash2Lock协议

Hash2Lock协议[1,2]是由Sarma等人提出的,为了避免信息泄漏和被追踪,它使用metaID来代替真实的标签ID.其协议流程如图3所示.

图4　随机化Hash2Lock协议

的请求;

4.后端数据库将自己数据库中的所有Tag标识(ID1,ID2,…,IDn)发送给Tag读写器;

5.Tag读写器检查是否有某个IDj(1ΦjΦn),使得H(IDj‖R)=(IDk‖R)成立;如果有,则认证通过,并将IDj发送给Tag;

6.Tag验证IDj与IDk是否相同,如相同,则认证通过.

图3　Hash2Lock协议Hash2Lock协议的执行过程如下:1.Tag读写器向Tag发送Query认证请求;2.Tag将metaID发送给Tag读写器;3.Tag读写器将metaID转发给后端数据库;

4.后端数据库查询自己的数据库,如果找到与metaID

匹配的项,则将该项的(key,ID)发送给Tag读写器,其中

ID为待认证Tag的标识,metaID=H(key);否则,返回给

Tag读写器认证失败信息;

5.Tag读写器将接收自后端数据库的部分信息key发

送给Tag;

6.Tag验证metaID=H(key)是否成立,如果成立,则将其ID发送给Tag读写器;

7.Tag读写器比较自Tag接收到的ID是否与后端数据库发送过来的ID一致,如一致,则认证通过;否则,认证失败.

在随机化Hash2Lock协议中,认证通过后的Tag标识IDk仍以明文的形式通过不安全信道传送,因此攻击者可以对Tag进行有效的追踪.同时,一旦获得了Tag的标识IDk,攻击者就可以对Tag进行假冒.当然,该协议也无法抵抗重传攻击.因此,随机化Hash2Lock协议也是不安全的.

不仅如此,每一次Tag认证时,后端数据库都需要将所有Tag之标识发送给读写器,二者之间的数据通信量很大.就此而言,该协议也不实用.3.3　Hash链协议

本质上,Hash链协议[4]也是基于共享秘密的询问2应答协议.但是,在Hash链协议中,当使用两个不同杂凑函数的Tag读写器发起认证时,Tag总是发送不同的应答,其协议流程如图5所示.值得提出的是,作者声称Hash链协议具有完美的前向安全性.

由上述过程可以看出,Hash2Lock协议中没有ID动态刷新机制,并且metaID也保持不变,ID是以明文的形式通过不安全的信道传送,因此Hask2Lock协议非常容易受到假冒攻击和重传攻击,攻击者也可以很容易地对Tag进行追踪.也就是说,Hask2Lock协议完全没有达到其安全目标.3.2　随机化Hash2Lock协议

随机化Hash2Lock协议[3]由Weis等人提出,它采用了基于随机数的询问2应答机制,其协议流程如图4所示.

随机化Hash2Lock协议的执行过程如下:

1.Tag读写器向Tag发送Query认证请求;

2.Tag生成一个随机数R,计算H(IDk‖R),其中IDk

图5　Hash链协议

在系统运行之前,Tag和后端数据库首先要预共享一个初始秘密值st,1,则Tag和Tag读写器之间执行第j次Hash链的过程如下:

1.Tag读写器向Tag发送Query认证请求;

2.Tag使用当前的秘密值st,j计算at,j=H(st,j),并

更新其秘密值为st,j+1=H(st,j).Tag将at,j发送给Tag读写器;

3.Tag读写器将at,j转发给后端数据库;

4.后端数据库系统针对所有的Tag数据项查找并

为Tag的标识.Tag将(R,H(IDk‖R))发送给Tag读写器;

3.Tag读写器向后端数据库提出获得所有Tag标识

计算是否存在某个IDt(1ΦtΦn)以及是否存在某个j(1Φ

tΦm,其中m为系统预设置的最大链长度)使得at,j=

4期周永彬等:RFID安全协议的设计与分析585

G(Hj-1(st,1))成立.如果有,则认证通过,并将IDt发送给ID),ΔTID发送给Tag读写器;其中,H(ID)可以使得后端

Tag;否则,认证失败.

实质上,在Hash链协议中,Tag成为了一个具有自主ID更新能力的主动式Tag,如图6所示.同时,由上述流程可以看出,Hash链协议是一个单向认证协议,即它只能对Tag身份进行认证.不难看出,Hash链协议非常容易受到重传和假冒攻击,只要攻击者截获某个at,j,它就可以进行重传攻击,伪装Tag通过认证.此外,每一次Tag认证发生时,后端数据库都要对每一个Tag进行j次杂凑运算,因此其计算载荷也很大.同时,该协议需要两个不同的杂凑函数,也增加了Tag的制造成本.

数据库恢复出Tag的标识,ΔTID则可以使得后端数据库恢复出TID,进而计算出H(TID3ID);

3.Tag读写器将H(ID),H(TID3ID),ΔTID转发给后端数据库;

4.依据所存储的Tag信息,后端数据库检查所接收到数据的有效性.如果所有的数据全部有效,则它产生一个秘密随机数R,并将(R,H(R3TID3ID))发送给Tag读写器.然后,数据库更新该Tag的ID为ID󰂽R,并相应地更新TID和LST.

5.Tag读写器将R,H(R3TID3ID)转发给Tag;

6.Tag验证所接收的信息的有效性;如果有效,则认证通过.

图6　Hash链协议中的主动式Tag原理

3.4　基于杂凑的ID变化协议

基于杂凑的ID变化协议[5]与Hash链协议相似,每一次回话中的ID交换信息都不相同.该协议可以抗重传攻击,因为系统使用了一个随机数R对Tag标识不断进行动态刷新,同时还对TID(最后一次回话号)和LST(最后一次成功的回话号)信息进行更新,其协议流程如图7所示.

由上述可知,Tag是在接收到消息5且验证通过之后才更新其ID和LST信息的,而在此之前,后端数据库已经成功地完成相关信息的更新.因此,如果此时攻击者进行攻击(例如,攻击者可以伪造一个假消息,或者干脆实施干扰使Tag无法接收到该消息),则就会在后端数据库和Tag之间出现严重的数据不同步问题.这也就意味着合法的Tag在以后的回话中将无法通过认证.也就是说,该协议不适合于使用分布式数据库的普适计算环境,同时存在数据库同步的潜在安全隐患.3.5　David的数字图书馆RFID协议

David等提出的数字图书馆RFID协议[6]使用基于预共享秘密的伪随机函数来实现认证,其协议流程如图8所示.

系统运行之前,后端数据库和每一个Tag之间需要预先共享一个秘密值s.该协议的执行过程如下:

1.Tag读写器生成一秘密随机数RR,向Tag发送Query认证请求,将RR发送给Tag;

2.Tag生成一个随机数RT,使用自己的ID和秘密值s

)发送给Tag读计算σ=ID󰂽fs(0,RR,RT).Tag将(RT,σ

图7　基于杂凑的ID变化协议

基于杂凑的ID变化协议的执行过程如下:

1.Tag读写器向Tag发送Query认证请求;

2.Tag将当前回话号加1,并将H(ID),H(TID3

写器;

)转发给后端数据库;3.Tag读写器将(RT,σ

4.后端数据库检查是否有某个IDj(1ΦjΦn),使得IDj=σ󰂽fs(0,RR,RT)成立;如果有,则认证通过,并计算β=IDi󰂽fs(1,RR,RT),然后将β发送给Tag读写器;

5.Tag读写器将β转发给Tag;

6.Tag验证ID=β󰂽fs(1,RR,RT)是否成立,如成立,

图8　David的数字图书馆RFID协议

586计　　算　　机　　学　　报2006年

则认证通过.

到目前为止,还没有发现该协议具有明显的安

全漏洞.但是,为了支持该协议,必需在Tag电路中包含实现随机数生成以及安全伪随机函数两大功能模块,故而该协议完全不适用于低成本的RFID系统.3.6　分布式RFID询问2应答认证协议

Rhee等人提了一种适用于分布式数据库环境的RFID认证协议,它是典型的询问2应答型双向认证协议[7],其协议流程如图9所示.

有,则认证通过,并将H(IDj‖RTag)发送给Tag读写器;

5.Tag验证H(IDj‖RTag)=H(ID‖RTag)是否相同,如相同,则认证通过.

到目前为止,还没有发现该协议有明显的安全漏洞或缺陷.但是,在本方案中,执行一次认证协议需要Tag进行两次杂凑运算.Tag电路中自然也需要集成随机数发生器和杂凑函数模块,因此它也不适合于低成本RFID系统.3.7　LCAP协议

LCAP协议[8]也是询问2应答协议,但是与前面的同类其它协议不同,它每次执行之后都要动态刷新Tag的ID,其协议流程如图10所示.　　LCAP协议的执行过程如下:

1.Tag读写器生成一秘密随机数R,向Tag发送Query

图9　分布式RFID询问2应答认证协议该分布式RIFD询问2应答协议的执行过程如下:

1.Tag读写器生成一秘密随机数RReader,向Tag发送Query认证请求,将RReader发送给Tag;

2.Tag生成一随机数RTag,计算H(ID‖RReader‖RTag),其中ID为Tag之标识.Tag将(H(ID‖RReader‖RTag),RTag)发送给Tag读写器;

3.Tag读写器将(H(ID‖RReader‖RTag),RReader,RTag)

发送给后端数据库;

4.后端数据库检查是否有某个IDj(1ΦjΦn),使得H(IDj‖RReader‖RTag)=H(ID‖RReader‖RTag)成立;如果

认证请求,将R发送给Tag;

2.Tag计算HaID=H(ID)和HL(ID‖R),其中ID为Tag之标识,HL表示杂凑函数H输出的左半部分.Tag将(HaID,HL(ID‖R))发送给Tag读写器;

3.Tag读写器将(HaID,R,HL(ID‖R))发送给后端数据库;

4.后端数据库检查Prev数据条目中HaID的值是否与所接收到的HaID一致.如果一致,则使用R和Prev数据条目中的ID信息来计算HR(ID‖R),其中HR表示杂凑函数H输出的右半部分.然后,后端数据库更新Curr数据条目中的信息如下:HaID=H(ID󰂽R),ID=ID󰂽R.Prev数据条目中的TD数据域设为HaID=H(ID󰂽R).最后,将HR(ID‖R)发送给Tag读写器.

5.Tag读写器将HR(ID‖R)转发给Tag.

6.Tag验证HR(ID‖R)的有效性.如果有效,则更新其ID为ID=ID󰂽R.

图10　LCAP协议

由上述可知,Tag是在接收到消息5且验证通

过之后才更新其ID的,而在此之前,后端数据库已经成功完成相关ID的更新.因此,与基于杂凑的ID变化协议的情况类似,LCAP协议也不适合于使用分布式数据库的普适计算环境,同时亦存在数据库同步的潜在安全隐患.3.8　再次加密机制(Re2encryption)

RFID标签的计算资源和存储资源都十分有限,因此极少有人设计使用公钥密码的RFID安全机制.到目前为止,公开发表的基于公钥密码机制的RFID安全方案只有两个:(1)Juels等人提出的用于欧元钞票上Tag标识的建议方案[9];(2)Golle等人提出的可用于实现RFID标签匿名功能的方案[15].

上述两种方案都采用了再次加密机制,但两者还是有显著的不同:Juels等人的方案基于一般的安全的公钥加密/签名方案,同时给出了一种基于椭圆曲线的实现方案(包括安全参数的选择,有关性能分析等);在这种方案中,完成再次加密的实体知道被加密消息的所有知识(本方案中特指钞票的序列号).而Golle等人的方案则采用了基于ElGamal

(UniversalRe2ecryption)技的“通用再加密”

4期周永彬等:RFID安全协议的设计与分析587

术,这种方案中,完成对消息的再次加密无需知道关于初始加密该消息所使用的公钥的任何知识.到目前为止,还没有发现Juels等人方案的明显安全漏洞和弱点,但是Golle等人提出的方案被指出存在安全弱点和漏洞[10,16].

4　RFID协议的安全模型及安全性

密码协议的安全性分析和证明长期以来一直是信息安全研究的热点和难点问题,从事计算机科学和密码学研究的人员对此进行了不懈的研究,也取得了较为丰硕的研究成果;但是,时至今日,这个问题仍然没有很好地解决.密码协议和其它协议不同,人们也许永远无法知道攻击者下一步将采取什么样的攻击手段,有时甚至恰恰就是在那些被认为相当安全的细节之处出现了微妙的漏洞,要知道即便这样一个微小的漏洞或缺陷有时对于一个聪明的攻击者来说已经足够.也许,这也正是密码协议安全设计和分析的魅力所在.证明密码协议的正确性与安全性的理论和方法通常可以分为两大类:形式化方法和计算复杂性方法[17].形式化方法可使协议设计者通过系统分析将注意力专注于接口、系统环境假设、系统在不同条件下的状态、条件不满足时系统出现的(异常)情况以及系统不变量等,并通过系统验证为协议提供必要的安全保证;而计算复杂性方法通常又被称为可证明安全性方法,它基于一些最基础的假设或公理(例如,假设单向函数存在,或某些计算问题的困难性等),采用规约的方法,将协议的安全目标规约到一个已知或公认的困难问题.关于这两种方法的详细介绍,请参见文献[17].

计算复杂性方法采用了演绎推理方法(例如,从某个已知的假设推出一个结论的逻辑过程),其重点则放在攻破协议到某个公认为困难问题的可证明规约.其中,随机预言机模型(ROM)[18,19]就是这样一种应用最广泛的成功模型,基于ROM模型的理论和方法也被称为可证明安全理论.可证明安全理论和技术始自20世纪80年代初期[20,21],最初用于分析加密方案和签名方案的安全性,后来则用于分析密码协议的安全性[18,19].使用可证明安全性理论来证明协议的安全性主要包括以下5个主要过程:

(1)模型描述;

(2)该模型内安全目标定义;(3)安全假设说明;(4)协议描述;

(5)协议在该安全模型内达到其安全目标的

证明.4.1　一种RFID协议攻击者模型

目前,使用上述两种方法专门来研究RFID协议安全性的公开成果几乎没有.本文仅讨论使用可证明安全性理论和方法来证明和分析RFID协议的一些思考,主要讨论模型描述以及该模型内的安全目标定义(可证明安全性理论中最为关键的部分之一).首先,我们讨论一下RFID系统环境下的攻击者模型.一个RFID系统是由多个主体和通信信道构成.对RFID协议进行安全性分析时,通常将后端数据库和Tag读写器当作同一个和唯一的通信实体来对待.这种处理方法符合大多数RFID系统通信信道安全假设.鉴于前向信道与反向信道的不对称性(见图1),我们将他们分别进行处理.这样,攻击者所能获得的信息仅来自于RFID系统的信道,如图11所示.在该模型中,所有实体的通信都在攻击者的控制之下,攻击者可以任意地读取、插入、删除、篡改、延迟发送、重放任何的消息,也可以在任何时候发起与任何实体的任意回话.

图11　RFID系统信道模型

下面我们用Oracle查询来模型化攻击者的能力.用T表示Tag,用R表示Tag读写器,两者参与的RFID协议为P.协议双方都可以发起P的多个

j

实例,用πiT表示第i个Tag实例,用πR表示第j个Tag读写器实例.攻击者可以进行如下Oracle查询:

i

Query(πT,m1,m3):该查询刻画了攻击者通过前向信道向T发送消息m1,并在接收到T的应答后再向T发送消息m3;

i

Send(πR,m2):该查询刻画了攻击者通过反向信道向R发送消息m2,并接收R之应答;

ji

Execute(πT,πR):该查询刻画了攻击者执行T和R之间的协议P的一个实例,并获得通过前向信道和反向信道交换的所有消息;

j3i

Execute(πT,πR):该查询刻画了攻击者执行T和R之间的协议P的一个实例,但是攻击者仅能获得通过前向信道交换的所有消息;

i

Corrupt(πT,sk):该查询刻画了攻击者收买T的能力,使T泄漏自己私有存储空间内的秘密信

588计　　算　　机　　学　　报2006年

息,并可能会使用攻击者提供的秘密信息sk来代

替原T存储区中的内容(依据使用的算法和场景的不同,可能是共享秘密或者公钥).4.2　安全目标定义

令Α{Q,S,E,E3,C},其中Q,S,E,E3,C分别表示上述几种Oracle查询.攻击者与目标T以及可能的R进行一定的交互过程之后,获得一个交互记录Ωl(T).攻击者的攻击目的是要区分T1和T2,以便确认出他所攻击的目标.此时,攻击者也可以分别与T1和T2再次进行交互过程,并可以获得两个交互记录Ωl1(T)和Ωl2(T).此时,给定协议P,攻击者的优势定义为

AdvP()=2Pr[T1=T2]-1.

如果攻击者的优势AdvP()是可忽略的,则说协议P是2安全的.

securityandprivacyimplications.In:KaliskiB.S.,KocC.K.,PaarC.eds..Proceedingsofthe4thInternationalWork2shoponCryptographicHardwareandEmbeddedSystems(CHES2002).LecturesNotesinComputerScience2523.Ber2lin:Springer2Verlag,2003,4～4692

SarmaS.E.,WeisS.A.,EngelsD.W..Radio2frequencyidentification:Securerisksandchallenges.RSALaboratoriesCryptobytes,2003,6(1):2～93

WeisS.A.,SarmaS.E.,RivestR.L.,EngelsD.W..Securi2tyandprivacyaspectsoflow2costradiofrequencyidentificationsystems.In:HutterD.,MüllerG.,StephanW.,UllmannM.eds..Proceedingsofthe1stInternationalConferenceonSecurityinPervasiveComputing.LecturesNotesinComputerScience2802.Berlin:Springer2Verlag,2004,201～2124

OhkuboM.,SuzukiK.,KinoshitaS..Hash2chainbasedfor2ward2secureprivacyprotectionschemeforlow2costRFID.In:Proceedingsofthe2004SymposiumonCryptographyandIn2formationSecurity(SCIS2004),Sendai,2004,719～7245HenriciD.,MullerP..Hash2basedenhancementoflocationprivacyforradio2frequencyidentificationdevicesusingvaryingidentifiers.In:Proceedingsofthe2ndIEEEAnnualConfer2enceonPervasiveComputingandCommunicationsWorkshops(PERCOMW’04),Washington,DC,USA,2004,149～1536

MolnarD.,WagnerD..PrivacyandsecurityinlibraryRFID:Issues,practices,andarchitectures.In:Proceedingsofthe11thACMConferenceonComputerandCommunicationsSecu2rity(CCS’04),Washington,DC,USA,2004,210～2197

RheeK.,KwakJ.,KimS.,WonD..Challenge2responsebasedRFIDauthenticationprotocolfordistributeddatabaseen2vironment.In:HutterD.,UllmannM.eds..Proceedingsofthe2ndInternationalConferenceonSecurityinPervasiveCom2puting(SPC2005).LecturesNotesinComputerScience3450.Berlin:Springer2Verlag,2005,70～848

LeeS.M.,HwangY.J.,LeeD.H.,LimJ.I..Efficientau2thenticationforlow2costRFIDsystems.

In:GervasiO.,

GavrilovaM.L.,KumarV.,Lagan󰂢A.,LeeH.P.,MunY.,TaniarD.,TanC.J.K.eds..ProceedingsoftheInterna2tionalConferenceonComputationalScienceandItsApplica2tions(ICCSA2005).LecturesNotesinComputerScience3480.Berlin:Springer2Verlag,2005,619～6279

JuelsA.,PappuR..SquealingEuros:PrivacyprotectioninRFID2enabledbanknotes.In:WrightR.N.ed..Proceedingsofthe7thInternationalConferenceonFinancialCryptography(FC’03).LecturesNotesinComputerScience2742.Berlin:Springer2Verlag,2003,103～12110

SaitoJ.,RyouJ.C.,SakuraiK..Enhancingprivacyofuni2versalre2encryptionschemeforRFIDtags.In:YangL.T.,GuoM.,GaoG.R.,JhaN.K.eds..ProceedingsoftheInter2nationalConferenceonEmbeddedandUbiquitousComputing(EUC2004).LecturesNotesinComputerScience3207.Ber2lin:Springer2Verlag,2004,879～011

InternationalOrganizationforStandardization.ISO/IEC1800023.InformationTechnologyAIDCTechniques2RFIDforItemManagement,March200312

AvoineG.,OechslinP..RFIDtraceability:Amultilayerproblem.In:PatrickA.S.,YungM.eds..Proceedingsofthe

5　结　论

RFID已被大多数人认为是实现普适计算环境的一种主要技术,其广泛的应用场景,低廉的成本,部署实施的简单性,已经越来越多地吸引着用户、研究人员和IT厂商.但是,RFID系统以及设备自身

所具有的许多特殊性和局限性也会带来各种各样的安全问题.RFID技术面临的最大挑战就是让消费者在其隐私安全问题不受到威胁的前提下从中得益.基于密码技术的RFID安全协议是一种实现和保护RFID系统安全性的重要方法,也是当前该领域研究的热点问题.本文详细讨论了已有的RFID协议,分析了这些协议中存在的安全缺陷和漏洞.本文的研究结果表明:目前尚不存在一个安全、高效、实用的低成本RFID安全协议.

设计安全、高效、低成本的实用RFID安全协议具有很大的挑战性,既有应用环境与RFID设备的特殊性和局限性,也有与已有国际相关标准的兼容性问题.基于可证明安全性理论来设计和分析RFID安全协议,提出适用于RFID系统环境的协议模型,对于设计和分析安全的RFID协议具有重要的现实和理论意义,这是一个值得探索和研究的领域.使用本文中给出的RFID协议攻击者模型与安全目标定义,分析已有RFID协议的安全性,将是本文的一个后续工作.随着可证明安全理论和分析技术的进一步完善,我们有理由相信这个领域的研究会有所突破.

参考

1

文献

SarmaS.E.,WeisS.A.,EngelsD.W..RFIDsystemsand

4期周永彬等:RFID安全协议的设计与分析

21

5

9thInternationalConferenceonFinancialCryptographyandDataSecurity(FC2005).LecturesNotesinComputerScience3570.Berlin:Springer2Verlag,2005,125～14013

JuelsA.,RivestR.L.,SzydloM..Theblockertag:SelectiveblockingofRFIDtagsforconsumerPrivacy.In:Proceedingsofthe10thACMConferenceonComputerandCommunicationsSecurity(CCS2003),Washington,DC,USA,2003,103～11114

MenezesA.,OorschotP.V.,VanstoneS..HandbookofAp2pliedCryptography(1stEdition).NewYork:CRCPress,199615

GolleP.,JakobssonM.,JuelsA.,SyversonP..Universalre2encryptionformixnets.In:OkamotoT.ed..ProceedingsoftheCryptographers’TrackattheRSAConference2004(CT2RSA2004).LecturesNotesinComputerScience29.Berlin:Springer2Verlag,2004,163～1781617

AvoineG..Adversarialmodelforradiofrequencyidentifica2tion.Availableathttp://eprint.iacr.org/2005/049.pdfProceedingsofSKLOISSecurityProtocolWorkshop.StateKeyLaboratoryofInformationSecurity,Beijing,2004(inChinese)(信息安全国家重点实验室安全协议研讨会文集.北京:信息安GoldwasserS.,MicaliS.,RivestR.L..Adigitalsignatureschemesecureagainstadaptivechosen2messegeattacks.SIAMJournalofComputing,1988,17(2):281～308

22FloerkemeierC.,LampeM..IssueswithRFIDusageinubiq2uitouscomputingapplications.In:FerschaA.,MatternF.eds..Proceedingsofthe2ndInternationalConferenceonPer2vasiveComputing(PERVASIVE2004).LecturesNotesinComputerScience3001.Berlin:Springer2Verlag,2004,188～193

23AvoineG.,OechslinP..Ascalableandprovablysecurehash2basedRFIDprotocol.In:Proceedingsofthe2ndIEEEInternation2alWorkshoponPervasiveComputingandCommunicationSecurity(PerSec2005),Washington,DC,USA,2005,110～114

24GoodN.,MolnarD.,UrbanJ.M.,MulliganD.,MilesE.,QuilterL.,WagnerD..RadiofrequencyIDandprivacywithinformationgoods.In:Proceedingsofthe2004ACMWork2shoponPrivacyintheElectronicSociety(WPES’04),Wash2ington,DC,USA,2004,41～42

25mCloak:Personal/corporatemanagementofwirelessdevicesandtechnology,2003.Availableathttp://www.mobilecloak.com

全国家重点实验室,2004)

18

BellareM.,RogawayP..Entityauthenticationandkeydistri2bution.In:StinsonD.R.ed..AdvancesinCryptology2CRYPTO’93.LectureNotesinComputerScience773.Berlin:Springer2Verlag,1993,232～24919

BellareM.,RogawayP..Provablysecuresessionkeydistribu2tion:Thethreepartycase.In:Proceedingsofthe27thACMSymposiumohtheTheoryofComputing,1995,57～6620

GoldwasserS.,MicaliS..Probabilisticencryption.Specialis2sueofJournalofComputerandSystemsSciences,1984,28(2):270～299

26JuelsA..Minimalistcryptographyforlow2costRFIDtags.In:BlundoC.,CimatoS.eds..Proceedingsofthe4thInterna2tionalConferenceonSecurityinCommunicationNetworks(SCN2004).LecturesNotesinComputerScience3352.Ber2lin:Springer2Verlag,2005,149～1

27EPCglobalInc.EPCTagDataStandardsVersion111.Brussels2004.Availableathttp://www.epcglobalinc.org/standards_techno_logy/EPCTag2DataSpecification11rev124.pdf

28FinkenzellerK..RFID2Handbook,FundamentalsandAppli2cationsinContactlessSmartCardsandIdentification(2ndEdi2tion).NewYork:WileyandSons,2003

ZHOUYong2Bin,bornin1973,Ph.D.,associateprofessor.Hisresearchinterestsincludetheoriesandtechnologiesfornetworkandinformationsecurity.

FENGDeng2Guo,bornin1965,professorandPh.D.supervisor.Hemainlyengagedintheresearchanddevelop2mentofinformationandnetworksecurity.

Background

TheworkofthispaperissupportedbytheNationalNat2uralScienceFoundationofChinaundergrantNo160503014,60273027and60573042.

Radiofrequencyidentification(RFID)hasbeenwidelybelievedtobeanimportantandubiquitousinfrastructuretechnology.However,thefeaturesoftheRFIDsystemsandtheconstraintsofRFIDdevicesmaybringaboutvariouspri2vacyproblems.ThebiggestchallengeforRFIDtechnologyistoprovidebenefitswithoutthreateningtheprivacyofcon2sumers.Duetothelimitedcomputationandstoragecapabili2tiesofRFIDdevices,designingasecure,efficient,low2costandpracticalprotocolforthemstillremainstobeagreat

challenge.

Therehavebeenmanypapersintheliteraturethatat2tempttoaddressthesecurityconcernsraisedbytheuseofRFIDtags.Thesesolutionsaregenerallydividedintothreebroadcategories:physicalprotectionmechanism,crypto2graphicprotocolandthecombinationofbothofthem.TheauthorsreviewtheexistingRFIDsystemsecuritymecha2nismswithamainfocusoncryptographicprotocols,investi2gatetheweaknessorflawsoftheseprotocols,andthenpro2poseatheoreticalmodelandmethodwithintheprovablese2curityframeworktodesignandanalyzeRFIDprotocols.