一种RFID隐私保护双向认证协议

1 引 言

无线射频识别(Radio Frequency Identification，RFID)是一种非接触式的自动识别技术，利用它可以在远距离、恶劣环境下对集群目标和移动目标进行快速信息采集和自动识别。因其不需要物理与视觉接触便可以对目标对象进行识别而被看作是一项革命性的新技术。近年来，RFID在供应链管理、动物识别管理、矿井管理、交通管理、电子钱包、生产线自动控制、军事等多领域广泛应用。

一个完整的RFID系统包括数据库服务器、阅读器和标签。虽然数据库本身和阅读器向服务器的认证也存在安全问题，但它们有足够的能源和计算资源，可以采用传统的密码算法来确保其安全。相比之下RFID标签的所带来的安全性和隐私性问题显得尤为突出。RFID标签与阅读器之间的通信媒体是无线电，对攻击者和其它未授权的阅读器是完全暴露的，因此信息的传递缺乏机密性。在缺乏认证的情况下，攻击者可以采用重放合法阅读器或标签信号的方式来假冒，以获得标签或阅读器的信任，进而获取秘密信息。第三方可以监听、干扰、篡改标签和阅读器之间的会话，信息的完整性和可用性难以保证。攻击者也可以通过监听来获取敏感信息，并制造假标签，或通过监听、查询来跟踪标签和标签携带者。由于人们对安全性和隐私性越来越多的关注，有人称RFID标签为“间谍芯片”和“跟踪设备”，并建立组织来抵制任何RFID测试计划。

2 解决安全性和隐私性的相关工作

由于RFID标签尺寸和成本的限制，设计RFID系统安全性和隐私性解决方案是一项富有挑战性的研究工作，也是关系到RFID技术能否进一步发展应用的关键。许多文章讨论了RFID系统的安全性和隐私性，并提出了许多方案。根据所采取的安全机制，这些方案分为物理机制方案和加密机制方案。

2.1 物理机制方案

物理机制主要有：Kill命令机制、静电屏蔽、阻塞法等。

“Kill命令机制”是在设计标签时使之能够接受一个Kill命令。带标签的产品在卖点扫描结账后，向标签发出该命令，使标签自动失效。完全杀死标签可以完美的阻止扫描和追踪，但对于消费者来说，牺牲了RFID标签所有售后利益，比如售后服务、智能家庭应用、产品交易与回收等。而且在很多情况下，标签不能被杀死，比如图书馆、租用商店等，他们必须保证标签能够被再次使用。

“静电屏蔽”是指将标签或带标签的产品放入特制的具有静电屏蔽功能的容器中再携带，使之不能与外界进行电磁耦合，也就不会被访问到。但显然这种方法需要一个额外的物理设备，增加了系统的成本。

阻塞法依靠编入标签识别码的可修改位来保护隐私性，这一位称为隐私位，为0表示可以公开扫描，为1表示是私有。阻塞法依赖树遍历反冲突协议来起作用。除此之外，由于不可靠的RFID传输，可以造成阻塞的失败。随着阅读器的发展，可以利用信号强度等特征来过滤阻塞信号。

2.2 加密机制方案

在目前提出的方案中采用的协议大多都是询问／响应的协议模式，不同之处在于所采用的算法不同。主要有基于单向Hash函数和基于传统加密算法两类。

基于单向Hash函数的安全协议主要包括Hashlock协议、随机化Hash lock协议、Hash链协议、基于杂凑的ID变化协议、分布式RFID询问／响应认证协议、LCAP协议等。文献[1，4，5]提出的协议容易受到重传和假冒攻击。文献[7]提出的方案在匹配标签ID时需要计算所有标签ID和所交换随机数的Hash值，对于拥有大量标签的RFID系统，后端数据库计算量太大。文献[6，8]提出的方案用升级ID来防止重放攻击，但存在数据库与标签数据不同步的隐患。

基于传统的加密算法的安全协议，文献[9]提出基于矩阵乘法的认证方案，由于标签存储能力的限制，矩阵阶数不能太大，因此作者分析了该方案存在的弱点是不能防止野蛮密钥攻击。文献[10]提出基于椭圆曲线的公钥认证方案。文献[11]提出的方案基于零知识证明思想。这类协议大部分在计算量和通信量上较大，适合于电能、计算能力和存储能力限制不大的主动式RFID标签，不适合于低成本RFID标签。

3 零知识泄露的双向RFID认证协议

提出一种零知识泄露的双向RFID认证协议。对于低成本RFID标签来说，该协议有合适的通信量和计算量，并能够有效地保护RFID系统的安全性和隐私性。首先，我们给出协议的主要思想，定义协议的假设，然后给出协议的描述。

为方便和简化协议的描述，定义：T表示标签，R表示阅读器，B表示后端数据库系统，A表示攻击者。

3.1 主要思想

由前面的安全性和隐私性分析可以看出，RFID安全弱点来自T和R之间不安全的无线通信接口。A可以干扰、篡改或窃听T和R之间的通信，使T和B的数据不同步，可以对T和R实施重放攻击，也可以在不被察觉的情况下跟踪标签持有者的位置和行为，并模仿合法的T或R。而基于零知识证明的身份认证机制的基本思想是：信息的拥有者可以在无需泄漏密秘信息的情况下就能够向验证者证明它拥有该信息。因此，基于零知识的身份认证机制很适合于RFID系统。

我们的协议采用在R与T之间传送零知识认证消息(Zero-knowledge Authentication Message，ZAM)的方式，在不泄露标签ID的情况下，实现R和T之间的双向认证，并为以后的会话提供一个一次一换的随机会话密钥(Random Session Key，RSK)和可以作为会话序号的时间戳(Date Timestamp，DT)。

3.2 假设

我们的方案主要针对低成本标签中可以执行同步加密操作的一类标签(也称为同步密钥标签)，这类标签是目前低成本标签的主流和发展趋势。根据Auto-ID中心的试验数据，在设计5美分标签时，集成电路芯片的成本不应该超过2美分，也就是说用于安全和隐私保护的门电路数量不能超过2.5k～5k个。根据文献[12]，实现一个Hash函数单元只需要1.7k个门电路，实现一个随机数发生器(Pseudorandom Number Generator，PRNG)也仅需要数百个门电路。因此，我们假设T有一个单向Hash函数H()，有一个随机数发生器，有一定的存储能力，有基本的运算能力(如XOR)。T和B有相同的单向Hash函数，并预共享一个会话密钥(Session Key，SK)。

R和B有很大的计算机能力，因此假设R和B之间的通信信道是安全的。

3.3 协议描述

协议执行过程如图1所示。