吴立知， 李秦伟， 赵 欣

（贵州大学，贵州 贵阳 550025）

0 引言

无线射频识别技术是自动识别技术的一种，通过无线射频方式进行非接触双向数据通信，对目标加以识别并获取相关数据[1]。在射频识别系统中，由于标签强大的追踪能力，RFID越来越多地被应用到与安全相关的各个领域，从而对安全功能提出了很高的要求。RFID系统面临的最主要的安全威胁是标签和阅读器之间的交互数据可以被攻击者技术监听以及任何读写器都可不经认证读取标签的内容，系统的安全问题主要包括信息隐私问题和数据认证问题[2]。信息隐私问题是指阅读器无需安全认证即可读标签的内容,由此可引发标签被跟踪问题和信息泄露问题；数据认证问题是指标签在被阅读器读取时无需经过认证，因此会引发包括标签内容被克隆、标签数据被篡改等安全问题。RFID的安全问题被日渐提上研究日程,《中国射频识别技术政策白皮书》中指出，RFID的共性和前瞻性技术包括安全算法和实现技术[3]。而国内RFID安全研究才处于起步阶段，RFID应用是一个高度复杂的产业化问题，作为一种新兴技术，RFID在中国大量普及行业应用之前，还有很长的一段路要走，而标准的研究和制定是首要前提。

1 RFID 的安全问题分析

RFID系统面临的主要安全威胁可分为两类：

1）物理系统的威胁，如电磁干扰、设备故障和断电等威胁，对于此类威胁，可以通过保持系统原理电磁干扰源，及时维修故障设备、加不间断电源UPS等方法予以解决[4]；

2）人员对系统的攻击，包括假冒攻击、伪造攻击、复制攻击和重放攻击等[5]。

假冒攻击是指攻击者使用合法用户丢失的电子标签来进行攻击。此类攻击具有随机性和时间性，目前主要是通过及时挂失或注销合法用户的丢失标签来进行防范。

伪造攻击是通过伪造系统认可的合法用户标签来进行攻击。实现该攻击的代价高，周期长，但无法避免管理者或前管理者攻击，须通过加强系统管理员的监督机制等来防止攻击。

复制攻击是指通过复制合法用户的电子标签信息，达到享受顶替别人消费或非授权进入建筑物的目的。该手段实现的代价较低，是最常见的攻击手段，防范的关键在于将电子标签进行完善的数据加密，防止用户的标签被复制。

重放攻击是攻击者以窃听无线电通信的方法，将用户的重要记录重放，骗取系统的信任，从而达到攻击目的。防范这类攻击，需要加强对访问的安全认证以及数据传输过程的加密。

2 已有的RFID安全协议

迄今为止，已经有许多种安全协议被相继提出，下面将介绍几种具有代表性的RFID安全协议，并对其安全性质进行分析。

Sarma 等人于 2003年提出了Hash一 Lock协议[6]，可以有效地避免信息泄漏和被追踪。该协议是由标签的真实 ID经过杂凑运算得到 metaID，并使用metaID来代替真实的标签ID。但是由于Hash一Lock协议中，认证通过后的标签ID是以明文的形式通过非加密信道传送的，并且缺少ID动态刷新机制，因此攻击者可以很容易地对标签进行追踪，Hash一Lock协议非常容易受到重传和假冒攻击。

针对Hash一Lock协议的缺陷，Weis等人提出了随机化Hash一Lock协议（2004）[7]。该协议采用了基于随机数的询问一应答机制，具有完美的前向安全性，从而实现了标签的访问控制和信息的隐匿；但是标签标识ID仍是以明文形式通过非加密信道进行传送的，还是容易受到多种的攻击。

Ohkubo等人提出了Hash链协议(2004)[8]。该协议是基于共享秘密的询问一应答协议，进一步解决了 RFID标签易被跟踪的问题。但是在标签向读写器发出认证信息时，只要攻击者截获了一次有效信息，就可以对系统进行重放攻击，因此Hash链协议无法保证系统的安全性，同时协议的执行效率也比较低下。

Rhee等人在 2005年提出了分布式询问一应答认证协议[9]。该协议是典型的询问一应答型双向认证协议，目前还没有发现该协议有明显的缺陷或安全漏洞。但是，标签中集成了随机数产生器和杂凑函数模块；而且每执行一次认证协议标签要进行两次杂凑运算，标签成本增加，所以并不适用于于低成本的RFID系统。

3 针对轻量级RFID系统的安全认证协议

针对上述方案的缺陷，文中改进的基于流密码算法的轻量级 RFID安全认证协议，既能在认证环节中重复利用标签的内在硬件资源，从而达到降低成本的目的，提高了资源的利用效率，也能够在认证过程中完成必要的密钥更新和密钥协商的步骤，能够对窃听、位置跟踪、重放与同步性破坏等威胁有免疫作用，有效地保障了RFID系统的安全性能。

如图1所示，认证过程分成8个步骤，所有的加密操作都采用流密码方式：

l)首先阅读器（Reader）在通信范围内，向标签(Tag)发送请求信号Query和一个与ID位数相同的随机数RT1。

2)收到信号的标签随即计算Ks( ID)以及a=Ks( ID)⊕RT1，异或结果可以保证每次传输的数据发生变化，防止信息被跟踪。然后计算t=Ks( RT1)，最后将数据t，a通过安全的信道传送给阅读器。

3)阅读器将收到的数据连同RT1一起发给后台数据库(Database)。

4)后台数据库对接收到的数据a和RT1进行异或运算，并寻找相对应的ID号和密钥Ks，然后用密钥Ks对随机数RT1进行加密计算t'=Ks(RT1)，并与t进行比较。如果 t'=t，则身份鉴定完成，认为电子标签是合法的。进而数据库对应这个标签生成用于阅读器和标签之间交流的新密钥Ks'，并产生一个长度与Ks'相同的随机数Rb（为了保证前向安全性），然后计算e=Ks( ID⊕Ks'⊕Rb)，以及Ks( Rb)。最后，后台数据库把Ks'、e和Ks( Rb)一起传送给阅读器。

5)阅读器收到数据后，把和电子标签进行无线通信的密钥Ks'留下来，同时生成另一个随机数RT2，并且计算Ks'( RT2)，把它和e、Ks( Rb)一同传给标签。

6)标签收到数据后，首先用密钥Ks解密 e和Ks( Rb)，可以获得ID⊕Ks'⊕Rb和Rb，再跟变换之后的ID'与Rc进行模2加，得到新的密钥Ks'。标签继续对Ks'( RT2)其进行解密，得到RT2，然后计算Ks（'R- 1)（为了防止重放攻击）；同时标签产生一T2个随机数RA，并进行加密计算Ks'( RA)，最后标签把这两个数据一起发给阅读器。

7)阅读器先自己计算Ks（'RT2-1)，再将其和标签发来的数据进行比较，如果相等，即完成了阅读器对标签的二次认证，然后解密数据Ks'( RA)，得到RA，再计算Ks'( RA-1)，并将它传送给标签。

8)电子标签在收到数据后，先自己计算Ks'( RA-1)，并将其和发来的信息进行比较，如果相等，则对阅读器的身份鉴定完成，认为阅读器合法，双方认证过程到此结束。最后电子标签和数据库同时销毁旧密钥Ks。

4 结语

在文中提出的基于流密码的认证协议中,标签和阅读器之间进行多次的双向认证，可以确保通信双方的合法性。分析结果显示该协议具有认证性、保密性和完整性。另外, 使用通过修改的基于流密码的 RFID安全认证协议，为标签省去了随机数生成模块，只需要一个加解密模块，有效地节省了生产成本。同时，促使攻击者必须在成功欺骗数据库端和标签的情况下，才能实现攻击，成功概率非常小，达到了安全认证的目的。目前对低成本 RFID安全技术的研究还处于初级阶段,现有的一些成果都是局部的、零星的、不系统的,还不能真正完全解决低成本RFID的安全问题。如何设计安全、实用、低成本的RFID安全协议仍是以后研究的重点。

[1] 谭民,刘禹,曾隽芳.RFID技术系统工程及应用指南[M].北京:机械工业出版社,2007.

[2] 丁治国.RFID关键技术研究与实现[D],北京:中国科学技术大学,2009.

[3] 唐静,姬东耀.基于LPN问题的RFID安全协议设计与分析[J].电子与信息学报,2009,31(02):439-443.

[4] 陈民,邹传云.基于非线性译码问题的RFID安全协议[J].通信技术，2010,43(07):118-122.

[5] 邓淼磊,黄照鹤,鲁志波.EPCGen2标准下安全的RFID认证协议[J].计算机科学,2010,37(07):115-117.

[6] LUO Z W,ZHOU S J.Enhancement of a Lightweight RFID Security Protocol [J].Journal of University of Electronic Science and Technology of China,2007,36(06):153-155.

[7] NIU Z H,WU X H.A New Lightweight Authentication Protocol for the RFID System[J]. Chinese Journal of Engineering Mathematics,2010,27(05):939-942.

[8] 武岳山.无源RFID系统中多标签识别的基本原理[J].中国自动识别技术,2008(04):48-52.

[9] 蒋邵岗,谭杰.RFID中间件数据处理与过滤方法的研究[J].计算机应用,2008,28(10):2613-2615.