RFID標(biāo)簽的安全建模及對(duì)EPC CIG2協(xié)議的改進(jìn)
1 引言
未來(lái)RFID的標(biāo)簽將在各個(gè)領(lǐng)域得到廣泛的應(yīng)用.在商業(yè)的應(yīng)用中,標(biāo)簽芯片可以附著在商品上用來(lái)對(duì)商品進(jìn)行防偽,同時(shí)可以記錄商品的生產(chǎn)信息和使用信息;在物流應(yīng)用中,將標(biāo)簽芯片貼在流通物品外包裝上,使得物品在經(jīng)過(guò)各個(gè)流通點(diǎn)時(shí)能夠自動(dòng)登記,極大的提高流通效率;在工業(yè)的應(yīng)用中,標(biāo)簽芯片可以貼在車間里的產(chǎn)品托盤上來(lái)記錄產(chǎn)品的生產(chǎn)信息.標(biāo)簽芯片是一個(gè)信息集合體,在各種應(yīng)用中,標(biāo)簽或多或少包含了商業(yè)信息,流通信息,工業(yè)信息以及個(gè)人信息.這些信息對(duì)于攻擊對(duì)手來(lái)說(shuō)具有極大的誘惑.攻擊者可以通過(guò)攻擊標(biāo)簽獲取各種信息,這種信息的泄漏對(duì)于商業(yè)、工業(yè)機(jī)密乃至個(gè)人隱私都帶來(lái)了巨大的災(zāi)難.
由于RFID技術(shù)和應(yīng)用環(huán)境的獨(dú)特性,它的安全問(wèn)題非同于常規(guī)的通訊技術(shù),根據(jù)對(duì)于RFID標(biāo)簽可能受到的攻擊,本文首先對(duì)標(biāo)簽和讀卡器之間通訊安全進(jìn)行分析,建立了適于RFID標(biāo)簽和讀卡器之間相互通訊的安全模型,提出了RFID標(biāo)簽應(yīng)根據(jù)應(yīng)用歸類于不同的安全等級(jí),并在各個(gè)安全等級(jí)下實(shí)施相應(yīng)的安全措施.依據(jù)這個(gè)模型本文對(duì)EPC Class一1 Gen一2(EPC CIG2)協(xié)議[1]進(jìn)行了安全分析,指出了其中可能出現(xiàn)的安全漏洞,在經(jīng)過(guò)權(quán)衡RFID標(biāo)簽硬件資源以及協(xié)議要求后,本文提出增加標(biāo)簽與讀卡器身份驗(yàn)證與數(shù)據(jù)加密機(jī)制的EPC CIG2協(xié)議改進(jìn)方案.作為未來(lái)的信息識(shí)別技術(shù),RFID的安全和隱私問(wèn)題將引起更廣泛的關(guān)注和研究.
2 RFID標(biāo)簽攻擊分析
2.1 對(duì)RFID標(biāo)簽可能進(jìn)行的攻擊
由于RFID標(biāo)簽與讀卡器采用的是無(wú)線通訊,其通訊信道可長(zhǎng)達(dá)1O米的距離并可以穿透某些介質(zhì),這給攻擊者帶來(lái)了便利.攻擊者可以通過(guò)藏匿在標(biāo)簽或者讀卡器的周圍對(duì)標(biāo)簽或者讀卡器來(lái)進(jìn)行攻擊.另一方面由于RFID應(yīng)用的廣泛性,攻擊者可以比較輕易的獲取標(biāo)簽或讀卡器,并具有充分的時(shí)問(wèn)和精力來(lái)對(duì)標(biāo)簽進(jìn)行探測(cè)和攻擊.從這一點(diǎn)來(lái)說(shuō)是對(duì)于RFID及其不利的.RFID標(biāo)簽與讀卡器通訊本節(jié)以具體的攻擊實(shí)例來(lái)闡述可能針對(duì)RFID標(biāo)簽的攻擊方法.
(1)非法訪問(wèn).攻擊者A擁有未經(jīng)過(guò)授權(quán)的讀寫器,并使用這個(gè)讀寫器來(lái)獲取某類商品標(biāo)簽上的信息.
(2)跟蹤.攻擊者B擁有比較簡(jiǎn)便的測(cè)試儀器,他通過(guò)向標(biāo)簽發(fā)射簡(jiǎn)易的命令,探測(cè)并記錄Tag的后向反射的通訊信息,他善于利用每次探測(cè)到的信號(hào)對(duì)附著這種標(biāo)簽的物品進(jìn)行跟蹤監(jiān)視.
(3)竊聽(tīng).攻擊者C是藏匿在附近只能對(duì)前向通道進(jìn)行探測(cè)的竊聽(tīng)者.由于無(wú)法接近后向信道,它只能獲取讀卡器向標(biāo)簽發(fā)送的有限的數(shù)據(jù).而攻擊者D則是滿腹抱怨的員工的代表,他通過(guò)在合法的讀卡器和標(biāo)簽通訊信道之間設(shè)置一個(gè)探測(cè)器,通過(guò)竊聽(tīng)它們之間的通訊,來(lái)獲取標(biāo)簽上的信息.
(4)偽造.攻擊者E利用竊聽(tīng)到的標(biāo)簽發(fā)射的信號(hào),制造出一個(gè)具有相同發(fā)射信號(hào)的標(biāo)簽,并使用此偽造的標(biāo)簽來(lái)標(biāo)示偽造的商品.
(5)物理攻擊.攻擊者F擁有較全面的實(shí)驗(yàn)設(shè)施,他通過(guò)設(shè)備分析標(biāo)簽芯片上的功耗來(lái)分析標(biāo)簽芯片上負(fù)載的數(shù)據(jù).
(6)數(shù)據(jù)演繹.攻擊者G利用某種手段獲得了某一種標(biāo)簽的數(shù)據(jù),然后寄希望于使用演繹的方法,從這一信息中推測(cè)出其他標(biāo)簽上的數(shù)據(jù),以至于掌握整個(gè)系統(tǒng)的數(shù)據(jù).
2.2 RFID標(biāo)簽攻擊者能力分析
RFID標(biāo)簽芯片通訊的安全問(wèn)題不同與常規(guī)通訊系統(tǒng),它特殊的操作方式限制了對(duì)手的攻擊能力:
(1)RFID標(biāo)簽芯片具有一定的讀寫范圍,這迫使攻擊者只能在有限的地理范圍內(nèi)發(fā)起攻擊.由于RFID標(biāo)簽與讀卡器通訊時(shí),讀卡器向標(biāo)簽發(fā)送數(shù)據(jù)時(shí)的前向通道距離較大,而標(biāo)簽向讀卡器發(fā)回?cái)?shù)據(jù)的后向通道距離較小,在一些情況下,攻擊者甚至不能夠獲知標(biāo)簽向讀卡器返回的信息.這種攻擊方式不同于因特網(wǎng)上所發(fā)生的一些攻擊,由于因特網(wǎng)廣闊的覆蓋范圍,黑客可以從因特網(wǎng)所覆蓋的任何一個(gè)角落對(duì)連接在因特網(wǎng)上的其他用戶進(jìn)行攻擊.而針對(duì)RFID標(biāo)簽芯片的攻擊只能在其物理位置周圍的一個(gè)有限范圍之內(nèi).同時(shí)對(duì)RFID標(biāo)簽的前向通道攻擊較容易,而對(duì)于RFID標(biāo)簽的后向通道需要攻擊者很好的隱匿才能發(fā)起攻擊.
(2)RFID標(biāo)簽芯片一般工作在移動(dòng)情況下,這實(shí)際上給竊聽(tīng)或者隱匿在周圍的攻擊者帶來(lái)障礙.由于它的移動(dòng)性,攻擊者不得不在有限時(shí)間內(nèi)發(fā)起攻擊,同時(shí)攻擊的次數(shù)也受到了限制.而因特網(wǎng)的攻擊是沒(méi)有被竊聽(tīng)時(shí)間的限制的.
(3)RFID標(biāo)簽芯片的成本很低,并且是集成電路產(chǎn)品,針對(duì)RFID標(biāo)簽芯片的物理攻擊需要精密的設(shè)備才能進(jìn)行.對(duì)手采用物理攻擊的方法付出成本較高.
3 RFID標(biāo)簽芯片通訊的安全模型
3.1 RFID標(biāo)簽與讀卡器通訊安全模型措施盡管對(duì)于攻擊者有諸多的障礙,但是這并不能說(shuō)RFID標(biāo)簽是安全的,不能說(shuō)這些障礙可以阻止攻擊者獲取標(biāo)簽信息.在現(xiàn)有的RFID系統(tǒng)的安全研究中,[2]針對(duì)RFID標(biāo)簽將在歐元中的應(yīng)用提出了一個(gè)針對(duì)該應(yīng)用的協(xié)議和安全模型;[33提出了一種在零售業(yè)中使用的RFID標(biāo)簽的使用周期的建模;[4]建模了整個(gè)RFID系統(tǒng).RFID系統(tǒng)包括數(shù)據(jù)庫(kù)、以太網(wǎng)、讀卡器和標(biāo)簽等部分,安全問(wèn)題深入各個(gè)通訊模塊,已有研究的建模多是立足于系統(tǒng)或針對(duì)某種應(yīng)用的角度,但是這些模型較為理論,并不能指導(dǎo)實(shí)際標(biāo)簽設(shè)計(jì)和協(xié)議優(yōu)化.本文專門針對(duì)讀卡器與標(biāo)簽通訊建立安全建模方案,該模型可以用來(lái)分析具體的通訊協(xié)議并指導(dǎo)設(shè)計(jì).本模型根據(jù)第二章所提出的一些攻擊案例,提出了9條安全模型措施:
(1)RFID標(biāo)簽必須支持與讀卡器之間的相互驗(yàn)證.這種相互驗(yàn)證的過(guò)程通過(guò)雙方共同約定的驗(yàn)證機(jī)制才能實(shí)現(xiàn).
(2)讀卡器與RFID標(biāo)簽間發(fā)送的數(shù)據(jù)必須以密文方式進(jìn)行傳送,在前向信道上傳輸?shù)南⒉荒軌虺霈F(xiàn)原始內(nèi)容.
(3)RFID標(biāo)簽與讀卡器間發(fā)送的數(shù)據(jù)必須以密文方式進(jìn)行傳送,在后向信道上傳輸?shù)南⒉荒軌虺霈F(xiàn)原始內(nèi)容.
(4)RFID標(biāo)簽發(fā)送給讀卡器的帶有數(shù)據(jù)的信息時(shí),這些信息應(yīng)每次均不相同.
(5)根據(jù)RFID標(biāo)簽發(fā)送給讀卡器的一個(gè)信息無(wú)法推斷出其他信息的內(nèi)容.
(6)根據(jù)RFID標(biāo)簽與讀卡器之間相互傳輸?shù)男畔⒌倪\(yùn)算無(wú)法獲知標(biāo)簽上承載的內(nèi)容.
(7)當(dāng)獲取了某一個(gè)RFID標(biāo)簽的信息,無(wú)法通過(guò)這個(gè)信息推斷出其他RFID標(biāo)簽上的信息.
(8)RFID標(biāo)簽根據(jù)其應(yīng)用進(jìn)行適當(dāng)讀取次數(shù)的限制,當(dāng)大于某些規(guī)定的讀取次數(shù)時(shí),標(biāo)簽進(jìn)入自毀狀態(tài).
(9)RFID標(biāo)簽支持人為主動(dòng)發(fā)送的銷毀命令,并進(jìn)入死鎖狀態(tài).
其中:RFID讀卡器接收到的第n個(gè)標(biāo)簽發(fā)出的第i條關(guān)鍵接收的數(shù)據(jù)與讀卡器發(fā)送的數(shù)據(jù)相一致
KILL:處死指令
3.2 RFID標(biāo)簽在模型中的安全級(jí)別劃分
隨著RFID標(biāo)簽芯片對(duì)于安全防范功能的增加,芯片硬件變復(fù)雜面積增大,從而帶來(lái)成本的增大.為了降級(jí)RFID標(biāo)簽芯片成本,充分利用RFID芯片資源避免浪費(fèi),使不同應(yīng)用的標(biāo)簽?zāi)軌蚋鶕?jù)需要滿足其安全要求.在考慮RFID標(biāo)簽的各種應(yīng)用環(huán)境和用途、所附著物品的成本以及社會(huì)因素后,本模型將RFID標(biāo)簽根據(jù)應(yīng)用需要的安全劃分為以下四個(gè)安全等級(jí),在各個(gè)等級(jí)中規(guī)定標(biāo)簽應(yīng)支持的安全防范措施.以自然數(shù)的較小數(shù)字代表安全性要求較低的等級(jí),以較大自然數(shù)代表安全性要求較高的等級(jí).對(duì)于各等級(jí)下能夠防范的攻擊者如表1所示.
等級(jí)1.支持標(biāo)簽與讀卡器之間基本的驗(yàn)證機(jī)制.
等級(jí)2.支持標(biāo)簽與讀卡器之間的驗(yàn)證機(jī)制,并對(duì)于讀卡器向標(biāo)簽傳輸信息的前向通道上的信息進(jìn)行加密.
等級(jí)3.支持標(biāo)簽與讀卡器之間的驗(yàn)證機(jī)制,能夠?qū)τ谛诺郎献x卡器與標(biāo)簽通訊的前向和后向通道均進(jìn)行加密.同時(shí)使得每次通訊在信道上傳輸?shù)臄?shù)據(jù)具有可變性,并且無(wú)法通過(guò)對(duì)標(biāo)簽與讀卡器之間傳輸指令的簡(jiǎn)單運(yùn)算獲取標(biāo)簽上承載的內(nèi)容.
等級(jí)4.支持標(biāo)簽與讀卡器之間的驗(yàn)證機(jī)制,使用某種加密方法對(duì)信道上前向與后向傳輸?shù)臄?shù)據(jù)進(jìn)行加密,并支持硬件的密鑰管理機(jī)制和密鑰分配機(jī)制.使每次通訊在信道上傳輸?shù)臄?shù)據(jù)具有可變性,限制標(biāo)簽被讀取的次數(shù).
對(duì)于RFID標(biāo)簽的攻擊有弱到強(qiáng),所以對(duì)于其安全級(jí)別的劃分也不是絕對(duì)的,各種安全措施的增加主要考慮對(duì)攻擊者帶來(lái)更困難的障礙,從而達(dá)到安全的目的.對(duì)于具體應(yīng)用中的標(biāo)簽安全方案的實(shí)施,還應(yīng)該針對(duì)具體情況進(jìn)行分析,采取正確的防范措施.
4 基于安全模型對(duì)EPC C1G2協(xié)議進(jìn)行的分析
在EPC C1 G2的協(xié)議中,reader通過(guò)三種基本操作:Se—lect,Inventory和Access管理標(biāo)簽群.同時(shí)根據(jù)讀卡器的操作,標(biāo)簽工作于七種狀態(tài)模式:Ready,Arbitrate,Reply,Ac—knowledged,Open,Secured和Killed.其中處于Killed狀態(tài)下的標(biāo)簽,將處于死亡狀態(tài),不可被喚醒,如圖1讀卡器和標(biāo)簽通訊狀態(tài)圖所示.
在上電后,標(biāo)簽處于Ready狀態(tài),在接收到讀卡器發(fā)出的盤存命令后,標(biāo)簽進(jìn)入Arbitrate狀態(tài),并在此狀態(tài)中使用防碰撞的通訊算法使得唯一的一個(gè)標(biāo)簽?zāi)軌蚣皶r(shí)與讀卡器進(jìn)行通訊,這個(gè)可以立即通訊的標(biāo)簽通過(guò)進(jìn)入Reply和Acknowl—edge狀態(tài)與讀卡器的定點(diǎn)通訊握手完成后,進(jìn)入Open狀態(tài).Open狀態(tài)是用戶可對(duì)標(biāo)簽進(jìn)行操作的狀態(tài),用戶可以使用Read指令獲取標(biāo)簽中的信息.也可以使用Write指令向標(biāo)簽中寫入信息.標(biāo)簽管理者則可以使用access指令和access密碼使標(biāo)簽進(jìn)入Secure狀態(tài),并在這個(gè)狀態(tài)下來(lái)設(shè)置用戶對(duì)標(biāo)簽的操作權(quán)限.
在進(jìn)行讀操作時(shí),讀卡器向標(biāo)簽發(fā)出讀指令,隨后標(biāo)簽根據(jù)讀指令傳送出明文數(shù)據(jù).在進(jìn)行寫操作時(shí),讀卡器向標(biāo)簽請(qǐng)求一個(gè)隨機(jī)數(shù),標(biāo)簽將這個(gè)隨機(jī)數(shù)以明文的方式傳送給讀卡器,讀卡器使用這個(gè)隨機(jī)數(shù)與待寫入的數(shù)據(jù)進(jìn)行異或運(yùn)算傳輸給標(biāo)簽,標(biāo)簽將獲得的數(shù)據(jù)經(jīng)過(guò)再次異或得到明文后寫入存儲(chǔ)器.在進(jìn)行access指令和kill指令時(shí),讀卡器在發(fā)送密碼前同樣先向標(biāo)簽請(qǐng)求一個(gè)隨機(jī)數(shù),并將經(jīng)過(guò)此隨機(jī)數(shù)異或過(guò)的密碼發(fā)送給標(biāo)簽,以達(dá)到數(shù)據(jù)在讀卡器到標(biāo)簽的前向通道上被掩蓋的目的.
根據(jù)第三章中RFID標(biāo)簽安全性模型,EPC CIG2協(xié)議的標(biāo)簽讀寫信息傳輸過(guò)程可用以下表達(dá)式表示:
在讀操作進(jìn)行中,攻擊者D可以獲得標(biāo)簽承載的信息的明文.盡管寫操作時(shí)讀卡器寫入標(biāo)簽的數(shù)據(jù)是以加密方式發(fā)送的,但是由于標(biāo)簽發(fā)送的數(shù)據(jù)和讀卡器發(fā)送的數(shù)據(jù)具有一定的邏輯關(guān)系:riot⋯ 一Random—humo Random—humoTpltxt⋯ =Tpltxt⋯ 攻擊者獲取標(biāo)簽發(fā)送的信息即可通過(guò)運(yùn)算獲得被寫入的信息,盡管對(duì)這兩種攻擊方式的防范考慮都是基于標(biāo)簽芯片后向反射能力弱,攻擊者無(wú)法獲得標(biāo)簽發(fā)送信息的基礎(chǔ)上的,但是由于UHF標(biāo)簽與讀卡器可以在長(zhǎng)達(dá)1O米的距離進(jìn)行通訊,在這個(gè)距離內(nèi),攻擊者D有很大的空間進(jìn)行藏匿,所以不得不引起注意.另外,在標(biāo)準(zhǔn)中沒(méi)有指定標(biāo)簽與讀卡器之間的驗(yàn)證機(jī)制,使得凡是符合標(biāo)準(zhǔn)的讀卡器無(wú)論是否授權(quán)都可以對(duì)標(biāo)簽進(jìn)行操作,這將給攻擊者A和E帶來(lái)了極大的便利和機(jī)會(huì).根據(jù)第三章所提出的安全模型,該標(biāo)準(zhǔn)僅能支持前向通道的安全性,這對(duì)于整個(gè)系統(tǒng)安全來(lái)說(shuō)是遠(yuǎn)不夠的.EPC C1G2協(xié)議具有的安全防范措施及能夠防范的攻擊者見(jiàn)第八節(jié)中表3EPC C1G2與改進(jìn)方案安全性比較所示.
5 基于EPC C1G2提出的安全改善
5.1 基于RFID標(biāo)簽芯片片上資源對(duì)安全方案的限制
RFID標(biāo)簽受到標(biāo)簽的成本,標(biāo)簽的閱讀距離以及協(xié)議所要求的標(biāo)簽響應(yīng)速度這些條件所限制.而這些條件同時(shí)又對(duì)于標(biāo)簽芯片施加了嚴(yán)格的約束,例如標(biāo)簽的成本限制了標(biāo)簽芯片的面積,標(biāo)簽的閱讀距離限制了標(biāo)簽所消耗約功耗(標(biāo)簽芯片功耗越小其閱讀距離越長(zhǎng))標(biāo)簽的響應(yīng)速度限制了標(biāo)簽芯片的處理時(shí)間.而這些因素之間同時(shí)互相約束:在相同的芯片面積情況下,減少芯片的處理時(shí)間勢(shì)必會(huì)增加芯片的功耗,而在相同的功耗消耗情況下,減少芯片面積必然帶來(lái)芯片處理時(shí)間的增加.本文以下通過(guò)評(píng)估標(biāo)簽片上的資源,以得出一個(gè)適合EPC C1G2協(xié)議兼容的安全改進(jìn)方案.
在EPC C1G2標(biāo)準(zhǔn)中對(duì)標(biāo)簽芯片的響應(yīng)時(shí)間有著明確的限制:當(dāng)標(biāo)簽到讀卡器的連接頻率達(dá)640KHz時(shí),要求標(biāo)簽在接收到讀卡器最后一位數(shù)據(jù)后能夠在大約15~30Fs的時(shí)間內(nèi)發(fā)出應(yīng)答信號(hào).
再者,標(biāo)簽芯片的成本需要不斷降低,為了能夠取代條形碼,芯片的成本需要達(dá)到$0.05[5],面積達(dá)到0.4mm×0.4mm,如果使用SMIC0.18的標(biāo)準(zhǔn)工藝庫(kù)來(lái)進(jìn)行制造,假設(shè)芯片的利用率達(dá)8O ,模擬電路約占數(shù)字電路面積的一半,一個(gè)標(biāo)準(zhǔn)兩輸入與非門的面積為5.O4 ×1.98~m[63,根據(jù)計(jì)算可以得到標(biāo)準(zhǔn)數(shù)字電路的門數(shù)約為:
0.4mm×0.4mm×80% ×2/3÷ (5.04,um×1.98,urn)≈8552(標(biāo)準(zhǔn)門)進(jìn)行協(xié)議處理的數(shù)字電路大約需要5000標(biāo)準(zhǔn)門,而能夠支持安全的硬件電路只有約3000標(biāo)準(zhǔn)門.由于這些嚴(yán)格的限制,通常的加解密電路是很難做到這種程度,[73在針對(duì)RFID的特性進(jìn)行折中后的AES電路的標(biāo)準(zhǔn)門數(shù)為3595,而需要1016個(gè)時(shí)鐘周期才能完成加、解密過(guò)程,同時(shí)在100KHz下的電流為8.15zA.盡管AES電路的面積達(dá)到了要求,但是從處理速度和功耗上都遠(yuǎn)不能滿足標(biāo)簽芯片的性能要求.
因此本文采用了如下的安全方案:在讀卡器和標(biāo)簽的身份認(rèn)證中,采用隨機(jī)數(shù)和密鑰相結(jié)合的方式實(shí)現(xiàn)快速認(rèn)證,這種認(rèn)證方式通過(guò)引入三條安全認(rèn)證指令來(lái)實(shí)現(xiàn),這種認(rèn)證方式具有實(shí)現(xiàn)簡(jiǎn)便,具有較小的硬件電路,運(yùn)算速度快等優(yōu)點(diǎn);在數(shù)據(jù)加密傳輸中采用對(duì)稱密鑰加密算法Tiny Encryp—tion Algorithm[9]來(lái)進(jìn)行數(shù)據(jù)的加密,這種算法經(jīng)過(guò)仿真及功耗分析證明可以應(yīng)用于RFID標(biāo)簽實(shí)現(xiàn).
5.2 對(duì)EPC C1G2協(xié)議提出的改進(jìn)方案
通過(guò)對(duì)RFID標(biāo)簽的安全性分析,本文得出在各種應(yīng)用和安全等級(jí)下,RFID標(biāo)簽與讀卡器之間的信息傳輸都需要建立在通過(guò)相互驗(yàn)證的基礎(chǔ)之上.這種機(jī)制也是進(jìn)行安全防范最基本的條件.本文下面將提出一個(gè)基于EPC C1G2協(xié)議的具有驗(yàn)證數(shù)據(jù)加密機(jī)制的改進(jìn)方案.并在此方案中假設(shè),標(biāo)簽芯片以密鑰為唯一的秘密,對(duì)于密鑰分配和管理機(jī)制不屬于本文所討論的范圍.
改進(jìn)方案在標(biāo)簽芯片中增加三條身份密鑰(Keyl,Key2,Key3),這三個(gè)密鑰為標(biāo)簽與讀卡器所共有的.同時(shí)在原先的EPC C1G2協(xié)議規(guī)定的標(biāo)簽的七個(gè)狀態(tài)中使用一個(gè)新?tīng)顟B(tài)authentication替代acknowledge狀態(tài),標(biāo)簽只有通過(guò)這個(gè)狀態(tài),才能進(jìn)入open狀態(tài),用戶才可以對(duì)于標(biāo)簽進(jìn)行操作.在原協(xié)議的基礎(chǔ)上,在通訊指令中增加了三條指令用于對(duì)讀卡器和標(biāo)簽之間身份密鑰的傳輸驗(yàn)證.三條身份密鑰與隨機(jī)數(shù)相異或分別作為這三條指令承載的內(nèi)容.這三條指令采取順序連續(xù)傳輸,任何中斷或者傳輸超時(shí)都將被認(rèn)為是非法的驗(yàn)證.本方案在不改變EPC C1G2協(xié)議的原有指令情況下通過(guò)增加三條指令來(lái)使標(biāo)簽完成驗(yàn)證機(jī)制,改善了標(biāo)簽的安全性.改進(jìn)的認(rèn)證應(yīng)答流程如圖2所示(見(jiàn)下頁(yè)).
圖2中虛線方框內(nèi)是在原始協(xié)議中增加的標(biāo)簽與應(yīng)答器相互驗(yàn)證的過(guò)程,橢圓內(nèi)是讀卡器或標(biāo)簽的狀態(tài).在進(jìn)行標(biāo)簽與讀卡器通訊防碰撞時(shí),標(biāo)簽的UID被發(fā)送到讀卡器以輔助后端數(shù)據(jù)庫(kù)進(jìn)行標(biāo)簽密鑰的查詢.讀卡器首先產(chǎn)生一個(gè)隨機(jī)數(shù)RNr與Keyl經(jīng)過(guò)異或運(yùn)算傳送給標(biāo)簽,合法標(biāo)簽使用Keyl與接收到的指令再次異或得知這個(gè)隨機(jī)數(shù),并用這個(gè)隨機(jī)數(shù)分別與Key2和自己產(chǎn)生的隨機(jī)數(shù)異或,作為回復(fù)指令的內(nèi)容傳送給讀卡器,讀卡器根據(jù)原先產(chǎn)生的隨機(jī)數(shù)解密Key2,并核對(duì)Key2的值來(lái)決定標(biāo)簽是否為合法.如果標(biāo)簽的驗(yàn)證成功,讀卡器會(huì)發(fā)出第三條指令,以Key3異或標(biāo)簽產(chǎn)生的隨機(jī)數(shù)作為指令內(nèi)容傳送給標(biāo)簽.標(biāo)簽通過(guò)校對(duì)Key3的值
READER來(lái)驗(yàn)證讀卡器的合法性.
改進(jìn)方案中的身份驗(yàn)證的指令采用模型表示如下
在改進(jìn)的身份認(rèn)證方案中,標(biāo)簽與讀卡器所共有的密鑰為標(biāo)簽承載的關(guān)鍵信息,根據(jù)第三章安全模型對(duì)這個(gè)驗(yàn)證過(guò)程進(jìn)行分析,可以得出讀卡器與標(biāo)簽在前后通道上均以密文方式傳送數(shù)據(jù),由于隨機(jī)數(shù)的存在,標(biāo)簽每次發(fā)送給讀卡器的數(shù)據(jù)均不同,根據(jù)讀卡器和標(biāo)簽相互發(fā)送的消息無(wú)法推斷出標(biāo)簽上所承載數(shù)據(jù)的內(nèi)容.
EPC C1G2協(xié)議中標(biāo)簽數(shù)據(jù)的讀取采用簡(jiǎn)單隨機(jī)數(shù)與明文相異或的方式,并且這個(gè)隨機(jī)數(shù)采用明文傳輸,這在通訊中是非常危險(xiǎn)的.攻擊者可以使用密文再與隨機(jī)數(shù)異或來(lái)獲取明文數(shù)據(jù);在讀卡器向標(biāo)簽寫數(shù)據(jù)時(shí),數(shù)據(jù)均以明文傳送,缺乏安全防范.在改進(jìn)方案中,數(shù)據(jù)傳輸采用TEA算法對(duì)明文進(jìn)行加密,加密密鑰使用身份認(rèn)證時(shí)標(biāo)簽產(chǎn)生的隨機(jī)數(shù)RNt.在標(biāo)簽中除密鑰K1,K2,K3外,本方案中引入類似于EPC C1G2中access password的權(quán)限密碼PWD.在標(biāo)簽驗(yàn)證PWD后,讀卡器才可以對(duì)標(biāo)簽中數(shù)據(jù)進(jìn)行更改,寫數(shù)據(jù)同樣使用TEA算法對(duì)明文進(jìn)行加密,改進(jìn)方案中的讀寫操作采用模型表示如下:
6 分析與比較
在通用安全數(shù)據(jù)傳輸方案中[”],采用公鑰密鑰加密算法來(lái)進(jìn)行通訊雙方的身份認(rèn)證,但是由于公鑰制加密算法的實(shí)現(xiàn)電路面積較大,占有較高的功耗和處理時(shí)間,不能使用于類似RFID標(biāo)簽的低功耗電路中.本安全方案中采用隨機(jī)數(shù)發(fā)生器和對(duì)稱密鑰加密算法來(lái)保證RFID標(biāo)簽的數(shù)據(jù)安全,這種安全算法具有功耗低,速度快和實(shí)現(xiàn)電路面積小等特點(diǎn).這兩種安全方案的比較如表2所示:
改進(jìn)方案比EPC C1G2協(xié)議增加了標(biāo)簽與讀卡器之間的身份認(rèn)證機(jī)制,在數(shù)據(jù)傳輸中采用密文傳輸原則并采用一次一密從而使得相同明文數(shù)據(jù)加密時(shí)每次產(chǎn)生不同的密文,可以防止攻擊者對(duì)標(biāo)簽進(jìn)行跟蹤.根據(jù)本文提出的安全模型,對(duì)EPC C1G2和改進(jìn)方案進(jìn)行評(píng)估,可以看出EPC C1G2無(wú)法抵御通常的攻擊,改進(jìn)方案具有更高的安全性,符合模型的安全等級(jí)三.由于改進(jìn)方案在設(shè)計(jì)中并沒(méi)有考慮密鑰分配,在未來(lái)有待于實(shí)行進(jìn)一步的工作.EPC C1G2與改進(jìn)安全方案的安全性比較見(jiàn)上頁(yè)表3.
7 總結(jié)
本文針對(duì)RFID標(biāo)簽可能受到的攻擊進(jìn)行安全建模,提出一系列能夠改善標(biāo)簽安全性的模型.并根據(jù)這個(gè)安全模型對(duì)EPC CIG2協(xié)議進(jìn)行分析,提出了可能存在的安全漏洞.在解決RFID標(biāo)簽安全問(wèn)題中,標(biāo)簽與讀卡器之間的相互認(rèn)證
是最基本措施.隨后本文提出在原始協(xié)議中增加三條指令的改進(jìn)方案,使原協(xié)議具有標(biāo)簽與讀卡器之間身份驗(yàn)證和數(shù)據(jù)加密機(jī)制.該驗(yàn)證機(jī)制符合安全模型提出的安全措施.
References:
[1]EPc Radio—Frequency Identity Protocols Class-1 Generation一2 UHF RFID Protoco1 for Communications at 860M Hz一960MHz Version 1.0.9.[,Z]Jan.30,2005.
[2]Juels A,Pappu R.Squealing euros:privacy—protection in RFID—enabled banknotes,financial cryptography[M].Springer-Ver—lag,2003,103—121.
[3]Engberg S,Harning M,Damsgaard Jensen C.Zero—knowledge device authentication±Privacy and security enhanced RFID pre—serving business value and consumer convenience[c].The Sec—ond Annual Conference On Privacy,Security and Trust-PST,New Bruswick,Canada,2004.
[4]Zhang Xiao—lan,Brian King.Modeling RFID security[M].Lec—ture Notes in Co mputer Science,Volume 38822/2005,75—90,Springer Berlin/Heidelberg.
[5]Sarma S E.Towards the five—cent tag.Technical Report MIT—AUTOID—WH一006,Auto—ID Labs,2001[EB/OL].Referenced at http://www.a(chǎn)utoidlabs.org/.
[6]SMIC 0.18 Logic 18 Process 1.8-Volt SAGE—XTM Standard Cell Library Databook[,Z].Release 1.0。March 2004.
[7]Marc Joye,Jean—Jacques Quisquater.Strong authentication for RFID systems using the AES algorithmiC].CHES 2004,LNCS 3156,2004,357—370.
[8]Menezes A J,van Oorschot P C,Vanstone S A.Handbook of ap—plied cryptography[,M].CRC Press,1996.
[9]David J.Wheeler,Roger M.Needham,TEA,a tiny encryption algorithm Proc.Fast software encryption[c].Second Interna—tional Workshop。Lecture Notes in Co mputer Science,vo1.1008,December 1994,363—366.
[10 Israsena P.Securing ubiquitous and low—cOSt RFID using tiny encryption algorithm[C].Wireless Pervasive Computing,2006 1st International Symposium ,16-18 Jan.2006,1-4.
[11] Diffie W ,Hellman M.New directions in cryptography informa—tion theory[J].IEEE Transactions on 1976,22(6):644—654.
編者注:由于篇中存在大量的計(jì)算公式,文檔轉(zhuǎn)換易亂碼??紤]到技術(shù)研究人員的需要,特別提供原文件以供下載之用。
點(diǎn)擊下載