1 引言

未來(lái)RFID的標(biāo)簽將在各個(gè)領(lǐng)域得到廣泛的應(yīng)用．在商業(yè)的應(yīng)用中，標(biāo)簽芯片可以附著在商品上用來(lái)對(duì)商品進(jìn)行防偽，同時(shí)可以記錄商品的生產(chǎn)信息和使用信息；在物流應(yīng)用中，將標(biāo)簽芯片貼在流通物品外包裝上，使得物品在經(jīng)過(guò)各個(gè)流通點(diǎn)時(shí)能夠自動(dòng)登記，極大的提高流通效率；在工業(yè)的應(yīng)用中，標(biāo)簽芯片可以貼在車間里的產(chǎn)品托盤上來(lái)記錄產(chǎn)品的生產(chǎn)信息．標(biāo)簽芯片是一個(gè)信息集合體，在各種應(yīng)用中，標(biāo)簽或多或少包含了商業(yè)信息，流通信息，工業(yè)信息以及個(gè)人信息．這些信息對(duì)于攻擊對(duì)手來(lái)說(shuō)具有極大的誘惑．攻擊者可以通過(guò)攻擊標(biāo)簽獲取各種信息，這種信息的泄漏對(duì)于商業(yè)、工業(yè)機(jī)密乃至個(gè)人隱私都帶來(lái)了巨大的災(zāi)難．

由于RFID技術(shù)和應(yīng)用環(huán)境的獨(dú)特性，它的安全問(wèn)題非同于常規(guī)的通訊技術(shù)，根據(jù)對(duì)于RFID標(biāo)簽可能受到的攻擊，本文首先對(duì)標(biāo)簽和讀卡器之間通訊安全進(jìn)行分析，建立了適于RFID標(biāo)簽和讀卡器之間相互通訊的安全模型，提出了RFID標(biāo)簽應(yīng)根據(jù)應(yīng)用歸類于不同的安全等級(jí)，并在各個(gè)安全等級(jí)下實(shí)施相應(yīng)的安全措施．依據(jù)這個(gè)模型本文對(duì)EPC Class一1 Gen一2(EPC CIG2)協(xié)議[1]進(jìn)行了安全分析，指出了其中可能出現(xiàn)的安全漏洞，在經(jīng)過(guò)權(quán)衡RFID標(biāo)簽硬件資源以及協(xié)議要求后，本文提出增加標(biāo)簽與讀卡器身份驗(yàn)證與數(shù)據(jù)加密機(jī)制的EPC CIG2協(xié)議改進(jìn)方案．作為未來(lái)的信息識(shí)別技術(shù)，RFID的安全和隱私問(wèn)題將引起更廣泛的關(guān)注和研究．

2 RFID標(biāo)簽攻擊分析

2．1 對(duì)RFID標(biāo)簽可能進(jìn)行的攻擊
由于RFID標(biāo)簽與讀卡器采用的是無(wú)線通訊，其通訊信道可長(zhǎng)達(dá)1O米的距離并可以穿透某些介質(zhì)，這給攻擊者帶來(lái)了便利．攻擊者可以通過(guò)藏匿在標(biāo)簽或者讀卡器的周圍對(duì)標(biāo)簽或者讀卡器來(lái)進(jìn)行攻擊．另一方面由于RFID應(yīng)用的廣泛性，攻擊者可以比較輕易的獲取標(biāo)簽或讀卡器，并具有充分的時(shí)問(wèn)和精力來(lái)對(duì)標(biāo)簽進(jìn)行探測(cè)和攻擊．從這一點(diǎn)來(lái)說(shuō)是對(duì)于RFID及其不利的．RFID標(biāo)簽與讀卡器通訊本節(jié)以具體的攻擊實(shí)例來(lái)闡述可能針對(duì)RFID標(biāo)簽的攻擊方法．
(1)非法訪問(wèn)．攻擊者A擁有未經(jīng)過(guò)授權(quán)的讀寫器，并使用這個(gè)讀寫器來(lái)獲取某類商品標(biāo)簽上的信息．
(2)跟蹤．攻擊者B擁有比較簡(jiǎn)便的測(cè)試儀器，他通過(guò)向標(biāo)簽發(fā)射簡(jiǎn)易的命令，探測(cè)并記錄Tag的后向反射的通訊信息，他善于利用每次探測(cè)到的信號(hào)對(duì)附著這種標(biāo)簽的物品進(jìn)行跟蹤監(jiān)視．
(3)竊聽(tīng)．攻擊者C是藏匿在附近只能對(duì)前向通道進(jìn)行探測(cè)的竊聽(tīng)者．由于無(wú)法接近后向信道，它只能獲取讀卡器向標(biāo)簽發(fā)送的有限的數(shù)據(jù)．而攻擊者D則是滿腹抱怨的員工的代表，他通過(guò)在合法的讀卡器和標(biāo)簽通訊信道之間設(shè)置一個(gè)探測(cè)器，通過(guò)竊聽(tīng)它們之間的通訊，來(lái)獲取標(biāo)簽上的信息．
(4)偽造．攻擊者E利用竊聽(tīng)到的標(biāo)簽發(fā)射的信號(hào)，制造出一個(gè)具有相同發(fā)射信號(hào)的標(biāo)簽，并使用此偽造的標(biāo)簽來(lái)標(biāo)示偽造的商品．
(5)物理攻擊．攻擊者F擁有較全面的實(shí)驗(yàn)設(shè)施，他通過(guò)設(shè)備分析標(biāo)簽芯片上的功耗來(lái)分析標(biāo)簽芯片上負(fù)載的數(shù)據(jù)．
(6)數(shù)據(jù)演繹．攻擊者G利用某種手段獲得了某一種標(biāo)簽的數(shù)據(jù)，然后寄希望于使用演繹的方法，從這一信息中推測(cè)出其他標(biāo)簽上的數(shù)據(jù)，以至于掌握整個(gè)系統(tǒng)的數(shù)據(jù)．
2．2 RFID標(biāo)簽攻擊者能力分析
RFID標(biāo)簽芯片通訊的安全問(wèn)題不同與常規(guī)通訊系統(tǒng)，它特殊的操作方式限制了對(duì)手的攻擊能力：
(1)RFID標(biāo)簽芯片具有一定的讀寫范圍，這迫使攻擊者只能在有限的地理范圍內(nèi)發(fā)起攻擊．由于RFID標(biāo)簽與讀卡器通訊時(shí)，讀卡器向標(biāo)簽發(fā)送數(shù)據(jù)時(shí)的前向通道距離較大，而標(biāo)簽向讀卡器發(fā)回?cái)?shù)據(jù)的后向通道距離較小，在一些情況下，攻擊者甚至不能夠獲知標(biāo)簽向讀卡器返回的信息．這種攻擊方式不同于因特網(wǎng)上所發(fā)生的一些攻擊，由于因特網(wǎng)廣闊的覆蓋范圍，黑客可以從因特網(wǎng)所覆蓋的任何一個(gè)角落對(duì)連接在因特網(wǎng)上的其他用戶進(jìn)行攻擊．而針對(duì)RFID標(biāo)簽芯片的攻擊只能在其物理位置周圍的一個(gè)有限范圍之內(nèi)．同時(shí)對(duì)RFID標(biāo)簽的前向通道攻擊較容易，而對(duì)于RFID標(biāo)簽的后向通道需要攻擊者很好的隱匿才能發(fā)起攻擊．
(2)RFID標(biāo)簽芯片一般工作在移動(dòng)情況下，這實(shí)際上給竊聽(tīng)或者隱匿在周圍的攻擊者帶來(lái)障礙．由于它的移動(dòng)性，攻擊者不得不在有限時(shí)間內(nèi)發(fā)起攻擊，同時(shí)攻擊的次數(shù)也受到了限制．而因特網(wǎng)的攻擊是沒(méi)有被竊聽(tīng)時(shí)間的限制的．
(3)RFID標(biāo)簽芯片的成本很低，并且是集成電路產(chǎn)品，針對(duì)RFID標(biāo)簽芯片的物理攻擊需要精密的設(shè)備才能進(jìn)行．對(duì)手采用物理攻擊的方法付出成本較高．

3 RFID標(biāo)簽芯片通訊的安全模型

3．1 RFID標(biāo)簽與讀卡器通訊安全模型措施盡管對(duì)于攻擊者有諸多的障礙，但是這并不能說(shuō)RFID標(biāo)簽是安全的，不能說(shuō)這些障礙可以阻止攻擊者獲取標(biāo)簽信息．在現(xiàn)有的RFID系統(tǒng)的安全研究中，[2]針對(duì)RFID標(biāo)簽將在歐元中的應(yīng)用提出了一個(gè)針對(duì)該應(yīng)用的協(xié)議和安全模型；[33提出了一種在零售業(yè)中使用的RFID標(biāo)簽的使用周期的建模；[4]建模了整個(gè)RFID系統(tǒng)．RFID系統(tǒng)包括數(shù)據(jù)庫(kù)、以太網(wǎng)、讀卡器和標(biāo)簽等部分，安全問(wèn)題深入各個(gè)通訊模塊，已有研究的建模多是立足于系統(tǒng)或針對(duì)某種應(yīng)用的角度，但是這些模型較為理論，并不能指導(dǎo)實(shí)際標(biāo)簽設(shè)計(jì)和協(xié)議優(yōu)化．本文專門針對(duì)讀卡器與標(biāo)簽通訊建立安全建模方案，該模型可以用來(lái)分析具體的通訊協(xié)議并指導(dǎo)設(shè)計(jì)．本模型根據(jù)第二章所提出的一些攻擊案例，提出了9條安全模型措施：
(1)RFID標(biāo)簽必須支持與讀卡器之間的相互驗(yàn)證．這種相互驗(yàn)證的過(guò)程通過(guò)雙方共同約定的驗(yàn)證機(jī)制才能實(shí)現(xiàn)．

(2)讀卡器與RFID標(biāo)簽間發(fā)送的數(shù)據(jù)必須以密文方式進(jìn)行傳送，在前向信道上傳輸?shù)南⒉荒軌虺霈F(xiàn)原始內(nèi)容．

(3)RFID標(biāo)簽與讀卡器間發(fā)送的數(shù)據(jù)必須以密文方式進(jìn)行傳送，在后向信道上傳輸?shù)南⒉荒軌虺霈F(xiàn)原始內(nèi)容．

(4)RFID標(biāo)簽發(fā)送給讀卡器的帶有數(shù)據(jù)的信息時(shí)，這些信息應(yīng)每次均不相同．

(5)根據(jù)RFID標(biāo)簽發(fā)送給讀卡器的一個(gè)信息無(wú)法推斷出其他信息的內(nèi)容．

(6)根據(jù)RFID標(biāo)簽與讀卡器之間相互傳輸?shù)男畔⒌倪\(yùn)算無(wú)法獲知標(biāo)簽上承載的內(nèi)容．

(7)當(dāng)獲取了某一個(gè)RFID標(biāo)簽的信息，無(wú)法通過(guò)這個(gè)信息推斷出其他RFID標(biāo)簽上的信息．

(8)RFID標(biāo)簽根據(jù)其應(yīng)用進(jìn)行適當(dāng)讀取次數(shù)的限制，當(dāng)大于某些規(guī)定的讀取次數(shù)時(shí)，標(biāo)簽進(jìn)入自毀狀態(tài)．

(9)RFID標(biāo)簽支持人為主動(dòng)發(fā)送的銷毀命令，并進(jìn)入死鎖狀態(tài)．

其中：RFID讀卡器接收到的第n個(gè)標(biāo)簽發(fā)出的第i條關(guān)鍵接收的數(shù)據(jù)與讀卡器發(fā)送的數(shù)據(jù)相一致

       KILL：處死指令

3．2 RFID標(biāo)簽在模型中的安全級(jí)別劃分
隨著RFID標(biāo)簽芯片對(duì)于安全防范功能的增加，芯片硬件變復(fù)雜面積增大，從而帶來(lái)成本的增大．為了降級(jí)RFID標(biāo)簽芯片成本，充分利用RFID芯片資源避免浪費(fèi)，使不同應(yīng)用的標(biāo)簽?zāi)軌蚋鶕?jù)需要滿足其安全要求．在考慮RFID標(biāo)簽的各種應(yīng)用環(huán)境和用途、所附著物品的成本以及社會(huì)因素后，本模型將RFID標(biāo)簽根據(jù)應(yīng)用需要的安全劃分為以下四個(gè)安全等級(jí)，在各個(gè)等級(jí)中規(guī)定標(biāo)簽應(yīng)支持的安全防范措施．以自然數(shù)的較小數(shù)字代表安全性要求較低的等級(jí)，以較大自然數(shù)代表安全性要求較高的等級(jí)．對(duì)于各等級(jí)下能夠防范的攻擊者如表1所示．

等級(jí)1．支持標(biāo)簽與讀卡器之間基本的驗(yàn)證機(jī)制．
等級(jí)2．支持標(biāo)簽與讀卡器之間的驗(yàn)證機(jī)制，并對(duì)于讀卡器向標(biāo)簽傳輸信息的前向通道上的信息進(jìn)行加密．
等級(jí)3．支持標(biāo)簽與讀卡器之間的驗(yàn)證機(jī)制，能夠?qū)τ谛诺郎献x卡器與標(biāo)簽通訊的前向和后向通道均進(jìn)行加密．同時(shí)使得每次通訊在信道上傳輸?shù)臄?shù)據(jù)具有可變性，并且無(wú)法通過(guò)對(duì)標(biāo)簽與讀卡器之間傳輸指令的簡(jiǎn)單運(yùn)算獲取標(biāo)簽上承載的內(nèi)容．
等級(jí)4．支持標(biāo)簽與讀卡器之間的驗(yàn)證機(jī)制，使用某種加密方法對(duì)信道上前向與后向傳輸?shù)臄?shù)據(jù)進(jìn)行加密，并支持硬件的密鑰管理機(jī)制和密鑰分配機(jī)制．使每次通訊在信道上傳輸?shù)臄?shù)據(jù)具有可變性，限制標(biāo)簽被讀取的次數(shù)．

在以上安全等級(jí)中，處死指令作為可選指令根據(jù)具體的標(biāo)簽適用條件決定支持與否．物理攻擊G的防范方法一般是采用在電路中增加冗余電路以混擾攻擊者對(duì)于電路數(shù)據(jù)的探測(cè)，這種措施不屬于協(xié)議層安全的范疇，在本文中不進(jìn)行討論．

對(duì)于RFID標(biāo)簽的攻擊有弱到強(qiáng)，所以對(duì)于其安全級(jí)別的劃分也不是絕對(duì)的，各種安全措施的增加主要考慮對(duì)攻擊者帶來(lái)更困難的障礙，從而達(dá)到安全的目的．對(duì)于具體應(yīng)用中的標(biāo)簽安全方案的實(shí)施，還應(yīng)該針對(duì)具體情況進(jìn)行分析，采取正確的防范措施．

4 基于安全模型對(duì)EPC C1G2協(xié)議進(jìn)行的分析

在EPC C1 G2的協(xié)議中，reader通過(guò)三種基本操作：Se—lect，Inventory和Access管理標(biāo)簽群．同時(shí)根據(jù)讀卡器的操作，標(biāo)簽工作于七種狀態(tài)模式：Ready，Arbitrate，Reply，Ac—knowledged，Open，Secured和Killed．其中處于Killed狀態(tài)下的標(biāo)簽，將處于死亡狀態(tài)，不可被喚醒，如圖1讀卡器和標(biāo)簽通訊狀態(tài)圖所示．

在上電后，標(biāo)簽處于Ready狀態(tài)，在接收到讀卡器發(fā)出的盤存命令后，標(biāo)簽進(jìn)入Arbitrate狀態(tài)，并在此狀態(tài)中使用防碰撞的通訊算法使得唯一的一個(gè)標(biāo)簽?zāi)軌蚣皶r(shí)與讀卡器進(jìn)行通訊，這個(gè)可以立即通訊的標(biāo)簽通過(guò)進(jìn)入Reply和Acknowl—edge狀態(tài)與讀卡器的定點(diǎn)通訊握手完成后，進(jìn)入Open狀態(tài)．Open狀態(tài)是用戶可對(duì)標(biāo)簽進(jìn)行操作的狀態(tài)，用戶可以使用Read指令獲取標(biāo)簽中的信息．也可以使用Write指令向標(biāo)簽中寫入信息．標(biāo)簽管理者則可以使用access指令和access密碼使標(biāo)簽進(jìn)入Secure狀態(tài)，并在這個(gè)狀態(tài)下來(lái)設(shè)置用戶對(duì)標(biāo)簽的操作權(quán)限．

在進(jìn)行讀操作時(shí)，讀卡器向標(biāo)簽發(fā)出讀指令，隨后標(biāo)簽根據(jù)讀指令傳送出明文數(shù)據(jù)．在進(jìn)行寫操作時(shí)，讀卡器向標(biāo)簽請(qǐng)求一個(gè)隨機(jī)數(shù)，標(biāo)簽將這個(gè)隨機(jī)數(shù)以明文的方式傳送給讀卡器，讀卡器使用這個(gè)隨機(jī)數(shù)與待寫入的數(shù)據(jù)進(jìn)行異或運(yùn)算傳輸給標(biāo)簽，標(biāo)簽將獲得的數(shù)據(jù)經(jīng)過(guò)再次異或得到明文后寫入存儲(chǔ)器．在進(jìn)行access指令和kill指令時(shí)，讀卡器在發(fā)送密碼前同樣先向標(biāo)簽請(qǐng)求一個(gè)隨機(jī)數(shù)，并將經(jīng)過(guò)此隨機(jī)數(shù)異或過(guò)的密碼發(fā)送給標(biāo)簽，以達(dá)到數(shù)據(jù)在讀卡器到標(biāo)簽的前向通道上被掩蓋的目的．

根據(jù)第三章中RFID標(biāo)簽安全性模型，EPC CIG2協(xié)議的標(biāo)簽讀寫信息傳輸過(guò)程可用以下表達(dá)式表示：

在讀操作進(jìn)行中，攻擊者D可以獲得標(biāo)簽承載的信息的明文．盡管寫操作時(shí)讀卡器寫入標(biāo)簽的數(shù)據(jù)是以加密方式發(fā)送的，但是由于標(biāo)簽發(fā)送的數(shù)據(jù)和讀卡器發(fā)送的數(shù)據(jù)具有一定的邏輯關(guān)系：riot⋯ 一Random—humo Random—humoTpltxt⋯ =Tpltxt⋯ 攻擊者獲取標(biāo)簽發(fā)送的信息即可通過(guò)運(yùn)算獲得被寫入的信息，盡管對(duì)這兩種攻擊方式的防范考慮都是基于標(biāo)簽芯片后向反射能力弱，攻擊者無(wú)法獲得標(biāo)簽發(fā)送信息的基礎(chǔ)上的，但是由于UHF標(biāo)簽與讀卡器可以在長(zhǎng)達(dá)1O米的距離進(jìn)行通訊，在這個(gè)距離內(nèi)，攻擊者D有很大的空間進(jìn)行藏匿，所以不得不引起注意．另外，在標(biāo)準(zhǔn)中沒(méi)有指定標(biāo)簽與讀卡器之間的驗(yàn)證機(jī)制，使得凡是符合標(biāo)準(zhǔn)的讀卡器無(wú)論是否授權(quán)都可以對(duì)標(biāo)簽進(jìn)行操作，這將給攻擊者A和E帶來(lái)了極大的便利和機(jī)會(huì)．根據(jù)第三章所提出的安全模型，該標(biāo)準(zhǔn)僅能支持前向通道的安全性，這對(duì)于整個(gè)系統(tǒng)安全來(lái)說(shuō)是遠(yuǎn)不夠的．EPC C1G2協(xié)議具有的安全防范措施及能夠防范的攻擊者見(jiàn)第八節(jié)中表3EPC C1G2與改進(jìn)方案安全性比較所示．

5 基于EPC C1G2提出的安全改善

5．1 基于RFID標(biāo)簽芯片片上資源對(duì)安全方案的限制
RFID標(biāo)簽受到標(biāo)簽的成本，標(biāo)簽的閱讀距離以及協(xié)議所要求的標(biāo)簽響應(yīng)速度這些條件所限制．而這些條件同時(shí)又對(duì)于標(biāo)簽芯片施加了嚴(yán)格的約束，例如標(biāo)簽的成本限制了標(biāo)簽芯片的面積，標(biāo)簽的閱讀距離限制了標(biāo)簽所消耗約功耗(標(biāo)簽芯片功耗越小其閱讀距離越長(zhǎng))標(biāo)簽的響應(yīng)速度限制了標(biāo)簽芯片的處理時(shí)間．而這些因素之間同時(shí)互相約束：在相同的芯片面積情況下，減少芯片的處理時(shí)間勢(shì)必會(huì)增加芯片的功耗，而在相同的功耗消耗情況下，減少芯片面積必然帶來(lái)芯片處理時(shí)間的增加．本文以下通過(guò)評(píng)估標(biāo)簽片上的資源，以得出一個(gè)適合EPC C1G2協(xié)議兼容的安全改進(jìn)方案．

在EPC C1G2標(biāo)準(zhǔn)中對(duì)標(biāo)簽芯片的響應(yīng)時(shí)間有著明確的限制：當(dāng)標(biāo)簽到讀卡器的連接頻率達(dá)640KHz時(shí)，要求標(biāo)簽在接收到讀卡器最后一位數(shù)據(jù)后能夠在大約15～30Fs的時(shí)間內(nèi)發(fā)出應(yīng)答信號(hào)．
再者，標(biāo)簽芯片的成本需要不斷降低，為了能夠取代條形碼，芯片的成本需要達(dá)到$0．05[5]，面積達(dá)到0．4mm×0．4mm，如果使用SMIC0．18的標(biāo)準(zhǔn)工藝庫(kù)來(lái)進(jìn)行制造，假設(shè)芯片的利用率達(dá)8O ，模擬電路約占數(shù)字電路面積的一半，一個(gè)標(biāo)準(zhǔn)兩輸入與非門的面積為5．O4 ×1．98~m[63，根據(jù)計(jì)算可以得到標(biāo)準(zhǔn)數(shù)字電路的門數(shù)約為：
0．4mm×0．4mm×80％ ×2／3÷ (5．04,um×1．98,urn)≈8552(標(biāo)準(zhǔn)門)進(jìn)行協(xié)議處理的數(shù)字電路大約需要5000標(biāo)準(zhǔn)門，而能夠支持安全的硬件電路只有約3000標(biāo)準(zhǔn)門．由于這些嚴(yán)格的限制，通常的加解密電路是很難做到這種程度，[73在針對(duì)RFID的特性進(jìn)行折中后的AES電路的標(biāo)準(zhǔn)門數(shù)為3595，而需要1016個(gè)時(shí)鐘周期才能完成加、解密過(guò)程，同時(shí)在100KHz下的電流為8．15zA．盡管AES電路的面積達(dá)到了要求，但是從處理速度和功耗上都遠(yuǎn)不能滿足標(biāo)簽芯片的性能要求．

因此本文采用了如下的安全方案：在讀卡器和標(biāo)簽的身份認(rèn)證中，采用隨機(jī)數(shù)和密鑰相結(jié)合的方式實(shí)現(xiàn)快速認(rèn)證，這種認(rèn)證方式通過(guò)引入三條安全認(rèn)證指令來(lái)實(shí)現(xiàn)，這種認(rèn)證方式具有實(shí)現(xiàn)簡(jiǎn)便，具有較小的硬件電路，運(yùn)算速度快等優(yōu)點(diǎn)；在數(shù)據(jù)加密傳輸中采用對(duì)稱密鑰加密算法Tiny Encryp—tion Algorithm[9]來(lái)進(jìn)行數(shù)據(jù)的加密，這種算法經(jīng)過(guò)仿真及功耗分析證明可以應(yīng)用于RFID標(biāo)簽實(shí)現(xiàn)．

5．2 對(duì)EPC C1G2協(xié)議提出的改進(jìn)方案
通過(guò)對(duì)RFID標(biāo)簽的安全性分析，本文得出在各種應(yīng)用和安全等級(jí)下，RFID標(biāo)簽與讀卡器之間的信息傳輸都需要建立在通過(guò)相互驗(yàn)證的基礎(chǔ)之上．這種機(jī)制也是進(jìn)行安全防范最基本的條件．本文下面將提出一個(gè)基于EPC C1G2協(xié)議的具有驗(yàn)證數(shù)據(jù)加密機(jī)制的改進(jìn)方案．并在此方案中假設(shè)，標(biāo)簽芯片以密鑰為唯一的秘密，對(duì)于密鑰分配和管理機(jī)制不屬于本文所討論的范圍．

改進(jìn)方案在標(biāo)簽芯片中增加三條身份密鑰(Keyl，Key2，Key3)，這三個(gè)密鑰為標(biāo)簽與讀卡器所共有的．同時(shí)在原先的EPC C1G2協(xié)議規(guī)定的標(biāo)簽的七個(gè)狀態(tài)中使用一個(gè)新?tīng)顟B(tài)authentication替代acknowledge狀態(tài)，標(biāo)簽只有通過(guò)這個(gè)狀態(tài)，才能進(jìn)入open狀態(tài)，用戶才可以對(duì)于標(biāo)簽進(jìn)行操作．在原協(xié)議的基礎(chǔ)上，在通訊指令中增加了三條指令用于對(duì)讀卡器和標(biāo)簽之間身份密鑰的傳輸驗(yàn)證．三條身份密鑰與隨機(jī)數(shù)相異或分別作為這三條指令承載的內(nèi)容．這三條指令采取順序連續(xù)傳輸，任何中斷或者傳輸超時(shí)都將被認(rèn)為是非法的驗(yàn)證．本方案在不改變EPC C1G2協(xié)議的原有指令情況下通過(guò)增加三條指令來(lái)使標(biāo)簽完成驗(yàn)證機(jī)制，改善了標(biāo)簽的安全性．改進(jìn)的認(rèn)證應(yīng)答流程如圖2所示(見(jiàn)下頁(yè))．

圖2中虛線方框內(nèi)是在原始協(xié)議中增加的標(biāo)簽與應(yīng)答器相互驗(yàn)證的過(guò)程，橢圓內(nèi)是讀卡器或標(biāo)簽的狀態(tài)．在進(jìn)行標(biāo)簽與讀卡器通訊防碰撞時(shí)，標(biāo)簽的UID被發(fā)送到讀卡器以輔助后端數(shù)據(jù)庫(kù)進(jìn)行標(biāo)簽密鑰的查詢．讀卡器首先產(chǎn)生一個(gè)隨機(jī)數(shù)RNr與Keyl經(jīng)過(guò)異或運(yùn)算傳送給標(biāo)簽，合法標(biāo)簽使用Keyl與接收到的指令再次異或得知這個(gè)隨機(jī)數(shù)，并用這個(gè)隨機(jī)數(shù)分別與Key2和自己產(chǎn)生的隨機(jī)數(shù)異或，作為回復(fù)指令的內(nèi)容傳送給讀卡器，讀卡器根據(jù)原先產(chǎn)生的隨機(jī)數(shù)解密Key2，并核對(duì)Key2的值來(lái)決定標(biāo)簽是否為合法．如果標(biāo)簽的驗(yàn)證成功，讀卡器會(huì)發(fā)出第三條指令，以Key3異或標(biāo)簽產(chǎn)生的隨機(jī)數(shù)作為指令內(nèi)容傳送給標(biāo)簽．標(biāo)簽通過(guò)校對(duì)Key3的值

READER來(lái)驗(yàn)證讀卡器的合法性．
改進(jìn)方案中的身份驗(yàn)證的指令采用模型表示如下

在改進(jìn)的身份認(rèn)證方案中，標(biāo)簽與讀卡器所共有的密鑰為標(biāo)簽承載的關(guān)鍵信息，根據(jù)第三章安全模型對(duì)這個(gè)驗(yàn)證過(guò)程進(jìn)行分析，可以得出讀卡器與標(biāo)簽在前后通道上均以密文方式傳送數(shù)據(jù)，由于隨機(jī)數(shù)的存在，標(biāo)簽每次發(fā)送給讀卡器的數(shù)據(jù)均不同，根據(jù)讀卡器和標(biāo)簽相互發(fā)送的消息無(wú)法推斷出標(biāo)簽上所承載數(shù)據(jù)的內(nèi)容．

EPC C1G2協(xié)議中標(biāo)簽數(shù)據(jù)的讀取采用簡(jiǎn)單隨機(jī)數(shù)與明文相異或的方式，并且這個(gè)隨機(jī)數(shù)采用明文傳輸，這在通訊中是非常危險(xiǎn)的．攻擊者可以使用密文再與隨機(jī)數(shù)異或來(lái)獲取明文數(shù)據(jù)；在讀卡器向標(biāo)簽寫數(shù)據(jù)時(shí)，數(shù)據(jù)均以明文傳送，缺乏安全防范．在改進(jìn)方案中，數(shù)據(jù)傳輸采用TEA算法對(duì)明文進(jìn)行加密，加密密鑰使用身份認(rèn)證時(shí)標(biāo)簽產(chǎn)生的隨機(jī)數(shù)RNt．在標(biāo)簽中除密鑰K1，K2，K3外，本方案中引入類似于EPC C1G2中access password的權(quán)限密碼PWD．在標(biāo)簽驗(yàn)證PWD后，讀卡器才可以對(duì)標(biāo)簽中數(shù)據(jù)進(jìn)行更改，寫數(shù)據(jù)同樣使用TEA算法對(duì)明文進(jìn)行加密，改進(jìn)方案中的讀寫操作采用模型表示如下：

6 分析與比較

在通用安全數(shù)據(jù)傳輸方案中[”]，采用公鑰密鑰加密算法來(lái)進(jìn)行通訊雙方的身份認(rèn)證，但是由于公鑰制加密算法的實(shí)現(xiàn)電路面積較大，占有較高的功耗和處理時(shí)間，不能使用于類似RFID標(biāo)簽的低功耗電路中．本安全方案中采用隨機(jī)數(shù)發(fā)生器和對(duì)稱密鑰加密算法來(lái)保證RFID標(biāo)簽的數(shù)據(jù)安全，這種安全算法具有功耗低，速度快和實(shí)現(xiàn)電路面積小等特點(diǎn)．這兩種安全方案的比較如表2所示：

改進(jìn)方案比EPC C1G2協(xié)議增加了標(biāo)簽與讀卡器之間的身份認(rèn)證機(jī)制，在數(shù)據(jù)傳輸中采用密文傳輸原則并采用一次一密從而使得相同明文數(shù)據(jù)加密時(shí)每次產(chǎn)生不同的密文，可以防止攻擊者對(duì)標(biāo)簽進(jìn)行跟蹤．根據(jù)本文提出的安全模型，對(duì)EPC C1G2和改進(jìn)方案進(jìn)行評(píng)估，可以看出EPC C1G2無(wú)法抵御通常的攻擊，改進(jìn)方案具有更高的安全性，符合模型的安全等級(jí)三．由于改進(jìn)方案在設(shè)計(jì)中并沒(méi)有考慮密鑰分配，在未來(lái)有待于實(shí)行進(jìn)一步的工作．EPC C1G2與改進(jìn)安全方案的安全性比較見(jiàn)上頁(yè)表3．

7 總結(jié)

本文針對(duì)RFID標(biāo)簽可能受到的攻擊進(jìn)行安全建模，提出一系列能夠改善標(biāo)簽安全性的模型．并根據(jù)這個(gè)安全模型對(duì)EPC CIG2協(xié)議進(jìn)行分析，提出了可能存在的安全漏洞．在解決RFID標(biāo)簽安全問(wèn)題中，標(biāo)簽與讀卡器之間的相互認(rèn)證
是最基本措施．隨后本文提出在原始協(xié)議中增加三條指令的改進(jìn)方案，使原協(xié)議具有標(biāo)簽與讀卡器之間身份驗(yàn)證和數(shù)據(jù)加密機(jī)制．該驗(yàn)證機(jī)制符合安全模型提出的安全措施．

References：
[1]EPc Radio—Frequency Identity Protocols Class-1 Generation一2 UHF RFID Protoco1 for Communications at 860M Hz一960MHz Version 1．0．9．[,Z]Jan．30，2005．
[2]Juels A，Pappu R．Squealing euros：privacy—protection in RFID—enabled banknotes，financial cryptography[M]．Springer-Ver—lag，2003，103—121．
[3]Engberg S，Harning M，Damsgaard Jensen C．Zero—knowledge device authentication±Privacy and security enhanced RFID pre—serving business value and consumer convenience[c]．The Sec—ond Annual Conference On Privacy，Security and Trust-PST，New Bruswick，Canada，2004．
[4]Zhang Xiao—lan，Brian King．Modeling RFID security[M]．Lec—ture Notes in Co mputer Science，Volume 38822／2005，75—90，Springer Berlin／Heidelberg．
[5]Sarma S E．Towards the five—cent tag．Technical Report MIT—AUTOID—WH一006，Auto—ID Labs，2001[EB／OL]．Referenced at http：／／www．a(chǎn)utoidlabs．org／．
[6]SMIC 0．18 Logic 18 Process 1．8-Volt SAGE—XTM Standard Cell Library Databook[,Z]．Release 1．0。March 2004．
[7]Marc Joye，Jean—Jacques Quisquater．Strong authentication for RFID systems using the AES algorithmiC]．CHES 2004，LNCS 3156，2004，357—370．
[8]Menezes A J，van Oorschot P C，Vanstone S A．Handbook of ap—plied cryptography[,M]．CRC Press，1996．
[9]David J．Wheeler，Roger M．Needham，TEA，a tiny encryption algorithm Proc．Fast software encryption[c]．Second Interna—tional Workshop。Lecture Notes in Co mputer Science，vo1．1008，December 1994，363—366．
[10 Israsena P．Securing ubiquitous and low—cOSt RFID using tiny encryption algorithm[C]．Wireless Pervasive Computing，2006 1st International Symposium ，16-18 Jan．2006，1-4．
[11] Diffie W ，Hellman M．New directions in cryptography informa—tion theory[J]．IEEE Transactions on 1976，22(6)：644—654．

編者注：由于篇中存在大量的計(jì)算公式，文檔轉(zhuǎn)換易亂碼?？紤]到技術(shù)研究人員的需要，特別提供原文件以供下載之用。

點(diǎn)擊下載