RFID(Radio Frequency Identif-ication)是一種利用射頻通信實(shí)現(xiàn)非接觸式自動識別的技術(shù)，是物聯(lián)網(wǎng)的關(guān)鍵技術(shù)之一。RFID標(biāo)簽本身具有一定存儲和計(jì)算能力，采用無線射頻方式進(jìn)行通信，具有體積小、壽命長、可重復(fù)使用等特點(diǎn)，從而被廣泛應(yīng)用于生產(chǎn)、物流、交通、運(yùn)輸、醫(yī)療、金融、防偽、跟蹤、設(shè)備和資產(chǎn)管理、校園一卡通等領(lǐng)域。但是隨著RFID應(yīng)用的推廣，其安全性也倍受關(guān)注。RFID的安全威脅主要來自標(biāo)簽和閱讀器內(nèi)部的安全威脅以及通信鏈路上的安全威脅[1]。

　　針對RFID系統(tǒng)通信鏈路上的安全問題，一些安全協(xié)議被提出，如Hash-Lock協(xié)議、隨機(jī)化Hash-Lock協(xié)議、分布式RFID詢問—應(yīng)答協(xié)議、基于樹型結(jié)構(gòu)的安全協(xié)議等[2，3]。本文在對現(xiàn)有安全協(xié)議分析的基礎(chǔ)上，對分組索引協(xié)議進(jìn)行了改進(jìn)，提出了最優(yōu)分組索引的RFID安全協(xié)議，使標(biāo)簽的索引時(shí)間復(fù)雜度降低為。同時(shí)，通過采用隨機(jī)數(shù)、Hash函數(shù)、標(biāo)簽與后端數(shù)據(jù)庫共享密鑰機(jī)制等，使協(xié)議具有隱私保護(hù)，防止跟蹤、欺騙攻擊和妥協(xié)攻擊的能力，可以保證RFID系統(tǒng)的前向安全性和后向安全性。

　　1.相關(guān)工作

　　1.1 RFID系統(tǒng)及其安全性分析

　　RFID系統(tǒng)一般由標(biāo)簽(Tag)、閱讀器(Reader)和后端數(shù)據(jù)庫3個(gè)基本部分構(gòu)成，如圖1所示。通常情況下，我們認(rèn)為在閱讀器與后端服務(wù)器之間的是安全信道，即不被攻擊者竊聽或篡改的;而在閱讀器與標(biāo)簽之間的數(shù)據(jù)傳輸是開放的無線通信鏈路，所以為不安全信道，即其間發(fā)送的數(shù)據(jù)易被攻擊者竊聽或篡改。閱讀器向標(biāo)簽發(fā)送信息的信道稱之為前向信道，標(biāo)簽向閱讀器發(fā)送信息的信道稱之為反向信道[2，3]。

　　從圖1所示的RFID系統(tǒng)模型可以看出，RFID安全威脅首先來自標(biāo)簽和閱讀器本身的安全缺陷。由于成本所限，標(biāo)簽本身很難具備能夠足以保證安全的能力。閱讀器往往只能提供用戶業(yè)務(wù)接口，而不能提供能夠讓用戶自行提升安全性能的接口。

　　其次，RFID的數(shù)據(jù)通信鏈路是開放的無線通信鏈路，攻擊者可以利用合法或非法的閱讀器，直接與標(biāo)簽進(jìn)行通信，監(jiān)聽標(biāo)簽和讀寫器間的數(shù)據(jù)交互，從而獲取標(biāo)簽數(shù)據(jù)，通過其它技術(shù)手段和方法進(jìn)一步獲取合法用戶的隱私信息，對標(biāo)簽實(shí)施破解和復(fù)制、跟蹤、偽造、重傳、拒絕服務(wù)、欺騙等攻擊行為，威脅RFID系統(tǒng)的安全。

　　1.2 現(xiàn)有RFID安全協(xié)議分析

　　1.2.1 Hash-Lock協(xié)議

　　Hash-Lock協(xié)議是由Sarma等人提出的[4-6]，后端數(shù)據(jù)庫分配一個(gè)隨機(jī)密鑰key給標(biāo)簽，標(biāo)簽進(jìn)行hash函數(shù)運(yùn)算，得到metaID=H(key)，并將其存儲在標(biāo)簽中，然后鎖定標(biāo)簽。此時(shí)標(biāo)簽只對通過metaID認(rèn)證的閱讀器產(chǎn)生響應(yīng)，從而增強(qiáng)了無線通信鏈路和物理接觸信道的安全性。

　　Hash-Lock協(xié)議流程如下：

　　(1)閱讀器向標(biāo)簽發(fā)送Query認(rèn)證請求;

　　(2)標(biāo)簽將metaID發(fā)送給標(biāo)簽閱讀器;

　　(3)閱讀器將metaID轉(zhuǎn)發(fā)給后端數(shù)據(jù)庫;

　　(4)后端數(shù)據(jù)庫通過查詢，如果找到與metaID相配的項(xiàng)，則將該項(xiàng)的(key，ID)發(fā)送給閱讀器，其中ID為待認(rèn)證標(biāo)簽的標(biāo)識，否則，認(rèn)證失敗;

　　(5)閱讀器將接收的后端數(shù)據(jù)庫信息key發(fā)送至標(biāo)簽;

　　(6)標(biāo)簽驗(yàn)證metaID=H(key)是否成立，如果成立，則將其ID發(fā)送給閱讀器;

　　(7)閱讀器比較自標(biāo)簽接收到的ID是否與后端數(shù)據(jù)庫發(fā)送過來的ID一致，如果一致，則認(rèn)證通過;否則，認(rèn)證失敗。

　　從Hash-Lock協(xié)議的流程可以看出，由于后端數(shù)據(jù)庫與閱讀器之間為安全信道，攻擊者不可能同時(shí)獲得(key，ID)。如果攻擊者向標(biāo)簽發(fā)送Query認(rèn)證請求，可以竊取標(biāo)簽的metaID，進(jìn)一步冒充合法標(biāo)簽，只能通過后端數(shù)據(jù)庫獲得key，而不能獲得標(biāo)簽ID，所以不能通過標(biāo)簽認(rèn)證。這樣阻止了攻擊者冒充合法標(biāo)簽與閱讀器的通信，從而增強(qiáng)了無線通信鏈路和物理接觸信道的安全性。但是由于標(biāo)簽的metaID沒有使用動態(tài)更新機(jī)制，故容易被攻擊者通過截獲的metaID進(jìn)行跟蹤定位。同時(shí)在合法標(biāo)簽在認(rèn)證的過程中，key和ID是明文傳送的，攻擊者如果全程竊聽其認(rèn)證過程，則有可能同時(shí)獲得(key，ID)，那么該協(xié)議的安全性將徹底瓦解。

　　1.2.2 隨機(jī)Hash-Lock協(xié)議

　　為了克服Hash-Lock協(xié)議容易被攻擊者跟蹤的不足，Weis等人提出了隨機(jī)Hash-Lock協(xié)議[6]，每個(gè)標(biāo)簽不僅包含自身ID，還有一個(gè)隨機(jī)數(shù)產(chǎn)生器。標(biāo)簽將隨機(jī)數(shù)產(chǎn)生器產(chǎn)生的隨機(jī)數(shù)R和ID一起用Hash函數(shù)加密，加密后的值為C=H(ID||R)。標(biāo)簽將C、R一起發(fā)送給閱讀器，閱讀器將獲取的信息發(fā)給后端數(shù)據(jù)處理中心。后端數(shù)據(jù)庫通過查詢數(shù)據(jù)庫中所有ID，看其中有沒有一個(gè)IDk(1≤k≤n)，使得H(ID||R)=C成立，如果有，則此認(rèn)證通過，并將IDk發(fā)送給標(biāo)簽;標(biāo)簽收到IDk后驗(yàn)證與標(biāo)簽本身的ID是否相等，如果相等，則認(rèn)證通過。

　　該協(xié)議通過采用隨機(jī)數(shù)，使得每次對閱讀器的應(yīng)答C=H(ID||R)都不相同，從而解決了標(biāo)簽被跟蹤的問題。但是在認(rèn)證過程中仍然以明碼的方式傳遞ID，若被攻擊者截獲，協(xié)議的安全性將不復(fù)存在。

　　1.2.3 分布式RFID詢問—應(yīng)答協(xié)議

　　Rhee等人提了一種適用于分布式數(shù)據(jù)庫環(huán)境的RFID認(rèn)證協(xié)議，它是典型的詢問-應(yīng)答型雙向認(rèn)證協(xié)議[7]。該協(xié)議的流程如下：

　　(1)閱讀器生成一隨機(jī)數(shù)RR，向標(biāo)簽發(fā)送Qu-ery認(rèn)證請求，并將RR發(fā)送給標(biāo)簽;

　　(2)標(biāo)簽生成一隨機(jī)數(shù)RT，計(jì)算H(ID||RR||RT)，并將其和RT一起發(fā)送給閱讀器;

　　(3)閱讀器將(H(ID||RR||RT)，RR，RT)發(fā)給后端數(shù)據(jù)庫;

　　(4)后端數(shù)據(jù)庫檢查是否有某個(gè)IDj(1≤j ≤n)，使得(H(IDj||RR||RT)=(H(ID||RR||RT)成立，如果有，則認(rèn)證通過，并將H(IDj||RT)發(fā)送給閱讀器;

　　(5)標(biāo)簽驗(yàn)證H(IDj||RT)和H(ID||RT)是否相同，如相同，則認(rèn)證通過。

　　該協(xié)議在雙向認(rèn)證過程中，除了閱讀器生成的隨機(jī)數(shù)RR為明文傳輸，其它均為密文傳輸，故其在安全方面沒有存在明顯的漏洞。但是執(zhí)行一次認(rèn)證過程，標(biāo)簽需要進(jìn)行兩次Hash運(yùn)算，標(biāo)簽電路中需要集成隨機(jī)數(shù)發(fā)生器和Hash函數(shù)模塊，因此不適合于低成本RFID系統(tǒng)。

　　1.2.4 基于樹型結(jié)構(gòu)的SPA安全協(xié)議

　　考察前面討論幾種協(xié)議的索引效率，后端數(shù)據(jù)庫為了完成對標(biāo)簽的一次認(rèn)證，最大的索引次數(shù)為n，即索引的時(shí)間復(fù)雜度均為O(n)，這樣的索引效率在大規(guī)模RFID系統(tǒng)中是難以接受的。針對上述協(xié)議索引效率低下的問題，Molnar和Wagner最先提出了基于樹型結(jié)構(gòu)的RFID安全協(xié)議[8]。該協(xié)議的基本思想是構(gòu)造一顆樹型結(jié)構(gòu)的密碼組來提高其在大規(guī)模數(shù)據(jù)中的索引效率。在樹型結(jié)構(gòu)中，每個(gè)樹節(jié)點(diǎn)都有一個(gè)密碼值，所有的標(biāo)簽都在葉子節(jié)點(diǎn)上。針對樹上的任何一個(gè)節(jié)點(diǎn)，從樹根到葉子節(jié)點(diǎn)都有唯一的路徑，且其密碼組就是這個(gè)路徑上各個(gè)葉子節(jié)點(diǎn)的密碼值組合。如圖2所示，標(biāo)簽T1的密碼組為(k0，k1，1，k2，1，k3，1)，標(biāo)簽T2的密碼組為(k0，k1，2，k2，4，k3，8)。

　　此協(xié)議雖然大大的提高了其搜索效率，使其索引的時(shí)間復(fù)雜度降為O(log n)，但是其中任意兩個(gè)標(biāo)簽至少共享了一個(gè)密碼值，因而存在明顯的漏洞。攻擊者只要截獲任意一個(gè)標(biāo)簽的密碼值，就可以知道其上層標(biāo)簽的密碼值和相鄰節(jié)點(diǎn)標(biāo)簽的共享密碼值，導(dǎo)致嚴(yán)重的安全問題。

　　1.2.5 基于分組索引的RFID安全協(xié)議

　　由于樹型結(jié)構(gòu)的RFID協(xié)議存在嚴(yán)重的安全性問題，而非樹型結(jié)構(gòu)的RFID安全協(xié)議又存在索引效率低下的問題，一些研發(fā)團(tuán)隊(duì)開始研究既能夠保證協(xié)議安全，又可以提高索引效率的安全協(xié)議。付小麗提出了分組索引的RFID安全協(xié)議[9]，此協(xié)議在開始前要對RFID后端系統(tǒng)和標(biāo)簽進(jìn)行初始化。分組索引就是將后端數(shù)據(jù)庫中儲存的n個(gè)標(biāo)簽均分成m組，每個(gè)組有n/m個(gè)標(biāo)簽，其中同一個(gè)組的標(biāo)簽共享一個(gè)索引碼IID，而每個(gè)標(biāo)簽含有一個(gè)自己的安全密碼SID，并且每個(gè)SID是不相同的。協(xié)議的主要流程如下：

　　(1)閱讀器生成一隨機(jī)數(shù)RR，向標(biāo)簽發(fā)送詢問請求，并將RR發(fā)送給標(biāo)簽。

　　(2)標(biāo)簽接收到詢問請求后，生成一個(gè)隨機(jī)數(shù)RT，計(jì)算C=h(SID||RR||RT)，并將信息C、IID、RT發(fā)送給閱讀器。

　　(3)閱讀器接收到信息C、IID、RT后，將其轉(zhuǎn)發(fā)送給后端數(shù)據(jù)庫。

　　(4)后端數(shù)據(jù)庫接收到信息后，查詢出所有索引為IID的標(biāo)簽，然后再在這些標(biāo)簽中搜索是否有一個(gè)標(biāo)簽的SIDj使得h(SIDj||RR||RT)=C成立，如果有，則通過認(rèn)證;否則，認(rèn)證失敗。若通過認(rèn)證，則將SIDj更新為h(SIDj)，并將h(SIDj||RT)發(fā)送給標(biāo)簽。

　　(5)標(biāo)簽驗(yàn)證h(SIDj||RT)=h(SID||RT)是否成立，如果成立，則認(rèn)證通過，且將SID更新為h(SID)。

　　在該協(xié)議中，所有傳送的信息除了IID外都進(jìn)行了加密處理，而IID不是哪個(gè)標(biāo)簽獨(dú)有的，攻擊者僅知道IID無法確定具體是哪個(gè)標(biāo)簽;同時(shí)，在認(rèn)證過程中所傳遞的密文C=h(SID||RR||RT)和h(SIDj)每次認(rèn)證都是不同的，并采用了SID更新機(jī)制，攻擊者根據(jù)當(dāng)前SIDt很難推導(dǎo)出前面的SIDt-1，所以可以保證其前向安全性。但攻擊者可根據(jù)當(dāng)前SIDt推導(dǎo)出以后的SIDt+1，所以不能保證其后向安全性。

　　2.最優(yōu)分組索引的RFID安全協(xié)議

　　在1.2.5描述中基于分組索引的RFID安全協(xié)議，將索引的時(shí)間復(fù)雜度減少為O(m+n/m)，提高了索引效率。但是該協(xié)議并沒有提到具體如何分組，才能使時(shí)間復(fù)雜度降至最低，同時(shí)存在后向安全性問題。本文針對這些不足，提出了最優(yōu)分組索引的RFID安全協(xié)議，從而進(jìn)一步提高了索引效率，同時(shí)通過標(biāo)簽和后端數(shù)據(jù)庫共享密碼key解決了其后向安全問題。

　　2.1 最優(yōu)分組索引原理

　　分組索引的過程是在m個(gè)分組中先找到索引碼為IID的標(biāo)簽所在的組，然后在該組中n/m個(gè)標(biāo)簽中找到特定的標(biāo)簽SID，故整個(gè)過程中后端數(shù)據(jù)索引的次數(shù)為m+n/m，如果使之達(dá)到最小，則其時(shí)間復(fù)雜度最低，此時(shí)為最優(yōu)分組索引。

　　m為整數(shù)，取整，所以，最優(yōu)分組索引的時(shí)間復(fù)雜度為。例如，后端數(shù)據(jù)庫中總共存有10000個(gè)標(biāo)簽，我們把這些標(biāo)簽均分成100個(gè)組，則每組有100個(gè)標(biāo)簽，同時(shí)，每組共享一個(gè)索引碼IID。在整個(gè)索引的過程中，前100次是找到索引碼為IID的那個(gè)組，后100次是在同一索引碼IID的標(biāo)簽中找到目標(biāo)標(biāo)簽，最多需要索引200次就可以尋找到目標(biāo)標(biāo)簽。

　　2.2 最優(yōu)分組索引的安全協(xié)議流程

　　最優(yōu)分組索引將后端數(shù)據(jù)庫中儲存的n個(gè)標(biāo)簽均分成組，每個(gè)組有int(n/m)個(gè)標(biāo)簽。其中每個(gè)組的標(biāo)簽共享一個(gè)索引碼IID，且包含一個(gè)自己的安全密碼SID和一個(gè)與后端數(shù)據(jù)庫的共享密碼key，并且每個(gè)SID和key是不相同的。協(xié)議流程如圖3所示。

　　協(xié)議執(zhí)行過程描述如下：

　　(1)閱讀器生成一隨機(jī)數(shù)RR，向標(biāo)簽發(fā)送詢問請求，并將RR發(fā)送給標(biāo)簽;

　　(2)標(biāo)簽接收到詢問請求后，生成一個(gè)隨機(jī)數(shù)RT，計(jì)算C=h(SID||RR||RT)，并將信息C、IID、RT發(fā)送給閱讀器;

　　(3)閱讀器接收到信息C、IID、RT后，將其與RR轉(zhuǎn)發(fā)送給后端數(shù)據(jù)庫;

　　(4)后端數(shù)據(jù)庫接收到信息后，查詢出所有索引為IID的標(biāo)簽，然后再在這些標(biāo)簽中搜索是否有一個(gè)標(biāo)簽的SIDj使得h(SIDj||RR||RT)=C成立，如果有，則通過認(rèn)證;否則，認(rèn)證失敗。若通過認(rèn)證，則將SIDj更新為h(SIDj||key)，并將h(SIDj||RT)發(fā)送給標(biāo)簽。

　　(5)標(biāo)簽驗(yàn)證h(SIDj||RT)=h(SID||RT)是否成立，如果成立，則認(rèn)證通過，且將SID更新為h(SID||key)。

　　3.分析

　　3.1 安全分析

　　(1)隱私保護(hù)：在本協(xié)議中，所有傳送的信息除了IID、隨機(jī)數(shù)RR和RT以外，都進(jìn)行了加密處理，而IID不是某一個(gè)標(biāo)簽獨(dú)有的，所以不會暴露用戶隱私。同時(shí)hash函數(shù)是單向的，因此攻擊者很難根據(jù)hash值得出標(biāo)簽的SID。

　　(2)跟蹤：產(chǎn)生被跟蹤的根本原因是標(biāo)簽發(fā)送給閱讀器的信息含有一些固定的信息，且這些信息對于標(biāo)簽是唯一的，從而使得攻擊者很容易根據(jù)標(biāo)簽發(fā)送的信息跟蹤標(biāo)簽。而在本協(xié)議中，由于RR和RT每次都不相同，故標(biāo)簽每次發(fā)送的加密信息C=h(SID||RR||RT)也是不一樣的，因此跟蹤信息C不可能。而發(fā)送的信息中，雖然IID是明文，但它不是某個(gè)標(biāo)簽獨(dú)有的，因此攻擊者根據(jù)IID無法確定某個(gè)具體的標(biāo)簽，進(jìn)而不能達(dá)到跟蹤的目的。

　　(3)欺騙攻擊：在復(fù)制或欺騙攻擊中，攻擊者會先向標(biāo)簽發(fā)送詢問信息并記錄標(biāo)簽返回的信息。然后攻擊者將標(biāo)簽返回的信息發(fā)送給閱讀器以達(dá)到冒充合法標(biāo)簽進(jìn)行欺騙的目的。在本協(xié)議的每次認(rèn)證過程中，標(biāo)簽和閱讀器都產(chǎn)生一個(gè)隨機(jī)數(shù)，并通過hash函數(shù)形成密文C=h(SID||RR||RT)。攻擊者不可能事先知道當(dāng)前認(rèn)證過程中閱讀器生成的隨機(jī)數(shù)RR，而由他自己詢問標(biāo)簽所產(chǎn)生的C和RR在后端數(shù)據(jù)庫是不能通過認(rèn)證的，因此無法使用欺騙攻擊。

　　(4)前向安全：如果攻擊者在t時(shí)刻攻破了秘密信息C=h(SIDt||RR||RT)，就可以獲得當(dāng)前時(shí)刻標(biāo)簽的SIDt。本協(xié)議在每次認(rèn)證成功后，都更新了SID，所以攻擊者根據(jù)當(dāng)前SIDt不能推導(dǎo)出前面的SIDt-1，從而保證了前向安全性。

　　(5)后向安全：如果攻擊者獲得當(dāng)前時(shí)刻標(biāo)簽的SIDt，但本協(xié)議在認(rèn)證的過程中，攻擊者無論從明文或者密文中都無法獲得標(biāo)簽與數(shù)據(jù)庫的共享密碼key，所以攻擊者根據(jù)當(dāng)前SIDt不能推導(dǎo)出下一次標(biāo)簽的SIDt+1=h(SIDt||key)，從而保證了后向安全性。

　　(6)妥協(xié)攻擊：在本協(xié)議中，雖然多個(gè)標(biāo)簽共享一個(gè)IID，但是這個(gè)IID本身就是明文發(fā)送的，攻擊者并不能據(jù)此判定具體是哪個(gè)標(biāo)簽。同時(shí)，如果某個(gè)標(biāo)簽的SID泄漏后，攻擊者也不能據(jù)此得到其他標(biāo)簽的SID。因此，本協(xié)議不會發(fā)生妥協(xié)攻擊。

　　3.2 協(xié)議比較分析

　　本文安全協(xié)議與其它安全協(xié)議的性能比較見表1。從表1的比較中可以看出，本文協(xié)議除了索引效率僅次于基于樹型的SPA協(xié)議外，各項(xiàng)性能指標(biāo)均優(yōu)于其它安全協(xié)議。

　　4.結(jié)束語

　　本文討論了已有的幾種RFID協(xié)議，分析了這些協(xié)議中存在的安全缺陷和漏洞。針對基于分組索引的RFID安全協(xié)議所存在的問題，提出了最優(yōu)分組方案，將標(biāo)簽分成組，利用同組同索引碼的方法，將其時(shí)間復(fù)雜度降為，同時(shí)，采用隨機(jī)數(shù)、Hash函數(shù)、標(biāo)簽與后端數(shù)據(jù)庫共享密鑰機(jī)制等，解決了RFID中的隱私保護(hù)、跟蹤、欺騙攻擊、前向安全、后向安全、妥協(xié)攻擊等安全性問題。

　　本協(xié)議的不足之處在于，標(biāo)簽的SID更新必須和后臺數(shù)據(jù)庫同步，需要對數(shù)據(jù)一致性問題展開進(jìn)一步研究。