基于相互認(rèn)證的移動RFID安全協(xié)議

陳瑞鑫,鄒傳云

(西南科技大學(xué)信息工程學(xué)院移動計(jì)算研究室,四川綿陽621010)

0 引言

最近幾年,隨著互聯(lián)網(wǎng)、無線通信技術(shù)及移動設(shè)備的發(fā)展,移動商務(wù)被越來越多的人所接受,RFID也成為這一新產(chǎn)業(yè)的技術(shù)熱點(diǎn)。如果把RFID技術(shù)應(yīng)用到移動商務(wù)上來,固定式讀寫器將不能滿足這一新的需求,必須采用移動 RFID技術(shù)。有了移動RFID,人們可以隨時(shí)隨地得到附有RFID標(biāo)簽的產(chǎn)品的信息及相關(guān)身份認(rèn)證,為移動商務(wù)提供了更大的發(fā)展空間,這一技術(shù)的應(yīng)用,不僅提高了工作效率,而且為人們的日常生活帶來了很大的便利。然而,移動RFID的廣泛應(yīng)用使其安全隱私面臨巨大的挑戰(zhàn),攻擊者可以通過移動讀寫器與后臺數(shù)據(jù)庫之間的不安全信道截獲信息并解密以獲取用戶信息?？傊?在未來為移動RFID系統(tǒng)提供一個安全的通信協(xié)議以增強(qiáng)隱私保護(hù)和數(shù)據(jù)安全將是至關(guān)重要的。

1 移動RFID網(wǎng)絡(luò)及其安全隱患

1.1 移動RFID網(wǎng)絡(luò)

移動RFID網(wǎng)絡(luò)是指利用具有讀寫器模塊的移動終端通過GPRS等移動網(wǎng)絡(luò)訪問EPC網(wǎng)絡(luò)獲取相關(guān)信息,主要由移動RFID系統(tǒng)和EPC網(wǎng)絡(luò)組成,包含的基本組件有：

①EPC標(biāo)簽：存有EPC等信息,作為被附著物品信息的載體。EPC由4部分組成：編碼類型Header、企業(yè)代碼Manager number、商品類別Object class以及單品序列號;

②移動RFID：具有閱讀器功能模塊的智能移動終端,如：手機(jī)、PDA。移動RFID與EPC標(biāo)簽組成移動RFID系統(tǒng);

③移動網(wǎng)：可信任的網(wǎng)絡(luò)實(shí)體,為移動RFID用戶提供安全基礎(chǔ)上的傳輸服務(wù)。移動網(wǎng)可以是GPRS、CDMA及3G網(wǎng)絡(luò)等;

④移動RFID中間件(M-RFIDMiddleware)：中間件是一類軟件的統(tǒng)稱,實(shí)時(shí)地處理讀取的信息和事件、發(fā)出告警信息,為EPC-IS等處理原始數(shù)據(jù);

⑤EPC-IS：是處于EPC網(wǎng)絡(luò)中的一類數(shù)據(jù)庫,為移動RFID用戶提供相關(guān)信息服務(wù),還可以對訪問申請進(jìn)行認(rèn)證、授權(quán)等操作;

⑥ONS(Object Naming Service)：是 EPC網(wǎng)絡(luò)中的地址翻譯服務(wù)器,類似于Internet網(wǎng)絡(luò)中的DNS。ONS對標(biāo)簽中的EPC編碼進(jìn)行網(wǎng)絡(luò)地址翻譯,獲得相應(yīng)的IS網(wǎng)絡(luò)地址。

1.2 移動RFID網(wǎng)絡(luò)的安全隱患

在移動RFID網(wǎng)絡(luò)中存在的安全問題主要還是假冒與非授權(quán)服務(wù),特別是在EPC-IS提供基于EPC的應(yīng)用服務(wù)中。

首先,在移動RFID網(wǎng)絡(luò)中,讀寫器與后臺數(shù)據(jù)庫之間不存在任何固定物理連接,通過射頻信道傳送其身份信息,攻擊者截獲一個身份信息時(shí),就可以利用這個身份信息來假冒該合法讀寫器的身份入網(wǎng)。

其次,通過復(fù)制他人讀寫器的信息,多次頂替別人消費(fèi)。復(fù)制攻擊實(shí)現(xiàn)的代價(jià)不高,且不用任何其他條件,所以經(jīng)常成為攻擊者最常用的手段。

最后,移動RFID網(wǎng)絡(luò)還存在非授權(quán)服務(wù)、否認(rèn)服務(wù)與拒絕服務(wù)等攻擊。當(dāng)移動RFID手機(jī)在非授權(quán)的情況下獲得標(biāo)簽的信息或者訪問EPC-IS,就稱為非授權(quán)服務(wù);否認(rèn)服務(wù)也稱抵賴服務(wù),即在獲得相關(guān)服務(wù)之后對服務(wù)的不承認(rèn)性;而拒絕服務(wù)則往往會導(dǎo)致EPC-IS等服務(wù)器因資源的耗盡而癱瘓。

2 基于相互認(rèn)證的安全協(xié)議

在分析了移動RFID網(wǎng)絡(luò)構(gòu)成及其安全隱患后,提出了一種基于相互認(rèn)證的安全協(xié)議,該協(xié)議使用橢圓曲線加密體制(ECC)對信息進(jìn)行簽名驗(yàn)證,最終實(shí)現(xiàn)移動讀寫器與后臺數(shù)據(jù)庫之間的安全通信。

2.1 橢圓曲線加密體制(ECC)

橢圓曲線加密體制(ECC)是一種公鑰密碼系統(tǒng),具有一般的公鑰密碼系統(tǒng)的特點(diǎn),所以具有2個密鑰：公鑰和私鑰。在加密與解密的過程中,分別使用不同的密鑰,想要由加密密鑰推出解密密鑰在計(jì)算上是不可行的,作為一種比較新的技術(shù)已逐漸被人們用作基本的數(shù)字簽名系統(tǒng),橢圓曲線簽名系統(tǒng)是建立在求解離散對數(shù)困難性的基礎(chǔ)上,它具有安全性高,密鑰短,運(yùn)行速度快等特點(diǎn)。

在橢圓曲線密碼體制(ECC)中,利用了某種特殊形式的橢圓曲線,即定義在有限域GF(p)上的橢圓曲線,其方程如下：y2=x3+ax+b(mod p),其中p是素?cái)?shù)(p＞3),且它們滿足：4a3+27b2(mod p)≠0,x、y、a、b∈GF(p),則滿足上述條件的點(diǎn)(x,y)和一個無窮點(diǎn)O就組成了橢圓曲線Ep(a,b)。

在此協(xié)議中,將構(gòu)造橢圓曲線Ep(a,b)∈GF(p),由此曲線產(chǎn)生 B1、B2和 G 3個不同的基點(diǎn),它們的階是 n。其中 Ep(a,b),B1、B2和 G 都是公開信息。

2.2 系統(tǒng)標(biāo)識

在對此安全協(xié)議的工作流程進(jìn)行詳細(xì)闡述之前,首先介紹一下在此協(xié)議中用到的一些系統(tǒng)標(biāo)識：

Ek(M)：表示用密鑰 k對消息M進(jìn)行加密;Cert(I)：表示對消息 I進(jìn)行數(shù)字簽名;

H()：表示單向的Hash函數(shù);IDr：表示移動RFID讀寫器的ID值;

IDs：表示后臺數(shù)據(jù)庫的ID值;kauth：表示移動讀寫器與后臺數(shù)據(jù)庫之間通信密鑰;

kr：表示移動讀寫器的密鑰;ks：表示后臺數(shù)據(jù)庫的公鑰;

kst：表示后臺數(shù)據(jù)庫與第3方服務(wù)器共享密鑰;

kt：表示第3方服務(wù)器的公鑰kt=i1B1+i2B2,式中,i1、i2∈[0,n-1];

kti：表示第3方服務(wù)器的私鑰 kti=(i1,i2),其中(i1、i2)與 kt中的相同;

n1、n2：分別表示為2個隨機(jī)數(shù);

Pc和Rc：表示由橢圓曲線加密算法產(chǎn)生的一組密鑰對 Pc=c1B1+c2B2,Rc=(c1,c2),其中 c1、c2是在[0,n-1]范圍內(nèi)的隨機(jī)取值;Pi表示移動讀寫器隨機(jī)產(chǎn)生的一個隨機(jī)數(shù);

t1、t2、t3：表示移動讀寫器產(chǎn)生的瞬時(shí)時(shí)間戳;

t1last：表示第3方服務(wù)器與移動讀寫器之間最后一次成功通信的時(shí)間戳;

t2last：表示后臺數(shù)據(jù)庫與移動讀寫器之間最后一次成功通信的時(shí)間戳。

2.3 工作流程

通過該安全協(xié)議,要達(dá)到的目標(biāo)是通過第3方服務(wù)器(以下簡稱服務(wù)器)所提供的密鑰使移動RFID讀寫器(以下簡稱讀寫器)與后臺數(shù)據(jù)庫(以下簡稱數(shù)據(jù)庫)完成相互認(rèn)證建立合法通信,該協(xié)議過程如圖1所示。

圖1 基于相互認(rèn)證的移動RFID安全協(xié)議

如圖1所示,具體流程如下：

(1)讀寫器→服務(wù)器：Ekt(IDr||IDs||t1||kr)

首先讀寫器用服務(wù)器的公鑰 kt對自身的 IDr,目標(biāo)數(shù)據(jù)庫的 IDs,當(dāng)前時(shí)間戳t1和讀寫器的密鑰kr進(jìn)行非對稱橢圓曲線加密[3],生成密文Ekt(IDr||IDs||t1||kr),并將其發(fā)送至服務(wù)器。

(2)服務(wù)器→讀寫器：Ekr(Rc||Cert(Rc));服務(wù)器→數(shù)據(jù)庫：Ekst(P|cCert(Pc))

服務(wù)器收到密文后,用私鑰kti進(jìn)行解密獲取密文內(nèi)容,并在自身的數(shù)據(jù)庫中查找是否存在 IDr和IDs,若存在則通過身份驗(yàn)證,然后對 t1與t1last進(jìn)行比較,若t1≤t1last,則表明此消息在此之前已經(jīng)收到過,服務(wù)器停止應(yīng)答;若t1＞t1last則表明了此消息有效,將時(shí)間戳t1last更新為 t1。時(shí)間戳更新完成后,服務(wù)器根據(jù)橢圓曲線加密體制產(chǎn)生一組密鑰對Rc=(c1,c2),Pc=c1B1+c2B2,其中(c1,c2)是在[0,n-1]范圍內(nèi)的隨機(jī)取值,為了對Rc、Pc進(jìn)行數(shù)字簽名,服務(wù)器產(chǎn)生一個臨時(shí)值 Rt=j1B1+j2B2,其中(j1,j2)是在[0,n-1]范圍內(nèi)的隨機(jī)取值,最后服務(wù)器利用私鑰kti按照橢圓曲線加密體制(ECC)對 Pc,Rc分別進(jìn)行數(shù)字簽名[1,5]生成Cert(Pc),Cert(Rc),過程如下：

簽名生成后,服務(wù)器利用收到的讀寫器的密鑰值kr對Rc和Cert(Rc)進(jìn)行加密生成密文Ekr(Rc||Cert(Rc)),然后將其發(fā)送至讀寫器;利用密鑰 kst對Pc和Cert(Pc)進(jìn)行加密生成密文Ekst(Pc||Cert(Pc))并將其發(fā)送至數(shù)據(jù)庫。

讀寫器和數(shù)據(jù)庫收到密文后,分別對其解密并進(jìn)行簽名驗(yàn)證,具體工作流程如下：讀寫器利用密鑰kr對密文進(jìn)行解密獲得Rc和Cert(Rc),然后利用公鑰 kt和橢圓曲線公共基點(diǎn)B1、B2,計(jì)算Z′：

計(jì)算出 Z′后利用單向 Hash函數(shù)計(jì)算H(Rc,Z′)并與 e′比較 ,若相等,則讀寫器通過簽名驗(yàn)證,然后更新其密鑰 kr為 H(kr);若不相等,則將該簽名視為無效,讀寫器不進(jìn)行任何響應(yīng)。

與讀寫器相同,數(shù)據(jù)庫收到密文后利用密鑰kst對密文進(jìn)行解密獲得Pc和Cert(Pc),然后利用公鑰kt和橢圓曲線公共基點(diǎn) B1、B2,計(jì)算 Z：

計(jì)算出Z后利用單向Hash函數(shù)計(jì)算H(Pc,Z)并與e比較,若相等,則數(shù)據(jù)庫通過簽名驗(yàn)證,等待接收讀寫器發(fā)送信息;若不相等,則將該簽名視為無效,不進(jìn)行任何響應(yīng)。

讀寫器完成對Rc的簽名驗(yàn)證后,產(chǎn)生一個隨機(jī)數(shù)Pi作為其身份標(biāo)識來代替IDr,為了對Pi進(jìn)行數(shù)字簽名,讀寫器產(chǎn)生一個臨時(shí)值Rs=d1B1+d2B2,其中(d1,d2)是在[0,n-1]范圍內(nèi)隨機(jī)取值,然后利用密鑰Rc按照橢圓曲線加密體制(ECC)對 Pi進(jìn)行數(shù)字簽名[1,5],過程如下：

完成對Pi簽名后,讀寫器產(chǎn)生一個隨機(jī)數(shù)n1,其中n1∈[0,n-1],計(jì)算n1G并產(chǎn)生當(dāng)前的時(shí)間戳t2,最后讀寫器利用數(shù)據(jù)庫的公鑰ks對Cert(Pi)和t2進(jìn)行加密生成密文 Eks(Cert(Pi)||t2),并將 Pi、n1G、Eks(Cert(Pi)||t2)依次發(fā)送至數(shù)據(jù)庫。

(4)數(shù)據(jù)庫→讀寫器：Pi、n2G、Ekauth(t2)

數(shù)據(jù)庫完成對Pc的簽名驗(yàn)證后,等待接收讀寫器發(fā)送的信息,在收到讀寫器發(fā)送的密文后,用公鑰ks進(jìn)行解密,獲得Cert(Pi)和 t2,然后對 Pi進(jìn)行簽名驗(yàn)證,具體過程如下：數(shù)據(jù)庫利用已經(jīng)收到的密鑰Pc和橢圓曲線公共基點(diǎn)B1、B2,計(jì)算 Z″：

計(jì)算出 Z″后,利用單向Hash函數(shù)計(jì)算H(Pi,Z″)與e″進(jìn)行比較,若相等,則數(shù)據(jù)庫通過簽名驗(yàn)證,進(jìn)行下一步操作;若不相等,則數(shù)據(jù)庫將此簽名視為無效,不進(jìn)行任何響應(yīng)。數(shù)據(jù)庫通過簽名驗(yàn)證后,將收到的時(shí)間戳t2與 t2last進(jìn)行比較,若 t2≤t2last,則表明此消息在此之前已經(jīng)收到過,數(shù)據(jù)庫不進(jìn)行任何響應(yīng);若 t2＞t2last,則表明此消息有效,數(shù)據(jù)庫完成對讀寫器合法性的驗(yàn)證,將t2last更新為t2。隨后產(chǎn)生一個隨機(jī)數(shù) n2,其中 n2∈[0,n-1],計(jì)算n2G并且與收到的 n1G相乘得n2n1G,其中 n2n1G即為 kauth,用 n2n1G對 t2進(jìn)行加密生成密文Ekauth(t2),將 Pi、n2G、Ekauth(t2)依次發(fā)送至讀寫器。

讀寫器收到信息后,首先將收到的Pi與自身的Pi進(jìn)行比較,若相等則證明該消息是發(fā)送給自身的。然后利用已經(jīng)生成的 n1與收到的 n2G相乘得n1n2G,這樣就獲得的密鑰kauth,最后用n1n2G對密文Ekauth(t2)進(jìn)行解密得到t2,再與先前產(chǎn)生的t2進(jìn)行比較,若相等則讀寫器證明了數(shù)據(jù)庫的合法性,kauth便為它們之后通信的密鑰,至此讀寫器與數(shù)據(jù)庫之間完成了相互認(rèn)證。

3 性能分析

對該安全協(xié)議進(jìn)行性能分析,有如下特點(diǎn)：

①防竊聽。在讀寫器,服務(wù)器與數(shù)據(jù)庫三者之間通信過程中,都使用了相應(yīng)的密鑰 kt、kr、kst和 ks對信息進(jìn)行加密,即使攻擊者截獲該密文也無法解密獲取密文內(nèi)容。因此該協(xié)議可以有效防止竊聽;

②防哄騙。讀寫器在每次與數(shù)據(jù)庫建立通信時(shí),將產(chǎn)生不同的隨機(jī)數(shù)組Pi來代替其自身IDr,這樣一來攻擊者就無法通過假冒IDr與數(shù)據(jù)庫建立通信,因此可以有效地防止假冒攻擊;

③防重傳。每次認(rèn)證過程中讀寫器將產(chǎn)生瞬時(shí)的時(shí)間戳t,并對其進(jìn)行加密,即使攻擊者截獲上次的信息,也無法偽造當(dāng)前時(shí)間戳,因此該協(xié)議可以有效地防止重傳攻擊;

④防追蹤。根據(jù)橢圓曲線離散對數(shù)問題(ECDLP),即使攻擊者通過追蹤截獲了n1G與n2G,但由于不知道 n1和 n2的具體取值,也無法得到kauth=n1n2G,因此該協(xié)議可以有效地防止跟蹤;

⑤前向安全性。在讀寫器與數(shù)據(jù)庫每次建立通信時(shí)都將產(chǎn)生不同的隨機(jī)數(shù)n1、n2,從而生成不同的密鑰kauth=n1n2G,即使攻擊者獲取了上次通信的密鑰值kauth,也無法獲知本次通信的密鑰kauth,從而保證了數(shù)據(jù)的前向安全性;

⑥實(shí)現(xiàn)雙向認(rèn)證。數(shù)據(jù)庫通過對 Pi簽名驗(yàn)證,實(shí)現(xiàn)了對讀寫器合法性的驗(yàn)證;而讀寫器通過對時(shí)間戳t2的比較,實(shí)現(xiàn)了對數(shù)據(jù)庫合法性的驗(yàn)證。

4 結(jié)束語

本文提出了一種基于相互認(rèn)證的移動RFID安全協(xié)議,該協(xié)議引入了一個第3方服務(wù)器來為移動讀寫器和后臺數(shù)據(jù)庫提供簽名密鑰,并且通過橢圓曲線加密體制(ECC)在發(fā)送端對信息進(jìn)行數(shù)字簽名,在接收端進(jìn)行驗(yàn)證,能有效地防止各種攻擊且能保證前向安全性,使移動讀寫器與后臺數(shù)據(jù)庫通過相互認(rèn)證建立安全合法通信,基本上彌補(bǔ)了目前移動RFID安全保護(hù)方法安全性不夠的缺陷,是一種較為實(shí)用的算法,具有較高的實(shí)用價(jià)值。

[1]YU Fang-chung,SHUAN Huang-kuo,LAI Fei-pei,et al.ID based digitalsignature scheme on the elliptic curve cryptosystem[J].Computer Standards and Interfaces,2007,29：601-604.

[2]ELGAMAL T.A public key cryptosystem and a signature scheme based on discrete logarithms[J].IEEE Transaction on Information Theory,1985,31(4)：469-472.

[3]MENEZES A,VANSTONE SA.Elliptic curve in cryptosystem and their implementation[J].Journal of Cryptology,1993,209-224.

[4]張方國,王常杰,王育民.基于橢圓曲線的數(shù)字簽名與盲簽名[J].通信學(xué)報(bào),2001,22(8)：22-27.

[5]羅大文,董麗莉,何明星.基于橢圓曲線的數(shù)字簽名方案[J].西華大學(xué)學(xué)報(bào),2006,25(3)：79-80.

[6]陳信剛,李超鋒.移動RFID網(wǎng)絡(luò)的安全性研究[J].廣東通信技術(shù),2007,11：14-17.

[7]宋國琴.橢圓曲線加密體制ECC[J].電腦開發(fā)與應(yīng)用,2008,21(8)：28-30.