物聯(lián)網(wǎng)RFID系統(tǒng)隱私保護三方認證協(xié)議

朱煒玲，喻建平

深圳大學ATR國防科技重點實驗室，深圳518060

射頻識別 (radio frequency identification，RFID)系統(tǒng)是物聯(lián)網(wǎng)的重要組成［1］.隨著移動RFID技術的發(fā)展，讀寫器芯片可集成在移動終端(如手機)中，使人們可便捷地擁有自己的RFID閱讀器，從而推動移動RFID技術廣泛用于物聯(lián)網(wǎng)個人應用服務.然而，RFID技術在應用方便的同時又帶來了嚴重的隱私安全問題［2-3］，包括標簽敏感信息的泄漏、通過標簽唯一標識符進行惡意追蹤與監(jiān)視、興趣愛好的泄漏、交易敏感信息的跟蹤、秘密的詳細目錄攻擊及移動閱讀器攜帶者被惡意跟蹤與監(jiān)視等.

RFID系統(tǒng)隱私安全問題是物聯(lián)網(wǎng)發(fā)展急需解決的問題之一，由于標簽計算能力和存儲資源受限，大多數(shù)RFID系統(tǒng)只能采取對稱密鑰加密的方式來實現(xiàn)隱私安全［4］.對稱密鑰加密隱私保護RFID系統(tǒng)面臨著兩個矛盾:一方面，為防止秘密追蹤，標簽不能在認證前暴露身份;另一方面，后臺數(shù)據(jù)庫需知道使用哪個標簽的密鑰和標識符進行認證.解決此矛盾的方法［5］一是允許后臺數(shù)據(jù)庫能有效尋找被使用的密鑰和標識符;二是頻繁更新標簽的身份.采用前者的協(xié)議為非狀態(tài)協(xié)議［4］，其認證效率低且后臺數(shù)據(jù)庫計算量大，只適用于標簽數(shù)目少的小規(guī)模應用［6-7］.采用后者的協(xié)議為狀態(tài)協(xié)議［4］，其認證效率高，適合標簽數(shù)目多的大規(guī)模應用，但面臨著標簽與后臺數(shù)據(jù)庫之間的同步問題［8-10］.大多數(shù)RFID隱私保護安全認證協(xié)議沒有建立標簽與閱讀器的會話密鑰，這使得閱讀器與標簽進一步通信得不到安全保障.文獻［9］雖建立了會話密鑰，但未考慮標簽與后臺數(shù)據(jù)庫的同步問題.文獻［10］采用通過保留更新前標簽的狀態(tài)數(shù)據(jù)來解決標簽與后臺服務器之間的同步問題，但未建立會話密鑰.

大多數(shù)RFID認證協(xié)議是針對標簽與閱讀器之間不安全通道設計的［6，8-10］，而在移動RFID系統(tǒng)，閱讀器與后臺數(shù)據(jù)庫之間的通信是以無線方式進行，信道不安全，研究人員在設計隱私保護安全認證協(xié)議時需將此環(huán)節(jié)統(tǒng)一考慮.文獻［7］考慮了閱讀器與后臺數(shù)據(jù)庫之間的不安全通信，采用循環(huán)冗余校驗函數(shù)、異或操作及隨機數(shù)發(fā)生器，設計了后臺數(shù)據(jù)庫、閱讀器及標簽之間的認證協(xié)議，并建立了會話密鑰，但其總共需要8次通信，且所有標簽與后臺數(shù)據(jù)庫共享一個秘密h(T－mark)，只要有一個標簽妥協(xié)，就會影響系統(tǒng)中其他標簽的安全.

Park等［11］提出基于隱私管理服務系統(tǒng)移動RFID服務的隱私保護方案和框架，但未設計出具體協(xié)議.本研究以物聯(lián)網(wǎng)移動RFID服務應用為背景，設計物聯(lián)網(wǎng)中標簽、閱讀器與隱私管理服務系統(tǒng)后臺數(shù)據(jù)庫之間隱私保護認證及會話密鑰建立協(xié)議(privacy preserving authentication and key agreement protocol in the internet of things，PPAKA-IoT)，為標簽、閱讀器及信息服務系統(tǒng)進一步安全通信提供保障，也適用于一般RFID系統(tǒng)標簽、閱讀器與后臺數(shù)據(jù)庫之間的認證.該協(xié)議采用哈希 (Hash)函數(shù)、隨機數(shù)發(fā)生器、共享密鑰及對稱加密算法來實現(xiàn)，同時考慮標簽與后臺數(shù)據(jù)庫之間同步問題.由GNY(Gong，Needham and Yahalom)邏輯分析證明，PPAKA-IoT協(xié)議能達到預期認證目的.

1 PPAKA-IoT協(xié)議

基于文獻［2，11］提出的移動RFID服務網(wǎng)絡體系結(jié)構(gòu)，本研究構(gòu)建的物聯(lián)網(wǎng)移動RFID服務網(wǎng)絡體系結(jié)構(gòu)如圖1.

圖1 物聯(lián)網(wǎng)移動RFID服務網(wǎng)絡體系結(jié)構(gòu)Fig.1 Mobile RFID services network architecture in the internet of things

基于圖1體系結(jié)構(gòu)，本研究提出的PPAKA-IoT協(xié)議如圖2.其中，DID為隱私管理服務系統(tǒng)后臺數(shù)據(jù)庫標識符;RID為閱讀器標識符;TID為標簽當前標識符;TID_old為標簽更新前標識符;TID_0為標簽初始標識符;KTD為標簽與后臺數(shù)據(jù)庫共享密鑰;KRD為閱讀器與后臺數(shù)據(jù)庫共享密鑰;H()為單向Hash函數(shù).協(xié)議初始化階段，閱讀器和標簽在隱私管理服務系統(tǒng)注冊，閱讀器中存儲 (RID，DID，KRD)，標簽存儲 (TID_0，KTD)，在隱私管理服務系統(tǒng)后臺數(shù)據(jù)庫存儲 (RID，KRD)和 (TID_0，KTD，RID).新協(xié)議中采用文獻［10］的方法解決同步問題，后臺數(shù)據(jù)庫保留更新前的狀態(tài)數(shù)據(jù)TID_old，當失去同步后，后臺數(shù)據(jù)庫使用TID_old重新同步.

圖2 PPAKA-IoT協(xié)議Fig.2 The proposed PPAKA-IoT protocol

PPAKA-IoT協(xié)議認證步驟為

①閱讀器生成隨機數(shù)NR，向電子標簽發(fā)送query認證請求，將RID和NR發(fā)送給電子標簽.

②電子標簽產(chǎn)生隨機數(shù)NT，計算H(TID，NR，NT，KTD)，并將 TID、NT和 H(TID，NR，NT，KTD)發(fā)送至閱讀器.

③ 閱讀器加密后，將 RID和 EKRD(RID，NR，TID，NT，H(TID，NR，NT，KTD))發(fā)送給隱私管理服務系統(tǒng)后臺數(shù)據(jù)庫.

④隱私管理服務系統(tǒng)后臺數(shù)據(jù)庫根據(jù)RID查找KRD，對 EKRD(RID，NR，TID，NT，H(TID，NR，NT，KTD))解密，獲取 RID、NR、TID、NT和 H(TID，NR，NT，KTD).檢查RID是否與接收的一致，如不一致，則數(shù)據(jù)庫對閱讀器認證失敗，停止認證;如一致，查找是否存在TID(或TID_old)與接收的TID一致，如不存在，表明認證失敗，則停止認證;如存在，判斷此閱讀器是否被授權(quán)訪問標簽，如無訪問授權(quán)，表明認證失敗，則停止認證;如有訪問授權(quán)，則用接收的TID計算H(TID，NR，NT，KTD)，檢查是否與接收的H(TID，NR，NT，KTD)一致，若不一致，表明認證失敗，則停止認證.否則，數(shù)據(jù)庫認證了標簽及閱讀器的合法性，并用接收的TID產(chǎn)生會話密鑰 SK=H(RID，TID，NR，NT，KTD)，加密后將 DID和 EKRD(DID，RID，NR，TID，SK)發(fā)送給閱讀器.之后，若數(shù)據(jù)庫對閱讀器和標簽認證成功，則更新數(shù)據(jù):若本次認證采用的是TID_old，則不需要更新;否則更新TID和TID_old，即計算TID_new=H(TID，KTD)，更新 TID_old=TID，TID=TID_new.

⑤閱讀器解密，檢查RID和NR是否正確，若正確，則認為密鑰SK有效，計算H(TID，SK)，并將RID和H(TID，SK)發(fā)送給電子標簽;若錯誤，表明認證失敗，則停止認證.

⑥ 電子標簽計算SK=H(RID，TID，NR，NT，KTD)和H(TID，SK)，驗證H(TID，SK)是否與接收的相等，若不相等則認證失敗，停止認證;若相等，則電子標簽對閱讀器和數(shù)據(jù)庫認證成功且認為密鑰SK有效，并向閱讀器發(fā)送 TID和H(NR，SK)會話密鑰確認信息，計算TID_new=H(TID，KTD)并更新TID=TID_new.

⑦閱讀器計算H(NR，SK)，檢查SK是否與數(shù)據(jù)庫發(fā)送給它的一致，如一致，則確認了與電子標簽共享會話密鑰SK，從而可利用會話密鑰進行下一

步通信;否則，表明認證失敗.

2 安全性分析

協(xié)議需達到的安全目標有①在H()函數(shù)及共享密鑰 (KTD和KRD)安全的前提下，確保認證信息的機密性與完整性;②在隨機數(shù)存在的前提下，確保會話密鑰的新鮮性;③協(xié)議在認證及會話密鑰建立的同時，能滿足標簽不可追蹤隱私要求.

在PPAKA-IoT協(xié)議中，標簽、閱讀器與后臺數(shù)據(jù)庫之間，采用帶密鑰的Hash函數(shù)及對稱加密算法進行認證信息的通信，確保認證信息的完整性及機密性;標簽及閱讀器均采用隨機數(shù)，且通過Hash函數(shù)及隨機數(shù)產(chǎn)生會話密鑰，確保會話密鑰的新鮮性;標簽標識符在每次認證成功后通過Hash函數(shù)更新，滿足廣泛不可追蹤 (universal untraceability)［4］和前向不可追蹤隱私要求.因此，PPAKA-IoT協(xié)議滿足安全目標.

以下采用GNY邏輯［12］進一步分析協(xié)議的安全性.其中，R為閱讀器;T為電子標簽;D為隱私管理服務系統(tǒng)后臺數(shù)據(jù)庫;A1～A23表示第1～23個初始化假設;T1、T2、T3、P1、P2、P3、P4、F1、F10、I1、I3、I7、R1、J1和J2等符號則嚴格遵循文獻［12］中GNY邏輯推理規(guī)則的表示.

協(xié)議理想化

3 效能分析

根據(jù)Auto-ID中心的試驗數(shù)據(jù)可知，在設計5美分標簽時，集成電路芯片的成本不應超過2美分，因此用于安全和隱私保護的門電路數(shù)不能超過2 500～5 000個，而實現(xiàn)一個Hash函數(shù)約需1 700個門電路，實現(xiàn)一個偽隨機數(shù)發(fā)生器僅需數(shù)百個門電路［13］.所以，PPAKA-IoT協(xié)議對低成本標簽也是可行的.

表1 為 PPAKA-IoT 協(xié)議與 AKAP［9］、CHEN 等人提出的協(xié)議［7］效能比較.由表1可見，PPAKAIoT協(xié)議綜合優(yōu)勢較佳，缺點是在兩次認證成功的中間，標簽是可追蹤的.為減少這種追蹤機會，標簽持有者可定期掃描認證標簽，使得標簽標識符成功更新.

表1 協(xié)議效能比較 Table1 Efficiency comparison of the protocols

結(jié) 語

本研究在標簽、閱讀器與隱私管理后臺數(shù)據(jù)庫之間建立了隱私保護三方認證及會話密鑰協(xié)議，既防止了標簽被非法閱讀器訪問及惡意追蹤，也防止了標簽假冒，從而保護了標簽攜帶者的隱私.安全性分析表明，協(xié)議能達到所需的安全目標和認證目的.與相關協(xié)議進行對比分析，PPAKA-IoT協(xié)議在效能上具有一定的優(yōu)勢.

/References:

［1］Atzori L，Iera A，Morabito G.The internet of things:a survey［J］.Computer Netwworks，2010，54(15):2787-2805.

［2］Lee H J，Kim J Y.Privacy threats and issues in mobile RFID［C］//Proceedings of the First International Conference on Availability，Reliability and Security.Los Alamitos(USA):IEEE Press，2006:510-514.

［3］Juels A.RFID security and privacy:a research survey［J］.IEEE Journal on Selected Areas in Communications，2006，24(2):381-394.

［4］Alomair B，Poovendran R.Privacy versus scalability in radio frequency identification systems［J］.Computer Communication，2010，33(18):2155-2163.

［5］Sadeghi A R，Visconti I，Wachsmann C.Location privacy in RFID applications［C］//The 1st International Workshop on Privacy in Location-based Applications.Berlin:Springer-Verlag，2009:127-150.

［6］Rhee K，Kwak J，Kim S，et al.Challenge-response based RFID authentication protocol for distributed database environment［C］//The 2nd international Conference on Security in Pervasive Computing. Berlin:Springer-Verlag，2005:70-84.

［7］Chen C L，Jan J K，Chie C F.Based on mobile RFID device to design a secure mutual authentication scheme for market application［C］//International Conference on Broadband，Wireless Computing，Communication and Applications.Los Alamitos(USA):IEEE Computer Society，2010:423-428.

［8］Henrici D，Muller P.Hash-based enhancement of location privacy for radio-frequency identification devices using varying identifiers［C］//The 2nd IEEE Annual Conference on Pervasive Computing and Communications.Los Alamitos(USA):IEEE Computer Society，2004:149-153.

［9］He L，Gan Y，Li N N，et al.A Security-provable authentication and key agreement protocol in RFID system［C］//The 3rd International Conference on Wireless Communications，Networking and Mobile Computing.New York:IEEE Press，2007:2078-2080.

［10］Zhou S J，Zhang Z，LUO Z W，et al.A lightweight antidesynchronization RFID authentication protocol［J］.Information System Frontiers，2010，12(5):521-528.

［11］Park N，Won D.Dynamic privacy protection for mobile RFID service［C］//RFID Security:Techniques，Protocols and System-on-Chip Design.Berlin:Springer-Verlag，2009:229-254.

［12］Gong L，Needham R，Yahalom R.Reasoning about belief in cryptographic protocols［C］//IEEE Computer Society Symposium on Research in Security and Privacy.Los Alamitos(USA):IEEE Computer Society，1990:234-248.

［13］Wu K J，Bai E J，Zhang W.A hash-based authentication protocol for secure mobile RFID systems［C］//The 1st International Conference on Information Science and Engineering.Piscataway(USA):IEEE Press，2009:2440-2443.