RFID分布式密鑰陣列認(rèn)證協(xié)議的安全性分析

劉彥龍，白煜，滕建輔

天津大學(xué)電子信息工程學(xué)院，天津 300072

RFID分布式密鑰陣列認(rèn)證協(xié)議的安全性分析

劉彥龍，白煜，滕建輔

天津大學(xué)電子信息工程學(xué)院，天津 300072

RFID技術(shù)已廣泛地應(yīng)用在諸如訪問(wèn)控制、支付系統(tǒng)、票務(wù)系統(tǒng)以及供應(yīng)鏈管理等領(lǐng)域，但同時(shí)安全和隱私問(wèn)題變得越來(lái)越嚴(yán)重。安全認(rèn)證協(xié)議的設(shè)計(jì)與完善對(duì)于保護(hù)信息安全和用戶隱私變得更加重要。2011年H.Ning等人提出分布式可擴(kuò)展密鑰陣列認(rèn)證協(xié)議（KAAP），該協(xié)議采用分布式密鑰陣列架構(gòu)、訪問(wèn)列表機(jī)制和動(dòng)態(tài)隨機(jī)數(shù)機(jī)制來(lái)抵御系統(tǒng)外部攻擊和內(nèi)部假冒攻擊。針對(duì)KAAP建立兩種有效的攻擊模型，在此基礎(chǔ)上分析得出該認(rèn)證協(xié)議不能有效地抵御來(lái)自外部的重放攻擊和拒絕服務(wù)攻擊。KAAP安全性存在漏洞，不能達(dá)到設(shè)計(jì)的預(yù)期目標(biāo)。

外部攻擊；密鑰陣列；認(rèn)證協(xié)議；射頻識(shí)別

1 引言

射頻識(shí)別（Radio Frequency IDentification，RFID）是利用電磁或者靜電耦合通過(guò)無(wú)線信道傳輸信息來(lái)達(dá)到目標(biāo)物體身份確認(rèn)的自動(dòng)識(shí)別技術(shù)。RFID系統(tǒng)能夠在復(fù)雜環(huán)境中很好地工作，這是其他自動(dòng)識(shí)別技術(shù)（比如，條形碼）所不具備的[1]。因而，RFID系統(tǒng)廣泛且有效地應(yīng)用在訪問(wèn)控制、支付系統(tǒng)、票務(wù)系統(tǒng)以及供應(yīng)鏈管理等領(lǐng)域。

隨著RFID技術(shù)的大范圍應(yīng)用，安全和隱私問(wèn)題受到普遍重視。RFID系統(tǒng)的開(kāi)放性和組件的高流動(dòng)性，是使其容易受到各種攻擊的根本原因[2]。此外，低成本標(biāo)簽計(jì)算能力的有限性也使得安全加密算法難以實(shí)現(xiàn)。按照攻擊者能否破解RFID系統(tǒng)標(biāo)簽，將攻擊分為弱攻擊和強(qiáng)攻擊。弱攻擊是指攻擊者通過(guò)竊聽(tīng)或篡改通信數(shù)據(jù)等行為來(lái)操縱閱讀器和標(biāo)簽之間的通信過(guò)程，但攻擊者無(wú)法破解標(biāo)簽[3]。其攻擊方式有：假冒攻擊、竊聽(tīng)攻擊、重放攻擊、中間人攻擊和拒絕服務(wù)攻擊。強(qiáng)攻擊不僅具有弱攻擊的特點(diǎn)，而且能破解標(biāo)簽，從而獲得標(biāo)簽內(nèi)部信息[4]。其攻擊方式有：前向追蹤、后向追蹤和服務(wù)器攻擊。無(wú)論弱攻擊還是強(qiáng)攻擊都會(huì)使RFID系統(tǒng)遭受巨大的安全和隱私風(fēng)險(xiǎn)。

目前，能提高RFID系統(tǒng)安全和隱私性能的技術(shù)有很多。通常將這些技術(shù)分為物理方法和邏輯方法。常用的物理技術(shù)包括：封殺標(biāo)簽（即Kill指令和Sleep指令）、法拉第網(wǎng)罩、主動(dòng)干擾和阻止標(biāo)簽。由于物理方法存在各種局限性，研究者將加密技術(shù)引入RFID系統(tǒng)，稱為邏輯方法，也稱安全認(rèn)證協(xié)議。邏輯方法主要基于安全認(rèn)證和加密技術(shù)。根據(jù)協(xié)議的計(jì)算復(fù)雜度和采用的加密方法可以將RFID安全協(xié)議分為四類[5]。第一類稱作重量級(jí)協(xié)議，該類協(xié)議支持傳統(tǒng)的加密函數(shù)，如對(duì)稱加密、非對(duì)稱加密和單向Hash函數(shù)加密。如Chen等提出的基于二次剩余的相互認(rèn)證協(xié)議[6]。第二類稱為簡(jiǎn)單協(xié)議，這類協(xié)議支持隨機(jī)數(shù)產(chǎn)生器和單向Hash函數(shù)，如文獻(xiàn)[7]中提出的協(xié)議。第三類是輕量級(jí)協(xié)議，該類協(xié)議中標(biāo)簽采用偽隨機(jī)數(shù)發(fā)生器和簡(jiǎn)單的函數(shù)運(yùn)算，如循環(huán)冗余編碼（CRC），但是不包含Hash函數(shù)。如EPCglobal Class1 Gen2 RFID標(biāo)準(zhǔn)采用的認(rèn)證機(jī)制屬于輕量級(jí)協(xié)議[8]。第四類是超輕量級(jí)協(xié)議，此類協(xié)議僅采用位運(yùn)算，如AND、XOR、OR和模運(yùn)算等。如Chien提出的SASI協(xié)議[9]。

但是，大多數(shù)協(xié)議只關(guān)注RFID系統(tǒng)外部的攻擊，而忽略了系統(tǒng)內(nèi)部合法標(biāo)簽或閱讀器之間的偽造或篡改攻擊[10]。例如，在一個(gè)供應(yīng)鏈系統(tǒng)中，不同的部門擁有各自授權(quán)的閱讀器，并且這些閱讀器只能訪問(wèn)相應(yīng)授權(quán)的標(biāo)簽信息。但如果物流商的授權(quán)閱讀器假冒成制造商的授權(quán)閱讀器訪問(wèn)制造商擁有的標(biāo)簽來(lái)獲取制造商的信息，則會(huì)造成制造商的利益損失。為此，H.Ning等人在文[11]中提出了可擴(kuò)展的分布式密鑰陣列認(rèn)證協(xié)議（KAAP）。該協(xié)議稱采用密鑰陣列架構(gòu)、訪問(wèn)列表和動(dòng)態(tài)隨機(jī)數(shù)機(jī)制，能夠抵御來(lái)自RFID系統(tǒng)外部攻擊和內(nèi)部假冒攻擊。

然而，本文通過(guò)對(duì)KAAP協(xié)議的工作原理的認(rèn)真分析并建立有效的攻擊模型驗(yàn)證，指出來(lái)自RFID系統(tǒng)的外部攻擊——重放攻擊和拒絕服務(wù)攻擊都能獲得成功。因此，本文認(rèn)為KAAP協(xié)議存在安全漏洞，不能有效抵御外部攻擊，有待改進(jìn)。

2 分布式密鑰陣列認(rèn)證協(xié)議（KAAP）簡(jiǎn)介

分布式密鑰認(rèn)證協(xié)議（KAAP）是H.Ning等人為防止RFID系統(tǒng)遭受內(nèi)部和外部攻擊，提高系統(tǒng)的可靠性和安全性而提出的。本文中參數(shù)符號(hào)表示的意義如表1所示。

KAAP中，I個(gè)閱讀器分成M組，J個(gè)標(biāo)簽分成N組。對(duì)標(biāo)簽組來(lái)說(shuō)不同的閱讀器組授權(quán)不相關(guān)，即兩個(gè)不同的閱讀器組訪問(wèn)同一標(biāo)簽的不同識(shí)別區(qū)域。KAAP協(xié)議認(rèn)證過(guò)程中存在兩種密鑰——閱讀器和標(biāo)簽的共享密鑰ku和存儲(chǔ)于密鑰陣列KM×N的認(rèn)證密鑰km，n。其中，共享密鑰ku用于防止閱讀器的假名PIDR和標(biāo)簽的假名PIDT被系統(tǒng)外部非法實(shí)體竊取。認(rèn)證密鑰km，n用來(lái)保護(hù)標(biāo)簽的特定識(shí)別區(qū)域安全，同時(shí)防止閱讀器越權(quán)訪問(wèn)標(biāo)簽數(shù)據(jù)。此處，km，n表示分配給第m(1≤m≤M)組閱讀器GRm與第n(1≤n≤N)組標(biāo)簽GTn的認(rèn)證密鑰，它決定某個(gè)閱讀器能否訪問(wèn)標(biāo)簽，并且決定能夠訪問(wèn)標(biāo)簽的識(shí)別區(qū)域。假設(shè)，第i個(gè)閱讀器Ri屬于GRm，第j個(gè)標(biāo)簽Tj屬于GTn，則Tj保存有認(rèn)證密鑰陣列的第n列相關(guān)密鑰。注意到M遠(yuǎn)遠(yuǎn)小于J，認(rèn)證密鑰陣列KM×N可表示如下：

表1 參數(shù)符號(hào)說(shuō)明

KM×N存儲(chǔ)在后臺(tái)數(shù)據(jù)庫(kù)中。

KAAP協(xié)議的認(rèn)證過(guò)程分為5個(gè)步驟，如圖1，可用閱讀器Ri與標(biāo)簽Tj來(lái)描述協(xié)議認(rèn)證過(guò)程。

第1步（問(wèn)詢消息）閱讀器Ri生成隨機(jī)數(shù)rR，并與自己的假名PIDR一起用共享密鑰ku加密得到{rR||PIDR}ku，然后將{rR||PIDR}ku作為初始問(wèn)詢信息發(fā)送給標(biāo)簽Tj。

第2步（響應(yīng)消息）標(biāo)簽Tj用ku解密接收到的問(wèn)詢信息{rR||PIDR}ku，獲得rR與PIDR。標(biāo)簽Tj通過(guò)在訪問(wèn)列表LR中檢索PIDR來(lái)初步認(rèn)證閱讀器Ri。若LR中不存在PIDR，則認(rèn)證失敗。否則，Tj生成隨機(jī)數(shù)rT，同時(shí)檢索相關(guān)認(rèn)證密鑰km，n，然后對(duì)rR與rT加密，得到{rR||rT}km，n。接著Tj對(duì)自己的假名PIDT與{rR||rT}km，n繼續(xù)用共享密鑰ku加密，得到密文{PIDT||{rR||rT}km，n}ku，并將其作為響應(yīng)信息發(fā)送給閱讀器Ri。

第3步（轉(zhuǎn)發(fā)消息）當(dāng)閱讀器Ri接到標(biāo)簽Tj的響應(yīng)消息后，用ku解密{PIDT||{rR||rT}km，n}ku獲得標(biāo)簽的假名PIDT，并將其轉(zhuǎn)發(fā)給后臺(tái)數(shù)據(jù)庫(kù)DB以待認(rèn)證。

第4步（閱讀器認(rèn)證）后臺(tái)數(shù)據(jù)庫(kù)DB通過(guò)檢索訪問(wèn)列表LT中是否存在PIDT而判定的閱讀器Ri的合法性。如果PIDT不存在于訪問(wèn)列表LT中，則認(rèn)證停止。否則DB將認(rèn)證密鑰km，n發(fā)送到閱讀器Ri。Ri解密{rR||rT}km，n得到隨機(jī)數(shù)rR與rT。如果得到的rR與第1步中生成的隨機(jī)數(shù)rR相同，則標(biāo)簽Tj被閱讀器Ri成功認(rèn)證，同時(shí)Ri將{rT}km，n發(fā)送給Tj。否則，認(rèn)證失敗。

第5步（標(biāo)簽認(rèn)證）標(biāo)簽Tj解密收到的{rT}km，n得到隨機(jī)數(shù)rT。如果rT與第2步生成的隨機(jī)數(shù)rT相等，則閱讀器Ri被標(biāo)簽Tj成功認(rèn)證。否則，認(rèn)證失敗。

至此，整個(gè)認(rèn)證過(guò)程完成，標(biāo)簽Tj將特定的可訪問(wèn)區(qū)域信息發(fā)送給已認(rèn)證的閱讀器Ri。從認(rèn)證過(guò)程可看出，KAAP協(xié)議采用分布式密鑰陣列詢問(wèn)—應(yīng)答雙向認(rèn)證機(jī)制和隨機(jī)訪問(wèn)控制機(jī)制來(lái)保證安全性。訪問(wèn)列表機(jī)制對(duì)系統(tǒng)實(shí)體進(jìn)行初步驗(yàn)證，動(dòng)態(tài)隨機(jī)數(shù)機(jī)制確保認(rèn)證實(shí)體的合法性，同時(shí)保證認(rèn)證動(dòng)態(tài)更新。基于此KAAP協(xié)議稱能抵御系統(tǒng)外部攻擊和內(nèi)部偽造攻擊。

圖1 分布式密鑰陣列認(rèn)證協(xié)議（KAAP）

3 分布式密鑰陣列認(rèn)證協(xié)議（KAAP）脆弱性分析

本文通過(guò)對(duì)KAAP協(xié)議漏洞分析并建立有效的攻擊模型驗(yàn)證，指出KAAP協(xié)議不能成功地抵御重放攻擊和拒絕服務(wù)攻擊，因而沒(méi)能達(dá)到抵御外部攻擊的設(shè)計(jì)目標(biāo)，系統(tǒng)存在安全漏洞。

3.1 攻擊背景

分布式可擴(kuò)展密鑰陣列協(xié)議（KAAP）是基于分布式密鑰陣列詢問(wèn)—應(yīng)答機(jī)制的，具有可擴(kuò)展性，即系統(tǒng)內(nèi)部合法實(shí)體可以隨時(shí)增加或退出，因此共享密鑰ku存在外泄的可能。一旦共享密鑰ku被攻擊者獲得，則閱讀器和標(biāo)簽的假名很容易被系統(tǒng)外部非法實(shí)體竊取，從而RFID系統(tǒng)將會(huì)面臨惡意攻擊的危險(xiǎn)。

在有關(guān)安全與隱私的問(wèn)題中，大多數(shù)研究者認(rèn)為數(shù)據(jù)庫(kù)與閱讀器之間的通信是安全的。文獻(xiàn)[12]認(rèn)為這是沒(méi)有考慮到閱讀器可移動(dòng)的情形。文獻(xiàn)[12]進(jìn)一步指出，在無(wú)線通信環(huán)境下，移動(dòng)的閱讀器和數(shù)據(jù)庫(kù)實(shí)時(shí)通信的信道是不安全的。因?yàn)檫@種情形下，閱讀器可以被假冒。因而，H.Ning等人在文[11]中對(duì)重放攻擊分析時(shí)認(rèn)為，數(shù)據(jù)庫(kù)DB與攻擊者A偽裝的閱讀器Ra能順利通信的情況是存在的。

基于以上兩種情形的存在性，本文設(shè)計(jì)了重放攻擊模型和拒絕服務(wù)攻擊模型，來(lái)分析KAAP協(xié)議的脆弱性。本文假設(shè)，在一次成功的協(xié)議認(rèn)證過(guò)程中，閱讀器和標(biāo)簽之間的交換信息是完整的。

3.2 重放攻擊（Rep lay attack）

重放攻擊（replay attack）是指攻擊者截獲閱讀器和標(biāo)簽的通信信息后再重放這些信息，由于數(shù)據(jù)是合法的，系統(tǒng)會(huì)對(duì)重放的信息以正常方式處理。因而，攻擊者可以成功假冒合法閱讀器或標(biāo)簽而不被發(fā)現(xiàn)[13]。RFID系統(tǒng)中，重放攻擊分為兩種，一種是攻擊者偽裝成閱讀器請(qǐng)求合法標(biāo)簽的認(rèn)證，另一種是攻擊者偽裝成標(biāo)簽請(qǐng)求合法閱讀器的認(rèn)證。

KAAP協(xié)議采用動(dòng)態(tài)更新隨機(jī)數(shù)機(jī)制來(lái)抵御重放攻擊，即閱讀器和標(biāo)簽生成各自的隨機(jī)數(shù)，通過(guò)比較發(fā)送和接收隨機(jī)數(shù)是否一致來(lái)抵御重放攻擊。H.Ning等人在文[11]中對(duì)重放攻擊分析時(shí)認(rèn)為，即使在數(shù)據(jù)庫(kù)DB與攻擊者A偽裝的閱讀器Ra能順利通信的情況下，因?yàn)殡S機(jī)數(shù)機(jī)制的存在，重放攻擊仍然無(wú)法成功。

然而，本文同樣在H.Ning等人的分析情形下，即數(shù)據(jù)庫(kù)DB與攻擊者A偽裝的閱讀器Ra能順利通信的前提下，以攻擊者A偽裝成閱讀器Ra建立有效的攻擊模型來(lái)說(shuō)明KAAP協(xié)議不能抵御重放攻擊，該協(xié)議存在安全漏洞。在實(shí)際的攻擊模型中，攻擊者A偽裝成閱讀器Ra，截獲合法標(biāo)簽Tj和閱讀器Ri之間的通信信息，然后重放這些合法信息進(jìn)行攻擊。因?yàn)檫@些合法信息中包含有合法閱讀器Ri和標(biāo)簽Tj生成的隨機(jī)數(shù)，所以合法閱讀器Ri和標(biāo)簽Tj收到的隨機(jī)數(shù)和自身生成的隨機(jī)數(shù)是相等的，故攻擊者A突破了KAAP協(xié)議的動(dòng)態(tài)隨機(jī)數(shù)機(jī)制，重放攻擊獲得成功。具體攻擊模型分為兩個(gè)階段，如下：

第一階段：攻擊者A在合法實(shí)體Ri和Tj的一次會(huì)話過(guò)程中，獲知了所有的通信信息，如：{rR||PIDR}ku、{PIDT||{rR||rT}km，n}ku等。

第二階段：在接下來(lái)的會(huì)話過(guò)程中，具體攻擊步驟如下：

Tj?：認(rèn)證完成，重放攻擊獲得成功。

首先，攻擊者A利用阻斷攻擊[10]阻斷合法閱讀器Ri和合法標(biāo)簽Tj之間的通信。之后，攻擊者A假冒成閱讀器Ra并重放上次會(huì)話中獲知的合法閱讀器Ri的問(wèn)詢信息{rR||PIDR}ku給合法標(biāo)簽Tj。Tj用共享密鑰ku解密{rR||PIDR}ku獲得合法閱讀器Ri的假名PIDR。接著，Tj檢索訪問(wèn)列表LR，因LR中存在PIDR而誤認(rèn)偽裝閱讀器Ra是合法的，故攻擊者A偽裝的閱讀器Ra得到合法標(biāo)簽Tj的初步認(rèn)證。Tj返回響應(yīng)信息{PIDT||{rR||r′T}km，n}ku給偽裝閱讀器Ra，此時(shí)合法標(biāo)簽Tj和合法閱讀器Ri之間的通信仍然是被阻斷的。Ra用已經(jīng)獲得的共享密鑰ku解密響應(yīng)信息{PIDT||{rR||r′T}km，n}ku得到合法標(biāo)簽Tj的假名PIDT，并將其轉(zhuǎn)發(fā)給數(shù)據(jù)庫(kù)DB。DB檢索訪問(wèn)列表LT，因LT中存在PIDT而認(rèn)證合法標(biāo)簽Tj，同時(shí)將相關(guān)認(rèn)證密鑰km，n發(fā)送給偽裝閱讀器Ra。此時(shí)已知Tj是合法的，偽裝閱讀器Ra不需要對(duì)其進(jìn)行認(rèn)證，故Ra不檢驗(yàn)自身的隨機(jī)數(shù)是否相等，只將{r′T}km，n發(fā)送給Tj。合法標(biāo)簽Tj解密{r′T}km，n得到隨機(jī)數(shù)r′T，并且與自身生成的隨機(jī)數(shù)r′T相等，至此偽裝閱讀器Ra被合法標(biāo)簽Tj認(rèn)為是合法的，認(rèn)證完成，重放攻擊成功。

由本文重放攻擊模型可看出，在攻擊者獲知一次會(huì)話信息的情況下，在接下來(lái)的會(huì)話過(guò)程中，攻擊者假冒閱讀器并重放這些信息就能取得攻擊成功。因而，KAAP協(xié)議采用動(dòng)態(tài)更新隨機(jī)數(shù)機(jī)制來(lái)抵御重放攻擊的設(shè)計(jì)是有缺陷的，系統(tǒng)不能防止重放攻擊。

3.3 拒絕服務(wù)攻擊（DOS attack）

拒絕服務(wù)攻擊（DOS attack）包括射頻阻塞和同步失敗。射頻阻塞指攻擊者直接阻塞通信信息。同步失敗指攻擊者通過(guò)分析構(gòu)造認(rèn)證信息然后發(fā)送給標(biāo)簽或服務(wù)器，使一方更新密鑰，而另一方密鑰不變，導(dǎo)致服務(wù)器和標(biāo)簽包含信息不一致，雙方無(wú)法完成認(rèn)證[14]。

KAAP協(xié)議中，采用訪問(wèn)列表初步驗(yàn)證和動(dòng)態(tài)更新隨機(jī)數(shù)兩種方式來(lái)抵御拒絕服務(wù)攻擊。訪問(wèn)列表對(duì)閱讀器和標(biāo)簽的假名進(jìn)行驗(yàn)證，如果列表中不存在發(fā)起連續(xù)訪問(wèn)要求實(shí)體的假名，則該實(shí)體被認(rèn)為是非法的，認(rèn)證行為終止，這樣起到初步認(rèn)證作用。隨機(jī)數(shù)機(jī)制用來(lái)保證認(rèn)證中實(shí)體的合法性以及同步性，如果同一標(biāo)簽在某一時(shí)刻接到兩次相同的問(wèn)詢信息，則標(biāo)簽拒絕響應(yīng)，同樣這種機(jī)制也保證攻擊者不能夠直接中途侵入認(rèn)證過(guò)程。

但是從本文重放攻擊模型可知：攻擊者A可以假冒成閱讀器Ra或者標(biāo)簽Ta，截獲合法實(shí)體之間的認(rèn)證信息{rR||PIDR}ku、{PIDT||{rR||rT}km，n}ku等。這些合法認(rèn)證信息中包含存在于訪問(wèn)列表(LT,LR)中的合法假名(PIDT,PIDR)以及合法閱讀器Ri和標(biāo)簽Tj生成的隨機(jī)數(shù)(rR,rT)。這樣攻擊者A可利用這些信息破解訪問(wèn)列表和隨機(jī)數(shù)的防御機(jī)制?；诖耍疚耐ㄟ^(guò)進(jìn)一步分析認(rèn)為KAAP協(xié)議不能有效地抵御拒絕服務(wù)攻擊。為了驗(yàn)證這一結(jié)論，本文選取系統(tǒng)中一對(duì)合法閱讀器Ri和標(biāo)簽Tj來(lái)建立了拒絕服務(wù)攻擊模型，具體模型分為三步，如下：

第一步：

攻擊者A阻斷合法閱讀器Ri和標(biāo)簽Tj之間的通信。然后偽裝成標(biāo)簽Ta截取合法閱讀器Ri的問(wèn)詢信息{rR||PIDR}ku。并且，用竊取的共享密鑰ku解密問(wèn)詢信息{rR||PIDR}ku，獲得合法閱讀器Ri假名PIDR。

攻擊者A偽裝成閱讀器Ra，將自身生成的隨機(jī)數(shù)ra1和第一步獲取的合法閱讀器Ri假名PIDR用共享密鑰ku加密得到新的問(wèn)詢信息{ra1||PIDR}ku并將其發(fā)送給合法標(biāo)簽Tj。Tj用共享密鑰ku解密問(wèn)詢信息{ra1||PIDR}ku得到閱讀器Ri假名PIDR。然后，Tj檢索訪問(wèn)列表LR，因其中存在假名PIDR而認(rèn)為攻擊者A是合法的，從而錯(cuò)誤地向攻擊者A返回響應(yīng)信息{PIDR||{ra1||rT}km，n}ku。

第三步：

攻擊者A偽裝成標(biāo)簽Ta將第二步中得到合法標(biāo)簽Tj的響應(yīng)信息{PIDR||{ra1||rT}km，n}ku發(fā)送給合法閱讀器Ri。Ri解密響應(yīng)信息{PIDR||{ra1||rT}km，n}ku得到合法標(biāo)簽Tj的假名PIDT并將其轉(zhuǎn)發(fā)給數(shù)據(jù)庫(kù)DB。DB搜索訪問(wèn)列表LT因存在PIDT而確認(rèn)偽裝標(biāo)簽Ta的合法性，并將相關(guān)認(rèn)證密鑰km，n發(fā)送給合法閱讀器Ri。Ri解密{ra1||rT}km，n獲得隨機(jī)數(shù)ra1，但是ra1與自己生成的隨機(jī)數(shù)rR不相等，故認(rèn)證失敗，攻擊獲得成功。

由上述攻擊模型可以得出，攻擊者A抽取問(wèn)詢信息{rR||PIDR}ku中閱讀器Ri的假名PIDR。然后生成大量隨機(jī)數(shù)(ra1，ra2，…，ran)并與得到的假名PIDR組成自身問(wèn)詢信息({ra1||PIDR}ku，{ra2||PIDR}ku，…，{ran||PIDR}ku)向系統(tǒng)所有標(biāo)簽發(fā)送。這些標(biāo)簽在收到這些問(wèn)詢信息后，用共享密鑰ku解密這些問(wèn)詢信息得到閱讀器假名PIDR。然后，標(biāo)簽檢索訪問(wèn)列表LR，因其中存在閱讀器的假名PIDR而認(rèn)為攻擊者A是合法的，從而錯(cuò)誤地向攻擊者A返回響應(yīng)信息。但是，由于攻擊者A生成的這些隨機(jī)數(shù)和合法閱讀器Ri生成的隨機(jī)數(shù)不一致，所以這些合法標(biāo)簽得不到正確的認(rèn)證。攻擊者A抽取不同合法閱讀器的假名重復(fù)此操作，使合法閱讀器和標(biāo)簽長(zhǎng)時(shí)間錯(cuò)誤響應(yīng)，得不到認(rèn)證，造成系統(tǒng)拒絕服務(wù)，攻擊獲得成功。因而，KAAP協(xié)議防御拒絕服務(wù)攻擊的設(shè)計(jì)不合理。

4 結(jié)論

本文針對(duì)H.Ning等人提出的分布式可擴(kuò)展密鑰陣列認(rèn)證協(xié)議（KAAP）設(shè)計(jì)了重放攻擊和拒絕服務(wù)攻擊兩種有效的攻擊模型，同時(shí)結(jié)合對(duì)KAAP協(xié)議漏洞的分析結(jié)果，指出KAAP協(xié)議盡管采用了分布式密鑰架構(gòu)、訪問(wèn)列表驗(yàn)證機(jī)制和動(dòng)態(tài)隨機(jī)數(shù)機(jī)制，但仍不能很好地抵御重放攻擊和拒絕服務(wù)攻擊，因此KAAP協(xié)議防御來(lái)自外部攻擊的設(shè)計(jì)仍有待改進(jìn)。KAPP協(xié)議是可擴(kuò)展的RFID認(rèn)證協(xié)議，因系統(tǒng)的兩種密鑰——認(rèn)證密鑰km，n和共享密鑰ku，特別是共享密鑰ku易被攻擊者獲取，使得采用該協(xié)議的RFID系統(tǒng)存在一定的安全隱患。本文的攻擊模型均是在攻擊者獲取了共享密鑰ku的基礎(chǔ)上建立的。因此，能夠改進(jìn)共享密鑰ku的分發(fā)機(jī)制，將會(huì)提高KAAP協(xié)議抵御外部攻擊的性能。這會(huì)使得KAAP協(xié)議成為高安全性的認(rèn)證協(xié)議，在供應(yīng)鏈、金融和軍事等領(lǐng)域有一定的應(yīng)用前景。

[1]Pateriya R K，Sangeeta S.The evolution of RFID security and privacy：a research survey[C]//2011 International Conference on Communication Systems and Network Technologies，2011：115-119.

[2]Zuo Yanjun.Survivable RFID systems：issues，challenges，and techniques[J].IEEE Transactions on System s，M an，and Cybernetics，Part C：Applications and Review s，2010，40（4）：406-418.

[3]Song B，Mitchell C J.Scalable RFID security protocols supporting tag ownership transfer[J].Computer Communications，2011，34（4）：556-566.

[4]Song B.RFID authentication protocols using symmetric cryptography[D].London：University of London，2009.

[5]軒秀巍.超高頻射頻識(shí)別系統(tǒng)的關(guān)鍵技術(shù)研究[D].天津：天津大學(xué)，2012.

[6]Chen Y，Chou J，Sun H.A novel mutual authentication scheme based on quadratic residues for RFID systems[J]. Computer Networks，2008，52（12）：2373-2380.

[7]Chien Hung-Yu.Secure access control schemes for RFID systems with anonym ity[C]//International Conference on Mobile Data Management，2006.

[8]EPCglobal Speci fi cation for RFID Air Interface.Radio frequency identity protocols class-1 generation-2 UHF RFID protocol for communications at 860 MHz-960 MHz[S]. Version 1.0.9，2005-01.

[9]Chien Hung-Yu.SASI：A new ultralightweight RFID authentication protocol providing strong authentication and strong integrity[J].IEEE Transactions on Dependable and Secure Computing，2007，4（4）：337-340.

[10]丁治國(guó)，郭立，王昱潔.基于密鑰陣列的RFID安全認(rèn)證協(xié)議[J].電子與信息學(xué)報(bào)，2009，31（3）：722-726.

[11]Ning H，Liu H，Mao J，et al.Scalable and distributed key array authentication protocol in radio frequency identification based sensor systems[J].IET Communication，2011，5（12）：1755-1768.

[12]Wei Chia-Hui，Hwang M in-Shiang，Yeh-hao C A.A mutual authentication protocol for RFID[J].IEEE Computer Society，2011，13（2）：20-24.

[13]Dim itriou T.A lightweight RFID protocol to protect against traceability and cloning attacks[C]//Conference on Security and Privacy for Emerging A reas in Communication Networks（SecureComm2005），A thens，Greece，2005：59-66.

[14]Duc D N，Kim K.Defending RFID authentication protocols against DoS attacks[J].Computer Communications，2011，34（3）：384-390.

LIU Yanlong,BAI Yu,TENG Jianfu

School of Electronic and Information Engineering,Tianjin University,Tianjin 300072,China

As the Radio Frequency IDentification（RFID）technology is widely applied in admission control,payment, ticketing and supply chain management,the security and privacy issues become more and more serious.So it is imperative to design authentication protocols to resist possible attacks and threats.2011,H.Ning etc.proposed a scalable and distributed key array authentication protocol（KAAP）,which uses the distributed key architecture,access list mechanism and dynamic random number mechanism to resist both external attacks and internal forgery attacks.In this paper,we proposed two effective attacks are proposed to against the KAAP,and attacks analysis shows KAAP fails to resist external attacks including replay attack and Denial of Service attack effectively.Therefore,KAAPhas security vulnerability and can not achieve the expected goals.

external attacks;key array;authentication Protocol;Radio Frequency IDentification（RFID）

A

TP309；TN915.08

10.3778/j.issn.1002-8331.1209-0077

LIU Yan long,BAI Yu,TENG Jian fu.Security analysis of key array authentication protocol.Computer Engineering and Applications,2014,50（16）：72-76.

天津市自然科學(xué)基金項(xiàng)目（No.09JCYBJC00700）。

劉彥龍（1985—），男，碩士研究生，研究領(lǐng)域?yàn)樾盘?hào)與信息處理；白煜（1978—），男，博士，講師，研究方向?yàn)樾盘?hào)與信息處理；滕建輔（1954—），男，教授，博士生導(dǎo)師，研究方向?yàn)闉V波器的理論與設(shè)計(jì)、電路設(shè)計(jì)、信號(hào)處理技術(shù)。E-mail：liuylong@tju.edu.cn

2012-09-11

2012-12-03

1002-8331（2014）16-0072-05

CNKI網(wǎng)絡(luò)優(yōu)先出版：2012-12-18,http://www.cnki.net/kcms/detail/11.2127.TP.20121218.1520.008.htm l