李冰鹏

摘 要：RFID成为人们生活中不可或缺的一部分，其安全性也开始受到重视。RFID系统由于受到生产成本、计算能力、存储容量、电源供电等方面的限制， 使得安全机制的设计需要满足其许多特殊的要求，一些传统意义上的安全机制可能无法在RFID系统中实现。针对RFID安全机制的设计需要的特点，各式各样的安全认证协议被提出。该文在分析RFID协议需求的基础上，对RFID安全认证协议按照轻量级协议、中量级协议和重量级协议三个类别进行分类，分别介绍每个类别中经典的安全认证协议；最后从安全性、认证方式、安全隐患和逻辑电路数量等多方面来对比分析RFID安全认证协议，总结各协议的特点。

关键词：无线射频识别 协议安全 认证

中图分类号：TP31 文献标识码：A 文章编号：1674-098X（2015）11（b）-0017-03

RFID 即无线射频识别，俗称电子标签，是一种利用射频通信实现的非接触式自动识别技术。它通过射频信号自动识别目标对象并对其信息进行标志、登记、储存和管理，RFID相比传统条形码所不具备的防水、防磁、耐高温、使用寿命长、读取距离大、标签上数据可加密、存储数据容量大、存储数据更改自如等优点。RFID已经在生活中已经被广泛应用如门禁、停车卡、产品追踪、身份识别等各个领域，RFID成为人们生活中不可或缺的一部分，其安全性也开始受到重视。RFID系统由于受到生产成本、计算能力、存储容量、电源供电等方面的限制， 使得安全机制的设计需要满足其许多特殊的要求，一些传统意义上的安全机制可能无法在RFID系统中实现。针对RFID安全机制的设计需要的特点，各式各样的安全认证协议被提出，设计安全性能好、实施效率高和花费成本低的安全认证协议仍然是一个非常具有挑战性和研究意义的课题，该文围绕RFID安全认证协议进行相关的介绍和分析。

1 RFID协议需求

RFID通信系统主要由物理层、通信层和应用层三部分组成。物理层主要功能是标签与读写器的物理接口、传输速率、编码方式、通信频道、信号调制调节方式等问题。通信层定义了多标签读写中防冲突机制，通信数据和指令定义等。应用层主要来完成双向认证和查询协议，来保证数据通信和业务应用的安全。RFID安全认证协议需要满足的安全需求如下。

（1）互认证性（Mutual Authentication），保证标签和读写器双方都能够对对方的身份有效性进行验证，只有在认证的基础之上才能保证数据传输和交换才有保障。

（2）不可区分性（Indistinguishability），攻击者不能确认当前的标签是否是他曾经遇见过的标签。因为攻击者得到的消息可能没有具体的含义，也不能被还原，但是如果它能对这些信息进行区分，那么它可以据此对消息发送方进行追踪，或有针对性的收集信息，以实现破解算法。

（3）抗拒绝服务攻击（Denial of Service），攻击者不能使得当前的RFID系统进入拒绝服务状态。

（4）抗重放攻击（Replay Attack Resistance），攻攻击者可以对标签和读写器之间的无线信道进行窃听，然后获取它们之间的完整通信信息，并记录下这些信息。在以后的会话中，使用这些信息通过读写器的认证，假冒合法的标签，去实现自己的攻击的，这被称为消息重放攻击。

（5）消息完整性检查（Messages Integrity Check），安全协议应提供标签和读写器间消息的完整性检测，以防止攻；对信道传输消息的恶意攻击，如改、删除等。

2 RFID安全认证协议

根据RFID协议的需求，国内外专家学者进行了深入的研究并提出了一些RFID安全协议。目前根据这些协议所基于的密码算法的计算复杂度，可将RFID协议当前分为三类：轻量级协议、中量级协议和重量级协议。

2.1 轻量级密码协议

2.1.1 UMAP协议族

在2006年，Pedro等人提出了一些RFID认证协议族：LMAP、M2AP和EMAP[1]。因为这协议基于简单的代数运算包括：XOR、OR、AND、模加法等，计算复杂度低，所以非常适合无源标签的安全保护。针对UMAP协议的安全性，文献[2]指出了对LMAP和M2AP的攻击方法，该方法只需要攻击者与标签进行0（n）次交互，即可以获得标签的n长的ID。之后，Li等人提出了LMAP协议的扩展版LMAP+[3]。2011年，Safkhani等人在文献[7]中指出LMAP+不能抵抗跟踪攻击和非同步攻击。

2.1.2 SASI 协议

2007年，Chien等人提出另一个超轻量级认证协议SASI[4]，其使用比特位的异或操作和左循环移位操作计算标签和阅读器间的交互信息。针对SASI安全性，2011年，Sun等人通过重放消息的攻击方式可以攻击SASI协议， Arco等人指出SASI协议在完全揭露攻击下攻击者能够获取所有的秘密数据。

2.1.3 HB协议族

2001年，Hopper和Blum设计了第—基于LPN（Learning Parity with Noise）问题的认证协议，称之为HB协议[5]。LPN问题是一个“矢量子集求和”困难问题，LPN问题被证明是NP问题，其中涉及的操作仅包括二进制与、或、异或等，对计算能力和存储空间要求较低，正好适合RFID标签的使用。基于LPN问题，更多的HB族协议被设计出来，如HB+[6]，HB#[7]等。在安全性方面，HB协议在抗被动攻击方面的安全性可以规约到解LPN困难问题，HB协议族对被动攻击是安全的，但HB对主动攻击是不安全的，HB+和HB#对伪装成有效标签阅读器的中间人攻击是不安全的。

2.2 中量级密码协议

目前中量级密码协议主要是Hash函数类，该类协议主要包括Hash-Lock协议[8]、Hash-Chain协议[9]、LCAP 协议[10]等，这些认证协议使用的都是Hash杂凑算法。在安全性方面，Hash-Lock协议可以提供访问控制和标签数据隐私保护，其中共享密钥key不变，因此侵犯者可以通过对标签进行非法追踪进行攻击，不能抵抗假冒攻击和重放攻击；在Hash-Chain协议中，虽然标签是主动更新式标签，然而协议只是一个单向认证协议，阅读器可对标签认证，但标签无法验证阅读器的合法性，Hash-Chain协议不能抵抗重放和假冒攻击；LCAP协议采用询问-应答协议，每次执行完后都会动态刷新标示，成功解决了标签隐私问题，能够有效抵抗重放攻击和假冒攻击，但是在通信中需要不断的刷新ID，效率存在性能瓶颈，不适用于分布数据库的计算环境和大规模应用。

2.3 重量级密码协议

为解决一些其它识别协议的安全不足，提出了一些基于公钥对称密钥的密码协议，最具代表性的是基于对称加密算法DES等的“三通互相鉴别”协议和基于RSA算法的认证协议[11]。其中，“三通互相鉴别”协议可有效抵抗来自系统外部的伪造和攻击，但是DES和RSA采用这种协议的系统标签电路需要一万门以上的逻辑门，成本过高。基于成本过高的问题，给出了一些基于ECC（Elliptic Curve Cryptography）的密码的研究方案[12]，在满足系统高安全需求的情况下，基于ECC椭圆曲线密码体制的安全认证协议，相较同样高安全性，在加解密速度、计算负担和存储空间开销上都有着明显的优势。

3 RFID安全认证协议比较

以下从安全性、认证方式、安全隐患行和逻辑电路数量来对比分析RFID安全认证协议。安全性主要是分析RFID安全认证协议对各种攻击方式的抵抗；认证方式存在单向认证和双向认证两种方式；安全隐患行共分为五级，5级标示存在严重安全隐患，1级标示安全；逻辑电路数量主要放映RFID安全认证协议在具体实现时，所需要的成本。见表1。

其中，轻量级密码协议的特点是实现电路简单、成本低，但安全性不高，容易遭到攻击；中量级密码协议中Hash-Lock和Hash-Chain协议安全性不高；LCAP协议具有较高的安全性，LCAP协议采用询问-应答协议，需要不断的刷新ID，不适用于分布数据库的计算环境和大规模应用；重量级密码协议中所有协议都具备较高的安全性，其中只有DES的算法存在内部攻击的可能性，ECC算法的认证协议具体RSA算法的认证协议相同的安全性，在加解密速度、计算负担和存储空间开销上都有着明显的优势，所以ECC算法的认证协议受到了广泛的关注。

4 结语

RFID安全认证协议随着芯片材质和电路架构的进步同步发展，早期受到RFID标签低成本性，导致许多重量级密码算法无法在RFID系统中实现，轻量级密码算法和中量级密码算法被广泛使用；随着芯片的计算、存储能力得到提升，伴随着RFID的生产成本将会越来越低，同时攻击技术的不断提高，中量级密码算法和重量级密码协议被广泛使用。除以上经典的RFID安全认证协议，很多学者对经典RFID安全认证协议在实际使用过程中，不断进行改造，也产生了很多新的协议。随着电路制造业的不断发展，RFID的生产成本将会越来越低，也就使得RFID标签上会有更多计算资源和存储空间可用于安全方面，RFID安全认证协议的研究会有更多的突破，同时安全和隐私的级数需要依赖于具体的应用，并不存在普遍适用的解决方案，需要和具体应用相结合。

参考文献

[1] Li Tie-yan， Deng Robert. Vulnerability Analysis of EMAP-An Efficient RFID Mutual Authentication Protocol [C]//The Second International Conference on Availability， Reliability and Security，2007：238-245.

[2] Li Tie-yan. Employing Lightweight Primitives on Low-cost RFID Tags Ior Authentication [C]// Vehicular Technology Conference，2008：1-5.

[3] M Safkhani， N Bagheri， M Naderi， et al. Security Analysis of LMAP++，an RFID Authentication Protocol [C]// International Conference for Internet Technology and Secured Transactions，2011：689-694.

[4] HY Chien. SASI： A New Ultralightweight RFID Authentication Protocol Providing Strong Authentication and Strong Integrity [J]. IEEE Transactions on Dependable and Secure Computing，2007，4（4）：337-340.

[5] Nicholas J Hopper， Manuel Blum. A secure human-computer authentication scheme[R]. Pittsburgh： Carnegie Mellon University Technical Report CMU-CS-00-139，2000.

[6] A Juels， S Weis. Authenticating pervasive devices with human protocols [J]. Lecture Notes in Computer Science， 2005（3621）：293-308.

[7] K Ouafi， R Overbeck， S Vaudenay. On the security of HB# against a man-in-the-middle attack [J]. Lecture Notes in Computer Science，2008（5350）：108-124.

[8] RL Rivest. Security and Privacy in Radio-Frequency Identification Devices [D]. Boston：MIT，2003.

[9] M.Ohkubo， K Suzuki， S Kinoshita. Hash-Chain Based Forward-Secure Privacy Protection Scheme for Low-Cost RFID [A]. In： Proceedings of the SCIS，2004：719-724.

[10] Su Mi Lee， Young Ju Hwang， Dong Hoon Lee， et al. Efficient authentication for low-cost RFID systems [A]. Proceedings of the International Conference on Computational Science and Its Applications （ICCSA2005）[C]. Lecture Notes in Computer Science，2005（3480）：619-627.

[11] Philippe Golle， Markus Jakobsson， Ari Juels， et al. Universal re-encryption for mixnets [J]. Berlin： Lecture Notes in Computer Science，2004（2964）：163-178.

[12] Michael Braun， Erwin Hess， Bernd Meyer. Using elliptic curves on RFID tags [J].International Journal of Computer Science and Network Security，2008，8（2）：1-9.