◆郑欣

一种改进的RFID双向认证协议

◆郑欣

（南京审计大学金审学院信息科学与工程学院 江苏 210046）

通过研究RFID认证协议，发现了一些安全问题，对此提出了一种基于hash函数的双向认证协议。该协议通过随机数和秘密值的计算来完成数据库、标签和读卡器之间的认证，有效防止了窃听、重放攻击、假冒攻击等常见攻击。

RFID；Hash函数；安全分析；Hash-lock

射频识别（RFID）技术[1]又称为“电子标签”，是一种非接触式的自动识别技术，能够通过射频信号来自动的识别目标并获取相应的重要数据。RFID技术目前运用非常广泛，在对RFID协议进行研究时发现还是存在一些安全问题的。所以，本文通过分析总结目前各类RFID认证协议，对比之间的执行过程及优缺点，在此基础上提出了一种改进的基于Hash函数的 RFID双向认证协议。

1 RFID简介

1.1 RFID基本概念

（1）读卡器：读写标签信息的手持式或固定设备[2]。

（2）电子标签：由耦合元件及芯片组成，每个标签都具有一个不可修改的唯一标识符—UID。用户数据存放于用户数据区（DATA）中，可以进行读写、增加等操作[2]。

（3）天线：主要用于标签和读卡器之间传递射频信号的设备[2]。

（4）应用系统：集中统计和分析读卡器转发的所有电子标签信息，通过安全信道反馈给读卡器[6]。

1.2 RFID安全性分析

RFID技术为人们生活提供了便利，同时由于RFID系统对应用的完全开放为系统带来了诸多安全隐患。一般来说，RFID受到的安全威胁主要分为物理环境威胁和黑客攻击威胁。①物理环境威胁：如电磁干扰、设备妨碍等；②黑客攻击威胁：如假冒攻击、窃听攻击、跟踪攻击等。

2 RFID安全认证协议

2.1 Hash-lock协议

Hash-lock协议[9]是Sarma等人提出的一种安全协议。其协议使用密钥key的hash函数meta ID来代替标签的真实ID。

如图1所示：

图1 Hash-lock协议认证过程

Hash-lock协议认证过程如下：

（1）读卡器向标签发送认证请求。

（2）标签把自身的meta ID发送给读卡器，meta ID=H（key），H（*）表示哈希函数。

（3）读卡器再把meta ID发送给数据库。

（4）数据库搜索meta ID对应的key和ID，如果找到key和ID则表示标签过来的信息认证成功，将key和ID发送给读卡器，如果找不到则表示认证失败。

（5）读卡器把收到的key和ID后，保存ID，把key发送给标签。标签收到key以后，计算H（key）是否等于自身的meta ID，如果相同表示数据库过来的认证成功，把自身ID发送给读卡器，如果不相同则认证失败。

（6）标签把自身的ID发送给读卡器，读卡器把2个ID进行比较，如果相同则认证成功，不相同认证失败。

Hash-lock协议的优点：协议的硬件电路相对来说比较简单，适合低功耗标签使用。

Hash-lock协议的缺点[4]：为了隐藏标签ID，协议使用meta ID代替真实的标签ID，但是由于以明文形式传送metaID的哈希值，并且哈希值一直保持不变，因此在认证的过程中还是容易遭受到假冒攻击、窃听、重放以及位置跟踪等多种威胁。

2.2 随机Hash-lock协议

针对Hash-lock协议存在的一些安全问题，由Weis等人提出了随机hash-Lock协议[10]，该协议通过添加随机数的方法改进了Hash-lock协议，如图2所示。

图2 随机Hash-lock协议认证过程

随机Hash-lock协议的认证过程如下：

（1）读卡器向标签发送认证请求。

（2）标签收到请求后产生一个随机数R，通过哈希算法算出一个值H（IDk|| R），IDk为标签的标识，标签把R和hash的值一起发给读卡器。

（3）读卡器向数据库索要所有的标签标识（ID1，ID2，ID3，…，IDn）。J表示（1，2，3，…，n）中的某一个ID标识。

（4）数据库将所有的标签标识发给读卡器。读卡器通过哈希算法计算出H（IDj|| R），如果其值等于H（IDk|| R），认证成功。

（5）如果认证成功，读卡器会把IDj发送给标签。

（6）标签对比IDj和IDk是否相同，相同认证成功，不相同认证失败。

随机Hash-lock协议存在的安全问题：在协议的认证过程中可以发现在第⑤步中传递ID时仍然是以明文形式进行了传递，攻击者同样也可以轻易获取到标签的真实数据，同时在协议第④步中，仅仅针对一个标签的认证，后端数据库会将所有的标签ID全部发给读卡器，一方面加大了数据库与读卡器之间的通信开销，另一方面也增加了读卡器搜索验证的计算开销，对于大量标签的RFID协议来说显然不太适用[5]。

2.3 hash链协议

Hash链协议[11]是由NTT提出的，是对Hash-lock协议进行了改进，是基于共享密钥的询问应答协议。过程如图3所示。

Hash链协议引入了标签ID的动态更新机制[3]，使标签的信息不可分辨，但是我们可以发现协议只是对标签身份进行了合法认证，对读卡器的身份并没有进行有效的认证。因此这种单向的认证容易遭受到非法读卡器的攻击，从而产生较大的安全隐患。除此之外hash链协议仍然存在大量标签ID的发送和接收，对数据库和读卡器都会有较大的计算开销。

图3 hash链协议认证过程

3 RFID双向认证协议的设计

通过上述几种协议的分析和研究，发现了现有几种安全认证协议存在的问题，基于上述分析，本文提出了一种改进的基于hash函数的RFID双向认证安全协议，基本能够达到安全目标。

3.1 设计的原理

标签有秘密值S和随机数Rt，数据库也会产生一个随机数Rd，通过哈希算法对数据库和标签中的值进行比较，完全相同时表示认证成功。协议认证过程如图4。

图4 RFID双向协议认证过程

3.2 协议认证过程

（1）当读卡器向标签发送请求时，数据库会立即产生一个随机数Rd，读卡器把Rd发送给标签。

（2）标签本身有一个S秘密值，还会产生一个随机数Rt，标签会将ID和Rd进行哈希得到一个数值，再和S进行异或最终得到数值St。

（3）标签将数值St和随机数Rt一起发给读卡器，读卡器再转发给数据库。

（4）数据库接收到消息以后会去检索系统中的数据是否存在某个IDj（1≤j≤n），使H（IDj|| Rd）⊕S=St是否成立，如果不等于则认证失败。如果等于，数据库会根据IDj和Rt的哈希值与S异或得到Sd。

（5）通过读卡器把Sd传给标签。

（6）标签收到信息后计算St=H（ID || Rt）⊕S，如果其值等于Sd，则认证成功。

3.3 协议的安全分析

（1）向前安全性

由于随机数Rd和Rt，秘密值S都是可变的，所以即使黑客获取到了St的值也查不出标签之前的运作数据。

（2）双向认证

在数据库通过哈希算法[7]比较H（IDj|| Rd）⊕S和H（ID || Rd）⊕S是否相同，以及在标签中通过哈希算法比较H（IDj|| Rt）⊕S和H（ID || Rt）⊕S是否相同，实现协议的双向认证。

（3）防位置跟踪

由于Rd和秘密值S是随机的，所以每次St的值也是可变的，有效防止了位置跟踪。

（4）防窃听

标签ID值并没有在传输消息的过程中出现，所以非法用户无法窃听到标签的真实ID。

（5）防重传攻击

由于秘密值S的可变性，黑客不能再次模拟出数值Sd，有效的防止了重传攻击。

（6）防假冒攻击

假如非法者用非法标签[8]伪装成合法标签，并使用非法算法返回给读卡器认证，由于数据库产生的随机数Rd和秘密值S可变，计算出来的St的值和伪装的St值不会相同，所以标签无法通过读卡器的认证。

3.4 安全协议的比较

如表1所示，列出了几种协议和本文协议进行的比较。

表1 协议安全性对比

4 结语

本文通过分析和比较三种现有RFID安全认证协议，提出了一种改进的基于Hash函数的RFID双向认证协议，基本满足了安全目标，有效克服已有认证协议的诸多缺陷，对设计高效的、安全的、低成本的RFID认证协议具有比较重要的理论指导意义。

[1]周永彬，冯登国.RFID安全协议的设计与分析[J].计算机学报，2006.

[2]王旭宇，景凤宣，王雨晴.一种基于Hash函数的RFID认证改进协议[J].山东大学学报（理学版），2014.

[3]周晔.基于Hash链的RFID双向认证协议的设计[J].网络安全技术与应用，2014.

[4]丁振华，李锦涛，冯波.基于Hash 函数的RFID安全认证协议研究[J]. 计算机研究与发展，2009.

[5]张兵，马新新，秦志光.轻量级RFID双向认证协议设计与分析[J].电子科技大学学报，2013.

[6]黄稳定，邬春学，高华.基于hash函数的RFID安全认证协议研究[J].软件导刊，2017.

[7]王家超.一种基于双向Hash认证协议的RFID标签动态管理设计[D].电子科技大学硕士论文，2017.

[8]石春华.一种基于Hash函数的RFID安全认证协议的设计与实现[D]. 电子科技大学硕士论文，2013.

[9]Radio frequency identification：Secure risks and challenges. Sarma S E，Weis S A，Engels D W. RSA Laboratories Cryptobytes，2003.

[10]Security and privacy aspects of low-cost radio frequency identification systems. Weis S.A，Sarma S.E，Rivest R.L，Engels D.W. Proceedings of the1st International Conference on Security in Pervasive Computing，2004.

[11]Hash-chain based forward-secure privacy protection scheme for low-cost RFID. OHKUBO M，SUZUKI K，KINOSHITA S. Proceedings of the2004Sy mposium on Cr y ptog raphy and Information Security，2004.