1、enhanced secure rfid authentication protocol for epc gen2tang yong.zheng1*, wang ming.hui1, wang jian.dong2(1. school of information engineering, yancheng institute of technology, yancheng jiangsu 224051, china;2. college of information science and technology, nanjing university of aeronautics and a
2、stronautics, nanjing jiangsu 210016, chinaabstract:as many current radio frequency identification (rfid) authentication protocols have some problems: cannot conform with the epc class 1 gen 2 (epc gen2) standards; or cannot meet the requirements of low-cost tags for the rfid authentication protocol.
3、 a novel rfid authentication protocol based on the epc class 1 gen 2 (epc gen2) standards is proposed and the security proof is given with ban logic. after analysis the security, the proposed protocol can meet the rfid security demand: information confidentiality, data integrity and identity authent
4、ication.many current radio frequency identification (rfid) authentication protocols cannot conform with the epc class 1 gen 2 (epc gen2) standards or cannot meet the requirements of low.cost tags for the rfid authentication protocol. a new rfid authentication protocol based on the epc class 1 gen 2
5、(epc gen2) standards was proposed and the security proof was given with ban logic. after analyzing the security, the proposed protocol can meet the rfid security demands: information confidentiality, data integrity and identity authentication.key words:radio frequency identification (rfid); forward
6、secrecy; authentication protocol; key; cyclic redundancy check (crc)0引言射频识别技术(radio frequency identification,rfid)是一种非接触式的自动识别技术,在系统的前端主要由rfid标签和读写器组成。读写器向标签发出认证请求,并将标签返回的数据传输给后台进行数据处理。它通过射频信号自动识别目标并获取相关数据,使得系统无需任何物理接触就可以完成特定目标对象的自动识别。目前rfid技术已经被广泛应用于物流供应管理、生产制造和装配、航空行李处理、邮件、快运包裹处理及物联网等领域。然而,在有些情况下,
7、未授权读写器可以读取和收集用户的电子标签里的个人信息,通过信息处理和比对,在用户下次使用标签时就可以跟踪其位置信息,并且还可以获取用户的隐私信息,因此,rfid系统的安全问题引起了人们的极大关注。但是,由于低成本电子标签在计算能力和存储上具有很大限制,目前很多的安全协议没有办法在其上面应用。本文通过比较分析目前比较典型的rfid安全协议,设计了一种低成本、高效率、安全的双向认证协议。并通过ban逻辑分析了协议的安全性。1rfid系统1.1rfid系统的构成rfid系统由标签、读写器和数据处理系统三部分组成(如图1所示)。标签和读写器通过无线信号进行通信,读写器向rfid标签发出命令,标签根据接
8、收到的命令做出响应。图片图1rfid系统构成1)标签(tag)。rfid 的标签是由用于无线通信的耦合线圈电路(天线)和计算、存储数据的逻辑门电路组成。天线用于无线通信,芯片的计算和存储能力十分有限。每个标签具有唯一的id。2)读卡器(reader)。读卡器由无线收发模块、信号天线、控制单元及接口电路等组成,其计算能力和存储能力都比标签要大。当rfid读写器通过收发模块发出询问命令且接收到标签返回的信息后,将信息传送给后端数据库。3)后端数据库(database)。后端数据库系统具有巨大的数据分析和存储能力,存储着包含读卡器和标签的所有相关的数据信息,并且接收来自rfid读写器的数据。从rfi
9、d读写器到标签的信道是不安全信道;从rfid读写器和后端数据库之间是安全信道。1.2安全需求rfid系统的安全类似于网络和计算机安全,其主要目的是为了保证数据传输和数据存储的安全,但是rfid系统中的读写器和标签所具有的运算能力极其有限,因此,根据信息系统安全的基本要求,结合rfid系统自身的实际情况,比较完善的rfid系统安全解决方案应当具备信息机密性、数据完整性和身份真实性等基本特征。1)信息机密性。一个rfid系统在运行过程中,电子标签不能向任何未经允许的读写器泄漏任何产品信息,rfid电子标签中所包含的信息一旦被攻击者获取,将会泄露使用者的隐私,因而,一个完备的rfid安全方案必须能够
10、保证标签中所包含的信息仅能被授权的读写器访问。2)数据完整性。在通信过程中,数据完整性能够保证接收者收到的信息在传输过程中没有被攻击者篡改或替换。在rfid系统中,通常使用循环冗余校验(cyclic redundancy check,crc)来进行数据完整性的检验,它使用的是一种带有共享密钥的散列算法,即将共享密钥和待检验的消息连接在一起进行散列运算,对数据的任何细微改动都会对消息认证码的值产生较大影响。3)身份真实性。电子标签的身份认证在rfid系统的许多应用中非常重要。攻击者可以伪造电子标签,也可以通过某种方式隐藏标签,使读写器无法获取该标签,从而成功地实施产品转移,读写器只有通过身份认证
11、才能够确信消息是从正确的电子标签发送过来的;也有攻击者伪造读写器通过多次访问标签来获取标签中的信息。因此,标签也需要对读写器的身份进行认证,这称之为双向认证。2.1相关协议分析因为rfid系统应用广泛,很多学者在这方面投入很大精力,但由于每个学者对rfid系统能力的假设不同,所以提出的基于rfid的认证协议千差万别。有些协议中使用了哈希函数,其中比较典型的是hash锁协议1,随机hash 锁协议2和hash链协议3;有些协议使用了更加复杂的运算,这些协议对rfid系统的计算能力要求很高,在实际使用中的成本很高。为了促进rfid技术的推广,epc global 组织制订了 epc class 1
12、 gen 2 ( epc gen2) 4标准,这个标准利用了一个16位的伪随机数生成器(pseudo random number generator,prng)和一个16位的循环冗余校验码(crc)为rfid协议提供基本的可靠性保证,符合该标准的标签只需采用硬件复杂度较低的prng和crc,而不采用加密函数和 hash 函数,这样就可以很大程度地提高协议的执行效率。近年来,研究者们提出了很多符合epc gen2标准的认证协议。2008年,burrow等5提出一个新的符合epc gen2标准的协议,声称该协议能够抵抗标签跟踪和伪装攻击,在这个协议中使用了伪随机数生成器(prng),同时标签具有乘
13、法和加法的运算能力。通过分析可以发现文献5协议的安全性取决于一个线性函数g(),通过运算,攻击者能够得到标签中密钥的值,而且攻击者连续窃听同一个标签和读写器之间的回话,可以有效伪装一个标签,并且攻击者可以对标签进行跟踪6。chen等7提出一个轻量级的rfid认证协议,在协议中,产品电子代码(electronic product code,epc)被用作标签的标识码,读写器和标签共享秘密信息s1,s2和epc。这个协议的致命缺陷是标签可以被模仿8。协议的运行过程如下:首先读写器r向标签t发送认证请求,并发送随机数rr:crc(s1,rr)。标签t验证crc(s1,rr),生成随机数rt,通过计算
14、x(s2epcrt),ycrc(rtepcx),再将(rt,x,y)发送给读写器r。读写器r验证(x,y)后将结果返回标签t。攻击者能够被动监听读写器和标签之间的通信,并且保存它们之间的交换数据。在同一个标签第二次认证时,攻击者将协议中的(rt,x,y)替换为(r,x,y)。其中x=xrtr(x和rt在上次通信中获得),y=y,y=crc(rtepcx) =crc(rts1s2epcrt)。这样,攻击者可以成功扮演标签t9。最近,邓淼磊等10提出一个新的基于gen2标准的rfid认证协议。在协议中,读写器r向标签t发出认证请求,并发送nr。标签t计算m1=crc(p(nrnt)k,并且发送(m
15、1, nt)给读写器r,读写器r转发(m1,nr,nt)给数据库d。在协议中,crc被当成一个单项的加密函数,忽略了crc的另外一个不安全属性,对于所有的a,b,都有crc(ab)=crc(a)crc(b)6。再者,攻击者通过侦听,可以获得nr和nt,因此,攻击者可以计算出crc(nrnt),m1crc (nrnt)=crc(p)k,攻击者可以通过伪造nr,在不需要知道p和k的情况下,成功地冒充标签t。2.2基于epc gen2认证协议中存在的问题1)标签的id以明文形式出现在认证协议中,没有对id进行有效保护,致使标签容易受到跟踪,泄漏用户隐私信息。2)错误地将crc()当成加密函数,致使攻
16、击者能够推导出标签的id。3)为了适应分布式环境,有些协议提供数据同步功能,但是标签和数据库的更新没有同时进行,或者受到攻击,导致数据不同步。4)到目前为止,已经有很多的rfid安全协议被提出,但是大多缺乏严格的格式化分析和证明。在总结上述问题的基础上,本文提出一个新的基于epc gen2标准的rfid认证协议,并采用ban逻辑对上面所提出的协议进行形式化分析、证明。3强安全的epc gen2认证协议3.1协议设计系统初始化之后,数据库d和标签t之间共享秘密随机数k,数据库d和标签t之间共享标签的id(id在标签中称idt,id在数据库中称idd),数据库中存储记录(tid,k)。rt:读写器
17、r向标签t发出认证请求query。trd:标签t生成随机数,计算mt=crc(prng(idt) k,nt=k。并将(mt,nt)发送给读写器r。读写器r产生随机数,将(mt, nt, )发送给数据库d。drt:数据库d首先认证标签t,数据库d本身存储有参数m的值,可以计算出= ntm。通过查询记录(idd,k),看是否满足crc(prng(idd) k = mt,如果找到这样的idd,则数据库d完成对标签t的认证,否则放弃此次连接。标签t通过数据库d的认证以后,数据库d计算k=prng(idd),md= crc(prng(idd) k,更新k=kk。将(md,prng(idd)发送给读写器r
18、,读写器r计算=ntk,k=prng(idd),更新k=kk,并将(md, )发送给标签t。t:标签t收到数据后,计算出k=(prng(idt),如果crc(prng(idt) k= md ,那么标签t完成对数据库d的认证,同时更新m=mk。4)逻辑推理。由消息3知d idtk,由假设p1和规则p|q yp,p xyp|q|x得到d|t|(idt);由假设p3和规则p|#(x)p|#(x,y),可得d|#(idt);由公式p|#(x),p|q|xp|q|x可得d|t|(idt);再由规则p|q| x,p|q|xp|x可得d|(idt);最后由规则p|(x,y)p|x得到d|idt。由消息5知t
19、 iddk,由假设p1和规则p|q yp,p xyp|q|x得到t|d|(idd);由假设p4和规则p|#(x)p|#(x,y),可得t|#(idd);由公式p|#(x),p|q|xp|q|x可得t|d|(idd);再由规则p|q| x,p|q|xp|x可得t|(idd);最后由规则p|(x,y)p|x得到t|idd。4安全性分析4.1安全性能比较本文提出的协议与之前提出的协议进行了比较(详见表1), 通过比较可以看出,本协议具有很好的安全性能,满足了rfid认证协议的基本需求。其中,t表示具备该项要求;f表示不具备该项要求。1)抵抗跟踪攻击。抵抗跟踪是用户隐私保护的基本需求,由于当前的协议中
20、标签在每次通信中都没有直接使用tid,传递的消息都不是固定的, 并且每次的输出都有随机数的参与,也是不可预知, 因此攻击者对标签的跟踪攻击很难实现。2)抵抗冒充攻击。攻击者可以被动地侦听读写器和标签之间的通信,并且有能力获得nt、nr、md和mt。但是攻击者没有能力通过计算它们的历史数据获得当前通信中的数值,因为每次认证过程之后秘密信息m都会得到更新,而和在每次认证过程中都是随机生成的,两次相同的概率可以忽略不计。因此,攻击者没有能力成功地冒充读写器或者标签。3)双向认证。在本文协议中,服务器通过在数据库中查找tid和m来验证mt,而tid和m为数据库和合法标签所共有。标签通过计算k和m来验证md,k和m只有数据库和合法的标签及读写器才能拥有。4)前向安全性。即设攻击者获得了读写器和标签某次通信的秘密信息,仍然无法获得之前它们之间的通信信息。因为在每次认证完成之后都对读写器和标签的共有信息m进行了更新,而和是随机生成的,因此攻击者无法根据当前获得的输出回溯之前的认证数据,具有前向安全性。
