寇广岳，魏国珩，平 源,刘 鹏

(1.海军工程大学信息安全系,湖北 武汉 430000；
2.许昌学院信息工程学院，河南 许昌 461000；
3.海军参谋部，北京 100000)

近些年，随着物联网技术的不断成熟，基于物联网技术的各项应用不断深入发展并应用于实际，其中比较典型和成熟的是RFID(Radio Frequency Identification)技术。RFID 是一种采用射频信号与空间耦合来达成无接触信息传递从而实现目标主体识别的技术。在物流、交通、身份识别、防伪、资产管理、食品、信息统计、查阅应用和安全控制等领域应用广泛。IDTechEx的数据显示：全球RFID市场预计在2021年价值116亿美元，到2022年将达到122亿美元[1]。

通常意义的RFID系统包含电子标签(Tag)、RFID标签读写器和后台数据库，如图1所示。Tag主要用于存储用户信息，由天线和射频芯片构成，由于受制电子标签有限的物理结构，通常认为其运算能力较为有限，且易受到安全威胁。RFID标签读写器用于读写电子标签信息与防止碰撞等方面，理论上RFID标签读写器应在物理层面具有较大的存储空间与较强的计算能力。后台数据库主要存储标签、读写器及其它信息，具有强大的数据处理与存储能力。一般认为在RFID系统中，Tag与Tag读写器之间是不安全信道，Tag读写器与后台数据库之间是安全信道[2]。

Figure 1 Basic composition of RFID system图1 RFID系统基本构成

由于电子标签物理结构的局限性，Tag由几百门到几千门电路构成，通常Tag出于经济与轻量化考量不设微处理器，集成签名或加密算法也不方便，因此，在RFID系统中提供安全认证协议十分困难。面对强大且具有针对性的攻击者时，如何在有限的门电路上设计出高效、安全的RFID安全认证协议成为一项具有挑战性的研究，也吸引了众多密码学家的关注。

本文将RFID安全认证协议中的代表性工作按所采用密码算法的复杂程度分为超轻量级协议、轻量级协议、中量级协议和重量级协议，并进行了整理、分析与归纳。第2节简要介绍了RFID安全认证协议的构成和分类以及面临的主要威胁；
第3节对现有安全协议进行了划分，并简要介绍了每种类别下的经典协议模型，针对近年的论文分类讨论了其在面对安全威胁时的表现；
第4节对RFID安全协议的发展进行了预测与展望；
第5节对全文进行总结。

2.1 RFID系统协议模型

现有安全认证协议研究中的一个重要指标是要符合现有通行协议标准。ISO/IEC 18000标准[3]决定了RFID标签与RFID读写器之间的通讯规则，模型从上到下依次由物理层、通信层和应用层构成，如图2所示。

Figure 2 Communication model of RFID system图2 RFID系统的通信模型

此外，常用的RFID协议还包括广泛应用于身份证银联卡的ISO/IEC 14443[4]、读写距离可达1 m的ISO/IEC 15693[5]和NFC协议ISO 18092[6]。设计安全认证协议时要格外注意必须符合相关协议标准模型。

2.2 RFID安全认证协议面临的威胁

一个成熟且完善的RFID安全认证协议除了需要满足ISO/IEC 18000标准模型外，最重要的是要具备应对现有主流威胁的抵抗能力，即需要满足一定的信息安全需求。本节对RFID安全认证协议面对的安全需求及主要威胁进行讨论。

评估RFID系统及安全认证协议从以下几个安全需求出发：

(1)机密性：完善的RFID安全认证协议应具备保护Tag中所包含的关键敏感信息的基本功能，并只对合法的读写器识别和解密。

(2)完整性：安全认证协议在通信过程中保持准确，应确保在传输过程中不会因误码或攻击导致数据被篡改、添加、删除。

(3)相互认证性：在通信双方传输或交换秘密信息之前，需要在读写器上与Tag进行相互认证，读写器与Tag均需证明各自身份的合法性。

(4)用户隐私性：RFID安全认证协议中的关键信息如标签身份、安全认证协议中关键字段等需要得到保护，以避免暴露其位置或被攻击者跟踪。

(5)前向与后向安全性：面对蓄意的攻击，低成本标签即使采用安全认证协议也很难抵御强力破解。因此RFID系统中的前向与后向安全显得极为重要。

RFID安全认证协议面临的常见攻击类型有以下几种：

(1)拒绝服务攻击：攻击者向服务器发送多个信号，以破坏RFID系统的可用性。

(2)去同步攻击：破坏受害者Tag与后端数据库之间的同步状态，攻击成功后，标签不再被认证为有效。

(3)泄漏风险：攻击者破解RFID系统中的通信密钥。

(4)克隆攻击：攻击者用设备读取标签或读取器信息，并伪造一个能通信的虚拟实体。

(5)可追踪性攻击：攻击者追踪标签信息并找到其位置，对其隐私进行破解。

(6)中间人攻击：攻击者截获Tag与阅读器之间的消息，修改并返回。

(7)重放攻击：攻击者捕获Tag并将其重新发送给读取器，以与读取器通信并获取秘密信息。

2.3 RFID系统安全认证协议分类

基于RFID系统的用途及工作场合，RFID具有不同的大小、形状及内部结构，具有多种划分方法。按工作方式可划分为主动式标签、半主动式标签与被动式标签；
按标签的工作频率大小可划分为低频(LF)、高频(HF)、超高频(UHF)和微波4种；
按计算能力可分为超轻量级、轻量级、中量级和重量级[7]。不同量级的划分是按标签结构中存在的等效门电路GE(Gate Equivalents)的多少来确定的，理论上物理结构越复杂的标签能承载的安全认证协议算法也就越复杂。不同量级的标签采用的加密算法也相对比较固定[8]。超轻量级安全认证协议所采用的认证方法通常只涉及简单的逻辑运算(如与、或、异或)；
轻量级安全认证协议通常采用PRNG(PseudoRandom Number Generator)算法及循环冗余码CRC(Cyclic Redundancy Code)；
中量级安全认证协议则多用杂凑函数；
采用RSA或椭圆曲线的算法常出现在重量级安全认证协议中。因此，本文计划按量级分类的方法对RFID安全协议进行分类，具体分类如表1所示。

Table 1 Level classification of RFID security authentication protocol

本节对现有的RFID安全认证协议按密码算法所需门电路量级进行划分，并分别介绍了各量级下的经典安全认证协议与近年来改进的安全认证协议。

3.1 超轻量级安全认证协议及其改进

依据超轻量级安全认证协议的安全保障算法，本文将其大致分为3类：(1)基于T函数的超轻量RFID安全认证协议，此类安全认证协议通过T函数来保证协议安全，常用的T函数包括按位运算的AND、OR和XOR；
(2)基于旋转算子的超轻量RFID安全认证协议，采用旋转算子与T函数进行数据加密；
(3)其它类型的超轻量级安全认证协议,通常是由设计者提出新的运算法则，如置换、合并和分离等相结合。前期流行的RFID超轻量级安全协议包括HB协议簇、UMAP协议簇和SASI 协议。HB协议簇是基于LPN(Learning Parity with Noise)的安全认证协议[9]，LPN问题是“矢量子集求和”难题，涉及的操作仅包含与或和异或；
UMAP协议簇包括LMAP(Lightweight Mutual Authentication Protocol)[10]、EMAP(Efficient Mutual Authentication Protocol)[11]及MMAP (Minimalist Mutual Authentication Protocol)[12]，这些安全认证协议为了适应超轻量级受限的门电路环境均使用逐位运算；
SASI 协议主要通过左循环移位操作与异或操作实现信息交互。

尽管前期的研究在超轻量级物理环境的限制下，用极小的代价实现了部分保密需求，但已有大量研究表明，上述安全认证协议容易受到重放攻击、去同步攻击和完全泄漏攻击[13 - 16]。表2对比了部分典型超轻量安全认证协议的安全性。Zhuang等人[17]构造了一个名为 FindIndex 的人工函数来分析以上典型协议保持数据完整性的能力，通过FindIndex 函数能发现消息中一个元素的某些位发生变化后其它位发生变化的可能性，从而证明了LMAP、MMAP 、EMAP 和David-Prasad SLMAP 等超轻量RFID安全认证协议都不能抵抗去同步攻击。特别证明了攻击者能够以非常高的成功率破坏基于T函数的超轻量RFID安全认证协议中标签和阅读器之间的同步。

Table 2 Security comparison of some typical ultra-lightweight security authentication protocols

因此，近些年的研究多集中在改进与提升安全认证协议的安全性方面。Gao等人[18]设计了URAP(a new Ultra-lightweight RFID Authentication Protocol),通过阅读器生成PRNG码开启认证，通过左旋和异或算法对后端服务器和需认证的标签的静态标识(ID)进行认证，能抵抗重放攻击、去同步攻击、中间人攻击和泄漏攻击，并通过GNY逻辑证明方法验证了安全认证协议的安全性；
Mujahid等人[19]通过重新定义一种只有左旋和异或构成的递归散列来抵抗去同步、重放和泄漏等攻击。Zhong等人[20]使用新的密文引理和密文释放引理改进了LoET (Logic of Events Theory) 逻辑系统，分析并证明了RCIA(Robust Confidentiality, Integrity, and Authentication)协议能够满足强认证特性，可防止重放攻击。Luo等人[21]通过分析2种基于置换的安全认证协议RRAP(Reconstruction based RFID Authentication Protocol)[22]和RCIA存在的安全问题，指出当输出的部分数据或全部数据确定时，攻击者可以复原其他数据，据此在此类安全认证协议基础上提出了新的置换方案CON(A，B)，即根据长度为固定比特的字符串A与B的汉明权重进行分组并重新排列，此安全认证协议可抵抗重放攻击、去同步攻击、可追溯攻击和泄漏攻击。表3比较了以上部分安全认证协议的加密方式及存储成本(其中L表示单次通信的消息长度，单位为bit)。

Table 3 Parameters comparison of some typical ultra-lightweight security authentication protocols

3.2 轻量级安全认证协议及其改进

不同于超轻量级协议，多数轻量级安全认证协议是为了满足ISO/IEC 18000(EPC C1Gen2)标准而提出的。EPC C1G2 (Class-1 Gen-2)类型安全认证协议多使用符合相关标准的简单加密手段。2006年作为低成本轻量级UHF RFID标签的ISO 18000-6标准修正案出版。新版本的标准于2013年获得批准，具有一些可选的加密属性，如随机数生成器(PRNG)与循环冗余校验(CRC)算法。最新的标准标签使用 RNG生成16位伪随机数(RN16)。

部分研究人员关注轻量级协议在满足标准后的安全性。Zavvari等人[23]分析对比了符合EPC C1G2 (Class-1 Gen-2)标准的3组典型轻量级协议的安全性，得出了在符合轻量级标准下应遵循的安全标准。轻量级安全认证协议的另一个关注重点是PRNG的安全性。Vaudenay[24]提出了一种基于PRF的弱隐私安全认证协议，通过改进此安全认证协议可以提高协议的隐私性。Arslan等人[25]在文献[24]的基础上探讨了RNG的隐私安全性并提出了改进方案。表4比较了部分轻量级安全认证协议的安全性。

Table 4 Security comparison of some lightweight security authentication protocols

针对轻量级安全认证协议的相关问题，众多研究人员在EPC Class 1 Gen 2标准下提出了众多轻量级安全认证协议。Cherneva等人[26]在借鉴《SDZ议定书》[27]部分构造思想的基础上提出了SDGPP(Serial-Dependency Grouping-Proof Protocol)，通过删除外部可信的时间戳服务器，可防止一个被损害的标签破坏整个系统。使用EPC为标签指定固定时间间隔，消除了对特定读取器的依赖，拓展了安全性与隐私性。Eslamnezhad等人[28]则关注安全认证协议的可追溯性攻击问题，在Sundaresan 等人[29]研究的基础上引入了2个计数参数来解决原安全认证协议易受可追溯性攻击的问题。Xie等人[30]在PUF (Physical Unclonable Function)结构的基础上，提出了一种基于双PUF的轻量级双向RFID 身份认证协议，实现了双向认证功能。

3.3 中量级安全认证协议及其改进

中量级安全认证协议相较于前2种量级的安全认证协议，由于采用了部分经过轻量化的密码算法且基于单向散列函数，安全性要高于前2种协议的，最明显的特征是此类安全认证协议研究的重点是双向认证。虽然部分研究人员将能单向认证的安全认证协议划归到轻量级安全认证协议中，主流观点认为基于散列函数实现单向或双向认证的协议是典型的中量级安全认证协议。比较经典的安全认证协议包括基于单向散列函数的Hash-Lock协议、改进的随机Hash-Lock协议、Hash链协议和David数字图书馆协议[31 - 34]等。前期已有大量针对上述经典安全认证协议的安全性分析[35 - 37]。其面临的主要安全威胁如表5所示。

Table 5 Security threats of typical mid-volume security authentication protocol

近年来，此类安全认证协议为基本模型的改进安全认证协议也不胜枚举[28 - 35]，多是对安全性进行加强，或突出其中某项安全属性进行研究。Liu等人[38]在分析了典型中量级安全认证协议的安全问题后提出了改进安全认证协议，通过RFID标签计算散列值，并将散列值分为2部分：左半部分用于验证标签的身份，右半部分用于验证阅读器的身份，这样提高了安全性，减少了标签的计算和存储。Hosseinzadeh等人[39]在分析了Wang等人[40]的安全认证协议脆弱性的基础上，提出了面对强攻击者时分析阅读器与后端服务器之间不安全信道的安全模型，并提出了改进安全认证协议ISMAP (stands for Improved Server-Mounted Authentication Protocol)。Mansoor等人[41]对Gope等人[35]的安全认证协议进行了密码分析，证明了该安全认证协议在防碰撞、窃取验证者和拒绝服务攻击方面存在一些弱点，提出了一种仅使用轻量元素的改进方案来抵抗所有已知的攻击。

3.4 重量级安全认证协议及其改进

重量级安全认证协议也被部分文献命名为完备RFID安全认证协议，主要分为对称加密算法和非对称加密算法。为了实现高安全性，此类安全认证协议需要消耗大量门电路承载加密算法。考虑到RFID系统的物理局限性，其中比较有代表性的是基于对称加密算法DES的“三通互相鉴别”协议和基于RSA算法的认证协议[42]。以上安全认证协议均能达到较高的安全性，但需要1万门以上的逻辑门。为解决成本问题，基于椭圆曲线密码ECC(Ellipse Curve Cryptography)算法的安全认证协议不断被提出[43 - 55]，并成为近几年研究的主流。

不同研究人员利用ECC为RFID认证提供服务,并采用了不同的加密和认证方法。大多数研究表明，只使用一种ECC算法的安全认证协议只能提供单向认证，且整个系统容易受到攻击。随着第2个ECC算法的安全认证协议的加入，双向认证达成，为系统整体提供了更好的安全性。2个ECC安全认证协议耦合的不同导致各个安全认证协议的效率与安全性有差异，表6简单比较了部分重量级安全认证协议的通信成本。表6中显示了每个安全认证协议的读取器与标签的标量乘法次数，并按每次标量乘法64 ms的计算成本计算了总时间。

Table 6 Comparison of communication cost of some heavy-lightweight security authentication protocols

随着物联网技术的不断发展、RFID技术的不断进步、密码学不断完善，研究重点也在不断发生改变，从早期的几个经典安全认证协议模型基础上不断改进发展到现在根据应用场景的不同，设计适应其应用场景的安全认证协议，RFID安全认证协议正在不断完善与发展。近年已有研究人员将基于ECC算法的安全认证协议门电路控制在轻量级的水平。目前，在现有技术条件下，RFID安全认证协议主要有2个方向，一个是在前人研究基础上针对部分安全性漏洞进行修补并进行安全性的提升，另一个是保障安全性的基础上对现有协议的效率与通信开销进行优化。

同时，有众多研究人员将重心放在RFID安全认证协议的防碰撞性研究上[56 - 58]，通常将防碰撞协议与安全协议作为单独的2部分考虑，也有人提出防碰撞的安全认证协议[59]，利用防碰撞协议的模型可以在判断碰撞的同时嵌入认证协议，能同时实现门电路的优化与认证手段的革新。

引入区块链技术也可能给RFID带来的变革和影响[60 - 64]，将区块链的去中心化思想引入到基于散列的中量级安全认证协议中，将验证计算转移至阅读器和区块链节点中，可以有效降低标签的计算成本。

本文梳理了RFID系统安全认证协议的结构、标准与分类，并根据其中加密算法所需的门电路的不同将安全认证协议划分为4种量级，在列举了每种量级经典协议的基础上，分析了每种量级安全认证协议的典型模型、面临问题和近期研究重点。

(1)超轻量级RFID安全认证协议在极其有限的硬件开销下能进行基于一种或几种特别安全需求的认证，不具备较高的安全性，但在实际应用中由于其轻量性，适用的场景多。

(2)轻量级RFID安全认证协议多数在标准范畴下进行讨论，主要针对标准中的个别安全需求与计算开销进行优化。

(3)中量级RFID安全认证协议的关注重点是如何提高安全认证协议的安全性与减轻开销，以及在此量级下如何实现安全的双向认证功能。

(4)重量级RFID安全认证协议是近几年较为热点的RFID安全认证协议研究方向。众多研究人员将ECC轻量化作为研究重点，在保留较完备的安全性的前提下，本文比较了几个重量级RFID安全认证协议的通信成本。

(5)部分研究人员在纵向比较各项安全认证协议时忽略了对同级甚至是采用同类型安全认证协议的性能对比，在不考虑开销的情况下，加密机制比较完善的重量级安全认证协议与早期的超轻量级安全认证协议的安全性进行比较显然不严谨。超轻量级RFID安全认证协议通常用异或、旋转、移位和迭代次数计算，轻量级RFID安全认证协议通常使用随机数和循环冗余次数计算，中量级RFID安全认证协议通常用单向哈希及哈希次数计算，重量级RFID安全认证协议通常用标量乘法次数计算。

因此，基于RFID安全认证协议的量级不同，分析了其采取的典型加密认证手段，阐明了后续研究需要关注的重点，如超轻量安全认证协议关注的重点是如何在有限门条件下尽可能提升安全性；
轻量级安全认证协议关注PRNG的安全性及是否符合相应行业标准；
中量级安全认证协议较多关注隐私性问题与双向互通性；
重量级安全认证协议重点在保证安全性的基础上如何降低所需门电路的数量。尽管不同量级的RFID安全认证协议安全性存在差异，但根据不同的应用场景，每种安全认证协议都是该应用下的最优协议。

猜你喜欢 量级读写器攻击者 机动能力受限的目标-攻击-防御定性微分对策指挥与控制学报(2022年4期)2022-02-17正面迎接批判爱你(2018年16期)2018-06-2121连胜环球时报(2017-03-13)2017-03-13有限次重复博弈下的网络攻击行为研究指挥与控制学报(2015年4期)2015-11-01基于视频抓拍读写器的高速公路防倒卡研究中国交通信息化(2014年4期)2014-06-05基于随机时隙的RFID读写器防冲突方法北京航空航天大学学报(2013年6期)2013-12-19基于 LMAP和 EAP-SAKE的 RFID系统安全解决方案中州大学学报(2010年5期)2010-01-29基于Ｉｎｔｅｌ　Ｒ１０００的超高频ＲＦＩＤ读写器设计现代电子技术(2009年6期)2009-05-31