基于 LMAP和 EAP-SAKE的 RFID系統安全解決方案

呂欣美

(中州大學就業指導中心,鄭州 450044)

1.引言

無線射頻識別(Radio Frequency IDentification,RF ID)是一種利用射頻信號自動識別目標對象并獲取相關信息的技術。與條形碼技術相比,RF ID技術具有使用壽命長、讀取距離遠、掃描速度快、數據存儲量大等優點。目前,其應用領域日益擴大,已在制造、零售、物流等領域顯示出強大的實用價值和發展潛力。

RF ID系統主要包括三個組成部分:標簽 (Tag)、讀寫器(Reader)和后端數據庫 (Backend database)。標簽主要由芯片和內置天線組成,存儲有所附的物品信息,可以和讀寫器進行通信。讀寫器主要用于和標簽進行通信,并將標簽所發送的消息轉發給后端數據庫進行處理,以及將后端數據庫的處理結果轉發給標簽。后端數據庫主要為整個系統提供各種服務,如認證服務等。

阻礙 RF ID系統進一步推廣應用的一個關鍵問題是系統中信息的安全性。標簽和讀寫器之間采用的是無線通信,具有開放性的特點,容易受到竊聽攻擊。而且 RF ID標簽的計算能力、存儲空間和電力供應都非常有限,無法執行對稱或非對稱密碼算法,為保護系統中信息的安全性帶來很大困難[1,2]。

目前所進行的研究工作主要集中于研究標簽與標簽讀寫器之間的安全通信,并沒有設計出一個包括標簽、讀寫器和后端數據庫在內的完整的安全方案。本文提出一種用于保護 RF ID系統中標簽 -讀寫器 -后端數據庫之間安全通信的整體安全方案,并對其進行了分析。

2.標簽與讀寫器之間的安全通信協議

LMAP(LightweightMutualAuthentication Protocol)由Pedro等人提出。在該協議中,標簽只需要具備偽隨機發生器,并能執行異或運算 (⊕)、按位的與運算 (∩)、按位的或運算(∪)和模 2m(+)的加法即可,大大降低了對標簽計算能力的要求。該協議可以分成四個階段,標簽身份標識階段、相互認證階段、索引假名更新階段和密鑰更新階段。其過程為[3]:

(1)讀寫器向標簽發送查詢請求。

(2)標簽收到請求后,發送索引假名 IDS(index-pseudonym)給讀寫器。

(3)讀寫器轉發 IDS給后端數據庫。

(4)后端數據庫搜尋相對應的記錄,找出所對應的標簽I

D與四個子密鑰 K1、K2、K3與 K4,并發送給讀寫器。

(5)讀寫器生成兩個隨機數 n1與 n2,并計算 A= IDS⊕K1⊕ n1、B=( IDS K2)+n1、C= IDS+K3+n2,并發送 A、B和 C給標簽。

(6)標簽收到消息后,根據標簽存儲的 IDS和 K1與 K2,可以求出 n1,并對讀寫器進行身份認證,再使用 C計算出n2。計算出 n1與 n2后,標簽計算 D=( IDS+ ID)⊕ n1⊕ n2并將其發送給讀寫器,n1、n2用來保護標簽 ID并供讀寫器驗證標簽的合法性。

(7)讀寫器使用自己存儲的 n1、n2、 IDS、 ID和收到的 D對標簽的身份進行認證,防止偽造標簽。

(8)讀寫器與標簽認證完成后,標簽與后臺數據庫所儲存的索引假名 IDS與密鑰 K必須同時進行更新,以提供前向安全,并抵御重放攻擊。更新過程分別為: IDS=( IDS+(n2⊕ K4))⊕ ID、K1=K1⊕ n2⊕ (K3+ ID)、K2=K2⊕ n2⊕(K4+ ID)、K3=(K3⊕ n1)+(K1⊕ ID)、K4=(K4⊕ n1)+(K2⊕ ID)。

圖 1 LMAP協議

3.讀寫器與后端數據庫之間的安全通信協議

在標簽讀寫器與后端數據庫之間的通信中,采用基于EAP-SAKE(Extensible Authentication Protocol-Shared-secretAuthentication and Key Establishment)的安全協議[4,5]提供相互認證和協商密鑰的安全特性。

在報文交換之前,后端數據庫和讀寫器要共享一個根密鑰 (Root-Secret),并用其生成兩個相互獨立的、用于不同目的的密鑰,分別是根密鑰 A(Root-Secret-A)和根密鑰 B(Root-Secret-B)。根密鑰A主要用于進行認證和生成臨時 EAP密鑰 (Transient EAP Keys,TEK),根密鑰 B主要用于計算主會話密鑰 (Master Session Key,MSK)和擴展主會話密鑰 (Extended Master Session Key,EMSK)。臨時 EAP密鑰TEK又可分為 TEK-Auth和 TEK-Cipher,前者為 TEK的前16個字節,用于消息完整性保護和認證過程;后者為 TEK的后 16個字符,用于加解密過程。其密鑰體系結構如圖 2所示:

圖 2 EAP-SAKE中的密鑰體系

報文交換過程為:

(1)當讀寫器要和后端數據庫進行通信時,后端數據庫首先發送 EAP.Request_Challenge報文,其中包括數據庫生成的隨機數 AT_RAND_S和數據庫的身份標識符 AT_SERVER ID。

(2)讀寫器收到 EAP.Request_Challenge報文后發送EAP.Response_Challenge報文,其中包括讀寫器生成的隨機數 AT_RAND_P、讀寫器的身份標識符 AT_PEER ID、所支持的密文族 AT_SPI_P和生成的完整性校驗碼 AT_M I C_P。然后讀寫器使用 AT_RAND_S、AT_RAND_P和 Root-Secret-A計算出 SAKE主密鑰 (SAKE Master Secret,S MS)和臨時EAP密鑰 TEK。

(3)后端數據庫收到讀寫器發送來的 EAP.Response_Challenge報文后,用同樣的辦法計算出 S MS和 TEK,以及完整性校驗碼,并將計算結果與收到的 AT_M IC_P進行比較,如果相同,就認為讀寫器通過了認證。后端數據庫從讀寫器發送的AT_SPI_P中選擇適當的加密算法和參數,對通信數據進行加密。然后后端數據庫發送 EAP.Request_Confirm報文,其中包括后端數據庫選擇的密文 AT_SPI_S、加密后的信息 AT_ENCR_DATA和完整性校驗碼 AT_M IC_S。

(4)讀寫器收到后端數據庫發送的 EAP.Request_Confir m報文后認為后端數據庫已經通過了對它的認證。讀寫器采用同樣的方法計算完整性校驗碼,將計算結果與 EAP.Request_Confir m報文中的 AT_M IC_S進行比較,如果相同,就認為后端數據庫通過了認證。然后發送 EAP.Response_Confir m報文,其中包括完整性校驗碼 AT_M IC_P。

(5)后端數據庫收到 EAP.Request_Confir m報文后,發送 EAP.Success報文給讀寫器,結束 EAP會話。此后,讀寫器使用協商生成的 TEK-Cipher加密 IDS發送給后端數據庫,后端數據庫則將加密后的標簽的 ID和密鑰 K發送給讀寫器。

4.協議分析

在該安全方案中,標簽與讀寫器之間采用了 LMAP協議,讀寫器與后端數據庫之間采用的是基于 EAP-SAKE的安全協議。

(1)LMAP協議分析

在 LMAP協議中,只采用了偽隨機生成、異或運算、按位的與運算、按位的或運算和模 2m的加法等輕量級計算,具有計算量小、計算速度快等優點,對標簽的計算資源、存儲空間和電力供應的要求非常低,非常適合用于具有有限計算資源的標簽和讀寫器之間的安全通信。在安全性方面,對該協議做如下分析:

標簽 ID的機密性

在LMAP協議中,后端數據庫主要使用標簽的假名 IDS確認標簽的身份,標簽 ID并不以明文形式進行傳輸,而是以加密之后的密文形式進行傳輸。因此,該協議提供了標簽ID的機密性。

標簽的匿名性

為了防范攻擊者對標簽攜帶者進行跟蹤,需要保證標簽I

D不被攻擊者截獲,而且每輪通信中所發送的消息都要不同 ,即上一輪所發送的 A、B、C、D和下一輪發送的 A、B、C、D不同。前者已通過標簽 ID的機密性得以實現,后者則通過讀寫器生成的不重復的 n1和 n2以及每次會話完成后對 IDS和 K1、K2、K3、K4進行更新來實現。

雙向認證

本協議中,讀寫器和后端數據庫通過檢查標簽發送來的I

DS和 D是否正確來確定該標簽是否為合法標簽;標簽則通過檢查讀寫器發送來的 A、B、C是否正確來讀寫器是否為授權的讀寫器。

抵御中間人攻擊和重放攻擊

該協議中,即使攻擊者竊聽到標簽和讀寫器之間的所有通信,也無法獲取機密信息密鑰 K1、K2、K3、K4和標簽 ID,因此能夠抵御中間人攻擊。此外,由于在協議中使用了不重復的隨機數 n1和 n2,因此能抵御重放攻擊。

LMAP協議能夠提供雙向認證和對標簽機密性、匿名性的保護,并抵御中間人攻擊和重放攻擊。

(2)EAP-SAKE協議分析

讀寫器與后端數據庫之間采用的基于 EAP-SAKE的安全協議,只需要 2輪的請求 /響應消息交換,能夠提供雙向認證功能,確認通信雙方的身份。還可以提供密鑰協商功能,生成會話密鑰進行保密通信。

雙向認證

后端數據庫通過檢查讀寫器發送來的M IC_P是否正確來對讀寫器進行認證;讀寫器通過檢查后端數據庫發送來的M I C_S是否正確來對后端數據庫進行認證。因此,該協議提供了雙向認證。

密鑰協商

在協議初始化時,后端數據庫和讀寫器共享一個根密鑰,由此生成根密鑰 A和根密鑰 B、S MS、TEK-Auth和 TEK-Cipher。TEK-Auth用于進行認證,TEK-Cipher用于進行后續的保密通信。因此,該協議提供了密鑰協商功能。

EAP-SAKE協議提供了雙向認證和密鑰協商功能,并能對后續通信提供機密性保護。

從以上的分析可以看出,提出的基于 LMAP和 EAPSAKE的 RF ID安全方案不僅可以保護標簽 -讀寫器之間的安全通信,也可以保護讀寫器 -后端數據庫之間的安全通信。在標簽 -讀寫器端,所采用的安全協議計算量小、計算速度快,對標簽的計算資源的要求很低,非常適合用低成本標簽和讀寫器之間的安全通信,而且能夠提供雙向認證和對標簽機密性、匿名性的保護,并抵御中間人攻擊和重放攻擊。在讀寫器 -后端數據庫端,所采用的安全協議提供了雙向認證和密鑰協商功能,并能夠對后續通信進行加密,提供機密性保護。

5.結束語

無線射頻識別系統目前已廣泛應用于制造、零售、物流等領域,但系統中信息傳輸的安全性問題阻礙了它的進一步推廣。目前所進行的研究主要集中于研究標簽與標簽讀寫器之間的安全通信。本文提出一種用于保護 RF ID系統中標簽 -讀寫器 -后端數據庫之間安全通信的整體安全方案,該方案適用于使用低成本標簽的 RF ID系統,能夠為標簽 -讀寫器 -后端數據庫之間提供雙向認證和機密性保護等安全特性。

[1]Sarma S E,Weis SA,EngelsD W.RF ID systems and security and privacy implications:CHES 2002:Proceedings of the 4th InternationalWorkshop on Cryptographic Hardware and Embedded Systems[C].Berlin:Springer-Verlag,2003.

[2]Sarma S E,Weis S A,Engels D W.Radio-frequency identification:Secure risks and challenges[J].RSA Laboratories Cryptobytes,2003(6):2-9.

[3]Pedro Peris-Lopez,Julio Cesar Hernandez-Castro,Juan M.Estevez Tapiador,Arturo Ribagorda.LMAP:A Real LightweightMutual Authentication Protocol for Low-cost RF ID tags[M].Proceeding of 2ndWorkshop on RF ID Security,2006.

[4]VanderveenM,Soliman H.RFC4763,ExtensibleAuthentication ProtocolMethod for Shared-secret Authentication and Key Establishment[S].2006.

[5]Blunk L,Vollbrecht J.RFC2284,PPP Extensible Authentication Protocol[S],1998.