2024年8月26日发(作者:靖光济)
第20卷
第2期
Vol_20 No.2
电子设计工程
Electronic Design Engineering
2012年1月
Jan.2012
基于EPC标准的认证及所有权转移协议
尹平 ,李群祖
(1.西北工业大学计算机学院,陕西西安710129;2.解放军93926部队新疆和田848000)
摘要:针对现有的EPC协议的弱点,提出一种基于EPC标准的认证及所有权转移协议。该协议可以通过较低的成本
实现隐私保护、匿名通信、完整性检验、所有权转移等特点。分析发现,该协议可以有效抵御跟踪、重发、克隆、假冒、离
线字典等多种攻击方式
关键词:RFID;EPC;认证;所有权转移;协议;低成本
中图分类号:TN918.05 文献标识码:A 文章编号:1674—6236(2012)02—0038—04
Authentication and ownership transfer protocol based on EPC standard
YIN Ping 。LI Qun—ZU
(1.School ofComputer Technology,Northwestern Polytechnical University,Xi’an 710129,China;
2.PLA 93926 Unit,Hetian 848000,China)
Abstract:According to the weakness ofpresent EPC protocols,a protocol based on EPC standard is proposed.Privacy protection,
anonymous communication,integrity checking and ownership transfer will be implemented with low cost in this protoco1.
Analysis shows that the proposed protocol can eficifently withstand trace,replay,clone,imitation,off-line dictionary attacks.
Key words:RFID;EPC;authentication;ownership transfer;protocol;low cost
射频识别技术(Radio Frequency Identification)的基本原 Function)电路和LFSR(Linear Feedback Shift Register)电路来
理是利用空间电磁波进行通信,以达到自动识别识对象,获
取相关信息的目的。
RFID技术优点明显,可以应用于众多领域。在物联网领
域中,RFID是一项关键技术。当前,RFID安全认证协议是很
多从业人士研究重点【1-21。
实现。完整的协议流程分初始化、标签认证、秘密更新、所有
权转移4个阶段。
表1协议所用参数
Tab.1 Parameter of the protocol
参数 描述
EPCs 96位的EPC码分成6段,互相异或操作形成的16位数码
1 EPC标准及相关协议
EPC global是欧洲和美国联合推出的一种面对RFID行
业的标准口1。该标准规定的标签是低成本的。计算能力有限[41,
标签无法从硬件方面实现Hash函数等常用的安全机制。
S , S一数据库存储的旧的/新的动态索引
, 数据库存储的旧的/新的接入密码
SKL
SKN
SKi
IDS
数据库存储的上一个用户的私人密钥,lag=0时有效 f
数据库存储的当前用户的私人密钥,flag=1时有效
标签存储的私人密钥
标签的动态索引
标签的接人密码
EPC ̄obal提出的标准协议[51。具有明显的安全漏洞。诸
多相关人士针对其安全方面的不足提出安全有效的双向认
证协议[61。chen等人提出一种基于EPC C1G2标准的双向认
月,z) 阅读器的皿l
证协议 。该方式在认证过程中使用CRC机制对EPC码进行
保护。但是,Chen的协议效率较低.且存在阅读器假冒等问
题。Yeh等人[81的协议里设定了一个动态索引增加数据库查
找速率。相对Chen的协议,Yeh提出的协议在工作效率方面
lfg a标志位。用于判断标签和数据库的私人密钥更新同步情况
阅读器产生的随机数
标签产生的随机数
Info(T) 标签的其他信息,存储在数据库中
有了显著的提高,但是相应的安全问题也随之而来[91。
,
数的左半边,右半边
轻量级加密函数F的函数值,m是参数
异或操作
旧的标签拥有者
新的标签拥有者
2提出的协议
提出的协议增设了动态索引IDS和私人密钥SK。文中使
用的轻量级的加密函数F可以通过PUPlo](PhysicalUnclonable
收稿日期:2011-12—04
-
F(m)
①
A
口
稿件编号:201112015
作者简介:尹平(1982一),男,四川南充人,硕士,助理工程师。研究方向:网络与信息安全。
38-
尹平.等 基于EPC标准的认证及所有权转移协议
2.1初始化阶段
初始化设置时,生产商使用Ko、IDS0和SKo这3个随机
选取的秘密值,把这些值写入标签Ki=Ko,IDS =IDSo,SK =SKo。
数据库中也存储相应的信息 =IDSn ̄=IDSo, 瑚 =Ko,
SKN=SK ̄-SKo。
2.2标签认证阶段
标签认证过程如图l所示。
后嫱数据库
阅读器
标签
EPC,,K IDSo IDS
SK,,,SK,,RID,DATA
肋
EPC,,墨,IDS ,SK。
检验mD是否一致
查找索引IDS =IDS,.。
或者I
DS,?
检验fl
IDS
ag
。
肛叩蛔帮算 Pc )a
若flag=l
・
M F幢Pc搴6xI嘲 R
蝇,蝇,M,,IDS
妁童t
,
M II ̄3,
若fJag=O
冠,RID
鸠市(田5筒;l
ML- 值Pc K 觚)0
或者
M咔(EPc郎 豫舟日)t
P-,old或Pfifnew
标签验证完成,是否需要秘密更新
图1认证过程图
Fig.1 Structure diagram of the authentication process
1)阅读器生成随机数 ,发送给标签。
2)标签收到随机数‰,随后生成随机数R 标签计算:
EPCx=EPCs( ̄SKi (1)
M1=F( ①Rr①EPCx) (2)
M2=KI④Rr (3)
M3=F(IDSf0Ki) (4)
标签把(M-, ,M3,IDS,)发送给阅读器。
3)阅读器收到数据后,把( , ,鸭,IDSi,RR,RID)发送
给后端数据库。
4)后端数据库收到后,首先检验RID是否和数据库内
的RID一致。如果一致,说明阅读器是合法的。数据库通过动
态索引IDSI来查找对应的K和EPCs。数据库的索引值存在
IDS ̄= 或者IDS DS 两种情况。数据库根据动态索引
IDSe找到相应的EPCs和接入密码Kv(P=-old或者P=new)。
数据库找到EPCs后,检查其标志位 。如果 qg=1,说
明后端数据库和标签的私人密钥更新情况一致,即SKN=SKi。
数据库用SKN对标签进行验证。如果flo ̄o=o,数据库分别用
SKN和SKL对标签进行验证:
M,=F(EPCsO R 0 ④Ke)0 (5)
或者MI=F(EPCsGSKLGRrOM2( ̄Ke)① (6)
如果上述两个等式都不成立,说明标签是非法的.进行
错误处理。如果flag=O时,等式(5)成立,说明后端数据库未
收到标签私人密钥更新成功的通知,数据库把flag置1:如果
等式(6)成立,说明后端数据库与标签的私人密钥更新不一
致 保持不变。上述两个等式任一成立,后端数据库对标
签的验证通过。后端数据库把标签相应的其他信息Info(T)发
送给阅读器。如果不进行秘密更新,认证协议执行完毕.否则
转到秘密更新阶段。
2.3秘密更新阶段
秘密更新阶段如图2所示。
后端数据库
脬 ,K ^0f1)S, ,IDS. 阅读器 标签
肋 EPC ,K.,IDS.,SK.
SK,,.S ̄O.OArA舰
检验尬 S傩 先计算
/
K.。 《.K 皈.J s
再验证
(s砰_ )q c魁_
=
DS_国s—P( ,R/D
}P.0ld IDS.。_F ) M
,
叩 £ )
Rl
SK
D RlD.flag,=0 M
.,
M
'
 ̄
SK'sK 一
^
,
M
r K
如果相等
(K)lOS (R期 )
F K Pc 隧搴EPc孽 瓤
M IF
【口℃孽
CSK, ̄
B(
at
R }
Q
l)) 一帆 一眠
帆叩锄 .K
.
魄 ll
f Lag ̄L
否则
Jlf II
否则fI敞墨0
图2秘密更新过程图
Fig.2 Structure diagram of the secret update
1)旧的标签所有者A为了保护个人隐私,设定一个新
的私人密码(SK 和临时身份标识RIDa)来代替以前的密码和
身份标识。A使用阅读器通过安全通道把(SK , )发送给
后端服务器。
2)后端服务器收到(SK ,RIDA)后,首先检查:
M3=F(IDSp0Ke) (7)
如果等式(7)成立,说明动态索引值无误。后端数据库对
接人密码和动态索引进行如下更新:
如果P ̄new,磊 =K一,K一=F( );,D5old= S一,IDS ̄=
F(RRORr)。
如果P=-old, F(RR①Rr)。
然后,后端数据库对身份标识、私人密钥及标志位进行
更新:
RID=RIDa;SK ̄SK ,SKL=SKN;flag=O。
接着,数据库计算:
M4=F(SKL( ̄EPCs)0SK ̄EPCs@)Rr (8)
M ̄=F(SKN0E ①SKL) (9)
后端数据库把(慨, )发送给阅读器。
3)阅读器把(尬,慨)发送给标签。
4)标签接收到后,先计算:
Ⅳ=F(S ④EPCs)①EPCs ̄Rr①慨 (10)
然后验证:
慨:F(SKⅣ ̄EPCs0SKf) (11)
如果等式(11)成立,标签进行秘密更新:
Kul=F(Ki);IDS“l=F(R ④Rr);5 1=SKs。
标签计算:
M6=F(EPCs ̄)5|K 1①(R lIR )) (12)
如果等式(11)不成立,标签不进行更新操作,并且计算:
肘6=F( 0S ①(R 0R产)) (13)
不论是否进行秘密更新,标签都把眠发送给阅读器。
5)阅读器收到后,把眠发送给后端数据库。
6)后端数据库收到眠后,检验眠=F(EPCs①SKi+l0
(R ))是否成立。如果成立,把 置1,否则不变。
-
39-
《电子设计工程}2012年第2期
2.4所有权转移阶段
旧的用户 为了保护自己隐私和信息安全,通过标签认
证和秘密更新将私人密钥SKi和身份标识RID更改为SK 和
RIDA。双方可以使用对称密码的数字签名协议『ll】。
公征帆构AS
S )
船用户^ 渐用户B
图3所有权转移过程图
Fig.3 Structure diagram of the ownership transfer
1) 和曰在公证机构AS处协商得到共享密钥 ,A在
公证机构AS存储私人密钥 。A用 制作数字签名SG =
%(SK ,RIDa,Info( )),然后得到 (IDA,JsG ,IDn)。A把
该消息发送给AS。
2)AS收到%(IDA,SG ,IDn),用 解密该消息,得到
IDA、IDs和SG ,确认消息来自A。AS用 加密得到EKc
(SK ,R∞ ,Info(T),IDA,SG ),并把该消息发送给B。
3)曰收到后,用&解密该消息,得到 ,RIDA,Info(T),
IDA,SGKA。新用户曰不知道 ,无法解密和修改.sG 。B把
SG 保存。如果A抵赖,曰可以出示( ,RIDA,ln/b( ,SG )。
4)B获得标签所有相关信息后。应立即修改密钥和身份
标识以防止旧的用户继续控制标签或者获取一些新用户的
相关信息。曰先利用A的临时身份标识RIDA在认证阶段验
证标签的合法性,在秘密更新阶段使用新的私人密钥SK 和
其阅读器的标识RID 来更新标签和数据库内的信息,以此
来完全控制标签。所有权转移后,B完全拥有了对标签的控
制权,而A无法对标签进行读写及其他操作。
3协议的安全性能分析
1)标签假冒攻击者冒充标签进行认证,后端数据库在
检验动态索引IDSi时就能检验出该标签是非法的。
2)离线字典攻击为避免攻击者进行离线字典攻击,认
证过程使用多个密钥和随机数进行数据处理。攻击者很难使
用离线字典序方式获取真实的数据。
3)前向安全性认证过程中,标签和阅读器分别生成随
机数,保证了数据的匿名通信。攻击者无法从截获或偷听到
的数据中得出标签的真实信息,因此保证了数据的前向安
全性。
4)克隆攻击 在认证过程中,攻击者无法完全得知标签
的信息,进行标签克隆。
5)窃听攻击 每次的认证过程,标签和阅读器都要生成
随机数。用户数据与随机数以及密钥结合之后进行传输。攻
-
40-
击者无法对标签进行窃听。
6)拒绝服务攻击 攻击者使用拒绝服务攻击来干扰系
统的通信,造成标签与后端数据库的更新不一致。导致数据
库与标签的去同步化。由于数据库保存的密钥和索引有new
和old两种,即使标签未完成密钥和索引更新,还是可以在下
一
次的认证过程中找到与之匹配的密钥和索引。
7)双向认证在改进协议中,标签、阅读器、服务器通过
严密的相互认证,保证了各组件的合法性,确保了用户数据
在认证过程中的安全。
8)所有权转移 在所有权转移后.新的用户通过认证和
秘密更新来实现对标签的完全拥有。在所有权转移过程中.
旧的拥有者制作了数字签名给新的拥有者。一旦旧的拥有者
抵赖或者反悔,新的拥有者可以以此作为证据。
9)匿名通信标签和阅读器产生伪随机数,保证了信道
里的信息是匿名的。
10)授权访问 改进协议使用RID对阅读器的身份进
行标识。后端数据库在认证开始时要对阅读器进行身份标识
信息检查,只有合法的阅读器所传输的数据才能通过检测。
表2协议的安全 E较
Tab.2 Comparisons of protocol security
注: 0满足△部分满足×不满足
由表2可见,Chen的协议无法抵御假冒攻击,无法实现数
据的前向安全性和后向安全。Yeh的协议无法避免离线字典攻
击方式,还面临假冒攻击方式和去同步化的风险。提出协议具
有较好的安全性能,可以防范多种攻击方式。通过授权访问方
式避免了阅读器和标签假冒。通过使用随机数保证了数据的
匿名通信和前向安全性。后端数据库里存储的两套密钥保证
了数据库与标签的同步。标签认证和秘密更新后,新旧用户通
过所有权转移过程实现了数据的后向安全。综上,提出的协议
拥有良好的安全性能。可以满足用户的安全需求。
4协议的性能分析
RFID认证协议的性能主要通过存储空间、硬件成本、计
算量和认证步骤等方面体现。为便于分析各协议,文中涉及
的协议中的E 、密钥、伪随机数等长度都用 表示。函数的
输出长度也为 。
尹平.等 基于EPC标准的认证及所有权转移协议
表3协议的性能比较
Tab.3 Comparisons of protocol performance
协议通过较低的硬件成本安全高效的实现相互认证、授权访
问、所有权转移等实用性要求,并且防范避免了多种常见的
攻击方式,对RFID研究与应用有一定的意义。
参考文献:
[1]Yang M H.Lightweight authentication protocol for mobile RFID
networks[J】.International Journal of Security and Networks,
2010,5(1):53—62.
【2]Ayoade J.Security implications in RFID and authentication
processing framework[J].Computer&Security,2006,25(3):
207—212.
【3】Shunzo Tateishi.EPC and Applications of RFID[J].Presentation
Solution.2006(3):28—37.
注:rt:标签数目L:单位存储长度×:不需要
【4】刘亚东.基-t-EPC C1G2 ̄匿名双向认证协议研究【J】.通信
技术,201 1,4(44):135—137.
LIU Ya-dong.Research of anonymous mutual authentication
存储空间方面:协议的存储空间要求主要是针对电子标
签而言。表中的3种协议都是基于EPC标准的。因此,电子标
签都是低成本、易实现的。
计算量方面:Chen的协议中,后端数据库在认证过程中
需要进行逐一比对来查找相应的EPC码,查找效率较低。
Yeh的协议中,如果标签是首次验证。后端数据库要对索引
分new和old两种情况,然后逐一计算来查找EPC码,影响
系统的工作效率。提出的协议使用动态索引来查找EPC码。
后端数据库验证标签时.通过索引就可以直接找到相应的
protocol based on EPC C1G2[J].Communication Technology,
201 l,4(44):135—137.
[5】Pedro Peris-Lopez,Julio Cesar Hernandez-Castro,et LAMEDA
PRNG for EPC Class-1 Generation-2 RFID specification[J].
Computer Standa耐S&Interfaces,2009(31):88—97.
[6]Dixit V,Verma H K,Singh A K.Compairson of various
security protocols in RFID[J].International Journal of Computer
Applications,201 l,24(7):17—21.
EPC码和接入密钥用于验证。提高了系统的认证效率,标签
数目越多优势越明显。
认证步骤方面:Chen的协议和Yeh的协议通过5个步
[7】Chien H Y,Chen C H.Mutual authentication protocol for
RFID conforming to EPC class l generation 2 standards[J].
Computer Standards and Interfaces,2007(29):254—259.
骤完成了标签和阅读器的相互认证和秘密更新。提出的协议
完成相互认证和秘密更新需要1O个步骤。
【8】Yeh T C,Wang Y J,Kuo T C,et a1.Securing RFID systems
综上。提出的协议在存储、硬件成本和其他两种协议相
差不大;在计算量方面略优于其他两种协议;认证步骤则多
于其他两种协议。由于提出的协议完成了相互认证、秘密更
新和所有权转移3个阶段.并且安全性能优于其他两种协
议,所以该协议的综合性能优于其他两种协议。
conforming to EPC Class 1 Generation 2 standard[J】.Expe ̄
Systems with Applications,2010(37):7678-7683.
[9】Habibi M H,Alagheband M R.Attacks on a Lightweight
Mutual Au山entication Protocol under EPC C—l G-2 Standard
[C]//WISTP,LNCS 6633,201 1:254-263.
5结 论
EPC标准是当下影响较大的标准.受到越来越多的国家
和企业重视。在未来的物联网研究中.信息安全问题也将日
益凸显。文中分析了现有的几种协议存在的安全问题,结合
EPC标准,提出一种符合该标准的安全的双向认证协议。该
(上接第37页)
Veriifcation,and Testing[M].U.S.A.Florida:CRC Press,2006.
【10]Suh G E,Devadas S.Physically Unclonable Functions for
Device Authentication and Secret Key Generation[C]//Procee-
dings of the 44th Annual Design Automation Conference,New
York:ACM Press.2007:9—14.
【ll】卢开澄.计算机密码学一计算机网络中的数据保留与安全
【M].3版.北京:清华大学出版社,20o3.
【6】侯伯亨,刘凯,顾新.VHDL硬件描述语言与数字逻辑电路
设计【M】.3版.西安:西安电子科技大学出版社,2009.
【7】刘爱荣,王振成,曹瑞,等.EDA技术与CPLD/FPGA开发应
用简明教程【M】.北京:清华大学出版社,2oo7.
[5】HU Hao—ran,WU Jia-ni,ZHANG Fei.Hardware design of
independent experimentla platform based Oil FPGA[Cl//
Proceeding of 2010 Second International Conference on
Communication Systems,Networks and Applications.Hubei:
【8】刘江海,涂传威,郭松梅,等.EDA技术【M】.武汉:华中科技
大学出版社.2009.
Is.n.】,2010:44-47.
-
41—.
2024年8月26日发(作者:靖光济)
第20卷
第2期
Vol_20 No.2
电子设计工程
Electronic Design Engineering
2012年1月
Jan.2012
基于EPC标准的认证及所有权转移协议
尹平 ,李群祖
(1.西北工业大学计算机学院,陕西西安710129;2.解放军93926部队新疆和田848000)
摘要:针对现有的EPC协议的弱点,提出一种基于EPC标准的认证及所有权转移协议。该协议可以通过较低的成本
实现隐私保护、匿名通信、完整性检验、所有权转移等特点。分析发现,该协议可以有效抵御跟踪、重发、克隆、假冒、离
线字典等多种攻击方式
关键词:RFID;EPC;认证;所有权转移;协议;低成本
中图分类号:TN918.05 文献标识码:A 文章编号:1674—6236(2012)02—0038—04
Authentication and ownership transfer protocol based on EPC standard
YIN Ping 。LI Qun—ZU
(1.School ofComputer Technology,Northwestern Polytechnical University,Xi’an 710129,China;
2.PLA 93926 Unit,Hetian 848000,China)
Abstract:According to the weakness ofpresent EPC protocols,a protocol based on EPC standard is proposed.Privacy protection,
anonymous communication,integrity checking and ownership transfer will be implemented with low cost in this protoco1.
Analysis shows that the proposed protocol can eficifently withstand trace,replay,clone,imitation,off-line dictionary attacks.
Key words:RFID;EPC;authentication;ownership transfer;protocol;low cost
射频识别技术(Radio Frequency Identification)的基本原 Function)电路和LFSR(Linear Feedback Shift Register)电路来
理是利用空间电磁波进行通信,以达到自动识别识对象,获
取相关信息的目的。
RFID技术优点明显,可以应用于众多领域。在物联网领
域中,RFID是一项关键技术。当前,RFID安全认证协议是很
多从业人士研究重点【1-21。
实现。完整的协议流程分初始化、标签认证、秘密更新、所有
权转移4个阶段。
表1协议所用参数
Tab.1 Parameter of the protocol
参数 描述
EPCs 96位的EPC码分成6段,互相异或操作形成的16位数码
1 EPC标准及相关协议
EPC global是欧洲和美国联合推出的一种面对RFID行
业的标准口1。该标准规定的标签是低成本的。计算能力有限[41,
标签无法从硬件方面实现Hash函数等常用的安全机制。
S , S一数据库存储的旧的/新的动态索引
, 数据库存储的旧的/新的接入密码
SKL
SKN
SKi
IDS
数据库存储的上一个用户的私人密钥,lag=0时有效 f
数据库存储的当前用户的私人密钥,flag=1时有效
标签存储的私人密钥
标签的动态索引
标签的接人密码
EPC ̄obal提出的标准协议[51。具有明显的安全漏洞。诸
多相关人士针对其安全方面的不足提出安全有效的双向认
证协议[61。chen等人提出一种基于EPC C1G2标准的双向认
月,z) 阅读器的皿l
证协议 。该方式在认证过程中使用CRC机制对EPC码进行
保护。但是,Chen的协议效率较低.且存在阅读器假冒等问
题。Yeh等人[81的协议里设定了一个动态索引增加数据库查
找速率。相对Chen的协议,Yeh提出的协议在工作效率方面
lfg a标志位。用于判断标签和数据库的私人密钥更新同步情况
阅读器产生的随机数
标签产生的随机数
Info(T) 标签的其他信息,存储在数据库中
有了显著的提高,但是相应的安全问题也随之而来[91。
,
数的左半边,右半边
轻量级加密函数F的函数值,m是参数
异或操作
旧的标签拥有者
新的标签拥有者
2提出的协议
提出的协议增设了动态索引IDS和私人密钥SK。文中使
用的轻量级的加密函数F可以通过PUPlo](PhysicalUnclonable
收稿日期:2011-12—04
-
F(m)
①
A
口
稿件编号:201112015
作者简介:尹平(1982一),男,四川南充人,硕士,助理工程师。研究方向:网络与信息安全。
38-
尹平.等 基于EPC标准的认证及所有权转移协议
2.1初始化阶段
初始化设置时,生产商使用Ko、IDS0和SKo这3个随机
选取的秘密值,把这些值写入标签Ki=Ko,IDS =IDSo,SK =SKo。
数据库中也存储相应的信息 =IDSn ̄=IDSo, 瑚 =Ko,
SKN=SK ̄-SKo。
2.2标签认证阶段
标签认证过程如图l所示。
后嫱数据库
阅读器
标签
EPC,,K IDSo IDS
SK,,,SK,,RID,DATA
肋
EPC,,墨,IDS ,SK。
检验mD是否一致
查找索引IDS =IDS,.。
或者I
DS,?
检验fl
IDS
ag
。
肛叩蛔帮算 Pc )a
若flag=l
・
M F幢Pc搴6xI嘲 R
蝇,蝇,M,,IDS
妁童t
,
M II ̄3,
若fJag=O
冠,RID
鸠市(田5筒;l
ML- 值Pc K 觚)0
或者
M咔(EPc郎 豫舟日)t
P-,old或Pfifnew
标签验证完成,是否需要秘密更新
图1认证过程图
Fig.1 Structure diagram of the authentication process
1)阅读器生成随机数 ,发送给标签。
2)标签收到随机数‰,随后生成随机数R 标签计算:
EPCx=EPCs( ̄SKi (1)
M1=F( ①Rr①EPCx) (2)
M2=KI④Rr (3)
M3=F(IDSf0Ki) (4)
标签把(M-, ,M3,IDS,)发送给阅读器。
3)阅读器收到数据后,把( , ,鸭,IDSi,RR,RID)发送
给后端数据库。
4)后端数据库收到后,首先检验RID是否和数据库内
的RID一致。如果一致,说明阅读器是合法的。数据库通过动
态索引IDSI来查找对应的K和EPCs。数据库的索引值存在
IDS ̄= 或者IDS DS 两种情况。数据库根据动态索引
IDSe找到相应的EPCs和接入密码Kv(P=-old或者P=new)。
数据库找到EPCs后,检查其标志位 。如果 qg=1,说
明后端数据库和标签的私人密钥更新情况一致,即SKN=SKi。
数据库用SKN对标签进行验证。如果flo ̄o=o,数据库分别用
SKN和SKL对标签进行验证:
M,=F(EPCsO R 0 ④Ke)0 (5)
或者MI=F(EPCsGSKLGRrOM2( ̄Ke)① (6)
如果上述两个等式都不成立,说明标签是非法的.进行
错误处理。如果flag=O时,等式(5)成立,说明后端数据库未
收到标签私人密钥更新成功的通知,数据库把flag置1:如果
等式(6)成立,说明后端数据库与标签的私人密钥更新不一
致 保持不变。上述两个等式任一成立,后端数据库对标
签的验证通过。后端数据库把标签相应的其他信息Info(T)发
送给阅读器。如果不进行秘密更新,认证协议执行完毕.否则
转到秘密更新阶段。
2.3秘密更新阶段
秘密更新阶段如图2所示。
后端数据库
脬 ,K ^0f1)S, ,IDS. 阅读器 标签
肋 EPC ,K.,IDS.,SK.
SK,,.S ̄O.OArA舰
检验尬 S傩 先计算
/
K.。 《.K 皈.J s
再验证
(s砰_ )q c魁_
=
DS_国s—P( ,R/D
}P.0ld IDS.。_F ) M
,
叩 £ )
Rl
SK
D RlD.flag,=0 M
.,
M
'
 ̄
SK'sK 一
^
,
M
r K
如果相等
(K)lOS (R期 )
F K Pc 隧搴EPc孽 瓤
M IF
【口℃孽
CSK, ̄
B(
at
R }
Q
l)) 一帆 一眠
帆叩锄 .K
.
魄 ll
f Lag ̄L
否则
Jlf II
否则fI敞墨0
图2秘密更新过程图
Fig.2 Structure diagram of the secret update
1)旧的标签所有者A为了保护个人隐私,设定一个新
的私人密码(SK 和临时身份标识RIDa)来代替以前的密码和
身份标识。A使用阅读器通过安全通道把(SK , )发送给
后端服务器。
2)后端服务器收到(SK ,RIDA)后,首先检查:
M3=F(IDSp0Ke) (7)
如果等式(7)成立,说明动态索引值无误。后端数据库对
接人密码和动态索引进行如下更新:
如果P ̄new,磊 =K一,K一=F( );,D5old= S一,IDS ̄=
F(RRORr)。
如果P=-old, F(RR①Rr)。
然后,后端数据库对身份标识、私人密钥及标志位进行
更新:
RID=RIDa;SK ̄SK ,SKL=SKN;flag=O。
接着,数据库计算:
M4=F(SKL( ̄EPCs)0SK ̄EPCs@)Rr (8)
M ̄=F(SKN0E ①SKL) (9)
后端数据库把(慨, )发送给阅读器。
3)阅读器把(尬,慨)发送给标签。
4)标签接收到后,先计算:
Ⅳ=F(S ④EPCs)①EPCs ̄Rr①慨 (10)
然后验证:
慨:F(SKⅣ ̄EPCs0SKf) (11)
如果等式(11)成立,标签进行秘密更新:
Kul=F(Ki);IDS“l=F(R ④Rr);5 1=SKs。
标签计算:
M6=F(EPCs ̄)5|K 1①(R lIR )) (12)
如果等式(11)不成立,标签不进行更新操作,并且计算:
肘6=F( 0S ①(R 0R产)) (13)
不论是否进行秘密更新,标签都把眠发送给阅读器。
5)阅读器收到后,把眠发送给后端数据库。
6)后端数据库收到眠后,检验眠=F(EPCs①SKi+l0
(R ))是否成立。如果成立,把 置1,否则不变。
-
39-
《电子设计工程}2012年第2期
2.4所有权转移阶段
旧的用户 为了保护自己隐私和信息安全,通过标签认
证和秘密更新将私人密钥SKi和身份标识RID更改为SK 和
RIDA。双方可以使用对称密码的数字签名协议『ll】。
公征帆构AS
S )
船用户^ 渐用户B
图3所有权转移过程图
Fig.3 Structure diagram of the ownership transfer
1) 和曰在公证机构AS处协商得到共享密钥 ,A在
公证机构AS存储私人密钥 。A用 制作数字签名SG =
%(SK ,RIDa,Info( )),然后得到 (IDA,JsG ,IDn)。A把
该消息发送给AS。
2)AS收到%(IDA,SG ,IDn),用 解密该消息,得到
IDA、IDs和SG ,确认消息来自A。AS用 加密得到EKc
(SK ,R∞ ,Info(T),IDA,SG ),并把该消息发送给B。
3)曰收到后,用&解密该消息,得到 ,RIDA,Info(T),
IDA,SGKA。新用户曰不知道 ,无法解密和修改.sG 。B把
SG 保存。如果A抵赖,曰可以出示( ,RIDA,ln/b( ,SG )。
4)B获得标签所有相关信息后。应立即修改密钥和身份
标识以防止旧的用户继续控制标签或者获取一些新用户的
相关信息。曰先利用A的临时身份标识RIDA在认证阶段验
证标签的合法性,在秘密更新阶段使用新的私人密钥SK 和
其阅读器的标识RID 来更新标签和数据库内的信息,以此
来完全控制标签。所有权转移后,B完全拥有了对标签的控
制权,而A无法对标签进行读写及其他操作。
3协议的安全性能分析
1)标签假冒攻击者冒充标签进行认证,后端数据库在
检验动态索引IDSi时就能检验出该标签是非法的。
2)离线字典攻击为避免攻击者进行离线字典攻击,认
证过程使用多个密钥和随机数进行数据处理。攻击者很难使
用离线字典序方式获取真实的数据。
3)前向安全性认证过程中,标签和阅读器分别生成随
机数,保证了数据的匿名通信。攻击者无法从截获或偷听到
的数据中得出标签的真实信息,因此保证了数据的前向安
全性。
4)克隆攻击 在认证过程中,攻击者无法完全得知标签
的信息,进行标签克隆。
5)窃听攻击 每次的认证过程,标签和阅读器都要生成
随机数。用户数据与随机数以及密钥结合之后进行传输。攻
-
40-
击者无法对标签进行窃听。
6)拒绝服务攻击 攻击者使用拒绝服务攻击来干扰系
统的通信,造成标签与后端数据库的更新不一致。导致数据
库与标签的去同步化。由于数据库保存的密钥和索引有new
和old两种,即使标签未完成密钥和索引更新,还是可以在下
一
次的认证过程中找到与之匹配的密钥和索引。
7)双向认证在改进协议中,标签、阅读器、服务器通过
严密的相互认证,保证了各组件的合法性,确保了用户数据
在认证过程中的安全。
8)所有权转移 在所有权转移后.新的用户通过认证和
秘密更新来实现对标签的完全拥有。在所有权转移过程中.
旧的拥有者制作了数字签名给新的拥有者。一旦旧的拥有者
抵赖或者反悔,新的拥有者可以以此作为证据。
9)匿名通信标签和阅读器产生伪随机数,保证了信道
里的信息是匿名的。
10)授权访问 改进协议使用RID对阅读器的身份进
行标识。后端数据库在认证开始时要对阅读器进行身份标识
信息检查,只有合法的阅读器所传输的数据才能通过检测。
表2协议的安全 E较
Tab.2 Comparisons of protocol security
注: 0满足△部分满足×不满足
由表2可见,Chen的协议无法抵御假冒攻击,无法实现数
据的前向安全性和后向安全。Yeh的协议无法避免离线字典攻
击方式,还面临假冒攻击方式和去同步化的风险。提出协议具
有较好的安全性能,可以防范多种攻击方式。通过授权访问方
式避免了阅读器和标签假冒。通过使用随机数保证了数据的
匿名通信和前向安全性。后端数据库里存储的两套密钥保证
了数据库与标签的同步。标签认证和秘密更新后,新旧用户通
过所有权转移过程实现了数据的后向安全。综上,提出的协议
拥有良好的安全性能。可以满足用户的安全需求。
4协议的性能分析
RFID认证协议的性能主要通过存储空间、硬件成本、计
算量和认证步骤等方面体现。为便于分析各协议,文中涉及
的协议中的E 、密钥、伪随机数等长度都用 表示。函数的
输出长度也为 。
尹平.等 基于EPC标准的认证及所有权转移协议
表3协议的性能比较
Tab.3 Comparisons of protocol performance
协议通过较低的硬件成本安全高效的实现相互认证、授权访
问、所有权转移等实用性要求,并且防范避免了多种常见的
攻击方式,对RFID研究与应用有一定的意义。
参考文献:
[1]Yang M H.Lightweight authentication protocol for mobile RFID
networks[J】.International Journal of Security and Networks,
2010,5(1):53—62.
【2]Ayoade J.Security implications in RFID and authentication
processing framework[J].Computer&Security,2006,25(3):
207—212.
【3】Shunzo Tateishi.EPC and Applications of RFID[J].Presentation
Solution.2006(3):28—37.
注:rt:标签数目L:单位存储长度×:不需要
【4】刘亚东.基-t-EPC C1G2 ̄匿名双向认证协议研究【J】.通信
技术,201 1,4(44):135—137.
LIU Ya-dong.Research of anonymous mutual authentication
存储空间方面:协议的存储空间要求主要是针对电子标
签而言。表中的3种协议都是基于EPC标准的。因此,电子标
签都是低成本、易实现的。
计算量方面:Chen的协议中,后端数据库在认证过程中
需要进行逐一比对来查找相应的EPC码,查找效率较低。
Yeh的协议中,如果标签是首次验证。后端数据库要对索引
分new和old两种情况,然后逐一计算来查找EPC码,影响
系统的工作效率。提出的协议使用动态索引来查找EPC码。
后端数据库验证标签时.通过索引就可以直接找到相应的
protocol based on EPC C1G2[J].Communication Technology,
201 l,4(44):135—137.
[5】Pedro Peris-Lopez,Julio Cesar Hernandez-Castro,et LAMEDA
PRNG for EPC Class-1 Generation-2 RFID specification[J].
Computer Standa耐S&Interfaces,2009(31):88—97.
[6]Dixit V,Verma H K,Singh A K.Compairson of various
security protocols in RFID[J].International Journal of Computer
Applications,201 l,24(7):17—21.
EPC码和接入密钥用于验证。提高了系统的认证效率,标签
数目越多优势越明显。
认证步骤方面:Chen的协议和Yeh的协议通过5个步
[7】Chien H Y,Chen C H.Mutual authentication protocol for
RFID conforming to EPC class l generation 2 standards[J].
Computer Standards and Interfaces,2007(29):254—259.
骤完成了标签和阅读器的相互认证和秘密更新。提出的协议
完成相互认证和秘密更新需要1O个步骤。
【8】Yeh T C,Wang Y J,Kuo T C,et a1.Securing RFID systems
综上。提出的协议在存储、硬件成本和其他两种协议相
差不大;在计算量方面略优于其他两种协议;认证步骤则多
于其他两种协议。由于提出的协议完成了相互认证、秘密更
新和所有权转移3个阶段.并且安全性能优于其他两种协
议,所以该协议的综合性能优于其他两种协议。
conforming to EPC Class 1 Generation 2 standard[J】.Expe ̄
Systems with Applications,2010(37):7678-7683.
[9】Habibi M H,Alagheband M R.Attacks on a Lightweight
Mutual Au山entication Protocol under EPC C—l G-2 Standard
[C]//WISTP,LNCS 6633,201 1:254-263.
5结 论
EPC标准是当下影响较大的标准.受到越来越多的国家
和企业重视。在未来的物联网研究中.信息安全问题也将日
益凸显。文中分析了现有的几种协议存在的安全问题,结合
EPC标准,提出一种符合该标准的安全的双向认证协议。该
(上接第37页)
Veriifcation,and Testing[M].U.S.A.Florida:CRC Press,2006.
【10]Suh G E,Devadas S.Physically Unclonable Functions for
Device Authentication and Secret Key Generation[C]//Procee-
dings of the 44th Annual Design Automation Conference,New
York:ACM Press.2007:9—14.
【ll】卢开澄.计算机密码学一计算机网络中的数据保留与安全
【M].3版.北京:清华大学出版社,20o3.
【6】侯伯亨,刘凯,顾新.VHDL硬件描述语言与数字逻辑电路
设计【M】.3版.西安:西安电子科技大学出版社,2009.
【7】刘爱荣,王振成,曹瑞,等.EDA技术与CPLD/FPGA开发应
用简明教程【M】.北京:清华大学出版社,2oo7.
[5】HU Hao—ran,WU Jia-ni,ZHANG Fei.Hardware design of
independent experimentla platform based Oil FPGA[Cl//
Proceeding of 2010 Second International Conference on
Communication Systems,Networks and Applications.Hubei:
【8】刘江海,涂传威,郭松梅,等.EDA技术【M】.武汉:华中科技
大学出版社.2009.
Is.n.】,2010:44-47.
-
41—.