1 引 言

無線射頻識別(Radio Frequency Identification，RFID)是一種非接觸式的自動識別技術，利用它可以在遠距離、惡劣環(huán)境下對集群目標和移動目標進行快速信息采集和自動識別。因其不需要物理與視覺接觸便可以對目標對象進行識別而被看作是一項革命性的新技術。近年來，RFID在供應鏈管理、動物識別管理、礦井管理、交通管理、電子錢包、生產(chǎn)線自動控制、軍事等多領域廣泛應用。

一個完整的RFID系統(tǒng)包括數(shù)據(jù)庫服務器、閱讀器和標簽。雖然數(shù)據(jù)庫本身和閱讀器向服務器的認證也存在安全問題，但它們有足夠的能源和計算資源，可以采用傳統(tǒng)的密碼算法來確保其安全。相比之下RFID標簽的所帶來的安全性和隱私性問題顯得尤為突出。RFID標簽與閱讀器之間的通信媒體是無線電，對攻擊者和其它未授權(quán)的閱讀器是完全暴露的，因此信息的傳遞缺乏機密性。在缺乏認證的情況下，攻擊者可以采用重放合法閱讀器或標簽信號的方式來假冒，以獲得標簽或閱讀器的信任，進而獲取秘密信息。第三方可以監(jiān)聽、干擾、篡改標簽和閱讀器之間的會話，信息的完整性和可用性難以保證。攻擊者也可以通過監(jiān)聽來獲取敏感信息，并制造假標簽，或通過監(jiān)聽、查詢來跟蹤標簽和標簽攜帶者。由于人們對安全性和隱私性越來越多的關注，有人稱RFID標簽為“間諜芯片”和“跟蹤設備”，并建立組織來抵制任何RFID測試計劃。

2 解決安全性和隱私性的相關工作

由于RFID標簽尺寸和成本的限制，設計RFID系統(tǒng)安全性和隱私性解決方案是一項富有挑戰(zhàn)性的研究工作，也是關系到RFID技術能否進一步發(fā)展應用的關鍵。許多文章討論了RFID系統(tǒng)的安全性和隱私性，并提出了許多方案。根據(jù)所采取的安全機制，這些方案分為物理機制方案和加密機制方案。

2.1 物理機制方案

物理機制主要有：Kill命令機制、靜電屏蔽、阻塞法等。

“Kill命令機制”是在設計標簽時使之能夠接受一個Kill命令。帶標簽的產(chǎn)品在賣點掃描結(jié)賬后，向標簽發(fā)出該命令，使標簽自動失效。完全殺死標簽可以完美的阻止掃描和追蹤，但對于消費者來說，犧牲了RFID標簽所有售后利益，比如售后服務、智能家庭應用、產(chǎn)品交易與回收等。而且在很多情況下，標簽不能被殺死，比如圖書館、租用商店等，他們必須保證標簽能夠被再次使用。

“靜電屏蔽”是指將標簽或帶標簽的產(chǎn)品放入特制的具有靜電屏蔽功能的容器中再攜帶，使之不能與外界進行電磁耦合，也就不會被訪問到。但顯然這種方法需要一個額外的物理設備，增加了系統(tǒng)的成本。

阻塞法依靠編入標簽識別碼的可修改位來保護隱私性，這一位稱為隱私位，為0表示可以公開掃描，為1表示是私有。阻塞法依賴樹遍歷反沖突協(xié)議來起作用。除此之外，由于不可靠的RFID傳輸，可以造成阻塞的失敗。隨著閱讀器的發(fā)展，可以利用信號強度等特征來過濾阻塞信號。

2.2 加密機制方案

在目前提出的方案中采用的協(xié)議大多都是詢問／響應的協(xié)議模式，不同之處在于所采用的算法不同。主要有基于單向Hash函數(shù)和基于傳統(tǒng)加密算法兩類。

基于單向Hash函數(shù)的安全協(xié)議主要包括Hashlock協(xié)議、隨機化Hash lock協(xié)議、Hash鏈協(xié)議、基于雜湊的ID變化協(xié)議、分布式RFID詢問／響應認證協(xié)議、LCAP協(xié)議等。文獻[1，4，5]提出的協(xié)議容易受到重傳和假冒攻擊。文獻[7]提出的方案在匹配標簽ID時需要計算所有標簽ID和所交換隨機數(shù)的Hash值，對于擁有大量標簽的RFID系統(tǒng)，后端數(shù)據(jù)庫計算量太大。文獻[6，8]提出的方案用升級ID來防止重放攻擊，但存在數(shù)據(jù)庫與標簽數(shù)據(jù)不同步的隱患。

基于傳統(tǒng)的加密算法的安全協(xié)議，文獻[9]提出基于矩陣乘法的認證方案，由于標簽存儲能力的限制，矩陣階數(shù)不能太大，因此作者分析了該方案存在的弱點是不能防止野蠻密鑰攻擊。文獻[10]提出基于橢圓曲線的公鑰認證方案。文獻[11]提出的方案基于零知識證明思想。這類協(xié)議大部分在計算量和通信量上較大，適合于電能、計算能力和存儲能力限制不大的主動式RFID標簽，不適合于低成本RFID標簽。

3 零知識泄露的雙向RFID認證協(xié)議

提出一種零知識泄露的雙向RFID認證協(xié)議。對于低成本RFID標簽來說，該協(xié)議有合適的通信量和計算量，并能夠有效地保護RFID系統(tǒng)的安全性和隱私性。首先，我們給出協(xié)議的主要思想，定義協(xié)議的假設，然后給出協(xié)議的描述。

為方便和簡化協(xié)議的描述，定義：T表示標簽，R表示閱讀器，B表示后端數(shù)據(jù)庫系統(tǒng)，A表示攻擊者。

3.1 主要思想

由前面的安全性和隱私性分析可以看出，RFID安全弱點來自T和R之間不安全的無線通信接口。A可以干擾、篡改或竊聽T和R之間的通信，使T和B的數(shù)據(jù)不同步，可以對T和R實施重放攻擊，也可以在不被察覺的情況下跟蹤標簽持有者的位置和行為，并模仿合法的T或R。而基于零知識證明的身份認證機制的基本思想是：信息的擁有者可以在無需泄漏密秘信息的情況下就能夠向驗證者證明它擁有該信息。因此，基于零知識的身份認證機制很適合于RFID系統(tǒng)。

我們的協(xié)議采用在R與T之間傳送零知識認證消息(Zero-knowledge Authentication Message，ZAM)的方式，在不泄露標簽ID的情況下，實現(xiàn)R和T之間的雙向認證，并為以后的會話提供一個一次一換的隨機會話密鑰(Random Session Key，RSK)和可以作為會話序號的時間戳(Date Timestamp，DT)。

3.2 假設

我們的方案主要針對低成本標簽中可以執(zhí)行同步加密操作的一類標簽(也稱為同步密鑰標簽)，這類標簽是目前低成本標簽的主流和發(fā)展趨勢。根據(jù)Auto-ID中心的試驗數(shù)據(jù)，在設計5美分標簽時，集成電路芯片的成本不應該超過2美分，也就是說用于安全和隱私保護的門電路數(shù)量不能超過2.5k～5k個。根據(jù)文獻[12]，實現(xiàn)一個Hash函數(shù)單元只需要1.7k個門電路，實現(xiàn)一個隨機數(shù)發(fā)生器(Pseudorandom Number Generator，PRNG)也僅需要數(shù)百個門電路。因此，我們假設T有一個單向Hash函數(shù)H()，有一個隨機數(shù)發(fā)生器，有一定的存儲能力，有基本的運算能力(如XOR)。T和B有相同的單向Hash函數(shù)，并預共享一個會話密鑰(Session Key，SK)。

R和B有很大的計算機能力，因此假設R和B之間的通信信道是安全的。

3.3 協(xié)議描述

協(xié)議執(zhí)行過程如圖1所示。