一种改进的EPCGen2 标准RFID 加密方法

胡捷程，胡共由，凌 力

0 引言

射频识别（RFID）技术是20 世纪90年代兴起的一种非接触式自动识别技术，通过射频信号来自动识别目标对象并获取相关数据。 RFID 技术具有条形码所不具备的防水、防磁、耐高温、使用寿命长、读取距离大、标签数据可加密、存储数据容量大等优点，可以工作于各种恶劣环境。近年来，随着 RFID 技术成本的不断降低，该技术被广泛应用于供应链管理、动物识别管理、矿井管理、交通管理、军事物流、门禁管理、医疗和药物管理、建筑工程、食品管理、图书馆管理等实际应用领域。

RFID 革命性的无线通信方式和无可视性读写的要求，给我们带来了极大方便，也同时带来了很多安全隐私问题。针对 RFID的安全隐私问题，目前国内外开展了很多加强RFID 安全隐私保护的研究，并提出了一系列的方法，如Hash 锁、随机 Hash 锁和 Hash 链，但这些方法存在安全性不高或效率低等缺陷。

本文针对现有方法的不足，进一步对 RFID的安全隐私保护展开研究。

1 RFID 技术及其安全隐私分析

1.1 RFID 简介

基本的 RFID 系统是由 RFID 标签，RFID 阅读器及应用支撑软硬件3 部分组成，如图1所示：

图1：RFID 系统示意图

1.2 RFID 安全隐私问题

RFID的无线通信方式和无可视性读写的要求，在给我们带来了方便的同时也带来了许多安全和隐私问题。这里我们应注意安全问题和隐私问题的区别：隐私（Privacy）问题主要指RFID标签背后隐藏的用户隐私可能被非法的阅读器获取而泄露隐私信息，而安全（Security）问题则主要存在于读写器对标签的操作信道的可靠性以及标签本身的真实合法性上。普遍应用的消费级RFID 系统中可能的安全隐私问题大体有以下这些：

A.隐私问题

1)非法读取。不法分子可通过未授权的阅读器快速读取某人的随身携带物品或者某商场的商品组成，以获取隐秘信息。

2)位置跟踪。通过 RFID 标签扫描，依据标签的特定输出，可在受害者不知情的情况下对人或物品的当前位置进行跟踪定位。

B.安全问题

1)拒绝服务。人为的信号干扰使得合法阅读器不能正常阅读标签数据；

2)伪装哄骗。通过伪装成合法标签，哄骗阅读器为其提供错误的数据；

3)重放。根据窃听到的阅读器和标签间的数据通信，重复之前的通信行为从而获取数据信息。

2.现有RFID 安全隐私保护技术

自从RFID 技术开始正式投入使用以来，安全问题就是一个受高度重视的问题，随着RFID的应用越来越广泛，其安全技术也不断地被开发出来。我们要研究新的安全保护措施，较合适的方式也是从现有技术出发。现有的RFID 安全隐私保护技术主要分为两种：物理方法和逻辑加密方法。

2.1.物理方法

物理方法的提出是基于RFID 标准标签本身的功能较为简单，而使用额外的硬件设备进行保护的措施，更多的是起到隔断通信的作用。比较主流的物理方法有，让阅读器在进行合法阅读后可以利用交互命令将标签“杀死”的Kill 标签，RSA 安全公司提出的阻塞器标签，把 RFID 标签置于由金属网或金属薄片制成的容器中的电磁屏蔽等。

物理方法的原理和实施都非常简明易懂，实施后的效果也是立竿见影，非常直接。然而真的实施则需要额外的物理器件的开销，并且无法解决多个安全隐私问题，只能有针对性地解决特定的安全隐私问题，并且使用范围也限制在特定领域。由于其高成本和泛用性差的特点，并不推荐在民用领域推广。

2.2 逻辑加密方法

随着芯片技术的进步，比现有标签更加智能并可多次读写的 RFID 标签将会被广泛地应用。这就为解决 RFID 隐私与安全问题提供了更多的可能。

现有逻辑加密方法使用较多的是基于 Hash 运算的Hash-lock、随机化Hash-lock 以及Hash-Chain 算法、基于重加密的RFID 加密算法等。这里我们主要介绍Hash 类算法中的Hash-lock。

2.2.1 Hash-lock（哈希锁）及衍生算法

Sarma 等人在2003年提出了Hash-Lock 协议，如图2所示：

图2：Hash-lock 原理图

由经过Hash 运算的访问密钥，代替标签真实的ID 传输给阅读器，来防止攻击者的读取。

安全协议执行步骤：

1)标签进入阅读器的有效范围，接收到阅读器R 发出的请求命令Query。

2)标签通过反向信道发送MetaID 作为回复。

3)阅读器将MetaID 传送给后台数据库，数据库查询是否存在相等的MetaID 值，若匹配则发送相应的标签信息(key,ID)给阅读器。

4)阅读器仅将其中的key’发送给标签。标签验证key’是否等于key。

5)若key’＝key 则标签将其ID 发送给阅读器。

该协议初步的提出了用Hash 函数认证的想法， 一定程度上解决了隐私保护问题。但是可以看到认证过程中MetaID 是不变的，并且最后ID 也以明文形式传输，因此非常容易收到重传攻击和哄骗攻击，并且不具有防跟踪性。

在这个基础上，Weis 等人在2004年提出了随机Hash-Lock。此协议用标签ID 与随机数R的Hash 函数结果，使得每次传送的结果都有所不同，可起到防跟踪的作用。然而随机化Hash-lock 也有自己的问题，在查询过程中，数据库要讲所有ID信息传输给阅读器并让阅读器进行检索工作，这一步的开销是非常巨大的，并且最后的ID 依然是明文传输，所以还是无法达到真正安全。

2.2.2 重加密算法

重加密算法由RSA 实验室提出，采用公钥加密。标签可以在用户请求下通过第三方数据加密装置定期对标签数据进行重写。因采用公钥加密大量的计算负载超出了标签的能力，通常这个过程由阅读器来处理。该方案存在的最大缺陷是标签的数据必须经常重写，否则即使加密标签ID 固定的输出也将导致标签定位隐私泄露。标签数据加密装置与公钥加密将导致系统成本的增加使得大规模的应用受到限制。并且经常的重复加密操作也给实际操作带来困难。

2.2.3 逻辑加密算法总结

总体来说逻辑加密算法给了我们一个全新的思路，即通过标签和阅读器的现有资源通过逻辑运算获取安全和隐私方面的保护。但是就现有Hash 类算法与重加密算法来说，还存在几个问题，其一是无法保证安全与隐私（如ID的明文传输），第二是开销过大（如随机Hash-lock 和重加密算法），还有很大的改进空间。

3.轻量级 RFID 安全隐私保护

RFID的安全隐私问题阻碍了RFID 技术的进一步推广，引起了消费者的高度关注，加强对RFID的安全隐私保护有着极其重要的意义。

3.1.限制条件与要求

研究RFID的安全隐私问题，主要研究的是易被攻击的阅读器与标签之间的无线通信，而阅读器与后台数据库的通信虽然可能是有线的也有可能是无线信道，但是比起标签和阅读器之间的信道来其变化要少许多，而且管理与控制相对要方便，故可以认为这是一条安全可靠的有连接信道。

本文讨论的轻量级RFID 系统，是面向能够普及应用的RFID 技术，更确切地说是用于超市、图书馆及物流产业的物品管理应用。这一类应用的特点在于：若要使用RFID 技术，则需求的量较大，相应的成本也必须较低才能普及推广，而其安全性和隐私性的考量相对要求不是那么严格。实际使用的标准的安全机制要求的计算比较复杂，如SHA-1 约需12,000 个门，低成本标签上本来运算能力就有限，还要进行日常读写操作，所以根本无法实现，因此我们必须采用低成本低开销的加密方式——这也是本文提出的RFID 安全算法的前提。

虽然是轻量级RFID 安全方案，也应当有一定可靠性的认定。安全的 RFID 系统应能抵御各种攻击，且考虑到较坏的情况，即使外人获得了标签内部的秘密数据，也应保证其无法追踪到跟标签有关的历史活动信息，即保证前向安全性。

3.2.EPCGen2 标准简介

作为轻量级标签中的重量级标准，EPCGen2 标准是继EPCGen1 后出现的UHF 标签的最新标准。由于EPCglobal 在欧美西方发达国家及全球的公信力，以及Gen2 标准标签的优秀性能（更长的阅读距离），EPCGen2 标准得到了广泛的应用，所以我们的设计也针对EPCGen2 标准的标签进行。

EPCGen2 于2006年7 月被ISO 通过为国际标准，标准号为ISO18000-6C。标准定义的Gen2 标签拥有以下特征：

被动式无源标签；工作在UHF 频段：800～960MHz；通信范围：2～10m；成本：<5 美分/片；

而我们更为关心的是EPCGen2的安全措施。标准中利用一个16bit的伪随机数生成器PRNG 和一个16bit的循环冗余校验码CRC为RFID协议提供基本的可靠性保证,符合该标准的标签只采用硬件复杂度较低的PRNG 和CRC,而不能采用加密函数和Hash 函数。

3.3.基于EPCGen2 标准的优化Hash-lock

基于Gen2 标签的标准以及前述的各种加密方式的启发，本文针对Hash-lock 进行了优化，使其更适应EPCGen2 标准的轻量化标签，并且有更强的安全性。

3.3.1 协议环境描述

本协议使用3 个字段：ID，MetaID，Key，其含义如下：ID：RFID 标签的唯一ID(UID)。

MetaID：在Hash-lock 中是对ID的hash 运算结果，由于Gen2 标签的运算性能，这里的MetaID 使用对ID的CRC 校验值。

Key：通过与标签ID 一一对应的方式进行发布，其实为ID的一个随机副本，用于在非安全信道传输。

这3 个字段构成了我们协议的基础，在标签和数据库端都应当保存有这3 个字段。

另外，为了对传输信息进行混淆，我们还采用了随机数R。这个随机数虽然Gen2 标签可以生成，但是考虑到开销问题，我们还是把生成随机数的工作交由阅读器完成。

3.3.2 协议过程描述

基于EPCGen2 优化的Hash-lock 协议流程如图（2）所示：（MetaID 简写为MID）

图2：优化的Hash-lock 流程图

安全协议执行步骤：

1)标签进入阅读器的有效范围，阅读器生成本次交互的唯一随机数R，并和请求Query 一起发送给标签。

2)标签通过反向信道发送C(R⊕MID)和key 作为回复。这里的C 表示CRC 校验操作，而⊕表示异或操作。通过这样一个方式，标签回复给阅读器的信息是经过加密和混淆的。

3)阅读器将C(R⊕MID)、key 和自己生成的随机数R 传送给后台数据库，数据库进行第一次认证：认证标签的合法性。查询Key 对应的MetaID 计算出的C(R⊕MID)是否和阅读器传来的相一致，如果一致，则表示标签是合法标签。

4)数据库计算C(R⊕ID)并将其发送阅读器，通过阅读器发送给标签。标签进行交互的第二步验证：验证阅读器的合法性。标签计算C(R⊕ID)是否与阅读器发送来的相一致，若一致，则表示阅读器和后台的数据库是合法的。双向认证完成。

3.3.3 协议特点分析

本协议通过双向认证的方式，提高了系统的安全性。本协议可以抵抗以下攻击：

1)伪造标签。伪造的标签无法模拟出真实合法的ID 和Key组合，并且在实际应用中攻击者也只能获取到Key 值，当数据库进行C(R⊕MID)运算结果与传输结果不符后，就可以告知阅读器停止与伪造标签的交互。

2)非法阅读器。由于阅读器和数据库的信道基本可以认为是安全的，所以非法阅读器一般进行的是通过截取标签发出的信息而进行跟踪和侵犯隐私操作。而在本协议中，在未认证数据库和阅读器之前，标签只发出了C(R⊕MID)的信息，这一信息通过随机数与MID的异或混淆后进行了单向的CRC 操作，很难进行反向破译，基本上是无法获取MID的，更不用说标签的真实ID，仅这点来说其安全性就比Hash-lock 要更上一个台阶。

3)重放攻击。通过在传输中加入阅读器产生的随机数R，可以让非法监听者无法对每次通信内容进行分析，而其重放的信息也只专属于每次交互过程，并无法在每次交互中通用，有效地防范了重放攻击。

当然，作为一个轻量级标签的加密协议，采用CRC 来代替类似MD5 或SHA-1 这样的专业Hash 算法，其冲突（不同明文对应相同数据摘要）的情况会相对较多，但是在大批量标签的情况下，CRC的成本和开销优势就体现出来了。

4.结论

本文提出的EPCGen2 标准下的Hash-lock 优化协议在Hash-lock的基础上，使用Gen2 标签所采用的CRC 校验算法作为单向函数算法，并采用一种改进的标签和达到了性能和开销的统一，能一定程度上保证安全和隐私，并能以低廉的成本得到推广。下一步工作将会是将此算法引入实际应用，获取更多实际反馈。

[1]Sun,H.M.,W.C.Ting and K.H.Wang,On the Security of Chien's Ultralightweight RFID Authentication Protocol.[j]IEEE TRANSACTIONS ON DEPENDABLE AND SECURE COMPUTING,2011.8(2):p.315-317.

[2]Hoque,M.E.,et al.,Enhancing Privacy and Security of RFID System with Serverless Authentication and Search Protocols in Pervasive Environments.[j]WIRELESS PERSONAL COMMUNICATIONS,2010.55(1):p.65-79.

[3]Yoon,E.J.and K.Y.Yoo,Two Security Problems of RFID Security [j]Method with Ownership Transfer.2008.p.68-73.

[4]Khoo,B.,P.Harris and S.A.Husain,Security Risk Analysis of RFID Technology:A RFID Tag Life Cycle Approach.2009,[C]IEEE:NEW YORK.p.371-377.

[5]Rotter,P.,A framework for assessing RFID system security and privacy risks.[j]IEEE PERVASIVE COMPUTING,2008.7(2):p.70-77.

[6]Mobahat,H.Authentication and lightweight cryptography in low cost RFID.[j]in Software Technology and Engineering (ICSTE),2010 2nd International Conference on.2010.