对ARAP协议的分析与改进
摘 要: 对匿名RFID身份认证协议(ARAP)进行深入的分析,发现其存在无法抵抗假冒攻击和阅读器功能受限等方面的缺陷,提出相应的改进方案,并对改进后的协议进行全面的安全性能分析。结果表明,改进后的ARAP协议能够抵抗假冒、拒绝服务等诸多攻击,安全性能有所增强,且协议执行的计算量明显减少,具有较高的可行性。
关键词: 无线射频识别; ARAP协议; 身份认证; 抵抗假冒攻击
中图分类号: TN915?34 文献标识码: A 文章编号: 1004?373X(2016)16?0068?03
Abstract: The anonymous RFID authentication protocol (ARAP) is analyzed, and its defects that it cannot resist counterfeiting attack and overcome limitation of reader function are found. The corresponding improvement scheme is proposed. The comprehensive analysis on security performance of the improved scheme is carried out. The result shows that the improved ARAP can resist attacks such as counterfeiting, denial of service and so on, its security performance is enhanced, and the calculated amount of the protocol implementation is significantly reduced. Therefore, the improved ARAP has high feasibility.
Keywords: RFID; ARAP protocol; identity authentication; resistance to counterfeiting attack
随着电子信息技术的发展,无线射频识别(Radio Frequency Identification,RFID)的应用日趋广泛。RFID是一种非接触式的自动识别技术,具有使用时间长、读取精度高、操作便捷等优点,被广泛地应用于工业自动化、交通控制管理、物流管理[1]和生产管理[2]等众多领域。与此相伴的是RFID系统的安全与隐私问题日益突出,比如伪造标签、非法访问和信息泄露等。身份认证是保证信息安全的关键技术之一,通过身份认证来确保标签和阅读器之间数据传输的安全性,运用软件机制增强RFID系统的安全性能。由于RFID系统中标签的存储空间和计算能力有限,难以进行复杂的数据加、解密运算,因此轻量级的RFID身份认证协议成为当前研究的热点之一。现有的轻量级RFID身份认证协议多数基于哈希函数,其中比较典型的有:哈希锁协议、随机哈希锁协议和哈希链协议等[3],这几个协议都存在无法保障用户隐私、标签容易追踪等安全隐患。对此,Shen等人提出了一种基于匿名机制的RFID身份认证协议ARAP(Anonymous RFID Authentication Protocol)[4],该协议实现了标签和阅读器的双向认证,并通过使用假名来保护用户的隐私,防止标签被攻击者跟踪。但ARAP协议也存在异或不当而被攻击者假冒的安全隐患[5?6]。本文对ARAP协议进行深入的分析,指出其存在的缺陷,提出改进的方案,并对改进后的协议进行安全性能分析。
1 ARAP协议
在ARAP协议中,为了防止身份泄露,标签使用假名防止被跟踪,为标签提供隐私性保护,实现了标签和读写器的双向认证。假名P表示标签T的身份,且协议每成功执行一次,标签T就更换假名,以防止攻击者对标签进行跟踪攻击。每个标签T都与后端数据库DB共享一个初始秘密xT ,DB能够根据T的假名P遍历出初始共享的秘密xT,实现对T的身份认证。
ARAP协议的具体认证过程如图1所示,阅读器R和标签T都拥有一个伪随机数发生器,标签可执行Hash计算和异或操作:
(1) R[→]T:R向T发送认证请求Query和随机数rR;
(2) T[→]R:T计算S=h(PxT)和M=h(rTrAP)S,并向R发送消息{rT,P,M}作为应答,其中xT是T与R互相共享的秘密;
(3) R[→]DB:R向DB发送消息{rT,rR,P,M};
(4) DB[→]R:DB收到消息后,计算S′=h(PxT)和M′=h(rTrAP)S′,验证M′与M是否相等。若相等,则通过认证,DB计算N′=h(M′S′)发送给R。否则,认证失败,协议终止。
(5) R[→]T:R收到N′后转发给T,T计算N=h(MS),验证N′与N是否相等,若相等,则R通过认证,T更新假名P,否则认证失败,协议终止。
ARAP协议使用匿名机制,能够较好地保证标签用户的真实身份、当前位置等敏感信息,实现了双向认证,且在协议的执行过程中,标签和数据库的信息同步更新,可以抵抗去同步攻击。
2 ARAP协议的缺陷分析
2.1 无法抵抗假冒攻击
从ARAP协议执行过程中可以看到rR,rT,P,M都是以明文的形式通过不安全信道传送,攻击者容易通过窃听拦截的方式获得rR,rT,P,M消息,进而可以假冒阅读器R进行攻击,具体过程如下:
(1) 攻击者A生成一个伪随机数rA,并假冒阅读器R向标签T发送认证请求Query,认证请求中包含rA。 (2) 标签T接收到认证请求Query后,生成一个随机数rT,并计算S=h(PxT)和M=h(rTrAP)S,然后标签T将消息{rT,P,M}发送给攻击者A。
(3) A收到消息{rT,P,M}后,可直接计算出S=Mh(rTrAP)=h(rTrAP)Sh(rTrAP) (根据异或性质:aa=0,a0=a)。这样攻击者A可以计算出N′A = h(MS),并将N′发送给T。
(4) 标签T收到N′后,计算 N=h(MS),由步骤(3)可知N=N′,则标签T相信A是一个合法的阅读器,并更新假名P。
通过上述步骤可知,攻击者A通过了标签的身份认证,伪装成一个合法的阅读器,成功进行假冒攻击。
2.2 忽略了阅读器的计算和存储能力
在ARAP协议的执行过程中,阅读器只起到了在标签和后端数据库之间进行数据传递的作用,没有执行任何计算。事实上,相对于标签T,阅读器R具有相对强大的计算和存储能力。因此可以利用阅读器的计算能力,对标签传输的信息先进行第一道过滤处理,既可以防止假冒攻击,也可以减轻后端数据库的计算量。
3 对ARAP协议的改进
ARAP协议无法抵抗假冒攻击的根本原因是认证过程中对异或运算的使用不当,对此,参考分布式RFID询问?应答协议等RFID身份认证过程[7?9],对部分异或运算和验证操作进行修改,将标签用户的秘密隐藏入哈希函数中,使攻击者无法通过异或运算来假冒阅读器实施假冒攻击。针对ARAP协议执行过程中忽略阅读器的计算和存储能力这一缺陷,可以结合连续会话[10]的操作模式,将前次会话的信息缓存在阅读器中,让阅读器通过对比两次会话的内容是否相同,来对消息进行第一次过滤,以减少后端数据的计算量以及对后端数据库的重放攻击。改进后的ARAP协议如下:
首先介绍协议中使用的符号及其含义,如表1所示。
(1) Challenge:阅读器R生成一个伪随机数rR,向标签T发送Query认证请求,认证请求中包含伪随机数rR。
(2) T?R Response:T收到Query后生成一个伪随机数rT,计算S=h(PxT)和M=h(rR‖rT‖P‖S),其中xT是T和DB共享的秘密,P是标签的假名。T将消息{rT,P,M}发送给R。
(3) R?DB Response:R收到T的消息{rT,P,M}后,先根据上一次缓存的M′来判断M′与M是否相等,若M′=M,则过滤掉该标签以避免攻击者对后端服务器的重放攻击,降低后端服务器的计算负载。若M′≠M,则R将{rR,rT,P,M}发送给DB。
(4) DB?R Reply:DB收到R的消息后,先查找事先与标签匿名P所对应的共享秘密xT,若无记录,则认证失败。若有记录,DB计算S′=h(PxT),M′= h(rR‖rT‖P‖S′),如果M=M′,则DB信任T的合法性,认证成功,DB计算N′=h(M′‖S′),并将N′发送给R;若M≠M′,则T不是合法标签,认证失败。
(5) R?T Reply:R将消息N′发送给T,T计算N=h(M‖S),并验证N和N′是否相等,如果N=N′,则T信任R的合法性,并更新假名P,如果N≠N′,认证失败,协议终止。
4 改进后协议的安全和性能分析
4.1 改进后协议的安全性分析
在安全性分析时,依据如下三个基本假设[11]:攻击者都可以窃听并操作公共信道上的信息;攻击者若通过某种手段获得用户的智能卡,则可以得到其中存储的秘密信息;用户所采用的密码是可记忆的,其信息熵不高。现选取四种较常见的攻击对改进后的ARAP协议进行安全性分析:
(1) 抗重放攻击。重放攻击是指攻击者截取以前成功认证的消息,重新发送给目标,企图绕过认证,包括阅读器的重放攻击和标签的重放攻击。若攻击者伪装成合法阅读器,向标签发送先前监听到的协议流程中的信息N′=h(M′‖P‖xT)和N′P′。由于在协议的每次执行中所使用的随机数rR、rT和假名P都会更新,所以标签此时不会响应,攻击者无法通过重放攻击来伪装成阅读器。若攻击者伪装成一个合法标签,发送前次通信监听到的标签认证信息{rT,P,M}给阅读器,其中M=h(rR‖rT‖P‖xT)。阅读器对从标签收到的信息进行判断,若发现本次收到的消息M与上次相同,则直接过滤掉该标签。因此攻击者无法通过重放攻击来伪装成合法标签。
(2) 抗假冒攻击。在改进后的ARAP协议中,标签和后端数据库事先拥有配对参数,只有拥有共享秘密xT才能通过相互验证。且xT通过异或运算并隐藏入Hash函数中,攻击者无法获取,故改进后的协议可以有效防止假冒攻击。
(3) 抗位置跟踪攻击。改进后的ARAP协议保留了原协议匿名性的特点,每个标签都有大量的假名,且对应于协议的每一次成功执行,标签会更换假名。即使攻击者获取大量的通信数据来跟踪标签,也无法确定标签的真实身份,因此可抵抗位置跟踪攻击。
(4) 抗拒绝服务攻击。原ARAP协议在一些特殊情况下易遭受拒绝服务攻击。比如,后端数据库链接断开、阅读器断电等,将使得后端数据库无法及时更新数据,造成认证失败;攻击者通过截取某些通信数据等手段,刻意使标签和阅读器不同时更新共享的数据,造成下一次通信时双方共享的数据不相同,致使合法的标签认证失败。在改进后的ARAP协议中,后端数据库存有和标签对应的所有假名,只有标签需要更新假名,因而不存在需要双方同时更新的要求,能够全面抵抗拒绝服务攻击。如表2所示。
由表2可知,改进后的ARAP协议较好地抵抗针对RFID系统的各种攻击,且在防拒绝服务方面的性能比原协议更强。
4.2 改进后协议的性能分析
在RFID系统中,标签的存储空间和计算能力有限,认证协议在解决安全性问题的同时,也要尽可能减少标签的计算量和存储容量,以降低标签的成本。改进后的ARAP协议主要用到哈希运算、异或运算、随机数运算,是一种中量级的身份认证协议。在此对典型的RFID身份认证协议进行对比,比较各协议中标签、阅读器和后端数据库的计算量,结果如表3所示。其中,H表示Hash运算的次数,X表示异或运算的次数,R表示产生随机数的次数,N表示数据库存储的标签数量,j表示Hash链的长度。 由表2和表3可见,本文提出的ARAP协议改进方案,在安全性能进一步增强的同时,协议执行过程中的异或次数和哈希函数的使用次数都明显减少,降低了原有协议的计算量。
5 结 语
本文对ARAP协议进行了深入的分析,发现其存在的安全缺陷,对此提出了改进方案,并对改进后的协议进行了安全性能分析。结果表明,改进后的ARAP协议能够达到预期的认证目标,能够抵抗假冒、拒绝服务等诸多攻击。在安全性能有所增强的同时,协议执行的计算量明显减少,具有较高的可行性。
参考文献
[1] 郭伟男.射频识别技术理论及其在物流领域的应用研究[J].现代电子技术,2014,37(7):129?132.
[2] 周晓红,李娟娟,王晓云.基于RFID和视频人像识别技术的门禁式定员监控系统的设计[J].现代电子技术,2015,38(16):73?75.
[3] 陆桑璐,谢磊.射频识别技术:原理、协议及系统设计[M].北京:科学出版社,2014.
[4] SHEN J, CHOI D, MOH S, et al. A novel anonymous RFID authentication protocol providing strong privacy and security [C]// Proceedings of 2010 International Conference on Multimedia Information Networking and Security. [S.l. : s.n.], 2010: 584?588.
[5] 田芸,陈恭亮,李建华.针对RFID身份认证协议:ARAP协议的攻击及改进[J].中国电子科学研究院学报,2011,6(6):556?560.
[6] 李景峰,郭卫锋.对ARAP认证协议的攻击及其改进[J].武汉大学学报(理学版),2012,58(6):526?530.
[7] RHEE K, KWAK J, KIM S, WON D, et al. Challenge?response based RFID authentication protocol for distributed database environment [C]// Proceedings of the 2nd International Conference on Security in Pervasive Computing (SPC 2005). Berlin: Springer?Verlag, 2005: 70?84.
[8] 张兵,马新新,秦志光.轻量级RFID双向认证协议设计与分析[J].电子科技大学学报,2013,42(3):425?430.
[9] 王龙,彭设强.RFID多方认证协议及其安全性分析[J].计算机应用,2013,33(z2):136?138.
[10] 丁振华,李锦涛,冯波.基于Hash函数的RFID安全认证协议研究[J].计算机研究与发展,2009,46(4):583?592.
[11] WANG D, MA C G, GU D L, et al. Cryptanalysis of two dynamic ID?based remote user authentication schemes for multi?server architecture [J]. Lecture notes in computer science, 2012, 7645: 462?475.