無線網(wǎng)絡(luò)安全第8章資料

1、無線網(wǎng)絡(luò)安全（第八章）共四十八頁第八章 RFID網(wǎng)絡(luò)安全 2中國密碼(m m)學(xué)會(huì)組編共四十八頁目錄(ml)RFID網(wǎng)絡(luò)簡(jiǎn)介RFID安全的物理機(jī)制RFID安全密碼協(xié)議舉例(j l)1RFID安全密碼協(xié)議舉例2協(xié)議的安全性分析與證明3中國密碼學(xué)會(huì)組編共四十八頁RFID網(wǎng)絡(luò)(wnglu)簡(jiǎn)介 RFID系統(tǒng)的基本構(gòu)成 無線射頻識(shí)別是一種非接觸式自動(dòng)識(shí)別技術(shù)。由于成本低廉，它廣泛應(yīng)用于倉儲(chǔ)管理、追蹤、防偽、配送、過程(guchng)控制、訪問控制、自動(dòng)付費(fèi)、供應(yīng)鏈管理等領(lǐng)域。RFID系統(tǒng)一般由3部分組成：RFID標(biāo)簽（Tag）、RFID標(biāo)簽讀寫器（Reader）及后端數(shù)據(jù)庫（Back-end Data

2、base）。RFID系統(tǒng)的基本構(gòu)成如下圖所示：4中國密碼學(xué)會(huì)組編共四十八頁RFID系統(tǒng)(xtng)的基本構(gòu)成5中國密碼(m m)學(xué)會(huì)組編共四十八頁RFID網(wǎng)絡(luò)(wnglu)簡(jiǎn)介 RFID系統(tǒng)的基本構(gòu)成 標(biāo)簽 根據(jù)(gnj)標(biāo)簽的能量來源，可以將其分為三大類：被動(dòng)式標(biāo)簽、半被動(dòng)式標(biāo)簽和主動(dòng)式標(biāo)簽。被動(dòng)式標(biāo)簽內(nèi)部不帶電池，需要靠外界提供能量才能正常工作，即需要從讀寫器發(fā)出的無線電波中獲取能量。因而它能永久使用，常用于標(biāo)簽信息需要頻繁讀/寫的場(chǎng)合，而且它支持長時(shí)間數(shù)據(jù)傳輸和長期數(shù)據(jù)存儲(chǔ)。被動(dòng)式標(biāo)簽比主動(dòng)式標(biāo)簽輕便、便宜、壽命長，但它的傳送距離短且需要更高功率的讀寫器，靈敏度和定位性能受限于讀寫器，且

3、存儲(chǔ)數(shù)據(jù)的容量和抗噪聲能力有限。半被動(dòng)標(biāo)簽本身也帶有電池，但只起到對(duì)標(biāo)簽內(nèi)部數(shù)字電路供電的作用，標(biāo)簽并不通過自身能量主動(dòng)發(fā)送數(shù)據(jù)，只有當(dāng)它被讀寫器的能量場(chǎng)“激活”時(shí)，才傳送自身的數(shù)據(jù)。主動(dòng)標(biāo)簽的能量來自內(nèi)部電池，所以一個(gè)密封的主動(dòng)標(biāo)簽壽命是有限的。和被動(dòng)標(biāo)簽相比，主動(dòng)標(biāo)簽傳送距離更遠(yuǎn)、速度更快、抗噪聲更好，使用相同頻率時(shí)，數(shù)據(jù)傳輸速率更高，但體積大、價(jià)格高。6中國密碼學(xué)會(huì)組編共四十八頁被動(dòng)式、半被動(dòng)式、主動(dòng)式標(biāo)簽(bioqin)被動(dòng)式標(biāo)簽半被動(dòng)式標(biāo)簽主動(dòng)式標(biāo)簽?zāi)芰縼碓幢粍?dòng)式內(nèi)部電池內(nèi)部電池發(fā)送器被動(dòng)被動(dòng)主動(dòng)最大距離10m100m1000m7中國(zhn u)密碼學(xué)會(huì)組編共四十八頁RFID網(wǎng)絡(luò)(

4、wnglu)簡(jiǎn)介 RFID系統(tǒng)的基本構(gòu)成 標(biāo)簽 根據(jù)射頻標(biāo)簽內(nèi)部使用的存儲(chǔ)器類型的不同可分為3種：可讀寫標(biāo)簽、一次寫入多次讀出標(biāo)簽和只讀標(biāo)簽。RW標(biāo)簽一般比WORM標(biāo)簽和RO標(biāo)簽貴得多，如信用卡等。WORM標(biāo)簽是用戶可以一次性寫入的標(biāo)簽，寫入后數(shù)據(jù)不能改變(gibin)，WORM標(biāo)簽比RW標(biāo)簽要便宜。RO標(biāo)簽存有一個(gè)唯一的號(hào)碼ID，不能修改，但最便宜。8中國密碼學(xué)會(huì)組編共四十八頁RFID網(wǎng)絡(luò)(wnglu)簡(jiǎn)介 RFID系統(tǒng)的基本構(gòu)成 讀寫器讀寫器實(shí)際上是一個(gè)帶有天線的無線發(fā)射與接收設(shè)備，它的處理能力、存儲(chǔ)空間都比較大。讀寫器分為手持和固定兩種。RFID標(biāo)簽(bioqin)是非接觸的，借助讀寫器

5、來實(shí)現(xiàn)數(shù)據(jù)的讀/寫功能，對(duì)RFID標(biāo)簽寫入信息或者讀取標(biāo)簽所攜帶的數(shù)據(jù)信息。讀寫器到標(biāo)簽之間的信道叫做前向信道，而標(biāo)簽到讀寫器之間的信道叫做反向信道。由于讀寫器與標(biāo)簽的無線功率差別很大，前向信道的通信范圍遠(yuǎn)大于反向信道的通信范圍。9中國密碼學(xué)會(huì)組編共四十八頁RFID網(wǎng)絡(luò)(wnglu)簡(jiǎn)介 RFID系統(tǒng)的基本構(gòu)成 后端數(shù)據(jù)庫后端數(shù)據(jù)庫是一個(gè)數(shù)據(jù)庫系統(tǒng)，通常假設(shè)其計(jì)算和存儲(chǔ)能力強(qiáng)大，并包含所有標(biāo)簽的信息(xnx)。通常假設(shè)標(biāo)簽和讀寫器之間的通信信道是不安全的，而讀寫器和后端數(shù)據(jù)庫之間的通信信道則是安全的。RFID的基本工作原理如下：讀寫器發(fā)射電磁波，而此電磁波有其輻射范圍，當(dāng)標(biāo)簽進(jìn)入此電磁波輻射范

6、圍內(nèi)，標(biāo)簽將讀寫器所發(fā)射的微小電磁波能量存儲(chǔ)起來，并轉(zhuǎn)換成電路所需的電能，并且將存儲(chǔ)的標(biāo)識(shí)信息以電磁波的方式傳送給讀寫器。標(biāo)簽和讀寫器之間的通信距離受到多個(gè)參數(shù)的影響。10中國密碼學(xué)會(huì)組編共四十八頁RFID網(wǎng)絡(luò)(wnglu)簡(jiǎn)介 RFID系統(tǒng)的安全需求 安全問題簡(jiǎn)單而言，RFID的安全問題包括隱私問題和認(rèn)證問題。隱私問題是由讀寫器讀標(biāo)簽時(shí)無須認(rèn)證引起的，包括信息泄露問題和追蹤問題；認(rèn)證問題是由標(biāo)簽被讀取時(shí)無須認(rèn)證引起的，包括標(biāo)簽克隆、篡改標(biāo)簽數(shù)據(jù)等。廣義的RFID系統(tǒng)的隱私保護(hù)包括兩點(diǎn)：一是標(biāo)簽和讀寫器之間的隱私保護(hù)；另一種是服務(wù)器中的信息隱私保護(hù)，它所關(guān)心的是服務(wù)器所包含什么樣的信息。本小節(jié)

7、主要討論第一種情況。隱私問題中的追蹤問題是指通過標(biāo)簽的唯一標(biāo)識(shí)符可惡意地追蹤用戶的位置或者行為。例如，標(biāo)識(shí)在不同的地方的兩次出現(xiàn)，說明用戶曾經(jīng)(cngjng)到達(dá)了這兩個(gè)地方。敵手可在任何地點(diǎn)、任何時(shí)間追蹤識(shí)別某個(gè)固定標(biāo)簽，從而侵犯了用戶隱私。隱私問題可通過對(duì)讀寫器的認(rèn)證來解決。認(rèn)證問題可通過對(duì)標(biāo)簽的認(rèn)證來解決。因此，讀寫器和標(biāo)簽之間的雙向認(rèn)證是RFID系統(tǒng)的主要安全需求。11中國密碼學(xué)會(huì)組編共四十八頁RFID網(wǎng)絡(luò)(wnglu)簡(jiǎn)介 RFID系統(tǒng)的安全需求 安全威脅非法(fif)讀?。悍欠?fif)者通過未授權(quán)的讀寫器讀取標(biāo)簽中的數(shù)據(jù)信息。竊聽：標(biāo)簽和讀寫器之間的數(shù)據(jù)傳輸容易受到竊聽攻擊。無前

8、向安全性：攻擊者在此次通信中截取到了標(biāo)簽的輸出，然后通過某種推算可以得出標(biāo)簽以前所發(fā)送的信息。反過來說，如果攻擊者不能推算前面發(fā)出的信息，則稱為前向安全性。位置跟蹤：非法者通過標(biāo)簽發(fā)出的固定消息來定位標(biāo)簽的位置以達(dá)到跟蹤的目的。12中國密碼學(xué)會(huì)組編共四十八頁RFID網(wǎng)絡(luò)(wnglu)簡(jiǎn)介 RFID系統(tǒng)的安全需求 安全威脅偽裝：非法者截取到標(biāo)簽信息后，把真實(shí)標(biāo)簽信息復(fù)制到自己假冒的標(biāo)簽中。當(dāng)讀寫器發(fā)送認(rèn)證消息給標(biāo)簽時(shí)，非法者把自己復(fù)制的標(biāo)簽信息發(fā)給讀寫器，以偽裝成合法標(biāo)簽通過讀寫器的認(rèn)證。重放：當(dāng)讀寫器發(fā)出認(rèn)證信息時(shí)，攻擊者截取了標(biāo)簽發(fā)出的響應(yīng)信息。當(dāng)下一次讀寫器發(fā)出認(rèn)證請(qǐng)求時(shí)，攻擊者把截取到的

9、信息發(fā)送給讀寫器，從而(cng r)通過讀寫器對(duì)它的認(rèn)證。拒絕服務(wù)攻擊：許多基于挑戰(zhàn)應(yīng)答方式的協(xié)議都要求每次對(duì)標(biāo)簽進(jìn)行訪問時(shí)，標(biāo)簽都需要提供額外的存儲(chǔ)器來存儲(chǔ)要產(chǎn)生的隨機(jī)數(shù)，當(dāng)大量讀寫器向標(biāo)簽發(fā)送詢問信息時(shí)，標(biāo)簽的存儲(chǔ)器就因要存儲(chǔ)過多的隨機(jī)數(shù)而停止工作。13中國密碼學(xué)會(huì)組編共四十八頁RFID網(wǎng)絡(luò)(wnglu)簡(jiǎn)介 RFID系統(tǒng)的安全需求 安全方案設(shè)計(jì)時(shí)的考慮因素基本標(biāo)簽：不能執(zhí)行加密操作，但可執(zhí)行XOR操作和簡(jiǎn)單(jindn)的邏輯控制的標(biāo)簽。對(duì)稱密碼標(biāo)簽：指能夠執(zhí)行對(duì)稱密鑰加密操作的標(biāo)簽。公鑰密碼標(biāo)簽：指能夠執(zhí)行公開密鑰加密操作的標(biāo)簽。該分類也將RFID安全協(xié)議按順序分為三類協(xié)議。實(shí)現(xiàn)第三類

10、安全協(xié)議的一般是主動(dòng)式標(biāo)簽（Active Tag），如用于集裝箱的主動(dòng)標(biāo)簽、高安全非接觸卡等。14中國密碼學(xué)會(huì)組編共四十八頁RFID安全(nqun)的物理機(jī)制 RFID系統(tǒng)的安全需求 實(shí)現(xiàn)RFID安全性機(jī)制所采用的方法主要有三大類：物理方法、密碼機(jī)制，以及二者相結(jié)合的方法。 物理方法來保護(hù)RFID標(biāo)簽安全性的方法主要有如下幾類：Kill命令機(jī)制、休眠機(jī)制、阻塞機(jī)制、靜電屏蔽、主動(dòng)干擾等方法。物理方法通常用于一些低成本的標(biāo)簽中，因?yàn)檫@些(zhxi)標(biāo)簽難以采用復(fù)雜的密碼機(jī)制來實(shí)現(xiàn)與標(biāo)簽讀寫器之間的安全通信。 15中國密碼學(xué)會(huì)組編共四十八頁RFID安全(nqun)的物理機(jī)制 RFID系統(tǒng)的安全需求

11、 Kill命令機(jī)制：由標(biāo)準(zhǔn)化組織Auto-ID Center提出的Kill命令機(jī)制是解決信息泄露的一個(gè)最簡(jiǎn)單的方法。即從物理上毀壞標(biāo)簽(bioqin)，一旦對(duì)標(biāo)簽(bioqin)實(shí)施了Kill毀壞命令，標(biāo)簽便不能再次使用。例如，超市結(jié)賬時(shí)可禁用附著在商品上的標(biāo)簽。但是，如果RFID標(biāo)簽用于標(biāo)識(shí)圖書館中的書籍，當(dāng)書籍離開圖書館后，這些標(biāo)簽是不能被禁用的，這是因?yàn)楫?dāng)書籍歸還后還需要使用相同的標(biāo)簽再次標(biāo)識(shí)書籍。 16中國密碼學(xué)會(huì)組編共四十八頁RFID安全的物理(wl)機(jī)制 RFID系統(tǒng)的安全需求 休眠機(jī)制：讓標(biāo)簽處于睡眠狀態(tài)，而不是禁用，以后可使用喚醒口令將其喚醒。困難在于喚醒口令需要和標(biāo)簽相關(guān)聯(lián)，

12、于是這就需要一個(gè)口令管理系統(tǒng)。但是，當(dāng)標(biāo)簽處于睡眠狀態(tài)時(shí)，不可能直接使用空中接口將特定的標(biāo)簽和特定的喚醒口令相關(guān)聯(lián)。因此(ync)需要另一種識(shí)別技術(shù)，例如條形碼，以標(biāo)識(shí)用于喚醒的標(biāo)簽，這顯然是不理想的。17中國密碼學(xué)會(huì)組編共四十八頁RFID安全的物理(wl)機(jī)制 RFID系統(tǒng)的安全需求 阻塞機(jī)制：隱私比特“0”表示標(biāo)簽接受無限制的公共掃描(somio)；隱私比特“1”表示標(biāo)簽是私有的。當(dāng)商品生產(chǎn)出來，并在購買之前，即在倉庫、運(yùn)輸汽車、存儲(chǔ)貨價(jià)的時(shí)候，標(biāo)簽的隱私比特置為“0”。換句話說，任何讀寫器都可掃描它們。當(dāng)消費(fèi)者購買了使用RFID標(biāo)簽的商品時(shí)，銷售終端設(shè)備將隱私比特設(shè)置為“1”。18中國密

13、碼學(xué)會(huì)組編共四十八頁RFID安全(nqun)的物理機(jī)制 RFID系統(tǒng)的安全需求 法拉第網(wǎng)罩：也稱為靜電屏蔽法。由于無線電波可被傳導(dǎo)材料做成的電容屏蔽，將貼有RFID標(biāo)簽的商品放入由金屬網(wǎng)罩或金屬箔片組成的容器中，從而阻止標(biāo)簽和讀寫器通信。由于每件商品都需使用一個(gè)網(wǎng)罩，提高了成本。主動(dòng)干擾：標(biāo)簽用戶通過一個(gè)設(shè)備主動(dòng)廣播無線電信號(hào)用于阻止或破壞附近的RFID讀寫器操作。但該方法可能干擾附近其他合法RFID系統(tǒng)，甚至(shnzh)阻塞附近其他無線電信號(hào)系統(tǒng)。19中國密碼學(xué)會(huì)組編共四十八頁RFID安全(nqun)密碼協(xié)議舉例1 Hash鎖協(xié)議 標(biāo)簽的鎖定過程如下：讀寫器選定一個(gè)隨機(jī)密鑰key，并計(jì)算m

14、etaID=H(key)。讀寫器寫metaID到標(biāo)簽。標(biāo)簽進(jìn)入(jnr)鎖定狀態(tài)。讀寫器以metaID為索引，將(metaID，key，ID)存儲(chǔ)到本地后端數(shù)據(jù)庫。20中國密碼學(xué)會(huì)組編共四十八頁RFID安全密碼(m m)協(xié)議舉例1 Hash鎖協(xié)議 Hash-Lock協(xié)議的執(zhí)行過程(guchng) 讀寫器向標(biāo)簽發(fā)送認(rèn)證請(qǐng)求，用“Query”表示，即向標(biāo)簽發(fā)出問詢其標(biāo)識(shí)的請(qǐng)求。將metaID發(fā)送給讀寫器。讀寫器將metaID轉(zhuǎn)發(fā)給后端數(shù)據(jù)庫。后端數(shù)據(jù)庫查詢自己的數(shù)據(jù)庫，如果找到與metaID匹配的項(xiàng)，則將該項(xiàng)的（key，ID）發(fā)送給讀寫器，其中ID為待認(rèn)證標(biāo)簽的標(biāo)識(shí)；否則，返回給讀寫器認(rèn)證失敗信息

15、。讀寫器將從后端數(shù)據(jù)庫接收的部分信息key發(fā)送給標(biāo)簽。標(biāo)簽驗(yàn)證metaID=H(key)是否成立，如果成立，則將其ID發(fā)送給讀寫器。讀寫器比較從標(biāo)簽接收到的ID是否與后端數(shù)據(jù)庫發(fā)送過來的ID一致，若一致，則對(duì)標(biāo)簽的認(rèn)證通過；否則認(rèn)證失敗。21中國密碼學(xué)會(huì)組編共四十八頁 Hash-Lock協(xié)議(xiy)22中國(zhn u)密碼學(xué)會(huì)組編共四十八頁RFID安全密碼(m m)協(xié)議舉例1 隨機(jī)化Hash鎖協(xié)議 隨機(jī)化Hash鎖協(xié)議的執(zhí)行過程如下：讀寫器向標(biāo)簽發(fā)送認(rèn)證請(qǐng)求“Query”。生成(shn chn)一個(gè)隨機(jī)數(shù)R，計(jì)算H(IDk|R)，其中IDk為標(biāo)簽的標(biāo)識(shí)。標(biāo)簽將（R, H(IDk|R)）發(fā)送

16、給讀寫器。讀寫器向后端數(shù)據(jù)庫請(qǐng)求獲得所有標(biāo)簽的標(biāo)識(shí)。后端數(shù)據(jù)庫將自己數(shù)據(jù)庫中的所有標(biāo)簽的標(biāo)識(shí)（ID1, ID2, IDn）發(fā)送給讀寫器。讀寫器檢查是否有某個(gè)IDj (1jn)，使得H (IDj|R)成立；如果有，則對(duì)標(biāo)簽的認(rèn)證通過，并且把IDj發(fā)送給標(biāo)簽。標(biāo)簽驗(yàn)證。IDj與IDk是否相同，如相同，則對(duì)讀寫器的認(rèn)證通過。23中國密碼學(xué)會(huì)組編共四十八頁 隨機(jī)化Hash鎖協(xié)議(xiy)24中國(zhn u)密碼學(xué)會(huì)組編共四十八頁RFID安全密碼(m m)協(xié)議舉例1 Hash鏈協(xié)議 在系統(tǒng)運(yùn)行之前，標(biāo)簽和后端數(shù)據(jù)庫首先要共享一個(gè)(y )初始秘密值st,1，則標(biāo)簽和讀寫器之間執(zhí)行第j次Hash鏈的過程如

17、下：讀寫器向標(biāo)簽發(fā)送認(rèn)證請(qǐng)求（Query）。標(biāo)簽使用當(dāng)前的秘密值st,j計(jì)算at,j=G(st,j)，并更新其秘密值為st,j+1=H(st,j)，標(biāo)簽將at,j發(fā)送給讀寫器（G也是一個(gè)密碼學(xué)安全的hash函數(shù)）。讀寫器將at,j轉(zhuǎn)發(fā)給后端數(shù)據(jù)庫。后端數(shù)據(jù)庫系統(tǒng)針對(duì)所有的標(biāo)簽數(shù)據(jù)項(xiàng)查找并計(jì)算是否存在某個(gè)IDt(1tn)及是否存在某個(gè)j (1jm)，其中m為系統(tǒng)預(yù)先設(shè)定的最大鏈長度，使得at,j = G(Hj-1(st,1)成立。如果有，則認(rèn)證通過，并將IDt發(fā)送給標(biāo)簽；否則，認(rèn)證失敗。25中國密碼學(xué)會(huì)組編共四十八頁Hash鏈協(xié)議(xiy)26中國密碼(m m)學(xué)會(huì)組編共四十八頁RFID安全(n

18、qun)密碼協(xié)議舉例1 Good Reader協(xié)議 協(xié)議過程如下：當(dāng)讀寫器發(fā)送問詢消息給標(biāo)簽以開始認(rèn)證。標(biāo)簽產(chǎn)生一個(gè)隨機(jī)數(shù)，并把此隨機(jī)數(shù)發(fā)送給讀寫器，同時(shí)，標(biāo)簽計(jì)算(j sun)a(k)*= H(ReaderID|k)。讀寫器將接收到的隨機(jī)數(shù)發(fā)送給后臺(tái)數(shù)據(jù)庫，后臺(tái)數(shù)據(jù)庫利用k和已存有的讀寫器標(biāo)識(shí)ReaderID進(jìn)行計(jì)算：a(k)=H(ReaderID|k)。然后，數(shù)據(jù)庫將所得數(shù)據(jù)a(k)發(fā)送給讀寫器。讀寫器將接收到的a(k)發(fā)送給標(biāo)簽。標(biāo)簽通過比較先前計(jì)算過的a(k)*和接收到的a(k)是否相等來判別讀寫器的合法性。27中國密碼學(xué)會(huì)組編共四十八頁Good Reader協(xié)議(xiy)28中國(z

19、hn u)密碼學(xué)會(huì)組編共四十八頁RFID安全密碼(m m)協(xié)議舉例2 David數(shù)字圖書館協(xié)議 系統(tǒng)(xtng)運(yùn)行之前，后端數(shù)據(jù)庫和每一個(gè)標(biāo)簽之間需要預(yù)先共享一個(gè)秘密值s，該協(xié)議的執(zhí)行過程如下：讀寫器生成一個(gè)秘密隨機(jī)數(shù)RR，向標(biāo)簽發(fā)送認(rèn)證請(qǐng)求Query，將RR也發(fā)送給標(biāo)簽。標(biāo)簽生成一個(gè)隨機(jī)數(shù)RT，使用自己的ID和秘密值s計(jì)算 = IDifs(0, RR, RT)，標(biāo)簽將 (RT, )發(fā)送給讀寫器。讀寫器將(RT, )轉(zhuǎn)發(fā)給后端數(shù)據(jù)庫。后端數(shù)據(jù)庫檢查是否有某個(gè)IDi (1in)，滿足IDi = fs(0, RR, RT)；如果有，則對(duì)標(biāo)簽的認(rèn)證通過，并計(jì)算 = IDifs(1, RR, RT)

20、，然后將發(fā)送給讀寫器。讀寫器將轉(zhuǎn)發(fā)給標(biāo)簽。標(biāo)簽驗(yàn)證IDi =fs(1, RR, RT)是否成立，如成立，則對(duì)讀寫器的認(rèn)證通過。29中國密碼學(xué)會(huì)組編共四十八頁David數(shù)字(shz)圖書館RFID協(xié)議30中國(zhn u)密碼學(xué)會(huì)組編共四十八頁RFID安全密碼協(xié)議(xiy)舉例2 分布式RFID雙向認(rèn)證協(xié)議該分布式RFID雙向認(rèn)證協(xié)議的執(zhí)行過程如下：讀寫器生成(shn chn)一個(gè)隨機(jī)數(shù)RReader，向標(biāo)簽發(fā)送認(rèn)證請(qǐng)求Query，將RReader發(fā)送給標(biāo)簽。標(biāo)簽生成一個(gè)隨機(jī)數(shù)RTag，計(jì)算H(ID|RReader|RTag)，其中，ID為標(biāo)簽的標(biāo)識(shí)。標(biāo)簽將(H(ID| RReader |RTa

21、g),RTag)發(fā)送給讀寫器。讀寫器將(H(ID|RReader|RTag), RReader, RTag)發(fā)送給后端數(shù)據(jù)庫。后端數(shù)據(jù)庫檢查是否有某個(gè)IDj (1jn)，使得H(IDj| RReader|RTag) = H(ID| RReader|RTag)成立；如果有，則對(duì)標(biāo)簽的認(rèn)證通過，并將H(IDj|RTag)發(fā)送給讀寫器。讀寫器將H(IDj|RTag)發(fā)送給標(biāo)簽，標(biāo)簽驗(yàn)證H(IDj|RTag)與H(ID|RTag)是否相同，如相同，則對(duì)讀寫器的認(rèn)證通過。31中國密碼學(xué)會(huì)組編共四十八頁分布式RFID雙向認(rèn)證(rnzhng)協(xié)議32中國(zhn u)密碼學(xué)會(huì)組編共四十八頁RFID安全密碼(

22、m m)協(xié)議舉例2 基于Hash的ID變化協(xié)議 基于Hash的ID變化協(xié)議的執(zhí)行過程如下：讀寫器向標(biāo)簽發(fā)送Query認(rèn)證(rnzhng)請(qǐng)求。標(biāo)簽將當(dāng)前回話號(hào)加1，并將H(ID)，H(TID*ID)，TID發(fā)送給讀寫器；其中，H(ID)可以使得后端數(shù)據(jù)庫恢復(fù)出標(biāo)簽的標(biāo)識(shí)，TID則可以使得后端數(shù)據(jù)庫恢復(fù)出TID（TID+LST=TID），進(jìn)而計(jì)算出H(TID*ID)。讀寫器將H(ID)、H(TID*ID)、TID轉(zhuǎn)發(fā)給后端數(shù)據(jù)庫。依據(jù)所存儲(chǔ)的標(biāo)簽信息，后端數(shù)據(jù)庫檢查所接收到數(shù)據(jù)的有效性。如果所有的數(shù)據(jù)全部有效，則它產(chǎn)生一個(gè)秘密隨機(jī)數(shù)R，并將(R，H(R*TID*ID)發(fā)送給讀寫器。然后，數(shù)據(jù)庫更

23、新該標(biāo)簽的ID為IDR，并相應(yīng)地更新TID和LST。讀寫器將（R，H(R*TID*ID)）轉(zhuǎn)發(fā)給標(biāo)簽。標(biāo)簽驗(yàn)證所接收的信息的有效性；如果有效，則認(rèn)證通過。33中國密碼學(xué)會(huì)組編共四十八頁基于(jy)Hash的ID變化協(xié)議34中國密碼(m m)學(xué)會(huì)組編共四十八頁RFID安全密碼(m m)協(xié)議舉例2 LCAP協(xié)議 LCAP協(xié)議的執(zhí)行過程如下：讀寫器生成一隨機(jī)數(shù)R，向標(biāo)簽發(fā)送Query認(rèn)證請(qǐng)求，將R發(fā)送給標(biāo)簽。標(biāo)簽計(jì)算HaID = H(ID)和HL(ID|R)，其中ID為標(biāo)簽的標(biāo)識(shí)，HL(ID|R)表示hash函數(shù)H輸出的左半部分；標(biāo)簽將(HaID, HL(ID|R)發(fā)送給讀寫器。讀寫器將(HaID,

24、 R, HL(ID|R)發(fā)送給后端數(shù)據(jù)庫。后端數(shù)據(jù)庫檢查歷史（Prev）數(shù)據(jù)庫條目中HaID的值是否與所接收到的HaID一致，如果一致，則使用(shyng)R和數(shù)據(jù)條目中的ID信息來計(jì)算HR(ID|R)，其中HR(ID|R)表示hash函數(shù)H輸出的右半部分。然后，后端數(shù)據(jù)庫更新當(dāng)前（Curr）數(shù)據(jù)條目中的信息如下：HaID = H(IDR)，ID=IDR。Prev數(shù)據(jù)條目中的TD數(shù)據(jù)域設(shè)為HaID=H(IDR)。最后，將HR(ID|R)發(fā)送給讀寫器。讀寫器將HR(ID|R)轉(zhuǎn)發(fā)給標(biāo)簽。標(biāo)簽驗(yàn)證HR(ID|R)的有效性。如果有效，則更新其ID為IDR。35中國密碼學(xué)會(huì)組編共四十八頁LCAP協(xié)議(

25、xiy)36中國密碼(m m)學(xué)會(huì)組編共四十八頁協(xié)議(xiy)的安全性分析與證明 安全協(xié)議分析方法簡(jiǎn)介 使用可證明安全性理論來證明協(xié)議的安全性主要包括以下5個(gè)主要過程(guchng)： 協(xié)議中涉及通信模型的描述；該模型下安全目標(biāo)的形式化定義；安全假設(shè)說明（基于的計(jì)算復(fù)雜性困難問題）；協(xié)議的形式化描述；協(xié)議在該安全模型內(nèi)達(dá)到其安全目標(biāo)的證明。37中國密碼學(xué)會(huì)組編共四十八頁協(xié)議的安全性分析(fnx)與證明 密鑰分配協(xié)議的安全性證明 協(xié)議定義(dngy)為一個(gè)多項(xiàng)式時(shí)間可計(jì)算的三元組： P = (, , LL)，描述誠實(shí)方的行為，描述S的行為，LL描述用戶主密鑰的初始分布。協(xié)議參與方為I=0, 1,

26、 2, N（0代表可信中心S），敵手為E。協(xié)議參與者的所有預(yù)言機(jī)（Oracle）只能被動(dòng)地回答攻擊者E對(duì)它們進(jìn)行的各種問詢（Query），Oracle之間并不直接進(jìn)行通信。38中國密碼學(xué)會(huì)組編共四十八頁協(xié)議的安全性分析(fnx)與證明 密鑰分配協(xié)議的安全性證明 敵手模型：E控制所有合法方之間的通信（如可以控制協(xié)議啟動(dòng)時(shí)間、篡改、替換或刪除數(shù)據(jù)等），形式化為一個(gè)概率圖靈機(jī)（Polynomial Turing Machine），能訪問模型中的所有預(yù)言機(jī)，即Oracle 和Oracle ，其中i, jI。形式化了成員i試圖和成員j協(xié)商一個(gè)會(huì)話密鑰的通信實(shí)例S，形式化了S試圖給i、j分配會(huì)話密鑰的通信

27、實(shí)例。E所能發(fā)起的攻擊(gngj)形式化為5種Oracle問詢：(SendPlayer, i, j, S, x)；(SendS, i, j, S, x)；(Reveal, i, j, S)；(Corrupt, i, K)；(Test, i, j, S)。前4種Oracle問詢可以是多項(xiàng)式的，形式化了E所能發(fā)動(dòng)的各種攻擊，如竊聽、已知會(huì)話密鑰、重放、收買某合法方等攻擊，(Test, i, j, S)則只能問詢一次，是為了定義安全性而提供的“測(cè)試”O(jiān)racle（即挑戰(zhàn)預(yù)言機(jī)）。39中國密碼學(xué)會(huì)組編共四十八頁協(xié)議的安全性分析(fnx)與證明 密鑰分配協(xié)議的安全性證明 (SendPlayer, i,

28、j, S, x)：E可以向Oracle 發(fā)送消息。該Oracle按照協(xié)議規(guī)范應(yīng)答一個(gè)響應(yīng)消息。(SendS, i, j, S, x)：E可以向Oracle 發(fā)送消息。該Oracle按照協(xié)議規(guī)范應(yīng)答一個(gè)響應(yīng)消息。(Reveal, i, j, S)：收到此問詢的Oracle，返回它協(xié)商得到的會(huì)話密鑰。如果該Oracle的狀態(tài)不是“已接受”（Accepted），那么返回一個(gè)符號(hào)表示(biosh)終止。(Corrupt, i, K)：此問詢要求被問詢的協(xié)議參與者返回它擁有的長期私鑰。相應(yīng)地，回答過Corrupt問詢的實(shí)體的狀態(tài)被稱為“已攻陷”（Corrupted）。(Test, i, j, S)：E可

29、以向一個(gè)Oracle發(fā)出Test問詢。E將收到該Oracle所擁有的會(huì)話密鑰或者一個(gè)隨機(jī)值。具體來說，該預(yù)言機(jī)通過隨機(jī)猜測(cè)bR 0,1來回答此查詢。40中國密碼學(xué)會(huì)組編共四十八頁協(xié)議(xiy)的安全性分析與證明 密鑰分配協(xié)議的安全性證明 協(xié)議的安全性定義為：敵手的成功是以其在進(jìn)行Test問詢之后以區(qū)分會(huì)話密鑰與隨機(jī)密鑰的優(yōu)勢(shì)來衡量的。除合理性（Validity）之外，敵手得到Oracle問詢(Test, i, j, S)的回答后，對(duì)Challenge進(jìn)行“猜測(cè)”，得到正確應(yīng)答的優(yōu)勢(shì)函數(shù)為 Adv(k) = (2PrGoodGuess-1)，如果該值是可忽略的，則稱協(xié)議是安全的。這里，當(dāng)敵手發(fā)起

30、Test詢問時(shí)，Oracle回答如下：bR 0,1，如果b=0，返回一個(gè)(y )隨機(jī)數(shù)，否則返回?cái)呈忠玫降臅?huì)話密鑰；如果敵手對(duì)b的取值猜測(cè)正確，就稱事件“GoodGuess”發(fā)生，敵手成功。敵手隨機(jī)猜測(cè)成功的概率為1/2。該優(yōu)勢(shì)值與安全參數(shù)k相關(guān)。上述定義就是表明，如果敵手的猜測(cè)成功的概率偏離1/2的值是可忽略的，則敵手失敗，即意味著協(xié)議是安全的。41中國密碼學(xué)會(huì)組編共四十八頁協(xié)議(xiy)的安全性分析與證明 RFID協(xié)議的BR安全性證明 用Oracle查詢(chxn)來模型化攻擊者A的能力。用T表示Tag，用R表示Tag讀寫器，兩者參與的RFID協(xié)議為P。協(xié)議雙方都可以發(fā)起P的多個(gè)實(shí)例，用

31、表示第i個(gè)Tag實(shí)例，用表示第j個(gè)讀寫器實(shí)例。攻擊者A可以進(jìn)行如下Oracle查詢：Query(，m1，m3)：該查詢刻畫了攻擊者A通過前向信道（從讀寫器到標(biāo)簽）向T發(fā)送消息m1（消息1），并在接收到T的應(yīng)答后再向T發(fā)送消息m3（消息3）；Send(，m2)：該查詢刻畫了攻擊者A通過反向信道（從標(biāo)簽到讀寫器）向R發(fā)送消息m2，并接收R之應(yīng)答；Execute(，)：該查詢刻畫了攻擊者A執(zhí)行T和R之間的協(xié)議P的一個(gè)實(shí)例，并獲得通過前向信道和反向信道交換的所有消息；42中國密碼學(xué)會(huì)組編共四十八頁協(xié)議的安全性分析(fnx)與證明 RFID協(xié)議的BR安全性證明 Execute*(，)：該查詢刻畫了攻擊者A執(zhí)行T和R之間的協(xié)議P的一個(gè)實(shí)例，但是攻擊者A僅能獲得通過前向信道交換的所有消息；Corrupt(，sk)：該查