464 计算 机 学 2013年 RFID系统中采用基于Hash函数的协议来实现一 多次扫描标签，使得标签与阅读器之间失去同步，导 套足够轻量级的安全与隐私保障机制.尽管Hash 致阅读器在认证时无法设定每个可能的标签ID需 函数的逻辑实现已经相对简单，但是由于RFID标 要的计算次数，使系统无法正常工作。 签的资源稀缺性，Hash函数的常用逻辑实现还是 表3对上述3种方案从效果、适用范围以及标 超出标签的资源限制.为此，需要确保实现Hash函 签所需资源3个方面进行了具体的比较.可以看出， 数的逻辑电路足够简单.研究发现[2o],Hash数值可 3种方案各有利弊，需要根据具体的应用需求与资 以从一个预先存储的随机比特序列中推导：首先，使 源限制条件来选择合理的安全与隐私保障方案，目 用离线的随机数生成器以标签ID为种子生成一个 前，国内的研究者们也在RFID的安全与隐私保障 200bit的随机序列，将其存储在标签内部；该比特 方面开展了深入的研究.文献[39]分析了已有的各 序列首尾相连形成一个逻辑上的环结构：当执行 种RFID安全机制，重点介绍了基于密码技术的 Hash操作H(ID,r)时，即在上述环结构序列中返 RFID安全协议，分析了这些协议的缺陷，讨论了基 回第个比特以后一串指定长度的比特序列.这样， 于可证明的安全性理论来设计和分析RFID安全协 200个随机比特组成的序列可以返回200个不同的 议的模型和方法.文献[40]定义了供应链环境下 Hash数值，在通常情况下足够满足一般的应用 RFID通信协议必须满足的安全需求，提出了一个 需求， 可以满足这些安全需求的通用可组合安全模型， 基于Hash函数的安全协议主要包括Hash 设计了一个可以实现该模型的轻量级RFID通信 Lock协议、随机化Hash-Lock协议以及Hash链协 协议。 议等.Hash-Lock协议[3们使用了metaID(标签密钥 的Hash值)代替真实的标签ID,来有效地对阅读 表33种方案的比较 效果 适用范围 标签所需资源 器进行认证，从而避免标签信息泄露.然而，由于 基于物理方标签实现逻辑非常适用于对处理能对标签的资源要 metaID对特定的标签始终保持不变，因此标签每次 法的安全保简单，不需要标签力非常有限的被求非常低，需要 护机制 自身实现安全与隐动标签进行安全额外的设备提供 响应都使用固定的metaID,容易受到追踪和重放攻 私保障 保护的场合 安全隐私保障 击.随机化Hash-Lock协议[3]采用了基于随机数的 基于对称密标签实现逻辑较适用于主动标签对标签资源要 询问/应答机制：在阅读器请求访问标签时，标签先 钥加密的为复杂，能有效实或处理能力较强求较高 协议 现加密、解密操作 的被动标签需要 用伪随机数生成器生成一个随机数R,然后计算其 进行加密，解密 的场合 ID和R的Hash值Hkey(ID‖R),最后将随机数R 基于Hash 标签实现逻辑较适用于处理能力对标签的资源 与该Hash值发送给阅读器.阅读器在后台数据库 函数的协议为简单，具有“前向较弱的被动标签要求低 中进行穷举搜索，计算所有ID和R的Hash值 安全性”，不能实需要认证的场合 现加密、解密操作 Hke(ID‖R),将匹配成功的ID发送给标签，实现 解锁，上述这种方式能够避免标签每次响应固定模 3.5 其它解决方案 式的信息，故而不能对其进行跟踪.但是，随机化 近年来，为了更有效地防止针对RFID系统的 Hash-Lock协议不能防止重放攻击.攻击者完全可以 黑客攻击，一些研究者开始关注入侵检测系统在 窃听随机数R以及对应的Hash值Hkey(ID‖R), RFID系统中的应用.由于RFID标签处理能力非常 从而在阅读器查询时重放该响应伪装为该标签，其 有限，不可能在标签上实现人侵检测的逻辑.因此， 次，阅读器端的穷举搜索使得该方法缺乏很强的可 文献[41]基于小理电池装置设计了一套RFID守护 扩展性.Hash链协议[3s]是基于共享秘密的询问/应 系统.该系统集成了多种安全机制，包括密钥管理、 答协议，在该协议中，标签和阅读器共享两个Hash 访问控制、认证以及审计功能，尽管集成了多种安全 函数G和H以及一个随机的初始化标识符s1.当阅 功能，该系统却很容易出现单点失效的问题：一旦守 读器请求访问标签时，标签返回当前标识符一 护系统被攻克，整个RFID网络都被暴露在各种攻 G(s),同时更新当前标识符为5t+1=H(5).阅读器 击隐患之下.文献[42]进一步提出了一个人侵检测 根据获得的r值查找数据库对标签进行认证，并更 系统模型Deckard,用来检测标签所有权的改变.该 新s值与标签保持同步.该方法利用Hash函数的 系统是RFID入侵检测系统的早期研究工作之一. “前向安全性”使得标签响应的结果随每次查询不停 文献[43]基于RFID系统设计了一套入侵检测系统 更新，有效防止了重放攻击.但是，攻击者可以恶意 安全框架，在RFID阅读器层面以及中间件层面实464 计 算 机 学 报 RFID 系统 中采 用 基 于 Hash函数 的协 议 来 实 现 一 套足 够轻 量 级 的 安 全 与 隐 私 保 障机 制．尽 管 Hash 函数 的逻 辑实 现 已 经相 对 简单 ，但 是 由于 RFID 标 签 的资 源稀 缺 性 ，Hash函数 的 常 用 逻 辑 实 现 还 是 超 出标 签 的资源 限制 ．为 此 ，需要 确 保 实 现 Hash函 数 的逻辑 电路足 够简 单．研究 发 现 _2 ，Hash数值 可 以从 一个 预 先存 储 的随机 比特 序列 中推导 ：首先 ，使 用离 线 的 随机数 生成 器 以标 签 ID 为种 子 生 成一 个 200bit的随机 序 列 ，将 其 存 储 在 标 签 内部 ；该 比特 序列 首 尾 相 连 形 成 一 个 逻 辑 上 的 环 结 构 ；当 执 行 Hash操作 H(ID，r)时 ，即在 上 述 环 结 构 序 列 中返 回第 r个 比特 以后 一 串指定 长度 的 比特 序列 ．这 样 ， 200个 随机 比特组 成 的序列 可 以返 回 200个 不 同 的 Hash数值 ，在 通 常 情况 下 足 够 满 足 一 般 的应 用 需求 ． 基 于 Hash函 数 的 安 全 协 议 主 要 包 括 Hash— Lock协议 、随机化 Hash—Lock协 议 以及 Hash链协 议 等．Hash—Lock协议 _3明使 用 了 metaID(标 签 密钥 的 Hash值 )代 替 真 实 的标 签 ID，来 有 效 地 对 阅读 器 进 行 认 证 ，从 而 避 免 标 签 信 息 泄 露．然 而 ，由 于 metaID 对 特定 的标 签始 终保 持 不变 ，因此标 签每 次 响应都 使用 固定 的 metaID，容 易受 到追 踪和 重放 攻 击 ．随 机化 Hash—Lock协议 [3采 用 了基 于随 机数 的 询 问／应答机制 ：在 阅读器请求访 问标签时，标签先 用 伪 随 机数 生 成 器 生 成一 个 随 机 数 R，然 后 计 算 其 ID 和 R 的 Hash值 Hkev(ID llR)，最 后将 随 机 数 R 与该 Hash值 发送 给 阅读 器．阅读 器 在 后 台数 据 库 中进 行 穷 举 搜 索 ，计 算 所 有 ID 和 R 的 Hash值 Hkev(IDllR)，将 匹配成功 的 ID发送给标 签 ，实现 解 锁 ．上述 这种 方 式 能 够避 免 标 签 每 次 响 应 固定 模 式 的信 息 ，故而 不能 对其进 行跟踪．但是 ，随机 化 Hash—Lock协议 不能防止 重放攻击 ．攻 击者完全 可 以 窃听随机数 R 以及 对应 的 Hash值 Hkev(ID 1lR)， 从 而 在 阅读器 查 询 时重 放 该 响 应 伪 装 为 该 标 签．其 次 ，阅读 器端 的穷 举 搜 索使 得 该 方法 缺 乏 很 强 的可 扩展 性 ．Hash链 协议 8]是 基 于共 享 秘 密 的询 问／应 答协 议 ，在该 协议 中 ，标 签 和 阅读 器 共 享 两 个 Hash 函数 G和 H 以及 一个 随 机 的初始 化标 识符 s．当 阅 读器请 求访 问标签 时，标 签返 回当前标识 符 — G(s)，同时更新 当前标识符为 +一H(s)．阅读器 根据 获 得 的 值查 找 数 据 库对 标 签 进 行 认 证 ，并 更 新 s值与标签保持 同步．该方法利用 Hash函数 的 “前 向安全性”使得标签响应的结果随每次查询不停 更新 ，有 效 防止 了 重放 攻 击 ．但 是 ，攻 击 者 可 以 恶 意 多次 扫 描标签 ，使 得标 签与 阅读 器之 间失去 同步 ，导 致 阅读 器在认 证 时无 法设 定 每个 可 能 的 标签 ID 需 要 的计算 次数 ，使 系统 无法 正 常工作 ． 表 3对 上 述 3种 方 案从 效 果 、适 用 范 围 以及 标 签所 需 资源 3个 方 面进行 了具 体 的 比较 ．可 以看 出 ， 3种 方 案 各 有 利 弊 ，需 要 根 据 具 体 的应 用 需 求 与 资 源 限制 条件来 选 择 合 理 的安 全 与 隐私 保 障 方 案．目 前 ，国内 的研 究 者 们 也 在 RFID 的安 全 与 隐私 保 障 方 面开 展 了深入 的研 究 ．文献 [39]分 析 了 已有 的各 种 RFID 安 全 机 制 ，重 点 介 绍 了 基 于 密 码 技 术 的 RFID安全 协议 ，分 析 了这 些 协 议 的 缺 陷 ，讨 论 了基 于可证 明 的安全 性理 论来 设计 和 分 析 RFID安 全协 议 的模 型 和 方 法 ．文 献 E403定 义 了 供 应 链 环 境 下 RFID通 信 协议 必 须 满 足 的 安 全 需 求 ，提 出 了一 个 可 以满足这些 安全 需求 的通用 可组 合安 全模 型 ， 设 计 了 一 个 可 以 实 现 该 模 型 的 轻 量 级 RFID通 信 协 议． 表 3 3种 方 案 的 b 较 效果 适用范 围 标签所需资源 基于物理方 标签实现逻辑非常 适用于对处理能 对标签的资源要 法 的安全保 简单，不需要 标签 力非常有 限的被 求非 常 低，需 要 护机制 自身实现安全与隐 动标签进行安全 额外的设备提供 私保障 保护的场合 安全隐私保障 基于对称密 标签 实 现 逻 辑 较 适用于主动标签 对标 签 资 源 要 钥 加 密 的 为复杂 ，能有 效实 或处理能力较强 求较 高 协议 现加密 、解密操作 的被动标签需要 进 行 加 密 、解 密 的场合 基于 Hash 标签 实 现 逻 辑 较 适用于处理能力 对标 签 的 资 源 函数 的协议 为简单 ，具有“前 向 较弱的被动标签 要求低 安 全 性”，不 能 实 需要认证的场合 现 加 密 、解密 操 作 3．5 其 它解 决方 案 近年 来 ，为 了更 有 效 地 防 止 针 对 RFID 系 统 的 黑客 攻 击 ，一 些 研 究 者 开 始 关 注 入 侵 检 测 系 统 在 RFID 系统 中 的应 用 ．由于 RFID标 签处 理 能力 非常 有 限 ，不 可能 在标 签 上 实 现 入 侵 检 测 的 逻辑 ．因 此 ， 文献 [41]基 于小 型 电池装 置设 计 了一 套 RFID守 护 系统 ．该 系统 集成 了 多种 安 全 机 制 ，包 括 密 钥 管 理 、 访问控制 、认证以及审计功能 ，尽管集成了多种安全 功能，该系统却很容易出现单点失效的问题 ：一旦守 护系统被攻克，整个 RFID 网络都被暴露在各种攻 击隐患之下．文献[42]进一步提出 了一个入侵检测 系 统模 型 Deckard，用来 检测 标 签 所 有 权 的改 变 ．该 系统是 RFID入 侵 检 测 系 统 的 早 期 研 究 工 作 之 一 ． 文献E435基于 RFID系统设计了一套入侵检测系统 安 全框 架 ，在 RFID 阅读 器 层 面 以及 中 间件 层 面 实