第7章物联网安全.ppt

2．基于密码技术的安全机制 — 重量级认证协议（完善（full-fledged）的安全认证协议） 目前，很多RFID系统都采用国际标准的ISO9798-2“三通互相鉴别”协议，该协议采用对称加密算法，阅读器和标签在通信中互相鉴别对方的用密钥保护的ID，属于一种双向认证协议。 图7-6 三通互相鉴别协议 该协议简单实用，可有效抵抗来自系统外部的伪造和攻击，但由于系统内所有阅读器和标签共享相同的密钥，所以对来自系统内的威胁却无能为力 任意标签或阅读器密钥的泄漏，都可能造成整个RFID系统安全性的崩溃 另一种具有代表性的是用于电子护照的基于ICAO（International Civil Aviation Organization，国际民用航空组织）标准的ICAO认证协议。该协议采用64位双密钥的3DES算法（two-key triple-DES）和消息认证码（MAC），具有很高的安全强度。 标签的成本是影响RFID系统发展和应用的重要因素，所以低成本的RFID系统不太适宜采用重量级的安全认证协议 — 中量级认证协议 Hash-Lock协议 使用metaID来代替真实的标签ID，以避免信息泄漏和被追踪，每个标签拥有自己的访问密钥key，且metaID=H(key)。 图7-7 Hash-Lock协议 从上述的协议执行过程中可以看出，该协议能够提供访问控制和标签数据隐私保护。但是由于ID没有使用动态刷新机制，metaID保持不变，标签易被跟踪定位。Key、ID以明文形式发送，容易被窃听者获取。 随机Hash-Lock协议 该协议中，对于标签阅读器的不同询问，标签将回传乱数形态的回传值给阅读器以避免追踪。 图7-8 随机Hash-Lock协议 此认证协议解决了依据相同响应对标签进行跟踪定位的问题，但仍有缺陷，标签认证后的标识IDk还是以明文发送的，攻击者可以根据IDk对标签进行追踪定位和据此伪造标签。 此协议不具有反向安全性，窃听者根据IDk、R值计算出H(IDk||R)值，因此可追踪到标签历史位置信息。 每次标签的认证，后台数据库都需要将所有标签的标识发送给标签阅读器，两者之间的数据通信量很大。 Hash-Chain协议 本质上，此协议是基于共享秘密的询问-应答协议，但对使用两个不同Hash函数的标签发起认证时，标签总是发送不同的应答。 图7-9 Hash-Chain协议 在Hash-Chain协议中，标签是具有自主ID更新能力的主动式标签，避免了标签定位隐私信息的泄漏。又由于单向的Hash函数，不可能从St,j+1获得St,j，具有前向安全性。 为了尽量降低标签的制作成本，该协议降低了标签的存储空间和计算能力。 从上述过程中可以看出，该协议只是一个单向的认证协议，在协议的最后标签没有实现对阅读器的认证，标签无法确认阅读器的合法性。 Hash-Chain协议非常容易受到重传和假冒攻击。只要攻击者截获了at,j，它就可以进行重传攻击，伪装标签通过认证。 图7-10基于散列的ID变化协议 此协议成功地完成一次认证才会更改标签上的ID，以使标签的下次响应值改变。 该协议不适合于使用分布式数据库的普适计算环境。 此协议在标签和后台数据库中均使用了较多的存储空间。 基于散列的ID变化协议 表7-1 基于散列的ID变化协议中各符号含义 数字图书馆安全协议 到目前为止，还没有发现该协议具有明显的安全漏洞。 为了支持该协议，必需在Tag电路中包含实现随机数生成以及安全伪随机函数两大功能模块，故而该协议不适用于低成本的RFID系统。 图7-11 David的数字图书馆安全协议 分布式RFID询问-应答安全协议 图7-12分布式RFID询问-应答安全协议 此协议应用了两个技巧： 标签上自行产生一个随机数RTag，这样即使阅读器每次传来的RReader都是一个固定的值，标签的响应值仍然是呈乱数状态，以此解决位置隐私的问题； 将阅读器产生的随机数RReader经过安全信道传至后台数据库，由于RReader每次都不一样，所以可以避免replay攻击，且只要将RReader应用在所要传送的信息上稍加设计，就可使信息不易伪造便可以避兔spoofing攻击。 到目前为止，还没有发现该协议有明显的安全漏洞或缺陷，但是在本协议中，执行一次认证协议需要标签进行两次Hash运算。标签电路中自然也需要集成随机数发生器和散列函数模块，因此它也不适用于低成本RFID系统。 LCAP协议 LCAP协议也是询问-应答协议，但是与前面的同类其他协议不同，它每次执行之后都要动态刷新标签的ID 图7-13 LCAP协议 LCAP协议也不适合于使用分布式数据库的普适计算环境，同时亦存在数据库同步的潜在安全隐患 总