一个基于国密算法的RFID-SIM系统安全认证协议

◆朱义杰 杨玉龙 杨 义 石 彬 韩 丹

（贵州航天计量测试技术研究所 贵州 550009）

RFID无线射频识别系统因具有非接触式识别的特点，不受恶劣环境的影响，还有读写数据方便快捷、识别速度快、数据容量大、使用寿命长、标签数据可动态改写等特点，已被广泛应用在票务系统（门票、高速公路自动收费等）、安检门禁、仓储管理、防盗防伪、证件等众多领域[1]。RFID-SIM系统是将RFID技术与手机SIM卡相结合的一种身份认证和移动支付业务系统，RFID-SIM卡采用的是2.4GHz的全卡，和手机有良好的兼容性，能够相对大规模推广。RFID-SIM卡由手机直接供电，因此可以制作出具有较复杂电路的RFID-SIM卡，是一种CPU卡，内含有操作系统COS，将比一般标签更加安全，在处理数据方面更加有效，这是NFC手机和SIMPASS手机所不具有的功能。RFID-SIM卡长中短距离混合应用，双向通信距离10cm-500cm，可以根据应用调整，可以实现考勤、门禁、食堂消费等短距离应用，也可以实现在停车场的中距离1-3米的NFC不能实现的刷卡应用，在移动支付方面具有很大优势，成为真正意义上的手机一卡通。

虽然RFID-SIM卡应用如此方便，但RFID技术在实际应用中还存在着一个不可忽视的隐患：缺乏健全的安全机制。RFID系统在工作时，阅读器和应答器（标签）之间是通过无线射频信号进行通信的，这就将通信信号暴露在大庭广众之下，虽然具有很大的方便性和灵活性，但随之带来的就是数据的安全和隐私问题。如果标签被不法分子非法读取、篡改信息、非法克隆，将会带来数据安全的问题，甚至可能会把一些个人隐私比如行程、时间、地点等信息暴露于众。如果RFID系统的安全性不能得到充分保证，RFID系统中的个人信息、商业机密和军事秘密，都可能被人盗窃或被不法分子利用，这必将严重影响经济、军事和国家安全。基于RFID技术的RFID-SIM系统同样具有RFID的安全问题，同时其认证协议采用非国密算法，也容易被植入密码后门。因此，设计一种安全高效自主可控的RFID-SIM系统安全协议具有十分重要的意义。

1 相关工作

目前，针对RFID系统中存在的安全隐患所采用的安全机制可以划分为3类：物理方法、密码机制以及两者的结合。关于基于密码机制的RFID安全认证协议，保证密码机制安全最常用的工具有两种：哈希函数和随机数，利用哈希函数运算不可逆的特性和随机数的不确定性保证数据传输的安全。基于哈希函数的认证协议是研究较多的一类RFID认证协议，这类协议的安全性都是由Hash函数的单向性来保证的，主要包括Sarma于2003年提出的Hash-lock协议[2]，以及后面发展的随机化Hash-lock协议[3]，Hash链协议[4-5]。考虑到前几种基于哈希函数的认证协议在保证内容隐私、位置隐私，抵抗重放攻击方面的安全缺陷，张文丽[6]提出了IHSAP3协议，更好地保证了认证的安全。除了哈希函数的认证协议，裴友林[7]等提出了基于密钥矩阵的RFID安全协议，之后游相柏等提出自同步密钥矩阵RFID安全认证协议弥补了裴友林的协议的安全隐患问题。李斌[8]等提出一种基于NTRU公钥加密系统的RFID认证协议，康鸿雁[9]提出的一种基于ECC的RFID双向认证协议设计，相对于传统的RFID安全认证协议，有着较高的安全性和执行效率。RFID-SIM系统认证协议是基于RFID认证协议的，但又由于其标签具有COS系统，可考虑设计较为复杂但更为安全的认证协议。

一般来说，比较完善的RFID-SIM系统解决方案或安全协议应当具备5个基本特征：机密性、完整性、可用性、真实性和隐私性。目前各种协议都有着各自的优缺点，因此可以考虑多种协议之间的关系发展一种综合型认证协议。

2 安全认证协议设计

本协议结合了国际标准ISO 9798-2的“三次认证过程”和随机化Hash-Lock协议，鉴于两种协议都存在不足，因此将两种协议混合起来相互弥补不足之处，设计出一种安全的认证协议。三次认证过程是：先用系统主控密钥对每个标签ID实施加密算法而获得导出密钥，初始化标签写入，在阅读器发出认证请求后，标签生成随机数发给阅读器，阅读器生成随机数，将用密钥加密后传给标签，标签解密后检验解密得到的与其之前生成的是否一致来实现标签对阅读器的认证，然后标签将用密钥加密传给阅读器，阅读器解密后检验是否与之前生成的随机数一致来检验标签的合法性。

本协议是通过标签与后台数据库之间具有相同的哈希函数和相同的加密算法及密钥来相互认证的。在协议中，每个标签都有一个与其标识ID所对应的密钥，每个标签还具有一个哈希函数运算和一个椭圆曲线密码加密算法。协议中数据库包含了系统中每个ID所对应的公钥和私钥。此协议中用到了国密SM3哈希函数和国密SM2椭圆曲线算法机制，也可以称为Hash-ECC混合认证协议。

2.1 协议设计的假设条件

认证协议的设计基于以下假设条件：

（1）后台数据库中数据是安全的，攻击者不能侵入数据库获得数据库中信息。

（2）后台数据库和阅读器之间的通信是安全的，也就是说后台数据库和阅读器可以看成一个整体。

（3）后台数据库（或阅读器）有一个伪随机数生成器，能够进行哈希运算和ECC加解密运算。

（4）标签都有一个伪随机数生成器，可以独立生成随机数。

（5）标签都能够进行哈希运算，能够进行ECC加解密运算，且内存记录安全可靠。

（6）阅读器和标签之间的信道是不安全的，容易受到攻击者的窃听或攻击。

2.2 认证协议方案

在RFID-SIM卡首次售出之前，RFID-SIM卡作为系统中的标签，初始化过程系统要将RFID-SIM的标识码ID和其特有的密钥和公钥写入卡中，同时初始化过程系统还要将RFID-SIM卡的标识码ID及其所对应的产品信息和公钥私钥插入数据库，更新数据库中与此ID相关的哈希值，插入数据库中的数据以ID为主键建立索引。

图1 基于国密算法的RFID-SIM系统混合认证协议

认证过程如图1所示，具体过程如下：

（1）阅读器向RFID-SIM卡（标签）发出Query认证请求。

（2）RFID-SIM卡生成一个随机数，并计算哈希值，然后将和发送到阅读器。

（3）阅读器转发和到后台数据库。

（4）后台数据库检查是否有某个，使得，如果有则说明对标签初步验证通过，获取ID后，进行下一步；否则认证失败。

（5）后台数据库查找与ID相对应的RFID-SIM卡的公钥，此时后台数据库生成一个随机数，利用公钥对和进行加密得到密文，并将发给阅读器。

（6）阅读器转发给RFID-SIM卡标签。

（7）RFID-SIM卡标签利用自己的私钥解密得到，验证是否成立，成立则说明RFID-SIM卡对后台系统和阅读器验证通过；否则验证失败。

（8）RFID-SIM卡标签生成一个随机数，利用公钥对和进行加密得到密文，并将发给阅读器。

（9）阅读器转发给后台数据库。

（10）后台数据库利用ID对应的私钥解密得到，验证是否成立，成立则说明后台数据库对RFID-SIM卡验证通过。

3 认证协议分析

3.1 功能性分析

该协议能够实现RFID-SIM卡和后台数据库（或阅读器）之间双向认证。后台数据库通过验证后台数据库和RFID-SIM卡用了相同的哈希函数，实现了后台数据库对标签的一次认证；标签通过验证收到密文解密后的密文中否成立验证标签和后台数据库是否用了同种加密算法和密钥，实现了标签对后台数据库的一次认证；后台通过验证收到的密文解密后的密文中kk¢=是否成立验证标签和后台数据库是否用了同种加密算法和密钥，再次实现了后台数据库对标签的一次验证。

3.2 安全性分析

该协议针对随机化Hash-Lock协议和“三次认证过程”中的不足，通过混合两种认证协议，相互弥补不足，实现了较高的安全性。

（1）防被窃听

阅读器和RFID-SIM卡之间的通信信息都是经过哈希函数和椭圆曲线密码进行加密的，窃听者很难通过截获的密文获取明文，保障了信息的安全。

（2）防被追踪

阅读器和RFID-SIM卡之间的通信信息每次都有随机数参与，RFID-SIM卡每次响应阅读器的结果都不同，防止了不法分子对标签的追踪。

（3）防重放攻击

每次认证过程中的通信都含有随机数，攻击者即使获取了上次认证成功时的信息，也不能伪造出新一次的认证。

（4）防假冒攻击

认证过程中的通信信息是通过哈希函数和椭圆曲线密码加密的，即使攻击者得到传输的明文，也无法获得RFID-SIM卡的密钥，无法复制标签。

（5）抗前向攻击

由于每个标签都有其特有的私钥，即使攻击者通过破坏了一个RFID-SIM卡，得到了上面所有的信息，也不能获取得到数据库中其他标签的ID信息和私钥信息。

4 结束语

本文在研究当前协议的基础上，设计出一种针对手机RFID-SIM卡系统的基于国密SM3和国密SM2的Hash-ECC混合型安全认证协议，并分析了其安全性。此协议是用于带CPU的RFID-SIM卡系统，RFID-SIM卡的复杂性电路可以满足此协议的要求，可以在此协议中标签在认证中高效执行哈希运算和ECC点加解密运算。此协议对后台数据库的要求较高，要求后台数据库能够存储与标签ID和所有伪随机数相关的所有哈希值信息。在后期，可以考虑将在后台数据库中运行的ECC加解密运算换到在阅读器中进行，将在后台数据库中查找哈希值信息换到把所有哈希值发送到阅读器然后通过阅读器查找，以此来达到可用于分布式环境的目的。