無線網(wǎng)絡(luò)安全第8章資料

1、無線網(wǎng)絡(luò)安全（第八章）共四十八頁第八章 RFID網(wǎng)絡(luò)安全 2中國密碼(m m)學(xué)會組編共四十八頁目錄(ml)RFID網(wǎng)絡(luò)簡介RFID安全的物理機制RFID安全密碼協(xié)議舉例(j l)1RFID安全密碼協(xié)議舉例2協(xié)議的安全性分析與證明3中國密碼學(xué)會組編共四十八頁RFID網(wǎng)絡(luò)(wnglu)簡介 RFID系統(tǒng)的基本構(gòu)成 無線射頻識別是一種非接觸式自動識別技術(shù)。由于成本低廉，它廣泛應(yīng)用于倉儲管理、追蹤、防偽、配送、過程(guchng)控制、訪問控制、自動付費、供應(yīng)鏈管理等領(lǐng)域。RFID系統(tǒng)一般由3部分組成：RFID標(biāo)簽（Tag）、RFID標(biāo)簽讀寫器（Reader）及后端數(shù)據(jù)庫（Back-end Data

2、base）。RFID系統(tǒng)的基本構(gòu)成如下圖所示：4中國密碼學(xué)會組編共四十八頁RFID系統(tǒng)(xtng)的基本構(gòu)成5中國密碼(m m)學(xué)會組編共四十八頁RFID網(wǎng)絡(luò)(wnglu)簡介 RFID系統(tǒng)的基本構(gòu)成 標(biāo)簽 根據(jù)(gnj)標(biāo)簽的能量來源，可以將其分為三大類：被動式標(biāo)簽、半被動式標(biāo)簽和主動式標(biāo)簽。被動式標(biāo)簽內(nèi)部不帶電池，需要靠外界提供能量才能正常工作，即需要從讀寫器發(fā)出的無線電波中獲取能量。因而它能永久使用，常用于標(biāo)簽信息需要頻繁讀/寫的場合，而且它支持長時間數(shù)據(jù)傳輸和長期數(shù)據(jù)存儲。被動式標(biāo)簽比主動式標(biāo)簽輕便、便宜、壽命長，但它的傳送距離短且需要更高功率的讀寫器，靈敏度和定位性能受限于讀寫器，且

3、存儲數(shù)據(jù)的容量和抗噪聲能力有限。半被動標(biāo)簽本身也帶有電池，但只起到對標(biāo)簽內(nèi)部數(shù)字電路供電的作用，標(biāo)簽并不通過自身能量主動發(fā)送數(shù)據(jù)，只有當(dāng)它被讀寫器的能量場“激活”時，才傳送自身的數(shù)據(jù)。主動標(biāo)簽的能量來自內(nèi)部電池，所以一個密封的主動標(biāo)簽壽命是有限的。和被動標(biāo)簽相比，主動標(biāo)簽傳送距離更遠(yuǎn)、速度更快、抗噪聲更好，使用相同頻率時，數(shù)據(jù)傳輸速率更高，但體積大、價格高。6中國密碼學(xué)會組編共四十八頁被動式、半被動式、主動式標(biāo)簽(bioqin)被動式標(biāo)簽半被動式標(biāo)簽主動式標(biāo)簽?zāi)芰縼碓幢粍邮絻?nèi)部電池內(nèi)部電池發(fā)送器被動被動主動最大距離10m100m1000m7中國(zhn u)密碼學(xué)會組編共四十八頁RFID網(wǎng)絡(luò)(

4、wnglu)簡介 RFID系統(tǒng)的基本構(gòu)成 標(biāo)簽 根據(jù)射頻標(biāo)簽內(nèi)部使用的存儲器類型的不同可分為3種：可讀寫標(biāo)簽、一次寫入多次讀出標(biāo)簽和只讀標(biāo)簽。RW標(biāo)簽一般比WORM標(biāo)簽和RO標(biāo)簽貴得多，如信用卡等。WORM標(biāo)簽是用戶可以一次性寫入的標(biāo)簽，寫入后數(shù)據(jù)不能改變(gibin)，WORM標(biāo)簽比RW標(biāo)簽要便宜。RO標(biāo)簽存有一個唯一的號碼ID，不能修改，但最便宜。8中國密碼學(xué)會組編共四十八頁RFID網(wǎng)絡(luò)(wnglu)簡介 RFID系統(tǒng)的基本構(gòu)成 讀寫器讀寫器實際上是一個帶有天線的無線發(fā)射與接收設(shè)備，它的處理能力、存儲空間都比較大。讀寫器分為手持和固定兩種。RFID標(biāo)簽(bioqin)是非接觸的，借助讀寫器

5、來實現(xiàn)數(shù)據(jù)的讀/寫功能，對RFID標(biāo)簽寫入信息或者讀取標(biāo)簽所攜帶的數(shù)據(jù)信息。讀寫器到標(biāo)簽之間的信道叫做前向信道，而標(biāo)簽到讀寫器之間的信道叫做反向信道。由于讀寫器與標(biāo)簽的無線功率差別很大，前向信道的通信范圍遠(yuǎn)大于反向信道的通信范圍。9中國密碼學(xué)會組編共四十八頁RFID網(wǎng)絡(luò)(wnglu)簡介 RFID系統(tǒng)的基本構(gòu)成 后端數(shù)據(jù)庫后端數(shù)據(jù)庫是一個數(shù)據(jù)庫系統(tǒng)，通常假設(shè)其計算和存儲能力強大，并包含所有標(biāo)簽的信息(xnx)。通常假設(shè)標(biāo)簽和讀寫器之間的通信信道是不安全的，而讀寫器和后端數(shù)據(jù)庫之間的通信信道則是安全的。RFID的基本工作原理如下：讀寫器發(fā)射電磁波，而此電磁波有其輻射范圍，當(dāng)標(biāo)簽進入此電磁波輻射范

6、圍內(nèi)，標(biāo)簽將讀寫器所發(fā)射的微小電磁波能量存儲起來，并轉(zhuǎn)換成電路所需的電能，并且將存儲的標(biāo)識信息以電磁波的方式傳送給讀寫器。標(biāo)簽和讀寫器之間的通信距離受到多個參數(shù)的影響。10中國密碼學(xué)會組編共四十八頁RFID網(wǎng)絡(luò)(wnglu)簡介 RFID系統(tǒng)的安全需求 安全問題簡單而言，RFID的安全問題包括隱私問題和認(rèn)證問題。隱私問題是由讀寫器讀標(biāo)簽時無須認(rèn)證引起的，包括信息泄露問題和追蹤問題；認(rèn)證問題是由標(biāo)簽被讀取時無須認(rèn)證引起的，包括標(biāo)簽克隆、篡改標(biāo)簽數(shù)據(jù)等。廣義的RFID系統(tǒng)的隱私保護包括兩點：一是標(biāo)簽和讀寫器之間的隱私保護；另一種是服務(wù)器中的信息隱私保護，它所關(guān)心的是服務(wù)器所包含什么樣的信息。本小節(jié)

7、主要討論第一種情況。隱私問題中的追蹤問題是指通過標(biāo)簽的唯一標(biāo)識符可惡意地追蹤用戶的位置或者行為。例如，標(biāo)識在不同的地方的兩次出現(xiàn)，說明用戶曾經(jīng)(cngjng)到達了這兩個地方。敵手可在任何地點、任何時間追蹤識別某個固定標(biāo)簽，從而侵犯了用戶隱私。隱私問題可通過對讀寫器的認(rèn)證來解決。認(rèn)證問題可通過對標(biāo)簽的認(rèn)證來解決。因此，讀寫器和標(biāo)簽之間的雙向認(rèn)證是RFID系統(tǒng)的主要安全需求。11中國密碼學(xué)會組編共四十八頁RFID網(wǎng)絡(luò)(wnglu)簡介 RFID系統(tǒng)的安全需求 安全威脅非法(fif)讀?。悍欠?fif)者通過未授權(quán)的讀寫器讀取標(biāo)簽中的數(shù)據(jù)信息。竊聽：標(biāo)簽和讀寫器之間的數(shù)據(jù)傳輸容易受到竊聽攻擊。無前

8、向安全性：攻擊者在此次通信中截取到了標(biāo)簽的輸出，然后通過某種推算可以得出標(biāo)簽以前所發(fā)送的信息。反過來說，如果攻擊者不能推算前面發(fā)出的信息，則稱為前向安全性。位置跟蹤：非法者通過標(biāo)簽發(fā)出的固定消息來定位標(biāo)簽的位置以達到跟蹤的目的。12中國密碼學(xué)會組編共四十八頁RFID網(wǎng)絡(luò)(wnglu)簡介 RFID系統(tǒng)的安全需求 安全威脅偽裝：非法者截取到標(biāo)簽信息后，把真實標(biāo)簽信息復(fù)制到自己假冒的標(biāo)簽中。當(dāng)讀寫器發(fā)送認(rèn)證消息給標(biāo)簽時，非法者把自己復(fù)制的標(biāo)簽信息發(fā)給讀寫器，以偽裝成合法標(biāo)簽通過讀寫器的認(rèn)證。重放：當(dāng)讀寫器發(fā)出認(rèn)證信息時，攻擊者截取了標(biāo)簽發(fā)出的響應(yīng)信息。當(dāng)下一次讀寫器發(fā)出認(rèn)證請求時，攻擊者把截取到的

9、信息發(fā)送給讀寫器，從而(cng r)通過讀寫器對它的認(rèn)證。拒絕服務(wù)攻擊：許多基于挑戰(zhàn)應(yīng)答方式的協(xié)議都要求每次對標(biāo)簽進行訪問時，標(biāo)簽都需要提供額外的存儲器來存儲要產(chǎn)生的隨機數(shù)，當(dāng)大量讀寫器向標(biāo)簽發(fā)送詢問信息時，標(biāo)簽的存儲器就因要存儲過多的隨機數(shù)而停止工作。13中國密碼學(xué)會組編共四十八頁RFID網(wǎng)絡(luò)(wnglu)簡介 RFID系統(tǒng)的安全需求 安全方案設(shè)計時的考慮因素基本標(biāo)簽：不能執(zhí)行加密操作，但可執(zhí)行XOR操作和簡單(jindn)的邏輯控制的標(biāo)簽。對稱密碼標(biāo)簽：指能夠執(zhí)行對稱密鑰加密操作的標(biāo)簽。公鑰密碼標(biāo)簽：指能夠執(zhí)行公開密鑰加密操作的標(biāo)簽。該分類也將RFID安全協(xié)議按順序分為三類協(xié)議。實現(xiàn)第三類

10、安全協(xié)議的一般是主動式標(biāo)簽（Active Tag），如用于集裝箱的主動標(biāo)簽、高安全非接觸卡等。14中國密碼學(xué)會組編共四十八頁RFID安全(nqun)的物理機制 RFID系統(tǒng)的安全需求 實現(xiàn)RFID安全性機制所采用的方法主要有三大類：物理方法、密碼機制，以及二者相結(jié)合的方法。 物理方法來保護RFID標(biāo)簽安全性的方法主要有如下幾類：Kill命令機制、休眠機制、阻塞機制、靜電屏蔽、主動干擾等方法。物理方法通常用于一些低成本的標(biāo)簽中，因為這些(zhxi)標(biāo)簽難以采用復(fù)雜的密碼機制來實現(xiàn)與標(biāo)簽讀寫器之間的安全通信。 15中國密碼學(xué)會組編共四十八頁RFID安全(nqun)的物理機制 RFID系統(tǒng)的安全需求

11、 Kill命令機制：由標(biāo)準(zhǔn)化組織Auto-ID Center提出的Kill命令機制是解決信息泄露的一個最簡單的方法。即從物理上毀壞標(biāo)簽(bioqin)，一旦對標(biāo)簽(bioqin)實施了Kill毀壞命令，標(biāo)簽便不能再次使用。例如，超市結(jié)賬時可禁用附著在商品上的標(biāo)簽。但是，如果RFID標(biāo)簽用于標(biāo)識圖書館中的書籍，當(dāng)書籍離開圖書館后，這些標(biāo)簽是不能被禁用的，這是因為當(dāng)書籍歸還后還需要使用相同的標(biāo)簽再次標(biāo)識書籍。 16中國密碼學(xué)會組編共四十八頁RFID安全的物理(wl)機制 RFID系統(tǒng)的安全需求 休眠機制：讓標(biāo)簽處于睡眠狀態(tài)，而不是禁用，以后可使用喚醒口令將其喚醒。困難在于喚醒口令需要和標(biāo)簽相關(guān)聯(lián)，

12、于是這就需要一個口令管理系統(tǒng)。但是，當(dāng)標(biāo)簽處于睡眠狀態(tài)時，不可能直接使用空中接口將特定的標(biāo)簽和特定的喚醒口令相關(guān)聯(lián)。因此(ync)需要另一種識別技術(shù)，例如條形碼，以標(biāo)識用于喚醒的標(biāo)簽，這顯然是不理想的。17中國密碼學(xué)會組編共四十八頁RFID安全的物理(wl)機制 RFID系統(tǒng)的安全需求 阻塞機制：隱私比特“0”表示標(biāo)簽接受無限制的公共掃描(somio)；隱私比特“1”表示標(biāo)簽是私有的。當(dāng)商品生產(chǎn)出來，并在購買之前，即在倉庫、運輸汽車、存儲貨價的時候，標(biāo)簽的隱私比特置為“0”。換句話說，任何讀寫器都可掃描它們。當(dāng)消費者購買了使用RFID標(biāo)簽的商品時，銷售終端設(shè)備將隱私比特設(shè)置為“1”。18中國密

13、碼學(xué)會組編共四十八頁RFID安全(nqun)的物理機制 RFID系統(tǒng)的安全需求 法拉第網(wǎng)罩：也稱為靜電屏蔽法。由于無線電波可被傳導(dǎo)材料做成的電容屏蔽，將貼有RFID標(biāo)簽的商品放入由金屬網(wǎng)罩或金屬箔片組成的容器中，從而阻止標(biāo)簽和讀寫器通信。由于每件商品都需使用一個網(wǎng)罩，提高了成本。主動干擾：標(biāo)簽用戶通過一個設(shè)備主動廣播無線電信號用于阻止或破壞附近的RFID讀寫器操作。但該方法可能干擾附近其他合法RFID系統(tǒng)，甚至(shnzh)阻塞附近其他無線電信號系統(tǒng)。19中國密碼學(xué)會組編共四十八頁RFID安全(nqun)密碼協(xié)議舉例1 Hash鎖協(xié)議 標(biāo)簽的鎖定過程如下：讀寫器選定一個隨機密鑰key，并計算m

14、etaID=H(key)。讀寫器寫metaID到標(biāo)簽。標(biāo)簽進入(jnr)鎖定狀態(tài)。讀寫器以metaID為索引，將(metaID，key，ID)存儲到本地后端數(shù)據(jù)庫。20中國密碼學(xué)會組編共四十八頁RFID安全密碼(m m)協(xié)議舉例1 Hash鎖協(xié)議 Hash-Lock協(xié)議的執(zhí)行過程(guchng) 讀寫器向標(biāo)簽發(fā)送認(rèn)證請求，用“Query”表示，即向標(biāo)簽發(fā)出問詢其標(biāo)識的請求。將metaID發(fā)送給讀寫器。讀寫器將metaID轉(zhuǎn)發(fā)給后端數(shù)據(jù)庫。后端數(shù)據(jù)庫查詢自己的數(shù)據(jù)庫，如果找到與metaID匹配的項，則將該項的（key，ID）發(fā)送給讀寫器，其中ID為待認(rèn)證標(biāo)簽的標(biāo)識；否則，返回給讀寫器認(rèn)證失敗信息

15、。讀寫器將從后端數(shù)據(jù)庫接收的部分信息key發(fā)送給標(biāo)簽。標(biāo)簽驗證metaID=H(key)是否成立，如果成立，則將其ID發(fā)送給讀寫器。讀寫器比較從標(biāo)簽接收到的ID是否與后端數(shù)據(jù)庫發(fā)送過來的ID一致，若一致，則對標(biāo)簽的認(rèn)證通過；否則認(rèn)證失敗。21中國密碼學(xué)會組編共四十八頁 Hash-Lock協(xié)議(xiy)22中國(zhn u)密碼學(xué)會組編共四十八頁RFID安全密碼(m m)協(xié)議舉例1 隨機化Hash鎖協(xié)議 隨機化Hash鎖協(xié)議的執(zhí)行過程如下：讀寫器向標(biāo)簽發(fā)送認(rèn)證請求“Query”。生成(shn chn)一個隨機數(shù)R，計算H(IDk|R)，其中IDk為標(biāo)簽的標(biāo)識。標(biāo)簽將（R, H(IDk|R)）發(fā)送

16、給讀寫器。讀寫器向后端數(shù)據(jù)庫請求獲得所有標(biāo)簽的標(biāo)識。后端數(shù)據(jù)庫將自己數(shù)據(jù)庫中的所有標(biāo)簽的標(biāo)識（ID1, ID2, IDn）發(fā)送給讀寫器。讀寫器檢查是否有某個IDj (1jn)，使得H (IDj|R)成立；如果有，則對標(biāo)簽的認(rèn)證通過，并且把IDj發(fā)送給標(biāo)簽。標(biāo)簽驗證。IDj與IDk是否相同，如相同，則對讀寫器的認(rèn)證通過。23中國密碼學(xué)會組編共四十八頁 隨機化Hash鎖協(xié)議(xiy)24中國(zhn u)密碼學(xué)會組編共四十八頁RFID安全密碼(m m)協(xié)議舉例1 Hash鏈協(xié)議 在系統(tǒng)運行之前，標(biāo)簽和后端數(shù)據(jù)庫首先要共享一個(y )初始秘密值st,1，則標(biāo)簽和讀寫器之間執(zhí)行第j次Hash鏈的過程如

17、下：讀寫器向標(biāo)簽發(fā)送認(rèn)證請求（Query）。標(biāo)簽使用當(dāng)前的秘密值st,j計算at,j=G(st,j)，并更新其秘密值為st,j+1=H(st,j)，標(biāo)簽將at,j發(fā)送給讀寫器（G也是一個密碼學(xué)安全的hash函數(shù)）。讀寫器將at,j轉(zhuǎn)發(fā)給后端數(shù)據(jù)庫。后端數(shù)據(jù)庫系統(tǒng)針對所有的標(biāo)簽數(shù)據(jù)項查找并計算是否存在某個IDt(1tn)及是否存在某個j (1jm)，其中m為系統(tǒng)預(yù)先設(shè)定的最大鏈長度，使得at,j = G(Hj-1(st,1)成立。如果有，則認(rèn)證通過，并將IDt發(fā)送給標(biāo)簽；否則，認(rèn)證失敗。25中國密碼學(xué)會組編共四十八頁Hash鏈協(xié)議(xiy)26中國密碼(m m)學(xué)會組編共四十八頁RFID安全(n

18、qun)密碼協(xié)議舉例1 Good Reader協(xié)議 協(xié)議過程如下：當(dāng)讀寫器發(fā)送問詢消息給標(biāo)簽以開始認(rèn)證。標(biāo)簽產(chǎn)生一個隨機數(shù)，并把此隨機數(shù)發(fā)送給讀寫器，同時，標(biāo)簽計算(j sun)a(k)*= H(ReaderID|k)。讀寫器將接收到的隨機數(shù)發(fā)送給后臺數(shù)據(jù)庫，后臺數(shù)據(jù)庫利用k和已存有的讀寫器標(biāo)識ReaderID進行計算：a(k)=H(ReaderID|k)。然后，數(shù)據(jù)庫將所得數(shù)據(jù)a(k)發(fā)送給讀寫器。讀寫器將接收到的a(k)發(fā)送給標(biāo)簽。標(biāo)簽通過比較先前計算過的a(k)*和接收到的a(k)是否相等來判別讀寫器的合法性。27中國密碼學(xué)會組編共四十八頁Good Reader協(xié)議(xiy)28中國(z

19、hn u)密碼學(xué)會組編共四十八頁RFID安全密碼(m m)協(xié)議舉例2 David數(shù)字圖書館協(xié)議 系統(tǒng)(xtng)運行之前，后端數(shù)據(jù)庫和每一個標(biāo)簽之間需要預(yù)先共享一個秘密值s，該協(xié)議的執(zhí)行過程如下：讀寫器生成一個秘密隨機數(shù)RR，向標(biāo)簽發(fā)送認(rèn)證請求Query，將RR也發(fā)送給標(biāo)簽。標(biāo)簽生成一個隨機數(shù)RT，使用自己的ID和秘密值s計算 = IDifs(0, RR, RT)，標(biāo)簽將 (RT, )發(fā)送給讀寫器。讀寫器將(RT, )轉(zhuǎn)發(fā)給后端數(shù)據(jù)庫。后端數(shù)據(jù)庫檢查是否有某個IDi (1in)，滿足IDi = fs(0, RR, RT)；如果有，則對標(biāo)簽的認(rèn)證通過，并計算 = IDifs(1, RR, RT)

20、，然后將發(fā)送給讀寫器。讀寫器將轉(zhuǎn)發(fā)給標(biāo)簽。標(biāo)簽驗證IDi =fs(1, RR, RT)是否成立，如成立，則對讀寫器的認(rèn)證通過。29中國密碼學(xué)會組編共四十八頁David數(shù)字(shz)圖書館RFID協(xié)議30中國(zhn u)密碼學(xué)會組編共四十八頁RFID安全密碼協(xié)議(xiy)舉例2 分布式RFID雙向認(rèn)證協(xié)議該分布式RFID雙向認(rèn)證協(xié)議的執(zhí)行過程如下：讀寫器生成(shn chn)一個隨機數(shù)RReader，向標(biāo)簽發(fā)送認(rèn)證請求Query，將RReader發(fā)送給標(biāo)簽。標(biāo)簽生成一個隨機數(shù)RTag，計算H(ID|RReader|RTag)，其中，ID為標(biāo)簽的標(biāo)識。標(biāo)簽將(H(ID| RReader |RTa

21、g),RTag)發(fā)送給讀寫器。讀寫器將(H(ID|RReader|RTag), RReader, RTag)發(fā)送給后端數(shù)據(jù)庫。后端數(shù)據(jù)庫檢查是否有某個IDj (1jn)，使得H(IDj| RReader|RTag) = H(ID| RReader|RTag)成立；如果有，則對標(biāo)簽的認(rèn)證通過，并將H(IDj|RTag)發(fā)送給讀寫器。讀寫器將H(IDj|RTag)發(fā)送給標(biāo)簽，標(biāo)簽驗證H(IDj|RTag)與H(ID|RTag)是否相同，如相同，則對讀寫器的認(rèn)證通過。31中國密碼學(xué)會組編共四十八頁分布式RFID雙向認(rèn)證(rnzhng)協(xié)議32中國(zhn u)密碼學(xué)會組編共四十八頁RFID安全密碼(

22、m m)協(xié)議舉例2 基于Hash的ID變化協(xié)議 基于Hash的ID變化協(xié)議的執(zhí)行過程如下：讀寫器向標(biāo)簽發(fā)送Query認(rèn)證(rnzhng)請求。標(biāo)簽將當(dāng)前回話號加1，并將H(ID)，H(TID*ID)，TID發(fā)送給讀寫器；其中，H(ID)可以使得后端數(shù)據(jù)庫恢復(fù)出標(biāo)簽的標(biāo)識，TID則可以使得后端數(shù)據(jù)庫恢復(fù)出TID（TID+LST=TID），進而計算出H(TID*ID)。讀寫器將H(ID)、H(TID*ID)、TID轉(zhuǎn)發(fā)給后端數(shù)據(jù)庫。依據(jù)所存儲的標(biāo)簽信息，后端數(shù)據(jù)庫檢查所接收到數(shù)據(jù)的有效性。如果所有的數(shù)據(jù)全部有效，則它產(chǎn)生一個秘密隨機數(shù)R，并將(R，H(R*TID*ID)發(fā)送給讀寫器。然后，數(shù)據(jù)庫更

23、新該標(biāo)簽的ID為IDR，并相應(yīng)地更新TID和LST。讀寫器將（R，H(R*TID*ID)）轉(zhuǎn)發(fā)給標(biāo)簽。標(biāo)簽驗證所接收的信息的有效性；如果有效，則認(rèn)證通過。33中國密碼學(xué)會組編共四十八頁基于(jy)Hash的ID變化協(xié)議34中國密碼(m m)學(xué)會組編共四十八頁RFID安全密碼(m m)協(xié)議舉例2 LCAP協(xié)議 LCAP協(xié)議的執(zhí)行過程如下：讀寫器生成一隨機數(shù)R，向標(biāo)簽發(fā)送Query認(rèn)證請求，將R發(fā)送給標(biāo)簽。標(biāo)簽計算HaID = H(ID)和HL(ID|R)，其中ID為標(biāo)簽的標(biāo)識，HL(ID|R)表示hash函數(shù)H輸出的左半部分；標(biāo)簽將(HaID, HL(ID|R)發(fā)送給讀寫器。讀寫器將(HaID,

24、 R, HL(ID|R)發(fā)送給后端數(shù)據(jù)庫。后端數(shù)據(jù)庫檢查歷史（Prev）數(shù)據(jù)庫條目中HaID的值是否與所接收到的HaID一致，如果一致，則使用(shyng)R和數(shù)據(jù)條目中的ID信息來計算HR(ID|R)，其中HR(ID|R)表示hash函數(shù)H輸出的右半部分。然后，后端數(shù)據(jù)庫更新當(dāng)前（Curr）數(shù)據(jù)條目中的信息如下：HaID = H(IDR)，ID=IDR。Prev數(shù)據(jù)條目中的TD數(shù)據(jù)域設(shè)為HaID=H(IDR)。最后，將HR(ID|R)發(fā)送給讀寫器。讀寫器將HR(ID|R)轉(zhuǎn)發(fā)給標(biāo)簽。標(biāo)簽驗證HR(ID|R)的有效性。如果有效，則更新其ID為IDR。35中國密碼學(xué)會組編共四十八頁LCAP協(xié)議(

25、xiy)36中國密碼(m m)學(xué)會組編共四十八頁協(xié)議(xiy)的安全性分析與證明 安全協(xié)議分析方法簡介 使用可證明安全性理論來證明協(xié)議的安全性主要包括以下5個主要過程(guchng)： 協(xié)議中涉及通信模型的描述；該模型下安全目標(biāo)的形式化定義；安全假設(shè)說明（基于的計算復(fù)雜性困難問題）；協(xié)議的形式化描述；協(xié)議在該安全模型內(nèi)達到其安全目標(biāo)的證明。37中國密碼學(xué)會組編共四十八頁協(xié)議的安全性分析(fnx)與證明 密鑰分配協(xié)議的安全性證明 協(xié)議定義(dngy)為一個多項式時間可計算的三元組： P = (, , LL)，描述誠實方的行為，描述S的行為，LL描述用戶主密鑰的初始分布。協(xié)議參與方為I=0, 1,

26、 2, N（0代表可信中心S），敵手為E。協(xié)議參與者的所有預(yù)言機（Oracle）只能被動地回答攻擊者E對它們進行的各種問詢（Query），Oracle之間并不直接進行通信。38中國密碼學(xué)會組編共四十八頁協(xié)議的安全性分析(fnx)與證明 密鑰分配協(xié)議的安全性證明 敵手模型：E控制所有合法方之間的通信（如可以控制協(xié)議啟動時間、篡改、替換或刪除數(shù)據(jù)等），形式化為一個概率圖靈機（Polynomial Turing Machine），能訪問模型中的所有預(yù)言機，即Oracle 和Oracle ，其中i, jI。形式化了成員i試圖和成員j協(xié)商一個會話密鑰的通信實例S，形式化了S試圖給i、j分配會話密鑰的通信

27、實例。E所能發(fā)起的攻擊(gngj)形式化為5種Oracle問詢：(SendPlayer, i, j, S, x)；(SendS, i, j, S, x)；(Reveal, i, j, S)；(Corrupt, i, K)；(Test, i, j, S)。前4種Oracle問詢可以是多項式的，形式化了E所能發(fā)動的各種攻擊，如竊聽、已知會話密鑰、重放、收買某合法方等攻擊，(Test, i, j, S)則只能問詢一次，是為了定義安全性而提供的“測試”O(jiān)racle（即挑戰(zhàn)預(yù)言機）。39中國密碼學(xué)會組編共四十八頁協(xié)議的安全性分析(fnx)與證明 密鑰分配協(xié)議的安全性證明 (SendPlayer, i,

28、j, S, x)：E可以向Oracle 發(fā)送消息。該Oracle按照協(xié)議規(guī)范應(yīng)答一個響應(yīng)消息。(SendS, i, j, S, x)：E可以向Oracle 發(fā)送消息。該Oracle按照協(xié)議規(guī)范應(yīng)答一個響應(yīng)消息。(Reveal, i, j, S)：收到此問詢的Oracle，返回它協(xié)商得到的會話密鑰。如果該Oracle的狀態(tài)不是“已接受”（Accepted），那么返回一個符號表示(biosh)終止。(Corrupt, i, K)：此問詢要求被問詢的協(xié)議參與者返回它擁有的長期私鑰。相應(yīng)地，回答過Corrupt問詢的實體的狀態(tài)被稱為“已攻陷”（Corrupted）。(Test, i, j, S)：E可

29、以向一個Oracle發(fā)出Test問詢。E將收到該Oracle所擁有的會話密鑰或者一個隨機值。具體來說，該預(yù)言機通過隨機猜測bR 0,1來回答此查詢。40中國密碼學(xué)會組編共四十八頁協(xié)議(xiy)的安全性分析與證明 密鑰分配協(xié)議的安全性證明 協(xié)議的安全性定義為：敵手的成功是以其在進行Test問詢之后以區(qū)分會話密鑰與隨機密鑰的優(yōu)勢來衡量的。除合理性（Validity）之外，敵手得到Oracle問詢(Test, i, j, S)的回答后，對Challenge進行“猜測”，得到正確應(yīng)答的優(yōu)勢函數(shù)為 Adv(k) = (2PrGoodGuess-1)，如果該值是可忽略的，則稱協(xié)議是安全的。這里，當(dāng)敵手發(fā)起

30、Test詢問時，Oracle回答如下：bR 0,1，如果b=0，返回一個(y )隨機數(shù)，否則返回敵手要得到的會話密鑰；如果敵手對b的取值猜測正確，就稱事件“GoodGuess”發(fā)生，敵手成功。敵手隨機猜測成功的概率為1/2。該優(yōu)勢值與安全參數(shù)k相關(guān)。上述定義就是表明，如果敵手的猜測成功的概率偏離1/2的值是可忽略的，則敵手失敗，即意味著協(xié)議是安全的。41中國密碼學(xué)會組編共四十八頁協(xié)議(xiy)的安全性分析與證明 RFID協(xié)議的BR安全性證明 用Oracle查詢(chxn)來模型化攻擊者A的能力。用T表示Tag，用R表示Tag讀寫器，兩者參與的RFID協(xié)議為P。協(xié)議雙方都可以發(fā)起P的多個實例，用

31、表示第i個Tag實例，用表示第j個讀寫器實例。攻擊者A可以進行如下Oracle查詢：Query(，m1，m3)：該查詢刻畫了攻擊者A通過前向信道（從讀寫器到標(biāo)簽）向T發(fā)送消息m1（消息1），并在接收到T的應(yīng)答后再向T發(fā)送消息m3（消息3）；Send(，m2)：該查詢刻畫了攻擊者A通過反向信道（從標(biāo)簽到讀寫器）向R發(fā)送消息m2，并接收R之應(yīng)答；Execute(，)：該查詢刻畫了攻擊者A執(zhí)行T和R之間的協(xié)議P的一個實例，并獲得通過前向信道和反向信道交換的所有消息；42中國密碼學(xué)會組編共四十八頁協(xié)議的安全性分析(fnx)與證明 RFID協(xié)議的BR安全性證明 Execute*(，)：該查詢刻畫了攻擊者A執(zhí)行T和R之間的協(xié)議P的一個實例，但是攻擊者A僅能獲得通過前向信道交換的所有消息；Corrupt(，sk)：該查