引 言

物聯(lián)網(wǎng)是指通過信息傳感設(shè)備，遵照約定的協(xié)議，將物體與局部網(wǎng)絡(luò)或互聯(lián)網(wǎng)等形成物與物相聯(lián)，實現(xiàn)信息化和智能化識別、定位、跟蹤監(jiān)控以及遠(yuǎn)程管理控制的網(wǎng)絡(luò) [1]。在物聯(lián)網(wǎng)環(huán)境中，數(shù)據(jù)傳輸和通訊都是通過無線傳感網(wǎng)絡(luò)進(jìn)行傳輸，由RFID 智能標(biāo)簽和讀取RFID 標(biāo)簽信息的識別設(shè)備組成終端設(shè)備，為了保證物聯(lián)網(wǎng)控制系統(tǒng)的安全，需要確保物聯(lián)網(wǎng)系統(tǒng)中信息來源的真實性以及接入設(shè)備的合法性。但是接入物聯(lián)網(wǎng)系統(tǒng)的終端設(shè)備數(shù)量繁多，信息規(guī)格特點多樣，接入設(shè)備長期處于無人值守的情形且設(shè)備間通訊缺少監(jiān)控和保護(hù)，更重要的是由于設(shè)備不具備高性能運(yùn)算能力，其認(rèn)證協(xié)議一般都相對簡單，種種因素致使物聯(lián)網(wǎng)系統(tǒng)中信息來源的安全性受到嚴(yán)峻的考驗。在物聯(lián)網(wǎng)系統(tǒng)中，信息來源的不確定性主要包括 ：終端設(shè)備的非授權(quán)使用；非法讀取節(jié)點信息 ；假冒終端設(shè)備或感知節(jié)點 ；設(shè)備脆弱等。

為了保證物聯(lián)網(wǎng)控制系統(tǒng)中信息來源的可靠性，需要對進(jìn)行信息交互的雙方進(jìn)行身份認(rèn)證，以此建立可信任的通信關(guān)系，確保信息安全可靠。目前，針對物聯(lián)網(wǎng)RFID 終端的認(rèn)證協(xié)議主要有兩大類 ：RFID 設(shè)備物理保護(hù)方法和基于密碼學(xué)的身份認(rèn)證機(jī)制。物理保護(hù)方法主要利用物理原理對 RFID 設(shè) 備在物理層面進(jìn)行防護(hù)，從根源上杜絕信息來源不安全等問 題，主要方法有有源干擾法 [2]、標(biāo)簽移除法 [3]、靜電屏蔽法 [4] 等。 該方法能在一定程度上保護(hù) RFID 設(shè)備的身份安全和接入安 全，但是也降低了 RFID 設(shè)備應(yīng)用的靈活性和合法使用率，并 不能完全滿足物聯(lián)網(wǎng)系統(tǒng)中對接入設(shè)備信息來源的真實性以及 設(shè)備身份安全性的需求?；诿艽a學(xué)的身份認(rèn)證機(jī)制按照認(rèn)證方向可以分為單向認(rèn)證協(xié)議和雙向認(rèn)證協(xié)議，單向認(rèn)證協(xié)議有 Hash-Lock 協(xié)議、隨機(jī) Hash-Lock 協(xié)議 [5] 和 Hash-Chain[6] 協(xié)議。單向認(rèn)證協(xié)議無法識別與其通信設(shè)備的合法性，很容易受到非法讀卡器的控制，并造成信息泄漏。雙向認(rèn)證協(xié)議有雜湊的ID 變化協(xié)議 [7]、LCAP 協(xié)議 [8] 和重加密協(xié)議 [9]，它雖然具有較好的安全效果，但同時也容易出現(xiàn)終端設(shè)備和后臺數(shù)據(jù)庫信息不同步的情況。

為了更好地解決典型物聯(lián)網(wǎng)環(huán)境下 RFID設(shè)備身份認(rèn)證的問題，本文以詢問- 響應(yīng)的RFID認(rèn)證協(xié)議為基礎(chǔ)，通過改進(jìn)雙向認(rèn)證協(xié)議，引入備份終端、告警機(jī)制、狀態(tài)檢測設(shè)備和增加認(rèn)證屬性，提出一種適合物聯(lián)網(wǎng)控制環(huán)境的RFID雙向認(rèn)證機(jī)制，使身份認(rèn)證協(xié)議具有良好的安全與隱私保護(hù)特性， 提高了物聯(lián)網(wǎng)系統(tǒng)的可靠性。

1 RFID雙向認(rèn)證協(xié)議

基于詢問 - 響應(yīng)的 RFID 雙向認(rèn)證協(xié)議由 Keunwoo Rhee[10] 等人于 2005提出，該協(xié)議采用詢問- 響應(yīng)的方式對RFID進(jìn)行認(rèn)證，在單向hash加密基礎(chǔ)上加入雙隨機(jī)數(shù)，提升了 RFID 認(rèn)證內(nèi)容的不可預(yù)見性，使 RFID認(rèn)證協(xié)議更加安全，其認(rèn)證過程如圖 1所示。

基于詢問- 響應(yīng)的RFID 認(rèn)證協(xié)議較好地解決了物聯(lián)網(wǎng)環(huán)境下 RFID 設(shè)備身份的認(rèn)證問題，同時解決了RFID 前后端數(shù)據(jù)不同步的問題，可有效避免同步攻擊，適用于分布式數(shù)據(jù)庫環(huán)境下的身份認(rèn)證。由于該協(xié)議還能有效抵抗其他 hash 認(rèn)證方式容易受到的重放攻擊、欺騙式攻擊、位置跟蹤和流量分析等攻擊，是目前較為完善的物聯(lián)網(wǎng)RFID 認(rèn)證協(xié)議。

在詢問- 響應(yīng)的RFID 認(rèn)證協(xié)議中，也存在一些不足之處： 首先，整個系統(tǒng)并沒有終端設(shè)備備份以及對備份設(shè)備進(jìn)行身份認(rèn)證機(jī)制 ；其次，它只對 RFID 的ID 進(jìn)行認(rèn)證，并未提出和擴(kuò)展RFID 的其他認(rèn)證屬性 ；最后，協(xié)議中未包含認(rèn)證不通過以及不通過后的告警模塊。

2 改進(jìn) RFID雙向認(rèn)證協(xié)議

針對詢問- 響應(yīng)的RFID 認(rèn)證協(xié)議的缺陷，本文通過引入備份終端、告警機(jī)制、狀態(tài)檢測設(shè)備和增加認(rèn)證屬性來提升和改進(jìn)RFID 身份認(rèn)證協(xié)議，使認(rèn)證機(jī)制進(jìn)一步適用于物聯(lián)網(wǎng)控制系統(tǒng)。

(1) 引入備份設(shè)備。在控制系統(tǒng)中為每個終端設(shè)備配備備份設(shè)備，備份設(shè)備和終端設(shè)備具有相同的功能，當(dāng)終端設(shè)備受到攻擊或發(fā)生故障而導(dǎo)致無法完成身份認(rèn)證時，用備份設(shè)備完成身份認(rèn)證。

(2) 引入狀態(tài)監(jiān)測設(shè)備，增加認(rèn)證屬性。通過狀態(tài)監(jiān)測設(shè)備監(jiān)測終端設(shè)備的工作狀態(tài)，獲取狀態(tài)信息并發(fā)送給識別讀卡設(shè)備，同加密過的設(shè)備 ID一起作為身份認(rèn)證的判定屬性。

(3) 引入告警機(jī)制。當(dāng) RFID身份認(rèn)證未通過或者出現(xiàn)錯誤時，告警模塊發(fā)出告警信息并告知告警類型。

改進(jìn)后的RFID 認(rèn)證協(xié)議如圖 2 所示。

3 RFID雙向認(rèn)證過程

3.1 設(shè)備初始化

在設(shè)備初始化過程中，將終端主設(shè)備和備份設(shè)備初始化， 狀態(tài)監(jiān)測設(shè)備與主設(shè)備聯(lián)通。

3.2 主設(shè)備認(rèn)證

主設(shè)備認(rèn)證主要的過程步驟如下：

（1）識別讀卡設(shè)備向終端主設(shè)備和狀態(tài)監(jiān)測設(shè)備發(fā)送身份認(rèn)證請求，并將產(chǎn)生的隨機(jī)數(shù)發(fā)送給終端主設(shè)備 ；

（2）狀態(tài)監(jiān)測設(shè)備獲取終端主設(shè)備的工作狀態(tài)信息，并 對信息進(jìn)行 hash 函數(shù)加密，向識別讀卡設(shè)備發(fā)送加密后的狀 態(tài)信息 ； 

（3）終端主設(shè)備產(chǎn)生新的隨機(jī)數(shù)，同時將自身 ID 和兩個 隨機(jī)數(shù)級聯(lián)進(jìn)行 hash 函數(shù)加密后發(fā)送給識別讀卡設(shè)備 ； 

（4）識別讀卡設(shè)備接收到的加密狀態(tài)信息、加密 ID 認(rèn)證 數(shù)據(jù)和兩個隨機(jī)數(shù)，同時發(fā)送到后臺數(shù)據(jù)庫系統(tǒng) ； 

（5）所有設(shè)備信息保存在后臺數(shù)據(jù)庫，將 ID 與兩個隨機(jī) 數(shù)級聯(lián)并進(jìn)行 hash，同時對該設(shè)備的正常運(yùn)行狀態(tài)信息進(jìn)行 hash，與接收到的加密 ID 認(rèn)證數(shù)據(jù)和加密狀態(tài)信息進(jìn)行比對， 如果兩組信息均完成了匹配，則完成了后臺對終端設(shè)備的認(rèn)證， 服務(wù)器將該設(shè)備 ID 和終端設(shè)備產(chǎn)生的隨機(jī)數(shù)進(jìn)行 hash 并發(fā) 送給識別讀卡設(shè)備，之后轉(zhuǎn)到步驟（6）；若未找到兩組信息完 全匹配的設(shè)備信息，則認(rèn)證失敗，告警模塊發(fā)出認(rèn)證失敗告警； 

（6）識別讀卡設(shè)備接收到后臺數(shù)據(jù)庫發(fā)送的 hash 數(shù)據(jù)后， 將該數(shù)據(jù)發(fā)送給終端設(shè)備 ； 

（7）終端設(shè)備收到識別讀卡設(shè)備發(fā)送的 hash 數(shù)據(jù)后，將 自身 ID 和自身產(chǎn)生的隨機(jī)數(shù)進(jìn)行級聯(lián)并 hash，與收到的數(shù)據(jù) 進(jìn)行比對，如果匹配成功，則完成了終端設(shè)備對后臺的認(rèn)證， 進(jìn)而完成整個 RFID 雙向認(rèn)證過程。

4 結(jié) 語

本文提出的基于物聯(lián)網(wǎng)控制系統(tǒng)的 RFID 雙向改進(jìn)認(rèn)證 協(xié)議具有良好的安全性與隱私保護(hù)特性，具體表現(xiàn)在以下幾個 方面 ：

（1）RFID 的 ID 信息都是經(jīng)過 hash 函數(shù)加密后進(jìn)行傳輸 的，在認(rèn)證時利用隨機(jī)數(shù)來擾亂數(shù)據(jù)傳輸?shù)囊?guī)律性，從而很 難對 ID 進(jìn)行追蹤 ； 

（2）只有通過相互認(rèn)證的后臺和終端設(shè)備才能進(jìn)行通信， 保證了控制后臺和終端設(shè)備 ID 的真實性 ； 

（3）將隨機(jī)數(shù)干擾加入到每次的認(rèn)證過程中，及時更新 認(rèn)證后的 ID 和狀態(tài)信息，可有效抵抗重放攻擊 ； 

（4）狀態(tài)監(jiān)測設(shè)備可監(jiān)測終端設(shè)備的工作狀 態(tài)，及時發(fā)現(xiàn)終端設(shè)備故障 ； 

（5）當(dāng)終端主設(shè)備出現(xiàn)故障或遭受攻擊時， 備份設(shè)備可隨時代替主設(shè)備進(jìn)行身份認(rèn)證，保證終 端設(shè)備服務(wù)的連續(xù)性 ； 

（6）當(dāng)認(rèn)證未通過時，告警模塊發(fā)出告警信息， 操作人員可根據(jù)告警信息類型采取不同措施對設(shè) 備進(jìn)行修復(fù)。 

通過以上分析可知，改進(jìn)后的 RFID 認(rèn)證協(xié) 議提高了身份認(rèn)證的可靠性，同時，能夠保證整個物聯(lián)網(wǎng)系統(tǒng)的安全，是一種物聯(lián)網(wǎng)環(huán)境下控制系統(tǒng)的身份認(rèn) 證機(jī)制。