1、具行蹤隱私之低成本RFID系統(tǒng)A Low-cost RFID System with Location Privacy研究生：林宏叡指導(dǎo)教授：陳昱仁 助理教授報(bào)告日期：97年1月16號(hào)TWSIC進(jìn)度報(bào)告1動(dòng)機(jī)嵌有Tag之商品販?zhǔn)劢o消費(fèi)者後，Tag的資訊理應(yīng)為消費(fèi)者所擁有，商家若在消費(fèi)者不知情的狀況下讀取這些資訊，即可能侵犯消費(fèi)者的隱私；如果要徹底保護(hù)消費(fèi)者的隱私資訊，任何一方欲讀取其Tag，儘管其身分合法，都應(yīng)該經(jīng)過(guò)消費(fèi)者的同意2比較：表示未考慮：表示在特定情況下可能遭受攻擊3方法設(shè)計(jì) 本研究延伸方法20，保留方法原本之安全特性，並且加入訊息分割之機(jī)制，在Tag的擁有權(quán)轉(zhuǎn)移到消費(fèi)者時(shí)，讓消費(fèi)者

2、輸入一自選通行碼，利用此通行碼將Tag上的資訊進(jìn)行訊息分割動(dòng)作；因此任何合法之Reader若想讀取消費(fèi)者之Tag，皆須取得消費(fèi)者同意，輸入通行碼才能成功讀取研究假設(shè)Tag具有基本的運(yùn)算能力，可以執(zhí)行加法、XOR運(yùn)算等較簡(jiǎn)單之計(jì)算假設(shè)後端資料庫(kù)以及Reader的通訊是建立在安全的通道 4研究方法設(shè)計(jì)（續(xù)）研究方法架構(gòu)及設(shè)計(jì)讀取驗(yàn)證階段 資料驗(yàn)證與 更新階段資料寫入Tag 階段5資料庫(kù)設(shè)計(jì)與建置本研究沿用了方法20的三張資料表，包含Query Table、Key Table、Data Table，並將原本Confuse Table替換為Secret TableQuery Table：儲(chǔ)存用來(lái)讓Ta

3、g與Reader計(jì)算身分驗(yàn)證訊息的共享秘密Key Table：儲(chǔ)存用來(lái)加密Tag對(duì)應(yīng)Bar_code之金鑰及其他資訊 Data Table：儲(chǔ)存Tag所對(duì)應(yīng)的資訊 Secret Table：儲(chǔ)存用來(lái)混淆跟還原Tag產(chǎn)生之隨機(jī)亂數(shù)的共享秘密6資料庫(kù)設(shè)計(jì)與建置（續(xù)）Query Table欄位名稱用途說(shuō)明Key_table_ID主索引，16bits，可用來(lái)找到Tag上對(duì)應(yīng)的隱藏資訊M、S及AKM16bits，代表其對(duì)應(yīng)到之Key_table_ID共有幾把金鑰S16bits，用來(lái)混淆RND_mix1這個(gè)資訊，以避免此資訊被大量收集，洩漏重要資訊AK96bits，用來(lái)組合還原A這個(gè)驗(yàn)證碼，藉此達(dá)到雙向鑑

4、別之機(jī)制Key Table欄位名稱用途說(shuō)明Key_table_ID16bits，和Index為複合索引，參照Query table中的Key_table_IDIndex16bits，紀(jì)錄使用該Key_table_ID的第幾把金鑰，所以Index之範(fàn)圍在0與M-1之間CK96bits，用來(lái)加解密的串流加密（Stream Cipher）金鑰CF96bis，用來(lái)混淆Bar_code的原始格式，以避免已知明文攻擊7資料庫(kù)設(shè)計(jì)與建置（續(xù)）Data Table欄位名稱用途說(shuō)明Bar_code主索引，96bits，可用來(lái)找到Tag上對(duì)應(yīng)資料記錄，本研究採(cǎi)用EPC標(biāo)準(zhǔn)DataTag所代表的資料，可依照需求自行

5、設(shè)置大小Key_table_ID16bits，為該Tag上的Key_table_ID資訊Index16bits，為該Tag上的Index資訊Password32bits，為該Tag用來(lái)鑑別Reader身分及取得寫入權(quán)限的資訊Secret Table欄位名稱用途說(shuō)明Secret _ID16bits，用來(lái)找到Reader與Tag共享秘密Secret的資訊Secret96bits，Reader與Tag的共享秘密，用來(lái)混淆及還原Tag所產(chǎn)生之隨機(jī)亂數(shù)8Tag欄位設(shè)計(jì) Tag欄位的設(shè)計(jì)如下圖 （擁有權(quán)為商家）：Bar_code_mix_E 的產(chǎn)生方式是將Bar_code與CF做XOR運(yùn)算產(chǎn)生Bar_co

6、de_mix，再利用CK加密，產(chǎn)生Bar_code_mix_E C是用來(lái)判斷Tag擁有權(quán)的欄位，初始值為0 ET和RT則為計(jì)數(shù)器，分別紀(jì)錄寫入錯(cuò)誤次數(shù)以及讀取次數(shù)，初始值分別為3跟1 Tag總資料共占438bits 9Tag欄位設(shè)計(jì)（續(xù)）Tag欄位的設(shè)計(jì)如下圖 （擁有權(quán)為消費(fèi)者）：擁有權(quán)轉(zhuǎn)移之後，會(huì)先將Tag上C欄位的值更改為1 進(jìn)行訊息分割利用消費(fèi)者自選任意長(zhǎng)度之通行碼U_Pwd的雜湊值h（U_Pwd）與Secret做XOR運(yùn)算，產(chǎn)生Secret_mix，再寫入到Tag10方法操作流程Tag(1)Hello(2)Key_table_ID+R1、Secret_ID、C、SecretR1Read

7、erDB(2)ET、RT歸零，產(chǎn)生亂數(shù)R1(3)根據(jù)C判斷是否轉(zhuǎn)移。若是，要求輸入通行碼，計(jì)算h(U_Pwd)(3)Secret_ID(3)Secret(3)利用Secret還原R1或是利用Secret h(U_Pwd)還原R1。再用R1推回key_table_ID(4)Key_table_ID(4)AK、M(5)Reader計(jì)算A=(M6 v AK)R1(6)取A的左邊Left_Area個(gè)位元，變成LeftA(4)Reader計(jì)算Left_Area=(R1 mod 26)+16(6)LeftA讀取驗(yàn)證階段之查詢Tag流程圖：若已轉(zhuǎn)移，則為Secret_mixSecret TableQuery

8、 Table11方法操作流程（續(xù)）讀取驗(yàn)證階段之查詢Tag流程說(shuō)明：Reader發(fā)送Hello訊息Tag將ET和RT欄位歸零，產(chǎn)生亂數(shù)R1儲(chǔ)存於欄位R，並回傳Key_table_ID+R1、Secret_ID、C、SecretR1（若Tag擁有權(quán)為消費(fèi)者則為Secret_mixR1）給ReaderReader根據(jù)C的值判斷Tag擁有權(quán)是否轉(zhuǎn)移，若是，則進(jìn)入步驟3-A；若否，則進(jìn)入步驟3-B3-A商家請(qǐng)求消費(fèi)者輸入通行碼，計(jì)算h（U_Pwd）；Reader依照Secret_ID到Secret Table查詢Secret；將Secret與h（U_Pwd）做XOR運(yùn)算產(chǎn)生Secret_mix；再將S

9、ecret_mixR1與Secret_mix做XOR運(yùn)算，還原R1，即可利用R1推回Key_table_ID3-BReader依照Secret_ID到Secret Table查詢Secret，將SecretR1和Secret作XOR運(yùn)算，還原R1，即可利用R1推回Key_table_ID12方法操作流程（續(xù)）讀取驗(yàn)證階段之查詢Tag流程說(shuō)明（續(xù)）：Reader利用Key_table_ID查出對(duì)應(yīng)的AK及M，並計(jì)算Left_Area=（R1 mod 26）+16Reader算出A，A=（M6 v AK）R1（v表示OR運(yùn)算、表示AND運(yùn)算），其中M6=MA（M）=M|M|M|M|M|MReade

10、r取A的左邊Left_Area個(gè)位元，變成LeftA（LeftA=Left（A, Left_Area），並傳送給Tag 13方法操作流程（續(xù)）讀取驗(yàn)證階段之驗(yàn)證Reader流程圖：開始(1)RT=RT+1RT=1?重送攻擊不回應(yīng)否是(2)計(jì)算Left_Area(3)計(jì)算A ，取得LeftA(3)LeftA=LeftA非法Reader否是(4)Tag產(chǎn)生R2(5)計(jì)算RND_mix1(6)計(jì)算RND_mix2(7)Tag回應(yīng)Bar_code_mix_ER2、RND_mix1、RND_mix2結(jié)束RND_mix1= (R2+M) AK S6RND_mix2= (Index+AK+R2)M614方法

11、操作流程（續(xù)）讀取驗(yàn)證階段之驗(yàn)證Reader流程說(shuō)明：計(jì)算RT=RT+1，並判斷RT是否等於1，是則往下進(jìn)行，不是則就不回應(yīng)Tag計(jì)算Left_Area=（R1 mod 26）+16依照Tag所儲(chǔ)存之值推導(dǎo)出A=（M6 v AK）R1，取A左邊Left_Area個(gè)位元，變成LeftA（LeftA=Left（A, Left_Area），並和Reader送來(lái)的LeftA比對(duì)，相同表示Reader是合法的，如不合法Tag將不回應(yīng)Tag重新產(chǎn)生亂數(shù)R2，存於欄位RTag計(jì)算RND_mix1=（R2+M）AKS6，其中S6=SA（S）=S|S|S|S|S|STag計(jì)算RND_mix2=（Index+AK

12、+R2）M6Tag回應(yīng)Bar_code_mix_ER2、RND_mix1、與RND_mix2給Reader15方法操作流程（續(xù)）資料驗(yàn)證與更新階段之驗(yàn)證Tag資訊流程圖：開始(1)依照Tag先前傳來(lái)的Key_table_ID查出M、AK、S(2)(3)Reader算出R2、Index(4)(5)依照Key_table_ID、Index查出CK、CF，並解出Bar_code，查出Key_table_ID*及Index*(5)Key_table_ID=Key_table_ID* ，Index=Index*非法Tag否是結(jié)束16方法操作流程（續(xù)）資料驗(yàn)證與更新階段之驗(yàn)證Tag資訊流程說(shuō)明：Reade

13、r依照先前收到的Key_table_ID到Query Table查出M、AK和SReader計(jì)算R2=（RND_mix1AK）S6-MReader計(jì)算Index=（RND_mix2M6）-R2-AKReader依照Key_table_ID和Index到Key Table查出CK和CF，並將（Bar_code_mix_ER2） XOR R2，解出Bar_code_mix_E，再利用CK將Bar_code_mix_E解密為Bar_code_mix，再將Bar_code_mix XOR CF得到 Bar_codeReader依照Bar_code到Data Table資料庫(kù)查出Key_table_ID

14、*、Index*，並和Tag傳來(lái)的值比對(duì)，如相同表示Tag合法，將Tag的舊紀(jì)錄Data更新處理後得到Data 17方法操作流程（續(xù)）Reader(1)Data(2)隨機(jī)選擇一筆紀(jì)錄(2)Key_table_ID、M、 AK、S資料驗(yàn)證與更新階段之更新流程圖：DBData TableQuery Table(4)Key_table_ID、Index(4)CK、CF(5)Reader計(jì)算Bar_code_mix=Bar_codeCF 1並用CK加密為Bar_code_mix_E(6)隨機(jī)選擇一筆紀(jì)錄Secret Table(6)Secret_ID 、Secret(7)進(jìn)行Tag擁有權(quán)判斷Key T

15、able(3)隨機(jī)產(chǎn)生Index ，並檢查是否重複18方法操作流程Tag擁有權(quán)轉(zhuǎn)移流程圖：開始C設(shè)定為1要求消費(fèi)者輸入一新的通行碼或更改舊的通行碼U_Pwd計(jì)算Secret_mix=h(U_Pwd) Secret判斷Tag是否欲轉(zhuǎn)移 或已經(jīng)轉(zhuǎn)移C設(shè)定為0否結(jié)束19方法操作流程（續(xù)）資料驗(yàn)證與更新階段之更新流程說(shuō)明： 將Data寫入Data Table在Query Table隨機(jī)選取一筆資料，找到新的Key_table_ID、M、AK、S，並檢查Key_table_ID是否和舊的Key_table_ID重複，若有重複則須重新產(chǎn)生產(chǎn)生新的Index，並檢查是否和舊的Index重複Reader依照K

16、ey_table_ID、Index找到CK和CFReader將Bar_codeCF得到Bar_code_mix，並利用CK，將Bar_code_mix加密成Bar_code_mix_E， Bar_code_mix_E=ECK（Bar_code_mix）20方法操作流程（續(xù)）資料驗(yàn)證與更新階段之更新流程說(shuō)明（續(xù)）：Reader在Secret Table隨機(jī)選擇一筆紀(jì)錄Secret_ID及Secret，並檢查Secret_ID是否和舊的Secret重複進(jìn)行Tag擁有權(quán)轉(zhuǎn)移判斷；若Tag擁有權(quán)為商家且不進(jìn)行轉(zhuǎn)移消費(fèi)者之動(dòng)作，將C的值設(shè)定為0，並進(jìn)入資料寫入Tag階段；若Tag擁有權(quán)欲轉(zhuǎn)移至消費(fèi)者，或

17、原本即為消費(fèi)者，則將C的值設(shè)定為1，並進(jìn)入步驟7-A做訊息分割動(dòng)作7-A此時(shí)要求使用者輸入一新的通行碼U_Pwd或者更改舊的通行碼，並利用此通行碼之雜湊值h(U_Pwd)，與Secret做XOR運(yùn)算，產(chǎn)生Secret_mix，完成訊息分割動(dòng)作，並進(jìn)入資料寫入Tag階段21方法操作流程（續(xù)）Tag(1)寫入命令與訊息(2) Success/ErrorReaderDB(1) 根據(jù)C和C的值決定欲寫入的訊息(寫入訊息格式請(qǐng)參照文字說(shuō)明的步驟1)，並送出寫入命令(4)Key_table_ID 、Index資料寫入Tag階段流程圖：(2) 檢查ET是否為3，若否，則檢查Password是否正確，正確則檢

18、查CRC值是否正確。最後執(zhí)行寫入動(dòng)作(3)恢復(fù)Lock狀態(tài)22方法操作流程（續(xù)）資料寫入Tag階段流程說(shuō)明：Reader檢查C與C兩個(gè)數(shù)值，若為0、0，進(jìn)入步驟1-A；若為0、1，進(jìn)入步驟1-B；，若為1、1；進(jìn)入步驟1-B1-AReader送出寫入命令，與欲寫入的訊息：PasswordR2、Key_table_IDR2、Secret_ID R2、Secret Secret 、Bar_code_mix_E Bar_ code_ mix _E、M M、Index Index、 S S、AK AK、C、CRC（Key_table_ID| Secret_ID| Secret| Bar_code _

19、mix_E|M|Index|S|AK| C）1-BReader送出寫入命令，與欲寫入的訊息：PasswordR2、Key_table_IDR2、Secret_ID R2、Secret_mix Secret 、Bar_code_mix_E Bar_ code_ mix _E、M M、Index Index、 S S、AK AK、C、CRC（Key_table_ID|Secret_ID|Secret_mix| Bar_ code_ mix_E|M|Index|S|AK| C）23方法操作流程（續(xù)）資料寫入Tag階段流程說(shuō)明（續(xù)）：1-CReader送出寫入命令，與欲寫入的訊息：PasswordR2

20、、Key_table_IDR2、Secret_ID R2、Secret_mix Secret_mix 、Bar_code_mix_E Bar_ code_ mix _E、M M、Index Index、 S S、AK AK、C、CRC（Key_table_ID|Secret_ID|Secret_mix| Bar_ code_ mix_E|M|Index|S|AK| C）24方法操作流程（續(xù)）資料寫入Tag階段流程說(shuō)明（續(xù)）：Tag收到寫入命令後，先檢查是否ET=3，若是，則禁止寫入；若否，則計(jì)算Password=（PasswordR2）XOR R2，並檢查是否與Password相等，若不相等計(jì)

21、算ET=ET+1，丟棄此訊息；若相等，Tag變成Unlock狀態(tài)，將相關(guān)訊息還原後，計(jì)算CRC（Key_table_ID | Secret_ID|Secret(或Secret_mix)| Bar_code_mix_E |M|Index|S| AK|C），並比較與Reader送來(lái)的值是否相符，若相符則存入Tag對(duì)應(yīng)欄位，並回應(yīng)Success訊息給Reader，若不吻合回應(yīng)Error訊息 25方法操作流程（續(xù)）資料寫入Tag階段流程說(shuō)明（續(xù)）：Tag更新完資料後，恢復(fù)Lock狀態(tài)（唯讀）Reader若收到Success訊息，將Key_table_ID，Index寫回Data Table，若收到Error訊息或未收到任何訊息，將不更新資料庫(kù) 26參考文獻(xiàn)11Y.Z Li, Y.S Jeong, N. Sun, S.H Lee, “Low-cost Authentication Protocol of the RFID System Using Partial ID,” International Conference on Computational Intelligence and Security, Vol. 2, pp. 1221-1224, November, 2006. 12J. Ma, A. Nakamura, R. Huang, “