原标题：基于物联网控制系统的RFID双向认证协议研究设计方案

　　引 言

　　物联网是指通过信息传感设备，遵照约定的协议，将物体与局部网络或互联网等形成物与物相联，实现信息化和智能化识别、定位、跟踪监控以及远程管理控制的网络 [1]。在物联网环境中，数据传输和通讯都是通过无线传感网络进行传输，由RFID 智能标签和读取RFID 标签信息的识别设备组成终端设备，为了保证物联网控制系统的安全，需要确保物联网系统中信息来源的真实性以及接入设备的合法性。但是接入物联网系统的终端设备数量繁多，信息规格特点多样，接入设备长期处于无人值守的情形且设备间通讯缺少监控和保护，更重要的是由于设备不具备高性能运算能力，其认证协议一般都相对简单，种种因素致使物联网系统中信息来源的安全性受到严峻的考验。在物联网系统中，信息来源的不确定性主要包括 ：终端设备的非授权使用;非法读取节点信息 ;假冒终端设备或感知节点 ;设备脆弱等。

　　为了保证物联网控制系统中信息来源的可靠性，需要对进行信息交互的双方进行身份认证，以此建立可信任的通信关系，确保信息安全可靠。目前，针对物联网RFID 终端的认证协议主要有两大类 ：RFID 设备物理保护方法和基于密码学的身份认证机制。物理保护方法主要利用物理原理对 RFID 设 备在物理层面进行防护，从根源上杜绝信息来源不安全等问 题，主要方法有有源干扰法 [2]、标签移除法 [3]、静电屏蔽法 [4] 等。 该方法能在一定程度上保护 RFID 设备的身份安全和接入安 全，但是也降低了 RFID 设备应用的灵活性和合法使用率，并 不能完全满足物联网系统中对接入设备信息来源的真实性以及 设备身份安全性的需求。基于密码学的身份认证机制按照认证方向可以分为单向认证协议和双向认证协议，单向认证协议有 Hash-Lock 协议、随机 Hash-Lock 协议 [5] 和 Hash-Chain[6] 协议。单向认证协议无法识别与其通信设备的合法性，很容易受到非法读卡器的控制，并造成信息泄漏。双向认证协议有杂凑的ID 变化协议 [7]、LCAP 协议 [8] 和重加密协议 [9]，它虽然具有较好的安全效果，但同时也容易出现终端设备和后台数据库信息不同步的情况。

　　为了更好地解决典型物联网环境下 RFID设备身份认证的问题，本文以询问- 响应的RFID认证协议为基础，通过改进双向认证协议，引入备份终端、告警机制、状态检测设备和增加认证属性，提出一种适合物联网控制环境的RFID双向认证机制，使身份认证协议具有良好的安全与隐私保护特性， 提高了物联网系统的可靠性。

　　1 RFID双向认证协议

　　基于询问 - 响应的 RFID 双向认证协议由 Keunwoo Rhee[10] 等人于 2005提出，该协议采用询问- 响应的方式对RFID进行认证，在单向hash加密基础上加入双随机数，提升了 RFID 认证内容的不可预见性，使 RFID认证协议更加安全，其认证过程如图 1所示。

　　基于询问- 响应的RFID 认证协议较好地解决了物联网环境下 RFID 设备身份的认证问题，同时解决了RFID 前后端数据不同步的问题，可有效避免同步攻击，适用于分布式数据库环境下的身份认证。由于该协议还能有效抵抗其他 hash 认证方式容易受到的重放攻击、欺骗式攻击、位置跟踪和流量分析等攻击，是目前较为完善的物联网RFID 认证协议。

　　在询问- 响应的RFID 认证协议中，也存在一些不足之处： 首先，整个系统并没有终端设备备份以及对备份设备进行身份认证机制 ;其次，它只对 RFID 的ID 进行认证，并未提出和扩展RFID 的其他认证属性 ;最后，协议中未包含认证不通过以及不通过后的告警模块。

　　2 改进 RFID双向认证协议

　　针对询问- 响应的RFID 认证协议的缺陷，本文通过引入备份终端、告警机制、状态检测设备和增加认证属性来提升和改进RFID 身份认证协议，使认证机制进一步适用于物联网控制系统。

　　(1) 引入备份设备。在控制系统中为每个终端设备配备备份设备，备份设备和终端设备具有相同的功能，当终端设备受到攻击或发生故障而导致无法完成身份认证时，用备份设备完成身份认证。

　　(2) 引入状态监测设备，增加认证属性。通过状态监测设备监测终端设备的工作状态，获取状态信息并发送给识别读卡设备，同加密过的设备 ID一起作为身份认证的判定属性。

　　(3) 引入告警机制。当 RFID身份认证未通过或者出现错误时，告警模块发出告警信息并告知告警类型。

　　改进后的RFID 认证协议如图 2 所示。

　　3 RFID双向认证过程

　　3.1 设备初始化

　　在设备初始化过程中，将终端主设备和备份设备初始化， 状态监测设备与主设备联通。

　　3.2 主设备认证

　　主设备认证主要的过程步骤如下：

　　(1)识别读卡设备向终端主设备和状态监测设备发送身份认证请求，并将产生的随机数发送给终端主设备 ;

　　(2)状态监测设备获取终端主设备的工作状态信息，并 对信息进行 hash 函数加密，向识别读卡设备发送加密后的状 态信息 ;

　　(3)终端主设备产生新的随机数，同时将自身 ID 和两个 随机数级联进行 hash 函数加密后发送给识别读卡设备 ;

　　(4)识别读卡设备接收到的加密状态信息、加密 ID 认证 数据和两个随机数，同时发送到后台数据库系统 ;

　　(5)所有设备信息保存在后台数据库，将 ID 与两个随机 数级联并进行 hash，同时对该设备的正常运行状态信息进行 hash，与接收到的加密 ID 认证数据和加密状态信息进行比对， 如果两组信息均完成了匹配，则完成了后台对终端设备的认证， 服务器将该设备 ID 和终端设备产生的随机数进行 hash 并发 送给识别读卡设备，之后转到步骤(6);若未找到两组信息完 全匹配的设备信息，则认证失败，告警模块发出认证失败告警;

　　(6)识别读卡设备接收到后台数据库发送的 hash 数据后， 将该数据发送给终端设备 ;

　　(7)终端设备收到识别读卡设备发送的 hash 数据后，将 自身 ID 和自身产生的随机数进行级联并 hash，与收到的数据 进行比对，如果匹配成功，则完成了终端设备对后台的认证， 进而完成整个 RFID 双向认证过程。

　　4 结 语

　　本文提出的基于物联网控制系统的 RFID 双向改进认证 协议具有良好的安全性与隐私保护特性，具体表现在以下几个 方面 ：

　　(1)RFID 的 ID 信息都是经过 hash 函数加密后进行传输 的，在认证时利用随机数来扰乱数据传输的规律性，从而很 难对 ID 进行追踪 ;

　　(2)只有通过相互认证的后台和终端设备才能进行通信， 保证了控制后台和终端设备 ID 的真实性 ;

　　(3)将随机数干扰加入到每次的认证过程中，及时更新 认证后的 ID 和状态信息，可有效抵抗重放攻击 ;

　　(4)状态监测设备可监测终端设备的工作状 态，及时发现终端设备故障 ;

　　(5)当终端主设备出现故障或遭受攻击时， 备份设备可随时代替主设备进行身份认证，保证终 端设备服务的连续性 ;

　　(6)当认证未通过时，告警模块发出告警信息， 操作人员可根据告警信息类型采取不同措施对设 备进行修复。

　　通过以上分析可知，改进后的 RFID 认证协 议提高了身份认证的可靠性，同时，能够保证整个物联网系统的安全，是一种物联网环境下控制系统的身份认 证机制。