論文封面格式

Similar documents

6-1-1極限的概念

所 3 學分課程, 及兩門跨領域課程共 6 學分以上課程學生在修課前, 必須填寫課程修課認定表, 經班主任或指導教授簽名後始認定此課程學分 ) 10. 本規章未盡事宜, 悉依學位

Microsoft Word doc

Microsoft Word - ch07

目錄項目內容頁數 1 手機要求 3 2 登記程序 3 3 登入程序 4 4 輸入買賣指示 6 5 更改指示 14 6 取消指示 18 7 查詢股票結存 21 8 查詢買賣指示 23 9 更改密碼查詢股

實德證券網上交易系統示範

五四五說 ( 代序 ) 李澤厚劉再復 I I II IV V VII 第一篇五四新文化運動批評提綱附論一中國貴族精神的命運 ( 提綱 )

證券簡易下單 :2121 證券簡易下單 1. 主工具列的視窗搜尋器直接輸入點擊主選單證券專區下單特殊下單 2121 證券簡易下單畫面說明 1. 下單區 2. 個股行情資訊與

第 6. 節不定積分的基本公式我們可以把已經知道反導函數之所有函數都視為不定積分的基本公式基本公式涵蓋的範圍愈大, 我們求解積分就愈容易, 但有記憶不易的情事研讀

寫作背景導讀 [98] L Lyman Frank Baum

二兒歌選用情形 ( ) 2 ( ) ( )

Microsoft Word - 第四章.doc

骨折別日數表 1. 鼻骨眶骨 ( 含顴骨 ) 14 天 11. 骨盤 ( 包括腸骨恥骨坐骨薦骨 ) 40 天 2. 掌骨指骨 14 天 12. 臂骨 40 天 3. 蹠骨趾骨 14 天 13. 橈骨與尺骨 40 天 4. 下顎 ( 齒

教師相關 ( 升等, 依業務需 002 交通管科評鑑, 評量, 徵,C031, 聘, 各項考試委 C051,C054, 員, 通訊錄等 ),C057, C058,C063 各項會議紀錄依業務需 C001,, 002,130 交通管科 (

四修正幼兒園師資類科應修學分數為四十八學分, 並明定學分數抵免之相關規定及規範修習幼兒園教育專業課程之最低年限 ( 修正條文第五條 ) 五發給修畢師資職前教育證明

Microsoft PowerPoint - 資料庫正規化(ccchen).ppt

內政統計通報

前項第三款所定有機農產品及有機農產加工品驗證基準, 如附件一第七條驗證機構受理有機農產品及有機農產加工品之驗證, 應辦理書面審查實地查驗產品檢驗及驗證決定之

授課老師章節第一章教學教具間 3 分鐘粉筆 CNC 銑床教學內容 CNC 銑床之基本操作教材來源數值控制機械實習 Ⅰ 1. 了解 CNC 銑床的發展 2. 了解 CNC 銑床刀具的選用 3. 了解

修課特殊規定 : 一法律系學生最低畢業學分 128;101 學年度修讀法律系雙主修學生應修畢法律專業目 64 學分 ( 限修習本校法律系開設課程, 不得以原學系或外校課程抵免 -

二零零六至零七年施政報告

<30332EAAFEA5F3A440A142A447A142A454A142A57CA147BEC7A5CDB14DB77EC3D2B7D3BEC7B2DFA661B9CF2E786C73>

ART_RAE16_ticket_cn_p.1

目錄壹題目 1: 新增商品 ( 商品名稱為玉井芒果乾禮盒 )... 3 貳題目 2: 新增商品 ( 商品名稱為紅磚布丁精選禮盒 )... 5 參題目 3: 新增商品 ( 商品名稱為晶鑽 XO 醬禮盒 ).

BSP 烤箱 - 封面-2

研究一：n人以『剪刀、石頭、布』猜拳法猜拳一次，決定一人勝

Microsoft Word - Draft circular on Sub Leg Apr (chi)_Traditional

2 2.1 A H ir@abchina.com 2

校長遴選者就相關遴選事項, 有程序外之接觸遴選會委員在任期間因故無法執行任務或有不適當之行為者, 由各該主管機關解聘之 ; 其缺額, 依第一項至第五項規定聘 ( 派 ) 委

業是國家的根本, 隨著科技的進步與社會的富裕, 增加肥料的施用量與農病蟲害防治方法的提升, 使得糧食產量有大幅的增長, 但不當的農業操作, 如過量的肥料農藥施用等, 對

e-Submission System Quick Reference Guide for Publication Related Matters (Chinese version)

Microsoft Word - 立法會十四題附件.doc

PROSPECT EXPLORATION 壹前言第 9 卷第 2 期中華民國 100 年 2 月

<4D F736F F D20B3E6A4B830312D2D2DBCC6BD75BB50BEE3BCC6AABAA55BB4EEB942BAE22E646F6378>

長跨距暨挑高建築特殊結構系統之調查分析

肆研究方法進行本研究前, 我們首先對研究中所用到名詞作定義定義 : 牌數 : 玩牌時所使用到撲克牌數次數 : 進行猜心術遊戲時, 重複分牌次數數 : 進行猜心術遊戲時, 每次分

101年度社會福利方案網路線上操作手冊

前言民主黨施政報告建議書民主黨立法會議員二零零九年九月

目錄頁 1. 歡迎使用網上預約面談訪問系統新用戶新用戶登入帳戶程序啟動網上預約面談訪問帳戶核對帳戶的地址資料

BOT_BS_audited_96

行政院金融監督管理委員會全球資訊網-行政院金融監督管理委員會

期交所規則、規例及程序

教育實習問與答:

CONTENTS 訓練內容設計法 056 淡季期的訓練 058 旺季期的訓練 060 針對爬坡賽的訓練內容 062 賽後的資料分析 PART4/ 鏑木毅先生的建言活用於越野路跑的心跳訓

支持機構 : 社會文化司主辦機構 : 澳門學聯澳門青年研究協會電話 : 傳真 : 網址 : 報告主筆 : 李略博士數據錄

一、資格條件：

NCKU elearning Manual

目錄一系統登入... 2 ( 一 ) 系統登入畫面... 2 ( 二 ) 首次登入請先註冊... 3 ( 三 ) 忘記單位帳號... 8 ( 四 ) 忘記密碼 ( 五 ) 健保卡更換 ( 六 ) 重寄確認信.

關於教育部學習拍立得教育部於 (103) 年度整合各縣市政府部屬機構大學及民間的數位資源與服務, 依不同類型, 分別匯集於教育大市集教育百科教育媒體影音教育部學習拍

2.報考人數暨錄取或及格率按類科分_1試

連江縣政府所屬學校兼任代課及代理教師聘任實施要點（草案）

第二組掃描器規範書

( ) 1 5 ( ) ( ) ( )

HSBC Holdings plc Interim Report Chinese

奇妙的 24 摘要從撲克牌中隨機抽取 4 張牌可以有 1820 種牌組, 在這 1820 種牌組中, 有 1362 組可經由四則運算的方式, 算出 24 點, 有 458 組無解快速求解的方法有相加法因數

105年7月14日糖尿病研討會簡章-衛生局版_docx

格成績證明第六條第七條本系大四課程中規劃日本韓國越南專題研究, 學生需於大四時修習該課程, 並於規定期間內提出專題報告, 取得合格成績證明本系規定學生畢業時需取

2 工礦衛生技師證明文件者火災學消防法規警報系統消防安全設備專技人員專門職業及技術人員高等考試技師考試高考 ( 專技 ) 專科三高等檢定相當類科及格者四消防設備

行政院金融監督管理委員會全球資訊網-行政院金融監督管理委員會

8,530 1,056 52% % % % % 1 30,000 25,000 20,000 15,000 10,000 5, ,072 24,043 21,950 24,684 17,

PowerPoint 簡報

一業務內容本公司依郵政法第 5 條得經營下列業務 : 單位 : 新臺幣千元,% ,486,746, ,318,734, ,039,301,167

「家加關愛在長青」計劃完成表現及評估報告

桃園市104年國民中學新進教師甄選各校複試方式及需求表

二具有博士學位或其同等學歷證書, 成績優良並有專門著作者, 得聘為助理教授三具有博士學位或其同等學歷證書, 曾從事與所習學科有關之研究工作專門職業或職務四年以上

Microsoft Word - 雲林區_免試平台_國中模擬選填_操作手冊.doc

壹、組織編制代碼：C0101意見反映

( 第 4 項 ) 第 1 項及第 2 項投資抵減之適用範圍核定機關申請期限申請程序施行期限抵減率及其他相關事項, 由行政院定之行為時促進產業升級條例第 6 條第 2 項及第 4 項分

包裝維生素礦物質類之錠狀膠囊狀食品營養標示應遵行事項一本規定依食品安全衛生管理法第二十二條第三項規定訂定之二本規定所稱維生素礦物質類之錠狀膠囊狀食品, 指

第一章緒論

( 五 ) 財務會計理論研討 3 學分 ( 六 ) 審計理論研討 3 學分 ( 七 ) 管理會計理論研討 3 學分第四條選修科目 : ( 一 ) 數量方法 3 學分 ( 二 ) 財務會計專題研討 ( 一 ) 3 學分

業是國家的根本, 隨著科技的進步與社會的富裕, 增加肥料的施用量與農病蟲害防治方法的提升, 使得糧食產量有大幅的增長, 但不當的農業操作, 如過量的肥料農藥施用等, 對

PowerPoint 簡報

(3) 澳門特別行政區之稅務知識及 (4) 商法典 ( 二 ) 重新批准註冊為註冊會計師 / 專業會計員之筆試科目如下 : (1) 澳門特別行政區之稅務知識及 (2) 商法典 ( 三 ) 考試範

Microsoft PowerPoint - 102教師升等說明會

(Microsoft Word - MOODLE990201\266i\266\245\244\342\245U )

第 2 頁理由現行計劃 3. 現時, 學生如欲在考試費減免計劃下申領考試費減免, 必須符合以下資格 - (a) 首次應考香港中學會考 ( 下稱會考 ) 1 或香港高級程度會考 ( 下稱高考

<4D F736F F F696E74202D20B2C431B860C2B2B3F82DC2BEB77EBEC7AED5B77CAD70BEC7BDD2B57BBAF5AD6EA65DC0B3B0EABBDAB77CAD70B7C7AB AE74B2A7A4C0AA E BACDBAE65BCD2A6A15D>

CP70D0026D61ETW0R01-01-印刷

駛學校順成駕駛學校新中華駕駛學校新社亮汽車電單車教授駕駛學校有限公司新順成汽車駕駛學校及新福利駕駛學校有限公司其中除新福利只提供輕型汽車 ( 自動 ) 教學課

100 學年度科技校院四年制及專科學校二年制日間部聯合登記分發入學各校系科組學程總成績統計表 ( 一般生 ) 類別代碼學校名稱系科組學程名稱 01 機械 066 正修科技大學

(Microsoft Word \245\277\244\361\273P\244\317\244\361.doc)

國立屏東師範學院教育心理與輔導研究所

Microsoft Word - LCEWA01_090110_00066.doc

斷, 讓每個孩子在學習過程是跟自己比較跟自己競爭, 以提升個人學習的意願, 讓學生明確知道自己的學習成果, 而非僅得知測驗分數若能完善運用如此有效的資訊, 相信在十二

Transcription:

中華大學碩士論文有效率的 RFID 認證協定基於二次剩餘密碼系統 An Efficient RFID Authentication Protocol based on Quadratic Residue Cryptosystem 系所別 : 資訊工程學系碩士班學號姓名 :M09702043 邱煥訓指導教授 : 吳林全博士中華民國 100 年 8 月

摘要無線射頻辨識系統 (RFID) 是近幾年發展的一項相當具有潛力的技術在 2003 年美國百貨業的龍頭沃爾瑪 (Wal-Mart) 百貨公司針對前一百大供應商, 訂定在 2005 年前必須將所有商品附加 RFID 標籤的目標, 為供應鏈管理的技術帶來革命性的轉變然而, 我國的行政院經濟部也於 2005 年率先推動一個在公有領域應用 RFID 的計畫, 並且引導私人企業投入研發這兩項發展引起產學界的關注, 而在日後 RFID 也廣泛地應用在各種領域之中近年來 RFID 應用的普及, 造就了我們便利的生活, 但也引發了各種安全性的質疑, 因此有許多學者針對這些問題提出了改善的方法在本論文中, 我們將回顧近年來的一些 RFID 認證協定, 並針對 2008 年 Chen 等學者所提出的基於二次剩餘密碼系統所設計之 RFID 認證協定和 2010 年 Yeh 等學者改善 Chen 等學者的方法中容易遭受偽造攻擊和重送攻擊的問題提出效率方面改善的方法我們的方法除了能夠改善 Yeh 方法的效率, 同時也能夠保留相同的安全性質, 在標籤和伺服器各別只需要 1 次二次剩餘運算, 比 Chen 的方法各需要 2 次和 Yeh 的方法各需要 3 次還少, 所以能夠大量的減少標籤和伺服器的負擔, 而其他運算的次數也明顯減少, 因此非常適合用於利用二次剩餘密碼系統所設計之有效率的無線射頻辨識系統中關鍵字 :RFID 認證二次剩餘密碼系統資訊安全 i

ABSTRACT Radio Frequency Identification (RFID) is the popular technology in recent years. Wal-Mart is the leader of department store in the U.S., and it requests all goods for the top 100 suppliers must be attached RFID tag before 2006. It produces a serious change with the supply chain management of RFID technology. Moreover, Ministry of Economic Affairs takes the lead promote a plan in 2005 that uses the RFID in the public places. It also guides the development of private enterprises. They raise the concerns of industry and academia. The RFID technology will be applied in each kind of domain in the future. Recently, the popularity of RFID applications creates a convenient life. It also brings various security issues. There are many scholars presented solutions to improve these problems. In this paper, we will review some recent RFID authentication protocols. In 2008, Chen et al. presented the authentication protocol based on quadratic residue cryptosystem. Yeh et al. s pointed out that Chen et al. s scheme is vulnerable to impersonation attack and replay attack and submitted the improved scheme in 2010. Our proposed scheme is not only increase efficiency in RFID, but also retains the same safety properties. It needs only one quadratic residual operation in the tag and server respectively. The total numbers of operations in our scheme are less than Chen et al. s and Yeh et al. s schemes. Therefore, the proposed RFID authentication scheme is better in efficiency based on quadratic residue cryptosystem. Keywords:RFID Authentication Quadratic residue cryptosystem Security ii

誌謝寫著這致謝的同時, 也將整個碩士班生涯快速的瀏覽一遍, 果然, 記憶裡那種痛苦掙扎的感覺是淡了些, 而那些曾經在緊要關頭讓我突破困境向前拼的關鍵畫面卻還是一樣鮮明! 一直以來我都認為這篇論文是個不可能的任務, 不止一次想要放棄, 但最後還是如期完成首先我要感謝指導教授吳林全博士的悉心教導, 使我得以一窺資訊安全領域的深奧, 不時的討論並指點我正確的方向, 使我在這些年中獲益匪淺而在寫作論文的期間, 老師辛勤的多次詳細閱讀並提出寶貴的建議幫助我修正, 而在於課業上或是課堂中的論文報告等等, 老師也不吝惜的給予意見與指導, 在此深深的感謝再來, 我也感謝在我研究所這段期間, 戴瑞成蘇俊豪劉冠廷學長吳嘉恩蔡定國同學以及陳健儒朱元佑游翔晨學弟的陪伴及支持, 不論在課業上還是日常生活的相處, 有了你們, 讓我在研究所的生活過得既充實又快樂, 在此也感謝大家最後, 我要感謝我的家人為我提供一個溫暖安靜的窩, 讓我可以沈澱忙碌的實驗和慌亂的情緒, 謝謝爸爸媽媽對我的寵愛和信任, 還有我的哥哥的鼓勵, 讓我可以全心專注在自己的課業上, 不用為許多繁瑣的事情分心在完成這份論文的過程中, 我一直是患得患失的, 而今能走到最後, 繳出一份令人滿意的成果, 最要感謝的是還是這一路上曾幫助過我的師長與朋友們, 感謝你們, 我願把這份榮耀和你們分享, 謝謝! iii

目錄摘要... i ABSTRACT... ii 誌謝... iii 目錄... iv 表目錄... vi 圖目錄... vii 一簡介... 1 1.1 動機... 2 1.2 目的... 3 1.3 大綱... 4 二背景介紹... 5 2.1 條碼... 5 2.2 無線射頻辨識系統... 6 2.3 無線射頻辨識系統和條碼的比較... 9 2.4 電子產品編碼 (Electronic Product Code)... 10 2.5 無線射頻辨識系統的安全議題... 11 2.6 二次剩餘原理及密碼系統... 12 三相關研究... 15 3.1 雜湊鎖定方法 (Hash-Locking scheme)... 15 3.2 隨機雜湊鎖定方法 (Randomized Hash-Locking scheme)... 16 3.3 Juels 的方法... 18 3.4 Wong 的方法... 19 3.5 Chen 的方法... 21 3.6 Yeh 的方法... 23 3.6.1 初始階段... 23 iv

3.6.2 認證階段... 23 3.7 主要相關研究關係圖... 25 四我們提出的方法... 27 4.1 符號及參數表... 27 4.2 環境變數設定... 28 4.3 初始階段... 28 4.4 認證階段... 28 五分析... 31 5.1 計算量的分析... 31 5.2 安全性質的分析... 32 結論... 35 參考文獻... 36 v

表目錄表 2-1 各種無線射頻辨識系統之比較表... 9 表 2-2 無線射頻辨識系統與條碼比較表... 10 表 4-1 符號及參數表... 27 表 5-1 計算量的分析... 32 表 5-2 安全性質分析... 34 vi

圖目錄圖 2-1 條碼及條碼掃瞄器... 5 圖 2-2 RFID 標籤和讀取器... 7 圖 2-3 RFID 系統的運作方法... 8 圖 3-1 雜湊鎖定方法 (Hash-Locking scheme)... 15 圖 3-2 隨機雜湊鎖定方法 (Randomized Hash-Locking Scheme)... 17 圖 3-3 Juels 的方法... 18 圖 3-4 Wong 的方法... 20 圖 3-5 Chen 的方法... 21 圖 3-6 Yeh 的方法... 24 圖 3-7 RFID 主要相關研究關係圖... 26 圖 4-1 我們的方法... 30 vii

一簡介隨著科技的進步, 人們不斷地研究出各種新的技術, 讓日常生活中各種大大小小的事都變的更加的方便, 目的就是為了改善生活的品質, 讓我們的生活更加的便利其中, 無線射頻辨識系統 (Radio Frequency Identification; 簡稱 RFID), 是近幾年來相當受到各界關注的一個身分辨識和認證的技術其實無線射頻辨識系統的技術早就已經應用在我們的日常生活中了, 不論是撘乘捷運等大眾運輸工具使用的悠遊卡出入大門所使用的 Mifare 門禁感應卡等, 都是我們目前常見的應用無線射頻辨識系統的運作是使用無線電波訊號, 識別一定的範圍之內特定的目標並且讀取所需之相關的資料, 是一種非接觸式的自動辨識技術, 取代傳統條碼 (Bar code) 系統必須近距離讀取的缺點, 因此可以節省相當多的人力和時間無線射頻辨識系統一般是由標籤 (Tag) 讀取器 (Reader) 和伺服器 (Server) 組成標籤的種類依照電力的來源分為主動式被動式和半主動式三種 [2] 雖然主動式標籤的計算能力以及儲存空間都是最佳的, 但是價格成本也是最高相較之下, 被動式標籤的成本低廉, 因此在目前的無線射頻辨識系統中大部分都是使用被動式的標籤在資料傳輸方面, 由於無線射頻辨識系統是透過無線的方式傳送重要的資料進行身分認證, 這些資料等於是暴露在外沒有受到保護的, 有心人士只要利用一些非法的技術或是器材, 便可從中攔截並獲取重要的資料所以, 如何運用標籤中有限的記憶體空間和電量去達成有效率以及安全的認證, 是相當值得我們去探討 1

1.1 動機由於無線射頻辨識系統技術的迅速發展, 在不知不覺中, 已經漸漸成為我們的日常生活的ㄧ部份, 舉例來說, 學生族上班族通勤時使用的悠遊卡各種大大小小公司存貨倉庫的物流管理醫院急診室中用來辨識病人身分的手環借書還書利用無線射頻辨識系統技術取代人力的無人圖書館等等而應用這些技術的背後, 隱私和安全的問題一定會接踵而至, 像是標籤記憶體中所儲存的個人資料外洩或是遭受到非法的複製因此, 在無線射頻辨識系統中加入完善的認證協定是目前解決隱私安全的ㄧ種方法然而, 除了滿足隱私安全之外, 整個系統的運作效率也必須納入考量因此, 我們將會設計一種安全又有效率的認證協定, 結合二次剩餘密碼系統, 利用離散場域中將一個整數進行平方的運算較為容易, 可是要將一個整數進行平方根的運算是較為困難的特性, 加強了認證協定的強度, 並且也能夠降低無線射頻辨識系統中標籤的運算量, 讓標籤能夠在有限的電力之中完成認證提升整體的效率 2

1.2 目的本篇論文中, 我們改善了前人所提出的無線射頻辨識系統認證協定方法, 此方法將二次剩餘的概念結合到認證協定中, 抵擋攻擊者的威脅和攻擊, 增加了認證過程的安全性由於無線射頻辨識系統認證協定之中所使用的標籤大多數是被動式, 標籤的計算能力和資料的儲存量都有限, 無法儲存過多的資料或是執行大量的運算因此, 如何利用最少量的計算花費達成最大的安全防護, 是所有研究無線射頻辨識系統認證協定的學者一個共同的目標我們將方法中所傳送內容以及步驟加以修正, 不僅滿足了現今的無線射頻辨識系統常見的隱私性和安全性問題, 還降低了標籤以及伺服器的運算量以及資料傳輸量目的就是為了朝著設計一個有效率的無線射頻辨識系統認證協定的目標前進 3

1.3 大綱本篇論文分為六個章節, 第一章介紹撰寫本篇論文的動機和目的, 第二章介紹無線射頻辨識系統的組成運作方法以及和前一代條碼辨識技術的比較第三章介紹無線射頻辨識系統認證協定的相關研究第四章介紹本篇論文的作法第五章將本篇提出的方法和相關研究的論文進行安全性以及計算量的比較第六章總結本篇論文以及介紹未來的展望 4

二背景介紹本章節將會介紹目前常見的物品辨識技術 - 條碼和無線射頻辨識系統, 比較兩者之間的特性操作環境和應用, 並且介紹目前無線射頻辨識系統使用的電子產品碼的標準, 以及無線射頻辨識系統中常見的隱私性和安全性的問題 2.1 條碼條碼 (Bar code)[3], 是一種依照固定規則的黑白線條所組成的一種編碼圖形, 可以記載產品的相關資訊, 例如商品名稱生產地製造商名稱製造日期等資訊條碼的運作方式, 是利用具有紅外線功能的條碼掃描器照射條碼產生反射光線, 然後利用光電轉換器將明暗度不同的光線轉換成電腦可以辨識的數位資料過去大部分的商品都是利用條碼的方式紀錄產品的資訊, 使用條碼的自由度大設備簡單成本低, 但是條碼如受到污染或損毀則無法讀取其內容, 這是使用條碼的一個嚴重的缺點如圖 2-1 所示, 條碼可分為一般條碼以及二維條碼兩種, 其中的差別再於一維條碼是依照寬度來記載數據, 長度沒有記在數據的功能, 而二維條碼的長度和寬度皆可記載數據, 另外, 二維條碼較一般條碼多了定位點的功能和容錯的機制, 最右邊則為條碼掃瞄器, 是用來讀取條碼內容的工具條碼 ( 一般 ) 二維條碼 ( 手機可讀取 ) 條碼掃瞄器 * 圖 2-1 條碼及條碼掃瞄器 * 資料來源 : 條碼掃描器, 帝商科技股份有限公司, 網址 :http://www.regalscan.com.tw/tc/ 5

2.2 無線射頻辨識系統無線射頻辨識系統早在一九五 O 年間的二次世界大戰, 就已經被英國空軍所採用, 當時是使用功率較強並且掛載電池的主動式標籤, 主要的功能是用來偵測前往機場的戰機是否屬於我方陣營, 降低了我方陣營的戰機遭受誤擊的可能性, 直到現在的航空安全系統, 都還是沿用這個方法從那之後, 無線射頻辨識系統就很少被應用到, 因此沉寂了一段日子直到 2005 年, 美國的百貨零售業的龍頭沃爾瑪 (Wal-Mart), 宣佈要求旗下所屬的前 100 大貨品供應商, 將無線射頻辨識系統導入出貨的商品中, 因此, 可以快速的識別商品來源, 大幅度的減少了倉庫管理的人事成本, 才讓無線射頻辨識系統這項技術重新被世人所關注我們將無線射頻辨識系統進行更進一步的研究或是應用之前, 必須先了解其構造以及運作的方法一個完整的無線射頻辨識系統一般是由標籤 (Tag) 讀取器 (Reader) 和伺服器 (Server) 組成標籤的內部主要是由以下的元件所組成 : 1. 天線 (Antenna) 發送或接收標籤跟讀取器之間的射頻訊號 2. 記憶體 (Memory) 用來存放標籤的相關資訊 3. 半導體晶片 (Semiconductor chip) 處理標籤運算的部分 4. 通訊控制單元 (Communication control unit) 將晶片運算後產生的資料轉換成可傳輸的訊號 5. 電力供應來源 (Power supply) 產生供應標籤運算所需花費的電力而標籤的種類依照電力來源的不同可分為以下三種 [2]: 1. 主動式 (Active): 主動式標籤本身具有電力, 可供應內部晶片處理資料所需之電量, 並且能主動發射訊號與讀取器進行資料的交換, 讀取距離較長, 資料儲存量也較大, 但所需的 6

成本也會較高 2. 被動式 (Passive): 由於被動式標籤體積較小, 內部沒有電池供給電力, 因此產生電力的方式是透過讀取器發射無線電訊號刺激內部的感應線圈晶片, 利用這些電量進行運算而產生資料, 所以當附近沒有讀取器感應時, 標籤是不會運作的由於被動式標籤的電量有限, 所以讀取距離較短, 資料儲存量也較小, 但是相對的成本也較為低廉, 可應用的範圍也較廣 3. 半主動式 (Semi-active): 半主動式標籤與被動式標籤類似, 不同的地方在於半主動式標籤具有電池可產生資料, 解決了因天線忙碌而造成訊息傳輸的問題圖 2-2 由左到右分別為讀取器依照電力供應的來源所分成的主動式標籤以及被動式標籤讀取器主動式標籤 * 被動式標籤圖 2-2 RFID 標籤和讀取器 * 資料來源 : 主動式標籤, 益眾科技股份有限公司, 網址 :http://www.icci.com.tw/ 如圖 2-3 所示, 無線射頻辨識系統的運作方法為讀取器發送查詢 (query) 的訊號來激發標籤裡的電路, 產生所需的電力提供標籤計算的能力讀取器主要的功能是發射及接收無線電訊號, 將所接受到的標籤訊息回傳給伺服器, 扮演一個中繼的角色伺服器則是存放所有標籤的內部資料以供辨識, 例如產品的名稱型號製造日期和價格等相關的資訊, 而這個固定形式的代碼我們稱為電子產品編碼 (Electronic Product 7

Code;EPC) 在資料傳輸方面, 讀取器和伺服器是透過有線傳輸, 所以比較沒有安全性方面的疑慮但是標籤和讀取器之間是利用無線的方式傳輸資料, 因此在傳輸資料的過程中容易遭受較多的安全性問題 [4] 所以在標籤到讀取器的認證防護和身分辨識機制是很重要的圖 2-3 RFID 系統的運作方法在無線射頻辨識系統當中有許多不同頻率的系統, 表 2-1 將會介紹這些系統在發射頻率運作頻率傳輸距離傳輸速度傳輸方式應用等六種的區別標籤和讀取器之間的發射頻率的種類依照使用者需求的不同可分成低頻高頻超高頻和微波四種 ; 依運作頻率來分, 低頻為 134.2Khz, 高頻為 13.56Mhz, 超高頻的運作範圍在 868Mhz~956Mhz 間, 而微波則是運作在 2.45Ghz 的頻率之中 ; 依照傳輸距離來分, 低頻系統的傳輸距離小於 0.6 公尺, 高頻系統傳輸距離約 0.6 公尺, 超高頻系統的傳輸距離為 10 公尺, 微波類型的系統的傳輸距離可達到 100 公尺, 是四種不同的發射頻率當中, 可傳送最遠的 ; 依照傳輸的速度來分, 低頻系統的傳輸速度最慢, 高頻系統的傳輸速度中等, 超高頻系統傳送的傳輸速度較快, 而微波型系統的傳輸速度最快 ; 傳輸的方式, 低頻系統和高頻系統是利用電磁感應的方式傳輸, 超高頻系統和微波型系統則是利用電波的方式傳輸 ; 這些不同類型的系統也會應用在不同的地方, 低頻系統較常應用在門禁管制上, 方便控管進出的訪客 ; 高頻系統應用於電子收費系統 - ( 悠遊卡 ) 中, 是目前最重要的應用 ; 超高頻系統主要應用於醫院的醫療照護之中, 讓 8

醫生能更迅速的掌握病人的醫療管理 ; 微波類型的系統, 主要應用在供應鏈管理, 能夠更快的了解數量龐大的貨物來源表 2-1 各種無線射頻辨識系統之比較表發射頻率低頻 (LF) 高頻 (HF) 超高頻 (UHF) 微波 (Microwave) 運作頻率 134.2KHz 13.56MHz 868~956Mhz 2.45GHz 通訊距離小於 0.6 公尺 0.6 公尺 10 公尺 1 公尺通訊速度慢中快中通訊方式電磁感應電磁感應電波電波應用門禁管制電子收費系統 ( 悠遊卡 ) 醫療照護供應鏈管理 2.3 無線射頻辨識系統和條碼的比較無線射頻辨識系統和條碼目前都還應用在各種產業之中, 本節將會介紹兩者之間的不同, 表 2-2 是無線射頻辨識系統跟條碼的比較 [5] 其中以價格來看, 條碼的花費相當低廉, 相較於使用一個要價台幣 10 元的無線射頻辨識系統標籤, 這是使用條碼的一項優點, 因此, 只要日後無線射頻辨識系統標籤的成本降低, 應用範圍將會變得更廣泛, 可望將條碼完全取代條碼一次只能讀取一個目標, 在處理大量物品時, 會花費較多的時間, 而無線射頻辨識系統可同時讀取多個標籤, 這可以讓使用者在短時間內管理大量的物品, 大幅的提升盤點的速度, 節省時間的成本條碼的資料儲存容量只有 50 位元組 (bytes) 而無線射頻辨識系統資料儲存容量可達到 1 百萬位元組 (Mega bytes), 所以可以儲存更多商品的詳細資訊, 不會受到容量上的限制條碼是以單向的方式進行資料的讀取, 而無線射頻辨識系統可以將資料以雙向的方式傳輸來進行簡易的認證, 增加系統的安全條碼資料無法更新, 而無線射頻辨識系統標籤的內容可以重複的讀寫更新一但條碼受到污染和損毀則無法讀取相關的內容, 無線射頻辨識系統的讀取器利用無線的方式讀取標籤資料, 只要內部元件不被破壞, 無論外觀遭受污染或損毀, 都不會影響原有的功能, 所以條碼的耐久度比無線射 9

頻辨識系統還來的低傳統條碼常常因為消磁的不完全而造成一些機器的誤判而引起警報, 這將會影響消費者的心情或是引起一些不必要的法律糾紛, 安全性較低所以, 無線射頻辨識系統技術的出現改善了傳統條碼的缺點, 讓我們的生活更加的便利表 2-2 無線射頻辨識系統與條碼比較表條碼 (Bar code) 無線射頻辨識系統 (RFID) 價格極低 10 元 ( 台幣 ) 讀取速度一次讀取一個條碼同時讀取多個標籤資料儲存容量小 (90-100byte) 大 (1Kbyte 以上 ) 資料傳輸方式單向傳輸雙向傳輸資料更新無法更新可重覆讀寫更新耐久度低高安全性低高 2.4 電子產品編碼 (Electronic Product Code) 無線射頻辨識系統能夠廣泛應用在全球各地, 必須先有一套大家公認的標準 (EPCglobal)[6] 所以, 當標籤在全世界的各個地方流通時, 也必須依照這個標準, 才能夠準確的提供產品辨識和分類的功能如同傳統的條碼一般, 使用前也同樣必須制定一套共通的標準目前在無線射頻辨識系統上使用的號碼, 我們稱為電子產品編碼 (Electronic Product Code;EPC), 電子產品編碼是一段獨一無二的號碼, 儲存在無線射頻辨識系統的標籤內, 可提供讀取器在產品供應鏈之中辨識特定的物品標籤中的電子產品編碼被讀取後, 可與後端伺服器進行相關的應用電子產品編碼是一個具有彈性的編碼系統, 可以依照各種不同產業需求作產品編碼上的調整, 為特定的物品產生一組編碼, 這個編碼將為此物品所獨有的電子產品編碼標籤容量大致分為 EPC-64 位元 EPC-96 位元及 EPC-128 位元三種目前標籤大多數是使用 EPC-96 位元的長度儲存資料, 儲存的內容包括商品名稱代碼製造 10

地生產日期等相關的資訊 2.5 無線射頻辨識系統的安全議題無線射頻辨識技術的發展雖然為我們的生活帶來相當大的便利性, 但是目前在安全性方面還未能夠有統一的標準倘若傳輸的資料沒有經過一道加密的手續或是沒有完整存取控制的權限, 有心人士便可以利用這項漏洞以及相關的技術, 讀取標籤中的資料, 甚至竄改標籤中的資料, 使得標籤中的資料遺失或外洩, 這是在使用無線射頻辨識系統的過程中值得我們去研究的議題以下是無線射頻辨識系統中常見隱私性和安全性的威脅 [7]: 資料機密性 (Data secrecy): 標籤中的重要資料不會輕易的暴露在傳輸過程中, 因為標籤跟讀取器的資料交換是透過無線的方式進行傳輸, 攻擊者可以經由攔截訊息的方式獲取標籤和讀取器之間的資料並加以修改一但讀取器沒有經由合法的認證程序就無法獲得儲存於標籤中的資料, 這就滿足資料機密性的條件使用者隱私 (User privacy): 攻擊者透過監控標籤傳輸到讀取器的資料後進行分析, 利用獲得的資訊得知標籤持有人的相關資訊位置隱私 (Location privacy): 攻擊者監控標籤傳輸到讀取器的資料, 利用兩者之間回應的訊息去追蹤到標籤所存放的位置資訊前向安全性 (Forward secrecy): 保存在標籤中的資料如果遭受到破解, 攻擊者可以利用這些資料獲得過去這個標籤傳輸的歷史紀錄竊聽攻擊 (Eavesdropping attack): 由於標籤到讀取器之間是利用無線的方式傳輸所需要的資訊, 等於將資料以公開的方式暴露在外, 攻擊者只需要藉由監控兩者之間的傳輸, 便可得知重要的資訊, 完成竊聽攻擊 11

重送攻擊 (Replay attack): 攻擊者監控標籤並攔截標籤和讀取器之間傳輸的內容, 進行修改後, 重新傳送標籤或讀取器所曾經發送過的資訊, 利用回應的資料企圖欺騙讀取器或標籤以通過認證阻斷式服務攻擊 (Denial of service attack): 阻斷式服務攻擊就是針對一個特定的目標傳送大量的封包, 造成後端主機的癱瘓而無法正常運作在無線射頻辨識系統中, 攻擊者發佈大量的訊息給讀取器, 企圖擾亂無線射頻辨識系統的傳輸, 雖然攻擊者無法透過此攻擊獲得標籤中的資訊, 但是卻能讓標籤和伺服器失去同步, 無法成功地完成認證偽造攻擊 (Impersonation attack): 攻擊者藉由攔截的方式獲取標籤的資料, 並且利用這些資料偽造成為一個合法的標籤, 企圖欺騙讀取器通過認證 [8] 中間人攻擊 (Man-in-the-middle attack): 中間人攻擊的意思是攻擊者竊聽兩者之間的傳輸, 在雙方都不知情的情況下, 將傳輸的內容進行修改, 並且將修改過後的內容傳送給對方, 由於傳輸並未因此中斷, 使用者如果沒有做好保護的話, 這項攻擊將很難會被發現在無線射頻辨識系統中, 攻擊者扮演中間人的角色, 冒充假的伺服器接收標籤回傳的訊息, 再冒充成假的標籤把訊息傳給真正的服務器, 那麼便可以在標籤和伺服器兩端都不知情的情況下, 竊取或修改傳輸的訊息 [9] 以上就是無線射頻辨識系統中, 較常出現的九種安全性的威脅要能夠完全避免這些威脅所帶來問題, 必須設計一個完善的認證協定, 才能夠有效的改善下個小節將會針對本篇論文提出結合二次剩餘原理的認證協定, 詳細的說明其原理以及二次剩餘密碼系統的加密和解密的程序 2.6 二次剩餘原理及密碼系統由於在無線射頻辨識系統的環境下, 可能會遭受到各種不同的攻擊者惡意的破壞, 然而目前現存的認證協定並沒有辦法完全的抵抗, 因此, 我們將會利用二次剩餘 12

的原理設計一個改良的認證協定, 使得無線射頻辨識系統能夠更加的安全二次剩餘的原理, 簡單來說, 就是當 y=x 2 mod n 的時候, 若有一整數解 x, 那麼就可以將 y 稱為 mod n 的二次剩餘 (Quadratic Residue) [14] 記為 QR n, 若沒有存在整數解, 則將 y 稱為 mod n 的非二次剩餘 (Quadratic non-residue) 記為 QNR n 因為 n 為兩個大的奇質數 p q 的乘積, 如果只知道 y 和 n 是無法利用離散對數的方法解出 x 因為將兩個大質數分解出來的困難度是相當高的, 即所謂離散對數的問題二次剩餘密碼系統是將二次剩餘的原理代入密碼系統中, 屬於公開金鑰密碼系統, 以下將解釋金鑰產生的步驟以及加解密的程序 : 金鑰產生 : 任選兩個大的質數 p 和 q, 這兩個值必須為奇數, 並且計算 n=pq 公開金鑰為 n, 私密金鑰為 p 和 q 加密程序 : 如果 x 為明文資料, 我們可以將 y=x 2 mod n 看成加密的程序,y 則是經過加密後所產生的密文資料解密程序 : 如需將所收到的密文資料進行解密, 假設 y 為 mod p 和 mod q, 則先計算 a 1 = y (p+1)/4 mod p a 2 = -y (p+1)/4 mod p b 1 =y (q+1)/4 mod q b 2 =y (q+1)/4 mod q, 因此能夠獲得以下四個解 : (1) x 1 = (a 1, b 1 ) (2) x 2 = (a 1,b 2 ) (3) x 3 = (a 2,b 1 ) (4) x 4 = (a 2,b 2 ) 由中國餘數定理得知 x 2 =y mod n 的四個解為 { x 1, x 2, x 3, x 4 }, 然而這四個解當中的只有一個解為明文資料 x 將上述的二次剩餘密碼系統, 舉個實際的例子來說, 可分為以下三個步驟 : 金鑰產生 : 選定兩個大的質數 23 和 7, 並計算 161=23*7 公開金鑰為 161, 私密金鑰為 23 和 7 加密程序 : 13

如果 24 為明文資料, 我們可以將 y = 24 2 mod 161 = 93 看成加密的程序,93 則是經過加密後所產生的密文資料解密程序 : 假設 93 為 mod 23 和 mod 7 的二次剩餘, 如需將所收到的密文資料進行解密, 則先計算 : a 1 = 93 (23+1)/4 mod 23 1 mod 23 a 2 = -93 (23+1)/4 mod 23 22 mod 23 b 1 = 93 (7+1)/4 mod 7 4 mod 7 b 2 = -93 (7+1)/4 mod 7 3 mod 7 因此能夠獲得以下四個解 : (1) x 1 = (1 mod 23, 4 mod 7) (2) x 2 = (1 mod 23, 3 mod 7) (3) x 3 = (22 mod 23, 4 mod 7) (4) x 4 = (22 mod 23, 3 mod 7) 將以上四個式子經由中國餘數定理運算後可得知,x 2 =y mod n 的四個解為 { 116, 24, 137, 45}, 然而這四個解當中, 只有一個解為原本的明文資料, 經由比對之後, 可求出明文資料為 24 14

三相關研究在這個章節中, 我們將會介紹幾位學者所發表的關於無線射頻辨識系統認證協定的相關研究,3.1 介紹雜湊鎖定的方法 3.2 介紹隨機雜湊鎖定的方法 3.3 介紹 Juels 的方法 3.4 介紹 Wong 的方法 3.5 介紹 Chen 的方法 3.6 介紹 Yeh 的方法 3.7 將本篇出現的方法以關係圖方式呈現, 做一個整理 3.1 雜湊鎖定方法 (Hash-Locking scheme) Weis[10] 等人於 2003 年提出將雜湊鎖定的方法加入認證協定中, 對於有效率的無線射頻辨識系統的認證技術是一大突破, 不過這個方法還是存在會遭受攻擊者竊聽和追蹤的問題, 圖 3-1 介紹了雜湊鎖定方法詳細的步驟伺服器 (Server) 讀取器 (Reader) 標籤 (Tag) (1)Query (3)metaID (2)metaID Hash(key)ß metaid 尋找相對應的 key (4)(key, ID) (5)key (6)ID 比對 h(key)?=metaid 如果符合標籤解鎖圖 3-1 雜湊鎖定方法 (Hash-Locking scheme) 步驟一 : 讀取器產生 Query 訊號並傳送給標籤 15

步驟二 : 標籤收到 Query 訊號後, 隨機產生一組金鑰 key, 計算 h(key) 成為標籤的 metaid 後, 傳送給讀取器步驟三 : 讀取器將收到的 metaid 回傳給伺服器步驟四 : 伺服器收到資料後, 搜尋資料庫內所有相對應的金鑰 key, 找出對應的 key, 將 key 和標籤的 ID 傳送給讀取器步驟五 : 讀取器收到後, 將 key 回傳給標籤步驟六 : 標籤收到後, 計算並比對 h(key) 是否等於 metaid, 如果符合, 標籤解鎖並且回傳 ID 給讀取器, 如果不符合, 則取消認證優點 : 標籤的運算量所需記憶體空間和傳輸的資料量極低缺點 : 讀取器和標籤之間所傳送的都是未經保護的固定資料, 攻擊者經由竊聽傳輸的內容得知標籤的內部資料 3.2 隨機雜湊鎖定方法 (Randomized Hash-Locking scheme) Weis 等人於同篇論文提出另一個隨機雜湊鎖定的方法改進了雜湊鎖定方法的缺點, 可是, 隨機雜湊鎖定的方法雖然每次傳輸的值都會變更, 可以避免攻擊者的竊聽攻擊, 但是此方法在步驟五當中, 讀取器回傳的是未經保護的 ID k, 攻擊者可以經由竊聽攻擊得知其內容, 圖 3-2 介紹了隨機雜湊鎖定方法的詳細步驟 16

伺服器 (Server) 讀取器 (Reader) 標籤 (Tag) (1)Query (3) 請求所有 ID (2)R, h(id k R) 1. 產生隨機亂數 R 2. 計算 h(id k R) (4)ID 1, ID 2,, ID n 將 R 和個別的 ID 連接後進行雜湊運算和暴力搜尋 (5)ID k 圖 3-2 隨機雜湊鎖定方法 (Randomized Hash-Locking Scheme) 步驟一 : 讀取器產生 Query 訊號並傳送給標籤步驟二 : 標籤收到後產生隨機亂數 R, 計算 h(id k R) 後將 R h(id k R) 傳送給讀取器步驟三 : 讀取器收到資料後向伺服器請求獲得所有的 ID 步驟四 : 伺服器收到請求後, 將所有標籤的 ID 資料傳送給讀取器步驟五 : 讀取器收到後, 將 R 和個別的 ID 連接後進行雜湊運算和暴力搜尋, 將 ID k 傳送給標籤, 完成這次的認證優點 : 產生隨機亂數的方法可以讓每次傳輸的值都會變更, 使得攻擊者無法透過竊聽或追蹤的方式得知標籤的資訊缺點 : 由於在步驟五中, 透過讀取器回傳給標籤的是未經保護的 ID k, 等於是將明文資料散播在無線的環境下, 攻擊者可以經由竊聽攻擊的方式攔截讀取器傳送給標籤而得知其內容 17

3.3 Juels 的方法 2004 年 Juels[11] 等人提出了一個利用雜湊函數和 MAC(Message Authentication Code) 函數先行產生一組值提供讀取器在離線的環境下驗證兩個標籤是否相對應的方法這個方法可以應用在藥品稽核中, 將兩個標籤分別貼在患者的藥品罐子和描述其副作用的清單上, 降低患者誤食的危險, 提高安全性, 圖 3-3 介紹了 Juels 方法的詳細步驟伺服器 (Server)T A 讀取器 (Reader) 標籤 (Tag)T B (1) left proof r A = f xa [c A ] (2) a = (A,C A,r A ) (3) right proof mb = MAC xb [a, c B ] m AB = MAC xa [a, b] c A c A + 1 (5)b = (B, c B, m B ) (6)m AB (4) b=(b, c B, m B ) c B c B + 1 (7)P AB =( A, B, c A, c B, m AB ) 圖 3-3 Juels 的方法步驟一 : 讀取器傳送 left proof 的訊號給標籤 T A 步驟二 : 標籤 T A 計算 r A = f xa [c A ],f 是一個安全的雜湊函數,x A 為 T A 的秘密金鑰, c A 為計數器, 然後標籤 T A 將訊息 a = (A, c A, r A ) 傳送給讀取器步驟三 : 讀取器收到 a 之後, 傳送 right proof 給標籤 T B 步驟四 : 標籤 T B 計算 m B = MAC xb [a, c B ],MAC 是一個將能訊息加密的驗證函數, x B 為 T B 的秘密金鑰,c B 為計數器, 然後標籤 T B 將訊息 b = (B, c B, m B ) 傳送給讀取器 18

步驟五 : 收到訊息 b 之後, 傳送給標籤 T A 步驟六 : 收到訊息 b 之後, 標籤 T A 計算 m AB = MAC xa [a, b] 並將 m AB 傳送給讀取器步驟七 : 讀取器收到 m AB 後會利用以上步驟所獲得的值, 計算 P AB = (A, B, c A, c B, m AB ) 完成上述步驟後, 合法的讀取器可利用 P AB 和已知兩個標籤的認證金鑰 x A 和 x B 去計算 a' = (A, c A, f xa (c A )) b' = (B, c B, MAC xb (a, c B )), 然後檢查 m AB 是否等於 MAC xa (a', b') 優點 : 利用雜湊函數和 MAC 函數能將要傳送的值作一個簡單的保護, 提升一定的安全性缺點 : 由於在步驟二和步驟三傳送 A B, 會讓攻擊者輕易的得知標籤的來源而無法保護個人隱私利用非法的標籤透過重送步驟二步驟六和步驟四的值可找出 T A 和 T B 的對應關係, 因此無法抵抗重送攻擊攻擊者也可以透過竊聽標籤 T A T B 和讀取器傳輸的明文 (r A, c A ) 和 (m B, (a, c B )), 經過比對後可得知 x A 和 x B 的值, 因此這個方法也無法抵抗竊聽攻擊 3.4 Wong 的方法 Wong[12] 的方法將標籤中的電子產品編碼 EPC 利用了雜湊運算中位移的函數, 產生出新的一組虛擬的值進行認證, 在首次認證前會將 K pub 和 K priv 分別儲存在標籤和伺服器中, 圖 3-4 介紹了 Wong 方法詳細的步驟 19

伺服器 (Server) 讀取器 (Reader) 標籤 (Tag) K pub =EPC K priv K pub =EPC K priv (3)pseudo-EPC key*= ShiftRight(pseudo-EPC, l) 如果 (K pub K priv ) = key* 計算 key=h(key*) (4)key (1)hello (2)pseudo-EPC (5)key 產生虛擬的 EPC pseudo-epc =ShiftLeft(K pub K priv, l) (7)ACK (6)ACK 比對 key?=h(k pub K priv ) 如果符合回傳 ACK 圖 3-4 Wong 的方法步驟一 : 讀取器產生 Hello 訊號並傳送給標籤步驟二 : 標籤收到訊號後, 將內部所儲存 K pub K priv 向左位移 l 長度 pseudo-epc = ShiftLeft(K pub K priv, l) 後回傳給讀取器步驟三 : 讀取器將收到的資料回傳給伺服器步驟四 : 伺服器收到資料後, 將收到的 pseudo-epc 向右位移 l 長度求出 key*, 計算 K pub K priv 是否等於 key*, 如果相等, 則計算 key=h(key*) 後, 將 key 傳送至讀取器步驟五 : 讀取器將 key 回傳給標籤步驟六 : 標籤收到後比對 key 值是否等於 h(k pub K priv ), 若相等則回傳 ACK 給讀取器步驟七 : 讀取器將 ACK 傳送給伺服器, 完成這次的認證優點 : 利用雜湊運算中使用位移函數產生虛擬的電子產品編碼, 解決隨機雜湊鎖定的方法易竊聽攻擊的威脅缺點 : 20

由於認證過程中所需要的虛擬電子產品編碼的是經由位移產生的, 攻擊者只要利用暴力破解的方式在 pseudo-epc / 2 的次數以內得到正確的 EPC 值, 並追蹤到標籤的位置, 無法保護使用者和位置的隱私攻擊者亦可利用重送 pseudo-epc 的方式得到伺服器回傳的資訊, 因為標籤產生的 pseudo-epc 是固定的, 所以無法抵擋重送攻擊的威脅 3.5 Chen 的方法 2008 年 Chen[13] 等人利用二次剩餘的方法結合無線射頻辨識系統認證協定提升了隱私性和安全性, 作者利用二次剩餘特性, 傳送一個不需透過雜湊函數所產生大的奇質數, 攻擊者無法透過因式分解得知其內容一開始由伺服器產生兩個大的奇質數 p q, 並且計算 n = pq 伺服器隨機產生一個亂數 r 作為當前的認證金鑰, 並且將 h(tid) TID r 的數值儲存在標籤的記憶體裡, 伺服器則會將 h(tid) TID r r old 儲存在後端資料庫中, 在首次的認證過程中的 r old = r, 圖 3-5 介紹了 Chen 方法詳細的步驟伺服器 (Server) 讀取器 (Reader) 標籤 (Tag) p, q, n, h(.), PRNG(.) 隨機產生 s n, h(.), PRNG(.) (3) X, R, h(x), h(r), s (1) hello, s (2) X, R, h(x), h(r) x = h(tid) r s X = x 2 mod n R = r 2 mod n 1. 解開 X = x 2 mod n 和 R= r 2 mod n 得到 (x 1, x 2, x 3, x 4 ) 和 (r 1, r 2, r 3, r 4 ) 2. 比對 h(x i )?=h(x) 和 h(r i )?=h(r) 計算出 x 和 r 3. 計算 h(tid) = x r s t 4. 利用 h(tid) 搜尋 TID 的紀錄 r?= r or r?= r old, 比對錯誤則取消認證 5. 產生 ACK 訊息 X ack = TID r 或 X ack = TID r old 6.r old = r, r = PRNG(r) (4) h(x ack ) (5) h(x ack ) 1.h(x ack )?=h(tid r) 2.r = PRNG(r) 圖 3-5 Chen 的方法 21

步驟一 : 讀取器產生一個隨機亂數 s 並且將 hello 訊號跟 s 一起傳送給標籤步驟二 : 標籤收到讀取器所傳送的 s 和 hello 訊號之後, 標籤產生一個隨機亂數 t 計算 x = h(tid) r s X = x 2 mod n R = r 2 mod n; 並且將 (X, R, h(x), h(r)) 當作標籤的回應傳送給讀取器步驟三 : 當收到標籤的回應之後, 讀取器將收到的值跟 s 一起傳送到伺服器步驟四 : 收到 (X, R, h(x), h(r), s) 之後, 伺服器將 p q 利用中國餘數定理解開 X = x 2 mod n 和 R =r 2 mod n 分別得到四個根 (x 1,x 2,x 3,x 4 ) 和 (r 1,r 2,r 3,r 4 ) 然後比對 h(x i ) 是否等於 x i 和 h(r i ) 是否等於 h(r),i = 1 到 4, 求出 x 和 r 的唯一解然後伺服器計算 h(tid) = x r s, 並且將 h(tid) 當成一個索引去搜尋伺服器中標籤的紀錄如果找不到相符合的紀錄, 則取消這次認證確認計算出的的 r 是否等於目前伺服器所儲存標籤的 r 或是 r old, 如果不相等亦取消這次的認證以下是實際發生時會處理的兩種情況 (i) 如果計算出的的 r 跟目前在伺服器儲存的標籤 r 互相對應, 伺服器將計算 h(x ack ) = h(tid r), 並將 h(x ack ) 傳送到讀取器, 再將 r 更新為 r old, 利用虛擬亂數產生器更新 r (ii) 如果計算出的 r 跟目前在伺服器儲存的標籤 r old 互相對應, 伺服器計算 h(x ack ) = h(tid r old ), 並將 h(x ack ) 傳送到讀取器, 再利用虛擬亂數產生器更新 r 步驟五 : 將標籤收到讀取器回傳的 h(x ack ) 後, 驗證 h(x ack ) 是否會等於標籤計算的 h(tid r), 如果相等, 則將標籤中的 r 利用虛擬亂數產生器更新優點 : 改善了無線射頻辨識系統的隱私和安全性, 結合隨機亂數和二次剩餘的方法讓攻擊者無法輕易的進行破解缺點 : 無法抵抗偽造攻擊, 同時也存在位置隱私可能會洩漏和無法抵擋重送攻擊的問題由於標籤沒有產生隨機亂數, 使得部分傳輸的值是固定的, 因此在認證的過程中很容易遭受到攻擊者破解或比對出其關聯性 22

3.6 Yeh 的方法在 2010 年 Yeh[15] 等人提出了利用在標籤產生隨機亂數, 並且將部分內容和隨機亂數運算後再傳輸, 解決了 Chen 的方法中位置隱私易遭受偽造和重送攻擊的威脅, 提升了認證的安全性 Yeh 的方法分成兩個階段, 初始階段和認證階段, 圖 3-6 介紹了 Yeh 方法詳細的步驟 3.6.1 初始階段伺服器產生兩個大的奇質數 p q, 並且計算 n = pq 伺服器隨機產生一個亂數 r 作為當前的認證金鑰, 並且將 h(tid) TID r 的數值儲存在標籤的記憶體裡, 伺服器則會將 h(tid) TID r r old 儲存在後端資料庫中, 在首次的認證過程中的 r old = r 3.6.2 認證階段 Yeh 的方法, 如圖 3-6 所示, 是由讀取器經由伺服器認證一個標籤的是否合法的步驟步驟一 : 讀取器產生一個隨機亂數 s 並且將 hello 訊號跟 s 一起傳送給標籤步驟二 : 標籤收到讀取器所傳送的 s 和 hello 訊號之後, 標籤產生一個隨機亂數 t 計算 x = h(tid) r t s y = r t X = x 2 mod n R = (r 2 mod n ) t, 和 T = t 2 mod n; 並且將 (X, R, T, h(x), h(y), h(t)) 當作標籤的回應傳送給讀取器步驟三 : 當收到標籤的回應之後, 讀取器將收到的值跟 s 一起傳送到伺服器步驟四 : 收到 (X, R, T, h(x), h(y), h(t), s) 之後, 伺服器將 p q 利用中國餘數定理解開 X = x 2 mod n 和 T = t 2 mod n 分別得到四個根 (x 1,x 2,x 3,x 4 ) 和 (t 1,t 2,t 3,t 4 ) 然後比對 h(x i ) 是否等於 x i 和 h(t i ) 是否等於 h(t),i = 1 到 4, 求出 x 和 t 的唯一解接著伺服器計算 R t = (r 2 mod n) 並且將 p q 利用中國餘數定理解開獲得四個根 (r 1, r 2, r 3, r 4 ) 並且分別比對,i = 1 到 4 的 h(r i t) 和 h(y) 是否相等, 求出 r 的唯一解然後伺服器計算 h(tid) = x r t s, 並且將 h(tid) 當成一個索引去搜尋伺服器中標籤的紀錄如果找不到相符合的紀錄, 則取消這次認證確認計算出的的 r 是否等於目前伺服器所儲存標籤的 r 或是 23

r old, 如果不相等亦取消這次的認證以下是實際發生時會處理的兩種情況 (i) 如果計算出的的 r 跟目前在伺服器儲存的標籤 r 互相對應, 伺服器將計算 h(x ack ) = h(tid t r), 並將 h(x ack ) 傳送到讀取器, 再將 r 更新為 r old, 利用虛擬亂數產生器更新 r (ii) 如果計算出的 r 跟目前在伺服器儲存的標籤 r old 互相對應, 伺服器計算 h(x ack ) = h(tid t r old ), 並將 h(x ack ) 傳送到讀取器, 再利用虛擬亂數產生器更新 r 步驟五 : 將標籤收到讀取器回傳的 h(x ack ) 後, 驗證 h(x ack ) 是否會等於標籤計算的 h(tid t r), 如果相等, 則將標籤中的 r 利用虛擬亂數產生器更新伺服器 (Server) 讀取器 (Reader) 標籤 (Tag) p, q, n, h(.), PRNG(.) 隨機產生 s n, h(.), PRNG(.) (3) X, R, T, h(x), h(y), h(t), s 1. 解開 X = x 2 mod n 和 T = t 2 mod n 得到 (x 1, x 2, x 3, x 4 ) 和 (t 1, t 2, t 3, t 4 ) 2. 比對 h(x i )?=h(x) 和 h(t i )?=h(t) 計算出 x 和 t 3. 計算 R = (r 2 mod n) t, 得到 (r 1, r 2, r 3, r 4 ) 4. 比對 h(r i t)?=h(y), 得到 r 5. 計算 h(tid) = x r s t 6. 利用 h(tid) 搜尋 TID 的紀錄 r?= r or r?= r old, 比對錯誤則取消認證 7. 產生 ACK 訊息 X ack = TID t r 或 X ack = TID t r old 8.r old = r, r = PRNG(r) (4) h(x ack ) (1) hello, s (2) X, R, T, h(x), h(y), h(t) (5) h(x ack ) 隨機產生亂數 t x = h(tid) r t s y = r t X = x 2 mod n R = (r 2 mod n) t T = t 2 mod n 1.h(x ack )?=h(tid t r) 2.r = PRNG(r) 圖 3-6 Yeh 的方法優點 : 利用在標籤產生的隨機亂數 t, 讓步驟一步驟二和步驟五中傳輸的資料在每次認證過程中都會變更, 改善了 Chen 的方法無法抵擋位置隱私無法抵擋重送攻擊和偽造攻擊的問題缺點 : 24

雖然可抵擋的攻擊種類增加, 但是從另一個角度來看, 整個認證過程中傳輸的資料量和標籤的計算量都有過高的問題, 違背了有效率的無線射頻辨識系統認證協定的設計理念 3.7 主要相關研究關係圖本節會將上述所提及的各種無線射頻辨識系統認證協定的方法依照年份及其關連性以關係圖的方式呈現, 可以快速的回顧這幾個方法之間的差異性如圖 3-7 所示, Wei 等人於 2003 年提出雜湊鎖定和隨機雜湊鎖定的方法, 雜湊鎖定方法是最早將雜湊函數的概念加入到無線射頻辨識系統的認證協定中, 但是由於讀取器和標籤之間所傳送的都是未經保護的固定資料, 攻擊者可以經由竊聽傳輸的內容得知標籤的內部資料隨機雜湊鎖定的方法是在標籤加入隨機亂數產生器, 將所要傳送的資料和一個隨機亂數做雜湊運算讓每次傳輸的值都會變更, 可以避免攻擊者的竊聽攻擊, 但是傳送的資料太固定, 易遭受攻擊者竊聽的風險 Juels 等人在 2004 年提出利用將雜湊函數和 MAC 函數先行產生一組值提供讀取器在離線的環境下驗證兩個標籤是否相對應的方法 Wong 等人於 2006 年應用雜湊運算中位移函數產生虛擬的電子產品編碼, 解決隨機雜湊鎖定的方法易竊聽攻擊的威脅 Chen 等人於 2008 年利用二次剩餘的方法增加了無線射頻辨識系統認證協定的隱私安全 2010 年 Yeh 等人提出了利用在標籤產生隨機亂數, 並且將部分內容和隨機亂數運算後再傳輸, 解決了 Chen 的方法中位置隱私易遭受偽造和重送攻擊的威脅, 提升了認證的安全性, 最後則是本篇所提出利用標籤連接兩個相同長度的值, 伺服器可以快速的拆解得知其內容的特性, 降低 Yeh 的方法的計算量, 而且同樣能滿足相同的安全性質 25

2003-Wei:Hash- Locking[10] 2003-Wei:Randomized Hash-Locking[10] 2004-Juels:hash and MAC function[11] 2006-Wong:shift[12] 2008-Chen: Quadratic residues[13] 2010-Yeh:Tag generate a random number[15] 2010-Chiou:Contact two value of the same length 圖 3-7 RFID 主要相關研究關係圖 26

四我們提出的方法在 Yeh 的方法中, 認證過程花費過多的計算成本, 在本篇論文中, 為了減少伺服器和標籤的計算花費, 我們提出了減少二次剩餘平方和雜湊函數的方法認證協定分成初始和認證兩個階段, 我們的方法利用連接運算符號連接兩個固定長度的值當資料傳送至伺服器時, 可以快速地將其分解成兩個需要的資料 4.1 符號及參數表表 4-1 介紹本篇論文的認證協定中所會出現的符號以及該符號的相關說明表 4-1 符號及參數表符號說明 p, q 奇質數 n s t h (.) PRNG(.) TID h(tid) r 由 p q 的乘積所組成讀取器所產生的隨機亂數標籤所產生的隨機亂數單向雜湊函數虛擬亂數產生器標籤的編號將標籤的編號做雜湊, 用來作為伺服器的索引伺服器和標籤共享當前的認證金鑰 r old 儲存在伺服器的舊認證金鑰 27

XOR 運算符號連接運算符號 x, y, z 標籤經過認證運算過後的參數 x, y, z 伺服器經過認證運算過後的參數 X ack 伺服器傳給標籤的回應 X 二次剩餘運算後產生的值 4.2 環境變數設定無線射頻辨識系統必須運作於線上 (On-Line) 的環境裡伺服器讀取器和標籤必須要保持連線的狀態, 才能完成一次的認證然而在我們的方法裡,TID t s r 的值皆為相同的固定長度, 例如 :512 1024 或更長位元 4.3 初始階段首先, 伺服器產生兩個大的奇質數 p q, 並且計算 n = pq 伺服器隨機產生一個亂數 r 作為第一次的認證金鑰, 並且將 TID r 的數值儲存在標籤的記憶體裡, 伺服器則會將 TID r r old 儲存在後端資料庫中在首次的認證過程中的 r old = r 4.4 認證階段認證階段, 如圖 4-1 表示, 我們的方法是利用讀取器與伺服器經由五個步驟認證一個標籤是否合法步驟一 : 讀取器利用虛擬亂數產生器, 產生一個亂數 s, 並且將 s 跟 hello 訊號傳送到要認證的標籤中 28

步驟二 : 標籤收到讀取器傳送的 s 和 hello 訊號之後, 隨機產生一個亂數 t, 計算 y = r t s z = TID t x = y z X = x 2 mod n, 並且將 X h(x) 傳送至讀取器步驟三 : 收到標籤的回應之後, 讀取器就會將標籤傳送的資料 X h(x) 跟亂數 s 一起傳送至伺服器步驟四 : 收到讀取器傳送的資料 X h(x) s 之後, 伺服器利用中國餘數定理解開 X = x 2 mod n 後獲得四個根 (x 1, x 2, x 3, x 4 ) 比較 h(x i )?= h(x),i = 1 到 4, 找出對應的 x 的值, 再將 x 從中間分解得到 y z, 計算 t = TID z 與 r = y t s 比對 r =? r 或 r =? r old, 若不相等則會取消認證, 而相等則代表伺服器認證標籤成功認證成功後, 計算 X ack = TID t r 或 X ack = TID t r old, 將 h(x ack ) 傳送至讀取器將 r old 更新成 r 並且利用虛擬亂數產生器產生出新的 r 以下是實際發生時會處理的兩種情況 (i) 如果計算出的 r 跟目前在伺服器儲存的標籤 r 互相對應, 伺服器計算 h(x ack ) = h(tid t r), 並將 h(x ack ) 傳送到讀取器, 並且將 r 更新為 r old, 再利用虛擬亂數產生器更新 r (ii) 如果計算出的 r 跟目前在伺服器儲存的標籤 r old 互相對應, 伺服器計算 h(x ack ) = h(tid t r old ), 並將 h(x ack ) 傳送到讀取器, 再利用虛擬亂數產生器更新 r 步驟五 : 讀取器將 X ack 傳送至標籤後計算 h(tid t r), 比對 h(x ack ) 是否等於 h(tid t r), 假如認證成功, 則標籤將會利用相同的虛擬亂數產生器將 r 更新, 為下次認證所使用 29

伺服器 (Server) 讀取器 (Reader) 標籤 (Tag) p, q, n, h(.), PRNG(.) 隨機產生 s n, h(.), PRNG(.) TID r rold 1. 解開 X = x 2 mod n 得到 (x 1,x 2,x 3,x 4 ) 2. 比對 h(x i )?=h(x) 計算出 x 3. 解開 x 得到 y 和 z 4.t = TID z 5.r = y t s 6. r?= r or r?= r old 比對錯誤則取消認證 7. 產生 ACK 訊息, X ack = TID t r 或 X ack = TID t r old 8.r old = r, r = PRNG(r) (3) X, h(x), s (4) h(x ack ) (1) hello, s (2) X, h(x) (5) h(x ack ) 圖 4-1 我們的方法 TID 產生隨機亂數 t y = r t s z =TID t x = y z X = x 2 mod n r 1.h(x ack )?=h(tid t r) 2. r = PRNG (r) 30

五分析在這個章節中將會比較我們的方法 Chen 和 Yeh 方法計算量和安全性質的差異性在計算量方面, 會將整個認證過程中的二次剩餘雜湊函數 XOR 運算函數虛擬亂數產生器和連接運算函數的計算次數和 Chen 以及 Yeh 的方法比較分析在安全性質方面, 會將 2.5 節所提到的隱私性和安全性的威脅進行詳細的分析 5.1 計算量的分析本節將會針對不同 RFID 認證技術所需計算量進行分析在表 5-1 之中, 分別比較了 Chen 方法 Yeh 方法和我們所提出的方法的計算量其中我們的方法在標籤和伺服器各別只需要 1 次的二次剩餘運算, 優於 Chen 方法各需要 2 次和 Yeh 方法各需要 3 次然而, 雜湊函數的運算次數, 在我們的方法標籤和伺服器當中分別使用了 2 次以及 5 次的運算, 優於 Chen 的方法標籤和伺服器分別使用 3 次和 9 次的運算和 Yeh 的方法標籤和伺服器分別使用 4 次和 13 次的運算, 而其他種類運算的次數也明顯減少我們的方法主要的改善在於降低二次剩餘的計算量, 因為二次剩餘計算量的花費遠大於雜湊函數 XOR 運算函數和其他運算函數的計算量在 5.2 節將會介紹我們的方法安全性質的分析 31

表 5-1 計算量的分析標籤伺服器計算量分析 Q H X P C Chen 的方法 2 3 3 1 0 Yeh 的方法 3 4 7 1 0 我們的方法 1 2 5 1 1 Chen 的方法 2 9 3 1 0 Yeh 的方法 3 13 7 1 0 我們的方法 1 5 5 1 1 Q: 二次剩餘 X:XOR 運算函數 C: 連接運算函數 H: 雜湊函數 P: 虛擬亂數產生器 5.2 安全性質的分析本章節討論我們的方法是否能避免無線射頻辨識系統較易遭受到威脅或攻擊, 進行安全性質的分析 1. 達到資料機密性 (Data secrecy): 標籤中的資料 (TID, r ) 不會暴露在傳輸過程中, 只有合法有效的伺服器才可以將 p q 利用中國餘數定理得到正確的 x r t 值由於在步驟二所傳輸的 h(x) 是一個雜湊函數 X 是二次剩餘函數, 兩者的內容皆無法輕易的變更, 滿足資料機密性 2. 保護使用者隱私 (User privacy): 利用標籤所產生的隨機亂數 t, 讓標籤在認證的過程中傳送給讀取器的內容都是會改變的, 攻擊者無法透過攔截或修改步驟二或步驟五的資料追蹤到標籤持有人的位置, 保護使用者的隱私 3. 保護位置隱私 (Location privacy): 在我們的方法裡, 標籤所產生的隨機亂數 t, 在每一次標籤的認證過程中都是會改變的, 攻擊者無法輕易地預測內容如果攻擊者攔截或修改步驟二和步驟五的資料, 也無法追蹤到標籤的位置資訊 4. 前向安全 (Forward secrecy): 32

在伺服器或是標籤中 TID r 的值都是不會暴露在傳輸過程, 即使攻擊者破解標籤後得到其內部資訊, 會因為讀取器和標籤分別所產生的隨機亂數 s t 使得標籤所傳輸的資料在每次的傳輸過程都沒有關聯性, 所以攻擊者無法在破解標籤的狀況下, 進而得知先前所傳輸的內容, 確保了前向安全性 5. 竊聽攻擊 (Eavesdropping attack): 攻擊者無法透過竊聽讀取器和標籤之間利用無線的方式所傳輸的資料, 獲得重要的資訊由於傳輸的內容都是經由雜湊函數所保護, 因此能夠成功的抵禦竊聽攻擊的威脅 6. 重送攻擊 (Replay attack): 在我們提出的方法裡亦是利用隨機亂數 s t 讓每次標籤或伺服器在認證過程中所傳輸的資料都不一樣, 攻擊者無法藉由重複傳送步驟二的 h(x) X 或步驟五的 h(x ack ) 去騙取通過認證, 因此能夠抵擋重送攻擊 7. 阻斷式服務攻擊 (Denial of service attack): 伺服器會儲存舊的值 r old, 目的就是為了恢復同步的機制如果攻擊者中斷了步驟五的傳輸, 使得伺服器將 r 更新, 而標籤尚未更新 r, 這時候標籤和伺服器則會產生同步問題標籤在下次的認證過程中利用 r 作為認證金鑰, 當資料傳給後端資料庫時, 伺服器會利用儲存的 r old 產生相對應的資料跟標籤恢復同步, 進行下一步的認證, 因此可以抵擋阻斷式服務攻擊 8. 偽造攻擊 (Impersonation attack): 只有合法的伺服器才能利用 p q 藉由中國餘數定理產生 x, 再透過 TID 計算出正確的 X ack 由於標籤每次傳輸的資料都是利用隨機亂數 t 所組成的, 資料在每次認證過程中都會變更, 所以攻擊者無法利用標籤的回應取得內部資訊, 也無法成功地偽裝成一個合法的標籤 9. 中間人攻擊 (Man-in-the-middle attack ): 攻擊者扮演中間人的角色, 接收步驟二經由標籤傳送給讀取器的資料, 然而我們所傳送的 X 是二次剩餘函數所計算出來的值, 攻擊者無法竊取或修改其中的內容, 因此, 我們可以抵擋中間人攻擊的威脅由以上的安全性分析結果得知, 我們的方法能夠抵擋無線射頻辨識系統中常見的 33

隱私性和安全性的威脅表 5-2 將 Chen 的方法 Yeh 的方法和我們的方法做安全性質的比較如表所示,Chen 的方法無法抵抗使用者隱私和位置隱私的追蹤重送攻擊和偽造攻擊, 而 Yeh 的方法和我們的方法針對攻擊者在無線射頻辨識系統中的九種安全性方面的威脅, 都能夠達到一定水準的防護 Yeh 的方法和我們的方法都能夠滿足相同的安全性質, 但是在整體計算量的部分,Yeh 方法的計算量明顯的大於我們方法的計算量我們的方法不但成功的減少伺服器和標籤的計算量, 還能夠滿足相同的安全性質, 提供一定的安全防護, 故我們的方法是個有效率的認證協定表 5-2 安全性質分析安全分析 Chen 的方法 Yeh 的方法我們的方法資料機密性 O O O 使用者隱私 X O O 位置隱私 X O O 前向安全 O O O 竊聽攻擊 O O O 重送攻擊 X O O 阻斷式服務攻擊 O O O 偽造攻擊 X O O 中間人攻擊 O O O 34

結論本篇論文主要的研究係針對無線傳輸過程中可能會遭受到的安全威脅進行改善, 並且透過安全性和計算量分析, 滿足相同的安全防護並且能夠減少伺服器和標籤的運算量我們的方法將二次剩餘的密碼系統應用在其中, 利用離散場域中了將一個整數取平方根是一件相當困難的特性, 設計了一個更安全的認證協定而我們的方法相較於 Yeh 的方法的改善之處在整個認證過程中總共能減少 4 次的二次剩餘運算以及 10 次的雜湊函數計算量, 不僅解決了 Yeh 的方法中標籤和伺服器計算量過高的問題, 亦能滿足相同的安全性質, 抵擋隱私性和安全性的威脅期望在未來, 我們所提出的認證協定能夠應用在需要較高的安全性並講求效率的無線射頻辨識系統環境之中 ( 例如 : 汽車的智慧鑰匙 ), 讓整體的隱私安全能夠得到更多的保障 35

參考文獻 [1] C.M. Roberts, Radio frequency identification (RFID), Computers & Security, Vol.25, No. 1, pp. 18 26, 2006. [2] P. Rotter, A framework for assessing RFID system security and privacy risks, IEEE Pervasive Computing, Vol.7, No. 2, pp. 70 77, 2008. [3] C. L. Turner, A. C. Casbard, and M. F. Murphy, Barcode technology: its role in increasing the safety of blood transfusion, Transfusion, Vol.43, Issue 9, pp.1200-1209, 2003. [4] A. Juels, RFID security and privacy: a research survey, IEEE Journal on Selected Areas in Communications, Vol.24, No. 2, pp. 381 394, 2006. [5] 朱耀明, 林財世, 淺談 RFID 無線射頻辨識系統技術, 生活科技教育月刊, 三十八卷, 第二期, pp.73-87, 2005. [6] EPC global, http://www.gs1.org./epcglobal. [7] K. Finkenzeller, RFID Handbook: fundamentals and applications in contactless smart cards and identification, John Wiley & Sons, 2nd edition, 2003. [8] B. Song and C. J. Mitchell, RFID authentication protocol for low-cost tags, Wireless Network Security (WISEC), pp. 140-147, 2008. [9] D. Duc and K. Kim, Securing HB+ against GRS man-in-the-middle attack, Symposium on Cryptography and Information Security (SCIS), pp.123-127, 2007. [10] S.A. Weis, S.E. Sarma, R.L. Rivest, and D.W. Engels, Security and privacy aspects of low-cost radio frequency identification system, Prof. of First International Conference on Security in Pervasive Computing (SPC), LNCS 2802, pp. 454-469, 2003. [11] A. Juels, Yoking-Proofs for RFID tags, Pervasive Computing and Communications Workshops, pp. 138-143, 2004. 36

[12] H.M. Wong, C.L. Hui and C.K. Chan, Cryptography and authentication on RFID passive tags for apparel products, Computer in Industry, Vol.57 Issue 4, pp. 342-349, 2006. [13] Y. Chen, J.S. Chou and H.M. Sun, A novel mutual-authentication scheme based on quadratic residues for RFID systems, Computer Network, Vol.52, Issue 12, pp. 2373-2380, August 2008. [14] C.I Fan and C.L Lei, Efficient blind signature scheme based on quadratic residues, Electronics Letters, Vol.32, pp. 811-813, 1996. [15] T.C. Yeh, C.H. Wu and Y.M. Tseng, Improvement of the RFID authentication scheme based on quadratic residues, Computer Communications, Vol.34, Issue 3, pp. 337-341, 2010. 37