防碰撞兼具認證功能的通訊協定

CRPA協定可分成三個階段：Initialization Phase、Anti-collision with Challenges Phase、與Authentication Phase。

在 完 成 Initialization Phase 中 一 切 設 定 後 ， 讀 取 器 便 可 在 之 後 進 行 Anti-collision with Challenges Phase 來同時分辨且送 challenges 給標籤以做之後 的認證用，如圖 4-9 中的階段(1)所示。

4.2.3.2 CRPA 之安全性與隱私性分析

4.2.3.2.1 被動式攻擊之分析

在此小節我們針對被動式攻擊中的竊聽式攻擊(Eavesdropping Attack)進行分 析。由於 CRPA 在安全性方面，主要都是仰賴於解析 LPN 問題的困難度，因此 我們分析過程中主要以 HB 協定為基礎。在標籤與讀取器進行 CRPA 協定時，敵 人所能竊取到的資訊只有讀取器給標籤的 challenge 與標籤回應的答案 Z，且同 圖4-9 CRPA協定進行的流程：(1)表示Anti-collision with Challenges Phase的開始；

(2)表示Authentication Phase的開始

為了使 t 最小，則 α= 4 且 β= 58，這時敵人需要收集的訊息量(challenge and response)為 q = 4³× 2¹⁶× 2⁵⁸= 1.2 × 10²⁴，而在乘上金鑰長度 k 之後，即是需要的 儲存空間，另外，敵人還原出 x 需要的時間則是時間常數 t × q。

在表 4-1 中 CRPA 的 k = 224 且 η= 0.25 時，標籤在每次認證傳輸的回應數 為 184，也就是敵人需要竊聽到 1.2 × 10²⁴/ 184 = 1.44 × 10²²次標籤的完整認證動 作才具備足夠的取樣來還原出共享秘密 x；這樣的一個數字，明顯地並不可行，

所以藉此我們可以確保 CRPA 對於抵擋竊聽式攻擊是足夠安全的。

在已經證明 x 在竊聽式攻擊下不容易被還原之後，CRPA 的隱私性則與之類 似。由於在 CRPA 協定中，讀取器與標籤間所傳遞的資訊只有 challenge 與回應 Z，

並沒有任何隱私的資訊直接在空氣中傳遞，讓敵人有追蹤的機會。因此，在敵人 不知道 x 與 η的情況下，CRPA 的隱私性是獲得保障的。又，即使敵人知道 η，

其所必須花費的空間、時間與必要的取樣數量也如上面所分析，由此我們可以在 確保 CRPA 在面對竊聽式攻擊時其隱私性與不可追蹤性同樣也是不會受到威脅 的。

4.2.3.2.2 主動式攻擊之分析

在此小節我們針對主動式攻擊進行分析，在主動式攻擊中，敵人不像被動式 攻擊只能以竊聽方式來獲取隱密資訊，而是具備對標籤發出 query 指令的能力。

針對 CRPA 而言，若有一個敵人要來冒充合法的標籤，由於讀取器會先送出 challenge 給標籤要求回應相對應的答案，在該敵人沒有合法標籤中的共享秘密 x 與翻轉機率 η之情況下，他/她只能透過胡亂猜測 Z 來回應，而想要假冒合法標 籤的 Z，敵人必須從 r 個位元的變化中找出符合讀取器要的答案，其機率為

(1^{  }) r 

 



表 4-1 CRPA 認證失敗機率與誤判機率< 0.1 %時所需要之答案數量(3500 個標籤)

其中 r × q 必須為整數；如表 4-2 中參照表 4-3 設(η= 0.4, δ= 0.051)、(η= 0.3, δ=

0.093)、(η= 0.25, δ= 0.11)、(η= 0.2, δ= 0.126)與(η= 0.1, δ= 0.138)所得之結果，

也就是說當 r = 150、η= 0.25 且 δ= 0.11 時，代表著敵人任意送一個回應隨機猜 對的機率為 2.03 ×10^-4。因此，若僅仰賴於從標籤中可能的回應隨機猜測，敵人 是不容易冒充該標籤的。不過在特定情況下敵人依舊有辦法冒充一個合法的標 籤，以下我們介紹如何由非法的讀取器透過傳送特定的 challenge 來解析出合法 標籤中的共享秘密 x。

除了上述隨機選定回應的攻擊方法之外，敵人也可以透過重複向標籤送出一些只 有單一bit是"1"的challenge (舉例來說”1000”或”0010”)給標籤，並在收集多個回應 之後，他/她就可以藉由回應的答案之權重知道η值，也同時知道該位置位元的真 正parity bit (真正答案)。當一個敵人有能力決定特定位置的答案時，由於獲得沒 有雜訊答案的機率是1 –η，所以若敵人取得q個取樣的話，根據標準的Chernoff bound，在至少q / 2個取樣是沒有雜訊的機率為1 - exp(-q / (8(1 –2η)²))的答案是 沒有雜訊的，也就是有很高的機會在取樣數量q = O((1- 2η)^-2)之下，讀取器從同 樣challenge中獲得的回應是真正答案。當收集了O(k)個正確答案之後，該敵人變 可透過高斯消去法(Gaussian elimination)來找出x [2]。稍後敵人只要藉由利用破解 取得的x與η，即有辦法冒充成該一合法標籤。

表4-2 CRPA中敵人隨機選到一個會被讀取器接受的回應之機率

表4-3 CRPA認證失敗機率與誤判機率< 0.1 %時所需要之答案數量(1000個標籤)

我們模擬的環境在資料庫中標籤數量為 1000 時，且金鑰長度 k = 224、δ=

0.11，針對不同 η值標籤所需要回應的答案數量，我們透過改變 δ值嘗試找出每 一個η在 δ值為多少時能夠達到最小的回應，如圖 4-10 (a)所示。當 δ= 0.051 所 得之結果如圖 4-10 (b)所示，其中坡度較小的線代表的是一個合法標籤被認證失 敗的機率< 0.1 %時標籤需要的回應數量，而坡度較陡的則代表某一合法標籤被 誤判為其他標籤的機率 < 0.1 %。從圖中我們可以觀察到，這兩條線會有一條交 叉點，也就是η、δ與 r 之間的平衡點，當針對不同 δ去測試後可以得到在不同

的η值會有不一樣的交叉點。錯誤! 找不到參照來源。與錯誤! 找不到參照來源。

即是資料庫內有 1000 個標籤與 3500 個標籤時，在不同 η值依照不同 δ去測試後 所得到的標籤答案數量 r 的平衡點。

η= 0.4 η= 0.35 η= 0.3 η= 0.25 η= 0.2 η= 0.15 η= 0.1

Number of

Answers (r) 999 462 266 168 112 78 59 Error

Window Size (δ)

0.051 0.073 0.093 0.11 0.126 0.137 0.138

表 4-4 CRPA 認證失敗機率與誤判機率< 0.1 %時所需要之答案數量(1000 個標籤)

η= 0.4 η= 0.35 η= 0.3 η= 0.25 η= 0.2 η= 0.15 η= 0.1

Number of

Answers (r) 1122 532 305 184 123 86 61 Error

Window Size (δ)

0.048 0.071 0.092 0.108 0.12 0.131 0.133 (a) δ= 0.11 (b) δ= 0.051

圖 4-10 標籤在被認證失敗的機率與誤判的機率< 0.1 %時所需要之回應數量

4.2.3.4 ECRPA 協定

由於HB認證協定本身就是透過機率性地方式來對答案加上雜訊，以達到混 淆敵人的目的，但這樣一來，卻也造成標籤必須回應更多的答案，才能使得回應 錯誤的機率逼近

η

值，這將造成通道上用於認證的資料傳輸量過於龐大的問題。

有鑒於此，我們提出了一個透過在標籤上增加翻轉計數器(Flipping counter, Fc) 來讓標籤的答案錯誤機率達到100%準確，而不必為了逼近

η

值並送出大量的回 應；況且，減少了標籤回應的答案數量，也就是減少了讀取器所要送的challenge，

與此同時，資料庫針對每一筆資料與每一個challenge進行計算的工作量也減少 了，所以能夠大大提升該協定的效能，我們把這樣的一個新協定，稱作Extended CRPA (ECRPA)。在ECRPA中，原本於HB協定中用於當做答案誤差容許值的δ在 這裡將沒有意義，因此會略掉不考慮，ECRPA詳細流程介紹如圖4-11。

4.2.3.5 ECRPA 之安全性與隱私性分析 4.2.3.5.1 被動式攻擊之分析

由於 ECRPA 中標籤回應的數量在 η≦ 0.25 時是不到 100 個，而為了方便 分析，我們討論標籤回應數量為 100 時的安全性。標籤是否有辦法在這不到 100 個回應中確實將錯誤答案平均分布到每一個回應中(亦即第 1 ~ 100 個回應中，每 一個回應其送出錯誤答案的機率是相等的)，將是討論的重點之一，若強制要在 100 個回應中，錯 25 個的話，依照 ECRPA 的協定而言，會不會在最後的 1 ~ 2 個回應有較高的翻轉機率？從統計的觀點來看，這樣的事情是不會發生的，當認 證次數趨近於無窮大時，翻轉所有答案的機率皆相等；再者，當敵人要透過竊聽 式攻擊來破解 x 時，本來就是要蒐集大量認證的 challenge 與 response，而在 圖4-11 ECRPA協定進行的流程；(1)表示Anti-collision with Challenges Phase的開 始；(2)表示Authentication Phase的開始

ECRPA 在面對竊聽的敵人時，其安全性與隱私性同樣受到保障。

4.2.3.6 ECRPA 的分析

由於 ECRPA 中，標籤回應的錯誤率會剛好等於 challenge 的數目(也就是 r) ×

透過以上的分析，我們便知道，在提升效能方面，除了選定一個較小的η值

射頻辨識系統(Radio Frequency Identification systems)藉由無線通訊技術提供 了能夠快速辨識物件特性，使其成為目前積極發展的技術。RFID 由讀取器(Reader)

在文檔中 智慧型校園生活環境研擬與建置(III) (頁 76-82)