Ⅰ. 서론

RFID (Radio Frequency IDentification) 시스템은 기존의 바코드 시스템을 대체할 미래형 인증기술로 각광받고 있으며 현재 다양한 응용분야에서 사용되고 있다* 최근에는 핵심 응용분야 중 하나로 태그 (Tag)가 부착된 사물을 찾기 위한 RFID 태그 검색시스템(RFID Tag Search System)0] 활발히 연구되고 있다. RFID 태그 검색 시스템은 사용자가 찾고자 하는 특정 태그가 리더(Reader)로부터 일정 범위 내에 존재하는지를 확인할 수 있는 시스템이다. 기존의 RFID 인증 기법들〔1-12〕과는'다르게 RFID 태그 검색 시스템에서는 (특정 태그를 효율적으로 찾기 위해) 리더의 이동성이 강조되어진다. 이동형 리더 기능은 휴대가 간편한 휴대폰이나 PDACPersonal Digital Assistants) 등에 장착되어 사용될 수 있으며 [그림 1]. 이미 통신회사 등에서 시범서비스를 실시하고 있다.

[그림 1] 모바일 RFID (동글)

다양한 부가 서비스를 창출할 수 있는 RFID 태그검색 시스템은[그림 2]와 같이 도서관에서 읽고 싶은 책을 찾는 경우 또는 창고에 있는 물건들에 대한 재고관리 등에 사용될 수 있으며 교보문교■에서는 이미 모바일 RFLD(동글)를 이용하여 도서 정보 조회 서비스를 시범적으로 실시하고 있다.

[그림 2] RFID 태그 검색 시스템

또한 최근 상습 성범죄자의 위치를 추적 . 감시할 수 있도록 전자발찌를 찬 사람들이 출소 되었는데 이러한 상습 성범죄자가 일정한 범위 내에 존재하는지를 확인하기 위해 RFID 태그 검색 시스템이 이용될 수도 있다. 그리고 이러한 시스템을 통해 국외로 반출이 금지된 물품이 공항 검색대를 통과하는지도 알아낼 수 있을 것이다.

이동형 리더의 사용은 사용자의 편의성을 증대시키는 반면 기존의 고정형 리더 (Static Reader)의 사용에 비해 추가적으로 고려해야할 보안 문제들을 발생시킨다. 가장 중요한 보안 문제 중 하나는 이동형 리더 소지자의 프라이버시 문제이다. 리더 신호의 세기는 태그 신호의 세기보다 수백 배 강해서 도청이 훨씬 더 쉽기 때문에 이동형 리더 소지자의 동선(動線, Traffic Line)이 쉽게 노출될 수 있다. 따라서 이동형 리더 소지자에 대한 프라이버시 문제는 매우 중요하게 다루어져야 한다,

또한 사용자가 이동형 리더를 가지고 무선 통신이 불가능한 지역에 가게 되었을 경우 또는 시스템 과부하 등으로 인해 중앙 데이터베이스로부터 태그에 대한정보를 얻어올 수 없어 실시간 검색이 불가능한 상황에 대해서도 시스템 가용성 (Availability)을 보장해야 한다. RFID 시스템 가용성은 미국 국가표준기술연구소(NIST, National Institute of Standards and Technology)에서 발표한 RFID 보안 가이드라인!:13〕에 포함된 RFID 시스템에 대한 주요 보안측정 (Security Measures) 요소 중 하나이다.

마지막으로 이동형 리더는 분실이 쉽기 때문에 분실 시 데이터 노출에 대한 안전성 (Leakage Resilience) 도 고려되어야 한다. 분실된 리더에 저장되어 있는 태그 정보를 이용하여 태그를 위조하고 위조된 태그로 정당한 리더와의 인증을 통과하는 공격은 분실이 잦은 이동형 리더 환경에서 쉽게 일어날 수 있다. 이동형 리더는 많은 태그들에 대한 정보를 저장하고 있기 때문에 데이터 노출에 대한 안전성이 보장되지 않는다면 다량의 위조 태그를 생성할 수 있게 되어 심각한 보안 문제를 초래하게 된다.

최근 RFID 태그 검색 기법들U4-16)이 제안되었으나 이동형 리더 소지자에 대한 프라이버시 문제 등을 고려하지 않음으로써 심각한 보안취약점을 가지고 있다. 또한 알려진 기법들은 다중 이동형 리더를 사용하는 환경에서는 적합하지 않다. 본 논문에서는 기존 RFID 태그 검색 기법에서 고려하지 않은 이동형 리더 사용 시 추가적으로 발생하는 문제들에 대해 분석하고 이러한■ 문제들에 안전한 효율적인 RFID 태그검색 프로토콜을 제안한다.

. 본 논문의 공헌은 다음과 같다. 본 논문에서 제안하는 기법은mT동형 리더 소지자의 프라이버시 문제를 .해결한 최초의■.태그 검색 기법이다. 제안하는 기법은 전력 소비, 저장량, ' 연산 속도 측면에서 수동형 태그에 가장 적합한〔17〕AES-128 (Advanced Encryp­ tion Standard)을 사용하여 이동형 리더가 항상 같은 정보를 내보내 동선이 노출되는 문제를 해결하였다. 그리고 각각의 리더가 중.앙 데이터베이스에 접속하지 않고 태그를 검색할 수 있도록 태그 검색을 위해 필요한 값들을 저장하게 함으로써 가용성 문제를 해결하였다. 마지막으로 리더 분실에 대한 안전성을 보장하기 , 위해 각각의 리더가 같은 태그 검색을 위해 저장한 값을 모두 다르게 함으로써 리더 분실 시 다량의 태그 위조 가능성을 막았다.

본 논문의 구성은 다음과 같다. 2장에서는 관련 연구에 대해 살펴보고 3장에서는 RFID 태그 검색 프로토콜을 제안한다. 4장에서는 제안하는 프로토콜의 안전성과 효율성을 분석한 후 5장에서 결론을 맺는다.

Ⅱ. 관련 연구

특정한 태그를 찾기 위해 기존에 제안된 RFID 인증.프로토콜들〔6-11〕을 사용할 수 있다. 리더가 주위 :태그들에게, 신호를 보내 태그들을 모두 인증하여 찾고 .자하는 태그가 있는지를 확인함으로써 태그에 대한 검색을 할 수 있다. 하지만[그림 3]과 같은 인증 프로토콜의 경우 하나의 태그를 검색하기 위해 일반적으로 최대 데이터베이스 내에 있는 태그 수만큼의 연산이 .필요하게 되는데 이는 태그의 익명성 보장을 위해 필요하다. 만약 데이터베이스가 저장하고 있는 태그의 '수를 “개라고 하고 리더 주위에 있는 태그의 수를 a개라고 하면 리더는 최대 砂3번의 연산을 수행해야 하기 때문에 인증 프로토콜을 그대로 적용하여 검색 프로토콜을 구성하는 것은 효율적이지 못하다.

[그림 3] RFID 인증 프로토콜

최근 효율적이고 안전한 RFID 태그 검색을 위한 프로토콜들〔14-16〕이 제안되고 있다. 문헌〔14, 15〕 에서는 신뢰기관인 CA(Certificate Authority) 가모든 태그 耳에 대한 비밀키 弓를 저장하고 있고 정당한 리더 乌와 안전한 채널을 통해 통신한다고 가정한다. 각각의 리더 鸟는 자신의 식별자인 弓와 검 색 권한을 갖는 태그에 대한 접근 리스트(Access List) 인 L- 를 갖는다. 각각의 태그 气는 자신의 식별자인 , 磁와 비밀키 t., 그리고 해쉬함수인 从.)를'저장한다.'

이동형 리더가 중앙 데이터베이스와 통신할 수 없는 상황에서의 검색 문제를 해결하기 위해'각각의 리더들은 자신의 검색 권한에 따라 CA로부터 태그를 검색할 수 있는 값들을 받아온다. 하지만 이동형 리더는 쉽게 분실될 수 있기 때문에 태그의 비밀키.값을 리더에 직접 저장하는 건 위험부담이 크다. 따라서 각각의 리더 耳는 접근 권한을 갖는 태그들에 대한 정보를 담은 접근 리스트(Access List)인 乌를 CA로부터 다음과 같이 받아온다[그림 4]. 이 때, 함수 /는 해쉬함수이다.

[그림 4] 접근리스트%

따라서 리더 R느 해쉬함수의 일방향성(On.e-way) 으로 인해 태그의 비밀키인 t, 값을 알지는 못하지만 접근 리스트를 이용하여 특정 태그에 대한 검색을 할 수 있게 된다.

문헌〔14, 15〕에서는 4가지 검색 프로토콜을 제안하였다. 첫 번째 검색 프로토콜은 다음[그림 5]와 같다.

[그림 5] 문헌 (14, 15) 의 첫 번째 프로토콜

리더는 자신이 검색할 태그에 대한 값을 만들어 주위의 태그들에게 보낸다. 리더 주위의 모든; 태그들은리더로부터 온 값을 계산하여 자신의 祸와 일치하면 리더에게 인증값을 생성하여 보내준다 N 이 프로토콜은문헌〔14.15〕에서도 지적되었듯이 재생공격이 가능하다. 공격자가 리더가 태그에게 보냈던 값을 저장해 두었다가 재사용하게 되면 항상 같은 태그가 대답하게 되므로 어떤 태그인지는 알지 못하지만 특정 태그에 대한 검색이 가능하게 된다. 따라서 첫 번째 검색 프로토콜의 재생공격에 대한 취약성을 개선하고자 3가지 개선된 기법을 추가적으로 제시한다. 리더의 질의에 대해 하나의 태그가 대답하는 것 자체가 태그를 식별하는데 사용될 수 있기 때문에 리더의 질의에 대해 하나의 태그가 대답하는 한 재생공격을 막기는 어렵다. 따라서 리더의 질의에 대해 리더 주위 태그. 중 일부의 태그가 동시에 대답하게 함으로써 재생공격을 막는 기법으로 프로토콜 3과 프로토콜 4를 제안하였다.

재생공격을 막는 방법 중 하나로 타임스탬프를 사용하는 방법이 있으나 저가의 태그에 타임스탬프 기능을 추가하는 것은 현실적으로 어렵다. 따라서 난수의 재사용을 체크하여 재생공격을 막는 방법을 이용한 프로토콜 2를 제안하였다. 이 기법을 사용하기 위해 태그가 이전 검색에서 리더에 의해 사용되었던 난수를 최대 m개 저장하고 있어야하는데 이 방법은 저장량이 작은 태그에서 사용하기 어렵고 또한 문헌〔14, 15〕에서지적한 대로 저장되기 이전에 사용되었던 난수 값으로 재생 공격을 하게 되면 재생공격에 취약하게 된다.

앞에서 지적한 바와 같이 문헌〔14, 15〕에서 제안된 기법은 리더 소지자의 프라이버시 침해 문제를 발생시킨다. 제안된 4가지 기법들 모두 리더가 태그를 찾기 위한 질의에서 弓를 사용하는데 이는 이동형 리더에 대한 식별자로 고정된 값이다. 따라서 r. 값을 추적함으로써 이동형 리더 소지자의 위치 추적이 가능하게 된다. 리더 신호에 대한 도청이 태그 신호에 대한 도청보다 훨씬 쉽기 때문에 심각한 프라이버시 문제를 발생 시킨다.

[14.15] 기법 이후 이를 개선한 기법이 제안되었다 〔16〕. 이 기법은 [14, 15] 기법이 만족하지 못하는 전 방향 안전성 (Forward Secrecy) 문제를 해결하고 응용환경을 제시하였으나 이 기법 역시 리더 소지자의 프라이버시 문제를 해결하지 못하였다. 또한 전 방향 안전성을 위해서 리더와의 정상적인 통신이 이루어진 후 일방향 함수(One-way Function)를 이용하여 태그의 비밀값을 갱신(Update)하는데 이 때 태그와 리더 사이의 동기화 문제가 발생하게 된다. 문헌〔16〕 은 이러한 비동기화 문제를 해결하기 위해 태그와 리더가 상호 인증이 이루어진 후에 서로의 값을 갱신하도록 설계하였다. 하지만 이러한 방법에서는 리더의 개수에 제약이 따른다. 여러 개의 리더를 사용하여 태그를 검색하는 경우 A 리더와의 통신 후 태그.가 값을 갱신하였다고 하면 A 리더 이외의 다른 리더들은 갱신된 사실을 알 수 없기 때문에 비동기화 문제가 발생하게 된다. 따라서〔16〕기법은 여러 개의 리더를 사용하는 환경에는 적합하지 않다.

Ⅲ. RFID 태그 검색 프로토콜

3.1 시스템 가정 사항

RFID 태:! 검색 시스템은[그림 6]과 같이 중앙데이터베이스를 가진 신뢰기관과 이동형 리더 그리고 태그로 구성된다. 신뢰기관과 이동형 리더 사이의 통신 채널은 안전한 채널이고 이동형 리더와 태그 사이의 통신 채널은 안전하지 않은 채널이라고 가정한다. 신뢰기관의 서버와 이동형 리더는 무선 통신을 하긴 하지만 둘 다 강력한 컴퓨팅 파워를 갖기 때문에 암호학적인 방법을 통한 안전한 채널의 형성이 가능하므로 안전한 채널이라고 가정한다. 하지만 태그와 이동형 리더의 무선 주파수를 이용한 통신은 태그의 자원 제약성 때문에 안전한 채널을 가정하기 힘들다. 따라서 안전하지 않은 채널에서 태그와 리더사이의 통신에 안전성을 주기위한 프로토콜의 설계가 필요하다.

[그림 6] 시스템 구성도

3.1.1 신뢰기관(TTP: Trusted Third Party)

신뢰기관은 항상 신뢰되는 기관으로 태그에 대한정보들을 저장한 중앙 데이터베이스를 가지고 있다. 신뢰기관은 이동형 리더들에게 태그 검색이 가능하도록 하기 위해 태그의 비밀키를 가공한 값을 전달한다. 따라서 신뢰기관은 항상 온라인일 필요가 없기 때문에 태그의 정보들은 좀 더 안전하게 보호되어질 수 있다.

3.1.2 어동형 리더(Handheld Reader)

이동형 리더는 신뢰기관으로부터 받은 값을 이용하여 찾고자하는 태그가 일정한 통신 반경 내에 존재하는지를 검색한다. 리더는 태그의 동작에 필요한 전원을 공급하기 위해 전파의 세기가 강해야 하며 보통 리더의 통신 반경은 100m라고 가정한다〔18〕.

3.1.3 태그(Tag)

. 태그는 수동형 태그(Passive Tag)로 내장된 전원 없이 리더가 발생시키는 전파로부터 동작에 필요한 전원을, 만들어 사용한다. 보통 수동형 태그의 통신 반경은 3m 라고 가정하고〔18〕, UHF(UltraHigh Frequency) 대역 (800〜960MHz)에서 통신한다.

RFID 시스템에서 높은 안전성을 보장하기 위해 암호학적인 알고리즘(Cryptographic Algorithm) 의사용은, 불가피하다. 수동형 태그에 적합한 암호 알고리즘들을 구현하여 이를 분석한 Feldhofer 등의 결과를 살펴보면 AES (Advanced Encryption Standard) .의 사용이 수동형 태그에 가장 적합하다〔17〕.[표 1] 은 Feldhofer 등의 분석 결과를 나타낸다.

[표 1] 암호 알고리즘 비교 분석

Feldhofer 등은 전력 소비 (Imean), 암호 알고리즘 구현을 위해 필요한 칩 영역(Chip Area), 그리고 연산을 위해 필요한 클럭의 수(Clock) 의 3가지 측면에서 알고리즘을 분석하였다. 전력 소비의 경우 최대 15*4 이상을 소모하면 통신을 위한 전력까지 소모되어 태그의 통신 반경이 줄어들게 된다. 칩 영역을 제한하는 것은 기술적인 이유보다 경제적인 이유가 큰데 이는 칩의 실리콘 영역(Silicon Area)이 태그의 가격을 결정하기 때문이다. 보통 보안을 위한 칩 영역은 T, 000에서 10, 000 게이트(gate)정도로 가정한다. .마지막으로, 연산을 위해 필요한 클럭의 수는 태그의 응답 시간(Response Time)에 영향을 미치는데 ISO 15693 표준을 따르는 HF 태그의 경우를 예로 살펴보면 태그가 리더의 요청에 대해*说)阳 내에 응답을 해야 하기 때문에 클럭의 수가 알고리즘 분석에서 중요한 요소가 된다.

향후 모든 사물에 태그를 부착하게 되는 환경에서 태그의 가격은 시스템 구축에 있어서 매우 중요한 요소로 작용하게 될 것이다. 마이크로칩의 밀도가 18개월마다 2배로 늘어난다는 Moore의 법칙에 의해 향후 태그의 성능이 향상되어 수용할 만한 가격으로 수동형 태그에 암호학적인 프리미티브(Primitive)를 구현하' 는 것이 가능할 것이다. 하지만 기업은 항상 비용이 적게 드一는 쪽을 원할 것이고 방대한 양을 사용하는 태그의 가격이 낮으면 낮을수록 좋기 때문에 태그의 기능은 크게 변화되지 않으면서 가격이 떨어지게될 것이다〔7〕. 따라서 태그에 최대한 값싼 가격을 지불하면서도 안전한 암호 알고리즘의 구현이 필요하기 때문에 AES-128의 사용이 안전성뿐만 아니라 경제적인 측면에서도 수동형 태그에 적합하다. 따라서 본 논문에서는 수동형 태그에 AES-128 알고리즘이 구현되어있다고 가정한다.

3.2 보안 및 프라이버시 요구 사항

공격자는 RFID 시스템에 대한 다양한 공격을 통해 보안 및 프라이버시 문제를 발생시킨다. 공격자의 공격 방법에 따라 가능한 공격들은 다음과 같다. 공격자는 태그와 리더 사이의 통신을 도청 (Eavesdropp­ ing) 을 할 수 있고 도청한 데이터를 재전송하는 재생 공격(Replay Attack)을 할 수 있다. 또한 정당하지 않은 리더를 사용하여 태그로부터 얻은 정보를 이용해 정당한 리더의 요청에 합리적인 태그로 가장하여 응답하는 스푸핑 공격 (Spoofing Attack)도 가능하다. 저가의 태그는 메모리를 보호하는(Tamperproof) 장치가 없기 때문에 공격자는 물리적인 공격 (Tam­ pering Attack)을 통하여 메모리에 저장된 값을 모두 알아낼 수도 있다.

위와 같은 공격에 의해 발생할 수 있는 보안 문제 이외에도 사용자가 태그가" 내장된 물건들을 몸에 지니게 됨으로써 발생 가능한 사용자 프라이버시 침해 문제로 사용자의 개인 정보 노출과 사용자의 위치 추적 문제가 있다. 태그는 리더의 질의에 대해 자신의 고유정보를 노출하기 때문에 사용자가 다른 사람에게 알리고 싶지 않은 민감한 정보를 제삼자에게 노출 시킬 수 있고 사용자가 태그가 내장된 물건을 지니고 다니는 동안 태그의 고유 정보를 이용하여 사용자의 이동 경로를 주적할 수도 있다.

이렇게 다양한 공격들을 통해 발생할 수 있는 보안 및 프라이버시 문제 해결을 위해 RFID 프로토콜이 만족해야 하는 요구사항은 다음과 같다.

, 기밀성 (Confidentiality) : 태그와 리더 사이의 통신을 도청하더라도 도청된 메시지로부터 어떠한 의미 있는 정보도 알아낼 수 없도록 기밀성을 만족해야 한다.

, 태그에 대한 익명성 (Anonymity) : 태그에서 리더로 전송되는 통신을 통하여 사물 및 개인에 대한 감시 및 위치 추적이 이루지지 않도록 하기 위해 구별 불가능성 (Indistinguishability)과 전방향 안전성 (Forward Secrecy)을 만족해야 한다. 구별 불가능성은 태그에서 전송되는 데이터를 보고 어떠한 태그에서 전송되는 값인지를 알 수 없어야 한다는 것이다. 전방향 안전성은 공격자가 현재 태그에 저장된 데이터의 값을 알았다 하더라도 태그가 이전에 생성한 데이터를 추적할 수 없어야 한다는 것이다. 따라서 전 방향 안전성을 만족하면 공격자가 현재 알고 있는 태그의 데이터를 이용하여 이전에 태그가 생성하였던 데이터들에 대한 연관성을 줄 수 없다.

. 인증(Authentication) : 리더는 자신과 통신하는 태그가 정당한 태그라는 것을 확신할 수 있어야 한다. 만약 리더가 태그의 정당성을 인증하는 과정을 수행하지 않는다면 공격자는 재생 공격 등을 통하여 특정 태그로 위장할 수 있다.

위의 일반적인 RFID 시스템이 만족해야하는 요구사항 중 RFID 태그 검색 시스템에서 만족하기 힘든 요구사항은 태그에 대한 전방향 안전성이다. 2장 관련 연구에서 언급하였듯이 전방향 안전성을 만족하기 위해 태그의 비밀값을 일방향성을 만족하는 값으로 계속 갱신하게 되면 모든 이동형 리더들과의 동기화 문제를 해결해야 하는데 이러한 문제를 해결하기는 어려울 뿐만 아니라 추가적인 연산비용이 발생하게 된다. 또한 이동형 리더들과의 동기화를 위해 값을 갱신하지 않는다면 전방향 안전성을 만족하기 힘들다. RFID 태그검색 시스템은 보통 사용자가 태그가 아닌 이동형 리더를 소지하게 되므로 본 논문에서는 태그에 대한 전 방향 안전성은 고려하지 않는다. 태그에 대한 전 방향 안전성을 고려하지 않기 때문에 공격자가 태그에 저장된 값을 알아냈을 때 기존의 통신 기록을 이용하여 그 태그가 이전에 생성한 데이터를 추적할 수 있게 된다. 이러한 추적을 통해 태그의 위치를 추적할 수 있게 되긴 하지만 태그 검색 환경은 보통 사용자가 태그를 소지하는 환경이 아니기 때문에 태그 소지자의 프라이버시 문제가 발생하지 않는다.

위에서 언급한 일반적인 RFID 시스템이 만족해야 하는 요구사항 외에 RFID 태그 검색 시스템에서는 다음과 같은 추가적인 요구사항을 만족해야 한다.

. 리더에 대한 익명성 (Anonymity) : 기존 고정형 리더 환경에서는 리더 소지자에 대한 프라이버시를 고려하지 않았지만 이동형 리더 환경에서는 이동형 리더를 사용자가 소지하게 됨으로써 리더 소지자에 대한 프라이버시가 태그 소지자에 대한 프라이버시보다 더 중요시된다. 태그는 통신반경이 3m 이내이고 리더는 100m 이내이기 때문에 태그에서 나오는 신호는 태그 주위에서만 도청이 가능하지만 리더의 경우는 광범위한 영역 에서 도청이 가능하다. 태그 신호에 대한 도청이 가능한 영역이 97rm2 라면 리더 신호에 대한 도청이 가능한 영역은 IQOOOtt* 이므로 리더에 대한 도청이 1, 000배 가량 더 쉽다. 따라서 리더에서 태그로 전송되는 통신에 대해서도 구별 불가능성과 전방향 안전성을 만족해야 한다.

, 가용성 (Availability): 사용자가 이동형 리더를 가지고 무선 통신이 불가능한 지역에 가게 되었을 경우 중앙 데이터베이스로부터 태그에 대한 정보를 얻어올 수 없어 실시간 검색이 불가능한 상황에서도 태그를 검색할 수 있는 시스템 가용성 (Availability) 을 보장해야 한다.

. 리더 분실에 대한 안전성 (Leakage Resilience): 이동형 리더는 분실이 쉽기 때문에 분실 시 데이터 노출에 대한 안전성도 고려해야 한다. 공격자는 분실된 리더에 저장된 태그의 값을 이용하여 다른 정당한 리더에게 정당한 태그인 척 하는 공격(Impersonation Attack)을 할 수 있다. 따라서 공격자의 이러한 공격에 안전한 프로토콜을 설계하여야 한다.

3.3 제안 프로토콜

제안하는 RFID 태그 검색 프로토콜은 초기 설정 단계와 태그. 검색 단계로 나뉜다. 초기 설정 단계에서는 중앙 데이터베이스에 접속이 불가하여 검색이 불가능한 상황에서 태그 검색이 가능하도록 하기 위해 이동형 리더가 태그에 대한 접근 리스트를 저장하게 되는데 이러한 방법은 태그의 수가 매우 많을 경우 중앙데이터베이스가 리더와 태그 사이의 모든 통신에 개입할 때 중앙 데이터베이스의 과부하로 인해 정상적인 서비스" 이루어지지 않는 경우에도 사용이 가능하다.

3.3.1 초기 설정 단계(Setup Phase)

각각의 이동형 리더 為의 식별자를 弓라 하고 태그 纟의 식별지를 咯 비밀키를 亏라고 한다. 신뢰기관은 , 각각의 이동형 리더 与에게[표 2]와 같은 접근 리스트 4를 안전하게 전송한다. 이 때 也에1丑, )는 메시지 冲左를 비밀키 t로 AES-128 알고리즘을 이용하여 암호화한 암호문을 나타낸다. AES의 평문 길이는 128 비트이므로「과 ID는 64비트이고 비밀키 t는 128비트이다. '■ AES-128의 선택 평문 공격 (Chosen Plaintext Attack) 에 대한 안전성으로 인해 리더 .电는 号(弓II鶴)로부터 태그 4에 대한 비밀키 弓를 알아낼 수 없다.

[표 2] 접근 리스트 L_j

3.3.2 태그 검색 단계(Tag Search Phase)

리더 些가 태그 4를 검색하기 위한 RFID 태그 검색 프로토콜은[그림 7]과 같다. 실제로 리더 주위의 태그들이 모두 리더의 요청에 응답하지만〔그림 7〕에서는 리더 与가 찾고자 하는 태그 彳의 응답만을 나타내었다.

[그림 7] RFID 태그 검색 프로토콜

1)#

리더 R느 태그 4를 검색하기 위해 64비트 난수 R 을 선택한 후 태그 4의 식별자인 ID】를 비밀키로 하여 자신의 식별자 勺와 난수 瞻 암호화한 암호문 殊.(弓 II R)를 생성하여 주위의 태그들에게 전송한다.

2)#

리더로부터 메시지를 받은 태그들은 자신의 식별자인 ID:을 이용하여 암호문 E* II 3)을 복호화한 메시지를 64비트씩 나눈 후 弓'과 玖을 얻는다. 모든 태그들은 자신의 비밀키 弓'을 이용하여 .&'=/(弓' || 丑矿>을 계산한다.

3)#

각각의 태그들은 임의의 난수 r'을 선택하여 리더의 요청에 대한 응답 珏网 II r)®{A II R) 를 계산한 후리더에게 전송한다. 실제로 리더 乌가 검색하고자 하는 태그 4만이[그림 7]과 같이 정당한 값을 생성하여 보낼 수 있다.

4)#

리더 R느 태그들로부터 받은 값 Ek\ID! || /)® (7? II 丑) 에 자신이 선택한 난수 께K을 XOR 하여 얻은 값을 태그 [에 대해 접근 리스트 4에 저장된 값 即끼四)을 비밀키 ■&로 하여 복호화 한 후 皿를 확인한다. 만약 자신이 찾고자하는 태그 彳의 식별자 IDt 와 같다면 현재 자신이 위치한 곳으로부터 반경 3m 이내에 자신이 찾고자하는 태그 7;가 있음을 알 수 있다.

3.4 응용 환경

제안하는 기법은 재고관리, 물류, 유통 등 다양한 환경에 적용이 가능하다. 일례로 RFID 검색 시스템을 기록물 보존소에 적용시킨 예를 살펴보자. 기록물보존소에는 많은 문서들이 보관되어 있다. 이러한 문서들은 보안등급이 있어 열람자들에게 보안등급별로 문서를 열람할 수 있는 권한이 주어진다. 모든 문서에는 수동형 RFID 태그가 부착되어 있고 열람자들은 자신에게 열람이 허가된 문서들 중 원하는 문서를 찾기를 원한다. 이러한 환경에서는 고정형' 리더보다 이동형 리더의 사용이 적합하다. 만약 기록물이 보존되어 있는 장소가[그림 8]과 같다고 가정해보자. 고정형 리더를 설치하여 태그를 검색한다면 수동형 태그의 통신반경이 3m 이내이므로 (a M3)二림처럼 각각의 셀로 나누고 각 셀의 중심에 고정형 리더를 배치하여야 한다.[그림 8]과 같은 경우 고정형 리더는 25개나 필요하게 된다. 따라서 검색 환경에서 고정형 리더 의사용은 좁은 공간에 고가의 리더가 많이 필요하게 됨으로써 가격 면에서 효율적이지 못하다. 또한 태그가 밀집되어 있지 않은 경우라면 낭비가 더욱 심하게 된다. 따라서 이러한 검색 환경에서는 이동형 리더의 사용이 더 적합하다.

[그림 8] 기록물 보존소

하지만 이동형 리더를 사용할 때는 기록물 보존소의 전 영역을 모두 검색하기 위한 동선(Traffic Line)을 고려해야 한다. 또한 현재 리더가 위치한 곳으로부터 태그의 통신 반경인 3m 이내에 찾고자 하는 태그가 존재한다는 것만 알 수 있기 때문에 정확한 위치를 알게 되는 것은 아니다. 하지만 미아 찾기와 같이 태그의 밀도가 낮은 환경에서는 유용하게 사용될 수 있다. 자신의 위치로부터 3m 이내의 미아는 육안으로 확인이 가능하기 때문이다.

또한 제안하는 기법은 재고관리에 더욱 적합하다. 방대한 창고에 특정 물건이 존재하는지를 확인하는 재고관리 환경에서는 정확한 위치에 대한 정보 보다는 존재 유무에 관심이 있기 때문에 태그 검색 기법은 재고관리 환경에서 유용하게 사용될 수 있다.

Ⅳ. 분석

4.1 안전성 분석

본 절에서는 제안하는 기법이 3장에서 분석한 보안 및 프라이버시 요구사항을 만족함을 보인다.

, 기밀성 (Confidentiality) : 리더에서 태그로 전달되는 값은 리더가 찾고자하는 태그의 식별자로 암호화 되어 있으므로 기밀성을 만족한다. 실제로 리더가 찾고자하는 태그가 어떤 태그인지 공격자 입장에서는 알지 못하기 때문에 공격자는 정당한 값을 복호화할 수 없으므로 이 메시지로부터 어떠한 정보도 알아낼 수 없다. 태그에서 리더로 전달되는 값 역시 정당한 리더와 태그만이 알 수 있는 값으로 암호화되어 있으므로 기밀성을 보장한다.

. 태그에 대한 익명성(Anonymity): 태그는 리더의 요청에 대해 매번 자신이 임의로 선택한 난수 「을 이용하여 응답하므로 공격자 입장에서는 이 값이 어떠한 태그에서 나온 값인지 구별 불가능하기 때문에 구별 불가능성을 만족한다.

. 인증(Authentication) : 제안하는 기법에서 리더는 태그와 공유한 값을 통해 자신과 통신하는 태그가 정당한 태그라고 확신할 수 있게 된다. 또한 시도-응답(Challenge-Response) 기법을 사용하여 리더와 태그 모두 자신이 생성한 난수를 사용하기 때문에 재생 공격을 막을 수 있다. 리더가 태그에게 보내는 메시지를 저장한 후 재생 공격에 사용한다 하더라도 리더의 질의에 대해 리더 주위의 모든 태그가 응답하기 때문에 공격자가 알아낼 수 있는 정보가 없다. 만약 공격자가 정당하지 않은 리더를 이용하여 자신이 생성한 값들로 계산한 切邛(弓'1成)을 보낸다 하더라도 Kt 값을 모르기 때문에 태그의 응답 메시지를 통해 태그를 인증할 수는 없게 된다.

. 리더에 대한 익명성(Anonymity): 리더가태그에게 보내는 메시지에는 매번 자신이 임의로 선택한 난수 丑이 포함되기 때문에 이 값이 어떠한 리더에서 나온 값인지 구별 불가능하게 된다. 제안하는 기법은 리더 구별 불가능성은 만족하지만 리더 전방향 안전성은 만족하지 않는다. 전방향 안전성 가정에 의해 공격자가 리더에 저장된 접근 리스트 4와 리더의 식별자인 弓를 알고 있다고 하자’ 만약 태그 검색 후 리더의 식별자 갱신이 없다면 공격자는 이 정보들과 과거에 도청한 勾以(时成)을 이용하여 리더가 찾고자하는 태그가 무엇인지 알 수 있게 되고 리더가 이전에 생성한 값들을 추적할 수 있게 된다. 우선 공격자는 접근 리스트 4에 저장된 모든 丑Z(1 M 3 M e)를 이용하여 E况(께R)에 대한 복호화를 수행한고 弓'I应을 얻은 후 弓 =七인지 확인하게 되면 리더 전방향 안전성은 만족되지 않는다. 전 방향 안전성을 만족하기 위해서는 일반적으로 태그와 리더가 청싱.적인'통신을 끝낸 후 일방향 함수 등을 이용하여 비밀값을 갱신하게 되는데 이 때 동기화 문제를 해결해야 한다. RFID 태그 검색 프로토콜 환경은 중앙 데이터베이스가 항상 온라인이라는 가정이 없기 때문에 여러 개의 리더들을사용하는 환경에서 동기화 문제를 해결하기 어렵다. 리더 전방향 안전성 문제는 리더 些가 일정 간격으로. 자신의 식별자 弓를 해쉬함수 H( .)를 이용하여 瓦弓)로 갱신하게 함으로써 부분적인 해결이 가능하다. 하지만 식별자의 갱신이 있을 때마다 리더는 신뢰기관으로부터 접근 리스트를 새롭게 받아와야.한다. 이 경우 리더는 해쉬함수를 이용하여 식별자를 갱신하므로 해쉬함수의 일방향 성질 때문에 현재 저장된 식별자 弓로부터 이전 식별자 값을 알아낼 수 없게 되어 리더 전방향 안전성을 만족한다. 만약 리더 소지지의 프라이버시가 매우 중요한 환경이라면 태그 검색 후 리더는 자신의 식별자를 갱신하고 매번 신뢰기관으로부터 접근리스트를 받아오는 번거로움을 감수해야 한다.

, 가용성 (Availability): 사용자가 이동형 리더를 가지고 무선 통신이 불가능한 지역에 가게 되었을 경우 중앙 데이터베이스로부터 태그에 대한 정보를 얻어올. 수 없어 실시간 검색이 불가능한 상황에서도 태그를. 검색할 수 있도록 하기 위해 각각의 리더들은 접근 리스트를 저장하게 된다. 이러한 접근 리스트를 통하여 리더는 중앙데이터베이스에 접속하지 않고 태그를 검색할 수 있게 된다.

- 리더 분실에 대한 안전성(Leakage Resilience): 제안하는:기법은 공격자가 분실된 리더에 저장된 태그의 값을 이용하여 다른 정당한 리더에게 정당한 태그인..척 하는 공격에 안전하다. 각각의 리더는 자신의 식별자를 포함한 값으로 구성된 접근 리스트를 가지고있는데「이거한 값으로부터 다른 리더의 식별자를 포함한 값을 생성할 수는 없다. 다른 리더의 접근 리스트 .를 생성하기 위해서는 태그의 비밀키를 알아야만 하기 때문이다.

[표 3]은 제안하는 기법과 비슷한 환경에서 제안된 기법인 [14, 15] 기법과의 안전성 비교를 나타낸다. [14, 15] 기법은 리더 구별 불가능성을 만족하지 못하여 리더 소지자의 프라이버시 침해가 심각하다.

[표 3] 안전성, 비교

┬(○: 만족함, x: 만족하지 않음, △:부분적으로 만족함)

4.2 효율성 분석

본 절에서는 제안하는 기법의 효율성을 분석하고 효율성 개선 방안에 대해 살펴본다.

. 태그에 대한 효율성 : 태그는 자신의 식별자와 비밀키만을 저장하여 가격이 비싼 비휘발성 메모리 의사용을 최소화 하였으며, 또한[표 1]에서 알 수 있듯이 AES-128의 구현을 위한 칩 영역으로 3, 400 게이트만을 사용하였기 때문에 메모리 사용량을. 줄였다. 태그는 리더의 요청에 응답하기 위해 1번의 .복호화와 2번의 암호화를 수행하여야 한다. 이 연산은 총 9心!(M 15心4)을 소모하기 때문에 태;!의 통신 반경에 영향을 미치지 않는다. 또한 클럭 사이클(Clock Cycle)의 수는 3, 096이다.

. 리더에 대한 효율성 : 기존 인증기법의 경우 하나의 태그를 인증하기 위해 리더는 최대 저장된 태그 수만큼의 계산량이 필요했으나 제안하는 검색 프로토콜은 리더로부터 통신 반경 3m 이내에 있는 태그 수를 m이라고 하면 m만큼의 계산만이 필요하기 때문에 효율적이다.

제안하는 기법과 비슷한 환경에서 제안된 기법인 〔14, 15〕기법과의 효율성을 비교한 결과는[표 4]와같다.〔14, 15〕기법에서 태그는 리더의 요청에 응답하기 위해 3번의 해쉬함수 연산을 수행한다. 이 기법은 리더의 연산량을 줄이기 위해 리더 통신 반경에 있는 모든 태그가 응답하도록 하지 않고 확률적으로 응답하는 방법을 사용하였다. 하지만 [14.15] 기법이 재생 공격에 대해 제안하는 기법과 같은 안전성을 갖으려면 리더에 대한 효율성이 제안기법과 같이 m이여야 한다.

[표 4] 효율성 비교

제안하는 기법은 태그 측면에서 3번의 암 . 복호화 연산이 요구되는데 효율성을 개선하기 위한 방법으로 [그림 9]와 같은 기법을 고려해 볼 수 있다. 리더의 요청 메시지 (州左)金(2끼U끼)에 대해 모든 태그는 자신의 鶴'를 XOR하여 弓'을 구한 후 이를 이용하여 응답 메시지를 계산한 후 리더에게 전송한다. 이 기법은 태그 측면에서 1번의 복호화 과정을 줄였으나 같은 태그의 검색을 위해 리더가 내보내는 메시지가 항상 같기 때문에 리더가 이전에 검색한 태그와 같은 태그를 검색한다는 정보가 노출되는 단점을 갖는다.

[그림 9] 효율성 개선 기법

Ⅴ. 결론

본 논문에서는 이동형 리더를 이용한 태그 검색 환경에서의 문제점을 지적하고 이러한 환경에서 필요한 보안 및 프라이버시 요구사항을 분석하였다. 또한 이동형 리더 소지자의 프라이버시를 보호하는 효율적인 RFID 태그 검색 프로토콜을 제안하였다. 향후 태그와 리더에 대한 전방향 안전성을 만족하는 저가의 효율적인 RFID 태그 검색 프로토콜에 대한 연구가 필요하다.