謝 潤許春香陳文杰李萬鵬

①（電子科技大學(xué)計算機科學(xué)與工程學(xué)院 成都 611731）

②（宜賓學(xué)院數(shù)學(xué)學(xué)院 宜賓 644000）

一種具有閱讀器匿名功能的射頻識別認(rèn)證協(xié)議

謝 潤①②許春香*①陳文杰①李萬鵬①

①（電子科技大學(xué)計算機科學(xué)與工程學(xué)院 成都 611731）

②（宜賓學(xué)院數(shù)學(xué)學(xué)院 宜賓 644000）

在射頻識別（RFID）的應(yīng)用中，安全問題特別是用戶隱私問題正日益凸顯。因此，（用戶）標(biāo)簽信息的隱私保護的需求越來越迫切。在RFID系統(tǒng)中，標(biāo)簽的隱私保護不僅是對外部攻擊者，也應(yīng)該包括閱讀器。而現(xiàn)有許多文獻提出的認(rèn)證協(xié)議的安全僅針對外部攻擊者，甚至在外部攻擊者的不同攻擊方法下也并不能完全保證安全。該文提出兩個標(biāo)簽對閱讀器匿名的認(rèn)證協(xié)議：列表式RFID認(rèn)證協(xié)議和密鑰更新式RFID認(rèn)證協(xié)議。這兩個協(xié)議保證了閱讀器對標(biāo)簽認(rèn)證時，標(biāo)簽的信息不僅對外部攻擊者是安全的而且對閱讀器也保持匿名和不可追蹤。相較于Armknecht等人提出的對閱讀器匿名和不可追蹤的認(rèn)證協(xié)議，該文所提的協(xié)議不再需要增加第三方幫助來完成認(rèn)證。并且密鑰更新式RFID匿名認(rèn)證協(xié)議還保證了撤銷后的標(biāo)簽對閱讀器也是匿名性和不可追蹤的。

安全協(xié)議；射頻識別；匿名認(rèn)證

1 引言

RFID（Radio Frequency IDentification）技術(shù)，又稱電子標(biāo)簽或射頻識別技術(shù)，使用該技術(shù)可通過無線電信號識別特定目標(biāo)并讀寫相關(guān)數(shù)據(jù)，無需識別系統(tǒng)與特定目標(biāo)之間建立機械接觸。完整的RFID系統(tǒng)，由閱讀器（reader）與電子標(biāo)簽（tag）及發(fā)行者（issuer）3部分所組成。閱讀器根據(jù)電子標(biāo)簽提供的信息對電子標(biāo)簽進行認(rèn)證。該技術(shù)被廣泛應(yīng)用于物聯(lián)網(wǎng)，智能公交系統(tǒng)，車輛位置自我識別［1］，圖書管理系統(tǒng)［2］，訪問控制等。由于閱讀器對電子標(biāo)簽的認(rèn)證協(xié)議過程為無線通信過程，極易泄露電子標(biāo)簽中用戶信息的隱私。為此，很多文獻研究了電子標(biāo)簽對攻擊者匿名和不可追蹤的RFID認(rèn)證協(xié)議，以保護電子標(biāo)簽 不被入侵［3］或其他形式的攻擊。如文獻［4，5］分別研究了如何檢測克隆攻擊和對電子標(biāo)簽的重傳攻擊。文獻［6］和文獻［7］中分別提出RFID的雙向認(rèn)證協(xié)議和基于散列樹的認(rèn)證方案，而文獻［8］研究GPS認(rèn)證模式。最近，文獻［9］做了RFID系統(tǒng)中移動閱讀器連續(xù)掃描的實驗研究，文獻［10］進一步提出了在大規(guī)模的RFID系統(tǒng)中電子標(biāo)簽的快速搜索協(xié)議。

盡管有諸多研究成果，但RFID應(yīng)用中安全問題仍然很突出。這些文獻中，大多是基于閱讀器是可信的這一假設(shè)來討論認(rèn)證協(xié)議的安全性，因此電子標(biāo)簽對閱讀器并不是匿名和不可追蹤的。但是，在越來越多的應(yīng)用中，電子標(biāo)簽的用戶希望電子標(biāo)簽對閱讀器也保持匿名和不可追蹤。例如，在電子票據(jù)、訪問控制等應(yīng)用中，用戶是不愿自己的消費情況或訪問記錄被追蹤。這些應(yīng)用場景下，對電子標(biāo)簽的認(rèn)證不僅要求對外部攻擊者是匿名和不可追蹤的，而且對閱讀器也要求是匿名和不可追蹤的。在許多情況下閱讀器也僅需要驗證電子標(biāo)簽的合法性。顯然，實現(xiàn)電子標(biāo)簽對閱讀器匿名和不可追蹤的認(rèn)證比僅對外部攻擊者實現(xiàn)這種安全性要困難得多。大部分研究RFID的認(rèn)證協(xié)議，如文獻［11］只是討論了對外部攻擊者保持隱私的的認(rèn)證方案。近來，文獻［12，13］等研究了對閱讀器匿名和不可追蹤RFID認(rèn)證協(xié)議。在文獻［13］中，為了實現(xiàn)對閱讀器的匿名和不可追蹤，引入了第三方匿名器。匿名器的作用是在每次認(rèn)證前，對電子標(biāo)簽發(fā)送給閱讀器的消息進行匿名化，從而實現(xiàn)對閱讀器匿名。但是該方案需要電子標(biāo)簽在每次認(rèn)證前與匿名器交互，所以通信代價有很大增加。在對電子標(biāo)簽多次認(rèn)證的實際環(huán)境中，通信次數(shù)的增加使得認(rèn)證安全性下降。通過分析也可以發(fā)現(xiàn)：如果匿名器不可信的，那么匿名器能對電子標(biāo)簽進行追蹤。另外，文獻［14］也利用門限方法討論了對閱讀器匿名和不可追蹤的電子標(biāo)簽認(rèn)證協(xié)議，但該文獻中的電子標(biāo)簽撤消方案是分別為電子標(biāo)簽和閱讀器重新配發(fā)私鑰和驗證公鑰。顯然，這樣做的結(jié)果等價于重新生成認(rèn)證協(xié)議的所有密鑰，所以系統(tǒng)效率將大大降低。應(yīng)用文獻［15］群簽名的思想，本文給出兩個RFID的匿名認(rèn)證協(xié)議：列表式RFID匿名認(rèn)證協(xié)議和密鑰更新式RFID匿名認(rèn)證協(xié)議。這兩個匿名認(rèn)證協(xié)議的特點分別是：

（1）列表式RFID匿名認(rèn)證協(xié)議：該協(xié)議中，閱讀器存儲撤銷列表，當(dāng)有電子標(biāo)簽被撤銷時，發(fā)行者將撤銷電子標(biāo)簽添加到撤銷列表，并將新的撤銷列表發(fā)送給閱讀器。對于未撤銷的電子標(biāo)簽，認(rèn)證協(xié)議保證了電子標(biāo)簽對閱讀器匿名和不可追蹤。這一協(xié)議不需要引入匿名器，認(rèn)證過程只在電子標(biāo)簽和閱讀器之間進行，簡化了認(rèn)證過程。本文在隨機預(yù)言機模型下證明了協(xié)議的安全性。

對于閱讀器能用已撤銷電子標(biāo)簽的私鑰來追蹤這些電子標(biāo)簽的問題，本文提出了下面的改進協(xié)議。

（2）密鑰更新式RFID匿名認(rèn)證協(xié)議：在此協(xié)議中，閱讀器不保存撤銷列表。當(dāng)某個電子標(biāo)簽被撤銷時，發(fā)行者根據(jù)被撤銷電子標(biāo)簽更新系統(tǒng)的公鑰。閱讀器用新的系統(tǒng)公鑰驗證認(rèn)證消息，已撤銷的電子標(biāo)簽不能再生成合法認(rèn)證消息。而未撤銷的電子標(biāo)簽更新其私鑰中的一個數(shù)據(jù)后仍然能生成合法的認(rèn)證消息。這個協(xié)議克服撤銷后的電子標(biāo)簽可被追蹤的問題。

由于電子標(biāo)簽的計算能力所限，本文采用預(yù)計算數(shù)據(jù)存儲在電子標(biāo)簽中的方法，以減輕電子標(biāo)簽的計算荷載。

2 符號和預(yù)備知識

3 列表式RFID匿名認(rèn)證協(xié)議

3.1 協(xié)議過程概述

3.2 協(xié)議的安全假設(shè)

在認(rèn)證過程中，假設(shè)敵手能控制電子標(biāo)簽和閱讀器之間的通信信道，即他可以竊聽、修改、操縱電子標(biāo)簽和閱讀器之間通信消息。敵手能獲取Ipk，但不能獲得發(fā)行者和電子標(biāo)簽的秘密信息。

發(fā)行者是可信的，它在安全的環(huán)境下初始化電子標(biāo)簽，即發(fā)行者和電子標(biāo)簽的秘密信息都不會在初始化時泄露。而閱讀器是不可信的，它可能希望獲得電子標(biāo)簽的秘密信息。閱讀器也擁有系統(tǒng)公鑰Ipk，比電子標(biāo)簽有更強的計算能力，能并行處理多個電子標(biāo)簽的認(rèn)證信息。電子標(biāo)簽的存儲能力和計算能力受限制，它僅能做次數(shù)不多的乘法和加法運算，且誠實可信。根據(jù)實際情況，我們也假設(shè)電子標(biāo)簽會被多次認(rèn)證。

3.3 參數(shù)選取

3.4 認(rèn)證協(xié)議過程

3.4.2 認(rèn)證過程

3.5 生成新Tj和撤銷Tj

3.5.1 生成新Tj在協(xié)議中，發(fā)行者也能靈活地生成新的Tj。發(fā)行者要生成一個新Tj時，則選擇為素數(shù)，并即存儲和預(yù)計算數(shù)據(jù)到Tj中。

根據(jù)文中第1節(jié)中的分析，在這一認(rèn)證協(xié)議中，撤銷后的Tj對閱讀器不再是匿名和不可追蹤的。為此，我們給出下面的改進認(rèn)證協(xié)議。

4 密鑰更新式RFID匿名認(rèn)證協(xié)議

在這一認(rèn)證協(xié)議中，閱讀器不再保存撤銷列表。當(dāng)Tj被撤銷時，閱讀器和未撤銷的Ti分別從發(fā)行者處更新系統(tǒng)公鑰和Ti的私鑰。因此，未撤銷的Ti仍然能生成合法的認(rèn)證消息，已撤銷標(biāo)簽不能生成合法的認(rèn)證消息。更重要的是：撤銷后的標(biāo)簽對閱讀器仍然是匿名和不可追蹤的。

密鑰更新式匿名認(rèn)證協(xié)議的安全性假設(shè)、參數(shù)以及參數(shù)滿足的條件都和列表式匿名認(rèn)證協(xié)議中相同。下面，我們給出密鑰更新式匿名認(rèn)證協(xié)議的認(rèn)證過程。特別地，這里增加選擇一隨機元素t∈ QRn，它被用于實現(xiàn)密鑰的更新。

4.1 認(rèn)證協(xié)議過程

4.1.1 系統(tǒng)初始化 發(fā)行者運行第3節(jié)中系統(tǒng)初始化時的步驟（1）～步驟（5）步，增加隨機選擇t∈ QRn。

4.1.2 認(rèn)證過程

4.2 生成新Tj和撤銷Tj

5 安全性分析

5.1 認(rèn)證協(xié)議安全性分析

本節(jié)給出列表式匿名認(rèn)證協(xié)議和密鑰更新式匿名認(rèn)證協(xié)議安全性證明。本文中給出的兩個RFID匿名認(rèn)證協(xié)議的區(qū)別在于：Ti的M0和閱讀器的V0在兩個協(xié)議中不同。下面的安全性證明中并不會用到M0和V0，所以安全性證明對兩個RFID匿名認(rèn)證協(xié)議都是成立的。

根據(jù)這一定義，證明協(xié)議實現(xiàn)了對電子標(biāo)簽的認(rèn)證，即要證明下述定理。

定理1 RFID匿名認(rèn)證協(xié)議中的認(rèn)證消息是不可偽造的。

證明 證明過程分3部分：（1）敵手通過偽造Ti的私鑰的方法構(gòu)造合法的認(rèn)證消息的概率是可忽略的。（2）認(rèn)證協(xié)議是抗重放攻擊的。（3）敵手直接偽造合法認(rèn)證消息的概率是可忽略的。

（1）敵手通過偽造Ti的私鑰的方法構(gòu)造合法的認(rèn)證消息的概率是可忽略的。

由于匿名認(rèn)證協(xié)議中，Ti的密鑰Tski是xi的C-L簽名。在強RSA假設(shè)下，由文獻［18］定理3.6，C-L簽名在選擇消息攻擊下是安全的，即A通過偽造有效的Ti的密鑰生成合法的認(rèn)證消息σ=（c， M0， M1，M2， mx， mr， me， mz）的概率是可忽略的。

（2）抗重放消息攻擊。由于每次進行認(rèn)證時閱讀器都會隨機選取Nd，所以敵手A重放舊認(rèn)證消息σ=（c， M0， M1， M2， mx， mr， me， mz）通過認(rèn)證，必須滿足下面條件之一：

（3）敵手直接偽造合法認(rèn)證消息的概率是可忽略的。

若敵手A能以不可忽略的概率直接偽造認(rèn)證消息，則我們能得到算法B，它在多項式時間內(nèi)以相同概率解離散對數(shù)問題。

為證明認(rèn)證消息的不可追蹤性，我們給出消息無關(guān)聯(lián)性的安全概念。電子標(biāo)簽認(rèn)證消息的無關(guān)聯(lián)性是指：敵手區(qū)分任意兩個認(rèn)證消息是否來自相同的電子標(biāo)簽的概率優(yōu)勢是可忽略的。這意味著電子標(biāo)簽發(fā)送的認(rèn)證消息，不會向閱讀器泄露任何能追蹤到它的信息。因此電子標(biāo)簽生成的認(rèn)證消息如果具有無關(guān)聯(lián)性，則電子標(biāo)簽是不可追蹤的。下面給出無關(guān)聯(lián)性的形式化的定義［13］。形式化認(rèn)證協(xié)議為安全試驗。具有概率多項式計算能力敵手A與隨機預(yù)言機Ob交互。當(dāng)b=0隨機語言機Ob表示兩個合法標(biāo)簽T0與T1相同，b=1時Ob表示T0與T1不同。在安全性試驗中，敵手A能與RFID系統(tǒng)和Ob交互，得到b'（b'=1或0）。

5.2 密鑰更新式匿名認(rèn)證協(xié)議中被撤銷電子標(biāo)簽的匿名與不可追蹤分析

5.3 安全性與計算效率分析

安全性分析 本節(jié)列表對比本文與其他文獻的各項安全性如表1。從表中可以看出文獻［7］，文獻［8］，文獻［11］滿足的安全項較少。僅有本文的密鑰更新式匿名認(rèn)證協(xié)議能保證被撤銷后的電子標(biāo)簽對閱讀器仍然是匿名和不可追蹤的。

計算實現(xiàn) 在RFID系統(tǒng)中，電子標(biāo)簽的計算能力和它的成本是成正比的。因此，對安全水平要求較高的RFID系統(tǒng)中，對電子標(biāo)簽計算能力的要求也會更高。與文獻［13］相比，本文的協(xié)議在認(rèn)證過程中不再需要第三方匿名器，且實現(xiàn)了更高的安全性。

按1024 bit的RSA的安全水平要求（實際的RFID系統(tǒng)遠低于這一安全要求），當(dāng)β=210，l'=40時，本協(xié)議的執(zhí)行乘法約100次，4次加法，需要的存儲為512k。根據(jù)文獻［20］的研究，1024 bit大數(shù)的模乘可以在38k門內(nèi)實現(xiàn)，滿足智能卡40k門限制的要求。對文獻［21］中的電子標(biāo)簽（要求僅含10k門左右的芯片），顯然1024 bit參數(shù)的安全水平無法在這種電子標(biāo)簽上實現(xiàn)。

以上分析表明，該協(xié)議能夠提供很好的安全性，且實現(xiàn)效率可以根據(jù)電子標(biāo)簽性能選取合適的參數(shù)，使得實現(xiàn)代價較低。能夠提供很強安全性、實現(xiàn)效率高，而代價又很低的RFID認(rèn)證協(xié)議是不存在的，較強的安全性意味著其實現(xiàn)代價和性能就會受到影響，所以RFID系統(tǒng)要做好安全性與實現(xiàn)代價及性能之間的取舍。隨著微電子技術(shù)的發(fā)展［22］和某些安全要求較高RFID系統(tǒng)的應(yīng)用中，本文的認(rèn)證協(xié)議提供了一種很好的選擇。

表1 本文與其他文獻安全性對比表

6 結(jié)束語

RFID認(rèn)證協(xié)議的安全性問題正變得越來越重要。本文給出了兩個RFID匿名認(rèn)證協(xié)議。列表式匿名認(rèn)證協(xié)議使閱讀器對電子標(biāo)簽的匿名認(rèn)證不需要第三方的輔助，克服了文獻［13］中引入第三方實現(xiàn)匿名認(rèn)證產(chǎn)生的問題。密鑰更新式匿名認(rèn)證協(xié)議，使得撤銷后的電子標(biāo)簽對閱讀器仍然保持了匿名和不可追蹤性，提高了RFID系統(tǒng)的安全性。

［1］ Park S and Lee H. Self-recognition of vehicle position using UHF passive RFID tags［J］. IEEE Transactions on Industrial Electron ics， 2013， 60（1）: 226-234.

［2］ Sing J， B rar N， and Fong ?C. The state of RFID app lications in libraries［J］. Information Technology and Libraries， 2013，25（1）: 24-32.

［3］ Sakai K， Ku W S， Zimmermann R， et al.. Dynam ic bit encoding for privacy protection against correlation attacks in RFID backward channel［J］. IEEE Transactions on Com puters， 2013， 62（1）: 112-123.

［4］ Zanetti D， Capkun S， and Juels A. Tailing RFID tags for clone detection［C］. NDSS 2013: 20th Network & Distributed System Security Sym posium， San Diego， CA， USA， 2013.

［5］ 周永彬， 馮登國. RFID 安全協(xié)議的設(shè)計與分析［J］. 計算機學(xué)報， 2006， 29（4）: 581-589. Zhou Yong-bin and Feng Deng-guo. Design and analysis of cryp tographic protocols for RFID［J］. Chinese Journal of Computers， 2006， 29（4）: 581-589.

［6］ Yang L， Yu P， Bailing W， et al.. A bi-direction authentication protocol for RFID based on the variab le update in IOT［C］. Proceedings of the 2nd International Conference on Com pu ter and App lications ASTL 2013， Vol. 17: 23-?26.

［7］ Molnar D， Soppera A， and Wagner D. A scalable， delegatable pseudonym protocol enabling ownership transfer of RFID Tags［C］. Selected A reas in Cryptography， Springer Berlin Heidelberg， 2006: 276-290.

［8］ M cLoone M and Robshaw M J B. Public Key Cryptography and RFID Tags［M］. Topics in Cryp tology-CT-RSA 2007，Berlin Heidelberg Sp ringer， 2006: 372-384.

［9］ Xie L， Li Q， Chen X， et al.. Continuous scanning w ith mobile reader in RFID system s: an experimental study［C］. Proceedings of the Fou rteenth ACM International Sym posium on M obile Ad Hoc Networking and Com puting，ACM， Bangalore， India， 2013: 11-20.

［10］ Zheng Y and Li M. Fast tag searching p rotocol for large-scale RFID system s［J］. IEEE/ACM Transactions on Networking，2013， 21（3）: 924-934.

［11］ Ryu E K and Takagi T. A hybrid approach for privacy-preserving RFID tags［J］. Computer Standards & In terfaces， 2009， 31（4）: 812-815.

［12］ B lass E O， Kurmus A， M olva R， et al.. PSP: private and secu re paym ent w ith RFID［C］. Proceedings of the 8th ACM Workshop on Privacy in the Electronic Society， ACM，Chicago， IL， USA， 2009: 51-60.

［13］ Arm knecht F， Chen L， Sadeghi A R， et al.. Anonymous Au thentication for RFID System s［M］. Radio Frequency Identification: Security and Privacy Issues. Springer Berlin Heidelberg， 2010: 158-175.

［14］ Kiraz M S， Bing?l M A， Karda S， et al.. Anonymous RFID authentication for cloud Services［J］. International Journal of Information Security Science， 2012， 1（2）: 32-42.

［15］ Cam en isch J and G roth J. G roup Signatu res: Better Efficiency and New Theoretical Aspects［M］. Security in Comm unication Networks， Berlin Heidelberg Springer， 2005: 120-133.

［16］ Camenisch J and Lysyanskaya A. A Signature Scheme w ith Efficient Protocols［M］. Security in Communication Networks，Berlin Heidelberg Sp ringer， 2003: 268-289.

［17］ Cam en isch J and Stad ler M. Efficient group signature schem es for large groups［C］. Advances in Cryptology-CRYPTO'97， Berlin Heidelberg Springer， 1997: 410-424.

［18］ Goldreich O and Rosen V. On the security of modular exponentiation w ith app lication to the construction of pseudorandom generators［J］. Journal of Crypto logy， 2003，16（2）: 71-93.

［19］ Pointcheval D and Stern J. Secu rity argum ents for digital signatures and b lind signatures［J］. Journal of Cryptology，2000， 13（3）: 361-396.

［20］ 李樹國， 周潤德， 馮建華， 等. RSA密碼協(xié)處理器的實現(xiàn)［J］.電子學(xué)報， 2001， 29（11）: 1441-1444. Li Shu-guo， Zhou Run-de， Feng Jian-hua， et al.. Im p lem entation for RSA cryp tography coprocessor［J］. Acta Electronica Sinica， 2001， 29（11）: 1441-1444.

［21］Li Hu i-yun?. Developm ent and Im p lem entation of RFID Technology［M］. Vienna， Austria， I-Tech Education and Publishing KG， 2009: 1-12.

［22］ Chae H J， Salajegheh M， Yeager D J， et al.. M axim alist Cryptography and Com putation on the W ISP UHF RFID Tag ［M］. W irelessly Powered Sensor Networks and Com putational RFID， Springer New York， 2013: 175-187.

謝 潤： 男，1976年生，博士，副教授，主要研究領(lǐng)域為密碼學(xué)、信息安全.

許春香： 女，1965年生，博士生導(dǎo)師，教授，主要研究領(lǐng)域為密碼學(xué)、信息安全、安全電子商務(wù).

陳文杰： 女，1989年生，研究方向為RFID認(rèn)證協(xié)議.

An RFID Authentication Protocol Anonymous against Readers

X ie Run①②Xu Chun-xiang①Chen W en-jie①Li W an-peng①①（School of Computer Science and Engineering， University of Electronic Science and Technology of China，Chengdu 611731， China）
②（Schoo l of M athematical， Y ibin University， Y ibin 644000， China）

In app lication of RFID （Radio Frequency IDentification）， security threats are on the rise. The demand for the privacy protection of tag is becom ing more and more urgent. In RFID system， the p rivacy p rotection is against not on ly the outside attacker， but also the readers. In many exists the representative researches， the tags are only anonym ous and un traceable for the ou tside attackers. In this paper， the list of protocol and the the key updated of protocol are proposed， which allow RFID tags to au thenticate to readers w ithou t revealing the tag identity or any other information that allows tags to be traced. Compared w ith the scheme proposed by Arm knecht et al.， two schemes achieves anonymousness and untraceability authentication of RFID tags w ithout the help of anonym izer. Furthermore， the key updated of scheme make sure that the revocatory tags w ill not be still tracked by updating key .

Security protocol； Radio Frequency IDentification （RFID）； Anonym ity authentication

TP309

： A

：1009-5896（2015）05-1241-07

10.11999/JEIT140902

2014-07-09收到，2014-12-08改回

國家自然科學(xué)基金（61370203）和四川省教育廳科研項目基金（12ZB348）資助課題

*通信作者：許春香 chxxu@uestc.edu.cn