采用PUF保護(hù)位置隱私的輕量級(jí)RFID移動(dòng)認(rèn)證協(xié)議*

孫子文，李 松

1.江南大學(xué) 物聯(lián)網(wǎng)工程學(xué)院，江蘇 無錫 214122

2.江南大學(xué) 物聯(lián)網(wǎng)技術(shù)應(yīng)用教育部工程研究中心，江蘇 無錫 214122

1 引言

無線射頻識(shí)別技術(shù)（radio frequency identification，RFID）憑借快速識(shí)別和非接觸射頻通信的特性，成為供應(yīng)鏈系統(tǒng)實(shí)現(xiàn)商品的自動(dòng)化管理和信息追溯的重要技術(shù)手段。供應(yīng)鏈系統(tǒng)普遍采用EPC C1G2（electronic product code class 1 generation 2）標(biāo)準(zhǔn)的低成本射頻標(biāo)簽（以下簡稱標(biāo)簽）具有遠(yuǎn)距離識(shí)別和抗干擾性強(qiáng)的優(yōu)勢，與此同時(shí)，標(biāo)簽受限于成本限制，無法應(yīng)用成熟的加密機(jī)制實(shí)現(xiàn)標(biāo)簽的安全和隱私保護(hù)。供應(yīng)鏈系統(tǒng)中將標(biāo)簽附著在商品上以完成對(duì)商品的識(shí)別和追溯，由于標(biāo)簽會(huì)對(duì)任意讀寫器的請(qǐng)求做出響應(yīng)，攻擊者發(fā)動(dòng)惡意攻擊獲得標(biāo)簽中的商品信息，并通過追蹤不同時(shí)刻的標(biāo)簽位置，將直接泄露商品在流通過程以及使用過程中商品所有者的位置隱私[1]。

為防止攻擊者對(duì)標(biāo)簽的位置追蹤，文獻(xiàn)[2]采用密鑰更新式和列表式協(xié)議實(shí)現(xiàn)了標(biāo)簽的匿名性和位置的不可追蹤性，但協(xié)議采用的RSA非對(duì)稱加密算法需要38K門電路，協(xié)議不適用于EPC C1G2標(biāo)準(zhǔn)，無法滿足供應(yīng)鏈系統(tǒng)對(duì)標(biāo)簽成本的限制[3]；文獻(xiàn)[4]拋棄了運(yùn)算成本高的哈希算法，標(biāo)簽只進(jìn)行交叉、異或等簡單的位運(yùn)算，符合EPC C1G2標(biāo)準(zhǔn)，但攻擊者可通過物理入侵獲得標(biāo)簽和讀寫器密鑰，從而通過對(duì)標(biāo)簽和讀寫器反向克隆的方式發(fā)起假冒攻擊；文獻(xiàn)[5]采用物理不可克隆函數(shù)（physical unclonable function，PUF）[6]作為密鑰生成機(jī)制，標(biāo)簽只在認(rèn)證過程由PUF電路產(chǎn)生相應(yīng)的會(huì)話密鑰，避免傳統(tǒng)加密機(jī)制將密鑰存儲(chǔ)在非易失性存儲(chǔ)器易被攻擊者竊取的弊端，可有效抵御假冒攻擊[7]；文獻(xiàn)[8]考慮了服務(wù)器與讀寫器之間的信道安全問題，引入服務(wù)器對(duì)讀寫器身份的安全認(rèn)證，適用于移動(dòng)讀寫器的認(rèn)證環(huán)境；文獻(xiàn)[2,5]中服務(wù)器對(duì)標(biāo)簽的識(shí)別需要遍歷整個(gè)服務(wù)器，識(shí)別效率低不適用于供應(yīng)鏈中大規(guī)模RFID系統(tǒng)的使用。

針對(duì)EPC C1G2標(biāo)準(zhǔn)的低成本標(biāo)簽運(yùn)算能力低、易遭受假冒攻擊、標(biāo)簽和讀寫器位置容易被追蹤等問題，本文設(shè)計(jì)了一種采用PUF保護(hù)位置隱私的輕量級(jí)RFID移動(dòng)認(rèn)證協(xié)議（PUF based lightweight authentication protocol for location privacy in mobile RFID system,PLLM）。PLLM協(xié)議采用PUF函數(shù)生成密鑰，64位輸出的PUF電路僅需要500～700門電路[9]，標(biāo)簽的模平方運(yùn)算僅需幾百門電路，128位偽隨機(jī)數(shù)生成需要1 500門電路，標(biāo)簽的安全電路整體僅需3 000門電路[8]，且協(xié)議不使用哈希函數(shù)等運(yùn)算量大的加密算法，符合EPC C1G2的應(yīng)用標(biāo)準(zhǔn)，解決標(biāo)簽運(yùn)算能力不足的問題；標(biāo)簽密鑰由兩步PUF電路生成，攻擊者對(duì)標(biāo)簽的入侵將直接導(dǎo)致PUF電路失活而無法獲得完整密鑰，使得攻擊者無法克隆標(biāo)簽，以解決攻擊者對(duì)標(biāo)簽的非法入侵和假冒攻擊的問題，搭載PUF電路的標(biāo)簽使得商品同樣具備不可偽造性，實(shí)現(xiàn)供應(yīng)鏈中商品的防偽保護(hù)；協(xié)議通過不斷更新的共享密鑰，實(shí)現(xiàn)前向和后向不可追蹤性，以解決供應(yīng)鏈系統(tǒng)中攻擊者對(duì)標(biāo)簽和讀寫器的位置追蹤問題；服務(wù)器通過中國剩余定理可快速檢索標(biāo)簽和讀寫器的合法身份，識(shí)別速率不隨數(shù)據(jù)庫中標(biāo)簽數(shù)目的增長而線性加長，滿足供應(yīng)鏈對(duì)RFID系統(tǒng)中標(biāo)簽規(guī)?？赏卣沟膽?yīng)用要求；Alagheband等人[10]改進(jìn)了Vaudenay模型[11]的預(yù)假設(shè)，使其適用于前向隱私和后向隱私的分析。本文采用改進(jìn)的Vaudenay模型證明PLLM協(xié)議的安全和隱私性。

2 安全隱私模型

Vaudenay提出的安全隱私模型對(duì)安全和隱私進(jìn)行了嚴(yán)格定義，是目前為止用于協(xié)議分析最全面的安全隱私模型[12]。Vaudenay模型中，通過預(yù)言機(jī)描述了攻擊者與RFID系統(tǒng)交互的過程，其中預(yù)言機(jī)的功能介紹如表1所示。

根據(jù)攻擊者查詢Corrupt預(yù)言機(jī)的權(quán)限，劃分4類能力遞進(jìn)的攻擊者，其中最弱的Weak攻擊者無法查詢Corrupt預(yù)言機(jī)，而Forward攻擊者可查詢Corrupt預(yù)言機(jī)，Destructive攻擊者查詢Corrupt后無法訪問任何預(yù)言機(jī)，能力最強(qiáng)的Strong攻擊者可以沒有限制地進(jìn)行Corrupt預(yù)言機(jī)查詢。同時(shí)根據(jù)攻擊者查詢Result預(yù)言機(jī)權(quán)限劃分Narrow和Wide的兩類攻擊者（Narrow攻擊者無法查詢Result，而Wide攻擊者可以查詢），最終根據(jù)以上兩種不同的分類劃分為8類攻擊者。

Vaudenay模型的預(yù)假設(shè)及其應(yīng)用中的不足：

（1）假設(shè)讀寫器與服務(wù)器之間的信道是安全的，未考慮讀寫器遭受假冒攻擊的問題，不適用于移動(dòng)讀寫器的認(rèn)證環(huán)境。

（2）假設(shè)攻擊者錯(cuò)過了標(biāo)簽密鑰的更新過程，不符合位置追蹤的實(shí)際攻擊環(huán)境。

（3）假設(shè)標(biāo)簽僅在i次會(huì)話遭受攻擊，未考慮攻擊者對(duì)第i+1和i-1次會(huì)話中標(biāo)簽位置的追蹤問題，不適用于前向和后向不可追蹤性的協(xié)議分析。

基于以上三點(diǎn)不足，修改Vaudenay模型的預(yù)假設(shè)條件使其適用于位置隱私分析。將讀寫器與服務(wù)器之間的信道安全納入?yún)f(xié)議的安全考量，考慮讀寫器遭受攻擊者非法入侵和假冒攻擊的問題，使其符合移動(dòng)讀寫器的認(rèn)證環(huán)境；假設(shè)敵人為Narrow-Strong的攻擊者，沒有錯(cuò)過密鑰更新過程，可以對(duì)協(xié)議進(jìn)行持續(xù)的監(jiān)聽；分析第i+1和i-1次會(huì)話協(xié)議的安全性，并依照Alagheband等人[10]提出的前向和后向不可追蹤性，定義協(xié)議的位置隱私。

定義1（前向不可追蹤性[10]）攻擊者竊聽標(biāo)簽第i次會(huì)話記錄并通過入侵標(biāo)簽得到第i次會(huì)話的標(biāo)簽內(nèi)部信息，攻擊者分析第i+1次會(huì)話記錄，無法推斷出第i+1次標(biāo)簽內(nèi)部信息和輸出信息，因此攻擊者無法對(duì)標(biāo)簽第i+1次狀態(tài)進(jìn)行追蹤。

定義2（后向不可追蹤性[10]）攻擊者竊聽標(biāo)簽第i次會(huì)話記錄并通過入侵標(biāo)簽得到第i次會(huì)話的標(biāo)簽內(nèi)部信息，攻擊者分析第i-1次會(huì)話記錄，無法推斷出第i-1次標(biāo)簽內(nèi)部信息和輸出信息，因此攻擊者無法對(duì)標(biāo)簽第i-1次狀態(tài)進(jìn)行追蹤。

3 PLLM認(rèn)證協(xié)議描述

PLLM協(xié)議使用的符號(hào)和注釋如表2所示，PLLM協(xié)議由初始化和雙向認(rèn)證兩個(gè)階段組成。

Table 1 Function introduction of each oracle表1 預(yù)言機(jī)功能介紹

3.1 初始化階段

密鑰生成及共享機(jī)制。由服務(wù)器生成4個(gè)大素?cái)?shù)p、q、g、h作為服務(wù)器解密標(biāo)簽和讀寫器會(huì)話信息的私鑰，并將n=p?q,m=g?h分別作為標(biāo)簽和讀寫器加密會(huì)話信息的公鑰。

Table 2 Annotation of each notation in this protocol表2 協(xié)議使用的符號(hào)及其注釋

共享密鑰S1由服務(wù)器生成并發(fā)送給標(biāo)簽和讀寫器，標(biāo)簽使用共享密鑰S1和自身參數(shù)a、b，經(jīng)內(nèi)部PUF電路計(jì)算P(a)、P(b),用以生成參數(shù)c：

讀寫器使用S1和自身參數(shù)d、e，經(jīng)內(nèi)部PUF電路計(jì)算P(d)、P(e),用以生成參數(shù)f：

共享密鑰S2由服務(wù)器生成并在每次認(rèn)證成功后更新，初始狀態(tài)S2=S-12,服務(wù)器計(jì)算系統(tǒng)中每個(gè)合法標(biāo)簽的索引值：

3.2 雙向認(rèn)證階段

雙向認(rèn)證協(xié)議由讀寫器發(fā)起，協(xié)議流程如圖1所示，具體認(rèn)證步驟如下：

（1）由讀寫器生成隨機(jī)數(shù)r1，并將r1以廣播的形式發(fā)送給通信范圍內(nèi)的所有標(biāo)簽。

（2）標(biāo)簽接收到讀寫器廣播信息r1后，生成隨機(jī)數(shù)r2，并完成以下計(jì)算：

根據(jù)式（5）得到的x的值采用二次剩余定理計(jì)算：

根據(jù)式（6），服務(wù)器在后期的認(rèn)證中采用中國剩余定理解密x′得到4個(gè)模平方根(x1,x2,x3,x4),服務(wù)器需執(zhí)行4次匹配工作。為提高服務(wù)器的后臺(tái)搜索效率，在式（7）中使用x2取代式（6）的x，服務(wù)器將求得唯一的模平方根x值[13]，從而解決了式（6）存在的非唯一解的問題。

標(biāo)簽的會(huì)話密鑰kT由兩步PUF生成。第一步由標(biāo)簽的PUF電路計(jì)算P(a)，并將P(a)異或隨機(jī)數(shù)r2得到標(biāo)簽的會(huì)話密鑰：

隨即將P(a)和r2從標(biāo)簽內(nèi)存中刪除。

第二步運(yùn)行標(biāo)簽PUF電路計(jì)算P(b)，使用P(b)和c更新標(biāo)簽會(huì)話密鑰：

隨即刪除內(nèi)存中的P(b)。

通過兩步生成會(huì)話密鑰，使得攻擊者在任意時(shí)刻入侵標(biāo)簽都無法獲得完整密鑰，從而抵御攻擊者的假冒攻擊。

標(biāo)簽通過kT保護(hù)標(biāo)簽隨機(jī)數(shù)r2，并通過x″保護(hù)標(biāo)簽標(biāo)識(shí)符H(TID)，實(shí)現(xiàn)了標(biāo)簽?zāi)涿院筒豢勺粉櫺?，達(dá)到保護(hù)標(biāo)簽位置隱私的目的。最后標(biāo)簽將[x″,kT]作為交互信息通過射頻天線發(fā)送給讀寫器。

（3）讀寫器接收到來自標(biāo)簽的響應(yīng)[x″,kT]后，生成隨機(jī)數(shù)r3，并完成以下計(jì)算：

讀寫器的PUF電路生成P(d)后計(jì)算讀寫器的會(huì)話密鑰：

隨即將內(nèi)存中的P(d)和r3刪除。

Fig.1 Proposed authentication protocol圖1 協(xié)議認(rèn)證流程

運(yùn)行讀寫器PUF電路生成P(e)，并更新會(huì)話密鑰：

隨即刪除內(nèi)存中的P(e)。

讀寫器通過kR保護(hù)讀寫器隨機(jī)數(shù)r3，并通過y″保護(hù)讀寫器標(biāo)識(shí)符H(RID)，實(shí)現(xiàn)了讀寫器匿名性和不可追蹤性，達(dá)到保護(hù)讀寫器位置隱私的目的。最后讀寫器將[x″,kT,r1,y″,kR]發(fā)送給后臺(tái)服務(wù)器。

（4）服務(wù)器接收到認(rèn)證請(qǐng)求[x″,kT,r1,y″,kR]后，通過共享密鑰S1與讀寫器的會(huì)話密鑰kR異或求得：

采用中國剩余定理從式（12）中計(jì)算得到唯一的y：

服務(wù)器可快速驗(yàn)證：

Ify⊕r1⊕r3′=H(RID)then讀寫器身份認(rèn)證成功；

Else讀寫器是非法身份，服務(wù)器停止認(rèn)證。

隨之共享密鑰S1與標(biāo)簽的會(huì)話密鑰kT異或求得：

采用中國剩余定理從式（7）中計(jì)算x：

服務(wù)器可快速驗(yàn)證：

Ifx⊕r1⊕r2′=RTIDorR-1TIDthen標(biāo)簽身份認(rèn)證成功；

Else標(biāo)簽是非法身份，服務(wù)器停止認(rèn)證。

讀寫器和標(biāo)簽皆認(rèn)證合法后，更新服務(wù)器與標(biāo)簽之間的共享密鑰S2：

服務(wù)器計(jì)算確認(rèn)字符：

ACK′包含服務(wù)器的認(rèn)證信息，以便讀寫器和標(biāo)簽驗(yàn)證服務(wù)器的合法身份，實(shí)現(xiàn)更安全的雙向認(rèn)證。最終服務(wù)器將ACK′發(fā)送給讀寫器。

（5）讀寫器接收到ACK′后，驗(yàn)證：

Ifr3=[ACK′⊕H(（y)l]l為偽隨機(jī)數(shù)r3的位長）then認(rèn)證服務(wù)器為合法身份；

Else服務(wù)器是非法身份，停止認(rèn)證。

服務(wù)器身份認(rèn)證成功，讀寫器繼續(xù)計(jì)算：

并將ACK發(fā)送給標(biāo)簽。

（6）標(biāo)簽接收到ACK后，驗(yàn)證：

then認(rèn)證服務(wù)器為合法身份；

Else服務(wù)器是非法身份，停止認(rèn)證。

服務(wù)器身份認(rèn)證成功，進(jìn)而更新標(biāo)簽的共享密鑰：

協(xié)議中標(biāo)簽僅使用偽隨機(jī)數(shù)、異或、取余和PUF等輕量級(jí)運(yùn)算，符合EPC C1G2的應(yīng)用標(biāo)準(zhǔn)。

4 協(xié)議的安全隱私性證明和性能分析

4.1 安全和隱私性分析

基于Vaudenay模型建立協(xié)議運(yùn)行環(huán)境和具備不同能力攻擊者的安全模型，證明PLLM協(xié)議的安全性和隱私性。使用定理1和定理2證明PLLM協(xié)議滿足前向不可追蹤性和后向不可追蹤性，保護(hù)標(biāo)簽的位置隱私。使用定理3、定理4和定理5證明協(xié)議可抵御攻擊者的假冒攻擊和去同步化攻擊。

定理1在Narrow-Strong的攻擊者能力模型下，PLLM協(xié)議滿足前向不可追蹤性。

證明Narrow-Strong的攻擊者通過入侵和監(jiān)聽標(biāo)簽的第i次會(huì)話，得到標(biāo)簽第i次會(huì)話的內(nèi)部信息和會(huì)話記錄，攻擊者持續(xù)監(jiān)聽標(biāo)簽的第i+1次會(huì)話記錄，攻擊者無法依此推斷出第i+1次標(biāo)簽的內(nèi)部信息和輸出信息。由滿足前向不可追蹤性的算法流程圖2所示，從以下四方面考慮攻擊者實(shí)現(xiàn)前向追蹤的可能性。

（1）標(biāo)簽的輸出信息和密鑰更新都需要計(jì)算x值，攻擊者求解第i+1次會(huì)話中標(biāo)簽的xi+1值：

Fig.2 Proof flow of forward untraceable圖2 滿足前向不可追蹤性的證明流程圖

由式（25）可知，攻擊者查詢Corrupt預(yù)言機(jī)獲得第i次會(huì)話標(biāo)簽內(nèi)部信息[H(TID),Si2,n,a,b,c]，并通過監(jiān)聽第i+1次標(biāo)簽會(huì)話獲得r1i+1。由于皆為128位隨機(jī)數(shù)，且在第i次認(rèn)證后通過偽隨機(jī)函數(shù)更新，使得。因此攻擊者成功模擬求得xi+1值的概率為：

（2）攻擊者利用監(jiān)聽到的第i+1次標(biāo)簽輸出信息(x″)i+1反向求解xi+1的值：

由式（27）可知，攻擊者入侵第i次會(huì)話標(biāo)簽獲得內(nèi)部信息n，協(xié)議的安全性取決于基于大整數(shù)n的素?cái)?shù)分解問題[14]。攻擊者在缺少p、q私鑰的情況下無法分解n，因此攻擊者無法求解(x′)i+1和xi+1。

（3）攻擊者監(jiān)聽標(biāo)簽會(huì)話記錄，求解第i+1次確認(rèn)字符ACKi+1：

由式（28）可知，攻擊者入侵標(biāo)簽獲得內(nèi)部信息H(TID)并監(jiān)聽得到第i+1次會(huì)話記錄ri+11。攻擊者求解ACKi+1需要計(jì)算PRNG(xi+1⊕(x′)i+1)，由式（27）可知攻擊者無法求解xi+1和(x′)i+1，因此攻擊者無法追蹤標(biāo)簽的確認(rèn)字符ACKi+1。

（4）攻擊者求解第i+1次標(biāo)簽的會(huì)話密鑰：

攻擊者在第i次會(huì)話入侵標(biāo)簽獲得標(biāo)簽參數(shù)a、b、c，協(xié)議中標(biāo)簽的會(huì)話密鑰Ki+1T通過兩步PUF函數(shù)生成，且在每步PUF計(jì)算后刪除內(nèi)存中的運(yùn)行參數(shù)。攻擊者求解Ki+1T需要兩次物理入侵標(biāo)簽，分別獲得PUF函數(shù)輸出值P(a)和P(b)。由于PUF函數(shù)的防篡改性，攻擊者的物理入侵將破壞PUF的結(jié)構(gòu)從而無法再次生成PUF[6]，攻擊者僅能獲得P(a)或P(b)。攻擊者通過數(shù)學(xué)模擬PUF電路輸出和ri+12值從而成功計(jì)算標(biāo)簽輸出Ki+1T的概率為：

定理2在Narrow-Strong的攻擊者能力模型下，PLLM協(xié)議滿足后向不可追蹤性。

證明Narrow-Strong的攻擊者在標(biāo)簽的第i次會(huì)話入侵標(biāo)簽，得到標(biāo)簽內(nèi)部信息和會(huì)話記錄。由后向不可追蹤性的證明流程圖3可知，攻擊者無法推斷第i-1次標(biāo)簽密鑰xi-1和輸出信息[(x″)i-1,Ki-1T,ACKi-1],因此無法對(duì)后向會(huì)話中的特定標(biāo)簽進(jìn)行區(qū)分，攻擊者后向追蹤的優(yōu)勢AdvABackward-untra＜＜ε,協(xié)議滿足后向不可追蹤性。

Fig.3 Proof flow of backward untraceable圖3 滿足后向不可追蹤性的證明流程圖

綜上，攻擊者無法求解標(biāo)簽第i+1次會(huì)話的xi+1,

定理3Narrow-Destructive的攻擊者能力模型下，PLLM協(xié)議可抵御攻擊者對(duì)標(biāo)簽的假冒攻擊。

證明Narrow-Destructive的攻擊者假冒標(biāo)簽的響應(yīng)[x″,kT]，服務(wù)器不會(huì)將攻擊者識(shí)別為合法標(biāo)簽，從而抵御攻擊者對(duì)標(biāo)簽的假冒攻擊。

由定理1可知，攻擊者無法正向計(jì)算x值，進(jìn)而無法計(jì)算x″。按照以下兩方面分析攻擊者成功計(jì)算kT的可能性。

（1）攻擊者入侵標(biāo)簽，獲得標(biāo)簽內(nèi)部信息。

由式（32）可知，攻擊者計(jì)算kT需要模擬P(a)和P(b)且需要得到r2。PUF函數(shù)依據(jù)電路在制造過程中工藝偏差，每塊PUF電路產(chǎn)生的響應(yīng)序列具有唯一性和不可復(fù)制性，攻擊者無法通過數(shù)學(xué)運(yùn)算模擬P(a)和P(b)。且攻擊者對(duì)標(biāo)簽的物理入侵將對(duì)標(biāo)簽的PUF電路造成不可逆的損壞，導(dǎo)致PUF電路失活，使得PUF(x)′≠PUF(x)[15]。因此攻擊者對(duì)標(biāo)簽的入侵無法獲得kT的全部參數(shù)，攻擊者無法成功計(jì)算kT。

（2）攻擊者監(jiān)聽無線信道的會(huì)話記錄以假冒標(biāo)簽。

攻擊者查詢標(biāo)簽和讀寫器之間的會(huì)話記錄，并利用標(biāo)簽的真實(shí)響應(yīng)來假冒合法標(biāo)簽與服務(wù)器交互。由于標(biāo)簽在每次身份認(rèn)證完畢都會(huì)更新標(biāo)簽密鑰S2，使得。因此，攻擊者無法利用標(biāo)簽的歷史響應(yīng)完成身份認(rèn)證。綜上，PLLM協(xié)議可以抵御Narrow-Destructive的攻擊者對(duì)標(biāo)簽的假冒攻擊。

定理4在Narrow-Destructive的攻擊者能力模型下，PLLM協(xié)議可以抵御攻擊者對(duì)讀寫器的假冒攻擊。

證明Narrow-Destructive的攻擊者假冒讀寫器的響應(yīng)[x″,kT,r1,y″,kR]，服務(wù)器不會(huì)將攻擊者識(shí)別為合法讀寫器，從而抵御攻擊者對(duì)讀寫器的假冒攻擊。

讀寫器與服務(wù)器之間的會(huì)話信息不在無線射頻信道上傳輸，攻擊者無法竊聽讀寫器的響應(yīng)，只能通過入侵讀寫器的方式假冒讀寫器。攻擊者入侵讀寫器可以獲得讀寫器信息[H(RID),m,d,e,f]。攻擊者為了假冒讀寫器需要計(jì)算讀寫器會(huì)話密鑰kR：

由定理3可知，攻擊者無法通過數(shù)學(xué)運(yùn)算模擬PUF輸出P(d)和P(e)，從而無法計(jì)算kR。PLLM協(xié)議可以抵御Narrow-Destructive的攻擊者對(duì)讀寫器的假冒攻擊。

定理5在Narrow-Destructive的攻擊者能力模型下，PLLM協(xié)議可以抵御攻擊者的去同步攻擊。

證明攻擊者無法通過阻塞信道或偽造確認(rèn)字符ACK的方式，導(dǎo)致服務(wù)器與標(biāo)簽之間的共享秘鑰S2不同步。從以下兩方面考慮攻擊者的去同步攻擊：

（1）攻擊者阻塞讀寫器與標(biāo)簽之間的信道。

由于標(biāo)簽接收不到讀寫器發(fā)送的確認(rèn)字符ACK，導(dǎo)致標(biāo)簽更新共享秘鑰S2失敗。標(biāo)簽在下次認(rèn)證過程中依舊使用先前未更新密鑰S-12。但PLLM協(xié)議中，服務(wù)器同時(shí)存儲(chǔ)S2和S-12，依舊可以實(shí)現(xiàn)對(duì)合法標(biāo)簽的身份認(rèn)證。

（2）攻擊者偽造確認(rèn)字符ACK并發(fā)送給標(biāo)簽。

攻擊者通過偽造ACK的方式，使得標(biāo)簽更新共享密鑰S2，從而導(dǎo)致服務(wù)器永久性地拒絕標(biāo)簽的認(rèn)證請(qǐng)求。由定理1可知，攻擊者無法求解偽造ACK所需的x和x′，因此標(biāo)簽計(jì)算ACK=H(TID)⊕r1⊕PRNG(x⊕x′)無法驗(yàn)證通過，從而標(biāo)簽不會(huì)更新密鑰S2。綜上，PLLM協(xié)議可以抵御攻擊者的去同步攻擊。

4.2 性能分析

PLLM協(xié)議與現(xiàn)有文獻(xiàn)[2,4-5,8]的安全性能對(duì)比如表3所示。

Table 3 Security performance comparison of protocols表3 協(xié)議安全性能對(duì)比

文獻(xiàn)[2]采用RSA的非對(duì)稱加密算法實(shí)現(xiàn)標(biāo)簽的前向和后向不可追蹤性，但加密算法運(yùn)算壓力大不適用低成本標(biāo)簽。文獻(xiàn)[4]的標(biāo)簽端僅使用偽隨機(jī)數(shù)、交叉、異或等輕量級(jí)運(yùn)算，攻擊者通過竊聽無線信道上的會(huì)話記錄獲得NR和TID⊕NR，攻擊者利用計(jì)算得到的標(biāo)識(shí)符TID假冒標(biāo)簽，并可對(duì)前向和后向會(huì)話中標(biāo)簽狀態(tài)進(jìn)行追蹤。文獻(xiàn)[8]采用二次剩余定律保護(hù)標(biāo)簽輸出信息，避免攻擊者的追蹤，但攻擊者可以通過物理入侵的方式獲得標(biāo)簽和讀寫器密鑰而發(fā)起假冒攻擊。文獻(xiàn)[5]通過物理不可克隆函數(shù)生成標(biāo)簽密鑰，可有效地抵御攻擊者對(duì)標(biāo)簽的物理入侵，但協(xié)議中標(biāo)簽涉及大量哈希運(yùn)算，且未考慮讀寫器與服務(wù)器之間的信道安全問題，缺少服務(wù)器對(duì)讀寫器身份的合法性認(rèn)證，不適用于移動(dòng)RFID認(rèn)證環(huán)境。PLLM協(xié)議通過兩步PUF運(yùn)算保護(hù)標(biāo)簽密鑰的隨機(jī)數(shù)，解決了標(biāo)簽密鑰更新過程中的隨機(jī)數(shù)易被攻擊者竊取的問題，可成功地抵御攻擊者的假冒攻擊，協(xié)議滿足前向和后向不可追蹤性，標(biāo)簽僅使用偽隨機(jī)數(shù)、異或、取余和PUF等輕量級(jí)運(yùn)算，適用于EPC C1G2標(biāo)準(zhǔn)。

Table 4 Computation costs of protocols表4 協(xié)議開銷對(duì)比

Fig.4 Search time comparison of indexing target tag圖4 搜索特定位置標(biāo)簽的耗時(shí)對(duì)比

計(jì)算開銷部分只對(duì)比運(yùn)算成本較大的隨機(jī)數(shù)、偽隨機(jī)數(shù)、求余運(yùn)算、哈希、PUF運(yùn)算和交叉運(yùn)算，PLLM協(xié)議與現(xiàn)有文獻(xiàn)[2,4-5,8]在計(jì)算開銷和后臺(tái)搜索開銷的對(duì)比如表4所示。文獻(xiàn)[2,5]的標(biāo)簽需進(jìn)行哈希運(yùn)算，不適用于低成本標(biāo)簽。文獻(xiàn)[4,8]中標(biāo)簽僅使用偽隨機(jī)數(shù)、求余和交叉等輕量級(jí)運(yùn)算。PLLM協(xié)議相較文獻(xiàn)[8]標(biāo)簽端的運(yùn)算量略有提升，標(biāo)簽需生成3次偽隨機(jī)數(shù)、2次求余運(yùn)算和2次PUF運(yùn)算，但PUF函數(shù)保護(hù)了標(biāo)簽密鑰，有效地抵御假冒攻擊，協(xié)議實(shí)現(xiàn)了更高的安全性。

協(xié)議的各項(xiàng)性能指標(biāo)中，服務(wù)器的搜索開銷決定協(xié)議是否適用于大規(guī)模RFID系統(tǒng)。對(duì)服務(wù)器搜索特定標(biāo)簽消耗的時(shí)間進(jìn)行仿真實(shí)驗(yàn)。實(shí)驗(yàn)通過PC機(jī)（CPU：Intel-2520M 2.5 GHz×2，RAM：8 GB）來模擬后臺(tái)服務(wù)器，仿真環(huán)境使用Matlab。在數(shù)據(jù)庫中設(shè)定6×103個(gè)標(biāo)簽，分別對(duì)第1×103個(gè)、2×103個(gè)、3×103個(gè)、6×103個(gè)特定標(biāo)簽進(jìn)行搜索耗時(shí)的仿真實(shí)驗(yàn)，來測試不同協(xié)議中服務(wù)器從接收到特定標(biāo)簽的認(rèn)證請(qǐng)求到識(shí)別成功的時(shí)間[16]。由于計(jì)算機(jī)的每次運(yùn)行存在細(xì)小差異，故采用測試10次求取均值的方法作為比較結(jié)果。協(xié)議搜索耗時(shí)對(duì)比如圖4所示。

文獻(xiàn)[2,4-5]中服務(wù)器對(duì)標(biāo)簽身份的認(rèn)證需要遍歷整個(gè)服務(wù)器，對(duì)數(shù)據(jù)庫中特定位置的標(biāo)簽的搜索耗時(shí)呈線性增長，第6×103個(gè)標(biāo)簽的搜索耗時(shí)分別為1.274 4 s、0.786 7 s和1.912 5 s，無法滿足大規(guī)模RFID系統(tǒng)對(duì)標(biāo)簽快速認(rèn)證的應(yīng)用要求。文獻(xiàn)[8]中服務(wù)器根據(jù)中國剩余定理解得隨機(jī)數(shù)u的模平方根(u1,u2,u3,u4)和隨機(jī)數(shù)t的模平方根(t1,t2,t3,t4),故最壞情況下，服務(wù)器需要匹配16次才可成功認(rèn)證讀寫器和標(biāo)簽身份。PLLM協(xié)議中，服務(wù)器通過標(biāo)簽會(huì)話密鑰與共享密鑰的異或運(yùn)算得到隨機(jī)數(shù)，從而直接計(jì)算讀寫器和標(biāo)簽的標(biāo)識(shí)符，實(shí)現(xiàn)身份的快速認(rèn)證，服務(wù)器的搜索壓力最低。

在RFID系統(tǒng)的實(shí)際應(yīng)用中，服務(wù)器對(duì)偽造標(biāo)簽的快速識(shí)別能力是決定RFID系統(tǒng)性能的另一個(gè)重要指標(biāo)。攻擊者偽造標(biāo)簽標(biāo)識(shí)符參與認(rèn)證過程，現(xiàn)有協(xié)議中服務(wù)器對(duì)偽造標(biāo)簽的識(shí)別通常需要遍歷整個(gè)后臺(tái)數(shù)據(jù)庫，這將造成服務(wù)器巨大的資源浪費(fèi)并一定程度延遲合法標(biāo)簽的認(rèn)證時(shí)間，且大量偽造標(biāo)簽對(duì)服務(wù)器發(fā)起認(rèn)證請(qǐng)求將導(dǎo)致RFID系統(tǒng)無法正常工作。采用與上述實(shí)驗(yàn)相同的仿真參數(shù)，數(shù)據(jù)庫中設(shè)定6×103標(biāo)簽，測試不同協(xié)議中服務(wù)器對(duì)偽造標(biāo)簽的識(shí)別耗時(shí)，如圖5所示。PLLM協(xié)議相較文獻(xiàn)[2,4-5,8]的搜索耗時(shí)分別減少99.09%、90.6%、99.4%和91.3%，PLLM協(xié)議拒絕偽標(biāo)簽的性能優(yōu)勢明顯。

5 結(jié)束語

Fig.5 Search time comparison of indexing counterfeit tag圖5 識(shí)別偽標(biāo)簽的搜索耗時(shí)對(duì)比

本文設(shè)計(jì)了適用于供應(yīng)鏈商品管理的RFID移動(dòng)認(rèn)證協(xié)議，PLLM協(xié)議使用偽隨機(jī)數(shù)、求余、PUF等輕量級(jí)運(yùn)算，符合EPC C1G2的應(yīng)用標(biāo)準(zhǔn)。協(xié)議采用PUF作為密鑰生成機(jī)制，在有效抵御攻擊者假冒攻擊的同時(shí)可實(shí)現(xiàn)商品的防偽保護(hù)?；赩audenay模型，理論證明PLLM協(xié)議滿足前向和后向不可追蹤性，能夠有效保護(hù)移動(dòng)RFID認(rèn)證環(huán)境下標(biāo)簽的位置隱私，防止攻擊者對(duì)供應(yīng)鏈中商品的位置跟蹤。相較現(xiàn)有文獻(xiàn)[2,4-5,8]，PLLM協(xié)議具有最高的安全性、最快的后臺(tái)服務(wù)器搜索效率和更快的拒絕偽標(biāo)簽的效率。同時(shí)，由于PUF函數(shù)的輸出極易遭受環(huán)境變量的影響，導(dǎo)致認(rèn)證結(jié)果不穩(wěn)定。在低成本標(biāo)簽有限的安全電路基礎(chǔ)上設(shè)計(jì)高效且可靠的模糊提取器，以提高PUF輸出的魯棒性是今后的研究重點(diǎn)。