可擴(kuò)展及可證安全的射頻識(shí)別認(rèn)證協(xié)議

史志才 王益涵 張曉梅 陳珊珊 陳計(jì)偉

摘 要：針對(duì)目前廣泛應(yīng)用的被動(dòng)式射頻識(shí)別（RFID）標(biāo)簽中的計(jì)算、存儲(chǔ)資源有限，導(dǎo)致RFID認(rèn)證協(xié)議的安全和隱私保護(hù)，特別是可擴(kuò)展性一直沒(méi)有得到很好解決的問(wèn)題，提出一種基于哈希函數(shù)、可證安全的輕權(quán)認(rèn)證協(xié)議。該協(xié)議通過(guò)哈希運(yùn)算和隨機(jī)化等操作確保認(rèn)證過(guò)程中會(huì)話信息的保密傳輸和隱私性;在認(rèn)證過(guò)程中，標(biāo)簽的身份信息通過(guò)偽名進(jìn)行確認(rèn)，其真實(shí)身份沒(méi)有透漏給閱讀器等不信任實(shí)體;后端服務(wù)器進(jìn)行身份確認(rèn)僅需進(jìn)行一次哈希運(yùn)算，通過(guò)標(biāo)識(shí)符構(gòu)造哈希表可使身份信息查找時(shí)間為常數(shù);每次認(rèn)證后，標(biāo)簽的秘密信息和偽名等均進(jìn)行更新，從而確保協(xié)議的前向安全性。分析證實(shí)，該RFID輕權(quán)認(rèn)證協(xié)議具有很好的可擴(kuò)展性、匿名性和前向安全性，能夠抵抗竊聽(tīng)、追蹤、重放、去同步化等攻擊，而且標(biāo)簽僅需提供哈希運(yùn)算和偽隨機(jī)數(shù)生成操作，非常適合應(yīng)用于低成本的RFID系統(tǒng)。

關(guān)鍵詞：認(rèn)證協(xié)議;可擴(kuò)展性;安全性;隱私保護(hù);哈希函數(shù)

中圖分類(lèi)號(hào)： TP393.08

文獻(xiàn)標(biāo)志碼：A

文章編號(hào)：1001-9081（2019）03-0774-05

Abstract： The popular Radio Frequency IDentification （RFID） tags are some passive ones and they only have very limited computing and memory resources， which makes it difficult to solve the security， privacy and scalability problems of RFID authentication protocols. Based on Hash function， a security-provable lightweight authentication protocol was proposed. The protocol ensures the confidentiality and privacy of the sessions during the authentication process by Hashing and randomizing. Firstly， the identity of a tag was confirmed by its pseudonym and was preserved from leaking to any untrusted entity such as a reader. Secondly， only one Hashing computation was needed to confirm a tag's identity in the backend server， and the searching time to the tag's identity was limited to a constant by using the identifier to construct a Hash table. Finally， after each authentication， the secrecy and pseudonym of the tag were updated to ensure forward security of the protocol. It is proved that the proposed protocol satisfies scalability， forward security and anonymity demands and can prevent eavesdropping， tracing attack， replay attack and de-synchronization attack. The protocol only needs Hash function and pseudorandom generating operation for the tag， therefore it is very suitable to low-cost RFID systems.

Key words： authentication protocol; scalability; security; privacy preserving; Hash function

0 引言

隨著物聯(lián)網(wǎng)的普及，射頻識(shí)別（Radio Frequency IDentification， RFID）技術(shù)作為重要感知手段而得到普遍關(guān)注，已經(jīng)廣泛應(yīng)用于金融、交通運(yùn)輸、物流等領(lǐng)域[1];然而，因RFID標(biāo)簽的資源有限、使用開(kāi)放的無(wú)線通信方式等特點(diǎn)，使得很難解決RFID系統(tǒng)的隱私保護(hù)和安全問(wèn)題。雖然目前有物理方法可以保護(hù)RFID系統(tǒng)的隱私，但研究結(jié)果表明通過(guò)軟件實(shí)現(xiàn)的加密和認(rèn)證技術(shù)是實(shí)現(xiàn)隱私保護(hù)的較靈活、較有效的方法。由于處于主流的被動(dòng)式標(biāo)簽計(jì)算、存儲(chǔ)資源有限，難以支持高強(qiáng)度加密運(yùn)算。在這種資源受限的特殊條件下，安全、高效、低資源消耗的RFID加密和認(rèn)證方法的研究就成為了信息安全領(lǐng)域關(guān)注的熱點(diǎn)。目前已提出多種RFID加密和認(rèn)證協(xié)議，但均被證明存在一定的缺陷。此外，為了實(shí)現(xiàn)標(biāo)簽身份的匿名傳輸，絕大部分認(rèn)證協(xié)議均將哈希后的標(biāo)簽標(biāo)識(shí)信息傳遞給后端服務(wù)器;為了確認(rèn)標(biāo)簽的身份，后端服務(wù)器不得不哈希本地存儲(chǔ)的每個(gè)標(biāo)簽身份信息，需要哈希的次數(shù)與標(biāo)簽的數(shù)量呈線性增長(zhǎng)，導(dǎo)致系統(tǒng)的可擴(kuò)展性差。本文針對(duì)上述缺陷，采用哈希函數(shù)和偽隨機(jī)數(shù)產(chǎn)生函數(shù)以及簡(jiǎn)單位運(yùn)算提出一種可證安全的輕權(quán)認(rèn)證協(xié)議;該協(xié)議采用標(biāo)簽偽名和密鑰的隨機(jī)化及更新來(lái)保證協(xié)議的可擴(kuò)展性、匿名性和前向安全性，最后通過(guò)分析證明了協(xié)議的安全性。

1 RFID系統(tǒng)及其安全和隱私保護(hù)

一個(gè)RFID系統(tǒng)一般包括三部分：射頻標(biāo)簽、讀寫(xiě)器和后端服務(wù)器，如圖1所示。標(biāo)簽是一塊具有天線和少量存儲(chǔ)計(jì)算資源的硅片。讀寫(xiě)器是一個(gè)以射頻信號(hào)形式發(fā)送和接收信息的設(shè)備，它對(duì)標(biāo)簽中存儲(chǔ)的信息進(jìn)行讀寫(xiě)，與后端服務(wù)器進(jìn)行通信。后端服務(wù)器中存儲(chǔ)與標(biāo)簽相關(guān)的具體信息，負(fù)責(zé)完成身份認(rèn)證、數(shù)據(jù)處理等工作。

對(duì)于一個(gè)RFID系統(tǒng)，標(biāo)簽是決定系統(tǒng)功能和特點(diǎn)的一個(gè)關(guān)鍵組件。目前有兩種標(biāo)簽：主動(dòng)標(biāo)簽和被動(dòng)標(biāo)簽。主動(dòng)標(biāo)簽內(nèi)置有供電電池，能夠在較大的范圍內(nèi)通信;被動(dòng)標(biāo)簽是一種無(wú)源標(biāo)簽，它內(nèi)部沒(méi)有供電電池，需要通過(guò)讀寫(xiě)器發(fā)射的射頻信號(hào)感應(yīng)出供電電壓，因而只能在較小的范圍內(nèi)通信。由此可見(jiàn)，對(duì)于被動(dòng)標(biāo)簽，由讀寫(xiě)器到標(biāo)簽的前向通道和由標(biāo)簽到讀寫(xiě)器的后向通道是不對(duì)稱(chēng)的;這兩個(gè)無(wú)線通信信道是開(kāi)放的、不安全的，RFID系統(tǒng)的安全問(wèn)題和隱私泄露大都是由這些不安全的信道引起的。RFID系統(tǒng)的這些安全問(wèn)題常采用加密認(rèn)證協(xié)議來(lái)解決。理想的加密認(rèn)證協(xié)議能滿足匿名性、保密性和不可區(qū)分性，并具有前向安全性和可擴(kuò)展性，能夠抵抗竊聽(tīng)、跟蹤、重放、去同步等攻擊。

2 RFID輕權(quán)認(rèn)證協(xié)議

從本世紀(jì)初，國(guó)內(nèi)外就開(kāi)始關(guān)注輕權(quán)加密和認(rèn)證方法的研究，已有很多研究成果。目前，許多RFID認(rèn)證協(xié)議都采用Hash函數(shù)，經(jīng)典的有Hash-Lock協(xié)議、Hash-chain協(xié)議等。

Weis等[2]最先提出了Hash-Lock協(xié)議。該協(xié)議使用偽名metaID代替標(biāo)簽的真實(shí)ID來(lái)確保其隱私。但是在認(rèn)證過(guò)程中，協(xié)議使用明文傳輸固定不變的metaID，攻擊者很容易跟蹤標(biāo)簽。為了克服Hash-Lock協(xié)議的缺點(diǎn)，Weis等對(duì)Hash-Lock協(xié)議進(jìn)行了改進(jìn)，提出了隨機(jī)Hash-Lock協(xié)議;該協(xié)議使用了偽隨機(jī)數(shù)發(fā)生器來(lái)隨機(jī)化標(biāo)簽和閱讀器間的會(huì)話信息，但是最終還是以明文形式傳輸標(biāo)簽ID;攻擊者很容易竊聽(tīng)和獲取標(biāo)簽的標(biāo)識(shí)信息，進(jìn)而跟蹤、偽造標(biāo)簽，進(jìn)行重放攻擊。

不同于Hash-Lock協(xié)議，Ohkubo等[3]使用兩個(gè)Hash函數(shù)：h（）和g（）參與認(rèn)證，提出了Hash-chain協(xié)議。該協(xié)議使用Hash函數(shù)更新密鑰以獲得前向安全性，但是它難以抵抗欺騙和重放攻擊，而且它只實(shí)現(xiàn)對(duì)標(biāo)簽的單向認(rèn)證。Yong Ki Lee[【？？]提出一個(gè)稱(chēng)為Semi-Randomized Access Control（SRAC）的認(rèn)證協(xié)議，能夠確保前向安全性，抵抗跟蹤和拒絕服務(wù)攻擊，但是不能抵抗重放攻擊。Lee等[4]使用挑戰(zhàn)響應(yīng)機(jī)制提出了認(rèn)證協(xié)議（Low-Cost RFID Authentication Protocol， LCAP）;該協(xié)議試圖通過(guò)更新標(biāo)簽ID以提供前向安全性，但因更新操作簡(jiǎn)單，只要破譯當(dāng)前ID和截獲各次認(rèn)證的隨機(jī)數(shù)，通過(guò)簡(jiǎn)單的異或運(yùn)算就可以獲得以前的ID;所以該協(xié)議不能確保前向安全性，也不能抵抗跟蹤攻擊。Cho等[5]也提出了一個(gè)基于Hash函數(shù)的認(rèn)證協(xié)議，然而，Kim[6]指出這個(gè)協(xié)議對(duì)于拒絕服務(wù)攻擊非常脆弱; Khedr[7]指出敵手通過(guò)篡改協(xié)議會(huì)話，可以完成去同步化攻擊，指出該協(xié)議不能確保前向安全性。

Ha等[8]提出一個(gè)基于Hash函數(shù)的RFID認(rèn)證協(xié)議，并證明能保證前向安全性。然而，Sun等[9]發(fā)現(xiàn)敵手通過(guò)觀察以前失敗的會(huì)話就可以跟蹤標(biāo)簽，協(xié)議實(shí)際上并不能提供前向安全性。

Liu等[10]基于Hash函數(shù)提出了標(biāo)簽、閱讀器和后端服務(wù)器的三方認(rèn)證協(xié)議，但是在每次認(rèn)證過(guò)程中，標(biāo)簽和閱讀器多次調(diào)用Hash函數(shù)，計(jì)算開(kāi)銷(xiāo)較大，而且協(xié)議的可擴(kuò)展性差。

Dehkordi等[11]對(duì)Cho等提出的協(xié)議進(jìn)行了分析，指出他們的協(xié)議無(wú)法抵抗拒絕服務(wù)攻擊、流量分析攻擊和假冒攻擊，并進(jìn)行了改進(jìn);但認(rèn)證標(biāo)簽的計(jì)算復(fù)雜性與標(biāo)簽的數(shù)量成正比，系統(tǒng)的擴(kuò)展性差。Abidin[12]基于哈希函數(shù)和橢圓曲線函數(shù)提出了RFID的認(rèn)證協(xié)議，協(xié)議總共使用11次哈希、6次點(diǎn)積、6次橢圓曲線相關(guān)運(yùn)算，標(biāo)簽的計(jì)算負(fù)擔(dān)較重。

Habibi等[13]分析了Duc和Kim等提出的兩個(gè)認(rèn)證協(xié)議，指出這些協(xié)議易于發(fā)生跟蹤攻擊和去同步攻擊，也不滿足前向安全性。Gope等[14]在對(duì)以往協(xié)議分析的基礎(chǔ)上提出了一個(gè)能夠抵抗跟蹤攻擊的RFID認(rèn)證協(xié)議，提供了匿名性和前向安全性，但標(biāo)簽端的計(jì)算負(fù)擔(dān)較重。李松等[15]提出了基于PUF的認(rèn)證協(xié)議，但標(biāo)簽端使用了哈希、不可克隆、偽隨機(jī)數(shù)生成等多個(gè)函數(shù)，計(jì)算負(fù)擔(dān)較重;而且每次認(rèn)證后秘密信息沒(méi)有更新，難以確保前向安全性。

還有很多類(lèi)似的輕權(quán)認(rèn)證協(xié)議，這些協(xié)議大都不滿足前向安全性，可擴(kuò)展性差。這類(lèi)協(xié)議的主要特征是采用Hash函數(shù)來(lái)保證會(huì)話信息的完整性和隱私性，通過(guò)偽隨機(jī)數(shù)產(chǎn)生器保證會(huì)話信息的新鮮性，但是標(biāo)簽端的計(jì)算不能過(guò)于復(fù)雜，且還要保證一定的安全強(qiáng)度，這是一個(gè)非常矛盾的問(wèn)題，有時(shí)只能采取折中方案，即設(shè)計(jì)一種即具有一定安全強(qiáng)度而且計(jì)算、存儲(chǔ)消耗適中的認(rèn)證協(xié)議。

3 可擴(kuò)展的RFID匿名認(rèn)證協(xié)議

RFID系統(tǒng)的安全威脅有竊聽(tīng)、跟蹤、重放、去同步、前向安全性等，這些安全威脅通常假設(shè)來(lái)自一個(gè)概率多項(xiàng)式時(shí)間算法的敵手;這個(gè)敵手能夠竊聽(tīng)、截獲、篡改、跟蹤、重放協(xié)議的每個(gè)會(huì)話，進(jìn)而達(dá)到攻擊RFID系統(tǒng)、使認(rèn)證協(xié)議失效，最終獲取系統(tǒng)秘密信息的目的。下面通過(guò)哈希函數(shù)、偽隨機(jī)數(shù)生成函數(shù)以及異或運(yùn)算處理標(biāo)簽與后端服務(wù)器/閱讀器間的會(huì)話，同時(shí)通過(guò)隨機(jī)化和更新密鑰、標(biāo)簽偽名等手段，防止上述攻擊的發(fā)生，同時(shí)保證系統(tǒng)的可擴(kuò)展性。

假設(shè)后端服務(wù)器存儲(chǔ)各個(gè)標(biāo)簽的ID、pID、oldpID、k1、oldk1、k2、oldk2、k等信息，它們的長(zhǎng)度均為d比特;其中ID是標(biāo)簽的標(biāo)識(shí)符，用于唯一地標(biāo)識(shí)一個(gè)標(biāo)簽;pID是標(biāo)簽的偽名，用來(lái)替代ID在信道上傳輸，以防止隱私泄露，pID的初始值為ID的哈希值;oldpID為上次成功認(rèn)證時(shí)pID的值;k1和k2為當(dāng)前的密鑰值，而oldk1和oldk2為上次成功認(rèn)證時(shí)k1和k2的值。保留上次成功認(rèn)證時(shí)的密鑰值和偽名是為了避免去同步攻擊;每次認(rèn)證成功后，都要對(duì)pID、k1、k2進(jìn)行更新以確保前向安全性;更新pID的另一個(gè)目的是為了防止泄漏標(biāo)簽的隱私。k為所有標(biāo)簽和后端服務(wù)器共享的公共密鑰，用來(lái)確認(rèn)各個(gè)標(biāo)簽的身份。認(rèn)證協(xié)議使用的符號(hào)如表1所示。

標(biāo)簽端存儲(chǔ)其ID、pID、k1、k2、k等信息。標(biāo)簽和后端服務(wù)器共享哈希函數(shù)h（）：{0，1}*→{0，1}d和偽隨機(jī)數(shù)生成函數(shù)prng（）：{0，1}*→{0，1}d。這兩個(gè)函數(shù)的作用是：1）通過(guò)哈希函數(shù)h（）的單向性處理會(huì)話信息，以確保會(huì)話信息的完整性以及秘密傳輸。2）通過(guò)偽隨機(jī)數(shù)生成函數(shù)prng（）產(chǎn)生偽隨機(jī)數(shù)去隨機(jī)化會(huì)話信息以防止跟蹤和重放攻擊。h（）和prng（）均為輸出為d比特的函數(shù)。認(rèn)證過(guò)程如圖2所示，具體描述如下：

步驟1 后端服務(wù)器調(diào)用prng（）生成一個(gè)隨機(jī)數(shù)r，連同系統(tǒng)目前的時(shí)間戳t，形成消息r‖t，經(jīng)閱讀器轉(zhuǎn)發(fā)給標(biāo)簽，從而啟動(dòng)一次認(rèn)證過(guò)程。

步驟2 標(biāo)簽接收消息r‖t后，調(diào)用prng（）生成一個(gè)隨機(jī)數(shù)s，然后按照式（1）生成會(huì)話消息：

標(biāo)簽形成消息m1‖s，并經(jīng)過(guò)閱讀器轉(zhuǎn)發(fā)給后端服務(wù)器。

步驟3 后端服務(wù)器接收到消息m1‖s后，用本身存儲(chǔ)的密鑰k以及r、t和接收的消息m1‖s，按式（2）進(jìn)行計(jì)算，得到PID′。

后端服務(wù)器將其數(shù)據(jù)庫(kù)中存儲(chǔ)的PID和oldPID與PID′進(jìn)行比較，具體情況如圖2所示。

4 認(rèn)證協(xié)議的性能及安全性分析

通過(guò)上述認(rèn)證過(guò)程可以看出，為了提高可擴(kuò)展性和匿名性，本協(xié)議通過(guò)偽名在后端服務(wù)器和標(biāo)簽間傳輸標(biāo)簽的身份信息。后端服務(wù)器僅需要一次哈希運(yùn)算就可以獲得標(biāo)簽的偽名，進(jìn)而獲得標(biāo)簽身份;而以往基于哈希函數(shù)的認(rèn)證協(xié)議一般要對(duì)數(shù)據(jù)庫(kù)中的每條記錄均要進(jìn)行一次哈希運(yùn)算，以確認(rèn)標(biāo)簽的身份，故需要O（n）次查找和O（n）次哈希運(yùn)算，其中n是標(biāo)簽的數(shù)量;若服務(wù)器端按照標(biāo)簽標(biāo)識(shí)的哈希值（即散列值）組織標(biāo)簽信息的存儲(chǔ)，假設(shè)標(biāo)簽的標(biāo)識(shí)都是唯一的，在哈希函數(shù)不存在沖突的理想情況下可以獲得O（1）的查找時(shí)間，故系統(tǒng)具有很好的可擴(kuò)展性。

下面分析協(xié)議的安全性。在RFID系統(tǒng)的安全模型中，假設(shè)敵手是一個(gè)概率多項(xiàng)式時(shí)間算法，它能夠竊聽(tīng)、截獲、篡改、跟蹤、重放協(xié)議的每個(gè)會(huì)話。如果敵手能夠從所竊聽(tīng)、截獲的會(huì)話中猜出系統(tǒng)的秘密信息，或者能夠區(qū)分不同的標(biāo)簽，則認(rèn)為敵手贏得了這場(chǎng)游戲;假設(shè)敵手獲勝的概率為σ。

定義1 敵手可以連續(xù)發(fā)起對(duì)prng（）和h（）的隨機(jī)查詢，prng（）和h（）的輸出為d比特。顯然敵手成功猜測(cè)到正確輸出的概率σ≤2-d。

定義2 敵手是一個(gè)概率多項(xiàng)式時(shí)間算法，如果它揭示RFID系統(tǒng)秘密信息的概率是可以忽略的，則認(rèn)為協(xié)議是隱私安全的。

定義3 敵手是一個(gè)概率多項(xiàng)式時(shí)間算法，它能夠區(qū)分兩個(gè)不同標(biāo)簽的概率σ=2Pr[pidi=pidj]-1（i≠j）;如果σ是可以忽略的，則認(rèn)為協(xié)議滿足不可區(qū)分安全性。

定義4 敵手是一個(gè)概率多項(xiàng)式時(shí)間算法，如果它從當(dāng)前密鑰能夠猜測(cè)出更新前的密鑰的概率是可以忽略的，則認(rèn)為協(xié)議滿足前向安全性。

對(duì)于所提出的認(rèn)證協(xié)議，假設(shè)敵手可以截獲協(xié)議的每個(gè)會(huì)話;其中，消息m1、m2、m4和m7中包括了系統(tǒng)的密鑰、標(biāo)識(shí)等秘密信息。由定義1可知，敵手從任何一個(gè)消息中猜測(cè)出秘密信息的概率是σ，而且σ≤2-d。當(dāng)d=32，有σ≤2-32。顯然σ是可以忽略的，故協(xié)議是隱私安全的。

下面分析前向安全性。對(duì)于所提出的協(xié)議，m2、m4和m7等消息中包含標(biāo)簽秘密k1和k2。假設(shè)敵手截獲這些消息，它從每個(gè)消息成功猜測(cè)密鑰的概率是ε1，很容易得出ε1≤2-32。協(xié)議每成功運(yùn)行一次，密鑰信息都要進(jìn)行更新，即ki=prng（ki⊕s⊕r）;如果敵手想要得到更新前的密鑰，它需要發(fā)起對(duì)prng（）的隨機(jī)查詢;敵手從中猜測(cè)出更新前密鑰的概率是ε2，顯然ε2≤2-32。具體有兩種情況：

1）敵手沒(méi)有攻破標(biāo)簽i，它并不知道標(biāo)簽i的密鑰;敵手可以從截獲的歷史消息m2、m4和m7中去猜測(cè)更新前的密鑰，其猜測(cè)成功的概率σ1=3×ε1≤3×2-32;或者敵手截獲了并破譯了當(dāng)前消息m2、m4和m7，再通過(guò)隨機(jī)查詢prng（）去猜測(cè)出更新前的密鑰，其猜測(cè)成功的概率σ1=3×ε1×ε2≤3×2-64。

2）敵手攻破了標(biāo)簽i，它知道標(biāo)簽i的當(dāng)前密鑰k1和k2;敵手通過(guò)隨機(jī)查詢prng（）從當(dāng)前密鑰成功猜測(cè)出更新前密鑰的概率σ2=ε2≤2-32。

顯然，無(wú)論哪種情況，σ1和σ2均是可以忽略的，所以本文協(xié)議具有前向安全性。

此外，在隱私保護(hù)和其他安全性方面，協(xié)議各實(shí)體間傳輸?shù)乃忻孛芟⒕?jīng)過(guò)隨機(jī)化和哈希函數(shù)處理，敵手盡管可以對(duì)標(biāo)簽和讀寫(xiě)器間的無(wú)線信道進(jìn)行竊聽(tīng)，但它無(wú)法解密，從而防止了秘密信息的泄露，有效地防止了竊聽(tīng)攻擊，確保了協(xié)議的匿名性。對(duì)于每次認(rèn)證，后端服務(wù)器/讀寫(xiě)器、標(biāo)簽均生成一個(gè)新的隨機(jī)數(shù)，使得各次認(rèn)證過(guò)程中交換的會(huì)話信息具有一定的時(shí)效性;盡管攻擊者獲得了某次會(huì)話并在一定時(shí)間后進(jìn)行重放，但此時(shí)該消息已經(jīng)失去了意義，故認(rèn)證協(xié)議可以抵抗重放攻擊。同時(shí)，該協(xié)議通過(guò)密鑰信息的更新和保留還可以確保抵御去同步攻擊。

本文協(xié)議與其他典型認(rèn)證協(xié)議在安全性能方面的對(duì)比情況如表2所示;顯然，本文協(xié)議比其他典型的幾個(gè)認(rèn)證協(xié)議具有更好的安全性能。各協(xié)議在標(biāo)簽端調(diào)用的函數(shù)、發(fā)生的計(jì)算量和通信量等如表3所示;其中，計(jì)算量一欄函數(shù)前面的數(shù)字表示調(diào)用該函數(shù)的次數(shù)，d為會(huì)話消息的長(zhǎng)度。盡管本文提出的協(xié)議在標(biāo)簽端需要的計(jì)算、通信量略高于其他協(xié)議，但是在隱私保護(hù)和安全性能上明顯優(yōu)于其他協(xié)議。

5 結(jié)語(yǔ)

隨著RFID技術(shù)的廣泛應(yīng)用，標(biāo)簽的安全和隱私保護(hù)顯得越來(lái)越為重要。對(duì)于低值RFID標(biāo)簽，其計(jì)算存儲(chǔ)資源有限，這給其安全和隱私保護(hù)問(wèn)題的解決造成很大難度。針對(duì)這種低值RFID標(biāo)簽，本文提出了一個(gè)基于哈希函數(shù)的輕權(quán)認(rèn)證協(xié)議。通過(guò)分析證實(shí)，盡管本文所提出的認(rèn)證協(xié)議在計(jì)算量和通信量方面略高于其他協(xié)議，但是本協(xié)議具有很好的可擴(kuò)展性和前向安全性，能夠抵抗竊聽(tīng)、追蹤、重放、去同步化等攻擊;該協(xié)議通過(guò)使用偽名及隨機(jī)化等措施確保了系統(tǒng)的可擴(kuò)展性和匿名性。該協(xié)議僅使用了哈希函數(shù)、偽隨機(jī)數(shù)生成函數(shù)和位運(yùn)算等操作，僅需較少的計(jì)算和存儲(chǔ)資源就可以達(dá)到RFID系統(tǒng)的安全目標(biāo)。

參考文獻(xiàn) （References）

[1] AAKANKSHA T， GUPTA B B. Cryptanalysis of a novel ultra-lightweight mutual authentication protocol for IoT devices using RFID tags [J]. The Journal of Supercomputing， 2017， 73（3）： 1085-1102.

[2] WEIS S A， SARMA S E， RIVEST R L， et al. Security and privacy aspects of low-cost radio frequency identification systems [C]// Proceedings of the 1st International Conference on Security in Pervasive Computing， LNCS 2802. Berlin：Springer， 2003： 201-212.

[3] OHKUBO M， SUZUKI K， KINOSHITA S. Cryptographic approach to “privacy-friendly” ?tags [C]// Proceedings of the 2003 RFID Privacy Workshop. Cambridge： MIT Press， 2003： 1-9.

[4] LEE S M， HWANG Y J， LEE D H， et al. Efficient authentication for low-cost RFID systems [C]// Proceedings of the 2005 International Conference on Computational Science and Its Applications， LNCS 3480. Berlin：Springer， 2005： 619-627.

[5] CHO J-S， JEONG Y-S， PARK S O. Consideration on the brute-force attack cost and retrieval cost： a hash-based Radio-Frequency IDentification （RFID） tag mutual authentication protocol [J]. Computers and Mathematics with Applications， 2015， 69（1）： 58-65.

[6] KIM H. Desynchronization attack on hash-based RFID mutual authentication protocol [J]. Journal of Security Engineering， 2012， 9（4）： 357-365.

[7] KHEDR W I. SRFID： a hash-based secure scheme for low cost RFID systems [J]. Egyptian Informatics Journal， 2013， 14（1）： 89-98.

[8] HA J H， MOON S J， ZHOU J， et al. A new formal proof model for RFID location privacy [C]// Proceedings of the 2008 European Symposium on Research in Computer Security， LNCS 5283. Berlin： Springer， 2008： 267-281.

[9] SUN D-Z， ZHONG J-D. A hash-based RFID security protocol for strong privacy protection [J]. IEEE Transactions on Consumer Electronics， 2012， 58（4）： 1246-1252.

[10] LIU Y， PENG Y， WANG B， et al. Hash-based RFID mutual authentication protocol [J]. International Journal of Security and Its Applications， 2013， 7（3）：183-194.

[11] DEHKORDI M H， FARZANEH Y. Improvement of the hash-based RFID mutual authentication protocol [J]. Wireless Personal Communications， 2014， 75（1）： 219-232.

[12] ABIDIN S. Novel construction of secure RFID authentication protocol [J]. International Journal of Security， 2014， 8（4）：33-36.

[13] HABIBI M H， AREF M R. Attacks on recent RFID authentication protocols [J]. Journal of Signal Processing Systems， 2015， 79（3）： 271-283.

[14] GOPE P， HWANG T. A realistic lightweight authentication protocol preserving strong anonymity for securing RFID system [J]. Computers and Security， 2015， 55（C）： 271-280.

[15] 李松，孫子文.基于PUF適用于大規(guī)模RFID系統(tǒng)的移動(dòng)認(rèn)證協(xié)議[J].計(jì)算機(jī)工程與科學(xué)，2018，40（6）：1046-1053.（LI S， SUN Z W. PUF based authentication protocol in mobile and large-scale RFID systems [J]. Computer Engineering and Science， 2018， 40（6）：1046-1053.）

[16] 周永彬，馮登國(guó).RFID安全協(xié)議的設(shè)計(jì)與分析[J].計(jì)算機(jī)學(xué)報(bào)，2006，29（4）：581-589.（ZHOU Y B， FENG D G. Design and analysis of cryptographic protocols for RFID [J]. Chinese Journal of Computers， 2006， 29（4）， 581-589.）