可證明安全的輕量級無服務(wù)型RFID安全搜索協(xié)議

2014-09-18 17:36:37王鑫賈慶軒高欣趙兵崔寶江

湖南大學(xué)學(xué)報·自然科學(xué)版 2014年8期

王鑫+賈慶軒+高欣+趙兵+崔寶江

收稿日期：20131203

基金項目：國家重大基礎(chǔ)研究發(fā)展計劃（973計劃）資助項目（2012CB724400）；國際科技合作專項資助項目（2013DFG72850）

作者簡介：王鑫（1986-），男，山西忻州人，北京郵電大學(xué)博士研究生

通訊聯(lián)系人，Email：buptwxin@gmail.com

摘要：針對RFID標(biāo)簽搜索過程中產(chǎn)生的安全與隱私問題，設(shè)計了一個輕量級無服務(wù)型RFID安全搜索協(xié)議.通過嚴格時間戳的方式對移動讀寫器的時間權(quán)限進行管理，提出松散時間戳和HASH函數(shù)相結(jié)合的方式對無線信道進行安全防護，其利用HASH函數(shù)的單向性保證了協(xié)議消息的完整性和保密性，利用碰撞原理實現(xiàn)了可調(diào)節(jié)的隱私強度及搜索效率.在UC框架下證明了協(xié)議滿足通用可組合安全性，使得協(xié)議可運行在并發(fā)環(huán)境當(dāng)中，在標(biāo)準安全模型下證明了協(xié)議滿足抵抗重放、去同步、跟蹤及匿名性等攻擊方式，提出的搜索協(xié)議具有強安全性和強隱私性.

關(guān)鍵詞：無線射頻識別（RFID）；搜索協(xié)議；通用可組合；標(biāo)準安全模型

中圖分類號：TN918.5 文獻標(biāo)識碼：A

Provable Security Lightweight

Serviceless RFID Security Search Protocol

WANG Xin1， JIA Qingxuan1， GAO Xin 1， ZHAO Bing2， CUI Baojiang3

（1. School of Automation， Beijing Univ of Posts and Telecommunications， Beijing100876， China；

2. State Grid Metering Center， Beijing 100192， China；

3. School of Computer Science， Beijing Univ of Posts and Telecommunications， Beijing100876， China）

Abstract：To solve the problems of security and privacy caused by RFID tags search process， a lightweight serviceless RFID security search protocol was designed. Firstly， through strict timestamp， the time permissions of the mobile reader were managed. Secondly， the method of combining loose timestamp and HASH function for the safety protection of the wireless channel was put forward， the oneway character of HASH function was used to ensure the integrity and confidentiality of interactive messages. Finally， the collision thought was made use of to realize the adjustable intensity of privacy and search efficiency. Under the UC framework， it was proved that the protocol could meet universally composable security， enabling the protocol to run in the concurrent environment. Under the standard security model， it was proved that the protocol could effectively resist replay attack， desynchronization attack， track attack， anonymity attack and so on. It follows that the proposed protocol has strong security and privacy.

Key words：Radio Frequency Identification； search protocol； universally composable； standard security model

RFID技術(shù)具有非接觸式讀取、批量讀取及可適用于惡劣環(huán)境等諸多優(yōu)點.因此，RFID技術(shù)在識別、傳感定位、物流跟蹤等領(lǐng)域受到廣泛關(guān)注，并不斷被開發(fā)出新的用途[1].然而，大規(guī)模推廣使安全與隱私問題日益凸顯，成為制約其發(fā)展的關(guān)鍵因素，利用無線信道非接觸式讀取在帶來便利的同時也為攻擊者提供了良好的攻擊條件，利用被動攻擊可致使公司數(shù)據(jù)及顧客個人隱私泄漏、惡意跟蹤等后果，利用主動攻擊可使RFID系統(tǒng)癱瘓，標(biāo)簽與讀寫器之間的認證被永久性破壞，進而導(dǎo)致物品流失等嚴重后果.同時，出于成本考慮，在實際應(yīng)用中一般選用被動式標(biāo)簽，其通過讀寫器電磁耦合提供能量，因而，具有計算能力弱、存儲能力低的特點.傳統(tǒng)安全協(xié)議類似SSL/TLS可提供安全可靠的信道，但由于其耗能較大，并不適應(yīng)于被動標(biāo)簽.因此，設(shè)計輕量級或超輕量級的RFID安全協(xié)議成為亟需解決的關(guān)鍵問題.

目前，大多RFID安全協(xié)議主要針對具有后臺服務(wù)器的情況進行相關(guān)設(shè)計.文獻[2]根據(jù)標(biāo)簽支持的加密運算對RFID安全協(xié)議進行了分類：成熟類安全協(xié)議，其標(biāo)簽支持成熟加密算法如ECC，AES，DES及非對稱加密體制[3]；輕量級安全協(xié)議，其標(biāo)簽支持HASH函數(shù)、隨機數(shù)生成、冗余校驗碼等計算量較小的運算[4-5]；超輕量級安全協(xié)議，其利用異或、且、非等位運算對交互數(shù)據(jù)進行加密[6].其中，成熟類安全協(xié)議雖然可提供高等級安全防護，然而對標(biāo)簽計算性能要求較高僅能在有源標(biāo)簽上運行，故無法得到廣泛應(yīng)用.超輕量級安全協(xié)議對標(biāo)簽計算性能要求極低，然而目前提出的大多數(shù)該類協(xié)議易受去同步攻擊、全泄漏攻擊和跟蹤攻擊等常見攻擊手段的攻擊[7].相比之下輕量級安全協(xié)議使用HASH函數(shù)等較為輕量的加密函數(shù)在提供較高安全等級防護的同時對標(biāo)簽的要求也較低.同時，由于近年來的硬件加工工藝進步使得低價無源RFID標(biāo)簽可有效支持HASH函數(shù)等加密運算[8].雖然具有后臺服務(wù)器的安全協(xié)議可提供有效的無線信道安全防護，然而，在許多實際應(yīng)用中需要讀寫器進行移動操作，例如電力系統(tǒng)中掌機對其電表RFID標(biāo)簽的識別需要掌機進行移動識別等應(yīng)用情況.對無服務(wù)型RFID安全協(xié)議進行研究有助于提升系統(tǒng)的靈活性，可移動讀寫器更加適用于實際應(yīng)用環(huán)境.進一步，在許多實際應(yīng)用中只需對單個標(biāo)簽進行認證和識別，無需對可識別范圍內(nèi)所有標(biāo)簽進行安全認證.

鑒于無服務(wù)器應(yīng)用環(huán)境，目前，針對RFID搜索協(xié)議的研究較少，文獻[9-10]對標(biāo)簽搜索協(xié)議進行了研究并設(shè)計了相關(guān)安全協(xié)議，其通過非目標(biāo)標(biāo)簽隨機概率應(yīng)答讀寫器搜索信號以防護目標(biāo)標(biāo)簽隱私性，但只進行了簡單論證和非形式化證明，其安全性并沒有得到嚴格的證明，因此，易受延遲攻擊等攻擊手段的攻擊[11].文獻[12]利用偽隨機函數(shù)及動態(tài)分散種子更新機制以實現(xiàn)對標(biāo)簽安全搜索過程當(dāng)中的無線信道安全，然而分散種子動態(tài)更新使得其易受去同步攻擊方式的攻擊.文獻[8]在之前研究的基礎(chǔ)上提出了安全性較高的搜索協(xié)議，使用對被動標(biāo)簽較難實現(xiàn)的AES算法對交互信息進行加密，算法復(fù)雜度較高，難以推廣.文獻[13]提出了一種輕量級無服務(wù)型搜索協(xié)議，并在UC框架下證明了其具有通用可組合安全性，具有實現(xiàn)簡單，算法復(fù)雜度低的優(yōu)點，然而其仍然存在泄露隱私性及易受去同步化攻擊等弱點.同時，以上文獻對搜索協(xié)議的研究沒有考慮實際運行環(huán)境下移動讀寫器的安全性，僅對其讀寫器與標(biāo)簽之間的信道進行了相應(yīng)的安全防護措施.

本文基于松散時間戳與HASH函數(shù)相結(jié)合的方式設(shè)計了一個輕量級無服務(wù)型搜索安全協(xié)議.協(xié)議限定了讀寫器時間權(quán)限進而保證了讀寫器安全性，并利用碰撞的思想保證了目標(biāo)標(biāo)簽隱私性.在UC框架和標(biāo)準安全模型下分別證明了其安全性，使其具有雙向認證安全搜索、通用可組合安全性和強隱私性等安全特性.

1設(shè)計搜索協(xié)議需滿足的安全屬性

RFID搜索協(xié)議可快速確定目標(biāo)標(biāo)簽的存在性，為保障安全性與隱私性，安全搜索協(xié)議需滿足以下安全屬性：

1）可用性.攻擊者利用去同步攻擊使標(biāo)簽遷移到不可認證狀態(tài)，即讀寫器與標(biāo)簽之間的共享信息不同步，從而導(dǎo)致合法標(biāo)簽和讀寫器不能正確有效地識別對方，使其認證識別功能失效.因此，協(xié)議應(yīng)抗去同步化攻擊.

2）認證性.讀寫器通過獲得標(biāo)簽證明（利用共享信息計算），進而證明標(biāo)簽應(yīng)答信息的正確性，以此來認定目標(biāo)標(biāo)簽的存在性和合法性.搜索過程應(yīng)保證匿名認證，即標(biāo)簽的唯一標(biāo)識對通信鏈路監(jiān)聽者不可知.

3）隱私性.包括標(biāo)簽?zāi)涿院筒豢勺粉櫺裕瑯?biāo)簽的匿名性保證了攻擊者通過相應(yīng)的攻擊策略并不能獲得標(biāo)簽的任何相關(guān)信息；不可追蹤性保證了攻擊者不能通過分析協(xié)議交互信息進而實現(xiàn)對某個標(biāo)簽的跟蹤.

4）并發(fā)安全性.RFID搜索協(xié)議的運行處于物聯(lián)網(wǎng)協(xié)議底層.因此，保證搜索協(xié)議在UC框架下安全是RFID系統(tǒng)安全的必然要求.

2可證明安全

本文通過可證明安全來保證協(xié)議具有安全性和隱私性.UC框架下證明協(xié)議的安全性其優(yōu)點在于保證協(xié)議的并發(fā)安全性，使協(xié)議可并發(fā)運行于復(fù)雜環(huán)境；標(biāo)準安全模型的優(yōu)點在于分析協(xié)議的孤立安全性.本文從兩個層面上對協(xié)議安全性進行相關(guān)證明，以下對UC框架和標(biāo)準安全模型進行簡要說明.

2.1UC框架

為適應(yīng)復(fù)雜應(yīng)用環(huán)境，單個協(xié)議經(jīng)常會多次運行在并發(fā)網(wǎng)絡(luò)環(huán)境中.UC框架的優(yōu)點在于可實現(xiàn)模塊化設(shè)計，在UC框架下保證安全性就可以保證其具有并發(fā)安全性[14].RFID標(biāo)簽與讀寫器之間的安全協(xié)議屬于物聯(lián)網(wǎng)底層協(xié)議，具有高并發(fā)性和應(yīng)用環(huán)境多樣復(fù)雜等特點，因此，有必要在UC框架下證明協(xié)議的并發(fā)安全性.

UC安全框架證明過程如圖1所示，首先設(shè)定協(xié)議π的參與者為ITM（交互式圖靈機），包括（U1，U2，…，Ui，…，Un）及現(xiàn)實環(huán)境攻擊者A.理想環(huán)境下虛擬參與者U1，U2，…，Ui，…，Un，理想攻擊者S及理想功能F，F(xiàn)代表協(xié)議需要滿足的安全屬性，參與者與S給予F輸入，F(xiàn)相應(yīng)給出輸出，充當(dāng)不可攻破的可信第三方.在這兩種情況下引入環(huán)境機Z，Z代表協(xié)議運行外部環(huán)境（包括并發(fā)運行的其他協(xié)議，如用戶等），Z能夠為參與者及攻擊者提供任意輸入.最后，Z收集真實環(huán)境下和理想環(huán)境下參與者和攻擊者的全局輸出，進而判斷Z是在與真實攻擊者A存在的情況下真實協(xié)議交互還是與理想攻擊者S存在的情況下理想環(huán)境交互，若Z不能區(qū)分這兩種情況，則可證明協(xié)議滿足UC安全.

2.2標(biāo)準安全模型

標(biāo)準安全模型首先設(shè)定攻擊者A的攻擊目標(biāo).然后，根據(jù)協(xié)議實際運行，A調(diào)用一系列功能預(yù)言機從而形成攻擊策略，其反應(yīng)了A的攻擊能力.若A在概率多項式時間（PPT）內(nèi)成功達到攻擊目標(biāo)的概率可以忽略，則協(xié)議在標(biāo)準模型下是安全的[15].這里假設(shè)A對信道具有完全控制能力，即A可調(diào)用預(yù)言機如下.

1）O1（πsearch）：獲取讀寫器與標(biāo)簽之間的交互消息；

2）O2（πsearch，tag，m1，m2）：發(fā)送挑戰(zhàn)消息m1給標(biāo)簽并獲得返回的應(yīng)答消息m2；

3）O3（πsearch，Reader，m3，m4）：發(fā)送消息m3給讀寫器并獲得返回應(yīng)答消息m4；

4）O4（πsearch，Reader，tag）：篡改交互消息.

攻擊實驗Exp（A）分為兩個階段，學(xué)習(xí)階段和猜測階段.

在學(xué)習(xí)階段A可調(diào)用預(yù)言機O∈{O1，O2，O3，O4}進行監(jiān)聽、打斷、篡改讀寫器和標(biāo)簽之間的交互消息，以此來進行攻擊知識積累.

在猜測階段A根據(jù)學(xué)習(xí)階段的知識積累進行判斷并得出攻擊結(jié)論，安全搜索協(xié)議的攻擊目標(biāo)為A通過分析可判定標(biāo)簽是否存在，若A在PPT內(nèi)成功的概率與擲硬幣的概率相等，則攻擊實驗失敗，即攻擊者成功的優(yōu)勢Adv滿足：

Adv=|P（Exp（A）標(biāo)簽存在）-12|≤ε（n）.（1）

否則，A的攻擊實驗Exp（A）成功，協(xié)議不滿足標(biāo)準安全模型下的安全性.

3RFID安全搜索協(xié)議

以下對提出的安全搜索協(xié)議進行具體闡述.首先，讀寫器在CA處下載Li時，利用SSL/TLS協(xié)議協(xié)商會話密鑰的過程中加入系統(tǒng)當(dāng)前時間作為分散因子，從而限定了規(guī)定時間內(nèi)讀寫器定時到系統(tǒng)處更新原有列表，使讀寫器在一定時間間隔內(nèi)到CA處進行“報道”，實現(xiàn)了時間權(quán)限管理，同時，實現(xiàn)了讀寫器標(biāo)識更新和讀寫器列表定時更新，將標(biāo)簽密鑰與讀寫器標(biāo)識碼進行HASH綁定，即使讀寫器列表泄露，攻擊者也不能得到標(biāo)簽密鑰，因而可抵抗標(biāo)簽仿造攻擊.提出松散時間戳和碰撞機制相結(jié)合的方式實現(xiàn)了對標(biāo)簽隱私性和抗跟蹤性的防護，防止了惡意跟蹤和目標(biāo)標(biāo)簽存在性泄露.其協(xié)議流程如圖2所示.

3.1協(xié)議初始化

讀寫器在CA處利用SSL/TLS協(xié)議進行認證，并獲得與CA中心共享的會話密鑰.在預(yù)主密鑰的協(xié)商中加入新的分散因子：CA當(dāng)前時間Ts，協(xié)商后的會話密鑰為ksc=hash（TS，ns，nc，…），并規(guī)定讀寫器唯一標(biāo)識為rt=hash（TS，Rid），在完成標(biāo)簽搜索任務(wù)后，在規(guī)定時限讀寫器需到CA中心注冊新標(biāo)識rt.超過時限后讀寫器自行刪除內(nèi)部列表，CA中心對該讀寫器發(fā)起警報認定其違規(guī)操作并作標(biāo)記，時限取決于系統(tǒng)安全等級要求以及完成不同搜索任務(wù)所需時長.其后，CA中心利用數(shù)字證書對認證通過后的讀寫器下發(fā)認證列表Li，讀寫器根據(jù)自身當(dāng)前時間計算新的列表L′i，Tcur為當(dāng)前讀寫器時間：

Li=f（ri，ks1）…id1

f（ri，ksn）…idn→

L′i=f（ri，ksi）f（ri，ks1）Tcurid1

f（ri，ksnf（ri，ksn）Tcuridn（2）

3.2協(xié)議執(zhí)行步驟

協(xié)議執(zhí)行流程如下：

1）讀寫器確定搜索目標(biāo)標(biāo)簽Tj，令Tj在搜索列表L′i中的相應(yīng)值為GT=f（rj，ksj）Tcur，同時，取隨機數(shù)nr∈R0，1l，計算A和B.

A=f（nr，idj，GT），

B=f（nr，idj，GT）→k. （3）

假定f（nr，idj，GT）長度為k位，A為f（nr，idj，GT）的前位，剩余部分為B，則根據(jù)實際運行環(huán)境中標(biāo)簽數(shù)量及需要達到的安全等級確定，f為HASH函數(shù)，在總標(biāo)簽數(shù)為n的情況下，i個標(biāo)簽具有相同位前綴的概率為P（i）.根據(jù)HASH函數(shù)特性，經(jīng)HASH運算后，其結(jié)果獨立均勻分布，因此有：

P（i）=n

1i1-12i.（4）

由此可知：

E（i）=∑ni=1i*P（i）.（5）

E（i）為i個標(biāo)簽具有相同位前綴的期望，當(dāng)E（i）≥L（L≥2）時，有至少平均L個標(biāo)簽對搜索信號進行應(yīng)答.因此，即使在目標(biāo)標(biāo)簽不存在的情況下，仍然可能有標(biāo)簽應(yīng)答，A不能判斷目標(biāo)標(biāo)簽的存在性，保證了目標(biāo)標(biāo)簽的隱私性.這里可以調(diào)節(jié)的長度進而控制應(yīng)答標(biāo)簽的數(shù)量，越小則L越大，目標(biāo)標(biāo)簽隱私性越強，然而，其搜索速度越慢.因此，可根據(jù)具體應(yīng)用環(huán)境設(shè)定來滿足隱私性要求和搜索速度要求，其思想在于利用數(shù)據(jù)串前綴碰撞的思想對目標(biāo)標(biāo)簽隱私性進行了安全防護.隨后，讀寫器發(fā)送A，nr，Tcur，ri給標(biāo)簽.

2）標(biāo)簽根據(jù)接收到的nr，Tcur，ri，并利用自身保存的密鑰ks1及自身標(biāo)識ID計算相應(yīng)的A′和B′：

A′={f（nr，idj，G′T）}；（6）

B′={f（nr，idj，G′T）}→k.（7）

標(biāo)簽進一步比對A′是否等于接收到的A，若相等，則標(biāo)簽認定自身為目標(biāo)標(biāo)簽，否則認為為非目標(biāo)標(biāo)簽，不應(yīng)答.同時，比對自身保存時間Tlast與接收到的時間戳Tcur，令

TΔ=Tcur-Tlast.（8）

若TΔ>0，則取隨機數(shù)nj為空字符串，并做如下計算：

flag=0，β11=f（flag，B′，Tcur，idj），（9）

β2=（β11）0→k2，β3=（β11）k2→k，（10）

δ=B′.（11）

同時，將標(biāo)簽時鐘Tlast置為Tcur：

Tlast←Tcur.（12）

否則，取nj∈R0，1l：

flag=1，β21=f（flag，B′，nj，idj），

Tlast←Tlast，（13）

β2=（β21）0→k2，β3=（β21）k2→k，（14）

δ=空字符串. （15）

發(fā)送flag‖nj‖β2‖δ給讀寫器，標(biāo)簽保存β3，Tcur，并發(fā)送flag‖nj‖β2‖δ給讀寫器，這里通過松散時間戳比對，使協(xié)議可有效抵抗重放攻擊等攻擊手段.

3）讀寫器接收到flag‖nj‖β2‖δ，首先判斷flag值，若flag=0，利用自身保存值對應(yīng)地計算B和β2，并比對如下值：

δ=B，

β′2=β2.（16）

若相等，則判定該標(biāo)簽為目標(biāo)標(biāo)簽，這里令：

β′3=（β1′1）k/2→k.（17）

否則，判定標(biāo)簽為非目標(biāo)標(biāo)簽.

若flag=1，則利用nj計算：

β′2=（β2′1）0→k/2.（18）

并判定：β′2=β2，若相等則該標(biāo)簽為目標(biāo)標(biāo)簽，但目標(biāo)標(biāo)簽的時間戳不正確，需進行修改，這里令：

β′3=（β2′1）k/2→k.（19）

否則，判定標(biāo)簽為非目標(biāo)標(biāo)簽.

在判定為目標(biāo)標(biāo)簽的情況下，發(fā)送β′3給標(biāo)簽，否則，β′3為任意隨機數(shù).

4）標(biāo)簽接收到讀寫器發(fā)送的β′3，比對自身保存的β3與接收到的β′3，若相等，則置Tlast為Tcur，否則，保持Tlast不變.目標(biāo)標(biāo)簽可以通過β′3確認自己的目標(biāo)身份地位，同時實現(xiàn)了對讀寫器的安全認證.

4安全性分析

4.1并發(fā)安全性

UC安全性需根據(jù)協(xié)議所要滿足的安全屬性，設(shè)計理想功能F并進行形式化與抽象，然后通過構(gòu)造理想環(huán)境下的攻擊者來模擬真實環(huán)境下敵手的行為.若Z不能區(qū)分兩種環(huán)境下攻擊者的行為，則證明協(xié)議實現(xiàn)了并發(fā)安全性.

4.1.1RFID搜索協(xié)議理想功能

定義理想功能為Faut_anon，使其滿足認證性和匿名搜索性，如圖3所示.

1）在UC框架下，搜索會話唯一標(biāo)識符sid反映了協(xié)議外部環(huán)境，搜索協(xié)議的所有參與者共享同一sid，Z最開始被激活，隨后標(biāo)簽和讀寫器被激活，當(dāng)標(biāo)簽和讀寫器之間沒有激活發(fā)生時，Z再次被激活并輸出判定結(jié)果.

2）參與者包括標(biāo)簽和讀寫器，搜索會話sid當(dāng)中包括單一讀寫器和多個實體標(biāo)簽，一次sid包括多個子會話s.成功完成對指定標(biāo)簽的搜索任務(wù)后，讀寫器認定目標(biāo)標(biāo)簽的存在性.

3）Faut_anon中攻擊者只能獲得其交互實體的主客體關(guān)系.即Init_session（R，s）和Init_session（s′，T）僅僅反映了該實體為標(biāo)簽還是讀寫器，因此，實現(xiàn)了匿名性.在搜索過程中利用碰撞機制實現(xiàn)了多個標(biāo)簽判定其自身為目標(biāo)標(biāo)簽，從而，攻擊者無法判斷目標(biāo)標(biāo)簽是否存在，更不能判定目標(biāo)標(biāo)簽具體為哪個標(biāo)簽.

4）通過Search消息，讀寫器可實現(xiàn)對目標(biāo)標(biāo)簽的認證及識別；通過Accept消息，實現(xiàn)標(biāo)簽對讀寫器的認證；攻擊者可通過Corrupt攻陷標(biāo)簽，攻陷后攻擊者獲得了標(biāo)簽的所有內(nèi)部狀態(tài).在理想仿真下，對攻陷標(biāo)簽狀態(tài)的刪除將對攻陷標(biāo)簽的控制權(quán)轉(zhuǎn)移給了攻擊者S.

4.1.2UC安全性分析

結(jié)論1提出的安全搜索協(xié)議πsearch可實現(xiàn)理想功能Faut_anon，從而具有通用可組合性.

證構(gòu)造了真實環(huán)境下讀寫器R，標(biāo)簽T和攻擊者A的副本，，，并將真實環(huán)境下{RTA}之間的消息傳輸?shù)葍r轉(zhuǎn)換到理想環(huán)境下{}的消息交互.通過{}與Z之間的交互來仿真真實協(xié)議運行過程，F(xiàn)aut_anon給出了{}之間的仿真交互方式，其仿真交互如圖4所示.

圖4 協(xié)議仿真交互

Fig.4Protocol simulation interaction

由圖4可知，若標(biāo)簽被攻陷則仿真可成功將真實協(xié)議運行情況下的攻擊者轉(zhuǎn)化為理想環(huán)境下的理想攻擊者，對于環(huán)境機Z而言不可區(qū)分他們之間的行為，因此，實現(xiàn)了UC框架下的并發(fā)安全.

若標(biāo)簽沒有被攻陷，假設(shè)f為隨機噪聲源產(chǎn)生的真隨機函數(shù)，則在子會話中交互消息獨立均勻分布.在該假設(shè)下，其可區(qū)分性僅僅在于理想環(huán)境下攻擊者對功能Search（s，s′）和Accept（s，i）進行干擾的情況下，在實際環(huán)境中，相應(yīng)地使讀寫器或標(biāo)簽接收攻擊者篡改后的消息，其對應(yīng)于在實際環(huán)境下傳輸消息受篡改的標(biāo)簽和讀寫器輸出與理想環(huán)境下子會話s的輸出一致.然而，假設(shè)f為真隨機函數(shù).因此，這種情況不可能發(fā)生.

由此可知，若Z可以區(qū)分是與真實協(xié)議下攻擊者A交互還是與理想攻擊者進行交互，則Z也能區(qū)分真隨機數(shù)和偽隨機數(shù).然而，對攻擊者而言，在PPT內(nèi)真隨機數(shù)和偽隨機數(shù)區(qū)分不可能實現(xiàn)，由此可知，Z也不能區(qū)分實際環(huán)境下讀寫器、標(biāo)簽、攻擊者交互信息視圖與理想環(huán)境下理想功能、讀寫器、標(biāo)簽、攻擊者的交互信息視圖.因此，協(xié)議πsearch可實現(xiàn)UC框架下的安全搜索.

4.2標(biāo)準安全模型下證明安全性

結(jié)論2在標(biāo)準安全模型下，A對搜索協(xié)議的目標(biāo)存在性攻擊實驗Exp（A）的成功優(yōu)勢Adv≤ε（n），攻擊者通過調(diào)用預(yù)言機O∈{O1，O2，O3，O4}判斷目標(biāo)標(biāo)簽是否存在.分以下幾種情況進行證明：

1）A調(diào)用預(yù)言機O1（πsearch）獲取讀寫器與標(biāo)簽之間的交互消息，即協(xié)議正常執(zhí)行流程下，A判斷目標(biāo)標(biāo)簽存在性.A成功的優(yōu)勢Adv≤ε（n）.

證攻擊者A在學(xué)習(xí)階段獲取協(xié)議消息體A，nr，Tcur，ri，flag‖nj‖β2‖δ，β′3.在猜測階段，根據(jù)其學(xué)習(xí)階段獲取信息做出目標(biāo)標(biāo)簽存在性判定.根據(jù)碰撞原理可知，在消息A，nr，Tcur，ri發(fā)送后有L個標(biāo)簽應(yīng)答，即使標(biāo)簽不存在的情況下，仍然有平均L個標(biāo)簽應(yīng)答，因此，A根據(jù)flag‖nj‖β2‖δ無法判斷其是否為目標(biāo)標(biāo)簽；β′3根據(jù)是否為目標(biāo)標(biāo)簽而生成，若為目標(biāo)標(biāo)簽，則β′3=（β1′1）k/2→k或β′3=（β2′1）k/2→k，否則為任意隨機數(shù).若采用真隨機函數(shù)生成任意隨機數(shù)的話，則A利用β′3實現(xiàn)對是否為目標(biāo)標(biāo)簽的判定，其難度等同于區(qū)分真隨機數(shù)與偽隨機數(shù)，因此，在該情況下Adv≤ε（n）.得證.

2）A調(diào)用預(yù)言機O1（πsearch）獲取協(xié)議交互消息，在隨后的PPT內(nèi)，攻擊者可利用O∈{O2，O3，O4}重放，篡改消息流，進行自適應(yīng)攻擊來判斷目標(biāo)標(biāo)簽存在性，A成功的優(yōu)勢Adv≤ε（n）.

證攻擊者A利用預(yù)言機O2攔截搜索消息A*，n*r，T*cur，ri，并重放學(xué)習(xí)階段消息A，nr，Tcur，ri.由于TΔ=0，碰撞標(biāo)簽集當(dāng)中L個標(biāo)簽進行應(yīng)答，其應(yīng)答消息為1‖nj‖β2‖δ，β2中加入新的分散因子nj，A無法判斷目標(biāo)標(biāo)簽與非目標(biāo)標(biāo)簽應(yīng)答消息的區(qū)別，也無法判斷同一標(biāo)簽的會話鏈接性.同時，讀寫器若接收到重放flag‖nj‖β2‖δ后，若為目標(biāo)標(biāo)簽的重放消息，則讀寫器應(yīng)答β′3=任意隨機數(shù)，若為非目標(biāo)標(biāo)簽，則β′3=任意隨機數(shù).因此，A無法利用O∈{O2，O3}判定目標(biāo)標(biāo)簽存在性，可知Adv≤ε（n）.進一步，若攻擊者同時重放消息A，nr，Tcur，ri及Tcur‖β′3，由于TΔ=0，目標(biāo)標(biāo)簽自身計算的β3=（β21）k/2→k加入了新的分散因子nj，因此，β′3≠β3，標(biāo)簽對讀寫器的認證失敗.

若A利用預(yù)言機O4對消息體進行篡改來驗證目標(biāo)標(biāo)簽存在性，在學(xué)習(xí)階段首先收集篡改協(xié)議消息后標(biāo)簽或讀寫器的應(yīng)答消息，并結(jié)合O∈{O2，O3}進行消息重放等攻擊策略，進而在猜測階段得出結(jié)論.首先，A對消息A，nr，Tcur，ri的篡改是沒有必要的，因為，若篡改該消息，則目標(biāo)標(biāo)簽判定標(biāo)準發(fā)生變化使應(yīng)答標(biāo)簽發(fā)生變化，相應(yīng)的目標(biāo)標(biāo)簽也發(fā)生變化；對消息體flag‖nj‖β2‖δ進行篡改后，認證通不過，目標(biāo)標(biāo)簽被讀寫器認定為非目標(biāo)標(biāo)簽.因此，應(yīng)答消息β′3為任意隨機數(shù)，若為非目標(biāo)標(biāo)簽，其應(yīng)答消息β′3仍然為任意隨機數(shù)，故攻擊者無法判斷其目標(biāo)標(biāo)簽的存在性，可知Adv≤ε（n）.得證.

結(jié)論3提出的搜索協(xié)議可抵抗去同步攻擊.

證標(biāo)簽保存信息為Tlast，ks，id，其中ks，id為不變量，與CA中心永久保持同步，雖然Tlast為可變量，但其只參與協(xié)議的時間戳比對，即使在不同步的情況下，協(xié)議仍然可正常運行.因此，其松散同步性對搜索協(xié)議的去同步化攻擊影響可以忽略，故協(xié)議可有效抵抗去同步攻擊.

結(jié)論4提出的搜索協(xié)議具有不可追蹤性和匿名性.

證攻擊者A調(diào)用O∈{O1，O2，O3}收集并發(fā)送相同搜索消息，根據(jù)應(yīng)答消息跟蹤標(biāo)簽，若應(yīng)答消息相同則可實現(xiàn)對標(biāo)簽的跟蹤.若A發(fā)送相同搜索消息A，nr，Tcur，ri，則由于TΔ=0，對β2的計算引入了新的分散因子nj，因此，A無從利用重放搜索消息對標(biāo)簽進行跟蹤.即使攻擊者利用暴力攻擊致使標(biāo)簽自身保存Tlast變?yōu)闊o限大，即首次搜索flag=1，β2中引入nj，在隨后的跟蹤當(dāng)中，若A截斷β′3的傳輸，那么Tlast仍然為無限大，因此下次搜索中flag=1，β2中的nj換為新的隨機數(shù)，A無法跟蹤標(biāo)簽.若A不截斷β′3的傳輸，則讀寫器對標(biāo)簽Tlast進行了修改，A也無法跟蹤標(biāo)簽.同時，利用碰撞原理實現(xiàn)了匿名性，平均L個標(biāo)簽進行應(yīng)答，致使A無法對標(biāo)簽進行區(qū)分，可有效保證目標(biāo)標(biāo)簽?zāi)涿?

5協(xié)議性能分析

受限于RFID標(biāo)簽的計算能力及存儲能力，搜索協(xié)議的設(shè)計有必要考慮標(biāo)簽的存儲量、計算量、通信量以及協(xié)議的搜索效率.

存儲量：搜索協(xié)議中標(biāo)簽需保存Tlast，IDj，ksj及中間計算結(jié)果Tcur和β′3，因此，運行協(xié)議需要的標(biāo)簽存儲量為length（T）+3length（ID）/2+length（ks），由此可知，若length（ID）=length（ks）=96，length（T）=64，則所需標(biāo)簽存儲量僅為304 bit，低價被動標(biāo)簽即可滿足其存儲量需求.

計算量：協(xié)議采用了HASH運算、異或運算、截取運算，根據(jù)文獻[2]的分類，輕量級安全協(xié)議設(shè)計可滿足其計算需求，相比于文獻[3]的搜索協(xié)議，標(biāo)簽增加了一次HASH運算，其主要用來防護標(biāo)簽密鑰信息不被攻擊者所獲取，進而攻擊者無法利用攻陷的讀寫器列表對標(biāo)簽進行偽造，從而提高了安全性.

通信量：讀寫器發(fā)送兩個消息體A，nr，Tcur，ri和β′3，其由于搜索而發(fā)生的傳輸能量消耗較低，讀寫器具有單獨電源供應(yīng)，傳輸耗能可不考慮；而標(biāo)簽需傳輸消息為flag‖nj‖β2‖δ，在標(biāo)簽時間戳不正確的情況下，δ為空字符串，傳輸數(shù)據(jù)長度僅僅為flag‖nj‖β2.在標(biāo)簽時間戳正確的情況下，其由于傳輸flag‖β2‖δ而產(chǎn)生的耗能極低.相比于文獻[13]的協(xié)議，增加了β′3，然而實現(xiàn)了標(biāo)簽對讀寫器的安全認證，由此也實現(xiàn)了搜索協(xié)議雙向認證.

協(xié)議搜索效率：讀寫器通過消息A，nr，Tcur，ri進行查詢，根據(jù)碰撞原理，L個標(biāo)簽進行應(yīng)答，因此，搜索任務(wù)僅僅需比對L次標(biāo)簽傳輸消息.同時，正常情況下標(biāo)簽時間戳正確，因此，讀寫器可離線計算好β2和δ并保存，在搜索過程中僅需進行比對操作.若A利用暴力攻擊漫無目的發(fā)送A，nr，Tcur，ri，其中Tcur為無窮大，利用碰撞致使部分標(biāo)簽時間戳變?yōu)闊o窮大的情況下，讀寫器依然可以利用β′3對目標(biāo)標(biāo)簽的時間戳更正，進而搜索過程中讀寫器僅需進行比對計算.因此，讀寫器僅需比對L次搜索結(jié)果，搜索效率為L/2，可通過調(diào)節(jié)的長度來滿足實際應(yīng)用場景下隱私強度和搜索效率的要求.

6結(jié)束語

本文設(shè)計了一個輕量級無服務(wù)RFID安全搜索認證協(xié)議，并在UC框架和標(biāo)準安全模型下證明了協(xié)議具有并發(fā)安全性、匿名性、不可跟蹤性、雙向認證性等安全屬性，其創(chuàng)新點如下：

1）提出時間權(quán)限管理實現(xiàn)了對無服務(wù)情況下移動讀寫器的時間權(quán)限管理，讀寫器在限定時間內(nèi)需到后臺服務(wù)器進行簽到，保證了移動讀寫器的安全性.

2）提出利用碰撞思想實現(xiàn)了根據(jù)實際應(yīng)用環(huán)境可調(diào)節(jié)的隱私強度和搜索效率，使多個標(biāo)簽滿足搜索條件，進而對目標(biāo)標(biāo)簽隱私性進行了安全防護.

3）提出松散時間戳與HASH函數(shù)相結(jié)合的方法實現(xiàn)了搜索協(xié)議所需滿足的安全屬性，松散時間戳僅需標(biāo)簽保存讀寫器上一次搜索時間并比對時間大小即可，無需標(biāo)簽提供精確時鐘計數(shù)器，進而適用于低價被動標(biāo)簽.

參考文獻

[1]羅娟，汪云飛，李仁發(fā)，等. 一種基于B+樹的RFID抗沖突算法[J]. 湖南大學(xué)學(xué)報：自然科學(xué)版，2009， 36（6）：72-75.

LUO Juan，WANG Yunfei，LI Renfa，et al. An anticollision algorithm in RFID based on B+ tree[J].Journal of Hunan University：Natural Sciences，2009，36（6）： 72-75. （In Chinese）

[2]CHIEN Hungyu.SASI：a new ultralightweight RFID authentication protocol providing strong authentication and strong integrity[J]. IEEE Transactions on Dependable and Secure Computing， 2007， 4（4）： 337-340.

[3]LIAO Yipin， HSIAO Chihming. A secure ECCbased RFID authentication scheme integrated with IDverifier transfer protocol [J]. Ad Hoc Networks， 2013， http：//dx.doi.org/10.1016/j.adhoc.2013.02.004.

[4]MASOUD H D，YOUSOF F. Improvement of the Hashbased RFID mutual authentication protocol[J]. Wireless Personal Communicatios， 2013， http：//dx.doi.org/10.1007/s11277-013-1358-7.

[5]YEH Tzuchang， WU Chienhung， TSENG Yunmin. Improvement of the RFID authentication scheme based on quadratic residues[J]. Computer Communications， 2011， 34（3）： 337-341.

[6]TIAN Yun， CHEN Gongliang， LI Jianhua. A new ultralightweight RFID authentication protocol with permutation[J]. IEEE Communications Letters， 2012， 16（5）： 702-705.

[7]GILDAS A， XAVIER C， BENJAMIN M. Privacyfriendly synchronized ultralightweight authentication protocols in the storm[J]. Journal of Network and Computer Applications， 2012， 35（2）： 826-843.

[8]LIM J， KIM S， OH H. A designated query protocol for serverless mobile RFID systems with reader and tag privacy[J]. Tsinghua Science and Technology， 2012， 17（5）： 521-536.

[9]LEE Chinfeng， CHIEN Hungyu， LAIH Chisung. Serverless RFID authentication and searching protocol with enhanced security [J]. International Journal of Communication Systems， 2012， 25： 376-385.

[10]TAN C C，BO S， LI Qun.Secure and serverless RFID authentication and search protocols [J]. IEEE Transactions on Wireless Communications， 2008，7（3）：1400-1407.

[11]MASOUMEH S， PEDRO P， NASOUR B， et al. On the security of Tan et al. serverless RFID authentication and search protocols[C]//RFIDSec'12， 2012： 1-19.

[12]AHAMED S I，RAHMAN F，HOQUE E，et al.S3PR： secure serverless search protocols for RFID[C]//International Conference on Information Security and Assurance （ISA 2008）， Busan， Korea， 2008： 187-192.

[13]曹崢，鄧淼磊.通用可組合的RFID搜索協(xié)議[J]. 華中科技大學(xué)學(xué)報：自然科學(xué)版， 2011， 4（39）： 56-59.

CAO Zheng，DENG Miaolei. Universally composable search protocol for RFID[J].Journal of Huazhong University of Science and Technology：Nature Science， 2011， 4（39）： 56-59. （In Chinese）

[14]RAN C. Universally composable security： a new paradigm for cryptographic protocols[EB/OL]. （20130716）.http：//eprint.iacr.org/2000/067/20130717：020004.

[15]SU Chunhua， LI Yingjiu， ZHAO Yunlei， et al.A survey on privacy frameworks for RFID authentication[J].IEICE Transactions on Information and Systems， 2012， E95D（1）： 2-11.