李 松，孫子文,2

(1.江南大學(xué)物聯(lián)網(wǎng)工程學(xué)院,江蘇 無(wú)錫 214122;2.物聯(lián)網(wǎng)技術(shù)應(yīng)用教育部工程研究中心,江蘇 無(wú)錫 214122)

1 引言

近年來(lái)，隨著射頻識(shí)別 RFID(Radio Frequency IDentification)技術(shù)在各個(gè)行業(yè)中應(yīng)用領(lǐng)域的不斷拓展，RFID系統(tǒng)中存在的隱私和安全問(wèn)題[1]也得到越來(lái)越多的重視。為此，傳統(tǒng)的基于加密機(jī)制的安全認(rèn)證協(xié)議和新型的安全認(rèn)證協(xié)議開(kāi)始被研究用于解決RFID系統(tǒng)的安全問(wèn)題。采用傳統(tǒng)加密機(jī)制的RFID認(rèn)證協(xié)議將密鑰存儲(chǔ)在非易失性存儲(chǔ)器中，攻擊者可以通過(guò)物理入侵方式獲取內(nèi)部存儲(chǔ)的密鑰，從而對(duì)芯片進(jìn)行反向設(shè)計(jì)，達(dá)到克隆標(biāo)簽的目的[2]。而采用物理不可克隆函數(shù)PUF(Physical Unclonable Function)[3]作為密鑰生成機(jī)制，只在標(biāo)簽認(rèn)證時(shí)才由PUF電路產(chǎn)生相應(yīng)的會(huì)話密鑰，可有效抵御物理入侵攻擊[4]。

傳統(tǒng)的加密算法對(duì)加密硬件要求較高，用于RFID系統(tǒng)安全認(rèn)證存在標(biāo)簽固有的資源受限難以克服的壁壘。如標(biāo)準(zhǔn)的加密算法MD5、SHA-256一般需要7 350～10 868個(gè)門電路，簡(jiǎn)化后的哈希運(yùn)算，加密運(yùn)算過(guò)程也需要1 700個(gè)門電路[5]。源于電子標(biāo)簽受制于內(nèi)部存儲(chǔ)和運(yùn)算電路的硬件不足，無(wú)法應(yīng)用現(xiàn)有的成熟加密算法實(shí)現(xiàn)標(biāo)簽與讀寫器之間數(shù)據(jù)的安全傳輸[6]。

物理不可克隆函數(shù)的實(shí)現(xiàn)所需硬件電路少，被拓展到信息安全領(lǐng)域研究實(shí)現(xiàn)輕量級(jí)的密碼機(jī)制，極大地減少了對(duì)加密硬件的要求。實(shí)現(xiàn)64位PUF輸出僅需545個(gè)門電路[7]，運(yùn)用PUF函數(shù)作為標(biāo)簽密鑰的生成機(jī)制[8]，簡(jiǎn)化了標(biāo)簽的運(yùn)算壓力；但是，服務(wù)器對(duì)標(biāo)簽的搜索需要遍歷整個(gè)數(shù)據(jù)庫(kù)，無(wú)法滿足大規(guī)模RFID系統(tǒng)對(duì)標(biāo)簽快速識(shí)別的要求；通過(guò)服務(wù)器與標(biāo)簽共享密鑰可快速提取標(biāo)簽標(biāo)識(shí)[9]，可極大地減輕服務(wù)器的搜索開(kāi)銷。但是，文獻(xiàn)[8,9]的認(rèn)證協(xié)議有兩個(gè)前提假設(shè)：一是假設(shè)讀寫器是固定的；二是假設(shè)服務(wù)器與讀寫器之間的通信信道是安全信道。隨著移動(dòng)通信技術(shù)的發(fā)展，移動(dòng)讀寫器的應(yīng)用場(chǎng)景增多，讀寫器遭受攻擊的威脅增加，因此引入了服務(wù)器對(duì)讀寫器身份的安全認(rèn)證[10]，可有效抵御攻擊者通過(guò)讀寫器的入侵攻擊。但是，文獻(xiàn)[10]仍需服務(wù)器遍歷整個(gè)數(shù)據(jù)庫(kù)才能完成對(duì)標(biāo)簽的識(shí)別，也存在難以適用于大規(guī)模RFID系統(tǒng)的問(wèn)題。

針對(duì)上述文獻(xiàn)中存在的標(biāo)簽運(yùn)算能力不足和服務(wù)器對(duì)標(biāo)簽的搜索開(kāi)銷過(guò)大等問(wèn)題，本文采用了一種基于PUF的適用于大規(guī)模移動(dòng)RFID系統(tǒng)的移動(dòng)認(rèn)證協(xié)議PMLS(PUF based authentication protocol for Mobile and Large-Scale RFID system)。PMLS協(xié)議運(yùn)用PUF函數(shù)生成密鑰，以減輕加密過(guò)程中標(biāo)簽的運(yùn)算量，解決輕量級(jí)加密機(jī)制問(wèn)題；引入服務(wù)器對(duì)讀寫器的身份認(rèn)證，以排除讀寫器遭受攻擊的可能，解決移動(dòng)環(huán)境下服務(wù)器與讀寫器之間的安全通信問(wèn)題；服務(wù)器采用共享密鑰異或的方式能夠快速計(jì)算出標(biāo)簽和讀寫器的標(biāo)識(shí)，以實(shí)現(xiàn)能夠運(yùn)用于大規(guī)模RFID系統(tǒng)環(huán)境下的快速搜索。本文采用對(duì)RFID系統(tǒng)的隱私強(qiáng)度分類最細(xì)的Vaudenay模型[11]，同時(shí)，Vaudenay模型也是目前最全面的模型[12]，證明PMLS協(xié)議的安全和隱私性；同時(shí)，采用仿真實(shí)驗(yàn)，證明研究協(xié)議搜索讀寫器及標(biāo)簽具有耗時(shí)短的優(yōu)點(diǎn)。

2 物理不可克隆函數(shù)

物理不可克隆函數(shù)是由兩條數(shù)據(jù)選擇器構(gòu)成的延時(shí)電路和對(duì)延時(shí)信息進(jìn)行判斷的仲裁器組成。由于芯片在制造過(guò)程中不可避免的工藝偏差，造成兩條延時(shí)電路的路徑長(zhǎng)度存在不同。輸入信號(hào)經(jīng)過(guò)兩條結(jié)構(gòu)完全對(duì)稱的電路，到達(dá)仲裁器時(shí)有時(shí)間偏差，仲裁器根據(jù)競(jìng)爭(zhēng)結(jié)果輸出一個(gè)唯一且隨機(jī)的64位響應(yīng)。芯片在制造過(guò)程中產(chǎn)生的個(gè)體差異具有難以仿造和難以重復(fù)的特性，所以每一片芯片的PUF電路產(chǎn)生的響應(yīng)序列同樣具有唯一性和不可復(fù)制性，即使是同一家廠商的同一條生產(chǎn)線也無(wú)法復(fù)制出完全相同的響應(yīng)序列[2]。

PUF電路易遭受溫度、供電電壓、電磁干擾等環(huán)境變量的影響，因此一個(gè)PUF函數(shù)在相同的輸入下產(chǎn)生的響應(yīng)會(huì)有微小的不同，需要通過(guò)模糊提取映射為相同響應(yīng)。一個(gè)理想的PUF應(yīng)具備以下屬性[13]：

(1)魯棒性：在同樣的輸入c下，PUF產(chǎn)生的多次響應(yīng)r的差異應(yīng)足夠小。

(2)不可克隆性：在同樣的輸入c下，兩個(gè)不同的PUF電路所產(chǎn)生的響應(yīng)r應(yīng)足夠大。

(3)不可預(yù)測(cè)性：在已知某個(gè)PUF電路大量輸入-響應(yīng)序列的情況下，無(wú)法在容錯(cuò)范圍內(nèi)預(yù)測(cè)響應(yīng)r。

(4)防篡改性：將改變的物理實(shí)體嵌入到物理不可克隆函數(shù)，使得PUF→PUF′時(shí)，有非常高的概率?x∈X:PUF(x)≠PUF′(x)，防篡改性定義了篡改發(fā)生之后RFID系統(tǒng)檢測(cè)篡改的能力。

PMLS協(xié)議利用PUF的以上屬性生成密鑰。將標(biāo)簽和讀寫器的參數(shù)作為PUF電路的輸入，PUF電路產(chǎn)生的響應(yīng)作為標(biāo)簽和讀寫器唯一的會(huì)話密鑰。由于攻擊者無(wú)法通過(guò)數(shù)學(xué)運(yùn)算模擬PUF的響應(yīng)，從而保證了基于PUF的密鑰的安全性。

3 RFID安全隱私模型

Vaudenay[11]在Asiacrypt 2007上提出的安全隱私模型對(duì)安全和隱私做了嚴(yán)格的定義。Vaudenay模型基于非對(duì)稱加密機(jī)制的假設(shè)，為提高服務(wù)器對(duì)標(biāo)簽和讀寫器身份的認(rèn)證速度，PMLS協(xié)議在Vaudenay模型的基礎(chǔ)上，采用對(duì)稱加密機(jī)制實(shí)現(xiàn)服務(wù)器、合法標(biāo)簽和讀寫器共享對(duì)稱密鑰。

3.1 系統(tǒng)模型

一個(gè)RFID認(rèn)證方案通常由以下步驟組成，包括對(duì)系統(tǒng)、讀寫器和標(biāo)簽的設(shè)置，以及服務(wù)器識(shí)別標(biāo)簽和讀寫器過(guò)程：

(1)SetupServer(1s)→S：由安全參數(shù)s為服務(wù)器生成共享密鑰S。

(2)SetupTagS(TID)→(kT,I)：創(chuàng)建具有唯一標(biāo)識(shí)TID的標(biāo)簽，共享密鑰S用于生成標(biāo)簽的會(huì)話密鑰kT和標(biāo)簽內(nèi)部信息I。如果標(biāo)簽被認(rèn)定為合法，則將標(biāo)簽的(TID,I)存儲(chǔ)到服務(wù)器。

(3)SetupReaderS(RID)→(kR,I)：創(chuàng)建具有唯一標(biāo)識(shí)RID的讀寫器，共享密鑰S用于生成讀寫器的會(huì)話密鑰kR和內(nèi)部信息I。如果讀寫器被認(rèn)定為合法，則將讀寫器的(RID,I)存儲(chǔ)到服務(wù)器。

(4)Ident→out：服務(wù)器與標(biāo)簽、讀寫器之間的交互協(xié)議。最終，若標(biāo)簽被服務(wù)器認(rèn)定為非法，則out=⊥；反之，若標(biāo)簽被認(rèn)定為合法，則out=TID；若讀寫器被服務(wù)器認(rèn)定為非法，則out=⊥；若讀寫器被認(rèn)定為合法，則out=RID。

3.2 攻擊者模型

Vaudenay模型[11]中，最強(qiáng)大的Strong攻擊者能夠竊聽(tīng)讀寫器和標(biāo)簽之間的會(huì)話記錄，能夠阻斷信息的發(fā)送，能夠通過(guò)篡改讀寫器和標(biāo)簽之間的信息來(lái)獲得對(duì)方驗(yàn)證，并能監(jiān)控標(biāo)簽是否認(rèn)證成功。Vaudenay模型通過(guò)預(yù)言機(jī)來(lái)描述攻擊者與RFID系統(tǒng)交互的過(guò)程，PMLS協(xié)議對(duì)Corrupt預(yù)言機(jī)的能力做進(jìn)一步拓展，使攻擊者可以通過(guò)入侵讀寫器獲得其內(nèi)部信息。表1定義了九大預(yù)言機(jī)的各方面能力。

3.3 攻擊者等級(jí)

Vaudenay根據(jù)攻擊者可以訪問(wèn)預(yù)言機(jī)的權(quán)限，劃分出8類不同能力的攻擊者[11]。

(1)Weak：攻擊者無(wú)法訪問(wèn)Corrupt預(yù)言機(jī)。

(2)Forward：攻擊者對(duì)一個(gè)標(biāo)簽訪問(wèn)Corrupt預(yù)言機(jī)之后，只能再訪問(wèn)Corrupt預(yù)言機(jī)，不能訪問(wèn)其他預(yù)言機(jī)。

(3)Destructive：攻擊者訪問(wèn)Corrupt預(yù)言機(jī)之后，由于標(biāo)簽或讀寫器遭受入侵攻擊而損壞，攻擊者將無(wú)法訪問(wèn)任何預(yù)言機(jī)。

Table 1 Function introduction of each oracle表1 預(yù)言機(jī)及其功能介紹

(4)Strong：攻擊者可以沒(méi)有條件限制地訪問(wèn)任何預(yù)言機(jī)。

與這4類攻擊者正交的還有Narrow和Wide攻擊者概念。

(5)Narrow:攻擊者無(wú)法訪問(wèn)Result預(yù)言機(jī)。

(6)Wide:攻擊者可以訪問(wèn)Result預(yù)言機(jī)。

8類隱私概念的從屬關(guān)系由圖1所示，其中Strong?Destructive表示協(xié)議滿足Strong，則必定滿足Destructive。

Figure 1 Relationship of eight privacy notations圖1 8種隱私概念之間的關(guān)系圖

3.4 安全性

Vaudenay模型主要關(guān)注于攻擊者假冒標(biāo)簽的攻擊[11]。在此基礎(chǔ)上，PMLS協(xié)議引入攻擊者入侵讀寫器和假冒讀寫器的攻擊。因此，協(xié)議安全的主要目標(biāo)是阻止攻擊者對(duì)標(biāo)簽和讀寫器的假冒攻擊，完成服務(wù)器對(duì)標(biāo)簽和讀寫器的合法性認(rèn)證。

3.5 隱私性

RFID認(rèn)證協(xié)議的隱私性是指系統(tǒng)能夠抵御攻擊者對(duì)標(biāo)簽的識(shí)別，跟蹤和不同標(biāo)簽之間的關(guān)聯(lián)。隱私問(wèn)題涉及兩點(diǎn)：(1)匿名性：攻擊者無(wú)法通過(guò)讀寫器與標(biāo)簽之間的會(huì)話記錄，推斷出標(biāo)簽的真實(shí)標(biāo)識(shí)。(2)不可追蹤性：攻擊者無(wú)法根據(jù)標(biāo)簽的響應(yīng)信息，分辨出兩個(gè)不同的標(biāo)簽。

Vaudenay模型主要關(guān)注無(wú)線信道上標(biāo)簽信息的泄露，并通過(guò)不可分辨性的隱私游戲來(lái)定義隱私的概念。若攻擊者能竊聽(tīng)并有效利用無(wú)線信道上讀寫器與標(biāo)簽之間的會(huì)話記錄，從真實(shí)的RFID系統(tǒng)中分辨出由Blinder模擬的隨機(jī)數(shù)，則攻擊者對(duì)RFID系統(tǒng)的隱私造成威脅。其中，Blinder的定義如下：

定義1Blinder[11]：Blinder(用B表示)能夠監(jiān)聽(tīng)攻擊者A訪問(wèn)CreateTag,DrawTag,Free,Execute和Corrupt預(yù)言機(jī)時(shí)的輸入和輸出。B可以在不知道標(biāo)簽和讀寫器任何信息的情況下為攻擊者A模擬Launch,SendReader,SendTag和Result預(yù)言機(jī)。

隱私游戲中，首先由挑戰(zhàn)者選擇隨機(jī)位b∈{0,1}，如果b=1，則攻擊者訪問(wèn)的是真實(shí)的預(yù)言機(jī)；如果b=0，則攻擊者訪問(wèn)預(yù)言機(jī)得到的是由Blinder模擬的隨機(jī)數(shù)。攻擊者可以對(duì)RFID系統(tǒng)進(jìn)行任意次預(yù)言機(jī)訪問(wèn)并可通過(guò)訪問(wèn)Corrupt預(yù)言機(jī)獲得標(biāo)簽內(nèi)部信息，攻擊者最終輸出猜測(cè)值b′。攻擊者等級(jí)為p(p∈{?,Narrow}∪{Weak,Forward,Destructive,Strong})，則Ap表示所屬隱私等級(jí)的攻擊者。不可分辨性隱私游戲如下所示：

(1)初始化系統(tǒng)，設(shè)置一個(gè)標(biāo)簽和一個(gè)讀寫器。

(2)挑戰(zhàn)者選擇隨機(jī)位b∈{0,1},若b=1,則系統(tǒng)由真實(shí)預(yù)言機(jī)模擬，若b=0,由Blinder返回任意隨機(jī)數(shù)。

(3)攻擊階段：Ap根據(jù)隱私等級(jí)p,通過(guò)訪問(wèn)預(yù)言機(jī)與RFID系統(tǒng)進(jìn)行交互。

(4)分析階段：Ap在無(wú)法訪問(wèn)預(yù)言機(jī)的情況下分析系統(tǒng)，并輸出猜測(cè)值b′。

(5)若b=b′,則Ap攻擊成功，贏得隱私游戲，否則攻擊失敗。

4 PMLS認(rèn)證協(xié)議描述

協(xié)議由初始化和雙向認(rèn)證兩個(gè)階段組成。協(xié)議的符號(hào)注釋如表2所示。

Table 2 Description of each notation in this protocol表2 協(xié)議使用的符號(hào)及其注釋

注：協(xié)議中，哈希函數(shù)H(·)有3個(gè)輸入值。

4.1 初始化階段

首先由服務(wù)器生成共享密鑰S,并將S發(fā)送給RFID系統(tǒng)中所有合法的讀寫器和標(biāo)簽。標(biāo)簽接收到共享密鑰S后生成自身參數(shù)ai、bi,并由PUF電路分別計(jì)算Pi(ai)和Pi(bi)，通過(guò)異或運(yùn)算計(jì)算出標(biāo)簽的另一個(gè)參數(shù)ci=S⊕Pi(ai)⊕Pi(bi)。最終將合法標(biāo)簽的信息[TIDi,ai,bi,DATAi]存儲(chǔ)到后臺(tái)服務(wù)器。讀寫器的初始化操作與標(biāo)簽初始化相同，讀寫器得到共享密鑰S后生成參數(shù)dj、ej后，由PUF電路計(jì)算Pj(dj)、Pj(ej)，進(jìn)而求得fj=S⊕Pj(dj)⊕Pj(ej)，最終將合法讀寫器的信息[RIDj,dj,ej,DATAj]存入服務(wù)器。

4.2 雙向認(rèn)證階段

雙向認(rèn)證協(xié)議由讀寫器發(fā)起，協(xié)議流程如圖2所示，具體認(rèn)證步驟如下：

(1)首先由讀寫器生成隨機(jī)數(shù)r1∈{0,1}l，并將r1以廣播的方式發(fā)送給通信范圍內(nèi)的所有標(biāo)簽。

(2)標(biāo)簽接收到讀寫器廣播信息r1后，生成隨機(jī)數(shù)r2∈{0,1}l，并計(jì)算M1=H(r2,r1,1)⊕TIDi,h=H(r2,1,2)。然后標(biāo)簽的PUF電路計(jì)算Pi(ai)，并將Pi(ai)異或隨機(jī)數(shù)r2得到標(biāo)簽的會(huì)話密鑰kT=Pi(ai)⊕r2，隨即將Pi(ai)和r2從標(biāo)簽內(nèi)存中刪除。運(yùn)行標(biāo)簽PUF電路計(jì)算Pi(bi)，使用Pi(bi)、ci更新標(biāo)簽會(huì)話密鑰kT=kT⊕Pi(bi)⊕ci，隨即刪除內(nèi)存中的Pi(bi)。最后，標(biāo)簽將(M1,kT)通過(guò)射頻天線發(fā)送給讀寫器。

Figure 2 Process of the proposed authentication protocol圖2 協(xié)議認(rèn)證流程

(3)讀寫器接收到來(lái)自標(biāo)簽的響應(yīng)(M1,kT)后，生成隨機(jī)數(shù)r3∈{0,1}l，計(jì)算M2=H(r3,r1,1)⊕RIDj。讀寫器的PUF電路生成Pj(dj)后計(jì)算讀寫器的會(huì)話密鑰kR=Pj(dj)⊕r3，隨即將內(nèi)存中的Pj(dj)和r3刪除；運(yùn)行讀寫器PUF電路生成Pj(ej)并更新會(huì)話密鑰kR=kR⊕Pj(ej)⊕fj，隨即刪除內(nèi)存中的Pj(ej)；最終將(M1，kT,M2,kR,r1)發(fā)送給后臺(tái)服務(wù)器。

(5)讀寫器接收到來(lái)自服務(wù)器的響應(yīng)信息(M3,r4)后，將(M3,r4)轉(zhuǎn)發(fā)給標(biāo)簽，標(biāo)簽計(jì)算H(h,r4,bi)并驗(yàn)證M3=H(h,r4,bi)，若通過(guò)則驗(yàn)證服務(wù)器身份合法，完成標(biāo)簽與服務(wù)器身份的雙向認(rèn)證。

上面的M1、M2、h中用到了哈希函數(shù)H(·)，是為了保持哈希函數(shù)輸入?yún)?shù)個(gè)數(shù)為3，當(dāng)變量參數(shù)少于3個(gè)時(shí)，用常量1、2補(bǔ)充3個(gè)參數(shù)，參數(shù)1、2不會(huì)對(duì)協(xié)議的安全性造成影響。

5 協(xié)議性能分析

5.1 安全性分析

PMLS協(xié)議沿用Mete Akgun提出[9]的引理1和引理2。本文首先對(duì)引理的正確性加以證明，然后用引理來(lái)證明PMLS協(xié)議的安全性。

(1)Mete Akgun引理1和引理2。

引理1[9]隱私等級(jí)為Destructive的攻擊者A,在沒(méi)有訪問(wèn)Corrupt預(yù)言機(jī)權(quán)限的情況下，攻擊者獲得共享密鑰S的概率近似為零。

證明假設(shè)攻擊者A能夠利用會(huì)話記錄獲得共享密鑰S。

由標(biāo)簽會(huì)話密鑰的生成機(jī)制可知：

ci=S⊕Pi(ai)⊕Pi(bi)

(1)

kT=Pi(ai)⊕Pi(bi)⊕ci⊕r2=S⊕r2

(2)

因此，攻擊者獲得共享密鑰的方式為：

S=kT⊕r2

(3)

攻擊者已知kT且r2并不通過(guò)明文傳送，攻擊者進(jìn)而需要通過(guò)破解M1、M3得到隨機(jī)數(shù)r2：

M1=H(r2,r1,1)⊕TIDi

(4)

M3=H(H(r2,1,2),r4,bi)

(5)

假設(shè)哈希函數(shù)H(·)是安全的，攻擊者通過(guò)窮舉攻擊破解64位輸出的哈希函數(shù)需要進(jìn)行264次計(jì)算。每秒能進(jìn)行100萬(wàn)次哈希運(yùn)算的計(jì)算機(jī)需要60萬(wàn)年的時(shí)間才可以破解[14]。由此可證，攻擊者無(wú)法通過(guò)計(jì)算M1、M3獲得r2，因此攻擊者通過(guò)會(huì)話記錄獲得共享密鑰S的概率近似為零。

□

引理2[9]隱私等級(jí)為Destructive的攻擊者A,通過(guò)訪問(wèn)Corrupt預(yù)言機(jī)入侵標(biāo)簽或者讀寫器，獲得共享密鑰S的概率近似為零。

證明假設(shè)攻擊者A可以通過(guò)入侵標(biāo)簽獲得共享密鑰S。

由于A入侵標(biāo)簽將破壞標(biāo)簽的PUF電路，因此A只能訪問(wèn)一次Corrupt預(yù)言機(jī)。由公式(1)可知：

S=Pi(ai)⊕Pi(bi)⊕ci

(6)

則攻擊者獲得S的概率：

Pr(S)=Pr[Pi(ai)]∩Pr[Pi(bi)]∩Pr(ci)

(7)

若A在標(biāo)簽響應(yīng)讀寫器的詢問(wèn)命令之前入侵標(biāo)簽，A獲得標(biāo)簽內(nèi)部信息ai、bi、ci和TIDi。A進(jìn)而需要運(yùn)算模擬受害標(biāo)簽的PUF電路，由于PUF電路的不可克隆性，對(duì)于輸出為64位二進(jìn)制數(shù)的PUF電路，攻擊者成功模擬一次PUF電路輸出的概率為1/264。則攻擊者成功模擬Pi(ai)、Pi(bi)，計(jì)算獲得S的概率為：

Pr(S)=1/264×1/264×1=1/2128≈0

若A在標(biāo)簽首次刪除Pi(ai)、r2操作之前入侵標(biāo)簽，A獲得標(biāo)簽信息Pi(ai)、ci、r2和h。攻擊者成功模擬Pi(bi)，計(jì)算獲得S的概率為：

Pr(S)=1×1/264×1=1/264≈0

若A在標(biāo)簽刪除Pi(bi)操作之前入侵標(biāo)簽，A獲得信息Pi(bi)、ci、h和kT=Pi(ai)⊕r2。由Pi(ai)=kT⊕r2可知，攻擊者進(jìn)而需要破解哈希函數(shù)h得到隨機(jī)數(shù)r2：

h=H(r2,1,2)

(8)

由引理1可知，破解哈希函數(shù)難度巨大。則攻擊者通過(guò)運(yùn)算模擬Pi(ai),計(jì)算獲得S的概率為：

Pr(S)=1/264×1×1=1/264≈0

綜上所述，攻擊者通過(guò)訪問(wèn)Corrupt預(yù)言機(jī)獲得共享密鑰S的概率近似為零。

□

(2)PMLS協(xié)議的安全性證明。

命題1PMLS協(xié)議中，若攻擊者的等級(jí)為Destructive，即攻擊者只能訪問(wèn)一次Corrupt預(yù)言機(jī)，那么攻擊者假冒標(biāo)簽被服務(wù)器識(shí)別為合法標(biāo)簽的概率近似為零。

證明假設(shè)攻擊者A能夠成功假冒標(biāo)簽，通過(guò)服務(wù)器的安全認(rèn)證，即A假冒標(biāo)簽響應(yīng)(M1,kT)被服務(wù)器認(rèn)定為合法標(biāo)簽，并最終接收來(lái)自服務(wù)器響應(yīng)(M3,r4)。其中:

M1=H(r2,r1,1)⊕TIDi

(9)

kT=Pi(ai)⊕Pi(bi)⊕ci⊕r2

(10)

按照以下兩種情景來(lái)分析攻擊者成功的可能性。

情景1攻擊者A入侵標(biāo)簽，獲得標(biāo)簽信息ai、bi、ci和TIDi。

A為了計(jì)算(M1,kT)，需要運(yùn)算模擬Pi(ai)和Pi(bi)且需要得到r2。由引理2可知，A成功模擬Pi(ai)和Pi(bi)的概率為：

Pr[Pi(ai)]∩Pr[Pi(bi)]=1/2128

由公式(4)可知，A破解哈希函數(shù)M1得到隨機(jī)數(shù)r2的運(yùn)算量巨大，無(wú)法實(shí)現(xiàn)。

因此，A產(chǎn)生響應(yīng)(M1,kT)被服務(wù)器識(shí)別為合法標(biāo)簽的概率近似為零。

情景2攻擊者不入侵標(biāo)簽，通過(guò)竊聽(tīng)無(wú)線信道的會(huì)話記錄假冒標(biāo)簽。

首先A訪問(wèn)Execute預(yù)言機(jī)，得到n1條讀寫器和標(biāo)簽之間協(xié)議的會(huì)話記錄；A進(jìn)而訪問(wèn)SendTag預(yù)言機(jī)，得到n2條標(biāo)簽的響應(yīng)。最終，攻擊者A得到N=n1+n2條標(biāo)簽的真實(shí)數(shù)據(jù)。

攻擊者利用N條標(biāo)簽數(shù)據(jù)來(lái)冒充合法標(biāo)簽與服務(wù)器交互，攻擊者獲得服務(wù)器成功認(rèn)證的概率為：N/2l。其中，l為讀寫器隨機(jī)數(shù)的輸出長(zhǎng)度，隨機(jī)數(shù)長(zhǎng)度一般取64位。

綜上可證，攻擊者A假冒標(biāo)簽被服務(wù)器判定為合法標(biāo)簽的概率近似為零。

□

命題2PMLS協(xié)議中,Destructive等級(jí)的攻擊者假冒讀寫器而被服務(wù)器識(shí)別為合法讀寫器的概率近似為零。

證明假設(shè)攻擊者A成功假冒讀寫器，即A假冒讀寫器響應(yīng)(M2,kR,r1)通過(guò)了服務(wù)器認(rèn)證并最終獲得服務(wù)器的響應(yīng)(M3,r4)。其中：

M2=H(r3,r1,1)⊕RIDj

(11)

kR=P(dj)⊕P(ej)⊕fj⊕r3

(12)

讀寫器的響應(yīng)(M2,kR,r1)不在無(wú)線射頻信道上傳輸，攻擊者無(wú)法竊聽(tīng)讀寫器的響應(yīng)，只能通過(guò)入侵讀寫器來(lái)假冒讀寫器。A入侵讀寫器可以獲得讀寫器信息dj、ej、fj和RIDj。A為了計(jì)算kR需要運(yùn)算模擬Pj(dj)和Pj(ej)且需要得到r3。由引理2可知，A成功模擬Pj(dj)和Pj(ej)的概率為：

Pr[Pj(dj)]∩Pr[Pj(ej)]=1/2128

由引理1可知，A破解哈希函數(shù)M2得到隨機(jī)數(shù)r3的運(yùn)算量巨大，無(wú)法實(shí)現(xiàn)。

因此，A產(chǎn)生的響應(yīng)(M2,kR,r1)被服務(wù)器識(shí)別為合法讀寫器的概率近似為零。

□

5.2 隱私性分析

命題3若攻擊者假冒標(biāo)簽或讀寫器被服務(wù)器認(rèn)證為合法身份的概率近似為零，則PMLS協(xié)議可以實(shí)現(xiàn)Destructive等級(jí)的隱私保護(hù)。

證明假設(shè)存在攻擊者A能夠從真實(shí)的RFID系統(tǒng)中分辨出由Blinder(用B表示)模擬的系統(tǒng)。首先定義B模擬RFID系統(tǒng)的方式。當(dāng)攻擊者訪問(wèn)由B模擬的Launch、SendTag、SendReader預(yù)言機(jī)時(shí)，由于B并不知道標(biāo)簽和讀寫器的任何信息，B皆返回隨機(jī)數(shù)。無(wú)線信道中B模擬的會(huì)話記錄如圖3所示。

Figure 3 Message simulated by Blinder圖3 Blinder模擬的會(huì)話記錄

假設(shè)RFID系統(tǒng)中只有一個(gè)標(biāo)簽和一個(gè)讀寫器。隱私游戲中，根據(jù)挑戰(zhàn)者選取的b值，RFID系統(tǒng)選擇由真實(shí)的預(yù)言機(jī)或由Blinder模擬的預(yù)言機(jī)運(yùn)行n次協(xié)議實(shí)例。在第n+1次協(xié)議實(shí)例中，攻擊者通過(guò)訪問(wèn)Corrupt預(yù)言機(jī)入侵標(biāo)簽內(nèi)部。最終，攻擊者獲得前n次交互記錄(r1,M1,kT,M3,r4)n和第n+1次標(biāo)簽內(nèi)部信息(TIDi,ai,bi,ci)。通過(guò)以下兩種情景來(lái)分析攻擊者贏得隱私游戲的概率。

情景1攻擊者由公式(4)異或標(biāo)簽標(biāo)識(shí)TIDi得到：

H(r2,r1,1)=M1⊕TIDi

(13)

□

5.3 協(xié)議性能比較

PMLS協(xié)議與現(xiàn)有協(xié)議[8,9,10]在標(biāo)簽端和服務(wù)器端的計(jì)算開(kāi)銷以及服務(wù)器搜索開(kāi)銷對(duì)比如表3所示。PMLS協(xié)議完成一次標(biāo)簽識(shí)別，標(biāo)簽需要生成1個(gè)隨機(jī)數(shù)、3次哈希運(yùn)算、2次PUF運(yùn)算和4次超輕量級(jí)的異或運(yùn)算，與參照協(xié)議相比標(biāo)簽的運(yùn)算量最低，更加適用于低成本電子標(biāo)簽的硬件需求；服務(wù)器計(jì)算開(kāi)銷略高于文獻(xiàn)[10]的開(kāi)銷；服務(wù)器搜索開(kāi)銷PLMS與文獻(xiàn)[9]同為常數(shù)規(guī)模開(kāi)銷。

Table 3 Comparison of computation and search costs among the protocols表3 協(xié)議開(kāi)銷對(duì)比

注：N表示隨機(jī)數(shù)生成，C表示排列運(yùn)算，XOR表示異或運(yùn)算。

協(xié)議的各項(xiàng)性能指標(biāo)中，服務(wù)器的搜索開(kāi)銷直接決定了協(xié)議是否適用于大規(guī)模RFID系統(tǒng)。對(duì)服務(wù)器搜索特定標(biāo)簽消耗的時(shí)間進(jìn)行仿真實(shí)驗(yàn)。實(shí)驗(yàn)通過(guò)PC機(jī)(CPU:Intel-2520M 2.5 GHz×2,RAM:8 GB)來(lái)模擬后臺(tái)服務(wù)器，仿真環(huán)境使用Matlab。在數(shù)據(jù)庫(kù)中設(shè)定6 000個(gè)標(biāo)簽，分別對(duì)第1×103個(gè),2×103個(gè),3×103個(gè),…,6×103個(gè)規(guī)模的標(biāo)簽進(jìn)行搜索耗時(shí)的仿真實(shí)驗(yàn)，來(lái)測(cè)試不同協(xié)議中服務(wù)器從接收到特定標(biāo)簽的認(rèn)證請(qǐng)求到識(shí)別成功的時(shí)間[15]。由于計(jì)算機(jī)的每次運(yùn)行存在細(xì)小差異，故采用測(cè)試20次求取均值的方法作為比較結(jié)果。協(xié)議搜索耗時(shí)對(duì)比如圖4所示。

Figure 4 Time consumed in indexing the target tag圖4 服務(wù)器搜索特定標(biāo)簽的耗時(shí)對(duì)比

文獻(xiàn)[8]完成服務(wù)器對(duì)特定標(biāo)簽的合法性認(rèn)證，標(biāo)簽與讀寫器之間需要經(jīng)歷4次握手，且服務(wù)器需通過(guò)哈希計(jì)算遍歷整個(gè)數(shù)據(jù)庫(kù)來(lái)搜索特定標(biāo)簽的標(biāo)識(shí)，服務(wù)器端運(yùn)算壓力巨大。文獻(xiàn)[10]僅需要3次握手，同時(shí)減少了服務(wù)器端哈希運(yùn)算量，比文獻(xiàn)[8]搜索耗時(shí)有了明顯改善。圖4中，隨著數(shù)據(jù)庫(kù)標(biāo)簽數(shù)目的增長(zhǎng)，文獻(xiàn)[8,10]中服務(wù)器的搜索開(kāi)銷呈線性增長(zhǎng)，對(duì)第6×103個(gè)標(biāo)簽的搜索分別耗時(shí)4.729 4 s和1.581 3 s，因此無(wú)法適用大規(guī)模RFID系統(tǒng)對(duì)特定標(biāo)簽快速檢索的要求。文獻(xiàn)[9]通過(guò)服務(wù)器與標(biāo)簽共享密鑰的方式能夠快速提取標(biāo)簽索引，無(wú)需遍歷整個(gè)數(shù)據(jù)庫(kù)，且數(shù)據(jù)庫(kù)中標(biāo)簽數(shù)量的增長(zhǎng)不會(huì)影響到搜索時(shí)間的延長(zhǎng)。PMLS協(xié)議比文獻(xiàn)[9]僅增加了2次異或運(yùn)算(異或運(yùn)算是超輕量級(jí)運(yùn)算，服務(wù)器增加的運(yùn)算量可忽略不計(jì))，卻實(shí)現(xiàn)了服務(wù)器對(duì)讀寫器的合法性認(rèn)證，可有效抵御攻擊者假冒讀寫器的攻擊，符合移動(dòng)認(rèn)證協(xié)議對(duì)讀寫器安全性的要求。

6 結(jié)束語(yǔ)

本文拓展了Vaudenay模型中攻擊者的能力，考慮攻擊者假冒讀寫器的安全問(wèn)題，使模型適用于移動(dòng)RFID認(rèn)證協(xié)議?；赩audenay模型，理論證明PMLS協(xié)議可有效抵御攻擊者假冒標(biāo)簽和讀寫器的攻擊，并且實(shí)現(xiàn)Destructive等級(jí)的隱私保護(hù)。PMLS協(xié)議通過(guò)PUF函數(shù)生成會(huì)話密鑰，減少了標(biāo)簽的運(yùn)算量，并通過(guò)服務(wù)器、讀寫器和標(biāo)簽三者共享密鑰，實(shí)現(xiàn)服務(wù)器對(duì)身份標(biāo)識(shí)的快速搜索。與文獻(xiàn)[8-10]相比，PMLS協(xié)議可有效地抵御攻擊者假冒讀寫器的攻擊，標(biāo)簽的計(jì)算開(kāi)銷最低，仿真結(jié)果驗(yàn)證了PMLS協(xié)議中服務(wù)器的搜索耗時(shí)并不隨標(biāo)簽數(shù)目增長(zhǎng)而加長(zhǎng)，符合大規(guī)模RFID系統(tǒng)的應(yīng)用要求。由于PUF函數(shù)的輸出易遭受環(huán)境噪聲的影響，通過(guò)模糊提取提高PUF輸出的穩(wěn)定性是今后進(jìn)一步的研究工作。

[1] Xiao Hong-guang, Li Wei,Wu Xiao-rong.A lightweight and efficient RFID authentication protocol based on synchronization code[J].Computer Engineering & Science,2016,38(4):673-678.(in Chinese)

[2] He Zhang-qing, Zheng Zhao-xia,Dai Kui,et al.Low-cost RFID authentication protocol based on PUF[J].Journal of Computer Applcations,2012,32(3):683-685.(in Chinese)

[3] Pappu R, Recht B,Taylor J,et al.Physical one-way functions[J].Science,2002,297(5589):2026-2030.

[4] Tuyls P, Batina L.RFID-tags for anti-counterfeiting[C]∥Proc of Cryptographers Track at the Rsa Conference on Topics in Cryptology, 2006:115-131.

[5] Yüksel K. Universal hashing for ultra-low-power cryptographic hardware applications[D].Worcester:Worcester Polytechnic Institute,2004.

[6] Chen Xiu-qing.Research on RFID authentication protocols for low-cost tags[D].Xuzhou:China University of Mining and Technology,2015.(in Chinese)

[7] Xu Xu-guang,Ou Yu-yi,Ling Jie,et al.Lightweight RFID secure authentication protocol based on PUF[J].Computer Application and Software,2014,31(11):302-306.(in Chinese)

[8] Akgün M, ?alayan M U.Towards scalable identification in RFID systems[J].Wireless Personal Communications,2015,86(2):403-421.

[9] Akgün M, ?alayan M U.Providing destructive privacy and scalability in RFID systems using PUFs[J].Ad Hoc Networks,2015,32(C):32-42.

[11] Vaudenay S.On privacy models for RFID[C]∥Proc of ASIACRYPT 2007,2007:68-87.

[12] Zhang Wei.Research on key technique in identification and security for low-cost RFID systems[D].Wuhan:Huazhong University of Science and Technology,2014.(in Chinese)

[13] Armknecht F,Maes R,Sadeghi A,et al.A formalization of the security features of physical functions[C]∥Proc of the 2011 IEEE Symposium on Security and Privacy,2011:397-412.

[14] Schneier B. Applied cryptography：Protocols，algorithms，and source code in C [M]. 2nd Edition. Wu Shi-zhong, Zhu Shi-xiong, Zhang Wen-zheng,et al, translation. Beijing:China Machine Press,2014:113-120.(in Chinese)

[15] Pang L,Li H,He L,et al.Secure and efficient lightweight RFID authentication protocol based on fast tag indexing[J].International Journal of Communication Systems,2014,27(11):3244-3254.

附中文參考文獻(xiàn)

[1] 肖紅光,李為,巫小蓉.基于同步數(shù)的輕量級(jí)高效RFID身份認(rèn)證協(xié)議[J].計(jì)算機(jī)工程與科學(xué),2016,38(4):673-678.

[2] 賀章擎,鄭朝霞,戴葵,等.基于PUF的高效低成本RFID認(rèn)證協(xié)議[J].計(jì)算機(jī)應(yīng)用,2012,32(3):683-685.

[6] 陳秀清.面向低成本標(biāo)簽的RFID認(rèn)證協(xié)議的研究[D].徐州:中國(guó)礦業(yè)大學(xué),2015.

[7] 徐旭光,歐毓毅,凌捷,等.基于PUF的輕量級(jí)RFID安全認(rèn)證協(xié)議[J].計(jì)算機(jī)應(yīng)用與軟件,2014,31(11):302-306.

[12] 張維.低成本RFID系統(tǒng)的識(shí)別與安全關(guān)鍵技術(shù)研究[D].武漢:華中科技大學(xué),2014.

[14] Schneier B.應(yīng)用密碼學(xué):協(xié)議、算法與C源程序[M].第2版.吳世忠，祝世雄，張文政，等譯.北京:機(jī)械工業(yè)出版社,2014:113-120.