范美月，董慶寬，王 蕾，楊 燦

(西安電子科技大學(xué) 綜合業(yè)務(wù)網(wǎng)理論及關(guān)鍵技術(shù)國(guó)家重點(diǎn)實(shí)驗(yàn)室，陜西 西安 710071)

射頻識(shí)別(Radio Frequency IDentification，RFID)是物聯(lián)網(wǎng)中一種非接觸式的物品自動(dòng)識(shí)別技術(shù)，通常由電子標(biāo)簽、閱讀器和后端數(shù)據(jù)庫(kù)三部分構(gòu)成。后端數(shù)據(jù)庫(kù)存儲(chǔ)標(biāo)簽和閱讀器的信息[1]，閱讀器讀寫(xiě)標(biāo)簽數(shù)據(jù)[2]。RFID技術(shù)可一次識(shí)別多個(gè)標(biāo)簽，且成本低，耐久性好，因此在交通、物流、醫(yī)療等眾多領(lǐng)域有著廣泛的應(yīng)用。但其通信所采用的無(wú)線鏈路會(huì)帶來(lái)較為嚴(yán)重的安全和隱私問(wèn)題，限制了RFID在很多場(chǎng)景下的應(yīng)用[3]。因此，閱讀器和標(biāo)簽之間的安全認(rèn)證成為人們關(guān)注的熱點(diǎn)問(wèn)題。

目前，人們研究較多的是單所有者的情況，標(biāo)簽的惟一所有者使用一個(gè)閱讀器來(lái)讀寫(xiě)標(biāo)簽。該場(chǎng)景下出現(xiàn)了大量的RFID認(rèn)證方案。這些方案分別考慮了有無(wú)后臺(tái)數(shù)據(jù)庫(kù)問(wèn)題、后臺(tái)數(shù)據(jù)庫(kù)是否離線問(wèn)題、是否租用云服務(wù)器等問(wèn)題[4-7]，同時(shí)也考慮采用不同開(kāi)銷(xiāo)和成本的密碼技術(shù)來(lái)實(shí)現(xiàn)認(rèn)證的問(wèn)題。但在實(shí)際應(yīng)用中，標(biāo)簽在它的有效期內(nèi)可能同時(shí)擁有多個(gè)所有者，而且不同所有者擁有的所有權(quán)的權(quán)重也可能不同。在這種情況下，針對(duì)多所有者的RFID標(biāo)簽認(rèn)證協(xié)議的研究就有著重要價(jià)值，當(dāng)然多所有者標(biāo)簽認(rèn)證協(xié)議設(shè)計(jì)的復(fù)雜性也將成倍的增加。近年來(lái)，這方面的研究主要集中于多所有者標(biāo)簽的所有權(quán)轉(zhuǎn)移問(wèn)題。比如，甘勇等人針對(duì)多所有者RFID標(biāo)簽提出了多種所有權(quán)動(dòng)態(tài)轉(zhuǎn)移協(xié)議[8-11]，彭勃提出了云環(huán)境下帶權(quán)重多所有者標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議[12]，KAPOOR等人針對(duì)多個(gè)所有者多個(gè)標(biāo)簽的所有權(quán)轉(zhuǎn)移問(wèn)題給出了一種解決方案[13]，SUNDARESAN等人提出了一個(gè)多所有者多標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議的安全環(huán)境[14-15]，ZHU等人提出的一種針對(duì)多所有者的輕量級(jí)匿名群組RFID標(biāo)簽的所有權(quán)轉(zhuǎn)移協(xié)議[16]等。但這些方案不能支持多所有者和標(biāo)簽之間的獨(dú)立認(rèn)證，僅能支持所有權(quán)轉(zhuǎn)移，且通常需要可信第三方( Trusted Third Party，TTP)參與，同時(shí)密鑰更新和抗去同步攻擊等重要問(wèn)題都沒(méi)有解決。

針對(duì)以上問(wèn)題，在解決多所有者RFID認(rèn)證問(wèn)題的意義下，筆者提出了一種無(wú)可信第三方帶權(quán)重的多所有者RFID標(biāo)簽認(rèn)證協(xié)議。該協(xié)議實(shí)現(xiàn)了多個(gè)閱讀器對(duì)同一標(biāo)簽的相互認(rèn)證，無(wú)TTP參與，協(xié)議的設(shè)計(jì)十分簡(jiǎn)潔，便于應(yīng)用。而且所設(shè)計(jì)的協(xié)議很好地解決了密鑰更新和抗去同步攻擊等問(wèn)題。并利用BAN邏輯對(duì)提出的認(rèn)證協(xié)議進(jìn)行了安全性分析。

1 方案描述

文中設(shè)計(jì)的協(xié)議需要滿足機(jī)密性、認(rèn)證性、不可跟蹤性、前向安全性、抗重放攻擊、抗去同步攻擊和抗拒絕服務(wù)攻擊等安全特性。

1.1 系統(tǒng)框架

在文中方案中，RFID系統(tǒng)包含多個(gè)閱讀器，每個(gè)閱讀器對(duì)應(yīng)一個(gè)標(biāo)簽所有者，且每個(gè)閱讀器與標(biāo)簽，以及每個(gè)閱讀器與后端數(shù)據(jù)庫(kù)之間都是開(kāi)放信道，如圖1所示。

圖1 多所有者RFID認(rèn)證結(jié)構(gòu)圖

1.2 主要思想

SHAMIR于1979 年提出了基于Lagrange 插值多項(xiàng)式的秘密共享門(mén)限方案[17]，它可將關(guān)鍵數(shù)據(jù)作為密鑰拆分為份子密鑰，隨后將子密鑰分派給個(gè)參與者，至少有個(gè)參與者共同參與時(shí)才可恢復(fù)密鑰。文中用Shamir秘密共享門(mén)限方案來(lái)管理標(biāo)簽密鑰，每一個(gè)子密鑰對(duì)應(yīng)一份權(quán)重，權(quán)重為u的所有者則擁有u份子密鑰。假設(shè)全部所有者權(quán)重總和為w，對(duì)于(w，k)門(mén)限方案，只有參與恢復(fù)標(biāo)簽密鑰的所有者擁有的子密鑰權(quán)重之和等于或大于k才能恢復(fù)出所共享的密鑰，即

(1)

其中，p為大素?cái)?shù)。在初始化或密鑰更新時(shí)，根據(jù)式(2)生成w份子密鑰，按權(quán)重分發(fā)給所有者。具體來(lái)說(shuō)，標(biāo)簽在有限域GF(p)隨機(jī)選取ai∈GF(p)，構(gòu)造k-1次多項(xiàng)式，即

(2)

其中，K為標(biāo)簽密鑰，即多個(gè)所有者要共享的密鑰，然后采用

yj=f(xj)(modp)，j=1，2，…，w，

(3)

生成子密鑰，再根據(jù)每個(gè)所有者的權(quán)重分發(fā)新子密鑰，其中xj可直接取值為j。

1.3 符號(hào)定義

文中涉及的符號(hào)定義如表1所示。

表1 符號(hào)含義

1.4 協(xié)議初始化

(1)假設(shè)n個(gè)所有者同時(shí)在線。每個(gè)閱讀器與后端數(shù)據(jù)庫(kù)之間有共享密鑰，即每個(gè)閱讀器和后端數(shù)據(jù)庫(kù)之間有安全信道。

(2)標(biāo)簽存儲(chǔ)自身身份TID，標(biāo)簽密鑰Kcur，標(biāo)簽舊密鑰Kold(初始化時(shí)為K)，n個(gè)閱讀器的身份信息Ri(i=1，2，…，n)以及相應(yīng)的子密鑰權(quán)重wi。

(3)閱讀器分別存儲(chǔ)自身身份Ri，以及與后端數(shù)據(jù)庫(kù)的共享密鑰Ki。

(4)后端數(shù)據(jù)庫(kù)存儲(chǔ)標(biāo)簽密鑰Kcur，每個(gè)閱讀器與后端數(shù)據(jù)庫(kù)的共享密鑰Ki，還有n個(gè)閱讀器的身份信息Ri以及對(duì)應(yīng)的子密鑰sij(1≤j≤wi)。

1.5 協(xié)議認(rèn)證過(guò)程

假設(shè)當(dāng)前有t(1≤t≤n)個(gè)所有者發(fā)起認(rèn)證，記為Rl1，…，Rlt，認(rèn)證步驟如下：

步驟1 t個(gè)閱讀器向后端數(shù)據(jù)庫(kù)分別發(fā)送認(rèn)證請(qǐng)求以及自身身份信息，其中第li個(gè)閱讀器Rli發(fā)送消息requesti‖Rli(i=1，2，…，t)。

步驟2 后端數(shù)據(jù)庫(kù)確認(rèn)t個(gè)閱讀器的身份，利用偽隨機(jī)數(shù)生成器生成一個(gè)隨機(jī)數(shù)r0，將r0發(fā)送給t個(gè)閱讀器；t個(gè)閱讀器分別計(jì)算Xli=r0‖h(Rli‖r0)(i=1，2，…，t)，將Xli發(fā)送給標(biāo)簽。

閱讀器Rlx計(jì)算U=h(r0‖M‖Klx)，將r0‖M‖U發(fā)送給后端數(shù)據(jù)庫(kù)。

(3)若沒(méi)有匹配的記錄，則認(rèn)證終止。

若是前兩種情況，則后端數(shù)據(jù)庫(kù)將t個(gè)閱讀器的子密鑰通過(guò)安全信道發(fā)送給Rli(i=1，2，…，t)，將后端數(shù)據(jù)庫(kù)成功認(rèn)證標(biāo)簽的消息碼Ack發(fā)送給閱讀器Rly(1≤y≤t)；由于后端數(shù)據(jù)庫(kù)和閱讀器相互信任，Rly又收到消息碼Ack，因此n個(gè)閱讀器認(rèn)證標(biāo)簽；Rly利用偽隨機(jī)數(shù)生成器生成一個(gè)隨機(jī)數(shù)r2，計(jì)算W=h(r0‖r2)，t個(gè)閱讀器分別計(jì)算Ni=r2‖W⊕sij(i=1，2，…，t，1≤j≤wi)，將Ni發(fā)送給標(biāo)簽。

(3)若無(wú)匹配，則認(rèn)證終止。

閱讀器Rlz將Qi發(fā)送給后端數(shù)據(jù)庫(kù)。

步驟6 后端數(shù)據(jù)庫(kù)根據(jù)收到的r4以及步驟5中的結(jié)果(此處假設(shè)步驟5之(1)成立，即在上一次會(huì)話中標(biāo)簽和后端數(shù)據(jù)庫(kù)均成功更新密鑰)，計(jì)算P′=h(Kcur‖r4)。若P′=P，則說(shuō)明消息無(wú)篡改，根據(jù)收到的新子密鑰計(jì)算出Knew，并將Knew和新子密鑰進(jìn)行存儲(chǔ)。

圖2是無(wú)TTP帶權(quán)重的多所有者RFID標(biāo)簽認(rèn)證協(xié)議圖。

圖2 無(wú)TTP帶權(quán)重的多所有者RFID標(biāo)簽認(rèn)證協(xié)議圖

2 安全性及性能分析

2.1 協(xié)議的安全目標(biāo)分析與證明

(1) 去同步攻擊：即攻擊者通過(guò)干擾協(xié)議執(zhí)行過(guò)程來(lái)使得后端數(shù)據(jù)庫(kù)和有效標(biāo)簽密鑰更新不同步。在該協(xié)議中，標(biāo)簽先更新密鑰，之后后端數(shù)據(jù)庫(kù)更新密鑰。若攻擊者阻斷了標(biāo)簽發(fā)送后端數(shù)據(jù)庫(kù)的更新消息，即阻斷了1.5節(jié)步驟5發(fā)出的消息，則標(biāo)簽完成了更新，而后端數(shù)據(jù)庫(kù)未更新，破壞了密鑰更新的同步。

但是在文中協(xié)議中標(biāo)簽內(nèi)同時(shí)存儲(chǔ)更新前后的密鑰Kcur和Kold，因此下一次認(rèn)證仍可根據(jù)Kold建立同步。根據(jù)以上分析，假設(shè)攻擊者阻斷了步驟5，導(dǎo)致標(biāo)簽密鑰更新成功，而后端數(shù)據(jù)庫(kù)未更新，在下一次認(rèn)證中，標(biāo)簽同時(shí)使用新舊密鑰向后端數(shù)據(jù)庫(kù)發(fā)送查詢消息，即Mcur和Mold，這樣即使后端數(shù)據(jù)庫(kù)上次認(rèn)證未能成功更新密鑰，也能通過(guò)Mold查詢到Kold，從而使用Kold完成與標(biāo)簽的認(rèn)證。所以協(xié)議可以抵抗去同步攻擊。

(2) 前向安全性：在RFID認(rèn)證環(huán)境下，敵手即使截獲了當(dāng)前會(huì)話中的密鑰，也不能從中得出之前的會(huì)話內(nèi)容。在文中協(xié)議中，每次認(rèn)證后標(biāo)簽密鑰都要更新，更新時(shí)使用隨機(jī)數(shù)和hash函數(shù)，更新規(guī)則為Knew=h(r3‖Kcur)。由于r3是秘密的且哈希函數(shù)具有單向性，因而從新密鑰來(lái)計(jì)算原密鑰是不可行的。因此，敵手即使截獲了大量當(dāng)前的會(huì)話消息，也無(wú)法恢復(fù)出過(guò)去的會(huì)話內(nèi)容，即滿足前向安全性。

(3) 不可跟蹤性：即要求敵手不能根據(jù)標(biāo)簽返回的信息，將某個(gè)標(biāo)簽與其他標(biāo)簽區(qū)分開(kāi)來(lái)，對(duì)標(biāo)簽進(jìn)行位置跟蹤。在本協(xié)議中，每個(gè)閱讀器和后端數(shù)據(jù)庫(kù)之間的都有共享秘鑰，信道是安全的；每個(gè)閱讀器與標(biāo)簽的通信消息中均包含有一次性隨機(jī)數(shù)r0、r1、r2或r4，并且每一次認(rèn)證結(jié)束都會(huì)進(jìn)行密鑰更新，保證密鑰在每一次的通信中都不相同。敵手每次截獲的消息都是不同的且沒(méi)有關(guān)聯(lián)，因此無(wú)法區(qū)分任意兩次認(rèn)證的協(xié)議來(lái)自同一個(gè)標(biāo)簽。下面給出具體證明。

證明：考慮標(biāo)簽和閱讀器之間傳送的消息：

① Msg 1(r0)=r0‖h(Rli‖r0)，i=1，2，…，t。

② Msg 2(r1)=r1‖h(r0‖r1‖Kcur)‖h(r0‖r1‖Kold)。

③ Msg 3(r2)=r2‖h(r0‖r2)⊕sij，i=1，2，…，t，1≤j≤Wi。

④ Msg 4(r4)=r4‖h(Kcur‖r4)⊕s'ij，i=1，2，…，n，1≤j≤Wi。

上面4條消息都是根據(jù)一次性隨機(jī)數(shù)與哈希函數(shù)來(lái)生成的，這樣

本輪會(huì)話的消息可表示為：(Msg 1，Msg 2，Msg 3，Msg 4)。

下輪會(huì)話的消息可表示為：(Msg 1′，Msg 2′，Msg 3′，Msg 4′)。

r0，r1，r2，r4和r'0，r'1，r'2，r'4都是一次性隨機(jī)數(shù)，且r0≠r'0，r1≠r'1，r2≠r'2，r4≠r'4，根據(jù)哈希函數(shù)的性質(zhì)，包含不同隨機(jī)數(shù)的哈希值是不相等的，因此，兩次會(huì)話之間沒(méi)有任何關(guān)系，即使攻擊者截獲了每個(gè)會(huì)話的所有信息，也無(wú)法依次來(lái)區(qū)分兩個(gè)會(huì)話是否對(duì)應(yīng)同一個(gè)標(biāo)簽，滿足不可跟蹤性。

(4)機(jī)密性：即攻擊者通過(guò)截獲通信數(shù)據(jù)來(lái)獲取機(jī)密信息。在文中協(xié)議中，每個(gè)閱讀器和后端數(shù)據(jù)庫(kù)之間信道是安全的，且標(biāo)簽與每個(gè)閱讀器之間的信息交互都是基于單向哈希函數(shù)生成的密鑰流異或運(yùn)算后的結(jié)果，且協(xié)議滿足不可跟蹤性，可保證每次會(huì)話的消息毫無(wú)關(guān)聯(lián)。即使攻擊者收集大量通信數(shù)據(jù)也無(wú)法破解，因而攻擊者無(wú)法獲取機(jī)密信息，協(xié)議滿足機(jī)密性。

(5)重放攻擊：攻擊者截獲當(dāng)前的信息在以后的會(huì)話中重放，企圖能通過(guò)認(rèn)證。在文中協(xié)議中，每輪消息均使用一次性隨機(jī)數(shù)握手，因此可以抗重放。2.2節(jié)關(guān)于認(rèn)證的形式化證明也說(shuō)明了這個(gè)結(jié)果。

(6)拒絕服務(wù)攻擊：惡意的敵手連續(xù)不斷地發(fā)出認(rèn)證請(qǐng)求，使得后端服務(wù)器的計(jì)算資源或存儲(chǔ)資源大量消耗，進(jìn)而達(dá)到拒絕提供服務(wù)的目的。在文中協(xié)議中，協(xié)議的發(fā)起者是閱讀器，步驟1中閱讀器向后端數(shù)據(jù)庫(kù)發(fā)送認(rèn)證請(qǐng)求，后端數(shù)據(jù)庫(kù)只是返回一個(gè)隨機(jī)數(shù)r0，沒(méi)有占用后端數(shù)據(jù)庫(kù)的計(jì)算資源或存儲(chǔ)資源，因此不會(huì)造成服務(wù)攻擊。步驟4中后端數(shù)據(jù)庫(kù)可以根據(jù)收到的r0和剛發(fā)出去的r0進(jìn)行對(duì)比，如果一致，則說(shuō)明消息可信；否則，就是惡意攻擊。假如攻擊者獲取了r0，后端數(shù)據(jù)庫(kù)可以根據(jù)收到的消息M，計(jì)算h(r0‖M‖Klx)(第lx個(gè)閱讀器)，攻擊者不知道共享秘鑰Klx，不能通過(guò)驗(yàn)證，因此攻擊者不能使得后端數(shù)據(jù)庫(kù)發(fā)起查詢和搜索運(yùn)算，而后端數(shù)據(jù)庫(kù)僅需要簡(jiǎn)單的一次hash計(jì)算即可驗(yàn)證，因此也不會(huì)造成拒絕服務(wù)攻擊。

2.2 協(xié)議的形式化證明

采用BAN邏輯分析證明雙向認(rèn)證(同時(shí)也證明了抗重放攻擊)，BAN邏輯是由BURROWS、ABADI和NEEDHAM[18]在1990年提出的一種分析認(rèn)證協(xié)議的常規(guī)方法。

2.2.1 BAN邏輯的基本術(shù)語(yǔ)

文中用到的BAN邏輯術(shù)語(yǔ)表示如下：

P|≡X：P相信X，即主體相信命題X是正確的。

P|～X：P發(fā)送過(guò)一條包含X的消息。

P?X：P收到了包含X的消息。

{X}K：用K對(duì)X加密后的消息。

2.2.2BAN邏輯的邏輯推理規(guī)則

2.2.3 協(xié)議分析

(1) 協(xié)議描述：

①Rli→D：Rli，i=1，2，…，t。

②D→Ri：r0，

Rli→T：r0‖h(Rli‖r0)，i=1，2，…，t。

③T→Rlx：M=r1‖h(r0‖r1‖Kcur)‖h(r0‖r1‖Kold)，

Rlx→D：r0‖M‖h(r0‖M‖Klx)。

④D→Rli：s11，s12，…，s1w1，…，st1，st2，…，stwt，

Rli→T：r2‖h(r2‖r0)⊕sij，i=1，2，…，t，1≤j≤wi。

(2) 協(xié)議理想化：

①M(fèi)1：D?r0，r1，h(r0，r1，Kcur)，h(r0，r1，Kold)，h(r1，h(r0，r1，Kcur)，h(r0，r1，Kold)，Klx)。

②M2：Rli?s11，s12，…，s1w1，…，st1，st2，…，stwt。

③M3：T?r2，sij，h(r2，r0)，i=1，2，…，t，1≤j≤wi。

(3) 初始化協(xié)議：

(4) 協(xié)議目標(biāo)：

G1：Ri|≡T|～Kcur；G2：T|≡Ri|～s11，s12，…，s1w1，…，st1，st2，…，stwt。

(5) 協(xié)議分析：

得

D|≡T|～h(r0，r1，Kcur)。

由拆分消息規(guī)則可知D?r0，D?r1，D?K，由哈希函數(shù)規(guī)則R5：

得

D|≡T|～(r0，r1，Kcur) 。

所以

D|≡T|～Kcur。

由于文中協(xié)議后端數(shù)據(jù)庫(kù)與閱讀器之間的信道安全，相互信任，由R6：

得

Ri|≡T|～Kcur。

G1得證。

得

T|≡Ri|～s11，s12，…，s1w1，…，st1，st2，…，stwt。

G2得證。

通過(guò)BAN邏輯對(duì)該協(xié)議的形式化分析，證明該協(xié)議能有效地達(dá)到安全目標(biāo)，實(shí)現(xiàn)閱讀器與標(biāo)簽的相互認(rèn)證，同時(shí)也說(shuō)明了該協(xié)議也可以抵抗重放攻擊。

2.3 協(xié)議的安全性對(duì)比及性能分析

(1) 協(xié)議的安全性對(duì)比

文中協(xié)議與其他協(xié)議的安全性對(duì)比如表2所示，其中“Y”表示滿足，“N”表示不滿足。

表2 安全性對(duì)比

表2將文中提出的協(xié)議和其他幾個(gè)具有代表性的認(rèn)證協(xié)議進(jìn)行了性能對(duì)比，雖然文獻(xiàn)[7]方案滿足各項(xiàng)安全性，但其方案只是實(shí)現(xiàn)了單個(gè)閱讀器對(duì)單個(gè)標(biāo)簽的認(rèn)證。因此，文中所提出的針對(duì)多所有者的認(rèn)證協(xié)議相較于其他認(rèn)證協(xié)議具有更高的安全性。

(2) 標(biāo)簽的存儲(chǔ)量

在文中提出的協(xié)議中，標(biāo)簽被多個(gè)所有者共享，因此標(biāo)簽需要存儲(chǔ)每個(gè)所有者的身份信息Ri以及相應(yīng)的子密鑰權(quán)重wi，所有者的個(gè)數(shù)一般不會(huì)太多，因此這部分不會(huì)消耗太多存儲(chǔ)空間。除此之外，標(biāo)簽還要存儲(chǔ)自身身份TID，還有新舊密鑰Kcur和Kold。對(duì)于普通低成本標(biāo)簽，這些存儲(chǔ)量相較正常。

(3) 標(biāo)簽的計(jì)算量

文中協(xié)議采用(w，k)秘密門(mén)限方案管理密鑰，假設(shè)p長(zhǎng)度為160 bit，令(k-1)lbx≤160，這樣分發(fā)子密鑰時(shí)其中的模冪運(yùn)算是小整數(shù)運(yùn)算，且不需要求模。令k和x都取最大值w，代入上式，可知當(dāng)w最大不超過(guò)32時(shí)，可以保證模冪運(yùn)算不超過(guò)160 bit，從而不需要求模。根據(jù)對(duì)k-1次多項(xiàng)式的計(jì)算分析表明，生成新子密鑰共需要(k-1)w次部分短參數(shù)的模乘運(yùn)算，密鑰恢復(fù)至少需要k-1次；協(xié)議中包含3+w次輕量級(jí)哈希運(yùn)算，以及異或、加法等運(yùn)算，都在低成本標(biāo)簽的資源消耗范圍內(nèi)。

3 協(xié)議計(jì)算性能分析

標(biāo)簽所要承擔(dān)的主要計(jì)算是哈希函數(shù)、隨機(jī)數(shù)的產(chǎn)生以及一些異或、模乘等基本運(yùn)算，隨機(jī)數(shù)的產(chǎn)生可以基于哈希函數(shù)設(shè)計(jì)，因此下面主要討論哈希函數(shù)以及乘法器的邏輯資源消耗。

3.1 哈希函數(shù)

根據(jù)協(xié)議的安全性、輸出比特長(zhǎng)度以及標(biāo)簽所能承受的輕量級(jí)要求，文中采用GUO等人提出的Photon函數(shù)族[21]中的Photon-160/36/36函數(shù)。根據(jù)文獻(xiàn)[22]中的分析，該函數(shù)可以輸出160 bit長(zhǎng)度的哈希值，其所需要的等效邏輯門(mén)總數(shù)為1 391 GE，相較于其他同等安全性的Hash函數(shù)，Photon-160/36/36算法及其結(jié)構(gòu)符合低成本標(biāo)簽的設(shè)計(jì)需求。

3.2 乘法器

經(jīng)2.3節(jié)分析，該協(xié)議中的權(quán)重總和w和k的最大取值均不會(huì)超過(guò)32，因此這里設(shè)計(jì)了一個(gè)五位乘法器。主要是利用Verilog HDL語(yǔ)言實(shí)現(xiàn)了乘法模塊的功能，通過(guò)Vivado完成了綜合設(shè)計(jì)和設(shè)計(jì)實(shí)現(xiàn)，并驗(yàn)證了模塊的正確性，并綜合出模塊占用的面積和消耗的功耗。

圖3 乘法器輸出波形圖

由圖3顯示的是乘法器的仿真圖，其中a和b代表乘法器的輸入端口，c代表乘法器的輸出，兩個(gè)輸入端用的測(cè)試數(shù)據(jù)為14和1c，經(jīng)過(guò)Vivado中仿真后得到的數(shù)據(jù)是230。經(jīng)過(guò)驗(yàn)證，結(jié)果正確，邏輯正確。

(a)乘法器資源消耗類(lèi)

圖4(a)和圖4(b)分別展示出了在Vivado中乘法器編譯執(zhí)行成功后的資源消耗表以及柱狀圖，其中LUT是查找表，IO是輸入輸出3個(gè)角?？梢钥吹剑琇UT為22，IO為20，該乘法器符合低成本標(biāo)簽協(xié)議的要求。

4 結(jié)束語(yǔ)

筆者提出了一種無(wú)TTP帶權(quán)重的多所有者RFID標(biāo)簽認(rèn)證協(xié)議。該協(xié)議實(shí)現(xiàn)了真正意義上的多所有者RFID標(biāo)簽認(rèn)證技術(shù)。實(shí)現(xiàn)了n個(gè)閱讀器和標(biāo)簽之間的相互認(rèn)證，同時(shí)也滿足不可追蹤性、前向安全性、去同步攻擊等一些安全特性。文中利用BAN邏輯對(duì)協(xié)議進(jìn)行了形式化分析，同時(shí)，對(duì)抗去同步攻擊、前向安全性以及不可追蹤性也進(jìn)行了分析。通過(guò)對(duì)協(xié)議的性能分析，文中提出的協(xié)議在標(biāo)簽的存儲(chǔ)量、計(jì)算量以及通信量上都體現(xiàn)出良好的性能。不足的是，文中提出的協(xié)議不適用于標(biāo)簽所有者過(guò)多或者子密鑰份數(shù)過(guò)大的場(chǎng)合。下一步將對(duì)認(rèn)證中使用的門(mén)限共享方案的計(jì)算量進(jìn)行深度優(yōu)化。