劉長庚，劉亞麗*，陸琪鵬，李濤，林昌露，祝義

抵抗物理克隆攻擊的車載遙控門鎖雙因子認(rèn)證協(xié)議

劉長庚1，2，3，劉亞麗1，2，3*，陸琪鵬1，2，3，李濤1，2，3，林昌露2，祝義1

（1.江蘇師范大學(xué) 計算機(jī)科學(xué)與技術(shù)學(xué)院，江蘇 徐州 221116； 2.福建省網(wǎng)絡(luò)安全與密碼技術(shù)重點(diǎn)實(shí)驗室（福建師范大學(xué)），福州 350117； 3.廣西密碼學(xué)與信息安全重點(diǎn)實(shí)驗室（桂林電子科技大學(xué)），廣西 桂林 541004）（ ? 通信作者電子郵箱liuyali@jsnu.edu.cn）

攻擊者通過偽造車輛遙控鑰匙發(fā)送的無線射頻識別（RFID）信號可以非法開啟車輛；而且當(dāng)車輛遙控鑰匙丟失或被盜竊，攻擊者可以獲取鑰匙內(nèi)部秘密信息并克隆出可用的車輛遙控鑰匙，會對車主的財產(chǎn)與隱私安全造成威脅。針對上述問題，提出一種抵抗物理克隆攻擊的車載遙控門鎖（RKE）雙因子認(rèn)證（VRTFA）協(xié)議。該協(xié)議基于物理不可克隆函數(shù)（PUF）和生物指紋特征提取與恢復(fù)函數(shù)，使合法車輛遙控鑰匙的特定硬件物理結(jié)構(gòu)無法被偽造。同時，引入生物指紋因子構(gòu)建雙因子身份認(rèn)證協(xié)議，消除車輛遙控鑰匙被盜用的安全隱患，進(jìn)一步保障車載RKE系統(tǒng)的安全雙向認(rèn)證。利用BAN邏輯對協(xié)議進(jìn)行安全性分析的結(jié)果表明，VRTFA協(xié)議可以抵抗偽造攻擊、去同步攻擊、重放攻擊、中間人攻擊、物理克隆攻擊以及密鑰全泄漏攻擊等惡意攻擊，并滿足前向安全性、雙向認(rèn)證性、數(shù)據(jù)完整性和不可追蹤性等安全屬性。性能分析表明，VRTFA協(xié)議與現(xiàn)有的RFID認(rèn)證協(xié)議相比具有更強(qiáng)的安全性與隱私性和更好的實(shí)用性。

車載遙控門鎖；無線射頻識別；雙向認(rèn)證；雙因子；物理不可克隆函數(shù)

0 引言

智能車輛作為物聯(lián)網(wǎng)技術(shù)的重要研究對象之一，是實(shí)現(xiàn)車聯(lián)網(wǎng)必不可少的載體［1］，車輛認(rèn)證安全對于保障智能車輛通信安全至關(guān)重要。隨著互聯(lián)網(wǎng)通信技術(shù)的不斷發(fā)展，攻擊者的攻擊能力也逐漸變強(qiáng)，但國內(nèi)現(xiàn)有的智能車輛認(rèn)證機(jī)制還存在諸多不完善之處［2-3］，智能車輛在各種通信場景下均存在亟須解決的安全隱患。智能車輛常見通信場景［4］包括：車-人通信、車-車通信［1］、車-路通信［5］、車內(nèi)通信以及車-云通信，其中車-人通信安全是保障車聯(lián)網(wǎng)安全的必不可少的前提條件。因此，設(shè)計安全高效的車載遙控門鎖（Remote Keyless Entry， RKE）認(rèn)證協(xié)議以保障車聯(lián)網(wǎng)安全具有重要的研究意義。

隨著物聯(lián)網(wǎng)技術(shù)飛速發(fā)展，車輛被攻擊的案例越來越多［6］，智能車輛被非法闖入和盜竊的高比率也表明現(xiàn)有RKE技術(shù)在保障認(rèn)證安全性方面十分脆弱［7-8］，但RKE的認(rèn)證問題仍未受重視。汽車廠商只注重智能車輛功能的開發(fā)，僅通過類似車機(jī)編碼或固定憑證的方式試圖保障車輛的認(rèn)證安全，但由于缺少信息的動態(tài)更新而導(dǎo)致車輛的認(rèn)證安全問題層出不窮。目前主流汽車廠商制造的智能車輛存在射頻信號篡改、射頻信號竊取重放和遙控鑰匙遭到物理克隆等安全隱患［9-13］?，F(xiàn)有的RKE認(rèn)證方式已經(jīng)無法滿足現(xiàn)階段車輛認(rèn)證安全的性能需求，迫切需要設(shè)計安全高效的RKE認(rèn)證協(xié)議以保障車聯(lián)網(wǎng)安全。

無線射頻識別（Radio Frequency IDentification， RFID）雙向認(rèn)證協(xié)議［14］作為常見的物聯(lián)網(wǎng)安全認(rèn)證方式，可以抵抗現(xiàn)有RKE認(rèn)證中由于缺少認(rèn)證命令碼的更新機(jī)制而導(dǎo)致的遙控鑰匙偽造攻擊與重放攻擊。針對遙控鑰匙存在被物理克隆攻擊的風(fēng)險，物理不可克隆函數(shù)（Physical Uncloneable Function， PUF）［15］的引入可以避免遙控鑰匙遭到物理克隆攻擊。本文提出的RKE雙因子認(rèn)證協(xié)議將RFID標(biāo)簽嵌入車輛遙控鑰匙中，RFID閱讀器放置在車載閱讀器中，閱讀器和標(biāo)簽通過無線射頻信號交互，利用RFID雙向認(rèn)證協(xié)議保障RKE的認(rèn)證和通信安全。由于RKE系統(tǒng)中遙控鑰匙體積較小，運(yùn)算成本和存儲成本均受到限制，因此，輕量級RFID雙向認(rèn)證協(xié)議符合RKE低成本的設(shè)計要求。綜上所述，設(shè)計一個適用于RKE的安全高效的RFID雙因子雙向認(rèn)證協(xié)議具有重要的研究意義和實(shí)用價值。

本文的研究旨在針對當(dāng)前RKE認(rèn)證存在的安全問題，設(shè)計具有密鑰更新的RFID雙因子雙向認(rèn)證協(xié)議，并應(yīng)用于RKE場景。本文創(chuàng)新性地提出了一種抵抗標(biāo)簽物理克隆的車載RKE雙因子認(rèn)證（Vehicle RKE Two-Factor Authentication， VRTFA）協(xié)議以保障RKE的認(rèn)證安全。本文的主要工作如下：

1）RKE認(rèn)證：在RKE場景下引入RFID雙因子雙向認(rèn)證替代識別循環(huán)認(rèn)證命令碼的認(rèn)證方式，利用哈希函數(shù)、密鑰更新機(jī)制和隨機(jī)數(shù)機(jī)制等技術(shù)彌補(bǔ)RKE現(xiàn)有加密認(rèn)證方式的不足，增加了攻擊者竊聽并破解無線射頻信號的難度，為安全性薄弱的RKE系統(tǒng)提供高效安全的認(rèn)證。

2）抵抗物理克隆攻擊：將PUF置于RKE的遙控鑰匙中，使合法車輛遙控鑰匙的特定硬件物理結(jié)構(gòu)無法被偽造，防止遙控鑰匙電子控制原件中的加密算法和密鑰被克隆而導(dǎo)致的物理克隆攻擊。

3）抵抗密鑰全泄露攻擊：采用數(shù)據(jù)庫間接存放參與認(rèn)證的密鑰以抵抗由于數(shù)據(jù)庫泄漏而導(dǎo)致的密鑰全泄漏攻擊。在保障RKE系統(tǒng)安全雙向認(rèn)證的同時沒有增加認(rèn)證雙方的計算代價，為抵抗密鑰全泄露攻擊的RFID認(rèn)證協(xié)議的設(shè)計提供了新思路。

4）雙因子認(rèn)證：本文VRTFA協(xié)議采用生物指紋因子和傳統(tǒng)密鑰因子相結(jié)合的方式構(gòu)建雙因子認(rèn)證，提高了RKE認(rèn)證的安全性和隱私性，消除了現(xiàn)有單因子認(rèn)證協(xié)議無法防止遙控鑰匙被盜用非法開啟車輛的安全隱患。

5）強(qiáng)安全性：本文VRTFA協(xié)議具有良好的安全性和隱私性，滿足數(shù)據(jù)完整性、前向安全性、不可追蹤性和雙向認(rèn)證性等多種安全屬性，且可以抵抗去同步攻擊、偽造攻擊、重放攻擊、中間人攻擊、物理克隆攻擊以及密鑰全泄漏攻擊等惡意攻擊。

1 相關(guān)工作

單因子認(rèn)證協(xié)議是基于單因子（口令或密鑰）的認(rèn)證協(xié)議，局限性在于它的安全性僅基于協(xié)議當(dāng)前使用口令的安全性，現(xiàn)有單因子協(xié)議［16-21］大多無法抵抗密鑰全泄漏攻擊。Das等［22］引入智能卡因子設(shè)計認(rèn)證協(xié)議，開啟了無線傳感器網(wǎng)絡(luò)環(huán)境下雙因子認(rèn)證的新篇章。Wang等［23］提出了匿名雙因子認(rèn)證協(xié)議的基本評估指標(biāo)，為后來的學(xué)者更好地設(shè)計匿名雙因子協(xié)議提供了參考和幫助。2019年，李文婷等［24］在文獻(xiàn)［23］的基本評估指標(biāo)下總結(jié)了抵抗各種惡意攻擊的雙因子認(rèn)證協(xié)議的設(shè)計策略。2020年，Qiu等［25］提出了一種基于移動輕型設(shè)備擴(kuò)展混沌映射的可證明安全的多因子認(rèn)證協(xié)議，采用“模糊驗證”和“Honeywords”技術(shù)保障協(xié)議認(rèn)證的安全性?，F(xiàn)有的無線傳感器網(wǎng)絡(luò)場景下通過上述雙因子認(rèn)證協(xié)議［22-25］可以抵抗數(shù)據(jù)庫泄漏導(dǎo)致的密鑰全泄漏攻擊，提高了認(rèn)證的安全性，但智能卡因子不適用于成本受限的RKE應(yīng)用場景。目前車載RKE認(rèn)證仍以單因子認(rèn)證為主，一旦唯一的認(rèn)證碼因子被竊聽破解，RKE將受到安全威脅。由于體積較小的遙控鑰匙無法引入智能卡作為第二個認(rèn)證因子，設(shè)計基于生物指紋為第二因子的雙因子認(rèn)證協(xié)議更適用于成本受限的RKE認(rèn)證。

綜上所述，現(xiàn)有的RFID單因子認(rèn)證協(xié)議不僅存在物理克隆攻擊的安全隱患，還無法抵抗密鑰全泄漏攻擊；同時僅依賴密鑰作為唯一認(rèn)證因子的單因子協(xié)議無法滿足RKE的需求，無法抵抗由于遙控鑰匙盜用導(dǎo)致非法開啟車輛的威脅。因此，本文提出一種車載RKE雙因子認(rèn)證（VRTFA）協(xié)議，可以抵抗物理克隆攻擊和密鑰全泄漏攻擊，同時引入生物指紋因子作為第二因子使得遙控鑰匙被盜用不會對RKE安全造成威脅，可為RKE系統(tǒng)提供高效安全的認(rèn)證。

2 相關(guān)知識

2.1　雙因子認(rèn)證

雙因子認(rèn)證的安全性不僅依賴于存儲在數(shù)據(jù)庫上的口令密碼的驗證表，而且利用兩個因子共同保障認(rèn)證協(xié)議的安全性［23-24］。這是雙因子認(rèn)證協(xié)議相對于單因子認(rèn)證的關(guān)鍵優(yōu)勢。因為后者的安全性僅依賴服務(wù)器上維護(hù)的敏感口令因子，一旦加密傳輸?shù)目诹钜蜃颖桓`聽破解，整個認(rèn)證協(xié)議的安全性會受到威脅，任何獲取到泄漏的口令因子的惡意攻擊者都可以進(jìn)行偽造攻擊破壞認(rèn)證協(xié)議的安全性。引入智能卡或者生物指紋等作為口令以外的第二個因子，第一因子的口令遭到泄漏時如果沒有第二個智能卡因子一起參與認(rèn)證，攻擊者也無法通過認(rèn)證協(xié)議的認(rèn)證。雙因子共同參與認(rèn)證，兩者相對獨(dú)立又缺一不可，彌補(bǔ)了單因子認(rèn)證依賴唯一因子的局限性，提高了認(rèn)證安全性。

2.2　車載遙控門鎖系統(tǒng)結(jié)構(gòu)

RKE系統(tǒng)由遙控鑰匙、車載閱讀器（即無線信號接收器）、主機(jī)數(shù)據(jù)庫端（車身控制模塊）構(gòu)成［6］。通常來說，RKE的認(rèn)證流程如下：

1）合法遙控鑰匙內(nèi)部存有多個認(rèn)證命令碼可以支持RKE系統(tǒng)認(rèn)證通信時循環(huán)使用；

2）車主按下遙控鑰匙上的按鈕，遙控鑰匙發(fā)出包含認(rèn)證命令碼的無線射頻信號；

3）車載閱讀器收到無線射頻信號反饋給智能車輛車身控制模塊其中的消息認(rèn)證模塊，消息認(rèn)證模塊驗證該信號為正確命令后，智能車輛執(zhí)行打開或關(guān)閉門鎖的操作。

目前RKE的安全性僅依賴于循環(huán)使用的認(rèn)證命令碼的保密性，而認(rèn)證命令碼缺少更新會導(dǎo)致安全隱患。攻擊者可利用RKE的安全缺陷非法開啟智能車輛，盜竊智能車輛內(nèi)的物品或智能車輛本身。例如：攻擊者通過截獲無線信道公開傳輸?shù)男畔?，可偽造遙控鑰匙的無線射頻信號發(fā)送給車載閱讀器試圖非法開啟車輛。

3 VRTFA協(xié)議

3.1　符號說明

本文提出的VRTFA協(xié)議所涉及的相關(guān)符號名稱及描述如表1所示。

表1　符號說明

3.2　VRTFA協(xié)議流程

VRTFA協(xié)議分為以下四個階段：1）注冊階段；2）遙控鑰匙識別用戶階段；3）雙向認(rèn)證階段；4）密鑰更新階段。

3.2.1VRTFA協(xié)議注冊階段

注冊階段不僅支持同一用戶可以錄入多個生物指紋，還支持錄入多個用戶的生物指紋。不同指紋注冊與認(rèn)證過程互相獨(dú)立，遙控鑰匙可存儲多個生物指紋對應(yīng)不同的、T和R。但遙控鑰匙內(nèi)部只存儲唯一的標(biāo)識。以用戶錄入單個生物指紋因子為例的注冊過程如圖2所示。

圖1　VRTFA協(xié)議注冊階段

步驟1 遙控鑰匙錄入用戶生物指紋信息，生成相應(yīng)的與T，利用生物特征提取函數(shù)和物理不可克隆函數(shù)計算（）=（，），=（‖T‖）。遙控鑰匙將生物指紋信息和參數(shù)舍棄，保存、T和。

步驟2 遙控鑰匙將T和發(fā)送給車載閱讀器，車載閱讀器生成相應(yīng)的密鑰R，計算=（‖），并舍棄T和，保存。

3.2.2VRTFA協(xié)議遙控鑰匙識別用戶階段

遙控鑰匙采集用戶生物指紋后利用指紋恢復(fù)函數(shù)恢復(fù)協(xié)議注冊階段舍棄的參數(shù)'=（，），計算'=（‖T‖'），驗證'是否和相等。驗證成功則表示用戶生物指紋合法，遙控鑰匙識別用戶后進(jìn)入雙向認(rèn)證階段，否則遙控鑰匙不繼續(xù)向車載閱讀器發(fā)送認(rèn)證請求，如圖2所示。

3.2.3VRTFA協(xié)議雙向認(rèn)證階段

遙控鑰匙驗證用戶成功后進(jìn)入雙向認(rèn)證階段，如圖2所示。雙向認(rèn)證階段實(shí)現(xiàn)遙控鑰匙、車載閱讀器和數(shù)據(jù)庫之間兩兩認(rèn)證，具體步驟如下：

步驟1 遙控鑰匙發(fā)送給車載閱讀器請求認(rèn)證，車載閱讀器驗證合法后產(chǎn)生隨機(jī)數(shù)1，計算1=（‖）⊕1和2=（‖1），若驗證不成功則車載閱讀器不作響應(yīng)。

步驟3 遙控鑰匙標(biāo)簽發(fā)送3‖4‖5給車載閱讀器，車載閱讀器運(yùn)算得到'、T'、'和5'，驗證是否滿足'=，5'=5。驗證成功則說明遙控鑰匙合法并且發(fā)送的消息完整未篡改，車載閱讀器將產(chǎn)生隨機(jī)數(shù)2，計算6=2⊕（⊕），7=⊕（‖2），8=T⊕（‖‖2）； 若驗證失敗則車載閱讀器不作任何回應(yīng)。

步驟4 車載閱讀器發(fā)送‖6‖7‖8給數(shù)據(jù)庫。數(shù)據(jù)庫運(yùn)算得到2'、'和T'，數(shù)據(jù)庫計算S'=⊕（‖T'），'=（‖T'‖S'‖'） mod0，驗證'和是否相等。若驗證成功則數(shù)據(jù)庫對車載閱讀器和遙控鑰匙驗證成功，計算9=（S⊕2），并進(jìn)入密鑰更新階段；若驗證失敗數(shù)據(jù)庫不作任何回應(yīng)。

步驟5 數(shù)據(jù)庫發(fā)送9給車載閱讀器，只有合法車載閱讀器擁有R計算出S'=（R‖）⊕T和9'=（S'⊕2），驗證9'和9是否相等。驗證成功則說明車載閱讀器驗證數(shù)據(jù)庫合法，計算10=（‖T‖）⊕2，11=（‖T‖‖2），車載閱讀器進(jìn)入密鑰更新階段；若驗證失敗，車載閱讀器不作任何回應(yīng)。

圖2　VRTFA協(xié)議認(rèn)證階段

步驟6 遙控鑰匙收到車載閱讀器發(fā)送的10‖11，計算2'和11'=（‖T‖‖2'），驗證11'和11是否相等。如果相等則說明遙控鑰匙和車載閱讀器以及數(shù)據(jù)庫的雙向認(rèn)證成功，遙控鑰匙標(biāo)簽進(jìn)入密鑰更新階段；若驗證失敗遙控鑰匙不作任何回應(yīng)。

3.2.4VRTFA協(xié)議密鑰更新階段

VRTFA協(xié)議雙向認(rèn)證階段成功后進(jìn)入密鑰更新階段，實(shí)現(xiàn)遙控鑰匙、車載閱讀器和數(shù)據(jù)庫之間密鑰的同步更新，具體步驟如下：

步驟1 數(shù)據(jù)庫收到車載閱讀器發(fā)送的消息‖6‖7‖8，計算'=（‖T'‖S'‖'） mod0，驗證'和是否相等。若驗證成功則數(shù)據(jù)庫對車載閱讀器和遙控鑰匙驗證成功，更新密鑰和假名Tnew=（T‖2⊕），Rnew=（（R‖）⊕2），new=（‖2），計算Snew、new和new，舍棄Snew、、Tnew和Rnew，若驗證失敗數(shù)據(jù)庫不作任何回應(yīng)。

步驟2 車載閱讀器收到數(shù)據(jù)庫發(fā)送的9，驗證9是否合法，驗證成功則說明驗證數(shù)據(jù)庫合法，車載閱讀器進(jìn)入密鑰更新階段，車載閱讀器更新new、Rnew和new，舍棄Tnew和；若驗證失敗，車載閱讀器不作任何回應(yīng)。

步驟3 遙控鑰匙收到車載閱讀器發(fā)送的10‖11，計算2'和11'=（‖T‖‖2'），驗證11'和11是否相等。如果相等則說明遙控鑰匙和車載閱讀器以及數(shù)據(jù)庫的雙向認(rèn)證成功，遙控鑰匙進(jìn)入密鑰更新階段，遙控鑰匙更新new、Tnew和new，舍棄和；若驗證失敗遙控鑰匙不作任何回應(yīng)。

4 BAN邏輯分析與證明

本章采用BAN［26］邏輯分析方法對本文的VRTFA協(xié)議進(jìn)行形式化安全性證明。

4.1　BAN邏輯構(gòu)件的語法

在BAN邏輯模型中，和通常用于分別表示兩個通信實(shí)體［27］，一些符號用于表示實(shí)體之間的交互過程。主要使用的表達(dá)式如下：

4.2　BAN邏輯推理規(guī)則

BAN邏輯主要有如下推理法則［26］（僅列出本文涉及的主要推理規(guī)則）：

R1（message-meaning rule消息含義法則）：

上式說明，相信與之間共享密鑰信息，且接收到用做密鑰的加密信息，則可以推出相信曾經(jīng)發(fā)送過消息。

R2（nonce-verification rule臨時驗證法則）：

上式說明，相信消息是新鮮的，且相信曾經(jīng)發(fā)送過消息，則可以推出相信與的真實(shí)性。

R3（freshness rule消息新鮮性法則）：

上式說明，相信消息是新鮮的，則可以推出相信和級聯(lián)的整體信息也是新鮮的。

R4（jurisdiction rule管轄權(quán)法則）：

上式說明，相信對有管轄權(quán)，且相信相信的真實(shí)性，則可以推出相信的真實(shí)性。

4.3　VRTFA協(xié)議的形式化描述

為了便于描述，定義三個角色，分別為：、與分別表示參與協(xié)議通信方數(shù)據(jù)庫、車載閱讀器和遙控鑰匙。VRTFA協(xié)議的理想化模型描述如下：

在VRTFA協(xié)議中，message1僅表示發(fā)起認(rèn)證通信協(xié)商的簡單請求，以明文傳輸所以不做安全分析證明。message2～message6是車載閱讀器和數(shù)據(jù)庫間在無線信道上進(jìn)行的消息通信，需要進(jìn)行安全分析證明。因此，主要利用BAN邏輯模型形式化分析message2～message6的安全性，其形式化描述可以轉(zhuǎn)換為如下形式，其中為了便于描述，符號表示鑰匙的、、偽隨機(jī)數(shù)和密鑰等秘密信息。

4.4　初始化假設(shè)

VRTFA協(xié)議滿足以下基本假設(shè)：

4.5　安全目標(biāo)

通過4.3節(jié)分析可知，VRTFA協(xié)議安全性證明的5個目標(biāo)如下：

其中：安全目標(biāo)G1是指遙控鑰匙信任消息1和2的真實(shí)性；安全目標(biāo)G2是指車載閱讀器信任消息3、4和5的真實(shí)性；安全目標(biāo)G3是指數(shù)據(jù)庫信任消息、6、7和8的真實(shí)性；安全目標(biāo)G4是指車載閱讀器信任消息9的真實(shí)性；安全目標(biāo)G5是指遙控鑰匙信任消息10、11的真實(shí)性。

4.6　安全目標(biāo)證明

VRTFA協(xié)議安全性證明的5個目標(biāo)分析推理證明過程如下：

1）由message2，根據(jù)假設(shè)A3、A20和規(guī)則R1，可以推導(dǎo)出：

根據(jù)假設(shè)A9和A13和規(guī)則R3可以推導(dǎo)出：

根據(jù)推導(dǎo)出的F1、F2和規(guī)則R2可以推導(dǎo)出：

根據(jù)假設(shè)A15、推導(dǎo)出的F3和規(guī)則R4最終可以推導(dǎo)出：

綜上所述，安全目標(biāo)G1得證。

2）由message3，根據(jù)假設(shè)A1、A21和規(guī)則R1，可以推導(dǎo)出：

根據(jù)假設(shè)A7和A12和規(guī)則R3可以推導(dǎo)出：

根據(jù)推導(dǎo)出的F5、F6和規(guī)則R2可以推導(dǎo)出：

根據(jù)假設(shè)A16、推導(dǎo)出的F7和規(guī)則R4最終可以推導(dǎo)出：

綜上所述，安全目標(biāo)G2得證。

3）由message4，根據(jù)假設(shè)A5、A22和規(guī)則R1，可以推導(dǎo)出：

根據(jù)假設(shè)A8、A11和A14和規(guī)則R3可以推導(dǎo)出：

根據(jù)推導(dǎo)出的F9、F10和規(guī)則R2可以推導(dǎo)出：

根據(jù)假設(shè)A17、推導(dǎo)出的F11和規(guī)則R4最終可以推導(dǎo)出：

綜上所述，安全目標(biāo)G3得證。

4）由message5，根據(jù)假設(shè)A2、A23和規(guī)則R1，可以推導(dǎo)出：

根據(jù)假設(shè)A7和A12和規(guī)則R3可以推導(dǎo)出：

根據(jù)推導(dǎo)出的F13、F14和規(guī)則R2可以推導(dǎo)出：

根據(jù)假設(shè)A18、推導(dǎo)出的F15和規(guī)則R4最終可以推導(dǎo)出：

綜上所述，安全目標(biāo)G4得證。

5）由message6，根據(jù)假設(shè)A3、A24和規(guī)則R1，可以推導(dǎo)出：

根據(jù)假設(shè)A10和A13和規(guī)則R3可以推導(dǎo)出：

根據(jù)推導(dǎo)出的F17、F18和規(guī)則R2可以推導(dǎo)出：

根據(jù)假設(shè)A19、推導(dǎo)出的F19和規(guī)則R4最終可以推導(dǎo)出：

綜上所述，安全目標(biāo)G5得證。

綜上證明結(jié)果可知VRTFA協(xié)議能夠達(dá)到期望的安全目標(biāo)，因此，VRTFA協(xié)議是安全的。

5 VRTFA協(xié)議安全性分析

本章對VRTFA協(xié)議的數(shù)據(jù)完整性、前向安全性、不可追蹤性、雙向認(rèn)證性等安全屬性以及對去同步攻擊、偽造攻擊、重放攻擊、中間人攻擊、物理克隆攻擊、密鑰全泄漏攻擊等多種惡意攻擊的抵抗能力進(jìn)行分析。

5.1　安全屬性分析

5.1.1數(shù)據(jù)完整性

數(shù)據(jù)完整性［28］指認(rèn)證雙方發(fā)送的消息中途未經(jīng)篡改并完整傳輸?shù)浇邮斩说哪芰Γ琕RTFA協(xié)議中認(rèn)證雙方利用單向哈希函數(shù)對接收到的消息進(jìn)行完整性校驗。例如車載閱讀器給遙控鑰匙發(fā)送消息1和2，其中1=（‖）⊕1和2=（‖1）。為了防止攻擊者對消息1篡改導(dǎo)致遙控鑰匙無法驗證隨機(jī)數(shù)1的完整性，車載閱讀器對包含隨機(jī)數(shù)1在內(nèi)的數(shù)據(jù)進(jìn)行哈希運(yùn)算得到2一并發(fā)送給遙控鑰匙，最終遙控鑰匙通過驗證2的合法性的同時校驗了1中的1數(shù)據(jù)完整性。同理遙控鑰匙發(fā)送消息3、4和5給車載閱讀器，其中3=⊕（⊕1），4=T⊕（⊕1），5=（‖T‖‖1）。可見5由3、4內(nèi)包含的與T在內(nèi)的秘密信息進(jìn)行哈希運(yùn)算得到，所以車載閱讀器接收消息后可通過從3、4提取出與T并對消息5驗證，若驗證成功則說明接收的消息3、4內(nèi)與T未被篡改。因此，VRTFA協(xié)議可以保障認(rèn)證過程中交互消息的數(shù)據(jù)完整性。

5.1.2前向安全性

前向安全性［29］是指攻擊者無法通過本輪次認(rèn)證的加密密鑰和加密消息破解歷史認(rèn)證輪次的密鑰和加密消息。VRTFA協(xié)議在一輪認(rèn)證結(jié)束時使用隨機(jī)數(shù)和單向哈希函數(shù)對設(shè)備的假名、加密密鑰與認(rèn)證參數(shù)進(jìn)行更新，例如Tnew=（T‖2⊕），Rnew=（（R‖）⊕2），new=（‖2），在更新階段引入隨機(jī)數(shù)保證了每輪認(rèn)證假名、加密密鑰和認(rèn)證參數(shù)的新鮮性，攻擊者無法通過單向哈希函數(shù)的運(yùn)算結(jié)果推導(dǎo)出之前歷史輪次的假名、加密密鑰與認(rèn)證參數(shù)。因此，VRTFA協(xié)議可以保障認(rèn)證過程的前向安全性。

5.1.3不可追蹤性

不可追蹤性［30］是指攻擊者無法通過持續(xù)監(jiān)聽并分析截獲的消息，從而確定RFID標(biāo)簽的具體位置。RKE利用遙控鑰匙發(fā)送的循環(huán)認(rèn)證命令碼驗證并開啟車輛，而認(rèn)證命令碼不更新且數(shù)量有限。攻擊者可以通過竊聽并識別專屬于某個車輛的認(rèn)證命令碼并判斷車主當(dāng)前位置在竊聽范圍內(nèi)，甚至通過截獲認(rèn)證命令碼的發(fā)送時間判斷車主停車與離開的時間，所以現(xiàn)有的RKE并不滿足不可追蹤性。而VRTFA協(xié)議中假名、加密密鑰與認(rèn)證參數(shù)每輪認(rèn)證結(jié)束時都進(jìn)行更新，每輪認(rèn)證遙控鑰匙和車載閱讀器發(fā)送的隨機(jī)化消息都具有新鮮性，所以攻擊者無法利用竊聽的消息追蹤到具體車輛。因此，VRTFA協(xié)議可以保障認(rèn)證過程中交互消息的不可追蹤性。

5.1.4雙向認(rèn)證性

雙向認(rèn)證性［31］是在通信雙方成功認(rèn)證彼此身份是否合法，也是通信雙方認(rèn)證成功必不可少的前提。VRTFA協(xié)議中以車載閱讀器發(fā)送‖6‖7‖8給數(shù)據(jù)庫為例，只有合法數(shù)據(jù)庫才可以從消息中運(yùn)算得到2'、'和T'，接著計算S'=⊕（‖T'），'=（‖T'‖S'‖'） mod0，驗證'和成功則數(shù)據(jù)庫對車載閱讀器驗證成功。然后數(shù)據(jù)庫計算9=（S⊕2）發(fā)送給車載閱讀器，而只有擁有R的合法車載閱讀器可以計算出S'=（R‖）⊕T和9'=（S'⊕2），驗證9'和9成功則車載閱讀器對數(shù)據(jù)庫驗證成功，最終車載閱讀器與數(shù)據(jù)庫雙向認(rèn)證成功。因此，VRTFA協(xié)議可以保障認(rèn)證過程的雙向認(rèn)證性。

5.2　抵抗惡意攻擊的安全分析

5.2.1去同步攻擊

去同步攻擊［32］是指阻止認(rèn)證雙方同步進(jìn)行假名、密鑰在內(nèi)的認(rèn)證信息更新而導(dǎo)致認(rèn)證某一方密鑰等認(rèn)證信息未成功更新，最終使得合法認(rèn)證雙方由于假名和密鑰等信息不一致無法彼此雙向認(rèn)證的安全隱患。在VRTFA協(xié)議中認(rèn)證雙方在進(jìn)行密鑰更新時不舍棄上一輪次的歷史密鑰、假名與認(rèn)證參數(shù)，所以在通信雙方利用VRTFA協(xié)議存放兩輪認(rèn)證信息的方式可以防止去同步攻擊。例如上輪認(rèn)證結(jié)束時遙控鑰匙更新假名new、Tnew和認(rèn)證參數(shù)new，同時也保留著上輪使用的、T和認(rèn)證參數(shù)。若車載閱讀器未成功更新new、Rnew和new將運(yùn)算出1=（‖）⊕1和2=（‖1）發(fā)送給遙控鑰匙，遙控鑰匙無法利用更新的new從1和2獲取并驗證隨機(jī)數(shù)1，則遙控鑰匙可以使用存放上一輪的獲取隨機(jī)數(shù)并驗證2合法性，成功在去同步攻擊下完成對車載閱讀器合法性的認(rèn)證。因此，VRTFA協(xié)議可以抵抗去同步攻擊。

5.2.2偽造攻擊

偽造攻擊［33］指攻擊者偽造發(fā)送端的消息發(fā)送給接收端并被成功認(rèn)證為合法發(fā)送端。VRTFA協(xié)議中攻擊者在沒有獲取合法密鑰和認(rèn)證參數(shù)的條件下無法隨意偽造出可被認(rèn)證雙方驗證成功的認(rèn)證消息。例如攻擊者試圖偽造車載閱讀器發(fā)送給遙控鑰匙的消息10和11，其中10=（‖T‖）⊕2，11=（‖T‖‖2）。而攻擊者在未知、T、和2的情況下無法偽造出合法可被遙控鑰匙驗證通過的10和11。因此，VRTFA協(xié)議可以抵抗偽造攻擊。

5.2.3重放攻擊

重放攻擊［34］是攻擊者通過竊聽認(rèn)證通信的過程中交互消息，攻擊者偽裝自己是合法實(shí)體將截獲的歷史輪次消息重放給認(rèn)證的另一端實(shí)體并被驗證成功。以往RKE的認(rèn)證命令碼認(rèn)證方式下存在重放攻擊的風(fēng)險，由于數(shù)量有限的認(rèn)證命令碼是循環(huán)使用且不更新的，所以攻擊者可以通過之前竊聽截獲的認(rèn)證命令碼發(fā)送給車載閱讀器并且通過驗證。而VRTFA協(xié)議利用輕量級加密運(yùn)算、單向哈希函數(shù)、密鑰更新機(jī)制以及隨機(jī)數(shù)機(jī)制使得每輪發(fā)送的認(rèn)證消息具有隨機(jī)性和新鮮性。比如攻擊者利用上輪截取遙控鑰匙的消息3=⊕（⊕1）、4=T⊕（⊕1）和5=（‖T‖‖1），將3‖4‖5發(fā)送給車載閱讀器，而車載閱讀器假名已經(jīng)更新為new，并且本輪車載閱讀器隨機(jī)產(chǎn)生的1new也與上次使用的1不一樣，所以攻擊者重放的3、4和5將無法通過驗證。因此，VRTFA協(xié)議可以抵抗重放攻擊。

5.2.4中間人攻擊

中間人攻擊［34］是指攻擊者在認(rèn)證雙方中間發(fā)揮消息轉(zhuǎn)發(fā)的作用的同時，修改竊聽交互消息的方式來達(dá)到攻擊目的。而中間人攻擊在RKE場景下對認(rèn)證安全性的威脅不大，用戶與車輛的距離近導(dǎo)致無線射頻信號送達(dá)的時間過短，給攻擊者實(shí)施中間人攻擊提供了較大的難度。此外VRTFA協(xié)議可以抵抗偽造攻擊并且通過單向哈希函數(shù)驗證消息完整性，所以攻擊者實(shí)施中間人攻擊時篡改的認(rèn)證消息將無法被驗證通過。因此，VRTFA協(xié)議可以抵抗中間人攻擊。

5.2.5物理克隆攻擊

物理克隆攻擊［35］是指攻擊者通過復(fù)制電子控制元件中的加密算法和密鑰從而克隆出車輛的遙控鑰匙，最終在未經(jīng)合法授權(quán)的條件下非法開啟車輛。VRTFA協(xié)議利用PUF對不同硬件物理結(jié)構(gòu)的產(chǎn)生的隨機(jī)響應(yīng)不同且不同預(yù)測的特性，由于在生產(chǎn)制造過程中自然發(fā)生的物理變化具有獨(dú)特的硬件物理特性導(dǎo)致制造出兩個完全相同的芯片的可能性微乎其微，使攻擊者僅復(fù)制電子控制元件中的加密算法和密鑰的條件下無法對遙控鑰匙成功克隆。此外具備基于密鑰因子與指紋因子的VRTFA雙因子協(xié)議將影響到攻擊者克隆的遙控鑰匙的可用性。即使攻擊者獲取合法遙控鑰匙，由于沒有合法用戶的生物指紋因子信息，所以攻擊者無法通過遙控鑰匙對用戶采集生物指紋的認(rèn)證。例如遙控鑰匙向車載閱讀器發(fā)送消息之前會采集用戶生物指紋后利用指紋恢復(fù)函數(shù)恢復(fù)協(xié)議注冊階段舍棄的參數(shù)'=（，），計算'=（‖K‖'），驗證'是否和遙控鑰匙內(nèi)存放的認(rèn)證參數(shù)是否相等。驗證成功則表示用戶生物指紋合法，否則遙控鑰匙不向車載閱讀器發(fā)送認(rèn)證請求。因此，VRTFA協(xié)議可以抵抗物理克隆攻擊。

5.2.6密鑰全泄漏攻擊

現(xiàn)有RFID認(rèn)證協(xié)議將標(biāo)簽與閱讀器等所有認(rèn)證方密鑰信息均明文存放在數(shù)據(jù)庫中，攻擊者只需攻擊后臺數(shù)據(jù)庫就可以獲取標(biāo)簽與閱讀器等其他認(rèn)證設(shè)備的密鑰信息，造成密鑰全泄漏攻擊［36］。VRTFA協(xié)議利用密鑰信息提前運(yùn)算出認(rèn)證參數(shù)并間接驗證的認(rèn)證方式，防止由于數(shù)據(jù)庫泄漏導(dǎo)致對整個認(rèn)證協(xié)議產(chǎn)生密鑰全泄漏的安全威脅。具體實(shí)現(xiàn)方式是數(shù)據(jù)庫在注冊階段或上一輪認(rèn)證階段利用密鑰和生物指紋因子等秘密值運(yùn)算出下次認(rèn)證階段使用的認(rèn)證參數(shù)。數(shù)據(jù)庫內(nèi)只存放假名、以及認(rèn)證參數(shù)，并且遙控鑰匙和車載設(shè)備均只存儲自身設(shè)備的密鑰并不存儲其余認(rèn)證設(shè)備密鑰和生物指紋因子在內(nèi)的秘密信息。在認(rèn)證階段數(shù)據(jù)庫利用認(rèn)證參數(shù)提取驗證信息從而實(shí)現(xiàn)安全雙向認(rèn)證，而攻擊者即使攻擊數(shù)據(jù)庫獲取到認(rèn)證參數(shù)也無法推導(dǎo)出車載閱讀器與遙控鑰匙的秘密信息。例如注冊階段車載閱讀器將T‖R‖發(fā)送給數(shù)據(jù)庫，數(shù)據(jù)庫計算相應(yīng)的認(rèn)證參數(shù)S=（R‖）⊕T，=S⊕（‖T），=（‖T‖S‖） mod0。最后數(shù)據(jù)庫不存儲車載閱讀器密鑰T、遙控鑰匙密鑰R和生物指紋因子參數(shù)，只存儲認(rèn)證參數(shù)、和0以備后續(xù)認(rèn)證。即使攻擊者攻擊數(shù)據(jù)庫并獲取到認(rèn)證參數(shù)、和0也無法提取出T、R和等密鑰信息。因此，VRTFA協(xié)議可以抵抗密鑰全泄漏攻擊。

5.3　安全屬性分析

Scyther［37］是一種協(xié)議安全性分析驗證的工具，以下將利用Scyther工具對VRTFA協(xié)議進(jìn)行安全性分析驗證。

在VRTFA協(xié)議建模中，定義三個角色D、R與T，分別表示參與協(xié)議通信方的主機(jī)數(shù)據(jù)庫、車載閱讀器和遙控鑰匙。本文利用Scyther分析驗證VRTFA協(xié)議的安全性，結(jié)果如圖4所示。其中：Secret、Alive、Weakagree、Niagree和Nisynch分別用于檢測密鑰泄露、重放攻擊、中間人攻擊等惡意攻擊。分析結(jié)果表明：Scyther工具無法找到針對VRTFA協(xié)議的任何惡意攻擊，因此VRTFA協(xié)議能夠保證遙控鑰匙與車載閱讀器以及主機(jī)數(shù)據(jù)庫之間的秘密信息安全。

圖3　Scyther工具驗證VRTFA協(xié)議安全性的結(jié)果

6 VRTFA協(xié)議性能分析

6.1　安全性對比分析

VRTFA協(xié)議和現(xiàn)有典型RFID雙向認(rèn)證協(xié)議［16-17，20-21］的安全性對比分析如表2所示，其中Yes表示該協(xié)議滿足該安全性，No表示不滿足該安全性。通過表2可以得出與現(xiàn)有RFID雙向認(rèn)證協(xié)議［16-17，20-21］相比，VRTFA協(xié)議具有更高的安全性，可以抵抗文獻(xiàn)［16-17］中協(xié)議無法抵抗的物理克隆攻擊和文獻(xiàn)［16-17，20-21］中協(xié)議無法抵抗的密鑰全泄漏攻擊。

6.2　性能對比分析

6.2.1存儲開銷對比分析

在存儲開銷方面，VRTFA協(xié)議中遙控鑰匙需要存儲的信息包括標(biāo)簽，標(biāo)簽假名認(rèn)證參數(shù)、、密鑰T和oldold、Told共8個單位長度的數(shù)據(jù)，所以標(biāo)簽存儲開銷為8。文獻(xiàn)［16］協(xié)議的標(biāo)簽存儲開銷為3，文獻(xiàn)［17］協(xié)議的標(biāo)簽存儲開銷為3，文獻(xiàn)［20］協(xié)議的標(biāo)簽存儲和個PID開銷為（+1）*，文獻(xiàn)［21］協(xié)議的標(biāo)簽存儲和個PID開銷為（+1）*。VRTFA協(xié)議雖然存儲開銷大于文獻(xiàn)［16-17］協(xié)議，但是安全性更高。此外，VRTFA協(xié)議不僅存儲開銷小于文獻(xiàn)［20-21］協(xié)議，而且可以解決文獻(xiàn)［20-21］協(xié)議存在的密鑰全泄漏安全隱患。

表2　VRTFA協(xié)議與其他RFID認(rèn)證協(xié)議的安全性對比分析

6.2.2計算代價對比分析

在計算代價方面，利用運(yùn)算函數(shù)的執(zhí)行次數(shù)對比VRTFA協(xié)議與其他RFID認(rèn)證協(xié)議的計算代價，其中H表示計算一次哈希函數(shù)的計算量，R表示產(chǎn)生一個隨機(jī)數(shù)的計算量，X表示一次異或運(yùn)算的計算量，E表示一次對稱加解密的計算量，P表示計算一次PUF的計算量，C表示計算一次循環(huán)校驗函數(shù)的計算量。

文獻(xiàn)［16］協(xié)議：標(biāo)簽端執(zhí)行了2次循環(huán)校驗函數(shù)和3次異或運(yùn)算；閱讀器與數(shù)據(jù)庫（以下簡稱服務(wù)端）一共執(zhí)行了5次循環(huán)校驗函數(shù)和4次異或運(yùn)算。

文獻(xiàn)［17］協(xié)議：標(biāo)簽端執(zhí)行了2次對稱加密運(yùn)算和7次哈希函數(shù)；服務(wù)端一共執(zhí)行了10次對稱加密運(yùn)算、14次哈希函數(shù)和2次隨機(jī)數(shù)運(yùn)算。

文獻(xiàn)［20］協(xié)議：標(biāo)簽端執(zhí)行了1次隨機(jī)數(shù)運(yùn)算、3次PUF、6次哈希函數(shù)和3次異或運(yùn)算；服務(wù)端一共執(zhí)行了1次隨機(jī)數(shù)運(yùn)算、1次PUF、6次哈希函數(shù)和2次異或運(yùn)算；標(biāo)簽端執(zhí)行了1次隨機(jī)數(shù)運(yùn)算、4次PUF、7次哈希函數(shù)和4次異或運(yùn)算；服務(wù)端一共執(zhí)行了2次隨機(jī)數(shù)運(yùn)算、7次哈希函數(shù)和4次異或運(yùn)算。

VRTFA協(xié)議的標(biāo)簽端執(zhí)行了2次PUF、9次哈希函數(shù)和7次異或運(yùn)算；服務(wù)端一共執(zhí)行了2次隨機(jī)數(shù)運(yùn)算、28次哈希函數(shù)和17次異或運(yùn)算。

文獻(xiàn)［16］協(xié)議僅使用輕量級運(yùn)算所以計算代價最低，而物理克隆攻擊的難度也最低。文獻(xiàn)［17］協(xié)議使用對稱加密運(yùn)算導(dǎo)致計算代價比VRTFA協(xié)議高。文獻(xiàn)［20-21］協(xié)議標(biāo)簽會產(chǎn)生隨機(jī)數(shù)的開銷，VRTFA協(xié)議為減少遙控鑰匙的計算代價，由服務(wù)器端負(fù)擔(dān)隨機(jī)數(shù)運(yùn)算的開銷，所以文獻(xiàn)［20-21］協(xié)議標(biāo)簽端的計算代價比VRTFA協(xié)議高。文獻(xiàn)［20-21］協(xié)議中閱讀器僅用作轉(zhuǎn)發(fā)消息，閱讀器本身不參與運(yùn)算也不存儲密鑰，這樣雖然降低了文獻(xiàn)［20-21］協(xié)議服務(wù)器端計算代價，但也存在缺少閱讀器與數(shù)據(jù)庫之間的雙向認(rèn)證的安全隱患；而VRTFA協(xié)議實(shí)現(xiàn)雙向認(rèn)證的同時，可以抵抗文獻(xiàn)［20-21］協(xié)議無法抵抗的密鑰全泄漏攻擊，具有更高的安全性。

6.2.3通信開銷對比分析

在通信開銷方面，VRTFA協(xié)議在認(rèn)證流程中發(fā)送13個單位長度的數(shù)據(jù)，所以總通信開銷為13。文獻(xiàn)［16］協(xié)議通信開銷為8，文獻(xiàn)［17］協(xié)議通信開銷為32，文獻(xiàn)［20］協(xié)議通信開銷為7，文獻(xiàn)［21］協(xié)議通信開銷為13。VRTFA協(xié)議與文獻(xiàn)［17］協(xié)議相比具備通信成本更低的優(yōu)勢，同時VRTFA協(xié)議在犧牲少量通信開銷的情況下可以抵抗文獻(xiàn)［16-17］協(xié)議無法抵抗的物理克隆攻擊和密鑰全泄漏攻擊。

VRTFA協(xié)議和現(xiàn)有RFID雙向認(rèn)證協(xié)議［16-17，20-21］的詳細(xì)性能對比分析如表3所示。

表3　VRTFA協(xié)議與其他RFID認(rèn)證協(xié)議性能對比分析

通過表3可以看出，與文獻(xiàn)［16-17］的認(rèn)證協(xié)議相比，雖然VRTFA協(xié)議的標(biāo)簽端存儲成本較高，但它犧牲了部分計算代價與存儲開銷，抵抗了物理克隆攻擊和密鑰全泄漏攻擊。VRTFA協(xié)議存儲開銷和標(biāo)簽計算代價比文獻(xiàn)［21-21］的認(rèn)證協(xié)議更低，成功實(shí)現(xiàn)了閱讀器與數(shù)據(jù)庫之間的安全雙向認(rèn)證。綜上所述，VRTFA協(xié)議避免了現(xiàn)有協(xié)議［16-17，20-21］存在的安全隱患，在能夠?qū)崿F(xiàn)更好安全性的同時也滿足RKE成本受限的需求。

7 結(jié)語

本文針對現(xiàn)有RKE存在重放攻擊與物理克隆攻擊的風(fēng)險，提出一種抵抗物理克隆攻擊的RFID雙因子認(rèn)證（VRTFA）協(xié)議。通過PUF和雙因子認(rèn)證防止遙控鑰匙被物理克隆或者非法盜用。VRTFA協(xié)議通過提前存放認(rèn)證參數(shù)的方式，在保障雙向認(rèn)證性的前提下解決了數(shù)據(jù)庫被攻擊而導(dǎo)致密鑰信息全泄漏的安全問題。VRTFA協(xié)議安全高效地保障了RKE的雙向認(rèn)證，更加適用于RKE等資源受限的實(shí)際應(yīng)用場景，為解決現(xiàn)有RKE認(rèn)證機(jī)制存在的安全隱患提出了一種新思路。

[1] CHENG J J， CHENG J L， ZHOU M C， et al. Routing in Internet of Vehicles： a review［J］. IEEE Transactions on Intelligent Transportation Systems， 2015， 16（5）： 2339-2352.

[2] 侯琬鈺，孫鈺，李大偉，等. 基于PUF的5G車聯(lián)網(wǎng)V2V匿名認(rèn)證與密鑰協(xié)商協(xié)議［J］. 計算機(jī)研究與發(fā)展， 2021， 58（10）：2265-2277.（HOU W Y， SUN Y， LI D W， et al. Anonymous authentication and key agreement protocol for 5G-V2V based on PUF［J］. Journal of Computer Research and Development， 2021， 58（10）： 2265-2277.）

[3] 宋濤，李秀華，李輝，等. 大數(shù)據(jù)時代下車聯(lián)網(wǎng)安全加密認(rèn)證技術(shù)研究綜述［J］. 計算機(jī)科學(xué)， 2022， 49（4）： 340-353.（SONG T， LI X H， LI H， et al. Overview of research on security encryption authentication technology of IoV in big data era［J］. Computer Science， 2022， 49（4）： 340-353.）

[4] 王春東，羅婉薇，莫秀良，等. 車聯(lián)網(wǎng)互信認(rèn)證與安全通信綜述［J］. 計算機(jī)科學(xué)， 2020， 47（11）： 1-9.（WANG C D， LUO W W， MO X L， et al. Survey on mutual trust authentication and secure communication of Internet of Vehicles［J］. Computer Science， 2020， 47（11）： 1-9.）

[5] FENG X， SHI Q， XIE Q， et al. P2BA： a privacy-preserving protocol with batch authentication against semi-trusted RSUs in Vehicular Ad hoc Networks［J］. IEEE Transactions on Information Forensics and Security， 2021， 16： 3888-3899.

[6] PASCALE F， ADINOLFI E A， COPPOLA S， et al. Cybersecurity in automotive： an intrusion detection system in connected vehicles［J］. Electronics， 2021， 10（15）： No.1765.

[7] LANG D， HAAR D van der. Recommendations for biometric access control system deployment in a vehicle context in South Africa［M］// KIM K J， KIM H Y. Information Science and Applications： ICISA 2019， LNEE 621. Singapore： Springer， 2020： 305-317.

[8] ALLADI T， KOHLI V， CHAMOLA V， et al. Artificial Intelligence （AI）-empowered intrusion detection architecture for the Internet of Vehicles［J］. IEEE Wireless Communications， 2021， 28（3）： 144-149.

[9] KAFAN. 360 Network Attack and Defense Lab announces that Tesla’s vulnerability can be removed without a key［EB/OL］. ［2022-01-21］.https：//bbs.kafan.cn/thread-1804633-1-1.html.

[10] 劉曉龍. 車聯(lián)網(wǎng)OBU多級安全架構(gòu)及通信方案研究［D］. 鎮(zhèn)江：江蘇大學(xué)， 2018.（LIU X L. Research on OBU-based multilevel security architecture and communication scheme for Internet of Vehicles［D］. Zhenjiang： Jiangsu University， 2018.）

[11] ELECFANS.百度成功破解T-BOX系統(tǒng) 車聯(lián)網(wǎng)安全邁上新高度［EB/OL］. （2016-11-30） ［2022-01-21］.http：//www.elecfans.com/qichedianzi/20161130453520.html.（ELECFANS. Baidu successfully cracked the T-BOX system and brought Internet of Vehicles security to a new level［EB/OL］. （2016-11-30） ［2022-01-21］.http：//www.elecfans.com/qichedianzi/20161130453520.html.）

[12] TENCENT. Tencent Cohen Lab successfully invaded Tesla remotely for the first time［EB/OL］. （2016-09-20） ［2022-01-21］.https：//tech.qq.com/a/20160920/048201.html.

[13] OK特斯拉. 喜聞樂見！特斯拉Model S被盜：1分鐘內(nèi)打開車門，3分鐘盜走車輛［EB/OL］. （2019-12-02） ［2022-01-21］.https：//www.oktesla.cn/2019/12/33280.html.（OK TESLA. Love to see and hear！ Tesla Model S was stolen： open the door within 1 minute and steal the vehicle within 3 minutes［EB/OL］. （2019-12-02） ［2022-01-21］.https：//www.oktesla.cn/2019/12/33280.html.）

[14] LIU Y， YIN X， DONG Y， et al. Lightweight authentication scheme with inverse operation on passive RFID tags［J］. Journal of the Chinese Institute of Engineers， 2019， 42（1）： 74-79.

[15] 李濤，劉亞麗. 一種基于雙PUF的RFID認(rèn)證協(xié)議［J］. 計算機(jī)研究與發(fā)展， 2021， 58（8）： 1801-1810.（LI T， LIU Y L. A double PUF-based RFID authentication protocol［J］. Journal of Computer Research and Development， 2021， 58（8）： 1801-1810.）

[16] 黃琪，凌捷. 一種超輕量級移動射頻識別的雙向認(rèn)證協(xié)議［J］. 計算機(jī)科學(xué)， 2017， 44（7）： 111-115.（HUANG Q， LING J. Ultra-lightweight mutual authentication protocol for mobile radio frequency identification［J］. Computer Science， 2017， 44（7）： 111-115.）

[17] 李璐璐，董慶寬，陳萌萌. 基于云的輕量級RFID群組標(biāo)簽認(rèn)證協(xié)議［J］. 計算機(jī)科學(xué)， 2019， 46（1）： 182-189.（LI L L， DONG Q K， CHEN M M. Cloud-based lightweight RFID group tag authentication protocol［J］. Computer Science， 2019， 46（1）： 182-189.）

[18] 王悅，樊凱. 物聯(lián)網(wǎng)中超輕量級RFID電子票據(jù)安全認(rèn)證方案［J］. 計算機(jī)研究與發(fā)展， 2018， 55（7）： 1432-1439.（WANG Y， FAN K. Ultra-lightweight RFID electronic ticket authentication scheme in IoT［J］. Journal of Computer Research and Development， 2018， 55（7）： 1432-1439.）

[19] 王國偉，賈宗璞，彭維平. 基于動態(tài)共享密鑰的移動RFID雙向認(rèn)證協(xié)議［J］. 電子學(xué)報， 2017， 45（3）： 612-618.（WANG G W， JIA Z P， PENG W P. A mutual authentication protocol of mobile RFID based on dynamic shared-key［J］. Acta Electronica Sinica， 2017， 45（3）： 612-618.）

[20] GOPE P， LEE J， QUEK T Q S. Lightweight and practical anonymous authentication protocol for RFID systems using physically unclonable functions［J］. IEEE Transactions on Information Forensics and Security， 2018， 13（11）： 2831-2843.

[21] GOPE P， SIKDAR B. An efficient privacy-preserving authenticated key agreement scheme for edge-assisted internet of drones［J］. IEEE Transactions on Vehicular Technology， 2020， 69（11）： 13621-13630.

[22] DAS M L. Two-factor user authentication in wireless sensor networks［J］. IEEE Transactions on Wireless Communications， 2009， 8（3）： 1086-1090.

[23] WANG D， HE D， WANG P， et al. Anonymous two-factor authentication in distributed systems： certain goals are beyond attainment［J］. IEEE Transactions on Dependable and Secure Computing， 2015， 12（4）： 428-442.

[24] 李文婷，汪定，王平. 無線傳感器網(wǎng)絡(luò)下多因素身份認(rèn)證協(xié)議的內(nèi)部人員攻擊［J］. 軟件學(xué)報， 2019， 30（8）： 2375-2391.（LI W T， WANG D， WANG P. Insider attacks against multi-factor authentication protocols for wireless sensor networks［J］. Journal of Software， 2019， 30（8）： 2375-2391.）

[25] QIU S， WANG D， XU G. Practical and provably secure three-factor authentication protocol based on extended chaotic-maps for mobile lightweight devices［J］. IEEE Transactions on Dependable and Secure Computing， 2022， 19（2）： 1338-1351.

[26] CAI Q， ZHAN Y， WANG Y. A minimalist mutual authentication protocol for RFID system & BAN logic analysis［C］// Proceedings of the 2008 ISECS International Colloquium on Computing， Communication， Control， and Management — Volume 2. Piscataway： IEEE， 2008： 449-453.

[27] LIU K， YE J， WANG Y. The security analysis on Otway-Rees protocol based on BAN logic［C］// Proceedings of the 4th International Conference on Computational and Information Sciences. Piscataway： IEEE， 2012： 341-344.

[28] XU H， DING J， LI P， et al. A lightweight RFID mutual authentication protocol based on physical unclonable function［J］. Sensors， 2018， 18（3）： No.760.

[29] 馬昌社. 前向隱私安全的低成本RFID認(rèn)證協(xié)議［J］. 計算機(jī)學(xué)報， 2011， 34（8）： 1387-1398.（MA C S. Low cost RFID authentication protocol with forward privacy［J］. Chinese Journal of Computers， 2011， 34（8）： 1387-1398.）

[30] YEH K H. A lightweight authentication scheme with user untraceability［J］. Frontiers of Information Technology and Electronic Engineering， 2015， 16（4）： 259-271.

[31] JAN M A， KHAN F， ALAM M， et al. A payload-based mutual authentication scheme for Internet of Things［J］. Future Generation Computer Systems， 2019， 92： 1028-1039.

[32] LIU Y， EZERMAN M F， WANG H. Double verification protocol via secret sharing for low-cost RFID tags［J］. Future Generation Computer Systems， 2019， 90： 118-128.

[33] WANG W， CHEN Q， YIN Z， et al. Blockchain and PUF-based lightweight authentication protocol for wireless medical sensor networks［J］. IEEE Internet of Things Journal， 2022， 9（11）： 8883-8891.

[34] SYAFRILAH Z， PERMANA A A， HANDAYANI A D. Modified RAP-WOTA for preventing man in the middle and replay attacks［C］// Proceedings of the 2019 International Workshop on Big Data and Information Security. Piscataway： IEEE， 2019： 73-78.

[35] BENDAVID Y， BAGHERI N， SAFKHANI M， et al. IoT device security： challenging “a lightweight RFID mutual authentication protocol based on physical unclonable function”［J］. Sensors， 2018， 18（12）： No.4444.

[36] MENG L， XU H， XIONG H， et al. An efficient certificateless authenticated key exchange protocol resistant to ephemeral key leakage attack for V2V communication in IoV［J］. IEEE Transactions on Vehicular Technology， 2021， 70（11）： 11736-11747.

[37] CREMERS C J F. The Scyther tool： verification， falsification and analysis of security protocols［C］// Proceedings of the 2008 International Conference on Computer Aided Verification， LNCS 5123. Berlin： Springer， 2008： 414-418.

Vehicle RKE two-factor authentication protocol resistant to physical cloning attack

LIU Changgeng1，2，3， LIU Yali1，2，3*， LU Qipeng1，2，3， LI Tao1，2，3， LIN Changlu2， ZHU Yi1

（1，，221116，；2（），350117，；3（），541004，）

Attackers can illegally open a vehicle by forgeing the Radio Frequency IDentification （RFID） signal sent by the vehicle remote key. Besides， when the vehicle remote key is lost or stolen， the attacker can obtain the secret data inside the vehicle remote key and clone a usable vehicle remote key， which will threaten the property and privacy security of the vehicle owner. Aiming at the above problems， a Vehicle RKE Two-Factor Authentication （VRTFA） protocol for vehicle Remote Keyless Entry （RKE） that resists physical cloning attack was proposed. The protocol is based on Physical Uncloneable Function （PUF） and biological fingerprint feature extraction and recovery functions， so that the specific hardware physical structure of the legal vehicle remote key cannot be forged. At the same time， the biological fingerprint factor was introduced to build a two-factor authentication protocol， thereby solving the security risk of vehicle remote key theft， and further guaranteeing the secure mutual authentication of vehicle RKE system. Security analysis results of the protocol using BAN logic show that VRTFA protocol can resist malicious attacks such as forgery attack， desynchronization attack， replay attack， man-in-the-middle attack， physical cloning attack， and full key leakage attack， and satisfy the security attributes such as forward security， mutual authentication， data integrity， and untraceability. Performance analysis results show that VRTFA protocol has stronger security and privacy and better practicality than the existing RFID authentication protocols.

vehicle Remote Keyless Entry (RKE); Radio Frequency Identification (RFID); mutual authentication; two-factor; Physical Uncloneable Function (PUF)

1001-9081（2023）11-3375-10

10.11772/j.issn.1001-9081.2022111802

2022?11?04；

2023?01?06；

國家自然科學(xué)基金資助項目（61702237）； 徐州市科技計劃項目（KC22052）； 福建省網(wǎng)絡(luò)安全與密碼技術(shù)重點(diǎn)實(shí)驗室（福建師范大學(xué)）開放課題（NSCL?KF2021?04）； 廣西密碼學(xué)與信息安全重點(diǎn)實(shí)驗室（桂林電子科技大學(xué)）研究課題（GCIS202114）； 江蘇師范大學(xué)研究生科研與實(shí)踐創(chuàng)新計劃項目（2021XKT1382， 2022XKT1488）； 教育部產(chǎn)學(xué)合作協(xié)同育人項目（202101374001）。

劉長庚（1997—），男，江蘇連云港人，碩士研究生，CCF會員，主要研究方向：無線射頻識別認(rèn)證、物聯(lián)網(wǎng)安全、隱私保護(hù)； 劉亞麗（1981—），女，江蘇徐州人，博士，教授，CCF高級會員，主要研究方向：信息安全、認(rèn)證和隱私保護(hù)、區(qū)塊鏈、車載自組織網(wǎng)絡(luò)、密碼算法和協(xié)議； 陸琪鵬（1999—），男，江蘇南京人，碩士研究生，主要研究方向：無線射頻識別認(rèn)證、隱私保護(hù)、物聯(lián)網(wǎng)安全、區(qū)塊鏈； 李濤（1998—），男，湖北黃岡人，碩士研究生，主要研究方向：無線射頻識別認(rèn)證、隱私保護(hù)、物聯(lián)網(wǎng)安全、區(qū)塊鏈； 林昌露（1978—），男，福建大田人，博士，教授，博士生導(dǎo)師，CCF會員，主要研究方向：密碼學(xué)、網(wǎng)絡(luò)安全、秘密共享、安全多方計算、公鑰密碼學(xué)； 祝義（1976—），男，江西九江人，博士，教授，CCF高級會員，主要研究方向：形式化分析、軟件可靠性、智能化軟件和自適應(yīng)學(xué)習(xí)。

TP309

A

2023?01?10。

This work is partially supported by National Natural Science Foundation of China （61702237）， Science and Technology Planning Foundation of Xuzhou City （KC22052）， Opening Foundation of Fujian Provincial Key Laboratory of Network Security and Cryptology Research Fund， Fujian Normal University （NSCL-KF2021-04）， Opening Foundation of Guangxi Key Laboratory of Cryptography and Information Security， Guilin University of Electronic Technology （GCIS202114）， Postgraduate Research and Practice Innovation Program of Jiangsu Normal University （2021XKT1382， 2022XKT1488）， Ministry of Education University-Industry Collaborative Education Program of China （202101374001）.

LIU Changgeng， born in 1997， M. S. candidate. His research interests include Radio Frequency Identification（RFID） authentication， Internet of Things security， privacy-preserving.

LIU Yali， born in 1981， Ph. D.， professor. Her research interests include information security， authentication and privacy-preserving， blockchain， vehicular ad-hoc network， cryptographic algorithms and protocols.

LU Qipeng， born in 1999， M. S. candidate. His research interests include Radio Frequency Identification （RFID） authentication， privacy-preserving， Internet of Things security， blockchain.

LI Tao， born in 1998， M. S. candidate. His research interests include Radio Frequency Identification （RFID） authentication， privacy-preserving， Internet of Things security， blockchain.

LIN Changlu， born in 1978， Ph. D.， professor. His research interests include cryptography， network security， secret sharing， secure multi-party computation， public-key cryptography.

ZHU Yi， born in 1976， Ph. D.， professor. His research interests include formal analysis， software reliability， intelligent software， adaptive learning.