0 引言

    由于人們無法感知射頻信號(hào)的非法讀取,，導(dǎo)致RFID技術(shù)存在特有的安全與隱私問題。在RFID系統(tǒng)的標(biāo)簽與閱讀器之間主要存在以下7種攻擊：假冒標(biāo)簽攻擊,、假冒讀寫器攻擊,、跟蹤標(biāo)簽攻擊,、竊聽攻擊、中間件攻擊,、重放攻擊,、去同步攻擊。其中假冒讀寫攻擊,、跟蹤標(biāo)簽攻擊,、竊聽攻擊與中間件攻擊破壞標(biāo)簽的隱私性。因此保證RFID系統(tǒng)的隱私,，需要滿足保密性,、不可跟蹤性、前向安全與驗(yàn)證讀寫器4種隱私保護(hù)需求^[1],。一些研究使用樹結(jié)構(gòu)來保存秘鑰,，以此降低搜索復(fù)雜度(O(n)->O(log n))，而此類方案易受妥協(xié)攻擊,，因此,，基于樹狀協(xié)議的隱私等級(jí)較低。

    文獻(xiàn)[2]基于物理實(shí)體的內(nèi)在物理構(gòu)造來唯一地標(biāo)識(shí)單個(gè)物理實(shí)體實(shí)現(xiàn)有效認(rèn)證的思路,，提出了PUF(物理不可克隆函數(shù)),，PUF具有魯棒性、不可克隆性以及不可預(yù)測(cè)性特點(diǎn),，目前廣泛應(yīng)用于RFID系統(tǒng)的認(rèn)證領(lǐng)域,。文獻(xiàn)[3，4]均采用PUF(物理不可克隆函數(shù))來提高RFID的安全性,，然而此類算法均為narrow-destructive隱私性^[5],，其搜索復(fù)雜度最低為O(logN)。

    本文提出一種基于PUF的RFID驗(yàn)證協(xié)議,，本協(xié)議最大的優(yōu)勢(shì)是無需搜索數(shù)據(jù)庫(識(shí)別標(biāo)簽),，其搜索復(fù)雜度僅為O(1)，因此本協(xié)議可應(yīng)用于大規(guī)模RFID網(wǎng)絡(luò),。本協(xié)議在標(biāo)簽與閱讀器端不需要多余的計(jì)算與通信開銷,，并且本算法可抵御旁道攻擊。

1 背景知識(shí)介紹

    假設(shè)標(biāo)簽為T,，其ID唯一,，閱讀器為R。RFID系統(tǒng)包含若干的閱讀器R,、發(fā)送器以及一個(gè)后端數(shù)據(jù)庫,，發(fā)送器與數(shù)據(jù)庫間有一個(gè)信道。

1.1 系統(tǒng)模型

    RFID功能可表示為如下的函數(shù)形式：

    (1)SetupReader(1^S)→(K_S，K_P)：生成一個(gè)公共參數(shù)K_P,、一個(gè)隱私參數(shù)K_S與一個(gè)閱讀器的安全參數(shù)s,，同時(shí)生成一個(gè)數(shù)據(jù)庫(其中保存標(biāo)簽的ID)。

    (2)生成一個(gè)標(biāo)簽(ID唯一),、一個(gè)秘鑰K與一個(gè)內(nèi)存狀態(tài)S,。如果該標(biāo)簽合法，則將ID與K保存于數(shù)據(jù)庫中,。

    (3)IdentTag→out：該函數(shù)表示標(biāo)簽T與閱讀器R之間的一次交互,。如果閱讀器最終識(shí)別出該標(biāo)簽，則輸出標(biāo)簽的ID,，否則輸出“?”,。

1.2 攻擊模型

    假設(shè)攻擊者A具備以下性質(zhì)：首先，攻擊者C執(zhí)行SetupReader(1^S)程序,，生成1^S,、K_S與K_P 3個(gè)參數(shù)，并將1^S,、K_P傳至A；然后A使用CreateTag^b(ID)生成標(biāo)簽,，本模型按標(biāo)簽是否在攻擊者的閱讀范圍內(nèi)將標(biāo)簽分類：如果在閱讀范圍內(nèi)分類,，則為危險(xiǎn)標(biāo)簽(DanTag)，否則為安全標(biāo)簽(SecTag),。

    為攻擊者定義以下10個(gè)行為或攻擊能力：

    (1)CreateTag^b(ID)：創(chuàng)建一個(gè)SecTag并為其分配一個(gè)ID,。該函數(shù)使用創(chuàng)建標(biāo)簽，如果該標(biāo)簽合法(b=1),，則將其加入數(shù)據(jù)庫中,。

    (2)DanTag(distr，n)→(vtag₀,，b₀,，…，vtag_n-1,，b_n-1)：從SecTag標(biāo)簽集中隨機(jī)地選擇n個(gè)標(biāo)簽,，并將標(biāo)簽狀態(tài)從SecTag變?yōu)镈antag。為選擇的標(biāo)簽分配一個(gè)新的ID并輸出虛擬標(biāo)簽(vtag₀,，…,，vtag_n-1)，如果該標(biāo)簽已經(jīng)為Dantag或已不存在,，則輸出“,？”。

    (3)Free(vtag)：將標(biāo)簽狀態(tài)從DanTag變?yōu)镾ecTag。

    (4)Launch()→π：觸發(fā)閱讀器開始新的協(xié)議循環(huán),，輸出為該輪協(xié)議的IDπ(為每輪協(xié)議設(shè)置一個(gè)標(biāo)識(shí)ID),。

    (5)SendReader(m，π)→m′：發(fā)送一個(gè)消息m至閱讀器R(在協(xié)議循環(huán)π中),，閱讀器的回復(fù)消息為m′,。

    (6)SendTag(m, vtag)→m′：發(fā)送一個(gè)消息m至標(biāo)簽，其虛擬ID為vtag,。閱讀器的回復(fù)消息為m′,。

    (7)Execute(vtag)→(π，transcript)：在標(biāo)簽(該標(biāo)簽虛擬ID為vtag)與閱讀器之間執(zhí)行完整的協(xié)議,。該協(xié)議由Lauch()開始,，然后是SendReader與SendTag，輸出協(xié)議循環(huán)π的成功消息列表,。

    (8)Result(π)→x：如果閱讀器成功識(shí)別一個(gè)合法的標(biāo)簽,，則返回1；否則返回0,。

    (9)Time(π)→δ：返回閱讀器的總計(jì)算時(shí)間δ,。

    (10)Corrupt(vtag)→S：獲得標(biāo)簽(虛擬ID為vtag)的當(dāng)前狀態(tài)S。

1.3 隱私分類

    攻擊者分為強(qiáng)(strong),、破壞性(destructive),、前向(forward)、弱(weak)攻擊者,，此外與這4類攻擊者正交的還有wide與narrow兩個(gè)攻擊者的概念,，wide攻擊者可通過閱讀器訪問認(rèn)證結(jié)果，但narrow攻擊不行,。圖1描述了6種攻擊概念之間的關(guān)系^[5],。

1.4 安全性級(jí)別

    定義1 正確性：如果在IdentTag程序之后R返回標(biāo)簽ID的成功率極高，則認(rèn)為該協(xié)議符合正確性,。

    定義2 強(qiáng)正確性：如果在R與合法標(biāo)簽T交互之后返回標(biāo)簽ID的成功率極高,，則認(rèn)為符合強(qiáng)正確性。

    定義3 穩(wěn)固性[5]：如果對(duì)合法標(biāo)簽T假冒攻擊的成功率極低,，則認(rèn)為符合穩(wěn)固性,。

1.5 隱私性

    定義4 盲攻擊：假設(shè)B表示一個(gè)算法，仿真了Lauch(),、SendReader(m,，π)、SendTag(m,，vtag)與Result(π)4個(gè)程序的串行組合(對(duì)于攻擊者A),，并且不知道任何的秘密信息,。一個(gè)盲攻擊者(A^B)不使用Lauch()、SendReader(m,，π),、SendTag(m，vtag)與Result(π)程序,，如果存在B,，則攻擊者A威脅極小，即|Pr[Awins]-Pr[A^B wins]|可忽略不計(jì),。

2 本文大規(guī)模RFID網(wǎng)絡(luò)安全協(xié)議

    定義5 Hash函數(shù)：假設(shè)l∈N是一個(gè)安全參數(shù),，γ，K∈N是l中的項(xiàng),，則hash函數(shù)H可定義為{0,，1}^γ→{0，1}^K,，其條件為：

    (1)對(duì)于一個(gè)給定的輸出y_i,，無法反向計(jì)算出滿足H(x_i)=y_i的x_i。

    (2)計(jì)算出滿足條件x_i≠x_j && H(x_i)=H(x_j)的參數(shù)組合(x_i,，x_j)難度極高,。

    定義6 物理不可克隆函數(shù)(PUF)^[6]：假設(shè)l∈N是安全參數(shù)，γ,，K∈N是l的項(xiàng),。理想的PUF(設(shè)為P)定義為{0，1}^γ→{0,，1}^K，其條件如下：

    (1)對(duì)于參數(shù)對(duì)(c_i,，c_j)∈{0,，1}^γ，P(c_i)=r_i,，P(c_j)=r_j,。如果c_i=c_j，則概率Pr[r_i=r_j]=1,。

    (2)攻擊者無法在有限次數(shù)內(nèi)計(jì)算出P的輸出,。

    表1所示是本文預(yù)設(shè)參數(shù)及其意義。

    本文協(xié)議主要有兩個(gè)階段：初始化與驗(yàn)證階段,，圖2所示是本文RFID隱私保護(hù)協(xié)議的主要流程,。

2.1 初始化階段

    為數(shù)據(jù)庫隨機(jī)生成秘鑰S，為每個(gè)標(biāo)簽生成兩個(gè)隨機(jī)且唯一的秘鑰a與b,。然后,，為每個(gè)標(biāo)簽計(jì)算其秘鑰c=SP(a)P(b),，其中P(·)是各標(biāo)簽的嵌入PUF。數(shù)據(jù)庫保存每個(gè)標(biāo)簽的基本信息{ID,，a,，b，DATA},。

2.2 驗(yàn)證階段

    (1)每個(gè)閱讀器生成一個(gè)隨機(jī)數(shù)r₁∈{0,，1}^l并廣播該隨機(jī)數(shù)。

    (2)標(biāo)簽T_i生成一個(gè)隨機(jī)數(shù)r₂∈{0,，1}^l,，計(jì)算M₁←H(r₁，r₂,，a_i),，M₂←H(r₁，r₂,，a_i)ID_i,，h←H(r₂，1,，2),。然后，將P_i(a_i)與r₂做異或運(yùn)算,，計(jì)算出消息k,。使用kP_i(b_i)c_i代替消息k，從內(nèi)存中刪除P_i(b_i),。標(biāo)簽將M₁,、M₂、k發(fā)送至閱讀器,。

    (3)閱讀器生成一個(gè)隨機(jī)數(shù)r₃∈{0,，1}^l。計(jì)算閱讀器通過計(jì)算驗(yàn)證M₁以實(shí)現(xiàn)標(biāo)簽T_i的驗(yàn)證,。如果成功驗(yàn)證標(biāo)簽T_i,，閱讀器則計(jì)算然后將r₃與M₃發(fā)送回標(biāo)簽T_i。

    (4)標(biāo)簽T_i通過計(jì)算H(h,，r₃,，b_i)驗(yàn)證M₃。如果驗(yàn)證成功,，則T_i成功驗(yàn)證閱讀器,。

3 本文協(xié)議的性能分析

3.1 安全性分析

    本文協(xié)議理論上可抵御假冒攻擊，下文將證明本方法對(duì)假冒攻擊具有安全性,。因?yàn)楸疚膮f(xié)議是無狀態(tài)協(xié)議,，并且標(biāo)簽無需與數(shù)據(jù)庫保持同步,，因此，去同步攻擊對(duì)本協(xié)議也無效,。

    引理1：假設(shè)A是一個(gè)destructive級(jí)別的攻擊者,。A的特點(diǎn)是在不執(zhí)行Corrupt程序的情況下，獲得共享秘鑰的成功率極低,。

    證明：假設(shè)有一個(gè)攻擊者A可學(xué)習(xí)共享秘鑰(不執(zhí)行Corrupt程序),。每個(gè)標(biāo)簽響應(yīng)閱讀器的查詢語句(M₁，M2,，k),，其中k=Sr₂，r₂是標(biāo)簽產(chǎn)生的隨機(jī)值,。為了獲得共享秘鑰S,，A需要知道隨機(jī)數(shù)r₂，然而,，r₂并沒有隨密文發(fā)送,，A必須從消息M₁、M₂與M₃中破解出r₂,。此外,，將標(biāo)簽ID ID_i以密文形式H(r₂，r₁,，1)ID_i發(fā)送至閱讀器,，在不知道隨機(jī)值的情況下A無法破解出IDi。

3.2 計(jì)算效率與隱私性實(shí)驗(yàn)與分析

    在此分析標(biāo)簽端與數(shù)據(jù)庫端的性能,。本協(xié)議中,，一個(gè)標(biāo)簽共需完成4個(gè)hash運(yùn)算、兩個(gè)PUF運(yùn)算與4個(gè)XOR運(yùn)算,，數(shù)據(jù)庫端則需要完成一個(gè)標(biāo)簽驗(yàn)證程序,，該驗(yàn)證需要3個(gè)hash運(yùn)算與兩個(gè)XOR運(yùn)算，其復(fù)雜度為O(1),。本協(xié)議在標(biāo)簽端與數(shù)據(jù)庫端均無需秘鑰更新機(jī)制。

    表2所示是本文方法與其他RFID隱私保護(hù)算法的計(jì)算效率與隱私性比較,，其中,，成本1：共2¹²⁸個(gè)標(biāo)簽的RFID網(wǎng)絡(luò)；成本2：共2¹⁶個(gè)標(biāo)簽的RFID網(wǎng)絡(luò),；成本3：共N個(gè)標(biāo)簽的RFID網(wǎng)絡(luò),；nonce：生成隨機(jī)數(shù)操作；hash：哈希運(yùn)算,；PUF：PUF運(yùn)算,。從中可看出,，本方法具有最高的隱私等級(jí)，并且其數(shù)據(jù)庫端的計(jì)算復(fù)雜度較低,。

4 結(jié)論

    PUF具有魯棒性,、不可克隆性以及不可預(yù)測(cè)性特點(diǎn)，本文提出一種基于PUF的RFID驗(yàn)證協(xié)議,，本協(xié)議最大的優(yōu)勢(shì)是無需搜索數(shù)據(jù)庫(識(shí)別標(biāo)簽),，其搜索復(fù)雜度僅為O(1)，因此本協(xié)議可應(yīng)用于大規(guī)模RFID網(wǎng)絡(luò),。與其他RFID隱私保護(hù)算法的比較結(jié)果顯示,，本方法具有最高的隱私等級(jí)，并且其數(shù)據(jù)庫端的計(jì)算復(fù)雜度較低,。

參考文獻(xiàn)

[1] 王良民,，茅冬梅，梁軍.基于RFID系統(tǒng)的隱私保護(hù)技術(shù)[J].江蘇大學(xué)學(xué)報(bào)：自然科學(xué)版,，2012,，33(6)：690-695.

[2] PAPPU R.Physical one-way functions[J].Science，2002,，297(5589)：2026-2030.

[3] AKGUN M,，CAGLAYAN M U.PUF based scalable private RFID authentication[C].Availability，Reliability and Security(ARES),，2011 Sixth International Conference on.IEEE,，2011：473-478.

[4] KARDAS S，KIRAZ M S,，BING?魻L M A,，et al.A novel RFID distance bounding protocol based on physically unclonable functions[C].Lecture Notes in Computer Science，2011：78-93.

[5] VAUDENAY S.On privacy models for RFID[M].Advances in Cryptology-ASIACRYPT 2007.Springer Berlin Heidelberg,，2007：68-87.

[6] SADEGHI A R,，VISCONTI I，WACHSMANN C.Pufenhanced rfid security and privacy[J].2nd Workshop on Secure Component and System Identification(SECSI′10),，2010,，24(3)：381-394.

[7] MOLNAR D，WAGNER D.Privacy and security in library RFID：issues,，practices,，and architectures[C].Acm Conference on Computer & Communications Security，2004：210-219.

[8] BRINGER J,，CHABANNE H,，ICART T.Improved privacy of the tree-based hash protocols using physically unclonable function[J].Lecture Notes in Computer Science，2007：77-91.

[9] AVOINE G,，DYSLI E,，OECHSLIN P.Reducing time complexity in RFID systems[C].Lecture Notes in Computer Science,，2005，3897：291-306.

[10] ALOMAIR B,，CLARK A,，CUELLAR J，et al.Scalable RFID systems：a privacy-preserving protocol with constant-time identification[J].Parallel & Distributed Systems IEEE Transactions on,，2011,，23(8)：1536-1550.

[11] AKGUN M，CAGLAYAN M U.PUF based scalable private RFID authentication[C].Availability,，Reliability and Security(ARES),，2011 Sixth International Conference on.IEEE，2011：473-478.

[12] KARDAS S,，CELIK S,，YLLDLZ M，et al.PUF-enhanced offline RFID security and privacy[J].Journal of Network & Computer Applications,，2012,，35(6)：2059-2067.

[13] ASADPOUR M，DASHTI M T.Scalable,，privacy preserving radio-frequency identification protocol for the internet of things[J].Concurrency and Computation：Practice and Experience,，2013，27(8)：1932-1950.