周清雷，周 靜

(鄭州大學(xué)信息工程學(xué)院，河南鄭州450001)

0 引言

RFID技術(shù)在日常生活中最常見的應(yīng)用是讀寫器和標(biāo)簽間的交互，RFID安全協(xié)議是實(shí)現(xiàn)這種交互的重要保證。其中RFID搜索協(xié)議是RFID認(rèn)證協(xié)議［1-6］的延伸，在大批量貨物中快速搜索目標(biāo)貨物、高效管理大型圖書館等多個(gè)應(yīng)用領(lǐng)域中具有重要的意義，但目前對(duì)其單獨(dú)的研究還比較少。Tan［7］較早的提出了搜索協(xié)議，但由于在整個(gè)協(xié)議中使用的是hash函數(shù)，導(dǎo)致標(biāo)簽成本較高;Kulseng［8］針對(duì)此問題在提出的新協(xié)議中用LFSR(linear feedback shift register)和PUF(physically unclonable function)構(gòu)造的隨機(jī)序列函數(shù)代替了hash函數(shù)，但引進(jìn)函數(shù)種類較多;Ahamed［9］、曹錚［10］、趙斌［11］等分別在協(xié)議中引用了偽隨機(jī)函數(shù)，但部分計(jì)算過程仍使用了hash函數(shù)，不能從根本上降低標(biāo)簽成本而且在提出的協(xié)議中采用信息更新機(jī)制來防止攻擊者重放，但卻會(huì)導(dǎo)致協(xié)議遭受新的重放攻擊。本文針對(duì)以上提出的問題，設(shè)計(jì)了一個(gè)簡(jiǎn)單的所需標(biāo)簽成本較低和安全性較高的RFID搜索協(xié)議，且利用UC模型對(duì)其安全性進(jìn)行了形式化證明，并將其與前人工作在相關(guān)特性和安全性方面進(jìn)行了對(duì)比，顯示了新協(xié)議的優(yōu)勢(shì)。

1 協(xié)議設(shè)計(jì)

本文所設(shè)計(jì)的新協(xié)議是無需后端數(shù)據(jù)庫的，在其運(yùn)行的整個(gè)過程中使用共享的偽隨機(jī)函數(shù)，利用了該函數(shù)所具有的偽隨機(jī)性，強(qiáng)單向性等性質(zhì)，但同時(shí)又考慮了其相對(duì)于hash函數(shù)較弱的抗碰撞性問題，從降低標(biāo)簽成本和提高安全性角度進(jìn)行了設(shè)計(jì)。

協(xié)議設(shè)計(jì)的前提:已知注冊(cè)機(jī)構(gòu)CA是可信任的，任何一個(gè)讀寫器在CA處注冊(cè)成功后才是合法的，而且所有的標(biāo)簽必須由CA分發(fā)。讀寫器一旦注冊(cè)成功，CA會(huì)對(duì)其授權(quán)一批標(biāo)簽，即該讀寫器能夠識(shí)別該批標(biāo)簽中的任何一個(gè)，而每個(gè)標(biāo)簽只能被這一個(gè)讀寫器識(shí)別。以讀寫器Ri和標(biāo)簽Tj為例，若Ri有權(quán)訪問Tj，其中Ri中存儲(chǔ)了一個(gè)參數(shù)列表Li(ki1:id1，ki2:id2，…kij:idj，…)，Tj存儲(chǔ)的參數(shù)為 idj和 kij。必要參數(shù)說明如下:

idj:Tj的身份標(biāo)識(shí)符，是唯一可區(qū)分的。

kij:Ri和Tj間的共享秘密，初始值由CA進(jìn)行分配，是唯一可區(qū)分的。

t:Ri產(chǎn)生的隨機(jī)數(shù)。

f():偽隨機(jī)函數(shù)。

||:連接運(yùn)算符。

⊕:異或運(yùn)算符。

*:對(duì)標(biāo)簽泛指的下標(biāo)標(biāo)記。

Tdesired:目標(biāo)標(biāo)簽。

Tnotdesired:非目標(biāo)標(biāo)簽。

kidesired:Ri和Tdesired間的共享秘密。

p:非目標(biāo)標(biāo)簽產(chǎn)生響應(yīng)的概率。

1.1 搜索協(xié)議1

根據(jù)設(shè)計(jì)的基本思想，協(xié)議1如下:

Ri→T*:f(t||kidesired)，t

T*:用自身的秘密信息與t進(jìn)行連接，經(jīng)過偽隨機(jī)函數(shù)運(yùn)算，驗(yàn)證所得結(jié)果與收到的函數(shù)值是否相等，若相等，則

Ri←Tdesired:f(t⊕kidesired)

Tdesired:更新kidesired為f(kidesired)

否則

Ri←Tnotdesired:以概率p向Ri發(fā)送一個(gè)隨機(jī)數(shù)

Ri:對(duì)收到的響應(yīng)進(jìn)行一一驗(yàn)證，若是確認(rèn)搜索到了目標(biāo)標(biāo)簽，則將kidesired更新為f(kidesired)。

在協(xié)議1中，Ri將f(t||kidesired)和t一同廣播出去，收到該消息的標(biāo)簽做相應(yīng)的驗(yàn)證后，若認(rèn)為搜索的是其自身，則發(fā)送f(t⊕k*)給讀寫器，同時(shí)用f(k*)來更新k*;否則，以事先設(shè)定好的概率p發(fā)送同樣位數(shù)的隨機(jī)值給Ri，Ri若收到了目標(biāo)響應(yīng)，則進(jìn)行相應(yīng)的秘密值更新。

協(xié)議1的優(yōu)勢(shì)有兩個(gè):用偽隨機(jī)函數(shù)代替了以前多數(shù)搜索協(xié)議中采用的hash函數(shù)，降低了標(biāo)簽成本;考慮了偽隨機(jī)函數(shù)的碰撞性問題，通過在廣播消息的偽隨機(jī)函數(shù)中采用連接運(yùn)算，而在目標(biāo)響應(yīng)消息的偽隨機(jī)函數(shù)中采用異或運(yùn)算，減小了碰撞發(fā)生的可能性，提高了搜索的準(zhǔn)確度。

但協(xié)議1存在的不足是:Tdesired和Ri成功認(rèn)證后將更新kidesired，由于各個(gè)k*不同才能保證協(xié)議的正確運(yùn)行，但更新后的kidesired是否能夠保持與沒有更新的標(biāo)簽的秘密信息不同，該協(xié)議無法保證。如果相同，再次尋找該標(biāo)簽時(shí)，可能導(dǎo)致其它標(biāo)簽產(chǎn)生Ri期待的目標(biāo)響應(yīng)，造成誤判。

1.2 搜索協(xié)議2

針對(duì)協(xié)議1中的不足，協(xié)議2如下:

Ri→ T*:f(t||kidesired)，t⊕ iddesired

T*:用自身的秘密信息與t進(jìn)行連接，經(jīng)過偽隨機(jī)函數(shù)運(yùn)算，驗(yàn)證所得結(jié)果與收到的函數(shù)值是否相等，若相等，則

Ri←Tdesired:f(t⊕kidesired)

Tdesired:更新kidesired為f(kidesired)

否則

Ri←Tnotdesired:以概率p向Ri發(fā)送一個(gè)隨機(jī)數(shù)

Ri:對(duì)收到的響應(yīng)進(jìn)行一一驗(yàn)證，若是確認(rèn)搜索到了目標(biāo)標(biāo)簽，則將kidesired更新為f(kidesired)。

協(xié)議2沒有直接廣播t，而是將(t⊕iddesired)進(jìn)行廣播。即使兩個(gè)不同標(biāo)簽的秘密值相同，但標(biāo)簽的身份標(biāo)識(shí)是唯一的，用身份標(biāo)識(shí)與收到的(t⊕iddesired)進(jìn)行異或運(yùn)算，不同的標(biāo)簽就會(huì)得到不同的t值，只有目標(biāo)標(biāo)簽才能得到原本的t值，從而有效地避免了協(xié)議2中提到的問題。

然而以上兩個(gè)協(xié)議仍存在著一個(gè)共同的問題:即標(biāo)簽和讀寫器的共享秘密信息更新可能不同步。原因有兩個(gè):①偽隨機(jī)函數(shù)相對(duì)于hash函數(shù)較弱的抗碰撞性，導(dǎo)致非目標(biāo)標(biāo)簽可能會(huì)誤認(rèn)為讀寫器搜索的是其自身，之后將秘密信息進(jìn)行了更新，而讀寫器卻不會(huì)進(jìn)行相應(yīng)的更新。那么當(dāng)讀寫器真正搜索該標(biāo)簽時(shí)，即使它存在，也無法搜索到。②通過更新kidesired來避免以追蹤為目的的重放攻擊，但其有效性卻是以該標(biāo)簽存在為前提的。這有可能導(dǎo)致另外一種目的的重放:若Ri在搜索Tdesired時(shí)，Tdesired由于某種原因沒有收到廣播消息，那么Ri和Tdesired中的kidesired都不會(huì)更新。此時(shí)攻擊者雖然對(duì)Ri搜索的目標(biāo)以及搜索結(jié)果都一無所知，但它能在竊聽到Ri廣播出的消息后，將此消息有選擇的在一定范圍內(nèi)重放，若Tdesired在該范圍內(nèi)且收到的是重放消息，那么該標(biāo)簽就會(huì)認(rèn)為是Ri在搜索自己，于是會(huì)更新kidesired，而Ri中的kidesired并沒有被更新，這樣也會(huì)導(dǎo)致Ri以后無法搜索到該標(biāo)簽。

1.3 搜索協(xié)議3

針對(duì)2.2節(jié)最后提到的問題，本節(jié)對(duì)Ri的參數(shù)列表進(jìn)行如下修改:在列表中增加一個(gè)搜索標(biāo)識(shí)位，以標(biāo)簽Tj為例，該標(biāo)識(shí)位為sij，初始化時(shí)，sij=1。下面給出以下定義:①當(dāng)sij=1時(shí)，表明Ri沒有搜索到Tj;②當(dāng)sij=2時(shí)，表明Ri搜索到了Tj。協(xié)議3如下:

Ri→ T*:f(t||kidesired)，t⊕ iddesired

T*:用自身的秘密信息與t進(jìn)行連接，經(jīng)過偽隨機(jī)函數(shù)運(yùn)算，驗(yàn)證所得結(jié)果與收到的函數(shù)值是否相等，若相等，則

Ri←Tdesired:f(t⊕kidesired)

Tdesired:更新kidesired為f(kidesired)

否則

Ri←Tnotdesired:以概率p向Ri發(fā)送一個(gè)隨機(jī)數(shù)

Ri:對(duì)收到的響應(yīng)進(jìn)行一一驗(yàn)證。⑴若搜索到了Tdesired，則將kidesired更新為f(kidesired)且將sij置為2;⑵若沒有搜索到Tdesired時(shí)，檢查sidesired的值:①若sidesired=1，那么Ri就用f(kidesired)代替消息中的kidesired，再次進(jìn)行廣播，若能收到Tdesired的響應(yīng)，則將kidesired的值更新為f(f(kidesired))且將sidesired的值置為2，否則sidesired和Tdesired的值不變;②若sidesired=2，則將sidesired的值置為1。

協(xié)議3增加了搜索標(biāo)識(shí)位處理機(jī)制，當(dāng)Ri此次沒有收到Tdesired的響應(yīng)時(shí)，則要檢查sidesired:若sidesired=2，則說明上次搜索該標(biāo)簽時(shí)搜索到了，可以肯定該標(biāo)簽此次不存在，將sidesired置為1;若sidesired=1，則有3種可能:①該標(biāo)簽確實(shí)不存在;②該標(biāo)簽存在，Ri以前從未搜索過它，但該標(biāo)簽曾經(jīng)誤認(rèn)為被Ri搜索過，標(biāo)簽的kidesired已經(jīng)被更新;③該標(biāo)簽存在，但已經(jīng)受到了重放攻擊，它的kidesired已經(jīng)被更新。所以當(dāng)檢查出sidesired=1時(shí)，Ri將用f(kidesired)代替原消息中的kidesired發(fā)起新一輪的搜索，從而來防止標(biāo)簽假丟失情況的發(fā)生。

2 基于UC模型對(duì)最終協(xié)議的安全性證明

通過安全性分析，協(xié)議3滿足機(jī)密性、匿名性、不可追蹤性、防竊聽、防重放和并發(fā)安全。本章將對(duì)此給出UC模型下的形式化證明。首先簡(jiǎn)要介紹UC模型如下:

2001年Canneti提出了UC(UniversallyComposable)模型，并定義了框架。該框架采用模塊化的思想，通過外界環(huán)境不能區(qū)分真實(shí)協(xié)議和理想?yún)f(xié)議的方法來證明協(xié)議是安全的。其中包括以下幾個(gè)要素:環(huán)境機(jī)Z，真實(shí)協(xié)議參與者P1，P2…Pn以及攻擊者A，理想?yún)f(xié)議虛擬參與者p'1，p'2…p'n，理想函數(shù)F以及理想攻擊者S。其中Z用來模擬協(xié)議運(yùn)行的整個(gè)外部環(huán)境。在該模型下，若對(duì)于任何攻擊者A和環(huán)境機(jī)Z，至少有一個(gè)理想攻擊者S，使Z不能夠區(qū)分出自身是在與理想?yún)f(xié)議交互，還是在與真實(shí)協(xié)議交互，那么就說真實(shí)協(xié)議πUC實(shí)現(xiàn)了理想函數(shù)F，即π是安全的。其中理想函數(shù)的設(shè)計(jì)是該證明方法的關(guān)鍵。

2.1 理想函數(shù)Fsearch的設(shè)計(jì)與安全性證明

本節(jié)設(shè)計(jì)的理想函數(shù)Fsearch為每一次會(huì)話分配一個(gè)會(huì)話號(hào)，且只和具有相同會(huì)話號(hào)的實(shí)體進(jìn)行通信，假設(shè)讀寫器是不可攻破的，攻擊者只能攻陷合法標(biāo)簽。Fsearch的具體內(nèi)容如下:

(1)收到R'i發(fā)來的消息broadcast()，則獨(dú)立隨機(jī)選擇一會(huì)話號(hào)ssid，記錄broadcast(ssid，R'i)，向攻擊者S發(fā)送消息broadcast(ssid，Anonymous(R'i))。

(2)收到某標(biāo)簽發(fā)來的消息response()，則對(duì)每一個(gè)標(biāo)簽，獨(dú)立隨機(jī)選擇一會(huì)話號(hào)ssid'，調(diào)用目標(biāo)驗(yàn)證函數(shù)g(ssid'，R'i，T'*)，驗(yàn)證是否等于ssid:①若相等，假設(shè)該標(biāo)簽為T'j:則將T'j的目標(biāo)標(biāo)識(shí)位設(shè)為1，表明它為目標(biāo)標(biāo)簽，記 錄 response(ssid'，T'j)， 向 攻 擊 者 S 發(fā) 送response(ssid'，Anonymous(T'j));②否則，以概率 p向攻擊者S發(fā)送response(ssid'，Anonymous(T'j))。

(3)收到攻擊者S發(fā)來的消息authenticate(ssid'，ssid，Anonymous(R'i)，Anonymous(T'j))，則查看有沒有記錄broadcast(ssid，R'i)和response(ssid'，T'j):①若有，則刪除這兩條記錄，記錄 link(ssid'，ssid，R'i，T'j)且向 T'j發(fā)送消息authenticate(R'i);②否則，忽略該消息。

(4)當(dāng)收到攻擊者 S發(fā)來的消息 search(ssid，ssid'，Anonymous(T'j)，Anonymous(R'i))，則查看T'j的攻陷標(biāo)志位是否為1:①若為1，表明T'j已經(jīng)被攻陷，則刪除當(dāng)前會(huì)話中關(guān)于T'j的所有信息，然后向R'i發(fā)送search(T'j);②否則，檢查有沒有記錄 link(ssid'，ssid，R'i，T'j):若有，則將其刪除，并向 R'i發(fā)送 search(T'j);否則，忽略這條消息。

(5)當(dāng)Fsearch收到攻擊者S發(fā)來的消息corrupt(ssid')，則將T'j的攻陷標(biāo)識(shí)位置為1。

(6)當(dāng) Fsearch收到攻擊者 S發(fā)來的消息impersonate(ssid＇)，則 檢 查 記 錄 broadcast(ssid，R'i) 或link(ssid'，ssid，R'i，T'j)是否存在:①若存在，則向 R'i發(fā)送search(T'j);②否則，忽略該消息。

下面證明Fsearch滿足本章開頭所提到的安全特性:

機(jī)密性:每次的會(huì)話號(hào)都是獨(dú)立隨機(jī)選擇的，只有理想函數(shù)能判斷出標(biāo)簽是否為目標(biāo)標(biāo)簽，因此攻擊者不能得到協(xié)議參與方的任何秘密信息。

匿名性:每次在傳送給 S的消息中用Anonymous(R'i)，Anonymous(T'j)，因此攻擊者只知道協(xié)議參與方的類型，不知道參與方的真實(shí)身份。

不可追蹤性:非目標(biāo)標(biāo)簽總是以概率p向S發(fā)送消息，因此S無法識(shí)別出目標(biāo)標(biāo)簽響應(yīng)，即對(duì)目標(biāo)標(biāo)簽的存在性不能做出判斷，從而無法對(duì)其追蹤。

防竊聽:由于對(duì)通信方的身份實(shí)行了匿名制，即使攻擊者獲取了通信方之間的所有通信消息，也不能從中獲得有用的信息，尤其是秘密信息。

防重放:每一次的會(huì)話號(hào)都是獨(dú)立隨機(jī)選擇的，而且在本次會(huì)話結(jié)束后，函數(shù)會(huì)刪除標(biāo)簽和讀寫器的會(huì)話記錄，即使攻擊者在新會(huì)話中重放以前的消息，理想函數(shù)也會(huì)對(duì)其忽略。

并發(fā)安全:只有當(dāng)前子會(huì)話結(jié)束后，理想函數(shù)才會(huì)對(duì)新會(huì)話進(jìn)行響應(yīng)和處理，有效解決多個(gè)標(biāo)簽同時(shí)訪問理想函數(shù)出現(xiàn)沖突的情況。

所以，F(xiàn)search實(shí)現(xiàn)了機(jī)密性、匿名性、不可追蹤性、防竊聽、防重放和并發(fā)安全等安全特性。

2.2 對(duì)真實(shí)協(xié)議的安全性證明

為了證明的方便，將協(xié)議3稱為πsearch，下面來證明πsearch是UC安全的。

命題 假設(shè)真實(shí)協(xié)議中的偽隨機(jī)函數(shù)是安全的，則對(duì)于任何一個(gè)攻擊者，πsearchUC實(shí)現(xiàn)了理想函數(shù)Fsearch的功能。

證明:對(duì)于任何攻擊者A、環(huán)境機(jī)Z，若至少有一個(gè)理想攻擊者S，使Z無法區(qū)分出自身是在與虛擬參與者R'i，T'*和S的交互，還是在與實(shí)際參與者Ri，T*和A的交互，從而認(rèn)為πsearch安全地實(shí)現(xiàn)了Fsearch的功能。下面來構(gòu)造攻擊者S:

首先，模擬S與Z的交互，Z產(chǎn)生所有的輸入，S把從Z傳來的輸入寫到A的輸入帶，同樣，A把輸出帶的內(nèi)容拷貝到S的輸出帶上，被Z讀。其次，模擬S與A和Fsearch的交互，其過程如下:

(1)當(dāng) S收到 Fsearch發(fā)來的消息 broadcast(ssid，Anonymous(R'i))，則生成一個(gè)新的會(huì)話號(hào)newssid，記錄broadcast(newssid，reader)，接著發(fā)送消息broadcast(newssid，reader)給真實(shí)協(xié)議攻擊者A。

(2)當(dāng) S收到 Fsearch發(fā)來的消息 response(ssid'，Anonymous(T'j))，則生成一個(gè)新的會(huì)話號(hào)newssid'，記錄response(newssid'，tag)，發(fā) 送 消 息 response(newssid'，tag)給真實(shí)協(xié)議攻擊者A。

(3)當(dāng) S收到 A發(fā)來的消息 authenticate(newssid'，newssid，reader，tag)，則 查 看 記 錄 broadcast(newssid，reader)和response(newssid'，tag)是否存在:

若存在，則將其刪除，記錄 link(newssid，newssid'，reader，tag) 且 向 Fsearch發(fā) 送 authenticate(ssid'，ssid，Anonymous(R'i)，Anonymous(T'j));

(4)當(dāng)S收到A發(fā)來的消息 search(newssid，newssid'，reader，tag)，則:①若該tag的攻陷標(biāo)識(shí)位為1，則刪除S中關(guān)于它的所有信息直接向 Fsearch發(fā)送 search(ssid，ssid'，Anonymous(R'i)，Anonymous(T'j));②否則，查看記錄link(newssid，newssid'，reader，tag)是否存在:若存在，刪除該記錄，且向 Fsearch發(fā)送 search(ssid，ssid'，Anonymous(R'i)，Anonymous(T'j));否則，忽略該消息。

(5)當(dāng)S收到A發(fā)來的消息corrupt(newssid')，則將S中的tag的攻陷標(biāo)識(shí)位設(shè)為1。

(6)當(dāng)S收到A發(fā)來的消息impersonate(newssid'，Tj)，則 若 記 錄 broadcast(newssid，reader)或 者 link(newssid，newssid'，reader，tag)存在，則直接發(fā)送 impersonate(ssid＇)給Fsearch，這與理想?yún)f(xié)議中的操作是一樣的。

下面分情況來證明真實(shí)協(xié)議與理想?yún)f(xié)議對(duì)于任意的環(huán)境機(jī)Z都是不可區(qū)分的:

(1)當(dāng)標(biāo)簽Tj被攻陷時(shí)

很顯然，這種情況下理想?yún)f(xié)議和真實(shí)協(xié)議是不可區(qū)分的。

(2)當(dāng)標(biāo)簽Tj沒有被攻陷時(shí)

下面利用可證明安全方法的思想來證明之。若對(duì)于任何攻擊者A、環(huán)境機(jī)Z，至少有一個(gè)理想攻擊者S，使Z能夠區(qū)分出自身是在與真實(shí)協(xié)議交互還是在與理想?yún)f(xié)議交互，則:在理想?yún)f(xié)議中，虛擬參與者與Fsearch間建立會(huì)話時(shí)的會(huì)話號(hào)，是Fsearch隨機(jī)獨(dú)立選擇的。而在真實(shí)協(xié)議中，每次A都會(huì)激發(fā)參與者產(chǎn)生一個(gè)偽隨機(jī)函數(shù)值，而標(biāo)簽和讀寫器自身的內(nèi)部行為及交互，對(duì)Z來說是不可見的。已知算法D是由Z構(gòu)造的，具有以下功能:在每次仿真交互時(shí)執(zhí)行Z的若干副本中的一個(gè)，且針對(duì)Z，模擬攻擊者A和實(shí)體Ri、T*并與其交互。當(dāng)實(shí)體即將重新產(chǎn)生一個(gè)隨機(jī)數(shù)時(shí)，讓函數(shù)l生成一個(gè)偽隨機(jī)數(shù)。若Z在實(shí)體T*未輸出結(jié)果時(shí)已攻陷了T*，則D終止運(yùn)行且輸出一個(gè)隨機(jī)值;不然，D繼續(xù)運(yùn)行且其輸出為Z的輸出。若D沒有終止，且l是偽隨機(jī)函數(shù)，那么Z的輸出為它和πsearch交互時(shí)的輸出;若l是隨機(jī)函數(shù)，那么Z的輸出為它和Fsearch交互的輸出。所以，若Z能以不可忽略的概率區(qū)分出πsearch和Fsearch，那么D就能夠利用向一個(gè)隨機(jī)預(yù)言機(jī)發(fā)出詢問的方式，以同樣的概率區(qū)分出偽隨機(jī)函數(shù)和隨機(jī)函數(shù)。因?yàn)閭坞S機(jī)函數(shù)是安全的，從而得出矛盾。由以上可得，對(duì)于任何攻擊者A和環(huán)境機(jī)Z，至少有一個(gè)理想攻擊者S，使得Z不能區(qū)分出自身是在與R'i，T*和S交互，還是在與Ri，T*和A交互，從而πsearch安全地實(shí)現(xiàn)了理想函數(shù)Fsearch的功能。綜合 (1)(2)，可以得出結(jié)論:πsearch是UC安全的，實(shí)現(xiàn)了機(jī)密性、匿名性、不可追蹤性、防竊聽、防重放、并發(fā)安全等安全特性。

3 分析與比較

下面就本文的最終協(xié)議與Tan、Ahamed、曹錚、趙斌分別在對(duì)應(yīng)文獻(xiàn)［7，9-11］提出的協(xié)議在相關(guān)特性與安全性方面進(jìn)行分析對(duì)比見表1。

表1 協(xié)議相關(guān)特性對(duì)比表

表1結(jié)果顯示，新協(xié)議相對(duì)其他幾個(gè)協(xié)議降低了標(biāo)簽成本，且解決了以往協(xié)議中存在的通信雙方信息更新不同步問題。

表2 協(xié)議安全性對(duì)比表

表2結(jié)果顯示，新協(xié)議比其他幾個(gè)協(xié)議更安全，具有較高的安全性。

4 結(jié)束語

本文首先對(duì)前人的工作進(jìn)行了分析和總結(jié)，針對(duì)出現(xiàn)的標(biāo)簽成本較高以及容易遭受攻擊等問題，通過3個(gè)協(xié)議來逐層展示協(xié)議設(shè)計(jì)的過程，在這三個(gè)協(xié)議中，后一個(gè)協(xié)議總是對(duì)前一個(gè)協(xié)議的改進(jìn)和完善，形成了最終的搜索協(xié)議3，且利用UC模型對(duì)其安全性進(jìn)行了形式化證明，得出該協(xié)議是UC安全的，最后對(duì)新協(xié)議與前人協(xié)議在相關(guān)特性及安全性方面進(jìn)行了對(duì)比，其結(jié)果達(dá)到了協(xié)議設(shè)計(jì)的初衷。

本文在協(xié)議的設(shè)計(jì)過程中有3個(gè)創(chuàng)新點(diǎn):①協(xié)議中完全采用了偽隨機(jī)函數(shù)，真正減少了標(biāo)簽邏輯門的數(shù)量，降低了標(biāo)簽成本，適合于低成本的RFID系統(tǒng)。②考慮了偽隨機(jī)函數(shù)可能引發(fā)的碰撞性問題，提高了搜索的準(zhǔn)確度。③通過在讀寫器存儲(chǔ)列表中增加搜索標(biāo)識(shí)位避免了以通信雙方秘密信息更新不同步為目的的重放攻擊，提高了安全性，這同時(shí)也解決了非重放原因造成的更新不同步問題。但新協(xié)議也有不足:當(dāng)讀寫器沒有搜索到目標(biāo)標(biāo)簽時(shí)，有可能要發(fā)起新一輪的搜索，這種情況將會(huì)導(dǎo)致搜索效率的下降。所以新協(xié)議比較適合于實(shí)時(shí)性要求不高，安全性要求相對(duì)較高的應(yīng)用。因此，如何在降低標(biāo)簽成本和保證安全性的基礎(chǔ)上，設(shè)計(jì)出更加高效的RFID搜索協(xié)議，是下一步需要做的工作。

［1］TAN C C，SHENG B，LI Q.Secure and serverless RFID authentication and search protocols［J］.IEEE Transactions on Wireless Communications，2008，7(4):1400-1407.

［2］QI Yong，YAO Qingsong，CHEN Ying，et al.Study on RFID authentication protocol theory ［J］.China Communications，2011，8(1):65-71.

［3］LI Jian，SONG Danjie，GUO Xiaojing，et al.ID updating-based RFID mutual authentication protocol for low-cost tags［J］.China Communications，2011，8(7):122-127.

［4］WEI C H，HWANG M S，Chin A Y.A mutualauthentication protocol for RFID ［J］.IT Professional，2011，13(2):20-24.

［5］DING Zhenhua，LI Jintao，F(xiàn)ENG Bo.The research of secure authentication protocol based on hash function for RFID ［J］.Journal of Computer Research and Development，2009，4(4):483-592(in Chinese).［丁振華，李錦濤，馮波.基于Hash函數(shù)的RFID安全認(rèn)證協(xié)議的研究［J］.計(jì)算機(jī)研究與發(fā)展，2009，4(4):483-592.］

［6］Seo K J，Jeon J C，Yoo K Y.A reinforced authentication protocol for anti-counterfeiting and privacy protection［C］//6th International Conference on Information Technology:New Gergerations.Las Vegas:IEEE Press，2009:1610-1611.

［7］TAN C C，SHENG B，LI Q.Serverless search and authentication protocols for RFID ［C］//5th International Conference on Pervasive Computing and Communication.New York:IEEE Press，2007:24-29.

［8］Kulseng L，YU Z，WEI Y.Light weight secure search protocols for low-cost RFID systems［C］//29th International Conference on Distributed Computing Systems.Washington:IEEE Press，2009:40-48.

［9］Ahamed S，Rahman F，Hoque E，et al.S3PR:Secure serverless search protocols for RFID ［C］//International Conference on Information Security and Asurance.Hawaii:IEEE Press， 2008:187-192.

［10］CAO Zheng，DENG Miaolei.A univerally composable RFID search protocol［J］.Journal of Huazhong University of Science and Technology，2011，39(4):56-59(in Chinese).［曹錚，鄧淼磊.通用可組合的RFID協(xié)議［J］.華中科技大學(xué)學(xué)報(bào)，2011，39(4):56-59.］

［11］ZHAO Bin.The research on RFID security authentication and search protocols without back-end database［D］.Xian:Xian University of Electronic Science and Technology，2011(in Chinese).［趙斌.無后端數(shù)據(jù)庫的RFID安全認(rèn)證和搜索協(xié)議研究 ［D］.西安:西安電子科技大學(xué)，2011.］