張瑩，孫兵兵

（公安部第一研究所通信技術(shù)事業(yè)部北京100048）

超輕量級(jí)RFID認(rèn)證協(xié)議研究*

張瑩，孫兵兵

（公安部第一研究所通信技術(shù)事業(yè)部北京100048）

RFID技術(shù)已廣泛應(yīng)用于物流、身份識(shí)別、電子票證、公共交通等各個(gè)領(lǐng)域，然而由于無(wú)線信道的開(kāi)放性，使得其容易成為攻擊者的目標(biāo)，因此RFID安全問(wèn)題亟待解決。為了降低RFID標(biāo)簽的硬件開(kāi)銷，一些高效、低成本的超輕量級(jí)RFID認(rèn)證協(xié)議受到越來(lái)越多的關(guān)注。本文總結(jié)了RFID認(rèn)證協(xié)議的研究現(xiàn)狀，針對(duì)超輕量級(jí)認(rèn)證協(xié)議，在介紹其認(rèn)證過(guò)程的同時(shí)，重點(diǎn)分析協(xié)議的安全性和可用性，討論了在RFID實(shí)際應(yīng)用環(huán)境中需要解決的問(wèn)題。

RFID；認(rèn)證協(xié)議；超輕量級(jí)

0 引言

無(wú)線射頻識(shí)別（Radio Frequency Identification，RFID）技術(shù)是一種非接觸式的自動(dòng)識(shí)別技術(shù)，該技術(shù)已廣泛應(yīng)用于物流、身份識(shí)別、電子票證、公共交通等各個(gè)領(lǐng)域。由于RFID標(biāo)簽受到諸如存儲(chǔ)空間、計(jì)算能力和電源供給等方面的限制，一些成熟的認(rèn)證協(xié)議方案無(wú)法應(yīng)用，因此設(shè)計(jì)高效、低成本的RFID認(rèn)證協(xié)議成為廣泛討論的熱點(diǎn)。

本文第1節(jié)分析RFID系統(tǒng)的基本需求；第2節(jié)總結(jié)歸納目前RFID認(rèn)證協(xié)議的研究現(xiàn)狀；第3節(jié)詳細(xì)介紹并分析各個(gè)超輕量級(jí)RFID認(rèn)證協(xié)議；第4節(jié)對(duì)本文進(jìn)行簡(jiǎn)單的總結(jié)，并指出超輕量級(jí)RFID認(rèn)證協(xié)議在實(shí)際應(yīng)用中存在的安全問(wèn)題。

1 RFID生統(tǒng)的基本需求

本節(jié)將重點(diǎn)介紹RFID系統(tǒng)的基本需求，主要包括安全和開(kāi)銷兩個(gè)方面的需求。

1.1 安全需求

在RFID通信中，攻擊可以通過(guò)中斷、截獲、篡改等方式對(duì)傳輸?shù)男畔⑦M(jìn)行破壞，從而使得RFID系統(tǒng)遭受安全威脅。因此認(rèn)證協(xié)議的安全性需要滿足以下要求［1-2］：

（1）授權(quán)訪問(wèn)

由于RFID系統(tǒng)的標(biāo)簽和讀寫器間通過(guò)不安全的無(wú)線信道傳輸信息，當(dāng)攻擊者惡思篡改其傳輸信息時(shí)，可能導(dǎo)致讀寫器無(wú)法認(rèn)證合法標(biāo)簽，影響RFID系統(tǒng)的使用。因此需要確保只有合法的讀寫器才能識(shí)別標(biāo)簽中的信息、對(duì)標(biāo)簽進(jìn)行讀寫操作。

（2）隱私保護(hù)

由于RFID標(biāo)簽中的信息涉及到用戶的隱私，如果攻擊者獲得這些信息，那么用戶的隱私權(quán)將受到侵害，也會(huì)制約RFID技術(shù)的應(yīng)用領(lǐng)域。因此需要確保攻擊者無(wú)法通過(guò)獲得標(biāo)簽中的信息而識(shí)別出用戶，防止用戶的個(gè)人身份信息泄露。

（3）不可追蹤性

由于RFID標(biāo)簽和讀寫器之間信道是無(wú)線的開(kāi)放信道，使得攻擊者能夠較容易竊取到數(shù)據(jù)，因此需要確保傳輸信息的無(wú)規(guī)律性，即對(duì)于相同的挑戰(zhàn)信息，相應(yīng)的應(yīng)答信息不具有相關(guān)性，防止攻擊者獲得相關(guān)信息對(duì)標(biāo)簽進(jìn)行跟蹤，從而掌握產(chǎn)品的行動(dòng)路徑。

（4）抗重放攻擊

在重放攻擊中，攻擊者能夠竊取到有效的RFID信號(hào)，將其中的信息保存下來(lái)，再將其發(fā)送給讀寫器，并不斷地重放。由于這些信息是真實(shí)有效的，因此系統(tǒng)將會(huì)正常接收這些信息并進(jìn)行處理。RFID系統(tǒng)需要能夠抵抗重放攻擊，防止攻擊者通過(guò)重放欺騙合法用戶。

（5）抗去同步化攻擊

在去同步化攻擊中，攻擊者通過(guò)噪聲信號(hào)使得RFID通信射頻阻塞，或者對(duì)共享密鑰變化的RFID認(rèn)證協(xié)議進(jìn)行攻擊，使得標(biāo)簽和讀寫器雙方的共享密鑰不一致，造成RFID系統(tǒng)失效。因此RFID系統(tǒng)需要能夠抵抗去同步化攻擊，即確保攻擊者無(wú)法令標(biāo)簽和讀寫器的共享密鑰不相同，或者當(dāng)雙方失步時(shí)，確?？梢酝ㄟ^(guò)有效手段使得共享密鑰再次同步。

1.2 開(kāi)銷需求

由于RFID標(biāo)簽資源的有限性，因此重點(diǎn)考慮RFID系統(tǒng)中的標(biāo)簽的開(kāi)銷需求，主要包括存儲(chǔ)量、計(jì)算量和通信量。

（1）存儲(chǔ)量

RFID標(biāo)簽保存密鑰信息所需的存儲(chǔ)空間。

（2）計(jì)算量

在RFID系統(tǒng)認(rèn)證過(guò)程中，標(biāo)簽所需的位運(yùn)算、加解密、生成隨機(jī)數(shù)等運(yùn)算的資源開(kāi)銷。

（3）通信量

在RFID系統(tǒng)認(rèn)證過(guò)程中，標(biāo)簽與讀寫器進(jìn)行信息交互所消耗的通信帶寬。

在情況允許的前提下，超輕量級(jí)認(rèn)證協(xié)議的方案應(yīng)該盡可能地減少RFID標(biāo)簽的硬件資源開(kāi)銷，并盡可能地提高整個(gè)RFID系統(tǒng)的安全性。

2 相關(guān)研究

由于低成本的RFID標(biāo)簽硬件資源有限，使得成熟的密碼技術(shù)在RFID領(lǐng)域的應(yīng)用受到很大的制約，因此安全算法所需要的硬件開(kāi)銷是RFID安全解決方案重點(diǎn)考慮的因素。根據(jù)RFID標(biāo)簽可支持運(yùn)算的復(fù)雜度，可以將RFID認(rèn)證協(xié)議分為四類［3-4］：重量級(jí)、中量級(jí)、輕量級(jí)和超輕量級(jí)。

（1）重量級(jí)認(rèn)證協(xié)議

重量級(jí)認(rèn)證協(xié)議也稱為完善級(jí)別（full-fledged class）的認(rèn)證協(xié)議，其采用成熟的、高安全性的密碼算法，包括對(duì)稱加密算法（如DES、IDEA等）和非對(duì)稱加密算法（如RSA、ECC等）。曲型的重量級(jí)認(rèn)證協(xié)議包括：Martin等人提出的基于AES算法的RFID雙向認(rèn)證協(xié)議［5］；Juels等人提出的適用于電子護(hù)照的基于ICAO標(biāo)準(zhǔn)的認(rèn)證協(xié)議［6］；Finkenzeller提出的三通互相鑒別協(xié)議［7］。

（2）中量級(jí)認(rèn)證協(xié)議

中量級(jí)認(rèn)證協(xié)議也稱為簡(jiǎn)單級(jí)別（simple class）的認(rèn)證協(xié)議，其需要RFID標(biāo)簽支持復(fù)雜度相對(duì)較低的Hash函數(shù)和生成隨機(jī)數(shù)的運(yùn)算。曲型的中量級(jí)認(rèn)證協(xié)議包括：Sarma等人提出的Hash -Lock協(xié)議［8］［9］，該協(xié)議可以防止信息泄露和位置跟蹤；Weis等人提出的基于隨機(jī)數(shù)的詢問(wèn)-應(yīng)答機(jī)制的隨機(jī)化Hash-Lock協(xié)議［10］；Ohkubo等人提出的Hash鏈協(xié)議［11］；Henrici等人提出的基于Hash函數(shù)的ID變化協(xié)議［12］，該協(xié)議可以抵抗重放攻擊。

（3）輕量級(jí)認(rèn)證協(xié)議

輕量級(jí)認(rèn)證協(xié)議需要RFID標(biāo)簽支持生成隨機(jī)數(shù)和簡(jiǎn)單運(yùn)算（如CRC），而不需要標(biāo)簽支持Hash函數(shù)，降低了運(yùn)算的復(fù)雜度，從而降低標(biāo)簽的成本。曲型的輕量級(jí)認(rèn)證協(xié)議是基于LPN問(wèn)題的HB協(xié)議族，包括：HB協(xié)議［13］、HB+協(xié)議［14］、HB++協(xié)議［15］、HB#協(xié)議［16］、HB-MP協(xié)議［17］、HB-MP+協(xié)議［18］、HB-MP++協(xié)議［19］、Trusted-HB協(xié)議［20］、NLHB協(xié)議［21］、RCHB協(xié)議［22］、F-HB協(xié)議［23］、HB-TREE協(xié)議［24］。

（4）超輕量級(jí)認(rèn)證協(xié)議

超輕量級(jí)認(rèn)證協(xié)議僅需要RFID標(biāo)簽支持簡(jiǎn)單的位運(yùn)算（如：或、與、異或等），進(jìn)一步降低了標(biāo)簽的成本。雖然超輕量級(jí)認(rèn)證協(xié)議的安全強(qiáng)度低于前三類協(xié)議，卻能夠更好地克服RFID標(biāo)簽計(jì)算能力低、存儲(chǔ)空間不足等特點(diǎn)。因此，超輕量級(jí)RFID認(rèn)證協(xié)議成為近年來(lái)學(xué)者們研究的熱點(diǎn)。

3 超輕量級(jí)RFID認(rèn)證協(xié)議方案

3.1 UMAP協(xié)議族

2006年，Peris等人提出了超輕量級(jí)認(rèn)證協(xié)議族UMAP，包括LMAP協(xié)議［25］、EMAP協(xié)議［26］和M2AP協(xié)議［27］，本節(jié)將重點(diǎn)介紹其中最具代表性的LMAP協(xié)議。為了防止信息泄露，該協(xié)議使用假名IDS代替真實(shí)的標(biāo)簽ID，且在認(rèn)證過(guò)程中不斷更新IDS，讀寫器和標(biāo)簽共享密鑰K（由4個(gè)96bit的子密鑰級(jí)聯(lián)組成，即K=K1‖K2‖K3‖K4）。LMAP協(xié)議流程如圖1所示。

圖1 LMAP協(xié)議

LMAP協(xié)議的執(zhí)行過(guò)程如下：

（1）讀寫器向標(biāo)簽發(fā)送認(rèn)證請(qǐng)求Hello；

（2）標(biāo)簽將假名IDS發(fā)送給讀寫器；

（3）讀寫器查詢后臺(tái)數(shù)據(jù)庫(kù)，通過(guò)假名IDS找到對(duì)應(yīng)的子密鑰K1、K2和K3，生成隨機(jī)數(shù)n1和n2，再計(jì)算消息A、B、C，最后將級(jí)聯(lián)后的消息A||B||C發(fā)送給標(biāo)簽；

（4）標(biāo)簽根據(jù)消息A、B分別計(jì)算得到隨機(jī)數(shù)n1，比較兩次的計(jì)算結(jié)果n1是否相同，如果相同，則標(biāo)簽對(duì)讀寫器認(rèn)證成功。認(rèn)證成功后，標(biāo)簽計(jì)算消息D，并將其發(fā)送給讀寫器；

（5）讀寫器接收到消息D后，使用與標(biāo)簽計(jì)算D相同的公式來(lái)計(jì)算消息D＇，并將消息D和D＇進(jìn)行比較，如果相同，則讀寫器對(duì)標(biāo)簽認(rèn)證成功，反之失?。?/p>

（6）通信雙方根據(jù)公式對(duì)假名和密鑰進(jìn)行更新：IDSnew=（IDS+（n2⊕K4））⊕ID、K1new=K1⊕n2⊕（K3+ID）、K2new=K2⊕n2⊕（K4+ID）、K3new=（K3⊕n1）+（K1⊕ID）、K4new=（K4⊕n1）+（K2⊕ID）。

LAMP協(xié)議提供了雙向認(rèn)證，并且密鑰和假名的更新機(jī)制可以有效地防止信息泄露。然而Li等人通過(guò)去同步化攻擊使得讀寫器和標(biāo)簽雙方的密鑰更新失步，導(dǎo)致認(rèn)證失敗，并通過(guò)全泄露攻擊獲得標(biāo)簽中存儲(chǔ)的所有密鑰信息［28］。

3.2 SASI協(xié)議

2007年，Chien等人提出了強(qiáng)認(rèn)證性強(qiáng)完整性協(xié)議，即SASI協(xié)議［4］（SASI，Strong Authentication and Strong Integrity）。在SASI協(xié)議中，讀寫器和標(biāo)簽共享密鑰K1和K2，并且使用動(dòng)態(tài)的假名IDS，Rot（x，y）為循環(huán)移位函數(shù)，x循環(huán)左移y位，該協(xié)議流程如圖2所示。

圖2 SASI協(xié)議

SASI協(xié)議的執(zhí)行過(guò)程如下：

（1）讀寫器向標(biāo)簽發(fā)送認(rèn)證請(qǐng)求Hello；

（2）標(biāo)簽將假名IDS發(fā)送給讀寫器；

（3）讀寫器查詢后臺(tái)數(shù)據(jù)庫(kù)，通過(guò)假名IDS找到對(duì)應(yīng)的密鑰K1和K2，生成隨機(jī)數(shù)n1和n2，再計(jì)算消息A、B、、和C，最后將級(jí)聯(lián)后的消息A||B||C發(fā)送給標(biāo)簽；

（4）標(biāo)簽根據(jù)接收到的消息A、B和自己的假名IDS以及密鑰K1和K2，計(jì)算得到隨機(jī)數(shù)n1和n2，再計(jì)算消息C＇，并比較C＇與接收到的C是否相同，如果相同，則標(biāo)簽對(duì)讀寫器認(rèn)證成功。認(rèn)證成功后，標(biāo)簽計(jì)算消息D，并將D發(fā)送給讀寫器；

（5）讀寫器接收到消息D后，使用與標(biāo)簽計(jì)算D相同的公式來(lái)計(jì)算消息D＇，并將消息D和D＇進(jìn)行比較，如果相同，則讀寫器對(duì)標(biāo)簽認(rèn)證成功，反之失敗；

（6）通信雙方根據(jù)公式IDSnew=（IDS+ID）⊕（n2⊕）、K1new=和K2new=，進(jìn)行假名和密鑰的更新。

SASI協(xié)議具有前向安全性，在很大程度上增加了協(xié)議的安全性。然而Hung-Min等人通過(guò)去同步化攻擊成功破解SASI協(xié)議，使得讀寫器和標(biāo)簽在密鑰更新階段時(shí)，其共享密鑰不相同［29］。

3.3 PUMAP協(xié)議

物理不可克隆函數(shù)（Physically Unclonable Functions，PUF）是由一組微型延遲電路構(gòu)成，在芯片制造過(guò)程中產(chǎn)生的差異具有不可克隆性，即使是該芯片的制造商也不可能進(jìn)行復(fù)制。因此RFID認(rèn)證協(xié)議可以利用PUF技術(shù)的不可克隆性，使得不同的標(biāo)簽具有不同的PUF函數(shù)，從而防止標(biāo)簽遭受克隆攻擊［30］。

2012年Bassil等人提出了一種基于PUF的超輕量級(jí)雙向認(rèn)證協(xié)議（PUMAP），在該協(xié)議中讀寫器和標(biāo)簽共享2個(gè)96bit的密鑰SVT和 SVR，其是利用 PUF函數(shù)生成的，即 SVT=PUF （RAND ）、SVR=PUF（ SVT），由于每個(gè)標(biāo)簽的PUF函數(shù)不同，因此每個(gè)標(biāo)簽的密鑰信息也不相同，PUMAP議流程如圖3所示。

圖3 PUMAP協(xié)議

PUMAP協(xié)議的執(zhí)行過(guò)程如下：

（1）讀寫器向標(biāo)簽發(fā)送認(rèn)證請(qǐng)求Hello；

（2）標(biāo)簽將SVT發(fā)送給讀寫器；

（3）讀寫器查詢后臺(tái)數(shù)據(jù)庫(kù)，通過(guò)假名SVT找到對(duì)應(yīng)的SVR，生成隨機(jī)數(shù)n1和n2，再計(jì)算消息A、B、C，最后將級(jí)聯(lián)后的消息A||B||C發(fā)送給標(biāo)簽；

（4）標(biāo)簽根據(jù)接收到的消息A、B，分別計(jì)算得到隨機(jī)數(shù)n1和n2，再計(jì)算消息C＇，并比較C＇與接收到的C是否相同，如果相同，則標(biāo)簽對(duì)讀寫器認(rèn)證成功。認(rèn)證成功后，標(biāo)簽計(jì)算消息D，并利用PUF函數(shù)計(jì)算SVTnew、SVRnew，在計(jì)算消息E、F，最后將消息D||E||F發(fā)送給讀寫器；

（5）讀寫器接收到消息D后，使用與標(biāo)簽計(jì)算D相同的公式來(lái)計(jì)算消息D＇，并將消息D和D＇進(jìn)行比較，如果相同，則讀寫器對(duì)標(biāo)簽認(rèn)證成功，反之失?。徽J(rèn)證成功后，讀寫器通過(guò)消息E、F得到SVTnew、SVRnew，并對(duì)后臺(tái)數(shù)據(jù)庫(kù)的SVT和SVR進(jìn)行更新。

Bassil等人認(rèn)為其提出的PUMAP協(xié)議可以抵抗重放攻擊和去同步化攻擊。然而PUMAP協(xié)議不具有不可追蹤性，攻擊者只需要截獲一次認(rèn)證過(guò)程就能夠計(jì)算出標(biāo)簽與讀寫器的共享密鑰信息［32］。

3.4 改進(jìn)的LMAP+協(xié)議

2012年 Gurubani等人提出了改進(jìn)的 LMAP+協(xié)議［33］，與LMAP+協(xié)議相比該協(xié)議增加了一項(xiàng)密鑰信息，并且改變了公開(kāi)交互信息和密鑰更新的公式。在改進(jìn)的LMAP+協(xié)議中，讀寫器和標(biāo)簽共享密鑰信息（K1，K2，K3）和動(dòng)態(tài)假名IDS。改進(jìn)的LMAP+協(xié)議流程如圖4所示。

圖4 改進(jìn)的LMAP+協(xié)議

改進(jìn)的LMAP+協(xié)議的執(zhí)行過(guò)程如下：

（1）讀寫器向標(biāo)簽發(fā)送認(rèn)證請(qǐng)求Hello；

（2）標(biāo)簽將假名IDS發(fā)送給讀寫器；

（3）讀寫器查詢后臺(tái)數(shù)據(jù)庫(kù)，通過(guò)假名IDS找到對(duì)應(yīng)的子密鑰K1、K2，并生成隨機(jī)數(shù)n，再計(jì)算消息A、B，最后將消息A||B發(fā)送給標(biāo)簽；

（4）標(biāo)簽根據(jù)消息A、B分別計(jì)算得到隨機(jī)數(shù)n，比較兩次的計(jì)算結(jié)果n是否相同，如果相同，則標(biāo)簽對(duì)讀寫器認(rèn)證成功。認(rèn)證成功后，標(biāo)簽計(jì)算消息C，并將其發(fā)送給讀寫器；

（5）讀寫器接收到消息C后，使用與標(biāo)簽計(jì)算C相同的公式來(lái)計(jì)算消息C＇，并將消息C和C＇進(jìn)行比較，如果相同，則讀寫器對(duì)標(biāo)簽認(rèn)證成功，反之失?。?/p>

（6）通信雙方根據(jù)公式對(duì)假名和密鑰進(jìn)行更新：SIDnew=SID⊕n+（K1+K2+K3）、K1new=K1⊕n+（SIDnew+K2）、K2new=K2⊕n+（SIDnew+K3）、K3new=K3⊕n+（SI Dnew+K1）。

改進(jìn)的LMAP+協(xié)議僅使用簡(jiǎn)單的位異或運(yùn)算和模2加法運(yùn)算，適用于低成本的RFID系統(tǒng)。然而改進(jìn)的LMAP+協(xié)議仍存在安全隱愚，通過(guò)一種基于模擬退火算法的啟發(fā)式攻擊策略可以成功推算出密鑰信息，完成全泄漏攻擊和追蹤性攻擊［34］。

4 結(jié)語(yǔ)

重量級(jí)和中量級(jí)認(rèn)證協(xié)議基本采用成熟的密碼算法，雖然硬件資源開(kāi)銷較大，但是此類的認(rèn)證協(xié)議安全性較高，可以滿足雙向認(rèn)證、密鑰同步更新等安全需求。在輕量級(jí)認(rèn)證協(xié)議方面，尤其是基于LPN問(wèn)題的HB協(xié)議族目前仍無(wú)有效的手段防止中間人攻擊，無(wú)法解決密鑰更新問(wèn)題，并且只提供單向認(rèn)證，即讀寫器對(duì)標(biāo)簽進(jìn)行認(rèn)證。

在超輕量級(jí)認(rèn)證協(xié)議方面，雖然協(xié)議對(duì)硬件資源的要求較低，可以滿足低成本RFID系統(tǒng)的要求，但是到目前為止，還沒(méi)有有效地解決去同步化攻擊和位置追蹤等問(wèn)題。因此，結(jié)合實(shí)際的RFID應(yīng)用環(huán)境和設(shè)備的局限性，設(shè)計(jì)安全、高效、低成本的超輕量級(jí)RFID認(rèn)證協(xié)議仍然是當(dāng)前該領(lǐng)域的研究熱點(diǎn)。

［1］李暉，牛少彰編著.無(wú)線通信安全理論與技術(shù)［M］.北京：北京郵電大學(xué)出版社，2011.

［2］施騰飛.移動(dòng)支付安全系統(tǒng)研究與實(shí)現(xiàn)［D］.北京：北京郵電大學(xué)，2012.

［3］丁治加.RFID關(guān)鏈技術(shù)研究與實(shí)現(xiàn)［D］.合肥：中加科學(xué)技術(shù)大學(xué)，2009.

［4］CHEN Hung-yu.SASI：A New Ultralightweight RFID Authentication Protocol Providing Strong Authentication and Strong Integrity［J］.Dependable and Secure Computing，IEEE Transactions on，2007，4（4）：337-340.

［5］Martin Feldhofer，Sandra Dominikus，Johannes Wolkerstorfer. Strong Authentication for RFID Systems Using the AES Algotiyhm［J］.Cryptographic Hardware and Embedded Systems-CHES 2004，Volume 3156，2004：357-370.

［6］Juels A，Molner D，Wagner D.Security and Privacy Issues in E-Passports［C］//International Conference on Security and Privacy for Emerging Areas in Communications Networks.Networks：IEEE，2005：74-88.

［7］Finkenzeller.RFID Handbook：Fundamental and Applications in Contactless Smart Cards and Identification［M］.New Jersey：John Wiley&Sons，2003.

［8］Sarma S E，Weis S A，Engels D W.RFID Systems and Security and Privacy Implications［J］.Proceedings of the 4th International Workshop on Cryptographic Hardware and Embedded Systems（CHES 2002）.Lectures Notes in Computer Science 2523，Berlin：Springer-Verlag，2003：454-469.

［9］Sarma S E，Weis S A，Engels D W.Radio Rrequency Identification：Secure Risksand Challenges［J］.RSA Laboratories Cryptobytes，2003，6（1）：2-9.

［10］Weis S A，Sarma S E，Rivest R L.Security and Privacy Aspects of Low-Cost Radio Frequency Identification Systems ［J］.Security in Pervasive Computing.2004（8）：201-212.

［11］Ohkubo M，Suzuki K，Kinoshita S.Hash-Chain Based Forward Secure Privacy Protection Scheme for Low-Cost RFID ［C］.Symposium on Cryptography and Information Security. Sendai：SCIS，2004：719-724.

［12］Henrici D，Muller P.Hash-based Enhancement of Location Privacy for Radio Frequency Identification Devices Using Varying Identifiers［C］//Proceedings of the 2nd IEEE Annual Conference on Pervasive Computing and Communications Workshops.Washington：IEEE，2004：149-153.

［13］Nicholas J.Hopper，Manuel Blum.Secure Human Identification Protocols［C］//ASIACRYPT.Berlin：Springer，2001：52-66.

［14］Ari Juels，Shen A Weis.Authenticating Pervasive Devices with Human Protocols［C］//CRYPTO 2005.Berlin：Springer，2005：293-308.

［15］Julien Bringer，Herv Chabanne，Emmanuelle Dottax.HB++：A Lightweight Authentication Protocol Secure Against some attacks［J］.SecPerU IEEE Computer Society.2006：28-33.

［16］Henri Gilbert，Matthew J B Robshaw，Yannick Seurin.HB#：Increasing the Security and Efficiency of HB+［C］//EUROCRYPT 2008.Berlin：Springer，2008：361-387.

［17］Jorge Munilla，Alberto Peinado.HB-MP：A Further Step in the HB-Family of Lightweight Authentication Protocols［J］. Computer Network，2007，51（9）：2262-2267.

［18］LENG Xue-fei，Keith Mayes，Konstantions Markantonakis. HB-MP+protocol：An Improvement on the HB-MP Protocol ［C］//IEEE International Conference on RFID.Las Vegas，NV：IEEE，2008：118-124.

［19］Bongno Yoon，Man Young Sung，Sujin Yeon and Hyun S. Oh.HB-MP++Protocol：An Ultral Light-Weight Authentication Protocol for RFID System［C］//IEEE International Conference on RFID.Orlando，F(xiàn)L：IEEE，2009：186-191.

［20］Julien Bringer，Herve Chabanne.Trusted-HB：A Low-Cost Version of HB+Secure against Man-in-the-Middle Attacks ［J］.IEEE Transaction on Information Theory，2008，54 （9）：4339-4342.

［21］Mukundan Madhavan，Andrew Thangaraj，and Yogesh Sankarasubramaniam.NLHB：A Light-Weight，Provably Secure Variant of the HB Protocol using Simple Non-Linear Functions［C］//National Conference on Communications（NCC）. Chennai：IEEE，2010：1-5.

［22］Samia A Ali，Reffat M Mohamed，Mahmoud H Fahim. RCHB：Light-Weight Provably-Secure Variants of the HB Protocol Using Rotation and Complementation［C］//2011 5th International Conference on Network and System Security （NSS）.Milan：IEEE，2011：244-247.

［23］CAO Xiao-lin，Maire O＇Neill.F-HB：An Efficient Forward Private Protocol［C］//2011 Workshop on Lightweight Security&Privacy：Devices，Protocols，and Applications.Istanbul：IEEE，2011：53-60.

［24］Halevi T，Saxena N and Halevi S.Using HB Family of Protocols for Privacy-Preserving Authentication of RFID Tags in a Population［C］//Workshop on RFID Security-RFIDSec＇09. Leuven，Belgium：ACM，2009：155-161.

［25］Pedro Peris-Lopez，Julio Cesar Hernandez-Castro，Juan M.Estevez Tapiador，et，al.LMAP：A Real Lightweight Mutual Authentication Protocol for Low-Cost RFID Tags［C］//Second Workshop on RFID Security.Graz，Ecrypt：IEEE，2006：6-17.

［26］Pedro Peris-Lopez，Julio Cesar Hernandez-Castro，Juan M. Estevez Tapiador，et，al.EMAP：An Efficient Mutual Authentication Protocol for Low-Cost RFID Tags［C］//OTM 2006 Workshops.Berlin：Springer，2006：352-361.

［27］Pedro Peris-Lopez，Julio Cesar Hernandez-Castro，Juan M. Estevez Tapiador，et，al.M2AP：A Minimalist Mutual-Authentication Protocol for Low-Vost RFID Tags［C］//Ubiquitous Intelligence and Computing.Berlin：Springer-Verlag，2006：912-923.

［28］LI Tie-yan，WANG Gui-lin.Security Analysis of Two Ultra-Lightweight RFID Authention Protocols［C］//IFIP-SEC＇07. Sandton：Spinger，2007：109-120.

［29］SUN Hung-min，TING Wei-chih，WANG King-hang.On the Security of Chien＇s Ultralightweight RFID Authentication Protocol［J］.IEEE Transactions on Dependable and Secure Computing，2011（8）：513-317.

［30］Gassend B，Clarke D，Devadas S，et a1.Silicon Physical Random Functions［C］//ACM Conference on Computer and Communications Security.New York：ACM，2002：148-160.

［31］Bassil R，El-Beaino W，Itani W，et a1.PUMAP：A Pufbased Ultra-Lightweight Mutual-Authentication RFID Protocol［J］.International Journal of RFID Security and Cryptography，2012（1）：58-66.

［32］李暉，夏偉，鄧冠阡等.超輕量級(jí)雙向認(rèn)證協(xié)議PUMAP的安全性分析［J］.北京理工大學(xué)學(xué)報(bào)，2013，33（12）：1259-1262.

［33］Gurubani J B，Thakkar H，Patel D R.Improvements over extended LMAP+：RFID Authentication Protocol［C］//International Conference on Trust Management-IFIPTM.Surat，India：Springer，2012：225-231.

［34］王超，秦小膦，劉亞麗.對(duì)改進(jìn)LMAP+協(xié)議的啟發(fā)式攻擊策略［J］.計(jì)算機(jī)科學(xué)，2014，41（5）：143-149.

RFID Ultralight Weight Authentication Protocols

ZHANG Ying，SUN Bing-bing
（Communication Technology Department，the 1st Research Institute of Ministry of Public Security，Beijing 100048，China）

Nowadays，RFID technology is widely applied to logistics，identification，e-tickets，public transport and so on.RFID system，for the openness of wireless channel，easily becomes the target of external attackers，and thus the security of RFID is now a problem demanding prompt solution.In order to reduce the hardware cost of RFID tags，some efficient，low-cost and ultralight RFID authentication protocols attract more and more attention from the people.This paper discusses the recent development of RFID authentication protocols.It describes the authentication procedures of ultralight authentication protocols，emphatically analyzes the security and availability of these protocols，and then proposes the problems to be solved in RFID practical applications.

RFID，authentication protocol，ultralight

TN92

A

1009-8054（2015）09-0109-05

張 瑩（1987—），女，碩士，助理工程師，主要研究方向?yàn)橐苿?dòng)通信安全；

2015-04-21

孫兵兵（1985—），女，博士，工程師，主要研究方向?yàn)橐苿?dòng)智能終端。■