楊興春，許春香，李朝榮

(1.電子科技大學(xué) 計(jì)算機(jī)科學(xué)與工程學(xué)院，成都 611731； 2.四川警察學(xué)院 計(jì)算機(jī)科學(xué)與技術(shù)系，四川 瀘州 646000；3.宜賓學(xué)院 計(jì)算機(jī)與信息工程學(xué)院，四川 宜賓 644000)

(*通信作者電子郵箱Yangxc2004@163.om)

基于ECC的支持標(biāo)簽所有權(quán)轉(zhuǎn)移的RFID認(rèn)證協(xié)議

楊興春1,2*，許春香1，李朝榮3

(1.電子科技大學(xué) 計(jì)算機(jī)科學(xué)與工程學(xué)院，成都 611731； 2.四川警察學(xué)院 計(jì)算機(jī)科學(xué)與技術(shù)系，四川 瀘州 646000；3.宜賓學(xué)院 計(jì)算機(jī)與信息工程學(xué)院，四川 宜賓 644000)

(*通信作者電子郵箱Yangxc2004@163.om)

針對(duì)射頻識(shí)別(RFID)標(biāo)簽認(rèn)證及其所有權(quán)轉(zhuǎn)移過(guò)程的隱私泄露等安全問(wèn)題，以及認(rèn)證協(xié)議通常與標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議單獨(dú)設(shè)計(jì)的現(xiàn)狀，基于支持橢圓曲線加密(ECC)的標(biāo)簽，提出了一個(gè)適用于開放環(huán)境的兼具標(biāo)簽認(rèn)證和所有權(quán)轉(zhuǎn)移的協(xié)議。該協(xié)議結(jié)構(gòu)類似于Diffie-Hellman密鑰交換算法結(jié)構(gòu)，協(xié)議的標(biāo)簽隱私保護(hù)基于橢圓曲線上的計(jì)算性Diffie-Hellman問(wèn)題的難解性。經(jīng)證明，該協(xié)議滿足標(biāo)簽隱私保護(hù)要求及認(rèn)證協(xié)議的其他安全需求。與近年來(lái)其他基于標(biāo)簽支持ECC的RFID認(rèn)證協(xié)議相比，從支持標(biāo)簽所有權(quán)轉(zhuǎn)移、標(biāo)簽計(jì)算開銷、協(xié)議通信開銷和標(biāo)簽隱私保護(hù)等多方面綜合評(píng)估，所提出的認(rèn)證協(xié)議優(yōu)于對(duì)比協(xié)議。另外，針對(duì)較安全的應(yīng)用場(chǎng)合，給出了閱讀器單向認(rèn)證標(biāo)簽的簡(jiǎn)化版協(xié)議。

射頻識(shí)別；認(rèn)證協(xié)議；標(biāo)簽；所有權(quán)轉(zhuǎn)移；橢圓曲線加密

0 引言

射頻識(shí)別技術(shù)(Radio-Frequency Identification，RFID)作為物聯(lián)網(wǎng)的主要技術(shù)之一，目前已廣泛應(yīng)用于工業(yè)和商業(yè)領(lǐng)域，如智能控制、車載物聯(lián)網(wǎng)、供應(yīng)鏈管理、門禁訪問(wèn)控制、智能醫(yī)療管理等。一個(gè)典型的RFID應(yīng)用系統(tǒng)由標(biāo)簽(Tag)、閱讀器/查詢器(Reader/Interrogator)、后臺(tái)服務(wù)器(Back-end Server)組成?；谥圃斐杀究紤]，標(biāo)簽的計(jì)算能力和存儲(chǔ)能力有限。根據(jù)芯片供電來(lái)源，標(biāo)簽分為三類：有源標(biāo)簽、無(wú)源標(biāo)簽和半有源標(biāo)簽。有源標(biāo)簽由芯片集成電池供電，可主動(dòng)發(fā)送信號(hào)，通信距離較長(zhǎng)。無(wú)源標(biāo)簽內(nèi)置線圈天線，靠閱讀器發(fā)送的射頻能量供電，因而其通信距離有限。半有源標(biāo)簽在休眠狀態(tài)時(shí)由集成于芯片的電池供電，以維持芯片電路所需能量；當(dāng)與閱讀器通信時(shí)，靠閱讀器發(fā)送的射頻能量供電。閱讀器具有較強(qiáng)的計(jì)算能力，用于查詢標(biāo)簽并轉(zhuǎn)發(fā)收到的標(biāo)簽信息至后臺(tái)服務(wù)器。后臺(tái)服務(wù)器有很強(qiáng)的計(jì)算能力和存儲(chǔ)能力，用于檢索/盤點(diǎn)標(biāo)簽及其所附著物品的信息。RFID系統(tǒng)典型結(jié)構(gòu)如圖1所示。

對(duì)標(biāo)簽的認(rèn)證是RFID系統(tǒng)的基本功能。標(biāo)簽中存儲(chǔ)有標(biāo)簽標(biāo)識(shí)符、密鑰等秘密信息，只有當(dāng)服務(wù)器(通過(guò)閱讀器)成功認(rèn)證標(biāo)簽后，用戶才能從系統(tǒng)數(shù)據(jù)庫(kù)中檢索到該標(biāo)簽及其附著物品的相關(guān)信息。因此，在協(xié)議層面上，RFID應(yīng)用需要標(biāo)簽認(rèn)證協(xié)議作為支撐。

基于RFID的應(yīng)用(尤其是供應(yīng)鏈管理)，標(biāo)簽會(huì)從制造商轉(zhuǎn)移到標(biāo)簽發(fā)行者，再由發(fā)行者轉(zhuǎn)移到物品供應(yīng)商，或再?gòu)囊患?jí)物品供應(yīng)商轉(zhuǎn)移到二級(jí)供應(yīng)商，并最終隨商品流通至用戶。在標(biāo)簽轉(zhuǎn)移過(guò)程中，其標(biāo)識(shí)符和密鑰等信息(即標(biāo)簽所有權(quán)，Tag ownership)將會(huì)從標(biāo)簽當(dāng)前擁有者的服務(wù)器轉(zhuǎn)移到新?lián)碛姓叩姆?wù)器。此后，新的擁有者便能利用閱讀器成功發(fā)起對(duì)標(biāo)簽的認(rèn)證，并獲取標(biāo)簽及其附著產(chǎn)品的相關(guān)信息。因此，標(biāo)簽所有權(quán)轉(zhuǎn)移也需要相應(yīng)協(xié)議的支撐。

圖1 RFID系統(tǒng)典型結(jié)構(gòu)Fig. 1 Typical structure of an RFID system

但隨著RFID技術(shù)的深入應(yīng)用，各種安全問(wèn)題也隨之而來(lái)，如標(biāo)簽及其持有者的隱私泄露問(wèn)題、標(biāo)簽數(shù)據(jù)的安全問(wèn)題[1]等。導(dǎo)致這些問(wèn)題的原因之一是標(biāo)簽性能低，如僅支持異或運(yùn)算、冗余校驗(yàn)、偽隨機(jī)數(shù)產(chǎn)生器(為了控制標(biāo)簽的商用成本)；另一個(gè)原因是RFID協(xié)議的設(shè)計(jì)缺陷和協(xié)議安全模型的缺乏?？紤]到對(duì)安全要求較高的應(yīng)用，如各類金融卡、電子護(hù)照/駕照、重要門禁等，低性能標(biāo)簽已不能滿足此類應(yīng)用要求。因此，支持公鑰加密、尤其是橢圓曲線加密(Elliptic Curve Cryptography, ECC)的標(biāo)簽應(yīng)運(yùn)而生[2-7]。

1 相關(guān)工作

文獻(xiàn)[8]提出了第一個(gè)基于ECC的RFID標(biāo)簽認(rèn)證協(xié)議，但該協(xié)議對(duì)標(biāo)簽的身份標(biāo)識(shí)符沒有采取保護(hù)措施，因此標(biāo)簽不具有匿名性，存在隱私泄露問(wèn)題；文獻(xiàn)[9]提出了一個(gè)閱讀器-標(biāo)簽雙向認(rèn)證協(xié)議，但文獻(xiàn)[10]中指出該協(xié)議不具備標(biāo)簽隱私保護(hù)，并易受標(biāo)簽假冒攻擊和服務(wù)器假冒攻擊；基于文獻(xiàn)[9]的工作，文獻(xiàn)[11]提出了一個(gè)改進(jìn)的認(rèn)證協(xié)議，但文獻(xiàn)[12]中指出該協(xié)議不具有標(biāo)簽的前向隱私保護(hù)，并引入Hash函數(shù)改進(jìn)了該協(xié)議；文獻(xiàn)[13]提出了基于ECC的雙向認(rèn)證協(xié)議，并聲稱該協(xié)議達(dá)到了標(biāo)簽的強(qiáng)隱私保護(hù)，但文獻(xiàn)[14]的分析表明，在主動(dòng)攻擊的情況下，該協(xié)議并不具有標(biāo)簽隱私保護(hù)，同時(shí)該文獻(xiàn)也給出了一個(gè)改進(jìn)版的協(xié)議；文獻(xiàn)[15]提出了一個(gè)基于ECC的認(rèn)證協(xié)議，但是該協(xié)議一次執(zhí)行，標(biāo)簽計(jì)算開銷大(需要計(jì)算5個(gè)橢圓曲線點(diǎn)乘)，并易受密鑰泄露攻擊[16]；文獻(xiàn)[17]基于ECC和Hash函數(shù)，設(shè)計(jì)了一個(gè)雙向認(rèn)證協(xié)議，但是文獻(xiàn)[18]中指出該協(xié)議容易遭受拒絕服務(wù)攻擊。

對(duì)于標(biāo)簽所有權(quán)轉(zhuǎn)移，通常情況下:1)標(biāo)簽(Ti)的當(dāng)前擁有者(OC)為防止新的擁有者(ON)分析Ti在所有權(quán)轉(zhuǎn)移之前的歷史行為，會(huì)發(fā)起與Ti的認(rèn)證，并改變標(biāo)簽中的密鑰(甚至標(biāo)識(shí)符)等所有權(quán)信息；2)OC將更新后的標(biāo)簽所有權(quán)信息發(fā)送給ON；3)為防止OC發(fā)起對(duì)Ti的后續(xù)認(rèn)證及分析其后續(xù)行為，ON會(huì)發(fā)起一次與Ti的認(rèn)證，并更新Ti中的密鑰(甚至標(biāo)簽符)等信息以完成標(biāo)簽所有權(quán)轉(zhuǎn)移。

文獻(xiàn)[19]給出了一個(gè)具有標(biāo)簽身份驗(yàn)證、雙向認(rèn)證和所有權(quán)轉(zhuǎn)移的方案，該方案由標(biāo)簽初始化、雙向認(rèn)證子協(xié)議、標(biāo)簽發(fā)行者驗(yàn)證子協(xié)議及標(biāo)簽所有權(quán)轉(zhuǎn)移子協(xié)議構(gòu)成；但該方案易受標(biāo)簽以前持有者發(fā)起的隱私攻擊。文獻(xiàn)[20]也提出了一個(gè)基于公鑰加密的標(biāo)簽所有權(quán)轉(zhuǎn)移方案，但所有權(quán)轉(zhuǎn)移過(guò)程需要一個(gè)可信第三者參與。雖然文獻(xiàn)[19-20]中的方案都支持標(biāo)簽認(rèn)證和所有權(quán)轉(zhuǎn)移功能，但方案較復(fù)雜；而目前大部分的認(rèn)證協(xié)議僅具有標(biāo)簽認(rèn)證功能。因此，為簡(jiǎn)化協(xié)議設(shè)計(jì)及方便RFID應(yīng)用，設(shè)計(jì)安全的、并具備標(biāo)簽所有權(quán)轉(zhuǎn)移功能的認(rèn)證協(xié)議顯得很有必要。

基于上述工作，針對(duì)支持橢圓曲線加密的標(biāo)簽，本文提出了一個(gè)閱讀器與標(biāo)簽的雙向認(rèn)證協(xié)議。該協(xié)議具備：1)支持標(biāo)簽所有權(quán)轉(zhuǎn)移；2)閱讀器常量時(shí)間識(shí)別標(biāo)簽；3)閱讀器與標(biāo)簽的雙向認(rèn)證；4)標(biāo)簽隱私保護(hù)；5)滿足其他安全要求；6)標(biāo)簽計(jì)算開銷和協(xié)議通信開銷小。此外還給出了該協(xié)議的簡(jiǎn)化版，該簡(jiǎn)化版協(xié)議僅實(shí)現(xiàn)閱讀器對(duì)標(biāo)簽的單向認(rèn)證，以減小協(xié)議開銷，但不支持標(biāo)簽所有權(quán)轉(zhuǎn)移。

2 預(yù)備知識(shí)

2.1 橢圓曲線加密

文獻(xiàn)[21-22]提出了橢圓曲線加密體制：素域GF(q)上的橢圓曲線E(a,b)是對(duì)于固定的a和b，滿足形如方程y2=x3+ax+b(modq)(4a3+27b2≠0 (modq))的所有點(diǎn)，外加一個(gè)無(wú)窮遠(yuǎn)點(diǎn)O的集合。橢圓曲線上的加法運(yùn)算法則[23]包括：

1)加法單位元為O。

2)若P、Q為互逆點(diǎn),則P+Q=O。

3)若P(xP,yP)與Q(xQ,yQ)不為互逆點(diǎn),則P+Q=R(xR,yR)，其中：xR=λ2-xP-xQ,yR=λ(xP-xR)-yP，λ=(yQ-yP)/(xQ-xP)。

5)標(biāo)量乘法：mP=P+P+…+P(共m個(gè)點(diǎn)作加法運(yùn)算)。此外，加法運(yùn)算還滿足交換律和結(jié)合律。

2.2 計(jì)算性Diffie-Hellman 問(wèn)題

2.3 單向Hash函數(shù)

單向Hash函數(shù)h(·)是能將任意長(zhǎng)度的輸入串/消息X映射到一個(gè)固定長(zhǎng)度串Y的函數(shù)，其輸出串Y稱為X的Hash值，該函數(shù)具有如下性質(zhì)[24]：1)X為任意長(zhǎng)度；2)Y長(zhǎng)度固定；3)給定算法h(·)和X，容易計(jì)算得到Y(jié)；4)給定算法h(·)，要找到兩個(gè)不同的輸入串x1≠x2，使得h(x1)=h(x2)是計(jì)算上不可行的。

如果Hash函數(shù)h(·):X→Y是安全的Hash函數(shù)，那么下面三個(gè)問(wèn)題是難解的：1)原像問(wèn)題，即已知y∈Y，求x∈X，使得h(x)=y是困難的；2)第二原像問(wèn)題，即已知x∈X，求x′∈X，使得x≠x′且h(x)=h(x′)成立；3)碰撞問(wèn)題，即找到x,x′∈X，使得x≠x′且h(x)=h(x′)成立。

3 提出的RFID認(rèn)證協(xié)議

針對(duì)支持ECC的RFID標(biāo)簽，本章提出一個(gè)閱讀器與標(biāo)簽的雙向認(rèn)證協(xié)議。下面給出本文所使用的符號(hào)和協(xié)議的流程描述，并給出相應(yīng)解釋。

3.1 符號(hào)

為方便描述，表1列出了后續(xù)章節(jié)所使用的相關(guān)符號(hào)。

表1 符號(hào)說(shuō)明Tab. 1 Notations

3.2 協(xié)議描述

由于閱讀器和后臺(tái)服務(wù)器支持復(fù)雜的密碼運(yùn)算，具有較強(qiáng)的運(yùn)算能力和存儲(chǔ)能力，雙方在通信前會(huì)建立安全信道。因此，為簡(jiǎn)單起見又不失一般性，假定閱讀器集成后臺(tái)數(shù)據(jù)庫(kù)。圖2給出了本文所提出協(xié)議(簡(jiǎn)稱PI)的流程描述。

R(toi,ti,y,Y=yP,P) Ti(ti,Y,P)r1∈RZ*n,M1=r1P M1→ r2∈RZ*nM2=r2Pk=r2(M1+Y)m3=ti+h(M1,M2,k)m4=h(M2,k,ti)M2,m3,m4←k=(r1+y)M2t'i=m3-h(M1,M2,k)m'4=h(M2,k,ti)m″4=h(M2,k,toi)searchest'iindatabaseif(ti=t'iandm4=m'4)or(toi=t'iandm4=m″4) returnstagsinformationandcomputes: m5=h(M1,M2,k,t'i) toi=t'i ti=[h(t'i,k)]lTelsereturnsm5∈R{0,1}lHm5→if(m5=h(M1,M2,k,ti))computesti=[h(ti,k)]LTelseauthenticationfailed

圖2 本文協(xié)議PI的流程

Fig. 2 Process of the proposed protocol (abbreviated as PI)

1)閱讀器R產(chǎn)生一個(gè)隨機(jī)數(shù)r1，并計(jì)算M1=r1P，然后發(fā)送M1至標(biāo)簽Ti。

2)當(dāng)收到M1，標(biāo)簽Ti產(chǎn)生隨機(jī)數(shù)r2，并計(jì)算M2=r2P,k=r2(M1+Y),m3=ti+h(M1,M2,k)和m4=h(M2,k,ti)，然后發(fā)送M2,m3和m4至R。

4)收到m5后，Ti檢查m5=h(M1,M2,k,ti)是否成立，如果成立，Ti計(jì)算并更新標(biāo)識(shí)符為ti=[h(ti,k)]lT；否則，Ti認(rèn)證R失敗，不更新身份標(biāo)識(shí)符。

4 協(xié)議分析

本章將從協(xié)議層面對(duì)協(xié)議支持標(biāo)簽所有權(quán)轉(zhuǎn)移、閱讀器識(shí)別標(biāo)簽時(shí)間、閱讀器-標(biāo)簽雙向認(rèn)證、標(biāo)簽的隱私保護(hù)及協(xié)議的其他安全屬性要求進(jìn)行證明和分析。

4.1 支持標(biāo)簽所有權(quán)轉(zhuǎn)移

若標(biāo)簽持有者R1欲將標(biāo)簽Ti的所有權(quán)轉(zhuǎn)移給新的持有者R2，只需：

1)R1向Ti寫入R2的公鑰及R2使用的群的生成元。

2)R1將Ti的標(biāo)識(shí)符及其相關(guān)信息通過(guò)安全信道發(fā)送至R2。

3)R2與Ti執(zhí)行一次協(xié)議(以便進(jìn)行相互認(rèn)證并更新標(biāo)識(shí)符)，即可完成該標(biāo)簽的所有權(quán)轉(zhuǎn)移。

因此，協(xié)議PI具有閱讀器-標(biāo)簽相互認(rèn)證與標(biāo)簽所有權(quán)轉(zhuǎn)移功能，且所有權(quán)轉(zhuǎn)移過(guò)程簡(jiǎn)單、高效，不需要另行設(shè)計(jì)標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議，也不需要可信第三方參與。

4.2 標(biāo)簽常量時(shí)間識(shí)別

4.3 閱讀器-標(biāo)簽雙向認(rèn)證

另一方面，在收到R發(fā)來(lái)的消息m5后，Ti驗(yàn)證m5是否等于h(M1,M2,k,ti)。由于m5是由R所存儲(chǔ)的標(biāo)簽標(biāo)識(shí)符參與計(jì)算得到，因此，若驗(yàn)證成功，則實(shí)現(xiàn)了標(biāo)簽對(duì)閱讀器的認(rèn)證。

4.4 標(biāo)簽隱私保護(hù)

4.4.1 標(biāo)簽?zāi)涿?/p>

4.4.2 標(biāo)簽前向隱私安全

在RFID應(yīng)用系統(tǒng)中，由于閱讀器與標(biāo)簽的通信信道為無(wú)線信道，敵手可竊聽、攔截、篡改、偽造通信雙方的交互信息，甚至破解標(biāo)簽從而獲得標(biāo)簽的內(nèi)部數(shù)據(jù)(包括身份標(biāo)識(shí)符、標(biāo)簽密鑰等所有信息)。如果一個(gè)概率多項(xiàng)式時(shí)間敵手A，在破解標(biāo)簽之后，仍無(wú)法識(shí)別該標(biāo)簽與閱讀器的后續(xù)交互信息，則稱標(biāo)簽是前向隱私安全的(協(xié)議具備標(biāo)簽前向隱私保護(hù))；如果A在破解標(biāo)簽之后，無(wú)法識(shí)別該標(biāo)簽未被破解之前的與閱讀器的交互信息，則稱標(biāo)簽是后向隱私安全的(協(xié)議具備標(biāo)簽后向隱私保護(hù))。根據(jù)文獻(xiàn)[25-27]，給出如下基于挑戰(zhàn)者游戲的標(biāo)簽前向和后向隱私安全證明。

2)第二階段：因挑戰(zhàn)者C知道所有標(biāo)簽的身份標(biāo)識(shí)符和閱讀器的私鑰，C可以為A提供真實(shí)的攻擊環(huán)境，即當(dāng)A竊聽、攔截、篡改或偽造任意標(biāo)簽與閱讀器的通信消息，甚至破解標(biāo)簽以獲取其內(nèi)部信息時(shí)，C按真實(shí)場(chǎng)景進(jìn)行模擬并返回相應(yīng)的結(jié)果給A。

證明 在挑戰(zhàn)之前，由于T0和T1已被A攻破，即A已知兩者的身份標(biāo)識(shí)符。若A贏得游戲，則他必定通過(guò)下面三種方式確定哪一個(gè)標(biāo)簽被選中。

3)根據(jù)第三階段挑戰(zhàn)者返回的協(xié)議執(zhí)行腳本：M1=αP,M2=βP,m3=tb+h(M1,M2,k)m4=h(M2,k,tb)和m5=h(M1,M2,k,tb)來(lái)推導(dǎo)T0還是T1被選中，即找到協(xié)議執(zhí)行腳本與被選中標(biāo)簽的關(guān)聯(lián)，那么A可以：

①通過(guò)猜測(cè)隨機(jī)數(shù)α或β，從而計(jì)算出臨時(shí)密鑰k，并進(jìn)一步計(jì)算出tb=m3-h(M1,M2,k)。但是A猜中正確的隨機(jī)數(shù)α或β的概率為1/lN，即這種方式正確推測(cè)出b′的概率為1/lN。

由于1)、2)和①方式猜測(cè)正確的b′的概率可忽略不計(jì)，若A以不可忽略的概率給出正確的b′(即攻破協(xié)議的標(biāo)簽前向隱私保護(hù))，那么他必然以不可忽略的概率正確地計(jì)算出了臨時(shí)密鑰k。因此，挑戰(zhàn)者C就能以不可忽略的概率計(jì)算出k′=k-yM2，也即：由M1=αP和M2=βP計(jì)算出k′=αβP，從而解決橢圓曲線上的CDHP問(wèn)題。

綜合1)、2)和3)，協(xié)議PI具備標(biāo)簽前向隱私保護(hù)。

4.4.3 標(biāo)簽后向隱私安全

證明 由于4.4.2節(jié)已證明：即使A在知道T0和T1身份標(biāo)識(shí)符的情況下，仍無(wú)法以不可忽略的概率給出正確的b′，因此，在未知標(biāo)簽身份標(biāo)識(shí)符的條件下，A攻破標(biāo)簽后向隱私安全的概率是可忽略的。

4.5 協(xié)議其他安全屬性分析

4.5.1 抵抗標(biāo)簽假冒攻擊

當(dāng)閱讀器R發(fā)送隨機(jī)數(shù)給標(biāo)簽Ti后，Ti回送閱讀器M2=r2P,m3=ti+h(M1,M2,k)和m4=h(M2,k,ti)，由于m3和m4是由標(biāo)識(shí)符ti參與計(jì)算得來(lái)，在未知ti的情況下，攻擊者不能偽造m3和m4，除非以概率1/lT猜中ti。

4.5.2 抵抗閱讀器假冒攻擊

攻擊者不能偽造閱讀器R發(fā)送的第三輪消息m5=h(M1,M2,k,ti)，以達(dá)到假冒R從而通過(guò)標(biāo)簽的驗(yàn)證。因?yàn)榕R時(shí)密鑰k和標(biāo)簽標(biāo)識(shí)符ti參與了對(duì)m5的計(jì)算。在未知ti和閱讀器私鑰y的情況下，敵手不能偽造m5，除非以概率1/lT猜中正確的ti和y。

4.5.3 抵抗中間人攻擊

由于閱讀器與標(biāo)簽共享的ti參與了第二輪消息M2,m3,m4和第三輪消息m5的計(jì)算，且閱讀器的私鑰y也參與了對(duì)m5的計(jì)算，因此，該協(xié)議抵抗中間人攻擊。

4.5.4 抵抗消息重放攻擊

協(xié)議使用的臨時(shí)密鑰k由閱讀器與標(biāo)簽臨時(shí)產(chǎn)生的隨機(jī)數(shù)r1和r2計(jì)算得到，協(xié)議的第二輪消息和第三輪消息均由k參與計(jì)算得到。因此，該協(xié)議抵抗消息重放攻擊。

4.5.5 抵抗去同步攻擊

4.5.6 抵抗拒絕服務(wù)攻擊

目前，絕大部分RFID認(rèn)證協(xié)議都由閱讀器首先發(fā)起協(xié)議會(huì)話，該類協(xié)議不可避免地存在攻擊者持續(xù)發(fā)動(dòng)第一輪消息以阻止標(biāo)簽響應(yīng)合法閱讀器發(fā)起的認(rèn)證會(huì)話，或阻塞第二輪消息以阻止閱讀器接收合法標(biāo)簽的響應(yīng)信號(hào)。如果應(yīng)用中頻繁出現(xiàn)認(rèn)證不成功的情況，可通過(guò)外部的物理設(shè)備(如無(wú)線信號(hào)探測(cè)儀)對(duì)此類攻擊進(jìn)行監(jiān)測(cè)。

另外，為使閱讀器認(rèn)證標(biāo)簽頻繁失敗而不再響應(yīng)標(biāo)簽信息，攻擊者可通過(guò)阻塞PI的第三輪消息進(jìn)行去同步攻擊。但PI實(shí)現(xiàn)了閱讀器與標(biāo)簽的再同步功能，可以抵抗此類攻擊。

5 協(xié)議性能對(duì)比

由于標(biāo)簽屬于計(jì)算受限設(shè)備，本章從標(biāo)簽的計(jì)算開銷和協(xié)議的通信開銷兩個(gè)方面，對(duì)所提出協(xié)議PI與近期其他基于標(biāo)簽支持ECC的協(xié)議[9,11-15, 17]進(jìn)行分析對(duì)比。

用Tmm表示一次模乘操作所需時(shí)間，Tea表示一次橢圓曲線加法運(yùn)算所需時(shí)間，Tem表示一次橢圓曲線標(biāo)量乘法運(yùn)算所需時(shí)間，Tha表示一次Hash運(yùn)算所需時(shí)間。根據(jù)文獻(xiàn)[28]的工作，1 Tha≈0.36 Tmm,1 Tea≈5 Tmm，1 Tem≈1 200 Tmm。為公平起見，將所有的運(yùn)算時(shí)間統(tǒng)一為Tmm。

為保證協(xié)議安全，選擇基于有限域GF(2160)的橢圓曲線，則橢圓曲線上一個(gè)點(diǎn)P的二進(jìn)制位數(shù)|P|=40 Byte，選擇輸出長(zhǎng)度為10 Byte的Hash函數(shù)[29]。經(jīng)分析，表2給出了相關(guān)協(xié)議的標(biāo)簽計(jì)算開銷和協(xié)議通信開銷。

表2 協(xié)議性能比較Tab.2 Comparisons of performance of related protocols

從表2看出，在標(biāo)簽計(jì)算開銷上，所提出的協(xié)議PI與文獻(xiàn)[11-12]中的協(xié)議性能最優(yōu)，而文獻(xiàn)[15]協(xié)議的計(jì)算開銷最大。其主要原因在于文獻(xiàn)[15]中的協(xié)議執(zhí)行一次，標(biāo)簽要執(zhí)行5次標(biāo)量乘法運(yùn)算；而PI和文獻(xiàn)[11-12]中的協(xié)議只需執(zhí)行2次標(biāo)量乘法運(yùn)算，因而計(jì)算開銷小。

在協(xié)議通信開銷上，PI與文獻(xiàn)[12]中的協(xié)議性能最優(yōu)，而文獻(xiàn)[17]中協(xié)議的通信開銷最大。其主要原因在于文獻(xiàn)[17]中的協(xié)議由三個(gè)子協(xié)議構(gòu)成，執(zhí)行一次標(biāo)簽認(rèn)證，三個(gè)子協(xié)議均要執(zhí)行一次，所以通信開銷較大；而協(xié)議PI只需執(zhí)行一次就可完成雙向認(rèn)證，因而通信開銷小。

雖然文獻(xiàn)[12]中提出的協(xié)議與PI在標(biāo)簽計(jì)算開銷與協(xié)議通信開銷方面取得最優(yōu)效果，但PI具有標(biāo)簽所有權(quán)轉(zhuǎn)移功能。另外，文獻(xiàn)[10，12，14]分別對(duì)[9，11，13]提出的協(xié)議進(jìn)行了分析，指出其均不具有標(biāo)簽隱私保護(hù)。因此，從標(biāo)簽計(jì)算開銷、協(xié)議通信開銷、標(biāo)簽隱私保護(hù)和支持標(biāo)簽所有權(quán)轉(zhuǎn)移方面綜合評(píng)估，本文所提出的協(xié)議PI優(yōu)于對(duì)比協(xié)議。

6 協(xié)議簡(jiǎn)化版

考慮到RFID系統(tǒng)應(yīng)用于比較安全的場(chǎng)合，比如應(yīng)用環(huán)境安裝有屏蔽外界電磁干擾設(shè)備或無(wú)線信號(hào)探測(cè)設(shè)備、有警察或安保把守等，為減少標(biāo)簽計(jì)算開銷和協(xié)議通信開銷并提高協(xié)議性能，所提出的協(xié)議也可以簡(jiǎn)化為閱讀器對(duì)標(biāo)簽的單向認(rèn)證協(xié)議(簡(jiǎn)記為PII)，如圖2所示。

R(ti,y,Y=yP,P) T(ti,Y,P)r1∈RZ*n,M1=r1PM1→r2∈RZ*nM2=r2Pk=r2(M1+Y)m3=ti+h(M1,M2,k)m4=h(M2,k,ti)M2,m3,m4←k=(r1+y)M2t'i=m3-h(M1,M2,k)m'4=h(M2,k,ti)searchest'iindatabaseif(ti=t'iandm4=m'4)returnstagsinformation

圖2 簡(jiǎn)化版協(xié)議PII

Fig. 2 Reduced version of PI (abbreviated as PII)

PII協(xié)議沒有第三輪消息及對(duì)其驗(yàn)證步驟，執(zhí)行一次協(xié)議，標(biāo)簽計(jì)算開銷為2次橢圓曲線標(biāo)量乘法運(yùn)算和2次Hash運(yùn)算，協(xié)議通信開銷100 Byte。

簡(jiǎn)化版協(xié)議實(shí)現(xiàn)了閱讀器對(duì)標(biāo)簽的單向認(rèn)證，但不支持標(biāo)簽所有權(quán)轉(zhuǎn)移。該協(xié)議具備標(biāo)簽?zāi)涿浴?biāo)簽前向隱私和后向隱私保護(hù)、抵抗標(biāo)簽假冒攻擊、抵抗中間人攻擊、抵抗消息重放和去同步攻擊；但由于缺乏標(biāo)簽對(duì)閱讀器的認(rèn)證，為防止閱讀器假冒攻擊，PII協(xié)議適用于相對(duì)安全的應(yīng)用環(huán)境。

7 結(jié)語(yǔ)

針對(duì)支持ECC的RFID標(biāo)簽，為滿足開放環(huán)境下對(duì)標(biāo)簽隱私保護(hù)和數(shù)據(jù)安全要求較高的RFID應(yīng)用，設(shè)計(jì)了一個(gè)閱讀器與標(biāo)簽的雙向認(rèn)證協(xié)議，該協(xié)議支持標(biāo)簽所有權(quán)轉(zhuǎn)移，具有對(duì)標(biāo)簽的常量時(shí)間識(shí)別。本文證明了該協(xié)議具備標(biāo)簽前向隱私和后向隱私保護(hù)，并分析了該協(xié)議的其他安全屬性，如抵抗閱讀器/標(biāo)簽假冒攻擊、抵抗中間人及消息重放攻擊、抵抗去同步攻擊和拒絕服務(wù)攻擊。經(jīng)過(guò)對(duì)近年來(lái)提出的類似協(xié)議在標(biāo)簽計(jì)算開銷、協(xié)議通信開銷、標(biāo)簽隱私保護(hù)以及能否支持標(biāo)簽所有權(quán)轉(zhuǎn)移等方面的比較，結(jié)果表明本文提出的協(xié)議PI具備最優(yōu)的綜合性能。而且為了適應(yīng)比較安全的應(yīng)用場(chǎng)景，本文也給出了簡(jiǎn)化版的單向認(rèn)證協(xié)議PII，但該協(xié)議不具備標(biāo)簽所有權(quán)轉(zhuǎn)移。

目前，RFID認(rèn)證協(xié)議的安全屬性證明大都采用啟發(fā)式分析，還沒有較好的形式化證明方法。因此，探索RFID協(xié)議安全屬性的形式化證明方法，具有重要意義。另外，協(xié)議的應(yīng)用測(cè)試也是我們考慮的后續(xù)工作。

References)

[1] The Commission of the European Communities. Commission recommendation of 12 May 2009 on the implementation of privacy and data protection principles in applications supported by radio-frequency identification [EB/OL]. (2009- 05- 12) [2016- 12- 05]. https://ec.europa.eu/digital-singlemarket/en/news/commission-recommendation-12-may-2009-implementation-privacyand-data-protection-prin-ciples/.

[2] BATINA L, GUAJARDO J, KERINS T, et al. Public-key cryptography for RFID-tags [C]// PerCom Workshops ’07: Proceedings of the Fifth Annual IEEE International Conference on Pervasive Computing and Communications Workshops. Piscataway, NJ: IEEE, 2007: 217-222.

[3] FURBASS F, WOLKERSTORFER J. ECC processor with low die size for RFID applications [C]// ISCAS 2007: Proceedings of the 2007 IEEE International Symposium on Circuits and Systems. Piscataway, NJ: IEEE, 2007: 1835-1838.

[4] HEIN D, WOLKERSTORFER J, FELBER N. ECC is ready for RFID - a proof in silicon [C]// SAC 2008: Proceedings of the 2008 International Workshop on Selected Areas in Cryptography, LNCS 5381. Berlin: Springer-Verlag, 2008: 401-413.

[5] LEE Y K, SAKIYAMA K, BATINA L, et al. Elliptic-curve-based security processor for RFID [J]. IEEE Transactions on Computers, 2008, 57(11): 1514-1527.

[6] LIU D, LIU Z, YONG Z, et al. Design and implementation of an ECC-based digital baseband controller for RFID tag chip [J]. IEEE Transactions on Industrial Electronics, 2015, 62(7): 4365-4373.

[7] PENDL C, PELNAR M, HUTTER M. Elliptic curve cryptography on the WISP UHF RFID tag [C]// RFIDSec 2011: Proceedings of the 2011 International Workshop on Radio Frequency Identification: Security and Privacy Issues, LNCS 7055. Berlin: Springer-Verlag, 2011: 32-47.

[8] TUYLS P, BATINA L. RFID-tags for anti-counterfeiting [C]// CT-RSA’06: Proceedings of the 2006 Cryptographers’ Track at the RSA Conference on Topics in Cryptology, LNCS 3860. Berlin: Springer-Verlag, 2006: 115-131.

[9] CHOU J-S. An efficient mutual authentication RFID scheme based on elliptic curve cryptography [J]. Journal of Supercomputing, 2014, 70(1): 75-94.

[10] FARASH M S. Cryptanalysis and improvement of an efficient mutual authentication RFID scheme based on elliptic curve cryptography [J]. Journal of Supercomputing, 2014, 70(2): 987-1001.

[11] ZHANG Z, QI Q. An efficient RFID authentication protocol to enhance patient medication safety using elliptic curve cryptography [J]. Journal of Medical Systems, 2014, 38(5): 47.

[12] FARASH M S, NAWAZ O, MAHMOOD K, et al. A provably secure RFID authentication protocol based on elliptic curve for healthcare environments [J]. Journal of Medical Systems, 2016, 40(7): 165.

[13] HE D, KUMAR N, CHILAMKURTI N, et al. Lightweight ECC based RFID authentication integrated with an ID verifier transfer protocol [J]. Journal of Medical Systems, 2014, 38(10): 116.

[14] LEE C-I, CHIEN H-Y. An elliptic curve cryptography-based RFID authentication securing E-health system [J]. International Journal of Distributed Sensor Networks, 2015, 2015: Article No. 251.

[15] LIAO Y-P, HSIAO C-M. A secure ECC-based RFID authentication scheme integrated with ID-verifier transfer protocol [J]. Ad Hoc Networks, 2014, 18: 133-146.

[16] ZHAO Z. A secure RFID authentication protocol for healthcare environments using elliptic curve cryptosystem [J]. Journal of Medical Systems, 2014, 38(5): 46.

[17] MOOSAVI S R, NIGUSSIE E, VIRTANEN S, et al. An elliptic curve-based mutual authentication scheme for RFID implant systems [J]. Procedia Computer Science, 2014, 32: 198-206.

[18] KHATWANI C, ROY S. Security analysis of ECC based authentication protocols [C]// CICN 2015: Proceedings of the 2015 International Conference on Computational Intelligence and Communication Networks. Piscataway, NJ: IEEE, 2015: 1167-1172.

[19] ELKHIYAOUI K, BLASS E-O, MOLVA R. ROTIV: RFID ownership transfer with issuer verification [C]// RFIDSec 2011: Proceedings of the 2011 International Workshop on Radio Frequency Identification: Security and Privacy Issues, LNCS 7055. Berlin: Springer-Verlag, 2011: 163-182.

[20] XIN W, GUAN Z, YANG T, et al. An efficient privacy-preserving RFID ownership transfer protocol [C]// APWeb 2013: Proceedings of the 2013 Asia-Pacific Web Conference on Web Technologies and Applications, LNCS 7808. Berlin: Springer-Verlag, 2013: 538-549.

[21] KOBLITZ N. Elliptic curve cryptosystems [J]. Mathematics of Computation, 1987, 48(177): 203-209.

[22] MILLER V S. Use of elliptic curves in cryptography [C]// CRYPTO 1985: Proceedings of the 1985 Conference on the Theory and Application of Cryptographic Techniques, LNCS 218. Berlin: Springer-Verlag, 1985: 417-426.

[23] 鄧元慶,龔晶,石會(huì).密碼學(xué)簡(jiǎn)明教程[M].北京:清華大學(xué)出版社,2011:125-129. (DENG Y Q, GONG J, SHI H. Concise Course in Cryptography [M]. Beijing: Tsinghua University Press, 2011: 125-129.

[24] MERKLE R C. One way Hash functions and DES [C]// CRYPTO 1989: Proceedings of the 1989 Conference on the Theory and Application of Cryptology, LNCS 435. Berlin: Springer-Verlag, 1989: 428-446.

[25] 馬昌社.前向隱私安全的低成本RFID認(rèn)證協(xié)議[J].計(jì)算機(jī)學(xué)報(bào),2011,34(8):1387-1398. (MA C S. Low cost RFID authentication protocol with forward privacy [J]. Chinese Journal of Computers, 2011, 34(8): 1387-1398.)

[26] JUELS A, WEIS S A. Defining strong privacy for RFID [C]// PerCom Workshops ’07: Proceedings of the 2007 IEEE International Conference on Pervasive Computing and Communications Workshops. Piscataway, NJ: IEEE, 2007: 342-347.

[27] OUAFI K, PHAN R C-W. Traceable privacy of recent provably-secure RFID protocols [C]// ACNS 2008: Proceedings of the 2008 International Conference on Applied Cryptography and Network Security, LNCS 5037. Berlin: Springer-Verlag, 2008: 479-489.

[28] CHATTERJEE S, DAS A K, SING J K. An enhanced access control scheme in wireless sensor networks [J]. Ad Hoc & Sensor Wireless Networks, 2014, 21(1): 121-149.

[29] AUMASSON J-P, HENZEN L, MEIER W, et al. QUARK: a lightweight hash [C]// CHES 2010: Proceedings of the International Workshop on Cryptographic Hardware and Embedded Systems, LNCS 6225. Berlin: Springer-Verlag, 2010: 313-339.

This work is partially supported by the National Natural Science Foundation of China (61370203), the Nature Science Foundation of Sichuan Province Education Department (13ZB0127).

YANGXingchun, born in 1975, Ph. D. candidate, associate professor. His research interests include information security, cryptography, wireless network security.

XUChunxiang, born in 1965, Ph. D., professor. Her research interests include information security, cloud computing, cryptography.

LIChaorong, born in 1976, Ph. D., associate professor. His research interests include pattern recognition, information security.

ECC-basedRFIDauthenticationprotocolenablingtagownershiptransfer

YANG Xingchun1,2*, XU Chunxiang1, LI Chaorong3

(1.SchoolofComputerScienceandEngineering,UniversityofElectronicScienceandTechnologyofChina,ChengduSichuan611731,China；2.DepartmentofComputerScienceandTechnology,SichuanPoliceCollege,LuzhouSichuan646000,China；3.SchoolofComputerandInformationEngineering,YibinUniversity,YibinSichuan644000,China)

To solve privacy leakage and other security problems in Radio-Frequency Identification (RFID) tag authentication and tag ownership transfer, and to simplify the design of tag ownership transfer protocol, an RFID authentication protocol enabling tag ownership transfer was proposed for those tags that support Elliptic Curve Cryptography (ECC). The structure of the protocol is similar to the structure of the Diffie-Hellman logarithm, and tag privacy of the protocol is based on complexity to solve the computational Diffie-Hellman problem. Analysis of tag privacy and other security properties of the protocol were given, and comparisons between recent ECC-based authentication protocols and the proposed protocol were also given. The results show that the proposed protocol achieves best performance, under a comprehensive evaluation of supporting tag ownership transfer, tag computation cost, communication cost and tag privacy protection. In addition, a simplified version that realizes tag authentication to reader and is suitable for secure environments was also given.

Radio-Frequency Identification (FRID); authentication protocol; tag; ownership transfer; Elliptic Curve Cryptography (ECC)

TP309.2

A

2017- 02- 28;

2017- 04- 18。

國(guó)家自然科學(xué)基金資助項(xiàng)目(61370203)；四川省教育廳資助項(xiàng)目(13ZB0127)。

楊興春(1975—)，男，四川南充人，副教授，博士研究生，CCF會(huì)員，主要研究方向：信息安全、密碼學(xué)、無(wú)線網(wǎng)絡(luò)安全； 許春香(1965—)，女，湖南寧鄉(xiāng)人，教授，博士生導(dǎo)師，博士，主要研究方向：信息安全、云計(jì)算、密碼學(xué)； 李朝榮(1976—)，男，四川宜賓人，副教授，博士，主要研究方向：模式識(shí)別、信息安全。

1001- 9081(2017)08- 2275- 06

10.11772/j.issn.1001- 9081.2017.08.2275