何 烜，王紅軍，袁 泉，王倫文

(國防科技大學 電子對抗學院，合肥 230037)

射頻識別LMAP協(xié)議改進研究

何 烜，王紅軍，袁 泉，王倫文

(國防科技大學 電子對抗學院，合肥 230037)

安全問題是射頻識別技術領域的重要問題，輕量級安全協(xié)議成為該技術領域研究的主流。針對輕量級相互認證協(xié)議易受克隆攻擊、去同步攻擊等安全隱患問題，在對原有協(xié)議分析的基礎上提出了系列改進措施，即通過對原有協(xié)議增加時間戳機制、物理不可克隆函數(shù)(physical unclonable function, PUF)電路以及改進密鑰的生成方式來提高協(xié)議的安全性，并利用BAN邏輯對改進協(xié)議的安全性進行形式化證明。從安全性、計算量和存儲量等方面將改進協(xié)議與其他協(xié)議進行比較，結果表明，協(xié)議安全性高，計算量小，也適合標簽的存儲量，在射頻識別領域安全方面具有一定的應用價值。

射頻識別；協(xié)議改進；時間戳機制；PUF電路；BAN邏輯

0 引 言

射頻識別(radio frequency identification，RFID)技術是通過射頻信號對目標物體進行識別或者認證的技術。該技術具有自動化程度高、方便快捷、無磨損等優(yōu)勢，被廣泛應用于各行各業(yè)中。然而，射頻識別技術存在安全隱患問題，因為在該技術中讀寫器與標簽之間的信息交互是通過無線方式，另外由于讀寫器發(fā)射信號傳輸較遠，而標簽的響應距離較近，這種“非對稱”通信[1]對系統(tǒng)的安全機制會造成較大影響，可能存在各種攻擊的風險，因此需要設計出合適的安全認證協(xié)議，來保證讀寫器與標簽之間的安全傳輸。由于標簽大規(guī)模生產，受限于成本，其計算能力差、存儲量小，然而重量級和中量級安全協(xié)議所需要的邏輯門電路多、存儲要求高，不適合應用到射頻識別技術中，所以輕量級和超輕量級安全認證協(xié)議成為該技術領域的主流。

目前，國內外學者對輕量級和超輕量級協(xié)議進行了研究與分析，提出一些協(xié)議，但都存在缺陷：Hash-Lock協(xié)議及其改進協(xié)議[2]沒有密鑰更新機制，容易受到假冒、重放和跟蹤攻擊。另外文獻[3]指出Hash函數(shù)所需的邏輯門電路為8K，并不適用于邏輯門電路只有5-10K的標簽中，而且使用Hash函數(shù)后的運算效率較低，時效性較差，會影響標簽的響應速度?；陔s湊的ID變化協(xié)議[4]和低成本監(jiān)析(low cost authentication protocol, LCAP)協(xié)議[5]后端數(shù)據(jù)庫和標簽之間會出現(xiàn)嚴重的數(shù)據(jù)不同步問題，這就意味著合法標簽在下一次響應中將無法通過認證。所有權轉移協(xié)議[6]其模型并不完善，而且存在新舊所有者的密鑰泄露問題。

輕量級相互認證協(xié)議(lightweight mutual authentication protocol, LMAP)協(xié)議[7]只運用了簡單的連接、異或、位與等二進制運算，是典型的輕量級安全協(xié)議，但是該協(xié)議自P.Peris-Lopez等[8]提出不久，就被指出存在去同步攻擊和跟蹤攻擊等安全隱患問題。文獻[9]針對LMAP協(xié)議進行改進，提出了LMAP+協(xié)議，但是改進協(xié)議依然易受非同步攻擊和跟蹤攻擊[10]。文獻[11]利用模擬退火算法對LMAP+協(xié)議進行重復攻擊實驗，驗證了該協(xié)議存在信息泄露的風險。文獻[12]提出PUF-LMAP+協(xié)議，但是該協(xié)議依然無法保證讀寫器與標簽通信的安全?？傊甃MAP協(xié)議還存在攻擊風險。

本文針對LMAP協(xié)議進行分析，對原有協(xié)議中存在的安全問題提出可靠的改進方法，并在此基礎上設計出一種安全、高效、低成本的安全協(xié)議。利用BAN邏輯對此協(xié)議的安全性進行形式化證明，最后與其他輕量級安全協(xié)議進行性能對比分析，來證明本協(xié)議的優(yōu)越性。

1 LMAP協(xié)議分析

1.1 LMAP協(xié)議原理

在對射頻識別系統(tǒng)安全性分析中，由文獻[13]可知，可以認為讀寫器與后端數(shù)據(jù)庫之間是通過安全信道傳輸，而讀寫器與標簽之間的傳輸是不安全的，所以本文著重分析LMAP協(xié)議能否保證讀寫器與標簽信息傳輸?shù)陌踩?。協(xié)議流程如圖1所示，其中，符號說明如表1所示。

圖1 LMAP協(xié)議流程圖Fig.1 Flow chart of LMAP protocol

圖1為LMAP協(xié)議流程圖，該協(xié)議流程可以分為以下3個階段：①初始化階段；②互認證階段；③索引假名和密鑰更新階段。在初始化階段，標簽需要存儲索引假名IDS、共享密鑰K和唯一標識符ID，其中密鑰K是由K1，K2，K3，K4連接而成，即

K=K1‖K2‖K3‖K4

(1)

讀寫器需要存儲偽隨機數(shù)G1，G2和所有標簽的ID；數(shù)據(jù)庫需要存儲索引假名IDS和其對應的密鑰K。

在互認證階段，首先分析讀寫器對標簽的認證：標簽收到Query請求后，將IDS發(fā)送至讀寫器，讀寫器將IDS轉發(fā)給后端數(shù)據(jù)庫，后端數(shù)據(jù)庫尋找是否存在密鑰K與其對應，如果有則證明該標簽合法，然后將對應的密鑰K發(fā)送給讀寫器；如果沒有，則證明非法。標簽對讀寫器的認證：圖1中，如果是合法讀寫器，會對IDS，K1，K2，K3，G1，G2進行簡單的邏輯運算，生成A，B，C，并將A‖B‖C發(fā)送給標簽，標簽從A，B中分別計算出G1，比較得到的G1是否相等，如果相等，則證明讀寫器合法，否則認為讀寫器非法。

表1 符號說明Tab.1 Symbol description

在索引假名和密鑰更新階段，后端數(shù)據(jù)庫和標簽分別會對IDS和K進行更新，更新公式為

(2)

(3)

1.2 LMAP協(xié)議存在的風險

假設攻擊者不知道讀寫器與標簽之間所用的安全認證協(xié)議，但是可以截獲、篡改和阻塞雙方在無線傳輸中的消息[14]。依據(jù)此攻擊者模型對LMAP協(xié)議進行安全性分析，雖然LMAP協(xié)議具有互認證和密鑰更新過程，但是其安全性不高，可能存在以下幾種攻擊風險。

1.2.1 克隆攻擊的風險

克隆攻擊屬于物理攻擊，即對合法標簽進行拆分，去分析它的邏輯電路，然后再克隆出相同的標簽。當克隆標簽通過讀寫器識別區(qū)域時，由于讀寫器無法進行區(qū)分，則克隆標簽就可以通過認證。

1.2.2 去同步攻擊的風險

標簽在發(fā)送D的過程中(見圖1)，如果攻擊者阻塞D并將D篡改成D1發(fā)送給讀寫器，讀寫器接收到D1而不是D，從D1中取得的ID1與標簽索引假名所對應的ID不同，則認為此標簽是非法標簽，讀寫器不進行密鑰更新。而標簽發(fā)送D后會直接更新索引假名IDS和密鑰K，這就會造成數(shù)據(jù)的不同步，下次標簽就無法得到讀寫器的認證，從而造成去同步攻擊。

1.2.3 跟蹤攻擊的風險

因為讀寫器與標簽是通過無線方式進行認證，則在空中傳輸?shù)男畔⒍伎赡鼙还粽咄ㄟ^監(jiān)聽方式保存下來。如圖1所示，假設攻擊者在讀寫器和標簽之間安插一個偽讀寫器，則在空中傳播的IDS，A‖B‖C，D都有可能被竊取。假設攻擊者監(jiān)聽到IDS，A‖B‖C，D，并對此進行跟蹤，由于ID是一不變的量，則可以通過多次跟蹤標簽，可能將ID破解出來。

1.2.4 轉發(fā)式欺騙攻擊的風險

如果攻擊者先阻塞雙方通信，再充當?shù)?方接入到讀寫器與標簽的通信過程中，轉發(fā)讀寫器與標簽交互的信息。則讀寫器對標簽認證的同時，也對攻擊者進行了認證，如圖2所示。

圖2 轉發(fā)式欺騙干擾模型Fig.2 Model of repeater deception jamming

2 LMAP協(xié)議的改進及流程

針對上述不足，可對LMAP協(xié)議進行改進，改進后的協(xié)議首先能夠適用于射頻識別技術，即改進后的LMAP協(xié)議對標簽而言，不需要消耗過多的邏輯門電路。其次，能夠有效抵抗常見攻擊，如克隆攻擊，去同步攻擊，跟蹤攻擊和轉發(fā)式欺騙攻擊等。針對原有LMAP協(xié)議的不足，有如下幾點改進。

2.1 針對克隆攻擊

可以通過PUF電路的方式進行改進：PUF是一組微型延遲電路，由于在制造過程中芯片之間會表現(xiàn)出細微的電子上的差異，利用這種差異可以生成唯一的、不可復制的密鑰，即使是制造相同PUF電路也不會生成相同的密鑰，所以，PUF電路具有防克隆的功能。在實際應用中，可以將PUF看成一個函數(shù)，當一個偽隨機數(shù)輸入后，會輸出唯一的偽隨機數(shù)作為響應[15]。在改進協(xié)議中，后端數(shù)據(jù)庫提前存儲好每個標簽所對應的輸入輸出(G1,G2)，即G2=PUF(G1)，后端數(shù)據(jù)庫將(G1,G2)發(fā)送給讀寫器，讀寫器給標簽發(fā)送G1讓標簽返回G2，然后驗證G2。這樣不僅可以對標簽具有認證作用，而且可以有效的抵抗克隆攻擊。

2.2 針對去同步攻擊

可進行如下改進：首先，后端數(shù)據(jù)庫在更新索引假名和密鑰后，同時保存當前未更新的索引假名和密鑰；其次，增加一個反饋的過程，標簽發(fā)送完消息后，不是立即更新，而是等待讀寫器認證成功后，回復“Success”指令后才更新，否則不更新。假設攻擊者在標簽發(fā)送D后進行去同步攻擊，則可能出現(xiàn)如下情況。

一方面攻擊者修改了D變成D1發(fā)送給讀寫器，讀寫器經計算后的ID1與真實ID不符，則不會發(fā)送“Success”指令，不進行索引假名和密鑰的更新。由于標簽沒有收到“Success”指令，也不進行更新，雙方都沒有進行更新，則攻擊者無法進行去同步攻擊。在下次認證過程中，標簽用當前索引假名去響應讀寫器，依然可以得到認證。

另一方面攻擊者并沒有修改D，讀寫器驗證成功并進行索引假名和密鑰的更新，同時發(fā)送“Success”指令，此時如果攻擊者截取這一指令或者更改這一指令導致標簽沒有收到正確指令，標簽不會更新索引假名和密鑰。但是由于在改進協(xié)議中，后端數(shù)據(jù)庫保存了當前未更新的索引假名和密鑰，所以標簽利用未更新的索引假名和密鑰依然可以得到讀寫器的認證，所以改進的方法可以抵抗去同步攻擊。

2.3 針對跟蹤攻擊

可進行如下改進：修改D的生成方式，可以將密鑰K3引入到生成D的表達式中，修改成如下形式

(4)

這樣攻擊者即使跟蹤很多次，也不會破解出ID。根據(jù)文獻[16]，可將模2m加運算改成模2m-1加運算，修改后就不能認為將模運算等效成異或中的位運算，那么即使攻擊者通過修改最低位的方式去進行跟蹤，也無法破解出ID。

2.4 針對轉發(fā)式欺騙攻擊

可以利用時間戳機制。如圖2所示，如果攻擊者在這之間進行轉發(fā)，由于攻擊者對信號處理需要消耗時間，而在空間中電磁波的傳輸時間遠小于攻擊者的處理時間，則可以通過時間戳機制來抵抗轉發(fā)式欺騙攻擊。實施過程為：在讀寫器電路中增加時間戳模塊，讀寫器先記錄發(fā)送A‖B‖C的時間，再記錄標簽返回D的時間，然后判斷標簽返回D的時間是否在預設的接收窗口內，在則認為是標簽發(fā)送，否則認為該信息無效。設讀寫器發(fā)送的時間為Tr，傳輸?shù)綐撕灥臅r間為Δt，標簽的處理時間為Δs，標簽返回給讀寫器的時間為Δt，考慮到有時間偏差Δl，則讀寫器的窗口設置為[Tr+2Δt+Δs-Δl,Tr+2Δt+Δs+Δl]，如果標簽返回D的時間在這一窗口內，則認為是合法信息。這樣可以有效抵抗轉發(fā)式欺騙攻擊。

2.5 針對協(xié)議存儲量和計算量的改進

標簽與讀寫器的認證過程中，可以對一些認證過程進行優(yōu)化，使認證簡單有效，則可以進行如下改進：一方面，更改密鑰K的生成方式，可以更改成

K=K1‖K2‖K3

(5)

在實際標簽電路中，K1，K2，K3，K4每個都需要一定比特的存儲量，如果只用K1，K2，K3去生成K，則可以節(jié)省存儲量。在原有協(xié)議中，IDS是由K4生成的，則需要更改IDS的生成方式，用K3生成，可以改成如下形式

IDSu=(IDS+(G2⊕K3))⊕ID

(6)

另一方面，讀寫器不需要發(fā)送C，標簽也不需要從C中計算出G2，可以利用PUF電路進行加密，用G1生成G2。利用PUF電路不僅可以為標簽節(jié)省計算量，而且具有加密驗證的作用?，F(xiàn)對改進協(xié)議中的IDS，K，A，B，D的生成方式進行總結。

(7)

改進協(xié)議流程如圖3所示。

圖3 改進LMAP協(xié)議流程圖Fig.3 Flow chart of improved LMAP protocol

協(xié)議步驟如下。

1)讀寫器向標簽發(fā)送Query請求；

4)后端數(shù)據(jù)庫檢驗是否有對應的密鑰K與IDS相對應，如果有，則將密鑰K、唯一標識符ID和其所對應的偽隨機數(shù)G1，G2發(fā)給讀寫器；

5)讀寫器進行相應的運算，生成A、B，將其發(fā)送給標簽并記錄發(fā)送時間；

6)標簽從A、B中分別計算出G1，驗證得到的G1是否相等，如果相等，用G1作為PUF電路的輸入，得到G2的輸出響應，最后利用IDS、K3、G2和ID共同生成D，并將D發(fā)送給讀寫器；

7)讀寫器首先驗證標簽信息是否在預設的接收窗口之內，如果在，則從D中計算出G2，其次驗證與數(shù)據(jù)庫發(fā)送過來的G2是否相等，如果相等，則從D中計算出ID，最后驗證ID和數(shù)據(jù)庫發(fā)送過來的ID是否一致，如果一致，則認證成功，并發(fā)送成功識別的指令，更新數(shù)據(jù)庫同時保留當前未更新的數(shù)據(jù)；如果驗證過程中發(fā)現(xiàn)有一項不符合條件，則放棄驗證，不進行數(shù)據(jù)庫的更新；

8)標簽如果收到“Success”指令，則成功更新索引假名和密鑰，如果沒有收到“Success”指令，則不更新，由于后端數(shù)據(jù)庫保留了未更新的數(shù)據(jù)，則標簽以未更新的索引假名和密鑰同樣可以得到驗證。

3 形式化分析與證明

形式化分析理論與方法是目前對安全協(xié)議研究的主要方法之一[17]，即通過對安全協(xié)議內容進行抽象化，采用正規(guī)的、標準的方法對協(xié)議環(huán)境、狀態(tài)以及運行協(xié)議后出現(xiàn)的狀況進行描述與分析，最終驗證協(xié)議的安全性[18]。本文主要通過BAN邏輯去證明改進協(xié)議的安全性。

利用BAN邏輯對本協(xié)議進行證明前，首先對協(xié)議消息進行形式化描述，然后進行初始化假設，最后列出協(xié)議要達到的安全目標。BAN邏輯就是通過邏輯分析判斷該協(xié)議能否達到其安全目標。

3.1 協(xié)議描述

A1：R→T:Query

A3：R→T:A∥B

A4：T→R:D

A5：R→T:Success

在該協(xié)議模型中，A1，A2和A5是利用明文傳輸，不需要分析。將A3和A4寫成形式化語言，可寫成如下形式：

A3：T?{A‖B}K

A4：R?{(ID)G2}K

3.2 協(xié)議初始化假設

B3：R|≡#A∥B

B4：T|≡#ID

B6：R|≡#ID

B7：R|≡T|?ID

密鑰K是讀寫器與標簽的雙方密鑰，攻擊者無法知道，所以B1和B2成立。A‖B是由讀寫器發(fā)送的，所以是新鮮的，同理標簽認為ID是新鮮的，所以B3和B4成立。因為G2是PUF電路G1的輸出，是讀寫器與標簽共享秘密，所以只有讀寫器和標簽知道外，其他主體都無法知道，所以，B5成立。因為本文協(xié)議具有時間戳機制，發(fā)送ID的時間必須在接收窗口內，所以，B6成立。讀寫器認為只有標簽對ID具有控制權，所以，B7成立。

3.3 協(xié)議證明的目標

C1：R?ID且R|≡ID

只有讀寫器接收標簽發(fā)送的ID，且讀寫器認為ID為真才能說明ID沒有受攻擊者篡改、攔截，此時ID就是標簽唯一的ID。

證明如下：

?{(ID)G2}K?R?(ID)G2

(8)

R?(ID)G2?R?ID

(9)

由B5知

(10)

?(ID)G2?R|≡T|～ID

(11)

R|≡#ID,R|≡T|～ID?R|≡T|≡ID

(12)

R|≡T|?ID,R|≡T|≡ID?R|≡ID

(13)

由(9)式和(13)式可知

R?ID且R|≡ID

(14)

所以得證。由(14)式可知，該協(xié)議能夠達到其目標，所以該協(xié)議經過BAN邏輯證明是安全的。

4 協(xié)議性能分析與比較

在分析過程中，將本文協(xié)議與其它輕量級協(xié)議進行安全性、計算量和存儲量比較。綜合論文引言和改進協(xié)議的相關內容，可得到本文協(xié)議與其他輕量級協(xié)議的安全性比較結果，如表2所示。表2中，用“√”表示協(xié)議可以抵抗該攻擊，用“×”表示協(xié)議不可以抵抗該攻擊。表3為本文協(xié)議與其他協(xié)議在計算量和存儲量的比較。表3中，在分析計算量時，用H表示Hash運算，用P表示PUF電路運算，用R表示偽隨機數(shù)運算，用X表示一次異或運算，用A表示位與運算，用O表示或運算，用M1表示模加運算，用M2表示模乘運算，用C表示連接運算，用S表示平方運算，用TC表示時間戳運算。在分析存儲量時，由文獻[19]知，標簽索引假名IDS、偽隨機數(shù)G1，G2，共享認證密鑰K1，K2，K3和ID長度都可設置成L。比較結果如表3所示。

表2 各協(xié)議安全性比較Tab.2 Security comparison of different protocol

由表2可知，本文協(xié)議由于對原有LMAP協(xié)議不能抵抗的攻擊進行了詳細分析與改進，改進協(xié)議彌補了原有協(xié)議的不足，所以可以抵抗上述攻擊；而其它協(xié)議對某些攻擊并不能抵抗，文獻[2]提出的協(xié)議沒有密鑰更新機制，不能抵抗假冒、重放、跟蹤等攻擊，所以安全性差；文獻[4-6]提出的協(xié)議沒有綜合考慮各種安全隱患問題，只是考慮假冒、去同步、重放等攻擊，忽略了克隆和轉發(fā)式欺騙攻擊等安全隱患問題，存在一定的缺陷，所以安全性較差；而文獻[9]、文獻[12]是對LMAP協(xié)議的改進，改進后的協(xié)議較原有LMAP協(xié)議在安全性方面有一定的提升，但是仍然不夠高。綜上所述，本文協(xié)議安全性高。

表3 各協(xié)議計算量和存儲量比較Tab.3 Computation and storage comparison of different protocol

由表4可知，從計算量上分析，本文協(xié)議只是進行異或、模加、位或等簡單運算，沒有進行運算量較大的Hash運算，而文獻[2，4-6]提出的協(xié)議都利用了Hash運算，Hash運算至少需要消耗1 700個邏輯門電路[20]，而PUF電路開銷需要545個邏輯門電路[21]，所以，本文協(xié)議計算量小，處理實效性強，且可在實際情況中實現(xiàn)。從存儲量上分析，因為出于安全性考慮，后端數(shù)據(jù)庫需要存儲未更新的索引假名和密鑰，所以，后端數(shù)據(jù)庫存儲量比其它協(xié)議高。然而本文協(xié)議中標簽的存儲量依然比原有LMAP協(xié)議和LMAP+協(xié)議低，在存儲量小的標簽電路中易實現(xiàn)；而且本文協(xié)議中讀寫器只需利用時間戳存儲時間，不需要存儲所有標簽的ID和偽隨機數(shù)G1，G2，存儲量也比原有LMAP協(xié)議及其改進協(xié)議小。

5 結束語

本文通過對LMAP協(xié)議進行改進，改進協(xié)議能夠解決原有協(xié)議中存在的克隆攻擊、去同步攻擊、跟蹤攻擊和轉發(fā)式欺騙攻擊等問題，并利用BAN邏輯對改進協(xié)議進行形式化證明，最后將本文協(xié)議與其它輕量級協(xié)議進行性能分析與比較，結果表明，本文協(xié)議在保證安全性的基礎上，計算量小，硬件電路消耗少，也適合標簽電路的存儲量，對于射頻識別技術具有一定的參考價值。

[1] 周永彬,馮登國. RFID安全協(xié)議的設計與分析[J]. 計算機學報,2006,29(4):4581-4589.

ZHOU Yongbin, FENG Dengguo. Design and analysis of cryptographic protocols for RFID[J]. Chinese Journal of Computers, 2006,29(4):4581-4589.

[2] YU Y H, ZHANG L. Research on a provable security RFID authentication protocol based on Hash function[J]. The Journal of China Universities of Posts and Telecommunications, 2016, 23(2):31-37.

[3] 賈慶軒,陳鵬,高欣,等. 抗去同步化的輕量級RFID雙向認證協(xié)議[J]. 中南大學學報：自然科學版,2015,46(6):2149-2156.

JIA Qingxuan, CHEN Peng, GAO Xin, et al. Lightweight anti-desynchron-ization RFID mutual authentication protocol[J]. Journal of Central South University：Science and Technology,2015,46(6):2149-2156.

[4] ZHANG X H, Hu Y M. RFID mutual-authentication protocol with synchronous updated keys based on Hash function[J]. The Journal of China Universities of Posts and Telecommunications, 2015, 22(6):27-35.

[5] PROSANTA G, TZONELIH H. A realistic lightweight authentication protocol preserving strong anonymity for securing RFID system[J]. Computers & Security, 2015,55(5):271-280.

[6] MORIYAMA D. Cryptanalysis and improvement of a provably secure RFID ownership transfer protocol[C]//Kara O. Lightweight Cryptography for Security and Privacy. Heidelberg: Springer Berlin Heidelberg, 2013:114-129.

[7] PERIS-L P. LMAP: A real lightweight mutual authentication protocol for low-cost RFID tags[J]. Journal of Signal Processing, 2006,59(4):1-12.

[8] CAO T J, BERTINO E, LEI H. Security Analysis of the SASI Protocol[J].IEEE Trans. Dependable and Secure Computing, 2009,6(1):73-77.

[9] GURUBANI J B, THAKKAR H, PATEL D R. Improvements over extended LMAP+: RFID authentication protocol[C]//6th International Conference on Trust Management. Surat: Springer Boston, 2012:225-231.

[10] ZAHEA A, MAHMOUD S, MOHAMMAD R A. De-synchronization attack on RAPP ultralightweight authentication protocol[J]. Information Processing Letters, 2013,113: 205-209.

[11] 王超,秦小麟,劉亞麗. 對改進LMAP+協(xié)議的啟發(fā)式攻擊策略[J]. 計算機科學,2014,41(5):143-149.

WANG Chao, QIN Xiaolin, LIU Yali. Heuristic attack strategy against improved LMAP+ protocol[J].Computer Science,2014,41(5):143-149.

[12] 朱峰,白恩健. 新的輕量級RFID雙向認證協(xié)議:PUF-LMAP+[J]. 微型機與應用,2016,35(1):1-4+8.

ZHU Feng, BAI Enjian. A new lightweight mutual authentication protocol for RFID: PUF-LMAP+[J]. Microcomputer & Its Applications,2016,35(1):1-4+8.

[13] 原變青,劉吉強. 通用可組合安全的RFID標簽組所有權轉移協(xié)議[J]. 計算機研究與發(fā)展,2015,52(10):2323-2331.

YUAN Bianqing, LIU Jiqiang. A universally composable secure group ownership transfer protocol for RFID Tags[J]. Journal of Computer Research and Development,2015,52(10):2323-2331.

[14] GILDAS A, XAVIER C, BENJAMIN M. Privacy-friendly synchronized ultralightweight authentication protocols in the storm[J]. Journal of Network and Computer Applications 2012,35(12):826-843.

[15] 劉偉強,崔益軍,王成華. 一種低成本物理不可克隆函數(shù)結構的設計實現(xiàn)及其RFID應用[J]. 電子學報,2016,44(7):1772-1776.

LIU Weiqiang, CUI Yijun, WANG Chenghua. Design and implementation of a low-cost physical unclonable function and its application in RFID[J]. Acta Electronica Sinica,2016,44(7):1772-1776.

[16] ANQI H, CHEN Z, CHAOJING T. Another improvement of LMAP+: an RFID authentication protocol[J].Communications in Computer and Information Science,2014,42(6):100-106.

[17] 李建華,張愛新,薛質等.網絡安全協(xié)議的形式化分析與驗證[M].北京，機械工業(yè)出版社，2010：11-12.

LI Jianhua, ZHANG Aixin, XUE Zhi. Formal analysis and verification of network security protocols[M].Beijing, China Machine Press,2010:11-12.

[18] 馮登國.安全協(xié)議—理論與實踐[M].北京：清華大學出版社，2011：28-30.

FENG Dengguo. Security protocols: theory and prac-tice[M].Beijing:Tsinghua University Press,2011:28-30.

[19] 石樂義,賈聰,宮劍,等. 基于共享秘密的偽隨機散列函數(shù)RFID雙向認證協(xié)議[J]. 電子與信息學報,2016,38(2):361-366.

SHI Leyi, JIA Cong, GONG Jian, et al. RFID mutual authentication protocol on pseudo-random hash function with shared secrets[J]. Journal of Electronics & Information Technology,2016, 38(2):361-366.

[20] YAUKSEL K. Universal hashing for ultra-low-power cryptographic hardware applications[D]. Worcester, MA, USA, Worcester Polytechnic Institute,2004.

[21] BOLOTNYY L, ROBINS G. Physically unclonable function-based security and privacy in RFID systems[C]//Pervasive Computing and Communications, NY: IEEE Computer Society Washington.2007:211-220.

s：The National Natural Science Foundation of China(61273302)

ImprovementresearchonLMAPprotocolforradiofrequencyidentification

HE Xuan, WANG Hongjun, YUAN Quan, WANG Lunwen

School of Electronic Countermeasures, National University of Defense Technology, Hefei 230037, P.R. China)

Security is an important issue in the field of radio frequency identification, and the research on lightweight security protocol has become the mainstream of this field. Since the lightweight mutual authentication protocol is vulnerable to clone attack, de-synchronization attack or other security problems, this paper proposes a series of improvement measures based on the analysis of original protocol, such as adding the timestamp mechanism, physical unclonable function (PUF) circuit and improving the way of generating the key to improve the security of the lightweight mutual authentication protocol. Then the security of the improved protocol is verified by the BAN logic. Finally the improved protocol is compared with other protocols in terms of security, computation and storage. The results show that the protocol has high security, less calculation, and is suitable for the storage of tags. It has certain application value in the field of radio frequency identification.

radio frequency identification; protocol improvement; timestamp mechanism; PUF circuit; BAN logic

10.3979/j.issn.1673-825X.2017.06.016

2016-11-10

2017-08-10

何 烜 hxdsgyx56@163.com

國家自然科學基金資助項目(61273302)

TP309

A

1673-825X(2017)06-0814-08

何 烜(1993 -)，男，江蘇興化人，碩士研究生，主要研究方向為射頻識別輕量級安全協(xié)議。E-mail：hxdsgyx56@163.com。

王紅軍(1968 -)，男，江蘇鎮(zhèn)江人，博士，教授、碩士生導師，主要研究方向為移動通信技術、射頻識別技術。E-mail：hongjun-wang@163.com。

袁 泉(1977 -)，男，安徽合肥人，博士，講師，主要研究方向為系統(tǒng)仿真、輕量級安全協(xié)議。E-mail：lm365cn@163.com。

王倫文(1966 -)，男，安徽合肥人，博士，教授、博士生導師，主要研究方向為神經網絡、通信系統(tǒng)仿真。E-mail：wanglunwen@163.com。

(編輯：張 誠)