賀嘉琦，彭長根，3，付章杰，許德權，湯寒林

1.貴州大學公共大數(shù)據(jù)國家重點實驗室，貴陽550025

2.貴州大學計算機科學與技術學院，貴陽550025

3.貴州大學貴州省大數(shù)據(jù)產(chǎn)業(yè)發(fā)展應用研究院，貴陽550025

4.南京信息工程大學計算機學院、網(wǎng)絡空間安全學院，南京210044

5.貴州數(shù)據(jù)寶網(wǎng)絡科技有限公司，貴陽550025

RFID（radio frequency identification，無線射頻識別）技術作為物聯(lián)網(wǎng)關鍵技術之一[1]，因其操作便捷、運行高效及無需物理接觸的優(yōu)勢逐漸代替了條形碼和二維碼，被廣泛應用于智能交通、智慧醫(yī)療、物流倉儲、證件防偽等領域，然而其安全與隱私問題也日益突出。在RFID 認證過程中，攻擊者會通過標簽和讀寫器之間的不安全信道發(fā)動假冒、竊聽、重傳、跟蹤等多種惡意攻擊[2]，因此針對RFID 安全問題的安全認證協(xié)議相繼被推出。在RFID 技術的應用系統(tǒng)中，攻擊者主要采取的攻擊模式[3]如下：

（1）拒絕服務（DoS）攻擊：攻擊者不斷發(fā)送信息，讓標簽或讀寫器發(fā)生錯誤，導致用戶會話信息被阻塞。通常采用雙向認證的方法來解決DoS攻擊，而且這種攻擊不會造成嚴重后果，RFID系統(tǒng)可以恢復到工作狀態(tài)[3]。

（2）物理攻擊：攻擊者通過去除標簽的封裝或干擾電磁，然后獲取標簽內(nèi)存儲的信息或竊聽總線得到用戶敏感信息，一般使用Kill命令、主動干擾、靜電屏蔽等方式來抵抗此攻擊[4]。

（3）竊聽攻擊：攻擊者常通過標簽與讀寫器之間的不安全通信信道發(fā)起竊聽攻擊，以侵犯用戶隱私，所以數(shù)據(jù)不能以明文形式在標簽和讀寫器之間傳輸。

（4）假冒攻擊：攻擊者利用假冒的標簽或讀寫器與其中的另一方進行通信，用非法身份竊取合法用戶的隱私信息。身份認證和數(shù)據(jù)加密是解決假冒攻擊的主要途徑[4]。

（5）重傳攻擊：攻擊者監(jiān)聽獲取標簽和讀寫器之間的會話消息后，在通信中重復發(fā)送截獲的消息，讓標簽和讀寫器認為消息合法，從而通過認證。Sarma等人[5]通過引入隨機數(shù)，提出隨機Hash-Lock 協(xié)議，變化每次通信的消息來抵抗重傳攻擊。

（6）位置跟蹤攻擊：攻擊者通過跟蹤會話消息或者發(fā)現(xiàn)標簽的某種特征之后對其進行定位來獲取對自己有益的信息[4]。為了解決位置跟蹤攻擊，Weis 等人[6]提出Hash鏈協(xié)議。

以上是對RFID 系統(tǒng)常見的攻擊問題的簡要描述。由于RFID系統(tǒng)的硬件資源較少，計算能力有限，導致其不能承載一些安全性高的傳統(tǒng)密碼學算法，使得其在去同步化、數(shù)據(jù)完整性、機密性、可用性等安全問題中還存在不足。

針對上述問題，國內(nèi)外學者在基于密碼技術的RFID安全認證協(xié)議上的研究成果有很多，不管是從安全需求出發(fā)，還是考慮低成本的RFID標簽硬件標準，最適用于RFID 認證協(xié)議的方法就是Hash 函數(shù)。Hash 函數(shù)認證協(xié)議滿足了計算低、功耗小等要求，并在某種程度上解決了RFID 系統(tǒng)中的安全隱私問題。但是僅使用Hash函數(shù)的RFID認證協(xié)議并不適用于某些使用射頻識別技術的應用場景，如高速電子不停車收費系統(tǒng)（ETC）。在現(xiàn)存的ETC系統(tǒng)中，掃描器利用車載電子標簽發(fā)送的用戶信息進行單向認證，使得不法分子得以偽造虛假的掃描器來竊取車載電子標簽存儲的用戶信息，從而導致用戶的隱私泄露以及財產(chǎn)損失。采用雙向認證，增加車載電子標簽對掃描器的合法性認證，避免掃描器的非法偽造行為，保障了用戶的隱私安全和財產(chǎn)安全。近年來，有研究表明ECC密碼算法可以保護RFID芯片[7]。本文對于如何保護ETC 系統(tǒng)中標簽和服務器的身份隱私以及提高系統(tǒng)認證效率的問題，提出一種新的輕量級RFID雙向認證協(xié)議，具體工作包括：

（1）該協(xié)議基于Hash 函數(shù)、ECC 密碼算法與或運算，使用隨機數(shù)生成器生成不可預測的消息認證碼（HMAC）[8]以保障在認證時傳輸消息的新鮮性和完整性。

（2）協(xié)議使用橢圓曲線加密算法將通信雙方的真實身份信息隱藏為虛擬名，基于ECDLP困難問題，在保證身份隱私的情況下，通過采用兩輪消息交互的模式讓通信雙方相互驗證新鮮的消息認證碼來實現(xiàn)協(xié)議的雙向認證。

（3）通過指定密鑰種子協(xié)商出標簽和服務器的共享會話密鑰，并設計密鑰自動更新機制以實現(xiàn)雙方的密鑰同步，有效解決了RFID 認證過程中密鑰固定引起的安全問題。

通過理論和實驗分析本文認證協(xié)議的安全性和性能，并與同類認證協(xié)議進行對比，結果表明所提的雙向認證協(xié)議能夠滿足雙向認證、可擴展性、前向安全性、匿名性、數(shù)據(jù)完整性和可用性等安全性要求，可以抵抗重傳攻擊、去同步攻擊、跟蹤攻擊、克隆攻擊、服務器欺騙攻擊、標簽假冒攻擊、DoS 攻擊等惡意攻擊。并且本協(xié)議的計算成本和存儲成本相對最低，在性能上具有明顯優(yōu)勢。

1 相關工作

近年來，RFID 認證技術中安全與隱私問題變得尤為重要，基于密碼算法的RFID 安全認證協(xié)議逐漸成為研究熱點。圖1 為RFID 認證系統(tǒng)架構，其中展示了RFID 系統(tǒng)認證過程中常見的攻擊，現(xiàn)針對本文所研究的RFID認證協(xié)議安全問題，文獻綜述如下：

圖1 RFID認證系統(tǒng)架構圖Fig.1 RFID authentication system architecture diagram

2006年，Tuyls和Batina[9]提出了首個基于ECC算法的RFID認證協(xié)議，該協(xié)議采用Schnorr協(xié)議[10]，以防止被動攻擊和偽造。2007年，Batina等人[11]提出了用Okamoto識別協(xié)議[12]實現(xiàn)基于公鑰ECC 的RFID 認證方法，來防止主動攻擊。2008 年，Lee 等人[13]改進了文獻[9]和[11]中提出的認證協(xié)議，提出了一種新的基于隨機訪問控制（EC-RAC）的認證協(xié)議ECDLP，解決了位置跟蹤等安全問題。2011 年，Zhang 等人[14]引入隨機密鑰的思想來解決跟蹤攻擊和中間人攻擊的問題，提出了改進的Schnorr 認證協(xié)議[10]和EC-RAC 方案[13]。但以上方案都只能實現(xiàn)讀寫器對標簽的單向認證。隨后，Liao等人[15]在2013 年設計了一種基于ECC 和身份驗證的RFID 雙向認證協(xié)議。2014 年，Zhao 等人[16]指出Liao 等人提出的方案在數(shù)據(jù)完整性方面還存在缺陷，并且存在密鑰妥協(xié)問題，對其進行改進，給出了一個性能相同的改進協(xié)議。同年，Chou等人[17]提出了一種哈希函數(shù)與橢圓曲線密碼學相結合的RFID 認證協(xié)議，通過實驗分析發(fā)現(xiàn)該方案不能抵御假冒攻擊和位置跟蹤。上述文獻提出的方案雖然實現(xiàn)了從單向認證過度到雙向認證，但它們的認證效率和安全性有待提高。

在保證RFID 認證協(xié)議安全性的同時，為了能夠提高雙向認證協(xié)議的運行效率，研究者們陸續(xù)提出相應的RFID雙向認證協(xié)議。2016年，Alamr等人[18]提出了基于橢圓曲線Diffie-Hellman（ECDH）密鑰的RFID雙向認證協(xié)議，該協(xié)議解決了密鑰泄露、位置跟蹤攻擊等安全問題，但是它未考慮數(shù)據(jù)的完整性問題。2017 年，Zheng等人[19]提出一種ECC 認證協(xié)議，該方案具有相互認證、機密性、匿名性、可用性、正向安全性、可伸縮性等優(yōu)勢，但在抵抗隱私泄露、重傳攻擊、假冒攻擊等方面還存在不足，并且標簽使用了復雜的倍點運算，導致標簽存儲量和計算量過大。2019 年，Dinarvand 等人[20]提出了一種新的基于ECC的RFID認證方案，該方案在安全性有一定的提高，可以防止重放攻擊、克隆攻擊、DoS 攻擊、去同步攻擊、標簽偽裝攻擊和服務器欺騙攻擊等不同的攻擊，但在查找密鑰方面效率較低。

現(xiàn)有的RFID雙向認證協(xié)議可以較好地解決數(shù)據(jù)安全和身份匿名性問題，能夠抵抗位置跟蹤攻擊、標簽假冒攻擊、服務器欺騙攻擊、重傳攻擊等多種惡意攻擊，具備良好的可擴展性。但是或多或少還存在計算量大、成本高等缺陷以及認證碼和密鑰固定或更新不及時導致被攻擊者篡改、竊取、泄露的隱私安全問題。并且使用RFID技術的ETC系統(tǒng)對于用戶身份隱私保護和系統(tǒng)運行性能要求較高，現(xiàn)有的RFID 雙向認證協(xié)議不能同時達到強安全高效率的高標準。

基于上述問題，本文提出一種新的輕量級RFID 雙向認證協(xié)議。所提協(xié)議采用Hash 函數(shù)、ECC 密碼算法與或運算對所要傳輸?shù)南⑦M行加密，并使用隨機數(shù)生成器生成消息認證碼，不僅可以增加攻擊者的破解難度，還可以使前后兩次通信消息無法相互逆推，保障系統(tǒng)的安全。協(xié)議基于ECDLP 困難問題，通過隱藏通信雙方的身份真實信息，在保障身份匿名的前提下，采用兩輪消息交互完成雙向身份認證。協(xié)議通過指定密鑰種子設計密鑰自動更新機制，在認證成功后會同步更新雙方的共享會話密鑰，能有效解決消息認證碼和密鑰固定引起的隱私安全問題。在協(xié)議性能方面，標簽只需存儲自身的真實信息以及算法的相關參數(shù)，可以節(jié)約大量的存儲空間。另外，系統(tǒng)完成雙向認證只需經(jīng)過兩輪的消息傳輸，每輪認證結束后也只需一次密鑰更新，且公鑰長度較短，在一定程度上能夠降低系統(tǒng)的計算成本和存儲成本，提高認證協(xié)議的運行效率。

2 基礎知識

2.1 ECC橢圓曲線

橢圓曲線加密體制是由Kobilitz[21]提出的，橢圓曲線是指維韋爾斯特拉斯（Weierstrass）方程：

所確定的平面曲線，通常用E表示。其中a,b,c,d,e均屬于域F,F可以是有理數(shù)域、復數(shù)域或有限域。橢圓曲線E上的有限域Fq是所有解的集合，方程表示為E:y2=x3+ax+b, 其中a,b∈Fq,a,b∈(0,1,…,p-1)且4a3+27b2≠0。橢圓曲線有一個特殊的點∞，稱為無窮遠處的點，用O表示。橢圓曲線的運算規(guī)則如下：

對于P=(x,y)∈E，有-P=(x,-y)，P+(-P)=ο；對于橢圓曲線上的點P和Q，其中P=(x1,y1)，Q=(x2,y2)，P≠-Q且P+Q=(x3,y3)，則有：

2.2 困難問題

定義1（橢圓曲線離散對數(shù)問題（ECDLP）[20]）在橢圓曲線構成的Ep(a,b)上，對于方程Q=dP（其中P,Q∈Ep(a,b),d

定義2（橢圓曲線Diffie-Hellman問題（ECDHP）[20]）在橢圓曲線構成的Ep(a,b)上，對于方程A=aP和B=bP（其中P∈Ep(a,b)），通過多項式時間有界算法很難求出C=abP。

定義3（哈希函數(shù)抗碰撞性[22]）對于任意兩個不同的消息M1、M2,hash(M1)=hash(M2)的可能性極小；對于一個給定的消息M1，找到與hash(M1)相同的消息M2極為困難。

3 基于Hash-ECC的RFID雙向認證協(xié)議

本協(xié)議設計了5 個多項式時間算法：初始化算法、加密算法、解密算法、雙向認證算法和密鑰更新算法，這些算法貫穿雙向認證的全過程。在加密階段，利用ECC密碼算法和Hash 函數(shù)加密標簽標識符，能夠保障通信雙方身份的匿名性。在身份認證階段，采用兩輪消息交互的模式實現(xiàn)雙向身份認證，節(jié)省認證過程中的計算時間，提高認證效率。最后在認證成功后，對共享會話密鑰和標簽虛擬名進行同步更新，使每次認證的消息認證碼和標簽虛擬名具備新鮮性。因此攻擊者就無法得到正確的傳輸數(shù)據(jù)和用戶的真實身份信息，進一步提高系統(tǒng)的安全性。

3.1 協(xié)議概要設計

在所提出的雙向認證協(xié)議中，讀寫器和標簽使用隨機數(shù)生成器自動生成相應的隨機變量，并且能夠運算Hash 函數(shù)和ECC 密碼算法；讀寫器與服務器使用有線通信，通信信道是安全的，可以看成一個整體。而標簽與讀寫器之間使用無線通信，通信信道容易受到攻擊。本認證協(xié)議設計了5個多項式時間算法：(Setup,Enc,Dec,Ver,Update)，協(xié)議使用的符號和說明如表1所示。

表1 Hash-ECC雙向認證協(xié)議符號說明表Table 1 Symbol description table of Hash-ECC hybrid bidirectional authentication protocols

Setup(λ)→(Para,xt,ID,KP,S)：要求輸入安全參數(shù)λ，算法輸出系統(tǒng)公共參數(shù)Para=(a,b,n,q,P)，標簽標識符，標簽虛擬名ID=h(xt)+r2PS，服務器密鑰對，標簽與服務器的共享密鑰

Enc(r1,r2,xt,Para,S,KP)→(Auths,Autht,Autht′)：隨機選擇整數(shù)，輸入標簽標識符xt，公共參數(shù)Para，標簽與服務器的共享密鑰S和服務器密鑰對KP，算法輸出認證消息Auths、Autht和Autht′。

Ver(Para,ID,xt,S,KP)→(Accept,Reject)：輸入公共參數(shù)Para、標簽虛擬名ID、標簽標識符xt、共享密鑰S和服務器密鑰對KP，服務器輸出Reject，認證失??；輸出Accept后才能進行下一步對標簽的認證。標簽輸出Reject，認證失敗；輸出Accept，雙向認證完成。

Update(Para,ID,S,KP)→(IDnew,Snew)：輸入公共參數(shù)Para，標簽虛擬名ID，標簽與服務器的共享密鑰S和服務器密鑰對KP，輸出新的標簽虛擬名IDnew和共享密鑰Snew。

3.2 協(xié)議詳細設計

Setup( )λ→(Para,xt,ID,KP,S)：算法輸入安全參數(shù)λ，輸出橢圓曲線公共參數(shù)Para=(a,b,n,q,P)，在橢圓曲線E上隨機選擇作為標簽的標識符，隨機選擇ID=h(xt)+r2PS作為標簽虛擬名，作為服務器私鑰，作為服務器公鑰，作為標簽與服務器的共享密鑰，并將標簽有關信息、服務器公鑰PS、共享密鑰S和橢圓曲線域參數(shù)Para=(a,b,n,q,P)存儲在標簽內(nèi)存和服務器的后臺數(shù)據(jù)庫中。

Enc(r1,r2,xt,Para,S,KP)→(Auths,Autht,Autht′)：隨機選擇整數(shù)r1,r2，輸入標簽標識符xt、公共參數(shù)Para、標簽與服務器的共享密鑰S和服務器密鑰對KP，標簽用服務器的公鑰Ps對標簽標識符xt加密成c=E(xt)后，算法輸出R1=r1P,R2=r2P,R3=r2PSS,Rt=r2R1,Rs=r1R2，Auths=c+h(SRt||R2||R3)，Autht=h(xt′||SRs||Auths)，

Ver(Para,ID,xt,S,KP)→(Accept,Reject)：輸入公共參數(shù)Para，標簽虛擬名ID，標簽標識符xt，共享密鑰S和服務器密鑰對KP，標簽輸出R2=r2P、R3=r2PSS、Rt=r2R1和Auths=c+h(SRt||R2||R3)，然后將{R2,Rt,ID,Auths}發(fā)送給服務器。服務器收到消息后根據(jù)接收到的標簽虛擬名ID在數(shù)據(jù)庫中獲取對應的xt，用自己的私鑰XS計算，輸出Auths中的c′=Auths-并驗證Auths中的與存儲的xt是否相等。若不相等，說明服務器對標簽認證失敗，直接輸出Reject；若相等，則認證成功，輸出Accept，計算Rs=r1R2和認證消息并發(fā)送給標簽。標簽計算與收到的Autht進行對比驗證，若二者不相等，則輸出Reject，否則輸出Accept，雙向認證完成。標簽和服務器的雙向認證過程如表2所示。

表2 協(xié)議認證過程Table 2 Process of authentication protocol

Update(Para,ID,S,KP)→(IDnew,Snew)：輸入公共參數(shù)Para、標簽虛擬名ID、共享密鑰S和服務器密鑰對KP，算法輸出更新后的標簽虛擬名IDnew和共享密鑰Snew。更新算法如下：

標簽更新：

服務器更新：

（1）若IDold被接收：

（2）若IDnew被接收：

4 協(xié)議分析

在本章中，使用隨機預言模型[23]對試圖泄露標簽標識符、共享密鑰和服務器私鑰的敵手進行安全性證明，并從安全性要求和RFID系統(tǒng)常見的攻擊兩方面分析所提認證協(xié)議。該協(xié)議滿足的安全性要求有雙向認證、可擴展性、前向安全性、匿名性、數(shù)據(jù)完整性和可用性。該協(xié)議能抵抗的攻擊有：重傳攻擊、去同步攻擊、跟蹤攻擊、克隆攻擊、服務器欺騙攻擊、標簽假冒攻擊和DoS攻擊。

4.1 安全性證明

在本節(jié)中，將使用隨機預言模型分析所提協(xié)議的安全性，以驗證協(xié)議是否滿足雙向認證、匿名性、數(shù)據(jù)完整性、前向安全性、可用性等安全性要求以及能否抵抗重傳攻擊、去同步攻擊、跟蹤攻擊、克隆攻擊、服務器欺騙攻擊、標簽假冒攻擊等多種惡意攻擊。首先，對敵手A做一些合理的假設來支撐安全分析：

Reveal 1：隨機預言機將完全從對應的散列值y中輸出字符串x，即知道y=h(x)中x的值。

Reveal 2：隨機預言機將完全從橢圓曲線E(Fq)給定的兩點P和Q=dP中輸出整數(shù)d。

Adversarial model：假設敵手A在模型中能夠完全控制標簽和服務器之間的不安全通道：

（1）敵手A可以竊聽服務器和標簽之間的所有傳輸消息。

（2）敵手A可以注入自己的偽造信息。

（3）敵手A可以攔截、篡改服務器和標簽之間的任何會話消息。

（4）敵手A可以使用不同的流量分析工具，利用從公共通道捕獲的信息來獲得控制特定標簽的關鍵信息。

定理1 在ECDLP問題和作為隨機預言機的單向哈希函數(shù)h(?)假設下，該協(xié)議是安全的，可以防止敵手A泄露標簽標識符xt。

證明首先建立一個敵手A能利用Proof 1中的Reveal 1和Reveal 2，并且具有泄露標簽標識符xt、標簽與服務器的共享密鑰S和服務器私鑰XS的能力。以敵手A在Proof 1中的實驗為例，如果敵手A有能力求解ECDLP，并對單向哈希函數(shù)進行反求，則可以正確地泄露、獲取標簽標識符xt。然而，參考定義1和定義3，從給定的R1、R2反推出r1、r2以及從給定的哈希值逆向求輸入值是困難的。在雙方會話交互過程中，標簽用虛擬名代替真實身份信息進行交互，敵手A無法獲取到標簽標識符xt，就難以篡改、跟蹤傳輸信息及假冒標簽。因此，所提協(xié)議能夠抵抗跟蹤攻擊、克隆攻擊、標簽假冒攻擊等攻擊，確保數(shù)據(jù)的完整性、機密性。

定理2 在ECDLP問題和作為隨機預言機的單向哈希函數(shù)h(?)假設下，該協(xié)議是安全的，可以抵抗敵手A竊取共享密鑰S和服務器私鑰XS。

證明與定理1一樣，建立一個敵手A能利用Proof 2中的Reveal 1和Reveal 2，并且能從RFID系統(tǒng)中獲取共享密鑰S和服務器私鑰XS。根據(jù)實驗如果敵手A能夠解決ECDLP和ECDHP問題并對單向哈希函數(shù)進行反變換，那么就可以正確地公開共享密鑰S和服務器私鑰XS，然后破壞系統(tǒng)。然而，根據(jù)定義1、定義2和定義3的描述，敵手很難從給定的服務器公鑰PS中提取服務器私鑰XS以及從給定的哈希值即認證消息Auths和Autht中反向求出輸入值S。并且在每次認證成功后，共享密鑰S和服務器私鑰XS都會進行更新，即使敵手在會話過程中竊取到認證消息，也無法通過跟蹤、重傳、假冒等非法手段來推測出真正的共享密鑰S和服務器私鑰XS。因此，本文提出的協(xié)議可以抵抗任何敵手的跟蹤、去同步、重傳、服務器欺騙等攻擊，滿足完整性、可用性、前向安全等安全性要求。

4.2 安全性分析

安全性分析是檢測認證方案中可能存在安全問題的重要步驟。本節(jié)從以下兩個方面對本協(xié)議進行安全性分析：（1）認證協(xié)議必須具備通信雙方相互認證真?zhèn)蔚陌踩砸?，如雙向認證、數(shù)據(jù)完整性、機密性、前向安全性、可用性等；（2）認證協(xié)議必須具備能夠抵抗較為常見攻擊的能力，如抵抗重傳攻擊、抵抗去同步攻擊、抵抗跟蹤攻擊、抵抗DoS攻擊等。

4.2.1 安全性要求分析

本小節(jié)在安全性證明的基礎上，重點分析了所提認證協(xié)議在實際應用過程中，為何滿足雙向認證、數(shù)據(jù)完整性、機密性、匿名性和不可追溯性、前向安全性、可擴展性、可用性等通信雙方必須具備相互認證真?zhèn)蔚陌踩砸蟆?/p>

（1）雙向認證：在本文設計的RFID 雙向認證協(xié)議中，認證消息Auths中的標簽標識xt發(fā)送給服務器時是經(jīng)過ECC算法加密的，因為消息受到ECDLP的保護，攻擊者很難獲取到標識符xt。如果服務器使用私鑰計算消息得到與從數(shù)據(jù)庫中獲取的xt相同，則服務器通過驗證。同樣地，通過計算標簽認證消息，要證明服務器是真實的，就必須與接收到的認證消息Autht相同。整個過程使用了兩次Hash函數(shù)來達到標簽和讀寫器之間的雙向認證效果。

（2）數(shù)據(jù)完整性：由于標簽標識xt、共享密鑰S和服務器私鑰XS僅用于標簽和授權的服務器中，用于產(chǎn)生，并且認證時要求接收的消息與標簽或服務器在本地存儲的信息一致。而攻擊者對交換的信息做任何更改都會導致本地信息和接收到的信息缺乏一致性，從而將會被檢測到攻擊，因此，所提認證協(xié)議能夠保障數(shù)據(jù)的完整性。

（3）數(shù)據(jù)機密性：標簽的真實信息被安全地存儲在內(nèi)存中，在通信過程中它只需傳輸標簽虛擬名ID。標簽與服務器的共享密鑰S以及服務器私鑰XS沒有在不安全的通信信道上傳輸，攻擊者很難從通信會話中獲取到相關信息的隱私數(shù)據(jù)。而且認證消息Auths中的標識符xt是用ECC 密碼算法加密過的，攻擊者要想獲取標識符，就必須要解決ECC 橢圓曲線的離散對數(shù)問題，顯然這是很難做到的。所以本文設計的認證協(xié)議能保證數(shù)據(jù)的機密性。

（4）匿名性和不可追溯性：協(xié)議將標簽真實信息隱藏為標簽虛擬名來標識標簽，并且在每次認證成功之后，標簽與服務器的共享密鑰S和標簽虛擬名ID都會用Hash 函數(shù)自動更新，攻擊者無法從傳輸?shù)男畔⒅刑崛撕灥恼鎸嵣矸菪畔?。而且每輪會話標簽和服務器會產(chǎn)生不同的隨機數(shù)，攻擊者不能預測出正確的認證消息Auths和Autht。攻擊者就不能惡意查詢定位或跟蹤標簽，也無法從{R2,Rt,ID,Auths}中提取標簽標識符xt，因此該協(xié)議具備匿名性和不可追溯性。

（5）前向安全性：鑒于ECDLP 困難問題和Hash 函數(shù)的單向性特點，攻擊者是不可能通過Auths和Autht計算出共享密鑰S的，并且標簽存儲的共享密鑰是安全的，只能自己使用。同樣地，每次會話中的隨機數(shù)r1,r2是不同的，所以即使攻擊者獲取了標簽當前的共享密鑰和所有會話信息，還是不能推測出之前的交互信息。

（6）可擴展性：可擴展性是RFID系統(tǒng)中最理想的特性之一，該屬性描述了系統(tǒng)正確處理不斷增長的工作負載的能力。在本文設計的協(xié)議中，服務器識別過程是使用接收到的ID來執(zhí)行的，其中服務器從其數(shù)據(jù)庫中獲取xt以完成標簽身份驗證過程。服務器不需要在數(shù)據(jù)庫中的所有標簽進行線性搜索，只需要O(1)的時間來搜索xt。當系統(tǒng)的標簽數(shù)量增加時，該協(xié)議將保持相同的工作負載。因此，本RFID認證協(xié)議具有可擴展性。

（7）可用性：在提出的協(xié)議中，標簽唯一標識符xt在一個由哈希函數(shù)和ECC密碼算法保護的認證消息中進行交換(Auths=c+h(SRt||R2||R3))，這意味著任何攻擊者都不能訪問它。此外，使用標簽虛擬名ID進行識別，并在每次成功的認證會話后進行更新，能夠抵抗去同步攻擊，因此該協(xié)議提供了可用性。

4.2.2 攻擊分析

所提出的雙向認證協(xié)議需具備較高的安全性，能夠抵抗攻擊者發(fā)起的較為常見的攻擊。接下來，將證明所提出的協(xié)議能夠抵抗以下攻擊：重傳攻擊、去同步攻擊、跟蹤攻擊、克隆攻擊、標簽假冒攻擊、服務器欺騙攻擊、DoS攻擊等，并解釋協(xié)議在應對各種安全問題時是如何保證系統(tǒng)安全性的。

（1）重傳攻擊：在本文設計的認證協(xié)議中，每次會話所傳輸?shù)南R2,Rt,ID,Auths} 和{Rs,Autht} 都是由新的隨機數(shù)r1,r2構造的，保證了每次認證時傳輸?shù)男畔⑹亲兓模虼嗽跀?shù)據(jù)傳輸過程中，攻擊者把截取的數(shù)據(jù)再重傳給標簽或讀寫器，認證不會成功。

（2）去同步攻擊：服務器和標簽每次在驗證對方身份合法后，都會用Hash 函數(shù)對共享密鑰S和標簽虛擬名ID進行更新，以確保兩者的信息是同步的。假使攻擊者強制使通信雙方的共享密鑰更新為不同的值，從而破壞兩者之間的同步，使它們無法認證彼此。根據(jù)密鑰更新階段的算法可知，標簽的舊標識符和舊共享密鑰都存儲在數(shù)據(jù)庫中，沒收到消息的標簽可以使用舊密鑰完成認證，從而避免了去同步攻擊。

（3）跟蹤攻擊：標簽使用虛擬名ID進行傳輸，而標簽真實身份信息xt經(jīng)過ECC算法加密并與其他變化的數(shù)進行Hash 運算后再去傳輸，攻擊者是無法獲取到標簽標識符xt的。并且隨機變量r1,r2在每次會話中是不同的，使得傳輸?shù)南R2,Rt,Auths,Autht,Rs} 也不同。因此，攻擊者無法得到任何信息來提取不變的要素以跟蹤標簽。

（4）克隆攻擊：根據(jù)所提出協(xié)議的描述，每個標簽都有自己的標識符xt，其與服務器的共享密鑰S也不相同。假設攻擊者可以得到幾個標簽的標識符和密鑰，但是他不能得到其他標簽的秘密信息，因為各標簽的秘密信息之間沒有關聯(lián)。所以，所提出的認證協(xié)議可以抵抗克隆攻擊。

（5）標簽假冒攻擊：攻擊者用一個假冒的標簽發(fā)送認證消息Auths給服務器，目的是讓服務器認證標簽的合法性，而攻擊者是無法計算出正確的Auths。因為假冒的標簽即使能夠得到對應的ID，服務器的數(shù)據(jù)庫中并沒有該假冒標簽對應的ID和標識符xt，在此情況下服務器是不能得到與之對應的xt，故本協(xié)議可以抵抗標簽假冒攻擊。

（6）服務器欺騙攻擊：在此攻擊中，攻擊者希望模擬一個服務器來騙取標簽的合法性驗證。在該協(xié)議中，假設攻擊者生成一個隨機數(shù)r1，計算R1=r1P并將R1發(fā)送給標簽。但是在接收到標簽發(fā)送的消息{R2,Rt,ID,Auths}后，攻擊者不知道標簽標識符xt和共享密鑰S，無法生成正確的認證消息Autht來通過標簽的認證，其中Autht=因此，攻擊者不能模擬服務器來騙取標簽的認證，所提協(xié)議能夠抵抗服務器欺騙攻擊。

（7）DoS 攻擊：攻擊者企圖通過不斷發(fā)送消息{R1,R2,Auths,Autht}以達到耗盡系統(tǒng)資源，使系統(tǒng)處于死機的目的。然而，本協(xié)議只要有一次認證失敗，協(xié)議就會立即終止；并且隨機數(shù)具有短時間不可重復性的特征，若兩次發(fā)送的隨機數(shù)相等說明受到了重傳攻擊，協(xié)議也會立即終止。協(xié)議終止后系統(tǒng)仍可以正常運行，隨時繼續(xù)下一輪的認證，而攻擊者并未獲取到任何隱私信息，故所提出的協(xié)議能夠抵抗DoS攻擊。

5 性能分析與比較

RFID 標簽作為計算能力和存儲能力最弱的參與體，嚴重制約了RFID應用系統(tǒng)的發(fā)展，所以降低標簽的計算量和存儲量是至關重要的。為了達到高效率低成本的目的，本文在設計RFID雙向認證協(xié)議時，不僅要考慮協(xié)議的安全問題，還要嚴格控制RFID 標簽的一些成本消耗，例如計算時間和存儲大小。通常，用計算成本、通信成本和存儲大小這3項指標來衡量RFID認證協(xié)議的執(zhí)行效率和成本，本章就以這3項指標對該協(xié)議進行分析，并與Liao等人的方案[15]、Zhao等人的方案[16]、Alamr等人的方案[18]和Dinarvand等人的方案[20]進行比較。

為了達到相同的安全級別，假設在相關協(xié)議中使用的哈希函數(shù)輸出為160 bit，橢圓曲線的長度也為160 bit，在5 MHz 標簽上的標量點乘運算時間為0.064 s，用Te表示橢圓曲線標量點乘的運算時間。由于橢圓曲線標量乘法是所研究的認證方案中最復雜的操作，因此可以忽略其他操作的運行時間，只考慮橢圓曲線標量乘法運算時間。通過計算協(xié)議中生成消息的運算時間來計算給定的認證協(xié)議的計算成本。表3 列出了該協(xié)議與其他相關的RFID認證協(xié)議的標簽計算成本的比較。表4列出了該協(xié)議與其他相關的RFID認證協(xié)議的服務器計算成本之間的比較。圖2為本文提出的RFID認證協(xié)議與其他相關認證協(xié)議的總計算時間比較圖。

表3 標簽運算時間比較Table 3 Comparison of computation cost of tags

表4 服務器運算時間比較Table 4 Comparison of computation cost of server

圖2 總計算時間比較圖Fig.2 Comparison of total computation cost

表3、表4和圖2的對比結果表明，與現(xiàn)有的RFID認證協(xié)議相比，本文所提RFID 雙向認證協(xié)議的標簽和服務器計算時間有所減少，總計算成本相對減少了40%和33%，即RFID系統(tǒng)的整體運行效率有所提高。

通過計算傳輸消息的長度來計算給定的認證協(xié)議的通信成本。在設計的RFID 認證協(xié)議中，需要傳輸?shù)南閧R1,R2,Rt,ID,Rs,Auths,Autht}，由于橢圓曲線的長度為160 bit，具有x和y坐標的橢圓曲線上的點都是320 bit。所以在所提議的協(xié)議中，通信成本的計算為：320+320+160+160+320+320+160=1 760 bit。表5 列出了該協(xié)議與其他協(xié)議的通信成本之間的比較。

表5 通信成本比較Table 5 Comparison of communication cost

由表5的對比結果可知，本文設計的認證協(xié)議的通信成本比其他四種相關協(xié)議的通信成本要高。這是因為傳輸?shù)南⒔?jīng)過ECC 密碼算法加密后再進行傳輸，提高安全性的同時也使得消息的長度增加，通信成本也就隨之增大。

存儲成本表示存儲用于實現(xiàn)身份認證過程中標簽和服務器的不同參數(shù)所需的空間區(qū)域。該協(xié)議中，標簽存儲的數(shù)據(jù)為{Para,S,ID,xt,PS} ，所需的存儲空間為：160+160+320+160+160+160+160+160+160=1 440;服務器存儲數(shù)據(jù)為{Para,S,ID,xt,KP} ，所需空間為：160+160+320+160+160+160×3+160n×2=1 440+320n。圖3 為所提協(xié)議與相關協(xié)議的標簽存儲空間消耗比較圖。

圖3 標簽存儲空間消耗比較Fig.3 Comparison of label storage space consumption

從圖3標簽存儲空間消耗的對比結果可知，相較于其他四種相關認證協(xié)議，本文所提認證協(xié)議的標簽存儲成本最低。在達到相同安全需求的同時，盡可能降低標簽的存儲成本，提高標簽的存儲性能。

圖4為各協(xié)議中服務器存儲空間消耗的對比圖，表6為本協(xié)議和相關協(xié)議總存儲空間消耗的比較。

表6 存儲空間消耗比較Table 6 Comparison of storage space consumption

圖4 服務器存儲空間消耗比較Fig.4 Comparison of server storage space consumption

從圖4 和表6 的對比結果中可以看出，所提認證協(xié)議的標簽和服務器的存儲開銷相對最少，與協(xié)議[18]相比節(jié)省近25%的標簽存儲成本。隨著標簽數(shù)量n的增加，所有協(xié)議服務器的存儲量都是呈線性遞增的，而本文協(xié)議存儲消耗最少。此外，本協(xié)議的服務器存儲消耗量增幅比其他四種協(xié)議要小，即隨著標簽數(shù)量的增加，服務器存儲消耗的速度最慢。由于服務器使用的是計算機存儲，成本很低，對于資源受限的RFID 標簽來說，該認證協(xié)議節(jié)省了標簽和服務器的大量存儲空間，在存儲需求方面具有明顯的優(yōu)勢。

最后，表7 列出了該協(xié)議與Liao 等人的方案[15]、Zhao等人的方案[16]、Alamr等人的方案[18]和Dinarvand等人的方案[20]的安全性分析比較。在協(xié)議[15]中，服務器用標簽的公鑰ZT來認證標簽的合法性，攻擊者很容易在認證標簽后更改標簽公鑰值，然而系統(tǒng)檢測不到信息被更改，因此無法保障數(shù)據(jù)完整性；同時協(xié)議中沒有對標簽和服務器的密鑰進行同步更新，服務器密鑰一旦被泄露，攻擊者就會對系統(tǒng)發(fā)起去同步攻擊。協(xié)議[16]對協(xié)議[15]做了改進，解決了協(xié)議[15]的數(shù)據(jù)完整性問題，但是標簽密鑰在認證成功后沒有進行同步更新，容易遭受攻擊者的去同步攻擊。協(xié)議[18]中的服務器利用接收到的標簽公鑰Pt在數(shù)據(jù)庫中查找對應的標簽ID，然后計算驗證信息AT′來認證標簽合法性，若攻擊者在認證標簽后更改標簽公鑰值，此時系統(tǒng)無法檢測出信息被更改，因此喪失了數(shù)據(jù)的完整性。協(xié)議[18]與前兩個協(xié)議一樣，沒有密鑰同步更新階段，故容易受到去同步攻擊。

表7 安全性比較Table 7 Security comparison

通過分析比較5種認證協(xié)議的安全性和性能，發(fā)現(xiàn)本文所提協(xié)議能夠克服其他協(xié)議中存在的安全弱點，在達到安全性要求的前提下，節(jié)省了計算成本和存儲空間，提高了認證效率，比其他同類認證協(xié)議更適合用于ETC系統(tǒng)。

6 結束語

在ETC系統(tǒng)運行過程中，針對在保證傳輸數(shù)據(jù)安全的同時，如何進一步保護標簽和服務器的身份隱私、提高系統(tǒng)執(zhí)行效率的問題，提出一種新的輕量級RFID 雙向認證協(xié)議。協(xié)議基于Hash 函數(shù)、ECC 密碼算法與ECDLP 困難問題，采用兩輪消息交互的模式實現(xiàn)協(xié)議的雙向認證；通過隱藏通信雙方的真實信息并指定密鑰種子來協(xié)商標簽和服務器的共享會話密鑰，設計密鑰自動更新機制以實現(xiàn)雙方的密鑰同步。理論分析和實驗結果表明，所提協(xié)議不僅滿足雙向認證、數(shù)據(jù)完整性、機密性、匿名性和不可追溯性、前向安全性、可擴展性、可用性等安全性要求，還能抵抗重傳攻擊、去同步攻擊、跟蹤攻擊、克隆攻擊、標簽假冒攻擊、服務器欺騙攻擊、DoS 攻擊等多種攻擊。與部分典型認證協(xié)議在性能方面相比較，本協(xié)議節(jié)省近40%的計算時間和25%的存儲空間，性能方面具有顯著優(yōu)勢。基于Hash-ECC的RFID雙向認證協(xié)議是解決標簽與服務器之間安全認證的有效途徑，但不是唯一途徑，其中還存在諸多現(xiàn)實生活中難以解決的問題。下一步將研究如何降低協(xié)議的通信成本，進一步提高系統(tǒng)整體性能，并利用軟件快速實現(xiàn)本文協(xié)議，將其投入到實際應用中。