閱讀器破壞條件下RFID前向安全認(rèn)證協(xié)議

王少輝，劉 天，李 靜，肖 甫

(1.南京郵電大學(xué)計(jì)算機(jī)學(xué)院，江蘇南京 210003; 2.江蘇省無線傳感網(wǎng)高技術(shù)研究重點(diǎn)實(shí)驗(yàn)室，江蘇南京 210003)

閱讀器破壞條件下RFID前向安全認(rèn)證協(xié)議

王少輝1，2，劉 天1，2，李 靜1，2，肖 甫1，2

(1.南京郵電大學(xué)計(jì)算機(jī)學(xué)院，江蘇南京 210003; 2.江蘇省無線傳感網(wǎng)高技術(shù)研究重點(diǎn)實(shí)驗(yàn)室，江蘇南京 210003)

無線射頻識(shí)別(RFID)是一種可實(shí)現(xiàn)自動(dòng)識(shí)別和數(shù)據(jù)獲取的無線技術(shù)，其在健康護(hù)理領(lǐng)域應(yīng)用廣泛并已成為該領(lǐng)域的主導(dǎo)識(shí)別技術(shù)。RFID系統(tǒng)的安全與隱私問題受到越來越多的關(guān)注，許多基于橢圓曲線密碼系統(tǒng)或Hash函數(shù)的認(rèn)證協(xié)議都實(shí)現(xiàn)了保護(hù)系統(tǒng)安全性和隱私性的設(shè)計(jì)目標(biāo)，但很少有協(xié)議考慮標(biāo)簽或閱讀器破壞條件下的前向安全性。對(duì)新近提出的三個(gè)安全協(xié)議進(jìn)行了分析，結(jié)果表明，三個(gè)協(xié)議并不能在標(biāo)簽或閱讀器破壞下提供前向隱私保護(hù)，進(jìn)而提出一種改進(jìn)的基于ECC的RFID認(rèn)證協(xié)議，對(duì)改進(jìn)協(xié)議的安全性進(jìn)行了詳細(xì)分析。結(jié)果表明，新協(xié)議在滿足各安全需求的同時(shí)，可以提供閱讀器破壞條件下的前向安全性，而且新協(xié)議需要的計(jì)算開銷更少，效率更優(yōu)。

射頻識(shí)別;輕量級(jí)雙向認(rèn)證;前向安全;橢圓曲線密碼系統(tǒng)

1 概述

無線射頻識(shí)別(RFID)技術(shù)被廣泛應(yīng)用于公共交通、物流管理、電子護(hù)照、訪問控制系統(tǒng)等領(lǐng)域。值得一提的是，低成本的RFID技術(shù)可能會(huì)完全取代傳統(tǒng)的基于條形碼這一目前最廣泛使用的識(shí)別系統(tǒng)［1］。RFID技術(shù)是一種被動(dòng)式的自動(dòng)識(shí)別技術(shù)，它使用無線電信號(hào)，無需人工干預(yù)，可自動(dòng)識(shí)別目標(biāo)并獲取相關(guān)數(shù)據(jù)，并能在各種惡劣的環(huán)境下工作。這些優(yōu)勢(shì)使RFID技術(shù)非常適用于健康管理領(lǐng)域。目前，其已應(yīng)用在新生兒和病人識(shí)別、醫(yī)學(xué)治療跟蹤和驗(yàn)證以及手術(shù)過程管理等領(lǐng)域［2］。然而，安全與隱私泄露問題成為制約RFID技術(shù)快速和廣泛傳播的主要障礙。

典型的RFID系統(tǒng)包括一個(gè)閱讀器和若干標(biāo)簽。閱讀器通常與存儲(chǔ)標(biāo)簽相關(guān)信息的后臺(tái)服務(wù)器相連。RFID標(biāo)簽通常在開放環(huán)境中使用，與閱讀器通過無線方式交互消息，這必然導(dǎo)致RFID系統(tǒng)易遭受被動(dòng)和各種類型的主動(dòng)攻擊，如竊聽攻擊、標(biāo)簽仿冒攻擊、重放攻擊、追蹤攻擊、拒絕服務(wù)攻擊等。以健康管理應(yīng)用為例，如何在使用RFID技術(shù)的同時(shí)確保醫(yī)患通信的安全受到普遍關(guān)注。

迄今為止，眾多研究群體致力于RFID系統(tǒng)安全性和隱私問題的研究，提出了大量的認(rèn)證協(xié)議。由于與公開密鑰密碼系統(tǒng)相關(guān)的算法需要更多的系統(tǒng)資源，并不適用于低成本的RFID標(biāo)簽。自從Juels等［3］提出第一個(gè)RFID隱私保護(hù)協(xié)議以來，RFID認(rèn)證協(xié)議的設(shè)計(jì)通?；趯?duì)稱密鑰密碼系統(tǒng)，如分組密碼或Hash函數(shù)。然而，隨著集成電路技術(shù)的發(fā)展，最近的研究表明RFID標(biāo)簽可以支持公開密鑰密碼系統(tǒng)的復(fù)雜操作。特別與傳統(tǒng)的公鑰密碼算法相比，橢圓曲線密碼體制(ECC)可以利用較短的密鑰長(zhǎng)度提供與RSA算法相同級(jí)別的安全強(qiáng)度。因此，ECC非常適合于RFID認(rèn)證協(xié)議的設(shè)計(jì)。

Tuyls等［4］和Batina等［5］分別利用Schnorr識(shí)別方案［6］和Okamoto識(shí)別方案［7］，獨(dú)立提出了基于ECC的RFID認(rèn)證協(xié)議。但是Lee等［8］指出這兩個(gè)協(xié)議都存在隱私泄露問題，并提出了一個(gè)改進(jìn)方案以克服文獻(xiàn)［4-5］存在的安全問題。然而Deursen和Radomirovic［9］證明了Lee等提出的方案［8］無法抵制追蹤攻擊。之后Lee等［10］提出了三個(gè)新的基于ECC的RFID認(rèn)證協(xié)議以克服先前方案的不足。不幸的是，Lv等［11］論證了這三個(gè)新方案仍然容易遭受跟蹤攻擊。Liao 和Hsiao［12］提出了一個(gè)高效的基于ECC的RFID認(rèn)證協(xié)議，并證明所提協(xié)議能夠抵御各種攻擊。然而，對(duì)于文獻(xiàn)［12］所提協(xié)議，最近Zhao［13］指出攻擊者容易推演出標(biāo)簽的私鑰。為解決上述方案存在的一系列安全缺陷，Zhao［13］以及He等［14］分別提出了兩個(gè)基于ECC的改進(jìn)RFID認(rèn)證協(xié)議。在基于對(duì)稱密碼機(jī)制的協(xié)議設(shè)計(jì)方面，李榮榮等［15］基于Hash函數(shù)提出了一個(gè)可靠輕量級(jí)認(rèn)證協(xié)議-DARAP，并論證了該方案可以抵御跟蹤、去同步等眾多攻擊手段。

由于RFID標(biāo)簽成本較低，通常不具備抗破壞的能力，攻擊者較容易破壞RFID標(biāo)簽并獲取其存儲(chǔ)的私鑰信息。此外，閱讀器和后臺(tái)服務(wù)器通常被看作一個(gè)實(shí)體，并與互聯(lián)網(wǎng)相連接。而在互聯(lián)網(wǎng)中，充斥著大量的漏洞和黑客攻擊，攻擊者會(huì)攻陷后臺(tái)服務(wù)器并獲得其存儲(chǔ)的整個(gè)系統(tǒng)的私密信息。雖然已經(jīng)提出了眾多安全高效的RFID認(rèn)證協(xié)議，但是很少有方案考慮在標(biāo)簽或閱讀器破壞條件下的前向安全性問題。當(dāng)標(biāo)簽或者閱讀器的密鑰信息泄露后，前向安全性保障了密鑰泄露前標(biāo)簽和閱讀器認(rèn)證信息的隱私安全。

文中關(guān)注標(biāo)簽或閱讀器破壞條件下的滿足前向安全的RFID認(rèn)證協(xié)議。首先指出文獻(xiàn)［13-14］所提協(xié)議分別不能提供標(biāo)簽破壞下的前向安全和閱讀器破壞下的前向安全性，而文獻(xiàn)［15］所提方案在不能抵御前向安全性的同時(shí)，也不能抵御閱讀器和標(biāo)簽仿冒攻擊。為了提高安全性，文中提出了改進(jìn)的基于 ECC的RFID認(rèn)證協(xié)議。通過對(duì)新協(xié)議的性能和安全性進(jìn)行詳細(xì)分析，新協(xié)議比文獻(xiàn)［13-14］所提協(xié)議效率更優(yōu)。

2 對(duì)三個(gè)RFID認(rèn)證協(xié)議的安全分析

典型的RFID系統(tǒng)包括后臺(tái)服務(wù)器、閱讀器和標(biāo)簽。一般認(rèn)為后臺(tái)服務(wù)器和閱讀器之間是安全信道，因此，后臺(tái)服務(wù)器和閱讀器通常被視為一個(gè)組件。本節(jié)對(duì)新近提出的三個(gè)基于ECC或Hash函數(shù)的RFID認(rèn)證協(xié)議的安全性進(jìn)行分析。首先給出使用的符號(hào):

q:一個(gè)大素?cái)?shù);

G:橢圓曲線點(diǎn)構(gòu)成的加法群，其階為q;

P:G的一個(gè)生成元;

xT:標(biāo)簽的私鑰;

ZT:標(biāo)簽的標(biāo)識(shí)，ZT=xTP;

y:閱讀器的私鑰;

Y:閱讀器的公鑰，Y=yP;

r，k:兩個(gè)隨機(jī)數(shù);

h():安全Hash函數(shù)，如MD5或SHA-1。

2.1 對(duì)Zhao提出協(xié)議的安全分析

Zhao［13］為了解決Liao和Hsiao提出的協(xié)議［12］中存在的安全問題，提出了一種新的基于ECC的RFID認(rèn)證協(xié)議。新協(xié)議同樣包括Setup階段和Authentication階段。

1)Setup階段。在此階段標(biāo)簽和閱讀器生成各自的私鑰和公鑰。(1)閱讀器生成隨機(jī)數(shù)y∈Zq作為它的私鑰，并計(jì)算公鑰Y=yP。

(2)閱讀器對(duì)每個(gè)標(biāo)簽選取不同隨機(jī)數(shù)xT∈Zq作為此標(biāo)簽的私鑰，并計(jì)算標(biāo)簽的公鑰ZT=xTP。閱讀器將(ZT，xT)存儲(chǔ)在后臺(tái)服務(wù)器中，標(biāo)簽則將(ZT，xT，Y)存儲(chǔ)在其內(nèi)存中。

2)Authentication階段。

在此階段閱讀器和標(biāo)簽實(shí)現(xiàn)相互驗(yàn)證。如圖1所示，認(rèn)證過程描述如下。

(1)閱讀器產(chǎn)生隨機(jī)數(shù)r∈Zq，將C0=rP發(fā)送給標(biāo)簽。

(2)接收到 C0{ }后，標(biāo)簽首先生成隨機(jī)數(shù)k∈Zq，計(jì)算C1=kP=(tx，ty);然后計(jì)算C2=(ktx)C0，C3= (kty)Y，C4=ZT+C2+C3;最后標(biāo)簽向閱讀器發(fā)送消息{C1，C4}。

(3)當(dāng)閱讀器接收到{C1，C4}后，首先計(jì)算C2= (rtx)C1，C3=(yty)C1和ZT=C4-C2-C3。然后閱讀器在數(shù)據(jù)庫(kù)中搜索標(biāo)簽標(biāo)識(shí)ZT。如果沒有找到，閱讀器將停止會(huì)話;否則，利用標(biāo)簽相應(yīng)私鑰xT，閱讀器計(jì)算C5=xTC1+rZT。最后閱讀器向標(biāo)簽發(fā)送消息{ C5}。

(4)接收到 {C5}后，標(biāo)簽檢查C5是否等于kZT+ xTC0，如果不等，標(biāo)簽拒絕會(huì)話;否則閱讀器就會(huì)被成功認(rèn)證。

標(biāo)簽破壞下前向安全性使得攻擊者即便獲得了標(biāo)簽的密鑰信息，也無法跟蹤標(biāo)簽和閱讀器之前的認(rèn)證過程。在Zhao所提協(xié)議中，消息C5滿足如下表達(dá)式:

C5=xTC1+rZT=xTC1+xTC0

如果攻擊者破壞標(biāo)簽并提取標(biāo)簽的私鑰xT和公鑰ZT，那么他就可以通過檢查等式C5=xT(C1+C0)是否成立來確定過去的認(rèn)證會(huì)話信息(C0，C1，C4，C5)是否屬于這個(gè)特定的標(biāo)簽。因此該協(xié)議很明顯不能提供標(biāo)簽破壞下的前向安全性。

2.2 對(duì)He等提出協(xié)議的安全分析

和Zhao提出協(xié)議一樣，He等提出的基于ECC的RFID認(rèn)證協(xié)議［14］也分為Setup階段和Authentication階段。

1)Setup階段。

在Setup階段，閱讀器和標(biāo)簽生成各自的私鑰和公鑰。此階段細(xì)節(jié)描述如下:

(2)閱讀器將標(biāo)識(shí)ZT和公鑰Y存儲(chǔ)于標(biāo)簽的內(nèi)存中。

2)Authentication階段。

如圖2所示，在認(rèn)證階段，閱讀器和標(biāo)簽通過以下步驟實(shí)現(xiàn)相互認(rèn)證:

(1)閱讀器生成隨機(jī)數(shù)r∈Z*q，計(jì)算并發(fā)送給標(biāo)簽消息C0=rP。

(2)標(biāo)簽選擇一個(gè)新的隨機(jī)數(shù)k∈Z*q，并計(jì)算C1=kP，C2=kY，C3=kC0，C4=(ZT+C2)⊕C3。標(biāo)簽向閱讀器發(fā)送消息{C1，C4}。

(3)閱讀器計(jì)算C2=yC1，C3=rC1，ZT=(C4⊕ C3)-C2，并在數(shù)據(jù)庫(kù)中尋找ZT。如果沒找到，閱讀器會(huì)停止會(huì)話;否則標(biāo)簽被認(rèn)證，閱讀器計(jì)算并發(fā)送消息C5=(ZT+2C2)⊕(2C3)。

(4)標(biāo)簽驗(yàn)證(ZT+2C2)⊕(2C3)是否等于C5。如果不等，標(biāo)簽中斷會(huì)話;否則閱讀器被認(rèn)證。

He等所提協(xié)議可以提供標(biāo)簽破壞下的前向安全。但是如果攻擊者破壞閱讀器，竊取了后臺(tái)服務(wù)器存儲(chǔ)的閱讀器私鑰y和標(biāo)簽標(biāo)識(shí)ZT，那么他可以通過以下方式確定過去的認(rèn)證會(huì)話消息(C0，C1，C4，C5)是否屬于特定的標(biāo)簽:

攻擊者首先計(jì)算C2=yC1，C3=C4⊕(ZT+C2)，C3'=C5⊕(ZT+2C2)，然后檢查等式2C3=是否成立。如果成立，那么攻擊者就可以確定此認(rèn)證信息屬于特定標(biāo)簽。因此該協(xié)議不能提供閱讀器破壞下的前向安全性。

2.3 對(duì)李榮榮等提出協(xié)議的安全分析

基于Hash函數(shù)，李榮榮等提出了面向智慧園區(qū)的輕量級(jí)RFID安全認(rèn)證協(xié)議-DARAP［15］，這里將閱讀器和服務(wù)器統(tǒng)一成一個(gè)部件，所以省去了閱讀器向服務(wù)器驗(yàn)證自己身份的部分。初始化階段，標(biāo)簽和閱讀器共享標(biāo)簽的真實(shí)ID標(biāo)識(shí)xT和標(biāo)簽的假名P，以及安全的Hash函數(shù)h()。該協(xié)議的認(rèn)證過程如下:

(1)閱讀器首先生成并發(fā)送隨機(jī)數(shù) rR給認(rèn)證標(biāo)簽。

(2)標(biāo)簽首先生成隨機(jī)數(shù)rT，然后計(jì)算并發(fā)送rT，P，M:

S=h(P⊕xT)，M=h(rT⊕rR⊕P)⊕S

(3)閱讀器利用假名P檢索到標(biāo)簽的真實(shí)ID信息xT，然后判定M⊕h(rT⊕rR⊕P)是否等于h(P⊕xT);若不相等則結(jié)束認(rèn)證，否則通過標(biāo)簽的認(rèn)證，并在回送閱讀器的認(rèn)證消息N=h(M⊕S)后，更新標(biāo)簽的假名信息P。

(4)標(biāo)簽在驗(yàn)證N的正確性以后，對(duì)假名P進(jìn)行更新。

李榮榮等所提協(xié)議采用的是對(duì)稱密碼體制，可以看出在標(biāo)簽或者閱讀器遭受破壞的情況下，攻擊者可以獲知其所共享的所有秘密信息。雖然標(biāo)簽的假名信息會(huì)不時(shí)更新，但其真實(shí)ID信息xT作為固定秘密信息存在于標(biāo)簽中，從而使得攻擊者可以跟蹤之前的認(rèn)證過程。故DARAP協(xié)議不能提供標(biāo)簽或閱讀器破壞下的前向安全性。

此外，通過分析，攻擊者可按如下方式仿冒閱讀器的身份通過標(biāo)簽的認(rèn)證:

(1)攻擊者發(fā)送隨機(jī)數(shù)信息rR給認(rèn)證標(biāo)簽;

(2)當(dāng)接收到標(biāo)簽的回送信息rT，P，M后，攻擊者計(jì)算S=M⊕h(rT⊕rR⊕P)，并回送N=h(M⊕S)。

顯然通過上述的攻擊步驟所生成的消息N是正確的，也就是說攻擊者可以正確地仿冒閱讀器的身份來和標(biāo)簽交互。同樣的，攻擊者可以首先采用上述攻擊方法仿冒閱讀器獲得標(biāo)簽的S信息，然后就可以仿冒合法的標(biāo)簽和閱讀器進(jìn)行交互。

3 改進(jìn)的RFID認(rèn)證協(xié)議

3.1 協(xié)議描述

為了解決以上三種協(xié)議出現(xiàn)的安全問題，提出了一種新的基于ECC的RFID認(rèn)證協(xié)議。協(xié)議分成兩部分，即Setup階段和Authentication階段。

1)Setup階段。

在此階段中，閱讀器和標(biāo)簽共享一個(gè)抗碰撞的Hash函數(shù)h()，此外閱讀器生成自己的私鑰和公鑰，還會(huì)生成每個(gè)標(biāo)簽的標(biāo)識(shí)。

(1)閱讀器選擇一個(gè)隨機(jī)數(shù)y∈Zq作為它的私鑰并計(jì)算它的公鑰Y=yP。

(2)閱讀器選擇隨機(jī)點(diǎn)ZT∈Zq作為標(biāo)簽的標(biāo)識(shí)，不同的標(biāo)簽對(duì)應(yīng)不同的標(biāo)識(shí)。然后閱讀器將標(biāo)簽的標(biāo)識(shí)和相關(guān)信息存入數(shù)據(jù)庫(kù)，并將(ZT，Y)存入每個(gè)標(biāo)簽的內(nèi)存。

2)Authentication階段。

在此階段實(shí)現(xiàn)閱讀器和標(biāo)簽的互相認(rèn)證。如圖3所示，此階段認(rèn)證過程描述如下:

(1)閱讀器生成隨機(jī)數(shù)r∈Zq，計(jì)算并發(fā)送給標(biāo)簽消息C0=rP。

(2)收到消息 C0{ }后，標(biāo)簽首先生成隨機(jī)整k∈Zq，然后計(jì)算C1=kP，C2=kY，C3=kC0，C4=ZT⊕h(C0，C1，C2，C3)，最后標(biāo)簽向閱讀器發(fā)送消息{C1，C4}。

(3)收到{C1，C4}之后，閱讀器首先需要計(jì)算C2=yC1，C3=rC1，ZT=C4⊕h(C0，C1，C2，C3)，然后閱讀器在后臺(tái)服務(wù)器中查找標(biāo)簽標(biāo)識(shí)ZT。如果沒有找到，閱讀器結(jié)束會(huì)話;否則閱讀器認(rèn)定標(biāo)簽合法，計(jì)算并發(fā)送消息C5=h(ZT，C0，C1，C2，C3)給標(biāo)簽。

(4)標(biāo)簽接收到 C5{ }后，檢查C5和h(ZT，C0，C1，C2，C3)是否相等。如果不等，標(biāo)簽拒絕會(huì)話;否則標(biāo)簽確定閱讀器合法。

3.2 性能和安全分析

本節(jié)比較新協(xié)議與現(xiàn)有協(xié)議的性能開銷，并給出新協(xié)議的安全性分析。

表1列出了新協(xié)議與兩個(gè)最近提出的基于ECC 的RFID認(rèn)證協(xié)議［13-14］的計(jì)算開銷比較。其中TH，TA，TSM分別表示Hash函數(shù)運(yùn)算、橢圓曲線點(diǎn)的加法運(yùn)算和標(biāo)量乘法運(yùn)算。

根據(jù)Gódor等的報(bào)告［16］，標(biāo)量乘法運(yùn)算的運(yùn)行時(shí)間大約是507次Hash函數(shù)運(yùn)算的運(yùn)行時(shí)間。通過表1的比較可以看出，新的改進(jìn)協(xié)議需要更少的標(biāo)量乘法運(yùn)算，執(zhí)行效率明顯優(yōu)于Zhao和He等所提協(xié)議。

安全的RFID認(rèn)證協(xié)議應(yīng)提供標(biāo)簽標(biāo)識(shí)保密性、雙向認(rèn)證性、前向安全性、可擴(kuò)展性，同時(shí)也應(yīng)能抵抗重放攻擊、標(biāo)簽仿冒攻擊、閱讀器仿冒攻擊、克隆攻擊和去同步攻擊。下面進(jìn)行詳細(xì)說明。

(1)標(biāo)簽標(biāo)識(shí)保密性。

標(biāo)簽的標(biāo)識(shí)ZT隱藏于消息C4和C5中，其中:C4= ZT+h(C0，C1，C2，C3)，C5=h(ZT，C0，C1，C2，C3)。假設(shè)攻擊者冒充閱讀器選擇隨機(jī)數(shù)r∈Zq，將C0=rP發(fā)送給標(biāo)簽。沒有閱讀器的私鑰y，由于計(jì)算Diffie-Hellman問題的困難性和Hash函數(shù)輸出的隨機(jī)性，攻擊者無法計(jì)算C2=kY，所以攻擊者不可能從C4或C5中得到ZT。因此改進(jìn)的RFID認(rèn)證協(xié)議能提供標(biāo)簽標(biāo)識(shí)保密性。

(2)雙向認(rèn)證。

沒有標(biāo)簽標(biāo)識(shí)ZT，攻擊者無法生成合法的消息{C1，C4}，其中，C1=kP，C2=kY，C3=kC0，C4=ZT⊕h(C0，C1，C2，C3)。這樣閱讀器就可以通過檢查C4的正確性來認(rèn)證標(biāo)簽。同樣如果沒有閱讀器的私鑰y，攻擊者也無法獲得標(biāo)簽的標(biāo)識(shí)ZT或得到C2，因此攻擊者就不能偽造一個(gè)合法的消息C5來通過標(biāo)簽驗(yàn)證。因此，改進(jìn)的RFID認(rèn)證協(xié)議可以提供標(biāo)簽和閱讀器之間的相互認(rèn)證。

(3)閱讀器(標(biāo)簽)破壞下的前向安全性。

假設(shè)攻擊者破壞了閱讀器并得到了標(biāo)簽的標(biāo)識(shí)ZT和閱讀器的密鑰y。對(duì)于過去的認(rèn)證消息{C0，C1，C4，C5}，其中，C1=kP，C2=kY，C3=kC0，C4=ZT⊕h(C0，C1，C2，C3)，C5=h(ZT，C0，C1，C2，C3)。沒有標(biāo)簽和閱讀器選擇的隨機(jī)數(shù)r和k的值，由于計(jì)算Diffie-Hellman問題的困難性，攻擊者無法計(jì)算出C3=krP，這樣他就不能通過C4和C5確定這些消息是否屬于特定的標(biāo)簽。因此提出的改進(jìn)RFID認(rèn)證協(xié)議能夠提供閱讀器(標(biāo)簽)破壞下的前向安全性。

(4)可擴(kuò)展性。

根據(jù)協(xié)議描述，閱讀器可以通過計(jì)算ZT=C4⊕h(C0，C1，C2，C3)直接得到標(biāo)簽的標(biāo)識(shí)ZT，并不需要遍歷整個(gè)后臺(tái)服務(wù)器。因此，新的RFID認(rèn)證協(xié)議可以提供可擴(kuò)展性。

(5)抗重放攻擊。

從新協(xié)議的描述中可以看出，閱讀器和標(biāo)簽會(huì)在不同的認(rèn)證會(huì)話中獨(dú)立生成隨機(jī)數(shù)r和k，因此在不同的認(rèn)證會(huì)話中，C2=kyP和C3=krP至少有一個(gè)會(huì)產(chǎn)生變化，從而標(biāo)簽的認(rèn)證消息C4和閱讀器的認(rèn)證消息C5在不同的會(huì)話中會(huì)相應(yīng)不同。如果攻擊者截獲過去信息并冒充標(biāo)簽(閱讀器)向閱讀器(標(biāo)簽)重放，它不可能通過對(duì)方的認(rèn)證。因此改進(jìn)的RFID認(rèn)證協(xié)議可以抗重放攻擊。

(6)抗標(biāo)簽仿冒攻擊。

當(dāng)攔截了閱讀器發(fā)送的消息 C0{ }后，如果攻擊者要仿冒合法標(biāo)簽通過閱讀器的認(rèn)證，其需要生成合法的消息{C1，C4}，其中，C1=kP，C2=kY，C3=kC0，C4=ZT⊕h(C0，C1，C2，C3)。但是沒有標(biāo)簽的合法標(biāo)識(shí)ZT，攻擊者無法生成有效的認(rèn)證消息C4。因此，新的改進(jìn)RFID認(rèn)證協(xié)議可以抵抗標(biāo)簽仿冒攻擊。

(7)抗閱讀器仿冒攻擊。

假設(shè)攻擊者想仿冒閱讀器通過標(biāo)簽的認(rèn)證，如上所述沒有閱讀器的密鑰y和標(biāo)簽的合法標(biāo)識(shí)ZT，攻擊者無法生成正確的認(rèn)證消息 C5。因?yàn)?，新提出的RFID認(rèn)證協(xié)議能夠抵抗閱讀器仿冒攻擊。

(8)抗克隆攻擊。

在新提出的改進(jìn)協(xié)議中，閱讀器為每個(gè)標(biāo)簽生成不同的標(biāo)識(shí)ZT，即使攻擊者能夠破壞某些標(biāo)簽并獲得他們的標(biāo)識(shí)，仍然無法通過這些已知的標(biāo)識(shí)來推斷其他標(biāo)簽的標(biāo)識(shí)。因此，改進(jìn)RFID認(rèn)證協(xié)議能夠抵抗克隆攻擊。

(9)抗去同步攻擊。

在新提出的改進(jìn)協(xié)議中，閱讀器和標(biāo)簽不需要更新他們的私鑰信息，所以改進(jìn)協(xié)議不會(huì)出現(xiàn)同步問題，自然新協(xié)議可以防御去同步攻擊。

4 結(jié)束語

隨著RFID技術(shù)在健康管理領(lǐng)域的廣泛應(yīng)用，RFID認(rèn)證協(xié)議的設(shè)計(jì)受到越來越多的關(guān)注。雖然已經(jīng)提出大量基于ECC或Hash函數(shù)的RFID認(rèn)證協(xié)議，然而它們大多并沒有考慮認(rèn)證協(xié)議在標(biāo)簽或者閱讀器破壞下的前向安全性。文中對(duì)新近提出的三種基于ECC或Hash函數(shù)的RFID認(rèn)證協(xié)議的安全性進(jìn)行了分析，分析結(jié)果表明Zhao提出的認(rèn)證協(xié)議不能提供標(biāo)簽破壞下的前向安全性，He等提出的協(xié)議在閱讀器被破壞時(shí)也不能提供前向安全，而李等所提方案不能抵御基本的閱讀器和標(biāo)簽仿冒攻擊。

為了克服現(xiàn)有協(xié)議安全性上的弱點(diǎn)，文中提出一種新的基于ECC的改進(jìn)RFID認(rèn)證協(xié)議。通過安全分析表明，新改進(jìn)協(xié)議不僅可以抵抗被動(dòng)和各種主動(dòng)攻擊，也能提供閱讀器破壞下的前向安全性。通過性能分析表明，改進(jìn)協(xié)議的計(jì)算消耗略明顯少于Zhao和He等所提方案。因此，文中提出的改進(jìn)RFID認(rèn)證協(xié)議更適合于健康管理的應(yīng)用。

［1］ Juels A.RFID security and privacy:a research survey［J］. IEEE Journal on Selected Areas in Communication，2006，24 (2):381-394.

［2］ Yen Y，Lo N，Wu T.Two RFID-based solutions for secure inpatient medication administration［J］.Journal of Medical Systems，2012，36(5):2769-2778.

［3］ Juels A，Rivest R L，Szudlo M.The blocker tag:selective blocking of RFID tags for consumer privacy［C］//Proc of 10th ACM conference on computer and communications security. New York:ACM，2003:103-111.

［4］ Tuyls P，Batina L.RFID-tags for anti-counterfeiting［C］// Proc of topics in cryptology.Berlin:Springer，2006:115-131.

［5］ Batina L，Guajardo J，Kerins T，et al.Public-key cryptography for RFID tags［C］//Proc of the 5th annual IEEE international conference on pervasive computing and communications workshops.New York:IEEE，2007:217-222.

［6］ Schnorr C P.Efficient identification and signatures for smart cards［C］//Proc of advances in cryptology.Berlin:Springer，1990:239-252.

［7］ Okamoto T.Provably secure and practical identification schemes and corresponding signature schemes［C］//Proc of advances in cryptology.Berlin:Springer，1993:31-53.

［8］ Lee Y K，Batina L，Verbauwhede I.EC-RAC(ECDLP based Randomized Access Control):provably secure RFID authenti-cation protocol［C］//Proc of the IEEE international conference on RFID.Las Vegas:IEEE，2008:97-104.

［9］ Deursen T，Radomirovic S.Untraceable RFID protocols are not trivially composable:attacks on the envision of EC-RAC［R］. Luxembourg:University of Luxembourg，2009.

［10］Lee Y，Batina L，Verbauwhede I.Privacy challenges in RFID systems［C］//Proc of the internet of things 2010.Berlin: Springer，2010:397-407.

［11］Lv C，Li H，Ma J，et al.Vulnerability analysis of elliptic curve cryptography-based RFID authentication protocols［J］.Transactions on Emerging Telecommunications Technologies，2012，23(7):618-624.

［12］Liao Y P，Hsiao C M.A secure ECC-based RFID authentication scheme integrated with ID-verifier transfer protocol［J］. Ad Hoc Networks，2014，18(7):133-146.

［13］Zhao Z.A secure RFID authentication protocol for healthcare environments using elliptic curve cryptosystem［J］.Journal of Medical Systems，2014，38(5):1-7.

［14］ He D B，Kumar N，Chilamkurti N，et al.Lightweight ECC based RFID authentication integrated with an ID verifier transfer protocol［J］.Journal of Medical Systems，2014，38(10):1-6.

［15］李榮榮，寇建濤，董 剛，等.面向智慧園區(qū)的RFID系統(tǒng)信息安全認(rèn)證方案［J］.電信科學(xué)，2016，32(2):164-169.

［16］Godor G，Giczi N，Imre S.Elliptic curve cryptography based mutual authentication protocol for low computational capacity RFID systems-performance analysis by simulations［C］// Proc of the IEEE international conference on wireless communications，networking and information security.Beijing:IEEE，2010:650-657.

Forward Secure Authentication Protocol of RFID with Reader Corruption

WANG Shao-hui1，2，LIU Tian1，2，LI Jing1，2，XIAO Fu1，2
(1.College of Computer，Nanjing University of Posts and Telecommunications，Nanjing 210003，China; 2.Key Laboratory of Jiangsu High Technology Research for Wireless Sensor Networks，Nanjing 210003，China)

Radio Frequency Identification(RFID)is a wireless technology for automatic identification and data capture and is deployed as a dominant identification technology in a health care domain.Security and privacy issues in the RFID systems have attracted much attention，and many authentication protocols based on Elliptic Curve Cryptosystem(ECC)or Hash functions have been proposed to achieve the security and privacy goals，but seldom protocols have considered the forward security with tag or reader corruption，which can be viewed as the highest level of user privacy.Three recently protocols presented respectively suffer from the forward privacy problem with tag or reader corruption.To enhance the security，an improved efficient ECC-based RFID authentication protocol is put forward.A comprehensive analysis shows the new scheme can not only provide the strong forward security with reader corruption besides all the other security requirements，but also have more functionality in terms of computational cost.

RFID;lightweight mutual authentication;forward security;ECC

TP31

A

1673-629X(2016)09-0134-05

10.3969/j.issn.1673-629X.2016.09.030

2015-11-30

2016-03-03< class="emphasis_bold">網(wǎng)絡(luò)出版時(shí)間:

時(shí)間:2016-08-23

國(guó)家自然科學(xué)基金資助項(xiàng)目(61373006，61373139);江蘇省科技支撐計(jì)劃基金項(xiàng)目(61003236);南京郵電大學(xué)校項(xiàng)目(NY214064，NY213036)

王少輝(1977-)，男，博士，副教授，研究方向?yàn)樾畔踩⒚艽a學(xué);劉 天(1984-)，男，碩士研究生，研究方向?yàn)樾畔⑾到y(tǒng)的安全與隱私。

http://www.cnki.net/kcms/detail/61.1450.TP.20160823.1359.048.html