基于LPN的快速RFID隱私認證協(xié)議

鄭娜娜， 馬昌社

(華南師范大學計算機學院， 廣州 510631)

無線射頻識別(Radio Frequency Identification，RFID)技術(shù)是一種在開放性環(huán)境中自動識別對象的技術(shù)，因其成本低廉、部署簡易而被廣泛地應(yīng)用于支付系統(tǒng)、供應(yīng)鏈管理和產(chǎn)品防偽等領(lǐng)域. RFID技術(shù)的廣泛應(yīng)用需要保證系統(tǒng)中標簽的低成本，但標簽的低成本限制了其計算能力，也為保證閱讀器與標簽之間的通信隱私安全增加難題. LPN(Learning Parity with Noise)[1]是計算復(fù)雜性領(lǐng)域的一個困難問題，其所涉及的計算只是進行簡單的異或操作，對計算量和存儲量的要求低，適用于標簽這種資源受限的設(shè)備.

在RFID研究領(lǐng)域中，大量工作致力于研究輕量級的RFID認證協(xié)議，其中一類是基于LPN問題設(shè)計的認證協(xié)議，包括HB協(xié)議[2]、HB+協(xié)議[3]、HB#協(xié)議[4]、Auth協(xié)議[5]、Auth#協(xié)議[6]、LPNAP協(xié)議[7]和Auth-Hash協(xié)議[8]等. 上述這類基于LPN問題設(shè)計的協(xié)議具有結(jié)構(gòu)簡單、抗量子攻擊和計算復(fù)雜度低等優(yōu)點，但該類協(xié)議[2-8]只提供認證性，不具備隱私安全性.

隱私安全性和識別是RFID系統(tǒng)的2個主要目標[9]，大多數(shù)RFID協(xié)議為了保證隱私性而降低識別效率. 閱讀器搜索系統(tǒng)中所有的標簽來識別單個標簽，實現(xiàn)了隱私識別. 但是在大型RFID系統(tǒng)中，對每個標簽識別執(zhí)行線性搜索，尤其是在需要同時識別多個標簽的應(yīng)用中可能是一項繁瑣的任務(wù)，并且可能導致拒絕服務(wù)攻擊. 因此，對于一個實用的RFID系統(tǒng)，必須設(shè)計更加快速的識別方案.

為了提高識別效率，學者們[10-13]以樹型結(jié)構(gòu)存儲標簽，將識別效率提高至對數(shù)級別，但是這類基于樹型結(jié)構(gòu)設(shè)計的協(xié)議有2個缺點：(1)在無線信道中需要進行大量的通信；(2)一旦某個標簽的信息泄露了，就會泄露其他未被破解的標簽的信息，無法保證標簽的隱私性. 由于樹型結(jié)構(gòu)無法保證標簽的隱私性，ALOMAIR等[14]基于hash函數(shù)，設(shè)計了識別速率達到O(1)的BAJR協(xié)議，且保證了隱私安全，但是該協(xié)議使用hash函數(shù)，使得標簽門電路復(fù)雜，無法實現(xiàn)低成本. 為了實現(xiàn)標簽的低成本，MAMUN等[15]提出了基于LPN設(shè)計且識別效率達到O(1)的MMR協(xié)議，并證明該協(xié)議能抵抗一般中間人攻擊并實現(xiàn)隱私安全. 由于MMR協(xié)議用于更新索引的值在上一次認證過程中會作為第二輪響應(yīng)信息發(fā)送給閱讀器，攻擊者通過比對信息就能將標簽的2次行為聯(lián)系在一起，因此，MMR協(xié)議不具備隱私性.

本文借鑒MMR協(xié)議的設(shè)計思路和 SFP(Simple and Forward Private)通用協(xié)議[16]構(gòu)造的設(shè)計方法，提出了具有快速識別的隱私保護認證協(xié)議(Fast Identification and Privacy-preserving Authentication Protocol，F(xiàn)IP_Auth)：利用基于LPN問題構(gòu)造的偽隨機數(shù)發(fā)生器和大型存儲設(shè)備數(shù)據(jù)庫設(shè)計FIP_Auth協(xié)議，實現(xiàn)標簽的低成本，并達到快速識別和保證隱私性的目的.

1 預(yù)備知識

1.1 符號說明

1.2 困難性問題

定義2[18]一個偽隨機數(shù)產(chǎn)生器(Pseudorandom Generator，PRG)是一個確定性函數(shù)G：{0,1}*→{0,1}*，需要滿足以下2個條件：

(1)拉伸：存在一個拉伸函數(shù)h：→，對所有的n,有h(n)>n,且對所有的x{0,1}*，有|G(x)|=h(|x|)；

(2)偽隨機性：集合{G(Un)}n、{Uh(n)}n是計算不可區(qū)分的.

當h(n)=n+Ω(n)時，G是線性拉伸的偽隨機數(shù)產(chǎn)生器(Linear-stretch Pseudorandom Generator，LPRG). 默認G是多項式時間可計算的.

定義3[2](可忽略函數(shù))函數(shù)neg(n)如果滿足：對于任意常數(shù)c>0,存在足夠大的n，使得neg(n)

1.3 RFID系統(tǒng)

一般地，RFID系統(tǒng)主要由標簽、閱讀器和后端數(shù)據(jù)庫三部分組成. 標簽內(nèi)存儲標簽與閱讀器認證的信息及保護標簽自身隱私的信息，后端數(shù)據(jù)庫存儲系統(tǒng)中所有標簽的信息. 一般認為標簽與閱讀器之間的通信是不安全的，閱讀器與后端數(shù)據(jù)庫之間的通信是安全的. RFID系統(tǒng)的工作流程如下：

(1)閱讀器通過天線發(fā)射無線電載波信號；

(2)標簽進入閱讀器的工作范圍后，將其內(nèi)部信息通過天線發(fā)送出去；

(3)閱讀器對來自標簽的信息進行處理，將結(jié)果傳到后端數(shù)據(jù)庫；

(4)后端數(shù)據(jù)庫對接收到的信息進行處理，將結(jié)果返回給閱讀器.

1.4 認證協(xié)議及其安全性

認證協(xié)議是指在閱讀器和標簽之間執(zhí)行的交互式協(xié)議. 標簽的擁有者使用標簽向閱讀器證明自己的身份，閱讀器反饋認證結(jié)果. 在RFID系統(tǒng)中，閱讀器與標簽通過無線信道通信，該信道是不安全的，易遭受各種安全攻擊，主要有被動攻擊、主動攻擊、中間人攻擊和異步攻擊等. 其中，異步攻擊指攻擊者可以阻斷協(xié)議通信的進行，使標簽和閱讀器處于異步狀態(tài)，并使標簽將來的身份驗證變得不可能.

此外，由于低成本的標簽不具備任何防篡改的能力，攻擊者試圖通過破解標簽來獲得其內(nèi)部狀態(tài)信息，進而追蹤標簽之前的通信隱私. 前向隱私指的是攻擊者破解了某個標簽，但是攻擊者不能跟蹤該標簽未被破解之前的所有通信隱私信息. 準確地說，前向隱私由在RFID系統(tǒng)中有攻擊者A參與的前向隱私游戲GameA來確定，方法如下：先利用前向隱私游戲GameA來模擬現(xiàn)實的RFID攻擊環(huán)境，然后根據(jù)游戲中2個標簽行為的不可區(qū)分性來說明2輪通信的RFID認證協(xié)議的前向隱私安全.

GameA中涉及的3個預(yù)言機O1、O2和O3定義如下:

(1)Launch(R)：使閱讀器產(chǎn)生一個新的會話標識sid和協(xié)議中閱讀器第一輪產(chǎn)生的消息m1，該預(yù)言機O1模擬竊聽獲取第一輪協(xié)議的通信消息;

(2)SendTag(sid,m1,T)：該預(yù)言機O2模擬竊聽篡改標簽的計算和協(xié)議信息，輸出第二輪的通信信息m2;

(3)Reveal(T)：該預(yù)言機O3模擬破解標簽，獲取標簽T的內(nèi)部信息.

定義4[16](前向隱私性)在前向隱私游戲GameA中，若不存在任意多項式時間攻擊者A在時間t內(nèi)以ε不可忽略的優(yōu)勢攻擊成功，則稱該RFID系統(tǒng)是前向隱私安全的.

2 FIP_Auth協(xié)議的設(shè)計方案

本節(jié)將基于LPN設(shè)計的偽隨機數(shù)產(chǎn)生器G[19]應(yīng)用于RFID系統(tǒng)中，并借鑒BAJR協(xié)議[14]在解決協(xié)議發(fā)生異步攻擊的情況下識別效率是O(1)的方法，利用RFID系統(tǒng)中擁有的大型存儲設(shè)備數(shù)據(jù)庫設(shè)計具有快速識別的隱私保護認證協(xié)議(FIP_Auth)，該協(xié)議的設(shè)計方案具體表述如下.

2.1 系統(tǒng)初始化FIP_Init

設(shè)N是系統(tǒng)中標簽的總數(shù)，C是計數(shù)器計數(shù)的最大值，每個標簽Ti存儲其初始密鑰對(Ri1,xi1)，G1與G2為2個PRG函數(shù)，令函數(shù)G1(x)的輸出長度為L，L>2l(標簽密鑰xi1的長度為2l). 對于每個標簽Ti(i=1,2,…,N)和每一個j(j=1,2,…,C)，將標簽Ti存儲的密鑰信息xij作為偽隨機數(shù)產(chǎn)生器G1的輸入，計算數(shù)據(jù)庫初始化所需要的索引值Iij=G1(xij)，Iij表示第j次識別標簽Ti時的索引；將標簽Ti存儲的密鑰信息Rij作為偽隨機數(shù)產(chǎn)生器G2的輸入，G2(Rij)=xi,j+1||Ri,j+1用來更新標簽Ti的密鑰信息(Ri,j+1,xi,j+1). 為了方便，根據(jù)計算的所有索引值Iij建立數(shù)據(jù)庫初始化所需的索引值表(圖1)，其中第i行表示識別標簽Ti所需要的索引信息.

圖1 RFID系統(tǒng)的數(shù)據(jù)庫初始化所需的索引值表

得到數(shù)據(jù)庫初始化所需的索引值Iij后，根據(jù)該索引值構(gòu)造RFID系統(tǒng)的數(shù)據(jù)庫. 由于函數(shù)G1的輸出長度為L，所以索引值Iij的長度為L，需要O(2L)的存儲空間來存儲數(shù)據(jù)庫初始化所需索引值Iij. 為了節(jié)省存儲空間，將數(shù)據(jù)庫分為3個邏輯部分M-I、M-II和M-III. 具體構(gòu)造(圖2)如下:(1)M-I只含有1張表，表示為T1. 取L的高s位(s滿足2s大小的存儲是可行的)來構(gòu)建T1表，則T1的高s位相同的索引值存儲在M-II的同一個小表中，T1的第i行存儲高s位為i-1的所有索引值的低L-s位在M-II中的表的位置. (2)M-II由若干個小數(shù)據(jù)表組成，表示為T2i(i=1,2,…,2s).M-II的表的每條記錄包含2個域，第1個域是存儲索引Iij的低L-s位，表示為(Iij)L-s；第2個域是一對指針(i,j)，其中i表示M-III中的第i張表，j表示該表中的第j行. (3)M-III由N個大小為C的數(shù)據(jù)表組成，表示為T3i(i=1,2,…,N).T3i的第i張表存儲標簽Ti的信息，這張表中的第j行表示標簽在第j次識別時的內(nèi)部狀態(tài)信息(Rij,xij).

圖2 RFID系統(tǒng)的數(shù)據(jù)庫結(jié)構(gòu)圖

FIP_Auth協(xié)議的數(shù)據(jù)庫結(jié)構(gòu)與BAJR協(xié)議的數(shù)據(jù)庫結(jié)構(gòu)類似，但又有所不同. BAJR協(xié)議中總是閱讀器與數(shù)據(jù)庫先更新密鑰信息，待標簽對閱讀器認證成功后，標簽才進行密鑰更新，數(shù)據(jù)庫只需要存儲標簽當前認證成功后的密鑰更新信息并且保存上一次認證通過(即當前進行認證)的密鑰信息. 當發(fā)生異步攻擊時，標簽的當前密鑰信息是存儲在數(shù)據(jù)庫中的，可以通過閱讀器的認證. FIP_Auth協(xié)議的密鑰更新是標簽與數(shù)據(jù)庫同時進行，而閱讀器不需要密鑰更新，因此，F(xiàn)IP_Auth協(xié)議的數(shù)據(jù)庫M-III需要預(yù)先存儲標簽的C條密鑰信息. 當發(fā)生異步攻擊時，因標簽的C條密鑰信息已存儲在數(shù)據(jù)庫中，標簽的信息可以在數(shù)據(jù)庫中找到使得閱讀器可以對標簽進行認證，達到異步攻擊安全. 若某標簽認證達到C次，則需要更新數(shù)據(jù)庫M-III中該標簽未來的C條記錄.

2.2 FIP_Auth協(xié)議的執(zhí)行過程

給定安全參數(shù)l,n，每個標簽Ti存儲矩陣Ri和密鑰xi和xi在每次認證時進行更新. 將每個標簽的密鑰xi作為偽隨機數(shù)產(chǎn)生器G1的種子進行計算，計算結(jié)果作為建立后端數(shù)據(jù)庫的索引，再以Ri為輸入，計算G2(Ri)，從而更新Ri和xi. 閱讀器同樣具有計算G1和G2的能力，參數(shù)τ′=1/4+τ/2是閱讀器驗證的閾值，其中τ是貝努利分布Berτ的參數(shù). FIP_Auth協(xié)議的執(zhí)行過程(圖3)如下：

圖3 RFID認證協(xié)議FIP_Auth的執(zhí)行過程

(1)閱讀器隨機產(chǎn)生長度為2l的挑戰(zhàn)向量a，其漢明重量為wt(a)=l，將其發(fā)送給標簽.

由索引值Ii可知當前是第幾次識別標簽Ti. M-III中除了存儲標簽Ti的實際信息(Ri,xi)外，還存儲了該信息對應(yīng)的識別次數(shù)j. 每次在M-III中獲取標簽信息時，都需要先判斷j是否小于等于C. 若j=C，則需要對數(shù)據(jù)庫進行更新操作，更新標簽Ti的未來C次識別所需要的密鑰信息. 更新操作如下：

首先，計算標簽Ti未來所需的C個索引值. 根據(jù)當前數(shù)據(jù)庫標簽的信息(RiC,xiC)，計算G2(Ri,k-1)=xik||Rik，索引Iik=G1(xi(k-1))(k=C+1,…,2C). 然后，取索引Iik的前s高位，定位數(shù)據(jù)庫M-I的地址. 若該地址中存儲的地址指針指向空，則在M-II中新建一張表，以存儲Iik的低L-s位和指向M-III的地址(i,k-C)；若不指向空，則遍歷該小表，在小表末尾添加一條記錄存儲Iik的低L-s位和指向M-III的地址(i,k-C). 此操作之后，原標簽Ti存儲在M-III中的C條記錄將被更新的C條記錄所覆蓋.

2.3 偽隨機數(shù)產(chǎn)生器的構(gòu)造

FIP_Auth協(xié)議中使用的偽隨機數(shù)產(chǎn)成器G1和G2構(gòu)造如下：取t、s是大于1的任意正整數(shù)，c、k1是實數(shù). 令m1=k1r1，Mr1是2上每行包含1的個數(shù)至多為s的m1×r1的矩陣，是ε-biased產(chǎn)生器[20]；定義函數(shù)G1，設(shè)L是G1函數(shù)輸出長度，取k1=L/(2l(1+t)-tL(1+1/c))，r1=L/(k1+tk1),則

G1(x)=(Mr1xr1+E(xt·m1),g(xt·m1/c)+xt·m1),

令m2=k2r2，其中k2是實數(shù).Mr2是2上每行包含1的個數(shù)至多為s的m2×r2的矩陣集合；是ε-biased產(chǎn)生器；取k2=(nc+c)/(nc-tn-2tc-2t)，r2=(ln+2l)/(k2+tk2)，定義函數(shù)G2為：

G2(R)=(Mr2Rr2+E(Rt·m2),g(Rt·m2/c)+Rt·m2)，

其中,R是R的高r2位，Rt·m2是R高r2位后的t·m2位，Rt·m2/c是R的低t·m2/c位，則

3 協(xié)議分析

3.1 安全性分析

異步攻擊是阻斷FIP_Auth協(xié)議的第2輪通信信息. 若攻擊者多次阻斷第2輪通信，則標簽信息更新多次. 因為數(shù)據(jù)庫預(yù)先存儲了每個標簽可能出現(xiàn)的信息，當FIP_Auth協(xié)議遭受異步攻擊時，閱讀器仍能對標簽識別認證. 因此，F(xiàn)IP_Auth協(xié)議能抗異步攻擊.

定理1考察以下2個序列：

其中,i=2,…,n;tj然后,定義以下序列：

(1)按以上的定義構(gòu)造Yi；

(2)b←π(Yi)；

(3)輸出b.

[1/(n+1)](p1+p2+…+pn+1),

[1/(n+1)](p2+p3+…+pn+2),

| Pr[B(y)=1|y=G(R)]-Pr[B(y)=1|y=t]|=

[1/(n+1)]|p1-pn+2|≥ε/(n+1)，

則算法B區(qū)分偽隨機數(shù)產(chǎn)生器G1的輸出分布與隨機分布的概率至少為ε/(n+1).證畢.

定理2若G1和G2是2個偽隨機數(shù)產(chǎn)生器，則FIP_Auth協(xié)議具有前向隱私安全性.

證明要證明FIP_Auth協(xié)議的前向隱私性，需要證明2個標簽行為的不可區(qū)分性. 構(gòu)造2個序列D0與D1:

D0=a1,O(a1,R1,x1),G1(x1),a2,O(a2,GL(R1),GR(R1)),

b2,O(b2,GL(R2),GR(R2)),G1(GR(R2)),…,

D1=a1,r1,t1,a2,r2,t2,…,aδ+1,rδ+1,tδ+1,b1,u1,v1,

b2,u2,v2,…,bλ+1,uλ+1,vλ+1,

首先，證明序列D0與D1是計算不可區(qū)分的. 觀察以下2個序列：

LPN假設(shè)指LPN輸出結(jié)果RT·x↓a⊕e的分布與均勻分布是計算不可區(qū)分的，則根據(jù)LPN假設(shè)可得序列

D″0=a1,O(a1,R1,x1),a2,O(a2,GL(R1),GR(R1)),…,

b2,O(b2,GL(R2),GR(R2)),…,bλ+1,

與

D″1=a1,r1,a2,r2,…,aδ+1,rδ+1,b1,u1,b2,u2,…,

bλ+1,uλ+1

是計算不可區(qū)分的.

綜上，由于D′0與D′1是計算不可區(qū)分的，D″0與D″1是計算不可區(qū)分的，所以D0與D1是計算不可區(qū)分的.

然后,使用反證法證明FIP_Auth協(xié)議的前向隱私安全. 假設(shè)FIP_Auth協(xié)議不具有前向隱私性，則存在一個能夠在多項式時間內(nèi)以不可忽略的優(yōu)勢ε攻擊FIP_Auth協(xié)議的前向隱私的攻擊者A. 假設(shè)攻擊者A一共調(diào)用了q次預(yù)言機，則可以構(gòu)造一個多項式時間算法ω來區(qū)分序列D0與D1.

算法ω的執(zhí)行過程如下：

接收到測試序列(c1,z1,w1,c2,z2,w2,…,cδ+1,zδ+1,wδ+1,d1,s1,y1,d2,s2,y2,…,dλ+1,sλ+1,yλ+1)后，首先，初始化(n-2)個標簽，使用測試序列模擬對標簽T1、T2的查詢. 同時，選擇一個隨機數(shù)β{0,1}，令Tβ=T2，T1-β=T1；設(shè)置2個計數(shù)器k1和k2，初始值都設(shè)為1. 然后，分2個階段執(zhí)行. 在第一階段，當攻擊者A查詢SendTag(sid,ck1,T1)時，返回zk1，并設(shè)置計數(shù)器k1=k1+1；當攻擊者A查詢SendTag(sid,dk2,T2)時，返回sk2，并設(shè)置計數(shù)器k2=k2+1. 在第二階段，將Tβ交給攻擊者A，當攻擊者A查詢Reveal(Tβ)時，直接返回dλ+1,sλ+1,yλ+1. 攻擊者A輸出一個隨機數(shù)β′，若β=β′，則算法ω輸出0,表示測試序列來自D0；否則，輸出1表示測試序列來自D1.

接下來分析算法ω的成功優(yōu)勢，分2種情況討論.

情況1：測試序列來自D0. 因為算法ω模擬給攻擊者A的環(huán)境與前向隱私游戲GameA的攻擊環(huán)境完全一致，攻擊者A能以不可忽略的優(yōu)勢ε攻擊FIP_Auth協(xié)議的前向隱私，所以算法ω能以不可忽略的優(yōu)勢ε區(qū)分序列D0.

情況2：測試序列來自D1. 因為D1序列中的各個元素是相互獨立和隨機的，攻擊者A只得到dλ+1、sλ+1、yλ+1，則無法獲得ci、zi、wi、di、si、yi的任何有效信息，所以，攻擊者A區(qū)分標簽T1和T2的優(yōu)勢是可以忽略不計的.

綜上，算法ω區(qū)分序列D0和D1的優(yōu)勢是不可忽略不計的，與序列本身的計算不可區(qū)分相互矛盾，因此，F(xiàn)IP_Auth協(xié)議具有前向隱私安全.

定理3在LPN假設(shè)成立的前提條件下，F(xiàn)IP_Auth協(xié)議具有主動安全性.

FIP_Auth協(xié)議中包含識別部分與認證部分. 認證部分的設(shè)計與Auth協(xié)議是一致的；識別部分使用了偽隨機數(shù)產(chǎn)生器G1和G2，利用偽隨機數(shù)產(chǎn)生器G1的輸出作為構(gòu)建數(shù)據(jù)庫的索引，G2用來更新標簽的密鑰信息(R,x). 因此，對于FIP_Auth協(xié)議的主動安全證明與Auth協(xié)議的主動安全證明[5]是一致的，這里不再重復(fù).

3.2 參數(shù)分析

對于FIP_Auth協(xié)議在參數(shù)的選擇上，參數(shù)l,n是FIP_Auth協(xié)議中標簽Ti存儲的密鑰信息(Ri,xi)的安全參數(shù)，Riτ[0,1/2]是貝努利分布Berτ的參數(shù)，閱讀器驗證的閾值τ′[nτ,n/2].根據(jù)Auth協(xié)議和Auth#協(xié)議的參數(shù)選擇，可以適當?shù)剡x擇FIP_Auth協(xié)議的相關(guān)參數(shù). 設(shè)PFR表示錯誤拒絕水平，即合法標簽被閱讀器拒絕的可能性：

(1)

PFA表示錯誤接受水平，即非法標簽被閱讀器接受的水平：

(2)

由式(1)和式(2)可知，PFR、PFA均與密鑰參數(shù)l的選擇無關(guān). 在HB協(xié)議與HB+協(xié)議中，式中的n為協(xié)議進行的輪數(shù)q.

由文獻[3]知，協(xié)議每輪通信的安全水平至少為80 bit. FIP_Auth協(xié)議中第一輪的通信量最小，長度為2l，所以可以選取l=80,以保證通信安全.在貝努利參數(shù)τ為0.25和0.125的情況下，Auth協(xié)議和Auth#協(xié)議對安全參數(shù)l、n分別選取l=80、n=1 164和l=80、n=441. 選取FIP_Auth的參數(shù)(表1)如下:

表1 FIP_Auth協(xié)議的參數(shù)集Table 1 The parameter sets of the FIP_Auth protocol

(1)參數(shù)集1：當協(xié)議的安全水平為l=80,n=1 164時，貝努利參數(shù)τ為0.25，則閱讀器驗證的閾值τ′的取值范圍為[0.25n,n/2]，從而適當?shù)剡x取τ′，計算PFR和PFA.

(2)參數(shù)集2：當協(xié)議的安全水平為l=80,n=441時，貝努利參數(shù)τ為0.125，則閱讀器驗證的閾值τ′的取值范圍為[0.125n,n/2]，從而適當?shù)剡x取τ′，計算PFR和PFA.

3.3 4個協(xié)議的對比分析

本節(jié)主要將FIP_Auth協(xié)議與Tree-LSHB+、BAJR、MMR協(xié)議的隱私性、安全性、輪數(shù)、通信復(fù)雜度、標簽計算復(fù)雜度和密鑰大小進行對比.

由結(jié)果(表2)可知：(1)雖然4個協(xié)議均考慮了隱私性，但只有FIP_Auth協(xié)議與BAJR協(xié)議具備隱私性. (2)雖然BAJR協(xié)議達到一般中間人安全，而FIP_Auth協(xié)議只達到主動安全，但是FIP_Auth協(xié)議的通信輪數(shù)只需2輪且通信量更低. 而且，BAJR協(xié)議執(zhí)行時，標簽需要計算3次哈希函數(shù)，使得無法實現(xiàn)標簽的低成本且計算復(fù)雜度高；FIP_Auth協(xié)議執(zhí)行時，標簽只進行異或計算，計算復(fù)雜度低且實現(xiàn)了標簽低成本.

表2 4個RFID認證協(xié)議的效率與安全比較Table 2 The comparison of efficiency and security of 4 RFID authentication protocols

4 結(jié)束語

本文在Auth協(xié)議的基礎(chǔ)上，借鑒SFP通用構(gòu)造協(xié)議的設(shè)計方法，利用基于LPN設(shè)計的偽隨機數(shù)產(chǎn)生器以及RFID系統(tǒng)中原有的大型存儲設(shè)備數(shù)據(jù)庫，設(shè)計具有快速識別的隱私保護認證協(xié)議(FIP_Auth). 與Tree-LSHB+、BAJR、MMR協(xié)議相比，F(xiàn)IP_Auth協(xié)議具有較小的密鑰存儲、較低的通信量，最重要的是標簽的識別速度達到了O(1)，并且保證了協(xié)議的隱私安全.

但是，F(xiàn)IP_Auth協(xié)議只達到了抗主動攻擊，不能抵抗一般中間人攻擊. 設(shè)計具有與FIP_Auth協(xié)議一樣的優(yōu)勢并且能抗一般中間人攻擊的協(xié)議是下一步的研究重點.