0 引言

　　由于人們無法感知射頻信號(hào)的非法讀取，導(dǎo)致RFID技術(shù)存在特有的安全與隱私問題。在RFID系統(tǒng)的標(biāo)簽與閱讀器之間主要存在以下7種攻擊：假冒標(biāo)簽攻擊、假冒讀寫器攻擊、跟蹤標(biāo)簽攻擊、竊聽攻擊、中間件攻擊、重放攻擊、去同步攻擊。其中假冒讀寫攻擊、跟蹤標(biāo)簽攻擊、竊聽攻擊與中間件攻擊破壞標(biāo)簽的隱私性。因此保證RFID系統(tǒng)的隱私，需要滿足保密性、不可跟蹤性、前向安全與驗(yàn)證讀寫器4種隱私保護(hù)需求[1]。一些研究使用樹結(jié)構(gòu)來保存秘鑰，以此降低搜索復(fù)雜度(O(n)->O(log n))，而此類方案易受妥協(xié)攻擊，因此，基于樹狀協(xié)議的隱私等級(jí)較低。

　　文獻(xiàn)[2]基于物理實(shí)體的內(nèi)在物理構(gòu)造來唯一地標(biāo)識(shí)單個(gè)物理實(shí)體實(shí)現(xiàn)有效認(rèn)證的思路，提出了PUF(物理不可克隆函數(shù))，PUF具有魯棒性、不可克隆性以及不可預(yù)測性特點(diǎn)，目前廣泛應(yīng)用于RFID系統(tǒng)的認(rèn)證領(lǐng)域。文獻(xiàn)[3，4]均采用PUF(物理不可克隆函數(shù))來提高RFID的安全性，然而此類算法均為narrow-destructive隱私性[5]，其搜索復(fù)雜度最低為O(logN)。

　　本文提出一種基于PUF的RFID驗(yàn)證協(xié)議，本協(xié)議最大的優(yōu)勢是無需搜索數(shù)據(jù)庫(識(shí)別標(biāo)簽)，其搜索復(fù)雜度僅為O(1)，因此本協(xié)議可應(yīng)用于大規(guī)模RFID網(wǎng)絡(luò)。本協(xié)議在標(biāo)簽與閱讀器端不需要多余的計(jì)算與通信開銷，并且本算法可抵御旁道攻擊。

　　1 背景知識(shí)介紹

　　假設(shè)標(biāo)簽為T，其ID唯一，閱讀器為R。RFID系統(tǒng)包含若干的閱讀器R、發(fā)送器以及一個(gè)后端數(shù)據(jù)庫，發(fā)送器與數(shù)據(jù)庫間有一個(gè)信道。

　　1.1 系統(tǒng)模型

　　RFID功能可表示為如下的函數(shù)形式：

　　(1)SetupReader(1S)→(KS，KP)：生成一個(gè)公共參數(shù)KP、一個(gè)隱私參數(shù)KS與一個(gè)閱讀器的安全參數(shù)s，同時(shí)生成一個(gè)數(shù)據(jù)庫(其中保存標(biāo)簽的ID)。

(2)

生成一個(gè)標(biāo)簽(ID唯一)、一個(gè)秘鑰K與一個(gè)內(nèi)存狀態(tài)S。如果該標(biāo)簽合法，則將ID與K保存于數(shù)據(jù)庫中。

　　(3)IdentTag→out：該函數(shù)表示標(biāo)簽T與閱讀器R之間的一次交互。如果閱讀器最終識(shí)別出該標(biāo)簽，則輸出標(biāo)簽的ID，否則輸出“?”。

　　1.2 攻擊模型

　　假設(shè)攻擊者A具備以下性質(zhì)：首先，攻擊者C執(zhí)行SetupReader(1S)程序，生成1S、KS與KP 3個(gè)參數(shù)，并將1S、KP傳至A;然后A使用CreateTagb(ID)生成標(biāo)簽，本模型按標(biāo)簽是否在攻擊者的閱讀范圍內(nèi)將標(biāo)簽分類：如果在閱讀范圍內(nèi)分類，則為危險(xiǎn)標(biāo)簽(DanTag)，否則為安全標(biāo)簽(SecTag)。

　　為攻擊者定義以下10個(gè)行為或攻擊能力：

　　(1)CreateTagb(ID)：創(chuàng)建一個(gè)SecTag并為其分配一個(gè)ID。該函數(shù)使用創(chuàng)建標(biāo)簽，如果該標(biāo)簽合法(b=1)，則將其加入數(shù)據(jù)庫中。

　　(2)DanTag(distr，n)→(vtag0，b0，…，vtagn-1，bn-1)：從SecTag標(biāo)簽集中隨機(jī)地選擇n個(gè)標(biāo)簽，并將標(biāo)簽狀態(tài)從SecTag變?yōu)镈antag。為選擇的標(biāo)簽分配一個(gè)新的ID并輸出虛擬標(biāo)簽(vtag0，…，vtagn-1)，如果該標(biāo)簽已經(jīng)為Dantag或已不存在，則輸出“?”。

　　(3)Free(vtag)：將標(biāo)簽狀態(tài)從DanTag變?yōu)镾ecTag。

　　(4)Launch()→π：觸發(fā)閱讀器開始新的協(xié)議循環(huán)，輸出為該輪協(xié)議的IDπ(為每輪協(xié)議設(shè)置一個(gè)標(biāo)識(shí)ID)。

　　(5)SendReader(m，π)→m′：發(fā)送一個(gè)消息m至閱讀器R(在協(xié)議循環(huán)π中)，閱讀器的回復(fù)消息為m′。

　　(6)SendTag(m, vtag)→m′：發(fā)送一個(gè)消息m至標(biāo)簽，其虛擬ID為vtag。閱讀器的回復(fù)消息為m′。

　　(7)Execute(vtag)→(π，transcript)：在標(biāo)簽(該標(biāo)簽虛擬ID為vtag)與閱讀器之間執(zhí)行完整的協(xié)議。該協(xié)議由Lauch()開始，然后是SendReader與SendTag，輸出協(xié)議循環(huán)π的成功消息列表。

　　(8)Result(π)→x：如果閱讀器成功識(shí)別一個(gè)合法的標(biāo)簽，則返回1;否則返回0。

　　(9)Time(π)→δ：返回閱讀器的總計(jì)算時(shí)間δ。

　　(10)Corrupt(vtag)→S：獲得標(biāo)簽(虛擬ID為vtag)的當(dāng)前狀態(tài)S。

　　1.3 隱私分類

　　攻擊者分為強(qiáng)(strong)、破壞性(destructive)、前向(forward)、弱(weak)攻擊者，此外與這4類攻擊者正交的還有wide與narrow兩個(gè)攻擊者的概念，wide攻擊者可通過閱讀器訪問認(rèn)證結(jié)果，但narrow攻擊不行。圖1描述了6種攻擊概念之間的關(guān)系[5]。

　　1.4 安全性級(jí)別

　　定義1 正確性：如果在IdentTag程序之后R返回標(biāo)簽ID的成功率極高，則認(rèn)為該協(xié)議符合正確性。

　　定義2 強(qiáng)正確性：如果在R與合法標(biāo)簽T交互之后返回標(biāo)簽ID的成功率極高，則認(rèn)為符合強(qiáng)正確性。

　　定義3 穩(wěn)固性[5]：如果對(duì)合法標(biāo)簽T假冒攻擊的成功率極低，則認(rèn)為符合穩(wěn)固性。

　　1.5 隱私性

　　定義4 盲攻擊：假設(shè)B表示一個(gè)算法，仿真了Lauch()、SendReader(m，π)、SendTag(m，vtag)與Result(π)4個(gè)程序的串行組合(對(duì)于攻擊者A)，并且不知道任何的秘密信息。一個(gè)盲攻擊者(AB)不使用Lauch()、SendReader(m，π)、SendTag(m，vtag)與Result(π)程序，如果存在B，則攻擊者A威脅極小，即|Pr[Awins]-Pr[AB wins]|可忽略不計(jì)。

　　2 本文大規(guī)模RFID網(wǎng)絡(luò)安全協(xié)議

　　定義5 Hash函數(shù)：假設(shè)l∈N是一個(gè)安全參數(shù)，γ，K∈N是l中的項(xiàng)，則hash函數(shù)H可定義為{0，1}γ→{0，1}K，其條件為：

　　(1)對(duì)于一個(gè)給定的輸出yi，無法反向計(jì)算出滿足H(xi)=yi的xi。

　　(2)計(jì)算出滿足條件xi≠xj && H(xi)=H(xj)的參數(shù)組合(xi，xj)難度極高。

　　定義6 物理不可克隆函數(shù)(PUF)[6]：假設(shè)l∈N是安全參數(shù)，γ，K∈N是l的項(xiàng)。理想的PUF(設(shè)為P)定義為{0，1}γ→{0，1}K，其條件如下：

　　(1)對(duì)于參數(shù)對(duì)(ci，cj)∈{0，1}γ，P(ci)=ri，P(cj)=rj。如果ci=cj，則概率Pr[ri=rj]=1。

　　(2)攻擊者無法在有限次數(shù)內(nèi)計(jì)算出P的輸出。

　　表1所示是本文預(yù)設(shè)參數(shù)及其意義。

　　本文協(xié)議主要有兩個(gè)階段：初始化與驗(yàn)證階段，圖2所示是本文RFID隱私保護(hù)協(xié)議的主要流程。

　　2.1 初始化階段

　　為數(shù)據(jù)庫隨機(jī)生成秘鑰S，為每個(gè)標(biāo)簽生成兩個(gè)隨機(jī)且唯一的秘鑰a與b。然后，為每個(gè)標(biāo)簽計(jì)算其秘鑰c=SP(a)P(b)，其中P(·)是各標(biāo)簽的嵌入PUF。數(shù)據(jù)庫保存每個(gè)標(biāo)簽的基本信息{ID，a，b，DATA}。

　　2.2 驗(yàn)證階段

　　(1)每個(gè)閱讀器生成一個(gè)隨機(jī)數(shù)r1∈{0，1}l并廣播該隨機(jī)數(shù)。

　　(2)標(biāo)簽Ti生成一個(gè)隨機(jī)數(shù)r2∈{0，1}l，計(jì)算M1←H(r1，r2，ai)，M2←H(r1，r2，ai)IDi，h←H(r2，1，2)。然后，將Pi(ai)與r2做異或運(yùn)算，計(jì)算出消息k。使用kPi(bi)ci代替消息k，從內(nèi)存中刪除Pi(bi)。標(biāo)簽將M1、M2、k發(fā)送至閱讀器。 (3)閱讀器生成一個(gè)隨機(jī)數(shù)r3∈{0，1}l。計(jì)算閱讀器通過計(jì)算驗(yàn)證M1以實(shí)現(xiàn)標(biāo)簽Ti的驗(yàn)證。如果成功驗(yàn)證標(biāo)簽Ti，閱讀器則計(jì)算然后將r3與M3發(fā)送回標(biāo)簽Ti。

　　(4)標(biāo)簽Ti通過計(jì)算H(h，r3，bi)驗(yàn)證M3。如果驗(yàn)證成功，則Ti成功驗(yàn)證閱讀器。

　　3 本文協(xié)議的性能分析

　　3.1 安全性分析

　　本文協(xié)議理論上可抵御假冒攻擊，下文將證明本方法對(duì)假冒攻擊具有安全性。因?yàn)楸疚膮f(xié)議是無狀態(tài)協(xié)議，并且標(biāo)簽無需與數(shù)據(jù)庫保持同步，因此，去同步攻擊對(duì)本協(xié)議也無效。

　　引理1：假設(shè)A是一個(gè)destructive級(jí)別的攻擊者。A的特點(diǎn)是在不執(zhí)行Corrupt程序的情況下，獲得共享秘鑰的成功率極低。

　　證明：假設(shè)有一個(gè)攻擊者A可學(xué)習(xí)共享秘鑰(不執(zhí)行Corrupt程序)。每個(gè)標(biāo)簽響應(yīng)閱讀器的查詢語句(M1，M2，k)，其中k=Sr2，r2是標(biāo)簽產(chǎn)生的隨機(jī)值。為了獲得共享秘鑰S，A需要知道隨機(jī)數(shù)r2，然而，r2并沒有隨密文發(fā)送，A必須從消息M1、M2與M3中破解出r2。此外，將標(biāo)簽ID IDi以密文形式H(r2，r1，1)IDi發(fā)送至閱讀器，在不知道隨機(jī)值的情況下A無法破解出IDi。

　　3.2 計(jì)算效率與隱私性實(shí)驗(yàn)與分析

　　在此分析標(biāo)簽端與數(shù)據(jù)庫端的性能。本協(xié)議中，一個(gè)標(biāo)簽共需完成4個(gè)hash運(yùn)算、兩個(gè)PUF運(yùn)算與4個(gè)XOR運(yùn)算，數(shù)據(jù)庫端則需要完成一個(gè)標(biāo)簽驗(yàn)證程序，該驗(yàn)證需要3個(gè)hash運(yùn)算與兩個(gè)XOR運(yùn)算，其復(fù)雜度為O(1)。本協(xié)議在標(biāo)簽端與數(shù)據(jù)庫端均無需秘鑰更新機(jī)制。

　　表2所示是本文方法與其他RFID隱私保護(hù)算法的計(jì)算效率與隱私性比較，其中，成本1：共2128個(gè)標(biāo)簽的RFID網(wǎng)絡(luò);成本2：共216個(gè)標(biāo)簽的RFID網(wǎng)絡(luò);成本3：共N個(gè)標(biāo)簽的RFID網(wǎng)絡(luò);nonce：生成隨機(jī)數(shù)操作;hash：哈希運(yùn)算;PUF：PUF運(yùn)算。從中可看出，本方法具有最高的隱私等級(jí)，并且其數(shù)據(jù)庫端的計(jì)算復(fù)雜度較低。

　　4 結(jié)論

　　PUF具有魯棒性、不可克隆性以及不可預(yù)測性特點(diǎn)，本文提出一種基于PUF的RFID驗(yàn)證協(xié)議，本協(xié)議最大的優(yōu)勢是無需搜索數(shù)據(jù)庫(識(shí)別標(biāo)簽)，其搜索復(fù)雜度僅為O(1)，因此本協(xié)議可應(yīng)用于大規(guī)模RFID網(wǎng)絡(luò)。與其他RFID隱私保護(hù)算法的比較結(jié)果顯示，本方法具有最高的隱私等級(jí)，并且其數(shù)據(jù)庫端的計(jì)算復(fù)雜度較低。