0 引言

    由于人們無法感知射頻信號的非法讀取，導致RFID技術存在特有的安全與隱私問題。在RFID系統的標簽與閱讀器之間主要存在以下7種攻擊：假冒標簽攻擊、假冒讀寫器攻擊、跟蹤標簽攻擊、竊聽攻擊、中間件攻擊、重放攻擊、去同步攻擊。其中假冒讀寫攻擊、跟蹤標簽攻擊、竊聽攻擊與中間件攻擊破壞標簽的隱私性。因此保證RFID系統的隱私，需要滿足保密性、不可跟蹤性、前向安全與驗證讀寫器4種隱私保護需求^[1]。一些研究使用樹結構來保存秘鑰，以此降低搜索復雜度(O(n)->O(log n))，而此類方案易受妥協攻擊，因此，基于樹狀協議的隱私等級較低。

    文獻[2]基于物理實體的內在物理構造來唯一地標識單個物理實體實現有效認證的思路，提出了PUF(物理不可克隆函數)，PUF具有魯棒性、不可克隆性以及不可預測性特點，目前廣泛應用于RFID系統的認證領域。文獻[3，4]均采用PUF(物理不可克隆函數)來提高RFID的安全性，然而此類算法均為narrow-destructive隱私性^[5]，其搜索復雜度最低為O(logN)。

    本文提出一種基于PUF的RFID驗證協議，本協議最大的優勢是無需搜索數據庫(識別標簽)，其搜索復雜度僅為O(1)，因此本協議可應用于大規模RFID網絡。本協議在標簽與閱讀器端不需要多余的計算與通信開銷，并且本算法可抵御旁道攻擊。

1 背景知識介紹

    假設標簽為T，其ID唯一，閱讀器為R。RFID系統包含若干的閱讀器R、發送器以及一個后端數據庫，發送器與數據庫間有一個信道。

1.1 系統模型

    RFID功能可表示為如下的函數形式：

    (1)SetupReader(1^S)→(K_S，K_P)：生成一個公共參數K_P、一個隱私參數K_S與一個閱讀器的安全參數s，同時生成一個數據庫(其中保存標簽的ID)。

    (2)生成一個標簽(ID唯一)、一個秘鑰K與一個內存狀態S。如果該標簽合法，則將ID與K保存于數據庫中。

    (3)IdentTag→out：該函數表示標簽T與閱讀器R之間的一次交互。如果閱讀器最終識別出該標簽，則輸出標簽的ID，否則輸出“?”。

1.2 攻擊模型

    假設攻擊者A具備以下性質：首先，攻擊者C執行SetupReader(1^S)程序，生成1^S、K_S與K_P 3個參數，并將1^S、K_P傳至A；然后A使用CreateTag^b(ID)生成標簽，本模型按標簽是否在攻擊者的閱讀范圍內將標簽分類：如果在閱讀范圍內分類，則為危險標簽(DanTag)，否則為安全標簽(SecTag)。

    為攻擊者定義以下10個行為或攻擊能力：

    (1)CreateTag^b(ID)：創建一個SecTag并為其分配一個ID。該函數使用創建標簽，如果該標簽合法(b=1)，則將其加入數據庫中。

    (2)DanTag(distr，n)→(vtag₀，b₀，…，vtag_n-1，b_n-1)：從SecTag標簽集中隨機地選擇n個標簽，并將標簽狀態從SecTag變為Dantag。為選擇的標簽分配一個新的ID并輸出虛擬標簽(vtag₀，…，vtag_n-1)，如果該標簽已經為Dantag或已不存在，則輸出“？”。

    (3)Free(vtag)：將標簽狀態從DanTag變為SecTag。

    (4)Launch()→π：觸發閱讀器開始新的協議循環，輸出為該輪協議的IDπ(為每輪協議設置一個標識ID)。

    (5)SendReader(m，π)→m′：發送一個消息m至閱讀器R(在協議循環π中)，閱讀器的回復消息為m′。

    (6)SendTag(m, vtag)→m′：發送一個消息m至標簽，其虛擬ID為vtag。閱讀器的回復消息為m′。

    (7)Execute(vtag)→(π，transcript)：在標簽(該標簽虛擬ID為vtag)與閱讀器之間執行完整的協議。該協議由Lauch()開始，然后是SendReader與SendTag，輸出協議循環π的成功消息列表。

    (8)Result(π)→x：如果閱讀器成功識別一個合法的標簽，則返回1；否則返回0。

    (9)Time(π)→δ：返回閱讀器的總計算時間δ。

    (10)Corrupt(vtag)→S：獲得標簽(虛擬ID為vtag)的當前狀態S。

1.3 隱私分類

    攻擊者分為強(strong)、破壞性(destructive)、前向(forward)、弱(weak)攻擊者，此外與這4類攻擊者正交的還有wide與narrow兩個攻擊者的概念，wide攻擊者可通過閱讀器訪問認證結果，但narrow攻擊不行。圖1描述了6種攻擊概念之間的關系^[5]。

1.4 安全性級別

    定義1 正確性：如果在IdentTag程序之后R返回標簽ID的成功率極高，則認為該協議符合正確性。

    定義2 強正確性：如果在R與合法標簽T交互之后返回標簽ID的成功率極高，則認為符合強正確性。

    定義3 穩固性[5]：如果對合法標簽T假冒攻擊的成功率極低，則認為符合穩固性。

1.5 隱私性

    定義4 盲攻擊：假設B表示一個算法，仿真了Lauch()、SendReader(m，π)、SendTag(m，vtag)與Result(π)4個程序的串行組合(對于攻擊者A)，并且不知道任何的秘密信息。一個盲攻擊者(A^B)不使用Lauch()、SendReader(m，π)、SendTag(m，vtag)與Result(π)程序，如果存在B，則攻擊者A威脅極小，即|Pr[Awins]-Pr[A^B wins]|可忽略不計。

2 本文大規模RFID網絡安全協議

    定義5 Hash函數：假設l∈N是一個安全參數，γ，K∈N是l中的項，則hash函數H可定義為{0，1}^γ→{0，1}^K，其條件為：

    (1)對于一個給定的輸出y_i，無法反向計算出滿足H(x_i)=y_i的x_i。

    (2)計算出滿足條件x_i≠x_j && H(x_i)=H(x_j)的參數組合(x_i，x_j)難度極高。

    定義6 物理不可克隆函數(PUF)^[6]：假設l∈N是安全參數，γ，K∈N是l的項。理想的PUF(設為P)定義為{0，1}^γ→{0，1}^K，其條件如下：

    (1)對于參數對(c_i，c_j)∈{0，1}^γ，P(c_i)=r_i，P(c_j)=r_j。如果c_i=c_j，則概率Pr[r_i=r_j]=1。

    (2)攻擊者無法在有限次數內計算出P的輸出。

    表1所示是本文預設參數及其意義。

    本文協議主要有兩個階段：初始化與驗證階段，圖2所示是本文RFID隱私保護協議的主要流程。

2.1 初始化階段

    為數據庫隨機生成秘鑰S，為每個標簽生成兩個隨機且唯一的秘鑰a與b。然后，為每個標簽計算其秘鑰c=SP(a)P(b)，其中P(·)是各標簽的嵌入PUF。數據庫保存每個標簽的基本信息{ID，a，b，DATA}。

2.2 驗證階段

    (1)每個閱讀器生成一個隨機數r₁∈{0，1}^l并廣播該隨機數。

    (2)標簽T_i生成一個隨機數r₂∈{0，1}^l，計算M₁←H(r₁，r₂，a_i)，M₂←H(r₁，r₂，a_i)ID_i，h←H(r₂，1，2)。然后，將P_i(a_i)與r₂做異或運算，計算出消息k。使用kP_i(b_i)c_i代替消息k，從內存中刪除P_i(b_i)。標簽將M₁、M₂、k發送至閱讀器。

    (3)閱讀器生成一個隨機數r₃∈{0，1}^l。計算閱讀器通過計算驗證M₁以實現標簽T_i的驗證。如果成功驗證標簽T_i，閱讀器則計算然后將r₃與M₃發送回標簽T_i。

    (4)標簽T_i通過計算H(h，r₃，b_i)驗證M₃。如果驗證成功，則T_i成功驗證閱讀器。

3 本文協議的性能分析

3.1 安全性分析

    本文協議理論上可抵御假冒攻擊，下文將證明本方法對假冒攻擊具有安全性。因為本文協議是無狀態協議，并且標簽無需與數據庫保持同步，因此，去同步攻擊對本協議也無效。

    引理1：假設A是一個destructive級別的攻擊者。A的特點是在不執行Corrupt程序的情況下，獲得共享秘鑰的成功率極低。

    證明：假設有一個攻擊者A可學習共享秘鑰(不執行Corrupt程序)。每個標簽響應閱讀器的查詢語句(M₁，M2，k)，其中k=Sr₂，r₂是標簽產生的隨機值。為了獲得共享秘鑰S，A需要知道隨機數r₂，然而，r₂并沒有隨密文發送，A必須從消息M₁、M₂與M₃中破解出r₂。此外，將標簽ID ID_i以密文形式H(r₂，r₁，1)ID_i發送至閱讀器，在不知道隨機值的情況下A無法破解出IDi。

3.2 計算效率與隱私性實驗與分析

    在此分析標簽端與數據庫端的性能。本協議中，一個標簽共需完成4個hash運算、兩個PUF運算與4個XOR運算，數據庫端則需要完成一個標簽驗證程序，該驗證需要3個hash運算與兩個XOR運算，其復雜度為O(1)。本協議在標簽端與數據庫端均無需秘鑰更新機制。

    表2所示是本文方法與其他RFID隱私保護算法的計算效率與隱私性比較，其中，成本1：共2¹²⁸個標簽的RFID網絡；成本2：共2¹⁶個標簽的RFID網絡；成本3：共N個標簽的RFID網絡；nonce：生成隨機數操作；hash：哈希運算；PUF：PUF運算。從中可看出，本方法具有最高的隱私等級，并且其數據庫端的計算復雜度較低。

4 結論

    PUF具有魯棒性、不可克隆性以及不可預測性特點，本文提出一種基于PUF的RFID驗證協議，本協議最大的優勢是無需搜索數據庫(識別標簽)，其搜索復雜度僅為O(1)，因此本協議可應用于大規模RFID網絡。與其他RFID隱私保護算法的比較結果顯示，本方法具有最高的隱私等級，并且其數據庫端的計算復雜度較低。

參考文獻

[1] 王良民，茅冬梅，梁軍.基于RFID系統的隱私保護技術[J].江蘇大學學報：自然科學版，2012，33(6)：690-695.

[2] PAPPU R.Physical one-way functions[J].Science，2002，297(5589)：2026-2030.

[3] AKGUN M，CAGLAYAN M U.PUF based scalable private RFID authentication[C].Availability，Reliability and Security(ARES)，2011 Sixth International Conference on.IEEE，2011：473-478.

[4] KARDAS S，KIRAZ M S，BING?魻L M A，et al.A novel RFID distance bounding protocol based on physically unclonable functions[C].Lecture Notes in Computer Science，2011：78-93.

[5] VAUDENAY S.On privacy models for RFID[M].Advances in Cryptology-ASIACRYPT 2007.Springer Berlin Heidelberg，2007：68-87.

[6] SADEGHI A R，VISCONTI I，WACHSMANN C.Pufenhanced rfid security and privacy[J].2nd Workshop on Secure Component and System Identification(SECSI′10)，2010，24(3)：381-394.

[7] MOLNAR D，WAGNER D.Privacy and security in library RFID：issues，practices，and architectures[C].Acm Conference on Computer & Communications Security，2004：210-219.

[8] BRINGER J，CHABANNE H，ICART T.Improved privacy of the tree-based hash protocols using physically unclonable function[J].Lecture Notes in Computer Science，2007：77-91.

[9] AVOINE G，DYSLI E，OECHSLIN P.Reducing time complexity in RFID systems[C].Lecture Notes in Computer Science，2005，3897：291-306.

[10] ALOMAIR B，CLARK A，CUELLAR J，et al.Scalable RFID systems：a privacy-preserving protocol with constant-time identification[J].Parallel & Distributed Systems IEEE Transactions on，2011，23(8)：1536-1550.

[11] AKGUN M，CAGLAYAN M U.PUF based scalable private RFID authentication[C].Availability，Reliability and Security(ARES)，2011 Sixth International Conference on.IEEE，2011：473-478.

[12] KARDAS S，CELIK S，YLLDLZ M，et al.PUF-enhanced offline RFID security and privacy[J].Journal of Network & Computer Applications，2012，35(6)：2059-2067.

[13] ASADPOUR M，DASHTI M T.Scalable，privacy preserving radio-frequency identification protocol for the internet of things[J].Concurrency and Computation：Practice and Experience，2013，27(8)：1932-1950.