0 引言

　　由于人們無法感知射頻信號的非法讀取，導致RFID技術存在特有的安全與隱私問題。在RFID系統(tǒng)的標簽與閱讀器之間主要存在以下7種攻擊：假冒標簽攻擊、假冒讀寫器攻擊、跟蹤標簽攻擊、竊聽攻擊、中間件攻擊、重放攻擊、去同步攻擊。其中假冒讀寫攻擊、跟蹤標簽攻擊、竊聽攻擊與中間件攻擊破壞標簽的隱私性。因此保證RFID系統(tǒng)的隱私，需要滿足保密性、不可跟蹤性、前向安全與驗證讀寫器4種隱私保護需求[1]。一些研究使用樹結構來保存秘鑰，以此降低搜索復雜度(O(n)->O(log n))，而此類方案易受妥協(xié)攻擊，因此，基于樹狀協(xié)議的隱私等級較低。

　　文獻[2]基于物理實體的內(nèi)在物理構造來唯一地標識單個物理實體實現(xiàn)有效認證的思路，提出了PUF(物理不可克隆函數(shù))，PUF具有魯棒性、不可克隆性以及不可預測性特點，目前廣泛應用于RFID系統(tǒng)的認證領域。文獻[3，4]均采用PUF(物理不可克隆函數(shù))來提高RFID的安全性，然而此類算法均為narrow-destructive隱私性[5]，其搜索復雜度最低為O(logN)。

　　本文提出一種基于PUF的RFID驗證協(xié)議，本協(xié)議最大的優(yōu)勢是無需搜索數(shù)據(jù)庫(識別標簽)，其搜索復雜度僅為O(1)，因此本協(xié)議可應用于大規(guī)模RFID網(wǎng)絡。本協(xié)議在標簽與閱讀器端不需要多余的計算與通信開銷，并且本算法可抵御旁道攻擊。

　　1 背景知識介紹

　　假設標簽為T，其ID唯一，閱讀器為R。RFID系統(tǒng)包含若干的閱讀器R、發(fā)送器以及一個后端數(shù)據(jù)庫，發(fā)送器與數(shù)據(jù)庫間有一個信道。

　　1.1 系統(tǒng)模型

　　RFID功能可表示為如下的函數(shù)形式：

　　(1)SetupReader(1S)→(KS，KP)：生成一個公共參數(shù)KP、一個隱私參數(shù)KS與一個閱讀器的安全參數(shù)s，同時生成一個數(shù)據(jù)庫(其中保存標簽的ID)。

(2)

生成一個標簽(ID唯一)、一個秘鑰K與一個內(nèi)存狀態(tài)S。如果該標簽合法，則將ID與K保存于數(shù)據(jù)庫中。

　　(3)IdentTag→out：該函數(shù)表示標簽T與閱讀器R之間的一次交互。如果閱讀器最終識別出該標簽，則輸出標簽的ID，否則輸出“?”。

　　1.2 攻擊模型

　　假設攻擊者A具備以下性質(zhì)：首先，攻擊者C執(zhí)行SetupReader(1S)程序，生成1S、KS與KP 3個參數(shù)，并將1S、KP傳至A;然后A使用CreateTagb(ID)生成標簽，本模型按標簽是否在攻擊者的閱讀范圍內(nèi)將標簽分類：如果在閱讀范圍內(nèi)分類，則為危險標簽(DanTag)，否則為安全標簽(SecTag)。

　　為攻擊者定義以下10個行為或攻擊能力：

　　(1)CreateTagb(ID)：創(chuàng)建一個SecTag并為其分配一個ID。該函數(shù)使用創(chuàng)建標簽，如果該標簽合法(b=1)，則將其加入數(shù)據(jù)庫中。

　　(2)DanTag(distr，n)→(vtag0，b0，…，vtagn-1，bn-1)：從SecTag標簽集中隨機地選擇n個標簽，并將標簽狀態(tài)從SecTag變?yōu)镈antag。為選擇的標簽分配一個新的ID并輸出虛擬標簽(vtag0，…，vtagn-1)，如果該標簽已經(jīng)為Dantag或已不存在，則輸出“?”。

　　(3)Free(vtag)：將標簽狀態(tài)從DanTag變?yōu)镾ecTag。

　　(4)Launch()→π：觸發(fā)閱讀器開始新的協(xié)議循環(huán)，輸出為該輪協(xié)議的IDπ(為每輪協(xié)議設置一個標識ID)。

　　(5)SendReader(m，π)→m′：發(fā)送一個消息m至閱讀器R(在協(xié)議循環(huán)π中)，閱讀器的回復消息為m′。

　　(6)SendTag(m, vtag)→m′：發(fā)送一個消息m至標簽，其虛擬ID為vtag。閱讀器的回復消息為m′。

　　(7)Execute(vtag)→(π，transcript)：在標簽(該標簽虛擬ID為vtag)與閱讀器之間執(zhí)行完整的協(xié)議。該協(xié)議由Lauch()開始，然后是SendReader與SendTag，輸出協(xié)議循環(huán)π的成功消息列表。

　　(8)Result(π)→x：如果閱讀器成功識別一個合法的標簽，則返回1;否則返回0。

　　(9)Time(π)→δ：返回閱讀器的總計算時間δ。

　　(10)Corrupt(vtag)→S：獲得標簽(虛擬ID為vtag)的當前狀態(tài)S。

　　1.3 隱私分類

　　攻擊者分為強(strong)、破壞性(destructive)、前向(forward)、弱(weak)攻擊者，此外與這4類攻擊者正交的還有wide與narrow兩個攻擊者的概念，wide攻擊者可通過閱讀器訪問認證結果，但narrow攻擊不行。圖1描述了6種攻擊概念之間的關系[5]。

　　1.4 安全性級別

　　定義1 正確性：如果在IdentTag程序之后R返回標簽ID的成功率極高，則認為該協(xié)議符合正確性。

　　定義2 強正確性：如果在R與合法標簽T交互之后返回標簽ID的成功率極高，則認為符合強正確性。

　　定義3 穩(wěn)固性[5]：如果對合法標簽T假冒攻擊的成功率極低，則認為符合穩(wěn)固性。

　　1.5 隱私性

　　定義4 盲攻擊：假設B表示一個算法，仿真了Lauch()、SendReader(m，π)、SendTag(m，vtag)與Result(π)4個程序的串行組合(對于攻擊者A)，并且不知道任何的秘密信息。一個盲攻擊者(AB)不使用Lauch()、SendReader(m，π)、SendTag(m，vtag)與Result(π)程序，如果存在B，則攻擊者A威脅極小，即|Pr[Awins]-Pr[AB wins]|可忽略不計。

　　2 本文大規(guī)模RFID網(wǎng)絡安全協(xié)議

　　定義5 Hash函數(shù)：假設l∈N是一個安全參數(shù)，γ，K∈N是l中的項，則hash函數(shù)H可定義為{0，1}γ→{0，1}K，其條件為：

　　(1)對于一個給定的輸出yi，無法反向計算出滿足H(xi)=yi的xi。

　　(2)計算出滿足條件xi≠xj && H(xi)=H(xj)的參數(shù)組合(xi，xj)難度極高。

　　定義6 物理不可克隆函數(shù)(PUF)[6]：假設l∈N是安全參數(shù)，γ，K∈N是l的項。理想的PUF(設為P)定義為{0，1}γ→{0，1}K，其條件如下：

　　(1)對于參數(shù)對(ci，cj)∈{0，1}γ，P(ci)=ri，P(cj)=rj。如果ci=cj，則概率Pr[ri=rj]=1。

　　(2)攻擊者無法在有限次數(shù)內(nèi)計算出P的輸出。

　　表1所示是本文預設參數(shù)及其意義。

　　本文協(xié)議主要有兩個階段：初始化與驗證階段，圖2所示是本文RFID隱私保護協(xié)議的主要流程。

　　2.1 初始化階段

　　為數(shù)據(jù)庫隨機生成秘鑰S，為每個標簽生成兩個隨機且唯一的秘鑰a與b。然后，為每個標簽計算其秘鑰c=SP(a)P(b)，其中P(·)是各標簽的嵌入PUF。數(shù)據(jù)庫保存每個標簽的基本信息{ID，a，b，DATA}。

　　2.2 驗證階段

　　(1)每個閱讀器生成一個隨機數(shù)r1∈{0，1}l并廣播該隨機數(shù)。

　　(2)標簽Ti生成一個隨機數(shù)r2∈{0，1}l，計算M1←H(r1，r2，ai)，M2←H(r1，r2，ai)IDi，h←H(r2，1，2)。然后，將Pi(ai)與r2做異或運算，計算出消息k。使用kPi(bi)ci代替消息k，從內(nèi)存中刪除Pi(bi)。標簽將M1、M2、k發(fā)送至閱讀器。 (3)閱讀器生成一個隨機數(shù)r3∈{0，1}l。計算閱讀器通過計算驗證M1以實現(xiàn)標簽Ti的驗證。如果成功驗證標簽Ti，閱讀器則計算然后將r3與M3發(fā)送回標簽Ti。

　　(4)標簽Ti通過計算H(h，r3，bi)驗證M3。如果驗證成功，則Ti成功驗證閱讀器。

　　3 本文協(xié)議的性能分析

　　3.1 安全性分析

　　本文協(xié)議理論上可抵御假冒攻擊，下文將證明本方法對假冒攻擊具有安全性。因為本文協(xié)議是無狀態(tài)協(xié)議，并且標簽無需與數(shù)據(jù)庫保持同步，因此，去同步攻擊對本協(xié)議也無效。

　　引理1：假設A是一個destructive級別的攻擊者。A的特點是在不執(zhí)行Corrupt程序的情況下，獲得共享秘鑰的成功率極低。

　　證明：假設有一個攻擊者A可學習共享秘鑰(不執(zhí)行Corrupt程序)。每個標簽響應閱讀器的查詢語句(M1，M2，k)，其中k=Sr2，r2是標簽產(chǎn)生的隨機值。為了獲得共享秘鑰S，A需要知道隨機數(shù)r2，然而，r2并沒有隨密文發(fā)送，A必須從消息M1、M2與M3中破解出r2。此外，將標簽ID IDi以密文形式H(r2，r1，1)IDi發(fā)送至閱讀器，在不知道隨機值的情況下A無法破解出IDi。

　　3.2 計算效率與隱私性實驗與分析

　　在此分析標簽端與數(shù)據(jù)庫端的性能。本協(xié)議中，一個標簽共需完成4個hash運算、兩個PUF運算與4個XOR運算，數(shù)據(jù)庫端則需要完成一個標簽驗證程序，該驗證需要3個hash運算與兩個XOR運算，其復雜度為O(1)。本協(xié)議在標簽端與數(shù)據(jù)庫端均無需秘鑰更新機制。

　　表2所示是本文方法與其他RFID隱私保護算法的計算效率與隱私性比較，其中，成本1：共2128個標簽的RFID網(wǎng)絡;成本2：共216個標簽的RFID網(wǎng)絡;成本3：共N個標簽的RFID網(wǎng)絡;nonce：生成隨機數(shù)操作;hash：哈希運算;PUF：PUF運算。從中可看出，本方法具有最高的隱私等級，并且其數(shù)據(jù)庫端的計算復雜度較低。

　　4 結論

　　PUF具有魯棒性、不可克隆性以及不可預測性特點，本文提出一種基于PUF的RFID驗證協(xié)議，本協(xié)議最大的優(yōu)勢是無需搜索數(shù)據(jù)庫(識別標簽)，其搜索復雜度僅為O(1)，因此本協(xié)議可應用于大規(guī)模RFID網(wǎng)絡。與其他RFID隱私保護算法的比較結果顯示，本方法具有最高的隱私等級，并且其數(shù)據(jù)庫端的計算復雜度較低。