一種具有閱讀器匿名功能的射頻識別認證協議

謝 潤許春香陳文杰李萬鵬

①（電子科技大學計算機科學與工程學院 成都 611731）

②（宜賓學院數學學院 宜賓 644000）

一種具有閱讀器匿名功能的射頻識別認證協議

謝 潤①②許春香*①陳文杰①李萬鵬①

①（電子科技大學計算機科學與工程學院 成都 611731）

②（宜賓學院數學學院 宜賓 644000）

在射頻識別（RFID）的應用中，安全問題特別是用戶隱私問題正日益凸顯。因此，（用戶）標簽信息的隱私保護的需求越來越迫切。在RFID系統中，標簽的隱私保護不僅是對外部攻擊者，也應該包括閱讀器。而現有許多文獻提出的認證協議的安全僅針對外部攻擊者，甚至在外部攻擊者的不同攻擊方法下也并不能完全保證安全。該文提出兩個標簽對閱讀器匿名的認證協議：列表式RFID認證協議和密鑰更新式RFID認證協議。這兩個協議保證了閱讀器對標簽認證時，標簽的信息不僅對外部攻擊者是安全的而且對閱讀器也保持匿名和不可追蹤。相較于Armknecht等人提出的對閱讀器匿名和不可追蹤的認證協議，該文所提的協議不再需要增加第三方幫助來完成認證。并且密鑰更新式RFID匿名認證協議還保證了撤銷后的標簽對閱讀器也是匿名性和不可追蹤的。

安全協議；射頻識別；匿名認證

1 引言

RFID（Radio Frequency IDentification）技術，又稱電子標簽或射頻識別技術，使用該技術可通過無線電信號識別特定目標并讀寫相關數據，無需識別系統與特定目標之間建立機械接觸。完整的RFID系統，由閱讀器（reader）與電子標簽（tag）及發行者（issuer）3部分所組成。閱讀器根據電子標簽提供的信息對電子標簽進行認證。該技術被廣泛應用于物聯網，智能公交系統，車輛位置自我識別［1］，圖書管理系統［2］，訪問控制等。由于閱讀器對電子標簽的認證協議過程為無線通信過程，極易泄露電子標簽中用戶信息的隱私。為此，很多文獻研究了電子標簽對攻擊者匿名和不可追蹤的RFID認證協議，以保護電子標簽 不被入侵［3］或其他形式的攻擊。如文獻［4，5］分別研究了如何檢測克隆攻擊和對電子標簽的重傳攻擊。文獻［6］和文獻［7］中分別提出RFID的雙向認證協議和基于散列樹的認證方案，而文獻［8］研究GPS認證模式。最近，文獻［9］做了RFID系統中移動閱讀器連續掃描的實驗研究，文獻［10］進一步提出了在大規模的RFID系統中電子標簽的快速搜索協議。

盡管有諸多研究成果，但RFID應用中安全問題仍然很突出。這些文獻中，大多是基于閱讀器是可信的這一假設來討論認證協議的安全性，因此電子標簽對閱讀器并不是匿名和不可追蹤的。但是，在越來越多的應用中，電子標簽的用戶希望電子標簽對閱讀器也保持匿名和不可追蹤。例如，在電子票據、訪問控制等應用中，用戶是不愿自己的消費情況或訪問記錄被追蹤。這些應用場景下，對電子標簽的認證不僅要求對外部攻擊者是匿名和不可追蹤的，而且對閱讀器也要求是匿名和不可追蹤的。在許多情況下閱讀器也僅需要驗證電子標簽的合法性。顯然，實現電子標簽對閱讀器匿名和不可追蹤的認證比僅對外部攻擊者實現這種安全性要困難得多。大部分研究RFID的認證協議，如文獻［11］只是討論了對外部攻擊者保持隱私的的認證方案。近來，文獻［12，13］等研究了對閱讀器匿名和不可追蹤RFID認證協議。在文獻［13］中，為了實現對閱讀器的匿名和不可追蹤，引入了第三方匿名器。匿名器的作用是在每次認證前，對電子標簽發送給閱讀器的消息進行匿名化，從而實現對閱讀器匿名。但是該方案需要電子標簽在每次認證前與匿名器交互，所以通信代價有很大增加。在對電子標簽多次認證的實際環境中，通信次數的增加使得認證安全性下降。通過分析也可以發現：如果匿名器不可信的，那么匿名器能對電子標簽進行追蹤。另外，文獻［14］也利用門限方法討論了對閱讀器匿名和不可追蹤的電子標簽認證協議，但該文獻中的電子標簽撤消方案是分別為電子標簽和閱讀器重新配發私鑰和驗證公鑰。顯然，這樣做的結果等價于重新生成認證協議的所有密鑰，所以系統效率將大大降低。應用文獻［15］群簽名的思想，本文給出兩個RFID的匿名認證協議：列表式RFID匿名認證協議和密鑰更新式RFID匿名認證協議。這兩個匿名認證協議的特點分別是：

（1）列表式RFID匿名認證協議：該協議中，閱讀器存儲撤銷列表，當有電子標簽被撤銷時，發行者將撤銷電子標簽添加到撤銷列表，并將新的撤銷列表發送給閱讀器。對于未撤銷的電子標簽，認證協議保證了電子標簽對閱讀器匿名和不可追蹤。這一協議不需要引入匿名器，認證過程只在電子標簽和閱讀器之間進行，簡化了認證過程。本文在隨機預言機模型下證明了協議的安全性。

對于閱讀器能用已撤銷電子標簽的私鑰來追蹤這些電子標簽的問題，本文提出了下面的改進協議。

（2）密鑰更新式RFID匿名認證協議：在此協議中，閱讀器不保存撤銷列表。當某個電子標簽被撤銷時，發行者根據被撤銷電子標簽更新系統的公鑰。閱讀器用新的系統公鑰驗證認證消息，已撤銷的電子標簽不能再生成合法認證消息。而未撤銷的電子標簽更新其私鑰中的一個數據后仍然能生成合法的認證消息。這個協議克服撤銷后的電子標簽可被追蹤的問題。

由于電子標簽的計算能力所限，本文采用預計算數據存儲在電子標簽中的方法，以減輕電子標簽的計算荷載。

2 符號和預備知識

3 列表式RFID匿名認證協議

3.1 協議過程概述

3.2 協議的安全假設

在認證過程中，假設敵手能控制電子標簽和閱讀器之間的通信信道，即他可以竊聽、修改、操縱電子標簽和閱讀器之間通信消息。敵手能獲取Ipk，但不能獲得發行者和電子標簽的秘密信息。

發行者是可信的，它在安全的環境下初始化電子標簽，即發行者和電子標簽的秘密信息都不會在初始化時泄露。而閱讀器是不可信的，它可能希望獲得電子標簽的秘密信息。閱讀器也擁有系統公鑰Ipk，比電子標簽有更強的計算能力，能并行處理多個電子標簽的認證信息。電子標簽的存儲能力和計算能力受限制，它僅能做次數不多的乘法和加法運算，且誠實可信。根據實際情況，我們也假設電子標簽會被多次認證。

3.3 參數選取

3.4 認證協議過程

3.4.2 認證過程

3.5 生成新Tj和撤銷Tj

3.5.1 生成新Tj在協議中，發行者也能靈活地生成新的Tj。發行者要生成一個新Tj時，則選擇為素數，并即存儲和預計算數據到Tj中。

根據文中第1節中的分析，在這一認證協議中，撤銷后的Tj對閱讀器不再是匿名和不可追蹤的。為此，我們給出下面的改進認證協議。

4 密鑰更新式RFID匿名認證協議

在這一認證協議中，閱讀器不再保存撤銷列表。當Tj被撤銷時，閱讀器和未撤銷的Ti分別從發行者處更新系統公鑰和Ti的私鑰。因此，未撤銷的Ti仍然能生成合法的認證消息，已撤銷標簽不能生成合法的認證消息。更重要的是：撤銷后的標簽對閱讀器仍然是匿名和不可追蹤的。

密鑰更新式匿名認證協議的安全性假設、參數以及參數滿足的條件都和列表式匿名認證協議中相同。下面，我們給出密鑰更新式匿名認證協議的認證過程。特別地，這里增加選擇一隨機元素t∈ QRn，它被用于實現密鑰的更新。

4.1 認證協議過程

4.1.1 系統初始化 發行者運行第3節中系統初始化時的步驟（1）～步驟（5）步，增加隨機選擇t∈ QRn。

4.1.2 認證過程

4.2 生成新Tj和撤銷Tj

5 安全性分析

5.1 認證協議安全性分析

本節給出列表式匿名認證協議和密鑰更新式匿名認證協議安全性證明。本文中給出的兩個RFID匿名認證協議的區別在于：Ti的M0和閱讀器的V0在兩個協議中不同。下面的安全性證明中并不會用到M0和V0，所以安全性證明對兩個RFID匿名認證協議都是成立的。

根據這一定義，證明協議實現了對電子標簽的認證，即要證明下述定理。

定理1 RFID匿名認證協議中的認證消息是不可偽造的。

證明 證明過程分3部分：（1）敵手通過偽造Ti的私鑰的方法構造合法的認證消息的概率是可忽略的。（2）認證協議是抗重放攻擊的。（3）敵手直接偽造合法認證消息的概率是可忽略的。

（1）敵手通過偽造Ti的私鑰的方法構造合法的認證消息的概率是可忽略的。

由于匿名認證協議中，Ti的密鑰Tski是xi的C-L簽名。在強RSA假設下，由文獻［18］定理3.6，C-L簽名在選擇消息攻擊下是安全的，即A通過偽造有效的Ti的密鑰生成合法的認證消息σ=（c， M0， M1，M2， mx， mr， me， mz）的概率是可忽略的。

（2）抗重放消息攻擊。由于每次進行認證時閱讀器都會隨機選取Nd，所以敵手A重放舊認證消息σ=（c， M0， M1， M2， mx， mr， me， mz）通過認證，必須滿足下面條件之一：

（3）敵手直接偽造合法認證消息的概率是可忽略的。

若敵手A能以不可忽略的概率直接偽造認證消息，則我們能得到算法B，它在多項式時間內以相同概率解離散對數問題。

為證明認證消息的不可追蹤性，我們給出消息無關聯性的安全概念。電子標簽認證消息的無關聯性是指：敵手區分任意兩個認證消息是否來自相同的電子標簽的概率優勢是可忽略的。這意味著電子標簽發送的認證消息，不會向閱讀器泄露任何能追蹤到它的信息。因此電子標簽生成的認證消息如果具有無關聯性，則電子標簽是不可追蹤的。下面給出無關聯性的形式化的定義［13］。形式化認證協議為安全試驗。具有概率多項式計算能力敵手A與隨機預言機Ob交互。當b=0隨機語言機Ob表示兩個合法標簽T0與T1相同，b=1時Ob表示T0與T1不同。在安全性試驗中，敵手A能與RFID系統和Ob交互，得到b'（b'=1或0）。

5.2 密鑰更新式匿名認證協議中被撤銷電子標簽的匿名與不可追蹤分析

5.3 安全性與計算效率分析

安全性分析 本節列表對比本文與其他文獻的各項安全性如表1。從表中可以看出文獻［7］，文獻［8］，文獻［11］滿足的安全項較少。僅有本文的密鑰更新式匿名認證協議能保證被撤銷后的電子標簽對閱讀器仍然是匿名和不可追蹤的。

計算實現 在RFID系統中，電子標簽的計算能力和它的成本是成正比的。因此，對安全水平要求較高的RFID系統中，對電子標簽計算能力的要求也會更高。與文獻［13］相比，本文的協議在認證過程中不再需要第三方匿名器，且實現了更高的安全性。

按1024 bit的RSA的安全水平要求（實際的RFID系統遠低于這一安全要求），當β=210，l'=40時，本協議的執行乘法約100次，4次加法，需要的存儲為512k。根據文獻［20］的研究，1024 bit大數的模乘可以在38k門內實現，滿足智能卡40k門限制的要求。對文獻［21］中的電子標簽（要求僅含10k門左右的芯片），顯然1024 bit參數的安全水平無法在這種電子標簽上實現。

以上分析表明，該協議能夠提供很好的安全性，且實現效率可以根據電子標簽性能選取合適的參數，使得實現代價較低。能夠提供很強安全性、實現效率高，而代價又很低的RFID認證協議是不存在的，較強的安全性意味著其實現代價和性能就會受到影響，所以RFID系統要做好安全性與實現代價及性能之間的取舍。隨著微電子技術的發展［22］和某些安全要求較高RFID系統的應用中，本文的認證協議提供了一種很好的選擇。

表1 本文與其他文獻安全性對比表

6 結束語

RFID認證協議的安全性問題正變得越來越重要。本文給出了兩個RFID匿名認證協議。列表式匿名認證協議使閱讀器對電子標簽的匿名認證不需要第三方的輔助，克服了文獻［13］中引入第三方實現匿名認證產生的問題。密鑰更新式匿名認證協議，使得撤銷后的電子標簽對閱讀器仍然保持了匿名和不可追蹤性，提高了RFID系統的安全性。

［1］ Park S and Lee H. Self-recognition of vehicle position using UHF passive RFID tags［J］. IEEE Transactions on Industrial Electron ics， 2013， 60（1）: 226-234.

［2］ Sing J， B rar N， and Fong ?C. The state of RFID app lications in libraries［J］. Information Technology and Libraries， 2013，25（1）: 24-32.

［3］ Sakai K， Ku W S， Zimmermann R， et al.. Dynam ic bit encoding for privacy protection against correlation attacks in RFID backward channel［J］. IEEE Transactions on Com puters， 2013， 62（1）: 112-123.

［4］ Zanetti D， Capkun S， and Juels A. Tailing RFID tags for clone detection［C］. NDSS 2013: 20th Network & Distributed System Security Sym posium， San Diego， CA， USA， 2013.

［5］ 周永彬， 馮登國. RFID 安全協議的設計與分析［J］. 計算機學報， 2006， 29（4）: 581-589. Zhou Yong-bin and Feng Deng-guo. Design and analysis of cryp tographic protocols for RFID［J］. Chinese Journal of Computers， 2006， 29（4）: 581-589.

［6］ Yang L， Yu P， Bailing W， et al.. A bi-direction authentication protocol for RFID based on the variab le update in IOT［C］. Proceedings of the 2nd International Conference on Com pu ter and App lications ASTL 2013， Vol. 17: 23-?26.

［7］ Molnar D， Soppera A， and Wagner D. A scalable， delegatable pseudonym protocol enabling ownership transfer of RFID Tags［C］. Selected A reas in Cryptography， Springer Berlin Heidelberg， 2006: 276-290.

［8］ M cLoone M and Robshaw M J B. Public Key Cryptography and RFID Tags［M］. Topics in Cryp tology-CT-RSA 2007，Berlin Heidelberg Sp ringer， 2006: 372-384.

［9］ Xie L， Li Q， Chen X， et al.. Continuous scanning w ith mobile reader in RFID system s: an experimental study［C］. Proceedings of the Fou rteenth ACM International Sym posium on M obile Ad Hoc Networking and Com puting，ACM， Bangalore， India， 2013: 11-20.

［10］ Zheng Y and Li M. Fast tag searching p rotocol for large-scale RFID system s［J］. IEEE/ACM Transactions on Networking，2013， 21（3）: 924-934.

［11］ Ryu E K and Takagi T. A hybrid approach for privacy-preserving RFID tags［J］. Computer Standards & In terfaces， 2009， 31（4）: 812-815.

［12］ B lass E O， Kurmus A， M olva R， et al.. PSP: private and secu re paym ent w ith RFID［C］. Proceedings of the 8th ACM Workshop on Privacy in the Electronic Society， ACM，Chicago， IL， USA， 2009: 51-60.

［13］ Arm knecht F， Chen L， Sadeghi A R， et al.. Anonymous Au thentication for RFID System s［M］. Radio Frequency Identification: Security and Privacy Issues. Springer Berlin Heidelberg， 2010: 158-175.

［14］ Kiraz M S， Bing?l M A， Karda S， et al.. Anonymous RFID authentication for cloud Services［J］. International Journal of Information Security Science， 2012， 1（2）: 32-42.

［15］ Cam en isch J and G roth J. G roup Signatu res: Better Efficiency and New Theoretical Aspects［M］. Security in Comm unication Networks， Berlin Heidelberg Springer， 2005: 120-133.

［16］ Camenisch J and Lysyanskaya A. A Signature Scheme w ith Efficient Protocols［M］. Security in Communication Networks，Berlin Heidelberg Sp ringer， 2003: 268-289.

［17］ Cam en isch J and Stad ler M. Efficient group signature schem es for large groups［C］. Advances in Cryptology-CRYPTO'97， Berlin Heidelberg Springer， 1997: 410-424.

［18］ Goldreich O and Rosen V. On the security of modular exponentiation w ith app lication to the construction of pseudorandom generators［J］. Journal of Crypto logy， 2003，16（2）: 71-93.

［19］ Pointcheval D and Stern J. Secu rity argum ents for digital signatures and b lind signatures［J］. Journal of Cryptology，2000， 13（3）: 361-396.

［20］ 李樹國， 周潤德， 馮建華， 等. RSA密碼協處理器的實現［J］.電子學報， 2001， 29（11）: 1441-1444. Li Shu-guo， Zhou Run-de， Feng Jian-hua， et al.. Im p lem entation for RSA cryp tography coprocessor［J］. Acta Electronica Sinica， 2001， 29（11）: 1441-1444.

［21］Li Hu i-yun?. Developm ent and Im p lem entation of RFID Technology［M］. Vienna， Austria， I-Tech Education and Publishing KG， 2009: 1-12.

［22］ Chae H J， Salajegheh M， Yeager D J， et al.. M axim alist Cryptography and Com putation on the W ISP UHF RFID Tag ［M］. W irelessly Powered Sensor Networks and Com putational RFID， Springer New York， 2013: 175-187.

謝 潤： 男，1976年生，博士，副教授，主要研究領域為密碼學、信息安全.

許春香： 女，1965年生，博士生導師，教授，主要研究領域為密碼學、信息安全、安全電子商務.

陳文杰： 女，1989年生，研究方向為RFID認證協議.

An RFID Authentication Protocol Anonymous against Readers

X ie Run①②Xu Chun-xiang①Chen W en-jie①Li W an-peng①①（School of Computer Science and Engineering， University of Electronic Science and Technology of China，Chengdu 611731， China）
②（Schoo l of M athematical， Y ibin University， Y ibin 644000， China）

In app lication of RFID （Radio Frequency IDentification）， security threats are on the rise. The demand for the privacy protection of tag is becom ing more and more urgent. In RFID system， the p rivacy p rotection is against not on ly the outside attacker， but also the readers. In many exists the representative researches， the tags are only anonym ous and un traceable for the ou tside attackers. In this paper， the list of protocol and the the key updated of protocol are proposed， which allow RFID tags to au thenticate to readers w ithou t revealing the tag identity or any other information that allows tags to be traced. Compared w ith the scheme proposed by Arm knecht et al.， two schemes achieves anonymousness and untraceability authentication of RFID tags w ithout the help of anonym izer. Furthermore， the key updated of scheme make sure that the revocatory tags w ill not be still tracked by updating key .

Security protocol； Radio Frequency IDentification （RFID）； Anonym ity authentication

TP309

： A

：1009-5896（2015）05-1241-07

10.11999/JEIT140902

2014-07-09收到，2014-12-08改回

國家自然科學基金（61370203）和四川省教育廳科研項目基金（12ZB348）資助課題

*通信作者：許春香 chxxu@uestc.edu.cn