基于位重排變換的超輕量級RFID雙向認證協議

黃可可 劉亞麗 殷新春

摘 要：針對目前無線射頻識別（RFID）系統中閱讀器與標簽之間開放、不安全的無線信道易遭受惡意攻擊的安全問題，提出一種基于位重排變換的超輕量級RFID雙向認證協議——RRMAP。首先，位重排變換對兩組二進制數組進行第一階段逆序自組合變換達到自身位混淆效果;其次，將得到結果用于第二階段奇偶相鄰交叉異或操作，這樣就完成了整個位重排變換;最后，通過新定義位重排變換操作，并結合左循環移位運算和模2的m次方加運算對認證過程中的秘密通信數據進行加密，可以有效解決目前RFID系統中存在的安全問題。BAN邏輯形式化安全性分析和性能對比分析表明：RRMAP具有比較完備的安全和隱私保護屬性，能夠抵抗RFID系統所面臨的典型惡意攻擊方式。

關鍵詞：無線射頻識別;位重排變換;超輕量級協議;雙向認證;BAN邏輯

中圖分類號： TP309.7

文獻標志碼：A

Abstract： Focusing on the problem that open and insecure wireless channel between reader and tag in Radio Frequency IDentification （RFID） system is vulnerable to multiple malicious attacks， a new ultra-lightweight RFID Mutual Authentication Protocol based on Regeneration （RRMAP） was proposed. Firstly， the regeneration transformation of the first-stage reverse sequence self-combination transformation on two binary arrays was performed to achieve its own bit confusion effect. Secondly， the result of first-stage was used for the second-stage parity adjacent crossover-XOR operation， thus whole regeneration transformation was completed. Finally， through new definition of regeneration transformation， the left circular shift operation and modular 2^m addition operation were combined to construct secret communication messages during authentication process， which could effectively solve security problems existing in RFID system currently. The BAN （Burrows-Abadi-Needham） logic formal proof was given to show the availability of protocol. The security analysis and performance comparison show that RRMAP has strong security and privacy protection attributes which can resist some common malicious attacks.

Key words： Radio Frequency IDentification （RFID）; regeneration transformation; ultra-lightweight protocol; mutual authentication; BAN （Burrows-Abadi-Needham） logic

0 引言

無線射頻識別（Radio Frequency IDentification， RFID）技術是一種使用無線射頻技術在開放環境下能夠自動化識別物體和人等目標的技術。射頻識別技術具有非接觸性、可靠性高、認證方便快捷、防水、防磁、耐熱、使用壽命長、接觸距離遠、記憶靈活等優點[1]。根據RFID標簽的能量來源可分為有源標簽和無源標簽，標簽自身是否攜帶電源決定了標簽的工作方式。對于有源標簽，支持標簽內部計算等可以進行雙向認證操作;對于無源標簽，無法與閱讀器進行主動通信認證，其能量由閱讀器發送電磁信號提供，所以一般只作單向認證操作。RFID系統包含后端數據庫、閱讀器及標簽三部分。后端數據庫和閱讀器之間的通信信道一般被認為是安全可靠的[2]。基于后端數據庫和閱讀器之間是一條安全的傳輸信道，一般認為二者為一體。閱讀器和標簽之間通過不安全的無線信道通信，所以在兩端間交互傳輸的信息非常容易受到克隆攻擊[3-4]、假冒竊聽等各種各樣的惡意攻擊。RFID系統的安全性及信息隱私性受到極大威脅，在設計RFID通信協議時需要充分考慮通信的安全性及信息隱私的保護，如數據完整性、數據機密性、標簽匿名性、不可追蹤性等。針對RFID系統低成本標簽受到計算能力、存儲空間等諸多因素的限制，設計安全、高效、低成本的RFID認證協議是一個具有挑戰性的課題[2]。

1 相關研究工作

目前針對RFID認證協議的相關研究，國內外的眾多專家學者都做了大量的工作，文獻[5]依據標簽上的計算量和操作將RFID認證協議劃分為4類：1）重量級認證協議，是指支持傳統的對稱加密算法、單向函數加密、非對稱加密算法等，如文獻[6-8]的認證協議。2）簡單認證協議，是指支持偽隨機數生成器和單向散列函數等，如文獻[9-10]的認證協議。3）輕量級認證協議，是指需要偽隨機數發生器和簡單函數、CRC校驗碼函數等，如文獻[11-14]的認證協議。4）超輕量級認證協議，是指僅需要簡單的位運算操作（與、或、非、異或、移位等），如UMAP（Ultralightweight Mutual-Authentication Protocol）協議族[15-17]（LMAP（Lightweight Mutual Authentication Protocol）[15]、EMAP（Efficient Mutual-Authentication Protocol）[16]、M2AP（Minimalist Mutual-Authentication Protocol）[17]）、SASI（Strong Authentication and Strong Integrity）[5]協議、Gossamer[18]協議等。

對于超輕量級RFID認證協議，Peris-Lopez等2006年在文獻[15-17]中提出一系列超輕量級認證協議（LMAP[15]、EMAP[16]、M2AP[17]），然而在這三個協議中只使用了簡單的異或（XOR）、與（AND）、或（OR）和模2m加（mod 2m（+））運算。在文獻[19-20]中證實這些協議存在的一些安全漏洞，不能抵抗主動和被動攻擊。2007年Chien等在文獻[5]中提出了一種新的位變換運算左循環移位操作Rot（X，Y）（將參數X左循環移動wht（Y）個比特位，其中wht（Y）是X二進制數組的漢明重量）的超輕量級協議SASI[5]協議。在文獻[21]指出SASI[5]協議在對秘密信息生成時頻繁使用了與（AND）運算和或（OR）運算，導致輸出結果產生了很大的偏重性，標簽的隱私性不強且易受跟蹤攻擊。在文獻[21-24]中分析指出了SASI[5]協議的缺陷，如標簽跟蹤、非同步和密鑰泄露，不能抵抗拒絕服務攻擊和代數攻擊等。文獻[18]在SASI[5]協議安全隱患的分析下，引入了一種新的非線性的位變換運算MIXBITS函數，不使用導致輸出結果有較大偏重的與（AND）運算和或（OR）運算，提出一個新的超輕量級認證協議Gossamer[18]協議，文獻[25-26]指出Gossamer協議存在拒絕服務攻擊隱患，且Gossamer協議在標簽上的計算量和功耗很大，不滿足低成本RFID標簽的要求。文獻[27]中提出一種基于Per運算的RAPP（RFID Authentication Protocol with Permutation）協議，文獻[28]分析表明RAPP易受到去同步攻擊，文獻[29]中通過偽造、監聽攻擊，使其秘密信息全暴露。為了提高RFID系統的安全性，本文定義一種新的位重排變換運算，結合左循環移位（Rot（X，Y））運算和模2m加（mod 2m（+））運算提出一種新的RFID認證協議，稱作RRMAP（RFID Mutual Authentication Protocol based on Regeneration）。

2 位重排變換

2.1 位重排變換的定義

首先對位重排變換運算進行定義，設X，Y，Z是三個都有L位的二進制數組（L為偶數），分別表示為：

的形式。位重排變換Reg（X，Y）的運算過程主要分為逆序自組合變換和相鄰奇偶交叉異或變換兩個階段。

1）第一階段：逆序自組合變換。

①開始前設置一個閾值，該閾值是判斷每次是否繼續分組的依據，若分組后小組的漢明重量除以2下取整wht（Xi）/2」的值依舊大于等于該閾值則繼續迭代分組，直至分組后每個小組的漢明重量均小于該閾值則停止分組。直至分組后每個小組的漢明重量除以2下取整的值均小于該閾值則停止分組。

②二進制數組X進行逆序自組合變換，根據二進制數組X的漢明重量除以2下取整wht（Xi）/2」的值確定分組位置;得到分組位置后從二進制數值X的最高位根據數值0開始計數進行第一次分組，并且在分組后調換兩個小組的順序，即逆轉兩個小組順序。

③完成第一次分組后分別計算分組后的每個小組的漢明重量，然后判斷每個小組是否滿足停止分組的條件，若每個小組的漢明重量除以2下取整wht（Xi）/2」的值不小于定義的閾值，則繼續對不滿足停止分組條件的小組再根據分組依據wht（Xi）/2」的值從最高位依據0計數定位分組。

④直至每個小組都滿足自身的漢明重量除以2下取整wht（Xi）/2」的值小于設置的閾值，則停止分組。經過若干輪迭代分組后所有的小組滿足其自身的漢明重量除以2下取整wht（Xi）/2」的值小于定義的閾值，則二進制數組X第一階段逆序自組合變換結束，經過不斷分組逆序交換位置得到重新排列的二進制數組記為X′。

對于二進制數組Y作同樣逆序自組合變換，經過不斷分組逆序交換位置得到重新排列的二進制數組記為Y′。

2）第二階段：相鄰奇偶交叉異或變換。

第二階段相鄰奇偶交叉異或變換在第一階段的基礎上進行變換運算。具體定義是將二進制數組X，Y在完成第一階段逆序自組合變換得到的結果X′，Y′進行相鄰奇偶交叉異或變換操作，運算過程是二進制數組X′的奇數位置上的數值和二進制數組Y′的偶數位置上的數值進行異或運算（⊕），得到的二進制數組Z的形式表示如下：

其中：

2.2 位重排變換具體運算過程的舉例演示

為了便于理解位重排變換運算，演示一個示例說明。假設二進制數組X，Y的長度都為24位，具體數值如圖1所示。

其中二進制數組X的漢明重量為wht（X）=11，二進制數組Y的漢明重量wht（Y）=13，設置閾值T=3。根據位重排變換運算Reg（X，Y）的定義，二進制數組X的第一階段逆序自組合變換具體運算過程如圖2所示;二進制數組Y的第一階段逆序自組合變換具體運算過程如圖3所示;完成第一階段變換后的結果分別如圖4～5所示;第二階段的相鄰奇偶交叉異或變換的具體運算過程如圖6所示。

二進制數組Y的第一階段逆序自組合變換具體運算過程：二進制數組X的第一階段逆序自組合變換具體運算過程如圖2。

二進制數組X，Y分別完成第一階段逆序自組合變換后的結果表示為X′，Y′，具體數值如圖4～5所示。完成第一階段逆序自組合變換得到的結果X′，Y′將用于第二階段的相鄰奇偶交叉異或變換運算。

在圖2和圖3之間增加一句：二進制數組Y的第一階段逆序自組合變換具體運算過程：二進制數組Y的第一階段逆序自組合變換具體運算過程如圖3。

根據位重排變換第二階段相鄰奇偶交叉異或變換的定義，在示例中的二進制數組X，Y長度均為L=24，而第一階段變換只是進行位混淆置換操作，所以最終得到的二進制數組X′，Y′的長度也是L=24，那么Z的形式可以表示如下：

3.2 協議認證流程

RRMAP的整個認證過程可以分為4個階段：1）初始化階段;2）標簽識別階段;3）雙向認證階段;4）閱讀器、標簽更新階段。具體流程如圖7所示。

3.2.1 初始化階段

該階段是閱讀器、標簽數據的初始化階段，將產生的密鑰信息同步存儲到合法的閱讀器和標簽。

3.2.2 標簽識別階段

1）該階段閱讀器和標簽之間發生通信，而且是由閱讀器主動發起，閱讀器首先會向標簽發送一個挑戰信息，定義為“Query”，開始新的一輪認證周期。

2）標簽在收到挑戰信息后會對閱讀器發送回應信息，回應信息為此標簽的當前輪認證周期的標簽假名IDS。

3）閱讀器在收到標簽回應的標簽假名信息IDS后會在后端數據庫中進行查詢，如果是合法標簽發送的回應信息IDS，則閱讀器可以通過該標簽發送來的IDS在后端數據庫中查詢到匹配的信息。RRMAP中具體匹配過程是后端數據庫首先使用上一輪成功認證通信更新后的IDSnext進行匹配，若匹配成功則可以獲取其對應密鑰信息K（Knext1|Knext2|Knext3），并進入下一階段雙向認證階段;如果閱讀器接收的IDS在后端數據庫中匹配IDSnext沒有成功，則使用保留的上一輪認證通信的IDSold進行匹配，若IDSold匹配成功，則可以獲取到IDSold相相對應的密鑰信息K（Kold1|Kold2|Kold3）并繼續下一階段雙向認證階段;若經過兩次匹配都沒有成功，則終止認證，認為此標簽為非法標簽。

3.2.3 雙向認證階段

1）閱讀器生成信息A、B。

在完成第二階段標簽認證階段以后，閱讀器通過偽隨機數生成器（Pseudo-Random Number Generator， PRNG）生成兩個96位隨機數n1、n2。利用生成的偽隨機數n1及相應密鑰信息Ki，按信息A、B生成計算公式生成信息A、B，其中A=Rot（Reg（IDS，K1），K2）+n1，B=Reg（Rot（IDS，K2），n1+K1），發送信息A‖B給標簽。

2）標簽驗證閱讀器。

①標簽在收到閱讀器發送的信息A‖B后，首先拆分信息A‖B得到兩個獨立信息A、B，再根據信息A的生成計算公式進行反推提取出閱讀器生成并隱藏的隨機數。

②標簽根據信息B的生成計算公式，利用隨機數n1和標簽存儲的相應的密鑰信息Ki生成標簽端的信息B′=Reg（Rot（IDS，K2），n1+K1），通過比較接收到的信息B與標簽生成的信息B′是否相等，來確認交互信息的傳遞過程中是否安全：如果標簽生成信息B′和接收到閱讀器發送的信息B相等（B′=B），則表示信息A‖B在傳輸過程中是安全的，其中隱藏的隨機數n1也是安全傳輸的，此時標簽認證閱讀器合法，標簽成功認證閱讀器;如果標簽生成信息B′和接收到閱讀器發送的信息B不相等（B′≠B），則表示信息A‖B傳輸的過程中可能被攻擊、篡改或閱讀器不合法，即標簽認證閱讀器失敗，認證通信過程終止。

③在標簽成功認證閱讀器后，根據信息C生成計算公式生成消息C，其中C=Reg（Rot（K1，ID），n1+K2），并將信息C發送給閱讀器。

④閱讀器接收到標簽發送的信息C后，根據信息C的生成計算公式利用其存儲的相關信息ni，Ki生成閱讀器端的信息C′，其中C′=Reg（Rot（K1，ID），n1+K2），然后比較信息C′和接收到標簽發送的信息C是否相等：如果閱讀器的生成信息C′和接收到標簽發送的信息C相等（C′=C），則表示信息C安全傳輸且認為標簽合法，則閱讀器成功認證標簽;如果閱讀器生成信息C′和接收到標簽發送的信息C不相等（C′≠C），則表示信息C在傳輸過程中可能遭受攻擊、篡改或者標簽非法，即閱讀器認證標簽失敗，認證通信過程終止。

3.2.4 閱讀器、標簽更新階段

1）閱讀器更新階段。

閱讀器和標簽完成雙向認證階段后進入更新階段，閱讀器生成信息D、E，其中D=Rot（Reg（K3，n1），K2）+n2，E=Reg（Rot（K3，n1），n2+k1），連接合成信息D‖E并發送給標簽，然后閱讀器啟動更新，進行閱讀器更新。其中閱讀器中更新的相關信息分別為：

2）標簽再次驗證閱讀器。

①標簽在接收到閱讀器發送信息D‖E后，首先通過拆分信息D‖E得到兩個獨立的信息D、E，再根據信息D的生成計算公式反推提取出隨機數n2。

②標簽根據信息E的生成計算公式生成信息E′，其中E′=Reg（Rot（K3，n1），n2+K1），比較收到的信息E和生成的信息E′是否相等：若接收到的信息E和生成的信息E′相等（E′=E），則表示信息傳輸過程中安全，標簽再次驗證閱讀器，并且確認閱讀器已經啟動更新，則標簽也可以執行信息更新操作;若接收到的信息E和求得的信息E′不相等（E′≠E），則表示信息在傳輸中可能遭受攻擊、篡改，標簽不執行更新操作，認證終止。標簽中更新的相關信息為：

閱讀器和標簽兩端同步完成所有信息（IDS，K1，K2，K3，K4）的更新表示一個完整的認證周期完成。

4 BAN邏輯形式化分析和證明

本文采用BAN（Burrows-Abadi-Needham）邏輯分析方法對新提出來的RRMAP進行形式化證明。BAN邏輯是由Burrows、Abadi和Needham提出的基于信念的模態邏輯，其語法、推理步驟在文獻[30]中有詳細介紹。

BAN邏輯對協議進行形式化分析和證明，也就是通過BAN邏輯將協議用邏輯語言對協議的初始狀態進行初始化假設，建立初始假設集合;將協議的實際傳輸消息轉換為BAN邏輯能夠進行識別的形式化公式，建立理想化協議模型;通過應用BAN邏輯中的相關推理法則對協議進行形式化分析，逐步推導最終判斷協議是否能夠達到期望的安全目標。本文協議的BAN邏輯形式化分析如下。

4.1 協議描述

協議的理想化模型如下：

在該協議模型中，消息M1、消息M2傳輸形式都是明文傳輸，在分析過程中不作分析。消息M5作用是標簽用于確認閱讀器已經成功認證通知標簽啟動更新，所以也不作安全分析。主要的安全分析工作是將消息M3和消息M4轉換為形式化的語言并作安全分析。

密鑰K（K1|K2|K3）是閱讀器和標簽的共享密鑰，只有雙方知道而攻擊者無法獲取到該密鑰信息，所以假設P1、P2成立。IDS是閱讀器和標簽之間的共享秘密信息，雖然是明文傳輸但只是一個查詢條件，在生成相關秘密信息時使用的都是自身存儲的安全IDS，所以假設P3、P4成立。隨機數ni是由隨機數發生器在每一輪認證中不斷更新產生，通過加密傳輸，閱讀器和標簽都相信其新鮮性，所以假設P5、P6、P7、P8成立。默認合法信息B由閱讀器生成，標簽相信閱讀器對信息B有管轄權，信息C由標簽生成，閱讀器相信標簽對信息C有管轄權，所以假設P9、P10成立。

4.3 協議證明的安全目標

5 安全性分析

本章將對所提出的新的認證協議對主動攻擊、被動攻擊等惡意攻擊的抵抗能力及部分安全屬性進行安全分析。

5.1 對惡意攻擊抵抗能力的安全分析

5.1.1 抵抗位置跟蹤攻擊

RRMAP對于標簽的識別采用標簽假名IDS，不使用標簽的唯一靜態標識ID，而標簽假名IDS在經過一輪認證通信后會進行動態的更新，同時用于IDS更新的密鑰信息K1、K2、K3以及隨機數n1、n2在每一輪完整認證后也會進行更新。閱讀器和標簽之間通信交互的信息也是隨機化的信息，攻擊者不能從截獲兩端的通信交互信息來追蹤定義標簽，所以RRMAP能夠較好地抵御惡意的位置追蹤攻擊。

5.1.2 抵抗偽造攻擊

1）偽造標簽。

攻擊者通過杜撰一個密鑰信息K′而假冒為一個合法的標簽從而達到進行成功認證通信的目的。在RRMAP中，偽造標簽收到合法閱讀器發送交互信息A‖B后，從信息A中提取隨機數n1，因為偽造標簽的偽造密鑰信息K′與合法閱讀器K不同，所以偽造標簽無法提出隨機數信息n1，所以RRMAP能夠抵御標簽偽造攻擊。

2）偽造閱讀器。

攻擊者通過偽造合法閱讀器發送的信息A‖B來假冒合法閱讀器。攻擊者無法獲取合法閱讀器的密鑰信息和隨機數信息，所以發送的偽造信息A′‖B′和合法閱讀器使用密鑰信息和隨機數生成的信息A‖B不同。當合法標簽接收到假冒閱讀器發送偽造信息A′‖B′后，從信息A′中提取隨機數n1′，利用n1′計算信息B結果和接受接收的偽造信息B′不相等，即認證失敗，所以RRMAP能夠抵御閱讀器偽造攻擊。

5.1.3 抵抗去同步攻擊

去同步攻擊是一種主動的攻擊方式，就是攻擊者通過破壞閱讀器和標簽之間的消息的一致性，使兩端信息失去同步性。去同步攻擊有兩種攻擊方式：一種是對信息進行篡改，經過篡改的消息改變了原有信息意義，導致信息不一致而失去同步性;另一種方式是重傳攻擊，對通信認證中的消息進行重傳攻擊，中斷信息的傳遞，從而使信息失去同步性。

在RRMAP的設計中，在后端數據庫中對標簽假名IDS和密鑰信息K1、K2、K3都存儲了兩輪，即保留上一輪正常認證的相關信息IDSold、Kold1、Kold2、Kold3和更新后的相關信息：IDSnext、Knext1、Knext2、Knext3。如果遭受去同步攻擊閱讀器和標簽兩端信息更新不一致，當合法標簽再一次認證時標簽依舊使用未更新的信息進行認證，閱讀器首先使用更新的信息IDSnext、Knext1、Knext2、Knext3進行匹配，若匹配失敗則用存儲的上一輪成功通信的相關秘密信息IDSold、Kold1、Kold2、Kold3進行匹配，則可成功認證，所以RRMAP能夠抵御去同步攻擊。

5.1.4 抵抗重放攻擊

所謂重放攻擊就是在閱讀器和標簽進行認證通信過程中，攻擊者可以截獲閱讀器和標簽之間的交互信息，再偽裝成閱讀器向標簽重放信息或偽裝成標簽向閱讀器重放信息。

在RRMAP中，每當成功進行一輪認證通信后，閱讀器和標簽對于共享密鑰信息K1、K2、K3和共享標簽假名都會進行同步更新，在更新中每輪新產生的隨機數都會參與，即每一輪更新操作中的隨機數n1、n2都不相同。對于攻擊者截獲前一輪的交互信息進行重放攻擊均不會成功，所以RRMAP能夠抵御重放攻擊。

5.1.5 抵抗拒絕服務攻擊

在目前的RFID認證協議中，大部分都是由閱讀器發送挑戰信息，開始新的一輪認證周期，對于這類RFID認證協議可能會遭受攻擊者偽造并發送閱讀器的挑戰信息，造成標簽無法響應合法閱讀器的認證通信，或者攻擊者截獲終端標簽發送的響應信息，造成合法閱讀器無法收到合法標簽的響應信號。攻擊者可通過阻塞協議認證通信過程中的第三輪消息，即截獲中斷閱讀器發送給標簽的信息D‖E，造成閱讀器和標簽的更新失去同步，使得閱讀器認證標簽失敗而不再響應標簽消息。在RRMAP中由于閱讀器保存兩輪認證通信信息，所以可以抵抗拒絕服務攻擊。

5.2 其他安全屬性的分析

5.2.1 數據的完整性

RFID認證協議在認證周期中交互信息的數據完整性也就是信息發送端的數據可以安全完整地傳輸到信息接收端，在傳輸過程中若信息遭受篡改，信息接收端在收到信息后能夠識別信息的完整性遭到破壞。在RRMAP中閱讀器和標簽之間進行認證交互的信息（A‖B，C，D‖E）都是經過隨機數（n1，n2），共享密鑰信息K（K1|K2|K3）以及標簽假名IDS共同參與并多次變換的秘密信息，如果這些交互信息在傳輸過程中受到篡改，閱讀器和標簽都能夠識別，所以RRMAP能夠保證數據完整性。

5.2.2 數據的機密性

數據的機密性就是要求RFID認證協議所傳輸的交互信息在遭受攻擊者截獲后無法提取出相關的信息[31]。在RRMAP中，在每一輪認證期間所傳輸的交換信息（A‖B，C，D‖E）都是使用產生新的隨機數（n1，n2），共享密鑰信息K（K1|K2|K3）也是在更新后的密鑰信息，標簽假名IDS也是不斷動態更新的。即使攻擊者截獲相關交互信息，在沒有隨機數信息、密鑰信息的情況下也是無法破解出任何相關的秘密信息，所以，RRMAP能夠保證數據機密性。

5.2.3 前向安全性

前向安全性是攻擊者在獲取到認證通信中一些交互信息后不能從中推導出之前正確的秘密信息。在RRMAP中，在每成功完成一次認證通信后，對于所有的秘密信息K（K1|K2|K3），IDS都會執行更新操作，并且每個秘密信息更新運算中都會有其他多個秘密信息的參與，這樣更加保證每個秘密信息的隨機性，所以，RRMAP能夠保證認證通信的前向安全性。

5.2.4 雙向認證性

閱讀器和標簽之間進行相互通信的前提條件就是雙方都需要確認彼此是合法的，這樣可以有效避免發生合法閱讀器或者標簽和非法標簽或者閱讀器之間進行非法通信，保證RFID系統的安全。在RRMAP中閱讀器和標簽是雙向認證的，首先是標簽對閱讀器的認證，閱讀器在雙向認證階段首先發生信息（A‖B），在信息A中閱讀器隱藏隨機數n1，而信息B的生成也有隨機數n1的參與，標簽在收到信息（A‖B）后，從信息A中提取隨機數n1，并利用隨機數n1和自身密鑰信息生成信息B′，比較信息B和B′：若相等，則標簽成功認證閱讀器;否則認證閱讀器失敗認證終止。閱讀器對標簽的認證類似于標簽對閱讀器認證，接收到標簽發送信息C后，利用自身密鑰信息生成信息C′，比較信息C和C′：若相等，則閱讀器成功認證標簽;否則認證標簽失敗認證終止，所以RRMAP具有雙向認證性。

5.2.5 標簽匿名性和不可追蹤性

在RRMAP中將標簽的唯一靜態標識ID沒有明文傳輸而是加密傳輸，在標簽識別階段所使用的是標簽假名IDS，并且IDS在每完成一輪認證通信后都會進行更新。即使攻擊者截獲認證通信的交互信息也無法獲取到標簽的ID，所以，RRMAP具有標簽匿名性和不可追蹤性。

6 性能分析

6.1 安全性對比分析

安全性對比分析主要從第5章介紹的RFID認證協議對多種惡意攻擊的抵抗能力及部分安全屬性的角度進行分析。

RRMAP安全性能比較如表2所示。

6.2 資源消耗對比分析

本節將從標簽端的存儲空間消耗、信息生成時的計算開銷以及認證過程中的通信代價等三個方面對RRMAP進行性能分析和對比。其中RRMAP中存儲及交互的相關信息的長度為L，L=96bit。

6.2.1 標簽存儲空間消耗

RRMAP的標簽只要存儲標簽的唯一靜態標識ID、用于標簽識別的標簽假名IDS以及協議認證過程中生成交互信息的密鑰信息，標簽總的存儲空間消耗為4L。

6.2.2 計算開銷

RRMAP中主要包含三種位運算方式，分別是位重排變換運算（Reg（X，Y））、左循環移位（Rot（X，Y））運算以及模2m加（mod 2m（+））運算，以上所述運算方式在低成本的標簽上都可以進行有效的實現。

6.2.3 雙向認證通信量

RRMAP是一種雙向認證協議，在雙向認證階段首先是閱讀器發送信息A‖B完成標簽對閱讀器的認證，接著標簽向閱讀器發送信息C完成閱讀器對標簽的認證，最后閱讀器向標簽發送信息D‖E完成進一步認證。在雙向認證過程中總的通信量是5L。

RRMAP和部分經典的超輕量級RFID認證協議的資源消耗對比分析如表3所示。

RRMAP和部分經典的RFID認證協議安全屬性、抵御多種惡意攻擊等安全性的比較分析和標簽在存儲空間消耗、信息生成計算開銷及雙向認證總通信量等性能的比較分析結果如表2～3所示。分析比較結果表明：RRMAP能夠保證認證通信過程中交互信息的數據機密性、數據完整性、標簽匿名性、不可追蹤性，能夠抵御重放攻擊、中間人攻擊、偽造攻擊、去同步攻擊等多種惡意攻擊方式，滿足了RFID系統的安全和隱私需求;同時使用較少的存儲空間和較低的計算成本，在雙向認證的通信成本上作出少量犧牲以確保RFID安全認證的需求，因此更好地保證認證的安全，RRMAP整體滿足低成本標簽的需求。

7 結語

本文針對目前RFID系統中存在的安全問題，定義一種新的位重排變換Reg（X，Y），結合左循環移位Rot（X，Y）運算和模2m加（mod2m（+））運算，提出一種新的RFID認證協議——RRMAP。從安全性分析和性能分析結果來看，本文新提出的認證協議能夠抵抗多種攻擊，如位置跟蹤攻擊、偽造攻擊、去同步攻擊、拒絕服務攻擊等多種惡意攻擊方式，并且能夠保證數據機密性、數據完整性、數據前向安全性，同時標簽在存儲空間消耗、信息生成的計算開銷上都更有優勢，雙向認證的通信量上與同類RFID認證協議基本持平。通過BAN邏輯形式化推理證明表明本協議是安全的。RRMAP的整體設計滿足RFID系統在低成本標簽的認證要求。未來進一步研究內容：對于協議安全性需要使用形式化驗證工具進一步證明;需要結合相關攻擊模型進行模擬實驗進一步驗證協議的安全性。

參考文獻 （References）

[1] 黃玉蘭.物聯網射頻識別（RFID）核心技術詳解[M].北京：人民郵電出版社，2010：11-12.（HUANG Y L， RFID Core Technology based on Internet of Things [M]. Beijing： Posts & Telecom Press， 2010：11-12.）

[2] 周永彬，馮登國.RFID安全協議的設計與分析[J].計算機學報，2006，29（4）：581-589.（ZHOU Y B， FENG D G. Design and analysis of RFID security protocol[J]. Chinese Journal of Computers， 2006， 29 （4）：581-589.）

[3] BU K， WENG M， ZHENG Y， et al. You can clone but you cannot hide： a survey of clone prevention and detection for RFID[J]. IEEE Communications Surveys & Tutorials， 2017， 19（3）：1682-1700.

[4] BU K， LIU X， LUO J， et al. Unreconciled collisions uncover cloning attacks in anonymous RFID systems[J]. IEEE Transactions on Information Forensics & Security， 2013， 8（3）：429-439.

[5] CHIEN H Y. SASI： a new ultralightweight RFID authentication protocol providing strong authentication and strong integrity[J]. IEEE Transactions on Dependable & Secure Computing， 2007， 4（4）： 337-340.

[6] LIU Y L， QIN X L， WANG C， et al. A lightweight RFID authentication protocol based on elliptic curve cryptography[J]. Journal of Computers， 2013， 8（11）：2880-2887.

[7] JUELS A， MOLNAR D， WAGNER D. Security and privacy issues in e-passports[C]// Proceedings of the First International Conference on Security and Privacy for Emerging Areas in Communications Networks. Piscataway， NJ： IEEE， 2005： 74-88.

[8] KINOSHITA S， OHKUBO M， HOSHINO F， et al. Privacy enhanced active RFID tag[EB/OL]. [2018-01-15]. http：//www.lbenchindia.com/finalyearprojectdatasheets/RFID%20TAG.pdf.

[9] MOLNAR D， WAGNER D. Privacy and security in library RFID： issues， practices， and architectures[C]// Proceedings of the 11th Association for Computing Machinery Conference on Computer and Communications Security. New York： ACM， 2004： 210-219.

[10] WEIS S A， SARMA S E， RIVEST R L， et al. Security and privacy aspects of low-cost radio frequency identification systems [C]// Proceedings of the First International Conference on Security in Pervasive Computing. Berlin： Springer， 2004： 201-212.

[11] CHIEN H Y， CHEN C H. Mutual authentication protocol for RFID conforming to EPC Class 1 Generation 2 standards [J]. Computer Standards & Interfaces， 2007， 29（2）： 254-259.

[12] NGUYEN DUC D， PARK J， LEE H， et al. Enhancing security of EPCglobal Gen2 RFID tag against traceability and cloning [C]// SCIS 2006： Proceedings of the 2006 Symposium on Cryptography and Information Security. Hiroshima： Institute of Electronics， Information and Communication Engineers， 2006： 97-97.

[13] GILBERT H， ROBSHAW M， SIBERT H. Active attack against HB+-a provably secure lightweight authentication protocol[J]. Electronics Letters， 2005， 41（21）：1169-1170.

[14] JUELS A. Strengthening EPC tags against cloning [C]// Proceedings of the 4th ACM Workshop on Wireless security. New York： ACM， 2005： 67-76.

[15] PERIS-LOPEZ P， HERNANDEZ-CASTRO J C， TAPIADOR J M E， et al. LMAP： a real lightweight mutual authentication protocol for low-cost RFID tags [C]// Proceedings of the 2nd Workshop on Radio Frequency IDentification Security. Graz： [s.n.]， 2006： 6.

[16] PERIS-LOPEZ P， HERNANDEZ-CASTRO J C， ESTEVEZ-TAPIA-DOR J M， et al. EMAP： an efficient mutual-authentication protocol for low-cost RFID tags [C]// Proceedings of the 2006 International Conferences on On the Move to Meaningful Internet Systems： AWeSOMe， CAMS， COMINF， IS， KSinBIT， MIOS-CIAO， MONET. Berlin： Springer， 2006： 352-361.

[17] PERIS-LOPEZ P， HERNANDEZ-CASTRO J C， ESTEVEZ-TAPIADOR J M， et al. M2AP： a minimalist mutual-authentication protocol for low-cost RFID tags [C]// Proceedings of the 2006 International Conference on Ubiquitous Intelligence and Computing. Berlin： Springer， 2006： 912-923.

[18] PERIS-LOPEZ P， HERNANDEZ-CASTRO J C， ESTEVEZ-TAPIADOR J M， et al. Advances in ultra-lightweight cryptography for low-cost RFID tags： gossamer protocol [C] // Proceedings of 9th International Workshop on Information Security Applications. Berlin： Springer， 2008： 56-68.

[19] CHIEN H Y， HUANG C W. Security of ultra-lightweight RFID authentication protocols and its improvements [J]. ACM Operating System Review， 2007， 41（2）： 83-86.

[20] LI T Y， WANG G L. Security analysis of two ultra-lightweight RFID authentication protocols [J]. IFIP International Federation for Information Processing， 2007， 232（5/6）：14-16.

[21] PHAN C W. Cryptanalysis of a new ultralightweight RFID authentication protocol—SASI[J]. IEEE Transactions on Dependable & Secure Computing， 2009， 6（4）：316-320.

[22] CAO T， BERTINO E， LEI H. Security analysis of the SASI protocol [J]. IEEE Transactions on Dependable and Secure Computing， 2009， 6（1）： 73-77.

[23] SUN H M， TING W C， WANG K H. On the security of Chiens ultra-lightweight RFID authentication protocol[J]. IEEE Transactions on Dependable and Secure Computing， 2011， 8（2）： 315-317.

[24] DARCO P， DE SANTIS A. On ultralightweight RFID authentication protocols[J]. IEEE Transactions on Dependable & Secure Computing， 2011， 8（4）：548-563.

[25] 彭朋，趙一鳴，韓偉力，等.一種超輕量級的RFID雙向認證協議[J].計算機工程，2011，37（16）：140-142.（PENG P， ZHAO Y M， HAN W L， et al. Ultra-lightweight RFID mutual authentication protocol [J]. Computer Engineering， 2011， 37（16）：140-142.）

[26] FARZANEH Y， AZIZI M， DEHKORDI M， et al. Vulnerability analysis of two ultra lightweight RFID authentication protocols[J]. International Arab Journal of Information Technology， 2015， 12（4）：340-345.

[27] TIAN Y， CHEN G， LI J. A new ultralightweight RFID authentication protocol with permutation[J]. IEEE Communications Letters， 2012， 16（5）：702-705.

[28] LI W， XIAO M， LI Y， et al. Formal analysis and verification for an ultralightweight authentication protocol RAPP of RFID [C]// Proceedings of the 35th National Conference of Theoretical Computer Science. Berlin： Springer， 2017： 119-132.

[29] WANG S H， HAN Z J， LIU S J， et al. Security analysis of RAPP： an RFID authentication protocol based on permutation [EB/OL]. [2018-01-18]. https：//eprint.iacr.org/2012/327.pdf.

[30] 楊世平.安全協議及其BAN邏輯分析研究[D].貴陽：貴州大學.2007：54-73.（YANG S P. Analysis and research of security protocol with BAN logic[D]. Guiyang： Guizhou University， 2007：54-73.）

[31] 劉亞麗，秦小麟，王超.一種超輕量級RFID雙向認證協議[J].計算機科學，2013，40（12）：141-146.（LIU Y L， QIN X L， WANG C. Ultralightweight RFID mutual-authentication protocol[J]. Computer Science， 2013， 40（12）：141-146.）