抵抗物理克隆攻擊的車載遙控門鎖雙因子認證協議

劉長庚，劉亞麗*，陸琪鵬，李濤，林昌露，祝義

抵抗物理克隆攻擊的車載遙控門鎖雙因子認證協議

劉長庚1，2，3，劉亞麗1，2，3*，陸琪鵬1，2，3，李濤1，2，3，林昌露2，祝義1

（1.江蘇師范大學 計算機科學與技術學院，江蘇 徐州 221116； 2.福建省網絡安全與密碼技術重點實驗室（福建師范大學），福州 350117； 3.廣西密碼學與信息安全重點實驗室（桂林電子科技大學），廣西 桂林 541004）（ ? 通信作者電子郵箱liuyali@jsnu.edu.cn）

攻擊者通過偽造車輛遙控鑰匙發送的無線射頻識別（RFID）信號可以非法開啟車輛；而且當車輛遙控鑰匙丟失或被盜竊，攻擊者可以獲取鑰匙內部秘密信息并克隆出可用的車輛遙控鑰匙，會對車主的財產與隱私安全造成威脅。針對上述問題，提出一種抵抗物理克隆攻擊的車載遙控門鎖（RKE）雙因子認證（VRTFA）協議。該協議基于物理不可克隆函數（PUF）和生物指紋特征提取與恢復函數，使合法車輛遙控鑰匙的特定硬件物理結構無法被偽造。同時，引入生物指紋因子構建雙因子身份認證協議，消除車輛遙控鑰匙被盜用的安全隱患，進一步保障車載RKE系統的安全雙向認證。利用BAN邏輯對協議進行安全性分析的結果表明，VRTFA協議可以抵抗偽造攻擊、去同步攻擊、重放攻擊、中間人攻擊、物理克隆攻擊以及密鑰全泄漏攻擊等惡意攻擊，并滿足前向安全性、雙向認證性、數據完整性和不可追蹤性等安全屬性。性能分析表明，VRTFA協議與現有的RFID認證協議相比具有更強的安全性與隱私性和更好的實用性。

車載遙控門鎖；無線射頻識別；雙向認證；雙因子；物理不可克隆函數

0 引言

智能車輛作為物聯網技術的重要研究對象之一，是實現車聯網必不可少的載體［1］，車輛認證安全對于保障智能車輛通信安全至關重要。隨著互聯網通信技術的不斷發展，攻擊者的攻擊能力也逐漸變強，但國內現有的智能車輛認證機制還存在諸多不完善之處［2-3］，智能車輛在各種通信場景下均存在亟須解決的安全隱患。智能車輛常見通信場景［4］包括：車-人通信、車-車通信［1］、車-路通信［5］、車內通信以及車-云通信，其中車-人通信安全是保障車聯網安全的必不可少的前提條件。因此，設計安全高效的車載遙控門鎖（Remote Keyless Entry， RKE）認證協議以保障車聯網安全具有重要的研究意義。

隨著物聯網技術飛速發展，車輛被攻擊的案例越來越多［6］，智能車輛被非法闖入和盜竊的高比率也表明現有RKE技術在保障認證安全性方面十分脆弱［7-8］，但RKE的認證問題仍未受重視。汽車廠商只注重智能車輛功能的開發，僅通過類似車機編碼或固定憑證的方式試圖保障車輛的認證安全，但由于缺少信息的動態更新而導致車輛的認證安全問題層出不窮。目前主流汽車廠商制造的智能車輛存在射頻信號篡改、射頻信號竊取重放和遙控鑰匙遭到物理克隆等安全隱患［9-13］。現有的RKE認證方式已經無法滿足現階段車輛認證安全的性能需求，迫切需要設計安全高效的RKE認證協議以保障車聯網安全。

無線射頻識別（Radio Frequency IDentification， RFID）雙向認證協議［14］作為常見的物聯網安全認證方式，可以抵抗現有RKE認證中由于缺少認證命令碼的更新機制而導致的遙控鑰匙偽造攻擊與重放攻擊。針對遙控鑰匙存在被物理克隆攻擊的風險，物理不可克隆函數（Physical Uncloneable Function， PUF）［15］的引入可以避免遙控鑰匙遭到物理克隆攻擊。本文提出的RKE雙因子認證協議將RFID標簽嵌入車輛遙控鑰匙中，RFID閱讀器放置在車載閱讀器中，閱讀器和標簽通過無線射頻信號交互，利用RFID雙向認證協議保障RKE的認證和通信安全。由于RKE系統中遙控鑰匙體積較小，運算成本和存儲成本均受到限制，因此，輕量級RFID雙向認證協議符合RKE低成本的設計要求。綜上所述，設計一個適用于RKE的安全高效的RFID雙因子雙向認證協議具有重要的研究意義和實用價值。

本文的研究旨在針對當前RKE認證存在的安全問題，設計具有密鑰更新的RFID雙因子雙向認證協議，并應用于RKE場景。本文創新性地提出了一種抵抗標簽物理克隆的車載RKE雙因子認證（Vehicle RKE Two-Factor Authentication， VRTFA）協議以保障RKE的認證安全。本文的主要工作如下：

1）RKE認證：在RKE場景下引入RFID雙因子雙向認證替代識別循環認證命令碼的認證方式，利用哈希函數、密鑰更新機制和隨機數機制等技術彌補RKE現有加密認證方式的不足，增加了攻擊者竊聽并破解無線射頻信號的難度，為安全性薄弱的RKE系統提供高效安全的認證。

2）抵抗物理克隆攻擊：將PUF置于RKE的遙控鑰匙中，使合法車輛遙控鑰匙的特定硬件物理結構無法被偽造，防止遙控鑰匙電子控制原件中的加密算法和密鑰被克隆而導致的物理克隆攻擊。

3）抵抗密鑰全泄露攻擊：采用數據庫間接存放參與認證的密鑰以抵抗由于數據庫泄漏而導致的密鑰全泄漏攻擊。在保障RKE系統安全雙向認證的同時沒有增加認證雙方的計算代價，為抵抗密鑰全泄露攻擊的RFID認證協議的設計提供了新思路。

4）雙因子認證：本文VRTFA協議采用生物指紋因子和傳統密鑰因子相結合的方式構建雙因子認證，提高了RKE認證的安全性和隱私性，消除了現有單因子認證協議無法防止遙控鑰匙被盜用非法開啟車輛的安全隱患。

5）強安全性：本文VRTFA協議具有良好的安全性和隱私性，滿足數據完整性、前向安全性、不可追蹤性和雙向認證性等多種安全屬性，且可以抵抗去同步攻擊、偽造攻擊、重放攻擊、中間人攻擊、物理克隆攻擊以及密鑰全泄漏攻擊等惡意攻擊。

1 相關工作

單因子認證協議是基于單因子（口令或密鑰）的認證協議，局限性在于它的安全性僅基于協議當前使用口令的安全性，現有單因子協議［16-21］大多無法抵抗密鑰全泄漏攻擊。Das等［22］引入智能卡因子設計認證協議，開啟了無線傳感器網絡環境下雙因子認證的新篇章。Wang等［23］提出了匿名雙因子認證協議的基本評估指標，為后來的學者更好地設計匿名雙因子協議提供了參考和幫助。2019年，李文婷等［24］在文獻［23］的基本評估指標下總結了抵抗各種惡意攻擊的雙因子認證協議的設計策略。2020年，Qiu等［25］提出了一種基于移動輕型設備擴展混沌映射的可證明安全的多因子認證協議，采用“模糊驗證”和“Honeywords”技術保障協議認證的安全性。現有的無線傳感器網絡場景下通過上述雙因子認證協議［22-25］可以抵抗數據庫泄漏導致的密鑰全泄漏攻擊，提高了認證的安全性，但智能卡因子不適用于成本受限的RKE應用場景。目前車載RKE認證仍以單因子認證為主，一旦唯一的認證碼因子被竊聽破解，RKE將受到安全威脅。由于體積較小的遙控鑰匙無法引入智能卡作為第二個認證因子，設計基于生物指紋為第二因子的雙因子認證協議更適用于成本受限的RKE認證。

綜上所述，現有的RFID單因子認證協議不僅存在物理克隆攻擊的安全隱患，還無法抵抗密鑰全泄漏攻擊；同時僅依賴密鑰作為唯一認證因子的單因子協議無法滿足RKE的需求，無法抵抗由于遙控鑰匙盜用導致非法開啟車輛的威脅。因此，本文提出一種車載RKE雙因子認證（VRTFA）協議，可以抵抗物理克隆攻擊和密鑰全泄漏攻擊，同時引入生物指紋因子作為第二因子使得遙控鑰匙被盜用不會對RKE安全造成威脅，可為RKE系統提供高效安全的認證。

2 相關知識

2.1　雙因子認證

雙因子認證的安全性不僅依賴于存儲在數據庫上的口令密碼的驗證表，而且利用兩個因子共同保障認證協議的安全性［23-24］。這是雙因子認證協議相對于單因子認證的關鍵優勢。因為后者的安全性僅依賴服務器上維護的敏感口令因子，一旦加密傳輸的口令因子被竊聽破解，整個認證協議的安全性會受到威脅，任何獲取到泄漏的口令因子的惡意攻擊者都可以進行偽造攻擊破壞認證協議的安全性。引入智能卡或者生物指紋等作為口令以外的第二個因子，第一因子的口令遭到泄漏時如果沒有第二個智能卡因子一起參與認證，攻擊者也無法通過認證協議的認證。雙因子共同參與認證，兩者相對獨立又缺一不可，彌補了單因子認證依賴唯一因子的局限性，提高了認證安全性。

2.2　車載遙控門鎖系統結構

RKE系統由遙控鑰匙、車載閱讀器（即無線信號接收器）、主機數據庫端（車身控制模塊）構成［6］。通常來說，RKE的認證流程如下：

1）合法遙控鑰匙內部存有多個認證命令碼可以支持RKE系統認證通信時循環使用；

2）車主按下遙控鑰匙上的按鈕，遙控鑰匙發出包含認證命令碼的無線射頻信號；

3）車載閱讀器收到無線射頻信號反饋給智能車輛車身控制模塊其中的消息認證模塊，消息認證模塊驗證該信號為正確命令后，智能車輛執行打開或關閉門鎖的操作。

目前RKE的安全性僅依賴于循環使用的認證命令碼的保密性，而認證命令碼缺少更新會導致安全隱患。攻擊者可利用RKE的安全缺陷非法開啟智能車輛，盜竊智能車輛內的物品或智能車輛本身。例如：攻擊者通過截獲無線信道公開傳輸的信息，可偽造遙控鑰匙的無線射頻信號發送給車載閱讀器試圖非法開啟車輛。

3 VRTFA協議

3.1　符號說明

本文提出的VRTFA協議所涉及的相關符號名稱及描述如表1所示。

表1　符號說明

3.2　VRTFA協議流程

VRTFA協議分為以下四個階段：1）注冊階段；2）遙控鑰匙識別用戶階段；3）雙向認證階段；4）密鑰更新階段。

3.2.1VRTFA協議注冊階段

注冊階段不僅支持同一用戶可以錄入多個生物指紋，還支持錄入多個用戶的生物指紋。不同指紋注冊與認證過程互相獨立，遙控鑰匙可存儲多個生物指紋對應不同的、T和R。但遙控鑰匙內部只存儲唯一的標識。以用戶錄入單個生物指紋因子為例的注冊過程如圖2所示。

圖1　VRTFA協議注冊階段

步驟1 遙控鑰匙錄入用戶生物指紋信息，生成相應的與T，利用生物特征提取函數和物理不可克隆函數計算（）=（，），=（‖T‖）。遙控鑰匙將生物指紋信息和參數舍棄，保存、T和。

步驟2 遙控鑰匙將T和發送給車載閱讀器，車載閱讀器生成相應的密鑰R，計算=（‖），并舍棄T和，保存。

3.2.2VRTFA協議遙控鑰匙識別用戶階段

遙控鑰匙采集用戶生物指紋后利用指紋恢復函數恢復協議注冊階段舍棄的參數'=（，），計算'=（‖T‖'），驗證'是否和相等。驗證成功則表示用戶生物指紋合法，遙控鑰匙識別用戶后進入雙向認證階段，否則遙控鑰匙不繼續向車載閱讀器發送認證請求，如圖2所示。

3.2.3VRTFA協議雙向認證階段

遙控鑰匙驗證用戶成功后進入雙向認證階段，如圖2所示。雙向認證階段實現遙控鑰匙、車載閱讀器和數據庫之間兩兩認證，具體步驟如下：

步驟1 遙控鑰匙發送給車載閱讀器請求認證，車載閱讀器驗證合法后產生隨機數1，計算1=（‖）⊕1和2=（‖1），若驗證不成功則車載閱讀器不作響應。

步驟3 遙控鑰匙標簽發送3‖4‖5給車載閱讀器，車載閱讀器運算得到'、T'、'和5'，驗證是否滿足'=，5'=5。驗證成功則說明遙控鑰匙合法并且發送的消息完整未篡改，車載閱讀器將產生隨機數2，計算6=2⊕（⊕），7=⊕（‖2），8=T⊕（‖‖2）； 若驗證失敗則車載閱讀器不作任何回應。

步驟4 車載閱讀器發送‖6‖7‖8給數據庫。數據庫運算得到2'、'和T'，數據庫計算S'=⊕（‖T'），'=（‖T'‖S'‖'） mod0，驗證'和是否相等。若驗證成功則數據庫對車載閱讀器和遙控鑰匙驗證成功，計算9=（S⊕2），并進入密鑰更新階段；若驗證失敗數據庫不作任何回應。

步驟5 數據庫發送9給車載閱讀器，只有合法車載閱讀器擁有R計算出S'=（R‖）⊕T和9'=（S'⊕2），驗證9'和9是否相等。驗證成功則說明車載閱讀器驗證數據庫合法，計算10=（‖T‖）⊕2，11=（‖T‖‖2），車載閱讀器進入密鑰更新階段；若驗證失敗，車載閱讀器不作任何回應。

圖2　VRTFA協議認證階段

步驟6 遙控鑰匙收到車載閱讀器發送的10‖11，計算2'和11'=（‖T‖‖2'），驗證11'和11是否相等。如果相等則說明遙控鑰匙和車載閱讀器以及數據庫的雙向認證成功，遙控鑰匙標簽進入密鑰更新階段；若驗證失敗遙控鑰匙不作任何回應。

3.2.4VRTFA協議密鑰更新階段

VRTFA協議雙向認證階段成功后進入密鑰更新階段，實現遙控鑰匙、車載閱讀器和數據庫之間密鑰的同步更新，具體步驟如下：

步驟1 數據庫收到車載閱讀器發送的消息‖6‖7‖8，計算'=（‖T'‖S'‖'） mod0，驗證'和是否相等。若驗證成功則數據庫對車載閱讀器和遙控鑰匙驗證成功，更新密鑰和假名Tnew=（T‖2⊕），Rnew=（（R‖）⊕2），new=（‖2），計算Snew、new和new，舍棄Snew、、Tnew和Rnew，若驗證失敗數據庫不作任何回應。

步驟2 車載閱讀器收到數據庫發送的9，驗證9是否合法，驗證成功則說明驗證數據庫合法，車載閱讀器進入密鑰更新階段，車載閱讀器更新new、Rnew和new，舍棄Tnew和；若驗證失敗，車載閱讀器不作任何回應。

步驟3 遙控鑰匙收到車載閱讀器發送的10‖11，計算2'和11'=（‖T‖‖2'），驗證11'和11是否相等。如果相等則說明遙控鑰匙和車載閱讀器以及數據庫的雙向認證成功，遙控鑰匙進入密鑰更新階段，遙控鑰匙更新new、Tnew和new，舍棄和；若驗證失敗遙控鑰匙不作任何回應。

4 BAN邏輯分析與證明

本章采用BAN［26］邏輯分析方法對本文的VRTFA協議進行形式化安全性證明。

4.1　BAN邏輯構件的語法

在BAN邏輯模型中，和通常用于分別表示兩個通信實體［27］，一些符號用于表示實體之間的交互過程。主要使用的表達式如下：

4.2　BAN邏輯推理規則

BAN邏輯主要有如下推理法則［26］（僅列出本文涉及的主要推理規則）：

R1（message-meaning rule消息含義法則）：

上式說明，相信與之間共享密鑰信息，且接收到用做密鑰的加密信息，則可以推出相信曾經發送過消息。

R2（nonce-verification rule臨時驗證法則）：

上式說明，相信消息是新鮮的，且相信曾經發送過消息，則可以推出相信與的真實性。

R3（freshness rule消息新鮮性法則）：

上式說明，相信消息是新鮮的，則可以推出相信和級聯的整體信息也是新鮮的。

R4（jurisdiction rule管轄權法則）：

上式說明，相信對有管轄權，且相信相信的真實性，則可以推出相信的真實性。

4.3　VRTFA協議的形式化描述

為了便于描述，定義三個角色，分別為：、與分別表示參與協議通信方數據庫、車載閱讀器和遙控鑰匙。VRTFA協議的理想化模型描述如下：

在VRTFA協議中，message1僅表示發起認證通信協商的簡單請求，以明文傳輸所以不做安全分析證明。message2～message6是車載閱讀器和數據庫間在無線信道上進行的消息通信，需要進行安全分析證明。因此，主要利用BAN邏輯模型形式化分析message2～message6的安全性，其形式化描述可以轉換為如下形式，其中為了便于描述，符號表示鑰匙的、、偽隨機數和密鑰等秘密信息。

4.4　初始化假設

VRTFA協議滿足以下基本假設：

4.5　安全目標

通過4.3節分析可知，VRTFA協議安全性證明的5個目標如下：

其中：安全目標G1是指遙控鑰匙信任消息1和2的真實性；安全目標G2是指車載閱讀器信任消息3、4和5的真實性；安全目標G3是指數據庫信任消息、6、7和8的真實性；安全目標G4是指車載閱讀器信任消息9的真實性；安全目標G5是指遙控鑰匙信任消息10、11的真實性。

4.6　安全目標證明

VRTFA協議安全性證明的5個目標分析推理證明過程如下：

1）由message2，根據假設A3、A20和規則R1，可以推導出：

根據假設A9和A13和規則R3可以推導出：

根據推導出的F1、F2和規則R2可以推導出：

根據假設A15、推導出的F3和規則R4最終可以推導出：

綜上所述，安全目標G1得證。

2）由message3，根據假設A1、A21和規則R1，可以推導出：

根據假設A7和A12和規則R3可以推導出：

根據推導出的F5、F6和規則R2可以推導出：

根據假設A16、推導出的F7和規則R4最終可以推導出：

綜上所述，安全目標G2得證。

3）由message4，根據假設A5、A22和規則R1，可以推導出：

根據假設A8、A11和A14和規則R3可以推導出：

根據推導出的F9、F10和規則R2可以推導出：

根據假設A17、推導出的F11和規則R4最終可以推導出：

綜上所述，安全目標G3得證。

4）由message5，根據假設A2、A23和規則R1，可以推導出：

根據假設A7和A12和規則R3可以推導出：

根據推導出的F13、F14和規則R2可以推導出：

根據假設A18、推導出的F15和規則R4最終可以推導出：

綜上所述，安全目標G4得證。

5）由message6，根據假設A3、A24和規則R1，可以推導出：

根據假設A10和A13和規則R3可以推導出：

根據推導出的F17、F18和規則R2可以推導出：

根據假設A19、推導出的F19和規則R4最終可以推導出：

綜上所述，安全目標G5得證。

綜上證明結果可知VRTFA協議能夠達到期望的安全目標，因此，VRTFA協議是安全的。

5 VRTFA協議安全性分析

本章對VRTFA協議的數據完整性、前向安全性、不可追蹤性、雙向認證性等安全屬性以及對去同步攻擊、偽造攻擊、重放攻擊、中間人攻擊、物理克隆攻擊、密鑰全泄漏攻擊等多種惡意攻擊的抵抗能力進行分析。

5.1　安全屬性分析

5.1.1數據完整性

數據完整性［28］指認證雙方發送的消息中途未經篡改并完整傳輸到接收端的能力，VRTFA協議中認證雙方利用單向哈希函數對接收到的消息進行完整性校驗。例如車載閱讀器給遙控鑰匙發送消息1和2，其中1=（‖）⊕1和2=（‖1）。為了防止攻擊者對消息1篡改導致遙控鑰匙無法驗證隨機數1的完整性，車載閱讀器對包含隨機數1在內的數據進行哈希運算得到2一并發送給遙控鑰匙，最終遙控鑰匙通過驗證2的合法性的同時校驗了1中的1數據完整性。同理遙控鑰匙發送消息3、4和5給車載閱讀器，其中3=⊕（⊕1），4=T⊕（⊕1），5=（‖T‖‖1）。可見5由3、4內包含的與T在內的秘密信息進行哈希運算得到，所以車載閱讀器接收消息后可通過從3、4提取出與T并對消息5驗證，若驗證成功則說明接收的消息3、4內與T未被篡改。因此，VRTFA協議可以保障認證過程中交互消息的數據完整性。

5.1.2前向安全性

前向安全性［29］是指攻擊者無法通過本輪次認證的加密密鑰和加密消息破解歷史認證輪次的密鑰和加密消息。VRTFA協議在一輪認證結束時使用隨機數和單向哈希函數對設備的假名、加密密鑰與認證參數進行更新，例如Tnew=（T‖2⊕），Rnew=（（R‖）⊕2），new=（‖2），在更新階段引入隨機數保證了每輪認證假名、加密密鑰和認證參數的新鮮性，攻擊者無法通過單向哈希函數的運算結果推導出之前歷史輪次的假名、加密密鑰與認證參數。因此，VRTFA協議可以保障認證過程的前向安全性。

5.1.3不可追蹤性

不可追蹤性［30］是指攻擊者無法通過持續監聽并分析截獲的消息，從而確定RFID標簽的具體位置。RKE利用遙控鑰匙發送的循環認證命令碼驗證并開啟車輛，而認證命令碼不更新且數量有限。攻擊者可以通過竊聽并識別專屬于某個車輛的認證命令碼并判斷車主當前位置在竊聽范圍內，甚至通過截獲認證命令碼的發送時間判斷車主停車與離開的時間，所以現有的RKE并不滿足不可追蹤性。而VRTFA協議中假名、加密密鑰與認證參數每輪認證結束時都進行更新，每輪認證遙控鑰匙和車載閱讀器發送的隨機化消息都具有新鮮性，所以攻擊者無法利用竊聽的消息追蹤到具體車輛。因此，VRTFA協議可以保障認證過程中交互消息的不可追蹤性。

5.1.4雙向認證性

雙向認證性［31］是在通信雙方成功認證彼此身份是否合法，也是通信雙方認證成功必不可少的前提。VRTFA協議中以車載閱讀器發送‖6‖7‖8給數據庫為例，只有合法數據庫才可以從消息中運算得到2'、'和T'，接著計算S'=⊕（‖T'），'=（‖T'‖S'‖'） mod0，驗證'和成功則數據庫對車載閱讀器驗證成功。然后數據庫計算9=（S⊕2）發送給車載閱讀器，而只有擁有R的合法車載閱讀器可以計算出S'=（R‖）⊕T和9'=（S'⊕2），驗證9'和9成功則車載閱讀器對數據庫驗證成功，最終車載閱讀器與數據庫雙向認證成功。因此，VRTFA協議可以保障認證過程的雙向認證性。

5.2　抵抗惡意攻擊的安全分析

5.2.1去同步攻擊

去同步攻擊［32］是指阻止認證雙方同步進行假名、密鑰在內的認證信息更新而導致認證某一方密鑰等認證信息未成功更新，最終使得合法認證雙方由于假名和密鑰等信息不一致無法彼此雙向認證的安全隱患。在VRTFA協議中認證雙方在進行密鑰更新時不舍棄上一輪次的歷史密鑰、假名與認證參數，所以在通信雙方利用VRTFA協議存放兩輪認證信息的方式可以防止去同步攻擊。例如上輪認證結束時遙控鑰匙更新假名new、Tnew和認證參數new，同時也保留著上輪使用的、T和認證參數。若車載閱讀器未成功更新new、Rnew和new將運算出1=（‖）⊕1和2=（‖1）發送給遙控鑰匙，遙控鑰匙無法利用更新的new從1和2獲取并驗證隨機數1，則遙控鑰匙可以使用存放上一輪的獲取隨機數并驗證2合法性，成功在去同步攻擊下完成對車載閱讀器合法性的認證。因此，VRTFA協議可以抵抗去同步攻擊。

5.2.2偽造攻擊

偽造攻擊［33］指攻擊者偽造發送端的消息發送給接收端并被成功認證為合法發送端。VRTFA協議中攻擊者在沒有獲取合法密鑰和認證參數的條件下無法隨意偽造出可被認證雙方驗證成功的認證消息。例如攻擊者試圖偽造車載閱讀器發送給遙控鑰匙的消息10和11，其中10=（‖T‖）⊕2，11=（‖T‖‖2）。而攻擊者在未知、T、和2的情況下無法偽造出合法可被遙控鑰匙驗證通過的10和11。因此，VRTFA協議可以抵抗偽造攻擊。

5.2.3重放攻擊

重放攻擊［34］是攻擊者通過竊聽認證通信的過程中交互消息，攻擊者偽裝自己是合法實體將截獲的歷史輪次消息重放給認證的另一端實體并被驗證成功。以往RKE的認證命令碼認證方式下存在重放攻擊的風險，由于數量有限的認證命令碼是循環使用且不更新的，所以攻擊者可以通過之前竊聽截獲的認證命令碼發送給車載閱讀器并且通過驗證。而VRTFA協議利用輕量級加密運算、單向哈希函數、密鑰更新機制以及隨機數機制使得每輪發送的認證消息具有隨機性和新鮮性。比如攻擊者利用上輪截取遙控鑰匙的消息3=⊕（⊕1）、4=T⊕（⊕1）和5=（‖T‖‖1），將3‖4‖5發送給車載閱讀器，而車載閱讀器假名已經更新為new，并且本輪車載閱讀器隨機產生的1new也與上次使用的1不一樣，所以攻擊者重放的3、4和5將無法通過驗證。因此，VRTFA協議可以抵抗重放攻擊。

5.2.4中間人攻擊

中間人攻擊［34］是指攻擊者在認證雙方中間發揮消息轉發的作用的同時，修改竊聽交互消息的方式來達到攻擊目的。而中間人攻擊在RKE場景下對認證安全性的威脅不大，用戶與車輛的距離近導致無線射頻信號送達的時間過短，給攻擊者實施中間人攻擊提供了較大的難度。此外VRTFA協議可以抵抗偽造攻擊并且通過單向哈希函數驗證消息完整性，所以攻擊者實施中間人攻擊時篡改的認證消息將無法被驗證通過。因此，VRTFA協議可以抵抗中間人攻擊。

5.2.5物理克隆攻擊

物理克隆攻擊［35］是指攻擊者通過復制電子控制元件中的加密算法和密鑰從而克隆出車輛的遙控鑰匙，最終在未經合法授權的條件下非法開啟車輛。VRTFA協議利用PUF對不同硬件物理結構的產生的隨機響應不同且不同預測的特性，由于在生產制造過程中自然發生的物理變化具有獨特的硬件物理特性導致制造出兩個完全相同的芯片的可能性微乎其微，使攻擊者僅復制電子控制元件中的加密算法和密鑰的條件下無法對遙控鑰匙成功克隆。此外具備基于密鑰因子與指紋因子的VRTFA雙因子協議將影響到攻擊者克隆的遙控鑰匙的可用性。即使攻擊者獲取合法遙控鑰匙，由于沒有合法用戶的生物指紋因子信息，所以攻擊者無法通過遙控鑰匙對用戶采集生物指紋的認證。例如遙控鑰匙向車載閱讀器發送消息之前會采集用戶生物指紋后利用指紋恢復函數恢復協議注冊階段舍棄的參數'=（，），計算'=（‖K‖'），驗證'是否和遙控鑰匙內存放的認證參數是否相等。驗證成功則表示用戶生物指紋合法，否則遙控鑰匙不向車載閱讀器發送認證請求。因此，VRTFA協議可以抵抗物理克隆攻擊。

5.2.6密鑰全泄漏攻擊

現有RFID認證協議將標簽與閱讀器等所有認證方密鑰信息均明文存放在數據庫中，攻擊者只需攻擊后臺數據庫就可以獲取標簽與閱讀器等其他認證設備的密鑰信息，造成密鑰全泄漏攻擊［36］。VRTFA協議利用密鑰信息提前運算出認證參數并間接驗證的認證方式，防止由于數據庫泄漏導致對整個認證協議產生密鑰全泄漏的安全威脅。具體實現方式是數據庫在注冊階段或上一輪認證階段利用密鑰和生物指紋因子等秘密值運算出下次認證階段使用的認證參數。數據庫內只存放假名、以及認證參數，并且遙控鑰匙和車載設備均只存儲自身設備的密鑰并不存儲其余認證設備密鑰和生物指紋因子在內的秘密信息。在認證階段數據庫利用認證參數提取驗證信息從而實現安全雙向認證，而攻擊者即使攻擊數據庫獲取到認證參數也無法推導出車載閱讀器與遙控鑰匙的秘密信息。例如注冊階段車載閱讀器將T‖R‖發送給數據庫，數據庫計算相應的認證參數S=（R‖）⊕T，=S⊕（‖T），=（‖T‖S‖） mod0。最后數據庫不存儲車載閱讀器密鑰T、遙控鑰匙密鑰R和生物指紋因子參數，只存儲認證參數、和0以備后續認證。即使攻擊者攻擊數據庫并獲取到認證參數、和0也無法提取出T、R和等密鑰信息。因此，VRTFA協議可以抵抗密鑰全泄漏攻擊。

5.3　安全屬性分析

Scyther［37］是一種協議安全性分析驗證的工具，以下將利用Scyther工具對VRTFA協議進行安全性分析驗證。

在VRTFA協議建模中，定義三個角色D、R與T，分別表示參與協議通信方的主機數據庫、車載閱讀器和遙控鑰匙。本文利用Scyther分析驗證VRTFA協議的安全性，結果如圖4所示。其中：Secret、Alive、Weakagree、Niagree和Nisynch分別用于檢測密鑰泄露、重放攻擊、中間人攻擊等惡意攻擊。分析結果表明：Scyther工具無法找到針對VRTFA協議的任何惡意攻擊，因此VRTFA協議能夠保證遙控鑰匙與車載閱讀器以及主機數據庫之間的秘密信息安全。

圖3　Scyther工具驗證VRTFA協議安全性的結果

6 VRTFA協議性能分析

6.1　安全性對比分析

VRTFA協議和現有典型RFID雙向認證協議［16-17，20-21］的安全性對比分析如表2所示，其中Yes表示該協議滿足該安全性，No表示不滿足該安全性。通過表2可以得出與現有RFID雙向認證協議［16-17，20-21］相比，VRTFA協議具有更高的安全性，可以抵抗文獻［16-17］中協議無法抵抗的物理克隆攻擊和文獻［16-17，20-21］中協議無法抵抗的密鑰全泄漏攻擊。

6.2　性能對比分析

6.2.1存儲開銷對比分析

在存儲開銷方面，VRTFA協議中遙控鑰匙需要存儲的信息包括標簽，標簽假名認證參數、、密鑰T和oldold、Told共8個單位長度的數據，所以標簽存儲開銷為8。文獻［16］協議的標簽存儲開銷為3，文獻［17］協議的標簽存儲開銷為3，文獻［20］協議的標簽存儲和個PID開銷為（+1）*，文獻［21］協議的標簽存儲和個PID開銷為（+1）*。VRTFA協議雖然存儲開銷大于文獻［16-17］協議，但是安全性更高。此外，VRTFA協議不僅存儲開銷小于文獻［20-21］協議，而且可以解決文獻［20-21］協議存在的密鑰全泄漏安全隱患。

表2　VRTFA協議與其他RFID認證協議的安全性對比分析

6.2.2計算代價對比分析

在計算代價方面，利用運算函數的執行次數對比VRTFA協議與其他RFID認證協議的計算代價，其中H表示計算一次哈希函數的計算量，R表示產生一個隨機數的計算量，X表示一次異或運算的計算量，E表示一次對稱加解密的計算量，P表示計算一次PUF的計算量，C表示計算一次循環校驗函數的計算量。

文獻［16］協議：標簽端執行了2次循環校驗函數和3次異或運算；閱讀器與數據庫（以下簡稱服務端）一共執行了5次循環校驗函數和4次異或運算。

文獻［17］協議：標簽端執行了2次對稱加密運算和7次哈希函數；服務端一共執行了10次對稱加密運算、14次哈希函數和2次隨機數運算。

文獻［20］協議：標簽端執行了1次隨機數運算、3次PUF、6次哈希函數和3次異或運算；服務端一共執行了1次隨機數運算、1次PUF、6次哈希函數和2次異或運算；標簽端執行了1次隨機數運算、4次PUF、7次哈希函數和4次異或運算；服務端一共執行了2次隨機數運算、7次哈希函數和4次異或運算。

VRTFA協議的標簽端執行了2次PUF、9次哈希函數和7次異或運算；服務端一共執行了2次隨機數運算、28次哈希函數和17次異或運算。

文獻［16］協議僅使用輕量級運算所以計算代價最低，而物理克隆攻擊的難度也最低。文獻［17］協議使用對稱加密運算導致計算代價比VRTFA協議高。文獻［20-21］協議標簽會產生隨機數的開銷，VRTFA協議為減少遙控鑰匙的計算代價，由服務器端負擔隨機數運算的開銷，所以文獻［20-21］協議標簽端的計算代價比VRTFA協議高。文獻［20-21］協議中閱讀器僅用作轉發消息，閱讀器本身不參與運算也不存儲密鑰，這樣雖然降低了文獻［20-21］協議服務器端計算代價，但也存在缺少閱讀器與數據庫之間的雙向認證的安全隱患；而VRTFA協議實現雙向認證的同時，可以抵抗文獻［20-21］協議無法抵抗的密鑰全泄漏攻擊，具有更高的安全性。

6.2.3通信開銷對比分析

在通信開銷方面，VRTFA協議在認證流程中發送13個單位長度的數據，所以總通信開銷為13。文獻［16］協議通信開銷為8，文獻［17］協議通信開銷為32，文獻［20］協議通信開銷為7，文獻［21］協議通信開銷為13。VRTFA協議與文獻［17］協議相比具備通信成本更低的優勢，同時VRTFA協議在犧牲少量通信開銷的情況下可以抵抗文獻［16-17］協議無法抵抗的物理克隆攻擊和密鑰全泄漏攻擊。

VRTFA協議和現有RFID雙向認證協議［16-17，20-21］的詳細性能對比分析如表3所示。

表3　VRTFA協議與其他RFID認證協議性能對比分析

通過表3可以看出，與文獻［16-17］的認證協議相比，雖然VRTFA協議的標簽端存儲成本較高，但它犧牲了部分計算代價與存儲開銷，抵抗了物理克隆攻擊和密鑰全泄漏攻擊。VRTFA協議存儲開銷和標簽計算代價比文獻［21-21］的認證協議更低，成功實現了閱讀器與數據庫之間的安全雙向認證。綜上所述，VRTFA協議避免了現有協議［16-17，20-21］存在的安全隱患，在能夠實現更好安全性的同時也滿足RKE成本受限的需求。

7 結語

本文針對現有RKE存在重放攻擊與物理克隆攻擊的風險，提出一種抵抗物理克隆攻擊的RFID雙因子認證（VRTFA）協議。通過PUF和雙因子認證防止遙控鑰匙被物理克隆或者非法盜用。VRTFA協議通過提前存放認證參數的方式，在保障雙向認證性的前提下解決了數據庫被攻擊而導致密鑰信息全泄漏的安全問題。VRTFA協議安全高效地保障了RKE的雙向認證，更加適用于RKE等資源受限的實際應用場景，為解決現有RKE認證機制存在的安全隱患提出了一種新思路。

[1] CHENG J J， CHENG J L， ZHOU M C， et al. Routing in Internet of Vehicles： a review［J］. IEEE Transactions on Intelligent Transportation Systems， 2015， 16（5）： 2339-2352.

[2] 侯琬鈺，孫鈺，李大偉，等. 基于PUF的5G車聯網V2V匿名認證與密鑰協商協議［J］. 計算機研究與發展， 2021， 58（10）：2265-2277.（HOU W Y， SUN Y， LI D W， et al. Anonymous authentication and key agreement protocol for 5G-V2V based on PUF［J］. Journal of Computer Research and Development， 2021， 58（10）： 2265-2277.）

[3] 宋濤，李秀華，李輝，等. 大數據時代下車聯網安全加密認證技術研究綜述［J］. 計算機科學， 2022， 49（4）： 340-353.（SONG T， LI X H， LI H， et al. Overview of research on security encryption authentication technology of IoV in big data era［J］. Computer Science， 2022， 49（4）： 340-353.）

[4] 王春東，羅婉薇，莫秀良，等. 車聯網互信認證與安全通信綜述［J］. 計算機科學， 2020， 47（11）： 1-9.（WANG C D， LUO W W， MO X L， et al. Survey on mutual trust authentication and secure communication of Internet of Vehicles［J］. Computer Science， 2020， 47（11）： 1-9.）

[5] FENG X， SHI Q， XIE Q， et al. P2BA： a privacy-preserving protocol with batch authentication against semi-trusted RSUs in Vehicular Ad hoc Networks［J］. IEEE Transactions on Information Forensics and Security， 2021， 16： 3888-3899.

[6] PASCALE F， ADINOLFI E A， COPPOLA S， et al. Cybersecurity in automotive： an intrusion detection system in connected vehicles［J］. Electronics， 2021， 10（15）： No.1765.

[7] LANG D， HAAR D van der. Recommendations for biometric access control system deployment in a vehicle context in South Africa［M］// KIM K J， KIM H Y. Information Science and Applications： ICISA 2019， LNEE 621. Singapore： Springer， 2020： 305-317.

[8] ALLADI T， KOHLI V， CHAMOLA V， et al. Artificial Intelligence （AI）-empowered intrusion detection architecture for the Internet of Vehicles［J］. IEEE Wireless Communications， 2021， 28（3）： 144-149.

[9] KAFAN. 360 Network Attack and Defense Lab announces that Tesla’s vulnerability can be removed without a key［EB/OL］. ［2022-01-21］.https：//bbs.kafan.cn/thread-1804633-1-1.html.

[10] 劉曉龍. 車聯網OBU多級安全架構及通信方案研究［D］. 鎮江：江蘇大學， 2018.（LIU X L. Research on OBU-based multilevel security architecture and communication scheme for Internet of Vehicles［D］. Zhenjiang： Jiangsu University， 2018.）

[11] ELECFANS.百度成功破解T-BOX系統 車聯網安全邁上新高度［EB/OL］. （2016-11-30） ［2022-01-21］.http：//www.elecfans.com/qichedianzi/20161130453520.html.（ELECFANS. Baidu successfully cracked the T-BOX system and brought Internet of Vehicles security to a new level［EB/OL］. （2016-11-30） ［2022-01-21］.http：//www.elecfans.com/qichedianzi/20161130453520.html.）

[12] TENCENT. Tencent Cohen Lab successfully invaded Tesla remotely for the first time［EB/OL］. （2016-09-20） ［2022-01-21］.https：//tech.qq.com/a/20160920/048201.html.

[13] OK特斯拉. 喜聞樂見！特斯拉Model S被盜：1分鐘內打開車門，3分鐘盜走車輛［EB/OL］. （2019-12-02） ［2022-01-21］.https：//www.oktesla.cn/2019/12/33280.html.（OK TESLA. Love to see and hear！ Tesla Model S was stolen： open the door within 1 minute and steal the vehicle within 3 minutes［EB/OL］. （2019-12-02） ［2022-01-21］.https：//www.oktesla.cn/2019/12/33280.html.）

[14] LIU Y， YIN X， DONG Y， et al. Lightweight authentication scheme with inverse operation on passive RFID tags［J］. Journal of the Chinese Institute of Engineers， 2019， 42（1）： 74-79.

[15] 李濤，劉亞麗. 一種基于雙PUF的RFID認證協議［J］. 計算機研究與發展， 2021， 58（8）： 1801-1810.（LI T， LIU Y L. A double PUF-based RFID authentication protocol［J］. Journal of Computer Research and Development， 2021， 58（8）： 1801-1810.）

[16] 黃琪，凌捷. 一種超輕量級移動射頻識別的雙向認證協議［J］. 計算機科學， 2017， 44（7）： 111-115.（HUANG Q， LING J. Ultra-lightweight mutual authentication protocol for mobile radio frequency identification［J］. Computer Science， 2017， 44（7）： 111-115.）

[17] 李璐璐，董慶寬，陳萌萌. 基于云的輕量級RFID群組標簽認證協議［J］. 計算機科學， 2019， 46（1）： 182-189.（LI L L， DONG Q K， CHEN M M. Cloud-based lightweight RFID group tag authentication protocol［J］. Computer Science， 2019， 46（1）： 182-189.）

[18] 王悅，樊凱. 物聯網中超輕量級RFID電子票據安全認證方案［J］. 計算機研究與發展， 2018， 55（7）： 1432-1439.（WANG Y， FAN K. Ultra-lightweight RFID electronic ticket authentication scheme in IoT［J］. Journal of Computer Research and Development， 2018， 55（7）： 1432-1439.）

[19] 王國偉，賈宗璞，彭維平. 基于動態共享密鑰的移動RFID雙向認證協議［J］. 電子學報， 2017， 45（3）： 612-618.（WANG G W， JIA Z P， PENG W P. A mutual authentication protocol of mobile RFID based on dynamic shared-key［J］. Acta Electronica Sinica， 2017， 45（3）： 612-618.）

[20] GOPE P， LEE J， QUEK T Q S. Lightweight and practical anonymous authentication protocol for RFID systems using physically unclonable functions［J］. IEEE Transactions on Information Forensics and Security， 2018， 13（11）： 2831-2843.

[21] GOPE P， SIKDAR B. An efficient privacy-preserving authenticated key agreement scheme for edge-assisted internet of drones［J］. IEEE Transactions on Vehicular Technology， 2020， 69（11）： 13621-13630.

[22] DAS M L. Two-factor user authentication in wireless sensor networks［J］. IEEE Transactions on Wireless Communications， 2009， 8（3）： 1086-1090.

[23] WANG D， HE D， WANG P， et al. Anonymous two-factor authentication in distributed systems： certain goals are beyond attainment［J］. IEEE Transactions on Dependable and Secure Computing， 2015， 12（4）： 428-442.

[24] 李文婷，汪定，王平. 無線傳感器網絡下多因素身份認證協議的內部人員攻擊［J］. 軟件學報， 2019， 30（8）： 2375-2391.（LI W T， WANG D， WANG P. Insider attacks against multi-factor authentication protocols for wireless sensor networks［J］. Journal of Software， 2019， 30（8）： 2375-2391.）

[25] QIU S， WANG D， XU G. Practical and provably secure three-factor authentication protocol based on extended chaotic-maps for mobile lightweight devices［J］. IEEE Transactions on Dependable and Secure Computing， 2022， 19（2）： 1338-1351.

[26] CAI Q， ZHAN Y， WANG Y. A minimalist mutual authentication protocol for RFID system & BAN logic analysis［C］// Proceedings of the 2008 ISECS International Colloquium on Computing， Communication， Control， and Management — Volume 2. Piscataway： IEEE， 2008： 449-453.

[27] LIU K， YE J， WANG Y. The security analysis on Otway-Rees protocol based on BAN logic［C］// Proceedings of the 4th International Conference on Computational and Information Sciences. Piscataway： IEEE， 2012： 341-344.

[28] XU H， DING J， LI P， et al. A lightweight RFID mutual authentication protocol based on physical unclonable function［J］. Sensors， 2018， 18（3）： No.760.

[29] 馬昌社. 前向隱私安全的低成本RFID認證協議［J］. 計算機學報， 2011， 34（8）： 1387-1398.（MA C S. Low cost RFID authentication protocol with forward privacy［J］. Chinese Journal of Computers， 2011， 34（8）： 1387-1398.）

[30] YEH K H. A lightweight authentication scheme with user untraceability［J］. Frontiers of Information Technology and Electronic Engineering， 2015， 16（4）： 259-271.

[31] JAN M A， KHAN F， ALAM M， et al. A payload-based mutual authentication scheme for Internet of Things［J］. Future Generation Computer Systems， 2019， 92： 1028-1039.

[32] LIU Y， EZERMAN M F， WANG H. Double verification protocol via secret sharing for low-cost RFID tags［J］. Future Generation Computer Systems， 2019， 90： 118-128.

[33] WANG W， CHEN Q， YIN Z， et al. Blockchain and PUF-based lightweight authentication protocol for wireless medical sensor networks［J］. IEEE Internet of Things Journal， 2022， 9（11）： 8883-8891.

[34] SYAFRILAH Z， PERMANA A A， HANDAYANI A D. Modified RAP-WOTA for preventing man in the middle and replay attacks［C］// Proceedings of the 2019 International Workshop on Big Data and Information Security. Piscataway： IEEE， 2019： 73-78.

[35] BENDAVID Y， BAGHERI N， SAFKHANI M， et al. IoT device security： challenging “a lightweight RFID mutual authentication protocol based on physical unclonable function”［J］. Sensors， 2018， 18（12）： No.4444.

[36] MENG L， XU H， XIONG H， et al. An efficient certificateless authenticated key exchange protocol resistant to ephemeral key leakage attack for V2V communication in IoV［J］. IEEE Transactions on Vehicular Technology， 2021， 70（11）： 11736-11747.

[37] CREMERS C J F. The Scyther tool： verification， falsification and analysis of security protocols［C］// Proceedings of the 2008 International Conference on Computer Aided Verification， LNCS 5123. Berlin： Springer， 2008： 414-418.

Vehicle RKE two-factor authentication protocol resistant to physical cloning attack

LIU Changgeng1，2，3， LIU Yali1，2，3*， LU Qipeng1，2，3， LI Tao1，2，3， LIN Changlu2， ZHU Yi1

（1，，221116，；2（），350117，；3（），541004，）

Attackers can illegally open a vehicle by forgeing the Radio Frequency IDentification （RFID） signal sent by the vehicle remote key. Besides， when the vehicle remote key is lost or stolen， the attacker can obtain the secret data inside the vehicle remote key and clone a usable vehicle remote key， which will threaten the property and privacy security of the vehicle owner. Aiming at the above problems， a Vehicle RKE Two-Factor Authentication （VRTFA） protocol for vehicle Remote Keyless Entry （RKE） that resists physical cloning attack was proposed. The protocol is based on Physical Uncloneable Function （PUF） and biological fingerprint feature extraction and recovery functions， so that the specific hardware physical structure of the legal vehicle remote key cannot be forged. At the same time， the biological fingerprint factor was introduced to build a two-factor authentication protocol， thereby solving the security risk of vehicle remote key theft， and further guaranteeing the secure mutual authentication of vehicle RKE system. Security analysis results of the protocol using BAN logic show that VRTFA protocol can resist malicious attacks such as forgery attack， desynchronization attack， replay attack， man-in-the-middle attack， physical cloning attack， and full key leakage attack， and satisfy the security attributes such as forward security， mutual authentication， data integrity， and untraceability. Performance analysis results show that VRTFA protocol has stronger security and privacy and better practicality than the existing RFID authentication protocols.

vehicle Remote Keyless Entry (RKE); Radio Frequency Identification (RFID); mutual authentication; two-factor; Physical Uncloneable Function (PUF)

1001-9081（2023）11-3375-10

10.11772/j.issn.1001-9081.2022111802

2022?11?04；

2023?01?06；

國家自然科學基金資助項目（61702237）； 徐州市科技計劃項目（KC22052）； 福建省網絡安全與密碼技術重點實驗室（福建師范大學）開放課題（NSCL?KF2021?04）； 廣西密碼學與信息安全重點實驗室（桂林電子科技大學）研究課題（GCIS202114）； 江蘇師范大學研究生科研與實踐創新計劃項目（2021XKT1382， 2022XKT1488）； 教育部產學合作協同育人項目（202101374001）。

劉長庚（1997—），男，江蘇連云港人，碩士研究生，CCF會員，主要研究方向：無線射頻識別認證、物聯網安全、隱私保護； 劉亞麗（1981—），女，江蘇徐州人，博士，教授，CCF高級會員，主要研究方向：信息安全、認證和隱私保護、區塊鏈、車載自組織網絡、密碼算法和協議； 陸琪鵬（1999—），男，江蘇南京人，碩士研究生，主要研究方向：無線射頻識別認證、隱私保護、物聯網安全、區塊鏈； 李濤（1998—），男，湖北黃岡人，碩士研究生，主要研究方向：無線射頻識別認證、隱私保護、物聯網安全、區塊鏈； 林昌露（1978—），男，福建大田人，博士，教授，博士生導師，CCF會員，主要研究方向：密碼學、網絡安全、秘密共享、安全多方計算、公鑰密碼學； 祝義（1976—），男，江西九江人，博士，教授，CCF高級會員，主要研究方向：形式化分析、軟件可靠性、智能化軟件和自適應學習。

TP309

A

2023?01?10。

This work is partially supported by National Natural Science Foundation of China （61702237）， Science and Technology Planning Foundation of Xuzhou City （KC22052）， Opening Foundation of Fujian Provincial Key Laboratory of Network Security and Cryptology Research Fund， Fujian Normal University （NSCL-KF2021-04）， Opening Foundation of Guangxi Key Laboratory of Cryptography and Information Security， Guilin University of Electronic Technology （GCIS202114）， Postgraduate Research and Practice Innovation Program of Jiangsu Normal University （2021XKT1382， 2022XKT1488）， Ministry of Education University-Industry Collaborative Education Program of China （202101374001）.

LIU Changgeng， born in 1997， M. S. candidate. His research interests include Radio Frequency Identification（RFID） authentication， Internet of Things security， privacy-preserving.

LIU Yali， born in 1981， Ph. D.， professor. Her research interests include information security， authentication and privacy-preserving， blockchain， vehicular ad-hoc network， cryptographic algorithms and protocols.

LU Qipeng， born in 1999， M. S. candidate. His research interests include Radio Frequency Identification （RFID） authentication， privacy-preserving， Internet of Things security， blockchain.

LI Tao， born in 1998， M. S. candidate. His research interests include Radio Frequency Identification （RFID） authentication， privacy-preserving， Internet of Things security， blockchain.

LIN Changlu， born in 1978， Ph. D.， professor. His research interests include cryptography， network security， secret sharing， secure multi-party computation， public-key cryptography.

ZHU Yi， born in 1976， Ph. D.， professor. His research interests include formal analysis， software reliability， intelligent software， adaptive learning.