基于切比雪夫混沌映射和PUF的RFID三方認(rèn)證協(xié)議

徐森 劉佳鑫 楊碩 趙洋

收稿日期：2023-06-19；修回日期：2023-08-04? 基金項(xiàng)目：遼寧省教育廳基本科研項(xiàng)目面上項(xiàng)目（LJKMZ20220782）

作者簡(jiǎn)介：徐森（1975—），男，黑龍江哈爾濱人，講師，碩導(dǎo)，博士，主要研究方向?yàn)榫W(wǎng)絡(luò)安全與密碼學(xué)、安全協(xié)議的設(shè)計(jì)與分析、無(wú)線網(wǎng)絡(luò)協(xié)議、安全多播等；劉佳鑫（1998—），男，吉林輝南人，碩士研究生，主要研究方向?yàn)榘踩珔f(xié)議的設(shè)計(jì)與分析；楊碩（1983—），男，吉林人，講師，碩導(dǎo)，博士，主要研究方向?yàn)橛?jì)算機(jī)視覺(jué)與人工智能；趙洋（1974—），男（通信作者），遼寧人，講師，碩導(dǎo)，博士，主要研究方向?yàn)闄C(jī)器學(xué)習(xí)（sy_zhaoyang@yeah.net）．

摘? 要：針對(duì)射頻識(shí)別（RFID）三方認(rèn)證協(xié)議存在的安全需求和資源開銷的平衡問(wèn)題，利用切比雪夫多項(xiàng)式的半群性質(zhì)以及混沌性質(zhì)提出了一個(gè)基于切比雪夫混沌映射和物理不可克隆函數(shù)（PUF）的RFID三方認(rèn)證協(xié)議：使用切比雪夫混沌映射來(lái)實(shí)現(xiàn)標(biāo)簽、閱讀器和服務(wù)器三方共享秘密；使用隨機(jī)數(shù)實(shí)現(xiàn)協(xié)議每輪會(huì)話的新鮮性以抵抗重放攻擊，同時(shí)也實(shí)現(xiàn)了閱讀器與標(biāo)簽的匿名性；使用PUF函數(shù)實(shí)現(xiàn)標(biāo)簽本身的安全認(rèn)證以及抵抗物理克隆攻擊。安全分析表明，該協(xié)議能有效抵抗追蹤、重放、物理克隆和去同步攻擊等多種惡意攻擊，使用BAN邏輯分析方法和Scyther工具驗(yàn)證了其安全性。與近期協(xié)議對(duì)比分析表明，該協(xié)議彌補(bǔ)了同類RFID協(xié)議的安全缺陷，在滿足各種安全屬性需求的同時(shí)盡量平衡硬件開銷，契合了RFID硬件資源受限的處境，適用于RFID三方認(rèn)證場(chǎng)景。

關(guān)鍵詞：射頻識(shí)別； 物理不可克隆函數(shù)； 切比雪夫混沌映射； 三方認(rèn)證； BAN邏輯； Scyther工具

中圖分類號(hào)：TP309??? 文獻(xiàn)標(biāo)志碼：A

文章編號(hào)：1001-3695（2024）02-040-0582-05

doi：10.19734/j.issn.1001-3695.2023.06.0263

RFID tripartite authentication protocol based onChebyshev chaos mapping and PUF

Xu Sen1，2， Liu Jiaxin1，2， Yang Shuo1，2， Zhao Yang1，2

（1.School of Computer Science & Technology， Shenyang University of Chemical Technology， Shenyang 110142， China; 2.Liaoning Key Laboratory of Intelligent Technology for Chemical Process Industry， Shenyang 110142， China）

Abstract：In order to balance the security requirements and resource costs of the three party authentication protocols for radio frequency identification（RFID） ， this paper proposed a protocol based on Chebyshev chaotic mapping and physical unclonable function（PUF） ， taking advantage of the semi-group property and chaotic property of Chebyshev polynomials. It used Chebyshev chaotic mapping to achieve secret sharing among tags， readers， and servers， and used random numbers to achieve freshness of each session which could resist replay attack， and also to realize the anonymity of readers and tags. It used the PUF function to achieve the authentication of the label and to resist physical cloning attacks. Security analysis shows that this protocol can effectively resist various malicious attacks such as tracking， replay， physical cloning， and de-synchronization attacks. Moreover， it verified the security properties of the protocol using formal methods， including BAN logic and Scyther tool. Compared with recent studies， this protocol compensates for the security deficiencies of similar RFID protocols， balancing hardware costs as much as possible while meeting various security attribute requirements， and still fitting the limited hardware resources of RFID. It is suitable for third-party authentication scenarios in RFID.

Key words：radio frequency identification（RFID）; physical unclonable function; Chebyshev chaotic mapping; tripartite anthentication; BAN logic; Scyther tool

0? 引言

近年來(lái)，伴隨著物聯(lián)網(wǎng)技術(shù)、工業(yè)互聯(lián)網(wǎng)的飛速發(fā)展，射頻識(shí)別（RFID）憑借其無(wú)源傳輸、遠(yuǎn)距離通信以及唯一標(biāo)識(shí)等特點(diǎn)，已經(jīng)成為了物聯(lián)網(wǎng)應(yīng)用的核心支撐技術(shù)之一，并逐漸有代替條形碼被廣泛部署到日常物體之上的趨勢(shì)［1］。

RFID系統(tǒng)主要由電子標(biāo)簽、閱讀器和服務(wù)器組成。服務(wù)器的主要責(zé)任是對(duì)閱讀器和標(biāo)簽的認(rèn)證、加/解密認(rèn)證消息、存儲(chǔ)標(biāo)簽與服務(wù)器的唯一標(biāo)識(shí)、更新數(shù)據(jù)等。閱讀器主要用于閱讀標(biāo)簽存儲(chǔ)的信息，并將本身用于驗(yàn)證的信息連同接收到的標(biāo)簽信息發(fā)送給服務(wù)器。標(biāo)簽主要用于存儲(chǔ)用戶信息，由天線和射頻芯片組合而成。由于標(biāo)簽的規(guī)格限制，使得其運(yùn)算能力受限，更容易受到外界的攻擊。

傳統(tǒng)的RFID系統(tǒng)將閱讀器與服務(wù)器整合在一起，但是隨著技術(shù)與RFID產(chǎn)業(yè)的發(fā)展，傳統(tǒng)RFID系統(tǒng)的笨重凸顯了出來(lái)。新型的移動(dòng)RFID認(rèn)證系統(tǒng)將閱讀器與服務(wù)器拆分出來(lái)，大大提高了閱讀標(biāo)簽的效率。由于傳統(tǒng)的雙向認(rèn)證協(xié)議不能再滿足RFID系統(tǒng)的認(rèn)證需求，隨后采用新型的移動(dòng)閱讀器的RFID三方認(rèn)證協(xié)議逐漸成為主流。新型的RFID系統(tǒng)中不僅標(biāo)簽與閱讀器的通信處于不安全的環(huán)境，閱讀器與服務(wù)器亦是如此。由此可見，傳統(tǒng)RFID系統(tǒng)中使用的雙向認(rèn)證協(xié)議不能再繼續(xù)應(yīng)用于新型的RFID系統(tǒng)。高安全性的RFID三方認(rèn)證協(xié)議成為了RFID產(chǎn)業(yè)新的研究方向。

Fan等人［2］提出使用二次剩余、偽隨機(jī)數(shù)等方式保護(hù)數(shù)據(jù)安全的三方認(rèn)證協(xié)議。但是在認(rèn)證過(guò)程中，云服務(wù)器需要計(jì)算遍歷數(shù)據(jù)庫(kù)來(lái)驗(yàn)證閱讀器與標(biāo)簽的合法性，這使得服務(wù)器存在拒絕服務(wù)攻擊，而且該協(xié)議無(wú)法抵抗針對(duì)標(biāo)簽的物理克隆攻擊，并缺少閱讀器對(duì)服務(wù)器的身份驗(yàn)證。潘濤等人［3］提出了通過(guò)執(zhí)行算數(shù)運(yùn)算、按位運(yùn)算及數(shù)據(jù)排列組合等方法的高效RFID認(rèn)證協(xié)議，但該協(xié)議依舊面臨著物理克隆攻擊的風(fēng)險(xiǎn)。

文獻(xiàn)［2，3］中的協(xié)議均無(wú)法抵抗敵手通過(guò)針對(duì)物理探針?lè)欠ǐ@取標(biāo)簽內(nèi)部的敏感信息，或者大批量克隆標(biāo)簽。為了解決此類攻擊方式，隨后的研究者開始引入物理不可克隆函數(shù)（physical unclonable function，PUF）［4］。王利等人［5］使用了PUF作為加密方法生成密鑰，但是該協(xié)議缺少對(duì)閱讀器的合法認(rèn)證，沒(méi)有完整的三方認(rèn)證。王者等人［6］提出了基于PUF函數(shù)和輕量級(jí)哈希函數(shù)LED的認(rèn)證協(xié)議。該協(xié)議利用了PUF函數(shù)來(lái)抵抗物理克隆攻擊，并將PUF函數(shù)的響應(yīng)值作為驗(yàn)證消息。然而，一方面，該協(xié)議中標(biāo)簽ID以明文發(fā)送，在阻止標(biāo)簽更新的情況下，攻擊者可以輕易追蹤標(biāo)簽；另一方面，標(biāo)簽不會(huì)對(duì)來(lái)自閱讀器的認(rèn)證請(qǐng)求進(jìn)行驗(yàn)證，這使得該協(xié)議容易受到去同步攻擊。范文兵等人［7］提出了基于PUF函數(shù)的三方認(rèn)證協(xié)議，但是該協(xié)議開啟認(rèn)證時(shí)使用的隨機(jī)數(shù)以明文發(fā)送，且在后續(xù)標(biāo)簽唯一標(biāo)識(shí)的加密中使用了此隨機(jī)數(shù)作為加密密鑰，這使得標(biāo)簽唯一標(biāo)識(shí)符有泄露的風(fēng)險(xiǎn)。而且該協(xié)議為了抵抗去同步攻擊，在服務(wù)器中存儲(chǔ)了兩輪PUF函數(shù)響應(yīng)值，在當(dāng)前輪次認(rèn)證時(shí)會(huì)為下一次驗(yàn)證提供PUF的響應(yīng)值，但在認(rèn)證過(guò)程中服務(wù)器并不會(huì)核對(duì)下一輪次的認(rèn)證信息是否被修改，因此敵手可以針對(duì)此漏洞發(fā)動(dòng)去同步攻擊。

針對(duì)上述認(rèn)證方案的缺陷，本文提出了一個(gè)基于PUF和切比雪夫混沌映射的三方認(rèn)證協(xié)議。本文協(xié)議使用了混亂密碼學(xué)中的切比雪夫混沌映射，在降低計(jì)算開銷的同時(shí)保證傳輸數(shù)據(jù)的安全［8］。其使用PUF函數(shù)和隨機(jī)數(shù)來(lái)抵抗物理克隆和重放攻擊，同時(shí)共用PUF使用的線性反饋移位寄存器（linear feedback shift register，LFSR）與隨機(jī)數(shù)發(fā)生器，以降低資源的開銷，達(dá)到資源開銷與安全屬性保障的平衡。

1? 協(xié)議基礎(chǔ)背景

1.1? 切比雪夫混沌映射

定義1? n維切比雪夫多項(xiàng)式為Tn（x），其中n為自然數(shù)，x∈[-1，1]，滿足Tn+1（x）=2x Tn（x）-Tn-1（x）。

切比雪夫多項(xiàng)式迭代關(guān)系為T0（x）=1，T1（x）=x，…，Tn（x）=2xTn-1（x）-Tn-2（x）。

定義2? 擴(kuò)展切比雪夫多項(xiàng)式，將x的定義域由x∈[-1，1]擴(kuò)大至x∈（-∞，+∞），即拓展的切比雪夫多項(xiàng)式。Tn（x）≡（2xTn-1（x）-Tn-2（x））（mod q），其中n≥2，x∈（-∞，+∞），q是一個(gè)大素?cái)?shù)。在此定義域中，切比雪夫多項(xiàng)式依舊具備半群特性Tr（Ts（x））=Ts（Tr（x））=Tsr（x） mod q，其中r、s為自然數(shù)。

困難假設(shè)：給定x，計(jì)算Tk（x）=y，在已知x與y的情況下，敵手無(wú)法求解出k的值。公布x，Tk（x）與Tm（x）在不安全信道傳輸?shù)那闆r下，敵手也無(wú)法求解出Tkm（x），這個(gè)可以歸約為Diffie-Hellman難題，在計(jì)算上不可行。

1.2? 物理不可克隆函數(shù)

物理不可克隆函數(shù)（physical unclonable function，PUF）是一種較為新型的密碼元語(yǔ)言，在硬件資源極為有限的加密環(huán)境中應(yīng)用廣泛。在生產(chǎn)制造數(shù)字電路時(shí)，由于過(guò)程中硬件規(guī)格、尺寸、門限電壓等因素帶來(lái)的隨機(jī)的、細(xì)微的差異，產(chǎn)生了電路的獨(dú)特標(biāo)識(shí)，輸入任意激勵(lì)值都會(huì)輸出一個(gè)唯一且不可預(yù)測(cè)的響應(yīng)。

本文協(xié)議采用文獻(xiàn)［9］中的FPGA函數(shù)。FPGA函數(shù)將C-PUF、BCH碼和LFSR相結(jié)合，具有高可靠性和低資源占用的特點(diǎn)。本文協(xié)議亦可在不影響FPGA功能的情況下與其共享LFSR的使用［10］，把它作為本文協(xié)議主體的隨機(jī)數(shù)發(fā)生器。式（1）即驗(yàn)證響應(yīng)值是否合法，其中X和Y表示n位向量，Xi與Yi表示X和Y的第i bit信息。

HD（X，Y）=∑nm=1（Xi，Yi）（1）

1.3? 攻擊者模型

本文采用的是通用的Dolev-Yao攻擊者模型［11］，在此模型中，攻擊者被賦予以下能力：

a）能夠竊聽、阻止和截獲不安全信道上的任何消息。

b）能夠發(fā)送消息和重發(fā)消息。

c）能夠?qū)ο⑦M(jìn)行分解與組合。

d）能夠冒充協(xié)議任意一方。

e）此外，需要說(shuō)明協(xié)議的初始化階段是處于安全環(huán)境的，認(rèn)證階段中的所有信道均處于不安全的環(huán)境，尤其是攻擊者還可以大批量地物理克隆合法標(biāo)簽。

2? 協(xié)議設(shè)計(jì)

2.1? 初始化階段

在初始化階段，系統(tǒng)管理員首先為服務(wù)器分配私鑰s，設(shè)置參數(shù)q、x、IDt、IDr、SCil+1、SRil+1、SCil、SRil，服務(wù)器利用私鑰s計(jì)算Ks=Ts（sin（x）），最后給標(biāo)簽i分配q、IDt、x、Ks、SRil+1，然后為閱讀器分配q、IDr、Ks、x。符號(hào)含義如表1所示。

2.2? 認(rèn)證階段

a）閱讀器j向后臺(tái)服務(wù)器發(fā)送一個(gè)request請(qǐng)求。

b）服務(wù)器在收到來(lái)自閱讀器的請(qǐng)求后產(chǎn)生一個(gè)隨機(jī)數(shù)rs發(fā)送給閱讀器j。

c）閱讀器在接收到隨機(jī)數(shù)rs后，計(jì)算ACK=PRNG（Ks⊕rs），并將ACK與rs轉(zhuǎn)發(fā)給需要進(jìn)行認(rèn)證的標(biāo)簽。

d）標(biāo)簽i在接受到隨機(jī)數(shù)rs后，計(jì)算ACK′=PRNG（Ks⊕rs），核對(duì)ACK=ACK′是否成立，若不相等則說(shuō)明隨機(jī)數(shù)來(lái)自非法閱讀器；隨后標(biāo)簽會(huì)產(chǎn)生一個(gè)隨機(jī)數(shù)rT作為加密因子，計(jì)算KA=TrT（sin（x））mod q、KTS=TrT（Ks）mod q，計(jì)算Rl=PUF（SCil+1）、Cil+1=SCil+1rs、Rl+1=PUF（Cil+1），計(jì)算M1=KTS⊕TIDi、M2=PRNG（Rl+1⊕IDt）。IDt是通過(guò)標(biāo)簽與服務(wù)器共享的密鑰KTS加密的，從而保證了IDt的匿名性。M2的作用是保證Rl+1在傳輸過(guò)程中不被竄改。在計(jì)算完成后，標(biāo)簽將M1、M2、Rl+1、Rl、KA發(fā)送給閱讀器。

e）閱讀器j在收到來(lái)自標(biāo)簽i的消息后，產(chǎn)生隨機(jī)數(shù)rR，并計(jì)算KB=TrR（sin（x））mod q、KRS=TrR（Ks）mod q，計(jì)算M3=IDr⊕KRS。由于KRS每個(gè)輪次都是變化的，所以M3通過(guò)KRS實(shí)現(xiàn)了IDr的動(dòng)態(tài)不可追蹤。隨后閱讀器j將從標(biāo)簽i接收到的所有消息M1、M2、Rl+1、Rl、KA，以及KB、M3發(fā)送給服務(wù)器。

f）服務(wù)器在收到來(lái)自閱讀器j的消息后，首先對(duì)閱讀器進(jìn)行驗(yàn)證。服務(wù)器利用閱讀器發(fā)來(lái)的KB計(jì)算出與閱讀器共享的密鑰KSR=Ts（KB）mod q，使用密鑰KSR解出IDr=KSR⊕M3，在得到IDr后服務(wù)器會(huì)在數(shù)據(jù)庫(kù)中檢索，若在數(shù)據(jù)庫(kù)中查詢到IDr，則閱讀器j認(rèn)證成功，最后計(jì)算閱讀器的確認(rèn)信息ACKR=PRNG（IDr），否則閱讀器非法放棄此次認(rèn)證。

隨后是對(duì)標(biāo)簽的認(rèn)證，服務(wù)器提取KA，計(jì)算與標(biāo)簽共享的密鑰KST=Ts（KA）mod q，服務(wù)器利用密鑰KST解出IDt=M1⊕KST，服務(wù)器在數(shù)據(jù)庫(kù)中查詢是否有IDt，若不存在此IDt則認(rèn)為標(biāo)簽非法，放棄此次認(rèn)證；若成功查詢到此IDt則提出對(duì)應(yīng)的（SCil+1，SRil+1），隨后服務(wù)器使用Rl與提取出的SRil+1進(jìn)行式（2）的計(jì)算，其中τ為設(shè)定的閾值。

HD（Rl，SRil+1）＜τ（2）

若式（2）成立，則說(shuō)明標(biāo)簽是合法的，服務(wù)器接收Rl+1，隨后服務(wù)器計(jì)算M′2=PRNG（Rl+1IDt）并對(duì)比M′2與M2是否相等。若不相等則表明消息Rl+1遭到了竄改，并終止此次認(rèn)證；若相等則計(jì)算Cil+1=SCil+1⊕rs以及標(biāo)簽i的確認(rèn)信息ACKT=PRNG（Cil+1）。最后服務(wù)器將ACKT和ACKR發(fā)送給閱讀器，同時(shí)服務(wù)器進(jìn)行數(shù)據(jù)更新：SCil=SCil+1、SRil=SRil+1、SCil+1=Cil+1、SRil+1=Rl+1。

若在驗(yàn)證Rl時(shí)出現(xiàn)錯(cuò)誤，則將SRil+1替換為SRil并再次進(jìn)行驗(yàn)證。若替換后的驗(yàn)證依舊沒(méi)有通過(guò)，則放棄此次驗(yàn)證；若此時(shí)驗(yàn)證通過(guò)，則說(shuō)明標(biāo)簽遭受了去同步攻擊。為保證服務(wù)器與標(biāo)簽的數(shù)據(jù)同步，服務(wù)器再計(jì)算Cil+1，更新為Cil+1=SCilrs，而且不對(duì)（SCil，SRil）進(jìn)行更新，而是對(duì)（SCil+1，SRil+1）進(jìn)行更新。

3? 協(xié)議安全分析

3.1? 協(xié)議非形式化分析

1）追蹤攻擊

攻擊者為了達(dá)到追蹤的目的需要獲取標(biāo)簽i的TIDi或者獲取閱讀器j的IDr，因此敵手需要破解M1=KTS⊕TIDi與M3=IDr⊕KRS。由于KTS與KRS在認(rèn)證過(guò)程中不以明文的方式傳輸，所以攻擊者無(wú)法通過(guò)竊聽獲取到KTS與KRS的值。故攻擊者無(wú)法通過(guò)破解M1與M2獲取TIDi和IDr，無(wú)法發(fā)起位置追蹤攻擊。

2）重放攻擊

攻擊者希望通過(guò)重放上一輪的認(rèn)證消息來(lái)欺騙服務(wù)器通過(guò)身份認(rèn)證，因此攻擊者可以重放標(biāo)簽發(fā)送給閱讀器的消息M1、M2、Rl+1、Rl、KA，或者閱讀器發(fā)送給服務(wù)器的消息M1、M2、M3、KA、KB、Rl+1、Rl。當(dāng)攻擊者重放標(biāo)簽發(fā)送給閱讀器消息時(shí)，閱讀器接收完成計(jì)算后，會(huì)將自己的計(jì)算結(jié)果和標(biāo)簽發(fā)送的信息一同轉(zhuǎn)發(fā)給服務(wù)器。服務(wù)器在收到來(lái)自閱讀器的消息后首先會(huì)對(duì)閱讀器進(jìn)行認(rèn)證，由于閱讀器的認(rèn)證消息是本輪的且合法的，故閱讀器通過(guò)認(rèn)證。接下來(lái)服務(wù)器會(huì)對(duì)標(biāo)簽進(jìn)行認(rèn)證，由于標(biāo)簽的認(rèn)證消息是攻擊者重放的上一輪信息，KA會(huì)隨著隨機(jī)數(shù)rT的變化而變化，服務(wù)器接收到上一輪的KA后計(jì)算KST=Ts（KA）mod q為錯(cuò)誤的密鑰，所以服務(wù)器無(wú)法計(jì)算出正確的TIDi進(jìn)而終止認(rèn)證。當(dāng)攻擊者重放閱讀器發(fā)送給服務(wù)器的消息時(shí)，服務(wù)器接收到消息后會(huì)先驗(yàn)證閱讀器，同理服務(wù)器會(huì)利用KB計(jì)算KSR=Ts（KB）mod q，并用此次算得的KRS解密M3求出IDr。由于接收到的消息為上輪重放的，所以解出的KRS并不能作為密鑰求出正確的IDr，認(rèn)證終止。由此可得出攻擊者無(wú)法發(fā)動(dòng)重放攻擊。

3）物理克隆攻擊

攻擊者在獲取合法標(biāo)簽后希望克隆出大量相同的合法標(biāo)簽來(lái)達(dá)到通過(guò)身份認(rèn)證欺騙服務(wù)器的目的。由于每個(gè)標(biāo)簽內(nèi)都嵌入了一個(gè)PUF電路，且PUF電路具有不可被復(fù)制的特性，所以攻擊者無(wú)法復(fù)制出大量與合法標(biāo)簽相同的假標(biāo)簽，因?yàn)樗麄儚?fù)制的標(biāo)簽無(wú)法生成與原標(biāo)簽相同的PUF函數(shù)。

4）去同步攻擊

攻擊者可以通過(guò)兩個(gè)途徑實(shí)現(xiàn)去同步攻擊。第一種攻擊方式是攻擊者可以通過(guò)阻斷服務(wù)器發(fā)送給閱讀器j與標(biāo)簽i的確認(rèn)消息ACK，讓標(biāo)簽的數(shù)據(jù)無(wú)法更新，而服務(wù)器數(shù)據(jù)已經(jīng)更新，由此實(shí)現(xiàn)去同步攻擊。本文協(xié)議中服務(wù)器存儲(chǔ)著本輪驗(yàn)證信息與上一輪的驗(yàn)證信息，在發(fā)生去同步攻擊時(shí)，服務(wù)器不會(huì)立即終止身份認(rèn)證過(guò)程，而是取出存儲(chǔ)的上輪驗(yàn)證信息再次進(jìn)行驗(yàn)證，如果驗(yàn)證通過(guò)服務(wù)器會(huì)對(duì)存儲(chǔ)信息進(jìn)行更新，重新實(shí)現(xiàn)與標(biāo)簽共享秘密的同步。第二種攻擊方式是攻擊者在前一個(gè)輪次中竄改Rl+1，若服務(wù)器不對(duì)Rl+1進(jìn)行驗(yàn)證則會(huì)將竄改后的Rl+1存儲(chǔ)到數(shù)據(jù)庫(kù)之中。在接下來(lái)的驗(yàn)證輪次中攻擊者將本輪的Rl竄改為與上輪Rl+1相同的值，并再次將Rl+1的值進(jìn)行竄改，服務(wù)器接收到信息后會(huì)通過(guò)身份驗(yàn)證并更新數(shù)據(jù)，此時(shí)服務(wù)器中存儲(chǔ)的兩輪數(shù)據(jù)均被攻擊者修改，去同步攻擊完成。本文協(xié)議中添加了對(duì)Rl+1的驗(yàn)證，M2=PRNG（Rl+1⊕IDt），在服務(wù)器接收到Rl+1時(shí)，并不會(huì)將該值直接存入數(shù)據(jù)庫(kù)，而是先計(jì)算M2并與接收到的M2進(jìn)行對(duì)比，如果兩者不同則說(shuō)明Rl+1被竄改，服務(wù)器會(huì)終止此次身份認(rèn)證。綜上所述，攻擊者無(wú)法發(fā)動(dòng)去同步攻擊。

3.2? 協(xié)議形式化證明

3.2.1? BAN邏輯證明

BAN邏輯在形式化證明中應(yīng)用廣泛，本節(jié)采用BAN邏輯來(lái)證明協(xié)議的安全性可實(shí)現(xiàn)三方的驗(yàn)證。證明使用的邏輯符號(hào)如表2所示。

本文涉及的邏輯推理法則如下：

消息含義法則：

P|≡QKP，P{X}KP|≡Q|～X

接收消息法則：

P{X，Y}PX

新鮮性法則：

P|≡#（X）P|≡#（X，Y）

隨機(jī)值驗(yàn)證法則：

P|≡#（X），P|≡Q|～XP|≡Q|≡X

管轄法則：

P|≡Q|X，P|≡Q|≡XP|≡X

本文協(xié)議的BAN邏輯描述如下，其中S為服務(wù)器，R為閱讀器，T為標(biāo)簽。

M1：R→S：request；

M2：S→R：rs；

M3：R→T：ACK1，rs；

M4：T→R：M1、M2、Rl+1、Rl、KA；

M5：R→S：M1、M2、M3、Rl+1、Rl、KA、KB；

M6：S→R：ACKT、ACKR；

M7：R→T：ACKT。

在本文協(xié)議中，消息M1與M2只起到發(fā)起認(rèn)證的簡(jiǎn)單請(qǐng)求，且以明文發(fā)送，故不需要進(jìn)行形式化分析。需要對(duì)認(rèn)證消息（M3、M5、M6、M7）展開形式化安全分析。為了方便后續(xù)的BAN邏輯描述，將本文中使用的動(dòng)態(tài)共享密鑰、隨機(jī)數(shù)、切比雪夫算式、標(biāo)簽ID以及PUF運(yùn)算等信息均使用符號(hào)K加密表示。M2、M5、M6和M7可以形式化為

M2：T{ACK，rs}K

M5：S{M1、M2、M3、Rl+1、Rl、KA、KB}K

M6：R{ACKT、ACKR}K

M7：T{ACKT}K

本文協(xié)議滿足以下基本假設(shè)：

A1：R|≡RS；? A2：S|≡SR；? A3：S|≡ST；

A4：T|≡TS；? A5：R|≡RT；? A6：T|≡TR；

A7：S|≡#（rs）；? A8：T|≡#（rs）；? A9：R|≡#（rs）；

A10：S|≡#（KA）；? A11：T|≡RACK；? A12：S|≡#（KB）；

A13：R|≡SACKR;? A14：T|≡SACKT；

A15：S|≡TRl；? A16：S|≡RRIDj。

本協(xié)議安全證明目標(biāo)如下：

Goal1：T|≡ACK；

Goal2：R|≡ACKR；

Goal3：T|≡ACKT；

Goal4：S|≡Rl；

Goal5：S|≡IDr 。

證明? Goal1、Goal2、Goal3、Goal3、Goal4、Goal5：

由M2：T{ACK，rs}K，初始假設(shè)A6：T|≡TR，以及消息含義法則和接收消息法則可推斷出：

T|≡R|～ACK（3）

由A8：T|≡#（rs）以及新鮮性法則可推斷出

T|≡#（ACK）（4）

由式（3）（4）以及隨機(jī)值驗(yàn)證法則可推斷出

T|≡R|≡ACK（5）

由式（5）A11：T|≡RACK和管轄法則可推理出

T|≡ACK（6）

綜上，安全目標(biāo)Goal1：T|≡ACK得證。

由M6：R{ACKT、ACKR}K，初始假設(shè)A1：R|≡RS以及消息含義法則和接收消息法則可推斷出

R|≡S|～ACKR（7）

由A9：R|≡#（rs）以及新鮮性法則可推斷出

R|≡#（ACKR）（8）

根據(jù)式（7）（8）和隨機(jī)值驗(yàn)證法則可推斷出

R|≡S|≡ACKR（9）

根據(jù)式（9）、A13：R|≡SACKR以及管轄法則可推斷出

R|≡ACKR（10）

綜上，安全目標(biāo)Goal2：R|≡ACKR得證。

由M7：T{ACKT}K，根據(jù)初始假設(shè)A4：T|≡TS和消息含義法則可推斷出T|≡S|～ACKT（11）

由A8：T|≡#（rs）和新鮮性法則可推理出

T|≡# （Cil+1）（12）

根據(jù)式（12）以及新鮮性法則可進(jìn)一步推理出

T|≡#（ACKT）（13）

根據(jù)式（11）（13）及隨機(jī)值驗(yàn)證法則可推斷出

T|≡S|≡ACKT（14）

根據(jù)式（14）、初始假設(shè)A14：T|≡SACKT和管轄法則推理出

T|≡ACKT（15）

綜上，安全目標(biāo)Goal3：T|≡ACKT得證。

由M5：S{M1、M2、M3、Rl+1、Rl、KA、KB}K、初始假設(shè)A3：S|≡ST，以及消息含義法則和接收消息法則推斷出

S|≡T|～Rl（16）

由A10：S|≡#（KA）及新鮮性法則可推斷出

T|≡#（Rl）（17）

根據(jù)式（16）（17）以及隨機(jī)值驗(yàn)證法則推斷出

S|≡T|≡Rl（18）

根據(jù)式（18）、初始假設(shè)A15：S|≡TRl和管轄權(quán)法則推理出

S|≡Rl（19）

綜上，安全目標(biāo)Goal4：S|≡Rl，得證。

由M5：S{M1、M2、M3、Rl+1、Rl、KA、KB}K、A1：R|≡RS，以及消息含義法則和消息接收法則可推理出

S|≡R|～I(xiàn)Dr（20）

由A12：S|≡#（KB）以及新鮮性法則可得

T|≡#（IDr）（21）

根據(jù)式（20）（21）和隨機(jī)值驗(yàn)證法則可的

S|≡R|≡IDr（22）

根據(jù)式（22）和A16：S|≡RIDr以及管轄權(quán)法則可得

S|≡IDr（23）

綜上，安全目標(biāo)Goal5：S|≡IDr，得證。

3.2.2? Scyther工具分析

Scyther是一種協(xié)議安全性分析驗(yàn)證工具，該協(xié)議分析驗(yàn)證工具可以使用Dolev-Yao攻擊者模型以及強(qiáng)安全模型，在檢測(cè)到攻擊路徑時(shí)會(huì)以圖的方式進(jìn)行解釋。以下將利用Scyther工具，使用Dolev-Yao攻擊者模型進(jìn)行驗(yàn)證。

在本文協(xié)議建模中，定義了三個(gè)角色，分別為T、R和S，分別表示標(biāo)簽、閱讀器和服務(wù)器。其中Secert、Alive、Weakagree、Niagree和Nisynch分別用于檢測(cè)秘密泄露、重放攻擊、中間人攻擊和去同步攻擊。由于Scyther支持的運(yùn)算類型有限，所以需要將協(xié)議中的隨機(jī)數(shù)發(fā)生器以及PUF函數(shù)抽象為兩個(gè)不同的哈希函數(shù)，其余的加密算法則按照協(xié)議中的描述去定義。分析結(jié)果表明：Scyther工具無(wú)法找到針對(duì)本文協(xié)議的惡意攻擊，由此本文協(xié)議可以保證標(biāo)簽、閱讀器和服務(wù)器的三方秘密信息安全。Scyther工具分析結(jié)果如圖1所示。

4? 協(xié)議性能分析

4.1? 安全屬性分析與比較

文獻(xiàn)［2］使用了偽隨機(jī)數(shù)發(fā)生器、二次剩余定理和超輕量級(jí)位流函數(shù)保護(hù)隱私信息的安全，但是在云服務(wù)器認(rèn)證標(biāo)簽與閱讀器時(shí)要遍歷數(shù)據(jù)庫(kù)，開銷過(guò)大。另外，該協(xié)議還無(wú)法對(duì)抗針對(duì)標(biāo)簽的物理克隆攻擊，缺少閱讀器對(duì)服務(wù)器的認(rèn)證。

文獻(xiàn)［5］使用了哈希函數(shù)和PUF函數(shù)來(lái)保證標(biāo)簽的隱私信息安全，并抵抗針對(duì)標(biāo)簽的物理克隆攻擊，但是該協(xié)議缺少閱讀器和后臺(tái)服務(wù)器之間的認(rèn)證。這使得攻擊者可仿冒三者任意一方進(jìn)行通信交互，也可以發(fā)動(dòng)重放攻擊。

文獻(xiàn)［6］使用了LED這一輕量化哈希函數(shù)作為加密交互信息的方法，使用PUF函數(shù)抵抗物理克隆攻擊。一方面，該協(xié)議中標(biāo)簽在應(yīng)答服務(wù)器的請(qǐng)求時(shí)會(huì)以明文的方式發(fā)送自己的ID。雖然該協(xié)議將ID設(shè)計(jì)為每輪認(rèn)證都是變化的，但是敵手只要向標(biāo)簽不斷的發(fā)送質(zhì)詢并阻止標(biāo)簽的信息更新，敵手就可以追蹤標(biāo)簽的位置。另一方面，在標(biāo)簽與服務(wù)器進(jìn)行認(rèn)證時(shí)，敵手可以記錄標(biāo)簽發(fā)送給服務(wù)器的ID、Ri′、Auth1、Auth2，記錄服務(wù)器發(fā)送給標(biāo)簽的Ri+1′、ID′，然后阻止標(biāo)簽發(fā)送給服務(wù)器的“ok”消息，隨后敵手可以重放記錄的消息冒充標(biāo)簽并通過(guò)協(xié)議認(rèn)證。另外，該協(xié)議還無(wú)法抵抗去同步攻擊。首先敵手對(duì)標(biāo)簽與服務(wù)器進(jìn)行連續(xù)的監(jiān)聽獲取標(biāo)簽的兩輪唯一標(biāo)識(shí)ID、ID′，隨后敵手冒充標(biāo)簽給服務(wù)器發(fā)送ID′，敵手從服務(wù)獲取ID′對(duì)應(yīng)的合法Ci并終止認(rèn)證協(xié)議。下一步敵手冒充服務(wù)器開啟認(rèn)證協(xié)議，并向標(biāo)簽發(fā)送Ci，然后敵手從標(biāo)簽獲取到Ci對(duì)應(yīng)的合法Ri′、Auth1、Auth2。接下來(lái)敵手冒充標(biāo)簽，與服務(wù)器開啟身份認(rèn)證。由于敵手所具有的消息均為合法且正確的消息，所以敵手可以通過(guò)身份認(rèn)證并最后發(fā)送“ok”讓服務(wù)器更新數(shù)據(jù)庫(kù)。而此時(shí)數(shù)據(jù)庫(kù)存儲(chǔ)的數(shù)據(jù)均為錯(cuò)誤的，敵手的去同步攻擊已經(jīng)完成。

文獻(xiàn)［7］提出基于PUF函數(shù)的三方認(rèn)證協(xié)議，該協(xié)議標(biāo)簽在響應(yīng)閱讀器的請(qǐng)求時(shí)會(huì)將自己的唯一標(biāo)識(shí)TIDi通過(guò)與隨機(jī)數(shù)異或后發(fā)送給閱讀器。由于參與異或的隨機(jī)數(shù)是以明文發(fā)送的，這就使得敵手可以解密獲得標(biāo)簽的唯一標(biāo)識(shí)TIDi，進(jìn)而使得敵手可以對(duì)標(biāo)簽進(jìn)行位置追蹤。另一方面該協(xié)議還存在去同步攻擊。首先敵手監(jiān)聽并竄改標(biāo)簽為服務(wù)器提供下一輪的驗(yàn)證信息Rl+1，由于服務(wù)器并不對(duì)此信息進(jìn)行核實(shí)，服務(wù)器并不會(huì)察覺(jué)敵手對(duì)Rl+1的竄改，此時(shí)服務(wù)器會(huì)存儲(chǔ)此條消息并通過(guò)本輪驗(yàn)證，將錯(cuò)誤的Rl+1信息更新至數(shù)據(jù)庫(kù)。在第二輪的認(rèn)證開啟時(shí)，敵手監(jiān)聽并竄改標(biāo)簽發(fā)送的信息Rl，使其與敵手竄改的上輪信息Rl+1相同，并竄改本輪的Rl+1信息，服務(wù)器依然會(huì)通過(guò)對(duì)Rl的驗(yàn)證，完成對(duì)數(shù)據(jù)庫(kù)的更新。至此敵手已經(jīng)完成了對(duì)服務(wù)器數(shù)據(jù)庫(kù)兩輪數(shù)據(jù)的竄改，使服務(wù)器徹底與標(biāo)簽失去同步。另外該協(xié)議在開啟協(xié)議認(rèn)證時(shí)，標(biāo)簽對(duì)發(fā)出質(zhì)詢的設(shè)備并不進(jìn)行驗(yàn)證，缺少雙向認(rèn)證。

將本文協(xié)議與近期協(xié)議安全屬性進(jìn)行對(duì)比，對(duì)比結(jié)果如表3所示，其中“Yes”表示能抵抗該種攻擊，“No”則表示該協(xié)議無(wú)法抵抗該種攻擊。

綜上所述，本文協(xié)議能夠抵抗上述攻擊，并且在優(yōu)化協(xié)議的同時(shí)完成了三方的完整認(rèn)證。因此，本文協(xié)議要優(yōu)于近期文獻(xiàn)［2～6］中的協(xié)議。

4.2? 性能對(duì)比分析

將本文協(xié)議與現(xiàn)有的認(rèn)證協(xié)議開銷進(jìn)行對(duì)比，具體如表4所示。其中x表示異或操作，a表示加法操作，puf表示PUF運(yùn)算，h表示哈希運(yùn)算，ch表示切比雪夫運(yùn)算，pr表示偽隨機(jī)數(shù)運(yùn)算，rn表示生成隨機(jī)數(shù)，me表示模冪運(yùn)算，rme表示乘法逆元運(yùn)算，t表示時(shí)間戳，c表示連接，r表示循環(huán)位移。根據(jù)文獻(xiàn)［12，13］可知，切比雪夫的計(jì)算量與偽隨機(jī)數(shù)的計(jì)算量相當(dāng)，所以一般認(rèn)為，計(jì)算開銷的大小排序?yàn)閏

與近幾年相關(guān)協(xié)議相比較，本文協(xié)議雖然在性能上沒(méi)有非常大的改進(jìn)，但能滿足輕量級(jí)的計(jì)算量，適用于現(xiàn)有的輕量級(jí)RFID系統(tǒng)。更重要的是，本文協(xié)議可以彌補(bǔ)其他認(rèn)證協(xié)議的缺陷，提供更好的安全性能，所以本文協(xié)議具備一定的應(yīng)用價(jià)值。

5? 結(jié)束語(yǔ)

本文提出了一種基于切比雪夫混沌映射和PUF函數(shù)的三方認(rèn)證協(xié)議。協(xié)議引入了切比雪夫混沌映射作為計(jì)算每輪共享秘密的算法，保證了標(biāo)簽與閱讀器的匿名性和信息的安全性，同時(shí)也降低了對(duì)硬件資源的消耗；使用PUF函數(shù)的不可克隆性質(zhì)來(lái)抵抗物理克隆攻擊；利用PUF函數(shù)響應(yīng)值的唯一性作為標(biāo)簽身份認(rèn)證獨(dú)特標(biāo)識(shí)，確保了認(rèn)證消息在傳輸過(guò)程中無(wú)法被監(jiān)聽重放。在降低開銷的同時(shí)來(lái)滿足各種安全屬性的需求，能夠有效抵抗物理克隆攻擊、重放攻擊、去同步攻擊、消息偽造攻擊和消息竄改等惡意攻擊。除此之外，本文使用了非形式化分析和多種形式化分析方法驗(yàn)證了協(xié)議的安全性。與近幾年發(fā)表的RFID協(xié)議進(jìn)行比對(duì)，本文協(xié)議在安全性和開銷方面均具有一定的優(yōu)勢(shì)。綜上所述，本文提出的RFID三方認(rèn)證協(xié)議在保證認(rèn)證安全的同時(shí)降低了開銷，適用于資源受限的移動(dòng)RFID系統(tǒng)。未來(lái)的研究方向是將該協(xié)議應(yīng)用到具體的RFID系統(tǒng)當(dāng)中，對(duì)具體的通信時(shí)間進(jìn)行研究，并尋找繼續(xù)降低計(jì)算量的方法。

參考文獻(xiàn)：

［1］寇廣岳， 魏國(guó)珩， 平源，等. RFID安全認(rèn)證協(xié)議綜述［J］. 計(jì)算機(jī)工程與科學(xué)， 2023，45（1）： 77-84. （Kou Guangyue， Wei Guoheng， Ping Yuan， et al. Overview of RFID security authentication protocol［J］. Computer Engineering and Science， 2023，45（1）： 77-84.）

［2］Fan Kai， Zhu Shanshan， Zhang Kuan， et al. A lightweight authentication scheme for cloud-based RFID healthcare systems［J］. IEEE Network， 2019，33（2）： 44-49.

［3］潘濤， 左開中， 王濤春，等. 移動(dòng)RFID高效率認(rèn)證協(xié)議設(shè)計(jì)［J］. 計(jì)算機(jī)應(yīng)用研究， 2023，40（2）： 595-600. （Pan Tao， Zuo Kaizhong， Wang Taochun， et al. Design of mobile RFID high-efficiency authentication protocol［J］. Application Research of Computers， 2023，40（2）： 595-600.）

［4］尹魏昕， 賈詠哲， 高艷松，等. 物理不可克隆函數(shù) （PUF） 研究綜述［J］. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用， 2018（6）： 41-42，54. （Yin Wei-xin， Jia Yongzhe， Gao Yansong， et al. Review of physical unclonable functions （PUF）［J］. Network Security Technology and Applications， 2018（6）： 41-42，54.）

［5］王利， 李二霞， 紀(jì)宇晨，等. 基于PUF的抗物理克隆RFID安全認(rèn)證協(xié)議［J］. 信息網(wǎng)絡(luò)安全， 2020，20（8）： 89-97. （Wang Li， Li Erxia， Ji Yuchen， et al. PUF based anti physical cloning RFID security authentication protocol［J］. Information Network Security， 2020，20（8）： 89-97.）

［6］王者， 王爭(zhēng)光， 宋賀倫. 基于PUF和LED算法的輕量級(jí)RFID安全認(rèn)證協(xié)議［J］. 電子測(cè)量技術(shù)， 2022，45（14）： 1-7. （Wang Zhe， Wang Zhengguang， Song Helun. Lightweight RFID security authentication protocol based on PUF and LED algorithm［J］. Electro-nic Measurement Technology， 2022，45（14）： 1-7.）

［7］范文兵， 常正泰， 艾璐琳，等. 基于PUF的高安全性輕量級(jí)RFID三方認(rèn)證協(xié)議［J］. 鄭州大學(xué)學(xué)報(bào)： 工學(xué)版， 2023，44（2）：46-52. （Fan Wenbing， Chang Zhengtai， Ai Lulin， et al. A high security lightweight RFID tripartite authentication protocol based on PUF［J］. Journal of Zhengzhou University： Engineering Edition， 2023，44（2）： 46-52.）

［8］Namasudra S， Roy P. A new secure authentication scheme for cloud computing environment［J/OL］. Concurrency and Computation Practice and Experience.（2016-05-12）. https：//doi.org/10.1002/cpe.3864.

［9］李莉， 李澤群， 李雪梅，等. 基于交叉耦合電路的物理不可克隆函數(shù)FPGA實(shí)現(xiàn)［J］. 信息網(wǎng)絡(luò)安全， 2022， 22（3）： 53-61. （Li Li， Li Zequn， Li Xuemei，et al. FPGA implementation of physical unclonable functions based on cross coupled circuits［J］. Information Network Security， 2022，22（3）： 53-61.）

［10］周楠楠. RFID系統(tǒng)中無(wú)源標(biāo)簽的偽隨機(jī)數(shù)發(fā)生器［D］. 西安：西安電子科技大學(xué)， 2015. （Zhou Nannan. Pseudorandom number ge-nerator of RFID passive tag[D].Xian：Xidian University， 2015.）

［11］Mao Wenbo. A structured operational semantic modelling of the Dolev-Yao threat environment and its composition with cryptographic protocols［J］. Computer Standards & Interfaces， 2005，27（5）： 479-488.

［12］Lee C C. A simple key agreement scheme based on chaotic maps for VSAT satellite communications［J］. International Journal of Satellite Communications & Networking， 2013，31（4）： 177-186.

［13］陳惠紅， 陳志剛. 基于偽ID的改進(jìn)的雙向認(rèn)證協(xié)議［J］. 控制工程， 2021，28（10）： 2038-2044. （Chen Huihong， Chen Zhigang. An improved two-way authentication protocol based on pseudo ID［J］. Control Engineering， 2021，28（10）： 2038-2044.）