基于共享秘密的偽隨機散列函數(shù)RFID雙向認證協(xié)議

石樂義　　賈 聰　　宮 劍　　劉 昕　　陳鴻龍(中國石油大學(華東)計算機與通信工程學院　青島　 266555)(上海市金融信息技術研究重點實驗室　上?！?200433)

?

基于共享秘密的偽隨機散列函數(shù)RFID雙向認證協(xié)議

石樂義*①②賈 聰①宮 劍②劉 昕①陳鴻龍①
①(中國石油大學(華東)計算機與通信工程學院青島 266555)
②(上海市金融信息技術研究重點實驗室上海 200433)

摘要：針對資源受限的RFID標簽，結合偽隨機數(shù)和共享秘密機制，該文提出一種基于散列函數(shù)的輕量級雙向認證協(xié)議，實現(xiàn)了后端數(shù)據(jù)庫、閱讀器和標簽之間的雙向認證。詳細分析了雙向認證協(xié)議的抗攻擊性能和效率性能，并基于BAN邏輯分析方法對協(xié)議模型進行了形式化證明。理論分析表明，該文提出的認證協(xié)議能夠?qū)崿F(xiàn)預期安全目標，抗攻擊性能好，認證執(zhí)行效率高且標簽開銷小，適用于大數(shù)量的RFID應用。

關鍵詞：射頻識別；雙向認證協(xié)議；隱私保護；BAN邏輯；散列函數(shù)

1　引言

RFID射頻識別技術是物聯(lián)網(wǎng)的一項關鍵技術，它通常由后端數(shù)據(jù)庫、電子標簽和閱讀器3部分組成。閱讀器通過天線向標簽發(fā)送和接收信號，識別讀取標簽中存儲的信息，并將信息數(shù)據(jù)傳送給后端數(shù)據(jù)庫做進一步處理，從而實現(xiàn)對目標的識別。近年來，由于具有非接觸、耐磨損、壽命長等優(yōu)點，RFID技術受到了廣泛關注。然而，閱讀器與電子標簽之間通過無線信道傳輸數(shù)據(jù)，可能會帶來非授權訪問標簽內(nèi)容、篡改或偽造標簽等安全隱患。在此背景下，RFID隱私安全保護方案如物理機制、認證加密等相繼提出。前者使用非密碼學方式如Kill、阻斷等機制保護RFID標簽數(shù)據(jù)隱私，后者則采用加密方法實現(xiàn)RFID安全通信，如Hash-Lock協(xié)議[1]等。

Hash-Lock協(xié)議是一種基于單向Hash散列函數(shù)的RFID訪問控制方法，通過使用metaID代替真實標簽ID來避免信息泄露。而射頻通信中的標簽一般體積小，內(nèi)部組成簡單，計算存儲能力有限，因而使用散列函數(shù)進行認證加密是合適的。隨機Hash-Lock[2]和Hash鏈[3]則分別將隨機數(shù)和共享秘密機制引入Hash-Lock協(xié)議，能有效防范竊聽和跟蹤攻擊，但仍然存在假冒攻擊等問題。

近年來，研究人員基于Hash散列函數(shù)提出了諸多認證加密方法。文獻[4]設計了一種基于距離的RFID安全認證協(xié)議Noent，通過距離邊界區(qū)分閱讀器是否合法，適合于大量標簽認證的應用，并且由于使用了離線數(shù)據(jù)庫，對于密鑰更新和防范去同步攻擊有利。文獻[5]則基于閱讀器和標簽之間同步的秘密信息，提出了基于數(shù)據(jù)庫服務器和無數(shù)據(jù)庫服務器兩種方式的RFID標簽雙向認證協(xié)議。數(shù)據(jù)庫服務器方式下，同步秘密信息由數(shù)據(jù)庫組件監(jiān)控，因而存在組件失效或被攻擊后秘密信息泄漏的風險；而無數(shù)據(jù)庫服務器方式中，標簽對閱讀器是匿名的，閱讀器對標簽的認證過程需要可信第三方，因而增加了開銷。文獻[6，7]通過RFID標簽發(fā)送隨機數(shù)并使用秘密值替代隨機數(shù)，設計了基于Hash散列函數(shù)的RFID標簽雙向認證協(xié)議，用于解決假冒攻擊、暴力攻擊等問題。文獻[8，9]則分析認為文獻[6，7]的雙向認證協(xié)議并不能抵御去同步、標簽假冒和閱讀器假冒等攻擊，并隨后給出了基于秘密同步的散列函數(shù)和標簽閱讀器雙偽隨機數(shù)改進方案。文獻[10]在Hash鏈基礎上引入偽隨機數(shù)以抵抗重放和竊聽攻擊，標簽在向閱讀器發(fā)送詢問響應消息時需要對更新后的密鑰值加密，密鑰更新代價較大。文獻[11]提出了認證識別的單一會話模式和連續(xù)會話模式的概念，基于Hash函數(shù)設計了一個介于RFID標簽和后端服務器之間的安全認證協(xié)議，并基于GNY邏揖給出了形式化證明。文獻[12]和文獻[13]在標簽和數(shù)據(jù)庫中共享認證密鑰K，每個標簽存儲一個自身標識和認證密鑰的信息對，讓閱讀器和標簽分別產(chǎn)生偽隨機數(shù)Rr和Rt，從而實現(xiàn)標簽和閱讀器間的雙向認證，并在每次認證完成都進行密鑰更新。顯然，標簽產(chǎn)生偽隨機數(shù)和每次都進行密鑰更新，增加了計算開銷。文獻[14]則給出了一種基于密鑰值更新的安全認證協(xié)議，標簽中除存儲標識外，還需存儲上次認證和本次認證使用的索引值和認證密鑰，后端數(shù)據(jù)庫對標簽的認證需要多次查詢和計算，標簽和數(shù)據(jù)庫為了實現(xiàn)同步需要對認證密鑰更新，計算量大。文獻[15]則給出了一種射頻識別空中接口協(xié)議，采用異或運算和對稱加密的方法進行標簽和閱讀器之間的加密認證。對稱加密計算復雜度和資源開銷大，因而對RFID標簽有較高要求。

本文旨在針對RFID系統(tǒng)計算存儲能力有限的特點，設計一種具有良好機密性、完整性、可用性的RFID認證協(xié)議。論文基于單向散列函數(shù)方式，引入偽隨機數(shù)和共享秘密機制，設計了一種計算存儲開銷較小的RFID雙向認證協(xié)議，分析了認證協(xié)議的抗攻擊性能和效率性能，并進一步對協(xié)議模型安全性進行了形式化證明。

2　協(xié)議設計與描述

許多RFID認證算法假定RFID與閱讀器之間通信信道是不安全的，而RFID系統(tǒng)中數(shù)據(jù)庫與閱讀器間通信信道是安全的，認證過程主要關注閱讀器與標簽之間的通信安全。然而，假冒閱讀器在實際應用中會給RFID系統(tǒng)帶來嚴重威脅。因此，本文算法假定RFID與閱讀器之間信道不安全，且閱讀器與后端數(shù)據(jù)庫之間的信道也可能不安全。

本文協(xié)議考慮標簽、閱讀器、后端數(shù)據(jù)庫之間的雙向認證，適用于被動標簽，閱讀器具有偽隨機數(shù)產(chǎn)生器，可獨立生成偽隨機數(shù)；后端數(shù)據(jù)庫和標簽中均設置有兩個散列函數(shù)模塊H(·)和f(·)、異或運算和字符連接運算模塊，用于對偽隨機數(shù)和身份標識進行加密和運算。其中，H(·)是RFID系統(tǒng)散列函數(shù)，而f(·)則是標簽的私有Hash映射，不同標簽使用不同的f(·)單向映射。兩個單向散列函數(shù)的Hash映射為：{0，1}*→{0，1}L，代表了輸入不定長度的二進制數(shù)串，可得到定長為L的二進制數(shù)串輸出。

這里，我們使用Reader，DB，Tag分別表示閱讀器、后端數(shù)據(jù)庫和標簽，以N表示閱讀器產(chǎn)生的偽隨機數(shù)，K是標簽和數(shù)據(jù)庫之間的共享認證密鑰。散列函數(shù)運算、按位異或和字符串按比特連接操作分別用H，f，⊕和‖表示。合法標簽和閱讀器在出廠時被隨機分配一個唯一的身份標識和認證密鑰，同時這些標識和認證密鑰存儲在認證系統(tǒng)的數(shù)據(jù)庫中，合法標簽的唯一身份標識UID(長度為L)、認證密鑰K、私有散列函數(shù)f以三元組(UID，K，f)的方式存儲在后端數(shù)據(jù)庫。后端數(shù)據(jù)庫中同時還存儲與其相對應的閱讀器標識IDR，標簽除了存儲自身三元組標識(UID，K，f)外，還需要存儲系統(tǒng)散列函數(shù)H。RFID雙向認證協(xié)議流程如圖1所示。

RFID雙向認證協(xié)議的具體步驟執(zhí)行如下：

圖1　RFID雙向認證協(xié)議

步驟1閱讀器用偽隨機數(shù)發(fā)生器生成偽隨機數(shù)N，將其和認證詢問請求Query一起發(fā)送至標簽；

步驟 2標簽收到認證請求和偽隨機數(shù)N后，先從自身存儲器中找出K，用私有散列函數(shù)f()對認證密鑰K和偽隨機數(shù)N加密計算后得到M=f(N|| K)，并將其存儲在自身存儲器中，結合自身標識UID，M和偽隨機數(shù)N，運用系統(tǒng)散列函數(shù)H()和邏輯運算操作計算S=UID⊕H(N‖M)，然后將計算結果和M作為詢問響應消息發(fā)給閱讀器；

步驟 3閱讀器將收到的UID⊕H(N‖M)和M，偽隨機數(shù)N和自身身份標識IDR一起發(fā)送給后端數(shù)據(jù)庫；

步驟 4后端數(shù)據(jù)庫收到IDR后，首先與數(shù)據(jù)庫存儲的閱讀器標識比較，驗證閱讀器的合法性。如果不是合法閱讀器，則立刻中斷認證過程，因為假冒的閱讀器與后端數(shù)據(jù)庫進行通信，不僅消耗通信資源，使得其他正常的閱讀器無法與數(shù)據(jù)庫完成通信，還可能因通信請求頻繁使通信系統(tǒng)崩潰，數(shù)據(jù)庫中存儲的大量隱私信息因此泄露。閱讀器驗證通過后，數(shù)據(jù)庫端將收到的M、偽隨機數(shù)N進行系統(tǒng)散列函數(shù)H(·)加密得到H(N‖M)，再與收到的UID⊕H(N‖M)邏輯運算即可快速獲得UID，然后搜索數(shù)據(jù)庫中是否存在標簽標識UID'與UID匹配。如果沒有匹配項，說明閱讀器對標簽認證失敗，該標簽不合法，閱讀器向標簽發(fā)送認證失敗消息；反之若存在匹配項UID'，則表示標簽通過了后臺數(shù)據(jù)庫的第1次認證。數(shù)據(jù)庫還需進一步讀取該標簽認證密鑰K和私有Hash函數(shù)f()，加密計算M'=f(N|| K)，并檢查是否與M一致。若一致，則標簽順利通過第2次認證，后臺數(shù)據(jù)庫計算a=H(K⊕M)，將計算結果a和UID一起發(fā)給已經(jīng)通過認證的閱讀器；否則若不一致，標簽未通過認證，標簽不合法；

步驟 5閱讀器獲得標簽標識UID，同時將a=H(K⊕M)轉(zhuǎn)發(fā)至標簽；

步驟 6RFID標簽收到a后，利用認證密鑰K 和ROM中存儲的M進行一次異或運算和一次散列加密計算可得到b=H(K⊕M)，然后比較b和a是否一致。如若結果一致，則標簽對閱讀器認證成功；否則，標簽對閱讀器認證失敗。

至此，閱讀器和標簽之間已完成雙向身份認證，接下來就可以進行正常的數(shù)據(jù)通信。

3　協(xié)議性能效率分析

3.1 協(xié)議抗攻擊性能分析

本文協(xié)議基于共享秘密機制并引入偽隨機數(shù)和私有散列函數(shù)，認證過程中進行了2次閱讀器認證和2次標簽認證，不使用明文直接傳輸標識數(shù)據(jù)，因此具有較好的抗攻擊性能，分析如下：

(1)假冒攻擊：攻擊者利用偽造的非法標簽、閱讀器乃至后端數(shù)據(jù)庫進行假冒攻擊。對于標簽假冒攻擊，后臺數(shù)據(jù)庫存儲合法標簽的(UID，K，f)，并在認證通信過程中進行2次標簽認證以驗證UID，K 和f是否匹配，只有具有正確三元組的標簽才可以通過認證，因而可以有效防范標簽假冒；對于非法閱讀器，后臺數(shù)據(jù)庫在認證步驟4中對閱讀器標識IDR進行驗證，從而避免非法閱讀器攻擊。在最壞的假冒攻擊情況下，即閱讀器和后臺數(shù)據(jù)庫均為非法假冒，此時閱讀器向合法標簽發(fā)送查詢請求和隨機數(shù)N，合法標簽根據(jù)協(xié)議應答UID⊕H(N‖M)和M，非法后臺數(shù)據(jù)庫獲得消息后，不僅無法獲得合法標簽的三元組(UID，K，f)，并且即便假冒認證通過，合法標簽還要使用自身密鑰K對H(K⊕M)進行計算以驗證是否為正常RFID系統(tǒng)，而非法數(shù)據(jù)庫無法得到K，因而無法通過合法標簽的認證?？梢姡疚膮f(xié)議很好地抵御了假冒攻擊。

(2)重放攻擊：攻擊者收集閱讀器和標簽認證過程中的查詢數(shù)據(jù)(Query，N)和應答響應UID⊕H(N‖M)和M，隨后重放以實現(xiàn)非法訪問。本文協(xié)議引入偽隨機數(shù)進行盲化處理，閱讀器和標簽之間的當前認證數(shù)據(jù)UID⊕H(N‖M)和下次認證通信UID⊕H(N'‖M')不一致，即便攻擊者獲得了標簽UID，但由于N'和M'失效而不能通過認證，因而可以防范重放攻擊。

(3)竊聽攻擊：攻擊者偽裝成合法標簽或閱讀器以竊聽分析認證通信數(shù)據(jù)。本文協(xié)議中，標簽應答消息M=f(N||K)和H(N‖M)是單向散列函數(shù)與偽隨機數(shù)N加密運算的結果，攻擊者無法反向得到標簽密鑰K，因而可以有效抵御竊聽攻擊。

(4)用戶跟蹤：攻擊者根據(jù)多次截獲的相同的標簽認證應答消息確定標簽用戶并進行跟蹤。本文協(xié)議中，標簽用戶每次與閱讀器進行認證通信數(shù)據(jù)M=f(N||K)和S=UID⊕H(N‖M)都在不斷變化和不可連接關聯(lián)，可以解決用戶跟蹤問題。

(5)拒絕服務攻擊：本文協(xié)議對標簽被訪問讀取的次數(shù)沒有限定，標簽收到閱讀器發(fā)送的認證請求和偽隨機數(shù)后，只進行加密運算而無需密鑰更新。因此，相比較密鑰動態(tài)更新的認證協(xié)議而言，當標簽收到多個偽造的認證請求時，不會因為計算量過大而停止工作?？梢?，本文協(xié)議具有一定的抗拒絕服務攻擊能力。

(6)前向安全性：每次認證過程中標簽的私有哈希映射f(·)都對認證密鑰K與偽隨機數(shù)N邏輯運算后的結果進行了加密，而且每次都隨機產(chǎn)生N，因此即使認證密鑰K被攻擊者獲取，它也無法獲取該標簽的歷史活動信息，從而有效實現(xiàn)了系統(tǒng)的前向安全性。

表1給出了本文所提出的基于共享秘密和偽隨機機制的雙散列函數(shù)認證協(xié)議與幾種經(jīng)典輕量級RFID認證協(xié)議，即Hash-Lock協(xié)議[1]、隨機Hash-Lock協(xié)議[2]、Hash鏈協(xié)議[3]、數(shù)字圖書館協(xié)議[16]、LCAP協(xié)議[17]和雜湊ID變化協(xié)議[18]等認證協(xié)議與本文協(xié)議安全性能的比較。

表1　抗攻擊性能對比

表中使用“×”表示協(xié)議可能會遭受相應的攻擊，不具備相應的安全性；用“√”表示協(xié)議具備相應的安全性，可以避免相應的攻擊。本文協(xié)議在用戶跟蹤、拒絕服務、重放攻擊、竊聽等方面具備良好的安全防護，并且可以抵御假冒標簽、假冒閱讀器乃至假冒數(shù)據(jù)庫等攻擊。

3.2 協(xié)議執(zhí)行效率分析

本文協(xié)議認證過程中，閱讀器進行1次偽隨機數(shù)生成，標簽進行2次哈希運算，后端數(shù)據(jù)庫則進行1次搜索查詢操作和2次哈希運算，數(shù)據(jù)庫只需執(zhí)行1次UID的搜索查詢即可驗證標簽的合法性，而不是通過對數(shù)據(jù)庫中的標簽標識逐個進行散列計算匹配來找到驗證，大大降低了計算和搜索匹配的復雜度。本文協(xié)議中，標簽不需要產(chǎn)生偽隨機數(shù)，降低了標簽的復雜性和制造成本。表2給出了與前述幾種經(jīng)典常用協(xié)議效率性能的比較結果，其中n表示系統(tǒng)中待認證的標簽數(shù)目，j表示正在進行第j次通信認證，R表示偽隨機數(shù)的產(chǎn)生操作次數(shù)，H表示散列運算的次數(shù)。為了方便比較，這里將標簽標識UID、共享認證密鑰K和偽隨機數(shù)的長度比特統(tǒng)一設定為L。

從表2可以看出，在標簽和后端數(shù)據(jù)庫的存儲開銷上，幾種認證協(xié)議相差不大，隨機Hash-Lock協(xié)議的存儲開銷最低，而雜湊ID變化協(xié)議存儲開銷最多。在計算開銷方面，由于Hash-Lock協(xié)議和隨機Hash-Lock協(xié)議后端數(shù)據(jù)庫沒有采用散列運算，因而計算開銷最低，但也失去安全保障；Hash鏈協(xié)議后端數(shù)據(jù)庫計算開銷和存儲開銷都與標簽數(shù)量n成正比，不適合用于大規(guī)模標簽應用；數(shù)字圖書館認證協(xié)議在標簽中產(chǎn)生偽隨機數(shù)，增加了標簽的成本和復雜性。本文協(xié)議標簽和后端數(shù)據(jù)庫的存儲開銷與其他認證協(xié)議相當(僅高于隨機Hash-Lock協(xié)議)，計算開銷均為2H，并且實現(xiàn)了雙向認證和各安全性目標。這意味著每增加1個標簽，本文協(xié)議將增加2次后端數(shù)據(jù)庫Hash計算和1次隨機數(shù)生成，因此本文協(xié)議可適用于標簽數(shù)量多的系統(tǒng)。

表2　效率性能比較

4　協(xié)議BAN邏輯分析與安全性證明

為了形式化分析和證明本文加密認證協(xié)議的安全性，我們采用BAN邏輯分析方法[19]進行證明。

4.1 協(xié)議模型形式化描述

首先對本文協(xié)議的認證加密過程進行簡化：閱讀器和標簽分別用R和T表示，標簽向閱讀器發(fā)送了自身標識UID，本文協(xié)議中閱讀器雖然沒有將自身標識發(fā)送給標簽，但形式化分析簡化具體認證過程，抽象化之后可以認為閱讀器向標簽發(fā)送了標識IDR。這樣，本文協(xié)議模型可以形式化描述為：

考慮到通常假定后端數(shù)據(jù)庫和閱讀器之間的通信信道是安全的，因而可將閱讀器和后端數(shù)據(jù)庫看作同一認證主體R，標簽則是另一認證主體T，協(xié)議模型可進一步形式化為：

4.2 協(xié)議安全目標

4.3 協(xié)議初始假設

4.4 協(xié)議證明分析

再根據(jù)隨機數(shù)驗證規(guī)則

再根據(jù)隨機數(shù)驗證規(guī)則

通過以上BAN邏輯證明分析可知，本文協(xié)議實現(xiàn)了安全目標，標簽和閱讀器之間實現(xiàn)了安全的雙向認證。

5　結束語

本文在分析借鑒近年來國內(nèi)外RFID認證加密協(xié)議方面的研究工作的基礎上，設計了一種基于共享秘密的偽隨機散列函數(shù)RFID雙向認證協(xié)議。認證協(xié)議中引入標簽私有Hash函數(shù)f并由后端數(shù)據(jù)庫和標簽共享，用于實現(xiàn)標簽對閱讀器和后端服務器的反向認證，強化標簽密鑰K的保護，提高了抵御竊聽和假冒攻擊的性能；引入偽隨機數(shù)并由閱讀器而不是標簽產(chǎn)生，實現(xiàn)對認證通信數(shù)據(jù)的盲化處理，有效防范重放攻擊，也降低了標簽計算存儲開銷；將標簽UID與系統(tǒng)單向散列函數(shù)的邏輯運算結果作為應答消息，大幅減少了后端數(shù)據(jù)庫的查詢開銷，也在一定程度上保障了認證通信的機密性。在此基礎上，本文分析了認證協(xié)議的抗攻擊性能和效率性能，并基于經(jīng)典的BAN邏輯分析方法對協(xié)議模型進行了分析，證明了本文協(xié)議能夠?qū)崿F(xiàn)預期安全目標。

參考文獻

[1]HUANG H F，YU P K，and LIU K C.A privacy and authentication protocol for mobile RFID system[C].2014 IEEE International Symposium on Independent Computing，IEEE，Orlando，USA，2014:1-6.

[2]NYALAMADUGU S，LIU J，and DE VELASCO CORTINA F M.Methods and apparatus for preserving privacy in an RFID system[P].U.S.Patent 8710960.2014.

[3]LI N，MU Y，SUSILO W，et al.Privacy-preserving Authorized RFID Authentication Protocols[M].Radio Frequency Identification:Security and Privacy Issues.Springer International Publishing，Berlin，Germany，2014:108-122.

[4]PERIS-LOPEZ P，ORFILA A，PALOMAR E，et al.A secure distance-based RFID identification protocol with an off-line back-end database[J].Personal and Ubiquitous Computing，2012，16(3):351-365.

[5]HAN S，DILLON T，POTDAR V，et al.RFID mutual authentication protocols for tags and readers with and without a server[J].Computer Systems Science and Engineering，2013，28(2):91-99.

[6]CHO J S，YEO S S，and KIM S K.Securing against bruteforce attack:A hash-based RFID mutual authentication protocol using a secret value[J].Computer Communications，2011，34(3):391-397.

[7]CHO J S，JEONG Y S，and PARK S O.Consideration on the brute-force attack cost and retrieval cost:A hash-basedradio-frequency identification(RFID)tag mutual authentication protocol[J].Computers ＆ Mathematics with Applications，2012:1-8.

[8]Kim H.RFID mutual authentication protocol based on synchronized secret[J].International Journal of Security ＆ Its Applications，2013，7(4):37-49.

[9]SAFKHANI M，PERIS-LOPEZ P，HERNANDEZ-CASTRO J C，et al.Cryptanalysis of the Cho et al.protocol:a hash-based RFID tag mutual authentication protocol[J].Journal of Computational and Applied Mathematics，2014，259:571-577.

[10]周曄.基于Hash鏈的RFID雙向認證協(xié)議研究[D].[碩士論文]，西南交通大學，2012.ZHOU Y.Research on RFID mutual authentication protocol based on Hash chain[D].[Master dissertation]，South West Jiaotong University，2012.

[11]丁振華，李錦濤，馮波.基于 Hash 函數(shù)的 RFID 安全認證協(xié)議研究[J].計算機研究與發(fā)展，2009，46(4):583-592.DING Z，LI J，and FENG B.Research on Hash-based RFID security authentication protocol[J].Journal of Computer Research and Development，2009，46(4):583-592.

[12]孫肖，趙澤茂.一種基于哈希函數(shù)的RFID雙向認證協(xié)議[J].杭州電子科技大學學報，2012，32(6):29-32.SUN X and ZHAO Z.A Hash-based mutual authentication protocol for the RFID system[J].Journal of Hangzhou Dianzi University，2012，32(6):29-32.

[13]蔡豪.RFID安全認證協(xié)議的研究與設計[D].[碩士論文]，華中科技大學，2010.CAI H.Studies on RFID security authentication protocol[D].[Master dissertation]，Huazhong University of Science ＆Technology，2010.

[14]李斌.RFID安全協(xié)議的研究[D].[碩士論文]，復旦大學，2012.LI B.Research on RFID security protocol[D].[Master dissertation]，F(xiàn)udan University，2012.

[15]信息技術射頻識別800/900 MHz空中接口協(xié)議[S].北京:中國標準出版社，2013，GB/T29768-2013.Information technology-radio frequency identification air interface protocol at 800/900 MHz[S].Beijing:Standards Press of China，2013，GB/T 29768-2013.

[16]WANG J，F(xiàn)LOERKEMEIER C，and SARMA S E.Session-based security enhancement of RFID systems for emerging open-loop applications[J].Personal and Ubiquitous Computing，2014，18(8):1881-1891.

[17]MAMUN M S I and MIYAJI A.A privacy-preserving efficient RFID authentication protocol from SLPN assumption[J].International Journal of Computational Science and Engineering，2015，10(3):234-243.

[18]SHOARINEJAD K and SOLTAN M.Systems and methods for RFID security[P].U.S.Patent Application 14/592，455.2015-1-8.

[19]BURROWS M，ABADI M，and NEEDHAM R M.A logic of authentication[C].Proceedings of the Royal Society of London.A:Mathematical and Physical Sciences.The Royal Society，London，1989，426(1871):233-271.

石樂義：男，1975年生，博士，教授，碩士生導師，研究方向為網(wǎng)絡與信息安全、博弈理論、移動計算.

賈 聰：男，1989年生，碩士生，研究方向為網(wǎng)絡與信息安全、移動支付安全.

宮 劍：男，1975年生，碩士，高級工程師，研究方向為金融信息管理.

劉 昕：女，1974年生，博士，講師，研究方向為網(wǎng)絡與信息安全、社會計算.

陳鴻龍：男，1982年生，博士，副教授，研究方向為無線傳感器網(wǎng)絡、網(wǎng)絡安全、物聯(lián)網(wǎng).

RFID Mutual Authentication Protocol on Pseudo-random Hash Function with Shared Secrets

SHI Leyi①②JIA Cong①GONG Jian②LIU Xin①CHEN Honglong①
①(College of Computer and Communication Engineering，China University of Petroleum，Qingdao 266555，China)
②(Shanghai Key Laboratory of Financial Information Technology，Shanghai 200433，China)

Abstract:Concerning the resource-limited RFID tags，this paper presents a lightweight mutual authentication scheme based on Hash function，combining with the pseudo-random number and shared secret mechanisms，and implements the mutual authentication among the end database，reader and the tags.The anti-attack performance and the overhead of the scheme are analyzed in detail.Afterwards，the protocol security model is formalized using BAN logical analysis method.Theoretical analysis shows that the proposed authentication scheme could achieve the desired security goals，has good anti-attack performance and high efficiency.It can be applied to big population RFID since its low overhead for RFID tags.

Key words:Radio Frequency IDentification(RFID); Mutual authentication protocol; Privacy protection; BAN logic; Hash function

基金項目：國家自然科學基金(61309024)，上海市金融信息技術研究重點實驗室開放課題(2015)，山東省重點研發(fā)計劃項目(2015GGX101045)

*通信作者：石樂義shileyi@upc.edu.cn

收稿日期：2015-06-01，改回日期：2015-11-08；網(wǎng)絡出版：2015-12-18

DOI:10.11999/JEIT150653

中圖分類號：TP391.45

文獻標識碼：A

文章編號：1009-5896(2016)02-0361-06

Foundation Items:The National Natural Science Foundation of China(61309024)，The Funding of Shanghai Key Laboratory of Financial Information Technology(2015)，Shandong Provincial Key Program of Research and Development(2015GGX191945)