基于ECC的支持標(biāo)簽所有權(quán)轉(zhuǎn)移的RFID認(rèn)證協(xié)議

楊興春，許春香，李朝榮

(1.電子科技大學(xué) 計算機科學(xué)與工程學(xué)院，成都 611731； 2.四川警察學(xué)院 計算機科學(xué)與技術(shù)系，四川 瀘州 646000；3.宜賓學(xué)院 計算機與信息工程學(xué)院，四川 宜賓 644000)

(*通信作者電子郵箱Yangxc2004@163.om)

基于ECC的支持標(biāo)簽所有權(quán)轉(zhuǎn)移的RFID認(rèn)證協(xié)議

楊興春1,2*，許春香1，李朝榮3

(1.電子科技大學(xué) 計算機科學(xué)與工程學(xué)院，成都 611731； 2.四川警察學(xué)院 計算機科學(xué)與技術(shù)系，四川 瀘州 646000；3.宜賓學(xué)院 計算機與信息工程學(xué)院，四川 宜賓 644000)

(*通信作者電子郵箱Yangxc2004@163.om)

針對射頻識別(RFID)標(biāo)簽認(rèn)證及其所有權(quán)轉(zhuǎn)移過程的隱私泄露等安全問題，以及認(rèn)證協(xié)議通常與標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議單獨設(shè)計的現(xiàn)狀，基于支持橢圓曲線加密(ECC)的標(biāo)簽，提出了一個適用于開放環(huán)境的兼具標(biāo)簽認(rèn)證和所有權(quán)轉(zhuǎn)移的協(xié)議。該協(xié)議結(jié)構(gòu)類似于Diffie-Hellman密鑰交換算法結(jié)構(gòu)，協(xié)議的標(biāo)簽隱私保護基于橢圓曲線上的計算性Diffie-Hellman問題的難解性。經(jīng)證明，該協(xié)議滿足標(biāo)簽隱私保護要求及認(rèn)證協(xié)議的其他安全需求。與近年來其他基于標(biāo)簽支持ECC的RFID認(rèn)證協(xié)議相比，從支持標(biāo)簽所有權(quán)轉(zhuǎn)移、標(biāo)簽計算開銷、協(xié)議通信開銷和標(biāo)簽隱私保護等多方面綜合評估，所提出的認(rèn)證協(xié)議優(yōu)于對比協(xié)議。另外，針對較安全的應(yīng)用場合，給出了閱讀器單向認(rèn)證標(biāo)簽的簡化版協(xié)議。

射頻識別；認(rèn)證協(xié)議；標(biāo)簽；所有權(quán)轉(zhuǎn)移；橢圓曲線加密

0 引言

射頻識別技術(shù)(Radio-Frequency Identification，RFID)作為物聯(lián)網(wǎng)的主要技術(shù)之一，目前已廣泛應(yīng)用于工業(yè)和商業(yè)領(lǐng)域，如智能控制、車載物聯(lián)網(wǎng)、供應(yīng)鏈管理、門禁訪問控制、智能醫(yī)療管理等。一個典型的RFID應(yīng)用系統(tǒng)由標(biāo)簽(Tag)、閱讀器/查詢器(Reader/Interrogator)、后臺服務(wù)器(Back-end Server)組成?；谥圃斐杀究紤]，標(biāo)簽的計算能力和存儲能力有限。根據(jù)芯片供電來源，標(biāo)簽分為三類：有源標(biāo)簽、無源標(biāo)簽和半有源標(biāo)簽。有源標(biāo)簽由芯片集成電池供電，可主動發(fā)送信號，通信距離較長。無源標(biāo)簽內(nèi)置線圈天線，靠閱讀器發(fā)送的射頻能量供電，因而其通信距離有限。半有源標(biāo)簽在休眠狀態(tài)時由集成于芯片的電池供電，以維持芯片電路所需能量；當(dāng)與閱讀器通信時，靠閱讀器發(fā)送的射頻能量供電。閱讀器具有較強的計算能力，用于查詢標(biāo)簽并轉(zhuǎn)發(fā)收到的標(biāo)簽信息至后臺服務(wù)器。后臺服務(wù)器有很強的計算能力和存儲能力，用于檢索/盤點標(biāo)簽及其所附著物品的信息。RFID系統(tǒng)典型結(jié)構(gòu)如圖1所示。

對標(biāo)簽的認(rèn)證是RFID系統(tǒng)的基本功能。標(biāo)簽中存儲有標(biāo)簽標(biāo)識符、密鑰等秘密信息，只有當(dāng)服務(wù)器(通過閱讀器)成功認(rèn)證標(biāo)簽后，用戶才能從系統(tǒng)數(shù)據(jù)庫中檢索到該標(biāo)簽及其附著物品的相關(guān)信息。因此，在協(xié)議層面上，RFID應(yīng)用需要標(biāo)簽認(rèn)證協(xié)議作為支撐。

基于RFID的應(yīng)用(尤其是供應(yīng)鏈管理)，標(biāo)簽會從制造商轉(zhuǎn)移到標(biāo)簽發(fā)行者，再由發(fā)行者轉(zhuǎn)移到物品供應(yīng)商，或再從一級物品供應(yīng)商轉(zhuǎn)移到二級供應(yīng)商，并最終隨商品流通至用戶。在標(biāo)簽轉(zhuǎn)移過程中，其標(biāo)識符和密鑰等信息(即標(biāo)簽所有權(quán)，Tag ownership)將會從標(biāo)簽當(dāng)前擁有者的服務(wù)器轉(zhuǎn)移到新?lián)碛姓叩姆?wù)器。此后，新的擁有者便能利用閱讀器成功發(fā)起對標(biāo)簽的認(rèn)證，并獲取標(biāo)簽及其附著產(chǎn)品的相關(guān)信息。因此，標(biāo)簽所有權(quán)轉(zhuǎn)移也需要相應(yīng)協(xié)議的支撐。

圖1 RFID系統(tǒng)典型結(jié)構(gòu)Fig. 1 Typical structure of an RFID system

但隨著RFID技術(shù)的深入應(yīng)用，各種安全問題也隨之而來，如標(biāo)簽及其持有者的隱私泄露問題、標(biāo)簽數(shù)據(jù)的安全問題[1]等。導(dǎo)致這些問題的原因之一是標(biāo)簽性能低，如僅支持異或運算、冗余校驗、偽隨機數(shù)產(chǎn)生器(為了控制標(biāo)簽的商用成本)；另一個原因是RFID協(xié)議的設(shè)計缺陷和協(xié)議安全模型的缺乏?？紤]到對安全要求較高的應(yīng)用，如各類金融卡、電子護照/駕照、重要門禁等，低性能標(biāo)簽已不能滿足此類應(yīng)用要求。因此，支持公鑰加密、尤其是橢圓曲線加密(Elliptic Curve Cryptography, ECC)的標(biāo)簽應(yīng)運而生[2-7]。

1 相關(guān)工作

文獻[8]提出了第一個基于ECC的RFID標(biāo)簽認(rèn)證協(xié)議，但該協(xié)議對標(biāo)簽的身份標(biāo)識符沒有采取保護措施，因此標(biāo)簽不具有匿名性，存在隱私泄露問題；文獻[9]提出了一個閱讀器-標(biāo)簽雙向認(rèn)證協(xié)議，但文獻[10]中指出該協(xié)議不具備標(biāo)簽隱私保護，并易受標(biāo)簽假冒攻擊和服務(wù)器假冒攻擊；基于文獻[9]的工作，文獻[11]提出了一個改進的認(rèn)證協(xié)議，但文獻[12]中指出該協(xié)議不具有標(biāo)簽的前向隱私保護，并引入Hash函數(shù)改進了該協(xié)議；文獻[13]提出了基于ECC的雙向認(rèn)證協(xié)議，并聲稱該協(xié)議達到了標(biāo)簽的強隱私保護，但文獻[14]的分析表明，在主動攻擊的情況下，該協(xié)議并不具有標(biāo)簽隱私保護，同時該文獻也給出了一個改進版的協(xié)議；文獻[15]提出了一個基于ECC的認(rèn)證協(xié)議，但是該協(xié)議一次執(zhí)行，標(biāo)簽計算開銷大(需要計算5個橢圓曲線點乘)，并易受密鑰泄露攻擊[16]；文獻[17]基于ECC和Hash函數(shù)，設(shè)計了一個雙向認(rèn)證協(xié)議，但是文獻[18]中指出該協(xié)議容易遭受拒絕服務(wù)攻擊。

對于標(biāo)簽所有權(quán)轉(zhuǎn)移，通常情況下:1)標(biāo)簽(Ti)的當(dāng)前擁有者(OC)為防止新的擁有者(ON)分析Ti在所有權(quán)轉(zhuǎn)移之前的歷史行為，會發(fā)起與Ti的認(rèn)證，并改變標(biāo)簽中的密鑰(甚至標(biāo)識符)等所有權(quán)信息；2)OC將更新后的標(biāo)簽所有權(quán)信息發(fā)送給ON；3)為防止OC發(fā)起對Ti的后續(xù)認(rèn)證及分析其后續(xù)行為，ON會發(fā)起一次與Ti的認(rèn)證，并更新Ti中的密鑰(甚至標(biāo)簽符)等信息以完成標(biāo)簽所有權(quán)轉(zhuǎn)移。

文獻[19]給出了一個具有標(biāo)簽身份驗證、雙向認(rèn)證和所有權(quán)轉(zhuǎn)移的方案，該方案由標(biāo)簽初始化、雙向認(rèn)證子協(xié)議、標(biāo)簽發(fā)行者驗證子協(xié)議及標(biāo)簽所有權(quán)轉(zhuǎn)移子協(xié)議構(gòu)成；但該方案易受標(biāo)簽以前持有者發(fā)起的隱私攻擊。文獻[20]也提出了一個基于公鑰加密的標(biāo)簽所有權(quán)轉(zhuǎn)移方案，但所有權(quán)轉(zhuǎn)移過程需要一個可信第三者參與。雖然文獻[19-20]中的方案都支持標(biāo)簽認(rèn)證和所有權(quán)轉(zhuǎn)移功能，但方案較復(fù)雜；而目前大部分的認(rèn)證協(xié)議僅具有標(biāo)簽認(rèn)證功能。因此，為簡化協(xié)議設(shè)計及方便RFID應(yīng)用，設(shè)計安全的、并具備標(biāo)簽所有權(quán)轉(zhuǎn)移功能的認(rèn)證協(xié)議顯得很有必要。

基于上述工作，針對支持橢圓曲線加密的標(biāo)簽，本文提出了一個閱讀器與標(biāo)簽的雙向認(rèn)證協(xié)議。該協(xié)議具備：1)支持標(biāo)簽所有權(quán)轉(zhuǎn)移；2)閱讀器常量時間識別標(biāo)簽；3)閱讀器與標(biāo)簽的雙向認(rèn)證；4)標(biāo)簽隱私保護；5)滿足其他安全要求；6)標(biāo)簽計算開銷和協(xié)議通信開銷小。此外還給出了該協(xié)議的簡化版，該簡化版協(xié)議僅實現(xiàn)閱讀器對標(biāo)簽的單向認(rèn)證，以減小協(xié)議開銷，但不支持標(biāo)簽所有權(quán)轉(zhuǎn)移。

2 預(yù)備知識

2.1 橢圓曲線加密

文獻[21-22]提出了橢圓曲線加密體制：素域GF(q)上的橢圓曲線E(a,b)是對于固定的a和b，滿足形如方程y2=x3+ax+b(modq)(4a3+27b2≠0 (modq))的所有點，外加一個無窮遠(yuǎn)點O的集合。橢圓曲線上的加法運算法則[23]包括：

1)加法單位元為O。

2)若P、Q為互逆點,則P+Q=O。

3)若P(xP,yP)與Q(xQ,yQ)不為互逆點,則P+Q=R(xR,yR)，其中：xR=λ2-xP-xQ,yR=λ(xP-xR)-yP，λ=(yQ-yP)/(xQ-xP)。

5)標(biāo)量乘法：mP=P+P+…+P(共m個點作加法運算)。此外，加法運算還滿足交換律和結(jié)合律。

2.2 計算性Diffie-Hellman 問題

2.3 單向Hash函數(shù)

單向Hash函數(shù)h(·)是能將任意長度的輸入串/消息X映射到一個固定長度串Y的函數(shù)，其輸出串Y稱為X的Hash值，該函數(shù)具有如下性質(zhì)[24]：1)X為任意長度；2)Y長度固定；3)給定算法h(·)和X，容易計算得到Y(jié)；4)給定算法h(·)，要找到兩個不同的輸入串x1≠x2，使得h(x1)=h(x2)是計算上不可行的。

如果Hash函數(shù)h(·):X→Y是安全的Hash函數(shù)，那么下面三個問題是難解的：1)原像問題，即已知y∈Y，求x∈X，使得h(x)=y是困難的；2)第二原像問題，即已知x∈X，求x′∈X，使得x≠x′且h(x)=h(x′)成立；3)碰撞問題，即找到x,x′∈X，使得x≠x′且h(x)=h(x′)成立。

3 提出的RFID認(rèn)證協(xié)議

針對支持ECC的RFID標(biāo)簽，本章提出一個閱讀器與標(biāo)簽的雙向認(rèn)證協(xié)議。下面給出本文所使用的符號和協(xié)議的流程描述，并給出相應(yīng)解釋。

3.1 符號

為方便描述，表1列出了后續(xù)章節(jié)所使用的相關(guān)符號。

表1 符號說明Tab. 1 Notations

3.2 協(xié)議描述

由于閱讀器和后臺服務(wù)器支持復(fù)雜的密碼運算，具有較強的運算能力和存儲能力，雙方在通信前會建立安全信道。因此，為簡單起見又不失一般性，假定閱讀器集成后臺數(shù)據(jù)庫。圖2給出了本文所提出協(xié)議(簡稱PI)的流程描述。

R(toi,ti,y,Y=yP,P) Ti(ti,Y,P)r1∈RZ*n,M1=r1P M1→ r2∈RZ*nM2=r2Pk=r2(M1+Y)m3=ti+h(M1,M2,k)m4=h(M2,k,ti)M2,m3,m4←k=(r1+y)M2t'i=m3-h(M1,M2,k)m'4=h(M2,k,ti)m″4=h(M2,k,toi)searchest'iindatabaseif(ti=t'iandm4=m'4)or(toi=t'iandm4=m″4) returnstagsinformationandcomputes: m5=h(M1,M2,k,t'i) toi=t'i ti=[h(t'i,k)]lTelsereturnsm5∈R{0,1}lHm5→if(m5=h(M1,M2,k,ti))computesti=[h(ti,k)]LTelseauthenticationfailed

圖2 本文協(xié)議PI的流程

Fig. 2 Process of the proposed protocol (abbreviated as PI)

1)閱讀器R產(chǎn)生一個隨機數(shù)r1，并計算M1=r1P，然后發(fā)送M1至標(biāo)簽Ti。

2)當(dāng)收到M1，標(biāo)簽Ti產(chǎn)生隨機數(shù)r2，并計算M2=r2P,k=r2(M1+Y),m3=ti+h(M1,M2,k)和m4=h(M2,k,ti)，然后發(fā)送M2,m3和m4至R。

4)收到m5后，Ti檢查m5=h(M1,M2,k,ti)是否成立，如果成立，Ti計算并更新標(biāo)識符為ti=[h(ti,k)]lT；否則，Ti認(rèn)證R失敗，不更新身份標(biāo)識符。

4 協(xié)議分析

本章將從協(xié)議層面對協(xié)議支持標(biāo)簽所有權(quán)轉(zhuǎn)移、閱讀器識別標(biāo)簽時間、閱讀器-標(biāo)簽雙向認(rèn)證、標(biāo)簽的隱私保護及協(xié)議的其他安全屬性要求進行證明和分析。

4.1 支持標(biāo)簽所有權(quán)轉(zhuǎn)移

若標(biāo)簽持有者R1欲將標(biāo)簽Ti的所有權(quán)轉(zhuǎn)移給新的持有者R2，只需：

1)R1向Ti寫入R2的公鑰及R2使用的群的生成元。

2)R1將Ti的標(biāo)識符及其相關(guān)信息通過安全信道發(fā)送至R2。

3)R2與Ti執(zhí)行一次協(xié)議(以便進行相互認(rèn)證并更新標(biāo)識符)，即可完成該標(biāo)簽的所有權(quán)轉(zhuǎn)移。

因此，協(xié)議PI具有閱讀器-標(biāo)簽相互認(rèn)證與標(biāo)簽所有權(quán)轉(zhuǎn)移功能，且所有權(quán)轉(zhuǎn)移過程簡單、高效，不需要另行設(shè)計標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議，也不需要可信第三方參與。

4.2 標(biāo)簽常量時間識別

4.3 閱讀器-標(biāo)簽雙向認(rèn)證

另一方面，在收到R發(fā)來的消息m5后，Ti驗證m5是否等于h(M1,M2,k,ti)。由于m5是由R所存儲的標(biāo)簽標(biāo)識符參與計算得到，因此，若驗證成功，則實現(xiàn)了標(biāo)簽對閱讀器的認(rèn)證。

4.4 標(biāo)簽隱私保護

4.4.1 標(biāo)簽?zāi)涿?/p>

4.4.2 標(biāo)簽前向隱私安全

在RFID應(yīng)用系統(tǒng)中，由于閱讀器與標(biāo)簽的通信信道為無線信道，敵手可竊聽、攔截、篡改、偽造通信雙方的交互信息，甚至破解標(biāo)簽從而獲得標(biāo)簽的內(nèi)部數(shù)據(jù)(包括身份標(biāo)識符、標(biāo)簽密鑰等所有信息)。如果一個概率多項式時間敵手A，在破解標(biāo)簽之后，仍無法識別該標(biāo)簽與閱讀器的后續(xù)交互信息，則稱標(biāo)簽是前向隱私安全的(協(xié)議具備標(biāo)簽前向隱私保護)；如果A在破解標(biāo)簽之后，無法識別該標(biāo)簽未被破解之前的與閱讀器的交互信息，則稱標(biāo)簽是后向隱私安全的(協(xié)議具備標(biāo)簽后向隱私保護)。根據(jù)文獻[25-27]，給出如下基于挑戰(zhàn)者游戲的標(biāo)簽前向和后向隱私安全證明。

2)第二階段：因挑戰(zhàn)者C知道所有標(biāo)簽的身份標(biāo)識符和閱讀器的私鑰，C可以為A提供真實的攻擊環(huán)境，即當(dāng)A竊聽、攔截、篡改或偽造任意標(biāo)簽與閱讀器的通信消息，甚至破解標(biāo)簽以獲取其內(nèi)部信息時，C按真實場景進行模擬并返回相應(yīng)的結(jié)果給A。

證明 在挑戰(zhàn)之前，由于T0和T1已被A攻破，即A已知兩者的身份標(biāo)識符。若A贏得游戲，則他必定通過下面三種方式確定哪一個標(biāo)簽被選中。

3)根據(jù)第三階段挑戰(zhàn)者返回的協(xié)議執(zhí)行腳本：M1=αP,M2=βP,m3=tb+h(M1,M2,k)m4=h(M2,k,tb)和m5=h(M1,M2,k,tb)來推導(dǎo)T0還是T1被選中，即找到協(xié)議執(zhí)行腳本與被選中標(biāo)簽的關(guān)聯(lián)，那么A可以：

①通過猜測隨機數(shù)α或β，從而計算出臨時密鑰k，并進一步計算出tb=m3-h(M1,M2,k)。但是A猜中正確的隨機數(shù)α或β的概率為1/lN，即這種方式正確推測出b′的概率為1/lN。

由于1)、2)和①方式猜測正確的b′的概率可忽略不計，若A以不可忽略的概率給出正確的b′(即攻破協(xié)議的標(biāo)簽前向隱私保護)，那么他必然以不可忽略的概率正確地計算出了臨時密鑰k。因此，挑戰(zhàn)者C就能以不可忽略的概率計算出k′=k-yM2，也即：由M1=αP和M2=βP計算出k′=αβP，從而解決橢圓曲線上的CDHP問題。

綜合1)、2)和3)，協(xié)議PI具備標(biāo)簽前向隱私保護。

4.4.3 標(biāo)簽后向隱私安全

證明 由于4.4.2節(jié)已證明：即使A在知道T0和T1身份標(biāo)識符的情況下，仍無法以不可忽略的概率給出正確的b′，因此，在未知標(biāo)簽身份標(biāo)識符的條件下，A攻破標(biāo)簽后向隱私安全的概率是可忽略的。

4.5 協(xié)議其他安全屬性分析

4.5.1 抵抗標(biāo)簽假冒攻擊

當(dāng)閱讀器R發(fā)送隨機數(shù)給標(biāo)簽Ti后，Ti回送閱讀器M2=r2P,m3=ti+h(M1,M2,k)和m4=h(M2,k,ti)，由于m3和m4是由標(biāo)識符ti參與計算得來，在未知ti的情況下，攻擊者不能偽造m3和m4，除非以概率1/lT猜中ti。

4.5.2 抵抗閱讀器假冒攻擊

攻擊者不能偽造閱讀器R發(fā)送的第三輪消息m5=h(M1,M2,k,ti)，以達到假冒R從而通過標(biāo)簽的驗證。因為臨時密鑰k和標(biāo)簽標(biāo)識符ti參與了對m5的計算。在未知ti和閱讀器私鑰y的情況下，敵手不能偽造m5，除非以概率1/lT猜中正確的ti和y。

4.5.3 抵抗中間人攻擊

由于閱讀器與標(biāo)簽共享的ti參與了第二輪消息M2,m3,m4和第三輪消息m5的計算，且閱讀器的私鑰y也參與了對m5的計算，因此，該協(xié)議抵抗中間人攻擊。

4.5.4 抵抗消息重放攻擊

協(xié)議使用的臨時密鑰k由閱讀器與標(biāo)簽臨時產(chǎn)生的隨機數(shù)r1和r2計算得到，協(xié)議的第二輪消息和第三輪消息均由k參與計算得到。因此，該協(xié)議抵抗消息重放攻擊。

4.5.5 抵抗去同步攻擊

4.5.6 抵抗拒絕服務(wù)攻擊

目前，絕大部分RFID認(rèn)證協(xié)議都由閱讀器首先發(fā)起協(xié)議會話，該類協(xié)議不可避免地存在攻擊者持續(xù)發(fā)動第一輪消息以阻止標(biāo)簽響應(yīng)合法閱讀器發(fā)起的認(rèn)證會話，或阻塞第二輪消息以阻止閱讀器接收合法標(biāo)簽的響應(yīng)信號。如果應(yīng)用中頻繁出現(xiàn)認(rèn)證不成功的情況，可通過外部的物理設(shè)備(如無線信號探測儀)對此類攻擊進行監(jiān)測。

另外，為使閱讀器認(rèn)證標(biāo)簽頻繁失敗而不再響應(yīng)標(biāo)簽信息，攻擊者可通過阻塞PI的第三輪消息進行去同步攻擊。但PI實現(xiàn)了閱讀器與標(biāo)簽的再同步功能，可以抵抗此類攻擊。

5 協(xié)議性能對比

由于標(biāo)簽屬于計算受限設(shè)備，本章從標(biāo)簽的計算開銷和協(xié)議的通信開銷兩個方面，對所提出協(xié)議PI與近期其他基于標(biāo)簽支持ECC的協(xié)議[9,11-15, 17]進行分析對比。

用Tmm表示一次模乘操作所需時間，Tea表示一次橢圓曲線加法運算所需時間，Tem表示一次橢圓曲線標(biāo)量乘法運算所需時間，Tha表示一次Hash運算所需時間。根據(jù)文獻[28]的工作，1 Tha≈0.36 Tmm,1 Tea≈5 Tmm，1 Tem≈1 200 Tmm。為公平起見，將所有的運算時間統(tǒng)一為Tmm。

為保證協(xié)議安全，選擇基于有限域GF(2160)的橢圓曲線，則橢圓曲線上一個點P的二進制位數(shù)|P|=40 Byte，選擇輸出長度為10 Byte的Hash函數(shù)[29]。經(jīng)分析，表2給出了相關(guān)協(xié)議的標(biāo)簽計算開銷和協(xié)議通信開銷。

表2 協(xié)議性能比較Tab.2 Comparisons of performance of related protocols

從表2看出，在標(biāo)簽計算開銷上，所提出的協(xié)議PI與文獻[11-12]中的協(xié)議性能最優(yōu)，而文獻[15]協(xié)議的計算開銷最大。其主要原因在于文獻[15]中的協(xié)議執(zhí)行一次，標(biāo)簽要執(zhí)行5次標(biāo)量乘法運算；而PI和文獻[11-12]中的協(xié)議只需執(zhí)行2次標(biāo)量乘法運算，因而計算開銷小。

在協(xié)議通信開銷上，PI與文獻[12]中的協(xié)議性能最優(yōu)，而文獻[17]中協(xié)議的通信開銷最大。其主要原因在于文獻[17]中的協(xié)議由三個子協(xié)議構(gòu)成，執(zhí)行一次標(biāo)簽認(rèn)證，三個子協(xié)議均要執(zhí)行一次，所以通信開銷較大；而協(xié)議PI只需執(zhí)行一次就可完成雙向認(rèn)證，因而通信開銷小。

雖然文獻[12]中提出的協(xié)議與PI在標(biāo)簽計算開銷與協(xié)議通信開銷方面取得最優(yōu)效果，但PI具有標(biāo)簽所有權(quán)轉(zhuǎn)移功能。另外，文獻[10，12，14]分別對[9，11，13]提出的協(xié)議進行了分析，指出其均不具有標(biāo)簽隱私保護。因此，從標(biāo)簽計算開銷、協(xié)議通信開銷、標(biāo)簽隱私保護和支持標(biāo)簽所有權(quán)轉(zhuǎn)移方面綜合評估，本文所提出的協(xié)議PI優(yōu)于對比協(xié)議。

6 協(xié)議簡化版

考慮到RFID系統(tǒng)應(yīng)用于比較安全的場合，比如應(yīng)用環(huán)境安裝有屏蔽外界電磁干擾設(shè)備或無線信號探測設(shè)備、有警察或安保把守等，為減少標(biāo)簽計算開銷和協(xié)議通信開銷并提高協(xié)議性能，所提出的協(xié)議也可以簡化為閱讀器對標(biāo)簽的單向認(rèn)證協(xié)議(簡記為PII)，如圖2所示。

R(ti,y,Y=yP,P) T(ti,Y,P)r1∈RZ*n,M1=r1PM1→r2∈RZ*nM2=r2Pk=r2(M1+Y)m3=ti+h(M1,M2,k)m4=h(M2,k,ti)M2,m3,m4←k=(r1+y)M2t'i=m3-h(M1,M2,k)m'4=h(M2,k,ti)searchest'iindatabaseif(ti=t'iandm4=m'4)returnstagsinformation

圖2 簡化版協(xié)議PII

Fig. 2 Reduced version of PI (abbreviated as PII)

PII協(xié)議沒有第三輪消息及對其驗證步驟，執(zhí)行一次協(xié)議，標(biāo)簽計算開銷為2次橢圓曲線標(biāo)量乘法運算和2次Hash運算，協(xié)議通信開銷100 Byte。

簡化版協(xié)議實現(xiàn)了閱讀器對標(biāo)簽的單向認(rèn)證，但不支持標(biāo)簽所有權(quán)轉(zhuǎn)移。該協(xié)議具備標(biāo)簽?zāi)涿浴?biāo)簽前向隱私和后向隱私保護、抵抗標(biāo)簽假冒攻擊、抵抗中間人攻擊、抵抗消息重放和去同步攻擊；但由于缺乏標(biāo)簽對閱讀器的認(rèn)證，為防止閱讀器假冒攻擊，PII協(xié)議適用于相對安全的應(yīng)用環(huán)境。

7 結(jié)語

針對支持ECC的RFID標(biāo)簽，為滿足開放環(huán)境下對標(biāo)簽隱私保護和數(shù)據(jù)安全要求較高的RFID應(yīng)用，設(shè)計了一個閱讀器與標(biāo)簽的雙向認(rèn)證協(xié)議，該協(xié)議支持標(biāo)簽所有權(quán)轉(zhuǎn)移，具有對標(biāo)簽的常量時間識別。本文證明了該協(xié)議具備標(biāo)簽前向隱私和后向隱私保護，并分析了該協(xié)議的其他安全屬性，如抵抗閱讀器/標(biāo)簽假冒攻擊、抵抗中間人及消息重放攻擊、抵抗去同步攻擊和拒絕服務(wù)攻擊。經(jīng)過對近年來提出的類似協(xié)議在標(biāo)簽計算開銷、協(xié)議通信開銷、標(biāo)簽隱私保護以及能否支持標(biāo)簽所有權(quán)轉(zhuǎn)移等方面的比較，結(jié)果表明本文提出的協(xié)議PI具備最優(yōu)的綜合性能。而且為了適應(yīng)比較安全的應(yīng)用場景，本文也給出了簡化版的單向認(rèn)證協(xié)議PII，但該協(xié)議不具備標(biāo)簽所有權(quán)轉(zhuǎn)移。

目前，RFID認(rèn)證協(xié)議的安全屬性證明大都采用啟發(fā)式分析，還沒有較好的形式化證明方法。因此，探索RFID協(xié)議安全屬性的形式化證明方法，具有重要意義。另外，協(xié)議的應(yīng)用測試也是我們考慮的后續(xù)工作。

References)

[1] The Commission of the European Communities. Commission recommendation of 12 May 2009 on the implementation of privacy and data protection principles in applications supported by radio-frequency identification [EB/OL]. (2009- 05- 12) [2016- 12- 05]. https://ec.europa.eu/digital-singlemarket/en/news/commission-recommendation-12-may-2009-implementation-privacyand-data-protection-prin-ciples/.

[2] BATINA L, GUAJARDO J, KERINS T, et al. Public-key cryptography for RFID-tags [C]// PerCom Workshops ’07: Proceedings of the Fifth Annual IEEE International Conference on Pervasive Computing and Communications Workshops. Piscataway, NJ: IEEE, 2007: 217-222.

[3] FURBASS F, WOLKERSTORFER J. ECC processor with low die size for RFID applications [C]// ISCAS 2007: Proceedings of the 2007 IEEE International Symposium on Circuits and Systems. Piscataway, NJ: IEEE, 2007: 1835-1838.

[4] HEIN D, WOLKERSTORFER J, FELBER N. ECC is ready for RFID - a proof in silicon [C]// SAC 2008: Proceedings of the 2008 International Workshop on Selected Areas in Cryptography, LNCS 5381. Berlin: Springer-Verlag, 2008: 401-413.

[5] LEE Y K, SAKIYAMA K, BATINA L, et al. Elliptic-curve-based security processor for RFID [J]. IEEE Transactions on Computers, 2008, 57(11): 1514-1527.

[6] LIU D, LIU Z, YONG Z, et al. Design and implementation of an ECC-based digital baseband controller for RFID tag chip [J]. IEEE Transactions on Industrial Electronics, 2015, 62(7): 4365-4373.

[7] PENDL C, PELNAR M, HUTTER M. Elliptic curve cryptography on the WISP UHF RFID tag [C]// RFIDSec 2011: Proceedings of the 2011 International Workshop on Radio Frequency Identification: Security and Privacy Issues, LNCS 7055. Berlin: Springer-Verlag, 2011: 32-47.

[8] TUYLS P, BATINA L. RFID-tags for anti-counterfeiting [C]// CT-RSA’06: Proceedings of the 2006 Cryptographers’ Track at the RSA Conference on Topics in Cryptology, LNCS 3860. Berlin: Springer-Verlag, 2006: 115-131.

[9] CHOU J-S. An efficient mutual authentication RFID scheme based on elliptic curve cryptography [J]. Journal of Supercomputing, 2014, 70(1): 75-94.

[10] FARASH M S. Cryptanalysis and improvement of an efficient mutual authentication RFID scheme based on elliptic curve cryptography [J]. Journal of Supercomputing, 2014, 70(2): 987-1001.

[11] ZHANG Z, QI Q. An efficient RFID authentication protocol to enhance patient medication safety using elliptic curve cryptography [J]. Journal of Medical Systems, 2014, 38(5): 47.

[12] FARASH M S, NAWAZ O, MAHMOOD K, et al. A provably secure RFID authentication protocol based on elliptic curve for healthcare environments [J]. Journal of Medical Systems, 2016, 40(7): 165.

[13] HE D, KUMAR N, CHILAMKURTI N, et al. Lightweight ECC based RFID authentication integrated with an ID verifier transfer protocol [J]. Journal of Medical Systems, 2014, 38(10): 116.

[14] LEE C-I, CHIEN H-Y. An elliptic curve cryptography-based RFID authentication securing E-health system [J]. International Journal of Distributed Sensor Networks, 2015, 2015: Article No. 251.

[15] LIAO Y-P, HSIAO C-M. A secure ECC-based RFID authentication scheme integrated with ID-verifier transfer protocol [J]. Ad Hoc Networks, 2014, 18: 133-146.

[16] ZHAO Z. A secure RFID authentication protocol for healthcare environments using elliptic curve cryptosystem [J]. Journal of Medical Systems, 2014, 38(5): 46.

[17] MOOSAVI S R, NIGUSSIE E, VIRTANEN S, et al. An elliptic curve-based mutual authentication scheme for RFID implant systems [J]. Procedia Computer Science, 2014, 32: 198-206.

[18] KHATWANI C, ROY S. Security analysis of ECC based authentication protocols [C]// CICN 2015: Proceedings of the 2015 International Conference on Computational Intelligence and Communication Networks. Piscataway, NJ: IEEE, 2015: 1167-1172.

[19] ELKHIYAOUI K, BLASS E-O, MOLVA R. ROTIV: RFID ownership transfer with issuer verification [C]// RFIDSec 2011: Proceedings of the 2011 International Workshop on Radio Frequency Identification: Security and Privacy Issues, LNCS 7055. Berlin: Springer-Verlag, 2011: 163-182.

[20] XIN W, GUAN Z, YANG T, et al. An efficient privacy-preserving RFID ownership transfer protocol [C]// APWeb 2013: Proceedings of the 2013 Asia-Pacific Web Conference on Web Technologies and Applications, LNCS 7808. Berlin: Springer-Verlag, 2013: 538-549.

[21] KOBLITZ N. Elliptic curve cryptosystems [J]. Mathematics of Computation, 1987, 48(177): 203-209.

[22] MILLER V S. Use of elliptic curves in cryptography [C]// CRYPTO 1985: Proceedings of the 1985 Conference on the Theory and Application of Cryptographic Techniques, LNCS 218. Berlin: Springer-Verlag, 1985: 417-426.

[23] 鄧元慶,龔晶,石會.密碼學(xué)簡明教程[M].北京:清華大學(xué)出版社,2011:125-129. (DENG Y Q, GONG J, SHI H. Concise Course in Cryptography [M]. Beijing: Tsinghua University Press, 2011: 125-129.

[24] MERKLE R C. One way Hash functions and DES [C]// CRYPTO 1989: Proceedings of the 1989 Conference on the Theory and Application of Cryptology, LNCS 435. Berlin: Springer-Verlag, 1989: 428-446.

[25] 馬昌社.前向隱私安全的低成本RFID認(rèn)證協(xié)議[J].計算機學(xué)報,2011,34(8):1387-1398. (MA C S. Low cost RFID authentication protocol with forward privacy [J]. Chinese Journal of Computers, 2011, 34(8): 1387-1398.)

[26] JUELS A, WEIS S A. Defining strong privacy for RFID [C]// PerCom Workshops ’07: Proceedings of the 2007 IEEE International Conference on Pervasive Computing and Communications Workshops. Piscataway, NJ: IEEE, 2007: 342-347.

[27] OUAFI K, PHAN R C-W. Traceable privacy of recent provably-secure RFID protocols [C]// ACNS 2008: Proceedings of the 2008 International Conference on Applied Cryptography and Network Security, LNCS 5037. Berlin: Springer-Verlag, 2008: 479-489.

[28] CHATTERJEE S, DAS A K, SING J K. An enhanced access control scheme in wireless sensor networks [J]. Ad Hoc & Sensor Wireless Networks, 2014, 21(1): 121-149.

[29] AUMASSON J-P, HENZEN L, MEIER W, et al. QUARK: a lightweight hash [C]// CHES 2010: Proceedings of the International Workshop on Cryptographic Hardware and Embedded Systems, LNCS 6225. Berlin: Springer-Verlag, 2010: 313-339.

This work is partially supported by the National Natural Science Foundation of China (61370203), the Nature Science Foundation of Sichuan Province Education Department (13ZB0127).

YANGXingchun, born in 1975, Ph. D. candidate, associate professor. His research interests include information security, cryptography, wireless network security.

XUChunxiang, born in 1965, Ph. D., professor. Her research interests include information security, cloud computing, cryptography.

LIChaorong, born in 1976, Ph. D., associate professor. His research interests include pattern recognition, information security.

ECC-basedRFIDauthenticationprotocolenablingtagownershiptransfer

YANG Xingchun1,2*, XU Chunxiang1, LI Chaorong3

(1.SchoolofComputerScienceandEngineering,UniversityofElectronicScienceandTechnologyofChina,ChengduSichuan611731,China；2.DepartmentofComputerScienceandTechnology,SichuanPoliceCollege,LuzhouSichuan646000,China；3.SchoolofComputerandInformationEngineering,YibinUniversity,YibinSichuan644000,China)

To solve privacy leakage and other security problems in Radio-Frequency Identification (RFID) tag authentication and tag ownership transfer, and to simplify the design of tag ownership transfer protocol, an RFID authentication protocol enabling tag ownership transfer was proposed for those tags that support Elliptic Curve Cryptography (ECC). The structure of the protocol is similar to the structure of the Diffie-Hellman logarithm, and tag privacy of the protocol is based on complexity to solve the computational Diffie-Hellman problem. Analysis of tag privacy and other security properties of the protocol were given, and comparisons between recent ECC-based authentication protocols and the proposed protocol were also given. The results show that the proposed protocol achieves best performance, under a comprehensive evaluation of supporting tag ownership transfer, tag computation cost, communication cost and tag privacy protection. In addition, a simplified version that realizes tag authentication to reader and is suitable for secure environments was also given.

Radio-Frequency Identification (FRID); authentication protocol; tag; ownership transfer; Elliptic Curve Cryptography (ECC)

TP309.2

A

2017- 02- 28;

2017- 04- 18。

國家自然科學(xué)基金資助項目(61370203)；四川省教育廳資助項目(13ZB0127)。

楊興春(1975—)，男，四川南充人，副教授，博士研究生，CCF會員，主要研究方向：信息安全、密碼學(xué)、無線網(wǎng)絡(luò)安全； 許春香(1965—)，女，湖南寧鄉(xiāng)人，教授，博士生導(dǎo)師，博士，主要研究方向：信息安全、云計算、密碼學(xué)； 李朝榮(1976—)，男，四川宜賓人，副教授，博士，主要研究方向：模式識別、信息安全。

1001- 9081(2017)08- 2275- 06

10.11772/j.issn.1001- 9081.2017.08.2275