基于PUF適用于大規(guī)模RFID系統(tǒng)的移動認證協(xié)議*

李 松，孫子文,2

(1.江南大學物聯(lián)網(wǎng)工程學院,江蘇 無錫 214122;2.物聯(lián)網(wǎng)技術(shù)應用教育部工程研究中心,江蘇 無錫 214122)

1 引言

近年來，隨著射頻識別 RFID(Radio Frequency IDentification)技術(shù)在各個行業(yè)中應用領(lǐng)域的不斷拓展，RFID系統(tǒng)中存在的隱私和安全問題[1]也得到越來越多的重視。為此，傳統(tǒng)的基于加密機制的安全認證協(xié)議和新型的安全認證協(xié)議開始被研究用于解決RFID系統(tǒng)的安全問題。采用傳統(tǒng)加密機制的RFID認證協(xié)議將密鑰存儲在非易失性存儲器中，攻擊者可以通過物理入侵方式獲取內(nèi)部存儲的密鑰，從而對芯片進行反向設計，達到克隆標簽的目的[2]。而采用物理不可克隆函數(shù)PUF(Physical Unclonable Function)[3]作為密鑰生成機制，只在標簽認證時才由PUF電路產(chǎn)生相應的會話密鑰，可有效抵御物理入侵攻擊[4]。

傳統(tǒng)的加密算法對加密硬件要求較高，用于RFID系統(tǒng)安全認證存在標簽固有的資源受限難以克服的壁壘。如標準的加密算法MD5、SHA-256一般需要7 350～10 868個門電路，簡化后的哈希運算，加密運算過程也需要1 700個門電路[5]。源于電子標簽受制于內(nèi)部存儲和運算電路的硬件不足，無法應用現(xiàn)有的成熟加密算法實現(xiàn)標簽與讀寫器之間數(shù)據(jù)的安全傳輸[6]。

物理不可克隆函數(shù)的實現(xiàn)所需硬件電路少，被拓展到信息安全領(lǐng)域研究實現(xiàn)輕量級的密碼機制，極大地減少了對加密硬件的要求。實現(xiàn)64位PUF輸出僅需545個門電路[7]，運用PUF函數(shù)作為標簽密鑰的生成機制[8]，簡化了標簽的運算壓力；但是，服務器對標簽的搜索需要遍歷整個數(shù)據(jù)庫，無法滿足大規(guī)模RFID系統(tǒng)對標簽快速識別的要求；通過服務器與標簽共享密鑰可快速提取標簽標識[9]，可極大地減輕服務器的搜索開銷。但是，文獻[8,9]的認證協(xié)議有兩個前提假設：一是假設讀寫器是固定的；二是假設服務器與讀寫器之間的通信信道是安全信道。隨著移動通信技術(shù)的發(fā)展，移動讀寫器的應用場景增多，讀寫器遭受攻擊的威脅增加，因此引入了服務器對讀寫器身份的安全認證[10]，可有效抵御攻擊者通過讀寫器的入侵攻擊。但是，文獻[10]仍需服務器遍歷整個數(shù)據(jù)庫才能完成對標簽的識別，也存在難以適用于大規(guī)模RFID系統(tǒng)的問題。

針對上述文獻中存在的標簽運算能力不足和服務器對標簽的搜索開銷過大等問題，本文采用了一種基于PUF的適用于大規(guī)模移動RFID系統(tǒng)的移動認證協(xié)議PMLS(PUF based authentication protocol for Mobile and Large-Scale RFID system)。PMLS協(xié)議運用PUF函數(shù)生成密鑰，以減輕加密過程中標簽的運算量，解決輕量級加密機制問題；引入服務器對讀寫器的身份認證，以排除讀寫器遭受攻擊的可能，解決移動環(huán)境下服務器與讀寫器之間的安全通信問題；服務器采用共享密鑰異或的方式能夠快速計算出標簽和讀寫器的標識，以實現(xiàn)能夠運用于大規(guī)模RFID系統(tǒng)環(huán)境下的快速搜索。本文采用對RFID系統(tǒng)的隱私強度分類最細的Vaudenay模型[11]，同時，Vaudenay模型也是目前最全面的模型[12]，證明PMLS協(xié)議的安全和隱私性；同時，采用仿真實驗，證明研究協(xié)議搜索讀寫器及標簽具有耗時短的優(yōu)點。

2 物理不可克隆函數(shù)

物理不可克隆函數(shù)是由兩條數(shù)據(jù)選擇器構(gòu)成的延時電路和對延時信息進行判斷的仲裁器組成。由于芯片在制造過程中不可避免的工藝偏差，造成兩條延時電路的路徑長度存在不同。輸入信號經(jīng)過兩條結(jié)構(gòu)完全對稱的電路，到達仲裁器時有時間偏差，仲裁器根據(jù)競爭結(jié)果輸出一個唯一且隨機的64位響應。芯片在制造過程中產(chǎn)生的個體差異具有難以仿造和難以重復的特性，所以每一片芯片的PUF電路產(chǎn)生的響應序列同樣具有唯一性和不可復制性，即使是同一家廠商的同一條生產(chǎn)線也無法復制出完全相同的響應序列[2]。

PUF電路易遭受溫度、供電電壓、電磁干擾等環(huán)境變量的影響，因此一個PUF函數(shù)在相同的輸入下產(chǎn)生的響應會有微小的不同，需要通過模糊提取映射為相同響應。一個理想的PUF應具備以下屬性[13]：

(1)魯棒性：在同樣的輸入c下，PUF產(chǎn)生的多次響應r的差異應足夠小。

(2)不可克隆性：在同樣的輸入c下，兩個不同的PUF電路所產(chǎn)生的響應r應足夠大。

(3)不可預測性：在已知某個PUF電路大量輸入-響應序列的情況下，無法在容錯范圍內(nèi)預測響應r。

(4)防篡改性：將改變的物理實體嵌入到物理不可克隆函數(shù)，使得PUF→PUF′時，有非常高的概率?x∈X:PUF(x)≠PUF′(x)，防篡改性定義了篡改發(fā)生之后RFID系統(tǒng)檢測篡改的能力。

PMLS協(xié)議利用PUF的以上屬性生成密鑰。將標簽和讀寫器的參數(shù)作為PUF電路的輸入，PUF電路產(chǎn)生的響應作為標簽和讀寫器唯一的會話密鑰。由于攻擊者無法通過數(shù)學運算模擬PUF的響應，從而保證了基于PUF的密鑰的安全性。

3 RFID安全隱私模型

Vaudenay[11]在Asiacrypt 2007上提出的安全隱私模型對安全和隱私做了嚴格的定義。Vaudenay模型基于非對稱加密機制的假設，為提高服務器對標簽和讀寫器身份的認證速度，PMLS協(xié)議在Vaudenay模型的基礎上，采用對稱加密機制實現(xiàn)服務器、合法標簽和讀寫器共享對稱密鑰。

3.1 系統(tǒng)模型

一個RFID認證方案通常由以下步驟組成，包括對系統(tǒng)、讀寫器和標簽的設置，以及服務器識別標簽和讀寫器過程：

(1)SetupServer(1s)→S：由安全參數(shù)s為服務器生成共享密鑰S。

(2)SetupTagS(TID)→(kT,I)：創(chuàng)建具有唯一標識TID的標簽，共享密鑰S用于生成標簽的會話密鑰kT和標簽內(nèi)部信息I。如果標簽被認定為合法，則將標簽的(TID,I)存儲到服務器。

(3)SetupReaderS(RID)→(kR,I)：創(chuàng)建具有唯一標識RID的讀寫器，共享密鑰S用于生成讀寫器的會話密鑰kR和內(nèi)部信息I。如果讀寫器被認定為合法，則將讀寫器的(RID,I)存儲到服務器。

(4)Ident→out：服務器與標簽、讀寫器之間的交互協(xié)議。最終，若標簽被服務器認定為非法，則out=⊥；反之，若標簽被認定為合法，則out=TID；若讀寫器被服務器認定為非法，則out=⊥；若讀寫器被認定為合法，則out=RID。

3.2 攻擊者模型

Vaudenay模型[11]中，最強大的Strong攻擊者能夠竊聽讀寫器和標簽之間的會話記錄，能夠阻斷信息的發(fā)送，能夠通過篡改讀寫器和標簽之間的信息來獲得對方驗證，并能監(jiān)控標簽是否認證成功。Vaudenay模型通過預言機來描述攻擊者與RFID系統(tǒng)交互的過程，PMLS協(xié)議對Corrupt預言機的能力做進一步拓展，使攻擊者可以通過入侵讀寫器獲得其內(nèi)部信息。表1定義了九大預言機的各方面能力。

3.3 攻擊者等級

Vaudenay根據(jù)攻擊者可以訪問預言機的權(quán)限，劃分出8類不同能力的攻擊者[11]。

(1)Weak：攻擊者無法訪問Corrupt預言機。

(2)Forward：攻擊者對一個標簽訪問Corrupt預言機之后，只能再訪問Corrupt預言機，不能訪問其他預言機。

(3)Destructive：攻擊者訪問Corrupt預言機之后，由于標簽或讀寫器遭受入侵攻擊而損壞，攻擊者將無法訪問任何預言機。

Table 1 Function introduction of each oracle表1 預言機及其功能介紹

(4)Strong：攻擊者可以沒有條件限制地訪問任何預言機。

與這4類攻擊者正交的還有Narrow和Wide攻擊者概念。

(5)Narrow:攻擊者無法訪問Result預言機。

(6)Wide:攻擊者可以訪問Result預言機。

8類隱私概念的從屬關(guān)系由圖1所示，其中Strong?Destructive表示協(xié)議滿足Strong，則必定滿足Destructive。

Figure 1 Relationship of eight privacy notations圖1 8種隱私概念之間的關(guān)系圖

3.4 安全性

Vaudenay模型主要關(guān)注于攻擊者假冒標簽的攻擊[11]。在此基礎上，PMLS協(xié)議引入攻擊者入侵讀寫器和假冒讀寫器的攻擊。因此，協(xié)議安全的主要目標是阻止攻擊者對標簽和讀寫器的假冒攻擊，完成服務器對標簽和讀寫器的合法性認證。

3.5 隱私性

RFID認證協(xié)議的隱私性是指系統(tǒng)能夠抵御攻擊者對標簽的識別，跟蹤和不同標簽之間的關(guān)聯(lián)。隱私問題涉及兩點：(1)匿名性：攻擊者無法通過讀寫器與標簽之間的會話記錄，推斷出標簽的真實標識。(2)不可追蹤性：攻擊者無法根據(jù)標簽的響應信息，分辨出兩個不同的標簽。

Vaudenay模型主要關(guān)注無線信道上標簽信息的泄露，并通過不可分辨性的隱私游戲來定義隱私的概念。若攻擊者能竊聽并有效利用無線信道上讀寫器與標簽之間的會話記錄，從真實的RFID系統(tǒng)中分辨出由Blinder模擬的隨機數(shù)，則攻擊者對RFID系統(tǒng)的隱私造成威脅。其中，Blinder的定義如下：

定義1Blinder[11]：Blinder(用B表示)能夠監(jiān)聽攻擊者A訪問CreateTag,DrawTag,Free,Execute和Corrupt預言機時的輸入和輸出。B可以在不知道標簽和讀寫器任何信息的情況下為攻擊者A模擬Launch,SendReader,SendTag和Result預言機。

隱私游戲中，首先由挑戰(zhàn)者選擇隨機位b∈{0,1}，如果b=1，則攻擊者訪問的是真實的預言機；如果b=0，則攻擊者訪問預言機得到的是由Blinder模擬的隨機數(shù)。攻擊者可以對RFID系統(tǒng)進行任意次預言機訪問并可通過訪問Corrupt預言機獲得標簽內(nèi)部信息，攻擊者最終輸出猜測值b′。攻擊者等級為p(p∈{?,Narrow}∪{Weak,Forward,Destructive,Strong})，則Ap表示所屬隱私等級的攻擊者。不可分辨性隱私游戲如下所示：

(1)初始化系統(tǒng)，設置一個標簽和一個讀寫器。

(2)挑戰(zhàn)者選擇隨機位b∈{0,1},若b=1,則系統(tǒng)由真實預言機模擬，若b=0,由Blinder返回任意隨機數(shù)。

(3)攻擊階段：Ap根據(jù)隱私等級p,通過訪問預言機與RFID系統(tǒng)進行交互。

(4)分析階段：Ap在無法訪問預言機的情況下分析系統(tǒng)，并輸出猜測值b′。

(5)若b=b′,則Ap攻擊成功，贏得隱私游戲，否則攻擊失敗。

4 PMLS認證協(xié)議描述

協(xié)議由初始化和雙向認證兩個階段組成。協(xié)議的符號注釋如表2所示。

Table 2 Description of each notation in this protocol表2 協(xié)議使用的符號及其注釋

注：協(xié)議中，哈希函數(shù)H(·)有3個輸入值。

4.1 初始化階段

首先由服務器生成共享密鑰S,并將S發(fā)送給RFID系統(tǒng)中所有合法的讀寫器和標簽。標簽接收到共享密鑰S后生成自身參數(shù)ai、bi,并由PUF電路分別計算Pi(ai)和Pi(bi)，通過異或運算計算出標簽的另一個參數(shù)ci=S⊕Pi(ai)⊕Pi(bi)。最終將合法標簽的信息[TIDi,ai,bi,DATAi]存儲到后臺服務器。讀寫器的初始化操作與標簽初始化相同，讀寫器得到共享密鑰S后生成參數(shù)dj、ej后，由PUF電路計算Pj(dj)、Pj(ej)，進而求得fj=S⊕Pj(dj)⊕Pj(ej)，最終將合法讀寫器的信息[RIDj,dj,ej,DATAj]存入服務器。

4.2 雙向認證階段

雙向認證協(xié)議由讀寫器發(fā)起，協(xié)議流程如圖2所示，具體認證步驟如下：

(1)首先由讀寫器生成隨機數(shù)r1∈{0,1}l，并將r1以廣播的方式發(fā)送給通信范圍內(nèi)的所有標簽。

(2)標簽接收到讀寫器廣播信息r1后，生成隨機數(shù)r2∈{0,1}l，并計算M1=H(r2,r1,1)⊕TIDi,h=H(r2,1,2)。然后標簽的PUF電路計算Pi(ai)，并將Pi(ai)異或隨機數(shù)r2得到標簽的會話密鑰kT=Pi(ai)⊕r2，隨即將Pi(ai)和r2從標簽內(nèi)存中刪除。運行標簽PUF電路計算Pi(bi)，使用Pi(bi)、ci更新標簽會話密鑰kT=kT⊕Pi(bi)⊕ci，隨即刪除內(nèi)存中的Pi(bi)。最后，標簽將(M1,kT)通過射頻天線發(fā)送給讀寫器。

Figure 2 Process of the proposed authentication protocol圖2 協(xié)議認證流程

(3)讀寫器接收到來自標簽的響應(M1,kT)后，生成隨機數(shù)r3∈{0,1}l，計算M2=H(r3,r1,1)⊕RIDj。讀寫器的PUF電路生成Pj(dj)后計算讀寫器的會話密鑰kR=Pj(dj)⊕r3，隨即將內(nèi)存中的Pj(dj)和r3刪除；運行讀寫器PUF電路生成Pj(ej)并更新會話密鑰kR=kR⊕Pj(ej)⊕fj，隨即刪除內(nèi)存中的Pj(ej)；最終將(M1，kT,M2,kR,r1)發(fā)送給后臺服務器。

(5)讀寫器接收到來自服務器的響應信息(M3,r4)后，將(M3,r4)轉(zhuǎn)發(fā)給標簽，標簽計算H(h,r4,bi)并驗證M3=H(h,r4,bi)，若通過則驗證服務器身份合法，完成標簽與服務器身份的雙向認證。

上面的M1、M2、h中用到了哈希函數(shù)H(·)，是為了保持哈希函數(shù)輸入?yún)?shù)個數(shù)為3，當變量參數(shù)少于3個時，用常量1、2補充3個參數(shù)，參數(shù)1、2不會對協(xié)議的安全性造成影響。

5 協(xié)議性能分析

5.1 安全性分析

PMLS協(xié)議沿用Mete Akgun提出[9]的引理1和引理2。本文首先對引理的正確性加以證明，然后用引理來證明PMLS協(xié)議的安全性。

(1)Mete Akgun引理1和引理2。

引理1[9]隱私等級為Destructive的攻擊者A,在沒有訪問Corrupt預言機權(quán)限的情況下，攻擊者獲得共享密鑰S的概率近似為零。

證明假設攻擊者A能夠利用會話記錄獲得共享密鑰S。

由標簽會話密鑰的生成機制可知：

ci=S⊕Pi(ai)⊕Pi(bi)

(1)

kT=Pi(ai)⊕Pi(bi)⊕ci⊕r2=S⊕r2

(2)

因此，攻擊者獲得共享密鑰的方式為：

S=kT⊕r2

(3)

攻擊者已知kT且r2并不通過明文傳送，攻擊者進而需要通過破解M1、M3得到隨機數(shù)r2：

M1=H(r2,r1,1)⊕TIDi

(4)

M3=H(H(r2,1,2),r4,bi)

(5)

假設哈希函數(shù)H(·)是安全的，攻擊者通過窮舉攻擊破解64位輸出的哈希函數(shù)需要進行264次計算。每秒能進行100萬次哈希運算的計算機需要60萬年的時間才可以破解[14]。由此可證，攻擊者無法通過計算M1、M3獲得r2，因此攻擊者通過會話記錄獲得共享密鑰S的概率近似為零。

□

引理2[9]隱私等級為Destructive的攻擊者A,通過訪問Corrupt預言機入侵標簽或者讀寫器，獲得共享密鑰S的概率近似為零。

證明假設攻擊者A可以通過入侵標簽獲得共享密鑰S。

由于A入侵標簽將破壞標簽的PUF電路，因此A只能訪問一次Corrupt預言機。由公式(1)可知：

S=Pi(ai)⊕Pi(bi)⊕ci

(6)

則攻擊者獲得S的概率：

Pr(S)=Pr[Pi(ai)]∩Pr[Pi(bi)]∩Pr(ci)

(7)

若A在標簽響應讀寫器的詢問命令之前入侵標簽，A獲得標簽內(nèi)部信息ai、bi、ci和TIDi。A進而需要運算模擬受害標簽的PUF電路，由于PUF電路的不可克隆性，對于輸出為64位二進制數(shù)的PUF電路，攻擊者成功模擬一次PUF電路輸出的概率為1/264。則攻擊者成功模擬Pi(ai)、Pi(bi)，計算獲得S的概率為：

Pr(S)=1/264×1/264×1=1/2128≈0

若A在標簽首次刪除Pi(ai)、r2操作之前入侵標簽，A獲得標簽信息Pi(ai)、ci、r2和h。攻擊者成功模擬Pi(bi)，計算獲得S的概率為：

Pr(S)=1×1/264×1=1/264≈0

若A在標簽刪除Pi(bi)操作之前入侵標簽，A獲得信息Pi(bi)、ci、h和kT=Pi(ai)⊕r2。由Pi(ai)=kT⊕r2可知，攻擊者進而需要破解哈希函數(shù)h得到隨機數(shù)r2：

h=H(r2,1,2)

(8)

由引理1可知，破解哈希函數(shù)難度巨大。則攻擊者通過運算模擬Pi(ai),計算獲得S的概率為：

Pr(S)=1/264×1×1=1/264≈0

綜上所述，攻擊者通過訪問Corrupt預言機獲得共享密鑰S的概率近似為零。

□

(2)PMLS協(xié)議的安全性證明。

命題1PMLS協(xié)議中，若攻擊者的等級為Destructive，即攻擊者只能訪問一次Corrupt預言機，那么攻擊者假冒標簽被服務器識別為合法標簽的概率近似為零。

證明假設攻擊者A能夠成功假冒標簽，通過服務器的安全認證，即A假冒標簽響應(M1,kT)被服務器認定為合法標簽，并最終接收來自服務器響應(M3,r4)。其中:

M1=H(r2,r1,1)⊕TIDi

(9)

kT=Pi(ai)⊕Pi(bi)⊕ci⊕r2

(10)

按照以下兩種情景來分析攻擊者成功的可能性。

情景1攻擊者A入侵標簽，獲得標簽信息ai、bi、ci和TIDi。

A為了計算(M1,kT)，需要運算模擬Pi(ai)和Pi(bi)且需要得到r2。由引理2可知，A成功模擬Pi(ai)和Pi(bi)的概率為：

Pr[Pi(ai)]∩Pr[Pi(bi)]=1/2128

由公式(4)可知，A破解哈希函數(shù)M1得到隨機數(shù)r2的運算量巨大，無法實現(xiàn)。

因此，A產(chǎn)生響應(M1,kT)被服務器識別為合法標簽的概率近似為零。

情景2攻擊者不入侵標簽，通過竊聽無線信道的會話記錄假冒標簽。

首先A訪問Execute預言機，得到n1條讀寫器和標簽之間協(xié)議的會話記錄；A進而訪問SendTag預言機，得到n2條標簽的響應。最終，攻擊者A得到N=n1+n2條標簽的真實數(shù)據(jù)。

攻擊者利用N條標簽數(shù)據(jù)來冒充合法標簽與服務器交互，攻擊者獲得服務器成功認證的概率為：N/2l。其中，l為讀寫器隨機數(shù)的輸出長度，隨機數(shù)長度一般取64位。

綜上可證，攻擊者A假冒標簽被服務器判定為合法標簽的概率近似為零。

□

命題2PMLS協(xié)議中,Destructive等級的攻擊者假冒讀寫器而被服務器識別為合法讀寫器的概率近似為零。

證明假設攻擊者A成功假冒讀寫器，即A假冒讀寫器響應(M2,kR,r1)通過了服務器認證并最終獲得服務器的響應(M3,r4)。其中：

M2=H(r3,r1,1)⊕RIDj

(11)

kR=P(dj)⊕P(ej)⊕fj⊕r3

(12)

讀寫器的響應(M2,kR,r1)不在無線射頻信道上傳輸，攻擊者無法竊聽讀寫器的響應，只能通過入侵讀寫器來假冒讀寫器。A入侵讀寫器可以獲得讀寫器信息dj、ej、fj和RIDj。A為了計算kR需要運算模擬Pj(dj)和Pj(ej)且需要得到r3。由引理2可知，A成功模擬Pj(dj)和Pj(ej)的概率為：

Pr[Pj(dj)]∩Pr[Pj(ej)]=1/2128

由引理1可知，A破解哈希函數(shù)M2得到隨機數(shù)r3的運算量巨大，無法實現(xiàn)。

因此，A產(chǎn)生的響應(M2,kR,r1)被服務器識別為合法讀寫器的概率近似為零。

□

5.2 隱私性分析

命題3若攻擊者假冒標簽或讀寫器被服務器認證為合法身份的概率近似為零，則PMLS協(xié)議可以實現(xiàn)Destructive等級的隱私保護。

證明假設存在攻擊者A能夠從真實的RFID系統(tǒng)中分辨出由Blinder(用B表示)模擬的系統(tǒng)。首先定義B模擬RFID系統(tǒng)的方式。當攻擊者訪問由B模擬的Launch、SendTag、SendReader預言機時，由于B并不知道標簽和讀寫器的任何信息，B皆返回隨機數(shù)。無線信道中B模擬的會話記錄如圖3所示。

Figure 3 Message simulated by Blinder圖3 Blinder模擬的會話記錄

假設RFID系統(tǒng)中只有一個標簽和一個讀寫器。隱私游戲中，根據(jù)挑戰(zhàn)者選取的b值，RFID系統(tǒng)選擇由真實的預言機或由Blinder模擬的預言機運行n次協(xié)議實例。在第n+1次協(xié)議實例中，攻擊者通過訪問Corrupt預言機入侵標簽內(nèi)部。最終，攻擊者獲得前n次交互記錄(r1,M1,kT,M3,r4)n和第n+1次標簽內(nèi)部信息(TIDi,ai,bi,ci)。通過以下兩種情景來分析攻擊者贏得隱私游戲的概率。

情景1攻擊者由公式(4)異或標簽標識TIDi得到：

H(r2,r1,1)=M1⊕TIDi

(13)

□

5.3 協(xié)議性能比較

PMLS協(xié)議與現(xiàn)有協(xié)議[8,9,10]在標簽端和服務器端的計算開銷以及服務器搜索開銷對比如表3所示。PMLS協(xié)議完成一次標簽識別，標簽需要生成1個隨機數(shù)、3次哈希運算、2次PUF運算和4次超輕量級的異或運算，與參照協(xié)議相比標簽的運算量最低，更加適用于低成本電子標簽的硬件需求；服務器計算開銷略高于文獻[10]的開銷；服務器搜索開銷PLMS與文獻[9]同為常數(shù)規(guī)模開銷。

Table 3 Comparison of computation and search costs among the protocols表3 協(xié)議開銷對比

注：N表示隨機數(shù)生成，C表示排列運算，XOR表示異或運算。

協(xié)議的各項性能指標中，服務器的搜索開銷直接決定了協(xié)議是否適用于大規(guī)模RFID系統(tǒng)。對服務器搜索特定標簽消耗的時間進行仿真實驗。實驗通過PC機(CPU:Intel-2520M 2.5 GHz×2,RAM:8 GB)來模擬后臺服務器，仿真環(huán)境使用Matlab。在數(shù)據(jù)庫中設定6 000個標簽，分別對第1×103個,2×103個,3×103個,…,6×103個規(guī)模的標簽進行搜索耗時的仿真實驗，來測試不同協(xié)議中服務器從接收到特定標簽的認證請求到識別成功的時間[15]。由于計算機的每次運行存在細小差異，故采用測試20次求取均值的方法作為比較結(jié)果。協(xié)議搜索耗時對比如圖4所示。

Figure 4 Time consumed in indexing the target tag圖4 服務器搜索特定標簽的耗時對比

文獻[8]完成服務器對特定標簽的合法性認證，標簽與讀寫器之間需要經(jīng)歷4次握手，且服務器需通過哈希計算遍歷整個數(shù)據(jù)庫來搜索特定標簽的標識，服務器端運算壓力巨大。文獻[10]僅需要3次握手，同時減少了服務器端哈希運算量，比文獻[8]搜索耗時有了明顯改善。圖4中，隨著數(shù)據(jù)庫標簽數(shù)目的增長，文獻[8,10]中服務器的搜索開銷呈線性增長，對第6×103個標簽的搜索分別耗時4.729 4 s和1.581 3 s，因此無法適用大規(guī)模RFID系統(tǒng)對特定標簽快速檢索的要求。文獻[9]通過服務器與標簽共享密鑰的方式能夠快速提取標簽索引，無需遍歷整個數(shù)據(jù)庫，且數(shù)據(jù)庫中標簽數(shù)量的增長不會影響到搜索時間的延長。PMLS協(xié)議比文獻[9]僅增加了2次異或運算(異或運算是超輕量級運算，服務器增加的運算量可忽略不計)，卻實現(xiàn)了服務器對讀寫器的合法性認證，可有效抵御攻擊者假冒讀寫器的攻擊，符合移動認證協(xié)議對讀寫器安全性的要求。

6 結(jié)束語

本文拓展了Vaudenay模型中攻擊者的能力，考慮攻擊者假冒讀寫器的安全問題，使模型適用于移動RFID認證協(xié)議?；赩audenay模型，理論證明PMLS協(xié)議可有效抵御攻擊者假冒標簽和讀寫器的攻擊，并且實現(xiàn)Destructive等級的隱私保護。PMLS協(xié)議通過PUF函數(shù)生成會話密鑰，減少了標簽的運算量，并通過服務器、讀寫器和標簽三者共享密鑰，實現(xiàn)服務器對身份標識的快速搜索。與文獻[8-10]相比，PMLS協(xié)議可有效地抵御攻擊者假冒讀寫器的攻擊，標簽的計算開銷最低，仿真結(jié)果驗證了PMLS協(xié)議中服務器的搜索耗時并不隨標簽數(shù)目增長而加長，符合大規(guī)模RFID系統(tǒng)的應用要求。由于PUF函數(shù)的輸出易遭受環(huán)境噪聲的影響，通過模糊提取提高PUF輸出的穩(wěn)定性是今后進一步的研究工作。

[1] Xiao Hong-guang, Li Wei,Wu Xiao-rong.A lightweight and efficient RFID authentication protocol based on synchronization code[J].Computer Engineering & Science,2016,38(4):673-678.(in Chinese)

[2] He Zhang-qing, Zheng Zhao-xia,Dai Kui,et al.Low-cost RFID authentication protocol based on PUF[J].Journal of Computer Applcations,2012,32(3):683-685.(in Chinese)

[3] Pappu R, Recht B,Taylor J,et al.Physical one-way functions[J].Science,2002,297(5589):2026-2030.

[4] Tuyls P, Batina L.RFID-tags for anti-counterfeiting[C]∥Proc of Cryptographers Track at the Rsa Conference on Topics in Cryptology, 2006:115-131.

[5] Yüksel K. Universal hashing for ultra-low-power cryptographic hardware applications[D].Worcester:Worcester Polytechnic Institute,2004.

[6] Chen Xiu-qing.Research on RFID authentication protocols for low-cost tags[D].Xuzhou:China University of Mining and Technology,2015.(in Chinese)

[7] Xu Xu-guang,Ou Yu-yi,Ling Jie,et al.Lightweight RFID secure authentication protocol based on PUF[J].Computer Application and Software,2014,31(11):302-306.(in Chinese)

[8] Akgün M, ?alayan M U.Towards scalable identification in RFID systems[J].Wireless Personal Communications,2015,86(2):403-421.

[9] Akgün M, ?alayan M U.Providing destructive privacy and scalability in RFID systems using PUFs[J].Ad Hoc Networks,2015,32(C):32-42.

[11] Vaudenay S.On privacy models for RFID[C]∥Proc of ASIACRYPT 2007,2007:68-87.

[12] Zhang Wei.Research on key technique in identification and security for low-cost RFID systems[D].Wuhan:Huazhong University of Science and Technology,2014.(in Chinese)

[13] Armknecht F,Maes R,Sadeghi A,et al.A formalization of the security features of physical functions[C]∥Proc of the 2011 IEEE Symposium on Security and Privacy,2011:397-412.

[14] Schneier B. Applied cryptography：Protocols，algorithms，and source code in C [M]. 2nd Edition. Wu Shi-zhong, Zhu Shi-xiong, Zhang Wen-zheng,et al, translation. Beijing:China Machine Press,2014:113-120.(in Chinese)

[15] Pang L,Li H,He L,et al.Secure and efficient lightweight RFID authentication protocol based on fast tag indexing[J].International Journal of Communication Systems,2014,27(11):3244-3254.

附中文參考文獻

[1] 肖紅光,李為,巫小蓉.基于同步數(shù)的輕量級高效RFID身份認證協(xié)議[J].計算機工程與科學,2016,38(4):673-678.

[2] 賀章擎,鄭朝霞,戴葵,等.基于PUF的高效低成本RFID認證協(xié)議[J].計算機應用,2012,32(3):683-685.

[6] 陳秀清.面向低成本標簽的RFID認證協(xié)議的研究[D].徐州:中國礦業(yè)大學,2015.

[7] 徐旭光,歐毓毅,凌捷,等.基于PUF的輕量級RFID安全認證協(xié)議[J].計算機應用與軟件,2014,31(11):302-306.

[12] 張維.低成本RFID系統(tǒng)的識別與安全關(guān)鍵技術(shù)研究[D].武漢:華中科技大學,2014.

[14] Schneier B.應用密碼學:協(xié)議、算法與C源程序[M].第2版.吳世忠，祝世雄，張文政，等譯.北京:機械工業(yè)出版社,2014:113-120.