黃可可 劉亞麗 殷新春

摘 要：針對目前無線射頻識別（RFID）系統(tǒng)中閱讀器與標(biāo)簽之間開放、不安全的無線信道易遭受惡意攻擊的安全問題，提出一種基于位重排變換的超輕量級RFID雙向認(rèn)證協(xié)議——RRMAP。首先，位重排變換對兩組二進(jìn)制數(shù)組進(jìn)行第一階段逆序自組合變換達(dá)到自身位混淆效果;其次，將得到結(jié)果用于第二階段奇偶相鄰交叉異或操作，這樣就完成了整個位重排變換;最后，通過新定義位重排變換操作，并結(jié)合左循環(huán)移位運算和模2的m次方加運算對認(rèn)證過程中的秘密通信數(shù)據(jù)進(jìn)行加密，可以有效解決目前RFID系統(tǒng)中存在的安全問題。BAN邏輯形式化安全性分析和性能對比分析表明：RRMAP具有比較完備的安全和隱私保護(hù)屬性，能夠抵抗RFID系統(tǒng)所面臨的典型惡意攻擊方式。

關(guān)鍵詞：無線射頻識別;位重排變換;超輕量級協(xié)議;雙向認(rèn)證;BAN邏輯

中圖分類號： TP309.7

文獻(xiàn)標(biāo)志碼：A

Abstract： Focusing on the problem that open and insecure wireless channel between reader and tag in Radio Frequency IDentification （RFID） system is vulnerable to multiple malicious attacks， a new ultra-lightweight RFID Mutual Authentication Protocol based on Regeneration （RRMAP） was proposed. Firstly， the regeneration transformation of the first-stage reverse sequence self-combination transformation on two binary arrays was performed to achieve its own bit confusion effect. Secondly， the result of first-stage was used for the second-stage parity adjacent crossover-XOR operation， thus whole regeneration transformation was completed. Finally， through new definition of regeneration transformation， the left circular shift operation and modular 2^m addition operation were combined to construct secret communication messages during authentication process， which could effectively solve security problems existing in RFID system currently. The BAN （Burrows-Abadi-Needham） logic formal proof was given to show the availability of protocol. The security analysis and performance comparison show that RRMAP has strong security and privacy protection attributes which can resist some common malicious attacks.

Key words： Radio Frequency IDentification （RFID）; regeneration transformation; ultra-lightweight protocol; mutual authentication; BAN （Burrows-Abadi-Needham） logic

0 引言

無線射頻識別（Radio Frequency IDentification， RFID）技術(shù)是一種使用無線射頻技術(shù)在開放環(huán)境下能夠自動化識別物體和人等目標(biāo)的技術(shù)。射頻識別技術(shù)具有非接觸性、可靠性高、認(rèn)證方便快捷、防水、防磁、耐熱、使用壽命長、接觸距離遠(yuǎn)、記憶靈活等優(yōu)點[1]。根據(jù)RFID標(biāo)簽的能量來源可分為有源標(biāo)簽和無源標(biāo)簽，標(biāo)簽自身是否攜帶電源決定了標(biāo)簽的工作方式。對于有源標(biāo)簽，支持標(biāo)簽內(nèi)部計算等可以進(jìn)行雙向認(rèn)證操作;對于無源標(biāo)簽，無法與閱讀器進(jìn)行主動通信認(rèn)證，其能量由閱讀器發(fā)送電磁信號提供，所以一般只作單向認(rèn)證操作。RFID系統(tǒng)包含后端數(shù)據(jù)庫、閱讀器及標(biāo)簽三部分。后端數(shù)據(jù)庫和閱讀器之間的通信信道一般被認(rèn)為是安全可靠的[2]?；诤蠖藬?shù)據(jù)庫和閱讀器之間是一條安全的傳輸信道，一般認(rèn)為二者為一體。閱讀器和標(biāo)簽之間通過不安全的無線信道通信，所以在兩端間交互傳輸?shù)男畔⒎浅Ｈ菀资艿娇寺」鬧3-4]、假冒竊聽等各種各樣的惡意攻擊。RFID系統(tǒng)的安全性及信息隱私性受到極大威脅，在設(shè)計RFID通信協(xié)議時需要充分考慮通信的安全性及信息隱私的保護(hù)，如數(shù)據(jù)完整性、數(shù)據(jù)機(jī)密性、標(biāo)簽?zāi)涿浴⒉豢勺粉櫺缘?。針對RFID系統(tǒng)低成本標(biāo)簽受到計算能力、存儲空間等諸多因素的限制，設(shè)計安全、高效、低成本的RFID認(rèn)證協(xié)議是一個具有挑戰(zhàn)性的課題[2]。

1 相關(guān)研究工作

目前針對RFID認(rèn)證協(xié)議的相關(guān)研究，國內(nèi)外的眾多專家學(xué)者都做了大量的工作，文獻(xiàn)[5]依據(jù)標(biāo)簽上的計算量和操作將RFID認(rèn)證協(xié)議劃分為4類：1）重量級認(rèn)證協(xié)議，是指支持傳統(tǒng)的對稱加密算法、單向函數(shù)加密、非對稱加密算法等，如文獻(xiàn)[6-8]的認(rèn)證協(xié)議。2）簡單認(rèn)證協(xié)議，是指支持偽隨機(jī)數(shù)生成器和單向散列函數(shù)等，如文獻(xiàn)[9-10]的認(rèn)證協(xié)議。3）輕量級認(rèn)證協(xié)議，是指需要偽隨機(jī)數(shù)發(fā)生器和簡單函數(shù)、CRC校驗碼函數(shù)等，如文獻(xiàn)[11-14]的認(rèn)證協(xié)議。4）超輕量級認(rèn)證協(xié)議，是指僅需要簡單的位運算操作（與、或、非、異或、移位等），如UMAP（Ultralightweight Mutual-Authentication Protocol）協(xié)議族[15-17]（LMAP（Lightweight Mutual Authentication Protocol）[15]、EMAP（Efficient Mutual-Authentication Protocol）[16]、M2AP（Minimalist Mutual-Authentication Protocol）[17]）、SASI（Strong Authentication and Strong Integrity）[5]協(xié)議、Gossamer[18]協(xié)議等。

對于超輕量級RFID認(rèn)證協(xié)議，Peris-Lopez等2006年在文獻(xiàn)[15-17]中提出一系列超輕量級認(rèn)證協(xié)議（LMAP[15]、EMAP[16]、M2AP[17]），然而在這三個協(xié)議中只使用了簡單的異或（XOR）、與（AND）、或（OR）和模2m加（mod 2m（+））運算。在文獻(xiàn)[19-20]中證實這些協(xié)議存在的一些安全漏洞，不能抵抗主動和被動攻擊。2007年Chien等在文獻(xiàn)[5]中提出了一種新的位變換運算左循環(huán)移位操作Rot（X，Y）（將參數(shù)X左循環(huán)移動wht（Y）個比特位，其中wht（Y）是X二進(jìn)制數(shù)組的漢明重量）的超輕量級協(xié)議SASI[5]協(xié)議。在文獻(xiàn)[21]指出SASI[5]協(xié)議在對秘密信息生成時頻繁使用了與（AND）運算和或（OR）運算，導(dǎo)致輸出結(jié)果產(chǎn)生了很大的偏重性，標(biāo)簽的隱私性不強且易受跟蹤攻擊。在文獻(xiàn)[21-24]中分析指出了SASI[5]協(xié)議的缺陷，如標(biāo)簽跟蹤、非同步和密鑰泄露，不能抵抗拒絕服務(wù)攻擊和代數(shù)攻擊等。文獻(xiàn)[18]在SASI[5]協(xié)議安全隱患的分析下，引入了一種新的非線性的位變換運算MIXBITS函數(shù)，不使用導(dǎo)致輸出結(jié)果有較大偏重的與（AND）運算和或（OR）運算，提出一個新的超輕量級認(rèn)證協(xié)議Gossamer[18]協(xié)議，文獻(xiàn)[25-26]指出Gossamer協(xié)議存在拒絕服務(wù)攻擊隱患，且Gossamer協(xié)議在標(biāo)簽上的計算量和功耗很大，不滿足低成本RFID標(biāo)簽的要求。文獻(xiàn)[27]中提出一種基于Per運算的RAPP（RFID Authentication Protocol with Permutation）協(xié)議，文獻(xiàn)[28]分析表明RAPP易受到去同步攻擊，文獻(xiàn)[29]中通過偽造、監(jiān)聽攻擊，使其秘密信息全暴露。為了提高RFID系統(tǒng)的安全性，本文定義一種新的位重排變換運算，結(jié)合左循環(huán)移位（Rot（X，Y））運算和模2m加（mod 2m（+））運算提出一種新的RFID認(rèn)證協(xié)議，稱作RRMAP（RFID Mutual Authentication Protocol based on Regeneration）。

2 位重排變換

2.1 位重排變換的定義

首先對位重排變換運算進(jìn)行定義，設(shè)X，Y，Z是三個都有L位的二進(jìn)制數(shù)組（L為偶數(shù)），分別表示為：

的形式。位重排變換Reg（X，Y）的運算過程主要分為逆序自組合變換和相鄰奇偶交叉異或變換兩個階段。

1）第一階段：逆序自組合變換。

①開始前設(shè)置一個閾值，該閾值是判斷每次是否繼續(xù)分組的依據(jù)，若分組后小組的漢明重量除以2下取整wht（Xi）/2」的值依舊大于等于該閾值則繼續(xù)迭代分組，直至分組后每個小組的漢明重量均小于該閾值則停止分組。直至分組后每個小組的漢明重量除以2下取整的值均小于該閾值則停止分組。

②二進(jìn)制數(shù)組X進(jìn)行逆序自組合變換，根據(jù)二進(jìn)制數(shù)組X的漢明重量除以2下取整wht（Xi）/2」的值確定分組位置;得到分組位置后從二進(jìn)制數(shù)值X的最高位根據(jù)數(shù)值0開始計數(shù)進(jìn)行第一次分組，并且在分組后調(diào)換兩個小組的順序，即逆轉(zhuǎn)兩個小組順序。

③完成第一次分組后分別計算分組后的每個小組的漢明重量，然后判斷每個小組是否滿足停止分組的條件，若每個小組的漢明重量除以2下取整wht（Xi）/2」的值不小于定義的閾值，則繼續(xù)對不滿足停止分組條件的小組再根據(jù)分組依據(jù)wht（Xi）/2」的值從最高位依據(jù)0計數(shù)定位分組。

④直至每個小組都滿足自身的漢明重量除以2下取整wht（Xi）/2」的值小于設(shè)置的閾值，則停止分組。經(jīng)過若干輪迭代分組后所有的小組滿足其自身的漢明重量除以2下取整wht（Xi）/2」的值小于定義的閾值，則二進(jìn)制數(shù)組X第一階段逆序自組合變換結(jié)束，經(jīng)過不斷分組逆序交換位置得到重新排列的二進(jìn)制數(shù)組記為X′。

對于二進(jìn)制數(shù)組Y作同樣逆序自組合變換，經(jīng)過不斷分組逆序交換位置得到重新排列的二進(jìn)制數(shù)組記為Y′。

2）第二階段：相鄰奇偶交叉異或變換。

第二階段相鄰奇偶交叉異或變換在第一階段的基礎(chǔ)上進(jìn)行變換運算。具體定義是將二進(jìn)制數(shù)組X，Y在完成第一階段逆序自組合變換得到的結(jié)果X′，Y′進(jìn)行相鄰奇偶交叉異或變換操作，運算過程是二進(jìn)制數(shù)組X′的奇數(shù)位置上的數(shù)值和二進(jìn)制數(shù)組Y′的偶數(shù)位置上的數(shù)值進(jìn)行異或運算（⊕），得到的二進(jìn)制數(shù)組Z的形式表示如下：

其中：

2.2 位重排變換具體運算過程的舉例演示

為了便于理解位重排變換運算，演示一個示例說明。假設(shè)二進(jìn)制數(shù)組X，Y的長度都為24位，具體數(shù)值如圖1所示。

其中二進(jìn)制數(shù)組X的漢明重量為wht（X）=11，二進(jìn)制數(shù)組Y的漢明重量wht（Y）=13，設(shè)置閾值T=3。根據(jù)位重排變換運算Reg（X，Y）的定義，二進(jìn)制數(shù)組X的第一階段逆序自組合變換具體運算過程如圖2所示;二進(jìn)制數(shù)組Y的第一階段逆序自組合變換具體運算過程如圖3所示;完成第一階段變換后的結(jié)果分別如圖4～5所示;第二階段的相鄰奇偶交叉異或變換的具體運算過程如圖6所示。

二進(jìn)制數(shù)組Y的第一階段逆序自組合變換具體運算過程：二進(jìn)制數(shù)組X的第一階段逆序自組合變換具體運算過程如圖2。

二進(jìn)制數(shù)組X，Y分別完成第一階段逆序自組合變換后的結(jié)果表示為X′，Y′，具體數(shù)值如圖4～5所示。完成第一階段逆序自組合變換得到的結(jié)果X′，Y′將用于第二階段的相鄰奇偶交叉異或變換運算。

在圖2和圖3之間增加一句：二進(jìn)制數(shù)組Y的第一階段逆序自組合變換具體運算過程：二進(jìn)制數(shù)組Y的第一階段逆序自組合變換具體運算過程如圖3。

根據(jù)位重排變換第二階段相鄰奇偶交叉異或變換的定義，在示例中的二進(jìn)制數(shù)組X，Y長度均為L=24，而第一階段變換只是進(jìn)行位混淆置換操作，所以最終得到的二進(jìn)制數(shù)組X′，Y′的長度也是L=24，那么Z的形式可以表示如下：

3.2 協(xié)議認(rèn)證流程

RRMAP的整個認(rèn)證過程可以分為4個階段：1）初始化階段;2）標(biāo)簽識別階段;3）雙向認(rèn)證階段;4）閱讀器、標(biāo)簽更新階段。具體流程如圖7所示。

3.2.1 初始化階段

該階段是閱讀器、標(biāo)簽數(shù)據(jù)的初始化階段，將產(chǎn)生的密鑰信息同步存儲到合法的閱讀器和標(biāo)簽。

3.2.2 標(biāo)簽識別階段

1）該階段閱讀器和標(biāo)簽之間發(fā)生通信，而且是由閱讀器主動發(fā)起，閱讀器首先會向標(biāo)簽發(fā)送一個挑戰(zhàn)信息，定義為“Query”，開始新的一輪認(rèn)證周期。

2）標(biāo)簽在收到挑戰(zhàn)信息后會對閱讀器發(fā)送回應(yīng)信息，回應(yīng)信息為此標(biāo)簽的當(dāng)前輪認(rèn)證周期的標(biāo)簽假名IDS。

3）閱讀器在收到標(biāo)簽回應(yīng)的標(biāo)簽假名信息IDS后會在后端數(shù)據(jù)庫中進(jìn)行查詢，如果是合法標(biāo)簽發(fā)送的回應(yīng)信息IDS，則閱讀器可以通過該標(biāo)簽發(fā)送來的IDS在后端數(shù)據(jù)庫中查詢到匹配的信息。RRMAP中具體匹配過程是后端數(shù)據(jù)庫首先使用上一輪成功認(rèn)證通信更新后的IDSnext進(jìn)行匹配，若匹配成功則可以獲取其對應(yīng)密鑰信息K（Knext1|Knext2|Knext3），并進(jìn)入下一階段雙向認(rèn)證階段;如果閱讀器接收的IDS在后端數(shù)據(jù)庫中匹配IDSnext沒有成功，則使用保留的上一輪認(rèn)證通信的IDSold進(jìn)行匹配，若IDSold匹配成功，則可以獲取到IDSold相相對應(yīng)的密鑰信息K（Kold1|Kold2|Kold3）并繼續(xù)下一階段雙向認(rèn)證階段;若經(jīng)過兩次匹配都沒有成功，則終止認(rèn)證，認(rèn)為此標(biāo)簽為非法標(biāo)簽。

3.2.3 雙向認(rèn)證階段

1）閱讀器生成信息A、B。

在完成第二階段標(biāo)簽認(rèn)證階段以后，閱讀器通過偽隨機(jī)數(shù)生成器（Pseudo-Random Number Generator， PRNG）生成兩個96位隨機(jī)數(shù)n1、n2。利用生成的偽隨機(jī)數(shù)n1及相應(yīng)密鑰信息Ki，按信息A、B生成計算公式生成信息A、B，其中A=Rot（Reg（IDS，K1），K2）+n1，B=Reg（Rot（IDS，K2），n1+K1），發(fā)送信息A‖B給標(biāo)簽。

2）標(biāo)簽驗證閱讀器。

①標(biāo)簽在收到閱讀器發(fā)送的信息A‖B后，首先拆分信息A‖B得到兩個獨立信息A、B，再根據(jù)信息A的生成計算公式進(jìn)行反推提取出閱讀器生成并隱藏的隨機(jī)數(shù)。

②標(biāo)簽根據(jù)信息B的生成計算公式，利用隨機(jī)數(shù)n1和標(biāo)簽存儲的相應(yīng)的密鑰信息Ki生成標(biāo)簽端的信息B′=Reg（Rot（IDS，K2），n1+K1），通過比較接收到的信息B與標(biāo)簽生成的信息B′是否相等，來確認(rèn)交互信息的傳遞過程中是否安全：如果標(biāo)簽生成信息B′和接收到閱讀器發(fā)送的信息B相等（B′=B），則表示信息A‖B在傳輸過程中是安全的，其中隱藏的隨機(jī)數(shù)n1也是安全傳輸?shù)?，此時標(biāo)簽認(rèn)證閱讀器合法，標(biāo)簽成功認(rèn)證閱讀器;如果標(biāo)簽生成信息B′和接收到閱讀器發(fā)送的信息B不相等（B′≠B），則表示信息A‖B傳輸?shù)倪^程中可能被攻擊、篡改或閱讀器不合法，即標(biāo)簽認(rèn)證閱讀器失敗，認(rèn)證通信過程終止。

③在標(biāo)簽成功認(rèn)證閱讀器后，根據(jù)信息C生成計算公式生成消息C，其中C=Reg（Rot（K1，ID），n1+K2），并將信息C發(fā)送給閱讀器。

④閱讀器接收到標(biāo)簽發(fā)送的信息C后，根據(jù)信息C的生成計算公式利用其存儲的相關(guān)信息ni，Ki生成閱讀器端的信息C′，其中C′=Reg（Rot（K1，ID），n1+K2），然后比較信息C′和接收到標(biāo)簽發(fā)送的信息C是否相等：如果閱讀器的生成信息C′和接收到標(biāo)簽發(fā)送的信息C相等（C′=C），則表示信息C安全傳輸且認(rèn)為標(biāo)簽合法，則閱讀器成功認(rèn)證標(biāo)簽;如果閱讀器生成信息C′和接收到標(biāo)簽發(fā)送的信息C不相等（C′≠C），則表示信息C在傳輸過程中可能遭受攻擊、篡改或者標(biāo)簽非法，即閱讀器認(rèn)證標(biāo)簽失敗，認(rèn)證通信過程終止。

3.2.4 閱讀器、標(biāo)簽更新階段

1）閱讀器更新階段。

閱讀器和標(biāo)簽完成雙向認(rèn)證階段后進(jìn)入更新階段，閱讀器生成信息D、E，其中D=Rot（Reg（K3，n1），K2）+n2，E=Reg（Rot（K3，n1），n2+k1），連接合成信息D‖E并發(fā)送給標(biāo)簽，然后閱讀器啟動更新，進(jìn)行閱讀器更新。其中閱讀器中更新的相關(guān)信息分別為：

2）標(biāo)簽再次驗證閱讀器。

①標(biāo)簽在接收到閱讀器發(fā)送信息D‖E后，首先通過拆分信息D‖E得到兩個獨立的信息D、E，再根據(jù)信息D的生成計算公式反推提取出隨機(jī)數(shù)n2。

②標(biāo)簽根據(jù)信息E的生成計算公式生成信息E′，其中E′=Reg（Rot（K3，n1），n2+K1），比較收到的信息E和生成的信息E′是否相等：若接收到的信息E和生成的信息E′相等（E′=E），則表示信息傳輸過程中安全，標(biāo)簽再次驗證閱讀器，并且確認(rèn)閱讀器已經(jīng)啟動更新，則標(biāo)簽也可以執(zhí)行信息更新操作;若接收到的信息E和求得的信息E′不相等（E′≠E），則表示信息在傳輸中可能遭受攻擊、篡改，標(biāo)簽不執(zhí)行更新操作，認(rèn)證終止。標(biāo)簽中更新的相關(guān)信息為：

閱讀器和標(biāo)簽兩端同步完成所有信息（IDS，K1，K2，K3，K4）的更新表示一個完整的認(rèn)證周期完成。

4 BAN邏輯形式化分析和證明

本文采用BAN（Burrows-Abadi-Needham）邏輯分析方法對新提出來的RRMAP進(jìn)行形式化證明。BAN邏輯是由Burrows、Abadi和Needham提出的基于信念的模態(tài)邏輯，其語法、推理步驟在文獻(xiàn)[30]中有詳細(xì)介紹。

BAN邏輯對協(xié)議進(jìn)行形式化分析和證明，也就是通過BAN邏輯將協(xié)議用邏輯語言對協(xié)議的初始狀態(tài)進(jìn)行初始化假設(shè)，建立初始假設(shè)集合;將協(xié)議的實際傳輸消息轉(zhuǎn)換為BAN邏輯能夠進(jìn)行識別的形式化公式，建立理想化協(xié)議模型;通過應(yīng)用BAN邏輯中的相關(guān)推理法則對協(xié)議進(jìn)行形式化分析，逐步推導(dǎo)最終判斷協(xié)議是否能夠達(dá)到期望的安全目標(biāo)。本文協(xié)議的BAN邏輯形式化分析如下。

4.1 協(xié)議描述

協(xié)議的理想化模型如下：

在該協(xié)議模型中，消息M1、消息M2傳輸形式都是明文傳輸，在分析過程中不作分析。消息M5作用是標(biāo)簽用于確認(rèn)閱讀器已經(jīng)成功認(rèn)證通知標(biāo)簽啟動更新，所以也不作安全分析。主要的安全分析工作是將消息M3和消息M4轉(zhuǎn)換為形式化的語言并作安全分析。

密鑰K（K1|K2|K3）是閱讀器和標(biāo)簽的共享密鑰，只有雙方知道而攻擊者無法獲取到該密鑰信息，所以假設(shè)P1、P2成立。IDS是閱讀器和標(biāo)簽之間的共享秘密信息，雖然是明文傳輸?shù)皇且粋€查詢條件，在生成相關(guān)秘密信息時使用的都是自身存儲的安全I(xiàn)DS，所以假設(shè)P3、P4成立。隨機(jī)數(shù)ni是由隨機(jī)數(shù)發(fā)生器在每一輪認(rèn)證中不斷更新產(chǎn)生，通過加密傳輸，閱讀器和標(biāo)簽都相信其新鮮性，所以假設(shè)P5、P6、P7、P8成立。默認(rèn)合法信息B由閱讀器生成，標(biāo)簽相信閱讀器對信息B有管轄權(quán)，信息C由標(biāo)簽生成，閱讀器相信標(biāo)簽對信息C有管轄權(quán)，所以假設(shè)P9、P10成立。

4.3 協(xié)議證明的安全目標(biāo)

5 安全性分析

本章將對所提出的新的認(rèn)證協(xié)議對主動攻擊、被動攻擊等惡意攻擊的抵抗能力及部分安全屬性進(jìn)行安全分析。

5.1 對惡意攻擊抵抗能力的安全分析

5.1.1 抵抗位置跟蹤攻擊

RRMAP對于標(biāo)簽的識別采用標(biāo)簽假名IDS，不使用標(biāo)簽的唯一靜態(tài)標(biāo)識ID，而標(biāo)簽假名IDS在經(jīng)過一輪認(rèn)證通信后會進(jìn)行動態(tài)的更新，同時用于IDS更新的密鑰信息K1、K2、K3以及隨機(jī)數(shù)n1、n2在每一輪完整認(rèn)證后也會進(jìn)行更新。閱讀器和標(biāo)簽之間通信交互的信息也是隨機(jī)化的信息，攻擊者不能從截獲兩端的通信交互信息來追蹤定義標(biāo)簽，所以RRMAP能夠較好地抵御惡意的位置追蹤攻擊。

5.1.2 抵抗偽造攻擊

1）偽造標(biāo)簽。

攻擊者通過杜撰一個密鑰信息K′而假冒為一個合法的標(biāo)簽從而達(dá)到進(jìn)行成功認(rèn)證通信的目的。在RRMAP中，偽造標(biāo)簽收到合法閱讀器發(fā)送交互信息A‖B后，從信息A中提取隨機(jī)數(shù)n1，因為偽造標(biāo)簽的偽造密鑰信息K′與合法閱讀器K不同，所以偽造標(biāo)簽無法提出隨機(jī)數(shù)信息n1，所以RRMAP能夠抵御標(biāo)簽偽造攻擊。

2）偽造閱讀器。

攻擊者通過偽造合法閱讀器發(fā)送的信息A‖B來假冒合法閱讀器。攻擊者無法獲取合法閱讀器的密鑰信息和隨機(jī)數(shù)信息，所以發(fā)送的偽造信息A′‖B′和合法閱讀器使用密鑰信息和隨機(jī)數(shù)生成的信息A‖B不同。當(dāng)合法標(biāo)簽接收到假冒閱讀器發(fā)送偽造信息A′‖B′后，從信息A′中提取隨機(jī)數(shù)n1′，利用n1′計算信息B結(jié)果和接受接收的偽造信息B′不相等，即認(rèn)證失敗，所以RRMAP能夠抵御閱讀器偽造攻擊。

5.1.3 抵抗去同步攻擊

去同步攻擊是一種主動的攻擊方式，就是攻擊者通過破壞閱讀器和標(biāo)簽之間的消息的一致性，使兩端信息失去同步性。去同步攻擊有兩種攻擊方式：一種是對信息進(jìn)行篡改，經(jīng)過篡改的消息改變了原有信息意義，導(dǎo)致信息不一致而失去同步性;另一種方式是重傳攻擊，對通信認(rèn)證中的消息進(jìn)行重傳攻擊，中斷信息的傳遞，從而使信息失去同步性。

在RRMAP的設(shè)計中，在后端數(shù)據(jù)庫中對標(biāo)簽假名IDS和密鑰信息K1、K2、K3都存儲了兩輪，即保留上一輪正常認(rèn)證的相關(guān)信息IDSold、Kold1、Kold2、Kold3和更新后的相關(guān)信息：IDSnext、Knext1、Knext2、Knext3。如果遭受去同步攻擊閱讀器和標(biāo)簽兩端信息更新不一致，當(dāng)合法標(biāo)簽再一次認(rèn)證時標(biāo)簽依舊使用未更新的信息進(jìn)行認(rèn)證，閱讀器首先使用更新的信息IDSnext、Knext1、Knext2、Knext3進(jìn)行匹配，若匹配失敗則用存儲的上一輪成功通信的相關(guān)秘密信息IDSold、Kold1、Kold2、Kold3進(jìn)行匹配，則可成功認(rèn)證，所以RRMAP能夠抵御去同步攻擊。

5.1.4 抵抗重放攻擊

所謂重放攻擊就是在閱讀器和標(biāo)簽進(jìn)行認(rèn)證通信過程中，攻擊者可以截獲閱讀器和標(biāo)簽之間的交互信息，再偽裝成閱讀器向標(biāo)簽重放信息或偽裝成標(biāo)簽向閱讀器重放信息。

在RRMAP中，每當(dāng)成功進(jìn)行一輪認(rèn)證通信后，閱讀器和標(biāo)簽對于共享密鑰信息K1、K2、K3和共享標(biāo)簽假名都會進(jìn)行同步更新，在更新中每輪新產(chǎn)生的隨機(jī)數(shù)都會參與，即每一輪更新操作中的隨機(jī)數(shù)n1、n2都不相同。對于攻擊者截獲前一輪的交互信息進(jìn)行重放攻擊均不會成功，所以RRMAP能夠抵御重放攻擊。

5.1.5 抵抗拒絕服務(wù)攻擊

在目前的RFID認(rèn)證協(xié)議中，大部分都是由閱讀器發(fā)送挑戰(zhàn)信息，開始新的一輪認(rèn)證周期，對于這類RFID認(rèn)證協(xié)議可能會遭受攻擊者偽造并發(fā)送閱讀器的挑戰(zhàn)信息，造成標(biāo)簽無法響應(yīng)合法閱讀器的認(rèn)證通信，或者攻擊者截獲終端標(biāo)簽發(fā)送的響應(yīng)信息，造成合法閱讀器無法收到合法標(biāo)簽的響應(yīng)信號。攻擊者可通過阻塞協(xié)議認(rèn)證通信過程中的第三輪消息，即截獲中斷閱讀器發(fā)送給標(biāo)簽的信息D‖E，造成閱讀器和標(biāo)簽的更新失去同步，使得閱讀器認(rèn)證標(biāo)簽失敗而不再響應(yīng)標(biāo)簽消息。在RRMAP中由于閱讀器保存兩輪認(rèn)證通信信息，所以可以抵抗拒絕服務(wù)攻擊。

5.2 其他安全屬性的分析

5.2.1 數(shù)據(jù)的完整性

RFID認(rèn)證協(xié)議在認(rèn)證周期中交互信息的數(shù)據(jù)完整性也就是信息發(fā)送端的數(shù)據(jù)可以安全完整地傳輸?shù)叫畔⒔邮斩?，在傳輸過程中若信息遭受篡改，信息接收端在收到信息后能夠識別信息的完整性遭到破壞。在RRMAP中閱讀器和標(biāo)簽之間進(jìn)行認(rèn)證交互的信息（A‖B，C，D‖E）都是經(jīng)過隨機(jī)數(shù)（n1，n2），共享密鑰信息K（K1|K2|K3）以及標(biāo)簽假名IDS共同參與并多次變換的秘密信息，如果這些交互信息在傳輸過程中受到篡改，閱讀器和標(biāo)簽都能夠識別，所以RRMAP能夠保證數(shù)據(jù)完整性。

5.2.2 數(shù)據(jù)的機(jī)密性

數(shù)據(jù)的機(jī)密性就是要求RFID認(rèn)證協(xié)議所傳輸?shù)慕换バ畔⒃谠馐芄粽呓孬@后無法提取出相關(guān)的信息[31]。在RRMAP中，在每一輪認(rèn)證期間所傳輸?shù)慕粨Q信息（A‖B，C，D‖E）都是使用產(chǎn)生新的隨機(jī)數(shù)（n1，n2），共享密鑰信息K（K1|K2|K3）也是在更新后的密鑰信息，標(biāo)簽假名IDS也是不斷動態(tài)更新的。即使攻擊者截獲相關(guān)交互信息，在沒有隨機(jī)數(shù)信息、密鑰信息的情況下也是無法破解出任何相關(guān)的秘密信息，所以，RRMAP能夠保證數(shù)據(jù)機(jī)密性。

5.2.3 前向安全性

前向安全性是攻擊者在獲取到認(rèn)證通信中一些交互信息后不能從中推導(dǎo)出之前正確的秘密信息。在RRMAP中，在每成功完成一次認(rèn)證通信后，對于所有的秘密信息K（K1|K2|K3），IDS都會執(zhí)行更新操作，并且每個秘密信息更新運算中都會有其他多個秘密信息的參與，這樣更加保證每個秘密信息的隨機(jī)性，所以，RRMAP能夠保證認(rèn)證通信的前向安全性。

5.2.4 雙向認(rèn)證性

閱讀器和標(biāo)簽之間進(jìn)行相互通信的前提條件就是雙方都需要確認(rèn)彼此是合法的，這樣可以有效避免發(fā)生合法閱讀器或者標(biāo)簽和非法標(biāo)簽或者閱讀器之間進(jìn)行非法通信，保證RFID系統(tǒng)的安全。在RRMAP中閱讀器和標(biāo)簽是雙向認(rèn)證的，首先是標(biāo)簽對閱讀器的認(rèn)證，閱讀器在雙向認(rèn)證階段首先發(fā)生信息（A‖B），在信息A中閱讀器隱藏隨機(jī)數(shù)n1，而信息B的生成也有隨機(jī)數(shù)n1的參與，標(biāo)簽在收到信息（A‖B）后，從信息A中提取隨機(jī)數(shù)n1，并利用隨機(jī)數(shù)n1和自身密鑰信息生成信息B′，比較信息B和B′：若相等，則標(biāo)簽成功認(rèn)證閱讀器;否則認(rèn)證閱讀器失敗認(rèn)證終止。閱讀器對標(biāo)簽的認(rèn)證類似于標(biāo)簽對閱讀器認(rèn)證，接收到標(biāo)簽發(fā)送信息C后，利用自身密鑰信息生成信息C′，比較信息C和C′：若相等，則閱讀器成功認(rèn)證標(biāo)簽;否則認(rèn)證標(biāo)簽失敗認(rèn)證終止，所以RRMAP具有雙向認(rèn)證性。

5.2.5 標(biāo)簽?zāi)涿院筒豢勺粉櫺?/p>

在RRMAP中將標(biāo)簽的唯一靜態(tài)標(biāo)識ID沒有明文傳輸而是加密傳輸，在標(biāo)簽識別階段所使用的是標(biāo)簽假名IDS，并且IDS在每完成一輪認(rèn)證通信后都會進(jìn)行更新。即使攻擊者截獲認(rèn)證通信的交互信息也無法獲取到標(biāo)簽的ID，所以，RRMAP具有標(biāo)簽?zāi)涿院筒豢勺粉櫺浴?/p>

6 性能分析

6.1 安全性對比分析

安全性對比分析主要從第5章介紹的RFID認(rèn)證協(xié)議對多種惡意攻擊的抵抗能力及部分安全屬性的角度進(jìn)行分析。

RRMAP安全性能比較如表2所示。

6.2 資源消耗對比分析

本節(jié)將從標(biāo)簽端的存儲空間消耗、信息生成時的計算開銷以及認(rèn)證過程中的通信代價等三個方面對RRMAP進(jìn)行性能分析和對比。其中RRMAP中存儲及交互的相關(guān)信息的長度為L，L=96bit。

6.2.1 標(biāo)簽存儲空間消耗

RRMAP的標(biāo)簽只要存儲標(biāo)簽的唯一靜態(tài)標(biāo)識ID、用于標(biāo)簽識別的標(biāo)簽假名IDS以及協(xié)議認(rèn)證過程中生成交互信息的密鑰信息，標(biāo)簽總的存儲空間消耗為4L。

6.2.2 計算開銷

RRMAP中主要包含三種位運算方式，分別是位重排變換運算（Reg（X，Y））、左循環(huán)移位（Rot（X，Y））運算以及模2m加（mod 2m（+））運算，以上所述運算方式在低成本的標(biāo)簽上都可以進(jìn)行有效的實現(xiàn)。

6.2.3 雙向認(rèn)證通信量

RRMAP是一種雙向認(rèn)證協(xié)議，在雙向認(rèn)證階段首先是閱讀器發(fā)送信息A‖B完成標(biāo)簽對閱讀器的認(rèn)證，接著標(biāo)簽向閱讀器發(fā)送信息C完成閱讀器對標(biāo)簽的認(rèn)證，最后閱讀器向標(biāo)簽發(fā)送信息D‖E完成進(jìn)一步認(rèn)證。在雙向認(rèn)證過程中總的通信量是5L。

RRMAP和部分經(jīng)典的超輕量級RFID認(rèn)證協(xié)議的資源消耗對比分析如表3所示。

RRMAP和部分經(jīng)典的RFID認(rèn)證協(xié)議安全屬性、抵御多種惡意攻擊等安全性的比較分析和標(biāo)簽在存儲空間消耗、信息生成計算開銷及雙向認(rèn)證總通信量等性能的比較分析結(jié)果如表2～3所示。分析比較結(jié)果表明：RRMAP能夠保證認(rèn)證通信過程中交互信息的數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性、標(biāo)簽?zāi)涿浴⒉豢勺粉櫺?，能夠抵御重放攻擊、中間人攻擊、偽造攻擊、去同步攻擊等多種惡意攻擊方式，滿足了RFID系統(tǒng)的安全和隱私需求;同時使用較少的存儲空間和較低的計算成本，在雙向認(rèn)證的通信成本上作出少量犧牲以確保RFID安全認(rèn)證的需求，因此更好地保證認(rèn)證的安全，RRMAP整體滿足低成本標(biāo)簽的需求。

7 結(jié)語

本文針對目前RFID系統(tǒng)中存在的安全問題，定義一種新的位重排變換Reg（X，Y），結(jié)合左循環(huán)移位Rot（X，Y）運算和模2m加（mod2m（+））運算，提出一種新的RFID認(rèn)證協(xié)議——RRMAP。從安全性分析和性能分析結(jié)果來看，本文新提出的認(rèn)證協(xié)議能夠抵抗多種攻擊，如位置跟蹤攻擊、偽造攻擊、去同步攻擊、拒絕服務(wù)攻擊等多種惡意攻擊方式，并且能夠保證數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性、數(shù)據(jù)前向安全性，同時標(biāo)簽在存儲空間消耗、信息生成的計算開銷上都更有優(yōu)勢，雙向認(rèn)證的通信量上與同類RFID認(rèn)證協(xié)議基本持平。通過BAN邏輯形式化推理證明表明本協(xié)議是安全的。RRMAP的整體設(shè)計滿足RFID系統(tǒng)在低成本標(biāo)簽的認(rèn)證要求。未來進(jìn)一步研究內(nèi)容：對于協(xié)議安全性需要使用形式化驗證工具進(jìn)一步證明;需要結(jié)合相關(guān)攻擊模型進(jìn)行模擬實驗進(jìn)一步驗證協(xié)議的安全性。

參考文獻(xiàn) （References）

[1] 黃玉蘭.物聯(lián)網(wǎng)射頻識別（RFID）核心技術(shù)詳解[M].北京：人民郵電出版社，2010：11-12.（HUANG Y L， RFID Core Technology based on Internet of Things [M]. Beijing： Posts & Telecom Press， 2010：11-12.）

[2] 周永彬，馮登國.RFID安全協(xié)議的設(shè)計與分析[J].計算機(jī)學(xué)報，2006，29（4）：581-589.（ZHOU Y B， FENG D G. Design and analysis of RFID security protocol[J]. Chinese Journal of Computers， 2006， 29 （4）：581-589.）

[3] BU K， WENG M， ZHENG Y， et al. You can clone but you cannot hide： a survey of clone prevention and detection for RFID[J]. IEEE Communications Surveys & Tutorials， 2017， 19（3）：1682-1700.

[4] BU K， LIU X， LUO J， et al. Unreconciled collisions uncover cloning attacks in anonymous RFID systems[J]. IEEE Transactions on Information Forensics & Security， 2013， 8（3）：429-439.

[5] CHIEN H Y. SASI： a new ultralightweight RFID authentication protocol providing strong authentication and strong integrity[J]. IEEE Transactions on Dependable & Secure Computing， 2007， 4（4）： 337-340.

[6] LIU Y L， QIN X L， WANG C， et al. A lightweight RFID authentication protocol based on elliptic curve cryptography[J]. Journal of Computers， 2013， 8（11）：2880-2887.

[7] JUELS A， MOLNAR D， WAGNER D. Security and privacy issues in e-passports[C]// Proceedings of the First International Conference on Security and Privacy for Emerging Areas in Communications Networks. Piscataway， NJ： IEEE， 2005： 74-88.

[8] KINOSHITA S， OHKUBO M， HOSHINO F， et al. Privacy enhanced active RFID tag[EB/OL]. [2018-01-15]. http：//www.lbenchindia.com/finalyearprojectdatasheets/RFID%20TAG.pdf.

[9] MOLNAR D， WAGNER D. Privacy and security in library RFID： issues， practices， and architectures[C]// Proceedings of the 11th Association for Computing Machinery Conference on Computer and Communications Security. New York： ACM， 2004： 210-219.

[10] WEIS S A， SARMA S E， RIVEST R L， et al. Security and privacy aspects of low-cost radio frequency identification systems [C]// Proceedings of the First International Conference on Security in Pervasive Computing. Berlin： Springer， 2004： 201-212.

[11] CHIEN H Y， CHEN C H. Mutual authentication protocol for RFID conforming to EPC Class 1 Generation 2 standards [J]. Computer Standards & Interfaces， 2007， 29（2）： 254-259.

[12] NGUYEN DUC D， PARK J， LEE H， et al. Enhancing security of EPCglobal Gen2 RFID tag against traceability and cloning [C]// SCIS 2006： Proceedings of the 2006 Symposium on Cryptography and Information Security. Hiroshima： Institute of Electronics， Information and Communication Engineers， 2006： 97-97.

[13] GILBERT H， ROBSHAW M， SIBERT H. Active attack against HB+-a provably secure lightweight authentication protocol[J]. Electronics Letters， 2005， 41（21）：1169-1170.

[14] JUELS A. Strengthening EPC tags against cloning [C]// Proceedings of the 4th ACM Workshop on Wireless security. New York： ACM， 2005： 67-76.

[15] PERIS-LOPEZ P， HERNANDEZ-CASTRO J C， TAPIADOR J M E， et al. LMAP： a real lightweight mutual authentication protocol for low-cost RFID tags [C]// Proceedings of the 2nd Workshop on Radio Frequency IDentification Security. Graz： [s.n.]， 2006： 6.

[16] PERIS-LOPEZ P， HERNANDEZ-CASTRO J C， ESTEVEZ-TAPIA-DOR J M， et al. EMAP： an efficient mutual-authentication protocol for low-cost RFID tags [C]// Proceedings of the 2006 International Conferences on On the Move to Meaningful Internet Systems： AWeSOMe， CAMS， COMINF， IS， KSinBIT， MIOS-CIAO， MONET. Berlin： Springer， 2006： 352-361.

[17] PERIS-LOPEZ P， HERNANDEZ-CASTRO J C， ESTEVEZ-TAPIADOR J M， et al. M2AP： a minimalist mutual-authentication protocol for low-cost RFID tags [C]// Proceedings of the 2006 International Conference on Ubiquitous Intelligence and Computing. Berlin： Springer， 2006： 912-923.

[18] PERIS-LOPEZ P， HERNANDEZ-CASTRO J C， ESTEVEZ-TAPIADOR J M， et al. Advances in ultra-lightweight cryptography for low-cost RFID tags： gossamer protocol [C] // Proceedings of 9th International Workshop on Information Security Applications. Berlin： Springer， 2008： 56-68.

[19] CHIEN H Y， HUANG C W. Security of ultra-lightweight RFID authentication protocols and its improvements [J]. ACM Operating System Review， 2007， 41（2）： 83-86.

[20] LI T Y， WANG G L. Security analysis of two ultra-lightweight RFID authentication protocols [J]. IFIP International Federation for Information Processing， 2007， 232（5/6）：14-16.

[21] PHAN C W. Cryptanalysis of a new ultralightweight RFID authentication protocol—SASI[J]. IEEE Transactions on Dependable & Secure Computing， 2009， 6（4）：316-320.

[22] CAO T， BERTINO E， LEI H. Security analysis of the SASI protocol [J]. IEEE Transactions on Dependable and Secure Computing， 2009， 6（1）： 73-77.

[23] SUN H M， TING W C， WANG K H. On the security of Chiens ultra-lightweight RFID authentication protocol[J]. IEEE Transactions on Dependable and Secure Computing， 2011， 8（2）： 315-317.

[24] DARCO P， DE SANTIS A. On ultralightweight RFID authentication protocols[J]. IEEE Transactions on Dependable & Secure Computing， 2011， 8（4）：548-563.

[25] 彭朋，趙一鳴，韓偉力，等.一種超輕量級的RFID雙向認(rèn)證協(xié)議[J].計算機(jī)工程，2011，37（16）：140-142.（PENG P， ZHAO Y M， HAN W L， et al. Ultra-lightweight RFID mutual authentication protocol [J]. Computer Engineering， 2011， 37（16）：140-142.）

[26] FARZANEH Y， AZIZI M， DEHKORDI M， et al. Vulnerability analysis of two ultra lightweight RFID authentication protocols[J]. International Arab Journal of Information Technology， 2015， 12（4）：340-345.

[27] TIAN Y， CHEN G， LI J. A new ultralightweight RFID authentication protocol with permutation[J]. IEEE Communications Letters， 2012， 16（5）：702-705.

[28] LI W， XIAO M， LI Y， et al. Formal analysis and verification for an ultralightweight authentication protocol RAPP of RFID [C]// Proceedings of the 35th National Conference of Theoretical Computer Science. Berlin： Springer， 2017： 119-132.

[29] WANG S H， HAN Z J， LIU S J， et al. Security analysis of RAPP： an RFID authentication protocol based on permutation [EB/OL]. [2018-01-18]. https：//eprint.iacr.org/2012/327.pdf.

[30] 楊世平.安全協(xié)議及其BAN邏輯分析研究[D].貴陽：貴州大學(xué).2007：54-73.（YANG S P. Analysis and research of security protocol with BAN logic[D]. Guiyang： Guizhou University， 2007：54-73.）

[31] 劉亞麗，秦小麟，王超.一種超輕量級RFID雙向認(rèn)證協(xié)議[J].計算機(jī)科學(xué)，2013，40（12）：141-146.（LIU Y L， QIN X L， WANG C. Ultralightweight RFID mutual-authentication protocol[J]. Computer Science， 2013， 40（12）：141-146.）