高級(jí)技師論文投稿期刊推薦《工業(yè)控制計(jì)算機(jī)》(月刊)是《中國(guó)學(xué)術(shù)期刊綜合評(píng)價(jià)數(shù)據(jù)庫(kù)》來(lái)源期刊，由《中國(guó)期刊網(wǎng)》、《中國(guó)學(xué)術(shù)期刊(光盤(pán)版)》、《中國(guó)核心期刊(遴選)數(shù)據(jù)庫(kù)》全文收錄。自1988年創(chuàng)刊至今，《工業(yè)控制計(jì)算機(jī)》(月刊)始終堅(jiān)持科研與生產(chǎn)相結(jié)合，關(guān)注工業(yè)自動(dòng)化領(lǐng)域的最新技術(shù)與應(yīng)用，為建立工控廠商與用戶之間的良好溝通渠道而不懈努力。
　　摘要：針對(duì)RFID標(biāo)簽搜索過(guò)程中產(chǎn)生的安全與隱私問(wèn)題，設(shè)計(jì)了一個(gè)輕量級(jí)無(wú)服務(wù)型RFID安全搜索協(xié)議.通過(guò)嚴(yán)格時(shí)間戳的方式對(duì)移動(dòng)讀寫(xiě)器的時(shí)間權(quán)限進(jìn)行管理，提出松散時(shí)間戳和HASH函數(shù)相結(jié)合的方式對(duì)無(wú)線信道進(jìn)行安全防護(hù)，其利用HASH函數(shù)的單向性保證了協(xié)議消息的完整性和保密性，利用碰撞原理實(shí)現(xiàn)了可調(diào)節(jié)的隱私強(qiáng)度及搜索效率.在UC框架下證明了協(xié)議滿足通用可組合安全性，使得協(xié)議可運(yùn)行在并發(fā)環(huán)境當(dāng)中，在標(biāo)準(zhǔn)安全模型下證明了協(xié)議滿足抵抗重放、去同步、跟蹤及匿名性等攻擊方式，提出的搜索協(xié)議具有強(qiáng)安全性和強(qiáng)隱私性.

　　關(guān)鍵詞：無(wú)線射頻識(shí)別(RFID),搜索協(xié)議,通用可組合,標(biāo)準(zhǔn)安全模型

　　Provable Security Lightweight

　　Serviceless RFID Security Search Protocol

　　WANG Xin1， JIA Qingxuan1， GAO Xin 1， ZHAO Bing2， CUI Baojiang3

　　(1. School of Automation， Beijing Univ of Posts and Telecommunications， Beijing100876， China;

　　2. State Grid Metering Center， Beijing 100192， China;

　　3. School of Computer Science， Beijing Univ of Posts and Telecommunications， Beijing100876， China)

　　Abstract：To solve the problems of security and privacy caused by RFID tags search process， a lightweight serviceless RFID security search protocol was designed. Firstly， through strict timestamp， the time permissions of the mobile reader were managed. Secondly， the method of combining loose timestamp and HASH function for the safety protection of the wireless channel was put forward， the oneway character of HASH function was used to ensure the integrity and confidentiality of interactive messages. Finally， the collision thought was made use of to realize the adjustable intensity of privacy and search efficiency. Under the UC framework， it was proved that the protocol could meet universally composable security， enabling the protocol to run in the concurrent environment. Under the standard security model， it was proved that the protocol could effectively resist replay attack， desynchronization attack， track attack， anonymity attack and so on. It follows that the proposed protocol has strong security and privacy.

　　Key words：Radio Frequency Identification; search protocol; universally composable; standard security model

　　RFID技術(shù)具有非接觸式讀取、批量讀取及可適用于惡劣環(huán)境等諸多優(yōu)點(diǎn).因此，RFID技術(shù)在識(shí)別、傳感定位、物流跟蹤等領(lǐng)域受到廣泛關(guān)注，并不斷被開(kāi)發(fā)出新的用途[1].然而，大規(guī)模推廣使安全與隱私問(wèn)題日益凸顯，成為制約其發(fā)展的關(guān)鍵因素，利用無(wú)線信道非接觸式讀取在帶來(lái)便利的同時(shí)也為攻擊者提供了良好的攻擊條件，利用被動(dòng)攻擊可致使公司數(shù)據(jù)及顧客個(gè)人隱私泄漏、惡意跟蹤等后果，利用主動(dòng)攻擊可使RFID系統(tǒng)癱瘓，標(biāo)簽與讀寫(xiě)器之間的認(rèn)證被永久性破壞，進(jìn)而導(dǎo)致物品流失等嚴(yán)重后果.同時(shí)，出于成本考慮，在實(shí)際應(yīng)用中一般選用被動(dòng)式標(biāo)簽，其通過(guò)讀寫(xiě)器電磁耦合提供能量，因而，具有計(jì)算能力弱 、存儲(chǔ)能力低的特點(diǎn).傳統(tǒng)安全協(xié)議類似SSL/TLS可提供安全可靠的信道，但由于其耗能較大，并不適應(yīng)于被動(dòng)標(biāo)簽.因此，設(shè)計(jì)輕量級(jí)或超輕量級(jí)的 RFID安全協(xié)議成為亟需解決的關(guān)鍵問(wèn)題.

　　目前，大多RFID安全協(xié)議主要針對(duì)具有后臺(tái)服務(wù)器的情況進(jìn)行相關(guān)設(shè)計(jì).文獻(xiàn)[2]根據(jù)標(biāo)簽支持的加密運(yùn)算對(duì)RFID安全協(xié)議進(jìn)行了分類：成熟類安全協(xié)議，其標(biāo)簽支持成熟加密算法如ECC，AES，DES及非對(duì)稱加密體制[3];輕量級(jí)安全協(xié)議，其標(biāo)簽支持HASH函數(shù)、隨機(jī)數(shù)生成、冗余校驗(yàn)碼等計(jì)算量較小的運(yùn)算[4-5];超輕量級(jí)安全協(xié)議，其利用異或、且、非等位運(yùn)算對(duì)交互數(shù)據(jù)進(jìn)行加密[6]. 其中，成熟類安全協(xié)議雖然可提供高等級(jí)安全防護(hù)，然而對(duì)標(biāo)簽計(jì)算性能要求較高僅能在有源標(biāo)簽上運(yùn)行，故無(wú)法得到廣泛應(yīng)用.超輕量級(jí)安全協(xié)議對(duì)標(biāo)簽計(jì)算性能要求極低，然而目前提出的大多數(shù)該類協(xié)議易受去同步攻擊、全泄漏攻擊和跟蹤攻擊等常見(jiàn)攻擊手段的攻擊[7].相比之下輕量級(jí)安全協(xié)議使用HASH函數(shù)等較為輕量的加密函數(shù)在提供較高安全等級(jí)防護(hù)的同時(shí)對(duì)標(biāo)簽的要求也較低.同時(shí)，由于近年來(lái)的硬件加工工藝進(jìn)步使得低價(jià)無(wú)源RFID標(biāo)簽可有效支持HASH函數(shù)等加密運(yùn)算[8].雖然具有后臺(tái)服務(wù)器的安全協(xié)議可提供有效的無(wú)線信道安全防護(hù)，然而，在許多實(shí)際應(yīng)用中需要讀寫(xiě)器進(jìn)行移動(dòng)操作，例如電力系統(tǒng)中掌機(jī)對(duì)其電表RFID標(biāo)簽的識(shí)別需要掌機(jī)進(jìn)行移動(dòng)識(shí)別等應(yīng)用情況.對(duì)無(wú)服務(wù)型RFID安全協(xié)議進(jìn)行研究有助于提升系統(tǒng)的靈活性，可移動(dòng)讀寫(xiě)器更加適用于實(shí)際應(yīng)用環(huán)境.進(jìn)一步，在許多實(shí)際應(yīng)用中只需對(duì)單個(gè)標(biāo)簽進(jìn)行認(rèn)證和識(shí)別，無(wú)需對(duì)可識(shí)別范圍內(nèi)所有標(biāo)簽進(jìn)行安全認(rèn)證. 　　鑒于無(wú)服務(wù)器應(yīng)用環(huán)境，目前，針對(duì)RFID搜索協(xié)議的研究較少，文獻(xiàn)[9-10]對(duì)標(biāo)簽搜索協(xié)議進(jìn)行了研究并設(shè)計(jì)了相關(guān)安全協(xié)議，其通過(guò)非目標(biāo)標(biāo)簽隨機(jī)概率應(yīng)答讀寫(xiě)器搜索信號(hào)以防護(hù)目標(biāo)標(biāo)簽隱私性，但只進(jìn)行了簡(jiǎn)單論證和非形式化證明，其安全性并沒(méi)有得到嚴(yán)格的證明，因此，易受延遲攻擊等攻擊手段的攻擊 [11].文獻(xiàn)[12]利用偽隨機(jī)函數(shù)及動(dòng)態(tài)分散種子更新機(jī)制以實(shí)現(xiàn)對(duì)標(biāo)簽安全搜索過(guò)程當(dāng)中的無(wú)線信道安全，然而分散種子動(dòng)態(tài)更新使得其易受去同步攻擊方式的攻擊.文獻(xiàn)[8]在之前研究的基礎(chǔ)上提出了安全性較高的搜索協(xié)議，使用對(duì)被動(dòng)標(biāo)簽較難實(shí)現(xiàn)的AES算法對(duì)交互信息進(jìn)行加密，算法復(fù)雜度較高，難以推廣.文獻(xiàn)[13]提出了一種輕量級(jí)無(wú)服務(wù)型搜索協(xié)議，并在UC框架下證明了其具有通用可組合安全性，具有實(shí)現(xiàn)簡(jiǎn)單，算法復(fù)雜度低的優(yōu)點(diǎn)，然而其仍然存在泄露隱私性及易受去同步化攻擊等弱點(diǎn).同時(shí)，以上文獻(xiàn)對(duì)搜索協(xié)議的研究沒(méi)有考慮實(shí)際運(yùn)行環(huán)境下移動(dòng)讀寫(xiě)器的安全性，僅對(duì)其讀寫(xiě)器與標(biāo)簽之間的信道進(jìn)行了相應(yīng)的安全防護(hù)措施.

　　本文基于松散時(shí)間戳與HASH函數(shù)相結(jié)合的方式設(shè)計(jì)了一個(gè)輕量級(jí)無(wú)服務(wù)型搜索安全協(xié)議.協(xié)議限定了讀寫(xiě)器時(shí)間權(quán)限進(jìn)而保證了讀寫(xiě)器安全性，并利用碰撞的思想保證了目標(biāo)標(biāo)簽隱私性.在UC框架和標(biāo)準(zhǔn)安全模型下分別證明了其安全性，使其具有雙向認(rèn)證安全搜索、通用可組合安全性和強(qiáng)隱私性等安全特性.

　　1設(shè)計(jì)搜索協(xié)議需滿足的安全屬性

　　RFID搜索協(xié)議可快速確定目標(biāo)標(biāo)簽的存在性，為保障安全性與隱私性，安全搜索協(xié)議需滿足以下安全屬性：

　　1)可用性.攻擊者利用去同步攻擊使標(biāo)簽遷移到不可認(rèn)證狀態(tài)，即讀寫(xiě)器與標(biāo)簽之間的共享信息不同步，從而導(dǎo)致合法標(biāo)簽和讀寫(xiě)器不能正確有效地識(shí)別對(duì)方，使其認(rèn)證識(shí)別功能失效.因此，協(xié)議應(yīng)抗去同步化攻擊.

　　2)認(rèn)證性.讀寫(xiě)器通過(guò)獲得標(biāo)簽證明(利用共享信息計(jì)算)，進(jìn)而證明標(biāo)簽應(yīng)答信息的正確性，以此來(lái)認(rèn)定目標(biāo)標(biāo)簽的存在性和合法性.搜索過(guò)程應(yīng)保證匿名認(rèn)證，即標(biāo)簽的唯一標(biāo)識(shí)對(duì)通信鏈路監(jiān)聽(tīng)者不可知.

　　3)隱私性.包括標(biāo)簽?zāi)涿�性和不可追蹤性，�?biāo)簽的匿名性保證了攻擊者通過(guò)相應(yīng)的攻擊策略并不能獲得標(biāo)簽的任何相關(guān)信息;不可追蹤性保證了攻擊者不能通過(guò)分析協(xié)議交互信息進(jìn)而實(shí)現(xiàn)對(duì)某個(gè)標(biāo)簽的跟蹤.

　　4)并發(fā)安全性.RFID搜索協(xié)議的運(yùn)行處于物聯(lián)網(wǎng)協(xié)議底層.因此，保證搜索協(xié)議在UC框架下安全是RFID系統(tǒng)安全的必然要求.

　　2可證明安全

　　本文通過(guò)可證明安全來(lái)保證協(xié)議具有安全性和隱私性.UC框架下證明協(xié)議的安全性其優(yōu)點(diǎn)在于保證協(xié)議的并發(fā)安全性，使協(xié)議可并發(fā)運(yùn)行于復(fù)雜環(huán)境;標(biāo)準(zhǔn)安全模型的優(yōu)點(diǎn)在于分析協(xié)議的孤立安全性.本文從兩個(gè)層面上對(duì)協(xié)議安全性進(jìn)行相關(guān)證明，以下對(duì)UC框架和標(biāo)準(zhǔn)安全模型進(jìn)行簡(jiǎn)要說(shuō)明.

　　2.1UC框架

　　為適應(yīng)復(fù)雜應(yīng)用環(huán)境，單個(gè)協(xié)議經(jīng)常會(huì)多次運(yùn)行在并發(fā)網(wǎng)絡(luò)環(huán)境中.UC框架的優(yōu)點(diǎn)在于可實(shí)現(xiàn)模塊化設(shè)計(jì)，在UC框架下保證安全性就可以保證其具有并發(fā)安全性[14].RFID標(biāo)簽與讀寫(xiě)器之間的安全協(xié)議屬于物聯(lián)網(wǎng)底層協(xié)議，具有高并發(fā)性和應(yīng)用環(huán)境多樣復(fù)雜等特點(diǎn)，因此，有必要在UC框架下證明協(xié)議的并發(fā)安全性.

　　UC安全框架證明過(guò)程如圖1所示，首先設(shè)定協(xié)議π的參與者為ITM(交互式圖靈機(jī))，包括(U1，U2，…，Ui，…，Un)及現(xiàn)實(shí)環(huán)境攻擊者A.理想環(huán)境下虛擬參與者U1，U2，…，Ui，…，Un，理想攻擊者S及理想功能F，F(xiàn)代表協(xié)議需要滿足的安全屬性，參與者與S給予F輸入，F(xiàn)相應(yīng)給出輸出，充當(dāng)不可攻破的可信第三方.在這兩種情況下引入環(huán)境機(jī)Z，Z代表協(xié)議運(yùn)行外部環(huán)境(包括并發(fā)運(yùn)行的其他協(xié)議，如用戶等)，Z能夠?yàn)閰⑴c者及攻擊者提供任意輸入.最后，Z收集真實(shí)環(huán)境下和理想環(huán)境下參與者和攻擊者的全局輸出，進(jìn)而判斷Z是在與真實(shí)攻擊者A存在的情況下真實(shí)協(xié)議交互還是與理想攻擊者S存在的情況下理想環(huán)境交互，若Z不能區(qū)分這兩種情況，則可證明協(xié)議滿足UC安全.

　　2.2標(biāo)準(zhǔn)安全模型

　　標(biāo)準(zhǔn)安全模型首先設(shè)定攻擊者A的攻擊目標(biāo).然后，根據(jù)協(xié)議實(shí)際運(yùn)行，A調(diào)用一系列功能預(yù)言機(jī)從而形成攻擊策略，其反應(yīng)了A的攻擊能力.若A在概率多項(xiàng)式時(shí)間(PPT)內(nèi)成功達(dá)到攻擊目標(biāo)的概率可以忽略，則協(xié)議在標(biāo)準(zhǔn)模型下是安全的[15].這里假設(shè)A對(duì)信道具有完全控制能力，即A可調(diào)用預(yù)言機(jī)如下.

　　1)O1(πsearch)：獲取讀寫(xiě)器與標(biāo)簽之間的交互消息;

　　2)O2(πsearch，tag，m1，m2)：發(fā)送挑戰(zhàn)消息m1給標(biāo)簽并獲得返回的應(yīng)答消息m2;

　　3)O3(πsearch，Reader，m3，m4)：發(fā)送消息m3給讀寫(xiě)器并獲得返回應(yīng)答消息m4;

　　4)O4(πsearch，Reader，tag)：篡改交互消息.

　　攻擊實(shí)驗(yàn)Exp(A)分為兩個(gè)階段，學(xué)習(xí)階段和猜測(cè)階段.

　　在學(xué)習(xí)階段A可調(diào)用預(yù)言機(jī)O∈{O1，O2，O3，O4}進(jìn)行監(jiān)聽(tīng)、打斷、篡改讀寫(xiě)器和標(biāo)簽之間的交互消息，以此來(lái)進(jìn)行攻擊知識(shí)積累.

　　在猜測(cè)階段A根據(jù)學(xué)習(xí)階段的知識(shí)積累進(jìn)行判斷并得出攻擊結(jié)論，安全搜索協(xié)議的攻擊目標(biāo)為A通過(guò)分析可判定標(biāo)簽是否存在，若A在PPT內(nèi)成功的概率與擲硬幣的概率相等，則攻擊實(shí)驗(yàn)失敗，即攻擊者成功的優(yōu)勢(shì)Adv滿足：

　　Adv=|P(Exp(A)標(biāo)簽存在)-12|≤ε(n).(1)

　　否則，A的攻擊實(shí)驗(yàn)Exp(A)成功，協(xié)議不滿足標(biāo)準(zhǔn)安全模型下的安全性.

　　3RFID安全搜索協(xié)議

　　以下對(duì)提出的安全搜索協(xié)議進(jìn)行具體闡述.首先，讀寫(xiě)器在CA處下載Li時(shí)，利用SSL/TLS協(xié)議協(xié)商會(huì)話密鑰的過(guò)程中加入系統(tǒng)當(dāng)前時(shí)間作為分散因子，從而限定了規(guī)定時(shí)間內(nèi)讀寫(xiě)器定時(shí)到系統(tǒng)處更新原有列表，使讀寫(xiě)器在一定時(shí)間間隔內(nèi)到CA處進(jìn)行“報(bào)道”，實(shí)現(xiàn)了時(shí)間權(quán)限管理，同時(shí)，實(shí)現(xiàn)了讀寫(xiě)器標(biāo)識(shí)更新和讀寫(xiě)器列表定時(shí)更新，將標(biāo)簽密鑰與讀寫(xiě)器標(biāo)識(shí)碼進(jìn)行HASH綁定，即使讀寫(xiě)器列表泄露，攻擊者也不能得到標(biāo)簽密鑰，因而可抵抗標(biāo)簽仿造攻擊.提出松散時(shí)間戳和碰撞機(jī)制相結(jié)合的方式實(shí)現(xiàn)了對(duì)標(biāo)簽隱私性和抗跟蹤性的防護(hù)，防止了惡意跟蹤和目標(biāo)標(biāo)簽存在性泄露.其協(xié)議流程如圖2所示. 　　3.1協(xié)議初始化

　　讀寫(xiě)器在CA處利用SSL/TLS協(xié)議進(jìn)行認(rèn)證，并獲得與CA中心共享的會(huì)話密鑰.在預(yù)主密鑰的協(xié)商中加入新的分散因子：CA當(dāng)前時(shí)間Ts，協(xié)商后的會(huì)話密鑰為ksc=hash(TS，ns，nc，…)，并規(guī)定讀寫(xiě)器唯一標(biāo)識(shí)為rt=hash(TS，Rid)，在完成標(biāo)簽搜索任務(wù)后，在規(guī)定時(shí)限讀寫(xiě)器需到CA中心注冊(cè)新標(biāo)識(shí)rt.超過(guò)時(shí)限后讀寫(xiě)器自行刪除內(nèi)部列表，CA中心對(duì)該讀寫(xiě)器發(fā)起警報(bào)認(rèn)定其違規(guī)操作并作標(biāo)記，時(shí)限取決于系統(tǒng)安全等級(jí)要求以及完成不同搜索任務(wù)所需時(shí)長(zhǎng).其后，CA中心利用數(shù)字證書(shū)對(duì)認(rèn)證通過(guò)后的讀寫(xiě)器下發(fā)認(rèn)證列表Li，讀寫(xiě)器根據(jù)自身當(dāng)前時(shí)間計(jì)算新的列表L′i，Tcur為當(dāng)前讀寫(xiě)器時(shí)間：

　　Li=f(ri，ks1)…id1

　　f(ri，ksn)…idn→

　　L′i=f(ri，ksi)f(ri，ks1)Tcurid1

　　f(ri，ksnf(ri，ksn)Tcuridn(2)

　　3.2協(xié)議執(zhí)行步驟

　　協(xié)議執(zhí)行流程如下：

　　1)讀寫(xiě)器確定搜索目標(biāo)標(biāo)簽Tj，令Tj在搜索列表L′i中的相應(yīng)值為GT=f(rj，ksj)Tcur，同時(shí)，取隨機(jī)數(shù)nr∈R0，1l，計(jì)算A和B.

　　A=f(nr，idj，GT)，

　　B=f(nr，idj，GT)→k. (3)

　　假定f(nr，idj，GT)長(zhǎng)度為k位，A為f(nr，idj，GT)的前位，剩余部分為B，則根據(jù)實(shí)際運(yùn)行環(huán)境中標(biāo)簽數(shù)量及需要達(dá)到的安全等級(jí)確定，f為HASH函數(shù)，在總標(biāo)簽數(shù)為n的情況下，i個(gè)標(biāo)簽具有相同位前綴的概率為P(i).根據(jù)HASH函數(shù)特性，經(jīng)HASH運(yùn)算后，其結(jié)果獨(dú)立均勻分布，因此有：

　　P(i)=n

　　i2

　　1i1-12i.(4)

　　由此可知：

　　E(i)=∑ni=1i*P(i).(5)

　　E(i)為i個(gè)標(biāo)簽具有相同位前綴的期望，當(dāng)E(i)≥L(L≥2)時(shí)，有至少平均L個(gè)標(biāo)簽對(duì)搜索信號(hào)進(jìn)行應(yīng)答.因此，即使在目標(biāo)標(biāo)簽不存在的情況下，仍然可能有標(biāo)簽應(yīng)答，A不能判斷目標(biāo)標(biāo)簽的存在性，保證了目標(biāo)標(biāo)簽的隱私性.這里可以調(diào)節(jié)的長(zhǎng)度進(jìn)而控制應(yīng)答標(biāo)簽的數(shù)量，越小則L越大，目標(biāo)標(biāo)簽隱私性越強(qiáng)，然而，其搜索速度越慢.因此，可根據(jù)具體應(yīng)用環(huán)境設(shè)定來(lái)滿足隱私性要求和搜索速度要求，其思想在于利用數(shù)據(jù)串前綴碰撞的思想對(duì)目標(biāo)標(biāo)簽隱私性進(jìn)行了安全防護(hù).隨后，讀寫(xiě)器發(fā)送A，nr，Tcur，ri給標(biāo)簽.

　　2)標(biāo)簽根據(jù)接收到的nr，Tcur，ri，并利用自身保存的密鑰ks1及自身標(biāo)識(shí)ID計(jì)算相應(yīng)的A′和B′：

　　A′={f(nr，idj，G′T)};(6)

　　B′={f(nr，idj，G′T)}→k.(7)

　　標(biāo)簽進(jìn)一步比對(duì)A′是否等于接收到的A，若相等，則標(biāo)簽認(rèn)定自身為目標(biāo)標(biāo)簽，否則認(rèn)為為非目標(biāo)標(biāo)簽，不應(yīng)答.同時(shí)，比對(duì)自身保存時(shí)間Tlast與接收到的時(shí)間戳Tcur，令

　　TΔ=Tcur-Tlast.(8)

　　若TΔ>0，則取隨機(jī)數(shù)nj為空字符串，并做如下計(jì)算：

　　flag=0，β11=f(flag，B′，Tcur，idj)， (9)

　　β2=(β11)0→k2，β3=(β11)k2→k， (10)

　　δ=B′.(11)

　　同時(shí)，將標(biāo)簽時(shí)鐘Tlast置為T(mén)cur：

　　Tlast←Tcur.(12)

　　否則，取nj∈R0，1l：

　　flag=1，β21=f(flag，B′，nj，idj)，

　　Tlast←Tlast， (13)

　　β2=(β21)0→k2，β3=(β21)k2→k， (14)

　　δ=空字符串. (15)

　　發(fā)送flag‖nj‖β2‖δ給讀寫(xiě)器，標(biāo)簽保存β3，Tcur，并發(fā)送flag‖nj‖β2‖δ給讀寫(xiě)器，這里通過(guò)松散時(shí)間戳比對(duì)，使協(xié)議可有效抵抗重放攻擊等攻擊手段.

　　3)讀寫(xiě)器接收到flag‖nj‖β2‖δ，首先判斷flag值，若flag=0，利用自身保存值對(duì)應(yīng)地計(jì)算B和β2，并比對(duì)如下值：

　　δ=B，

　　β′2=β2.(16)

　　若相等，則判定該標(biāo)簽為目標(biāo)標(biāo)簽，這里令：

　　β′3=(β1′1)k/2→k.(17)

　　否則，判定標(biāo)簽為非目標(biāo)標(biāo)簽.

　　若flag=1，則利用nj計(jì)算：

　　β′2=(β2′1)0→k/2.(18)

　　并判定：β′2=β2，若相等則該標(biāo)簽為目標(biāo)標(biāo)簽，但目標(biāo)標(biāo)簽的時(shí)間戳不正確，需進(jìn)行修改，這里令：

　　β′3=(β2′1)k/2→k.(19)

　　否則，判定標(biāo)簽為非目標(biāo)標(biāo)簽.

　　在判定為目標(biāo)標(biāo)簽的情況下，發(fā)送β′3給標(biāo)簽，否則，β′3為任意隨機(jī)數(shù).

　　4)標(biāo)簽接收到讀寫(xiě)器發(fā)送的β′3，比對(duì)自身保存的β3與接收到的β′3，若相等，則置Tlast為T(mén)cur，否則，保持Tlast不變.目標(biāo)標(biāo)簽可以通過(guò)β′3確認(rèn)自己的目標(biāo)身份地位，同時(shí)實(shí)現(xiàn)了對(duì)讀寫(xiě)器的安全認(rèn)證.

　　4安全性分析

　　4.1并發(fā)安全性

　　UC安全性需根據(jù)協(xié)議所要滿足的安全屬性，設(shè)計(jì)理想功能F并進(jìn)行形式化與抽象，然后通過(guò)構(gòu)造理想環(huán)境下的攻擊者來(lái)模擬真實(shí)環(huán)境下敵手的行為.若Z不能區(qū)分兩種環(huán)境下攻擊者的行為，則證明協(xié)議實(shí)現(xiàn)了并發(fā)安全性.

　　4.1.1RFID搜索協(xié)議理想功能

　　定義理想功能為Faut_anon，使其滿足認(rèn)證性和匿名搜索性，如圖3所示.

　　1)在UC框架下，搜索會(huì)話唯一標(biāo)識(shí)符sid反映了協(xié)議外部環(huán)境，搜索協(xié)議的所有參與者共享同一sid，Z最開(kāi)始被激活，隨后標(biāo)簽和讀寫(xiě)器被激活，當(dāng)標(biāo)簽和讀寫(xiě)器之間沒(méi)有激活發(fā)生時(shí)，Z再次被激活并輸出判定結(jié)果. 　　2)參與者包括標(biāo)簽和讀寫(xiě)器，搜索會(huì)話sid當(dāng)中包括單一讀寫(xiě)器和多個(gè)實(shí)體標(biāo)簽，一次sid包括多個(gè)子會(huì)話s.成功完成對(duì)指定標(biāo)簽的搜索任務(wù)后，讀寫(xiě)器認(rèn)定目標(biāo)標(biāo)簽的存在性.

　　3)Faut_anon中攻擊者只能獲得其交互實(shí)體的主客體關(guān)系.即Init_session(R，s)和Init_session(s′，T)僅僅反映了該實(shí)體為標(biāo)簽還是讀寫(xiě)器，因此，實(shí)現(xiàn)了匿名性.在搜索過(guò)程中利用碰撞機(jī)制實(shí)現(xiàn)了多個(gè)標(biāo)簽判定其自身為目標(biāo)標(biāo)簽，從而，攻擊者無(wú)法判斷目標(biāo)標(biāo)簽是否存在，更不能判定目標(biāo)標(biāo)簽具體為哪個(gè)標(biāo)簽.

　　4)通過(guò)Search消息，讀寫(xiě)器可實(shí)現(xiàn)對(duì)目標(biāo)標(biāo)簽的認(rèn)證及識(shí)別;通過(guò)Accept消息，實(shí)現(xiàn)標(biāo)簽對(duì)讀寫(xiě)器的認(rèn)證;攻擊者可通過(guò)Corrupt攻陷標(biāo)簽，攻陷后攻擊者獲得了標(biāo)簽的所有內(nèi)部狀態(tài).在理想仿真下，對(duì)攻陷標(biāo)簽狀態(tài)的刪除將對(duì)攻陷標(biāo)簽的控制權(quán)轉(zhuǎn)移給了攻擊者S.

　　4.1.2UC安全性分析

　　結(jié)論1提出的安全搜索協(xié)議πsearch可實(shí)現(xiàn)理想功能Faut_anon，從而具有通用可組合性.

　　證構(gòu)造了真實(shí)環(huán)境下讀寫(xiě)器R，標(biāo)簽T和攻擊者A的副本，，，并將真實(shí)環(huán)境下{RTA}之間的消息傳輸?shù)葍r(jià)轉(zhuǎn)換到理想環(huán)境下{}的消息交互.通過(guò){}與Z之間的交互來(lái)仿真真實(shí)協(xié)議運(yùn)行過(guò)程，F(xiàn)aut_anon給出了{(lán)}之間的仿真交互方式，其仿真交互如圖4所示.

　　圖4 協(xié)議仿真交互

　　Fig.4Protocol simulation interaction

　　由圖4可知，若標(biāo)簽被攻陷則仿真可成功將真實(shí)協(xié)議運(yùn)行情況下的攻擊者轉(zhuǎn)化為理想環(huán)境下的理想攻擊者，對(duì)于環(huán)境機(jī)Z而言不可區(qū)分他們之間的行為，因此，實(shí)現(xiàn)了UC框架下的并發(fā)安全.

　　若標(biāo)簽沒(méi)有被攻陷，假設(shè)f為隨機(jī)噪聲源產(chǎn)生的真隨機(jī)函數(shù)，則在子會(huì)話中交互消息獨(dú)立均勻分布.在該假設(shè)下，其可區(qū)分性僅僅在于理想環(huán)境下攻擊者對(duì)功能 Search(s，s′)和Accept(s，i)進(jìn)行干擾的情況下，在實(shí)際環(huán)境中，相應(yīng)地使讀寫(xiě)器或標(biāo)簽接收攻擊者篡改后的消息，其對(duì)應(yīng)于在實(shí)際環(huán)境下傳輸消息受篡改的標(biāo)簽和讀寫(xiě)器輸出與理想環(huán)境下子會(huì)話s的輸出一致.然而，假設(shè)f為真隨機(jī)函數(shù).因此，這種情況不可能發(fā)生.

　　由此可知，若Z 可以區(qū)分是與真實(shí)協(xié)議下攻擊者A交互還是與理想攻擊者進(jìn)行交互，則Z也能區(qū)分真隨機(jī)數(shù)和偽隨機(jī)數(shù).然而，對(duì)攻擊者而言，在PPT內(nèi)真隨機(jī)數(shù)和偽隨機(jī)數(shù)區(qū)分不可能實(shí)現(xiàn)，由此可知，Z也不能區(qū)分實(shí)際環(huán)境下讀寫(xiě)器、標(biāo)簽、攻擊者交互信息視圖與理想環(huán)境下理想功能、讀寫(xiě)器、標(biāo)簽、攻擊者的交互信息視圖.因此，協(xié)議 πsearch可實(shí)現(xiàn)UC框架下的安全搜索.

　　4.2標(biāo)準(zhǔn)安全模型下證明安全性

　　結(jié)論2在標(biāo)準(zhǔn)安全模型下，A對(duì)搜索協(xié)議的目標(biāo)存在性攻擊實(shí)驗(yàn)Exp(A)的成功優(yōu)勢(shì)Adv≤ε(n)，攻擊者通過(guò)調(diào)用預(yù)言機(jī)O∈{O1，O2，O3，O4}判斷目標(biāo)標(biāo)簽是否存在.分以下幾種情況進(jìn)行證明：

　　1)A調(diào)用預(yù)言機(jī)O1(πsearch)獲取讀寫(xiě)器與標(biāo)簽之間的交互消息，即協(xié)議正常執(zhí)行流程下，A判斷目標(biāo)標(biāo)簽存在性.A成功的優(yōu)勢(shì)Adv≤ε(n).

　　證攻擊者A在學(xué)習(xí)階段獲取協(xié)議消息體A，nr，Tcur，ri，flag‖nj‖β2‖δ，β′3.在猜測(cè)階段，根據(jù)其學(xué)習(xí)階段獲取信息做出目標(biāo)標(biāo)簽存在性判定.根據(jù)碰撞原理可知，在消息A，nr，Tcur，ri發(fā)送后有L個(gè)標(biāo)簽應(yīng)答，即使標(biāo)簽不存在的情況下，仍然有平均L個(gè)標(biāo)簽應(yīng)答，因此，A根據(jù) flag‖nj‖β2‖δ無(wú)法判斷其是否為目標(biāo)標(biāo)簽;β′3根據(jù)是否為目標(biāo)標(biāo)簽而生成，若為目標(biāo)標(biāo)簽，則β′3=(β1′1)k/2→k或β′3= (β2′1)k/2→k，否則為任意隨機(jī)數(shù).若采用真隨機(jī)函數(shù)生成任意隨機(jī)數(shù)的話，則A利用β′3實(shí)現(xiàn)對(duì)是否為目標(biāo)標(biāo)簽的判定，其難度等同于區(qū)分真隨機(jī)數(shù)與偽隨機(jī)數(shù)，因此，在該情況下Adv≤ε(n).得證.

　　2)A調(diào)用預(yù)言機(jī)O1(πsearch)獲取協(xié)議交互消息，在隨后的PPT內(nèi)，攻擊者可利用O∈{O2，O3，O4}重放，篡改消息流，進(jìn)行自適應(yīng)攻擊來(lái)判斷目標(biāo)標(biāo)簽存在性，A成功的優(yōu)勢(shì)Adv≤ε(n).

　　證攻擊者A利用預(yù)言機(jī)O2攔截搜索消息A*，n*r，T*cur，ri，并重放學(xué)習(xí)階段消息A，nr，Tcur，ri.由于TΔ=0，碰撞標(biāo)簽集當(dāng)中L 個(gè)標(biāo)簽進(jìn)行應(yīng)答，其應(yīng)答消息為1‖nj‖β2‖δ，β2中加入新的分散因子nj，A無(wú)法判斷目標(biāo)標(biāo)簽與非目標(biāo)標(biāo)簽應(yīng)答消息的區(qū)別，也無(wú)法判斷同一標(biāo)簽的會(huì)話鏈接性.同時(shí)，讀寫(xiě)器若接收到重放flag‖nj‖β2‖δ后，若為目標(biāo)標(biāo)簽的重放消息，則讀寫(xiě)器應(yīng)答β′3=任意隨機(jī)數(shù)，若為非目標(biāo)標(biāo)簽，則β′3= 任意隨機(jī)數(shù).因此，A無(wú)法利用O∈{O2，O3}判定目標(biāo)標(biāo)簽存在性，可知Adv≤ε(n).進(jìn)一步，若攻擊者同時(shí)重放消息A，nr，Tcur，ri及 Tcur‖β′3，由于TΔ=0，目標(biāo)標(biāo)簽自身計(jì)算的β3=(β21)k/2→k加入了新的分散因子nj，因此，β′3≠β3，標(biāo)簽對(duì)讀寫(xiě)器的認(rèn)證失敗.

　　若A利用預(yù)言機(jī)O4對(duì)消息體進(jìn)行篡改來(lái)驗(yàn)證目標(biāo)標(biāo)簽存在性，在學(xué)習(xí)階段首先收集篡改協(xié)議消息后標(biāo)簽或讀寫(xiě)器的應(yīng)答消息，并結(jié)合 O∈{O2，O3}進(jìn)行消息重放等攻擊策略，進(jìn)而在猜測(cè)階段得出結(jié)論.首先，A對(duì)消息A，nr，Tcur，ri的篡改是沒(méi)有必要的，因?yàn)�，若篡改該消息，則目標(biāo)標(biāo)簽判定標(biāo)準(zhǔn)發(fā)生變化使應(yīng)答標(biāo)簽發(fā)生變化，相應(yīng)的目標(biāo)標(biāo)簽也發(fā)生變化;對(duì)消息體flag‖nj‖β2‖δ進(jìn)行篡改后，認(rèn)證通不過(guò)，目標(biāo)標(biāo)簽被讀寫(xiě)器認(rèn)定為非目標(biāo)標(biāo)簽.因此，應(yīng)答消息β′3為任意隨機(jī)數(shù)，若為非目標(biāo)標(biāo)簽，其應(yīng)答消息β′3仍然為任意隨機(jī)數(shù)，故攻擊者無(wú)法判斷其目標(biāo)標(biāo)簽的存在性，可知 Adv≤ε(n).得證.

　　結(jié)論3提出的搜索協(xié)議可抵抗去同步攻擊.

　　證標(biāo)簽保存信息為T(mén)last，ks，id，其中ks，id 為不變量，與CA中心永久保持同步，雖然Tlast為可變量，但其只參與協(xié)議的時(shí)間戳比對(duì)，即使在不同步的情況下，協(xié)議仍然可正常運(yùn)行.因此，其松散同步性對(duì)搜索協(xié)議的去同步化攻擊影響可以忽略，故協(xié)議可有效抵抗去同步攻擊. 　　結(jié)論4提出的搜索協(xié)議具有不可追蹤性和匿名性.

　　證攻擊者 A調(diào)用O∈{O1，O2，O3}收集并發(fā)送相同搜索消息，根據(jù)應(yīng)答消息跟蹤標(biāo)簽，若應(yīng)答消息相同則可實(shí)現(xiàn)對(duì)標(biāo)簽的跟蹤.若A發(fā)送相同搜索消息 A，nr，Tcur，ri，則由于TΔ=0，對(duì)β2的計(jì)算引入了新的分散因子nj，因此，A無(wú)從利用重放搜索消息對(duì)標(biāo)簽進(jìn)行跟蹤.即使攻擊者利用暴力攻擊致使標(biāo)簽自身保存Tlast變?yōu)闊o(wú)限大，即首次搜索flag=1，β2中引入nj，在隨后的跟蹤當(dāng)中，若A截?cái)?beta;′3的傳輸，那么Tlast仍然為無(wú)限大，因此下次搜索中flag=1，β2中的nj換為新的隨機(jī)數(shù)，A無(wú)法跟蹤標(biāo)簽.若A不截?cái)?beta;′3的傳輸，則讀寫(xiě)器對(duì)標(biāo)簽Tlast進(jìn)行了修改，A也無(wú)法跟蹤標(biāo)簽.同時(shí)，利用碰撞原理實(shí)現(xiàn)了匿名性，平均L個(gè)標(biāo)簽進(jìn)行應(yīng)答，致使A無(wú)法對(duì)標(biāo)簽進(jìn)行區(qū)分，可有效保證目標(biāo)標(biāo)簽?zāi)涿��?

　　5協(xié)議性能分析

　　受限于RFID標(biāo)簽的計(jì)算能力及存儲(chǔ)能力，搜索協(xié)議的設(shè)計(jì)有必要考慮標(biāo)簽的存儲(chǔ)量、計(jì)算量、通信量以及協(xié)議的搜索效率.

　　存儲(chǔ)量：搜索協(xié)議中標(biāo)簽需保存Tlast，IDj，ksj及中間計(jì)算結(jié)果Tcur和β′3，因此，運(yùn)行協(xié)議需要的標(biāo)簽存儲(chǔ)量為 length(T)+3length(ID)/2+length(ks)，由此可知，若 length(ID)=length(ks)=96，length(T)=64，則所需標(biāo)簽存儲(chǔ)量?jī)H為304 bit，低價(jià)被動(dòng)標(biāo)簽即可滿足其存儲(chǔ)量需求.

　　計(jì)算量：協(xié)議采用了HASH運(yùn)算、異或運(yùn)算、截取運(yùn)算，根據(jù)文獻(xiàn)[2]的分類，輕量級(jí)安全協(xié)議設(shè)計(jì)可滿足其計(jì)算需求，相比于文獻(xiàn)[3]的搜索協(xié)議，標(biāo)簽增加了一次HASH運(yùn)算，其主要用來(lái)防護(hù)標(biāo)簽密鑰信息不被攻擊者所獲取，進(jìn)而攻擊者無(wú)法利用攻陷的讀寫(xiě)器列表對(duì)標(biāo)簽進(jìn)行偽造，從而提高了安全性.

　　通信量：讀寫(xiě)器發(fā)送兩個(gè)消息體A，nr，Tcur，ri和β′3，其由于搜索而發(fā)生的傳輸能量消耗較低，讀寫(xiě)器具有單獨(dú)電源供應(yīng)，傳輸耗能可不考慮;而標(biāo)簽需傳輸消息為flag‖nj‖β2‖δ，在標(biāo)簽時(shí)間戳不正確的情況下，δ為空字符串，傳輸數(shù)據(jù)長(zhǎng)度僅僅為flag‖nj‖β2.在標(biāo)簽時(shí)間戳正確的情況下，其由于傳輸flag‖β2‖δ而產(chǎn)生的耗能極低.相比于文獻(xiàn)[13]的協(xié)議，增加了β ′3，然而實(shí)現(xiàn)了標(biāo)簽對(duì)讀寫(xiě)器的安全認(rèn)證，由此也實(shí)現(xiàn)了搜索協(xié)議雙向認(rèn)證.

　　協(xié)議搜索效率：讀寫(xiě)器通過(guò)消息A，nr，Tcur，ri進(jìn)行查詢，根據(jù)碰撞原理，L個(gè)標(biāo)簽進(jìn)行應(yīng)答，因此，搜索任務(wù)僅僅需比對(duì)L次標(biāo)簽傳輸消息.同時(shí)，正常情況下標(biāo)簽時(shí)間戳正確，因此，讀寫(xiě)器可離線計(jì)算好β2和δ并保存，在搜索過(guò)程中僅需進(jìn)行比對(duì)操作.若A利用暴力攻擊漫無(wú)目的發(fā)送A，nr，Tcur，ri，其中Tcur為無(wú)窮大，利用碰撞致使部分標(biāo)簽時(shí)間戳變?yōu)闊o(wú)窮大的情況下，讀寫(xiě)器依然可以利用β′3對(duì)目標(biāo)標(biāo)簽的時(shí)間戳更正，進(jìn)而搜索過(guò)程中讀寫(xiě)器僅需進(jìn)行比對(duì)計(jì)算.因此，讀寫(xiě)器僅需比對(duì)L次搜索結(jié)果，搜索效率為 L/2，可通過(guò)調(diào)節(jié)的長(zhǎng)度來(lái)滿足實(shí)際應(yīng)用場(chǎng)景下隱私強(qiáng)度和搜索效率的要求.

　　6結(jié)束語(yǔ)

　　本文設(shè)計(jì)了一個(gè)輕量級(jí)無(wú)服務(wù)RFID安全搜索認(rèn)證協(xié)議，并在UC框架和標(biāo)準(zhǔn)安全模型下證明了協(xié)議具有并發(fā)安全性、匿名性、不可跟蹤性、雙向認(rèn)證性等安全屬性，其創(chuàng)新點(diǎn)如下：

　　1)提出時(shí)間權(quán)限管理實(shí)現(xiàn)了對(duì)無(wú)服務(wù)情況下移動(dòng)讀寫(xiě)器的時(shí)間權(quán)限管理，讀寫(xiě)器在限定時(shí)間內(nèi)需到后臺(tái)服務(wù)器進(jìn)行簽到，保證了移動(dòng)讀寫(xiě)器的安全性.

　　2)提出利用碰撞思想實(shí)現(xiàn)了根據(jù)實(shí)際應(yīng)用環(huán)境可調(diào)節(jié)的隱私強(qiáng)度和搜索效率，使多個(gè)標(biāo)簽滿足搜索條件，進(jìn)而對(duì)目標(biāo)標(biāo)簽隱私性進(jìn)行了安全防護(hù).

　　3)提出松散時(shí)間戳與HASH函數(shù)相結(jié)合的方法實(shí)現(xiàn)了搜索協(xié)議所需滿足的安全屬性，松散時(shí)間戳僅需標(biāo)簽保存讀寫(xiě)器上一次搜索時(shí)間并比對(duì)時(shí)間大小即可，無(wú)需標(biāo)簽提供精確時(shí)鐘計(jì)數(shù)器，進(jìn)而適用于低價(jià)被動(dòng)標(biāo)簽.

　　參考文獻(xiàn)

　　[1]羅娟，汪云飛，李仁發(fā)，等. 一種基于B+樹(shù)的RFID抗沖突算法[J]. 湖南大學(xué)學(xué)報(bào)：自然科學(xué)版，2009， 36(6)：72-75.

　　LUO Juan，WANG Yunfei，LI Renfa，et al. An anticollision algorithm in RFID based on B+ tree[J].Journal of Hunan University：Natural Sciences，2009，36(6)： 72-75. (In Chinese)

　　[2]CHIEN Hungyu.SASI：a new ultralightweight RFID authentication protocol providing strong authentication and strong integrity[J]. IEEE Transactions on Dependable and Secure Computing， 2007， 4(4)： 337-340.

　　[3]LIAO Yipin， HSIAO Chihming. A secure ECCbased RFID authentication scheme integrated with IDverifier transfer protocol [J]. Ad Hoc Networks， 2013， http：//dx.doi.org/10.1016/j.adhoc.2013.02.004.

　　[4]MASOUD H D，YOUSOF F. Improvement of the Hashbased RFID mutual authentication protocol[J]. Wireless Personal Communicatios， 2013， http：//dx.doi.org/10.1007/s11277-013-1358-7. 　　[5]YEH Tzuchang， WU Chienhung， TSENG Yunmin. Improvement of the RFID authentication scheme based on quadratic residues[J]. Computer Communications， 2011， 34(3)： 337-341.

---

轉(zhuǎn)載請(qǐng)注明來(lái)自：http://www.jinnzone.com/dianzijishulw/44957.html