物联网中增强安全的RFID认证协议

理论研究

2018年第1期

doi ；10.3969/j.issn.1671-1122.2018.01.012

物联网中增强安全的RFID认证协议

------------------------------李智聪、周治平u-------------------------------(1.江南大学物联网工程学院，江苏无锡2_14_122 ; 2.江南大学物联网技术应用教育部工程研究中心，江苏无锡2_14_122.)

摘要：随着物联网技术的发展，RFID呈现大规模的应用需求。为了实现强隐私

的保护机制，研究者们考虑采用公钥加密机制设计协议，通过分析部分采用ECC加密 的RFID协议，发现此类协议中存在认证函数线性问题造成的弱安全性。文章利用其线 性弱点，对A1AMR等人协议进行了跟踪攻击和中间人攻击，并基于此设计了新的协议。采用DH理论生成通信实体间的共享秘密并将其作为随机化的新鲜因子，保证数据流

的新鲜性和不可预测性，避免跟踪攻击的威胁；通过异或操作联合新鲜因子和标签属 性值构建通信数据对应的函数，解除认证函数线性问题，避免了中间人攻击；针对系 统规模的不可扩展性问题，在认证函数设计中融合ID验证传输的思想，实现常数级服 务器的搜索复杂度。协议的设计考虑了所有通信实体间不安全信道的情况，通过对协 议性能的统计分析可以看出，该协议相比同类型协议更能满足物联网的发展需求。

关键词：物联网；RFID ;不可追踪；隐私；跟踪攻击中图分类号：TP309文献标识码：A文章编号：1671-1122 ( 2018 ) 01-0080-08

中文引用格式：李智聪，周治平.物联网中增强安全的RFID认证协议[J].信息网络安全，2018 ( 1): 80-87.

LI Zhicong，ZHOU Zhiping. Enhanced Secure RFID Authentication Protocol in IoT[J]. Netinfo Security, 2018(l):80-87.

英文引用格式：

Enhanced Secure RFID Authentication Protocol in IoT

LI Zhicong1，ZHOU Zhiping1’2

(1. School ofloT Engineering, Jiangnan University, Wuxi Jiangsu 214122, China, 2. Engineering Research Center of

Internet of Things Technology Applications Ministry of Education, Jiangnan University, Wuxi Jiangsu 214122, China)

Abstract: With the development of Internet of things technology, large-scale popularization of RFID applications will appear. In order to realize the protection mechanism of strong privacy, researchers consider using public key encryption mechanism to design protocols. By analyzing some RFID protocols using ECC encryption, it is found that the authentication function is linear in such protocols, which cause the weak security of protocols. Utilizing its linear weakness, it can be found that AlAMR’s protocol is vulnerable to man- the-middle attack and tracking attack. In view of this, a new protocol is designed, this paper uses DH theory to generate the shared secret between the communication entities and set the shared secret as randomized fresh factors, which ensure the freshness and unpredictability of the data stream and avoid tracking attacks. This paper constructs the function corresponding to the communication data through combining these fresh factors and attribute values of the tag by XOR operation, which solve the problem of linearity of the authentication function and

收稿日期：2017-10-9

基金项目：国家自然科学基金[61373126]作者简介：李智聪（ 1992—），男，河南，硕士研究生，主要研究方向为RFID安全认证；周治平（ 1962—），男，江苏，教授，博士，

主要研究方向为信息安全、检测技术与自动化装置等。

通信作者：李智聪1053283846@qq.com

80

n

Ctinfo security

^

018年第1期

理论研究_

avoid the man-the-middle attack. Aiming at the problem of non-scalability of system scale, the idea of ID-verifier transfer is fused into the design of authentication functions to realize the search complexity of a constant level. The designed protocol considers the insecure channel among all communication entities. Through the statistical analysis of the performance of the protocol, the protocol can better meet the development needs of IoT compared with the same type of protocol.

Key words: IoT; RFID; untraceable; privacy; tracking attack

〇引言

组成物联网的设备本身具有个性化和私有化的 特点，设备之间交互产生的上下文情景信息和设 备拥有者有一定的关联性，可能存在不法用户利用 其关联性推测出用户隐私行为的情况[1]。物联网可 以分为感知层、传输层和应用层，其中，作为感知 层关键技术之一的无线射频识别（Radio Frequency

Identification, RFID)技术涉及电子标签、智能卡、

传感器等重要领域。因此，为支撑物联网技术的发展，

RFID必将呈现大规模的应用需求，解决阻碍物联网

发展的问题，需要对RFID通信协议进行实用性研究。

RFID是一种非接触的自动识别技术，其基本原理是

通过射频信号和空间耦合传输特性，实现对被识别 对象的自动识别气由于RFID系统通过无线通信技 术传播信息，攻击者可以侦听信道中的信息，通过 分析获得标签的位置信息或标签的秘密信息，造成 用户的隐私泄露[3]。隐私问题一直阻碍着RFID技 术在物联网应用中的发展，此外，服务器的搜索代 价随标签数量的增长而增大造成的标签不可扩展性， 也将阻碍RFID大规模的应用。

基于不可逆加密原语实现的对称加密系统设计 的协议，很难同时满足系统的可扩展性和不可追踪 性。张玉婷[4]等人采用Hash函数设计的协议在数据 库端需要通过遍历式搜索实现认证，不能保证系统 的可扩展性。文献[5,6]实现了系统的可扩展性，然 而均存在跟踪攻击的威胁。文献[5]采用标签内部秘 密的Hash值作为索引，文献[6]以明文的方式传输 伪标识，均降低了服务器端的搜索代价，并且为防

止跟踪攻击进行了状态更新，然而，攻击者仍能在 协议实现完整认证前对标签实施跟踪攻击。SHIm等 人采用二次剩余定理实现了安全的密钥分发协议， 实质上利用了公钥加密系统的优势保证了安全性。 杨玉龙[8]等人采用异或操作设计协议，在保证协议 轻量性的同时实现了阅读器和服务器端非安全信道 的安全认证，然而攻击者可以通过信道传输内容推 断出标签的伪标识，实现跟踪攻击。

基于公钥加密系统设计的类似密钥协商协议可 以实现强隐私保护机制[9]。研究表明，密钥长度为 160 位的捕圆曲线加密（Elliptic Curves Cryptography,

ECC )算法，可以实现与密钥长度为1024位的RSA

算法相同级别的安全性，因此相比采用其他的加密 原语去实现强隐私保护机制的公钥加密系统，ECC 具有密钥长度短、安全性能高的优势[1°]。LEE—等 人通过对SCHN0RR协议通信实体间传输的数据进 行组合运算，获取一个固定不变的数值，攻击者通 过相同的方法可以实现对标签的跟踪攻击，基于此 提出了 EC-RAC协议并声称该协议能够防止跟踪攻 击。然而KI[12]等人分析发现此协议仍存在跟踪攻击 威胁，攻击者可以重放随机挑战，并对窃听到的两 轮应答消息组合运算获取固定值。LIA0[13]等人提出 了一■个ID验证传输（ID-verifier Transfer )协议可以 解决服务器端线性搜索代价问题，满足系统的可扩 展性需求，然而该协议被证明存在许多安全漏洞。

ZHA0[14]等人分析了 ID验证传输协议，发现该协议

存在标签假冒攻击的现象，将随机挑战的x、j轴 坐标加人认证函数的设计中，防止了标签的假冒攻

81

|NCTINFO security

理论研究

2018年第1期'

击，然而仍没解决原协议的其他安全威胁。farash[15] 等人指出文献[14]协议不能保证前向不可追踪性问 题，在攻击者获取标签密钥前提下，结合之前的会话 消息，可以生成之前会话过程中服务器向标签发送的 认证值。由于文献[13，14]在标签验证服务器时采用了 相同的认证函数，所以ID验证传输协议同样存在前 向跟踪攻击。文献[16]提出通过构建双线性映射对 的方法对基于ECC加密协议实施跟踪攻击的分析， 并用此方法分析出ID验证传输协议存在跟踪攻击问 题。文献[17]采用ECC混合Hash函数的方式设计 了一个双向认证协议，声称该协议可以防止各种攻 击。随后ZHANG™等人指出文献[17]的协议存在隐 私泄露的威胁，攻击者通过标签响应的信息能够推 导出标签内部存储的属性值。在文献[17]的基础上，

ZHANG[18]等人设计了新的协议去保证隐私不被泄

露，然而，该协议后来被证明不能保证前向隐私安全， 攻击者在获取标签标识的前提下，可以推导出先前 认证过程中的Hash值。文献[19]基于ECC设计的 协议满足常见的安全性需求，实现了授权访问、双 向认证、标签匿名性。

本文首先对ALAMR[2°]等人设计的协议进行了分 析，指出了协议存在的缺陷；然后针对此缺陷提出了 改进方案’并对新方案的安全性进行了理论分析；最 后与同类型的RFID认证协议进行了对比，证明协议 更能满足物联网的发展需求。1现有方案隐患分析

基于ECC实现的RFID认证协议采用公钥加 密机制可以实现密钥分发的功能，每轮认证均使 用不同的共享密钥可以有效解决前向隐私问题。 然而协议采用ECC点乘和点加的方式构造认证函 数存在线性问题，使其协议易遭受跟踪攻击、中 间人攻击，两种形式的攻击者都可通过对截获的消 息进行线性组合的方法实施攻击。跟踪攻击的攻 击者通过组合不同轮的通信消息，依据自身获取

82

的知识构造两对双线性映射对，假如攻击者截获 的响应消息来自同一标签，构建的双线性映射对 在双线性映射的性质下是相等的，通过此种方法 可以实现对标签的跟踪攻击。中间人攻击的攻击 者通过对信道传输的消息进行线性组合的方法篡 改通信数据，构建可以欺骗验证者的合法响应消 息。文献[20]认为其设计的协议能够实现不可追 踪性和前向隐私安全，能够抵御中间人攻击、重 放攻击等，该协议的关键步骤如下。

1 )阅读器生成随机数r,并计算向标签 发送挑战信息^。

2) 标签收到挑战信息，生成随机数^并计算 ，利用内部自身私钥户〜和接收到的^计算

认

证

函

数

,，发送应答消息〈JVQ〉给阅

读器。

3)

阅读器接收到标签的消息后，通过搜索能够

保证成立的标签公钥尸■去验证标签 的合法性，计算C2=J^rB并将其发送给标签。

本文主要从安全和效率两方面对文献[20]协议 的缺陷进行具体的理论分析，发现其协议存在跟踪 攻击、中间人攻击、系统不可扩展性等缺陷，具体 分析如下。

1 )跟踪攻击

通过构建双线性映射的方法对协议的不可追踪 性进行分析，发现易遭受跟踪攻击。假设攻击者发 送两次相同挑战A给标签，并截获标签的两次应答 消息 <7V，cV>、

计算 cV-c,2%

1-?,2凡、

尸，构建双向性映射对

和AcV-c^

p

)，通过判断两者是否相等实现对

目标标签的跟踪。由于47V-J；2几卜叫?/-?,2)八

再次利用双线性映射的性质可

推出邮/-?12)

八

水

V-c，)，因

此如果截获的两次响应消息来自同一个标签，则满足 等

式

，由此可实现对目标

标签的跟踪攻击。

2) 中间人攻击

攻击者窃听并拦截阅读器的挑战A

，

转发消

息A给标签，标签收到消息后回复攻击 者截获此应答信息。再次重放A给标签，标签接 收到挑战后将响应攻击者截获该消息并 结合之前获取的信息，计算

将 <7；，CV> 作为篡改

的消息发送给阅读器，阅读器能够搜索到存储的目 标标签的公钥你V，使C^r^v+r^

成立，从而证明

了被恶意篡改的消息是合法的。具体攻击流程如图1 所示。

|及:卜r,〜(凡t，以))|

\\^dv |

| T^.PujXPu^.P.n)) |

巧_?i ^

截获并转发片

况

^ T^mm M~

^^

C

p卜<----—,Cy

----C^j 2

^T截

* ~2获

T^ -^2消

~ (息

2^式

〉

T；,C； C； = 2C1I-CI2=iZ1Prr+(2/11-r12)iZ1

由于 i^iVr 且(2^-fX

则

认证成功__________________________________________________

图1中间人攻击流程

3) 不可扩展性

在阅读器认证标签的过程中，由于后端数据库中 保存的是每个标签对应的公钥P〃r，无法直接按照接 收的消息<7；6>进行查询验证。在接收到标签的应 答消息后，需要从后端数据库中逐条取出记录的 并

计

算

，寻找能够使认证值CFCV成

立的标签公钥P%，直到找到对应的标签公钥或者所 有的记录比较完毕为止。显然在一次标签的验证过程 中’系统需要对数据库进行遍历搜索并进行多次椭圆 曲线的点乘和点加运算，且随着标签数量的增长，数 据库会存储大量的标签公钥信息。通过上述方法找到 需要的尸％花费的代价是线性增长的，不满足系统的 可扩展性，不适用于大规模的RFID应用环境。2改进协议描述

改进协议主要包含两个阶段，初始化阶段和

n

Ctinfo security

^

018年第1期

理论研究_

认证阶段。符号A(.)表示Hash运算，X(.，和7(.，分

别表示括号内部椭圆曲线点乘结果的x轴和.v轴 坐标。2.1初始化阶段

在此阶段，服务器生成系统参数 <〃入《，；^>，其 中，“和5为有限域Wg)上的椭圆曲线五:

的参数，户为椭圆曲线£的基点，阶为《。服务器选 择随机数和作为自身和标签的私钥，并计算 它

们

的

公

钥

i%=iV

，生成随机数

和//),.作为标签/初始的伪标识和标识。除系统参 数外，阅读器要存储自身的密钥对和服务器的公钥；

标签要存储自身的标识、伪标识及服务器的公钥； 服务器要存储自身的密钥对、阅读器的公钥、标签 的标识及标签新旧两轮伪标识。2.2认证阶段

1 )阅读器生成随机数r,，计算随机挑战^=7-' 并发送给标签，标签收到消息后生成随机数G并

iY'W- Tx=txP, AuthT=IDSj®X{tlPu_)®Y{uRl), AuthTl=h{IDj,

'_)，发送应答消息〜X

/^>。阅读器接收

到标签的消息后生成随机数r2并计算i?2=r2JP，发送 挑

战

消

息

给

服

务

器

，服务器回复

随机数。给阅读器’阅读器计算如也,=(/'2+sAJ尸H,，

，，并将消息 <如?/7&，如?/7&>发送给

服务器，服务器通过(i^1沁

计

算

出

阅读器对应的公钥，并与存储的阅读器公钥数值进 行比较，如果结果不相等则终止协议；如果结果相 等则阅读器认证阶段完成。

2 )服务器通过计算获取到阅 读器之前生成的随机数^，服务器计算7(,.@，并计 算

，㊉7(nr,，。将 7D< 分别与 7DS,new

和/£^,°ld的值进行比较，如果/£<=/i^,new，服 务器更新/乃&爾―/i^,®：T(,.iriP

/DS,new;如

果/D<=/A^,°ld，则服务器仅对新的伪标识进行更 新’即ms：new—m^,@r(,.iri,。然后服务器将ms：new或 /as:°ld作为索引，寻找目标标签存储在服务器的条目，

83

|NCTINFO security

理论研究

2018年第1期'

并将条目记录的/A代人冲A，验证等

式是否成立，如果成立则标签认证完成；否则终止 协议。

3)服务器构造阅读器和标签认证自己的认 证函数山/也

如

?

AfiVm，并发送消息

&>给阅读器，阅读器收到消息后计算

验证服务器的合法性，并

将

转

发给标签。标签通过验证阅读器的合 法性，并对内部存储的伪标识进行更新，整个协议 运行结束。协议认证流程如图2所示。

^

AAuuthth^^ = =IDA(/Si®DJJXX(^认))

(味、^R^J^Authj.^Aut^^2=r2

P

生成随机数^

Auth^ir^s^Pr^Pu,^AuthRi,AuthRi

Auth^ =rl@X(riPu)

(JV广如汝m - jz^-1 ■ /^，阅读器认证成功 广1 =也〜㊉^(馬/^)，瓜

㊉

㊉

巧jjT])

若 IDS: = IDS^ 则 IDSf — IDS^Yg IDSf1 — IDSr 若IDS:=腦严则皿广―皿斯袖)

若卿，Aut\\ =R'ri)) = d—r

2，标签认证成奄 2Aut\\,AuthSiPrR, Aut\\ =Y(m

^

Aut\\ = r2PuR

AutKAuthS >

IDSz =

_______________________________________________________广 IDS^Y^^

图2协议认证流程图

3安全和性能分析

本文协议未进行阅读器和服务器之间信道安全 的假设，在阅读器和服务器间传输的通信数据被侦 听、篡改、重放的前提下，协议仍然满足各种安全 性和高效性。

1 )标签信息隐私

假设攻击者知道服务器的公钥PH,，并假冒阅读 器发送挑战，窃听到标签的响应和7；，基于

84

此想要获取■TOS,.。由^4h决可以看

出，如果攻击者想要获取/DS,，就必须得到和

的值。

攻击者可以通过计算得到r(,_的值，然 而攻击者不知道^的值无法得到X(,|P,$

最终归结

为DH难解问题，在多项式时间内敌手获取X(,|P,y 的概率可以忽略不计。因此，攻击者无法通过

〜

解

得

/DS,。此外，7DS,.在每

轮认证成功后都要进行更新，更新过程中加人了随 机因子，使攻击者无法预测/AS：。

2) 标签假冒

攻击者想要假冒标签欺骗服务器，必须具有合

法的^4〃办■，和^4〃办^，然而攻击者不能获取标签内部

的标识/A和伪标识仍X，无法生成合法的应答消息。 此外，即便是攻击者通过窃听之前的应答消息并重 发该消息，作为当前的应答欺骗验证者也是不可行 的，标签每轮的应答消息包含有该轮验证者随机挑 战A的相关信息，当前轮的验证者不能验证之前应 答消息的合法性，任何篡改〜和〜的消息

将被认为是非法消息，验证端认证标签失败，终止 协议。

3) 中间人攻击

为了防止类似文献[20]协议中攻击者利用其认 证函数线性的弱点实施中间人攻击的现象发生，在 协议设计过程中采用了异或的方法加人新鲜的共享 秘密去构建通信数据沁油咖。显然 采用异或运算有效解除了文献[20]用于点加形式构

建的认证函数的线性问题，该线性问题主要威胁在 于两轮认证产生的可以通过线性组合的方式 篡改消息，并且能被验证者证明消息是合法的。因 此本文的认证函数无法进行此种方式的中间人攻击， 以任何方式篡改的通信数据都会被证明为非法消息。

4) 双向认证

协议实现了阅读器和服务器之间的双向认证， 标签和服务器的双向认证。

服务器通过判断如〜=/7(/AJ_,)是否成立来 认证标签的合法性，假设攻击者采用非法的标签欺 骗服务器，服务器根据索引无法找到合适的 扣,.，无法保证如〜=77(/Z),.，X(_)成立，从而证明 标签为非法的。标签通过判断山/rtf r(,lP„j是否成 立验证服务器的合法性，恶意的服务器没有合法的 化’无法生成合法的如U

卩标签端不能满足等式

▲九=?；,〜,成立。服务器计算（/V;Um?/7及

解得阅读器的公钥信息，通过比对搜索服务器存储 的目标阅读器的公钥信息实现阅读器的认证，假冒 的阅读器在服务器端搜索不到公钥信息。

阅读器通过判断如屯,=r2ft/B是否成立验证服务 器的合法性，恶意的服务器内部没有存储阅读器的

P…，从而不能生成合法的山/rtS|，在阅读器端不能

保证如屯,=r2iX成立，因此，可以证明恶意服务器 为非法的。

5) 跟踪攻击

标签响应的消息为〈尺』，▲冰tv▲冰d>，其中， 尺是随机的且如決7■，和均包含有随机因子， 攻击者无法通过窃听的消息直接实施跟踪攻击。此 外，假设敌手想要重放A，通过产生不变的通信数 据对标签进行跟踪攻击，虽然未进行完整认证的期 间是不变的，然而应答消息如〜和如‘具 有和标签自身相关的随机性，因此不能获取相同的

或^4〃tf7p实现对标签的跟踪攻击。6) 前向隐私安全

假设标签被腐化且攻击者已经获取标签内部的 存储的标识，然而对于沁/&=/?(/〇,7«_)获得之前 会话轮消息的攻击者不能得到X(,_的值，X(,_同 样归结为DH难解问题。对于服务器向标签发送的 消息，假设敌手已经知道服务器的公钥信息，然而 不能获取6的值，不能计算出不能通过之 前认证轮的消息辨别出标签，从而保证了前向隐私 安全。

7) 去同步化攻击

n

Ctinfo security

^

018年第1期

理论研究_

协议虽然存在伪标识的状态更新，然而不存 在去同步化攻击的威胁。在服务器端存储了新旧 两轮伪标识7乃&new或7DS,°ld，并且在标签被成功 认证后才进行更新，假设攻击者篡改消息 造成标签端不能进行该轮认证的更新，然而 在下一轮认证时，通过服务器端保存的/D&°ld同 样能进行完整的认证，不存在去同步化攻击造成 的拒绝服务的现象。

8) 重放攻击

每个通信实体在整个认证过程中都会产生随 机性的数值加人响应消息当中，可以保证数据流 的新鲜性，有效防止重放攻击。以标签为例，假 设攻击者在第)+1轮会话重放之前窃听到响应消息 <77^4m?/7^^4m?/7^>，服务器要实现对如?/7么的认证显 然是不可能的。由于沁/辦,=7^/©^,^㊉rk,，服 务器必须拥有随机数r/才能保证等式成立，而此时 服务器端能够获取的阅读器产生的随机数是r/+1，基 于此:不能成立，通信实体之前产生的随 机性数值与现存的内部随机性数值不同，重放的响 应消息会被认为是非法的消息。假设攻击者重放挑 战想要获取相同的响应值对标签实施跟踪攻击， 然而标签每次响应都包含自身的随机数值k

响应

消息〜力办0的随机性不仅取决于挑战者 还取决于响应实体自身，因此，阅读器通过发送相 同的挑战A无法得到标签的响应消息，从而无法通 过重放消息对标签进行跟踪。

9) 系统的可扩展性

服务器在进行标签和阅读器的验证过程中，均 采用了 ID传输验证的思想，在验证端不需要证明 者属性相关的知识，通过解密计算出索引值，依据 索引值寻找存储在数据库中对应证明者的内部信 息，将这些信息作为知识进一步验证证明者的合法 性。本文协议中将标签的伪标识作为索引值， 在验证端通过/乃^^^/^④&^㊉:^而直接计算 出索引值，将与数据库存储的标签相关的条

85

|NCTINFO security

理论研究

2018年第1期'

目信息进行对比，找到对应的标签属性值。该过程 不同于文献[20]，只进行一次解密索引值的计算， 并且随标签数量的增加，计算次数仍是一次，因此 协议实现服务器端0⑴的搜索复杂度，适用于大 规模RFID应用环境，满足系统的可扩展性。4性能比较

通过分析可以看出，文献[1U3.14.20]基于

ECC的协议不能防止跟踪攻击，主要原因是认

证函数存在线性问题，攻击者可以通过线性方式 组合截获的信息，同一标签组合后的信息会满足 某一规律的知识，以此去辨别消息是否来自同一 标签。而且这些协议的设计都将阅读器和服务器 之间的信道视为安全信道，因此协议运用在移动

RFID环境下存在安全隐患，考虑服务器和阅读器

为非安全信道的协议设计具有重要的意义。文献 [1U3.14.18.20]的协议都能实现去同步化攻击是 因为ECC采用的公钥加密机制具有密钥分发的作 用，每轮认证都可以保证通信实体双方采用新鲜 的密钥。文献[13.14.18]中协议存在前向隐私泄露 问题，在已知标签私钥的前提下，结合之前信道 传输的数据，根据DH理论的性质，可以还原出 之前会话的某一通信数据，此现象是由于协议设 计不合理造成的。文献[11.20]存在中间人攻击， 攻击者可以采用线性组合窃听的消息去篡改响应。 本文设计的协议充分考虑并避免了其他协议的弊 端，满足各种安全性的要求。本文协议与其他协 议性能比较如表1所示。

表1本文协议与其他协议性能比较

[11]

[13]

[14]

[18]

R0]本文协议

相互认证NYYYY

Y跟踪攻击NNNYNY前向隐私YNNNYY中间人攻击NYYYNY标签假冒YNYYYY去同步化攻击YYYYYY信道安全假设

YYYYY

N

相比于具有一定的计算能力的阅读器和服务 器，标签的计算能力受限于硬件开销，因此标签的

86

计算代价是协议是否具有实用性的重要指标。此外 服务器端的搜索复杂度也决定着协议是否适用于大 规模的应用场景。综上所述，考虑标签的计算代价 和服务器的搜索复杂度具有重要的意义。已有研究 表明 ^\"Ecm^^OOrMul，7^=57^，其

中，

和rE。,分别表示椭圆曲线的点乘和点加需

要的计算代价，4和rMul分别表示Hash操作和模 乘操作需要的计算代价。以本文协议为例，在标签 端进行了两次椭圆曲线点乘的操作，一次Hash操 作和两次椭圆曲线点加操作，标签端计算代价为 2rE(；m+2rE(；a+irH。通过此方法统计了其他文献的标签 端的计算代价，如表2所示。通过表2可以看出， 本文标签端计算代价仅次于文献[18]的协议，然而 文献[18]服务器端的搜索复杂度是线性的，且未能 实现前向隐私的隐私保护需求。相比其他文献的协 议，本文协议在标签计算代价上有明显的优势’同时 协议实现了系统的可扩展性，综合考虑，本文协议性 能比较优越。

表2本文协议与其他协议计算代价比较

标签端计算代价

总代价服务器端搜索复杂度

文献[11]5K6010^〇(n)文献[13]57^+37^60157^0(1)

文献[14]^^on+l^Bca +^ful6〇17^o(l)

文献[18]2^+12^+^1206^〇(»)文献00]4^

+^Eca

48〇5‘〇(n)本文方案

2^+2^ + !^

24107^

〇⑴

5结束语

作为物联网的关键技术之一，RFID急需大规模 需求下的应用性研究。本文分析了强隐私保护机制 需求下部分基于ECC公钥加密系统实现的协议，发

现此类协议中存在认证函数线性问题造成的弱安全 性。本文针对文献[20]协议的缺陷进行改进，在考 虑通信实体均处于不安全信道的情况下，设计了满 足各种安全性需求的协议。为了使协议更具有实用 性，未来研究应该聚焦在基于ECC的轻量级认证协 议的设计，并为方便该类协议的研究构建合适的安 全模型。•(责编潘海洋）

参考文献：

[1] 董晓蕾52 ( 10) .物联网隐私保护研究进展[J].计算机研究与发展， 2015, ： 2341-2352.

[2] LEUNG J, CHEUNG W, CHU S C. Aligning RFID AManagement, 2014, 51(2): pplications with Supply 260—Chain 269.

StrategiesfJ]. Information & Challenges [3] NGAI E W[J]. International Journal T, GUNASEKARAN A. of Enterprise Information RFID Adoption: Issues Systems, and 2017, [4] 5(1): 1-8.

张玉婷，严承华.一种基于双向认证协议的RFID标签认证 技术研究[〇.信息网络安全，2016 ( 1 ) : -69.

[5] YU Yinhui, ZHANG Lei. Research on a Provable Security RFID Authentication Protocol Based Universities of Posts & Telecommunications, 2016, 23(2): on Hash FunctionjJ]. Journal of China 31—37.

[6] 马庆，郭亚军，曾庆江，等.一种新的超轻量级RFID双向 认证协议[〇.信息网络安全，2016 ( 5 ) : 44-SO.

Authentication [7] SHI Leyi, Protocol JIA Cong, on Pseudo—GONG random Jian, et Hash al. RFunction FID Mutual with Shared Secrets 2015, 38(2 361-366.

[J]. Journal of Electronics & Information Technology, )：[8] 杨玉龙，彭长根，郑少波，等.基于移动智能终端的超轻量级 移动RFID安全认证协议[〇.信息网络安全，2〇17 ( 5 ) : 22-27.2007 [9] VAUDENAY Cryptology and Information Security, December 2—International S. Conference On Privacy on Models the Theory? for RFIDand [CApplication ]//Springer. Sarawak, Malaysia. Heidelberg: Springer, 2007: 68—6, 2007, Kuching, of Schemes [10] HE D, Elliptic Curve for ZEADALLY Internet S. An Analysis of RFID 87.

Authentication CryptographyfJ]. of Things in IEEE Healthcare Internet Environment of Things Journal, Using 2015, 2(1): 72-83.

[11] (ECDLP LEE Based Y K, RandomBATINAized L, Access VERBAControl): UWHEDProvably E I. EC-RSecure

AC n

Ctinfo security

^

018年第1期

理论研究_

RFID Conference on RFID, April Authentication Protocol[C]//IEEE. 16—17, 2008, Las Vegas, 2008 IEEE NV, USA. International New Jersey: Authentication [12] KI IEEE, 2008: L Y, BATINA 97-104.

L, VERBAUWHEDE I. Untraceable RFID IEEE Orlando, FL, USA. New Jersey: International Protocols: Conference Revision on of EC—RRFID, AApril C[C]//IEEE. 27 — 2009 A[13] LIAO Yipm, IEEE, 2009: 178-185.

28, 2009, Protocol[J]. Ad Hoc Networks, 2014, uthentication SchemHSIAO e Integrated C M. A wSecure ith IDE—CC—based RFID [14] Journal of Medical Systems, 2014, 38(5): for Healthcare ZHAO Zhenguo. 18(7): 133—146.

verifier Transfer Environments A Secure Using RFIDElliptic Authentication Cun^e Cr)7ptosystem[J]. Protocol [15] FARASH M S, NAWAZ O, 46.

MAHMOOD K, et al. A Provably Cun^e Secure RFID Authentication Protocol Based on Elliptic 2016, 40(7): for Healthcare Environments [J]. Journal of Medical Systems, A[16] CHIEN1-7.

H Y. Elliptic Curve Cryptography—based RCommunications, 2017, 94(4): 2925—uthentication Resisting Active Tracking^]. Wireless Personal FID Scheme [17] CHOU J S. An Efficient M2936.

utual Authentication RFID Supercomputmg, 2014, 70(1): 75—Based on Elliptic Curve Authentication [18] ZHANG Zezhong, QI 94.

CryptographyjJ]. The Journal of Qingqing. An Efficient RFIDElliptic Curve Protocol Cryptography to Enhance [J]. Journal Patient of Medical Medication Safety Systems, Using 2014, 38(5): [19] 47-.

夏戈明，史立哲，周文，等.轻量级RFID双向通信认证协 议优化方案[J].信息网络安全，2014 (2) : S8-62.

[20] ALAMR A A, KAUSAR F, KIM J, et al. A Secure Journal of Supercomputing, 2016, 8(2): RFID Mutual Authentication Protocol 1 —for 14.

Internet of Things[J]. ECC-based The 87