一种具有阅读器匿名功能的射频识别认证协议

谢 润许春香陈文杰李万鹏

①（电子科技大学计算机科学与工程学院 成都 611731）

②（宜宾学院数学学院 宜宾 644000）

一种具有阅读器匿名功能的射频识别认证协议

谢 润①②许春香*①陈文杰①李万鹏①

①（电子科技大学计算机科学与工程学院 成都 611731）

②（宜宾学院数学学院 宜宾 644000）

在射频识别（RFID）的应用中，安全问题特别是用户隐私问题正日益凸显。因此，（用户）标签信息的隐私保护的需求越来越迫切。在RFID系统中，标签的隐私保护不仅是对外部攻击者，也应该包括阅读器。而现有许多文献提出的认证协议的安全仅针对外部攻击者，甚至在外部攻击者的不同攻击方法下也并不能完全保证安全。该文提出两个标签对阅读器匿名的认证协议：列表式RFID认证协议和密钥更新式RFID认证协议。这两个协议保证了阅读器对标签认证时，标签的信息不仅对外部攻击者是安全的而且对阅读器也保持匿名和不可追踪。相较于Armknecht等人提出的对阅读器匿名和不可追踪的认证协议，该文所提的协议不再需要增加第三方帮助来完成认证。并且密钥更新式RFID匿名认证协议还保证了撤销后的标签对阅读器也是匿名性和不可追踪的。

安全协议；射频识别；匿名认证

1 引言

RFID（Radio Frequency IDentification）技术，又称电子标签或射频识别技术，使用该技术可通过无线电信号识别特定目标并读写相关数据，无需识别系统与特定目标之间建立机械接触。完整的RFID系统，由阅读器（reader）与电子标签（tag）及发行者（issuer）3部分所组成。阅读器根据电子标签提供的信息对电子标签进行认证。该技术被广泛应用于物联网，智能公交系统，车辆位置自我识别［1］，图书管理系统［2］，访问控制等。由于阅读器对电子标签的认证协议过程为无线通信过程，极易泄露电子标签中用户信息的隐私。为此，很多文献研究了电子标签对攻击者匿名和不可追踪的RFID认证协议，以保护电子标签 不被入侵［3］或其他形式的攻击。如文献［4，5］分别研究了如何检测克隆攻击和对电子标签的重传攻击。文献［6］和文献［7］中分别提出RFID的双向认证协议和基于散列树的认证方案，而文献［8］研究GPS认证模式。最近，文献［9］做了RFID系统中移动阅读器连续扫描的实验研究，文献［10］进一步提出了在大规模的RFID系统中电子标签的快速搜索协议。

尽管有诸多研究成果，但RFID应用中安全问题仍然很突出。这些文献中，大多是基于阅读器是可信的这一假设来讨论认证协议的安全性，因此电子标签对阅读器并不是匿名和不可追踪的。但是，在越来越多的应用中，电子标签的用户希望电子标签对阅读器也保持匿名和不可追踪。例如，在电子票据、访问控制等应用中，用户是不愿自己的消费情况或访问记录被追踪。这些应用场景下，对电子标签的认证不仅要求对外部攻击者是匿名和不可追踪的，而且对阅读器也要求是匿名和不可追踪的。在许多情况下阅读器也仅需要验证电子标签的合法性。显然，实现电子标签对阅读器匿名和不可追踪的认证比仅对外部攻击者实现这种安全性要困难得多。大部分研究RFID的认证协议，如文献［11］只是讨论了对外部攻击者保持隐私的的认证方案。近来，文献［12，13］等研究了对阅读器匿名和不可追踪RFID认证协议。在文献［13］中，为了实现对阅读器的匿名和不可追踪，引入了第三方匿名器。匿名器的作用是在每次认证前，对电子标签发送给阅读器的消息进行匿名化，从而实现对阅读器匿名。但是该方案需要电子标签在每次认证前与匿名器交互，所以通信代价有很大增加。在对电子标签多次认证的实际环境中，通信次数的增加使得认证安全性下降。通过分析也可以发现：如果匿名器不可信的，那么匿名器能对电子标签进行追踪。另外，文献［14］也利用门限方法讨论了对阅读器匿名和不可追踪的电子标签认证协议，但该文献中的电子标签撤消方案是分别为电子标签和阅读器重新配发私钥和验证公钥。显然，这样做的结果等价于重新生成认证协议的所有密钥，所以系统效率将大大降低。应用文献［15］群签名的思想，本文给出两个RFID的匿名认证协议：列表式RFID匿名认证协议和密钥更新式RFID匿名认证协议。这两个匿名认证协议的特点分别是：

（1）列表式RFID匿名认证协议：该协议中，阅读器存储撤销列表，当有电子标签被撤销时，发行者将撤销电子标签添加到撤销列表，并将新的撤销列表发送给阅读器。对于未撤销的电子标签，认证协议保证了电子标签对阅读器匿名和不可追踪。这一协议不需要引入匿名器，认证过程只在电子标签和阅读器之间进行，简化了认证过程。本文在随机预言机模型下证明了协议的安全性。

对于阅读器能用已撤销电子标签的私钥来追踪这些电子标签的问题，本文提出了下面的改进协议。

（2）密钥更新式RFID匿名认证协议：在此协议中，阅读器不保存撤销列表。当某个电子标签被撤销时，发行者根据被撤销电子标签更新系统的公钥。阅读器用新的系统公钥验证认证消息，已撤销的电子标签不能再生成合法认证消息。而未撤销的电子标签更新其私钥中的一个数据后仍然能生成合法的认证消息。这个协议克服撤销后的电子标签可被追踪的问题。

由于电子标签的计算能力所限，本文采用预计算数据存储在电子标签中的方法，以减轻电子标签的计算荷载。

2 符号和预备知识

3 列表式RFID匿名认证协议

3.1 协议过程概述

3.2 协议的安全假设

在认证过程中，假设敌手能控制电子标签和阅读器之间的通信信道，即他可以窃听、修改、操纵电子标签和阅读器之间通信消息。敌手能获取Ipk，但不能获得发行者和电子标签的秘密信息。

发行者是可信的，它在安全的环境下初始化电子标签，即发行者和电子标签的秘密信息都不会在初始化时泄露。而阅读器是不可信的，它可能希望获得电子标签的秘密信息。阅读器也拥有系统公钥Ipk，比电子标签有更强的计算能力，能并行处理多个电子标签的认证信息。电子标签的存储能力和计算能力受限制，它仅能做次数不多的乘法和加法运算，且诚实可信。根据实际情况，我们也假设电子标签会被多次认证。

3.3 参数选取

3.4 认证协议过程

3.4.2 认证过程

3.5 生成新Tj和撤销Tj

3.5.1 生成新Tj在协议中，发行者也能灵活地生成新的Tj。发行者要生成一个新Tj时，则选择为素数，并即存储和预计算数据到Tj中。

根据文中第1节中的分析，在这一认证协议中，撤销后的Tj对阅读器不再是匿名和不可追踪的。为此，我们给出下面的改进认证协议。

4 密钥更新式RFID匿名认证协议

在这一认证协议中，阅读器不再保存撤销列表。当Tj被撤销时，阅读器和未撤销的Ti分别从发行者处更新系统公钥和Ti的私钥。因此，未撤销的Ti仍然能生成合法的认证消息，已撤销标签不能生成合法的认证消息。更重要的是：撤销后的标签对阅读器仍然是匿名和不可追踪的。

密钥更新式匿名认证协议的安全性假设、参数以及参数满足的条件都和列表式匿名认证协议中相同。下面，我们给出密钥更新式匿名认证协议的认证过程。特别地，这里增加选择一随机元素t∈ QRn，它被用于实现密钥的更新。

4.1 认证协议过程

4.1.1 系统初始化 发行者运行第3节中系统初始化时的步骤（1）～步骤（5）步，增加随机选择t∈ QRn。

4.1.2 认证过程

4.2 生成新Tj和撤销Tj

5 安全性分析

5.1 认证协议安全性分析

本节给出列表式匿名认证协议和密钥更新式匿名认证协议安全性证明。本文中给出的两个RFID匿名认证协议的区别在于：Ti的M0和阅读器的V0在两个协议中不同。下面的安全性证明中并不会用到M0和V0，所以安全性证明对两个RFID匿名认证协议都是成立的。

根据这一定义，证明协议实现了对电子标签的认证，即要证明下述定理。

定理1 RFID匿名认证协议中的认证消息是不可伪造的。

证明 证明过程分3部分：（1）敌手通过伪造Ti的私钥的方法构造合法的认证消息的概率是可忽略的。（2）认证协议是抗重放攻击的。（3）敌手直接伪造合法认证消息的概率是可忽略的。

（1）敌手通过伪造Ti的私钥的方法构造合法的认证消息的概率是可忽略的。

由于匿名认证协议中，Ti的密钥Tski是xi的C-L签名。在强RSA假设下，由文献［18］定理3.6，C-L签名在选择消息攻击下是安全的，即A通过伪造有效的Ti的密钥生成合法的认证消息σ=（c， M0， M1，M2， mx， mr， me， mz）的概率是可忽略的。

（2）抗重放消息攻击。由于每次进行认证时阅读器都会随机选取Nd，所以敌手A重放旧认证消息σ=（c， M0， M1， M2， mx， mr， me， mz）通过认证，必须满足下面条件之一：

（3）敌手直接伪造合法认证消息的概率是可忽略的。

若敌手A能以不可忽略的概率直接伪造认证消息，则我们能得到算法B，它在多项式时间内以相同概率解离散对数问题。

为证明认证消息的不可追踪性，我们给出消息无关联性的安全概念。电子标签认证消息的无关联性是指：敌手区分任意两个认证消息是否来自相同的电子标签的概率优势是可忽略的。这意味着电子标签发送的认证消息，不会向阅读器泄露任何能追踪到它的信息。因此电子标签生成的认证消息如果具有无关联性，则电子标签是不可追踪的。下面给出无关联性的形式化的定义［13］。形式化认证协议为安全试验。具有概率多项式计算能力敌手A与随机预言机Ob交互。当b=0随机语言机Ob表示两个合法标签T0与T1相同，b=1时Ob表示T0与T1不同。在安全性试验中，敌手A能与RFID系统和Ob交互，得到b'（b'=1或0）。

5.2 密钥更新式匿名认证协议中被撤销电子标签的匿名与不可追踪分析

5.3 安全性与计算效率分析

安全性分析 本节列表对比本文与其他文献的各项安全性如表1。从表中可以看出文献［7］，文献［8］，文献［11］满足的安全项较少。仅有本文的密钥更新式匿名认证协议能保证被撤销后的电子标签对阅读器仍然是匿名和不可追踪的。

计算实现 在RFID系统中，电子标签的计算能力和它的成本是成正比的。因此，对安全水平要求较高的RFID系统中，对电子标签计算能力的要求也会更高。与文献［13］相比，本文的协议在认证过程中不再需要第三方匿名器，且实现了更高的安全性。

按1024 bit的RSA的安全水平要求（实际的RFID系统远低于这一安全要求），当β=210，l'=40时，本协议的执行乘法约100次，4次加法，需要的存储为512k。根据文献［20］的研究，1024 bit大数的模乘可以在38k门内实现，满足智能卡40k门限制的要求。对文献［21］中的电子标签（要求仅含10k门左右的芯片），显然1024 bit参数的安全水平无法在这种电子标签上实现。

以上分析表明，该协议能够提供很好的安全性，且实现效率可以根据电子标签性能选取合适的参数，使得实现代价较低。能够提供很强安全性、实现效率高，而代价又很低的RFID认证协议是不存在的，较强的安全性意味着其实现代价和性能就会受到影响，所以RFID系统要做好安全性与实现代价及性能之间的取舍。随着微电子技术的发展［22］和某些安全要求较高RFID系统的应用中，本文的认证协议提供了一种很好的选择。

表1 本文与其他文献安全性对比表

6 结束语

RFID认证协议的安全性问题正变得越来越重要。本文给出了两个RFID匿名认证协议。列表式匿名认证协议使阅读器对电子标签的匿名认证不需要第三方的辅助，克服了文献［13］中引入第三方实现匿名认证产生的问题。密钥更新式匿名认证协议，使得撤销后的电子标签对阅读器仍然保持了匿名和不可追踪性，提高了RFID系统的安全性。

［1］ Park S and Lee H. Self-recognition of vehicle position using UHF passive RFID tags［J］. IEEE Transactions on Industrial Electron ics， 2013， 60（1）: 226-234.

［2］ Sing J， B rar N， and Fong ?C. The state of RFID app lications in libraries［J］. Information Technology and Libraries， 2013，25（1）: 24-32.

［3］ Sakai K， Ku W S， Zimmermann R， et al.. Dynam ic bit encoding for privacy protection against correlation attacks in RFID backward channel［J］. IEEE Transactions on Com puters， 2013， 62（1）: 112-123.

［4］ Zanetti D， Capkun S， and Juels A. Tailing RFID tags for clone detection［C］. NDSS 2013: 20th Network & Distributed System Security Sym posium， San Diego， CA， USA， 2013.

［5］ 周永彬， 冯登国. RFID 安全协议的设计与分析［J］. 计算机学报， 2006， 29（4）: 581-589. Zhou Yong-bin and Feng Deng-guo. Design and analysis of cryp tographic protocols for RFID［J］. Chinese Journal of Computers， 2006， 29（4）: 581-589.

［6］ Yang L， Yu P， Bailing W， et al.. A bi-direction authentication protocol for RFID based on the variab le update in IOT［C］. Proceedings of the 2nd International Conference on Com pu ter and App lications ASTL 2013， Vol. 17: 23-?26.

［7］ Molnar D， Soppera A， and Wagner D. A scalable， delegatable pseudonym protocol enabling ownership transfer of RFID Tags［C］. Selected A reas in Cryptography， Springer Berlin Heidelberg， 2006: 276-290.

［8］ M cLoone M and Robshaw M J B. Public Key Cryptography and RFID Tags［M］. Topics in Cryp tology-CT-RSA 2007，Berlin Heidelberg Sp ringer， 2006: 372-384.

［9］ Xie L， Li Q， Chen X， et al.. Continuous scanning w ith mobile reader in RFID system s: an experimental study［C］. Proceedings of the Fou rteenth ACM International Sym posium on M obile Ad Hoc Networking and Com puting，ACM， Bangalore， India， 2013: 11-20.

［10］ Zheng Y and Li M. Fast tag searching p rotocol for large-scale RFID system s［J］. IEEE/ACM Transactions on Networking，2013， 21（3）: 924-934.

［11］ Ryu E K and Takagi T. A hybrid approach for privacy-preserving RFID tags［J］. Computer Standards & In terfaces， 2009， 31（4）: 812-815.

［12］ B lass E O， Kurmus A， M olva R， et al.. PSP: private and secu re paym ent w ith RFID［C］. Proceedings of the 8th ACM Workshop on Privacy in the Electronic Society， ACM，Chicago， IL， USA， 2009: 51-60.

［13］ Arm knecht F， Chen L， Sadeghi A R， et al.. Anonymous Au thentication for RFID System s［M］. Radio Frequency Identification: Security and Privacy Issues. Springer Berlin Heidelberg， 2010: 158-175.

［14］ Kiraz M S， Bingöl M A， Karda S， et al.. Anonymous RFID authentication for cloud Services［J］. International Journal of Information Security Science， 2012， 1（2）: 32-42.

［15］ Cam en isch J and G roth J. G roup Signatu res: Better Efficiency and New Theoretical Aspects［M］. Security in Comm unication Networks， Berlin Heidelberg Springer， 2005: 120-133.

［16］ Camenisch J and Lysyanskaya A. A Signature Scheme w ith Efficient Protocols［M］. Security in Communication Networks，Berlin Heidelberg Sp ringer， 2003: 268-289.

［17］ Cam en isch J and Stad ler M. Efficient group signature schem es for large groups［C］. Advances in Cryptology-CRYPTO'97， Berlin Heidelberg Springer， 1997: 410-424.

［18］ Goldreich O and Rosen V. On the security of modular exponentiation w ith app lication to the construction of pseudorandom generators［J］. Journal of Crypto logy， 2003，16（2）: 71-93.

［19］ Pointcheval D and Stern J. Secu rity argum ents for digital signatures and b lind signatures［J］. Journal of Cryptology，2000， 13（3）: 361-396.

［20］ 李树国， 周润德， 冯建华， 等. RSA密码协处理器的实现［J］.电子学报， 2001， 29（11）: 1441-1444. Li Shu-guo， Zhou Run-de， Feng Jian-hua， et al.. Im p lem entation for RSA cryp tography coprocessor［J］. Acta Electronica Sinica， 2001， 29（11）: 1441-1444.

［21］Li Hu i-yun?. Developm ent and Im p lem entation of RFID Technology［M］. Vienna， Austria， I-Tech Education and Publishing KG， 2009: 1-12.

［22］ Chae H J， Salajegheh M， Yeager D J， et al.. M axim alist Cryptography and Com putation on the W ISP UHF RFID Tag ［M］. W irelessly Powered Sensor Networks and Com putational RFID， Springer New York， 2013: 175-187.

谢 润： 男，1976年生，博士，副教授，主要研究领域为密码学、信息安全.

许春香： 女，1965年生，博士生导师，教授，主要研究领域为密码学、信息安全、安全电子商务.

陈文杰： 女，1989年生，研究方向为RFID认证协议.

An RFID Authentication Protocol Anonymous against Readers

X ie Run①②Xu Chun-xiang①Chen W en-jie①Li W an-peng①①（School of Computer Science and Engineering， University of Electronic Science and Technology of China，Chengdu 611731， China）
②（Schoo l of M athematical， Y ibin University， Y ibin 644000， China）

In app lication of RFID （Radio Frequency IDentification）， security threats are on the rise. The demand for the privacy protection of tag is becom ing more and more urgent. In RFID system， the p rivacy p rotection is against not on ly the outside attacker， but also the readers. In many exists the representative researches， the tags are only anonym ous and un traceable for the ou tside attackers. In this paper， the list of protocol and the the key updated of protocol are proposed， which allow RFID tags to au thenticate to readers w ithou t revealing the tag identity or any other information that allows tags to be traced. Compared w ith the scheme proposed by Arm knecht et al.， two schemes achieves anonymousness and untraceability authentication of RFID tags w ithout the help of anonym izer. Furthermore， the key updated of scheme make sure that the revocatory tags w ill not be still tracked by updating key .

Security protocol； Radio Frequency IDentification （RFID）； Anonym ity authentication

TP309

： A

：1009-5896（2015）05-1241-07

10.11999/JEIT140902

2014-07-09收到，2014-12-08改回

国家自然科学基金（61370203）和四川省教育厅科研项目基金（12ZB348）资助课题

*通信作者：许春香 chxxu@uestc.edu.cn