基于切比雪夫混沌映射和PUF的RFID三方认证协议

徐森 刘佳鑫 杨硕 赵洋

收稿日期：2023-06-19；修回日期：2023-08-04  基金項目：辽宁省教育厅基本科研项目面上项目（LJKMZ20220782）

作者简介：徐森（1975—），男，黑龙江哈尔滨人，讲师，硕导，博士，主要研究方向为网络安全与密码学、安全协议的设计与分析、无线网络协议、安全多播等；刘佳鑫（1998—），男，吉林辉南人，硕士研究生，主要研究方向为安全协议的设计与分析；杨硕（1983—），男，吉林人，讲师，硕导，博士，主要研究方向为计算机视觉与人工智能；赵洋（1974—），男（通信作者），辽宁人，讲师，硕导，博士，主要研究方向为机器学习（sy_zhaoyang@yeah.net）．

摘  要：针对射频识别（RFID）三方认证协议存在的安全需求和资源开销的平衡问题，利用切比雪夫多项式的半群性质以及混沌性质提出了一个基于切比雪夫混沌映射和物理不可克隆函数（PUF）的RFID三方认证协议：使用切比雪夫混沌映射来实现标签、阅读器和服务器三方共享秘密；使用随机数实现协议每轮会话的新鲜性以抵抗重放攻击，同时也实现了阅读器与标签的匿名性；使用PUF函数实现标签本身的安全认证以及抵抗物理克隆攻击。安全分析表明，该协议能有效抵抗追踪、重放、物理克隆和去同步攻击等多种恶意攻击，使用BAN逻辑分析方法和Scyther工具验证了其安全性。与近期协议对比分析表明，该协议弥补了同类RFID协议的安全缺陷，在满足各种安全属性需求的同时尽量平衡硬件开销，契合了RFID硬件资源受限的处境，适用于RFID三方认证场景。

关键词：射频识别； 物理不可克隆函数； 切比雪夫混沌映射； 三方认证； BAN逻辑； Scyther工具

中图分类号：TP309    文献标志码：A

文章编号：1001-3695（2024）02-040-0582-05

doi：10.19734/j.issn.1001-3695.2023.06.0263

RFID tripartite authentication protocol based onChebyshev chaos mapping and PUF

Xu Sen1，2， Liu Jiaxin1，2， Yang Shuo1，2， Zhao Yang1，2

（1.School of Computer Science & Technology， Shenyang University of Chemical Technology， Shenyang 110142， China; 2.Liaoning Key Laboratory of Intelligent Technology for Chemical Process Industry， Shenyang 110142， China）

Abstract：In order to balance the security requirements and resource costs of the three party authentication protocols for radio frequency identification（RFID） ， this paper proposed a protocol based on Chebyshev chaotic mapping and physical unclonable function（PUF） ， taking advantage of the semi-group property and chaotic property of Chebyshev polynomials. It used Chebyshev chaotic mapping to achieve secret sharing among tags， readers， and servers， and used random numbers to achieve freshness of each session which could resist replay attack， and also to realize the anonymity of readers and tags. It used the PUF function to achieve the authentication of the label and to resist physical cloning attacks. Security analysis shows that this protocol can effectively resist various malicious attacks such as tracking， replay， physical cloning， and de-synchronization attacks. Moreover， it verified the security properties of the protocol using formal methods， including BAN logic and Scyther tool. Compared with recent studies， this protocol compensates for the security deficiencies of similar RFID protocols， balancing hardware costs as much as possible while meeting various security attribute requirements， and still fitting the limited hardware resources of RFID. It is suitable for third-party authentication scenarios in RFID.

Key words：radio frequency identification（RFID）; physical unclonable function; Chebyshev chaotic mapping; tripartite anthentication; BAN logic; Scyther tool

0  引言

近年来，伴随着物联网技术、工业互联网的飞速发展，射频识别（RFID）凭借其无源传输、远距离通信以及唯一标识等特点，已经成为了物联网应用的核心支撑技术之一，并逐渐有代替条形码被广泛部署到日常物体之上的趋势［1］。

RFID系统主要由电子标签、阅读器和服务器组成。服务器的主要责任是对阅读器和标签的认证、加/解密认证消息、存储标签与服务器的唯一标识、更新数据等。阅读器主要用于阅读标签存储的信息，并将本身用于验证的信息连同接收到的标签信息发送给服务器。标签主要用于存储用户信息，由天线和射频芯片组合而成。由于标签的规格限制，使得其运算能力受限，更容易受到外界的攻击。

传统的RFID系统将阅读器与服务器整合在一起，但是随着技术与RFID产业的发展，传统RFID系统的笨重凸显了出来。新型的移动RFID认证系统将阅读器与服务器拆分出来，大大提高了阅读标签的效率。由于传统的双向认证协议不能再满足RFID系统的认证需求，随后采用新型的移动阅读器的RFID三方认证协议逐渐成为主流。新型的RFID系统中不仅标签与阅读器的通信处于不安全的环境，阅读器与服务器亦是如此。由此可见，传统RFID系统中使用的双向认证协议不能再继续应用于新型的RFID系统。高安全性的RFID三方认证协议成为了RFID产业新的研究方向。

Fan等人［2］提出使用二次剩余、伪随机数等方式保护数据安全的三方认证协议。但是在认证过程中，云服务器需要计算遍历数据库来验证阅读器与标签的合法性，这使得服务器存在拒绝服务攻击，而且该协议无法抵抗针对标签的物理克隆攻击，并缺少阅读器对服务器的身份验证。潘涛等人［3］提出了通过执行算数运算、按位运算及数据排列组合等方法的高效RFID认证协议，但该协议依旧面临着物理克隆攻击的风险。

文献［2，3］中的协议均无法抵抗敌手通过针对物理探针非法获取标签内部的敏感信息，或者大批量克隆标签。为了解决此类攻击方式，随后的研究者开始引入物理不可克隆函数（physical unclonable function，PUF）［4］。王利等人［5］使用了PUF作为加密方法生成密钥，但是该协议缺少对阅读器的合法认证，没有完整的三方认证。王者等人［6］提出了基于PUF函数和轻量级哈希函数LED的认证协议。该协议利用了PUF函数来抵抗物理克隆攻击，并将PUF函数的响应值作为验证消息。然而，一方面，该协议中标签ID以明文发送，在阻止标签更新的情况下，攻击者可以轻易追踪标签；另一方面，标签不会对来自阅读器的认证请求进行验证，这使得该协议容易受到去同步攻击。范文兵等人［7］提出了基于PUF函数的三方认证协议，但是该协议开启认证时使用的随机数以明文发送，且在后续标签唯一标识的加密中使用了此随机数作为加密密钥，这使得标签唯一标识符有泄露的风险。而且该协议为了抵抗去同步攻击，在服务器中存储了两轮PUF函数响应值，在当前轮次认证时会为下一次验证提供PUF的响应值，但在认证过程中服务器并不会核对下一轮次的认证信息是否被修改，因此敌手可以针对此漏洞发动去同步攻击。

针对上述认证方案的缺陷，本文提出了一个基于PUF和切比雪夫混沌映射的三方认证协议。本文协议使用了混乱密码学中的切比雪夫混沌映射，在降低计算开销的同时保证传输数据的安全［8］。其使用PUF函数和随机数来抵抗物理克隆和重放攻击，同时共用PUF使用的线性反馈移位寄存器（linear feedback shift register，LFSR）与随机数发生器，以降低资源的开销，达到资源开销与安全属性保障的平衡。

1  协议基础背景

1.1  切比雪夫混沌映射

定义1  n维切比雪夫多项式为Tn（x），其中n为自然数，x∈[-1，1]，满足Tn+1（x）=2x Tn（x）-Tn-1（x）。

切比雪夫多项式迭代关系为T0（x）=1，T1（x）=x，…，Tn（x）=2xTn-1（x）-Tn-2（x）。

定义2  扩展切比雪夫多项式，将x的定义域由x∈[-1，1]扩大至x∈（-∞，+∞），即拓展的切比雪夫多项式。Tn（x）≡（2xTn-1（x）-Tn-2（x））（mod q），其中n≥2，x∈（-∞，+∞），q是一个大素数。在此定義域中，切比雪夫多项式依旧具备半群特性Tr（Ts（x））=Ts（Tr（x））=Tsr（x） mod q，其中r、s为自然数。

困难假设：给定x，计算Tk（x）=y，在已知x与y的情况下，敌手无法求解出k的值。公布x，Tk（x）与Tm（x）在不安全信道传输的情况下，敌手也无法求解出Tkm（x），这个可以归约为Diffie-Hellman难题，在计算上不可行。

1.2  物理不可克隆函数

物理不可克隆函数（physical unclonable function，PUF）是一种较为新型的密码元语言，在硬件资源极为有限的加密环境中应用广泛。在生产制造数字电路时，由于过程中硬件规格、尺寸、门限电压等因素带来的随机的、细微的差异，产生了电路的独特标识，输入任意激励值都会输出一个唯一且不可预测的响应。

本文协议采用文献［9］中的FPGA函数。FPGA函数将C-PUF、BCH码和LFSR相结合，具有高可靠性和低资源占用的特点。本文协议亦可在不影响FPGA功能的情况下与其共享LFSR的使用［10］，把它作为本文协议主体的随机数发生器。式（1）即验证响应值是否合法，其中X和Y表示n位向量，Xi与Yi表示X和Y的第i bit信息。

HD（X，Y）=∑nm=1（Xi，Yi）（1）

1.3  攻击者模型

本文采用的是通用的Dolev-Yao攻击者模型［11］，在此模型中，攻击者被赋予以下能力：

a）能够窃听、阻止和截获不安全信道上的任何消息。

b）能够发送消息和重发消息。

c）能够对消息进行分解与组合。

d）能够冒充协议任意一方。

e）此外，需要说明协议的初始化阶段是处于安全环境的，认证阶段中的所有信道均处于不安全的环境，尤其是攻击者还可以大批量地物理克隆合法标签。

2  协议设计

2.1  初始化阶段

在初始化阶段，系统管理员首先为服务器分配私钥s，设置参数q、x、IDt、IDr、SCil+1、SRil+1、SCil、SRil，服务器利用私钥s计算Ks=Ts（sin（x）），最后给标签i分配q、IDt、x、Ks、SRil+1，然后为阅读器分配q、IDr、Ks、x。符号含义如表1所示。

2.2  认证阶段

a）阅读器j向后台服务器发送一个request请求。

b）服务器在收到来自阅读器的请求后产生一个随机数rs发送给阅读器j。

c）阅读器在接收到随机数rs后，计算ACK=PRNG（Ks⊕rs），并将ACK与rs转发给需要进行认证的标签。

d）标签i在接受到随机数rs后，计算ACK′=PRNG（Ks⊕rs），核对ACK=ACK′是否成立，若不相等则说明随机数来自非法阅读器；随后标签会产生一个随机数rT作为加密因子，计算KA=TrT（sin（x））mod q、KTS=TrT（Ks）mod q，计算Rl=PUF（SCil+1）、Cil+1=SCil+1rs、Rl+1=PUF（Cil+1），计算M1=KTS⊕TIDi、M2=PRNG（Rl+1⊕IDt）。IDt是通过标签与服务器共享的密钥KTS加密的，从而保证了IDt的匿名性。M2的作用是保证Rl+1在传输过程中不被窜改。在计算完成后，标签将M1、M2、Rl+1、Rl、KA发送给阅读器。

e）阅读器j在收到来自标签i的消息后，产生随机数rR，并计算KB=TrR（sin（x））mod q、KRS=TrR（Ks）mod q，计算M3=IDr⊕KRS。由于KRS每个轮次都是变化的，所以M3通过KRS实现了IDr的动态不可追踪。随后阅读器j将从标签i接收到的所有消息M1、M2、Rl+1、Rl、KA，以及KB、M3发送给服务器。

f）服务器在收到来自阅读器j的消息后，首先对阅读器进行验证。服务器利用阅读器发来的KB计算出与阅读器共享的密钥KSR=Ts（KB）mod q，使用密钥KSR解出IDr=KSR⊕M3，在得到IDr后服务器会在数据库中检索，若在数据库中查询到IDr，则阅读器j认证成功，最后计算阅读器的确认信息ACKR=PRNG（IDr），否则阅读器非法放弃此次认证。

随后是对标签的认证，服务器提取KA，计算与标签共享的密钥KST=Ts（KA）mod q，服务器利用密钥KST解出IDt=M1⊕KST，服务器在数据库中查询是否有IDt，若不存在此IDt则认为标签非法，放弃此次认证；若成功查询到此IDt则提出对应的（SCil+1，SRil+1），随后服务器使用Rl与提取出的SRil+1进行式（2）的计算，其中τ为设定的阈值。

HD（Rl，SRil+1）＜τ（2）

若式（2）成立，则说明标签是合法的，服务器接收Rl+1，随后服务器计算M′2=PRNG（Rl+1IDt）并对比M′2与M2是否相等。若不相等则表明消息Rl+1遭到了窜改，并终止此次认证；若相等则计算Cil+1=SCil+1⊕rs以及标簽i的确认信息ACKT=PRNG（Cil+1）。最后服务器将ACKT和ACKR发送给阅读器，同时服务器进行数据更新：SCil=SCil+1、SRil=SRil+1、SCil+1=Cil+1、SRil+1=Rl+1。

若在验证Rl时出现错误，则将SRil+1替换为SRil并再次进行验证。若替换后的验证依旧没有通过，则放弃此次验证；若此时验证通过，则说明标签遭受了去同步攻击。为保证服务器与标签的数据同步，服务器再计算Cil+1，更新为Cil+1=SCilrs，而且不对（SCil，SRil）进行更新，而是对（SCil+1，SRil+1）进行更新。

3  协议安全分析

3.1  协议非形式化分析

1）追踪攻击

攻击者为了达到追踪的目的需要获取标签i的TIDi或者获取阅读器j的IDr，因此敌手需要破解M1=KTS⊕TIDi与M3=IDr⊕KRS。由于KTS与KRS在认证过程中不以明文的方式传输，所以攻击者无法通过窃听获取到KTS与KRS的值。故攻击者无法通过破解M1与M2获取TIDi和IDr，无法发起位置追踪攻击。

2）重放攻击

攻击者希望通过重放上一轮的认证消息来欺骗服务器通过身份认证，因此攻击者可以重放标签发送给阅读器的消息M1、M2、Rl+1、Rl、KA，或者阅读器发送给服务器的消息M1、M2、M3、KA、KB、Rl+1、Rl。当攻击者重放标签发送给阅读器消息时，阅读器接收完成计算后，会将自己的计算结果和标签发送的信息一同转发给服务器。服务器在收到来自阅读器的消息后首先会对阅读器进行认证，由于阅读器的认证消息是本轮的且合法的，故阅读器通过认证。接下来服务器会对标签进行认证，由于标签的认证消息是攻击者重放的上一轮信息，KA会随着随机数rT的变化而变化，服务器接收到上一轮的KA后计算KST=Ts（KA）mod q为错误的密钥，所以服务器无法计算出正确的TIDi进而终止认证。当攻击者重放阅读器发送给服务器的消息时，服务器接收到消息后会先验证阅读器，同理服务器会利用KB计算KSR=Ts（KB）mod q，并用此次算得的KRS解密M3求出IDr。由于接收到的消息为上轮重放的，所以解出的KRS并不能作为密钥求出正确的IDr，认证终止。由此可得出攻击者无法发动重放攻击。

3）物理克隆攻击

攻击者在获取合法标签后希望克隆出大量相同的合法标签来达到通过身份认证欺骗服务器的目的。由于每个标签内都嵌入了一个PUF电路，且PUF电路具有不可被复制的特性，所以攻击者无法复制出大量与合法标签相同的假标签，因为他们复制的标签无法生成与原标签相同的PUF函数。

4）去同步攻击

攻击者可以通过两个途径实现去同步攻击。第一种攻击方式是攻击者可以通过阻断服务器发送给阅读器j与标签i的确认消息ACK，让标签的数据无法更新，而服务器数据已经更新，由此实现去同步攻击。本文协议中服务器存储着本轮验证信息与上一轮的验证信息，在发生去同步攻击时，服务器不会立即终止身份认证过程，而是取出存储的上轮验证信息再次进行验证，如果验证通过服务器会对存储信息进行更新，重新实现与标签共享秘密的同步。第二种攻击方式是攻击者在前一个轮次中窜改Rl+1，若服务器不对Rl+1进行验证则会将窜改后的Rl+1存储到数据库之中。在接下来的验证轮次中攻击者将本轮的Rl窜改为与上轮Rl+1相同的值，并再次将Rl+1的值进行窜改，服务器接收到信息后会通过身份验证并更新数据，此时服务器中存储的两轮数据均被攻击者修改，去同步攻击完成。本文协议中添加了对Rl+1的验证，M2=PRNG（Rl+1⊕IDt），在服务器接收到Rl+1时，并不会将该值直接存入数据库，而是先计算M2并与接收到的M2进行对比，如果两者不同则说明Rl+1被窜改，服务器会终止此次身份认证。综上所述，攻击者无法发动去同步攻击。

3.2  协议形式化证明

3.2.1  BAN逻辑证明

BAN逻辑在形式化证明中应用广泛，本节采用BAN逻辑来证明协议的安全性可实现三方的验证。证明使用的逻辑符号如表2所示。

本文涉及的逻辑推理法则如下：

消息含义法则：

P|≡QKP，P{X}KP|≡Q|～X

接收消息法则：

P{X，Y}PX

新鲜性法则：

P|≡#（X）P|≡#（X，Y）

随机值验证法则：

P|≡#（X），P|≡Q|～XP|≡Q|≡X

管辖法则：

P|≡Q|X，P|≡Q|≡XP|≡X

本文协议的BAN逻辑描述如下，其中S为服务器，R为阅读器，T为标签。

M1：R→S：request；

M2：S→R：rs；

M3：R→T：ACK1，rs；

M4：T→R：M1、M2、Rl+1、Rl、KA；

M5：R→S：M1、M2、M3、Rl+1、Rl、KA、KB；

M6：S→R：ACKT、ACKR；

M7：R→T：ACKT。

在本文协议中，消息M1与M2只起到发起认证的简单请求，且以明文发送，故不需要进行形式化分析。需要对认证消息（M3、M5、M6、M7）展开形式化安全分析。为了方便后续的BAN逻辑描述，将本文中使用的动态共享密钥、随机数、切比雪夫算式、标签ID以及PUF运算等信息均使用符号K加密表示。M2、M5、M6和M7可以形式化为

M2：T{ACK，rs}K

M5：S{M1、M2、M3、Rl+1、Rl、KA、KB}K

M6：R{ACKT、ACKR}K

M7：T{ACKT}K

本文协议满足以下基本假设：

A1：R|≡RS；  A2：S|≡SR；  A3：S|≡ST；

A4：T|≡TS；  A5：R|≡RT；  A6：T|≡TR；

A7：S|≡#（rs）；  A8：T|≡#（rs）；  A9：R|≡#（rs）；

A10：S|≡#（KA）；  A11：T|≡RACK；  A12：S|≡#（KB）；

A13：R|≡SACKR;  A14：T|≡SACKT；

A15：S|≡TRl；  A16：S|≡RRIDj。

本協议安全证明目标如下：

Goal1：T|≡ACK；

Goal2：R|≡ACKR；

Goal3：T|≡ACKT；

Goal4：S|≡Rl；

Goal5：S|≡IDr 。

证明  Goal1、Goal2、Goal3、Goal3、Goal4、Goal5：

由M2：T{ACK，rs}K，初始假设A6：T|≡TR，以及消息含义法则和接收消息法则可推断出：

T|≡R|～ACK（3）

由A8：T|≡#（rs）以及新鲜性法则可推断出

T|≡#（ACK）（4）

由式（3）（4）以及随机值验证法则可推断出

T|≡R|≡ACK（5）

由式（5）A11：T|≡RACK和管辖法则可推理出

T|≡ACK（6）

综上，安全目标Goal1：T|≡ACK得证。

由M6：R{ACKT、ACKR}K，初始假设A1：R|≡RS以及消息含义法则和接收消息法则可推断出

R|≡S|～ACKR（7）

由A9：R|≡#（rs）以及新鲜性法则可推断出

R|≡#（ACKR）（8）

根据式（7）（8）和随机值验证法则可推断出

R|≡S|≡ACKR（9）

根据式（9）、A13：R|≡SACKR以及管辖法则可推断出

R|≡ACKR（10）

综上，安全目标Goal2：R|≡ACKR得证。

由M7：T{ACKT}K，根据初始假设A4：T|≡TS和消息含义法则可推断出T|≡S|～ACKT（11）

由A8：T|≡#（rs）和新鲜性法则可推理出

T|≡# （Cil+1）（12）

根据式（12）以及新鲜性法则可进一步推理出

T|≡#（ACKT）（13）

根据式（11）（13）及随机值验证法则可推断出

T|≡S|≡ACKT（14）

根据式（14）、初始假设A14：T|≡SACKT和管辖法则推理出

T|≡ACKT（15）

综上，安全目标Goal3：T|≡ACKT得证。

由M5：S{M1、M2、M3、Rl+1、Rl、KA、KB}K、初始假设A3：S|≡ST，以及消息含义法则和接收消息法则推断出

S|≡T|～Rl（16）

由A10：S|≡#（KA）及新鲜性法则可推断出

T|≡#（Rl）（17）

根据式（16）（17）以及随机值验证法则推断出

S|≡T|≡Rl（18）

根据式（18）、初始假设A15：S|≡TRl和管辖权法则推理出

S|≡Rl（19）

综上，安全目标Goal4：S|≡Rl，得证。

由M5：S{M1、M2、M3、Rl+1、Rl、KA、KB}K、A1：R|≡RS，以及消息含义法则和消息接收法则可推理出

S|≡R|～IDr（20）

由A12：S|≡#（KB）以及新鲜性法则可得

T|≡#（IDr）（21）

根据式（20）（21）和随机值验证法则可的

S|≡R|≡IDr（22）

根据式（22）和A16：S|≡RIDr以及管辖权法则可得

S|≡IDr（23）

综上，安全目标Goal5：S|≡IDr，得证。

3.2.2  Scyther工具分析

Scyther是一种协议安全性分析验证工具，该协议分析验证工具可以使用Dolev-Yao攻击者模型以及强安全模型，在检测到攻击路径时会以图的方式进行解释。以下将利用Scyther工具，使用Dolev-Yao攻击者模型进行验证。

在本文协议建模中，定义了三个角色，分别为T、R和S，分别表示标签、阅读器和服务器。其中Secert、Alive、Weakagree、Niagree和Nisynch分别用于检测秘密泄露、重放攻击、中间人攻击和去同步攻击。由于Scyther支持的运算类型有限，所以需要将协议中的随机数发生器以及PUF函数抽象为两个不同的哈希函数，其余的加密算法则按照协议中的描述去定义。分析结果表明：Scyther工具无法找到针对本文协议的恶意攻击，由此本文协议可以保证标签、阅读器和服务器的三方秘密信息安全。Scyther工具分析结果如图1所示。

4  协议性能分析

4.1  安全属性分析与比较

文献［2］使用了伪随机数发生器、二次剩余定理和超轻量级位流函数保护隐私信息的安全，但是在云服务器认证标签与阅读器时要遍历数据库，开销过大。另外，该协议还无法对抗针对标签的物理克隆攻击，缺少阅读器对服务器的认证。

文献［5］使用了哈希函数和PUF函数来保证标签的隐私信息安全，并抵抗针对标签的物理克隆攻击，但是该协议缺少阅读器和后台服务器之间的认证。这使得攻击者可仿冒三者任意一方进行通信交互，也可以发动重放攻击。

文献［6］使用了LED这一轻量化哈希函数作为加密交互信息的方法，使用PUF函数抵抗物理克隆攻击。一方面，该协议中标签在应答服务器的请求时会以明文的方式发送自己的ID。虽然该协议将ID设计为每轮认证都是变化的，但是敌手只要向标签不断的发送质询并阻止标签的信息更新，敌手就可以追踪标签的位置。另一方面，在标签与服务器进行认证时，敌手可以记录标签发送给服务器的ID、Ri′、Auth1、Auth2，记录服务器发送给标签的Ri+1′、ID′，然后阻止标签发送给服务器的“ok”消息，随后敌手可以重放记录的消息冒充标签并通过协议认证。另外，该协议还无法抵抗去同步攻击。首先敌手对标签与服务器进行连续的监听获取标签的两轮唯一标识ID、ID′，随后敌手冒充标签给服务器发送ID′，敌手从服务获取ID′对应的合法Ci并终止认证协议。下一步敌手冒充服务器开启认证协议，并向标签发送Ci，然后敌手从标签获取到Ci对应的合法Ri′、Auth1、Auth2。接下来敌手冒充标签，与服务器开启身份认证。由于敌手所具有的消息均为合法且正确的消息，所以敌手可以通过身份认证并最后发送“ok”让服务器更新数据库。而此时数据库存储的数据均为错误的，敌手的去同步攻击已经完成。

文献［7］提出基于PUF函数的三方认证协议，该协议标签在响应阅读器的请求时会将自己的唯一标识TIDi通过与随机数异或后发送给阅读器。由于参与异或的随机数是以明文发送的，这就使得敌手可以解密获得标签的唯一标识TIDi，进而使得敌手可以对标签进行位置追踪。另一方面该协议还存在去同步攻击。首先敌手监听并窜改标签为服务器提供下一轮的验证信息Rl+1，由于服务器并不对此信息进行核实，服务器并不会察觉敌手对Rl+1的窜改，此时服务器会存储此条消息并通过本轮验证，将错误的Rl+1信息更新至数据库。在第二轮的认证开启时，敌手监听并窜改标签发送的信息Rl，使其与敌手窜改的上轮信息Rl+1相同，并窜改本轮的Rl+1信息，服务器依然会通过对Rl的验证，完成对数据库的更新。至此敌手已经完成了对服务器数据库两轮数据的窜改，使服务器徹底与标签失去同步。另外该协议在开启协议认证时，标签对发出质询的设备并不进行验证，缺少双向认证。

将本文协议与近期协议安全属性进行对比，对比结果如表3所示，其中“Yes”表示能抵抗该种攻击，“No”则表示该协议无法抵抗该种攻击。

综上所述，本文协议能够抵抗上述攻击，并且在优化协议的同时完成了三方的完整认证。因此，本文协议要优于近期文献［2～6］中的协议。

4.2  性能对比分析

将本文协议与现有的认证协议开销进行对比，具体如表4所示。其中x表示异或操作，a表示加法操作，puf表示PUF运算，h表示哈希运算，ch表示切比雪夫运算，pr表示伪随机数运算，rn表示生成随机数，me表示模幂运算，rme表示乘法逆元运算，t表示时间戳，c表示连接，r表示循环位移。根据文献［12，13］可知，切比雪夫的计算量与伪随机数的计算量相当，所以一般认为，计算开销的大小排序为c

与近几年相关协议相比较，本文协议虽然在性能上没有非常大的改进，但能满足轻量级的计算量，适用于现有的轻量级RFID系统。更重要的是，本文协议可以弥补其他认证协议的缺陷，提供更好的安全性能，所以本文协议具备一定的应用价值。

5  结束语

本文提出了一种基于切比雪夫混沌映射和PUF函数的三方认证协议。协议引入了切比雪夫混沌映射作为计算每轮共享秘密的算法，保证了标签与阅读器的匿名性和信息的安全性，同时也降低了对硬件资源的消耗；使用PUF函数的不可克隆性质来抵抗物理克隆攻击；利用PUF函数响应值的唯一性作为标签身份认证独特标识，确保了认证消息在傳输过程中无法被监听重放。在降低开销的同时来满足各种安全属性的需求，能够有效抵抗物理克隆攻击、重放攻击、去同步攻击、消息伪造攻击和消息窜改等恶意攻击。除此之外，本文使用了非形式化分析和多种形式化分析方法验证了协议的安全性。与近几年发表的RFID协议进行比对，本文协议在安全性和开销方面均具有一定的优势。综上所述，本文提出的RFID三方认证协议在保证认证安全的同时降低了开销，适用于资源受限的移动RFID系统。未来的研究方向是将该协议应用到具体的RFID系统当中，对具体的通信时间进行研究，并寻找继续降低计算量的方法。

参考文献：

［1］寇广岳， 魏国珩， 平源，等. RFID安全认证协议综述［J］. 计算机工程与科学， 2023，45（1）： 77-84. （Kou Guangyue， Wei Guoheng， Ping Yuan， et al. Overview of RFID security authentication protocol［J］. Computer Engineering and Science， 2023，45（1）： 77-84.）

［2］Fan Kai， Zhu Shanshan， Zhang Kuan， et al. A lightweight authentication scheme for cloud-based RFID healthcare systems［J］. IEEE Network， 2019，33（2）： 44-49.

［3］潘涛， 左开中， 王涛春，等. 移动RFID高效率认证协议设计［J］. 计算机应用研究， 2023，40（2）： 595-600. （Pan Tao， Zuo Kaizhong， Wang Taochun， et al. Design of mobile RFID high-efficiency authentication protocol［J］. Application Research of Computers， 2023，40（2）： 595-600.）

［4］尹魏昕， 贾咏哲， 高艳松，等. 物理不可克隆函数 （PUF） 研究综述［J］. 网络安全技术与应用， 2018（6）： 41-42，54. （Yin Wei-xin， Jia Yongzhe， Gao Yansong， et al. Review of physical unclonable functions （PUF）［J］. Network Security Technology and Applications， 2018（6）： 41-42，54.）

［5］王利， 李二霞， 纪宇晨，等. 基于PUF的抗物理克隆RFID安全认证协议［J］. 信息网络安全， 2020，20（8）： 89-97. （Wang Li， Li Erxia， Ji Yuchen， et al. PUF based anti physical cloning RFID security authentication protocol［J］. Information Network Security， 2020，20（8）： 89-97.）

［6］王者， 王争光， 宋贺伦. 基于PUF和LED算法的轻量级RFID安全认证协议［J］. 电子测量技术， 2022，45（14）： 1-7. （Wang Zhe， Wang Zhengguang， Song Helun. Lightweight RFID security authentication protocol based on PUF and LED algorithm［J］. Electro-nic Measurement Technology， 2022，45（14）： 1-7.）

［7］范文兵， 常正泰， 艾璐琳，等. 基于PUF的高安全性轻量级RFID三方认证协议［J］. 郑州大学学报： 工学版， 2023，44（2）：46-52. （Fan Wenbing， Chang Zhengtai， Ai Lulin， et al. A high security lightweight RFID tripartite authentication protocol based on PUF［J］. Journal of Zhengzhou University： Engineering Edition， 2023，44（2）： 46-52.）

［8］Namasudra S， Roy P. A new secure authentication scheme for cloud computing environment［J/OL］. Concurrency and Computation Practice and Experience.（2016-05-12）. https：//doi.org/10.1002/cpe.3864.

［9］李莉， 李泽群， 李雪梅，等. 基于交叉耦合電路的物理不可克隆函数FPGA实现［J］. 信息网络安全， 2022， 22（3）： 53-61. （Li Li， Li Zequn， Li Xuemei，et al. FPGA implementation of physical unclonable functions based on cross coupled circuits［J］. Information Network Security， 2022，22（3）： 53-61.）

［10］周楠楠. RFID系统中无源标签的伪随机数发生器［D］. 西安：西安电子科技大学， 2015. （Zhou Nannan. Pseudorandom number ge-nerator of RFID passive tag[D].Xian：Xidian University， 2015.）

［11］Mao Wenbo. A structured operational semantic modelling of the Dolev-Yao threat environment and its composition with cryptographic protocols［J］. Computer Standards & Interfaces， 2005，27（5）： 479-488.

［12］Lee C C. A simple key agreement scheme based on chaotic maps for VSAT satellite communications［J］. International Journal of Satellite Communications & Networking， 2013，31（4）： 177-186.

［13］陈惠红， 陈志刚. 基于伪ID的改进的双向认证协议［J］. 控制工程， 2021，28（10）： 2038-2044. （Chen Huihong， Chen Zhigang. An improved two-way authentication protocol based on pseudo ID［J］. Control Engineering， 2021，28（10）： 2038-2044.）