朱炜玲，喻建平

深圳大学ATR国防科技重点实验室，深圳518060

射频识别 (radio frequency identification，RFID)系统是物联网的重要组成［1］.随着移动RFID技术的发展，读写器芯片可集成在移动终端(如手机)中，使人们可便捷地拥有自己的RFID阅读器，从而推动移动RFID技术广泛用于物联网个人应用服务.然而，RFID技术在应用方便的同时又带来了严重的隐私安全问题［2-3］，包括标签敏感信息的泄漏、通过标签唯一标识符进行恶意追踪与监视、兴趣爱好的泄漏、交易敏感信息的跟踪、秘密的详细目录攻击及移动阅读器携带者被恶意跟踪与监视等.

RFID系统隐私安全问题是物联网发展急需解决的问题之一，由于标签计算能力和存储资源受限，大多数RFID系统只能采取对称密钥加密的方式来实现隐私安全［4］.对称密钥加密隐私保护RFID系统面临着两个矛盾:一方面，为防止秘密追踪，标签不能在认证前暴露身份;另一方面，后台数据库需知道使用哪个标签的密钥和标识符进行认证.解决此矛盾的方法［5］一是允许后台数据库能有效寻找被使用的密钥和标识符;二是频繁更新标签的身份.采用前者的协议为非状态协议［4］，其认证效率低且后台数据库计算量大，只适用于标签数目少的小规模应用［6-7］.采用后者的协议为状态协议［4］，其认证效率高，适合标签数目多的大规模应用，但面临着标签与后台数据库之间的同步问题［8-10］.大多数RFID隐私保护安全认证协议没有建立标签与阅读器的会话密钥，这使得阅读器与标签进一步通信得不到安全保障.文献［9］虽建立了会话密钥，但未考虑标签与后台数据库的同步问题.文献［10］采用通过保留更新前标签的状态数据来解决标签与后台服务器之间的同步问题，但未建立会话密钥.

大多数RFID认证协议是针对标签与阅读器之间不安全通道设计的［6，8-10］，而在移动RFID系统，阅读器与后台数据库之间的通信是以无线方式进行，信道不安全，研究人员在设计隐私保护安全认证协议时需将此环节统一考虑.文献［7］考虑了阅读器与后台数据库之间的不安全通信，采用循环冗余校验函数、异或操作及随机数发生器，设计了后台数据库、阅读器及标签之间的认证协议，并建立了会话密钥，但其总共需要8次通信，且所有标签与后台数据库共享一个秘密h(T－mark)，只要有一个标签妥协，就会影响系统中其他标签的安全.

Park等［11］提出基于隐私管理服务系统移动RFID服务的隐私保护方案和框架，但未设计出具体协议.本研究以物联网移动RFID服务应用为背景，设计物联网中标签、阅读器与隐私管理服务系统后台数据库之间隐私保护认证及会话密钥建立协议(privacy preserving authentication and key agreement protocol in the internet of things，PPAKA-IoT)，为标签、阅读器及信息服务系统进一步安全通信提供保障，也适用于一般RFID系统标签、阅读器与后台数据库之间的认证.该协议采用哈希 (Hash)函数、随机数发生器、共享密钥及对称加密算法来实现，同时考虑标签与后台数据库之间同步问题.由GNY(Gong，Needham and Yahalom)逻辑分析证明，PPAKA-IoT协议能达到预期认证目的.

1 PPAKA-IoT协议

基于文献［2，11］提出的移动RFID服务网络体系结构，本研究构建的物联网移动RFID服务网络体系结构如图1.

图1 物联网移动RFID服务网络体系结构Fig.1 Mobile RFID services network architecture in the internet of things

基于图1体系结构，本研究提出的PPAKA-IoT协议如图2.其中，DID为隐私管理服务系统后台数据库标识符;RID为阅读器标识符;TID为标签当前标识符;TID_old为标签更新前标识符;TID_0为标签初始标识符;KTD为标签与后台数据库共享密钥;KRD为阅读器与后台数据库共享密钥;H()为单向Hash函数.协议初始化阶段，阅读器和标签在隐私管理服务系统注册，阅读器中存储 (RID，DID，KRD)，标签存储 (TID_0，KTD)，在隐私管理服务系统后台数据库存储 (RID，KRD)和 (TID_0，KTD，RID).新协议中采用文献［10］的方法解决同步问题，后台数据库保留更新前的状态数据TID_old，当失去同步后，后台数据库使用TID_old重新同步.

图2 PPAKA-IoT协议Fig.2 The proposed PPAKA-IoT protocol

PPAKA-IoT协议认证步骤为

①阅读器生成随机数NR，向电子标签发送query认证请求，将RID和NR发送给电子标签.

②电子标签产生随机数NT，计算H(TID，NR，NT，KTD)，并将 TID、NT和 H(TID，NR，NT，KTD)发送至阅读器.

③ 阅读器加密后，将 RID和 EKRD(RID，NR，TID，NT，H(TID，NR，NT，KTD))发送给隐私管理服务系统后台数据库.

④隐私管理服务系统后台数据库根据RID查找KRD，对 EKRD(RID，NR，TID，NT，H(TID，NR，NT，KTD))解密，获取 RID、NR、TID、NT和 H(TID，NR，NT，KTD).检查RID是否与接收的一致，如不一致，则数据库对阅读器认证失败，停止认证;如一致，查找是否存在TID(或TID_old)与接收的TID一致，如不存在，表明认证失败，则停止认证;如存在，判断此阅读器是否被授权访问标签，如无访问授权，表明认证失败，则停止认证;如有访问授权，则用接收的TID计算H(TID，NR，NT，KTD)，检查是否与接收的H(TID，NR，NT，KTD)一致，若不一致，表明认证失败，则停止认证.否则，数据库认证了标签及阅读器的合法性，并用接收的TID产生会话密钥 SK=H(RID，TID，NR，NT，KTD)，加密后将 DID和 EKRD(DID，RID，NR，TID，SK)发送给阅读器.之后，若数据库对阅读器和标签认证成功，则更新数据:若本次认证采用的是TID_old，则不需要更新;否则更新TID和TID_old，即计算TID_new=H(TID，KTD)，更新 TID_old=TID，TID=TID_new.

⑤阅读器解密，检查RID和NR是否正确，若正确，则认为密钥SK有效，计算H(TID，SK)，并将RID和H(TID，SK)发送给电子标签;若错误，表明认证失败，则停止认证.

⑥ 电子标签计算SK=H(RID，TID，NR，NT，KTD)和H(TID，SK)，验证H(TID，SK)是否与接收的相等，若不相等则认证失败，停止认证;若相等，则电子标签对阅读器和数据库认证成功且认为密钥SK有效，并向阅读器发送 TID和H(NR，SK)会话密钥确认信息，计算TID_new=H(TID，KTD)并更新TID=TID_new.

⑦阅读器计算H(NR，SK)，检查SK是否与数据库发送给它的一致，如一致，则确认了与电子标签共享会话密钥SK，从而可利用会话密钥进行下一

步通信;否则，表明认证失败.

2 安全性分析

协议需达到的安全目标有①在H()函数及共享密钥 (KTD和KRD)安全的前提下，确保认证信息的机密性与完整性;②在随机数存在的前提下，确保会话密钥的新鲜性;③协议在认证及会话密钥建立的同时，能满足标签不可追踪隐私要求.

在PPAKA-IoT协议中，标签、阅读器与后台数据库之间，采用带密钥的Hash函数及对称加密算法进行认证信息的通信，确保认证信息的完整性及机密性;标签及阅读器均采用随机数，且通过Hash函数及随机数产生会话密钥，确保会话密钥的新鲜性;标签标识符在每次认证成功后通过Hash函数更新，满足广泛不可追踪 (universal untraceability)［4］和前向不可追踪隐私要求.因此，PPAKA-IoT协议满足安全目标.

以下采用GNY逻辑［12］进一步分析协议的安全性.其中，R为阅读器;T为电子标签;D为隐私管理服务系统后台数据库;A1～A23表示第1～23个初始化假设;T1、T2、T3、P1、P2、P3、P4、F1、F10、I1、I3、I7、R1、J1和J2等符号则严格遵循文献［12］中GNY逻辑推理规则的表示.

协议理想化

3 效能分析

根据Auto-ID中心的试验数据可知，在设计5美分标签时，集成电路芯片的成本不应超过2美分，因此用于安全和隐私保护的门电路数不能超过2 500～5 000个，而实现一个Hash函数约需1 700个门电路，实现一个伪随机数发生器仅需数百个门电路［13］.所以，PPAKA-IoT协议对低成本标签也是可行的.

表1 为 PPAKA-IoT 协议与 AKAP［9］、CHEN 等人提出的协议［7］效能比较.由表1可见，PPAKAIoT协议综合优势较佳，缺点是在两次认证成功的中间，标签是可追踪的.为减少这种追踪机会，标签持有者可定期扫描认证标签，使得标签标识符成功更新.

表1 协议效能比较 Table1 Efficiency comparison of the protocols

结 语

本研究在标签、阅读器与隐私管理后台数据库之间建立了隐私保护三方认证及会话密钥协议，既防止了标签被非法阅读器访问及恶意追踪，也防止了标签假冒，从而保护了标签携带者的隐私.安全性分析表明，协议能达到所需的安全目标和认证目的.与相关协议进行对比分析，PPAKA-IoT协议在效能上具有一定的优势.

/References:

［1］Atzori L，Iera A，Morabito G.The internet of things:a survey［J］.Computer Netwworks，2010，54(15):2787-2805.

［2］Lee H J，Kim J Y.Privacy threats and issues in mobile RFID［C］//Proceedings of the First International Conference on Availability，Reliability and Security.Los Alamitos(USA):IEEE Press，2006:510-514.

［3］Juels A.RFID security and privacy:a research survey［J］.IEEE Journal on Selected Areas in Communications，2006，24(2):381-394.

［4］Alomair B，Poovendran R.Privacy versus scalability in radio frequency identification systems［J］.Computer Communication，2010，33(18):2155-2163.

［5］Sadeghi A R，Visconti I，Wachsmann C.Location privacy in RFID applications［C］//The 1st International Workshop on Privacy in Location-based Applications.Berlin:Springer-Verlag，2009:127-150.

［6］Rhee K，Kwak J，Kim S，et al.Challenge-response based RFID authentication protocol for distributed database environment［C］//The 2nd international Conference on Security in Pervasive Computing. Berlin:Springer-Verlag，2005:70-84.

［7］Chen C L，Jan J K，Chie C F.Based on mobile RFID device to design a secure mutual authentication scheme for market application［C］//International Conference on Broadband，Wireless Computing，Communication and Applications.Los Alamitos(USA):IEEE Computer Society，2010:423-428.

［8］Henrici D，Muller P.Hash-based enhancement of location privacy for radio-frequency identification devices using varying identifiers［C］//The 2nd IEEE Annual Conference on Pervasive Computing and Communications.Los Alamitos(USA):IEEE Computer Society，2004:149-153.

［9］He L，Gan Y，Li N N，et al.A Security-provable authentication and key agreement protocol in RFID system［C］//The 3rd International Conference on Wireless Communications，Networking and Mobile Computing.New York:IEEE Press，2007:2078-2080.

［10］Zhou S J，Zhang Z，LUO Z W，et al.A lightweight antidesynchronization RFID authentication protocol［J］.Information System Frontiers，2010，12(5):521-528.

［11］Park N，Won D.Dynamic privacy protection for mobile RFID service［C］//RFID Security:Techniques，Protocols and System-on-Chip Design.Berlin:Springer-Verlag，2009:229-254.

［12］Gong L，Needham R，Yahalom R.Reasoning about belief in cryptographic protocols［C］//IEEE Computer Society Symposium on Research in Security and Privacy.Los Alamitos(USA):IEEE Computer Society，1990:234-248.

［13］Wu K J，Bai E J，Zhang W.A hash-based authentication protocol for secure mobile RFID systems［C］//The 1st International Conference on Information Science and Engineering.Piscataway(USA):IEEE Press，2009:2440-2443.