王少辉，刘 天，李 静，肖 甫

(1.南京邮电大学计算机学院，江苏南京 210003; 2.江苏省无线传感网高技术研究重点实验室，江苏南京 210003)

阅读器破坏条件下RFID前向安全认证协议

王少辉1，2，刘 天1，2，李 静1，2，肖 甫1，2

(1.南京邮电大学计算机学院，江苏南京 210003; 2.江苏省无线传感网高技术研究重点实验室，江苏南京 210003)

无线射频识别(RFID)是一种可实现自动识别和数据获取的无线技术，其在健康护理领域应用广泛并已成为该领域的主导识别技术。RFID系统的安全与隐私问题受到越来越多的关注，许多基于椭圆曲线密码系统或Hash函数的认证协议都实现了保护系统安全性和隐私性的设计目标，但很少有协议考虑标签或阅读器破坏条件下的前向安全性。对新近提出的三个安全协议进行了分析，结果表明，三个协议并不能在标签或阅读器破坏下提供前向隐私保护，进而提出一种改进的基于ECC的RFID认证协议，对改进协议的安全性进行了详细分析。结果表明，新协议在满足各安全需求的同时，可以提供阅读器破坏条件下的前向安全性，而且新协议需要的计算开销更少，效率更优。

射频识别;轻量级双向认证;前向安全;椭圆曲线密码系统

1 概述

无线射频识别(RFID)技术被广泛应用于公共交通、物流管理、电子护照、访问控制系统等领域。值得一提的是，低成本的RFID技术可能会完全取代传统的基于条形码这一目前最广泛使用的识别系统［1］。RFID技术是一种被动式的自动识别技术，它使用无线电信号，无需人工干预，可自动识别目标并获取相关数据，并能在各种恶劣的环境下工作。这些优势使RFID技术非常适用于健康管理领域。目前，其已应用在新生儿和病人识别、医学治疗跟踪和验证以及手术过程管理等领域［2］。然而，安全与隐私泄露问题成为制约RFID技术快速和广泛传播的主要障碍。

典型的RFID系统包括一个阅读器和若干标签。阅读器通常与存储标签相关信息的后台服务器相连。RFID标签通常在开放环境中使用，与阅读器通过无线方式交互消息，这必然导致RFID系统易遭受被动和各种类型的主动攻击，如窃听攻击、标签仿冒攻击、重放攻击、追踪攻击、拒绝服务攻击等。以健康管理应用为例，如何在使用RFID技术的同时确保医患通信的安全受到普遍关注。

迄今为止，众多研究群体致力于RFID系统安全性和隐私问题的研究，提出了大量的认证协议。由于与公开密钥密码系统相关的算法需要更多的系统资源，并不适用于低成本的RFID标签。自从Juels等［3］提出第一个RFID隐私保护协议以来，RFID认证协议的设计通常基于对称密钥密码系统，如分组密码或Hash函数。然而，随着集成电路技术的发展，最近的研究表明RFID标签可以支持公开密钥密码系统的复杂操作。特别与传统的公钥密码算法相比，椭圆曲线密码体制(ECC)可以利用较短的密钥长度提供与RSA算法相同级别的安全强度。因此，ECC非常适合于RFID认证协议的设计。

Tuyls等［4］和Batina等［5］分别利用Schnorr识别方案［6］和Okamoto识别方案［7］，独立提出了基于ECC的RFID认证协议。但是Lee等［8］指出这两个协议都存在隐私泄露问题，并提出了一个改进方案以克服文献［4-5］存在的安全问题。然而Deursen和Radomirovic［9］证明了Lee等提出的方案［8］无法抵制追踪攻击。之后Lee等［10］提出了三个新的基于ECC的RFID认证协议以克服先前方案的不足。不幸的是，Lv等［11］论证了这三个新方案仍然容易遭受跟踪攻击。Liao 和Hsiao［12］提出了一个高效的基于ECC的RFID认证协议，并证明所提协议能够抵御各种攻击。然而，对于文献［12］所提协议，最近Zhao［13］指出攻击者容易推演出标签的私钥。为解决上述方案存在的一系列安全缺陷，Zhao［13］以及He等［14］分别提出了两个基于ECC的改进RFID认证协议。在基于对称密码机制的协议设计方面，李荣荣等［15］基于Hash函数提出了一个可靠轻量级认证协议-DARAP，并论证了该方案可以抵御跟踪、去同步等众多攻击手段。

由于RFID标签成本较低，通常不具备抗破坏的能力，攻击者较容易破坏RFID标签并获取其存储的私钥信息。此外，阅读器和后台服务器通常被看作一个实体，并与互联网相连接。而在互联网中，充斥着大量的漏洞和黑客攻击，攻击者会攻陷后台服务器并获得其存储的整个系统的私密信息。虽然已经提出了众多安全高效的RFID认证协议，但是很少有方案考虑在标签或阅读器破坏条件下的前向安全性问题。当标签或者阅读器的密钥信息泄露后，前向安全性保障了密钥泄露前标签和阅读器认证信息的隐私安全。

文中关注标签或阅读器破坏条件下的满足前向安全的RFID认证协议。首先指出文献［13-14］所提协议分别不能提供标签破坏下的前向安全和阅读器破坏下的前向安全性，而文献［15］所提方案在不能抵御前向安全性的同时，也不能抵御阅读器和标签仿冒攻击。为了提高安全性，文中提出了改进的基于 ECC的RFID认证协议。通过对新协议的性能和安全性进行详细分析，新协议比文献［13-14］所提协议效率更优。

2 对三个RFID认证协议的安全分析

典型的RFID系统包括后台服务器、阅读器和标签。一般认为后台服务器和阅读器之间是安全信道，因此，后台服务器和阅读器通常被视为一个组件。本节对新近提出的三个基于ECC或Hash函数的RFID认证协议的安全性进行分析。首先给出使用的符号:

q:一个大素数;

G:椭圆曲线点构成的加法群，其阶为q;

P:G的一个生成元;

xT:标签的私钥;

ZT:标签的标识，ZT=xTP;

y:阅读器的私钥;

Y:阅读器的公钥，Y=yP;

r，k:两个随机数;

h():安全Hash函数，如MD5或SHA-1。

2.1 对Zhao提出协议的安全分析

Zhao［13］为了解决Liao和Hsiao提出的协议［12］中存在的安全问题，提出了一种新的基于ECC的RFID认证协议。新协议同样包括Setup阶段和Authentication阶段。

1)Setup阶段。在此阶段标签和阅读器生成各自的私钥和公钥。(1)阅读器生成随机数y∈Zq作为它的私钥，并计算公钥Y=yP。

(2)阅读器对每个标签选取不同随机数xT∈Zq作为此标签的私钥，并计算标签的公钥ZT=xTP。阅读器将(ZT，xT)存储在后台服务器中，标签则将(ZT，xT，Y)存储在其内存中。

2)Authentication阶段。

在此阶段阅读器和标签实现相互验证。如图1所示，认证过程描述如下。

(1)阅读器产生随机数r∈Zq，将C0=rP发送给标签。

(2)接收到 C0{ }后，标签首先生成随机数k∈Zq，计算C1=kP=(tx，ty);然后计算C2=(ktx)C0，C3= (kty)Y，C4=ZT+C2+C3;最后标签向阅读器发送消息{C1，C4}。

(3)当阅读器接收到{C1，C4}后，首先计算C2= (rtx)C1，C3=(yty)C1和ZT=C4-C2-C3。然后阅读器在数据库中搜索标签标识ZT。如果没有找到，阅读器将停止会话;否则，利用标签相应私钥xT，阅读器计算C5=xTC1+rZT。最后阅读器向标签发送消息{ C5}。

(4)接收到 {C5}后，标签检查C5是否等于kZT+ xTC0，如果不等，标签拒绝会话;否则阅读器就会被成功认证。

标签破坏下前向安全性使得攻击者即便获得了标签的密钥信息，也无法跟踪标签和阅读器之前的认证过程。在Zhao所提协议中，消息C5满足如下表达式:

C5=xTC1+rZT=xTC1+xTC0

如果攻击者破坏标签并提取标签的私钥xT和公钥ZT，那么他就可以通过检查等式C5=xT(C1+C0)是否成立来确定过去的认证会话信息(C0，C1，C4，C5)是否属于这个特定的标签。因此该协议很明显不能提供标签破坏下的前向安全性。

2.2 对He等提出协议的安全分析

和Zhao提出协议一样，He等提出的基于ECC的RFID认证协议［14］也分为Setup阶段和Authentication阶段。

1)Setup阶段。

在Setup阶段，阅读器和标签生成各自的私钥和公钥。此阶段细节描述如下:

(2)阅读器将标识ZT和公钥Y存储于标签的内存中。

2)Authentication阶段。

如图2所示，在认证阶段，阅读器和标签通过以下步骤实现相互认证:

(1)阅读器生成随机数r∈Z*q，计算并发送给标签消息C0=rP。

(2)标签选择一个新的随机数k∈Z*q，并计算C1=kP，C2=kY，C3=kC0，C4=(ZT+C2)⊕C3。标签向阅读器发送消息{C1，C4}。

(3)阅读器计算C2=yC1，C3=rC1，ZT=(C4⊕ C3)-C2，并在数据库中寻找ZT。如果没找到，阅读器会停止会话;否则标签被认证，阅读器计算并发送消息C5=(ZT+2C2)⊕(2C3)。

(4)标签验证(ZT+2C2)⊕(2C3)是否等于C5。如果不等，标签中断会话;否则阅读器被认证。

He等所提协议可以提供标签破坏下的前向安全。但是如果攻击者破坏阅读器，窃取了后台服务器存储的阅读器私钥y和标签标识ZT，那么他可以通过以下方式确定过去的认证会话消息(C0，C1，C4，C5)是否属于特定的标签:

攻击者首先计算C2=yC1，C3=C4⊕(ZT+C2)，C3'=C5⊕(ZT+2C2)，然后检查等式2C3=是否成立。如果成立，那么攻击者就可以确定此认证信息属于特定标签。因此该协议不能提供阅读器破坏下的前向安全性。

2.3 对李荣荣等提出协议的安全分析

基于Hash函数，李荣荣等提出了面向智慧园区的轻量级RFID安全认证协议-DARAP［15］，这里将阅读器和服务器统一成一个部件，所以省去了阅读器向服务器验证自己身份的部分。初始化阶段，标签和阅读器共享标签的真实ID标识xT和标签的假名P，以及安全的Hash函数h()。该协议的认证过程如下:

(1)阅读器首先生成并发送随机数 rR给认证标签。

(2)标签首先生成随机数rT，然后计算并发送rT，P，M:

S=h(P⊕xT)，M=h(rT⊕rR⊕P)⊕S

(3)阅读器利用假名P检索到标签的真实ID信息xT，然后判定M⊕h(rT⊕rR⊕P)是否等于h(P⊕xT);若不相等则结束认证，否则通过标签的认证，并在回送阅读器的认证消息N=h(M⊕S)后，更新标签的假名信息P。

(4)标签在验证N的正确性以后，对假名P进行更新。

李荣荣等所提协议采用的是对称密码体制，可以看出在标签或者阅读器遭受破坏的情况下，攻击者可以获知其所共享的所有秘密信息。虽然标签的假名信息会不时更新，但其真实ID信息xT作为固定秘密信息存在于标签中，从而使得攻击者可以跟踪之前的认证过程。故DARAP协议不能提供标签或阅读器破坏下的前向安全性。

此外，通过分析，攻击者可按如下方式仿冒阅读器的身份通过标签的认证:

(1)攻击者发送随机数信息rR给认证标签;

(2)当接收到标签的回送信息rT，P，M后，攻击者计算S=M⊕h(rT⊕rR⊕P)，并回送N=h(M⊕S)。

显然通过上述的攻击步骤所生成的消息N是正确的，也就是说攻击者可以正确地仿冒阅读器的身份来和标签交互。同样的，攻击者可以首先采用上述攻击方法仿冒阅读器获得标签的S信息，然后就可以仿冒合法的标签和阅读器进行交互。

3 改进的RFID认证协议

3.1 协议描述

为了解决以上三种协议出现的安全问题，提出了一种新的基于ECC的RFID认证协议。协议分成两部分，即Setup阶段和Authentication阶段。

1)Setup阶段。

在此阶段中，阅读器和标签共享一个抗碰撞的Hash函数h()，此外阅读器生成自己的私钥和公钥，还会生成每个标签的标识。

(1)阅读器选择一个随机数y∈Zq作为它的私钥并计算它的公钥Y=yP。

(2)阅读器选择随机点ZT∈Zq作为标签的标识，不同的标签对应不同的标识。然后阅读器将标签的标识和相关信息存入数据库，并将(ZT，Y)存入每个标签的内存。

2)Authentication阶段。

在此阶段实现阅读器和标签的互相认证。如图3所示，此阶段认证过程描述如下:

(1)阅读器生成随机数r∈Zq，计算并发送给标签消息C0=rP。

(2)收到消息 C0{ }后，标签首先生成随机整k∈Zq，然后计算C1=kP，C2=kY，C3=kC0，C4=ZT⊕h(C0，C1，C2，C3)，最后标签向阅读器发送消息{C1，C4}。

(3)收到{C1，C4}之后，阅读器首先需要计算C2=yC1，C3=rC1，ZT=C4⊕h(C0，C1，C2，C3)，然后阅读器在后台服务器中查找标签标识ZT。如果没有找到，阅读器结束会话;否则阅读器认定标签合法，计算并发送消息C5=h(ZT，C0，C1，C2，C3)给标签。

(4)标签接收到 C5{ }后，检查C5和h(ZT，C0，C1，C2，C3)是否相等。如果不等，标签拒绝会话;否则标签确定阅读器合法。

3.2 性能和安全分析

本节比较新协议与现有协议的性能开销，并给出新协议的安全性分析。

表1列出了新协议与两个最近提出的基于ECC 的RFID认证协议［13-14］的计算开销比较。其中TH，TA，TSM分别表示Hash函数运算、椭圆曲线点的加法运算和标量乘法运算。

根据Gódor等的报告［16］，标量乘法运算的运行时间大约是507次Hash函数运算的运行时间。通过表1的比较可以看出，新的改进协议需要更少的标量乘法运算，执行效率明显优于Zhao和He等所提协议。

安全的RFID认证协议应提供标签标识保密性、双向认证性、前向安全性、可扩展性，同时也应能抵抗重放攻击、标签仿冒攻击、阅读器仿冒攻击、克隆攻击和去同步攻击。下面进行详细说明。

(1)标签标识保密性。

标签的标识ZT隐藏于消息C4和C5中，其中:C4= ZT+h(C0，C1，C2，C3)，C5=h(ZT，C0，C1，C2，C3)。假设攻击者冒充阅读器选择随机数r∈Zq，将C0=rP发送给标签。没有阅读器的私钥y，由于计算Diffie-Hellman问题的困难性和Hash函数输出的随机性，攻击者无法计算C2=kY，所以攻击者不可能从C4或C5中得到ZT。因此改进的RFID认证协议能提供标签标识保密性。

(2)双向认证。

没有标签标识ZT，攻击者无法生成合法的消息{C1，C4}，其中，C1=kP，C2=kY，C3=kC0，C4=ZT⊕h(C0，C1，C2，C3)。这样阅读器就可以通过检查C4的正确性来认证标签。同样如果没有阅读器的私钥y，攻击者也无法获得标签的标识ZT或得到C2，因此攻击者就不能伪造一个合法的消息C5来通过标签验证。因此，改进的RFID认证协议可以提供标签和阅读器之间的相互认证。

(3)阅读器(标签)破坏下的前向安全性。

假设攻击者破坏了阅读器并得到了标签的标识ZT和阅读器的密钥y。对于过去的认证消息{C0，C1，C4，C5}，其中，C1=kP，C2=kY，C3=kC0，C4=ZT⊕h(C0，C1，C2，C3)，C5=h(ZT，C0，C1，C2，C3)。没有标签和阅读器选择的随机数r和k的值，由于计算Diffie-Hellman问题的困难性，攻击者无法计算出C3=krP，这样他就不能通过C4和C5确定这些消息是否属于特定的标签。因此提出的改进RFID认证协议能够提供阅读器(标签)破坏下的前向安全性。

(4)可扩展性。

根据协议描述，阅读器可以通过计算ZT=C4⊕h(C0，C1，C2，C3)直接得到标签的标识ZT，并不需要遍历整个后台服务器。因此，新的RFID认证协议可以提供可扩展性。

(5)抗重放攻击。

从新协议的描述中可以看出，阅读器和标签会在不同的认证会话中独立生成随机数r和k，因此在不同的认证会话中，C2=kyP和C3=krP至少有一个会产生变化，从而标签的认证消息C4和阅读器的认证消息C5在不同的会话中会相应不同。如果攻击者截获过去信息并冒充标签(阅读器)向阅读器(标签)重放，它不可能通过对方的认证。因此改进的RFID认证协议可以抗重放攻击。

(6)抗标签仿冒攻击。

当拦截了阅读器发送的消息 C0{ }后，如果攻击者要仿冒合法标签通过阅读器的认证，其需要生成合法的消息{C1，C4}，其中，C1=kP，C2=kY，C3=kC0，C4=ZT⊕h(C0，C1，C2，C3)。但是没有标签的合法标识ZT，攻击者无法生成有效的认证消息C4。因此，新的改进RFID认证协议可以抵抗标签仿冒攻击。

(7)抗阅读器仿冒攻击。

假设攻击者想仿冒阅读器通过标签的认证，如上所述没有阅读器的密钥y和标签的合法标识ZT，攻击者无法生成正确的认证消息 C5。因为，新提出的RFID认证协议能够抵抗阅读器仿冒攻击。

(8)抗克隆攻击。

在新提出的改进协议中，阅读器为每个标签生成不同的标识ZT，即使攻击者能够破坏某些标签并获得他们的标识，仍然无法通过这些已知的标识来推断其他标签的标识。因此，改进RFID认证协议能够抵抗克隆攻击。

(9)抗去同步攻击。

在新提出的改进协议中，阅读器和标签不需要更新他们的私钥信息，所以改进协议不会出现同步问题，自然新协议可以防御去同步攻击。

4 结束语

随着RFID技术在健康管理领域的广泛应用，RFID认证协议的设计受到越来越多的关注。虽然已经提出大量基于ECC或Hash函数的RFID认证协议，然而它们大多并没有考虑认证协议在标签或者阅读器破坏下的前向安全性。文中对新近提出的三种基于ECC或Hash函数的RFID认证协议的安全性进行了分析，分析结果表明Zhao提出的认证协议不能提供标签破坏下的前向安全性，He等提出的协议在阅读器被破坏时也不能提供前向安全，而李等所提方案不能抵御基本的阅读器和标签仿冒攻击。

为了克服现有协议安全性上的弱点，文中提出一种新的基于ECC的改进RFID认证协议。通过安全分析表明，新改进协议不仅可以抵抗被动和各种主动攻击，也能提供阅读器破坏下的前向安全性。通过性能分析表明，改进协议的计算消耗略明显少于Zhao和He等所提方案。因此，文中提出的改进RFID认证协议更适合于健康管理的应用。

［1］ Juels A.RFID security and privacy:a research survey［J］. IEEE Journal on Selected Areas in Communication，2006，24 (2):381-394.

［2］ Yen Y，Lo N，Wu T.Two RFID-based solutions for secure inpatient medication administration［J］.Journal of Medical Systems，2012，36(5):2769-2778.

［3］ Juels A，Rivest R L，Szudlo M.The blocker tag:selective blocking of RFID tags for consumer privacy［C］//Proc of 10th ACM conference on computer and communications security. New York:ACM，2003:103-111.

［4］ Tuyls P，Batina L.RFID-tags for anti-counterfeiting［C］// Proc of topics in cryptology.Berlin:Springer，2006:115-131.

［5］ Batina L，Guajardo J，Kerins T，et al.Public-key cryptography for RFID tags［C］//Proc of the 5th annual IEEE international conference on pervasive computing and communications workshops.New York:IEEE，2007:217-222.

［6］ Schnorr C P.Efficient identification and signatures for smart cards［C］//Proc of advances in cryptology.Berlin:Springer，1990:239-252.

［7］ Okamoto T.Provably secure and practical identification schemes and corresponding signature schemes［C］//Proc of advances in cryptology.Berlin:Springer，1993:31-53.

［8］ Lee Y K，Batina L，Verbauwhede I.EC-RAC(ECDLP based Randomized Access Control):provably secure RFID authenti-cation protocol［C］//Proc of the IEEE international conference on RFID.Las Vegas:IEEE，2008:97-104.

［9］ Deursen T，Radomirovic S.Untraceable RFID protocols are not trivially composable:attacks on the envision of EC-RAC［R］. Luxembourg:University of Luxembourg，2009.

［10］Lee Y，Batina L，Verbauwhede I.Privacy challenges in RFID systems［C］//Proc of the internet of things 2010.Berlin: Springer，2010:397-407.

［11］Lv C，Li H，Ma J，et al.Vulnerability analysis of elliptic curve cryptography-based RFID authentication protocols［J］.Transactions on Emerging Telecommunications Technologies，2012，23(7):618-624.

［12］Liao Y P，Hsiao C M.A secure ECC-based RFID authentication scheme integrated with ID-verifier transfer protocol［J］. Ad Hoc Networks，2014，18(7):133-146.

［13］Zhao Z.A secure RFID authentication protocol for healthcare environments using elliptic curve cryptosystem［J］.Journal of Medical Systems，2014，38(5):1-7.

［14］ He D B，Kumar N，Chilamkurti N，et al.Lightweight ECC based RFID authentication integrated with an ID verifier transfer protocol［J］.Journal of Medical Systems，2014，38(10):1-6.

［15］李荣荣，寇建涛，董 刚，等.面向智慧园区的RFID系统信息安全认证方案［J］.电信科学，2016，32(2):164-169.

［16］Godor G，Giczi N，Imre S.Elliptic curve cryptography based mutual authentication protocol for low computational capacity RFID systems-performance analysis by simulations［C］// Proc of the IEEE international conference on wireless communications，networking and information security.Beijing:IEEE，2010:650-657.

Forward Secure Authentication Protocol of RFID with Reader Corruption

WANG Shao-hui1，2，LIU Tian1，2，LI Jing1，2，XIAO Fu1，2
(1.College of Computer，Nanjing University of Posts and Telecommunications，Nanjing 210003，China; 2.Key Laboratory of Jiangsu High Technology Research for Wireless Sensor Networks，Nanjing 210003，China)

Radio Frequency Identification(RFID)is a wireless technology for automatic identification and data capture and is deployed as a dominant identification technology in a health care domain.Security and privacy issues in the RFID systems have attracted much attention，and many authentication protocols based on Elliptic Curve Cryptosystem(ECC)or Hash functions have been proposed to achieve the security and privacy goals，but seldom protocols have considered the forward security with tag or reader corruption，which can be viewed as the highest level of user privacy.Three recently protocols presented respectively suffer from the forward privacy problem with tag or reader corruption.To enhance the security，an improved efficient ECC-based RFID authentication protocol is put forward.A comprehensive analysis shows the new scheme can not only provide the strong forward security with reader corruption besides all the other security requirements，but also have more functionality in terms of computational cost.

RFID;lightweight mutual authentication;forward security;ECC

TP31

A

1673-629X(2016)09-0134-05

10.3969/j.issn.1673-629X.2016.09.030

2015-11-30

2016-03-03< class="emphasis_bold">网络出版时间:

时间:2016-08-23

国家自然科学基金资助项目(61373006，61373139);江苏省科技支撑计划基金项目(61003236);南京邮电大学校项目(NY214064，NY213036)

王少辉(1977-)，男，博士，副教授，研究方向为信息安全、密码学;刘 天(1984-)，男，硕士研究生，研究方向为信息系统的安全与隐私。

http://www.cnki.net/kcms/detail/61.1450.TP.20160823.1359.048.html