陈秀清　胡俊峰　马凯　袁洋　耿德勤　刘伟　朴雪　张红伟　朱婷婷　郝杰

[摘要] 为了满足医疗系统中RFID的低成本、可扩展、高效率和强隐私的要求，研究者进行了安全分析，并对协议的复杂度和各种攻击策略进行阐述，揭示现有協议的缺陷和不足。该研究提出一种适用于移动医疗的基于Hash运算的RFID双向认证协议，并证明了新协议具有强大的抗追踪能力。

[关键词] 无线射频识别；认证协议；追踪攻击

[中图分类号] R19 [文献标识码] A [文章编号] 1672-5654（2018）07（a）-0157-03

[Abstract] In order to meet the requirements of low cost， scalability， high efficiency and strong privacy of RFID in medical systems， the researchers conducted security analysis and elaborated the complexity of the protocol and various attack strategies to reveal the defects and shortcomings of existing protocols. This study proposes an RFID-based two-way authentication protocol based on Hash operation for mobile healthcare， and proves that the new protocol has strong anti-tracing capability.

[Key words] Radio frequency identification； Authentication protocol； Trace attack

移动医疗可以简化看病流程，由于超轻量级协议本质上仅针对秘密信息采取移位或异或等简单的操作，无法保证信息的完整性和真实性，因此基于Hash函数的中量级协议得到广泛重视。

一部分超轻量级RFID安全协议存在去同步化攻击，主要因为该类安全协议采用的是简单原语操作，比如与、或、异或、移位等简单原语操作。Mete等人于2016年提出的一种可扩展识别的RFID系统（TSI协议）[1]。可扩展性TSI协议的认证效率很高，满足医疗条件下的可扩展性高的要求，由于使用了PUF技术作为安全存储机制来保护标签的隐私，因此标签的设计成本要比KMAP协议稍微高，但是TSI协议在隐私保护中具有明显的优势。在保护标签隐私的RFID协议中，标签产生随机化的应答，第三方不能区分前后响应消息的关联关系。识别过程由于随机化的应答而变得更加复杂，标签的应答因每个阅读器查询而异。阅读器不知道哪个标签正在回答，因此对所有标签执行搜索操作以识别标签。阅读器必须通过对所有的标签进行线性搜索，直到找到匹配项，此时识别复杂度变为，是标签数量。Wu等人[2]发现ESAP协议很容易遭受计时攻击和假冒攻击，并且不适用于移动医疗环境。为了解决RFID中的识别复杂度高的问题，Molnar和Wagner引入了基于树形结构的方法[3]，在保护标签隐私同时能够降低识别复杂度。

该文针对适用于医用环境中的低成本中量级RFID的协议进行分析，并提出优化协议，再经模型分析证明提出协议的有效性。并通过形式化以及程序仿真等方法，证明了新协议具有更好的抵抗跟踪攻击的能力；同时证明了新提出的协议具有不可区分性和时间上的安全性，具有强隐私程度。

1 安全模型

基于Vaudenay模型[4]改进安全模型，可以访问以下预言机：CreateTag（ID），DrawTag（dist），Free （vtag），Launch（），SendReader（m，π），SendTag（m，T），Corrupt（vtag）。根据攻击者的能力，Vaudenay首次将攻击者依据能否查询Corrupt（vtag）预言机划分为弱，前向，破坏，强（Weak，Forward，Destructive，Strong）等4个能力等级。同时依据敌手能否查询Result（π）预言机将敌手能力分为窄（Narrow）和宽（Wide）两种敌手。该文协议中使用的符号和定义如表1所列。

2 基于Hash函数的RFID安全协议

基于Hash函数提出了具有较强隐私性的RFID安全协议，命名为HPAP协议（high privacy RFID authentication protocol，HPAP），认证协议描述如下。

服务器存放，（IDSinew，IDSiodl，ID，Stodl，Sinew），（RIDSinew，RIDSiodl，RID，Srodl，Srnew），阅读器存放（RIDSinew，RIDSiodl，RID，Srodl，Srnew），标签存放（IDSinew，IDSiodl，ID，Stodl，Sinew）。

HPAP协议交互次数较多，保证了强认证机制，具有如下特点：①服务器对标签和阅读器执行强认证机制，当阅读器和标签验证M2=M2'。如果不成立，协议终止。②阅读器提供其秘密值和更新操作，抵抗阅读器假冒攻击，利用flag机制表明密钥是否通过验证。见表2。

3 HAPA协议的安全分析

3.1 HPAP协议非形式化分析

①HPAP协议抵抗重放攻击。由于HPAP协议每次都更新密钥和假名，当攻击者重复一次协议交互的过程，相邻两次操作间不会发生重放攻击。

②HPAP协议抵抗追踪攻击。如果攻击者可以推断出假名，那么攻击者必须捕获标签的ID，由于有假名更新机制保障，并且攻击者无法根据上一次的假名推断出下一次交互假名。

③HPAP协议抵抗信息篡改攻击。假设攻击者修改了，M1由Hash函数的单向性，可以推导出服务器必然无法认证协议。

④HPAP协议抵抗去同步化攻击。假设M3消息被干扰，服务器完成密钥更新，由于此时所有flag=1，意味着密钥不同步，下一次交互数据库会使用旧密钥与标签交互，可以抵抗去同步化攻击。

3.2 HPAP协议比较分析

3.2.1 协议安全性比较 将HPAP方案与其他协议的安全性对比见表3。在协议[5]中指出协议[6-7]存在标签假冒攻击和异步攻击。在协议[5]中为了解决更新标签密钥机制中的随机数容易泄露的问题，使用二次剩余定理同步更新标签和新所有者的密钥，使得这类协议可以抵抗追踪攻击，但是仅有协议[5]能抵抗异步攻击和内部读卡器恶意攻击。该文为了解决更新标签密钥机制中的使用的随机数容易泄露的问题，提出HPAP协议，并证明新协议能抵抗标签假冒高级、抵抗异步攻击和抵抗追踪攻击。

3.2.2 协议性能比较 将HPAP协议与其他相关协议进行性能比较。

从表4可以总结出HPAP协议的后台和读卡器端的Hash运算比前两者协议少，从后台服务器计算代价和存储代价分析，HPAP协议的计算性能有更多的优势。

①后台服务器计算代价：为了实现后台服务器较低的计算代价，HPAP协议使用较少的哈希函数保证了协议的计算的高效性。

②存储代价：减少读卡器端的存储量会减少协议整体的计算量；在降低读卡器和标签存储空间的基础上实现更高的安全性能和隐私特性，提高读卡器的计算性能。

4 结语

提出的基于Hash函数的HPAP协议满足医疗环境中病人的隐私需求，并证明该协议可以抵抗标签假冒攻击，抵抗异步攻击，抵抗追踪攻击，抵抗重放攻击，抵抗信息篡改攻擊以及可以抵抗去同步化攻击。将来可以使用仿真软件对HPAP协议进行了仿真并对其抗跟踪能力进行Java程序测试，验证了HPAP协议具有较强的抗跟踪能力。

[参考文献]

[1] METE Akgün，MEHMET Ufuk ？觭a layan. Towards Scalable Identification in RFID Systems [M].Kluwer Academic Publishers，2016.

[2] WU Xiaoqin， Min Z，YANG X. Time-stamp based mutual aut-hentication protocol for mobile RFID system[M].Wireless and Optical Communication Conference IEEE，2013：702-706.

[3] MOLNAR David，WAGNER David. Privacy and security in library RFID： issues， practices， and architectures[J].Acm Conference on Computert & Communications Secvnity，2004：210-219.

[4] VAUDENAY Serge. On Privacy Models for RFID [M]. Lecture Notes in Computer Science， Springer Berlin Heidelberg， 2007：68-87.

[5] 陈秀清， 曹天杰， 翟靖轩.可证明安全的轻量级RFID所有权转移协议[J].电子与信息学报，2016，38（8）：2091-2098.

[6] DOSS Robin，ZHOU Wanlei. A secure tag ownership transfer scheme in a closed loop RFID system [C]//Proceedings of the Wireless Communications and Networking Conference Workshops（WCNCW）， Paris， 2012：164-169.

[7] DOSS Robin， ZHOU Wanlei，Yu Shui. Secure RFID tag ownership transfer based on quadratic residues[J].IEEE Transactions on Information Forensics and Security，2013，8（2）：390-401.

（收稿日期：2018-06-10）