黄可可 刘亚丽 殷新春

摘 要：针对目前无线射频识别（RFID）系统中阅读器与标签之间开放、不安全的无线信道易遭受恶意攻击的安全问题，提出一种基于位重排变换的超轻量级RFID双向认證协议——RRMAP。首先，位重排变换对两组二进制数组进行第一阶段逆序自组合变换达到自身位混淆效果;其次，将得到结果用于第二阶段奇偶相邻交叉异或操作，这样就完成了整个位重排变换;最后，通过新定义位重排变换操作，并结合左循环移位运算和模2的m次方加运算对认证过程中的秘密通信数据进行加密，可以有效解决目前RFID系统中存在的安全问题。BAN逻辑形式化安全性分析和性能对比分析表明：RRMAP具有比较完备的安全和隐私保护属性，能够抵抗RFID系统所面临的典型恶意攻击方式。

关键词：无线射频识别;位重排变换;超轻量级协议;双向认证;BAN逻辑

中图分类号： TP309.7

文献标志码：A

Abstract： Focusing on the problem that open and insecure wireless channel between reader and tag in Radio Frequency IDentification （RFID） system is vulnerable to multiple malicious attacks， a new ultra-lightweight RFID Mutual Authentication Protocol based on Regeneration （RRMAP） was proposed. Firstly， the regeneration transformation of the first-stage reverse sequence self-combination transformation on two binary arrays was performed to achieve its own bit confusion effect. Secondly， the result of first-stage was used for the second-stage parity adjacent crossover-XOR operation， thus whole regeneration transformation was completed. Finally， through new definition of regeneration transformation， the left circular shift operation and modular 2^m addition operation were combined to construct secret communication messages during authentication process， which could effectively solve security problems existing in RFID system currently. The BAN （Burrows-Abadi-Needham） logic formal proof was given to show the availability of protocol. The security analysis and performance comparison show that RRMAP has strong security and privacy protection attributes which can resist some common malicious attacks.

Key words： Radio Frequency IDentification （RFID）; regeneration transformation; ultra-lightweight protocol; mutual authentication; BAN （Burrows-Abadi-Needham） logic

0 引言

无线射频识别（Radio Frequency IDentification， RFID）技术是一种使用无线射频技术在开放环境下能够自动化识别物体和人等目标的技术。射频识别技术具有非接触性、可靠性高、认证方便快捷、防水、防磁、耐热、使用寿命长、接触距离远、记忆灵活等优点[1]。根据RFID标签的能量来源可分为有源标签和无源标签，标签自身是否携带电源决定了标签的工作方式。对于有源标签，支持标签内部计算等可以进行双向认证操作;对于无源标签，无法与阅读器进行主动通信认证，其能量由阅读器发送电磁信号提供，所以一般只作单向认证操作。RFID系统包含后端数据库、阅读器及标签三部分。后端数据库和阅读器之间的通信信道一般被认为是安全可靠的[2]。基于后端数据库和阅读器之间是一条安全的传输信道，一般认为二者为一体。阅读器和标签之间通过不安全的无线信道通信，所以在两端间交互传输的信息非常容易受到克隆攻击[3-4]、假冒窃听等各种各样的恶意攻击。RFID系统的安全性及信息隐私性受到极大威胁，在设计RFID通信协议时需要充分考虑通信的安全性及信息隐私的保护，如数据完整性、数据机密性、标签匿名性、不可追踪性等。针对RFID系统低成本标签受到计算能力、存储空间等诸多因素的限制，设计安全、高效、低成本的RFID认证协议是一个具有挑战性的课题[2]。

1 相关研究工作

目前针对RFID认证协议的相关研究，国内外的众多专家学者都做了大量的工作，文献[5]依据标签上的计算量和操作将RFID认证协议划分为4类：1）重量级认证协议，是指支持传统的对称加密算法、单向函数加密、非对称加密算法等，如文献[6-8]的认证协议。2）简单认证协议，是指支持伪随机数生成器和单向散列函数等，如文献[9-10]的认证协议。3）轻量级认证协议，是指需要伪随机数发生器和简单函数、CRC校验码函数等，如文献[11-14]的认证协议。4）超轻量级认证协议，是指仅需要简单的位运算操作（与、或、非、异或、移位等），如UMAP（Ultralightweight Mutual-Authentication Protocol）协议族[15-17]（LMAP（Lightweight Mutual Authentication Protocol）[15]、EMAP（Efficient Mutual-Authentication Protocol）[16]、M2AP（Minimalist Mutual-Authentication Protocol）[17]）、SASI（Strong Authentication and Strong Integrity）[5]协议、Gossamer[18]协议等。

对于超轻量级RFID认证协议，Peris-Lopez等2006年在文献[15-17]中提出一系列超轻量级认证协议（LMAP[15]、EMAP[16]、M2AP[17]），然而在这三个协议中只使用了简单的异或（XOR）、与（AND）、或（OR）和模2m加（mod 2m（+））运算。在文献[19-20]中证实这些协议存在的一些安全漏洞，不能抵抗主动和被动攻击。2007年Chien等在文献[5]中提出了一种新的位变换运算左循环移位操作Rot（X，Y）（将参数X左循环移动wht（Y）个比特位，其中wht（Y）是X二进制数组的汉明重量）的超轻量级协议SASI[5]协议。在文献[21]指出SASI[5]协议在对秘密信息生成时频繁使用了与（AND）运算和或（OR）运算，导致输出结果产生了很大的偏重性，标签的隐私性不强且易受跟踪攻击。在文献[21-24]中分析指出了SASI[5]协议的缺陷，如标签跟踪、非同步和密钥泄露，不能抵抗拒绝服务攻击和代数攻击等。文献[18]在SASI[5]协议安全隐患的分析下，引入了一种新的非线性的位变换运算MIXBITS函数，不使用导致输出结果有较大偏重的与（AND）运算和或（OR）运算，提出一个新的超轻量级认证协议Gossamer[18]协议，文献[25-26]指出Gossamer协议存在拒绝服务攻击隐患，且Gossamer协议在标签上的计算量和功耗很大，不满足低成本RFID标签的要求。文献[27]中提出一种基于Per运算的RAPP（RFID Authentication Protocol with Permutation）协议，文献[28]分析表明RAPP易受到去同步攻击，文献[29]中通过伪造、监听攻击，使其秘密信息全暴露。为了提高RFID系统的安全性，本文定义一种新的位重排变换运算，结合左循环移位（Rot（X，Y））运算和模2m加（mod 2m（+））运算提出一种新的RFID认证协议，称作RRMAP（RFID Mutual Authentication Protocol based on Regeneration）。

2 位重排变换

2.1 位重排变换的定义

首先对位重排变换运算进行定义，设X，Y，Z是三个都有L位的二进制数组（L为偶数），分别表示為：

的形式。位重排变换Reg（X，Y）的运算过程主要分为逆序自组合变换和相邻奇偶交叉异或变换两个阶段。

1）第一阶段：逆序自组合变换。

①开始前设置一个阈值，该阈值是判断每次是否继续分组的依据，若分组后小组的汉明重量除以2下取整wht（Xi）/2」的值依旧大于等于该阈值则继续迭代分组，直至分组后每个小组的汉明重量均小于该阈值则停止分组。直至分组后每个小组的汉明重量除以2下取整的值均小于该阈值则停止分组。

②二进制数组X进行逆序自组合变换，根据二进制数组X的汉明重量除以2下取整wht（Xi）/2」的值确定分组位置;得到分组位置后从二进制数值X的最高位根据数值0开始计数进行第一次分组，并且在分组后调换两个小组的顺序，即逆转两个小组顺序。

③完成第一次分组后分别计算分组后的每个小组的汉明重量，然后判断每个小组是否满足停止分组的条件，若每个小组的汉明重量除以2下取整wht（Xi）/2」的值不小于定义的阈值，则继续对不满足停止分组条件的小组再根据分组依据wht（Xi）/2」的值从最高位依据0计数定位分组。

④直至每个小组都满足自身的汉明重量除以2下取整wht（Xi）/2」的值小于设置的阈值，则停止分组。经过若干轮迭代分组后所有的小组满足其自身的汉明重量除以2下取整wht（Xi）/2」的值小于定义的阈值，则二进制数组X第一阶段逆序自组合变换结束，经过不断分组逆序交换位置得到重新排列的二进制数组记为X′。

对于二进制数组Y作同样逆序自组合变换，经过不断分组逆序交换位置得到重新排列的二进制数组记为Y′。

2）第二阶段：相邻奇偶交叉异或变换。

第二阶段相邻奇偶交叉异或变换在第一阶段的基础上进行变换运算。具体定义是将二进制数组X，Y在完成第一阶段逆序自组合变换得到的结果X′，Y′进行相邻奇偶交叉异或变换操作，运算过程是二进制数组X′的奇数位置上的数值和二进制数组Y′的偶数位置上的数值进行异或运算（⊕），得到的二进制数组Z的形式表示如下：

其中：

2.2 位重排变换具体运算过程的举例演示

为了便于理解位重排变换运算，演示一个示例说明。假设二进制数组X，Y的长度都为24位，具体数值如图1所示。

其中二进制数组X的汉明重量为wht（X）=11，二进制数组Y的汉明重量wht（Y）=13，设置阈值T=3。根据位重排变换运算Reg（X，Y）的定义，二进制数组X的第一阶段逆序自组合变换具体运算过程如图2所示;二进制数组Y的第一阶段逆序自组合变换具体运算过程如图3所示;完成第一阶段变换后的结果分别如图4～5所示;第二阶段的相邻奇偶交叉异或变换的具体运算过程如图6所示。

二进制数组Y的第一阶段逆序自组合变换具体运算过程：二进制数组X的第一阶段逆序自组合变换具体运算过程如图2。

二进制数组X，Y分别完成第一阶段逆序自组合变换后的结果表示为X′，Y′，具体数值如图4～5所示。完成第一阶段逆序自组合变换得到的结果X′，Y′将用于第二阶段的相邻奇偶交叉异或变换运算。

在图2和图3之间增加一句：二进制数组Y的第一阶段逆序自组合变换具体运算过程：二进制数组Y的第一阶段逆序自组合变换具体运算过程如图3。

根据位重排变换第二阶段相邻奇偶交叉异或变换的定义，在示例中的二进制数组X，Y长度均为L=24，而第一阶段变换只是进行位混淆置换操作，所以最终得到的二进制数组X′，Y′的长度也是L=24，那么Z的形式可以表示如下：

3.2 协议认证流程

RRMAP的整个认证过程可以分为4个阶段：1）初始化阶段;2）标签识别阶段;3）双向认证阶段;4）阅读器、标签更新阶段。具体流程如图7所示。

3.2.1 初始化阶段

该阶段是阅读器、标签数据的初始化阶段，将产生的密钥信息同步存储到合法的阅读器和标签。

3.2.2 标签识别阶段

1）该阶段阅读器和标签之间发生通信，而且是由阅读器主动发起，阅读器首先会向标签发送一个挑战信息，定义为“Query”，开始新的一轮认证周期。

2）标签在收到挑战信息后会对阅读器发送回应信息，回应信息为此标签的当前轮认证周期的标签假名IDS。

3）阅读器在收到标签回应的标签假名信息IDS后会在后端数据库中进行查询，如果是合法标签发送的回应信息IDS，则阅读器可以通过该标签发送来的IDS在后端数据库中查询到匹配的信息。RRMAP中具体匹配过程是后端数据库首先使用上一轮成功认证通信更新后的IDSnext进行匹配，若匹配成功则可以获取其对应密钥信息K（Knext1|Knext2|Knext3），并进入下一阶段双向认证阶段;如果阅读器接收的IDS在后端数据库中匹配IDSnext没有成功，则使用保留的上一轮认证通信的IDSold进行匹配，若IDSold匹配成功，则可以获取到IDSold相相对应的密钥信息K（Kold1|Kold2|Kold3）并继续下一阶段双向认证阶段;若经过两次匹配都没有成功，则终止认证，认为此标签为非法标签。

3.2.3 双向认证阶段

1）阅读器生成信息A、B。

在完成第二阶段标签认证阶段以后，阅读器通过伪随机数生成器（Pseudo-Random Number Generator， PRNG）生成两个96位随机数n1、n2。利用生成的伪随机数n1及相应密钥信息Ki，按信息A、B生成计算公式生成信息A、B，其中A=Rot（Reg（IDS，K1），K2）+n1，B=Reg（Rot（IDS，K2），n1+K1），发送信息A‖B给标签。

2）标签验证阅读器。

①标签在收到阅读器发送的信息A‖B后，首先拆分信息A‖B得到两个独立信息A、B，再根据信息A的生成計算公式进行反推提取出阅读器生成并隐藏的随机数。

②标签根据信息B的生成计算公式，利用随机数n1和标签存储的相应的密钥信息Ki生成标签端的信息B′=Reg（Rot（IDS，K2），n1+K1），通过比较接收到的信息B与标签生成的信息B′是否相等，来确认交互信息的传递过程中是否安全：如果标签生成信息B′和接收到阅读器发送的信息B相等（B′=B），则表示信息A‖B在传输过程中是安全的，其中隐藏的随机数n1也是安全传输的，此时标签认证阅读器合法，标签成功认证阅读器;如果标签生成信息B′和接收到阅读器发送的信息B不相等（B′≠B），则表示信息A‖B传输的过程中可能被攻击、篡改或阅读器不合法，即标签认证阅读器失败，认证通信过程终止。

③在标签成功认证阅读器后，根据信息C生成计算公式生成消息C，其中C=Reg（Rot（K1，ID），n1+K2），并将信息C发送给阅读器。

④阅读器接收到标签发送的信息C后，根据信息C的生成计算公式利用其存储的相关信息ni，Ki生成阅读器端的信息C′，其中C′=Reg（Rot（K1，ID），n1+K2），然后比较信息C′和接收到标签发送的信息C是否相等：如果阅读器的生成信息C′和接收到标签发送的信息C相等（C′=C），则表示信息C安全传输且认为标签合法，则阅读器成功认证标签;如果阅读器生成信息C′和接收到标签发送的信息C不相等（C′≠C），则表示信息C在传输过程中可能遭受攻击、篡改或者标签非法，即阅读器认证标签失败，认证通信过程终止。

3.2.4 阅读器、标签更新阶段

1）阅读器更新阶段。

阅读器和标签完成双向认证阶段后进入更新阶段，阅读器生成信息D、E，其中D=Rot（Reg（K3，n1），K2）+n2，E=Reg（Rot（K3，n1），n2+k1），连接合成信息D‖E并发送给标签，然后阅读器启动更新，进行阅读器更新。其中阅读器中更新的相关信息分别为：

2）标签再次验证阅读器。

①标签在接收到阅读器发送信息D‖E后，首先通过拆分信息D‖E得到两个独立的信息D、E，再根据信息D的生成计算公式反推提取出随机数n2。

②标签根据信息E的生成计算公式生成信息E′，其中E′=Reg（Rot（K3，n1），n2+K1），比较收到的信息E和生成的信息E′是否相等：若接收到的信息E和生成的信息E′相等（E′=E），则表示信息传输过程中安全，标签再次验证阅读器，并且确认阅读器已经启动更新，则标签也可以执行信息更新操作;若接收到的信息E和求得的信息E′不相等（E′≠E），则表示信息在传输中可能遭受攻击、篡改，标签不执行更新操作，认证终止。标签中更新的相关信息为：

阅读器和标签两端同步完成所有信息（IDS，K1，K2，K3，K4）的更新表示一个完整的认证周期完成。

4 BAN逻辑形式化分析和证明

本文采用BAN（Burrows-Abadi-Needham）逻辑分析方法对新提出来的RRMAP进行形式化证明。BAN逻辑是由Burrows、Abadi和Needham提出的基于信念的模态逻辑，其语法、推理步骤在文献[30]中有详细介绍。

BAN逻辑对协议进行形式化分析和证明，也就是通过BAN逻辑将协议用逻辑语言对协议的初始状态进行初始化假设，建立初始假设集合;将协议的实际传输消息转换为BAN逻辑能够进行识别的形式化公式，建立理想化协议模型;通过应用BAN逻辑中的相关推理法则对协议进行形式化分析，逐步推导最终判断协议是否能够达到期望的安全目标。本文协议的BAN逻辑形式化分析如下。

4.1 协议描述

协议的理想化模型如下：

在该协议模型中，消息M1、消息M2传输形式都是明文传输，在分析过程中不作分析。消息M5作用是标签用于确认阅读器已经成功认证通知标签启动更新，所以也不作安全分析。主要的安全分析工作是将消息M3和消息M4转换为形式化的语言并作安全分析。

密钥K（K1|K2|K3）是阅读器和标签的共享密钥，只有双方知道而攻击者无法获取到该密钥信息，所以假设P1、P2成立。IDS是阅读器和标签之间的共享秘密信息，虽然是明文传输但只是一个查询条件，在生成相关秘密信息时使用的都是自身存储的安全IDS，所以假设P3、P4成立。随机数ni是由随机数发生器在每一轮认证中不断更新产生，通过加密传输，阅读器和标签都相信其新鲜性，所以假设P5、P6、P7、P8成立。默认合法信息B由阅读器生成，标签相信阅读器对信息B有管辖权，信息C由标签生成，阅读器相信标签对信息C有管辖权，所以假设P9、P10成立。

4.3 协议证明的安全目标

5 安全性分析

本章将对所提出的新的认证协议对主动攻击、被动攻击等恶意攻击的抵抗能力及部分安全属性进行安全分析。

5.1 对恶意攻击抵抗能力的安全分析

5.1.1 抵抗位置跟蹤攻击

RRMAP对于标签的识别采用标签假名IDS，不使用标签的唯一静态标识ID，而标签假名IDS在经过一轮认证通信后会进行动态的更新，同时用于IDS更新的密钥信息K1、K2、K3以及随机数n1、n2在每一轮完整认证后也会进行更新。阅读器和标签之间通信交互的信息也是随机化的信息，攻击者不能从截获两端的通信交互信息来追踪定义标签，所以RRMAP能够较好地抵御恶意的位置追踪攻击。

5.1.2 抵抗伪造攻击

1）伪造标签。

攻击者通过杜撰一个密钥信息K′而假冒为一个合法的标签从而达到进行成功认证通信的目的。在RRMAP中，伪造标签收到合法阅读器发送交互信息A‖B后，从信息A中提取随机数n1，因为伪造标签的伪造密钥信息K′与合法阅读器K不同，所以伪造标签无法提出随机数信息n1，所以RRMAP能够抵御标签伪造攻击。

2）伪造阅读器。

攻击者通过伪造合法阅读器发送的信息A‖B来假冒合法阅读器。攻击者无法获取合法阅读器的密钥信息和随机数信息，所以发送的伪造信息A′‖B′和合法阅读器使用密钥信息和随机数生成的信息A‖B不同。当合法标签接收到假冒阅读器发送伪造信息A′‖B′后，从信息A′中提取随机数n1′，利用n1′计算信息B结果和接受接收的伪造信息B′不相等，即认证失败，所以RRMAP能够抵御阅读器伪造攻击。

5.1.3 抵抗去同步攻击

去同步攻击是一种主动的攻击方式，就是攻击者通过破坏阅读器和标签之间的消息的一致性，使两端信息失去同步性。去同步攻击有两种攻击方式：一种是对信息进行篡改，经过篡改的消息改变了原有信息意义，导致信息不一致而失去同步性;另一种方式是重传攻击，对通信认证中的消息进行重传攻击，中断信息的传递，从而使信息失去同步性。

在RRMAP的设计中，在后端数据库中对标签假名IDS和密钥信息K1、K2、K3都存储了两轮，即保留上一轮正常认证的相关信息IDSold、Kold1、Kold2、Kold3和更新后的相关信息：IDSnext、Knext1、Knext2、Knext3。如果遭受去同步攻击阅读器和标签两端信息更新不一致，当合法标签再一次认证时标签依旧使用未更新的信息进行认证，阅读器首先使用更新的信息IDSnext、Knext1、Knext2、Knext3进行匹配，若匹配失败则用存储的上一轮成功通信的相关秘密信息IDSold、Kold1、Kold2、Kold3进行匹配，则可成功认证，所以RRMAP能够抵御去同步攻击。

5.1.4 抵抗重放攻击

所谓重放攻击就是在阅读器和标签进行认证通信过程中，攻击者可以截获阅读器和标签之间的交互信息，再伪装成阅读器向标签重放信息或伪装成标签向阅读器重放信息。

在RRMAP中，每当成功进行一轮认证通信后，阅读器和标签对于共享密钥信息K1、K2、K3和共享标签假名都会进行同步更新，在更新中每轮新产生的随机数都会参与，即每一轮更新操作中的随机数n1、n2都不相同。对于攻击者截获前一轮的交互信息进行重放攻击均不会成功，所以RRMAP能够抵御重放攻击。

5.1.5 抵抗拒绝服务攻击

在目前的RFID认证协议中，大部分都是由阅读器发送挑战信息，开始新的一轮认证周期，对于这类RFID认证协议可能会遭受攻击者伪造并发送阅读器的挑战信息，造成标签无法响应合法阅读器的认证通信，或者攻击者截获终端标签发送的响应信息，造成合法阅读器无法收到合法标签的响应信号。攻击者可通过阻塞协议认证通信过程中的第三轮消息，即截获中断阅读器发送给标签的信息D‖E，造成阅读器和标签的更新失去同步，使得阅读器认证标签失败而不再响应标签消息。在RRMAP中由于阅读器保存两轮认证通信信息，所以可以抵抗拒绝服务攻击。

5.2 其他安全属性的分析

5.2.1 数据的完整性

RFID认证协议在认证周期中交互信息的数据完整性也就是信息发送端的数据可以安全完整地传输到信息接收端，在传输过程中若信息遭受篡改，信息接收端在收到信息后能够识别信息的完整性遭到破坏。在RRMAP中阅读器和标签之间进行认证交互的信息（A‖B，C，D‖E）都是经过随机数（n1，n2），共享密钥信息K（K1|K2|K3）以及标签假名IDS共同参与并多次变换的秘密信息，如果这些交互信息在传输过程中受到篡改，阅读器和标签都能够识别，所以RRMAP能够保证数据完整性。

5.2.2 数据的机密性

数据的机密性就是要求RFID认证协议所传输的交互信息在遭受攻击者截获后无法提取出相关的信息[31]。在RRMAP中，在每一轮认证期间所传输的交换信息（A‖B，C，D‖E）都是使用产生新的随机数（n1，n2），共享密钥信息K（K1|K2|K3）也是在更新后的密钥信息，标签假名IDS也是不断动态更新的。即使攻击者截获相关交互信息，在没有随机数信息、密钥信息的情况下也是无法破解出任何相关的秘密信息，所以，RRMAP能够保证数据机密性。

5.2.3 前向安全性

前向安全性是攻击者在获取到认证通信中一些交互信息后不能从中推导出之前正确的秘密信息。在RRMAP中，在每成功完成一次认证通信后，对于所有的秘密信息K（K1|K2|K3），IDS都会执行更新操作，并且每个秘密信息更新运算中都会有其他多个秘密信息的参与，这样更加保证每个秘密信息的随机性，所以，RRMAP能够保证认证通信的前向安全性。

5.2.4 双向认证性

阅读器和标签之间进行相互通信的前提条件就是双方都需要确认彼此是合法的，这样可以有效避免发生合法阅读器或者标签和非法标签或者阅读器之间进行非法通信，保证RFID系统的安全。在RRMAP中阅读器和标签是双向认证的，首先是标签对阅读器的认證，阅读器在双向认证阶段首先发生信息（A‖B），在信息A中阅读器隐藏随机数n1，而信息B的生成也有随机数n1的参与，标签在收到信息（A‖B）后，从信息A中提取随机数n1，并利用随机数n1和自身密钥信息生成信息B′，比较信息B和B′：若相等，则标签成功认证阅读器;否则认证阅读器失败认证终止。阅读器对标签的认证类似于标签对阅读器认证，接收到标签发送信息C后，利用自身密钥信息生成信息C′，比较信息C和C′：若相等，则阅读器成功认证标签;否则认证标签失败认证终止，所以RRMAP具有双向认证性。

5.2.5 标签匿名性和不可追踪性

在RRMAP中将标签的唯一静态标识ID没有明文传输而是加密传输，在标签识别阶段所使用的是标签假名IDS，并且IDS在每完成一轮认证通信后都会进行更新。即使攻击者截获认证通信的交互信息也无法获取到标签的ID，所以，RRMAP具有标签匿名性和不可追踪性。

6 性能分析

6.1 安全性对比分析

安全性对比分析主要从第5章介绍的RFID认证协议对多种恶意攻击的抵抗能力及部分安全属性的角度进行分析。

RRMAP安全性能比较如表2所示。

6.2 资源消耗对比分析

本节将从标签端的存储空间消耗、信息生成时的计算开销以及认证过程中的通信代价等三个方面对RRMAP进行性能分析和对比。其中RRMAP中存储及交互的相关信息的长度为L，L=96bit。

6.2.1 标签存储空间消耗

RRMAP的标签只要存储标签的唯一静态标识ID、用于标签识别的标签假名IDS以及协议认证过程中生成交互信息的密钥信息，标签总的存储空间消耗为4L。

6.2.2 计算开销

RRMAP中主要包含三种位运算方式，分别是位重排变换运算（Reg（X，Y））、左循环移位（Rot（X，Y））运算以及模2m加（mod 2m（+））运算，以上所述运算方式在低成本的标签上都可以进行有效的实现。

6.2.3 双向认证通信量

RRMAP是一种双向认证协议，在双向认证阶段首先是阅读器发送信息A‖B完成标签对阅读器的认证，接着标签向阅读器发送信息C完成阅读器对标签的认证，最后阅读器向标签发送信息D‖E完成进一步认证。在双向认证过程中总的通信量是5L。

RRMAP和部分经典的超轻量级RFID认证协议的资源消耗对比分析如表3所示。

RRMAP和部分经典的RFID认证协议安全属性、抵御多种恶意攻击等安全性的比较分析和标签在存储空间消耗、信息生成计算开销及双向认证总通信量等性能的比较分析结果如表2～3所示。分析比较结果表明：RRMAP能够保证认证通信过程中交互信息的数据机密性、数据完整性、标签匿名性、不可追踪性，能够抵御重放攻击、中间人攻击、伪造攻击、去同步攻击等多种恶意攻击方式，满足了RFID系统的安全和隐私需求;同时使用较少的存储空间和较低的计算成本，在双向认证的通信成本上作出少量牺牲以确保RFID安全认证的需求，因此更好地保证认证的安全，RRMAP整体满足低成本标签的需求。

7 结语

本文针对目前RFID系统中存在的安全问题，定义一种新的位重排变换Reg（X，Y），结合左循环移位Rot（X，Y）运算和模2m加（mod2m（+））运算，提出一种新的RFID认证协议——RRMAP。从安全性分析和性能分析结果来看，本文新提出的认证协议能够抵抗多种攻击，如位置跟踪攻击、伪造攻击、去同步攻击、拒绝服务攻击等多种恶意攻击方式，并且能够保证数据机密性、数据完整性、数据前向安全性，同时标签在存储空间消耗、信息生成的计算开销上都更有优势，双向认证的通信量上与同类RFID认证协议基本持平。通过BAN逻辑形式化推理证明表明本协议是安全的。RRMAP的整体设计满足RFID系统在低成本标签的认证要求。未来进一步研究内容：对于协议安全性需要使用形式化验证工具进一步证明;需要结合相关攻击模型进行模拟实验进一步验证协议的安全性。

参考文献 （References）

[1] 黄玉兰.物联网射频识别（RFID）核心技术详解[M].北京：人民邮电出版社，2010：11-12.（HUANG Y L， RFID Core Technology based on Internet of Things [M]. Beijing： Posts & Telecom Press， 2010：11-12.）

[2] 周永彬，馮登国.RFID安全协议的设计与分析[J].计算机学报，2006，29（4）：581-589.（ZHOU Y B， FENG D G. Design and analysis of RFID security protocol[J]. Chinese Journal of Computers， 2006， 29 （4）：581-589.）

[3] BU K， WENG M， ZHENG Y， et al. You can clone but you cannot hide： a survey of clone prevention and detection for RFID[J]. IEEE Communications Surveys & Tutorials， 2017， 19（3）：1682-1700.

[4] BU K， LIU X， LUO J， et al. Unreconciled collisions uncover cloning attacks in anonymous RFID systems[J]. IEEE Transactions on Information Forensics & Security， 2013， 8（3）：429-439.

[5] CHIEN H Y. SASI： a new ultralightweight RFID authentication protocol providing strong authentication and strong integrity[J]. IEEE Transactions on Dependable & Secure Computing， 2007， 4（4）： 337-340.

[6] LIU Y L， QIN X L， WANG C， et al. A lightweight RFID authentication protocol based on elliptic curve cryptography[J]. Journal of Computers， 2013， 8（11）：2880-2887.

[7] JUELS A， MOLNAR D， WAGNER D. Security and privacy issues in e-passports[C]// Proceedings of the First International Conference on Security and Privacy for Emerging Areas in Communications Networks. Piscataway， NJ： IEEE， 2005： 74-88.

[8] KINOSHITA S， OHKUBO M， HOSHINO F， et al. Privacy enhanced active RFID tag[EB/OL]. [2018-01-15]. http：//www.lbenchindia.com/finalyearprojectdatasheets/RFID%20TAG.pdf.

[9] MOLNAR D， WAGNER D. Privacy and security in library RFID： issues， practices， and architectures[C]// Proceedings of the 11th Association for Computing Machinery Conference on Computer and Communications Security. New York： ACM， 2004： 210-219.

[10] WEIS S A， SARMA S E， RIVEST R L， et al. Security and privacy aspects of low-cost radio frequency identification systems [C]// Proceedings of the First International Conference on Security in Pervasive Computing. Berlin： Springer， 2004： 201-212.

[11] CHIEN H Y， CHEN C H. Mutual authentication protocol for RFID conforming to EPC Class 1 Generation 2 standards [J]. Computer Standards & Interfaces， 2007， 29（2）： 254-259.

[12] NGUYEN DUC D， PARK J， LEE H， et al. Enhancing security of EPCglobal Gen2 RFID tag against traceability and cloning [C]// SCIS 2006： Proceedings of the 2006 Symposium on Cryptography and Information Security. Hiroshima： Institute of Electronics， Information and Communication Engineers， 2006： 97-97.

[13] GILBERT H， ROBSHAW M， SIBERT H. Active attack against HB+-a provably secure lightweight authentication protocol[J]. Electronics Letters， 2005， 41（21）：1169-1170.

[14] JUELS A. Strengthening EPC tags against cloning [C]// Proceedings of the 4th ACM Workshop on Wireless security. New York： ACM， 2005： 67-76.

[15] PERIS-LOPEZ P， HERNANDEZ-CASTRO J C， TAPIADOR J M E， et al. LMAP： a real lightweight mutual authentication protocol for low-cost RFID tags [C]// Proceedings of the 2nd Workshop on Radio Frequency IDentification Security. Graz： [s.n.]， 2006： 6.

[16] PERIS-LOPEZ P， HERNANDEZ-CASTRO J C， ESTEVEZ-TAPIA-DOR J M， et al. EMAP： an efficient mutual-authentication protocol for low-cost RFID tags [C]// Proceedings of the 2006 International Conferences on On the Move to Meaningful Internet Systems： AWeSOMe， CAMS， COMINF， IS， KSinBIT， MIOS-CIAO， MONET. Berlin： Springer， 2006： 352-361.

[17] PERIS-LOPEZ P， HERNANDEZ-CASTRO J C， ESTEVEZ-TAPIADOR J M， et al. M2AP： a minimalist mutual-authentication protocol for low-cost RFID tags [C]// Proceedings of the 2006 International Conference on Ubiquitous Intelligence and Computing. Berlin： Springer， 2006： 912-923.

[18] PERIS-LOPEZ P， HERNANDEZ-CASTRO J C， ESTEVEZ-TAPIADOR J M， et al. Advances in ultra-lightweight cryptography for low-cost RFID tags： gossamer protocol [C] // Proceedings of 9th International Workshop on Information Security Applications. Berlin： Springer， 2008： 56-68.

[19] CHIEN H Y， HUANG C W. Security of ultra-lightweight RFID authentication protocols and its improvements [J]. ACM Operating System Review， 2007， 41（2）： 83-86.

[20] LI T Y， WANG G L. Security analysis of two ultra-lightweight RFID authentication protocols [J]. IFIP International Federation for Information Processing， 2007， 232（5/6）：14-16.

[21] PHAN C W. Cryptanalysis of a new ultralightweight RFID authentication protocol—SASI[J]. IEEE Transactions on Dependable & Secure Computing， 2009， 6（4）：316-320.

[22] CAO T， BERTINO E， LEI H. Security analysis of the SASI protocol [J]. IEEE Transactions on Dependable and Secure Computing， 2009， 6（1）： 73-77.

[23] SUN H M， TING W C， WANG K H. On the security of Chiens ultra-lightweight RFID authentication protocol[J]. IEEE Transactions on Dependable and Secure Computing， 2011， 8（2）： 315-317.

[24] DARCO P， DE SANTIS A. On ultralightweight RFID authentication protocols[J]. IEEE Transactions on Dependable & Secure Computing， 2011， 8（4）：548-563.

[25] 彭朋，趙一鸣，韩伟力，等.一种超轻量级的RFID双向认证协议[J].计算机工程，2011，37（16）：140-142.（PENG P， ZHAO Y M， HAN W L， et al. Ultra-lightweight RFID mutual authentication protocol [J]. Computer Engineering， 2011， 37（16）：140-142.）

[26] FARZANEH Y， AZIZI M， DEHKORDI M， et al. Vulnerability analysis of two ultra lightweight RFID authentication protocols[J]. International Arab Journal of Information Technology， 2015， 12（4）：340-345.

[27] TIAN Y， CHEN G， LI J. A new ultralightweight RFID authentication protocol with permutation[J]. IEEE Communications Letters， 2012， 16（5）：702-705.

[28] LI W， XIAO M， LI Y， et al. Formal analysis and verification for an ultralightweight authentication protocol RAPP of RFID [C]// Proceedings of the 35th National Conference of Theoretical Computer Science. Berlin： Springer， 2017： 119-132.

[29] WANG S H， HAN Z J， LIU S J， et al. Security analysis of RAPP： an RFID authentication protocol based on permutation [EB/OL]. [2018-01-18]. https：//eprint.iacr.org/2012/327.pdf.

[30] 楊世平.安全协议及其BAN逻辑分析研究[D].贵阳：贵州大学.2007：54-73.（YANG S P. Analysis and research of security protocol with BAN logic[D]. Guiyang： Guizhou University， 2007：54-73.）

[31] 刘亚丽，秦小麟，王超.一种超轻量级RFID双向认证协议[J].计算机科学，2013，40（12）：141-146.（LIU Y L， QIN X L， WANG C. Ultralightweight RFID mutual-authentication protocol[J]. Computer Science， 2013， 40（12）：141-146.）