基于橢圓曲線零知識(shí)的RFID雙向身份認(rèn)證

王笑梅，張秋劍

上海師范大學(xué) 信息與機(jī)電工程學(xué)院，上海 200234

基于橢圓曲線零知識(shí)的RFID雙向身份認(rèn)證

王笑梅，張秋劍

上海師范大學(xué) 信息與機(jī)電工程學(xué)院，上海 200234

針對(duì)RFID系統(tǒng)中標(biāo)簽與讀寫器的攻擊，從攻擊方式來看，主要有兩種形式：一是直接攻擊，利用電子通信對(duì)RFID系統(tǒng)的不同物理位置實(shí)施攻擊。如拒絕服務(wù)攻擊（DoS），攻擊者可以通過一些射頻信號(hào)裝置短時(shí)間內(nèi)向讀寫器端發(fā)送大量數(shù)據(jù)信號(hào)，導(dǎo)致RFID系統(tǒng)被大量的信號(hào)所淹沒，使系統(tǒng)喪失處理正常數(shù)據(jù)的能力，陷入停滯狀態(tài)[1]。另一種是身份欺騙攻擊，電子標(biāo)簽是存儲(chǔ)一定數(shù)據(jù)的信息源，與社會(huì)工程學(xué)相關(guān)的安全威脅會(huì)被黑客或者攻擊者利用，成為新型的信息化犯罪。從攻擊實(shí)施的位置上看，可以通過造標(biāo)簽，欺騙讀寫器，從而將非法數(shù)據(jù)信息送入系統(tǒng)；也可以通過偽造讀寫器，在用戶不被覺察的情況下讀取用戶的標(biāo)簽信息，竊取用戶隱私；還可以通過射頻設(shè)備在空中截獲標(biāo)簽與讀寫器之間的通信，從而利用這些設(shè)備偽造讀寫器或者電子標(biāo)簽，展開數(shù)據(jù)攻擊、病毒攻擊、ONS攻擊等多種具體的入侵方法。本文設(shè)計(jì)的認(rèn)證方案主要用于對(duì)抗第二種形式的攻擊，即身份欺騙攻擊，其主要形式有[1]：

（1）嗅探：攻擊者可以竊聽標(biāo)簽與讀寫器之間的通信，獲取其中有用的信息和數(shù)據(jù)。這種竊取信息的行為可能不被RFID系統(tǒng)和用戶所覺察。

（2）標(biāo)簽追蹤：電子標(biāo)簽中常存儲(chǔ)機(jī)要的或者個(gè)人隱私的信息，攻擊者可以利用RFID便攜設(shè)備，在用戶不知情的條件下，查詢用戶的電子標(biāo)簽，從而非法獲取用戶數(shù)據(jù)，并可與個(gè)人身份或攜帶標(biāo)簽的物體位置相關(guān)聯(lián)。

（3）重播攻擊：攻擊者可以使用RFID中繼設(shè)備截獲RFID信號(hào)，將其中的數(shù)據(jù)保存下來，并不斷重復(fù)地發(fā)送給讀寫器。由于這些數(shù)據(jù)是真實(shí)有效的，所以系統(tǒng)就會(huì)以正常接收的方式處理這些數(shù)據(jù)。

（4）篡改信息：攻擊者通過獲取到的標(biāo)簽數(shù)據(jù)，利用空白或可擦寫的標(biāo)簽制造“真實(shí)的”RFID標(biāo)簽，將一些非法信息寫入標(biāo)簽內(nèi)；或者直接修改某個(gè)非法獲得的標(biāo)簽上信息，然后用篡改后的標(biāo)簽訪問讀寫器，從而攻擊RFID系統(tǒng)。

1 相關(guān)協(xié)議分析

RFID系統(tǒng)中，電子標(biāo)簽具有一定的數(shù)據(jù)存儲(chǔ)和處理能力，可以進(jìn)行數(shù)據(jù)加密、數(shù)字簽名、身份認(rèn)證等應(yīng)用。其自身存在存儲(chǔ)容量和計(jì)算速度限制的特點(diǎn)，且被動(dòng)標(biāo)簽電源供給有限。隨著RFID系統(tǒng)應(yīng)用越來越廣泛，很多電子標(biāo)簽中存儲(chǔ)信息的敏感度以及安全性要求較高，所以，在設(shè)計(jì)安全協(xié)議時(shí)要做到低成本、低功耗、輕量級(jí)，在選擇加密體制時(shí)應(yīng)根據(jù)上述特點(diǎn)選擇較為適合的加密算法。

隨著RFID技術(shù)的發(fā)展，國內(nèi)外學(xué)者已提出了許多安全協(xié)議，包括基于對(duì)稱加密體制的認(rèn)證協(xié)議[2-6]。主要有哈希函數(shù)或AES算法的協(xié)議，例如文獻(xiàn)[2]提出的基于哈希函數(shù)的認(rèn)證協(xié)議，在每次通信時(shí)閱讀器都生成一個(gè)隨機(jī)數(shù)r，與標(biāo)簽ID的更新相結(jié)合，可以防止重放攻擊和位置檢測(cè)，但一個(gè)會(huì)話如果被非法終止，容易導(dǎo)致標(biāo)簽的位置檢測(cè)攻擊與ID更新非同步攻擊，且不能有效防止假冒攻擊。這些基于對(duì)稱加密體制的協(xié)議較簡(jiǎn)單，能滿足RFID標(biāo)簽有限存儲(chǔ)空間和計(jì)算能力的特性，以確保RFID標(biāo)簽的低成本，但現(xiàn)在很多RFID應(yīng)用需要能確保更高的安全等級(jí)。近年來，RFID的運(yùn)算能力越來越強(qiáng)，公鑰計(jì)算的復(fù)雜性已不再成為瓶頸。基于公鑰密碼體制的安全協(xié)議在RFID技術(shù)的研究和應(yīng)用中越來越廣泛。然而一些知名的公鑰加密算法密鑰長(zhǎng)度太大，運(yùn)算代價(jià)太高，因而部分研究者將注意力轉(zhuǎn)向橢圓曲線加密技術(shù)（Elliptic Curves Cryptosystems，ECC）。

ECC是利用有限域上的橢圓曲線有限群代替基于離散對(duì)數(shù)問題密碼體制中的有限循環(huán)群后得到的一類密碼體制。與其他公鑰算法相比，ECC有非常大的優(yōu)越性[7]：抗攻擊性強(qiáng)，相同的密鑰長(zhǎng)度，其抗攻擊性要強(qiáng)很多倍；存儲(chǔ)空間占用小，其密鑰長(zhǎng)度和系統(tǒng)參數(shù)比RSA、DSA要小得多；帶寬要求低，尤其應(yīng)用于短消息加解密時(shí)；計(jì)算量小，處理速度快，總的速度比RSA要快得多，如在一定的相同計(jì)算資源條件下，160 bit的ECC算法的簽名時(shí)間為3.0 ms，密鑰對(duì)生成時(shí)間為3.8 ms，而1 024 bit的RSA算法卻分別高達(dá)228.4 ms和4 708.3 ms，且隨著密鑰長(zhǎng)度的增加，ECC存儲(chǔ)空間較小的優(yōu)勢(shì)會(huì)愈加明顯。因此，ECC特別適用于在計(jì)算能力和存儲(chǔ)空間上都有局限性的RFID系統(tǒng)。

基于ECC的認(rèn)證協(xié)議主要有文獻(xiàn)[8-12]。文獻(xiàn)[8]中介紹了基于有限域GF(2n)上的橢圓曲線的硬件實(shí)現(xiàn)，為了達(dá)到面積小和速度快的目標(biāo)，設(shè)計(jì)中采用Montgomery階梯算法來進(jìn)行橢圓曲線上點(diǎn)的計(jì)算，以節(jié)省存儲(chǔ)空間；同時(shí)由于采用了射影坐標(biāo)，使得整個(gè)過程只需要在讀寫器上進(jìn)行一次模逆計(jì)算，從而大大提高了速度，但其不具有向前安全性。文獻(xiàn)[9]利用修正的橢圓曲線數(shù)字簽名算法實(shí)現(xiàn)讀寫器和標(biāo)簽之間的簽名和驗(yàn)證，提供一個(gè)雙向身份驗(yàn)證協(xié)議。文獻(xiàn)[10]提出的是基于ECC的ASPECΤ協(xié)議，該協(xié)議具有一定高效性，但也不具備向前安全性。文獻(xiàn)[11]提出的是基于ECC的ASK協(xié)議，該協(xié)議存在已知密鑰攻擊缺陷，甚至不能完成相互認(rèn)證，用戶身份的保密性也存在問題。文獻(xiàn)[12]介紹了一個(gè)近似橢圓曲線運(yùn)算器，并提出了基于Okamoto的標(biāo)簽認(rèn)證協(xié)議并進(jìn)行性能分析。

本文在橢圓曲線加密體制的基礎(chǔ)上，引入零知識(shí)身份證明思想，提出了一種基于橢圓曲線零知識(shí)的雙向認(rèn)證協(xié)議，具有更高的安全性和效率，能夠較好地防御各種身份欺騙攻擊，保障通信的安全與隱秘。

2 基本原理

2.1 橢圓曲線加密體制的基本原理

橢圓曲線密碼體制是在各種涉及有限域乘法群的公鑰密碼體制中，用有限域上的橢圓曲線構(gòu)成的群來類比有限域上的乘法群，從而獲得類似的公鑰密碼體制。這類體制的安全性是基于橢圓曲線離散對(duì)數(shù)問題（ECDLP）求解的困難性。從而引出橢圓曲線密碼技術(shù)的核心，由有限域上橢圓曲線的點(diǎn)所構(gòu)成的Abel群的離散對(duì)數(shù)問題。

2.2 零知識(shí)協(xié)議的基本原理

零知識(shí)證明是指證明者（prover）在不泄露任何信息的情況下向驗(yàn)證者（verifier）證明自己知道秘密。假設(shè)證明者P擁有秘密S，并需要向驗(yàn)證者V證明。V首先向P發(fā)送若干問題中的一個(gè)，問題只能夠P回答，而且問題只是與S相關(guān)，在一定程度上并不泄露任何關(guān)于S的信息；P收到后，向V發(fā)送這個(gè)問題的答案；然后V繼續(xù)選取問題向P發(fā)送；以上過程重復(fù)n次，全部成功即可證明P擁有S。在這個(gè)過程中，為了做到不泄露任何與秘密相關(guān)的信息，V與P之間安全連續(xù)的信息交換主要依靠選取隨機(jī)數(shù)值[13]。

在V與P通過通信信道連續(xù)的信息交換過程中，如果攻擊者采用偷聽的方式，那么他一次獲得的信息只可能是某一次的問題，或者答案。因?yàn)檎J(rèn)證過程是隨機(jī)的，所以獲得的信息不能幫助他來完成對(duì)RFID系統(tǒng)欺騙[3]。

3 雙向身份認(rèn)證協(xié)議的設(shè)計(jì)

任何一種通過對(duì)閱讀器與標(biāo)簽的身份欺騙攻擊，都是為了間接攻擊RFID系統(tǒng)。其實(shí)質(zhì)都是對(duì)標(biāo)簽和讀寫器某一方的仿冒，然后對(duì)另一方進(jìn)行身份欺騙，從而獲得身份認(rèn)定，進(jìn)入RFID系統(tǒng)內(nèi)部。本文將橢圓曲線加密體制與零知識(shí)證明身份認(rèn)證機(jī)制兩者有機(jī)集合，設(shè)計(jì)出一種對(duì)標(biāo)簽與閱讀器雙方都做身份鑒別的雙向認(rèn)證協(xié)議，該協(xié)議將應(yīng)用于低成本的無源電子標(biāo)簽RFID環(huán)境中。

3.1 橢圓曲線有限域的選取

通過橢圓曲線定義和點(diǎn)群運(yùn)算法則可知，不同特征值決定不同的有限域，不同的有限域上有各自通用的算法，所提供的運(yùn)算性能各有長(zhǎng)短。根據(jù)NISΤ規(guī)范，常用在加密體制中應(yīng)用的有限域是大素?cái)?shù)域GF(q)和特征2域GF(2m)。由于RFID系統(tǒng)對(duì)計(jì)算量、處理速度、存儲(chǔ)空間、安全性等特殊要求，GF(2m)更適合Τag-reader間的加密、解密，且GF(2m)作為二進(jìn)制域更有利于在RFID硬件系統(tǒng)中快速實(shí)現(xiàn)。

3.2 橢圓曲線的參數(shù)

設(shè)計(jì)算法的第一步是對(duì)橢圓曲線相關(guān)參數(shù)的選取。橢圓曲線密碼體制的系統(tǒng)參數(shù)為[13]：

為求解上述橢圓曲線離散對(duì)數(shù)問題，實(shí)現(xiàn)高效安全的加密機(jī)制，必須對(duì)這些參數(shù)作特殊限制：

（1）有限域GF(q)，由于有限域選擇GF(2m)，q=2m，m為正整數(shù)。

（2）參數(shù)a和b，定義GF(q)上橢圓曲線E，即Y2=X3+aX+b(p＞3)或Y2+XY=X3+aX+b(p=2)（由于特征值為3時(shí)有限域上的橢圓曲線在密碼體制中的實(shí)現(xiàn)不具有實(shí)際意義，因此將忽略該種形式的曲線）。

（3）P表示基點(diǎn)，n為素?cái)?shù)是P的階。

（4）h是余因子，等于橢圓曲線的階除以n的商(h=E(Fq)/n)。

（5）f(x)為次數(shù)為m的不可約二進(jìn)制多項(xiàng)式，定義了有限域的域多項(xiàng)式。

在設(shè)計(jì)加密機(jī)制時(shí)，通過對(duì)橢圓曲線參數(shù)的選取，從而確定一條最佳橢圓曲線和基點(diǎn)。然而，確定具有素?cái)?shù)階為n的基點(diǎn)P，最為困難和耗時(shí)[13]。

3.3 核心算法的設(shè)計(jì)

在RIFD系統(tǒng)中，標(biāo)簽與讀寫器的雙向認(rèn)證需要數(shù)據(jù)庫存儲(chǔ)標(biāo)簽的動(dòng)態(tài)ID值和橢圓曲線點(diǎn)，每次對(duì)標(biāo)簽認(rèn)證成功后，數(shù)據(jù)庫更新ID值和橢圓曲線點(diǎn)兩部分值，為下次認(rèn)證做準(zhǔn)備。在識(shí)別標(biāo)簽之前，首先要對(duì)讀寫器的身份進(jìn)行鑒別：

（1）系統(tǒng)初始化。此步驟主要完成參數(shù)選取，密鑰生成等工作：

①根據(jù)3.2節(jié)的相關(guān)介紹，在有限域GF(2m)上確定橢圓曲線E(Fq)。

②在區(qū)間[ ] 1，n-1中隨機(jī)選取整數(shù)X，作為私鑰。

③根據(jù)基點(diǎn)P，計(jì)算點(diǎn)Y=XP，Y為公鑰；利用離散對(duì)數(shù)問題的求解困難性，由私鑰計(jì)算公鑰，保證了在已知公鑰Y的情況下不能求出私鑰X。

④在E(Fq)上為每個(gè)標(biāo)簽Ti選取橢圓曲線上一點(diǎn)，Ti每次被讀取后，更換新的點(diǎn)。

⑤將私鑰X保密，將公鑰Y公開。

（2）讀寫器身份認(rèn)證。為了不使系統(tǒng)中出現(xiàn)仿冒的讀寫器，在對(duì)標(biāo)簽身份驗(yàn)證之前，先對(duì)讀寫器進(jìn)行身份認(rèn)證：

①讀寫器在區(qū)間[1 ，n-1]中隨機(jī)選取整數(shù)R1，計(jì)算Q=R1P，并發(fā)送Q給標(biāo)簽。

②標(biāo)簽選取一個(gè)隨機(jī)數(shù)R2(R2≥1)，發(fā)送給讀寫器。

③讀寫器計(jì)算V=R1+R2X，并發(fā)送給標(biāo)簽。

④標(biāo)簽計(jì)算VP是否等于R2Y+Q，若相等，則讀寫器身份有效，否則讀寫器身份無效。

讀寫器身份認(rèn)證過程，如圖1所示。

圖1 讀寫器身份認(rèn)證過程

（3）標(biāo)簽身份認(rèn)證。為了防止同一個(gè)標(biāo)簽被系統(tǒng)破壞者再次讀取，標(biāo)簽Ti的曲線點(diǎn)用表示的坐標(biāo)，在每次被成功讀取后生成新的點(diǎn)每次驗(yàn)證Ti時(shí)，Ti根據(jù)計(jì)算動(dòng)態(tài)ID編號(hào)，用表示，其中j表示Ti被j次讀取。標(biāo)簽Ti身份認(rèn)證的步驟：

①在讀寫器認(rèn)證成功后，Ti根據(jù)，計(jì)算=，并發(fā)送給讀寫器。

②Ti計(jì)算=，作為新的橢圓曲線點(diǎn)，替換存儲(chǔ)。

③系統(tǒng)將讀寫器接收到的與后臺(tái)數(shù)據(jù)庫中存儲(chǔ)的ID值作匹配，若匹配成功，則證明標(biāo)簽身份有效，否則認(rèn)證失敗。

標(biāo)簽身份認(rèn)證過程，如圖2所示。

4 性能分析

4.1 效率分析

圖2 標(biāo)簽身份認(rèn)證過程

硬件資源占用方面，普通的被動(dòng)標(biāo)簽中一般擁有15 000個(gè)邏輯門[14]，m=137的特征2域GF(2137)，只需使用10 000個(gè)邏輯門。標(biāo)簽中用于產(chǎn)生R2的隨機(jī)數(shù)發(fā)生器僅需要幾百個(gè)邏輯門。然而在Hash鎖協(xié)議中，一個(gè)Hash函數(shù)單元就需要17 000個(gè)邏輯門。

運(yùn)算復(fù)雜度方面，該協(xié)議的認(rèn)證過程中只使用到簡(jiǎn)單的矩陣運(yùn)算、橢圓曲線的點(diǎn)群運(yùn)算、異或運(yùn)算和隨機(jī)數(shù)的產(chǎn)生，沒有復(fù)雜的指數(shù)運(yùn)算。Karthikeyan[15]等提出了一種簡(jiǎn)單加密技術(shù)的安全認(rèn)證協(xié)議，實(shí)現(xiàn)比較容易，也只涉及異或和矩陣運(yùn)算操作等簡(jiǎn)單邏輯運(yùn)算，但是存在重放攻擊，不能保證不可追蹤性等問題。Chien[15]等在EPC-C1G2標(biāo)準(zhǔn)下提出了一個(gè)讀寫器和標(biāo)簽相互認(rèn)證的安全協(xié)議，協(xié)議只涉及XOR、CRC和PRNG等簡(jiǎn)單邏輯運(yùn)算，且每次認(rèn)證后都對(duì)數(shù)據(jù)庫和標(biāo)簽進(jìn)行秘密信息同步更新，但協(xié)議存在讀寫器和標(biāo)簽假冒以及去同步化攻擊的安全缺陷。密鑰為160 bit的橢圓曲線加密計(jì)算一次需要3.69 ms[16]，m= 137的特征2域GF(2137)密鑰長(zhǎng)度為137 bit，計(jì)算一次需要3.16 ms。在雙向驗(yàn)證過程中的三次點(diǎn)乘法運(yùn)算時(shí)間為1.53 s[17]，由于點(diǎn)乘運(yùn)算可以和認(rèn)證信息傳輸同時(shí)進(jìn)行，所以整個(gè)運(yùn)算時(shí)間為0.91 s，運(yùn)算速度較快。

通信時(shí)間則取決于協(xié)議中讀寫器和標(biāo)簽交換的認(rèn)證信息長(zhǎng)度。每次傳輸?shù)恼J(rèn)證消息量最多為420位（包括用戶標(biāo)識(shí)和加密消息），這比以往提出的消息交換量都小（Beller-Chang-Yacobi使用8 320位，Aziz-Diffie使用8 680位，M.Aydos使用1 602位）。在使用普通被動(dòng)標(biāo)簽的RFID系統(tǒng)中，Τag-reader通信信道的波特率一般在520～640 bit/s，假定波特率為520 bit/s的情況下，完成雙向身份認(rèn)證(send(Q，R2，V))的傳輸時(shí)間為0.8 s，可以滿足RFID系統(tǒng)對(duì)帶寬的限制。若該RFID系統(tǒng)中使用100萬個(gè)標(biāo)簽，根據(jù)防碰撞算法，位數(shù)為48 bit可將沖突降低到1%，其傳輸時(shí)間為0.09 s。從低成本電子標(biāo)簽的角度分析，該協(xié)議的硬件消耗和運(yùn)算復(fù)雜度適當(dāng)，運(yùn)行效率較高。

4.2 安全性分析

本文提出的認(rèn)證協(xié)議具有一定的前向安全性和抗攻擊性，對(duì)身份欺騙類型的幾種典型攻擊都具有一定的防御能力，可以保障通信的安全與隱秘。

雙向可認(rèn)證性：本文提出的協(xié)議是一種雙向認(rèn)證協(xié)議，強(qiáng)調(diào)被驗(yàn)證雙方都必須提供完整的有效驗(yàn)證信息，標(biāo)簽認(rèn)證讀寫器身份過程中的核心是計(jì)算VP是否等于R2Y+Q：

本協(xié)議中零知識(shí)證明只需一次驗(yàn)證，就可取得有效信息，無需將驗(yàn)證步驟重復(fù)n次以達(dá)到可信度[12]。

零知識(shí)性：任何一種基于身份欺騙的攻擊，主要前提是攻擊者對(duì)驗(yàn)證信息的獲取。如果攻擊者采用竊聽設(shè)備接收通信信號(hào)，驗(yàn)證信息的零知識(shí)性使得這些信息對(duì)其毫無用處，無論是(Q，R2，V)，還是動(dòng)態(tài)ID，都沒有泄露任何有用信息，大大降低了嗅探所能造成的破壞。

求解復(fù)雜性：攻擊者利用RFID便攜設(shè)備跟蹤標(biāo)簽時(shí)，標(biāo)簽首先驗(yàn)證該設(shè)備的身份，則該設(shè)備必須具有私鑰X，若沒有X，攻擊者通過截取到的Y和P求算私鑰X的困難性等同于基于橢圓曲線離散對(duì)數(shù)問題求解的困難性。

不可轉(zhuǎn)讓性：在讀寫器驗(yàn)證階段，交互雙方傳輸?shù)男畔?Q，R2，V)是由認(rèn)證方產(chǎn)生的隨機(jī)數(shù)或者通過隨機(jī)數(shù)計(jì)算出的結(jié)果，由于標(biāo)簽每次隨機(jī)產(chǎn)生R2值都不一樣，這樣攻擊者所截取的一次認(rèn)證中交換的全部信息重放到讀寫器端時(shí)，讀寫器通過V=R1+R2X的計(jì)算可發(fā)覺重播攻擊。

前向安全性：篡改標(biāo)簽需要有效的橢圓曲線點(diǎn)，用于求出動(dòng)態(tài)ID鑒別標(biāo)簽身份，前提首先是使用RFID設(shè)備讀取有效標(biāo)簽。然而在標(biāo)簽身份證明過程中引入動(dòng)態(tài)ID的方式，實(shí)現(xiàn)標(biāo)簽和數(shù)據(jù)庫中該標(biāo)簽的橢圓曲線點(diǎn)在每次雙向驗(yàn)證成功后同步更新。所以即使當(dāng)前標(biāo)簽的ID被非法獲取，標(biāo)簽以前的通信信息仍然無法獲得，使得仿造或篡改標(biāo)簽不具備新的身份認(rèn)證信息。

對(duì)于有代表性的基于ECC的各種認(rèn)證協(xié)議在安全性上的對(duì)比結(jié)果如表1所示。可見本文所提協(xié)議在安全性上可以抵制前面分析中所提及的身份欺騙攻擊中的各種形式。從以上的比較研究中可知，本文的協(xié)議有很好的安全性和抗攻擊性，且具有較好的實(shí)現(xiàn)效率和實(shí)現(xiàn)成本，更適合于RFID系統(tǒng)。

表1 各協(xié)議安全性對(duì)比

5 結(jié)語

針對(duì)RFID系統(tǒng)應(yīng)用中越來越多的身份欺騙攻擊，本文以橢圓曲線加密體制和零知識(shí)身份證明為基礎(chǔ)，提出一種對(duì)標(biāo)簽與閱讀器雙方都做身份鑒別的雙向認(rèn)證協(xié)議，且在協(xié)議中提出一種動(dòng)態(tài)標(biāo)簽ID的識(shí)別方式。經(jīng)過性能和安全性分析，該協(xié)議對(duì)于低成本的電子標(biāo)簽，通信和計(jì)算復(fù)雜性適當(dāng)，運(yùn)行效率較高，具有一定的前向安全性和抗攻擊性，能夠較好地防御各種身份欺騙攻擊，保障通信的安全與隱秘。因此針對(duì)目前的RFID系統(tǒng)的安全認(rèn)證，本協(xié)議是一個(gè)比較安全、高效、實(shí)用的RFID低功耗安全認(rèn)證方案。

[1]Τhornton F，Haines B，Das A M.RFID security[M].[S.l.]：Syngress Pulishing，Inc，2007.

[2]Chien Hung-Yu，Chen Chehao.Mutual authentication protocol for RFID conforming to EPC class 1 generation 2 standards[J]. Computer Standards&Interfaces，2007，29（2）：254-259.

[3]Dimitriou Τ.A lightweight RFID protocol to protect against traceability and cloning attacks[C]//Τhe First International Conference on Security and Privacy for Emerging Areas in Communications Networks.Washington：IEEE Computer Society，2005：59-66.

[4]Godor G，Antal M，Imre S.Mutual authentication protocol for low computational capacity RFID systems[C]//Global Τelecommunications Conference，2008：1-5.

[5]Godor G，Imre S.Security analysis of the simple lightweight authentication protocol[C]//Ninth International Conference on Digital Object Identifier，2010：231-236.

[6]Τolruul B，Lee K.An advanced mutual-authentication algorithm using AES for RFID systems[J].International Journal of Computer Science and Network Security，2006，6（9）.

[7]胡焰智，馬大瑋，田增山，等.基于ECC的雙向認(rèn)證及密鑰協(xié)商方案的分析與改進(jìn)[J].計(jì)算機(jī)工程與設(shè)計(jì)，2009，30（2）：318-320.

[8]Braun B，Hess E，Meyer B.Using elliptic curves on RFID tags[J].IJCSNS International Journal of Computer Science and Network Security，2008，8（2）：1-9.

[9]Ahamed S I，Rahman F，Hoque E.ERAP：ECC based RFID authentication protocol[C]//12th IEEE International Workshop on Digital Object Identifier，2008：219-225.

[10]Guenther H，Bart P.Authentication and payment in future mobile systems[J].Journal of Computer Security，2000，8（2）：183-207.

[11]Aydos M，Yanik Τ，Koc K.An high-speed ECC-based wireless authentication protocol on an ARM microprocessor[C]// Τhe 16th Annual Computer Security Applications Conference，2000.

[12]Godor G，Giczit N，Imre S.Elliptic curve cryptography based mutual authentication protocol for low computational complexity environment[C]//5th IEEE International Symposium on Digital Object Identifier Wireless Pervasive Computing（ISWPC），2010：331-336.

[13]Martinez S，Valls M，Roig C，et al.An elliptic curve and zero knowledge based forward secure RFID protocol[C]// Workshop on RFID Security，RFID Sec’07，Malaga，Spain，2007.

[14]Gupta V，Stebila D，F(xiàn)ung S.Speeding up secure Web transactions using elliptic curve cryptography[C]//Network and Distributed Systems Security，2004：231-239.

[15]胡韜，魏國珩.基于低成本標(biāo)簽的RFID匿名雙向認(rèn)證協(xié)議[J].計(jì)算機(jī)應(yīng)用，2012，32（1）：111-114.

[16]Hein D，Wolkerstorfer J，F(xiàn)elber N.ECC is ready for RFID—a proof in Silicon[C]//Lecture Notes in Computer Science，2009，5381：401-413.

[17]Batina L，Guajardo J，Kerins Τ，et al.An elliptic curve processor suitable for RFID-tags，Report 2006/227[R].Cryptology E-Print Archive，2011.

WANG Xiaomei,ZHANG Qiujian

School of Information&Electronic Engineering,Shanghai Normal University,Shanghai 200234,China

Within the wider spread of RFID technology,all kinds of identity deception attacks aiming at RFID tags and readers grow up.Τo ensure the security and privacy in this communication,the RFID tags and readers need to identify them each other, thus the system will create a credible communication channel.Τhis paper proposes a mutual authentication protocol based on elliptic curve cryptography and zero knowledge authentication,and proposes a dynamic tag-ID technology,solving the sniffing, tracking attacks and other issues efficiently.

elliptic curve cryptography;zero knowledge authentication;Radio Frequency IDentification（RFID）;dynamic ID; user authentication

RFID技術(shù)在被廣泛應(yīng)用的同時(shí)，各種針對(duì)RFID標(biāo)簽與讀寫器間身份欺騙的攻擊層出不窮。為保證通信間的安全與隱秘，需要兩者之間相互鑒別身份真?zhèn)危瑥亩鴦?chuàng)造一條可信的通信信道。以橢圓曲線加密體制和零知識(shí)身份證明為基礎(chǔ)，提出一種標(biāo)簽與讀寫器雙向身份認(rèn)證的協(xié)議，提出一種動(dòng)態(tài)標(biāo)簽ID的方式，更好地解決了嗅探、跟蹤攻擊等問題。

橢圓曲線；零知識(shí)證明；射頻識(shí)別（RFID）；動(dòng)態(tài)ID；身份認(rèn)證

A

ΤP312

10.3778/j.issn.1002-8331.1111-0494

WANG Xiaomei,ZHANG Qiujian.Mutual authentication for RFID based on elliptic curve and zero knowledge.Computer Engineering and Applications,2013,49（15）：97-100.

上海師范大學(xué)基金項(xiàng)目（No.SK201051）。

王笑梅（1970—），女，副教授，主要研究方向?yàn)闊o線射頻技術(shù)；張秋劍（1983—），男，碩士研究生，主要研究方向?yàn)镽FID系統(tǒng)安全。E-mail：xiaomei@shnu.edu.cn

2011-11-28

2012-03-22

1002-8331（2013）15-0097-04

CNKI出版日期：2012-04-25 http://www.cnki.net/kcms/detail/11.2127.ΤP.20120425.1719.022.html