閱讀器破壞條件下RFID前向安全認證協(xié)議

王少輝，劉 天，李 靜，肖 甫

(1.南京郵電大學(xué)計算機學(xué)院，江蘇南京 210003; 2.江蘇省無線傳感網(wǎng)高技術(shù)研究重點實驗室，江蘇南京 210003)

閱讀器破壞條件下RFID前向安全認證協(xié)議

王少輝1，2，劉 天1，2，李 靜1，2，肖 甫1，2

(1.南京郵電大學(xué)計算機學(xué)院，江蘇南京 210003; 2.江蘇省無線傳感網(wǎng)高技術(shù)研究重點實驗室，江蘇南京 210003)

無線射頻識別(RFID)是一種可實現(xiàn)自動識別和數(shù)據(jù)獲取的無線技術(shù)，其在健康護理領(lǐng)域應(yīng)用廣泛并已成為該領(lǐng)域的主導(dǎo)識別技術(shù)。RFID系統(tǒng)的安全與隱私問題受到越來越多的關(guān)注，許多基于橢圓曲線密碼系統(tǒng)或Hash函數(shù)的認證協(xié)議都實現(xiàn)了保護系統(tǒng)安全性和隱私性的設(shè)計目標，但很少有協(xié)議考慮標簽或閱讀器破壞條件下的前向安全性。對新近提出的三個安全協(xié)議進行了分析，結(jié)果表明，三個協(xié)議并不能在標簽或閱讀器破壞下提供前向隱私保護，進而提出一種改進的基于ECC的RFID認證協(xié)議，對改進協(xié)議的安全性進行了詳細分析。結(jié)果表明，新協(xié)議在滿足各安全需求的同時，可以提供閱讀器破壞條件下的前向安全性，而且新協(xié)議需要的計算開銷更少，效率更優(yōu)。

射頻識別;輕量級雙向認證;前向安全;橢圓曲線密碼系統(tǒng)

1 概述

無線射頻識別(RFID)技術(shù)被廣泛應(yīng)用于公共交通、物流管理、電子護照、訪問控制系統(tǒng)等領(lǐng)域。值得一提的是，低成本的RFID技術(shù)可能會完全取代傳統(tǒng)的基于條形碼這一目前最廣泛使用的識別系統(tǒng)［1］。RFID技術(shù)是一種被動式的自動識別技術(shù)，它使用無線電信號，無需人工干預(yù)，可自動識別目標并獲取相關(guān)數(shù)據(jù)，并能在各種惡劣的環(huán)境下工作。這些優(yōu)勢使RFID技術(shù)非常適用于健康管理領(lǐng)域。目前，其已應(yīng)用在新生兒和病人識別、醫(yī)學(xué)治療跟蹤和驗證以及手術(shù)過程管理等領(lǐng)域［2］。然而，安全與隱私泄露問題成為制約RFID技術(shù)快速和廣泛傳播的主要障礙。

典型的RFID系統(tǒng)包括一個閱讀器和若干標簽。閱讀器通常與存儲標簽相關(guān)信息的后臺服務(wù)器相連。RFID標簽通常在開放環(huán)境中使用，與閱讀器通過無線方式交互消息，這必然導(dǎo)致RFID系統(tǒng)易遭受被動和各種類型的主動攻擊，如竊聽攻擊、標簽仿冒攻擊、重放攻擊、追蹤攻擊、拒絕服務(wù)攻擊等。以健康管理應(yīng)用為例，如何在使用RFID技術(shù)的同時確保醫(yī)患通信的安全受到普遍關(guān)注。

迄今為止，眾多研究群體致力于RFID系統(tǒng)安全性和隱私問題的研究，提出了大量的認證協(xié)議。由于與公開密鑰密碼系統(tǒng)相關(guān)的算法需要更多的系統(tǒng)資源，并不適用于低成本的RFID標簽。自從Juels等［3］提出第一個RFID隱私保護協(xié)議以來，RFID認證協(xié)議的設(shè)計通常基于對稱密鑰密碼系統(tǒng)，如分組密碼或Hash函數(shù)。然而，隨著集成電路技術(shù)的發(fā)展，最近的研究表明RFID標簽可以支持公開密鑰密碼系統(tǒng)的復(fù)雜操作。特別與傳統(tǒng)的公鑰密碼算法相比，橢圓曲線密碼體制(ECC)可以利用較短的密鑰長度提供與RSA算法相同級別的安全強度。因此，ECC非常適合于RFID認證協(xié)議的設(shè)計。

Tuyls等［4］和Batina等［5］分別利用Schnorr識別方案［6］和Okamoto識別方案［7］，獨立提出了基于ECC的RFID認證協(xié)議。但是Lee等［8］指出這兩個協(xié)議都存在隱私泄露問題，并提出了一個改進方案以克服文獻［4-5］存在的安全問題。然而Deursen和Radomirovic［9］證明了Lee等提出的方案［8］無法抵制追蹤攻擊。之后Lee等［10］提出了三個新的基于ECC的RFID認證協(xié)議以克服先前方案的不足。不幸的是，Lv等［11］論證了這三個新方案仍然容易遭受跟蹤攻擊。Liao 和Hsiao［12］提出了一個高效的基于ECC的RFID認證協(xié)議，并證明所提協(xié)議能夠抵御各種攻擊。然而，對于文獻［12］所提協(xié)議，最近Zhao［13］指出攻擊者容易推演出標簽的私鑰。為解決上述方案存在的一系列安全缺陷，Zhao［13］以及He等［14］分別提出了兩個基于ECC的改進RFID認證協(xié)議。在基于對稱密碼機制的協(xié)議設(shè)計方面，李榮榮等［15］基于Hash函數(shù)提出了一個可靠輕量級認證協(xié)議-DARAP，并論證了該方案可以抵御跟蹤、去同步等眾多攻擊手段。

由于RFID標簽成本較低，通常不具備抗破壞的能力，攻擊者較容易破壞RFID標簽并獲取其存儲的私鑰信息。此外，閱讀器和后臺服務(wù)器通常被看作一個實體，并與互聯(lián)網(wǎng)相連接。而在互聯(lián)網(wǎng)中，充斥著大量的漏洞和黑客攻擊，攻擊者會攻陷后臺服務(wù)器并獲得其存儲的整個系統(tǒng)的私密信息。雖然已經(jīng)提出了眾多安全高效的RFID認證協(xié)議，但是很少有方案考慮在標簽或閱讀器破壞條件下的前向安全性問題。當(dāng)標簽或者閱讀器的密鑰信息泄露后，前向安全性保障了密鑰泄露前標簽和閱讀器認證信息的隱私安全。

文中關(guān)注標簽或閱讀器破壞條件下的滿足前向安全的RFID認證協(xié)議。首先指出文獻［13-14］所提協(xié)議分別不能提供標簽破壞下的前向安全和閱讀器破壞下的前向安全性，而文獻［15］所提方案在不能抵御前向安全性的同時，也不能抵御閱讀器和標簽仿冒攻擊。為了提高安全性，文中提出了改進的基于 ECC的RFID認證協(xié)議。通過對新協(xié)議的性能和安全性進行詳細分析，新協(xié)議比文獻［13-14］所提協(xié)議效率更優(yōu)。

2 對三個RFID認證協(xié)議的安全分析

典型的RFID系統(tǒng)包括后臺服務(wù)器、閱讀器和標簽。一般認為后臺服務(wù)器和閱讀器之間是安全信道，因此，后臺服務(wù)器和閱讀器通常被視為一個組件。本節(jié)對新近提出的三個基于ECC或Hash函數(shù)的RFID認證協(xié)議的安全性進行分析。首先給出使用的符號:

q:一個大素數(shù);

G:橢圓曲線點構(gòu)成的加法群，其階為q;

P:G的一個生成元;

xT:標簽的私鑰;

ZT:標簽的標識，ZT=xTP;

y:閱讀器的私鑰;

Y:閱讀器的公鑰，Y=yP;

r，k:兩個隨機數(shù);

h():安全Hash函數(shù)，如MD5或SHA-1。

2.1 對Zhao提出協(xié)議的安全分析

Zhao［13］為了解決Liao和Hsiao提出的協(xié)議［12］中存在的安全問題，提出了一種新的基于ECC的RFID認證協(xié)議。新協(xié)議同樣包括Setup階段和Authentication階段。

1)Setup階段。在此階段標簽和閱讀器生成各自的私鑰和公鑰。(1)閱讀器生成隨機數(shù)y∈Zq作為它的私鑰，并計算公鑰Y=yP。

(2)閱讀器對每個標簽選取不同隨機數(shù)xT∈Zq作為此標簽的私鑰，并計算標簽的公鑰ZT=xTP。閱讀器將(ZT，xT)存儲在后臺服務(wù)器中，標簽則將(ZT，xT，Y)存儲在其內(nèi)存中。

2)Authentication階段。

在此階段閱讀器和標簽實現(xiàn)相互驗證。如圖1所示，認證過程描述如下。

(1)閱讀器產(chǎn)生隨機數(shù)r∈Zq，將C0=rP發(fā)送給標簽。

(2)接收到 C0{ }后，標簽首先生成隨機數(shù)k∈Zq，計算C1=kP=(tx，ty);然后計算C2=(ktx)C0，C3= (kty)Y，C4=ZT+C2+C3;最后標簽向閱讀器發(fā)送消息{C1，C4}。

(3)當(dāng)閱讀器接收到{C1，C4}后，首先計算C2= (rtx)C1，C3=(yty)C1和ZT=C4-C2-C3。然后閱讀器在數(shù)據(jù)庫中搜索標簽標識ZT。如果沒有找到，閱讀器將停止會話;否則，利用標簽相應(yīng)私鑰xT，閱讀器計算C5=xTC1+rZT。最后閱讀器向標簽發(fā)送消息{ C5}。

(4)接收到 {C5}后，標簽檢查C5是否等于kZT+ xTC0，如果不等，標簽拒絕會話;否則閱讀器就會被成功認證。

標簽破壞下前向安全性使得攻擊者即便獲得了標簽的密鑰信息，也無法跟蹤標簽和閱讀器之前的認證過程。在Zhao所提協(xié)議中，消息C5滿足如下表達式:

C5=xTC1+rZT=xTC1+xTC0

如果攻擊者破壞標簽并提取標簽的私鑰xT和公鑰ZT，那么他就可以通過檢查等式C5=xT(C1+C0)是否成立來確定過去的認證會話信息(C0，C1，C4，C5)是否屬于這個特定的標簽。因此該協(xié)議很明顯不能提供標簽破壞下的前向安全性。

2.2 對He等提出協(xié)議的安全分析

和Zhao提出協(xié)議一樣，He等提出的基于ECC的RFID認證協(xié)議［14］也分為Setup階段和Authentication階段。

1)Setup階段。

在Setup階段，閱讀器和標簽生成各自的私鑰和公鑰。此階段細節(jié)描述如下:

(2)閱讀器將標識ZT和公鑰Y存儲于標簽的內(nèi)存中。

2)Authentication階段。

如圖2所示，在認證階段，閱讀器和標簽通過以下步驟實現(xiàn)相互認證:

(1)閱讀器生成隨機數(shù)r∈Z*q，計算并發(fā)送給標簽消息C0=rP。

(2)標簽選擇一個新的隨機數(shù)k∈Z*q，并計算C1=kP，C2=kY，C3=kC0，C4=(ZT+C2)⊕C3。標簽向閱讀器發(fā)送消息{C1，C4}。

(3)閱讀器計算C2=yC1，C3=rC1，ZT=(C4⊕ C3)-C2，并在數(shù)據(jù)庫中尋找ZT。如果沒找到，閱讀器會停止會話;否則標簽被認證，閱讀器計算并發(fā)送消息C5=(ZT+2C2)⊕(2C3)。

(4)標簽驗證(ZT+2C2)⊕(2C3)是否等于C5。如果不等，標簽中斷會話;否則閱讀器被認證。

He等所提協(xié)議可以提供標簽破壞下的前向安全。但是如果攻擊者破壞閱讀器，竊取了后臺服務(wù)器存儲的閱讀器私鑰y和標簽標識ZT，那么他可以通過以下方式確定過去的認證會話消息(C0，C1，C4，C5)是否屬于特定的標簽:

攻擊者首先計算C2=yC1，C3=C4⊕(ZT+C2)，C3'=C5⊕(ZT+2C2)，然后檢查等式2C3=是否成立。如果成立，那么攻擊者就可以確定此認證信息屬于特定標簽。因此該協(xié)議不能提供閱讀器破壞下的前向安全性。

2.3 對李榮榮等提出協(xié)議的安全分析

基于Hash函數(shù)，李榮榮等提出了面向智慧園區(qū)的輕量級RFID安全認證協(xié)議-DARAP［15］，這里將閱讀器和服務(wù)器統(tǒng)一成一個部件，所以省去了閱讀器向服務(wù)器驗證自己身份的部分。初始化階段，標簽和閱讀器共享標簽的真實ID標識xT和標簽的假名P，以及安全的Hash函數(shù)h()。該協(xié)議的認證過程如下:

(1)閱讀器首先生成并發(fā)送隨機數(shù) rR給認證標簽。

(2)標簽首先生成隨機數(shù)rT，然后計算并發(fā)送rT，P，M:

S=h(P⊕xT)，M=h(rT⊕rR⊕P)⊕S

(3)閱讀器利用假名P檢索到標簽的真實ID信息xT，然后判定M⊕h(rT⊕rR⊕P)是否等于h(P⊕xT);若不相等則結(jié)束認證，否則通過標簽的認證，并在回送閱讀器的認證消息N=h(M⊕S)后，更新標簽的假名信息P。

(4)標簽在驗證N的正確性以后，對假名P進行更新。

李榮榮等所提協(xié)議采用的是對稱密碼體制，可以看出在標簽或者閱讀器遭受破壞的情況下，攻擊者可以獲知其所共享的所有秘密信息。雖然標簽的假名信息會不時更新，但其真實ID信息xT作為固定秘密信息存在于標簽中，從而使得攻擊者可以跟蹤之前的認證過程。故DARAP協(xié)議不能提供標簽或閱讀器破壞下的前向安全性。

此外，通過分析，攻擊者可按如下方式仿冒閱讀器的身份通過標簽的認證:

(1)攻擊者發(fā)送隨機數(shù)信息rR給認證標簽;

(2)當(dāng)接收到標簽的回送信息rT，P，M后，攻擊者計算S=M⊕h(rT⊕rR⊕P)，并回送N=h(M⊕S)。

顯然通過上述的攻擊步驟所生成的消息N是正確的，也就是說攻擊者可以正確地仿冒閱讀器的身份來和標簽交互。同樣的，攻擊者可以首先采用上述攻擊方法仿冒閱讀器獲得標簽的S信息，然后就可以仿冒合法的標簽和閱讀器進行交互。

3 改進的RFID認證協(xié)議

3.1 協(xié)議描述

為了解決以上三種協(xié)議出現(xiàn)的安全問題，提出了一種新的基于ECC的RFID認證協(xié)議。協(xié)議分成兩部分，即Setup階段和Authentication階段。

1)Setup階段。

在此階段中，閱讀器和標簽共享一個抗碰撞的Hash函數(shù)h()，此外閱讀器生成自己的私鑰和公鑰，還會生成每個標簽的標識。

(1)閱讀器選擇一個隨機數(shù)y∈Zq作為它的私鑰并計算它的公鑰Y=yP。

(2)閱讀器選擇隨機點ZT∈Zq作為標簽的標識，不同的標簽對應(yīng)不同的標識。然后閱讀器將標簽的標識和相關(guān)信息存入數(shù)據(jù)庫，并將(ZT，Y)存入每個標簽的內(nèi)存。

2)Authentication階段。

在此階段實現(xiàn)閱讀器和標簽的互相認證。如圖3所示，此階段認證過程描述如下:

(1)閱讀器生成隨機數(shù)r∈Zq，計算并發(fā)送給標簽消息C0=rP。

(2)收到消息 C0{ }后，標簽首先生成隨機整k∈Zq，然后計算C1=kP，C2=kY，C3=kC0，C4=ZT⊕h(C0，C1，C2，C3)，最后標簽向閱讀器發(fā)送消息{C1，C4}。

(3)收到{C1，C4}之后，閱讀器首先需要計算C2=yC1，C3=rC1，ZT=C4⊕h(C0，C1，C2，C3)，然后閱讀器在后臺服務(wù)器中查找標簽標識ZT。如果沒有找到，閱讀器結(jié)束會話;否則閱讀器認定標簽合法，計算并發(fā)送消息C5=h(ZT，C0，C1，C2，C3)給標簽。

(4)標簽接收到 C5{ }后，檢查C5和h(ZT，C0，C1，C2，C3)是否相等。如果不等，標簽拒絕會話;否則標簽確定閱讀器合法。

3.2 性能和安全分析

本節(jié)比較新協(xié)議與現(xiàn)有協(xié)議的性能開銷，并給出新協(xié)議的安全性分析。

表1列出了新協(xié)議與兩個最近提出的基于ECC 的RFID認證協(xié)議［13-14］的計算開銷比較。其中TH，TA，TSM分別表示Hash函數(shù)運算、橢圓曲線點的加法運算和標量乘法運算。

根據(jù)Gódor等的報告［16］，標量乘法運算的運行時間大約是507次Hash函數(shù)運算的運行時間。通過表1的比較可以看出，新的改進協(xié)議需要更少的標量乘法運算，執(zhí)行效率明顯優(yōu)于Zhao和He等所提協(xié)議。

安全的RFID認證協(xié)議應(yīng)提供標簽標識保密性、雙向認證性、前向安全性、可擴展性，同時也應(yīng)能抵抗重放攻擊、標簽仿冒攻擊、閱讀器仿冒攻擊、克隆攻擊和去同步攻擊。下面進行詳細說明。

(1)標簽標識保密性。

標簽的標識ZT隱藏于消息C4和C5中，其中:C4= ZT+h(C0，C1，C2，C3)，C5=h(ZT，C0，C1，C2，C3)。假設(shè)攻擊者冒充閱讀器選擇隨機數(shù)r∈Zq，將C0=rP發(fā)送給標簽。沒有閱讀器的私鑰y，由于計算Diffie-Hellman問題的困難性和Hash函數(shù)輸出的隨機性，攻擊者無法計算C2=kY，所以攻擊者不可能從C4或C5中得到ZT。因此改進的RFID認證協(xié)議能提供標簽標識保密性。

(2)雙向認證。

沒有標簽標識ZT，攻擊者無法生成合法的消息{C1，C4}，其中，C1=kP，C2=kY，C3=kC0，C4=ZT⊕h(C0，C1，C2，C3)。這樣閱讀器就可以通過檢查C4的正確性來認證標簽。同樣如果沒有閱讀器的私鑰y，攻擊者也無法獲得標簽的標識ZT或得到C2，因此攻擊者就不能偽造一個合法的消息C5來通過標簽驗證。因此，改進的RFID認證協(xié)議可以提供標簽和閱讀器之間的相互認證。

(3)閱讀器(標簽)破壞下的前向安全性。

假設(shè)攻擊者破壞了閱讀器并得到了標簽的標識ZT和閱讀器的密鑰y。對于過去的認證消息{C0，C1，C4，C5}，其中，C1=kP，C2=kY，C3=kC0，C4=ZT⊕h(C0，C1，C2，C3)，C5=h(ZT，C0，C1，C2，C3)。沒有標簽和閱讀器選擇的隨機數(shù)r和k的值，由于計算Diffie-Hellman問題的困難性，攻擊者無法計算出C3=krP，這樣他就不能通過C4和C5確定這些消息是否屬于特定的標簽。因此提出的改進RFID認證協(xié)議能夠提供閱讀器(標簽)破壞下的前向安全性。

(4)可擴展性。

根據(jù)協(xié)議描述，閱讀器可以通過計算ZT=C4⊕h(C0，C1，C2，C3)直接得到標簽的標識ZT，并不需要遍歷整個后臺服務(wù)器。因此，新的RFID認證協(xié)議可以提供可擴展性。

(5)抗重放攻擊。

從新協(xié)議的描述中可以看出，閱讀器和標簽會在不同的認證會話中獨立生成隨機數(shù)r和k，因此在不同的認證會話中，C2=kyP和C3=krP至少有一個會產(chǎn)生變化，從而標簽的認證消息C4和閱讀器的認證消息C5在不同的會話中會相應(yīng)不同。如果攻擊者截獲過去信息并冒充標簽(閱讀器)向閱讀器(標簽)重放，它不可能通過對方的認證。因此改進的RFID認證協(xié)議可以抗重放攻擊。

(6)抗標簽仿冒攻擊。

當(dāng)攔截了閱讀器發(fā)送的消息 C0{ }后，如果攻擊者要仿冒合法標簽通過閱讀器的認證，其需要生成合法的消息{C1，C4}，其中，C1=kP，C2=kY，C3=kC0，C4=ZT⊕h(C0，C1，C2，C3)。但是沒有標簽的合法標識ZT，攻擊者無法生成有效的認證消息C4。因此，新的改進RFID認證協(xié)議可以抵抗標簽仿冒攻擊。

(7)抗閱讀器仿冒攻擊。

假設(shè)攻擊者想仿冒閱讀器通過標簽的認證，如上所述沒有閱讀器的密鑰y和標簽的合法標識ZT，攻擊者無法生成正確的認證消息 C5。因為，新提出的RFID認證協(xié)議能夠抵抗閱讀器仿冒攻擊。

(8)抗克隆攻擊。

在新提出的改進協(xié)議中，閱讀器為每個標簽生成不同的標識ZT，即使攻擊者能夠破壞某些標簽并獲得他們的標識，仍然無法通過這些已知的標識來推斷其他標簽的標識。因此，改進RFID認證協(xié)議能夠抵抗克隆攻擊。

(9)抗去同步攻擊。

在新提出的改進協(xié)議中，閱讀器和標簽不需要更新他們的私鑰信息，所以改進協(xié)議不會出現(xiàn)同步問題，自然新協(xié)議可以防御去同步攻擊。

4 結(jié)束語

隨著RFID技術(shù)在健康管理領(lǐng)域的廣泛應(yīng)用，RFID認證協(xié)議的設(shè)計受到越來越多的關(guān)注。雖然已經(jīng)提出大量基于ECC或Hash函數(shù)的RFID認證協(xié)議，然而它們大多并沒有考慮認證協(xié)議在標簽或者閱讀器破壞下的前向安全性。文中對新近提出的三種基于ECC或Hash函數(shù)的RFID認證協(xié)議的安全性進行了分析，分析結(jié)果表明Zhao提出的認證協(xié)議不能提供標簽破壞下的前向安全性，He等提出的協(xié)議在閱讀器被破壞時也不能提供前向安全，而李等所提方案不能抵御基本的閱讀器和標簽仿冒攻擊。

為了克服現(xiàn)有協(xié)議安全性上的弱點，文中提出一種新的基于ECC的改進RFID認證協(xié)議。通過安全分析表明，新改進協(xié)議不僅可以抵抗被動和各種主動攻擊，也能提供閱讀器破壞下的前向安全性。通過性能分析表明，改進協(xié)議的計算消耗略明顯少于Zhao和He等所提方案。因此，文中提出的改進RFID認證協(xié)議更適合于健康管理的應(yīng)用。

［1］ Juels A.RFID security and privacy:a research survey［J］. IEEE Journal on Selected Areas in Communication，2006，24 (2):381-394.

［2］ Yen Y，Lo N，Wu T.Two RFID-based solutions for secure inpatient medication administration［J］.Journal of Medical Systems，2012，36(5):2769-2778.

［3］ Juels A，Rivest R L，Szudlo M.The blocker tag:selective blocking of RFID tags for consumer privacy［C］//Proc of 10th ACM conference on computer and communications security. New York:ACM，2003:103-111.

［4］ Tuyls P，Batina L.RFID-tags for anti-counterfeiting［C］// Proc of topics in cryptology.Berlin:Springer，2006:115-131.

［5］ Batina L，Guajardo J，Kerins T，et al.Public-key cryptography for RFID tags［C］//Proc of the 5th annual IEEE international conference on pervasive computing and communications workshops.New York:IEEE，2007:217-222.

［6］ Schnorr C P.Efficient identification and signatures for smart cards［C］//Proc of advances in cryptology.Berlin:Springer，1990:239-252.

［7］ Okamoto T.Provably secure and practical identification schemes and corresponding signature schemes［C］//Proc of advances in cryptology.Berlin:Springer，1993:31-53.

［8］ Lee Y K，Batina L，Verbauwhede I.EC-RAC(ECDLP based Randomized Access Control):provably secure RFID authenti-cation protocol［C］//Proc of the IEEE international conference on RFID.Las Vegas:IEEE，2008:97-104.

［9］ Deursen T，Radomirovic S.Untraceable RFID protocols are not trivially composable:attacks on the envision of EC-RAC［R］. Luxembourg:University of Luxembourg，2009.

［10］Lee Y，Batina L，Verbauwhede I.Privacy challenges in RFID systems［C］//Proc of the internet of things 2010.Berlin: Springer，2010:397-407.

［11］Lv C，Li H，Ma J，et al.Vulnerability analysis of elliptic curve cryptography-based RFID authentication protocols［J］.Transactions on Emerging Telecommunications Technologies，2012，23(7):618-624.

［12］Liao Y P，Hsiao C M.A secure ECC-based RFID authentication scheme integrated with ID-verifier transfer protocol［J］. Ad Hoc Networks，2014，18(7):133-146.

［13］Zhao Z.A secure RFID authentication protocol for healthcare environments using elliptic curve cryptosystem［J］.Journal of Medical Systems，2014，38(5):1-7.

［14］ He D B，Kumar N，Chilamkurti N，et al.Lightweight ECC based RFID authentication integrated with an ID verifier transfer protocol［J］.Journal of Medical Systems，2014，38(10):1-6.

［15］李榮榮，寇建濤，董 剛，等.面向智慧園區(qū)的RFID系統(tǒng)信息安全認證方案［J］.電信科學(xué)，2016，32(2):164-169.

［16］Godor G，Giczi N，Imre S.Elliptic curve cryptography based mutual authentication protocol for low computational capacity RFID systems-performance analysis by simulations［C］// Proc of the IEEE international conference on wireless communications，networking and information security.Beijing:IEEE，2010:650-657.

Forward Secure Authentication Protocol of RFID with Reader Corruption

WANG Shao-hui1，2，LIU Tian1，2，LI Jing1，2，XIAO Fu1，2
(1.College of Computer，Nanjing University of Posts and Telecommunications，Nanjing 210003，China; 2.Key Laboratory of Jiangsu High Technology Research for Wireless Sensor Networks，Nanjing 210003，China)

Radio Frequency Identification(RFID)is a wireless technology for automatic identification and data capture and is deployed as a dominant identification technology in a health care domain.Security and privacy issues in the RFID systems have attracted much attention，and many authentication protocols based on Elliptic Curve Cryptosystem(ECC)or Hash functions have been proposed to achieve the security and privacy goals，but seldom protocols have considered the forward security with tag or reader corruption，which can be viewed as the highest level of user privacy.Three recently protocols presented respectively suffer from the forward privacy problem with tag or reader corruption.To enhance the security，an improved efficient ECC-based RFID authentication protocol is put forward.A comprehensive analysis shows the new scheme can not only provide the strong forward security with reader corruption besides all the other security requirements，but also have more functionality in terms of computational cost.

RFID;lightweight mutual authentication;forward security;ECC

TP31

A

1673-629X(2016)09-0134-05

10.3969/j.issn.1673-629X.2016.09.030

2015-11-30

2016-03-03< class="emphasis_bold">網(wǎng)絡(luò)出版時間:

時間:2016-08-23

國家自然科學(xué)基金資助項目(61373006，61373139);江蘇省科技支撐計劃基金項目(61003236);南京郵電大學(xué)校項目(NY214064，NY213036)

王少輝(1977-)，男，博士，副教授，研究方向為信息安全、密碼學(xué);劉 天(1984-)，男，碩士研究生，研究方向為信息系統(tǒng)的安全與隱私。

http://www.cnki.net/kcms/detail/61.1450.TP.20160823.1359.048.html