,

(河南工业大学 信息科学与工程学院，郑州 450001)

物联网概念被提出以后迅速升温，许多科学家预言在不久的将来，通过物联网信息共享平台，我们身边的大部分物体都可以连接起来。射频识别(Radio Frequency Identification，RFID)技术作为实现物联网的关键技术，与互联网、移动通信等技术相结合，可以实现全球范围内物体的跟踪与信息共享，实现人与物体以及物体与物体之间的沟通与对话，最终构成联通万事万物的物联网[1]。RFID系统中存在的安全隐私以及效率和成本问题，是制约物联网发展的至关重要的因素。目前，研究人员已经提出很多解决方案，而在RFID系统中引入物理不可克隆函数进行安全认证和隐私保护是近年来的一个研究热点。

1 RFID系统的安全需求

RFID作为一种非接触式远距离射频识别技术，其系统构成如图1所示。它包括3个基本的组成部分：标签、读写器(含天线)以及后端数据库。读写器和数据库之间的信息通过有线信道传输，如网络通信可以采用传统的密码体制和网络安全协议来保证通信的安全性；标签和读写器之间的信息通过开放的无线信道传输，面临巨大的安全隐私威胁；标签Tag通常是发行量大且成本受限的电子标签，攻击者可以对其实施物理攻击，从而获取其中的敏感信息[2]。

图1 RFID系统构成

在低成本RFID系统中，最典型的安全隐私威胁包括窃听、假冒和标签伪造，还有一些常见安全威胁，如篡改、重放、去同步化攻击和位置跟踪，由窃听攻击衍生而出。由上述安全威胁可以总结出RFID系统的5个基本安全需求：机密性、完整性、可用性、真实性和隐私性[3]。

(1)机密性：未授权的读写器(标签)即使获取RFID系统的通信消息，也无法从中获得有用的真实信息。

(2)完整性：攻击者篡改了RFID系统的通信消息，将无法通过系统认证。

(3)可用性：授权用户在需要时能够访问RFID系统且可以得到系统的快速响应。此外，要尽可能降低系统的构建成本，尤其是标签的成本。

(4)真实性：通信双方在建立通信之前，要进行相互认证。

(5)隐私性：未授权者以任何手段都不能获取标签中存储的信息。

2 物理不可克隆函数在RFID认证中的应用

2.1 物理不可克隆函数

物理不可克隆函数(Physical Unclonable Function,PUF)是一种数学函数，可以将一个输入的挑战消息x映射到一个输出的响应消息y上，可用符号描述如下：

P:x→y,x∈C,y∈R

其中:C为挑战消息的集合；R为响应消息的集合。

对同一个物理实体，这种映射是一一对应的，即对于集合C中不同的元素(挑战消息)在集合R中有不同的像(响应消息)，且R中的每个元素(响应消息)都可以在C中找到其原像(挑战消息)。PUF是由物理实体或者设备在制造过程中产生的不可避免差异性而衍生出的[4]。因此，对于两个物理设备实体来说，相同的输入不可能产生相同的输出。PUF的特点用符号描述如下：

y1=P1(x1),y2=P2(x2)

假设函数P1和函数P2是同一个物理设备实体衍生的，那么若x1=x2，则y1=y2，若x1≠x2，则y1≠y2；假设函数P1和函数P2不是同一个物理设备实体衍生的，那么即使x1=x2，出现y1=y2也是困难的[5]。其原理如图2所示。

图2 PUF工作原理

PUF电路不同，其延迟特性也不同，因此其信号到达判优器Latch的时间也不同，从而输出信号不同；同一个PUF电路，不同的输入信号传输线路不同，因此产生的输出也不同。

张紫楠归纳总结了PUF的7个属性：鲁棒性、可计算性、唯一性、不可克隆性、不可预测性、轻量级属性、防篡改属性[6]。这说明PUF具有安全性高、效率高、成本低的特点，可以将PUF广泛用于密码学领域，如用于生成随机数[3]、生成密钥[4]、低成本认证[5]等。

2.2 PUF在RFID认证中的应用

针对RFID系统中标签和读写器安全认证的实现，目前已经提出了很多认证机制，常用传统加密算法来实现安全认证。

文献[7-8]利用哈希函数的单向性和防碰撞性对传递的消息进行加密，保证消息传递的机密性和完整性，同时在标签和读写器中集成随机数发生器来保证传递消息的新鲜性，从而防止攻击者进行重放攻击和对标签进行定位。

使用传统对称加密算法[9]或公钥加密算法[10]实现RFID双向安全认证，与基于哈希函数的加密机制一样，要在每次传递的消息中混入新鲜的随机数来保证消息的新鲜。

PUF这一概念被提出后，在得到广泛关注的同时，越来越多的RFID认证机制也引入了该函数，用来代替传统的加密算法。

Suh等最早提出了一种基于PUF的经典认证模式[5]，它是一种形式上最简单的认证模式。该模式需要预先在安全环境下为每个设备生成大量的挑战/响应序列对，并存储在后端数据库中，使数据库的存储量随着设备数量的增加呈线性增长。它不适合用于设备较多的工程中。但是，该认证模式对之后基于PUF的RFID认证机制的设计起到了重大作用。

图3 基于PUF的认证模式概述图

2.3 Basic Protocol协议

Lars等提出了一种基于PUF的基础RFID认证协议——Basic Protocol[11]。图4所示为该协议的认证过程。

图4 Basic Protocol认证过程

该协议将认证过程分为两个阶段：初始化阶段和搜索阶段。

2.3.1 初始化阶段

读写器和所有标签预先加载一些秘密消息。读写器和目标标签共享3个秘密信息IDT、K和L.此外，在标签端设置PUF电路，读写器端存储两个秘密值:Gn和Gn+1。各个符号项的含义如表1所示。

表1 Basic Protocol符号含义

2.3.2 搜索阶段

步骤2：标签根据计算出的Gn向读写器发送如下响应消息：

虽然该协议如文献[11]所分析的一样，可以抵抗窃听攻击、物理攻击和重放攻击，但协议只实现了读写器对标签的单向认证。此外，读写器只能在已知某个标签ID的情况下向该标签发出认证请求，并且在发送认证请求时，读写器无法确认待认证的标签是否在其广播范围内。因此，协议的执行效率非常低，具有非常大的应用局限性，尽管之后在此协议基础上又扩展了两个协议，但仍没能弥补上述两个缺陷。

文献[11]给出了一种可参考的实验方法，在Altera DE2板上使用Cyclone FPGAs实现64位的LFSR和PUF，实验证明了PUF的不可克隆性和随机性，表明了把PUF用于RFID认证具有高效和低成本的特性。

马昌社等人对Lars等人提出的协议进行了分析和改进[12]，协议仅仅利用PUF对标签和读写器共享的密钥进行加密，从而保证协议的安全性，并弥补了读写器只能在已知某个标签ID的情况下向标签发出认证请求的缺陷。但该协议同Lars的协议一样，只实现了读写器对标签的单向认证，此外，协议中标签每次收到读写器的认证请求后都要更新内存中的索引，然后向读写器回复一个响应。若读写器对标签认证失败，则会导致标签端和读写器端存储数据不同步，从而使标签此后将一直无法通过认证。

贺章擎[13]等人也对Lars等人提出的协议进行了改进，实现了标签和读写器之间的双向认证，但是和马昌社等提出的协议一样，并不能防止异步攻击。

3 基于PUF的通用认证模式

3.1 模式框架

针对基于PUF认证协议存在的上述缺陷以及PUF自身的特点，在文献[14]提出的通用挑战应答认证框架基础上，本文提出了一种基于PUF的RFID通用认证模式，实现了标签和读写器的双向认证，且读写器可以在未知标签ID的情况下发出询问认证广播，其通信范围内的所有标签均对该询问自动作出回复。此外该模式还可以防止异步攻击。图5为该模式的框架。

图5 基于PUF的RFID双向认证协议通用框架

初始化时，在安全环境下，为RFID系统中的每一个标签的PUF电路赋予一个初始输入值I，得到一个输出。该输出的值即为标签当前的指纹c_fp，c_fp=PUF(I)。将该输出值作为PUF电路的输入，得到一个输出，即为新的标签指纹n_fp。读写器端将每个标签对应的数据对{o_fp,c_fp}存储在认证数据库中，标签中存储其对应的数据对{c_fp,n_fp}。

在认证阶段，读写器在系统中广播一条挑战消息C1；消息的标签自动向读写器发送一条响应消息R1，并同时向读写器发送一条挑战消息C2。读写器收到R1后，通过对R1解析来认证标签，若R1与C1以及认证数据库中的对应记录匹配，则对标签认证成功，读写器根据C2向标签发送一条响应消息R2，同时更新数据项o_fp=c_fp，c_fp=n_fp；否则认证失败，认证结束。标签通过对R2解析来认证读写器，若R2与C2以及标签内存中的记录项匹配，则对读写器认证成功，更新数据项c_fp=n_fp,n_fp=PUF(n_fp);否则认证失败，认证结束。

在该通用模式中，为了保证模式的有效性和安全性，消息C1、R1、C2、R2必须包含一定的数据项。

C1{Rr}，即不包括任何敏感信息随机二进制序列。

R1{Rr,Rt,c_fp}，即标签当前指纹与读写器端和标签端的随机数混合后的二进制序列。

C2{δ1(n_cp)}，即用于下一轮认证的新的标签指纹。该消息加密传输。

R2{δ2(s)}，读写器和标签共享的一项秘密消息。用于通知标签读写器已对其认证成功，并且标签可以通过该消息对读写器进行认证。

3.2 模式的安全性分析

该模式的核心思想就是利用PUF函数为每一个标签生成一个指纹，即标签的当前指纹，记作c_fp，并根据c_fp生成一个新指纹n_fp，然后将两个指纹信息同时存储在标签中。同时，在读写器中存储当前标签指纹c_fp和旧指纹o_fp。标签的旧指纹、当前指纹和新指纹之间的关系如下：

c_fp=PUF(o_fp)

n_fp=PUF(c_fp)

该通用模式不仅可以实现标签和读写器之间的双向认证，并且可以防止异步攻击、重放攻击和跟踪。模式采用通用的分布式挑战-应答认证机制，保证了读写器和标签之间的双向认证；消息C1不含任何和特定标签有关的信息，从而保证了在该框架中，实现在标签ID未知的情况下，读写器通信范围内的所有标签都可以收到其广播的认证请求，并做出响应；在读写器端同时存储当前的和旧的标签指纹，一轮认证受到非法攻击导致标签和读写器存储的当前指纹信息不一致时，可以通过旧的指纹信息来进行认证，从而防止异步攻击；在认证过程中，双方每次发出的认证消息都同时混合认证双方产生的随机数，从而保证了引用该框架的协议可以防跟踪和重放攻击。

4 结 语

物理不可克隆函数为改善现有低成本RFID系统的安全和隐私问题提供了一种非常有前景和实际意义的方法。本文在对一个经典的基于PUF的认证协议及其改进协议进行分析研究的基础上，提出了一种基于PUF的通用RFID认证模式，弥补了已有协议的缺陷。它可以引入该模式框架来设计新的基于PUF的RFID认证协议，在低成本环境下，实现标签和读写器之间的双向安全认证。

参考文献：

[1] 黄玉兰.物联网射频识别(RFID)核心技术详解(第二版)[M].北京：人民邮电出版社，2012：3-18.

[2] 李娅莉.RFID系统的认证与密钥协商协议研究[D].上海：上海交通大学，2010.

[3] 郎为民,雷承达,张蕾.RFID技术安全性研究[J].微计算机信息，2006,22(62):269-271.

[4] Donnell C W O, Suh G E, Devadas S.PUF-based Random Number Generation, America, MIT CSAIL CSG Technical Memo 481[P].2004-11.

[5] SUH G E，DEVADAS D．Physical Unclonable Functions for Device Authentication and Secret Key Generation[C]//Proc of the 44th Annual Design Automation Conference．New York: ACM Press，2007: 9-14．

[6] 张紫楠.物理不可克隆函数综述[J].计算机应用，2012，32(11)：3115-3120.

[7] Dodis Y，Ostrovsky R，Reyzin L，et al．Fuzzy extractors:How to Generate Strong Keys from Biometrics and Other Noisy Data[J]．SIAM Journal on Computing，2008，38(1): 97-139．

[8] Rhee K, Kwak J, Kim S, et al．Challenge-response Based RFID Authentication Protocol for Distributed Database Environment[C] //Proc of the 2nd International Conference on Security in Pervasive Computing.Berlin: Springer-Verlag, 2005:70-84.

[9] Song B.RFID Authentication Protocols Using Symmetric Cryptography [D].London: University of London, 2009.

[10] Feldhofer M, Dominikus S,Wolkerstorfer J.Strong Authentication for RFID Systems Using the AES Algorithm[J].Cryptographic Hardware and Embedded Systems, Lecture Notes in Computer Science, 2004, 158:357-370.

[11] Kulseng L, Yu Z, Wei Y W, et al.Lightweight Secure Search Protocols for Low-cost RFID Systems[C] //Proc of 29th IEEE International Conference on Distributed Computing Systems.Montreal: IEEE Computer Society, 2009:40-48.

[12] 马昌社,王涛，王立斌.基于PUF的RFID协议分析与改进[J].计算机工程，2011,37(21)：249-251.

[13] 贺章擎, 郑朝霞, 戴葵.基于PUF的高效低成本RFID认证协议[J].计算机应用, 2012,32(3):683-685.

[14] LAI Xue-Jia.Security Requirements on Authentication Protocols Using Challenge-Response[J].Journal of the Graduate School of the Chinese Academy of Sciences, 2002,19(3):246-255.