基于切比雪夫混沌映射和PUF的RFID三方認證協議

徐森 劉佳鑫 楊碩 趙洋

收稿日期：2023-06-19；修回日期：2023-08-04? 基金項目：遼寧省教育廳基本科研項目面上項目（LJKMZ20220782）

作者簡介：徐森（1975—），男，黑龍江哈爾濱人，講師，碩導，博士，主要研究方向為網絡安全與密碼學、安全協議的設計與分析、無線網絡協議、安全多播等；劉佳鑫（1998—），男，吉林輝南人，碩士研究生，主要研究方向為安全協議的設計與分析；楊碩（1983—），男，吉林人，講師，碩導，博士，主要研究方向為計算機視覺與人工智能；趙洋（1974—），男（通信作者），遼寧人，講師，碩導，博士，主要研究方向為機器學習（sy_zhaoyang@yeah.net）．

摘? 要：針對射頻識別（RFID）三方認證協議存在的安全需求和資源開銷的平衡問題，利用切比雪夫多項式的半群性質以及混沌性質提出了一個基于切比雪夫混沌映射和物理不可克隆函數（PUF）的RFID三方認證協議：使用切比雪夫混沌映射來實現標簽、閱讀器和服務器三方共享秘密；使用隨機數實現協議每輪會話的新鮮性以抵抗重放攻擊，同時也實現了閱讀器與標簽的匿名性；使用PUF函數實現標簽本身的安全認證以及抵抗物理克隆攻擊。安全分析表明，該協議能有效抵抗追蹤、重放、物理克隆和去同步攻擊等多種惡意攻擊，使用BAN邏輯分析方法和Scyther工具驗證了其安全性。與近期協議對比分析表明，該協議彌補了同類RFID協議的安全缺陷，在滿足各種安全屬性需求的同時盡量平衡硬件開銷，契合了RFID硬件資源受限的處境，適用于RFID三方認證場景。

關鍵詞：射頻識別； 物理不可克隆函數； 切比雪夫混沌映射； 三方認證； BAN邏輯； Scyther工具

中圖分類號：TP309??? 文獻標志碼：A

文章編號：1001-3695（2024）02-040-0582-05

doi：10.19734/j.issn.1001-3695.2023.06.0263

RFID tripartite authentication protocol based onChebyshev chaos mapping and PUF

Xu Sen1，2， Liu Jiaxin1，2， Yang Shuo1，2， Zhao Yang1，2

（1.School of Computer Science & Technology， Shenyang University of Chemical Technology， Shenyang 110142， China; 2.Liaoning Key Laboratory of Intelligent Technology for Chemical Process Industry， Shenyang 110142， China）

Abstract：In order to balance the security requirements and resource costs of the three party authentication protocols for radio frequency identification（RFID） ， this paper proposed a protocol based on Chebyshev chaotic mapping and physical unclonable function（PUF） ， taking advantage of the semi-group property and chaotic property of Chebyshev polynomials. It used Chebyshev chaotic mapping to achieve secret sharing among tags， readers， and servers， and used random numbers to achieve freshness of each session which could resist replay attack， and also to realize the anonymity of readers and tags. It used the PUF function to achieve the authentication of the label and to resist physical cloning attacks. Security analysis shows that this protocol can effectively resist various malicious attacks such as tracking， replay， physical cloning， and de-synchronization attacks. Moreover， it verified the security properties of the protocol using formal methods， including BAN logic and Scyther tool. Compared with recent studies， this protocol compensates for the security deficiencies of similar RFID protocols， balancing hardware costs as much as possible while meeting various security attribute requirements， and still fitting the limited hardware resources of RFID. It is suitable for third-party authentication scenarios in RFID.

Key words：radio frequency identification（RFID）; physical unclonable function; Chebyshev chaotic mapping; tripartite anthentication; BAN logic; Scyther tool

0? 引言

近年來，伴隨著物聯網技術、工業互聯網的飛速發展，射頻識別（RFID）憑借其無源傳輸、遠距離通信以及唯一標識等特點，已經成為了物聯網應用的核心支撐技術之一，并逐漸有代替條形碼被廣泛部署到日常物體之上的趨勢［1］。

RFID系統主要由電子標簽、閱讀器和服務器組成。服務器的主要責任是對閱讀器和標簽的認證、加/解密認證消息、存儲標簽與服務器的唯一標識、更新數據等。閱讀器主要用于閱讀標簽存儲的信息，并將本身用于驗證的信息連同接收到的標簽信息發送給服務器。標簽主要用于存儲用戶信息，由天線和射頻芯片組合而成。由于標簽的規格限制，使得其運算能力受限，更容易受到外界的攻擊。

傳統的RFID系統將閱讀器與服務器整合在一起，但是隨著技術與RFID產業的發展，傳統RFID系統的笨重凸顯了出來。新型的移動RFID認證系統將閱讀器與服務器拆分出來，大大提高了閱讀標簽的效率。由于傳統的雙向認證協議不能再滿足RFID系統的認證需求，隨后采用新型的移動閱讀器的RFID三方認證協議逐漸成為主流。新型的RFID系統中不僅標簽與閱讀器的通信處于不安全的環境，閱讀器與服務器亦是如此。由此可見，傳統RFID系統中使用的雙向認證協議不能再繼續應用于新型的RFID系統。高安全性的RFID三方認證協議成為了RFID產業新的研究方向。

Fan等人［2］提出使用二次剩余、偽隨機數等方式保護數據安全的三方認證協議。但是在認證過程中，云服務器需要計算遍歷數據庫來驗證閱讀器與標簽的合法性，這使得服務器存在拒絕服務攻擊，而且該協議無法抵抗針對標簽的物理克隆攻擊，并缺少閱讀器對服務器的身份驗證。潘濤等人［3］提出了通過執行算數運算、按位運算及數據排列組合等方法的高效RFID認證協議，但該協議依舊面臨著物理克隆攻擊的風險。

文獻［2，3］中的協議均無法抵抗敵手通過針對物理探針非法獲取標簽內部的敏感信息，或者大批量克隆標簽。為了解決此類攻擊方式，隨后的研究者開始引入物理不可克隆函數（physical unclonable function，PUF）［4］。王利等人［5］使用了PUF作為加密方法生成密鑰，但是該協議缺少對閱讀器的合法認證，沒有完整的三方認證。王者等人［6］提出了基于PUF函數和輕量級哈希函數LED的認證協議。該協議利用了PUF函數來抵抗物理克隆攻擊，并將PUF函數的響應值作為驗證消息。然而，一方面，該協議中標簽ID以明文發送，在阻止標簽更新的情況下，攻擊者可以輕易追蹤標簽；另一方面，標簽不會對來自閱讀器的認證請求進行驗證，這使得該協議容易受到去同步攻擊。范文兵等人［7］提出了基于PUF函數的三方認證協議，但是該協議開啟認證時使用的隨機數以明文發送，且在后續標簽唯一標識的加密中使用了此隨機數作為加密密鑰，這使得標簽唯一標識符有泄露的風險。而且該協議為了抵抗去同步攻擊，在服務器中存儲了兩輪PUF函數響應值，在當前輪次認證時會為下一次驗證提供PUF的響應值，但在認證過程中服務器并不會核對下一輪次的認證信息是否被修改，因此敵手可以針對此漏洞發動去同步攻擊。

針對上述認證方案的缺陷，本文提出了一個基于PUF和切比雪夫混沌映射的三方認證協議。本文協議使用了混亂密碼學中的切比雪夫混沌映射，在降低計算開銷的同時保證傳輸數據的安全［8］。其使用PUF函數和隨機數來抵抗物理克隆和重放攻擊，同時共用PUF使用的線性反饋移位寄存器（linear feedback shift register，LFSR）與隨機數發生器，以降低資源的開銷，達到資源開銷與安全屬性保障的平衡。

1? 協議基礎背景

1.1? 切比雪夫混沌映射

定義1? n維切比雪夫多項式為Tn（x），其中n為自然數，x∈[-1，1]，滿足Tn+1（x）=2x Tn（x）-Tn-1（x）。

切比雪夫多項式迭代關系為T0（x）=1，T1（x）=x，…，Tn（x）=2xTn-1（x）-Tn-2（x）。

定義2? 擴展切比雪夫多項式，將x的定義域由x∈[-1，1]擴大至x∈（-∞，+∞），即拓展的切比雪夫多項式。Tn（x）≡（2xTn-1（x）-Tn-2（x））（mod q），其中n≥2，x∈（-∞，+∞），q是一個大素數。在此定義域中，切比雪夫多項式依舊具備半群特性Tr（Ts（x））=Ts（Tr（x））=Tsr（x） mod q，其中r、s為自然數。

困難假設：給定x，計算Tk（x）=y，在已知x與y的情況下，敵手無法求解出k的值。公布x，Tk（x）與Tm（x）在不安全信道傳輸的情況下，敵手也無法求解出Tkm（x），這個可以歸約為Diffie-Hellman難題，在計算上不可行。

1.2? 物理不可克隆函數

物理不可克隆函數（physical unclonable function，PUF）是一種較為新型的密碼元語言，在硬件資源極為有限的加密環境中應用廣泛。在生產制造數字電路時，由于過程中硬件規格、尺寸、門限電壓等因素帶來的隨機的、細微的差異，產生了電路的獨特標識，輸入任意激勵值都會輸出一個唯一且不可預測的響應。

本文協議采用文獻［9］中的FPGA函數。FPGA函數將C-PUF、BCH碼和LFSR相結合，具有高可靠性和低資源占用的特點。本文協議亦可在不影響FPGA功能的情況下與其共享LFSR的使用［10］，把它作為本文協議主體的隨機數發生器。式（1）即驗證響應值是否合法，其中X和Y表示n位向量，Xi與Yi表示X和Y的第i bit信息。

HD（X，Y）=∑nm=1（Xi，Yi）（1）

1.3? 攻擊者模型

本文采用的是通用的Dolev-Yao攻擊者模型［11］，在此模型中，攻擊者被賦予以下能力：

a）能夠竊聽、阻止和截獲不安全信道上的任何消息。

b）能夠發送消息和重發消息。

c）能夠對消息進行分解與組合。

d）能夠冒充協議任意一方。

e）此外，需要說明協議的初始化階段是處于安全環境的，認證階段中的所有信道均處于不安全的環境，尤其是攻擊者還可以大批量地物理克隆合法標簽。

2? 協議設計

2.1? 初始化階段

在初始化階段，系統管理員首先為服務器分配私鑰s，設置參數q、x、IDt、IDr、SCil+1、SRil+1、SCil、SRil，服務器利用私鑰s計算Ks=Ts（sin（x）），最后給標簽i分配q、IDt、x、Ks、SRil+1，然后為閱讀器分配q、IDr、Ks、x。符號含義如表1所示。

2.2? 認證階段

a）閱讀器j向后臺服務器發送一個request請求。

b）服務器在收到來自閱讀器的請求后產生一個隨機數rs發送給閱讀器j。

c）閱讀器在接收到隨機數rs后，計算ACK=PRNG（Ks⊕rs），并將ACK與rs轉發給需要進行認證的標簽。

d）標簽i在接受到隨機數rs后，計算ACK′=PRNG（Ks⊕rs），核對ACK=ACK′是否成立，若不相等則說明隨機數來自非法閱讀器；隨后標簽會產生一個隨機數rT作為加密因子，計算KA=TrT（sin（x））mod q、KTS=TrT（Ks）mod q，計算Rl=PUF（SCil+1）、Cil+1=SCil+1rs、Rl+1=PUF（Cil+1），計算M1=KTS⊕TIDi、M2=PRNG（Rl+1⊕IDt）。IDt是通過標簽與服務器共享的密鑰KTS加密的，從而保證了IDt的匿名性。M2的作用是保證Rl+1在傳輸過程中不被竄改。在計算完成后，標簽將M1、M2、Rl+1、Rl、KA發送給閱讀器。

e）閱讀器j在收到來自標簽i的消息后，產生隨機數rR，并計算KB=TrR（sin（x））mod q、KRS=TrR（Ks）mod q，計算M3=IDr⊕KRS。由于KRS每個輪次都是變化的，所以M3通過KRS實現了IDr的動態不可追蹤。隨后閱讀器j將從標簽i接收到的所有消息M1、M2、Rl+1、Rl、KA，以及KB、M3發送給服務器。

f）服務器在收到來自閱讀器j的消息后，首先對閱讀器進行驗證。服務器利用閱讀器發來的KB計算出與閱讀器共享的密鑰KSR=Ts（KB）mod q，使用密鑰KSR解出IDr=KSR⊕M3，在得到IDr后服務器會在數據庫中檢索，若在數據庫中查詢到IDr，則閱讀器j認證成功，最后計算閱讀器的確認信息ACKR=PRNG（IDr），否則閱讀器非法放棄此次認證。

隨后是對標簽的認證，服務器提取KA，計算與標簽共享的密鑰KST=Ts（KA）mod q，服務器利用密鑰KST解出IDt=M1⊕KST，服務器在數據庫中查詢是否有IDt，若不存在此IDt則認為標簽非法，放棄此次認證；若成功查詢到此IDt則提出對應的（SCil+1，SRil+1），隨后服務器使用Rl與提取出的SRil+1進行式（2）的計算，其中τ為設定的閾值。

HD（Rl，SRil+1）＜τ（2）

若式（2）成立，則說明標簽是合法的，服務器接收Rl+1，隨后服務器計算M′2=PRNG（Rl+1IDt）并對比M′2與M2是否相等。若不相等則表明消息Rl+1遭到了竄改，并終止此次認證；若相等則計算Cil+1=SCil+1⊕rs以及標簽i的確認信息ACKT=PRNG（Cil+1）。最后服務器將ACKT和ACKR發送給閱讀器，同時服務器進行數據更新：SCil=SCil+1、SRil=SRil+1、SCil+1=Cil+1、SRil+1=Rl+1。

若在驗證Rl時出現錯誤，則將SRil+1替換為SRil并再次進行驗證。若替換后的驗證依舊沒有通過，則放棄此次驗證；若此時驗證通過，則說明標簽遭受了去同步攻擊。為保證服務器與標簽的數據同步，服務器再計算Cil+1，更新為Cil+1=SCilrs，而且不對（SCil，SRil）進行更新，而是對（SCil+1，SRil+1）進行更新。

3? 協議安全分析

3.1? 協議非形式化分析

1）追蹤攻擊

攻擊者為了達到追蹤的目的需要獲取標簽i的TIDi或者獲取閱讀器j的IDr，因此敵手需要破解M1=KTS⊕TIDi與M3=IDr⊕KRS。由于KTS與KRS在認證過程中不以明文的方式傳輸，所以攻擊者無法通過竊聽獲取到KTS與KRS的值。故攻擊者無法通過破解M1與M2獲取TIDi和IDr，無法發起位置追蹤攻擊。

2）重放攻擊

攻擊者希望通過重放上一輪的認證消息來欺騙服務器通過身份認證，因此攻擊者可以重放標簽發送給閱讀器的消息M1、M2、Rl+1、Rl、KA，或者閱讀器發送給服務器的消息M1、M2、M3、KA、KB、Rl+1、Rl。當攻擊者重放標簽發送給閱讀器消息時，閱讀器接收完成計算后，會將自己的計算結果和標簽發送的信息一同轉發給服務器。服務器在收到來自閱讀器的消息后首先會對閱讀器進行認證，由于閱讀器的認證消息是本輪的且合法的，故閱讀器通過認證。接下來服務器會對標簽進行認證，由于標簽的認證消息是攻擊者重放的上一輪信息，KA會隨著隨機數rT的變化而變化，服務器接收到上一輪的KA后計算KST=Ts（KA）mod q為錯誤的密鑰，所以服務器無法計算出正確的TIDi進而終止認證。當攻擊者重放閱讀器發送給服務器的消息時，服務器接收到消息后會先驗證閱讀器，同理服務器會利用KB計算KSR=Ts（KB）mod q，并用此次算得的KRS解密M3求出IDr。由于接收到的消息為上輪重放的，所以解出的KRS并不能作為密鑰求出正確的IDr，認證終止。由此可得出攻擊者無法發動重放攻擊。

3）物理克隆攻擊

攻擊者在獲取合法標簽后希望克隆出大量相同的合法標簽來達到通過身份認證欺騙服務器的目的。由于每個標簽內都嵌入了一個PUF電路，且PUF電路具有不可被復制的特性，所以攻擊者無法復制出大量與合法標簽相同的假標簽，因為他們復制的標簽無法生成與原標簽相同的PUF函數。

4）去同步攻擊

攻擊者可以通過兩個途徑實現去同步攻擊。第一種攻擊方式是攻擊者可以通過阻斷服務器發送給閱讀器j與標簽i的確認消息ACK，讓標簽的數據無法更新，而服務器數據已經更新，由此實現去同步攻擊。本文協議中服務器存儲著本輪驗證信息與上一輪的驗證信息，在發生去同步攻擊時，服務器不會立即終止身份認證過程，而是取出存儲的上輪驗證信息再次進行驗證，如果驗證通過服務器會對存儲信息進行更新，重新實現與標簽共享秘密的同步。第二種攻擊方式是攻擊者在前一個輪次中竄改Rl+1，若服務器不對Rl+1進行驗證則會將竄改后的Rl+1存儲到數據庫之中。在接下來的驗證輪次中攻擊者將本輪的Rl竄改為與上輪Rl+1相同的值，并再次將Rl+1的值進行竄改，服務器接收到信息后會通過身份驗證并更新數據，此時服務器中存儲的兩輪數據均被攻擊者修改，去同步攻擊完成。本文協議中添加了對Rl+1的驗證，M2=PRNG（Rl+1⊕IDt），在服務器接收到Rl+1時，并不會將該值直接存入數據庫，而是先計算M2并與接收到的M2進行對比，如果兩者不同則說明Rl+1被竄改，服務器會終止此次身份認證。綜上所述，攻擊者無法發動去同步攻擊。

3.2? 協議形式化證明

3.2.1? BAN邏輯證明

BAN邏輯在形式化證明中應用廣泛，本節采用BAN邏輯來證明協議的安全性可實現三方的驗證。證明使用的邏輯符號如表2所示。

本文涉及的邏輯推理法則如下：

消息含義法則：

P|≡QKP，P{X}KP|≡Q|～X

接收消息法則：

P{X，Y}PX

新鮮性法則：

P|≡#（X）P|≡#（X，Y）

隨機值驗證法則：

P|≡#（X），P|≡Q|～XP|≡Q|≡X

管轄法則：

P|≡Q|X，P|≡Q|≡XP|≡X

本文協議的BAN邏輯描述如下，其中S為服務器，R為閱讀器，T為標簽。

M1：R→S：request；

M2：S→R：rs；

M3：R→T：ACK1，rs；

M4：T→R：M1、M2、Rl+1、Rl、KA；

M5：R→S：M1、M2、M3、Rl+1、Rl、KA、KB；

M6：S→R：ACKT、ACKR；

M7：R→T：ACKT。

在本文協議中，消息M1與M2只起到發起認證的簡單請求，且以明文發送，故不需要進行形式化分析。需要對認證消息（M3、M5、M6、M7）展開形式化安全分析。為了方便后續的BAN邏輯描述，將本文中使用的動態共享密鑰、隨機數、切比雪夫算式、標簽ID以及PUF運算等信息均使用符號K加密表示。M2、M5、M6和M7可以形式化為

M2：T{ACK，rs}K

M5：S{M1、M2、M3、Rl+1、Rl、KA、KB}K

M6：R{ACKT、ACKR}K

M7：T{ACKT}K

本文協議滿足以下基本假設：

A1：R|≡RS；? A2：S|≡SR；? A3：S|≡ST；

A4：T|≡TS；? A5：R|≡RT；? A6：T|≡TR；

A7：S|≡#（rs）；? A8：T|≡#（rs）；? A9：R|≡#（rs）；

A10：S|≡#（KA）；? A11：T|≡RACK；? A12：S|≡#（KB）；

A13：R|≡SACKR;? A14：T|≡SACKT；

A15：S|≡TRl；? A16：S|≡RRIDj。

本協議安全證明目標如下：

Goal1：T|≡ACK；

Goal2：R|≡ACKR；

Goal3：T|≡ACKT；

Goal4：S|≡Rl；

Goal5：S|≡IDr 。

證明? Goal1、Goal2、Goal3、Goal3、Goal4、Goal5：

由M2：T{ACK，rs}K，初始假設A6：T|≡TR，以及消息含義法則和接收消息法則可推斷出：

T|≡R|～ACK（3）

由A8：T|≡#（rs）以及新鮮性法則可推斷出

T|≡#（ACK）（4）

由式（3）（4）以及隨機值驗證法則可推斷出

T|≡R|≡ACK（5）

由式（5）A11：T|≡RACK和管轄法則可推理出

T|≡ACK（6）

綜上，安全目標Goal1：T|≡ACK得證。

由M6：R{ACKT、ACKR}K，初始假設A1：R|≡RS以及消息含義法則和接收消息法則可推斷出

R|≡S|～ACKR（7）

由A9：R|≡#（rs）以及新鮮性法則可推斷出

R|≡#（ACKR）（8）

根據式（7）（8）和隨機值驗證法則可推斷出

R|≡S|≡ACKR（9）

根據式（9）、A13：R|≡SACKR以及管轄法則可推斷出

R|≡ACKR（10）

綜上，安全目標Goal2：R|≡ACKR得證。

由M7：T{ACKT}K，根據初始假設A4：T|≡TS和消息含義法則可推斷出T|≡S|～ACKT（11）

由A8：T|≡#（rs）和新鮮性法則可推理出

T|≡# （Cil+1）（12）

根據式（12）以及新鮮性法則可進一步推理出

T|≡#（ACKT）（13）

根據式（11）（13）及隨機值驗證法則可推斷出

T|≡S|≡ACKT（14）

根據式（14）、初始假設A14：T|≡SACKT和管轄法則推理出

T|≡ACKT（15）

綜上，安全目標Goal3：T|≡ACKT得證。

由M5：S{M1、M2、M3、Rl+1、Rl、KA、KB}K、初始假設A3：S|≡ST，以及消息含義法則和接收消息法則推斷出

S|≡T|～Rl（16）

由A10：S|≡#（KA）及新鮮性法則可推斷出

T|≡#（Rl）（17）

根據式（16）（17）以及隨機值驗證法則推斷出

S|≡T|≡Rl（18）

根據式（18）、初始假設A15：S|≡TRl和管轄權法則推理出

S|≡Rl（19）

綜上，安全目標Goal4：S|≡Rl，得證。

由M5：S{M1、M2、M3、Rl+1、Rl、KA、KB}K、A1：R|≡RS，以及消息含義法則和消息接收法則可推理出

S|≡R|～IDr（20）

由A12：S|≡#（KB）以及新鮮性法則可得

T|≡#（IDr）（21）

根據式（20）（21）和隨機值驗證法則可的

S|≡R|≡IDr（22）

根據式（22）和A16：S|≡RIDr以及管轄權法則可得

S|≡IDr（23）

綜上，安全目標Goal5：S|≡IDr，得證。

3.2.2? Scyther工具分析

Scyther是一種協議安全性分析驗證工具，該協議分析驗證工具可以使用Dolev-Yao攻擊者模型以及強安全模型，在檢測到攻擊路徑時會以圖的方式進行解釋。以下將利用Scyther工具，使用Dolev-Yao攻擊者模型進行驗證。

在本文協議建模中，定義了三個角色，分別為T、R和S，分別表示標簽、閱讀器和服務器。其中Secert、Alive、Weakagree、Niagree和Nisynch分別用于檢測秘密泄露、重放攻擊、中間人攻擊和去同步攻擊。由于Scyther支持的運算類型有限，所以需要將協議中的隨機數發生器以及PUF函數抽象為兩個不同的哈希函數，其余的加密算法則按照協議中的描述去定義。分析結果表明：Scyther工具無法找到針對本文協議的惡意攻擊，由此本文協議可以保證標簽、閱讀器和服務器的三方秘密信息安全。Scyther工具分析結果如圖1所示。

4? 協議性能分析

4.1? 安全屬性分析與比較

文獻［2］使用了偽隨機數發生器、二次剩余定理和超輕量級位流函數保護隱私信息的安全，但是在云服務器認證標簽與閱讀器時要遍歷數據庫，開銷過大。另外，該協議還無法對抗針對標簽的物理克隆攻擊，缺少閱讀器對服務器的認證。

文獻［5］使用了哈希函數和PUF函數來保證標簽的隱私信息安全，并抵抗針對標簽的物理克隆攻擊，但是該協議缺少閱讀器和后臺服務器之間的認證。這使得攻擊者可仿冒三者任意一方進行通信交互，也可以發動重放攻擊。

文獻［6］使用了LED這一輕量化哈希函數作為加密交互信息的方法，使用PUF函數抵抗物理克隆攻擊。一方面，該協議中標簽在應答服務器的請求時會以明文的方式發送自己的ID。雖然該協議將ID設計為每輪認證都是變化的，但是敵手只要向標簽不斷的發送質詢并阻止標簽的信息更新，敵手就可以追蹤標簽的位置。另一方面，在標簽與服務器進行認證時，敵手可以記錄標簽發送給服務器的ID、Ri′、Auth1、Auth2，記錄服務器發送給標簽的Ri+1′、ID′，然后阻止標簽發送給服務器的“ok”消息，隨后敵手可以重放記錄的消息冒充標簽并通過協議認證。另外，該協議還無法抵抗去同步攻擊。首先敵手對標簽與服務器進行連續的監聽獲取標簽的兩輪唯一標識ID、ID′，隨后敵手冒充標簽給服務器發送ID′，敵手從服務獲取ID′對應的合法Ci并終止認證協議。下一步敵手冒充服務器開啟認證協議，并向標簽發送Ci，然后敵手從標簽獲取到Ci對應的合法Ri′、Auth1、Auth2。接下來敵手冒充標簽，與服務器開啟身份認證。由于敵手所具有的消息均為合法且正確的消息，所以敵手可以通過身份認證并最后發送“ok”讓服務器更新數據庫。而此時數據庫存儲的數據均為錯誤的，敵手的去同步攻擊已經完成。

文獻［7］提出基于PUF函數的三方認證協議，該協議標簽在響應閱讀器的請求時會將自己的唯一標識TIDi通過與隨機數異或后發送給閱讀器。由于參與異或的隨機數是以明文發送的，這就使得敵手可以解密獲得標簽的唯一標識TIDi，進而使得敵手可以對標簽進行位置追蹤。另一方面該協議還存在去同步攻擊。首先敵手監聽并竄改標簽為服務器提供下一輪的驗證信息Rl+1，由于服務器并不對此信息進行核實，服務器并不會察覺敵手對Rl+1的竄改，此時服務器會存儲此條消息并通過本輪驗證，將錯誤的Rl+1信息更新至數據庫。在第二輪的認證開啟時，敵手監聽并竄改標簽發送的信息Rl，使其與敵手竄改的上輪信息Rl+1相同，并竄改本輪的Rl+1信息，服務器依然會通過對Rl的驗證，完成對數據庫的更新。至此敵手已經完成了對服務器數據庫兩輪數據的竄改，使服務器徹底與標簽失去同步。另外該協議在開啟協議認證時，標簽對發出質詢的設備并不進行驗證，缺少雙向認證。

將本文協議與近期協議安全屬性進行對比，對比結果如表3所示，其中“Yes”表示能抵抗該種攻擊，“No”則表示該協議無法抵抗該種攻擊。

綜上所述，本文協議能夠抵抗上述攻擊，并且在優化協議的同時完成了三方的完整認證。因此，本文協議要優于近期文獻［2～6］中的協議。

4.2? 性能對比分析

將本文協議與現有的認證協議開銷進行對比，具體如表4所示。其中x表示異或操作，a表示加法操作，puf表示PUF運算，h表示哈希運算，ch表示切比雪夫運算，pr表示偽隨機數運算，rn表示生成隨機數，me表示模冪運算，rme表示乘法逆元運算，t表示時間戳，c表示連接，r表示循環位移。根據文獻［12，13］可知，切比雪夫的計算量與偽隨機數的計算量相當，所以一般認為，計算開銷的大小排序為c

與近幾年相關協議相比較，本文協議雖然在性能上沒有非常大的改進，但能滿足輕量級的計算量，適用于現有的輕量級RFID系統。更重要的是，本文協議可以彌補其他認證協議的缺陷，提供更好的安全性能，所以本文協議具備一定的應用價值。

5? 結束語

本文提出了一種基于切比雪夫混沌映射和PUF函數的三方認證協議。協議引入了切比雪夫混沌映射作為計算每輪共享秘密的算法，保證了標簽與閱讀器的匿名性和信息的安全性，同時也降低了對硬件資源的消耗；使用PUF函數的不可克隆性質來抵抗物理克隆攻擊；利用PUF函數響應值的唯一性作為標簽身份認證獨特標識，確保了認證消息在傳輸過程中無法被監聽重放。在降低開銷的同時來滿足各種安全屬性的需求，能夠有效抵抗物理克隆攻擊、重放攻擊、去同步攻擊、消息偽造攻擊和消息竄改等惡意攻擊。除此之外，本文使用了非形式化分析和多種形式化分析方法驗證了協議的安全性。與近幾年發表的RFID協議進行比對，本文協議在安全性和開銷方面均具有一定的優勢。綜上所述，本文提出的RFID三方認證協議在保證認證安全的同時降低了開銷，適用于資源受限的移動RFID系統。未來的研究方向是將該協議應用到具體的RFID系統當中，對具體的通信時間進行研究，并尋找繼續降低計算量的方法。

參考文獻：

［1］寇廣岳， 魏國珩， 平源，等. RFID安全認證協議綜述［J］. 計算機工程與科學， 2023，45（1）： 77-84. （Kou Guangyue， Wei Guoheng， Ping Yuan， et al. Overview of RFID security authentication protocol［J］. Computer Engineering and Science， 2023，45（1）： 77-84.）

［2］Fan Kai， Zhu Shanshan， Zhang Kuan， et al. A lightweight authentication scheme for cloud-based RFID healthcare systems［J］. IEEE Network， 2019，33（2）： 44-49.

［3］潘濤， 左開中， 王濤春，等. 移動RFID高效率認證協議設計［J］. 計算機應用研究， 2023，40（2）： 595-600. （Pan Tao， Zuo Kaizhong， Wang Taochun， et al. Design of mobile RFID high-efficiency authentication protocol［J］. Application Research of Computers， 2023，40（2）： 595-600.）

［4］尹魏昕， 賈詠哲， 高艷松，等. 物理不可克隆函數 （PUF） 研究綜述［J］. 網絡安全技術與應用， 2018（6）： 41-42，54. （Yin Wei-xin， Jia Yongzhe， Gao Yansong， et al. Review of physical unclonable functions （PUF）［J］. Network Security Technology and Applications， 2018（6）： 41-42，54.）

［5］王利， 李二霞， 紀宇晨，等. 基于PUF的抗物理克隆RFID安全認證協議［J］. 信息網絡安全， 2020，20（8）： 89-97. （Wang Li， Li Erxia， Ji Yuchen， et al. PUF based anti physical cloning RFID security authentication protocol［J］. Information Network Security， 2020，20（8）： 89-97.）

［6］王者， 王爭光， 宋賀倫. 基于PUF和LED算法的輕量級RFID安全認證協議［J］. 電子測量技術， 2022，45（14）： 1-7. （Wang Zhe， Wang Zhengguang， Song Helun. Lightweight RFID security authentication protocol based on PUF and LED algorithm［J］. Electro-nic Measurement Technology， 2022，45（14）： 1-7.）

［7］范文兵， 常正泰， 艾璐琳，等. 基于PUF的高安全性輕量級RFID三方認證協議［J］. 鄭州大學學報： 工學版， 2023，44（2）：46-52. （Fan Wenbing， Chang Zhengtai， Ai Lulin， et al. A high security lightweight RFID tripartite authentication protocol based on PUF［J］. Journal of Zhengzhou University： Engineering Edition， 2023，44（2）： 46-52.）

［8］Namasudra S， Roy P. A new secure authentication scheme for cloud computing environment［J/OL］. Concurrency and Computation Practice and Experience.（2016-05-12）. https：//doi.org/10.1002/cpe.3864.

［9］李莉， 李澤群， 李雪梅，等. 基于交叉耦合電路的物理不可克隆函數FPGA實現［J］. 信息網絡安全， 2022， 22（3）： 53-61. （Li Li， Li Zequn， Li Xuemei，et al. FPGA implementation of physical unclonable functions based on cross coupled circuits［J］. Information Network Security， 2022，22（3）： 53-61.）

［10］周楠楠. RFID系統中無源標簽的偽隨機數發生器［D］. 西安：西安電子科技大學， 2015. （Zhou Nannan. Pseudorandom number ge-nerator of RFID passive tag[D].Xian：Xidian University， 2015.）

［11］Mao Wenbo. A structured operational semantic modelling of the Dolev-Yao threat environment and its composition with cryptographic protocols［J］. Computer Standards & Interfaces， 2005，27（5）： 479-488.

［12］Lee C C. A simple key agreement scheme based on chaotic maps for VSAT satellite communications［J］. International Journal of Satellite Communications & Networking， 2013，31（4）： 177-186.

［13］陳惠紅， 陳志剛. 基于偽ID的改進的雙向認證協議［J］. 控制工程， 2021，28（10）： 2038-2044. （Chen Huihong， Chen Zhigang. An improved two-way authentication protocol based on pseudo ID［J］. Control Engineering， 2021，28（10）： 2038-2044.）