19、一种可证明安全的离线 RFID 配对证明协议

一种可证明安全的离线 RFID 配对证明协议

1. IND - 隐私定义与现有问题

IND - 隐私定义指出，对于任意概率多项式时间（PPT）敌手 A，若 RFID 配对证明协议 Π 满足 AdvINDΠ,A(k) 关于 k 是可忽略的，则该协议满足 IND - 隐私。这里集合 T 包含所有 RFID 标签的身份信息，由于 T 中存在多个组，敌手可能试图区分不同组的 RFID 标签。

例如，有两个组 A ⊂ T 和 B ⊂ T，若 T∗0 ⊆ A 且 T∗1 ⊆ B，根据定义，即使敌手匿名获取通信消息，也无法区分这两个组。若 T∗0 ⊂ A 且 T∗1 ⊂ A，意味着敌手试图在组 A 的成员中区分标签，此时通信消息不应泄露组或标签的身份信息，以满足 IND - 隐私要求。

目前，多数基于对称密钥的协议已被破解，现有可证明安全的配对证明协议的安全级别仅针对假冒攻击。因此，首要任务是提出一种能证明对通用中间人（MIM）攻击安全的配对证明协议。同时，由于聚焦于离线配对证明协议，RFID 标签与离线验证者安全更新密钥并非易事，密钥更新机制仍是一个待解决的开放问题。

2. 提出的配对证明协议

该协议基于 Bermester 等人提出的协议，支持在配对证明生成过程中的组认证，且所有 RFID 标签都实现了安全的伪随机函数 PRF : {0, 1}k × {0, 1}∗ → {0, 1}k。协议流程如下：
- 设置阶段 ：
- 验证者 V 为每个组随机选择组密钥 kX U← {0, 1}k，为每个标签随机选择个体密钥 ki U← {0, 1}k。标签 ti 从验证者处接收 (kX, ki)。