作为物联网(Internet of Things, IoT)的底层感知技术,射频识别(RFID)是普适计算领域最重要的技术之一。RFID最初是作为条形码技术的替代而引入的。尽管RFID比其他的识别技术具有很强的优势,但是与之相关的安全隐私问题也非常不容易解决,甚至已经成为了阻碍RFID技术普及应用的主要原因。随着物联网的发展,RFID技术也已经渗入到了人们生活的各个方面,一些应用甚至涉及到了使用者的敏感信息,如人体植入、电子护照等。因此,RFID技术的安全问题已不再是单纯的数据安全,还涉及到了使用者的隐私权问题。RFID技术的安全隐私问题将成为该技术普及应用的重要阻碍。根据能量获取方式,标签可以分为无源、有源和半有源标签,根据价格,又可以分为低成本标签和高成本标签。标准的密码学解决方案在安全性方面有较好的保障,但是在电路规模、能量消耗、内存容量等方面都有较高的要求。无源低成本标签由于受到价格和能量的限制,只能采用轻量级的密码技术,其安全隐私问题极难解决。本论文对低成本无源标签的安全隐私问题进行了广泛深入地研究,并重点解决基于EPC1类2代(EPC Class1Generation2,简称EPC C1G2)的供应链系统安全隐私问题。论文首先在查阅了大量国内外有关技术文献的基础上,对低成本RFID安全隐私问题的解决方法进行了研究,确定以基于哈希函数和伪随机数发生器(Pseudo Random Number Generator,PRNG)的轻量级解决方案为研究重点,并对低复杂性哈希函数、伪随机数发生器和轻量级RFID认证协议的研究现状进行了综述。然后对RFID的安全隐私问题及分类情况进行了介绍,确定安全隐私目标,并概述了EPC1类2代标准和其安全问题。自第三章开始,论文从电路设计、安全隐私协议设计和模型构造三个方面对基于低复杂性哈希函数和伪随机数发生器的安全隐私技术进行了深入的研究,并提出自己的解决方案。本文首先提出了一种基于并行线性反馈移位寄存器(Linear Feedback Shift Register, LFSR)的轻量级通用哈希函数HMISR；然后以HMISR为基础,采用循环迭代方式构造了轻量级伪随机数发生器M-PRNG;并设计了基于通用哈希函数和伪随机数发生器的所有权转移隐私双向认证协议πOTP,在标准模型下证明了πOTP的安全性；最后构建了所有权转移隐私的UC模型,并证明了πOTP的UC安全性。本文所做创新性工作主要包含以下五个方面。(1)提出了一种适用于低成本无源RFID标签的低复杂性通用哈希函数HM-hash°哈希函数在认证协议中是非常重要的,许多轻量级RFID认证协议也采用哈希函数在认证过程中对标签的身份标识进行保护。但是针对低成本无源RFID标签的哈希函数硬件实现方法的研究却很少,仅有基于LFSR的Toeplitz哈希和循环冗余码(Cyclic Redundancy Code, CRC)哈希被提出来。H M-hash以并行线性反馈移位寄存器作为基本电路,采用并行压缩方式计算哈希值,利用压缩过程的信息损失而带来的单向性提供哈希函数的安全性。经过严格的理论证明,HM-hash具有最佳的平衡度,即平衡度为1,是一个规则哈希函数,且为强通用哈希函数族,可以保证其具有很高的安全性。在硬件实现上,HM-hash以LFSR为核心电路,结构简单,复杂性低,与基于LFSR的Toeplitz哈希相比,具有安全性高和硬件消耗低的优点(详见3.3和3.4节)。(2)提出了一种适用于低成本无源RFID标签的低复杂性伪随机数发生器M-PRMG.为了提供标签认证过程中的随机性,RFID认证协议通常在标签中设置一个伪随机数发生器。此外在EPC C1G2标签中,伪随机数还用来帮助标签的防碰撞识别。目前针对适用于RFID标签的伪随机数发生器的研究大多是LFSR结合真随机数的方式,但是这种发生器的缺点是功耗过高,且效率低。另外一种适用于EPC C1G2的伪随机数发生器LAMED基于简单的异或等逻辑运算,安全性较差。本文以HM-hash为基础,提出一种基于单向函数迭代的伪随机数发生器M-PRMG。此类发生器的主要代表有BMY和GKL发生器。BMY发生器的主要优点是结构简单,效率高,种子长度与单向函数的输入可以保持线性关系,缺点是对单向函数有严格的限制,必须为单向置换。而GKL发生器通过在迭代过程中引入随机性因素,放松了对单向函数的要求,仅要求是规范单向函数,但是要求所采用的单向函数和通用哈希函数均为长度保持函数,其本质还是单向置换。本文结合了BMY和GKL两种发生器的优点,同时对GKL发生器的随机化迭代方式进行了扩展,采用规范单向函数和通用哈希函数为基础,提出了适用于LFSR标签的伪随机数发生器M-PRNG。M-PRNG的基本结构与BMY发生器类似,种子长度与单向函数的输入为线性关系,但是降低了BMY结构中的单向置换要求,采用规范单向函数,实现效率更高。在硬件实现上,M-PRNG的单向函数、通用哈希函数和核心断言函数均基于LFSR进行设计,硬件消耗比其他低复杂性伪随机数发生器都要低,如Grain、LAMED。经过证明,M-PRNG所产生的随机序列与真随机序列是不可区分的,从理论上证明了M-PRNG的安全性；对所产生的伪随机序列进行统计分析的结果表明,其随机性通过了NIST测试,并完全满足EPC C1G2对伪随机数的要求(详见4.3节)。(3)建立了所有权转移隐私的标准模型和通用可组合(Universally Composable,UC)模型。安全隐私协议的设计需要基于特定的模型,包括敌手能力、安全隐私目标和系统设置,且协议的安全隐私属性也需要借助特定的模型进行验证。目前的安全隐私标准模型大多以前向隐私作为最高隐私性,关于所有权转移隐私标准模型的研究很少。本文对最常用的Vaudenay模型进行了扩展,增加了前向不可追踪性,建立了所有权转移安全隐私模型。根据基于RFID的供应链系统的安全隐私要求,对安全性、隐私性和正确性三个安全隐私需求进行了定义(详见5.2节),并在该模型下验证了协议πOTP的安全隐私性(详见5.5节)。UC模型是一种验证安全协议的特殊方式,当被证明为UC安全的协议作为复杂系统的组成部分时,该系统的安全性不用经过重新证明。RFID一般是作为复杂网络的组成部分,因此为了保证以RFID作为组成部分的系统安全性,论文对πOTP的UC安全性进行了验证。本文在前向隐私UC模型的基础上,重新设计了所有权转移隐私理想函数FOTP,首次建立了所有权转移UC模型(详见5.6.2节)。并构建了将真实协议转换到理想过程的模拟器,用逐次逼近法验证了协议πOTP,的UC安全性,保证了当RFID系统作为物联网组成部分时的系统安全性。(4)提出了一种所有权转移隐私双向认证协议πOTP。所有权转移隐私是供应链领域特有的隐私保护问题,要求协议具有前向不可追踪性和后向不可追踪性。目前对所有权转移隐私协议的研究缺大多都需要借助可信第三方或单独的所有权转移环境,不能实现真正的所有权转移隐私性。由于所有权转移隐私性包含了前向隐私性,本文对OSK前向隐私协议进行了改进,使其可以抗击DoS攻击,同时又具有前向不可追踪性和双向认证性,设计实现了所有权转移隐私双向认证协议πOTP°为了实现匿名性,πOTP协议设有一个私有密钥,在每次应答时由伪随机数发生器进行更新,以保证标签的位置隐私性和不可跟踪性。为了实现双向认证性、正确性和隐私性,πOTP协议设有一个公有密钥,由安全的通用哈希函数产生,同时保持在标签和后端数据库中,每次成功认证后进行更新。πOTP以通用哈希函数、伪随机发生器作为密码技术,利用通用哈希函数的抗碰撞性和伪随机数与真随机数的不可区分性保证协议的安全隐私属性,是一种适用于低成本无源RFID标签的轻量级认证协议(详见5.4节)。