无线射频识别(Radio Frequency Identification,RFID)是一种使用无线射频技术在开放的环境下能够自动识别物体和人等目标的技术。随着物联网(Internet of Things,I0丁)的发展,RFID技术已在各行各业广泛应用。RFID系统中开放的无线通信信道易遭受多种恶意攻击,存在安全隐患,成为RFID技术在诸多应用领域中部署的重大障碍。近年来,RFID认证协议的安全和隐私问题受到越来越多研究人员的关注,但现有大多数RFID认证协议仍然存在安全和隐私隐患。因此,设计面向物联网的RFID安全认证协、议是保障用户安全认证和保护隐私的重要方式。本文针对目前RFID系统中阅读器与标签通信认证以及RFID标签所有权转移认证过程中存在的安全隐患和隐私隐患展开研究,主要取得了以下三个方面的研究成果:1.提出一种基于位重排运算的超轻量级RFID双向认证协议(RFID Mutual Authentication Protocol based on Regeneration,RRMAP),实现了低成本被动 RFID 标签上的超轻量级认证机制。提出位重排运算(Reg(X,Y))的定义:对两组二进制数进行逆序自组合变换,并进行奇偶相邻交叉异或操作。通过新定义的位重排运算(Reg(X,Y)),并结合左循环移位运算(Rot(X,Y))和模2m加运算(mod2m(+))实现阅读器和标签间的双向认证。BAN(Burrows-Abadi-Needham)逻辑形式化安全性分析以及Scyther安全分析表明RRMAP协议具有比较完备的安全和隐私保护属性,能够抵抗RFID系统所面临的恶意攻击方式,与现有典型超轻量级RFID认证协议相比,RRMAP协议降低了标签端的存储空间消耗和计算开销,较好地满足了低成本RFID标签资源受限的运算和存储需求,适用于物联网环境下低成本无源被动RFID标签双向认证系统。2.提出一种基于物理不可克隆函数(Physical Unclonable Function,PUF)的超轻量级RFID 标签所有权转移协议(Ultra-Lightweight RFID Ownership Transfer Protocol based on PUF,PUROTP),解决了 RFID标签所有权转移所面临的数据完整性破坏、物理克隆攻击、去同步攻击等多种恶意攻击,能够有效保证标签所有者的数据隐私。利用左循环移位运算(Rot(X,Y))和异或运算(⊕)以及标签中内置的物理不可克隆运算P(·)构建标签与原所有者和新所有者之间的直接通信过程,避免了在所有权转移过程中引入可信第三方,分别实现了标签与原所有者和标签与新所有者之间的两重双向认证。BAN逻辑形式化安全性分析以及Scyther安全分析表明PUROTP协议能够保证标签所有权转移通信过程中交互信息的安全性及数据隐私性。与现有典型RFID所有权转移协议在安全性及性能方面相比,PUROTP协议不仅具有标签所有权转移过程中的安全属性,而且能够抵抗多种恶意攻击。在没有额外增加计算代价和存储开销的同时克服了现有方案存在的安全和隐私隐患,适用于产品所有权不断进行安全转移的商品管理系统。3.提出了一种基于区块链和物理不可克隆函数的超轻量级RFID双向认证协议(Ultra-Lightweight RFID Authentication Protocol based on BlockChain and PUF,BPURMAP),解决了传统RFID系统中集中式方案存在的数据存储单点故障问题。利用BPURMAP协议存储在区块链上的阅读器和标签之间的共享密钥和物理不可克隆函数运算(P(·))来构建阅读器和标签间的双向认证过程。利用形式化安全性分析工具GNY(Li Gong-Roger Needhamm-Raphael Yahalom)逻辑和 Scyther 验证了 BPURMAP 协议的安全性,确保通信过程中交互信息的数据机密性、数据完整性、前向安全性等多种安全属性,同时能够抵抗重放攻击、去同步攻击、物理克隆攻击等多种恶意攻击。BPURMAP协议在降低标签端计算代价和存储开销的同时并没有额外增加通信开销,适用于基于区块链的供应链管理系统。