$It{Radio Frequency Identification}$ (RFID) is an emerging technology to replace the Barcode technology. The technology can be used for many powerful applications including automatic item tracking, smart home appliances, anti-counterfeiting, $\It{etc}$. The key idea is to attach each and every item with an RFID tag which can be read by RFID readers via radio communication. Each RFID tag is a low-cost device capable of emitting a unique number which will be served as the identification information of an RFID-tagged item in a database at the back-end server. Unfortunately, a widespread adoption of RFID is uncertain because of its inherent threats in security which includes tag cloning and privacy violation. It turns out that these two security threats come from the very basic operation of an RFID tag, that is to send the identification of an RFID-tagged item (hereafter referred to as $\It{Electronic Product Code}$ (EPC)) in cleartext. This is an inherent security risk since we depend on the EPC number to recognize a product as genuine or fake. An attacker equipped with a compatible reader can scan many RFID tags to collect a large number of EPC numbers. He then can produce RFID tags which emit exactly the same EPCs he has collected. These tags are called $\It{cloned tags}$. The cloned tags can be attached to counterfeited items which should be recognized as genuine items. The core functionality of an RFID tag also raises privacy concern. As each EPC number is unique, an attacker with a compatible reader can recognize and track RFID tags which leads to privacy violation of a person carrying tagged items. Denial or disruption of service might also affect an RFID system. The reasons are two-fold: RFID requires a huge number of tag to be deployed; RFID is a wireless technology at its core and therefore is subject to various sources of interference and jamming. To deal with the security problems of RFID, the use of cryptographic protocols is required. However, designing cryptographic protocols for RFID tags is a challenging task as a low-cost RFID tag has very limited computational resources. Indeed, it is infeasible to implement current public key cryptographic primitives and block ciphers on low-cost tags. As a result, a new approach to design cryptographic protocols for RFID tags which employ only $\It{ lightweight}$ primitives is required. The most popular lightweight primitive used in designing cryptographic protocols for RFID is hash function. In this thesis, we aim to solve some of open problems in RFID security. First of all, we propose a lightweight authentication protocol called $HB^{ast}$which is secure against man-in-the-middle attack. $HB^{ast}$ is an improved version of another protocol called $HB^{+}$ proposed by Juels and Weis. However, $HB^{+}$ is not secure against man-in-the-middle attacks and several attempts to secure $HB^{+}$ against the said attack have failed. We then address a security weakness against denial-of-service attack (DoS) of many RFID authentication protocols. In particular, we point out that the existing method to authenticate and identify RFID tags may cause the back-end server to do exhaustive search on its database. We solve this problem by using a two-phase authentication method. That is, a tag is first authenticated to verify that it is actually in the database. This phase can be done by an RFID reader. Then, the server only authenticates and identifies tags that are correctly verified by the RFID reader. We apply this method to two well-known RFID authentication protocols called O-FRAP and O-RAP which were proposed by Tri Van Le $\It{et al}$. Finally, we try to solve the scalability and security issues of known grouping-proof protocols for RFID. Grouping-proof protocols allow multiple RFID tags to be scanned at once such that their co-existence is guaranteed. One typical application of a grouping-proof protocol is to scan tags that are supposed to stay $\It{together}$. We propose a scalable grouping-proof protocol as well as an accompanying security model in which we provide a sound security definition for secure grouping-proof protocols.

RFID (Radio Frequency Identification)는 모든 사물에 저렴하고 무선으로 읽고 쓸 수 있는 태그 (RFID 태그)를 부착해 공급망관리 (supply chain management)와 같은 새로운 응용분야를 이끄는 전도유망한 기술이다. 각각의 RFID 태그는 태그가 부착된 사물에 대한 자세한 정보를 나타내기 위해 고유한 문자열로 구성된 개체 식별자를 저장한다. 이러한 특성으로 인해 RFID는 공급망관리만이 아니라 개별 사용자들의 주변 환경에 위치한 다양한 사물을 식별 및 추적할 수 있게 해준다. 아이러니하게도 RFID의 고유한 특징이 RFID가 실생활에 적용되는데 걸림돌이 될 수 있는 보안 취약점을 유발한다. - $\It{Tag Cloning}$: RFID가 널리 사용된다면, 판매상품과 같은 주변 사물을 인지하기 위해 RFID에 의존하게 된다. 그러나 RFID에 저장된 개체 식별자는 RFID 리더와 태그 간의 통신 도청 혹은 호환성이 있는 RFID 리더를 통해 손쉽게 획득 가능하다. 따라서, RFID 태그는 복제되어 위조된 상품에 부착되어 진품으로 여겨질 수 있다. - $\It{사용자 프라이버시 침해}$: 개체 식별자의 고유성과 폭넓은 유효성은 최종 사용자의 프라이버시를 침해할 수 있다. RFID 태그가 널리 보급되어 대다수의 사람들은 RFID 태그가 부착된 다수의 제품을 소지하면, 호환성이 있는 RFID 리더를 소지한 악의적인 공격자로 하여금 개별 사용자가 소지한 제품을 식별하거나 개별 사용자의 위치를 추적할 수 있다. 이러한 보안 취약점을 해결하기 위해 RFID 리더와 태그 통신뿐만 아니라, RFID 기술의 모든 계층에 암호프로토콜을 통합해야 한다. 이를 위해 본 논문에서는 3가지 암호프로토콜을 제안한다. 먼저, 중간자 공격에 내성을 지니며, 경량화된 인증 프로토콜 ->$HB^{ast}$ 를 제안하였다. 둘째, Tri Van Le $\It{et al}$. 이 제안한 O-FRAP와 O-RAP가 DoS 공격에 취약한 점을 지적한 다음 해당 프로토콜들을 2단계 인증 기법을 통해 개선하였다. 이는 다수의 인증 프로토콜들과 유사하게 O-FRAP와 O-RAP도 RFID 태그 식별을 위해 Back-end 서버가 자신의 데이터베이스 전수 검사하기에 DoS 공격에 악용될 수 있다. 이를 해결하기 위해 RFID 태그는 Back-end 서버의 데이터베이스에 존재여부를 인증하고 Back-end 서버는 RFID 리더에 의해 태그가 정확하게 확인된 여부를 인증하고 식별하도록 하였다. 마지막으로 한번의 스캔을 통해 다수의 태그가 동일한 장소에 있는지를 파악하는데 활용되는 grouping-proof 프로토콜의 확장성 이슈를 해결해 새로운 grouping-proof protocol을 제안하였으며, 해당 프로토콜의 보안 모델을 만들어 제안된 프로토콜의 안전성을 분석하였다.