随着物联网技术的飞速发展和RFID(Radio Frequency Identification)技术的不断进步,RFID技术被广泛地应用在物流追踪、智能家居、身份认证、交通管制等日常生活的各个方面。RFID技术使人们的生活方式更加便利的同时,也对用户个人隐私数据的保护有了更加严格的要求。传统的RFID认证协议具有安全性能差,系统通信量大、标签硬件要求高等缺点,很难满足人们对RFID系统的安全需求。而在低成本RFID系统中,如何更好地保护用户的隐私,更是引起人们的高度重视。多级安全策略机制为提高低成本RFID系统安全性和降低标签硬件要求提供了新思路。基于角色的访问控制策略对认证用户进行分类,能够显著减少系统通信量,而内容访问控制机制则能更灵活地控制标签的隐私安全。但当前该领域两者结合方面的研究还不是很多,许多技术问题需要进行深入的研究。因此,本学位论文提出将基于角色访问控制策略和内容访问控制机制结合的多级安全策略机制,以提高低成本RFID系统的安全性,降低系统的硬件要求。首先,利用基于对象的访问控制机制,对认证信息进行第一步分析。结合RBAC(Role Based Access Control)安全机制,对认证用户进行初步分类,阻止无权限用户和攻击者进一步认证,从而减少通信量,降低系统功耗；其次,利用基于内容访问控制机制,采用分属性设置权限、安全等级设置,对用户访问属性做具体限制,从而更加灵活地按需保护用户隐私安全；最后,采用部分ID、异或运算等位运算来降低标签的硬件要求,以实现低成本RFID系统的要求。安全性及性能分析和仿真实验结果表明,本学位论文提出的基于多级安全策略的RFID认证协议与传统安全认证协议相比,不仅降低了标签的硬件要求和整个系统的功耗,而且能够更加灵活、安全地保护用户的隐私。通过一系列攻击实验和安全性分析以及BAN形式化逻辑证明,本学位论文提出的多级安全认证协议能够有效抵抗已知的多种攻击,并对非授权标签攻击和授权标签非授权信息攻击具有独特的防御能力,安全性更高,硬件要求更低,更加适用于低成本RFID系统。