基于非对称密钥和Hash函数的RFID双向认证.docx

《基于非对称密钥和Hash函数的RFID双向认证.docx》由会员分享，可在线阅读，更多相关《基于非对称密钥和Hash函数的RFID双向认证.docx（9页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、密码学报 ISSN 2095-7025 CN 10-1195/TN Journal of Cryptologic Research 14,1 (5) :456-464 密码学报编辑部版权所有 . E-mail: http: /w w w .j cr.cacrnet.org .cn Tel/Fax: +86-10-81033101 基于非对称密钥和 Hash 函数的 RFID 双向认证协议 $ 苑 津 莎 ， 徐 扬 ， 戚 银 城 ， 胡 岳 华北电力大学新能源电力系统国家重点实验室，保定 071003 通讯作者：徐扬， E-mail: xuyanggirl 摘要：随着 RFID 系统的广

2、泛应用，系统安全问题日益突出 .认证协议是一种面向应用层的协议，防止 攻击者对敏感数据进行窃取，保证通信内容的完整性 .由于无源 RFID 标签内存和容量的限制，使得目前 通用的无线传感器网络中的安全协议在 RFID系统不能直接使用 .本文首先分析现有的基于密码学的认证 协议和基于 Hash函数的 4种典型的 RF1D认证协议，包括 Hash锁协议、随机化 Hash锁协议、 Hash链协 议、基于 Hash函数的 ID变化协议的特点和缺陷，针对构架于物联网开放的 EPC服务环境，提出了 一种新 的基于非对称密钥和 Hash函数的双向认证协议，并给出了标签生成数字串和读写器生成数字串两种更新 方

3、案 .该协议通过私钥对读写器的身份进行验证，使读写器与数据库相互独立；利用 Hash函数对随机数字 串进行运算来认证标签，保证了标签的前向安全性；运用 BAN逻辑的形式化分析方法，对该协议的安全性 进行了推导证明 .通过对几种基于 Hash 函数认证协议的标签计算时间、读写器计算时间、数据库计算复 杂度、标签存储容量 4种性能对比分析表明，该协议实现复杂度低，更适合低成本、多用户系统使用 . 关键词 ：Hash 函数；非对称密钥； RFID认证 ;BAN逻辑 中图法分类号： TP309.7 文献标识码 :A DOI: 10.13868/ki.jcr.000043 中文引用格式：苑津莎，徐扬，戚

4、银城，胡岳 .基于非对称密钥和 Hash函数的 RFID双向认证协议 J.密码学报， 2014, 1(5): 456-464. 英文引用格式： Yuan J S, Xu Y, Qi Y C, Hu Y. Mutual authentication protocol for RFID based on asymmetric keys and Hash functionJ. Journal of Cryptologic Research, 2014, 1(5): 45664. Mutual Authentication Protocol for RFID Based on Asymmetric K

5、eys and Hash Function YUAN Jin-Sha, XU Yang, QI Yin-Cheng, HU Yue State Key Laboratory for Alternate Electric Power System with Renewable Energy Sources, North China Electric Power University, Baoding 071003, China Corresponding author: XU Yang, E-mail: Abstract: With the widely use of RFID systems

6、, their security problem is becoming prominent. Authentication protocols are a kind of application oriented protocols, preventing the attackers to steal sensitive data, ensuring the integrity of the communication content. Because of the resource limitation of passive RFID tags, the general security

7、protocols in wireless sensor networks cannot be used directly in the RFID systems. By discussing 基金项目：中央髙校基本科研业务费 (20132667) 收稿日期： 2014-07-28定稿日期： 2014-09-28 苑津莎等：基于非对称密钥和 Hash 函数的 RFID 双向认证协议 457 cryptography protocols and four kinds of typical RFID authentication protocol based on the Hash functio

8、n, Hash-Lock protocol, Random Hash-Lock protocol, Hash-chain protocol, Hash-based Variation protocol, and based on the characteristics and defects of them, and aiming at the architecture in open EPC service environment in the internet of things, this paper proposed a new mutual authentication protoc

9、ol based on asymmetric keys and Hash functions, which gives the two schemes for the tags to update the number list and for the reader to update the number list. The protocol takes advantage of the private key to verify the identity of the reader, which ensures the reader and the database to be indep

10、endent of each other. Hash algorithms are used on the random number list to identify the tags, which provide the forward security. The protocol uses BAN logic formalized analysis method to prove the security. According to the comparison on 4 kinds of performance, the tag computation time, the reader

11、 computation time, computational complexity of the database, tag storage capacity of 4 kinds of authentication protocol based on the Hash function, the protocol implementation complexity is low and is more suitable for low cost multi-user system. Key words: Hash function; asymmetric keys; RFID certi

12、fication; BAN logic i 引言 无线射频识别技术 (radio frequency identification, RFID)是一种自动识别技术，能实现对感知物品的精 确定位和资源共享，它的信息读取过程不需要人工干预，还能够在恶劣环境下工作，因此在许 多领域得到 了广泛应用，如图书管理系统、供应链管理系统、金融系统等 .随着 RFID技术的普及，安全问题变得日益 突出 1. 近几年针对 RFID 系统中存在的安全问题及可能的威胁，国内外的研究机构和学者们也进行了大量的 研究 .把密钥方法引入 RFID认证协议中，取得了一些研究成果，如基于散列函数和循环冗余码 (cyclic

13、redundancy code， CRC)的 RFID安全认证协议等 3-5 但是 RFID标签的低成本、低功耗的应用需求，使它无 法实现复杂的高安全加密算法 . Hash函数因操作简单、易实现，被广泛用于 RFID安全认证协议中，如 Hash-Lock、 Hash链协议 、 ID 变化协议等 (8，但由于其认证是标签与本地数据库之间的认证，阅读器和本地数据库捆绑在一起，本地 数据库不允许其他用户或其他阅读器访问，否则就失去了安全性，使其不适合应用于物联网上的 EPC-IS(EPC information system or EPC information service)环境，也不适合供应链

14、上的多用户系统 9 针对 上述问题，本文提出了一种新的认证协议 一 基于非对称密钥和 Hash函数的 RFID双向认证协议 (asymmetric keys and the Hash function, AKHF).本文首先对已有的基于密钥方法和 Hash函数的协议进行 对比研究，然后对 AKHF协议和几种基于 Hash函数协议的性能进行比较，最后采用 BAN逻辑的形式化分 析方法对该协议的安全性进行证明 . 2 RFID 认证协议比较研究 2.1 基于传统加密算法的 RFID 认证协议 在基于加密算法的 RFID 认证协议中，一种是基于对称密钥，即在读写器和标签之间共享同一个密钥 的方法 .

15、这个方法的缺点是一旦某个标签的密钥被泄露，就会破坏整个系统 .另一种是采用公钥密码机制 的认证协议，该方法需要两个密钥：公钥和私钥，如果用公钥对数据进行加密，只有用对应的私钥才能解 密；如果用私钥对数据进行加密，那么只有用对应的公钥才能解密 .因为加密和解密使用的是两个不同的 密钥，该加密优点在于无需共享的通用密钥，解密的私钥不发往任何用户 .即使公钥在网上被截获，如果 没有与其匹配的私钥，也无法解密，所截获的公钥是没有任何用处的 .这种方法可以提供较好的安全性和 私密性 1(U1，具体的协议实现方式如 AES、 ECC、 RSA 等 .但是公钥密码机制具有很高的计算复杂性，所 458 Jou

16、rnal of Cryptologic Research 密码学报 Vol/l， No.5, Oct. 2014 以认证协议具有较高的安全性，但同时对标签的计算能力、存储能要求较高，实用性不大 . 2.2 基于 Hash 函数的 RFID 认证协议 2.2.1 Hash 锁 (Hash-Lock)协议 Hash-Lock协议是由 Sarma等人提出的，其认证过程如图 1 所示 . 图 1 Hash-Lock协议认证过程 Figure 1 Authentication process of Hash-Lock Protocol 协议使用 metalD来代替真实的标签标识符，避免了 ID的信息泄漏

17、 .协议对硬件电路要求相对简单， 适合低频标签 .但是在协议中 ID 最后以明文的形式进行传送，且其哈希值 (metalD) 直保持不变，通信过 程非常容易受到假冒攻击、重传攻击和位置跟踪 . 2.2.2 随机化 Hash 锁 (Random Hash-Lock)协议 Random Hash-Lock协议是 Hash-Lock协议的升级版，升级之后的协议用随机数友取代了密钥 Key. Random Hash-Lock协议仍然存在安全漏洞 .首先标签被判定为合法标签后，其标识符 ID还是以明文的方 式在读写器和标签之间的 不安全信道中传输，这样攻击者很容易假冒标签 .其次，在此协议中攻击者能根

18、据信息推断出历史信息，并不具有良好的前向安全性 . 2.2.3 Hash链协议 Hash链协议认证过程使用了两个不同的 Hash函数来进行计算和更新，而且传输过程没有出现标签的 标识符 ID，避免了非法跟踪标签和标签信息的泄露 .但为完成一个标签的一次认证， Hash 运算和比较的运 算量很大，对系统的负载要求很高，不适合有大量标签工作的环境 . 2.2.4 基于 Hash 函数的 ID 变化协议 (Hash-based Variation) Hash-based Variation协议选用随机数友对标识符 ID进行动态刷新，来保证每一次会话中标识符 ID所 交换信息都不相同 .这种机制可有效

19、的抵抗攻击者的重放攻击 .该协议为双向认证，但系统仍然是通过数 据库认证读写器，只要读写器接到相应的数据库上就可通过认证 . 以上 5种协议的优缺点如表 1 所不 . 表 1以上各安全协议的优缺点 Table 1 The advantages and disadvantages of the above security protocols 协议名 协议的优点 协议的缺点 Hash-Lock 协议 对硬件电路要求简中 1,隐藏了信息 易受到假 0 攻击、重传攻击和位置跟踪 Random Hash-Lock 协议 避免了标签跟踪，隐藏了信息 易受到假 0 攻击，前向安全性不足 Hash 链协议

20、避免了非法跟踪标签和标签信息的泄露 易受到重传攻击和假 0 攻击，计算量大 Hash-based Variation MliX 基于传统加密算法的 RFID 认证协议 避免重放攻击，为双向认证 安全性高 易遭受异步攻击，应用环境有限 成本极高 苑津莎等：基于非对称密钥和 Hash 函数的 RFID 双向认证协议 459 3 _种基于非对称密钥和 Hash 函数的 RFID 双向认证协议 RFID系统一般有三部分组成：标签 (Tag)、 读写器 (Reader)和建于互联网上的数据环境 EPC-IS. EPC-IS 数据库和读写器一般都具有足够的存储和计算能力，两者之间可以使用有线信道进行通信，

21、 H前互联网上 的密码算法和安全协议完全可以保护它们的通信安全，因此对 RFID系统的安全问题主要在读写器和标签 之间 . AKHF协议采用双向验证方式，在一个信息读取过程中标签和读写器都要相互验证彼此的身份，确认 双方都是系统内合法设备 .AKHF安全协议分为认证协议和更新协议两大部分 .在标签判定成功后会对标 签中的敏感数据 (数字串 num)进行更新，有效防止标签被恶意追踪和定位 .对数字串 num的更新提出了两 种方案：一种为标签生成新数字串 num(图2); 种为读写器生成新数字串 num(图 3). 初始环境中，标签、读写器和后台数据库先进行初始化，在标签和读写器写入相同 Hash

22、 算法 .读写器 中引入一个随机数产生模块，并存储非对称密钥对 (公钥尤私钥 A-1)， 公钥 Y公开，以便标签在生成过程 中使用 .读写器通常与计算机相连，并通过互联网访问物联网的 EPC-IS数据 .EPC-IS数据环境中存有标签 唯一的标识符 ID， 且标签出厂前利用公钥 Y将数字串 num和物产品信息 M加密后所得的 Dnum和 DM存 储到 EPC-IS数据中 .物品信息 M是否加密可根据不同的应用环境 ， j 商自行选择 .标签上存储 DID (用公 钥 Y对 ID加密后的标签标识符 )、数字串 num、 Hash函数，并引入一个随机数产生模块 . 方案详细步骤如下： 步骤 1:标

23、签进入读写器作用范围后，读写器 发送请求 Query给标签； 步骤 2:标签收到请求信息后，对 ID进行加密得到 DID， 并将 DID发送给读写器； 步骤 3:读写器收到标签的信息后，用存储的私钥 f对 DID进行解密，得到标签标识符 ID， 并将 ID 发送给 EPC-IS; 步骤 4:读写器把 ID转发给 EPC-IS， EPC-IS根据 ID查找信息 jDnum， DMj并发送给读写器； 步骤 5:读写器对 Dnum、 DM解密得到 num、 M， 产生随机数犀并计算 步骤 6:读写器发送随机数 给标签； 步骤 7:标签收到犀后计算 /2 = /(numlS)并把 /2发送给读写器；

24、步骤 8:读写器判断 /与 /是否相等 .若不相等，标签非法，终止会话 .若相等，标签合法，完成身 份认证 . 更新方案一：标签产生新数字串 num: 步骤 9:读写器产生新的随机数 ，计算 /3 = /(numi); 步骤 10:读写器发送 /3、 和更新命令给标签，多个信息构成一个完整的数据帧，从而保证命令的安 全性 ; 步骤 11 :标 签 计 算 与 /3 做 比 较 ， 若 不 相 等 则 结 束 ， 若 相 等 ， 更 新 num.产生随机数八， 数字串 Nnum = num 晃，计算 /4 = /(Nnum|A3). 步骤 12:标签发送 | ，八， 给读写器 . 步骤 13:读

25、写器更新勵 11111 = 1111111 友 3，计算 /5=/(1111111|友 3)， /5与 /4相比较 .若相等，代表标签 更新成功，用公钥 A对 Nnum进行加密得到 DNnum. 步骤 14:发送 DNnum给 EPC-IS,替换 DNnum. 460 Journal of Cryptologic Research 密码学报 Vol/l， No.5, Oct. 2014 图 2认证协议 (由标签产生新数字串 num) Figure 2 Authentication protocol (new num generated by the tag) 更新方案二：读写器产生新数字串 n

26、um: 步骤 9:读写器产生新的随机数 ，计算 Nnum = num ，计算 /3 = /(Nnuml); 步骤 10:读 写 器 发 送 给 标 签 要 求 更 新 num; 步骤 11:标签根据 计算 Nnum = num 和 /4 =/(Nnum|)， 比较 /3和 /4，若不相等结束会话 . 若相等更新 num,标签产生随机数八，计算 /5 = /(Nnum|i?3); 步骤 12:标签将晃， /5和更新成功信息组成一个数据帧，发送给读写器； 步骤 13:读写器计算 /6=/(Nnum3)与 /5进行比较，若相等，代表标签更新成功，用公钥 Y对 Nnum进行加密得到 DNnum;若不相

27、等，则更新失败，恢复初始信息 . 步骤 14:发送 DNnum给 EPC-IS,更新 Dnum. 图 3认证协议 (由读写器产生新数字串 num) Figure 3 Authentication protocol (new num generated by the reader) 苑津莎等：基于非对称密钥和 Hash 函数的 RFID 双向认证协议 461 4 协 议 性 能 分 析 4.1 协议的安全性能分析 一个合理的认证协议需要能够在信息安全和隐私方面提供有效的保护，系统的安全性、隐私性和不可 追踪性是认证协议需要考虑的主要 H标 1.在开放的 RFID系统中，可能遭受的攻击类型有标签跟

28、踪、欺骗 攻击、重放攻击、拒绝服务攻击、中间人攻击、标签复制、物理攻击、基于位置的攻击等 12.该协议抵抗 攻击的安全优势如下： (1) 双向身份认证 .私钥验证读写器身份，使得读写器可独立认证，这一特点使其更适合开放的 EPC-IS环境 .标签和读写器之间的非对称密钥可以有效防止假冒攻击、信息窃听、拒绝服务和篡 改等多种攻击 . (2) Hash 函数的不可逆的特性防止了标签和读写器之间的信息被窃取和跟踪 .方案中采用数字串 num 的哈希运算来认证标签 .哈希函数的不可逆性确保了数字串 num 的前向安全问题 .标签标识符 ID， 作为关键词用来查询EPC-IS中的数据信息，避免了信息泄露

29、 .EPC-IS存储用公钥加密的 num， 可 以避免其他用户获得，有效的防止信息窃密和攻击 . (3) 可抵抗重发攻击、避免被跟踪 .对数字串 num进行更新，与随机数友进行不可逆的哈希运算，认 证和更新时使用不同的随机数，更新值不可预测，防止被跟踪；即使上次合法的数据包被截获，下 次通信的数据变化仍不可测 . (4) 负载低，安全性高 .协议中并不需要在标签中置入加密算法，而是把加密算法放在读写器中，不需 要标签具有大容量和高的处理速度，因此也不会提高标签成本 .标签在每次认证过程中，数据库 只有 1 次搜索任务，标签则仅需 1次哈希函数计算 . (5) 解决了标签更新不同步的问题 .每次

30、标签更新完成后，需要用更新后的字符串 Nnum与随机数尺 进行哈希运算，由读写器进行更新确认来保证同步更新 . 4.2 协议的计算性能分析 对协议的性能分析主要从标签计算时间、读写器计算时间、后端数据库计算复杂度和标签的存储容量 4 个方面进行分析 .2.2节中所述基于 Hash函数的认证协议性能分析如表 2所不 .表中 7；为 Hash函数运算 时间， 7；为随机数运算时间， 7；为解密 (或加密 )算法运算时间，为数据库存储的标签信息记录数量， 为哈希函数运算， M为哈希链长度， 为数据库搜索标签信息时的计算量， L为标签加密后的 bit长度， A为标签身份信息的bit长度 . 表 2 基

31、于 Hash函数认证协议的性能比较 Figure 2 The performance of the authentication protocol based on the Hash function 协议 标签计算时间 读写器计算时间 数据库计算复杂度 标签存储谷量 Hash 锁协议 TH - 2L 随机 Hash 锁协议 TH +TR nTH o(nH L Hash 链协议 2& _ o、 Mn、 H L ID 变化协议 37； - o(nH L AKHF 协议 TH TH +TK )H L + L 从表 2可以看出，在 AKHF协议的认证过程中，标签的 Hash计算量只有一次，在一定程度

32、上降低了标 462 To， 77/to/c/cifeyeB 4丨 =#(/?,)(其中 / = 1， 2,3); 5h#(DID); 5一 #(11腿 )； Sh/lbDID; .S |= 51 DNnum; S h #(DNnum); A = B (num,i?3). 建立协议的理想化模型： Message 1 i45:DIDA. Message2 S B : DM,DnumK y Message3 A B H m x m R Message4 B A H ( m x m IW， A. Message5 A 5: |/, ,/(Nnum|/?3 )| 苑津莎等：基于非对称密钥和 Hash 函

33、数的 RFID 双向认证协议 463 Message6 B S: DNnumK y 协议正确性证明目标： S h DNnum. 证明过程如下： 模型中的消息 Messagel 可得到 5乂， 根据规贝丨 可得 卜 (num， )， 由假 设 5h#(num)和规则 得出 5h#(num， ， 再由规则 可推出 Ah(num， ， 由规则 可推 出 5 h num. 消息 Message4可知 A B和规则 可 推 出 Ah5 l， ( num，)L. 由 假 设 及 规 则 可推出 Aldnum， )、， 再有规则 可推 出 4一 5丨 ，（ 1111111， ).由规则 可推出 /1 卜 5

34、一（ 1111111， )，由假设 /1 一 54(1111111，友 3)，利用规 则 可知 A h (num， ) 同理由消息 Message5可推出 A h (num,友 3). 消息 Message6可得 S DNnum丨 Key，由假设 S 和规则 可推出 S h 5卜 DNnum.由假 设 X h #(DNnum)和规则 可推出 S h 5 h丨 DNnum丨 .由假设 S b DNnum和规则 可推出 S h DNnum.整个标签产生数字串的认证和更新过程推理完毕 . 6 结论 本文针对 RFID 系统的安全问题，在加密算法和 Hash 函数的认证协议基础上提出了一种新的 RFI

35、D 双 向认证协议，并对协议的安全性进行了证明 .该协议能满足认证协议的安全性、隐私性和不可追踪性的要 求 .通过对现有的几种基于 Hash 函数认证协议的比较研究表明，该协议将数据库与读写器分离，单独认证 读写器，且具有较高的效率，实现复杂度低，适用于一般意义的物联网上 EPC-IS 环境，如果用在内部封闭的 系统上，方案同样适用可行 . References 1 Juels A. RFID security and privacy: a research surveyJ. IEEE Journal on Selected Areas in Communications, 2006, 24(

36、2): 381-394. 2 Zhou Y B, Feng D G. Design an analysis of cryptographic protocols for RFIDJ. Chinese Journal of Computer, 2006, 29(4): 581-589. 周永彬 ， 冯登国 .RFID 安全协议的设计与分析 J.计算机学报 ,2006, 29(4): 581-589. 3 Huang Y J, Lin W C, Li H L. Efficient implementation of RFID mutual authentication protocolJ. IEE

37、E Transactions on Industrial Electronics, 2012, 59(12): 4784-4791. 4 Babaheidarian P, Delayar M, Mohajeri J. On the security of an ECC based RFID authentication protocolC. In: 9th International 464 Journal of Cryptologic Research 密码学报 Vol/l， No.5, Oct. 2014 ISC Conference on Information Security and

38、 Cryptology ISCISC 2012. IEEE, 2012: 111-114. 5 Xiao F, Zhou Y J, Zhou J X, et al. Provable secure mutual authentication protocol for RFID in the standard modelJ. Journal on Communications, 2013, 34(4): 82-87. 肖锋，周亚建，周景贤等 .标准模型下可证明安全的 RFID 双向认证协议 J.通信学报 ,2013, 34(4): 82-87. 6 Ding Z H, Li J T, Feng

39、B. Research on hash-based RFID security authentication protocolJ. Journal of Computer Research and Development, 2009, 46(4): 583-592. 丫振华 ， 李锦涛，冯波 .基于 Hash 函数的 RFID 安全认证协议研究 J.计算机研究与发展 ， 2009, 46(4): 583-592. 7 Bogdanov A, Knezevic M, Leander G, et al. Spongent: the design space of lightweight crypt

40、ographic hashingJ. IEEE Transactions on Computers, 2013, 62(10): 2041-2053. 8 Zhang B, MA X X, Qin Z G. Design and analysis of a lightweight mutual authentication protocol for RFIDJ. Journal of University of Electric Science and Technology of China, 2013, 42(3): 425-430. 张兵，马新新，秦志光 .轻量级 RFID 双向认证协议设

41、计与分析 J.电了科技人学 学报 ,2013, 42(3): 425-430. 9 Peris-Lopez P, Hernandez-Castro J C, Tapiador J M E, et al. Cryptanalysis of an EPC class-1 generation-2 standard compliant authentication protocolJ. Engineering Applications of Artificial Intelligence, 2011, 24(6): 1061-1069. 10 Zhang H S, Guan H S, Han H Q

42、. Public key based mutual authentication protocol for RFID systemJ. Computer Engineering and Application, 2010, 46(5): 69-72. 张恒山，管会牛，韩海强 .RFID 系统中基于公钥加密的相互认证协议 J.计算机工程与应用 ， 2010 ,46(5): 69-72. 11 Ding Z G, Guo L, Wang Y J. An authentication protocol based on key array for RFIDJ. Jounal of Electroni

43、cs & Information Technology, 2009, 31(3): 722-726. 丁治国，郭立 ， 王昱洁 .基于密钥阵列的 RFID 安全认证协议 fl.电子与信息学报 ,2009, 31(3): 722-726. 12 Yan J Z. Survivability experiment and attack characterization for RFIDJ. IEEE Transactions on Dependable and Secure Computing, 2012, 9(4): 289-302. 13 Wang H, Yang X, Huang Q, et

44、 al. A novel authentication protocol enabling RFID tags ownership transferC. In: 14th International Conference on Communication Technology ICCT 2012. IEEE, 2012: 855-860. 14 Feng D G. Research on theory and approach of provable securityJ. Journal of Software, 2005, 16(10): 1743-1756. 冯登国 .可证明安全性理论与方

45、法研究 J.软件学报， 2005, 16(10): 1743-1756. 15 Burrows M, Abadi M, Needham R M. A logic of authentication J. ACM Transactions on Computer Systems, 1989, 8(1): 233-271. 作者信息 苑津莎 (1957-)， 教授，博士生导师 . 主要研究领域为智能信息处理，电 磁场理论及应用 . E-mail: 戚银城 (1968-)，教授 .主要研究领 域为信息系统与信息安全 . E-mail: 徐扬 (1979-)，博士研究生 .主要 研究领域为 RFID 应用与安全 . E-mail: 胡岳 (1987-)，山东淄博人 .主要 研究领域为物联网信息完全 . E-mail: