梁 櫻，姚孝明

（海南大學(xué) 信息科學(xué)技術(shù)學(xué)院，海南 ?？?70228）

0 引 言

供應(yīng)鏈環(huán)境下，物品標(biāo)簽的所有權(quán)在其生命周期內(nèi)常常發(fā)生轉(zhuǎn)移。比如，在生產(chǎn)商－批發(fā)商－零售商－消費(fèi)者等各個(gè)環(huán)節(jié)轉(zhuǎn)換節(jié)點(diǎn)之間必然涉及物品標(biāo)簽所有權(quán)轉(zhuǎn)移，之后物品標(biāo)簽所有權(quán)還可能因消費(fèi)者將商品作為二手物品再出售，或由于某種原因要求退換貨而發(fā)生更多轉(zhuǎn)移。由于RFID標(biāo)簽與讀寫器間的開放型無線環(huán)境，標(biāo)簽的計(jì)算、通訊和存儲(chǔ)能力十分有限，使得標(biāo)簽與讀寫器在所有權(quán)轉(zhuǎn)移過程中易受到竊聽、重放、跟蹤等安全隱私攻擊［1］。尤其是，在實(shí)際應(yīng)用中，RFID標(biāo)簽常以群組方式發(fā)生所有權(quán)轉(zhuǎn)移，而現(xiàn)有的大部分標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議設(shè)計(jì)方案一次只能轉(zhuǎn)移單個(gè)標(biāo)簽的所有權(quán)。因此，如何實(shí)現(xiàn)群組RFID標(biāo)簽所有權(quán)的安全轉(zhuǎn)移，并確保標(biāo)簽所有者的安全隱私，已成為決定RFID技術(shù)能否持續(xù)發(fā)展的關(guān)鍵技術(shù)問題之一。

1 相關(guān)研究

自Molna等人首次提出RFID標(biāo)簽所有權(quán)轉(zhuǎn)移問題以來［2］，國內(nèi)外學(xué)者已提出不少RFID標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議設(shè)計(jì)方案［3－9］。但這些方案一次只能完成單個(gè)標(biāo)簽的所有權(quán)轉(zhuǎn)移，并不能滿足實(shí)際應(yīng)用中RFID標(biāo)簽以群組方式發(fā)生所有權(quán)轉(zhuǎn)移的需求。

為了一次完成多個(gè)標(biāo)簽的所有權(quán)轉(zhuǎn)移，提高標(biāo)簽所有權(quán)轉(zhuǎn)移效率，Zuo于2010年首次提出了群組標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議GOT［10］。同單個(gè)標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議相比，該協(xié)議大大降低了群組標(biāo)簽所有權(quán)轉(zhuǎn)移時(shí)的通訊與計(jì)算負(fù)荷。GOT的執(zhí)行過程分為3個(gè)主要階段：認(rèn)證階段、所有權(quán)轉(zhuǎn)移階段和驗(yàn)證核實(shí)階段。在認(rèn)證階段，須為同一群組的標(biāo)簽人為設(shè)置組號Gid，并據(jù)此進(jìn)行身份認(rèn)證，安全性存在缺陷；在所有權(quán)轉(zhuǎn)移階段，若標(biāo)簽數(shù)量n≥2，須更新群組密鑰，這在標(biāo)簽數(shù)量很龐大的情況下，對計(jì)算能力十分有限的標(biāo)簽來說，要求標(biāo)簽Ti依次驗(yàn)證消息M9是不可行的。另外，該協(xié)議不能夠?qū)崿F(xiàn)群組標(biāo)簽的拆分與重組 （即新標(biāo)簽的加入、舊標(biāo)簽的離開），因?yàn)閰f(xié)議不允許標(biāo)簽離開或加入現(xiàn)有群組。

次年，Kapoor等人提出了一個(gè)供應(yīng)鏈環(huán)境下多標(biāo)簽多所有者的標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議［11］。協(xié)議基于TTP實(shí)現(xiàn)標(biāo)簽的所有權(quán)轉(zhuǎn)移，可抵抗標(biāo)簽位置跟蹤等攻擊。但協(xié)議中身份認(rèn)證階段未將通信雙方身份標(biāo)識納入雙向認(rèn)證協(xié)議，存在受到重放和假冒攻擊等安全缺陷。

2012年，Yang提出了一個(gè)適于移動(dòng)RFID系統(tǒng)可跨域的群組RFID標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議SMGOTP［12］。SMGOTP包含2個(gè)主要階段：標(biāo)簽認(rèn)證階段、標(biāo)簽所有權(quán)轉(zhuǎn)移與密鑰更新管理階段。該協(xié)議基于動(dòng)態(tài)平衡密鑰樹來實(shí)現(xiàn)群組標(biāo)簽的所有權(quán)轉(zhuǎn)移，但這種方法在標(biāo)簽數(shù)量十分龐大時(shí)，標(biāo)簽與后臺(tái)服務(wù)器共享的群組密鑰數(shù)量也十分龐大，這將增加密鑰管理難度。在安全隱私保護(hù)方面，此協(xié)議假設(shè)原所有者無法竊聽新所有者與標(biāo)簽的密鑰更新過程，而這一假設(shè)在RFID系統(tǒng)無線通信環(huán)境下是不能成立的。因此，該協(xié)議并不能滿足其所聲稱的后向安全、抵抗位置隱私與拒絕服務(wù)等安全隱私需求。

綜上所述，目前關(guān)于群組RFID標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議的研究還比較少，且通過分析發(fā)現(xiàn)，現(xiàn)有的幾個(gè)群組RFID標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議設(shè)計(jì)方案，或存在不少安全隱私保護(hù)缺陷，或方案中標(biāo)簽的計(jì)算復(fù)雜度過高。

2 SGOTP描述

為解決上述問題，本文基于TTP對稱密鑰更新管理策略，運(yùn)用簡單加密哈希函數(shù)及輕量級對稱加密算法，提出了一個(gè)新的安全群組RFID標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議SGOTP（secure group ownership transfer protocol）。SGOTP分為3個(gè)主要階段：初始認(rèn)證階段、組密鑰更新階段及驗(yàn)證核實(shí)階段。初始認(rèn)證階段完成原所有者與標(biāo)簽間的雙向認(rèn)證，防止偽裝假冒等安全隱私攻擊。組密鑰更新階段基于TTP對稱密鑰更新管理策略，可一次實(shí)現(xiàn)群組標(biāo)簽所有權(quán)的安全轉(zhuǎn)移，保證所有者的安全隱私并避免出現(xiàn)雙重所有權(quán)。最后的驗(yàn)證核實(shí)階段，新所有者利用其與群組標(biāo)簽所共享的新群組密鑰對群組標(biāo)簽的身份進(jìn)行驗(yàn)證核實(shí)，為新的組標(biāo)簽成員分配新的認(rèn)證密鑰，并從原所有者處獲取標(biāo)簽的完整信息。

2.1 初始假設(shè)和符號定義

SGOTP假設(shè)標(biāo)簽是無源低成本的；標(biāo)簽具備可讀寫的非易失性存儲(chǔ)器；標(biāo)簽和讀寫器上各有一個(gè)偽隨機(jī)數(shù)發(fā)生器；標(biāo)簽可運(yùn)行簡單加密哈希函數(shù)及輕量級對稱加密算法；讀寫器、后臺(tái)服務(wù)器及TTP之間的通信建立在安全信道上；讀寫器和標(biāo)簽之間的通信建立在不安全信道上。

SGOTP所用到的符號定義見表1。

表1 符號定義

SGOTP所用到的消息解釋見表2。

表2 消息解釋

2.2 協(xié)議過程

2.2.1 協(xié)議初始化

首先，為系統(tǒng)選擇一個(gè)復(fù)雜度較低，適用于無源低成本標(biāo)簽的簡單加密哈希函數(shù) （如SQUASH）和一個(gè)輕量級對稱加密函數(shù)。其次，后臺(tái)服務(wù)器Si為標(biāo)簽分配認(rèn)證密鑰，為屬于同一群組的標(biāo)簽分配群組密鑰kgroup，并將其與所對應(yīng)讀寫器共享。此外，標(biāo)簽與TTP共享密鑰。

2.2.2 初始認(rèn)證階段

在初始認(rèn)證階段，標(biāo)簽、讀寫器和后臺(tái)服務(wù)器利用其所共享的群組密鑰kgroup和認(rèn)證密鑰，完成原所有者與標(biāo)簽間的雙向認(rèn)證，防止偽裝假冒等安全隱私攻擊。認(rèn)證過程如圖1所示，具體步驟如下：

步驟2 Si→：AUTH 。收到所有權(quán)轉(zhuǎn)移請求后OT，原所有者服務(wù)器Si檢索需進(jìn)行所有權(quán)轉(zhuǎn)移的標(biāo)簽標(biāo)志位。若都為f1，則表示Si擁有需進(jìn)行所有權(quán)轉(zhuǎn)移的群組標(biāo)簽所有權(quán)，接著Si搜索標(biāo)簽對應(yīng)讀寫器，并向其發(fā)送認(rèn)證請求AUTH，否則向讀寫器響應(yīng)FAIL，協(xié)議中止。

圖1 初始認(rèn)證階段

2.2.3 組密鑰更新階段

在組密鑰更新階段，基于TTP對稱密鑰更新管理策略實(shí)現(xiàn)群組標(biāo)簽所有權(quán)的安全轉(zhuǎn)移，保證所有者的安全隱私并避免出現(xiàn)雙重所有權(quán)。更新過程如圖2所示，具體步驟如下：

步驟1 Si→TTP：UPDATE║║｛｝。收到讀寫器響應(yīng)的確認(rèn)消息ACK后，服務(wù)器Si向TTP發(fā)送密鑰更新請求UPDATE，以及新所有者讀寫器的身份標(biāo)識和需進(jìn)行所有權(quán)轉(zhuǎn)移的標(biāo)簽身份 ｛｝。

步驟2 TTP→Si：｛｝；TTP→：kgroup＿new。收到密鑰更新請求后UPDATE，TTP生成新群組密鑰kgroup＿new，利用與標(biāo)簽所共享的密鑰計(jì)算并發(fā)送給Si，同時(shí)TTP將新群組密鑰kgroup＿new通過安全信道發(fā)送給讀寫器。

2.2.4 驗(yàn)證核實(shí)階段

在驗(yàn)證核實(shí)階段，新所有者利用其與群組標(biāo)簽所共享的新群組密鑰對群組標(biāo)簽的身份進(jìn)行驗(yàn)證核實(shí)，為新的組標(biāo)簽成員分配新的認(rèn)證密鑰，并從原所有者處獲取標(biāo)簽的完整信息。驗(yàn)證過程如圖3所示，具體步驟如下：

步驟2 Tpi→Rjq：Mi6。收到消息后，標(biāo)簽對其進(jìn)行解密并對比所得是否與自己的身份標(biāo)識相等。若相等，更新密鑰，生成隨機(jī)數(shù)并計(jì)算發(fā)送給讀寫器。

步驟4 Si→Sj：｛，Info（）｝。收到讀寫器的確認(rèn)消息ACK后，Si向新所有者服務(wù)器Sj發(fā)送標(biāo)簽相關(guān)信息Info）。至此，群組標(biāo)簽所有權(quán)全部成功轉(zhuǎn)移。

3 安全性分析與性能比較

3.1 安全性分析

在群組RFID標(biāo)簽所有權(quán)所移過程中，除了要考慮RFID系統(tǒng)常遭受的竊聽、重放、跟蹤等安全隱私攻擊，還要考慮標(biāo)簽所有權(quán)轉(zhuǎn)移過程中標(biāo)簽原、新所有者的安全隱私及雙重所有權(quán)問題。下面將針對上述幾個(gè)方面對SGOTP進(jìn)行安全方面的分析。

重放攻擊 （RA）：SGOTP可抵抗攻擊者對讀寫器與標(biāo)簽發(fā)起的惡意重放攻擊。因?yàn)樽x寫器與標(biāo)簽每次的都會(huì)產(chǎn)生不同的隨機(jī)數(shù)Nr和Nt，所以讀寫器的查詢信息與標(biāo)簽的響應(yīng)信息每次都是不同的，重復(fù)發(fā)送上一次會(huì)話的消息無法通過認(rèn)證。

位置隱私跟蹤攻擊 （IND）：SGOTP可抵抗攻擊者對標(biāo)簽及標(biāo)簽用戶發(fā)起的位置隱私攻擊。認(rèn)證過程中，標(biāo)簽會(huì)對讀寫器的身份進(jìn)行認(rèn)證，如果攻擊者不具備共享認(rèn)證密鑰kix與群組密鑰kgroup，是無法誘使標(biāo)簽響應(yīng)的。其次，標(biāo)簽每次的響應(yīng)信息都加入不同的隨機(jī)數(shù)Nt，即每次認(rèn)證會(huì)話過程中標(biāo)簽響應(yīng)信息均不相同。因此，攻擊者無法獲知響應(yīng)信息來自哪個(gè)標(biāo)簽，從而無法對標(biāo)簽及標(biāo)簽用戶進(jìn)行位置隱私跟蹤。

中間人攻擊 （MITM）：SGOTP可抵抗攻擊者發(fā)起的惡意中間人攻擊。因?yàn)椴捎妹荑€動(dòng)態(tài)刷新的加密哈希函數(shù)和對稱加密算法，且每次計(jì)算過程都加入不同的隨機(jī)數(shù)，因此，攻擊者無法通過對讀寫器的查詢消息或標(biāo)簽的響應(yīng)消息進(jìn)行替換或更改而通過合法讀寫器或標(biāo)簽的認(rèn)證。

異步攻擊：在SGOTP的驗(yàn)證核實(shí)階段，標(biāo)簽在進(jìn)行群組密鑰與認(rèn)證密鑰的更新后，新所有者讀寫器都會(huì)利用新密鑰對標(biāo)簽響應(yīng)的哈希值進(jìn)行驗(yàn)證，確認(rèn)標(biāo)簽是否正確更新密鑰。若標(biāo)簽正確更新密鑰，則向后臺(tái)服務(wù)器發(fā)送確認(rèn)信息ACK，否則協(xié)議中止，響應(yīng)消息FAIL。因此，SGOTP可抵抗攻擊者發(fā)起的惡意異步攻擊。

前向安全 （FS）：在SGOTP組密鑰更新階段，基于TTP對稱密鑰更新管理策略，原所有者并不知道新所有者與群組標(biāo)簽間共享的群組密鑰，且在所有權(quán)轉(zhuǎn)移過程中，在獲取新的群組密鑰后，標(biāo)簽新所有者都會(huì)更新與群組標(biāo)簽所共享的認(rèn)證密鑰，因此原所有者無法知道新所有者與群組標(biāo)簽間共享的認(rèn)證密鑰，這就保證了新所有者的安全隱私。

后向安全 （BS）：在SGOTP的所有權(quán)轉(zhuǎn)移過程中，標(biāo)簽新所有者從始至終都無法得知原所有者與群組標(biāo)簽間的認(rèn)證密鑰與群組密鑰，因此無法獲知原所有者與群組標(biāo)簽以往的交互消息，從而保證了原所有者的安全隱私。

雙重所有權(quán) （window problem，WP）：采用基于TTP的對稱密鑰更新管理策略，SGOTP有效地避免了群組標(biāo)簽原所有者與新所有者同時(shí)擁有標(biāo)簽群組密鑰的情況。因此，在協(xié)議執(zhí)行的任何時(shí)刻，標(biāo)簽的所有權(quán)有且僅有一個(gè)，避免了雙重所有權(quán)現(xiàn)象的發(fā)生。

3.2 性能分析

考慮到后臺(tái)服務(wù)器及讀寫器的存儲(chǔ)與計(jì)算能力較標(biāo)簽而言要高很多，因此此處主要分析存儲(chǔ)與計(jì)算能力十分有限的標(biāo)簽的計(jì)算復(fù)雜度。

以組成員數(shù)量為n的群組標(biāo)簽為例，SGOTP中組標(biāo)簽一共需要執(zhí)行4n次輕量級加密解密運(yùn)算與2n次簡單加密哈希運(yùn)算。同需要進(jìn)行9n次加密解密運(yùn)算與4n次哈希運(yùn)算的GOT相比，降低了標(biāo)簽的計(jì)算復(fù)雜度。SMGOTP雖只需進(jìn)行5n次輕量級加密解密運(yùn)算，但存在較多的安全隱私保護(hù)缺陷：如不能滿足后向安全、抵抗位置隱私與拒絕服務(wù)等安全隱私需求。下面將新協(xié)議SGOTP與現(xiàn)有的一些RFID標(biāo)簽所有權(quán)轉(zhuǎn)協(xié)議從上述的2個(gè)方面進(jìn)行比較，詳情見表3。

表3 與現(xiàn)有方案的安全隱私與計(jì)算復(fù)雜度比較

根據(jù)表3的分析結(jié)果可知，文獻(xiàn) ［4］與文獻(xiàn) ［5］無法實(shí)現(xiàn)在一次會(huì)話內(nèi)完成群組RFID標(biāo)簽的所有權(quán)轉(zhuǎn)移，并存在一定安全缺陷。文獻(xiàn) ［10］與文獻(xiàn) ［12］雖可在一次會(huì)話內(nèi)完成群組RFID標(biāo)簽的所有權(quán)轉(zhuǎn)移，但前者的標(biāo)簽計(jì)算復(fù)雜度過高，后者還存在不少安全隱私保護(hù)缺陷。而SGOTP不僅可以滿足群組RFID標(biāo)簽所有權(quán)轉(zhuǎn)移過程所需的安全隱私需求，還降低了標(biāo)簽的計(jì)算復(fù)雜度。

4 結(jié)束語

針對現(xiàn)有群組RFID標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議存在的安全性較低、計(jì)算復(fù)雜度較高等問題，提出了一個(gè)新的安全群組RFID標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議SGOTP，并通過安全性分析與性能比較對其進(jìn)行了闡述。SGOTP不僅能在一次會(huì)話中實(shí)現(xiàn)多個(gè)標(biāo)簽所有權(quán)的同時(shí)轉(zhuǎn)移，還具有更高的安全性與更低的標(biāo)簽計(jì)算復(fù)雜度。隨著供應(yīng)鏈信息服務(wù)系統(tǒng)的服務(wù)多元化，RFID供應(yīng)鏈系統(tǒng)所產(chǎn)生的，包含物品本身相關(guān)信息和物品在流通中時(shí)間和空間信息的海量RFID數(shù)據(jù)在所有權(quán)轉(zhuǎn)移過程中可能被惡意收集、分析而造成的新的安全威脅問題，這是未來設(shè)計(jì)群組RFID標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議方案可能出現(xiàn)的又一新的安全需求。

［1］HU Wei，LI Yongzhong，LI Zhengjie.New defending RFID authentication protocol against Dos attacks ［J］.Application Research of Computers，2012，29 （2）：676－678 （in Chinese）.［胡煒，李永忠，李正潔.一種能抵抗拒絕服務(wù)攻擊的RFID安全認(rèn)證協(xié)議［J］.計(jì)算機(jī)應(yīng)用研究，2012，29 （2）：676－678.］

［2］Li T L，Jin Z G，Pang C Y.Secured ownership transfer scheme for low－cost RFID tags ［C］／／Proc of the 3rd International Conference on Intelligent Networks and Intelligent Systems，2010：584－587.

［3］JIN Yongming，SUN Huiping，GUAN Zhi，et al.Ownership transfer protocol for RFID tag ［J］.Journal of Computer Research and Development，2011，48 （8）：1400－1405 （in Chinese）.［金永明，孫惠平，關(guān)志，等.RFID標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議研究［J］.計(jì)算機(jī)發(fā)展與研究，2011，48 （8）：1400－1405.］

［4］SHAO Jing，CHEN Yue，ZHEN Honghu.RFID tag ownership transfer for supply chains ［J］.Computer Engineering and Design，2009，30 （24）：5618－5621 （in Chinese）.［邵婧，陳越，甄鴻鵠.供應(yīng)鏈環(huán)境下的RFID標(biāo)簽所有權(quán)轉(zhuǎn)換方案［J］.計(jì)算機(jī)工程與設(shè)計(jì)，2009，30 （24）：5618－5621.］

［5］Song B，Chris J Mitchell.Scalable RFID security protocols supporting tag ownership transfer ［J］.Computer Communications，2011，34 （4）：556－566.

［6］Chen C L，Chien C F.An ownership transfer scheme using mobile RFIDs［J］.Wireless Personal Communications，2013，68 （3）：1093－1119.

［7］Ching Y N，Susilo W，YI M.Practical RFID ownership transfer scheme［J］.Journal of Computer Security，2011，19 （2）：319－341.

［8］Yang M H，Hu H Y.Protocol for ownership transfer across authorities：With the ability to assign transfer target ［J］.Security and Communication Networks，2012，5 （2）：164－177.

［9］Hoque M E，Raham F，Ahamed S I.Enhancing privacy and security of RFID system with serverless authentication and search protocols in pervasive environments ［J］.Wireless Personal Communications，2010，55 （1）：65－79.

［10］Zou Y J.Changing hands together：A secure group ownership transfer protocol for RFID tags［C］／／Proc of the 43rd Hawaii International Conference on System Sciences，2010：1－10.

［11］Kapoor G，Zhou Wei，Piramuthu S.Multi－tag and multiowner RFID ownership transfer in supply chains ［J］.Decision Support Systems，2011，52 （1）：258－270.

［12］Yang M H.Secure multiple group ownership transfer protocol for mobile RFID ［J］.Electronic Commerce Research and Applications，2012，11 （4）：361－373.