胡德新，王曉明

（暨南大學 計算機科學系，廣東 廣州510632）

0 引 言

隨著計算機技術(shù)與網(wǎng)絡的發(fā)展，RFID（radio frequency identification）即射頻識別技術(shù)，廣泛地應用在各行各業(yè)，并成為物聯(lián)網(wǎng)的核心技術(shù)之一。它無需物理接觸即能快速、準確地采集信息，對對象進行有效地識別。在帶給人們便利的同時，RFID 系統(tǒng)的安全與隱私問題也日益突出，嚴重制約著RFID 和物聯(lián)網(wǎng)的發(fā)展和廣泛應用。而在所有的安全問題當中，信息的泄露和跟蹤是最為嚴重的兩個。信息的泄露指的是標簽中對象的數(shù)據(jù)信息被泄露出來，而信息的跟蹤則指標簽是可區(qū)別的，并且是可跟蹤的［1］。特別是在一些低成本的RFID 系統(tǒng)中，一個傳統(tǒng)的標簽只有數(shù)千個門電路組成，存儲容量也只有數(shù)百位。電子標簽資源的有限性加大了安全機制實現(xiàn)的難度，傳統(tǒng)的密碼技術(shù)很難直接應用到系統(tǒng)中來。而認證協(xié)議對于RFID 系統(tǒng)來說又是至關(guān)重要的，因為它關(guān)系著讀寫器和標簽兩者之間的身份識別。因此輕量級安全認證機制的設(shè)計在RFID 研究領(lǐng)域中將一直占有重要的位置［2－4］。

在RFID 標簽的生命周期內(nèi)，其所屬的擁有者一般會發(fā)生改變。例如，一個商品標簽最初的所有者是制造商，當商品到批發(fā)商時，標簽的所有者就會由制造商變成批發(fā)商。批發(fā)商把貼有RFID 標簽的商品運送到零售商后，標簽的所有者變?yōu)榱闶凵?。而在商品被消費者購買后，消費者將會變成RFID 標簽的所有者。這就是一個典型的RFID標簽所有權(quán)轉(zhuǎn)移的例子，如果涉及到商品的售后服務等，還將會有更多的所有權(quán)轉(zhuǎn)移過程?？梢?，RFID 標簽的所有權(quán)轉(zhuǎn)移必須滿足一定的安全和隱私要求，還需要具有抵抗一些主流攻擊的能力，如重放攻擊、異步攻擊等等。其中最重要的是原所有者和新所有者不能利用自己已經(jīng)掌握的信息來對另一方進行跟蹤、冒充等或者獲得另一方的秘密信息，以保護雙方的隱私。

最近，金永明等人提出了一個所有權(quán)轉(zhuǎn)移認證協(xié)議［4］。盡管該協(xié)議是第一個基于優(yōu)化函數(shù)SQUASH 的所有權(quán)轉(zhuǎn)移認證協(xié)議，相比其它已知基于哈希函數(shù)的方案擁有更高的效率。但經(jīng)分析后發(fā)現(xiàn)該協(xié)議不能絕對保證前向隱私和后向隱私問題，而且認證效率也不如他們所聲稱的那樣高。本文先深入分析了金永明等人提出的所有權(quán)轉(zhuǎn)移認證協(xié)議，指出其安全缺陷和造成認證低效的地方，然后在原協(xié)議的基礎(chǔ)上加以修改并提出一個新的、安全的、高效的所有權(quán)轉(zhuǎn)移方案。新方案不僅能解決原協(xié)議存在的安全問題，還能保護原所有者和新所有者的隱私，同時提高了認證效率。

1 相關(guān)的研究工作

近年來，國內(nèi)外不少學者針對標簽所有權(quán)轉(zhuǎn)移問題做了大量的研究工作。其中物理上的方法有用EPC（electronic product code）毀壞標簽的Kill命令以及Blocker Tags方法等等。Kill命令指的是從物理上毀壞標簽來保護擁有者的隱私，而Blocker Tags則是通過干擾來封鎖標簽與讀寫器之間的通信。除了物理上的方法外，另一個有效的保護措施就是使用一個安全的認證協(xié)議。2005年，Saito等人提出了一個使用對稱密碼加密標簽標識的方案，可以防止原所有者在權(quán)轉(zhuǎn)移后繼續(xù)訪問標簽數(shù)據(jù)，但不足之處在于需要增加一個可信的第三方（TTP）。2005 年，Molnar和Soppera等學者提出了一個適用于RFID 標簽的可擴展所有權(quán)轉(zhuǎn)移授權(quán)協(xié)議，但實際上該協(xié)議的應用范圍很小，因為它需要假定原所有者和新所有者之間有一個共同的可信中心（TC）。2006年，Osaka等人提出了一個較為重要的基于Hash函數(shù)和對稱密碼的RFID 安全機制，它可以通過改變對稱私鑰來保護隱私，而缺點是不能抵抗拒絕服務（DoS）攻擊和不具有不可追蹤性。2007 年，F(xiàn)ouladgar和Afifi提出了一個新的協(xié)議［5］來保護新所有者的隱私，但是攻擊者卻可以通過重用返回值來冒充標簽。其后，針對Osaka協(xié)議，Jappinen和Hamalainen在2008年提出了一個簡單有效的改進方案［6］，增加了標簽端的一次Hash運算，使得在秘密信息更新時，能對消息進行一個完整性檢查，但標簽被跟蹤的問題仍不能有效地解決。2010 年，Kulseng等人提出了一個輕量級的RFID 相互認證協(xié)議［7］，并在它的基礎(chǔ)上，提出了一個具有物理不可復制功能（PUF）和線性反饋移位寄存器（LFSR）的所有權(quán)轉(zhuǎn)移協(xié)議。雖然該協(xié)議相比其它已知的基于Hash函數(shù)的協(xié)議具有更高的效率，但同樣需要增加一個TTP，而協(xié)議也未對抵抗主流攻擊的能力進行詳細的分析。2011年，金永明等學者提出了一個基于SQUASH的所有權(quán)轉(zhuǎn)移認證協(xié)議［4］，他們聲稱該協(xié)議能滿足RFID標簽所有權(quán)轉(zhuǎn)移的安全和隱私要求，除了能抵抗重放攻擊、異步攻擊、中間人攻擊等外，還能夠保護原所有者與新所有者雙方的隱私。但本文經(jīng)分析后發(fā)現(xiàn)該協(xié)議并不能絕對保證前向隱私和后向隱私問題，而且認證效率也不如他們所聲稱的那樣高。

2 方案回顧

2.1 原方案的回顧

2011年，金永明等人提出了一個基于SQUASH 的輕量級所有權(quán)轉(zhuǎn)移的協(xié)議LOTP，協(xié)議的認證過程如圖1所示。

圖1 輕量級所有權(quán)轉(zhuǎn)移認證協(xié)議

該協(xié)議主要分為6個步驟，讀寫器和標簽雙方的認證可簡單可歸納為：讀寫器首先發(fā)送請求信號給標簽，然后標簽Ti生成一個隨機數(shù)rT，再計算M，N’和N，然后發(fā)送M 和N 給Di。由于此時所有權(quán)轉(zhuǎn)移還沒發(fā)生，Di必須將M 和N 轉(zhuǎn)發(fā)給Dj。Dj接收到數(shù)據(jù)后會驗證數(shù)據(jù)庫中是否存在一個ti或者vi使得認證條件［（M ⊕ti）2mod n］t＝N或［（M ⊕vi）2mod n］t＝N 成立，若等式成立，對標簽的認證會成功通過。同時Dj會將（si，ti）和Ui通過安全信道發(fā)送給Di，并且更新數(shù)據(jù)庫中的數(shù)據(jù)，而這時標簽的所有權(quán)已經(jīng)從Dj轉(zhuǎn)移到Di了。相反，認證失敗的話，Dj會停止操作，所有權(quán)轉(zhuǎn)移失敗。轉(zhuǎn)移成功后，標簽也需要驗證讀寫器是否合法。首先，Di會產(chǎn)生一個隨機數(shù)si’，依次計算ti’，rT，P 和Q。然后Di在更新完數(shù)據(jù)后會將P 和Q 發(fā)送給Ri，Ri再轉(zhuǎn)發(fā)給Ti。標簽收到數(shù)據(jù)后，首先會通過異或運算得到新的公鑰ti’，再根據(jù)認證條件Q＝si⊕（ti’＞＞l／4）判斷讀寫器的認證是否成功。

2.2 原方案的深入分析

原方案是首個基于優(yōu)化函數(shù)SQUASH 的所有權(quán)轉(zhuǎn)移認證協(xié)議，無論在計算方面還是通信方面，效率都要比其它已知的基于Hash函數(shù)的方案要高。由于SQUASH 方案的安全性決定了該協(xié)議的安全性，而Rabin加密體制的安全性又奠定了SQUASH 的安全，可見該協(xié)議是可證安全的。另外，它額外存放了上一輪的公私鑰，用于抵抗異步攻擊，與標簽恢復同步。

盡管該方案有著上述各樣優(yōu)點，但實際上該協(xié)議存在幾個安全缺陷：

（1）該協(xié)議不具有前向隱私性

在所有權(quán)轉(zhuǎn)移成功后，若Di使用之前Dj發(fā)送給它的舊消息（M，N）和ti冒充標簽，這樣一個非法的認證也會被成功通過。原因在于：為了抵抗異步攻擊，該協(xié)議利用了上一輪的密鑰實現(xiàn)與標簽恢復同步，盡管Dj已經(jīng)將數(shù)據(jù)塊（si，ti）更新，認證條件N＝［（M ⊕ti）2mod n］t也不會滿足，但是Dj仍然能從上一輪的密鑰當中找到一個相應的vi，使得另一個認證條件N＝［（M ⊕vi）2mod n］t滿足，從而Di能非法訪問Dj。換句話來說，標簽的新所有者能利用自己已經(jīng)掌握的信息非法獲取原所有者的秘密信息，造成原所有者的隱私泄露，即金永明等人提出的協(xié)議不能保證前向隱私。

（2）該協(xié)議不具有后向隱私性

為了確保后向隱私性，Di會選擇一個新的私鑰ti’，并且將它嵌入到數(shù)據(jù)塊（P，Q）發(fā)送給標簽。但是讀寫器與標簽之間的不安全傳輸使得（P，Q）有可能被原所有者竊取，而它又持有之前對標簽認證時取得的隨機數(shù)rT，使得原所有者有可能在一定的時間內(nèi)破解出rT的移位方式，從（P，Q）中求出ti’，而ti’在該協(xié)議的認證中是一個非常關(guān)鍵的參數(shù)，它在下一輪轉(zhuǎn)移發(fā)生之前都不會進行更新，也就是說原所有者能夠利用自己掌握的信息和非法竊取來訪問標簽并獲得新所有者的隱私。因此安全隱患顯而易見，該協(xié)議不能完全地保證后向隱私。

（3）該協(xié)議對標簽的認證效率較為低下

Dj對標簽進行認證時，每一次都需要用數(shù)據(jù)庫中的ti或vi計算［（M ⊕ti）2mod n］t，以判斷它是否滿足認證條件。眾所周知，指數(shù)模冪運算的計算代價是比較高的。除此之外，Dj也需要從頭到尾地在數(shù)據(jù)庫中查找相應滿足認證條件的ti或vi，若所找的記錄在較后的位置或者在末端的話，認證效率會比較低下。

3 方 案

針對上述的安全缺陷，我們對該協(xié)議作了一系列的改進和調(diào)整，并在此基礎(chǔ)上提出了一個新的所有權(quán)轉(zhuǎn)移認證協(xié)議。首先，基本的定義如下所示：

Ti：RFID 系統(tǒng)中進行權(quán)轉(zhuǎn)移的標簽；

Ri：RFID 系統(tǒng)中新所有者的讀寫器；

Di：RFID 系統(tǒng)中新所有者的數(shù)據(jù)庫；

Dj：RFID 系統(tǒng)中原所有者的數(shù)據(jù)庫；

IDold：權(quán)轉(zhuǎn)移前標簽Ti對于Dj的身份標識；

ID’：權(quán)轉(zhuǎn)移后標簽Ti對于Dj的身份標識；

IDnew：權(quán)轉(zhuǎn)移后標簽Ti對于Di的身份標識；

k：標簽所選的種子，用來計算ti；

k’：標簽所選的新種子，用來計算ti’；

i：種子k可使用的次數(shù)；

i’：新種子k’可使用的次數(shù)；

ti：Ti長度為l的密鑰，t0＝h（k），…，ti＝h（ti－1）＝h（h（ti－2））＝hi＋1（k）；

ti’：Ti長度為l的新密鑰，t0’＝h（k’），…，ti’＝h（ti－1’）＝h（h（ti－2’））＝hi’＋1（k’）；

Ui：Ti存儲的業(yè)務數(shù)據(jù)；

⊕：異或運算；

x＞＞a：右循環(huán)移位運算；

←：置換（賦值）運算；

h（）：哈希函數(shù)；

‖：連接運算；

假設(shè)原所有者數(shù)據(jù)庫與新所有者數(shù)據(jù)庫有安全的通信信道，數(shù)據(jù)庫與讀寫器之間的通信信道是可信的，與此同時，而讀寫器與標簽之間的通信信道是不安全的。另外，在認證過程運行之前，假設(shè)原所有者數(shù)據(jù)庫Dj已為每個標簽Ti分配一個臨時的標識符IDold，而Dj也存儲了Ti產(chǎn)生的密鑰ti。

協(xié)議的具體步驟如下所示：

（1）Ri→Ti

讀寫器發(fā)送請求給標簽。

（2）Ti→Ri→Di→Dj：M，N

標簽首先判斷種子k是否可用，若i為0則代表種子k不可用，需要產(chǎn)生新種子。然后依次計算ti＝h（ti－1）＝h（h（ti－2））＝…＝hi＋1（k），ti－1＝hi（k），M＝ti⊕ti－1⊕IDold，N＝h（ti‖IDold），同時將i更新為i－1，再把（M，N）發(fā)送給讀寫器Ri，Ri轉(zhuǎn)發(fā)給新所有者數(shù)據(jù)庫Di，Di再轉(zhuǎn)發(fā)給原所有者數(shù)據(jù)庫Dj。

（3）Dj→Di：Ui，ti

收到（M，N）后，Dj把新所有者發(fā)送過來的N 跟原所有者數(shù)據(jù)庫中存儲的h（ti‖IDold）匹配，若h（ti‖IDold）＝N，則找到相應的ti和IDold。計算ti－1＝M ⊕ti⊕IDold并驗證h（ti－1）是否等于ti，若相等，則標簽Ti認證通過，是一個合法的標簽，然后Dj把Ui和ti通過安全信道發(fā)送給Di，并產(chǎn)生新的標簽標識符ID’，同時將ti更新為ti－1，IDold更新為ID’，而這時Di已經(jīng)獲得了標簽Ti的所有權(quán)授權(quán)。相反，Dj停止協(xié)議過程，所有權(quán)轉(zhuǎn)移過程未通過。

（4）Di→Ri→Ti：O，P，Q

為了更新標簽Ti的密鑰并驗證讀寫器是否合法，Di計算O＝M ⊕ti，然后選擇一個隨機數(shù)si，再計算P＝si⊕（ti＞＞l／2），Q＝IDnew⊕（si＞＞l／4），再把O，P 和Q 發(fā)送給Ri，然后轉(zhuǎn)發(fā)給Ti。

（5）Ti→Ri→Di：S

接收到O，P 和Q 后，標簽Ti計算h（O ⊕IDold），若它跟ti相等則完成認證，并計算出si＝P ⊕（ti＞＞l／2），IDnew＝Q ⊕（si＞＞l／4），然后產(chǎn)生一個新的種子k’和它的使用次數(shù)i’，計算t1’＝hi’＋1（k’），S＝ti’⊕（si＞＞l／2），把S 發(fā)送給Ri后再轉(zhuǎn)發(fā)給Di。

（6）Di→Ri→Ti：response

新所有者數(shù)據(jù)庫Di通過異或運算得出ti’，同時進行更新操作，ti←ti’，并發(fā)送response。

（7）標簽Ti

收到response后，進行更新操作，k←k’，i←i’，IDold←IDnew。

協(xié)議具體過程如圖2所示。

圖2 新提出的方案

4 安全分析與性能分析

4.1 安全分析

新協(xié)議詳細的安全分析如下所示：

（1）重放攻擊（RA）：新協(xié)議具有抵抗重放攻擊的能力。假設(shè)攻擊者甚至是Di使用舊的消息（M，N）進行訪問，認證也不會成功通過。因為此時原所有者數(shù)據(jù)庫中的ti已經(jīng)更新為ti－1，而攻擊者是無法得知ti－1的，甚至是已經(jīng)獲得ti的新所有者也無法計算出ti－1?？v使ti＝h（ti－1），但是哈希函數(shù)的單向性限制了ti－1的獲取。因此，新協(xié)議能抵抗重放攻擊。

（2）異步攻擊（DoS）：在舊協(xié)議中，Di發(fā)送消息（P，Q）后會對自己的公私鑰進行更新，若攻擊者對 （P，Q）進行截取，標簽會因消息的阻斷而停止更新，從而造成異步問題。在新協(xié)議中，標簽只有在收到消息（O，P，Q）后才會生成新種子k’和新密鑰ti’，但此時并不會立刻對密鑰進行更新操作，它首先會將S＝ti’⊕（si＞＞l／2）發(fā)送給對方，對方只有得到ti’后才會對密鑰進行更新，并發(fā)送響應給標簽，而標簽在收到響應后才會對密鑰進行更新。如果攻擊者阻止了消息O，P，Q 或者S 的發(fā)送，由于此時雙方都沒有對密鑰進行更新，所以不會造成任何的異步問題，而接收方會要求發(fā)送方將數(shù)據(jù)重發(fā)。由于標簽只會在收到對方的更新響應之后才會對自己的密鑰進行更新，即使response被阻止發(fā)送，標簽也可根據(jù)響應的時間自動對密鑰更新，這樣兩邊的密鑰就再次同步，并不會產(chǎn)生因更新不一致而造成的異步問題。

（3）中間人攻擊（MITM）：由于讀寫器與標簽之間的傳輸信道是不安全的，這樣的話所有攻擊者都可以獲得或者是篡改消息（M，N），（O，P，Q）和S。即使攻擊者對消息進行篡改，但是哈希函數(shù)的單向安全性阻止了ti－1的獲取，同時攻擊者也很難找到一個相應的ti－1滿足等式h（ti－1）＝ti使得認證通過。

（4）可證安全（PS）：可以看出，新的所有權(quán)轉(zhuǎn)移協(xié)議很大程度上取決于哈希函數(shù)的單向安全性，而哈希函數(shù)的單向安全性是可證安全的。

（5）前向隱私（FP）：新協(xié)議能夠保護Ti原所有者的隱私。就算新所有者在轉(zhuǎn)移過后能夠從原所有者中獲得標簽存儲的業(yè)務數(shù)據(jù)Ui和密鑰ti，由于原所有者會將密鑰ti更新為ti－1，IDold更新為ID’，新所有者甚至標簽也不能獲得原所有者的隱私，因為新所有者不能從ti中求得ti－1，而標簽也無法得知ID’，只有同時知道ti－1和ID’才有機會獲取原所有者的信息，兩者缺一不可，可見前向隱私得到保障。

（6）后向隱私（BP）：新協(xié)議可以保護Ti新所有者的隱私。因為轉(zhuǎn)移后，標簽會重新選擇一個種子，再把新密鑰ti’發(fā)送給新所有者。而攻擊者，甚至原所有者都不能識別這過程，因為他們不能得知Di產(chǎn)生的隨機數(shù)si。即使原所有者仍保留著標簽的密鑰ti，甚至破解了ti的移位方式，求出一個猜測的si。原所有者也無法確認這個猜測si的正確性，原因是他并不知道IDnew和si的移位方式。而在攻擊者破解移位方式的這段時間里，標簽的密鑰ti’可能由于認證的關(guān)系已經(jīng)進行了數(shù)次的更新操作，因此攻擊者也無法得知此時標簽的密鑰ti’。要獲得新所有者的隱私，攻擊者必須掌握標簽的密鑰ti’和標簽對于新所有者的身份標識IDnew，正是這雙重的保護使得新所有者的隱私不會被侵犯。

通過分析參考文獻［4］中關(guān)于安全性和隱私性對比的數(shù)據(jù)，本文比較了新協(xié)議、金永明等人提出的協(xié)議和其它已知的協(xié)議［5，6，8］，得出了新的所有權(quán)轉(zhuǎn)移協(xié)議安全性和隱私性對比，見表1?？梢?，新協(xié)議除了能抵抗重放攻擊、異步攻擊、中間人攻擊外，還能保護前向隱私和后向隱私。

表1 所有權(quán)轉(zhuǎn)移協(xié)議的安全性與隱私性比較

4.2 性能分析

在原協(xié)議中，Dj為了查找滿足認證條件的ti或者vi，需要對它們每一個進行N ＝［（M ⊕ti）2mod n］t或者是N＝［（M ⊕vi）2mod n］t計 算。而在新協(xié)議中，Dj只需要進行一些哈希操作和異或運算去查找滿足認證條件的密鑰，與原協(xié)議中指數(shù)模冪運算相比，新協(xié)議中對標簽認證的計算量較低。除此之外，原協(xié)議中的Dj需要從頭到尾地在數(shù)據(jù)庫中查找相應滿足認證條件的ti或vi，若所找的記錄在較后的位置或者在末端的話，認證效率會很低。而在新協(xié)議里，這個問題將得到很好的解決，只需將Di發(fā)送過來的N 與存儲在數(shù)據(jù)庫中的h（ti‖IDold）進行匹配就能快速找到相應的記錄，大大提高對標簽的認證效率。

而對于標簽的計算量，新協(xié)議的性能也會比原協(xié)議較佳。對于每一次的認證，新協(xié)議中的標簽需要進行數(shù)次的哈希操作和異或運算。而在原協(xié)議中，每輪認證標簽需要計算N’＝r2Tmod n 以及進行數(shù)次異或運算，如果對于一些低成本標簽的話，這個計算量是比較大的。另外，新協(xié)議在一些特定的環(huán)境里效率還能再提高，比如說在不發(fā)生所有權(quán)轉(zhuǎn)移而需要對標簽進行反復認證的場合。因為對于多次的認證，每輪認證過后標簽需要進行的哈希操作都會減少，如第一輪需要計算ti－1和ti，而第二輪就只需要計算ti－2和ti－1了，如果認證次數(shù)比較大的話，效率是非?？捎^的。

此外，與金永明等人提出的協(xié)議相比，本方案不需要在標簽中存儲密鑰ti，但需要存儲用來計算密鑰ti的種子k和它的使用次數(shù)i。一般來說，k 和i 不會太大，它們的存儲空間約與原協(xié)議中存儲的密鑰ti相當。另外，比較新協(xié)議標簽存儲的身份標識符IDold和原協(xié)議中的n，由于n 是用來計算SQUASH 密文的，一般來說比較大，也就是說就存儲空間而言n＞IDold。可見，新協(xié)議在標簽的存儲性能上也占了一點點優(yōu)勢。

通過分析參考文獻［4］中關(guān)于性能上比較的數(shù)據(jù)，本文對比了新協(xié)議、金永明等人提出的協(xié)議和其它已知的協(xié)議［5，6，8］，得出了新的所有權(quán)轉(zhuǎn)移協(xié)議的性能對比，見表2。這里h指的是哈希操作的次數(shù)；a 指的是異或運算的次數(shù)；b指的是右循環(huán)移位運算的次數(shù)；l是密鑰的長度；t是交換密文的長度；j是金永明等人提出協(xié)議中n 的比特數(shù)；i是種子k 的使用次數(shù)；i’是新種子k’的使用次數(shù)；x 是k的比特數(shù)；y 是IDold的比特數(shù)。為了方便對比，考慮到i的比特數(shù)基本上可忽略，因此不帶入到TS中。

表2 所有權(quán)轉(zhuǎn)移協(xié)議的性能比較

從表2可以看出，尤其在所有權(quán)轉(zhuǎn)移發(fā)生之前，新協(xié)議在標簽計算量方面比原協(xié)議優(yōu)勝。而在標簽的存儲量方面，由于l近似于x，但j遠遠比y 大，所以新協(xié)議在存儲性能方面也較好。至于通信量方面，新協(xié)議與原協(xié)議相差不大。

4.3 實驗對比

下面本文從實驗上比較了新協(xié)議與金永明等人提出協(xié)議在Dj的認證代價，Di的計算代價以及標簽Ti的計算代價方面的異同。本實驗是在Intel（R）Core（TM）i3CPU＠2.93GHz處理器，4GB RAM，操作系統(tǒng)為Windows 7的計算機下面完成的，而數(shù)據(jù)庫建立在Microsoft SQL Server 2008R2中。

如圖3所示，新協(xié)議在Dj的認證代價方面更為優(yōu)勝，尤其是當標簽在較后的位置時，新協(xié)議所需要的查找認證時間較少。這里橫坐標指的是標簽記錄在數(shù)據(jù)庫中的位置，而縱坐標表示認證的代價（用毫秒表示）。

圖3 Dj 的認證代價

如圖4所示，新協(xié)議在Di的計算代價方面低于原協(xié)議。這里橫坐標表示認證的次數(shù)，而縱坐標表示計算的代價（用毫秒表示）。

圖4 Di 的計算代價

如圖5所示，新協(xié)議在標簽Ti的計算代價方面同樣比原協(xié)議好。這里橫坐標表示認證的次數(shù)，而縱坐標表示計算的代價（用毫秒表示）。

5 結(jié)束語

圖5 Ti 的計算代價

本文針對金永明等人提出的基于SQUASH 的所有權(quán)轉(zhuǎn)移協(xié)議進行了研究，對其方案作了一系列的改進和調(diào)整，并在它的基礎(chǔ)上提出了一個新的所有權(quán)轉(zhuǎn)移協(xié)議。新協(xié)議除了解決原協(xié)議中存在的安全問題外，還提高了認證效率，消除了一些潛在的安全隱患。此外，新協(xié)議還能夠滿足所有權(quán)轉(zhuǎn)移過程中必要的安全和隱私條件，具備抵抗一些主流攻擊的能力，如重放攻擊、異步攻擊、中間人攻擊等等，并且能夠保護新所有者和原所有者雙方的隱私不被侵犯。

［1］Shucheng Y，Kui R，Wenjing L.A privacy－preserving lightweight authentication protocol for low－cost RFID tags ［C］／／Military Communications Conference，2007.

［2］ZHOU Yongbin，F(xiàn)ENG Dengguo.Design and analysis of cryptographic protocols for RFID ［J］.Chinese Journal of Computers，2006，29 （4）：581－589 （in Chinese）. ［周永彬，馮登國.RFID安全協(xié)議的設(shè)計與分析 ［J］.計算機學報，2006，29 （4）：581－589.］

［3］DING Zhenhua，LI Jintao，F(xiàn)ENG Bo.Research on Hashbased RFID security authentication protocol ［J］.Journal of Compu－ter Research and Development，2009，46 （4）：5 83－592（inChinese）.［丁振華，李錦濤，馮波.基于Hash函數(shù)的RFID安全認證協(xié)議研究 ［J］.計算機研究與發(fā)展，2009，46 （4）：583－592.］

［4］JIN Yongming，SUN Huiping，GUAN Zhi，et al.Ownership transfer protocol for RFID tag ［J］.Journal of Computer Research and Development，2011，48 （8）：1400－1405 （in Chinese）.［金永明，孫惠平，關(guān)志，等.RFID 標簽所有權(quán)轉(zhuǎn)移協(xié)議研究 ［J］.計算機研究與發(fā)展，2011，48 （8）：1400－1405.］

［5］Fouladgar S.An efficient delegation and transfer of ownership protocol for RFID tags［C］／／1st Int EURASIP Workshop on RFID Technology.Piscataway，NJ：IEEE，2007：10－14.

［6］Jappinen P，Hamalainen H.Enhanced RFID security method with ownership transfer［C］／／Proc of Int Conf on Computational Intelligence and Security.Piscataway， NJ：IEEE，2008：382－385.

［7］Kulseng L，Yu Zhen，Wei Yawen，et al.Lightweight mutual authentication and ownership transfer for RFID systems［C］／／Proc of the 29th Conf on Computer Communications IEEE INFOCOM.Piscataway，NJ：IEEE，2010：1－5.

［8］Song B.RFID tag ownership transfer［C／OL］／／the Conf on RFID Security.http：／／event.iaik.tugraz.at／RFIDSec08／Papers，2008.

［9］MA Changshe.Low cost RFID authentication protocol with forward privacy ［J］.Chinese Journal of Computers，2011，34（8）：1387－1398 （in Chinese）. ［馬昌社.前向隱私安全的低成本RFID認證協(xié)議 ［J］.計算機學報，2011，34 （8）：1387－1398.］

［10］LI Huixian.Design and analysis of the light－weight mutual authentication protocol for RFID ［J］.Journal of Xidian University，2012，39 （1）：172－178 （in Chinese）.［李慧賢.輕量級RFID雙向認證協(xié)議設(shè)計與分析 ［J］.西安電子科技大學學報，2012，39 （1）：172－178.］