賀 蕾， 甘 勇， 尹毅峰， 金松河

（鄭州輕工業(yè)學(xué)院 計算機與通信工程學(xué)院，河南 鄭州 450002）

無線射頻識別（radio frequency identification，簡稱RFID）技術(shù)是一項使用射頻信號對物品進(jìn)行自動識別的技術(shù)，目前已被廣泛應(yīng)用于物流管理、動物監(jiān)控、圖書館書籍管理和門禁管理等多個領(lǐng)域，然而，由其所引發(fā)的安全和隱私問題也逐漸顯現(xiàn)。為解決RFID系統(tǒng)中的信息安全和用戶隱私問題，研究人員提出了一些解決方案，但這些解決方案大多是在標(biāo)簽具有唯一所有者的場景中提出的。在標(biāo)簽的生存期內(nèi)，其所附物品的所有者往往處于動態(tài)變化過程中，需要將標(biāo)簽的機密信息安全地傳輸給新所有者，原所有者不能再對標(biāo)簽進(jìn)行訪問。在標(biāo)簽所有權(quán)安全轉(zhuǎn)換過程中，所有者和標(biāo)簽之間應(yīng)進(jìn)行認(rèn)證，并能抵御中間人攻擊和重放攻擊等多種攻擊，還應(yīng)保證標(biāo)簽信息的前向安全和后向安全，即新所有者無法獲取標(biāo)簽與原所有者之間共享的機密信息和通信內(nèi)容，而原所有者不再具有對標(biāo)簽的訪問權(quán)限。

關(guān)于RFID標(biāo)簽所有權(quán)轉(zhuǎn)換問題，所取得的較早的研究成果是文獻(xiàn)［1］所提出的一項基于密鑰樹的假名協(xié)議，該協(xié)議是一種訪問次數(shù)受限的認(rèn)證協(xié)議，可以提供標(biāo)簽所有權(quán)的轉(zhuǎn)換。

文獻(xiàn)［2］提出了一種高效安全的RFID標(biāo)簽所有權(quán)轉(zhuǎn)換方案，原所有者先通過后端數(shù)據(jù)庫更新標(biāo)簽的密鑰，并將該密鑰的相關(guān)信息發(fā)送給新所有者后，新所有者再次更新標(biāo)簽的密鑰，以此來保護(hù)標(biāo)簽信息的前向安全和后向安全，該協(xié)議的問題在于攻擊者可以對標(biāo)簽進(jìn)行跟蹤；文獻(xiàn)［3－4］在文獻(xiàn)［2］的基礎(chǔ)上，分別提出了改進(jìn)協(xié)議，但這些協(xié)議仍然沒有解決原協(xié)議中的安全問題；文獻(xiàn)［5］根據(jù)有無可信第三方（trusted third party，簡稱TTP）參與提出了2個輕量級的雙向認(rèn)證協(xié)議和所有權(quán)轉(zhuǎn)換協(xié)議，其中，有TTP參與的所有權(quán)轉(zhuǎn)換協(xié)議難以抵御去同步化攻擊，無TTP的所有權(quán)轉(zhuǎn)換協(xié)議容易遭受跟蹤攻擊；文獻(xiàn)［6］提出了一種用于供應(yīng)鏈管理的標(biāo)簽所有權(quán)轉(zhuǎn)換方案，在該方案中，不僅包含原所有者、新所有者、標(biāo)簽和TTP，還包含一個新的通信實體——第三方物流，該方案不能抵御去同步化攻擊；文獻(xiàn)［7］將標(biāo)簽認(rèn)證和所有權(quán)轉(zhuǎn)換分成了6個階段，分別是初始化、同步認(rèn)證、更新、非同步化認(rèn)證、控制權(quán)協(xié)商和所有權(quán)轉(zhuǎn)換階段，該協(xié)議的非同步化認(rèn)證階段最多只能連續(xù)執(zhí)行一個設(shè)定的次數(shù)，如果超過了該設(shè)定好的次數(shù)，服務(wù)器將無法識別標(biāo)簽；文獻(xiàn)［8］提出的所有權(quán)轉(zhuǎn)換協(xié)議中，首先采用非對稱密碼算法在讀寫器與后端數(shù)據(jù)庫之間構(gòu)建一個安全的通信信道，然后標(biāo)簽與讀寫器之間進(jìn)行認(rèn)證通信，在此基礎(chǔ)上進(jìn)行所有權(quán)轉(zhuǎn)換，該協(xié)議的問題在于不能抵御跟蹤攻擊。

本文提出了一個標(biāo)簽授權(quán)訪問和所有權(quán)轉(zhuǎn)換協(xié)議，包含授權(quán)子協(xié)議（delegation sub－protocol，簡稱DP）和所有權(quán)轉(zhuǎn)換子協(xié)議（ownership transfer sub－protocol，簡稱 OTP）。前者可以為通過認(rèn)證的授權(quán)讀寫器提供對標(biāo)簽的有限訪問權(quán)限；后者采用更新密鑰的方式將對標(biāo)簽的所有權(quán)交給新所有者。

1 協(xié)議描述

本文協(xié)議分為授權(quán)子協(xié)議和所有權(quán)轉(zhuǎn)換子協(xié)議。其中，授權(quán)子協(xié)議用于向讀寫器授予對標(biāo)簽的臨時訪問權(quán)；當(dāng)該臨時授權(quán)到期后，需要重新獲取授權(quán)；當(dāng)標(biāo)簽的所有權(quán)發(fā)生變化時，使用所有權(quán)轉(zhuǎn)換子協(xié)議將標(biāo)簽所有權(quán)轉(zhuǎn)換給新所有者。為了研究方便，認(rèn)為標(biāo)簽與讀寫器和所有者之間的信道是不安全信道，而其他信道是安全信道。

在系統(tǒng)初始化階段，后端數(shù)據(jù)庫與標(biāo)簽共享下列字段：k、ku、kold、kuold和c。其中，k為用于提供認(rèn)證、授權(quán)等功能的密鑰；ku為用于更新密鑰的密鑰；kold為上一次成功認(rèn)證或授權(quán)時所用密鑰，初始值為k；kuold為上一次進(jìn)行密鑰更新時所采用的密鑰，初始值為ku；c為標(biāo)簽內(nèi)計數(shù)器的值，初始值為0，每次查詢后都會加1。

1.1 授權(quán)子協(xié)議

在授權(quán)子協(xié)議中，后端數(shù)據(jù)庫將標(biāo)簽的密鑰k和最大允許訪問次數(shù)AN（access number，簡稱AN）發(fā)送給授權(quán)讀寫器，并將AN發(fā)送給標(biāo)簽。讀寫器收到密鑰后，可以與標(biāo)簽進(jìn)行通信，每次通信后計數(shù)器的值c加1。當(dāng)c的值達(dá)到AN時，讀寫器需要重新向后端數(shù)據(jù)庫申請授權(quán)。協(xié)議流程如圖1所示。

圖1 授權(quán)子協(xié)議

（1）讀寫器發(fā)送查詢請求Query和自己生成的隨機數(shù)Nr給標(biāo)簽。

（2）標(biāo)簽收到讀寫器發(fā)來的查詢請求后，對計數(shù)器的值c加1，若沒有達(dá)到此前設(shè)定的最大值A(chǔ)N，協(xié)議繼續(xù)執(zhí)行；若達(dá)到了設(shè)定的最大值，則終止協(xié)議執(zhí)行，將AN的值設(shè)置為0，并發(fā)送“授權(quán)已過期”信息給讀寫器，要求讀寫器再次進(jìn)行認(rèn)證授權(quán)。標(biāo)簽與后端數(shù)據(jù)庫進(jìn)行密鑰更新，用于下一次的授權(quán)過程。

（3）標(biāo)簽生成一個隨機數(shù)Nt，計算H（Nr‖Nt‖k），設(shè)置標(biāo)志位Flag為0，并發(fā)送｛Flag，Nr，Nt，H（Flag‖Nr‖Nt‖k）｝給讀寫器，其中“‖”表示字符串的串聯(lián)，“H”表示Hash函數(shù)。

（4）讀寫器收到標(biāo)簽的回復(fù)后，添加上自己的身份信息IDR后，轉(zhuǎn)發(fā)給后端數(shù)據(jù)庫。

（5）后端數(shù)據(jù)庫在自己存儲的數(shù)據(jù)項中搜索，以判斷是否存在適當(dāng)?shù)膋＇，使H（Flag‖Nr‖Nt‖k＇）等于收到的H（Flag‖Nr‖Nt‖k）。若不存在這樣的k＇，則認(rèn)證失敗，協(xié)議終止；若存在這樣的k＇，且后端數(shù)據(jù)庫允許該讀寫器擁有對該標(biāo)簽的訪問權(quán)，則選取該讀寫器可以對標(biāo)簽進(jìn)行訪問的最大次數(shù)AN，計算H（Nr‖Nt‖AN‖k‖ku），將其和AN、標(biāo)簽的密鑰k發(fā)送給讀寫器，即｛AN，H（Nr‖Nt‖AN‖k‖ku），k｝。

（6）讀寫器收到后端數(shù)據(jù)庫的回復(fù)后，得到標(biāo)簽當(dāng)前密鑰k和AN，可以使用該密鑰與標(biāo)簽進(jìn)行通信。發(fā)送AN⊕H（Nr‖Nt‖k），H（Nr‖Nt‖AN‖k‖ku）給標(biāo)簽，其中“⊕”表示異或運算。

（7）標(biāo)簽收到后計算出AN，驗證收到的H（Nr‖Nt‖AN‖k‖ku）是否正確，以此來判斷讀寫器是否收到了k，以及AN是否被篡改。若通過檢測，標(biāo)簽存儲AN，并可以使用k與讀寫器進(jìn)行通信。

1.2 所有權(quán)轉(zhuǎn)換子協(xié)議

在所有權(quán)轉(zhuǎn)換子協(xié)議中，為保護(hù)標(biāo)簽信息的前向安全，原所有者先更新標(biāo)簽的密鑰k和ku，然后再將其通過安全信道發(fā)送給新所有者，新所有者無法獲取更新前的密鑰值。為保護(hù)標(biāo)簽信息的后向安全，新所有者需要在原所有者的通信范圍之外更新標(biāo)簽中的密鑰k和ku，使得原所有者無法獲取新的密鑰值。協(xié)議流程如圖2所示。

圖2 所有權(quán)轉(zhuǎn)換子協(xié)議

（1）當(dāng)需要進(jìn)行所有權(quán)轉(zhuǎn)換時，由新所有者（new owner，簡稱 NO）發(fā)起所有權(quán)轉(zhuǎn)換申請Req。原所有者（old owner，簡稱OO）同意該申請后，其后端數(shù)據(jù)庫生成一個隨機數(shù)Nd，并計算H（Flag‖Nd‖ku），其中的Flag為1，表示要進(jìn)行密鑰更新。發(fā)送｛Flag，Nd，H（Flag‖Nd‖ku）｝給標(biāo)簽，然后更新自己存儲的k和ku：

后端數(shù)據(jù)庫在等待一段時間后，若沒有收到標(biāo)簽發(fā)來的回復(fù)信息，則重新生成Nd并進(jìn)行密鑰更新。

（2）標(biāo)簽收到后，驗證收到的H（Flag‖Nd‖ku）是否正確。若正確，則生成一個新隨機數(shù)Nt，采用同樣的方法更新密鑰，然后計算H（Flag‖Nt‖Nd‖k‖ku），將其與Nt一起發(fā)送給原所有者。

（3）原所有者收到標(biāo)簽的回復(fù)后，驗證是否正確。若正確，則將更新后的k和ku發(fā)送給新所有者。至此，新所有者獲得了對該標(biāo)簽的訪問權(quán)限，可以用該k和ku與標(biāo)簽進(jìn)行通信。新所有者采用同樣的方法更新標(biāo)簽的密鑰k和ku。

2 協(xié)議分析

2.1 協(xié)議安全性分析

GNY邏輯是一種對BAN邏輯進(jìn)行增強擴展的邏輯。該邏輯擴展了符號集，增加了新的邏輯推理規(guī)則，增強了邏輯分析能力，擴大了應(yīng)用范圍。本文通過對消息進(jìn)行形式化表述，設(shè)定初始化假設(shè)，使用GNY邏輯對協(xié)議的安全性進(jìn)行簡要分析。為了分析方便，假定除標(biāo)簽與讀寫器和所有者之間的信道以外，其他信道都是安全信道。本節(jié)所用的表述方式和推理規(guī)則遵守文獻(xiàn)［9－10］中的相應(yīng)內(nèi)容。其中，“T”代表標(biāo)簽；“R”代表讀寫器；“D”代表后端數(shù)據(jù)庫；“OO”代表原所有者；“NO”代表新所有者。

2.1.1 授權(quán)子協(xié)議分析

（1）形式化表述。

（2）初始化假設(shè)。

（3）分析過程。

由以上分析可知，在授權(quán)子協(xié)議中，后端數(shù)據(jù)庫對標(biāo)簽進(jìn)行了認(rèn)證，標(biāo)簽和讀寫器都擁有密鑰k。通信雙方都獲得了最大訪問次數(shù)AN，并相信該AN值是由后端數(shù)據(jù)庫為通信雙方設(shè)置的。

2.1.2 所有權(quán)轉(zhuǎn)換子協(xié)議分析

（1）形式化表述。

（2）初始化假設(shè)。

（3）分析過程。

在所有權(quán)轉(zhuǎn)換子協(xié)議中，標(biāo)簽相信原所有者同意所有權(quán)轉(zhuǎn)換，并與原所有者進(jìn)行了雙向認(rèn)證。原所有者相信標(biāo)簽擁有更新后的密鑰，保護(hù)了標(biāo)簽信息的前向安全。新所有者擁有密鑰k和ku，然后再次更新密鑰，保證了標(biāo)簽信息的后向安全。

從以上分析可以發(fā)現(xiàn)，該協(xié)議能夠為標(biāo)簽和所有者提供身份認(rèn)證，保護(hù)標(biāo)簽信息的前向安全和后向安全，抵御重放攻擊、中間人攻擊。此外，協(xié)議中并未發(fā)送標(biāo)簽的身份信息或其他機密信息，可以避免遭受跟蹤攻擊。由于本文所提出的協(xié)議在更新密鑰時，存儲了原密鑰，因此在遭受去同步化攻擊時，可以通過原密鑰值重新同步，以抵御去同步化攻擊。本文所提出的協(xié)議與現(xiàn)有的研究成果對比，見表1所列，其中，“√”表示滿足，“×”表示不滿足，“○”表示部分滿足。

表1 本文協(xié)議與現(xiàn)有研究成果的安全性對比

2.2 仿真實現(xiàn)

在Linux系統(tǒng)中對部分標(biāo)簽所有權(quán)轉(zhuǎn)換協(xié)議進(jìn)行了仿真實現(xiàn)，獲取了標(biāo)簽計算所需消耗時間，見表2所列。與現(xiàn)有研究成果相比，本文協(xié)議的標(biāo)簽計算耗時較少，適用于低成本標(biāo)簽。

表2 標(biāo)簽計算消耗時間對比 μs

3 結(jié)束語

RFID系統(tǒng)中的標(biāo)簽在其生存期內(nèi)需要經(jīng)歷多個不同的所有者節(jié)點，如何保障標(biāo)簽所有權(quán)轉(zhuǎn)換過程的安全性是一個亟待解決的問題。本文提出了一種RFID標(biāo)簽授權(quán)訪問和所有權(quán)轉(zhuǎn)換協(xié)議，采用GNY邏輯對協(xié)議的安全性進(jìn)行了分析，結(jié)果表明該協(xié)議不僅能夠提供受限的訪問權(quán)和標(biāo)簽所有權(quán)轉(zhuǎn)換，還能保證較好的安全性，保護(hù)了存儲在標(biāo)簽中機密信息的前向安全和后向安全，并能抵御多種攻擊。在Linux中進(jìn)行了仿真實現(xiàn)，將本協(xié)議與部分現(xiàn)有研究成果進(jìn)行了比較，發(fā)現(xiàn)本協(xié)議中標(biāo)簽的計算量較小，適用于低成本RFID系統(tǒng)。下一步的工作是在不降低安全性的前提下，研究如何進(jìn)一步降低標(biāo)簽的計算量。

［1］ Molnar D，Soppera A，Wagner D.A scalable，delegatable pseudonym protocol enabling ownership transfer of RFID tags［M］／／Selected Areas in Cryptography，2005.Berlin：Springer，2006：276－290.

［2］ Osaka K，Takagi T，Yamazaki K，et al.An efficient and secure RFID security method with ownership transfer［C］／／International Conference on Computational Intelligence and Security，2006.Washington D C：IEEE，2006：1090－1095.

［3］ Jappinen P，Hamalainen H.Enhanced RFID security method with ownership transfer［C］／／International Conference on Computational Intelligence and Security，2008.Washington D C：IEEE Computer Society Press，2008：382－385.

［4］ Yoon E J，Yoo K Y.Two security problems of RFID security method with ownership transfer［C］／／IFIP International Conference on Network and Parallel Computing，2008.Washington D C：IEEE，2008：68－73.

［5］ Kulseng L，Yu Z，Wei Y，et al.Lightweight mutual authen－tication and ownership transfer for RFID systems［C］／／IEEE International Conference on Computer Communications，2010.Washington D C：IEEE，2010：1－5.

［6］ Zhou W，Yoon E J，Piramuthu S.Varying levels of RFID tag ownership in supply chains［C］／／On the Move to Meaningful Internet Systems：OTM 2011Workshops.Berlin：Springer，2011：228－235.

［7］ Fernndez－Mir A，Trujillo－Rasua R，Castella－Roca J，et al.A scalable RFID authentication protocol supporting ownership transfer and controlled delegation［J］.Lecture Notes in Computer Science，2012，7055：147－162.

［8］ Jia H，Wen J.A novel RFID authentication protocol with ownership transfer［C］／／International Conference on Automation and Robotics.Berlin：Springer，2012：599－606.

［9］ Gong L，Needham R，Yahalom R.Reasoning about belief in cryptographic protocols［C］／／1990IEEE Computer Society Symposium on Research in Security and Privacy，Oakland，1990.Washington D C：IEEE Computer Society，1990：234－248.

［10］ 李建華，張愛新，薛 質(zhì)，等.網(wǎng)絡(luò)安全協(xié)議的形式化分析與驗證［M］.北京：機械工業(yè)出版社，2010：27－33.