基于隨機排列函數的RFID 標簽所有權轉換協議

賀 蕾，甘 勇，尹毅峰，金松河

(鄭州輕工業學院計算機與通信工程學院，河南鄭州450002)

0 引言

無線射頻識別技術(Radio Frequency Identification，RFID)是一種無需被識別物品在可視范圍內就能進行自動識別的技術.一個典型的RFID系統通常由標簽、讀寫器和后端數據庫組成.標簽所附的物品在其生存期內大多需要經歷多個所有者，當物品在不同所有者之間進行流通時，需要進行所有權的轉換.相應地，物品上所附的標簽也要進行所有權轉換.標簽所有權轉換協議除了要滿足認證協議所需滿足的安全性以外，還要能提供標簽信息的前向安全和后向安全.前者指的是新所有者不能依據自己掌握的機密信息獲得標簽與原所有者共享的機密信息，后者指的是原所有者不能獲取標簽與新所有者之間共享的機密信息.

1 相關工作

Zhou等［1］提出了一種包含原所有者、新所有者、標簽、第三方物流(Third Party Logistics，TPL)和可信第三方(Trusted Third Party，TTP)的所有權轉換協議.該協議不能抵御去同步化攻擊.Jia等［2］所提出的所有權轉換協議通過改變標簽密鑰的方式達到所有權轉換的目的，但該協議不能抵御跟蹤攻擊.Song［3］提出了一種所有權轉換協議.Wang［4］對該協議分析后設計了一種攻擊方案，破壞了標簽信息的前向安全.Kapoor等［5］提出了一個有TTP和一個沒有TTP的所有權轉換協議，這兩個協議都需要使用對稱密鑰密碼算法，計算量較大.

2 協議描述

2.1 初始化階段

在初始化階段，標簽和所有者共享3個機密信息，分別是標簽的身份標識ID、密鑰ki和秘密值sj.其中，下標i和j分別表示這是標簽與所有者共享的第i個密鑰和第j個秘密值.在本協議中，標簽中內置了兩個輕量級的隨機排列函數，分別用F和P表示.其中，F函數是與所有者共享的隨機排列函數，可以用線性反饋移位寄存器(Linear Feedback Shift Register，LFSR)［6］實現，P函數則基于物理不可克隆函數(Physical Unclonable Function，PUF)［7］進行構建.利用 LFSR 可以構建具有較好統計特性的偽隨機排列函數，如果該偽隨機排列的種子值是秘密的，則其輸出序列是無法預測的.PUF的輸出排列中由于嵌入了標簽的物理信息，因而具有唯一性、不可克隆性、不可預測性和防篡改等安全屬性.

2.2 協議流程

筆者提出的標簽所有權轉換協議見圖1.

圖1 標簽所有權轉換協議Fig.1 Ownership transfer protocol of RFID tag

(1)標簽的原所有者發送所有權轉換請求OTR(Ownership Transfer Request)和一個隨機數r1給標簽，即{OTR，r1}.

(2)標簽收到消息后生成隨機數r2，并發送{r1，r2，F(OTR，ID，r1，r2)}給原所有者.

(3)原所有者收到標簽發來的消息后，通過在數據庫中搜索是否存在適當的ID，使其滿足F(OTR，ID，r1，r2)，以此來判斷該消息是否是需要進行所有權轉換的標簽發來的消息.若不是，則協議終止;若是，則通過對標簽的認證，發送{OTR，r1，r2，F(OTC，r1，r2，ID，ki)}給標簽.其中，OTC表示所有權轉換命令(Ownership Transfer Command).

(4)標簽用自己的ID和密鑰驗證收到的F(OTC，r1，r2，ID，ki)是否正確.若不正確，則協議終止.若正確，則計算 s(j+1)=P(sj)，k(i+1)=F(s(j+1))，發送{r1，r2，F(SUC，ki，r1，r2)⊕s(j+1)，F(r1，r2，s(j+1))}.其中，SUC 表示機密信息更新命令(Secret Update Command，SUC)，符號“”表示異或運算.

(5)原所有者收到標簽發來的消息后，用檢索到的標簽ID所對應的密鑰計算出F(SUC，ki，r1，r2)，進而求出 s(j+1)，并用收到的 F(r1，r2，s(j+1))檢查計算出的s(j+1)是否正確，再由k(i+1)=F(s(j+1))計算出 k(i+1).原所有者發送{r1，r2，F(US，k(i+1)，r1，r2)}給標簽，其中 US(Update Success)為更新成功標識.

(6)標簽收到所有者發來的消息后，檢查收到的F(US，k(i+1)，r1，r2)是否正確.若不正確，則協議終止;若正確，則發送{r1，r2，F(UC，k(i+1)，r1，r2)}給原所有者，其中 UC(Update Completed)為更新結束標識.

(7)若原所有者長時間未收到標簽發來的更新結束消息，則從步驟1開始重新執行協議.若原所有者收到標簽發來的更新結束消息，并確認該消息正確，則表明信息更新結束.原所有者通過安全的信道將密鑰k(i+1)和秘密值s(j+1)發送給新所有者.

(8)新所有者收到原所有者發來的消息后，在原所有者的通信范圍之外與標簽進行通信.生成隨機數 r3和標簽的新身份標識 IDnew，發送{OOC，r3，F(OOC，r3，k(i+1)，s(j+1))，F(r3，s(j+1))IDnew}給標簽.其中，OOC(Ownership Obtain Command)為所有權獲取命令.

(9)標簽根據OOC確定收到的消息是新所有者請求獲取所有權的消息，用自己存儲的{k(i+1)，s(j+1)}驗證 F(OOC，r3，k(i+1)，s(j+1))是否正確.若不正確，則協議終止.若正確，則通過對所有者的認證.標簽求出新所有者為標簽分配的新的身份標識 IDnew，生成隨機數 r4，標簽計算s(j+2)=P(s(j+1))，k(i+2)=F(k(i+1)，s(j+2))，發送{r3，r4，F(r3，r4，k(i+1))⊕ s(j+2)，F(r3，r4，k(i+2))IDnew}.

(10)新所有者計算出F(r3，r4，k(i+1))，進而得到s(j+2)，并由 k(i+2)=F(k(i+1)，s(j+2))得到新密鑰 k(i+2).計算 F(r3，r4，k(i+2))，以得到 IDnew，確定標簽獲得了正確的IDnew.若標簽獲得的IDnew不正確，則返回步驟8重新開始.

3 協議安全性分析

筆者采用GNY邏輯對協議的安全性進行分析.為了分析的方便，假設只有標簽與所有者之間的信道是不安全的.本節所采用的表述方式和推理規則遵照文獻［8-9］中的相關內容.

3.1 形式化表述

對協議流程按照GNY邏輯的要求進行形式化表述，其中QO表示原所有者(Quondam Owner，QO)，NO 表示新所有者(New Owner，NO)，T 表示標簽.為了研究的方便，考慮到F函數和Hash函數在本協議中所起的作用類似，故在進行GNY分析時用Hash函數代替F函數.

3.2 初始化假設

3.3 證明目標

G1

:QO|≡T?ID(由M2，A1，I3，I6得G1)

G2:T|≡QO?ki(由 M3，A2，I3，I6得 G2)

類似地，可以得到G3，G4，G5.

G3:T|≡QO?k(i+1)

G4:QO|≡T?k(i+1)

G5:T|≡NO?k(i+1)

從以上分析過程可以看出，標簽與原所有者進行了雙向認證，互相確認了對方的身份.同時，對存儲的密鑰進行了更新，保護了機密信息的前向安全.

G7:NO|≡T～ s(j+2)(由 M8，A3，I1得G7)

從以上分析過程可以看出，新所有者與標簽協商出了新的共享密鑰k(i+2)，保護了標簽信息的后向安全，并且為標簽分配了新的身份標識、抵御了跟蹤攻擊.

對于去同步化攻擊，在原所有者與標簽的通信過程中，標簽首先更新密鑰.若遭到去同步化攻擊，原所有者可以使用標簽的ID和密鑰重新執行協議.在新所有者與標簽的通信過程中，若遭到去同步化攻擊，新所有者可以再次發送含OOC的消息給標簽，以重新進行信息同步.因此，該協議能夠抵御去同步化攻擊.

將筆者所提出的協議與部分現有研究成果進行對比，可以發現筆者所提出的協議具有較好的安全性，如表1所示.

表1 與現有部分研究成果的安全性對比Tab.1 Com parison with other research results

4 協議仿真實現

在Linux系統中對筆者所提出的協議和其他研究人員所提出的研究成果進行了仿真實現，所用計算機的CPU為3.2 GHz，內存為2.0 GB.通過仿真實現，主要獲取了標簽進行計算所消耗的時間等實驗數據，并進行了對比，如圖2所示，單位為微秒.從圖2可以看出，與其他研究成果相比，筆者所提出的所有權轉換協議中標簽所消耗的計算時間較短，適用于低成本的標簽.

5 結論

圖2 不同研究成果中標簽計算消耗時間Fig.2 Cost time by tag in different research results

筆者提出了一種標簽所有權轉換協議，該協議使用了基于LFSR和PUF的輕量級隨機排列函數.原所有者與標簽進行認證和密鑰更新后，將更新后的機密信息發送給新所有者，以保護標簽信息的前向安全.新所有者再次與標簽進行認證和機密信息更新，以保護標簽信息的后向安全.使用GNY邏輯對協議安全性進行了分析，該協議能夠抵御重放攻擊、中間人攻擊、去同步化攻擊，并能保護標簽附著物的位置隱私.對協議進行了仿真實現，獲取了標簽計算時間等數據.通過與其他協議的數據進行對比發現，筆者所提出的協議中標簽的計算時間比其他協議的計算時間短，更適合用于低成本RFID標簽.

［1］ ZHOUWei，YOON E J，PIRAMUTHU S.Varying levels of RFID tag ownership in supply chains［C］//On the Move to Meaningful Internet Systems:OTM2011Workshops.Berlin:Springer Berlin Heidelberg，2011:228-235.

［2］ JIA Han，WEN Jun.A novel RFID authentication protocolwith ownership transfer［J］.Lecture Notes in E-lectrical Engineering，2012，122:599-606.

［3］ SONG B.RFID tag ownership transfer［EB/OL］.http://rfidsec2013.iaik.tugraz.at，2008-12-01.

［4］ WANG Shao-hui.Analysis and design of RFID tag ownership transfer protocol［C］//Proceedings of the 2011 International Conference on Informatics，Cybernetics，and Computer Engineering.Berlin:Springer Berlin Heidelberg，2012:229-236.

［5］ KAPOORG，PIRAMUTHU S.Single RFID tag ownership transfer protocols［J］.IEEE Transactions on，Systems，Man，and Cybernetics，Part C:Applications and Reviews.2012，42(2):164-173.

［6］ 楊波.現代密碼學［M］.北京:清華大學出版社，2010:15-19.

［7］ 張紫楠，郭淵博.物理不可克隆函數綜述［J］.計算機應用，2012，32(11):3115-3120.

［8］ GONG Li，NEEDHAMR，YAHALOMR.Reasoning about belief in cryptographic protocols［C］//1990 IEEE Computer Society Symposium on Research in Security and Privacy.Washington D C:IEEE Computer Society，1990:234-248.

［9］ 李建華，張愛新，薛質，等.網絡安全協議的形式化分析與驗證［M］.北京:機械工業出版社，2010:27-33.