可證明安全的RFID標簽所有權轉移協議

原變青，劉吉強

（北京交通大學 計算機與信息技術學院，北京100044）

1 引言

無線射頻識別（RFID）是一種自動識別和數據獲取技術。通過將RFID標簽附著到特定目標，如產品、動物、人等，讀寫器無需直接接觸目標即可實現對特定目標的識別和數據的搜集。RFID標簽具有成本低、讀取距離大、耐磨損、數據可加密與修改等優點，其應用已遍布生產制造、交通運輸、批發零售以及票證管理等多個領域。在實際的應用中，RFID標簽附著的目標實體的所有權經常發生改變，從而RFID標簽的所有權在其生命期中也需要發生轉移[1]。在 RFID標簽所有權轉移過程中，標簽的信息安全與隱私問題受到了越來越多學者們的關注。

2005年，Molnar等[2]首次提出一個針對RFID標簽所有權轉移的匿名協議，該協議由一個可信中心（TC）來控制所有的標簽信息，要求標簽原所有者和新所有者必須相信相同的 TC，這限制了協議的使用范圍。同年，Osaka等[3]基于散列函數和對稱密碼體制提出了一個高效的所有權轉移協議。該方案通過在所有權轉移過程中改變對稱私鑰，實現了對標簽原所有者和新所有者的保護。但該方案不能抵抗拒絕服務攻擊，也不滿足標簽的不可追蹤性。2007年，為解決新所有者的隱私保護問題，Fouladgar和Afifi[4]提出了一個簡單、高效的支持授權和所有權轉移的協議。然而，由于標簽每次返回的值可能被敵手獲取，進而使敵手成功冒充該標簽，因此該方案不能抵抗重放攻擊。此外，標簽還有被追蹤的危險。在2008年的RFIDSec會議上，Song[5]定義了 RFID標簽所有權轉移協議的安全和隱私保護需求，并提出了3個子協議：所有權轉移協議、秘密更新協議以及授權恢復協議。但經多位學者[6,7]分析，該方案存在諸多安全性問題。隨后，Song等對該方案進行了改進，但改進后的方案[8]仍不具備后向隱私保護并且易受到異步攻擊。2011年，金永明等[9]基于SQUASH方案，提出了一種新的輕量級所有權轉移協議。該協議比基于散列的方案具有更高的效率，還優化了Song等[5]的所有權轉移協議。但經過分析，在所有權轉移時，新所有者可以獲得原所有者與標簽交互時共享的公私鑰(si,ti)，這使新所有者在獲得 RFID標簽所有權后還能訪問之前RFID標簽與原所有者交互的數據，因此該協議不具備前向隱私保護。另外，在密鑰更新階段，惡意的原所有者能通過竊取消息P以及之前認證階段獲得的隨機數rT計算出ti'，從而可以繼續訪問標簽，因此該協議也不具備后向隱私保護。在2011年 RFIDSec會議上，針對供應鏈中標簽所有權轉移存在的安全和隱私問題，Elkhiyaoui等[10]提出了RFID標簽所有權轉移協議的安全模型并設計了一個可實現簽發者驗證的標簽所有權轉移方案。該方案在標簽中存儲簽發者的簽名，且該簽名可被供應鏈中所有參與者進行驗證。但 Moriyama[11]指出Elkhiyaoui等的安全模型有局限性，如該模型假設所有權轉移協議的各參與方均無惡意，這種假設使得其協議在現實中不能提供足夠的隱私保護。2012年，Kapoor等[12]提出了有可信第三方（TTP）和無TTP的2個所有權轉移方案。然而，有TTP的所有權轉移方案易受到異步攻擊，而無TTP的所有權轉移方案則存在后向隱私泄漏及易受到拒絕服務攻擊等安全性問題。2013年，Doss等[13]基于二次剩余理論提出了 2個標簽所有權轉移方案：閉環方案和開環方案，但 2個協議均需要標簽與新舊所有者之間執行多次交互且需要在標簽上多次執行模平方運算，嚴重影響了RFID標簽的轉移效率。同年，Chen等[14]提出了遵循EPCglobal C1G2標準的標簽所有權轉移協議，該協議在標簽端僅使用PRNG和CRC操作。然而，該方案易受到拒絕服務攻擊。

基于可證明安全性理論和方法來進行RFID安全協議的設計和分析是近來RFID協議重要的研究方向，相關研究也取得了較為豐富的成果[15～17]。通用可組合框架[18]（UC框架）是用于描述和分析并發環境下協議安全性問題的理論框架。許多學者在通用可組合框架下設計和分析了各種RFID協議[19～22]，但是目前還沒有學者在該框架下對 RFID標簽所有權轉移協議進行研究。本文首先在通用可組合框架下，形式化定義了RFID標簽所有權轉移的理想函數。然后，提出了一個新的輕量級 RFID標簽所有權轉移協議，并證明了新協議安全地實現了該理想函數。

2 RFID標簽所有權轉移協議模型與安全需求

2.1 交互模型

在RFID系統中有3類實體：RFID標簽、讀寫器和后臺服務器。其中，RFID標簽具有有限的存儲空間和有限的計算能力。而后臺服務器則具有較強的處理能力，它通過與其連接的讀寫器與 RFID標簽進行通信。后臺服務器中還有一個數據庫，用來存儲它所擁有的RFID標簽的信息。不失一般性，本文假設讀寫器與標簽之間存在不安全的通信信道，而讀寫器與后臺服務器之間有安全的通信信道。同時，后臺服務器之間也有安全的通信信道。

標簽所有權是指可以識別標簽并控制與標簽有關的所有信息的能力。標簽所有權轉移意味著新所有者接管了標簽的管理權。由于在分析RFID標簽所有權轉移協議時，通常將后臺服務器和讀寫器看作一個整體，即視二者為一個獨立的通信實體[5,8,13]。因此，本文提出的協議涉及到3個參與方：當前所有者服務器/讀寫器（CS）、新所有者服務器/讀寫器（NS）和待轉移所有權的標簽（T）。標簽所有權轉移要經歷3個階段：1）認證階段：CS查詢其數據庫以確認NS讀取的標簽為T；2）授權階段：CS將T的信息傳送給NS，使NS能識別和讀取T；3）秘密更新階段：NS與T同步更新秘密，安全地實現T所有權的轉移。

2.2 敵手模型

在RFID標簽所有權轉移協議中，敵手A的攻擊可以分為對信道的攻擊和對參與方的攻擊。對于信道的攻擊，假設敵手A能夠完全控制NS與標簽T之間的通信信道，可以任意地讀取、刪除、篡改、延遲發送和重放信道中的任何消息, 也可以在任何時候發起與任何參與方的任意會話。此外，本文暫不討論對標簽的物理攻擊。因此，對于參與方的攻擊，假定敵手A在協議執行的任何時候都可以攻陷參與方CS和NS。而對于攻陷后的實體，敵手A能夠成功獲取到其內部狀態數據。

敵手A攻擊的方法主要有：重放攻擊、異步攻擊、中間人攻擊、假冒攻擊、偽造攻擊和隱私攻擊等。

2.3 安全需求

一個安全的RFID標簽所有權轉移協議需要滿足以下安全屬性[5]。

1) 雙向認證：在所有權轉移過程中，只有在CS成功認證標簽T并且標簽T也成功認證CS后，才能完成所有權的轉移。

2) 標簽匿名性：任意的攻擊者A，僅通過截獲CS（或NS）與標簽T之間的交互信息，無法獲得標簽T的任何身份信息，也無法追蹤到標簽T的任何活動。

3) 抗異步攻擊：在攻擊者A通過任意手段中斷所有權轉移協議，使CS（或NS）與標簽T的信息同步失敗后，協議可以保證標簽T認證的再次成功，并實現信息的同步。

此外，還需要確保以下隱私需求。

1) 后向隱私保護：所有權轉移之后，標簽T的原所有者CS不能再識別該標簽，也無法訪問該標簽和新所有者NS的會話信息。

2) 前向隱私保護：所有權轉移之后，標簽的新所有者NS不能訪問所有權轉移前標簽T與原所有者CS之間的會話信息。

3 RFID標簽所有權轉移協議的UC模型

3.1 通用可組合安全

通用可組合框架（UC框架）是由Canetti[18]提出的，該框架下所有的參與方都被抽象為概率多項式時間的交互式圖靈機。在該框架下被證明為安全的協議，不論是與其他協議并發運行，還是作為任意系統的組件運行，協議仍然安全。

UC框架定義了2種協議運行模型[23]：現實模型和理想模型。其中，現實模型表示現實中協議的執行過程，主要涉及3類參與方：環境機Z、執行協議π的多個參與方｛Pi｝以及現實敵手A。而理想模型則用來描述密碼協議的理想運行。理想模型中主要涉及的參與方包括環境機Z、通過虛擬用戶｛｝與環境機Z進行交互的理想函數F以及理想過程敵手S。其中，理想函數F能夠安全地完成協議所執行的特定功能, 它本質上是一個不可攻陷的可信方。目前，已經定義的理想函數有：認證消息傳輸FAUTH、密鑰交換FKE、公鑰加解密FPKE、簽名FSIG、零知識證明FZK、不經意傳輸FOT[24]、基于一次簽名（FOTS）的廣播認證（FBAUTH）[25]、可信網絡連接FTNC[26]和安全定位FSP[27]等。

定義 1如果對于任意敵手A，存在理想過程敵手S，使環境機Z不能以不可忽略的概率區分它是在與現實過程中的A和運行協議π的參與方｛Pi｝交互還是在與理想過程中的S和F交互，則稱協議π安全地實現了理想函數F。即

3.2 RFID標簽所有權轉移的理想函數FTRANS

首先，介紹在定義標簽所有權轉移理想函數時需要使用的變量和指令：sid為會話標識；Type(P)返回參與方P的類型；指令(Init,sid,P,M)表示參與方P接收到了來自環境機Z的消息并開始發起會話；指令(Authed,sid,PA,PB,secret)表示參與方PA認證了參與方PB，且二者共享的秘密為secret；指令(Transfer,sid,PA,PB,PC)表示參與方PA將PC的所有權轉移給PB；指令(Update,sid,P,secret）表示參與方P更新其秘密為secret；指令(Output,sid,P,secret）表示理想函數的輸出。

下面基于第2節描述的協議模型和安全需求，形式化定義 RFID標簽所有權轉移的理想函數FTRANS。

由于標簽T和CS的所屬關系是標簽所有權轉移的前提，因此理想函數FTRANS使用記錄（CS,T,t,Info(T))來表示這種所有關系。其中，t為任意隨機數，用來標識標簽T的動態身份；Info(T)表示標簽T的業務數據。

1) 一旦收到NS發送的消息(Init,sid,NS,MNS)，傳送(sid, Type(NS),MNS)給敵手S。一旦收到T發送的消息(Init,sid,T,MT)，傳送（sid, Type(T) ,MT)給敵手S。

2) 一旦收到來自敵手S的消息(Authed,sid,CS,T,k)，檢查記錄(CS,T,t,Info(T))是否存在：

a) 如果記錄不存在，記錄(Authed,sid,CS,T,fail)；

b) 如果記錄存在且k=t，則記錄(Authed,sid,CS,T,success)；

c) 如果記錄存在且k≠t，分 2種情況：如果CS已被攻破，由S決定認證結果；如果CS沒有被攻破，記錄(Authed,sid,CS,T,fail)。

3) 一旦收到來自敵手S的消息(Authed,sid,T,CS,k′)，檢查記錄(CS,T,t,Info(T))是否存在，如果記錄存在且k′=t，那么記錄(Authed,sid,T,CS,success)，否則，記錄(Authed,sid,T,CS,fail)。

4) 一旦收到CS發送的消息(Transfer,sid,CS,NS,T)，記錄(sid,NS,CS,T)。

5) 一旦收到S發送的消息(Update,sid,NS,γ），檢查記錄(Authed,sid,CS,T,success)、(Authed,sid,T,CS,success)和(sid,NS,CS,T)是否全部存在：

a) 如果記錄都存在，且NS沒有被攻破，則選擇隨機數α，并添加記錄(NS,T,α,Info(T))，然后發送(Output,sid,NS,α)給NS；

b) 如果記錄都存在，且NS已被攻破，則添加記錄(NS,T,γ,Info(T))，然后發送(Output,sid,NS,γ)給NS；

c) 如果有一條記錄不存在，則返回失敗。

6) 一旦收到S發送的消息(Update,sid,T,β)，檢查包含(NS,T)的記錄是否存在：如果記錄存在，并找到記錄(NS,T,χ,Info(T))，則發送(Output,sid,T,χ)給T，然后刪除記錄(CS,T,t,Info(T))。如果記錄不存在，則返回失敗。

7) 如果在隨機數α選擇后，敵手S攻破了NS，則將α發送給敵手S。

3.3 安全性分析

下面證明理想函數FTRANS滿足2.3節中定義的安全需求。

1) 雙向認證：在理想環境下，標簽所有者CS對標簽T的認證是通過指令(Authed,sid,CS,T,k)來實現的，而指令(Authed,sid,T,CS,k′)的實現也確保了標簽T對所有者CS的認證。只有當2個認證都返回成功時，也就是記錄(Authed,sid,CS,T,success)、(Authed,sid,T,CS,success)都存在的條件下，FTRANS才會添加記錄(NS,T,α,Info(T))完成秘密更新，實現所有權的轉移。

2) 標簽匿名性：標簽的業務數據Info(T)始終存在于可信環境下，而認證過程中使用的標識t以及更新后的標識α都是隨機數，因此敵手通過竊聽不安全信道獲得的信息MNS以及MT，都無法識別或追蹤標簽T。

3) 抗異步攻擊：當敵手S在執行指令(Update,sid,NS)和(Update,sid,T)時，可能通過各種手段使NS和標簽T的信息不同步。此時，如果包含(NS,T)的記錄已經存在，則在執行指令(Update,sid,T)后會再次同步。如果包含(NS,T)的記錄不存在，那么，由于記錄(CS,T,t,Info(T))還未被刪除，重新啟動理想過程仍可以保證標簽T再次被成功認證，進而重新同步信息。

4) 后向隱私保護：在理想環境下，當所有權成功轉移之后，即指令(Update,sid,T)執行后，標簽的原所有者CS和標簽T的所屬關系記錄(CS,T,t,Info(T))已經被清除，并且更新后的秘密α對CS是保密的，因此CS不能再識別標簽T，也無法訪問標簽T和新所有者NS的會話信息。

5) 前向隱私保護：在理想環境下，在指令(Update,sid,NS)執行前，標簽的新所有者NS并沒有得到任何信息。而在指令(Update,sid,NS)執行后，標簽的新所有者NS也只能獲得α。即便是所有權成功轉移之后，即指令(Update,sid,T)執行后，NS也無法獲得t。因此NS無法訪問所有權轉移前標簽T與原所有者CS之間的會話信息。

4 UC安全的RFID標簽所有權轉移協議

基于2.1節描述的RFID所有權轉移協議交互模型，本節給出一個輕量級的RFID標簽所有權轉移協議πTRANS，如圖1所示。

以下是符號的定義。

l：標簽動態身份以及隨機數的安全長度；

f：一個輕量級單向函數，f: {0, 1}*→ {0, 1}l；

Info：存儲標簽所標識的目標實體的業務信息的變量；

||：字符串連接操作；

∈R：隨機數選擇操作；

⊕：異或運算；

←：置換（賦值）運算。

在初始化階段，每個標簽在后臺服務器的數據庫中都對應一條記錄（told,tnew,Info(T)），其中，tnew表示標簽的當前身份，told表示標簽轉移前的身份，Info(T)記錄標簽的業務信息。NS選取 2個大素數，滿足p=q=3mod4，然后計算n=pq，并公開n給CS。CS中存儲的有關T的記錄中，tnew=t，其中t表示T當前的身份信息。標簽T中存儲l位的t和2l+1位的n。下面描述具體協議過程。

1)NS選取隨機數，然后通過相應的讀寫器向T發送挑戰消息r1。

2) 收到NS的挑戰消息后，T隨機選取，然后計算，并向NS發送響應消息＜M1,M2,M3＞。

3) 對收到的消息M3，NS根據保存的p和q，解方程組M3=x2modp和M3=x2modq可分別得到2個解，組合可得4個同余方程組，根據中國剩余定理計算得到4個解：x1,x2,x3,x4。如果能找到左l位等于r1的解xi(1≤i≤4)，那么該解的右l位即為r3。然后，NS向CS發送消息＜r1,M1,M2＞。否則，驗證失敗，停止協議過程。

4) 一旦收到消息＜r1,M1,M2＞，CS順序執行以下操作：

5 安全性證明及效率分析

5.1 安全性證明

定理1協議πTRANS在UC框架下安全地實現了理想函數FTRANS。

證明令A為現實模型中的任意敵手。下面構建理想過程敵手S，使環境機Z不能以不可忽略的概率區分它是在與現實過程中的A和運行協議πTRANS的各參與方交互還是在與理想過程中的S和FTRANS交互。

首先，構建理想敵手S，S運行A的仿真拷貝，它仿真A與運行πTRANS的各方的交互。更具體地，S運行如下。

1) 與環境機Z的通信：任何來自Z的輸入均被轉發給A。任何來自A的輸出被拷貝作為S的輸出，并被Z讀取。

圖1 RFID標簽所有權轉移協議πTRANS

2) 仿真NS的初始激活：收到來自FTRANS的(sid,Type(NS),MNS)后，S選擇隨機數r1并將其傳給A。

3) 仿真T收到初始激活消息：當A傳送初始消息r1′給T時，S首先驗證它在理想過程中已經收到來自FTRANS的(sid, Type(T) ,MT)。然后，S選擇隨機數r2和r3，并將由T發送的消息(M1,M2,M3）傳給A，其中，

b)如果沒有找到對應的t，則返回認證失敗，協議終止，同時，在理想環境下，傳送(Authed,sid,CS,T,k)給理想函數FTRANS，其中k為S選擇的任意隨機數。

6) 仿真NS發送更新秘密的消息：轉發從NS收到的(M5，M6)給敵手A，其中，t′為S選擇的任意隨機段。

7) 仿真標簽T收到更新秘密的消息：當A傳送更新秘密消息給標簽T時，T判斷等是否成立。

a)如果等式不成立，返回認證失敗，協議終止，同時，在理想環境下，傳送(Authed,sid,T,CS,k′)給理想函數FTRANS，其中k′為S選擇的任意隨機數；

8) 仿真CS（或NS）被攻破：如果敵手A攻破了CS或是NS，那么在理想環境下，S也攻破了同樣的參與方，并且把被攻破參與方的相應內部數據發送給敵手A。

其次，對S有效性進行分析。令NSC表示NS被攻破的事件，也就是在NS和標簽T更新秘密之前，敵手A攻破了NS（現實中，一般是指NS被腐敗后的結果）。在理想環境下，事件NSC表示在S發送Update指令之前，仿真的A攻破參與方NS的事件。

引理1 無論事件NSC發生與否。對于環境機Z而言，真實協議πTRANS和理想函數FTRANS都是不可區分的，即REALπTRANS,A,Z≈IDEALFTRANS,S,Z。

證明 當 NSC發生時，在現實環境中，對于環境機Z而言，敵手A和RFID標簽所有權轉移協議πTRANS交互后輸出的值為α，其中而在理想環境中，在S中仿真的現實中的A，在更新秘密階段，用指令(Update,sid,NS,α)傳送同樣的α給理想函數FTRANS，并最后由FTRANS輸出α給NS；同樣，在執行完指令(Update,sid,T,α)后，標簽T也得到同樣的α。因此，對于環境機Z而言，在NSC發生時，真實協議πTRANS和理想函數FTRANS的輸出是完全相同的。

當事件 NSC沒有發生時，在現實環境中，對于環境機Z而言，敵手A和RFID標簽所有權轉移協議πTRANS交互后輸出的值為t'，其中而在理想環境中，在S中仿真的現實中的A與理想函數FTRANS交互后，由FTRANS輸出α給NS和T，其中α為FTRANS選擇的隨機數。由于 2個隨機數是不可區分的，因此，對于環境機Z而言，在NSC沒有發生時，敵手A與真實協議πTRANS交互后和S與理想函數FTRANS交互后的輸出是不可區分的。

綜上，對于任意敵手A，存在理想過程敵手S，使環境機Z不能以不可忽略的概率區分它是在與現實環境中的A和運行協議πTRANS的參與方交互還是在與理想環境中的S和FTRANS交互，即

5.2 效率分析

下面對本文提出的協議與已有的典型協議進行比較。表1給出了協議間安全屬性的比較，其中“√”表示滿足該安全屬性，“×”表示不滿足該安全屬性。表2給出了協議間計算與存儲代價的比較，其中，Pr表示PRNG運算，Po表示按位運算，Pf表示單向函數運算，Pc表示冗余校驗運算，Pm表示模平方運算，Ps表示求解二次剩余根運算，Pe表示加解密運算，m指Song等方案[8]中服務器端預定義的標簽ID的個數。

從表1和表2可以看出，文獻[3]和文獻[5]提出的方案性能相對較高，但其安全性較差。相比文獻[5]，文獻[8] 提出的方案雖然其CS端的運算效率有所提高，但CS及T的存儲需求有所增加，而且協議仍然無法抵抗異步攻擊和無法滿足后向隱私保護。文獻[9]提出的方案減少了協議執行的交互次數，但該方案不能滿足前向隱私保護和后向隱私保護。文獻[13]提出的方案安全性有所提高。但該協議所需交互次數最多，而且標簽端的運算量和存儲量也最高，因此其性能最差。此外，上述協議均未能證明其具備通用可組合安全性。

相比已有的標簽所有權轉移協議，本文提出的方案只有在CS成功認證標簽T后才將T的相關信息授權給NS，并且只有在標簽T成功認證CS后，才更新其秘密，進而完成所有權的轉移；此外，僅擁有CS（或NS）與標簽T之間的交互信息，無法獲得標簽T的任何身份信息，也無法追蹤到標簽T的任何活動；如果該協議因被任意敵手中斷而導致標簽T的信息同步失敗，那么利用CS（或NS）中保存的新/舊秘密，協議仍可以保證標簽T的成功認證；由于標簽的原所有者CS無法獲得NS和T之間的秘密消息r3，所以所有權轉移后CS不能再識別和訪問T；而標簽的新所有者NS無法獲得所有權轉移前標簽T與原所有者CS之間的秘密t，所以NS也不能訪問所有權轉移前標簽T與原所有者CS之間的會話信息。因此，新方案不僅滿足了雙向認證、標簽匿名性、抗異步攻擊、前向隱私保護等安全需求，更有效地解決了已有所有權轉移協議未能解決的后向隱私保護問題。此外，本文在 UC框架下證明了新協議的安全性，使協議具備通用可組合安全性。在性能方面，新方案的計算復雜度和存儲需求也相對較小，而且交互次數做到了最少。

6 結束語

隨著物聯網技術的快速發展，RFID技術應用越來越廣泛。然而，由于RFID標簽的資源限制，如何設計一個安全、高效的輕量級RFID標簽所有權轉移協議是當前需要重點研究的一個問題。首先，本文對RFID標簽所有權轉移協議的交互模型和攻擊模型做了分析和描述。然后，在通用可組合安全框架下，形式化定義了理想函數FTRANS。最后，設計了輕量級RFID標簽所有權轉移協議πTRANS，并證明了協議πTRANS安全地實現了理想函數FTRANS。

表1 類似協議安全屬性比較

表2 類似協議性能比較

[1] LIM C H, KWON T. Strong and robust RFID authentication enabling perfect ownership transfer[A]. 8th International Conference on Information and Communications Security[C]. Raleigh, NC, USA, 2006. 1-20.

[2] MOLNAR D, SOPPERA A, WAGNER D. A scalable, delegatable pseudonym protocol enabling ownership transfer of RFID tags[A].12th International Workshop on Selected Areas in Cryptography[C].Kingston, Ont, Canada, 2006. 276-290.

[3] OSAKA K, TAKAGI T, YAMAZAKI K,et al.An efficient and secure RFID security method with ownership transfer[A]. Proceedings of IEEE 2006 International Conference on Computational Intelligence and Security[C]. Guangzhou, China, 2006. 1090-1095.

[4] FOULADGAR S, AFIFI H. An efficient delegation and transfer of ownership protocol for RFID tags[A]. Proceedings of the 1st International EURASIP Workshop on RFID Technology[C]. Vienna, Austria,2007. 68-93.

[5] SONG B. RFID tag ownership transfer[EB/OL]. http://rfidsec2013.iaik.tugraz.at/RFIDSec08/Papers/, 2008.

[6] RIZOMILIOTIS P, REKLEITIS E. Security analysis of the Song－Mitchell authentication protocol for low-cost RFID tags[J]. IEEE Communications Letters, 2009, 13(4):274-276.

[7] PERIS-LOPEZ P, HEMANDEZ-CASTRO J C, TAPIADOR J M E,et al.Vulnerability analysis of RFID protocols for tag ownership transfer[J].Computer Networks, 2010, 54(9): 1502-1508.

[8] SONG B, MITCHELL C J. Scalable RFID security protocols supporting tag ownership transfer[J]. Computer Communications, 2011, 34(4):556-566.

[9] 金永明, 孫惠平, 關志等. RFID標簽所有權轉移協議研究[J]. 計算機研究與發展, 2011, 48(8): 1400 -1405.JIN Y M, SUN H P, GUAN Z,et al.Ownership transfer protocol for RFID tag[J]. Journal of Computer Research and Development, 2011,48(8): 1400 -1405.

[10] ELKHIYAOUI K, BLASS E O, MOLVA R. ROTIV: RFID ownership transfer with issuer verification[A]. LNCS7055:7th International Workshop on RFID Security and Privacy[C]. Berlin: Springer, 2012.163-182.

[11] MORIYAMA D. Cryptanalysis and improvement of a provably secure RFID ownership transfer protocol[A]. LNCS8162: 2nd International Workshop on Lightweight Cryptography for Security and Privacy[C].Berlin: Springer, 2013.114-129.

[12] KAPOOR G, PIRAMUTHU S. Single RFID tag ownership transfer protocols[J]. IEEE Transactions on Systems, Man, and Cybernetics-part C: Applications and Reviews, 2012, 42(2):164-173.

[13] DOSS R, ZHOU W, YU S. Secure RFID tag ownership transfer based on quadratic residues[J]. IEEE Transactions on Information Forensics and Security, 2013, 8(2):390-401.

[14] CHEN C L, HUAN Y C, JIANG J R. A secure ownership transfer protocol using EPC global Gen-2 RFID[J].Telecommunication Systems, 2013, 53(4): 387-399.

[15] 周永彬, 馮登國. RFID 安全協議的設計與分析[J]. 計算機學報,2006,29(4): 581-589.ZHOU Y B, FENG D G. Design and analysis of cryptographic protocols for RFID[J]. Chinese Journal of Computers, 2006, 29(4): 581-589.

[16] 鄧淼磊, 馬建峰, 周利華. RFID 匿名認證協議的設計[J].通信學報,2009,30(7):20-26.DENG M L, MA J F, ZHOU L H. Design of anonymous authentication protocol for RFID[J]. Journal on Communications, 2009, 30(7):20-26.

[17] 肖鋒, 周亞建, 周景賢等.標準模型下可證明安全的RFID雙向認證協議[J].通信學報, 2013, 34(4): 82-87.XIAO F, ZHOU Y J, ZHOU J X,et al.Provable secure mutual authentication protocol for RFID in the standard model[J]. Journal on Communications, 2013, 34(4): 82-87.

[18] CANETTI R. Universally composable security: a new paradigm for cryptographic protocols[A]. Proceedings of the 42nd IEEE Symposium on Foundations of Computer Science[C]. Las Vegas, Nevada, USA,2001. 136-145.

[19] 張帆, 孫璇, 馬建峰等. 供應鏈環境下通用可組合安全的 RFID 通信協議[J]. 計算機學報, 2008, 31(10): 1754-1767.ZHANG F, SUN X, MA J F,et al.A universally compoable secure RFID communication protocol in supply chains[J].Chinese Journal of Computers,2008, 31(10): 1754-1767.

[20] BURMESTER M, TRI V L, DE MEDEIROS B,et al.Universally composable RFID identification and authentication protocols [J]. ACM Transactions on Information and System Security, 2009, 12(4): 1-33.

[21] BURMESTER M, MUNILLA J. Lightweight RFID authentication with forward and backward security[J]. ACM Transactions on Information and System Security, 2011, 14(1): 11.

[22] 張忠, 徐秋亮. 物聯網環境下UC安全的組證明RFID協議[J]. 計算機學報, 2011, 34(7): 1188-1194.ZHANG Z, XU Q L. Universally compoable grouping-proof protocol for RFID tags in the Internet of things[J]. Chinese Journal of Computers, 2011, 34(7): 1188-1194.

[23] CANETTI R. Obtaining universally compoable security: towards the bare bones of trust[A]. Proceedings of 13th International Conference on the Theory and Application of Cryptology and Information security[C]. 2007. 88-112.

[24] 李鳳華, 馮濤, 馬建峰. 基于VSPH的UC不經意傳輸協議[J]. 通信學報, 2007, 28(7):28-34.LI F H, FENG T, MA J F. Universally composable oblivious transfer protocol based on VSPH[J]. Journal on Communications, 2007,28(7):28-34.

[25] 張俊偉,馬建峰,楊力. UC安全的基于一次簽名的廣播認證[J]. 通信學報, 2010, 31(5):31-36.ZHANG J W, MA J F, YANG L. UC secure one-time signature based broadcast authentication[J]. Journal on Communications, 2010, 31(5):31-36.

[26] ZHANG J W, MA J F, MOON S J. Universally composable secure TNC model and EAP-TNC protocol in IF-T[J]. Science China Information Sciences, 2010, 53(3): 465-482.

[27] 張俊偉, 馬建峰, 楊超. 安全定位協議的 UC模型[J]. 通信學報,2013, 34(2) : 117-122.ZHANG J W, MA J F, YANG C. UC model of secure positioning protocols[J]. Journal on Communications, 2013, 34(2): 117-122.