基于拉格朗日帶 TTP權重的多所有者標簽所有權轉換協議

◆甘 勇 王 凱 賀 蕾 郭勝娜 張云霄

（鄭州輕工業學院計算機與通信工程學院 河南 450002）

基于拉格朗日帶 TTP權重的多所有者標簽所有權轉換協議

◆甘 勇 王 凱 賀 蕾 郭勝娜 張云霄

（鄭州輕工業學院計算機與通信工程學院 河南 450002）

當前在RFID標簽所有權轉換協議問題上的研究多數是多所有者無TTP（可信第三方）的標簽所有權轉換協議。在生活實際應用中，可能會有可信第三方這個通信實體，而且每個所有者占有的權重也可能會有差異。針對這一問題，提出了一種基于拉格朗日的帶有TTP權重的多所有者標簽所有權轉換協議。該協議應用秘密共享方法將密鑰分成n份，所有者可以依據自己的權重分到相應的子密鑰，當恢復密鑰的所有者權重之和等于或大于t時才可以得到密鑰，否則不能得出密鑰。仿真實驗結果表明標簽所有權轉換過程中消耗的時間和所有者的數目無關，和權重的總和有關。

所有權轉換；拉格朗日；可信第三方；秘密共享；無線射頻識別

0 引言

射頻識別(radio frequency identification，RFID) 屬于一種無線通信技術，主要依賴于無線電波技術和標簽來存儲和檢索有關對象的信息，而不需要與對象物理接觸，并且根據獲得的數據可以唯一地識別對象。該技術現在多用于物流、醫療、安全防偽、身份認證識別、交通運輸、資產管理、電子收費等諸多領域[1]。目前已經有一些關于FRID系統中標簽所有權轉換方面的協議，然而關于所有權轉換的研究多數是不帶權重的多所有者RFID標簽所有權轉換協議[2]。但在實際生活使用中，標簽與所有者之間可能會有可信第三方這個通信實體，在標簽的存在期內，標簽通常要依附在物品上并且會歷經多個所有者，而且經歷的這些所有者權重會發生變化[3]。在這種情況下，基于拉格朗日的帶有TTP權重的多所有者標簽所有權轉換問題的研究有著重要的價值。

1 相關工作

目前在RFID標簽所有權轉換的安全性問題上國內外學者進行了多方面大量的研究討論。由Molnar等人[4]提出的一種帶有可擴展性的使用授權假名的所有權轉換協議是標簽所有權轉換協議最早的研究成果，該協議能夠用兩種方法來解決標簽的所有權轉換問題，但其實質上都只是暫時性的授權，并沒有實現所有權的完全轉換。盡管Lim等人[5]提出的雙向認證協議可以解決標簽所有權完全轉換的問題，但這個認證協議需要標簽具有很高的計算能力，此外并沒有詳細地解釋清楚新所有者應該如何安全地獲取標簽信息。Song等人[6]提出了一個由三個子協議組成的所有權轉換協議，該協議通過所有權轉換、密鑰值更新和恢復授權三個子協議來解決所有權轉換過程中的各種安全問題，其中所有權轉換協議和密鑰值更新協議是基于SM協議。此后，有學者對該機制的安全性進行了剖析。Wang[7]指出該機制協議不能保證原所有者的安全隱私，新所有者可以推測出標簽和原所有者共享的秘密。2007年，Osaka等人[8]也針對標簽所有權轉換提出了一套符合RFID系統安全需求的RFID安全機制。在該協議中，標簽是將其ID用對稱密鑰加密后作為其唯一標識。但通過分析發現仍然無法抵抗去同步化攻擊，而且攻擊者很容易對其進行跟蹤。Fouladgar和Afifi[9-10]設計了一個不僅簡化授權而且在一定程度上提高了授權安全性的新協議，該所有權轉換協議可以保護新所有者的隱私，但RFID標簽容易被冒充和被進行跟蹤。Kulseng[11]等人設計了一個需要可信第三方參與的輕量級 RFID安全認證協議，該協議比基于Hash函數和對稱密碼協議的效率要高，但是由于TTP的參與限制了該協議的應用，并且該協議的抵抗攻擊性也未進行詳細地分析。

Kapoor和Piramuthu[12]提出了兩個標簽所有權轉換協議，一個使用可信第三方（trusted third party，TTP），另外一個則不使用可信第三方。且這兩個協議對標簽的計算量具有較高的要求，并且為了保護標簽與所有者之間通信的安全性，需要應用對稱密鑰密碼算法。根據以上分析可知，標簽所有權轉換方面的問題還沒有得到很好的解決，在轉換過程中會存在不安全因素問題，有待進一步的研究。

2 協議描述

本文中協議包含認證協議和所有權轉換協議。首先，一個標簽所有權轉換協議要保證標簽信息的后向安全，即新所有者能夠得到標簽所有的通信信息，并且原所有者喪失了對標簽的訪問權限。此外，要保證標簽通信信息的前向安全，即在新所有者獲取標簽所有通信信息之前對標簽是一無所知的，保證機密性。依據上述情況，本文設計出一種基于拉格朗日密鑰共享算法實現具有不同權重的所有者在可信第三方參與下的標簽認證轉換協議。該方案將標簽的共享密鑰分成若干子秘密（秘密份額），并通過安全信道和所有者所占有的權重分發給所有者相應的子密鑰。當參加恢復密鑰的所有者權重之和等于或大于t時，可以依據拉格朗日定理f(x)=∑ti=1yi｛∏1≤j≤t，i≠j(x-xj)/(xi-xj)｝恢復出標簽共享的密鑰，否則恢復不出共享的密鑰。當密鑰恢復出來后，需要更新密鑰，并發送密鑰給新的所有者，需要保證原所有者的密鑰此時無效，即具備了原所有者的無關性。

2.1 初始化階段

當有新所有者發出所有權轉換申請時，原所有者需要先恢復出原密鑰，即與標簽之間進行相互的認證，然后將原所有者對標簽的控制所有權轉交給新所有者獲得。該協議中需要用的符號及含義包括：Ri為由通信實體生成的隨機數；P={P1，P2，……，Pn}為標簽的n個所有者， Wi為所有者Pi所占有的權重，Tag表示標簽，PID表示新所有者的唯一身份標識，TID表示標簽的唯一身份標識，a，b為變量a和b的串聯，a⊕b為變量a和b的異或，H(x)為對變量x求其Hash值，S表示標簽與原所有者通訊的密鑰，Sij(1≤j≤Wi)表示不同權重的所有者得到的不同數量的子密鑰，Snew代表標簽與新所有者通訊的密鑰。

2.2 認證階段

新所有者向標簽發出所有權轉換申請時，原所有者需要與標簽進行相互的認證，先恢復出原來的密鑰。現假如一個標簽Tag有三個原所有者，每一個所有者占有的權重比例分別為1、1、2，為了便于研究，現假設新所有者與原所有者之間的通信信道是安全的，而其他的通信信道是不安全的。安全信道用“”表示，普通信道用“”表示。詳細地恢復認證過程如圖1所示：

圖1 認證恢復密鑰過程

（1）新所有者 Pnew對原所有者 P1，P2，P3分別發送OTA(ownership transfer allowance)，OTA為所有權轉換許可，同時將新所有者的標識(PID)傳給原所有者。

（2）原所有者P1收到新所有者發出的所有權轉換許可，并同意后，便向標簽 Tag發送所有權轉換申請，同時生成隨機數Ro1。同樣的，原所有者P2，P3收到新所有者發出的所有權轉換許可，并同意后，就向標簽Tag發送所有權轉換申請，同時生成隨機數 Ro2，Ro3。

（3）標簽在收到P1，P2，P3發送的所有權轉換申請后，并生成隨機數Rt1，Rt2，Rt3，計算M1= H(TID⊕Ro1⊕Rt1)，M2= H(TID⊕Ro2⊕Rt2)，M3= H(TID⊕Ro3⊕Rt3)，并將計算出的結果M1，M2，M3和隨機數Rt1，Rt2，Rt3同時發送給原所有者P1，P2，P3。

（4）原所有者P1收到標簽發來的消息后，使用Rt1和Ro1匹配后端數據庫存儲的TID’，如果存在H(TID’⊕Ro1⊕Rt1)=M1，則標簽認證通過。同時后端數據庫生成隨機數Rr1，并將H(Rt1⊕Rr1)⊕S11，H(Rt1⊕Rr1)⊕W1，Rr1發送給標簽Tag。將標簽的身份標識TID，原所有者占有的權重W1，以及子密鑰S11，通過安全信道發送給新所有者。

（5）相似的，原所有者P2，P3收到標簽發來的消息后，如果標簽認證通過，也分別將H(Rt2⊕Rr2)⊕S21，H(Rt2⊕Rr2)⊕W2，Rr2、H(Rt3⊕Rr3)⊕S31，H(Rt3⊕Rr3)⊕S32，H(Rt3⊕Rr3)⊕W3，Rr3，發送給標簽Tag。并同時將標簽的身份標識TID，原所有者所占有的權重W2、W3，以及各自子密鑰S21，S31，S32分別經過安全信道發送給新所有者Pnew。

（6）標簽Tag接收到P1，P2，P3發送的消息后，判斷同意進行所有權轉換的原所有者權重之和是否滿足條件，若滿足條件，則標簽根據拉格朗日算法恢復出密鑰S’，此時使用標簽的密鑰S與拉格朗日算法恢復出的密鑰S’進行比較，若存在S=S’，則原所有者是合法的，便完成了標簽與新老所有者之間的雙向驗證，并恢復出原密鑰S。

2.3 所有權轉換過程

當新所有者收到原所有者給予的標簽信息后，向標簽發送請求，并在可信第三方的參與下與標簽進行相互的身份認證，驗證通過后執行密鑰協商并開始互相通信。其中需要用的符號及意義包括：PID為新所有者的唯一身份標識，TID表示標簽的唯一身份標識，IDTTP為可信第三方的唯一身份標識，K代表標簽和可信第三方共享的密鑰，Knew代表標簽與新所有者通訊的密鑰。詳細的所有權轉換過程如圖2所示：

圖2所有權轉換過程

（1）新所有者生成隨機數Rn1，并將其身份標識PID與所有權轉換申請OTR(ownership transfer request，OTR)一起發給標簽，即{OTR，PID，Rn1}。

（2）標簽收到{OTR，PID，Rn1}后，生成隨機數Rn2，計算生成 M=H(TID⊕Rn1⊕Rn2)，發送{OTR，PID，M，Rn1，Rn2}給新所有者Pnew。

（3）新所有者將{OTR，PID，H(TID⊕Rn1⊕Rn2)，Rn1，Rn2}發送給TTP。

（4）TTP接收到新所有者的通信消息后，核查該消息的正確性。如若不正確，則認為新所有者沒有獲得對標簽的控制所有權，協議停止；如若正確，則認為新所有者獲得了對標簽的控制所有權，原所有者同意將控制所有權轉交給新所有者。然后TTP生成隨機數 Rn3，發送{Rn1，Rn2，Rn3，IDTTP，H(TID⊕Rn1⊕Rn2)}給新所有者。

（5）新所有者收到TTP發來的通訊信息后，用Rn1和Rn2匹配原所有者發給他的標簽的標識TID，如若存在H(TID⊕Rn1⊕Rn2)=M，則標簽認證通過，并為標簽生成新的密鑰Knew。發送{Rn1，Rn2，Rn3，IDTTP，PID，H(TID⊕Rn1⊕Rn2)，H(TID⊕Rn1⊕Rn2)⊕Knew}給標簽。

（6）標簽收到TTP發來的通訊信息后，檢查這個信息是否新鮮及正確。如果不正確，則停止協議；如果正確，則認為新所有者獲得了原所有者對標簽的所有權，并計算出H(TID⊕Rn1⊕Rn2)，并進一步得到Knew。標簽存儲PID和Knew，發送{Rn1，Rn2，Rn3，H(TID⊕Rn1⊕Rn2)⊕Knew}給新所有者。

（7）如果新所有者很長時間沒有收到標簽的信息，或者收到的信息{Rn1，Rn2，Rn3，H(TID⊕Rn1⊕Rn2)⊕Knew}不正確，則需要從步驟1重新執行，發出進行所有權轉換的申請；如果收到的信息是正確的，便認為標簽已經收到了Knew，完成了所有權轉換的過程，新的密鑰Knew便可以與標簽進行通信，發送{PID，K，Knew}給TTP。

3 安全性分析

本文該協議使得原所有者對標簽完全喪失了其所有控制權，實現了所有權的完全轉換，并且也滿足RFID標簽機制其它的安全需求，也實現了安全性轉換。

（1）不可跟蹤性：標簽和所有者之間的每次通信都會使用隨機數來改變每次會話中標簽的響應信息。攻擊者不能將每個標簽的響應信息區分開來，因此不具有可跟蹤性。

（2）抗中間人攻擊：在認證階段和所有權轉換階段都是一個雙向認證的過程，這使得攻擊者沒有辦法通過偽裝者的身份來獲取信息，因此無法實現攻擊。

（3）抗重放攻擊：在消息傳送的過程中，每次會話都加有隨機數而且消息都經過哈希加密。所以攻擊者無論是冒充合法的所有者還是合法的標簽，他都不能得到任何有用的信息，因為所有者每次發送的請求和標簽的每次響應都是不相同的，所以重復發送相同的信息是沒有辦法通過認證的。

（4）前向安全性：在所有權轉換階段，雖然原所有者將自己的子密鑰傳給了新所有者，但僅僅知道一個子密鑰且不滿足權重之和等于或大于 t是無法根據拉格朗日算法恢復出原密鑰 S的，從而保證了前向安全性。

（5）后向安全性：在新所有者和標簽進行雙向認證后，新所有者會更新密鑰為Knew，并將新的密鑰傳給標簽，新所有者和標簽就會用新密鑰通信，原所有者不會知道新密鑰，從而保證了后向安全性。

4 性能分析

我們在Linux系統下實現了該協議，進行了仿真實驗，實驗平臺CPU大小為3.60 GHz，內存為4GB。本文共進行了3次實驗，分別為加權和等于2或大于2，等于5或大于5，等于9或大于9。每個數據集由三部分組成，分別是所有者的數目、恢復密鑰的閾值和標簽轉換過程中所消耗的時間。結果如圖3所示，單位為微秒。

圖3 RFID標簽所耗費的時間

從圖中可以看出，當一個標簽有兩個所有者時，并要求權重之和等于5，它需要4.35/us實現目標。然而當一個標簽有三個所有者時，要求權重之和等于2，它需要3.21/us實現目標。因此，標簽所有權轉換所消耗的時間長短和所有者的數目無關，和權重的總和有關，權重總和越多，它就需要越多的時間。此外，還可以看出，本文所提出的協議標簽計算耗時較短，適合用于成本較低的標簽。

5 結論

本文提出了一種在具有可信第三方的情況下與多個不同權重的所有者之間進行密鑰協商的標簽所有權轉換協議。新所有者首先向原所有者分別發出所有權轉換的申請，當原所有者同意該申請后與標簽之間進行雙向的相互認證，標簽根據所得到的權重之和和各個子密鑰并根據拉格朗日算法恢復出密鑰并進行驗證。由于單個所有者或者不滿足條件的多個所有者都不能與標簽進行通信，因而提高了標簽的安全隱私性。該協議在完成所有權的完全轉換的同時也保證了標簽信息的前向安全和后向安全，最重要的是滿足了RFID標簽的不可跟蹤性、抗中間人攻擊、抗重放攻擊等安全性需求。通過仿真實驗顯示，該協議中標簽計算耗時較短，有利于成本較低的標簽使用。在保證安全性的同時如何縮短標簽的耗時以及當權重發生變化后如何安全地把密鑰分發給多個所有者是下一步需要解決的問題。

[1]張帆，孫璇，馬建峰等．供應鏈環境下通用可組合安全的RFID通信協議[J]．計算機學報，2008．

[2]周永彬，馮登國．RFID 安全協議的設計和分析[J]．計算機學報，2006．

[3]邵婧，陳越，常振華． RFID標簽所有權轉換模式及協議設計[J]．計算機工程，2009．

[4]MOLNAR D,SOPPERA A,WAGNER D．AScalable,Delegatable Pseudonym Protocol Enabling Ownership Transfer of RFID Tags[J]．Lecture Notes in Computer Science，2005．

[5]LIM C H,KWON T．Strong and Robust RFID Authentication Enabling Perfect OwnershipTransfer[M]．Information and Communications Security．Springer Berlin Heidelberg，2006．

[6]SONG B．RFID tag ownership transfer[C]//Proc．Workshop on RFID Security，2008．

[7]WANG Shao-hui．Analysis and design of RFID tag ownership transfer protocol[C]// Proceedings of the 2011 International Conference on Informatics,Cybernetics,and Computer Engineering． Berlin：Springer Berlin Heidelberg，2012．

[8]OSAKA K,TAKAGI T,YAMAZAKI K．An Efficient and Secure RFID Security Method with OwnershipTransfer[C]．Computational Intelligence and Security,2006 International Conference on． IEEE，2006．

[9]FOULADGAR S， AFIFI H． A Simple Delegation Scheme for RFID Systems (SiDeS) [C]．IEEE International Conference on RFID． IEEE，2007．

[10]FOULADGAR S,AFIFI H． An efficient delegation and transfer of ownership protocol for RFIDtags[C]．First International EURASIP Workshop on RFID Technology,Vienna,Austria，2007．

[11]KULSENG L,YU Z,WEI Y,et al．Lightweight Mutual Authentication and Ownership Transfer for RFID Systems[C]．INFOCOM,2010 Proceedings IEEE．IEEE，2010．

[12]KAPOOR G,PIRAMUTHU S．Single RFID tag ownership transfer protocols [J]．IEEE Transactions on Systems,Man,and Cybernetics,PartC：Applications and Reviews，2012．

國家自然科學基金資助項目（No．61572445）；河南省高等學校重點科研基金資助項目（No．16A520075）。