改進的基于位運算的RFID標簽所有權轉移協議

羅韶杰，張立臣

(廣東工業大學計算機學院， 廣州 510006)

RFID(Radio Frequency Identification)是一種利用無線射頻通信方式實現的非接觸式的能夠自動識別特定實體的技術。RFID系統包括后臺數據庫、標簽、讀寫器三種實體組成，因系統中的標簽具有耐磨損、成本低、壽命長、易攜帶等優點，現RFID系統已被廣泛應用于物流、交通運輸、門禁系統等各行各業中[1]。因讀寫器與標簽之間采用無線方式進行傳輸信息，使得鏈路易受到信號干擾、通信消息被攻擊者竊聽等缺陷，RFID系統的安全性和隱私問題成為其更進一步的推廣的限制因素。

RFID系統中的標簽會在其生命周期中，標簽的所有權會經常發生變化，相對應的標簽內部存放的數據信息也在不斷更換。因此需確保標簽所有權在不斷變更過程中具備一定的安全要求：(1)所有權轉移協議要能夠抵抗較為常見的攻擊方式，比如，重放攻擊、去同步化攻擊等；(2)待標簽的所有權發生變化之后，標簽的原所有者便失去控制和訪問標簽隱私信息的權限，從而保證標簽新所有者的隱私安全性；(3)標簽的新所有者在確定獲取標簽的所有權之后，新所有者不能根據已有的信息推導出原所有者的隱私信息，用以來保護標簽原所有者的隱私安全性[2-3]。

Saito等[4]提出一種所有權轉移協議，協議基于可信第三方(TTP)，協議雖然很好地解決了標簽所有權歸屬問題，但可信第三方的引入，使得整個系統的成本增加，且通信量也增加。Molnar等[5]給出一種所有權轉移協議，協議通過“假名”的方法來確保隱私信息不被泄露，該協議的實現需要引入一個共同的可信中心(TC)，可信中心的引入，會導致系統成本的增加，同時可信中心在監管不當的情況下，容易造成隱私信息外泄。Song等人首先在文獻[6]中設計出一種所有權轉移協議，協議利用對稱加密的思想、HASH函數加密的算法對通信消息進行加密，一定程度上優化了協議的計算復雜度。因文獻[6]中協議存在一定安全缺陷，Song等又在文獻[7]中設計出一種基于文獻[6]改進的協議方案，但改進后的方案仍存在無法抵抗攻擊者的去同步化攻擊缺陷。Kapoor等[8]詳細分析了Song等人設計出的方案存在的安全性不足問題，提出一種輕量級別的所有權轉移協議，其協議的創新點之處在于：新所有者的密鑰是隨機產生的。Munilla等[9]對Kapoor等提出的協議進行了嚴謹的數學推理，得出所提協議不適用于日常生活中的實際場景中，并同時Munilla等人利用噪聲標簽來替換可信第三方(TTP)的機制，提出一種新的輕量級別的所有權轉移協議。Doss.R等[10]提出一種所有權轉移協議，所提協議基于二次剩余定理來完成對信息的加密，二次剩余定理背景來源于數學中大數分解問題，具備較高的安全性，使得協議安全性很高；但協議所能適應的范疇僅僅只有無源標簽，使得協議的應用受到極大的限制。文獻[11]中提出一個所有權轉移協議，該協議基于Rabin算法實現對信息的加密，優化之后的Rabin算法具有較低的計算量特征，使得文獻[11]中的協議具備輕量級的特征。文獻[12]中詳細分析了文獻[11]中所提方案的不足之處。文獻[12]中指出，攻擊者通過三次完整的竊聽、重放、假冒等手段，最終可使得標簽新所有者與標簽之間的共享密鑰失去同步性，得出文獻[11]中所提協議無法抵抗重放攻擊和去同步化攻擊的結論。并在分析之后，在文獻[12]中給出一個改進的協議。

對文獻[12]中的協議進行分析發現，該協議仍舊存在一定的不足及可改進之處，仍有改進的空間，本文提出一種基于共享密鑰的所有權轉移協議。本文所提協議采用簡單的位運算對傳輸消息進行加密，降低通信實體的計算復雜度；協議中，為確保標簽所有權歸屬的唯一性，引入歸屬權標志位變量，根據變量當前的值，唯一確定標簽的所有權歸屬；為減少通信實體的存儲空間，同時也為減少變量的引入，將通信實體之間的共享密鑰作為一參數進行計算。通過安全性分析，說明所提協議具備所有權轉移所需的安全需求；性能分析，說明所提協議能夠減少通信實體計算復雜度。

1 對被改進協議的分析

1.1 被改進協議的原理簡述

結合圖1，文獻[12]協議的步驟可簡述如下。

步驟1標簽原所有者向標簽發出所有權轉移協議申請。

步驟2標簽計算M，同時將ID_L和M作為響應信息發送給標簽原所有者。

步驟3標簽原所有者查找ID_L是否存在。若不存在，協議結束。若存在，取出相對應的量，計算M′，然后比對M′與M。若相等，計算N和P，并將N和P發送標簽；若不相等，協議結束。

步驟4標簽對N和P進行驗證。驗證結果為真，計算Q，且將Q發送給標簽原所有者；驗證結果為假，協議結束。

步驟5標簽原所有者將Q、r1、IDi_L發送給標簽新所有者。

步驟6標簽新所有者查找IDi_L是否存在。若不存在，協議結束。若存在，取出相對應的量，并計算出X和Y，同時將X和Y的值發送給標簽。

步驟7標簽對X和Y進行驗證。驗證結果為真，開始更新信息，所有權轉移協議順利結束；驗證結果為假，協議結束，所有權轉移協議失敗。

圖1 文獻[12]的所有權轉移協議

1.2 被改進協議的不足分析

文獻[12]協議中存在的不足：(1)協議無法確保數據r1的新鮮性。數據r1的更新操作是在協議開始之時利用賦值操作，即：r1=r_x來實現，故通信過程中，當標簽在接收到驗證消息以后，即便是r_x立即動態刷新，也仍然無法確保r1的及時更新。因為攻擊者可在標簽動態刷新r_x之后，將r_x賦值給r1之前，阻塞該過程，從而使得協議無法確保數據r1的新鮮性。(2)協議存在安全缺陷。攻擊者通過竊聽兩輪完整的通信過程，便可在第三輪通信過程中假冒標簽發起攻擊，通過重放消息Q的方式，可截獲得到消息X、Y。阻塞合法標簽新所有者發送給標簽的信息，攻擊者將截獲的消息X、Y重放的方式發送給標簽，標簽將會進行反復認證通過，且進行信息更新，兩輪操作之后，導致標簽與新數據庫兩端的共享密鑰失去同步性，攻擊者的去同步化攻擊成功。

本文改進協議與文獻[12]中的協議對比，不同之處在于：

1) 改進的協議未采用Rabin加密算法對傳輸信息進行加密，而是采用字合成運算及交叉位運算進行加密；

2) 現有的文獻中，對于Rabin加密算法進行優化后，其計算量最多也只能達到輕量級的級別，而字合成運算及交叉位運算的本質屬于按位運算，該運算屬于超輕量級的級別，因此改進的協議在計算量方面較文獻[12]改進較大；

3) 改進的協議引入標簽所有權歸屬權標志位參量，能夠唯一確定歸屬權；

4) 改進的協議能夠彌補文獻[12]中存在的安全缺陷，具體彌補方式參見文章安全性分析章節。

2 所有權轉移協議

本文協議與其他此類RFID標簽所有權轉移協議一樣，做出如下假定[13-14]：1)標簽與標簽原所有者S_old之間通過無線方式通信，該鏈路不安全，易被攻擊者攻擊；2)標簽與標簽新所有者S_new之間通過無線方式通信，該鏈路不安全，易被攻擊者攻擊；3)標簽原所有者S_old與標簽新所有者S_new之間通過有線方式通信，該鏈路安全，不易被攻擊者攻擊；4)標簽、標簽原所有者S_old、標簽新所有者S_new中存放的信息是安全的，且攻擊者無法獲取；5)協議開始之前，標簽一端存放以下信息：(K，IDt，IDS，FLAG)，標簽新所有者S_new一端存放以下信息：(S，IDt，IDS)，標簽原所有者S_old一端存放以下信息：(K，IDS，IDt)。

2.1 協議符號說明

設X、Y是兩個具有L位的二進制數，X=x1x2x3…xL，Y=y1y2y3…yL。其中，xi、yi取值范圍為{0，1}，i=1，2，…,L，Syn(X，Y)=YL-M+1YL-M+2…YLX1X2…XL-M。字合成運算Syn(X，Y)是指由X的前L-M位與Y的后M位組合而形成新的L位數組；其中M的設定為：M=Hw(Y)，也可以為M=L-Hw(Y)，Hw(Y)表示為Y的漢明重量。有關字合成運算更多規定可參考文獻[15]。圖2給出了一個字合成運算例子。

圖2 字合成運算檢測

交叉位運算Cro(X,Y)是指由X的奇數位和Y的偶數位相互交叉形成新的L位數組。交叉位運算可在標簽中按如下方式實現：定義兩個指針p1和p2分別指向X和Y，當p1指向X的奇數位時，把此位置上的值賦予運算結果的偶數位；當p2指向Y的偶數位時，則把此位置上的值賦予運算結果的奇數位。有關交叉位運算更多規定可參考文獻[16]。圖3給出了一個交叉位運算例子。

圖3 交叉位運算

表1給出所有權轉移協議符號所表示的含義。

表1 符號說明

2.2 協議過程

所有權轉移協議過程如圖4所示。

圖4 所有權轉移協議框圖

圖4中出現的公式解釋如表2所示。

表2 公式解釋

結合圖4，所有權轉移協議步驟描述如下：

步驟1標簽原所有者S_old向標簽發送所有權轉移請求。

步驟2標簽在接收到標簽原所有者S_old發送來的消息后，標簽首先查閱歸屬權標志位FLAG的值，當前FLAG=0，表示標簽原所有者擁有標簽的所有權，標簽可進行后續操作。標簽將IDS發送給標簽原所有者S_old。

步驟3標簽原所有者S_old在接收到標簽發送來的消息后，查找是否存在IDS=IDS_old或IDS=IDS_new，若未找到，協議終止；反之，進行如下操作。

1) 標簽原所有者S_old中的線性反饋移位寄存器LFSR通過初始化得到三個隨機數，依次記作：x，y，z。其中后續操作中，隨機數x、y由MIXBITS函數實時進行刷新。

2) 利用找到的與IDS相對應的IDt、K及1)中生成的隨機數x、y、z，計算得到M1、M2、M3、M4。

3) 標簽原所有者S_old將M1、M2、M3、M4發送給標簽。

其中有關M1、M2、M3、M4的計算公式見表2。

步驟4標簽在接收到標簽原所有者S_old發送來的消息后，標簽按照如下操作來驗證標簽原所有者S_old的真偽。

1) 用自身存放的標識符IDt，自身存放的共享密鑰K，接收到的M1，計算得到隨機數x。即：x=Syn(IDt_L,K_R)⊕M1。

2) 用自身存放的標識符IDt，自身存放的共享密鑰K，接收到的M2，計算得到隨機數y。即：y=Cro(K_L,IDt_R)⊕M2。

3) 用自身存放的標識符IDt，自身存放的共享密鑰K，接收到的M3，計算得到隨機數z。即：z=Syn(K_L,IDt_R)⊕Cro(IDt_L,K_R)⊕M3。

4) 用1)計算得到的隨機數x，用2)計算得到的隨機數y，用3)計算得到的隨機數z，用自身存放的標識符IDt，自身存放的共享密鑰K，計算得到M4′。

5) 比對計算到的的M4′與接收到的M4是否相等。若不想等，表明標簽原所有者S_old是偽造的，協議終止；反之，標簽原所有者S_old通過標簽的驗證，并進行第6)步。

6) 標簽用1)計算得到的隨機數x，用2)計算得到的隨機數y，用3)計算得到的隨機數z，用自身存放的標識符IDt，自身存放的共享密鑰K，計算得到M5。

7) 標簽將M5發送給標簽原所有者S_old。其中有關M5的計算公式見表2。

步驟5標簽原所有者S_old在接收到標簽發送來的消息后，標簽原所有者S_old進行如下操作。

1) 自身產生的隨機數x、y、z，自身存放的IDt、K，計算得到M5′。然后比對計算得到的M5′與接收到的M5是否相等。若不相等，表明標簽是偽造的，協議終止；反之，表明標簽通過標簽原所有者S_old的真偽驗證，并進行第2)步。

2) 標簽原所有者S_old開始更新隨機數x、y，即：x=MIXBITS(x,IDt⊕K)、y=MIXBITS(y,IDt&K)。

3) 標簽原所有者S_old開始更新共享密鑰，即：K_old=K，K=K_new。

4) 標簽原所有者S_old告知標簽新所有者S_new開始進行所有權轉移操作，且將〈IDS、z〉一并發送給標簽新所有者S_new。

步驟6標簽新所有者S_new在接收到標簽原所有者S_old發送來的消息后，標簽新所有者S_new進行如下操作。

1) 標簽新所有者S_new產生一個隨機數，記作t。

2) 用接收到的隨機數z，自身生成的隨機數t，計算得到標簽與標簽新所有者S_new之間的共享密鑰S，即S=MIXBITS(t,z)。

3) 用自身存放的IDt，接收到的隨機數z，自身生成的隨機數t，計算可得到M6。用自身存放的IDt，接收到的隨機數z，計算得到的共享密鑰S，計算可得到M7。用自身生成的隨機數t，計算得到的共享密鑰S，計算可得到M8。

4) 更新標簽的假名標識符，即：IDS_new=IDS⊕t。

5) 標簽新所有者S_new將〈M6、M7、M8〉一并發送給標簽。

其中有關M6、M7、M8的計算公式見表2。

步驟7標簽在接收到標簽新所有者S_new發送來的消息后，標簽進行如下操作。

1) 用自身存放的標識符IDt，之前計算得到的隨機數z，接收到的M6，計算可以得到隨機數t，即：t=M6⊕Syn(IDt,z)。

2) 用自身存放的標識符IDt，之前計算得到的隨機數z，接收到的M7，計算可以得到共享密鑰S，即：S=M7⊕Cro(IDt,z)。

3) 標簽用1)計算得到的隨機數t，用2)計算得到的共享密鑰S，計算可以得到M8′。然后比對計算得到M8′與接收到的M8是否相等，若不相等，表明標簽新所有者S_new是偽造的，協議終止；反之，標簽新所有者S_new通過標簽的真偽驗證，進行第4)步。

4) 標簽開始更新自身的標識符假名，更新標簽與標簽新所有者S_new之間的共享密鑰，即：IDS_new=IDS⊕t，K=M7⊕Cro(IDt,z)。

5) 標簽將歸屬權標志位FLAG的值由0置為1，即FLAG=1，表示所有權當前不再歸屬原所有者，而是歸屬于標簽新所有者S_new所有。到此，所有權轉移順利結束。

改進的所有權轉移協議具體流程如圖5。

圖5 所有權轉移協議的流程

3 協議安全性分析

3.1 同步化攻擊

去同步化攻擊也稱作異步攻擊，是指攻擊者通過某種手段使得通信實體之間相互認證用到的共享密鑰失去一致性，從而導致通信實體之間無法完成下次認證及通信。本文協議中，標簽原所有者S_old中不僅存放有當前標簽的標識符假名IDS信息，同時也存放上一次通信過程中用到的標簽的標識符假名IDS_old信息，因此即便是調用當前標簽的標識符假名IDS信息比對失敗，也可以調用上一次通信過程中用到的標簽的標識符假名IDS_old信息再次進行比對，從而抵抗住攻擊者的去同步化攻擊。

3.2 所有權唯一性

所有權唯一性是指標簽的所有權歸屬者必須唯一確定，不存在任何的不確定性。本文協議中，引入歸屬權標識位FLAG變量完成該任務。協議開始之前，歸屬權標識位FLAG變量的值為0，表明當前標簽的所有權歸屬者為標簽原所有者S_old擁有，使得標簽新所有者S_new無法訪問標簽。在所有權協議轉移結束之時，標簽中的歸屬權標識位FLAG變量的值為設置為1，表示所有權轉移完成，且當前標簽的所有權歸屬者為標簽新所有者S_new擁有，同時標簽原所有者S_old已失去訪問標簽的權限。整個過程中，標簽中的歸屬權標識位FLAG變量的值要么為0，要么為1，不可能存在其他狀態，使得標簽的所有權歸屬清晰且明確。故協議能夠確保所有權的唯一性。

3.3 重放攻擊

重放攻擊是指攻擊者通過竊聽某一輪完整的通信過程在獲取通信消息之后，重放某通信信息，以破解隱私信息。本文協議中，在不安全的通信實體鏈路中均采用密文傳輸機制，攻擊者即便是截獲通信消息，獲取的也只是密文；其次，傳輸信息加密過程中均混入隨機數，且不同的隨機數短時間內不會重復出現，加之隨機數的難預測性，使得前后兩次通信消息并不一樣，攻擊者無法通過重放上一輪的信息破解出有用信息。因此協議可以抵抗攻擊者的重放攻擊。

3.4 假冒攻擊

協議中有三個通信實體，因此攻擊者可以假冒其中任一個通信實體。下面將一一進行討論。

當攻擊者假冒標簽時，攻擊者偽裝成標簽向標簽原所有者S_old發送消息，企圖蒙混過關，但攻擊者缺少關鍵隱私信息，比如：缺少標簽的標識符IDt，缺少標簽與標簽原所有者S_old之間共享密鑰K，使得攻擊者根本無法計算出隨機數x、y、z，從而更進一步無法計算出通信消息M5的正確值。在協議第五步驟中，標簽原所有者S_old通過簡單的計算，便可以識別出標簽的真偽，攻擊者偽裝成標簽失敗。因此協議可以抵擋攻擊者偽裝成標簽發起的假冒攻擊。

當攻擊者偽裝成標簽原所有者S_old時，向標簽發送信息，攻擊者可以自己隨意生成隨機數x、y、z，進一步隨機選取IDt、K的值進行計算得到M1、M2、M3、M4，并一起發送給標簽。攻擊者這樣進行假冒攻擊，無法獲取任何有用隱私信息，因為標簽在第四步驟中對M1、M2、M3、M4進行驗證過程中，會識別出攻擊者的偽造的身份。攻擊者缺少正確的IDt、K的值，就無法計算出正確的M1、M2、M3、M4的值。當標簽一旦識別出攻擊者假冒身份之后，協議立刻終止。因此協議可以抵抗攻擊者偽裝成標簽原所有者S_old發起的假冒攻擊。

當攻擊者偽裝成標簽新所有者S_new時，向標簽發送信息，攻擊者因為缺少正確的標簽的標識符IDt，使得攻擊者無法正確計算出M6、M7、M8的值。當攻擊者把錯誤的M6、M7、M8傳輸給標簽之后，標簽在步驟七中，通過簡單的計算便可識別出攻擊者的真偽。因此協議可以抵抗攻擊者偽裝成標簽新所有者S_new發起的假冒攻擊。

3.5 暴力破解攻擊

攻擊者可以通過監聽一個完整的通信過程，獲取所有的通信信息，企圖采用窮舉的方式暴力的破解出一些有用的隱私信息。本文協議能夠抵抗攻擊者這種暴力的破解攻擊，原因如下：(1)本文協議中，但凡涉及到不安全的通信鏈路，在傳輸數據時，都是傳輸密文，而非明文傳輸；(2)通信信息不僅僅只是密文傳輸，且信息在加密過程中混入隨機數，使得前后兩次的通信信息值是不完全一致的，更進一步增大攻擊者的破解難度；(3)所有傳輸的通信信息在加密過程中，都至少有兩個量，對于攻擊者來說，是不可能知曉的，比如：在公式M1=x⊕Syn(IDt_L,K_R)中，攻擊者對于公式里面的三個變量都是不知道，無法采用窮舉的方式進行破解。因此協議可以抵抗攻擊者發起的暴力破解攻擊。

4 BAN邏輯證明

本文采用BAN邏輯對文章中所提的認證協議進行形式化證明，證明過程中做出如下規定：標簽新所有者S_new與標簽原所有者S_old兩個通信實體中都含有讀寫器，將標簽原所有者S_old中的讀寫器用R1符號表示，將標簽新所有者S_new中的讀寫器用R2符號表示，標簽用T符號表示，證明過程如下。

4.1 協議的理想化模型

消息①R1→T：REQUEST；

消息②T→R1：IDS；

消息③R1→T：M1，M2，M3，M4；

消息④T→R1：M5；

消息⑤R1→R2：IDS，z；

消息⑥R2→T：M6，M7，M8。

4.2 協議的初始假設

P13：R1|≡#(x)，標簽原所有者S_old中的讀寫器相信隨機數x的新鮮性。

P14：T|≡#(x)，標簽相信隨機數x的新鮮性。

P15：R2|≡#(x)，標簽新所有者S_new中的讀寫器相信隨機數x的新鮮性。

P16：R1|≡#(y)，標簽原所有者S_old中的讀寫器相信隨機數y的新鮮性。

P17：T|≡#(y)，標簽相信隨機數y的新鮮性。

P18：R2|≡#(y)，標簽新所有者S_new中的讀寫器相信隨機數y的新鮮性。

P19：T|≡R1|?M1，標簽相信標簽原所有者S_old中的讀寫器對消息M1的管轄權。

P20：T|≡R1|?M2，標簽相信標簽原所有者S_old中的讀寫器對消息M2的管轄權。

P21：T|≡R1|?M3，標簽相信標簽原所有者S_old中的讀寫器對消息M3的管轄權。

P22：T|≡R1|?M4，標簽相信標簽原所有者S_old中的讀寫器對消息M4的管轄權。

P23：T|≡R2|?M6，標簽相信標簽新所有者S_new中的讀寫器對消息M6的管轄權。

P24：T|≡R2|?M7，標簽相信標簽新所有者S_new中的讀寫器對消息M7的管轄權。

P25：T|≡R2|?M8，標簽相信標簽新所有者S_new中的讀寫器對消息M8的管轄權。

P26：R1|≡T|?M5，標簽原所有者S_old中的讀寫器相信標簽對消息M5的管轄權。

4.3 協議的安全目標

G1：T|≡M1，標簽相信消息M1。

G2：T|≡M2，標簽相信消息M2。

G3：T|≡M3，標簽相信消息M3。

G4：T|≡M4，標簽相信消息M4。

G5：T|≡M6，標簽相信消息M6。

G6：T|≡M7，標簽相信消息M7。

G7：T|≡M8，標簽相信消息M8。

G8：R1|≡M5，標簽原所有者S_old中的讀寫器相信消息M5。

4.4 協議的分析推理

由假設P14及消息新鮮性法則⊕(如果一個消息的一部分是新鮮的，則整個消息也是新鮮的)，得T|≡#(M1)。

由已經推導出來的T|≡R1|～M1、T|≡#(M1)及隨機數驗證法則⊕，得到T|≡R1|≡M1。

運用上述條件和法則，同理可證得G2至G8。此處不再贅述。

5 協議性能分析

本文協議與其他此類RFID標簽所有權轉移協議進行性能分析，分析對象為標簽，性能分析主要包括標簽一端的計算量、標簽一端的存儲空間大小等。性能分析結果如表3所示。

表3 性能分析結果

對表3中的符號進行具體含義說明，說明如下：ph1表示交叉位運算的計算量；ph2表示字合成運算的計算量；ph3表示HASH函數操作的計算量；ph4表示位運算的計算量(異或運算、與運算均、移位運算屬于按位運算，因位運算屬于超輕量級的計算，計算量非常小，因此可將異或運算的計算量、與運算的計算量、移位運算的計算量看成是等量的計算量，用一個相同的符號表示)；ph5表示MIXBITS函數操作的計算量；ph6表示Rabin加密算法操作的計算量；ph7表示生成隨機數操作的計算量。約定共享密鑰S(或K)、標簽的標識符IDt、標簽的標識符假名IDS的長度均為l、歸屬權標志位FLAG只需要1位就可以。

因本文協議中，標簽一端事先需要存放的信息有：共享密鑰K、標簽的標識符IDt、標簽的標識符假名IDS、歸屬權標志位FLAG，因此標簽一端的存儲空間大小為(3l+1)即可滿足需求。本文協議與其他協議比較，標簽一端滿足低成本的要求。

在ph1、ph2、ph3、ph4、ph5、ph6、ph7中，計算量由大到小依次排列的順序是：ph3、ph6、ph5、ph7、ph2、ph1、ph4。其中ph4屬于超輕量級的計算，相對于ph6、ph3來說，ph4的計算量要遠遠少于ph6、ph3的計算量，因此ph4的操作次數多幾次，對整體的計算量影響幾乎可忽略。ph2、ph1是采用移位的方式進行的計算，計算量也不大，兩者的計算量相錯不大，且小于ph6、ph3的計算量。

從表3中，本文協議與其他所有權轉移協議進行計算量比較，本文協議摒棄計算量較大的哈希函數及Rabin算法加密方法，采用交叉位運算、字合成運算、按位運算進行加密，基于上述分析，本文協議標簽端的計算量要少于其他協議的計算量，達到降低標簽一端計算量的目標；同時本文協議能夠彌補其他協議存在的安全隱患問題。

為進一步解釋清楚表中計算量相關數據得來原因，此處選擇本協議作為研究對象，進行詳細展開講解；同時考慮到篇幅因素，這里選擇對本協議ph2表示字合成運算的計算量的5次數據進行詳細講解。詳細過程描述如下：

第2.2節步驟四的1)中，在計算隨機數x的時候，第一次用到ph2表示字合成運算。x=Syn(IDt_L,K_R)⊕M1。

第2.2節步驟四的3)中，在計算隨機數z的時候，第二次用到ph2表示字合成運算。z=Syn(K_L,IDt_R)⊕Cro(IDt_L,K_R)⊕M3。

第2.2節步驟四的6)中，在計算M5′的時候，第三次用到ph2表示字合成運算。M5′=Syn(x，IDt)&Cro(K，y)&z。

第2.2節步驟七的1)中，在計算隨機數t的時候，第四次用到ph2表示字合成運算。t=M6⊕Syn(IDt,z)。

第2.2節步驟七的3)中，在計算M8′的時候，第五次用到ph2表示字合成運算。M8′=Syn(t，S)&Cro(t，S)。

6 結論

1) 針對現有的所有權轉移協議進行分析，指出協議存在的安全缺陷，并在此基礎之上設計出一種改進的所有權轉移協議。

2) 改進的協議為降低標簽端的存儲空間，將標簽的標識符IDt作為計算中一個參量，從而減少其他參數的引入；改進的協議為確保所有權具備唯一確定性，引入歸屬權標志位FLAG變量，根據歸屬權標志位FLAG變量的值唯一確定所有權歸屬問題；改進的協議中采用字合成運算、交叉位運算對傳輸信息進行加密，能夠有效減少通信實體的計算量。

3) 安全性分析部分表明本文協議具備完整的安全需求，性能分析部分表明本文協議具備低成本、低計算量的要求。