基于偽隨機(jī)數(shù)發(fā)生器的RFID標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議

郝偉偉，呂磊

(1.河南省市場(chǎng)監(jiān)督管理局，信息中心，河南，鄭州 450008；2.河南工業(yè)大學(xué)，信息科學(xué)與工程學(xué)院，河南，鄭州 450008)

0 引言

射頻識(shí)別技術(shù)起源于上個(gè)世紀(jì)，在本世紀(jì)初得到較大范圍的推廣運(yùn)用。一個(gè)比較經(jīng)典的射頻識(shí)別系統(tǒng)至少包含但不限于電子標(biāo)簽、讀寫器、后臺(tái)服務(wù)器三者，其中電子標(biāo)簽具備體積比較小、生產(chǎn)成本比較低、容易部署、方便攜帶、使用周期比較長(zhǎng)等眾多優(yōu)勢(shì)，使得射頻識(shí)別技術(shù)現(xiàn)已在生活的方方面面中得到運(yùn)用。

在一個(gè)經(jīng)典的供應(yīng)鏈中，電子標(biāo)簽的歸屬者常發(fā)生變更，需要確保新舊歸屬者存放隱私信息的安全性。如有一批嵌入有電子標(biāo)簽的商品，在還未出廠之前，這批商品的歸屬權(quán)歸生產(chǎn)商所有；當(dāng)批發(fā)商從生產(chǎn)商手中購(gòu)買這批商品之后，這批商品的歸屬權(quán)發(fā)生變更，由生產(chǎn)商變更為批發(fā)商；當(dāng)零售商從批發(fā)商手中購(gòu)買部分這批商品之后，被購(gòu)買的這批商品的歸屬權(quán)將再次發(fā)生變更，由批發(fā)商變更為零售商；最后當(dāng)消費(fèi)者從零售商手上購(gòu)買該商品之后，該商品的最終歸屬權(quán)歸消費(fèi)者所有。就是說，商品的歸屬權(quán)可能在一個(gè)相對(duì)比較集中的時(shí)間段內(nèi)發(fā)生多次變更，當(dāng)歸屬權(quán)發(fā)生變更以后，每個(gè)之前使用過的用戶都希望有關(guān)自己隱私的信息都是安全的。

鑒于現(xiàn)有的經(jīng)典所有權(quán)轉(zhuǎn)移協(xié)議[1-9]存在計(jì)算量大、設(shè)計(jì)存在安全隱患等問題，本文提出了一種輕量級(jí)的所有權(quán)轉(zhuǎn)移協(xié)議。該協(xié)議基于偽隨機(jī)數(shù)發(fā)生器實(shí)現(xiàn)對(duì)信息加密發(fā)送，偽隨機(jī)數(shù)發(fā)生器具備實(shí)現(xiàn)時(shí)鐘總數(shù)少、門電路數(shù)量少等優(yōu)勢(shì)，能夠推廣使用；為了能夠抵抗窮盡攻擊，文中所有信息均在加密之后，以密文的方式傳送，攻擊者獲取的數(shù)據(jù)亦是密文，增加其破解難度；通過設(shè)定歸屬權(quán)唯一標(biāo)志位參量，依據(jù)該參量的數(shù)值來判定歸屬權(quán)的當(dāng)前歸屬者。

1 所有權(quán)轉(zhuǎn)移協(xié)議設(shè)計(jì)

本章節(jié)從2個(gè)方面展開，第一個(gè)方面給出了本文協(xié)議設(shè)計(jì)過程中涉及到的各個(gè)符號(hào)所表示的含義，第二個(gè)方面詳細(xì)闡述文中協(xié)議設(shè)計(jì)步驟。

(1) 文中協(xié)議符號(hào)含義

Dold表示電子標(biāo)簽原所有者。

Dnew表示電子標(biāo)簽新所有者。

Tag表示歸屬權(quán)待轉(zhuǎn)移的電子標(biāo)簽。

ID表示電子標(biāo)簽唯一的身份標(biāo)識(shí)。

ID_L表示電子標(biāo)簽唯一的身份標(biāo)識(shí)左半部分。

ID_R表示電子標(biāo)簽唯一的身份標(biāo)識(shí)右半部分。

Kold表示電子標(biāo)簽與原所有者間共享秘密值。

Knew表示電子標(biāo)簽與新所有者間共享秘密值。

Flag表示電子標(biāo)簽的歸屬權(quán)標(biāo)志位，其中值為0時(shí)，表示歸屬權(quán)歸原所有者所有；反之，歸新所有者所有。

y、t表示電子標(biāo)簽產(chǎn)生的隨機(jī)數(shù)。

x表示原所有者產(chǎn)生的隨機(jī)數(shù)。

z表示新所有者產(chǎn)生的隨機(jī)數(shù)。

⊕表示按位異或運(yùn)算。

Prng()表示偽隨機(jī)數(shù)發(fā)生器運(yùn)算。

文中引入偽隨機(jī)數(shù)發(fā)生器對(duì)所要傳送的信息進(jìn)行加密，采用偽隨機(jī)數(shù)發(fā)生器進(jìn)行加密的優(yōu)點(diǎn)如下：其一，能夠提供較好的安全性(有關(guān)其安全性推導(dǎo)證明可參見文獻(xiàn)[10])；其二，在確保安全性的前提下，實(shí)現(xiàn)過程中所需的時(shí)鐘周期數(shù)和門電路數(shù)低于常見加密算法，具體分析可見后文；其三，能夠確保協(xié)議可適用于低成本的RFID系統(tǒng)中，同時(shí)可使協(xié)議達(dá)到輕量級(jí)的級(jí)別。

(2) 文中協(xié)議實(shí)現(xiàn)

文中設(shè)計(jì)的協(xié)議也如其他協(xié)議[11-12]一樣，遵行如下約定：標(biāo)簽原所有者與電子標(biāo)簽間會(huì)話不安全；標(biāo)簽新所有者與電子標(biāo)簽間會(huì)話不安全；標(biāo)簽原所有者與標(biāo)簽新所有者間會(huì)話安全；標(biāo)簽原所有者及標(biāo)簽新所有者均包含讀寫器。

文中設(shè)計(jì)的協(xié)議流程如圖1所示。

圖1 文中協(xié)議步驟示意圖

結(jié)合圖1，可將文中設(shè)計(jì)的協(xié)議具體步驟描述如下。

第一步

Dold產(chǎn)生隨機(jī)數(shù)x，并依次計(jì)算消息A、B，最后將〈Query、A、B〉一并發(fā)送給Tag。A=x⊕ID_R、B=x⊕ID_L。

第二步

Tag收到信息后，查看當(dāng)前歸屬權(quán)標(biāo)志位Flag的值是否為0，若為0，可進(jìn)行后續(xù)操作。對(duì)消息A、B進(jìn)行解密，判斷x′=A⊕ID_R與x″=B⊕ID_L兩者值是否相等。

若兩者值不等，發(fā)送方未能通過驗(yàn)證，協(xié)議停止。

若兩者值相等，消息來源方真實(shí)可靠。Tag產(chǎn)生隨機(jī)數(shù)y，依次計(jì)算消息D、E，最后將〈D、E〉一并發(fā)送給Dold。其中，D=x⊕y，E=Prng(x⊕Kold,y)。

第三步

Dold收到信息后，對(duì)消息D進(jìn)行解密，結(jié)合Kold、計(jì)算得到E′=Prng(x⊕Kold,y′)，對(duì)E比E′與間值是否相等。

若E與E′間值不等，消息來源方不可靠，協(xié)議停止。

若E與E′間值相等，發(fā)送方通過驗(yàn)證。Dold計(jì)算消息F，最后將〈F〉發(fā)送給Tag。F=Prng(y⊕Kold,x)

第四步

Tag收到信息后，結(jié)合x、Kold、y計(jì)算得到F′=Prng(y⊕Kold,x)，對(duì)比F′與F間值是否相等。

若F′與F間值不等，消息發(fā)送者未能通過驗(yàn)證，協(xié)議停止。

若F′與F間值相等，來源方驗(yàn)證通過。

第五步

Dnew向Dold發(fā)送Query命令，請(qǐng)求開始所有權(quán)轉(zhuǎn)移過程。

第六步

Dold收到信息后，基于安全信道將Tag的唯一身份標(biāo)識(shí)ID發(fā)送給Dnew。

第七步

Dnew收到信息后，產(chǎn)生隨機(jī)數(shù)z，依次計(jì)算消息G、H，最后將〈Query、G、H〉一并發(fā)送給Tag。其中，G=z⊕ID_L，H=z⊕ID_R。

第八步

Tag收到信息后，對(duì)消息G、H進(jìn)行解密，比較z′=G⊕ID_L與z″=H⊕ID_R兩者間值是否相等。

若兩者間值不等，消息來源方不可靠，協(xié)議停止。

若兩者間值相等，消息發(fā)送方通過驗(yàn)證。Tag產(chǎn)生隨機(jī)數(shù)t，并依次計(jì)算消息I、M，最后將〈I、M〉一并發(fā)送給Dnew。其中，I=x⊕t，M=Prng(z⊕Knew,t)。

第九步

Dnew收到信息后，對(duì)消息I進(jìn)行解密，結(jié)合Knew、t可計(jì)算得到M′=Prng(z′⊕Knew,t)，對(duì)比M′與M兩者間值大小關(guān)系。

若M′與M兩者間值不等，消息來源方不可靠，協(xié)議停止。

若M′與M兩者間值相等，發(fā)送方通過驗(yàn)證。Dnew結(jié)合z、Knew、t計(jì)算得到消息N，最后將〈N〉發(fā)送給Tag。其中，N=Prng(z,t⊕Knew)。

第十步

Tag收到信息后，結(jié)合z、Knew、t計(jì)算得到N′=Prng(z,t⊕Knew)，對(duì)比N′與N兩者值是否相等。

若N′與N兩者值不等，發(fā)送方可能存在偽造，協(xié)議停止。

若N′與N兩者值相等，消息來源方通過驗(yàn)證。Tag將歸屬權(quán)標(biāo)志位Flag的值置為1，表示Tag歸屬權(quán)不再歸Dold，而是歸屬于Dnew。

2 所有權(quán)轉(zhuǎn)移協(xié)議安全性分析

(1) 所有權(quán)排他性

所有權(quán)排他性是指不論何時(shí)電子標(biāo)簽的歸屬權(quán)具有唯一性和確定性。文中協(xié)議引入歸屬權(quán)標(biāo)志位參量，根據(jù)該參量的值確定標(biāo)簽所有權(quán)當(dāng)前歸屬者，能夠?qū)崿F(xiàn)所有權(quán)排他性，同時(shí)攻擊者無法修改電子標(biāo)簽一端歸屬權(quán)標(biāo)志位參數(shù)的值。根據(jù)文中描述，當(dāng)且僅當(dāng)，電子標(biāo)簽與原所有者間對(duì)彼此驗(yàn)證通過，且電子標(biāo)簽與新所有者間對(duì)彼此驗(yàn)證通過時(shí)，電子標(biāo)簽一端才會(huì)修改歸屬權(quán)標(biāo)志位參數(shù)信息。

(2) 假冒攻擊

文中協(xié)議所有信息都是加密之后再發(fā)送，故攻擊者竊聽獲取的所有消息都是密文。攻擊者在不知曉任一明文參數(shù)的前提下，是無法破解出任何有用的信息的。

比如攻擊者假冒成合法的電子標(biāo)簽原所有者給電子標(biāo)簽發(fā)送信息：攻擊者并不知曉標(biāo)簽原所有者與電子標(biāo)簽間共享的電子標(biāo)簽唯一的身份標(biāo)識(shí)ID，因此攻擊者在計(jì)算消息A、B時(shí)只能隨機(jī)選擇一個(gè)參數(shù)作為ID的值進(jìn)行計(jì)算。當(dāng)電子標(biāo)簽收到該消息后，僅需要進(jìn)行簡(jiǎn)單驗(yàn)證，即可識(shí)別出消息來源方是偽造的，協(xié)議停止。

(3) 窮舉攻擊

要想使攻擊者無法發(fā)起窮舉攻擊，最為有效的方式便是在每個(gè)消息加密之時(shí)混入的參數(shù)個(gè)數(shù)至少有2個(gè)是攻擊者并不知曉，且無法分析得出。

文中協(xié)議保證所有消息都是加密之后發(fā)送，即密文發(fā)送，同時(shí)每個(gè)消息涉及的參數(shù)中，至少有2個(gè)或2個(gè)以上參數(shù)的值，對(duì)于攻擊者來說，無法獲取或無法破解得知。以消息E=Prng(x⊕Kold,y)為例，攻擊者在分析該消息時(shí)，有3個(gè)變量的值是不知曉的，同時(shí)這3個(gè)變量的值在文中并沒有明文出現(xiàn)過，攻擊者想要對(duì)其中任何一個(gè)進(jìn)行分析破解都是無法實(shí)現(xiàn)的，因此攻擊者無法對(duì)消息E=Prng(x⊕Kold,y)進(jìn)行窮舉，無法獲取任何有用的隱私信息。

(4) 重放攻擊

要想使得攻擊者重放之前消息失敗，最為有效的方法是每輪會(huì)話用到的消息值都是處于變動(dòng)狀態(tài)中，即當(dāng)前會(huì)話消息值與上輪會(huì)話消息值不同。

文中在確保所有消息加密之后，在傳送的時(shí)候亦保證每個(gè)信息在加密時(shí)一定混入隨機(jī)數(shù)，這樣將會(huì)使得前后相鄰的兩輪會(huì)話消息值無任何關(guān)聯(lián)性。所有消息混入的隨機(jī)數(shù)并不都是同一個(gè)，有的混入標(biāo)簽產(chǎn)生的隨機(jī)數(shù)，有的混入標(biāo)簽原所有者產(chǎn)生的隨機(jī)數(shù)，有的混入標(biāo)簽新所有者產(chǎn)生的隨機(jī)數(shù)等等。隨機(jī)數(shù)由隨機(jī)產(chǎn)生器隨機(jī)產(chǎn)生，具備無法預(yù)測(cè)性、互異性等特征，可以保證每個(gè)消息的新鮮性。

(5) 定位攻擊

使得攻擊者無法進(jìn)行定位攻擊的最簡(jiǎn)單方式是每個(gè)消息每輪數(shù)值都不同，這樣展現(xiàn)給攻擊者的效果將是電子標(biāo)簽時(shí)時(shí)刻刻都處于變動(dòng)狀態(tài)，攻擊者無法進(jìn)行定位攻擊。文中所有消息加密過程中全部混入隨機(jī)數(shù)，而且每輪混入的隨機(jī)數(shù)都是不一樣的，攻擊者當(dāng)前竊聽的消息值中用到的隨機(jī)數(shù)，與下一輪竊聽獲取的消息值中用到的隨機(jī)數(shù)不一樣，從而使得攻擊者無法進(jìn)行定位攻擊。

(6) 后向安全性

攻擊者雖然無法直接從當(dāng)前獲取的消息中分析出任何有用的隱私信息，但攻擊者希望能夠?qū)Ξ?dāng)前獲取的消息進(jìn)行分析，從而破解出之前消息中包含的隱私信息，即協(xié)議不具備后向安全性。但文中協(xié)議具備后向安全性，主要原因如下：其一，每個(gè)消息加密時(shí)加入隨機(jī)數(shù)，使前后同一個(gè)消息的值并不一樣；其二，每輪隨機(jī)產(chǎn)生的隨機(jī)數(shù)都不一樣，具備互異性和無法預(yù)測(cè)性。基于上述2個(gè)原因，攻擊者對(duì)當(dāng)前獲取的消息進(jìn)行分析時(shí)，無法破解出之前消息中涉及到的用戶隱私信息。故本文協(xié)議具備后向安全性。

將文中協(xié)議與其他協(xié)議進(jìn)行安全方面的對(duì)比，對(duì)比的結(jié)果如表1所示。

表1 多協(xié)議間安全性對(duì)比

表1中×表示無法提供該安全屬性，√表示可以提供該安全屬性。

3 所有權(quán)轉(zhuǎn)移協(xié)議性能分析

文中協(xié)議涉及到的通信實(shí)體有電子標(biāo)簽、標(biāo)簽原所有者、標(biāo)簽新所有者3個(gè)，考慮到標(biāo)簽新所有者和標(biāo)簽原所有者都具備強(qiáng)大的計(jì)算能力、查詢能力和充足的存儲(chǔ)空間，因此這里僅選擇電子標(biāo)簽作為性能分析對(duì)象，將從電子標(biāo)簽一端的計(jì)算量、存儲(chǔ)量、時(shí)鐘周期數(shù)、門電路數(shù)等角度綜合對(duì)比分析各個(gè)協(xié)議，具體分析結(jié)果見表2所示。

表2 不同協(xié)議性能間對(duì)比

通過表2中各方面綜合對(duì)比分析，文中協(xié)議電子標(biāo)簽一端在時(shí)鐘周期數(shù)、門電路數(shù)方面不及文獻(xiàn)[3]中協(xié)議，相比其他協(xié)議都占有優(yōu)勢(shì)；文獻(xiàn)[3]中協(xié)議采用按位運(yùn)算實(shí)現(xiàn)對(duì)信息加密傳送，使得協(xié)議安全性存在不足，而本文協(xié)議可以彌補(bǔ)文獻(xiàn)[3]中協(xié)議安全的不足之處。綜上比較，文中協(xié)議在安全性及性能角度具備推廣的實(shí)際使用價(jià)值。

表2中的符號(hào)所表示的含義如下：Xor符號(hào)表示按位異或運(yùn)算；Prng()符號(hào)表示偽隨機(jī)數(shù)發(fā)生器運(yùn)算；C()符號(hào)表示混沌加密運(yùn)算；F()符號(hào)表示循環(huán)分組運(yùn)算；Mod()符號(hào)表示模運(yùn)算；Png()符號(hào)表示偽隨機(jī)函數(shù)運(yùn)算。

從文獻(xiàn)[10]中可以獲悉如下數(shù)據(jù)信息：哈希函數(shù)實(shí)現(xiàn)需要的時(shí)鐘周期數(shù)為1 274，偽隨機(jī)函數(shù)實(shí)現(xiàn)需要的時(shí)鐘周期數(shù)為1 032，偽隨機(jī)數(shù)發(fā)生器實(shí)現(xiàn)需要的時(shí)鐘周期數(shù)為104；哈希函數(shù)實(shí)現(xiàn)需要的門電路數(shù)為8 120，偽隨機(jī)函數(shù)實(shí)現(xiàn)需要的門電路數(shù)為3 400，偽隨機(jī)數(shù)發(fā)生器實(shí)現(xiàn)需要的門電路數(shù)為1 294。由于文獻(xiàn)[10]中并未給出超輕量級(jí)按位運(yùn)算的時(shí)鐘周期數(shù)和門電路數(shù)，本文按照一次輕量級(jí)運(yùn)算相當(dāng)于百次超輕量級(jí)運(yùn)算的關(guān)系，給出按位運(yùn)算實(shí)現(xiàn)需要的大約時(shí)鐘周期數(shù)為12、門電路數(shù)為81。混沌加密與偽隨機(jī)函數(shù)運(yùn)算時(shí)間及實(shí)現(xiàn)復(fù)雜度大致相當(dāng)，故時(shí)鐘周期數(shù)和門電路數(shù)取值依次為1 032、3 400。模運(yùn)算實(shí)現(xiàn)的時(shí)鐘周期數(shù)、門電路數(shù)不少于哈希函數(shù)實(shí)現(xiàn)的數(shù)，這里依次取值為1 274、8 120。

文中協(xié)議整個(gè)過程中，需要進(jìn)行6次Xor運(yùn)算、4次Prng()運(yùn)算，因此時(shí)鐘周期數(shù)為6*12+4*104=488。文中協(xié)議在電子標(biāo)簽一端需要實(shí)現(xiàn)按位異或運(yùn)算、偽隨機(jī)數(shù)發(fā)生器運(yùn)算，故門電路數(shù)為81+1 294=1 375。

文中電子標(biāo)簽一端需要存放的參數(shù)信息有Kold、Knew、ID，約定每個(gè)參數(shù)的長(zhǎng)度都為L(zhǎng)，故文中電子標(biāo)簽一端的存儲(chǔ)量為3 L。

4 總結(jié)

針對(duì)射頻識(shí)別技術(shù)在運(yùn)用中有關(guān)電子標(biāo)簽歸屬權(quán)變更后用戶隱私信息的泄露問題，提出了一種輕量級(jí)的所有權(quán)轉(zhuǎn)移協(xié)議。文中協(xié)議采用偽隨機(jī)數(shù)發(fā)生器實(shí)現(xiàn)信息加密處理，即可提供諸如哈希函數(shù)的安全性，亦可實(shí)現(xiàn)低計(jì)算量的特征，通過設(shè)置的電子標(biāo)簽所有權(quán)歸屬者唯一標(biāo)志位參量確定歸屬權(quán)，具備較高的安全性。對(duì)多個(gè)協(xié)議進(jìn)行安全、性能等比較分析，表明文中協(xié)議可提供較高安全的同時(shí)，能夠規(guī)避其他協(xié)議存在的安全隱患，同時(shí)文中協(xié)議在時(shí)鐘周期總數(shù)和門電路數(shù)量方面亦存在優(yōu)勢(shì)，滿足現(xiàn)有低成本RFID系統(tǒng)各方面要求。