无线射频识别(Radio Frequency IDentification, RFID)是一种自动识别和数据获取技术, 只需要将RFID标签附着在目标实体上, 无需直接接触目标实体就可以实现对选定目标的识别^[1–3]. 具有体积小、寿命长等优点, 已被广泛应用在商品生产、交通运输等各个领域^[4–6]. 在应用中, 通信实体的所有权会不断的发生改变, 比如: 生产者将商品卖给批发商, 商品的所有权就会发生改变, 所有权不再属于生产者, 然而生产者却依旧有可能获取该商品的信息, 而导致批发商的隐私信息遭到泄漏^[7–9]. 为了解决上述存在的问题, 需设计出安全的所有权转移协议.

Molnar等人在2005年首次提出RFID标签所有权转移协议, 但是该协议每次通话只能完成一个标签的所有权转移, 使用范围受到局限^[10]; Zuo等人在2010年首次提出RFID标签组所有权转移协议, 该协议可以一次通话完成一组标签所有权的转移, 但该协议基于可信第三方, 使其应用也具有一定的局限, 同时该协议无法抵抗异步攻击和假冒攻击^[11]; Yang等人在2012年提出了一个适用移动RFID系统的RFID标签组所有权转移协议, 分析发现, 该协议无法抵抗异步攻击, 同时协议也无法满足后向隐私的安全需求^[12]; He等人在2014年提出了一个RFID标签组所有权转移协议, 但分析发现, 该协议仍无法抵抗去同步化攻击, 同时不能保证后向隐私的安全性^[13]. 原变青等人在2015年提出了一个通用可组合安全的RFID标签组所有权转移协议, 但分析发现, 该协议无法抵抗暴力破解攻击, 攻击者通过强制手段, 可以暴力破解出标签的相关隐私^[14]. 在总结上述协议基础之上, 提出一种适用于的多标签的所有权转移协议. 在所提协议中, 信息通过字合成运算加密后再传输, 使得攻击者只能获取密文; 同时在所提协议中, 保证每个传输的信息中, 都至少有两个以上的量是攻击者事前无法知晓的, 从而使得攻击者无法进行暴力破解攻击; 通过BAN逻辑形式证明了协议的正确性.

1 本文协议 1.1 符号说明

对协议中出现的符号进行如下说明:

A: 标签原所有者;

B: 标签新所有者;

T_a: 群组标签(其中a表示群组标签的总个数);

T_i: 群组标签中编号为i的标签;

V: 群组标签T_a与标签原所有者A之间共享的密钥;

U: 群组标签T_a与标签新所有者B之间共享的密钥;

V_i: 群组标签T_a中编号为i的标签与标签原所有者A之间共享的认证密钥;

U_i: 群组标签T_a中编号为i的标签与标签新所有者B之间共享的认证密钥;

x: 标签原所有者A产生的一个随机数;

y: 标签新所有者B产生的一个随机数;

z_i、w_i: 群组标签T_a中编号为i的标签产生的两个随机数;

e、f: 标签新所有者B随机选取的两个大素数;

g: e、f两个大素数的乘积, 即: $g = ef$ ;

Query: 所有权转移请求命令;

SURE: 所有权转移授权命令;

Cro(X, Y): 交叉位运算;

⊕: 异或运算;

&: 与运算;

$ {M^2}od d$ : 模运算.

其中有关交叉位运算详细实现步骤可参考文献[15], 示例可参考如图1所示: 取长度L=12, 并设定 $X{\rm{ = 001100110011}}$ , $Y{\rm{ = 110101010101}}$ , 根据交叉位运算的定义可得: $Cro{\rm{(}}X{\rm{,}}Y{\rm{) = 101110111011}}$ .

1.2 所有权转移协议

所提所有权转移协议分为两个阶段, 第一个阶段是初始化阶段, 完成标签原所有者A、标签新所有者B、群组标签T_a中各参数的设置; 第二阶段是所有权转移阶段, 完成标签所有权由标签原所有者A转移到标签新所有者B的过程.

(1)初始化阶段

在所有权转移协议的初始化阶段, 标签新所有者B随机选择两个大素数e和f, 然后计算 $g = ef$ 的值, 并将g的值通过安全信道告知标签原所有者A和群组标签T_a. 标签原所有者A端存放如下信息: (V_i、V、g); 标签新所有者B端存放如下信息: (e、f、g); 群组标签T_a中编号为i的标签端存放如入信息: (V_i、V、g).

(2)所有权转移阶段

对图2中的通信过程中出现的字符进行解释:

$M1 = Cro(V,x)$ ;

$M{\rm{2}} = Cro(M{\rm{1}},y)$ ;

$M{\rm{3}} = x \oplus g$ ;

$M{\rm{4}} = y \oplus g$ ;

$M{5_i} = {V_i} \oplus {z_i}$ ;

$M{{\rm{6}}_i} = Cro({z_i},x)$ ;

$M{{\rm{7}}_i} = {(y\& {w_i})^2}od g$ ;

$M{8_i} = Cro({z_i},{V_i})$ ;

$M{9_i} = {U_i} \oplus {w_i}$ ;

$M{\rm{1}}{{\rm{0}}_i} = U \oplus {w_i}$ ;

$M{\rm{1}}{{\rm{1}}_i} = Cro(M{{\rm{8}}_i}{\rm{\& }}M{{\rm{9}}_i},M{\rm{1}}{{\rm{0}}_i}{\rm{\& }}{w_i})$ .

所提所有权转移协议如图2所示, 具体的执行步骤如下:

(1) 步骤1

1)标签原所有者A生成一个随机数, 记作x.

2)标签原所有者A用自身生成的x、自身存放的V计算得到M1. 标签原所有者A用自身生成的x、接收到的g计算得到M3.

3)标签原所有者A将<Query、M1、M3>一并发送给标签新所有者B.

(2) 步骤2

标签新所有者B在接收到信息之后, 进行如下操作.

1)标签新所有者B生成一个随机数, 记作y.

2)标签新所有者B用自身生成的y、接收到的M1计算得到M2. 标签新所有者B用自身生成的y、自身存放的g计算得到M4.

3)标签新所有者B向标签组T_a广播消息<M2、M3、M4>.

(3) 步骤3

标签T_i在接收到信息之后, 进行如下操作.

1)标签T_i用接收到的M3、自身存放的g计算得到随机数x. 标签T_i用接收到的M4、自身存放的g计算得到随机数y. 标签T_i用计算得到的x、计算得到的y、自身存放的V计算得到一个M2`的值.

2)标签T_i将计算得到的M2`与接收到的M2值进行比对. 若两者值相等, 进行步骤3); 反之, 协议终止.

3)标签T_i生成两个随机数, 分别记作z_i、w_i.

4)标签T_i用自身生成的z_i、自身存放的V_i计算得到M5_i. 标签T_i用自身生成的z_i、计算得到的x计算得到M6_i. 标签T_i用自身生成的w_i、计算得到的y、接收到的g计算得到M7_i.

5)标签T_i将<M5_i、M6_i、M7_i>一并发送给标签新所有者B.

(4) 步骤4

标签新所有者B接收到标签T_i的响应信息后, 得到集合{(M5_i、M6_i、M7_i)| ${\rm{1}} \le i \le a$ }. 进行如下操作.

1)标签新所有者B对M7_i进行解方程, 即: $M{{\rm{7}}_i} = {b^2}od g$ . 根据中国剩余定理, 可以计算得出方程的四个解, 依次为: b₁、b₂、b₃、b₄.

2)若能够找到左边L位等于y的解b_i( ${\rm{1}} \le i \le {\rm{4}}$ ), 进行步骤3); 反之, 协议终止.

3)该解相对应的右边L位即为w_i, 然后存放集合{(w_i, M7_i)| ${\rm{1}} \le i \le a$ }.

4)标签新所有者B将集合{(M5_i、M6_i)| ${\rm{1}} \le i \le a$ }传送给标签原所有者A.

(5) 步骤5

标签原所有者A在接收到信息之后, 进行如下操作.

1)标签原所有者A检查收到的消息集合中消息对(M5_i、M6_i)的数量是否与数据库中存放的待转移的群组标签T_a中的标签数一致.

2)如果数量一致, 进行步骤6; 反之, 协议终止.

(6) 步骤6

标签原所有者A将对每一个消息对(M5_i、M6_i)进行验证, 验证过程如下.

1)标签原所有者A用接收到的M5_i、自身存放的V_i计算得到随机数z_i.

2)标签原所有者A用自身生成的x、计算得到的z_i计算得到一个M6_i`的值.

3)标签原所有者A将计算得到的M6_i`与接收到的M6_i值进行比对. 若两者值相等, 进行步骤4); 反之, 协议终止.

4)说明群组标签T_a中的每个标签T_i都存在, 进行步骤7.

(7) 步骤7

1)标签原所有者A对群组标签T_a中的每个标签T_i用自身存放的V_i、计算得到的z_i计算得到M8_i.

2)标签原所有者A向标签新所有者B发送授权转移信息<SURE, {(M6_i, M8_i)| ${\rm{1}} \le i \le a$ }>.

(8) 步骤8

标签新所有者B在接收到所有权转移授权命令之后, 进行如下操作.

1)标签新所有者B生成一个标签新所有者B与群组标签T_a之间共享的密钥U. 标签新所有者B生成一个标签新所有者B与群组标签T_a中编号为i的标签T_i之间共享的认证密钥U_i.

2)标签新所有者B用自身生成的U_i、计算得到的w_i计算得到M9_i. 标签新所有者B用自身生成的U、计算得到的w_i计算得到M10_i. 标签新所有者B用计算得到的M9_i、计算得到的M10_i、接收到的M8_i、计算得到的w_i计算得到M11_i.

3)标签新所有者B向标签T_i发送信息<M9_i、M10_i、M11_i>.

(9) 步骤9

标签T_i在接收到信息之后, 进行如下操作.

1)标签T_i用自身存放的V_i、自身生成的z_i计算得到一个M8_i`的值. 标签T<sub>i</sub>用接收到的M9<sub>i</sub>、接收到的M10<sub>i</sub>、计算得到的M8<sub>i</sub>`、自身生成的w_i计算得到一个M11_i`的值.

2)标签T_i将计算得到的M11_i`与接收到的M11_i值进行比对. 若两者值相等, 进行步骤3); 反之, 协议终止.

3)标签T_i通过计算w_i⊕M9_i得到认证密钥U_i的值. 标签T_i通过计算w_i⊕M10_i得到共享密钥U的值.

4)标签T_i更新标签T_i与标签新所有者B之间的密钥信息, 到此所有权转移成功.

2 安全性分析

(1)后向安全

在所有权转移协议中, 当群组标签的所有权转移成功后, 标签组中存放的密钥全部更新, U取代V, U_i取代V_i, 同时U和U_i对标签的原所有者A是保密的; 密钥更新之后, 标签的原所有者A将不能再识别出群组标签中的任何一个标签, 并且无法访问标签与标签的新所有者B之间的会话消息. 故所提协议能够保证后向安全性.

(2)前向安全

在所提所有权转移协议中, 标签的新所有者B仅仅只能获得更新后的密钥U和U_i, 根本没有办法获取标签的原所有者A与群组标签之间共享的密钥V和V_i, 因此标签的新所有者B根本没有权限访问到标签与标签的原所有者A之间的会话消息. 故本文协议能够保证前向安全性.

(3)去同步化攻击

去同步化攻击是要造成群组标签与标签的新所有者B之间共享的密钥不相同, 或者是造成群组标签与标签的原所有者A之间共享的密钥不相同. 在所提所有权转移协议中, 协议运行的前提是: 群组标签中存放有与标签的原所有者A通信所需用到的密钥V和V_i, 因此攻击者无法造成群组标签与标签的原所有者A之间的密钥不同. 当标签的新所有者B产生新的密钥之后, 群组标签并不是立刻进行更新密钥, 而是通过M9_i、M10_i、M11_i消息来验证标签的新所有者B的真伪, 只有标签的新所有者B不是伪造的情况下, 群组标签端才会进行密钥的更新, 否则密钥不仅不会更新, 而且协议立刻终止, 因此攻击者无法造成密钥不同步的情况. 故所提协议可以抵抗去同步化攻击.

(4)暴力破解攻击

在所提所有权转移协议中, 攻击者监听整个通信过程, 可以获得M2、M3、M4、M5_i、M6_i、M7_i、M9_i、M10_i、M11_i这些消息, 但攻击者仍无法从上述消息中获得任何有用的隐私信息. 比如对M3进行暴力破解攻击, $M{\rm{3}} = x \oplus g$ 在该公式中, 随机数x攻击者不知晓, 它是由标签原所有者A随机产生, 且无法提前预测, 同时又是通过安全通道传送给标签新所有者B; g是e和f的乘积, 对于e和f的选取, 攻击者更是无法知晓, 且g事先已安全存放在群组标签端, 因此在上述公式中, 攻击者仅仅只能截获到M3消息, 而M3消息中的x和g都是无法知晓的, 所以攻击者即使对消息M3进行强制性破解, 也还是无法获取任何有用的信息; 对其他获取的消息进行强制性攻击同样无法获取信息, 因每个消息中至少有两个量, 攻击者是无法提前知晓的. 故本文协议可以抵抗暴力破解攻击.

(5)追踪攻击

在所提所有权转移协议中, 攻击者通过监听一个完整的通信过程, 可以获得众多消息中的M5_i、M6_i、M7_i三个消息, 攻击者试图通过分析由群组标签产生的M5_i、M6_i、M7_i三个消息来跟踪群组标签, 但攻击者无法成功. M5_i、M6_i、M7_i三个消息中都有用到由群组标签产生的随机数来计算, 而随机数的产生是随机生成且无法提前预测, 并且每次生成的随机数都是不相同的, 因此攻击者截获的M5_i、M6_i、M7_i三个消息每次都是不同的, 从而使得攻击者根本无法跟踪群组标签的具体位置. 故本文协议可以抵抗跟踪攻击.

(6)重放攻击

在所提所有权转移协议中, 攻击者监听整个通信过程, 可以获得M2、M3、M4、M5_i、M6_i、M7_i、M9_i、M10_i、M11_i这些消息, 攻击者想通过重放上述信息进行重放攻击, 从而获取标签端的隐私信息, 但攻击者无法成功. 在上述获取的消息中, 每个消息再计算过程中都会用到不同的随机数, 标签原所有者A通过随机数x来保持每次传输消息的新鲜性; 标签新所有者B通过随机数y来保持每次传输消息的新鲜性; 标签T_i通过随机数w_i、z_i来保持每次会话用到的信息的新鲜性. 攻击者不论对谁发送的恶意重放攻击, 都是不可能实现的, 因为随机数x、y、w_i、z_i的产生都是随机产生的, 每次都是不同的, 且无法提前预测, 因此重复发送上一次会话的消息无法通过认证. 故本文协议可以抵抗重放攻击.

3 性能分析

性能分析主要从标签计算量、标签存储空间大小方面来分析, 分析结果如表1所示.

表1中, 设定共享密钥值, 共享认证密钥值, 大素数的长度均为L位; PR()表示PRNG运算, PH()表示哈希函数运算, PM()表示模运算, PE()表示加解密运算, AND表示与运算, XOR表示按位异或运算, XAND表示连接运算, Cro()表示交叉位运算.

由表1中可得知, 在存储空间方面, 本文协议相对文献[12]及文献[13]来说, 减少了标签端的存储空间; 相对文献[14]而言, 与其标签端的存储空间相当. 在计算量方面, 本文协议相对文献[12]及文献[13]来说, 标签端的计算量减少较多, 因PE()加解密运算, PH()哈希函数运算都是轻量级的运算量, 而本文协议中用到的加密方法都是超轻量级的运算量; 相对文献[14]而言, 本文协议在超轻量级方面的运算量稍微多一些, 但超轻量级的计算量本身计算量较少, 因此多几次的超轻量级加密运算量可以忽略不计, 同时文献[14]中采用PRNG运算进行加密, 而该运算属于轻量级的计算量, 本文协议采用Cro()字合成运算进行加密, 该加密方法属于超轻量级的算法. 因此综合比较, 本文协议在标签端计算量方面, 要比文献[14]中的计算量少一些, 且文献[14]中的协议存在安全缺陷, 无法抵抗暴力破解攻击, 而本文协议弥补了原协议的安全缺陷问题.

4 基于BAN逻辑形式化证明

本文采用BAN逻辑形式化分析方法对本文协议进行安全性证明, BAN逻辑是由Burrows等人提出的.

采用BAN逻辑对协议进行形式化分析, 证明过程如下所示. 因标签新所有者B和标签原所有者A中都有读写器部分, 因此可以将两者看成一个整体, 看成一个大的读写器, 用R来表示.

(1)协议的理想化模型

消息① R→T: M2、M3、M4;

消息② T→R: M5_i、M6_i、M7_i;

消息③ R→T: M9_i、M10_i、M11_i.

(2)协议的预期目标

本协议正确性的证明目标主要有G1、G2、G3、G4、G5、G6、G7、G8、G9九个, 即双向认证实体之间对交互信息新鲜性的相信.

G1: $R| \equiv M{5_i}$ , R相信M5_i.

G2: $R| \equiv M{6_i}$ , R相信M6_i.

G3: $R| \equiv M{7_i}$ , R相信M7_i.

G4: $T| \equiv M2$ , T相信M2.

G5: $T| \equiv M3$ , T相信M3.

G6: $T| \equiv M4$ , T相信M4.

G7: $T| \equiv M{9_i}$ , T相信M9_i.

G8: $T| \equiv M{10_i}$ , T相信M10_i.

G9: $T| \equiv M{11_i}$ , T相信M11_i.

(3)协议的初始假设

P1: $R| \equiv R\mathop \leftrightarrow \limits^V T$ , R相信R和T共享密钥V.

P2: $T| \equiv R\mathop \leftrightarrow \limits^V T$ , T相信R和T共享密钥V.

P3: $R| \equiv R\mathop \leftrightarrow \limits^{{V_i}} T$ , R相信R和T共享认证密钥V_i.

P4: $T| \equiv R\mathop \leftrightarrow \limits^{{V_i}} T$ , T相信R和T共享认证密钥V_i.

P5: $R| \equiv R\mathop \leftrightarrow \limits^g T$ , R相信R和T共享大素数g.

P6: $T| \equiv R\mathop \leftrightarrow \limits^g T$ , T相信R和T共享大素数g.

P7: $R| \equiv \# (x)$ , R相信随机数x的新鲜性.

P8: $T| \equiv \# (x)$ ,T相信随机数x的新鲜性.

P9: $R| \equiv \# (y)$ , R相信随机数y的新鲜性.

P10: $T| \equiv \# (y)$ , T相信随机数y的新鲜性.

P11: $R| \equiv \# ({z_i})$ , R相信随机数z_i的新鲜性.

P12: $T| \equiv \# ({z_i})$ , T相信随机数z_i的新鲜性.

P13: $R| \equiv \# ({w_i})$ , R相信随机数w_i的新鲜性.

P14: $T| \equiv \# ({w_i})$ , T相信随机数w_i的新鲜性.

P15: $R| \equiv \# (U)$ , R相信随机数U的新鲜性.

P16: $T| \equiv \# (U)$ ,T相信随机数U的新鲜性.

P17: $R| \equiv \# ({U_i})$ , R相信随机数U_i的新鲜性.

P18: $T| \equiv \# ({U_i})$ , T相信随机数U_i的新鲜性.

P19: $T| \equiv R| \Rightarrow M3$ , T相信R对M3的管辖权.

P20: $T| \equiv R| \Rightarrow M4$ ,T相信R对M4的管辖权.

P21: $T| \equiv R| \Rightarrow M2$ , T相信R对M2的管辖权.

P22: $T| \equiv R| \Rightarrow M{9_i}$ ,T相信R对M9_i的管辖权.

P23: $T| \equiv R| \Rightarrow M{10_i}$ , T相信R对M10_i的管辖权.

P24: $T| \equiv R| \Rightarrow M{11_i}$ , T相信R对M11_i的管辖权.

P25: $R| \equiv T| \Rightarrow M{5_i}$ , R相信T对M5_i的管辖权.

P26: $R| \equiv T| \Rightarrow M{6_i}$ ,R相信T对M6_i的管辖权.

P27: $R| \equiv T| \Rightarrow M{7_i}$ , R相信T对M7_i的管辖权.

(4)协议的推导过程

由消息②得 $R \triangleleft \{ M{5_i}\} $ , 并且由初始假设P3及消息含义法则 $\frac{{P| \equiv P\mathop \leftrightarrow \limits^K Q,P \triangleleft {{\{ X\} }_K}}}{{P| \equiv Q|\sim X}}$ , 得到 ${{R|}} \equiv T|\sim M{5_i}$ .

由假设P11及消息新鲜性法则 $ \oplus $ , 得 $R| \equiv \# (M{5_i})$ .

由已经推导出来的 ${\rm{R|}} \equiv T|\sim M{5_i}$ 、 $R| \equiv \# (M{5_i})$ 及随机数验证法则 $ \oplus $ , 得到 $R| \equiv T| \equiv M{5_i}$ .

由 $R| \equiv T| \equiv M{5_i}$ 、初始化假设P25以及管辖法则 $\frac{{P| \equiv Q \Rightarrow X,P| \equiv Q| \equiv X}}{{P| \equiv X}}$ ,可得 $R| \equiv M{5_i}$ . 因此, 目标G1得证.

运用上述条件和法则, 同理可证得G2、G3、G4、G5、G6、G7、G8、G9. 此处不再赘述.

4 结论与展望

针对RFID系统中标签所有权转移的实际问题, 提出了一种轻量级的群组RFID标签所有权转移协议. 该协议弥补了一次会话只能转移单个标签所有权的缺陷, 本文协议可以在一次会话中转移多个标签的所有权; 所提协议弥补了原协议存在的安全缺陷, 本文协议可以抵抗暴力破解攻击; 所提协议在传输过程中所有的信息都是经过简单的加密后再传输, 从而增加了攻击者破解的难度; 通过安全性分析以及BAN逻辑形式化, 证明了协议的安全性; 通过性能分析, 表明了该协议适用于低成本的RFID系统.