基于RFID標(biāo)簽的所有權(quán)轉(zhuǎn)移認(rèn)證協(xié)議

胡德新，王曉明

（暨南大學(xué) 計(jì)算機(jī)科學(xué)系，廣東 廣州510632）

0 引 言

隨著計(jì)算機(jī)技術(shù)與網(wǎng)絡(luò)的發(fā)展，RFID（radio frequency identification）即射頻識(shí)別技術(shù)，廣泛地應(yīng)用在各行各業(yè)，并成為物聯(lián)網(wǎng)的核心技術(shù)之一。它無需物理接觸即能快速、準(zhǔn)確地采集信息，對(duì)對(duì)象進(jìn)行有效地識(shí)別。在帶給人們便利的同時(shí)，RFID 系統(tǒng)的安全與隱私問題也日益突出，嚴(yán)重制約著RFID 和物聯(lián)網(wǎng)的發(fā)展和廣泛應(yīng)用。而在所有的安全問題當(dāng)中，信息的泄露和跟蹤是最為嚴(yán)重的兩個(gè)。信息的泄露指的是標(biāo)簽中對(duì)象的數(shù)據(jù)信息被泄露出來，而信息的跟蹤則指標(biāo)簽是可區(qū)別的，并且是可跟蹤的［1］。特別是在一些低成本的RFID 系統(tǒng)中，一個(gè)傳統(tǒng)的標(biāo)簽只有數(shù)千個(gè)門電路組成，存儲(chǔ)容量也只有數(shù)百位。電子標(biāo)簽資源的有限性加大了安全機(jī)制實(shí)現(xiàn)的難度，傳統(tǒng)的密碼技術(shù)很難直接應(yīng)用到系統(tǒng)中來。而認(rèn)證協(xié)議對(duì)于RFID 系統(tǒng)來說又是至關(guān)重要的，因?yàn)樗P(guān)系著讀寫器和標(biāo)簽兩者之間的身份識(shí)別。因此輕量級(jí)安全認(rèn)證機(jī)制的設(shè)計(jì)在RFID 研究領(lǐng)域中將一直占有重要的位置［2－4］。

在RFID 標(biāo)簽的生命周期內(nèi)，其所屬的擁有者一般會(huì)發(fā)生改變。例如，一個(gè)商品標(biāo)簽最初的所有者是制造商，當(dāng)商品到批發(fā)商時(shí)，標(biāo)簽的所有者就會(huì)由制造商變成批發(fā)商。批發(fā)商把貼有RFID 標(biāo)簽的商品運(yùn)送到零售商后，標(biāo)簽的所有者變?yōu)榱闶凵?。而在商品被消費(fèi)者購(gòu)買后，消費(fèi)者將會(huì)變成RFID 標(biāo)簽的所有者。這就是一個(gè)典型的RFID標(biāo)簽所有權(quán)轉(zhuǎn)移的例子，如果涉及到商品的售后服務(wù)等，還將會(huì)有更多的所有權(quán)轉(zhuǎn)移過程?？梢?，RFID 標(biāo)簽的所有權(quán)轉(zhuǎn)移必須滿足一定的安全和隱私要求，還需要具有抵抗一些主流攻擊的能力，如重放攻擊、異步攻擊等等。其中最重要的是原所有者和新所有者不能利用自己已經(jīng)掌握的信息來對(duì)另一方進(jìn)行跟蹤、冒充等或者獲得另一方的秘密信息，以保護(hù)雙方的隱私。

最近，金永明等人提出了一個(gè)所有權(quán)轉(zhuǎn)移認(rèn)證協(xié)議［4］。盡管該協(xié)議是第一個(gè)基于優(yōu)化函數(shù)SQUASH 的所有權(quán)轉(zhuǎn)移認(rèn)證協(xié)議，相比其它已知基于哈希函數(shù)的方案擁有更高的效率。但經(jīng)分析后發(fā)現(xiàn)該協(xié)議不能絕對(duì)保證前向隱私和后向隱私問題，而且認(rèn)證效率也不如他們所聲稱的那樣高。本文先深入分析了金永明等人提出的所有權(quán)轉(zhuǎn)移認(rèn)證協(xié)議，指出其安全缺陷和造成認(rèn)證低效的地方，然后在原協(xié)議的基礎(chǔ)上加以修改并提出一個(gè)新的、安全的、高效的所有權(quán)轉(zhuǎn)移方案。新方案不僅能解決原協(xié)議存在的安全問題，還能保護(hù)原所有者和新所有者的隱私，同時(shí)提高了認(rèn)證效率。

1 相關(guān)的研究工作

近年來，國(guó)內(nèi)外不少學(xué)者針對(duì)標(biāo)簽所有權(quán)轉(zhuǎn)移問題做了大量的研究工作。其中物理上的方法有用EPC（electronic product code）毀壞標(biāo)簽的Kill命令以及Blocker Tags方法等等。Kill命令指的是從物理上毀壞標(biāo)簽來保護(hù)擁有者的隱私，而Blocker Tags則是通過干擾來封鎖標(biāo)簽與讀寫器之間的通信。除了物理上的方法外，另一個(gè)有效的保護(hù)措施就是使用一個(gè)安全的認(rèn)證協(xié)議。2005年，Saito等人提出了一個(gè)使用對(duì)稱密碼加密標(biāo)簽標(biāo)識(shí)的方案，可以防止原所有者在權(quán)轉(zhuǎn)移后繼續(xù)訪問標(biāo)簽數(shù)據(jù)，但不足之處在于需要增加一個(gè)可信的第三方（TTP）。2005 年，Molnar和Soppera等學(xué)者提出了一個(gè)適用于RFID 標(biāo)簽的可擴(kuò)展所有權(quán)轉(zhuǎn)移授權(quán)協(xié)議，但實(shí)際上該協(xié)議的應(yīng)用范圍很小，因?yàn)樗枰俣ㄔ姓吆托滤姓咧g有一個(gè)共同的可信中心（TC）。2006年，Osaka等人提出了一個(gè)較為重要的基于Hash函數(shù)和對(duì)稱密碼的RFID 安全機(jī)制，它可以通過改變對(duì)稱私鑰來保護(hù)隱私，而缺點(diǎn)是不能抵抗拒絕服務(wù)（DoS）攻擊和不具有不可追蹤性。2007 年，F(xiàn)ouladgar和Afifi提出了一個(gè)新的協(xié)議［5］來保護(hù)新所有者的隱私，但是攻擊者卻可以通過重用返回值來冒充標(biāo)簽。其后，針對(duì)Osaka協(xié)議，Jappinen和Hamalainen在2008年提出了一個(gè)簡(jiǎn)單有效的改進(jìn)方案［6］，增加了標(biāo)簽端的一次Hash運(yùn)算，使得在秘密信息更新時(shí)，能對(duì)消息進(jìn)行一個(gè)完整性檢查，但標(biāo)簽被跟蹤的問題仍不能有效地解決。2010 年，Kulseng等人提出了一個(gè)輕量級(jí)的RFID 相互認(rèn)證協(xié)議［7］，并在它的基礎(chǔ)上，提出了一個(gè)具有物理不可復(fù)制功能（PUF）和線性反饋移位寄存器（LFSR）的所有權(quán)轉(zhuǎn)移協(xié)議。雖然該協(xié)議相比其它已知的基于Hash函數(shù)的協(xié)議具有更高的效率，但同樣需要增加一個(gè)TTP，而協(xié)議也未對(duì)抵抗主流攻擊的能力進(jìn)行詳細(xì)的分析。2011年，金永明等學(xué)者提出了一個(gè)基于SQUASH的所有權(quán)轉(zhuǎn)移認(rèn)證協(xié)議［4］，他們聲稱該協(xié)議能滿足RFID標(biāo)簽所有權(quán)轉(zhuǎn)移的安全和隱私要求，除了能抵抗重放攻擊、異步攻擊、中間人攻擊等外，還能夠保護(hù)原所有者與新所有者雙方的隱私。但本文經(jīng)分析后發(fā)現(xiàn)該協(xié)議并不能絕對(duì)保證前向隱私和后向隱私問題，而且認(rèn)證效率也不如他們所聲稱的那樣高。

2 方案回顧

2.1 原方案的回顧

2011年，金永明等人提出了一個(gè)基于SQUASH 的輕量級(jí)所有權(quán)轉(zhuǎn)移的協(xié)議LOTP，協(xié)議的認(rèn)證過程如圖1所示。

圖1 輕量級(jí)所有權(quán)轉(zhuǎn)移認(rèn)證協(xié)議

該協(xié)議主要分為6個(gè)步驟，讀寫器和標(biāo)簽雙方的認(rèn)證可簡(jiǎn)單可歸納為：讀寫器首先發(fā)送請(qǐng)求信號(hào)給標(biāo)簽，然后標(biāo)簽Ti生成一個(gè)隨機(jī)數(shù)rT，再計(jì)算M，N’和N，然后發(fā)送M 和N 給Di。由于此時(shí)所有權(quán)轉(zhuǎn)移還沒發(fā)生，Di必須將M 和N 轉(zhuǎn)發(fā)給Dj。Dj接收到數(shù)據(jù)后會(huì)驗(yàn)證數(shù)據(jù)庫(kù)中是否存在一個(gè)ti或者vi使得認(rèn)證條件［（M ⊕ti）2mod n］t＝N或［（M ⊕vi）2mod n］t＝N 成立，若等式成立，對(duì)標(biāo)簽的認(rèn)證會(huì)成功通過。同時(shí)Dj會(huì)將（si，ti）和Ui通過安全信道發(fā)送給Di，并且更新數(shù)據(jù)庫(kù)中的數(shù)據(jù)，而這時(shí)標(biāo)簽的所有權(quán)已經(jīng)從Dj轉(zhuǎn)移到Di了。相反，認(rèn)證失敗的話，Dj會(huì)停止操作，所有權(quán)轉(zhuǎn)移失敗。轉(zhuǎn)移成功后，標(biāo)簽也需要驗(yàn)證讀寫器是否合法。首先，Di會(huì)產(chǎn)生一個(gè)隨機(jī)數(shù)si’，依次計(jì)算ti’，rT，P 和Q。然后Di在更新完數(shù)據(jù)后會(huì)將P 和Q 發(fā)送給Ri，Ri再轉(zhuǎn)發(fā)給Ti。標(biāo)簽收到數(shù)據(jù)后，首先會(huì)通過異或運(yùn)算得到新的公鑰ti’，再根據(jù)認(rèn)證條件Q＝si⊕（ti’＞＞l／4）判斷讀寫器的認(rèn)證是否成功。

2.2 原方案的深入分析

原方案是首個(gè)基于優(yōu)化函數(shù)SQUASH 的所有權(quán)轉(zhuǎn)移認(rèn)證協(xié)議，無論在計(jì)算方面還是通信方面，效率都要比其它已知的基于Hash函數(shù)的方案要高。由于SQUASH 方案的安全性決定了該協(xié)議的安全性，而Rabin加密體制的安全性又奠定了SQUASH 的安全，可見該協(xié)議是可證安全的。另外，它額外存放了上一輪的公私鑰，用于抵抗異步攻擊，與標(biāo)簽恢復(fù)同步。

盡管該方案有著上述各樣優(yōu)點(diǎn)，但實(shí)際上該協(xié)議存在幾個(gè)安全缺陷：

（1）該協(xié)議不具有前向隱私性

在所有權(quán)轉(zhuǎn)移成功后，若Di使用之前Dj發(fā)送給它的舊消息（M，N）和ti冒充標(biāo)簽，這樣一個(gè)非法的認(rèn)證也會(huì)被成功通過。原因在于：為了抵抗異步攻擊，該協(xié)議利用了上一輪的密鑰實(shí)現(xiàn)與標(biāo)簽恢復(fù)同步，盡管Dj已經(jīng)將數(shù)據(jù)塊（si，ti）更新，認(rèn)證條件N＝［（M ⊕ti）2mod n］t也不會(huì)滿足，但是Dj仍然能從上一輪的密鑰當(dāng)中找到一個(gè)相應(yīng)的vi，使得另一個(gè)認(rèn)證條件N＝［（M ⊕vi）2mod n］t滿足，從而Di能非法訪問Dj。換句話來說，標(biāo)簽的新所有者能利用自己已經(jīng)掌握的信息非法獲取原所有者的秘密信息，造成原所有者的隱私泄露，即金永明等人提出的協(xié)議不能保證前向隱私。

（2）該協(xié)議不具有后向隱私性

為了確保后向隱私性，Di會(huì)選擇一個(gè)新的私鑰ti’，并且將它嵌入到數(shù)據(jù)塊（P，Q）發(fā)送給標(biāo)簽。但是讀寫器與標(biāo)簽之間的不安全傳輸使得（P，Q）有可能被原所有者竊取，而它又持有之前對(duì)標(biāo)簽認(rèn)證時(shí)取得的隨機(jī)數(shù)rT，使得原所有者有可能在一定的時(shí)間內(nèi)破解出rT的移位方式，從（P，Q）中求出ti’，而ti’在該協(xié)議的認(rèn)證中是一個(gè)非常關(guān)鍵的參數(shù)，它在下一輪轉(zhuǎn)移發(fā)生之前都不會(huì)進(jìn)行更新，也就是說原所有者能夠利用自己掌握的信息和非法竊取來訪問標(biāo)簽并獲得新所有者的隱私。因此安全隱患顯而易見，該協(xié)議不能完全地保證后向隱私。

（3）該協(xié)議對(duì)標(biāo)簽的認(rèn)證效率較為低下

Dj對(duì)標(biāo)簽進(jìn)行認(rèn)證時(shí)，每一次都需要用數(shù)據(jù)庫(kù)中的ti或vi計(jì)算［（M ⊕ti）2mod n］t，以判斷它是否滿足認(rèn)證條件。眾所周知，指數(shù)模冪運(yùn)算的計(jì)算代價(jià)是比較高的。除此之外，Dj也需要從頭到尾地在數(shù)據(jù)庫(kù)中查找相應(yīng)滿足認(rèn)證條件的ti或vi，若所找的記錄在較后的位置或者在末端的話，認(rèn)證效率會(huì)比較低下。

3 方 案

針對(duì)上述的安全缺陷，我們對(duì)該協(xié)議作了一系列的改進(jìn)和調(diào)整，并在此基礎(chǔ)上提出了一個(gè)新的所有權(quán)轉(zhuǎn)移認(rèn)證協(xié)議。首先，基本的定義如下所示：

Ti：RFID 系統(tǒng)中進(jìn)行權(quán)轉(zhuǎn)移的標(biāo)簽；

Ri：RFID 系統(tǒng)中新所有者的讀寫器；

Di：RFID 系統(tǒng)中新所有者的數(shù)據(jù)庫(kù)；

Dj：RFID 系統(tǒng)中原所有者的數(shù)據(jù)庫(kù)；

IDold：權(quán)轉(zhuǎn)移前標(biāo)簽Ti對(duì)于Dj的身份標(biāo)識(shí)；

ID’：權(quán)轉(zhuǎn)移后標(biāo)簽Ti對(duì)于Dj的身份標(biāo)識(shí)；

IDnew：權(quán)轉(zhuǎn)移后標(biāo)簽Ti對(duì)于Di的身份標(biāo)識(shí)；

k：標(biāo)簽所選的種子，用來計(jì)算ti；

k’：標(biāo)簽所選的新種子，用來計(jì)算ti’；

i：種子k可使用的次數(shù)；

i’：新種子k’可使用的次數(shù)；

ti：Ti長(zhǎng)度為l的密鑰，t0＝h（k），…，ti＝h（ti－1）＝h（h（ti－2））＝hi＋1（k）；

ti’：Ti長(zhǎng)度為l的新密鑰，t0’＝h（k’），…，ti’＝h（ti－1’）＝h（h（ti－2’））＝hi’＋1（k’）；

Ui：Ti存儲(chǔ)的業(yè)務(wù)數(shù)據(jù)；

⊕：異或運(yùn)算；

x＞＞a：右循環(huán)移位運(yùn)算；

←：置換（賦值）運(yùn)算；

h（）：哈希函數(shù)；

‖：連接運(yùn)算；

假設(shè)原所有者數(shù)據(jù)庫(kù)與新所有者數(shù)據(jù)庫(kù)有安全的通信信道，數(shù)據(jù)庫(kù)與讀寫器之間的通信信道是可信的，與此同時(shí)，而讀寫器與標(biāo)簽之間的通信信道是不安全的。另外，在認(rèn)證過程運(yùn)行之前，假設(shè)原所有者數(shù)據(jù)庫(kù)Dj已為每個(gè)標(biāo)簽Ti分配一個(gè)臨時(shí)的標(biāo)識(shí)符IDold，而Dj也存儲(chǔ)了Ti產(chǎn)生的密鑰ti。

協(xié)議的具體步驟如下所示：

（1）Ri→Ti

讀寫器發(fā)送請(qǐng)求給標(biāo)簽。

（2）Ti→Ri→Di→Dj：M，N

標(biāo)簽首先判斷種子k是否可用，若i為0則代表種子k不可用，需要產(chǎn)生新種子。然后依次計(jì)算ti＝h（ti－1）＝h（h（ti－2））＝…＝hi＋1（k），ti－1＝hi（k），M＝ti⊕ti－1⊕IDold，N＝h（ti‖IDold），同時(shí)將i更新為i－1，再把（M，N）發(fā)送給讀寫器Ri，Ri轉(zhuǎn)發(fā)給新所有者數(shù)據(jù)庫(kù)Di，Di再轉(zhuǎn)發(fā)給原所有者數(shù)據(jù)庫(kù)Dj。

（3）Dj→Di：Ui，ti

收到（M，N）后，Dj把新所有者發(fā)送過來的N 跟原所有者數(shù)據(jù)庫(kù)中存儲(chǔ)的h（ti‖IDold）匹配，若h（ti‖IDold）＝N，則找到相應(yīng)的ti和IDold。計(jì)算ti－1＝M ⊕ti⊕IDold并驗(yàn)證h（ti－1）是否等于ti，若相等，則標(biāo)簽Ti認(rèn)證通過，是一個(gè)合法的標(biāo)簽，然后Dj把Ui和ti通過安全信道發(fā)送給Di，并產(chǎn)生新的標(biāo)簽標(biāo)識(shí)符ID’，同時(shí)將ti更新為ti－1，IDold更新為ID’，而這時(shí)Di已經(jīng)獲得了標(biāo)簽Ti的所有權(quán)授權(quán)。相反，Dj停止協(xié)議過程，所有權(quán)轉(zhuǎn)移過程未通過。

（4）Di→Ri→Ti：O，P，Q

為了更新標(biāo)簽Ti的密鑰并驗(yàn)證讀寫器是否合法，Di計(jì)算O＝M ⊕ti，然后選擇一個(gè)隨機(jī)數(shù)si，再計(jì)算P＝si⊕（ti＞＞l／2），Q＝IDnew⊕（si＞＞l／4），再把O，P 和Q 發(fā)送給Ri，然后轉(zhuǎn)發(fā)給Ti。

（5）Ti→Ri→Di：S

接收到O，P 和Q 后，標(biāo)簽Ti計(jì)算h（O ⊕IDold），若它跟ti相等則完成認(rèn)證，并計(jì)算出si＝P ⊕（ti＞＞l／2），IDnew＝Q ⊕（si＞＞l／4），然后產(chǎn)生一個(gè)新的種子k’和它的使用次數(shù)i’，計(jì)算t1’＝hi’＋1（k’），S＝ti’⊕（si＞＞l／2），把S 發(fā)送給Ri后再轉(zhuǎn)發(fā)給Di。

（6）Di→Ri→Ti：response

新所有者數(shù)據(jù)庫(kù)Di通過異或運(yùn)算得出ti’，同時(shí)進(jìn)行更新操作，ti←ti’，并發(fā)送response。

（7）標(biāo)簽Ti

收到response后，進(jìn)行更新操作，k←k’，i←i’，IDold←IDnew。

協(xié)議具體過程如圖2所示。

圖2 新提出的方案

4 安全分析與性能分析

4.1 安全分析

新協(xié)議詳細(xì)的安全分析如下所示：

（1）重放攻擊（RA）：新協(xié)議具有抵抗重放攻擊的能力。假設(shè)攻擊者甚至是Di使用舊的消息（M，N）進(jìn)行訪問，認(rèn)證也不會(huì)成功通過。因?yàn)榇藭r(shí)原所有者數(shù)據(jù)庫(kù)中的ti已經(jīng)更新為ti－1，而攻擊者是無法得知ti－1的，甚至是已經(jīng)獲得ti的新所有者也無法計(jì)算出ti－1?？v使ti＝h（ti－1），但是哈希函數(shù)的單向性限制了ti－1的獲取。因此，新協(xié)議能抵抗重放攻擊。

（2）異步攻擊（DoS）：在舊協(xié)議中，Di發(fā)送消息（P，Q）后會(huì)對(duì)自己的公私鑰進(jìn)行更新，若攻擊者對(duì) （P，Q）進(jìn)行截取，標(biāo)簽會(huì)因消息的阻斷而停止更新，從而造成異步問題。在新協(xié)議中，標(biāo)簽只有在收到消息（O，P，Q）后才會(huì)生成新種子k’和新密鑰ti’，但此時(shí)并不會(huì)立刻對(duì)密鑰進(jìn)行更新操作，它首先會(huì)將S＝ti’⊕（si＞＞l／2）發(fā)送給對(duì)方，對(duì)方只有得到ti’后才會(huì)對(duì)密鑰進(jìn)行更新，并發(fā)送響應(yīng)給標(biāo)簽，而標(biāo)簽在收到響應(yīng)后才會(huì)對(duì)密鑰進(jìn)行更新。如果攻擊者阻止了消息O，P，Q 或者S 的發(fā)送，由于此時(shí)雙方都沒有對(duì)密鑰進(jìn)行更新，所以不會(huì)造成任何的異步問題，而接收方會(huì)要求發(fā)送方將數(shù)據(jù)重發(fā)。由于標(biāo)簽只會(huì)在收到對(duì)方的更新響應(yīng)之后才會(huì)對(duì)自己的密鑰進(jìn)行更新，即使response被阻止發(fā)送，標(biāo)簽也可根據(jù)響應(yīng)的時(shí)間自動(dòng)對(duì)密鑰更新，這樣兩邊的密鑰就再次同步，并不會(huì)產(chǎn)生因更新不一致而造成的異步問題。

（3）中間人攻擊（MITM）：由于讀寫器與標(biāo)簽之間的傳輸信道是不安全的，這樣的話所有攻擊者都可以獲得或者是篡改消息（M，N），（O，P，Q）和S。即使攻擊者對(duì)消息進(jìn)行篡改，但是哈希函數(shù)的單向安全性阻止了ti－1的獲取，同時(shí)攻擊者也很難找到一個(gè)相應(yīng)的ti－1滿足等式h（ti－1）＝ti使得認(rèn)證通過。

（4）可證安全（PS）：可以看出，新的所有權(quán)轉(zhuǎn)移協(xié)議很大程度上取決于哈希函數(shù)的單向安全性，而哈希函數(shù)的單向安全性是可證安全的。

（5）前向隱私（FP）：新協(xié)議能夠保護(hù)Ti原所有者的隱私。就算新所有者在轉(zhuǎn)移過后能夠從原所有者中獲得標(biāo)簽存儲(chǔ)的業(yè)務(wù)數(shù)據(jù)Ui和密鑰ti，由于原所有者會(huì)將密鑰ti更新為ti－1，IDold更新為ID’，新所有者甚至標(biāo)簽也不能獲得原所有者的隱私，因?yàn)樾滤姓卟荒軓膖i中求得ti－1，而標(biāo)簽也無法得知ID’，只有同時(shí)知道ti－1和ID’才有機(jī)會(huì)獲取原所有者的信息，兩者缺一不可，可見前向隱私得到保障。

（6）后向隱私（BP）：新協(xié)議可以保護(hù)Ti新所有者的隱私。因?yàn)檗D(zhuǎn)移后，標(biāo)簽會(huì)重新選擇一個(gè)種子，再把新密鑰ti’發(fā)送給新所有者。而攻擊者，甚至原所有者都不能識(shí)別這過程，因?yàn)樗麄儾荒艿弥狣i產(chǎn)生的隨機(jī)數(shù)si。即使原所有者仍保留著標(biāo)簽的密鑰ti，甚至破解了ti的移位方式，求出一個(gè)猜測(cè)的si。原所有者也無法確認(rèn)這個(gè)猜測(cè)si的正確性，原因是他并不知道IDnew和si的移位方式。而在攻擊者破解移位方式的這段時(shí)間里，標(biāo)簽的密鑰ti’可能由于認(rèn)證的關(guān)系已經(jīng)進(jìn)行了數(shù)次的更新操作，因此攻擊者也無法得知此時(shí)標(biāo)簽的密鑰ti’。要獲得新所有者的隱私，攻擊者必須掌握標(biāo)簽的密鑰ti’和標(biāo)簽對(duì)于新所有者的身份標(biāo)識(shí)IDnew，正是這雙重的保護(hù)使得新所有者的隱私不會(huì)被侵犯。

通過分析參考文獻(xiàn)［4］中關(guān)于安全性和隱私性對(duì)比的數(shù)據(jù)，本文比較了新協(xié)議、金永明等人提出的協(xié)議和其它已知的協(xié)議［5，6，8］，得出了新的所有權(quán)轉(zhuǎn)移協(xié)議安全性和隱私性對(duì)比，見表1?？梢?，新協(xié)議除了能抵抗重放攻擊、異步攻擊、中間人攻擊外，還能保護(hù)前向隱私和后向隱私。

表1 所有權(quán)轉(zhuǎn)移協(xié)議的安全性與隱私性比較

4.2 性能分析

在原協(xié)議中，Dj為了查找滿足認(rèn)證條件的ti或者vi，需要對(duì)它們每一個(gè)進(jìn)行N ＝［（M ⊕ti）2mod n］t或者是N＝［（M ⊕vi）2mod n］t計(jì) 算。而在新協(xié)議中，Dj只需要進(jìn)行一些哈希操作和異或運(yùn)算去查找滿足認(rèn)證條件的密鑰，與原協(xié)議中指數(shù)模冪運(yùn)算相比，新協(xié)議中對(duì)標(biāo)簽認(rèn)證的計(jì)算量較低。除此之外，原協(xié)議中的Dj需要從頭到尾地在數(shù)據(jù)庫(kù)中查找相應(yīng)滿足認(rèn)證條件的ti或vi，若所找的記錄在較后的位置或者在末端的話，認(rèn)證效率會(huì)很低。而在新協(xié)議里，這個(gè)問題將得到很好的解決，只需將Di發(fā)送過來的N 與存儲(chǔ)在數(shù)據(jù)庫(kù)中的h（ti‖IDold）進(jìn)行匹配就能快速找到相應(yīng)的記錄，大大提高對(duì)標(biāo)簽的認(rèn)證效率。

而對(duì)于標(biāo)簽的計(jì)算量，新協(xié)議的性能也會(huì)比原協(xié)議較佳。對(duì)于每一次的認(rèn)證，新協(xié)議中的標(biāo)簽需要進(jìn)行數(shù)次的哈希操作和異或運(yùn)算。而在原協(xié)議中，每輪認(rèn)證標(biāo)簽需要計(jì)算N’＝r2Tmod n 以及進(jìn)行數(shù)次異或運(yùn)算，如果對(duì)于一些低成本標(biāo)簽的話，這個(gè)計(jì)算量是比較大的。另外，新協(xié)議在一些特定的環(huán)境里效率還能再提高，比如說在不發(fā)生所有權(quán)轉(zhuǎn)移而需要對(duì)標(biāo)簽進(jìn)行反復(fù)認(rèn)證的場(chǎng)合。因?yàn)閷?duì)于多次的認(rèn)證，每輪認(rèn)證過后標(biāo)簽需要進(jìn)行的哈希操作都會(huì)減少，如第一輪需要計(jì)算ti－1和ti，而第二輪就只需要計(jì)算ti－2和ti－1了，如果認(rèn)證次數(shù)比較大的話，效率是非常可觀的。

此外，與金永明等人提出的協(xié)議相比，本方案不需要在標(biāo)簽中存儲(chǔ)密鑰ti，但需要存儲(chǔ)用來計(jì)算密鑰ti的種子k和它的使用次數(shù)i。一般來說，k 和i 不會(huì)太大，它們的存儲(chǔ)空間約與原協(xié)議中存儲(chǔ)的密鑰ti相當(dāng)。另外，比較新協(xié)議標(biāo)簽存儲(chǔ)的身份標(biāo)識(shí)符IDold和原協(xié)議中的n，由于n 是用來計(jì)算SQUASH 密文的，一般來說比較大，也就是說就存儲(chǔ)空間而言n＞IDold?？梢?，新協(xié)議在標(biāo)簽的存儲(chǔ)性能上也占了一點(diǎn)點(diǎn)優(yōu)勢(shì)。

通過分析參考文獻(xiàn)［4］中關(guān)于性能上比較的數(shù)據(jù)，本文對(duì)比了新協(xié)議、金永明等人提出的協(xié)議和其它已知的協(xié)議［5，6，8］，得出了新的所有權(quán)轉(zhuǎn)移協(xié)議的性能對(duì)比，見表2。這里h指的是哈希操作的次數(shù)；a 指的是異或運(yùn)算的次數(shù)；b指的是右循環(huán)移位運(yùn)算的次數(shù)；l是密鑰的長(zhǎng)度；t是交換密文的長(zhǎng)度；j是金永明等人提出協(xié)議中n 的比特?cái)?shù)；i是種子k 的使用次數(shù)；i’是新種子k’的使用次數(shù)；x 是k的比特?cái)?shù)；y 是IDold的比特?cái)?shù)。為了方便對(duì)比，考慮到i的比特?cái)?shù)基本上可忽略，因此不帶入到TS中。

表2 所有權(quán)轉(zhuǎn)移協(xié)議的性能比較

從表2可以看出，尤其在所有權(quán)轉(zhuǎn)移發(fā)生之前，新協(xié)議在標(biāo)簽計(jì)算量方面比原協(xié)議優(yōu)勝。而在標(biāo)簽的存儲(chǔ)量方面，由于l近似于x，但j遠(yuǎn)遠(yuǎn)比y 大，所以新協(xié)議在存儲(chǔ)性能方面也較好。至于通信量方面，新協(xié)議與原協(xié)議相差不大。

4.3 實(shí)驗(yàn)對(duì)比

下面本文從實(shí)驗(yàn)上比較了新協(xié)議與金永明等人提出協(xié)議在Dj的認(rèn)證代價(jià)，Di的計(jì)算代價(jià)以及標(biāo)簽Ti的計(jì)算代價(jià)方面的異同。本實(shí)驗(yàn)是在Intel（R）Core（TM）i3CPU＠2.93GHz處理器，4GB RAM，操作系統(tǒng)為Windows 7的計(jì)算機(jī)下面完成的，而數(shù)據(jù)庫(kù)建立在Microsoft SQL Server 2008R2中。

如圖3所示，新協(xié)議在Dj的認(rèn)證代價(jià)方面更為優(yōu)勝，尤其是當(dāng)標(biāo)簽在較后的位置時(shí)，新協(xié)議所需要的查找認(rèn)證時(shí)間較少。這里橫坐標(biāo)指的是標(biāo)簽記錄在數(shù)據(jù)庫(kù)中的位置，而縱坐標(biāo)表示認(rèn)證的代價(jià)（用毫秒表示）。

圖3 Dj 的認(rèn)證代價(jià)

如圖4所示，新協(xié)議在Di的計(jì)算代價(jià)方面低于原協(xié)議。這里橫坐標(biāo)表示認(rèn)證的次數(shù)，而縱坐標(biāo)表示計(jì)算的代價(jià)（用毫秒表示）。

圖4 Di 的計(jì)算代價(jià)

如圖5所示，新協(xié)議在標(biāo)簽Ti的計(jì)算代價(jià)方面同樣比原協(xié)議好。這里橫坐標(biāo)表示認(rèn)證的次數(shù)，而縱坐標(biāo)表示計(jì)算的代價(jià)（用毫秒表示）。

5 結(jié)束語(yǔ)

圖5 Ti 的計(jì)算代價(jià)

本文針對(duì)金永明等人提出的基于SQUASH 的所有權(quán)轉(zhuǎn)移協(xié)議進(jìn)行了研究，對(duì)其方案作了一系列的改進(jìn)和調(diào)整，并在它的基礎(chǔ)上提出了一個(gè)新的所有權(quán)轉(zhuǎn)移協(xié)議。新協(xié)議除了解決原協(xié)議中存在的安全問題外，還提高了認(rèn)證效率，消除了一些潛在的安全隱患。此外，新協(xié)議還能夠滿足所有權(quán)轉(zhuǎn)移過程中必要的安全和隱私條件，具備抵抗一些主流攻擊的能力，如重放攻擊、異步攻擊、中間人攻擊等等，并且能夠保護(hù)新所有者和原所有者雙方的隱私不被侵犯。

［1］Shucheng Y，Kui R，Wenjing L.A privacy－preserving lightweight authentication protocol for low－cost RFID tags ［C］／／Military Communications Conference，2007.

［2］ZHOU Yongbin，F(xiàn)ENG Dengguo.Design and analysis of cryptographic protocols for RFID ［J］.Chinese Journal of Computers，2006，29 （4）：581－589 （in Chinese）. ［周永彬，馮登國(guó).RFID安全協(xié)議的設(shè)計(jì)與分析 ［J］.計(jì)算機(jī)學(xué)報(bào)，2006，29 （4）：581－589.］

［3］DING Zhenhua，LI Jintao，F(xiàn)ENG Bo.Research on Hashbased RFID security authentication protocol ［J］.Journal of Compu－ter Research and Development，2009，46 （4）：5 83－592（inChinese）.［丁振華，李錦濤，馮波.基于Hash函數(shù)的RFID安全認(rèn)證協(xié)議研究 ［J］.計(jì)算機(jī)研究與發(fā)展，2009，46 （4）：583－592.］

［4］JIN Yongming，SUN Huiping，GUAN Zhi，et al.Ownership transfer protocol for RFID tag ［J］.Journal of Computer Research and Development，2011，48 （8）：1400－1405 （in Chinese）.［金永明，孫惠平，關(guān)志，等.RFID 標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議研究 ［J］.計(jì)算機(jī)研究與發(fā)展，2011，48 （8）：1400－1405.］

［5］Fouladgar S.An efficient delegation and transfer of ownership protocol for RFID tags［C］／／1st Int EURASIP Workshop on RFID Technology.Piscataway，NJ：IEEE，2007：10－14.

［6］Jappinen P，Hamalainen H.Enhanced RFID security method with ownership transfer［C］／／Proc of Int Conf on Computational Intelligence and Security.Piscataway， NJ：IEEE，2008：382－385.

［7］Kulseng L，Yu Zhen，Wei Yawen，et al.Lightweight mutual authentication and ownership transfer for RFID systems［C］／／Proc of the 29th Conf on Computer Communications IEEE INFOCOM.Piscataway，NJ：IEEE，2010：1－5.

［8］Song B.RFID tag ownership transfer［C／OL］／／the Conf on RFID Security.http：／／event.iaik.tugraz.at／RFIDSec08／Papers，2008.

［9］MA Changshe.Low cost RFID authentication protocol with forward privacy ［J］.Chinese Journal of Computers，2011，34（8）：1387－1398 （in Chinese）. ［馬昌社.前向隱私安全的低成本RFID認(rèn)證協(xié)議 ［J］.計(jì)算機(jī)學(xué)報(bào)，2011，34 （8）：1387－1398.］

［10］LI Huixian.Design and analysis of the light－weight mutual authentication protocol for RFID ［J］.Journal of Xidian University，2012，39 （1）：172－178 （in Chinese）.［李慧賢.輕量級(jí)RFID雙向認(rèn)證協(xié)議設(shè)計(jì)與分析 ［J］.西安電子科技大學(xué)學(xué)報(bào)，2012，39 （1）：172－178.］