RFID標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議研究

杜 旋，郭 崇，姜學(xué)峰，王正敏，李 威

1.杭州師范大學(xué)，杭州 311121

2.浙江中煙工業(yè)有限責(zé)任公司，杭州 310008

3.遼寧工業(yè)大學(xué) 管理學(xué)院，遼寧 錦州 121001

1 引言

無(wú)線射頻技術(shù)（Radio Frequency Identification，RFID）完成了信息的傳輸，實(shí)現(xiàn)了信息傳輸?shù)哪康腫1-3]。開放環(huán)境下的無(wú)線通信是一種不安全的通信系統(tǒng)，容易受到黑客攻擊以及其他各種安全威脅[4-5]。實(shí)際生活應(yīng)用中，經(jīng)常變化所有權(quán)。例如：零售商品過(guò)程中，零售商、批發(fā)商是否還有該商品的歸屬權(quán)問題[6-8]。

針對(duì)該問題，許多專家學(xué)者設(shè)計(jì)出不同的所有權(quán)轉(zhuǎn)移協(xié)議：（1）有基于可信第三方的所有權(quán)轉(zhuǎn)移協(xié)議，比如：文獻(xiàn)[9]。該種方法安全性主要依賴于可信第三方，同時(shí)也增加了通信實(shí)體數(shù)，使得該協(xié)議的應(yīng)用受到一定的局限。（2）無(wú)可信第三方參與的所有權(quán)轉(zhuǎn)移協(xié)議，比如：文獻(xiàn)[10]、文獻(xiàn)[11]。但上述協(xié)議存在一定的安全問題。（3）基于二次剩余定理的所有權(quán)轉(zhuǎn)移協(xié)議，比如：文獻(xiàn)[12]、文獻(xiàn)[13]、文獻(xiàn)[14]。此類協(xié)議安全性依賴于二次剩余定理，該定理的安全性基于數(shù)學(xué)中大數(shù)分解難題，使得采用該算法的協(xié)議計(jì)算量較大。

本文對(duì)文獻(xiàn)[15]中所提出的協(xié)議進(jìn)行詳細(xì)分析，發(fā)現(xiàn)所提協(xié)議無(wú)法抵抗攻擊者發(fā)起的去同步化攻擊。對(duì)協(xié)議進(jìn)行詳細(xì)分析的過(guò)程在第2章中體現(xiàn)；在文獻(xiàn)[15]基礎(chǔ)之上，結(jié)合第2章的詳細(xì)分析，第3章設(shè)計(jì)出能夠抵抗去同步化攻擊的所有權(quán)轉(zhuǎn)移協(xié)議。所提協(xié)議中引入計(jì)數(shù)器count，通過(guò)計(jì)數(shù)器的值來(lái)解決原協(xié)議中存在的去同步化攻擊缺陷問題。

2 針對(duì)所有權(quán)轉(zhuǎn)移協(xié)議的分析

文獻(xiàn)[15]中提出了一種改進(jìn)的超輕量級(jí)RFID所有權(quán)轉(zhuǎn)移協(xié)議，協(xié)議中聲稱可以抵抗去同步化攻擊。但本文研究發(fā)現(xiàn)，文獻(xiàn)[15]中的所有權(quán)轉(zhuǎn)移協(xié)議并不能抵抗去同步化攻擊。具體攻擊過(guò)程如下：

攻擊者通過(guò)監(jiān)聽手段，可以獲得文獻(xiàn)[15]中一個(gè)完整的通信過(guò)程中所有的信息，即：IDS，M，N，P，Q，X，Y。攻擊者在獲得上述信息之后，立刻阻斷前面五步的通信過(guò)程，通過(guò)不斷重放消息Q的手段，可以使得Dj與T之間的共享密鑰失去同步。

第一次重放：攻擊者偽裝成Di給Dj發(fā)送截獲的Q消息。因?yàn)橹罢J(rèn)證Q通過(guò)，因此重放信息Q也一定可以認(rèn)證通過(guò)。重放消息之前，Di中存放的信息如下：si，ti，X，Y，IDSold=IDS，IDSnew=IDS⊕N T⊕NR 。重放消息之后，Di產(chǎn)生隨機(jī)數(shù)Si+1，并計(jì)算ti+1，X1，Y1，同時(shí)更新數(shù)據(jù) IDSold=IDS，IDSnew=IDS⊕NT⊕NR ，令此處的 IDSnew=IDS1，ui=si，vi=ti，si=si+1，ti=ti+1。 Di更新完之后，將會(huì)把 X1、Y1的消息發(fā)送給標(biāo)簽，攻擊者阻斷兩者之間的信息傳輸。

第二次重放：在第一次重放之后，攻擊者截獲到Di傳給標(biāo)簽的X1、Y1。此時(shí)攻擊者阻止該信息傳輸給標(biāo)簽，同時(shí)攻擊者再次重放消息Q。因?yàn)镈i中存放的有本次以及上次認(rèn)證過(guò)程中用到的共享密鑰，因此Q還是可以通過(guò)認(rèn)證。再次重放消息Q以后，Di會(huì)進(jìn)行如下操作：

Di產(chǎn)生隨機(jī)數(shù) Si+2，并計(jì)算 ti+2，X2，Y2；同時(shí)更新數(shù)據(jù) IDSold=IDSnew=IDS1，IDSnew=IDS1⊕NT⊕NR ，令此處的 IDSnew=IDS2，ui=si+1，vi=ti+1，si=si+2，ti=ti+2。 Di更新完之后，將會(huì)把 X2、Y2的消息發(fā)送給標(biāo)簽，攻擊者阻斷兩者之間的信息傳輸。

第三次重放：在第二次重放之后，攻擊者截獲到Di傳給標(biāo)簽的X2、Y2。此時(shí)攻擊者阻止該信息傳輸給標(biāo)簽，同時(shí)攻擊者再次重放消息Q。因?yàn)镈i中存放的有本次以及上次認(rèn)證過(guò)程中用到的共享密鑰，因此Q還是可以通過(guò)認(rèn)證。再次重放消息Q以后，Di會(huì)進(jìn)行如下操作：

Di產(chǎn)生隨機(jī)數(shù) Si+3，并計(jì)算ti+3，X3，Y3；同時(shí)更新數(shù)據(jù) IDSold=IDSnew=IDS2，IDSnew=IDS2⊕NT⊕NR，令此處的 IDSnew=IDS3，ui=si+2，vi=ti+2，si=si+3，ti=ti+3 。 Di更新完之后，將會(huì)把 X3、Y3的消息發(fā)送給標(biāo)簽，攻擊者阻斷兩者之間的信息傳輸。

三次重放攻擊完成之后，攻擊者將原本截獲的消息X、Y傳給標(biāo)簽。因?yàn)樵谇懊娴娜沃胤殴暨^(guò)程中，標(biāo)簽端始終沒有進(jìn)行共享密鑰的更新，因此X和Y肯定可以通過(guò)認(rèn)證；通過(guò)認(rèn)證之后，標(biāo)簽更新共享密鑰，IDS=IDS⊕N T⊕NR，即IDS=IDS1；共享密鑰為ti+1。

分析上面標(biāo)簽端與Di端最終存放的共享密鑰信息可以發(fā)現(xiàn)，兩者之間出現(xiàn)不同步。標(biāo)簽端存放的信息為IDS1、ti+1；Di端存放的信息為IDS3、ti+3。到此為止，攻擊者成功通過(guò)重放攻擊使得Di與標(biāo)簽之間的共享密鑰不再一樣，從而使得后續(xù)的認(rèn)證失敗，因此原協(xié)議無(wú)法抵抗去同步化攻擊。

3 改進(jìn)的標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議

改進(jìn)的協(xié)議中，在S_old端引入消息計(jì)數(shù)器count，通過(guò)計(jì)數(shù)器count的值來(lái)抵抗重放攻擊。計(jì)數(shù)器count用來(lái)記錄消息Q的重放次數(shù)，count的值不存在或?yàn)?，說(shuō)明Q消息是第一次傳輸過(guò)來(lái)；count的值不為0時(shí)，說(shuō)明消息Q可能是重放過(guò)來(lái)的消息。針對(duì)兩種不同的情況，S_old端進(jìn)行的操作不同，不僅可以抵抗重放攻擊，而且也避免了S_old與標(biāo)簽之間的不同步問題。

3.1 符號(hào)說(shuō)明

設(shè)計(jì)的協(xié)議中各符號(hào)的含義：

標(biāo)簽的原所有者用符號(hào)S_old表示；

標(biāo)簽的新所有者用符號(hào)S_new表示；

標(biāo)簽用符號(hào)T表示；

第i個(gè)標(biāo)簽用符號(hào)Ti表示；

第i個(gè)標(biāo)簽的標(biāo)識(shí)符ID的左半部分用符號(hào)IDi_L表示；

第i個(gè)標(biāo)簽的標(biāo)識(shí)符ID的右半部分用符號(hào)IDi_R表示；

標(biāo)簽標(biāo)識(shí)符ID的左半部分用符號(hào)ID_L表示；

標(biāo)簽標(biāo)識(shí)符ID的右半部分用符號(hào)ID_R表示；

標(biāo)簽最開始保存的數(shù)據(jù)用符號(hào)r_x表示；

標(biāo)簽產(chǎn)生的隨機(jī)數(shù)用符號(hào)r1表示；

標(biāo)簽的原所有者生成的隨機(jī)數(shù)用符號(hào)r2表示；

梅森數(shù)用符號(hào)n表示；

密鑰的長(zhǎng)度用符號(hào)L表示；

標(biāo)簽Ti的私鑰用符號(hào)S_i表示；

標(biāo)簽Ti的公鑰用符號(hào)K_i表示，其中K_i=S_i2mod n；

標(biāo)簽Ti上一輪的私鑰用符號(hào)U_i表示；

標(biāo)簽Ti上一輪的公鑰用符號(hào)V_i表示，其中U_i=V_i2mod n；

標(biāo)簽的新所有者生成的隨機(jī)數(shù)用符號(hào)S_i+1表示；

本輪認(rèn)證的公鑰用符號(hào)K_i+1表示，其中K_i+1=S_i+12mod n；

標(biāo)簽的新所有者對(duì)消息Q的計(jì)數(shù)器用符號(hào)count表示；

M,N,P,Q,X,Y：協(xié)議中的通信數(shù)據(jù)；

MIXBITS(a,b)：對(duì)(a,b)進(jìn)行運(yùn)算得到新的隨機(jī)數(shù)；

異或運(yùn)算用符號(hào)⊕表示；

與運(yùn)算用符號(hào)&表示；

[X]L：取[]運(yùn)算結(jié)果的前L位。

3.2 協(xié)議描述

對(duì)圖1中出現(xiàn)的M,N,P,Q,X,Y符號(hào)的說(shuō)明：

M=K_i⊕r1；

N=r2⊕IDi_R；

P=[(r1⊕r2⊕K_i）2mod n]L，表示取[]運(yùn)算結(jié)果的前L位；

Q=[(r1⊕r2⊕ID_R)2mod n]L，表示取[]運(yùn)算結(jié)果的前L位；

X=S_i+1⊕r1⊕IDi_R ；

Y=K_i+1&r1&IDi_R。

圖1 改進(jìn)的協(xié)議

結(jié)合圖1協(xié)議步驟如下：

（1）S_old向T發(fā)出請(qǐng)求命令Request。

（2）T 收到信息后，首先計(jì)算r1=r_x、M=K_i⊕r1的值，然后將ID_L、M發(fā)送給S_old。

（3）S_old收到信息后，第一步是在數(shù)據(jù)庫(kù)中驗(yàn)證ID_L的真?zhèn)巍榧?，協(xié)議停止；反之，第二步是S_old產(chǎn)生一個(gè)隨機(jī)數(shù)r2，然后通過(guò)計(jì)算得到隨機(jī)數(shù)r1。接著再用r1、r2、與IDi_L相對(duì)應(yīng)的IDi_R以及K_i來(lái)計(jì)算 N=r2⊕IDi_R和 P=[(r1⊕r2⊕K_i)2mod n]L，最后將N、P發(fā)送給T。

（4）T收到信息后，第一步是用自身存放的ID_R來(lái)計(jì)算N⊕ID_R得到r2，然后標(biāo)簽驗(yàn)證P的正確性，即

若P′與P不相等，說(shuō)明S_old是偽造的，協(xié)議立刻終止；若P′與P相等，說(shuō)明標(biāo)簽認(rèn)證S_old通過(guò)，然后標(biāo)簽就開始更新數(shù)據(jù)r_x=MIX BITS(r1,r2)。再接著開始計(jì)算Q，最后把Q發(fā)送給S_old。

（5）S_old收到信息后，第一步是驗(yàn)證Q的真假，即

為假，協(xié)議終止；反之，S_old將Q、r1、ID_L的值通過(guò)安全信道一并傳給S_new。

（6）S_new收到信息后，第一步是在數(shù)據(jù)庫(kù)中查找是否存在Q′與Q相等，若存在，并且相對(duì)應(yīng)的計(jì)數(shù)器count的值不為0，說(shuō)明該消息Q之前已傳輸過(guò)來(lái)過(guò)，為了抵抗攻擊者的重放攻擊，S_new執(zhí)行步驟（7）；若不存在，S_new執(zhí)行步驟（8）。

（7）S_new在數(shù)據(jù)庫(kù)中驗(yàn)證ID_L的真?zhèn)?。為假，協(xié)議終止；反之，S_new不做任何更新，直接將上次認(rèn)證過(guò)程中計(jì)算得到的X和Y的值傳給標(biāo)簽。

（8）S_new先將Q的值存放在自己的數(shù)據(jù)庫(kù)中，并且分配相對(duì)應(yīng)的計(jì)數(shù)器，同時(shí)令該計(jì)數(shù)器count的值為1，接著S_new在數(shù)據(jù)庫(kù)中驗(yàn)證ID_L的真?zhèn)巍榧?，協(xié)議終止；反之，S_new生成一個(gè)長(zhǎng)度為L(zhǎng)位的隨機(jī)數(shù)S_i+1，將該值作為當(dāng)前認(rèn)證過(guò)程中的新的私鑰，并計(jì)算K_i+1=S_i+12mod n，計(jì)算完成之后，開始更新數(shù)據(jù) U_i=S_i、V_i=K_i、S_i=S_i+1、K_i=K_i+1，再接著用自身生成的隨機(jī)數(shù)S_i+1、S_old傳輸過(guò)來(lái)的r1、計(jì)算得到的K_i+1、與IDi_L相對(duì)應(yīng)的IDi_R來(lái)計(jì)算 X=S_i+1⊕r1⊕IDi_R、Y=K_i+1&r1&IDi_R，最后把X、Y發(fā)送給T。

（9）T收到信息后，第一步是計(jì)算得到私鑰S_i+1，然后用計(jì)算得到的私鑰S_i+1、自身生成的隨機(jī)數(shù)r1、自身存放的ID_R來(lái)驗(yàn)證Y的正確性，即

若Y′與Y不相等，說(shuō)明S_new是偽造的，協(xié)議立刻終止；若Y′與Y相等，說(shuō)明標(biāo)簽認(rèn)證S_new成功，然后標(biāo)簽開始更新數(shù)據(jù)K_i=Y⊕r2，標(biāo)簽所有權(quán)轉(zhuǎn)移成功。

協(xié)議的改進(jìn)策略主要表現(xiàn)在：新所有者S_new端引入對(duì)消息Q的計(jì)數(shù)器count概念。S_new收到Q消息后，第一步是驗(yàn)證Q的值，即：根據(jù)計(jì)數(shù)器count的值，進(jìn)行不同的操作。count的值為0，表示接收到的Q是第一次傳過(guò)來(lái)；count的值不為0，表示接收到的Q之前已經(jīng)傳過(guò)來(lái)至少一次，為了抵抗攻擊者的重放攻擊及去同步化攻擊，新所有者S_new采取不更新隨機(jī)數(shù)的做法以此來(lái)抵抗攻擊者的攻擊。協(xié)議的改進(jìn)優(yōu)勢(shì)主要表現(xiàn)在：攻擊者無(wú)法通過(guò)重放消息Q使新所有者S_new與標(biāo)簽T之間密鑰失去一致性，使得改進(jìn)的協(xié)議能夠有效地抵抗攻擊者的蓄意的重放攻擊以及去同步化攻擊，保證了協(xié)議通信的安全性及可靠性。

4 結(jié)束語(yǔ)

針對(duì)文獻(xiàn)[15]所提出的協(xié)議中標(biāo)簽的新所有者因無(wú)法抵抗重放消息而導(dǎo)致的去同步化攻擊問題，改進(jìn)的協(xié)議引入對(duì)消息Q的計(jì)數(shù)器count的概念。根據(jù)count的值進(jìn)行不相同的操作，來(lái)解決去同步化攻擊。當(dāng)count的值不存在或?yàn)?的時(shí)候，標(biāo)簽的新所有者才會(huì)產(chǎn)生新的隨機(jī)數(shù)；否則不會(huì)產(chǎn)生隨機(jī)數(shù)，從而可以避免多次接收到消息Q之后不斷產(chǎn)生隨機(jī)數(shù)，使得兩者之間的共享密鑰不同步的問題。