基于隨機(jī)排列函數(shù)的RFID 標(biāo)簽所有權(quán)轉(zhuǎn)換協(xié)議

賀 蕾，甘 勇，尹毅峰，金松河

(鄭州輕工業(yè)學(xué)院計(jì)算機(jī)與通信工程學(xué)院，河南鄭州450002)

0 引言

無(wú)線射頻識(shí)別技術(shù)(Radio Frequency Identification，RFID)是一種無(wú)需被識(shí)別物品在可視范圍內(nèi)就能進(jìn)行自動(dòng)識(shí)別的技術(shù).一個(gè)典型的RFID系統(tǒng)通常由標(biāo)簽、讀寫器和后端數(shù)據(jù)庫(kù)組成.標(biāo)簽所附的物品在其生存期內(nèi)大多需要經(jīng)歷多個(gè)所有者，當(dāng)物品在不同所有者之間進(jìn)行流通時(shí)，需要進(jìn)行所有權(quán)的轉(zhuǎn)換.相應(yīng)地，物品上所附的標(biāo)簽也要進(jìn)行所有權(quán)轉(zhuǎn)換.標(biāo)簽所有權(quán)轉(zhuǎn)換協(xié)議除了要滿足認(rèn)證協(xié)議所需滿足的安全性以外，還要能提供標(biāo)簽信息的前向安全和后向安全.前者指的是新所有者不能依據(jù)自己掌握的機(jī)密信息獲得標(biāo)簽與原所有者共享的機(jī)密信息，后者指的是原所有者不能獲取標(biāo)簽與新所有者之間共享的機(jī)密信息.

1 相關(guān)工作

Zhou等［1］提出了一種包含原所有者、新所有者、標(biāo)簽、第三方物流(Third Party Logistics，TPL)和可信第三方(Trusted Third Party，TTP)的所有權(quán)轉(zhuǎn)換協(xié)議.該協(xié)議不能抵御去同步化攻擊.Jia等［2］所提出的所有權(quán)轉(zhuǎn)換協(xié)議通過(guò)改變標(biāo)簽密鑰的方式達(dá)到所有權(quán)轉(zhuǎn)換的目的，但該協(xié)議不能抵御跟蹤攻擊.Song［3］提出了一種所有權(quán)轉(zhuǎn)換協(xié)議.Wang［4］對(duì)該協(xié)議分析后設(shè)計(jì)了一種攻擊方案，破壞了標(biāo)簽信息的前向安全.Kapoor等［5］提出了一個(gè)有TTP和一個(gè)沒有TTP的所有權(quán)轉(zhuǎn)換協(xié)議，這兩個(gè)協(xié)議都需要使用對(duì)稱密鑰密碼算法，計(jì)算量較大.

2 協(xié)議描述

2.1 初始化階段

在初始化階段，標(biāo)簽和所有者共享3個(gè)機(jī)密信息，分別是標(biāo)簽的身份標(biāo)識(shí)ID、密鑰ki和秘密值sj.其中，下標(biāo)i和j分別表示這是標(biāo)簽與所有者共享的第i個(gè)密鑰和第j個(gè)秘密值.在本協(xié)議中，標(biāo)簽中內(nèi)置了兩個(gè)輕量級(jí)的隨機(jī)排列函數(shù)，分別用F和P表示.其中，F(xiàn)函數(shù)是與所有者共享的隨機(jī)排列函數(shù)，可以用線性反饋移位寄存器(Linear Feedback Shift Register，LFSR)［6］實(shí)現(xiàn)，P函數(shù)則基于物理不可克隆函數(shù)(Physical Unclonable Function，PUF)［7］進(jìn)行構(gòu)建.利用 LFSR 可以構(gòu)建具有較好統(tǒng)計(jì)特性的偽隨機(jī)排列函數(shù)，如果該偽隨機(jī)排列的種子值是秘密的，則其輸出序列是無(wú)法預(yù)測(cè)的.PUF的輸出排列中由于嵌入了標(biāo)簽的物理信息，因而具有唯一性、不可克隆性、不可預(yù)測(cè)性和防篡改等安全屬性.

2.2 協(xié)議流程

筆者提出的標(biāo)簽所有權(quán)轉(zhuǎn)換協(xié)議見圖1.

圖1 標(biāo)簽所有權(quán)轉(zhuǎn)換協(xié)議Fig.1 Ownership transfer protocol of RFID tag

(1)標(biāo)簽的原所有者發(fā)送所有權(quán)轉(zhuǎn)換請(qǐng)求OTR(Ownership Transfer Request)和一個(gè)隨機(jī)數(shù)r1給標(biāo)簽，即{OTR，r1}.

(2)標(biāo)簽收到消息后生成隨機(jī)數(shù)r2，并發(fā)送{r1，r2，F(xiàn)(OTR，ID，r1，r2)}給原所有者.

(3)原所有者收到標(biāo)簽發(fā)來(lái)的消息后，通過(guò)在數(shù)據(jù)庫(kù)中搜索是否存在適當(dāng)?shù)腎D，使其滿足F(OTR，ID，r1，r2)，以此來(lái)判斷該消息是否是需要進(jìn)行所有權(quán)轉(zhuǎn)換的標(biāo)簽發(fā)來(lái)的消息.若不是，則協(xié)議終止;若是，則通過(guò)對(duì)標(biāo)簽的認(rèn)證，發(fā)送{OTR，r1，r2，F(xiàn)(OTC，r1，r2，ID，ki)}給標(biāo)簽.其中，OTC表示所有權(quán)轉(zhuǎn)換命令(Ownership Transfer Command).

(4)標(biāo)簽用自己的ID和密鑰驗(yàn)證收到的F(OTC，r1，r2，ID，ki)是否正確.若不正確，則協(xié)議終止.若正確，則計(jì)算 s(j+1)=P(sj)，k(i+1)=F(s(j+1))，發(fā)送{r1，r2，F(xiàn)(SUC，ki，r1，r2)⊕s(j+1)，F(xiàn)(r1，r2，s(j+1))}.其中，SUC 表示機(jī)密信息更新命令(Secret Update Command，SUC)，符號(hào)“”表示異或運(yùn)算.

(5)原所有者收到標(biāo)簽發(fā)來(lái)的消息后，用檢索到的標(biāo)簽ID所對(duì)應(yīng)的密鑰計(jì)算出F(SUC，ki，r1，r2)，進(jìn)而求出 s(j+1)，并用收到的 F(r1，r2，s(j+1))檢查計(jì)算出的s(j+1)是否正確，再由k(i+1)=F(s(j+1))計(jì)算出 k(i+1).原所有者發(fā)送{r1，r2，F(xiàn)(US，k(i+1)，r1，r2)}給標(biāo)簽，其中 US(Update Success)為更新成功標(biāo)識(shí).

(6)標(biāo)簽收到所有者發(fā)來(lái)的消息后，檢查收到的F(US，k(i+1)，r1，r2)是否正確.若不正確，則協(xié)議終止;若正確，則發(fā)送{r1，r2，F(xiàn)(UC，k(i+1)，r1，r2)}給原所有者，其中 UC(Update Completed)為更新結(jié)束標(biāo)識(shí).

(7)若原所有者長(zhǎng)時(shí)間未收到標(biāo)簽發(fā)來(lái)的更新結(jié)束消息，則從步驟1開始重新執(zhí)行協(xié)議.若原所有者收到標(biāo)簽發(fā)來(lái)的更新結(jié)束消息，并確認(rèn)該消息正確，則表明信息更新結(jié)束.原所有者通過(guò)安全的信道將密鑰k(i+1)和秘密值s(j+1)發(fā)送給新所有者.

(8)新所有者收到原所有者發(fā)來(lái)的消息后，在原所有者的通信范圍之外與標(biāo)簽進(jìn)行通信.生成隨機(jī)數(shù) r3和標(biāo)簽的新身份標(biāo)識(shí) IDnew，發(fā)送{OOC，r3，F(xiàn)(OOC，r3，k(i+1)，s(j+1))，F(xiàn)(r3，s(j+1))IDnew}給標(biāo)簽.其中，OOC(Ownership Obtain Command)為所有權(quán)獲取命令.

(9)標(biāo)簽根據(jù)OOC確定收到的消息是新所有者請(qǐng)求獲取所有權(quán)的消息，用自己存儲(chǔ)的{k(i+1)，s(j+1)}驗(yàn)證 F(OOC，r3，k(i+1)，s(j+1))是否正確.若不正確，則協(xié)議終止.若正確，則通過(guò)對(duì)所有者的認(rèn)證.標(biāo)簽求出新所有者為標(biāo)簽分配的新的身份標(biāo)識(shí) IDnew，生成隨機(jī)數(shù) r4，標(biāo)簽計(jì)算s(j+2)=P(s(j+1))，k(i+2)=F(k(i+1)，s(j+2))，發(fā)送{r3，r4，F(xiàn)(r3，r4，k(i+1))⊕ s(j+2)，F(xiàn)(r3，r4，k(i+2))IDnew}.

(10)新所有者計(jì)算出F(r3，r4，k(i+1))，進(jìn)而得到s(j+2)，并由 k(i+2)=F(k(i+1)，s(j+2))得到新密鑰 k(i+2).計(jì)算 F(r3，r4，k(i+2))，以得到 IDnew，確定標(biāo)簽獲得了正確的IDnew.若標(biāo)簽獲得的IDnew不正確，則返回步驟8重新開始.

3 協(xié)議安全性分析

筆者采用GNY邏輯對(duì)協(xié)議的安全性進(jìn)行分析.為了分析的方便，假設(shè)只有標(biāo)簽與所有者之間的信道是不安全的.本節(jié)所采用的表述方式和推理規(guī)則遵照文獻(xiàn)［8-9］中的相關(guān)內(nèi)容.

3.1 形式化表述

對(duì)協(xié)議流程按照GNY邏輯的要求進(jìn)行形式化表述，其中QO表示原所有者(Quondam Owner，QO)，NO 表示新所有者(New Owner，NO)，T 表示標(biāo)簽.為了研究的方便，考慮到F函數(shù)和Hash函數(shù)在本協(xié)議中所起的作用類似，故在進(jìn)行GNY分析時(shí)用Hash函數(shù)代替F函數(shù).

3.2 初始化假設(shè)

3.3 證明目標(biāo)

G1

:QO|≡T?ID(由M2，A1，I3，I6得G1)

G2:T|≡QO?ki(由 M3，A2，I3，I6得 G2)

類似地，可以得到G3，G4，G5.

G3:T|≡QO?k(i+1)

G4:QO|≡T?k(i+1)

G5:T|≡NO?k(i+1)

從以上分析過(guò)程可以看出，標(biāo)簽與原所有者進(jìn)行了雙向認(rèn)證，互相確認(rèn)了對(duì)方的身份.同時(shí)，對(duì)存儲(chǔ)的密鑰進(jìn)行了更新，保護(hù)了機(jī)密信息的前向安全.

G7:NO|≡T～ s(j+2)(由 M8，A3，I1得G7)

從以上分析過(guò)程可以看出，新所有者與標(biāo)簽協(xié)商出了新的共享密鑰k(i+2)，保護(hù)了標(biāo)簽信息的后向安全，并且為標(biāo)簽分配了新的身份標(biāo)識(shí)、抵御了跟蹤攻擊.

對(duì)于去同步化攻擊，在原所有者與標(biāo)簽的通信過(guò)程中，標(biāo)簽首先更新密鑰.若遭到去同步化攻擊，原所有者可以使用標(biāo)簽的ID和密鑰重新執(zhí)行協(xié)議.在新所有者與標(biāo)簽的通信過(guò)程中，若遭到去同步化攻擊，新所有者可以再次發(fā)送含OOC的消息給標(biāo)簽，以重新進(jìn)行信息同步.因此，該協(xié)議能夠抵御去同步化攻擊.

將筆者所提出的協(xié)議與部分現(xiàn)有研究成果進(jìn)行對(duì)比，可以發(fā)現(xiàn)筆者所提出的協(xié)議具有較好的安全性，如表1所示.

表1 與現(xiàn)有部分研究成果的安全性對(duì)比Tab.1 Com parison with other research results

4 協(xié)議仿真實(shí)現(xiàn)

在Linux系統(tǒng)中對(duì)筆者所提出的協(xié)議和其他研究人員所提出的研究成果進(jìn)行了仿真實(shí)現(xiàn)，所用計(jì)算機(jī)的CPU為3.2 GHz，內(nèi)存為2.0 GB.通過(guò)仿真實(shí)現(xiàn)，主要獲取了標(biāo)簽進(jìn)行計(jì)算所消耗的時(shí)間等實(shí)驗(yàn)數(shù)據(jù)，并進(jìn)行了對(duì)比，如圖2所示，單位為微秒.從圖2可以看出，與其他研究成果相比，筆者所提出的所有權(quán)轉(zhuǎn)換協(xié)議中標(biāo)簽所消耗的計(jì)算時(shí)間較短，適用于低成本的標(biāo)簽.

5 結(jié)論

圖2 不同研究成果中標(biāo)簽計(jì)算消耗時(shí)間Fig.2 Cost time by tag in different research results

筆者提出了一種標(biāo)簽所有權(quán)轉(zhuǎn)換協(xié)議，該協(xié)議使用了基于LFSR和PUF的輕量級(jí)隨機(jī)排列函數(shù).原所有者與標(biāo)簽進(jìn)行認(rèn)證和密鑰更新后，將更新后的機(jī)密信息發(fā)送給新所有者，以保護(hù)標(biāo)簽信息的前向安全.新所有者再次與標(biāo)簽進(jìn)行認(rèn)證和機(jī)密信息更新，以保護(hù)標(biāo)簽信息的后向安全.使用GNY邏輯對(duì)協(xié)議安全性進(jìn)行了分析，該協(xié)議能夠抵御重放攻擊、中間人攻擊、去同步化攻擊，并能保護(hù)標(biāo)簽附著物的位置隱私.對(duì)協(xié)議進(jìn)行了仿真實(shí)現(xiàn)，獲取了標(biāo)簽計(jì)算時(shí)間等數(shù)據(jù).通過(guò)與其他協(xié)議的數(shù)據(jù)進(jìn)行對(duì)比發(fā)現(xiàn)，筆者所提出的協(xié)議中標(biāo)簽的計(jì)算時(shí)間比其他協(xié)議的計(jì)算時(shí)間短，更適合用于低成本RFID標(biāo)簽.

［1］ ZHOUWei，YOON E J，PIRAMUTHU S.Varying levels of RFID tag ownership in supply chains［C］//On the Move to Meaningful Internet Systems:OTM2011Workshops.Berlin:Springer Berlin Heidelberg，2011:228-235.

［2］ JIA Han，WEN Jun.A novel RFID authentication protocolwith ownership transfer［J］.Lecture Notes in E-lectrical Engineering，2012，122:599-606.

［3］ SONG B.RFID tag ownership transfer［EB/OL］.http://rfidsec2013.iaik.tugraz.at，2008-12-01.

［4］ WANG Shao-hui.Analysis and design of RFID tag ownership transfer protocol［C］//Proceedings of the 2011 International Conference on Informatics，Cybernetics，and Computer Engineering.Berlin:Springer Berlin Heidelberg，2012:229-236.

［5］ KAPOORG，PIRAMUTHU S.Single RFID tag ownership transfer protocols［J］.IEEE Transactions on，Systems，Man，and Cybernetics，Part C:Applications and Reviews.2012，42(2):164-173.

［6］ 楊波.現(xiàn)代密碼學(xué)［M］.北京:清華大學(xué)出版社，2010:15-19.

［7］ 張紫楠，郭淵博.物理不可克隆函數(shù)綜述［J］.計(jì)算機(jī)應(yīng)用，2012，32(11):3115-3120.

［8］ GONG Li，NEEDHAMR，YAHALOMR.Reasoning about belief in cryptographic protocols［C］//1990 IEEE Computer Society Symposium on Research in Security and Privacy.Washington D C:IEEE Computer Society，1990:234-248.

［9］ 李建華，張愛新，薛質(zhì)，等.網(wǎng)絡(luò)安全協(xié)議的形式化分析與驗(yàn)證［M］.北京:機(jī)械工業(yè)出版社，2010:27-33.