原變青，劉吉強(qiáng)

（北京交通大學(xué) 計(jì)算機(jī)與信息技術(shù)學(xué)院，北京100044）

1 引言

無線射頻識(shí)別（RFID）是一種自動(dòng)識(shí)別和數(shù)據(jù)獲取技術(shù)。通過將RFID標(biāo)簽附著到特定目標(biāo)，如產(chǎn)品、動(dòng)物、人等，讀寫器無需直接接觸目標(biāo)即可實(shí)現(xiàn)對(duì)特定目標(biāo)的識(shí)別和數(shù)據(jù)的搜集。RFID標(biāo)簽具有成本低、讀取距離大、耐磨損、數(shù)據(jù)可加密與修改等優(yōu)點(diǎn)，其應(yīng)用已遍布生產(chǎn)制造、交通運(yùn)輸、批發(fā)零售以及票證管理等多個(gè)領(lǐng)域。在實(shí)際的應(yīng)用中，RFID標(biāo)簽附著的目標(biāo)實(shí)體的所有權(quán)經(jīng)常發(fā)生改變，從而RFID標(biāo)簽的所有權(quán)在其生命期中也需要發(fā)生轉(zhuǎn)移[1]。在 RFID標(biāo)簽所有權(quán)轉(zhuǎn)移過程中，標(biāo)簽的信息安全與隱私問題受到了越來越多學(xué)者們的關(guān)注。

2005年，Molnar等[2]首次提出一個(gè)針對(duì)RFID標(biāo)簽所有權(quán)轉(zhuǎn)移的匿名協(xié)議，該協(xié)議由一個(gè)可信中心（TC）來控制所有的標(biāo)簽信息，要求標(biāo)簽原所有者和新所有者必須相信相同的 TC，這限制了協(xié)議的使用范圍。同年，Osaka等[3]基于散列函數(shù)和對(duì)稱密碼體制提出了一個(gè)高效的所有權(quán)轉(zhuǎn)移協(xié)議。該方案通過在所有權(quán)轉(zhuǎn)移過程中改變對(duì)稱私鑰，實(shí)現(xiàn)了對(duì)標(biāo)簽原所有者和新所有者的保護(hù)。但該方案不能抵抗拒絕服務(wù)攻擊，也不滿足標(biāo)簽的不可追蹤性。2007年，為解決新所有者的隱私保護(hù)問題，F(xiàn)ouladgar和Afifi[4]提出了一個(gè)簡單、高效的支持授權(quán)和所有權(quán)轉(zhuǎn)移的協(xié)議。然而，由于標(biāo)簽每次返回的值可能被敵手獲取，進(jìn)而使敵手成功冒充該標(biāo)簽，因此該方案不能抵抗重放攻擊。此外，標(biāo)簽還有被追蹤的危險(xiǎn)。在2008年的RFIDSec會(huì)議上，Song[5]定義了 RFID標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議的安全和隱私保護(hù)需求，并提出了3個(gè)子協(xié)議：所有權(quán)轉(zhuǎn)移協(xié)議、秘密更新協(xié)議以及授權(quán)恢復(fù)協(xié)議。但經(jīng)多位學(xué)者[6,7]分析，該方案存在諸多安全性問題。隨后，Song等對(duì)該方案進(jìn)行了改進(jìn)，但改進(jìn)后的方案[8]仍不具備后向隱私保護(hù)并且易受到異步攻擊。2011年，金永明等[9]基于SQUASH方案，提出了一種新的輕量級(jí)所有權(quán)轉(zhuǎn)移協(xié)議。該協(xié)議比基于散列的方案具有更高的效率，還優(yōu)化了Song等[5]的所有權(quán)轉(zhuǎn)移協(xié)議。但經(jīng)過分析，在所有權(quán)轉(zhuǎn)移時(shí)，新所有者可以獲得原所有者與標(biāo)簽交互時(shí)共享的公私鑰(si,ti)，這使新所有者在獲得 RFID標(biāo)簽所有權(quán)后還能訪問之前RFID標(biāo)簽與原所有者交互的數(shù)據(jù)，因此該協(xié)議不具備前向隱私保護(hù)。另外，在密鑰更新階段，惡意的原所有者能通過竊取消息P以及之前認(rèn)證階段獲得的隨機(jī)數(shù)rT計(jì)算出ti'，從而可以繼續(xù)訪問標(biāo)簽，因此該協(xié)議也不具備后向隱私保護(hù)。在2011年 RFIDSec會(huì)議上，針對(duì)供應(yīng)鏈中標(biāo)簽所有權(quán)轉(zhuǎn)移存在的安全和隱私問題，Elkhiyaoui等[10]提出了RFID標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議的安全模型并設(shè)計(jì)了一個(gè)可實(shí)現(xiàn)簽發(fā)者驗(yàn)證的標(biāo)簽所有權(quán)轉(zhuǎn)移方案。該方案在標(biāo)簽中存儲(chǔ)簽發(fā)者的簽名，且該簽名可被供應(yīng)鏈中所有參與者進(jìn)行驗(yàn)證。但 Moriyama[11]指出Elkhiyaoui等的安全模型有局限性，如該模型假設(shè)所有權(quán)轉(zhuǎn)移協(xié)議的各參與方均無惡意，這種假設(shè)使得其協(xié)議在現(xiàn)實(shí)中不能提供足夠的隱私保護(hù)。2012年，Kapoor等[12]提出了有可信第三方（TTP）和無TTP的2個(gè)所有權(quán)轉(zhuǎn)移方案。然而，有TTP的所有權(quán)轉(zhuǎn)移方案易受到異步攻擊，而無TTP的所有權(quán)轉(zhuǎn)移方案則存在后向隱私泄漏及易受到拒絕服務(wù)攻擊等安全性問題。2013年，Doss等[13]基于二次剩余理論提出了 2個(gè)標(biāo)簽所有權(quán)轉(zhuǎn)移方案：閉環(huán)方案和開環(huán)方案，但 2個(gè)協(xié)議均需要標(biāo)簽與新舊所有者之間執(zhí)行多次交互且需要在標(biāo)簽上多次執(zhí)行模平方運(yùn)算，嚴(yán)重影響了RFID標(biāo)簽的轉(zhuǎn)移效率。同年，Chen等[14]提出了遵循EPCglobal C1G2標(biāo)準(zhǔn)的標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議，該協(xié)議在標(biāo)簽端僅使用PRNG和CRC操作。然而，該方案易受到拒絕服務(wù)攻擊。

基于可證明安全性理論和方法來進(jìn)行RFID安全協(xié)議的設(shè)計(jì)和分析是近來RFID協(xié)議重要的研究方向，相關(guān)研究也取得了較為豐富的成果[15～17]。通用可組合框架[18]（UC框架）是用于描述和分析并發(fā)環(huán)境下協(xié)議安全性問題的理論框架。許多學(xué)者在通用可組合框架下設(shè)計(jì)和分析了各種RFID協(xié)議[19～22]，但是目前還沒有學(xué)者在該框架下對(duì) RFID標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議進(jìn)行研究。本文首先在通用可組合框架下，形式化定義了RFID標(biāo)簽所有權(quán)轉(zhuǎn)移的理想函數(shù)。然后，提出了一個(gè)新的輕量級(jí) RFID標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議，并證明了新協(xié)議安全地實(shí)現(xiàn)了該理想函數(shù)。

2 RFID標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議模型與安全需求

2.1 交互模型

在RFID系統(tǒng)中有3類實(shí)體：RFID標(biāo)簽、讀寫器和后臺(tái)服務(wù)器。其中，RFID標(biāo)簽具有有限的存儲(chǔ)空間和有限的計(jì)算能力。而后臺(tái)服務(wù)器則具有較強(qiáng)的處理能力，它通過與其連接的讀寫器與 RFID標(biāo)簽進(jìn)行通信。后臺(tái)服務(wù)器中還有一個(gè)數(shù)據(jù)庫，用來存儲(chǔ)它所擁有的RFID標(biāo)簽的信息。不失一般性，本文假設(shè)讀寫器與標(biāo)簽之間存在不安全的通信信道，而讀寫器與后臺(tái)服務(wù)器之間有安全的通信信道。同時(shí)，后臺(tái)服務(wù)器之間也有安全的通信信道。

標(biāo)簽所有權(quán)是指可以識(shí)別標(biāo)簽并控制與標(biāo)簽有關(guān)的所有信息的能力。標(biāo)簽所有權(quán)轉(zhuǎn)移意味著新所有者接管了標(biāo)簽的管理權(quán)。由于在分析RFID標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議時(shí)，通常將后臺(tái)服務(wù)器和讀寫器看作一個(gè)整體，即視二者為一個(gè)獨(dú)立的通信實(shí)體[5,8,13]。因此，本文提出的協(xié)議涉及到3個(gè)參與方：當(dāng)前所有者服務(wù)器/讀寫器（CS）、新所有者服務(wù)器/讀寫器（NS）和待轉(zhuǎn)移所有權(quán)的標(biāo)簽（T）。標(biāo)簽所有權(quán)轉(zhuǎn)移要經(jīng)歷3個(gè)階段：1）認(rèn)證階段：CS查詢其數(shù)據(jù)庫以確認(rèn)NS讀取的標(biāo)簽為T；2）授權(quán)階段：CS將T的信息傳送給NS，使NS能識(shí)別和讀取T；3）秘密更新階段：NS與T同步更新秘密，安全地實(shí)現(xiàn)T所有權(quán)的轉(zhuǎn)移。

2.2 敵手模型

在RFID標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議中，敵手A的攻擊可以分為對(duì)信道的攻擊和對(duì)參與方的攻擊。對(duì)于信道的攻擊，假設(shè)敵手A能夠完全控制NS與標(biāo)簽T之間的通信信道，可以任意地讀取、刪除、篡改、延遲發(fā)送和重放信道中的任何消息, 也可以在任何時(shí)候發(fā)起與任何參與方的任意會(huì)話。此外，本文暫不討論對(duì)標(biāo)簽的物理攻擊。因此，對(duì)于參與方的攻擊，假定敵手A在協(xié)議執(zhí)行的任何時(shí)候都可以攻陷參與方CS和NS。而對(duì)于攻陷后的實(shí)體，敵手A能夠成功獲取到其內(nèi)部狀態(tài)數(shù)據(jù)。

敵手A攻擊的方法主要有：重放攻擊、異步攻擊、中間人攻擊、假冒攻擊、偽造攻擊和隱私攻擊等。

2.3 安全需求

一個(gè)安全的RFID標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議需要滿足以下安全屬性[5]。

1) 雙向認(rèn)證：在所有權(quán)轉(zhuǎn)移過程中，只有在CS成功認(rèn)證標(biāo)簽T并且標(biāo)簽T也成功認(rèn)證CS后，才能完成所有權(quán)的轉(zhuǎn)移。

2) 標(biāo)簽?zāi)涿裕喝我獾墓粽逜，僅通過截獲CS（或NS）與標(biāo)簽T之間的交互信息，無法獲得標(biāo)簽T的任何身份信息，也無法追蹤到標(biāo)簽T的任何活動(dòng)。

3) 抗異步攻擊：在攻擊者A通過任意手段中斷所有權(quán)轉(zhuǎn)移協(xié)議，使CS（或NS）與標(biāo)簽T的信息同步失敗后，協(xié)議可以保證標(biāo)簽T認(rèn)證的再次成功，并實(shí)現(xiàn)信息的同步。

此外，還需要確保以下隱私需求。

1) 后向隱私保護(hù)：所有權(quán)轉(zhuǎn)移之后，標(biāo)簽T的原所有者CS不能再識(shí)別該標(biāo)簽，也無法訪問該標(biāo)簽和新所有者NS的會(huì)話信息。

2) 前向隱私保護(hù)：所有權(quán)轉(zhuǎn)移之后，標(biāo)簽的新所有者NS不能訪問所有權(quán)轉(zhuǎn)移前標(biāo)簽T與原所有者CS之間的會(huì)話信息。

3 RFID標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議的UC模型

3.1 通用可組合安全

通用可組合框架（UC框架）是由Canetti[18]提出的，該框架下所有的參與方都被抽象為概率多項(xiàng)式時(shí)間的交互式圖靈機(jī)。在該框架下被證明為安全的協(xié)議，不論是與其他協(xié)議并發(fā)運(yùn)行，還是作為任意系統(tǒng)的組件運(yùn)行，協(xié)議仍然安全。

UC框架定義了2種協(xié)議運(yùn)行模型[23]：現(xiàn)實(shí)模型和理想模型。其中，現(xiàn)實(shí)模型表示現(xiàn)實(shí)中協(xié)議的執(zhí)行過程，主要涉及3類參與方：環(huán)境機(jī)Z、執(zhí)行協(xié)議π的多個(gè)參與方｛Pi｝以及現(xiàn)實(shí)敵手A。而理想模型則用來描述密碼協(xié)議的理想運(yùn)行。理想模型中主要涉及的參與方包括環(huán)境機(jī)Z、通過虛擬用戶｛｝與環(huán)境機(jī)Z進(jìn)行交互的理想函數(shù)F以及理想過程敵手S。其中，理想函數(shù)F能夠安全地完成協(xié)議所執(zhí)行的特定功能, 它本質(zhì)上是一個(gè)不可攻陷的可信方。目前，已經(jīng)定義的理想函數(shù)有：認(rèn)證消息傳輸FAUTH、密鑰交換FKE、公鑰加解密FPKE、簽名FSIG、零知識(shí)證明FZK、不經(jīng)意傳輸FOT[24]、基于一次簽名（FOTS）的廣播認(rèn)證（FBAUTH）[25]、可信網(wǎng)絡(luò)連接FTNC[26]和安全定位FSP[27]等。

定義 1如果對(duì)于任意敵手A，存在理想過程敵手S，使環(huán)境機(jī)Z不能以不可忽略的概率區(qū)分它是在與現(xiàn)實(shí)過程中的A和運(yùn)行協(xié)議π的參與方｛Pi｝交互還是在與理想過程中的S和F交互，則稱協(xié)議π安全地實(shí)現(xiàn)了理想函數(shù)F。即

3.2 RFID標(biāo)簽所有權(quán)轉(zhuǎn)移的理想函數(shù)FTRANS

首先，介紹在定義標(biāo)簽所有權(quán)轉(zhuǎn)移理想函數(shù)時(shí)需要使用的變量和指令：sid為會(huì)話標(biāo)識(shí)；Type(P)返回參與方P的類型；指令(Init,sid,P,M)表示參與方P接收到了來自環(huán)境機(jī)Z的消息并開始發(fā)起會(huì)話；指令(Authed,sid,PA,PB,secret)表示參與方PA認(rèn)證了參與方PB，且二者共享的秘密為secret；指令(Transfer,sid,PA,PB,PC)表示參與方PA將PC的所有權(quán)轉(zhuǎn)移給PB；指令(Update,sid,P,secret）表示參與方P更新其秘密為secret；指令(Output,sid,P,secret）表示理想函數(shù)的輸出。

下面基于第2節(jié)描述的協(xié)議模型和安全需求，形式化定義 RFID標(biāo)簽所有權(quán)轉(zhuǎn)移的理想函數(shù)FTRANS。

由于標(biāo)簽T和CS的所屬關(guān)系是標(biāo)簽所有權(quán)轉(zhuǎn)移的前提，因此理想函數(shù)FTRANS使用記錄（CS,T,t,Info(T))來表示這種所有關(guān)系。其中，t為任意隨機(jī)數(shù)，用來標(biāo)識(shí)標(biāo)簽T的動(dòng)態(tài)身份；Info(T)表示標(biāo)簽T的業(yè)務(wù)數(shù)據(jù)。

1) 一旦收到NS發(fā)送的消息(Init,sid,NS,MNS)，傳送(sid, Type(NS),MNS)給敵手S。一旦收到T發(fā)送的消息(Init,sid,T,MT)，傳送（sid, Type(T) ,MT)給敵手S。

2) 一旦收到來自敵手S的消息(Authed,sid,CS,T,k)，檢查記錄(CS,T,t,Info(T))是否存在：

a) 如果記錄不存在，記錄(Authed,sid,CS,T,fail)；

b) 如果記錄存在且k=t，則記錄(Authed,sid,CS,T,success)；

c) 如果記錄存在且k≠t，分 2種情況：如果CS已被攻破，由S決定認(rèn)證結(jié)果；如果CS沒有被攻破，記錄(Authed,sid,CS,T,fail)。

3) 一旦收到來自敵手S的消息(Authed,sid,T,CS,k′)，檢查記錄(CS,T,t,Info(T))是否存在，如果記錄存在且k′=t，那么記錄(Authed,sid,T,CS,success)，否則，記錄(Authed,sid,T,CS,fail)。

4) 一旦收到CS發(fā)送的消息(Transfer,sid,CS,NS,T)，記錄(sid,NS,CS,T)。

5) 一旦收到S發(fā)送的消息(Update,sid,NS,γ），檢查記錄(Authed,sid,CS,T,success)、(Authed,sid,T,CS,success)和(sid,NS,CS,T)是否全部存在：

a) 如果記錄都存在，且NS沒有被攻破，則選擇隨機(jī)數(shù)α，并添加記錄(NS,T,α,Info(T))，然后發(fā)送(Output,sid,NS,α)給NS；

b) 如果記錄都存在，且NS已被攻破，則添加記錄(NS,T,γ,Info(T))，然后發(fā)送(Output,sid,NS,γ)給NS；

c) 如果有一條記錄不存在，則返回失敗。

6) 一旦收到S發(fā)送的消息(Update,sid,T,β)，檢查包含(NS,T)的記錄是否存在：如果記錄存在，并找到記錄(NS,T,χ,Info(T))，則發(fā)送(Output,sid,T,χ)給T，然后刪除記錄(CS,T,t,Info(T))。如果記錄不存在，則返回失敗。

7) 如果在隨機(jī)數(shù)α選擇后，敵手S攻破了NS，則將α發(fā)送給敵手S。

3.3 安全性分析

下面證明理想函數(shù)FTRANS滿足2.3節(jié)中定義的安全需求。

1) 雙向認(rèn)證：在理想環(huán)境下，標(biāo)簽所有者CS對(duì)標(biāo)簽T的認(rèn)證是通過指令(Authed,sid,CS,T,k)來實(shí)現(xiàn)的，而指令(Authed,sid,T,CS,k′)的實(shí)現(xiàn)也確保了標(biāo)簽T對(duì)所有者CS的認(rèn)證。只有當(dāng)2個(gè)認(rèn)證都返回成功時(shí)，也就是記錄(Authed,sid,CS,T,success)、(Authed,sid,T,CS,success)都存在的條件下，F(xiàn)TRANS才會(huì)添加記錄(NS,T,α,Info(T))完成秘密更新，實(shí)現(xiàn)所有權(quán)的轉(zhuǎn)移。

2) 標(biāo)簽?zāi)涿裕簶?biāo)簽的業(yè)務(wù)數(shù)據(jù)Info(T)始終存在于可信環(huán)境下，而認(rèn)證過程中使用的標(biāo)識(shí)t以及更新后的標(biāo)識(shí)α都是隨機(jī)數(shù)，因此敵手通過竊聽不安全信道獲得的信息MNS以及MT，都無法識(shí)別或追蹤標(biāo)簽T。

3) 抗異步攻擊：當(dāng)敵手S在執(zhí)行指令(Update,sid,NS)和(Update,sid,T)時(shí)，可能通過各種手段使NS和標(biāo)簽T的信息不同步。此時(shí)，如果包含(NS,T)的記錄已經(jīng)存在，則在執(zhí)行指令(Update,sid,T)后會(huì)再次同步。如果包含(NS,T)的記錄不存在，那么，由于記錄(CS,T,t,Info(T))還未被刪除，重新啟動(dòng)理想過程仍可以保證標(biāo)簽T再次被成功認(rèn)證，進(jìn)而重新同步信息。

4) 后向隱私保護(hù)：在理想環(huán)境下，當(dāng)所有權(quán)成功轉(zhuǎn)移之后，即指令(Update,sid,T)執(zhí)行后，標(biāo)簽的原所有者CS和標(biāo)簽T的所屬關(guān)系記錄(CS,T,t,Info(T))已經(jīng)被清除，并且更新后的秘密α對(duì)CS是保密的，因此CS不能再識(shí)別標(biāo)簽T，也無法訪問標(biāo)簽T和新所有者NS的會(huì)話信息。

5) 前向隱私保護(hù)：在理想環(huán)境下，在指令(Update,sid,NS)執(zhí)行前，標(biāo)簽的新所有者NS并沒有得到任何信息。而在指令(Update,sid,NS)執(zhí)行后，標(biāo)簽的新所有者NS也只能獲得α。即便是所有權(quán)成功轉(zhuǎn)移之后，即指令(Update,sid,T)執(zhí)行后，NS也無法獲得t。因此NS無法訪問所有權(quán)轉(zhuǎn)移前標(biāo)簽T與原所有者CS之間的會(huì)話信息。

4 UC安全的RFID標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議

基于2.1節(jié)描述的RFID所有權(quán)轉(zhuǎn)移協(xié)議交互模型，本節(jié)給出一個(gè)輕量級(jí)的RFID標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議πTRANS，如圖1所示。

以下是符號(hào)的定義。

l：標(biāo)簽動(dòng)態(tài)身份以及隨機(jī)數(shù)的安全長度；

f：一個(gè)輕量級(jí)單向函數(shù)，f: {0, 1}*→ {0, 1}l；

Info：存儲(chǔ)標(biāo)簽所標(biāo)識(shí)的目標(biāo)實(shí)體的業(yè)務(wù)信息的變量；

||：字符串連接操作；

∈R：隨機(jī)數(shù)選擇操作；

⊕：異或運(yùn)算；

←：置換（賦值）運(yùn)算。

在初始化階段，每個(gè)標(biāo)簽在后臺(tái)服務(wù)器的數(shù)據(jù)庫中都對(duì)應(yīng)一條記錄（told,tnew,Info(T)），其中，tnew表示標(biāo)簽的當(dāng)前身份，told表示標(biāo)簽轉(zhuǎn)移前的身份，Info(T)記錄標(biāo)簽的業(yè)務(wù)信息。NS選取 2個(gè)大素?cái)?shù)，滿足p=q=3mod4，然后計(jì)算n=pq，并公開n給CS。CS中存儲(chǔ)的有關(guān)T的記錄中，tnew=t，其中t表示T當(dāng)前的身份信息。標(biāo)簽T中存儲(chǔ)l位的t和2l+1位的n。下面描述具體協(xié)議過程。

1)NS選取隨機(jī)數(shù)，然后通過相應(yīng)的讀寫器向T發(fā)送挑戰(zhàn)消息r1。

2) 收到NS的挑戰(zhàn)消息后，T隨機(jī)選取，然后計(jì)算，并向NS發(fā)送響應(yīng)消息＜M1,M2,M3＞。

3) 對(duì)收到的消息M3，NS根據(jù)保存的p和q，解方程組M3=x2modp和M3=x2modq可分別得到2個(gè)解，組合可得4個(gè)同余方程組，根據(jù)中國剩余定理計(jì)算得到4個(gè)解：x1,x2,x3,x4。如果能找到左l位等于r1的解xi(1≤i≤4)，那么該解的右l位即為r3。然后，NS向CS發(fā)送消息＜r1,M1,M2＞。否則，驗(yàn)證失敗，停止協(xié)議過程。

4) 一旦收到消息＜r1,M1,M2＞，CS順序執(zhí)行以下操作：

5 安全性證明及效率分析

5.1 安全性證明

定理1協(xié)議πTRANS在UC框架下安全地實(shí)現(xiàn)了理想函數(shù)FTRANS。

證明令A(yù)為現(xiàn)實(shí)模型中的任意敵手。下面構(gòu)建理想過程敵手S，使環(huán)境機(jī)Z不能以不可忽略的概率區(qū)分它是在與現(xiàn)實(shí)過程中的A和運(yùn)行協(xié)議πTRANS的各參與方交互還是在與理想過程中的S和FTRANS交互。

首先，構(gòu)建理想敵手S，S運(yùn)行A的仿真拷貝，它仿真A與運(yùn)行πTRANS的各方的交互。更具體地，S運(yùn)行如下。

1) 與環(huán)境機(jī)Z的通信：任何來自Z的輸入均被轉(zhuǎn)發(fā)給A。任何來自A的輸出被拷貝作為S的輸出，并被Z讀取。

圖1 RFID標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議πTRANS

2) 仿真NS的初始激活：收到來自FTRANS的(sid,Type(NS),MNS)后，S選擇隨機(jī)數(shù)r1并將其傳給A。

3) 仿真T收到初始激活消息：當(dāng)A傳送初始消息r1′給T時(shí)，S首先驗(yàn)證它在理想過程中已經(jīng)收到來自FTRANS的(sid, Type(T) ,MT)。然后，S選擇隨機(jī)數(shù)r2和r3，并將由T發(fā)送的消息(M1,M2,M3）傳給A，其中，

b)如果沒有找到對(duì)應(yīng)的t，則返回認(rèn)證失敗，協(xié)議終止，同時(shí)，在理想環(huán)境下，傳送(Authed,sid,CS,T,k)給理想函數(shù)FTRANS，其中k為S選擇的任意隨機(jī)數(shù)。

6) 仿真NS發(fā)送更新秘密的消息：轉(zhuǎn)發(fā)從NS收到的(M5，M6)給敵手A，其中，t′為S選擇的任意隨機(jī)段。

7) 仿真標(biāo)簽T收到更新秘密的消息：當(dāng)A傳送更新秘密消息給標(biāo)簽T時(shí)，T判斷等是否成立。

a)如果等式不成立，返回認(rèn)證失敗，協(xié)議終止，同時(shí)，在理想環(huán)境下，傳送(Authed,sid,T,CS,k′)給理想函數(shù)FTRANS，其中k′為S選擇的任意隨機(jī)數(shù)；

8) 仿真CS（或NS）被攻破：如果敵手A攻破了CS或是NS，那么在理想環(huán)境下，S也攻破了同樣的參與方，并且把被攻破參與方的相應(yīng)內(nèi)部數(shù)據(jù)發(fā)送給敵手A。

其次，對(duì)S有效性進(jìn)行分析。令NSC表示NS被攻破的事件，也就是在NS和標(biāo)簽T更新秘密之前，敵手A攻破了NS（現(xiàn)實(shí)中，一般是指NS被腐敗后的結(jié)果）。在理想環(huán)境下，事件NSC表示在S發(fā)送Update指令之前，仿真的A攻破參與方NS的事件。

引理1 無論事件NSC發(fā)生與否。對(duì)于環(huán)境機(jī)Z而言，真實(shí)協(xié)議πTRANS和理想函數(shù)FTRANS都是不可區(qū)分的，即REALπTRANS,A,Z≈IDEALFTRANS,S,Z。

證明 當(dāng) NSC發(fā)生時(shí)，在現(xiàn)實(shí)環(huán)境中，對(duì)于環(huán)境機(jī)Z而言，敵手A和RFID標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議πTRANS交互后輸出的值為α，其中而在理想環(huán)境中，在S中仿真的現(xiàn)實(shí)中的A，在更新秘密階段，用指令(Update,sid,NS,α)傳送同樣的α給理想函數(shù)FTRANS，并最后由FTRANS輸出α給NS；同樣，在執(zhí)行完指令(Update,sid,T,α)后，標(biāo)簽T也得到同樣的α。因此，對(duì)于環(huán)境機(jī)Z而言，在NSC發(fā)生時(shí)，真實(shí)協(xié)議πTRANS和理想函數(shù)FTRANS的輸出是完全相同的。

當(dāng)事件 NSC沒有發(fā)生時(shí)，在現(xiàn)實(shí)環(huán)境中，對(duì)于環(huán)境機(jī)Z而言，敵手A和RFID標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議πTRANS交互后輸出的值為t'，其中而在理想環(huán)境中，在S中仿真的現(xiàn)實(shí)中的A與理想函數(shù)FTRANS交互后，由FTRANS輸出α給NS和T，其中α為FTRANS選擇的隨機(jī)數(shù)。由于 2個(gè)隨機(jī)數(shù)是不可區(qū)分的，因此，對(duì)于環(huán)境機(jī)Z而言，在NSC沒有發(fā)生時(shí)，敵手A與真實(shí)協(xié)議πTRANS交互后和S與理想函數(shù)FTRANS交互后的輸出是不可區(qū)分的。

綜上，對(duì)于任意敵手A，存在理想過程敵手S，使環(huán)境機(jī)Z不能以不可忽略的概率區(qū)分它是在與現(xiàn)實(shí)環(huán)境中的A和運(yùn)行協(xié)議πTRANS的參與方交互還是在與理想環(huán)境中的S和FTRANS交互，即

5.2 效率分析

下面對(duì)本文提出的協(xié)議與已有的典型協(xié)議進(jìn)行比較。表1給出了協(xié)議間安全屬性的比較，其中“√”表示滿足該安全屬性，“×”表示不滿足該安全屬性。表2給出了協(xié)議間計(jì)算與存儲(chǔ)代價(jià)的比較，其中，Pr表示PRNG運(yùn)算，Po表示按位運(yùn)算，Pf表示單向函數(shù)運(yùn)算，Pc表示冗余校驗(yàn)運(yùn)算，Pm表示模平方運(yùn)算，Ps表示求解二次剩余根運(yùn)算，Pe表示加解密運(yùn)算，m指Song等方案[8]中服務(wù)器端預(yù)定義的標(biāo)簽ID的個(gè)數(shù)。

從表1和表2可以看出，文獻(xiàn)[3]和文獻(xiàn)[5]提出的方案性能相對(duì)較高，但其安全性較差。相比文獻(xiàn)[5]，文獻(xiàn)[8] 提出的方案雖然其CS端的運(yùn)算效率有所提高，但CS及T的存儲(chǔ)需求有所增加，而且協(xié)議仍然無法抵抗異步攻擊和無法滿足后向隱私保護(hù)。文獻(xiàn)[9]提出的方案減少了協(xié)議執(zhí)行的交互次數(shù)，但該方案不能滿足前向隱私保護(hù)和后向隱私保護(hù)。文獻(xiàn)[13]提出的方案安全性有所提高。但該協(xié)議所需交互次數(shù)最多，而且標(biāo)簽端的運(yùn)算量和存儲(chǔ)量也最高，因此其性能最差。此外，上述協(xié)議均未能證明其具備通用可組合安全性。

相比已有的標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議，本文提出的方案只有在CS成功認(rèn)證標(biāo)簽T后才將T的相關(guān)信息授權(quán)給NS，并且只有在標(biāo)簽T成功認(rèn)證CS后，才更新其秘密，進(jìn)而完成所有權(quán)的轉(zhuǎn)移；此外，僅擁有CS（或NS）與標(biāo)簽T之間的交互信息，無法獲得標(biāo)簽T的任何身份信息，也無法追蹤到標(biāo)簽T的任何活動(dòng)；如果該協(xié)議因被任意敵手中斷而導(dǎo)致標(biāo)簽T的信息同步失敗，那么利用CS（或NS）中保存的新/舊秘密，協(xié)議仍可以保證標(biāo)簽T的成功認(rèn)證；由于標(biāo)簽的原所有者CS無法獲得NS和T之間的秘密消息r3，所以所有權(quán)轉(zhuǎn)移后CS不能再識(shí)別和訪問T；而標(biāo)簽的新所有者NS無法獲得所有權(quán)轉(zhuǎn)移前標(biāo)簽T與原所有者CS之間的秘密t，所以NS也不能訪問所有權(quán)轉(zhuǎn)移前標(biāo)簽T與原所有者CS之間的會(huì)話信息。因此，新方案不僅滿足了雙向認(rèn)證、標(biāo)簽?zāi)涿?、抗異步攻擊、前向隱私保護(hù)等安全需求，更有效地解決了已有所有權(quán)轉(zhuǎn)移協(xié)議未能解決的后向隱私保護(hù)問題。此外，本文在 UC框架下證明了新協(xié)議的安全性，使協(xié)議具備通用可組合安全性。在性能方面，新方案的計(jì)算復(fù)雜度和存儲(chǔ)需求也相對(duì)較小，而且交互次數(shù)做到了最少。

6 結(jié)束語

隨著物聯(lián)網(wǎng)技術(shù)的快速發(fā)展，RFID技術(shù)應(yīng)用越來越廣泛。然而，由于RFID標(biāo)簽的資源限制，如何設(shè)計(jì)一個(gè)安全、高效的輕量級(jí)RFID標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議是當(dāng)前需要重點(diǎn)研究的一個(gè)問題。首先，本文對(duì)RFID標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議的交互模型和攻擊模型做了分析和描述。然后，在通用可組合安全框架下，形式化定義了理想函數(shù)FTRANS。最后，設(shè)計(jì)了輕量級(jí)RFID標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議πTRANS，并證明了協(xié)議πTRANS安全地實(shí)現(xiàn)了理想函數(shù)FTRANS。

表1 類似協(xié)議安全屬性比較

表2 類似協(xié)議性能比較

[1] LIM C H, KWON T. Strong and robust RFID authentication enabling perfect ownership transfer[A]. 8th International Conference on Information and Communications Security[C]. Raleigh, NC, USA, 2006. 1-20.

[2] MOLNAR D, SOPPERA A, WAGNER D. A scalable, delegatable pseudonym protocol enabling ownership transfer of RFID tags[A].12th International Workshop on Selected Areas in Cryptography[C].Kingston, Ont, Canada, 2006. 276-290.

[3] OSAKA K, TAKAGI T, YAMAZAKI K,et al.An efficient and secure RFID security method with ownership transfer[A]. Proceedings of IEEE 2006 International Conference on Computational Intelligence and Security[C]. Guangzhou, China, 2006. 1090-1095.

[4] FOULADGAR S, AFIFI H. An efficient delegation and transfer of ownership protocol for RFID tags[A]. Proceedings of the 1st International EURASIP Workshop on RFID Technology[C]. Vienna, Austria,2007. 68-93.

[5] SONG B. RFID tag ownership transfer[EB/OL]. http://rfidsec2013.iaik.tugraz.at/RFIDSec08/Papers/, 2008.

[6] RIZOMILIOTIS P, REKLEITIS E. Security analysis of the Song－Mitchell authentication protocol for low-cost RFID tags[J]. IEEE Communications Letters, 2009, 13(4):274-276.

[7] PERIS-LOPEZ P, HEMANDEZ-CASTRO J C, TAPIADOR J M E,et al.Vulnerability analysis of RFID protocols for tag ownership transfer[J].Computer Networks, 2010, 54(9): 1502-1508.

[8] SONG B, MITCHELL C J. Scalable RFID security protocols supporting tag ownership transfer[J]. Computer Communications, 2011, 34(4):556-566.

[9] 金永明, 孫惠平, 關(guān)志等. RFID標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議研究[J]. 計(jì)算機(jī)研究與發(fā)展, 2011, 48(8): 1400 -1405.JIN Y M, SUN H P, GUAN Z,et al.Ownership transfer protocol for RFID tag[J]. Journal of Computer Research and Development, 2011,48(8): 1400 -1405.

[10] ELKHIYAOUI K, BLASS E O, MOLVA R. ROTIV: RFID ownership transfer with issuer verification[A]. LNCS7055:7th International Workshop on RFID Security and Privacy[C]. Berlin: Springer, 2012.163-182.

[11] MORIYAMA D. Cryptanalysis and improvement of a provably secure RFID ownership transfer protocol[A]. LNCS8162: 2nd International Workshop on Lightweight Cryptography for Security and Privacy[C].Berlin: Springer, 2013.114-129.

[12] KAPOOR G, PIRAMUTHU S. Single RFID tag ownership transfer protocols[J]. IEEE Transactions on Systems, Man, and Cybernetics-part C: Applications and Reviews, 2012, 42(2):164-173.

[13] DOSS R, ZHOU W, YU S. Secure RFID tag ownership transfer based on quadratic residues[J]. IEEE Transactions on Information Forensics and Security, 2013, 8(2):390-401.

[14] CHEN C L, HUAN Y C, JIANG J R. A secure ownership transfer protocol using EPC global Gen-2 RFID[J].Telecommunication Systems, 2013, 53(4): 387-399.

[15] 周永彬, 馮登國. RFID 安全協(xié)議的設(shè)計(jì)與分析[J]. 計(jì)算機(jī)學(xué)報(bào),2006,29(4): 581-589.ZHOU Y B, FENG D G. Design and analysis of cryptographic protocols for RFID[J]. Chinese Journal of Computers, 2006, 29(4): 581-589.

[16] 鄧淼磊, 馬建峰, 周利華. RFID 匿名認(rèn)證協(xié)議的設(shè)計(jì)[J].通信學(xué)報(bào),2009,30(7):20-26.DENG M L, MA J F, ZHOU L H. Design of anonymous authentication protocol for RFID[J]. Journal on Communications, 2009, 30(7):20-26.

[17] 肖鋒, 周亞建, 周景賢等.標(biāo)準(zhǔn)模型下可證明安全的RFID雙向認(rèn)證協(xié)議[J].通信學(xué)報(bào), 2013, 34(4): 82-87.XIAO F, ZHOU Y J, ZHOU J X,et al.Provable secure mutual authentication protocol for RFID in the standard model[J]. Journal on Communications, 2013, 34(4): 82-87.

[18] CANETTI R. Universally composable security: a new paradigm for cryptographic protocols[A]. Proceedings of the 42nd IEEE Symposium on Foundations of Computer Science[C]. Las Vegas, Nevada, USA,2001. 136-145.

[19] 張帆, 孫璇, 馬建峰等. 供應(yīng)鏈環(huán)境下通用可組合安全的 RFID 通信協(xié)議[J]. 計(jì)算機(jī)學(xué)報(bào), 2008, 31(10): 1754-1767.ZHANG F, SUN X, MA J F,et al.A universally compoable secure RFID communication protocol in supply chains[J].Chinese Journal of Computers,2008, 31(10): 1754-1767.

[20] BURMESTER M, TRI V L, DE MEDEIROS B,et al.Universally composable RFID identification and authentication protocols [J]. ACM Transactions on Information and System Security, 2009, 12(4): 1-33.

[21] BURMESTER M, MUNILLA J. Lightweight RFID authentication with forward and backward security[J]. ACM Transactions on Information and System Security, 2011, 14(1): 11.

[22] 張忠, 徐秋亮. 物聯(lián)網(wǎng)環(huán)境下UC安全的組證明RFID協(xié)議[J]. 計(jì)算機(jī)學(xué)報(bào), 2011, 34(7): 1188-1194.ZHANG Z, XU Q L. Universally compoable grouping-proof protocol for RFID tags in the Internet of things[J]. Chinese Journal of Computers, 2011, 34(7): 1188-1194.

[23] CANETTI R. Obtaining universally compoable security: towards the bare bones of trust[A]. Proceedings of 13th International Conference on the Theory and Application of Cryptology and Information security[C]. 2007. 88-112.

[24] 李鳳華, 馮濤, 馬建峰. 基于VSPH的UC不經(jīng)意傳輸協(xié)議[J]. 通信學(xué)報(bào), 2007, 28(7):28-34.LI F H, FENG T, MA J F. Universally composable oblivious transfer protocol based on VSPH[J]. Journal on Communications, 2007,28(7):28-34.

[25] 張俊偉,馬建峰,楊力. UC安全的基于一次簽名的廣播認(rèn)證[J]. 通信學(xué)報(bào), 2010, 31(5):31-36.ZHANG J W, MA J F, YANG L. UC secure one-time signature based broadcast authentication[J]. Journal on Communications, 2010, 31(5):31-36.

[26] ZHANG J W, MA J F, MOON S J. Universally composable secure TNC model and EAP-TNC protocol in IF-T[J]. Science China Information Sciences, 2010, 53(3): 465-482.

[27] 張俊偉, 馬建峰, 楊超. 安全定位協(xié)議的 UC模型[J]. 通信學(xué)報(bào),2013, 34(2) : 117-122.ZHANG J W, MA J F, YANG C. UC model of secure positioning protocols[J]. Journal on Communications, 2013, 34(2): 117-122.