周 洲，彭長(zhǎng)根，楊玉龍，張曉培

（1.貴州大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，貴州 貴陽(yáng)550025；2.貴州大學(xué) 理學(xué)院，貴州 貴陽(yáng)550025；3.貴州大學(xué) 密碼學(xué)與數(shù)據(jù)安全研究所，貴州 貴陽(yáng)550025）

0 引 言

RFID 標(biāo)簽在其生命周期中隨著宿主物品在不斷流動(dòng)，所有者也在變換，從而標(biāo)簽所有權(quán)需要轉(zhuǎn)換。如供應(yīng)鏈環(huán)境下，帶有標(biāo)簽的商品會(huì)沿著既定的路線貫穿于不同的供應(yīng)節(jié)點(diǎn)，如果各節(jié)點(diǎn)只是簡(jiǎn)單的移交標(biāo)簽，那么原所有者仍然能通過(guò)自己掌握的秘密信息對(duì)商品進(jìn)行追蹤［1］，這樣新所有者的隱私遭受侵犯。因此為保證整個(gè)供應(yīng)環(huán)節(jié)節(jié)點(diǎn)關(guān)鍵信息的安全，必須保證原所有者掌握的秘密信息失效，無(wú)法再與標(biāo)簽交互，同時(shí)新所有者也不能根據(jù)當(dāng)前標(biāo)簽信息推導(dǎo)出原所者的秘信，轉(zhuǎn)移后新所有者和標(biāo)簽的認(rèn)證恢復(fù)。

然而，如果方案僅單純的執(zhí)行所有權(quán)轉(zhuǎn)移，從實(shí)際需求和效率出發(fā)，具有一定的約束。因此，在權(quán)限轉(zhuǎn)移的同時(shí)引入其它輔助功能，將更能滿足應(yīng)用需求。例如以下應(yīng)用場(chǎng)景：用戶A 從制造廠商P購(gòu)買(mǎi)某產(chǎn)品G 后，現(xiàn)將G 賣給B，通過(guò)一般的所有權(quán)轉(zhuǎn)移模式，盡管保證了B、A 的個(gè)人隱私，但B不能確定產(chǎn)品G 是否為真。

本文針對(duì)上述應(yīng)用需求，基于橢圓曲線密碼體制，采用傳遞加密的方法設(shè)計(jì)一種兼有防偽認(rèn)證功能并適合移動(dòng)RFID 系統(tǒng)的所有權(quán)轉(zhuǎn)移方案。該方案能較好應(yīng)用于供應(yīng)行業(yè)，標(biāo)簽端存儲(chǔ)與制造商的共享密鑰，在可信制造商的協(xié)助下進(jìn)行轉(zhuǎn)移，加上確認(rèn)機(jī)制的使用，只要所有權(quán)轉(zhuǎn)移成功完成，就能保證標(biāo)簽商品的真實(shí)性。

1 相關(guān)工作

針對(duì)RFID 系統(tǒng)中物品標(biāo)簽產(chǎn)權(quán)轉(zhuǎn)移引發(fā)的安全和隱私問(wèn)題，Molnar等提出RFID 標(biāo)簽所有權(quán)轉(zhuǎn)移的概念，基于密鑰樹(shù)，采取為標(biāo)簽設(shè)置假名的方式來(lái)進(jìn)行隱私保護(hù)，但以樹(shù)結(jié)點(diǎn)的形式存儲(chǔ)標(biāo)簽的多個(gè)密鑰易遭受連鎖攻擊，并且這些密鑰需要一個(gè)個(gè)更新，這種模式會(huì)導(dǎo)致窗口問(wèn)題的發(fā)生［2］；Saito等采用對(duì)稱密碼加密，提出了密鑰更新方案，確保了后向安全，但協(xié)議沒(méi)有解決去同步攻擊，并且以明文的形式傳送加密密鑰，攻擊者很容易由截獲的密文算出秘密值；Seo等通過(guò)為標(biāo)簽設(shè)置代理，基于重加密更新標(biāo)簽端秘密值，設(shè)計(jì)一個(gè)離線訪問(wèn)控制的轉(zhuǎn)移協(xié)議，雖然減輕了標(biāo)簽端的計(jì)算量，但在為標(biāo)簽傳遞新的秘密值的過(guò)程中，忽略了消息可能遭受篡改和阻塞的情形；Kulseng等應(yīng)用PUF 和LFSR 設(shè)計(jì)了輕量級(jí)的標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議［3］，該方案僅需要784個(gè)邏輯門(mén)，但Kardas 等就Kulseng等的協(xié)議進(jìn)行了安全性分析［4］，發(fā)現(xiàn)該協(xié)議不能抵抗拒絕服務(wù)攻擊，也無(wú)法保證后向安全，并且傳送消息缺乏完整性認(rèn)證，還易遭受中間人攻擊；Kapoor等分析并指出之前的某些方案［5，6］存在漏洞后，針對(duì)標(biāo)簽組所有權(quán)轉(zhuǎn)移的應(yīng)用需求提出了一套輕量級(jí)的協(xié)議［7］，隨后，Munilla等就Kapoor的協(xié)議進(jìn)行了嚴(yán)格的分析，指出其不能適用于實(shí)際場(chǎng)景，并利用噪聲標(biāo)簽代替TTP設(shè)計(jì)了新的輕量級(jí)協(xié)議［8］。

上述協(xié)議大多數(shù)基于對(duì)稱密碼，主要是因?yàn)槠漭^非對(duì)稱密碼簡(jiǎn)易，但最近的研究工作［9－11］表明橢圓曲線密碼也適用于輕量級(jí)的RFID 標(biāo)簽。Lee等［12］為自己的基于ECC的協(xié)議量身設(shè)計(jì)了RFID 處理器；Cheng等［13］基于ECC 提出了具有委托和授權(quán)恢復(fù)控制的適于輕量級(jí)標(biāo)簽的協(xié)議，進(jìn)一步研究將ECC 用于標(biāo)簽所有權(quán)轉(zhuǎn)移方案也是有必要的。

在移動(dòng)RFID 系統(tǒng)中研究標(biāo)簽所有權(quán)轉(zhuǎn)移也受到了關(guān)注。Yang等［14，15］針對(duì)移動(dòng)RFID 系統(tǒng)中跨數(shù)據(jù)域的標(biāo)簽所有權(quán)轉(zhuǎn)移進(jìn)行研究，提出了方案，其涉及到的密鑰樹(shù)的管理會(huì)增大系統(tǒng)負(fù)載量；Chen等針對(duì)移動(dòng)RFID 支付購(gòu)物提出了低成本的所有權(quán)轉(zhuǎn)移方案，采用指紋身份識(shí)別、哈希函數(shù)等機(jī)制確保了傳輸信息的安全性［16］；Munilla等［17］指出攻擊者可以恢復(fù)標(biāo)簽秘密值來(lái)實(shí)施跟蹤和假冒攻擊；Ray等［18］采用改進(jìn)的Diffie－Hellman算法進(jìn)行實(shí)體認(rèn)證和授權(quán)，作者聲明該方案適應(yīng)于低成本標(biāo)簽，可以用于所有權(quán)轉(zhuǎn)移場(chǎng)景。然而這些協(xié)議仍存在一定的安全漏洞，并且只能單純執(zhí)行所有權(quán)轉(zhuǎn)移。

2 準(zhǔn)備工作

2.1 橢圓曲線密碼相關(guān)假設(shè)

本方案的安全性規(guī)約到橢圓曲線離散對(duì)數(shù)問(wèn)題 （DLP）和碰撞攻擊假設(shè) （K－CAA）上，下面分別給出這兩個(gè)困難問(wèn)題的定義。

若Ep是有限域F（p）上的橢圓曲線群，P 為Ep上階為n 的基點(diǎn)，Ep上所有點(diǎn)的表示為G ＝｛（x，y）：x，y∈F（p），Ep（x，y）＝0｝∪｛O｝，則有如下密碼學(xué)假設(shè)。

定義1 對(duì)于給定的點(diǎn)P，Q ∈G，很難找到一個(gè)存在的整數(shù)x，0＜x＜n，使得Q＝xP ，確定整數(shù)x的問(wèn)題稱為橢圓曲線離散對(duì)數(shù)問(wèn)題。

2.2 系統(tǒng)模型描述

提出的兼有防偽功能的RFID 標(biāo)簽所有權(quán)轉(zhuǎn)移安全模型主要由可信的制造方TP 、舊所有者OC、新所有者ON和標(biāo)簽Ti組成，符號(hào)描述見(jiàn)表1。

表1 符號(hào)說(shuō)明

商品制造方TP 是可信方的數(shù)據(jù)庫(kù)中心，任何欲獲取商品標(biāo)簽Ti訪問(wèn)控制權(quán)的買(mǎi)家OC必須向TP 進(jìn)行注冊(cè)，獲得標(biāo)簽的讀寫(xiě)權(quán)，其中每位買(mǎi)家Oi擁有一個(gè)閱讀器Ri和一個(gè)本地?cái)?shù)據(jù)庫(kù)Di，或者持有一個(gè)帶有一定存儲(chǔ)能力的可移動(dòng)閱讀器Ri（統(tǒng)一用Oi來(lái)表示買(mǎi)家的RFID 設(shè)備）。當(dāng)買(mǎi)家OC注冊(cè)成功后，TP 為標(biāo)簽創(chuàng)建初始化信息 （除了標(biāo)簽基本信息外，還包括OC對(duì)標(biāo)簽的訪問(wèn)權(quán)信息），交易成功后，OC可以修改標(biāo)簽控制權(quán)信息。如果OC欲將含有標(biāo)簽Ti的商品轉(zhuǎn)賣給新的買(mǎi)家ON，則需要保證所有權(quán)安全轉(zhuǎn)移，并讓ON相信該商品確實(shí)為真。那么，ON需要向TP 提交注冊(cè)信息，并在TP 的參與下，OC與ON完成權(quán)限轉(zhuǎn)移。成功轉(zhuǎn)移后，若ON能對(duì)Ti行使訪問(wèn)控制權(quán)，則說(shuō)明商品為正品。

假設(shè)商品制造方TP 是一個(gè)不可攻陷的可信實(shí)體，攻擊者可以任意竊聽(tīng)、篡改、重放實(shí)體間的傳遞消息，也可以仿冒一方與另一方發(fā)起通信。但不考慮物理方式的攻擊方式，如篡改標(biāo)簽或閱讀器內(nèi)部信息，因?yàn)楝F(xiàn)有技術(shù)足以抵抗此類攻擊。

RFID標(biāo)簽所有權(quán)轉(zhuǎn)移除了滿足一般的認(rèn)證協(xié)議的安全需求外，還需要較高級(jí)別的隱私安全屬性，下面給出定義。

匿名性：攻擊者不能將標(biāo)簽狀態(tài)信息與一個(gè)隨機(jī)數(shù)區(qū)分開(kāi)來(lái)，則標(biāo)簽滿足匿名性。

前向安全性和后向安全性：在某t時(shí)刻，敵手A（A 也可理解為新所有者）掌握了標(biāo)簽當(dāng)前信息，A 無(wú)法由此追蹤到標(biāo)簽在t′＜t時(shí)刻的狀態(tài)，則稱之為前向安全；敵手A′（A′也可理解為原所有者）無(wú)法由t′時(shí)刻掌握的標(biāo)簽信息追蹤到標(biāo)簽在t＞t′時(shí)刻的狀態(tài)，則稱之為后向安全。

窗口問(wèn)題：在RFID 標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議中，由于新所有者ON起初沒(méi)有享有對(duì)標(biāo)簽Ti的控制權(quán)，于是，需要借助原所有者OC來(lái)傳遞已加密的秘密值M ，這就可能存在惡意的OC篡改M 而導(dǎo)致去同步性攻擊等問(wèn)題，該現(xiàn)象稱之為 “窗口問(wèn)題”。

3 協(xié)議描述

協(xié)議由3個(gè)階段構(gòu)成，分別為初始化階段、標(biāo)簽鑒權(quán)認(rèn)證階段和秘密值更新階段，描述如下。

3.1 協(xié)議初始化階段

可信的制造方TP 、參與者Oi和Ti共享有限域F（p）上一條安全的橢圓曲線Ep，P 是橢圓曲線上的一個(gè)階為n的基點(diǎn)，Ep、P 和n 作為公開(kāi)系統(tǒng)參數(shù)。（注：對(duì)于下面的所有模運(yùn)算，簡(jiǎn)寫(xiě)省略了 （modp）。）

制造商隨機(jī)生成區(qū)域［1，n－1］內(nèi)的整數(shù)KTi和KOi，將OIDi、KOi和KTi寫(xiě)入標(biāo)簽，并將KOi傳給直接購(gòu)買(mǎi)者OC。其中KTi作為標(biāo)簽的標(biāo)識(shí)，KOi為所有者OC與標(biāo)簽的通信密鑰，KOi的初始值為K ，隨后OC與Ti協(xié)商更改KOi的值，使其僅為OC與Ti擁有。

圖1 用戶注冊(cè)

當(dāng)用戶OC和ON要對(duì)Ti的所有權(quán)進(jìn)行變更時(shí)，OC和ON會(huì)協(xié)商出臨時(shí)會(huì)話密鑰KK ，為所有權(quán)轉(zhuǎn)移階段身份認(rèn)證做準(zhǔn)備。

3.2 標(biāo)簽認(rèn)證階段

在所有權(quán)轉(zhuǎn)移進(jìn)行前，當(dāng)前所有者OC需要認(rèn)證標(biāo)簽，確定該標(biāo)簽Ti是否保持有效或存在，如圖2所示，描述如下：

圖2 標(biāo)簽認(rèn)證

（1）OC向Ti發(fā)送所有權(quán)轉(zhuǎn)移請(qǐng)求，包括自己和新所有者的身份標(biāo)識(shí)OIDi，OIDi＿N及產(chǎn)生的隨機(jī)值R1＝r1·P，1＜r1＜n。

（3）OC由r1和M1，計(jì)算得到R2′＝r－11·M，由存儲(chǔ)的KOi計(jì)算KOi·P＋R2′＝M2′，驗(yàn)證M′2＝？M2，驗(yàn)證通過(guò)則證明標(biāo)簽有效。

3.3 所有權(quán)轉(zhuǎn)移階段

當(dāng)前所有者OC成功認(rèn)證標(biāo)簽Ti后，通知ON可以執(zhí)行所有權(quán)轉(zhuǎn)移，并發(fā)送隨機(jī)值R1。如圖3所示，具體轉(zhuǎn)移過(guò)程如下：

（6）若OC在規(guī)定時(shí)間內(nèi)沒(méi)有收到Ti發(fā)送的消息，則請(qǐng)求Ti重發(fā) （如果消息4遭受阻塞，Ti向OC發(fā)送KOi·R2的值，返回第 （4）步，否則重發(fā)消息5），否則通過(guò)M10，M（4）驗(yàn)證r（M9）·R3的正確性。如果驗(yàn)證未通過(guò)，則返回第 （5）步，否則向ON發(fā)送ACK1＝r（M9）·r1·R3。

（7）若ON等待一定時(shí)間后沒(méi)收到確認(rèn)消息或收到的確認(rèn)值無(wú)法通過(guò)驗(yàn)證，則向OC發(fā)送重發(fā)請(qǐng)求，否則作密鑰更新KOi＿N←r（KOi＿N·P0）。

這樣，ON和Ti協(xié)商出了新的會(huì)話密鑰r（KOi＿N·P0）。

圖3 所有權(quán)轉(zhuǎn)移階段

4 協(xié)議性能分析

4.1 正確性分析

下面采用GNY 邏輯證明協(xié)議的正確性，推理規(guī)則參照文獻(xiàn) ［19］。

本協(xié)議所有權(quán)轉(zhuǎn)移階段中標(biāo)簽秘密值更新的前提是各交互方之間正確傳送信息，利用GNY 邏輯先對(duì)各參與方交互信息的正確性進(jìn)行證明，再證明標(biāo)簽更新了正確的秘密值。

4.1.1 雙向驗(yàn)證階段

首先用形式化方法描述協(xié)議的認(rèn)證過(guò)程：

消息1：OC＊M3，＊M（1），＊R3

消息3：OC＊M6，＊M（2）

消息4：Ti＊M7，＊M（3），＊R1，＊R3

初始化假設(shè)如下：

A5：OCKK

證明：

由消息1，規(guī)則T1和P1，得OCM3，OCr（R3），而M4等價(jià)于｛M3｝KK，由規(guī)則P6，A5，得OCM4；由消息 M（1）， A6， 規(guī)則 F1和 I3， 得； 由規(guī)則 J2，J1， 得由規(guī)則R6和R2，得OC≡Φ（M3），再由規(guī)則I1，得

G3，G4的證明類似于G1，G2，在此不贅述。

4.1.2 秘密值更新階段

協(xié)議形式化描述：

消息5：OC＊M10，＊M（4）

消息6：ON＊ACK1

協(xié)議假設(shè)如下：

A9：OCr1，R1

A11：TiKOi

A12：TiKTi

證明：

G5：Tir（KOi＿N·P0）

在消息5 中，Ti＊M7，由規(guī)則T1，P1和P6，得TiM8；同理可得Tir（KOi＿N·P0）。

消息5 中，OC＊M10等價(jià)于OC＊｛r（M9）·R3｝R1，由A9，規(guī)則T1，T3和P1，得OCr（M9）·R1；消息3中，OC＊M6的功能等價(jià)于OC＊｛（KOi＿N＋KK ＋KTi）·P0｝r1，由A9 和規(guī)則T1，T3和P1，得OC（KOi＿N＋KK ＋KTi）·P0，同理得OCM8，OCr（M9）·R3；又因?yàn)镺C＊M（4），當(dāng)執(zhí)行完消息4后，有；由 A6， 消息M（4）， 規(guī)則 F1和 I3， 得·R3，M8），再由I7，得·R3；

消息6中，ON＊ACK1等價(jià)于ON＊H（r（M9）·R3，r1·R3），顯然，ON（r（M9）·R3，r1·R3），由A7，規(guī)則F2，I3和I7，得結(jié)合已證的～r（KOi＿N·P0）·R3，得R3；由A7和規(guī)則F2，得，再由規(guī)則I6，得；當(dāng)ON收到ACK1并通過(guò)驗(yàn)證，有，而r（M9）·R3的功能是等價(jià)于 ｛R3｝r（M9）， 由 A7、A8， 規(guī)則 F1和 I1， 可得，即得證。

由G5和G6可知，ON和Ti已經(jīng)協(xié)商出了用來(lái)認(rèn)證的秘密值。

4.2 安全性分析

4.2.1 授權(quán)訪問(wèn)

只有合法的所有者才能閱讀標(biāo)簽信息。標(biāo)簽Ti根據(jù)OC發(fā)送的消息驗(yàn)證其身份，驗(yàn)證通過(guò)后才向OC發(fā)送確認(rèn)信息；OC也根據(jù)掌握的消息認(rèn)證標(biāo)簽，驗(yàn)證通過(guò)后才向新所有者ON傳遞確認(rèn)值，賦予ON訪問(wèn)標(biāo)簽的權(quán)力。

4.2.2 雙向認(rèn)證

協(xié)議參與方兩兩交互時(shí)，彼此通過(guò)共享秘鑰隱藏關(guān)鍵消息，在Hash 函數(shù)的作用下，保證消息的完整性。具體證明如4.1.1節(jié)的雙向驗(yàn)證。

4.2.3 標(biāo)簽?zāi)涿?/p>

定理1 任意的概率多項(xiàng)式時(shí)間敵手區(qū)分Ti的會(huì)話密鑰與等長(zhǎng)的隨機(jī)串的概率優(yōu)勢(shì)是不可忽略的ε，則滿足標(biāo)簽?zāi)涿浴?/p>

證明：每一次轉(zhuǎn)移過(guò)程中，新所有者獨(dú)立生成隨機(jī)數(shù)KOi＿N，標(biāo)簽認(rèn)證后解密獲得與之通信的會(huì)話密鑰r（KOi＿N·P0），即標(biāo)簽的臨時(shí)身份，攻擊者區(qū)分開(kāi)Ti的身份和長(zhǎng)度為的隨機(jī)數(shù)的概率為，而實(shí)際實(shí)用中n的長(zhǎng)度不小于64bit，因此成功識(shí)別的優(yōu)勢(shì)極小，可忽略不計(jì)，從而證明協(xié)議能保證標(biāo)簽?zāi)涿浴?/p>

4.2.4 不可追蹤性

定理2 若有定義1，則協(xié)議能提供前向安全和后向安全。

證明：在所有權(quán)轉(zhuǎn)移過(guò)程中，新所有者與原所有者的交互僅限于第1 步的傳遞新秘密值和第6 步的反饋確認(rèn)，新所有者沒(méi)有得到關(guān)于KOi的任何信息。即使新所有者是惡意的，有能力竊聽(tīng)到消息M6和M7，但基于DLP，ON無(wú)法解得（KOi＿N＋KK＋KTi）·x，從而無(wú)法獲得KTi·P0，故無(wú)法由M7得到KOi·R2，從而保證了前向安全；同理，新秘鑰KOi＿N是由新所有者隨機(jī)生成，并且在傳遞過(guò)程中，OC無(wú)法直接接觸到KOi＿N相關(guān)值，因此原所有者無(wú)法利用KOi＿N·P0與標(biāo)簽交互來(lái)追蹤標(biāo)簽將來(lái)的信息，從而保證了后向安全。

4.2.5 重放攻擊

每一次會(huì)話消息中都引入了隨機(jī)數(shù)，使傳遞的消息具有新鮮性，攻擊者無(wú)法利用重放消息通過(guò)本輪的認(rèn)證。假如攻擊者阻塞消息1，OC等待一定時(shí)間后，重新通知ON進(jìn)行所有權(quán)轉(zhuǎn)移，這時(shí)ON生成新的KOi＿N和隨機(jī)數(shù)，傳遞新的消息1，此時(shí)攻擊者再次截獲消息1，重放上一輪的消息，OC利用新的R1驗(yàn)證消息1，顯然不能通過(guò)驗(yàn)證。同理，攻擊者也不能重放消息3和消息4通過(guò)驗(yàn)證。

4.2.6 去同步攻擊

在4.2.5小節(jié)中已分析出重放攻擊不可能，故攻擊者想通過(guò)重放消息的方式引起ON和Ti的異步也不可能。協(xié)議中引入了確認(rèn)機(jī)制，如果消息5遭受阻塞，OC會(huì)請(qǐng)求Ti重發(fā)；如果ON沒(méi)有收到確認(rèn)消息6，ON會(huì)通知OC重發(fā)，因此通過(guò)阻塞消息的方式實(shí)施去同步攻擊是不可能。

4.2.7 窗口問(wèn)題

ON生成秘密值后，通過(guò)OC將關(guān)鍵值傳遞給Ti，在這一過(guò)程中OC企圖更改關(guān)鍵信息以改變Ti獲取的新秘密值，但這樣做無(wú)法通過(guò)Ti和ON的驗(yàn)證。此外，攻擊者也無(wú)法成功實(shí)施重放攻擊來(lái)改變Ti獲取的新秘密值。

4.2.8 假冒攻擊

定理3 若有定義2，則協(xié)議能抵抗敵手對(duì)所有者的假冒攻擊。

證明：假設(shè)某強(qiáng)攻擊者A 獲取了ON和OC之間的會(huì)話密鑰KK ，欲冒充ON并仿冒ON的行為通過(guò)后續(xù)認(rèn)證，除非A 能通過(guò)訪問(wèn)隨機(jī)預(yù)言機(jī)得到的信息計(jì)算出DOi＿N，但這與K－CAA 相矛盾。

4.2.9 防偽驗(yàn)證功能定理4 該所有權(quán)轉(zhuǎn)移協(xié)議具備防偽驗(yàn)證功能。

證明：標(biāo)簽中存儲(chǔ)制造商TP 為其分配的秘密值KTi，代表標(biāo)簽身份的唯一性，ON產(chǎn)生的新密鑰經(jīng)由KTi加密后傳送給Ti，結(jié)合4.1.1節(jié)已證的消息的正確性，Ti解密得到了正確的新的會(huì)話密鑰r（KOi＿N·P0）。當(dāng)ON收到確認(rèn)信息ACK1并驗(yàn)證通過(guò)后，ON可以確定所有權(quán)轉(zhuǎn)移成功，從而說(shuō)明Ti擁有正確的KTi，從而保證標(biāo)簽的真實(shí)性。

結(jié)合上述安全性分析，將本協(xié)議與現(xiàn)有的部分研究成果進(jìn)行對(duì)比，結(jié)果見(jiàn)表2。

表2 方案安全性比較

5 協(xié)議效率分析

本文基于橢圓曲線密碼提出了所有權(quán)轉(zhuǎn)移協(xié)議，協(xié)議利用的運(yùn)算操作有模加、模乘、Hash運(yùn)算、點(diǎn)加和點(diǎn)乘，其中點(diǎn)乘是最耗費(fèi)資源的。Lee等針對(duì)自己協(xié)議中的標(biāo)簽的特性提出了RFID 處理器［12］，其頻率為700KHZ，功率為13.8uW，一次點(diǎn)乘操作所需59790個(gè)周期，約85.4ms，所消耗的能量為1.18uJ。本文的協(xié)議相對(duì)于Lee等的協(xié)議，標(biāo)簽端減少了點(diǎn)乘的次數(shù)，增加了Hash運(yùn)算，但是Hash運(yùn)算速度快、能耗低 （生成64－bit消息摘要的Hash函數(shù)只需約1379個(gè)門(mén)電路即可）［20］，比較適用于低成本RFID 標(biāo)簽的硬件執(zhí)行?；贚ee等的RFID 處理器，對(duì)本協(xié)議標(biāo)簽端的執(zhí)行效率進(jìn)行了類比換算，見(jiàn)表3，與文獻(xiàn) ［13］比較結(jié)果見(jiàn)表4。

表3 標(biāo)簽端執(zhí)行效率

表4 標(biāo)簽端執(zhí)行效率比較

6 結(jié)束語(yǔ)

本文基于橢圓曲線，借用重加密思想，采用傳遞加密的方式設(shè)計(jì)一套R(shí)FID 標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議，同時(shí)基于共享秘密，該方案具有檢驗(yàn)標(biāo)簽真?zhèn)蔚墓δ?。在DLP 和K－CAA1的作用下，結(jié)合GNY 邏輯，論證了協(xié)議能滿足較高的安全和隱私需求。基于Lee等的RFID 處理器，標(biāo)簽端點(diǎn)乘的計(jì)算可在512 ms內(nèi)完成，與Cheng等的方案相比，計(jì)算效率明顯提高。下一步工作主要在于研究如何以批處理的方法執(zhí)行標(biāo)簽組的所有權(quán)轉(zhuǎn)移以滿足更廣泛的應(yīng)用需求，并設(shè)計(jì)出更高效的協(xié)議。

［1］Lo NW，Ruan SH，Wu TC.Ownership transfer protocol for rfid objects using lightweight computing operators［C］／／International Conference on Internet Technology and Secured Transactions，IEEE，2011：484－489.

［2］Zuo Y.Changing hands together：A secure group ownership transfer protocol for RFID tags［C］／／43rd Hawaii International Conference on System Sciences，IEEE，2010：1－10.

［3］Kulseng L，Yu Z，Wei Y，et al.Lightweight mutual authentication and ownership transfer for RFID systems［C］／／INFOCOM，Proceedings IEEE，2010：1－5.

［4］Kardas S，Akgun M，Kiraz MS，et al.Cryptanalysis of lightweight mutual authentication and ownership transfer for RFID systems［C］／／Workshop on Lightweight Security ＆Privacy：Devices，Protocols and Applications，IEEE，2011：20－25.

［5］Chen CL，Lai YL，Chen CC，et al.RFID ownership transfer authorization systems conforming EPCglobal Class－1generation－2Standards［J］.IJ Network Security，2011，13 （1）：41－48.

［6］Song B，Mitchell CJ.Scalable RFID security protocols supporting tag ownership transfer ［J］.Computer Communications，2011，34 （4）：556－566.

［7］Kapoor G，Zhou W，Piramuthu S.Multi－tag and multi－owner RFID ownership transfer in supply chains ［J］.Decision Support Systems，2011，52 （1）：258－270.

［8］Munilla J，Peinado A，Yang G，et al.Enhanced ownership transfer protocol for RFID in an extended communication model［J］.ACR Cryptology ePrint Archive，2013：187.

［9］Hein D，Wolkerstorfer J，F(xiàn)elber N.ECC is ready for RFID－A proof in silicon ［G］.LNCS 5381：Selected Areas in Cryptography.Springer Berlin Heidelberg，2009：401－413.

［10］Lee YK，Sakiyama K，Batina L，et al.Elliptic－curve－based security processor for RFID ［J］.IEEE Transactions on Computers，2008，57 （11）：1514－1527.

［11］Liao YP，Hsiao CM.A secure ECC－based RFID authentication scheme integrated with ID－verifier transfer protocol［J］.Ad Hoc Networks，2013，18：133－146.

［12］Lee YK，Batina L，Singelée D，et al.Low－cost untraceable authentication protocols for RFID ［C］／／Proceedings of the 3rd ACM Conference on Wireless Network Security，2010：55－64.

［13］Cheng S，Varadharajan V，Mu Y，et al.A secure elliptic curve based RFID ownership transfer scheme with controlled delegation ［J］.Cryptology and Information Security Series，2013，11：31－43.

［14］Yang MH.Across－authority lightweight ownership transfer protocol［J］.Electronic Commerce Research and Applications，2011，10 （4）：375－383.

［15］Yang MH.Secure multiple group ownership transfer protocol for mobile RFID ［J］.Electronic Commerce Research and Applications，2012，11 （4）：361－373.

［16］Chen CL，Chien CF.An ownership transfer scheme using mobile RFIDs ［J］. Wireless Personal Communications，2013，68 （3）：1093－1119.

［17］Munilla J，Guo F，Susilo W.Cryptanalaysis of an EPCC1G2 standard compliant ownership transfer scheme ［J］.Wireless Personal Communications，2013，72 （1）：245－258.

［18］Ray BR，Chowdhury M，Abawajy J.Secure mobile RFID ownership transfer protocol to cover all transfer scenarios［C］／／Proceeding of the 7th International Conference on Computing and Convergence Technology，IEEE，2012：1185－1192.

［19］WANG Cong，LIU Jun，WANG Xiaoguo，et al.Security protocol principle and verification ［M］.Beijing：Beijing University of Posts and Telecommunications Publishing House，2011：168－177 （in Chinese）.［王聰，劉軍，王孝國(guó)，等.安全協(xié)議原理與驗(yàn)證 ［M］.北京：北京郵電大學(xué)出版社，2011：168－177.］

［20］Aumasson JP，Henzen L，Meier W，et al.Quark：A lightweight hash ［J］.Journal of Cryptology，2013，26 （2）：313－339.