陳秀清　曹天杰　翟靖軒（徐州醫(yī)科大學(xué)醫(yī)學(xué)信息學(xué)院徐州221008）（中國礦業(yè)大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院徐州221008）

?

可證明安全的輕量級RFID所有權(quán)轉(zhuǎn)移協(xié)議

陳秀清①曹天杰*②翟靖軒②①
①（徐州醫(yī)科大學(xué)醫(yī)學(xué)信息學(xué)院徐州221008）
②（中國礦業(yè)大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院徐州221008）

設(shè)計(jì)安全的無線射頻識(shí)別協(xié)議有助于實(shí)現(xiàn)“智慧城市”的規(guī)劃和構(gòu)建完善的智慧網(wǎng)絡(luò)。安全的RFID所有權(quán)轉(zhuǎn)移協(xié)議要求同時(shí)具備安全性和隱私性，標(biāo)簽的前向不可追蹤性和后向不可追蹤性是RFID系統(tǒng)實(shí)際應(yīng)用中需要考量的兩個(gè)重要的隱私性能。針對現(xiàn)有供應(yīng)鏈系統(tǒng)中所有權(quán)轉(zhuǎn)移協(xié)議存在的各種安全隱私問題，該文改進(jìn)了原有前向不可追蹤性定義的錯(cuò)過密鑰更新過程的不合理的假設(shè)，提出了強(qiáng)前向不可追蹤性的概念。提出了一個(gè)基于二次剩余定理的輕量級RFID所有權(quán)轉(zhuǎn)移協(xié)議，并使用改進(jìn)的模型和定義形式化證明了協(xié)議的安全性和隱私性。證明結(jié)果表明新方案既可以抵御內(nèi)部讀卡器惡意假冒攻擊，追蹤攻擊，標(biāo)簽假冒攻擊和異步攻擊，又滿足強(qiáng)前向不可追蹤性和后向不可追蹤性等隱私性能；新協(xié)議在實(shí)現(xiàn)低成本和高效率認(rèn)證的基礎(chǔ)上，比其他協(xié)議安全性和隱私性更好。

無線射頻識(shí)別；所有權(quán)轉(zhuǎn)移協(xié)議；強(qiáng)前向不可追蹤性；后向不可追蹤性；二次剩余定理

列表式和密鑰更新式RFID協(xié)議［6］實(shí)現(xiàn)了標(biāo)簽的信息對閱讀器的匿名安全性和不可追蹤隱私性。最近文獻(xiàn)［7］介紹了前向隱私性、后向隱私性和受限后向隱私性的定義。文獻(xiàn)［8］給出了不同的前向不可追蹤性和后向不可追蹤性的定義。在所有權(quán)轉(zhuǎn)移協(xié)議中，為了保護(hù)標(biāo)簽的所有權(quán)的隱私性，需要滿足所有權(quán)轉(zhuǎn)移協(xié)議的前向安全隱私和后向安全隱私兩種性能。

文獻(xiàn)［8］使用Vaudenay模型進(jìn)行了形式化分析，通過改進(jìn)模型的預(yù)假設(shè)，用于形式化證明協(xié)議的前向安全隱私和后向安全隱私等性能。文獻(xiàn)［9］使用安全證明模型來證明提出的協(xié)議滿足基本的安全需求，即抵抗內(nèi)部所有者惡意假冒攻擊，隨后指出文獻(xiàn)［10］中的所有權(quán)轉(zhuǎn)移協(xié)議存在異步攻擊和新舊所有者的密鑰泄露的問題。文獻(xiàn)［11］也指出文獻(xiàn)［10］沒有實(shí)現(xiàn)新所有者的隱私保護(hù)問題。文獻(xiàn)［12］給出了所有權(quán)轉(zhuǎn)移的模型，證明了所有權(quán)者和標(biāo)簽之間的隱私性。文獻(xiàn)［5］設(shè)計(jì)了一種基于二次剩余定理的所有權(quán)轉(zhuǎn)移協(xié)議，這種協(xié)議標(biāo)簽端不需要進(jìn)行哈希計(jì)算，此協(xié)議滿足EPC Class-1 Gen-2標(biāo)準(zhǔn)，并適用于大規(guī)模系統(tǒng)應(yīng)用，但存在內(nèi)部讀卡器惡意假冒攻擊。此外，現(xiàn)存的很多所有權(quán)轉(zhuǎn)移協(xié)議并沒有使用文獻(xiàn)［8］提出的前向和后向不可追蹤性的概念進(jìn)行形式化分析，導(dǎo)致新所有權(quán)轉(zhuǎn)移協(xié)議不安全?，F(xiàn)有協(xié)議［13-18］并沒有使用不可追蹤模型分析協(xié)議的安全性，因此基于不可追蹤模型設(shè)計(jì)了基于二次剩余定理的輕量級所有權(quán)轉(zhuǎn)移協(xié)議。

本文簡要介紹了證明協(xié)議安全性和隱私性的安全模型，提出了新的基于二次剩余定理的所有權(quán)轉(zhuǎn)移協(xié)議，在安全模型下形式化分析新協(xié)議的安全性，同時(shí)在安全隱私性能和效率性能兩方面與其他協(xié)議比較，實(shí)驗(yàn)結(jié)果證明新協(xié)議具有更好的安全性和高效性，滿足文中提出的安全和性能需求。

2　安全模型

文獻(xiàn)［8，13］分別對RFID協(xié)議的隱私性能進(jìn)行了形式化定義，本文基于Vaudenay模型［19］進(jìn)一步改進(jìn)安全模型，減弱證明中的安全假設(shè)，通過改進(jìn)敵手建模協(xié)議運(yùn)行環(huán)境的能力來證明協(xié)議的安全性。本文安全模型可以訪問以下預(yù)言機(jī)：CreateTag（ID），D raw Tag（dist），F(xiàn)ree（vtag），Launch（），SendReader（m，π），SendTag（m，T），Corrupt（vtag）。根據(jù)攻擊者的能力，Vaudenay首次將攻擊者依據(jù)能否查詢Corrup t（v tag）預(yù)言機(jī)劃分為弱，前向，破壞，強(qiáng)（Weak，F(xiàn)orward，Destructive，Strong）等4個(gè)能力等級。強(qiáng)攻擊者具有訪問任何預(yù)言機(jī)的能力；弱敵手不能對任何標(biāo)簽執(zhí)行Corrupt（vtag）操作。同時(shí)依據(jù)敵手能否查詢Resu lt（π）預(yù)言機(jī)將敵手能力分為窄（Narrow）和寬（W ide）兩種敵手（窄攻擊者不能查詢Result預(yù)言機(jī)）。依據(jù)以上兩種不同的分類可分為8種不同能力的敵手。

前向和后向不可追蹤性能這兩種性能和追蹤攻擊都屬于定位隱私（location privacy）的范疇，與內(nèi)部讀卡器惡意攻擊的敵手能力的假設(shè)條件并不相同。而在定義前向和后向不可追蹤性能的概念時(shí)，本文假設(shè)敵手的能力是窄-強(qiáng)（Narrow-strong）敵手，分別分析第（1i+）次會(huì)話和第（1i-）次會(huì)話。雖然Vaudenay模型能夠很好地分析當(dāng)前第i次會(huì)話，但并不能進(jìn)行前向和后向不可追蹤性能分析。因此文獻(xiàn)［8］進(jìn)一步使用Vaudenay模型進(jìn)行形式化分析文獻(xiàn)［20］提出前向和后向不可追蹤性能的兩個(gè)定義，即使用第（2i+）次會(huì)話分析前向不可追蹤性和使用過去第（1i-）次會(huì)話分析后向不可追蹤性，通過改變預(yù)假設(shè)條件來改進(jìn)Vaudenay的模型中的缺點(diǎn)。這些定義不僅可以分析所有權(quán)轉(zhuǎn)移協(xié)議的前向和后向不可追蹤性能，還可用于分析密鑰更新協(xié)議。在原有模型中假設(shè)敵手是寬攻擊者，且錯(cuò)過了密鑰的更新過程，這種假設(shè)不符合實(shí)際攻擊環(huán)境。因此假設(shè)敵手的攻擊能力是窄-強(qiáng)攻擊者，沒有錯(cuò)過密鑰的更新過程，可以持續(xù)監(jiān)聽協(xié)議的運(yùn)行，并分析第（1i+）次會(huì)話中標(biāo)簽密鑰的安全性，在改進(jìn)假設(shè)條件后提出了一種強(qiáng)前向不可追蹤性的定義。

對安全的RFID認(rèn)證協(xié)議定義如下：

定義1前向不可追蹤性（forward untraceable）。敵手運(yùn)行第i次會(huì)話，即使得到腐化后的第i次會(huì)話的標(biāo)簽密鑰和會(huì)話內(nèi)容，但是錯(cuò)過第（1i+）次密鑰更新過程，即使監(jiān)聽到所有者和標(biāo)簽的將來第（2i+）次會(huì)話內(nèi)容，也無法推知出第（2i+）次的標(biāo)簽密鑰和標(biāo)簽輸出信息，無法追蹤到第（2i+）次會(huì)話時(shí)的標(biāo)簽狀態(tài)。

定義2后向不可追蹤性（backward untraceable）。敵手運(yùn)行第i次會(huì)話，即使得到腐化后的第次i標(biāo)簽密鑰，也無法從協(xié)議的過去（1i-）次會(huì)話內(nèi)容中推知出第（1i-）次的標(biāo)簽密鑰和標(biāo)簽輸出信息，無法追蹤到第（1i-）次會(huì)話時(shí)的標(biāo)簽狀態(tài)。

定義3強(qiáng)前向不可追蹤性（strong forward untraceable）。敵手運(yùn)行第i次協(xié)議，假設(shè)敵手得到腐化后的第i次的標(biāo)簽密鑰和會(huì)話內(nèi)容，再對第（1i+）次會(huì)話分析，無法推知第（1i+）次的標(biāo)簽密鑰和標(biāo)簽輸出信息。

3　輕量級RFID所有權(quán)轉(zhuǎn)移協(xié)議

新協(xié)議中使用的符號(hào)和定義如表1所列。

表1　符號(hào)和定義

新所有權(quán)轉(zhuǎn)移協(xié)議分為閉環(huán)系統(tǒng)和開環(huán)系統(tǒng)。閉環(huán)RFID系統(tǒng)的定義是標(biāo)簽位于新所有者與當(dāng)前所有者可以識(shí)別的范圍內(nèi)的系統(tǒng)。本文僅設(shè)計(jì)適用于移動(dòng)讀卡器的閉環(huán)系統(tǒng)的輕量級所有權(quán)轉(zhuǎn)移RFID協(xié)議（Lightweight RFID Ownership Transfer Protocol，LROTP）。LROTP協(xié)議包括初始化階段和所有權(quán)轉(zhuǎn)移階段。LROTP協(xié)議步驟如下：

（1）初始化階段：假設(shè)當(dāng)前所有者（讀卡器）與標(biāo)簽之間共享一些密鑰信息。讀卡器生成兩個(gè)大素?cái)?shù)p和q并計(jì)算n=pq。在該系統(tǒng)中每個(gè)有效的標(biāo)簽，所有者與標(biāo)簽共享一個(gè)私密密鑰每個(gè)vi都代表一個(gè)n bit字符串。每個(gè)標(biāo)簽都被初始化為舊讀卡器儲(chǔ)存密鑰為新讀卡器存儲(chǔ)密鑰為（h

（2）所有權(quán)轉(zhuǎn)移階段：

步驟1舊讀寫器Ri加密n的信息為

步驟1.1 Ri傳遞A給新讀寫器。

步驟1.2 Ri+1發(fā)送所有權(quán)轉(zhuǎn)移信息給標(biāo)簽Ti。

步驟2 Ti接收到OT后，計(jì)算

步驟2.1iT發(fā)送至新讀寫器

步驟3 Ri收到標(biāo)簽的信息后，當(dāng)前讀卡器Ri使用n和Rt"，解出Rt的值，即當(dāng)前讀卡器會(huì)解出以n為模的Rt2的Rt的值。利用p和q，獲得Rt2的值。同時(shí)通過F提取ns。敵手分別計(jì)算Rt⊕ns⊕vp的值和異或值h（TID）⊕rc，最后判斷這兩個(gè)計(jì)算的值是否相等。如果不相等，傳遞的信息驗(yàn)證不通過，停止協(xié)議；如果相等，則判斷傳遞的消息是合法標(biāo)簽生成的，當(dāng)前讀卡器計(jì)算然后Ri通過安全通道發(fā)送ACKS至新讀卡器。

步驟4新讀卡器Ri+1接收到ACKS，并生成大素?cái)?shù)n'=p'q'。新讀卡器使用密鑰rn提取nT=利用H1驗(yàn)證傳遞數(shù)據(jù)（G1，ACKS）的完整性。新讀卡器向標(biāo)簽發(fā)送信息（G1，H1，ACKS）。

步驟5標(biāo)簽Ti接收信息后生成nT2，從接收的消息G1中提取n'的值，并進(jìn)一步驗(yàn)證標(biāo)簽計(jì)算的哈希值和接收的值H1是否相等。如果不相等，則終止協(xié)議；如果相等，則標(biāo)簽認(rèn)為提取的數(shù)據(jù)n'是合法的，隨后計(jì)算模運(yùn)算和驗(yàn)證消息C0用于驗(yàn)證傳遞數(shù)據(jù)x"的完整性。標(biāo)簽發(fā)送消息

步驟6 Ri+1接收到標(biāo)簽的（x"，C0）后，首先比較Ri+1計(jì)算的哈希值h（x||n）是否和接收到的C0相等。如果不相等則停止協(xié)議；如果相等，則新讀卡器會(huì)解出以n'為模的x2的解R，并利用以p'和q'為模，識(shí)別x2值。新讀卡器生成隨機(jī)數(shù)r'和新密鑰并計(jì)算如下信息：最后更新新標(biāo)簽的密鑰為發(fā)送信息（G2，ACKn，C）到標(biāo)簽Ti。

4　形式化安全分析和性能分析

4.1隱私性和安全性形式化證明LROTP協(xié)議基于Vaudenay模型建模反映運(yùn)行環(huán)境和不同攻擊能力的敵手的安全模型，分別使用定理1和定理2形式化證明LROTP協(xié)議的隱私性，使用定理3，定理4和定理5證明LROTP協(xié)議的安全性。

定理1在窄-強(qiáng)敵手攻擊能力的安全模型下，LROTP協(xié)議滿足強(qiáng)前向不可追蹤性能。

證明假設(shè)窄-強(qiáng)敵手執(zhí)行第i次協(xié)議，腐化得到標(biāo)簽的密鑰和輸入輸出信息，但是可以監(jiān)聽到第（i+1）次的會(huì)話內(nèi)容，敵手無法推斷出（i+1）次的標(biāo)簽的密鑰和輸出信息。觀察標(biāo)簽的算法結(jié)構(gòu)，標(biāo)簽端的密鑰更新都使用了x'更新，可以得出計(jì)算標(biāo)簽的密鑰更新和輸出信息都需要知道x的值。因此在敵手計(jì)算x值的方法上，從以下兩種情況考慮（證明過程的流程圖見圖1）。

（1）第（i+1）次會(huì)話時(shí)敵手計(jì)算目標(biāo)標(biāo)簽其他密鑰更新值：敵手計(jì)算更新的密鑰需要竊聽但是因?yàn)閿呈譄o法獲取ix就無法計(jì)算ih（x），所以無法x x推測同理敵手無法計(jì)算出標(biāo)簽更新后密鑰

圖1　證明LROTP協(xié)議滿足強(qiáng)前向不可追蹤性的算法流程圖

大部分協(xié)議使用隨機(jī)數(shù)來同步更新密鑰，而加密的隨機(jī)數(shù)消息容易被敵手獲得，并解出隨機(jī)數(shù)的值。而新的協(xié)議使用x'更新標(biāo)簽和讀卡器密鑰。而所有的密鑰更新都需要x'加密，x'的安全性決定了更新后密鑰的安全性，即協(xié)議滿足強(qiáng)前向不可追蹤性。證畢

定理2在窄-強(qiáng)敵手攻擊能力的安全模型下，LROTP協(xié)議滿足后向不可追蹤性能。

證明敵手利用第（1i+）次的標(biāo)簽密鑰和監(jiān)聽到的信息，也無法計(jì)算出第i次會(huì)話的標(biāo)簽的密鑰同時(shí)也無法推測出第i次的標(biāo)簽輸出信息因此敵手無法比較自身的計(jì)算值和監(jiān)聽到的是否相同，從而無法區(qū)分出vtag和vtagx。因此敵手分析標(biāo)簽的后向可追蹤性能的優(yōu)勢為0，LROTP協(xié)議滿足后向不可追蹤性能，證明過程的流程圖見圖2。證畢

定理3在弱敵手攻擊能力的安全模型下，LROTP協(xié)議是抵抗內(nèi)部讀卡器惡意攻擊的。

證明從以下兩種情況分析內(nèi)部讀卡器惡意攻擊（證明過程的流程圖見圖3）。

（1）抵抗新讀卡器惡意假冒舊讀卡器攻擊：假設(shè)舊讀卡器沒有參與生成消息ACKS，新讀卡器利用監(jiān)聽攻擊的結(jié)果，竊聽了新讀卡器和標(biāo)簽之間的信息，無法利用自己的密鑰和已知的信息來計(jì)算出舊讀卡器的輸出的信息或者是推斷出舊讀卡器的任何密鑰所以新讀卡器無法惡意假冒舊讀卡器。從以下兩方面分析這種情況。一方面，新讀卡器計(jì)算需要知道）的值，但是新讀卡器不知舊標(biāo)簽的密鑰值并且無法從中得到的值，而且+Plv的值也是隨機(jī)的。另一方面，新讀卡器無法利用自己的密鑰和監(jiān)聽的信息計(jì)算出舊讀卡器的密鑰。例如新讀卡器僅分析監(jiān)聽的消息pR和F是無法推斷出標(biāo)簽的密鑰TIDK和cr的值，因?yàn)閜R是隨機(jī)選取的，而F中含有隨機(jī)數(shù)sn。

（2）抵抗舊讀卡器惡意假冒新讀卡器攻擊：假設(shè)新讀卡器沒有參與系統(tǒng)并生成任何消息而舊讀卡器利用自己的密鑰和已知的信息可以計(jì)算出和新讀卡器相同的輸出的信息或者是推斷出新讀卡器的密鑰。分析以下兩種情況：一方面，舊讀卡器利用監(jiān)聽攻擊獲取新讀卡器和標(biāo)簽之間的信息，無法推算出新讀卡器或是標(biāo)簽的的密鑰，經(jīng)過驗(yàn)證可知標(biāo)簽的信息都是加密并且不能獲取任何實(shí)體的密鑰。另一方面，因?yàn)榕f讀卡器計(jì)算1G和1H的值都需要知道n'和Tn值，但是舊讀卡器不能從E中提取出標(biāo)簽的生成的隨機(jī)值Tn，因此也不能從1G中提取讀卡器的密鑰n'。同理舊讀卡器也無法計(jì)算出只有新讀卡器才能產(chǎn)生的信息（2G，ACKn，C），因此舊讀卡器無法惡意假冒新讀卡器。當(dāng)且僅當(dāng)讀卡器惡意假冒舊讀卡器和假冒新讀卡器的優(yōu)勢都為0時(shí)，LROTP協(xié)議抵抗內(nèi)部讀卡器惡意攻擊。證畢

圖2　證明LROTP協(xié)議滿足后向不可追蹤性的算法流程圖

圖3　證明LROTP協(xié)議是抵抗內(nèi)部讀卡器惡意攻擊的算法流程圖

定理4在弱敵手攻擊能力的安全模型下，LROTP協(xié)議可以抵抗標(biāo)簽假冒攻擊和異步攻擊。

證明敵手實(shí)現(xiàn)異步攻擊的方式有以下3種情況：

（1）敵手阻止讀卡器更新，而更新標(biāo)簽的密鑰。

新協(xié)議采用先更新讀卡器的密鑰，再更新標(biāo)簽的密鑰，因此敵手無法實(shí)現(xiàn)這種情況下的異步攻擊。

（2）敵手在實(shí)施假冒標(biāo)簽攻擊后，促使讀卡器兩次更新標(biāo)簽密鑰，而標(biāo)簽不更新密鑰。

第1步，敵手監(jiān)聽協(xié)議的第i次正常會(huì)話，攔截LROTP協(xié)議的所有權(quán)轉(zhuǎn)移階段中的步驟6的信息（2G，ACKn，C），阻止標(biāo)簽接收正確的消息和更新密鑰。第2步，敵手啟動(dòng)第（1i+）次會(huì)話，并修改標(biāo)簽的輸出消息（x"，0C），使得修改后的假冒的標(biāo)簽信息通過讀卡器的驗(yàn)證，讀卡器計(jì)算錯(cuò)誤的消息，隨后使用錯(cuò)誤的參數(shù)更新密鑰；標(biāo)簽接收讀卡器發(fā)送的消息并驗(yàn)證消息的正確性，標(biāo)簽拒絕并阻止密鑰更新。

但是敵手修改x"為Ax"的值，0C的哈希計(jì)算中包含敵手無法計(jì)算的，在讀卡器驗(yàn)證傳遞的信息（Ax"，0C）的完整性，并不能通過包含Ax"的0C的驗(yàn)證。因此新協(xié)議不存在標(biāo)簽假冒攻擊導(dǎo)致的異步攻擊。

（3）敵手修改讀卡器發(fā)送的消息，即在外部非法讀卡器假冒攻擊的前提下，讀卡器正常更新密鑰，而標(biāo)簽使用錯(cuò)誤的參數(shù)錯(cuò)誤更新的密鑰。

敵手啟動(dòng)LROTP協(xié)議，在所有權(quán)轉(zhuǎn)移階段中執(zhí)行步驟1到步驟6，修改步驟6傳遞的信息（2G，ACKn，C），使得修改后的信息通過標(biāo)簽的驗(yàn)證，并使得標(biāo)簽更新密鑰。但是驗(yàn)證消息C中含有2G和ACKn，所以敵手不能通過修改2G和ACKn而通過標(biāo)簽驗(yàn)證。

因此敵手在任何一種情況下都無法實(shí)現(xiàn)異步攻擊，LROTP協(xié)議抵抗標(biāo)簽假冒攻擊和異步攻擊。證畢

定理5在弱敵手攻擊能力的安全模型下，LROTP協(xié)議可以抵抗追蹤攻擊。

證明標(biāo)簽每次響應(yīng)時(shí)都會(huì)產(chǎn)生隨機(jī)數(shù)，并將生成的隨機(jī)數(shù)用于加密標(biāo)簽和讀卡器傳輸?shù)臄?shù)據(jù)。即使在標(biāo)簽密鑰沒有更新的情況下，標(biāo)簽在不同的會(huì)話中，每個(gè)階段標(biāo)簽輸出的信息仍然不同；并且輸出的信息之間經(jīng)過簡單的運(yùn)算操作（異或，加減運(yùn)算）不存在任何恒等的關(guān)系。例如，敵手想利用監(jiān)聽到的信息（OT，A）重放給密鑰未更新的標(biāo)簽iT，iT反饋）給敵手，但是這4個(gè)信息中都含有標(biāo)簽生成的隨機(jī)數(shù)。其中消息tR=在不同的會(huì)話中標(biāo)簽選擇的隨機(jī)數(shù)sn和pv不相同，因此生成的信息tR都不相同，因此LROTP協(xié)議可以抵抗追蹤攻擊。證畢

4.2協(xié)議比較

（1）協(xié)議安全性比較：對LROTP協(xié)議進(jìn)行安全性分析，將LROTP方案與其他協(xié)議的安全性對比，相關(guān)比較結(jié)果如表2所列。文獻(xiàn)［3］詳細(xì)分析了文獻(xiàn)［1］存在標(biāo)簽追蹤攻擊和異步攻擊，但是并沒有指出協(xié)議［1，2］存在的其他問題。本文指出文獻(xiàn)［3］提出的協(xié)議存在追蹤攻擊。在文獻(xiàn)［2］的協(xié)議中，標(biāo)簽輸出信息（X，T）的數(shù)據(jù)結(jié)構(gòu)和文獻(xiàn)［3］協(xié)議標(biāo)簽輸出（x"，t"）是相同的，因此文獻(xiàn)［2］協(xié)議也存在追蹤攻擊。文獻(xiàn)［1］存在的標(biāo)簽假冒攻擊，因?yàn)闃?biāo)簽的輸出數(shù)據(jù)結(jié)構(gòu)相同，因此文獻(xiàn)［2，3］也存在標(biāo)簽假冒攻擊。

表2　相關(guān)協(xié)議安全性比較

文獻(xiàn)［1-3］協(xié)議中沒有區(qū)分新舊讀卡器，所以不需要分析讀卡器惡意攻擊。在文獻(xiàn)［5］協(xié)議存在內(nèi)部讀卡器假冒攻擊。文獻(xiàn)［4］協(xié)議和文獻(xiàn)［5］協(xié)議結(jié)構(gòu)類似，因此存在著相同的安全性問題。本文LROTP協(xié)議中新屬主只是傳遞加密的n'的值給標(biāo)簽，基于NP難解問題，而敵手或是其他惡意讀卡器很難計(jì)算大素?cái)?shù)p和q的值。另外舊屬主無法獲取更新后標(biāo)簽的任何密鑰和新屬主的密鑰。同理新屬主也無法獲取更新前標(biāo)簽的舊屬主的密鑰，防止惡意所有者攻擊。

文獻(xiàn)［1-3］協(xié)議中只需要更新標(biāo)簽密鑰1ir+= PRNG因此只分析密鑰r的狀態(tài)即可分析標(biāo)簽的后向和強(qiáng)前向不可追蹤性等性能。因?yàn)槊荑€更新采用PRNG函數(shù)，此函數(shù)無法反向計(jì)算出種子值，即使敵手已經(jīng)腐化了當(dāng)前密鑰ir，但是無法推知過去密鑰1ir-，因此文獻(xiàn)［1-3］協(xié)議滿足后向不可追蹤性；如果敵手利用腐化的當(dāng)前密鑰ir和PRNG函數(shù)就可以計(jì)算出1ir+值，因此這種密鑰更新機(jī)制導(dǎo)致文獻(xiàn)［1-3］協(xié)議不滿足強(qiáng)前向不可追蹤性。文獻(xiàn)［21］協(xié)議提出了認(rèn)證和所有權(quán)管理協(xié)議，但是由于沒有采用二次剩余定理，所以不滿足強(qiáng)前向不可追蹤性。

為了解決更新標(biāo)簽密鑰機(jī)制中的使用的隨機(jī)數(shù)容易泄露的問題，當(dāng)前所有者與目標(biāo)標(biāo)簽認(rèn)證LROTP協(xié)議和文獻(xiàn)［4，5］協(xié)議時(shí)，使用x'同步更新標(biāo)簽和新所有者的密鑰，使得這類協(xié)議滿足強(qiáng)前向不可追蹤性和后向不可追蹤性，可以抵抗追蹤攻擊，但是僅有LROTP協(xié)議能抵抗異步攻擊和內(nèi)部讀卡器惡意攻擊。

（2）協(xié)議性能比較：從存儲(chǔ)量和計(jì)算量，通信代價(jià)等3個(gè)方面對提出的協(xié)議進(jìn)行性能分析，評估比較的結(jié)果如表3所列。

表3　相關(guān)協(xié)議性能比較

（a）計(jì)算代價(jià)：為了實(shí)現(xiàn)較低的計(jì)算代價(jià)，協(xié)議［13］-雖然沒有使用哈希函數(shù)，但是存在著很大的安全問題。LROTP協(xié)議使用哈希函數(shù)保證了協(xié)議的安全性，并且標(biāo)簽使用的偽隨機(jī)數(shù)比文獻(xiàn)［5］少。

（b）通信代價(jià)：通過減少通信循環(huán)次數(shù)或者通信通道傳輸?shù)臄?shù)據(jù)量來降低通信代價(jià)。在表3中，本文的LROTP協(xié)議標(biāo)簽和讀卡器之間的通信次數(shù)是5輪，與文獻(xiàn)［4，5］7輪的通信代價(jià)相比減少了2輪。

（c）存儲(chǔ)代價(jià)：減少讀卡器端的存儲(chǔ)量會(huì)減少協(xié)議整體的計(jì)算量。由表3可知，LROTP協(xié)議與文獻(xiàn)［4，5］相比，在降低讀卡器和標(biāo)簽存儲(chǔ)空間的基礎(chǔ)上實(shí)現(xiàn)了更高的安全性能和隱私特性。因?yàn)樽x卡器不再保存長比特密鑰n，而用梅森數(shù)2 1t-來表示n，只存儲(chǔ)t降低了讀卡器存儲(chǔ)空間，提高讀卡器的計(jì)算性能。

5　結(jié)束語

本文的輕量級所有權(quán)轉(zhuǎn)移LROTP協(xié)議解決現(xiàn)有所有權(quán)轉(zhuǎn)移協(xié)議存在的內(nèi)部讀卡器惡意攻擊等安全問題，并滿足強(qiáng)前向不可追蹤性和后向不可追蹤性。與其他所有權(quán)轉(zhuǎn)移協(xié)議比較，LROTP協(xié)議具有較好的安全性和較高的效率。在未來的研究工作中，將使用Vaudenay模型中的基于強(qiáng)敵手攻擊能力的安全模型分析新設(shè)計(jì)的協(xié)議，并同時(shí)分析在強(qiáng)敵手攻擊能力的安全模型下其他協(xié)議的安全性。

［1］CHEN Yalin，CHOU Juesam，and SUN Hungm in.A novel mutual authentication scheme based on quadratic residues for RFID system s［J］.Com puter Networks，2008，52（12）: 2373-2380.doi:10.1016/j.com net.2008.04.016.

［2］YEH Tzuchang，WU Chienhung，and TSENG Yuhm in. Im provement of the RFID authentication scheme based on quadratic residues［J］.Computer Communications，2011，34（3）:337-341.doi:10.1016/j.com com.2010.05.011.

［3］DOSS Robin，SUNDARESAN Saravanan，and ZHOU W anlei.A p ractical quadratic residues based scheme for authentication and privacy in mobile RFID system s［J］.Ad Hoc Networks，2013，11（1）:383-396.doi:10.1016/j.adhoc. 2012.06.015.

［4］DOSS Robin and ZHOU W anlei.A secure tag ownership transfer scheme in a closed loop RFID system［C］.Proceedings of theW ireless Communications and Networking Conference W orkshops（WCNCW），Paris，2012:164-169.

［5］DOSSRobin，ZHOU W anlei，and YU Shui.Secu re RFID tag ownership transfer based on quadratic residues［J］.IEEE Transactions on Information Forensics and Security，2013，8（2）:390-401.doi:10.1109/TIFS.2012.2235834.

［6］謝潤，許春香，陳文杰，等.一種具有閱讀器匿名功能的射頻識(shí)別認(rèn)證協(xié)議［J］.電子與信息學(xué)報(bào)，2015，37（5）:1241-1247. doi:10.11999/JEIT140902.

XIE Run，XU Chunxiang，CHEN Wenjie，et al.An RFID authentication p rotocol anonymous against readers［J］. Journal ofElectronics&Information Techno logy，2015，37（5）: 1241-1247.doi:10.11999/JEIT 140902.

［7］金永明，孫惠平，關(guān)志，等.RFID標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議研究［J］.計(jì)算機(jī)研究與發(fā)展，2011，48（8）:1400-1405.

JIN Yongming，SUN Huiping，GUAN Zhi，et al.Ownership transfer p rotocol for RFID tag［J］.Journal of Computer Research and Developm ent，2011，48（8）:1400-1405.

［8］ALAGHEBAND M ahd i R and AREF M ohamm ad R. Simulation-based traceability analysis of RFID authentication protocols［J］.W ireless Personal Communications，2014，77（2）:1019-1038.doi:10.1007/ s11277-013-1552-7.

［9］MORIYAMA Daisuke.Cryptanalysis and Im provement of A Provably Secure RFID Ownership Transfer Protocol［M］. Lightweight Cryptography for Security and Privacy，Springer Berlin Heidelberg，2013:114-129.doi:10.1007/978-3-642-40392-7_9.

［10］ELKHIYAOUI Kaoutar，BLASS Erik-Oliver，and MOLVA Refik.ROT IV:RFID Ownersh ip Transfer w ith Issuer Verification［M］.RFID Security and Privacy，Springer Berlin Heidelberg，2012:163-182.doi:10.1007/978-3-642-25286-0_11.

［11］CHIEN Hungyu.Com bin ing Rabin cryptosystem and error correction codes to facilitate anonym ous authen tication w ith un-traceability for low-end devices［J］.Computer Networks，2013，57（14）:2705-2717.doi:10.1016/j.comnet.2013.06.005.

［12］VAN Deursen T.Security of RFID protocols［D］.［Ph.D. dissertation］，University of Luxem bourg，Luxembourg，2011.

［13］張輝，侯朝煥，王東輝.一種基于部分ID的新型RFID安全隱私相互認(rèn)證協(xié)議［J］.電子與信息學(xué)報(bào)，2009，31（4）:853-856.

ZHANG Hui，HOU Chaohuan，and WANG Donghui.A new security and p rivacy on RFIDmutualauthentication protocol based on partial ID［J］.Journal of Electronics&Inform ation Technology，2009，31（4）:853-856.

［14］LI Nan，MU Yi，SUSILOA W illy，et al.Shared RFID ownership transfer protocols［J］.Computer Standards& Interfaces，2015，42:95-104.doi:10.1016/j.csi.2015.05.003.

［15］ZHANG Shigeng，LIU Xuan，WANG Jianxin，et al. Energy-efficient active tag search ing in large scale RFID systems shigeng［J］.Information Sciences，2015，317:143-156. doi:10.1016/j.ins.2015.04.048.

［16］HSIChengter，LIEN Yuanhung，CHIU Junghui，etal.Solving scalability problem s on secure RFID grouping-proof protocol［J］.W ireless Personal Communications，2015，84（2）: 1069-1088.doi:10.1007/s11277-015-2676-8.

［17］AKGUN Mete and?AGLAYAN M Ufuk.Providing destructive p rivacy and scalability in RFID systems using PUFs［J］.Ad Hoc Netw orks，2015，32:32-42.doi:10.1016/ j.adhoc.2015.02.001.

［18］ZHANG Daqiang，QIAN Yum ing，WAN Jiafu，et al.An efficient RFID search protocol based on clouds［J］.Mobile Network Application，2015，20:356-362.doi:10.1007/ s11036-015-0597-0.

［19］VAUDENAY Serge.On Privacy Models for RFID［M］. Lecture Notes in Com puter Science，Sp ringer Berlin Heidelberg，2007，4833:68-87.doi:10.1007/978-3-540-76900-2_5.

［20］PHAN Raphael C W，WU Jiang，OUAFI Khaled，et al. Privacy analysis of forward and backward untraceable RFID authentication schemes［J］.W ireless Personal Communications，2011，61（1）:69-81.doi:10.1007/s11277-010-0001-0.

［21］NIU Haifeng，TAQIEDD IN Eyad，and JAGANNATHAN S. EPC gen2v2 RFID standard authentication and ownership management protocol［J］.IEEE Transactions on Mobile Computing，2016，15（1）:137-149.doi:10.1109/TMC.2015. 2412933.

陳秀清：女，1981年生，講師，研究方向?yàn)樾畔踩桶踩珔f(xié)議.

曹天杰：男，1965年生，教授，研究方向?yàn)樾畔踩桶踩珔f(xié)議.

翟靖軒：男，1982年生，博士，研究方向?yàn)樾畔踩桶踩珔f(xié)議.

Provable Secure for the Lightweight RFID Ownership Transfer Protocol

CHEN Xiuqing①CAO Tianjie②ZHA IJingxuan②①
①（SchoolofM edicine Information，Xuzhou Medical University，Xuzhou 221008，China）
②（College ofComputer Science and Technology，China University ofMining and Technology，Xuzhou 221008，China）

In order to im plement the“w isdom city”planning and build perfect wisdom network，it is im portant to design the security Radio Frequency IDentification（RFID）p rotocol.A secure RFID ownership transfer protocol shou ld be evaluated in term s of the security and p rivacy p roperties.In particu lar，there are two im portant p rivacy properties included forward untraceable and backward untraceable in the practical app lication of RFID system.In order to solve the various security and privacy problem s，this paper enhances the unreasonableassump tion that the attacker m isses the key-update session in the definition of forward untraceable，then proposes the definition of strong forward untraceable.In addition，this paper designs the lightweight RFID ownership transfer protocolbased on quad ratic residues，and uses the enhanced model and definitions to formal prove the security and p rivacy properties.Moreover，the proof results not on ly show that the scheme resists against inner reader malicious im-personation attack，tracing attack，tag im personation attack and desynchronization attack，but also formally prove that the proposed p rotocol meets strong forward untraceable and backward untraceab le properties.In addition，the analysis results demonstrate that the protocol based on low-cost and high efficiency is superior to other protocols in the security and performance p roperties.

Radio Frequency IDentification（RFID）；Ownership transfer p rotocols；Strong forward untraceable；Backward untraceable；Quadratic residues

1　引言

無線射頻識(shí)別（Radio Frequency IDentification， RFID）技術(shù)在帶給各行各業(yè)的商業(yè)應(yīng)用更多便利和更高效的服務(wù)的同時(shí)，也將“智慧城市”由想法落實(shí)為現(xiàn)實(shí)的各種應(yīng)用，如智能公交系統(tǒng)、智能醫(yī)療系統(tǒng)、智能旅游系統(tǒng)等。而智慧城市的全方位處理能力要有很好的現(xiàn)實(shí)應(yīng)用，則需要具備完善的安全和隱私性能的RFID安全協(xié)議。文獻(xiàn)［1-5］都是基于二次剩余定理設(shè)計(jì)的RFID協(xié)議。在所有權(quán)轉(zhuǎn)移協(xié)議中，帶有RFID標(biāo)簽的物品在其生命周期內(nèi)的所有權(quán)是不斷變化的。如果消費(fèi)者使用物品時(shí)出現(xiàn)問題需要將物品交給售后服務(wù)部維修人員，此時(shí)物品所有權(quán)臨時(shí)轉(zhuǎn)移。所有權(quán)轉(zhuǎn)移過程中最重要的就是保證新舊所有者不能利用自己掌握的當(dāng)前或過往信息對另一方進(jìn)行跟蹤或者獲得對方的秘密信息。

s:The National Natural Science Foundation of China（61303263），The 333 Pro ject of Jiangsu Province（BRA2014047），The“Six-top-talents”High-level Talent Cultivation Project Research Funds of Jiangsu Province（2014-W LW-023）

TP391.45

A

1009-5896（2016）08-2091-08

10.11999/JEIT 151049

2015-09-17；改回日期：2016-05-13；網(wǎng)絡(luò)出版：2016-06-24

曹天杰tjcao@cum t.edu.cn

國家自然科學(xué)基金（61303263），江蘇省第四期“333高層次人才培養(yǎng)工程”科研項(xiàng)目（BRA2014047），江蘇省“六大人才高峰”科研項(xiàng)目（2014-W LW-023）