楊紅飛 王幫海

1(廣東文藝職業(yè)學(xué)院 廣東 廣州 510006)2(廣東工業(yè)大學(xué)計算機學(xué)院 廣東 廣州 510006)

0 引 言

無線射頻識別技術(shù)(RFID)是一種自動識別及自動獲取數(shù)據(jù)的技術(shù)。通過將RFID標(biāo)簽嵌入特定目標(biāo)中的方法(比如將RFID標(biāo)簽嵌入公交卡中等)，讀寫器無需直接接觸便可以實現(xiàn)對特定目標(biāo)的識別以及數(shù)據(jù)的讀取[1]。RFID標(biāo)簽因其具備成本低、可讀寫范圍廣、易攜帶、壽命長、數(shù)據(jù)可加密等眾多優(yōu)點，已被廣泛應(yīng)用在生產(chǎn)制造業(yè)、交通運輸業(yè)、商品批發(fā)零售業(yè)等各個領(lǐng)域中[2]。

在實際的應(yīng)用中，RFID標(biāo)簽在其生命周期內(nèi)，它的歸屬者會經(jīng)常發(fā)生變化[3]。比如：嵌有RFID標(biāo)簽的產(chǎn)品，在其未出廠之前，它的所有權(quán)應(yīng)歸屬于生產(chǎn)商；當(dāng)產(chǎn)品由生產(chǎn)商賣給批發(fā)商之后，該產(chǎn)品的所有權(quán)此時應(yīng)歸屬于批發(fā)商；批發(fā)商將產(chǎn)品轉(zhuǎn)售給零售商之后，該產(chǎn)品的所有權(quán)應(yīng)歸零售商所有[4]。

RFID標(biāo)簽在轉(zhuǎn)移過程中，所有權(quán)歸屬者不同，則必須保護相對應(yīng)歸屬者的隱私安全[5]。比如：生產(chǎn)商在將產(chǎn)品批發(fā)給批發(fā)商之后，則必須確保生產(chǎn)商無權(quán)限讀取標(biāo)簽存放的隱私信息，且保障批發(fā)商無權(quán)訪問生產(chǎn)商存儲的隱私信息。在RFID標(biāo)簽所有權(quán)轉(zhuǎn)移過程中，標(biāo)簽的隱私信息安全性受到越來越多學(xué)者的關(guān)注，同時也提出許多所有權(quán)轉(zhuǎn)移協(xié)議，但這些協(xié)議中或多或少存在某些安全缺陷或計算量較大等不足[6]。為解決上述問題，本文提出了一種超輕量級RFID標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議BBO(An Ultra-lightweight RFID Tag Ownership Transfer Protocol Based on Bit Operation)。BBO協(xié)議采用按位操作對信息進行加密，使得協(xié)議可以達到超輕量級別；同時能有效減少標(biāo)簽端的計算量；標(biāo)志位FLAG的引入，能夠根據(jù)其值辨別出所有權(quán)當(dāng)前歸屬者；安全性及性能分析表明，所提協(xié)議能夠滿足所有權(quán)轉(zhuǎn)移的安全需求及降低標(biāo)簽成本的目標(biāo)。

1 相關(guān)工作

Saito等[7]第一次提出RFID標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議的概念，且給出了一個針對RFID標(biāo)簽所有權(quán)轉(zhuǎn)移的協(xié)議，但該協(xié)議要求標(biāo)簽原所有者及新所有者均必須相信可信中心，使得協(xié)議具有一定的局限性。文獻[8]在先給出一個安全模型的基礎(chǔ)之上，設(shè)計出一個所有權(quán)轉(zhuǎn)移協(xié)議。分析可知：給出的安全模型具備一定的局限性，無法大規(guī)模推廣該協(xié)議的運用，同時安全模型下的所有權(quán)轉(zhuǎn)移協(xié)議在實際應(yīng)用中無法確保隱私信息的絕對安全。

文獻[9]基于SQUASH算法提出一種所有權(quán)轉(zhuǎn)移協(xié)議。基于該算法的協(xié)議具備一定的創(chuàng)新性，但文獻[10]通過詳細的分析，指出文獻[9]中的協(xié)議無法提供隱私信息的安全性，并通過具體的過程指明文獻[9]提出的協(xié)議無法抵抗攻擊者發(fā)起的重放攻擊，以及無法抵抗攻擊者發(fā)起的去同步化攻擊。在分析文獻[9]中的協(xié)議安全缺陷不足之后，文獻[10]提出一個改進的所有權(quán)轉(zhuǎn)移協(xié)議，并聲稱可以彌補文獻[9]中協(xié)議的不足。

文獻[12]對文獻[10]中設(shè)計的所有權(quán)轉(zhuǎn)移協(xié)議再次進行了深入的分析，分析表明：文獻[10]聲稱可以抵抗重放攻擊以及去同步化攻擊，但文獻[12]中對協(xié)議的分析表明其并不成立。同時文獻[12]也給出針對文獻[10]中協(xié)議無法抵抗重放攻擊以及去同步化攻擊的詳細過程。在眾多協(xié)議分析基礎(chǔ)之上，文獻[12]設(shè)計出一個改進的所有權(quán)協(xié)議。該協(xié)議雖暫未發(fā)現(xiàn)存在嚴(yán)重缺陷，但協(xié)議中的計算量對通信實體中的標(biāo)簽而言，稍微超出其計算能力。

文獻[11]對文獻[9]進行了深入分析，設(shè)計出一種不同于文獻[10]中的所有權(quán)轉(zhuǎn)移協(xié)議。分析發(fā)現(xiàn)：文獻[9]協(xié)議存在一定的使用局限性，且計算量較大，對于計算受限的標(biāo)簽來說，適用范圍有限。

文獻[13]基于可證明安全的模型，設(shè)計出一種所有權(quán)轉(zhuǎn)移協(xié)議。對協(xié)議進行分析，協(xié)議在傳輸信息過程中，有部分信息屬于明文傳輸。攻擊者在監(jiān)聽一個完整的通信過程中的攻擊手段下，可以截獲所有的傳輸消息，同時利用公開的加密算法，即可采用窮舉的方式，窮舉出標(biāo)簽中存放的部分隱私信息，從而使得協(xié)議無法抵抗攻擊者的暴力破解攻擊。

文獻[14]采用基于二次剩余定理的加密方法設(shè)計了一個所有權(quán)轉(zhuǎn)移協(xié)議。協(xié)議主要的缺陷在于：無法實現(xiàn)標(biāo)簽原所有者與標(biāo)簽之間的雙向認證，即在標(biāo)簽原所有者與標(biāo)簽未進行雙向認證的過程中，兩者之間已經(jīng)開始進行信息的傳輸，使得協(xié)議中的標(biāo)簽原所有者一方或標(biāo)簽一方存在假冒的可能，因此協(xié)議無法抵抗攻擊者發(fā)起的假冒攻擊。

2 BBO設(shè)計

讀寫器與后臺數(shù)據(jù)庫之間通過安全鏈路進行通信，因此本文將兩者看成一個整體，故BBO中涉及到的通信實體有三個：標(biāo)簽原所有者T_old、標(biāo)簽新所有者T_new、標(biāo)簽T。

2.1 符號說明

BBO中涉及到的通信實體符號及運算符號的說明如表1所示。

表1 符號說明

續(xù)表1

為了便于用符號描述，約定用符號Cro-Syn(X，Y)表示交叉合成運算符號。交叉合成運算Cro-Syn(X，Y)定義如下：設(shè)X、Y、Z是三個長度均為偶數(shù)l位的二進制數(shù)，X=x1x2x3…xL，Y=y1y2y3…yL，Z=z1z2z3…zL，其中X∈{0,1}l、Y∈{0,1}l、Z∈{0,1}l。獲取二進制數(shù)X中的第i位，同時獲取二進制數(shù)Y中的第i+1位，根據(jù)獲取兩位的漢明重量進行不同的運算，再依次放置從而合成一個新的二進制數(shù)Z。如果漢明重量值為奇數(shù)，則進行按位異或運算；否則，進行按位與運算。

交叉合成運算在標(biāo)簽中實現(xiàn)時，采用指針形式，從而使得它比直接采用邏輯門效率更高。引入兩個指針:一個記為PX，另一個記為PY。其中：指針PX指向二進制數(shù)X；指針PY指向二進制數(shù)Y。當(dāng)指針PX從二進制數(shù)X第一位開始遍歷的時候，指針PY同時從二進制數(shù)Y第二位開始遍歷。根據(jù)遍歷可得到該兩位的值，判斷其漢明重量取值(為奇數(shù)，進行異或運算；為偶數(shù)，進行與運算)進行相對應(yīng)的運算，將運算結(jié)果依次存放，最后Cro-Syn(X，Y)即可得到一個新的二進制數(shù)Z。比如：l=8，X=11011001，Y=01100101，則Cro-Syn(X,Y)=11101101，具體過程如圖1所示。

圖1 交叉合成運算流程圖

2.2 協(xié)議描述

所有權(quán)轉(zhuǎn)移開始之前，協(xié)議進行初始化，標(biāo)簽存放如下四元組數(shù)據(jù)結(jié)構(gòu)：(IDt_i_L，IDt_i_R，K_i_old，K_i_new)；標(biāo)簽新所有者存放如下三元組數(shù)據(jù)結(jié)構(gòu)：(IDt_i_L，IDt_i_R，K_i_new)；標(biāo)簽原所有者存放如下三元組數(shù)據(jù)結(jié)構(gòu)：(IDt_i_L，IDt_i_R，K_i_old)。標(biāo)志位FLAG初始值為0，當(dāng)FLAG=0時，表示標(biāo)簽的所有權(quán)當(dāng)前歸屬于標(biāo)簽原所有者；當(dāng)FLAG=1時，表示標(biāo)簽的所有者權(quán)已發(fā)生轉(zhuǎn)移，此時所有權(quán)歸屬于標(biāo)簽新所有者。

BBO流程如圖2所示。有關(guān)公式說明如表2所示。

圖2 所有權(quán)轉(zhuǎn)移流程圖

表2 公式說明

BBO協(xié)議步驟描述如下：

步驟一T_old向T發(fā)送Query命令，發(fā)起所有權(quán)轉(zhuǎn)移請求。

步驟二T接收到所有權(quán)轉(zhuǎn)移請求后，查看標(biāo)志位FLAG的值，當(dāng)前FLAG=0，表示所有權(quán)歸屬于T_old，可以開始進行所有權(quán)轉(zhuǎn)移。T生成隨機數(shù)RT，計算A、B，最后將A、B及IDt_i_L一并傳送給T_old。

步驟三T_old接收到信息后，先查找數(shù)據(jù)庫中是否存在IDt_i_L。存在，進行步驟四；否則，BBO立刻終止。

步驟四T_old找到與IDt_i_L相對應(yīng)的IDt_i_R，計算IDt_i_R⊕A的值，然后計算B′，最后比較B′與B是否相等。若相等，T_old驗證T通過，進行步驟五；否則，BBO立刻終止。其中B′=Cro-Syn(IDt_i_R⊕A,K_i_old)。

步驟五T_old生成隨機數(shù)RT_old，計算D、E，再將D、E及IDt_i_L一并傳送給T。

步驟六T接收到信息后，先計算IDt_i_R⊕D的值，然后計算E′，最后比較E′與E是否相等。若相等，T驗證T_old通過，進行步驟七；否則，BBO立刻終止。其中E′=Cro-Syn(IDt_i_R⊕D,K_i_old)。

步驟七T計算F、G，再將F、G及IDt_i_L一并傳送給T_new。

步驟八T_new在接收到信息后，先查找數(shù)據(jù)庫中是否存在IDt_i_L。若存在，進行步驟九；否則，BBO立刻終止。

步驟九T_new找到與IDt_i_L相對應(yīng)的IDt_i_R，接著計算K_i_new⊕F的值，然后計算G′，最后比較G′與G的值是否相等。若相等，T_new驗證T通過，進行步驟十；否則，BBO立刻終止。其中G′=Cro-Syn(K_i_new⊕F,IDt_i_R)。

步驟十T_new生成隨機數(shù)RT_new，計算H、M，再將H、M及IDt_i_L一并傳送給T。

步驟十一T接收到信息后，首先計算IDt_i_R⊕H的值，然后計算M′，最后比較M′與M是否相等。若相等，T驗證T_new通過，進行步驟十二；否則，BBO立刻終止。其中M′=Cro-Syn(IDt_i_R⊕H,K_i_new)。

步驟十二T將標(biāo)志位FLAG的值置為1，表明所有權(quán)轉(zhuǎn)移完成，此時標(biāo)簽的所有權(quán)歸屬于T_new。

3 安全性分析

(1) 重放攻擊。攻擊者在監(jiān)聽一個完整的通信后，可獲得所有的通信消息，攻擊者企圖通過重放消息的手段獲取標(biāo)簽的隱私信息，但攻擊者無法成功。通信消息中，每個消息都是加密后傳輸?shù)模⒎敲魑?；且消息加密過程中，都有用到隨機數(shù)，隨機數(shù)每輪均會不同，同時無法預(yù)測，因此BBO可以抵抗重放攻擊。

(2) 雙向認證。BBO中雙向認證是指：標(biāo)簽與標(biāo)簽原所有者之間的相互認證；標(biāo)簽與標(biāo)簽新所有者之間的相互認證。

標(biāo)簽與標(biāo)簽原所有者之間的相互認證。BBO中標(biāo)簽原所有者會在步驟三中第一次確認標(biāo)簽的真?zhèn)?，即便是攻擊者通過監(jiān)聽手段獲取IDt_i_L的值，但攻擊者仍無法通過后面的認證。在步驟四中，標(biāo)簽原所有者會對標(biāo)簽進行第二次認證，因攻擊者無法獲取IDt_i_R、K_i_old的值，所以攻擊者無法計算出正確的A、B的值，標(biāo)簽原所有者通過簡單的計算便可識別出標(biāo)簽的真?zhèn)?。?biāo)簽對標(biāo)簽原所有者的真?zhèn)舞b定通過步驟六完成：攻擊者通過之前的步驟并未獲取隨機數(shù)RT_old，加之攻擊者并不知曉IDt_i_R、K_i_old的值；即便是攻擊者可以獲得IDt_i_L的值，但通信消息在計算過程中并未用到IDt_i_L，而是用到IDt_i_R，IDt_i_R與IDt_i_L之間并未有任何關(guān)系，攻擊者無法計算出正確的D、E的值，因此標(biāo)簽?zāi)軌驅(qū)崿F(xiàn)對標(biāo)簽原所有者的認證。

標(biāo)簽與標(biāo)簽新所有者之間的認證。標(biāo)簽新所有者對標(biāo)簽的認證在步驟九中完成：通過計算F可以得到標(biāo)簽產(chǎn)生的隨機數(shù)RT，將其代入G中進行比對，根據(jù)比對結(jié)果即可辨識出標(biāo)簽的真?zhèn)?。因攻擊者不知曉IDt_i_R、K_i_new、RT的值，所以攻擊者無法計算出正確的F、G的值，從而使得攻擊者無法通過步驟九中的認證。標(biāo)簽對標(biāo)簽新所有者的驗證在步驟十一中進行：標(biāo)簽接收到H、M后，先根據(jù)H計算得到標(biāo)簽新所有者產(chǎn)生的隨機數(shù)RT_new，再代入M中進行驗證即可；因攻擊者不具備IDt_i_R、K_i_new、RT_new的值，因此計算不出正確的H、M值。

綜上描述，BBO能夠?qū)崿F(xiàn)通信實體之間的雙向認證。

(3) 異步攻擊。異步攻擊也稱為去同步化攻擊，是指攻擊者采用某種手段使得通信雙方之間的共享密鑰失去一致性。在BBO中，并未用到共享密鑰更新的機制，從而使得攻擊者不可能采用上述手段破壞通信雙方之間的共享密鑰值；通信消息進行加密之后再傳輸，且通信消息計算過程中有用到隨機數(shù)，隨機數(shù)每次不同，從而可以保證即便不更新共享密鑰值也是安全可靠的。故BBO能夠抵抗異步攻擊。

(4) 假冒攻擊。通信過程中，攻擊者有可能假冒任何一通信實體與其他通信實體之間進行信息交換，因此協(xié)議必須能夠抵抗攻擊者任何行為的假冒攻擊。

攻擊者假冒標(biāo)簽進行通信。攻擊者偽裝成標(biāo)簽進行通信時，因攻擊者不知曉如下信息：IDt_i_R、K_i_new、K_i_old，使得攻擊者無法計算出任何一個正確的值。即便是攻擊者事先已經(jīng)通過監(jiān)聽獲取上一輪通信的所有消息，然后重放該消息，但攻擊者仍無法獲取任何隱私信息，因攻擊者重放消息后，標(biāo)簽原所有者或標(biāo)簽新所有者將會產(chǎn)生新的隨機數(shù)，同時計算得到新的通信消息的值，使得攻擊者認證失敗。同樣道理，攻擊者假冒標(biāo)簽原所有者進行通信或假冒標(biāo)簽新所有者進行通信均失敗，不可能獲取任何的隱私信息。故BBO能夠抵抗假冒攻擊。

(5) 暴力破解攻擊。協(xié)議必須能夠抵抗攻擊者的蓄意強制性攻擊，即攻擊者采用計算量超大的計算機也無法破解出任何有用的隱私信息。

攻擊者通過監(jiān)聽一個完整的通信過程，可以獲得如下消息：IDt_i_L、Query、A、B、D、E、F、G、H、M，攻擊者想通過從上述監(jiān)聽的消息中暴力地破獲一些有用的信息，但攻擊者無法成功。此處選擇消息A、B為例，進行分析。在A=IDt_i_R⊕RT中，攻擊者只知曉A，并不知曉IDt_i_R、RT，因此攻擊者無法窮舉出有用的消息；同時攻擊者在窮舉過程中，只要IDt_i_R、RT中任何一位有錯誤，攻擊者都不可能獲取有效的隱私信息。在B=Cro-Syn(IDt_i_R⊕A,K_i_old)中，即便是攻擊者將監(jiān)聽得到的A代入，攻擊者也無法窮舉出任何有用的隱私信息，因為攻擊者不知曉IDt_i_R、K_i_old的值，也不知曉Cro-Syn加密方法中每位加密的詳細細節(jié)，無法暴力破解出隱私信息。同理，攻擊者對D、E、F、G、H、M進行分析破解，亦無法得到隱私信息。故BBO能夠抵抗暴力破解攻擊。

表3是本文BBO與其他標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議之間的安全性比較。

表3 所有權(quán)轉(zhuǎn)移協(xié)議安全性比較

4 性能分析

標(biāo)簽所有權(quán)轉(zhuǎn)移過程中，涉及到的通信實體共有三個：標(biāo)簽、標(biāo)簽原所有者、標(biāo)簽新所有者。其中標(biāo)簽原所有者、標(biāo)簽新所有者中均包含后臺數(shù)據(jù)庫部分，因此這兩部分通信實體具備強大的查詢能力、數(shù)據(jù)計算能力、存儲空間；而標(biāo)簽端則并未具備上述能力，因此性能分析部分主要針對標(biāo)簽的計算量、存儲空間等兩個方面進行研究分析。表4是本文BBO與其他標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議之間的性能比較。其中：Pm表示哈希函數(shù)運算；Ph表示按位運算；Pn表示模平方運算；Px表示交叉合成運算。

表4 所有權(quán)轉(zhuǎn)移協(xié)議性能比較

(1) 標(biāo)簽端的計算量：相比其他文獻而言，本文的BBO并未使用計算量較大的哈希函數(shù)或模平方運算對信息進行加密，而是選擇超輕量級的按位操作對其傳輸信息進行加密，從而可以大大減少標(biāo)簽端的計算量。本文BBO標(biāo)簽端的計算量與其他文獻中的計算量相錯不止一個量級，能夠很大程度上減少標(biāo)簽的計算開銷。同時交叉合成運算中也有用到按位與運算和按位異或運算，這樣使得交叉合成運算和按位與運算、按位異或運算之間可以共用部分電路，使得標(biāo)簽的成本亦會有所降低。

(2) 標(biāo)簽端的存儲量：設(shè)定IDt、K_i_new、K_i_old的長度均為l位，則本文協(xié)議標(biāo)簽端存儲空間大小只需要3l位即可。相對其他文獻而言，3l位存儲空間有改進。本文協(xié)議中，標(biāo)簽一端只產(chǎn)生一位隨機數(shù)，而在其他文獻中，標(biāo)簽一端會產(chǎn)生多位隨機數(shù)，因此綜合來看，本文協(xié)議在標(biāo)簽端存儲空間方面開銷并不大，是可以接受的。

5 結(jié) 語

標(biāo)簽在其生命周期中，所有權(quán)經(jīng)常發(fā)生變化，為了保證標(biāo)簽隱私的安全性，提出一種基于按位操作的超輕量級的RFID標(biāo)簽所有權(quán)轉(zhuǎn)移協(xié)議BBO。安全性分析表明BBO能夠提供所有權(quán)轉(zhuǎn)移所需要的需求；性能分析表明BBO能夠達到減少標(biāo)簽計算量目標(biāo)。下一步的研究方向為：對BBO協(xié)議進行優(yōu)化，采用BBO的RFID系統(tǒng)原型實現(xiàn)出來，得到實現(xiàn)所需門電路總個數(shù)、一個完整通信時間等，做到理論與實際相結(jié)合。