0引言

　　RFID(radio frequency identification)是一種非接觸式的目標(biāo)自動(dòng)識(shí)別技術(shù)，有著廣泛的應(yīng)用前景.RFID標(biāo)簽具有成本低、體積小、可重復(fù)使用等諸多優(yōu)點(diǎn)，可在供應(yīng)鏈環(huán)境中有效控制管理成本.跟蹤產(chǎn)品來(lái)源、質(zhì)量、售后等環(huán)節(jié)出現(xiàn)的問(wèn)題，會(huì)涉及標(biāo)簽所有權(quán)的轉(zhuǎn)移，而標(biāo)簽設(shè)計(jì)的特點(diǎn)和局限性帶來(lái)的潛在問(wèn)題也使標(biāo)簽所有者的信息安全受到威脅，同時(shí)隨著RFID的產(chǎn)業(yè)化，系統(tǒng)的安全性及隱私性要求也越來(lái)越高.

　　現(xiàn)階段RFID系統(tǒng)的安全與隱私問(wèn)題主要體現(xiàn)在以下兩個(gè)方面：標(biāo)簽與讀寫(xiě)器的數(shù)據(jù)交互基于無(wú)線信道，攻擊者可能會(huì)對(duì)通信過(guò)程進(jìn)行各種被動(dòng)攻擊或主動(dòng)攻擊;標(biāo)簽對(duì)讀寫(xiě)器發(fā)起的訪問(wèn)請(qǐng)求作被動(dòng)響應(yīng)，而響應(yīng)信息可能會(huì)泄露所有者個(gè)人隱私信息，同時(shí)會(huì)暴露所有者物理位置，從而使標(biāo)簽存在被跟蹤的危險(xiǎn).

　　國(guó)內(nèi)外學(xué)者對(duì)標(biāo)簽所有權(quán)轉(zhuǎn)換的安全隱私問(wèn)題進(jìn)行了多方面的研究.K.Osaka等[1]提出了基于Hash函數(shù)和對(duì)稱(chēng)密碼體制的RFID安全協(xié)議，通過(guò)改變對(duì)稱(chēng)密鑰保護(hù)原所有者和新所有者隱私，該協(xié)議運(yùn)算量適中，但標(biāo)簽存在遭受跟蹤和DoS攻擊的隱患;L.Kulseng等[2]提出了采用物理不可克隆功能(PUF)和線性反饋移位寄存器(LFSR)的所有權(quán)轉(zhuǎn)移協(xié)議，該協(xié)議效率較高但需可信第三方參與，且協(xié)議未明確指出如何抵御重傳攻擊、異步攻擊等;B.Song等[3]提出了一個(gè)基于Hash鏈標(biāo)簽標(biāo)識(shí)符的所有權(quán)轉(zhuǎn)移協(xié)議，但該協(xié)議在所有權(quán)轉(zhuǎn)移過(guò)程中有可能會(huì)遭到上一個(gè)所有者的竊聽(tīng);G.Kapoor等[4]提出了改進(jìn)的所有權(quán)可轉(zhuǎn)移的RFID協(xié)議，但其在實(shí)現(xiàn)安全目標(biāo)時(shí)忽略了標(biāo)簽端的存儲(chǔ)運(yùn)算承載力，在低成本標(biāo)簽上不易實(shí)現(xiàn);B.R.Ray等[5]提出的通用組合安全的RFID通信協(xié)議安全性較好，但是每輪會(huì)話標(biāo)簽所有權(quán)前節(jié)點(diǎn)實(shí)體都要向可見(jiàn)性管理中心獲取標(biāo)簽密鑰，成本過(guò)高，不適用于低成本標(biāo)簽.

　　鑒于此，本文對(duì)原有用于輕量級(jí)標(biāo)簽的所有權(quán)安全轉(zhuǎn)換理論進(jìn)行創(chuàng)新性的移植，提出基于動(dòng)態(tài)重載的標(biāo)簽所有權(quán)的安全轉(zhuǎn)換協(xié)議，以期在降低計(jì)算量的同時(shí)解決供應(yīng)鏈環(huán)境下標(biāo)簽所有權(quán)轉(zhuǎn)換的安全問(wèn)題.

　　1協(xié)議設(shè)計(jì)

　　1.1設(shè)計(jì)思路

　　在標(biāo)簽與讀寫(xiě)器的通信過(guò)程中，對(duì)算法進(jìn)行動(dòng)態(tài)重載可使結(jié)構(gòu)不同的算法具有一致的表述形式.在以往協(xié)議采用隨機(jī)數(shù)作為算法隨機(jī)輸入的基礎(chǔ)上[6]，新協(xié)議為標(biāo)簽設(shè)置了兩個(gè)bit的狀態(tài)位，用于服務(wù)器和標(biāo)簽在不同階段的同步標(biāo)識(shí)，同時(shí)本文協(xié)議重點(diǎn)從以下兩方面加強(qiáng)標(biāo)簽所有權(quán)轉(zhuǎn)移過(guò)程中的安全隱私保護(hù).

　　1.1.1構(gòu)建輕量級(jí)偽隨機(jī)數(shù)發(fā)生器

　　在標(biāo)簽中PUF部件的基礎(chǔ)上，進(jìn)一步加強(qiáng)偽隨機(jī)序列輸出的隨機(jī)性.利用標(biāo)簽物理芯片唯一特性產(chǎn)生的自編譯擴(kuò)展因子改進(jìn)偽隨機(jī)序列生成器的迭代機(jī)制，使偽隨機(jī)數(shù)發(fā)生器的輸出隨芯片而異.

　　偽隨機(jī)序列通常情況下通過(guò)設(shè)置數(shù)學(xué)亂源產(chǎn)生，其周期足夠長(zhǎng)時(shí)可擁有隨機(jī)序列的良好特性，同時(shí)種子很大程度上決定了偽隨機(jī)序列的安全性.本文為隨機(jī)序列算法采用元件例化語(yǔ)句，采用自編譯語(yǔ)言為標(biāo)簽物理芯片生成唯一的擴(kuò)展因子m，對(duì)簡(jiǎn)單的線性同余及迭代方式進(jìn)行改進(jìn). 　　在每次迭代中加入隨機(jī)因素(該隨機(jī)因素源于讀寫(xiě)器)，使得每次迭代的輸出均勻分布，并在自編譯程序中采用規(guī)范的長(zhǎng)度以保持偽隨機(jī)序列的周期，從而保證安全性.假設(shè)f：{0，1}λ→{0，1}λ是任意的線性置換，iterGA6FA{0，1}λ→{0，1}是f的隨機(jī)化迭代.對(duì)于原始輸入m，隨機(jī)函數(shù)f的第k次遞歸迭代定義為f(k)(m)=f(f(k-1)(m)).通過(guò)將每一次迭代結(jié)果重新作為輸入計(jì)算，偽隨機(jī)數(shù)序列G(m，k)構(gòu)建為bGA6FAf(0)(m)‖…‖bGA6FAf(k-1)(m).

　　常規(guī)的隨機(jī)序列中，單純的迭代會(huì)損失熵，甚至第二次迭代就很容易被翻轉(zhuǎn)，改進(jìn)后的隨機(jī)序列生成器輸出的隨機(jī)性增強(qiáng)，形成偽長(zhǎng)度保持函數(shù)，對(duì)改進(jìn)后的偽隨機(jī)序列生成器的安全性和性能進(jìn)行分析，符合偽隨機(jī)序列生成器應(yīng)具備的兩個(gè)特征，即多項(xiàng)式時(shí)間不可分辨性和不可預(yù)測(cè)性.

　　1.1.2基于輕量級(jí)候選函數(shù)集的動(dòng)態(tài)重載機(jī)制

　　為通信雙方設(shè)定一個(gè)輕量級(jí)算法集合{f1，f2，…，fn}，并為每種算法設(shè)置加權(quán)因子{w1，w2，…，wn}.由生成的偽隨機(jī)數(shù)確定所用的輕量級(jí)候選函數(shù)集中的算法，然后從輕量級(jí)算法集中隨機(jī)選取算法，構(gòu)成函數(shù)序列.為該函數(shù)序列輸入加權(quán)因子wi，密鑰k和數(shù)據(jù)data后，得到輸出的消息fi(wi，k，data)，…，fj(wi，k，data).需要注意的是，對(duì)于同樣的參數(shù)而言，函數(shù)序列須滿(mǎn)足fi(wi，k，data)，fj(wi，k，data)≠fj(wi，k，data)，fi(wi，k，data).

　　協(xié)議運(yùn)行時(shí)，將標(biāo)簽中生成的偽隨機(jī)序列映射為算法控制密鑰之后，確定輕量級(jí)候選函數(shù)集中所用算法.通過(guò)認(rèn)證授權(quán)，為后續(xù)所有權(quán)轉(zhuǎn)移過(guò)程的完成提供安全基礎(chǔ).

　　1.2協(xié)議初始化

　　協(xié)議基于以下假設(shè)：標(biāo)簽是具有可讀寫(xiě)非易失性存儲(chǔ)特征的低成本無(wú)源標(biāo)簽，可以運(yùn)行帶密鑰的輕量級(jí)函數(shù);標(biāo)簽與讀寫(xiě)器上均有包含編譯擴(kuò)展因子的偽隨機(jī)數(shù)發(fā)生器;讀寫(xiě)器與標(biāo)簽之間通過(guò)不安全的無(wú)線信道進(jìn)行通信;新舊所有者之間、讀寫(xiě)器與數(shù)據(jù)庫(kù)之間通過(guò)安全信道進(jìn)行通信[7].

　　協(xié)議初始化階段，每個(gè)標(biāo)簽有唯一的標(biāo)識(shí)符(ID)，后端數(shù)據(jù)庫(kù)為每一個(gè)標(biāo)簽生成各自的密鑰，并創(chuàng)建一個(gè)三元組數(shù)據(jù)項(xiàng)[ID，knew，kold]，標(biāo)簽狀態(tài)S標(biāo)識(shí)位歸零.密鑰同時(shí)存儲(chǔ)在標(biāo)簽的非易失性存儲(chǔ)器中;讀寫(xiě)器與標(biāo)簽有初始的共享密鑰kInit，新舊所有者與標(biāo)簽都擁有同一輕量級(jí)候選函數(shù)算法集合.

　　1.3協(xié)議執(zhí)行過(guò)程

　　1.3.1認(rèn)證授權(quán)階段

　　步驟1協(xié)議初始，標(biāo)簽狀態(tài)位為00(待通信)，讀寫(xiě)器向標(biāo)簽發(fā)送查詢(xún)請(qǐng)求request.

　　步驟2標(biāo)簽收到request后狀態(tài)位置為01(待認(rèn)證)，產(chǎn)生隨機(jī)數(shù)m并計(jì)算i=kmodn，M=fi(wi，k，ID)，N=mM，向讀寫(xiě)器發(fā)送M和N，其中n為輕量級(jí)候選函數(shù)集中的函數(shù)個(gè)數(shù).

　　1.3.2所有權(quán)轉(zhuǎn)換階段

　　步驟1新所有者向當(dāng)前所有者發(fā)起標(biāo)簽所有權(quán)轉(zhuǎn)換請(qǐng)求req，并向?qū)Ψ桨l(fā)送自己的身份標(biāo)識(shí)，即讀寫(xiě)器標(biāo)識(shí)符RID;

　　步驟2當(dāng)前所有者在后臺(tái)數(shù)據(jù)庫(kù)中檢索相關(guān)數(shù)據(jù)并對(duì)新所有者身份進(jìn)行驗(yàn)證，如果驗(yàn)證失敗向新所有者發(fā)送失敗消息;若身份驗(yàn)證通過(guò)，當(dāng)前所有者計(jì)算j=kmodn，Q=fj(wj，k，ID)，并向新所有者發(fā)送ID和Q;

　　步驟3新所有者接收ID和Q，并產(chǎn)生隨機(jī)數(shù)r，計(jì)算U=Qr，h=rmodn，Q=fj(wj，k，ID)并向標(biāo)簽發(fā)送所有權(quán)轉(zhuǎn)換請(qǐng)求TransReq和U;

　　步驟4標(biāo)簽接收請(qǐng)求和U，狀態(tài)置為10(所有權(quán)待轉(zhuǎn)換)，計(jì)算j′=kmodn，Q′=fj′(wj′，k，ID)，r′=UQ′，V=IDr′，向當(dāng)前所有者發(fā)送V;

　　步驟5新所有者接收V，計(jì)算r′=IDV，若r=r′，則更新與標(biāo)簽的共享密鑰k=fn(wh，r，ID)，同時(shí)計(jì)算W=IDk，并向標(biāo)簽發(fā)送W;

　　步驟6標(biāo)簽接收W，計(jì)算k=IDW，h′=r′modn，s=fh′(wh，r′，ID)，若s≠k，返回所有權(quán)轉(zhuǎn)換失敗消息，標(biāo)簽狀態(tài)位恢復(fù)00;否則標(biāo)簽更新共享密鑰k=fh′(wh′，r′，ID);

　　至此，新所有者與標(biāo)簽認(rèn)證成功并進(jìn)行密鑰更新，標(biāo)簽所有權(quán)轉(zhuǎn)換過(guò)程完成.

　　2協(xié)議安全性分析

　　本文的研究重點(diǎn)是應(yīng)用層的安全協(xié)議，因此在對(duì)本文協(xié)議進(jìn)行安全性分析時(shí)，忽略其底層可能存在的弱點(diǎn)，不涉及底層破解密碼算法的分析，只基于安全可靠的物理層假設(shè)[8].分析基于以下安全需求，其與同類(lèi)協(xié)儀安全性的比較結(jié)果見(jiàn)表1.

　　匿名性：經(jīng)輕量級(jí)運(yùn)算的ID密文(假名)是合法標(biāo)簽的指紋，隨機(jī)的輕量級(jí)候選函數(shù)集保證攻擊者無(wú)法通過(guò)竊獲的密文破解出標(biāo)簽ID，為標(biāo)簽提供了不可區(qū)分性，只有授權(quán)用戶(hù)才能識(shí)別該標(biāo)簽并正確計(jì)算出與該標(biāo)簽的共享密鑰，避免攻擊者通過(guò)分析標(biāo)簽響應(yīng)造成泄露標(biāo)簽隱私和所有者位置被跟蹤.

　　雙向認(rèn)證：在安全性相對(duì)較高的應(yīng)用中，要求實(shí)現(xiàn)雙向認(rèn)證，以確保只有合法標(biāo)簽才能與讀寫(xiě)器通信.本文協(xié)議在實(shí)現(xiàn)讀寫(xiě)器對(duì)標(biāo)簽認(rèn)證的同時(shí)也要實(shí)現(xiàn)標(biāo)簽對(duì)讀寫(xiě)器的認(rèn)證，新密鑰基于上一輪會(huì)話密鑰和新鮮會(huì)話中的隨機(jī)數(shù)產(chǎn)生，而隨機(jī)數(shù)未在無(wú)線信道上進(jìn)行明文傳輸.在雙方認(rèn)證成功的基礎(chǔ)上進(jìn)行密鑰協(xié)商并更新，確保只有授權(quán)用戶(hù)才可以訪問(wèn)標(biāo)簽、只有合法標(biāo)簽才能與讀寫(xiě)器通信.

　　前向安全：新所有者不能獲得標(biāo)簽與前一個(gè)所有者的共享密鑰，即使攻擊者破解了標(biāo)簽內(nèi)部狀態(tài)和當(dāng)前會(huì)話密鑰或物理上復(fù)制了某個(gè)標(biāo)簽，也無(wú)法用來(lái)跟蹤標(biāo)簽過(guò)期會(huì)話中的有效交互信息和數(shù)據(jù);當(dāng)前所有者只能對(duì)標(biāo)簽查詢(xún)其自身相關(guān)信息，因此保證了本文協(xié)議的前向安全.

　　后向安全：新所有者與標(biāo)簽通過(guò)帶有隨機(jī)輸入的輕量級(jí)函數(shù)進(jìn)行數(shù)據(jù)交互，并采用概率算法進(jìn)行密鑰協(xié)商及更新，而上一個(gè)所有者無(wú)法獲取新所有者產(chǎn)生的新鮮隨機(jī)數(shù)和算法，為標(biāo)簽的所有權(quán)轉(zhuǎn)移提供后向安全. 　　重傳攻擊：本文協(xié)議基于挑戰(zhàn)-響應(yīng)機(jī)制以隨機(jī)數(shù)來(lái)抵御重傳攻擊.在認(rèn)證與授權(quán)的每輪會(huì)話中，讀寫(xiě)器與標(biāo)簽的通信數(shù)據(jù)都包含新鮮隨機(jī)數(shù)m和r，這使敵手無(wú)法通過(guò)重放上一輪會(huì)話中的交互消息偽裝合法標(biāo)簽或讀寫(xiě)器來(lái)參與新會(huì)話的認(rèn)證授權(quán).

　　異步攻擊：攻擊者在密鑰協(xié)商更新過(guò)程中可能會(huì)攔截雙方交互信息造成標(biāo)簽更新秘密數(shù)據(jù)失敗，從而后端數(shù)據(jù)庫(kù)和標(biāo)簽所存儲(chǔ)的共享密鑰不同步.本文協(xié)議中后端數(shù)據(jù)庫(kù)存儲(chǔ)標(biāo)簽的三元組數(shù)據(jù)項(xiàng)[ID，knew，kold]，即便新密鑰認(rèn)證失敗，協(xié)議也可采用密鑰恢復(fù)機(jī)制用舊密鑰進(jìn)行二次認(rèn)證.

　　假冒攻擊：敵手可能在會(huì)話中竊聽(tīng)并記錄雙方交互信息，在標(biāo)簽與讀寫(xiě)器的每一輪會(huì)話中，雙方在不同階段各自生成新鮮偽隨機(jī)數(shù)，作為通過(guò)動(dòng)態(tài)重載算法生成密文的輸入，而敵手對(duì)偽隨機(jī)數(shù)的猜測(cè)在概率上不具有任何優(yōu)勢(shì)，因此認(rèn)證過(guò)程將檢測(cè)出篡改行為，能有效抵御消息篡改.

　　3協(xié)議計(jì)算開(kāi)銷(xiāo)分析

　　如何在保證安全性的前提下降低標(biāo)簽所有權(quán)轉(zhuǎn)換過(guò)程中的計(jì)算量，尤其是標(biāo)簽的計(jì)算量，是影響該協(xié)議應(yīng)用的重要因素.在現(xiàn)有的研究成果中，大多數(shù)協(xié)議都采用Hash算法或?qū)ΨQ(chēng)密鑰密碼算法，

　　而本文給出的新算法采用輕量級(jí)PRBG和XOR等邏輯運(yùn)算，協(xié)議效率相對(duì)較高，通信過(guò)程中無(wú)需可信第三方(TTP)加密新的密鑰，標(biāo)簽的唯一標(biāo)識(shí)符固定，從而避免了標(biāo)簽進(jìn)行頻繁的寫(xiě)操作，采用標(biāo)簽動(dòng)態(tài)標(biāo)識(shí)機(jī)制，每次與讀寫(xiě)器認(rèn)證時(shí)別名動(dòng)態(tài)變化，由輕量級(jí)候選函數(shù)集給標(biāo)簽帶來(lái)的存儲(chǔ)開(kāi)銷(xiāo)是可接受的，對(duì)于低成本標(biāo)簽也是可實(shí)現(xiàn)的.本協(xié)議與同類(lèi)協(xié)議的計(jì)算開(kāi)銷(xiāo)對(duì)比結(jié)果如圖1所示.

　　由圖1及前面安全性分析可知，本協(xié)議改進(jìn)了偽隨機(jī)序列生成器的迭代機(jī)制，同時(shí)輕量

　　級(jí)候選函數(shù)基于重載原理動(dòng)態(tài)執(zhí)行，與同類(lèi)安全協(xié)議相比，在計(jì)算開(kāi)銷(xiāo)相對(duì)較低的水平上實(shí)現(xiàn)了安全性能的大幅提高.因此基于輕量級(jí)函數(shù)集合的動(dòng)態(tài)重載機(jī)制具有更低的計(jì)算消耗和通信開(kāi)銷(xiāo)，適用于計(jì)算資源非常有限的低成本標(biāo)簽.

　　4結(jié)語(yǔ)

　　針對(duì)標(biāo)簽與讀寫(xiě)器在通信過(guò)程中的安全隱私問(wèn)題，結(jié)合類(lèi)編程思想和重載原理，提出一種面向RFID標(biāo)簽的安全協(xié)議.對(duì)協(xié)議中通信交互過(guò)程的分析結(jié)果表明，該協(xié)議能夠防止重傳攻擊、消息篡改、假冒、異步攻擊、標(biāo)簽跟蹤等多種攻擊，提供對(duì)標(biāo)簽數(shù)據(jù)安全和隱私的保護(hù)，同時(shí)新協(xié)議在標(biāo)簽內(nèi)部狀態(tài)存儲(chǔ)信息被非法破解的情況下實(shí)現(xiàn)了前/后向安全，保證了標(biāo)簽所有權(quán)轉(zhuǎn)換過(guò)程的安全性.與同類(lèi)相關(guān)安全協(xié)議相比，本協(xié)議的安全性和計(jì)算性能更高效，在實(shí)現(xiàn)更高安全級(jí)別的同時(shí)，還可提供對(duì)數(shù)據(jù)安全和標(biāo)簽隱私的保護(hù).如何保證每一個(gè)輕量級(jí)函數(shù)集中算法等概率隨機(jī)出現(xiàn)，是下一步擬解決的關(guān)鍵問(wèn)題.

　　參考文獻(xiàn)：

　　[1]OSAKA K，TAKAGI T，YAMAZAKI K，et al.An efficient and secure RFID security method with ownership transfer[C]∥Proceedings of CIS 2006 International Conference， Heidelberg：Springer，2007：778.

　　[2]KULSENG L，YU Z，WEI Y W，et al.Lightweight mutual authentication and ownership transfer for RFID systems[C]∥Proceedings of the 29th Conference on Computer Communications，Piscataway：IEEE，2010：1.

　　[3]SONG B，MITCHELL C J.Scalable RFID security protocols supporting tag ownership transfer [J].Computer communications，2011，34(4)：556.

　　[4]KAPOOR G，PIRAMUTHU S.Vulnerabilities in some recently proposed RFID ownership transfer protocols[J].IEEE communications letters，2010，14(3)：260.

　　[5]RAY B R，CHOWDHURY M，ABAWAJY J.Secure mobile RFID ownership transfer protocol to cover all transfer scenarios[C]∥Proceedings of 2012 7th International Conference on Computing and Convergence Technology(ICCCT)，Piscataway：IEEE，2012：1185.

　　[6]張學(xué)軍，王玉，王鎖萍，等.基于循環(huán)移位的輕量型相互認(rèn)證協(xié)議研究[J].電子學(xué)報(bào)，2012，40(11)：2270.

　　[7]GAN Y，HE L，LI N N，et al.An improved forward secure RFID privacy protection scheme[C]∥Proceedings of 2010 2nd International Asia Conference on Informatics in Control，Automation and Robotics(CAR)，Piscataway：IEEE，2010：273.

　　[8]張素智，王朝輝，孫培鋒.基于動(dòng)態(tài)更新ID的RFID安全認(rèn)證協(xié)議研究[J].鄭州輕工業(yè)學(xué)院學(xué)報(bào)，2011，26(6)：1.