0引言

　　RFID(radio frequency identification)是一種非接觸式的目標自動識別技術，有著廣泛的應用前景.RFID標簽具有成本低、體積小、可重復使用等諸多優點，可在供應鏈環境中有效控制管理成本.跟蹤產品來源、質量、售后等環節出現的問題，會涉及標簽所有權的轉移，而標簽設計的特點和局限性帶來的潛在問題也使標簽所有者的信息安全受到威脅，同時隨著RFID的產業化，系統的安全性及隱私性要求也越來越高.

　　現階段RFID系統的安全與隱私問題主要體現在以下兩個方面：標簽與讀寫器的數據交互基于無線信道，攻擊者可能會對通信過程進行各種被動攻擊或主動攻擊;標簽對讀寫器發起的訪問請求作被動響應，而響應信息可能會泄露所有者個人隱私信息，同時會暴露所有者物理位置，從而使標簽存在被跟蹤的危險.

　　國內外學者對標簽所有權轉換的安全隱私問題進行了多方面的研究.K.Osaka等[1]提出了基于Hash函數和對稱密碼體制的RFID安全協議，通過改變對稱密鑰保護原所有者和新所有者隱私，該協議運算量適中，但標簽存在遭受跟蹤和DoS攻擊的隱患;L.Kulseng等[2]提出了采用物理不可克隆功能(PUF)和線性反饋移位寄存器(LFSR)的所有權轉移協議，該協議效率較高但需可信第三方參與，且協議未明確指出如何抵御重傳攻擊、異步攻擊等;B.Song等[3]提出了一個基于Hash鏈標簽標識符的所有權轉移協議，但該協議在所有權轉移過程中有可能會遭到上一個所有者的竊聽;G.Kapoor等[4]提出了改進的所有權可轉移的RFID協議，但其在實現安全目標時忽略了標簽端的存儲運算承載力，在低成本標簽上不易實現;B.R.Ray等[5]提出的通用組合安全的RFID通信協議安全性較好，但是每輪會話標簽所有權前節點實體都要向可見性管理中心獲取標簽密鑰，成本過高，不適用于低成本標簽.

　　鑒于此，本文對原有用于輕量級標簽的所有權安全轉換理論進行創新性的移植，提出基于動態重載的標簽所有權的安全轉換協議，以期在降低計算量的同時解決供應鏈環境下標簽所有權轉換的安全問題.

　　1協議設計

　　1.1設計思路

　　在標簽與讀寫器的通信過程中，對算法進行動態重載可使結構不同的算法具有一致的表述形式.在以往協議采用隨機數作為算法隨機輸入的基礎上[6]，新協議為標簽設置了兩個bit的狀態位，用于服務器和標簽在不同階段的同步標識，同時本文協議重點從以下兩方面加強標簽所有權轉移過程中的安全隱私保護.

　　1.1.1構建輕量級偽隨機數發生器

　　在標簽中PUF部件的基礎上，進一步加強偽隨機序列輸出的隨機性.利用標簽物理芯片唯一特性產生的自編譯擴展因子改進偽隨機序列生成器的迭代機制，使偽隨機數發生器的輸出隨芯片而異.

　　偽隨機序列通常情況下通過設置數學亂源產生，其周期足夠長時可擁有隨機序列的良好特性，同時種子很大程度上決定了偽隨機序列的安全性.本文為隨機序列算法采用元件例化語句，采用自編譯語言為標簽物理芯片生成唯一的擴展因子m，對簡單的線性同余及迭代方式進行改進. 　　在每次迭代中加入隨機因素(該隨機因素源于讀寫器)，使得每次迭代的輸出均勻分布，并在自編譯程序中采用規范的長度以保持偽隨機序列的周期，從而保證安全性.假設f：{0，1}λ→{0，1}λ是任意的線性置換，iterGA6FA{0，1}λ→{0，1}是f的隨機化迭代.對于原始輸入m，隨機函數f的第k次遞歸迭代定義為f(k)(m)=f(f(k-1)(m)).通過將每一次迭代結果重新作為輸入計算，偽隨機數序列G(m，k)構建為bGA6FAf(0)(m)‖…‖bGA6FAf(k-1)(m).

　　常規的隨機序列中，單純的迭代會損失熵，甚至第二次迭代就很容易被翻轉，改進后的隨機序列生成器輸出的隨機性增強，形成偽長度保持函數，對改進后的偽隨機序列生成器的安全性和性能進行分析，符合偽隨機序列生成器應具備的兩個特征，即多項式時間不可分辨性和不可預測性.

　　1.1.2基于輕量級候選函數集的動態重載機制

　　為通信雙方設定一個輕量級算法集合{f1，f2，…，fn}，并為每種算法設置加權因子{w1，w2，…，wn}.由生成的偽隨機數確定所用的輕量級候選函數集中的算法，然后從輕量級算法集中隨機選取算法，構成函數序列.為該函數序列輸入加權因子wi，密鑰k和數據data后，得到輸出的消息fi(wi，k，data)，…，fj(wi，k，data).需要注意的是，對于同樣的參數而言，函數序列須滿足fi(wi，k，data)，fj(wi，k，data)≠fj(wi，k，data)，fi(wi，k，data).

　　協議運行時，將標簽中生成的偽隨機序列映射為算法控制密鑰之后，確定輕量級候選函數集中所用算法.通過認證授權，為后續所有權轉移過程的完成提供安全基礎.

　　1.2協議初始化

　　協議基于以下假設：標簽是具有可讀寫非易失性存儲特征的低成本無源標簽，可以運行帶密鑰的輕量級函數;標簽與讀寫器上均有包含編譯擴展因子的偽隨機數發生器;讀寫器與標簽之間通過不安全的無線信道進行通信;新舊所有者之間、讀寫器與數據庫之間通過安全信道進行通信[7].

　　協議初始化階段，每個標簽有唯一的標識符(ID)，后端數據庫為每一個標簽生成各自的密鑰，并創建一個三元組數據項[ID，knew，kold]，標簽狀態S標識位歸零.密鑰同時存儲在標簽的非易失性存儲器中;讀寫器與標簽有初始的共享密鑰kInit，新舊所有者與標簽都擁有同一輕量級候選函數算法集合.

　　1.3協議執行過程

　　1.3.1認證授權階段

　　步驟1協議初始，標簽狀態位為00(待通信)，讀寫器向標簽發送查詢請求request.

　　步驟2標簽收到request后狀態位置為01(待認證)，產生隨機數m并計算i=kmodn，M=fi(wi，k，ID)，N=mM，向讀寫器發送M和N，其中n為輕量級候選函數集中的函數個數.

　　1.3.2所有權轉換階段

　　步驟1新所有者向當前所有者發起標簽所有權轉換請求req，并向對方發送自己的身份標識，即讀寫器標識符RID;

　　步驟2當前所有者在后臺數據庫中檢索相關數據并對新所有者身份進行驗證，如果驗證失敗向新所有者發送失敗消息;若身份驗證通過，當前所有者計算j=kmodn，Q=fj(wj，k，ID)，并向新所有者發送ID和Q;

　　步驟3新所有者接收ID和Q，并產生隨機數r，計算U=Qr，h=rmodn，Q=fj(wj，k，ID)并向標簽發送所有權轉換請求TransReq和U;

　　步驟4標簽接收請求和U，狀態置為10(所有權待轉換)，計算j′=kmodn，Q′=fj′(wj′，k，ID)，r′=UQ′，V=IDr′，向當前所有者發送V;

　　步驟5新所有者接收V，計算r′=IDV，若r=r′，則更新與標簽的共享密鑰k=fn(wh，r，ID)，同時計算W=IDk，并向標簽發送W;

　　步驟6標簽接收W，計算k=IDW，h′=r′modn，s=fh′(wh，r′，ID)，若s≠k，返回所有權轉換失敗消息，標簽狀態位恢復00;否則標簽更新共享密鑰k=fh′(wh′，r′，ID);

　　至此，新所有者與標簽認證成功并進行密鑰更新，標簽所有權轉換過程完成.

　　2協議安全性分析

　　本文的研究重點是應用層的安全協議，因此在對本文協議進行安全性分析時，忽略其底層可能存在的弱點，不涉及底層破解密碼算法的分析，只基于安全可靠的物理層假設[8].分析基于以下安全需求，其與同類協儀安全性的比較結果見表1.

　　匿名性：經輕量級運算的ID密文(假名)是合法標簽的指紋，隨機的輕量級候選函數集保證攻擊者無法通過竊獲的密文破解出標簽ID，為標簽提供了不可區分性，只有授權用戶才能識別該標簽并正確計算出與該標簽的共享密鑰，避免攻擊者通過分析標簽響應造成泄露標簽隱私和所有者位置被跟蹤.

　　雙向認證：在安全性相對較高的應用中，要求實現雙向認證，以確保只有合法標簽才能與讀寫器通信.本文協議在實現讀寫器對標簽認證的同時也要實現標簽對讀寫器的認證，新密鑰基于上一輪會話密鑰和新鮮會話中的隨機數產生，而隨機數未在無線信道上進行明文傳輸.在雙方認證成功的基礎上進行密鑰協商并更新，確保只有授權用戶才可以訪問標簽、只有合法標簽才能與讀寫器通信.

　　前向安全：新所有者不能獲得標簽與前一個所有者的共享密鑰，即使攻擊者破解了標簽內部狀態和當前會話密鑰或物理上復制了某個標簽，也無法用來跟蹤標簽過期會話中的有效交互信息和數據;當前所有者只能對標簽查詢其自身相關信息，因此保證了本文協議的前向安全.

　　后向安全：新所有者與標簽通過帶有隨機輸入的輕量級函數進行數據交互，并采用概率算法進行密鑰協商及更新，而上一個所有者無法獲取新所有者產生的新鮮隨機數和算法，為標簽的所有權轉移提供后向安全. 　　重傳攻擊：本文協議基于挑戰-響應機制以隨機數來抵御重傳攻擊.在認證與授權的每輪會話中，讀寫器與標簽的通信數據都包含新鮮隨機數m和r，這使敵手無法通過重放上一輪會話中的交互消息偽裝合法標簽或讀寫器來參與新會話的認證授權.

　　異步攻擊：攻擊者在密鑰協商更新過程中可能會攔截雙方交互信息造成標簽更新秘密數據失敗，從而后端數據庫和標簽所存儲的共享密鑰不同步.本文協議中后端數據庫存儲標簽的三元組數據項[ID，knew，kold]，即便新密鑰認證失敗，協議也可采用密鑰恢復機制用舊密鑰進行二次認證.

　　假冒攻擊：敵手可能在會話中竊聽并記錄雙方交互信息，在標簽與讀寫器的每一輪會話中，雙方在不同階段各自生成新鮮偽隨機數，作為通過動態重載算法生成密文的輸入，而敵手對偽隨機數的猜測在概率上不具有任何優勢，因此認證過程將檢測出篡改行為，能有效抵御消息篡改.

　　3協議計算開銷分析

　　如何在保證安全性的前提下降低標簽所有權轉換過程中的計算量，尤其是標簽的計算量，是影響該協議應用的重要因素.在現有的研究成果中，大多數協議都采用Hash算法或對稱密鑰密碼算法，

　　而本文給出的新算法采用輕量級PRBG和XOR等邏輯運算，協議效率相對較高，通信過程中無需可信第三方(TTP)加密新的密鑰，標簽的唯一標識符固定，從而避免了標簽進行頻繁的寫操作，采用標簽動態標識機制，每次與讀寫器認證時別名動態變化，由輕量級候選函數集給標簽帶來的存儲開銷是可接受的，對于低成本標簽也是可實現的.本協議與同類協議的計算開銷對比結果如圖1所示.

　　由圖1及前面安全性分析可知，本協議改進了偽隨機序列生成器的迭代機制，同時輕量

　　級候選函數基于重載原理動態執行，與同類安全協議相比，在計算開銷相對較低的水平上實現了安全性能的大幅提高.因此基于輕量級函數集合的動態重載機制具有更低的計算消耗和通信開銷，適用于計算資源非常有限的低成本標簽.

　　4結語

　　針對標簽與讀寫器在通信過程中的安全隱私問題，結合類編程思想和重載原理，提出一種面向RFID標簽的安全協議.對協議中通信交互過程的分析結果表明，該協議能夠防止重傳攻擊、消息篡改、假冒、異步攻擊、標簽跟蹤等多種攻擊，提供對標簽數據安全和隱私的保護，同時新協議在標簽內部狀態存儲信息被非法破解的情況下實現了前/后向安全，保證了標簽所有權轉換過程的安全性.與同類相關安全協議相比，本協議的安全性和計算性能更高效，在實現更高安全級別的同時，還可提供對數據安全和標簽隱私的保護.如何保證每一個輕量級函數集中算法等概率隨機出現，是下一步擬解決的關鍵問題.

　　參考文獻：

　　[1]OSAKA K，TAKAGI T，YAMAZAKI K，et al.An efficient and secure RFID security method with ownership transfer[C]∥Proceedings of CIS 2006 International Conference， Heidelberg：Springer，2007：778.

　　[2]KULSENG L，YU Z，WEI Y W，et al.Lightweight mutual authentication and ownership transfer for RFID systems[C]∥Proceedings of the 29th Conference on Computer Communications，Piscataway：IEEE，2010：1.

　　[3]SONG B，MITCHELL C J.Scalable RFID security protocols supporting tag ownership transfer [J].Computer communications，2011，34(4)：556.

　　[4]KAPOOR G，PIRAMUTHU S.Vulnerabilities in some recently proposed RFID ownership transfer protocols[J].IEEE communications letters，2010，14(3)：260.

　　[5]RAY B R，CHOWDHURY M，ABAWAJY J.Secure mobile RFID ownership transfer protocol to cover all transfer scenarios[C]∥Proceedings of 2012 7th International Conference on Computing and Convergence Technology(ICCCT)，Piscataway：IEEE，2012：1185.

　　[6]張學軍，王玉，王鎖萍，等.基于循環移位的輕量型相互認證協議研究[J].電子學報，2012，40(11)：2270.

　　[7]GAN Y，HE L，LI N N，et al.An improved forward secure RFID privacy protection scheme[C]∥Proceedings of 2010 2nd International Asia Conference on Informatics in Control，Automation and Robotics(CAR)，Piscataway：IEEE，2010：273.

　　[8]張素智，王朝輝，孫培鋒.基于動態更新ID的RFID安全認證協議研究[J].鄭州輕工業學院學報，2011，26(6)：1.