一种RFID标签授权访问和所有权转换协议

贺 蕾， 甘 勇， 尹毅峰， 金松河

（郑州轻工业学院 计算机与通信工程学院，河南 郑州 450002）

无线射频识别（radio frequency identification，简称RFID）技术是一项使用射频信号对物品进行自动识别的技术，目前已被广泛应用于物流管理、动物监控、图书馆书籍管理和门禁管理等多个领域，然而，由其所引发的安全和隐私问题也逐渐显现。为解决RFID系统中的信息安全和用户隐私问题，研究人员提出了一些解决方案，但这些解决方案大多是在标签具有唯一所有者的场景中提出的。在标签的生存期内，其所附物品的所有者往往处于动态变化过程中，需要将标签的机密信息安全地传输给新所有者，原所有者不能再对标签进行访问。在标签所有权安全转换过程中，所有者和标签之间应进行认证，并能抵御中间人攻击和重放攻击等多种攻击，还应保证标签信息的前向安全和后向安全，即新所有者无法获取标签与原所有者之间共享的机密信息和通信内容，而原所有者不再具有对标签的访问权限。

关于RFID标签所有权转换问题，所取得的较早的研究成果是文献［1］所提出的一项基于密钥树的假名协议，该协议是一种访问次数受限的认证协议，可以提供标签所有权的转换。

文献［2］提出了一种高效安全的RFID标签所有权转换方案，原所有者先通过后端数据库更新标签的密钥，并将该密钥的相关信息发送给新所有者后，新所有者再次更新标签的密钥，以此来保护标签信息的前向安全和后向安全，该协议的问题在于攻击者可以对标签进行跟踪；文献［3－4］在文献［2］的基础上，分别提出了改进协议，但这些协议仍然没有解决原协议中的安全问题；文献［5］根据有无可信第三方（trusted third party，简称TTP）参与提出了2个轻量级的双向认证协议和所有权转换协议，其中，有TTP参与的所有权转换协议难以抵御去同步化攻击，无TTP的所有权转换协议容易遭受跟踪攻击；文献［6］提出了一种用于供应链管理的标签所有权转换方案，在该方案中，不仅包含原所有者、新所有者、标签和TTP，还包含一个新的通信实体——第三方物流，该方案不能抵御去同步化攻击；文献［7］将标签认证和所有权转换分成了6个阶段，分别是初始化、同步认证、更新、非同步化认证、控制权协商和所有权转换阶段，该协议的非同步化认证阶段最多只能连续执行一个设定的次数，如果超过了该设定好的次数，服务器将无法识别标签；文献［8］提出的所有权转换协议中，首先采用非对称密码算法在读写器与后端数据库之间构建一个安全的通信信道，然后标签与读写器之间进行认证通信，在此基础上进行所有权转换，该协议的问题在于不能抵御跟踪攻击。

本文提出了一个标签授权访问和所有权转换协议，包含授权子协议（delegation sub－protocol，简称DP）和所有权转换子协议（ownership transfer sub－protocol，简称 OTP）。前者可以为通过认证的授权读写器提供对标签的有限访问权限；后者采用更新密钥的方式将对标签的所有权交给新所有者。

1 协议描述

本文协议分为授权子协议和所有权转换子协议。其中，授权子协议用于向读写器授予对标签的临时访问权；当该临时授权到期后，需要重新获取授权；当标签的所有权发生变化时，使用所有权转换子协议将标签所有权转换给新所有者。为了研究方便，认为标签与读写器和所有者之间的信道是不安全信道，而其他信道是安全信道。

在系统初始化阶段，后端数据库与标签共享下列字段：k、ku、kold、kuold和c。其中，k为用于提供认证、授权等功能的密钥；ku为用于更新密钥的密钥；kold为上一次成功认证或授权时所用密钥，初始值为k；kuold为上一次进行密钥更新时所采用的密钥，初始值为ku；c为标签内计数器的值，初始值为0，每次查询后都会加1。

1.1 授权子协议

在授权子协议中，后端数据库将标签的密钥k和最大允许访问次数AN（access number，简称AN）发送给授权读写器，并将AN发送给标签。读写器收到密钥后，可以与标签进行通信，每次通信后计数器的值c加1。当c的值达到AN时，读写器需要重新向后端数据库申请授权。协议流程如图1所示。

图1 授权子协议

（1）读写器发送查询请求Query和自己生成的随机数Nr给标签。

（2）标签收到读写器发来的查询请求后，对计数器的值c加1，若没有达到此前设定的最大值AN，协议继续执行；若达到了设定的最大值，则终止协议执行，将AN的值设置为0，并发送“授权已过期”信息给读写器，要求读写器再次进行认证授权。标签与后端数据库进行密钥更新，用于下一次的授权过程。

（3）标签生成一个随机数Nt，计算H（Nr‖Nt‖k），设置标志位Flag为0，并发送｛Flag，Nr，Nt，H（Flag‖Nr‖Nt‖k）｝给读写器，其中“‖”表示字符串的串联，“H”表示Hash函数。

（4）读写器收到标签的回复后，添加上自己的身份信息IDR后，转发给后端数据库。

（5）后端数据库在自己存储的数据项中搜索，以判断是否存在适当的k＇，使H（Flag‖Nr‖Nt‖k＇）等于收到的H（Flag‖Nr‖Nt‖k）。若不存在这样的k＇，则认证失败，协议终止；若存在这样的k＇，且后端数据库允许该读写器拥有对该标签的访问权，则选取该读写器可以对标签进行访问的最大次数AN，计算H（Nr‖Nt‖AN‖k‖ku），将其和AN、标签的密钥k发送给读写器，即｛AN，H（Nr‖Nt‖AN‖k‖ku），k｝。

（6）读写器收到后端数据库的回复后，得到标签当前密钥k和AN，可以使用该密钥与标签进行通信。发送AN⊕H（Nr‖Nt‖k），H（Nr‖Nt‖AN‖k‖ku）给标签，其中“⊕”表示异或运算。

（7）标签收到后计算出AN，验证收到的H（Nr‖Nt‖AN‖k‖ku）是否正确，以此来判断读写器是否收到了k，以及AN是否被篡改。若通过检测，标签存储AN，并可以使用k与读写器进行通信。

1.2 所有权转换子协议

在所有权转换子协议中，为保护标签信息的前向安全，原所有者先更新标签的密钥k和ku，然后再将其通过安全信道发送给新所有者，新所有者无法获取更新前的密钥值。为保护标签信息的后向安全，新所有者需要在原所有者的通信范围之外更新标签中的密钥k和ku，使得原所有者无法获取新的密钥值。协议流程如图2所示。

图2 所有权转换子协议

（1）当需要进行所有权转换时，由新所有者（new owner，简称 NO）发起所有权转换申请Req。原所有者（old owner，简称OO）同意该申请后，其后端数据库生成一个随机数Nd，并计算H（Flag‖Nd‖ku），其中的Flag为1，表示要进行密钥更新。发送｛Flag，Nd，H（Flag‖Nd‖ku）｝给标签，然后更新自己存储的k和ku：

后端数据库在等待一段时间后，若没有收到标签发来的回复信息，则重新生成Nd并进行密钥更新。

（2）标签收到后，验证收到的H（Flag‖Nd‖ku）是否正确。若正确，则生成一个新随机数Nt，采用同样的方法更新密钥，然后计算H（Flag‖Nt‖Nd‖k‖ku），将其与Nt一起发送给原所有者。

（3）原所有者收到标签的回复后，验证是否正确。若正确，则将更新后的k和ku发送给新所有者。至此，新所有者获得了对该标签的访问权限，可以用该k和ku与标签进行通信。新所有者采用同样的方法更新标签的密钥k和ku。

2 协议分析

2.1 协议安全性分析

GNY逻辑是一种对BAN逻辑进行增强扩展的逻辑。该逻辑扩展了符号集，增加了新的逻辑推理规则，增强了逻辑分析能力，扩大了应用范围。本文通过对消息进行形式化表述，设定初始化假设，使用GNY逻辑对协议的安全性进行简要分析。为了分析方便，假定除标签与读写器和所有者之间的信道以外，其他信道都是安全信道。本节所用的表述方式和推理规则遵守文献［9－10］中的相应内容。其中，“T”代表标签；“R”代表读写器；“D”代表后端数据库；“OO”代表原所有者；“NO”代表新所有者。

2.1.1 授权子协议分析

（1）形式化表述。

（2）初始化假设。

（3）分析过程。

由以上分析可知，在授权子协议中，后端数据库对标签进行了认证，标签和读写器都拥有密钥k。通信双方都获得了最大访问次数AN，并相信该AN值是由后端数据库为通信双方设置的。

2.1.2 所有权转换子协议分析

（1）形式化表述。

（2）初始化假设。

（3）分析过程。

在所有权转换子协议中，标签相信原所有者同意所有权转换，并与原所有者进行了双向认证。原所有者相信标签拥有更新后的密钥，保护了标签信息的前向安全。新所有者拥有密钥k和ku，然后再次更新密钥，保证了标签信息的后向安全。

从以上分析可以发现，该协议能够为标签和所有者提供身份认证，保护标签信息的前向安全和后向安全，抵御重放攻击、中间人攻击。此外，协议中并未发送标签的身份信息或其他机密信息，可以避免遭受跟踪攻击。由于本文所提出的协议在更新密钥时，存储了原密钥，因此在遭受去同步化攻击时，可以通过原密钥值重新同步，以抵御去同步化攻击。本文所提出的协议与现有的研究成果对比，见表1所列，其中，“√”表示满足，“×”表示不满足，“○”表示部分满足。

表1 本文协议与现有研究成果的安全性对比

2.2 仿真实现

在Linux系统中对部分标签所有权转换协议进行了仿真实现，获取了标签计算所需消耗时间，见表2所列。与现有研究成果相比，本文协议的标签计算耗时较少，适用于低成本标签。

表2 标签计算消耗时间对比 μs

3 结束语

RFID系统中的标签在其生存期内需要经历多个不同的所有者节点，如何保障标签所有权转换过程的安全性是一个亟待解决的问题。本文提出了一种RFID标签授权访问和所有权转换协议，采用GNY逻辑对协议的安全性进行了分析，结果表明该协议不仅能够提供受限的访问权和标签所有权转换，还能保证较好的安全性，保护了存储在标签中机密信息的前向安全和后向安全，并能抵御多种攻击。在Linux中进行了仿真实现，将本协议与部分现有研究成果进行了比较，发现本协议中标签的计算量较小，适用于低成本RFID系统。下一步的工作是在不降低安全性的前提下，研究如何进一步降低标签的计算量。

［1］ Molnar D，Soppera A，Wagner D.A scalable，delegatable pseudonym protocol enabling ownership transfer of RFID tags［M］／／Selected Areas in Cryptography，2005.Berlin：Springer，2006：276－290.

［2］ Osaka K，Takagi T，Yamazaki K，et al.An efficient and secure RFID security method with ownership transfer［C］／／International Conference on Computational Intelligence and Security，2006.Washington D C：IEEE，2006：1090－1095.

［3］ Jappinen P，Hamalainen H.Enhanced RFID security method with ownership transfer［C］／／International Conference on Computational Intelligence and Security，2008.Washington D C：IEEE Computer Society Press，2008：382－385.

［4］ Yoon E J，Yoo K Y.Two security problems of RFID security method with ownership transfer［C］／／IFIP International Conference on Network and Parallel Computing，2008.Washington D C：IEEE，2008：68－73.

［5］ Kulseng L，Yu Z，Wei Y，et al.Lightweight mutual authen－tication and ownership transfer for RFID systems［C］／／IEEE International Conference on Computer Communications，2010.Washington D C：IEEE，2010：1－5.

［6］ Zhou W，Yoon E J，Piramuthu S.Varying levels of RFID tag ownership in supply chains［C］／／On the Move to Meaningful Internet Systems：OTM 2011Workshops.Berlin：Springer，2011：228－235.

［7］ Fernndez－Mir A，Trujillo－Rasua R，Castella－Roca J，et al.A scalable RFID authentication protocol supporting ownership transfer and controlled delegation［J］.Lecture Notes in Computer Science，2012，7055：147－162.

［8］ Jia H，Wen J.A novel RFID authentication protocol with ownership transfer［C］／／International Conference on Automation and Robotics.Berlin：Springer，2012：599－606.

［9］ Gong L，Needham R，Yahalom R.Reasoning about belief in cryptographic protocols［C］／／1990IEEE Computer Society Symposium on Research in Security and Privacy，Oakland，1990.Washington D C：IEEE Computer Society，1990：234－248.

［10］ 李建华，张爱新，薛 质，等.网络安全协议的形式化分析与验证［M］.北京：机械工业出版社，2010：27－33.