一種新的RFID標簽所有權(quán)轉(zhuǎn)移協(xié)議

毛雅佼,孫達志,2

(1.天津大學(xué)計算機科學(xué)與技術(shù)學(xué)院,天津300072;

2.中國科學(xué)院信息工程研究所信息安全國家重點實驗室,北京100093)

一種新的RFID標簽所有權(quán)轉(zhuǎn)移協(xié)議

毛雅佼1,孫達志1,2

(1.天津大學(xué)計算機科學(xué)與技術(shù)學(xué)院,天津300072;

2.中國科學(xué)院信息工程研究所信息安全國家重點實驗室,北京100093)

針對無線射頻識別(RFID)技術(shù)標簽在生命周期內(nèi)安全轉(zhuǎn)移其所有權(quán)的問題,提出一個不依賴可信第三方參與轉(zhuǎn)移的、基于Hash函數(shù)的RFID標簽所有權(quán)轉(zhuǎn)移協(xié)議。采用挑戰(zhàn)響應(yīng)機制,使用Status標志位來標識標簽當前所有權(quán)歸屬。其中新舊所有者分別與目標標簽共享不同的密鑰,并與其傳遞通信數(shù)據(jù)來認證參與轉(zhuǎn)移實體的身份,從而認證新所有者獲得目標標簽的所有權(quán)。分析結(jié)果表明,該協(xié)議滿足標簽所有權(quán)轉(zhuǎn)移的安全需求,目標標簽在執(zhí)行協(xié)議后為新所有者所有,實現(xiàn)了所有權(quán)的排他轉(zhuǎn)移,在安全性和效率方面較已有RFID標簽轉(zhuǎn)移協(xié)議有較大提高。

無線射頻識別;密碼協(xié)議;所有權(quán)轉(zhuǎn)移;通信安全;身份認證;物聯(lián)網(wǎng)

1 概述

無線射頻識別(Radio Frequency Identification, RFID)技術(shù)作為一種非接觸式的自動標識技術(shù),在貨物運輸、供應(yīng)鏈管理等方面有著廣泛的應(yīng)用,但也存在一定的安全問題［1］。而標簽在其生命周期內(nèi)所有權(quán)有時會發(fā)生變化,所有者之間有時會形成穩(wěn)定的供求關(guān)系,因此如何安全轉(zhuǎn)移標簽所有權(quán)這一問題值得研究。目前已有的方法是通過設(shè)計密碼協(xié)議來完成所有權(quán)轉(zhuǎn)移,對于低成本的RFID系統(tǒng),設(shè)計簡單、高效、安全的標簽所有權(quán)轉(zhuǎn)移協(xié)議是本文研究的重點。針對以上情況,本文提出一個不依賴可信第三方參與轉(zhuǎn)移的、基于Hash函數(shù)的RFID標簽所有權(quán)轉(zhuǎn)移協(xié)議。

2 相關(guān)知識

RFID標簽所有權(quán)轉(zhuǎn)移協(xié)議(下稱轉(zhuǎn)移協(xié)議)按不同的標準可以進行如下分類:

按協(xié)議執(zhí)行是否依賴可信第三方(TTP)進行劃分:一類是依賴TTP參與轉(zhuǎn)移過程的協(xié)議,如文獻［2］提出的相關(guān)協(xié)議,由于有TTP的參與,參與通信的實體較多,需要考慮因素比較復(fù)雜。在文獻［2］提出的轉(zhuǎn)移協(xié)議中,當攻擊者攔截由R2發(fā)送至標簽的消息時,標簽和TTP以及R2之間可能會出現(xiàn)狀態(tài)不同步。而另一類協(xié)議不依賴TTP,僅由屬于RFID系統(tǒng)的實體完成,如文獻［3］提出的協(xié)議,然而該協(xié)議中攻擊者可以通過重放消息得到標簽返回的閱讀器標識IDR,由于IDR是固定不變的,因此標簽容易被追蹤。

按協(xié)議的復(fù)雜度進行劃分:一類是重量級轉(zhuǎn)移協(xié)議,即基于公鑰加密的RFID轉(zhuǎn)移協(xié)議。如Chen協(xié)議［4］、Ilic協(xié)議［5］等。使用公鑰加密技術(shù)設(shè)計轉(zhuǎn)移協(xié)議,雖然計算復(fù)雜度高,但實現(xiàn)標簽所有權(quán)的排他轉(zhuǎn)移較為容易。一類是中量級轉(zhuǎn)移協(xié)議,即采用對稱加密、Hash函數(shù)等技術(shù)的協(xié)議,比如Song協(xié)議［6］及其改進協(xié)議［7］、Osaka協(xié)議［8］、Fouladgar協(xié)議［9］等。但由于設(shè)計的缺陷,仍存在安全隱患,例如Song協(xié)議中攻擊者可以通過觀察計算出M3,進而偽裝成服務(wù)器參與協(xié)議;Osaka協(xié)議不能抵抗DOS協(xié)議,且攻擊者可以通過修改隨機數(shù)值的方式,使標簽返回相同的值,標簽容易被追蹤;在Fouladgar協(xié)議中,由于讀卡器無法識別信息是否被重放,攻擊者可以重放標簽返回的信息冒充標簽參與完成協(xié)議。還有一類是輕量級轉(zhuǎn)移協(xié)議,如Kulseng協(xié)議［10］,這類協(xié)議采用諸如移位、位連接等輕量級的運算,效率較前2類協(xié)議提高了很多。但Kulseng協(xié)議由于標簽的IDS不斷更新,存在著更新不同步的安全隱患。

所有權(quán)排他轉(zhuǎn)移和所有權(quán)共享表示不同的含義。標簽所有權(quán)排他轉(zhuǎn)移是所有權(quán)的徹底轉(zhuǎn)換,即協(xié)議成功執(zhí)行后,已轉(zhuǎn)移的標簽不再為原所有者所有。而所有權(quán)共享則是在協(xié)議成功執(zhí)行后,已轉(zhuǎn)移的標簽不僅為新所有者所有,還同時為原所有者所有,新舊所有者可以同時擁有RFID標簽的所有權(quán)。Kapoor等認為如果不采用公鑰加密技術(shù),且沒有TTP參與下,實現(xiàn)標簽所有權(quán)的排他轉(zhuǎn)移會比較困難［11］。例如他指出了Song協(xié)議中的部分假設(shè)是無效的,原所有者在協(xié)議成功執(zhí)行后仍可以繼續(xù)控制標簽,沒有實現(xiàn)所有權(quán)的排他轉(zhuǎn)移,只是實現(xiàn)了所有權(quán)的共享。文獻［12］設(shè)計了一個無需依賴TTP參與的標簽所有權(quán)共享機制,其中新所有者的密鑰為隨機生成,舊所有者無法得知,這在轉(zhuǎn)移協(xié)議的設(shè)計上是一個進步。

在實際運用中,例如企業(yè)對消費者(Business To Customer,B2C)電子商務(wù)模式,有的企業(yè)除了生產(chǎn)產(chǎn)品,還負責產(chǎn)品的倉儲配運。產(chǎn)品從生產(chǎn)到最終送達消費者,往往需經(jīng)多個倉庫輾轉(zhuǎn),先后分別為多個倉庫所有。各倉庫之間有時會形成穩(wěn)定的中轉(zhuǎn)關(guān)系(例如某公司生產(chǎn)基地位于A地,一般會經(jīng)過B區(qū)域倉庫和C分撥中心中轉(zhuǎn),最終將產(chǎn)品送達D地,配運路線為A-B-C-D),它們之間的利益有時相互不可侵犯。采用RFID技術(shù)管理產(chǎn)品時,每個倉庫都分別擁有一套獨立的RFID系統(tǒng)來管理被標簽標記的產(chǎn)品,單個產(chǎn)品一般由單個RFID標簽標記,這就涉及到標簽所有權(quán)在不同RFID系統(tǒng)中如何轉(zhuǎn)移,且滿足一定的安全需求。以上面示例中B區(qū)域倉庫將產(chǎn)品所有權(quán)交至C分撥中心為例,需要滿足以下條件:

(1)RFID系統(tǒng)內(nèi)的安全問題

B、C倉庫都不一定誠實,因此要滿足以下2點: 1)成功轉(zhuǎn)移產(chǎn)品所有權(quán)后,產(chǎn)品不再為B繼續(xù)擁有, C不能不承認當前已擁有產(chǎn)品;2)一般是對指定產(chǎn)品的所有權(quán)進行轉(zhuǎn)移,因此確保轉(zhuǎn)移的產(chǎn)品一定是該指定產(chǎn)品,不能把B系統(tǒng)所有的其他產(chǎn)品所有權(quán)轉(zhuǎn)交給C。在使用RFID技術(shù)認證產(chǎn)品時,由于一般都是在開放環(huán)境下進行,系統(tǒng)所有的若干標簽一般都在讀卡器可讀取范圍內(nèi),因此不同的產(chǎn)品要加以區(qū)分,不能盲目轉(zhuǎn)移產(chǎn)品。

(2)RFID系統(tǒng)外的安全問題

要防止其他不法分子干擾產(chǎn)品所有權(quán)轉(zhuǎn)移秩序從中牟利,如通過各種手段假冒產(chǎn)品、假冒B區(qū)域倉庫以及假冒C分撥中心參與轉(zhuǎn)移等。

鑒于上述現(xiàn)有協(xié)議存在的問題以及應(yīng)用需求,本文使用Status標志位來標記標簽當前所有權(quán)所屬,采用挑戰(zhàn)響應(yīng)機制,使標簽與新舊所有者分別共享不同密鑰,設(shè)計了一個安全的RFID轉(zhuǎn)移協(xié)議。

3 標簽所有權(quán)轉(zhuǎn)移方案描述

3.1 安全需求

本文所描述的RFID標簽所有權(quán)轉(zhuǎn)移,是針對特定的某一個RFID標簽(即目標標簽),在其生命周期內(nèi)的某個時刻,所有權(quán)所屬由一個服務(wù)器變?yōu)榱硪粋€服務(wù)器。結(jié)合實際需求,RFID標簽所有權(quán)轉(zhuǎn)移需要滿足的安全需求有如下含義:

(1)所有權(quán)排他轉(zhuǎn)移(Exclusive Transfer,ET),指所有權(quán)成功轉(zhuǎn)移后,目標標簽不再為原所有者所有,而為新所有者唯一所有。

(2)目標標簽轉(zhuǎn)移(Valid Target,VT),即發(fā)生轉(zhuǎn)移的確實為目標標簽,而不是系統(tǒng)中其他標簽。

(3)能抵抗常見的主動攻擊和被動攻擊。例如假冒攻擊(Impersonation Attack,IA)、重傳攻擊

(Replay Attack,RA)、拒絕服務(wù)攻擊(Denial of Service,DoS)以及去同步攻擊(Desynchronization Attack,DA)等。

3.2 協(xié)議描述

所有權(quán)轉(zhuǎn)移在2個服務(wù)器之間進行,每個服務(wù)器可以控制n個RFID標簽,記為T1,T2,…,Tn,Ti(1≤i≤n)為本次所有權(quán)發(fā)生轉(zhuǎn)移的目標標簽。本文協(xié)議實現(xiàn)的標簽所有權(quán)轉(zhuǎn)移情況如圖1所示。

圖1 本文協(xié)議實現(xiàn)的標簽所有權(quán)轉(zhuǎn)移示意圖

下面說明協(xié)議中用到的符號:

S1表示標簽的原所有者,S2表示標簽的新所有者。

Ki1為S1與Ti共享的密鑰,Ki2為S2與Ti共享的密鑰,長度均為l比特。S1與所擁有的不同標簽共享的密鑰各不相同,如K11為S1與T1共享的密鑰,K21為S1與T2共享的密鑰,則K11≠K21,以此類推。

Status為標簽當前所有權(quán)歸屬標志位,長度為1 bit,只讀。Status=0表示標簽屬于S1,Status=1表示屬于S2。

Ha()表示帶密鑰a的Hash函數(shù)運算,任意長度字符串輸入,經(jīng)該運算輸出均為l比特字符串。

a‖b表示對等長的字符串a(chǎn)和b進行字符串連接操作。

REQ表示轉(zhuǎn)移標簽所有權(quán)請求。

A,B,C,D表示協(xié)議中的通信數(shù)據(jù)。

r1,r2,r3,r4均為l比特隨機數(shù)。

對協(xié)議執(zhí)行步驟如下:

第1步S1向Ti發(fā)出轉(zhuǎn)移標簽所有權(quán)請求REQ,開啟所有權(quán)轉(zhuǎn)移會話并生成隨機數(shù)r1發(fā)送給Ti。

第2步當前Ti標簽歸S1所有,即Status為0。Ti收到r1,生成隨機數(shù)r2,并計算A=HKi1(r1||r2),將A和r2發(fā)送至S1。

第3步S1在存儲的密鑰列表中查找是否存在Ki1使計算A′=HKi1(r1‖r2)與收到的A相等。若存在,則計算B=HKi1(r2)發(fā)送給Ti,否則協(xié)議終止執(zhí)行。

第4步Ti計算B′=HKi1(r2)是否與收到的B相等。若相等,生成隨機數(shù)r3,并發(fā)送r3‖A‖B至S2,否則協(xié)議終止執(zhí)行。

第5步S2收到r3‖A‖B后,生成隨機數(shù)r4,并發(fā)送至Ti。

第6步Ti收到r4后,計算C=HKi2(r3‖r4‖B)并發(fā)送至S2。

第7步S2在存儲的密鑰列表中查找是否存在Ki2使計算C′=HKi2(r3‖r4‖B)與收到的C相等。若存在,計算D=HKi2(r4‖A)發(fā)送至Ti,否則協(xié)議終止執(zhí)行。

第8步Ti計算D′=HKi2(r4‖A)是否與收到的D相等。若相等,則置Status=1,標簽所有權(quán)歸S2所有,轉(zhuǎn)移完成,否則協(xié)議終止執(zhí)行。若經(jīng)過一段時間Status標志位仍未改變,協(xié)議立即從第1步重新執(zhí)行。圖2是新協(xié)議執(zhí)行示意圖。

圖2 新協(xié)議執(zhí)行示意圖

4 安全分析

4.1 所有權(quán)排他轉(zhuǎn)移

在新協(xié)議中,S1,S2與Ti分別共享不同密鑰Ki1和Ki2,新(原)所有者無法得知原(新)所有者與目標標簽共享的密鑰。因此,協(xié)議執(zhí)行前,S2無法得到S1與Ti之間的共享密鑰Ki1,Ti的Status標志位為0,所有權(quán)屬S1,S2沒有Ti所有權(quán)?；赗FID標簽的物理特性,Ti所有權(quán)不會自主發(fā)生轉(zhuǎn)移,只有S1向Ti發(fā)出轉(zhuǎn)移所有權(quán)請求后,S1,S2和Ti之間通過一系列相互認證,Ti才能置Status為1。協(xié)議設(shè)計Status為只讀標志位,因此由0到1發(fā)生的變化是不

可逆的。而且S1無法得到S2與Ti的共享密鑰Ki2,S1無法繼續(xù)擁有Ti,Ti被S2所有且唯一所有。所以,新協(xié)議能夠?qū)崿F(xiàn)標簽所有權(quán)的轉(zhuǎn)移,且為所有權(quán)的徹底轉(zhuǎn)移,具有排他性,而不是所有權(quán)共享。

4.2 目標標簽轉(zhuǎn)移

S1與所擁有的不同標簽共享的密鑰各不相同,因此S1與Ti的共享密鑰,和S1與其他標簽的共享密鑰也是不同的。協(xié)議開始執(zhí)行后,經(jīng)過第4步對S1的驗證,可以確定當前認證的標簽確實為S1擁有的標簽。接著,通過第8步對S2的驗證,可以確定該標簽確實為即將轉(zhuǎn)移至S2的目標標簽。目標標簽經(jīng)過多次認證,完成了所有權(quán)由原所有者到新所有者的轉(zhuǎn)移。因此,新協(xié)議可以確保轉(zhuǎn)移標簽即為目標標簽,而不是系統(tǒng)中其他標簽。

4.3 常見的抵抗攻擊

新協(xié)議可以抵抗假冒攻擊,分析如下:假設(shè)攻擊者假冒S1,此時由于協(xié)議執(zhí)行到第3步無法得到Ki1計算正確的B值發(fā)送至Ti,Ti驗證S1失敗,因此原所有者是無法被攻擊者假冒的。同理,S2擁有的密鑰Ki2對于攻擊者也是不可得的,無法在第7步中計算正確的D值發(fā)送至Ti,Ti驗證S2失敗,所以S2也不會被攻擊者冒充。標簽與新舊所有者分別共享密鑰Ki1和Ki2,執(zhí)行過程的第3步和第7步中,新舊所有者可以分別使用通信量A和C對標簽身份進行認證,由于攻擊者無法得知密鑰,若偽造標簽不一定能通過認證。因此新協(xié)議可以抵抗假冒攻擊,包括抵抗對標簽以及新舊所有者的冒充。

新協(xié)議中采用隨機數(shù)保證協(xié)議執(zhí)行的新鮮性,能夠抵抗重放攻擊。而Status標志位標記了標簽的所有權(quán)歸屬,值為0或1,標簽所有權(quán)被新所有者或原所有者所有且唯一所有,不會出現(xiàn)某一時刻標簽處在不屬于任何所有者的狀態(tài),因此能夠抵抗拒絕服務(wù)攻擊。協(xié)議沒有采用更新機制,不會出現(xiàn)由于更新而不同步的情況,因此也能夠抵抗去同步攻擊。另外,攻擊者若試圖攔截消息阻礙轉(zhuǎn)移,一段時間內(nèi)Status標志位未發(fā)生變化,則轉(zhuǎn)移失敗,協(xié)議需立即重新執(zhí)行。表1給出了新協(xié)議和其他所有權(quán)轉(zhuǎn)移協(xié)議的安全特性比較。經(jīng)過比較分析,新協(xié)議在安全性能上有明顯優(yōu)勢。其中,○:表示滿足;╳:表示不滿足。

表1 轉(zhuǎn)移協(xié)議的安全性能比較

5 性能分析

在協(xié)議中,標簽只需存儲3個變量,包括共享密鑰Ki1,Ki2以及Status標志位,而Status標志位僅為1 bit。由于不依賴可信第三方的參與,協(xié)議僅在新舊服務(wù)器以及目標標簽之間進行,計算的通信數(shù)據(jù)也只有A,B,C,D,且沒有結(jié)合更新機制,過程較為簡單。另外,采用帶密鑰的Hash函數(shù)以及位連接等運算,相比于公鑰加密技術(shù)實現(xiàn)轉(zhuǎn)移的協(xié)議,計算復(fù)雜度大大降低。表2給出了已有協(xié)議以及新協(xié)議的計算、存儲與通信代價,h是Hash函數(shù)的計算代價,p是異或運算代價,q是位移運算代價,l是Ti的密鑰長度。在新協(xié)議中,標簽在第2,4,6,8步計算Hash函數(shù)共計4次,所以標簽計算代價為4h,標簽存儲著與新舊所有者分別共享2個密鑰以及Status標志位,共存儲2l+1比特內(nèi)容,而在第1步～第7步通信中,共有10個通信量參與,協(xié)議通信的代價為10l。

表2 轉(zhuǎn)移協(xié)議效率比較

6 結(jié)束語

隨著物聯(lián)網(wǎng)的發(fā)展,RFID技術(shù)應(yīng)用日益普遍,標簽所有權(quán)需要在不同系統(tǒng)之間轉(zhuǎn)移,存在的安全問題也受到極大挑戰(zhàn)。本文提出一個新的轉(zhuǎn)移協(xié)議,適合為RFID系統(tǒng)之間提供安全的標簽所有權(quán)轉(zhuǎn)移環(huán)境。新協(xié)議不同于所有權(quán)共享協(xié)議,實現(xiàn)了標簽所有權(quán)的排他轉(zhuǎn)移。與已有的轉(zhuǎn)移協(xié)議相比,協(xié)議在安全性能和效率上都有所提高。下一步工作是針對特定的RFID標簽所有權(quán)轉(zhuǎn)移協(xié)議采用規(guī)約的方法來驗證其安全性。

［1]周永彬,馮登國.RFID安全協(xié)議的設(shè)計與分析［J］.計算機學(xué)報,2006,29(4):581-589.

［2]Saito J,Imamoto K,Sakurai K.Reassignment Scheme of an RFID Tag’s Key for Owner Transfer［C］// Proceedings of EUC’05.Berlin Germany:Springer, 2005:1303-1312.

［3]Koralalage K H S,Reza S M,Miura J,et al.POP Method:An Approach to Enhance the Security and Privacy of RFID Systems Used in Product Lifecycle with an Anonymous Ownership Transferring Mechanism［C］// Proceedingsof2007ACMSymposiumonApplied Computing.［S.1.］:ACM Press,2007:270-275.［4]Chen C L,Lai Y L,Chen C C,et al.RFID Ownership Transfer Authorization Systems Conforming EPCglobal Class-1 Generation-2 Standards［J］.International Journal of Network Security,2011,13(1):41-48.

［5]Ilic A,Michahelles F,Fleisch E.The Dual Ownership Model:Using Organizational Relationships for Access Control in Safety Supply Chains［C］//Proceedings of AINAW’07.［S.1.］:IEEE Press,2007:459-466.

［6]Song B.RFIDTagOwnershipTransfer［C］// Proceedings of Workshop on RFID Security.Budapest, Hungary:［s.n.］,2008:152-162.

［7]Song B,Mitchell C J.Scalable RFID Security Protocols Supporting Tag Ownership Transfer［J］.Computer Communications,2011,34(4):556-566.

［8]Osaka K,Takagi T,Yamazaki K,et al.An Efficient and Secure RFID Security Method with Ownership Transfer［C］//Proceedings of 2006 International Conference on Computational Intelligence and Security.［S.1.］: IEEE Press,2006:1090-1095.

［9]Fouladgar S,Afifi H.A Simple Delegation Scheme for RFID Systems(SiDeS)［C］//Proceedings of IEEE InternationalConferenceonRadioFrequency Identification.［S.1.］:IEEE Press,2007:1-6.

［10]Kulseng L,Yu Z,Wei Y,et al.Lightweight Mutual AuthenticationandOwnershipTransferforRFID Systems［C］//Proceedings of IEEE INFOCOM’10.［S.1.］:IEEE Press,2010:1-5.

［11]Kapoor G,Zhou W,Piramuthu S.Multi-tag and Multiowner RFID Ownership Transfer in Supply Chains［J］.Decision Support Systems,2011,52(1):258-270.

［12]Kapoor G,Piramuthu S.Single RFID Tag Ownership Transfer Protocols［J］.IEEE Transactions on Systems, Man,and Cybernetics,Part C:Applications and Reviews, 2012,42(2):164-173.

編輯 索書志

A New Ownership Transfer Protocol for RFID Tags

MAO Yajiao1,SUN Dazhi1,2
(1.School of Computer Science and Technology,Tianjin University,Tianjin 300072,China;
2.State Key Laboratory of Information Security,Institute of Information Engineering, Chinese Academy of Sciences,Beijing 100093,China)

Aiming at the problem of the tag’s ownership safe transfer during its lifetime,an ownership transfer protocol for Radio Frequency Identification(RFID)is proposed,which is based on the Hash function without the Third Trust Party (TTP).It adopts the challenge-response mechanism,and uses the Status flag to indicate the tag’s owner.In this protocol,the previous owner and the new owner share different secret keys with the target tag respectively,with communication information transferred between them,and the entities in systems can be authenticated.After a serious of authentication,the new owner obtains the ownership of the target tag.Analysis result shows that the protocol can satisfy the proposed security requirements for tag ownership transfer.The target tag is owned by the previous owner,and only owned by the new owner after the protocol’s execution.So it can make the tag’s ownership transfer exclusively.Compared with the previous works,the protocol’s performances on security and implementations are improved.

Radio Frequency Identification(RFID);cryptographical protocol;ownership transfer;communication security;identity authentication;Internet of Things(IoT)

毛雅佼,孫達志.一種新的RFID標簽所有權(quán)轉(zhuǎn)移協(xié)議［J］.計算機工程,2015,41(3):147-150,166.

英文引用格式:Mao Yajiao,Sun Dazhi.A New Ownership Transfer Protocol for RFID Tags［J］.Computer Engineering, 2015,41(3):147-150,166.

1000-3428(2015)03-0147-04

:A

:TP309

10.3969/j.issn.1000-3428.2015.03.028

國家自然科學(xué)基金資助項目(61003306,61272106)。

毛雅佼(1989-),女,碩士研究生,主研方向:信息安全,密碼學(xué),RFID密碼協(xié)議安全;孫達志,副教授、博士研究生。

2014-02-10

:2014-05-09E-mail:sundazhi@tju.edu.cn