可證明安全的輕量級RFID所有權轉(zhuǎn)移協(xié)議

陳秀清　曹天杰　翟靖軒（徐州醫(yī)科大學醫(yī)學信息學院徐州221008）（中國礦業(yè)大學計算機科學與技術學院徐州221008）

?

可證明安全的輕量級RFID所有權轉(zhuǎn)移協(xié)議

陳秀清①曹天杰*②翟靖軒②①
①（徐州醫(yī)科大學醫(yī)學信息學院徐州221008）
②（中國礦業(yè)大學計算機科學與技術學院徐州221008）

設計安全的無線射頻識別協(xié)議有助于實現(xiàn)“智慧城市”的規(guī)劃和構建完善的智慧網(wǎng)絡。安全的RFID所有權轉(zhuǎn)移協(xié)議要求同時具備安全性和隱私性，標簽的前向不可追蹤性和后向不可追蹤性是RFID系統(tǒng)實際應用中需要考量的兩個重要的隱私性能。針對現(xiàn)有供應鏈系統(tǒng)中所有權轉(zhuǎn)移協(xié)議存在的各種安全隱私問題，該文改進了原有前向不可追蹤性定義的錯過密鑰更新過程的不合理的假設，提出了強前向不可追蹤性的概念。提出了一個基于二次剩余定理的輕量級RFID所有權轉(zhuǎn)移協(xié)議，并使用改進的模型和定義形式化證明了協(xié)議的安全性和隱私性。證明結果表明新方案既可以抵御內(nèi)部讀卡器惡意假冒攻擊，追蹤攻擊，標簽假冒攻擊和異步攻擊，又滿足強前向不可追蹤性和后向不可追蹤性等隱私性能；新協(xié)議在實現(xiàn)低成本和高效率認證的基礎上，比其他協(xié)議安全性和隱私性更好。

無線射頻識別；所有權轉(zhuǎn)移協(xié)議；強前向不可追蹤性；后向不可追蹤性；二次剩余定理

列表式和密鑰更新式RFID協(xié)議［6］實現(xiàn)了標簽的信息對閱讀器的匿名安全性和不可追蹤隱私性。最近文獻［7］介紹了前向隱私性、后向隱私性和受限后向隱私性的定義。文獻［8］給出了不同的前向不可追蹤性和后向不可追蹤性的定義。在所有權轉(zhuǎn)移協(xié)議中，為了保護標簽的所有權的隱私性，需要滿足所有權轉(zhuǎn)移協(xié)議的前向安全隱私和后向安全隱私兩種性能。

文獻［8］使用Vaudenay模型進行了形式化分析，通過改進模型的預假設，用于形式化證明協(xié)議的前向安全隱私和后向安全隱私等性能。文獻［9］使用安全證明模型來證明提出的協(xié)議滿足基本的安全需求，即抵抗內(nèi)部所有者惡意假冒攻擊，隨后指出文獻［10］中的所有權轉(zhuǎn)移協(xié)議存在異步攻擊和新舊所有者的密鑰泄露的問題。文獻［11］也指出文獻［10］沒有實現(xiàn)新所有者的隱私保護問題。文獻［12］給出了所有權轉(zhuǎn)移的模型，證明了所有權者和標簽之間的隱私性。文獻［5］設計了一種基于二次剩余定理的所有權轉(zhuǎn)移協(xié)議，這種協(xié)議標簽端不需要進行哈希計算，此協(xié)議滿足EPC Class-1 Gen-2標準，并適用于大規(guī)模系統(tǒng)應用，但存在內(nèi)部讀卡器惡意假冒攻擊。此外，現(xiàn)存的很多所有權轉(zhuǎn)移協(xié)議并沒有使用文獻［8］提出的前向和后向不可追蹤性的概念進行形式化分析，導致新所有權轉(zhuǎn)移協(xié)議不安全?，F(xiàn)有協(xié)議［13-18］并沒有使用不可追蹤模型分析協(xié)議的安全性，因此基于不可追蹤模型設計了基于二次剩余定理的輕量級所有權轉(zhuǎn)移協(xié)議。

本文簡要介紹了證明協(xié)議安全性和隱私性的安全模型，提出了新的基于二次剩余定理的所有權轉(zhuǎn)移協(xié)議，在安全模型下形式化分析新協(xié)議的安全性，同時在安全隱私性能和效率性能兩方面與其他協(xié)議比較，實驗結果證明新協(xié)議具有更好的安全性和高效性，滿足文中提出的安全和性能需求。

2　安全模型

文獻［8，13］分別對RFID協(xié)議的隱私性能進行了形式化定義，本文基于Vaudenay模型［19］進一步改進安全模型，減弱證明中的安全假設，通過改進敵手建模協(xié)議運行環(huán)境的能力來證明協(xié)議的安全性。本文安全模型可以訪問以下預言機：CreateTag（ID），D raw Tag（dist），F(xiàn)ree（vtag），Launch（），SendReader（m，π），SendTag（m，T），Corrupt（vtag）。根據(jù)攻擊者的能力，Vaudenay首次將攻擊者依據(jù)能否查詢Corrup t（v tag）預言機劃分為弱，前向，破壞，強（Weak，F(xiàn)orward，Destructive，Strong）等4個能力等級。強攻擊者具有訪問任何預言機的能力；弱敵手不能對任何標簽執(zhí)行Corrupt（vtag）操作。同時依據(jù)敵手能否查詢Resu lt（π）預言機將敵手能力分為窄（Narrow）和寬（W ide）兩種敵手（窄攻擊者不能查詢Result預言機）。依據(jù)以上兩種不同的分類可分為8種不同能力的敵手。

前向和后向不可追蹤性能這兩種性能和追蹤攻擊都屬于定位隱私（location privacy）的范疇，與內(nèi)部讀卡器惡意攻擊的敵手能力的假設條件并不相同。而在定義前向和后向不可追蹤性能的概念時，本文假設敵手的能力是窄-強（Narrow-strong）敵手，分別分析第（1i+）次會話和第（1i-）次會話。雖然Vaudenay模型能夠很好地分析當前第i次會話，但并不能進行前向和后向不可追蹤性能分析。因此文獻［8］進一步使用Vaudenay模型進行形式化分析文獻［20］提出前向和后向不可追蹤性能的兩個定義，即使用第（2i+）次會話分析前向不可追蹤性和使用過去第（1i-）次會話分析后向不可追蹤性，通過改變預假設條件來改進Vaudenay的模型中的缺點。這些定義不僅可以分析所有權轉(zhuǎn)移協(xié)議的前向和后向不可追蹤性能，還可用于分析密鑰更新協(xié)議。在原有模型中假設敵手是寬攻擊者，且錯過了密鑰的更新過程，這種假設不符合實際攻擊環(huán)境。因此假設敵手的攻擊能力是窄-強攻擊者，沒有錯過密鑰的更新過程，可以持續(xù)監(jiān)聽協(xié)議的運行，并分析第（1i+）次會話中標簽密鑰的安全性，在改進假設條件后提出了一種強前向不可追蹤性的定義。

對安全的RFID認證協(xié)議定義如下：

定義1前向不可追蹤性（forward untraceable）。敵手運行第i次會話，即使得到腐化后的第i次會話的標簽密鑰和會話內(nèi)容，但是錯過第（1i+）次密鑰更新過程，即使監(jiān)聽到所有者和標簽的將來第（2i+）次會話內(nèi)容，也無法推知出第（2i+）次的標簽密鑰和標簽輸出信息，無法追蹤到第（2i+）次會話時的標簽狀態(tài)。

定義2后向不可追蹤性（backward untraceable）。敵手運行第i次會話，即使得到腐化后的第次i標簽密鑰，也無法從協(xié)議的過去（1i-）次會話內(nèi)容中推知出第（1i-）次的標簽密鑰和標簽輸出信息，無法追蹤到第（1i-）次會話時的標簽狀態(tài)。

定義3強前向不可追蹤性（strong forward untraceable）。敵手運行第i次協(xié)議，假設敵手得到腐化后的第i次的標簽密鑰和會話內(nèi)容，再對第（1i+）次會話分析，無法推知第（1i+）次的標簽密鑰和標簽輸出信息。

3　輕量級RFID所有權轉(zhuǎn)移協(xié)議

新協(xié)議中使用的符號和定義如表1所列。

表1　符號和定義

新所有權轉(zhuǎn)移協(xié)議分為閉環(huán)系統(tǒng)和開環(huán)系統(tǒng)。閉環(huán)RFID系統(tǒng)的定義是標簽位于新所有者與當前所有者可以識別的范圍內(nèi)的系統(tǒng)。本文僅設計適用于移動讀卡器的閉環(huán)系統(tǒng)的輕量級所有權轉(zhuǎn)移RFID協(xié)議（Lightweight RFID Ownership Transfer Protocol，LROTP）。LROTP協(xié)議包括初始化階段和所有權轉(zhuǎn)移階段。LROTP協(xié)議步驟如下：

（1）初始化階段：假設當前所有者（讀卡器）與標簽之間共享一些密鑰信息。讀卡器生成兩個大素數(shù)p和q并計算n=pq。在該系統(tǒng)中每個有效的標簽，所有者與標簽共享一個私密密鑰每個vi都代表一個n bit字符串。每個標簽都被初始化為舊讀卡器儲存密鑰為新讀卡器存儲密鑰為（h

（2）所有權轉(zhuǎn)移階段：

步驟1舊讀寫器Ri加密n的信息為

步驟1.1 Ri傳遞A給新讀寫器。

步驟1.2 Ri+1發(fā)送所有權轉(zhuǎn)移信息給標簽Ti。

步驟2 Ti接收到OT后，計算

步驟2.1iT發(fā)送至新讀寫器

步驟3 Ri收到標簽的信息后，當前讀卡器Ri使用n和Rt"，解出Rt的值，即當前讀卡器會解出以n為模的Rt2的Rt的值。利用p和q，獲得Rt2的值。同時通過F提取ns。敵手分別計算Rt⊕ns⊕vp的值和異或值h（TID）⊕rc，最后判斷這兩個計算的值是否相等。如果不相等，傳遞的信息驗證不通過，停止協(xié)議；如果相等，則判斷傳遞的消息是合法標簽生成的，當前讀卡器計算然后Ri通過安全通道發(fā)送ACKS至新讀卡器。

步驟4新讀卡器Ri+1接收到ACKS，并生成大素數(shù)n'=p'q'。新讀卡器使用密鑰rn提取nT=利用H1驗證傳遞數(shù)據(jù)（G1，ACKS）的完整性。新讀卡器向標簽發(fā)送信息（G1，H1，ACKS）。

步驟5標簽Ti接收信息后生成nT2，從接收的消息G1中提取n'的值，并進一步驗證標簽計算的哈希值和接收的值H1是否相等。如果不相等，則終止協(xié)議；如果相等，則標簽認為提取的數(shù)據(jù)n'是合法的，隨后計算模運算和驗證消息C0用于驗證傳遞數(shù)據(jù)x"的完整性。標簽發(fā)送消息

步驟6 Ri+1接收到標簽的（x"，C0）后，首先比較Ri+1計算的哈希值h（x||n）是否和接收到的C0相等。如果不相等則停止協(xié)議；如果相等，則新讀卡器會解出以n'為模的x2的解R，并利用以p'和q'為模，識別x2值。新讀卡器生成隨機數(shù)r'和新密鑰并計算如下信息：最后更新新標簽的密鑰為發(fā)送信息（G2，ACKn，C）到標簽Ti。

4　形式化安全分析和性能分析

4.1隱私性和安全性形式化證明LROTP協(xié)議基于Vaudenay模型建模反映運行環(huán)境和不同攻擊能力的敵手的安全模型，分別使用定理1和定理2形式化證明LROTP協(xié)議的隱私性，使用定理3，定理4和定理5證明LROTP協(xié)議的安全性。

定理1在窄-強敵手攻擊能力的安全模型下，LROTP協(xié)議滿足強前向不可追蹤性能。

證明假設窄-強敵手執(zhí)行第i次協(xié)議，腐化得到標簽的密鑰和輸入輸出信息，但是可以監(jiān)聽到第（i+1）次的會話內(nèi)容，敵手無法推斷出（i+1）次的標簽的密鑰和輸出信息。觀察標簽的算法結構，標簽端的密鑰更新都使用了x'更新，可以得出計算標簽的密鑰更新和輸出信息都需要知道x的值。因此在敵手計算x值的方法上，從以下兩種情況考慮（證明過程的流程圖見圖1）。

（1）第（i+1）次會話時敵手計算目標標簽其他密鑰更新值：敵手計算更新的密鑰需要竊聽但是因為敵手無法獲取ix就無法計算ih（x），所以無法x x推測同理敵手無法計算出標簽更新后密鑰

圖1　證明LROTP協(xié)議滿足強前向不可追蹤性的算法流程圖

大部分協(xié)議使用隨機數(shù)來同步更新密鑰，而加密的隨機數(shù)消息容易被敵手獲得，并解出隨機數(shù)的值。而新的協(xié)議使用x'更新標簽和讀卡器密鑰。而所有的密鑰更新都需要x'加密，x'的安全性決定了更新后密鑰的安全性，即協(xié)議滿足強前向不可追蹤性。證畢

定理2在窄-強敵手攻擊能力的安全模型下，LROTP協(xié)議滿足后向不可追蹤性能。

證明敵手利用第（1i+）次的標簽密鑰和監(jiān)聽到的信息，也無法計算出第i次會話的標簽的密鑰同時也無法推測出第i次的標簽輸出信息因此敵手無法比較自身的計算值和監(jiān)聽到的是否相同，從而無法區(qū)分出vtag和vtagx。因此敵手分析標簽的后向可追蹤性能的優(yōu)勢為0，LROTP協(xié)議滿足后向不可追蹤性能，證明過程的流程圖見圖2。證畢

定理3在弱敵手攻擊能力的安全模型下，LROTP協(xié)議是抵抗內(nèi)部讀卡器惡意攻擊的。

證明從以下兩種情況分析內(nèi)部讀卡器惡意攻擊（證明過程的流程圖見圖3）。

（1）抵抗新讀卡器惡意假冒舊讀卡器攻擊：假設舊讀卡器沒有參與生成消息ACKS，新讀卡器利用監(jiān)聽攻擊的結果，竊聽了新讀卡器和標簽之間的信息，無法利用自己的密鑰和已知的信息來計算出舊讀卡器的輸出的信息或者是推斷出舊讀卡器的任何密鑰所以新讀卡器無法惡意假冒舊讀卡器。從以下兩方面分析這種情況。一方面，新讀卡器計算需要知道）的值，但是新讀卡器不知舊標簽的密鑰值并且無法從中得到的值，而且+Plv的值也是隨機的。另一方面，新讀卡器無法利用自己的密鑰和監(jiān)聽的信息計算出舊讀卡器的密鑰。例如新讀卡器僅分析監(jiān)聽的消息pR和F是無法推斷出標簽的密鑰TIDK和cr的值，因為pR是隨機選取的，而F中含有隨機數(shù)sn。

（2）抵抗舊讀卡器惡意假冒新讀卡器攻擊：假設新讀卡器沒有參與系統(tǒng)并生成任何消息而舊讀卡器利用自己的密鑰和已知的信息可以計算出和新讀卡器相同的輸出的信息或者是推斷出新讀卡器的密鑰。分析以下兩種情況：一方面，舊讀卡器利用監(jiān)聽攻擊獲取新讀卡器和標簽之間的信息，無法推算出新讀卡器或是標簽的的密鑰，經(jīng)過驗證可知標簽的信息都是加密并且不能獲取任何實體的密鑰。另一方面，因為舊讀卡器計算1G和1H的值都需要知道n'和Tn值，但是舊讀卡器不能從E中提取出標簽的生成的隨機值Tn，因此也不能從1G中提取讀卡器的密鑰n'。同理舊讀卡器也無法計算出只有新讀卡器才能產(chǎn)生的信息（2G，ACKn，C），因此舊讀卡器無法惡意假冒新讀卡器。當且僅當讀卡器惡意假冒舊讀卡器和假冒新讀卡器的優(yōu)勢都為0時，LROTP協(xié)議抵抗內(nèi)部讀卡器惡意攻擊。證畢

圖2　證明LROTP協(xié)議滿足后向不可追蹤性的算法流程圖

圖3　證明LROTP協(xié)議是抵抗內(nèi)部讀卡器惡意攻擊的算法流程圖

定理4在弱敵手攻擊能力的安全模型下，LROTP協(xié)議可以抵抗標簽假冒攻擊和異步攻擊。

證明敵手實現(xiàn)異步攻擊的方式有以下3種情況：

（1）敵手阻止讀卡器更新，而更新標簽的密鑰。

新協(xié)議采用先更新讀卡器的密鑰，再更新標簽的密鑰，因此敵手無法實現(xiàn)這種情況下的異步攻擊。

（2）敵手在實施假冒標簽攻擊后，促使讀卡器兩次更新標簽密鑰，而標簽不更新密鑰。

第1步，敵手監(jiān)聽協(xié)議的第i次正常會話，攔截LROTP協(xié)議的所有權轉(zhuǎn)移階段中的步驟6的信息（2G，ACKn，C），阻止標簽接收正確的消息和更新密鑰。第2步，敵手啟動第（1i+）次會話，并修改標簽的輸出消息（x"，0C），使得修改后的假冒的標簽信息通過讀卡器的驗證，讀卡器計算錯誤的消息，隨后使用錯誤的參數(shù)更新密鑰；標簽接收讀卡器發(fā)送的消息并驗證消息的正確性，標簽拒絕并阻止密鑰更新。

但是敵手修改x"為Ax"的值，0C的哈希計算中包含敵手無法計算的，在讀卡器驗證傳遞的信息（Ax"，0C）的完整性，并不能通過包含Ax"的0C的驗證。因此新協(xié)議不存在標簽假冒攻擊導致的異步攻擊。

（3）敵手修改讀卡器發(fā)送的消息，即在外部非法讀卡器假冒攻擊的前提下，讀卡器正常更新密鑰，而標簽使用錯誤的參數(shù)錯誤更新的密鑰。

敵手啟動LROTP協(xié)議，在所有權轉(zhuǎn)移階段中執(zhí)行步驟1到步驟6，修改步驟6傳遞的信息（2G，ACKn，C），使得修改后的信息通過標簽的驗證，并使得標簽更新密鑰。但是驗證消息C中含有2G和ACKn，所以敵手不能通過修改2G和ACKn而通過標簽驗證。

因此敵手在任何一種情況下都無法實現(xiàn)異步攻擊，LROTP協(xié)議抵抗標簽假冒攻擊和異步攻擊。證畢

定理5在弱敵手攻擊能力的安全模型下，LROTP協(xié)議可以抵抗追蹤攻擊。

證明標簽每次響應時都會產(chǎn)生隨機數(shù)，并將生成的隨機數(shù)用于加密標簽和讀卡器傳輸?shù)臄?shù)據(jù)。即使在標簽密鑰沒有更新的情況下，標簽在不同的會話中，每個階段標簽輸出的信息仍然不同；并且輸出的信息之間經(jīng)過簡單的運算操作（異或，加減運算）不存在任何恒等的關系。例如，敵手想利用監(jiān)聽到的信息（OT，A）重放給密鑰未更新的標簽iT，iT反饋）給敵手，但是這4個信息中都含有標簽生成的隨機數(shù)。其中消息tR=在不同的會話中標簽選擇的隨機數(shù)sn和pv不相同，因此生成的信息tR都不相同，因此LROTP協(xié)議可以抵抗追蹤攻擊。證畢

4.2協(xié)議比較

（1）協(xié)議安全性比較：對LROTP協(xié)議進行安全性分析，將LROTP方案與其他協(xié)議的安全性對比，相關比較結果如表2所列。文獻［3］詳細分析了文獻［1］存在標簽追蹤攻擊和異步攻擊，但是并沒有指出協(xié)議［1，2］存在的其他問題。本文指出文獻［3］提出的協(xié)議存在追蹤攻擊。在文獻［2］的協(xié)議中，標簽輸出信息（X，T）的數(shù)據(jù)結構和文獻［3］協(xié)議標簽輸出（x"，t"）是相同的，因此文獻［2］協(xié)議也存在追蹤攻擊。文獻［1］存在的標簽假冒攻擊，因為標簽的輸出數(shù)據(jù)結構相同，因此文獻［2，3］也存在標簽假冒攻擊。

表2　相關協(xié)議安全性比較

文獻［1-3］協(xié)議中沒有區(qū)分新舊讀卡器，所以不需要分析讀卡器惡意攻擊。在文獻［5］協(xié)議存在內(nèi)部讀卡器假冒攻擊。文獻［4］協(xié)議和文獻［5］協(xié)議結構類似，因此存在著相同的安全性問題。本文LROTP協(xié)議中新屬主只是傳遞加密的n'的值給標簽，基于NP難解問題，而敵手或是其他惡意讀卡器很難計算大素數(shù)p和q的值。另外舊屬主無法獲取更新后標簽的任何密鑰和新屬主的密鑰。同理新屬主也無法獲取更新前標簽的舊屬主的密鑰，防止惡意所有者攻擊。

文獻［1-3］協(xié)議中只需要更新標簽密鑰1ir+= PRNG因此只分析密鑰r的狀態(tài)即可分析標簽的后向和強前向不可追蹤性等性能。因為密鑰更新采用PRNG函數(shù)，此函數(shù)無法反向計算出種子值，即使敵手已經(jīng)腐化了當前密鑰ir，但是無法推知過去密鑰1ir-，因此文獻［1-3］協(xié)議滿足后向不可追蹤性；如果敵手利用腐化的當前密鑰ir和PRNG函數(shù)就可以計算出1ir+值，因此這種密鑰更新機制導致文獻［1-3］協(xié)議不滿足強前向不可追蹤性。文獻［21］協(xié)議提出了認證和所有權管理協(xié)議，但是由于沒有采用二次剩余定理，所以不滿足強前向不可追蹤性。

為了解決更新標簽密鑰機制中的使用的隨機數(shù)容易泄露的問題，當前所有者與目標標簽認證LROTP協(xié)議和文獻［4，5］協(xié)議時，使用x'同步更新標簽和新所有者的密鑰，使得這類協(xié)議滿足強前向不可追蹤性和后向不可追蹤性，可以抵抗追蹤攻擊，但是僅有LROTP協(xié)議能抵抗異步攻擊和內(nèi)部讀卡器惡意攻擊。

（2）協(xié)議性能比較：從存儲量和計算量，通信代價等3個方面對提出的協(xié)議進行性能分析，評估比較的結果如表3所列。

表3　相關協(xié)議性能比較

（a）計算代價：為了實現(xiàn)較低的計算代價，協(xié)議［13］-雖然沒有使用哈希函數(shù)，但是存在著很大的安全問題。LROTP協(xié)議使用哈希函數(shù)保證了協(xié)議的安全性，并且標簽使用的偽隨機數(shù)比文獻［5］少。

（b）通信代價：通過減少通信循環(huán)次數(shù)或者通信通道傳輸?shù)臄?shù)據(jù)量來降低通信代價。在表3中，本文的LROTP協(xié)議標簽和讀卡器之間的通信次數(shù)是5輪，與文獻［4，5］7輪的通信代價相比減少了2輪。

（c）存儲代價：減少讀卡器端的存儲量會減少協(xié)議整體的計算量。由表3可知，LROTP協(xié)議與文獻［4，5］相比，在降低讀卡器和標簽存儲空間的基礎上實現(xiàn)了更高的安全性能和隱私特性。因為讀卡器不再保存長比特密鑰n，而用梅森數(shù)2 1t-來表示n，只存儲t降低了讀卡器存儲空間，提高讀卡器的計算性能。

5　結束語

本文的輕量級所有權轉(zhuǎn)移LROTP協(xié)議解決現(xiàn)有所有權轉(zhuǎn)移協(xié)議存在的內(nèi)部讀卡器惡意攻擊等安全問題，并滿足強前向不可追蹤性和后向不可追蹤性。與其他所有權轉(zhuǎn)移協(xié)議比較，LROTP協(xié)議具有較好的安全性和較高的效率。在未來的研究工作中，將使用Vaudenay模型中的基于強敵手攻擊能力的安全模型分析新設計的協(xié)議，并同時分析在強敵手攻擊能力的安全模型下其他協(xié)議的安全性。

［1］CHEN Yalin，CHOU Juesam，and SUN Hungm in.A novel mutual authentication scheme based on quadratic residues for RFID system s［J］.Com puter Networks，2008，52（12）: 2373-2380.doi:10.1016/j.com net.2008.04.016.

［2］YEH Tzuchang，WU Chienhung，and TSENG Yuhm in. Im provement of the RFID authentication scheme based on quadratic residues［J］.Computer Communications，2011，34（3）:337-341.doi:10.1016/j.com com.2010.05.011.

［3］DOSS Robin，SUNDARESAN Saravanan，and ZHOU W anlei.A p ractical quadratic residues based scheme for authentication and privacy in mobile RFID system s［J］.Ad Hoc Networks，2013，11（1）:383-396.doi:10.1016/j.adhoc. 2012.06.015.

［4］DOSS Robin and ZHOU W anlei.A secure tag ownership transfer scheme in a closed loop RFID system［C］.Proceedings of theW ireless Communications and Networking Conference W orkshops（WCNCW），Paris，2012:164-169.

［5］DOSSRobin，ZHOU W anlei，and YU Shui.Secu re RFID tag ownership transfer based on quadratic residues［J］.IEEE Transactions on Information Forensics and Security，2013，8（2）:390-401.doi:10.1109/TIFS.2012.2235834.

［6］謝潤，許春香，陳文杰，等.一種具有閱讀器匿名功能的射頻識別認證協(xié)議［J］.電子與信息學報，2015，37（5）:1241-1247. doi:10.11999/JEIT140902.

XIE Run，XU Chunxiang，CHEN Wenjie，et al.An RFID authentication p rotocol anonymous against readers［J］. Journal ofElectronics&Information Techno logy，2015，37（5）: 1241-1247.doi:10.11999/JEIT 140902.

［7］金永明，孫惠平，關志，等.RFID標簽所有權轉(zhuǎn)移協(xié)議研究［J］.計算機研究與發(fā)展，2011，48（8）:1400-1405.

JIN Yongming，SUN Huiping，GUAN Zhi，et al.Ownership transfer p rotocol for RFID tag［J］.Journal of Computer Research and Developm ent，2011，48（8）:1400-1405.

［8］ALAGHEBAND M ahd i R and AREF M ohamm ad R. Simulation-based traceability analysis of RFID authentication protocols［J］.W ireless Personal Communications，2014，77（2）:1019-1038.doi:10.1007/ s11277-013-1552-7.

［9］MORIYAMA Daisuke.Cryptanalysis and Im provement of A Provably Secure RFID Ownership Transfer Protocol［M］. Lightweight Cryptography for Security and Privacy，Springer Berlin Heidelberg，2013:114-129.doi:10.1007/978-3-642-40392-7_9.

［10］ELKHIYAOUI Kaoutar，BLASS Erik-Oliver，and MOLVA Refik.ROT IV:RFID Ownersh ip Transfer w ith Issuer Verification［M］.RFID Security and Privacy，Springer Berlin Heidelberg，2012:163-182.doi:10.1007/978-3-642-25286-0_11.

［11］CHIEN Hungyu.Com bin ing Rabin cryptosystem and error correction codes to facilitate anonym ous authen tication w ith un-traceability for low-end devices［J］.Computer Networks，2013，57（14）:2705-2717.doi:10.1016/j.comnet.2013.06.005.

［12］VAN Deursen T.Security of RFID protocols［D］.［Ph.D. dissertation］，University of Luxem bourg，Luxembourg，2011.

［13］張輝，侯朝煥，王東輝.一種基于部分ID的新型RFID安全隱私相互認證協(xié)議［J］.電子與信息學報，2009，31（4）:853-856.

ZHANG Hui，HOU Chaohuan，and WANG Donghui.A new security and p rivacy on RFIDmutualauthentication protocol based on partial ID［J］.Journal of Electronics&Inform ation Technology，2009，31（4）:853-856.

［14］LI Nan，MU Yi，SUSILOA W illy，et al.Shared RFID ownership transfer protocols［J］.Computer Standards& Interfaces，2015，42:95-104.doi:10.1016/j.csi.2015.05.003.

［15］ZHANG Shigeng，LIU Xuan，WANG Jianxin，et al. Energy-efficient active tag search ing in large scale RFID systems shigeng［J］.Information Sciences，2015，317:143-156. doi:10.1016/j.ins.2015.04.048.

［16］HSIChengter，LIEN Yuanhung，CHIU Junghui，etal.Solving scalability problem s on secure RFID grouping-proof protocol［J］.W ireless Personal Communications，2015，84（2）: 1069-1088.doi:10.1007/s11277-015-2676-8.

［17］AKGUN Mete and?AGLAYAN M Ufuk.Providing destructive p rivacy and scalability in RFID systems using PUFs［J］.Ad Hoc Netw orks，2015，32:32-42.doi:10.1016/ j.adhoc.2015.02.001.

［18］ZHANG Daqiang，QIAN Yum ing，WAN Jiafu，et al.An efficient RFID search protocol based on clouds［J］.Mobile Network Application，2015，20:356-362.doi:10.1007/ s11036-015-0597-0.

［19］VAUDENAY Serge.On Privacy Models for RFID［M］. Lecture Notes in Com puter Science，Sp ringer Berlin Heidelberg，2007，4833:68-87.doi:10.1007/978-3-540-76900-2_5.

［20］PHAN Raphael C W，WU Jiang，OUAFI Khaled，et al. Privacy analysis of forward and backward untraceable RFID authentication schemes［J］.W ireless Personal Communications，2011，61（1）:69-81.doi:10.1007/s11277-010-0001-0.

［21］NIU Haifeng，TAQIEDD IN Eyad，and JAGANNATHAN S. EPC gen2v2 RFID standard authentication and ownership management protocol［J］.IEEE Transactions on Mobile Computing，2016，15（1）:137-149.doi:10.1109/TMC.2015. 2412933.

陳秀清：女，1981年生，講師，研究方向為信息安全和安全協(xié)議.

曹天杰：男，1965年生，教授，研究方向為信息安全和安全協(xié)議.

翟靖軒：男，1982年生，博士，研究方向為信息安全和安全協(xié)議.

Provable Secure for the Lightweight RFID Ownership Transfer Protocol

CHEN Xiuqing①CAO Tianjie②ZHA IJingxuan②①
①（SchoolofM edicine Information，Xuzhou Medical University，Xuzhou 221008，China）
②（College ofComputer Science and Technology，China University ofMining and Technology，Xuzhou 221008，China）

In order to im plement the“w isdom city”planning and build perfect wisdom network，it is im portant to design the security Radio Frequency IDentification（RFID）p rotocol.A secure RFID ownership transfer protocol shou ld be evaluated in term s of the security and p rivacy p roperties.In particu lar，there are two im portant p rivacy properties included forward untraceable and backward untraceable in the practical app lication of RFID system.In order to solve the various security and privacy problem s，this paper enhances the unreasonableassump tion that the attacker m isses the key-update session in the definition of forward untraceable，then proposes the definition of strong forward untraceable.In addition，this paper designs the lightweight RFID ownership transfer protocolbased on quad ratic residues，and uses the enhanced model and definitions to formal prove the security and p rivacy properties.Moreover，the proof results not on ly show that the scheme resists against inner reader malicious im-personation attack，tracing attack，tag im personation attack and desynchronization attack，but also formally prove that the proposed p rotocol meets strong forward untraceable and backward untraceab le properties.In addition，the analysis results demonstrate that the protocol based on low-cost and high efficiency is superior to other protocols in the security and performance p roperties.

Radio Frequency IDentification（RFID）；Ownership transfer p rotocols；Strong forward untraceable；Backward untraceable；Quadratic residues

1　引言

無線射頻識別（Radio Frequency IDentification， RFID）技術在帶給各行各業(yè)的商業(yè)應用更多便利和更高效的服務的同時，也將“智慧城市”由想法落實為現(xiàn)實的各種應用，如智能公交系統(tǒng)、智能醫(yī)療系統(tǒng)、智能旅游系統(tǒng)等。而智慧城市的全方位處理能力要有很好的現(xiàn)實應用，則需要具備完善的安全和隱私性能的RFID安全協(xié)議。文獻［1-5］都是基于二次剩余定理設計的RFID協(xié)議。在所有權轉(zhuǎn)移協(xié)議中，帶有RFID標簽的物品在其生命周期內(nèi)的所有權是不斷變化的。如果消費者使用物品時出現(xiàn)問題需要將物品交給售后服務部維修人員，此時物品所有權臨時轉(zhuǎn)移。所有權轉(zhuǎn)移過程中最重要的就是保證新舊所有者不能利用自己掌握的當前或過往信息對另一方進行跟蹤或者獲得對方的秘密信息。

s:The National Natural Science Foundation of China（61303263），The 333 Pro ject of Jiangsu Province（BRA2014047），The“Six-top-talents”High-level Talent Cultivation Project Research Funds of Jiangsu Province（2014-W LW-023）

TP391.45

A

1009-5896（2016）08-2091-08

10.11999/JEIT 151049

2015-09-17；改回日期：2016-05-13；網(wǎng)絡出版：2016-06-24

曹天杰tjcao@cum t.edu.cn

國家自然科學基金（61303263），江蘇省第四期“333高層次人才培養(yǎng)工程”科研項目（BRA2014047），江蘇省“六大人才高峰”科研項目（2014-W LW-023）