◆甘 勇 王 凯 贺 蕾 郭胜娜 张云霄

（郑州轻工业学院计算机与通信工程学院 河南 450002）

基于拉格朗日带 TTP权重的多所有者标签所有权转换协议

◆甘 勇 王 凯 贺 蕾 郭胜娜 张云霄

（郑州轻工业学院计算机与通信工程学院 河南 450002）

当前在RFID标签所有权转换协议问题上的研究多数是多所有者无TTP（可信第三方）的标签所有权转换协议。在生活实际应用中，可能会有可信第三方这个通信实体，而且每个所有者占有的权重也可能会有差异。针对这一问题，提出了一种基于拉格朗日的带有TTP权重的多所有者标签所有权转换协议。该协议应用秘密共享方法将密钥分成n份，所有者可以依据自己的权重分到相应的子密钥，当恢复密钥的所有者权重之和等于或大于t时才可以得到密钥，否则不能得出密钥。仿真实验结果表明标签所有权转换过程中消耗的时间和所有者的数目无关，和权重的总和有关。

所有权转换；拉格朗日；可信第三方；秘密共享；无线射频识别

0 引言

射频识别(radio frequency identification，RFID) 属于一种无线通信技术，主要依赖于无线电波技术和标签来存储和检索有关对象的信息，而不需要与对象物理接触，并且根据获得的数据可以唯一地识别对象。该技术现在多用于物流、医疗、安全防伪、身份认证识别、交通运输、资产管理、电子收费等诸多领域[1]。目前已经有一些关于FRID系统中标签所有权转换方面的协议，然而关于所有权转换的研究多数是不带权重的多所有者RFID标签所有权转换协议[2]。但在实际生活使用中，标签与所有者之间可能会有可信第三方这个通信实体，在标签的存在期内，标签通常要依附在物品上并且会历经多个所有者，而且经历的这些所有者权重会发生变化[3]。在这种情况下，基于拉格朗日的带有TTP权重的多所有者标签所有权转换问题的研究有着重要的价值。

1 相关工作

目前在RFID标签所有权转换的安全性问题上国内外学者进行了多方面大量的研究讨论。由Molnar等人[4]提出的一种带有可扩展性的使用授权假名的所有权转换协议是标签所有权转换协议最早的研究成果，该协议能够用两种方法来解决标签的所有权转换问题，但其实质上都只是暂时性的授权，并没有实现所有权的完全转换。尽管Lim等人[5]提出的双向认证协议可以解决标签所有权完全转换的问题，但这个认证协议需要标签具有很高的计算能力，此外并没有详细地解释清楚新所有者应该如何安全地获取标签信息。Song等人[6]提出了一个由三个子协议组成的所有权转换协议，该协议通过所有权转换、密钥值更新和恢复授权三个子协议来解决所有权转换过程中的各种安全问题，其中所有权转换协议和密钥值更新协议是基于SM协议。此后，有学者对该机制的安全性进行了剖析。Wang[7]指出该机制协议不能保证原所有者的安全隐私，新所有者可以推测出标签和原所有者共享的秘密。2007年，Osaka等人[8]也针对标签所有权转换提出了一套符合RFID系统安全需求的RFID安全机制。在该协议中，标签是将其ID用对称密钥加密后作为其唯一标识。但通过分析发现仍然无法抵抗去同步化攻击，而且攻击者很容易对其进行跟踪。Fouladgar和Afifi[9-10]设计了一个不仅简化授权而且在一定程度上提高了授权安全性的新协议，该所有权转换协议可以保护新所有者的隐私，但RFID标签容易被冒充和被进行跟踪。Kulseng[11]等人设计了一个需要可信第三方参与的轻量级 RFID安全认证协议，该协议比基于Hash函数和对称密码协议的效率要高，但是由于TTP的参与限制了该协议的应用，并且该协议的抵抗攻击性也未进行详细地分析。

Kapoor和Piramuthu[12]提出了两个标签所有权转换协议，一个使用可信第三方（trusted third party，TTP），另外一个则不使用可信第三方。且这两个协议对标签的计算量具有较高的要求，并且为了保护标签与所有者之间通信的安全性，需要应用对称密钥密码算法。根据以上分析可知，标签所有权转换方面的问题还没有得到很好的解决，在转换过程中会存在不安全因素问题，有待进一步的研究。

2 协议描述

本文中协议包含认证协议和所有权转换协议。首先，一个标签所有权转换协议要保证标签信息的后向安全，即新所有者能够得到标签所有的通信信息，并且原所有者丧失了对标签的访问权限。此外，要保证标签通信信息的前向安全，即在新所有者获取标签所有通信信息之前对标签是一无所知的，保证机密性。依据上述情况，本文设计出一种基于拉格朗日密钥共享算法实现具有不同权重的所有者在可信第三方参与下的标签认证转换协议。该方案将标签的共享密钥分成若干子秘密（秘密份额），并通过安全信道和所有者所占有的权重分发给所有者相应的子密钥。当参加恢复密钥的所有者权重之和等于或大于t时，可以依据拉格朗日定理f(x)=∑ti=1yi｛∏1≤j≤t，i≠j(x-xj)/(xi-xj)｝恢复出标签共享的密钥，否则恢复不出共享的密钥。当密钥恢复出来后，需要更新密钥，并发送密钥给新的所有者，需要保证原所有者的密钥此时无效，即具备了原所有者的无关性。

2.1 初始化阶段

当有新所有者发出所有权转换申请时，原所有者需要先恢复出原密钥，即与标签之间进行相互的认证，然后将原所有者对标签的控制所有权转交给新所有者获得。该协议中需要用的符号及含义包括：Ri为由通信实体生成的随机数；P={P1，P2，……，Pn}为标签的n个所有者， Wi为所有者Pi所占有的权重，Tag表示标签，PID表示新所有者的唯一身份标识，TID表示标签的唯一身份标识，a，b为变量a和b的串联，a⊕b为变量a和b的异或，H(x)为对变量x求其Hash值，S表示标签与原所有者通讯的密钥，Sij(1≤j≤Wi)表示不同权重的所有者得到的不同数量的子密钥，Snew代表标签与新所有者通讯的密钥。

2.2 认证阶段

新所有者向标签发出所有权转换申请时，原所有者需要与标签进行相互的认证，先恢复出原来的密钥。现假如一个标签Tag有三个原所有者，每一个所有者占有的权重比例分别为1、1、2，为了便于研究，现假设新所有者与原所有者之间的通信信道是安全的，而其他的通信信道是不安全的。安全信道用“”表示，普通信道用“”表示。详细地恢复认证过程如图1所示：

图1 认证恢复密钥过程

（1）新所有者 Pnew对原所有者 P1，P2，P3分别发送OTA(ownership transfer allowance)，OTA为所有权转换许可，同时将新所有者的标识(PID)传给原所有者。

（2）原所有者P1收到新所有者发出的所有权转换许可，并同意后，便向标签 Tag发送所有权转换申请，同时生成随机数Ro1。同样的，原所有者P2，P3收到新所有者发出的所有权转换许可，并同意后，就向标签Tag发送所有权转换申请，同时生成随机数 Ro2，Ro3。

（3）标签在收到P1，P2，P3发送的所有权转换申请后，并生成随机数Rt1，Rt2，Rt3，计算M1= H(TID⊕Ro1⊕Rt1)，M2= H(TID⊕Ro2⊕Rt2)，M3= H(TID⊕Ro3⊕Rt3)，并将计算出的结果M1，M2，M3和随机数Rt1，Rt2，Rt3同时发送给原所有者P1，P2，P3。

（4）原所有者P1收到标签发来的消息后，使用Rt1和Ro1匹配后端数据库存储的TID’，如果存在H(TID’⊕Ro1⊕Rt1)=M1，则标签认证通过。同时后端数据库生成随机数Rr1，并将H(Rt1⊕Rr1)⊕S11，H(Rt1⊕Rr1)⊕W1，Rr1发送给标签Tag。将标签的身份标识TID，原所有者占有的权重W1，以及子密钥S11，通过安全信道发送给新所有者。

（5）相似的，原所有者P2，P3收到标签发来的消息后，如果标签认证通过，也分别将H(Rt2⊕Rr2)⊕S21，H(Rt2⊕Rr2)⊕W2，Rr2、H(Rt3⊕Rr3)⊕S31，H(Rt3⊕Rr3)⊕S32，H(Rt3⊕Rr3)⊕W3，Rr3，发送给标签Tag。并同时将标签的身份标识TID，原所有者所占有的权重W2、W3，以及各自子密钥S21，S31，S32分别经过安全信道发送给新所有者Pnew。

（6）标签Tag接收到P1，P2，P3发送的消息后，判断同意进行所有权转换的原所有者权重之和是否满足条件，若满足条件，则标签根据拉格朗日算法恢复出密钥S’，此时使用标签的密钥S与拉格朗日算法恢复出的密钥S’进行比较，若存在S=S’，则原所有者是合法的，便完成了标签与新老所有者之间的双向验证，并恢复出原密钥S。

2.3 所有权转换过程

当新所有者收到原所有者给予的标签信息后，向标签发送请求，并在可信第三方的参与下与标签进行相互的身份认证，验证通过后执行密钥协商并开始互相通信。其中需要用的符号及意义包括：PID为新所有者的唯一身份标识，TID表示标签的唯一身份标识，IDTTP为可信第三方的唯一身份标识，K代表标签和可信第三方共享的密钥，Knew代表标签与新所有者通讯的密钥。详细的所有权转换过程如图2所示：

图2所有权转换过程

（1）新所有者生成随机数Rn1，并将其身份标识PID与所有权转换申请OTR(ownership transfer request，OTR)一起发给标签，即{OTR，PID，Rn1}。

（2）标签收到{OTR，PID，Rn1}后，生成随机数Rn2，计算生成 M=H(TID⊕Rn1⊕Rn2)，发送{OTR，PID，M，Rn1，Rn2}给新所有者Pnew。

（3）新所有者将{OTR，PID，H(TID⊕Rn1⊕Rn2)，Rn1，Rn2}发送给TTP。

（4）TTP接收到新所有者的通信消息后，核查该消息的正确性。如若不正确，则认为新所有者没有获得对标签的控制所有权，协议停止；如若正确，则认为新所有者获得了对标签的控制所有权，原所有者同意将控制所有权转交给新所有者。然后TTP生成随机数 Rn3，发送{Rn1，Rn2，Rn3，IDTTP，H(TID⊕Rn1⊕Rn2)}给新所有者。

（5）新所有者收到TTP发来的通讯信息后，用Rn1和Rn2匹配原所有者发给他的标签的标识TID，如若存在H(TID⊕Rn1⊕Rn2)=M，则标签认证通过，并为标签生成新的密钥Knew。发送{Rn1，Rn2，Rn3，IDTTP，PID，H(TID⊕Rn1⊕Rn2)，H(TID⊕Rn1⊕Rn2)⊕Knew}给标签。

（6）标签收到TTP发来的通讯信息后，检查这个信息是否新鲜及正确。如果不正确，则停止协议；如果正确，则认为新所有者获得了原所有者对标签的所有权，并计算出H(TID⊕Rn1⊕Rn2)，并进一步得到Knew。标签存储PID和Knew，发送{Rn1，Rn2，Rn3，H(TID⊕Rn1⊕Rn2)⊕Knew}给新所有者。

（7）如果新所有者很长时间没有收到标签的信息，或者收到的信息{Rn1，Rn2，Rn3，H(TID⊕Rn1⊕Rn2)⊕Knew}不正确，则需要从步骤1重新执行，发出进行所有权转换的申请；如果收到的信息是正确的，便认为标签已经收到了Knew，完成了所有权转换的过程，新的密钥Knew便可以与标签进行通信，发送{PID，K，Knew}给TTP。

3 安全性分析

本文该协议使得原所有者对标签完全丧失了其所有控制权，实现了所有权的完全转换，并且也满足RFID标签机制其它的安全需求，也实现了安全性转换。

（1）不可跟踪性：标签和所有者之间的每次通信都会使用随机数来改变每次会话中标签的响应信息。攻击者不能将每个标签的响应信息区分开来，因此不具有可跟踪性。

（2）抗中间人攻击：在认证阶段和所有权转换阶段都是一个双向认证的过程，这使得攻击者没有办法通过伪装者的身份来获取信息，因此无法实现攻击。

（3）抗重放攻击：在消息传送的过程中，每次会话都加有随机数而且消息都经过哈希加密。所以攻击者无论是冒充合法的所有者还是合法的标签，他都不能得到任何有用的信息，因为所有者每次发送的请求和标签的每次响应都是不相同的，所以重复发送相同的信息是没有办法通过认证的。

（4）前向安全性：在所有权转换阶段，虽然原所有者将自己的子密钥传给了新所有者，但仅仅知道一个子密钥且不满足权重之和等于或大于 t是无法根据拉格朗日算法恢复出原密钥 S的，从而保证了前向安全性。

（5）后向安全性：在新所有者和标签进行双向认证后，新所有者会更新密钥为Knew，并将新的密钥传给标签，新所有者和标签就会用新密钥通信，原所有者不会知道新密钥，从而保证了后向安全性。

4 性能分析

我们在Linux系统下实现了该协议，进行了仿真实验，实验平台CPU大小为3.60 GHz，内存为4GB。本文共进行了3次实验，分别为加权和等于2或大于2，等于5或大于5，等于9或大于9。每个数据集由三部分组成，分别是所有者的数目、恢复密钥的阈值和标签转换过程中所消耗的时间。结果如图3所示，单位为微秒。

图3 RFID标签所耗费的时间

从图中可以看出，当一个标签有两个所有者时，并要求权重之和等于5，它需要4.35/us实现目标。然而当一个标签有三个所有者时，要求权重之和等于2，它需要3.21/us实现目标。因此，标签所有权转换所消耗的时间长短和所有者的数目无关，和权重的总和有关，权重总和越多，它就需要越多的时间。此外，还可以看出，本文所提出的协议标签计算耗时较短，适合用于成本较低的标签。

5 结论

本文提出了一种在具有可信第三方的情况下与多个不同权重的所有者之间进行密钥协商的标签所有权转换协议。新所有者首先向原所有者分别发出所有权转换的申请，当原所有者同意该申请后与标签之间进行双向的相互认证，标签根据所得到的权重之和和各个子密钥并根据拉格朗日算法恢复出密钥并进行验证。由于单个所有者或者不满足条件的多个所有者都不能与标签进行通信，因而提高了标签的安全隐私性。该协议在完成所有权的完全转换的同时也保证了标签信息的前向安全和后向安全，最重要的是满足了RFID标签的不可跟踪性、抗中间人攻击、抗重放攻击等安全性需求。通过仿真实验显示，该协议中标签计算耗时较短，有利于成本较低的标签使用。在保证安全性的同时如何缩短标签的耗时以及当权重发生变化后如何安全地把密钥分发给多个所有者是下一步需要解决的问题。

[1]张帆，孙璇，马建峰等．供应链环境下通用可组合安全的RFID通信协议[J]．计算机学报，2008．

[2]周永彬，冯登国．RFID 安全协议的设计和分析[J]．计算机学报，2006．

[3]邵婧，陈越，常振华． RFID标签所有权转换模式及协议设计[J]．计算机工程，2009．

[4]MOLNAR D,SOPPERA A,WAGNER D．AScalable,Delegatable Pseudonym Protocol Enabling Ownership Transfer of RFID Tags[J]．Lecture Notes in Computer Science，2005．

[5]LIM C H,KWON T．Strong and Robust RFID Authentication Enabling Perfect OwnershipTransfer[M]．Information and Communications Security．Springer Berlin Heidelberg，2006．

[6]SONG B．RFID tag ownership transfer[C]//Proc．Workshop on RFID Security，2008．

[7]WANG Shao-hui．Analysis and design of RFID tag ownership transfer protocol[C]// Proceedings of the 2011 International Conference on Informatics,Cybernetics,and Computer Engineering． Berlin：Springer Berlin Heidelberg，2012．

[8]OSAKA K,TAKAGI T,YAMAZAKI K．An Efficient and Secure RFID Security Method with OwnershipTransfer[C]．Computational Intelligence and Security,2006 International Conference on． IEEE，2006．

[9]FOULADGAR S， AFIFI H． A Simple Delegation Scheme for RFID Systems (SiDeS) [C]．IEEE International Conference on RFID． IEEE，2007．

[10]FOULADGAR S,AFIFI H． An efficient delegation and transfer of ownership protocol for RFIDtags[C]．First International EURASIP Workshop on RFID Technology,Vienna,Austria，2007．

[11]KULSENG L,YU Z,WEI Y,et al．Lightweight Mutual Authentication and Ownership Transfer for RFID Systems[C]．INFOCOM,2010 Proceedings IEEE．IEEE，2010．

[12]KAPOOR G,PIRAMUTHU S．Single RFID tag ownership transfer protocols [J]．IEEE Transactions on Systems,Man,and Cybernetics,PartC：Applications and Reviews，2012．

国家自然科学基金资助项目（No．61572445）；河南省高等学校重点科研基金资助项目（No．16A520075）。