梁 樱，姚孝明

（海南大学 信息科学技术学院，海南 海口570228）

0 引 言

供应链环境下，物品标签的所有权在其生命周期内常常发生转移。比如，在生产商－批发商－零售商－消费者等各个环节转换节点之间必然涉及物品标签所有权转移，之后物品标签所有权还可能因消费者将商品作为二手物品再出售，或由于某种原因要求退换货而发生更多转移。由于RFID标签与读写器间的开放型无线环境，标签的计算、通讯和存储能力十分有限，使得标签与读写器在所有权转移过程中易受到窃听、重放、跟踪等安全隐私攻击［1］。尤其是，在实际应用中，RFID标签常以群组方式发生所有权转移，而现有的大部分标签所有权转移协议设计方案一次只能转移单个标签的所有权。因此，如何实现群组RFID标签所有权的安全转移，并确保标签所有者的安全隐私，已成为决定RFID技术能否持续发展的关键技术问题之一。

1 相关研究

自Molna等人首次提出RFID标签所有权转移问题以来［2］，国内外学者已提出不少RFID标签所有权转移协议设计方案［3－9］。但这些方案一次只能完成单个标签的所有权转移，并不能满足实际应用中RFID标签以群组方式发生所有权转移的需求。

为了一次完成多个标签的所有权转移，提高标签所有权转移效率，Zuo于2010年首次提出了群组标签所有权转移协议GOT［10］。同单个标签所有权转移协议相比，该协议大大降低了群组标签所有权转移时的通讯与计算负荷。GOT的执行过程分为3个主要阶段：认证阶段、所有权转移阶段和验证核实阶段。在认证阶段，须为同一群组的标签人为设置组号Gid，并据此进行身份认证，安全性存在缺陷；在所有权转移阶段，若标签数量n≥2，须更新群组密钥，这在标签数量很庞大的情况下，对计算能力十分有限的标签来说，要求标签Ti依次验证消息M9是不可行的。另外，该协议不能够实现群组标签的拆分与重组 （即新标签的加入、旧标签的离开），因为协议不允许标签离开或加入现有群组。

次年，Kapoor等人提出了一个供应链环境下多标签多所有者的标签所有权转移协议［11］。协议基于TTP实现标签的所有权转移，可抵抗标签位置跟踪等攻击。但协议中身份认证阶段未将通信双方身份标识纳入双向认证协议，存在受到重放和假冒攻击等安全缺陷。

2012年，Yang提出了一个适于移动RFID系统可跨域的群组RFID标签所有权转移协议SMGOTP［12］。SMGOTP包含2个主要阶段：标签认证阶段、标签所有权转移与密钥更新管理阶段。该协议基于动态平衡密钥树来实现群组标签的所有权转移，但这种方法在标签数量十分庞大时，标签与后台服务器共享的群组密钥数量也十分庞大，这将增加密钥管理难度。在安全隐私保护方面，此协议假设原所有者无法窃听新所有者与标签的密钥更新过程，而这一假设在RFID系统无线通信环境下是不能成立的。因此，该协议并不能满足其所声称的后向安全、抵抗位置隐私与拒绝服务等安全隐私需求。

综上所述，目前关于群组RFID标签所有权转移协议的研究还比较少，且通过分析发现，现有的几个群组RFID标签所有权转移协议设计方案，或存在不少安全隐私保护缺陷，或方案中标签的计算复杂度过高。

2 SGOTP描述

为解决上述问题，本文基于TTP对称密钥更新管理策略，运用简单加密哈希函数及轻量级对称加密算法，提出了一个新的安全群组RFID标签所有权转移协议SGOTP（secure group ownership transfer protocol）。SGOTP分为3个主要阶段：初始认证阶段、组密钥更新阶段及验证核实阶段。初始认证阶段完成原所有者与标签间的双向认证，防止伪装假冒等安全隐私攻击。组密钥更新阶段基于TTP对称密钥更新管理策略，可一次实现群组标签所有权的安全转移，保证所有者的安全隐私并避免出现双重所有权。最后的验证核实阶段，新所有者利用其与群组标签所共享的新群组密钥对群组标签的身份进行验证核实，为新的组标签成员分配新的认证密钥，并从原所有者处获取标签的完整信息。

2.1 初始假设和符号定义

SGOTP假设标签是无源低成本的；标签具备可读写的非易失性存储器；标签和读写器上各有一个伪随机数发生器；标签可运行简单加密哈希函数及轻量级对称加密算法；读写器、后台服务器及TTP之间的通信建立在安全信道上；读写器和标签之间的通信建立在不安全信道上。

SGOTP所用到的符号定义见表1。

表1 符号定义

SGOTP所用到的消息解释见表2。

表2 消息解释

2.2 协议过程

2.2.1 协议初始化

首先，为系统选择一个复杂度较低，适用于无源低成本标签的简单加密哈希函数 （如SQUASH）和一个轻量级对称加密函数。其次，后台服务器Si为标签分配认证密钥，为属于同一群组的标签分配群组密钥kgroup，并将其与所对应读写器共享。此外，标签与TTP共享密钥。

2.2.2 初始认证阶段

在初始认证阶段，标签、读写器和后台服务器利用其所共享的群组密钥kgroup和认证密钥，完成原所有者与标签间的双向认证，防止伪装假冒等安全隐私攻击。认证过程如图1所示，具体步骤如下：

步骤2 Si→：AUTH 。收到所有权转移请求后OT，原所有者服务器Si检索需进行所有权转移的标签标志位。若都为f1，则表示Si拥有需进行所有权转移的群组标签所有权，接着Si搜索标签对应读写器，并向其发送认证请求AUTH，否则向读写器响应FAIL，协议中止。

图1 初始认证阶段

2.2.3 组密钥更新阶段

在组密钥更新阶段，基于TTP对称密钥更新管理策略实现群组标签所有权的安全转移，保证所有者的安全隐私并避免出现双重所有权。更新过程如图2所示，具体步骤如下：

步骤1 Si→TTP：UPDATE║║｛｝。收到读写器响应的确认消息ACK后，服务器Si向TTP发送密钥更新请求UPDATE，以及新所有者读写器的身份标识和需进行所有权转移的标签身份 ｛｝。

步骤2 TTP→Si：｛｝；TTP→：kgroup＿new。收到密钥更新请求后UPDATE，TTP生成新群组密钥kgroup＿new，利用与标签所共享的密钥计算并发送给Si，同时TTP将新群组密钥kgroup＿new通过安全信道发送给读写器。

2.2.4 验证核实阶段

在验证核实阶段，新所有者利用其与群组标签所共享的新群组密钥对群组标签的身份进行验证核实，为新的组标签成员分配新的认证密钥，并从原所有者处获取标签的完整信息。验证过程如图3所示，具体步骤如下：

步骤2 Tpi→Rjq：Mi6。收到消息后，标签对其进行解密并对比所得是否与自己的身份标识相等。若相等，更新密钥，生成随机数并计算发送给读写器。

步骤4 Si→Sj：｛，Info（）｝。收到读写器的确认消息ACK后，Si向新所有者服务器Sj发送标签相关信息Info）。至此，群组标签所有权全部成功转移。

3 安全性分析与性能比较

3.1 安全性分析

在群组RFID标签所有权所移过程中，除了要考虑RFID系统常遭受的窃听、重放、跟踪等安全隐私攻击，还要考虑标签所有权转移过程中标签原、新所有者的安全隐私及双重所有权问题。下面将针对上述几个方面对SGOTP进行安全方面的分析。

重放攻击 （RA）：SGOTP可抵抗攻击者对读写器与标签发起的恶意重放攻击。因为读写器与标签每次的都会产生不同的随机数Nr和Nt，所以读写器的查询信息与标签的响应信息每次都是不同的，重复发送上一次会话的消息无法通过认证。

位置隐私跟踪攻击 （IND）：SGOTP可抵抗攻击者对标签及标签用户发起的位置隐私攻击。认证过程中，标签会对读写器的身份进行认证，如果攻击者不具备共享认证密钥kix与群组密钥kgroup，是无法诱使标签响应的。其次，标签每次的响应信息都加入不同的随机数Nt，即每次认证会话过程中标签响应信息均不相同。因此，攻击者无法获知响应信息来自哪个标签，从而无法对标签及标签用户进行位置隐私跟踪。

中间人攻击 （MITM）：SGOTP可抵抗攻击者发起的恶意中间人攻击。因为采用密钥动态刷新的加密哈希函数和对称加密算法，且每次计算过程都加入不同的随机数，因此，攻击者无法通过对读写器的查询消息或标签的响应消息进行替换或更改而通过合法读写器或标签的认证。

异步攻击：在SGOTP的验证核实阶段，标签在进行群组密钥与认证密钥的更新后，新所有者读写器都会利用新密钥对标签响应的哈希值进行验证，确认标签是否正确更新密钥。若标签正确更新密钥，则向后台服务器发送确认信息ACK，否则协议中止，响应消息FAIL。因此，SGOTP可抵抗攻击者发起的恶意异步攻击。

前向安全 （FS）：在SGOTP组密钥更新阶段，基于TTP对称密钥更新管理策略，原所有者并不知道新所有者与群组标签间共享的群组密钥，且在所有权转移过程中，在获取新的群组密钥后，标签新所有者都会更新与群组标签所共享的认证密钥，因此原所有者无法知道新所有者与群组标签间共享的认证密钥，这就保证了新所有者的安全隐私。

后向安全 （BS）：在SGOTP的所有权转移过程中，标签新所有者从始至终都无法得知原所有者与群组标签间的认证密钥与群组密钥，因此无法获知原所有者与群组标签以往的交互消息，从而保证了原所有者的安全隐私。

双重所有权 （window problem，WP）：采用基于TTP的对称密钥更新管理策略，SGOTP有效地避免了群组标签原所有者与新所有者同时拥有标签群组密钥的情况。因此，在协议执行的任何时刻，标签的所有权有且仅有一个，避免了双重所有权现象的发生。

3.2 性能分析

考虑到后台服务器及读写器的存储与计算能力较标签而言要高很多，因此此处主要分析存储与计算能力十分有限的标签的计算复杂度。

以组成员数量为n的群组标签为例，SGOTP中组标签一共需要执行4n次轻量级加密解密运算与2n次简单加密哈希运算。同需要进行9n次加密解密运算与4n次哈希运算的GOT相比，降低了标签的计算复杂度。SMGOTP虽只需进行5n次轻量级加密解密运算，但存在较多的安全隐私保护缺陷：如不能满足后向安全、抵抗位置隐私与拒绝服务等安全隐私需求。下面将新协议SGOTP与现有的一些RFID标签所有权转协议从上述的2个方面进行比较，详情见表3。

表3 与现有方案的安全隐私与计算复杂度比较

根据表3的分析结果可知，文献 ［4］与文献 ［5］无法实现在一次会话内完成群组RFID标签的所有权转移，并存在一定安全缺陷。文献 ［10］与文献 ［12］虽可在一次会话内完成群组RFID标签的所有权转移，但前者的标签计算复杂度过高，后者还存在不少安全隐私保护缺陷。而SGOTP不仅可以满足群组RFID标签所有权转移过程所需的安全隐私需求，还降低了标签的计算复杂度。

4 结束语

针对现有群组RFID标签所有权转移协议存在的安全性较低、计算复杂度较高等问题，提出了一个新的安全群组RFID标签所有权转移协议SGOTP，并通过安全性分析与性能比较对其进行了阐述。SGOTP不仅能在一次会话中实现多个标签所有权的同时转移，还具有更高的安全性与更低的标签计算复杂度。随着供应链信息服务系统的服务多元化，RFID供应链系统所产生的，包含物品本身相关信息和物品在流通中时间和空间信息的海量RFID数据在所有权转移过程中可能被恶意收集、分析而造成的新的安全威胁问题，这是未来设计群组RFID标签所有权转移协议方案可能出现的又一新的安全需求。

［1］HU Wei，LI Yongzhong，LI Zhengjie.New defending RFID authentication protocol against Dos attacks ［J］.Application Research of Computers，2012，29 （2）：676－678 （in Chinese）.［胡炜，李永忠，李正洁.一种能抵抗拒绝服务攻击的RFID安全认证协议［J］.计算机应用研究，2012，29 （2）：676－678.］

［2］Li T L，Jin Z G，Pang C Y.Secured ownership transfer scheme for low－cost RFID tags ［C］／／Proc of the 3rd International Conference on Intelligent Networks and Intelligent Systems，2010：584－587.

［3］JIN Yongming，SUN Huiping，GUAN Zhi，et al.Ownership transfer protocol for RFID tag ［J］.Journal of Computer Research and Development，2011，48 （8）：1400－1405 （in Chinese）.［金永明，孙惠平，关志，等.RFID标签所有权转移协议研究［J］.计算机发展与研究，2011，48 （8）：1400－1405.］

［4］SHAO Jing，CHEN Yue，ZHEN Honghu.RFID tag ownership transfer for supply chains ［J］.Computer Engineering and Design，2009，30 （24）：5618－5621 （in Chinese）.［邵婧，陈越，甄鸿鹄.供应链环境下的RFID标签所有权转换方案［J］.计算机工程与设计，2009，30 （24）：5618－5621.］

［5］Song B，Chris J Mitchell.Scalable RFID security protocols supporting tag ownership transfer ［J］.Computer Communications，2011，34 （4）：556－566.

［6］Chen C L，Chien C F.An ownership transfer scheme using mobile RFIDs［J］.Wireless Personal Communications，2013，68 （3）：1093－1119.

［7］Ching Y N，Susilo W，YI M.Practical RFID ownership transfer scheme［J］.Journal of Computer Security，2011，19 （2）：319－341.

［8］Yang M H，Hu H Y.Protocol for ownership transfer across authorities：With the ability to assign transfer target ［J］.Security and Communication Networks，2012，5 （2）：164－177.

［9］Hoque M E，Raham F，Ahamed S I.Enhancing privacy and security of RFID system with serverless authentication and search protocols in pervasive environments ［J］.Wireless Personal Communications，2010，55 （1）：65－79.

［10］Zou Y J.Changing hands together：A secure group ownership transfer protocol for RFID tags［C］／／Proc of the 43rd Hawaii International Conference on System Sciences，2010：1－10.

［11］Kapoor G，Zhou Wei，Piramuthu S.Multi－tag and multiowner RFID ownership transfer in supply chains ［J］.Decision Support Systems，2011，52 （1）：258－270.

［12］Yang M H.Secure multiple group ownership transfer protocol for mobile RFID ［J］.Electronic Commerce Research and Applications，2012，11 （4）：361－373.