1 引言

无线射频识别技术(Radio Frequency IDentification，RFID)是一种非接触式自动识别技术，利用无线广播信号对目标物体识别、 追踪和定位，在零售业、 智能交通、 物流管理等领域有着广泛的应用.在实际应用中处于生命期内的RFID标签所有权会不断转移.例如，某商品初始被厂商嵌入RFID标签，出厂后出售给批发商，接着卖给零售商，最终被消费者购买.此后，消费者可能还会出售或者赠予其他用户，RFID标签所有权在各环节不断转移.RFID标签所有权转移是指原所有者把标签上的信息转交给新所有者，新所有者在接收后能实现对标签所有权控制.其实质是一旦RFID标签所有权发生转移，原所有者则不再拥有标签控制权，不能获取新所有者标签信息； 而新所有者不能通过标签获取原所有者信息，保证标签所有权完全转移^[1].

RFID系统一般由标签、 阅读器和后台数据库组成，通信模型中，阅读器和标签间的无线广播传输使通信存在安全隐患^[2-3]，如何解决电子标签的安全隐私问题是RFID研究中的一个热点^[4-5].RFID标签所有权转移过程中有多个阅读器与同一标签通信，保证无线通信中标签隐私安全前提下还应要求原所有者与新所有者均不能通过标签获取对方信息，安全与隐私问题更为重要^[6].因此，设计安全的RFID标签所有权完全转移协议具有重要的现实意义.

2 相关工作

近年来，RFID标签所有权转移问题引起研究者广泛重视.2005年Molnar等基于RFID系统框架解决了标签所有权转移问题^[7-8].方案核心思想是利用密钥树的假名协议保证用户信息安全，通过第三方可信中心为原所有者与新所有者授权标签假名完成所有权转移.由于其本质是限时授权，因此RFID标签所有权未能完全转移.此外，协议引入第三方可信中心，实际应用有一定限制.

2006年，Osaka等分析RFID系统安全需求后基于哈希函数与对称密码算法提出一种安全高效的RFID所有权转移协议^[9].该协议分为标签信息写入、 认证和所有权转移三个阶段，通过更新密钥保证新所有者与原所有者隐私安全.由于所有权转移阶段中新所有者未对原所有者发送的信息进行验证，导致密钥更新不同步，所有权不能完全转移，同时易受拒绝服务和主动攻击类型中的中间人攻击.

2008年，Song提出一种不需第三方参与的RFID所有权转移协议^[10].该协议包括所有权转移、 密钥更新和授权恢复三个子协议，要求新所有者服务器获取所有权后及时更新标签密钥保证隐私安全，同时协议具有授权恢复功能，实际应用价值高.然而所有者之间通信过程中均为验证对方身份，攻击者易通过重放信息获取标签所有权.

2011年，Chen等提出一种基于EPC C1G2标准RFID标签所有权转移协议^[11].该协议包括注册、 所有权转移询问、 相互认证和所有权转移四个阶段，利用数字签名保证转移双方身份不可抵赖性，但未分析重放攻击可能性.协议相互认证阶段未考虑恶劣环境下标签信息无法发送给阅读器导致密钥更新不同步，标签所有权不能完全转移.2013年，Chen等又提出了一种基于EPC C1G2标准的安全所有权转移协议^[12]，涉及PRNG(pseudo-random number generator)和CRC(cyclic redundancy check)运算，但该协议易受拒绝服务攻击和被动攻击中监听信道攻击.此外，未考虑原所有者冒充新所有者情况，标签所有权不能很好转移.

2014年，Gaith等基于RFID闭环系统提出一种新的标签所有权转移协议^[13].该协议基于时间戳和共享密钥利用哈希函数保证隐私安全，可以保证前向安全，能抵御重放攻击和拒绝服务攻击.但要求标签和阅读器集成时间精准同步模块，实现难度大，密钥更新异步导致标签所有权不能完全转移.此后，Niu等提出一种超轻量级RFID所有权可转移相互认证协议^[14].该协议所有权转移阶段，协议通过可信第三方(TTP)保证新所有者与标签密钥同步.由于未考虑可信第三方对新所有者身份验证，原所有者易通过恶意手段再次获取标签所有权.

2015年，Gan等提出一种新型RFID标签所有权转移协议^[15].标签接收信息后均对发送方身份进行验证，确保非法用户无法实施欺骗攻击.但由于新所有者是基于原所有者密钥数据解密获取所有权转移后的新密钥，因此原所有者可监听信道截获标签数据解密得到新密钥，标签所有权不能很好转移.

因此，目前RFID所有权转移协议大都存在标签所有权不能完全转移和系统安全性问题，少数协议实现了标签所有权转移，但均假定在理想环境下，实际应用价值低.

3 本文协议 3.1 主要思想

本文针对现有RFID所有权转移协议中标签所有权不能完全转移及系统安全性问题，提出一种RFID标签所有权完全转移协议.该协议主要思想是通过引入原所有者与新所有者交易关系及身份比对保证标签所有权转移给合法身份的新所有者，利用密钥二次同步更新确保所有权完全转移，考虑到RFID系统无线通信，本文协议采用双向认证确保标签与阅读器通信安全.

协议初始，制造商预处理将E_Kt(ID)写入标签，CO、 NO和T共享哈希函数； CO和T共享标签对称密钥K_t及伪随机数生成器PRNG，同时拥有NO公钥P_K-NO； NO拥有CO公钥P_K-CO.此外，CO在协议执行前能够确定与NO交易关系s； CO和NO能确定本次交易标签，即明确标签身份E_Kt(ID)，这符合实际要求.表 1给出了本文有关记号定义.

3.2 协议描述

本文协议由3个阶段构成，分别为认证阶段、所有权转移询问阶段和所有权完全转移阶段，具体执行过程如下.

3.2.1 认证阶段

原所有者在所有权转移前拥有标签控制权，对标签身份合法性进行认证，如图 1所示.具体认证过程如下：

步骤1 CO生成随机数R₁，计算并向T发送Query请求、 R₁、 h(R₁)⊕s和ID_CO⊕K_t.

步骤2 T获取交易关系s，向CO发送响应数据M₁和M₂，同时首次更新密钥.

(a) T利用接收到R₁基于共享哈希函数计算u₁=h(R₁)，获取并存储s=u₁⊕h(R₁)⊕s，同时利用标签密钥K_t获取并存储ID_CO=ID_CO⊕K_t⊕K_t.

(b) 计算M₁=h(R₁)⊕K_t，M₂=R₁⊕E_Kt(ID).

(c) 向CO发送数据M₁和M₂，更新密钥K′_t=PRNG(K_t).

步骤3 CO完成对T身份合法性认证，更新拥有的标签密钥并保存原密钥.

(a) CO利用标签共享密钥K_t计算u₂=h(R′₁)=M₁⊕K_t，比较数据u₂$\triangleq $h(R₁)，保证数据的新鲜性.

(b) 利用随机数R₁计算u₃=E_Kt(ID′)=M₂⊕R₁，查找数据库匹配标签数据u₃$\triangleq $E_Kt(ID)，对标签ID认证.

(c) 计算并发送h(PRNG(K_t)⊕s)，更新K′_t=PRNG(K_t)，保存原密钥K_t.

步骤4 T利用自己数据s及K′_t计算并比较h(K′_t⊕s)$\triangleq $h(PRNG(K_t)⊕s)，若相同认证成功，否则T还原自身K′_t为K_t.

3.2.2 所有权转移询问阶段

原所有者向新所有者发送信息询问是否接收标签所有权的转移，如图 2所示.具体执行过程如下：

步骤1 CO利用私钥S_K-CO对ID_CO签名得ξ_SK-CO(ID_CO)，利用NO公钥加密并发送E_PK-NO(K′_t，s，ID，ID_CO，ξ_SK-CO(ID_CO)).

步骤2 NO解密数据获取ID，判断是否为本次希望交易的标签，并向CO响应接收或拒绝信号.

(a) NO利用自己私钥S_K-NO解密获取明文K′_t、 s、 ID、 ID_CO和ξ_SK-CO(ID_CO)，利用CO公钥结合ξ_SK-CO(ID_CO)对ID_CO进行验证，确定信息来自合法身份CO.

(b) 判断E_Kt(ID)是否为本次交易标签E_Kt(ID).若是，NO同意接收该标签所有权的转移，存储K′_t和s，计算并发送E_PK-CO(ξ_SK-NO(K′_t⊕ID_CO)，K′_t⊕ID_CO)及Accept响应信号，继续步骤3； 若否，ID非法，NO判断该标签不是本次交易标签，拒绝接收，发Refuse响应信号，协议终止.

步骤3 CO利用自己私钥解密获取ξ_SK-NO(K′_t⊕ID_CO)和K′_t⊕ID_CO，验证K′_t⊕ID_CO确定该信息为对自己的回复，利用NO公钥结合ξ_SK-NO(K′_t⊕ID_CO)对K′_t⊕ID_CO进行验证，确定信息来自合法身份NO.

3.2.3 所有权完全转移阶段

原所有者一旦将标签所有权转移给新所有者，不能继续访问标签隐私信息，失去标签控制权，同时标签相关状态与新所有者保持同步，保证所有权完全转移，具体执行过程如图 3所示.

步骤1 NO生成随机数K，计算并向T发送h(K′_t⊕s)、 K′_t⊕ID_NO和K′_t⊕K.

步骤2 T完成对NO认证，随后标签密钥二次更新.

(a) T利用存储数据计算u₄=h(K′_t⊕s)，然后与收到数据比较u₄$\triangleq $h(K′_t⊕s)，判断信息是否来自合法身份NO.若不同，NO身份非法或CO拥有的共享标签密钥与T更新不同步，转认证阶段重新执行.

(b) 利用标签密钥计算ID_NO=K′_t⊕K′_t⊕ID_NO，K=K′_t⊕K′_t⊕K，比较ID_NO$\triangleq $ID_CO，防止CO以不正当手段再次获取标签所有权.

(c) 生成随机数R₂，计算并发送h(E_Kt(ID)⊕K)和E_PK-NO(R₂)，标签密钥二次更新K″_t=K⊕R₂.

步骤3 NO扫描数据库寻找匹配E_Kt(ID)，对标签进行认证，更新自己拥有的标签密钥，同时保存原密钥.

(a) NO利用自己拥有的数据计算u₅=h(E_Kt(ID)⊕K)，然后与收到数据比较，对标签身份信息E_Kt(ID)进行验证： 若相等，继续(步骤3(b))； 否则认证终止.

(b) 基于NO私钥利用公钥算法解密获取R₂=D_SK-CO(E_PK-NO(R₂))$\triangleq $，计算并发送h(R₂⊕s)，更新标签密钥K″_t=K⊕R₂，保存原密钥K′_t.

步骤4 T利用自己数据s及R₂计算h(R₂⊕s)并与接收数据比较： 若相同，认证成功； 否则认证终止，T还原自身K″_t为K′_t.

4 基于SVO逻辑形式化分析

SVO(syverson-van oorschot)逻辑是在优化和总结BAN(burrows，abadi-needham)、 GNY(gong，needham-yahalom)、 AT(abadi tuttle)、 VO(van oorschot)四种逻辑的基础上提出的，是目前分析认证协议最常用的形式化方法之一^[16-18].通信模型中，协议主体每执行一次操作，都可依据SVO语法、 公理和推理规则更新自身现有状态，通过主体最终拥有的安全目标公式等状态信息验证协议安全.

首先给出本文用到的SVO逻辑语法、 公理和规则：

(1) .

(2) 信任公理.

(3) 信任公理.

(4) 密钥协商公理A₅： PK_δ(P，K_p)∧PK_δ(Q，K_q)⊃.

(5) 消息新鲜性公理A₁₈： #(X_i)⊃#(F(X₁，…，X_n)).

(6) 临时值验证公理A₁₉： (#(X)∧P|~X)⊃P|≈X.

(7) NEC(necessitation)规则：由|-φ可以推导出|-P|≡φ.

其中，P和Q为通信主体，K是P和Q间“好的”共享密钥，X是消息，φ和Ψ是公式.PK_δ(P，K_p)说明K_p为主体P的公开协商密钥，K_q为主体Q的公开协商密钥，K_pq是基于K_p和K_q形成的、 P和Q间“好的”共享密钥，F(X_i)表示含有参数X_i的函数，|-φ表示φ是定理，|≈、 ∋、|≡、⊃、 ≡、 #、| ~、$\triangleleft $、| -符号分别表示最新发送过、 属于、 相信、 蕴涵、 等价于、 新鲜、 发送过、 接收到、 元语言.

4.1 协议初始化假设集

给出本文协议关于节点CO的初始化假设集，如下：

(1) CO|≡T|~K_t

(2) CO|≡(T|~K_t⊃T|~PK_δ(T，K_t))

(3) CO|≡CO$\triangleleft $K_t

(4) CO|≡((T|~PK_δ(T，K_t)∧CO$\triangleleft $K_t)PK_δ(T，K_t))

(5) CO|≡PK_δ(CO，K_t)

(6) CO|≡#(R₁，K_t)

(7) CO|≡T|~(TK′_t)

4.2 协议实现目标

协议认证阶段，要实现节点CO对T的身份认证，并相信更新后的密钥是与节点T共享的新鲜密钥，其SVO逻辑表示为G₁和G₂：

4.3 验证过程

证明 利用初始化假设集、 SVO公理和规则对协议进行形式化推理分析.

推理1 CO|≡T|~PK_δ(T，K_t).

对假设(1)和假设(2)，应用信任公理A₁，得CO|≡ (T|~K_t∧CO|≡(T|~K_t⊃T|~PK_δ(T，K_t))⊃CO|≡ T|~PK_δ(T，K_t)，可得推理1.

推理2 CO|≡(T|~PK_δ(T，K_t)∧CO$\triangleleft $K_t).

对推理1和假设(3)，应用信任公理A₀，得(CO|≡ (T|~PK_δ(T，K_t)∧CO|≡CO$\triangleleft $K_t)≡(CO|≡ (T|~PK_δ(T，K_t))∧(CO$\triangleleft $K_t))，可得推理2.

推理3 CO|≡PK_δ(T，K_t).

对推理2和假设(4)，应用信任公理A₁，得CO|≡ (T|~PK_δ(T，K_t)∧CO$\triangleleft $K_t)∧CO|≡((T|~PK_δ(T，K_t)∧(CO$\triangleleft $K_t)⊃PK_δ(T，K_t))⊃CO|≡PK_δ(T，K_t)，可得推理3.

推理4 CO|≡(PK_δ(T，K_t)∧PK_δ(CO，K_t)).

对推理3和假设(5)，应用信任公理A₀，得(CO|≡PK_δ(T，K_t)∧CO|≡PK_δ(CO，K_t))≡(CO|≡PK_δ(T，K_t)∧PK_δ(CO，K_t))，可得推理4.

推理5

基于推理4，将密钥协商公理A₅实例化，得(PK_δ(T，K_t)∧PK_δ(CO，K_t))，应用NEC规则可得推理5.

推理6

对推理4和推理5，应用信任公理A₁，得CO|≡ (PK_δ(T，K_t)∧PK_δ(CO，K_t))∧CO|≡((PK_δ(T，K_t)∧，可得推理6.

推理7

通过推理6可知，通信双方在协议执行后均认定密钥K_t为公开协商密钥，由于CO与T共享PRNG，因此可得推理7.

推理8 CO|≡#K′_t.

将消息新鲜性公理A₁₈实例为#(R₁，K_t)⊃#(F(R₁，K_t))，应用NEC规则得CO|≡(#(R₁，K_t)⊃#(F(R₁，K_t))).对假设(6)，应用信任公理A₁得 CO|≡#(R₁，K_t)∧CO|≡(#(R₁，K_t)⊃#(F(R₁，K_t)))⊃CO|≡#(F(R₁，K_t))，因为K′_t=PRNG(K_t)，可得推理8.

推理9 CO|≡(T|≈(T∋K′_t)).

对推理8和假设(7)，应用信任公理A₀，得 (CO|≡#K′_t∧CO|≡T|~(T∋K′_t))≡(CO|≡(#K′_t∧T|~(T∋K′_t)))，将临时值验证公理A₁₉实例化为(#K′_t∧T|~(T∋K′_t))⊃T≈(T∋K′_t)，应用NEC规则得CO|≡((#K′_t∧T|~(T∋K′_t))T≈(T∋K′_t))，最后根据上述公式，应用信任公理A₁，可得推理9.

推理10

对假设(7)、 推理7和推理9，用信任公理A₀，得(CO|≡，根据符号定义，可得推理10.

根据推理8和推理10，得出协议认证阶段最终实现目标.同理，对所有权转移询问阶段和所有权完全转移阶段形式化分析，得出结果： CO和NO及NO和T各自相信存在适合双方通信的共享、 新鲜密钥.

5 协议分析与性能比较 5.1 安全性分析

本文协议中认证阶段和所有权完全转移阶段为无线通信，采用双向认证确保信息安全； 所有权转移询问阶段利用数字签名技术保证参与方不可抵赖性.下面对本文协议安全性进行简要分析.

(1) 拒绝服务攻击： 攻击者截获无线通信信息使得协议双方密钥更新不同步，导致下一轮通信合法标签无法通过认证.本文协议可抵御拒绝服务攻击，过程如下：

认证阶段：

① T首先更新密钥K′_t=PRNG(K_t)，接着CO完成对T认证，更新密钥为K′_t并保存K_t，计算并发送h(PRNG(K_t)⊕s).

② 攻击者监听信道，截获h(PRNG(K_t)⊕s)，此后发送伪造数据h′(PRNG(K_t)⊕s).

③ T验证h′(PRNG(K_t)⊕s)不正确，还原K′_t为K_t.

所有权转移询问阶段：

CO向NO发送信息询问是否接收标签所有权的转移，NO获取标签密钥K′_t.若NO拒绝，协议终止，下次认证阶段中CO通过扫描数据库仍能对合法标签进行认证.

所有权完全转移阶段：

① NO生成随机数K，计算并向T发送h(K′_t⊕s)、 K′_t⊕ID_NO和K′_t⊕K.

② 由于认证阶段失败，密钥K_t未更新，T接收信息后验证h(K′_t⊕s不正确，判断NO身份非法或密钥K′_t有误，为了保证密钥更新同步，T默认CO拥有的标签密钥与T更新不同步，继续执行认证阶段操作，拒绝服务攻击无效.

此外，攻击者还可截获所有权完全转移阶段中NO发送给T的信息，导致NO拥有的标签密钥K″_t与T自身密钥K′_t不同步，由于NO保存原密钥，下次通信仍能对T进行认证.因此，本文协议有效抵御拒绝服务攻击.

(2) 重放攻击： 攻击者向标签发送请求，通过无线信道截获标签响应信息，继而发送给阅读器以获取合法标签身份.本文协议认证阶段，CO收到攻击者信息后利用标签密钥K_t计算u₂=h(R′₁)=M₁⊕K_t，比较数据u₂$\triangleq $h(R₁)，确保数据新鲜性，由于随机数R₁每次都不相同，重放攻击失败； 所有权完全转移阶段，NO收到信息后扫描数据库文件计算h(E_Kt(ID)⊕K)是否正确，由于随机数K临时生成每次都不同，因此本文协议可抵御重放攻击.

(3) 被动攻击和主动攻击： 攻击者监听信道窃取信息实施被动攻击，本文协议3个阶段数据加密涉及公钥加密算法、 哈希函数及异或运算，首先攻击者不拥有私钥无法获取明文数据，其次利用哈希函数单向性、 强无碰撞性保证数据安全，最后异或运算增加了破译难度，攻击者截获0/1，均有两种原像可能1⊕1或0⊕0=0，0⊕1或1⊕0=1，当数据位数足够大，穷举法成为不可能，因此本文协议可抵御被动攻击.攻击者中断信号或篡改信息实施主动攻击，认证阶段与所有权完全转移阶段采用双向认证技术，执行协议双方需要对各自身份进行认证，并且利用随机数变化检验信息是否被篡改以保证新鲜性； 所有权转移询问阶段，协议引入签名技术，接收方可迅速判断数据是否被恶意修改，同时也保证交易双方身份不可抵赖性，本文协议可抵御主动攻击.

5.2 所有权完全转移分析

本文协议中，CO执行协议前与T共享标签密钥K_t，拥有标签所有权，经过认证阶段，T从CO获取交易关系s，双方同时更新密钥K′_t=PRNG(K_t)； 经过所有权转移询问阶段，NO从CO获取交易关系s及密钥K′_t，此时CO与NO均拥有标签控制权； 所有权完全转移阶段中，NO生成随机数K，基于密钥K′_t加密数据并向T发送h(K′_t⊕s、 K′_t⊕K，T基于密钥K′_t利用s完成对NO认证，保证所有权转移给具有合法身份NO，此后双方拥有的标签密钥二次同步更新为K″_t=K⊕R₂，其中R₂为T的随机数.整个协议执行过程中，CO拥有标签密钥K_t和K′_t，NO拥有标签密钥K′_t和K″_t.标签所有权转移完成后，NO拥有标签控制权，与T共享密钥K″_t，由于不拥有密钥K_t，无法获取CO与T通信信息； 而K和R₂对CO未知，CO不拥有密钥K″_t，无法获取NO与T通信信息，不再拥有标签控制权，实现标签所有权转移.

此外，现有RFID标签所有权转移协议大都不要求标签对发送方身份进行认证，导致原所有者冒充新所有者再次获取标签控制权.本文协议中，所有权完全转移阶段步骤2要求T对NO身份认证.T接收信息后首先基于密钥K′_t利用s验证h(K′_t⊕s，判断信息是否来自合法身份； 其次计算ID_NO=K′_t⊕K′_t⊕ID_NO，比较ID_NOID_CO，防止CO冒充NO再次获取标签所有权，因此，本文协议可实现标签所有权完全转移.

5.3 性能比较

综上所述，将本文协议性能分别与现有典型协议进行比较.表 2给出了协议间安全性能比较，其中“”表示协议具备相应的安全性，“×”表示不具备相应的安全性； 表 3给出了协议间关键性指标比较，包括标签所有权能否完全转移、 标签计算量、 标签存储需求及协议无线交互次数，其中T_x是异或运算代价，T_h是哈希函数运算代价，T_CRC是CRC函数的运算代价，T_q是位移运算代价，m是第i个标签T_i的密钥长度.

从表 2和表 3可以看出，相比现有典型标签所有权转移协议，本文协议安全性能好，可抵御多种攻击，满足了标签所有权完全转移需求.尽管在标签计算量和无线交互次数方面略高于其它协议，但由于用于所有权交换的标签的商品一般价值比较高，因此标签的成本高一点也是符合实际的^[19].

5.4 实验分析

通过实验平台验证本文协议的性能，实验过程中使用具体数据模拟了本文协议的具体流程，限于篇幅本文以协议认证阶段为例.一般RFID系统标签存储能力在2 048 bit，可划分为256 B，每个字节对应一个唯一性地址，序号从0到255.标签内部存储能力分配如图 4所示.

现利用模拟数值实例方式展现本文协议的认证过程.为了突出认证合理性与简单化.做如下假设：

(1) 标签CO、 NO与T的唯一性序列编号IDC、 IDN和IDT分别是[0x00，0x00，0x00，0x01，0x01，0x01，0x01，0x32]、 [0x00，0x00，0x00，0x01，0x01，0x01，0x01，0x33]、 [0x00，0x00，0x00，0x01，0x01，0x01，0x01，0x34].

(2) 对称密钥K_t=[0x45，0xA6，0xD4，0x55，0x11，0xF2，0xD3，0xlE].

(3) CO生成随机数R₁，R₁对应的二进制是[0x5A，0x31，0xF0，0x08].

基于模拟数据，协议认证流程如图 5所示.

运用本文协议的算法流程及数据模拟运算，最终认证成功.

此外，通过实验对比其它类型协议的标签工作场景，建立了采用不同协议之间的标签模拟场景图，如图 6所示，图中星形标签为正在运行的一个攻击者.

通过多轮的拒绝服务攻击、 假冒攻击和重放攻击等方式攻击，针对各类协议的攻击成功率如图 7所示.从图 7可以看出，对于相同的错误接受率，本文协议与之前的协议相比需要更少的轮数就可以达到.

6 结束语

本文协议通过引入原所有者与新所有者间交易关系及身份比对，利用密钥二次同步更新保证了所有权完全转移，采用双向认证保证RFID系统通信安全.最后对该协议的正确性给予了形式化证明，并通过实验数据验证了协议的安全性和有效性.未来的工作在于研究RFID群组标签环境下所有权转移问题，设计出高效、 低成本的协议.