一種更具實用性的移動RFID認證協議*

周治平，張惠根

（江南大學信息技術系，江蘇無錫214122）

?

一種更具實用性的移動RFID認證協議*

周治平*，張惠根

（江南大學信息技術系，江蘇無錫214122）

摘要：針對Doss協議的不足，提出了一種改進的輕量級移動RFID認證協議。首先使用二次剩余混合隨機數加密的方法提高后臺服務器識別速度；在閱讀器端添加時間戳生成器，抵御閱讀器冒充及重放攻擊。新協議標簽端只采用成本較低的偽隨機數生成、模平方以及異或運算，遵循了EPC C1G2標準，且實現了移動RFID環境下的安全認證。理論分析及實驗顯示了新協議提高了Doss協議后臺識別速度，并滿足標簽和閱讀器的匿名性、閱讀器隱私、標簽前向隱私等安全需求，更有效抵抗已有的各種攻擊：重放、冒充、去同步化攻擊等。與同類RFID認證協議相比，實用性更佳。

關鍵詞：移動RFID；安全認證；二次剩余定理；隱私保護

近年來，國內外學者在設計保護標簽或用戶隱私的RFID認證協議方面做了大量的工作。但在考慮RFID技術實際應用的擴散及標準化的進程中仍然存在著一些安全隱私和識別效率的問題［1-2］。現有RFID認證協議應用的普及大多主要受限于3個方面：①許多協議未滿足EPC C1G2標準［3］，故難以在低成本輕量級標簽（不支持復雜計算，如哈希函數運算［4］、橢圓曲線加密［5-6］等）中使用；②遵循EPC C1G2標準的輕量級協議［7］難以同時提供認證及通信實體隱私的安全防護；③后臺服務器搜索開銷隨著數據庫標簽數量的增加而線性增長［8-9］，低識別率的認證協議不適用于大規模的RFID系統［2］。

此外，上述所有協議都是基于閱讀器固定、且閱讀器至服務器是安全連接的假設。隨著移動智能終端及近場通訊NFC技術的快速發展，將閱讀器嵌入移動智能設備形成移動RFID系統開始受到諸多學者的關注。由于閱讀器工作方式的改變，上述假設已不再適用，故未考慮閱讀器匿名性及安全隱私的傳統RFID認證協議無法在無線/移動便攜式閱讀器的環境下使用。

針對移動RFID系統的應用，2013年，Doss等人［10］基于二次剩余定理提出了隱私保護的移動RFID認證協議，該協議遵循了EPC C1G2標準，適合低成本標簽的應用，同時后臺識別耗時不隨標簽數量的增加而線性增長，但該識別過程仍須執行多次匹配，認證效率較低；另外，服務器對接收的消息缺少新鮮性檢測，易遭受重放攻擊。文獻［11］提出一種基于時間戳和標志位的移動RFID相互認證協議，該協議有效抵御了去同步化攻擊，但該協議的密鑰更新方式并非是單向不可逆的，當敵手獲取特定標簽內部秘密信息后，能通過公開信道截獲的標簽歷史信息識別該特定標簽，因此該協議亦不具前向安全性［9，12］，此外，后臺服務器需通過遍歷數據庫計算哈希匹配值的方法識別閱讀器和標簽的合法性，因此并不適用于大型RFID系統；2014年，Shi等人［13］提出一種低開銷的移動RFID認證協議，該協議中各標簽采用相同密鑰，且無密鑰更新運算，服務器采用共享密鑰異或的方式能提取出各標簽索引值實現后臺快速搜索，但易導致捕獲攻擊和前向隱私的威脅，此外，后臺對接收的消息無新鮮性檢測，易遭受重放攻擊。Vaidya B等人［14］提出了一種基于ECC的移動RFID認證協議，該協議將復雜度較高的標量乘運算交由閱讀器及服務器處理，標簽端計算開銷相對較小，但協議中標簽端無密鑰更新操作，且后臺為提高識別效率需標簽明文傳輸索引值，不具備標簽位置隱私和前向隱私防護。最近，Sundaresan等人［15］提出了一種無服務器式的移動RFID安全認證協議，該協議滿足EPC C1G2標準，并采用盲因子綁定隨機數的方式增強了公開信道秘密信息傳輸的抗猜測性。該協議初始化階段須分別在閱讀器和標簽端預先存儲對方身份的訪問列表，對標簽內存開銷考驗較大，另一方面，通信實體雙方為驗證對方合法性均需遍歷訪問列表計算匹配值，因此該協議對于標簽端計算負擔和認證延時較大，實用性欠佳。

為設計出一種滿足EPC C1G2標準的具有實用性的移動RFID認證協議，本文首先指出并分析了Doss協議存在的安全及低識別率隱患；然后針對其認證方式和安全威脅提出改進方案；最后，詳細分析了新協議的安全性、效率及開銷。

1　相關工作

1.1Doss方案隱患分析

此部分著重分析Doss協議存在的安全及效率2個方面的隱患，該協議相關流程參見文獻［10］。

1.1.1重放攻擊（冒充攻擊）

Doss等人聲稱該協議能抵御重放攻擊，但我們可做如下假設：敵方A偵聽并記錄了閱讀器R0、標簽T0和服務器S的第i次通信記錄＜hello,s＞、＜x0″,t0″＞、＜x0″,t0″,y″,u″,s＞、＜Ack′＞、＜Ack＞后，A繼續向服務器重放消息＜x0″,t0″,y″,u″,s＞，由于h(RID)不變，且y是由s和u生成，服務器端通過解得的模平方根迭代計算無疑能認證閱讀器的合法性，服務器進一步通過計算xi⊕s⊕ti= h(TID)⊕r-1也能認證T0的真實性；另外，敵手A還可以用s向一新標簽T1發動send查詢［12］，獲得新標簽的回復＜x1″,t1″＞后，敵方可組合出一消息＜x1″,t1″,y″,u″,s＞再重放至服務器，服務器仍能匹配成功后臺數據庫記錄中的h(RID)，認證了閱讀器的真實性后，后臺還會進一步驗證標簽T2的真實性，由于T2為合法標簽，其亦能獲得后臺的認證。敵方甚至可以向服務器發送＜?,?,y″,u″,s＞，*為任意內容，雖然后臺最終識別標簽信息為非法，但閱讀器自始至終被視為合法，故Doss方案具有重放攻擊（閱讀器冒充）威脅，當敵手不斷發送＜?,?,y″,u″,s＞，服務器若不能檢測出所接收消息的真實性則易遭受后端資源耗盡而引起的系統崩潰。

1.1.2后臺識別低效

Doss協議中，當服務器從閱讀器收到消息后，需從解得的剩余集Y、U中反復迭代所有可能的yi和ui［2，10］，計算yi⊕s⊕ui=h(RID)以驗證閱讀器合法性，因為解得的y和u各有16個，故最壞情況下該迭代匹配需執行256次，同樣，后臺在計算xi⊕s⊕ti=h(TID)⊕r/r-1以驗證標簽合法性時，最壞情況下也需迭代并搜索數據庫256次，因此該協議對后臺計算開銷及帶寬消耗負載較大，識別效率低下。

2　改進協議描述

類似Doss協議，新協議同樣包含初始化、雙向認證2個階段，并仍采用了輕量級運算，滿足EPC C1G2標準。協議中所用符號注釋說明如表1所示。

表1　協議使用符號及相應注釋

2.1初始化階段

新協議初始化階段大致與Doss方案相同，不同之處在于：系統為各移動閱讀器加載時間戳生成器，并默認閱讀器與服務器之間保持時鐘同步［16-17］。

服務器產生4個大素數p，q，g，h作為私鑰，計算出對應的公鑰n=p·q和m=g·h，并確定一單向哈希函數h(.)及偽隨機數發生器PRNG(.)。再分別為每一合法閱讀器和標簽分配唯一的標識符RID，TID。服務器為系統中每一個標簽計算索引值：RTID=h(TID)⊕r，R-T1ID=h(TID)⊕r-1，初始狀態下，共享密鑰r=r-1。服務器對于每個有效的標簽和閱讀器，分別存儲其記錄＜RTID,R-T1ID,TID,h(TID),r,r-1＞，＜RID,h(RID)＞。系統再分別加載＜TID,h(TID),n,r＞、＜RID,h(RID),m＞至各標簽和閱讀器內存。

2.2雙向認證階段

該階段由閱讀器發起，具體流程如圖1所示，并按下述步驟進行：

Step 1：閱讀器首先生成隨機數s和hello消息，并記錄此時時間戳Tt1，再向標簽發送消息＜s，Hello，Tt1＞；

Step 2：標簽收到消息后，生成隨機數t，并計算x=h(TID)⊕Tt1⊕r⊕t，x′=(s||x)2modn，t′=t2modn，再將＜x′，t′＞發送至閱讀器；

Step 3：閱讀器收到標簽回復后，生成隨機數u，再計算y=h(RID)⊕Tt1⊕u，y′=(s||y)2modm，u′= u2modm，z=h(RID||m||x′||Tt1)，再將＜x′,t′,y′,u′,z,s,Tt1＞發送至服務器；

圖1　新協議認證流程

Step 5：閱讀器收到Ack′后，計算并驗證u?=[Ack′⊕h(y)]l，其中l為u的位長，左式成立則驗證了服務器的真實性，閱讀器再計算Ack=[Ack′⊕h(y)]?l，并將＜Ack＞發送至標簽；

Step 6：標簽收到＜Ack＞后，計算并驗證Ack?=h(TID)⊕t⊕PRNG(x)，認證通過后更新密鑰：r←PRNG(r)。

3　改進協議性能分析

本節從安全性分析、所需開銷分析、實驗仿真3個方面對現有協議和新協議進行分析比較。

3.1安全性分析

①雙向認證：對標簽來說，標簽接收到響應消息＜Ack＞后，通過Step 6可以對服務器和移動閱讀器進行驗證，因為只有有效的服務器才能產生原始的響應消息Ack=h(TID)⊕t⊕PRNG(x)和Ack′= (Ack||u)⊕h(y)，有效的閱讀器才能通過異或和右移運算得到正確的Ack=[Ack′⊕h(y)]?l，標簽通過計算Ack?=h(TID)⊕t⊕PRNG(x)對后端服務器和移動閱讀器同時進行了驗證。對后端服務器來說，服務器接收到移動閱讀器發送的消息＜x′,t′,y′,u′,z,s,Tt1＞后，執行Step 4先檢測消息的新鮮性，再對閱讀器及標簽分別進行驗證，只有有效的標簽和閱讀器才能計算出合法的散列值在后臺服務器端通過驗證。

②標簽/閱讀器匿名性：首先，認證通訊過程中標簽和閱讀器的標識符未明文傳輸。由于標簽的應答消息為x′=(s||x)2modn，t′=t2modn，其中s和t為隨機數且均只使用一次，同時t和x受二次剩余的保護，在缺少p，q的情況下，敵方無法計算出t和x，更無法從x=h(TID)⊕Tt1⊕r⊕t中提取出h(TID)或TID；同理，由于y和隨機數u受二次剩余的保護，敵方缺少p，q亦無法從閱讀器的應答消息y′=(s||y)2modm，u′=u2modm中計算出y和u，更無法從y中提取出h(RID)或RID。

③位置隱私：對于標簽而言，雖然h(TID)固定不變，但每次會話中消息內容＜x′,t′＞、＜Ack＞均由新隨機數t經過組合計算而得，具有隨機性和新鮮性，敵方無法通過上述信息對特定標簽進行跟蹤；同樣對于閱讀器而言，每次會話中消息內容{s,Tt1,y′,u′,z}和＜Ack′＞均具有新鮮性，而＜x′,t′＞由標簽端加入新隨機數生成，無法聯系至閱讀器，故閱讀器亦具有位置隱私保護。

④標簽前向隱私：假設敵手破譯了標簽當前內部秘密信息＜TID,h(TID),n,r＞，并掌握了標簽先前通信內容＜s-1,Tt0,x′-1,t′-1,Ack-1＞，因為s-1和Tt0是閱讀器端先前發出的隨機數和時戳，與標簽內部秘密信息并無關聯；同時t′-1是由隨機數t-1計算而得，具有隨機性和不可猜測性；而x′-1和Ack-1均是由x-1= h(TID)⊕Tt0⊕r-1⊕t-1經復合計算而得，盡管敵手獲得了h(TID)，但因r-1≠r，且t-1具有隨機性，因此x′-1和Ack-1獨立于標簽當前內部的秘密信息，即敵手無法將標簽內部秘密信息與該標簽先前通信記錄相關聯［12］。

⑤重放攻擊：為防止敵方重放先前會話內容，新方案中服務器收到認證請求消息后，先對消息時戳進行檢測，若時延大于設定閾值Δt，服務器拒不回復；即使敵方能將先前會話內容中的時戳更新，但因敵方缺少RID，無法計算出正確的z，服務器在驗證閱讀器合法性時因計算h(RID||m||x′||Tt1)?=z不通過而判定消息非法。故新協議能抵御重放攻擊。

⑥冒充攻擊：一方面，敵方在未知標簽標識TID、h(TID)以及密鑰r的情況下，無法計算真實的x=h(TID)⊕Tt1⊕r⊕t和x′=(s||x)2modn，而服務器求解出x和t后計算的x⊕ti⊕Tt1無法與數據庫中的h(TID)⊕r/r-1匹配。同理，敵方缺少h(RID)無法計算出真實的y=h(RID)⊕Tt1⊕u和y′=(s||y)2modm，進而不能通過服務器的認證，因此新協議能抵御冒充攻擊。

⑦去同步化攻擊：當敵手能夠截獲或可以成功偽造出＜Ack＞時，標簽端由于更新密鑰失敗或錯誤的更新會引起服務器和標簽端密鑰不同步導致DOS攻擊。若敵手阻截了＜Ack＞，標簽由于更新密鑰失敗，其在隨后的認證會話中仍然使用原密鑰r做相應計算，而因為后臺服務器端存儲了標簽的新舊密鑰r和r-1，服務器通過驗證R-1TID仍能識別該標簽；若敵手能成功偽造出＜Ack＞并發送至標簽后，將導致標簽密鑰錯誤更新后的永久性拒絕服務，如前文所述，敵手無法獲取當前會話中標簽端生成的x、t以及標簽偽標識h(TID)，因此標簽計算Ack?=h(TID)⊕t⊕PRNG(x)無法驗證通過，故新協議能抵御去同步化攻擊。

此部分將新協議和現有典型RFID認證協議［2，10-11，13，15］就應用場景及安全性進行比較如表2所示。經比較，由于文獻［2］基于安全信道的假設，無法適用于移動RFID環境，僅本文所提協議和文獻［15］滿足安全性需求，能應用于無線移動環境，且遵循了EPCC1G2標準。

3.2所需開銷分析

此部分對比了現有協議［2，10-11，13，15］和新協議的所需開銷如表3所示。開銷對比主要側重于一次成功認證過程中通信實體的交互輪數，標簽端的計算、存儲和通信開銷，閱讀器和服務器端的計算和通信開銷，以及最壞情況下后臺搜索匹配開銷8個方面。為便于分析比較存儲及通信開銷，設定時鐘值、計數值、hello消息和標志位為24 bit位，（偽）隨機數、身份標識、哈希輸出、共享密鑰及組密鑰均為96 bit位，公私鑰均為128 bit位。

表2　安全性能比較

表3　協議所需開銷比較

如表所示，文獻［15］只需2次握手便可實現閱讀器對標簽合法性的驗證，但該協議對標簽內存需求較高，擴展性不強。而新協議中標簽端存儲開銷與Doss協議持平，均為52 byte，同時為防止重放攻擊，時間戳和校驗器的使用使得閱讀器至標簽端、閱讀器至服務器端的通信開銷均高于Doss協議。

計算開銷方面本文忽略了異或、移位等超輕量級運算［10］。只比較6種計算量較大的（偽）隨機數生成、時戳生成、模乘、哈希、模開方運算。新協議中標簽端和閱讀器端模乘運算只需2次，相比Doss協議減少了一半，同時服務器端也只需4次模平方根運算就能提取出標簽的索引值，大大減少了計算開銷。

另外，文獻［11，15］中后臺識別標簽采用遍歷計算匹配的方式，難以適用于大型RFID系統。文獻［2，10，13］與所提協議則采用標簽索引的方式避免了窮盡式搜索，后臺搜索復雜度均為O（1），但在最壞情況下，文獻［2］和Doss協議［10］中索引值的計算仍需分別迭代并搜索數據庫16和256次，且文獻［2］基于安全信道的假設、文獻［13］中標簽存在前向隱私威脅，而新協議增強了Doss協議抗重放攻擊能力的同時，在識別標簽過程中最壞情況下只需執行4次索引匹配操作，大幅提高了后臺識別效率。因此相比現有移動RFID認證協議，新協議在安全性、識別效率等方面更具優勢。

3.3實驗及仿真

在滿足安全隱私的條件下，RFID認證系統的性能優劣很大程度上取決于認證協議的通信開銷和服務器在數據庫中搜索并識別特定標簽的耗時。因此，本文仿真實驗從通信開銷和服務器端計算搜索耗時兩個方面展開。

3.3.1通信開銷

本文采用NS2網絡仿真軟件和MATLAB工具對RFID網絡通訊進行仿真，該網絡模型部署如圖2所示。

圖2　RFID網絡通訊模型

網絡參數配置如表4所示。

表4　仿真實驗參數

實驗環境MAC層采用IEEE802.11分布式協調功能（DCF）和RTS/CTS/DATA/ACK機制。采用載波監聽多路復用帶沖突避免（CSMA/CA）技術傳輸數據幀，不考慮消息計算和數據傳輸過程中超時重發、出錯等能耗，只考慮數據無線通信能耗。為便于計算分析，實驗中將閱讀器、標簽、服務器設為網絡中靜止通訊節點，且閱讀器與標簽間距1 m，閱讀器至服務器間距100 m，標簽數量分別設為10、20、30、40、50個不等，測試文獻［10-11，13，15］與新方案認證一次所耗費的通訊開銷。

由于實際應用中服務器能量不受限制，故此部分實驗側重于評估閱讀器端、標簽端的通信開銷總和。仿真結果取20次獨立實驗的平均值如圖3所示。

如圖3所示，隨著應答標簽數量的增長，閱讀器和標簽端的通信總開銷也不斷增長。其中文獻［15］通信開銷最少，因為該方案是無服務器式的認證協議，且閱讀器和標簽僅有兩次握手通訊，故節省了大量通訊開銷；而文獻［10-11，13］與新方案均為三方通訊的認證協議，閱讀器與標簽需進行3次握手交互，且閱讀器需轉發認證請求信息至100 m遠處的服務器，故產生相對較高的能耗。相比文獻［10］，新方案為解決重放（閱讀器冒充）攻擊而在認證請求信息中添加了時間戳T1和校驗器Z，當標簽數量達到50個時，閱讀器端和標簽端的通訊總開銷達8 296.8 μJ，因此新方案通信開銷在文獻對比中稍處劣勢。但考慮到近年來鋰電池容量的不斷提升，實際應用中移動智能設備電源補給方便，續航能力不斷增強，因此該不足是可以接受的。

3.3.2服務器端計算開銷

實驗中，用PC機模擬后臺服務器，仿真環境為：Intel Core i3-2.27 GHz，RAM-4 GB，編程語言使用Java。在數據庫中設定了60×104個標簽，并將特定標簽分別設置為數據庫中的第1個，第10×104個，第20×104個，···第60×104個，測試服務器從收到標簽的認證請求信息至搜索并識別特定標簽的時間間隔。由于每次運行時間有細微差異，故測試20次取平均值。此部分實驗仿真了文獻［2，10-11，13，15］與新協議的搜索耗時對比如圖4所示。其中文獻［2，10］和新協議均為最壞情況下的時間開銷。

圖4　不同位置的特定標簽識別所需耗時對比

如圖，隨著數據庫中標簽數量和待識別標簽所在數據庫位置的增長，采用直接哈希值索引的方式［13］搜索速度最快且搜索耗時漲幅最??；而采用哈希計算遍歷匹配［11］（MD5）和偽隨機發生器遍歷匹配［15］方式的搜索開銷線性增長趨勢明顯；另外，文獻［2，10］和新協議均采用模平方根提取哈希索引的方式，后臺平均搜索耗時增長相對平緩，因為該方式總收索耗時主要是由模開方運算和根據索引值搜索數據庫兩部分組成，但Doss協議［10］后臺執行模開方運算后最壞情況下需迭代和搜索數據庫256次，搜索耗時接近100秒，文獻［2］中雖搜索開銷較小，但最壞情況下也需迭代搜索16次；而本文協議由于改進了加密方式，服務器最多只需迭代和搜索4次便能實現特定標簽的快速識別，搜索開銷略高于直接哈希值索引［13］，實現了服務器的低計算開銷和低認證延時。

此外，本文考慮了實際應用中影響RFID認證系統性能的另一因素，即服務器對偽標簽的識別速度。由于數據庫中無偽標簽數據信息，現有認證協議中采用遍歷計算匹配的方式［11，15］無疑給服務器造成了巨大的計算開銷和認證時延。因此，偽標簽的快速識別能力對大規模RFID系統有著深遠意義。不失一般性，本文同樣在上述仿真環境下設定了60×104個標簽，測試了上述不同標簽搜索機制下服務器識別偽標簽的時間開銷如圖5所示。盡管新協議識別偽標簽耗時是直接哈希值索引［13］的4.5倍，但新協議克服了標簽前向隱私、重放攻擊等威脅；此外，相比同采用模平方根提取哈希索引方式的Doss協議［10］和文獻［2］，新協議搜索耗時分別減少了56.3、3.66倍，因此本文所提協議在滿足安全性的同時更適合應用于大規模的RFID系統。

圖5　偽標簽識別所需耗時對比

4　結束語

本文總結了現有RFID認證協議的性能及特點，并指出現有移動RFID認證協議中存在的一系列不足難以確保實際應用中的通信服務質量，迫切需要構建一個后端服務器能夠快速獲取閱讀器和標簽信息的高效認證協議。基于此，本文又詳細分析了Doss方案的不足之處，在此基礎上改進并提出了一個有效的移動RFID認證協議。改進協議雖在通訊能耗開銷方面有所增加，但實現了標簽和后端服務器的雙向認證，提高了服務器端的識別效率，同時也滿足EPC C1G2標準基礎上的所有安全需求。因此，新協議更適合應用于移動環境下低成本、大規模的射頻識別系統。

參考文獻：

［1］Woo-Sik B.Formal Verification of an RFID Authentication Proto?col Based on Hash Function and Secret Code［J］.Wireless Person?al Communications，2014，79（4）：2595-2609.

［2］Zhou J.A Quadratic Residue-Based Lightweight RFID Mutual Au?thentication Protocol with Constant-Time Identification［J］.Jour?nal of Communications，2015，10（2）.

［3］Liu Z，Liu D，Li L，et al.Implementation of a New RFID Authenti?cation Protocol for EPC Gen2 Standard［J］.Sensors Journal，IEEE，2015，15（2）：1003-1011.

［4］Gope P，Hwang T，A Realistic Lightweight Authentication Proto?col Preserving Strong Anonymity for Securing RFID System［J］.Computers &Security（2015）.http：//dx.doi.org/10.1016/j.cose.2015.05.004

［5］Bagheri N，Safkhani M，Peris- Lopez P，et al.Weaknesses in a New Ultralightweight RFID Authentication Protocol with Permuta?tion-RAPP［J］.Security and Communication Networks，2014，7 （6）：945-949.

［6］Jin C，Xu C，Zhang X，et al.A Secure RFID Mutual Authentica?tion Protocol for Healthcare Environments Using Elliptic Curve Cryptography［J］.Journal of medical systems，2015，39（3）：1-8.

［7］Khan G N，Moessner M.Low-Cost Authentication Protocol for Pas?sive，Computation Capable RFID Tags［J］.Wireless Networks，2015，21（2）：565-580.

［8］Srivastava K，Awasthi A K，Kaul S D，et al.A Hash Based Mutual RFID Tag Authentication Protocol in Telecare Medicine Informa?tion System［J］.Journal of medical systems，2015，39（1）：1-5.

［9］金永明，吳棋瀅，石志強，等.基于PRF的RFID輕量級認證協議研究［J］.計算機研究與發展，2015，51（7）：1506-1514.

［10］Doss R，Sundaresan S，Zhou W.A Practical Quadratic Residues Based Scheme for Authentication and Privacy in Mobile RFID Systems［J］.Ad Hoc Networks，2013，11（1）：383-396.

［11］Xiaoqin W，Min Z，Xiaolong Y.Time-Stamp Based Mutual Au?thentication Protocol for Mobile RFID System［C］//Wireless and Optical Communication Conference（WOCC），2013 22nd.IEEE，2013：702-706.

［12］Habibi M H，Aref M R.Security and Privacy Analysis of Song-Mitchell RFID Authentication Protocol［J］.Wireless Personal Communications，2013，69（4）：1583-1596.

［13］Shi Z，Pieprzyk J，Doche C，et al.A Strong Lightweight Authenti?cation Protocol for Low-Cost RFID Systems［J］.International Jour?nal of Security and Its Applications，2014，8（6）：225-234.

［14］Vaidya B，Makrakis D，Mouftah H T.Authentication Mechanism for Mobile RFID Based Smart Grid Network［C］//Electrical and Computer Engineering（CCECE），2014 IEEE 27th Canadian Con?ference on.IEEE，2014：1-6.

［15］Sundaresan S，Doss R，Piramuthu S，et al.Secure Tag Search in Rfid Systems Using Mobile Readers［J］.IEEE Transactions on De?pendable and Secure Computing，2015，12（2）：230-242.

［16］華苗苗，董利達，傅健豐，等.基于閉環調整策略的無線HART時間同步方法［J］.傳感技術學報，2012，25（3）：391-396.

［17］Fan L，Ling Y，Wang T，et al.Novel Clock Synchronization Algo?rithm of Parametric Difference for Parallel and Distributed Simula?tions［J］.Computer Networks，2013，57（6）：1474-1487.

［18］陳琳.基于中國剩余定理的傳感器網絡密鑰管理協議［J］.傳感技術學報，2014，27（5）：687-691.

周治平（1962-），男，江蘇無錫人，博士，江南大學教授，主要研究方向為檢測技術與自動化裝置、信息安全等，zzp@ji?angnan.edu.cn；

張惠根（1990-），男，江蘇宜興人，江南大學碩士研究生，研究方向為檢測技術與自動化裝置，6131913029@vip.jiang?nan.edu.cn。

A More Practical Mobile RFID Authentication Protocol*

ZHOU Zhiping*，ZHANG Huigen
（Department of Information &Technology，JiangNan University，Wuxi Jiangsu 214122，China）

Abstract：In view of the shortages of Doss’s protocol，an improved lightweight mobile RFID authentication protocol is proposed.Firstly，we adopt the method of using mixed quadratic residue and random number encryption to im?prove the recognition rate of the background server；secondly add timestamp generator in the reader side to resist reader impersonation and replay attacks.The proposed scheme realizes secure authentication under the mobile envi?ronment and follows the EPC C1G2 standard because we use only low cost computations such as pseudo-random number generator，modular square and XOR operation in the tag side.Theoretical analysis and experiments show that the new protocol not only improves the background recognition speed of Doss’s protocol，but also provides tag and reader’s anonymity，reader privacy，tag forward privacy；simultaneously，the proposed protocol resists the exist?ing various attacks：replay，impersonation，desynchronize attacks more effectively.Compared with the similar RFID authentication protocols，the utility of new protocol is better.

Key words：mobile RFID；secure authentication；quadratic residue theorem；privacy protection

doi：EEACC：6150P10.3969/j.issn.1004-1699.2016.02.020

收稿日期：2015-08-05修改日期：2015-11-16

中圖分類號：TP309

文獻標識碼：A

文章編號：1004-1699（2016）02-0271-07

項目來源：國家自然科學基金項目（61373126）；中央高?；究蒲袠I務費用專項資金項目（JUSRP51510）；江蘇省自然科學基金項目（BK20131107）