一種更具實(shí)用性的移動(dòng)RFID認(rèn)證協(xié)議*

周治平，張惠根

（江南大學(xué)信息技術(shù)系，江蘇無(wú)錫214122）

?

一種更具實(shí)用性的移動(dòng)RFID認(rèn)證協(xié)議*

周治平*，張惠根

（江南大學(xué)信息技術(shù)系，江蘇無(wú)錫214122）

摘要：針對(duì)Doss協(xié)議的不足，提出了一種改進(jìn)的輕量級(jí)移動(dòng)RFID認(rèn)證協(xié)議。首先使用二次剩余混合隨機(jī)數(shù)加密的方法提高后臺(tái)服務(wù)器識(shí)別速度；在閱讀器端添加時(shí)間戳生成器，抵御閱讀器冒充及重放攻擊。新協(xié)議標(biāo)簽端只采用成本較低的偽隨機(jī)數(shù)生成、模平方以及異或運(yùn)算，遵循了EPC C1G2標(biāo)準(zhǔn)，且實(shí)現(xiàn)了移動(dòng)RFID環(huán)境下的安全認(rèn)證。理論分析及實(shí)驗(yàn)顯示了新協(xié)議提高了Doss協(xié)議后臺(tái)識(shí)別速度，并滿足標(biāo)簽和閱讀器的匿名性、閱讀器隱私、標(biāo)簽前向隱私等安全需求，更有效抵抗已有的各種攻擊：重放、冒充、去同步化攻擊等。與同類RFID認(rèn)證協(xié)議相比，實(shí)用性更佳。

關(guān)鍵詞：移動(dòng)RFID；安全認(rèn)證；二次剩余定理；隱私保護(hù)

近年來(lái)，國(guó)內(nèi)外學(xué)者在設(shè)計(jì)保護(hù)標(biāo)簽或用戶隱私的RFID認(rèn)證協(xié)議方面做了大量的工作。但在考慮RFID技術(shù)實(shí)際應(yīng)用的擴(kuò)散及標(biāo)準(zhǔn)化的進(jìn)程中仍然存在著一些安全隱私和識(shí)別效率的問(wèn)題［1-2］。現(xiàn)有RFID認(rèn)證協(xié)議應(yīng)用的普及大多主要受限于3個(gè)方面：①許多協(xié)議未滿足EPC C1G2標(biāo)準(zhǔn)［3］，故難以在低成本輕量級(jí)標(biāo)簽（不支持復(fù)雜計(jì)算，如哈希函數(shù)運(yùn)算［4］、橢圓曲線加密［5-6］等）中使用；②遵循EPC C1G2標(biāo)準(zhǔn)的輕量級(jí)協(xié)議［7］難以同時(shí)提供認(rèn)證及通信實(shí)體隱私的安全防護(hù)；③后臺(tái)服務(wù)器搜索開(kāi)銷隨著數(shù)據(jù)庫(kù)標(biāo)簽數(shù)量的增加而線性增長(zhǎng)［8-9］，低識(shí)別率的認(rèn)證協(xié)議不適用于大規(guī)模的RFID系統(tǒng)［2］。

此外，上述所有協(xié)議都是基于閱讀器固定、且閱讀器至服務(wù)器是安全連接的假設(shè)。隨著移動(dòng)智能終端及近場(chǎng)通訊NFC技術(shù)的快速發(fā)展，將閱讀器嵌入移動(dòng)智能設(shè)備形成移動(dòng)RFID系統(tǒng)開(kāi)始受到諸多學(xué)者的關(guān)注。由于閱讀器工作方式的改變，上述假設(shè)已不再適用，故未考慮閱讀器匿名性及安全隱私的傳統(tǒng)RFID認(rèn)證協(xié)議無(wú)法在無(wú)線/移動(dòng)便攜式閱讀器的環(huán)境下使用。

針對(duì)移動(dòng)RFID系統(tǒng)的應(yīng)用，2013年，Doss等人［10］基于二次剩余定理提出了隱私保護(hù)的移動(dòng)RFID認(rèn)證協(xié)議，該協(xié)議遵循了EPC C1G2標(biāo)準(zhǔn)，適合低成本標(biāo)簽的應(yīng)用，同時(shí)后臺(tái)識(shí)別耗時(shí)不隨標(biāo)簽數(shù)量的增加而線性增長(zhǎng)，但該識(shí)別過(guò)程仍須執(zhí)行多次匹配，認(rèn)證效率較低；另外，服務(wù)器對(duì)接收的消息缺少新鮮性檢測(cè)，易遭受重放攻擊。文獻(xiàn)［11］提出一種基于時(shí)間戳和標(biāo)志位的移動(dòng)RFID相互認(rèn)證協(xié)議，該協(xié)議有效抵御了去同步化攻擊，但該協(xié)議的密鑰更新方式并非是單向不可逆的，當(dāng)敵手獲取特定標(biāo)簽內(nèi)部秘密信息后，能通過(guò)公開(kāi)信道截獲的標(biāo)簽歷史信息識(shí)別該特定標(biāo)簽，因此該協(xié)議亦不具前向安全性［9，12］，此外，后臺(tái)服務(wù)器需通過(guò)遍歷數(shù)據(jù)庫(kù)計(jì)算哈希匹配值的方法識(shí)別閱讀器和標(biāo)簽的合法性，因此并不適用于大型RFID系統(tǒng)；2014年，Shi等人［13］提出一種低開(kāi)銷的移動(dòng)RFID認(rèn)證協(xié)議，該協(xié)議中各標(biāo)簽采用相同密鑰，且無(wú)密鑰更新運(yùn)算，服務(wù)器采用共享密鑰異或的方式能提取出各標(biāo)簽索引值實(shí)現(xiàn)后臺(tái)快速搜索，但易導(dǎo)致捕獲攻擊和前向隱私的威脅，此外，后臺(tái)對(duì)接收的消息無(wú)新鮮性檢測(cè)，易遭受重放攻擊。Vaidya B等人［14］提出了一種基于ECC的移動(dòng)RFID認(rèn)證協(xié)議，該協(xié)議將復(fù)雜度較高的標(biāo)量乘運(yùn)算交由閱讀器及服務(wù)器處理，標(biāo)簽端計(jì)算開(kāi)銷相對(duì)較小，但協(xié)議中標(biāo)簽端無(wú)密鑰更新操作，且后臺(tái)為提高識(shí)別效率需標(biāo)簽明文傳輸索引值，不具備標(biāo)簽位置隱私和前向隱私防護(hù)。最近，Sundaresan等人［15］提出了一種無(wú)服務(wù)器式的移動(dòng)RFID安全認(rèn)證協(xié)議，該協(xié)議滿足EPC C1G2標(biāo)準(zhǔn)，并采用盲因子綁定隨機(jī)數(shù)的方式增強(qiáng)了公開(kāi)信道秘密信息傳輸?shù)目共聹y(cè)性。該協(xié)議初始化階段須分別在閱讀器和標(biāo)簽端預(yù)先存儲(chǔ)對(duì)方身份的訪問(wèn)列表，對(duì)標(biāo)簽內(nèi)存開(kāi)銷考驗(yàn)較大，另一方面，通信實(shí)體雙方為驗(yàn)證對(duì)方合法性均需遍歷訪問(wèn)列表計(jì)算匹配值，因此該協(xié)議對(duì)于標(biāo)簽端計(jì)算負(fù)擔(dān)和認(rèn)證延時(shí)較大，實(shí)用性欠佳。

為設(shè)計(jì)出一種滿足EPC C1G2標(biāo)準(zhǔn)的具有實(shí)用性的移動(dòng)RFID認(rèn)證協(xié)議，本文首先指出并分析了Doss協(xié)議存在的安全及低識(shí)別率隱患；然后針對(duì)其認(rèn)證方式和安全威脅提出改進(jìn)方案；最后，詳細(xì)分析了新協(xié)議的安全性、效率及開(kāi)銷。

1　相關(guān)工作

1.1Doss方案隱患分析

此部分著重分析Doss協(xié)議存在的安全及效率2個(gè)方面的隱患，該協(xié)議相關(guān)流程參見(jiàn)文獻(xiàn)［10］。

1.1.1重放攻擊（冒充攻擊）

Doss等人聲稱該協(xié)議能抵御重放攻擊，但我們可做如下假設(shè)：敵方A偵聽(tīng)并記錄了閱讀器R0、標(biāo)簽T0和服務(wù)器S的第i次通信記錄＜hello,s＞、＜x0″,t0″＞、＜x0″,t0″,y″,u″,s＞、＜Ack′＞、＜Ack＞后，A繼續(xù)向服務(wù)器重放消息＜x0″,t0″,y″,u″,s＞，由于h(RID)不變，且y是由s和u生成，服務(wù)器端通過(guò)解得的模平方根迭代計(jì)算無(wú)疑能認(rèn)證閱讀器的合法性，服務(wù)器進(jìn)一步通過(guò)計(jì)算xi⊕s⊕ti= h(TID)⊕r-1也能認(rèn)證T0的真實(shí)性；另外，敵手A還可以用s向一新標(biāo)簽T1發(fā)動(dòng)send查詢［12］，獲得新標(biāo)簽的回復(fù)＜x1″,t1″＞后，敵方可組合出一消息＜x1″,t1″,y″,u″,s＞再重放至服務(wù)器，服務(wù)器仍能匹配成功后臺(tái)數(shù)據(jù)庫(kù)記錄中的h(RID)，認(rèn)證了閱讀器的真實(shí)性后，后臺(tái)還會(huì)進(jìn)一步驗(yàn)證標(biāo)簽T2的真實(shí)性，由于T2為合法標(biāo)簽，其亦能獲得后臺(tái)的認(rèn)證。敵方甚至可以向服務(wù)器發(fā)送＜?,?,y″,u″,s＞，*為任意內(nèi)容，雖然后臺(tái)最終識(shí)別標(biāo)簽信息為非法，但閱讀器自始至終被視為合法，故Doss方案具有重放攻擊（閱讀器冒充）威脅，當(dāng)敵手不斷發(fā)送＜?,?,y″,u″,s＞，服務(wù)器若不能檢測(cè)出所接收消息的真實(shí)性則易遭受后端資源耗盡而引起的系統(tǒng)崩潰。

1.1.2后臺(tái)識(shí)別低效

Doss協(xié)議中，當(dāng)服務(wù)器從閱讀器收到消息后，需從解得的剩余集Y、U中反復(fù)迭代所有可能的yi和ui［2，10］，計(jì)算yi⊕s⊕ui=h(RID)以驗(yàn)證閱讀器合法性，因?yàn)榻獾玫膟和u各有16個(gè)，故最壞情況下該迭代匹配需執(zhí)行256次，同樣，后臺(tái)在計(jì)算xi⊕s⊕ti=h(TID)⊕r/r-1以驗(yàn)證標(biāo)簽合法性時(shí)，最壞情況下也需迭代并搜索數(shù)據(jù)庫(kù)256次，因此該協(xié)議對(duì)后臺(tái)計(jì)算開(kāi)銷及帶寬消耗負(fù)載較大，識(shí)別效率低下。

2　改進(jìn)協(xié)議描述

類似Doss協(xié)議，新協(xié)議同樣包含初始化、雙向認(rèn)證2個(gè)階段，并仍采用了輕量級(jí)運(yùn)算，滿足EPC C1G2標(biāo)準(zhǔn)。協(xié)議中所用符號(hào)注釋說(shuō)明如表1所示。

表1　協(xié)議使用符號(hào)及相應(yīng)注釋

2.1初始化階段

新協(xié)議初始化階段大致與Doss方案相同，不同之處在于：系統(tǒng)為各移動(dòng)閱讀器加載時(shí)間戳生成器，并默認(rèn)閱讀器與服務(wù)器之間保持時(shí)鐘同步［16-17］。

服務(wù)器產(chǎn)生4個(gè)大素?cái)?shù)p，q，g，h作為私鑰，計(jì)算出對(duì)應(yīng)的公鑰n=p·q和m=g·h，并確定一單向哈希函數(shù)h(.)及偽隨機(jī)數(shù)發(fā)生器PRNG(.)。再分別為每一合法閱讀器和標(biāo)簽分配唯一的標(biāo)識(shí)符RID，TID。服務(wù)器為系統(tǒng)中每一個(gè)標(biāo)簽計(jì)算索引值：RTID=h(TID)⊕r，R-T1ID=h(TID)⊕r-1，初始狀態(tài)下，共享密鑰r=r-1。服務(wù)器對(duì)于每個(gè)有效的標(biāo)簽和閱讀器，分別存儲(chǔ)其記錄＜RTID,R-T1ID,TID,h(TID),r,r-1＞，＜RID,h(RID)＞。系統(tǒng)再分別加載＜TID,h(TID),n,r＞、＜RID,h(RID),m＞至各標(biāo)簽和閱讀器內(nèi)存。

2.2雙向認(rèn)證階段

該階段由閱讀器發(fā)起，具體流程如圖1所示，并按下述步驟進(jìn)行：

Step 1：閱讀器首先生成隨機(jī)數(shù)s和hello消息，并記錄此時(shí)時(shí)間戳Tt1，再向標(biāo)簽發(fā)送消息＜s，Hello，Tt1＞；

Step 2：標(biāo)簽收到消息后，生成隨機(jī)數(shù)t，并計(jì)算x=h(TID)⊕Tt1⊕r⊕t，x′=(s||x)2modn，t′=t2modn，再將＜x′，t′＞發(fā)送至閱讀器；

Step 3：閱讀器收到標(biāo)簽回復(fù)后，生成隨機(jī)數(shù)u，再計(jì)算y=h(RID)⊕Tt1⊕u，y′=(s||y)2modm，u′= u2modm，z=h(RID||m||x′||Tt1)，再將＜x′,t′,y′,u′,z,s,Tt1＞發(fā)送至服務(wù)器；

圖1　新協(xié)議認(rèn)證流程

Step 5：閱讀器收到Ack′后，計(jì)算并驗(yàn)證u?=[Ack′⊕h(y)]l，其中l(wèi)為u的位長(zhǎng)，左式成立則驗(yàn)證了服務(wù)器的真實(shí)性，閱讀器再計(jì)算Ack=[Ack′⊕h(y)]?l，并將＜Ack＞發(fā)送至標(biāo)簽；

Step 6：標(biāo)簽收到＜Ack＞后，計(jì)算并驗(yàn)證Ack?=h(TID)⊕t⊕PRNG(x)，認(rèn)證通過(guò)后更新密鑰：r←PRNG(r)。

3　改進(jìn)協(xié)議性能分析

本節(jié)從安全性分析、所需開(kāi)銷分析、實(shí)驗(yàn)仿真3個(gè)方面對(duì)現(xiàn)有協(xié)議和新協(xié)議進(jìn)行分析比較。

3.1安全性分析

①雙向認(rèn)證：對(duì)標(biāo)簽來(lái)說(shuō)，標(biāo)簽接收到響應(yīng)消息＜Ack＞后，通過(guò)Step 6可以對(duì)服務(wù)器和移動(dòng)閱讀器進(jìn)行驗(yàn)證，因?yàn)橹挥杏行У姆?wù)器才能產(chǎn)生原始的響應(yīng)消息Ack=h(TID)⊕t⊕PRNG(x)和Ack′= (Ack||u)⊕h(y)，有效的閱讀器才能通過(guò)異或和右移運(yùn)算得到正確的Ack=[Ack′⊕h(y)]?l，標(biāo)簽通過(guò)計(jì)算Ack?=h(TID)⊕t⊕PRNG(x)對(duì)后端服務(wù)器和移動(dòng)閱讀器同時(shí)進(jìn)行了驗(yàn)證。對(duì)后端服務(wù)器來(lái)說(shuō)，服務(wù)器接收到移動(dòng)閱讀器發(fā)送的消息＜x′,t′,y′,u′,z,s,Tt1＞后，執(zhí)行Step 4先檢測(cè)消息的新鮮性，再對(duì)閱讀器及標(biāo)簽分別進(jìn)行驗(yàn)證，只有有效的標(biāo)簽和閱讀器才能計(jì)算出合法的散列值在后臺(tái)服務(wù)器端通過(guò)驗(yàn)證。

②標(biāo)簽/閱讀器匿名性：首先，認(rèn)證通訊過(guò)程中標(biāo)簽和閱讀器的標(biāo)識(shí)符未明文傳輸。由于標(biāo)簽的應(yīng)答消息為x′=(s||x)2modn，t′=t2modn，其中s和t為隨機(jī)數(shù)且均只使用一次，同時(shí)t和x受二次剩余的保護(hù)，在缺少p，q的情況下，敵方無(wú)法計(jì)算出t和x，更無(wú)法從x=h(TID)⊕Tt1⊕r⊕t中提取出h(TID)或TID；同理，由于y和隨機(jī)數(shù)u受二次剩余的保護(hù)，敵方缺少p，q亦無(wú)法從閱讀器的應(yīng)答消息y′=(s||y)2modm，u′=u2modm中計(jì)算出y和u，更無(wú)法從y中提取出h(RID)或RID。

③位置隱私：對(duì)于標(biāo)簽而言，雖然h(TID)固定不變，但每次會(huì)話中消息內(nèi)容＜x′,t′＞、＜Ack＞均由新隨機(jī)數(shù)t經(jīng)過(guò)組合計(jì)算而得，具有隨機(jī)性和新鮮性，敵方無(wú)法通過(guò)上述信息對(duì)特定標(biāo)簽進(jìn)行跟蹤；同樣對(duì)于閱讀器而言，每次會(huì)話中消息內(nèi)容{s,Tt1,y′,u′,z}和＜Ack′＞均具有新鮮性，而＜x′,t′＞由標(biāo)簽端加入新隨機(jī)數(shù)生成，無(wú)法聯(lián)系至閱讀器，故閱讀器亦具有位置隱私保護(hù)。

④標(biāo)簽前向隱私：假設(shè)敵手破譯了標(biāo)簽當(dāng)前內(nèi)部秘密信息＜TID,h(TID),n,r＞，并掌握了標(biāo)簽先前通信內(nèi)容＜s-1,Tt0,x′-1,t′-1,Ack-1＞，因?yàn)閟-1和Tt0是閱讀器端先前發(fā)出的隨機(jī)數(shù)和時(shí)戳，與標(biāo)簽內(nèi)部秘密信息并無(wú)關(guān)聯(lián)；同時(shí)t′-1是由隨機(jī)數(shù)t-1計(jì)算而得，具有隨機(jī)性和不可猜測(cè)性；而x′-1和Ack-1均是由x-1= h(TID)⊕Tt0⊕r-1⊕t-1經(jīng)復(fù)合計(jì)算而得，盡管敵手獲得了h(TID)，但因r-1≠r，且t-1具有隨機(jī)性，因此x′-1和Ack-1獨(dú)立于標(biāo)簽當(dāng)前內(nèi)部的秘密信息，即敵手無(wú)法將標(biāo)簽內(nèi)部秘密信息與該標(biāo)簽先前通信記錄相關(guān)聯(lián)［12］。

⑤重放攻擊：為防止敵方重放先前會(huì)話內(nèi)容，新方案中服務(wù)器收到認(rèn)證請(qǐng)求消息后，先對(duì)消息時(shí)戳進(jìn)行檢測(cè)，若時(shí)延大于設(shè)定閾值Δt，服務(wù)器拒不回復(fù)；即使敵方能將先前會(huì)話內(nèi)容中的時(shí)戳更新，但因敵方缺少RID，無(wú)法計(jì)算出正確的z，服務(wù)器在驗(yàn)證閱讀器合法性時(shí)因計(jì)算h(RID||m||x′||Tt1)?=z不通過(guò)而判定消息非法。故新協(xié)議能抵御重放攻擊。

⑥冒充攻擊：一方面，敵方在未知標(biāo)簽標(biāo)識(shí)TID、h(TID)以及密鑰r的情況下，無(wú)法計(jì)算真實(shí)的x=h(TID)⊕Tt1⊕r⊕t和x′=(s||x)2modn，而服務(wù)器求解出x和t后計(jì)算的x⊕ti⊕Tt1無(wú)法與數(shù)據(jù)庫(kù)中的h(TID)⊕r/r-1匹配。同理，敵方缺少h(RID)無(wú)法計(jì)算出真實(shí)的y=h(RID)⊕Tt1⊕u和y′=(s||y)2modm，進(jìn)而不能通過(guò)服務(wù)器的認(rèn)證，因此新協(xié)議能抵御冒充攻擊。

⑦去同步化攻擊：當(dāng)敵手能夠截獲或可以成功偽造出＜Ack＞時(shí)，標(biāo)簽端由于更新密鑰失敗或錯(cuò)誤的更新會(huì)引起服務(wù)器和標(biāo)簽端密鑰不同步導(dǎo)致DOS攻擊。若敵手阻截了＜Ack＞，標(biāo)簽由于更新密鑰失敗，其在隨后的認(rèn)證會(huì)話中仍然使用原密鑰r做相應(yīng)計(jì)算，而因?yàn)楹笈_(tái)服務(wù)器端存儲(chǔ)了標(biāo)簽的新舊密鑰r和r-1，服務(wù)器通過(guò)驗(yàn)證R-1TID仍能識(shí)別該標(biāo)簽；若敵手能成功偽造出＜Ack＞并發(fā)送至標(biāo)簽后，將導(dǎo)致標(biāo)簽密鑰錯(cuò)誤更新后的永久性拒絕服務(wù)，如前文所述，敵手無(wú)法獲取當(dāng)前會(huì)話中標(biāo)簽端生成的x、t以及標(biāo)簽偽標(biāo)識(shí)h(TID)，因此標(biāo)簽計(jì)算Ack?=h(TID)⊕t⊕PRNG(x)無(wú)法驗(yàn)證通過(guò)，故新協(xié)議能抵御去同步化攻擊。

此部分將新協(xié)議和現(xiàn)有典型RFID認(rèn)證協(xié)議［2，10-11，13，15］就應(yīng)用場(chǎng)景及安全性進(jìn)行比較如表2所示。經(jīng)比較，由于文獻(xiàn)［2］基于安全信道的假設(shè)，無(wú)法適用于移動(dòng)RFID環(huán)境，僅本文所提協(xié)議和文獻(xiàn)［15］滿足安全性需求，能應(yīng)用于無(wú)線移動(dòng)環(huán)境，且遵循了EPCC1G2標(biāo)準(zhǔn)。

3.2所需開(kāi)銷分析

此部分對(duì)比了現(xiàn)有協(xié)議［2，10-11，13，15］和新協(xié)議的所需開(kāi)銷如表3所示。開(kāi)銷對(duì)比主要側(cè)重于一次成功認(rèn)證過(guò)程中通信實(shí)體的交互輪數(shù)，標(biāo)簽端的計(jì)算、存儲(chǔ)和通信開(kāi)銷，閱讀器和服務(wù)器端的計(jì)算和通信開(kāi)銷，以及最壞情況下后臺(tái)搜索匹配開(kāi)銷8個(gè)方面。為便于分析比較存儲(chǔ)及通信開(kāi)銷，設(shè)定時(shí)鐘值、計(jì)數(shù)值、hello消息和標(biāo)志位為24 bit位，（偽）隨機(jī)數(shù)、身份標(biāo)識(shí)、哈希輸出、共享密鑰及組密鑰均為96 bit位，公私鑰均為128 bit位。

表2　安全性能比較

表3　協(xié)議所需開(kāi)銷比較

如表所示，文獻(xiàn)［15］只需2次握手便可實(shí)現(xiàn)閱讀器對(duì)標(biāo)簽合法性的驗(yàn)證，但該協(xié)議對(duì)標(biāo)簽內(nèi)存需求較高，擴(kuò)展性不強(qiáng)。而新協(xié)議中標(biāo)簽端存儲(chǔ)開(kāi)銷與Doss協(xié)議持平，均為52 byte，同時(shí)為防止重放攻擊，時(shí)間戳和校驗(yàn)器的使用使得閱讀器至標(biāo)簽端、閱讀器至服務(wù)器端的通信開(kāi)銷均高于Doss協(xié)議。

計(jì)算開(kāi)銷方面本文忽略了異或、移位等超輕量級(jí)運(yùn)算［10］。只比較6種計(jì)算量較大的（偽）隨機(jī)數(shù)生成、時(shí)戳生成、模乘、哈希、模開(kāi)方運(yùn)算。新協(xié)議中標(biāo)簽端和閱讀器端模乘運(yùn)算只需2次，相比Doss協(xié)議減少了一半，同時(shí)服務(wù)器端也只需4次模平方根運(yùn)算就能提取出標(biāo)簽的索引值，大大減少了計(jì)算開(kāi)銷。

另外，文獻(xiàn)［11，15］中后臺(tái)識(shí)別標(biāo)簽采用遍歷計(jì)算匹配的方式，難以適用于大型RFID系統(tǒng)。文獻(xiàn)［2，10，13］與所提協(xié)議則采用標(biāo)簽索引的方式避免了窮盡式搜索，后臺(tái)搜索復(fù)雜度均為O（1），但在最壞情況下，文獻(xiàn)［2］和Doss協(xié)議［10］中索引值的計(jì)算仍需分別迭代并搜索數(shù)據(jù)庫(kù)16和256次，且文獻(xiàn)［2］基于安全信道的假設(shè)、文獻(xiàn)［13］中標(biāo)簽存在前向隱私威脅，而新協(xié)議增強(qiáng)了Doss協(xié)議抗重放攻擊能力的同時(shí)，在識(shí)別標(biāo)簽過(guò)程中最壞情況下只需執(zhí)行4次索引匹配操作，大幅提高了后臺(tái)識(shí)別效率。因此相比現(xiàn)有移動(dòng)RFID認(rèn)證協(xié)議，新協(xié)議在安全性、識(shí)別效率等方面更具優(yōu)勢(shì)。

3.3實(shí)驗(yàn)及仿真

在滿足安全隱私的條件下，RFID認(rèn)證系統(tǒng)的性能優(yōu)劣很大程度上取決于認(rèn)證協(xié)議的通信開(kāi)銷和服務(wù)器在數(shù)據(jù)庫(kù)中搜索并識(shí)別特定標(biāo)簽的耗時(shí)。因此，本文仿真實(shí)驗(yàn)從通信開(kāi)銷和服務(wù)器端計(jì)算搜索耗時(shí)兩個(gè)方面展開(kāi)。

3.3.1通信開(kāi)銷

本文采用NS2網(wǎng)絡(luò)仿真軟件和MATLAB工具對(duì)RFID網(wǎng)絡(luò)通訊進(jìn)行仿真，該網(wǎng)絡(luò)模型部署如圖2所示。

圖2　RFID網(wǎng)絡(luò)通訊模型

網(wǎng)絡(luò)參數(shù)配置如表4所示。

表4　仿真實(shí)驗(yàn)參數(shù)

實(shí)驗(yàn)環(huán)境MAC層采用IEEE802.11分布式協(xié)調(diào)功能（DCF）和RTS/CTS/DATA/ACK機(jī)制。采用載波監(jiān)聽(tīng)多路復(fù)用帶沖突避免（CSMA/CA）技術(shù)傳輸數(shù)據(jù)幀，不考慮消息計(jì)算和數(shù)據(jù)傳輸過(guò)程中超時(shí)重發(fā)、出錯(cuò)等能耗，只考慮數(shù)據(jù)無(wú)線通信能耗。為便于計(jì)算分析，實(shí)驗(yàn)中將閱讀器、標(biāo)簽、服務(wù)器設(shè)為網(wǎng)絡(luò)中靜止通訊節(jié)點(diǎn)，且閱讀器與標(biāo)簽間距1 m，閱讀器至服務(wù)器間距100 m，標(biāo)簽數(shù)量分別設(shè)為10、20、30、40、50個(gè)不等，測(cè)試文獻(xiàn)［10-11，13，15］與新方案認(rèn)證一次所耗費(fèi)的通訊開(kāi)銷。

由于實(shí)際應(yīng)用中服務(wù)器能量不受限制，故此部分實(shí)驗(yàn)側(cè)重于評(píng)估閱讀器端、標(biāo)簽端的通信開(kāi)銷總和。仿真結(jié)果取20次獨(dú)立實(shí)驗(yàn)的平均值如圖3所示。

如圖3所示，隨著應(yīng)答標(biāo)簽數(shù)量的增長(zhǎng)，閱讀器和標(biāo)簽端的通信總開(kāi)銷也不斷增長(zhǎng)。其中文獻(xiàn)［15］通信開(kāi)銷最少，因?yàn)樵摲桨甘菬o(wú)服務(wù)器式的認(rèn)證協(xié)議，且閱讀器和標(biāo)簽僅有兩次握手通訊，故節(jié)省了大量通訊開(kāi)銷；而文獻(xiàn)［10-11，13］與新方案均為三方通訊的認(rèn)證協(xié)議，閱讀器與標(biāo)簽需進(jìn)行3次握手交互，且閱讀器需轉(zhuǎn)發(fā)認(rèn)證請(qǐng)求信息至100 m遠(yuǎn)處的服務(wù)器，故產(chǎn)生相對(duì)較高的能耗。相比文獻(xiàn)［10］，新方案為解決重放（閱讀器冒充）攻擊而在認(rèn)證請(qǐng)求信息中添加了時(shí)間戳T1和校驗(yàn)器Z，當(dāng)標(biāo)簽數(shù)量達(dá)到50個(gè)時(shí)，閱讀器端和標(biāo)簽端的通訊總開(kāi)銷達(dá)8 296.8 μJ，因此新方案通信開(kāi)銷在文獻(xiàn)對(duì)比中稍處劣勢(shì)。但考慮到近年來(lái)鋰電池容量的不斷提升，實(shí)際應(yīng)用中移動(dòng)智能設(shè)備電源補(bǔ)給方便，續(xù)航能力不斷增強(qiáng)，因此該不足是可以接受的。

3.3.2服務(wù)器端計(jì)算開(kāi)銷

實(shí)驗(yàn)中，用PC機(jī)模擬后臺(tái)服務(wù)器，仿真環(huán)境為：Intel Core i3-2.27 GHz，RAM-4 GB，編程語(yǔ)言使用Java。在數(shù)據(jù)庫(kù)中設(shè)定了60×104個(gè)標(biāo)簽，并將特定標(biāo)簽分別設(shè)置為數(shù)據(jù)庫(kù)中的第1個(gè)，第10×104個(gè)，第20×104個(gè)，···第60×104個(gè)，測(cè)試服務(wù)器從收到標(biāo)簽的認(rèn)證請(qǐng)求信息至搜索并識(shí)別特定標(biāo)簽的時(shí)間間隔。由于每次運(yùn)行時(shí)間有細(xì)微差異，故測(cè)試20次取平均值。此部分實(shí)驗(yàn)仿真了文獻(xiàn)［2，10-11，13，15］與新協(xié)議的搜索耗時(shí)對(duì)比如圖4所示。其中文獻(xiàn)［2，10］和新協(xié)議均為最壞情況下的時(shí)間開(kāi)銷。

圖4　不同位置的特定標(biāo)簽識(shí)別所需耗時(shí)對(duì)比

如圖，隨著數(shù)據(jù)庫(kù)中標(biāo)簽數(shù)量和待識(shí)別標(biāo)簽所在數(shù)據(jù)庫(kù)位置的增長(zhǎng)，采用直接哈希值索引的方式［13］搜索速度最快且搜索耗時(shí)漲幅最??；而采用哈希計(jì)算遍歷匹配［11］（MD5）和偽隨機(jī)發(fā)生器遍歷匹配［15］方式的搜索開(kāi)銷線性增長(zhǎng)趨勢(shì)明顯；另外，文獻(xiàn)［2，10］和新協(xié)議均采用模平方根提取哈希索引的方式，后臺(tái)平均搜索耗時(shí)增長(zhǎng)相對(duì)平緩，因?yàn)樵摲绞娇偸账骱臅r(shí)主要是由模開(kāi)方運(yùn)算和根據(jù)索引值搜索數(shù)據(jù)庫(kù)兩部分組成，但Doss協(xié)議［10］后臺(tái)執(zhí)行模開(kāi)方運(yùn)算后最壞情況下需迭代和搜索數(shù)據(jù)庫(kù)256次，搜索耗時(shí)接近100秒，文獻(xiàn)［2］中雖搜索開(kāi)銷較小，但最壞情況下也需迭代搜索16次；而本文協(xié)議由于改進(jìn)了加密方式，服務(wù)器最多只需迭代和搜索4次便能實(shí)現(xiàn)特定標(biāo)簽的快速識(shí)別，搜索開(kāi)銷略高于直接哈希值索引［13］，實(shí)現(xiàn)了服務(wù)器的低計(jì)算開(kāi)銷和低認(rèn)證延時(shí)。

此外，本文考慮了實(shí)際應(yīng)用中影響RFID認(rèn)證系統(tǒng)性能的另一因素，即服務(wù)器對(duì)偽標(biāo)簽的識(shí)別速度。由于數(shù)據(jù)庫(kù)中無(wú)偽標(biāo)簽數(shù)據(jù)信息，現(xiàn)有認(rèn)證協(xié)議中采用遍歷計(jì)算匹配的方式［11，15］無(wú)疑給服務(wù)器造成了巨大的計(jì)算開(kāi)銷和認(rèn)證時(shí)延。因此，偽標(biāo)簽的快速識(shí)別能力對(duì)大規(guī)模RFID系統(tǒng)有著深遠(yuǎn)意義。不失一般性，本文同樣在上述仿真環(huán)境下設(shè)定了60×104個(gè)標(biāo)簽，測(cè)試了上述不同標(biāo)簽搜索機(jī)制下服務(wù)器識(shí)別偽標(biāo)簽的時(shí)間開(kāi)銷如圖5所示。盡管新協(xié)議識(shí)別偽標(biāo)簽耗時(shí)是直接哈希值索引［13］的4.5倍，但新協(xié)議克服了標(biāo)簽前向隱私、重放攻擊等威脅；此外，相比同采用模平方根提取哈希索引方式的Doss協(xié)議［10］和文獻(xiàn)［2］，新協(xié)議搜索耗時(shí)分別減少了56.3、3.66倍，因此本文所提協(xié)議在滿足安全性的同時(shí)更適合應(yīng)用于大規(guī)模的RFID系統(tǒng)。

圖5　偽標(biāo)簽識(shí)別所需耗時(shí)對(duì)比

4　結(jié)束語(yǔ)

本文總結(jié)了現(xiàn)有RFID認(rèn)證協(xié)議的性能及特點(diǎn)，并指出現(xiàn)有移動(dòng)RFID認(rèn)證協(xié)議中存在的一系列不足難以確保實(shí)際應(yīng)用中的通信服務(wù)質(zhì)量，迫切需要構(gòu)建一個(gè)后端服務(wù)器能夠快速獲取閱讀器和標(biāo)簽信息的高效認(rèn)證協(xié)議?；诖?，本文又詳細(xì)分析了Doss方案的不足之處，在此基礎(chǔ)上改進(jìn)并提出了一個(gè)有效的移動(dòng)RFID認(rèn)證協(xié)議。改進(jìn)協(xié)議雖在通訊能耗開(kāi)銷方面有所增加，但實(shí)現(xiàn)了標(biāo)簽和后端服務(wù)器的雙向認(rèn)證，提高了服務(wù)器端的識(shí)別效率，同時(shí)也滿足EPC C1G2標(biāo)準(zhǔn)基礎(chǔ)上的所有安全需求。因此，新協(xié)議更適合應(yīng)用于移動(dòng)環(huán)境下低成本、大規(guī)模的射頻識(shí)別系統(tǒng)。

參考文獻(xiàn)：

［1］Woo-Sik B.Formal Verification of an RFID Authentication Proto?col Based on Hash Function and Secret Code［J］.Wireless Person?al Communications，2014，79（4）：2595-2609.

［2］Zhou J.A Quadratic Residue-Based Lightweight RFID Mutual Au?thentication Protocol with Constant-Time Identification［J］.Jour?nal of Communications，2015，10（2）.

［3］Liu Z，Liu D，Li L，et al.Implementation of a New RFID Authenti?cation Protocol for EPC Gen2 Standard［J］.Sensors Journal，IEEE，2015，15（2）：1003-1011.

［4］Gope P，Hwang T，A Realistic Lightweight Authentication Proto?col Preserving Strong Anonymity for Securing RFID System［J］.Computers &Security（2015）.http：//dx.doi.org/10.1016/j.cose.2015.05.004

［5］Bagheri N，Safkhani M，Peris- Lopez P，et al.Weaknesses in a New Ultralightweight RFID Authentication Protocol with Permuta?tion-RAPP［J］.Security and Communication Networks，2014，7 （6）：945-949.

［6］Jin C，Xu C，Zhang X，et al.A Secure RFID Mutual Authentica?tion Protocol for Healthcare Environments Using Elliptic Curve Cryptography［J］.Journal of medical systems，2015，39（3）：1-8.

［7］Khan G N，Moessner M.Low-Cost Authentication Protocol for Pas?sive，Computation Capable RFID Tags［J］.Wireless Networks，2015，21（2）：565-580.

［8］Srivastava K，Awasthi A K，Kaul S D，et al.A Hash Based Mutual RFID Tag Authentication Protocol in Telecare Medicine Informa?tion System［J］.Journal of medical systems，2015，39（1）：1-5.

［9］金永明，吳棋瀅，石志強(qiáng)，等.基于PRF的RFID輕量級(jí)認(rèn)證協(xié)議研究［J］.計(jì)算機(jī)研究與發(fā)展，2015，51（7）：1506-1514.

［10］Doss R，Sundaresan S，Zhou W.A Practical Quadratic Residues Based Scheme for Authentication and Privacy in Mobile RFID Systems［J］.Ad Hoc Networks，2013，11（1）：383-396.

［11］Xiaoqin W，Min Z，Xiaolong Y.Time-Stamp Based Mutual Au?thentication Protocol for Mobile RFID System［C］//Wireless and Optical Communication Conference（WOCC），2013 22nd.IEEE，2013：702-706.

［12］Habibi M H，Aref M R.Security and Privacy Analysis of Song-Mitchell RFID Authentication Protocol［J］.Wireless Personal Communications，2013，69（4）：1583-1596.

［13］Shi Z，Pieprzyk J，Doche C，et al.A Strong Lightweight Authenti?cation Protocol for Low-Cost RFID Systems［J］.International Jour?nal of Security and Its Applications，2014，8（6）：225-234.

［14］Vaidya B，Makrakis D，Mouftah H T.Authentication Mechanism for Mobile RFID Based Smart Grid Network［C］//Electrical and Computer Engineering（CCECE），2014 IEEE 27th Canadian Con?ference on.IEEE，2014：1-6.

［15］Sundaresan S，Doss R，Piramuthu S，et al.Secure Tag Search in Rfid Systems Using Mobile Readers［J］.IEEE Transactions on De?pendable and Secure Computing，2015，12（2）：230-242.

［16］華苗苗，董利達(dá)，傅健豐，等.基于閉環(huán)調(diào)整策略的無(wú)線HART時(shí)間同步方法［J］.傳感技術(shù)學(xué)報(bào)，2012，25（3）：391-396.

［17］Fan L，Ling Y，Wang T，et al.Novel Clock Synchronization Algo?rithm of Parametric Difference for Parallel and Distributed Simula?tions［J］.Computer Networks，2013，57（6）：1474-1487.

［18］陳琳.基于中國(guó)剩余定理的傳感器網(wǎng)絡(luò)密鑰管理協(xié)議［J］.傳感技術(shù)學(xué)報(bào)，2014，27（5）：687-691.

周治平（1962-），男，江蘇無(wú)錫人，博士，江南大學(xué)教授，主要研究方向?yàn)闄z測(cè)技術(shù)與自動(dòng)化裝置、信息安全等，zzp@ji?angnan.edu.cn；

張惠根（1990-），男，江蘇宜興人，江南大學(xué)碩士研究生，研究方向?yàn)闄z測(cè)技術(shù)與自動(dòng)化裝置，6131913029@vip.jiang?nan.edu.cn。

A More Practical Mobile RFID Authentication Protocol*

ZHOU Zhiping*，ZHANG Huigen
（Department of Information &Technology，JiangNan University，Wuxi Jiangsu 214122，China）

Abstract：In view of the shortages of Doss’s protocol，an improved lightweight mobile RFID authentication protocol is proposed.Firstly，we adopt the method of using mixed quadratic residue and random number encryption to im?prove the recognition rate of the background server；secondly add timestamp generator in the reader side to resist reader impersonation and replay attacks.The proposed scheme realizes secure authentication under the mobile envi?ronment and follows the EPC C1G2 standard because we use only low cost computations such as pseudo-random number generator，modular square and XOR operation in the tag side.Theoretical analysis and experiments show that the new protocol not only improves the background recognition speed of Doss’s protocol，but also provides tag and reader’s anonymity，reader privacy，tag forward privacy；simultaneously，the proposed protocol resists the exist?ing various attacks：replay，impersonation，desynchronize attacks more effectively.Compared with the similar RFID authentication protocols，the utility of new protocol is better.

Key words：mobile RFID；secure authentication；quadratic residue theorem；privacy protection

doi：EEACC：6150P10.3969/j.issn.1004-1699.2016.02.020

收稿日期：2015-08-05修改日期：2015-11-16

中圖分類號(hào)：TP309

文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1004-1699（2016）02-0271-07

項(xiàng)目來(lái)源：國(guó)家自然科學(xué)基金項(xiàng)目（61373126）；中央高?；究蒲袠I(yè)務(wù)費(fèi)用專項(xiàng)資金項(xiàng)目（JUSRP51510）；江蘇省自然科學(xué)基金項(xiàng)目（BK20131107）