徐 偉，汪學(xué)明

（1.貴州大學(xué) 大數(shù)據(jù)與信息工程學(xué)院，貴州 貴陽(yáng) 550025；2.貴州大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，貴州 貴陽(yáng) 550025）

一種新的輕量級(jí)NFC身份認(rèn)證協(xié)議*

徐 偉1，汪學(xué)明2

（1.貴州大學(xué) 大數(shù)據(jù)與信息工程學(xué)院，貴州 貴陽(yáng) 550025；2.貴州大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，貴州 貴陽(yáng) 550025）

目前，近場(chǎng)通信技術(shù)（NFC）被廣泛應(yīng)用在移動(dòng)支付、公交卡、門(mén)禁系統(tǒng)、電子標(biāo)簽等各個(gè)方面。為了解決NFC系統(tǒng)安全性問(wèn)題，提出一種新的基于超橢圓曲線密碼體制的NFC輕量級(jí)認(rèn)證協(xié)議。與現(xiàn)有協(xié)議相比，新協(xié)議提供了雙向認(rèn)證服務(wù)，簡(jiǎn)化了秘鑰管理，為認(rèn)證各方提供了不可否認(rèn)性特性。同時(shí)，新協(xié)議對(duì)認(rèn)證過(guò)程和HECC中的標(biāo)量乘運(yùn)算也做了相應(yīng)簡(jiǎn)化。HECC具有高安全性、低有限域的特點(diǎn)，適合應(yīng)用于NFC系統(tǒng)中，在提供安全性的同時(shí)，降低對(duì)CPU計(jì)算能力的要求。分析表明，新協(xié)議達(dá)到了NFC系統(tǒng)的高安全性和高效率要求。

超橢圓曲線密碼體制；身份認(rèn)證；近場(chǎng)通信；公鑰密碼體制；協(xié)議

0 引 言

在嵌入式安全應(yīng)用中，幾乎毫無(wú)例外地使用了密碼學(xué)技術(shù)來(lái)保護(hù)重要信息的傳輸，使之免受第三者攻擊造成的不必要損失。近年來(lái)，近場(chǎng)通信技術(shù)（NFC）[1]作為一種短距無(wú)線通信技術(shù)，被廣泛應(yīng)

用在生活的各個(gè)方面，尤其在無(wú)線支付方面。銀行卡﹑公交卡以及手機(jī)，都在使用NFC技術(shù)進(jìn)行大量的電子現(xiàn)金交易。然而，NFC中并沒(méi)有相應(yīng)的數(shù)據(jù)加密標(biāo)準(zhǔn)。身份認(rèn)證協(xié)議作為一種重要的密碼手段，可以使NFC通信雙方進(jìn)行身份認(rèn)證，并建立安全的通信信道，以抵御第三方攻擊。在個(gè)人信息以及財(cái)產(chǎn)安全方面，身份認(rèn)證協(xié)議起到了重要的保護(hù)作用。

多數(shù)情況下，NFC終端的計(jì)算能力及存儲(chǔ)容量有限。比如，在門(mén)禁卡應(yīng)用中，門(mén)禁卡使用的微型芯片決定其不能進(jìn)行復(fù)雜的計(jì)算[2-3]。因此，工作在NFC系統(tǒng)中的身份認(rèn)證協(xié)議必須是輕量級(jí)的，而且要足夠安全，以抵御各種安全威脅。

Lee Et等人在文獻(xiàn)[4]中提出一種基于公鑰密碼體制的NFC認(rèn)證協(xié)議，解決了中間人攻擊問(wèn)題。然而，該協(xié)議不能提供雙向認(rèn)證服務(wù)，且不具備不可否認(rèn)性。Thammarat C等人在文獻(xiàn)[5]中提出了一種輕量級(jí)的NFC認(rèn)證協(xié)議，該協(xié)議使用對(duì)稱(chēng)加密技術(shù)，每次使用不同的會(huì)話(huà)密鑰來(lái)實(shí)現(xiàn)對(duì)協(xié)議運(yùn)行雙方的身份進(jìn)行認(rèn)證。但是，該協(xié)議也存在以下缺點(diǎn)：（1）秘鑰管理復(fù)雜，終端要實(shí)現(xiàn)認(rèn)證，就必須預(yù)先保留所有參與認(rèn)證主體的組秘鑰，這對(duì)于容量受限的NFC卡，該協(xié)議不具備可行性；（2）缺乏不可否認(rèn)性。

本文提出一種基于虧格為2的超橢圓公鑰密碼體制（HECC）的NFC認(rèn)證協(xié)議。與文獻(xiàn)[4]和文獻(xiàn)[5]提出的協(xié)議相比，新協(xié)議提供了雙向認(rèn)證特性和不可否認(rèn)性；協(xié)議認(rèn)證結(jié)束后會(huì)產(chǎn)生一個(gè)臨時(shí)會(huì)話(huà)秘鑰，用于建立安全的會(huì)話(huà)通道；還對(duì)HECC中的標(biāo)量乘算法做了進(jìn)一步優(yōu)化，通過(guò)減少標(biāo)量的漢明重量，使得標(biāo)量乘的運(yùn)算量進(jìn)一步減少。

1 基礎(chǔ)知識(shí)

1.1 超橢圓曲線密碼體制

超橢圓曲密碼體制HECC（Hyperelliptic Curve Cryptosystem）[6]是由Koblitz提出的一種公鑰密碼加密體制。與RSA和ECC公鑰密碼體制相比，HECC能夠在更小的有限域?qū)崿F(xiàn)相同的安全性。

超橢圓曲線方程滿(mǎn)足v+h(u)=f(u)，超橢圓曲線上的點(diǎn)可以記為(u,v)。在超橢圓曲線中，f(u)是次數(shù)為2g+1的首一多項(xiàng)式。h(u)的次數(shù)不大g，則稱(chēng)超橢圓曲線的虧格為g。一般地，超橢圓曲線點(diǎn)Pi的有限和形式稱(chēng)為除子，記D=∑miPi，∑mi稱(chēng)為除子的次數(shù)，D0表示次數(shù)為零的除子。

在超橢圓曲線C的Jacobian商群上，兩個(gè)約簡(jiǎn)除子經(jīng)過(guò)復(fù)合和約簡(jiǎn)后，可以唯一得到另一個(gè)約簡(jiǎn)除子，記為D1+D2=D3，又稱(chēng)為除子加運(yùn)算。除子加運(yùn)算滿(mǎn)足交換律和結(jié)合律，m個(gè)除子D相加記為mD，如式（1），mD運(yùn)算被稱(chēng)作標(biāo)量乘。

特殊點(diǎn)的標(biāo)量乘，如2k(k=1,2,…)可以預(yù)先計(jì)算并存儲(chǔ)下來(lái)。標(biāo)量乘mD可以表示為式（2）。在式（2）中qi取0和1兩個(gè)值。

形如式（2）的標(biāo)量乘形式，只需對(duì)qi≠0的所有項(xiàng)進(jìn)行除子加運(yùn)算。標(biāo)量m的漢明重量（m二進(jìn)制表示后含1的個(gè)數(shù)）為M，則標(biāo)量乘mD只需進(jìn)行M-1次除子加運(yùn)算。

HECC安全性是基于有限域上超橢圓曲線的Jacobian[7]商群上的離散對(duì)數(shù)（HECCDLP）問(wèn)題的難解性[8]。HECCDLP問(wèn)題描述為：對(duì)于超橢圓曲線上的兩個(gè)除子D1和D2，有D2=kD1，已知k和D1在多項(xiàng)式時(shí)間內(nèi)可以求得D2；反之，已知D2﹑D1求k是困難的。

1.2 NFC近場(chǎng)通信技術(shù)

NFC（Near Field Communication）是一種短距離的無(wú)線通信技術(shù)，有效工作范圍為10 cm，工作頻率為13.56 MHz，最大傳輸距離為424 kb/s。NFC設(shè)備一般應(yīng)用于如手機(jī)﹑平板電腦等便攜式設(shè)備以及金融IC卡﹑門(mén)禁卡﹑電子標(biāo)簽上面。NFC傳輸距離短，可以有效防止信息泄露，而且與RFID技術(shù)兼容，近年來(lái)廣泛應(yīng)用于無(wú)線支付方面，如銀行卡﹑公交卡以及大量的手機(jī)的電子現(xiàn)金交易。

2 輕量級(jí)NFC身份認(rèn)證協(xié)議

本節(jié)提出一種基于超橢圓公鑰密碼體制的輕量級(jí)數(shù)字簽名算法和基于超橢圓的密碼體制的輕量級(jí)的公加解密算法。并用這兩種算法實(shí)現(xiàn)輕量級(jí)的NFC身份認(rèn)證協(xié)議。

設(shè)有限域Fq（q是素?cái)?shù)，且q＞280）上虧格為2的超橢圓曲線的Jacobian商群為J，其J的階#J=nh，n為大素?cái)?shù)，h為較小的余因子。在J上選取一個(gè)主除子D作為協(xié)議的公有參數(shù)。文中遇到的符號(hào)如表1所示。

表1 符號(hào)表

2.1 算法描述

2.1.1 數(shù)字簽名算法

數(shù)字簽名包括簽名生成和簽名驗(yàn)證兩部分，分別描述如下。

簽名生成：k1D為預(yù)先計(jì)算儲(chǔ)存在A中的標(biāo)量乘，可以由A隨時(shí)更新，A對(duì)消息M簽名需完成下述步驟。

（1）計(jì)算M的hash值c=h(M)；

（2）N隨機(jī)生成一個(gè)漢明重量小于40的隨機(jī)數(shù)k11；

（4）A用自己的私鑰dA計(jì)算：（5）A向B發(fā)送消息M和簽名(r,s)。簽名驗(yàn)證：B對(duì)簽名(r,s)驗(yàn)證，需要完成以下過(guò)程。

（1）計(jì)算 u1=h( M) s-1，u2=rs-1；

（2）計(jì)算 X = u1D + u2QA，如果X=[1,0]，則認(rèn)證失??；否則，計(jì)算 v=λ(X)；

（3）v=r時(shí)，則對(duì)A的身份認(rèn)證成功；否則，認(rèn)證失敗。

證明：B對(duì)A的簽名信息進(jìn)行驗(yàn)證：

所以，只要滿(mǎn)足λ( X) =λ( R)，即可對(duì)N的身份進(jìn)行確認(rèn)。

因此，攻擊者偽造簽名就必須獲取A的私鑰。從A的公鑰中解算出私鑰是一個(gè)HECCDLP難題；攻擊者想從一次簽名信息中解算出私鑰dA，必須從(k1+k11)D中解算出(k1+k11)，同樣是一個(gè)HECCDLP難題。所以，該算法具有內(nèi)在的安全性和不可否認(rèn)性。

2.1.2 基于HECC加解密算法

HECC加解密算法包括密文生成和密文解密兩部分，分別描述如下。

密文生成：A使用B的公鑰QB預(yù)生成kQB﹑kD。A對(duì)消息M加密需要完成以下步驟。

（2）A向B發(fā)送密文(e,kD)。

密文解密：B使用自己的私鑰dB解密密文需要完成以下步驟。

證明：因?yàn)?/p>

所以，根據(jù)密文信息B可以唯一確定明文信息M。攻擊者從密文解算出明文信息，必須知道B的私有秘鑰，而密文中僅有公鑰QB包含B的私鑰信息，QB為公開(kāi)參數(shù)。攻擊者從QB中解算出dB是一個(gè)HECCDLP難題，所以該算法具有內(nèi)在安全性。

2.2 協(xié)議描述

本節(jié)給出一種新的基于超橢圓公鑰密碼體制的NFC身份認(rèn)證協(xié)議，實(shí)現(xiàn)NFC卡（N）﹑NFC讀卡終端（POS）和身份認(rèn)證服務(wù)器（AS）之間的身份認(rèn)證和秘鑰協(xié)商。如圖1所示，NFC卡工作在被動(dòng)模式下，N與AS之間的通信數(shù)據(jù)必須經(jīng)過(guò)POS進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。此外，新協(xié)議完成認(rèn)證的同時(shí)，產(chǎn)生一個(gè)一次一密的會(huì)話(huà)秘鑰。此會(huì)話(huà)秘鑰可以用于協(xié)議參與主體建立一條安全的通信信道，所以此協(xié)議也適合于工作在復(fù)雜的網(wǎng)絡(luò)環(huán)境下。

圖1 輕量級(jí)NFC身份認(rèn)證協(xié)議工作模型

新協(xié)議描述如下：

終端N生成一個(gè)隨機(jī)數(shù)n1和身份標(biāo)示IDN一起發(fā)送給讀卡終端POS。

POS→AS

POS生成隨機(jī)數(shù)n2﹑a，并使用文獻(xiàn)[9]提出的方案加密消息Q1=[n1⊕n2⊕h(IDN||IDpos||aD)]，得到EpukAS[Q1]，最后將信息EpukAS[Q1],IDN,IDpos,aD發(fā)送到服務(wù)器AS。

AS→POS

AS使用使用私鑰EprkAS，解密出消息n1⊕n2||h(IDN||IDpos||aD)； 根 據(jù) IDN，IDpos，aD 計(jì)算 h'(IDN||IDpos||aD。 如 果 h'(IDN||IDpos||aD 和h(IDN||IDpos||aD相等，則繼續(xù)運(yùn)行協(xié)議；否則，停止會(huì)話(huà)。AS生成隨機(jī)數(shù)n3﹑b，并使用POS的公鑰對(duì)信息n1⊕n2⊕n3||h(IDAS||bD)加密，并將密文連同bD一起發(fā)送給POS。

POS→N

POS使用其私鑰，解密出消息n1⊕n2⊕n3||h(IDAS||bD)。POS計(jì)算h'(IDAS||bD)。如果滿(mǎn)足條件h(IDAS||bD)=h'(IDAS||bD)，則完成對(duì)AS的身份認(rèn)證；否則，結(jié)束會(huì)話(huà)。對(duì)AS身份認(rèn)證成功后，POS使用n1⊕n2計(jì)算出n3，并將n3﹑IDpos發(fā)送給N。

N→POS

N隨機(jī)產(chǎn)生一個(gè)會(huì)話(huà)秘鑰k1，使用2.1.2算法生成密文。使用2.1.1算法生成簽名。最后將e1﹑e2發(fā)給POS。

POS→AS

POS根據(jù)aD﹑bD，使用基于HECC的Diffie-Hellman密鑰協(xié)議[7]，計(jì)算出會(huì)話(huà)秘鑰k2，并加密明文e1||e2||n3||n2得到[e1||e2||n3||n2]k2，然后將其發(fā)送給AS。

AS→POS

AS使用上一步同樣的方法產(chǎn)生秘鑰k2，并解密密文。若，則繼續(xù)計(jì)算⊕ n2⊕n'

2。AS使用2.1.1簽名算法對(duì)進(jìn)行驗(yàn)證。若驗(yàn)證通過(guò)，則AS完成對(duì)POS和N的身份認(rèn)證。AS使用k2生成密文[n1||IDN||k1]k2，并轉(zhuǎn)發(fā)給POS。

POS→N

POS使用k2從密文中解密出。若，則POS完成對(duì)AS和N的身份認(rèn)證，并使用k'1加密明文IDpos||n1||IDAS后發(fā)送給N。

N

N使用k1，從密文解密中解得IDpos||n1||IDAS，則完成對(duì)POS和AS的身份認(rèn)證；否則，驗(yàn)證失敗。

3 輕量級(jí)NFC身份認(rèn)證協(xié)議對(duì)比分析

本節(jié)對(duì)輕量級(jí)NFC身份認(rèn)證協(xié)議進(jìn)行對(duì)比分析，已證明新協(xié)議適合NFC系統(tǒng)。

3.1 安全性分析

在文獻(xiàn)[4]中，U1使用認(rèn)證服務(wù)器AuC 的 公 鑰， 加 密UID1||URx1||n1， 得 到 密 文Q1=EpukAuc(UID1||URx1||n1)，并將Q1發(fā)給U2。同樣，U2使用AuC的公鑰，計(jì)算得到Q2=EpukAuC(Q1||UID1|| N2||UID2||URx2)，并將Q2發(fā)送給AuC。AuC使用自己的私鑰，解算出n1﹑n2，并計(jì)算 R1h( U ID1||n2)﹑R2=h( U ID2||n1||n2)⊕n1﹑R3=n1⊕n2。U2收到R1﹑R2﹑R3信息后，可以驗(yàn)證出U1和Auc的身份。U2將R1﹑R3轉(zhuǎn)發(fā)給U1后，U1可以利用其信息解算出n1，從而驗(yàn)證AuC的身份。但是，R1﹑R3缺乏U2的相關(guān)信息，導(dǎo)致U1不能對(duì)U2的身份進(jìn)行驗(yàn)證。因此，該協(xié)議提供的是單向認(rèn)證服務(wù)。實(shí)際上，系統(tǒng)中任何其他合法用法都可以偽造U2與U1進(jìn)行通信，而U1卻無(wú)法對(duì)U2的身份進(jìn)行有效認(rèn)證[10]。

文獻(xiàn)[5]中，Thammarat C提出一種基于對(duì)稱(chēng)密碼的輕量級(jí)NFC身份認(rèn)證協(xié)議。該文獻(xiàn)包括兩個(gè)子協(xié)議。子協(xié)議一為NFC卡N和身份認(rèn)證協(xié)議AS之間的相互認(rèn)證；子協(xié)議二為NFC卡﹑讀卡器終端POS和身份認(rèn)證服務(wù)器終端AS之間的三方認(rèn)證。在子協(xié)議一中，N和AS之間通過(guò)向?qū)Ψ匠鍪緯?huì)話(huà)秘鑰SKN-POSj，j=1,…,m來(lái)表明自己的身份。N和AS使用相同的會(huì)話(huà)秘鑰SKN-POSj，導(dǎo)致N和AS一方可以隨意偽造另一方的身份發(fā)起交易；同理，子協(xié)議二也具有相同的安全隱患。所以，該協(xié)議存在安全隱患，不具備不可否認(rèn)性。

本文提出的新協(xié)議解決了文獻(xiàn)[4-5]中身份認(rèn)證協(xié)議的缺點(diǎn)。新協(xié)議中，每個(gè)認(rèn)證主體都有一個(gè)唯一的私鑰。POS使用AS的公鑰，生成秘鑰信息EpukAS[n1⊕n2||h( I DN||I DPOS||a D)]，AS從POS發(fā) 來(lái)的密文中解密n1⊕n2，并向POS出示，則N完成對(duì)AS身份的確認(rèn)。同理，AS使用同樣的方法完成對(duì)POS的身份認(rèn)證。POS完成對(duì)AS身份的確認(rèn)后，使用協(xié)商的會(huì)話(huà)秘鑰加密AS和POS之間的通信數(shù)據(jù)。所以，該協(xié)議能夠有效保證AS和POS之間通信數(shù)據(jù)的安全。

N生成隨機(jī)數(shù)k1，并使用AS的公鑰和自己的私鑰dN，生成密文，。N通過(guò)POS發(fā)送向AS發(fā)送密文e1﹑e2。AS根據(jù)密文e1﹑e2，驗(yàn)證N的身份并解出秘鑰k1。AS分別向POS﹑N發(fā)送對(duì)POS﹑N身份的驗(yàn)證結(jié)果。POS從AS發(fā)來(lái)的密文信息中解出明文n2||IDN，則AS完成對(duì)N的身份認(rèn)證。POS確定N的身份，并向N轉(zhuǎn)發(fā)密文信息[IDPOS||n1||IDAS]k1。N使用秘鑰k1解出IDpos||n1||IDAS，則N完成對(duì)POS 和AS的身份確認(rèn)。

與已有文獻(xiàn)提出的協(xié)議相比，新協(xié)議應(yīng)用超橢圓公鑰密碼技術(shù)，很好地解決了文獻(xiàn)[4-5]提出的身份認(rèn)證協(xié)議面臨的安全威脅。利用會(huì)話(huà)秘鑰，在POS和AS﹑N和POS之間建立一個(gè)安全的會(huì)話(huà)信道，使協(xié)議可以在不安全的網(wǎng)絡(luò)上運(yùn)行，而不需要單獨(dú)的安全信道。

3.2 效率分析

下面從秘鑰存儲(chǔ)和計(jì)算開(kāi)銷(xiāo)兩方面對(duì)新協(xié)議進(jìn)行分析，以說(shuō)明新協(xié)議適合應(yīng)用于計(jì)算和存儲(chǔ)有限的NFC系統(tǒng)。

新協(xié)議中，HECC選擇有限域?yàn)?0 bit，hash函數(shù)生成算法為sha1，對(duì)稱(chēng)加密采用128 bit AES算法。表2為新協(xié)議與文獻(xiàn)提出協(xié)議關(guān)于NFC卡片存儲(chǔ)存儲(chǔ)開(kāi)銷(xiāo)和認(rèn)證交換數(shù)據(jù)的量的對(duì)比。從表2可看出，文獻(xiàn)[5]提出的方案認(rèn)證數(shù)據(jù)量最大，新協(xié)議和文獻(xiàn)[4]提出的協(xié)議相當(dāng)。在秘鑰存儲(chǔ)方面，文獻(xiàn)[5]的儲(chǔ)存開(kāi)銷(xiāo)隨著POS機(jī)數(shù)量n的增加而增加。而新協(xié)議存儲(chǔ)開(kāi)銷(xiāo)比文獻(xiàn)[4]多了66.67%。

表2 NFC卡儲(chǔ)存及認(rèn)證交換數(shù)據(jù)量

表3則為三種協(xié)議方案的NFC卡計(jì)算開(kāi)銷(xiāo)方面的對(duì)比?？梢钥闯觯聟f(xié)議進(jìn)行的hash運(yùn)算最少。與文獻(xiàn)[4]相比，新協(xié)議NFC卡端只需要進(jìn)行一次AES運(yùn)算。文獻(xiàn)[5]將認(rèn)證信息串聯(lián)在一起進(jìn)行加密，明文變長(zhǎng)，使用160 bit的ECC對(duì)明文信息進(jìn)行加密必須分兩次進(jìn)行。而新協(xié)議使用模加的方式連接各個(gè)信息段，從而將明文信息控制在160 bit內(nèi)，使得只需要一次HECC運(yùn)算，便可完成對(duì)明文信息的加密。新協(xié)議預(yù)先計(jì)算標(biāo)量乘kQAS，kD節(jié)省了一次HECC加密運(yùn)算，與文獻(xiàn)[5]相比，新協(xié)議犧牲,存儲(chǔ)容量，換取了運(yùn)算速度的提升。此外，新協(xié)議限制了k2的漢明重量，進(jìn)一步減少了標(biāo)量的乘計(jì)算量。

表3 NFC卡計(jì)算開(kāi)銷(xiāo)對(duì)比

從以上對(duì)比可以看出，與已有文獻(xiàn)提出的協(xié)議相比，新協(xié)議執(zhí)行加密解密要求的計(jì)算量最小，對(duì)存儲(chǔ)容量要求低，適合應(yīng)用于存儲(chǔ)容量和計(jì)算能力受限的NFC系統(tǒng)。

4 結(jié) 語(yǔ)

本文提出的輕量級(jí)NFC身份認(rèn)證協(xié)議具有超橢圓曲線密碼體制短密鑰﹑運(yùn)算效率高和安全性高的特點(diǎn)。從安全性和效率上進(jìn)行分析，新協(xié)議解決了Lee Et﹑Thammarat C等人所提方案的安全缺陷，同時(shí)提高了協(xié)議的執(zhí)行效率。此外，在新協(xié)議中將身份認(rèn)證和會(huì)話(huà)密鑰協(xié)商同時(shí)進(jìn)行，并使用會(huì)話(huà)密鑰建立安全的通信信道，增強(qiáng)了系統(tǒng)的安全性，新協(xié)議可以工作在復(fù)雜的網(wǎng)絡(luò)環(huán)境中。目前，設(shè)計(jì)基于HECC的離線支付協(xié)議是下一步要開(kāi)展的工作。

[1] Schmidt A.Pervasive RFID and Near Field Communication Technology[J].IEEE Pervasive Computing,2007, 6(03):94-96.

[2] Robert Gripentog,Yoohwan Kim.Utilizing NFC to Secure Identification[C].Computer and Information Science (ICIS),2015:101-105.

[3] Kakali Chatterjee,Asok De,Daya Gupta.Mutual Authentication Protocol Using Hyperelliptic Curve Cryptosystem in Constrained Devices[J].International Journal of Network Security,2013,15(01):9-15.

[4] Yun-Seok L,Eun K,Min-Soo J.A NFC based Authentication Method for Defense of the Man in the Middle Attack[C]. Proceedings of the 3rd International Conference on Computer Science and Information Technology(ICCSIT’2013),2013:10-13.

[5] Thammarat C,Chokngamwong R,Techapanupreeda C,et al.A Secure Lightweight Protocol for NFC Communications with Mutual Authentication based on Limited-use of SessionKeys[C].2015 International Conference on Information Networking(ICOIN),2015:133-138.

[6] Koblitz N.Hyperelliptic cryptosystems[J].Journal of Cryptology,1989,1(03):139-150.

[7] David G,Cantor.Computing in the Jacobian of Hyperelliptic Curve[J].Mathematics of Computation,2010,48(177):95.

[8] 張方國(guó).超橢圓曲線密碼體制的研究[D].西安:西安電子科技大學(xué),2001.

ZHANG Fang-guo.Research on Hyperelliptic Curve Cryptosystems[D].Xi’an:Xidian University,2001.

[9] 肖如良.超橢圓曲線密碼體制的理論與實(shí)現(xiàn)[M].北京:經(jīng)濟(jì)管理出版社,2006.

XIAO Ru-liang.The Theory and Implementation of the Hyperelliptic Curve Cryptosystem[M].Beijing:Economy & Management Publishing House,2006.

[10] 蘇劍飛,王景偉.網(wǎng)絡(luò)攻擊技術(shù)與網(wǎng)絡(luò)安全探析[J].通信技術(shù),2010,43(01):91-93.

SU Jian-fei,WANG Jing-wei.Discussion on Network Security and Attack Techniques[J].Communications Technology,2010,43(01):91-93.

A Novel Lightweight Identity Authentication Protocol in NFC Application

XU Wei1, WANG Xue-ming2

(1.College of Big Data and Information Engineering, Guizhou University, Guiyang Guizhou 550025, China; 2.College of Computer Science and Technology, Guizhou University, Guiyang Guizhou 550025, China)

Nowadays, NFC(Near Field Communication) is widely applied in many fields including mobile payment, bus card, access control system, electronic label and so on. In order to solve the security problem of NFC system, a novel NFC lightweight authentication protocol based on the hyper elliptic curve cryptosystem is proposed. Compared with the existing protocols, this novel protocol could provide mutual-authentication services, simplify key management, and furnish non-repudiation features for authenticated members. Meanwhile, this novel protocol also makes corresponding simplification of the authentication process and the scalar multiplication in HECC. HECC is characterized with high security and low finite field suitable for NFC system, and could reduce the requirements for the calculation capability of CPU while improving the security. Analysis indicates that this novel protocol could satisfy the requirements of high security and high efficiency by the NFC system.

hyperelliptic curve cryptosystem; identity authentication; near field communication; public-key cryptography; protocol

TN911

A

1002-0802(2016)-11-1529-06

10.3969/j.issn.1002-0802.2016.11.022

徐 偉（1989—），男，碩士，主要研究方向?yàn)橐苿?dòng)通信﹑信息安全；

汪學(xué)明（1965—），男，博士，教授，主要研究方向?yàn)闊o(wú)線與移動(dòng)通信﹑協(xié)議分析與模型檢測(cè)﹑密碼學(xué)與信息安全。

2016-07-17；

2016-10-24 Received date:2016-07-17;Revised date:2016-10-24

國(guó)家自然科學(xué)基金項(xiàng)目（No.[2011]61163049）；貴州省自然科學(xué)基金資助項(xiàng)目黔科合J字（No.[2011]2197）

Foundation Item:National Natural Science Foundation of China(No.[2011]61163049);Natural Science Foundation of Guizhou Province(No. [2011]2197)