李艷俊，汪書北，楊曉桐，曹貽森

北京電子科技學(xué)院 密碼科學(xué)與技術(shù)系，北京 100070

1 引言

NFC（Near Field Communication）技術(shù)興起后，為了保障它的安全性，國外的學(xué)者專家很早就對NFC通信認(rèn)證協(xié)議進(jìn)行了多方面的研究與探索。2003年Sarma等人[1]提出了一種哈希鎖協(xié)議，但是該協(xié)議容易受到重放和假冒攻擊。于是Ohkubo等人[2]于2004年對其進(jìn)行了改進(jìn)，提出了哈希鏈協(xié)議，但是由于其局限性只能完成單向而無法做到雙向認(rèn)證。2012年Ceipidor等人[3]提出了采用對稱加密來實(shí)現(xiàn)NFC移動(dòng)設(shè)備和POS機(jī)相互認(rèn)證的方案。他們認(rèn)為該方案滿足消息認(rèn)證、機(jī)密性，相互認(rèn)證屬性，但是缺乏消息完整性，并且其會(huì)話密鑰是靜態(tài)參數(shù)，容易發(fā)生暴力攻擊的情況。2013 年Lee 等人[4]提出了采用非對稱加密以及哈希函數(shù)來實(shí)現(xiàn)防御中間人攻擊的認(rèn)證方法。該方案盡管能夠防止重放和中間人攻擊，并提供身份驗(yàn)證，但是仍然缺乏相互身份驗(yàn)證和必要的安全屬性。為了改進(jìn) NFC-SEC[5]中使用固定公鑰進(jìn)行密鑰協(xié)商的安全協(xié)議。Eun等人[6]首次提出了通過隨機(jī)公鑰作為假名的方法來實(shí)現(xiàn)隱私保護(hù)的安全協(xié)議 uPM（Self-updateable Pseudonym Based Method）。2015 年 Thammarat 等人[7]提出了 NFC 移動(dòng)設(shè)備與認(rèn)證服務(wù)器之間，NFC移動(dòng)設(shè)備通過POS機(jī)與認(rèn)證服務(wù)器之間的兩種認(rèn)證方案。該方案彌補(bǔ)了Lee 等人方案中的不足之處，但是第二種方案需要事先在三方之間建立安全通道交換相關(guān)參數(shù)，缺乏靈活性和實(shí)用性，并且其安全強(qiáng)度并沒有他們所提出的那么高。He等人在文獻(xiàn)[8]中提出了基于可信第三方TSM（Trust Server Management）頒發(fā)的偽身份的密鑰協(xié)商與認(rèn)證協(xié)議PBNFCP。2016年Odelu等人[9]發(fā)現(xiàn)He等人的PBNFCP存在內(nèi)部冒充攻擊漏洞，他們在文章中對PBNFCP 進(jìn)行了攻擊，并提出協(xié)議SEAP，聲明其能抵抗內(nèi)部冒充攻擊，但經(jīng)過分析發(fā)現(xiàn)SEAP 協(xié)議依舊不能成功防御內(nèi)部冒充攻擊。2017 年Chen等人[10]提出了使用雙線性對進(jìn)行NFC移動(dòng)支付服務(wù)的安全高效的密鑰認(rèn)證，為移動(dòng)支付提供了新的方案。

目前，國內(nèi)有關(guān)NFC 研究的學(xué)者和院校相較于國外起步晚，因此研究成果較少。2011年吳俊軍等人[11]針對NFC 支付所引發(fā)的用戶隱私泄露問題，設(shè)計(jì)并提出了一個(gè)NFC設(shè)備認(rèn)證模型。該模型直接采用匿名認(rèn)證的方法實(shí)現(xiàn)了移動(dòng)平臺(tái)和服務(wù)提供商的雙向認(rèn)證。2014 年楊穎設(shè)計(jì)了一種能夠?qū)KI（Public Key Infrastructure）技術(shù)與智能卡驗(yàn)證技術(shù)結(jié)合的認(rèn)證方案[12]。該方案針對移動(dòng)身份認(rèn)證中所存在的問題利用RSA非對稱加密算法來實(shí)現(xiàn)用戶身份的驗(yàn)證以及數(shù)據(jù)的加解密，并同時(shí)解決數(shù)據(jù)完整性問題、不可否認(rèn)性問題等。2016年徐偉等人[13]提出了一種新型的NFC 認(rèn)證協(xié)議。該協(xié)議基于超橢圓曲線密碼體制簡化了密鑰管理，可以提供雙向認(rèn)證[14]服務(wù)，為認(rèn)證各方提供不可否認(rèn)特性。2017 年柳毅等人[15]提出了基于CoSE 的NFC 安全支付協(xié)議，他們讓虛擬的SE代替原來的硬件安全模塊，使得所有交易都在云平臺(tái)完成。2018 年鄒蜀榮[16]提出了一種NFC 點(diǎn)對點(diǎn)協(xié)議SPPAP 和NFC 卡模式協(xié)議RODAAKE，能夠防止內(nèi)部冒充攻擊和抵御離線字典攻擊，為NFC認(rèn)證提供了一種新的解決方案。

通過分析研究以前學(xué)者的NFC 協(xié)議成果，可以發(fā)現(xiàn)雙線性對是一種簡單高效且易于實(shí)現(xiàn)的數(shù)學(xué)方法，于是本文結(jié)合雙線性對與橢圓曲線密碼學(xué)ECC 的特點(diǎn)，提出了一種能夠彌補(bǔ)以前不足的并且更利于移動(dòng)端實(shí)現(xiàn)的方案，為NFC雙向認(rèn)證提供了一種新方法、新思路。

2 相關(guān)工作

2.1 NFC通信技術(shù)

NFC 即“近場通信”，也叫“近距離無線通信”，是一種以13.56 MHz RFID（Radio Frequency Identification）技術(shù)為基礎(chǔ)的近距離無線通信技術(shù)，它的通信距離小于10 cm，分為卡模式、讀卡器模式和點(diǎn)對點(diǎn)模式，數(shù)據(jù)傳輸速率有 106 kb/s、212 kb/s 和 424 kb/s 三種，允許電子設(shè)備之間進(jìn)行非接觸式點(diǎn)對點(diǎn)數(shù)據(jù)傳輸。NFC與RFID在物理層面看上去很相似，但實(shí)際上是兩個(gè)完全不同的領(lǐng)域，因?yàn)镽FID 本質(zhì)上屬于識(shí)別技術(shù)，而NFC 屬于通信技術(shù)。它不僅符合ISO18092、ISO21481，ECMA（340，352 以及356）和ETSITS 102 190 標(biāo)準(zhǔn)，而且與采用ISO14443A、B標(biāo)準(zhǔn)廣泛應(yīng)用的非接觸智能卡基礎(chǔ)設(shè)備兼容，如NXP 的MIFARE 技術(shù)以及索尼的Felica 技術(shù)[17]。與其他短距離無線通信技術(shù)相比，NFC 更安全，反應(yīng)時(shí)間更短，具體參數(shù)對比見表1。NFC與藍(lán)牙、WiFi、紅外技術(shù)對比見表2[17]。由于NFC與現(xiàn)有非接觸智能卡的技術(shù)兼容，目前已經(jīng)得到越來越多的廠商支持，并成為正式標(biāo)準(zhǔn)。

表1 各種無線通信技術(shù)參數(shù)

表2 NFC與藍(lán)牙、WiFi、紅外技術(shù)對比

2.2 雙線性對

假設(shè)G1、G2是兩個(gè)階為素?cái)?shù)q的循環(huán)加法群或者乘法循環(huán)群，G3是一個(gè)階為素?cái)?shù)q的乘法循環(huán)群。滿足以下條件的映射e^:G1×G2→G3叫作雙線性映射[18]，條件為：

（1）雙線性：對于任意的P∈G1,Q∈G2且a,b∈，存在。

（2）非退化性：對于任意的P∈G1,Q∈G2有IG3，這里的IG3表示G3的生成元。如果P是G1的生成元，則e^(P,P)是G3的生成元。

（3）可計(jì)算性：對于任意的P∈G1,Q∈G2，容易計(jì)算e^(P,Q)，如果G1=G2,則表明雙線性對是對稱的。

在實(shí)際應(yīng)用中，如果對于任意的P∈G1,Q∈G2,S∈G1或G2且a,b,c∈，那么雙線性對擁有如下性質(zhì)：

3 輕量級NFC安全認(rèn)證方案

通過對之前文獻(xiàn)資料的研究，并根據(jù)NFC 實(shí)際應(yīng)用場景，本文設(shè)計(jì)了一種能夠雙向認(rèn)證并協(xié)商會(huì)話密鑰的協(xié)議。協(xié)議中用到的符號(hào)說明見表3所示，協(xié)議過程如圖1所示。

表3 符號(hào)說明

假設(shè)認(rèn)證的雙方都擁有由橢圓曲線上產(chǎn)生的公私鑰對，并且擁有相同的基點(diǎn)。在協(xié)議認(rèn)證前，主動(dòng)認(rèn)證的一方需要通過安全可信渠道獲得另一方的公鑰。認(rèn)證過程如下所示：

步驟1 用戶A要與用戶B相互認(rèn)證，用戶A先從安全渠道與用戶B交換公鑰，然后使用式（1）計(jì)算秘密值EA，最后發(fā)送消息{f(EA,r1),r1}給用戶B,r1是用戶A產(chǎn)生的隨機(jī)數(shù)序列。

步驟2 用戶B接收到消息之后先使用式（2）計(jì)算秘密值EB，然后用自己的私鑰PRB驗(yàn)證消息的完整性和用戶A的真實(shí)性，驗(yàn)證公式如下：

驗(yàn)證成功后，用戶B產(chǎn)生一個(gè)隨機(jī)數(shù)序列r2并分別計(jì)算驗(yàn)證消息MactagB和會(huì)話密鑰SKB，計(jì)算公式如下：

計(jì)算完成后發(fā)送消息{MactagB,r2}給用戶A。

步驟3 用戶A收到消息后先計(jì)算式（6），然后再驗(yàn)證消息的完整性和用戶B的真實(shí)性，驗(yàn)證公式如下：

圖1 NFC安全認(rèn)證方案

驗(yàn)證成功后，計(jì)算A的會(huì)話密鑰SKA，計(jì)算公式如下：

由式（5）、（8）和（6）可知用戶A和B的共同會(huì)話密鑰SK=SKA=SKB，至此，認(rèn)證雙方就完成了相互驗(yàn)證，并協(xié)商出了共同會(huì)話密鑰。

4 安全性證明與效率分析

4.1 安全性證明

本文協(xié)議是專門針對移動(dòng)端而設(shè)計(jì)的，因此要求協(xié)議可以用更低的計(jì)算復(fù)雜度來達(dá)到更高的安全性要求。本文將從以下五方面對協(xié)議的安全性做出分析：

（1）抗中間人攻擊。在本文提出的方案中，用戶A向用戶B發(fā)送消息，只需要知道B的公鑰，而B可以用自己的私鑰和A的公鑰去驗(yàn)證A的真實(shí)性，如果獲取用戶A、B的公鑰都是真實(shí)的，那么根據(jù)式（9）可知，攻擊者是無法進(jìn)行冒充攻擊的，除非發(fā)送信息的一方密鑰泄露。

（2）雙向認(rèn)證。用戶A通過式（1）計(jì)算認(rèn)證信息，然后發(fā)送給用戶B，接收到A的消息后，B通過式（2）來驗(yàn)證A的真實(shí)性，當(dāng)驗(yàn)證成功后，B通過式（4）計(jì)算認(rèn)證消息發(fā)送給A，然后A通過式（6）來驗(yàn)證B的真實(shí)性，這樣就實(shí)現(xiàn)了雙向認(rèn)證。

（3）匿名性。如果攻擊者能夠截獲用戶A、B之間的通信信息{f(EA,r1),r1}和{MactagB,r2}，在這兩條消息中每條消息只包含了一個(gè)哈希值和一個(gè)隨機(jī)數(shù)，攻擊者無法通過哈希值分析出用戶A、B的任何信息，這就保證了通信的匿名性。

（4）防止重放攻擊。為了防止攻擊者利用網(wǎng)絡(luò)監(jiān)聽或者其他方式盜取認(rèn)證消息，之后再把它重新發(fā)給認(rèn)證者，在每條信息中都加入了隨機(jī)數(shù)，通信雙方都記住所發(fā)過的隨機(jī)數(shù)，如果信息中有以前使用過的隨機(jī)數(shù)，就認(rèn)為是重放攻擊。

（5）不可追蹤性。不可追蹤性要求攻擊者不能通過收集同一用戶與其他用戶之間的歷史會(huì)話消息來分析出他們之間存在的共同特征和聯(lián)系，從而達(dá)到無法跟蹤用戶的目的。在本協(xié)議中，兩個(gè)用戶之間的通信只包含哈希值和隨機(jī)數(shù)，并且這兩個(gè)值在同一用戶與其他用戶的通信中是不同的，也不存在特定的數(shù)學(xué)邏輯關(guān)系，因此具有不可追蹤性。

4.2 效率分析

4.2.1 實(shí)現(xiàn)效率

本文以斯坦福大學(xué)開發(fā)的JPBC（Java Pairing-Based Cryptography）庫為基礎(chǔ)，選取A 類型的配對，其構(gòu)造是在有限域Fq(q為素?cái)?shù)且q≡3 mod 4)中的橢圓曲線y2=x3+x上[19]。然后在華為手機(jī)（型號(hào)Honor 6x，處理器Kirin 655，Android版本8.0）上進(jìn)行了效率測試，測試結(jié)果如表4 所示。表中Q,U∈G1且a∈1為乘法循環(huán)群，階為q=87807107996633125224377819847540498 15806883199414208211028653399266475630880222957 07862517942266222142315585876958231745927771336 7317481324925129998224791，為一個(gè)有限域，其中r=730750818665451621361119245571504901405976559 617，Q、U、a是隨機(jī)生成的符合要求的數(shù)據(jù)。

表4 雙線性對計(jì)算時(shí)間表 ms

從表5 可以看出，用戶A向用戶B發(fā)起認(rèn)證請求到用戶B響應(yīng)請求一共花費(fèi)時(shí)間為（233+237+284）ms，用戶A驗(yàn)證B所用時(shí)間為267 ms，因此如果不協(xié)商密鑰，整個(gè)認(rèn)證過程需要花費(fèi)時(shí)間為1 021 ms，即1.021 s，如果加上密鑰協(xié)商，整個(gè)過程需要花費(fèi)1 559 ms，即1.559 s。

表5 協(xié)議各部分計(jì)算時(shí)間表 ms

4.2.2 協(xié)議比較

用本協(xié)議與文獻(xiàn)[10][16]進(jìn)行了比較，其中S表示標(biāo)量計(jì)算，H 代表哈希運(yùn)算，P 表示雙線性對運(yùn)算，具體比較項(xiàng)目見表6。

表6 協(xié)議比較表

通過表6可以發(fā)現(xiàn)，本協(xié)議與其他協(xié)議相比不需要第三方可信機(jī)構(gòu)，且通信次數(shù)更少。

因?yàn)楸緟f(xié)議不需要第三方可信中心，所以對移動(dòng)端的計(jì)算能力具有較高的要求，計(jì)算能力越強(qiáng)的設(shè)備可以產(chǎn)生的公私鑰對的比特位數(shù)越長，安全性越高，雙線性對計(jì)算時(shí)間越短。因?yàn)閰f(xié)議的通信次數(shù)較少，所以在每次通信前與其他協(xié)議相比需要做更多的計(jì)算工作，從而使得單次通信的時(shí)間變長，但總體時(shí)間與其他協(xié)議持平。

總體來說，本協(xié)議與其他協(xié)議的通信方式相似，但是更加靈活，易實(shí)現(xiàn)。雖然協(xié)議對設(shè)備的計(jì)算能力有一定的要求，但是當(dāng)前市場上普通的智能設(shè)備已經(jīng)能夠達(dá)到協(xié)議的安全性需求。在安全性方面，本協(xié)議的安全性與設(shè)備的計(jì)算能力呈正相關(guān)，而其他協(xié)議的安全性則由第三方可信中心來保證。在實(shí)現(xiàn)效率方面，因?yàn)楸緟f(xié)議不需要第三方的參與，所以能夠忽略網(wǎng)絡(luò)時(shí)延等外部因素的影響，從而使得其實(shí)現(xiàn)效率更高。

5 協(xié)議實(shí)現(xiàn)

文中4.2.1 小節(jié)所描述的環(huán)境中實(shí)現(xiàn)了本協(xié)議，每一個(gè)步驟的實(shí)現(xiàn)時(shí)間見表5，實(shí)現(xiàn)結(jié)果見圖2，實(shí)現(xiàn)代碼如下所示：

圖2 協(xié)議實(shí)現(xiàn)結(jié)果

6 結(jié)束語

本文首先分析了移動(dòng)端NFC協(xié)議在實(shí)際生活中的應(yīng)用，發(fā)現(xiàn)這些協(xié)議大多都需要第三方可信機(jī)構(gòu)的參與才能夠?qū)崿F(xiàn)相互認(rèn)證，為了減少對第三方的依賴，利用橢圓曲線和雙線性對的基本性質(zhì)，讓通信雙方能夠自由靈活地進(jìn)行認(rèn)證。本協(xié)議中通信雙方都使用自己的私鑰驗(yàn)證對方發(fā)過來的消息，能夠?qū)崿F(xiàn)一次認(rèn)證，減少通信次數(shù)，節(jié)省認(rèn)證時(shí)間。目前學(xué)者們對NFC 認(rèn)證的研究主要應(yīng)用于移動(dòng)支付，而本協(xié)議則是更多應(yīng)用于會(huì)議簽到、會(huì)員卡驗(yàn)證、共享單車認(rèn)證等場景，因此具有很廣泛的用途。