鄭習(xí)武 趙雪鋒

1(江蘇財會職業(yè)學(xué)院 江蘇 連云港 222061) 2(江蘇海洋大學(xué)計算機工程學(xué)院 江蘇 連云港 222061)

0 引 言

進入21世紀之后，科學(xué)技術(shù)有了飛躍的發(fā)展，許多傳統(tǒng)的技術(shù)得到了廣泛的發(fā)展；同時伴隨不斷有新技術(shù)的產(chǎn)生，傳統(tǒng)的技術(shù)更進一步推廣和運用，比如射頻識別技術(shù)[1-2]。許多傳統(tǒng)的系統(tǒng)因當時科學(xué)技術(shù)的限制等各種因素，使得很多好的技術(shù)并沒有運用上。但現(xiàn)在科技發(fā)展飛快，更多的科學(xué)技術(shù)與傳統(tǒng)的系統(tǒng)相結(jié)合，從而產(chǎn)生意想不到的效率和收益，比如將射頻識別技術(shù)運用到傳統(tǒng)的電子票據(jù)系統(tǒng)中[3-4]。

在傳統(tǒng)的電子票據(jù)系統(tǒng)中，并沒有與現(xiàn)在大規(guī)模運用的射頻識別技術(shù)相結(jié)合，從而使得傳統(tǒng)的電子票據(jù)系統(tǒng)沒有那樣令人滿意的工作效率以及令人期待向往的收益[5-6]。在將射頻識別技術(shù)運用到傳統(tǒng)電子票據(jù)系統(tǒng)中后，人們發(fā)現(xiàn)，不僅可以提高工作效率的同時，人們的收益得到較大幅度的提高。但推廣運用過程中，相關(guān)的一些問題也逐漸展現(xiàn)出來，其中最令人值得關(guān)注的問題當屬安全問題，甚至安全問題已經(jīng)成為制約電子票據(jù)系統(tǒng)更進一步發(fā)展的關(guān)鍵性因素[7-9]。為確保電子票據(jù)系統(tǒng)中讀卡器與電子標簽通信時發(fā)送消息的安全性，需要設(shè)計出安全的認證協(xié)議或安全的認證方案，以此抵抗可能存在的攻擊。

文獻[10]采用PUF方法設(shè)計出一個方案，但攻擊者可通過監(jiān)聽等手段獲取通信消息，從而進行重放消息，經(jīng)過若干次消息重放，通信實體之間將失去一致性，攻擊者異步攻擊成功。文獻[11]結(jié)合多種框架結(jié)構(gòu)設(shè)計一個方案，但通信協(xié)議中部分信息未進行加密傳送，將導(dǎo)致通信實體之間無法實現(xiàn)對彼此的認證，從而使得攻擊者有假冒攻擊的可行性。文獻[12]提出一種超輕量級的方案，但方案沒有考慮到攻擊者可能發(fā)送物理攻擊，從而破解出部分隱私信息，再根據(jù)破解出的隱私信息更進一步推導(dǎo)出更多的隱私信息，從而發(fā)起假冒攻擊。文獻[13]提出一種使用在電子票據(jù)系統(tǒng)中的方案，但對協(xié)議安全性分析，發(fā)現(xiàn)協(xié)議存在較多問題，其中一個重點問題是協(xié)議無法抵抗假冒攻擊。鑒于篇幅有限，更多的方案或協(xié)議可以參見文獻[14-18]。

本文在總結(jié)現(xiàn)有眾多協(xié)議存在安全缺陷的基礎(chǔ)之上，在針對文獻[13]中方案具體分析之后，提出一種改進的適用于電子票據(jù)系統(tǒng)中的超輕量級安全認證協(xié)議。協(xié)議需滿足用戶對安全的基本要求，因此協(xié)議采用一種創(chuàng)新性的加密算法，即采用循環(huán)移動置換運算實現(xiàn)對信息的加密，該加密算法具備較高的安全性；同時為使協(xié)議能夠在現(xiàn)有的低成本的系統(tǒng)中運用，需要加密算法的計算量滿足低要求，通過位運算實現(xiàn)的循環(huán)移動置換運算算法則較好地滿足這一要求。通過各種不同角度的分析，協(xié)議具備良好的安全需求，同時滿足現(xiàn)有系統(tǒng)對計算量的要求。

1 安全認證協(xié)議

1.1 原協(xié)議的安全分析

王悅等[13]提出的安全協(xié)議具備一定的實用價值，但無法提供安全等級較高的需求。協(xié)議主要存在兩個方面的安全不足，具體分析如下。

第一個方面的安全不足：當Reader給Tag發(fā)送一個單獨的消息P時，使得協(xié)議出現(xiàn)第一個安全缺陷或安全不足。按照原協(xié)議的描述，Tag在收到消息P后，通過相對應(yīng)的逆置換變換可以得到Reader產(chǎn)生的隨機數(shù)R1；待Tag得到隨機數(shù)R1后，進行其他信息的計算。該過程中，Tag在計算得到R1后，并沒有對計算所得到的R1正確性進行校驗。因此，Tag并沒有完成Tag對Reader的認證，從而所產(chǎn)生的后果是，只有等待下一步驟中，即Reader收到Tag發(fā)送來的V和R′消息后，通過驗證這兩個消息的證偽，才可以決定協(xié)議是否繼續(xù)。當Tag未通過Reader的驗證，表明之前的步驟中，協(xié)議已經(jīng)出現(xiàn)安全缺陷，但王悅設(shè)計的協(xié)議并沒有在之前的步驟中結(jié)束協(xié)議。

第二個方面的不足：協(xié)議無法抵抗假冒攻擊，具體的分析：在Reader與Tag之間最后的一次通信過程中，Tag只是將信息“OK”/“ON”發(fā)送給Reader，而Reader收到信息后，無須進行任何的計算，即無法實現(xiàn)Reader對Tag的認證。因此，攻擊者可以在Reader發(fā)送消息R″之后，切斷Reader與Tag之間的后續(xù)通信，攻擊者此時假冒成標簽，向Reader發(fā)送“OK”/“ON”消息，即可蒙混Reader的認證?；谏鲜鲫U述，故協(xié)議無法抵抗假冒攻擊。

1.2 改進協(xié)議符號描述

文中的安全認證協(xié)議涉及到多個不同的符號，下面給出一些符號的含義：

Reader表示讀卡器；

Tag表示電子標簽；

ID表示電子標簽的標識符；

ID_L表示電子標簽的標識符左半邊；

K表示Reader與Tag之間的共享秘密值；

Kold表示Reader與Tag之間上次通話的共享秘密值；

Knew表示Reader與Tag之間當前通話的共享秘密值；

a表示讀卡器產(chǎn)生的隨機數(shù)；

b表示電子標簽產(chǎn)生的隨機數(shù)；

&表示與運算；

⊕表示異或運算；

Cmp(A，B)表示循環(huán)移動置換運算。

1.3 循環(huán)移動置換運算的實現(xiàn)

循環(huán)移動置換運算用Cmp(A，B)(Cyclic Moving Permutation，Cmp(A，B))表示，可以按照如下描述實現(xiàn)：

步驟一A、B、A1、B1都是長度為L位的二進制序列，為便于后續(xù)計算，要求L取值為偶數(shù)。

步驟二用H(A)、H(B)分別表示A、B二進制序列的漢明重量值。

步驟三循環(huán)移動操作，循環(huán)移動的規(guī)則是：當H(A)≥H(B)時，二進制序列B向左移動H(A)位，得到二進制序列B1；當H(A)

步驟四對第三步循環(huán)移動得到的結(jié)果進行置換操作，置換操作的規(guī)則是：

當H(A)≥H(B)時，對B1進行置換，即：從左向右遍歷A，當A的第i位為0時，B1的第i位發(fā)生置換(即0變1，1變0)；當A的第i位為1時，B1的第i位不變。

當H(A)

步驟五按照上述4個步驟操作即可得到循環(huán)移動置換運算的最終結(jié)果。

通過下面兩個例子來展現(xiàn)H(A)≥H(B)和H(A)

取值L=12，A=100111001101，B=011010100001，可以得出：H(A)=7，H(B)=5，滿足H(A)≥H(B)的條件。運用上面的定義，得到：B1=000010110101，Cmp(A，B)=011010000111，具體步驟可見圖1。

取值L=12，A=010010100001，B=110010110110，可以得出：H(A)=4，H(B)=7，滿足H(A)

1.4 改進協(xié)議的步驟描述

本文設(shè)計的安全認證協(xié)議流程見圖3。

本文安全認證協(xié)議的步驟描述如下：

步驟一Reader產(chǎn)生隨機數(shù)a，并計算A和B，同時將A和B發(fā)送給Tag，從而開啟認證協(xié)議。

其中A=ID⊕a，B=Cmp(ID_L,a)。

步驟二Tag收到A和B信息，由A和ID計算得到隨機數(shù)a；同時結(jié)合ID_L，按照Reader端計算B相同的方法，計算得到一個B′，對比兩者值是否相等。

若不等，協(xié)議停止。若相等，Tag產(chǎn)生隨機數(shù)b，再計算E和F，同時將E和F發(fā)送給Reader。

其中a=A⊕ID，B′=Cmp(ID_L,A⊕ID)，E=(ID&a)⊕b，F(xiàn)=Cmp(a,b⊕K)。

步驟三Reader收到E和F信息，由E、ID和a計算得到隨機數(shù)b；結(jié)合K，按照相同的計算方法得到一個F′，再對比兩者值是否相等。

若不等，用Kold代替Knew，再次按照相同的計算方法得到一個F″，在比對二者值是否相等。仍不等，協(xié)議停止；若相等，表明電子標簽與讀卡器之間先前存在暫時的信息不一致情況，經(jīng)過本次通信會話認證之后，兩者之間的消息恢復(fù)一致性，Reader計算G，同時更新信息：Kold=Knew、Knew=Cmp(K,b)，最后將G發(fā)送給Tag。

若相等，Reader計算G，同時更新信息：Kold=Knew、Knew=Cmp(K,b)，最后將G發(fā)送給Tag。

其中b=(ID&a)⊕E，F(xiàn)′=Cmp(a,((ID&a)⊕E)⊕k)，F(xiàn)″=Cmp(a,((ID&a)⊕E)⊕Kold)，Knew=Cmp(K,b)，G=Cmp(a,b)。

步驟四Tag收到G信息后，按照相同的法則計算得到一個G′，比較兩者值是否相等。若不等，協(xié)議停止；若相等，Tag開始更新信息：Knew=Cmp(K,b)。

其中G′=Cmp(A⊕ID,b)。

本文中設(shè)計協(xié)議與王悅等[13]中的協(xié)議進行比較，其優(yōu)勢在于：本文協(xié)議在傳送的每個都可以完成相互之間的認證，即每步通信過程中信息接收者可以驗證信息發(fā)送者的真?zhèn)?；同時協(xié)議采用一種創(chuàng)新型的加密算法，循環(huán)移動置換運算的實現(xiàn)包含移動和置換兩步操作，破解難度遠大于原協(xié)議中加密的算法，從而攻擊者破解難度更大，使得協(xié)議具備更高的安全性。

2 安全認證協(xié)議安全性分析

(1) 重放攻擊。攻擊者監(jiān)聽獲取某輪通話信息，然后隨之重放監(jiān)聽所獲得信息，以企圖通過某一通信實體的認證。文中設(shè)計協(xié)議為能夠抵抗重放攻擊，加密過程中信息均涉及到隨機數(shù)，前后兩輪通信用到的隨機數(shù)具有隨機性、不可預(yù)測性特征，使得當攻擊者重放上輪監(jiān)聽獲得信息時，本輪通話中用到的加密隨機數(shù)已發(fā)生變更。故協(xié)議具備抗重放攻擊的能力。

(2) 假冒攻擊。通信系統(tǒng)中包含讀卡器和電子標簽，從理論出發(fā)分析，攻擊者可能偽裝成任一通信實體進而發(fā)起假冒攻擊。攻擊者偽裝成讀卡器時，因缺少通信共享的秘密值，無法正確計算A和B消息的數(shù)值，待電子標簽進行簡單計算驗證，即可識別攻擊者假冒讀卡器發(fā)送消息。同理，當攻擊者偽裝成電子標簽時，缺少電子標簽的標識符，無法正確解析出讀卡器產(chǎn)生的隨機數(shù)，從而更進一步無法計算得到正確的E和F消息的數(shù)值。故協(xié)議具備抗假冒攻擊的能力。

(3) 異步攻擊。攻擊者通過某些手段使得讀卡器與電子標簽之間通信用到的共享秘密值失去一致性，從而使得兩者之間無法進行正常的通信。文中協(xié)議為能夠抵抗攻擊者發(fā)動的異步攻擊，在讀卡器一端存放前后兩輪會話用到的共享秘密值，即讀卡器先用當前共享秘密值驗證電子標簽，當且僅當當前共享秘密值無法驗證出標簽真?zhèn)螘r，立刻用上輪的共享秘密值代替當前的共享秘密值再次對電子標簽進行驗證，從而恢復(fù)兩者之間的信息一致性。故協(xié)議具備抗異步攻擊的能力。

(4) 追蹤攻擊。攻擊者可以通過長時間的監(jiān)聽手段獲取多輪的通信消息，當電子標簽發(fā)送給讀卡器的消息中存在某個消息的數(shù)值始終不變時，攻擊者可通過該數(shù)值對電子標簽發(fā)起位置攻擊。本文協(xié)議在電子標簽發(fā)送給讀卡器的所有消息加密過程中全部混入隨機數(shù)，從而可以確保前后多次通信信息數(shù)值不同，且無法提前預(yù)測，以此瓦解攻擊者的位置攻擊。故協(xié)議具備抗追蹤攻擊的能力。

(5) 窮舉攻擊。當攻擊者無法通過其他手段獲取隱私信息之時，更為直接的窮盡手段會被用上。此處選擇消息A=ID⊕a、B=Cmp(ID_L,a)為例子進行說明，本文協(xié)議可抗窮盡攻擊。在消息A中，攻擊者不知道ID和a的值，無法窮盡。在消息B中，攻擊者可以進行將A代入的方式得到B=Cmp(ID_L,A⊕ID)，該公式中A可通過監(jiān)聽手段獲取，而從看似在上述公式中只有ID的值不知道，攻擊者以為可以窮盡，其實不然。根據(jù)本文前面對循環(huán)移動置換運算的描述可知：攻擊者同時也不知道加密兩個參數(shù)漢明重量的數(shù)值，這樣計算，相當于攻擊者有三個參數(shù)的數(shù)值不知道。因此無法窮盡B中包含的隱私信息，故協(xié)議具備抗窮盡攻擊的能力。

(6) 后向安全。攻擊者無法從監(jiān)聽等手段獲取的通信消息中破解出之前會話用到的隱私信息，稱之為后向安全。本文協(xié)議用更新共享秘密值的方法，同時結(jié)合更新共享秘密值混入隨機數(shù)的思想，以此來抵抗后向安全。更新共享秘密值，可以使得每次會話用到的認證共享秘密值不同；更新秘密值過程中混入隨機數(shù)，可使得前后共享秘密值既有關(guān)聯(lián)，同時又是攻擊者無法逆推，因隨機數(shù)具備不可預(yù)測性及隨機性。故協(xié)議具備抗后向安全的能力。

本文設(shè)計的安全認證協(xié)議與其他協(xié)議安全性比較結(jié)果如表1所示。

表1 協(xié)議之間的安全性比較

3 安全認證協(xié)議性能分析

性能分析可以選擇讀卡器和電子標簽兩個通信實體進行分析，但相對于電子標簽來說，讀卡器具備較大的存儲空間和強大的計算能力，因此一般僅僅只是選擇電子標簽作為對象進行性能分析。電子標簽一端主要是計算量作為最為重要的因素進行分析，因存儲量這個指標一般相差不大，本文協(xié)議與其他協(xié)議性能比較結(jié)果如表2所示。

表2 協(xié)議之間的性能比對結(jié)果

表2中：pa表示產(chǎn)生隨機數(shù)的計算量；pb表示哈希函數(shù)的計算量；pc表示物理不可克隆PUF函數(shù)的計算量；pd表示偽隨機函數(shù)的計算量；pe表示模運算的計算量；pf表示交叉運算的計算量；pg表示位運算的計算量(位運算包括常見的與運算、異或運算等)；ph表示循環(huán)移動置換運算的計算量；pi表示循環(huán)移位運算的計算量；pj表示f加密函數(shù)運算的計算量；pk表示置換變換運算的計算量。

對本文協(xié)議標簽一端的計算量進行詳細分析：標簽一端產(chǎn)生一個隨機數(shù)b，用到一次pa計算量。標簽一端在計算a′時，第一次用到位“異或”運算；在后面計算消息E的過程中，會第二次用到位“與”運算以及第三次用到位“異或”運算，因此總共用到3pg計算量。標簽一端在計算B′時，會第一次用到ph計算量；再計算消息F時，會第二次用到ph計算量；在計算G′時，會第三次用到ph計算量；最后在更新共享密鑰Knew時會第四次用到ph計算量，因此總共用到4ph計算量?；谏鲜雒枋?，文中協(xié)議標簽一端的總共的計算量為pa+3pg+4ph。

對文獻[13]中協(xié)議標簽一端的計算量進行詳細分析：標簽會產(chǎn)生一個隨機數(shù)R2，用到一次pa計算量。標簽在計算R1過程中，會第一次用到pk計算量；再計算消息V的過程中，會第二次用到pk計算量；最后再計算Tl過程中，會第三次用到pk計算量，因此總共用到3pk計算量。標簽一端在計算SID′過程中，會第一次用到pi計算量；再更新信息Kt過程中，會第二次用到pi計算量，因此總共用到2pi計算量。標簽一端在計算R′過程中，會第一次、第二次用到pj計算量；在計算R″過程中，會第三次用到pj計算量，因此總共用到3pj計算量?；谏鲜雒枋?，文獻[13]中協(xié)議標簽一端總的計算量為pa+3pk+2pi+3pj。

其中文獻[10-12]中協(xié)議標簽一端的計算量在文獻[13]中已經(jīng)有提及過，加之文中篇幅有限，故此處不再詳細闡述。

文中所提出的創(chuàng)新型的加密算法根據(jù)前文中的描述可得知，算法基于按位運算實現(xiàn)，算法實現(xiàn)過程中整體計算量屬于超輕量級的，計算量少于其他常見的加密函數(shù)(比如：哈希函數(shù))；同時結(jié)合安全性分析，可得知本文加密算法具備較好的安全性，能夠提供系統(tǒng)所需要的安全需求。基于上述從安全性角度、性能分析角度闡述，本文設(shè)計算法能夠適用于當前電子票據(jù)系統(tǒng)中。

在上面的計算中，產(chǎn)生隨機數(shù)的計算量、哈希函數(shù)的計算量、物理不可克隆函數(shù)的計算量、偽隨機函數(shù)的計算量、模運算的計算量都屬于輕量級或重量級的運算，屬于計算量較大的，該類運算在協(xié)議中需盡量不用或盡量少用到。從表2的計算量角度對比可以得出，本文協(xié)議在計算量方面具備絕對的優(yōu)勢，僅僅只用到產(chǎn)生隨機數(shù)一次輕量級的運算，其他計算都屬于超輕量級的運算，能夠使得通信實體中電子標簽一端的計算量得到較大幅度的降低。且協(xié)議還可以彌補其他協(xié)議存在的安全缺陷問題，具備一定的實際使用價值。

4 結(jié) 語

針對王悅等設(shè)計的電子票據(jù)系統(tǒng)中安全認證方案進行分析，得出認證協(xié)議具備一定的不足之處，即無法抗假冒攻擊。本文在該通信協(xié)議框架基礎(chǔ)之上，給出一種改進的電子票據(jù)系統(tǒng)中用到的超輕量級的安全認證協(xié)議。安全認證協(xié)議采用一種創(chuàng)新型的加密算法對信息進行加密，即循環(huán)移動置換運算。該加密算法基于位運算方式實現(xiàn)，因此能夠使得加密協(xié)議達到超輕量級的級別；同時循環(huán)移動置換運算會根據(jù)加密信息自身攜帶的漢明重量值進行不同的操作，攻擊者在不知曉加密信息漢明重量值的情況下，無法知曉算法采用哪種方式對信息進行加密，增大攻擊者的破解難度。將協(xié)議與其他不同協(xié)議進行比較，協(xié)議不僅可以彌補其他協(xié)議存在的安全缺陷，同時具備計算量低等特征，能夠適用于當前電子票據(jù)系統(tǒng)中。