基于RFID智能卡識別的實(shí)驗室門禁協(xié)議

2021-08-10 07:26:28桂梓原

科教導(dǎo)刊·電子版 2021年18期

桂梓原

（南京信息工程大學(xué)教務(wù)處計算機(jī)基礎(chǔ)實(shí)驗教學(xué)中心江蘇·南京 210044）

0 緒論

近年來高校不斷擴(kuò)大招生人數(shù)，為了滿足實(shí)驗教學(xué)需求，學(xué)校建設(shè)了多個不同類型的實(shí)驗室，同時也添加了很多實(shí)驗所需的硬件設(shè)備，這對實(shí)驗室的安全管理提高了難度。目前，大部分高校的實(shí)驗室還是使用人工開關(guān)門的方式，實(shí)驗員除了日常的管理工作，保障常規(guī)的教學(xué)秩序外，還需要根據(jù)課表定時去開關(guān)門。例如，某高校有30個基礎(chǔ)實(shí)驗室，每天有8個課時，那么實(shí)驗員每天則需要每天進(jìn)行240次課前和課后的開關(guān)門，這不僅浪費(fèi)了人力資源，還給實(shí)驗室的安全帶來隱患。

隨著物聯(lián)網(wǎng)云計算技術(shù)的飛速發(fā)展、智慧校園的普及，實(shí)驗室的信息化管理已成為必然趨勢。智能卡門禁系統(tǒng)則是信息化管理的重要組成部分，其不僅能解放出實(shí)驗員開關(guān)門的大量片段時間，提高實(shí)驗室的管理效率，還可以對實(shí)驗室的使用以及學(xué)生人數(shù)實(shí)現(xiàn)數(shù)據(jù)統(tǒng)計和分級管理。因此，本文提出了一個基于RFID智能卡識別的實(shí)驗室門禁協(xié)議，該協(xié)議滿足匿名性，雙向認(rèn)證性等多種安全特性。

本文提出協(xié)議的系統(tǒng)模型如圖1所示，該模型共包含三個實(shí)體，分別是用戶（教師或?qū)W生），智能卡和門禁服務(wù)器。用戶需要首先在門禁服務(wù)器上進(jìn)行注冊并且預(yù)先下載好所需的系統(tǒng)公共參數(shù)。用戶攜帶著智能卡，并通過智能卡與門禁服務(wù)器進(jìn)行認(rèn)證。

圖1：系統(tǒng)模型

該協(xié)議由四個階段組成，分別是初始化階段，注冊階段，登錄認(rèn)證階段和密鑰修改階段。在初始化階段中，門禁服務(wù)器初始化系統(tǒng)，生成系統(tǒng)主密鑰和一些公共參數(shù)。在注冊階段中，用戶的一些個人信息將上傳給門禁服務(wù)器，接著門禁服務(wù)器驗證該用戶的合法性并給用戶分發(fā)智能卡。分發(fā)的智能卡中包含用戶的個人信息和所需的系統(tǒng)公共參數(shù)，用來進(jìn)行認(rèn)證階段的操作。值得注意的是，每個用戶僅需進(jìn)行一次注冊，除非該用戶要求注銷后重新注冊。完成上述階段之后，用戶可以在身份認(rèn)證階段訪問門禁服務(wù)器。只有當(dāng)用戶同時具有正確的登錄密鑰和有效的智能卡，該用戶才能成功通過門禁服務(wù)器的驗證，從而進(jìn)入實(shí)驗室。在登錄密鑰修改階段，用戶可以在本地更新自己的密鑰，而不需要與門禁服務(wù)器進(jìn)行交互操作。

1 提出的協(xié)議

1.1 初始化階段

給定一個安全參數(shù)1，門禁服務(wù)器生成一個大素數(shù)q。G是一個q階的循環(huán)群，P是循環(huán)群G的生成原。門禁服務(wù)器選擇一個哈希函數(shù)：，然后再隨機(jī)選擇一個秘密值作為系統(tǒng)主密鑰，接著計算出對應(yīng)的系統(tǒng)公鑰。最后門禁服務(wù)器公布系統(tǒng)參數(shù)并秘密保存系統(tǒng)主密鑰。

1.2 注冊階段

用戶的Ui身份信息為密鑰為，注冊階段中用戶需要與門禁服務(wù)器進(jìn)行如下交互：

（1）用戶Ui隨機(jī)選取一個秘密值作為部分私鑰并且計算部分自己的部分公鑰。

（2）Ui通過哈希函數(shù)計算和，接著將，和部分公鑰通過安全信道發(fā)送給門禁服務(wù)器。

1.3 登錄和認(rèn)證階段

1.4 密鑰更換階段

2 安全性分析

2.1 匿名性

2.2 雙向認(rèn)證性

2.3 安全的會話密鑰

完成登錄和認(rèn)證階段后，智能卡和服務(wù)器共同生成了一個會話密鑰。私鑰和分別秘密存儲在用戶和服務(wù)器中,攻擊者無法獲得這些私鑰。即使攻擊者在開放的信道截獲了和，由于CDH難解性問題，他仍然無法生成公共的會話密鑰。

2.4 抗中間人攻擊

假設(shè)攻擊者攔截了智能卡發(fā)送的請求消息，然后偽裝成服務(wù)器來欺騙用戶。攻擊者必須計算并且發(fā)送給用戶。然而，攻擊者無法獲得服務(wù)器的私鑰和。因此，攻擊者無法偽裝成服務(wù)器。同樣的，攻擊者也無法獲得用戶的完整私鑰，也無法偽裝成合法用戶。總而言之，即使攻擊者竊聽了用戶與服務(wù)器在開放信道中的所有通信，他仍然無法偽裝成用戶和服務(wù)器來獲取隱私信息。

2.5 抗偽裝攻擊

2.6 抗離線字典攻擊

2.7 抗重放攻擊

3 總結(jié)

本文設(shè)計的門禁協(xié)議具有多種安全特性，可以保障師生一卡通信息的隱私安全，提高實(shí)驗室的管理效率。對于人流量較大，組織結(jié)構(gòu)較為復(fù)雜的實(shí)驗室區(qū)域，能夠有效解決實(shí)驗室的監(jiān)管難題，使得高校實(shí)驗員能夠?qū)⒏嗟臅r間用在科研和教學(xué)中。另外，該門禁協(xié)議可以防止未授權(quán)人員的非法闖入，保障高校實(shí)驗室的財產(chǎn)安全。