改進(jìn)的物聯(lián)網(wǎng)中電子票據(jù)安全認(rèn)證協(xié)議

鄭習(xí)武 趙雪鋒

1(江蘇財會職業(yè)學(xué)院 江蘇 連云港 222061) 2(江蘇海洋大學(xué)計算機(jī)工程學(xué)院 江蘇 連云港 222061)

0 引 言

進(jìn)入21世紀(jì)之后，科學(xué)技術(shù)有了飛躍的發(fā)展，許多傳統(tǒng)的技術(shù)得到了廣泛的發(fā)展；同時伴隨不斷有新技術(shù)的產(chǎn)生，傳統(tǒng)的技術(shù)更進(jìn)一步推廣和運(yùn)用，比如射頻識別技術(shù)[1-2]。許多傳統(tǒng)的系統(tǒng)因當(dāng)時科學(xué)技術(shù)的限制等各種因素，使得很多好的技術(shù)并沒有運(yùn)用上。但現(xiàn)在科技發(fā)展飛快，更多的科學(xué)技術(shù)與傳統(tǒng)的系統(tǒng)相結(jié)合，從而產(chǎn)生意想不到的效率和收益，比如將射頻識別技術(shù)運(yùn)用到傳統(tǒng)的電子票據(jù)系統(tǒng)中[3-4]。

在傳統(tǒng)的電子票據(jù)系統(tǒng)中，并沒有與現(xiàn)在大規(guī)模運(yùn)用的射頻識別技術(shù)相結(jié)合，從而使得傳統(tǒng)的電子票據(jù)系統(tǒng)沒有那樣令人滿意的工作效率以及令人期待向往的收益[5-6]。在將射頻識別技術(shù)運(yùn)用到傳統(tǒng)電子票據(jù)系統(tǒng)中后，人們發(fā)現(xiàn)，不僅可以提高工作效率的同時，人們的收益得到較大幅度的提高。但推廣運(yùn)用過程中，相關(guān)的一些問題也逐漸展現(xiàn)出來，其中最令人值得關(guān)注的問題當(dāng)屬安全問題，甚至安全問題已經(jīng)成為制約電子票據(jù)系統(tǒng)更進(jìn)一步發(fā)展的關(guān)鍵性因素[7-9]。為確保電子票據(jù)系統(tǒng)中讀卡器與電子標(biāo)簽通信時發(fā)送消息的安全性，需要設(shè)計出安全的認(rèn)證協(xié)議或安全的認(rèn)證方案，以此抵抗可能存在的攻擊。

文獻(xiàn)[10]采用PUF方法設(shè)計出一個方案，但攻擊者可通過監(jiān)聽等手段獲取通信消息，從而進(jìn)行重放消息，經(jīng)過若干次消息重放，通信實(shí)體之間將失去一致性，攻擊者異步攻擊成功。文獻(xiàn)[11]結(jié)合多種框架結(jié)構(gòu)設(shè)計一個方案，但通信協(xié)議中部分信息未進(jìn)行加密傳送，將導(dǎo)致通信實(shí)體之間無法實(shí)現(xiàn)對彼此的認(rèn)證，從而使得攻擊者有假冒攻擊的可行性。文獻(xiàn)[12]提出一種超輕量級的方案，但方案沒有考慮到攻擊者可能發(fā)送物理攻擊，從而破解出部分隱私信息，再根據(jù)破解出的隱私信息更進(jìn)一步推導(dǎo)出更多的隱私信息，從而發(fā)起假冒攻擊。文獻(xiàn)[13]提出一種使用在電子票據(jù)系統(tǒng)中的方案，但對協(xié)議安全性分析，發(fā)現(xiàn)協(xié)議存在較多問題，其中一個重點(diǎn)問題是協(xié)議無法抵抗假冒攻擊。鑒于篇幅有限，更多的方案或協(xié)議可以參見文獻(xiàn)[14-18]。

本文在總結(jié)現(xiàn)有眾多協(xié)議存在安全缺陷的基礎(chǔ)之上，在針對文獻(xiàn)[13]中方案具體分析之后，提出一種改進(jìn)的適用于電子票據(jù)系統(tǒng)中的超輕量級安全認(rèn)證協(xié)議。協(xié)議需滿足用戶對安全的基本要求，因此協(xié)議采用一種創(chuàng)新性的加密算法，即采用循環(huán)移動置換運(yùn)算實(shí)現(xiàn)對信息的加密，該加密算法具備較高的安全性；同時為使協(xié)議能夠在現(xiàn)有的低成本的系統(tǒng)中運(yùn)用，需要加密算法的計算量滿足低要求，通過位運(yùn)算實(shí)現(xiàn)的循環(huán)移動置換運(yùn)算算法則較好地滿足這一要求。通過各種不同角度的分析，協(xié)議具備良好的安全需求，同時滿足現(xiàn)有系統(tǒng)對計算量的要求。

1 安全認(rèn)證協(xié)議

1.1 原協(xié)議的安全分析

王悅等[13]提出的安全協(xié)議具備一定的實(shí)用價值，但無法提供安全等級較高的需求。協(xié)議主要存在兩個方面的安全不足，具體分析如下。

第一個方面的安全不足：當(dāng)Reader給Tag發(fā)送一個單獨(dú)的消息P時，使得協(xié)議出現(xiàn)第一個安全缺陷或安全不足。按照原協(xié)議的描述，Tag在收到消息P后，通過相對應(yīng)的逆置換變換可以得到Reader產(chǎn)生的隨機(jī)數(shù)R1；待Tag得到隨機(jī)數(shù)R1后，進(jìn)行其他信息的計算。該過程中，Tag在計算得到R1后，并沒有對計算所得到的R1正確性進(jìn)行校驗(yàn)。因此，Tag并沒有完成Tag對Reader的認(rèn)證，從而所產(chǎn)生的后果是，只有等待下一步驟中，即Reader收到Tag發(fā)送來的V和R′消息后，通過驗(yàn)證這兩個消息的證偽，才可以決定協(xié)議是否繼續(xù)。當(dāng)Tag未通過Reader的驗(yàn)證，表明之前的步驟中，協(xié)議已經(jīng)出現(xiàn)安全缺陷，但王悅設(shè)計的協(xié)議并沒有在之前的步驟中結(jié)束協(xié)議。

第二個方面的不足：協(xié)議無法抵抗假冒攻擊，具體的分析：在Reader與Tag之間最后的一次通信過程中，Tag只是將信息“OK”/“ON”發(fā)送給Reader，而Reader收到信息后，無須進(jìn)行任何的計算，即無法實(shí)現(xiàn)Reader對Tag的認(rèn)證。因此，攻擊者可以在Reader發(fā)送消息R″之后，切斷Reader與Tag之間的后續(xù)通信，攻擊者此時假冒成標(biāo)簽，向Reader發(fā)送“OK”/“ON”消息，即可蒙混Reader的認(rèn)證。基于上述闡述，故協(xié)議無法抵抗假冒攻擊。

1.2 改進(jìn)協(xié)議符號描述

文中的安全認(rèn)證協(xié)議涉及到多個不同的符號，下面給出一些符號的含義：

Reader表示讀卡器；

Tag表示電子標(biāo)簽；

ID表示電子標(biāo)簽的標(biāo)識符；

ID_L表示電子標(biāo)簽的標(biāo)識符左半邊；

K表示Reader與Tag之間的共享秘密值；

Kold表示Reader與Tag之間上次通話的共享秘密值；

Knew表示Reader與Tag之間當(dāng)前通話的共享秘密值；

a表示讀卡器產(chǎn)生的隨機(jī)數(shù)；

b表示電子標(biāo)簽產(chǎn)生的隨機(jī)數(shù)；

&表示與運(yùn)算；

⊕表示異或運(yùn)算；

Cmp(A，B)表示循環(huán)移動置換運(yùn)算。

1.3 循環(huán)移動置換運(yùn)算的實(shí)現(xiàn)

循環(huán)移動置換運(yùn)算用Cmp(A，B)(Cyclic Moving Permutation，Cmp(A，B))表示，可以按照如下描述實(shí)現(xiàn)：

步驟一A、B、A1、B1都是長度為L位的二進(jìn)制序列，為便于后續(xù)計算，要求L取值為偶數(shù)。

步驟二用H(A)、H(B)分別表示A、B二進(jìn)制序列的漢明重量值。

步驟三循環(huán)移動操作，循環(huán)移動的規(guī)則是：當(dāng)H(A)≥H(B)時，二進(jìn)制序列B向左移動H(A)位，得到二進(jìn)制序列B1；當(dāng)H(A)

步驟四對第三步循環(huán)移動得到的結(jié)果進(jìn)行置換操作，置換操作的規(guī)則是：

當(dāng)H(A)≥H(B)時，對B1進(jìn)行置換，即：從左向右遍歷A，當(dāng)A的第i位為0時，B1的第i位發(fā)生置換(即0變1，1變0)；當(dāng)A的第i位為1時，B1的第i位不變。

當(dāng)H(A)

步驟五按照上述4個步驟操作即可得到循環(huán)移動置換運(yùn)算的最終結(jié)果。

通過下面兩個例子來展現(xiàn)H(A)≥H(B)和H(A)

取值L=12，A=100111001101，B=011010100001，可以得出：H(A)=7，H(B)=5，滿足H(A)≥H(B)的條件。運(yùn)用上面的定義，得到：B1=000010110101，Cmp(A，B)=011010000111，具體步驟可見圖1。

取值L=12，A=010010100001，B=110010110110，可以得出：H(A)=4，H(B)=7，滿足H(A)

1.4 改進(jìn)協(xié)議的步驟描述

本文設(shè)計的安全認(rèn)證協(xié)議流程見圖3。

本文安全認(rèn)證協(xié)議的步驟描述如下：

步驟一Reader產(chǎn)生隨機(jī)數(shù)a，并計算A和B，同時將A和B發(fā)送給Tag，從而開啟認(rèn)證協(xié)議。

其中A=ID⊕a，B=Cmp(ID_L,a)。

步驟二Tag收到A和B信息，由A和ID計算得到隨機(jī)數(shù)a；同時結(jié)合ID_L，按照Reader端計算B相同的方法，計算得到一個B′，對比兩者值是否相等。

若不等，協(xié)議停止。若相等，Tag產(chǎn)生隨機(jī)數(shù)b，再計算E和F，同時將E和F發(fā)送給Reader。

其中a=A⊕ID，B′=Cmp(ID_L,A⊕ID)，E=(ID&a)⊕b，F(xiàn)=Cmp(a,b⊕K)。

步驟三Reader收到E和F信息，由E、ID和a計算得到隨機(jī)數(shù)b；結(jié)合K，按照相同的計算方法得到一個F′，再對比兩者值是否相等。

若不等，用Kold代替Knew，再次按照相同的計算方法得到一個F″，在比對二者值是否相等。仍不等，協(xié)議停止；若相等，表明電子標(biāo)簽與讀卡器之間先前存在暫時的信息不一致情況，經(jīng)過本次通信會話認(rèn)證之后，兩者之間的消息恢復(fù)一致性，Reader計算G，同時更新信息：Kold=Knew、Knew=Cmp(K,b)，最后將G發(fā)送給Tag。

若相等，Reader計算G，同時更新信息：Kold=Knew、Knew=Cmp(K,b)，最后將G發(fā)送給Tag。

其中b=(ID&a)⊕E，F(xiàn)′=Cmp(a,((ID&a)⊕E)⊕k)，F(xiàn)″=Cmp(a,((ID&a)⊕E)⊕Kold)，Knew=Cmp(K,b)，G=Cmp(a,b)。

步驟四Tag收到G信息后，按照相同的法則計算得到一個G′，比較兩者值是否相等。若不等，協(xié)議停止；若相等，Tag開始更新信息：Knew=Cmp(K,b)。

其中G′=Cmp(A⊕ID,b)。

本文中設(shè)計協(xié)議與王悅等[13]中的協(xié)議進(jìn)行比較，其優(yōu)勢在于：本文協(xié)議在傳送的每個都可以完成相互之間的認(rèn)證，即每步通信過程中信息接收者可以驗(yàn)證信息發(fā)送者的真?zhèn)危煌瑫r協(xié)議采用一種創(chuàng)新型的加密算法，循環(huán)移動置換運(yùn)算的實(shí)現(xiàn)包含移動和置換兩步操作，破解難度遠(yuǎn)大于原協(xié)議中加密的算法，從而攻擊者破解難度更大，使得協(xié)議具備更高的安全性。

2 安全認(rèn)證協(xié)議安全性分析

(1) 重放攻擊。攻擊者監(jiān)聽獲取某輪通話信息，然后隨之重放監(jiān)聽所獲得信息，以企圖通過某一通信實(shí)體的認(rèn)證。文中設(shè)計協(xié)議為能夠抵抗重放攻擊，加密過程中信息均涉及到隨機(jī)數(shù)，前后兩輪通信用到的隨機(jī)數(shù)具有隨機(jī)性、不可預(yù)測性特征，使得當(dāng)攻擊者重放上輪監(jiān)聽獲得信息時，本輪通話中用到的加密隨機(jī)數(shù)已發(fā)生變更。故協(xié)議具備抗重放攻擊的能力。

(2) 假冒攻擊。通信系統(tǒng)中包含讀卡器和電子標(biāo)簽，從理論出發(fā)分析，攻擊者可能偽裝成任一通信實(shí)體進(jìn)而發(fā)起假冒攻擊。攻擊者偽裝成讀卡器時，因缺少通信共享的秘密值，無法正確計算A和B消息的數(shù)值，待電子標(biāo)簽進(jìn)行簡單計算驗(yàn)證，即可識別攻擊者假冒讀卡器發(fā)送消息。同理，當(dāng)攻擊者偽裝成電子標(biāo)簽時，缺少電子標(biāo)簽的標(biāo)識符，無法正確解析出讀卡器產(chǎn)生的隨機(jī)數(shù)，從而更進(jìn)一步無法計算得到正確的E和F消息的數(shù)值。故協(xié)議具備抗假冒攻擊的能力。

(3) 異步攻擊。攻擊者通過某些手段使得讀卡器與電子標(biāo)簽之間通信用到的共享秘密值失去一致性，從而使得兩者之間無法進(jìn)行正常的通信。文中協(xié)議為能夠抵抗攻擊者發(fā)動的異步攻擊，在讀卡器一端存放前后兩輪會話用到的共享秘密值，即讀卡器先用當(dāng)前共享秘密值驗(yàn)證電子標(biāo)簽，當(dāng)且僅當(dāng)當(dāng)前共享秘密值無法驗(yàn)證出標(biāo)簽真?zhèn)螘r，立刻用上輪的共享秘密值代替當(dāng)前的共享秘密值再次對電子標(biāo)簽進(jìn)行驗(yàn)證，從而恢復(fù)兩者之間的信息一致性。故協(xié)議具備抗異步攻擊的能力。

(4) 追蹤攻擊。攻擊者可以通過長時間的監(jiān)聽手段獲取多輪的通信消息，當(dāng)電子標(biāo)簽發(fā)送給讀卡器的消息中存在某個消息的數(shù)值始終不變時，攻擊者可通過該數(shù)值對電子標(biāo)簽發(fā)起位置攻擊。本文協(xié)議在電子標(biāo)簽發(fā)送給讀卡器的所有消息加密過程中全部混入隨機(jī)數(shù)，從而可以確保前后多次通信信息數(shù)值不同，且無法提前預(yù)測，以此瓦解攻擊者的位置攻擊。故協(xié)議具備抗追蹤攻擊的能力。

(5) 窮舉攻擊。當(dāng)攻擊者無法通過其他手段獲取隱私信息之時，更為直接的窮盡手段會被用上。此處選擇消息A=ID⊕a、B=Cmp(ID_L,a)為例子進(jìn)行說明，本文協(xié)議可抗窮盡攻擊。在消息A中，攻擊者不知道ID和a的值，無法窮盡。在消息B中，攻擊者可以進(jìn)行將A代入的方式得到B=Cmp(ID_L,A⊕ID)，該公式中A可通過監(jiān)聽手段獲取，而從看似在上述公式中只有ID的值不知道，攻擊者以為可以窮盡，其實(shí)不然。根據(jù)本文前面對循環(huán)移動置換運(yùn)算的描述可知：攻擊者同時也不知道加密兩個參數(shù)漢明重量的數(shù)值，這樣計算，相當(dāng)于攻擊者有三個參數(shù)的數(shù)值不知道。因此無法窮盡B中包含的隱私信息，故協(xié)議具備抗窮盡攻擊的能力。

(6) 后向安全。攻擊者無法從監(jiān)聽等手段獲取的通信消息中破解出之前會話用到的隱私信息，稱之為后向安全。本文協(xié)議用更新共享秘密值的方法，同時結(jié)合更新共享秘密值混入隨機(jī)數(shù)的思想，以此來抵抗后向安全。更新共享秘密值，可以使得每次會話用到的認(rèn)證共享秘密值不同；更新秘密值過程中混入隨機(jī)數(shù)，可使得前后共享秘密值既有關(guān)聯(lián)，同時又是攻擊者無法逆推，因隨機(jī)數(shù)具備不可預(yù)測性及隨機(jī)性。故協(xié)議具備抗后向安全的能力。

本文設(shè)計的安全認(rèn)證協(xié)議與其他協(xié)議安全性比較結(jié)果如表1所示。

表1 協(xié)議之間的安全性比較

3 安全認(rèn)證協(xié)議性能分析

性能分析可以選擇讀卡器和電子標(biāo)簽兩個通信實(shí)體進(jìn)行分析，但相對于電子標(biāo)簽來說，讀卡器具備較大的存儲空間和強(qiáng)大的計算能力，因此一般僅僅只是選擇電子標(biāo)簽作為對象進(jìn)行性能分析。電子標(biāo)簽一端主要是計算量作為最為重要的因素進(jìn)行分析，因存儲量這個指標(biāo)一般相差不大，本文協(xié)議與其他協(xié)議性能比較結(jié)果如表2所示。

表2 協(xié)議之間的性能比對結(jié)果

表2中：pa表示產(chǎn)生隨機(jī)數(shù)的計算量；pb表示哈希函數(shù)的計算量；pc表示物理不可克隆PUF函數(shù)的計算量；pd表示偽隨機(jī)函數(shù)的計算量；pe表示模運(yùn)算的計算量；pf表示交叉運(yùn)算的計算量；pg表示位運(yùn)算的計算量(位運(yùn)算包括常見的與運(yùn)算、異或運(yùn)算等)；ph表示循環(huán)移動置換運(yùn)算的計算量；pi表示循環(huán)移位運(yùn)算的計算量；pj表示f加密函數(shù)運(yùn)算的計算量；pk表示置換變換運(yùn)算的計算量。

對本文協(xié)議標(biāo)簽一端的計算量進(jìn)行詳細(xì)分析：標(biāo)簽一端產(chǎn)生一個隨機(jī)數(shù)b，用到一次pa計算量。標(biāo)簽一端在計算a′時，第一次用到位“異或”運(yùn)算；在后面計算消息E的過程中，會第二次用到位“與”運(yùn)算以及第三次用到位“異或”運(yùn)算，因此總共用到3pg計算量。標(biāo)簽一端在計算B′時，會第一次用到ph計算量；再計算消息F時，會第二次用到ph計算量；在計算G′時，會第三次用到ph計算量；最后在更新共享密鑰Knew時會第四次用到ph計算量，因此總共用到4ph計算量。基于上述描述，文中協(xié)議標(biāo)簽一端的總共的計算量為pa+3pg+4ph。

對文獻(xiàn)[13]中協(xié)議標(biāo)簽一端的計算量進(jìn)行詳細(xì)分析：標(biāo)簽會產(chǎn)生一個隨機(jī)數(shù)R2，用到一次pa計算量。標(biāo)簽在計算R1過程中，會第一次用到pk計算量；再計算消息V的過程中，會第二次用到pk計算量；最后再計算Tl過程中，會第三次用到pk計算量，因此總共用到3pk計算量。標(biāo)簽一端在計算SID′過程中，會第一次用到pi計算量；再更新信息Kt過程中，會第二次用到pi計算量，因此總共用到2pi計算量。標(biāo)簽一端在計算R′過程中，會第一次、第二次用到pj計算量；在計算R″過程中，會第三次用到pj計算量，因此總共用到3pj計算量。基于上述描述，文獻(xiàn)[13]中協(xié)議標(biāo)簽一端總的計算量為pa+3pk+2pi+3pj。

其中文獻(xiàn)[10-12]中協(xié)議標(biāo)簽一端的計算量在文獻(xiàn)[13]中已經(jīng)有提及過，加之文中篇幅有限，故此處不再詳細(xì)闡述。

文中所提出的創(chuàng)新型的加密算法根據(jù)前文中的描述可得知，算法基于按位運(yùn)算實(shí)現(xiàn)，算法實(shí)現(xiàn)過程中整體計算量屬于超輕量級的，計算量少于其他常見的加密函數(shù)(比如：哈希函數(shù))；同時結(jié)合安全性分析，可得知本文加密算法具備較好的安全性，能夠提供系統(tǒng)所需要的安全需求。基于上述從安全性角度、性能分析角度闡述，本文設(shè)計算法能夠適用于當(dāng)前電子票據(jù)系統(tǒng)中。

在上面的計算中，產(chǎn)生隨機(jī)數(shù)的計算量、哈希函數(shù)的計算量、物理不可克隆函數(shù)的計算量、偽隨機(jī)函數(shù)的計算量、模運(yùn)算的計算量都屬于輕量級或重量級的運(yùn)算，屬于計算量較大的，該類運(yùn)算在協(xié)議中需盡量不用或盡量少用到。從表2的計算量角度對比可以得出，本文協(xié)議在計算量方面具備絕對的優(yōu)勢，僅僅只用到產(chǎn)生隨機(jī)數(shù)一次輕量級的運(yùn)算，其他計算都屬于超輕量級的運(yùn)算，能夠使得通信實(shí)體中電子標(biāo)簽一端的計算量得到較大幅度的降低。且協(xié)議還可以彌補(bǔ)其他協(xié)議存在的安全缺陷問題，具備一定的實(shí)際使用價值。

4 結(jié) 語

針對王悅等設(shè)計的電子票據(jù)系統(tǒng)中安全認(rèn)證方案進(jìn)行分析，得出認(rèn)證協(xié)議具備一定的不足之處，即無法抗假冒攻擊。本文在該通信協(xié)議框架基礎(chǔ)之上，給出一種改進(jìn)的電子票據(jù)系統(tǒng)中用到的超輕量級的安全認(rèn)證協(xié)議。安全認(rèn)證協(xié)議采用一種創(chuàng)新型的加密算法對信息進(jìn)行加密，即循環(huán)移動置換運(yùn)算。該加密算法基于位運(yùn)算方式實(shí)現(xiàn)，因此能夠使得加密協(xié)議達(dá)到超輕量級的級別；同時循環(huán)移動置換運(yùn)算會根據(jù)加密信息自身攜帶的漢明重量值進(jìn)行不同的操作，攻擊者在不知曉加密信息漢明重量值的情況下，無法知曉算法采用哪種方式對信息進(jìn)行加密，增大攻擊者的破解難度。將協(xié)議與其他不同協(xié)議進(jìn)行比較，協(xié)議不僅可以彌補(bǔ)其他協(xié)議存在的安全缺陷，同時具備計算量低等特征，能夠適用于當(dāng)前電子票據(jù)系統(tǒng)中。