抗暴力破解的改進的超輕量級認證協議

肖貴燈 張 穎

1(廣東工程職業技術學院 廣東 廣州 510520) 2(南寧學院 廣西 南寧 530200)

0 引 言

射頻識別技術出現在20世紀，但因種種因素，使得該技術并沒有在20世紀得到大規模廣泛的推廣運用[1-3]。進入21世紀后，隨著科學技術的不斷發展以及新技術的出現，諸如云計算、大數據、區塊鏈等，伴隨著這些技術的發展以及推廣運用，射頻識別技術也再次發展和運用起來[4-6]。

因該系統中標簽具備體積小、易攜帶、成本低等眾多的優點，現在運用前景非常可觀，比如：現在各個國家以及各個城市大力推廣的公交卡系統，便是一個典型的射頻識別系統[7-9]。生活中，很多時候，人們會將公交卡和其他卡(比如：身份證、銀行卡等)放在一起，上車的時候，可能不小心誤將其他的卡當作是公交卡拿出來，進行刷卡乘車，但最終會刷卡失敗，或可能導致一些不懷好意的人將卡里面的錢盜走，使得運用過程中存在一定的安全隱患[10-11]。為能夠保障資金或隱私信息的安全，專家學者設計了眾多的協議來解決該問題。

文獻[12]提出一種輕量級的認證協議，對協議進行分析，但協議最后一步發送的消息未進行任何加密操作，使得攻擊者可以監聽獲取，從而發起重放攻擊，同時截獲該消息的攻擊者也可以發起假冒攻擊，協議存在嚴重的安全不足。文獻[13]提出能夠抵抗重放攻擊及假冒攻擊等攻擊類型，但因為協議的讀寫器端沒有存放前后兩次會話的共享密鑰，使得協議無法抗攻擊者的去同步化攻擊。文獻[14]采用哈希函數設計一個輕量級的協議，但無法抗暴力破解攻擊。鑒于本文篇幅有限等因素，更多的協議可以參考文獻[15-18]。

本文在總結眾多協議基礎之上，結合較好的協議框架結構，給出一個改進的協議。改進的協議從發送信息的角度出發，采用只發送密文而不發送明文的方式，使得攻擊者無法直接獲取任何明文信息；同時更換常見類型的加密算法，采用創新型的加密算法，即循環移動置換運算算法，可得知該算法使得攻擊者無法知曉的參數數量增加，從而導致攻擊者無法窮舉隱私信息，具備較好的安全性能。

1 協議設計

1.1 協議缺陷的分析

張興等在2018年基于哈希函數設計一個認證協議，具體步驟可以見文獻[14]。通過分析協議通信步驟，在協議的第二步驟中，協議存在安全不足，具體分析如下。

原協議的第二步驟中，標簽將隨機數i以明文的方式傳送給讀寫器，同時在第二步驟中也會將Hm(ID,i)信息發送給讀寫器。當攻擊者監聽該通信過程時，可以獲取上述兩個消息。此時攻擊者可以結合Hm(ID,i)、i對Hm(ID,i)進行窮舉攻擊。在Hm(ID,i)中，哈希函數加密算法對外公開，i明文傳送，也是對外公開，只有ID是攻擊者不知道的，攻擊者可以進行窮舉攻擊，窮盡所有可能的ID的取值，從而破解出標簽的隱私信息標識符ID的值。當攻擊者得到標簽標識符ID的值之后，可以更進一步分析竊聽獲取到的消息，獲取更多的隱私信息，可以發起其他類型的攻擊，比如假冒攻擊。

鑒于上述分析，張興等設計的協議存在多種安全缺陷，無法提供較高的安全性能。本文協議在其協議框架基礎上給出一種改進的協議。首先改進的協議將不再采用明文發送任何消息的方式，密文發送消息，攻擊者即便是可以截獲，也無法獲取有用信息；其次，改進的協議摒棄哈希函數加密的算法，采用創新型的循環移動置換運算算法對信息加密，該算法雖然也對外公開，算法在實現過程中用到加密參數的漢明重量值，該值是因加密參數的變動而變動，因此攻擊者雖可知加密算法如何實現，但因算法中存在變動的參量值，因此攻擊者無法窮盡任何隱私信息。

1.2 循環移動置換運算實現

循環移動置換運算用Cmp(A，B)(Cyclic Moving Permutation)表示，可以按照如下描述實現：

第一步：A、B、A1、B1都是長度為L位的二進制序列，為便于后續計算，要求L取值為偶數。

第二步：用H(A)、H(B)分別表示A、B二進制序列的漢明重量值。

第三步：循環移動操作，循環移動的規則是：當H(A)≥H(B)時，二進制序列B向左移動H(A)位，得到二進制序列B1；當H(A)

第四步：對第三步循環移動得到的結果進行置換操作，置換操作的規則是：

當H(A)≥H(B)時，對B1進行置換，即：從左向右遍歷A，當A的第i位為0時，B1的第i位發生置換(即0變1，1變0)；當A的第i位為1時，B1的第i位不變。

當H(A)

第五步：按照上述四步操作即可得到循環移動置換運算的最終結果。

通過下面兩個例子來展現H(A)≥H(B)和H(A)

取值L=12，A=100111001101，B=011010100001，可以得出：H(A)=7，H(B)=5，滿足H(A)≥H(B)的條件。運用上面的定義，得到：B1=000010110101，Cmp(A，B)=011010000111，具體步驟如圖1所示。

圖1 循環移動置換運算(H(A)≥H(B))

取值L=12，A=010010100001，B=110010110110，可以得出：H(A)=4，H(B)=7，滿足H(A)

圖2 循環移動置換運算(H(A)

1.3 符號含義

給出改進的協議中涉及到的符號含義。

Reader：讀寫器；

Tag：標簽；

ID：標簽的標識符；

K：讀寫器與標簽的共享秘密值；

Knew：讀寫器與標簽的本輪共享秘密值；

Kold：讀寫器與標簽的上輪共享秘密值；

a：讀寫器產生的隨機數；

b：標簽產生的隨機數；

⊕：異或運算；

Cmp(A，B)：循環移動置換運算。

1.4 協議步驟

改進的協議認證流程如圖3所示。

圖3 協議流程

協議在初始化階段完成各個通信實體的賦值操作，讀寫器中存放ID、Knew、Kold，標簽中存放ID、K。具體通信過程如下：

步驟1讀寫器產生隨機數a，計算N1和N2，將Ask、N1、N2發送給標簽，開始協議。其中：N1=a⊕ID；N2=Cmp(a，ID)。

步驟2標簽收到消息，計算隨機數a=N1⊕ID，再將a代入計算N2′=Cmp(N1⊕ID，ID)，接著對比兩者值。

不等，協議停止。相等，標簽解密隨機數a正確，然后標簽產生隨機數b，計算N3和N4，最后將N3、N4發給讀寫器。其中：N3=a⊕b，N4=Cmp(b，K)。

步驟3讀寫器收到消息，計算隨機數b=a⊕N3，再將b以及本輪共享秘密值Knew代入計算N4′=Cmp(a⊕N3，Knew)，然后對比兩者值。

相等，可進行(1)。不等，將再次把b和上輪共享秘密值Kold代入計算N4″=Cmp(a⊕N3，Kold)，然后對比兩者值。如果仍不等，標簽未能通過讀寫器驗證，協議停止；相等，可進行(1)。

(1) 讀寫器計算N5，接著開始更新信息Kold=Knew、Knew=Cmp(a，b⊕K)，最后將N5發送給標簽。其中：N5=Cmp(a，b)。

步驟4標簽收到消息，結合之前步驟中計算得到的信息計算N5′=Cmp(a，b)，然后對比計算所得值與接收到值是否相等。

不等，協議停止。相等，標簽一端開始更新信息K=Cmp(a，b⊕K)。

至此，通信實體之間的認證完成。

2 安全性分析

(1) 雙向認證。協議需要提供最基本的雙向認證需求，改進的協議可以保障。標簽首次通過N1和N2對信息發送方的讀寫器進行驗證；讀寫器通過N3和N4對標簽進行驗證；標簽再次通過N5對讀寫器進行驗證。通過上述的三次驗證，可以使得讀寫器與標簽之間實現彼此的認證。

(2) 假冒攻擊。攻擊者假裝讀寫器向標簽發消息，攻擊者不知道標簽ID，無法正確計算N1值，N2的值也無法正確計算。標簽收到錯誤的N1和N2之后，通過計算即可識別攻擊者假冒。

攻擊者假冒標簽給讀寫器發消息，攻擊者不知道讀寫器與標簽的共享秘密值K，無法正確計算N3和N4。讀寫器收到N3和N4之后，讀寫器簡單計算即可識別攻擊者假冒。

按照上述講述，攻擊者偽裝讀寫器及標簽都失敗。

(3) 定位攻擊。如果通信過程中標簽發送的消息值一致沒有變動，則攻擊者通過長時間的監聽可以對標簽的位置發起定位攻擊。改進的協議在所有信息加密過程中混入隨機數，使得每個信息每次的計算值都是不同的；同時隨機數產生的時候因自身具備無法預測性和不重復性，使得攻擊者無法追蹤定位標簽的位置。

(4) 窮舉攻擊。改進的協議任何一個通信消息加密過程中都至少有兩個參數的數值是攻擊者不知道的，很多時候可能還有更多的參量的值是攻擊者不知道的。以攻擊者截獲N1和N2為例子，進行窮盡攻擊分析，由N1可計算a=N1⊕ID，再將a代入計算N2′=Cmp(N1⊕ID，ID)。在N2′中，看似好像只有ID的值不知道，攻擊者以為自己可以窮盡ID的值，從而獲取標簽的隱私信息；但實則攻擊者根本無法窮盡，原因在于：根據本文循環移動置換運算Cmp的實現描述，可以很清楚地得出算法加密過程中用到兩個參數的漢明重量值，而對于攻擊者來說N1⊕ID和ID這兩個參數的漢明重量值都是不知道的，再加上ID的值也不知道，這樣攻擊者就至少有三個量的值不知道，因此攻擊者無法窮盡任何有用的隱私信息。

(5) 重放攻擊。在監聽獲取一輪會話信息后，攻擊者可以重放該信息，以通過其中一方通信實體的認證，但在改進的協議中，攻擊者無法成功。原因在于：所有消息加密過程中用到隨機數，每個消息都會因為每輪用到的隨機數不同，而使得每輪中用到的消息值也是不同的，從而可以保障消息的新鮮性。當攻擊者重放上一輪監聽獲取的消息時，本輪通信過程中用到的隨機數已發生變更，相對應的消息的值也發生變化，攻擊者重放消息失敗。

(6) 異步攻擊。讀寫器一端存放有前后兩輪會話用到的讀寫器與標簽的共享秘密值，因此可以抵抗異步攻擊。首先讀寫器會用本輪的共享秘密值驗證標簽，驗證失敗的時候，讀寫器會調用上輪的共享秘密值再次對標簽進行驗證。通過前后兩次的驗證，可以恢復標簽與讀寫器之間暫時失去的一致性。

3 性能分析

選擇標簽作為研究對象，進行不同協議之間的計算量等性能分析，具體如表1所示。

表1 協議之間的性能比對結果

表1中：Ma表示位運算(常見的位運算有異或運算、與運算等)的計算量；Mb表示循環移動置換運算的計算量；Mc表示產生隨機數的計算量；Md表示哈希函數的計算量；Me表示模運算的計算量。

同時設定各個參數的長度以及通信消息的長度全為L長度，則標簽一端因需要存放共享秘密值和標識符，故存儲量為2L；標簽與讀寫器之間一輪完整會話包含N1、N2、N3、N4、N5五個消息，故通信量為5L，其中步驟1中的Ask消息所在空間量極小，可忽略。

協議在步驟2中計算隨機數a用到一次位運算，計算N2′用到一次循環移動置換運算，計算消息N3時第二次用到位運算，計算消息N4時用到第二次循環移動置換運算。在步驟4中計算N5′時第三次用到循環移動置換運算，最后更新共享秘密值時第四次用到循環移動置換運算。同時標簽在步驟2中將產生隨機數b，故本文協議標簽一端計算量為2Ma+4Mb+1Mc。

綜上所述，本文協議在計算量角度占有一定的優勢，能夠極大程度上減少和降低系統中整體計算量，在通信量及存儲量角度與其他協議相當，同時本文協議能夠彌補其他協議存在的不足之處，故協議具備一定的使用價值。

4 結 語

針對基于哈希函數提出的協議，本文分析張興等所提協議的不足，給出改進的協議。本文協議首先采用密文發送信息的方式，迫使攻擊者無法直接獲取任何明文信息；其次協議運用創新型的加密算法對信息進行加密，即循環移動置換運算加密方法，該加密方法將會在加密過程中依據加密參數自身漢明重量值的不同，而進行向左或向右不同方向的循環移動，增加攻擊者破解難度，增多攻擊者不知道的參數數量。將協議和其他協議進行安全及性能多角度的分析，得出本文協議不僅可以彌補原協議存在的安全不足問題，同時可以極大程度上降低標簽的整體計算量，適用于現有的系統中。