改進的物聯網中電子票據安全認證協議

鄭習武 趙雪鋒

1(江蘇財會職業學院 江蘇 連云港 222061) 2(江蘇海洋大學計算機工程學院 江蘇 連云港 222061)

0 引 言

進入21世紀之后，科學技術有了飛躍的發展，許多傳統的技術得到了廣泛的發展；同時伴隨不斷有新技術的產生，傳統的技術更進一步推廣和運用，比如射頻識別技術[1-2]。許多傳統的系統因當時科學技術的限制等各種因素，使得很多好的技術并沒有運用上。但現在科技發展飛快，更多的科學技術與傳統的系統相結合，從而產生意想不到的效率和收益，比如將射頻識別技術運用到傳統的電子票據系統中[3-4]。

在傳統的電子票據系統中，并沒有與現在大規模運用的射頻識別技術相結合，從而使得傳統的電子票據系統沒有那樣令人滿意的工作效率以及令人期待向往的收益[5-6]。在將射頻識別技術運用到傳統電子票據系統中后，人們發現，不僅可以提高工作效率的同時，人們的收益得到較大幅度的提高。但推廣運用過程中，相關的一些問題也逐漸展現出來，其中最令人值得關注的問題當屬安全問題，甚至安全問題已經成為制約電子票據系統更進一步發展的關鍵性因素[7-9]。為確保電子票據系統中讀卡器與電子標簽通信時發送消息的安全性，需要設計出安全的認證協議或安全的認證方案，以此抵抗可能存在的攻擊。

文獻[10]采用PUF方法設計出一個方案，但攻擊者可通過監聽等手段獲取通信消息，從而進行重放消息，經過若干次消息重放，通信實體之間將失去一致性，攻擊者異步攻擊成功。文獻[11]結合多種框架結構設計一個方案，但通信協議中部分信息未進行加密傳送，將導致通信實體之間無法實現對彼此的認證，從而使得攻擊者有假冒攻擊的可行性。文獻[12]提出一種超輕量級的方案，但方案沒有考慮到攻擊者可能發送物理攻擊，從而破解出部分隱私信息，再根據破解出的隱私信息更進一步推導出更多的隱私信息，從而發起假冒攻擊。文獻[13]提出一種使用在電子票據系統中的方案，但對協議安全性分析，發現協議存在較多問題，其中一個重點問題是協議無法抵抗假冒攻擊。鑒于篇幅有限，更多的方案或協議可以參見文獻[14-18]。

本文在總結現有眾多協議存在安全缺陷的基礎之上，在針對文獻[13]中方案具體分析之后，提出一種改進的適用于電子票據系統中的超輕量級安全認證協議。協議需滿足用戶對安全的基本要求，因此協議采用一種創新性的加密算法，即采用循環移動置換運算實現對信息的加密，該加密算法具備較高的安全性；同時為使協議能夠在現有的低成本的系統中運用，需要加密算法的計算量滿足低要求，通過位運算實現的循環移動置換運算算法則較好地滿足這一要求。通過各種不同角度的分析，協議具備良好的安全需求，同時滿足現有系統對計算量的要求。

1 安全認證協議

1.1 原協議的安全分析

王悅等[13]提出的安全協議具備一定的實用價值，但無法提供安全等級較高的需求。協議主要存在兩個方面的安全不足，具體分析如下。

第一個方面的安全不足：當Reader給Tag發送一個單獨的消息P時，使得協議出現第一個安全缺陷或安全不足。按照原協議的描述，Tag在收到消息P后，通過相對應的逆置換變換可以得到Reader產生的隨機數R1；待Tag得到隨機數R1后，進行其他信息的計算。該過程中，Tag在計算得到R1后，并沒有對計算所得到的R1正確性進行校驗。因此，Tag并沒有完成Tag對Reader的認證，從而所產生的后果是，只有等待下一步驟中，即Reader收到Tag發送來的V和R′消息后，通過驗證這兩個消息的證偽，才可以決定協議是否繼續。當Tag未通過Reader的驗證，表明之前的步驟中，協議已經出現安全缺陷，但王悅設計的協議并沒有在之前的步驟中結束協議。

第二個方面的不足：協議無法抵抗假冒攻擊，具體的分析：在Reader與Tag之間最后的一次通信過程中，Tag只是將信息“OK”/“ON”發送給Reader，而Reader收到信息后，無須進行任何的計算，即無法實現Reader對Tag的認證。因此，攻擊者可以在Reader發送消息R″之后，切斷Reader與Tag之間的后續通信，攻擊者此時假冒成標簽，向Reader發送“OK”/“ON”消息，即可蒙混Reader的認證。基于上述闡述，故協議無法抵抗假冒攻擊。

1.2 改進協議符號描述

文中的安全認證協議涉及到多個不同的符號，下面給出一些符號的含義：

Reader表示讀卡器；

Tag表示電子標簽；

ID表示電子標簽的標識符；

ID_L表示電子標簽的標識符左半邊；

K表示Reader與Tag之間的共享秘密值；

Kold表示Reader與Tag之間上次通話的共享秘密值；

Knew表示Reader與Tag之間當前通話的共享秘密值；

a表示讀卡器產生的隨機數；

b表示電子標簽產生的隨機數；

&表示與運算；

⊕表示異或運算；

Cmp(A，B)表示循環移動置換運算。

1.3 循環移動置換運算的實現

循環移動置換運算用Cmp(A，B)(Cyclic Moving Permutation，Cmp(A，B))表示，可以按照如下描述實現：

步驟一A、B、A1、B1都是長度為L位的二進制序列，為便于后續計算，要求L取值為偶數。

步驟二用H(A)、H(B)分別表示A、B二進制序列的漢明重量值。

步驟三循環移動操作，循環移動的規則是：當H(A)≥H(B)時，二進制序列B向左移動H(A)位，得到二進制序列B1；當H(A)

步驟四對第三步循環移動得到的結果進行置換操作，置換操作的規則是：

當H(A)≥H(B)時，對B1進行置換，即：從左向右遍歷A，當A的第i位為0時，B1的第i位發生置換(即0變1，1變0)；當A的第i位為1時，B1的第i位不變。

當H(A)

步驟五按照上述4個步驟操作即可得到循環移動置換運算的最終結果。

通過下面兩個例子來展現H(A)≥H(B)和H(A)

取值L=12，A=100111001101，B=011010100001，可以得出：H(A)=7，H(B)=5，滿足H(A)≥H(B)的條件。運用上面的定義，得到：B1=000010110101，Cmp(A，B)=011010000111，具體步驟可見圖1。

取值L=12，A=010010100001，B=110010110110，可以得出：H(A)=4，H(B)=7，滿足H(A)

1.4 改進協議的步驟描述

本文設計的安全認證協議流程見圖3。

本文安全認證協議的步驟描述如下：

步驟一Reader產生隨機數a，并計算A和B，同時將A和B發送給Tag，從而開啟認證協議。

其中A=ID⊕a，B=Cmp(ID_L,a)。

步驟二Tag收到A和B信息，由A和ID計算得到隨機數a；同時結合ID_L，按照Reader端計算B相同的方法，計算得到一個B′，對比兩者值是否相等。

若不等，協議停止。若相等，Tag產生隨機數b，再計算E和F，同時將E和F發送給Reader。

其中a=A⊕ID，B′=Cmp(ID_L,A⊕ID)，E=(ID&a)⊕b，F=Cmp(a,b⊕K)。

步驟三Reader收到E和F信息，由E、ID和a計算得到隨機數b；結合K，按照相同的計算方法得到一個F′，再對比兩者值是否相等。

若不等，用Kold代替Knew，再次按照相同的計算方法得到一個F″，在比對二者值是否相等。仍不等，協議停止；若相等，表明電子標簽與讀卡器之間先前存在暫時的信息不一致情況，經過本次通信會話認證之后，兩者之間的消息恢復一致性，Reader計算G，同時更新信息：Kold=Knew、Knew=Cmp(K,b)，最后將G發送給Tag。

若相等，Reader計算G，同時更新信息：Kold=Knew、Knew=Cmp(K,b)，最后將G發送給Tag。

其中b=(ID&a)⊕E，F′=Cmp(a,((ID&a)⊕E)⊕k)，F″=Cmp(a,((ID&a)⊕E)⊕Kold)，Knew=Cmp(K,b)，G=Cmp(a,b)。

步驟四Tag收到G信息后，按照相同的法則計算得到一個G′，比較兩者值是否相等。若不等，協議停止；若相等，Tag開始更新信息：Knew=Cmp(K,b)。

其中G′=Cmp(A⊕ID,b)。

本文中設計協議與王悅等[13]中的協議進行比較，其優勢在于：本文協議在傳送的每個都可以完成相互之間的認證，即每步通信過程中信息接收者可以驗證信息發送者的真偽；同時協議采用一種創新型的加密算法，循環移動置換運算的實現包含移動和置換兩步操作，破解難度遠大于原協議中加密的算法，從而攻擊者破解難度更大，使得協議具備更高的安全性。

2 安全認證協議安全性分析

(1) 重放攻擊。攻擊者監聽獲取某輪通話信息，然后隨之重放監聽所獲得信息，以企圖通過某一通信實體的認證。文中設計協議為能夠抵抗重放攻擊，加密過程中信息均涉及到隨機數，前后兩輪通信用到的隨機數具有隨機性、不可預測性特征，使得當攻擊者重放上輪監聽獲得信息時，本輪通話中用到的加密隨機數已發生變更。故協議具備抗重放攻擊的能力。

(2) 假冒攻擊。通信系統中包含讀卡器和電子標簽，從理論出發分析，攻擊者可能偽裝成任一通信實體進而發起假冒攻擊。攻擊者偽裝成讀卡器時，因缺少通信共享的秘密值，無法正確計算A和B消息的數值，待電子標簽進行簡單計算驗證，即可識別攻擊者假冒讀卡器發送消息。同理，當攻擊者偽裝成電子標簽時，缺少電子標簽的標識符，無法正確解析出讀卡器產生的隨機數，從而更進一步無法計算得到正確的E和F消息的數值。故協議具備抗假冒攻擊的能力。

(3) 異步攻擊。攻擊者通過某些手段使得讀卡器與電子標簽之間通信用到的共享秘密值失去一致性，從而使得兩者之間無法進行正常的通信。文中協議為能夠抵抗攻擊者發動的異步攻擊，在讀卡器一端存放前后兩輪會話用到的共享秘密值，即讀卡器先用當前共享秘密值驗證電子標簽，當且僅當當前共享秘密值無法驗證出標簽真偽時，立刻用上輪的共享秘密值代替當前的共享秘密值再次對電子標簽進行驗證，從而恢復兩者之間的信息一致性。故協議具備抗異步攻擊的能力。

(4) 追蹤攻擊。攻擊者可以通過長時間的監聽手段獲取多輪的通信消息，當電子標簽發送給讀卡器的消息中存在某個消息的數值始終不變時，攻擊者可通過該數值對電子標簽發起位置攻擊。本文協議在電子標簽發送給讀卡器的所有消息加密過程中全部混入隨機數，從而可以確保前后多次通信信息數值不同，且無法提前預測，以此瓦解攻擊者的位置攻擊。故協議具備抗追蹤攻擊的能力。

(5) 窮舉攻擊。當攻擊者無法通過其他手段獲取隱私信息之時，更為直接的窮盡手段會被用上。此處選擇消息A=ID⊕a、B=Cmp(ID_L,a)為例子進行說明，本文協議可抗窮盡攻擊。在消息A中，攻擊者不知道ID和a的值，無法窮盡。在消息B中，攻擊者可以進行將A代入的方式得到B=Cmp(ID_L,A⊕ID)，該公式中A可通過監聽手段獲取，而從看似在上述公式中只有ID的值不知道，攻擊者以為可以窮盡，其實不然。根據本文前面對循環移動置換運算的描述可知：攻擊者同時也不知道加密兩個參數漢明重量的數值，這樣計算，相當于攻擊者有三個參數的數值不知道。因此無法窮盡B中包含的隱私信息，故協議具備抗窮盡攻擊的能力。

(6) 后向安全。攻擊者無法從監聽等手段獲取的通信消息中破解出之前會話用到的隱私信息，稱之為后向安全。本文協議用更新共享秘密值的方法，同時結合更新共享秘密值混入隨機數的思想，以此來抵抗后向安全。更新共享秘密值，可以使得每次會話用到的認證共享秘密值不同；更新秘密值過程中混入隨機數，可使得前后共享秘密值既有關聯，同時又是攻擊者無法逆推，因隨機數具備不可預測性及隨機性。故協議具備抗后向安全的能力。

本文設計的安全認證協議與其他協議安全性比較結果如表1所示。

表1 協議之間的安全性比較

3 安全認證協議性能分析

性能分析可以選擇讀卡器和電子標簽兩個通信實體進行分析，但相對于電子標簽來說，讀卡器具備較大的存儲空間和強大的計算能力，因此一般僅僅只是選擇電子標簽作為對象進行性能分析。電子標簽一端主要是計算量作為最為重要的因素進行分析，因存儲量這個指標一般相差不大，本文協議與其他協議性能比較結果如表2所示。

表2 協議之間的性能比對結果

表2中：pa表示產生隨機數的計算量；pb表示哈希函數的計算量；pc表示物理不可克隆PUF函數的計算量；pd表示偽隨機函數的計算量；pe表示模運算的計算量；pf表示交叉運算的計算量；pg表示位運算的計算量(位運算包括常見的與運算、異或運算等)；ph表示循環移動置換運算的計算量；pi表示循環移位運算的計算量；pj表示f加密函數運算的計算量；pk表示置換變換運算的計算量。

對本文協議標簽一端的計算量進行詳細分析：標簽一端產生一個隨機數b，用到一次pa計算量。標簽一端在計算a′時，第一次用到位“異或”運算；在后面計算消息E的過程中，會第二次用到位“與”運算以及第三次用到位“異或”運算，因此總共用到3pg計算量。標簽一端在計算B′時，會第一次用到ph計算量；再計算消息F時，會第二次用到ph計算量；在計算G′時，會第三次用到ph計算量；最后在更新共享密鑰Knew時會第四次用到ph計算量，因此總共用到4ph計算量。基于上述描述，文中協議標簽一端的總共的計算量為pa+3pg+4ph。

對文獻[13]中協議標簽一端的計算量進行詳細分析：標簽會產生一個隨機數R2，用到一次pa計算量。標簽在計算R1過程中，會第一次用到pk計算量；再計算消息V的過程中，會第二次用到pk計算量；最后再計算Tl過程中，會第三次用到pk計算量，因此總共用到3pk計算量。標簽一端在計算SID′過程中，會第一次用到pi計算量；再更新信息Kt過程中，會第二次用到pi計算量，因此總共用到2pi計算量。標簽一端在計算R′過程中，會第一次、第二次用到pj計算量；在計算R″過程中，會第三次用到pj計算量，因此總共用到3pj計算量。基于上述描述，文獻[13]中協議標簽一端總的計算量為pa+3pk+2pi+3pj。

其中文獻[10-12]中協議標簽一端的計算量在文獻[13]中已經有提及過，加之文中篇幅有限，故此處不再詳細闡述。

文中所提出的創新型的加密算法根據前文中的描述可得知，算法基于按位運算實現，算法實現過程中整體計算量屬于超輕量級的，計算量少于其他常見的加密函數(比如：哈希函數)；同時結合安全性分析，可得知本文加密算法具備較好的安全性，能夠提供系統所需要的安全需求。基于上述從安全性角度、性能分析角度闡述，本文設計算法能夠適用于當前電子票據系統中。

在上面的計算中，產生隨機數的計算量、哈希函數的計算量、物理不可克隆函數的計算量、偽隨機函數的計算量、模運算的計算量都屬于輕量級或重量級的運算，屬于計算量較大的，該類運算在協議中需盡量不用或盡量少用到。從表2的計算量角度對比可以得出，本文協議在計算量方面具備絕對的優勢，僅僅只用到產生隨機數一次輕量級的運算，其他計算都屬于超輕量級的運算，能夠使得通信實體中電子標簽一端的計算量得到較大幅度的降低。且協議還可以彌補其他協議存在的安全缺陷問題，具備一定的實際使用價值。

4 結 語

針對王悅等設計的電子票據系統中安全認證方案進行分析，得出認證協議具備一定的不足之處，即無法抗假冒攻擊。本文在該通信協議框架基礎之上，給出一種改進的電子票據系統中用到的超輕量級的安全認證協議。安全認證協議采用一種創新型的加密算法對信息進行加密，即循環移動置換運算。該加密算法基于位運算方式實現，因此能夠使得加密協議達到超輕量級的級別；同時循環移動置換運算會根據加密信息自身攜帶的漢明重量值進行不同的操作，攻擊者在不知曉加密信息漢明重量值的情況下，無法知曉算法采用哪種方式對信息進行加密，增大攻擊者的破解難度。將協議與其他不同協議進行比較，協議不僅可以彌補其他協議存在的安全缺陷，同時具備計算量低等特征，能夠適用于當前電子票據系統中。