门禁系统的零知识认证解决方案外文翻译资料

英语原文共 14 页，剩余内容已隐藏，支付完成后下载完整资料

安全高效的双重因素

门禁系统的零知识认证解决方案

文章摘要

基于通用芯片卡(如Mifare卡)的身份验证方案仍然非常流行，并应用于那些部署在关键的基础设施部门、大学、公司、图书馆、医院以及其他公共和私营机构的各种门禁系统中。一方面，基于这些被淘汰卡和加密协议的访问控制系统存在一些安全缺陷，容易受到攻击。另一方面，较新的身份验证方案通常需要许多复杂的加密操作，因此在用户身份认证的过程中，会在当前可编程智能卡上花费不切实际的时间。本文提出了一种基于可编程智能卡的快速访问控制系统和用户识别方案的安全、高效的双因素认证协议。我们的协议基于一种零知识的方法，它可以防止常见的攻击。此外，我们在现有的可编程智能卡上实现了该认证协议，验证了该协议的有效性和实用性。最后，我们将我们的解决方案与相关工作进行了比较，从计算和通信的角度展示了我们的解决方案所带来的改进。

1. 介绍

基于智能卡的身份验证协议是一种非常流行的协议，被应用在许多门禁系统中，在这些系统中，用户需要证明自己拥有智能卡。使用非接触式智能卡或有源射频识别(RFID)标签在各种使用接触式智能卡可能造成障碍的情况下非常实用。适用于使用非接触式智能卡的情况有道路收费、设施(工作地点、图书馆、医院、大学、停车收费处)的出入口、大门的门禁控制系统及身份识别系统，这些地方需要舒适和简便的使用方法。访问控制系统经常核查用户的凭证(密钥、私钥、密码、身份验证代码、用户id)，然后再决定用户对服务和资产的访问权限。这些存储在非接触式卡上的凭证可以通过无线电接口的标准ISO / IEC 14443来转录(感应卡读取距离升至10厘米)并且ISO / IEC 15693(名片读取距离升至1.5米)。然而,非接触式接口允许攻击者窃听和复制这些凭证。因此，认证过程应提供用户舒适性、简单易行性、快速验证性和安全属性如不可伪造性、可靠性、完整性、低容错率和隐私保护等。

许多基于芯片卡的访问控制系统仍然在使用旧的芯片卡，例如Mifare经典卡，这种卡可以轻易被复制、伪造、仿真或可被重放等攻击和其他攻击破坏(Garcia et al.， 2009)。例如，这篇论文(Henzl and Hanacek, 2016)表明Mifare DESFire卡方案的一些特性是不安全的。然而，目前一些基于JAVA Card OS、Net Card OS、Mul- tOS、Basic Card OS等平台的可编程智能卡提供了几种基本的加密方法(如DES、AES、SHA-1、SHA-2、ECDH、1024/2048位RSA)并且使我们能够使用更安全的身份验证协议。此外，Basic卡和MultOS卡还提供了模块化的算术运算和椭圆曲线运算。这些平台可以承载基于现代密码学的高级认证协议，如零知识协议、sigma协议和属性验证方案。然而，可编程卡是具有有限计算能力(1核，10兆赫)和有限内存(10 kB)的受限设备，因此这些设备不适合计算复杂和内存昂贵的身份验证方案(例如使用昂贵双线性配对操作的方案)。本文中我们提出了一种新颖的基于智能卡的身份验证方案，该方案采用了零知识认证(即改良的Schnorr签名方案 Schnorr, 1989)和椭圆曲线。这项工作的目标是提出一种解决方案，来使得在访问控制系统的过程中提供安全和有效的用户身份验证，以及在关键基础设施等受保护环境中部署的用户/事物识别方案。此外，我们在现有的可编程智能卡上实现了所提出的身份验证解决方案，测量了其性能，并分析了接触式和非接触式智能卡的通信延迟。为了证明该方法的效率更高，我们将其与相关工作进行了比较。通过被提供的安全性分析，我们证明了该解决方案可以防止各种常见的攻击。

本文的其余部分被整理成如下:在第2节中描述了相关工作和我们的贡献，然后在第3节中介绍了我们的身份验证解决方案。第4节给出了我们的定实现过程，第5节给出了协议的性能评估和安全性分析。

1. 相关工作及我们的贡献

基于智能卡的认证协议和解决方案有很多，可以用于智能电网中的门禁系统、身份识别系统、电子护照(Sinha, 2011)、远程控制程序和安全访问模块。

许多论文研究了基于智能卡和共享密码的用户认证方案，如陈等人(2011)、李(2011)、王和马等人(2012)、李等人(2012)、李等人(2013)和谢等人(2014)。许多基于用户密码、哈希函数和简易模块算术的简单高效的认证方案，保护了运用智能卡的用户认证过程。Madhusudhan和Mittal(2012)回顾了仅基于哈希函数和XOR操作的动态ID密码认证方案的安全特性。他们的分析表明，要达到所有的安全目标是很困难的。

相似的分析结果由Wang和Ma(2012)提供。他们提到了不使用公用密钥技术的身份验证方案的几个缺陷。此外，Wang and Wang (2014)， Wang and Wang(2015)将基于智能卡的密码认证方案的历史从1991年Chang提出的方案(Chang and Wu, 1991)映射到最近的方案。

例如，Jiang等其他人在2014年提出的方案(Xue et al.， 2014)。由于使用了对称密码学、哈希函数和简单的数学运算，这些方案是有效率的，但是这些方案通常是在一个break-fix-break-fix循环中开发的(Wang and Wang, 2015)。这些方案通常在发布几年后就会被成功攻破。例如，Song(2010)提出了一种基于先进智能卡的密码认证协议，随后，(Chen et al.， 2014)在论文中提出了该方案的几个漏洞(一种内部脱机猜测攻击)。因此，这些带有非防篡改智能卡的基于密码的身份验证方案不适合用于需要高安全级别的关键基础设施的安全访问控制系统(Alcaraz and Zeadally, 2015)。

最近，Wang和Xu(2017)分析了3种基于密码的非篡改智能卡远程用户身份验证方案。它们表明，许多方案没有达到一些关键的安全目标，并且会遭受离线字典攻击和伪装攻击。提出了一种可直接部署公开密钥算法的参考模型。

智能卡也有一些使用公共加密原语的认证方案并且这些方案用于认证各种情节中的用户/节点，如通过会话初始化协议(SIP)来保障的安全通信、无线传感器网络(WSN)中的安全通信、远程服务器访问和访问控制系统(tems)。例如Mishra et al.(2016)提出了一种带有基于椭圆曲线密码学(ECC)的SIP关键协议安全、高效的互认证方案。它们的登录和身份验证阶段由11个哈希函数和3个点乘法操作组成。与其他SIP认证密钥协议(AKA)方案相比，他们提出的方案在计算和通信开销方面是有效率的。

Yeh等人(2011)展示了他们基于纠错码的鉴定机制，这种机制应加强在传感器网络环境中认证过程的安全性。这些协议的核实和交互认证阶段总共需要11个哈希函数、4个点加法、6个点乘法和2个求幂运算。然而，智能卡端计算2点乘法、1个随机数生成、1点加法和4个哈希函数。Choi等人(2014)提出的另一种相似的协议在智能卡端只需要3个点乘和7个哈希函数。最近，Wu等人(2017)注意到Yeh等人和Choi等人的方案中存在一些缺陷。他们提出的认证方案需要在一个智能卡端对 Fp进行2次标量乘法， 1次对称加密和11个哈希函数。然而，谢等人(2017)的研究表明，吴的方案并不能抵抗模拟攻击。

此外，智能卡还有一些高度安全的认证方案，能提供先进的安全特性，例如用户隐私、属性认证、交互认证等认证和密钥协商，前向保密性。这些身份验证方案，如Hajny等人 (2015a)、Hajny等人(2014)、Camenisch和Van Herreweghen(2002)，由于使用了一些非对称操作，例如大整数的指数运算、乘法、双线性对，通常在计算上的代价非常昂贵。在当前可编程智能卡上，它们的身份验证过程通常需要500毫秒以上。例如，Hajny等人(2014)的1024位方案在MultOS ML3智能卡上需要2.9 s左右。认证密钥建立协议，如密码验证连接建立(PACE) (PAC, 2008;Hanzlik et al ., 2013),三方经身份认证的关键协议(3 paka)方案(杨等人 ., 2014),不透明度协议(Dagdelen et al ., 2013)和TP-AMP 协议(Kwon 2004)可以用于带智能卡的用户身份验证,而且这些协议更复杂,通常含有更多的昂贵的加密和数学操作。例如，Ullmann等人(2008)展示了两种基于密码的协议(PACE和TP-AMP)在智能卡上的实际显现。他们的PACE协议的实现大约需要945毫秒，TP-AMP协议的实现大约需要978毫秒。作者使用了带有NXPs高安全SmartMX芯片的非接触式java卡。然而，我们的工作目标是设计一套更安全、更有效率的智能卡认证解决方案，在现有的可使用智能卡上使用，最高可达500毫秒。

最近Teh等人(2017)提出了一种基于电话的身份验证解决方案，该方案使用了一个零知识的协议。这个身份验证过程基于Kurosawa和Heng(2004)提出的基于身份的身份验证过程。一个验证程序(即一个移动设备)计算1个模块化加法和2个模求幂运算。验证器在验证阶段计算2对双线性对、1个幂次和1个乘法。由于昂贵的配对操作，在1024位版本中应用的身份验证阶段，在联想K900手机和一台服务器上需要2744 ms。在身份验证解决方案中使用移动设备作为验证程序的工具可以提高认证效率，但是由于有各种攻击的存在，将用户私钥存储在移动设备中可能存在安全风险。通常，基于移动的方法应该使其较为安全，例如microSD卡、SIM卡(即智能卡)。表1总结了之前讨论的认证方法及其安全性和效率特性。本文提出了一种基于现有智能卡(Basic卡和MultOS卡)的高效、安全的用户认证方案。我们的认证协议能防止常见的攻击，并提供了一些安全特性，如可链接性和可追溯性，以便在访问控制系统中监控用户id。此属性允许将用户的活动链接至高度安全区域中。

2.1． 我们的贡献

在本文中，我们的身份验证解决方案以强大的加密原语为基础，这些原语可以在当前现成的可编程智能卡上实现。我们的解决方案使用的是带椭圆曲线的零知识协议(Schnorr方案)。用户必须证明只储存于其智能卡中的私人密钥。私人密钥是映射到公共用户ID，并且永远不会在我们的解决方案中留下任何一个安全存储(智能卡)。只有用户的智能卡才知道他/她用于身份验证的私人密钥。因此，假设智能卡提供了防止基本侧通道攻击的基本对策方法，并且私钥泄漏是几乎不可能的，那么克隆用户凭证是困难的。然而，如果攻击者能够入侵智能卡存储并获取用户的私钥，那么系统管理器就能够在访问控制系统中链接所有公共id并撤销已泄露的id(例如来自被盗卡的id)。此外，我们在两个智能卡平台，即基本卡和多工卡上，提出认证解决方案中的一种概念验证的实现。我们为智能卡端(Basic/MultOS)和验证端(带/不带安全访问模块- SAM)各实现了两个应用程序。我们展示了智能卡上的验证和通信过程的运行时长，并且证实了我们的解决方案对于与相关工作是有竞争力的。我们的性能评估证明了所提出的认证方案的高效性。

此外，我们的安全分析表明，这种解决方案可以防止当前的攻击。我们的解决方案为椭圆曲线提供了强大的安全级别(224位/256位/384位)，符合NIST 2017-2030及以后的推荐参数。我们相信，我们提出的解决方案提供了强大的安全性和实际的身份验证时长，以吸引当前基于非接触式智能卡的访问控制系统。

1. 所提出的解决方案

本节介绍使用的符号、原语、系统模型和拟议的身份验证协议。

• 1. 使用的符号和原语

我们采用离散对数的交互证明(PK)，即Schnorr的识别方案(Schnorr, 1989)。Schnorr的识别方案也是ISO/IEC 9798-5:2009的一部分，它指定了使用零知识技术的实体身份验证机制。我们的身份验证解决方案是基于改进过的的Schnorr方案，并使用椭圆曲线算法。利用椭圆曲线有助于将参数的大小保持在一个适度的水平上，从而提高了计算机的通信效率和运行费用。此外，我们使用两个随机值，并将知识的交互证明(来自验证者的随机挑战)和知识的非交互证明(证明方的随机值)结合起来，以提高我们的解决方案的安全性。

我们在G为E的基点的有限域Fp中，用椭圆曲线E的点。符号“·”表示模块乘法，“·”表示标量EC点乘法，“:”

意思是“这样”、“|”意味着“分裂”,“| |”表示值的“串联”,“ |x| ”是x的位长度并且“xisin; R{0, 1}l '是给定长度l.符号的随机封锁位串。

表2中定义了所提解决方案中使用的符号与参数。

表1 -基于智能卡的认证方法/示例摘要