50、移动支付电视系统与运输集装箱监控的安全认证协议解析

移动支付电视系统与运输集装箱监控的安全认证协议解析

移动支付电视系统匿名认证协议

在移动支付电视（MPTV）系统中，安全认证是保障用户权益和系统正常运行的关键。下面详细介绍一种匿名认证协议的流程和安全特性。

认证流程

1. HES 操作 ：HES（Home Entertainment Server）选择一个认证会话密钥 τi，并进行如下计算：
   • 计算 Di = h(P’||CIDi||T2||ni) 和 Fi = θi⊕h(P’||T2||ni)。
   • 广播相互认证消息 M2 = {Di, Ei, T2}。
2. 用户端（Ui）操作 ：在时间戳 T3 收到消息 M2 后，Ui 会进行以下操作：
   • 检查 (T3 - T2) ≤ ∆T 的有效性。若不满足，Ui 终止请求；否则，继续下一步。
   • 计算 Di’ = h(P||CIDi||T2||ni)，并检查 Di’ 是否等于 Di。若相等，Ui 接受 HES 的相互认证请求。
   • Ui 计算认证会话密钥 τi = Fi⊕h(P||T2||ni)，以获取 HES 的新服务。

安全分析

该协议针对两种重要攻击进行了安全保障，具体分析如下：
1. 抵抗密码猜测攻击 ：密码猜测攻击是指从计算机系统存储或传输的数据中恢复密码的过程。若攻击者获取拦截消息 M1 = {Ri, Ci, CIDi, T1, ni} 并窃取用户的智能卡 {K, R, Q, b}，在不知道用户密码 PWB 的情况下，无法计算出值 P = Q⊕h(PWB⊕h(PWB))。因此，该协议能够抵抗丢失智能卡情况下的密码猜测攻击。
2. 抵抗假冒攻击 ：假冒攻击也称为欺骗攻击，攻击者通过伪造数据冒充他人以获取非法利益。当攻击者尝试在丢失智能卡的情况下进行假冒攻击时，由于不知道用户密码 PWB，无法计算出值 P = Q⊕h(PWB⊕h(PWB))，也无法从 K = h(IDi⊕h(PWB)) 计算出合法用户的标识 IDi。所以，该协议能抵抗丢失智能卡情况下的假冒攻击。

这个匿名认证协议仅使用哈希操作来完成相互认证请求，具有高效性、匿名性、相互认证和隐私保护等特点，适合对安全性要求较高且低功耗的设备应用。

运输集装箱监控协议

自美国 9·11 恐怖袭击以来，智能集装箱因其在集装箱货运中的高效性和安全性受到广泛关注。下面介绍相关的运输集装箱监控协议。

相关背景

智能集装箱是指配备 RFID 或传感器设备的集装箱，可利用 RFID/USN 技术实时监测集装箱及其货物的状态变化，并通过无线网络或卫星将最新信息传输给货主或其他授权方。同时，它还能根据自身或相关方的远程指令调整设备设置，防止货物受损。

已有协议分析

1. MASC - ST 协议 ：2007 年，Lauf 和 Sauff 提出了 MASC - ST 协议，用于将集装箱内传感器收集的敏感信息安全传输到控制信息访问的可信第三方。该协议基于共享秘密 s，操作步骤如下：

   • 当 MASC 单元要向远程数据库服务器发送状态更新时，生成随机数 NA 并发送给服务器。
   • 服务器生成随机数 NB，计算 hKM(NA, NB) 并发送给 MASC 单元，其中 KM = F(s, 0|NA|NB)。
   • MASC 单元验证 hKM(NA, NB) 后，用加密密钥 KE 加密第一条消息 M，并发送 EncKE(M), C, hKM(EncKE(M)|C) 给服务器，其中 KE = F(s, 1|NB|NA)，计数器 C 初始化为 ‘0001’ 并为每条消息递增。
   • 服务器验证 hKM(EncKE(M)|C) 后，解密 EncKE(M) 得到消息 M，并发送 hKM(C) 给 MASC 单元。
   • MASC 单元验证 hKM(C) 后，标记状态更新并从队列中移除。若队列中无消息，终止消息传输。

   该协议使用的符号及其含义如下表所示：
   | 符号 | 描述 |
   | ---- | ---- |
   | A | MASC - UNIT in container (Container unit) |
   | B | Remote database server |
   | s | Secret shared between A and B |
   | NA, NB | Random nonces |
   | C | Sequence counter |
   | M | Status information of container |
   | hK(x) | MAC under key K |
   | EncK(x) | Symmetric encryption function under key K |
   | KE | Session key for symmetric cipher |
   | KM | Session key for MAC |
   | F(x) | Strong pseudo - random one - way function |
   | | | Concatenation |

   其认证和密钥协商流程如下 mermaid 图所示：

graph LR
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    A(MASC - UNIT in Container):::process -->|NA| B(Remote Database Server):::process
    B -->|NB, hKM(NB, NA)| A
    A -->|EncKE(M), C, hKM(EncKE(M)|C)| B
    B -->|hKM(C)| A

2. Lee 改进的 MASC - ST 协议 ：Lee 指出 MASC - ST 协议存在一些安全问题，如易受反射攻击，远程数据库服务器无法确定通信发起方身份，导致无法使用正确的共享秘密值。为解决这些问题，Lee 提出了改进协议，其流程如下：

   • MASC 单元生成随机数 NA。
   • 服务器生成随机数 NB，计算 hKM(B, NB, NA) 并发送给 MASC 单元。
   • MASC 单元验证 hKM(B, NB, NA) 后，加密消息 M 并发送 EncKE(B|M), C, hKM(A|EncKE(B|M)|C) 给服务器。
   • 服务器验证并解密消息，发送 hKM(B|C) 给 MASC 单元。
   • MASC 单元验证 hKM(B|C)。

   改进协议的流程 mermaid 图如下：

graph LR
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    A(MASC - UNIT in Container):::process -->|A, NA| B(Remote Database Server):::process
    B -->|B, NB, hKM(B, NB, NA)| A
    A -->|EncKE(B|M), C, hKM(A|EncKE(B|M)|C)| B
    B -->|hKM(B|C)| A

然而，上述两个协议都未考虑集装箱的匿名性，攻击者可以轻易追踪集装箱的运输路线。

移动支付电视系统与运输集装箱监控的安全认证协议解析

新型安全运输集装箱监控协议

为解决现有协议未考虑集装箱匿名性的问题，提出了一种新的安全运输集装箱监控协议，该协议能抵抗各种攻击并保证集装箱的匿名性。

协议前提

设 q（如 160 位）和 p（如 1024 位）为素数，满足 p = rq + 1（r 与 q 互质），操作在循环群 G 中进行，该群上离散对数问题和 Diffie - Hellman 问题难解。设 g 是 Gq（Gq 是乘法群 Zp* 的 q 阶子群）的生成元，G、g、q 和 p 为公开信息。在集装箱运输前，集装箱单元需存储机密信息 y = gx mod p 和 s，其中 x 是数据库服务器的秘密密钥，s 是集装箱单元与数据库服务器共享的秘密值。

协议流程

1. 集装箱单元操作 ：当集装箱单元要向远程数据库服务器发送状态更新时，生成随机数 a ∈ Gq，计算 XA = ya = gax mod p，并将 XA 发送给服务器。
2. 数据库服务器操作 ：服务器收到 XA 后，生成随机数 b ∈ Gq，计算 XB = gb mod p，KB = (XA)x - 1 = gab mod p，YB = h(B, KB, XA, XB)，然后将 XB、YB 发送给集装箱单元。
3. 集装箱单元再次操作 ：集装箱单元计算 KA = (XB)a = gab mod p，验证 YB 是否等于 h(B, KA, XA, XB)。若相等，计算 YA = EKA(B, A, s, M) 并将 YA 发送给服务器。
4. 数据库服务器最终操作 ：服务器解密 YA 并验证 B、A、s、M，若无误，将消息 M 存储到数据库。

协议流程的 mermaid 图如下：

graph LR
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    A(Container UNIT):::process -->|XA| B(Database Server):::process
    B -->|XB, YB| A
    A -->|YA| B

安全分析

1. 集装箱匿名性 ：在集装箱货物运输中，集装箱匿名性至关重要。在该协议执行过程中，即使攻击者以各种方式收集协议执行消息，由于碰撞免哈希函数的加密强度以及离散对数问题和 Diffie - Hellman 问题的难解性，攻击者很难得知集装箱的身份。
2. 前向保密性 ：完美前向保密性是指即使长期密钥泄露，攻击者也无法推导出以前的会话密钥。在该协议中，长期密钥为 x 和 s。假设这些长期密钥被泄露，攻击者试图利用它们从过去通信会话中收集的信息推导以前的会话密钥，但由于碰撞免哈希函数的加密强度以及离散对数问题和 Diffie - Hellman 问题的难解性，攻击无法成功。

总结

移动支付电视系统的匿名认证协议通过合理的设计和计算，有效抵抗了密码猜测攻击和假冒攻击，为用户提供了高效、安全且保护隐私的认证方式，适用于对安全性要求高且低功耗的设备。而运输集装箱监控协议从最初的 MASC - ST 协议，到 Lee 改进的协议，再到新型安全运输集装箱监控协议，不断完善和发展。新型协议在继承前两者优点的基础上，解决了集装箱匿名性的问题，为集装箱运输的安全和隐私保护提供了更可靠的保障。随着技术的不断进步，这些安全认证协议将在各自的领域发挥更重要的作用，推动相关行业的安全稳定发展。