（计算机科学与技术专业论文）基于aes的汽车免钥门禁认证技术研究.pdf

、 t 1 7 cr p 乙乙、ol 一 1，-i1叁 嘉麓0 i1 i d e n t l f i c a t i o nt e c hn o l o g yr e s e ar c hb a s e do n a e sf o ra u t o m o b i l ek e y l e s se n t r ys y s t e m s p e c i a l t y ：一c o m p u t e rs c i e n c ea n d t e c h n o l o g y _ m a s t e rd e g r e ec a n d i d a t e ：必鱼l i 堕g s u p e r v i s o r ： p r o f l i ul i a n h a o s c h o o lo fi n f o r m a t i o ns c i e n c e e n g i n e e r i n g c e n t r a ls o u t hu n i v e r s i t y c h a n g s h ah u n a np r c 儿ui洲2洲59jjjii 71y z，1a，、 、 原创性声明 本人声明，所呈交的学位论文是本人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了论文中特别加以标注和致谢 的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不 包含为获得中南大学或其他单位的学位或证书而使用过的材料。与我 共同工作的同志对本研究所作的贡献均已在论文中作了明确的说明。 作者签名：至丝日期_ 型! 年月上日 学位论文版权使用授权书 本人了解中南大学有关保留、使用学位论文的规定，即：学校 有权保留学位论文并根据国家或湖南省有关部门规定送交学位论文， 允许学位论文被查阅和借阅；学校可以公布学位论文的全部或部分内 容，可以采用复印、缩印或其它手段保存学位论文。同时授权中国科 学技术信息研究所将本学位论文收录到中国学位论文全文数据库， 并通过网络向社会公众提供信息服务。 作者签名：三坠导师签名：率眺坐年月上日 摘要 随着无线通信技术和信息安全技术的发展，免钥门禁技术被越来 越多的应用在汽车上。但现在市场上的各种汽车免钥门禁技术都存在 着一定的缺陷，本文就是研究如何将安全高效的身份认证技术应用于 汽车免钥门禁系统。 本文在简要介绍过相关基础知识后，介绍了一种应用于r k e 系 统的k e e l o q 单向认证技术。针对k e e l o q 密钥长度过短，加密算法被 破解以及采用固定密钥加密等缺陷，提出了一种基于a e s 的r k e 单 向认证协议。协议采用一个固定密钥和一个动态密钥的a e s 加密来 保证传输数据的安全性，利用同步码滚动来保证每次传输数据的不 同。随后分析了协议的安全性，接着，对协议进行的仿真模拟，证实 了认证过程中，传输数据的随机性，同时给出了协议在安全的工作参 数下的运算时间。 然后，介绍了r k e 的替代产品p k e 的相关知识。针对p k e 系 统的特殊性，把提出的单向通信认证协议改进以适应于挑战应答模式 的双向通信。改进的双向通信认证协议，采用l f 触发，r f 认证的 模式，并优化设计了l f 和r f 通信帧，每个数据传输阶段都采用双 因素来保障其安全性，且遥控钥匙只在匹配的汽车基站激活下开始工 作，延长了钥匙的使用寿命。 最后探讨了认证协议中需要进一步讨论的问题。 关键词遥控免钥门禁，被动免钥门禁，高级加密标准，身份认证， 挑战应答 厂一一 a bs t r a c t w i t ht h es w i f td e v e l o p m e n to fw i r e l e s sc o m m u n i c a t i o nt e c h n o l o g y a n di n f o r m a t i o n s e c u r i t yt e c h n o l o g y , t h ea p p l i c a t i o no fa u t o m o b i l e k e y l e s se n t r ys y s t e mi sm o r ea n dm o r ed e e pa n dw i d e r h o w e v e r , c u r r e n t t e c h n i q u e sw h i c h a r eb e i n ga p p l i e dt ov e h i c l e sa l w a y sh a v es o m ed e f e c t s t h i st h e s i sm a i n l yf o c u s e so ni d e n t i f i c a t i o nt e c h n o l o g yo fa u t o m o b i l e k e y l e s se n t r ys y s t e m f i r s t l y , s o m eb a s i ck n o w l e d g ea b o u tt h es e c u r i t yo fw i r e l e s s c o m m u n i c a t i o n s ，a e s sd e s i g np r i n c i p l e sa sw e l la st h ed y n a m i c p a s s w o r d a u t h e n t i c a t i o nw a si n t r o d u c e d a f t e r t h a t ，ad e t a i l e d i n t r o d u c t i o no fk e e l o qa u t h e n t i c a t i o nt e c h n i q u ea p p l i e dt oo n e - w a yr k e w a sg i v e n b e c a u s eo fs o m er e a s o n s ，s u c ha si t st o os h o r tk e yl e n g t h ， c o m p r o m i s e de n c r y p t i o na l g o r i t h m ，f i x e d - k e ye n c r y p t i o n ，a na e s b a s e d o n e - w a ya u t h e n t i c a t i o np r o t o c o lo ft h er k ew a sp r o p o s e d t h i s a p p r o a c hi nw h i c he n c r y p t i o no ft h ed a t ai sr e a l i z e db yam o d e lo fa e s c o m p u t e dw i t haf i x e dk e ya n dav a r i a b l ek e y a n du s i n gr o l l i n g s y n c h r o n i z a t i o nc o d et oe n s u r et h a te a c ht r a n s m i s s i o no fd a t ai sd i f f e r e n t f o l l o w e db ya na n a l y s i so ft h es e c u r i t ya g r e e m e n t t h e n ，t h es i m u l a t i o n o ft h ep r o t o c o lc o n f i r m e dt h er a n d o m n e s so ft h ed a t aw h i c ht r a n s m i t e di n t h ec e r t i f i c a t i o np r o c e s s a tt h es a m et i m e ，t h ec o m p u t a t i o n a lt i m ew h i c h i nas a f ew o r k i n gp a r a m e t e r sw a s g i v e n t h e n ，t h i st h e s i si n t r o d u c e dt h er e l e v a n tk n o w l e d g eo np k et o o kt h e p l a c eo fr k e f o rt h ep a r t i c u l a r i t yo fp k es y s t e m ，t h ep r o p o s e d o n e w a y a u t h e n t i c a t i o n p r o t o c o l w a s i m p r o v e d t o f i t t w o w a y i i i c o m m u n i c a t i o nw h i c hb a s e do na c h a n e n g e r e s p o n s e m o d e t h e i m p r o v e da u t h e n t i c a t i o np r o t o c o lc o m m u n i c a t e dw i t ht w ow a y sd e s i g n t h el fa n dr fc o m m u n i c a t i o nf r a m eo p t i m a l l y , a n dt h el fi su s e dt o a c t i v a t et h ek e y , t h er fi su s e dt oi d e n t i f i c a t i o n t h e r ea r et w of a c t o r st o g u a r a n t e et h es a f e t yo fe a c hd a t at r a n s m i s s i o np h a s e a n dt h ek e y sa r e o n l ya c t i v a t e db yt 1 1 em a t c h i n gc a r , w h i c he x t e n d st h el i f eo ft h ek e y 一 r l n a l l y , s o m et u r t h e rt o p i c sc o n c e r n i n gt h e s es c h e m e sw e r ec o v e r e d k e yw o r d sr e m o t ek e y l e s se n t r y , p a s s i v ek e y l e s se n t r y , a d v a n c e d e n c r y p t i o ns t a n d a r d ，i d e n t i f i c a t i o n ，c h a l l e n g e - r e s p o n s e i v 目录 摘要i a b s t r a c t i i i 第一章绪论1 1 1 论文研究的背景和意义1 1 2 汽车免钥门禁系统的研究现状3 1 2 1 国外研究现状3 1 2 2 国内研究现状5 1 2 3 存在的问题和本文的工作6 1 3 本文的结构概要和内容安排一7 第二章基础理论知识9 2 1 无线通信安全基础9 2 2a e s 1 0 2 2 1a e s 的设计原理1 0 2 2 2a e s 的性能分析1 5 2 3 身份认证16 2 3 1 静态口令身份认证16 2 3 2 动态口令身份认证1 6 2 4 本章小结18 第三章基于a e s 的单向通信r k e 认证协议1 9 3 1 编码字19 3 2 学习2 1 3 2 1 k e e l o q 协议的学习机制2 1 3 2 2 所提单向通信认证协议的学习机制2 4 3 3 加解密算法2 6 3 4 认证过程2 7 3 5 性能分析2 9 3 5 1 安全性分析2 9 3 5 2 仿真测试结果3 0 3 6 本章小结3 5 v 第四章基于a e s 的双向通信认证协议3 7 4 1p k e 系统的工作原理3 7 4 2 数据帧3 9 4 3 初始化4 2 4 4 认证过程4 3 4 4 1d s t 认证过程4 3 4 4 2 所提双向通信协议认证过程4 4 4 5 协议性能分析4 5 4 5 1 安全性分析4 5 4 5 2 性能分析及比较4 7 4 6 本章小结4 7 第五章总结与展望4 9 5 1 本文工作总结4 9 5 2 后续工作展望5 0 参考文献51 致谢5 7 攻读硕士学位期间主要研究成果5 9 v i 硕士学位论文 第一章绪论 第一章绪论 随着科学技术的发展，信息产业己成为推动各国经济迅速发展的重要支柱 之一。通信作为信息产业中的重要组成部分，发展尤为迅速，特别是无线通信 技术。无线通信是利用无线信号来进行信息交换的一种通信方式，它以其不用 架线、成本低及灵活等优点迅速赢得市场的认可。免钥门禁系统在汽车上的应 用就是无线通信技术的一个典型应用，但无线通信的开放性也带来了一个重要 问题就是安全问题。安全是人们对通信的基本要求。因此，如何保证安全的通 信成为一个需要迫切解决的问题，其研究具有重要的现实意义。 1 1 论文研究的背景和意义 基本的免钥门禁系统分为两部分，发送器( 典型的如遥控器) 和接收器( 典型 的如汽车) ，其通信方式分为单向通信和双向通信两种。基本的工作方式是：发 送器通过无线信号，在不与接收器进行物理接触的情况下传送命令。它最早是 应用在汽车车库门上，到8 0 年代初期，才首次作为几款轿车的选项功能出现在 大众面前【”】，因其便利性，到8 0 年代末9 0 年代初，汽车免钥门禁系统得到了 广泛应用，现在几乎9 0 以上的汽车都配备有该功能。免钥门禁系统在汽车上 的应用主要有以下三个方面：遥控免钥门禁系统( r e m o t ek e y l e s se n t r ys y s t e m ， r k e ) 及被动免钥门禁系统( p a s s i v ek e y l e s se n t r ys y s t e m ，p k e ) 、遥控免钥点火系 统( r e m o t ek e y l e s si g n i t i o ns y s t e m ，r r d ) 和发动机防盗锁止系统( i m m o b i l i z e r ， i m ) 。r k e 和p k e 用于控制车f - j ，r i g 用于控制启动或制动汽车，而h n 则是用 来控制引擎的。 免钥门禁系统的确方便了消费者，但同样也方便了小偷【1 j 。曾有报道说过这 么一个故事，美国有一人开车去超市买菜，用遥控器锁了车门后进去挑选东西， 五分钟之后出来，汽车就不翼而飞了。后来警察给出解释说，在事主用遥控器 锁车门的同时，小偷在旁边通过接收装置对遥控器进行了复制，从而不费吹灰 之力就偷走了汽车【2 1 。因此，各国的研究者在如何保证只有合法的用户才能控制 汽车这个问题上进行了不懈的努力。 在最早期的车库门开锁装置上，那个时候发送器还很简单，发送器发送一 个单一信号，车库门就予以回应【3 】。但随着这种装置的普及，这种简单性带来了 硕七学位论文 第一章绪论 一个很大的问题就是任何人都能开启任意车库门，因为它们用的是同一频 率。到了7 0 年代，这种免钥门禁系统变得稍微智能了一点，它引入了一个双列 直插式开关( d u a li n l i n ep a c k a g es w i t c h ，d i ps w i t c h ) h j ，只有相匹配的双列直插式 开关才能打开车库门。但个d i ps w i t c h 只含有8 个小开关，也就是说最多只有 2 5 6 种组合，这也并不能带来多大的安全性。正是受到这种方式的启发，早期投 入市场的汽车免钥门禁系统大都是基于固定的编码技术【5 0 】。固定编码技术就是 对每个系统设置一个固定的单一编码组合，当编码器和解码器的编码组合一样 时，则证明两者相匹配。但随着科学技术的发展，通过扫描技术和截获技术复 制发送器从而破解系统的例子比比皆是，于是寻求新的编码技术来保证其安全 性就具有非常重要的现实意义。 1 9 9 3 年，m i c r o c h i p 公司首次提出了滚动码( r o l l i n gc o d e0 1 h o p p i n gc o d e ) 的概念惮】，并以此为基础形成k e e l o q 滚动码技术。由于该技术能很好的抵抗扫 描，截获和重发攻击，在市场上迅速得到应用。在这类型系统中，用户手持发 送器，通过按键来控制汽车，单向通信完成操作，这样滚动码技术就得到了蓬 勃的发展。虽然r k e 系统带来了很大的方便性，但用户仍然需要按键操作，这 样当用户双手不空的时候仍然难以控制车门。为了更方便，一种更智能的免钥 门禁系统基于挑战应答机制的p k e 系统出现在大众面前f 9 ，1 0 】，用户不再需 要按键操作，只要带着发送器进入接收器可识别的范围内，接收器就可主动识 别并完成合法性认证，双向通信完成操作，整个过程无需人工干预。同样，挑 战应答机制也被广泛应用于r k i 和i m 中。但现在市面上流行的滚动码技术和挑 战应答技术都存在着各种各样的安全隐患，本论文的研究工作，就是基于现存 的密码学理论基础，根据汽车免钥门禁系统的相关特点，提出安全的身份认证 方案，使之能适用于r k e 和p k e 。 a e s ( a d v a n c e de n c r y p t i o ns t a n d a r d ，高级加密标准) 是目前公认的最安全的 对称加密标准，属于分组长度、密钥长度可变的分组密码，分组长度、密钥长 度彼此独立地确定为1 2 8 b i t ，1 9 2 b i t ，2 5 6 b i t 。a e s 加密过程由轮函数通过多轮 迭代构成，当中的轮变换由4 个不同的变换组成，分别是：字节替换、行移位、 列混合以及轮密钥加。它的非线性置换、线性扩散和轮密钥加组合，满足香农 所提出的混乱和扩散。它的分组长度和密钥都足够长，能防止穷举搜索攻击。 它是目前公认的最安全的对称加密算法，能抗目前所有已知的攻击。它加解密 速度快，而且设计简单。论文将a e s 】应用于汽车免钥门禁系统，来保证传输 数据的安全性。 2 硕士学位论文 第一章绪论 1 2 汽车免钥门禁系统的研究现状 汽车的安全性不管是对用户还是对汽车制造厂商来讲，都是异常重要的。 只有在进行安全可靠的身份认证的基础上，各种对汽车的操作才能得以执行， 才能保证用户的合法权益不受损害。随着信息安全技术的不断发展，汽车免钥 门禁系统的通信协议也经历了从简单到复杂的发展过程。这是一个相对较新的 领域，从8 0 年代初至今，也就是固定编码技术、滚动码技术和挑战应答技术三 种。 ， 1 2 1 国外研究现状 在早期的r k e 1 2 】系统中，传送的信息都包含一组固定的身份码和功能码。 功能码是用来反应用户的意图如开门、关门等，固定的身份码则是用来区分不 同的遥控器和汽车，当汽车接收到信息，比较接收到的身份码和所存的身份码 是否一致，是则汽车执行功能码。但固定编码技术对一些攻击来说相当脆弱。 最为大家所熟知的攻击就是截获重发攻击1 8 j 。偷车贼只要拥有一个无线接收器就 能截获信号，再将该信号转发到汽车就能伪装成合法用户。 1 9 9 3 年，m i c r o c h i p 公司提出了k e e l o q 滚动码技术，世界上的学者专家对 此进行了深入的研究【1 3 0 。丌，各大厂商以此技术为基础，构建出大量的r k e 解决 方案。该公司推出的h c s 3 0 0 芯片，是专为r k e 系统而设计的一款跳码编码器， 密钥生成算法和加解密算法基于k e e l o q 滚动码技术。k e e l o q 加密算法是一种分 组加密技术，分组长度为3 2 位，密钥长度为6 4 位。编码器将3 4 位的明文和3 2 位的跳码密文结合，生成6 6 位的传送资料并传送到解码器。其后又推出了 h c s 3 0 1 ，h c s 3 6 5 等系列，但k e e l o q 加密算法在2 0 0 8 年上半年被宣告破解【1 8 。2 1 j ， b o g d a n o v 利用对非线性反馈有效的线性逼近，线性相关分析，试探猜测以及轮 结构分析等方法对k e e l o q 进行密钥恢复攻击并给出具体的攻击实例，根据 b o g d a n o v 提出的方法，能恢复出部分甚至全部密钥。接着，c o u r t o i s 和i n d e s t e e g e 也相继提出一些攻击方法，来破解k e e l o q 加密算法。 1 9 9 7 年，t e x a si n s t r u m e n t s 公司推出适用于r k e 系统的芯片t r c l 3 0 0 ， t r c l 3 1 5 1 2 2 1 等，上面集成了基于4 0 位伪随机数的跳码技术，发送器和接收器使 用相同的伪随机数发生器，每块芯片既能配置成发送器，也能配置成接收器， 其安全性主要是基于伪随机数和同步码两部分。 2 0 0 6 年4 月，a t m e l 公司推出适用于r k e 系统的a v r 4 1 l 应用说明【2 3 1 ，说 明中描述了一个基于a e s 的安全滚动码传输协议，用于单向的无线通信系统。 汽车r k e 的使用给人们带来了极大的方便与快捷，但人们对科学的追求总 3 硕士学位论文第一章绪论 是无止境的，从而带来了r k e 的第二代技术p k e 技术的蓬勃发展。简单的说， 从r k e 到p k e 其实就是从需要按键到不要按键的过程，使用更简单，操作更安 全。 19 9 7 年，t i 公司推出了数字信号应答器( d i g i t a ls i g n a lt r a n s p o n d e r , d s t ) 技 术【2 4 1 ，该技术基于挑战应答机制，被广泛应用于汽车i m 系统中。在d s t 的典 型应用中【25 1 ，汽车将产生一个4 0 位的随机数作为挑战数，发送给应答器，应答 器根据一定的编码规则产生一个2 4 位的应答，随后汽车按同样的编码规则，计 算出答案，与收到的应答相比较，相符则认证成功。随后的2 0 0 0 年，t i 公司将 r f i d 2 6 - 2 9 1 与汽车免钥门禁技术相结合，推出了适用于p k e 、r k i 以及i m 的双 向通信认证体系1 2 4 1 。 2 0 0 3 年，n x p ( 恩智浦) 半导体，当时的飞利浦半导体首先推出了基于r f i d 的p k e 系统【3 0 1 。当驾驶员处在系统的工作范围内，只要触及车门，或按下某个 按键，则发出触发信号，触发信号被汽车基站捕获后，产生一个低频信号( 内含 身份信息) ，遥控钥匙接收到低频信号，通过比对身份信息，来决定是否被唤醒， 这个过程能延长钥匙的使用寿命。若相匹配，则被激活，产生一个高频的数据 帧，汽车基站收到高频数据帧后解密认证。若认证成功，则车门打开，驾驶员 进入汽车，发动汽车。离开过程与此类似，驾驶员离开车门时触及车门或按下 某一按键，系统采用同样的激活认证过程，车门就会上锁。但因为涉及机密， 整个加密算法和链路层协议，该公司并未公开。 2 0 0 6 年，m i c r o c h i p 公司对其r k e 系统进行升级，推出相应的p k e 系统【3 1 1 。 在汽车端增加一个l f ( 低频) 的发射器，当l f 发射器检测到触发信号时，将发送 一条低频的报文，在公布的技术资料中发送的是1 6 位的序列号低位。该低频报 文被配套的遥控器所识别，遥控器端的r f 发射器随即发送一条k e e l o q 的编码 报文，其编码格式跟应用于r k e 中k e e l o q 的编码字一样。最后，汽车端的r f 接收器对编码报文进行接收并解密认证。p k e 系统和原有的r k e 系统相比，增 加了一些功能。p k e 系统的遥控器有两种进入工作状态的方式，一是低电平， 则执行原有的砌江功能，进行按键操作。二是收到l f 激励被激活，相当于遥 控器按下一个虚拟按键，进行自动认证状态，其余过程类似r k e 系统。 2 0 0 9 年，g h a b r ar i a d 和t a r m o o me h a b 发表了一个基于挑战应答方式的p k e 系统【3 2 1 ，该系统也是采用低频发送一个唤醒信号使得遥控钥匙开始工作。接着 汽车发送端再通过高频发送随机挑战数到遥控钥匙，遥控钥匙将随机数，i d ， 密钥等等信息经过数据变换生成应答数通过高频发给汽车端，汽车端通过解密 认证完成操作。 4 硕士学位论文 第一章绪论 在工业界，2 0 0 9 年初，美国飞思卡尔汽车电子中国区推出了包含硬件和软 件安全协议的汽车r k e 整体解决方案。其软件安全协议是飞思卡尔研发的可变 密钥安全协议【3 3 ( v k s p ) ，协议基于a e s 。遥控器采用1 2 8 b i t 密钥加密产生6 4 b i t 的消息验证码结合另外6 4 b i t 数据部分( 包括钥匙号、用户命名和可变密钥) 组成 1 2 8 b i t 数据帧发送，解码器解密后比较验证码来确认身份完成操作。但该可变密 钥部分( 由计数器产生) 只有3 2 b i t ，密文部分( 即消息验证码) 只有6 4 b i t ，由计数器 产生的3 2 b r 变密钥和6 4 b i t 密文容易受到扫描攻击，且明文部分传输易被截获。 2 0 0 9 年，n e c 公司推出了基于u p d 7 8 0 5 0 3 和u p d 7 8 0 8 8 1 的p k e 演示方案 【3 4 】。该方案将3 0 位的同步码和功能码进行d e s 加密生成6 4 位滚动码和3 2 位 的身份码形成传输密文。同样的，该方案采用6 4 位密钥的d e s 加密，安全性不 高。 1 2 2 国内研究现状 国内的学者对这一方面也进行了一些研究，但大部分是基于国外已有的技 术形成的产品方案。 2 0 0 2 年，学者王效华【3 5 】等将数据加密标准( d a t ae n c r y p t i o ns t a n d a r d ，d e s ) t 3 6 】 引入，利用滚动码的原理构造出自己的r k e 系统。但d e s 的密钥仅有5 6 位， 容易被穷举强力搜索攻击，对于5 6 位密钥，n = 2 5 6 = 7 1 0 6 ，密码专家d i f f i e 和 h e l l m a n 指出，如果设计一种集成片，使之能在一微秒内运算一个密钥，那么它 在一天内就可以运算2 4 * 6 0 * 6 0 * 1 0 6 个密钥，如果将一百万个这样的集成片构成 专用机，那么它在不到一天的时间内用穷举法就能破译d e s 密码，在1 9 9 3 年， m u c h a e lw i e n e r 设计了一个一百万美元的机器，它能在平均3 5 小时内完成d e s 的穷举攻击，即标志着d e s 是完全不安全的【3 7 1 。且随着差分攻击【3 8 】，线性攻击 【3 9 】等的提出，其安全性已不能满足应用的需要。 2 0 0 7 年，在6 5 次i e e e 汽车技术会议上，来自重庆大学的学者提出将a e s 应用于汽车r k e 系统【2 5 1 ，提出基于a e s 的安全协议( a e ss e c u r i t yp r o t o c o l ， a s p ) 。该协议以t i ( t e x a si n s t r u m e n t s ) 设计的数字签名应答器的挑战应答技术为 基础，将a e s 算法引入，在握手认证过程中采用1 2 8 b i t 固定密钥加解密身份信 息，认证成功后，引入伪随机数，收发双方随即采用变动的伪随机数来对操作 进行加解密，从而阻挡强力搜索攻击，统计攻击，伪装攻击等。但在该协议中， 遥控器和解码器含有相同参数的随机数生成器，两者保持同步。如果一个攻击 者在随机数验证阶段将数据阻截导致解码器没有收到数据帧，这样会导致随机 数生成器不同步，使得遥控器不可用。 2 0 0 7 年，学者昂志敏【4 0 1 ，韦康【4 1 】等结合m i c r o c h i p 公司的p i c l 6 f 6 3 9 微控 5 硕士学位论文 第一章绪论 制器的特点，设计出相应的汽车p k e 系统。通信协议仍是沿用k e e l o q 滚动码技 术。 同年，学者李双华等【4 2 j 设计并实现出基于射频识别( r a d i of r e q u e n c v i d e n t i f i c a t i o n ，r f i d ) 4 3 - 4 6 的汽车防盗系统，实际就相当于一种p k e 系统。但文章 中并未交代使用什么样的r f i d 认证技术。 2 0 0 8 年，学者郭宏志等【47 】将r f i d 技术应用于汽车门禁系统，提出了自己 的汽车p k e 系统。系统的工作原理跟前面n x p 公司所提出的基于r f i d 的p k e 系统的原理大体一致，也是低频触发，高频认证的模式。文中重点描述的是系 统的硬件实现，并未提及其应用的通信协议。 2 0 0 9 年，学者王超【4 8 】等仍然是结合k e e l o q 滚动码技术，采用m i c r o c h i p 公 司的p i c l 6 f 6 3 9 微控制器，设计出相应的p k e 无线收发通信系统。除此外，国 内的大部分学者对汽车防盗的研究还集中在将g p s 引入的防盗研究【4 9 1 ，以及基 于指纹识别技术的防盗报警研究【5 0 】等方面。 1 2 3 存在的问题和本文的工作 目前市面上流行的滚动码技术和挑战应答技术都存在着各种各样的安全隐 患。在多以滚动码技术为核心的r k e 系统中，现在广为流行的k e e l o q 算法存在 一定的缺陷：首先，密钥长度过短，只有6 4 位。采用强力搜索攻击，利用高运 算速度的机器并行搜索，猜测密钥发送直到汽车给出正确反应也不是不能实现。 其次，它的密钥序列自相关。在文献【1 8 】中，b o g d a n o v 利用对非线性反馈有效的 线性逼近，线性相关分析，试探猜测以及轮结构分析等方法对k e e l o q 进行密钥 恢复攻击并给出具体的攻击实例，根据b o g d a n o v 提出的方法，能恢复出部分甚 至全部密钥。接着，c o u r t o i s t 悖】和i n d e s t e e g e 2 l 】也相继提出一些攻击方法，这样 k e e l o q 加密算法被破解。 从理论上来说，几乎所有的加密标准都有被破解的可能，防盗系统能做的 就是使偷车贼不能在有限的一段时间内，利用收集到的资源来破解防盗系统， 从而取得合法的操作汽车的权利。有资料称，一般偷车贼偷车的时间只要超过5 分钟，则多半会放弃作案，去寻找其它机会。安装了免钥门禁系统的汽车，防 盗性能大大提高，但对d s t 来说，从前面所描述的d s t 实现原理上可以看出， d s t 的安全性就只依赖于一个4 0 位的密钥，对今天的密码分析技术来说，4 0 位的密钥太短易受到强力搜索攻击而被破解【2 5 1 。 而在p k e 系统中，多以挑战应答机制为核心。从国内外发表的文献上来看， 挑战应答机制的安全性主要通过两种手段来保证：一种是选用随机数，另一种 是同步码。在以t i 公司的d s t 为基础，引入a e s 的a s p 协议中，遥控器和解 6 硕士学位论文第一章绪论 码器中含有相同参数的随机数生成器，两者保持同步，如果一个攻击者在随机 数验证阶段将数据阻截导致解码器没有收到数据帧，这样会导致随机数生成器 不同步，使得遥控器不可用。 因此，设计出安全高效的汽车免钥门禁系统通信协议是很有必要的。论文 就是立足于现有的汽车免钥门禁系统和a e s 标准加密算法，构建短分组的a e s 加解密体制，优化设计汽车遥控通信帧及通信协议，并完成仿真测试与分析。 1 3 本文的结构概要和内容安排 本文主要研究在汽车r k e 和p k e 系统中，如何利用现有的密码理论基础来 保证发送器和接收器之间数据传输的安全性。这其中就包括单向通信的合法性 认证和双向通信的合法性认证两大块，文中将对这两部分分开进行介绍，然后 对协议的安全性，可行性等进行分析，最后将进行仿真测试，并给出测试结果。 全文共包括五章，组织结构如下： 第一章即本章是绪论。深入讨论了该课题的研究背景和意义以及该领域国 内外研究现状和存在的问题；本章最后指出本文所要做的工作以及论文的结构 概要和内容安排。 第二章是基础理论知识。简要介绍了本文将涉及到的一些基础理论知识， 包括信息安全的相关知识，即通信中所说安全性的实际含义以及常用的一些攻 击手段；a e s 的加解密体制及短分组a e s 的构建与分析；最后介绍了身份认证 技术，包括静态口令身份认证和动态口令身份认证两种，为后续章节的进一步 探讨做好必要的理论铺垫。 第三章是基于单向通信的的滚动码认证方案。介绍了现存的一个基于单向 通信的r k e 系统k e e l o q 技术，探讨了其实现原理和安全性，分析了该加密 算法的一些缺陷。随后基于短分组a e s 加解密体制和k e e l o q 的相关想法，提出 了一个基于a e s 和同步码的单向通信认证方案并对该方案的安全性和可行性作 出了分析，最后用v i s u a lc + + 6 o 仿真实现了协议的认证过程并给出了在安全的 工作参数下认证交互需要的具体计算时间。 第四章是基于双向通信的挑战应答认证方案。首先介绍了d s t 的实现原理 和n e c 公司提出的p k e 系统的工作原理，接着讨论了它们的安全性缺陷。随后， 沿用上一章方案的思路，结合p k e 系统的特殊性，采用低频触发，高频认证的 模式，提出一个适用于p k e ，i m 系统的挑战应答认证方案。最后对提出方案给 出了安全性分析和性能比较。 7 堡主兰堡笙奎 第一章绪论 一 ：= 第五章是总结与展望。总结了本文所做的主要工作，分析了本文在该领域 研究中所存在的问题和不足，并探讨了在该领域需要进一步解决的问题及研究 方向。 8 硕士学位论文 第二章基础理论知识 第二章基础理论知识 汽车免钥门禁系统的认证技术研究主要涉及到四方面的知识，如何评价认 证系统是安全的( 也就是无线通信的安全基础) ，什么是认证技术，认证技术采用 的加密算法的原理以及何为汽车免钥门禁系统。何为汽车免钥门禁系统在上一 章中有详细介绍，本章主要是介绍在身份认证协议中将涉及到的其它三方面的 相关知识。 2 1 无线通信安全基础 通信的目的是进行消息的交换，无线通信是指传输的介质不是有形的线， 而是通过中长波、短波、微波等等无线的形式。传送信息前，发送端将消息转 化为电信号，收到消息后，接收端再将电信号转化为消息1 5 1 1 。 无线通信因其不用架设线路，节约成本，且不受地理环境的限制而得到广 泛的应用，但同样，因其开放性，它在给无线通信用户带来方便的同时，也给 非法用户带来了方便，典型的有以下几种非法攻击方式岭2 。 ( 1 ) 无线窃听 由于无线通信的开放性，任何具有适当的无线接收设备的人都可以窃听到 无线信道中传输的内容，从而可能导致合法用户信息的泄露。 ( 2 ) 信息篡改 所谓信息篡改是指攻击者将截获到的信息进行修改，如删除、替换后，再 发出去的过程。在一些无线通信中，传输过程可能需要中转站的转发，这个过 程就可能产生信息篡改攻击，对于汽车免钥门禁系统，信息篡改就有可能导致 操作不能被执行。 ( 3 ) 伪装攻击 在无线通信中，发送端与接收端之间不存在任何固定的物理连接，发送端 必须通过无线信道传送其身份信息，以便于接收端能够正确鉴别它的身份。而 无线信道中传送的任何信息都可能被窃听。当攻击者截获到一个合法用户的身 份信息时，他就可以利用这个身份信息假冒该合法用户的身份，这就是所谓的 伪装攻击。在汽车免钥门禁系统中，攻击者假冒合法用户的身份，就能将车打 开，偷走车上的东西，甚至将车开走。 9 硕士学位论文第二章基础理论知识 ( 4 ) 重发攻击 重发攻击是指攻击者截获到信号，在下一次会话中将截获到的信息重复发 送以达到伪装的效果。攻击者的目的是企图利用曾经有效的信息在改变了的情 形下达到同样的目的，比如在汽车免钥门禁系统中，攻击者利用截获到的信息 来获得汽车的认证，从而达到控制汽车的目的。 ( 5 ) 拒绝服务攻击 拒绝服务攻击是指在a 与b 的通信中，c 采用某种方式，使得两者之间的 合法通信不能正常进行。例如在汽车免钥门禁系统中，攻击者通过拒绝服务攻 等使得合法的遥控器不能再控制汽车。 此外还有一些常见的威胁，如服务后抵赖、病毒攻击等等，这里就不再详 细描述。 2 2a e s 1 9 7 7 年1 月，美国国家标准局( n b s ) 发布标准文本f i p sp u b 4 6 ，正式公布了 d e s 3 6 算法。随后，d e s 作为数据加密的工业标准，得到了各行各业的广泛支持。 1 9 7 9 年，美国银行家协会批准使用d e s ，到1 9 8 0 年，d e s 成为美国标准化协会 ( a n s i ) 的标准。但是任何加密算法都不是绝对可靠的，随着技术的发展，d e s 的安全性受到了越来越多的挑战，d e s 的密钥仅有5 6 位，容易被强力搜索攻击， 尤其是在差分攻击【3 8 】，线性攻击【3 9 1 等提出后，d e s 的安全性面临越来越严峻的 挑战。为此，n i s t 于1 9 9 7 年开始公开征集新一代加密标准a e s 。2 0 0 0 年1 0 月， 由比利时人j d a e m e n 雨 v r i j m e n 设计的r i j n d a e l l 5 3 - 5 7 1 算法被n i s t 宣布为唯一的 a e s 候选算法。2 0 0 2 年3 月，n i s t 发布的f i p s1 9 7 正式生效，标志着a e s 的正式 诞生。 2 2 1a e s 的设计原理 a e s 的代表算法r i j n d a e l 算法是一个可变分组长和可变密钥长的迭代分组密 码，分组长和密钥长可分别为1 2 8 ，1 9 2 和2 5 6 比特。a e s 算法中主要用到两类运 算：有限域g f ( 2 8 ) 上的加法和乘法。有限域上的元素可以用多项式来表示，其运 算的基本单位分为字节和字节向量两种。加法就是简单的异或操作，而乘法则 是多项式相乘后再模多项式。在字节乘法中，模取的是多项式 m ( x ) = x 8 + x 4 + x 3 + x + l ，在字节向量乘法中，模取的是多项式m ( x ) = x 4 + 1 。 下面对相关概念及操作进行详细介绍。 ( 1 ) 状态 1 0 硕士学位论文 第二章基础理论知识 i n d a e l 算法是一个分组迭代算法，每次迭代又由多个不同的变换组成，也 就是说r i j n d a e l 算法实际就是由一系列的变换来组成的，状态就是变换操作的中 间结果。它可表示为二维字节数组，有4 行，n b 列，且n b 等于分组长除以3 2 ，这 里以n b = 4 ，也就是1 2 8 l 1 , 特分组长为例进行