趙宗渠,郭小杰,殷明輝,湯永利

(河南理工大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院,河南 焦作 454000)

0 引 言

物聯(lián)網(wǎng)[1](internet of things, IoT)是集成了射頻識(shí)別、傳感器、全球定位系統(tǒng)等信息傳感設(shè)備,將物、人、系統(tǒng)等資源與互聯(lián)網(wǎng)連接并進(jìn)行信息交互的一種泛在網(wǎng)絡(luò)。在物聯(lián)網(wǎng)應(yīng)用領(lǐng)域中,存在分布式網(wǎng)絡(luò)和集中式網(wǎng)絡(luò)兩種網(wǎng)絡(luò)架構(gòu)[2]。本文重點(diǎn)研究分布式網(wǎng)絡(luò)中終端用戶與傳感器節(jié)點(diǎn)之間的認(rèn)證。

現(xiàn)階段分布式物聯(lián)網(wǎng)包括智能醫(yī)療和智慧交通等多種典型應(yīng)用場(chǎng)景。在智能醫(yī)療系統(tǒng)中,傳感器節(jié)點(diǎn)負(fù)責(zé)連續(xù)或按需測(cè)量患者的心率、血壓及體溫等相關(guān)健康數(shù)據(jù),并將其傳輸給智能設(shè)備等用戶終端,醫(yī)生或護(hù)士可以作為終端用戶訪問傳感器節(jié)點(diǎn),實(shí)時(shí)診斷患者病情或檢查患者的健康狀況。智慧交通系統(tǒng)利用傳感器監(jiān)測(cè)交通狀況并收集違章駕駛、車流等數(shù)據(jù),為終端用戶及時(shí)疏通車流和處理交通事故帶來了極大的便利。物聯(lián)網(wǎng)的發(fā)展為終端用戶通過現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施遠(yuǎn)程控制或訪問傳感器節(jié)點(diǎn)提供了更多的適用場(chǎng)景[3]。

由于終端用戶和傳感器節(jié)點(diǎn)通信信道的開放性,攻擊者易截獲、修改或重放信道上傳輸?shù)南?從而帶來各種安全問題和隱私威脅。此外,物聯(lián)網(wǎng)中用于收集數(shù)據(jù)的傳感器節(jié)點(diǎn)屬于資源受限設(shè)備,其計(jì)算與通信能力有限,一般以電池方式供電,能量補(bǔ)充較為困難[4]。因此,如何在節(jié)省傳感器節(jié)點(diǎn)能耗的前提下實(shí)現(xiàn)安全通信是物聯(lián)網(wǎng)環(huán)境下身份認(rèn)證機(jī)制研究的重點(diǎn)。

盡管很多學(xué)者對(duì)物聯(lián)網(wǎng)環(huán)境下身份認(rèn)證方法進(jìn)行了深入研究并取得了豐碩成果,但物聯(lián)網(wǎng)具有應(yīng)用環(huán)境復(fù)雜多變、傳感器節(jié)點(diǎn)資源有限等特性,傳統(tǒng)成熟有效的認(rèn)證方法無法直接應(yīng)用。基于此,本文提出一種身份隱藏認(rèn)證方法,具備如下3個(gè)特點(diǎn)。

1)實(shí)現(xiàn)包括隱藏與可否認(rèn)的身份隱私安全性。方法的運(yùn)行記錄不泄漏用戶和傳感器節(jié)點(diǎn)的任何身份信息。傳感器節(jié)點(diǎn)根據(jù)用戶請(qǐng)求消息生成與其不可區(qū)分的認(rèn)證消息,任何第三方在獲得傳感器節(jié)點(diǎn)轉(zhuǎn)發(fā)的認(rèn)證消息時(shí),無法判斷消息的真正來源。

2)實(shí)現(xiàn)包括機(jī)密性及完整性的通信數(shù)據(jù)安全。未經(jīng)授權(quán)的參與者無法破解用戶或傳感器節(jié)點(diǎn)傳輸?shù)臄?shù)據(jù),確保發(fā)送或接收的數(shù)據(jù)沒有被惡意修改。

3)適應(yīng)物聯(lián)網(wǎng)的計(jì)算和通信效率。利用對(duì)稱雙線性群構(gòu)造的IBHigncryption加密機(jī)制實(shí)現(xiàn)雙重身份認(rèn)證,使用較少的雙線性對(duì)運(yùn)算,通信輪數(shù)優(yōu)化至兩輪,使節(jié)點(diǎn)的通信/計(jì)算開銷和能耗明顯下降。

1 相關(guān)工作

為提高端到端認(rèn)證的安全性和執(zhí)行效率,文獻(xiàn)[5]提出適用于物聯(lián)網(wǎng)環(huán)境的用戶認(rèn)證方法,使用RSA(Rivent-Shamir-Adleman)公鑰加密算法構(gòu)建,完成通信會(huì)話需要多次消息傳輸,對(duì)傳感器節(jié)點(diǎn)而言負(fù)擔(dān)過重。文獻(xiàn)[2]提出一種基于橢圓曲線加密(elliptic curve cryptography, ECC)的認(rèn)證密鑰協(xié)商方法,使用較小的密鑰實(shí)現(xiàn)相似的安全性,將節(jié)點(diǎn)的計(jì)算成本實(shí)現(xiàn)最小化,適用于分布式物聯(lián)網(wǎng)。雖然ECC與其他公鑰加密算法相比需要較少內(nèi)存和較低計(jì)算能力,但易受到側(cè)信道攻擊[6]。

首個(gè)基于雙線性對(duì)的智能卡認(rèn)證方法由文獻(xiàn)[7]提出,智能卡的使用提高了方法的安全級(jí)別,但無法抵抗假冒攻擊[8]。文獻(xiàn)[9]提出新的基于雙線性對(duì)的匿名認(rèn)證和密鑰協(xié)商方法,解決了用戶匿名性的安全要求,但存在無法抵抗假冒攻擊和效率不高等缺陷[10]。文獻(xiàn)[11]提出一種適用于無線傳感器網(wǎng)絡(luò)的安全和隱私保護(hù)認(rèn)證方法,將部分認(rèn)證消息存儲(chǔ)在智能卡中,通過基于雙線性對(duì)的加密機(jī)制完成認(rèn)證,能抵抗離線口令猜測(cè)攻擊、假冒攻擊等常見攻擊。文獻(xiàn)[12]針對(duì)文獻(xiàn)[11]存在被盜智能卡攻擊、離線口令猜測(cè)攻擊和數(shù)據(jù)泄露攻擊等問題,提出相應(yīng)的改進(jìn)方法。大多數(shù)物聯(lián)網(wǎng)資源受限,要求用戶認(rèn)證方法必須有較低的計(jì)算量和通信量,但易于被敵手攻破[13]。

基于身份的密碼(identity-based cryptography, IBC)體制概念由Shamir在1984年首次提出[14],包括基于身份的簽名機(jī)制(identity-based signature, IBS)和基于身份的加密機(jī)制(identity-based encryption, IBE)。2001年,文獻(xiàn)[15]提出實(shí)用且功能完備的IBE密碼系統(tǒng),使用雙線性對(duì)實(shí)現(xiàn)數(shù)據(jù)的加/解密,并證明了系統(tǒng)的安全性。隨著移動(dòng)設(shè)備的快速發(fā)展和大規(guī)模應(yīng)用,研究者們已經(jīng)集中精力設(shè)計(jì)出輕量級(jí)的密碼機(jī)制[16]。文獻(xiàn)[17]利用雙線性對(duì)提出一種基于IBE的雙向認(rèn)證方法,降低了通信開銷,但不滿足匿名性和不可追溯性[18]。

2 背景知識(shí)

根據(jù)文獻(xiàn)[16]可知,Gap-BDH和Gap-SBDH是等價(jià)的問題。

定義2(IBHigncryption機(jī)制) IBHigncryption是一種實(shí)現(xiàn)公鑰加密、實(shí)體認(rèn)證和身份隱藏的認(rèn)證加密機(jī)制。IBHigncryption機(jī)制由以下4個(gè)算法組成。

1)Setup:輸入安全參數(shù)κ,該算法輸出系統(tǒng)所需公共參數(shù)params和主密鑰msk,主密鑰是私密的。

2)KeyGen:將參數(shù)params、主密鑰msk和實(shí)體身份ID輸入,算法輸出與實(shí)體身份所對(duì)應(yīng)的私鑰SK。

3)IBHigncrypt:輸入系統(tǒng)公共參數(shù),發(fā)送者Alice的公私鑰對(duì)(IDA,SKA),接收者Bob的身份標(biāo)識(shí)IDB,明文消息M←{0,1}*及對(duì)應(yīng)相關(guān)信息H←{0,1}*,輸出相應(yīng)的IBHigncrypt密文(C)或失敗標(biāo)識(shí)⊥。

4)UnIBHigncrypt:輸入系統(tǒng)公共參數(shù),C和接收者Bob的公私鑰對(duì)(IDB,SKB),若認(rèn)證成功,輸出有效明文(M,IDB),否則輸出⊥。

正確性:對(duì)于任意足夠大的安全參數(shù)κ,密鑰對(duì)(IDA,SKA)、(IDB,SKB),其中SKA/B←KeyGen(params,msk,IDA/B),以及?H,M∈{0,1}*,有UnIBHigncrypt(params,SKA,IDA,IDB,H,M)=(IDA,M)式子成立,此時(shí)IBHigncrypt(params,SKA,IDA,IDB,H,M)≠⊥,則IBHigncryption滿足正確性。

參與方法的兩個(gè)實(shí)體:用戶、傳感器節(jié)點(diǎn),分別作為IBHigncryption的發(fā)送方和接收方。

3 方法構(gòu)造

3.1 系統(tǒng)初始化

本階段,可信第三方(TTP)使用安全參數(shù)K按如下步驟執(zhí)行系統(tǒng)初始化,生成系統(tǒng)所需的公共參數(shù)和主密鑰。

1)選擇兩個(gè)擁有相同素?cái)?shù)階q的乘法線性映射組G1=和GT,構(gòu)造雙線性映射e:G1×G1→GT。

4)輸出參數(shù)Δ={q,G1,GT,e,g,h1,h2}。

3.2 系統(tǒng)注冊(cè)

3.2.1 傳感器節(jié)點(diǎn)SN注冊(cè)

1)SN選擇身份IDj←(R){0,1}*,將{IDj}通過安全信道發(fā)送給TTP,其中←(R)表示隨機(jī)選取。

2)TTP收到注冊(cè)消息后,檢查IDj是否被注冊(cè)。已被注冊(cè),則終止會(huì)話;否則TTP輸入?yún)?shù)Δ和主密鑰s,計(jì)算TPKj=h1(IDj)s和vR=h2(s),生成共享密鑰KRS=(vR⊕IDj⊕IDR),IDR為TTP的身份標(biāo)識(shí)。

3)TTP將請(qǐng)求響應(yīng){KRS,TPKj}發(fā)送給SN。

3.2.2 用戶注冊(cè)

1)用戶U選擇IDi←(R){0,1}*和口令PWi,生成隨機(jī)數(shù)ri并計(jì)算RU=h2(PWi,ri),將{IDi,RU}發(fā)送給TTP。

3)U將隨機(jī)數(shù){ri}存入智能卡。

3.3 認(rèn)證與密鑰協(xié)商

假設(shè)通信雙方在公開信道上執(zhí)行身份認(rèn)證與會(huì)話密鑰協(xié)商,認(rèn)證密鑰協(xié)商階段如圖1所示。

圖1 認(rèn)證與密鑰協(xié)商流程

3.4 正確性

U計(jì)算的會(huì)話密鑰skU=h2(WU‖PSU‖TDj),WU、PSU的計(jì)算式為

由SN計(jì)算的會(huì)話密鑰skS=h2(WS‖PSS‖TDj),

WS=X⊕KRS⊕IDj=

h1(IDi)x⊕(vR⊕IDj⊕IDR)⊕IDj=

h1(IDi)x⊕vR⊕IDR

(3)

PSS=e(X,TPKj)=e(h1(IDi)x,h1(IDj)s)=

e(h1(IDi),h1(IDj))xs

(4)

由(1)—(4)式可知,等式WU=WS和PSU=PSS成立,時(shí)間戳TDj相同,故用戶和傳感器節(jié)點(diǎn)生成相同的會(huì)話密鑰,滿足正確性。

4 安全分析

4.1 安全模型

方法的參與者為用戶U和傳感器節(jié)點(diǎn)SN,用戶均擁有從身份空間ID={0,1}*、口令空間X中隨機(jī)選擇的身份IDi和口令PWi,保存包含秘密值{ri,ARU}的智能卡。SN維護(hù){KRS,TPKj}列表項(xiàng),其中包含由TTP生成的共享密鑰和服務(wù)器身份對(duì)應(yīng)的私鑰。

假設(shè)概率多項(xiàng)式時(shí)間(PPT)敵手A可控制IoT網(wǎng)絡(luò)中的公共信道,截獲通信中明文信息,修改甚至偽造消息。用P表示所有協(xié)議參與方的集合,A可以實(shí)現(xiàn)訪問以下查詢與實(shí)例模擬交互。

hi(m):A對(duì)消息m發(fā)起哈希查詢hi(m)(i=1,2),模擬器C檢查哈希列表Lh是否存在條目(m,hi(m))。若存在,將hi(m)返回給A;否則C在hi(·)值域內(nèi)選擇隨機(jī)數(shù)R并設(shè)置hi(m)=R。最后,C將(m,R)添加到Lh列表并將響應(yīng)值hi(m)返回給A。

語(yǔ)義安全:A攻破語(yǔ)義安全的優(yōu)勢(shì)定義為AdvP=|2Pr[Succ]-1|,Pr[Succ]為敵手贏得游戲的概率。對(duì)任意概率多項(xiàng)式時(shí)間的敵手A,若AdvP值是可忽略的,則稱所提方法具有語(yǔ)義安全性。

4.2 形式化證明

證明:通過游戲Gamei(i=[0,3])模擬A發(fā)起的各項(xiàng)攻擊。事件Succi表示A成功猜測(cè)Test查詢中的比特值并贏得游戲Gamei的情況。

Game0:這個(gè)游戲模擬A發(fā)起的真實(shí)攻擊。首先,b值被隨機(jī)選擇。依據(jù)定理,存在

Adv=2Pr[Succ0]-1

(5)

生成skU需要用戶提供正確的身份、口令以及智能卡,A無法同時(shí)提供這些秘密值。因此,竊聽傳輸信道的消息無法增加A贏得游戲的機(jī)會(huì),有

Pr[Succ0]=Pr[Succ1]

(6)

|Pr[Succ1]-Pr[Succ2]|≤

(7)

隨機(jī)數(shù)x使每次會(huì)話計(jì)算的參數(shù)PSU、PSS不同;在口令和傳感器身份未知時(shí),敵手擁有智能卡也無法恢復(fù)出WU和WS。此外,系統(tǒng)通常限制認(rèn)證失敗的次數(shù)遠(yuǎn)小于|X|,若敵手在智能卡丟失/被盜情況下發(fā)起在線字典攻擊,成功的概率仍可忽略。

用戶口令PWi未知時(shí),從智能卡的參數(shù)ARU中恢復(fù)有用信息或者偽造用戶/傳感器節(jié)點(diǎn)完成認(rèn)證是困難的。Game3和Game2是不可區(qū)分的,即

(8)

所有的預(yù)言機(jī)都被模擬,敵手A只能通過查詢Test預(yù)言機(jī)來猜測(cè)b的值,即A在區(qū)分真正會(huì)話密鑰和隨機(jī)會(huì)話密鑰方面沒有優(yōu)勢(shì),有

(9)

因此,從(5)—(9)式可得

|Pr[Succ0]-Pr[Succ1]|+|Pr[Succ1]-

Pr[Succ2]|+|Pr[Succ2]-Pr[Succ3]|≤

4.3 身份隱藏及其他安全性分析

1)身份隱藏和可追溯性。交互消息{X,C1,TDi}被攔截時(shí),參數(shù)X=h1(IDi)x由抗碰撞哈希函數(shù)和隨機(jī)數(shù)x計(jì)算所得,隱藏用戶身份IDi。即使A獲得X和IDi,在x未知時(shí),X=h1(IDi)x成立的等價(jià)性無法確認(rèn)。

C1=EnckU(IDi‖WU‖x)使用臨時(shí)密鑰kU加密用戶身份,A得到kU才能恢復(fù)用戶身份。而計(jì)算kU=KDF(PSU,X‖IDj),需獲取參數(shù)值PSU=e(TPKi,h1(IDj)x)和X=h1(IDi)x。主密鑰s的秘密性保證參數(shù)TPKi安全,使A無法恢復(fù)PSU和X。

消息M2傳遞參數(shù)C2=EnckS(WS‖PSS),A需計(jì)算kS=KDF(PSS,X‖IDj)來獲取身份,參數(shù)KRS的秘密性同樣使A無法計(jì)算出正確的參數(shù){PSS,WS}。

2)不可鏈接性和可否認(rèn)性。消息{M1,M2}是動(dòng)態(tài)生成的,參數(shù)均包含隨機(jī)數(shù)、當(dāng)前時(shí)間戳和單向哈希函數(shù)值,A無法確定驗(yàn)證消息是否屬于同一用戶,即不能被敵手鏈接。SN接收消息M1后,能生成與用戶相同的秘密值kS=kU,模擬與用戶端相同的認(rèn)證消息,使第三方無法確定消息的真正來源。

若A利用參數(shù){kU,kS}假冒用戶/傳感器節(jié)點(diǎn),須正確計(jì)算出{PSU,PSS}。而參數(shù){TPKi,TPKj}由可信第三方私鑰計(jì)算所得,并秘密存儲(chǔ),無法假冒。

4)隨機(jī)值泄露保護(hù)。假設(shè)最多一個(gè)隨機(jī)值x泄露給敵手,A試圖利用該值偽造合法的消息。

計(jì)算kU=KDF(PSU,X‖IDj)的關(guān)鍵在于PSU。由于TPKi值由私鑰s計(jì)算所得,即使A獲取隨機(jī)值x,也無法偽造參數(shù)TPKi,同時(shí)PSU也不會(huì)被泄露。計(jì)算WU需獲取口令PWi和智能卡內(nèi)參數(shù){ri,ARU},顯然這是困難的,故A無法偽造值{kU,WU}。同樣,A偽造密文C2也是困難的,即A無法建立有效消息M2={C2,TDj},因此隨機(jī)值泄露不會(huì)影響安全性。

表1 安全性質(zhì)比較

5 效率分析

本節(jié)比較分析所提方法、文獻(xiàn)[10]、文獻(xiàn)[17]和文獻(xiàn)[18]的方法在認(rèn)證與密鑰協(xié)商階段的通信、計(jì)算開銷和傳感器節(jié)點(diǎn)能耗開銷。在物聯(lián)網(wǎng)實(shí)際應(yīng)用場(chǎng)景中,用戶端能源相對(duì)充足,傳感器節(jié)點(diǎn)作為資源受限設(shè)備,被部署在無人監(jiān)管的環(huán)境,消耗的資源難以得到實(shí)時(shí)補(bǔ)充,只支持較低的通信開銷與計(jì)算量,本文主要分析傳感器節(jié)點(diǎn)的通信能耗和計(jì)算能耗。

采用crossbow公司開發(fā)的MICAz無線測(cè)量傳感器節(jié)點(diǎn),MICAz平臺(tái)硬件指標(biāo)分別設(shè)置為工作電流8.0 mA、工作電壓3.0 V、接收數(shù)據(jù)電流19.7 mA、發(fā)送數(shù)據(jù)電流17.4 mA、數(shù)據(jù)傳輸速率250 kbit/s。依據(jù)上述硬件指標(biāo)和文獻(xiàn)[20]提出的性能評(píng)估模型可得,執(zhí)行1 ms計(jì)算、發(fā)送1 bit數(shù)據(jù)和接收1 bit數(shù)據(jù)的能耗分別為0.024 mJ、0.000 21 mJ和0.000 24 mJ。

假設(shè)以下條件成立:①隨機(jī)數(shù)、時(shí)間戳、身份標(biāo)識(shí)、雙線性映射輸出的位長(zhǎng)度均為128 bit;②哈希函數(shù)均使用SHA-1,哈希值輸出的位長(zhǎng)度為160 bit;③所有對(duì)稱加密均使用128 bit AES加密系統(tǒng),加/解密輸出的位長(zhǎng)度為128 bit。從以上假設(shè)可知,用戶的通信開銷為160+128+128=416 bit,傳感器節(jié)點(diǎn)的通信開銷和能耗分別為128+128=256 bit、0.054 mJ,故總通信開銷為416+256=672 bit。文獻(xiàn)[10,17-18]的總通信開銷分別是800、1 248和1 344 bit。表2是本文方法與其他同類研究[10,17-18]通信開銷的比較結(jié)果。由表2可得,所提方法降低了傳感器節(jié)點(diǎn)的通信開銷和能耗,只需兩輪通信便可完成認(rèn)證與密鑰協(xié)商,總通信開銷也低于同類方法。因此,相比于文獻(xiàn)[10,17-18],本文方法的通信效率明顯較高。

表2 通信開銷比較

計(jì)算開銷主要取決于模冪運(yùn)算、雙線性對(duì)操作、對(duì)稱加/解密以及哈希運(yùn)算所消耗的時(shí)間。表3列出了計(jì)算開銷的比較結(jié)果。其中,Tex、Tbp、Ts和Th分別表示模冪運(yùn)算、雙線性映射運(yùn)算、對(duì)稱加/解密和哈希函數(shù),其他運(yùn)算的計(jì)算時(shí)間可忽略不計(jì)。為公平評(píng)估計(jì)算開銷,本文參考文獻(xiàn)[21]的配置:2.20 GHz Intel Pentium Dual CPU處理器,2 GB運(yùn)行內(nèi)存,32位Ubuntu 17.04.1 LTS 操作系統(tǒng)下。Tex、Tbp、Ts、Th的計(jì)算時(shí)間分別為3.85、5.811、0.004 6和0.002 3 ms。

表3 計(jì)算開銷比較

由表3可知,用戶端執(zhí)行時(shí)間為13.527 1 ms,傳感器節(jié)點(diǎn)執(zhí)行時(shí)間和計(jì)算能耗分別為9.674 8 ms、0.232 2 mJ,總執(zhí)行時(shí)間為23.201 9 ms。文獻(xiàn)[10]的總執(zhí)行時(shí)間為27.049 6 ms,文獻(xiàn)[17]的總執(zhí)行時(shí)間為34.877 5 ms,文獻(xiàn)[18]的總執(zhí)行時(shí)間為30.996 9 ms。從計(jì)算開銷分析可知,方法中傳感器節(jié)點(diǎn)的計(jì)算開銷和能耗明顯下降,總計(jì)算開銷低于同類方法。

6 結(jié)束語(yǔ)

本文使用雙線性對(duì)映射算法和基于身份匿簽密,提出一種可證安全的適用于物聯(lián)網(wǎng)應(yīng)用場(chǎng)景的身份隱藏認(rèn)證方法,利用用戶口令和智能卡完成雙向認(rèn)證和會(huì)話密鑰協(xié)商,滿足會(huì)話密鑰的語(yǔ)義安全性;通過與同類方法在安全特性、通信開銷和計(jì)算開銷方面的對(duì)比分析評(píng)估了所提方法的性能。結(jié)果表明,所提方法提供身份隱私和通信數(shù)據(jù)的安全性,能夠抵抗已知的物聯(lián)網(wǎng)攻擊;同時(shí),傳感器節(jié)點(diǎn)的計(jì)算量和通信量明顯下降,符合物聯(lián)網(wǎng)應(yīng)用場(chǎng)景的實(shí)際需求。