面向輕量級物聯網設備的高效匿名身份認證協議設計

王振宇，郭陽，李少青，侯申，鄧丁

（1.國防科技大學計算機學院，湖南 長沙 410000；2.信息工程大學，河南 洛陽 471003）

0 引言

物聯網（IoT,Internet of things）是一種新興通信網絡，基于互聯網實現任何對象的互連互通，包括傳感器、標簽和智能設備[1-2]。物聯網在人們生活和工作等各個應用場景都扮演著重要角色，包括智慧城市、智慧商城、智慧銀行、智能農業以及家庭自動化等[3]。然而，物聯網中存在大量體積小、硬件處理能力低、資源有限的終端設備，這使以用戶為驅動的傳統復雜安全認證協議很難在資源受限的物聯網中發揮作用[4]。

為了滿足物聯網信息安全需求，采用輕量級安全協議是解決資源受限設備信息認證的有效方法[5]。大多數物聯網設備的身份認證協議通過采用對稱密鑰算法、Hash 函數等輕量級安全原語，來保證信息傳輸的機密性、完整性以及不可否認性等安全屬性[6-7]。然而，密鑰存儲在非易失性存儲器（NVM,non-volatile memory）容易被側信道攻擊，無法保證關鍵信息安全性。

物理不可克隆函數（PUF,physical unclonable function）是一種新型輕量級安全原語，不需要使用NVM、不需要為每塊芯片量身定制，且對侵入式攻擊有較強的靈敏性反應，是平衡認證機制安全性和軟硬件開銷的合適方法[8]。PUF 利用芯片在制造過程中無法控制的隨機工藝偏差來產生器件獨有的數字簽名，其安全性來自物理無序系統的復雜性和不可預測性[9-10]。PUF 特定的“激勵?響應”機制觸發，不需要存儲且硬件開銷小，可以避免傳統密鑰面臨的安全問題，非常適用于物聯網設備安全認證[11-12]。

在射頻識別技術（RFID,radio frequency identification）、無線傳感器網絡（WSN,wireless sensor network）等物聯網應用環境中，節點資源的嚴重受限使計算、存儲和通信開銷較大的傳統認證技術無法應用，因此基于PUF的輕量級認證技術成為該領域研究的熱點[13]。Gope 等[14]考慮到PUF 自身可靠性問題，基于理想PUF 與帶糾錯機制的噪聲PUF分別提出匿名且不可追蹤的安全認證協議。Hossain等[15]為解決IoT 系統受設備克隆和重新編程攻擊，結合PUF 提出一種資源高效的雙向身份認證協議。但是協議中加入了計算開銷大的橢圓加密算法，從而不適合輕量級設備的認證。Akgün 等[16]根據Vaudenay安全模型對協議的隱私進行驗證，同時采用PUF 生成的密鑰對來保證設備的安全存儲。Zhou 等[17]結合IoT 架構與云服務器提出了一種高效身份隱私驗證方案，但是不能防御克隆攻擊。Moriyama 等[18]針對攻擊者通過物理攻擊訪問設備的內存試圖破壞設備安全和隱私等問題，提出了一種可證明安全私有的RFID 身份認證協議，以防止設備整個內存的信息泄露。Patil 等[19]結合區塊鏈技術，以PUF 為計算模型提出了一種隱私保護認證協議，該協議通過PUF 構造的智能合約區塊鏈來確保用戶的隱私性和機密性。

雖然上述輕量級安全協議能解決部分物聯網設備的安全傳輸問題，但是這些協議仍存在效率低、安全性差、功能不完善等缺點。因此，本文基于PUF為物聯網設備提出一種高效匿名輕量級身份互認證協議，該協議可以確保關鍵的安全屬性，包括匿名性、可用性、機密性和前向/后向保密性等。此外，該協議還可以確保攻擊者不能獲取PUF的任何激勵?響應對（CRP,challenge response pair）信息，從而防止攻擊者對設備中的PUF 進行建模攻擊。形式化安全模型和ProVerif 協議分析工具證明該協議可以防御竊聽、克隆、重放等多種安全威脅。相比于其他近期的安全協議，該協議具備更低的計算開銷、通信開銷和存儲開銷，適用于資源受限的輕量級物聯網設備。

1 物聯網設備協議認證的安全模型

物聯網系統的整體結構由設備、網關、網絡與服務器構成。本文構建的物聯網設備認證協議的安全模型如圖1 所示。物聯網設備認證協議的攻防體系由系統結構、安全威脅與安全需求三方面構成。

物聯網設備認證協議的攻防體系可表示為

物聯網設備認證協議的攻防體系=F(系統結構、安全威脅、安全需求)

系統結構=f(設備、網關、網絡、服務器)

安全威脅=f(物理、去同步、克隆、DoS、假冒、重放、竊聽等攻擊)

安全需求=f(隱私與機密性、完整性、時效性、不可否認性、不可追蹤性、前向/后向安全性、雙向認證)

1.1 物聯網設備安全威脅

由于物聯網設備和服務器之間的信道傳輸不安全，設備在認證過程中會面臨各種安全威脅。

1) 物理攻擊。攻擊者通過物理攻擊訪問設備的內存，以獲得密鑰等安全信息。

2) 去同步攻擊。攻擊者破壞設備與服務器的某次通信過程，使共享的信息經過本次交互后不再一致，導致雙方不能成功進行后續認證。

3) 克隆攻擊。攻擊者非法獲取電子設備信息后，通過復制或假冒的方式替代被攻擊的設備。

4) 假冒攻擊。在設備通信過程中，攻擊者假冒設備（或服務器）身份，引入新的信息，刪除原有信息來與服務器（或設備）進行交互，通過對方的驗證，從而達到冒充合法設備（或服務器）的目的。

5) 重放攻擊。攻擊者通過竊聽并收集設備與服務器之間的通信信息，然后在某個時間重放這些消息給另一方，來通過消息接收方的驗證。

6) 竊聽攻擊。攻擊者通過竊聽服務器與設備之間的通信信道，非法獲取通信的秘密信息。

1.2 物聯網設備安全需求

為了保證物聯網設備與服務器的安全認證，協議需滿足以下安全需求。

1) 隱私與機密性。協議既要保護設備通信數據的機密性，同時也要保護用戶身份、位置等敏感信息的隱私性。

2) 完整性。為了確保數據的完整性，協議必須有能力檢測未授權方的數據操作，防止對物聯網系統中的通信數據進行修改。

3) 時效性。包括物聯網在內的所有信息系統，必須及時和正確地反饋合法用戶的數據請求。安全協議要確保設備在遭受攻擊的情況下，仍然可以完成數據的正常獲取和安全傳輸。

4) 不可追蹤性。為了更好地保護用戶的隱私，協議應該支持不可追蹤性，即攻擊者無法從截獲的消息中追蹤用戶的行為。

5) 前向/后向安全性。前向安全性意味著前一會話密鑰的信息不能幫助攻擊者獲得后面認證的會話密鑰，從而保證未來通信的安全性。同時，協議還應提供后向安全性，即一個安全信道的泄露不會損害先前信道的安全性。

6) 雙向認證。為了減少通信開銷，協議不提供在線注冊中心，即不需要在線注冊中心來實現相互認證。

2 數學理論知識

本節介紹用于保護信息隱私性和完整性的安全原語，包括物理不可克隆函數、PUF 建模攻擊假設和單向Hash 函數假設。

2.1 物理不可克隆函數

由激勵c∈C生成響應r∈R的操作也可以表示為

2.2 PUF 建模攻擊假設

挑戰攻擊者A 隨機選擇一個不在以前查詢序列中的激勵Cx。

階段2攻擊者A 用建立的PUFA()模型查詢激勵Cx。

響應攻擊者A 猜測PUF的輸出響應Rx′，并且與真實的PUF 響應Rx=PUF(Cx)進行比對。如果Rx′ =Rx，則表明攻擊者A 建模攻擊成功。

2.3 單向Hash 函數假設

安全Hash 函數需滿足以下幾個基本條件。

1) 輸入x可以是任意長度，輸出數據串為固定長度。

2) 反向計算困難，即給出一個Hash 函數值h，很難找出特定輸入x，使h=H(x)。

3) 對任何給定的分組x，找到滿足x≠y且H(x)=H(y)的y在計算上是不可行的，滿足抗弱碰撞性；同時，找到任何滿足H(x)=H(y)的(x,y)在計算上是不可行的，滿足抗強碰撞性。

3 協議機制

本文基于PUF的物聯網設備提出高效匿名的身份認證協議。該協議可分為三部分，包括設備注冊階段、雙向認證階段、固件更新階段。其相關符號說明如表1 所示。

表1 符號說明

3.1 協議的基本假設

本文基于PUF 提出了隱私匿名保護的輕量級認證協議，其基本假設如下。

1) 每個物聯網設備都嵌入了PUF，任何篡改PUF的攻擊都會更改設備的輸入與輸出，使設備無法工作。

2) 嵌入設備中的PUF 滿足可靠性、不可預測性、不可克隆性等性能指標，不需要采用糾錯機制來保證PUF的安全屬性，即理想的安全PUF。

3) 攻擊者可以對特定的強PUF 結構進行數學建模，并通過機器學習算法對其CRP 進行預測。攻擊者可以通過物理攻擊等手段訪問設備端中存儲的信息。

4) 假定設備的注冊階段在安全通信環境中進行，數據傳輸絕對安全。在設備認證與固件更新階段，攻擊者可以對傳輸的消息進行竊聽、偽造或篡改等攻擊。

3.2 設備注冊階段

為了保證信息安全傳輸，設備需要先在服務器進行注冊，其注冊階段步驟如圖2 所示，具體說明如下。

圖2 設備注冊階段步驟

在設備注冊階段，服務器首先給設備分配一個身份IDD，并隨機產生一個激勵Ci。為防止設備在認證過程中遭受去同步攻擊和DoS 攻擊，服務器會隨機產生臨時應急激勵CTM和臨時認證身份IDTM，并將信息R1發送給設備端。

1) 當設備接收到IDD時，為了更好地隱藏身份，生成一個偽隨機身份

Step3服務器存儲信息

3.3 雙向認證階段

雙向認證階段實現物聯網設備與服務器之間的相互認證，步驟如圖3 所示，具體說明如下。

圖3 認證階段步驟

設備端生成一個隨機數ai，并選擇第i輪認證的偽隨機身份以及臨時身份IDTM。設備計算并發送消息M1到服務器S。

1) 服務器對設備發送的請求信息進行認證，如果服務器不能搜索到偽隨機身份則拒絕設備認證。同時，服務器啟動緊急認證模式，使用臨時認證身份IDTM重新對服務器進行認證請求。在應急模式下，服務器將選擇臨時應急激勵，并且提供新的偽隨機的身份PIDi D給設備進行下一輪認證。臨時認證身份IDTM和臨時應急激勵(CTM,RTM)被使用之后，服務器需要將這些信息從數據庫中刪除。該機制可以有效抵御DoS 攻擊和去同步攻擊，從而保證服務器的匿名性和不可追蹤性。2) 如果服務器成功識別偽隨機身份則記錄該時刻的時間值TS，同時從存儲器中讀取(Ci,Ri)進行下一步認證。服務器從傳輸信息Ai解析出隨機值ai，并且產生一個隨機值bi。

3) 服務器將選取的激勵Ci采用按位選取方式分成兩段Ci1與Ci2，然后通過解析出的隨機數ai計算出服務器計算出與AuthD，并且將消息M2發送給設備。

1) 設備首先檢查傳輸時延是否在允許的時間間隔ΔT內，即。ΔT是服務器與設備完成多次認證的平均時間閾值（經驗值），防止消息被重放。設備記錄該時刻的時間值TD。

2) 設備從接收的信息中恢復PUF的激勵Ci1與Ci2，然后按位選取方式拼接成Ci。設備輸入激勵Ci到PUF 中得到響應Ri，并解析出隨機數bi。設備將計算值AuthD與服務器發送值AuthS進行比對，若相等，則設備對服務器的認證成功；否則，設備對服務器的認證失敗。

3) 設備將激勵Ci作為種子來產生新的激勵Ci+1，并且計算新的響應值與Ri+1=PUFD(Ci+1)。同時，設備計算RSi+1和認證信息AuthS，并且將信息M3發送給服務器。

Step4服務器認證信息

服務器首先檢查傳輸時延是否在允許時間間隔ΔT內，即。服務器將AuthS與設備發送的AuthD進行比對，若相等，則服務器對設備的認證成功，進入固件更新階段；若不相等，則服務器對設備的認證失敗。

3.4 固件更新階段

4 形式化安全分析

本節通過隨機預言模型和形式化工具Proverif對協議進行安全性分析。

4.1 形式化安全模型

為了證明本文所提協議的安全性，在隨機預言模型下實現用戶相互認證。假設存在一個多項式時間攻擊者A，它可以訪問設備和服務器傳輸信道之間的所有消息，以及所有公共參數。在該協議中，符號表示協議參與者P的第i次會話，參與者P包括設備D和服務器S，分別表示為和。攻擊者A 可以在多項式時間內進行以下查詢，來破壞協議的安全性。

4) Reveal(A)。該查詢可模擬對手發起DoS 攻擊。在該模式下，允許攻擊者A 阻塞協議通信并且中斷服務器和設備之間的同步。

6) Hash(M)。攻擊者A 使用消息M進行Hash查詢，查詢中Hash 列表Lh中是否存在消息M。

7) Query(CRP)。該序列是查詢認證過程中PUF 生成的CRP，若查詢成功，則返回消息(Ci,Ri)到列表LC；否則，將生成一個隨機值Ci,Ri∈{0,1}n重放給A，并將元組(Ci,Ri)存放在列表LC。

語義安全性概念。在測試中，需要區分協議中的真實會話信息和隨機信息。允許攻擊者A 對設備或服務器執行多次測試查詢，最后A 輸出一個猜測位c′。將Pr[Succ]定義為A 測試成功的概率，則A打破身份驗證和密鑰協商協議P的語義安全性方面的優勢為。如果Advp(A)可以忽略不計（對于任何足夠小的ε>0，有Advp(A)<ε），則證明所提協議安全。

4.2 形式化安全證明

引理1在所提協議中，攻擊者A 調用Send()、Execute()、Corrupt()等查詢序列不能獲得設備中任何機密信息。

調用Hash()序列的其他函數與之類似。因此，攻擊者調用Hash()查詢序列不能得到協議中的重要信息。

證畢。

引理4 所提協議可以防御DoS 攻擊和去同步攻擊。

證明 在所提協議中，為了防御DoS 攻擊和去同步攻擊，在注冊階段加入臨時認證身份IDTM與臨時應急假設攻擊者A 在認證過程中調用了Reveal(A)序列，從而導致服務器不能接收消息，不能更新下一次認證的CRP (Ci+1,Ri+1)。為了防止服務器的資源被攻擊者耗盡，則服務器需要設備端使用臨時認證身份IDTM重新進行認證請求。一旦服務器接收到的消息為IDTM（代替PIDi D），服務器將發送臨時激勵并且繼續這一輪的協議認證。通過該機制可以防御DoS 攻擊和去同步攻擊。

證畢。

引理5所提協議可以防御物理攻擊和克隆攻擊。

證明攻擊者A 可以通過調用Corrupt()指令來進行物理攻擊，獲取存儲在設備中的敏感信息。因此，安全的認證協議不應在內存中存儲任何秘密。然而，現在大多數密碼算法認證協議都是以密鑰的形式存儲一個或多個機密值在內存當中，從而會導致密鑰泄露。根據引理1和引理2，本文所提協議在設備端存儲任何密鑰信息。另外，PUF 利用芯片在制造過程中無法控制的隨機工藝偏差，從而使具有相同光刻掩模的制造商無法對這些簽名進行物理上的復制。PUF 自身所具備的不可克隆特性保證設備可以防御克隆攻擊。根據3.1 節內容，所提協議要求每個設備都嵌入了PUF。因此，所提協議可以防御物理攻擊和克隆攻擊。

證畢。

定理1所提協議可以防御機器學習。

證明雖然PUF的應用成功解決了密鑰存儲在片上NVM 中的不安全性，但是PUF 會同時產生大量的CRP 子集。攻擊者A 通過獲取PUF的大量CRP，利用已知的CRP子集模擬并訓練模型，進而來預測未知的CRP。在該協議機制中，攻擊者A 可以通過下面的訓練模型來獲得CRP 子集進行攻擊。

1) 選擇一個有效的認證環境，服務器S與設備D可以在該環境中通信。

2) 攻擊者A 可以多次調用Send()、Execute()、Hash()、Corrupt()等操作。完成這些操作后，將消息返回給攻擊者。

3) 攻擊者調用Query(CRP)命令來獲取PUF的CRP。

4) 如果攻擊者A 可以猜測PUF的正確CRP，則認為設備中的PUF 能被建模攻擊，攻擊者贏得此次游戲，否則失敗。

在該游戲模型中，如果攻擊者A 能通過n輪認證之后獲取PUF的大量CRP，則認為攻擊者能對PUF 進行建模攻擊。由引理1 可知，攻擊者A 調用Send()、Execute()、Hash()等操作都只能獲取偽隨機身份并且所提協議沒有存儲任何CRP信息在設備中。因此，攻擊者A 不能獲取到任何CRP 信息。

證畢。

定理2在所提協議中，設備的每輪認證是不可追蹤的。

證明在物聯網設備認證過程中，如果攻擊者無法對服務器的兩次有效身份認證進行關聯，則認為設備是無法追蹤的。為證明該協議具備不可追蹤性，通過調用安全模型的指令來構建一個訓練模型。假設攻擊者A 是多項式時間算法，其規則如下。

1) 選擇2 個有效的設備D1和D2，以及一個可以正常通信的服務器S。

2) 攻擊者在服務器S與設備D1和D2認證過程中可以多次調用以下操作：Send()、Execute()、Hash()、Corrupt()。在完成這些操作之后，將消息返回給攻擊者。

3) 攻擊者在2 個設備中隨機挑選一個設備Di(i=0,1)，并在服務器S與設備Di調用以下操作：Send()、Execute()、Hash()、Corrupt()，從而學習到更多信息。

4) 攻擊者通過訓練的結果來猜測設備D′。若D′=Di，則攻擊者贏得此次游戲，否則失敗。

證畢。

定理3 所提協議在保證設備具有向后不可追蹤性的前提下，仍具有向前的保密性。

證明定理2 證明了協議具有不可追蹤性，在定理2的游戲模型基礎上，重新構建新的游戲模型。則攻擊者模型如下。

1) 選擇2 個有效的設備D1和D2，以及一個可以正常通信的服務器S。

2) 攻擊者在服務器S與設備D1和D2可以調用以下操作：Send()、E xecute()、H ash()、C orrupt()，并將消息返回給攻擊者。

3) 攻擊者在2 個設備中隨機挑選一個設備Di(i=0,1)。

4) 攻擊者A 調用Corrupt()指令獲得當前數據，即當前臨時身份。

該協議沒有存儲任何CRP 以及機密信息在設備中，并且所使用的認證信息都是一次性的。即使攻擊者A 獲得當前身份信息和CRP，但A 仍然無法通過竊聽或者物理攻擊等手段來跟蹤設備信息。攻擊者將不能準確猜測出該設備，則成功的概率為因此，所提認證協議在保證設備具有向后不可追蹤性的前提下，仍具有向前的保密性。

證畢。

定理4所提協議可以防御假冒攻擊。

證明在協議認證機制中，攻擊者嘗試假冒為合法設備與服務器認證，則攻擊者可以通過下面的訓練模型來進行攻擊。

1) 選擇一個有效的認證環境，服務器S與設備D可以在該環境中通信。

2) 攻擊者可以多次調用以下操作：Send()、Execute()、Hash()、Corrupt()。在完成這些操作之后，將消息返回給攻擊者。

4) 如果攻擊者可以與服務器相互認證，則攻擊者贏得此次游戲，否則失敗。

6) 如果攻擊者可以與設備相互認證，則攻擊者贏得此次游戲，否則失敗。

證畢。

定理5所提協議可以防御重放攻擊

證明在協議認證機制中，攻擊者A 可以按定理4的訓練模型來進行重放攻擊，A 成功獲得合法設備的身份驗證信息，并收集該信息進行下一輪的身份驗證，以欺騙合法設備與服務器。

4.3 形式化工具分析

ProVerif[20]是一種在形式模型中廣泛用于驗證密碼協議的工具。ProVerif 支持許多加密原語，包括對稱/非對稱加密、數字簽名、散列函數、Diffie-Hellman 密鑰協議。ProVerif 能夠證明多種安全屬性，以及去同步、重放、竊聽、假冒等各種攻擊類型。本節使用ProVerif 工具來證明協議的隱私身份驗證屬性。

在Dolev-Yao 模型[21]下，該協議由設備和服務器2 個進程并行運行。圖4和圖5 分別為協議設備和服務器在注冊階段與認證階段的運行代碼。event DeviceStarted (IDi)表示設備開始認證，event DeviceAuthed (xAuthD)表示設備結束認證。同樣，event ServerStarted (xPIDi)和event ServerAuthed (xAuthS)分別表示服務器開始認證和結束認證。

圖4 設備運行代碼

圖5 服務器運行代碼

協議查詢結果如圖6 所示，每個查詢由虛線分隔。結果表明，服務器與設備之間的認證是穩定的，能防御各種類型攻擊，且會話密鑰對模擬攻擊者具有穩健性。因此，設計的解決方案通過形式驗證是安全的。

5 性能分析

由于大部分物聯網設備體積小、移動需求高且安全性能低，因此本文協議需要從安全性能、計算開銷、存儲與通信開銷等方面進行評估。本節將本文協議與近幾年的認證協議（Wang 等[22]、Patil 等[19]、Gope等[14]、Bian 等[23]、Qureshi 等[24]、黃可可等[25]）的性能進行比較分析。

5.1 安全性能

本節在安全性能方面將本文協議與其他協議進行對比分析，結果如表2 所示。攻擊者可以通過物理攻擊來獲取存儲設備中的信息，文獻[19,22-25]協議都將關鍵信息存儲在設備中，從而不可以防御物理攻擊。根據定理1，所提協議可以防止攻擊者獲取PUF的CRP 子集，從而防御建模攻擊。在文獻[14,19,22,24-25]協議中，攻擊者可以通過竊聽、修改、假冒等攻擊獲取PUF的CRP，從而不能防御建模攻擊。文獻[14,23]協議中的設備存儲了新舊2 個身份，攻擊者很容易通過物理攻擊獲取當前身份信息，跟蹤到前一輪或下一輪的認證信息，因此協議不具備不可追蹤性。文獻[25]協議在PUF的基礎上，只采用了異或與移位操作，不能保證信息安全傳輸。在現今的密碼學中，簡單的異或操作是容易被破解的[26-27]，并且移位操作的計算復雜度很低。因此，協議不能很好地防御假冒攻擊、線上/線下密碼猜測攻擊以及DoS 攻擊等。文獻[19,22]協議遭受去同步攻擊，導致服務器和設備的認證信息不一致，從而雙方相互認證不同步。

5.2 計算開銷

本節通過Python 編寫程序在設備和服務器之間實現本文協議。網絡交互是通過使用抽象TCP 客戶端/服務器連接的套接字來完成的。服務器等待與指定IP 地址上的設備連接。一旦設備成功與服務器建立連接，該協議就會執行一個相互認證會話。本文在移動設備與服務器實現該協議，在MIRACL單元庫中仿真協議中的安全原語操作。在FPGA 下運行128位SRPUF的運行時間[28]。本文中相關操作的運行時間如表3 所示。其中，TH為Hash 函數的運行時間，TP為PUF 模塊的運行時間，TM為MASK/UNMASK 函數的運行時間，TF為輔助函數的運行時間，TSK為對稱加密算法的運行時間，TFE.GEN為糾錯函數生成的運行時間，TFE.REP為糾錯函數恢復的運行時間。

表3 相關操作的運行時間

表4描述了協議計算開銷的性能比較，包括PUF、Hash 函數、偽隨機數發生器、對稱加密算法等安全方法。本文協議在設備端使用了4 次Hash 函數、2 次PUF 操作以及2 次隨機數發生器，其運行時間為4TH+2TP+2TR≈0.468 ms；在服務器端僅運行4次hash函數和2 次偽隨機數發生器，其運行時間為4TH+2TR≈0.07 2ms。文獻[14,22-24]協議中均使用了加密算法以及糾錯機制，加密算法和糾錯機制運行時間長且效率低，不適用于輕量級設備。雖然文獻[25]協議使用的運行操作數很少，只采用了異或與移位操作，但是安全性得不到保障。各協議在設備端與服務器端的計算開銷分別如圖7(a)與圖7(b)所示。

表4 協議計算開銷的性能比較

5.3 存儲與通信開銷

圖7(c)與圖7(d)分別表示文獻[14,22-25]協議在設備存儲與通信開銷方面的對比。借鑒文獻[29]的實驗數據，偽隨機身份的字節長度為128 bit，臨時身份IDTM的字節長度為128 bit，CRP(Ci,Ri)的字節長度均為128 bit，隨機數nonce的字節長度為64 bit，密鑰的字節長度為96 bit，輔助數據hd 為1 264 bit，Hash 函數的輸出為128 bit。在設備存儲需求方面，所提協議只存儲了需要256 bit的存儲開銷，遠低于其他協議的存儲容量。而設備認證階段，傳輸開銷中采用了Hash 函數壓縮字節長度，傳輸消息為A1,A2,A3，通信開銷共896 bit。與文獻[14,22-25]協議相比，本文協議的存儲與通信開銷遠低于其他方案。

圖7 協議中各類開銷對比

6 結束語

面對物聯網產生的海量數據給資源受限的終端設備帶來信息傳輸的安全隱患，本文基于PUF 為物聯網設備提出一種高效匿名輕量級身份認證協議。該協議結合PUF和輕量級安全原語來有效地確保信息傳輸安全性，包括匿名性、可用性、機密性和前向/后向保密性等。該協議通過保護CRP 子集的機密性，防止攻擊者對PUF的建模攻擊。攻擊者可以通過物理攻擊訪問設備內存，但該協議中的設備不需要存儲任何敏感信息。形式化安全模型和ProVerif 協議分析工具表明，該協議滿足信息傳輸機密性、完整性、不可追蹤性、抗中間人攻擊、搞建模攻擊等13 種安全屬性。對比現有安全認證機制，所提協議具備計算開銷、通信開銷和存儲開銷低以及安全性能高的特點，適合輕量級物聯網設備的安全通信。