面向體育運動體征數(shù)據(jù)的兩方認證密鑰協(xié)商協(xié)議

陳 勤 唐明歡 吳 寧

1(湖南人文科技學院 湖南 婁底 417000) 2(北部灣大學 廣西 欽州 535011)

Provably Security

0 引 言

隨著體育競技水平的提高,傳統(tǒng)的經驗型訓練已不能滿足體育運動訓練的要求,智能化、精細化的運動體征監(jiān)測及分析方法已成為開展規(guī)范化訓練的必要條件。因而,近年來物聯(lián)網技術在體育運動中的應用引起了眾多研究學者的關注。當前,物聯(lián)網已被廣泛用于運動體征數(shù)據(jù)監(jiān)測、動作捕捉、運動模式識別等領域[1-4]。

為保證實時性與便捷性,物聯(lián)網中體征數(shù)據(jù)大多通過無線信道傳輸。然而,無線信道的開放性卻使得這些涉及用戶隱私的數(shù)據(jù)容易遭受攻擊者發(fā)起的竊聽、篡改、重放等安全威脅。2014年,在某馬拉松比賽現(xiàn)場,研究者通過嗅探設備記錄到了563個體征監(jiān)測設備,并通過設備名和物理地址定位到了設備的攜帶者;2015年,卡巴斯基安全實驗室通過對健康監(jiān)測設備進行檢測發(fā)現(xiàn),常見監(jiān)測設備使用的認證方式均允許第三方隱身連接至這些設備,并執(zhí)行命令[5]。諸如此類的安全問題給用戶的個人隱私帶來了嚴峻挑戰(zhàn)。因而,設計必要的安全機制來保證物聯(lián)網中體育運動體征數(shù)據(jù)的安全性,對于保證用戶隱私而言至關重要。

針對物聯(lián)網中數(shù)據(jù)的安全問題,眾多研究學者提出了安全方案。近年來,文獻[6-8]研究了基于對稱密碼體制的物聯(lián)網安全方案,該類方案具有輕量級、易實現(xiàn)等優(yōu)點,但這些方案需要交互實體間預先共享密鑰參數(shù)信息,并且所需的存儲開銷較大。文獻[9]提出一種基于橢圓曲線密碼體制(Elliptic Curve Cryptography,ECC)的物聯(lián)網認證方案,具有輕量級的特點,但該方案不能抵抗節(jié)點跟蹤和智能卡竊取攻擊[10]。文獻[11]提出一種高效安全的物聯(lián)網消息認證方案,具有計算開銷小、方案實現(xiàn)復雜度低的特點,但該方案未實現(xiàn)鏈路密鑰的建立。文獻[12]針對可穿戴設備的認證問題,提出一種雙因子認證協(xié)議,能夠有效抵抗妥協(xié)和假冒等攻擊,但協(xié)議使用了基于設備底層硬件特征的物理不可克隆函數(shù),需要增加額外的硬件開銷,不適用于設備便攜且體積較小的體育運動場景。文獻[13]提出一種輕量級的加密方案,該方案通過由隨機密鑰組成的置換網絡來構造加密和解密算法,可有效抵抗白盒攻擊,并且方案所需的存儲空間較小且計算復雜度低,但該方案未考慮設備的認證問題,不能抵抗偽造攻擊。文獻[14]提出一種基于ECC密碼體制的訪問控制和密鑰協(xié)商協(xié)議,具有計算開銷低的優(yōu)勢,但該協(xié)議存在密鑰托管的問題。此外,文獻[15]和文獻[16]提出了基于無證書公鑰密碼體制的物聯(lián)網安全方案,可有效解決原有公鑰密碼體制存在的密鑰托管和證書管理問題,但文獻[15]提出的協(xié)議需要使用對運算,計算開銷較高,并且分析表明文獻[16]無法抵抗偽造攻擊。

針對上述問題,本文在分析文獻[16]方案存在的安全缺陷的基礎上,提出一種面向體育運動體征數(shù)據(jù)的高效認證密鑰協(xié)商協(xié)議。協(xié)議基于橢圓曲線上的無證書公鑰密碼體制實現(xiàn),無須使用雙線性對運算,在計算開銷和通信開銷上具有明顯優(yōu)勢,可有效抵抗竊聽、篡改、重放、身份偽造等攻擊方式,并提供了完美前向安全性且無密鑰托管問題,能夠滿足物聯(lián)網中體育運動體征數(shù)據(jù)的安全傳輸需求。

1 相關基礎知識

1.1 相關困難問題

設E/Fp為有限域Fp上的一條滿足要求的橢圓曲線,其中p為足夠大的安全素數(shù)。G是一個階為素數(shù)q的循環(huán)群,并且點P∈E/Fp是該群的一個生成元。

1.2 安全模型

無證書公鑰密碼體制面臨的敵手可分為A1和A2兩類。其中:A1類敵手能夠利用合法用戶的公鑰對協(xié)議的安全性進行攻擊,但無法掌握系統(tǒng)的主密鑰,可視為惡意的用戶;A2類敵手能夠擁有系統(tǒng)的主密鑰,可視為惡意的密鑰生成中心(KGC)。

定義3協(xié)議的安全性。若認證密鑰協(xié)商協(xié)議同時滿足以下條件,則稱該協(xié)議是安全的。

(1) 協(xié)議參與者協(xié)商出相同的會話密鑰,并且該密鑰服從均勻分布。

(2) 對于任意概率多項式時間的敵手A,其贏得上述游戲的優(yōu)勢Adv(k)是可以忽略的。

2 周彥偉等[16]方案安全性分析

將周彥偉等[16]的方案的協(xié)議參與者記為IDA和IDB,IDA擁有公/私鑰對,IDB擁有公/私鑰對,協(xié)議的具體過程見文獻[16]。

敵手A2擁有系統(tǒng)主密鑰s,其對協(xié)議的可行攻擊過程如下:

由上述分析可知,周彥偉等[16]的方案不能抵抗A2類敵手發(fā)起的偽造攻擊。敵手在未掌握合法設備私鑰的情況下,能夠成功冒充合法設備的身份,并計算出共享的會話密鑰。

3 本文協(xié)議

3.1 網絡模型

基于物聯(lián)網的體育運動體征數(shù)據(jù)傳輸一般網絡模型如圖1所示。

圖1 基于物聯(lián)網的體育運動體征數(shù)據(jù)傳輸網絡模型

模型中的實體主要包括傳感節(jié)點、路由節(jié)點、數(shù)據(jù)處理中心、體育運動研究人員和服務器。其中:傳感節(jié)點負責采集運動員的體征信息,并通過無線方式與路由節(jié)點建立網絡連接;路由節(jié)點用于傳遞與轉發(fā)傳感節(jié)點發(fā)送的消息,也可用于傳遞數(shù)據(jù)處理中心向傳感節(jié)點發(fā)送的控制指令;數(shù)據(jù)處理中心用于收集和分析運動員的體征數(shù)據(jù),向體育運動研究人員呈現(xiàn)分析結果,也可通過指令控制傳感節(jié)點的工作狀態(tài);體育運動研究人員通過數(shù)據(jù)處理中心傳遞來的數(shù)據(jù),對運動員的體征數(shù)據(jù)和運動狀態(tài)進行精細化分析;服務器用于網絡的管理,并充當KGC的角色,向網絡中的實體分配密鑰參數(shù)。

3.2 安全協(xié)議

協(xié)議包括系統(tǒng)初始化、實體密鑰生成、身份認證和密鑰協(xié)商三個部分。系統(tǒng)初始化由服務器負責,用于選取協(xié)議所需的參數(shù);實體密鑰生成用于建立網絡中各個實體設備的公/私鑰對;身份認證和密鑰協(xié)商則用于實現(xiàn)通信實體間的雙向認證和會話密鑰建立。

(2) 實體密鑰生成。以實體設備IDi為例,介紹網絡中各個實體設備的公/私鑰對生成過程。該過程只需要在實體設備加入網絡時執(zhí)行一次。

③ 實體設備IDi收到消息{Ri,yi}后,通過驗證等式y(tǒng)iP=PS+RiH1(IDi,Xi,Ri)是否成立來判斷消息的有效性。若等式成立,則實體設備IDi得到其完整公/私鑰對;否則,密鑰生成失敗,重新執(zhí)行上述過程。

(3) 身份認證和密鑰協(xié)商。以實體設備IDA和IDB間的交互為例,介紹身份認證和密鑰協(xié)商過程。該過程在公開的網絡環(huán)境中執(zhí)行,可分為如下4步,如圖2所示。

圖2 身份認證和密鑰協(xié)商過程

③IDA收到消息后,驗證等式wBP=XB+[PS+RBH1(IDB,XB,RB)]H2(XB,RB,rAXB,xATB)+TB是否成立。若等式成立,則實體設備IDA實現(xiàn)對IDB的身份認證,繼續(xù)執(zhí)行后續(xù)過程;否則,身份認證失敗,協(xié)議終止。

實體設備IDA實現(xiàn)對實體設備IDB的認證后,IDA分別計算wA=xA+yAH2(XA,RA,xATB,rAXB)+rA,keyA=H3(rATB,xATB,rAXB),并向實體設備IDB發(fā)送消息{wA}。

④IDB收到消息后,驗證等式wAP=XA+[PS+RA·H1(IDA,XA,RA)]H2(XA,RA,rBXA,xBTA)+TA是否成立。若等式成立,則實體設備IDB實現(xiàn)對IDA的身份認證,繼續(xù)執(zhí)行后續(xù)過程;否則,身份認證失敗,協(xié)議終止。

認證通過后,實體設備IDB計算keyB=H3(rBTA,rBXA,xBTA)。

4 安全性分析

4.1 正確性分析

(1) 身份合法性驗證。以協(xié)議中實體設備IDA對實體設備IDB的身份認證過程為例,分析協(xié)議中身份合法性驗證機制的正確性。

IDA收到的wB=xB+yBH2(XB,RB,xBTA,rBXA)+rB,因而wBP=[xB+yBH2(XB,RB,xBTA,rBXA)+rB]P=xBP+yBPH2(XB,RB,xBTA,rBXA)+rBP=XB+[PS+RiH1(IDi,Xi,Ri)]H2(XB,RB,xBTA,rBXA)+TB。此外,由于xBTA=xBrAP=rAXB且rBXA=rBxAP=xATB,因此,IDA能夠通過驗證等式wBP=XB+[PS+RBH1(IDB,XB,RB)]H2(XB,RB,rAXB,xATB)+TB是否成立來實現(xiàn)對實體設備IDB的身份認證。

同理,實體設備IDB能夠通過驗證等式wAP=XA+[PS+RAH1(IDA,XA,RA)]H2(XA,RA,rBXA,xBTA)+TA是否成立來實現(xiàn)對實體設備IDA的身份認證。

(2) 會話密鑰一致性。由于rATB=rArBP=rBTA,xATB=xArBP=rBXA,rAXB=rAxBP=xBTA,可知keyA=H3(rATB,xATB,rAXB)=H3(rBTA,rBXA,xBTA)=keyB,因而,實體設備IDA與IDB建立了共享的會話密鑰。

4.2 安全性證明

根據(jù)第1.2節(jié)給出的安全模型,通過定理1和定理2證明所提出的認證密鑰協(xié)商協(xié)議的安全性。

定理1協(xié)議中雙方實體能夠協(xié)商出相同的會話密鑰,并且該密鑰服從均勻分布,即本文協(xié)議能夠滿足協(xié)議安全性定義的條件1。

證明根據(jù)協(xié)議執(zhí)行過程,協(xié)議的參與者IDA計算出會話密鑰keyA=H3(rATB,xATB,rAXB),參與者IDB計算出會話密鑰keyB=H3(rBTA,rBXA,xBTA)。由4.1節(jié)的協(xié)議正確性分析可知,keyA=H3(rATB,xATB,rAXB)=H3(rBTA,rBXA,xBTA)=keyB,因而協(xié)議中雙方實體能夠協(xié)商出相同的會話密鑰key=keyA=keyB。

此外,該會話密鑰利用安全哈希函數(shù)H3(·)計算得出,根據(jù)哈希函數(shù)的特性可知,其哈希值在取值空間中服從均勻分布,即協(xié)議中雙方實體協(xié)商出的會話密鑰服從均勻分布。

因此,本文協(xié)議中的參與者能夠協(xié)商出相同的會話密鑰,并且該密鑰服從均勻分布,定理1得證。

引理1對于任意A1類敵手,其在概率多項式時間內贏得密鑰協(xié)商游戲的優(yōu)勢為:

式中:qs、qe、qh分別為敵手執(zhí)行Send查詢、Execute查詢和哈希查詢的次數(shù);l為哈希函數(shù)輸出值的長度;q為協(xié)議中選擇的大素數(shù)。

證明采用文獻[18]給出的方法,通過定義一系列序列化游戲Gamei(i=0,1,2,3,4,5)來證明引理1。利用Si表示敵手A1在游戲Gamei中獲勝,其概率表示為Pr[Si]。

Pr[S1]=Pr[S0]

(1)

Game2:該游戲在Game1的基礎上排除了碰撞事件發(fā)生的可能性。對于本文協(xié)議,碰撞事件主要包括以下兩類:

(1) 協(xié)議消息<{IDA,TA},{IDB,TB,wB},{wA}>發(fā)生碰撞。由于協(xié)議參與者中至少有一方為誠實的參與者,參數(shù)wA和wB中至少有一個服從均勻分布。

(2) 協(xié)議中哈希函數(shù)的哈希值發(fā)生碰撞。

上述碰撞事件發(fā)生的概率可通過生日悖論計算,由此可得:

(2)

Game3:該游戲在Game2的基礎上排除了敵手A1計算出參數(shù)rArBP的可能性。由于rArBP=rATB=rBTA且TA、TB為公開參數(shù),因而敵手A1可通過以下三種方式計算出rArBP。

(3) 通過參數(shù)TA=rAP和TB=rBP計算rArBP。該方式中敵手A1需要解決ECCDH問題,其概率為εECCDH。

由上述分析可知:

(3)

Game4:該游戲在Game3的基礎上排除了敵手A1計算出參數(shù)xArBP的可能性。由于xArBP=xATB=rBXA,XA、TB為公開參數(shù),且Game3中已經排除了敵手A1獲得參數(shù)rB的可能性,因而A1可通過以下兩種方式計算出xArBP。

(2) 通過參數(shù)XA=xAP和TB=rBP計算xArBP。該方式中敵手A1需要解決ECCDH問題,其概率為εECCDH。

由上述分析可知:

(4)

Game5:該游戲在Game4的基礎上排除了敵手A1計算出參數(shù)rAxBP的可能性。由于rAxBP=rAXB=xBTA,TA、XB為公開參數(shù),且Game3中已經排除了敵手A1獲得參數(shù)rA的可能性,因而A1可通過以下兩種方式計算出rAxBP。

(2) 通過參數(shù)TA=rAP和XB=xBP計算rAxBP。該方式中敵手A1需要解決ECCDH問題,其概率為εECCDH。

由上述分析可知:

(5)

由于會話密鑰key=H3(rArBP,xArBP,rAxBP),而至此我們已經排除了敵手A1獲得參數(shù)rArBP、xArBP和rAxBP的可能性,因此,敵手A1只能通過猜測來記得游戲Game5,即:

(6)

此外,根據(jù)不等式的相關知識可知:

|Pr[Si]-Pr[Sk]|≤|Pr[Si]-Pr[Sj]|+

|Pr[Sj]-Pr[Sk]|

(7)

由式(1)-式(7)可知:

引理2對于任意A2類敵手,其在概率多項式時間內贏得密鑰協(xié)商游戲的優(yōu)勢為:

式中:qs、qe、qh分別為敵手執(zhí)行Send查詢、Execute查詢和哈希查詢的次數(shù);l為哈希函數(shù)輸出值的長度;q為協(xié)議中選擇的大素數(shù)。

證明相較于A1類敵手,A2類敵手擁有系統(tǒng)的主密鑰s。從引理1的證明過程來看,擁有系統(tǒng)的主密鑰s并不能增加敵手A2計算出參數(shù)rArBP、xArBP和rAxBP的優(yōu)勢,因此,A2類敵手贏得密鑰協(xié)商游戲的優(yōu)勢與A1類敵手相同,即:

其具體的證明過程與引理1相似,這里不再贅述。

從引理2可知,即使作為KGC的服務器擁有系統(tǒng)的主密鑰s,也不能增加其計算出會話密鑰的概率,即本文協(xié)議不存在密鑰托管問題。

定理2對于任意概率多項式時間的敵手A,其贏得密鑰協(xié)商游戲的優(yōu)勢Adv(k)是可以忽略的,即本文協(xié)議能夠滿足協(xié)議安全性定義的條件2。

因此,對于任意概率多項式時間的敵手A,其贏得密鑰協(xié)商游戲的優(yōu)勢Adv(k)是可以忽略的,定理2得證。

由定理1和定理2可知,本文協(xié)議能夠滿足認證密鑰協(xié)商協(xié)議所需的兩個條件,因而協(xié)議具有足夠的安全性。

4.3 安全性對比

本文協(xié)議與同類協(xié)議的安全性對比如表1所示。文獻[14]提出的協(xié)議存在密鑰托管問題;文獻[15]實現(xiàn)了會話密鑰的建立,但該方案不能抵抗A1類敵手的偽造攻擊;從第2節(jié)的分析過程可知,文獻[16]仍不能抵抗攻擊者發(fā)起的偽造攻擊。對比結果表明,本文協(xié)議具有更高的安全性。

表1 安全性能對比表

5 性能分析與對比

在面向體育運動的應用場景中,系統(tǒng)往往對消息傳輸?shù)膶崟r性有較高的要求,因而本節(jié)主要在通信開銷和計算開銷方面,將本文協(xié)議與同類協(xié)議進行對比。

(1) 通信開銷。以實體設備IDA與IDB之間的交互為例,通過實體設備發(fā)送消息的長度衡量其通信開銷。

表2 通信開銷對比

由表2可知,相較于同類協(xié)議,本文協(xié)議中發(fā)起方和接收方設備均具有更低的通信開銷。

(2) 計算開銷。利用符號Tbp、Tem、Tea、Th分別表示橢圓曲線上的雙線性對運算、標量乘法運算、標量加法運算和單向散列函數(shù)運算所需的計算時間。文獻[19]在移動設備平臺上測試了計算各種密碼算法所需的時間,根據(jù)該文獻,Tbp≈32.713 ms,Tem≈13.405 ms,Tea≈0.081 ms,Th≈0.056 ms,則本文協(xié)議與文獻[14]、文獻[15]和文獻[16]的計算開銷如表3所示。

表3 計算開銷對比

由表3可知,相較于同類協(xié)議,本文協(xié)議中發(fā)起方和接收方設備所需的計算開銷更小。

6 結 語

體征數(shù)據(jù)涉及用戶個人隱私信息,因而保證其安全性至關重要。本文分析了現(xiàn)有安全協(xié)議應用于體育運動場景存在的不足,在此基礎上利用橢圓曲線上的無證書公鑰密碼體制提出一種高效認證密鑰協(xié)商協(xié)議。安全性分析表明,本文協(xié)議相較于同類協(xié)議具有更高的安全性,能夠滿足物聯(lián)網中體育運動應用場景的安全需求。性能分析和對比結果表明,協(xié)議具有更低的通信開銷和計算開銷。