可有效防御多種攻擊的物聯網身份認證方案

張俊峰

(阜陽職業技術學院, 安徽 阜陽 236031)

0 引言

隨著5G覆蓋范圍的逐步增加和移動終端設備性能的快速提升,物聯網迎來了快速的發展階段,海量終端接入到物聯網中,促進物聯網快速發展的同時也帶來了一系列的安全問題[1-3],如何有效驗證物聯網終端的身份就是其中一個亟待解決的問題,物聯網終端身份驗證問題的有效解決將可以從源頭控制物聯網的安全,反之則會給物聯網的安全帶來很多漏洞,甚至嚴重影響物聯網的快速發展。

結合物聯網終端的低計算能力、電力供應困難等特點,針對物聯網現有驗證方案中存在的防御網絡攻擊能力弱、計算開銷大等問題,國內外進行了一系列的研究。針對中心化的物聯網身份驗證方案面臨的挑戰,利用區塊鏈的去中心化、防篡改等特點提出了一系列的驗證方案[4-7],基于區塊鏈的驗證方案需要多個物聯網終端參與身份認證過程,經過一系列的迭代運算提高了身份驗證的安全性,同時通過去中心的驗證思想可以有效避免因驗證中心被攻擊帶來的安全問題,但是由于基于區塊鏈的驗證方案需要多個物聯網終端參與身份驗證,且物聯網中終端計算能力和能耗供應能力參差不齊,所以基于區塊鏈的驗證方案極大地限制了應用場景。

文獻[8-15]分別提出了基于XOR、T函數、ECC算法和橢圓形曲線的輕量級的物聯網終端身份驗證方案,與基于區塊鏈的驗證方案相比,輕量級的驗證方案可以降低對物聯網終端計算能力的要求,提高物聯網終端驗證方案的適配場景,但是在防御欺騙攻擊、重放攻擊等網絡攻擊方面存在一些問題。

綜上,本文針對物聯網終端身份驗證過程中存在的防御網絡攻擊能力弱、計算開銷大等問題,提出了一種可有效防御多種攻擊的物聯網身份認證方案(MA-IOT)。該方案利用驗證向量和哈希函數的有機結合,在降低計算開銷和通信開銷的前提下,可有效防御多種攻擊,提高了驗證過程的安全性。

1 MA-IOT方案

1.1 MA-IOT方案基本思想

為了減少物聯網終端的計算開銷、有效降低能耗,MA-IOT方案通過物聯網管理平臺完成物聯網終端身份的認證,較第三方認證降低了安全風險和通信開銷。為進一步提升驗證的安全性,在MA-IOT方案中設計了終端和認證服務器雙向身份認證的過程,可以極大提升防御重放、欺騙、偽造等多種網絡攻擊的防御效果。

1.2 方案理論依據

根據線性代數相關知識以及哈希函數特點,得出以下定義和性質。

定義:向量X為有限域Fq中的向量,向量X的零空間為X?T=0所有解向量組成的集合。

性質1:抗碰撞性。向量X、Y為有限域Fq中的向量,H(X)和H(Y)分別為經過哈希函數運算后的結果,若X≠Y,則H(X)≠H(Y)。

性質2:離散性。向量X、Y為有限域Fq中的向量,H(X)和H(Y)分別為經過哈希函數運算后的結果,若X和Y有一位不同,則(X)和H(Y)差別較大。

性質3:單向性。向量X為有限域Fq中的向量,H(X)為經過哈希函數運算后的結果,則由H(X)無法推導出X。

1.3 方案驗證過程

1.3.1 符號定義

符號定義如表1所示。

表1 符號定義表

1.3.2 驗證過程

終端身份驗證過程如圖1所示。

具體驗證過程表述如下。

(1)根據授權終端唯一的MAC地址,向量X為每一個授權終端生成驗證向量Y,將驗證向量通過可信傳送信道分發給授權終端,授權終端驗證向量的生成過程如下:

Yi=??i

其中,i為需要驗證終端的編號;?為有限域Fq中的非0元素。

(2)當某終端需要接入物聯網管理平臺時,向管理平臺發起驗證請求,驗證請求包含終端的編號i,管理平臺收到驗證請求后,隨機生成一個驗證輔助信息Ci,Ci的表示形式如下:

Ci=[c1,c2,…,cn,ti]

(3)管理平臺將該終端對應的驗證向量Yi和驗證輔助信息Ci串接一起,串接后的結果為Di,表示如下:

Di=Yi||Ci=[y1,y2,…yn,c1,c2,…,cn,ti]

(4)管理平臺將Di作為哈希函數H的輸入,生成終端i的驗證信息Mi,并將Mi和驗證輔助信息Ci一起發送給終端i,其中Mi表示如下:

Mi=H(Di)=H(Yi||Ci)=H([y1,y2,…,yn,c1,c2,…,cn,ti])

2 MA-IOT方案安全性分析

2.1 安全性分析

2.1.1 驗證準確性分析

分析MA-IOT方案驗證的準確性等同于分析1.2方案理論依據中性質1的準確性,即分析在有限域Fq中,若X≠Y,則H(X)=H(Y)的概率。為便于更直觀地分析MA-IOT方案驗證的準確性,本文以哈希函數常用的MD5為例進行分析。

假設哈希函數MD5的輸出是完全隨機的,那么兩個不同自變量經過哈希函數MD5運算后的結果相同的概率符合生日悖論公式,即2個不同自變量產生相同哈希值的概率P表示如下:

P=(1-e^(-N(N-1)/(2×232)))/N

其中,N為輸入的總數,即自變量的可能個數;e為自然常數(約等于2.718 28)。

為直觀展示經過哈希函數MD5生成的驗證信息的抗碰撞性較強,分別設定驗證輔助信息Ci的長度為32位,N的大小為280,則兩個不同自變量產生相同哈希值的概率P的大小如表2所示。

低碳經濟推動著會計理念改革，而會計理念改革也將加快全球低碳經濟化的形成。為了緊跟低碳經濟發展腳步，電力企業財務工作者必須改革傳統的會計管理理念以及操作技術。站在全面客觀的角度，綜合考慮企業低碳排放在市場需求與能源成本之間的關系，特別是在市場準入、稅收政策、金融支持等方面的影響。

表2 不同自變量產生相同哈希值的概率大小

通過表2數據可知,兩個不同自變量產生相同哈希值的概率為7.153×10-25,MA-IOT方案驗證的準確性為1-7.153×10-25,證明MA-IOT方案驗證的準確性能夠滿足要求。

2.1.2 防重放攻擊分析

重放攻擊是指惡意終端截獲授權終端發送給管理平臺的驗證信息,然后將驗證信息重復多次發送給管理平臺,造成管理平臺宕機或者性能急劇下降,進而無法正常完成驗證工作。MA-IOT方案在進行身份驗證時,為防御重放攻擊,引入驗證輔助信息Ci=[c1,c2,…,cn,ti],在驗證輔助信息設計時間戳ti,如果終端沒有在時間戳ti規定的時限內發送驗證信息,管理平臺將不再處理該終端的驗證信息,惡意終端無法依靠重復多次發送驗證信息的手段達到癱瘓管理平臺的目的,可以有效避免重放攻擊。

2.1.3 防欺騙攻擊分析

欺騙攻擊是指當管理平臺和終端中的一方被黑客攻陷,但仍以正常身份參與驗證過程,以達到欺騙對方完成隱私信息竊取的攻擊方式。在MA-IOT方案中,通過2.3.2驗證過程的(4)(5)(6)步驟設計雙向身份鑒別機制,即不僅管理平臺需要驗證終端是否是授權終端,授權終端也需要驗證管理平臺是否是“真實”的管理平臺,可極大提高MA-IOT方案抵御欺騙攻擊的能力。

2.1.4 防偽造攻擊分析

偽造攻擊是指通過偽造授權終端的驗證信息,試圖通過管理平臺的驗證。MA-IOT方案在進行身份驗證時,驗證信息是通過哈希函數生成的,根據2.2方案理論依據中性質1、2、3可知,驗證信息是無法逆向恢復的。另外,MA-IOT方案在生成驗證信息時,引入驗證輔助信息Ci=[c1,c2,…,cn,ti],由于驗證輔助信息是在終端發起身份驗證時,管理平臺隨機生成的,且引入了時間戳,所以即使惡意攻擊者截獲驗證信息,由于在時間戳的限制內無法逆向恢復,且不知道隨機生成的驗證輔助信息,是無法偽造驗證信息并實施偽造攻擊的。

2.1.5 防隱私泄露分析

在MA-IOT方案中,驗證信息是利用終端MAC地址的正交向量和驗證輔助信息通過哈希運算生成的,根據2.2方案理論依據中性質3可知,惡意終端無法通過驗證信息反向恢復隱私信息,即不會造成任何隱私的泄露。

2.2 計算開銷分析

在MA-IOT方案中,由于驗證過程是利用管理平臺和終端生成的驗證信息是否相同來判斷驗證終端是不是授權終端,故此過程中產生的計算開銷可以忽略不計,因此,MA-IOT方案驗證過程中的主要計算開銷來自2個方面:一是生成驗證向量帶來的計算開銷,二是利用驗證向量和驗證輔助信息生成驗證信息的開銷。

為證明MA-IOT方案的計算開銷優勢,本文以張俊峰[15]提出的NS-IOT方案和譚琛等[4]提出的DA 驗證方案為比較對象,鑒于矩陣運算和哈希函數運算的不同,理論分析不能夠直觀展示,本文通過模擬仿真MA-IOT方案的驗證過程,得到了3種終端身份認證方案驗證過程所需的時間,具體如表3所示。

表3 3種方案驗證過程計算開銷 單位:ms

通過仿真結果可知,MA-IOT方案在計算開銷方面較DA驗證方案優勢較為明顯,較MA-IOT驗證方案在計算開銷方面有一定的優勢。

2.3 通信開銷分析

由于物聯網終端在通信過程中需要消耗一定的電力資源,因此,控制通信開銷是物聯網終端身份驗證方案的一個重要性能指標。在MA-IOT方案中,驗證過程的主要通信開銷來自傳輸驗證信息Mi和驗證輔助信息Ci。其中,驗證輔助信息Ci的大小可根據適用場景的安全需求進行調整。本文以驗證輔助信息Ci的長度為32位進行分析。MA-IOT方案的通信開銷為T,具體表示如下:

T=L(Mi)×2+L(Ci)=6 B×2+4 B=16 B

其中,L(Mi)和L(Ci)分別為驗證信息的大小和驗證輔助信息的大小。

故MA-IOT方案的通信開銷大小約為16 B,能夠滿足物聯網場景的能耗要求。

3 結語

本文針對物聯網終端身份驗證過程中存在的防御網絡攻擊能力弱、計算開銷大等問題,提出了一種可有效防御多種攻擊的物聯網身份認證方案(MA-IOT),該方案利用驗證向量和哈希函數的有機結合,在降低計算開銷和通信開銷的前提下,可有效防御多種攻擊,提高了驗證過程的安全性。