基于IBE策略的物联网终端设备间的身份认证方案*

李秋月，赵 艳，李世明,3，於家伟，高胜花

(1.哈尔滨师范大学 计算机科学与信息工程学院，黑龙江 哈尔滨 150025；2.洛阳师范学院 物理与电子信息学院，河南 洛阳 471022；3.上海市信息安全综合管理技术研究重点实验室，上海 200240)

0 引言

互联网的开放性有利于物联网设备的接入，却也给物联网设备带来了不可预知的风险，攻击者可能通过身份假冒等手段达到攻击或破坏的目的，从而威胁或破坏物联网系统的安全[1]。为此，国内外学者提出了许多物联网设备的接入认证方案[2-5]，但随着物联网终端设备直接通信的需求日益增长，终端设备间的认证技术引起了人们的关注并对此做出了相关研究，如：CHEN D等人提出一种基于声学指纹的轻量级无线设备认证协议[6]；SOWJANYA K等人为克服LI X等人的方案[7]存在的漏洞提出了一种基于ECC端到端认证协议[8]；SHIVRAJ VL等人提出了基于Lamport OTP的物联网端到端身份验证协议[9]；WILSON P提出了一种基于非对称密码的IoT设备间相互认证协议，并提供了共享的秘密会话密钥[10]。但是上述方案仍存在不足，如：文献[6]存在采用硬件指纹技术成本较高、操作不方便的问题；文献[7]不支持完全正向保密、易出现时钟同步问题；文献[9]安全级别较高，OTP生成策略的难度等同于解决Diffie-Hellman计算问题，但是交互次数较多，需要大量的通信开销。

为此，本文针对物联网应用环境特点及物联网终端设备认证的安全需求，提出一种基于身份加密(Identity-Based Encryption，IBE)策略的物联网设备间的身份认证方案，以达到更高的安全强度和更好的抵抗攻击的效果。

1 基于IBE策略的终端设备间的认证方案

本文所提出的认证方案是基于物联网环境下的物联网终端设备之间进行身份合法性识别的一种认证机制。本方案是基于以下安全需求而研究的：

(1)在不泄露通信双方终端设备身份标识信息的情况下完成双向认证。

(2)本认证方案的安全性不会因终端设备的恶意丢失而下降。

(3)传输的数据在机密性、完整性等方面具有较高的安全性，即使遭到窃听也不会被破译、篡改。

(4)各终端设备具有同步时钟的功能，保证终端设备本地时钟偏差较小，甚至可忽略不计。

(5)可信中心与各终端设备之间有安全的传输信道。

1.1 认证方案策略

鉴于ECC在相同安全强度下密钥尺寸更小、运行速度更快、抗攻击性强的特点[11],本方案采用的ECC加密算法基于IBE策略，由可信中心生成系统参数，并结合物联网终端设备的身份信息生成该终端设备的密钥对，帮助终端设备完成注册，不参与终端设备间的认证过程。当终端设备双方需要通信时，终端设备利用公开的系统参数和私有信息经过三轮信息交互，在匿名的情况下完成终端设备身份的双向认证。

1.2 定义及符号说明

定义1物联网应用系统中具有接入与数据处理功能的设备称为物联网终端设备[12]，记作Di；所有终端设备的集合称为终端设备集，记作D，D={D1,D2,…,Di,…,Dn}，i,n∈Z+。

定义2能够唯一代表或识别终端设备Di的信息称为身份标识，记作IDi，D的所有身份标识记作ID={ID1,ID2,…IDi…IDn}，i,n∈Z+。

定义3对于任意Dj通过某种计算过程后使得Di信任Dj，记作Di≻Dj，其中≻称为信任关系；若同时存在Dj≻Di，则称为双向信任，记作Di≻Dj。

定义4对于任意的Di与Dj，在构建Di≻Dj或Dj≻Di的过程称为设备认证，记作Ж。

定义5在执行Ж前受Di信赖的可靠第三方称为可信中心，记作TC。

本文研究中所涉及的符号说明如表1所示。

表1 符号含义说明

1.3 初始阶段

(2)设备注册：Di将固化在网卡信息中的MAC地址作为自己的身份标识IDi发送给TC，TC收到消息后，生成时间戳Ti，计算SKi=SKTC+h1(IDi⊕Ti)mod(p)、PKi=SKiP，然后公开公钥PKi，发送{SKi,Ti}到Di。Di接收到{SKi,Ti}后计算SKiP=PKTC+h1(IDi⊕Ti)是否成立，若成立，则保存私钥SKi。否则，终端设备注册失败。

1.4 认证阶段

在终端设备认证阶段，终端设备Di的密钥对为(SKi,PKi)，终端设备Dj的密钥对为(SKj,PKj)，认证过程如图1所示。

图1 终端设备认证过程

过程描述如下：

(3)Di计算|ti-Tji|<Δt是否成立，若不成立，则拒绝此次认证请求。否则，计算DecSKi(c2)获得mj，再计算Vj′=h2(mj⊕R)，比较Vj′与Vj，若不相同则拒绝此次认证请求。否则，DiDj。Di计算Vi=h2(mi⊕mj)并把Vi发送给Dj。

(4)Dj接收到Vi，计算Vi′=h2(mi⊕mj)，比较Vi′与Vi，若不相同则拒绝此次认证请求。否则，DjDi。

(5)当Di≻Dj时，本次认证成功，否则，本次认证失败。

2 安全性分析

2.1 抵抗重放攻击

攻击者通过重复利用监听到的历史消息来冒充合法用户进行重放攻击。本方案在生成的密钥中加入了时间戳Ti作为密钥的新鲜因子，因此用此密钥加密生成的密文也具有新鲜性。在认证过程中也加入时间戳Tij，当攻击者拦截到具有时间戳Tij的密文，并利用所拦截到的消息进行重放攻击时，终端设备Dj会验证时间戳Ti是否满足不等式|tj-Tij|<Δt，因为Tij是旧的时间戳，两条消息之间的时间差超出有效时间，不等式验证失败，从而本方案能够抵抗重放攻击。

2.2 防假冒攻击

2.3 防中间人攻击

假设攻击者截获Dj与Di的通信消息{c2,Vj,Tji}，并认证消息Vj进行篡改后发送给Di，Di接收到消息后计算Vj′=h2(mj⊕R)与Vj进行比较，若Vj′=Vj则验证成功，但是由于Vj是经过哈希函数h2运算得到的散列值，具有单向不可逆性，攻击者无法对其进行篡改进而实施中间人攻击。若攻击者截获Di发送给Dj的认证消息Vi，攻击者也无法对其进行篡改后转发，不能实现中间人攻击。

2.4 防篡改攻击

由于本方案的加密算法是基于椭圆曲线上的离散对数问题，攻击者想通过将密文解密是十分困难的，并且本方案中的认证信息Vi是经过哈希函数h2运算得到的散列值，具有单向不可逆性，攻击者无法对其进行篡改。故而本认证方案具有消息正确性和消息完整性的安全属性，能够防篡改攻击。

2.5 抵抗恶意TC攻击

3 性能分析

本方案提出IBE策略的目的是为了减少证书和其管理的开销，消除证书的影响。一般在32位3 GHz奔腾处理器上各种运算所需时间如表2所示[13]。本方案计算开销与其他使用ECC加密算法的认证方案计算开销的比较如表3所示。本方案未进行复杂的映射运算，增加了运算时间小于点乘运算的异或运算，分析表2、表3可知，本方案计算开销较小。

表2 各种运算所需时间 (ms)

表3 计算开销比较

4 结论

为解决物联网终端设备间安全通信和隐私保护问题，本文提出于一种基于IBE策略的物联网终端设备间的身份认证方案。该方案中可信中心生成系统信息并完成设备注册，但是不参与终端设备间认证过程，终端设备间进行三轮交互，完成匿名双向认证过程；此外，通过安全性分析和性能分析，本方案可以防重放、假冒、中间人和篡改等攻击，具有认证性、匿名性、机密性、消息正确性和完整性等安全属性和较小的计算开销。