適用于移動云計算的抗中間人攻擊的SSP方案

陳 凱,許海銘,徐 震,林東岱,劉 勇

(1.信息安全國家重點實驗室,北京 100093;2.中國科學院信息工程研究所,北京 100093;3.中國科學院大學,北京 100049;4.國家能源局安全司,北京 100824;5.華北電力大學電氣與電子工程學院,北京 102206;6.山東省電力公司調(diào)度控制中心自動化處,山東濟南 250000)

?

適用于移動云計算的抗中間人攻擊的SSP方案

陳 凱1,2,3,許海銘4,5,徐 震1,2,林東岱1,2,劉 勇6

(1.信息安全國家重點實驗室,北京 100093;2.中國科學院信息工程研究所,北京 100093;3.中國科學院大學,北京 100049;4.國家能源局安全司,北京 100824;5.華北電力大學電氣與電子工程學院,北京 102206;6.山東省電力公司調(diào)度控制中心自動化處,山東濟南 250000)

低功率藍牙(BLE)專為資源受限的設(shè)備設(shè)計,但現(xiàn)有的研究已經(jīng)指出其安全簡單配對方案(SSP)存在中間人攻擊(MITM)漏洞.文章指出造成MITM漏洞的根本原因是:配對信息被篡改以及JW模式自身的漏洞.為此文章中提出了兩個適用于移動云計算(MCC)中BLE設(shè)備的SSP改進方案,所提出的方案基于哈希函數(shù)并利用MCC技術(shù)提高SSP的安全性.方案1適用于支持PE或者OOB模式的BLE設(shè)備,其利用哈希函數(shù)確保配對信息的真實性、可靠性.方案2通過哈希序列來解決僅支持JW模式的BLE設(shè)備的MITM攻擊漏洞.文章分別從安全角度和性能角度對所提出的方案進行分析,以表明方案在不同級別敵手的攻擊下可以提供MITM攻擊防護能力.

藍牙低功率;安全簡單配對方案;中間人攻擊;移動云計算

電子學報URL:http://www.ejournal.org.cn DOI:10.3969/j.issn.0372-2112.2016.08.005

1 引言

低功率藍牙(BLE)在藍牙v4.0版本中被提出.BLE的設(shè)計初衷是將藍牙技術(shù)應(yīng)用于僅由“紐扣”電池供電的便攜設(shè)備中.借助于MCC技術(shù)[1],BLE產(chǎn)品得到了極大的豐富.對于MCC中的BLE設(shè)備來說,移動終端設(shè)備通常作為master,而周邊設(shè)備作為slave.

自藍牙v2.1版本后,安全簡單配對(SSP)方案被引入藍牙標準中來實現(xiàn)設(shè)備配對過程.在BLE標準中,SSP提供三種不同的關(guān)聯(lián)模型:Just Work模型(JW)、Passkey Entry模型(PE)及Out of Band模型(OOB).其中,JW模型無法抵抗中間人(MITM)攻擊.近年來,研究人員已經(jīng)提出了多種方法[2,3],可以強迫對端設(shè)備使用JW模型,從而利用JW模型的漏洞來實施MITM攻擊.造成MITM攻擊漏洞的根本原因為:(1)在SSP過程中,用來交換設(shè)備輸入/輸出(I/O)信息的配對消息可能被攻擊者篡改;(2)JW模型在SSP過程中無法提供MITM攻擊防護.

為了提高BLE設(shè)備的安全性,使其具有抗MITM攻擊能力,本文首先針對MCC環(huán)境中BLE的典型應(yīng)用場景進行分析.作者發(fā)現(xiàn)在MCC環(huán)境中,BLE設(shè)備具有以下特征:(1)所有的master設(shè)備至少支持兩種不同的無線通信信道;(2)大多數(shù)slave設(shè)備僅支持一種通信信道,因此slave設(shè)備無法直接與云服務(wù)連接;(3) master設(shè)備的能力通常強于slave設(shè)備;(4)計算能力上的限制使得復雜的密碼運算無法在BLE設(shè)備上運行,尤其無法在slave設(shè)備上運行.

根據(jù)以上的分析結(jié)果,本文通過如下兩種方式來提高SSP方案的安全性:(1)由于master設(shè)備支持多個通信信道,因此,本文引入位于云端的可信第三方(TTP)來協(xié)助BLE設(shè)備交換其I/O能力信息;(2)考慮到BLE設(shè)備的處理能力有限,本文所提出的方案僅在BLE設(shè)備上運行輕量級的密碼算法,以此來最小化BLE設(shè)備的負載.

2 相關(guān)研究工作

Haataja等人[4,5]建議在應(yīng)用層增加額外的安全機制來提高SSP的安全性.例如,在應(yīng)用層增加額外的確認窗口以確保正確的關(guān)聯(lián)模型被使用.Sharmila等人[6]提出了一種OOB信道可變頻率的方案來提高SSP的安全性.在他們的方案中,OOB信道的頻率被預(yù)置在每個設(shè)備中,在特定的周期內(nèi),通信雙方使用特定的OOB頻率進行帶外通信.

RF指紋是由Ureten和Serinken[7]提出的一種增強無線網(wǎng)絡(luò)通信安全性的方法.Pasanen等人[8]將RF指紋技術(shù)擴展到藍牙設(shè)備中.在Pasanen等人的方案中,一臺專用服務(wù)器負責存儲所有合法藍牙設(shè)備的RF信息,并且以此來判斷是否允許正在發(fā)射RF信號的藍牙設(shè)備相連.

耿君峰等人[9]通過分組凈化與藍牙設(shè)備地址綁定來幫助藍牙設(shè)備抵抗自外部設(shè)備的竊聽攻擊、主設(shè)備地址假冒攻擊、分組偽造攻擊和來自內(nèi)部設(shè)備的分組否認攻擊.

目前,還有一些研究人員提出了針對藍牙的入侵檢測系統(tǒng)和入侵防御系統(tǒng)[10],這些系統(tǒng)試圖從網(wǎng)絡(luò)的角度防御針對藍牙設(shè)備的攻擊.

與本文所提出的方案相比,Haataja等人的方案要求藍牙終端必須具有顯示輸出設(shè)備.而Sharmila等人提出的方案對于僅支持Just Work模型的BLE設(shè)備起不到保護作用.FR指紋能夠提供的安全性較高,但是Pasanen等人的方案只適用于局部場景中,例如,在一個辦公大廈內(nèi)負責一個公司內(nèi)的藍牙設(shè)備.對于入侵檢測系統(tǒng)和入侵防御系統(tǒng)來說,需要特定的部署模式才能充分發(fā)揮功效.

3 SSP安全現(xiàn)狀

現(xiàn)有的研究[11,12]表明MITM攻擊對藍牙設(shè)備來說是一個嚴重的威脅.MITM攻擊者實施攻擊的主要手段[4,5,13～16]是強迫配對的BLE設(shè)備使用JW模型,并且利用JW模型不提供MITM攻擊保護的漏洞進行攻擊.

如圖1所示,MITM攻擊者首先中斷BLE設(shè)備的物理層連接,以使得受害用戶誤以為他們的BLE設(shè)備出現(xiàn)的問題.被欺騙的用戶很可能會刪除設(shè)備中已經(jīng)存儲的密鑰,并重新進行設(shè)備配對.在設(shè)備重新配對過程中,攻擊者偽造BLE設(shè)備的I/O能力信息,以使得受害的BLE設(shè)備誤以為對方“既無輸入能力,也無輸出能力”.隨后,JW模型被強迫使用.由于JW模型不能提供MITM攻擊防護能力,所以MITM攻擊者可以竊聽受害BLE設(shè)備的通信,甚至可以篡改用戶的數(shù)據(jù).

4 基本假設(shè)、威脅模型與目標

本文假設(shè)敵手針對BLE的SSP方案進行MITM攻擊,作者考慮多級能力的敵手模型并假設(shè)level N敵手擁有所有級別小于N的敵手的能力:

(1)Level 1敵手:敵手有能力竊聽合法設(shè)備之間的會話數(shù)據(jù),并在隨后的攻擊中重放竊聽得到的數(shù)據(jù);

(2)Level 2敵手:敵手能夠主動阻斷合法設(shè)備之間的信息交換,并可以在合法設(shè)備配對過程中插入、篡改信息;

(3)Level 3敵手:敵手有能力主動詢問合法的設(shè)備,記錄下合法設(shè)備回復的信息,并在隨后的攻擊中進行重放.

本文的目標是,所提出的SSP改進方案能夠在面對level 1到level 3級敵手的情況下,向MCC中的BLE設(shè)備提供抗MITM攻擊能力.

5 基于哈希的SSP改進方案

5.1 方案I:基于哈希函數(shù)的SSP方案

方案I引入位于云端平臺的TTP來提供配對設(shè)備的I/O能力信息的哈希值,該哈希值將會和BLE設(shè)備自身提供的I/O能力信息的哈希值進行比較.為了標識設(shè)備,每臺BLE設(shè)備將會被預(yù)設(shè)一個唯一的內(nèi)部ID值(intid).如表1所示,TTP維護一個數(shù)據(jù)庫表,來儲存所有BLE設(shè)備的物理地址Addr、當前內(nèi)部ID(intidc)、上次使用的內(nèi)部ID(intidl)和設(shè)備的I/O能力信息.TTP為每個BLE設(shè)備存儲兩個內(nèi)部ID是為了解決消息丟失問題.如果由于意外事件或攻擊者攻擊造成消息丟失,那么BLE設(shè)備仍然可以通過intidl被正確的識別.

表1 TTP中的數(shù)據(jù)庫表格

圖2詳細描述了方案I的步驟.設(shè)哈希函數(shù)為h(),符號‖表示字符串拼接.具體的方案流程如下:

(1)Master設(shè)備產(chǎn)生隨機數(shù)挑戰(zhàn)Rm;

(2)Master將隨機數(shù)挑戰(zhàn)Rm連同配對請求消息發(fā)送給slave設(shè)備;

(3)Slave設(shè)備產(chǎn)生隨機數(shù)Rs,并通過公式(1)計算出外部ID;

extids=h(intids‖Rm‖Rs)

(1)

(4)extids連同隨機數(shù)Rs一起通過配對響應(yīng)消息發(fā)送給master設(shè)備;

(5)當收到配對響應(yīng)消息后,master設(shè)備使用和slave設(shè)備相同的方法計算出外部ID值extidm;

extidm=h(intidm‖Rm‖Rs)

(2)

(6)Master設(shè)備將含有Rm、Rs、extidm和extids的驗證請求消息發(fā)往TTP;

(3)

(4)

(5)

vm=h(intidm‖IOs‖Addrs‖Rm‖Rs)

(6)

vs=h(intids‖IOm‖Addrm‖Rm‖Rs)

(7)

intidm=h(intidm)

(8)

(14)Slave設(shè)備通過公式(9)更新intids;

intids=h(intids)

(9)

(…)方案I剩余的步驟與原SSP方案相同.

因為master設(shè)備支持多種通信信道,所以master設(shè)備可以分別從TTP和slave設(shè)備獲得關(guān)于slave設(shè)備的I/O能力信息,通過對比來確保slave設(shè)備所發(fā)送的I/O能力信息的真實性和完整性.Slave設(shè)備在master設(shè)備和驗證轉(zhuǎn)發(fā)消息的幫助下,也可以分別從TTP和master設(shè)備處獲得關(guān)于master設(shè)備的I/O能力信息.因此,slave設(shè)備也有能力鑒別master設(shè)備所發(fā)送的I/O能力信息的真?zhèn)?一旦鑒定出配對的BLE設(shè)備的I/O能力信息存在問題,那么master設(shè)備或者slave設(shè)備將立即終止設(shè)備配對過程,并以此來防止錯誤的關(guān)聯(lián)模型被使用.避免使用錯誤的關(guān)聯(lián)模型,這也是防止MITM攻擊的基本前提.

方案I為支持PE或者OOB模型的BLE設(shè)備而設(shè)計,但對于僅支持JW模型的BLE設(shè)備來說,方案I并不適用.

5.2 方案II:基于哈希序列的SSP方案

為了向僅支持JW模型的BLE設(shè)備提供抗MITM攻擊能力,作者利用哈希序列對方案I進行了改進.造成MITM攻擊漏洞的根本原因是JW模型的TK被設(shè)置0.因此,在方案II中TK被設(shè)置成隨機數(shù).

設(shè)f()為哈希函數(shù),F表示由f()生成的哈希序列,Fi表示該哈希序列中的第i個元素.設(shè)R為長度為m×n的隨機數(shù),Ri表示R中第i個m比特長的數(shù)據(jù)片段(1≤i≤n).假設(shè)R的取值為54668(1101 0101 1000 1100),m的取值為4,那么R1=13(1101)、R2=5(0101)、R3=8(1000)、R4=12(1100)、R=R1R2R3R4且n=4.

圖3顯示了方案II的詳細處理步驟:

(1～3)方案II的前三個步驟與方案I相同;

(4)Slave設(shè)備產(chǎn)生隨機數(shù)R,隨機數(shù)的長度為m×n.隨后按照上文提及的方法將R轉(zhuǎn)換成R1R2…Rn的形式.Slave設(shè)備按照算法1計算函數(shù)GenHashArray(intids‖Rm‖Rs,R1R2…Rn,n)得到哈希序列Fs=(Fs1,Fs2,…,Fsn);

(5)哈希序列Fs和extids被封裝在配對響應(yīng)消息中,連同隨機數(shù)Rs一起發(fā)送給master設(shè)備;

(6)當master設(shè)備接收到配對響應(yīng)消息后,master設(shè)備通過公式(2)計算出extidm;

(7)Master設(shè)備將包含有Rm、Rs、extidm、extids和哈希序列Fs的驗證請求消息發(fā)送給TTP;

(8)TTP按照算法2計算函數(shù)RetrieveRandom

(intids‖Rm‖Rs,(Fs1,Fs2,…,Fsn)),從哈希序列中恢復出隨機數(shù)R.如果算法2返回錯誤,那么TTP則將一個隨機數(shù)直接發(fā)送給master設(shè)備代替驗證響應(yīng)消息;

(9)TTP采用和方案I相同的流程計算出驗證響應(yīng)消息;

(14)Master設(shè)備通過公式(6)計算出驗證消息vm;

(15)Master設(shè)備通過函數(shù)RetrieveRandom(vm,(Fm1,Fm2,…,Fmn))從哈希序列中恢復出隨機數(shù)R.如果該函數(shù)返回錯誤,那么master設(shè)備必須立刻終止設(shè)備配對過程;

(17)從哈希序列中恢復出隨機數(shù)R之后,master設(shè)備根據(jù)公式(8)更新intidm;

(18)Slave設(shè)備根據(jù)公式(9)更新intids;

(19)當執(zhí)行到此步驟時,master設(shè)備和slave設(shè)備均獲得了隨機數(shù)R.因此,TK值可以被設(shè)置為R;

(…)方案II剩余的步驟與原SSP方案使用JW模型時相同.

因為BLE設(shè)備的內(nèi)部ID從未被揭露,所以可以使用哈希序列(Fm1,Fm2,…,Fmn)和(Fs1,Fs2,…,Fsn)來秘密地傳輸隨機數(shù)R.當使用JW模型時,方案II中的TK被設(shè)置為隨機數(shù)R.因此,方案II能夠向僅支持JW模型的BLE設(shè)備提供抗MITM攻擊的能力.

6 方案評價

6.1 安全性分析

表2呈現(xiàn)了針對方案I和方案II安全性分析的結(jié)果.

表2 安全分析

6.1.1 抵抗level 1敵手

Level 1敵手攻擊時存在兩種攻擊場景.

在第一種攻擊場景中,BLE設(shè)備已經(jīng)相互連接,即BLE設(shè)備已經(jīng)完成了設(shè)備配對的過程.因為level 1敵手僅能夠被動地竊聽,或者重放竊聽到的消息,所以level 1敵手不能夠?qū)σ呀?jīng)配對的BLE設(shè)備實施MITM攻擊.換句話說,在這種場景中,無論是原SSP方案,還是方案I或者方案II都可以提供針對level 1敵手的抗MITM攻擊的能力.

在第二種攻擊場景中,BLE設(shè)備從未遇見過彼此,也就是說,BLE設(shè)備將在level 1敵手在場的情況下進行設(shè)備配對.因此,在這種情況下,level 1敵手可以通過竊聽來記錄下所有的配對消息,并在需要時進行重放攻擊.當使用原SSP方案時,level 1敵手先竊聽下BLE設(shè)備的配對消息,并在恰當?shù)臅r候?qū)⒏`聽到的消息進行重放攻擊,以強迫受害的BLE設(shè)備使用JW模型進行配對.因此,在這個場景中,原SSP方案無法提供抗MITM攻擊的能力.由于有TTP的協(xié)助,所以方案I與方案II都可以避免錯誤的關(guān)聯(lián)模型被使用.在level 1敵手出現(xiàn)的情況下,方案I可以為支持PE模型或者OOB模型的BLE設(shè)備提供MITM攻擊防護.而方案II可以提高JW模型的安全性.在方案II中,TK被設(shè)置為隨機數(shù).因此,在level 1敵手出現(xiàn)的情況下,方案II可以為僅支持JW模型的BLE設(shè)備的提供抗MITM攻擊的能力.

6.1.2 抵抗level 2敵手

Level 2敵手擁有主動阻斷受害BLE設(shè)備之間的信息交換的能力.即使BLE設(shè)備已經(jīng)完成了設(shè)備配對,level 2敵手仍然可以通過阻斷現(xiàn)有連接的方式來誘使受害用戶刪除設(shè)備中存儲的密鑰并重新進行設(shè)備的配對.因此,當使用原SSP方案進行設(shè)備配對時,level 2敵手可以對BLE設(shè)備實施MITM攻擊.由于方案I和方案II中使用了TTP來保證設(shè)備I/O能力信息的正確性,即使level 2敵手擁有阻斷的能力,他也無法強迫受害設(shè)備使用錯誤的關(guān)聯(lián)模型.所以,在level 2敵手出現(xiàn)的情況下,方案I能夠為支持PE模型或者OOB模型的BLE設(shè)備提供抗MITM攻擊能力.因為方案II中的TK被設(shè)置為隨機數(shù),所以即使面對level 2敵手時,方案II也可以為僅支持JW模型的BLE設(shè)備提供MITM攻擊防護.

6.1.3 抵抗level 3敵手

因為level 3敵手擁有l(wèi)evel 1敵手和level 2敵手的能力,所以原SSP方案在面對level 3時已經(jīng)無法在BLE設(shè)備配對過程中提供MITM攻擊防護.Level 3敵手可以在需要時向合法的BLE設(shè)備發(fā)起詢問,并記錄下合法BLE設(shè)備的回復信息.例如,level 3敵手可以通過詢問slave設(shè)備獲得多個extid和哈希序列,或者通過詢問master設(shè)備獲得多個驗證消息.但是,在方案I和方案II中,隨機數(shù)(Rm和Rs)被引入extid、哈希序列和驗證消息的計算過程中.所以,當使用方案I和方案II時,重放詢問得到的信息無法使level 3敵手獲得任何好處.在面對level 3敵手時,方案I能夠為支持PE模型或者OOB模型的BLE設(shè)備提供MITM攻擊防護.而當BLE設(shè)備僅支持JW模型時,方案II可以被用來防止MITM攻擊.

6.2 性能分析

本章節(jié)將在所提出的方案與原SSP方案之間進行性能的對比分析,并且本章節(jié)還對如何確定方案II中的隨機數(shù)R的比特長度、m的取值及n的取值進行說明.

6.2.1 負載對比

表3給出了不同方案之間的負載量對比.因為本文所提出方案的改進步驟集中于SSP配對過程的階段1中,所以本章節(jié)主要對階段1中的負載進行對比.具體來說,主要對比不同方案的計算量負載、存儲負載以及通信量負載.

表3 不同方案的負載對比(階段1)

與原SSP方案相比,方案I所需的額外負載很小.正如表3所示,與原SSP方案相比,BLE設(shè)備僅僅需要多進行3次哈希計算.從數(shù)據(jù)存儲量的角度來對比,方案I中的每個BLE設(shè)備僅需要多存儲1個內(nèi)部ID.從數(shù)據(jù)通信量的角度來對比,master設(shè)備和slave設(shè)備之間需要多傳輸4個哈希值.因此,無論是對于master設(shè)備來說還是對于slave設(shè)備來說,方案I都足夠的輕量.

相比之下,由于使用了哈希序列,方案II在計算量負載、數(shù)據(jù)存儲負載和通信量負載上都更大一些.但是,方案II對于slave設(shè)備來說依然足夠輕量.因為位于云端平臺的TTP擁有大量的資源,而MCC環(huán)境中的master設(shè)備通常比slave設(shè)備的能力更強,所以在方案II中TTP和master設(shè)備承擔了更多的計算任務(wù).如表3所示,與原SSP方案相比,slave設(shè)備僅需要多進行(n+3)次哈希計算.Slave設(shè)備仍然可以保持一個瘦客戶端.在下一章節(jié),作者建議m的取值為4、n的取值為5,以使得JW模型能夠擁有與PE模型相同的安全等級.

6.2.2 隨機數(shù)R的長度取值

與原SSP方案相比,方案II中的額外負載主要來自哈希序列的計算.而且,負載量的大小與TK的比特長度,即與隨機數(shù)R的比特長度,密切相關(guān).隨機數(shù)R的比特長度為m×n.如表3所示,與原SSP方案相比,slave設(shè)備需要進行(n+3)次哈希計算,與此同時,需要多傳輸(2×(lr+lh)+lf×n)個哈希值.正如5.2節(jié)中所提到的,方案II的一個關(guān)鍵問題就是能夠在安全性(即TK的比特長度,隨機數(shù)R的比特長度)和可用性(即所需的計算量與通信量負載)之間取得平衡.

7 結(jié)束語

本文所提出的方案能夠在面對多級能力敵手的情況下,向BLE設(shè)備提供抗MITM攻擊的能力.但是,額外的負載是不可避免的.本文的下一步工作便是研究如何進一步降低計算量和通信量負載.

[1]MCC Forum.The Definition of MCC[EB/OL].http://www.mobilecloudcomputingforum.com/,2011-08-16/2014-12-25.

[2]Padgette J,Scarfone K,Chen L.National Institute of Standards and Technology (NIST) Special Publications 800-121:Guide to Bluetooth Security[EB/OL].http://csrc.nist.gov/publications/nistpubs/800-121-rev1/sp800-121-rev1.pdf,2012-06-12/2014-03-29.

[3]Kaur S.How to secure our bluetooth insecure world![J].IETE Technical Review,2013,30(2):95-101.

[4]Hattaja K,Toivanen P.Two practical man-in-the-middle attacks on bluetooth secure simple pairing and countermeasures[J].IEEE Transactions on Wireless Communications,2010,9(1):384-392.

[5]Haataja K,Hypp?nen K.Man-in-the-middle attacks on bluetooth:a comparative analysis,a novel attack,and countermeasures[A].Proceedings of the 3rd International Symposium on Communications,Control,and Signal Processing[C].Piscataway,NJ,United States:IEEE Computer Society,2008.1096-1102.

[6]Sharmila D,Neelaveni R,Kiruba K.Bluetooth man-in-the-middle attack based on secure simple pairing using out of band association model[A].Proceedings of the 2009 International Conference on Control Automation,Communication and Energy Conservation[C].Piscataway,NJ,United States:IEEE Computer Society,2009.1-6.

[7]Ueeten O,Serinken N.Wireless security through rf fingerprinting[J].Canadian Journal of Electrical and Computer Engineering,2007,32(1):27-33.

[8]Pasanen S,Haataja K,Pivinen N,et al.New efficient rf fingerprint-based security solution for bluetooth secure simple pairing[A].Proceedings of the 43rd Annual Hawaii International Conference on System Sciences[C].Piscataway,NJ,United States:IEEE Computer Society,2010.2819-2826.

[9]耿君峰,郁濱.基于藍牙設(shè)備地址的分組凈荷簽密方案設(shè)計[J].計算機工程與設(shè)計,2015,36(1):103-107.

[10]Haataja K.New efficient intrusion detection and prevention system for bluetooth networks[A].Proceedings of the 1st International Conference on MOBILe Wireless MiddleWARE,Operating Systems,and Applications[C].Brussels,Belgium:ICST,2008.Article No.16.

[11]Dunning J P.Taming the blue beast:a survey of bluetooth based threats[J].IEEE Security and Privacy,2010,8(2):20-27.

[12]Sandhya S,Devi K A S.Analysis of bluetooth threats and v4.0 security features[A].Proceedings of the 2012 International Conference on Computing,Communication and Applications[C].Piscataway,NJ,United States:IEEE Computer Society,2012.1-4.

[13]Hypponen K,Haataja K M J."Ni?o" man-in-the-middle attack on bluetooth secure simple pairing[A].Proceedings of the 3rd IEEE/IFIP International Conference in Central Asia on Internet[C].Piscataway,NJ,United States:IEEE Computer Society,2007.1-5.

[14]Haataja K,Toivanen P.Practical man-in-the-middle attacks against bluetooth secure simple pairing[A].Proceedings of the 2008 International Conference on Wireless Communications,Networking and Mobile Computing[C].Piscataway,NJ,United States:IEEE Computer Society,2008.1-5.

[15]Mutchukota T R,Panigrahy S K,Jena S K.Man-in-the-middle attack and its countermeasure in bluetooth secure simple pairing[A].Proceedings of the 5th International Conference on Information Processing[C].Heidelberg,Germany:Springer Verlag,2011.367-376.

[16]張衛(wèi)明,李世取.組合生成器的多線性相關(guān)攻擊[J].電子學報,2005,33(3):427-432.

ZHANG Wei-ming,LI Shi-qu,Multi-linear correlation attack on combiners[J].Acta Electronica Sinica,2005,33(3):427-432.(in Chinese)

[17]Marquess K,Park W,Jones L,et al.Bluetooth Specification Version 4.0[EB/OL].https://www.bluetooth.org/docman/handlers/downloaddoc.ashx?doc-id=229737,2010-06-30/2014-10-06.

[18]Marquess K,Park W,Jones L,et al.Bluetooth Specification Version 4.1[EB/OL].https://www.bluetooth.org/DocMan/handlers/DownloadDoc.ashx?doc-id=282159, 2013-12-03/2014-12-20.

陳 凱 男,1985年生于天津.中國科學院信息工程研究所博士生.研究方向為網(wǎng)絡(luò)與系統(tǒng)安全、身份認證、工業(yè)控制系統(tǒng)安全.

E-mail:chenk@iie.ac.cn

許海銘 男,國家能源局安全司處長,華北電力電力大學電氣與電子工程學院博士生,主要從事電力系統(tǒng)安全研究.

Hash-Based Secure Simple Pairing for Preventing Man-in-the-Middle Attacks in Mobile Cloud Computing

CHEN Kai1,2,3,XU Hai-ming4,5,XU Zhen1,2,LIN Dong-dai1,2, LIU Yong6

(1.StateKeyLaboratoryofInformationSecurity,Beijing100093,China;2.InstituteofInformationEngineering,ChineseAcademyofSciences,Beijing100093,China;3.UniversityofChineseAcademyofScience,Beijing100049,China;4.NationalEnergyAdministration,Beijing100824,China;5.SchoolofElectricalandElectronicEngineering,NorthChinaElectricPowerUniversity,Beijing102206,China;6.StateGridShandongElectricPowerCompany,DispatchingControlCenter,Jinan,Shandong250000,China)

Bluetooth low energy (BLE) is designed for the devices with computational and power limitations.But it has been confirmed that Secure Simple Pairing (SSP) is vulnerable to the MITM attack.We identify the root causes of the problem:the pairing messages being tampered,and the vulnerability of the JW model.In this paper,we propose two hash-based SSP schemes for the devices in Mobile Cloud Computing (MCC).The proposed schemes enhance the SSP security with the help of MCC.Scheme I is applied into the devices which support the PE or OOB model.It uses the hash function to ensure the authenticity and integrity of the pairing messages.Scheme II is suitable for the devices which only support the JW model.It improves the security of the JW model through using the hash array.At the end of this paper,we examine the performance for the proposed schemes,and perform the security analysis to show that they can provide the MITM protection against the adversaries with different levels of power.

bluetooth low energy;secure simple pairing;man-in-the-middle attacks;mobile cloud computing

2015-01-15;

2015-03-17;責任編輯:藍紅杰

中國科學院先導專項子課題(No.XDA06010701);信息安全國家重點實驗室科研儀器設(shè)備專項(No.Y4D0031302)

TP309.1

A

0372-2112 (2016)08-1806-08