面向體育運動體征數(shù)據(jù)的兩方認證密鑰協(xié)商協(xié)議

陳 勤 唐明歡 吳 寧

1(湖南人文科技學院 湖南 婁底 417000) 2(北部灣大學 廣西 欽州 535011)

Provably Security

0 引 言

隨著體育競技水平的提高,傳統(tǒng)的經(jīng)驗型訓練已不能滿足體育運動訓練的要求,智能化、精細化的運動體征監(jiān)測及分析方法已成為開展規(guī)范化訓練的必要條件。因而,近年來物聯(lián)網(wǎng)技術(shù)在體育運動中的應用引起了眾多研究學者的關(guān)注。當前,物聯(lián)網(wǎng)已被廣泛用于運動體征數(shù)據(jù)監(jiān)測、動作捕捉、運動模式識別等領(lǐng)域[1-4]。

為保證實時性與便捷性,物聯(lián)網(wǎng)中體征數(shù)據(jù)大多通過無線信道傳輸。然而,無線信道的開放性卻使得這些涉及用戶隱私的數(shù)據(jù)容易遭受攻擊者發(fā)起的竊聽、篡改、重放等安全威脅。2014年,在某馬拉松比賽現(xiàn)場,研究者通過嗅探設備記錄到了563個體征監(jiān)測設備,并通過設備名和物理地址定位到了設備的攜帶者;2015年,卡巴斯基安全實驗室通過對健康監(jiān)測設備進行檢測發(fā)現(xiàn),常見監(jiān)測設備使用的認證方式均允許第三方隱身連接至這些設備,并執(zhí)行命令[5]。諸如此類的安全問題給用戶的個人隱私帶來了嚴峻挑戰(zhàn)。因而,設計必要的安全機制來保證物聯(lián)網(wǎng)中體育運動體征數(shù)據(jù)的安全性,對于保證用戶隱私而言至關(guān)重要。

針對物聯(lián)網(wǎng)中數(shù)據(jù)的安全問題,眾多研究學者提出了安全方案。近年來,文獻[6-8]研究了基于對稱密碼體制的物聯(lián)網(wǎng)安全方案,該類方案具有輕量級、易實現(xiàn)等優(yōu)點,但這些方案需要交互實體間預先共享密鑰參數(shù)信息,并且所需的存儲開銷較大。文獻[9]提出一種基于橢圓曲線密碼體制(Elliptic Curve Cryptography,ECC)的物聯(lián)網(wǎng)認證方案,具有輕量級的特點,但該方案不能抵抗節(jié)點跟蹤和智能卡竊取攻擊[10]。文獻[11]提出一種高效安全的物聯(lián)網(wǎng)消息認證方案,具有計算開銷小、方案實現(xiàn)復雜度低的特點,但該方案未實現(xiàn)鏈路密鑰的建立。文獻[12]針對可穿戴設備的認證問題,提出一種雙因子認證協(xié)議,能夠有效抵抗妥協(xié)和假冒等攻擊,但協(xié)議使用了基于設備底層硬件特征的物理不可克隆函數(shù),需要增加額外的硬件開銷,不適用于設備便攜且體積較小的體育運動場景。文獻[13]提出一種輕量級的加密方案,該方案通過由隨機密鑰組成的置換網(wǎng)絡來構(gòu)造加密和解密算法,可有效抵抗白盒攻擊,并且方案所需的存儲空間較小且計算復雜度低,但該方案未考慮設備的認證問題,不能抵抗偽造攻擊。文獻[14]提出一種基于ECC密碼體制的訪問控制和密鑰協(xié)商協(xié)議,具有計算開銷低的優(yōu)勢,但該協(xié)議存在密鑰托管的問題。此外,文獻[15]和文獻[16]提出了基于無證書公鑰密碼體制的物聯(lián)網(wǎng)安全方案,可有效解決原有公鑰密碼體制存在的密鑰托管和證書管理問題,但文獻[15]提出的協(xié)議需要使用對運算,計算開銷較高,并且分析表明文獻[16]無法抵抗偽造攻擊。

針對上述問題,本文在分析文獻[16]方案存在的安全缺陷的基礎(chǔ)上,提出一種面向體育運動體征數(shù)據(jù)的高效認證密鑰協(xié)商協(xié)議。協(xié)議基于橢圓曲線上的無證書公鑰密碼體制實現(xiàn),無須使用雙線性對運算,在計算開銷和通信開銷上具有明顯優(yōu)勢,可有效抵抗竊聽、篡改、重放、身份偽造等攻擊方式,并提供了完美前向安全性且無密鑰托管問題,能夠滿足物聯(lián)網(wǎng)中體育運動體征數(shù)據(jù)的安全傳輸需求。

1 相關(guān)基礎(chǔ)知識

1.1 相關(guān)困難問題

設E/Fp為有限域Fp上的一條滿足要求的橢圓曲線,其中p為足夠大的安全素數(shù)。G是一個階為素數(shù)q的循環(huán)群,并且點P∈E/Fp是該群的一個生成元。

1.2 安全模型

無證書公鑰密碼體制面臨的敵手可分為A1和A2兩類。其中:A1類敵手能夠利用合法用戶的公鑰對協(xié)議的安全性進行攻擊,但無法掌握系統(tǒng)的主密鑰,可視為惡意的用戶;A2類敵手能夠擁有系統(tǒng)的主密鑰,可視為惡意的密鑰生成中心(KGC)。

定義3協(xié)議的安全性。若認證密鑰協(xié)商協(xié)議同時滿足以下條件,則稱該協(xié)議是安全的。

(1) 協(xié)議參與者協(xié)商出相同的會話密鑰,并且該密鑰服從均勻分布。

(2) 對于任意概率多項式時間的敵手A,其贏得上述游戲的優(yōu)勢Adv(k)是可以忽略的。

2 周彥偉等[16]方案安全性分析

將周彥偉等[16]的方案的協(xié)議參與者記為IDA和IDB,IDA擁有公/私鑰對,IDB擁有公/私鑰對,協(xié)議的具體過程見文獻[16]。

敵手A2擁有系統(tǒng)主密鑰s,其對協(xié)議的可行攻擊過程如下:

由上述分析可知,周彥偉等[16]的方案不能抵抗A2類敵手發(fā)起的偽造攻擊。敵手在未掌握合法設備私鑰的情況下,能夠成功冒充合法設備的身份,并計算出共享的會話密鑰。

3 本文協(xié)議

3.1 網(wǎng)絡模型

基于物聯(lián)網(wǎng)的體育運動體征數(shù)據(jù)傳輸一般網(wǎng)絡模型如圖1所示。

圖1 基于物聯(lián)網(wǎng)的體育運動體征數(shù)據(jù)傳輸網(wǎng)絡模型

模型中的實體主要包括傳感節(jié)點、路由節(jié)點、數(shù)據(jù)處理中心、體育運動研究人員和服務器。其中:傳感節(jié)點負責采集運動員的體征信息,并通過無線方式與路由節(jié)點建立網(wǎng)絡連接;路由節(jié)點用于傳遞與轉(zhuǎn)發(fā)傳感節(jié)點發(fā)送的消息,也可用于傳遞數(shù)據(jù)處理中心向傳感節(jié)點發(fā)送的控制指令;數(shù)據(jù)處理中心用于收集和分析運動員的體征數(shù)據(jù),向體育運動研究人員呈現(xiàn)分析結(jié)果,也可通過指令控制傳感節(jié)點的工作狀態(tài);體育運動研究人員通過數(shù)據(jù)處理中心傳遞來的數(shù)據(jù),對運動員的體征數(shù)據(jù)和運動狀態(tài)進行精細化分析;服務器用于網(wǎng)絡的管理,并充當KGC的角色,向網(wǎng)絡中的實體分配密鑰參數(shù)。

3.2 安全協(xié)議

協(xié)議包括系統(tǒng)初始化、實體密鑰生成、身份認證和密鑰協(xié)商三個部分。系統(tǒng)初始化由服務器負責,用于選取協(xié)議所需的參數(shù);實體密鑰生成用于建立網(wǎng)絡中各個實體設備的公/私鑰對;身份認證和密鑰協(xié)商則用于實現(xiàn)通信實體間的雙向認證和會話密鑰建立。

(2) 實體密鑰生成。以實體設備IDi為例,介紹網(wǎng)絡中各個實體設備的公/私鑰對生成過程。該過程只需要在實體設備加入網(wǎng)絡時執(zhí)行一次。

③ 實體設備IDi收到消息{Ri,yi}后,通過驗證等式y(tǒng)iP=PS+RiH1(IDi,Xi,Ri)是否成立來判斷消息的有效性。若等式成立,則實體設備IDi得到其完整公/私鑰對;否則,密鑰生成失敗,重新執(zhí)行上述過程。

(3) 身份認證和密鑰協(xié)商。以實體設備IDA和IDB間的交互為例,介紹身份認證和密鑰協(xié)商過程。該過程在公開的網(wǎng)絡環(huán)境中執(zhí)行,可分為如下4步,如圖2所示。

圖2 身份認證和密鑰協(xié)商過程

③IDA收到消息后,驗證等式wBP=XB+[PS+RBH1(IDB,XB,RB)]H2(XB,RB,rAXB,xATB)+TB是否成立。若等式成立,則實體設備IDA實現(xiàn)對IDB的身份認證,繼續(xù)執(zhí)行后續(xù)過程;否則,身份認證失敗,協(xié)議終止。

實體設備IDA實現(xiàn)對實體設備IDB的認證后,IDA分別計算wA=xA+yAH2(XA,RA,xATB,rAXB)+rA,keyA=H3(rATB,xATB,rAXB),并向?qū)嶓w設備IDB發(fā)送消息{wA}。

④IDB收到消息后,驗證等式wAP=XA+[PS+RA·H1(IDA,XA,RA)]H2(XA,RA,rBXA,xBTA)+TA是否成立。若等式成立,則實體設備IDB實現(xiàn)對IDA的身份認證,繼續(xù)執(zhí)行后續(xù)過程;否則,身份認證失敗,協(xié)議終止。

認證通過后,實體設備IDB計算keyB=H3(rBTA,rBXA,xBTA)。

4 安全性分析

4.1 正確性分析

(1) 身份合法性驗證。以協(xié)議中實體設備IDA對實體設備IDB的身份認證過程為例,分析協(xié)議中身份合法性驗證機制的正確性。

IDA收到的wB=xB+yBH2(XB,RB,xBTA,rBXA)+rB,因而wBP=[xB+yBH2(XB,RB,xBTA,rBXA)+rB]P=xBP+yBPH2(XB,RB,xBTA,rBXA)+rBP=XB+[PS+RiH1(IDi,Xi,Ri)]H2(XB,RB,xBTA,rBXA)+TB。此外,由于xBTA=xBrAP=rAXB且rBXA=rBxAP=xATB,因此,IDA能夠通過驗證等式wBP=XB+[PS+RBH1(IDB,XB,RB)]H2(XB,RB,rAXB,xATB)+TB是否成立來實現(xiàn)對實體設備IDB的身份認證。

同理,實體設備IDB能夠通過驗證等式wAP=XA+[PS+RAH1(IDA,XA,RA)]H2(XA,RA,rBXA,xBTA)+TA是否成立來實現(xiàn)對實體設備IDA的身份認證。

(2) 會話密鑰一致性。由于rATB=rArBP=rBTA,xATB=xArBP=rBXA,rAXB=rAxBP=xBTA,可知keyA=H3(rATB,xATB,rAXB)=H3(rBTA,rBXA,xBTA)=keyB,因而,實體設備IDA與IDB建立了共享的會話密鑰。

4.2 安全性證明

根據(jù)第1.2節(jié)給出的安全模型,通過定理1和定理2證明所提出的認證密鑰協(xié)商協(xié)議的安全性。

定理1協(xié)議中雙方實體能夠協(xié)商出相同的會話密鑰,并且該密鑰服從均勻分布,即本文協(xié)議能夠滿足協(xié)議安全性定義的條件1。

證明根據(jù)協(xié)議執(zhí)行過程,協(xié)議的參與者IDA計算出會話密鑰keyA=H3(rATB,xATB,rAXB),參與者IDB計算出會話密鑰keyB=H3(rBTA,rBXA,xBTA)。由4.1節(jié)的協(xié)議正確性分析可知,keyA=H3(rATB,xATB,rAXB)=H3(rBTA,rBXA,xBTA)=keyB,因而協(xié)議中雙方實體能夠協(xié)商出相同的會話密鑰key=keyA=keyB。

此外,該會話密鑰利用安全哈希函數(shù)H3(·)計算得出,根據(jù)哈希函數(shù)的特性可知,其哈希值在取值空間中服從均勻分布,即協(xié)議中雙方實體協(xié)商出的會話密鑰服從均勻分布。

因此,本文協(xié)議中的參與者能夠協(xié)商出相同的會話密鑰,并且該密鑰服從均勻分布,定理1得證。

引理1對于任意A1類敵手,其在概率多項式時間內(nèi)贏得密鑰協(xié)商游戲的優(yōu)勢為:

式中:qs、qe、qh分別為敵手執(zhí)行Send查詢、Execute查詢和哈希查詢的次數(shù);l為哈希函數(shù)輸出值的長度;q為協(xié)議中選擇的大素數(shù)。

證明采用文獻[18]給出的方法,通過定義一系列序列化游戲Gamei(i=0,1,2,3,4,5)來證明引理1。利用Si表示敵手A1在游戲Gamei中獲勝,其概率表示為Pr[Si]。

Pr[S1]=Pr[S0]

(1)

Game2:該游戲在Game1的基礎(chǔ)上排除了碰撞事件發(fā)生的可能性。對于本文協(xié)議,碰撞事件主要包括以下兩類:

(1) 協(xié)議消息<{IDA,TA},{IDB,TB,wB},{wA}>發(fā)生碰撞。由于協(xié)議參與者中至少有一方為誠實的參與者,參數(shù)wA和wB中至少有一個服從均勻分布。

(2) 協(xié)議中哈希函數(shù)的哈希值發(fā)生碰撞。

上述碰撞事件發(fā)生的概率可通過生日悖論計算,由此可得:

(2)

Game3:該游戲在Game2的基礎(chǔ)上排除了敵手A1計算出參數(shù)rArBP的可能性。由于rArBP=rATB=rBTA且TA、TB為公開參數(shù),因而敵手A1可通過以下三種方式計算出rArBP。

(3) 通過參數(shù)TA=rAP和TB=rBP計算rArBP。該方式中敵手A1需要解決ECCDH問題,其概率為εECCDH。

由上述分析可知:

(3)

Game4:該游戲在Game3的基礎(chǔ)上排除了敵手A1計算出參數(shù)xArBP的可能性。由于xArBP=xATB=rBXA,XA、TB為公開參數(shù),且Game3中已經(jīng)排除了敵手A1獲得參數(shù)rB的可能性,因而A1可通過以下兩種方式計算出xArBP。

(2) 通過參數(shù)XA=xAP和TB=rBP計算xArBP。該方式中敵手A1需要解決ECCDH問題,其概率為εECCDH。

由上述分析可知:

(4)

Game5:該游戲在Game4的基礎(chǔ)上排除了敵手A1計算出參數(shù)rAxBP的可能性。由于rAxBP=rAXB=xBTA,TA、XB為公開參數(shù),且Game3中已經(jīng)排除了敵手A1獲得參數(shù)rA的可能性,因而A1可通過以下兩種方式計算出rAxBP。

(2) 通過參數(shù)TA=rAP和XB=xBP計算rAxBP。該方式中敵手A1需要解決ECCDH問題,其概率為εECCDH。

由上述分析可知:

(5)

由于會話密鑰key=H3(rArBP,xArBP,rAxBP),而至此我們已經(jīng)排除了敵手A1獲得參數(shù)rArBP、xArBP和rAxBP的可能性,因此,敵手A1只能通過猜測來記得游戲Game5,即:

(6)

此外,根據(jù)不等式的相關(guān)知識可知:

|Pr[Si]-Pr[Sk]|≤|Pr[Si]-Pr[Sj]|+

|Pr[Sj]-Pr[Sk]|

(7)

由式(1)-式(7)可知:

引理2對于任意A2類敵手,其在概率多項式時間內(nèi)贏得密鑰協(xié)商游戲的優(yōu)勢為:

式中:qs、qe、qh分別為敵手執(zhí)行Send查詢、Execute查詢和哈希查詢的次數(shù);l為哈希函數(shù)輸出值的長度;q為協(xié)議中選擇的大素數(shù)。

證明相較于A1類敵手,A2類敵手擁有系統(tǒng)的主密鑰s。從引理1的證明過程來看,擁有系統(tǒng)的主密鑰s并不能增加敵手A2計算出參數(shù)rArBP、xArBP和rAxBP的優(yōu)勢,因此,A2類敵手贏得密鑰協(xié)商游戲的優(yōu)勢與A1類敵手相同,即:

其具體的證明過程與引理1相似,這里不再贅述。

從引理2可知,即使作為KGC的服務器擁有系統(tǒng)的主密鑰s,也不能增加其計算出會話密鑰的概率,即本文協(xié)議不存在密鑰托管問題。

定理2對于任意概率多項式時間的敵手A,其贏得密鑰協(xié)商游戲的優(yōu)勢Adv(k)是可以忽略的,即本文協(xié)議能夠滿足協(xié)議安全性定義的條件2。

因此,對于任意概率多項式時間的敵手A,其贏得密鑰協(xié)商游戲的優(yōu)勢Adv(k)是可以忽略的,定理2得證。

由定理1和定理2可知,本文協(xié)議能夠滿足認證密鑰協(xié)商協(xié)議所需的兩個條件,因而協(xié)議具有足夠的安全性。

4.3 安全性對比

本文協(xié)議與同類協(xié)議的安全性對比如表1所示。文獻[14]提出的協(xié)議存在密鑰托管問題;文獻[15]實現(xiàn)了會話密鑰的建立,但該方案不能抵抗A1類敵手的偽造攻擊;從第2節(jié)的分析過程可知,文獻[16]仍不能抵抗攻擊者發(fā)起的偽造攻擊。對比結(jié)果表明,本文協(xié)議具有更高的安全性。

表1 安全性能對比表

5 性能分析與對比

在面向體育運動的應用場景中,系統(tǒng)往往對消息傳輸?shù)膶崟r性有較高的要求,因而本節(jié)主要在通信開銷和計算開銷方面,將本文協(xié)議與同類協(xié)議進行對比。

(1) 通信開銷。以實體設備IDA與IDB之間的交互為例,通過實體設備發(fā)送消息的長度衡量其通信開銷。

表2 通信開銷對比

由表2可知,相較于同類協(xié)議,本文協(xié)議中發(fā)起方和接收方設備均具有更低的通信開銷。

(2) 計算開銷。利用符號Tbp、Tem、Tea、Th分別表示橢圓曲線上的雙線性對運算、標量乘法運算、標量加法運算和單向散列函數(shù)運算所需的計算時間。文獻[19]在移動設備平臺上測試了計算各種密碼算法所需的時間,根據(jù)該文獻,Tbp≈32.713 ms,Tem≈13.405 ms,Tea≈0.081 ms,Th≈0.056 ms,則本文協(xié)議與文獻[14]、文獻[15]和文獻[16]的計算開銷如表3所示。

表3 計算開銷對比

由表3可知,相較于同類協(xié)議,本文協(xié)議中發(fā)起方和接收方設備所需的計算開銷更小。

6 結(jié) 語

體征數(shù)據(jù)涉及用戶個人隱私信息,因而保證其安全性至關(guān)重要。本文分析了現(xiàn)有安全協(xié)議應用于體育運動場景存在的不足,在此基礎(chǔ)上利用橢圓曲線上的無證書公鑰密碼體制提出一種高效認證密鑰協(xié)商協(xié)議。安全性分析表明,本文協(xié)議相較于同類協(xié)議具有更高的安全性,能夠滿足物聯(lián)網(wǎng)中體育運動應用場景的安全需求。性能分析和對比結(jié)果表明,協(xié)議具有更低的通信開銷和計算開銷。