張紫楠,郭淵博,楊奎武,黃惠新,楊占海

(1.中國人民解放軍66029部隊,內(nèi)蒙古蘇尼特右旗 011200;2.解放軍信息工程大學(xué)密碼工程學(xué)院,河南鄭州 450000;3.中國人民解放軍92762部隊,福建廈門 361000)

通用可組合認(rèn)證密鑰交換協(xié)議

張紫楠1,郭淵博2,楊奎武2,黃惠新3,楊占海1

(1.中國人民解放軍66029部隊,內(nèi)蒙古蘇尼特右旗 011200;2.解放軍信息工程大學(xué)密碼工程學(xué)院,河南鄭州 450000;3.中國人民解放軍92762部隊,福建廈門 361000)

物理不可克隆函數(shù)是指對一個物理實體輸入一個激勵,利用其不可避免的內(nèi)在物理構(gòu)造的隨機(jī)差異輸出一個不可預(yù)測的響應(yīng).針對傳感器節(jié)點的計算、存儲和通信能力有限等問題,基于物理不可克隆函數(shù)提出物理不可克隆函數(shù)系統(tǒng)的概念,并在此基礎(chǔ)上提出一個新的用于無線傳感器網(wǎng)絡(luò)的認(rèn)證密鑰交換協(xié)議,最后在通用可組合框架內(nèi)給出新協(xié)議抵抗靜態(tài)敵手的安全性證明.相比于傳統(tǒng)基于公鑰加密的認(rèn)證密鑰交換協(xié)議,新協(xié)議不使用任何可計算的假設(shè),而是基于物理不可克隆函數(shù)系統(tǒng)的安全屬性實現(xiàn),因此在很大程度上減少了計算和通信開銷.該協(xié)議涉及較少的交互次數(shù),認(rèn)證協(xié)議計算僅僅需要散列函數(shù)、對稱加密和物理不可克隆函數(shù)系統(tǒng).

認(rèn)證密鑰交換;物理不可克隆函數(shù);物理不可克隆函數(shù)系統(tǒng);通用可組合框架

無線傳感器網(wǎng)絡(luò)通常需要部署在開放甚至不友好的環(huán)境中(如野外和戰(zhàn)場),并且它所監(jiān)測的信息往往具有隱私性和敏感性.因此,必要的安全機(jī)制對于無線傳感器網(wǎng)絡(luò)來說至關(guān)重要.由于傳感器節(jié)點的計算、存儲和通信能力有限,在這種網(wǎng)絡(luò)中提供安全保障要比傳統(tǒng)網(wǎng)絡(luò)困難得多,故所采用的安全機(jī)制應(yīng)盡可能少地占用計算、存儲和通信資源.目前已有的大部分基于公鑰密碼體制的安全機(jī)制,由于復(fù)雜度和成本過高,不能直接應(yīng)用在無線傳感器網(wǎng)絡(luò)之中.

目前提出的大部分無線傳感器網(wǎng)絡(luò)密鑰交換方案在各種安全性、易用性和成本等方面表現(xiàn)不同.例如, SPINS、LEAP、Transitory Master Key和Random Key Pre-Distributions等方案都假設(shè)初始密鑰是基于一個未指定的安全機(jī)制被預(yù)置在傳感器節(jié)點上,它的缺點是存儲開銷比較大,并不適合資源有限的傳感器節(jié)點.而MIB[1],Resurrecting Ducking、Talking to Strangers、Seeing-is-Believing、On-off Keying、Key Infection和Shake Them Up等方案的缺點是需要額外的硬件設(shè)備或需要相對高成本的公鑰加密技術(shù),甚至一些方案都沒能實現(xiàn)密鑰的保密性和真實性.

基于物理不可克隆函數(shù)(Physical Unclonable Function,PUF),筆者提出一個新的適用于無線傳感器網(wǎng)絡(luò)的認(rèn)證密鑰交換協(xié)議(PUFS based AKE,簡稱AKEPUFS協(xié)議).物理不可克隆函數(shù)主要利用硬件內(nèi)不可避免的構(gòu)造差異實現(xiàn)不可克隆的激勵相應(yīng)行為,它最主要的優(yōu)勢是這種不能被克隆的激勵響應(yīng)行為可以實現(xiàn)一些與傳統(tǒng)公鑰加密一樣的功能,但是卻大大減少了計算、存儲和通信開銷.

新的AKEPUFS協(xié)議同以往方案相比具有如下功能和特點:AKEPUFS協(xié)議不在傳感器節(jié)點上預(yù)置一個初始密鑰,有效地節(jié)省了傳感器節(jié)點的存儲開銷.AKEPUFS協(xié)議不使用任何可計算的假設(shè),而是基于物理不可克隆函數(shù)系統(tǒng)的安全屬性實現(xiàn).相比于傳統(tǒng)的公鑰加密方案,這大大減少了計算和通信開銷.AKEPUFS協(xié)議通過物理不可克隆函數(shù)系統(tǒng)防止協(xié)議發(fā)送者和接收者之間的惡意行為,如物理不可克隆函數(shù)的防篡改屬性可以保證敵手惡意篡改傳感器節(jié)點之后不能實現(xiàn)認(rèn)證密鑰交換.協(xié)議的交互簡單,具有良好的計算效率.協(xié)議滿足通用可組合特性.

基于物理不可克隆函數(shù)提出一個物理不可克隆函數(shù)系統(tǒng)(PUFS),使得其具有傳播域廣、提取獨立和魯棒等屬性.基于物理不可克隆函數(shù)系統(tǒng),提出一個新的認(rèn)證密鑰交換協(xié)議.為了使得協(xié)議能夠更好地實現(xiàn)通用可組合(UC)安全性,討論了AKEPUFS協(xié)議在通用可組合框架[2-3]內(nèi)的安全性,并給出協(xié)議抵抗靜態(tài)敵手的一個安全性證明.

1 物理不可克隆函數(shù)系統(tǒng)

自從Pappu[4]提出物理不可克隆函數(shù)以來,憑借其具有不可克隆等良好的性質(zhì)而受到廣泛的關(guān)注,并逐漸成為硬件安全領(lǐng)域研究中的一個熱門話題.但是在實際中,物理不可克隆函數(shù)的激勵響應(yīng)行為會受到噪音的影響,即給定相同的激勵,物理不可克隆函數(shù)可能產(chǎn)生出“略有不同”的響應(yīng).這些“略有不同”的響應(yīng)是相似的,可以通過在提取算法中設(shè)置閾值來消除噪音的影響[5-6].所以,筆者在物理不可克隆函數(shù)中加入一個提取算法來實現(xiàn)一個物理不可克隆函數(shù)系統(tǒng)(PUFS),如圖1所示,使得其具有傳播域廣、提取獨立、魯棒和防篡改等屬性.

1.1 物理不可克隆函數(shù)(PUF)

圖1 物理不可克隆函數(shù)系統(tǒng)框架

物理不可克隆函數(shù)是物理不可克隆函數(shù)系統(tǒng)最主要的組件,它是指對一個物理實體輸入一個激勵,利用其不可避免的內(nèi)在物理構(gòu)造的隨機(jī)差異輸出一個不可預(yù)測的響應(yīng)[7-11].也就是說,在理想情況下,對于一個確定的物理不可克隆函數(shù)輸入相同的激勵,它會輸出相同的響應(yīng),并且這個響應(yīng)是物理不可克隆的.

物理不可克隆函數(shù)主要包括一個物理組件p(·)和一個評估過程Eval(·).物理組件p是純硬件實現(xiàn)的一部分,給定一個激勵信號,它會利用生產(chǎn)制造變化的不同,輸出一個響應(yīng)信號.而評估過程Eval(·)的作用是將物理信號轉(zhuǎn)換成數(shù)字信號.所以,物理不可克隆函數(shù)的激勵 響應(yīng)行為主要依賴于物理組件p的屬性、不可控的隨機(jī)噪聲(例如熱噪聲)和物理不可克隆函數(shù)制造商選擇的一個評估參數(shù)αPF(例如量化因子).也就是說,如果3個因素中有一個發(fā)生變化,物理不可克隆函數(shù)的激勵 響應(yīng)行為會表現(xiàn)出完全不同的結(jié)果.例如,如果對于不同的物理組件p,即使給定相同的激勵,物理不可克隆函數(shù)也會產(chǎn)生出不同的響應(yīng).

定義1一個物理不可克隆函數(shù)是一個概率過程,即PUFp,αPF:x→y,其中,x表示激勵集合,y表示響應(yīng)集合.

定義2在內(nèi)部,一個物理不可克隆函數(shù)是一個物理組件p和評估過程Eval的結(jié)合,即

1.2 物理不可克隆函數(shù)系統(tǒng)框架

物理不可克隆函數(shù)系統(tǒng)[12]主要包括一個物理不可克隆函數(shù)和一個提取算法(例如Dodis等[5]提出的模糊提取算法).這里引入提取算法的目的有兩個:一是通過提取算法設(shè)置閾值,消除噪音的影響;二是通過提取算法使得響應(yīng)具有高不相關(guān)性并使響應(yīng)均勻分布.它利用輔助數(shù)據(jù)h在兩個不同模式中執(zhí)行,即設(shè)置模式和重建模式.

定義3一個物理不可克隆函數(shù)系統(tǒng)是一個概率過程,即

其中,x表示激勵集合,h表示輔助數(shù)據(jù)集合,ε表示空字符串,z表示輸出集合.當(dāng)h=ε時,表示提取算法Extract在設(shè)置模式下生成一個新的輔助數(shù)據(jù)h;當(dāng)h≠ε時,表示提取算法Extract在重建模式下利用激勵x和輔助數(shù)據(jù)h來重建輸出z.

定義4在內(nèi)部,一個物理不可克隆函數(shù)系統(tǒng)是一個物理不可克隆函數(shù)和一個提取算法Extract的結(jié)合,即

結(jié)論1根據(jù)對應(yīng)于物理不可克隆函數(shù)的提取算法的性質(zhì),一個物理不可克隆函數(shù)系統(tǒng)具有如下屬性:

(1)廣傳播域?qū)傩?廣傳播域?qū)傩允窃诙囗検綍r間內(nèi)對于有限數(shù)量的激勵x1,…,xn,與xk的距離小于dmin的一個隨機(jī)選擇的激勵xk是可以忽略不計的.其中dmin是最小的漢明距離.

(2)提取獨立屬性.對于所有的激勵x1,…,xn,用一個d(xk,x)＞dmin的激勵x來評估物理不可克隆函數(shù)系統(tǒng),那么提取算法會得出一個幾乎平均的值z.

(3)魯棒屬性.提取算法設(shè)置閾值消除噪音的影響,即如果用激勵x評估物理不可克隆函數(shù)兩次得到y(tǒng)和y′,那么提取算法返回相同的輸出z,即(z,h)←和(z,h)←

(4)防篡改屬性.任何篡改物理不可克隆函數(shù)硬件的行為將使得篡改后的PUF′在本質(zhì)上和PUF的行為完全不同.這是由物理不可克隆函數(shù)的物理構(gòu)造決定的.

2 AKEPUFS協(xié)議

基于物理不可克隆函數(shù)系統(tǒng),筆者提出一個新的認(rèn)證密鑰部署協(xié)議.物理不可克隆函數(shù)系統(tǒng)不可克隆的激勵響應(yīng)行為以及它的廣傳播、提取獨立和魯棒等屬性,使得協(xié)議可以完整地實現(xiàn)認(rèn)證密鑰交換協(xié)議的基本功能.

2.1 安全性需求

一個客戶裝載一個新的傳感器節(jié)點,并使用無線通信信道在未初始化的節(jié)點和無線基站之間設(shè)置一個共享秘密.在文獻(xiàn)[1]中,Kuo等提供了解決這個問題的一系列屬性:

(1)密鑰保密性.攻擊者可以以忽略不計的概率妥協(xié)節(jié)點和基站之間的共享秘密.

(2)密鑰真實性.一個未初始化的節(jié)點接收到的密鑰是基站初始發(fā)送的密鑰,而不是來自一個敵手的密鑰.

(3)前向保密性.妥協(xié)一個節(jié)點并不妥協(xié)之前部署在節(jié)點上的密鑰.

(4)密鑰不可克隆和防篡改屬性.敵手可以以忽略不計的概率克隆和篡改節(jié)點與基站之間的共享秘密.

(5)示范性識別.用戶物理地處理設(shè)備使得他們確定哪個設(shè)備正在進(jìn)行通信.

(6)魯棒性.系統(tǒng)應(yīng)該圍繞用戶進(jìn)行設(shè)計并用于普通用戶(不是專業(yè)加密者或安全工程師).此外,一個用戶錯誤不應(yīng)該導(dǎo)致密鑰的妥協(xié).

(7)成本.提出的解決方案不應(yīng)該增加傳感器節(jié)點和/或網(wǎng)絡(luò)的成本.

(8)沒有公鑰加密.一般情況下,公共密鑰(PK)加密實現(xiàn)相對于程序空間來說更加昂貴并且相對于硬件水平上實現(xiàn)更加慢速.此外,公共密鑰加密使節(jié)點容易受到能量拒絕服務(wù)(DOS)攻擊.

假設(shè)可以信任安裝人員并且可以按照指示完成簡單的操作.同樣,假設(shè)一旦已成功共享一個密鑰,節(jié)點將使用安全的通信協(xié)議.在筆者設(shè)計的方案中,假設(shè)物理不可克隆函數(shù)在傳感器節(jié)點中具有其相應(yīng)的安全屬性(如1.2節(jié)).由于物理不可克隆函數(shù)典型的物理不可克隆函數(shù)電路是在硅器件上實現(xiàn)的,如文獻(xiàn)[13-14],所以并不需要增加節(jié)點的成本.

2.2 AKEPUFS協(xié)議

新協(xié)議有3個不同的參與方:

(ⅰ)基站(S).控制整個網(wǎng)絡(luò)并有一個常規(guī)PC的能力.它具有一定的數(shù)據(jù)存儲能力.

(ⅱ)傳感器節(jié)點(M).它與基站共享一個秘密.一旦節(jié)點被供電或重置時,它就進(jìn)入一個未初始化的狀態(tài),然后當(dāng)節(jié)點接收到正確的密鑰時,它就變化到一個初始化狀態(tài).最后,如果密鑰交換失敗,則節(jié)點進(jìn)入拒絕狀態(tài)而沒有與基站共享一個有效的密鑰.

(ⅲ)用戶(U).它要執(zhí)行密鑰交換.

對于每一個新的節(jié)點M,遵循以下步驟.

步驟1 設(shè)置階段.

(1)給定基站S一個具有物理不可克隆函數(shù)系統(tǒng)的傳感器節(jié)點M,則物理不可克隆函數(shù)系統(tǒng)相應(yīng)的評估參數(shù)和提取參數(shù)是確定的值.基站S從{0,1}λ中隨機(jī)選擇λ長度的激勵xk,其中1≤k≤N.然后對傳感器節(jié)點M中的物理不可克隆函數(shù)計算yk←Evalp(αPF,xk).接下來,利用相應(yīng)的提取算法在設(shè)置階段計算得到(zk,hk)←(yk,ε).最后基站S把這N對(xk,yk,zk,hk)存儲到一個數(shù)據(jù)表L中.

(2)基站S把這個具有物理不可克隆函數(shù)系統(tǒng)的傳感器節(jié)點投放到具體的用戶環(huán)境中.此時,可以假定傳感器節(jié)點M仍然具有這個固定提取參數(shù)的提取算法.

步驟2 密鑰建立階段.

(1)一旦用戶打開傳感器節(jié)點,那么節(jié)點就進(jìn)入一個未初始化的狀態(tài),然后通過無線通道向基站發(fā)送h (ID)請求密鑰部署.

(2)基站S查找到對應(yīng)于ID的數(shù)據(jù)表L,然后從L中隨機(jī)選擇一個元組(xk,yk,zk,hk).這個元組在本次協(xié)議執(zhí)行結(jié)束后刪除.其中1≤k≤N.

(3)基站計算zk的一個哈希函數(shù)h(zk),并對隨機(jī)數(shù)r用協(xié)商好的加密算法加密Enzk(r).然后將這個元組(xk,hk,h(zk),Enzk(r))通過無線通道發(fā)送給傳感器節(jié)點M.

(4)傳感器節(jié)點M首先利用激勵xk和hk查詢物理不可克隆函數(shù)系統(tǒng),得到y(tǒng)′k←Evalp(αPF,xk)和z′k←(y′k,hk),然后計算哈希函數(shù)h(z′k),驗證h(z′k)與h(zk)是否相等.若相等,則驗證了基站S;若不等,則終止.

(5)傳感器節(jié)點M首先利用z′k解密Enzk(r)得到r′,然后傳感器節(jié)點M發(fā)送r′到基站S.

(6)基站S驗證r′和r是否相等.若相等,則驗證傳感器節(jié)點M,并且兩方建立了共同的密鑰zk;若不等,則終止.

3 通用可組合框架下的AKEPUFS協(xié)議

筆者的目標(biāo)是設(shè)計一個認(rèn)證密鑰交換協(xié)議[15].該協(xié)議將作為應(yīng)用中使用的子協(xié)議,或者和其他應(yīng)用復(fù)合使用的協(xié)議.同時,設(shè)計一個只需要分析一次就可以廣泛應(yīng)用的協(xié)議.為了實現(xiàn)這個目標(biāo),引入一個特殊的方法——通用可組合(UniversallyComposable,UC)框架[2-3].

3.1 通用可組合框架

粗略地說,通用可組合框架定義了兩種協(xié)議運行模型:現(xiàn)實世界模型和理想世界模型.模型中的參與方都被抽象化為概率多項式時間交互式圖靈機(jī).

現(xiàn)實世界模型主要涉及3類抽象的參與方:被分析的協(xié)議π;協(xié)議運行環(huán)境Z,主要用于模型化系統(tǒng)中除被分析的協(xié)議之外的其他協(xié)議;現(xiàn)實攻擊者A,用來攻擊協(xié)議消息和腐化協(xié)議參與方.理想世界模型中主要涉及的參與方包括環(huán)境Z、理想攻擊者ˉA控制的仿真器Sim以及理想功能F.其中,理想功能F模型化了密碼學(xué)任務(wù)所應(yīng)該實現(xiàn)的功能和可以允許的信息泄露,它可以通過虛擬用戶與環(huán)境進(jìn)行交互;理想攻擊者ˉA控制的仿真器Sim模型化了針對理想功能的特殊攻擊者,它只能與理想功能進(jìn)行交互,而不能與虛擬用戶進(jìn)行交互,這從形式上保證了理想世界模型中協(xié)議的安全性.最后,通過協(xié)議仿真保證現(xiàn)實世界模型中的協(xié)議具有和理想世界模型中的協(xié)議相同的功能,給出現(xiàn)實協(xié)議安全性的定義.

給定協(xié)議π以及理想功能F,如果對任意的攻擊者A,都存在仿真器Sim,使得對擁有任意輸入的任何環(huán)境Z,在和攻擊者A以及協(xié)議π交互后的概率分布與在和攻擊者ˉA控制的仿真器Sim以及理想功能F交互后的概率分布是計算不可區(qū)分的,則稱協(xié)議π通用可組合實現(xiàn)了理想功能F.

3.2 密鑰交換理想功能

認(rèn)證密鑰交換理想功能FAKE的主要想法如下:如果雙方是誠實的,功能提供它們一個共同的隨機(jī)值,而這個隨機(jī)值對于敵手是不可見的.如果其中的一個是腐化的,敵手完全掌握了會話密鑰,所以建模一個腐化的參與方.密鑰交換理想功能FAKE如下所示.

(1)每當(dāng)從Pi接收到消息(establish,ID,ssid,Pi,Pj),則Fke存儲消息(establish,ID,ssid,Pi,Pj)(并且拒絕建立如果已經(jīng)有一個消息(establish,ID,ssid,Pj,Pi)或者(establish,ID,ssid,Pi,Pj)),并且Fke發(fā)送(establish,ID,ssid,Pi,Pj)到仿真器Sim.如果兩個用戶都是誠實的,則從{0,1}λ中選擇一個隨機(jī)值k并存儲消息(send,ID,ssid,k,Pi)和(send,ID,ssid,k,Pj).

(2)每當(dāng)從S接收到消息(choice,ID,ssid,Pi,Pj,k),則Fke檢查是否有一個消息(establish,ID,ssid, Pi,Pj)或者一個消息(establish,ID,ssid,Pj,Pi)并且是否至少有一個用戶Pi和Pj是腐化的.如果是,則存儲消息(send,ID,ssid,k,Pi)和(send,ID,ssid,k,Pj).

(3)每當(dāng)從S接收到消息(send,ID,ssid,Pi),則Fke檢查是否有一個元組(send,ID,ssid,k,Pi)已經(jīng)存儲.如果是,發(fā)送(send,ID,ssid,k,Pi)到Pi并且刪除消息(send,ID,ssid,k,Pi);否則,什么也不做.

3.3 安全性證明

筆者提出的密鑰交換協(xié)議如下:在一個注冊階段,一個基站S得到一個物理不可克隆函數(shù),對于一個集合隨機(jī)選擇的激勵測量物理不可克隆函數(shù)得到相應(yīng)的響應(yīng),并通過模糊提取算法得到秘密zk.然后基站發(fā)送具有物理不可克隆函數(shù)的傳感器節(jié)點到用戶.完成注冊階段后,用戶發(fā)送密鑰交換請求,然后基站廣播一個隨機(jī)選擇的激勵xk以及它的輔助數(shù)據(jù)hk和相應(yīng)的認(rèn)證數(shù)據(jù)到用戶.用戶和基站在通過相互認(rèn)證之后,得到共享的密鑰zk.

定理1假設(shè)物理不可克隆函數(shù)系統(tǒng)是一個物理不可克隆函數(shù)系統(tǒng),那么物理不可克隆函數(shù)系統(tǒng)認(rèn)證密鑰交換協(xié)議在靜態(tài)敵方存在的情況下,通用可組合安全地實現(xiàn)了理想功能FAKE.證明 由于只考慮靜態(tài)的腐化,所以可以利用腐化的一方來區(qū)分仿真. (1)仿真Pi和Pj都誠實的情況.

每當(dāng)功能Fke第1次發(fā)送消息(establish,ID,ssid,Pi,Pj)時,S初始化一個物理不可克隆函數(shù),并用N隨機(jī)激勵x1,…,xN查詢它來獲得響應(yīng)y1,…,yN.然后計算(zk,hk)←(yk,ε),并存儲所有的元組(xk,yk,zk,hk)在一個列表L中.仿真器Sim然后模擬一個handoverPUF并讓敵手查詢物理不可克隆函數(shù),直到敵手終止過渡階段.S繼續(xù)第1會話的模擬.設(shè)置階段模擬結(jié)束.

每當(dāng)接收一個消息(establish,ID,ssid,Pi,Pj),仿真器Sim發(fā)送(send,ID,ssid,Pi)到FAKE.

(2)用戶Pj被腐化的情況.

在設(shè)置階段的模擬和誠實的情況一樣.當(dāng)收到一個消息(establish,ID,ssid,Pi,Pj),仿真器Sim輸入(choice,ID,ssid,Pi,Pj,zk)到FAKE.然后S被再次激活并輸入(send,ID,ssid,Pi)到FAKE.

(3)發(fā)送者Pi被腐化的情況.

S允許惡意用戶Pi來實例化一個任意數(shù)量的物理不可克隆函數(shù).接收者只能接受一個單一的handoverPUF.當(dāng)一個敵手通過認(rèn)證發(fā)送(ID,ssid,(xk,hk))到Pj,然后S評估物理不可克隆函數(shù)對于xk來獲得響應(yīng)yk,并且計算zk←(yk,hk).S讓腐化虛擬用戶Pi輸入消息(establish,ID,ssid,Pi, Pj)到FAKE的輸入帶上并且隨后傳送消息(choice,ID,ssid,Pi,Pj,zk)和(send,ID,ssid,Pj)到FAKE.

模擬分析:由于系統(tǒng)的廣傳播域?qū)傩?是以壓倒性的概率,敵手對于激勵xk沒有比dmin更近的距離查詢物理不可克隆函數(shù).又由于響應(yīng)獨立性,消息(xk,hk)是對zk靜態(tài)獨立的.因此,模擬是完美的.

4 相關(guān)工作比較

目前提出的一些方案在各種安全性、易用性和成本等方面表現(xiàn)不同,如表1所示.

表1 AKEPUFS協(xié)議與其他協(xié)議的比較

Resurrecting Duckling是使用一個不同頻道信號傳輸通道物理接觸的方法來安全地共享一個密鑰.如果認(rèn)為直接接觸通道安全,則這種方法可以安全地在設(shè)備之間共享一個密鑰.它也給出了示范性識別和魯棒性.然而,它的主要缺點是需要每個節(jié)點額外的硬件通過一個物理接觸實現(xiàn)信息交換.另一個不同頻道信號傳輸方法是Talking to Strangers,它利用一個位置有限的通道(如紅外線或音頻)來設(shè)置一個公鑰.這種方法同樣不符合成本屬性,因為需要每個傳感器節(jié)點有額外的專用硬件用于通信和使用公鑰加密.

Seeing-is-Believing方法是使用一個公鑰編碼作為二維條碼建立密鑰.不像Talking to Strangers,Seeing-is-Believing是只需要配備一個相機(jī)或條形碼閱讀器的單一專門設(shè)置硬件.但是,它在傳感器節(jié)點上確實需要執(zhí)行昂貴的公鑰加密.Shake Them Up方案是通過在每個手中握住一個節(jié)點并搖晃他們來在節(jié)點中設(shè)立密鑰.節(jié)點交換相同的數(shù)據(jù)包,因此,攻擊者無法區(qū)分消息發(fā)送是來自設(shè)備還是來自相同的無線通道的傳輸.為了避免攻擊者空間區(qū)分基于能量的來源,設(shè)備在通信過程中一起動搖.然而,由于固定無線電指紋,這種做法不是充分安全的.雖然它提供物理識別設(shè)備,但是,如果用戶不充分搖動,則密鑰也可能受到妥協(xié).

On-off Keying技術(shù)利用射頻信號的存在或不存在來分別編碼1或0.假設(shè)攻擊者只能修改一個0(射頻信號不存在),到射頻信號后為1,那么該消息仍然可以通過適當(dāng)編碼被認(rèn)證.真實性不能完全保證,因為該方案的作者沒有指定設(shè)備怎樣知道1和0的真實級別.該方案還要求使用公鑰加密技術(shù),并缺乏設(shè)備的一個物理示范性識別哪個密鑰是共享的.Key Infection是一個簡單和具有有效成本的方案,因為其假設(shè)在密鑰共享的時刻,攻擊者是不存在的.因此,傳輸密鑰打破了安全性和真實性,因為密鑰交換也可以由一個敵手執(zhí)行.顯然,這樣的方案和安全模型相矛盾,因為它假設(shè)攻擊者在攻擊之前存在,而在密鑰設(shè)置期間和之后不存在.

在筆者的方案中,除了具有一些共同的屬性之外,物理不可克隆函數(shù)系統(tǒng)提供了另一種類型的安全保證,即不可克隆性和防篡改性.這些屬性是只適用于基于物理不可克隆函數(shù)系統(tǒng)的解決方案.通過比較筆者提出的協(xié)議與其他協(xié)議的通信輪數(shù)可以看出,筆者提出的協(xié)議還提供了協(xié)議的簡化.同時,由于物理不可克隆函數(shù)也沒有利用任何專門設(shè)置的硬件,所以肯定會降低成本.

5 總 結(jié)

首先討論了物理不可克隆函數(shù)系統(tǒng)的一般框架、定義及其屬性,然后基于這個框架,提出了一個新的認(rèn)證密鑰交換協(xié)議.與以往方案不同的是,筆者提出的協(xié)議不使用任何可計算的假設(shè),而是基于物理不可克隆函數(shù)系統(tǒng)的安全屬性實現(xiàn),這大大減少了協(xié)議的計算和通信開銷.最后在通用可組合框架內(nèi)詳細(xì)討論了這個協(xié)議,并給出相應(yīng)的安全性證明.

[1]Kuo C,Luk M,Negi R,et al.Message-in-a-bottle:User-friendly and Security Key Deployment for Sensor Nodes[C]// International Conference on Embedded Networked Sensor Systems-Sensys.New York:ACM,2007:233-246.

[2]Canetti R.Universally Composable Security:a New Paradigm for Cryptographic Protocols[C]//Proceedings of the 42nd IEEE Symposium on the FOCS.New York:IEEE Computer Society Press,2001:136-145.

[3]Canetti R,Herzog J.Universally Composable Symbolic Security Analysis[J].Journal of Cryptology,2011,24(1):83-147.

[4]Pappu R S.Physical One-Way Functions[D].Massachusetts:Massachusetts Institute of Technology,2001.

[5]Dodis Y,Ostrovsky R,Reyzin L,et al.Fuzzy Extractors:How to Generate Strong Keys from Biometrics and Other Noisy Data[J].SIAM Journal of Computing,2008,38(1):97-139.

[6]Duan Xiaoyi,Li Xiuying.Security of a New Password Authentication Scheme Using Fuzzy Extractor with Smart Card [C]//IEEE 3rd International Conference on Communication Software and Networks.Piscataway:IEEE,2011:282-284.

[7]Ju J,Plusquellic J,Chakraborty R,et al.Bit String Analysis of Physical Unclonable Functions Based on Resistance Variations in Metals and Transistors[C]//IEEE International Symposium on Hardware-Oriented Security and Trust. Piscataway:IEEE,2012:13-20.

[8]Stanzione S,Puntin D,Iannaccone G.CMOS Silicon Physical Unclonable Functions Based on Intrinsic Process Variability[J].IEEE Journal of Solid-State Circuits,2011,46(6):1456-1463.

[9]Lahiri D K,Maloney B,Rogers J T,et al.PuF,An Antimetastatic and Developmental Signaling Protein,Interacts with the Alzheimer’s Amyloid-βPrecursor Protein via a Tissue-specific Proximal Regulatory Element(PRE)[J].BMC Genomics,2013,14(1):68.

[10]Friend K,Campbell Z T,Cooke A,et al.A Conserved PUF-Ago-eEF1A Complex Attenuates Translation Elongation [J].Nature Structural&Molecular Biology,2012,19(2):176-183.

[11]Qiu C,Kershner A,Wang Y,et al.Divergence of Pumilio/fem-3 m RNA Binding Factor(PUF)Protein Specificity through Variations in an RNA-binding Pocket[J].Journal of Biological Chemistry,2012,287(9):6949-6957.

[12]Katzenbeisser S,Kocabas,V,et al.PUFs:Myth,Fact or Busted?A Security Evaluation of Physically Unclonable Functions(PUFs)Cast in Silicon(Extended Version)[C]//Lecture Notes in Computer Science.Heidelberg: Springer Verlag,2012:283-301.

[13]Hori Y,Kang H,Katashita T.Pseudo-LFSR PUF:A Compact,Efficient and Reliable Physical Unclonable Function [C]//International Conference on Reconfigurable Computing and FPGAs.Piscataway:IEEE,2011:223-228.

[14]Maiti A,McDougall L,Schaumont P.The Impact of Aging on an FPGA-based Physical Unclonable Function[C]// International Conference on Field Programmable Logic and Applications.Piscataway:IEEE,2011:151-156.

[15]彭清泉,裴慶祺,楊超,等.通用可組合安全的Internet密鑰交換協(xié)議[J].西安電子科技大學(xué)學(xué)報,2009,36(4):714-720.

Peng Qingquan,Pei Qingqi,Yang Chao,et al.Universally Composable Secure Internet Key Exchange Protocol[J]. Journal of Xidian University,2009,36(4):714-720.

(編輯:郭 華)

Universally composable security authenticated key exchange protocol

ZH ANG Zinan1,GUO Yuanbo2,YANG Kuiwu2, HUANG Huixin3,YANG Zhanhai1
(1.PLA Unit 66029,Sunite 011200,China;2.Inst.of Cryptography Eng.,PLA Information Engineering University,Zhengzhou 450000,China;3.PLA Unit 92762,Xiamen 361000,China)

The Physical Unclonable Function(PUF)is a physical unclonable process function which refers to inputing a challenge to a physical entity,which uses its inevitable changes in the physical details to output a random unpredictable response.To solve the issue of the limited computing,storage and communication capabilities of sensor nodes,according to the analysis of the PUF,a physical unclonable function system (PUFS)framework is defined,and based on this framework,a new Key Exchange protocol is proposed. Finally,a security analysis of our PKE protocol in the universally composable(UC)framework is given in detail.Compared to the traditional public key encryption KE scheme,the PKE protocol does not use any computational assumptions but rather the secure property of the PUFS,and thus our scheme needs less computation and communication cost.

authenticated key exchange;physical unclonable function;physical unclonable function system;universally composable framework

TP393

A

1001-2400(2014)05-0185-07

2013-07-01< class="emphasis_bold">網(wǎng)絡(luò)出版時間:

時間:2014-01-12

國家部委基金資助項目(9140C130103120C13062)

張紫楠(1987-),男,碩士,E-mail:zzn20063063@126.com.

http://www.cnki.net/kcms/doi/10.3969/j.issn.1001-2400.2014.05.031.html

10.3969/j.issn.1001-2400.2014.05.031