胡向東，趙潤(rùn)生

（1.重慶郵電大學(xué)自動(dòng)化學(xué)院，重慶400065；2.重慶郵電大學(xué)通信與信息工程學(xué)院，重慶400065）

面向智能家居的輕量型互認(rèn)證協(xié)議*

胡向東1*，趙潤(rùn)生2

（1.重慶郵電大學(xué)自動(dòng)化學(xué)院，重慶400065；2.重慶郵電大學(xué)通信與信息工程學(xué)院，重慶400065）

針對(duì)現(xiàn)有智能家居遠(yuǎn)程控制互認(rèn)證協(xié)議不能兼顧效率與安全性的現(xiàn)狀，提出一個(gè)面向智能家居的輕量型互認(rèn)證協(xié)議，實(shí)現(xiàn)用戶、網(wǎng)關(guān)與測(cè)控節(jié)點(diǎn)間的相互認(rèn)證及密鑰協(xié)商。協(xié)議基于USBkey和用戶口令，采用挑戰(zhàn)/應(yīng)答機(jī)制，僅利用偽隨機(jī)數(shù)及異或與哈希運(yùn)算；在認(rèn)證與協(xié)商階段，通過(guò)單向哈希當(dāng)前會(huì)話密鑰獲得可變共享密鑰參與下一次認(rèn)證，實(shí)現(xiàn)認(rèn)證協(xié)議的一次一密，這種方法有助于提高協(xié)議的安全性及運(yùn)行效率。最后，對(duì)比分析結(jié)果表明：本文協(xié)議有更高的安全性，且通過(guò)降低網(wǎng)關(guān)和節(jié)點(diǎn)的計(jì)算量、通信量及能源消耗，避免無(wú)線傳感網(wǎng)的時(shí)間戳機(jī)制，實(shí)現(xiàn)了輕量型目標(biāo)。

無(wú)線傳感器網(wǎng)絡(luò)；智能家居；互認(rèn)證；輕量型；遠(yuǎn)程控制

EEACC：6150Pdoi：10.3969/j.issn.1004-1699.2016.05.022

基于物聯(lián)網(wǎng)技術(shù)的智能家居系統(tǒng)得到了越來(lái)越廣泛的關(guān)注。智能家居系統(tǒng)旨在通過(guò)信息網(wǎng)絡(luò)將各種家用設(shè)備結(jié)合為一個(gè)整體，使人們可以方便地對(duì)其進(jìn)行控制和管理［1］。但如果遠(yuǎn)程訪問(wèn)與控制被攻擊者所利用，惡意行為將對(duì)智能家居系統(tǒng)造成嚴(yán)重后果，例如：攻擊者可能遠(yuǎn)程監(jiān)聽(tīng)用戶的家庭隱私。當(dāng)前的智能家居研究側(cè)重于其智能化控制方法的實(shí)現(xiàn)，尚未對(duì)智能家居系統(tǒng)的安全性引起足夠重視，而這正是制約其推廣應(yīng)用的關(guān)鍵因素之一。本實(shí)驗(yàn)室曾提出一種安全智能家居物聯(lián)網(wǎng)系統(tǒng)，如圖1所示［2］，家庭內(nèi)部通過(guò)無(wú)線傳感網(wǎng)WSN（Wireless Sensor Network）將各類(lèi)測(cè)控節(jié)點(diǎn)連接到一起，測(cè)控節(jié)點(diǎn)是家居環(huán)境監(jiān)測(cè)傳感器節(jié)點(diǎn)和家用設(shè)備控制節(jié)點(diǎn)的統(tǒng)稱(chēng)，包括溫濕度傳感器、光敏傳感器以及電視、空調(diào)、燈光、報(bào)警等家庭設(shè)備的控制節(jié)點(diǎn)。系統(tǒng)通過(guò)對(duì)外部用戶的訪問(wèn)控制以及對(duì)系統(tǒng)控制指令和室內(nèi)傳感器、監(jiān)控系統(tǒng)等設(shè)備采集到的數(shù)據(jù)進(jìn)行加密，確保家居系統(tǒng)的安全，其中家庭內(nèi)部由網(wǎng)關(guān)和測(cè)控節(jié)點(diǎn)實(shí)現(xiàn)互認(rèn)證及密鑰協(xié)商。家庭網(wǎng)關(guān)是外部互聯(lián)網(wǎng)用戶同內(nèi)部測(cè)控節(jié)點(diǎn)信息交互的轉(zhuǎn)發(fā)中心，位于室內(nèi)，為確保智能家居遠(yuǎn)程控制通信中控制指令及通信數(shù)據(jù)的合法性和機(jī)密性，外部用戶與網(wǎng)關(guān)及網(wǎng)關(guān)與測(cè)控節(jié)點(diǎn)間的相互認(rèn)證及數(shù)據(jù)的加密傳輸至關(guān)重要。

圖1　安全智能家居系統(tǒng)

本文基于安全智能家居系統(tǒng)，針對(duì)測(cè)控節(jié)點(diǎn)及網(wǎng)關(guān)計(jì)算能力有限的特點(diǎn)，提出一個(gè)面向智能家居的輕量型互認(rèn)證協(xié)議，實(shí)現(xiàn)外部用戶與網(wǎng)關(guān)及網(wǎng)關(guān)與測(cè)控節(jié)點(diǎn)間的相互認(rèn)證及數(shù)據(jù)的保密傳輸。協(xié)議僅采用偽隨機(jī)數(shù)算法，輕量型異或與哈希運(yùn)算，在認(rèn)證/協(xié)商階段，通過(guò)單向哈希當(dāng)前會(huì)話密鑰獲得可變共享密鑰參與下一次認(rèn)證，實(shí)現(xiàn)認(rèn)證協(xié)議一次一密，構(gòu)建安全、高效的雙向認(rèn)證及密鑰協(xié)商機(jī)制。

1　相關(guān)研究

一般而言，智能家居系統(tǒng)中節(jié)點(diǎn)的資源有限、計(jì)算能力較低，且對(duì)其進(jìn)行遠(yuǎn)程控制時(shí)所涉及的互聯(lián)網(wǎng)和WSN均為不安全信道，面臨著竊聽(tīng)攻擊、重放攻擊等多種安全威脅。因此，面向智能家居的輕量型互認(rèn)證協(xié)議研究有重要意義。

文獻(xiàn)［3］提出了針對(duì)智能家居的用戶認(rèn)證協(xié)議，雖然采用一次口令OTP（one time password）認(rèn)證協(xié)議控制了計(jì)算復(fù)雜度，但只涉及網(wǎng)關(guān)和外部用戶之間的認(rèn)證及密鑰協(xié)商，忽略了智能家居網(wǎng)絡(luò)內(nèi)部的測(cè)控節(jié)點(diǎn)與網(wǎng)關(guān)之間的認(rèn)證及密鑰協(xié)商，其實(shí)它們之間的傳輸信道同樣是不安全的，可能遭受竊聽(tīng)等非法攻擊，即此方案無(wú)法抵抗來(lái)自WSN的安全威脅。

文獻(xiàn)［4］提出的代理控制協(xié)議利用數(shù)字簽名對(duì)測(cè)控節(jié)點(diǎn)和網(wǎng)關(guān)之間的通信數(shù)據(jù)進(jìn)行合法性驗(yàn)證，但二者之間傳輸?shù)臄?shù)據(jù)未被加密，面臨著來(lái)自WSN的竊聽(tīng)攻擊；且協(xié)議采用公鑰密碼體制，不僅需要先生成系統(tǒng)參數(shù)、私鑰和公鑰，而且加解密過(guò)程復(fù)雜，在WSN平臺(tái)上測(cè)得橢圓曲線加密耗時(shí)3 513 ms，而對(duì)稱(chēng)加密耗時(shí)為15 ms僅公鑰加密耗時(shí)便為對(duì)稱(chēng)加密的234倍［5］。同時(shí)，協(xié)議令生產(chǎn)廠商獲得代理控制權(quán)限，對(duì)網(wǎng)關(guān)傳達(dá)控制指令，這將帶來(lái)不安全因素，例如生產(chǎn)廠商內(nèi)部人員的攻擊等，用戶的生活隱私可能暴露于第三方。

文獻(xiàn)［6］構(gòu)建的輕量型認(rèn)證協(xié)議實(shí)現(xiàn)了用戶、網(wǎng)關(guān)和測(cè)控節(jié)點(diǎn)間的互認(rèn)證及密鑰協(xié)商，且哈希運(yùn)算次數(shù)較少，但認(rèn)證過(guò)程中傳輸參數(shù)較多，包括（DIDi，Ci，T1，PKi）、（DIDi，Ai，T2，PKj）和（DIDi，Sj，Bi，T3，PKi）。通信距離為100 m時(shí)，節(jié)點(diǎn)發(fā)送1KB數(shù)據(jù)耗費(fèi)3焦耳能量，相當(dāng)于1 MIPS的處理器執(zhí)行300萬(wàn)條指令，能耗較大，減小通信數(shù)據(jù)量對(duì)于降低節(jié)點(diǎn)能耗至關(guān)重要［7］。此外，其在WSN內(nèi)采用時(shí)間戳機(jī)制，需要網(wǎng)關(guān)周期性向測(cè)控節(jié)點(diǎn)廣播同步數(shù)據(jù)包，這將造成額外的網(wǎng)絡(luò)開(kāi)銷(xiāo)及能量消耗，同時(shí)由于成本原因，節(jié)點(diǎn)大多利用廉價(jià)晶振作為時(shí)鐘源，頻率準(zhǔn)確性低，穩(wěn)定性差，實(shí)現(xiàn)WSN時(shí)間同步難度較大；且協(xié)議在認(rèn)證過(guò)程中需測(cè)控節(jié)點(diǎn)生成高質(zhì)量偽隨機(jī)數(shù)，而當(dāng)前應(yīng)用最廣泛、高效的梅森旋轉(zhuǎn)算法，通過(guò)反饋移位寄存器產(chǎn)生隨機(jī)數(shù)，算法最大周期為219937-1，節(jié)點(diǎn)需進(jìn)行19 937次移位操作，這將增加節(jié)點(diǎn)的負(fù)擔(dān)；協(xié)議易遭受智能卡丟失攻擊，一旦攻擊者提取出被盜智能卡中存儲(chǔ)的h（h（PWi）），能夠通過(guò)離線口令猜測(cè)攻擊破解PWi。

綜合上述具有代表性的智能家居認(rèn)證協(xié)議的研究可知，現(xiàn)存協(xié)議主要存在以下不足：①忽略了遠(yuǎn)程控制通信中來(lái)自WSN的安全威脅；②采用公鑰密碼體制，計(jì)算復(fù)雜度高；③采用代理控制協(xié)議，將家庭隱私安全托付于名義上可信的第三方，過(guò)于理想化；④兼顧互聯(lián)網(wǎng)與WSN安全的輕量型協(xié)議，雖然計(jì)算量較小，但通信數(shù)據(jù)量較大，且WSN內(nèi)采用時(shí)間戳機(jī)制，不僅難實(shí)現(xiàn)，還增大了網(wǎng)絡(luò)開(kāi)銷(xiāo)，同時(shí)測(cè)控節(jié)點(diǎn)需要產(chǎn)生高質(zhì)量偽隨機(jī)數(shù)，增加了節(jié)點(diǎn)的負(fù)擔(dān)；⑤各協(xié)議在安全方案設(shè)計(jì)上周密性不足，部分環(huán)節(jié)無(wú)法抵抗一些常見(jiàn)的攻擊，包括竊聽(tīng)、智能卡丟失等攻擊方式。

2　協(xié)議設(shè)計(jì)

協(xié)議共分為3個(gè)階段：注冊(cè)，登錄認(rèn)證和密鑰協(xié)商，口令更改。協(xié)議所涉及的標(biāo)識(shí)符示于表1。

表1　本協(xié)議的標(biāo)識(shí)符

本文協(xié)議用于智能家居遠(yuǎn)程安全控制通信，以家庭網(wǎng)關(guān)為中心，通過(guò)身份認(rèn)證及密鑰協(xié)商確保信息交互的合法性、機(jī)密性以及正確性。由于USBkey相當(dāng)于智能卡和讀卡器的聯(lián)合體，不僅安全可靠，而且使用方便，因此本文使用USBkey代替智能卡。針對(duì)智能家居的實(shí)際需求，協(xié)議遵循以下要求：①實(shí)現(xiàn)用戶、網(wǎng)關(guān)和節(jié)點(diǎn)間互認(rèn)證及密鑰協(xié)商，抵抗來(lái)自互聯(lián)網(wǎng)和WSN的雙重威脅；②降低哈希運(yùn)算次數(shù)、通信數(shù)據(jù)量，室內(nèi)WSN摒棄時(shí)間戳機(jī)制，實(shí)現(xiàn)協(xié)議的輕量化；③抵抗竊聽(tīng)、USBkey丟失等攻擊方式，提高安全性；④確保用戶能夠自主實(shí)現(xiàn)口令的更改。

協(xié)議主要握手過(guò)程如圖2所示。

圖2　本協(xié)議主要的握手過(guò)程

要點(diǎn)如下：（1）step 1和step 2中，用戶和網(wǎng)關(guān)利用時(shí)間戳機(jī)制抵抗重放攻擊，盡管因節(jié)點(diǎn)數(shù)量眾多且廉價(jià)晶振精確度低，WSN內(nèi)實(shí)現(xiàn)時(shí)間同步難度較大，但是網(wǎng)關(guān)資源相對(duì)較為豐富，內(nèi)嵌操作系統(tǒng)，采用網(wǎng)絡(luò)時(shí)間協(xié)議NTP即可對(duì)其實(shí)現(xiàn)時(shí)間校準(zhǔn)；（2）結(jié)合step 2、step 3和step 4，遵循輕量型的宗旨，減少認(rèn)證過(guò)程傳輸參數(shù)數(shù)量及大小，利用較少的通信量，實(shí)現(xiàn)網(wǎng)關(guān)GW和測(cè)控節(jié)點(diǎn)Sn的雙向認(rèn)證，并協(xié)商出密鑰KUGS；（3）在GW和Sn間設(shè)定可變共享密鑰KGS2，根據(jù)KUGS一次一變的特點(diǎn)，在step 3中，利用KUGS生成新的可變共享密鑰KGS2new，參與下一次認(rèn)證，①在下一次認(rèn)證的step 2，GW向Sn發(fā)送的認(rèn)證信息中，利用可變KGS2代替時(shí)間戳抵抗重放攻擊，避免WSN內(nèi)因維護(hù)時(shí)間同步造成的網(wǎng)絡(luò)開(kāi)銷(xiāo)和能量損耗，保證協(xié)議的輕量化；②在step 2中，GW請(qǐng)求Sn認(rèn)證時(shí)，利用二者共享的雙重密鑰KGS1和KGS2，增大請(qǐng)求認(rèn)證信息A=h（Sn‖KGS2‖N1′‖h（KGS1））的不確定性，提高協(xié)議安全性；③利用KGS2new更新KGS2，作為下次運(yùn)行互認(rèn)證協(xié)議時(shí)，在step 3、step 4和step 5中協(xié)商會(huì)話密鑰KUGS的一部分，則Sn無(wú)需生成高質(zhì)量的偽隨機(jī)數(shù)，從而減輕了Sn的負(fù)擔(dān)，契合輕量型的宗旨；④用戶U和網(wǎng)關(guān)GW之間利用會(huì)話密鑰KUGS實(shí)現(xiàn)加密通信，但是GW和測(cè)控節(jié)點(diǎn)Sn之間利用可變密鑰KGS2實(shí)現(xiàn)加密通信，因?yàn)镚W和Sn之間除用戶遠(yuǎn)程控制時(shí)需要通信外，也存在Sn自主的同GW實(shí)現(xiàn)通信，例如：Sn將檢測(cè)到的室內(nèi)光線強(qiáng)度數(shù)據(jù)自動(dòng)傳輸給GW，網(wǎng)關(guān)分析所得數(shù)據(jù)，對(duì)照明、窗簾等設(shè)備下達(dá)控制指令，實(shí)現(xiàn)智能調(diào)控室內(nèi)光線強(qiáng)度的目的，而此時(shí)并不涉及U，無(wú)法利用隨機(jī)數(shù)協(xié)商KUGS，因此遠(yuǎn)程控制或節(jié)點(diǎn)主動(dòng)通信時(shí)，GW和Sn統(tǒng)一利用KGS2實(shí)現(xiàn)加密通信，每次接受或發(fā)送數(shù)據(jù)成功后，網(wǎng)關(guān)或節(jié)點(diǎn)自動(dòng)更新KGS2new=h（KGS2）。

2.1注冊(cè)

用戶U通過(guò)安全信道將用戶信息（ID，PW）提交給網(wǎng)關(guān)GW，GW結(jié)合USBkey標(biāo)識(shí)IDuk、GW長(zhǎng)期密鑰KG計(jì)算得出q=h（ID‖IDuk‖KG），v=q⊕h（ID‖PW），存儲(chǔ)（IDuk，ID，v），并將參數(shù)（ID，v，h（））寫(xiě)入U(xiǎn)SBkey中，發(fā)放給U，注冊(cè)過(guò)程如圖3所示。

圖3　注冊(cè)階段

2.2登錄認(rèn)證和密鑰協(xié)商

網(wǎng)關(guān)認(rèn)證用戶并請(qǐng)求節(jié)點(diǎn)認(rèn)證的流程如圖4所示。

圖4　網(wǎng)關(guān)認(rèn)證用戶并請(qǐng)求節(jié)點(diǎn)認(rèn)證流程

Step 1用戶U插入U(xiǎn)SBkey，輸入（ID，PW），US?Bkey驗(yàn)證ID的合法性，若合法，則用戶端生成隨機(jī)數(shù)N1，計(jì)算得出m=v⊕h（ID‖PW）⊕N1，S=h（N1‖v‖TU），v為GW和Sn在注冊(cè)階段共同存儲(chǔ)的數(shù)據(jù)，TU是U當(dāng)前時(shí)間戳，U發(fā)送（ID，m，S，TU）給GW；

Step 2GW接收到消息（ID，m，S，TU）后，利用存儲(chǔ)的ID驗(yàn)證請(qǐng)求認(rèn)證的用戶ID是否合法；若合法，則檢驗(yàn)TG-TU≤ΔT是否成立，TG為GW當(dāng)前時(shí)間戳，ΔT為系統(tǒng)所允許的最大傳輸延遲；若成立，GW導(dǎo)出q=h（ID‖IDuk‖KG），N1′=m⊕q，S′=h（N1′‖v‖TU），若S′和S相等，則U通過(guò)認(rèn)證，否則會(huì)話終止；若U通過(guò)認(rèn)證，則GW計(jì)算P=N1′⊕h（KGS1），A=h（Sn‖KGS2‖N1′‖h（KGS1）），GW中存儲(chǔ)有每個(gè)節(jié)點(diǎn)的標(biāo)識(shí)符Sn，KGS1、KGS2為GW和測(cè)控節(jié)點(diǎn)Sn之間的共享密鑰，初始值由GW生成，GW發(fā)送（P，A）給Sn；

節(jié)點(diǎn)和網(wǎng)關(guān)互認(rèn)證及密鑰協(xié)商的流程如圖5所示。

圖5　節(jié)點(diǎn)和網(wǎng)關(guān)互認(rèn)證及密鑰協(xié)商

Step 3Sn接收認(rèn)證信息（P，A）后，導(dǎo)出N1″=P⊕h（KGS1），A′=h（Sn‖KGS2‖N1″‖h（KGS1）），利用雙重密鑰KGS2和KGS1提高A的不可偽造性，驗(yàn)證A和A′是否成立，若成立，則GW通過(guò)Sn認(rèn)證，Sn生成密鑰KUGS=h（N1″‖KGS2），其中KGS2=h（KUGSold），KUGSold為上一次GW和Sn協(xié)商的密鑰，可變KGS2的存在，使節(jié)點(diǎn)無(wú)需生成高質(zhì)量偽隨機(jī)數(shù)，并計(jì)算B=h（Sn‖KUGS‖N1″‖KGS1），發(fā)送（B）給GW，如果發(fā)送成功，則更新Sn同GW的共享密鑰KGS2new=h（KUGS），KGS2new留作下次GW和Sn的認(rèn)證及密鑰協(xié)商時(shí)使用；

Step 4GW接收消息（B）后，計(jì)算KUGS= h（N1′‖KGS2），B′=h（Sn‖KUGS‖N1′‖KGS1），驗(yàn)證B′=B是否成立，若成立，則Sn通過(guò)認(rèn)證，GW令KUGS為會(huì)話密鑰，然后計(jì)算z=h（N1′‖q‖KGS2），y=v⊕KGS2，發(fā)送（y，z）給U，更新KGS2new=h（KUGS）；

Step 5U接收消息（y，z）后，得出KGS2′=v⊕y，z′=h（N1‖（v⊕h（ID‖PW））‖KGS2′），驗(yàn)證z′=z是否成立，若成立，則生成會(huì)話密鑰KUGS=h（N1‖KGS2′），利用KUGS同GW實(shí)現(xiàn)加密通信。

用戶認(rèn)證網(wǎng)關(guān)并生成會(huì)話密鑰的流程如圖6所示。

圖6　用戶認(rèn)證網(wǎng)關(guān)并生成會(huì)話密鑰

2.3口令更改

U輸入（ID，PW，PWnew），生成隨機(jī)數(shù)N，計(jì)算m=Ev⊕h（ID‖PW）（N‖h（ID‖PW）‖PWnew），發(fā)送（ID，m）給GW，GW驗(yàn)證ID是否合法，若合法，則GW計(jì)算q=h（ID‖IDuk‖KG），利用q解密m獲得N，h（ID‖PW），PWnew，驗(yàn)證v=q⊕h（ID‖PW）是否成立，若成立，則U通過(guò)認(rèn)證，否則認(rèn)證失敗，會(huì)話終止；GW更新vnew=q⊕h（ID‖PWnew），并計(jì)算C=h（q‖N′），發(fā)送（C）給U，用戶計(jì)算C′=h（（v⊕h（ID‖PW））‖N），驗(yàn)證C=C′是否成立，若成立，則更新Vnew=v⊕h（ID‖PW）⊕h（ID‖PWnew）。

3　安全性分析

本文協(xié)議彌補(bǔ)了現(xiàn)存協(xié)議在安全性上的不足，并在WSN內(nèi)摒棄了時(shí)間戳機(jī)制，具有抵抗多種攻擊的能力。分析如下：

3.1口令猜測(cè)攻擊

由于一般口令選自較小的集合，導(dǎo)致其易遭到窮舉口令攻擊。攻擊者攔截在網(wǎng)絡(luò)中傳輸?shù)恼J(rèn)證消息，通過(guò)遍歷的方式窮舉口令集合中的所有口令，直到找到正確的口令為止。在新協(xié)議中，若m=v⊕h（ID‖PW）⊕N1和y=v⊕KGS2被攻擊者截獲，其必須先推測(cè)出h（ID‖PW）=y⊕KGS2⊕m⊕N1中的64 bit的隨機(jī)數(shù)N1和160 bit的可變密鑰KGS2，獲得h（ID‖PW），才能發(fā)動(dòng)口令猜測(cè)攻擊。而二者共有2160×264=1067種組合，攻擊者使用遍歷法需嘗試1067次，計(jì)算上不可行。因此，新協(xié)議可以成功抵抗口令猜測(cè)攻擊。

3.2竊聽(tīng)攻擊

竊聽(tīng)攻擊是指攻擊者通過(guò)非法竊聽(tīng)，獲得協(xié)議執(zhí)行時(shí)在不安全信道上傳輸?shù)耐ㄐ艛?shù)據(jù)。在新協(xié)議中，認(rèn)證成功后，用戶和網(wǎng)關(guān)之間利用一次一變的會(huì)話密鑰KUGS、網(wǎng)關(guān)和節(jié)點(diǎn)之間利用可變密鑰KGS2對(duì)通信數(shù)據(jù)進(jìn)行加密。所以，新協(xié)議可以抵抗竊聽(tīng)攻擊。

3.3USBkey丟失攻擊

當(dāng)USBkey丟失時(shí)，攻擊者可以通過(guò)差分能量分析和簡(jiǎn)單能量分析攻擊提取USBkey中存儲(chǔ)的信息［8］，根據(jù)提取的信息發(fā)動(dòng)口令猜測(cè)等攻擊。本協(xié)議中，即使USBkey丟失，攻擊者獲取其中存儲(chǔ)的v=h（ID‖IDuk‖KG）⊕h（ID‖PW），但智能家居GW位于室內(nèi)，地理位置安全，且長(zhǎng)期密鑰KG為256 bit，攻擊者需嘗試2256次獲取KG后，再發(fā)動(dòng)口令猜測(cè)攻擊，計(jì)算上不可行。

3.4重放攻擊

攻擊者竊聽(tīng)協(xié)議執(zhí)行過(guò)程中的認(rèn)證信息，并在以后的執(zhí)行過(guò)程中，通過(guò)重放竊聽(tīng)到的認(rèn)證信息，模仿合法用戶登錄系統(tǒng)。在新協(xié)議中：①假如攻擊者竊聽(tīng)到用戶U發(fā)送給網(wǎng)關(guān)GW的認(rèn)證信息（ID，m，S，TU），并進(jìn)行重放，因S=h（N1‖v‖TU）中的時(shí)間戳TU具有時(shí)效性，因此重放（ID，m，S，TU）無(wú)效，無(wú)法通過(guò)GW的認(rèn)證；②假如攻擊者重放GW發(fā)送給測(cè)控節(jié)點(diǎn)Sn的認(rèn)證信息（P，A），由于二者共享的可變密鑰KGS2每次認(rèn)證成功后改變?yōu)楫?dāng)前會(huì)話密鑰KUGS的哈希值，即KGS2new=h（KUGS），因此，重放（P，A）并不能通過(guò)Sn認(rèn)證；③假如攻擊者重放GW發(fā)送給Sn的認(rèn)證信息（B），其中B=h（Sn‖KUGS‖N1″‖KGS1），而隨機(jī)數(shù)N1″和密鑰KUGS每次均在改變，因此重放無(wú)效。④假如攻擊者重放GW發(fā)送給U的認(rèn)證信息（y，z），其中z=h（N1′‖q‖KGS2），而N1′及KGS2每次均在改變，因此無(wú)效。

可見(jiàn)，新協(xié)議在WSN內(nèi)摒棄時(shí)間戳機(jī)制，仍可以成功抵抗重放攻擊。

4　效率分析

智能家居設(shè)備資源有限、計(jì)算能力較低。因此，協(xié)議運(yùn)行效率是一個(gè)重要指標(biāo)。本節(jié)詳細(xì)對(duì)比分析本文協(xié)議、文獻(xiàn)［3-4，6］的效率。

4.1計(jì)算量

異或運(yùn)算的計(jì)算量可以忽略不計(jì)，協(xié)議計(jì)算開(kāi)銷(xiāo)主要在于橢圓曲線上的標(biāo)量乘運(yùn)算、哈希運(yùn)算、偽隨機(jī)數(shù)生成等，所以本文沿用文獻(xiàn)［6，8，9］的實(shí)驗(yàn)方法，統(tǒng)計(jì)各協(xié)議的哈希、標(biāo)量乘等運(yùn)算的次數(shù)，對(duì)協(xié)議效率進(jìn)行評(píng)估。文獻(xiàn)［3］認(rèn)證過(guò)程中涉及服務(wù)商，但其設(shè)定每個(gè)月用戶同服務(wù)商只相互認(rèn)證一次，因此本節(jié)只對(duì)其用戶與網(wǎng)關(guān)之間的認(rèn)證效率進(jìn)行對(duì)比。同時(shí)，為保證安全，文獻(xiàn)［3］限定用戶每個(gè)月訪問(wèn)100次，可得用戶和網(wǎng)關(guān)相互認(rèn)證時(shí)，用戶平均每次進(jìn)行52.5次哈希鏈?zhǔn)竭\(yùn)算，網(wǎng)關(guān)平均每次進(jìn)行50.5次哈希鏈?zhǔn)竭\(yùn)算。文獻(xiàn)［4］中涉及代理商，但其擁有大型服務(wù)器，不存在資源受限的情況，因此本節(jié)只對(duì)其用戶、網(wǎng)關(guān)和節(jié)點(diǎn)之間的認(rèn)證效率進(jìn)行對(duì)比，同時(shí)其采用在公鑰密碼學(xué)領(lǐng)域應(yīng)用于橢圓曲線的雙線性對(duì)映射，雙線性群的基礎(chǔ)為橢圓曲線［10］，因此文獻(xiàn)［4］中的群G1和G2均視為橢圓曲線群。在Intel Core i3-3.40 GHz，RAM-4 Gbyte環(huán)境下采用C語(yǔ)言仿真，多次測(cè)試求平均值，密鑰長(zhǎng)度160 bit的橢圓曲線標(biāo)量乘運(yùn)算耗時(shí)25 ms，哈希運(yùn)算SHA1耗時(shí)0.02 ms，數(shù)字簽名算法ECDSA簽名耗時(shí)63 ms、驗(yàn)證簽名耗時(shí)16 ms，梅森旋轉(zhuǎn)算法耗時(shí)0.017 ms。各協(xié)議計(jì)算量的分析結(jié)果列于表3。

由于注冊(cè)和口令更改不是經(jīng)常性工作，因此，此處重點(diǎn)分析認(rèn)證/密鑰協(xié)商階段。文獻(xiàn)［4］的代理權(quán)限階段屬于認(rèn)證與密鑰協(xié)商的中間環(huán)節(jié)，將該階段的計(jì)算量也歸納進(jìn)認(rèn)證/密鑰協(xié)商階段，且文獻(xiàn)［4］僅標(biāo)量乘耗時(shí)已遠(yuǎn)超其他各協(xié)議總耗時(shí)，所以在表3的總耗時(shí)一欄僅列出其標(biāo)量乘的耗時(shí)。由表3可知，本協(xié)議認(rèn)證及密鑰協(xié)商階段總計(jì)算量最少，僅需17次哈希和1次梅森旋轉(zhuǎn)算法，共耗時(shí)0.357 ms，低于其余各協(xié)議。雖然文獻(xiàn)［3］在節(jié)點(diǎn)端計(jì)算量為0，但其忽略了WSN的安全，而文獻(xiàn)［4］在認(rèn)證/登錄階段，節(jié)點(diǎn)計(jì)算量雖為0，但在后續(xù)通信階段，節(jié)點(diǎn)需進(jìn)行1次數(shù)字簽名及1次驗(yàn)證簽名，共耗時(shí)為79 ms，為本協(xié)議節(jié)點(diǎn)端計(jì)算量的790倍。

表3　各協(xié)議的計(jì)算量分析

其中th代表哈希運(yùn)算時(shí)間，tn代表生成偽隨機(jī)數(shù)的運(yùn)算時(shí)間，tE代表對(duì)稱(chēng)加密/解密運(yùn)算時(shí)間，ts代表橢圓曲線上的標(biāo)量乘運(yùn)算時(shí)間，te表示模指數(shù)運(yùn)算的運(yùn)算時(shí)間，tB表示雙線性對(duì)運(yùn)算的運(yùn)算時(shí)間，tc表示逆運(yùn)算的運(yùn)算時(shí)間。

4.2通信開(kāi)銷(xiāo)

在認(rèn)證及密鑰協(xié)商階段，文獻(xiàn)［4］因包含代理權(quán)限階段，需要6次通信，明顯高于其余三個(gè)協(xié)議。而本文協(xié)議和文獻(xiàn)［6］均需要4次通信，不涉及WSN安全的文獻(xiàn)［3］需要3次通信，三者通信次數(shù)相差不大，但各協(xié)議每次的通信數(shù)據(jù)量卻存在較大的差距，根據(jù)文獻(xiàn)［11］的WSN能耗傳輸模型，傳輸k bit信息經(jīng)過(guò)距離d的過(guò)程中，發(fā)送端的能量消耗為：ETx（k，d）=kEelec+kεfsd2，接收端能耗為：ERx（k）=kEelec，可見(jiàn)傳輸能耗同傳輸數(shù)據(jù)包大小k成正比。假設(shè)各協(xié)議中哈希算法均采用產(chǎn)生160 bit的SHA1，身份標(biāo)識(shí)、時(shí)間戳、隨機(jī)數(shù)大小均設(shè)定為64 bit，對(duì)稱(chēng)加密算法采用128 bit的AES，簽名信息長(zhǎng)度為576 bit。統(tǒng)計(jì)各協(xié)議在登錄認(rèn)證/密鑰協(xié)商階段，用戶、網(wǎng)關(guān)及測(cè)控節(jié)點(diǎn)各自的收發(fā)數(shù)據(jù)總位數(shù)，對(duì)比各協(xié)議通信開(kāi)銷(xiāo)，如圖7所示。

由圖7可知，在用戶端，本文協(xié)議略高于文獻(xiàn)［4］，低于文獻(xiàn)［3，6］；在網(wǎng)關(guān)端，本文協(xié)議略高于文獻(xiàn)［3］；在節(jié)點(diǎn)端，本文協(xié)議低于文獻(xiàn)［6］。盡管在網(wǎng)關(guān)端，協(xié)議略高于文獻(xiàn)［3］，且在節(jié)點(diǎn)端，高于文獻(xiàn)［3-4］，但是文獻(xiàn)［3］完全忽略了WSN面臨的安全威脅，而文獻(xiàn)［4］則將針對(duì)WSN的安全措施轉(zhuǎn)移到了網(wǎng)關(guān)和節(jié)點(diǎn)實(shí)際交換測(cè)控?cái)?shù)據(jù)時(shí)，利用數(shù)字簽名保證傳輸數(shù)據(jù)的合法性，由上文計(jì)算量的分析可知，此舉大大加重了網(wǎng)關(guān)和測(cè)控節(jié)點(diǎn)的負(fù)擔(dān)。同時(shí)，在本文協(xié)議中，摒棄了文獻(xiàn)［6］在WSN內(nèi)采用的時(shí)間戳機(jī)制，避免了維護(hù)WSN時(shí)間同步所造成的額外的網(wǎng)絡(luò)開(kāi)銷(xiāo)。

圖7　認(rèn)證階段通信3方的收發(fā)數(shù)據(jù)量對(duì)比

4.3能量消耗

智能家居系統(tǒng)中，網(wǎng)關(guān)GW和測(cè)控節(jié)點(diǎn)Sn資源有限，降低能耗，能夠減輕二者的工作負(fù)擔(dān)，并降低家庭用電量。能耗主要包括計(jì)算能耗和通信能耗，其中計(jì)算能耗同算法的計(jì)算時(shí)間成正比［12］，通信能耗與傳輸數(shù)據(jù)包大小成正比。在GW端，本文協(xié)議計(jì)算耗時(shí)0.16 ms，收發(fā)數(shù)據(jù)1 248 bit，而文獻(xiàn)［3］耗時(shí)1.01 ms，收發(fā)數(shù)據(jù)912 bit，雖然收發(fā)數(shù)據(jù)位較低，但其忽略來(lái)自WSN的安全威脅，文獻(xiàn)［4］耗時(shí)大于225 ms，收發(fā)數(shù)據(jù)1 920 bit，文獻(xiàn)［6］耗時(shí)0.18 ms，收發(fā)數(shù)據(jù)2 304 bit；在Sn端，本文協(xié)議計(jì)算耗時(shí)0.1 ms，收發(fā)數(shù)據(jù)480 bit，文獻(xiàn)［6］耗時(shí)0.117 ms，收發(fā)數(shù)據(jù)1 152 bit，且需要持續(xù)的維護(hù)時(shí)間同步，雖然文獻(xiàn)［3-4］的計(jì)算量和收發(fā)數(shù)據(jù)位為0，但前者忽略WSN的安全威脅，后者則在后續(xù)傳輸測(cè)控?cái)?shù)據(jù)時(shí)，同GW之間采用數(shù)字簽名機(jī)制抵抗WSN的安全威脅，盡管在認(rèn)證/密鑰協(xié)商階段，Sn能量消耗較低，但后續(xù)傳輸數(shù)據(jù)時(shí)，網(wǎng)關(guān)和節(jié)點(diǎn)各耗時(shí)79 ms實(shí)現(xiàn)數(shù)字簽名及驗(yàn)證，分別為本文協(xié)議GW和Sn計(jì)算量的493倍、790倍，且雙方的收發(fā)數(shù)據(jù)均為1 152 bit，明顯加重了GW和Sn的能耗。各協(xié)議指標(biāo)對(duì)比結(jié)果如表4所示?？梢?jiàn)，本文協(xié)議針對(duì)智能家居的實(shí)際情況，保證安全的前提下，有效的降低了網(wǎng)關(guān)和測(cè)控節(jié)點(diǎn)的能耗，較之其余3者存在優(yōu)勢(shì)。

表4　各協(xié)議指標(biāo)對(duì)比統(tǒng)計(jì)結(jié)果

5　結(jié)論

針對(duì)現(xiàn)有智能家居遠(yuǎn)程控制協(xié)議的安全性及計(jì)算效率不足問(wèn)題，本文提出一種面向智能家居的輕量型互認(rèn)證協(xié)議，僅利用偽隨機(jī)數(shù)及輕量型異或與哈希運(yùn)算，在認(rèn)證與協(xié)商階段，通過(guò)單向哈希當(dāng)前會(huì)話密鑰獲得可變共享密鑰來(lái)參與下一次認(rèn)證，實(shí)現(xiàn)認(rèn)證協(xié)議的“一次一密”，增強(qiáng)了認(rèn)證的安全性和高效性?；诎踩托实膶?duì)比分析結(jié)果表明，本文所構(gòu)建的協(xié)議不僅提高了系統(tǒng)的安全性，而且通過(guò)降低認(rèn)證與協(xié)商過(guò)程的計(jì)算量、通信數(shù)據(jù)量，摒棄無(wú)線傳感網(wǎng)的時(shí)間戳機(jī)制，實(shí)現(xiàn)了協(xié)議的輕量化，減少了網(wǎng)關(guān)和測(cè)控節(jié)點(diǎn)的工作負(fù)荷及能量消耗，并降低了系統(tǒng)實(shí)現(xiàn)難度，對(duì)資源相對(duì)有限的智能家居系統(tǒng)的安全性實(shí)現(xiàn)具有較強(qiáng)的針對(duì)性和適應(yīng)性。

［1］Alam M R，Reaz M B I，Ali M A M.A Review of Smart Homes-Past，Present，and Future［J］.Systems Man&Cybernetics Part C Applications&Reviews IEEE Transactions on，2012，42（6）：1190-1203.

［2］胡向東，韓愷敏，許宏如.智能家居物聯(lián)網(wǎng)的安全性設(shè)計(jì)與驗(yàn)證［J］.重慶郵電大學(xué)學(xué)報(bào)（自然科學(xué)版），2014，26（2）：171-176.

［3］Vaidya B，Park J H，Yeo S S，et al.Robust One-Time Password Authentication Scheme Using Smart Card for Home Network Envi?ronment［J］.Computer Communications，2011，34（3）：326-336.

［4］湯鵬志.可證安全的智能家居遠(yuǎn)程代理控制協(xié)議［J］.計(jì)算機(jī)工程與設(shè)計(jì)，2013（11）：3740-3747.

［5］金寧，張道遠(yuǎn)，高建橋，等.對(duì)稱(chēng)密碼和非對(duì)稱(chēng)密碼算法在無(wú)線傳感器網(wǎng)絡(luò)中應(yīng)用研究［J］.傳感技術(shù)學(xué)報(bào)，2011，24（6）：874-878.

［6］閆麗麗.一種無(wú)線傳感器網(wǎng)絡(luò)用戶認(rèn)證與密鑰協(xié)商協(xié)議［J］.小型微型計(jì)算機(jī)系統(tǒng)，2013，34（10）：2340-2344.

［7］Pottie G J，Kaiser W J.Wireless Integrated Network Sensors［J］. Communications of the ACM，2000，43（5）：51-58.

［8］張惠根，周治平.一種強(qiáng)安全的WSN用戶認(rèn)證及密鑰協(xié)商方案［J］.傳感技術(shù)學(xué)報(bào)，2015，28（8）：1207-1214.

［9］Khan M K，Alghathbar K.Cryptanalysis and Security Improve?ments of Two-factor User Authentication in Wireless Sensor Net?works［J］.Sensors，2010，10（3）：2450-2459.

［10］趙昌安，張方國(guó).雙線性對(duì)有效計(jì)算研究進(jìn)展［J］.軟件學(xué)報(bào)，2009，20（11）：3001-3009.

［11］葉繼華，王文，江愛(ài)文.一種基于LEACH的異構(gòu)WSN能量均衡成簇協(xié)議［J］.傳感技術(shù)學(xué)報(bào)，2015，28（12）：1853-1860.

［12］賈晨軍.無(wú)線傳感器網(wǎng)絡(luò)安全研究［D］.浙江：浙江大學(xué)信息科學(xué)與工程學(xué)院，2008.

胡向東（1971-），男，教授，博士，主要研究方向?yàn)榫W(wǎng)絡(luò)化測(cè)控及其信息安全，物聯(lián)網(wǎng)與智慧空間安全，復(fù)雜系統(tǒng)建模、仿真與優(yōu)化等，huxd@cqupt.edu.cn；

趙潤(rùn)生（1991-），男，碩士研究生，主要研究方向?yàn)闊o(wú)線通信技術(shù)與信息安全等，zhao69812175@163.com。

A Lightweight Mutual Authentication Protocol for Smart Home*

HU Xiangdong1*，ZHAO Runsheng2
（1.College of Automation，Chongqing University of Posts and Telecommunications，Chongqing 400065，China；2.College of Communications and Information Engineering，Chongqing University of Posts and Telecommunications，Chongqing 400065，China）

Aiming at the state of not taking into account both efficiency and security of the existing mutual authenti?cation protocol used in remote control for smart home，a lightweight mutual authentication protocol for smart home is proposed to achieve mutual authentication and key agreement among users，gateway and nodes serving measure?ment and control operations.The proposed protocol does work based on USBkey and password by challenge/re?sponse mechanism，which only involves a pseudo-random number，lightweight XOR operation and hash transforma?tion.At the authentication and negotiation stage，the variable shared key characterized by one-time pad is achieved by one-way hash current session key and can be used in next authentication，this method is helpful to improve secu?rity and efficiency of the proposed protocol.Finally，the compared results show that the proposed protocol holds higher security and has realized the lightweight goal by saving computation，traffic and energy consumption of gate?way or nodes and avoiding the timestamp mechanism in wireless sensor network.

wireless sensor network；smart home；mutual authentication；lightweight；remote control

TP393

A

1004-1699（2016）05-0751-07

項(xiàng)目來(lái)源：國(guó)家自然科學(xué)基金項(xiàng)目（61170219）；重慶市基礎(chǔ)與前沿研究計(jì)劃項(xiàng)目（cstc2013jcyjA40002）

2015-10-16修改日期：2016-01-31