趙潔，張華榮

（1.江蘇第二師范學(xué)院數(shù)學(xué)與信息技術(shù)學(xué)院，江蘇 南京 210013；2.南京師范大學(xué)科技處，江蘇 南京 210023）

橢圓曲線加密結(jié)合 cookie 信息的物聯(lián)網(wǎng)終端安全認(rèn)證協(xié)議

趙潔1，張華榮2

（1.江蘇第二師范學(xué)院數(shù)學(xué)與信息技術(shù)學(xué)院，江蘇 南京 210013；2.南京師范大學(xué)科技處，江蘇 南京 210023）

針對物聯(lián)網(wǎng)（IoT）中終端設(shè)備接入網(wǎng)絡(luò)服務(wù)器的安全性問題，提出了一種基于橢圓曲線加密（ECC）和cookie 信 息 的 物 聯(lián) 網(wǎng) 終 端 安 全 認(rèn) 證 協(xié) 議 。 協(xié)議首先將用戶身份信息、服 務(wù) 器 私 鑰 、隨機(jī)數(shù)和 cookie 有 效 期 信 息組成一個(gè) cookie 文件，然后利用橢圓曲線加密體制對其進(jìn)行加密，并將之存儲在智能終端。 在認(rèn)證階段，通過比對由 cookie 信息計(jì)算的安全參數(shù)來實(shí)現(xiàn)相互身份認(rèn)證。 性能分析表明，該協(xié)議在具有較低計(jì)算和通信成本的同時(shí)，能夠有效抵抗多種攻擊，提供了較高的安全性，非常適合應(yīng)用于物聯(lián)網(wǎng)中資源有限的終端設(shè)備。

物聯(lián)網(wǎng)；終端設(shè)備；身份認(rèn)證；橢圓曲線加密；cookie 信息

1 引言

物 聯(lián) 網(wǎng) （internet of things，IoT）是 在 計(jì) 算 機(jī) 互 聯(lián) 網(wǎng) 基 礎(chǔ)上，將各種信息傳感設(shè)備（如嵌入式設(shè)備、RFID 等）與互聯(lián)網(wǎng) 結(jié) 合 ，形 成 的 一 個(gè) 巨 大 的 實(shí) 物 互 聯(lián) 網(wǎng) 絡(luò)［1］。隨 著 物 聯(lián) 網(wǎng) 的迅速發(fā)展，大量嵌入式設(shè)備連接到互聯(lián)網(wǎng)進(jìn)行信息交換和數(shù)據(jù)通信，這對安全性提出了很高的要求。由于物聯(lián)網(wǎng)的很多嵌入式終端設(shè)備資源有限，傳統(tǒng)安全協(xié)議無法在其上直接應(yīng)用，而針對嵌入式設(shè)備的各種攻擊越來越多，如假冒 、竊 聽 、重 放 、拒 絕 服 務(wù) 攻 擊 等［2］，因 此 安 全 問 題 已 經(jīng) 成 為物聯(lián)網(wǎng)發(fā)展中的關(guān)鍵問題之一。

目前，針對物聯(lián)網(wǎng)的安全傳輸問題，業(yè)界已開展了深入研究，主要集中在終端與服務(wù)器之間的認(rèn)證研究，通常采用的方法有基于散列函數(shù)的認(rèn)證、基于狀態(tài)的認(rèn)證、基于 密 鑰 加 密 的 認(rèn) 證 等［3］。在 基 于 密 鑰 加 密 的 方 法 中 ，橢 圓 曲線 加 密 （elliptic curve cryptography，ECC）［4］機(jī) 制 利 用 較 小 尺寸的密鑰提供了較高的安全性，且適用于資源有限的嵌入式設(shè)備，因此出現(xiàn)了多種基于 ECC 的身份認(rèn)證協(xié)議。例如，參考文獻(xiàn)［5］提出了一種用于保證智能設(shè)備和 服務(wù)器之間安全性的 ECC 認(rèn)證協(xié)議，并證明了 ECC 比其他公鑰加密（public key cryptography，PKC）技術(shù)更具有效性。參考文獻(xiàn)［6］提出了一種基于 ECC 的智能卡遠(yuǎn)程認(rèn)證方案，但因其沒有密鑰協(xié)商階段，故導(dǎo)致其易受到重復(fù)攻擊。參考文獻(xiàn)［7］基于 ECC 提出了一種基于輕屬性加權(quán)的加密協(xié)議，一定程度上解決了多項(xiàng)式認(rèn)證機(jī)制存在的計(jì)算復(fù)雜問題，降低了認(rèn)證消耗，但安全性不夠高，不能抵抗字典攻擊，且不具備匿名性保護(hù)。參考文獻(xiàn)［8］提出了一種 用于物聯(lián)網(wǎng)中 RFID系統(tǒng)的 ECC 身份認(rèn)證協(xié)議，利用 ECC 生成公鑰和私鑰，并通過生成的隨機(jī)數(shù)動(dòng)態(tài)計(jì)算驗(yàn)證信息來實(shí)現(xiàn)標(biāo)簽認(rèn)證，可有效抵抗安全攻擊，但存在被跟蹤的隱私安全問題。參考文 獻(xiàn)［9］提 出 了 一 種 基 于 ECC 的 身 份認(rèn) 證 傳 輸 協(xié) 議 ，但 計(jì)算復(fù)雜度較高，且不能抵御中間人和字典攻擊。

目前，物聯(lián)網(wǎng)中的終端智能設(shè)備大都配備 Web 瀏覽器，使其能夠接入網(wǎng)絡(luò)。在訪問網(wǎng)絡(luò)時(shí)，終端設(shè)備會產(chǎn)生一個(gè) cookie 文 件［10］，記 錄 用 戶 的 訪 問 信 息 。本 文 受 其 啟 發(fā) ，在終端設(shè)備訪問網(wǎng)絡(luò)時(shí)，也構(gòu)建了一個(gè) cookie 文件，并將其與 ECC 進(jìn)行結(jié)合，構(gòu)建了一種低計(jì)算復(fù)雜度、高安全性的身份認(rèn)證協(xié)議，用于物聯(lián)網(wǎng)終端設(shè)備和云服務(wù)器之間的安全通信。其中，本文認(rèn)證方案所適用的物聯(lián)網(wǎng)終端設(shè)備為具有一定計(jì)算能力和支持 HTTP 訪問物聯(lián)網(wǎng)服務(wù)器功能的智能終端，例如智能傳感設(shè)備、手機(jī)等移動(dòng)手持設(shè)備。與現(xiàn)有基于 ECC 的認(rèn)證協(xié)議相比，本文所提協(xié)議在保持較低計(jì)算成本的同時(shí)，提供了較高的安全性能，非常適合用于物聯(lián)網(wǎng)系統(tǒng)中嵌入式終端設(shè)備的安全認(rèn)證。

2 橢圓曲線加密機(jī)制

在提供相同級別安全性的基礎(chǔ)上，相比于其他非對稱加 密 技 術(shù) ，橢 圓 曲 線 加 密 （ECC）具 有 更 小 的 密 鑰 尺 寸［11］。例如 ，一 個(gè) 256 bit的 對 稱 密 鑰 必 須 由 大 于 15 000 bit的 RSA來保護(hù)，然 而 ，僅 用 512 bit的 ECC 非對稱密鑰就可以提供相等的安全性，因而可有效節(jié)約計(jì)算成本。

通常，加密系統(tǒng)的安全性與基本數(shù)學(xué)問題的相對復(fù)雜性成正比。若將一個(gè)算法的時(shí)間復(fù)雜度表達(dá)為多項(xiàng)式 T（n）= o（nk）且取上界，則該算 法是一個(gè)多 項(xiàng)式時(shí)間算 法，其中，n 為輸入的尺寸，k為非負(fù)整數(shù)。ECC 的安全性取決于解決橢圓曲線 離 散 對 數(shù) 問 題 （elliptic curve discrete logarithm problem，ECDLP）［12］的 難 度 。

在 ECDLP 中，P 和 Q 為橢圓曲線上的兩個(gè)點(diǎn)，kP 代表添加到其本身 k倍的點(diǎn)，其中 k是一個(gè)標(biāo)量，kP=Q。對已知的 P 和 Q，若 k足夠大，則不可能計(jì)算出 k。k為 Q 到基數(shù) P的離散對數(shù)。

ECC 的 數(shù) 學(xué) 運(yùn) 算 在 橢 圓 曲 線 方 程 上 的 定 義 為 y2=x3+ ax+b，其中，4a3+27b2≠0。

橢 圓 曲 線 是 滿 足 上 述 方 程 的 解（x，y）的 集 合 。 a 和 b 的每個(gè)值給出了一個(gè)不同的橢圓曲線。滿足上述方程和無窮遠(yuǎn)處點(diǎn) O 的所有點(diǎn)（x，y）均 位 于 橢 圓 曲 線 上 。

在 ECC 點(diǎn)乘運(yùn)算中， 橢圓曲線上的 P利用橢圓曲線方程乘以一個(gè)標(biāo)量 k，即獲得橢圓曲線上的另一點(diǎn) Q，如 kP=Q。通過兩種基本的橢圓曲線操作，即點(diǎn)加運(yùn)算和倍點(diǎn)運(yùn)算來實(shí)現(xiàn)點(diǎn)乘運(yùn)算。

3 提出的認(rèn)證協(xié)議

在物聯(lián)網(wǎng)中，為連接網(wǎng)絡(luò)，嵌入式設(shè)備通常配置一個(gè)Web 瀏 覽 器 和 TCP／IP 協(xié) 議 棧 ，使 其 作 為 HTTP 客 戶 端［13］。cookie 是由 Web 服務(wù)器生成并存儲于用戶計(jì)算機(jī)內(nèi)存中的文本信息，是實(shí)現(xiàn) Web 應(yīng)用認(rèn)證的主要手段，由 cookie名稱、有效期、目錄和站點(diǎn)域等信息組成。對嵌入式 HTTP設(shè)備，在安全認(rèn)證中融入 cookie 信息有助于提高其安全性。

為此，本文提出了一種基于 ECC 和 cookie 信息的安全認(rèn)證協(xié)議，用于物聯(lián)網(wǎng)系統(tǒng)中的嵌入式設(shè)備。其中，ECC主要用于密鑰加密，使之對應(yīng)橢圓曲線上的密文點(diǎn)，利用橢圓曲線離散對數(shù)問題來實(shí)現(xiàn)密鑰的安全傳輸和簽名認(rèn)證。表1為本文所提協(xié)議用到的符號及其含義。

表1 本文協(xié)議用到的符號及含義

本文所提協(xié)議包括 3 個(gè)階段：注冊階段，嵌入式設(shè)備在云服務(wù)器上進(jìn)行注冊，服務(wù)器將 cookie 存儲在嵌入式設(shè)備上；登錄階段，當(dāng)設(shè)備需要與服務(wù)器連接時(shí)，在這一階段發(fā)送登錄請求；認(rèn)證階段，嵌入式設(shè)備和云服務(wù)器利用ECC 參數(shù)進(jìn)行相互認(rèn)證。圖 1 描述了本文所提協(xié)議的工作流程。

在系統(tǒng)開始運(yùn)行前，服務(wù)器 S在 Zp上選擇一個(gè)橢圓曲線 方 程 y2=x3+ax+b，其 中 Zp（p＞2160）為 有 限 域組 。服務(wù) 器 選 擇 兩個(gè) 域 元 素 a，b∈Zp，其 中 ，a 和 b 滿 足 條 件 47a3+27b2（mod p）≠0。令 G 為 含 有 n（n＞2160）個(gè) 素 數(shù) 階 的 橢 圓 曲 線 的 基 本 點(diǎn) ，O 為無窮點(diǎn)，則 n×G=0。服務(wù)器選擇一個(gè)隨機(jī)數(shù) X 作為它的私鑰。

3.1 注冊階段

首先，嵌入式設(shè)備 Di在云服務(wù)器 S 上進(jìn)行注冊，發(fā)送唯一的 IDi到服務(wù)器；云服務(wù)器收到這個(gè)請求后，為每個(gè)設(shè)備 Di生成一個(gè)唯一的密碼 Pi。

步 驟 1 Di→S：IDi，服 務(wù) 器 S 生 成 Pi。

服務(wù)器為每個(gè)設(shè)備選擇一個(gè)唯一的隨機(jī)數(shù)，并生成一個(gè) cookie CK=H（Ri|X|EXP_TIME|IDi），其 中 ，X 為 服 務(wù) 器 的私鑰。同時(shí)，服務(wù)器將該 cookie 存儲在嵌入式設(shè)備上，作為ECC 點(diǎn) CK＇=CK×G 。然 后 ，服 務(wù) 器 計(jì) 算 安 全 性 參 數(shù) Ti=Ri⊕ H（X），Ai=H（Ri⊕H（X）⊕Pi+CK＇），并 將 Ai＇=H（Ri⊕H（X）⊕Pi+ CK＇）×G 和 對 應(yīng) 設(shè) 備 Di身 份 IDi的 Ti存 儲 在 數(shù) 據(jù) 庫 中 。服務(wù) 器 自 己 存 儲 對 應(yīng) 該 cookie 的 有 效 時(shí) 間 EXP_TIME。 當(dāng)cookie 過 期 時(shí) ，將 有 效 時(shí) 間 更 新 為 EXP_TIME＇，并 將 cookie更 新 為 CK=H（Ri|X|EXP_TIME＇|IDi）。

圖1 本文所提協(xié)議的工作流程

步 驟 2 S→Di：cookie CK＇。

3.2 登錄階段

在每次登錄前，設(shè)備選擇一個(gè)隨機(jī)數(shù) N1，計(jì)算 ECC 點(diǎn)P1=N1×G，并 將 其 存 儲 在 它 的 內(nèi) 存 中 。

步驟 1 Di計(jì)算 ECC 點(diǎn) P1。

為登 錄 云服務(wù)器 ，設(shè) 備 計(jì) 算 ECC 點(diǎn) P2=H（N1×CK＇），并發(fā)送 P1、P2和它的 IDi到服務(wù)器。

步 驟 2 S→Di：cookie CK＇。

3.3 認(rèn)證階段

服務(wù)器在收到登錄請求的參數(shù)后，首先使用其私鑰 X計(jì) 算 來 自 Ti的 隨 機(jī) 數(shù) Ri=Ti⊕H（X）；然 后 ，利 用 其 私 鑰 、設(shè)備 身 份 IDi和 有 效 時(shí) 間 EXP_TIME 計(jì) 算 cookie 信 息 CK= H（Ri|X|EXP_TIME|IDi）；接 著 計(jì) 算 點(diǎn) P2＇=H（P1×CK），并 核 對P2＇的 值 是 否 等 于 接 收 到 的 P2＇值 ，若 相 等 ，則 服 務(wù) 器 執(zhí) 行 下一個(gè)步驟，否則服務(wù)器終止會話。

步 驟 1 S 核 對 P2＇？=P2；S→Di：P3，P4和 Ti。

服務(wù)器選擇一 個(gè)隨機(jī)數(shù) N2，計(jì)算 ECC 點(diǎn) P3=N2×G，P4= N2×Ai＇，并 發(fā) 送 P3、P4和 Ti到 嵌 入 式 設(shè) 備 。

步 驟 2 嵌 入 式 設(shè) 備 核 對 P4＇？=P4；Di→S：Vi。

設(shè) 備 收 到 信 息 后 ，計(jì) 算 Ai=H（Ti⊕Pi⊕CK＇）和 ECC 點(diǎn)P4＇=P3×Ai，并將 P4＇的值 與 接 收 到的 P4值 進(jìn) 行比 較 。若 相等 ，則 嵌 入 式 設(shè) 備 計(jì) 算 Vi=H（（N1×CK＇）|P4＇）并 發(fā) 送 Vi到 服務(wù)器。

步 驟 3 服 務(wù) 器 核 對 Vi＇？=Vi。

服 務(wù) 器 計(jì) 算 Vi＇=H（（P1×CK＇）|P4），并將該值與收到的 Vi進(jìn)行比較以認(rèn)證該設(shè)備。

在嵌入式設(shè)備和云服務(wù)器相互認(rèn)證后，兩者共同協(xié)商一 個(gè) 會 話 密 鑰 SK=H（X|IDi|N1|N2），用 于 后 續(xù) 在 設(shè) 備 與 云 服務(wù)器之間進(jìn)行的通信。

4 安全性分析

（1）抵抗重放攻擊

重放攻擊是指在認(rèn)證過程中，攻擊者竊聽服務(wù)器和設(shè)備之間的通信信息，并重發(fā)這些消息，以試圖達(dá)成通過系統(tǒng) 認(rèn) 證 、充 當(dāng) 合 法 用 戶 進(jìn) 行 登 錄 的 目 的［14］。

在本文所提協(xié)議中，利用唯一新值 N1生成橢圓曲線點(diǎn) P1，利用單向散列函數(shù)生成 P2。當(dāng)惡意設(shè)備試圖利用新值 N＇登錄時(shí)，在服務(wù)器認(rèn)證信息時(shí)會失敗。若攻擊者試圖利用 先 前 的 P1和 P2值 計(jì) 算 點(diǎn) P1〞=N＇×P1和 P2〞=N＇×P2，則在第一步認(rèn)證階段會失敗。這是因?yàn)榉?wù)器利用新值計(jì)算的點(diǎn) P2〞=N＇×H（P1〞×CK）與期望值 P2＇=H（N＇×G×CK）不 相等。因此，本文所提協(xié)議可以抵抗重放攻擊。此外，惡意用戶不能重發(fā)登錄信息，這是因?yàn)樗荒茉L問 N1或 CK＇的值 ，這 使 得 它 不 能 生 成 Vi=H（（P1×CK＇）|P4＇）。還 有 ，它 不 能重復(fù)使用相同的 P4值進(jìn)行重放，這是因?yàn)?P4取決于 N3，而 N3是服務(wù)器為每次認(rèn)證隨機(jī)生成的新值。

（2）抵抗中間人攻擊

中間人攻擊類似于重放攻擊，攻擊者通過冒充合法服務(wù)器發(fā)送從設(shè)備中獲得的響應(yīng)消息來模仿合法設(shè)備。

在中間人攻擊中，惡意用戶可能會收集通信參數(shù)，如CK＇、P1、P2、P3和 P4。在本文所提協(xié)議中，由于這些點(diǎn)有很高的熵，因此惡意用戶無法計(jì)算這些 ECC 點(diǎn)，在真正的多項(xiàng)式時(shí)間內(nèi)解決 ECDLP 是不可能的。此外，惡意用戶不知道隨機(jī) 新值 N1和 N2。 因此，本文所提協(xié)議能夠抵抗中間人攻擊。

（3）抵抗 cookie 盜竊攻擊

在 cookie 盜竊攻擊中，攻擊者從智能設(shè)備中竊取存儲在其上的 cookie 信息，并試圖利用該信息登錄云服務(wù)器 S。但 在 本 文 所 提 協(xié) 議 中 ，cookie 信 息 CK=H（Ri|X|EXP_TIME| IDi）×G 被 存 儲 為 一 個(gè) ECC 點(diǎn) ，因 此 不 能 利 用 該 信 息 來 獲得登錄所需的正確參數(shù)。此外，在任何消息通信中，本文所提協(xié)議不發(fā)送 cookie CK 到 服 務(wù) 器 ，這樣，即 使 惡 意 用 戶 可能 得 到 cookie CK，該 信 息 也 幾 乎 毫 無 用 處 。因 此 ，本 文 所提協(xié)議能夠抵抗 cookie 盜竊攻擊。

（4）抵抗竊聽攻擊

由于服務(wù)器和嵌入式設(shè)備之間的通信消息通過不安全通道傳輸，因此攻擊者可以通過竊聽獲取用戶的機(jī)密信息 ，并 利 用 竊 聽 信 息 偽 造 合 法 用 戶 的 身 份 來 認(rèn) 證 信 息［15］。

在 本 文 所 提 協(xié) 議 中 ，當(dāng) 攻 擊 者 試 圖 修 改 從 IDi、P1和 P2進(jìn) 入 IDi*、P1*和 P2*的 登 錄 請 求 時(shí) ，惡 意 用 戶 無 法 獲 取 隨 機(jī)數(shù) N1和 N2。此外，P1和 P2的熵非常高，故 ECC 不能被仿造。因此這類攻擊將在認(rèn)證階段的第一步遭遇失敗。

（5）抵抗暴力破解攻擊

在暴力破解攻擊中，惡意用戶首先從通信消息中獲得參數(shù) P1、P2、P3、P4和 Ti。在 本 文 所 提 協(xié) 議 中 ，即使惡 意 用 戶成功記錄這些信息，仍無法利用暴力破解攻擊找出正確的密碼 Pi，這是因?yàn)樗恢婪?wù)器的密鑰 X 且沒有辦法猜測隨機(jī)數(shù) N1和 N2。 因此，本文所提協(xié)議可以抵抗暴力破解攻擊。

（6）抵抗離線字典攻擊

在這種類型的攻擊中，惡意用戶首先記錄通信消息，接著嘗試從這些信息中猜測合法用戶的密碼。在本文協(xié)議中，惡意用戶不能在多項(xiàng)式時(shí)間內(nèi)從作為高熵 ECC 點(diǎn)的記錄通信消息中計(jì)算出密碼。因此，本文所提協(xié)議可以抵抗離線字典攻擊。

（7）抵抗認(rèn)證器泄漏攻擊

在這種類型的攻擊中，惡意用戶進(jìn)入服務(wù)器并竊取存儲在其內(nèi)的信息，然后利用這些信息計(jì)算合法用戶的密碼。在本文所提協(xié)議中，存儲在設(shè)備數(shù)據(jù)庫中的信息為 CK=H（Ri|X|EXP_TIME＇|IDi），Ai＇=H（Ri⊕H（X）⊕Pi）×G ，這是一個(gè) ECC 點(diǎn)，故惡意用戶不能猜測服務(wù)器的私鑰 X或 ECC 點(diǎn) Ai＇。因 此 ，本 文 所 提 協(xié)議 可 以 抵 抗 認(rèn) 證 器 泄漏攻擊。

（8）提供相互身份認(rèn)證

在本文所提協(xié)議中，服務(wù)器通過比較收到的 P2值和計(jì) 算 P2＇值來 檢 查 智 能設(shè) 備 的 真 實(shí) 性 。設(shè) 備利 用 方 程 P2= H（N1×CK〞）計(jì) 算 P2值 ，其 中 ，CK＇=CK×G，并 將 其 發(fā) 送 給 服務(wù) 器。 接著 ，服 務(wù) 器利用方 程 P2＇=H（P1×CK）計(jì) 算值 P2＇，其中，P1=N1×G。若值相等，則該服務(wù)器成功認(rèn)證此用戶。另外，用戶通過比較收到的 P4值和計(jì)算的 P4＇值來認(rèn)證服務(wù)器。服務(wù) 器 利 用 方 程 P4=N2×Ai＇計(jì) 算 P4值 并 將 其 發(fā) 送 給 設(shè) 備 ，其 中Ai＇=Ai×G。接 著 ，設(shè) 備 利 用 方 程 P4＇=P3＇×Ai計(jì) 算 P4＇值 ，其中 ，P3＇=N2×G。若 這 兩 個(gè) 值 相 等 ，則設(shè)備成功認(rèn)證服務(wù)器。

（9）提供機(jī)密性保護(hù)

本文所提協(xié)議利用 ECC 點(diǎn)和散列函數(shù)來保護(hù)設(shè)備認(rèn)證信息，確保只有經(jīng)過認(rèn)證的設(shè)備才能訪問服務(wù)器。因此，本文所提協(xié)議可以抵抗流量分析和竊取，保證信息機(jī)密性。

（10）提供匿名性保護(hù)

通常設(shè)備可以發(fā)送用于認(rèn)證的消息到其附近的任何服務(wù)器。如果攻擊者冒充服務(wù)器來接觸設(shè)備，則該設(shè)備將與攻擊者交換初始消息。本文協(xié)議中，攻擊者不能訪問與設(shè) 備 有 關(guān) 的 cookie（CK＇），不 能 生 成 Ai＇=H（Ti⊕Pi⊕CK＇）×G的 正 確 值 ，從而不能生成正確的 P4=N2×Ai＇值 。接 收 到 的 P4值 與 期 望 值 P4＇=P3×Ai進(jìn) 行 認(rèn) 證 會 失 敗 ，其 中 ，Ai=H（Ti⊕Pi⊕CK＇）。因 此 ，本 文 所 提 協(xié) 議 可 以 提 高 匿 名 性 。

（11）提供前向保密性

前向保密性指的是利用設(shè)備當(dāng)前的傳播信息不能追蹤先前的傳播信息。由于在每次會話中，隨機(jī)產(chǎn)生的新值提供了機(jī)密性，即惡意用戶沒法知道設(shè)備內(nèi)生成的隨機(jī)數(shù)，因此本文通過使過去的通信信息具有不可預(yù)測性來確保前向保密性。

5 成本分析

一個(gè)有效的身份認(rèn)證協(xié)議必須考慮計(jì)算和通信成本。本文使用了 XOR 操作和單向散列函數(shù)，這些在密碼學(xué)中都是計(jì) 算量較低的操作。在本文協(xié)議中，設(shè)置身份 IDi、密碼 Pi、新 值 （N1，N2）、隨 機(jī) 數(shù) Ri和 安 全 性 參 數(shù) Ti、Ri都 為 128 bit；同時(shí) ，單 向 散 列 函 數(shù) 的 輸 出 也 為 128 bit，橢 圓 曲 線 公 鑰 密碼 ECC 為 224 bit。

令 TH表 示 一 次散 列 運(yùn) 算 ，TE表 示 一 次 指 數(shù) 運(yùn) 算 ，TECM表示一次橢 圓 曲線上的 點(diǎn) 乘 運(yùn)算，TECA表示一 次 橢 圓曲線上的點(diǎn)加運(yùn)算，這些運(yùn)算的時(shí)間復(fù)雜性比較結(jié)果為：TE≥TECM＞TECA＞TH，其 中 ，執(zhí) 行 一 次 指 數(shù) 運(yùn)算 消 耗 的 時(shí)間 比 執(zhí) 行一 次 橢 圓 點(diǎn) 乘 運(yùn) 算 大 很 多 （約 8 倍 ）［20］。此 外 ，在 本 文 協(xié) 議中沒有使用時(shí)間戳，因此不存在時(shí)間同步問題。

（1）通信成本

協(xié)議的通信成本 C1是指安全參數(shù)的傳輸成本。在本文 所 提 協(xié) 議 中 ，傳 輸 的 安 全 參 數(shù) 為 ［P1，P2，P3，P4，Ti，IDi］=［4× 224+3×128］=1 280 bit。

（2）計(jì)算成本

令 C2為注冊階段中由服務(wù)器執(zhí)行的所有操作消耗的總時(shí)間，在本文所提協(xié)議 中為（3TH+2TECM）；令 C3 為認(rèn)證階段中云服務(wù)器的計(jì)算成本，為（4TH+4TECM）；令 C4 為認(rèn)證階段中嵌入式設(shè)備用于計(jì)算的時(shí)間，為（3TH+3TECM）。

（3）存儲成本

令 C5 為嵌入式設(shè)備所需內(nèi)存，C6 為服務(wù)器用于存儲安全參數(shù)所需內(nèi)存，在本文所提協(xié)議中，嵌入式設(shè)備將cookie CK＇儲 存 為 ECC 點(diǎn)，因 此 C5=224 bit。云服務(wù)器儲存（Ai＇，IDi），因 此 C6=224+128=352 bit。

6 性能比較

將現(xiàn)有基于 ECC 的認(rèn)證協(xié)議與本文所提協(xié)議在安全與成本方面進(jìn)行比較。表2對各種協(xié)議提供的功能和攻擊抵抗能力進(jìn)行了比較，其中，“是”表示具有該功能或能夠抵抗該攻擊，“否”表示不具備該功能或不能抵抗該攻擊，“-”表示不涉及該項(xiàng)目?？梢钥闯?，與現(xiàn)有協(xié)議相比，本文所提協(xié)議能夠提供全面的功能且能夠抵御常見類型的攻擊。

表3 給出了各種協(xié)議的計(jì)算、通信和存儲成本，可以看出，本文所提協(xié)議具有較低的成本，這就使其非常適合用于資源有限的物聯(lián)網(wǎng)嵌入式終端設(shè)備中。

7 結(jié)束語

由于現(xiàn)有安全認(rèn)證協(xié)議不能直接用于保護(hù)物聯(lián)網(wǎng)中嵌入式設(shè)備和云服務(wù)器之間的安全通信，為此，本文提出了一種基于 ECC 和 cookie 信息的高效安全認(rèn)證協(xié)議。性能分析表明，本文所提協(xié)議有效降低了計(jì)算、通信和存儲成本，使其適合用于資源有限的智能終端設(shè)備上。此外，本文所提協(xié)議提供了雙向認(rèn)證、機(jī)密性、匿名性和前向安全性，能夠抵抗常見的多種身份攻擊模式，具有很高的安全性能。在今后的研究工作中，將考慮采用輕量級ECC 來進(jìn)一步提高其認(rèn)證速度，以期最終形成一種快速、高效的安全協(xié)議。

表2 安全性能比較

表3 成本性能比較

［1］ 吳振 強(qiáng)，周彥 偉，馬建 峰. 物 聯(lián) 網(wǎng)安 全 傳輸 模型［J］. 計(jì)算 機(jī) 學(xué)報(bào)，2011，34（8）：1351-1364. WU Z Q，ZHOU Y W，MA J F.A security transmission model for internet of things［J］.Chinese Journal of Computers，2011，34（8）：1351-1364.

［2］ 汪禮臻，張龍軍. 適合物聯(lián)網(wǎng)環(huán)境的混合雙向匿名認(rèn)證協(xié)議［J］.計(jì)算機(jī)應(yīng) 用 研 究，2015，32（1）：222-225. WANG L Z， ZHANG L J.Hybrid mutualanonymous authentication protocol for the internet of things environment［J］. Application Research of Computers，2015，32（1）：222-225.

［3］ 唐雅玲. 一種基于認(rèn)證的物聯(lián)網(wǎng)安全傳輸機(jī)制 ［J］. 計(jì) 算機(jī) 工程，2014，40（1）：144-148. TANG Y L.A secure transmission mechanism for internet of things based on certification ［J］.Computer Engineering，2014，40（1）：144-148.

［4］ 黃碧翼，陳澤茂，朱婷婷. 基于橢圓曲線簽密協(xié)議的無線安全認(rèn)證協(xié) 議［J］. 武漢理 工 大學(xué)學(xué)報(bào)，2013，35（6）：145-150. HUANG B Y，CHEN Z M，ZHU T T.Wireless security authentication protocol based on elliptic curve signcryption scheme ［J］.Journal of Wuhan University of Technology，2013 ，35（6）：145-150.

［5］ ZHAO G，SI X，WANG J，et al.A novel mutual authentication scheme for internet of things［C］／／IEEE International Conference on Modelling，Identification and Control （ICMIC），June 26-29，2011， Shanghai， China.New Jersey： IEEE Press， 2011：563-566.

［6］ LI C T.A new password authentication and user anonymity scheme based on elliptic curve cryptography and smart card ［J］. Iet Information Security，2013，7（1）：3-10.

［7］ SHEN G，ZHEN Y.Application of elliptic curve cryptography in node authentication of internet of things ［C］／／2013 Ninth International Conference on Intelligent Information Hiding and Multimedia Signal Processing，October 16-18，2013，Beijing，China.New Jersey：IEEE Press，2013：452-455.

［8］ SHIVRAJ V L，RAJAN M A，SINGH M，et al.One time password authentication scheme based on elliptic curves for internet of things （IoT）［C］／／ 5th National Symposium on Information Technology：Towards New Smart World （NSITNSW），F(xiàn)ebruary 17-19，2015，Riyadh，Kingdom of Saudi Arabia.New Jersey：IEEE Press，2015：1-6.

［9］ HE D，ZEADALLY S.An analysis of RFID authentication schemes for internet of things in healthcare environment using elliptic curve cryptography［J］.Internet of Things Journal IEEE，2015，2（1）：72-83.

［10］馮偉華，劉亞麗.基于 cookie 的統(tǒng)一認(rèn)證系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)［J］.計(jì)算機(jī)工程與設(shè)計(jì)，2010，31（23）：4971-4975. FENG W H，LIU Y L.Design and implementation of unified authentication system on cookie ［J］.Computer Engineering and Design，2010，31（23）：4971-4975.

［11］張文芳，王小敏，郭偉，等. 基于橢圓曲線加密體制的高效虛擬企業(yè)跨域認(rèn)證協(xié)議［J］. 電子學(xué)報(bào)，2014（6）：1095-1102. ZHANG W F，WANG X M，GUO W，et al.An efficient inter-enterprise authentication scheme for VE based on the elliptic curve cryptosystem［J］.Acta Electrctronica Sinica，2014（6）：1095-1102.

［12］劉柱文，李麗琳. 新的基于橢圓曲線的三方口令認(rèn)證密鑰協(xié)商協(xié)議［J］. 計(jì)算機(jī)應(yīng)用，2011，31（10）：2687-2688. LIU Z W， LI L L. New three-party password-based authenticated key agreement protocol with elliptic curve ［J］. Journal of Computer Applications，2011 ，31 （10 ）：2687-2688.

［13］BENINI L.Designing next-generation smart sensor hubs for the internet-of-things ［C］／／5th IEEE International Workshop on Advances in Sensors and Interfaces （IWASI），June 13-14，2013，Bari，Italy.New Jersey：IEEE Press，2013：113.

［14］CHEN P Y，CHENG S M，CHEN K C.Information fusion to defend intentional attack in internet of things ［J］.Internet of Things Journal IEEE，2014，1（4）：337-348.

［15］馮福偉，李瑛，徐冠寧，等. 基于集群架構(gòu)的物聯(lián)網(wǎng)身份認(rèn)證系統(tǒng)［J］. 計(jì)算機(jī)應(yīng)用，2013，33（1）：126-129. FENG F W，LI Y，XU G N，et al.IoT authentication system based on cluster architecture［J］.Journal of Computer Applications，2013，33（1）：126-129.

Security authentication protocol based on elliptic curve cryptography and cookie information for terminal of IoT

ZHAO Jie1，ZHANG Huarong2
1.Department of Mathematics and Information Technology，Jiangsu Second Normal College，Nanjing 210013，China 2.Department of Science and Technology，Nanjing Normal University，Nanjing 210023，China

For the security problem of terminal devices accessing to the network server in internet of things （IoT），an identity authentication protocol was presented based on elliptic curve cryptography （ECC）and cookie information for internet of things terminal.Firstly，the protocol used user identity information，server private key，random number and expiration time of cookie to form a cookie file.Then，it was encrypted with ECC and stored in the smart terminal.In authentication phase，the mutual authentication was achieved by comparing the security parameters calculated by cookie information.Performance analysis shows that it can resist many kinds of attacks and provide high security，low computation and low communication cost，which was suitable for the terminal devices of limited resources in internet of things.

internet of things，terminal device，identity authentication，elliptic curve cryptography，cookie information

s：The National Natural Science Foundation of China（No.61170298），The Foundation of “12th Five-Year” in Jiangsu Second Normal College（No.JSNU2014QZ02）

TP309

：A

10.11959／j.issn.1000-0801.2016116

趙潔（1979-），女，江蘇第二師范學(xué)院數(shù)學(xué)與信息技術(shù)學(xué)院講師，主要研究方向?yàn)樾畔踩拔锫?lián)網(wǎng)。

張華榮（1980-），女，南京師范大學(xué)科技處助理研究員，主要研究方向?yàn)楣芾砜茖W(xué)與工程。

2016-01-07；

：2016-03-16

國家自然科學(xué)基金資助項(xiàng)目 （No.61170298）；江蘇第二師范學(xué)院“十二五”規(guī) 劃 課 題 （No.JSNU2014QZ02）