陳 凱,許海銘,徐 震,林東岱,劉 勇

(1.信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室,北京 100093;2.中國(guó)科學(xué)院信息工程研究所,北京 100093;3.中國(guó)科學(xué)院大學(xué),北京 100049;4.國(guó)家能源局安全司,北京 100824;5.華北電力大學(xué)電氣與電子工程學(xué)院,北京 102206;6.山東省電力公司調(diào)度控制中心自動(dòng)化處,山東濟(jì)南 250000)

?

適用于移動(dòng)云計(jì)算的抗中間人攻擊的SSP方案

陳 凱1,2,3,許海銘4,5,徐 震1,2,林東岱1,2,劉 勇6

(1.信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室,北京 100093;2.中國(guó)科學(xué)院信息工程研究所,北京 100093;3.中國(guó)科學(xué)院大學(xué),北京 100049;4.國(guó)家能源局安全司,北京 100824;5.華北電力大學(xué)電氣與電子工程學(xué)院,北京 102206;6.山東省電力公司調(diào)度控制中心自動(dòng)化處,山東濟(jì)南 250000)

低功率藍(lán)牙(BLE)專為資源受限的設(shè)備設(shè)計(jì),但現(xiàn)有的研究已經(jīng)指出其安全簡(jiǎn)單配對(duì)方案(SSP)存在中間人攻擊(MITM)漏洞.文章指出造成MITM漏洞的根本原因是:配對(duì)信息被篡改以及JW模式自身的漏洞.為此文章中提出了兩個(gè)適用于移動(dòng)云計(jì)算(MCC)中BLE設(shè)備的SSP改進(jìn)方案,所提出的方案基于哈希函數(shù)并利用MCC技術(shù)提高SSP的安全性.方案1適用于支持PE或者OOB模式的BLE設(shè)備,其利用哈希函數(shù)確保配對(duì)信息的真實(shí)性、可靠性.方案2通過哈希序列來解決僅支持JW模式的BLE設(shè)備的MITM攻擊漏洞.文章分別從安全角度和性能角度對(duì)所提出的方案進(jìn)行分析,以表明方案在不同級(jí)別敵手的攻擊下可以提供MITM攻擊防護(hù)能力.

藍(lán)牙低功率;安全簡(jiǎn)單配對(duì)方案;中間人攻擊;移動(dòng)云計(jì)算

電子學(xué)報(bào)URL:http://www.ejournal.org.cn DOI:10.3969/j.issn.0372-2112.2016.08.005

1 引言

低功率藍(lán)牙(BLE)在藍(lán)牙v4.0版本中被提出.BLE的設(shè)計(jì)初衷是將藍(lán)牙技術(shù)應(yīng)用于僅由“紐扣”電池供電的便攜設(shè)備中.借助于MCC技術(shù)[1],BLE產(chǎn)品得到了極大的豐富.對(duì)于MCC中的BLE設(shè)備來說,移動(dòng)終端設(shè)備通常作為master,而周邊設(shè)備作為slave.

自藍(lán)牙v2.1版本后,安全簡(jiǎn)單配對(duì)(SSP)方案被引入藍(lán)牙標(biāo)準(zhǔn)中來實(shí)現(xiàn)設(shè)備配對(duì)過程.在BLE標(biāo)準(zhǔn)中,SSP提供三種不同的關(guān)聯(lián)模型:Just Work模型(JW)、Passkey Entry模型(PE)及Out of Band模型(OOB).其中,JW模型無法抵抗中間人(MITM)攻擊.近年來,研究人員已經(jīng)提出了多種方法[2,3],可以強(qiáng)迫對(duì)端設(shè)備使用JW模型,從而利用JW模型的漏洞來實(shí)施MITM攻擊.造成MITM攻擊漏洞的根本原因?yàn)?(1)在SSP過程中,用來交換設(shè)備輸入/輸出(I/O)信息的配對(duì)消息可能被攻擊者篡改;(2)JW模型在SSP過程中無法提供MITM攻擊防護(hù).

為了提高BLE設(shè)備的安全性,使其具有抗MITM攻擊能力,本文首先針對(duì)MCC環(huán)境中BLE的典型應(yīng)用場(chǎng)景進(jìn)行分析.作者發(fā)現(xiàn)在MCC環(huán)境中,BLE設(shè)備具有以下特征:(1)所有的master設(shè)備至少支持兩種不同的無線通信信道;(2)大多數(shù)slave設(shè)備僅支持一種通信信道,因此slave設(shè)備無法直接與云服務(wù)連接;(3) master設(shè)備的能力通常強(qiáng)于slave設(shè)備;(4)計(jì)算能力上的限制使得復(fù)雜的密碼運(yùn)算無法在BLE設(shè)備上運(yùn)行,尤其無法在slave設(shè)備上運(yùn)行.

根據(jù)以上的分析結(jié)果,本文通過如下兩種方式來提高SSP方案的安全性:(1)由于master設(shè)備支持多個(gè)通信信道,因此,本文引入位于云端的可信第三方(TTP)來協(xié)助BLE設(shè)備交換其I/O能力信息;(2)考慮到BLE設(shè)備的處理能力有限,本文所提出的方案僅在BLE設(shè)備上運(yùn)行輕量級(jí)的密碼算法,以此來最小化BLE設(shè)備的負(fù)載.

2 相關(guān)研究工作

Haataja等人[4,5]建議在應(yīng)用層增加額外的安全機(jī)制來提高SSP的安全性.例如,在應(yīng)用層增加額外的確認(rèn)窗口以確保正確的關(guān)聯(lián)模型被使用.Sharmila等人[6]提出了一種OOB信道可變頻率的方案來提高SSP的安全性.在他們的方案中,OOB信道的頻率被預(yù)置在每個(gè)設(shè)備中,在特定的周期內(nèi),通信雙方使用特定的OOB頻率進(jìn)行帶外通信.

RF指紋是由Ureten和Serinken[7]提出的一種增強(qiáng)無線網(wǎng)絡(luò)通信安全性的方法.Pasanen等人[8]將RF指紋技術(shù)擴(kuò)展到藍(lán)牙設(shè)備中.在Pasanen等人的方案中,一臺(tái)專用服務(wù)器負(fù)責(zé)存儲(chǔ)所有合法藍(lán)牙設(shè)備的RF信息,并且以此來判斷是否允許正在發(fā)射RF信號(hào)的藍(lán)牙設(shè)備相連.

耿君峰等人[9]通過分組凈化與藍(lán)牙設(shè)備地址綁定來幫助藍(lán)牙設(shè)備抵抗自外部設(shè)備的竊聽攻擊、主設(shè)備地址假冒攻擊、分組偽造攻擊和來自內(nèi)部設(shè)備的分組否認(rèn)攻擊.

目前,還有一些研究人員提出了針對(duì)藍(lán)牙的入侵檢測(cè)系統(tǒng)和入侵防御系統(tǒng)[10],這些系統(tǒng)試圖從網(wǎng)絡(luò)的角度防御針對(duì)藍(lán)牙設(shè)備的攻擊.

與本文所提出的方案相比,Haataja等人的方案要求藍(lán)牙終端必須具有顯示輸出設(shè)備.而Sharmila等人提出的方案對(duì)于僅支持Just Work模型的BLE設(shè)備起不到保護(hù)作用.FR指紋能夠提供的安全性較高,但是Pasanen等人的方案只適用于局部場(chǎng)景中,例如,在一個(gè)辦公大廈內(nèi)負(fù)責(zé)一個(gè)公司內(nèi)的藍(lán)牙設(shè)備.對(duì)于入侵檢測(cè)系統(tǒng)和入侵防御系統(tǒng)來說,需要特定的部署模式才能充分發(fā)揮功效.

3 SSP安全現(xiàn)狀

現(xiàn)有的研究[11,12]表明MITM攻擊對(duì)藍(lán)牙設(shè)備來說是一個(gè)嚴(yán)重的威脅.MITM攻擊者實(shí)施攻擊的主要手段[4,5,13～16]是強(qiáng)迫配對(duì)的BLE設(shè)備使用JW模型,并且利用JW模型不提供MITM攻擊保護(hù)的漏洞進(jìn)行攻擊.

如圖1所示,MITM攻擊者首先中斷BLE設(shè)備的物理層連接,以使得受害用戶誤以為他們的BLE設(shè)備出現(xiàn)的問題.被欺騙的用戶很可能會(huì)刪除設(shè)備中已經(jīng)存儲(chǔ)的密鑰,并重新進(jìn)行設(shè)備配對(duì).在設(shè)備重新配對(duì)過程中,攻擊者偽造BLE設(shè)備的I/O能力信息,以使得受害的BLE設(shè)備誤以為對(duì)方“既無輸入能力,也無輸出能力”.隨后,JW模型被強(qiáng)迫使用.由于JW模型不能提供MITM攻擊防護(hù)能力,所以MITM攻擊者可以竊聽受害BLE設(shè)備的通信,甚至可以篡改用戶的數(shù)據(jù).

4 基本假設(shè)、威脅模型與目標(biāo)

本文假設(shè)敵手針對(duì)BLE的SSP方案進(jìn)行MITM攻擊,作者考慮多級(jí)能力的敵手模型并假設(shè)level N敵手擁有所有級(jí)別小于N的敵手的能力:

(1)Level 1敵手:敵手有能力竊聽合法設(shè)備之間的會(huì)話數(shù)據(jù),并在隨后的攻擊中重放竊聽得到的數(shù)據(jù);

(2)Level 2敵手:敵手能夠主動(dòng)阻斷合法設(shè)備之間的信息交換,并可以在合法設(shè)備配對(duì)過程中插入、篡改信息;

(3)Level 3敵手:敵手有能力主動(dòng)詢問合法的設(shè)備,記錄下合法設(shè)備回復(fù)的信息,并在隨后的攻擊中進(jìn)行重放.

本文的目標(biāo)是,所提出的SSP改進(jìn)方案能夠在面對(duì)level 1到level 3級(jí)敵手的情況下,向MCC中的BLE設(shè)備提供抗MITM攻擊能力.

5 基于哈希的SSP改進(jìn)方案

5.1 方案I:基于哈希函數(shù)的SSP方案

方案I引入位于云端平臺(tái)的TTP來提供配對(duì)設(shè)備的I/O能力信息的哈希值,該哈希值將會(huì)和BLE設(shè)備自身提供的I/O能力信息的哈希值進(jìn)行比較.為了標(biāo)識(shí)設(shè)備,每臺(tái)BLE設(shè)備將會(huì)被預(yù)設(shè)一個(gè)唯一的內(nèi)部ID值(intid).如表1所示,TTP維護(hù)一個(gè)數(shù)據(jù)庫表,來儲(chǔ)存所有BLE設(shè)備的物理地址Addr、當(dāng)前內(nèi)部ID(intidc)、上次使用的內(nèi)部ID(intidl)和設(shè)備的I/O能力信息.TTP為每個(gè)BLE設(shè)備存儲(chǔ)兩個(gè)內(nèi)部ID是為了解決消息丟失問題.如果由于意外事件或攻擊者攻擊造成消息丟失,那么BLE設(shè)備仍然可以通過intidl被正確的識(shí)別.

表1 TTP中的數(shù)據(jù)庫表格

圖2詳細(xì)描述了方案I的步驟.設(shè)哈希函數(shù)為h(),符號(hào)‖表示字符串拼接.具體的方案流程如下:

(1)Master設(shè)備產(chǎn)生隨機(jī)數(shù)挑戰(zhàn)Rm;

(2)Master將隨機(jī)數(shù)挑戰(zhàn)Rm連同配對(duì)請(qǐng)求消息發(fā)送給slave設(shè)備;

(3)Slave設(shè)備產(chǎn)生隨機(jī)數(shù)Rs,并通過公式(1)計(jì)算出外部ID;

extids=h(intids‖Rm‖Rs)

(1)

(4)extids連同隨機(jī)數(shù)Rs一起通過配對(duì)響應(yīng)消息發(fā)送給master設(shè)備;

(5)當(dāng)收到配對(duì)響應(yīng)消息后,master設(shè)備使用和slave設(shè)備相同的方法計(jì)算出外部ID值extidm;

extidm=h(intidm‖Rm‖Rs)

(2)

(6)Master設(shè)備將含有Rm、Rs、extidm和extids的驗(yàn)證請(qǐng)求消息發(fā)往TTP;

(3)

(4)

(5)

vm=h(intidm‖IOs‖Addrs‖Rm‖Rs)

(6)

vs=h(intids‖IOm‖Addrm‖Rm‖Rs)

(7)

intidm=h(intidm)

(8)

(14)Slave設(shè)備通過公式(9)更新intids;

intids=h(intids)

(9)

(…)方案I剩余的步驟與原SSP方案相同.

因?yàn)閙aster設(shè)備支持多種通信信道,所以master設(shè)備可以分別從TTP和slave設(shè)備獲得關(guān)于slave設(shè)備的I/O能力信息,通過對(duì)比來確保slave設(shè)備所發(fā)送的I/O能力信息的真實(shí)性和完整性.Slave設(shè)備在master設(shè)備和驗(yàn)證轉(zhuǎn)發(fā)消息的幫助下,也可以分別從TTP和master設(shè)備處獲得關(guān)于master設(shè)備的I/O能力信息.因此,slave設(shè)備也有能力鑒別master設(shè)備所發(fā)送的I/O能力信息的真?zhèn)?一旦鑒定出配對(duì)的BLE設(shè)備的I/O能力信息存在問題,那么master設(shè)備或者slave設(shè)備將立即終止設(shè)備配對(duì)過程,并以此來防止錯(cuò)誤的關(guān)聯(lián)模型被使用.避免使用錯(cuò)誤的關(guān)聯(lián)模型,這也是防止MITM攻擊的基本前提.

方案I為支持PE或者OOB模型的BLE設(shè)備而設(shè)計(jì),但對(duì)于僅支持JW模型的BLE設(shè)備來說,方案I并不適用.

5.2 方案II:基于哈希序列的SSP方案

為了向僅支持JW模型的BLE設(shè)備提供抗MITM攻擊能力,作者利用哈希序列對(duì)方案I進(jìn)行了改進(jìn).造成MITM攻擊漏洞的根本原因是JW模型的TK被設(shè)置0.因此,在方案II中TK被設(shè)置成隨機(jī)數(shù).

設(shè)f()為哈希函數(shù),F表示由f()生成的哈希序列,Fi表示該哈希序列中的第i個(gè)元素.設(shè)R為長(zhǎng)度為m×n的隨機(jī)數(shù),Ri表示R中第i個(gè)m比特長(zhǎng)的數(shù)據(jù)片段(1≤i≤n).假設(shè)R的取值為54668(1101 0101 1000 1100),m的取值為4,那么R1=13(1101)、R2=5(0101)、R3=8(1000)、R4=12(1100)、R=R1R2R3R4且n=4.

圖3顯示了方案II的詳細(xì)處理步驟:

(1～3)方案II的前三個(gè)步驟與方案I相同;

(4)Slave設(shè)備產(chǎn)生隨機(jī)數(shù)R,隨機(jī)數(shù)的長(zhǎng)度為m×n.隨后按照上文提及的方法將R轉(zhuǎn)換成R1R2…Rn的形式.Slave設(shè)備按照算法1計(jì)算函數(shù)GenHashArray(intids‖Rm‖Rs,R1R2…Rn,n)得到哈希序列Fs=(Fs1,Fs2,…,Fsn);

(5)哈希序列Fs和extids被封裝在配對(duì)響應(yīng)消息中,連同隨機(jī)數(shù)Rs一起發(fā)送給master設(shè)備;

(6)當(dāng)master設(shè)備接收到配對(duì)響應(yīng)消息后,master設(shè)備通過公式(2)計(jì)算出extidm;

(7)Master設(shè)備將包含有Rm、Rs、extidm、extids和哈希序列Fs的驗(yàn)證請(qǐng)求消息發(fā)送給TTP;

(8)TTP按照算法2計(jì)算函數(shù)RetrieveRandom

(intids‖Rm‖Rs,(Fs1,Fs2,…,Fsn)),從哈希序列中恢復(fù)出隨機(jī)數(shù)R.如果算法2返回錯(cuò)誤,那么TTP則將一個(gè)隨機(jī)數(shù)直接發(fā)送給master設(shè)備代替驗(yàn)證響應(yīng)消息;

(9)TTP采用和方案I相同的流程計(jì)算出驗(yàn)證響應(yīng)消息;

(14)Master設(shè)備通過公式(6)計(jì)算出驗(yàn)證消息vm;

(15)Master設(shè)備通過函數(shù)RetrieveRandom(vm,(Fm1,Fm2,…,Fmn))從哈希序列中恢復(fù)出隨機(jī)數(shù)R.如果該函數(shù)返回錯(cuò)誤,那么master設(shè)備必須立刻終止設(shè)備配對(duì)過程;

(17)從哈希序列中恢復(fù)出隨機(jī)數(shù)R之后,master設(shè)備根據(jù)公式(8)更新intidm;

(18)Slave設(shè)備根據(jù)公式(9)更新intids;

(19)當(dāng)執(zhí)行到此步驟時(shí),master設(shè)備和slave設(shè)備均獲得了隨機(jī)數(shù)R.因此,TK值可以被設(shè)置為R;

(…)方案II剩余的步驟與原SSP方案使用JW模型時(shí)相同.

因?yàn)锽LE設(shè)備的內(nèi)部ID從未被揭露,所以可以使用哈希序列(Fm1,Fm2,…,Fmn)和(Fs1,Fs2,…,Fsn)來秘密地傳輸隨機(jī)數(shù)R.當(dāng)使用JW模型時(shí),方案II中的TK被設(shè)置為隨機(jī)數(shù)R.因此,方案II能夠向僅支持JW模型的BLE設(shè)備提供抗MITM攻擊的能力.

6 方案評(píng)價(jià)

6.1 安全性分析

表2呈現(xiàn)了針對(duì)方案I和方案II安全性分析的結(jié)果.

表2 安全分析

6.1.1 抵抗level 1敵手

Level 1敵手攻擊時(shí)存在兩種攻擊場(chǎng)景.

在第一種攻擊場(chǎng)景中,BLE設(shè)備已經(jīng)相互連接,即BLE設(shè)備已經(jīng)完成了設(shè)備配對(duì)的過程.因?yàn)閘evel 1敵手僅能夠被動(dòng)地竊聽,或者重放竊聽到的消息,所以level 1敵手不能夠?qū)σ呀?jīng)配對(duì)的BLE設(shè)備實(shí)施MITM攻擊.換句話說,在這種場(chǎng)景中,無論是原SSP方案,還是方案I或者方案II都可以提供針對(duì)level 1敵手的抗MITM攻擊的能力.

在第二種攻擊場(chǎng)景中,BLE設(shè)備從未遇見過彼此,也就是說,BLE設(shè)備將在level 1敵手在場(chǎng)的情況下進(jìn)行設(shè)備配對(duì).因此,在這種情況下,level 1敵手可以通過竊聽來記錄下所有的配對(duì)消息,并在需要時(shí)進(jìn)行重放攻擊.當(dāng)使用原SSP方案時(shí),level 1敵手先竊聽下BLE設(shè)備的配對(duì)消息,并在恰當(dāng)?shù)臅r(shí)候?qū)⒏`聽到的消息進(jìn)行重放攻擊,以強(qiáng)迫受害的BLE設(shè)備使用JW模型進(jìn)行配對(duì).因此,在這個(gè)場(chǎng)景中,原SSP方案無法提供抗MITM攻擊的能力.由于有TTP的協(xié)助,所以方案I與方案II都可以避免錯(cuò)誤的關(guān)聯(lián)模型被使用.在level 1敵手出現(xiàn)的情況下,方案I可以為支持PE模型或者OOB模型的BLE設(shè)備提供MITM攻擊防護(hù).而方案II可以提高JW模型的安全性.在方案II中,TK被設(shè)置為隨機(jī)數(shù).因此,在level 1敵手出現(xiàn)的情況下,方案II可以為僅支持JW模型的BLE設(shè)備的提供抗MITM攻擊的能力.

6.1.2 抵抗level 2敵手

Level 2敵手擁有主動(dòng)阻斷受害BLE設(shè)備之間的信息交換的能力.即使BLE設(shè)備已經(jīng)完成了設(shè)備配對(duì),level 2敵手仍然可以通過阻斷現(xiàn)有連接的方式來誘使受害用戶刪除設(shè)備中存儲(chǔ)的密鑰并重新進(jìn)行設(shè)備的配對(duì).因此,當(dāng)使用原SSP方案進(jìn)行設(shè)備配對(duì)時(shí),level 2敵手可以對(duì)BLE設(shè)備實(shí)施MITM攻擊.由于方案I和方案II中使用了TTP來保證設(shè)備I/O能力信息的正確性,即使level 2敵手擁有阻斷的能力,他也無法強(qiáng)迫受害設(shè)備使用錯(cuò)誤的關(guān)聯(lián)模型.所以,在level 2敵手出現(xiàn)的情況下,方案I能夠?yàn)橹С諴E模型或者OOB模型的BLE設(shè)備提供抗MITM攻擊能力.因?yàn)榉桨窱I中的TK被設(shè)置為隨機(jī)數(shù),所以即使面對(duì)level 2敵手時(shí),方案II也可以為僅支持JW模型的BLE設(shè)備提供MITM攻擊防護(hù).

6.1.3 抵抗level 3敵手

因?yàn)閘evel 3敵手擁有l(wèi)evel 1敵手和level 2敵手的能力,所以原SSP方案在面對(duì)level 3時(shí)已經(jīng)無法在BLE設(shè)備配對(duì)過程中提供MITM攻擊防護(hù).Level 3敵手可以在需要時(shí)向合法的BLE設(shè)備發(fā)起詢問,并記錄下合法BLE設(shè)備的回復(fù)信息.例如,level 3敵手可以通過詢問slave設(shè)備獲得多個(gè)extid和哈希序列,或者通過詢問master設(shè)備獲得多個(gè)驗(yàn)證消息.但是,在方案I和方案II中,隨機(jī)數(shù)(Rm和Rs)被引入extid、哈希序列和驗(yàn)證消息的計(jì)算過程中.所以,當(dāng)使用方案I和方案II時(shí),重放詢問得到的信息無法使level 3敵手獲得任何好處.在面對(duì)level 3敵手時(shí),方案I能夠?yàn)橹С諴E模型或者OOB模型的BLE設(shè)備提供MITM攻擊防護(hù).而當(dāng)BLE設(shè)備僅支持JW模型時(shí),方案II可以被用來防止MITM攻擊.

6.2 性能分析

本章節(jié)將在所提出的方案與原SSP方案之間進(jìn)行性能的對(duì)比分析,并且本章節(jié)還對(duì)如何確定方案II中的隨機(jī)數(shù)R的比特長(zhǎng)度、m的取值及n的取值進(jìn)行說明.

6.2.1 負(fù)載對(duì)比

表3給出了不同方案之間的負(fù)載量對(duì)比.因?yàn)楸疚乃岢龇桨傅母倪M(jìn)步驟集中于SSP配對(duì)過程的階段1中,所以本章節(jié)主要對(duì)階段1中的負(fù)載進(jìn)行對(duì)比.具體來說,主要對(duì)比不同方案的計(jì)算量負(fù)載、存儲(chǔ)負(fù)載以及通信量負(fù)載.

表3 不同方案的負(fù)載對(duì)比(階段1)

與原SSP方案相比,方案I所需的額外負(fù)載很小.正如表3所示,與原SSP方案相比,BLE設(shè)備僅僅需要多進(jìn)行3次哈希計(jì)算.從數(shù)據(jù)存儲(chǔ)量的角度來對(duì)比,方案I中的每個(gè)BLE設(shè)備僅需要多存儲(chǔ)1個(gè)內(nèi)部ID.從數(shù)據(jù)通信量的角度來對(duì)比,master設(shè)備和slave設(shè)備之間需要多傳輸4個(gè)哈希值.因此,無論是對(duì)于master設(shè)備來說還是對(duì)于slave設(shè)備來說,方案I都足夠的輕量.

相比之下,由于使用了哈希序列,方案II在計(jì)算量負(fù)載、數(shù)據(jù)存儲(chǔ)負(fù)載和通信量負(fù)載上都更大一些.但是,方案II對(duì)于slave設(shè)備來說依然足夠輕量.因?yàn)槲挥谠贫似脚_(tái)的TTP擁有大量的資源,而MCC環(huán)境中的master設(shè)備通常比slave設(shè)備的能力更強(qiáng),所以在方案II中TTP和master設(shè)備承擔(dān)了更多的計(jì)算任務(wù).如表3所示,與原SSP方案相比,slave設(shè)備僅需要多進(jìn)行(n+3)次哈希計(jì)算.Slave設(shè)備仍然可以保持一個(gè)瘦客戶端.在下一章節(jié),作者建議m的取值為4、n的取值為5,以使得JW模型能夠擁有與PE模型相同的安全等級(jí).

6.2.2 隨機(jī)數(shù)R的長(zhǎng)度取值

與原SSP方案相比,方案II中的額外負(fù)載主要來自哈希序列的計(jì)算.而且,負(fù)載量的大小與TK的比特長(zhǎng)度,即與隨機(jī)數(shù)R的比特長(zhǎng)度,密切相關(guān).隨機(jī)數(shù)R的比特長(zhǎng)度為m×n.如表3所示,與原SSP方案相比,slave設(shè)備需要進(jìn)行(n+3)次哈希計(jì)算,與此同時(shí),需要多傳輸(2×(lr+lh)+lf×n)個(gè)哈希值.正如5.2節(jié)中所提到的,方案II的一個(gè)關(guān)鍵問題就是能夠在安全性(即TK的比特長(zhǎng)度,隨機(jī)數(shù)R的比特長(zhǎng)度)和可用性(即所需的計(jì)算量與通信量負(fù)載)之間取得平衡.

7 結(jié)束語

本文所提出的方案能夠在面對(duì)多級(jí)能力敵手的情況下,向BLE設(shè)備提供抗MITM攻擊的能力.但是,額外的負(fù)載是不可避免的.本文的下一步工作便是研究如何進(jìn)一步降低計(jì)算量和通信量負(fù)載.

[1]MCC Forum.The Definition of MCC[EB/OL].http://www.mobilecloudcomputingforum.com/,2011-08-16/2014-12-25.

[2]Padgette J,Scarfone K,Chen L.National Institute of Standards and Technology (NIST) Special Publications 800-121:Guide to Bluetooth Security[EB/OL].http://csrc.nist.gov/publications/nistpubs/800-121-rev1/sp800-121-rev1.pdf,2012-06-12/2014-03-29.

[3]Kaur S.How to secure our bluetooth insecure world![J].IETE Technical Review,2013,30(2):95-101.

[4]Hattaja K,Toivanen P.Two practical man-in-the-middle attacks on bluetooth secure simple pairing and countermeasures[J].IEEE Transactions on Wireless Communications,2010,9(1):384-392.

[5]Haataja K,Hypp?nen K.Man-in-the-middle attacks on bluetooth:a comparative analysis,a novel attack,and countermeasures[A].Proceedings of the 3rd International Symposium on Communications,Control,and Signal Processing[C].Piscataway,NJ,United States:IEEE Computer Society,2008.1096-1102.

[6]Sharmila D,Neelaveni R,Kiruba K.Bluetooth man-in-the-middle attack based on secure simple pairing using out of band association model[A].Proceedings of the 2009 International Conference on Control Automation,Communication and Energy Conservation[C].Piscataway,NJ,United States:IEEE Computer Society,2009.1-6.

[7]Ueeten O,Serinken N.Wireless security through rf fingerprinting[J].Canadian Journal of Electrical and Computer Engineering,2007,32(1):27-33.

[8]Pasanen S,Haataja K,Pivinen N,et al.New efficient rf fingerprint-based security solution for bluetooth secure simple pairing[A].Proceedings of the 43rd Annual Hawaii International Conference on System Sciences[C].Piscataway,NJ,United States:IEEE Computer Society,2010.2819-2826.

[9]耿君峰,郁濱.基于藍(lán)牙設(shè)備地址的分組凈荷簽密方案設(shè)計(jì)[J].計(jì)算機(jī)工程與設(shè)計(jì),2015,36(1):103-107.

[10]Haataja K.New efficient intrusion detection and prevention system for bluetooth networks[A].Proceedings of the 1st International Conference on MOBILe Wireless MiddleWARE,Operating Systems,and Applications[C].Brussels,Belgium:ICST,2008.Article No.16.

[11]Dunning J P.Taming the blue beast:a survey of bluetooth based threats[J].IEEE Security and Privacy,2010,8(2):20-27.

[12]Sandhya S,Devi K A S.Analysis of bluetooth threats and v4.0 security features[A].Proceedings of the 2012 International Conference on Computing,Communication and Applications[C].Piscataway,NJ,United States:IEEE Computer Society,2012.1-4.

[13]Hypponen K,Haataja K M J."Ni?o" man-in-the-middle attack on bluetooth secure simple pairing[A].Proceedings of the 3rd IEEE/IFIP International Conference in Central Asia on Internet[C].Piscataway,NJ,United States:IEEE Computer Society,2007.1-5.

[14]Haataja K,Toivanen P.Practical man-in-the-middle attacks against bluetooth secure simple pairing[A].Proceedings of the 2008 International Conference on Wireless Communications,Networking and Mobile Computing[C].Piscataway,NJ,United States:IEEE Computer Society,2008.1-5.

[15]Mutchukota T R,Panigrahy S K,Jena S K.Man-in-the-middle attack and its countermeasure in bluetooth secure simple pairing[A].Proceedings of the 5th International Conference on Information Processing[C].Heidelberg,Germany:Springer Verlag,2011.367-376.

[16]張衛(wèi)明,李世取.組合生成器的多線性相關(guān)攻擊[J].電子學(xué)報(bào),2005,33(3):427-432.

ZHANG Wei-ming,LI Shi-qu,Multi-linear correlation attack on combiners[J].Acta Electronica Sinica,2005,33(3):427-432.(in Chinese)

[17]Marquess K,Park W,Jones L,et al.Bluetooth Specification Version 4.0[EB/OL].https://www.bluetooth.org/docman/handlers/downloaddoc.ashx?doc-id=229737,2010-06-30/2014-10-06.

[18]Marquess K,Park W,Jones L,et al.Bluetooth Specification Version 4.1[EB/OL].https://www.bluetooth.org/DocMan/handlers/DownloadDoc.ashx?doc-id=282159, 2013-12-03/2014-12-20.

陳 凱 男,1985年生于天津.中國(guó)科學(xué)院信息工程研究所博士生.研究方向?yàn)榫W(wǎng)絡(luò)與系統(tǒng)安全、身份認(rèn)證、工業(yè)控制系統(tǒng)安全.

E-mail:chenk@iie.ac.cn

許海銘 男,國(guó)家能源局安全司處長(zhǎng),華北電力電力大學(xué)電氣與電子工程學(xué)院博士生,主要從事電力系統(tǒng)安全研究.

Hash-Based Secure Simple Pairing for Preventing Man-in-the-Middle Attacks in Mobile Cloud Computing

CHEN Kai1,2,3,XU Hai-ming4,5,XU Zhen1,2,LIN Dong-dai1,2, LIU Yong6

(1.StateKeyLaboratoryofInformationSecurity,Beijing100093,China;2.InstituteofInformationEngineering,ChineseAcademyofSciences,Beijing100093,China;3.UniversityofChineseAcademyofScience,Beijing100049,China;4.NationalEnergyAdministration,Beijing100824,China;5.SchoolofElectricalandElectronicEngineering,NorthChinaElectricPowerUniversity,Beijing102206,China;6.StateGridShandongElectricPowerCompany,DispatchingControlCenter,Jinan,Shandong250000,China)

Bluetooth low energy (BLE) is designed for the devices with computational and power limitations.But it has been confirmed that Secure Simple Pairing (SSP) is vulnerable to the MITM attack.We identify the root causes of the problem:the pairing messages being tampered,and the vulnerability of the JW model.In this paper,we propose two hash-based SSP schemes for the devices in Mobile Cloud Computing (MCC).The proposed schemes enhance the SSP security with the help of MCC.Scheme I is applied into the devices which support the PE or OOB model.It uses the hash function to ensure the authenticity and integrity of the pairing messages.Scheme II is suitable for the devices which only support the JW model.It improves the security of the JW model through using the hash array.At the end of this paper,we examine the performance for the proposed schemes,and perform the security analysis to show that they can provide the MITM protection against the adversaries with different levels of power.

bluetooth low energy;secure simple pairing;man-in-the-middle attacks;mobile cloud computing

2015-01-15;

2015-03-17;責(zé)任編輯:藍(lán)紅杰

中國(guó)科學(xué)院先導(dǎo)專項(xiàng)子課題(No.XDA06010701);信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室科研儀器設(shè)備專項(xiàng)(No.Y4D0031302)

TP309.1

A

0372-2112 (2016)08-1806-08