李文婷 , 汪 定 , 王 平,3

1(北京大學(xué) 軟件與微電子學(xué)院,北京 102600)

2(北京大學(xué) 信息科學(xué)技術(shù)學(xué)院,北京 100871)

3(軟件工程國家工程研究中心(北京大學(xué)),北京 100871)

1 引 言

無線傳感器網(wǎng)絡(luò)(wireless sensor network,簡稱WSN)歷經(jīng)智能傳感器、無線智能傳感器、無線傳感器這3個(gè)階段的發(fā)展,無線通信和信息交互能力日益增強(qiáng),逐漸實(shí)現(xiàn)物與物的互聯(lián),感知觸角深入世界各個(gè)角落[1?3].目前,無線傳感器網(wǎng)絡(luò)不僅是學(xué)術(shù)界關(guān)注的熱點(diǎn),在產(chǎn)業(yè)界的應(yīng)用也遍布各個(gè)領(lǐng)域,如智慧城市[4]、環(huán)境監(jiān)測(cè)[5]、醫(yī)療監(jiān)測(cè)[6]等.這些應(yīng)用往往要求較高的實(shí)時(shí)性,允許用戶實(shí)時(shí)訪問傳感器節(jié)點(diǎn).

此類應(yīng)用環(huán)境通常包含3 類參與者:1 個(gè)或多個(gè)網(wǎng)關(guān)節(jié)點(diǎn)(GWN,或稱作基站)、分布式節(jié)點(diǎn)及外部用戶.通常,外部用戶要訪問傳感器節(jié)點(diǎn)的信息有兩種方式:(1) 用戶向GWN 發(fā)送查詢請(qǐng)求,GWN 查詢相應(yīng)節(jié)點(diǎn),并回傳用戶請(qǐng)求的信息;(2) 用戶直接登錄傳感器節(jié)點(diǎn),與傳感器節(jié)點(diǎn)建立實(shí)時(shí)通信.前者的安全性依賴WSN 的安全策略,但時(shí)延長,僅適于信息輪詢或?qū)崟r(shí)性要求不高的應(yīng)用場景;后者具備較高的實(shí)時(shí)性,但如何確保用戶的合法性、防止傳感器節(jié)點(diǎn)數(shù)據(jù)泄漏變得至關(guān)重要.

1.1 相關(guān)工作

用戶身份認(rèn)證是保證WSN 環(huán)境安全和用戶隱私的重要安全機(jī)制[7,8].相比于傳統(tǒng)網(wǎng)絡(luò)環(huán)境,由于無線傳感器網(wǎng)絡(luò)通常部署在無人監(jiān)守的環(huán)境,但執(zhí)行安全攸關(guān)的任務(wù)(如海洋大氣監(jiān)測(cè)[9]、精準(zhǔn)農(nóng)業(yè)溫度監(jiān)測(cè)[10]、健康狀況監(jiān)測(cè)[11]等),設(shè)計(jì)適于無線傳感器網(wǎng)絡(luò)的用戶身份認(rèn)證協(xié)議面臨更嚴(yán)峻的挑戰(zhàn).

2006 年,基于Lamport[12]的口令認(rèn)證協(xié)議和Das 等人[13]提出的“動(dòng)態(tài)ID”技術(shù),Wong 等人[14]首次提出了適于無線傳感器網(wǎng)絡(luò)的單因子(因子,亦稱為因素)口令身份認(rèn)證協(xié)議.該協(xié)議僅基于輕量級(jí)密碼算法,允許合法用戶直接訪問傳感器節(jié)點(diǎn)的數(shù)據(jù).然而,在該協(xié)議提出不久,Tseng 等人[15]和Das 等人[16]分別指出Wong 等人的協(xié)議[14]不能抵抗重放攻擊、竊取驗(yàn)證項(xiàng)攻擊、仿冒攻擊和節(jié)點(diǎn)捕獲攻擊,并進(jìn)一步提出了改進(jìn)協(xié)議[17].其中,Das等人[16]提出的新協(xié)議引入“智能卡”因子,開啟了無線傳感器網(wǎng)絡(luò)環(huán)境下雙因子認(rèn)證的新篇章.

Das 等人的工作[14]得到了眾多學(xué)者的跟蹤(如圖1 所示,圖1 基于文獻(xiàn)[18]中的圖2,下劃線表示協(xié)議易遭受內(nèi)部攻擊),一系列新的適于無線傳感器網(wǎng)絡(luò)環(huán)境的雙因子認(rèn)證協(xié)議被提出來,如文獻(xiàn)[19,20].

然而不久之后,Khan 等人[21]、Chen 等人[22]和Yeh 等人[23]指出Das 等人的協(xié)議[14]存在一系列安全威脅,如易遭受仿冒攻擊、離線口令猜測(cè)攻擊、內(nèi)部攻擊和節(jié)點(diǎn)捕獲攻擊,且不能實(shí)現(xiàn)用戶匿名性和前向安全性.隨后,Khan 等人[21]、Chen 等人[22]和Yeh 等人[23]分別在Das 等人協(xié)議[14]的基礎(chǔ)上提出改進(jìn)協(xié)議.2012 年,鑒于傳感器節(jié)點(diǎn)計(jì)算能力和存儲(chǔ)容量有限,Kumar 等人[24]提出一個(gè)高效的適于遠(yuǎn)程醫(yī)療服務(wù)的無線傳感器網(wǎng)絡(luò)認(rèn)證協(xié)議.2013 年,He 等人[25]指出Kumar 等人[24]的協(xié)議不能實(shí)現(xiàn)用戶匿名性,且對(duì)離線口令猜測(cè)攻擊和內(nèi)部攻擊是脆弱的,并進(jìn)一步提出一個(gè)改進(jìn)協(xié)議.

近期,Mir 等人[26]指出He 等人[25]的協(xié)議缺乏口令本地驗(yàn)證,且易遭受離線口令猜測(cè)攻擊、用戶仿冒攻擊和違反匿名性攻擊.與此同時(shí),Fang 等人[27]指出,早期的WSN 環(huán)境下的安全協(xié)議均存在或多或少的問題,以Althobaiti 等人的協(xié)議[28]為例,分析協(xié)議中常見的節(jié)點(diǎn)捕獲攻擊、GWN 仿冒攻擊、中間人攻擊和內(nèi)部攻擊,并給出改進(jìn)的適于無線傳感器網(wǎng)絡(luò)環(huán)境下的遠(yuǎn)程用戶認(rèn)證協(xié)議.

1.2 研究動(dòng)機(jī)

盡管用戶認(rèn)證協(xié)議已經(jīng)過30 多年的發(fā)展,設(shè)計(jì)安全高效的用戶身份認(rèn)證協(xié)議仍面臨巨大挑戰(zhàn)[3,26].眾多安全威脅(如智能卡丟失攻擊、仿冒攻擊等)和設(shè)計(jì)難題(如安全性-可用性平衡等)被學(xué)者們揭示出來,但關(guān)注內(nèi)部人員攻擊的研究卻很少.為實(shí)現(xiàn)實(shí)時(shí)訪問,常見的無線傳感器網(wǎng)絡(luò)(WSN)應(yīng)用(如智慧交通、智慧醫(yī)療等)允許用戶一次登錄多次訪問,在此類應(yīng)用環(huán)境中,避免內(nèi)部人員威脅尤為重要.下文分析中,我們將網(wǎng)關(guān)節(jié)點(diǎn)GWN 視作傳統(tǒng)C/S 架構(gòu)下的服務(wù)器端.

在早期的單因子口令認(rèn)證協(xié)議中,為實(shí)現(xiàn)用戶認(rèn)證,服務(wù)器端勢(shì)必要存儲(chǔ)口令相關(guān)的驗(yàn)證表項(xiàng),則內(nèi)部攻擊不可避免.1991 年,Chang 等人[29]首次提出了基于智能卡的口令認(rèn)證協(xié)議,用戶的智能卡中需存儲(chǔ)私密認(rèn)證參數(shù).2004 年以前,協(xié)議均基于智能卡抗竄擾假設(shè),即智能卡內(nèi)秘密參數(shù)不能被攻擊者獲取,因此,大多數(shù)協(xié)議(如文獻(xiàn)[29,30])在智能卡中直接存儲(chǔ)口令驗(yàn)證項(xiàng).隨著攻擊技術(shù)的進(jìn)展,智能卡內(nèi)的參數(shù)可以被分析出來.2004 年,Ku等人[31]首次提出了基于非抗竄擾假設(shè)的“口令+智能卡”雙因子認(rèn)證協(xié)議.此后,協(xié)議設(shè)計(jì)者逐漸加強(qiáng)智能卡中存儲(chǔ)數(shù)據(jù)的安全性和認(rèn)證過程中服務(wù)器端存儲(chǔ)數(shù)據(jù)的安全性,同時(shí)避免用戶直接將口令明文發(fā)送給服務(wù)器,但卻假設(shè)注冊(cè)階段的通信完全安全.而現(xiàn)實(shí)中往往存在內(nèi)部攻擊威脅,注冊(cè)階段,服務(wù)器并不完全可信,內(nèi)部人員可通過竊取注冊(cè)階段的消息和用戶智能卡中的數(shù)據(jù)猜測(cè)出用戶口令.但這一類型的內(nèi)部攻擊被長期忽略,即使有協(xié)議設(shè)計(jì)者意識(shí)到此類內(nèi)部攻擊的威脅,也并未給出合理的解決方案.

1.3 本文貢獻(xiàn)

本文深入分析了Mir 等人及Fang 等人的協(xié)議,發(fā)現(xiàn)這兩個(gè)無線傳感器網(wǎng)絡(luò)環(huán)境下的身份認(rèn)證協(xié)議都存在內(nèi)部攻擊威脅和前向安全性問題,并且對(duì)智能卡丟失攻擊是脆弱的.

結(jié)合現(xiàn)實(shí)安全情況,提出了新的增強(qiáng)攻擊者模型,指出了一種被長期忽略的內(nèi)部攻擊場景.本文以無線傳感器網(wǎng)絡(luò)為例對(duì)此類攻擊進(jìn)行說明,傳統(tǒng)的C/S 網(wǎng)絡(luò)、移動(dòng)互聯(lián)網(wǎng)等均存在此類攻擊.需要指出的是:此類攻擊場景要求攻擊者首先在注冊(cè)階段監(jiān)聽用戶和服務(wù)器的注冊(cè)信息,當(dāng)用戶注冊(cè)后,攻擊者利用竊取的用戶智能卡分析出智能卡內(nèi)參數(shù)信息實(shí)施攻擊;以Mir 等人和Fang 等人的協(xié)議為例,分析兩種失效的解決方案.

基于我們對(duì)300 余個(gè)協(xié)議的分析經(jīng)驗(yàn),本文對(duì)文獻(xiàn)中已有的解決方案進(jìn)行分類總結(jié),指出現(xiàn)有解決方案的不足,說明在用戶注冊(cè)階段采用“加鹽Hash”技術(shù)傳輸用戶口令并且在智能卡中以某種方式保存用戶選擇的隨機(jī)數(shù)的協(xié)議,無法抵抗內(nèi)部攻擊.最后,本文提出合理的解決方案抵抗內(nèi)部攻擊.

1.4 組織架構(gòu)

第2 節(jié)描述本文采用的攻擊者模型,指出一種被長期忽略的內(nèi)部攻擊場景.第3 節(jié)回顧Mir 等人提出的無線傳感器網(wǎng)絡(luò)環(huán)境下的高效身份認(rèn)證協(xié)議.第4 節(jié)分析Mir 等人協(xié)議的安全性.第5 節(jié)描述Fang 等人提出的基于生物特征的三因子用戶認(rèn)證協(xié)議.第6 節(jié)指出該協(xié)議存在的安全問題.第7 節(jié)對(duì)現(xiàn)有文獻(xiàn)中解決內(nèi)部攻擊的策略進(jìn)行總結(jié),并指出現(xiàn)有方案存在的問題,提出新的解決方案.最后,第9 節(jié)總結(jié)全文.

2 增強(qiáng)的攻擊者模型及內(nèi)部攻擊場景

設(shè)計(jì)安全高效的遠(yuǎn)程用戶口令認(rèn)證協(xié)議離不開所基于的攻擊者模型.1983 年,Dolev-Yao[32]提出了一個(gè)經(jīng)典的敵手威脅模型,即攻擊者可以任意偵聽、截獲、插入、刪除或阻斷流經(jīng)公開信道中的消息.該模型細(xì)致地刻畫了攻擊者的行為能力,被廣泛應(yīng)用于安全協(xié)議的設(shè)計(jì)和分析中.然而,隨著近幾年邊信道攻擊技術(shù)的發(fā)展(如時(shí)間攻擊、功耗攻擊和軟件漏洞攻擊)[33,34],智能卡內(nèi)秘密參數(shù)信息可以被攻擊者分析出來,攻擊能力顯著增強(qiáng),早期的模型已不足以刻畫攻擊者的現(xiàn)實(shí)能力.

2016 年,Wang 等人[35]提出一個(gè)嚴(yán)格(但實(shí)際)的多因素協(xié)議攻擊者模型,如表1 中的C-1～C-4 所示.為評(píng)估系統(tǒng)終極失效時(shí)的強(qiáng)健性,該模型假設(shè)攻擊者可以獲知服務(wù)器長期私鑰.該模型充分考慮了攻擊者的現(xiàn)實(shí)能力,是迄今最嚴(yán)苛的攻擊者模型之一.例如,用戶口令服從Zipf 分布,且身份標(biāo)識(shí)空間和口令空間有限,約為|Did|≤|Dpw|≤106[36];攻擊者可能通過多種途徑獲得未及時(shí)擦除的,或協(xié)議公開的過期會(huì)話密鑰等.Wang 等人[35]的模型全面揭示了敵手的攻擊能力,其中,C-1 用以描述重放攻擊、中間人攻擊、平行會(huì)話攻擊、異步攻擊等,并輔助完成其他各類攻擊;C-2 和C-3 刻畫了口令猜測(cè)攻擊和智能卡丟失攻擊;C-4 用以分析前向安全性.該模型幾乎涵蓋所有攻擊方式,在文獻(xiàn)[7,17,18,37]中被廣泛應(yīng)用.

Table 1 Capabilites of the adversary表1 攻擊者擁有的能力

然而現(xiàn)實(shí)生活中,服務(wù)器不應(yīng)被視作可信實(shí)體.近年來,因配置錯(cuò)誤、內(nèi)存泄漏、惡意程序等問題,服務(wù)器數(shù)據(jù)泄漏事件及未授權(quán)端口被監(jiān)聽事件層出不窮.2018 年,安全研究人員Giovanni Collazo 通過Shodan 搜索引擎發(fā)現(xiàn)了2 284 個(gè)暴露在互聯(lián)網(wǎng)上的etcd 服務(wù)器[38].2016 年,韓國著名購物網(wǎng)站Interpark 的服務(wù)器遭黑客攻擊,1 000 萬以上客戶的個(gè)人信息被泄漏[39].文獻(xiàn)[40?42]也明確假設(shè)服務(wù)器中存儲(chǔ)的關(guān)鍵數(shù)據(jù)已經(jīng)泄漏.在上述安全事件中,攻擊者已經(jīng)腐化服務(wù)器,該能力被Wang 等人[35]提出的攻擊者模型所忽略.因此,為刻畫此類威脅,我們?cè)黾覥-5 攻擊者能力:假設(shè)A可以腐化服務(wù)器S,偵聽、竊取S在任意操作(注冊(cè)、登錄、認(rèn)證階段)中接收的消息是現(xiàn)實(shí)的.

為防止服務(wù)器獲取口令明文,多數(shù)用戶認(rèn)證協(xié)議采用“加鹽Hash”技術(shù)[43]輔助完成用戶注冊(cè)過程,即在注冊(cè)階段,用戶向服務(wù)器提交使用隨機(jī)數(shù)加鹽的隨機(jī)口令.隨后,用戶將該隨機(jī)數(shù)寫入智能卡中.在Dolev-Yao 模型和Wang 等人模型的假設(shè)下,由于服務(wù)器在注冊(cè)階段完全可信,此種注冊(cè)方式是安全的.但在C-5 假設(shè)下,可能引起潛在的內(nèi)部人員攻擊.我們以2017 年Farash 等人[44]在Adhoc Networks 上提出的協(xié)議為例進(jìn)行說明.該協(xié)議方便高效、簡單易用,能抵御各種潛在攻擊,如重放攻擊、平行會(huì)話攻擊、仿冒攻擊等.我們選用Farash 等人的協(xié)議主要因?yàn)樵搮f(xié)議的用戶請(qǐng)求注冊(cè)過程具備典型性和代表性.

在用戶注冊(cè)階段,用戶Ui選取身份標(biāo)識(shí)IDi,口令PWi和隨機(jī)數(shù)b,并計(jì)算RPWi=h(PWi⊕b).用戶將{IDi,RPWi}發(fā)送給服務(wù)器,服務(wù)器完成基本的安全檢查,比如IDi是否是已經(jīng)注冊(cè)過的用戶等.然后,服務(wù)器計(jì)算特定安全參數(shù),將包含安全參數(shù)的智能卡發(fā)送給用戶.最終,Ui將b寫入智能卡.根據(jù)攻擊者能力C-5,A偵聽通信信道,并獲得用戶隨機(jī)口令RPWi,同時(shí)根據(jù)C-3,攻擊者A可能無意中(拾取/竊取)獲得用戶Ui的智能卡,則A可以借助邊信道攻擊技術(shù)[33,34]提取智能卡內(nèi)存儲(chǔ)的隨機(jī)數(shù)b.攻擊者A可實(shí)施離線口令猜測(cè),具體流程如下:

1) A從用戶口令空間Dpw猜測(cè)可能的口令

由于用戶口令空間|Dpw|十分有限(|Dpw|≤106[36]),上述攻擊可以在多項(xiàng)式時(shí)間內(nèi)完成.近期,Github[45]和Twitter[46]發(fā)現(xiàn):由于口令重置功能中的系統(tǒng)漏洞,導(dǎo)致用戶口令以明文格式記錄在公司的內(nèi)部日志中,少量特權(quán)內(nèi)部員工有權(quán)訪問記錄用戶口令的日志文件.Github 和Twitter 公司均采用“加鹽Hash”技術(shù)存儲(chǔ)和傳輸用戶口令.這說明:即使在資本雄厚、以技術(shù)見長的組織中,針對(duì)認(rèn)證系統(tǒng)的內(nèi)部人員攻擊也有潛在可能,需要縱深防御.但本文提到的內(nèi)部攻擊并未引起重視,鮮有文獻(xiàn)明確描述此類攻擊過程.需要指出的是,此類攻擊場景需要攻擊者首先在注冊(cè)階段監(jiān)聽到用戶和服務(wù)器的交互信息;當(dāng)用戶注冊(cè)后,竊取并分析出用戶智能卡內(nèi)參數(shù)信息.因此,這一攻擊場景具有一定的局限性.不過,本攻擊場景具有普適性,除無線傳感器網(wǎng)絡(luò),也適于傳統(tǒng)的C/S 架構(gòu)、多服務(wù)器架構(gòu)、移動(dòng)互聯(lián)網(wǎng)等.接下來,我們以Mir 等人的方案[26]和Fang 等人的方案[27]為例,分析被長期忽略的內(nèi)部攻擊問題以及協(xié)議設(shè)計(jì)中的常見安全問題.

3 Mir 等人的方案回顧

Mir 等人的方案[26]分為5 個(gè)階段:用戶注冊(cè)、傳感器節(jié)點(diǎn)注冊(cè)、登錄、認(rèn)證和口令修改.系統(tǒng)初始化階段,網(wǎng)關(guān)節(jié)點(diǎn)GWN 生成并安全存儲(chǔ)主密鑰d.方案中所使用的符號(hào)縮寫及其含義見表2.

Table 2 Notations and abbreviations表2 符號(hào)及縮寫

3.1 用戶注冊(cè)階段

外部用戶若要登錄系統(tǒng),則首先執(zhí)行如下過程.

1) 用戶Ui選取身份標(biāo)識(shí)IDi、口令PWi,生成隨機(jī)數(shù)ri,計(jì)算RPWi=h(PWi||ri).

2)Ui?GWN:{PWi,IDi}.

3) GWN 隨機(jī)生成安全參數(shù)b,計(jì)算Xi=h(IDi||d),TCi=Xi⊕RPWi,Qi=h(RPWi||Xi||IDi).GWN 在數(shù)據(jù)庫中存儲(chǔ){IDi⊕h(d||b)},同時(shí),將{TCi,h(?),h(Qi)}寫入智能卡.其中,d為系統(tǒng)主密鑰.

4) GWN?Ui:智能卡.

5)Ui接收到智能卡,計(jì)算F=ri⊕h(IDi||PWi),將F寫入智能卡.則此時(shí),智能卡中包含參數(shù){TCi,h(?),h(Qi),F}.

3.2 傳感器注冊(cè)階段

首先,任意傳感器節(jié)點(diǎn)Sj選擇SIDj和隨機(jī)數(shù)y,計(jì)算Vj=h(SIDj||y),將{Vj,SIDj}通過安全信道發(fā)送給GWN,完成以下注冊(cè)過程.

1) GWN 計(jì)算TCj=h(d||SIDj)⊕Vj,將{SIDj,Vj⊕h(SIDj||b)}存入數(shù)據(jù)庫.

2) GWN?Sj:{TCj}.

3)Sj接收到GWN 的返回信息后,計(jì)算G=TCj⊕Vj=h(d||SIDj),J=h(h(d||SIDj)||Vj),將J安全地寫入內(nèi)存中.

3.3 登錄階段

若用戶Ui要直接訪問傳感器節(jié)點(diǎn)的資源,需進(jìn)行如下操作.

1) 用戶Ui在讀卡器中插入智能卡,輸入IDi和PWi.智能卡計(jì)算ri=F⊕h(IDi||PWi),RPWi=h(IDi||PWi||ri),Xi=TCi⊕RPWi=h(IDi||d),,并驗(yàn)證與存儲(chǔ)的h(Qi)是否相等:如果不相等,則說明用戶輸入的IDi和PWi不正確,智能卡終止執(zhí)行.

2) 智能卡生成隨機(jī)數(shù)Ki,計(jì)算.其中,T1為當(dāng)前時(shí)間戳.

3)Ui→GWN:{M}.

3.4 認(rèn)證階段

此階段實(shí)現(xiàn)用戶、網(wǎng)關(guān)節(jié)點(diǎn)、傳感器節(jié)點(diǎn)的相互認(rèn)證,并建立會(huì)話密鑰.

1) GWN 收到來自用戶的登錄請(qǐng)求后,計(jì)算Xi=h(IDi||d),,驗(yàn)證(T2?T1)>ΔT是否成立(其中,T2表示當(dāng)前時(shí)間戳).

? 如果成立,則表明收到的消息{M}超出最大時(shí)間間隔,GWN 終止用戶的登錄請(qǐng)求;

2) GWN 計(jì)算J=h(h(d||SIDj)||Vj),Hj=h(Ki||SIDj||IDi||T3||T1),Aj=EJ(IDi||SIDj||Ki||T1||Hj).其中,T3表示當(dāng)前時(shí)間戳.

3) GWN→Sj:{Aj,T3}.

4)Sj接收到GWN 的信息后,首先驗(yàn)證(T4?T3)>ΔT是否在合理的時(shí)間間隔內(nèi):

? 如果成立,則終止協(xié)議;

? 反之,Sj用存儲(chǔ)的主密鑰J解密Aj=DJ(IDi||SIDj||Ki||T1||Hj),計(jì)算,驗(yàn)證是否相等:如果不相等,Sj終止協(xié)議;反之,Sj生成隨機(jī)數(shù)Kj,計(jì)算SK=h(Ki||Kj||IDi||SIDj||T1),

6)Ui收到Sj的返回消息后,首先檢查(T6?T5)>ΔT是否成立:

? 如果成立,則終止連接;

? 反之,Ui計(jì)算,并驗(yàn)證是否相等:如果不相等,Ui終止會(huì)話;反之,Ui認(rèn)證Sj和GWN,且Ui和Sj之間建立新的通信,協(xié)商會(huì)話密鑰SK=h(Ki||Kj||IDi||SIDj||T1).

4 Mir 等人的方案安全性分析

Mir 等人[26]發(fā)現(xiàn):文獻(xiàn)[25]中提出的無線傳感器網(wǎng)絡(luò)環(huán)境下的匿名用戶認(rèn)證方案不能實(shí)現(xiàn)前向安全性,且不能抵抗離線口令猜測(cè)攻擊和仿冒攻擊.因此,Mir 等人[26]給出了一個(gè)高效的適于WSN 環(huán)境的匿名雙因子協(xié)議,聲稱該方案彌補(bǔ)了文獻(xiàn)[25]的安全缺陷,且使用BAN 邏輯證明了改進(jìn)協(xié)議的正確性.但經(jīng)仔細(xì)分析,我們發(fā)現(xiàn)Mir 等人的方案[26]仍無法實(shí)現(xiàn)前向安全性這一理想屬性,且對(duì)內(nèi)部攻擊和智能卡丟失攻擊是脆弱的.

4.1 內(nèi)部攻擊

分析發(fā)現(xiàn),文獻(xiàn)[25]的方案無法抵抗內(nèi)部攻擊,但Mir 等人沒有意識(shí)到該安全缺陷.盡管用戶注冊(cè)階段略有改進(jìn),Mir 等人所提出的方案[26]仍繼承了這一缺陷.根據(jù)第2 節(jié)的攻擊者能力C-5,假設(shè)惡意的內(nèi)部特權(quán)用戶A偵聽并截獲用戶注冊(cè)階段發(fā)送給GWN 的消息{RPWi,IDi}.同時(shí),A可能以某種方式長期占有(竊取/拾取)用戶Ui的智能卡,并(借助專業(yè)機(jī)構(gòu))通過邊信道攻擊[33,34]分析出智能卡內(nèi)秘密參數(shù)信息{TCi,h(?),h(Qi),F},然后,A可通過以下方式離線猜測(cè)出用戶口令.

1) A從用戶口令空間Dpw猜測(cè)可能的口令

由于系統(tǒng)缺陷、代碼漏洞等,用戶提交的注冊(cè)請(qǐng)求可能泄漏給有權(quán)訪問系統(tǒng)日志的少數(shù)內(nèi)部員工,故上述假設(shè)是合理的.當(dāng)然,有些學(xué)者可能會(huì)建議采用更安全的信道執(zhí)行注冊(cè)階段,例如面對(duì)面注冊(cè).這對(duì)安全性要求較高的服務(wù)是合理的,例如政府機(jī)關(guān)、軍事機(jī)要組織等.但隨著云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展,普通大眾成為網(wǎng)絡(luò)服務(wù)的主要參與方,用戶要訪問的資源量明顯增多,實(shí)時(shí)性要求進(jìn)一步增強(qiáng).為實(shí)現(xiàn)多用戶遠(yuǎn)程實(shí)時(shí)訪問,大多數(shù)系統(tǒng)允許用戶遠(yuǎn)程注冊(cè),則上述內(nèi)部攻擊過程就不可避免.

此外,文獻(xiàn)[25]中構(gòu)造隨機(jī)口令的方式與第2 節(jié)描述的經(jīng)典方案相同,即RPWi=h(PWi||ri),且在智能卡中明文存儲(chǔ)隨機(jī)數(shù)ri.攻擊者對(duì)此方法發(fā)起攻擊的時(shí)間復(fù)雜度為O((Th+Txor)×|Dpw|),其中,Th為Hash 操作時(shí)間,Txor為異或操作時(shí)間,|Dpw|表示用戶口令空間.文獻(xiàn)[35,36]指出,實(shí)際用戶口令服從Zipf 分布,空間大小十分有限,約|Dpw|≤106,故此攻擊過程可在多項(xiàng)式時(shí)間內(nèi)完成.Mir 等人[26]似乎意識(shí)到文獻(xiàn)[25]的注冊(cè)過程并不安全,但未明確指出.新提出的方案略有改進(jìn),其中,隨機(jī)口令包含用戶身份ID,在智能卡中以IDi和PWi的Hash 值保護(hù)隨機(jī)數(shù),即存儲(chǔ)F=ri⊕h(IDi||PWi).但實(shí)際僅增加了一次Hash 操作的難度,攻擊的時(shí)間復(fù)雜度為O((2Th+Txor)×|Dpw|),并沒有實(shí)質(zhì)性地增加攻擊難度.除此之外,攻擊者利用截獲的RPWi和智能卡中提取的TCi,可直接計(jì)算出Xi,以此仿冒用戶登錄系統(tǒng).故Mir 等人的方案仍易遭受內(nèi)部攻擊.

4.2 智能卡丟失攻擊

在Mir 等人的方案[26]中,存在另一種獲取用戶口令的方法,即利用用戶智能卡內(nèi)存儲(chǔ)的安全參數(shù)進(jìn)行離線口令猜測(cè).統(tǒng)計(jì)數(shù)據(jù)顯示:近年來,智能卡丟失是帶動(dòng)智能卡銷售的關(guān)鍵因素之一[47].在日常生活中,用戶極易將智能卡遺落在讀卡器上.一旦攻擊者獲得用戶智能卡,就能通過(自行或求助專業(yè)機(jī)構(gòu))實(shí)施邊信道攻擊分析出智能卡內(nèi)秘密參數(shù)信息{TCi,h(?),h(Qi),F}.值得一提的是:Mir 等人[26]在攻擊文獻(xiàn)[25]的方案及分析新方案的安全性時(shí),明確假設(shè)“攻擊者可能竊取或找到用戶丟失的智能卡,并提取卡內(nèi)秘密參數(shù)”.故而,攻擊者A可通過以下方法離線猜測(cè)出用戶口令PWi.

1) A從用戶身份空間Did和口令空間Dpw猜測(cè)

上述口令猜測(cè)攻擊的時(shí)間復(fù)雜度為O((4Th+2Txor)×|Did|×|Dpw|),其中,Txor為異或操作時(shí)間.現(xiàn)實(shí)中,異或運(yùn)算的時(shí)間相對(duì)較短,可忽略不計(jì).文獻(xiàn)[39,48]皆指出,用戶身份ID 通常遵循特定格式,評(píng)估非隱私安全時(shí)可視作公開信息.另一方面,第4.1 節(jié)提出的內(nèi)部攻擊中,用戶ID 在注冊(cè)階段以明文傳輸,并保存在GWN 的驗(yàn)證表項(xiàng)里,可能由于管理員的疏忽或系統(tǒng)漏洞泄漏用戶身份ID.則上述攻擊的時(shí)間復(fù)雜度弱化為O((4Th+Txor)×|Dpw|),故攻擊者可通過丟失的智能卡在多項(xiàng)式時(shí)間內(nèi)猜測(cè)出用戶口令.

不難發(fā)現(xiàn),Mir 等人的協(xié)議存在內(nèi)部攻擊的本質(zhì)原因是在智能卡內(nèi)存儲(chǔ)安全參數(shù)h(Qi),以驗(yàn)證用戶輸入的口令,實(shí)現(xiàn)“口令本地自由更新”,但此參數(shù)同時(shí)為攻擊者提供了驗(yàn)證口令的預(yù)言機(jī)服務(wù).為解決上述安全性和可用性平衡問題,可采用文獻(xiàn)[35]中提出的“模糊驗(yàn)證因子”+“Honeywords”技術(shù),即將Qi的計(jì)算方式修改為Qi=h(RPWi||Xi||IDi) modn,且GWN 維護(hù)用戶嘗試登錄的Honeywords 列表.其中,n表示用戶身份和口令(ID,PW)池容量的整數(shù),一般滿足24≤n≤28.若用戶嘗試登錄次數(shù)達(dá)到閾值,則鎖定該賬號(hào).

4.3 前向安全性問題

通常情況下,無線傳感器網(wǎng)絡(luò)均部署在無人監(jiān)管的環(huán)境,且執(zhí)行高安全性的任務(wù),如戰(zhàn)場環(huán)境監(jiān)測(cè)、健康狀況檢測(cè)和交通監(jiān)管等[3,4].一方面,傳感器中存有敏感數(shù)據(jù),易引起攻擊者的注意;另一方面,相比于網(wǎng)關(guān)節(jié)點(diǎn)GWN,傳感器節(jié)點(diǎn)的安全保護(hù)措施明顯不足.因傳感器節(jié)點(diǎn)內(nèi)存容量和電池容量限制等因素,一般不配備防篡改硬件,這使得敵手更可能在物理上捕獲傳感器節(jié)點(diǎn).一旦攻擊者A捕獲傳感器節(jié)點(diǎn)Sj,則A可獲得Sj的長期私鑰J.同時(shí),根據(jù)第2 節(jié)的攻擊者能力C-1,A可偵聽、截獲任意合法用戶Ui,GWN 和Sj之間的通信消息,則A可利用截獲的通信消息和Sj的長期私鑰推導(dǎo)出先前的會(huì)話密鑰,具體過程如下.

1) A截獲GWN 發(fā)送給Sj的消息{Aj,T3}.

2) A使用Sj存儲(chǔ)的秘密參數(shù)J解密Aj=DJ(IDi||SIDj||Ki||T1||Hj),獲得IDi,SIDj,Ki,T1,Hj.

3) A截獲Sj回送給用戶的消息

5) A推導(dǎo)出會(huì)話密鑰SK=h(Ki||Kj||IDi||SIDj||T1).

可以看出:Ki,Kj,IDi,SIDj和T1均為截獲或推導(dǎo)出的正確數(shù)值,攻擊者可獲得合法的會(huì)話密鑰SK.除此之外,A能夠獲得訪問過該服務(wù)器的所有用戶的會(huì)話密鑰.事實(shí)上,Ma 等人在文獻(xiàn)[49]中證明了:為實(shí)現(xiàn)前向安全性,公鑰密碼技術(shù)不可或缺.此外,在服務(wù)器端至少進(jìn)行兩次模冪運(yùn)算或橢圓曲線點(diǎn)乘運(yùn)算[17].Mir 等人的方案[26]中未采用公鑰密碼技術(shù),本質(zhì)上無法實(shí)現(xiàn)前向安全性.故建議在Mir 等人的方案中引入Diffie-Hellman 密鑰交換技術(shù)、橢圓曲線技術(shù)[50]、Chaotic Maps 技術(shù)[51]等輕量級(jí)公鑰密碼技術(shù),以實(shí)現(xiàn)前向安全性.

5 Fang 等方案回顧

2018 年,Fang 等人[27]提出一個(gè)高效、實(shí)用的基于生物特征的三因子用戶認(rèn)證協(xié)議.該協(xié)議能抵抗各種潛在攻擊,如仿冒攻擊、重放攻擊等,有效實(shí)現(xiàn)用戶匿名性、口令和生物特征自由更新.Fang 等人的方案[27]包含4 個(gè)階段:注冊(cè)、登錄、認(rèn)證、口令和生物特征更新.

5.1 注冊(cè)階段

當(dāng)用戶Ui訪問傳感器網(wǎng)絡(luò)時(shí),需向GWN 完成如下注冊(cè)過程.

1)Ui選擇身份標(biāo)識(shí)IDi和口令PWi,掃描生物特征Bi,生成隨機(jī)數(shù)K,利用生物特征模糊提取函數(shù)Gen(?)計(jì)算Gen(Bi)=(σi,τi),生成Bi對(duì)應(yīng)的密鑰σi和公共參數(shù)τi,其中,σi僅為Ui所知.Ui進(jìn)一步計(jì)算RPWi=h(PWi||K),選取keyi作為Ui與GWN 的共享密鑰.

2)Ui?GWN:{RPWi,IDi,keyi}.

3) GWN 在數(shù)據(jù)庫中存儲(chǔ)keyi,利用主密鑰XGWN計(jì)算ri=h(IDi||XGWN),將{ri,h(?)}寫入智能卡.

4) GWN?Ui:智能卡.

5)Ui收到GWN 返回的智能卡后,計(jì)算ei=h(IDi||σi)⊕K,fi=h(IDi||RPWi||σi)⊕K,gi=h(IDi||σi)⊕keyi,li=ri⊕h(IDi||K)=h(IDi||XGWN)⊕h(IDi||K),并用li替換ri,同時(shí)在智能卡中存儲(chǔ)參數(shù){ei,fi,gi,Gen(?),Rep(?),τi}.

5.2 登錄階段

當(dāng)用戶Ui要登錄傳感器網(wǎng)絡(luò)時(shí),將進(jìn)行以下操作.

1)Ui在讀卡裝置中插入SCi,輸入IDi,PWi和生物特征.SCi計(jì)算,并驗(yàn)證是否相等:如果不相等,則終止操作.

2)SCi進(jìn)一步計(jì)算keyi=gi⊕h(IDi||σi),C1=li⊕h(IDi||K)=h(IDi||XGWN),生成隨機(jī)數(shù)RNi,選擇將要訪問的節(jié)點(diǎn)Sj,計(jì)算C2=C1+RNi=h(IDi||XGWN)⊕RNi,C3=h(IDi||SIDj||C1||RNi||T1).其中,T1表示當(dāng)前時(shí)間戳.

5.3 認(rèn)證階段

GWN 收到來自用戶登陸請(qǐng)求后,利用keyi解密,得到參數(shù)(SIDj,C2,C3,T1),繼續(xù)執(zhí)行以下操作.

1) 驗(yàn)證|T2?T1|≤ΔT是否成立:

? 如果不成立,則終止協(xié)議;

? 反之,GWN 計(jì)算C4=h(IDi||XGWN),C5=C2⊕h(IDi||XGWN)=h(IDi||XGWN)⊕RNi⊕h(IDi||XGWN)=RNi,C6=h(IDi||SIDj||C4||C5||T1),并驗(yàn)證C6=C3是否成立:若成立,表明Ui是合法用戶;否則,GWN 終止操作.接下來,GWN 提取Sj的主密鑰MKj,計(jì)算.其中,T3表示當(dāng)前時(shí)間戳.

2) GWN?Sj:{SIDj,C7}.

3)Sj接收到來自GWN 的消息后,解密C7得到IDi,和|T4?T3|≤ΔT是否成立.其中,是解密所得,而SIDj是接收到的消息.如果上述兩項(xiàng)均成立,則Sj成功認(rèn)證Ui;若任意一項(xiàng)不成立,則終止操作.進(jìn)一步,Sj生成隨機(jī)數(shù)RNj,計(jì)算會(huì)話密鑰SK=h(IDi||SIDj||h(C4)||C5||RNi||T1||T5),C8=h(SK),C9=C5⊕RNj⊕IDi=RNi⊕RNj⊕IDi.其中,T5表示當(dāng)前時(shí)間戳.

4)Sj→Ui:{C8,C9,T5}.

5)Ui接收到Sj的返回消息后,首先檢驗(yàn)|T6?T5|≤ΔT是否成立.

? 如果不成立,則終止連接;

? 反之,SCi計(jì)算C10=C9⊕RNi⊕IDi=RNj,SK=h(IDi||SIDj||h(C4)||RNi||C10||T1||T5),C11=h(SK),并驗(yàn)證C11=C8是否相等:如果相等,則Ui成功認(rèn)證Sj;否則,Ui終止操作.Ui和Sj實(shí)現(xiàn)相互認(rèn)證,并建立共享會(huì)話密鑰SK.

6 Fang 等人方案安全性分析

近期,Fang 等人[27]指出,Althobaibi 等人的方案[28]無法抵抗節(jié)點(diǎn)捕獲攻擊,GWN 仿冒攻擊和中間人攻擊,并且對(duì)內(nèi)部攻擊是脆弱的,故提出改進(jìn)方案.Fang 等人提出的改進(jìn)方案[27]僅采用對(duì)稱密碼技術(shù),簡單高效,適于資源受限的無線傳感器網(wǎng)絡(luò).然而經(jīng)分析,Fang 等人的方案[27]仍無法實(shí)現(xiàn)所宣稱的抗內(nèi)部特權(quán)攻擊和智能卡丟失攻擊,且存在前向安全性問題.

6.1 內(nèi)部攻擊

分析發(fā)現(xiàn),Fang 等人[27]企圖引入生物因子彌補(bǔ)內(nèi)部攻擊的安全漏洞并不可取.

· 一方面,生物特征具有唯一性和穩(wěn)定性,一旦丟失將不可挽回[52,53].近幾年,生物信息泄漏時(shí)有發(fā)生.2016 年,美國人事管理辦公室(OPM)和國防部發(fā)現(xiàn)在最近的OPM 數(shù)據(jù)泄露事故中,2 150 萬人的敏感信息被盜,其中約560 萬人的指紋記錄被泄漏[54].

· 另一方面,指紋等生物信息易于偽造.現(xiàn)實(shí)生活中,簡單使用透明膠帶或指紋膜即可偽造指紋.

因此,假設(shè)攻擊者通過某種途徑(系統(tǒng)泄漏、偽造或竊取)獲取用戶生物信息是現(xiàn)實(shí)的.

值得一提的是,多因子安全性是多因素認(rèn)證協(xié)議最基本的安全目標(biāo),即假設(shè)攻擊者獲取多因子中的n?1 個(gè)因子,仍不能推測(cè)出另一因子或仿冒用戶.在Fang 等人[27]的三因子認(rèn)證協(xié)議中,假設(shè)攻擊者A獲得:1) 用戶口令;2) 智能卡內(nèi)秘密參數(shù);3) 用戶生物特征.其中任意兩因子,仍不能得到最后一個(gè)因子,即攻擊者能力C-3.根據(jù)以上推斷及第2 節(jié)中攻擊者能力C-1,我們假設(shè)攻擊者A通過偵聽用戶注冊(cè)階段,截獲用戶注冊(cè)請(qǐng)求消息{RPWi,IDi,keyi},并以某種方式(如拾到智能卡和用指紋膜提取指紋信息)獲得了用戶智能卡和生物信息,A可離線猜測(cè)出用戶口令.具體過程如下.

1) A通過邊信道攻擊技術(shù)[33]提取智能卡內(nèi)敏感信息{li,ei,fi,gi,h(?),Gen(?),Rep(?),τi};

2) A從用戶口令空間Dpw中猜測(cè)PWi*;

3) A計(jì)算K*=h(IDi||σi)⊕ei,其中,ei從智能卡中提取,IDi從傳輸信道中獲得;

事實(shí)上,很多協(xié)議(如文獻(xiàn)[48])允許用戶在注冊(cè)階段直接將生物因子傳輸給服務(wù)器,惡意管理員可在遠(yuǎn)程傳輸?shù)倪^程中截獲或內(nèi)部提取用戶生物信息.故假設(shè)攻擊者獲得用戶生物信息是合理的.在這一假設(shè)下,上述攻擊方式與第4.1 節(jié)中提出的攻擊方式一致,攻擊者可在多項(xiàng)式時(shí)間內(nèi)離線猜測(cè)出用戶口令.

6.2 智能卡丟失攻擊

用戶會(huì)選擇便于記憶的低熵口令,而且用戶可能利用個(gè)人信息構(gòu)造口令,或重用口令,這些用戶行為都會(huì)顯著降低攻擊者猜測(cè)口令的難度.近期,Wang 等人在文獻(xiàn)[53]中指出,對(duì)安全的三因子認(rèn)證協(xié)議,假設(shè)攻擊者獲取了用戶智能卡和生物特征,仍能保證用戶口令的安全性.事實(shí)上,由于在線或離線字典攻擊技術(shù)的發(fā)展,確保三因子安全性并非易事.在Fang 等人的協(xié)議[27]中,假設(shè)攻擊者通過邊信道攻擊技術(shù)(如差分能耗分析[33]、逆向工程技術(shù)[34]等)獲得受害者智能卡內(nèi)敏感信息[17],并通過PC 或支付設(shè)備的惡意掃描器獲得用戶生物信息Bi,則可以發(fā)起離線口令猜測(cè)攻擊.

1) A通過邊信道攻擊技術(shù)提取智能卡內(nèi)敏感信息{li,ei,fi,gi,h(?),Gen(?),Rep(?),τi}.

2) A計(jì)算σi=Rep(Bi,τi),其中,Bi通過其他途徑獲得,例如從PC 或者刷臉支付設(shè)備中竊取.

3) A從用戶身份空間Did和口令空間Dpw猜測(cè)

不難發(fā)現(xiàn),存在上述攻擊的根本原因是用戶智能卡中存儲(chǔ)了口令驗(yàn)證項(xiàng)fi.為實(shí)現(xiàn)用戶口令本地自由更新,同時(shí)防止離線口令猜測(cè)攻擊,仍建議采用Wang 等人[35]提出的“模糊驗(yàn)證因子”技術(shù),修改fi的計(jì)算方式為fi=h(IDi||RPWi||σi) modn.假設(shè)|Did|≤|Dpw|≤106[36],24≤n≤28,則至少存在232個(gè)候選(ID,PW)阻礙攻擊者猜測(cè)出正確的口令.

6.3 前向安全性問題

Fang 等人在文獻(xiàn)[27]中指出,基于Dolev-Yao 攻擊者拓展模型,Althobaiti 等人的協(xié)議[28]不能抵抗節(jié)點(diǎn)捕獲攻擊,故Althobaiti 等人的協(xié)議未實(shí)現(xiàn)前向安全性.Fang 等人[27]明確假設(shè):一旦攻擊者A捕獲傳感器節(jié)點(diǎn)Sj,即可獲取Sj的長期私鑰MKj,這與第2 節(jié)中攻擊者能力C-5 一致.在此假設(shè)下,攻擊者A可通過偵聽、截獲任意用戶Ui和Sj通信的公開信道的消息,獲取Ui和Sj的會(huì)話密鑰,具體流程如下.

1) A偵聽并截獲GWN 發(fā)往Sj的消息{SIDj,C7}.

2) A利用Sj的主密鑰解密C7得到IDi,SIDj,C5,h(C4),T1和T3.

3) A偵聽并截獲Sj回送給Ui的消息{C8,C9,T5},提取T5,并計(jì)算RNj=C9⊕C5⊕IDi.

4) A計(jì)算會(huì)話密鑰SK=h(IDi||SIDj||h(C4)||C5||RNj||T1||T5).

最終,攻擊者計(jì)算C8=h(SK),驗(yàn)證計(jì)算的C8是否與截獲的C8相等:如果相等,則說明攻擊者A獲得了Ui和Sj先前的會(huì)話密鑰,則A可利用該會(huì)話密鑰和截獲的通信消息,解密Ui和Sj的通信.可見,一旦傳感器節(jié)點(diǎn)Sj被攻擊者捕獲,任意用戶與Sj的通信將會(huì)完全暴露給攻擊者.值得一提的是,為了實(shí)現(xiàn)上述攻擊,A只需偵聽通信信道中的消息,無需與GWN 交互,A實(shí)施攻擊后,可在GWN 未察覺的情況下,重啟節(jié)點(diǎn)Sj.

在Fang 等人的協(xié)議[27]中,會(huì)話密鑰的安全性與傳感器節(jié)點(diǎn)的主密鑰唯一相關(guān).而在開放的網(wǎng)絡(luò)環(huán)境中,惡意管理員或外部攻擊者可能腐化或控制傳感器節(jié)點(diǎn),因此應(yīng)確保會(huì)話密鑰與傳感器節(jié)點(diǎn)主密鑰之間的獨(dú)立性.為此,可采用Diffie-Hellman 密鑰交換技術(shù)將Fang 等人協(xié)議中的隨機(jī)數(shù)RNi和RNj修改為,在會(huì)話密鑰SK的計(jì)算中級(jí)聯(lián),且RNi和RNj無需傳輸.由于僅用戶Ui和與之通信的傳感器節(jié)點(diǎn)Sj知道隨機(jī)數(shù)RNi和RNj,攻擊者無法從通信消息中計(jì)算出會(huì)話密鑰,則可確保會(huì)話密鑰的安全性.

綜上,我們根據(jù)文獻(xiàn)[18]中提出的標(biāo)準(zhǔn)對(duì)Mir 等人的協(xié)議[26]和Fang 等人的協(xié)議[27]進(jìn)行了綜合性的評(píng)估,見表3.基于本文增強(qiáng)的攻擊者能力假設(shè),目前已有的多因素認(rèn)證協(xié)議均未能實(shí)現(xiàn)C3,即服務(wù)器管理人員可能通過內(nèi)部攻擊獲得用戶口令.上文中已分析,Mir 等人的協(xié)議和Fang 等人的協(xié)議均無法實(shí)現(xiàn)標(biāo)準(zhǔn)C4,C5,C12.此外,兩個(gè)協(xié)議中未提及智能卡撤銷操作,即無法實(shí)現(xiàn)C6;且采用時(shí)間戳機(jī)制,則無法實(shí)現(xiàn)C8.

Table 3 A systematic evaluation of Mir,et al.’s protocol and Fang,et al.’s protocol表3 Mir 等人的協(xié)議和Fang 等人的協(xié)議綜合性評(píng)估

7 改進(jìn)策略

自1981 年Lamport[12]首次提出口令認(rèn)證密鑰交換協(xié)議(PAKE)以來,基于口令的認(rèn)證協(xié)議獲得長足發(fā)展.然而早期的僅口令認(rèn)證的協(xié)議,由于服務(wù)器負(fù)責(zé)驗(yàn)證用戶輸入口令的正確性,服務(wù)器不可避免地要存儲(chǔ)口令相關(guān)的驗(yàn)證表項(xiàng),勢(shì)必存在內(nèi)部攻擊問題.1991 年,Chang 等人[29]首次將智能卡引入用戶身份認(rèn)證協(xié)議,智能卡的出現(xiàn),極大地緩解了內(nèi)部攻擊問題.智能卡代替服務(wù)器驗(yàn)證用戶口令,盡管并未從根本上解決離線口令猜測(cè)攻擊,但卻有效緩解了服務(wù)器端口令泄漏風(fēng)險(xiǎn).本節(jié)將分析現(xiàn)有研究中針對(duì)內(nèi)部攻擊的增強(qiáng)策略的不足之處,并提出合理的解決方案.

7.1 已有增強(qiáng)策略

文獻(xiàn)[55?57]中提出了一種常見的內(nèi)部攻擊場景,即用戶在注冊(cè)階段將明文口令PW發(fā)送給服務(wù)器(如文獻(xiàn)[58?60],服務(wù)器內(nèi)部人員可能嘗試?yán)酶`取的用戶口令訪問其他網(wǎng)站的服務(wù).文獻(xiàn)[35]中指出,由于用戶需要管理大量帳號(hào)信息,而用戶記憶力有限,口令重用現(xiàn)象十分明顯,因此上述內(nèi)部攻擊是現(xiàn)實(shí)的.近幾年,協(xié)議設(shè)計(jì)者意識(shí)到存在內(nèi)部人員威脅,協(xié)議設(shè)計(jì)中已基本避免此種類型的攻擊發(fā)生.然而,本文第2 節(jié)中提到的攻擊場景并未引起廣泛重視.

Amin 等人在文獻(xiàn)[61]中指出,Xue 等人的協(xié)議[62]存在第2 節(jié)指出的內(nèi)部攻擊,即用戶將隨機(jī)數(shù)加鹽的口令發(fā)送給服務(wù)器,內(nèi)部人員可能通過竊聽服務(wù)器的通信、竊取用戶智能卡的方式離線猜測(cè)出用戶口令.但在隨后提出的新協(xié)議中,Amin 等人并未給出合理的解決方法.同樣的攻擊在文獻(xiàn)[63]中也明確提及,但仍未給出解決策略.文獻(xiàn)[64?69]中雖未明確說明,但作者考慮到可能存在這一攻擊,故在設(shè)計(jì)新協(xié)議時(shí)采取了適當(dāng)?shù)男拚胧?分析發(fā)現(xiàn):存在此類型內(nèi)部攻擊的關(guān)鍵在于隨機(jī)數(shù)的保存,由于攻擊者能夠通過邊信道攻擊等技術(shù)[33,34]從竊取的智能卡中獲得隨機(jī)數(shù),才使得上述內(nèi)部攻擊得以實(shí)現(xiàn).

基于300 余個(gè)用戶身份認(rèn)證協(xié)議的分析經(jīng)驗(yàn),本文將現(xiàn)有協(xié)議中抵抗第2 節(jié)提出的內(nèi)部攻擊的改進(jìn)策略分為7 類,見表4.其中,方案I 應(yīng)用最為廣泛,如文獻(xiàn)[61,64?66].其注冊(cè)過程不變,即用戶向服務(wù)器發(fā)送用隨機(jī)數(shù)加鹽的隨機(jī)口令,但在智能卡中不存儲(chǔ)隨機(jī)數(shù)明文ri,而保存ri⊕h(IDi||PWi).從第4.1 節(jié)的分析中可以看出,此種方案僅給攻擊者增加了一次Hash 的難度,并未阻止攻擊者離線猜測(cè)用戶口令.第6.1 節(jié)中給出了方案II 的實(shí)例分析.現(xiàn)實(shí)生活中,用戶生物特征信息泄漏現(xiàn)象時(shí)有發(fā)生,且生物信息一旦泄漏將無法挽回.遺憾的是,就我們所知,大量文獻(xiàn)(如[67?69])均基于生物信息安全可靠的假設(shè),生物信息安全性缺乏應(yīng)有的關(guān)注.根據(jù)第6.1 節(jié)的攻擊實(shí)例可得,方案II 的攻擊與方案I 的攻擊難度相當(dāng),但涉及用戶隱私泄漏,方案II 存在更大的安全威脅.

文獻(xiàn)[70]中,Namasudra 等人提出一個(gè)基于Chebyshev 多項(xiàng)式的簡單、高效的用戶口令認(rèn)證協(xié)議.該協(xié)議注冊(cè)階段允許任意用戶Ui將身份標(biāo)識(shí)IDi和隨機(jī)口令RPWi=h(PWi||IDi)⊕ri發(fā)送給服務(wù)器.服務(wù)器計(jì)算Ai=h(IDi||x),Ci=Ai⊕RPWi,將Ci寫入智能卡并傳送給用戶.其中,ri為用戶選擇的隨機(jī)數(shù),x為服務(wù)器主密鑰.用戶接收到智能卡后,計(jì)算d1=Ci⊕ri,d2=h(PWi||IDi),以d1,d2替換智能卡中的Ci.可以看出:隨機(jī)數(shù)ri包含在d1中,而計(jì)算出d1的關(guān)鍵在于服務(wù)器的主密鑰x,我們稱這種保護(hù)隨機(jī)數(shù)的方法為方案III.事實(shí)上,方案III 易遭受智能卡丟失攻擊.假設(shè)攻擊者A已獲得智能卡內(nèi)秘密參數(shù)信息,則A可以直接猜測(cè)合理的,計(jì)算,并驗(yàn)證計(jì)算的是否等于提取的d2:如果相等,則表明A猜測(cè)的是正確的.攻擊過程無需偵聽通信信道,針對(duì)方案III 的離線口令猜測(cè)攻擊更易實(shí)施.

Table 4 A taxonomy of improvement strategies表4 改進(jìn)策略分類

為防止智能卡丟失攻擊和內(nèi)部人員攻擊,Wu 等人[74]給出另一種以服務(wù)器主密鑰保護(hù)隨機(jī)數(shù)的方案III.在注冊(cè)階段,用戶向服務(wù)器發(fā)送{IDi,RPWi}.服務(wù)器選擇隨機(jī)數(shù)ei,計(jì)算,服務(wù)器將寫入智能卡并發(fā)送給用戶.用戶收到智能卡后計(jì)算并用T1,T2替換.然而在Wu 等人的[74]方案中,由于智能卡無法獲知服務(wù)器主密鑰x,因此不能驗(yàn)證用戶輸入的口令是否正確.口令驗(yàn)證過程由服務(wù)器實(shí)現(xiàn),則不能實(shí)現(xiàn)“口令本地自由更新”.

方案IV 也存在兩種實(shí)現(xiàn)方法.

· 文獻(xiàn)[71]中,Wang 等人提出一個(gè)高效的基于動(dòng)態(tài)ID 的遠(yuǎn)程用戶口令認(rèn)證協(xié)議.該協(xié)議注冊(cè)階段僅將用戶身份標(biāo)識(shí)IDi發(fā)送給服務(wù)器,由服務(wù)器選擇用戶口令,并將口令PWi以明文發(fā)送給用戶.可見,Wang 等人的協(xié)議[71]不支持用戶自由選擇口令,仍然存在內(nèi)部攻擊威脅.

· 文獻(xiàn)[72]中,Amin 等人對(duì)方案IV 的實(shí)現(xiàn)方法略有改進(jìn).用戶在注冊(cè)階段發(fā)送身份標(biāo)識(shí)IDi,服務(wù)器返回智能卡后,用戶再輸入選擇的PWi.經(jīng)分析,Amin 等人的方案[72]緩解了上述內(nèi)部攻擊,但存在兩種類型的智能卡丟失攻擊:一是直接利用智能卡內(nèi)存儲(chǔ)的秘密參數(shù)進(jìn)行口令猜測(cè);另一種是借助智能卡內(nèi)信息和公開信道中的消息進(jìn)行口令猜測(cè).因此,方案IV 也不可取.

與上述方案不同,文獻(xiàn)[73]在注冊(cè)階段未選擇隨機(jī)數(shù),用戶計(jì)算HPWi=h(PWi||IDi),將IDi和HPWi發(fā)送給服務(wù)器.我們稱此類方法為方案V.不難看出,內(nèi)部攻擊者可直接通過截獲的通信消息猜測(cè)出用戶口令,故方案V 未解決內(nèi)部攻擊問題.方案VI 與方案V 如出一轍,以用戶生物特征替換IDi來計(jì)算HPWi.依據(jù)第6.1 節(jié)的實(shí)例分析,方案VI 仍存在內(nèi)部攻擊威脅.此外,由于用戶將生物特征發(fā)送給服務(wù)器,還可能存在隱私泄露風(fēng)險(xiǎn).

文獻(xiàn)[55]中,Sood 等人提出一種基于公鑰密碼技術(shù)的口令認(rèn)證協(xié)議.在系統(tǒng)初始化階段,服務(wù)器選擇公私鑰對(duì),并公開公鑰PK.用戶注冊(cè)過程先選擇會(huì)話密鑰SS,以會(huì)話密鑰加密用戶自主選擇的身份標(biāo)識(shí)和口令,再以服務(wù)器公鑰PK加密會(huì)話密鑰SS,即用戶將{(SS)PK,(IDi)SS,(PWi)SS}發(fā)送給服務(wù)器.

此類方案有效解決了傳輸消息的安全性,但假設(shè)惡意內(nèi)部管理員有權(quán)解密用戶注冊(cè)請(qǐng)求或監(jiān)聽到服務(wù)器解密及計(jì)算過程,則依然能獲得用戶口令.

總之,第2 節(jié)中提到的內(nèi)部攻擊威脅并未引起廣泛關(guān)注,文獻(xiàn)[17,35,75]仍建議將隨機(jī)數(shù)以明文保存在智能卡中.上述7 類解決方案對(duì)內(nèi)部攻擊威脅有適當(dāng)?shù)木徑庾饔?但可能引入新的安全問題,并未從根本上解決內(nèi)部攻擊問題.本文將彌補(bǔ)這一缺陷,提出合理的解決方案抵抗內(nèi)部攻擊.

7.2 內(nèi)部攻擊解決方案

為避免服務(wù)器獲得口令明文和用戶隱私泄漏,采用“加鹽Hash”技術(shù)傳輸口令相比其他幾種方式更簡單、安全、高效[35].基于對(duì)300 余個(gè)用戶認(rèn)證協(xié)議的分析經(jīng)驗(yàn),我們發(fā)現(xiàn)大多數(shù)采用“加鹽Hash”技術(shù)實(shí)現(xiàn)用戶注冊(cè)的協(xié)議均無法抵抗內(nèi)部攻擊,這是因?yàn)檫@些協(xié)議均有以下兩條性質(zhì).

1.RPWi由IDi,PWi和ri確定;

2.ri可由用戶IDi,PWi或SC計(jì)算出來.

其中,ri表示用戶在注冊(cè)過程中選擇的隨機(jī)數(shù),SC表示用戶智能卡.以下我們將會(huì)說明,具有這兩條性質(zhì)的協(xié)議無法抵抗內(nèi)部攻擊.因此,我們稱其為內(nèi)部攻擊的簡易判斷標(biāo)準(zhǔn).

說明1.常見的口令存儲(chǔ)形式有3 種:明文、加密、哈希值.明文不可取,而加密和直接Hash 均易被服務(wù)器還原,因此,增加一個(gè)隨機(jī)鹽可以有效增加口令的安全性.近年來,“加鹽Hash”技術(shù)廣泛應(yīng)用于現(xiàn)有的身份認(rèn)證協(xié)議(如文獻(xiàn)17,19,20,35,71,75]),用戶在注冊(cè)階段選擇隨機(jī)數(shù)ri,計(jì)算RPWi=h(PWi||ri),將{IDi,RPWi}發(fā)送給服務(wù)器,此類方法有助于確保服務(wù)器不能獲得口令明文,且不能直接猜測(cè)用戶口令.

說明2.假設(shè)用戶登錄階段使用RPWi進(jìn)行驗(yàn)證,即智能卡無需計(jì)算出隨機(jī)數(shù)ri,則可能存在內(nèi)部攻擊者仿冒用戶攻擊.否則,智能卡需計(jì)算出ri,以驗(yàn)證用戶口令PWi的正確性.此外,假設(shè)隨機(jī)口令RPWi與用戶IDi,PWi無關(guān),則只能與服務(wù)器主密鑰相關(guān),而服務(wù)器的目標(biāo)是驗(yàn)證用戶的合法性,若以服務(wù)器主密鑰推算隨機(jī)數(shù)ri,則服務(wù)器相當(dāng)于一個(gè)預(yù)言機(jī),將為攻擊者提供仿冒用戶或驗(yàn)證猜測(cè)口令正確性的預(yù)言機(jī)服務(wù).

綜上所述,任意協(xié)議在用戶注冊(cè)階段采用了“加鹽Hash”技術(shù)傳輸用戶口令,并且在智能卡中以某種方式保存了用戶選擇的隨機(jī)數(shù),該協(xié)議將無法抵抗內(nèi)部攻擊.針對(duì)此問題,本文提出一種新的解決方案,在此只簡述用戶注冊(cè)過程的基本思路,協(xié)議登錄、認(rèn)證過程可兼容現(xiàn)有的用戶身份認(rèn)證協(xié)議.

1) 用戶Ui選取身份標(biāo)識(shí)IDi,口令PWi,生成隨機(jī)數(shù)ri,計(jì)算RPWi=h(PWi||ri).

2)Ui?S:{IDi,RPWi}.

3) 服務(wù)器S隨機(jī)生成安全參數(shù)ai,計(jì)算Xi=h(h(IDi||x)⊕ai),Fi=h((h(IDi)⊕RPWi) modn),Di=Xi⊕RPWi.在數(shù)據(jù)庫中存儲(chǔ){IDi,ai};同時(shí),將{Di,Fi,n}寫入智能卡.其中,x為系統(tǒng)主密鑰,n表示(ID,PW)池容量的整數(shù),24≤n≤28.

4)S?Ui:智能卡.

5)Ui接收到智能卡,計(jì)算Xi=Di⊕RPWi,重新生成隨機(jī)數(shù),計(jì)算替換智能卡中的Di,Fi,并將寫入智能卡.

需要指出的是:服務(wù)器接收到的RPWi與智能卡中參與計(jì)算的并不相同,即使攻擊者截獲了注冊(cè)過程中的RPWi,提取用戶智能卡中的安全參數(shù),也無法借助隨機(jī)數(shù)猜測(cè)出用戶口令.此外,通過引入“模糊驗(yàn)證因子”技術(shù)[35],如第4.2 節(jié)和第6.2 節(jié)所示,增加了攻擊者猜測(cè)出正確口令的難度.因此,本文提出的方案可以有效解決第2 節(jié)的內(nèi)部攻擊,同時(shí)允許用戶自主選擇口令,保護(hù)用戶隱私,實(shí)現(xiàn)口令本地自由更新.

8 結(jié) 語

無線傳感器網(wǎng)絡(luò)的身份認(rèn)證面臨嚴(yán)峻挑戰(zhàn):一方面由于傳感器節(jié)點(diǎn)計(jì)算能力和存儲(chǔ)容量有限,無法支撐復(fù)雜密碼協(xié)議;另一方面,攻擊者的攻擊能力不斷增強(qiáng),先前安全的協(xié)議在新的攻擊場景下將不再安全.本文以無線傳感器網(wǎng)絡(luò)環(huán)境下的兩個(gè)代表性認(rèn)證協(xié)議為例,分析一種實(shí)際存在的、但未引起廣泛關(guān)注的內(nèi)部攻擊威脅,并且給出攻擊者的具體攻擊過程.

具體來說,本文首先回顧Mir 等人的協(xié)議,指出其不能抵抗內(nèi)部攻擊和智能卡丟失攻擊,且不能實(shí)現(xiàn)前向安全性;然后分析Fang 等人的協(xié)議,指出其同樣不能抵抗內(nèi)部攻擊和智能卡丟失攻擊,且未實(shí)現(xiàn)所宣稱的前向安全性屬性.針對(duì)Mir 等人的協(xié)議和Fang 等人的協(xié)議的具體失誤之處,提出相應(yīng)解決方案.本文指出一種被長期忽略的內(nèi)部攻擊,基于300 余個(gè)協(xié)議分析經(jīng)驗(yàn),對(duì)現(xiàn)有嘗試抵抗內(nèi)部攻擊的方案進(jìn)行分類,指出現(xiàn)有解決方案的不足之處,進(jìn)一步提出合理的解決方案.根據(jù)本文提出的抗內(nèi)部攻擊方法,設(shè)計(jì)更安全高效的用戶身份認(rèn)證協(xié)議,是下一步值得研究的方向.