劉碧微

（河南經(jīng)貿(mào)職業(yè)學(xué)院，河南 鄭州 450000）

0 引言

近年來，物聯(lián)網(wǎng)通信在多個城市得以覆蓋，成為生活和工作網(wǎng)絡(luò)服務(wù)不可缺少的工具。目前，物聯(lián)網(wǎng)通信在環(huán)境監(jiān)測、智慧交通、醫(yī)療信息管理等多個領(lǐng)域有所應(yīng)用，隨著業(yè)務(wù)范圍的逐漸擴大，其安全問題得到了人們的重視[1]。為了提高物聯(lián)網(wǎng)通信的安全性，國內(nèi)開發(fā)了公鑰密碼方案和對稱密碼方案，這兩種方案雖然能夠加密物聯(lián)網(wǎng)消息，但是公鑰密碼方案計算量較大，對稱密碼方案無法實現(xiàn)消息簽名，不能挖掘消息源[2-3]。為了改進這兩種密鑰方案，提出一種雙線性密鑰方案，然而由于增加了計算開銷，所以也未能得到廣泛應(yīng)用。本文在以往研究的基礎(chǔ)上，嘗試選取PUF 函數(shù)作為研究工具，提出一種低開銷物聯(lián)網(wǎng)安全通信方案。

1 PUF 函數(shù)

PUF 函數(shù)是一種創(chuàng)建映射關(guān)系的工具，根據(jù)相關(guān)設(shè)備的隨機性物理特征，將輸出響應(yīng)對象與輸入挑戰(zhàn)對象聯(lián)系到一起，形成映射關(guān)系，為身份驗證、信息加密等提供可靠工具[4]。該函數(shù)具有兩項特性，其中一種特性為不可預(yù)測性，另外一種特性為不可克隆性。目前，比較常見的PUF 函數(shù)作業(yè)裝置有環(huán)形振蕩器、仲裁器。相比之下，仲裁器的結(jié)構(gòu)更為簡單，使用過程中對傳輸路徑的要求較高。當(dāng)兩條路徑達到完全對稱時，誤差為0，然而實際操作中很難達到此條件要求[5-6]。環(huán)形振蕩器對傳輸路徑的對稱性要求不是很高，比較容易實現(xiàn)預(yù)期功能。所以，本研究以PUF 函數(shù)環(huán)形振蕩器作為研究工具，探究安全通信方案。

RO 陣列作為PUF 函數(shù)環(huán)形振蕩器的核心結(jié)構(gòu)，通過作業(yè)產(chǎn)生時鐘信號，根據(jù)信號頻率差值來控制裝置的作業(yè)狀態(tài)。RO-PUF 結(jié)構(gòu)如圖1 所示。

圖1 RO-PUF 結(jié)構(gòu)

該結(jié)構(gòu)中，多個反相元件組成一個環(huán)形振蕩電路。其中，各個電路中反相元件的數(shù)量均為奇數(shù)。裝置作業(yè)期間產(chǎn)生的時鐘信號同時存在高電平和低電平。由于各類反相元件的制作工藝和使用的材料存在一定差異，所以各個元件作業(yè)所需的時延表現(xiàn)出較為顯著的差異性，導(dǎo)致各個電路的時鐘頻率有所不同。從理論層面來看，運用PUF 函數(shù)環(huán)形振蕩器來檢驗用戶身份，以信號特點為判斷依據(jù)，配合密鑰技術(shù)，能夠完成物聯(lián)網(wǎng)安全通信操作?？紤]到該裝置作業(yè)計算工作量較少，通信開銷較小，并且具有良好的認證性能，所以本研究選擇PUF 函數(shù)環(huán)形振蕩器，設(shè)計低開銷物聯(lián)網(wǎng)安全通信方案。

2 PUF 函數(shù)在低開銷物聯(lián)網(wǎng)安全通信方案設(shè)計中的應(yīng)用

本通信方案中信息的安全傳遞，每一次通信都需要開啟各個節(jié)點設(shè)備的通信模式，按照設(shè)定的安全管控方案，合理分配密鑰，將消息安全傳遞到服務(wù)器的另外一端。

2.1 物聯(lián)網(wǎng)服務(wù)器參數(shù)設(shè)置

本通信架構(gòu)中服務(wù)器參數(shù)的選取，首先，構(gòu)建橢圓曲線e：y2=x3+ax+bmodp。其次，從曲線e上選取群G，該群的生成元為P，階為q。再次，按照條件s∈Zq

*隨機選取私鑰，并計算對應(yīng)的公鑰Ppub=sP。與此同時，選取以下4 個哈希函數(shù)：

將這4 個哈希函數(shù)與公鑰、私鑰結(jié)合到一起，構(gòu)建物聯(lián)網(wǎng)服務(wù)器作業(yè)基本參數(shù)，如下：

2.2 通信設(shè)備注冊

本方案采取設(shè)備注冊方式，從設(shè)備中提取節(jié)點PUF參數(shù)，將其作為物聯(lián)網(wǎng)通信密鑰分配參考依據(jù)，同時也是創(chuàng)建設(shè)備物聯(lián)網(wǎng)通信的工具，借助服務(wù)器完成信息發(fā)送。關(guān)于設(shè)備注冊，首先確定設(shè)備（記為Nodei）節(jié)點，找到作業(yè)服務(wù)器（記為Server），隨機選取該裝置中的挑戰(zhàn)信號（記為ci）。其次，設(shè)備PUF 作業(yè)期間生成相應(yīng)信號（記為ri=PUFi(ci)），將這個信號存儲至三元組當(dāng)中，完成設(shè)備初始化管理。其中，三元組為(idi，ci，ri)。最后，消除節(jié)點設(shè)備PUF 外部的物聯(lián)網(wǎng)訪問接口。這種操作可以理解為設(shè)備作業(yè)期間，其內(nèi)部芯片獲取的數(shù)據(jù)只有一種，即滿足協(xié)議交互的數(shù)據(jù)，在不采取任何處理的情況下，無法獲取“PUF 挑戰(zhàn)—響應(yīng)”對[7]。

2.3 用戶身份認證

為了提高物聯(lián)網(wǎng)通信安全性，本設(shè)計方案利用PUF 函數(shù)對用戶身份進行認證。通過檢驗用戶身份，從而提高信息訪問的安全性。該安全保護方案屬于第一層保護，第二層保護措施為通信密鑰處理。關(guān)于用戶身份認證，從設(shè)備中隨機選取一個數(shù)據(jù)，記為n1，該數(shù)據(jù)滿足關(guān)系n1∈Zq*。當(dāng)用戶訪問網(wǎng)絡(luò)，物聯(lián)網(wǎng)服務(wù)器會發(fā)送訪問請求，并將該用戶的id 及相關(guān)信息發(fā)送至安全中心。該行為表明，當(dāng)前用戶希望利用自己的網(wǎng)絡(luò)訪問終端與物聯(lián)網(wǎng)通信體系建立訪問連接。當(dāng)設(shè)備接收到該訪問信號以后，回復(fù)隨機數(shù)，記為n2，該數(shù)據(jù)滿足關(guān)系n2∈Zq*。而后調(diào)用系統(tǒng)數(shù)據(jù)庫，遍歷與用戶id相符的相關(guān)信息。在此期間，H0:{0，1}*→{0，1}n哈希函數(shù)將投入使用，每一個哈希函數(shù)對應(yīng)不同類型的信息，創(chuàng)建信息關(guān)聯(lián)體系，并生成對比結(jié)果，向設(shè)備發(fā)送回復(fù)信息。

當(dāng)設(shè)備接收到安全管理中心發(fā)送的回復(fù)信息后，通過運行PUF 函數(shù)獲取相應(yīng)信號，利用此信號驗證當(dāng)前用戶的身份是否與系統(tǒng)數(shù)據(jù)庫的信息相匹配，即函數(shù)中的每一項指標(biāo)均相同。如果所有指標(biāo)均通過了檢驗，則認為當(dāng)前用戶身份得以認證，可以創(chuàng)建物聯(lián)網(wǎng)通信訪問連接。用戶身份通過認證以后，本研究設(shè)計的安全體系將開啟第二道安全管理模式，即通過密鑰分配，提高通信安全性。隨機選取設(shè)備中的信息，為其賦予秘密值，計算公開參數(shù)，同時運行PUF 函數(shù)，利用哈希函數(shù)展開計算，并將計算結(jié)果發(fā)送至服務(wù)器，創(chuàng)建用戶需要訪問的數(shù)據(jù)信息申請，同時鎖定密鑰分配對象。

2.4 物聯(lián)網(wǎng)通信中的密鑰分配

除了認證用戶身份以外，還要對物聯(lián)網(wǎng)信息進行加密處理，所提方案以密鑰和PUF 函數(shù)協(xié)同作業(yè)的方式，構(gòu)建通信密鑰分配方案。

首先，選取隨機數(shù)SC 作為編號為i和編號為j的設(shè)備同步序列。其次，選取設(shè)備中的隨機參數(shù)，記為f1，該數(shù)據(jù)滿足關(guān)系分別計算編號為i的設(shè)備公鑰和私鑰，其中，公鑰部分的計算函數(shù)為Yi=fiP，私鑰計算函數(shù)為yi=s+fiH2(idi，idj，SC，Xi，Yi)。采用同樣的方法，計算編號為j的設(shè)備的公鑰和私鑰。分別將這兩個設(shè)備的計算結(jié)果代入函數(shù)中，嚴格按照公鑰和私鑰匹配管理方法，檢驗當(dāng)前計算結(jié)果是否匹配。如果匹配，則認為當(dāng)前消息符合完整性要求，反之，則認為當(dāng)前消息不完整。

為了提高物聯(lián)網(wǎng)通信安全性，降低管理架構(gòu)通信開銷，本研究按照上述方法構(gòu)建密鑰分配方案。通過調(diào)用函數(shù)，計算公鑰和私鑰結(jié)果，為同一消息分配公鑰和私鑰。用戶提出訪問申請后，需要保證輸入的信息滿足公鑰和私鑰匹配，才可以訪問成功。為了提高物聯(lián)網(wǎng)安全通信架構(gòu)作業(yè)效率，完善系統(tǒng)數(shù)據(jù)庫，每一次訪問結(jié)束后，數(shù)據(jù)庫中PUF 函數(shù)的參數(shù)都會更新。

3 實驗測試分析

本次實驗測試以設(shè)備密鑰分配耗費時間、設(shè)備消息安全傳遞時延、設(shè)備交互獲取消息安全性、通信開銷作為實驗測試內(nèi)容，開展10 組實驗，得到的測試結(jié)果分別如表1、表2、表3、表4 所示。

表1 設(shè)備密鑰分配耗費時間統(tǒng)計（單位：s）

表2 設(shè)備消息安全傳遞時延（單位：s）

表3 設(shè)備交互獲取消息安全性測試結(jié)果統(tǒng)計

表4 不同物聯(lián)網(wǎng)通信體系的通信開銷測試結(jié)果統(tǒng)計（單位：bit）

對比表1 中的3 種不同通信方案，文獻[8]和文獻[9]的通信方案在密鑰分配期間耗費的時間比較長，而本文提出的通信方案耗費時間明顯減少。所以，本設(shè)計方案在密鑰分配作業(yè)效率方面具備較大優(yōu)勢。

從測試結(jié)果來看，本設(shè)計方案的設(shè)備消息安全傳遞延時最少，不高于0.11 s，較其他兩種方案的優(yōu)勢更為顯著。

表3 的統(tǒng)計結(jié)果顯示，文獻[8]提及的物聯(lián)網(wǎng)通信方案和本研究設(shè)計的通信方案均具有較高的通信安全性，能夠有效識別用戶身份，消息內(nèi)容加密效果較好。

表4 中，與其他兩種物聯(lián)網(wǎng)通信方案相比，本研究提出的物聯(lián)網(wǎng)通信方案的開銷小一些，設(shè)備終端1 和設(shè)備終端2 的通信開銷下降的優(yōu)勢較為明顯，雖然服務(wù)器的開銷高于其他兩種物聯(lián)網(wǎng)通信方案，但是最大差值控制在50 bit 之內(nèi)。從整體來看，本研究的物聯(lián)網(wǎng)通信方案的設(shè)計能夠有效降低通信開銷，符合方案優(yōu)化需求。

4 結(jié)語

本文圍繞物聯(lián)網(wǎng)安全通信問題展開探究，針對以往通信方案存在的通信開銷高、作業(yè)效率較低、安全性薄弱等問題，選取PUF 函數(shù)作為研究工具，提出一種低開銷物聯(lián)網(wǎng)安全通信方案。該方案利用PUF 函數(shù)構(gòu)建通信體系，采取身份認證、消息加密兩層處理方式，對物聯(lián)網(wǎng)通信消息采取安全保護。測試結(jié)果顯示，本研究設(shè)計的通信方案不僅安全性較高，而且作業(yè)效率較高，密鑰分配耗時少，安全傳遞時延較短，通信開銷較小，可以作為物聯(lián)網(wǎng)通信工具。