劉碧微
(河南經(jīng)貿(mào)職業(yè)學(xué)院,河南 鄭州 450000)
近年來,物聯(lián)網(wǎng)通信在多個城市得以覆蓋,成為生活和工作網(wǎng)絡(luò)服務(wù)不可缺少的工具。目前,物聯(lián)網(wǎng)通信在環(huán)境監(jiān)測、智慧交通、醫(yī)療信息管理等多個領(lǐng)域有所應(yīng)用,隨著業(yè)務(wù)范圍的逐漸擴大,其安全問題得到了人們的重視[1]。為了提高物聯(lián)網(wǎng)通信的安全性,國內(nèi)開發(fā)了公鑰密碼方案和對稱密碼方案,這兩種方案雖然能夠加密物聯(lián)網(wǎng)消息,但是公鑰密碼方案計算量較大,對稱密碼方案無法實現(xiàn)消息簽名,不能挖掘消息源[2-3]。為了改進這兩種密鑰方案,提出一種雙線性密鑰方案,然而由于增加了計算開銷,所以也未能得到廣泛應(yīng)用。本文在以往研究的基礎(chǔ)上,嘗試選取PUF 函數(shù)作為研究工具,提出一種低開銷物聯(lián)網(wǎng)安全通信方案。
PUF 函數(shù)是一種創(chuàng)建映射關(guān)系的工具,根據(jù)相關(guān)設(shè)備的隨機性物理特征,將輸出響應(yīng)對象與輸入挑戰(zhàn)對象聯(lián)系到一起,形成映射關(guān)系,為身份驗證、信息加密等提供可靠工具[4]。該函數(shù)具有兩項特性,其中一種特性為不可預(yù)測性,另外一種特性為不可克隆性。目前,比較常見的PUF 函數(shù)作業(yè)裝置有環(huán)形振蕩器、仲裁器。相比之下,仲裁器的結(jié)構(gòu)更為簡單,使用過程中對傳輸路徑的要求較高。當(dāng)兩條路徑達到完全對稱時,誤差為0,然而實際操作中很難達到此條件要求[5-6]。環(huán)形振蕩器對傳輸路徑的對稱性要求不是很高,比較容易實現(xiàn)預(yù)期功能。所以,本研究以PUF 函數(shù)環(huán)形振蕩器作為研究工具,探究安全通信方案。
RO 陣列作為PUF 函數(shù)環(huán)形振蕩器的核心結(jié)構(gòu),通過作業(yè)產(chǎn)生時鐘信號,根據(jù)信號頻率差值來控制裝置的作業(yè)狀態(tài)。RO-PUF 結(jié)構(gòu)如圖1 所示。
圖1 RO-PUF 結(jié)構(gòu)
該結(jié)構(gòu)中,多個反相元件組成一個環(huán)形振蕩電路。其中,各個電路中反相元件的數(shù)量均為奇數(shù)。裝置作業(yè)期間產(chǎn)生的時鐘信號同時存在高電平和低電平。由于各類反相元件的制作工藝和使用的材料存在一定差異,所以各個元件作業(yè)所需的時延表現(xiàn)出較為顯著的差異性,導(dǎo)致各個電路的時鐘頻率有所不同。從理論層面來看,運用PUF 函數(shù)環(huán)形振蕩器來檢驗用戶身份,以信號特點為判斷依據(jù),配合密鑰技術(shù),能夠完成物聯(lián)網(wǎng)安全通信操作??紤]到該裝置作業(yè)計算工作量較少,通信開銷較小,并且具有良好的認證性能,所以本研究選擇PUF 函數(shù)環(huán)形振蕩器,設(shè)計低開銷物聯(lián)網(wǎng)安全通信方案。
本通信方案中信息的安全傳遞,每一次通信都需要開啟各個節(jié)點設(shè)備的通信模式,按照設(shè)定的安全管控方案,合理分配密鑰,將消息安全傳遞到服務(wù)器的另外一端。
本通信架構(gòu)中服務(wù)器參數(shù)的選取,首先,構(gòu)建橢圓曲線e:y2=x3+ax+bmodp。其次,從曲線e上選取群G,該群的生成元為P,階為q。再次,按照條件s∈Zq
*隨機選取私鑰,并計算對應(yīng)的公鑰Ppub=sP。與此同時,選取以下4 個哈希函數(shù):
將這4 個哈希函數(shù)與公鑰、私鑰結(jié)合到一起,構(gòu)建物聯(lián)網(wǎng)服務(wù)器作業(yè)基本參數(shù),如下:
本方案采取設(shè)備注冊方式,從設(shè)備中提取節(jié)點PUF參數(shù),將其作為物聯(lián)網(wǎng)通信密鑰分配參考依據(jù),同時也是創(chuàng)建設(shè)備物聯(lián)網(wǎng)通信的工具,借助服務(wù)器完成信息發(fā)送。關(guān)于設(shè)備注冊,首先確定設(shè)備(記為Nodei)節(jié)點,找到作業(yè)服務(wù)器(記為Server),隨機選取該裝置中的挑戰(zhàn)信號(記為ci)。其次,設(shè)備PUF 作業(yè)期間生成相應(yīng)信號(記為ri=PUFi(ci)),將這個信號存儲至三元組當(dāng)中,完成設(shè)備初始化管理。其中,三元組為(idi,ci,ri)。最后,消除節(jié)點設(shè)備PUF 外部的物聯(lián)網(wǎng)訪問接口。這種操作可以理解為設(shè)備作業(yè)期間,其內(nèi)部芯片獲取的數(shù)據(jù)只有一種,即滿足協(xié)議交互的數(shù)據(jù),在不采取任何處理的情況下,無法獲取“PUF 挑戰(zhàn)—響應(yīng)”對[7]。
為了提高物聯(lián)網(wǎng)通信安全性,本設(shè)計方案利用PUF 函數(shù)對用戶身份進行認證。通過檢驗用戶身份,從而提高信息訪問的安全性。該安全保護方案屬于第一層保護,第二層保護措施為通信密鑰處理。關(guān)于用戶身份認證,從設(shè)備中隨機選取一個數(shù)據(jù),記為n1,該數(shù)據(jù)滿足關(guān)系n1∈Zq*。當(dāng)用戶訪問網(wǎng)絡(luò),物聯(lián)網(wǎng)服務(wù)器會發(fā)送訪問請求,并將該用戶的id 及相關(guān)信息發(fā)送至安全中心。該行為表明,當(dāng)前用戶希望利用自己的網(wǎng)絡(luò)訪問終端與物聯(lián)網(wǎng)通信體系建立訪問連接。當(dāng)設(shè)備接收到該訪問信號以后,回復(fù)隨機數(shù),記為n2,該數(shù)據(jù)滿足關(guān)系n2∈Zq*。而后調(diào)用系統(tǒng)數(shù)據(jù)庫,遍歷與用戶id相符的相關(guān)信息。在此期間,H0:{0,1}*→{0,1}n哈希函數(shù)將投入使用,每一個哈希函數(shù)對應(yīng)不同類型的信息,創(chuàng)建信息關(guān)聯(lián)體系,并生成對比結(jié)果,向設(shè)備發(fā)送回復(fù)信息。
當(dāng)設(shè)備接收到安全管理中心發(fā)送的回復(fù)信息后,通過運行PUF 函數(shù)獲取相應(yīng)信號,利用此信號驗證當(dāng)前用戶的身份是否與系統(tǒng)數(shù)據(jù)庫的信息相匹配,即函數(shù)中的每一項指標(biāo)均相同。如果所有指標(biāo)均通過了檢驗,則認為當(dāng)前用戶身份得以認證,可以創(chuàng)建物聯(lián)網(wǎng)通信訪問連接。用戶身份通過認證以后,本研究設(shè)計的安全體系將開啟第二道安全管理模式,即通過密鑰分配,提高通信安全性。隨機選取設(shè)備中的信息,為其賦予秘密值,計算公開參數(shù),同時運行PUF 函數(shù),利用哈希函數(shù)展開計算,并將計算結(jié)果發(fā)送至服務(wù)器,創(chuàng)建用戶需要訪問的數(shù)據(jù)信息申請,同時鎖定密鑰分配對象。
除了認證用戶身份以外,還要對物聯(lián)網(wǎng)信息進行加密處理,所提方案以密鑰和PUF 函數(shù)協(xié)同作業(yè)的方式,構(gòu)建通信密鑰分配方案。
首先,選取隨機數(shù)SC 作為編號為i和編號為j的設(shè)備同步序列。其次,選取設(shè)備中的隨機參數(shù),記為f1,該數(shù)據(jù)滿足關(guān)系分別計算編號為i的設(shè)備公鑰和私鑰,其中,公鑰部分的計算函數(shù)為Yi=fiP,私鑰計算函數(shù)為yi=s+fiH2(idi,idj,SC,Xi,Yi)。采用同樣的方法,計算編號為j的設(shè)備的公鑰和私鑰。分別將這兩個設(shè)備的計算結(jié)果代入函數(shù)中,嚴格按照公鑰和私鑰匹配管理方法,檢驗當(dāng)前計算結(jié)果是否匹配。如果匹配,則認為當(dāng)前消息符合完整性要求,反之,則認為當(dāng)前消息不完整。
為了提高物聯(lián)網(wǎng)通信安全性,降低管理架構(gòu)通信開銷,本研究按照上述方法構(gòu)建密鑰分配方案。通過調(diào)用函數(shù),計算公鑰和私鑰結(jié)果,為同一消息分配公鑰和私鑰。用戶提出訪問申請后,需要保證輸入的信息滿足公鑰和私鑰匹配,才可以訪問成功。為了提高物聯(lián)網(wǎng)安全通信架構(gòu)作業(yè)效率,完善系統(tǒng)數(shù)據(jù)庫,每一次訪問結(jié)束后,數(shù)據(jù)庫中PUF 函數(shù)的參數(shù)都會更新。
本次實驗測試以設(shè)備密鑰分配耗費時間、設(shè)備消息安全傳遞時延、設(shè)備交互獲取消息安全性、通信開銷作為實驗測試內(nèi)容,開展10 組實驗,得到的測試結(jié)果分別如表1、表2、表3、表4 所示。
表1 設(shè)備密鑰分配耗費時間統(tǒng)計(單位:s)
表2 設(shè)備消息安全傳遞時延(單位:s)
表3 設(shè)備交互獲取消息安全性測試結(jié)果統(tǒng)計
表4 不同物聯(lián)網(wǎng)通信體系的通信開銷測試結(jié)果統(tǒng)計(單位:bit)
對比表1 中的3 種不同通信方案,文獻[8]和文獻[9]的通信方案在密鑰分配期間耗費的時間比較長,而本文提出的通信方案耗費時間明顯減少。所以,本設(shè)計方案在密鑰分配作業(yè)效率方面具備較大優(yōu)勢。
從測試結(jié)果來看,本設(shè)計方案的設(shè)備消息安全傳遞延時最少,不高于0.11 s,較其他兩種方案的優(yōu)勢更為顯著。
表3 的統(tǒng)計結(jié)果顯示,文獻[8]提及的物聯(lián)網(wǎng)通信方案和本研究設(shè)計的通信方案均具有較高的通信安全性,能夠有效識別用戶身份,消息內(nèi)容加密效果較好。
表4 中,與其他兩種物聯(lián)網(wǎng)通信方案相比,本研究提出的物聯(lián)網(wǎng)通信方案的開銷小一些,設(shè)備終端1 和設(shè)備終端2 的通信開銷下降的優(yōu)勢較為明顯,雖然服務(wù)器的開銷高于其他兩種物聯(lián)網(wǎng)通信方案,但是最大差值控制在50 bit 之內(nèi)。從整體來看,本研究的物聯(lián)網(wǎng)通信方案的設(shè)計能夠有效降低通信開銷,符合方案優(yōu)化需求。
本文圍繞物聯(lián)網(wǎng)安全通信問題展開探究,針對以往通信方案存在的通信開銷高、作業(yè)效率較低、安全性薄弱等問題,選取PUF 函數(shù)作為研究工具,提出一種低開銷物聯(lián)網(wǎng)安全通信方案。該方案利用PUF 函數(shù)構(gòu)建通信體系,采取身份認證、消息加密兩層處理方式,對物聯(lián)網(wǎng)通信消息采取安全保護。測試結(jié)果顯示,本研究設(shè)計的通信方案不僅安全性較高,而且作業(yè)效率較高,密鑰分配耗時少,安全傳遞時延較短,通信開銷較小,可以作為物聯(lián)網(wǎng)通信工具。