ارائه یک احراز هویت متقابل سبک وزن گروهی دستگاه ها در اینترنت اشیا
محورهای موضوعی : مهندسی برق و کامپیوتررضا سرابی میانجی 1 , سام جبه داری 2 * , ناصر مدیری 3
1 - دانشگاه آزاد اسلامی واحد تهران شمال
2 - دانشگاه آزاد اسلامی واحد تهران شمال
3 - دانشگاه آزاد اسلامی واحد زنجان
کلید واژه: احراز هویت سبکوزن, احراز هویت گروهی, اینترنت اشیا, توافق کلید,
چکیده مقاله :
اینترنت اشیا در حال تبدیلشدن به بزرگترین پلتفرم محاسباتی است و هر روزه شاهد افزایش تعداد دستگاههای این محیط هستیم. علاوه بر این، بیشتر اشیای این زیرساخت دارای محدودیتهای محاسباتی و حافظه میباشند و قادر به انجام عملیات پیچیده محاسباتی نیستند. این محدودیتها در بیشتر روشهای احراز هویت سنتی نادیده گرفته شدهاند. در ضمن در روشهای جدید احراز هویت این محیط، به مسأله مقیاسپذیری توجه زیادی نشده و بنابراین نیاز به یک احراز هویت سبکوزن، مقیاسپذیر احساس میشود. در این مقاله یک پروتکل احراز هویت سبکوزن ارائه شده که اشیا در گروههای مختلف قرار میگیرند و در هر گروه یک گره مدیر در نظر گرفته میشود و به عنوان نماینده از طرف بقیه گروه، عملیات احراز هویت را انجام میدهد. بنابراین به صورت گروهی احراز هویت انجام میگردد و پروتکل مقیاسپذیری بالای دارد. روش پیشنهادی هزینه محاسباتی گره و سرور را کاهش میدهد و حریم خصوصی را از طریق گمنامی گرهها فراهم میآورد. رازداری رو به جلو را بدون استفاده از رمزگذاری آسنکرون و همچنین توافق بر روی کلید جلسه را دارد. از ابزار AVISPA برای تأیید امنیتی روش پیشنهادی استفاده شده است. در روش ما، هزینه زمانی احراز هویت در گره و سرور نسبت به روشهای بررسیشده به ترتیب 8/7% و 5/3% کاهش یافته است.
The Internet of things is becoming the largest computing platform and we are seeing an increase in the number of devices in this environment. In addition, most Things in this infrastructure have the computational power and memory constraints. They cannot perform complex computational operations. These limitations have been ignored in most traditional authentication methods. Meanwhile, in the new methods of authentication of this environment, not much attention has been paid to the issue of scalability. Therefore, the need for a lightweight, scalable authentication is felt. In this paper, a lightweight authentication protocol is presented in which things are placed in different groups. In each group, a group manager node is considered and as an agent, it performs authentication on behalf of other members. Therefore, Authentication is done in groups, which makes the proposed protocol highly scalable. The proposed method reduces the computational cost of nodes and servers and provides privacy through node anonymity. In addition, it has forward-looking privacy without the use of asynchronous encryption and key agreement. The AVISPA tool has been used to confirm the security of the proposed method. In our method, the computation time of the node and server in authentication has been decreased by 7.8% and 3.5%, respectively, compared with reviewing protocols.
[1] M. Ammar, G. Russello, and B. Crispo, "Internet of Things: a survey on the security of IoT frameworks," J. Inf. Secur. Appl., vol. 38, pp. 8-27, Feb. 2018.
[2] K. Sha, W. Wei, T. Andrew Yang, Z. Wang, and W. Shi, "On security challenges and open issues in Internet of Things," Futur. Gener. Comput. Syst., vol. 83, pp. 326-337, Jun. 2018.
[3] Y. H. Chuang, N. W. Lo, C. Y. Yang, and S. W. Tang, "A lightweight continuous authentication protocol for the Internet of Things," Sensors, vol. 8, no. 4, Article No. 4, 26 pp., 2018.
[4] M. Dammak, O. Rafik, M. Boudia, M. A. Messous, S. M. Senouci, and C. Gransart, "Token-based lightweight authentication to secure IoT networks," in Proc. 16th IEEE Annu. Consum. Commun. Netw. Conf., 4 pp., Las Vegas, NV, USA, 11-14 Jan. 2019.
[5] Z. Xu, C. Xu, W. Liang, J. Xu, and H. Chen, "A lightweight mutual authentication and key agreement scheme for medical Internet of Things," IEEE Access, vol. 7, pp. pp. 53922-53931, 2019.
[6] L. Harn, "Group authentication," IEEE Trans. Comput., vol. 62, no. 9, pp. 1893-1898, Sept. 2013.
[7] A. Gupta, "A lightweight mutually authenticated key-agreement scheme for wireless body area networks in Internet of things environment," in Proc. of the 24th Annual Int. Conf. on Mobile Computing and Networking, pp. 804-806, New Delhi, India, 29 Oct.-2 Nov. 2018.
[8] M. Hamada, S. Kumari, and A. Kumar, "Secure anonymous mutual authentication for star two-tier wireless body area networks," Comput. Methods Programs Biomed., vol. 135, pp. 37-50, Oct. 2016.
[9] C. Chen, B. Xiang, T. Wu, and K. Wang, "An anonymous mutual authenticated key agreement scheme for wearable sensors in wireless body area networks," Appl. Sci., vol. 8, no. 7, Article No.: 1074, 2018.
[10] P. Punithavathi, S. Geetha, M. Karuppiah, S. K. H. Islam, M. M. Hassan, and K. R. Choo, "A lightweight machine learning-based authentication framework for smart IoT devices," Inf. Sci., vol. 84, pp. 255-268, May 2019.
[11] K. Fan, Y. Gong, C. Liang, H. Li, and Y. Yang, "Lightweight and ultralightweight RFID mutual authentication protocol with cache in the reader for IoT in 5G," Secur. Commun. Networks, vol. 9, pp. 3095-3104, 2016.
[12] K. Fan, P. Song, and Y. Yang, "ULMAP: ultralightweight NFC mutual authentication protocol with pseudonyms in the tag for IoT in 5G," Mob. Inf. Syst., vol. 2017, Article No.: 2349149, 7 pp., 2017.
[13] M. Durairaj and K. Muthuramalingam, "A new authentication scheme with elliptical curve cryptography for Internet of Things (IoT) environments," Int. J. Eng. Technol., vol. 7, no. 2.26, pp. 119-124, 2018.
[14] G. Sharma and S. Kalra, "A lightweight user authentication scheme for cloud-IoT based healthcare services," Iranian J. of Science and Technology-Trans. of Electrical Engineering, vol. 43, pp. 619-636, 2019.
[15] A. Xiang and J. Zheng, "A situation-aware scheme for efficient device authentication in smart grid-enabled home area networks," Electronics, vol. 9, no. 6, Article No.: 989, 2020.
[16] P. Kumar and L. Chouhan, "A privacy and session key based authentication scheme for medical IoT networks," Comput. Commun., vol. 166, pp. 154-164, 15 Jan. 2021.
[17] M. N. Aman, K. C. Chua, and B. Sikdar, "Mutual authentication in IoT systems using physical unclonable functions," IEEE Internet Things J., vol. 4, no. 5, pp. 1327-1340, Oct. 2017.
[18] M. T. Hammi, B. Hammi, P. Bellot, and A. Serhrouchni, "Bubbles of trust: a decentralized blockchain-based authentication system for IoT," Comput. Secur., vol. 78, pp. 126-142, Sept. 2018.
[19] L. Zhou, X. Li, K. H. Yeh, C. Su, and W. Chiu, "Lightweight IoT-based authentication scheme in cloud computing circumstance," Futur. Gener. Comput. Syst., vol. 91, pp. 244-251, Feb. 2019.
[20] Y. Chen, W. Xu, L. Peng, and H. Zhang, "Light-weight and privacy-preserving authentication protocol for mobile payments in the context of IoT," IEEE Access, vol. 7, pp. 15210-15221, 2019.
[21] D. Dolev and A. Yao, "On the security of public key protocols," IEEE Trans. Inf. Theory, vol. 29, no. 2, pp. 198-208, Mar. 1983.
[22] A. Armando, D. Basin, Y. Boichut, Y. Chevalier, and L. Compagna, "The AVISPA Tool for the Automated Validation," pp. 281-285.
[23] R. Amin and G. P. Biswas, "A secure light weight scheme for user authentication and key agreement in multi-gateway based wireless sensor networks," Ad Hoc Networks, vol. 36, pt. 1, pp. 58-80, Jan. 2016.
نشریه مهندسی برق و مهندسی كامپیوتر ایران، ب- مهندسی کامپیوتر، سال 19، شماره 3، پاییز 1400 203
مقاله پژوهشی
ارائه یک احراز هویت متقابل سبکوزن
گروهی دستگاهها در اینترنت اشیا
رضا سرابی میانجی، سام جبهداری و ناصر مدیری
چكیده: اینترنت اشیا در حال تبدیلشدن به بزرگترین پلتفرم محاسباتی است و هر روزه شاهد افزایش تعداد دستگاههای این محیط هستیم. علاوه بر این، بیشتر اشیای این زیرساخت دارای محدودیتهای محاسباتی و حافظه میباشند و قادر به انجام عملیات پیچیده محاسباتی نیستند. این محدودیتها در بیشتر روشهای احراز هویت سنتی نادیده گرفته شدهاند. در ضمن در روشهای جدید احراز هویت این محیط، به مسأله مقیاسپذیری توجه زیادی نشده و بنابراین نیاز به یک احراز هویت سبکوزن، مقیاسپذیر احساس میشود. در این مقاله یک پروتکل احراز هویت سبکوزن ارائه شده که اشیا در گروههای مختلف قرار میگیرند و در هر گروه یک گره مدیر در نظر گرفته میشود و به عنوان نماینده از طرف بقیه گروه، عملیات احراز هویت را انجام میدهد. بنابراین به صورت گروهی احراز هویت انجام میگردد و پروتکل مقیاسپذیری بالای دارد. روش پیشنهادی هزینه محاسباتی گره و سرور را کاهش میدهد و حریم خصوصی را از طریق گمنامی گرهها فراهم میآورد. رازداری رو به جلو را بدون استفاده از رمزگذاری آسنکرون و همچنین توافق بر روی کلید جلسه را دارد. از ابزار AVISPA برای تأیید امنیتی روش پیشنهادی استفاده شده است. در روش ما، هزینه زمانی احراز هویت در گره و سرور نسبت به روشهای بررسیشده به ترتیب 8/7% و 5/3% کاهش یافته است.
کلیدواژه: احراز هویت سبکوزن، احراز هویت گروهی، اینترنت اشیا، توافق کلید.
1- مقدمه
اینترنت اشیا نقش بسیار مهمی در زندگی روزمره ما بازی میکند. از این تکنولوژی در مراقبتهای سلامتی، اتومبیلها، سرگرمیها، تجهیزات صنعتی، ورزشها، خانههای هوشمند و غیره استفاده میشود [1].
تا سال 2020، بیش از 50 میلیارد دستگاه به اینترنت اشیا متصل شدند. سرعت اتصال دستگاههای مختلف به اینترنت بسیار زیاد و شباهت همه این دستگاهها توانایی اتصال به اینترنت و تبادل اطلاعات است. با استفاده از این دستگاهها دادهها از دنیای فیزیکی جمعآوری میشوند و با آنالیز دادههای جمعشده، دنیای هوشمند ایجاد میگردد و تصمیمگیری بهتر برای مدیریت انجام میگیرد [2].
از آنجایی که بیشتر حسگرها در محیط اینترنت اشیا در دسترس مهاجمان قرار دارند، امنیت فیزیکی سختافزارها و امنیت اطلاعات برای ارتباطات دستگاهها به نگرانیهای جدی برای توسعه زیرساخت اینترنت اشیا تبدیل شده است. همچنین در اینترنت اشیا از سختافزارهای ناهمگن با قابلیتهای متفاوت استفاده میشود. این موضوعات باعث به وجود آمدن انواع مشکلات پیچیده امنیتی میگردد که اگر مورد توجه قرار نگیرند، میتوانند جلوی استفاده از برنامههای کاربردی اینترنت اشیا را بگیرند. به عنوان مثال میتوان به دو حوزه کاری خانههای هوشمند و سیستمهای مراقبت پزشکی هوشمند اشاره کرد که در آنها حفاظت از اطلاعات بسیار ضروری و حیاتی است.
احراز هویت فرایندی است برای تشخیص این که یک موجودیت واقعاً همان کسی یا چیزی میباشد که ادعا میکند و یکی از مهمترین فرایندها در زنجیره کنترل دسترسی است، زیرا سایر عملیات انتقال داده و امنیت پس از فرایند احراز هویت انجام میشوند. بنابراین احراز هویت اصلیترین مکانیزم امنیتی در اینترنت اشیا است و هدف آن مشخصکردن درستی هر موجودیت مثل دستگاه یا کاربر است [3].
اما احراز هویت در اینترنت اشیا با چالشهایی همراه است که میتوان به موارد زیر اشاره نمود:
• دستگاههای اینترنت اشیا دارای محدودیت منابع هستند و به صورت مداوم دادههای حساسی را انتقال میدهند [4].
• دستگاهها دارای قدرت محاسباتی محدود بوده و فضای ذخیرهسازی کمی دارند و توانایی رمزنگاری و رمزگشایی نامتقارن را ندارند [3].
• دستگاههای اینترنت اشیا در کانال ناامن، اطلاعات مبادله میکنند و مهاجمان به راحتی به این کانال دسترسی دارند [4].
• با به خطر افتادن یک کلید جلسه، امکان استنباط کلیدهای جلسه قبلی وجود دارد و بیشتر روشهای احراز هویت، قابلیت رازداری رو به جلو را پشتیبانی نمیکنند [4].
• به دلیل بازبودن و تحرک شبکههای بیسیم محیط اینترنت اشیا، مهاجم میتواند به راحتی اطلاعات مبادلهشده در کانال را سرقت یا جعل کند و باعث نقض حریم خصوصی کاربر گردد. در سیستمهایی از قبیل مراقبت پزشکی، سرقت یا جعل اطلاعات میتواند عواقب بسیار جدی به همراه داشته باشد و حتی میتواند باعث به خطر انداختن جان بیمار گردد [5].
• دستگاههای اینترنت اشیا ناهمگن هستند و از پروتکلهای مختلف استفاده مینمایند.
• به علت محدویت منابع، دستگاهها از روشهای قدیمی احراز هویت نمیتوانند استفاده کنند.
احراز هویت گروهی یکی از بهترین راه حلها برای به حداقل رساندن بار کاری در سرور و شبکه است. میلیونها گره در اینترنت اشیا میتوانند در گروههایی قرار گیرند و به جای ارسال تمام درخواستهای احراز هویت به سرور، میتوان از احراز هویت گروهی استفاده نمود که باعث کاهش بار کاری سرور و شبکه میشود. ایده احراز هویت گروهی توسط Harn در [6] پیشنهاد شد و توسط Chien توسعه یافت. این تحقیقات، محدودیت منابع را در نظر نمیگیرند و در اینترنت اشیا قابل استفاده نیستند.
بنابراین در این مقاله یک احراز هویت متقابل سبکوزن گروهی برای اینترنت اشیا پیشنهاد میشود که باعث افزایش سرعت احراز هویت خواهد شد. برای این منظور، اشیا در گروههایی قرار میگیرند و در هر گروه به جای احراز هویت تکتک گرهها، فقط گره اصلی اقدام به احراز هویت میکند و پس از احراز هویت به پخش کلید جلسه بین اعضای گروه اقدام مینماید. این امر باعث کاهش تعداد احراز هویتها و در نتیجه کاهش مدت زمان احراز هویت کل گرهها میشود. همچنین در احراز هویت از عملگرهای رمزنگاری آسنکرون استفاده نشده و فقط از عملگرهای XOR و Hash استفاده میشود. بنابراین این روش، یک پروتکل احراز هویت سبکوزن است. روش پیشنهادی ما دارای قابلیتهای زیر است:
• امکان احراز هویت گروهی دستگاهها را فراهم میآورد. برای این منظور اشیا در گروههای متفاوت قرار میگیرند و به صورت گروهی احراز هویت انجام میشود که این امر باعث مقیاسپذیری بالای پروتکل پیشنهادی میگردد.
• رازداری رو به جلو را بدون استفاده از رمزگذاری آسنکرون فراهم میآورد.
• احراز هویت متقابل سبکوزن و توافق کلید در این روش وجود دارد. هر زوج دستگاه میتوانند در صورت نیاز، یکدیگر را احراز هویت نمایند و بر سر کلید جلسه توافق کنند.
• برای آن که از این روش احراز هویت بتوان در دستگاهها با منابع محدود استفاده کرد فقط از عملگرهای محاسباتی سبک Hash و XOR استفاده شده است.
• طرح ما دارای ریسک امنیتی پایینی بوده و هزینه محاسباتی کمی دارد.
• از ابزار AVISPA برای تأیید امنیتی طرح و آنالیز امنیتی استفاده شده است.
• هزینه زمانی احراز هویت در گره و سرور نسبت به روشهای بررسیشده به ترتیب 8/7% و 5/3% کاهش یافته است.
این مقاله شامل این مفاهیم است: ادبیات احراز هویت اینترنت اشیا در بخش 2 بیان میگردد و مدلهای سیستم در بخش 3 ارائه میشود. در بخش 4 روش پیشنهادی آمده و شبیهسازی مقاله در بخش 5 است. ارزیابی زمان اجرای پروتکل پیشنهادی در بخش 6 و در بخش 7 ارزیابی امنیتی در مقابل حملات بیان میگردد. در ادامه، در بخش 8 مقایسه با روشهای دیگر ارائه میشود و نتیجهگیری نهایی در بخش 9 قرار دارد.
2- کارهای مرتبط
با توجه به این که محیط اینترنت اشیا تا حدودی ناامن است و تجهیزات موجود در این محیط دارای محدودیت منابع محاسباتی و حافظه میباشند، بنابراین نیاز به احراز هویت سبکوزن در این محیط احساس میشود. اخیراً کارهای زیادی در این زمینه انجام شده است. در این بخش کارهای احراز هویت موجود در اینترنت اشیا مورد بررسی قرار میگیرد.
در [7] یک طرح احراز هویت متقابل سبکوزن با توافق کلید برای شبکههای WBAN با استفاده از عملگر XOR و تابع Hash ارائه شده است. هدف این طرح ایجاد احراز هویت بین گرههای حسگر پوشیدنی و دستگاه ترمینال و کاربران است. در [5] یک روش احراز هویت برای معماری WBAN ارائه شده است. این روش، یک پروتکل احراز هویت سبکوزن متقابل و توافق کلید برای معماری WBAN است. برای این منظور از عملگر XOR و توابع Hash استفاده میکند و بدون استفاده
از رمزنگاری آسنکرون رازداری رو به جلو را گارانتی میکند. این روش
در مقایسه با روشهای رمزنگاری آسنکرون دارای هزینه محاسباتی کمی است.
در [4] یک روش احراز هویت سبک کاربر بر اساس توکن در محیط اینترنت اشیا ارائه شده که استفاده از توکن باعث افزایش قدرت احراز هویت میشود. در این روش از توکنهای زماندار برای رسیدن به هدف رازداری رو به جلو و همچنین عملگر ساده XOR و تابع Hash استفاده شده است. توکن، راه حلی مؤثر برای احراز هویت بین کاربر و دستگاههای هوشمند به وجود میآورد. استفاده از توکن ریسک دزدیدهشدن فاکتور احراز هویت را کاهش میدهد و نسبت به نام کاربری و کلمه عبور نیاز به تلاش کمتری از جانب کاربر دارد. در [8] روش احراز هویت متقابل سبکوزن و توافق کلید برای شبکه بیسیم بدن پیشنهاد شده است. برای این منظور در [9] روشی با هزینه محاسباتی کمتر نسبت به [8] ارائه شده که در مقابل حملات مختلف مقاوم است.
در [10] یک چارچوب سبکوزن برای احراز هویت در محیط ابر ارائه شده که شبیه یک سیستم رمزنگاری است و چندین الگو میتواند از یک منبع بیومتریک ساده ایجاد گردد که هیچ یک از الگوها با هم ارتباطی ندارند. کاربر با استفاده از برنامههای کاربردی مختلف و الگوهای مختلف میتواند ثبت نام نماید و الگوی بیومتریک اصلی فاش نمیشود و عملیات باطلسازی بسیار راحتی دارد، فقط کافی است که الگوی جدید ایجاد گردد و جایگزین الگوی قدیمی شود.
در [11] یک طرح احراز هویت برای برنامههای کاربردی مبتنی بر RFID اینترنت اشیا در موبایلهای نسل 5 ارائه شده که کلیدها در حافظه نهان ذخیره میگردند و برای احراز هویت استفاده میشوند و سرعت احراز هویت را بالا میبرند و هزینههای محاسبات را کاهش میدهند و امنیت مخزن افزایش مییابد.
در [12] طرح احراز هویت متقابل برای برنامههای کاربردی مبتنی بر NFC موبایلهای نسل 5 ارائه شده است. در این طرح از عملگرهای XOR و شیفت برای انجام و ذخیره ساختارهای برچسبهای NFC استفاده شده است. آنها به جای شناسه واقعی از اسامی مستعار استفاده کردهاند تا ناشناسبودن برچسبها را فراهم آورند. در [13] یک طرح احراز هویت ناشناس اینترنت اشیا بر روی ECC سبکوزن ارائه شده که شامل دو مرحله اصلی است. این مراحل شامل ثبت نام و احراز هویت است. در این تحقیق، مقایسهای بین ECC و RSA با استفاده از زمان مورد نیاز برای رمزگذاری و رمزگشایی با استفاده از اندازه کلیدهای متفاوت انجام شده است.
در [14] یک احراز هویت سبکوزن کاربر برای سیستم مراقبتهای پزشکی بر پایه ابر ارائه شده است. این روش در برابر حملات مختلف مقاوم است و هزینه محاسباتی مناسبی دارد. در [15]، یک پروتکل احراز هویت دستگاه برای خانه هوشمند، با استفاده از تابع Hash و رمزگذاری ارائه شده که این روش دارای قابلیتهای امنیتی بسیار بالایی است. در [16] یک طرح احراز هویت برای اینترنت اشیای پزشکی پیشنهاد شده که
[1] این مقاله در تاریخ 27 مهر ماه 1399 دریافت و در تاریخ 16 شهریور ماه 1400 بازنگری شد.
رضا سرابی میانجی، گروه مهندسی کامپیوتر، واحد تهران شمال، دانشگاه آزاد اسلامی، تهران، ایران، (email: reza.sarabi@gmail.com).
سام جبهداری (نویسنده مسئول)، گروه مهندسی کامپیوتر، واحد تهران شمال، دانشگاه آزاد اسلامی، تهران، ایران، (email: s_jabbehdari@iau-tnb.ac.ir).
ناصر مدیری، گروه مهندسی کامپیوتر، دانشکده مهندسی برق و کامپیوتر، واحد زنجان، دانشگاه آزاد اسلامی، زنجان، ایران، (email: nassermodiri@chmail.ir).
شکل 1: معماری اینترنت اشیا برای سناریوی بیمارستان هوشمند.
جدول 1: روشهای پیشین احراز هویت در اینترنت اشیا.
معایب | روش احراز هویت | ردیف |
نیاز به دستتکانی دارد. هزینه مصرف بالا است. فضای ذخیرهسازی زیادی نیاز دارد. توجهی به محدودیت منابع ندارد. نیاز به گواهینامه احراز هویت دارد. | مبتنی بر صدور گواهینامه | 1 |
نیاز به زمان زیادی برای ایجاد نشست دارد. احراز هویت اضافی برای کاربران ایجاد میشود. دستگاهها نیاز به توانایی انجام پیچیده رمزنگاری دارند. فرایندهای پیچیده محاسباتی انجام میگیرد. | مبتنی بر رمزنگاری | 2 |
نیاز به جمعآوری مداوم اطلاعات از محیط دارد. | مبتنی بر روشهای غیر رمزنگاری | 3 |
در برابر حملات جعل هویت، حدسزدن رمز عبور، مرد میانی1 و پخش مجدد مقاوم است. هزینه محاسباتی گره و سرور در این روش بالا است.
در [17] یک پروتکل برای احراز هویت بین کاربر و سرور ارائه شده که یک احراز هویت دومرحلهای برای دستگاههای اینترنت اشیا است. کلمه عبور به عنوان فاکتور اول احراز هویت استفاده میشود و PUF به عنوان فاکتور دوم احراز هویت مورد استفاده قرار میگیرد. در [18] یک طرح احراز هویت برای سیستمهای اینترنت اشیا با استفاده از بلاکچین به
نام Bubbles-of-Trust و در [19] یک طرح احراز هویت دو فاکتور سبکوزن ارائه شده است. این طرح بر پایه تابع Hash و عملگر XOR است. در [20] یک پروتکل سبکوزن احراز هویت و حفظ حریم خصوصی برای پرداخت تلفن همراه در اینترنت اشیا ارائه گردید. در این پروتکل با قراردادن محاسبات بر روی پلتفرم پرداخت با قدرت محاسباتی بالا، کارایی بهبود یافته است.
در جدول 1 گروهبندی از روشهای احراز هویت در اینترنت اشیا، ارائه و معایب هر روش احراز هویت نیز بیان شده است. با توجه به معایب دو روش مبتنی بر صدور گواهینامه و مبتنی بر رمزنگاری در اینترنت اشیا، تمایل به استفاده از روش غیر رمزنگاری زیاد است و اخیراً تحقیقات زیادی در این روش انجام گرفته است.
3- مدلهای سیستم
3-1 مدل شبکه پیشنهادی
به منظور بررسی روش پیشنهادی، یک سناریو از محیطهای اینترنت اشیا ارائه شده تا تقاضای احراز هویت سبکوزن نشان داده شود. این سناریو (شکل 1) مرتبط با سیستم بیمارستان هوشمند است. برای پیادهسازی سیستم بیمارستان هوشمند باید حسگرها در بخشهای مختلف بیمارستان و حتی متصل به بدن بیماران وجود داشته باشند. گرههای حسگر میتوانند دادههای بااهمیت مانند دمای بدن، نوار قلب، فشار خون و سایر اطلاعات زیستمحیطی بیمار را به دست آورند. تمام دادههای حسشده در یک سرور در محیط ابری و یا سرور محلی جمعآوری میشوند. پزشکان و پرستاران میتوانند به صورت بلادرنگ وضعیت بیماران و اطلاعات محیطی هر بخش را از طریق سیستم مشاهده و بررسی کنند. در این سناریو دادههای حسشده نیز باید در یک بازه زمانی کوتاه به صورت دورهای به سرور منتقل شوند. در این سناریو فرض شده که حسگرها دارای منابع محدودی هستند که از یک یا چند باتری تغذیه میشوند و از قدرت محاسباتی و فضای ذخیرهسازی کمی برخوردار هستند. هر حسگر قادر به انجام عملیات XOR و تابع Hash است و از یک تولیدکننده عدد تصادفی برای تولید اعداد تصادفی برخوردار است. همچنین دروازهها و سرورها دارای منابع نامحدود و توانایی محاسبات کافی برای انجام عملیات Hash و تولید اعداد تصادفی هستند و حافظه ذخیرهسازی برای ذخیره مقادیر موقتی و جداول داده را دارند.
[1] . Man-in-the-Middle Attacks
شکل 2: گروهبندی گرههای سنسور به سه گروه.
جدول 2: نمادها و تعاریف.
نماد | توضیحات |
| |
| گره عضو گروه |
| شناسه سرور |
| شناسه گره مدیر گروه |
| تابع یکطرفه Hash |
| مهر زمانی |
| عملگر XOR |
| الحاق دو رشته |
| توکن |
| کلید جلسه |
| کلید اصلی سرور |
3-2 مدل تهدید
در این مقاله مدل تهدید Dolev-Yao [21] استفاده میشود که فرض میکند گرههای حسگر و سرورها در یک کانال ناامن ارتباط برقرار میکنند. سرور به عنوان گره قابل اعتماد است اما مهاجم میتواند به پایگاه داده سرور نفوذ کند و تمام دادههای موجود در آن را به جز کلید اصلی سرور به دست آورد.
همچنین مهاجم توانایی به دست آوردن تمام دادههای مبادلهشده در کانال ارتباطی را دارد و میتواند دادههای جدیدی در کانال تزریق کند.
در ضمن دادههای ارسالی موجود در کانال را میتواند با مقادیر جدید جایگزین کرده و از نو در کانال ارتباطی ارسال نماید. حسگرها به دلیل محدودیت هزینه مالی از نظر فیزیکی محافظت نمیشوند و در نتیجه مهاجم میتواند دادههای ذخیرهشده در حافظه گره حسگر را استخراج کند و از آنها برای انجام کارهای مخرب استفاده نماید.
4- طرح پیشنهادی
با توجه به محدودیت دستگاههای اینترنت اشیا، از احراز هویت قدیمی و سنتی مبتنی بر کلید عمومی- خصوصی و گواهینامه نمیتوان در این محیط استفاده نمود. در ضمن بایستی احراز هویت را با حداقل هزینه محاسباتی و ارتباطی انجام داد. روشهای احراز هویت ارائهشده دارای مشکلاتی از قبیل هزینه محاسبات بالا، نیاز به حافظه بالا، هزینه ارتباطات بالا، عدم حفظ حریم خصوصی و ضعف در برابر حملات امنیتی هستند.
در طرح ارائهشده گرههای حسگر به سه گروه مطابق شکل 2 تقسیم میشوند. حال در هر گروه یک گره مدیر داریم که برای کل گروه عملیات احراز هویت را انجام میدهد و پس از احراز هویت، کلید جلسه را بین گرههای عضو گروه پخش میکند. این امر باعث کاهش تعداد و مدت زمان اجرای احراز هویت میشود. بنابراین هزینه زمانی و هزینه ارتباطات برای گرههای سرور و سنسور کاهش مییابد.
در هر گروه به جای احراز هویت تکتک گرهها فقط گره مدیر اقدام به احراز هویت مینماید و پس از احراز هویت نسبت به پخش کلید جلسه بین اعضای گروه اقدام میکند. این امر باعث کاهش تعداد احراز هویتها و در نتیجه کاهش مدت احراز هویت کل گرهها میشود. همچنین در این احراز هویت از عملگرهای رمزنگاری استفاده نشده و فقط از عملگر XOR و تابع Hash استفاده شده است. بنابراین این روش یک پروتکل احراز هویت سبکوزن است. برای بیان احراز هویت از نمادهای جدول 2 استفاده میشود. در ادامه، فازهای طرح ارائه شده است.
4-1 فاز مقداردهی اولیه
این مرحله توسط مدیر سیستم انجام میگیرد:
• مدیر سیستم یک کلید اصلی برای سرور در نظر میگیرد.
• این کلید در حافظه سرور ذخیره میگردد.
شکل 3: فاز احراز هویت.
• در ضمن برای هر گروه، گره مدیر گروه و گرههای عضو گروه مشخص میشوند.
4-2 فاز ثبت نام گره مدیر گروه
توسط سرور برای هر گروه یک شناسه یکتا ، مقدار یکتای و مقدار تصادفی در نظر گرفته میشود.
• توسط مدیر سیستم مقادیر زیر محاسبه میگردد
• رکورد در حافظه گره مدیر گروه ذخیره میگردد.
• رکورد در حافظه سرور ذخیره میگردد.
4-3 فاز احراز هویت
در مرحله احراز هویت (شکل 3)، گره مدیر گروه و سرور به طور متقابل یکدیگر را احراز هویت میکنند.
4-4 فاز پخش کلید بین گره مدیر و گرههای عضو گروه
پس از آن که احراز هویت توسط گره مدیر گروه انجام گردید، کلید جلسه توسط مدیر گروه بین بقیه اعضای گروه پخش میشود. اعضای گروه تا زمان اعتبار کلید جلسه میتوانند بدون انجام احراز هویت از آن استفاده نمایند. در ضمن برای پخش کلید از روش الگوی اشتراک رمز1 استفاده شده است.
5- شبیهسازی
در این بخش، شبیهسازی با استفاده از AVISPA ارائه شده و نشان میدهد که پروتکل در مقابل حملات امنیتی مقاوم است.
توضیحات و اطلاعات بیشتر در این خصوص را در [21] تا [23] میتوانید پیدا نمایید. برای روش ارائهشده، جلسههای groupmanager، server، goal و environment در زبان HLPS مطابق شکل 4 پیادهسازی شدهاند.
[1] . Secret Sharing Scheme
شکل 4: کد احراز هویت با HLPSL.
شکل 5: نتیجه OFMC.
نتایج شبیهسازی ابزار AVISPA برای مدل OFMC و CL-AtSe نشان میدهد که طرح پیشنهادی تحت مدل OFMC (شکل 5) و مدل CL-AtSe (شکل 6) امن است و در برابر حملات فعال و غیر فعال از جمله حملات پخش مجدد و مرد میانی مقاوم است و روش ارائهشده را از نظر امنیتی تأیید مینماید.
6- ارزیابی زمان اجرای پروتکل پیشنهادی
یکی از مهمترین اهداف در انجام این پژوهش، کاهش زمان اجرای
شکل 6: نتیجه CL-AtSe.
احراز هویت در گروهها است و بنابراین در ادامه متوسط زمان اجرای احراز هویت به صورت دقیق بیان میشود. برای این منظور جدول 3 شامل نمادها و توضیحات مربوط در نظر گرفته میشود تا با استفاده از آنها متوسط زمان اجرای احراز هویت گروه به دست آید.
متغیرهای تصادفی برای از یکدیگر مستقل بوده و دارای توزیع پواسون با میانگین به ازای هستند. بنابراین برای احراز هویت در گروه اول، برآورد زمان انجام کار در سیستم به
جدول 3: نمادها و توضیحات برای به دست آوردن متوسط زمان احراز هویت در گروه.
توضیحات | ویژگی | نماد |
مدت زمان احراز هویت | عدد ثابت مشخص |
|
مدت زمان پخش کلید جلسه در گروه اول | عدد ثابت مشخص |
|
مدت زمان پخش کلید جلسه در گروه دوم | عدد ثابت مشخص |
|
مدت زمان پخش کلید جلسه در گروه سوم | عدد ثابت مشخص |
|
بازه زمانی بین هر احراز هویت گروه اول | عدد ثابت مشخص |
|
بازه زمانی بین هر احراز هویت گروه دوم | عدد ثابت مشخص |
|
بازه زمانی بین هر احراز هویت گروه سوم | عدد ثابت مشخص |
|
تعداد احراز هویت گروه اول که برابر تعداد است | عدد ثابت مشخص |
|
تعداد احراز هویت گروه دوم که برابر تعداد است | عدد ثابت مشخص |
|
تعداد احراز هویت گروه سوم که برابر تعداد است | عدد ثابت مشخص |
|
تعداد گرههایی که در بازه در گروه اول عملیات احراز هویت انجام میدهند | متغیر تصادفی |
|
تعداد گرههایی که در بازه در گروه دوم عملیات احراز هویت انجام میدهند | متغیر تصادفی |
|
تعداد گرههایی که در بازه در گروه سوم عملیات احراز هویت انجام میدهند | متغیر تصادفی |
|
متوسط تعداد نیاز به احراز هویت گرهها در گروه اول در بازه | عدد ثابت مشخص |
|
متوسط تعداد نیاز به احراز هویت گرهها در گروه دوم در بازه | عدد ثابت مشخص |
|
متوسط تعداد نیاز به احراز هویت گره در گروه سوم در بازه | عدد ثابت مشخص |
|
صورت (1) است
(1)
برای احراز هویت در گروه دوم برآورد زمان انجام کار در سیستم به صورت (2) خواهد بود
(2)
همچنین برای احراز هویت در گروه سوم برآورد زمان انجام کار در سیستم به صورت (3) است
(3)
پس از به دست آوردن ماکسیمم مقادیر (فرمول (4))، میانگین نهایی زمان اجرای احراز هویت با استفاده از (5) به دست میآید
(4)
(5)
بر اساس نظر افراد خبره مقدار برای بزرگترین بین 3 تا 8 میتواند باشد. اگر بدترین مقدار (3) را در نظر بگیریم مقدار میانگین زمانی به صورت (6) است
(6)
7- ارزیابی امنیتی در مقابل حملات
7-1 حمله جعل هویت گره
مهاجمان همواره در صدد نفوذ به گرههای مختلف میباشند. در صورتی که مهاجم به هر نحوی بتواند به گره نفوذ کند و اطلاعات ، ، و موجود در حافظه آن را به دست آورد. از آنجایی که تمام این مقادیر Hash هستند، مهاجم اطاعات مفیدی از و نمیتواند به دست آورد. همچنین مهاجم نمیتواند یا را از به دست آورد زیرا تصادفی و تازه است. همچنین مقادیر و در گرههای مختلف متفاوت است. بنابراین مهاجم نمیتواند ، ، و یا ، ، و را ایجاد نماید. در نتیجه طرح پیشنهادی ما، مقابله با حمله جعل هویت گره را تضمین میکند.
7-2 رازداری رو به جلو و رازداری رو به عقب
با توجه به افزایش قدرت نفوذ مهاجمان، رازداری رو به جلو و
رازداری رو به عقب اخیراً مورد توجه زیادی قرار گرفته است. در روش
ما، کلید جلسه به صورت به دست میآید که و مقدار تصادفی تولیدشده در احراز هویتها میباشند و را داریم که در آن مقادیر ، و در هر احراز هویت ایجاد میشوند. این وابستگی به مقادیر لحظهای باعث میشود که اگر به هر نحوی کلید جلسه توسط مهاجم کشف شود، او نتواند کلیدهای جلسه قبلی یا بعدی را حدس بزند. پس با توجه به این که مقادیر و در هر احراز هویت به صورت تصادفی و جدید هستند، بنابراین در هر احراز هویت متفاوت خواهد بود. حتی اگر مهاجم تمام دادههای قبلی کانال را به دست آورد و کلید اصلی را کشف کند، در این صورت او میتواند و همان احراز هویت را به دست آورد و نمیتواند کلیدهای جلسه قبلی را به دست آورد، زیرا هرگز در کانال منتقل نمیشود. فقط یک راه برای به دست آوردن وجود دارد و آن مشاهده اطلاعات گره است. با وجود این، در صورت مشاهده و ضبط اطلاعات گره، مهاجم فقط میتواند آخرین را به دست آورد و تمام ها را نمیتواند به دست آورد زیرا مقدار پارامتر دور قبلی توسط تابع Hash رمزگذاری شدهاند. بنابراین طرح ما دارای رازداری کامل است.
7-3 حمله جعل سرور
برای این حمله، مهاجم باید یک رکورد معتبر ، ، ، و را ایجاد کند. در این احراز هویت، مهاجم نمیتواند
این رکورد معتبر را ایجاد نماید زیرا مهاجم نمیتواند را به
دست آورد و همچنین از آنجایی که است، پس به هیچ وجه نمیتواند معتبر نیز تولید کند. همچنین مهاجم
جدول 4: مقایسه ویژگیهای امنیتی و قابلیتها.
طرح | الف | ب | ج | د |
[8] | ✕ | ✕ | ✕ | ✕ |
[9] | ✕ | √ | ✕ | ✕ |
[14] | √ | ✕ | ✕ | ✕ |
[15] | √ | √ | ✕ | ✕ |
[16] | √ | √ | ✕ | ✕ |
[5] | √ | √ | ✕ | ✕ |
طرح ما | √ | √ | √ | √ |
الف) رازداری رو به جلو و رازداری رو به عقب ب) مقاوم در برابر حمله Jamming/desynchronization ج) احراز هویت گروهی د) مقیاسپذیری |
نمیتواند ، و و در نتیجه ، یا معتبر ایجاد کند، زیرا مقادیر آنها برابر ، و هستند. با این شرایط مهاجم رکورد معتبر از ، ، ، و نمیتواند ایجاد نماید. پس طرح ما، مقابله با حمله جعل سرور را تضمین میکند.
7-4 حفظ حریم خصوصی
روش ما حریم خصوصی را از طریق گمنامی گره فراهم میآورد. در روش ما، شناسه گره به طور مستقیم در کانال جابهجا نمیشود و ضمناً مهاجم نمیتواند را از طریق حمله استراق سمع به دست آورد. مقادیر ، ، ، و در هر احراز هویت کاملاً تصادفی انتخاب میشوند. بنابراین مقادیر ، ، ، ، ، و در هر مرحله احراز هویت متفاوت میباشند و امکان به دست آوردن از طریق این اطلاعات وجود ندارد. این امر باعث میشود تا طرح ما حریم خصوصی از نوع گمنامی داشته باشد.
8- مقایسه با روشهای دیگر
در [8] یک پروتکل احراز هویت متقابل سبکوزن در شبکه بیسیم بدن پیشنهاد شده که در مرحله احراز هویت، پارامترها به صورت پیوسته در گره و سرور به روز میشوند و چنانچه مهاجم در حین احراز هویت، کانال ارتباطی را قطع کند، امکان احراز هویتهای بعدی برای این روش وجود ندارد. بنابراین در مقابل حمله jamming/desynchronization مقاوم نیست. در ضمن بین کلیدهای متوالی، وابستگی وجود دارد و در صورتی که یک کلید جلسه کشف شود، امکان کشف کلیدهای جلسه قبلی و بعدی برای مهاجم امکانپذیر است. پس این روش فاقد قابلیت رازداری رو به جلو میباشد. در [9] روش احراز هویت سبکوزنی ارائه شده که در مقابل حملات jamming/desynchronization مقاوم است. در این روش نیز وابستگی بین کلیدها وجود دارد و فاقد قابلیت رازداری رو به جلو است. هر دو روش [8] و [9] مقیاسپذیر نبوده و امکان احراز هویت گروهی را ندارند.
در [15]، یک پروتکل احراز هویت دستگاه برای خانههای هوشمند با استفاده از عملگرهای Hash و رمزگذاری ارائه شده است. این روش قابلیتهای امنیتی بسیار بالایی دارد و رازداری رو به جلو و رازداری رو به عقب را پشتیبانی میکند. در [16] یک طرح احراز هویت برای مراقبتهای پزشکی پیشنهاد شده که در برابر حملات جعل هویت، حدسزدن رمز عبور، مرد میانی، jamming/desynchronization و پخش مجدد مقاوم است و همچنین رازداری رو به جلو و رازداری رو به عقب را پشتیبانی میکند. در هر دو روش [15] و [16] بین کلیدهای تولیدشده وابستگی وجود ندارد و بنابراین رازداری رو به جلو و رازداری رو به عقب را فراهم میآورند. در این دو روش، در هر مرحله از احراز هویت، گرهها مقادیر جدید و قدیمی پارامترهای احراز هویت را نگه میدارند. در صورتی که
در حین احراز هویت، مهاجم اقدام به قطع ارتباط بین گرهها نماید،
هر دو گره با استفاده از مقادیر قدیمی، پارامترها را مقداردهی مجدد میکنند و عملیات احراز هویت بعدی بدون مشکل انجام میشود. بنابراین این دو روش در مقابل حمله jamming/desynchronization مقاوم هستند. در ضمن [15] و [16] قابلیت احراز هویت گروهی را ندارند و مقیاسپذیر نیستند.
در [14] یک احراز هویت سبکوزن کاربر برای سیستم مراقبتهای پزشکی بر پایه ابر ارائه گردیده است که این روش در مقابل حمله jamming/desynchronization مقاوم نیست. در ضمن در این احراز هویت، بین کلیدهای تولیدشده ارتباطی وجود ندارد و کشف یکی از کلیدها منجر به کشف کلیدهای دیگر نمیشود، پس رازداری رو به جلو و رازداری رو به عقب را پشتیبانی میکند. در [5] یک روش احراز هویت متقابل ارائه شده که از عملگرهای XOR و تابع Hash برای احراز هویت استفاده میکند. این روش در مقابل بیشتر حملات از جمله حمله jamming/desynchronization مقاوم است و حریم خصوصی را فراهم آورده و همچنین رازداری رو به جلو را نیز پشتیبانی میکند. در این روش، هیچ وابستگی بین کلیدهای جلسه وجود ندارد. در ضمن [5] و [14] امکان احراز هویت گروهی را ندارند و مقیاسپذیر نیستند.
در طرح ما یک احراز هویت متقابل گروهی ارائه شده و گره مدیر گروه به نمایندگی از طرف بقیه اعضای گروه اقدام به احراز هویت میکند و این امر باعث بالارفتن قابلیت مقیاسپذیری روش میگردد. روش ما در مقابل انواع حملات احراز هویت عملکرد خوبی دارد و در مقابل آنها مقاوم است. در هر مرحله از احراز هویت، گره حسگر و گره سرور مقادیر جدید و قدیمی پارامترهای احراز هویت را دارند. در صورتی که در حین احراز هویت، مهاجم اقدام به قطع ارتباط بین گره سرور و گره حسگر نماید، هر دو گره با استفاده از مقادیر قدیمی، پارامترها را مقداردهی میکنند و عملیات احراز هویت بعدی بدون مشکل انجام میشود. بنابراین طرح ما در مقابل حمله jamming/desynchronization مقاوم است. همچنین قابلیت رازداری رو به جلو و حریم خصوصی را از طریق گمنامی گرهها فراهم میآورد. در ضمن از عملگرهای XOR و تابع Hash برای احراز هویت استفاده میکند که این عملگرها بسیار سبکوزن هستند. در جدول 4 مقایسه ویژگیهای امنیتی و قابلیت روشها ارائه شده است.
به طور کلی روش ما دارای مقیاسپذیری بالایی بوده و احراز هویت گروهی را فراهم میآورد و در مقابل حملات احراز هویت بسیار مقاوم است. در ادامه به بررسی هزینه اجرا و زمان اجرای روشها میپردازیم. برای نشاندادن هزینه اجرای روشهای مختلف از نمادهای زیر استفاده میشود:
• : هزینه اجرای تابع Hash
• : هزینه اجرای عملگر XOR
• : هزینه اجرای عملیات رمزگذاری
در [8] هزینه اجرای گره و هزینه اجرای گره هاب است. در [9] هزینه اجرای گره مقدار
جدول 5: مقایسه زمان اجرای احراز هویت بین روش ما و روشهای قبلی.
طرح | هزینه اجرای حسگر/ کاربر | هزینه اجرای سرور/ هاب/ دروازه | زمان اجرای حسگر/ کاربر | زمان اجرای سرور/ هاب/ دروازه |
[8] |
|
| 028/0 میلیثانیه | 0428/0 میلیثانیه |
[9] |
|
| 031/0 میلیثانیه | 0435/0 میلیثانیه |
[14] |
|
| 032/0 میلیثانیه | 0368/0 میلیثانیه |
[15] |
|
| 1511/0 میلیثانیه | 1563/0 میلیثانیه |
[16] |
|
| 8244/0 میلیثانیه | 0736/0 میلیثانیه |
[5] |
|
| 031/0 میلیثانیه | 0373/0 میلیثانیه |
طرح ما |
|
| 0258/0 میلیثانیه | 03552/0 میلیثانیه |
و هزینه اجرای گره هاب است. در [14] هزینه اجرای گره حسگر و هزینه اجرای گره دروازه است. در [15] هزینه اجرای دستگاه برابر و هزینه اجرای گره دروازه برابر است. در [16] هزینه اجرای گره کاربر برابر و هزینه اجرای گره دروازه برابر است. در [5] هزینه اجرای گره و هزینه اجرای گره سرور است. در طرح ما هزینه اجرای گره میباشد و هزینه اجرای گره سرور برابر با است.
برای مقایسه زمان اجرای احراز هویت، میتوان از زمان اجرای عملگر XOR صرف نظر نمود چون در مقایسه با تابع Hash و رمزگذاری، زمان اجرای ناچیزی دارد. با در نظر گرفتن محیط و پلتفرم تست به شرح پردازنده ، حافظه GB 8 و ویندوز 8 نسخه 64بیتی، زمان اجرای عملیات 256- SHA برابر با 0052/0 میلیثانیه و زمان اجرای رمزگذاری، 1303/0 میلیثانیه است. بنابراین بر اساس این مقادیر زمان اجرای احراز هویت برای روشهای مرتبط به دست میآید. هزینه اجرا و زمان اجرای احراز هویتهای مرتبط در جدول 5 ارائه شده است. در روش ما، هزینه زمانی احراز هویت در گره و سرور نسبت به روشهای بررسیشده به ترتیب 8/7% و 5/3% کاهش یافته است. روش ما دارای زمان اجرای کمتری نسبت به روشهای دیگر است.
9- نتیجهگیری
در این مقاله، یک احراز هویت متقابل سبکوزن گروهی برای اینترنت اشیا پیشنهاد شد که باعث افزایش سرعت احراز هویت شده است. اشیا در گروههایی قرار میگیرند و در هر گروه به جای احراز هویت تکتک گرهها فقط گره مدیر گروه اقدام به احراز هویت میکند و پس از احراز هویت، نسبت به پخش کلید جلسه بین اعضای گروه اقدام میکند. احراز هویت گروهی، مقیاسپذیری پروتکل پیشنهادی را بالا میبرد. از طرفی، این امر باعث کاهش تعداد احراز هویتها و در نتیجه کاهش مدت احراز هویت کل گرهها میشود و امکان استفاده از آن، در محیطهای با گرههای زیاد را بالا میبرد. همچنین در احراز هویت از عملگرهای رمزنگاری آسنکرون استفاده نشده و فقط از عملگرهای XOR و Hash استفاده شده است. بنابراین این روش احراز هویت، یک پروتکل احراز هویت سبکوزن است. همچنین یک احراز هویت متقابل بین دو دستگاه ایجاد میکند که دو طرف همدیگر را اعتبارسنجی کرده و بر روی کلید جلسه به توافق میرسند. از آنجایی که شناسه گرهها بر روی کانال ارتباطی جابهجا نمیشود، حریم خصوصی از طریق گمنام گره فراهم میگردد. در ضمن طرح ما مشکلات امنیتی کمتری نسبت به طرحهای قبلی دارد. در این مقاله از ابزار AVISPA برای تأیید امنیتی طرح استفاده کردیم. در روش ما، هزینه زمانی احراز هویت در گره و سرور نسبت به روشهای بررسیشده به ترتیب 8/7% و 5/3% کاهش یافته است.
از محدودیتهای روش ما ثابتبودن تعداد گروهها و اعضای آنها است. در طرح ما تعداد گروهها سه تا در نظر گرفته شده است، در حالی که تعداد گروه میتواند بر اساس نیاز تغییر کند. در ضمن گرهها توسط مدیر سیستم عضو گروهها میشوند و امکان جابهجایی گره بین گروهها وجود ندارد. در حالی که گرهها میتوانند جابهجا شوند و باید قابلیت جابهجایی بین گروهها برای اعضای آنها فراهم گردد.
ایجاد پویایی در تعداد گروهها و امکان جابهجایی اعضای گروهها میتواند جزء کارهای پژوهشی آتی باشد. در ضمن ارائه یک الگوریتم بهینه و امن برای توزیع کلید در فاز 4 احراز هویت در پژوهشهای آتی میتواند انجام گیرد.
مراجع
[1] M. Ammar, G. Russello, and B. Crispo, "Internet of Things: a survey on the security of IoT frameworks," J. Inf. Secur. Appl., vol. 38, pp. 8-27, Feb. 2018.
[2] K. Sha, W. Wei, T. Andrew Yang, Z. Wang, and W. Shi, "On security challenges and open issues in Internet of Things," Futur. Gener. Comput. Syst., vol. 83, pp. 326-337, Jun. 2018.
[3] Y. H. Chuang, N. W. Lo, C. Y. Yang, and S. W. Tang, "A lightweight continuous authentication protocol for the Internet of Things," Sensors, vol. 8, no. 4, Article No. 4, 26 pp., 2018.
[4] M. Dammak, O. Rafik, M. Boudia, M. A. Messous, S. M. Senouci, and C. Gransart, "Token-based lightweight authentication to secure IoT networks," in Proc. 16th IEEE Annu. Consum. Commun. Netw. Conf., 4 pp., Las Vegas, NV, USA, 11-14 Jan. 2019.
[5] Z. Xu, C. Xu, W. Liang, J. Xu, and H. Chen, "A lightweight mutual authentication and key agreement scheme for medical Internet of Things," IEEE Access, vol. 7, pp. pp. 53922-53931, 2019.
[6] L. Harn, "Group authentication," IEEE Trans. Comput., vol. 62,
no. 9, pp. 1893-1898, Sept. 2013.
[7] A. Gupta, "A lightweight mutually authenticated key-agreement scheme for wireless body area networks in Internet of things environment," in Proc. of the 24th Annual Int. Conf. on Mobile Computing and Networking, pp. 804-806, New Delhi, India, 29 Oct.-2 Nov. 2018.
[8] M. Hamada, S. Kumari, and A. Kumar, "Secure anonymous mutual authentication for star two-tier wireless body area networks," Comput. Methods Programs Biomed., vol. 135, pp. 37-50, Oct. 2016.
[9] C. Chen, B. Xiang, T. Wu, and K. Wang, "An anonymous mutual authenticated key agreement scheme for wearable sensors in wireless body area networks," Appl. Sci., vol. 8, no. 7, Article No.: 1074, 2018.
[10] P. Punithavathi, S. Geetha, M. Karuppiah, S. K. H. Islam, M. M. Hassan, and K. R. Choo, "A lightweight machine learning-based authentication framework for smart IoT devices," Inf. Sci., vol. 84, pp. 255-268, May 2019.
[11] K. Fan, Y. Gong, C. Liang, H. Li, and Y. Yang, "Lightweight and ultralightweight RFID mutual authentication protocol with cache in the reader for IoT in 5G," Secur. Commun. Networks, vol. 9, pp. 3095-3104, 2016.
[12] K. Fan, P. Song, and Y. Yang, "ULMAP: ultralightweight NFC mutual authentication protocol with pseudonyms in the tag for IoT in 5G," Mob. Inf. Syst., vol. 2017, Article No.: 2349149, 7 pp., 2017.
[13] M. Durairaj and K. Muthuramalingam, "A new authentication scheme with elliptical curve cryptography for Internet of Things (IoT) environments," Int. J. Eng. Technol., vol. 7, no. 2.26, pp. 119-124, 2018.
[14] G. Sharma and S. Kalra, "A lightweight user authentication scheme for cloud-IoT based healthcare services," Iranian J. of Science and Technology-Trans. of Electrical Engineering, vol. 43, pp. 619-636, 2019.
[15] A. Xiang and J. Zheng, "A situation-aware scheme for efficient device authentication in smart grid-enabled home area networks," Electronics, vol. 9, no. 6, Article No.: 989, 2020.
[16] P. Kumar and L. Chouhan, "A privacy and session key based authentication scheme for medical IoT networks," Comput. Commun., vol. 166, pp. 154-164, 15 Jan. 2021.
[17] M. N. Aman, K. C. Chua, and B. Sikdar, "Mutual authentication in IoT systems using physical unclonable functions," IEEE Internet Things J., vol. 4, no. 5, pp. 1327-1340, Oct. 2017.
[18] M. T. Hammi, B. Hammi, P. Bellot, and A. Serhrouchni, "Bubbles of trust: a decentralized blockchain-based authentication system for IoT," Comput. Secur., vol. 78, pp. 126-142, Sept. 2018.
[19] L. Zhou, X. Li, K. H. Yeh, C. Su, and W. Chiu, "Lightweight IoT-based authentication scheme in cloud computing circumstance," Futur. Gener. Comput. Syst., vol. 91, pp. 244-251, Feb. 2019.
[20] Y. Chen, W. Xu, L. Peng, and H. Zhang, "Light-weight and privacy-preserving authentication protocol for mobile payments in the context of IoT," IEEE Access, vol. 7, pp. 15210-15221, 2019.
[21] D. Dolev and A. Yao, "On the security of public key protocols," IEEE Trans. Inf. Theory, vol. 29, no. 2, pp. 198-208, Mar. 1983.
[22] A. Armando, D. Basin, Y. Boichut, Y. Chevalier, and L. Compagna, "The AVISPA Tool for the Automated Validation," pp. 281-285.
[23] R. Amin and G. P. Biswas, "A secure light weight scheme for user authentication and key agreement in multi-gateway based wireless sensor networks," Ad Hoc Networks, vol. 36, pt. 1, pp. 58-80, Jan. 2016.
رضا سرابی میانجی کارشناسی و کارشناسی ارشد مهندسی کامپیوتر نرمافزار را به ترتیب در سال 1379 و 1381 دریافت کرد. از سال 1395 در دکترای مهندسی کامپیوتر- سیستمهای نرمافزاری دانشگاه آزاد اسلامی واحد تهران شمال مشغول تحصیل و تحقیق است. وی چندین کتاب در زمینه شبکههای کامپیوتری، برنامهنویسی و طراحی صفحات وب ترجمه و تألیف نموده است. ایشان از سال 1379 در دانشگاه مشغول تدریس است. همچنین از سال 1380 در تیمهای مدیریت شبکههای کامپیوتری، توسعه نرمافزار و مدیریت پایگاه داده بانک مرکزی جمهوری اسلامی ایران مشغول به کار هست. علایق تحقیقاتی وی شامل اینترنت اشیا، امنیت سیستمهای اطلاعاتی، مدیریت و امنیت شبکههای کامپیوتری و مدیریت سیستمهای پایگاه داده است.
سام جبهداری به عنوان دانشیار گروه مهندسی کامپیوتر دانشگاه آزاد اسلامی واحد تهران شمال مشغول به کار است. او مدرک کارشناسی مهندسی برق مخابرات و کارشناسی ارشد مهندسی برق مخابرات خود را به ترتیب از دانشگاه صنعتی خواجه نصیر طوسی و دانشگاه آزاد اسلامی واحد تهران جنوب دریافت کرد. وی مدرک دکترای مهندسی کامپیوتر را از دانشگاه آزاد اسلامی واحد علوم و تحقیقات دریافت نمود. علایق تحقیقاتی ایشان زمانبندی، QoS، MANET، امنیت شبکههای کامپیوتری، شبکههای حسگر بیسیم، محاسبات ابری، اینترنت اشیا و محاسبات لبه و مه است.
ناصر مدیری در سال 1365 مدرک کارشناسی الکترونیک را از دانشگاه ساسیکس انگلستان و در سال 1366 مدرک کارشناسی ارشد الکترونیک را از دانشگاه ساوتهمپتون انگلستان دریافت کرد. همچنین در سال 1368 مدرک دکترای مهندسی کامپیوتر را از دانشگاه ساسیکس انگلستان دریافت نمود. ایشان از سال 1371 هیأت علمی دانشگاه بوده و در حوزههای تخصصی امنیت شبکههای کامپیوتری، امنیت نرمافزارهای کاربردی و فرایند توسعه امن نرمافزار فعالیت مینماید. ایشان چندین کتاب تخصصی در حوزه امنیت شبکههای کامپیوتری، امنیت نرمافزارهای کاربردی و فرایندهای توسعه امن نرمافزار چاپ کردهاند. علایق تحقیقاتی وی توسعه امن نرمافزار، امنیت شبکههای کامپیوتری، اینترنت اشیا، ERP، RFID، 27000 ISO/IEC و 15408 ISO/IEC است.