公开了用于沿着第一设备(200A)和第二设备(200B)之间的通信信道建立通信的方法和设备。该方法包括相互发现第一设备(200A)和第二设备(200B),通过交换数据消息来验证(F5,F6,F7)第一设备(200A)和第二设备(200B)之间的通信信道,在第一设备(200A)和第二设备(200B)之间交换秘密,以及随后沿着通信信道交换加密消息。息。息。
【技术实现步骤摘要】
【国外来华专利技术】采用多方计算(MPC)的物联网安全性
[0001]相关申请的交叉引用
[0002]本申请要求于2018年5月16日提交的葡萄牙专利申请号20181000034529和2018年5月25日提交的欧洲专利申请号18174412.9的优先权和权益。
技术介绍
[0003]物联网(IoT)是在未来几年技术将如何与人交互的概念。它是连接到网络(例如私有因特网和/或公共因特网)的“物”或设备的集合,其中“智能”设备不仅与人交互,还彼此交互。Gartner的研究组织发布的数据预测到2020年将有250亿(美国)这样的智能设备连接到因特网。这些物理和虚拟“物”具有身份、物理属性、虚拟个性,并且在没有直接人工干的情况下,通过过程基本上自主地对现实/物理世界中影响这些事件的事件作出反应。
[0004]由于该领域的指数增长,存在一些隐私和安全挑战。特别是,需要使安全解决方案适应IoT设备的特定特性。IoT设备中存在资源限制,这是常规设备中没有的[参考文献1]。这些包括IoT设备中的有限的电池寿命和存储空间。IoT设备必需的安全和隐私要求的集合包括但不限于用户和设备身份管理、认证、在不同IoT设备之间的通信中交换的数据的机密性、仅允许授权的某些IoT设备可以访问IoT网络的网络访问控制,以及资源和系统的可用性[参考文献2]。
[0005]迄今为止,大多数研究和现有的IoT平台都专注于设备管理,并采用可信任的集中解决方案用于认证和安全。这些集中解决方案基于公钥基础架构(PKI)。尽管使用PKI具有明显的优势,但基于PKI的解决方案却趋于复杂、昂贵且不易于管理[参考文献4]。另外,连接到基于PKI的网络的设备存在上述资源限制。
[0006]IoT设备的物理安全也被认为是一个问题,因为存储在IoT设备上的存储器中的任何密钥都可以从物理捕获的IoT设备上读取,并被对手用来发起对其中并入IoT设备的IoT网络的攻击[参考文献3]。
[0007]PKI仅依赖证书授权(CA)来验证网络(例如上述IoT网络)中的安全证书。CA代表了网络基础架构中的单个故障点。尽管已知故障点存在于各种协议中,但非常希望这些故障点不应该是唯一的或集中的(例如在CA中),以使网络对网络上的任何攻击具有更强的恢复能力。如果公开了CA的私钥,则PKI将完全不可逆转地受到损害。任何获得私钥的攻击者都可以轻松地签发新证书,从而在受损害的网络中冒充并执行所谓的中间人(MitM)攻击。MitM攻击是指当攻击者秘密中继并可能更改网络中两方之间的通信时,否则两方将认为两方实际上是彼此直接通信。例如,在简单公开服务器证书的情况下,打开了所谓的“攻击窗口”,在此期间攻击者可以损坏网络。该攻击窗口保持打开状态,已公开的服务器证书被吊销,这可能不会立即完成,例如,如果一段时间未注意到攻击的话。
[0008]已知在PKI中发生的另一个问题是,在未正确验证对特定域的所有权的情况下,管理不善的CA签署了用于特定域的证书。
[0009]考虑到上述限制,PKI中的基本假设不一定最适合IoT网络和IoT设备。
[0010]Diffie-Hellman(DH)密钥交换是一种在网络中的公共信道上安全地交换加密密
钥的方法,并且其基于希望在网络上进行通信的双方之间的共享秘密的建立。DH密钥交换基于以下概念:两方(通常称为Alice和Bob)各自建立对自身保密的秘密参数,以及在两方之间不保密并达成一致的起始参数。起始参数在双方都与秘密参数混合,然后作为公共密钥交换。在交换了公共密钥之后,将公共密钥与自己的秘密参数混合,然后双方都具有可用于通信加密的相同值。不幸的是,由于DH密钥交换不提供通信方的认证,因此DH密钥交换也容易受到MitM攻击。因此,攻击者可以冒充Bob和Alice,即通信各方。
[0011]已知几种协议,其中双方可以通过传递并确认短认证字符串(SAS)来确认其身份以彼此直接通信。这些协议包括Z实时传输协议(ZRTP)[参考文献9]和通过Juggling(J-PAKE)进行密码认证的密钥交换[参考文献5和7],并且基于人工交互和手动配置的前提。但是,这样的已知协议不适合与IoT设备通信,因为该协议基于人工交互,这在IoT设备对之间不切实际。
[0012]提供的其他解决方案包括PAKE(密码认证的密钥一致)协议。当前,最复杂的算法不能基于公共密钥加密执行密钥交换,并且允许使用低熵密码。在参考文献6中,讨论了三种最先进的PAKE协议。在同一篇论文中,还公开了两种协议,它们比J-PAKE协议更有效,这两种协议在OpenSSL环境中被用作默认协议。
[0013]J-PAKE协议[参考文献5和7]是基于共享密码的概念,它不需要PKI或第三方即可在两方之间建立安全通信。J-PAKE将椭圆曲线DH用于密钥一致和Schnorr非交互式零知识(NIZK)签名[参考文献8]证明机制,用于认证双方并基于口令建立双方之间的共享秘密。有些服务仍在使用J-PAKE协议,例如Pale Moon Web浏览器,Bouncycastle(1.48及以上版本)中的轻量级API以及Thread(物联网无线网络协议)。FireFox Sync、OpenSSH和OpenSSL之前也支持此协议,但2014年后将其删除。
[0014]有几个已知的J-PAKE问题,已经由Mohsen Toorani发表[参考文献12]。参考文献12展示了Firefox Sync使用的J-PAKE的分析,并识别出J-PAKE中的漏洞。例如,J-PAKE容易遭受密码泄露模拟攻击,并且在重放和未知密钥共享(UKS)攻击方面还有其他缺点。J-PAKE也已包含在OpenSSL和OpenSSH中,但是在实现期间报告了问题[参考文献25]。
[0015]使用短认证字符串的设备配对[参考文献22]是一种基于一致的两设备配对机制,并使用SAS检查秘密的真实性。该协议包括三个阶段:发现、一致和认证。当配对服务启动时,服务器开始发布选定的实例名称。客户端将发现该名称和相应的连接参数[参考文献22]。发现服务器后,客户端和服务器使用传输层安全(TLS)会话,该会话允许客户端和服务器使用产生SAS的加密协议就共享秘密达成一致。完成此阶段后,将有认证阶段,用于通过SAS验证配对。在此认证阶段,通过手动验证对SAS进行比较,即,用户必须验证希望进行通信的两个设备(服务器和客户端)都显示相同的字符串。相反,如果服务器和客户端支持快速响应(QR)代码,则服务器显示带有SAS编码的QR代码,并且客户端能够扫描SAS的值并将扫描的值与本地计算值进行比较。
[0016]ZRTP[参考文献9]是两点多媒体通信协议,其包含会话建立阶段,该阶段用于就建立安全实时传输协议(SRTP)会话的密钥交换和参数达成一致。该ZRTP协议不是基于数字证书,而是基于在每个会话中生成的DH密钥(前面已经讨论过)。这些DH密钥有助于生成用于SRTP会话的会话密钥和参数。尽管ZRTP协议最初需要使用信令协议,例如会话发起协议(SIP),但是密钥协商仅通过ZRTP实现本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种用于沿着第一设备(200A)和第二设备(200B)之间的通信信道使用加密消息建立通信的方法,包括:-相互发现所述第一设备(200A)和所述第二设备(200B);-通过建立用于所述第一设备(200A)和所述第二设备(200B)之间的通信信道的秘密会话密钥来验证(F5,F6,F7)所述通信信道;-计算所述第一设备(200A)中的第一认证字符串(SAS)和所述第二设备(200B)中的第二认证字符串(SA);-将计算出的所述第一SAS插入所述第一设备(200A)的第一MPC模块(210A)中,将计算出的所述第二SAS插入所述第二设备(200B)的第二MPC模块(201B)中,并通过评估所述第二设备(200B)的所述第二MPC模块(210B)中的所述第一SAS和所述第一设备(200A的所述第一MPC模块(201A)中的所述第二SAS来确认所述通信信道的安全性;-在确认所述通信信道的安全性的情况下,使用交换的秘密会话密钥在所述第一设备(200A)和所述第二设备(200B)之间建立共享秘密;以及-沿所述通信信道交换所述加密消息。2.根据权利要求1所述的方法,其中,所述相互发现包括:在所述第一设备(200A)和所述第二设备(200B)之间提供标识符。3.根据权利要求2所述的方法,其中,在所述第一设备(200A)和所述第二设备(200B)之间提供标识符包括:在所述第一设备(200A)和所述第二设备(200B)之间交换(F1,F2,F3,F4)发起和确认消息,所述发起和确认消息包括所述标识符。4.根据权利要求2或3所述的方法,其中,通过生成所述第一设备(200A)和所述第二设备(200B)中的至少一个的随机数标识来提供所述标识符。5.根据权利要求2所述的方法,其中,所述提供标识符包括:从服务器接收所述第一设备(200A)和所述第二设备(200B)的标识符。6.根据以上权利要求中的任一项所述的方法,其中,所述验证(F5,F6,F7)包括:从所述第一设备(200A)到所述第二设备(200B)的第一密钥交换以及从所述第二设备(200B)到所述第一设备(200A)的第二密钥交换。7.根据以上权利要求中的任一项所述的方法,还包括:在成功比较交换的消息之后,从所述第一设备(200A)向所述第二设备(200B)发送确认消息,以及从所述第二设备(200B)向所述第一设备(200A)发送确认消息。8.根据权利要求7所述的方法,其中,从先前的第一秘密密钥生成所述第一密钥交换中的第一秘密密钥,并且从先前的第二秘密密钥生成所...
【专利技术属性】
技术研发人员:J,
申请(专利权)人:伊耐斯克泰克计算机科学与技术系统工程研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。