رقم المقالة : 13990727250228 زيارة : 5098 الصفحة: 203 - 212

نوع المخطوط: المحکّمة

ارائه یک احراز هویت متقابل سبک وزن گروهی دستگاه ها در اینترنت اشیا

الموضوعات :

رضا سرابی میانجی ¹ , سام جبه داری ² , ناصر مدیری ³

1 - دانشگاه آزاد اسلامی واحد تهران شمال
2 - دانشگاه آزاد اسلامی واحد تهران شمال
3 - دانشگاه آزاد اسلامی واحد زنجان

تاريخ الإرسال : 01 الأحد , ربيع الأول, 1442 تاريخ التأكيد : 30 الثلاثاء , محرم, 1443 تاريخ الإصدار : 05 السبت , جمادى الثانية, 1443

الکلمات المفتاحية: احراز هویت سبک‌وزن, احراز هویت گروهی, اینترنت اشیا, توافق کلید,

ملخص المقالة :

اینترنت اشیا در حال تبدیل‌شدن به بزرگ‌ترین پلتفرم محاسباتی است و هر روزه شاهد افزایش تعداد دستگاه‌های این محیط هستیم. علاوه بر این، بیشتر اشیای این زیرساخت دارای محدودیت‌های محاسباتی و حافظه می‌باشند و قادر به انجام عملیات پیچیده محاسباتی نیستند. این محدودیت‌ها در بیشتر روش‌های احراز هویت سنتی نادیده گرفته شده‌اند. در ضمن در روش‌های جدید احراز هویت این محیط، به مسأله مقیاس‌پذیری توجه زیادی نشده و بنابراین نیاز به یک احراز هویت سبک‌وزن، مقیاس‌پذیر احساس می‌شود. در این مقاله یک پروتکل احراز هویت سبک‌وزن ارائه شده که اشیا در گروه‌های مختلف قرار می‌گیرند و در هر گروه یک گره مدیر در نظر گرفته می‌شود و به عنوان نماینده از طرف بقیه گروه، عملیات احراز هویت را انجام می‌دهد. بنابراین به صورت گروهی احراز هویت انجام می‌گردد و پروتکل مقیاس‌پذیری بالای دارد. روش پیشنهادی هزینه محاسباتی گره و سرور را کاهش می‌دهد و حریم خصوصی را از طریق گمنامی گره‌ها فراهم می‌آورد. رازداری رو به جلو را بدون استفاده از رمزگذاری آسنکرون و همچنین توافق بر روی کلید جلسه را دارد. از ابزار AVISPA برای تأیید امنیتی روش پیشنهادی استفاده شده است. در روش ما، هزینه زمانی احراز هویت در گره و سرور نسبت به روش‌های بررسی‌شده به ترتیب 8/7% و 5/3% کاهش یافته است.

المصادر:

[1] M. Ammar, G. Russello, and B. Crispo, "Internet of Things: a survey on the security of IoT frameworks," J. Inf. Secur. Appl., vol. 38, pp. 8-27, Feb. 2018.
[2] K. Sha, W. Wei, T. Andrew Yang, Z. Wang, and W. Shi, "On security challenges and open issues in Internet of Things," Futur. Gener. Comput. Syst., vol. 83, pp. 326-337, Jun. 2018.
[3] Y. H. Chuang, N. W. Lo, C. Y. Yang, and S. W. Tang, "A lightweight continuous authentication protocol for the Internet of Things," Sensors, vol. 8, no. 4, Article No. 4, 26 pp., 2018.
[4] M. Dammak, O. Rafik, M. Boudia, M. A. Messous, S. M. Senouci, and C. Gransart, "Token-based lightweight authentication to secure IoT networks," in Proc. 16th IEEE Annu. Consum. Commun. Netw. Conf., 4 pp., Las Vegas, NV, USA, 11-14 Jan. 2019.
[5] Z. Xu, C. Xu, W. Liang, J. Xu, and H. Chen, "A lightweight mutual authentication and key agreement scheme for medical Internet of Things," IEEE Access, vol. 7, pp. pp. 53922-53931, 2019.
[6] L. Harn, "Group authentication," IEEE Trans. Comput., vol. 62, no. 9, pp. 1893-1898, Sept. 2013.
[7] A. Gupta, "A lightweight mutually authenticated key-agreement scheme for wireless body area networks in Internet of things environment," in Proc. of the 24th Annual Int. Conf. on Mobile Computing and Networking, pp. 804-806, New Delhi, India, 29 Oct.-2 Nov. 2018.
[8] M. Hamada, S. Kumari, and A. Kumar, "Secure anonymous mutual authentication for star two-tier wireless body area networks," Comput. Methods Programs Biomed., vol. 135, pp. 37-50, Oct. 2016.
[9] C. Chen, B. Xiang, T. Wu, and K. Wang, "An anonymous mutual authenticated key agreement scheme for wearable sensors in wireless body area networks," Appl. Sci., vol. 8, no. 7, Article No.: 1074, 2018.
[10] P. Punithavathi, S. Geetha, M. Karuppiah, S. K. H. Islam, M. M. Hassan, and K. R. Choo, "A lightweight machine learning-based authentication framework for smart IoT devices," Inf. Sci., vol. 84, pp. 255-268, May 2019.
[11] K. Fan, Y. Gong, C. Liang, H. Li, and Y. Yang, "Lightweight and ultralightweight RFID mutual authentication protocol with cache in the reader for IoT in 5G," Secur. Commun. Networks, vol. 9, pp. 3095-3104, 2016.
[12] K. Fan, P. Song, and Y. Yang, "ULMAP: ultralightweight NFC mutual authentication protocol with pseudonyms in the tag for IoT in 5G," Mob. Inf. Syst., vol. 2017, Article No.: 2349149, 7 pp., 2017.
[13] M. Durairaj and K. Muthuramalingam, "A new authentication scheme with elliptical curve cryptography for Internet of Things (IoT) environments," Int. J. Eng. Technol., vol. 7, no. 2.26, pp. 119-124, 2018.
[14] G. Sharma and S. Kalra, "A lightweight user authentication scheme for cloud-IoT based healthcare services," Iranian J. of Science and Technology-Trans. of Electrical Engineering, vol. 43, pp. 619-636, 2019.
[15] A. Xiang and J. Zheng, "A situation-aware scheme for efficient device authentication in smart grid-enabled home area networks," Electronics, vol. 9, no. 6, Article No.: 989, 2020.
[16] P. Kumar and L. Chouhan, "A privacy and session key based authentication scheme for medical IoT networks," Comput. Commun., vol. 166, pp. 154-164, 15 Jan. 2021.
[17] M. N. Aman, K. C. Chua, and B. Sikdar, "Mutual authentication in IoT systems using physical unclonable functions," IEEE Internet Things J., vol. 4, no. 5, pp. 1327-1340, Oct. 2017.
[18] M. T. Hammi, B. Hammi, P. Bellot, and A. Serhrouchni, "Bubbles of trust: a decentralized blockchain-based authentication system for IoT," Comput. Secur., vol. 78, pp. 126-142, Sept. 2018.
[19] L. Zhou, X. Li, K. H. Yeh, C. Su, and W. Chiu, "Lightweight IoT-based authentication scheme in cloud computing circumstance," Futur. Gener. Comput. Syst., vol. 91, pp. 244-251, Feb. 2019.
[20] Y. Chen, W. Xu, L. Peng, and H. Zhang, "Light-weight and privacy-preserving authentication protocol for mobile payments in the context of IoT," IEEE Access, vol. 7, pp. 15210-15221, 2019.
[21] D. Dolev and A. Yao, "On the security of public key protocols," IEEE Trans. Inf. Theory, vol. 29, no. 2, pp. 198-208, Mar. 1983.
[22] A. Armando, D. Basin, Y. Boichut, Y. Chevalier, and L. Compagna, "The AVISPA Tool for the Automated Validation," pp. 281-285.
[23] R. Amin and G. P. Biswas, "A secure light weight scheme for user authentication and key agreement in multi-gateway based wireless sensor networks," Ad Hoc Networks, vol. 36, pt. 1, pp. 58-80, Jan. 2016.

نص كامل:

معرفي يک روش جديد خوشه‌يابي خودکار

مقاله پژوهشی

ارائه یک احراز هویت متقابل سبک‌وزن
گروهی دستگاه‌ها در اینترنت اشیا

رضا سرابی میانجی، سام جبه‌داری و ناصر مدیری

چكیده: اینترنت اشیا در حال تبدیل‌شدن به بزرگ‌ترین پلتفرم محاسباتی است و هر روزه شاهد افزایش تعداد دستگاه‌های این محیط هستیم. علاوه بر این، بیشتر اشیای این زیرساخت دارای محدودیت‌های محاسباتی و حافظه می‌باشند و قادر به انجام عملیات پیچیده محاسباتی نیستند. این محدودیت‌ها در بیشتر روش‌های احراز هویت سنتی نادیده گرفته شده‌اند. در ضمن در روش‌های جدید احراز هویت این محیط، به مسأله مقیاس‌پذیری توجه زیادی نشده و بنابراین نیاز به یک احراز هویت سبک‌وزن، مقیاس‌پذیر احساس می‌شود. در این مقاله یک پروتکل احراز هویت سبک‌وزن ارائه شده که اشیا در گروه‌های مختلف قرار می‌گیرند و در هر گروه یک گره مدیر در نظر گرفته می‌شود و به عنوان نماینده از طرف بقیه گروه، عملیات احراز هویت را انجام می‌دهد. بنابراین به صورت گروهی احراز هویت انجام می‌گردد و پروتکل مقیاس‌پذیری بالای دارد. روش پیشنهادی هزینه محاسباتی گره و سرور را کاهش می‌دهد و حریم خصوصی را از طریق گمنامی گره‌ها فراهم می‌آورد. رازداری رو به جلو را بدون استفاده از رمزگذاری آسنکرون و همچنین توافق بر روی کلید جلسه را دارد. از ابزار AVISPA برای تأیید امنیتی روش پیشنهادی استفاده شده است. در روش ما، هزینه زمانی احراز هویت در گره و سرور نسبت به روش‌های بررسی‌شده به ترتیب 8/7% و 5/3% کاهش یافته است.

کلیدواژه: احراز هویت سبک‌وزن، احراز هویت گروهی، اینترنت اشیا، توافق کلید.

1- مقدمه

اینترنت اشیا نقش بسیار مهمی در زندگی روزمره ما بازی می‌کند. از این تکنولوژی در مراقبت‌های سلامتی، اتومبیل‌ها، سرگرمی‌ها، تجهیزات صنعتی، ورزش‌ها، خانه‌های هوشمند و غیره استفاده می‌شود [1].

تا سال 2020، بیش از 50 میلیارد دستگاه به اینترنت اشیا متصل شدند. سرعت اتصال دستگاه‌های مختلف به اینترنت بسیار زیاد و شباهت همه این دستگاه‌ها توانایی اتصال به اینترنت و تبادل اطلاعات است. با استفاده از این دستگاه‌ها داده‌ها از دنیای فیزیکی جمع‌آوری می‌شوند و با آنالیز داده‌های جمع‌شده، دنیای هوشمند ایجاد می‌گردد و تصمیم‌گیری بهتر برای مدیریت انجام می‌گیرد [2].

از آنجایی که بیشتر حسگرها در محیط اینترنت اشیا در دسترس مهاجمان قرار دارند، امنیت فیزیکی سخت‌افزارها و امنیت اطلاعات برای ارتباطات دستگاه‌ها به نگرانی‌های جدی برای توسعه زیرساخت اینترنت اشیا تبدیل شده است. همچنین در اینترنت اشیا از سخت‌افزارهای ناهمگن با قابلیت‌های متفاوت استفاده می‌شود. این موضوعات باعث به وجود آمدن انواع مشکلات پیچیده امنیتی می‌گردد که اگر مورد توجه قرار نگیرند، می‌توانند جلوی استفاده از برنامه‌های کاربردی اینترنت اشیا را بگیرند. به عنوان مثال می‌توان به دو حوزه کاری خانه‌های هوشمند و سیستم‌های مراقبت پزشکی هوشمند اشاره کرد که در آنها حفاظت از اطلاعات بسیار ضروری و حیاتی است.

احراز هویت فرایندی است برای تشخیص این که یک موجودیت واقعاً همان کسی یا چیزی می‌باشد که ادعا می‌کند و یکی از مهم‌ترین فرایندها در زنجیره کنترل دسترسی است، زیرا سایر عملیات انتقال داده و امنیت پس از فرایند احراز هویت انجام می‌شوند. بنابراین احراز هویت اصلی‌ترین مکانیزم امنیتی در اینترنت اشیا است و هدف آن مشخص‌کردن درستی هر موجودیت مثل دستگاه یا کاربر است [3].

اما احراز هویت در اینترنت اشیا با چالش‌هایی همراه است که می‌توان به موارد زیر اشاره نمود:

• دستگاه‌های اینترنت اشیا دارای محدودیت منابع هستند و به صورت مداوم داده‌های حساسی را انتقال می‌دهند [4].

• دستگاه‌ها دارای قدرت محاسباتی محدود بوده و فضای ذخیره‌سازی کمی دارند و توانایی رمزنگاری و رمزگشایی نامتقارن را ندارند [3].

• دستگاه‌های اینترنت اشیا در کانال ناامن، اطلاعات مبادله می‌کنند و مهاجمان به راحتی به این کانال دسترسی دارند [4].

• با به خطر افتادن یک کلید جلسه، امکان استنباط کلیدهای جلسه قبلی وجود دارد و بیشتر روش‌های احراز هویت، قابلیت رازداری رو به جلو را پشتیبانی نمی‌کنند [4].

• به دلیل بازبودن و تحرک شبکه‌های بی‌سیم محیط اینترنت اشیا، مهاجم می‌تواند به راحتی اطلاعات مبادله‌شده در کانال را سرقت یا جعل کند و باعث نقض حریم خصوصی کاربر گردد. در سیستم‌هایی از قبیل مراقبت پزشکی، سرقت یا جعل اطلاعات می‌تواند عواقب بسیار جدی به همراه داشته باشد و حتی می‌تواند باعث به خطر انداختن جان بیمار گردد [5].

• دستگاه‌های اینترنت اشیا ناهمگن هستند و از پروتکل‌های مختلف استفاده می‌نمایند.

• به علت محدویت منابع، دستگاه‌ها از روش‌های قدیمی احراز هویت نمی‌توانند استفاده کنند.

احراز هویت گروهی یکی از بهترین راه حل‌ها برای به حداقل رساندن بار کاری در سرور و شبکه است. میلیون‌ها گره در اینترنت اشیا می‌توانند در گروه‌هایی قرار گیرند و به جای ارسال تمام درخواست‌های احراز هویت به سرور، می‌توان از احراز هویت گروهی استفاده نمود که باعث کاهش بار کاری سرور و شبکه می‌شود. ایده احراز هویت گروهی توسط Harn در [6] پیشنهاد شد و توسط Chien توسعه یافت. این تحقیقات، محدودیت منابع را در نظر نمی‌گیرند و در اینترنت اشیا قابل استفاده نیستند.

بنابراین در این مقاله یک احراز هویت متقابل سبک‌وزن گروهی برای اینترنت اشیا پیشنهاد می‌شود که باعث افزایش سرعت احراز هویت خواهد شد. برای این منظور، اشیا در گروه‌هایی قرار می‌گیرند و در هر گروه به جای احراز هویت تک‌تک گره‌ها، فقط گره اصلی اقدام به احراز هویت می‌کند و پس از احراز هویت به پخش کلید جلسه بین اعضای گروه اقدام می‌نماید. این امر باعث کاهش تعداد احراز هویت‌ها و در نتیجه کاهش مدت زمان احراز هویت کل گره‌ها می‌شود. همچنین در احراز هویت از عملگرهای رمزنگاری آسنکرون استفاده نشده و فقط از عملگرهای XOR و Hash استفاده می‌شود. بنابراین این روش، یک پروتکل احراز هویت سبک‌وزن است. روش پیشنهادی ما دارای قابلیت‌های زیر است:

• امکان احراز هویت گروهی دستگاه‌ها را فراهم می‌آورد. برای این منظور اشیا در گروه‌های متفاوت قرار می‌گیرند و به صورت گروهی احراز هویت انجام می‌شود که این امر باعث مقیاس‌پذیری بالای پروتکل پیشنهادی می‌گردد.

• رازداری رو به جلو را بدون استفاده از رمزگذاری آسنکرون فراهم می‌آورد.

• احراز هویت متقابل سبک‌وزن و توافق کلید در این روش وجود دارد. هر زوج دستگاه می‌توانند در صورت نیاز، یکدیگر را احراز هویت نمایند و بر سر کلید جلسه توافق کنند.

• برای آن که از این روش احراز هویت بتوان در دستگاه‌ها با منابع محدود استفاده کرد فقط از عملگرهای محاسباتی سبک Hash و XOR استفاده شده است.

• طرح ما دارای ریسک امنیتی پایینی بوده و هزینه محاسباتی کمی دارد.

• از ابزار AVISPA برای تأیید امنیتی طرح و آنالیز امنیتی استفاده شده است.

• هزینه زمانی احراز هویت در گره و سرور نسبت به روش‌های بررسی‌شده به ترتیب 8/7% و 5/3% کاهش یافته است.

این مقاله شامل این مفاهیم است: ادبیات احراز هویت اینترنت اشیا در بخش 2 بیان می‌گردد و مدل‌های سیستم در بخش 3 ارائه می‌شود. در بخش 4 روش پیشنهادی آمده و شبیه‌سازی مقاله در بخش 5 است. ارزیابی زمان اجرای پروتکل پیشنهادی در بخش 6 و در بخش 7 ارزیابی امنیتی در مقابل حملات بیان می‌گردد. در ادامه، در بخش 8 مقایسه با روش‌های دیگر ارائه می‌شود و نتیجه‌گیری نهایی در بخش 9 قرار دارد.

2- کارهای مرتبط

با توجه به این که محیط اینترنت اشیا تا حدودی ناامن است و تجهیزات موجود در این محیط دارای محدودیت منابع محاسباتی و حافظه می‌باشند، بنابراین نیاز به احراز هویت سبک‌وزن در این محیط احساس می‌شود. اخیراً کارهای زیادی در این زمینه انجام شده است. در این بخش کارهای احراز هویت موجود در اینترنت اشیا مورد بررسی قرار می‌گیرد.

در [7] یک طرح احراز هویت متقابل سبک‌وزن با توافق کلید برای شبکه‌های WBAN با استفاده از عملگر XOR و تابع Hash ارائه شده است. هدف این طرح ایجاد احراز هویت بین گره‌های حسگر پوشیدنی و دستگاه ترمینال و کاربران است. در [5] یک روش احراز هویت برای معماری WBAN ارائه شده است. این روش، یک پروتکل احراز هویت سبک‌وزن متقابل و توافق کلید برای معماری WBAN است. برای این منظور از عملگر XOR و توابع Hash استفاده می‌کند و بدون استفاده
از رمزنگاری آسنکرون رازداری رو به جلو را گارانتی می‌کند. این روش
در مقایسه با روش‌های رمزنگاری آسنکرون دارای هزینه محاسباتی کمی است.

در [4] یک روش احراز هویت سبک کاربر بر اساس توکن در محیط اینترنت اشیا ارائه شده که استفاده از توکن باعث افزایش قدرت احراز هویت می‌شود. در این روش از توکن‌های زمان‌دار برای رسیدن به هدف رازداری رو به جلو و همچنین عملگر ساده XOR و تابع Hash استفاده شده است. توکن، راه حلی مؤثر برای احراز هویت بین کاربر و دستگاه‌های هوشمند به وجود می‌آورد. استفاده از توکن ریسک دزدیده‌شدن فاکتور احراز هویت را کاهش می‌دهد و نسبت به نام کاربری و کلمه عبور نیاز به تلاش کمتری از جانب کاربر دارد. در [8] روش احراز هویت متقابل سبک‌وزن و توافق کلید برای شبکه بی‌سیم بدن پیشنهاد شده است. برای این منظور در [9] روشی با هزینه محاسباتی کمتر نسبت به [8] ارائه شده که در مقابل حملات مختلف مقاوم است.

در [10] یک چارچوب سبک‌وزن برای احراز هویت در محیط ابر ارائه شده که شبیه یک سیستم رمزنگاری است و چندین الگو می‌تواند از یک منبع بیومتریک ساده ایجاد گردد که هیچ یک از الگوها با هم ارتباطی ندارند. کاربر با استفاده از برنامه‌های کاربردی مختلف و الگوهای مختلف می‌تواند ثبت نام نماید و الگوی بیومتریک اصلی فاش نمی‌شود و عملیات باطل‌سازی بسیار راحتی دارد، فقط کافی است که الگوی جدید ایجاد گردد و جایگزین الگوی قدیمی شود.

در [11] یک طرح احراز هویت برای برنامه‌های کاربردی مبتنی بر RFID اینترنت اشیا در موبایل‌های نسل 5 ارائه شده که کلیدها در حافظه نهان ذخیره می‌گردند و برای احراز هویت استفاده می‌شوند و سرعت احراز هویت را بالا می‌برند و هزینه‌های محاسبات را کاهش می‌دهند و امنیت مخزن افزایش می‌یابد.

در [12] طرح احراز هویت متقابل برای برنامه‌های کاربردی مبتنی بر NFC موبایل‌های نسل 5 ارائه شده است. در این طرح از عملگرهای XOR و شیفت برای انجام و ذخیره ساختارهای برچسب‌های NFC استفاده شده است. آنها به جای شناسه واقعی از اسامی مستعار استفاده کرده‌اند تا ناشناس‌بودن برچسب‌ها را فراهم آورند. در [13] یک طرح احراز هویت ناشناس اینترنت اشیا بر روی ECC سبک‌وزن ارائه شده که شامل دو مرحله اصلی است. این مراحل شامل ثبت نام و احراز هویت است. در این تحقیق، مقایسه‌ای بین ECC و RSA با استفاده از زمان مورد نیاز برای رمزگذاری و رمزگشایی با استفاده از اندازه کلیدهای متفاوت انجام شده است.

در [14] یک احراز هویت سبک‌وزن کاربر برای سیستم مراقبت‌های پزشکی بر پایه ابر ارائه شده است. این روش در برابر حملات مختلف مقاوم است و هزینه محاسباتی مناسبی دارد. در [15]، یک پروتکل احراز هویت دستگاه برای خانه هوشمند، با استفاده از تابع Hash و رمزگذاری ارائه شده که این روش دارای قابلیت‌های امنیتی بسیار بالایی است. در [16] یک طرح احراز هویت برای اینترنت اشیای پزشکی پیشنهاد شده که

[1] این مقاله در تاریخ 27 مهر ماه 1399 دریافت و در تاریخ 16 شهریور ماه 1400 بازنگری شد.

رضا سرابی میانجی، گروه مهندسی کامپیوتر، واحد تهران شمال، دانشگاه آزاد اسلامی، تهران، ایران، (email: reza.sarabi@gmail.com).

سام جبه‌داری (نویسنده مسئول)، گروه مهندسی کامپیوتر، واحد تهران شمال، دانشگاه آزاد اسلامی، تهران، ایران، (email: s_jabbehdari@iau-tnb.ac.ir).

ناصر مدیری، گروه مهندسی کامپیوتر، دانشکده مهندسی برق و کامپیوتر، واحد زنجان، دانشگاه آزاد اسلامی، زنجان، ایران، (email: nassermodiri@chmail.ir).

شکل 1: معماری اینترنت اشیا برای سناریوی بیمارستان هوشمند.

جدول 1: روش‌های پیشین احراز هویت در اینترنت اشیا.

معایب	روش احراز هویت	ردیف
نیاز به دست‌تکانی دارد. هزینه مصرف بالا است. فضای ذخیره‌سازی زیادی نیاز دارد. توجهی به محدودیت منابع ندارد. نیاز به گواهی‌نامه احراز هویت دارد.	مبتنی بر صدور گواهینامه	1
نیاز به زمان زیادی برای ایجاد نشست دارد. احراز هویت اضافی برای کاربران ایجاد می‌شود. دستگاه‌ها نیاز به توانایی انجام پیچیده رمزنگاری دارند. فرایندهای پیچیده محاسباتی انجام می‌گیرد.	مبتنی بر رمزنگاری	2
نیاز به جمع‌آوری مداوم اطلاعات از محیط دارد.	مبتنی بر روش‌های غیر رمزنگاری	3

در برابر حملات جعل هویت، حدس‌زدن رمز عبور، مرد میانی¹ و پخش مجدد مقاوم است. هزینه محاسباتی گره و سرور در این روش بالا است.

در [17] یک پروتکل برای احراز هویت بین کاربر و سرور ارائه شده که یک احراز هویت دومرحله‌ای برای دستگاه‌های اینترنت اشیا است. کلمه عبور به عنوان فاکتور اول احراز هویت استفاده می‌شود و PUF به عنوان فاکتور دوم احراز هویت مورد استفاده قرار می‌گیرد. در [18] یک طرح احراز هویت برای سیستم‌های اینترنت اشیا با استفاده از بلاک‌چین به
نام Bubbles-of-Trust و در [19] یک طرح احراز هویت دو فاکتور سبک‌وزن ارائه شده است. این طرح بر پایه تابع Hash و عملگر XOR است. در [20] یک پروتکل سبک‌وزن احراز هویت و حفظ حریم خصوصی برای پرداخت تلفن همراه در اینترنت اشیا ارائه گردید. در این پروتکل با قراردادن محاسبات بر روی پلتفرم پرداخت با قدرت محاسباتی بالا، کارایی بهبود یافته است.

در جدول 1 گروه‌بندی از روش‌های احراز هویت در اینترنت اشیا، ارائه و معایب هر روش احراز هویت نیز بیان شده است. با توجه به معایب دو روش مبتنی بر صدور گواهی‌نامه و مبتنی بر رمزنگاری در اینترنت اشیا، تمایل به استفاده از روش غیر رمزنگاری زیاد است و اخیراً تحقیقات زیادی در این روش انجام گرفته است.

3- مدل‌های سیستم

3-1 مدل شبکه پیشنهادی

به منظور بررسی روش پیشنهادی، یک سناریو از محیط‌های اینترنت اشیا ارائه شده تا تقاضای احراز هویت سبک‌وزن نشان داده شود. این سناریو (شکل 1) مرتبط با سیستم بیمارستان هوشمند است. برای پیاده‌سازی سیستم بیمارستان هوشمند باید حسگرها در بخش‌های مختلف بیمارستان و حتی متصل به بدن بیماران وجود داشته باشند. گره‌های حسگر می‌توانند داده‌های بااهمیت مانند دمای بدن، نوار قلب، فشار خون و سایر اطلاعات زیست‌محیطی بیمار را به دست آورند. تمام داده‌های حس‌شده در یک سرور در محیط ابری و یا سرور محلی جمع‌آوری می‌شوند. پزشکان و پرستاران می‌توانند به صورت بلادرنگ وضعیت بیماران و اطلاعات محیطی هر بخش را از طریق سیستم مشاهده و بررسی کنند. در این سناریو داده‌های حس‌شده نیز باید در یک بازه زمانی کوتاه به صورت دوره‌ای به سرور منتقل شوند. در این سناریو فرض شده که حسگرها دارای منابع محدودی هستند که از یک یا چند باتری تغذیه می‌شوند و از قدرت محاسباتی و فضای ذخیره‌سازی کمی برخوردار هستند. هر حسگر قادر به انجام عملیات XOR و تابع Hash است و از یک تولیدکننده عدد تصادفی برای تولید اعداد تصادفی برخوردار است. همچنین دروازه‌ها و سرورها دارای منابع نامحدود و توانایی محاسبات کافی برای انجام عملیات Hash و تولید اعداد تصادفی هستند و حافظه ذخیره‌سازی برای ذخیره مقادیر موقتی و جداول داده را دارند.

[1] . Man-in-the-Middle Attacks

شکل 2: گروه‌بندی گره‌های سنسور به سه گروه.

جدول 2: نمادها و تعاریف.

نماد	توضیحات
	گره مدیر گروه
	گره عضو گروه
	شناسه سرور
	شناسه گره مدیر گروه
	تابع یک‌طرفه Hash
	مهر زمانی
	عملگر XOR
	الحاق دو رشته
	توکن
	کلید جلسه
	کلید اصلی سرور

3-2 مدل تهدید

در این مقاله مدل تهدید Dolev-Yao [21] استفاده می‌شود که فرض می‌کند گره‌های حسگر و سرورها در یک کانال ناامن ارتباط برقرار می‌کنند. سرور به عنوان گره قابل اعتماد است اما مهاجم می‌تواند به پایگاه داده سرور نفوذ کند و تمام داده‌های موجود در آن را به جز کلید اصلی سرور به دست آورد.

همچنین مهاجم توانایی به دست آوردن تمام داده‌های مبادله‌شده در کانال ارتباطی را دارد و می‌تواند داده‌های جدیدی در کانال تزریق کند.
در ضمن داده‌های ارسالی موجود در کانال را می‌تواند با مقادیر جدید جایگزین کرده و از نو در کانال ارتباطی ارسال نماید. حسگرها به دلیل محدودیت هزینه مالی از نظر فیزیکی محافظت نمی‌شوند و در نتیجه مهاجم می‌تواند داده‌های ذخیره‌شده در حافظه گره حسگر را استخراج کند و از آنها برای انجام کارهای مخرب استفاده نماید.

4- طرح پیشنهادی

با توجه به محدودیت دستگاه‌های اینترنت اشیا، از احراز هویت قدیمی و سنتی مبتنی بر کلید عمومی- خصوصی و گواهی‌نامه نمی‌توان در این محیط استفاده نمود. در ضمن بایستی احراز هویت را با حداقل هزینه محاسباتی و ارتباطی انجام داد. روش‌های احراز هویت ارائه‌شده دارای مشکلاتی از قبیل هزینه محاسبات بالا، نیاز به حافظه بالا، هزینه ارتباطات بالا، عدم حفظ حریم خصوصی و ضعف در برابر حملات امنیتی هستند.

در طرح ارائه‌شده گره‌های حسگر به سه گروه مطابق شکل 2 تقسیم می‌شوند. حال در هر گروه یک گره مدیر داریم که برای کل گروه عملیات احراز هویت را انجام می‌دهد و پس از احراز هویت، کلید جلسه را بین گره‌های عضو گروه پخش می‌کند. این امر باعث کاهش تعداد و مدت زمان اجرای احراز هویت می‌شود. بنابراین هزینه زمانی و هزینه ارتباطات برای گره‌های سرور و سنسور کاهش می‌یابد.

در هر گروه به جای احراز هویت تک‌تک گره‌ها فقط گره مدیر اقدام به احراز هویت می‌نماید و پس از احراز هویت نسبت به پخش کلید جلسه بین اعضای گروه اقدام می‌کند. این امر باعث کاهش تعداد احراز هویت‌ها و در نتیجه کاهش مدت احراز هویت کل گره‌ها می‌شود. همچنین در این احراز هویت از عملگرهای رمزنگاری استفاده نشده و فقط از عملگر XOR و تابع Hash استفاده شده است. بنابراین این روش یک پروتکل احراز هویت سبک‌وزن است. برای بیان احراز هویت از نمادهای جدول 2 استفاده می‌شود. در ادامه، فازهای طرح ارائه شده است.

4-1 فاز مقداردهی اولیه

این مرحله توسط مدیر سیستم انجام می‌گیرد:

• مدیر سیستم یک کلید اصلی برای سرور در نظر می‌گیرد.

• این کلید در حافظه سرور ذخیره می‌گردد.

شکل 3: فاز احراز هویت.

• در ضمن برای هر گروه، گره مدیر گروه و گره‌های عضو گروه مشخص می‌شوند.

4-2 فاز ثبت نام گره مدیر گروه

توسط سرور برای هر گروه یک شناسه یکتا ، مقدار یکتای و مقدار تصادفی در نظر گرفته می‌شود.

• توسط مدیر سیستم مقادیر زیر محاسبه می‌گردد

• رکورد در حافظه گره مدیر گروه ذخیره می‌گردد.

• رکورد در حافظه سرور ذخیره می‌گردد.

4-3 فاز احراز هویت

در مرحله احراز هویت (شکل 3)، گره مدیر گروه و سرور به طور متقابل یکدیگر را احراز هویت می‌کنند.

4-4 فاز پخش کلید بین گره مدیر و گره‌های عضو گروه

پس از آن که احراز هویت توسط گره مدیر گروه انجام گردید، کلید جلسه توسط مدیر گروه بین بقیه اعضای گروه پخش می‌شود. اعضای گروه تا زمان اعتبار کلید جلسه می‌توانند بدون انجام احراز هویت از آن استفاده نمایند. در ضمن برای پخش کلید از روش الگوی اشتراک رمز¹ استفاده شده است.

5- شبیه‌سازی

در این بخش، شبیه‌سازی با استفاده از AVISPA ارائه شده و نشان می‌دهد که پروتکل در مقابل حملات امنیتی مقاوم است.

توضیحات و اطلاعات بیشتر در این خصوص را در [21] تا [23] می‌توانید پیدا نمایید. برای روش ارائه‌شده، جلسه‌های groupmanager، server، goal و environment در زبان HLPS مطابق شکل 4 پیاده‌سازی شده‌اند.

[1] . Secret Sharing Scheme

شکل 4: کد احراز هویت با HLPSL.

شکل 5: نتیجه OFMC.

نتایج شبیه‌سازی ابزار AVISPA برای مدل OFMC و CL-AtSe نشان می‌دهد که طرح پیشنهادی تحت مدل OFMC (شکل 5) و مدل CL-AtSe (شکل 6) امن است و در برابر حملات فعال و غیر فعال از جمله حملات پخش مجدد و مرد میانی مقاوم است و روش ارائه‌شده را از نظر امنیتی تأیید می‌نماید.

6- ارزیابی زمان اجرای پروتکل پیشنهادی

یکی از مهم‌ترین اهداف در انجام این پژوهش، کاهش زمان اجرای

شکل 6: نتیجه CL-AtSe.

احراز هویت در گروه‌ها است و بنابراین در ادامه متوسط زمان اجرای احراز هویت به صورت دقیق بیان می‌شود. برای این منظور جدول 3 شامل نمادها و توضیحات مربوط در نظر گرفته می‌شود تا با استفاده از آنها متوسط زمان اجرای احراز هویت گروه به دست آید.

متغیرهای تصادفی برای از یکدیگر مستقل بوده و دارای توزیع پواسون با میانگین به ازای هستند. بنابراین برای احراز هویت در گروه اول، برآورد زمان انجام کار در سیستم به

جدول 3: نمادها و توضیحات برای به دست آوردن متوسط زمان احراز هویت در گروه.

توضیحات	ویژگی	نماد
مدت زمان احراز هویت	عدد ثابت مشخص
مدت زمان پخش کلید جلسه در گروه اول	عدد ثابت مشخص
مدت زمان پخش کلید جلسه در گروه دوم	عدد ثابت مشخص
مدت زمان پخش کلید جلسه در گروه سوم	عدد ثابت مشخص
بازه زمانی بین هر احراز هویت گروه اول	عدد ثابت مشخص
بازه زمانی بین هر احراز هویت گروه دوم	عدد ثابت مشخص
بازه زمانی بین هر احراز هویت گروه سوم	عدد ثابت مشخص
تعداد احراز هویت گروه اول که برابر تعداد است	عدد ثابت مشخص
تعداد احراز هویت گروه دوم که برابر تعداد است	عدد ثابت مشخص
تعداد احراز هویت گروه سوم که برابر تعداد است	عدد ثابت مشخص
تعداد گره‌هایی که در بازه در گروه اول عملیات احراز هویت انجام می‌دهند	متغیر تصادفی
تعداد گره‌هایی که در بازه در گروه دوم عملیات احراز هویت انجام می‌دهند	متغیر تصادفی
تعداد گره‌هایی که در بازه در گروه سوم عملیات احراز هویت انجام می‌دهند	متغیر تصادفی
متوسط تعداد نیاز به احراز هویت گره‌ها در گروه اول در بازه	عدد ثابت مشخص
متوسط تعداد نیاز به احراز هویت گره‌ها در گروه دوم در بازه	عدد ثابت مشخص
متوسط تعداد نیاز به احراز هویت گره در گروه سوم در بازه	عدد ثابت مشخص

صورت (1) است

(1)

برای احراز هویت در گروه دوم برآورد زمان انجام کار در سیستم به صورت (2) خواهد بود

(2)

همچنین برای احراز هویت در گروه سوم برآورد زمان انجام کار در سیستم به صورت (3) است

(3)

پس از به دست آوردن ماکسیمم مقادیر (فرمول (4))، میانگین نهایی زمان اجرای احراز هویت با استفاده از (5) به دست می‌آید

(4)

(5)

بر اساس نظر افراد خبره مقدار برای بزرگ‌ترین بین 3 تا 8 می‌تواند باشد. اگر بدترین مقدار (3) را در نظر بگیریم مقدار میانگین زمانی به صورت (6) است

(6)

7- ارزیابی امنیتی در مقابل حملات

7-1 حمله جعل هویت گره

مهاجمان همواره در صدد نفوذ به گره‌های مختلف می‌باشند. در صورتی که مهاجم به هر نحوی بتواند به گره نفوذ کند و اطلاعات ، ، و موجود در حافظه آن را به دست آورد. از آنجایی که تمام این مقادیر Hash هستند، مهاجم اطاعات مفیدی از و نمی‌تواند به دست آورد. همچنین مهاجم نمی‌تواند یا را از به دست آورد زیرا تصادفی و تازه است. همچنین مقادیر و در گره‌های مختلف متفاوت است. بنابراین مهاجم نمی‌تواند ، ، و یا ، ، و را ایجاد نماید. در نتیجه طرح پیشنهادی ما، مقابله با حمله جعل هویت گره را تضمین می‌کند.

7-2 رازداری رو به جلو و رازداری رو به عقب

با توجه به افزایش قدرت نفوذ مهاجمان، رازداری رو به جلو و
رازداری رو به عقب اخیراً مورد توجه زیادی قرار گرفته است. در روش
ما، کلید جلسه به صورت به دست می‌آید که و مقدار تصادفی تولیدشده در احراز هویت‌ها می‌باشند و را داریم که در آن مقادیر ، و در هر احراز هویت ایجاد می‌شوند. این وابستگی به مقادیر لحظه‌ای باعث می‌شود که اگر به هر نحوی کلید جلسه توسط مهاجم کشف شود، او نتواند کلیدهای جلسه قبلی یا بعدی را حدس بزند. پس با توجه به این که مقادیر و در هر احراز هویت به صورت تصادفی و جدید هستند، بنابراین در هر احراز هویت متفاوت خواهد بود. حتی اگر مهاجم تمام داده‌های قبلی کانال را به دست آورد و کلید اصلی را کشف کند، در این صورت او می‌تواند و همان احراز هویت را به دست آورد و نمی‌تواند کلیدهای جلسه قبلی را به دست آورد، زیرا هرگز در کانال منتقل نمی‌شود. فقط یک راه برای به دست آوردن وجود دارد و آن مشاهده اطلاعات گره است. با وجود این، در صورت مشاهده و ضبط اطلاعات گره، مهاجم فقط می‌تواند آخرین را به دست آورد و تمام ‌ها را نمی‌تواند به دست آورد زیرا مقدار پارامتر دور قبلی توسط تابع Hash رمزگذاری شده‌اند. بنابراین طرح ما دارای رازداری کامل است.

7-3 حمله جعل سرور

برای این حمله، مهاجم باید یک رکورد معتبر ، ، ،  و  را ایجاد کند. در این احراز هویت، مهاجم نمی‌تواند
این رکورد معتبر را ایجاد نماید زیرا مهاجم نمی‌تواند  را به
دست آورد و همچنین از آنجایی که  است، پس  به  هیچ  وجه  نمی‌تواند    معتبر  نیز  تولید  کند.  همچنین  مهاجم

جدول 4: مقایسه ویژگی‌های امنیتی و قابلیت‌ها.

طرح	الف	ب	ج	د
[8]	✕	✕	✕	✕
[9]	✕	√	✕	✕
[14]	√	✕	✕	✕
[15]	√	√	✕	✕
[16]	√	√	✕	✕
[5]	√	√	✕	✕
طرح ما	√	√	√	√
الف) رازداری رو به جلو و رازداری رو به عقب ب) مقاوم در برابر حمله Jamming/desynchronization ج) احراز هویت گروهی د) مقیاس‌پذیری

نمی‌تواند ، و و در نتیجه ، یا معتبر ایجاد کند، زیرا مقادیر آنها برابر ، و هستند. با این شرایط مهاجم رکورد معتبر از ، ، ، و نمی‌تواند ایجاد نماید. پس طرح ما، مقابله با حمله جعل سرور را تضمین می‌کند.

7-4 حفظ حریم خصوصی

روش ما حریم خصوصی را از طریق گمنامی گره فراهم می‌آورد. در روش ما، شناسه گره به طور مستقیم در کانال جابه‌جا نمی‌شود و ضمناً مهاجم نمی‌تواند را از طریق حمله استراق سمع به دست آورد. مقادیر ، ، ، و در هر احراز هویت کاملاً تصادفی انتخاب می‌شوند. بنابراین مقادیر ، ، ، ، ، و در هر مرحله احراز هویت متفاوت می‌باشند و امکان به دست آوردن از طریق این اطلاعات وجود ندارد. این امر باعث می‌شود تا طرح ما حریم خصوصی از نوع گمنامی داشته باشد.

8- مقایسه با روش‌های دیگر

در [8] یک پروتکل احراز هویت متقابل سبک‌وزن در شبکه بی‌سیم بدن پیشنهاد شده که در مرحله احراز هویت، پارامترها به صورت پیوسته در گره و سرور به روز می‌شوند و چنانچه مهاجم در حین احراز هویت، کانال ارتباطی را قطع کند، امکان احراز هویت‌های بعدی برای این روش وجود ندارد. بنابراین در مقابل حمله jamming/desynchronization مقاوم نیست. در ضمن بین کلیدهای متوالی، وابستگی وجود دارد و در صورتی که یک کلید جلسه کشف شود، امکان کشف کلیدهای جلسه قبلی و بعدی برای مهاجم امکان‌پذیر است. پس این روش فاقد قابلیت رازداری رو به جلو می‌باشد. در [9] روش احراز هویت سبک‌وزنی ارائه شده که در مقابل حملات jamming/desynchronization مقاوم است. در این روش نیز وابستگی بین کلیدها وجود دارد و فاقد قابلیت رازداری رو به جلو است. هر دو روش [8] و [9] مقیاس‌پذیر نبوده و امکان احراز هویت گروهی را ندارند.

در [15]، یک پروتکل احراز هویت دستگاه برای خانه‌های هوشمند با استفاده از عملگرهای Hash و رمزگذاری ارائه شده است. این روش قابلیت‌های امنیتی بسیار بالایی دارد و رازداری رو به جلو و رازداری رو به عقب را پشتیبانی می‌کند. در [16] یک طرح احراز هویت برای مراقبت‌های پزشکی پیشنهاد شده که در برابر حملات جعل هویت، حدس‌زدن رمز عبور، مرد میانی، jamming/desynchronization و پخش مجدد مقاوم است و همچنین رازداری رو به جلو و رازداری رو به عقب را پشتیبانی می‌کند. در هر دو روش [15] و [16] بین کلیدهای تولیدشده وابستگی وجود ندارد و بنابراین رازداری رو به جلو و رازداری رو به عقب را فراهم می‌آورند. در این دو روش، در هر مرحله از احراز هویت، گره‌ها مقادیر جدید و قدیمی پارامترهای احراز هویت را نگه می‌دارند. در صورتی که
در حین احراز هویت، مهاجم اقدام به قطع ارتباط بین گره‌ها نماید،
هر دو گره با استفاده از مقادیر قدیمی، پارامترها را مقداردهی مجدد می‌کنند و عملیات احراز هویت بعدی بدون مشکل انجام می‌شود. بنابراین این دو روش در مقابل حمله jamming/desynchronization مقاوم هستند. در ضمن [15] و [16] قابلیت احراز هویت گروهی را ندارند و مقیاس‌پذیر نیستند.

در [14] یک احراز هویت سبک‌وزن کاربر برای سیستم مراقبت‌های پزشکی بر پایه ابر ارائه گردیده است که این روش در مقابل حمله jamming/desynchronization مقاوم نیست. در ضمن در این احراز هویت، بین کلیدهای تولیدشده ارتباطی وجود ندارد و کشف یکی از کلیدها منجر به کشف کلیدهای دیگر نمی‌شود، پس رازداری رو به جلو و رازداری رو به عقب را پشتیبانی می‌کند. در [5] یک روش احراز هویت متقابل ارائه شده که از عملگرهای XOR و تابع Hash برای احراز هویت استفاده می‌کند. این روش در مقابل بیشتر حملات از جمله حمله jamming/desynchronization مقاوم است و حریم خصوصی را فراهم آورده و همچنین رازداری رو به جلو را نیز پشتیبانی می‌کند. در این روش، هیچ وابستگی بین کلیدهای جلسه وجود ندارد. در ضمن [5] و [14] امکان احراز هویت گروهی را ندارند و مقیاس‌پذیر نیستند.

در طرح ما یک احراز هویت متقابل گروهی ارائه شده و گره مدیر گروه به نمایندگی از طرف بقیه اعضای گروه اقدام به احراز هویت می‌کند و این امر باعث بالارفتن قابلیت مقیاس‌پذیری روش می‌گردد. روش ما در مقابل انواع حملات احراز هویت عملکرد خوبی دارد و در مقابل آنها مقاوم است. در هر مرحله از احراز هویت، گره حسگر و گره سرور مقادیر جدید و قدیمی پارامترهای احراز هویت را دارند. در صورتی که در حین احراز هویت، مهاجم اقدام به قطع ارتباط بین گره سرور و گره حسگر نماید، هر دو گره با استفاده از مقادیر قدیمی، پارامترها را مقداردهی می‌کنند و عملیات احراز هویت بعدی بدون مشکل انجام می‌شود. بنابراین طرح ما در مقابل حمله jamming/desynchronization مقاوم است. همچنین قابلیت رازداری رو به جلو و حریم خصوصی را از طریق گمنامی گره‌ها فراهم می‌آورد. در ضمن از عملگرهای XOR و تابع Hash برای احراز هویت استفاده می‌کند که این عملگرها بسیار سبک‌وزن هستند. در جدول 4 مقایسه ویژگی‌های امنیتی و قابلیت روش‌ها ارائه شده است.

به طور کلی روش ما دارای مقیاس‌پذیری بالایی بوده و احراز هویت گروهی را فراهم می‌آورد و در مقابل حملات احراز هویت بسیار مقاوم است. در ادامه به بررسی هزینه اجرا و زمان اجرای روش‌ها می‌پردازیم. برای نشان‌دادن هزینه اجرای روش‌های مختلف از نمادهای زیر استفاده می‌شود:

• : هزینه اجرای تابع Hash

• : هزینه اجرای عملگر XOR

• : هزینه اجرای عملیات رمزگذاری

در [8] هزینه اجرای گره و هزینه اجرای گره هاب است. در [9] هزینه اجرای گره مقدار

جدول 5: مقایسه زمان اجرای احراز هویت بین روش ما و روش‌های قبلی.

طرح	هزینه اجرای حسگر/ کاربر	هزینه اجرای سرور/ هاب/ دروازه	زمان اجرای حسگر/ کاربر	زمان اجرای سرور/ هاب/ دروازه
[8]			028/0 میلی‌ثانیه	0428/0 میلی‌ثانیه
[9]			031/0 میلی‌ثانیه	0435/0 میلی‌ثانیه
[14]			032/0 میلی‌ثانیه	0368/0 میلی‌ثانیه
[15]			1511/0 میلی‌ثانیه	1563/0 میلی‌ثانیه
[16]			8244/0 میلی‌ثانیه	0736/0 میلی‌ثانیه
[5]			031/0 میلی‌ثانیه	0373/0 میلی‌ثانیه
طرح ما			0258/0 میلی‌ثانیه	03552/0 میلی‌ثانیه

و هزینه اجرای گره هاب است. در [14] هزینه اجرای گره حسگر و هزینه اجرای گره دروازه است. در [15] هزینه اجرای دستگاه برابر و هزینه اجرای گره دروازه برابر است. در [16] هزینه اجرای گره کاربر برابر و هزینه اجرای گره دروازه برابر است. در [5] هزینه اجرای گره و هزینه اجرای گره سرور است. در طرح ما هزینه اجرای گره می‌باشد و هزینه اجرای گره سرور برابر با است.

برای مقایسه زمان اجرای احراز هویت، می‌توان از زمان اجرای عملگر XOR صرف نظر نمود چون در مقایسه با تابع Hash و رمزگذاری، زمان اجرای ناچیزی دارد. با در نظر گرفتن محیط و پلتفرم تست به شرح پردازنده ، حافظه GB 8 و ویندوز 8 نسخه 64بیتی، زمان اجرای عملیات 256- SHA برابر با 0052/0 میلی‌ثانیه و زمان اجرای رمزگذاری، 1303/0 میلی‌ثانیه است. بنابراین بر اساس این مقادیر زمان اجرای احراز هویت برای روش‌های مرتبط به دست می‌آید. هزینه اجرا و زمان اجرای احراز هویت‌های مرتبط در جدول 5 ارائه شده است. در روش ما، هزینه زمانی احراز هویت در گره و سرور نسبت به روش‌های بررسی‌شده به ترتیب 8/7% و 5/3% کاهش یافته است. روش ما دارای زمان اجرای کمتری نسبت به روش‌های دیگر است.

9- نتیجه‌گیری

در این مقاله، یک احراز هویت متقابل سبک‌وزن گروهی برای اینترنت اشیا پیشنهاد شد که باعث افزایش سرعت احراز هویت شده است. اشیا در گروه‌هایی قرار می‌گیرند و در هر گروه به جای احراز هویت تک‌تک گره‌ها فقط گره مدیر گروه اقدام به احراز هویت می‌کند و پس از احراز هویت، نسبت به پخش کلید جلسه بین اعضای گروه اقدام می‌کند. احراز هویت گروهی، مقیاس‌پذیری پروتکل پیشنهادی را بالا می‌برد. از طرفی، این امر باعث کاهش تعداد احراز هویت‌ها و در نتیجه کاهش مدت احراز هویت کل گره‌ها می‌شود و امکان استفاده از آن، در محیط‌های با گره‌های زیاد را بالا می‌برد. همچنین در احراز هویت از عملگرهای رمزنگاری آسنکرون استفاده نشده و فقط از عملگرهای XOR و Hash استفاده شده است. بنابراین این روش احراز هویت، یک پروتکل احراز هویت سبک‌وزن است. همچنین یک احراز هویت متقابل بین دو دستگاه ایجاد می‌کند که دو طرف همدیگر را اعتبارسنجی کرده و بر روی کلید جلسه به توافق می‌رسند. از آنجایی که شناسه گره‌ها بر روی کانال ارتباطی جابه‌جا نمی‌شود، حریم خصوصی از طریق گمنام گره فراهم می‌گردد. در ضمن طرح ما مشکلات امنیتی کمتری نسبت به طرح‌های قبلی دارد. در این مقاله از ابزار AVISPA برای تأیید امنیتی طرح استفاده کردیم. در روش ما، هزینه زمانی احراز هویت در گره و سرور نسبت به روش‌های بررسی‌شده به ترتیب 8/7% و 5/3% کاهش یافته است.

از محدودیت‌های روش ما ثابت‌بودن تعداد گروه‌ها و اعضای آنها است. در طرح ما تعداد گروه‌ها سه تا در نظر گرفته شده است، در حالی که تعداد گروه می‌تواند بر اساس نیاز تغییر کند. در ضمن گره‌ها توسط مدیر سیستم عضو گروه‌ها می‌شوند و امکان جابه‌جایی گره بین گروه‌ها وجود ندارد. در حالی که گره‌ها می‌توانند جابه‌جا شوند و باید قابلیت جابه‌جایی بین گروه‌ها برای اعضای آنها فراهم گردد.

ایجاد پویایی در تعداد گروه‌ها و امکان جابه‌جایی اعضای گروه‌ها می‌تواند جزء کارهای پژوهشی آتی باشد. در ضمن ارائه یک الگوریتم بهینه و امن برای توزیع کلید در فاز 4 احراز هویت در پژوهش‌های آتی می‌تواند انجام گیرد.

مراجع

[1] M. Ammar, G. Russello, and B. Crispo, "Internet of Things: a survey on the security of IoT frameworks," J. Inf. Secur. Appl., vol. 38, pp. 8-27, Feb. 2018.

[2] K. Sha, W. Wei, T. Andrew Yang, Z. Wang, and W. Shi, "On security challenges and open issues in Internet of Things," Futur. Gener. Comput. Syst., vol. 83, pp. 326-337, Jun. 2018.

[3] Y. H. Chuang, N. W. Lo, C. Y. Yang, and S. W. Tang, "A lightweight continuous authentication protocol for the Internet of Things," Sensors, vol. 8, no. 4, Article No. 4, 26 pp., 2018.

[4] M. Dammak, O. Rafik, M. Boudia, M. A. Messous, S. M. Senouci, and C. Gransart, "Token-based lightweight authentication to secure IoT networks," in Proc. 16th IEEE Annu. Consum. Commun. Netw. Conf., 4 pp., Las Vegas, NV, USA, 11-14 Jan. 2019.

[5] Z. Xu, C. Xu, W. Liang, J. Xu, and H. Chen, "A lightweight mutual authentication and key agreement scheme for medical Internet of Things," IEEE Access, vol. 7, pp. pp. 53922-53931, 2019.

[6] L. Harn, "Group authentication," IEEE Trans. Comput., vol. 62,
no. 9, pp. 1893-1898, Sept. 2013.

[7] A. Gupta, "A lightweight mutually authenticated key-agreement scheme for wireless body area networks in Internet of things environment," in Proc. of the 24th Annual Int. Conf. on Mobile Computing and Networking, pp. 804-806, New Delhi, India, 29 Oct.-2 Nov. 2018.

[8] M. Hamada, S. Kumari, and A. Kumar, "Secure anonymous mutual authentication for star two-tier wireless body area networks," Comput. Methods Programs Biomed., vol. 135, pp. 37-50, Oct. 2016.

[9] C. Chen, B. Xiang, T. Wu, and K. Wang, "An anonymous mutual authenticated key agreement scheme for wearable sensors in wireless body area networks," Appl. Sci., vol. 8, no. 7, Article No.: 1074, 2018.

[10] P. Punithavathi, S. Geetha, M. Karuppiah, S. K. H. Islam, M. M. Hassan, and K. R. Choo, "A lightweight machine learning-based authentication framework for smart IoT devices," Inf. Sci., vol. 84, pp. 255-268, May 2019.

[11] K. Fan, Y. Gong, C. Liang, H. Li, and Y. Yang, "Lightweight and ultralightweight RFID mutual authentication protocol with cache in the reader for IoT in 5G," Secur. Commun. Networks, vol. 9, pp. 3095-3104, 2016.

[12] K. Fan, P. Song, and Y. Yang, "ULMAP: ultralightweight NFC mutual authentication protocol with pseudonyms in the tag for IoT in 5G," Mob. Inf. Syst., vol. 2017, Article No.: 2349149, 7 pp., 2017.

[13] M. Durairaj and K. Muthuramalingam, "A new authentication scheme with elliptical curve cryptography for Internet of Things (IoT) environments," Int. J. Eng. Technol., vol. 7, no. 2.26, pp. 119-124, 2018.

[14] G. Sharma and S. Kalra, "A lightweight user authentication scheme for cloud-IoT based healthcare services," Iranian J. of Science and Technology-Trans. of Electrical Engineering, vol. 43, pp. 619-636, 2019.

[15] A. Xiang and J. Zheng, "A situation-aware scheme for efficient device authentication in smart grid-enabled home area networks," Electronics, vol. 9, no. 6, Article No.: 989, 2020.

[16] P. Kumar and L. Chouhan, "A privacy and session key based authentication scheme for medical IoT networks," Comput. Commun., vol. 166, pp. 154-164, 15 Jan. 2021.

[17] M. N. Aman, K. C. Chua, and B. Sikdar, "Mutual authentication in IoT systems using physical unclonable functions," IEEE Internet Things J., vol. 4, no. 5, pp. 1327-1340, Oct. 2017.

[18] M. T. Hammi, B. Hammi, P. Bellot, and A. Serhrouchni, "Bubbles of trust: a decentralized blockchain-based authentication system for IoT," Comput. Secur., vol. 78, pp. 126-142, Sept. 2018.

[19] L. Zhou, X. Li, K. H. Yeh, C. Su, and W. Chiu, "Lightweight IoT-based authentication scheme in cloud computing circumstance," Futur. Gener. Comput. Syst., vol. 91, pp. 244-251, Feb. 2019.

[20] Y. Chen, W. Xu, L. Peng, and H. Zhang, "Light-weight and privacy-preserving authentication protocol for mobile payments in the context of IoT," IEEE Access, vol. 7, pp. 15210-15221, 2019.

[21] D. Dolev and A. Yao, "On the security of public key protocols," IEEE Trans. Inf. Theory, vol. 29, no. 2, pp. 198-208, Mar. 1983.

[22] A. Armando, D. Basin, Y. Boichut, Y. Chevalier, and L. Compagna, "The AVISPA Tool for the Automated Validation," pp. 281-285.

[23] R. Amin and G. P. Biswas, "A secure light weight scheme for user authentication and key agreement in multi-gateway based wireless sensor networks," Ad Hoc Networks, vol. 36, pt. 1, pp. 58-80, Jan. 2016.

رضا سرابی میانجی کارشناسی و کارشناسی ارشد مهندسی کامپیوتر نرم‌افزار را به ترتیب در سال 1379 و 1381 دریافت کرد. از سال 1395 در دکترای مهندسی کامپیوتر- سیستم‌های نرم‌افزاری دانشگاه آزاد اسلامی واحد تهران شمال مشغول تحصیل و تحقیق است. وی چندین کتاب در زمینه شبکه‌های کامپیوتری، برنامه‌نویسی و طراحی صفحات وب ترجمه و تألیف نموده است. ایشان از سال 1379 در دانشگاه مشغول تدریس است. همچنین از سال 1380 در تیم‌های مدیریت شبکه‌های کامپیوتری، توسعه نرم‌افزار و مدیریت پایگاه داده بانک مرکزی جمهوری اسلامی ایران مشغول به کار هست. علایق تحقیقاتی وی شامل اینترنت اشیا، امنیت سیستم‌های اطلاعاتی، مدیریت و امنیت شبکه‌های کامپیوتری و مدیریت سیستم‌های پایگاه داده است.

سام جبه‌داری به عنوان دانشیار گروه مهندسی کامپیوتر دانشگاه آزاد اسلامی واحد تهران شمال مشغول به کار است. او مدرک کارشناسی مهندسی برق مخابرات و کارشناسی ارشد مهندسی برق مخابرات خود را به ترتیب از دانشگاه صنعتی خواجه نصیر طوسی و دانشگاه آزاد اسلامی واحد تهران جنوب دریافت کرد. وی مدرک دکترای مهندسی کامپیوتر را از دانشگاه آزاد اسلامی واحد علوم و تحقیقات دریافت نمود. علایق تحقیقاتی ایشان زمان‌بندی، QoS، MANET، امنیت شبکه‌های کامپیوتری، شبکه‌های حسگر بی‌سیم، محاسبات ابری، اینترنت اشیا و محاسبات لبه و مه است.

ناصر مدیری در سال 1365 مدرک کارشناسی الکترونیک را از دانشگاه ساسیکس انگلستان و در سال 1366 مدرک کارشناسی ارشد الکترونیک را از دانشگاه ساوت‌همپتون انگلستان دریافت کرد. همچنین در سال 1368 مدرک دکترای مهندسی کامپیوتر را از دانشگاه ساسیکس انگلستان دریافت نمود. ایشان از سال 1371 هیأت علمی دانشگاه بوده و در حوزه‌های تخصصی امنیت شبکه‌های کامپیوتری، امنیت نرم‌افزارهای کاربردی و فرایند توسعه امن نرم‌افزار فعالیت می‌نماید. ایشان چندین کتاب تخصصی در حوزه امنیت شبکه‌های کامپیوتری، امنیت نرم‌افزارهای کاربردی و فرایندهای توسعه امن نرم‌افزار چاپ کرده‌اند. علایق تحقیقاتی وی توسعه امن نرم‌افزار، امنیت شبکه‌های کامپیوتری، اینترنت اشیا، ERP، RFID، 27000 ISO/IEC و 15408 ISO/IEC است.

شارک

عنوان URL للمقالة

ارائه یک احراز هویت متقابل سبک وزن گروهی دستگاه ها در اینترنت اشیا

رایمگ

الروابط

المراكز ذات الصلة

دعامة

الصفحات الرسمية