文摘

作为一个开放标准短程无线电频率通信、蓝牙已被称作是适合移动群体感知系统(MCS)。然而,个人的蓝牙设备的大规模部署的笔杆子也引发了隐私问题。因此,我们调查的隐私单方面根据最近的蓝牙标准v5.2认证协议。本文的贡献是双重的。(1)我们证明单方面认证协议受到隐私的弱点。这是,攻击者能够确定目标蓝牙设备一旦他观察到设备的协议运行期间之前的传播消息。更重要的是,我们分析蓝牙MCS的隐私威胁,当攻击者利用提出隐私的弱点在典型的物联网(物联网)场景。(2)改善单边认证协议因此发明了修复的弱点。在我们正式的隐私模型,改进后的协议证明地解决追溯问题的原始协议在蓝牙标准。另外,改进后的协议可以很容易地适应了蓝牙标准,因为它仅仅使用基本加密组件可用的标准规范。 In addition, we also suggest and evaluate two countermeasures, which do not need to modify the original protocol.

1。介绍

蓝牙(1)是一个开放的无线短程无线射频通信技术标准。蓝牙模块的硬件和软件已经集成到各种各样的消费者和商业设备包括智能手机、耳机,笔记本电脑,键盘,鼠标,平板电脑和汽车。实际上,蓝牙提供了一个高度实用的方法来建立已被称作移动群体感知系统(MCS)因为它的普遍性,方便,和适应。

为了保护设备用户和他们的敏感数据,蓝牙为充满敌意的环境中提供了一个安全解决方案(2]。更准确地说,有效的蓝牙标准规范(3- - - - - -5定义四个安全模式,即模式1到4。每个蓝牙设备必须运行在一个的四个安全模式。安全模式1不采用任何安全措施。安全模式2和4被视为服务level-enforced安全模式。也就是说,该设备在安全模式下2或4不会启动任何安全程序,直到它接收或发起一个通道建立请求。安全模式3链接level-enforced安全模式,安全程序的启动前的物理链路完全建立。安全模式2、3和4都是由三个至关重要的程序,即。,配对和链接密钥生成、验证和机密性。需要指出,身份验证程序和保密程序在安全模式2、3和4是完全一样的。我们简要回顾这三个程序如下:配对和链接密钥生成:这个过程是负责建立的链接键之间对设备和进一步绑定可信设备。关键的联系将使用在随后的安全程序。安全模式2和3采用相同的配对和链接密钥生成方案称为个人识别号码(PIN)配对。销配对进行了分析和改进等文献[6,7]。然而,在安全模式4、安全简单的配对(SSP)。等一系列的作品(8- - - - - -11)地址的安全属性SSP下独特的实际问题。身份验证:本程序适用于两个配对设备,需要他们的共享链接密钥之前生成的过程。程序的目标是验证合法身份声称配对设备本身。当身份验证失败,任何重试相同的身份将被推迟等待时间间隔。保密:本程序提供一个单独的保密服务配对设备之间的数据传输。

蓝牙设备的广泛使用已经生了许多无线个人应用,如连接手机到无线耳机、应急系统的汽车,和数字钱包和商人。蓝牙通常用于建立无线个人区域网(WPAN)因为它的可用性和性能。事实上,蓝牙标准适应在IEEE 802.15 (12WPAN)。显然,重要的是蓝牙WPAN下保护用户的隐私。然而,缺乏身体接触在通信和预期的无处不在的敏感的应用程序(比如MCS [13,14])将鼓励邪恶的实体观察和跟踪设备通过蓝牙传输消息。在蓝牙WPAN应用程序中,攻击者可以截获和分析设备间传输消息。如果在这个时候一个设备与用户、用户的身份将被披露他的设备。图1蓝牙应用程序演示了一个场景:攻击者截获并分析了设备间传输消息。因此,需要蓝牙对隐私威胁出现耐药。保证用户的隐私,特别是安全模式的传播消息不应该被利用来识别目标设备。

美国国家标准与技术研究院(NIST) (15]调查隐私保护功能和威胁的早期版本蓝牙标准。一些工作(16- - - - - -18)显示一个特定用户的隐私可以妥协,如果蓝牙设备地址与用户捕获,因此提出了改进的方案来修复它。此外,一些设备(19,20.)与保护机制的实现蓝牙地址。许多研究人员(21- - - - - -25)发现,公众对蓝牙广告渠道低能量(bie)可能泄漏设备的身份信息,因此设计了隐私的对策。Celosia和Cunche26]报道时机攻击,可以引发的远程攻击者,来推断从蓝牙设备的状态信息和破坏用户的隐私。作为一个潜在的隐私威胁,蓝牙交通可以嗅即使设备是不会被发现的模式,作为证明了Albazrqaoe et al。27]。Bello-Ogunu et al。28)开发出一种隐私管理框架,提供了一个祝福灯塔策略配置平台。我们(29日SSP)解决隐私漏洞的祝福在安全模式下版本4。此外,蓝牙系统(30.- - - - - -32在应用程序级别是为了保护用户的隐私。由于蓝牙WPAN的快速发展及其融入物联网(物联网),现在越来越多的隐私保护功能已经包含在蓝牙标准规范(4]。

我们所知,目前还没有积极研究隐私蓝牙认证过程的安全解决方案。然而,攻击者可能会利用这些漏洞在身份验证过程妥协用户的隐私,特别是当蓝牙设备物联网环境中的部署。此外,隐私保护的整体实力将会由最弱的蓝牙安全解决方案的过程。因此,我们关注的隐私增强认证过程根据最近的蓝牙标准v5.2 [4]。

两个请求-响应协议,即。,the unilateral (or legacy) authentication protocol and the mutual (or secure) authentication protocol, are used to realize the authentication procedure in the Bluetooth standard v5.2. In this paper, we will systematically investigate the privacy of the unilateral authentication protocol. We demonstrate that the attacker can track the target Bluetooth-enabled device once he observed the device’s previous transmitted messages during the protocol run. We further evaluate its impact on the Bluetooth MCS, when our proposed privacy weakness is exploited under typical IoT scenarios. An improved unilateral authentication protocol is therefore proposed to overcome the privacy weakness in the original protocol. Without high extra implementation costs, our improved protocol provably solves the traceability problem in the original protocol. In addition, two non-protocol countermeasures are also suggested and evaluated for the privacy enhancement.

2。审查的单边蓝牙认证协议

单方面的认证协议(4),每一个蓝牙设备被称为原告或请求。申请人是一个设备展现自己的身份验证器,验证器是一个设备验证申请人的身份。协议验证的设备通过验证的知识共享链接键,这是建立在配对和链接密钥生成过程。该协议利用密码散列算法E₁用一个128位的输出。该算法E₁基于安全+分组密码但有一些小的修改(4]。让K_链接被申请人之间的共享链接密钥和校验。让BD_ADDR申请人的设备地址。如图所示的协议2,身份验证会话描述如下。第一步:验证器生成一个128位的随机数AU_RAND所面临的挑战,然后将其发送给申请人。步骤2:设备计算的身份验证标记{sr, ACO} =E₁(K_链接、BD_ADDR AU_RAND), sr称为签署响应32最重要的128位算法的输出E₁,ACO称为认证加密抵消,其余部分用于创建加密密钥的保密程序。步骤3:身份验证响应sr从申请人发送验证器。第四步:验证人比较接收到的老与同行在本地计算。如果他们是一样的,协议成功运行,验证人接受申请人的身份;否则,该协议运行失败。

关键是半永久的或临时的联系根据蓝牙标准规范(4]。半永久的链接键可能是当前安全会话终止后仍然使用。这意味着半永久的链接键可能在一些后续的验证激活设备之间的连接。临时链接密钥的生命周期是有限的,目前的安全会话的生命周期;也就是说,它不应在后面的安全会话重用。简而言之,一个链接键将仍然有效,直到下一个成功的配对和链接密钥生成过程的运行。

3所示。隐私的弱点单边蓝牙认证协议

假设攻击者监听和记录AU_RAND和sr申请人之间的一个协议运行期间(1)设备和验证器(设备2)。在此,这种假设是合理的因为AU_RAND和sr是不安全地通过蓝牙无线传输通道。如图3,攻击者可以使用过去AU_RAND和sr验证申请人是否设备1或不是由以下步骤。步骤1:在步骤1中记录AU_RAND重播的单边认证协议。步骤2:省略步骤2的单边认证协议。步骤3:在收到申请人的sr单边认证协议在步骤3中,比较它与记录sr。如果它们相等,申请人是设备1。

如果申请人是装置1,同一个BD_ADDR AU_RAND,K_链接应该作为算法的输入E₁在攻击者的身份验证。因此,该算法E₁将输出相同的sr攻击者的记录。相反,如果申请人不是设备1,不同K_链接和BD_ADDR应该作为算法的输入E₁。在这种情况下,算法E₁将输出相同的老以前的记录一个微不足道的概率。因此,攻击者可以使用该攻击识别设备1。我们进一步讨论拟议中的攻击如下。为了防止攻击,提出设备更新它K_链接每个身份验证会话之前。然而,我们认为,这是一个不切实际的方法由于沉重的配对和链接密钥生成过程的开销。如果K_链接和BD_ADDR,攻击者也能够识别装置通过身份验证会话。然而,这意味着攻击者必须强大到足以进入设备。在实践中,攻击者很难直接破解设备。拟议的攻击只是利用漏洞的单边蓝牙标准的认证协议。此外,由于安全模式2、3和4都采用这个协议,该攻击被认为是一种广谱跟踪方法。

此外,值得注意的是,蓝牙标准规范(4]给出对策防止攻击者重复验证过程。即“等待时间间隔身份验证失败时,应当通过验证器之前将发起一个新的认证尝试相同的申请,或之前将响应身份验证尝试由设备故障设备声称的身份。为每个后续验证失败,等待间隔应当以指数增长。例如,每次失败后,新尝试之前等待的时间间隔可以可以两次只要等待间隔前之前的尝试。等待间隔应当限于最大。”

然而,这个对策不能克服隐私弱点单方面提出认证协议,因为攻击者仅仅使用一个认证尝试确认申请人的身份。

4所示。隐私的威胁分析蓝牙MCS由于提议的弱点

等一些蓝牙应用程序(9,11),用户的隐私并不是一个严重的问题。然而,当蓝牙设备进入MCS,我们必须认真对待用户隐私,因为大量的个人敏感信息可能被自动收集。在本节中,我们使用拟议中的隐私的弱点来分析蓝牙MCS的隐私威胁下几种典型物联网场景。

我们知道MCS架构总是包含三个层次,即。、设备、边缘网关,云。设备包括网络传感器、致动器、和嵌入式通信硬件,采用广泛使用的标准,如蓝牙和无线个域网。

4.1。蓝牙物联网的场景

自标准v4.2 [33),蓝牙团体开始推动物联网技术。随着物联网应用的快速发展,许多MCS设计提出了利用蓝牙设备和网络。例如,蓝牙物联网下的MCS架构(34]可以分为六层:硬件层、微控制器层,蓝牙连接层、连接层,蓝牙物联网云栈层和应用程序层。我们可以列举几个典型的蓝牙物联网方案如下。

以下4.4.1。照顾孩子

在这个场景中,如(35),儿童戴腕带与蓝牙设备,和蓝牙网络将为托儿所老师提供的信息是否孩子们仍然是触手可及。此外,托儿所管理员可以统计每日总儿童运动的信息从他们的蓝牙设备。

4.1.2。医疗和保健

蓝牙健康监测设备(36)可以部署实现远程健康监控和紧急通知系统。这些设备的范围可以从血压和心率监视器先进设备监控专业植入物的能力。此外,如果医院床位配备蓝牙设备,医生可以检测到病床上是否占用、当病人试图站起来。

4.1.3。动物追踪

通过安装中继节点在牧场,农民可以监视的牲畜与蓝牙设备和跟踪每个群的动物。此外,随着畜牧业的蓝牙数据,精度满足机制可以实现使用人工智能计算牲畜的数量,分析牲畜的健康趋势,并评估育种效率。

4.1.4。“条形码扫描器”

蓝牙应用物联网适用于条形码扫描器,因为蓝牙网络可以覆盖一个大仓库,甚至多个大型仓库可能有很多障碍和墙壁。每个仓库工人可能会使用自己的条形码扫描器常数蓝牙网络覆盖。

4.1.5。温室监控系统

蓝牙设备可以收集植物数据温度、降雨量、土壤湿度、风速、害虫侵扰,内容,进一步与喷水灭火系统和通风系统。用户可以手动控制和配置系统的温室与一个应用程序使用智能手机蓝牙控制器。这个温室设施可以很容易地扩大,必要时添加更多的节点。

4.1.6。战场监视

士兵和军事设备与无线网络访问(称为节点)可以搜索的对象可能敌对势力。然后,他们向基站提供实时态势感知进而将这些数据发送给其他节点以及指挥中心。是时候,军方可能倾向于使用商用现货蓝牙传感器由于其固有的价格优势。

4.2。提出了蓝牙MCS的弱点

在这里,我们表明,该攻击危及设备主人的隐私,并进一步对蓝牙MCS的隐私构成威胁。

复杂的攻击者发送它的主人AU_RANDs到目标设备和记录相应的压力。他还收集了目标设备的AU_RANDs和应力通过蓝牙通道。这些值可以存储在一个数据表,如图4。攻击者可能从数据表中删除AU_RAND和sr,如果相应的K_链接到期。他同时试图发起认证与所有潜在的设备运行范围内的模仿设备置于他的控制之下。如果任何设备响应对sr,相应的身份联系将会透露给攻击者。补充信息,如位置,时间,用户行为,和已知的身份,攻击者可以推断目标设备的用户身份和妥协蓝牙MCS的隐私。

例如,考虑儿童保健的场景4.1。拟议中的隐私的弱点可以利用跟踪孩子的受害者蓝牙设备在一些区域移动。这可以帮助攻击者来推断孩子的运动特征。更重要的是,攻击者可以获得通过大量的儿童的关系找到蓝牙设备。

4.3。隐私蓝牙MCS的威胁

我们现在分析MCS的隐私威胁物联网的情况下部分4.1当攻击者利用提出隐私的弱点。在表1,我们首先收集和分析MCS的隐私保护功能有三个标准:设备之间的相关性和用户身份,系统部署范围和领域的隐私需求。然后,我们可以全面评估MCS和拟议中的隐私的隐私特性的弱点中讨论部分4.2。最后,我们推导出隐私威胁等级如表2。

5。改善单边蓝牙认证协议

在本节中,我们提高了单方面提出认证协议防止隐私的弱点。兼容的标准,改进应该由相同的加密组件在最初的单边认证协议。

5.1。协议描述

如图5,我们提出一种改进的协议来修复可追溯性弱点在最初的协议。身份验证会话现在如下。第一步:验证器生成一个随机数AU_RAND_V的挑战,然后将其发送给申请人。第二步:申请人创建另一个随机数AU_RAND_C并计算出的身份验证标记{sr, ACO} =E₁(K_链接、BD_ADDR AU_RAND_V,AU_RAND_C)。,基于安全+分组密码,密码散列算法是必要的E₁有一个输入和一个更大的规模。另外,两个AU_RAND_V和AU_RAND_C可以设置为64比特,算法E₁是相同的。第三步:申请人AU_RAND发送响应_C验证器和sr。步骤4:在接收AU_RAND_C,验证人第一次使用AU_RAND sr_C计算的身份验证标记{sr, ACO} =E₁(K_链接、BD_ADDR AU_RAND_V,AU_RAND_C)。然后,它比较接收到的老与同行在本地计算。如果他们是一样的,协议运行成功和验证人接受申请人的身份;否则,该协议运行失败。

备注1。在实践中,我们可以使用一个随机数AU_RAND非对称分割策略_V和AU_RAND_C。如果跟踪装置的风险很低在某些应用程序中,原告AU_RAND_C可以缩短32位约,同时保持AU_RAND是验证器的长度_V长,确保实际验证强度不退化。的随机数AU_RAND_C也可以换成一个序列号,从未在每个协议重复运行。序列号是一个计数器的一个例子。它要求申请人的状态信息维护协议后运行。然而,一些序列号长度很短。

5.2。效率比较

在本节中,我们比较了实现改进的协议和原来的成本。很明显,这两个协议有相同的秘密由于相同的存储成本K_链接。计算成本而言,这两个协议需要一个密码散列计算获得在每个设备{sr, ACO}。沟通成本,改进后的协议传输AU_RAND_V,AU_RAND_C,和老,而原来的协议只传送AU_RAND和sr。当AU_RAND_V和AU_RAND_C都是128位,改进后的协议带来的额外开销传输128位在身份验证会话。然而,在大多数的设备这样的开销是微不足道的。当AU_RAND_V和AU_RAND_C都是64位,这两个协议的沟通成本是相同的。总之,改进后的协议一样高效的原协议。

6。隐私评估改善单边蓝牙认证协议

事实上我们将看到从提出隐私疲软第三节是单方面的认证协议的设计非常容易出错,即使它起源于标准文档。因此,尽可能避免设计缺陷,我们采用正式的方法来检查改进的单方面的隐私认证协议在下面。

让表示的一组有限的二进制字符串和{0,1}^l代表一组二进制字符串的长度l。让公关(Ev)的概率事件Ev和公关(Ev₁|电动汽车₂事件的条件概率的电动车₁关于事件的电动车₂。

6.1。模型定义

我们使用一个正式的模型来评估的隐私单方面的身份验证协议。类似的工作改善隐私认证协议的分析始于Juels的纸,Weis [37]。根据蓝牙网络设置,让我= {1,2,…n}是一组与原告或蓝牙设备的校验。单方面的身份验证协议Π规则如何申请人和验证人协议运行时的行为。对于任何我,j∈我,让Π_我,j是我Π实例交互j。根据ΠΠ_我,j生成、传输和接收消息(s)对申请人进行身份验证。在某种程度上,Π_我,j可视为一个有效的可计算函数。Π的内部状态_我,j包括以下变量:席德:协议运行的惟一标识符。K_链接:链接键都共享我和j。BD_ADDR:申请人的地址。tran:成绩单我当前的协议运行到目前为止,即。,the ordered set of messages transmitted and received by我到目前为止。δ:一个布尔变量设置为true或false表示是否接受或拒绝在协议的最后运行。这个变量是有效的验证器的实例。

不失一般性,我们假设我校验和j目的是在以下申请。一个协议运行可以通过协同建模Π运行_我,j和Π_j,我。在协议的运行结束时,我要么接受或拒绝所谓的身份的j,这是由Π表示_我,j的δ。在这里,我验证j通过使用Π_我,j的K_链接和BD_ADDR。

一个函数ε:N⟶R可以忽略不计的n如果所有的常量c≥0总是存在一个整数N这样所有的整数n>N它认为,ε(n)<n^−c。如果ε是可以忽略不计,那么1−ε据说是压倒性的。让k或1^k的安全参数Π单方面的身份验证协议。我们首先定义正确性的概念如下。

定义1。(正确)。单方面的身份验证协议Π安全参数k是正确的,如果给诚实的验证器吗我∈我和任何诚实的原告j∈我的协议运行Π_我,j和Π_j,我成功有压倒性的概率k。
的正确性Π意味着如果Π_我,j和Π_j,我协作生成tran使用相同的K_链接和BD_ADDRΠ_我,j的δ是真的最后协议的运行。显然,每个Π必须满足它。很容易检查原始和改进的协议都是正确的。

但是。攻击者

假设攻击者一个已经完全控制所有通信Π运行期间。的能力一个本质上是由指定的行为,他被允许执行,即。一群神谕,他可以查询。根据蓝牙网络设置,设备和之间的交互一个建模是通过发送查询来从神谕神谕和接收结果。神谕定义如何一个与Π交互。启动(我,j)⟶{Πsid_我,j,Π_j,我}:发射甲骨文意味着系统启动一个单方面的认证协议来看,sid在哪里设置为一个惟一的标识符。Π_我,j和Π_j,我保持相同的K_链接和BD_ADDR。在Π反式_我,j和Π_j,我设置为null,δ在Π_我,j设置为false。发送(米席德,Π_我,j)⟶米′(分别地。发送(米席德,Π_j,我)⟶米′):Send oracle发送一条消息米来我(职责。j),得到的回答米′,应该发送到对应j(职责。我)。如果米根据Π是有效的_我,j(职责。Π_j,我),米添加到Π_我,j的职责。,Π_j,我同时' s) tran。在此,米, ,在零表明不传播消息。执行(我,j)⟶{Π_我,j,Π_j,我tran sid}:甲骨文是用来执行组一个发射连续查询和使用的发送查询执行一个完整的协议之间运行我的Π_我,j和j的Π_j,我。tran包含所有传播消息的记录在这个协议运行。此外,协议运行被sid。结果(Π_我,j)⟶x结果:甲骨文可以决定是否Π_我,j成功完成。也就是说,如果Π_我,j的δ是真的,那么x= 1;否则,x= 0。腐败(Π_我,j)⟶{K_链接}(分别地。,腐败(Π_j,我)⟶{K_链接}):腐败的甲骨文返回链接的关键K_链接秘密存储在Π_我,j(职责。Π_j,我)。

在下面,我们提出一个实验来定义协议隐私通过使用上面的神谕。

6.1.2。隐私

如图6我们现在的实验Pri−Exp_Π,一个(k)检查隐私Π单方面的身份验证协议。在安装阶段,一套设备是由获得他们K_链接和BD_ADDR。在训练阶段,攻击者一个可以选择任何一对运行的设备和学习Π通过调用发射,发送,执行,结果,和腐败的神谕。一个然后选择两个未堕落的设备j₀和j₁在他的意志和提供测试甲骨文在挑战阶段。测试甲骨文掷一枚硬币b∈{0,1},并返回一个设备j_b回一个。然后,去猜测b,一个可以控制申请人之间的协议运行j_b和任何验证器我。即培训第二阶段不断允许一个访问发射、发送、执行和结果神谕。最后,一个应该输出他的猜测b。通过这个实验,我们提出以下定义协议隐私。

定义2。(隐私)。单方面认证协议Π是私人的,如果对于任何概率多项式时间(PPT)攻击者一个猜测的优势, 可以忽略不计的安全参数k。
我们使用的定义2检查隐私的单边认证协议如图2。攻击者一个可以调用Execute甲骨文记录tran = {AU_RAND, sr}索赔人之间j和一个验证器我在训练阶段。然后,一个提交j₀=j和任何其他j₁∈我并调用oracle测试(j₀,j₁)在挑战阶段。在培训第二阶段,一个调用oracle发布(我,j_b)获得Π_jb,我sid然后调用oracle发送(sid, AU_RANDΠ_jb,我)获得相应的sr。一个输出猜一点b′= 0,如果收到sr等于记录sr在训练阶段。否则,他输出猜b′= 1。让ν的概率是发送(sid, AU_RANDΠ_j0,我)和发送(sid, AU_RANDΠ_j1,我sr)输出相同。我们有 很明显,ν可以忽略不计的安全参数k。协议如图2不满足的定义2因此不是私有的。考虑改进的单边认证协议如图5。虽然攻击者一个可以拦截前值AU_RAND吗_V,AU_RAND_C设备1和设备之间交换,老2,他不能重用它们来识别目标设备1。在随后的协议,一个重复前面的AU_RAND吗_V设备1。然而,设备1应该计算不同的sr因为AU_RAND不同_C作为输入生成的算法E₁。作为一个结果,一个不能确定设备的身份1通过比较接收到的老的记录在过去的协议运行。当然,上面的隐私还是非正式的讨论。在下面,我们将目前的隐私结果改进协议在我们正式的模型。

6.2。隐私性质及其证明

评估改进的单方面的隐私认证协议,我们需要使用键控伪随机函数的假设38]。一个用键值标识的功能F接收输入一些K∈{0,1}^k和 和输出一些 。在这里,K是随机选择统一的关键。F是一个键控伪随机函数,这样没有多项式时间器材D可以检测如果给定一个字符串根据采样F或一个真正的随机函数f。给出正式的定义如下。

定义3。让F:{0,1}^k×{0,我}^l_l⟶{0,1}^l₂是一个有效的函数。我们说F是一个键控伪随机函数,如果所有PPT辨义成分D存在一个微不足道的函数ε这样 在哪里k一些关键K均匀随机选择f均匀随机选择从一组随机函数映射l₁位字符串l₂位字符串。
请注意,D在定义3甲骨文访问函数的问题(F或f)。也就是说,D随时可以查询甲骨文x,在应对这些事件时,oracle返回的函数值的价值x。最后,D输出1如果能让一个正确的猜测。现在,我们有下面的定理。

定理1。让Π改善单边认证协议如图5。如果算法E₁在Π键控和伪随机函数k一些链接的关键K_链接是保密的,那么Π私人在吗k下定义2。

证明。我们知道腐败的oracle不能帮助攻击者一个猜的随机b在实验中Pri−Exp_Π,一个(k)。是所有的原因K_链接年代的配对设备是独立和oracle如果相应的腐败是不允许的K_链接用于培训第二阶段。因此,我们并不认为腐败的甲骨文在下面讨论。
在培训第二阶段的实验Pri−Exp_Π,一个(k),攻击者一个可以与申请人j_b。我们指定一个模拟器模拟来模拟j_b在每次运行行为Π的阶段。然而,Sim没有知识价值的随机位b或链接键K_链接在Π。我们证明一个与Sim的互动将计算的一个真正的互动j_b。这意味着一个无法识别j_b因为在猜测阶段一个没有知识的交互j_bΠ的运行。
回想一下,攻击者一个选择j₀和j₁在实验阶段Pri−Exp的挑战_Π,一个(k)。让l会话记录的完整列表tran有关j₀和j₁在训练阶段。让l′的会话记录tran的完整列表j_b在培训第二阶段。当一个调用启动、发送、执行和结果神谕在培训第二阶段,Sim模拟四神谕如下。发射甲骨文:当攻击者一个调用启动(我,j_b),模拟生成sid,Π(1^k,我,j_b、零)和Π(1^k,j_b,我,null),然后发送一个。在这里,Π(1^k,我,j_b,null)和Π(1^k,j_b,我、零),分别用于模拟Π_我,jb和Π_jb,我零意味着Sim卡不知道关键的联系K_链接。当攻击者发送甲骨文:(1)一个调用发送(null, sid,Π(1^k,我,j_bnull),随机生成AU_RAND Sim卡_V为验证器我在记录AU_RANDΠ_V在其l′,并将其发送给一个。(2)当一个调用发送(AU_RAND_V、sid、Π(1^k,j_b,我、零)和AU_RAND_V是由Sim, Sim生成随机AU_RAND吗_C和随机sr本身和记录他们的l′然后发送AU_RAND_C和老一个。Sim终止协议如果运行一个调用发送(AU_RAND_V、sid、Π(1^k,j_b,我,null))和Sim不生成AU_RAND_V。(3)当一个调用发送({AU_RAND_C,老},sid,Π(1^k,我,j_b零,AU_RAND_V)),Sim发送“接受”决定一个如果{AU_RAND_V,AU_RAND_C,老}已经存在的l′;否则,Sim发送“拒绝”决定一个。执行甲骨文:模拟执行(我,j_b),Sim生成sid, AU_RAND_V,AU_RAND_C,老就像发射甲骨文和发送甲骨文;记录{AU_RAND_V,AU_RAND_C,老}l′;然后发送它们一个。结果甲骨文:当攻击者一个调用结果(Π(1^k,我,j_b零,tran)), Sim返回1一个如果tran的l′;否则,它将返回0一个。调用的结果(Π(1^k,我,j_b,K_链接tran)), Sim应该重复查询我或j_b并返回相应的响应一个。区分Sim的培训第二阶段II从一个真正的训练阶段,攻击者一个必须能够确定申请人之间至少有一个无效的会议j_b和任何其他验证器我。换句话说,一个必须排除至少一个tran = {AU_RAND吗_V,AU_RAND_C,Sim sr}为了确定培训第二阶段。假设一个分别使最多问(k)查询发送oracle和执行oracle在每个训练阶段的实验Pri−Exp_Π,一个(k),问(k)是一个多项式函数。因此,下列两种情况之一必须发生在实验Pri−Exp_Π,一个(k)。案例1:有两个会议记录: 和 这样 和 。我们知道,老^l′Sim是随机生成的。因此,攻击者一个可以算出Sim通过验证是否老^l等于老^l′。让|l|和|l分别′|表示会话记录的数量l和l′。我们有|l|≤问(k)和|l′|≤问(k),因为一个,分别问(k)发送和执行调用每个相应的训练阶段。一个可以控制和 ;然而,和分别是由申请人j_b和Sim卡。自从值和都是随机的k发生一些价值观,例1的概率问(k)²/ 2^k。案例2:Sim随机选择sr在会话中。相对的,j_b应该使用的算法E₁计算sr。因此,攻击者一个取决于ser随机选择或计算识别Sim卡。我们知道这个算法E₁是一个键控伪随机函数(见定义呢3)。根据(3),的概率u那一个可以挑选Sim卡吗 因此,攻击者可以用多项式有界一个可以区分模拟和真实的吗j_b可以忽略不计的概率问(k)²/ 2^k+u(k)≤问(k)²/ 2^k+ε(k)。
由于定理1,改善单边认证协议可以防止攻击者识别,跟踪,或连接到设备,当且仅当设备不妥协其秘密参数K_链接存储在内存中。

7所示。其他对策提出的弱点

7.1。限制验证失败的尝试

显然,该隐私弱点可以部分修复,如果申请人的数量限制为每个链接键认证尝试失败。我们知道申请人可以确认身份验证失败,因为校验与申请人应终止其后续沟通。因此,对策是改变其链接关键每当FA >t,足总认证尝试失败的数量自最后一次修改链接的关键t是阈值失败的尝试。如果t= 0,那么攻击者最多只能跟踪申请人的身份。然而,如果该值t太小,它可能导致的高开销配对设备。原因是设备的硬件和软件故障也可能导致身份验证失败的尝试。在这种情况下,配对设备需要经常更新他们的链接主要通过运行配对和链接密钥生成过程。

7.2。避免单方面的认证协议

克服了隐私的弱点,它要求配对设备总是执行的相互认证协议,而不是单方面的身份验证协议。然而,这种对策有缺点如下。相互认证协议执行,只有在去皮设备支持相互的身份验证协议。否则,单方面执行身份验证协议。此外,在连接的初始化阶段,攻击者也可以欺骗单方面的去皮设备是向后兼容的身份验证协议。欺骗的方法之一是通过拦截和修改设备的蓝牙数据包的能力。相互认证协议仅仅是使用链接时使用SSP的密钥生成P−256椭圆曲线。相对,单边支持不仅SSP与认证协议P−256椭圆曲线也是P−128椭圆曲线。许多蓝牙MCS的情况下单方面身份验证就足够了。进一步说,在蓝牙MCS更可取,因为相互的身份验证带来更多实现成本比单方面的身份验证。

8。结论

我们研究单边认证协议的可追溯性弱点有关蓝牙标准,广泛应用于蓝牙设备。身份验证服务应提供强大的隐私保护在漏洞和虐待的恐惧中。这样的隐私要求,强化了弱认证协议的可能性越来越多的蓝牙设备滥用在现实世界中,如蓝牙MCS。改进的单边认证协议因此提出克服弱点的可追溯性。我们的改进协议在蓝牙设备简单、容易实现,尽管一些额外的开销。此外,non-protocol对策也建议修复可追溯性的弱点。当然,单方面的认证协议仍无法保证整个蓝牙设备及其网络的隐私。尽管如此,我们相信我们的结果是稳定的一步提高蓝牙安全解决方案。我们的未来的工作是研究隐私问题的相互认证协议和保密程序按照蓝牙标准。

数据可用性

使用的数据来支持本研究的结果都包含在这篇文章。

的利益冲突

作者宣称他们没有利益冲突或人际关系可能出现影响工作报告。

确认

博士的工作Da-Zhi太阳的部分资金由中国国家自然科学基金批准号下61872264。