具有相互身份验证的安全距离界限协议

抽象的

距离限定协议是抵抗基于距离的攻击的有用原始。目前，大多数现有的距离协议通常不会考虑到协议的重复使用。然而，有一些文献研究表明，随机重复可能导致协议参与者之间共享密钥的泄漏。Aikaterini等。介绍了一种可以作为补充的对策，以允许随时重复的距离限制。但是，他们的建议只持有被动攻击者。在本文中，我们介绍了一个积极的攻击模型，并表明他们的对策是在所提出的主动攻击模型下的不安全。我们还发现，如果在所提出的主动模型下应用短的随机，则所有具有相互认证的现有距离限定协议都容易受到距离的攻击。为了解决这一安全问题，我们提出了一种新的距离限定协议，具有相互认证，以防止主动对手模型下的基于距离的攻击。提出了具有相互身份验证的距离限定协议的详细安全分析。

1.介绍

随着5G等信息技术的快速发展，越来越多的人享受到服务提供商提供的各种基于位置的服务带来的便利。基于距离的攻击使不诚实的用户欺骗他们的真实位置，从而可能给商家造成严重的经济损失。距离边界协议在抵抗基于距离的攻击中发挥着重要作用，因为它使一个实体能够确定另一个实体与自己联系的距离上限。距离限制协议首先通过测量验证者和验证者之间的消息往返时间来防止中继攻击(黑手党欺诈攻击)。接力攻击可以进一步衍生为两种变体:一种是距离欺诈攻击，另一种是恐怖主义欺诈攻击。距离限制协议的设计不合理是导致距离欺骗和恐怖诈骗袭击的主要原因。不幸的是，距离边界协议是我们用来实现身份和距离验证的唯一原始协议，在很长一段时间内，它仍将被用于许多不同的安全应用。

通过测量往返时间来估计双方之间的距离的想法是由Brands和Chaum在1993年首次提出的[1］．然而，由于快速比特交换（RBE）阶段的响应位的随机性，第一距离限定协议既不占距离欺诈也不是恐怖主义欺诈阻力。此外，有许多关于计算昂贵的操作的使用争议是在其设计中成为基于精确的公钥的签名。由于最有可能的应用程序-RFID标签通常配备有限的计算能力，因此HANCKE和KUHN提出了一种新的距离限定协议，通过消除慢阶段中的计算昂贵的操作更兼容RFID应用[2］．它们使用了伪随机函数，它需要两个annce和一个秘密键作为生成的输入被视为RBE相中的响应的位序列。这为减少了发射距离欺诈攻击的不诚实证明的成功概率提供了一定的保证。然而，它们的建筑可以抵抗距离欺诈攻击。更重要的是，据称，Presty造换攻击将帮助黑手党欺诈攻击者在欺骗验证距离时获得额外的优势。有一些作品试图改善汉克和库恩的距离的偏移协议，以减少潜在对手在RBE阶段发射中继攻击时的成功概率，例如[3.-5.］．而hanke和Kuhn协议的一些变体试图通过使用秘密密钥作为种子，在慢阶段生成响应集，以打击恐怖主义欺诈攻击，基于(不诚实的验证者)对手不能将所有计算信息发送给另一个对手的假设[6.-8.然而，改进后的协议仍然受到一种名为“密钥学习攻击”的新攻击的困扰，在这种攻击中，对手可以在重复nonces时一点一点地恢复密钥。最近也有一些致力于保护验证者隐私不受不诚实验证者侵害的研究[9.-11］．Aikaterini等人最近的研究[12对密钥的安全性与所使用的nonces长度之间的关系进行了形式化分析。Avoine等人提出了另一种抵抗恐怖主义欺诈攻击的方法，其中秘密共享技术[13是就业。Capkun等人提出了第一个用于相互认证的距离边界协议[14];尽管如此，他们的协议是基于这些假设能够配备相当大的计算能力的假设。由于RFID标签通常具有有限的存储和计算资源，这不会缩放。解决这个问题，Yum等人。通过使用方向位来控制用户（涉及协议涉及的人）来充当验证者或证明者概率的新系统，提出了一种基于HANCKE和KUHN的施工的新系统。15］．随后，Avonie等人。指出了用于相互身份验证的距离限定协议[15[已被高估并呈现用于转换所有先前的距离限定协议的通用解决方案，以便单方面认证到相互身份验证[16］．

1.1。我们的贡献

Aikaterini等。提出了一种新的研究结果，即某些距离限定协议[9,12,17,18]的安全性取决于诺斯的长度[12］．作者还提出了对策，以减少对逆转争夺在重复随机的冒犯时的成功概率。但是，我们发现他们的协议仅基于被动攻击者模型构建。在活动攻击者模型中分析其系统，我们发现它在我们新的主动攻击下表现不比瑞士刀协议更好。除了那些协议[17-20.]在[12]，其他使用秘钥的协议[6.-8.那21当使用短的诺斯时，作为生成响应信息的种子可以在我们的攻击下不安全。此外，Nonce的重复可能导致其他基于距离的距离限定协议的攻击。因此，安全性分析应与先前的分析不同，不允许重复无数。例如，当使用短的annces时，[中提出的距离限定协议15那16]遭受距离欺诈攻击。我们提出了一种增强的协议，可以阻止对攻击的主动攻击。还介绍了我们改进协议的安全性分析，还介绍了在设计协议的重复短NANCE的条件下。

纸质组织．本文的其余部分组织如下。在本节中，我们介绍了Aikaterini等人的协议以及对他们协议的实际攻击2．介绍了一种新颖的距离界限协议3.．有关协议的详细安全分析在一节中介绍4.，本文在部分结束5.．

2.Aikaterini等人的Nonces重复协议

2.1。他们的协议概述

Aikaterini等人的距离边界协议:理论上，用于设计距离边界协议的nonces不应该重复。在实际应用中，特别是RFID标签使用了较短的nonces，因此需要考虑重复nonces对距离边界协议安全性的影响。对此的详细分析载于[12］．他们发现，如果使用短nonces，一些以前的协议[17-20.]遭受关键学习攻击，无源对手可以通过重复诺斯的会话来逐步学习秘密键。他们提出了一种对策，可以减少使用短腹部时获得秘密密钥的成功概率。他们的协议在图中说明1．

与[中的协议相比17-20.]，Aikaterini等。的协议介绍了另一个随机数 ．在慢阶段，伪随机功能是用一对随机数吗 和一个不变的数量作为生成a的输入 -长度位集合和 ．通过计算生成对密钥的承诺 ．主要思想是被动的对手必须等待，直到重复 发生时，他可以得到一些关于密钥的有用信息，因此，与协议相比，对手的成功概率降低了[17-20.对手只需要等待，直到重复 ．

2.2。积极攻击他们的协议

在以前的研究中，我们都认为验证者在谚语中是诚实的，而箴言可能是不诚实的。似乎是正常的，因为它是试图欺骗他们真实位置的不诚实的标签。在研究之后[12]，我们可以找到一个强烈的借口来假设验证者是恶意的，因为他可以找到一种简单的方法来获取标签的秘密密钥并以后模仿标签。我们在本报告中使用的主动攻击性定义如下。

定义1。对手能够在执行加密协议期间窃听，修改，重新路由和插入消息。对手能够获得任何旧会话密钥的价值。对手可以启动任何数量的并行协议。对手可能是合法协议参与者。对手没有无限的计算能力。
积极攻击在他们的协议:（1） 作为发送即时消息的恶意验证者向诚实的人证明 ．他记录下他们的反应 让挑战变得更小并存储响应位 ．（2） 继续发送来 那直到一次重复返回，然后在rbe阶段，送作为挑战比特并将相应的响应位记录为 ．（3） 恢复秘密密钥的通过计算 那在哪里 ．

2.3。积极攻击的理论分析

我们遵循[12]通过允许诺斯是 在瑞士刀协议或 在协议(17-20.］．值得注意的是，在积极攻击下，安全性仅取决于所用的贪欲的长度，同时与密钥的长度无关，这证实了[12］．更重要的是，在积极的攻击下，对手可以解决这意味着,如果然后重复重复。让 是一个随机数序列，用于 分别在哪里 ．通过控制发送到箴言的挑战比特，主动对手可以在第一次重复时恢复秘密密钥出现。假设随机空间是然后让是第一次重复的事件发生，然后是期望的会话数可以在以下等式中表达： 在哪里 表示第一次重复发生的概率会议。因为只有因此，第一次重复将出现在 试验确定。让是在前一个碰撞的事件会话。让是碰撞出现的事件第一次会议。和 可以在以下等式中计算：

至于在哪里 那可计算如下:

概率意味着，在Session，重复首次出现：

根据(1） - （4.），预计会议数量可以在以下等式中表达：

因此，预期的会话次数 那 可以按表中计算1．

3.一种新的双向认证距离边界协议

在[12]是缺乏验证者身份验证。因此，用于相互认证的距离限定协议可能是主动攻击的潜在解决方案。然而，正如我们在II型攻击中所看到的，慢阶段的相互认证无法阻止从启动活动攻击时停止主动攻击，因为主动对手想要获得的关键信息是在RBE相位中。这意味着我们必须在RBE相中实现相互身份验证。目前，有两个距离限定协议在rbe阶段实现相互认证[15那16］．但是，进一步的分析表明，如果我们考虑到重复，这两种协议都提出[15那16当使用短的诺斯时，患距离欺诈攻击。由于在慢阶段生成了所有挑战比特和响应位，因此当annce重复时，不诚实的箴言将知道将发送的挑战比特，因此，他可以进行高级回复。因此，我们使用RBE相中的固定和随机挑战消息设计了遥控协议。为了避免混淆，在表中介绍了我们协议中使用的符号的解释2我们的改进协议如图所示2．

4.安全分析

在本节中，我们为我们拟议的距离欺诈，黑手党欺诈和恐怖主义欺诈攻击提供了详细的分析。我们首先定义本节中将使用的一些符号。让表示对手的成功概率第一轮RBE阶段让和是来自验证者的固定挑战位和来自验证者的固定响应位和是对手的猜测挑战和反应位第一轮RBE阶段让和是来自验证者的随机挑战措施和验证者的响应位和是来自对手的猜测挑战和反应位第一轮RBE阶段

4.1。积极的攻击和被动攻击

我们首先根据对手不了解秘密密钥，评估对我们改进议定书的积极反对者的成功概率 ．当对手收到固定的挑战比特时来自箴言在一个一轮，他必须猜到回应 ．至于随机挑战一点 那根据我们的主动攻击模型，在他遇到重复的 那他会继续发送 作为随机挑战。因此，主动对手在单轮中获胜的概率为 ．因此，活性对手的成功概率轮次是 ．

4．2．距离欺诈攻击

在距离欺诈攻击中，不诚实的证明试图使验证者认为他比他真正的更近的是通过提供高级答复。让我们在RBE阶段考虑一轮。由于不诚实的先驱有了所有的知识 那他总是可以给出正确的 ．然而，他不能确定挑战部分验证器。当 那他可以在何时进行成功的回应 他必须选择或作为提前响应。因此，成功概率表示为每一轮中不诚实用户的

因此，不诚实证明者发起距离欺诈攻击的成功概率为 ．

4.3。黑手党欺诈攻击

在黑手党诈骗攻击中，验证者和被验证者都是诚实的。对手试图在验证者和验证者之间发起黑手党欺诈攻击，其方式是作为验证者和验证者，验证者和验证者。如果对手成功地被验证者或验证者验证，我们就说她成功了。因此，我们将攻击分为以下两种情况，以及成功的概率和分别计算。对手首先作为验证者与验证者进行通信，然后作为验证者利用从验证者获得的信息与验证者进行通信对手首先充当与谚语通信的验证者，然后使用从箴言中获取的信息作为抄本并与验证者通信

4.3.1。案例I.

在这种情况下，对手并不知道 ．因此，在一个单一的一轮中，他必须猜测价值观和 那和成功概率在一轮中可以表示如下： ．因此，我在案件下的对手的成功概率N轮次是 ．

4.3.2。案例二世

在这种情况下，对手必须猜测响应位给箴言和验证者可能会在一个往语后面询问，因此，单一的成功概率圆形可以表示如下： ．

因此，案件II下对手的成功概率N轮次是 ．

4.4。恐怖主义欺诈攻击

在恐怖主义欺诈袭击中，一个不诚实的证明者与对手合作，试图欺骗他的真实位置。值得注意的是，不诚实的证明者应该在信息不会泄露他的密钥的条件下提供尽可能多的信息。因此，我们首先评估协议中可能由不诚实的证明者提供给对手的信息，如表中所示3.．

进一步的分析表明，对手可以收复失地然后他可以计算出不诚实用户持有的与恐怖诈骗攻击定义相矛盾的密钥。因此，我们只需要分析案例II到案例VII，对应的成功概率如表所示4.．

因此，在发动恐怖主义欺诈袭击时，不诚实证明和对手的成功概率是 ．

4.5。与现有距离界限协议进行比较

我们将我们提出的距离边界协议与一些流行的现有协议进行了比较，结果如表所示5.．从结果可以看出，我们提出的协议是第一个在主动对手模型下安全且实现了相互认证的协议。由于空间限制，我们使用“M”表示黑手党诈骗攻击，“T”表示恐怖主义诈骗攻击，“MA”表示相互认证，“NR”表示瞬时重复，“SA”表示主动对手模型下的安全。

5.结论

在本文中，我们提出了关于[中提出的距离限定协议的积极攻击12在这种情况下，当使用短的nonces时，对手可以更有效地捕获密钥。理论分析表明，他们的协议并不比协议更好[17-20.]在我们积极的攻击下。我们将其协议的增强版本提出了一种使用相互认证的知识作为活动攻击的对策。但是，当先前的距离界限协议允许短的anncle [15那16]应用到实际应用程序中，由于这些协议中的所有质询位都是固定的，因此会导致距离欺诈攻击。因此，我们在RBE阶段同时设置了固定的和随机的挑战位。详细的安全性分析也考虑到nonces的重复。通过RBE阶段的长度被扩展到 -长度，我们的改进协议显示了抵制关键学习攻击的更好结果，并实现了相互认证。

数据可用性

在当前的研究中使用或分析的数据集可从通讯作者在合理的要求。

利益冲突

作者没有任何可能的利益冲突。

作者的贡献

威瑞刘主要负责协议的设计和相应的安全分析。华国负责小说协议和以前的比较，而阳光田负责纸质写作和可行性分析。

致谢

该工作由河南省青年人才促进项目部分赞助，据授予NO。2021HYTP011。

参考

1. S. Brands和D. Chaum，“距离边界协议”，在尿尿布隐藏学的进展，pp.344-359，Springer，柏林，德国，1994年。查看在：谷歌学者
2. G. P. Hancke和M. G. Kuhn，“RFID距离界定协议”通讯网络新兴领域的安全和隐私论文集，2005年。SecureComm 2005。第一次国际会议，pp.67-73，雅典，希腊，2005年9月。查看在：谷歌学者
3. C. Hee Kim和G. Avoine，“RFID距离有限协议，具有混合挑战”，IEEE无线通信汇刊，第10卷，第5期。5, pp. 1618-1626, 2011。查看在：谷歌学者
4. S. Lee，J. Kim和S. Hong，“与延迟回应的距离”，2012。查看在：谷歌学者
5. J. Munilla和A. Peinado，“通过使用空洞挑战和噪声信道分析增强rfid的距离边界协议，”无线通信和移动计算，卷。8，不。9，pp。1227-1232，2008。查看在：出版商的网站|谷歌学者
6. C. Hee Kim，G. Avoine，F. Koeune和O. Pereira，“瑞士刀RFID距离界定协议”第11届国际信息安全和密码学会会议诉讼程序，第98-115页，韩国首尔，2008年12月。查看在：谷歌学者
7. A. Yang，Y. Zhuang和D. Wong，“一种高效的单慢阶段相互认证的RFID距离偏向协议，”资讯及通讯保安，春天，柏林，德国，2012年。查看在：谷歌学者
8. 杨安生，杨国强，“一种不需要实时prf评估的高效rfid距离边界协议”计算机科学课堂讲稿的网络与系统安全，J. Lopez，X. Huang，以及R. Sandhu，EDS。，Springer，柏林，德国，2013年。查看在：谷歌学者
9. N.-S。霍华德和T.-Y。Youn，“匿名和可否认距离的动态会员管理”，可持续性，卷。12，不。24，物品ID 10330,2020。查看在：出版商的网站|谷歌学者
10. P. Elena, A. Yang, H. Qiao, G. hanke, and A. Mitrokotsa，“距离边界满足基于人类的认证”，未来一代计算机系统，卷。80，pp。627-639,2018。查看在：谷歌学者
11. A. Gildas, M. Jorge，和A Peinado， " enleadertwo security of distance-bounding: A survey， "ACM计算调查，卷。51，pp。1-33,2018。查看在：谷歌学者
12. A. Mitrokotsa，P. Peris-Lopez，C. Dimitrakakis和S.Vaudenay，“关于在距离限定协议中选择随机长度”，“计算机杂志，卷。19，没有。2013年2日。查看在：谷歌学者
13. G. Avoine, C. Lauradoux，和B. Martin，《秘密分享如何击败恐怖主义欺诈》wiec 2021:无线和移动网络安全与隐私会议论文集，第145-156页，阿布扎比，迪拜，2011年6月。查看在：谷歌学者
14. S.Čapkun，L.Buttyán和J.-P。Hubaux，“部门：在多跳无线网络中安全跟踪节点遭遇，”第一届ACM自组织和传感器网络安全研讨会论文集，第21-32页，费尔法克斯，VI，美国，2003年1月。查看在：谷歌学者
15. S. Jin，J. Sung和P. J. Lee，“相互认证的距离限定协议”IEEE交易，第10卷，第5期。2，pp。592-601，2011。查看在：谷歌学者
16. G. Avoine和C. H. Hee Kim，“相互距离边界协议”IEEE移动计算机上的交易，卷。12，不。5，pp。830-839,2013。查看在：出版商的网站|谷歌学者
17. G. Kapoor，W. Zhou和S. Piramuthu，“多个RFID标签认证的距离边界协议”嵌入式和无处不在的计算程序，2008. euc'08。IEEE / IFIP国际会议，PP。加拿大温哥华115-120，2008年12月。查看在：谷歌学者
18. C. Hee Kim，G. Avoine，F. Koeune和O. Pereira，“瑞士刀RFID距离界定协议”信息安全和密码学的诉讼程序-ICISC 2008，第98-115页，韩国首尔，2009年6月。查看在：谷歌学者
19. J. Reid，J. M.Gonzalez Nieto，T.Tang和B. Senadji，“检测基于时序的方案的继电器攻击”第2届ACM信息，计算机和通信安全性研讨会，PP.204-213，新加坡，2007年4月。查看在：谷歌学者
20. Y.-J.Tu和S. piramuthu，“RFID距离界限协议”RFID技术第一国际欧元产研讨会的诉讼程序，维也纳，奥地利，2007年9月。查看在：谷歌学者
21. P. Peris-Lopez，J.C.Hernandez-Castro，C.MiniTrakakis，A.Mitrokotsa和M. E.Juan，“RFID距离界限协议和恐怖主义欺诈攻击的脱落灯”，2009年，https://arxiv.org/abs/0906.4618．查看在：谷歌学者

版权

版权所有©2021刘伟伟等。这是一篇发布在创意公共归因许可证如果正确引用了原始工作，则允许在任何媒体中的不受限制使用，分发和再现。