احراز هویت سبکوزن متقابل مداوم بر اساس اولویتبندی گرهها با استفاده از نرخ ترافیک در اینترنت اشیا
محورهای موضوعی : مهندسی برق و کامپیوتررضا سرابی میانجی 1 , سام جبه داری 2 * , ناصر مدیری 3
1 - دانشگاه آزاد اسلامی واحد تهران شمال،گروه مهندسی کامپیوتر
2 - دانشگاه آزاد اسلامی واحد تهران شمال،گروه مهندسی کامپیوتر
3 - دانشگاه آزاد اسلامی واحد زنجان،دانشکده مهندسی برق و کامپیوتر
کلید واژه: احراز هویت سبکوزن, احراز هویت مداوم, اینترنت اشیا, حریم خصوصی,
چکیده مقاله :
امروزه میلیاردها دستگاه از طریق اینترنت اشیا و در اغلب موارد از طریق ارتباطات ناامن به هم متصل شدهاند، بنابراین مسایل امنیتی و حریم خصوصی این دستگاهها به عنوان یک نگرانی عمده مطرح است. با توجه به محدودیت منابع دستگاههای اینترنت اشیا، راه حلهای امنیتی این محیط از نظر پردازش و حافظه باید امن و سبکوزن باشند. با این حال، بسیاری از راه حلهای امنیتی موجود به طور خاص در زمینه احراز هویت به دلیل محاسبات زیاد برای اینترنت اشیا مناسب نیستند و نیاز به یک پروتکل احراز هویت سبکوزن برای دستگاههای اینترنت اشیا احساس میشود. در این مقاله، یک پروتکل احراز هویت سبکوزن متقابل بین گرهها با منابع محدود و سرور در اینترنت اشیا معرفی شده است که از اولویتبندی گرهها بر اساس نرخ ترافیک استفاده میکند. این طرح به دلیل استفاده از عملیات XOR و Hash سبک میباشد. طرح پیشنهادی در برابر حملات سایبری مانند استراق سمع و حمله تلاش مجدد مقاوم است و همچنین با استفاده از ابزار AVISPA و در مدل تهدید Dolev-Yao امن میباشد. ریسکهای امنیتی این روش در مقایسه با روشهای سبکوزن دیگر کم است. در ضمن طرح پیشنهادی باعث کاهش هزینه محاسباتی، حفظ حریم خصوصی از طریق گمنامی گرهها و فراهمآوردن رازداری رو به جلو میشود. در روش ما، هزینه زمانی احراز هویت نسبت به روشهای بررسیشده 15% کاهش یافته است.
Today, billions of devices are connected via the Internet of Things, often through insecure communications. Therefore, security and privacy issues of these devices are a major concern. Since devices in IoT are typically resource-constrained devices, the security solutions of this environment in terms of processing and memory must be secure and lightweight. However, many existing security solutions are not particularly suitable for IoT due to high computation. So there is a need for a lightweight authentication protocol for IoT devices. In this paper, a mutual lightweight authentication protocol between nodes with limited resources and IoT servers is introduced that uses node prioritization based on traffic rates. This scheme is light due to the use of lightweight XOR and Hash operations. The proposed is resistant to cyber-attacks such as eavesdropping attack, and replay attack. The proposed is also secure using the AVISPA tool in the Dolev-Yao threat model. The security risks of this scheme are low compared to other lightweight methods. In addition, the proposal is compared with existing authentication schemes reduces the computational cost, protects privacy through anonymity of nodes, and provides forward secrecy. In our method, the execute time of authentication is reduced by 15% compared to the other methods.
[1] D. G. O. Rourke, Internet of Things (IoT) Cybersecurity Colloquium Internet of Things Cybersecurity Colloquium, 2017.
[2] M. Ammar, G. Russello, and B. Crispo, "Internet of Things: a survey on the security of IoT frameworks," J. Inf. Secur. Appl., vol. 38, no. 1, pp. 8-27, Feb. 2018.
[3] J. Li, Y. Qu, F. Chao, H. P. H. Shum, E. S. L. Ho, and L. Yang, "Machine learning algorithms for network intrusion detection," In L. F. Sikos (Ed.), AI in Cybersecurity, pp. 151-179, Vol. 151, Springer, 1989.
[4] R. Mahmoud, T. Yousuf, F. Aloul, and I. Zualkernan, "Internet of Things (IoT) security : current status, challenges and prospective Measures," in Proc. 10th In. Conf. for Internet Technology and Secured Transactions, ICITST’15, pp. 336-341, London, UK, 14-16 2015.
[5] M. F. Aziz, A. N. Khan, J. Shuja, I. A. Khan, F. G. Khan, and A. ur R. Khan, "A lightweight and compromise-resilient authentication scheme for IoTs," Trans. on Emerging Telecommunications Technologies, vol. 33, no. 3, pp. 1-17, Nov. 2019.
[6] M. Abomhara and G. M. Køien, "Security and privacy in the Internet of Things: current status and open issues," in Proc. Int. Conf. Priv. Secur. Mob. Syst., 8 pp., Aalborg, Denmark, 11-14 May 2014.
[7] I. Alqassem and D. Svetinovic, "A taxonomy of security and privacy requirements for the Internet of Things (IoT)," in Proc. IEEE Int. Conf. Ind. Eng. Eng. Manag., pp. 1244-1248, Bandar Sunway, Malaysia, 9-12 Dec. 2014.
[8] Y. H. Chuang, N. W. Lo, C. Y. Yang, and S. W. Tang, "A lightweight continuous authentication protocol for the Internet of Things," Sensors, vol. 18, no. 4, pp. 1-26, Apr. 2018.
[9] I. Traore, et al., "Dynamic sample size detection in learning command line sequence for continuous authentication," IEEE Trans. Syst. Man, Cybern. Part Bvol. 42, no. 5, pp. 1343-1356, Oct. 2012.
[10] S. Mondal and P. Bours, "Continuous authentication in a real world settings," in Proc. 8th Int. Conf. on Advances in Pattern Recognition, ICAPR’15, 6 pp., Kolkata, India, 4-7 Jan. 2015.
[11] A. B. Buduru and S. S. Yau, "An effective approach to continuous user authentication for touch screen smart devices," in Proc. IEEE Int. Conf. on Software Quality, Reliability and Security, QRS’15, pp. 219-226, Vancouver, Canada, 3-5Aug. 2015.
[12] S. Mondal and P. Bours, "Continuous authentication and identification for mobile devices: combining security and forensics," in Proc. IEEE Int.Workshop on Information Forensics and Security, WIFS’15, 6 pp., Rome, Italy, 16-19 Nov. 2015.
[13] M. L. Brocardo, I. Traore, and I. Woungang, "Toward a framework for continuous authentication using stylometry," in Proc. IEEE 28th Int. Conf. on Advanced Information Networking and Applications, pp. 106-115, Victoria, Canada, 13-16 May 2014.
[14] C. Shen, Z. Cai, and X. Guan, "Continuous authentication for mouse dynamics: a pattern-growth approach," in Proc. IEEE/IFIP Int. Conf. on Dependable Systems and Networks, DSN’12, 12 pp., Boston, MA, USA, 25-28 Jun. 2012.
[15] O. O. Bamasag and S. Arabia, "Towards continuous authentication in internet of things based on secret sharing scheme, " in Proc. of the Workshop on Embedded Systems Security, WESS’15, 8 pp., Amsterdam, The Netherlands, 4-9 Oct 2015.
[16] H. Sethi, M. Arkko, J. Keranen, and A. Back, Practical Considerations and Implementation Experiences in Securing Smart Object Networks. Draft-Ietf-Lwig-Crypto-Sensors-06, 2018.
[17] C. Bormann, M. Ersue, and A. Kernen, Terminology for Constrained-Node Networks, no. 7228. RFC Editor, May 2014.
[18] T. Kothmayr, C. Schmitt, W. Hu, M. Brünig, and G. Carle, "DTLS based security and two-way authentication for the Internet of Things," Ad Hoc Networks, vol. 11, no. 8, pp. 2710-2723, Nov. 2013.
[19] E. Rescorla and N. Modadugu, Datagram Transport Layer Security Version 1.2. RFC 6347, Internet Engineering Task Force (IETF). 2012.
[20] P. Gope and T. Hwang, "Untraceable sensor movement in distributed IoT infrastructure," IEEE Sens. J., vol. 15, no. 9, pp. 5340-5348, Sept. 2015.
[21] Y. Kawamoto, H. Nishiyama, N. Kato, Y. Shimizu, A. Takahara, and T. Jiang, "Effectively collecting data for the location-based authentication in Internet of Things," IEEE Syst. J., vol. 11, no. 3, pp. 1403-1411, Sept. 2017.
[22] M. Durairaj and K. Muthuramalingam, "A new authentication scheme with elliptical curve cryptography for Internet of Things (IoT) environments," Int. J. Eng. Technol., vol. 7, no. 2, pp. 119-124, 2018.
[23] M. T. Hammi, B. Hammi, P. Bellot, and A. Serhrouchni, "Bubbles of trust: a decentralized blockchain-based authentication system for IoT," Comput. Secur., vol. 78, no. 1, pp. 126-142, Jul. 2018.
[24] S. Banerjee, V. Odelu, A. K. Das, S. Chattopadhyay, and Y. Park, "An efficient, anonymous and robust authentication scheme for smart home environments," Sensors, vol. 20, no. 4, pp. 1-19, Feb. 2020.
[25] M. Shuai, N. Yu, H. Wang, and L. Xiong, "Anonymous authentication scheme for smart home environment with provable security," Comput. Secur., vol. 86, no. 3, pp. 132-146, Sept. 2019.
[26] T. Shimshon, R. Moskovitch, L. Rokach, and Y. Elovici, "Continuous verification using keystroke dynamics," in Proc. Int. Conf. on Computational Intelligence and Securitypp. 411-415, Nanning, China, 11-14 Dec.2010.
[27] P. Porambage, C. Schmitt, P. Kumar, A. Gurtov, and M. Ylianttila, "Two-phase authentication protocol for wireless sensor networks in distributed IoT applications," in Proc. IEEE Wireless Communications and Networking Conf., WCNC’14, pp. 2728-2733, Istanbul, Turkey, 6-9 Apr. 2014.
[28] K. O. Bailey, J. S. Okolica, and G. L. Peterson, "User identification and authentication using multi-modal behavioral biometrics," Comput. Secur., vol. 43pp. 77-89, Mar. 2014.
[29] G. Peng, G. Zhou, D. T. Nguyen, X. Qi, Q. Yang, and S. Wang, "Continuous authentication with touch behavioral biometrics and voice on wearable glasses," IEEE Trans. Human-Machine Syst., vol. 47, no. 3, pp. 404-416, Jun. 2017.
[30] K. Niinuma, U. Park, and A. K. Jain, "Soft biometric traits for continuous user authentication," IEEE Trans. Inf. Forensics Secur., vol. 5, no. 4, pp. 771-780, Dec. 2010.
[31] K. Mock, J. Weaver, and M. Milton, "Real-time continuous iris recognition for authentication using an eye tracker," in Proc. of the 2012 ACM Conf. on Computer and Communications Security, CCS’12, pp. 1007-1009, Raleigh, NC, USA, 16-18 Oct. 2012.
[32] L. Zhou, C. Su, W. Chiu, and K. Yeh, "You think, therefore you are: transparent authentication system with brainwave-oriented bio-features for IoT networks," IEEE Trans. Emerg. Top. Comput., vol. 8, no. 2, pp. 303-312, Apr. 2020.
[33] P. N. Mahalle, N. R. Prasad, and R. Prasad, "Threshold cryptography-based group authentication (TCGA) scheme for the Internet of Things (IoT)," in Proc. 4th Inte. Conf. on Wireless Communications, Vehicular Technology, Information Theory and Aerospace & Electronic Systems, VITAE’14, 5 pp., Aalborg, Denmark, 11-14 May 2014.
[34] S. Seitz, L. Gerdes, S. Selander, G. Mani, and M. Kumar, Use Cases for Authentication and Authorization in Constrained Environments, RFC 7744, Internet Engineering Task Force (IETF). 2016.
[35] H. Khemissa and D. Tandjaoui, "A lightweight authentication scheme for E-health applications in the context of Internet of Things," in Proc. 9th Int. Conf. Next Gener. Mob. Appl. Serv. Technol., pp. 90-95, Cambridge, UK, 9-11 Sept. 2015.
[36] H. Khemissa and D. Tandjaoui, "A novel lightweight authentication scheme for heterogeneous wireless sensor networks in the context of Internet of Things," in Proc. Wirel. Telecommun. Symp., 6 pp., London, UK, 18-20 Apr. 2016.
[37] M. Hamada, S. Kumari, and A. Kumar, "Secure anonymous mutual authentication for star two-tier wireless body area networks," Comput. Methods Programs Biomed., vol. 135, pp. 37-50, Jul. 2016.
[38] C. Chen, B. Xiang, T. Wu, and K. Wang, "An anonymous mutual authenticated key agreement scheme for wearable sensors in wireless body area networks," Appl. Sci. (Basel), vol. 8, no. 7, pp. 1-15, Jul. 2018.
[39] Z. Xu, C. Xu, W. Liang, J. Xu, and H. Chen, "A lightweight mutual authentication and key agreement scheme for medical Internet of Things," IEEE Access, vol. 7, pp. 53922-53931, 2019.
[40] S. Swain, Priority Based Rate Control in Wireless Sensor Networks, 2013.
[41] A. Armando, D. Basin, Y. Boichut, Y. Chevalier, and L. Compagna, "The AVISPA Tool for the Automated Validation," in Proc. Int. Conf. on Computer Aided Verification, CAV’05, pp. 281-285, Edinburgh, Scotland, UK, 6-10 Jul. 2005.
[42] D. Dolev and A. Yao, "On the security of public key protocols," IEEE Trans. Inf. Theory, vol. 29, no. 2, pp. 198-208, Mar. 1983.
[43] R. Amin and G. P. Biswas, "A secure light weight scheme for user authentication and key agreement in multi-gateway based wireless sensor networks," Ad Hoc Networks, vol. 36no. 1, pp. 58-80, Jun. 2016.
نشریه مهندسی برق و مهندسی كامپیوتر ایران، ب- مهندسی کامپیوتر، سال 20، شماره 2، تابستان 1401 119
مقاله پژوهشی
احراز هویت سبکوزن متقابل مداوم بر اساس اولویتبندی گرهها
با استفاده از نرخ ترافیک در اینترنت اشیا
رضا سرابی میانجی، سام جبهداری و ناصر مدیری
چكیده: امروزه میلیاردها دستگاه از طریق اینترنت اشیا و در اغلب موارد از طریق ارتباطات ناامن به هم متصل شدهاند، بنابراین مسایل امنیتی و حریم خصوصی این دستگاهها به عنوان یک نگرانی عمده مطرح است. با توجه به محدودیت منابع دستگاههای اینترنت اشیا، راه حلهای امنیتی این محیط از نظر پردازش و حافظه باید امن و سبکوزن باشند. با این حال، بسیاری از راه حلهای امنیتی موجود به طور خاص در زمینه احراز هویت به دلیل محاسبات زیاد برای اینترنت اشیا مناسب نیستند و نیاز به یک پروتکل احراز هویت سبکوزن برای دستگاههای اینترنت اشیا احساس میشود. در این مقاله، یک پروتکل احراز هویت سبکوزن متقابل بین گرهها با منابع محدود و سرور در اینترنت اشیا معرفی شده است که از اولویتبندی گرهها بر اساس نرخ ترافیک استفاده میکند. این طرح به دلیل استفاده از عملیات XOR و Hash سبک میباشد. طرح پیشنهادی در برابر حملات سایبری مانند استراق سمع و حمله تلاش مجدد مقاوم است و همچنین با استفاده از ابزار AVISPA و در مدل تهدید Dolev-Yao امن میباشد. ریسکهای امنیتی این روش در مقایسه با روشهای سبکوزن دیگر کم است. در ضمن طرح پیشنهادی باعث کاهش هزینه محاسباتی، حفظ حریم خصوصی از طریق گمنامی گرهها و فراهمآوردن رازداری رو به جلو میشود. در روش ما، هزینه زمانی احراز هویت نسبت به روشهای بررسیشده 15% کاهش یافته است.
کلیدواژه: احراز هویت سبکوزن، احراز هویت مداوم، اینترنت اشیا، حریم خصوصی.
1- مقدمه
اینترنت اشیا [1] شامل تعداد زیادی از اشیای فیزیکی متصل به هم از طریق شبکه است و در بخشهای مختلف صنعت از جمله مراقبتهای بهداشتی، حمل و نقل، مدیریت انرژی کارخانه و کنترل لوازم خانگی، توسعه و پیادهسازی میشود [2] تا [4]. کاربردهای اینترنت اشیا بیشتر مربوط به زندگی روزمره انسانها میباشد و بنابراین حفظ حریم خصوصی و امنیت باید بیشتر مورد توجه قرار گیرد [5]. یکی از موضوعات مهم در اینترنت اشیا، امنیت اطلاعاتی گرهها در هنگام تبادل اطلاعات میباشد
و همچنین وجود سختافزارهای ناهمگن با پیچیدگیهای مختلف، چالشهای امنیتی بیشتری را برای محیط اینترنت اشیا ایجاد کرده است. از جمله مسایل امنیتی در این محیط میتوان به حفاظت از دادهها، کنترل دسترسی و احراز هویت دستگاهها اشاره کرد [6] و [7].
احراز هویت، اصلیترین مکانیزم امنیتی در اینترنت اشیا میباشد و هدف آن، مشخصکردن درستی هر موجودیت مثل دستگاه یا کاربر است [8]. بر اساس تحقیقات انجامشده، احراز هویت کاربرها به دو دسته احراز هویت استاتیک و احراز هویت مداوم تقسیم میشود [9].
در احراز هویت استاتیک، برای ورود کاربر به سرور، در ابتدای ارتباط یک فرایند کامل انجام میشود [9] تا [10]. به طور کلی، مشخصه خاصی مانند کلمه عبور، کد رمزدار، کارت هوشمند، توکن امنیتی، ویژگیهای چهره و اثر انگشت، به عنوان ورودی در یک درخواست احراز هویت استفاده میشود [11] تا [12]. احراز هویت مداوم میتواند به طور مداوم، اعتبار یک کاربر را در زمان استفاده از دستگاه، بررسی و تأیید کند. اما باید دقت کرد که احراز هویت مداوم، جایگزینی برای احراز هویت استاتیک نیست [12] و در حقیقت، این روش برای تقویت توان امنیتی احراز هویت استاتیک استفاده میشود. رویکردهای موجود برای احراز هویت مداوم کاربر، استفاده از ویژگیهای رفتاری مانند نحوه حرکت موس و ضربهزدن به صفحه کلید برای بررسی مداوم صحت یک کاربر میباشد [10]، [13] و [14].
تحقیقات اندکی در مورد احراز هویت مداوم دستگاه به دستگاه در محیط اینترنت اشیا انجام شده و از سوی دیگر، بیشتر گرههای موجود در این محیط از منابع محاسباتی و ذخیرهسازی محدودی برخوردار هستند [15]. در ضمن این گرهها نمیتوانند محاسبات پیچیدهای مانند عملیات رمزگذاری و رمزگشایی را انجام دهند [16] و [17]. بنابراین در این تحقیق، احراز هویت مداوم دستگاه به دستگاه بین گرهها و سرور در محیط اینترنت اشیا ارائه میگردد. در ابتدا گرهها و سرور، یک احراز هویت استاتیک انجام خواهند داد که شامل یک فرایند کامل است. سپس برای یک بازه زمانی، احراز هویت بین گرهها و سرور به صورت احراز هویت مداوم انجام میگیرد.
هدف از این مقاله، استفاده از احراز هویت استاتیک و مداوم برای احراز هویت دستگاه به دستگاه بر اساس اولویتبندی گرهها میباشد. بنابراین گرهها در سه اولویت قرار میگیرند و برای هر اولویت، یک بازه زمانی در نظر گرفته میشود. همه اطلاعات در اختیار سرور قرار میگیرد. هر یک از اعضای گروه اولویت در ابتدای بازه زمانی، به صورت استاتیک احراز هویت میشوند و یک توکن ایجاد میگردد و تا اتمام بازه زمانی آن اولویت، با استفاده از توکن، احراز هویت مداوم انجام میگردد. احراز هویت مداوم، سریعتر از احراز هویت استاتیک میباشد و بنابراین احراز هویت کل، سریعتر انجام میگردد.
این مقاله شامل ویژگیهای زیر است:
1) از ترکیب روشهای احراز هویت استاتیک و مداوم با اولویتبندی گرهها استفاده شده است. اولویتبندی بر اساس ترافیک گرهها انجام میگیرد، سپس برای هر اولویت یک ضریب اهمیت در نظر گرفته میشود که با کمک آن بازه زمانی مورد نیاز برای احراز هویت استاتیک هر اولویت مشخص میگردد.
2) اعضای اولویت در ابتدای بازه زمانی به صورت استاتیک احراز هویت میشوند و یک توکن ایجاد میگردد و تا اتمام بازه زمانی، از احراز هویت مداوم استفاده میشود.
3) انتخاب بازه زمانی انجام احراز هویت استاتیک به کمک اولویتبندی گرهها بر اساس اهمیت ترافیک انجام میگیرد.
4) برای کاهش هزینه محاسباتی در طرح پیشنهادی، احراز هویت استاتیک و مداوم فقط از عملگرهای محاسباتی سبک Hash و XOR استفاده میکند تا به راحتی از این طرح در گرهها با منابع محدود استفاده شود.
5) احراز هویت متقابل سبکوزن و توافق کلید ارائه داده شده و هر زوج دستگاه میتوانند یکدیگر را احراز هویت نمایند.
6) از ابراز AVISPA برای تأیید امنیتی طرح و آنالیز امنیتی استفاده کردیم.
7) طرح ما دارای ریسک امنیتی پایین بوده و هزینه محاسباتی کمی دارد.
8) بدون استفاده از رمزگذاری آسنکرون، رازداری رو به جلو را تضمین کردهایم.
این مقاله به شرح زیر سازماندهی شده است: تحقیقات مربوط به کارهای مرتبط با احراز هویت اینترنت اشیا در بخش 2 مورد بررسی قرار میگیرد. در بخش 3، روش پیشنهادی ارائه شده است. در بخش 4، شبیهسازی و تجزیه و تحلیلهای امنیتی صورت میپذیرد و بخش 5 آنالیز امنیتی را ارائه میدهد. در بخش 6 ارزیابی و مقایسه عملکرد بیان میشود و نتیجهگیری نهایی در بخش 7 مورد بررسی قرار گرفته است.
2- کارهای مرتبط
در این بخش، در مورد کارهای مرتبط با احراز هویت برای اینترنت اشیا بحث شده است. در [18] در سال 2013 یک طرح امنیتی احراز هویت دوطرفه برای اینترنت اشیا بر اساس DTLS [19] پیشنهاد شد که از رمزگذاری نامتقارن مبتنی بر RSA و گواهی 509X. استفاده میکرد. با توجه به این که این طرح برای ایجاد یک جلسه، به دستتکانی نیاز دارد، در نتیجه برای اجرای این روش، نیاز به مصرف انرژی و فضای ذخیره زیادی از حسگرهایی میباشد که با محدودیت منابع روبهرو هستند. مرجع [20] یک پروتکل احراز هویت غیر قابل ردیابی در اینترنت اشیا ارائه داده که در این روش از توابع Hash و عملیات XOR و از اعداد ترتیبی و تصادفی برای تولید یک هویت مستعار مستقل استفاده شده است. روش پیشنهادی، علاوه بر این که معتبربودن حسگرها را تضمین میکند، از ناشناسبودن هویت و عدم ردیابی نیز پشتیبانی مینماید. مرجع [21] یک طرح احراز هویت مبتنی بر مکان را در محیطهای اینترنت اشیا ارائه داده که این پروتکل از اطلاعات محیط دستگاهها برای احراز هویت استفاده میکند. این طرح به طور مداوم باید اطلاعات محیط را از دستگاههای اینترنت اشیا جمعآوری نماید. در [22] یک طرح احراز هویت ناشناس اینترنت اشیا بر روی ECC سبکوزن ارائه شده که شامل دو مرحله اصلی ثبت نام و احراز هویت میباشد. مقایسهای بین ECC و RSA با استفاده از زمان مورد نیاز برای رمزگذاری و رمزگشایی با استفاده از اندازه کلیدهای متفاوت انجام شده است. در [23] یک طرح احراز هویت برای سیستمهای اینترنت اشیا با استفاده از زنجیره بلوکی به نام Bubbles-of-Trust ارائه شده است. ایده به این صورت میباشد که دستگاهها را به ناحیههای مجازی به نام حباب تقسیم میکنند و اعضا در آن، همدیگر را شناسایی و به هم اعتماد میکنند. سپس ارتباطات بین دستگاههای مختلف، کنترل میگردد و با استفاده از زنجیره بلوکی پیادهسازی شده با استفاده از اتریوم اعتبارسنجی میشوند. در [24] یک طرح احراز هویت ناشناس برای
ایجاد ارتباطات امن برای محیطهای خانه هوشمند ارائه شده است. طرح پیشنهادی به طور قابل توجهی، امنیت بهتر و ویژگیهای عملکردی بیشتری دارد. در [25] یک طرح احراز هویت کارامد و ناشناس برای محیط خانه هوشمند با استفاده از ECC پیشنهاد شده که در آن از عدد تصادفی برای مقاومت در برابر حمله مجدد استفاده گردیده است.
در سالهای اخیر برای احراز هویت مداوم، روشهایی ارائه شده است. هدف از این روشها، کمک به دستگاهها برای احراز هویت مداوم کاربر به منظور جلوگیری از جعل هویت آنها یا استفاده غیر قانونی از دستگاهها است. این روشها برای احراز هویت ارتباط کاربر به دستگاه پیشنهاد شدهاند و در بیشتر آنها از ویژگیهای رفتاری برای فرایند احراز هویت مداوم استفاده گردیده است. در [26] یک مکانیسم احراز هویت مداوم ارائه شده که هویت کاربر، بارها بر اساس سبک ضربات صفحه کلید توسط کاربر بررسی میشود. روش پیشنهادی [26]، چندین رفتار را از کاربر اصلی جمعآوری میکند تا مجموعه ویژگیهای مربوط به کاربر اصلی را ایجاد نماید و از این مجموعهها به عنوان مرجع استفاده کند. در [27] یک مکانیزم احراز هویت مبتنی بر گواهینامه ارائه شده که از احراز هویت
دو فاز بین سنسور و کاربران نهایی استفاده میکند تا یکدیگر را تأیید نمایند و با هم ارتباط برقرار کنند. پروتکل پیشنهادی از گرههای با منابع محدود و ناهمگون پشتیبانی میکند و دارای قابلیت مقیاسپذیری است.
تحقیقات دیگری وجود دارد که ویژگیهای مختلف کاربر را برای ساخت احراز هویت مداوم استفاده میکنند. یک روش احراز هویت کاربر مداوم با استفاده از الگوهای ترکیبی همچون صفحه کلید، ماوس و واسط گرافیکی کاربر برای دستیابی به دقت احراز هویت بالاتر در [28] پیشنهاد شده است. مرجع [10] یک طرح احراز هویت مداوم کاربر را بر اساس الگوهای حرکات انگشت کاربر در صفحه لمسی دستگاه معرفی کرده است. همچنین مدلهای اصلاحشده تصمیمگیری مارکوف برای استفاده متفاوت از محتوا در [10] ارائه شده است. ویژگیهای بیومتریک نرم از جمله پوست صورت و رنگ لباس برای ایجاد مکانیسم احراز هویت مداوم کاربر در [29] به کار گرفته شده است. همچنین در [30] یک فریمورک برای احراز هویت کاربران بر اساس ویژگیهای بیومتریک ارائه گردیده که تحملپذیری بالایی در برابر تغییر وضعیت کاربر در جلوی کامپیوتر دارد. در سال 2012، در [31] روش احراز هویت مداوم کاربران بر اساس مکانیسم تشخیص عنبیه کاربر توسط محققان پیشنهاد شد. در این طرح توانایی اضافهنمودن رمز عبور به این روش وجود دارد تا یک راه حل احراز هویت چندعاملی ایجاد شود. مرجع [29] یک مکانیسم احراز هویت مداوم را برای محافظت از حریم شخصی کاربرانی که عینکهای هوشمند دارند، معرفی میکند. مهمترین ویژگیهایی که این روش از آنها استفاده میکند، حرکتهای لمسی انگشت و دستورات صوتی کاربران است. یکی از ویژگیهای منحصربهفرد کاربران که [32] در مکانیزم پیشنهادی خود برای احراز هویت استفاده نموده است، به کارگیری الگوهای امواج مغزی کاربر در فرایند احراز هویت میباشد.
[1] این مقاله در تاریخ 21 اردیبهشت ماه 1400 دریافت و در تاریخ 5 آذر ماه 1400 بازنگری شد.
رضا سرابی میانجی، گروه مهندسی کامپیوتر، واحد تهران شمال، دانشگاه آزاد اسلامی، تهران، ایران، (email: reza.sarabi@gmail.com).
سام جبهداری (نویسنده مسئول)، گروه مهندسی کامپیوتر، واحد تهران شمال، دانشگاه آزاد اسلامی، تهران، ایران، (email: s_jabbehdari@iau-tnb.ac.ir).
ناصر مدیری، گروه مهندسی کامپیوتر، دانشکده مهندسی برق و کامپیوتر، واحد زنجان، دانشگاه آزاد اسلامی، زنجان، ایران، (email: nassermodiri@chmail.ir).
جدول 1: روشهای پیشین احراز هویت در اینترنت اشیا.
معایب | روش احراز هویت | ردیف |
نیاز به دستتکانی دارد، هزینه مصرف بالا و فضای ذخیرهسازی زیاد دارد، محدودیت منابع وجود دارد. | مبتنی بر صدور گواهینامه | 1 |
نیاز به گواهی احراز هویت دارند. | ||
زمان زیاد برای ایجاد نشست نیاز است. | مبتنی بر رمزنگاری | 2 |
احراز هویت اضافی برای کاربران ایجاد میشود. | ||
دستگاهها نیاز به توانایی انجام رمزنگاری دارند. | ||
فرایند پیچیده محاسباتی نیاز است. | ||
جمعآوری مداوم اطلاعات از محیط انجام میگیرد. | مبتنی بر روشهای غیر رمزنگاری | 3 |
بر اساس مطالعات صورتگرفته، تحقیقات بسیار اندکی در مورد احراز هویت مداوم بین دستگاهها در محیط اینترنت اشیا وجود دارد. مرجع [33] یک روش احراز هویت سبکوزن را برای محیط WIFI ارائه داده و
باعث کاهش مصرف باتری میگردد. در [15] یک روش احراز هویت مداوم سبکوزن برای محیط اینترنت اشیا پیشنهاد گردیده است. از آنجا که حسگرها در سناریوهای خاص مانند نظارت بر سلامت شخصی و سیستمهای کنترل صنعتی [34]، میبایست دادههای دریافتی را در مدت زمان کوتاه به دروازهها منتقل کنند، یک مکانیسم احراز هویت مداوم سریع نیاز میباشد. در روش پیشنهادی [15]، از یک رمز مشترک برای ساخت توکن احراز هویت استفاده میشود و توکنها و پیامهای مربوط در یک بازه زمانی برای احراز هویت، از کاربر به سرور منتقل میگردند. سرور وظیفه بررسی و تأیید پیامهای دریافتشده از کاربر بر اساس توکنهای مرتبط را دارد.
روشهای سبکوزن دیگری برای اینترنت اشیا ارائه شدهاند. مرجع [35] امکان احراز هویت بین سنسورها و ایستگاههای پایه را فراهم میآورد تا اطلاعات مربوط به سلامت جمعآوری شوند. این طرح از nonces و HMAC استفاده میکند. مرجع [36] یک روش سبکوزن با استفاده از nonces، عملیات XOR و پیام Keyed-Hash برای احراز هویت و مبادله داده و همچنین توافق بر روی کلید بین گرههای سنسور و کاربران نهایی ارائه داده است. در [37] یک روش احراز هویت متقابل سبکوزن و توافق کلید برای شبکه بیسیم بدن پیشنهاد شده که هزینه ارتباطی کمی دارد. در [38] روشی با هزینه محاسباتی کمتر نسبت به [37] ارائه شده است اما این روش، هزینههای ارتباطی زیادی دارد. در [39] با استفاده از عملگرهای XOR و Hash یک احراز هویت متقابل ارائه گردیده است.
در جدول 1، یک دستهبندی از روشهای احراز هویت در اینترنت اشیا ارائه گردیده و معایب هر گروه بیان شده است.
احراز هویت استاتیک در مقابل حملات دزدی نشست دارای نقاط ضعفی است که موجب نیاز به روش احراز هویت مداوم در کنار آن میباشد. از سوی دیگر، تکرار زیاد احراز هویت استاتیک در تمامی تحقیقات پیشین موجب افزایش هزینههای محاسباتی، هزینه زمان اجرا و ارتباطات در سطح شبکه میشود که این امر موجب افزایش مصرف انرژی گرهها میگردد. یکی دیگر از مشکلات احراز هویت استاتیک، زمان اجرای ثابت و تکرار زیاد آن میباشد. به منظور حل مشکل ثابتبودن دوره زمانی که باعث افزایش هزینههای احراز هویت میشود، میتوان از احراز هویت مداوم استفاده نمود و بازه بین هر احراز هویت استاتیک را به نوع و اهمیت ترافیک گرهها وابسته کرد. در روش پیشنهادی از یک پروتکل مکمل در کنار احراز هویت استاتیک و مداوم استفاده میکنیم که این امر باعث میشود برای گرههای مختلف حسگر بر اساس اهمیت ترافیک، بازه زمانی کم یا زیاد گردد که همین موضوع موجب کاهش هزینههای مختلف در احراز هویت میشود.
3- روش پیشنهادی
در این مقاله برای احراز هویت دستگاه به دستگاه، احراز هویت استاتیک و مداوم بر اساس اولویتبندی گرهها با استفاده از نرخ ترافیک ارائه شده است. ابتدا گرهها بر اساس [40] اولویتبندی میشوند. برای این منظور، ابتدا اولویت ترافیک گرهها مشخص میگردد و سپس گرهها بر اساس اولویت، گروهبندی میشوند. برای هر اولویت، یک ضریب اهمیت در نظر گرفته میشود که با کمک آن، بازه زمانی مورد نیاز برای احراز هویت استاتیک هر گروه مشخص میگردد. در واقع گرهها بر اساس میزان اهمیت ترافیکهایشان، اولویتبندی و گروهبندی میشوند. تعداد اولویت در این مقاله 3 در نظر گرفته شده است (شکل 1). اعضای هر اواویت در ابتدای بازه زمانی به صورت استاتیک احراز هویت میشوند و یک توکن ایجاد میگردد و تا اتمام بازه زمانی، از این توکن ایجادشده جهت احراز هویت مداوم استفاده میگردد. همچنین روش احراز هویت سبکوزن بر اساس عملگرهای XOR و Hash برای احراز هویت استاتیک و مداوم ارائه شده است.
در این مقاله، مدل تهدید Dolev-Yao استفاده میشود که فرض مینماید گرههای حسگر و سرورها در یک کانال ناامن، ارتباط برقرار میکنند. سرور به عنوان گره قابل اعتماد است، اما مهاجم میتواند به پایگاه داده سرور نفوذ کند و تمام دادههای موجود در آن را به جز کلید اصلی سرور به دست آورد.
همچنین مهاجم، توانایی به دست آوردن تمام دادههای مبادلهشده در کانال ارتباطی را دارد و میتواند دادههای جدیدی در کانال تزریق کند. در ضمن، دادههای ارسالی موجود در کانال را میتواند با مقادیر جدید جایگزین کرده و از نو در کانال ارتباطی ارسال نماید. حسگرها به دلیل محدودیت هزینه مالی از نظر فیزیکی محافظت نمیشوند و در نتیجه مهاجم میتواند دادههای ذخیرهشده در حافظه گره حسگر را استخراج کند و از آنها برای انجام کارهای مخرب استفاده نماید.
3-1 اولویتبندی بر اساس نرخ ترافیک
در [40] یک روش جهت اولویتبندی گرهها در یک شبکه بر اساس ترافیک پیشنهاد شده است. این روش مطابق جدول 2 از چهار کلاس ترافیک بلادرنگ (کلاس RT)، کلاس ترافیک غیر بلادرنگ اولویت بالا )1(NRT، کلاس ترافیک غیر بلادرنگ اولویت متوسط (کلاس 2NRT) و کلاس ترافیک غیر بلادرنگ اولویت پایین (کلاس 3NRT) پشتیبانی میکند و برای هر کلاس، ترافیک وزنی اختصاص داده شده است. اولویت ترافیک هر گره برابر با مجموع وزن کلاس ترافیکهای هر گره میباشد.
شکل 1: گروهبندی و اولویتبندی گرههای حسگر.
شکل 2: نحوه احراز هویت استاتیک و مداوم و بازه زمانی در روش پیشنهادی.
جدول 2: کلاسبندی ترافیک.
نوع ترافیک | کلاس ترافیک | وزن (W) |
بلادرنگ | ترافیک بلادرنگ (RT) | 10 |
غیر بلادرنگ | اولویت بالا، کلاس ترافیک غیر بلادرنگ )1(NRT | 6 |
اولویت متوسط، کلاس ترافیک غیر بلادرنگ )2(NRT | 3 | |
اولویت پایین، کلاس ترافیک غیر بلادرنگ )3(NRT | 1 |
پس از محاسبه اولویت گرهها، مطابق جدول 3 گرههای با اولویت بزرگتر از در گروه با اولویت بالا قرار میگیرند و در گروه با اولویت متوسط، گرههایی که اولویت آنها بین و میباشد و در نهایت گرههای با اولویت کمتر از در گروه اولویت پایین قرار دارند. سپس برای هر گروه، یک ضریب اهمیت در نظر گرفته میشود که با کمک آن، بازه زمانی مورد نیاز برای احراز هویت استاتیک هر اولویت مشخص میگردد. بازه زمانی هر اولویت به صورت محاسبه میشود و بازه زمانی پایه است. مقادیر ، ، ، ، و متناسب با اهمیت ترافیک و گروهبندی و با نظر یک فرد خبره مقداردهی میگردد.
3-2 احراز هویت استاتیک و مداوم
در احراز هویت استاتیک، در ابتدای ارتباط یک فرایند کامل انجام
جدول 3: گروهبندی و اولویتبندی.
اولویت گروه | قانون اولویتبندی | ضریب اهمیت | بازه زمانی |
اولویت بالا | اولویت حسگر1 |
|
|
اولویت متوسط | اولویت حسگر |
|
|
اولویت پایین | اولویت حسگر |
|
|
1. Sensor Priority
میشود و توکنی ایجاد میگردد. تا اتمام اعتبار توکن، احراز هویت مداوم میتواند به طور پیوسته گره را بررسی و تأیید کند. در روش پیشنهادی برای اعضای گروه ، احراز هویت استاتیک در ابتدای بازه زمانی انجام میگیرد و توکنی ایجاد میگردد و تا اتمام بازه ، اعضای گروه با کمک آن توکن احراز هویت مداوم انجام میدهند. بنابراین طبق شکل 2 برای گرههای گروهها، احراز هویت استاتیک و مداوم انجام میگیرد.
3-3 فازهای احراز هویت
روش احراز هویت پیشنهادی از 4 فاز تشکیل شده است: فاز مقداردهی اولیه، فاز ثبت نام، فاز احراز هویت استاتیک و فاز احراز هویت مداوم. در جدول 4 نمادها و پارامترهای مورد نیاز این بخش بیان گردیده و در ادامه فازهای مربوط به روش پیشنهادی توضیح داده شده است.
3-3-1 فاز مقداردهی اولیه
این مرحله توسط مدیر سیستم انجام میگیرد.
شکل 3: فاز احراز هویت استاتیک.
جدول 4: نمادها و پارامترهای استفادهشده در روش پیشنهادی.
نماد | توضیحات |
| شناسه سرور |
| شناسه گره سنسور |
| اولویت گروه |
| بازه زمانی تعریفشده برای بازه زمانی احراز هویت استاتیک و مداوم |
| پارامترهای احراز هویت |
| پارامترهای موقتی محرمانه |
| تابع یکطرفه Hash |
| مهر زمانی |
| عملگر XOR |
| الحاق دو رشته |
| توکن |
| کلید جلسه |
| کلید اصلی سرور |
• مدیر سیستم، یک کلید اصلی برای سرور در نظر میگیرد.
• این کلید در حافظه سرور ذخیره میگردد.
3-3-2 فاز ثبت نام گره سنسور توسط مدیر سیستم
• توسط سرور برای هر گره یک شناسه یکتای ، مقدار یکتای و مقدار تصادفی در نظر گرفته میشود.
• توسط مدیر سیستم، مقادیر زیر محاسبه میگردد
• رکورد در حافظه گره سنسور ذخیره میشود.
• رکورد در حافظه سرور ذخیره میگردد و همچنین مقدار شناسه گروه برای هر سنسور نیز ذخیره خواهد شد.
3-3-3 فاز احراز هویت استاتیک
در مرحله احراز هویت استاتیک (شکل 3)، گره و سرور به طور متقابل یکدیگر را احراز هویت میکنند و با هم بر روی توکن بعدی مذاکره مینمایند. این توکن برای احراز هویت مداوم در طول بازه زمانی مورد استفاده قرار میگیرد و پس از اتمام دوره زمانی مجدد با استفاده از احراز هویت استاتیک تولید میشود. مقدار توکن جدید بر اساس مقدار توکن قبلی، مقادیر (مقدار تصادفی تولیدشده توسط گره) و (مقدار تصادفی تولیدشده توسط سرور) و تابع Hash به دست میآید. در ضمن مقادیر و به صورت Hashشده با مقادیر دیگر بین گره و سرور مبادله میشوند. همچنین از سه مقدار شناسه یکتای ، مقدار یکتای و مقدار تصادفی برای احراز هویت استفاده میشود. با استفاده از این مقادیر در فاز ثبت نام، مقادیری بر روی سرور و گره قرار گرفتهاند. مهمترین دلیل استفاده از 2 مقدار و مقدار تصادفی ، امکان انجام احراز هویت متقابل میباشد و در ادامه مراحل این فاز بیان شدهاند.
شکل 4: فاز احراز هویت مداوم.
مرحله 1
• ابتدا گره سنسور، مقدار و مهر زمانی را ایجاد میکند و بعد از آن مقدار را محاسبه کرده و سپس را محاسبه مینماید.
• گره سنسور مقادیر ، ، و را به سرور ارسال میکند.
مرحله 2
• سرور ابتدا شرط را بررسی میکند و در صورتی که شرط درست نباشد، جلسه کاری خاتمه مییابد.
• سرور وجود را در پایگاه دادهاش بررسی میکند و در صورتی که وجود نداشته باشد، جلسه کاری خاتمه مییابد. در غیر این صورت مقادیر ، و را بازیابی میکند.
• سرور و و همچنین ، و را محاسبه میکند.
• اگر بود، عملیات ادامه پیدا میکند و در غیر این صورت عملیات شکست میخورد.
• سرور مقدار ، مهر زمانی و مقدار یکتای را ایجاد میکند.
• سرور ، ، ، ، ، ، ، و را محاسبه میکند.
• سرور را محاسبه میکند.
• سرور مقادیر را به گره سنسور ارسال میکند.
مرحله 3
• گره سنسور ابتدا شرط را بررسی میکند و در صورتی که شرط درست نباشد، جلسه کاری خاتمه مییابد.
• سپس گره سنسور مقادیر و را محاسبه میکند.
• اگر بود، عملیات ادامه پیدا میکند و در غیر این صورت عملیات شکست میخورد.
• گره سنسور مقادیر و را محاسبه میکند.
پس از احراز هویت استاتیک، گره سنسور برای بازه زمانی، احراز هویت مداوم انجام میدهد. در این بازه زمانی از توکن ایجادشده استفاده خواهد شد.
3-3-4 فاز احراز هویت مداوم
در مرحله احراز هویت مداوم (شکل 4)، گره و سرور به طور متقابل یکدیگر را احراز هویت میکنند. باید توجه داشت که احراز هویت مداوم بین دو احراز هویت استاتیک و در بازه زمانی انجام میشود. از آنجا که احراز هویت مداوم پس از احراز هویت استاتیک موفقیتآمیز اتفاق میافتد، توکن و بازه زمانی وجود دارد و در این بازه زمانی، احراز هویت
شکل 5: ترافیک واقعی و کلاسبندی ترافیک در شبکه.
مداوم انجام میگیرد. در ادامه، مراحل این احراز هویت ارائه شده است.
مرحله 1
• ابتدا گره سنسور مقدار و مهر زمانی را ایجاد میکند و بعد از آن مقدار را محاسبه کرده و سپس مقدار را محاسبه مینماید.
• گره سنسور مقادیر ، ، و را به سرور ارسال میکند.
مرحله 2
• سرور ابتدا شرط را بررسی میکند و در صورتی که شرط درست نباشد، جلسه کاری خاتمه مییابد.
• سرور وجود را در پایگاه دادهاش بررسی میکند. در صورتی که وجود نداشته باشد، جلسه کاری خاتمه مییابد و در غیر این صورت مقادیر ، ، و را بازیابی میکند.
• سرور و و
همچنین ، و را محاسبه میکند.
• اگر بود، عملیات ادامه پیدا میکند و در غیر این صورت، عملیات شکست میخورد.
• سرور مقدار ، مهر زمانی و مقدار یکتای را ایجاد میکند.
• سپس سرور بر اساس مقدار ، مقدار را به دست میآورد. بازه زمانی مربوط به گروه سنسور را نشان میدهد.
• سرور شرط را بررسی میکند و اگر شرط برقرار باشد، جلسه کاری خاتمه مییابد.
• در ادامه سرور مقادیر ، ، ، ، ، ، و را محاسبه میکند.
• سرور را محاسبه میکند.
• سرور مقادیر را به گره سنسور ارسال میکند.
مرحله 3
• گره سنسور ابتدا شرط را بررسی میکند و در صورتی که شرط درست نباشد، جلسه کاری خاتمه مییابد.
• توسط گره سنسور مقادیر و محاسبه میگردند.
• گره سنسور مقدار را محاسبه مینماید و کلید جلسه را به دست میآورد.
4- شبیهسازی، تجزیه و تحلیل امنیتی
در این بخش، ابتدا اولویتبندی و گروهبندی گرهها شبیهسازی میشود و سپس پروتکل ارائهشده را از لحاظ امنیتی تحلیل میکنیم. برای این منظور، ما از ابزار AVISPA برای اثبات صحت امنیتی احراز هویت استفاده کردهایم.
4-1 شبیهسازی اولویتبندی و گروهبندی گرهها
در این شبیهسازی 7 گره سنسور در نظر گرفته شده و هدف، اولویتبندی و گروهبندی آنها بر اساس اولویت ترافیکشان میباشد. تمام گرهها میتوانند هر چهار نوع کلاس ترافیک RT، 1NRT، 2NRT و 3NTR را داشته باشند که به ترتیب دارای وزن 10، 6، 3 و 1 هستند. در شکل 5 ترافیک واقعی و کلاسبندی ترافیک در شبکه و در شکل 6 ترافیک واقعی و به تفکیک گره ارائه شده است. بنابراین پروتکل پیشنهادی میتواند بر اساس اولویت به هر گره یک وزن اختصاص دهد.
شکل 6: ترافیک واقعی و ترافیک به تفکیک گره.
شکل 7: ترافیک هر گره بر اساس کلاسبندی ترافیک.
در شکل 7 میزان ترافیک بر اساس کلاسبندی پیشنهادی در هر
گره مشاهده میشود. بر اساس این ترافیکها، وزن هر گره به منظور قرارگرفتن در گروه مورد نظر محاسبه میگردد. در ادامه مطابق جدول 5، گروهبندی گرهها بر اساس وزنهای گرهها محاسبه میگردد. تمامی گرهها دارای وزن کمتر از 10 در گروه 3، گرههایی دارای وزن بین 10 و 15 در گروه 2 و در انتها گرههای با وزن بالای 15 در گروه 1 قرار میگیرند.
جدول 5: کلاسبندی ترافیک در هر گره با میزان اولویت.
Sensor |
|
|
|
| Priority | Group ID |
1 | Yes | Yes | Yes | Yes | 20 | 1 |
2 | No | Yes | Yes | No | 9 | 3 |
3 | No | Yes | Yes | No | 9 | 3 |
4 | No | Yes | Yes | Yes | 10 | 2 |
5 | Yes | Yes | Yes | Yes | 20 | 1 |
6 | Yes | No | No | Yes | 11 | 2 |
7 | Yes | Yes | Yes | Yes | 20 | 1 |
بنابراین گرههای 2 و 3 در گروه اولویت پایین یا گروه 3 و گرههای 4 و 6 در گروه اولویت متوسط یا گروه 2 و گرههای 1، 5 و 7 در گروه اولویت بالا یا گروه 1 گروهبندی میشوند.
پس از مشخصکردن گروهبندی گرهها، بر اساس جدول 3 ضریب زمانی برای گروه اول، دوم و سوم به صورت ، و تعیین میگردد. گروه اول به دلیل داشتن ترافیک بااهمیت و حساسبودن اطلاعات رد و بدل شده دارای ضریب 3 است و بازه زمانی برای هر احراز هویت استاتیک برابر با T3 میباشد. در حالی که برای سایر گرههای موجود در گروههای دوم و سوم بازه زمانی T2 و T در نظر گرفته شده است.
4-2 شبیهسازی با AVISPA
در این بخش، شبیهسازی با استفاده از AVISPA ارائه شده و نشان میدهد که پروتکل در مقابل حملات امنیتی مقاوم میباشد. توضیحات و اطلاعات بیشتر در این خصوص را در [41] تا [43] میتوانید پیدا کنید. ابتدا به ارزیابی احراز هویت استاتیک میپردازیم. برای ارزیابی، جلسههای sensor، server، goal و environment در زبان HLPSL ارائه شدهاند. در شکل 8- الف کد HLPSL برای جلسه سنسور ارائه شده است. در جلسه sensor، ابتدا مقادیر ، و مقداردهی اولیه میشوند و سپس عدد تصادفی و مهر زمانی تولید شده و عملیات Hash و XOR روی مقادیر فاز مقداردهی اولیه و مقادیر تولیدشده انجام میگردد و با استفاده از ، مقادیر ، ، و را به سرور ارسال میکند. نوع تعریف نشان میدهد که کانال از مدل تهدید Dolev-Yao میباشد.
بیان میکند که مقدار فقط برای و شناختهشده است و همچنین تابع مشخص میکند که مقدار را به صورت جدید برای تولید کرده است. در مرحله بعد، سنسور مقادیر را با استفاده از دریافت میکند. پس از انجام یک سری محاسبات بر روی دادهها با استفاده از تابع ، سنسور سرور را احراز هویت میکند. در شکل 8- ب کد HLPSL برای جلسه سرور ارائه شده است. در جلسه server، ابتدا مقادیر ، و مقداردهی اولیه میشوند و سپس با استفاده از ، مقادیر ، ، و دریافت میگردد. پس از انجام یک سری عملیات، با استفاده از ، سرور سنسور را احراز هویت میکند. در ادامه مهر زمانی و مقادیر تصادفی و ایجاد میشوند و سپس با استفاده از تابع بیان میکند که مقدار فقط برای و شناختهشده است. در ادامه با استفاده از مشخص میکند که مقدار را به صورت جدید برای تولید کرده است.
در شکل 8- ج نقشها برای goal و environment HLPSL ارائه شده است که با استفاده از دستور دو هدف محرمانگی را مشخص میکند و با دستور و دستور دو احراز هویت را مشخص مینماید. پس از اجرای ابزار AVISPA، دو هدف محرمانگی و دو احراز هویت تأیید میشود.
در ادامه، نتایج شبیهسازی ابزار AVISPA برای و در احراز هویت استاتیک ارائه شده است. نتایج نشان میدهد که طرح پیشنهادی تحت مدلهای (شکل 9- الف) و (شکل 9- ب) امن است.
در ادامه به ارزیابی احراز هویت مداوم میپردازیم. جلسههای sensor، server، goal و environment در زبان HLPSL ارائه شدهاند. کد HLPSL برای جلسه سنسور در شکل 10- الف ارائه شده است. در این جلسه، ابتدا مقادیر ، و مقداردهی اولیه میشوند و سپس عدد تصادفی و مهر زمانی تولید شده و عملیات Hash و XOR بر روی مقادیر فاز مقداردهی اولیه و مقادیر تولیدشده انجام میگردد و با استفاده از ، مقادیر ، ، و را به سرور ارسال میکند.
در این شبیهسازی نیز کانال از مدل تهدید Dolev-Yao میباشد. بیان میکند که مقدار
فقط برای و شناختهشده است. همچنین مشخص میکند که مقدار را به صورت جدید برای تولید کرده است. در مرحله بعدی، سنسور با استفاده از مقادیر را دریافت میکند و پس از انجام یک سری محاسبات بر روی دادهها و سنسور با استفاده از تابع ، سرور را احراز هویت مینماید.
در شکل 10- ب کد HLPSL جلسه سرور ارائه شده است. در این جلسه ابتدا مقادیر ، و مقداردهی اولیه میشوند و سپس مقادیر ، ، و با استفاده از دریافت میگردد. پس از انجام
یک سری عملیات، سرور با استفاده از ، سنسور را احراز هویت میکند. در ادامه مهر زمانی و مقادیر تصادفی و ایجاد
(الف) (ب) (ج)
شکل 8: کدهای احراز هویت استاتیک در HLPSL، (الف) نقش سرور، (ب) نقش سنسور و (ج) نقشها برای جلسه goal و environment.
میشوند و سپس با استفاده از تابع بیان میگردد که مقدار فقط برای و شناختهشده است. در ادامه با استفاده از مشخص میکند که مقدار را به صورت جدید برای تولید کرده است.
همچنین نقشهای جلسه goal و environment (شکل 10- ج) در زبان HLPSL برای احراز هویت مداوم ارائه شده که مثل احراز هویت استاتیک میباشد.
نتایج شبیهسازی احراز هویت مداوم برای و نشان میدهند که طرح پیشنهادی تحت مدلهای (شکل
11- الف) و (شکل 11- ب) امن بوده و در برابر حملات فعال و غیر فعال از جمله پخش مجدد و حملات مرد میانی مقاوم است.
5- آنالیز امنیتی
5-1 حمله استراق سمع
از آنجایی که مهاجم، تمام اطلاعات موجود در کانال مشترک را میتواند به دست آورد، بنابراین به راحتی به مقادیر ، ، ، ، ، ، ، و مربوط به احراز هویتها
نیز میتواند دسترسی پیدا کند. از طرفی ما نیاز داریم که از مقادیر
، و کلید جلسه محافظت کنیم. مهاجم در هر دو احراز هویت استاتیک و مداوم، کلید اصلی را از نمیتواند به
دست آورد زیرا تصادفی و تازه بوده و آن را نمیداند. در ضمن امکان به دست آوردن مقادیر و از یا برای مهاجم
میسر نمیباشد، زیرا مهاجم را نمیداند و و تصادفی
و تازه هستند. همچنین مهاجم نمیتواند اطلاعات مفیدی از مقادیر
و به دست آورد، زیرا ، و بوده و مهاجم ، و را نمیداند. از طرفی از آنجایی که مقادیر و به صورت رمزشده بین گرهها جابهجا میشوند، پس مهاجم نمیتواند به آنها نیز دسترسی پیدا کند و بنابراین طرح ما از حمله استراق سمع جلوگیری میکند.
(الف) (ب)
شکل 9: نتایج احراز هویت استاتیک، (الف) نتیجه و (ب) نتیجه .
(الف) (ب) (ج)
شکل 10: کد احراز هویت مداوم، (الف) نقش سرور، (ب) نقش سنسور و (ج) نقشها برای جلسه goal و environment.
(الف) (ب)
شکل 11: نتایج احراز هویت مداوم، (الف) نتیجه و (ب) نتیجه .
5-2 گمنامی و غیر قابل ردیابی بودن گره
در طرح ما، هرگز شناسه گره به طور مستقیم در کانال جابهجا نمیشود و همچنین مهاجم از طریق حمله استراق سمع، را نمیتواند به دست آورد. از طرفی مقادیر ، ، ، و در احراز هویت استاتیک و احراز هویت مداوم کاملاً تصادفی هستند. پس مقادیر ، ، ، ، ، و در هر مرحله احراز هویت متفاوت میباشند. بنابراین طرح ما، گمنامبودن گره و عدم ردیابی آن را تضمین میکند.
5-3 حمله تلاش مجدد
در هر دو احراز هویت استاتیک و مداوم، گره یک مهر زمانی را تولید میکند و سپس را محاسبه مینماید. همچنین مهاجم نمیتواند و را به دست آورد، پس تولید معتبر جدید غیر ممکن است و بنابراین مهر زمانی قابل تغییر نیست. سرور پس از دریافت ، اعتبار زمانی را بررسی میکند. از طرفی سرور نیز یک مهر زمانی ایجاد مینماید و را محاسبه میکند. مهاجم نمیتواند ، و را به دست آورد. گره نیز پس از دریافت ، اعتبار زمانی را بررسی میکند و بنابراین ایجاد یک معتبر جدید غیر ممکن است که این موضوع تضمین میکند زمان قابل تغییر نیست.
5-4 رازداری رو به جلو و رو به عقب
در طرح ما، کلید جلسه با استفاده از تابع Hash و به صورت به دست میآید که و مقدار تصادفی تولیدشده در احراز هویتهای استاتیک و مداوم میباشند. همچنین است و در ضمن مقادیر ، و در هر احراز هویت ایجاد میشوند. این وابستگی به مقادیر لحظهای باعث میشود که اگر به هر نحوی کلید جلسه توسط مهاجم کشف شود، او نتواند کلیدهای جلسه قبلی یا بعدی را حدس بزند. پس با توجه به این که مقادیر و در هر احراز هویت استاتیک به صورت تصادفی و جدید هستند، بنابراین در هر احراز هویت متفاوت خواهد بود. حتی اگر مهاجم تمام دادههای قبلی کانال را به دست آورد و کلید اصلی را کشف کند، در این صورت او میتواند و همان احراز هویت را به دست آورد و نمیتواند کلیدهای جلسه قبلی را به دست آورد، زیرا هرگز در کانال منتقل نمیشود. فقط یک راه برای به دست آوردن وجود دارد و آن از طریق مشاهده و ضبط اطلاعات گره میتواند باشد. با وجود این در صورت مشاهده و ضبط اطلاعات گره، مهاجم فقط میتواند آخرین را به دست آورد و تمام ها را نمیتواند به دست آورد، زیرا پارامتر دور قبلی توسط تابع رمز شدهاند. بنابراین طرح ما دارای رازداری کامل است.
5-5 حملات قطع ارتباط
در این نوع از حمله، مهاجم در هر مرحله از احراز هویت، ارتباط را مسدود میکند و این موضوع باعث میشود که طرفین ارتباط نتوانند با همدیگر تبادل اطلاعات انجام دهند. اگر مهاجم ارتباط را در مرحله ۱ مسدود کند، گره فقط باید احراز هویت جدیدی را مجدداً شروع کند.
اگر مهاجم ارتباطات را در مرحله ۲ مسدود کند، تاپل جدید و قدیم در حافظه سرور وجود دارد. هنگامی که گره مجدداً احراز هویت جدیدی را شروع میکند، سرور میتواند از تاپل بدون به روز رسانی با موفقیت استفاده کند.
5-6 حفظ حریم خصوصی
در این طرح، شناسه گره به طور مستقیم در کانال جابهجا نمیشود و ضمناً مهاجم از طریق حمله استراق سمع، را نمیتواند به دست آورد. مقادیر ، ، ، و در احراز هویت استاتیک و احراز هویت مداوم کاملاً تصادفی انتخاب میشوند. بنابراین مقادیر ، ، ، ، ، و در هر مرحله احراز هویت، متفاوت میباشند و امکان به دست آوردن از طریق این اطلاعات وجود ندارد. این امر باعث میشود تا حریم خصوصی از نوع گمنامی داشته باشیم.
6- ارزیابی و مقایسه عملکرد
6-1 هزینه حافظه مصرفی
در روش پیشنهادی، در هر گره اطلاعات شامل ، ، ، و کلید جلسه برای احراز هویت ذخیره میشود. سرور نیز
جدول 6: هزینه ذخیرهسازی طرح ما.
دستگاه | فضای ذخیرهشده بر حسب بیت |
گره سنسور | 1280 |
سرور |
|
جدول 7: هزینه ارتباطات در طرح ما.
ارتباطات بین گرهها | هزینه ارتباطات |
سرورسنسور | 832 بیت |
سنسورسرور | 1088 بیت |
کل | 1920 بیت |
جدول 8: هزینه محاسباتی طرح ما.
به ازای هر گره، اطلاعات ، ، و را ذخیره مینماید. همچنین سرور کلید سرور را باید ذخیره کند. در روش پیشنهادی از الگوریتم درهمریزی 256- SHA استفاده شده و این الگوریتم دارای خروجی 256بیتی میباشد.
طول و و کلید جلسه و کلید سرور با هم مساوی بوده و 256 بیت میباشد. همچنین برای ذخیره نیاز به 8 بیت حافظه داریم. بنابراین هر گره ، 1280 بیت اطلاعات را در حافظه خود ذخیره میکند و هر سرور نیاز به ذخیره بیت دارد که تعداد گره ثبتشده است. جدول 6 هزینه ذخیرهسازی طرح ما را نشان میدهد.
6-2 هزینه ارتباطات
در مرحله اول، گره مقادیر را به گره سرور ارسال میکند و ضمناً مهر زمانی را 64 بیت در نظر میگیریم. بنابراین هزینه ارتباطات گره سنسور به سرور بیت خواهد بود. در مرحله دوم سرور مقادیر را به گره ارسال میکند که برابر 1088 بیت میباشد. جدول 7 هزینه ارتباطات این طرح را نشان میدهد.
6-3 هزینه محاسباتی
در این روش، احراز هویتها با استفاده از تابع Hash و عملگر XOR بیان شدهاند و از برای نشاندادن زمان تابع Hash و از جهت نشاندادن زمان تابع XOR استفاده میکنیم. در احراز هویت استاتیک، گره سنسور، 5 عملیات تابع Hash و 5 عملیات XOR را
انجام میدهد و سرور، 7 عملیات Hash و 9 عملیات XOR را انجام میدهد. بنابراین هزینه محاسبه احراز هویت استاتیک گره سنسور برابر میشود و هزینه محاسبه گره سرور است. برای احراز هویت مداوم، گره سنسور، 4 عملیات Hash و 3 عملیات XOR را انجام میدهد و سرور، 6 عملیات Hash و 10 عملیات
XOR را انجام میدهد. بنابراین هزینه محاسبه احراز هویت مداوم برای گره سنسور برابر میشود و هزینه محاسبه گره سرور برابر است. جدول 8 هزینه محاسبه طرح ما را نشان میدهد.
جدول 9: مقایسه ویژگیهای امنیتی و عملکرد.
ویژگیهای امنیتی | [37] | [25] | [24] | [39] | [8] | طرح ما |
رازداری رو به جلو1 | ✗ | ✗ | ✗ | ✓ | ✓ | ✓ |
حمله عدم همگامی2 | ✗ | ✓ | ✗ | ✓ | ✗ | ✓ |
حمله جعل هویت | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
احراز هویت متقابل | ✗ | ✓ | ✓ | ✓ | ✓ | ✓ |
گمنامی گره | ✓ | ✓ | ✗ | ✓ | ✗ | ✓ |
مقیاسپذیری | ✗ | ✗ | ✗ | ✗ | ✗ | ✓ |
1. Perfect Forward Secrecy
2. Desynchronization Attack
جدول 10: نمادها و توضیحات آنها.
توضیحات | نماد | زمان اجرا بر حسب میلیثانیه |
زمان اجرای تابع Hash |
| 0052/0 |
زمان اجرای ضرب نقطهای ECC |
| 2828/1 |
زمان اجرای عملگر HMAC |
| 0156/0 |
زمان اجرای عملگر استخراجکننده فازی |
| 3524/1 |
6-4 مقایسه با روشهای دیگر
از آنجایی که به غیر از پروتکل [8]، پروتکل احراز هویت مداوم سبکوزنی وجود ندارد، بنابراین علاوه بر [8]، طرحمان را با پروتکلهای سبکوزن [24]، [25]، [37] و [39] نیز مقایسه کردهایم و نتایج در جدول 9 ارائه شده است. نتایج نشان میدهند که طرح ما از حملات بیشتر جلوگیری میکند و ویژگیهای امنیتی بهتری نسبت به پروتکلهای مرتبط دارد.
برای محاسبه هزینه احراز هویت، از آنجایی که زمان مصرف عملیات اتصال و XOR در مقایسه با عملیات دیگر ناچیز میباشد، از آنها صرف نظر میکنیم و نمادهای جدول 10 را به منظور بیان زمان محاسباتی پروتکلهای مختلف بیان مینماییم. زمان اجرا در این جدول، با در نظر گرفتن محیط و پلتفرم تست به شرح پردازنده Intel (R) Core TM i7-4710HQ 2.50GHz، حافظه 8 گیگابایت و ویندوز 8 نسخه 64بیتی عمل تابع 256- SHA بودهاند.
در جدول 11 مقایسه هزینه اجرا و هزینه ارتباطات طرح ما با کارهای مرتبط [8]، [24]، [25]، [37] و [39] ارائه شده است. پروتکل پیشنهادی ما دارای هزینه اجرا کمتری در مقایسه با سایر پروتکلهای مرتبط است.
طرح ما هزینه اجرای پایینتری در مقایسه با طرحهای مشابه دارد و نسبت به طرحهای مشابه، ریسک امنیتی کمتری داشته و از ویژگیهای امنیتی مناسبی برخوردار میباشد.
7- نتیجهگیری
اولین خط دفاعی در اینترنت اشیا، احراز هویت میباشد. از طرفی در بیشتر احراز هویتهای موجود، محدودیت منابع دستگاههای اینترنت اشیا در نظر گرفته نشده و بنابراین ما یک پروتکل احراز هویت سبک و امن برای اینترنت اشیا ارائه دادیم که بر اساس اولویتبندی گرهها میباشد و در آن از احراز هویتهای استاتیک و مداوم استفاده میشود. با استفاده از این پروتکل، رازداری رو به جلو را بدون استفاده از رمزگذاری نامتقارن میتوان تضمین کرد. در طرح پیشنهادی از عملگرهای محاسباتی سبک Hash و XOR استفاده کردیم. این امر به طور قابل توجهی هزینه محاسباتی را کاهش میدهد تا بتوان به راحتی از این طرح در گرههای با
جدول 11: مقایسه هزینه محاسبات و هزینه ارتباطات طرح ما با کارهای مرتبط.
طرح | کل هزینه اجرا | هزینه ارتباطات |
مرجع [37] | 0676/0 میلیثانیه | 3584 بیت |
مرجع [25] | 9316/3 میلیثانیه | 1920 بیت |
مرجع [24] | 4576/1 میلیثانیه | 1408 بیت |
مرجع [39] | 0624/0 میلیثانیه | 3904 بیت |
احراز هویت استاتیک [8] | 13/0 میلیثانیه | 2304 بیت |
احراز هویت مداوم [8] | 0728/0 میلیثانیه | 1536 بیت |
احراز هویت استاتیک طرح ما | 0624/0 میلیثانیه | 1902 بیت |
احراز هویت مداوم طرح ما | 052/0 میلیثانیه | 1902 بیت |
منابع محدود استفاده نمود. طرح پیشنهادی، حریم خصوصی را از طریق گمنامی گرهها فراهم میآورد و همچنین یک احراز هویت متقابل بین دو دستگاه ایجاد میکند که دو طرف همدیگر را اعتبارسنجی کرده و بر روی کلید جلسه به توافق برسند. در این مقاله از ابزار AVISPA برای تأیید امنیتی طرح و آنالیز امنیتی استفاده کردیم. این طرح در مقایسه با طرحهای سبکوزن، مشکلات و ریسکهای امنیتی پایینی دارد. در ضمن در روش ما، هزینه زمانی احراز هویت نسبت به روشهای بررسیشده 15% کاهش یافته و هزینه ارتباطات 1902 بیت میباشد.
از محدودیتهای روش ما عدم امکان جابهجایی گرهها بین گروهها است. در حالی که ترافیک و اولویت گرهها میتوانند تغییر کند، بنابراین امکان جابهجایی بین گروهها برای اعضای آنها میتواند نیاز باشد. پس امکان جابهجایی اعضای گروهها میتواند جزء کارهای پژوهشی باشد. در ضمن، ارائه یک الگوریتم هوشمند و بهینه برای اولویتبندی گرهها در گروههای اولویتی میتواند انجام شود.
مراجع
[1] D. G. O. Rourke, Internet of Things (IoT) Cybersecurity Colloquium Internet of Things Cybersecurity Colloquium, 2017.
[2] M. Ammar, G. Russello, and B. Crispo, "Internet of Things: a survey on the security of IoT frameworks," J. Inf. Secur. Appl., vol. 38, no. 1, pp. 8-27, Feb. 2018.
[3] J. Li, Y. Qu, F. Chao, H. P. H. Shum, E. S. L. Ho, and L. Yang, "Machine learning algorithms for network intrusion detection," In L. F. Sikos (Ed.), AI in Cybersecurity, pp. 151-179, Vol. 151, Springer, 1989.
[4] R. Mahmoud, T. Yousuf, F. Aloul, and I. Zualkernan, "Internet of Things (IoT) security : current status, challenges and prospective Measures," in Proc. 10th In. Conf. for Internet Technology and Secured Transactions, ICITST’15, pp. 336-341, London, UK, 14-16 2015.
[5] M. F. Aziz, A. N. Khan, J. Shuja, I. A. Khan, F. G. Khan, and A. ur R. Khan, "A lightweight and compromise-resilient authentication scheme for IoTs," Trans. on Emerging Telecommunications Technologies, vol. 33, no. 3, pp. 1-17, Nov. 2019.
[6] M. Abomhara and G. M. Køien, "Security and privacy in the Internet of Things: current status and open issues," in Proc. Int. Conf. Priv. Secur. Mob. Syst., 8 pp., Aalborg, Denmark, 11-14 May 2014.
[7] I. Alqassem and D. Svetinovic, "A taxonomy of security and privacy requirements for the Internet of Things (IoT)," in Proc. IEEE Int. Conf. Ind. Eng. Eng. Manag., pp. 1244-1248, Bandar Sunway, Malaysia, 9-12 Dec. 2014.
[8] Y. H. Chuang, N. W. Lo, C. Y. Yang, and S. W. Tang, "A lightweight continuous authentication protocol for the Internet of Things," Sensors, vol. 18, no. 4, pp. 1-26, Apr. 2018.
[9] I. Traore, et al., "Dynamic sample size detection in learning command line sequence for continuous authentication," IEEE Trans. Syst. Man, Cybern. Part Bvol. 42, no. 5, pp. 1343-1356, Oct. 2012.
[10] S. Mondal and P. Bours, "Continuous authentication in a real world settings," in Proc. 8th Int. Conf. on Advances in Pattern Recognition, ICAPR’15, 6 pp., Kolkata, India, 4-7 Jan. 2015.
[11] A. B. Buduru and S. S. Yau, "An effective approach to continuous user authentication for touch screen smart devices," in Proc. IEEE Int. Conf. on Software Quality, Reliability and Security, QRS’15, pp. 219-226, Vancouver, Canada, 3-5Aug. 2015.
[12] S. Mondal and P. Bours, "Continuous authentication and identification for mobile devices: combining security and forensics," in Proc. IEEE Int.Workshop on Information Forensics and Security, WIFS’15, 6 pp., Rome, Italy, 16-19 Nov. 2015.
[13] M. L. Brocardo, I. Traore, and I. Woungang, "Toward a framework for continuous authentication using stylometry," in Proc. IEEE 28th Int. Conf. on Advanced Information Networking and Applications, pp. 106-115, Victoria, Canada, 13-16 May 2014.
[14] C. Shen, Z. Cai, and X. Guan, "Continuous authentication for mouse dynamics: a pattern-growth approach," in Proc. IEEE/IFIP Int. Conf. on Dependable Systems and Networks, DSN’12, 12 pp., Boston, MA, USA, 25-28 Jun. 2012.
[15] O. O. Bamasag and S. Arabia, "Towards continuous authentication in internet of things based on secret sharing scheme, " in Proc. of the Workshop on Embedded Systems Security, WESS’15, 8 pp., Amsterdam, The Netherlands, 4-9 Oct 2015.
[16] H. Sethi, M. Arkko, J. Keranen, and A. Back, Practical Considerations and Implementation Experiences in Securing Smart Object Networks. Draft-Ietf-Lwig-Crypto-Sensors-06, 2018.
[17] C. Bormann, M. Ersue, and A. Kernen, Terminology for Constrained-Node Networks, no. 7228. RFC Editor, May 2014.
[18] T. Kothmayr, C. Schmitt, W. Hu, M. Brünig, and G. Carle, "DTLS based security and two-way authentication for the Internet of Things," Ad Hoc Networks, vol. 11, no. 8, pp. 2710-2723, Nov. 2013.
[19] E. Rescorla and N. Modadugu, Datagram Transport Layer Security Version 1.2. RFC 6347, Internet Engineering Task Force (IETF). 2012.
[20] P. Gope and T. Hwang, "Untraceable sensor movement in distributed IoT infrastructure," IEEE Sens. J., vol. 15, no. 9, pp. 5340-5348, Sept. 2015.
[21] Y. Kawamoto, H. Nishiyama, N. Kato, Y. Shimizu, A. Takahara,
and T. Jiang, "Effectively collecting data for the location-based authentication in Internet of Things," IEEE Syst. J., vol. 11, no. 3, pp. 1403-1411, Sept. 2017.
[22] M. Durairaj and K. Muthuramalingam, "A new authentication scheme with elliptical curve cryptography for Internet of Things (IoT) environments," Int. J. Eng. Technol., vol. 7, no. 2, pp. 119-124, 2018.
[23] M. T. Hammi, B. Hammi, P. Bellot, and A. Serhrouchni, "Bubbles of trust: a decentralized blockchain-based authentication system for IoT," Comput. Secur., vol. 78, no. 1, pp. 126-142, Jul. 2018.
[24] S. Banerjee, V. Odelu, A. K. Das, S. Chattopadhyay, and Y. Park, "An efficient, anonymous and robust authentication scheme for smart home environments," Sensors, vol. 20, no. 4, pp. 1-19, Feb. 2020.
[25] M. Shuai, N. Yu, H. Wang, and L. Xiong, "Anonymous authentication scheme for smart home environment with provable security," Comput. Secur., vol. 86, no. 3, pp. 132-146, Sept. 2019.
[26] T. Shimshon, R. Moskovitch, L. Rokach, and Y. Elovici, "Continuous verification using keystroke dynamics," in Proc. Int. Conf. on Computational Intelligence and Securitypp. 411-415, Nanning, China, 11-14 Dec.2010.
[27] P. Porambage, C. Schmitt, P. Kumar, A. Gurtov, and M. Ylianttila, "Two-phase authentication protocol for wireless sensor networks in distributed IoT applications," in Proc. IEEE Wireless Communications and Networking Conf., WCNC’14, pp. 2728-2733, Istanbul, Turkey, 6-9 Apr. 2014.
[28] K. O. Bailey, J. S. Okolica, and G. L. Peterson, "User identification and authentication using multi-modal behavioral biometrics," Comput. Secur., vol. 43pp. 77-89, Mar. 2014.
[29] G. Peng, G. Zhou, D. T. Nguyen, X. Qi, Q. Yang, and S. Wang, "Continuous authentication with touch behavioral biometrics and voice on wearable glasses," IEEE Trans. Human-Machine Syst.,
vol. 47, no. 3, pp. 404-416, Jun. 2017.
[30] K. Niinuma, U. Park, and A. K. Jain, "Soft biometric traits for continuous user authentication," IEEE Trans. Inf. Forensics Secur., vol. 5, no. 4, pp. 771-780, Dec. 2010.
[31] K. Mock, J. Weaver, and M. Milton, "Real-time continuous iris recognition for authentication using an eye tracker," in Proc. of the 2012 ACM Conf. on Computer and Communications Security, CCS’12, pp. 1007-1009, Raleigh, NC, USA, 16-18 Oct. 2012.
[32] L. Zhou, C. Su, W. Chiu, and K. Yeh, "You think, therefore you are: transparent authentication system with brainwave-oriented bio-features for IoT networks," IEEE Trans. Emerg. Top. Comput.,
vol. 8, no. 2, pp. 303-312, Apr. 2020.
[33] P. N. Mahalle, N. R. Prasad, and R. Prasad, "Threshold cryptography-based group authentication (TCGA) scheme for the Internet of Things (IoT)," in Proc. 4th Inte. Conf. on Wireless Communications, Vehicular Technology, Information Theory and Aerospace & Electronic Systems, VITAE’14, 5 pp., Aalborg, Denmark, 11-14 May 2014.
[34] S. Seitz, L. Gerdes, S. Selander, G. Mani, and M. Kumar, Use Cases for Authentication and Authorization in Constrained Environments, RFC 7744, Internet Engineering Task Force (IETF). 2016.
[35] H. Khemissa and D. Tandjaoui, "A lightweight authentication scheme for E-health applications in the context of Internet of Things," in Proc. 9th Int. Conf. Next Gener. Mob. Appl. Serv. Technol., pp. 90-95, Cambridge, UK, 9-11 Sept. 2015.
[36] H. Khemissa and D. Tandjaoui, "A novel lightweight authentication scheme for heterogeneous wireless sensor networks in the context of Internet of Things," in Proc. Wirel. Telecommun. Symp., 6 pp., London, UK, 18-20 Apr. 2016.
[37] M. Hamada, S. Kumari, and A. Kumar, "Secure anonymous mutual authentication for star two-tier wireless body area networks," Comput. Methods Programs Biomed., vol. 135, pp. 37-50, Jul. 2016.
[38] C. Chen, B. Xiang, T. Wu, and K. Wang, "An anonymous mutual authenticated key agreement scheme for wearable sensors in wireless body area networks," Appl. Sci. (Basel), vol. 8, no. 7, pp. 1-15, Jul. 2018.
[39] Z. Xu, C. Xu, W. Liang, J. Xu, and H. Chen, "A lightweight mutual authentication and key agreement scheme for medical Internet of Things," IEEE Access, vol. 7, pp. 53922-53931, 2019.
[40] S. Swain, Priority Based Rate Control in Wireless Sensor Networks, 2013.
[41] A. Armando, D. Basin, Y. Boichut, Y. Chevalier, and L. Compagna, "The AVISPA Tool for the Automated Validation," in Proc. Int. Conf. on Computer Aided Verification, CAV’05, pp. 281-285, Edinburgh, Scotland, UK, 6-10 Jul. 2005.
[42] D. Dolev and A. Yao, "On the security of public key protocols," IEEE Trans. Inf. Theory, vol. 29, no. 2, pp. 198-208, Mar. 1983.
[43] R. Amin and G. P. Biswas, "A secure light weight scheme for user authentication and key agreement in multi-gateway based wireless sensor networks," Ad Hoc Networks, vol. 36no. 1, pp. 58-80, Jun. 2016.
رضا سرابی میانجی کارشناسی و کارشناسی ارشد مهندسی کامپیوتر- نرمافزار را بهترتیب در سالهای 1379 و 1381 دریافت کرد و از سال 1395 در دکترای مهندسی کامپیوتر- سیستمهای نرمافزاری دانشگاه آزاد اسلامی واحد تهران شمال مشغول تحصیل و تحقیق است. وی چندین کتاب در زمینه شبکههای کامپیوتری، برنامهنویسی و طراحی صفحات وب، ترجمه و تألیف نموده و از سال 1379 در دانشگاه، مشغول تدریس میباشد. همچنین از سال 1380 در تیمهای مدیریت شبکههای کامپیوتری، توسعه نرمافزار و مدیریت پایگاه داده بانک مرکزی جمهوری اسلامی ایران مشغول به کار است. علایق تحقیقاتی وی شامل اینترنت اشیا، امنیت سیستمهای اطلاعاتی، مدیریت و امنیت شبکههای کامپیوتری و مدیریت سیستمهای پایگاه داده میباشد.
سام جبهداری به عنوان دانشیار گروه مهندسی کامپیوتر دانشگاه آزاد اسلامی واحد تهران شمال مشغول به کار است. او مدرک کارشناسی مهندسی برق مخابرات و کارشناسی ارشد مهندسی برق مخابرات خود را به ترتیب از دانشگاه صنعتی خواجه نصیر طوسی و دانشگاه آزاد اسلامی واحد تهران جنوب و مدرک دکترای مهندسی کامپیوتر را از دانشگاه آزاد اسلامی واحد علوم و تحقیقات دریافت نمود. علایق تحقیقاتی وی زمانبندی، QoS، MANET، امنیت شبکههای کامپیوتری، شبکههای حسگر بیسیم، محاسبات ابری، اینترنت اشیا و محاسبات لبه و مه است.
ناصر مدیری در سال 1365 مدرک کارشناسی الکترونیک را از دانشگاه ساسکس انگلستان و در سال 1366 مدرک کارشناسی ارشد الکترونیک را از دانشگاه ساوتهمپتون انگلستان دریافت کرد. همچنین در سال 1368 مدرک دکترای مهندسی کامپیوتر را از دانشگاه ساسکس انگلستان دریافت نمود. وی از سال 1371 عضو هیأت علمی دانشگاه بوده و در حوزههای تخصصی امنیت شبکههای کامپیوتری، امنیت نرمافزارهای کاربردی و فرایند توسعه امن نرمافزار فعالیت مینماید. او چندین کتاب تخصصی در حوزه امنیت شبکههای کامپیوتری، امنیت نرمافزارهای کاربردی و فرایندهای توسعه امن نرمافزار چاپ کرده است. علایق تحقیقاتی وی توسعه امن نرمافزار، امنیت شبکههای کامپیوتری، اینترنت اشیا، ERP، RFID، 27000 ISO/IEC و 15408 ISO/IEC است.