87、对称密钥管理通用安全API与ID基安全距离界定及定位技术

对称密钥管理通用安全API与ID基安全距离界定及定位技术

对称密钥管理通用安全API

在对称密钥管理方面，有一个通用的安全API被提出，它可用于实现多种对称密钥协议。该API具有重要的安全特性，无论实现何种协议，也无论攻击者如何使用该API，其安全性都能得到保障。

为了更好地理解不同协议在该API下的实现情况，我们来看下面的表格：
| 协议（Clark - Jacob章节） | API | APIr |
| — | — | — |
| Needham - Schroeder SK (6.3.1) | + | - |
| NSSK修正版 (6.3.4) | + | + |
| Otway - Rees (6.3.3) | + | + |
| Yahalom (6.3.6) | + | - |
| Carlsen (6.3.7) | + | + |
| Woo - Lam Mutual Auth (6.3.11) | + | + |

这里的API是原始API，而APIr是受限API，在受限API中，对于每个新的会话密钥都要求至少进行一次测试。“+”表示我们的算法找到了该协议的实现，“ - ”表示算法报告缺少测试。

如果攻击者能够获取旧的秘密值，那么该API应切换到受限模式。在受限模式下，虽然可实现的协议数量减少，但能有效防止重放攻击。不过，该API目前仅限于对称密钥加密以及特定的新鲜性检查概念，可能无法涵盖所有正确的协议。但通过研究其要实现的协议，我们认为构建一个具有令人满意的通用性水平的安全API是可行的。未来还有很多工作要做，比如将其扩展到非对称加密、签名、PKI证书等领域。并且目前所有的证明都是在所谓的“符号模型”中进行的，在该模型中，加密被视为对术语的黑盒函数，后续还打算将结果扩展到更精确的安全计算模型。

ID基安全距离界定与定位协议

在安全距离界定和定位领域，近年来提出了许多相关协议。安全距离界定协议最初是为了防范黑手党欺诈攻击而提出的，可在测量目标信任或不信任的场景下使用。安全定位协议则用于在安全和安全关键应用中提供可信的位置信息。

然而，现有安全距离测量协议的广泛部署存在一个主要问题，即设备需要以最小延迟（理想情况下是即时）处理消息。但现有的商用现成（COTS）距离测量平台并未设计提供此功能，也不具备所需的加密操作，因此基于这些平台实现安全距离界定需要对其硬件和软件进行大规模重新设计。

为了解决这个问题，提出了一种新颖的ID基安全距离界定协议。该协议以标准的不安全距离测量为基本构建块，使得能够使用COTS测距设备实现安全距离界定。其主要贡献如下：
1. 提出新协议 ：提出了一种可在现有距离测量平台上实现的新安全距离界定协议，降低了实现复杂度，且无需修改现有测距平台。
2. 协议实现与验证 ：使用超宽带（UWB）射频测距设备实现了该协议，证明其能够实现安全准确的距离界定，并讨论了可能的设计选择。
3. 安全定位系统实现 ：基于安全距离界定实现，实现了基于可验证多边测量的安全定位协议，能够在存在攻击者的情况下计算设备的正确位置。
4. 攻击分析与解决方案 ：指出了几种针对安全定位的新攻击，特别是不可信移动目标可能实施的攻击，并提出了解决方案。

下面我们来详细了解安全距离界定和相关硬件平台的背景知识：
- 安全距离界定 ：旨在检测目标设备信任或不信任场景下对距离边界测量的攻击。若测量节点A信任目标B会诚实地遵循协议，则可使用信任距离界定（tDB）协议确定到B的距离上限；若A不信任B，则需使用不信任距离界定（uDB）协议。在这两种情况下，攻击者都可以通过延迟消息来增大测量距离，但无法缩短测量距离。
- 原始uDB协议 ：由Brands和Chaum提出，未受信任的目标B先对b位消息m进行承诺并发送承诺给A，A生成b个秘密挑战位，双方进行b轮快速位交换（RBE）。每轮中，A发送当前挑战αi，B计算βi = αi⊕mi并立即发送βi给A。b轮后，B将收到的挑战连接成位串m，向A打开初始承诺并发送签名的m。A验证承诺和签名，若成功则计算每轮的往返时间RTTi，若每个距离di = RTTi·v / 2（v为信号传播速度，约为光速）小于A和B之间的最大可能距离，则距离界定成功。
- 信任距离界定 ：在信任距离界定中，A信任B会正确执行协议，B的回复不需要即时，A可以减去已知的处理延迟来计算距离。理论上，攻击者要缩短测量距离，只能猜测A发送的所有挑战位或B在RBE阶段发送的所有回复，成功攻击的概率取决于RBE的轮数b，为2 - b。
- MSSI UWB测距系统 ：MSSI的测距设备在6.1 - 6.6 GHz频率范围内进行通信和到达时间（ToA）测距测量。其串行接口操作有限，只有测距命令可让一个设备测量到另一个设备的距离。每个无线电有唯一地址，由8位子网号和8位单元标识符组成，可通过串行接口快速更改。但在距离测量的请求消息中，无法从A向B传输额外数据，这就无法传输所有安全距离界定协议所需的挑战，导致现有的安全距离界定协议无法在该平台上实现。这一限制在不安全测距设备中很常见，也促使我们提出能让此类COTS设备实现安全距离界定的协议。

接下来我们看看ID基安全距离界定协议的具体内容：
- ID基安全距离界定协议流程 ：该协议允许无法在测距消息中添加二进制挑战以及无法对挑战进行异或（⊕）运算的设备仍然能够进行安全测距，其唯一要求是测距设备能够被指示更改其ID。假设A和B各控制一个测距设备，且在协议开始前共享秘密密钥或持有对方的有效公钥。协议执行流程如下：
1. 协议初始化 ：A和B商定一个共享密钥k，从中导出一个秘密ID序列ID1, …, IDb。
2. 测量轮次 ：A和B进行b轮ID基安全距离界定原语操作。在第i轮中，A以1/2的概率向IDi发送测距请求，否则向随机ID发送测距请求。诚实的B只会对发送到IDi的测距请求进行回复。
3. 距离计算 ：b轮后，通过取所有有效测量距离的最大值来计算距离边界。

外部攻击者M由于不知道A和B共享的ID序列，只能猜测要回复的ID，因此在每一轮中只能以1/2的概率缩短A和B之间的距离。若攻击者回复随机ID，A将不接受该范围并检测到攻击。同样，不可信的B也只能以1/2的概率通过发送早期回复消息来缩短与A的距离，因为它不知道当前是IDi还是随机ID会被查询。

在每一轮i ≤ b中，A可以区分以下几种情况：
1. A向IDi发送测距请求并收到来自IDi的回复，A得出此测量计算的距离是B距离的有效上限。
2. A向IDi发送测距请求但未收到回复，A认为可能是传输错误或攻击，具体处理取决于通信信道质量，若预期无信号损失，则可假设存在攻击。
3. A向随机ID发送测距请求并收到该ID的回复，A判断是攻击者进行了回复，因为诚实的B不会对随机ID进行回复。
4. A向随机ID发送测距请求但收到来自IDi的回复，A认为是不诚实的B试图通过发送早期回复来缩短距离。
5. A向随机ID发送测距请求且未收到回复，A判断此轮未尝试攻击。

• 通信成本 ：在原始的Brands和Chaum协议中，每一轮只在A和B之间传输单比特信息。而在ID基安全测距协议中，每一轮传输的是ℓ位ID。但在现有的UWB测距系统中，每条消息需要发送约10字节长的前导码，以便接收方识别发送方的测距信号。当ID大小为ℓ = 16位时，ID基安全距离界定协议的通信开销比使用相同UWB消息格式的原始Brands和Chaum协议高约20%。快速位交换的轮数取决于攻击者在每一轮中成功作弊的机会，这个机会仅略大于原始协议，因此所需的轮数几乎相同，具体轮数由ID空间大小和其他实现细节决定。
• 安全分析 ：
• 攻击者模型 ：在分析中，我们只考虑外部攻击者M的攻击，假设B是诚实的且被A信任会正确遵循协议。攻击者的目标是缩短A和B之间的测量距离，使A认为B比实际更近。假设M可以控制通信信道，能够窃听、干扰、重放、插入和修改传输的消息，但无法以高于光速的速度传输消息，也无法获取A和B共享的秘密密钥。不考虑侧信道信息泄露和拒绝服务攻击，因为协议的目标是获得正确的距离边界，而非保证可用性。
• 协议分析 ：该协议通过对挑战进行随机化，防止外部攻击者和不诚实的用户向A的挑战发送早期回复。由于M不知道ID序列，只能猜测要回复的ID，每一轮中缩短距离的概率为1/2。并且该协议通过对每个挑战进行有效认证，防止攻击者在A发送合法请求之前向B发送自己的测距消息，保护了隐私。
• 实现分析 ：尽管该协议对外部攻击者的攻击具有抗性，但不同的安全距离界定协议实现可能容易受到物理层攻击。下面介绍对我们实现的信任距离界定的三种可能攻击以及相应的防范方法：
  • 外部早期发送后期提交攻击 ：如Clulow等人指出，恶意的B可以利用数据包级延迟获利。在使用ID基安全距离界定时，B的回复基本上携带一位信息（回复或不回复），这使得恶意的B′能够进行早期发送后期提交攻击。在信任距离界定时，A信任B，但M也可能进行类似攻击。使用MSSI设备时，数据包长度为56 μs，M可以提前开始回复，但只有在观察到B的答案后才完成回复。如果M未收到B的答案，就知道A向随机ID发送了挑战，从而停止早期回复。

下面是ID基安全距离界定协议的流程mermaid图：

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px;
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    classDef decision fill:#FFF6CC,stroke:#FFBC52,stroke-width:2px;

    A(协议初始化):::startend --> B(商定共享密钥k):::process
    B --> C(导出秘密ID序列ID1...IDb):::process
    C --> D(开始第1轮):::process
    D --> E{A以1/2概率向IDi发送测距请求}:::decision
    E -->|是| F(向IDi发送请求):::process
    E -->|否| G(向随机ID发送请求):::process
    F --> H{是否收到IDi回复}:::decision
    G --> I{是否收到随机ID回复}:::decision
    H -->|是| J(记录有效距离):::process
    H -->|否| K(判断可能是传输错误或攻击):::process
    I -->|是| L(判断是攻击者回复):::process
    I -->|否| M(判断此轮无攻击):::process
    J --> N{是否完成b轮}:::decision
    K --> N
    L --> N
    M --> N
    N -->|否| O(进入下一轮):::process
    O --> E
    N -->|是| P(取所有有效测量距离最大值计算距离边界):::process
    P --> Q(结束):::startend

总之，对称密钥管理通用安全API为对称密钥协议的实现提供了安全保障，而ID基安全距离界定和定位协议则为解决现有安全距离测量协议部署难题提供了有效的解决方案，这两项技术在各自领域都具有重要的意义和应用前景。

对称密钥管理通用安全API与ID基安全距离界定及定位技术

针对ID基安全距离界定协议实现的攻击及防范

除了上述提到的外部早期发送后期提交攻击，还有另外两种基于扫描可能ID值空间的攻击，下面我们来详细分析：
1. ID扫描攻击 ：攻击者M可能会尝试扫描所有可能的ID值，以找到A和B共享的ID序列。如果ID空间较小，攻击者成功的概率会相对较高。为了防范这种攻击，可以增大ID空间的大小，使得攻击者扫描所有可能ID值的时间和成本变得不可接受。例如，将ID的位数从16位增加到32位或更多，这样ID的可能性就会大大增加，攻击者扫描的难度也会相应提高。
2. ID预测攻击 ：如果ID序列的生成规则存在一定的规律性，攻击者可能会根据已观察到的ID值来预测后续的ID值。为了防止这种攻击，ID序列应该基于安全的随机数生成算法从共享密钥中导出，确保ID序列的随机性和不可预测性。

下面是一个表格总结这三种攻击及防范方法：
| 攻击类型 | 攻击原理 | 防范方法 |
| — | — | — |
| 外部早期发送后期提交攻击 | 利用数据包级延迟，提前开始回复，根据B的答案决定是否完成回复 | 优化数据包处理机制，减少延迟影响 |
| ID扫描攻击 | 扫描所有可能的ID值以找到共享ID序列 | 增大ID空间大小 |
| ID预测攻击 | 根据已观察到的ID值预测后续ID值 | 使用安全随机数生成算法导出ID序列 |

安全定位系统的实现与分析

基于ID基安全距离界定协议的实现，构建了可验证多边测量的安全定位系统。该系统能够在存在攻击者的情况下计算设备的正确位置，下面详细介绍其实现过程和相关分析：
1. 系统架构 ：系统主要由多个测距节点（如A）和目标节点（如B）组成。测距节点通过ID基安全距离界定协议测量与目标节点的距离，然后将这些距离信息发送到一个中央处理单元。中央处理单元根据这些距离信息，利用多边测量算法计算目标节点的位置。
2. 多边测量算法 ：多边测量算法是基于多个测距节点到目标节点的距离来计算目标节点位置的方法。常见的多边测量算法有最小二乘法、卡尔曼滤波等。在本系统中，选择合适的多边测量算法需要考虑测量误差、计算复杂度等因素。例如，最小二乘法计算简单，但对测量误差比较敏感；卡尔曼滤波可以有效处理测量误差，但计算复杂度相对较高。
3. 误差分析与校正 ：在实际应用中，测距过程中会存在各种误差，如信号传播延迟误差、设备测量误差等。这些误差会影响最终的定位精度。为了提高定位精度，需要对误差进行分析和校正。可以采用多次测量取平均值、使用误差模型进行补偿等方法来减小误差的影响。

下面是安全定位系统实现的mermaid流程图：

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px;
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    classDef decision fill:#FFF6CC,stroke:#FFBC52,stroke-width:2px;

    A(系统初始化):::startend --> B(测距节点与目标节点建立通信):::process
    B --> C(测距节点进行ID基安全距离界定测量):::process
    C --> D(测距节点将距离信息发送到中央处理单元):::process
    D --> E{中央处理单元接收所有距离信息}:::decision
    E -->|是| F(选择多边测量算法计算目标节点位置):::process
    E -->|否| C
    F --> G(进行误差分析与校正):::process
    G --> H(输出目标节点的最终位置):::process
    H --> I(结束):::startend

相关技术的对比与展望

将ID基安全距离界定协议与传统的安全距离测量协议进行对比，我们可以更清晰地看到其优势和不足：
| 协议类型 | 实现难度 | 硬件要求 | 安全性 | 通信成本 |
| — | — | — | — | — |
| 传统安全距离测量协议 | 高，需要对硬件和软件进行大规模重新设计 | 高，要求设备能即时处理消息和进行加密操作 | 较高，但可能存在隐私泄露风险 | 低，每轮传输单比特信息 |
| ID基安全距离界定协议 | 低，可在现有COTS测距设备上实现 | 低，仅要求设备能更改ID | 高，有效防止多种攻击和隐私泄露 | 略高，每轮传输ℓ位ID，但实际增加幅度不大 |

从对比中可以看出，ID基安全距离界定协议在实现难度和硬件要求方面具有明显优势，同时在安全性和隐私保护方面也表现出色。未来，随着技术的不断发展，这两项技术都有进一步的发展空间：
1. 对称密钥管理通用安全API ：可以进一步扩展到非对称加密、签名、PKI证书等领域，以适应更广泛的应用场景。同时，将证明从符号模型扩展到更精确的安全计算模型，提高API的安全性和可靠性。
2. ID基安全距离界定和定位协议 ：可以与其他定位技术（如GPS、惯性导航等）相结合，提高定位的精度和可靠性。此外，还可以研究如何在更复杂的环境中（如多径干扰、信号遮挡等）实现安全的距离界定和定位。

综上所述，对称密钥管理通用安全API和ID基安全距离界定及定位协议在网络安全和定位领域都具有重要的价值。它们不仅解决了现有技术中的一些难题，还为未来的技术发展提供了新的思路和方向。随着技术的不断进步和完善，这两项技术有望在更多的实际应用中发挥重要作用。