用于证实物理攻击的方法和装置

技术领域

本公开的实施例一般涉及信息技术，更具体地，涉及对网络中的设备的物理攻击的证实。

背景技术

如今，物联网(IoT)设备正在渗透我们的环境。它们被广泛应用于工业控制、智能办公、医疗保健、军事通信等领域。预计到2020年，全球将有208亿个联网事物在使用。由于这些设备始终存储大量的私人信息或控制物理设备，因此它们成为对手的诱人目标。受到损害的设备不仅会导致隐私泄露，而且还会传染性地导致整个网络崩溃。因此，保护这些设备免受不同种类的攻击已成为重要的安全问题。

然而，与其他计算设备不同，IoT设备通常在能量、计算能力和存储器方面受到限制。因此，IoT设备通常缺乏防御攻击的必要资源。因此，研究人员建议使用远程证实来确定它们是否已受到损害。远程证实通常遵循质询-响应机制。它允许受信任方(也被称为验证方)向其他不受信任且可能受损害一方(也被称为证明方)发送质询。证明方将根据该质询及其当前的运行状态生成响应。最后，验证方可以经由该响应和一些先验知识来确定证明方的状态。

为了几乎不对关于这些设备的正常任务造成影响，到目前为止已经提出了许多轻量且有效的方案。但是大多数当前的远程证实方案仅考虑了软件攻击。通常排除了对证明方的物理攻击。然而，可以肯定，由于这些设备被部署在开放环境中，因此它们也会遭受物理攻击。所有物理攻击都通过现实生活中的联系而无需网络通信来利用设备。存在很多物理攻击手段。最常见的物理攻击是通过尝试使用复杂且昂贵的专用设备(诸如聚焦离子束和微探测站)而直接访问内部组件来从设备中提取信息。最近，还引入了另一种物理攻击，其中，对手可以锻炼普通设备的硬件以获得强大的存储能力。进而，该设备可以轻松绕过传统证实。可以看出与软件攻击相比，这些物理攻击带来更大的破坏。然而，由于此类攻击不需要注入新的恶意代码，因此传统的证实方案缺乏抵抗此类攻击的能力。

因此，如何证实物理攻击成为需要解决的安全问题。

发明内容

提供本发明内容以简化形式来介绍概念的选择，这些概念将在下面的具体实施方式中被进一步描述。本发明内容既不旨在标识所要求保护的主题的关键特征或必要特征，也不旨在用于限制所要求保护的主题的范围。

根据本公开的第一方面，提供了一种在第一设备处实现的方法。所述方法可以包括以周期性间隔从相邻设备接收第一心跳消息。第一心跳消息用针对当前间隔的相邻设备的会话密钥进行加密，并且包括用于更新针对下一间隔的相邻设备的会话密钥的第一密钥材料。该方法还包括至少部分地基于针对当前间隔的第一设备的会话密钥来对所接收的第一心跳消息进行解密。该方法还包括至少基于第一心跳消息来确定相邻设备是否在物理上受到损害。周期性间隔被设置为小于对相邻设备的物理攻击的最小时间。

在实施例中，该方法还可以包括从被解密的第一心跳消息中获得第一密钥材料，以及至少部分地基于该第一密钥材料，更新针对下一间隔的第一设备的会话密钥。

在实施例中，该方法还可以包括从网络管理设备获得针对当前间隔的第一设备的会话密钥。

在实施例中，当在当前间隔内没有从相邻设备接收到第一心跳消息，或者所接收的第一心跳消息没有被成功解密，或者被解密的第一心跳消息是无效的时，可以确定相邻设备在物理上受到损害。

在实施例中，如果确定相邻设备在物理上受到损害，则该方法还可以包括向网络管理设备发送报告，该报告指示相邻设备怀疑在物理上受到损害。该方法还可以包括在第一设备处进行软件完整性的自测量，以及将该自测量的结果发送给网络管理设备。

在实施例中，该方法还可以包括以周期性间隔生成第二心跳消息并将其发送给相邻设备。第二心跳消息用针对当前间隔的第一设备的会话密钥进行加密。第二心跳消息包括用于更新针对下一间隔的第一设备的会话密钥的第二密钥材料。

在此实施例中，该方法还可以包括至少部分地基于第二密钥材料来更新针对下一间隔的第一设备的会话密钥。第一心跳消息的接收可以在从当前间隔开始的时间段内被计时，并且第二心跳消息的发送可以在从当前间隔开始的时间段内被计时。无论解密所接收的第一心跳消息或从当前间隔开始的时间段到期中的哪一个更早发生，都可以在之后至少部分地基于第二密钥材料来更新针对下一间隔的第一设备的会话密钥。该方法还可以包括对于第一心跳消息和第二心跳消息的传输，保持第一设备与相邻设备之间的同步。

在实施例中，第一心跳消息还包括相邻设备的标识符。

在实施例中，用于生成会话密钥的密钥材料包括一次性随机数(nonce)。

在实施例中，第一设备和相邻设备都是物联网设备。

根据本公开的第二方面，提供了一种装置。所述装置可以包括至少一个处理器，存储有计算机程序代码的至少一个存储器，该存储器和计算机程序代码被配置为与至少一个处理器一起工作使得该装置以周期性间隔从相邻设备接收第一心跳消息。第一心跳消息用针对当前间隔的相邻设备的会话密钥进行加密，并且包括用于更新针对下一间隔的相邻设备的会话密钥的第一密钥材料。该装置进一步被使得至少部分地基于针对当前间隔的第一设备的会话密钥来对所接收的第一心跳消息进行解密，以及至少基于第一心跳消息来确定相邻设备是否在物理上受到损害。周期性间隔被设置为小于对相邻设备的物理攻击的最小时间。

根据本公开的第三方面，提供了一种在其上存储有指令的计算机可读存储介质，这些指令在由至少一个处理器执行时使得至少一个处理器执行根据第一方面的方法。

根据本公开的第四方面，提供了一种包括指令的计算机程序产品，这些指令在由至少一个处理器执行时使得至少一个处理器执行根据第一方面的方法。

通过以下结合附图对本公开的示例性实施例的详细描述，本公开的这些和其他目的、特征和优点将变得显而易见。

附图说明

图1示意性地示出可以在其中实现本公开的实施例的网络；

图2是描绘根据本公开的实施例的方法的流程图；

图3是描绘根据本公开的实施例的方法的流程图；

图4是描绘根据本公开的一些实施例的用于证实网络中的物理攻击的过程的示意图；

图5示出根据本公开的实施例的装置的简化框图。

具体实施方式

参考附图详细描述了本公开的实施例。应当理解，仅出于使本领域技术人员能够更好地理解并因此实现本公开的目的来讨论这些实施例，而不是建议对本公开的范围进行任何限制。在整个说明书中对特征/优点或类似语言的引用并不意味着可以用本公开实现的所有特征和优点应当在或是在本公开的任何单个实施例中。相反，提及特征和优点的语言应被理解为是指结合实施例描述的特定特征、优点或特性被包括在本公开的至少一个实施例中。此外，在一个或多个实施例中，可以以任何合适的方式来组合本公开的所描述的特征、优点和特性。相关领域的技术人员将认识到，可以在没有特定实施例的一个或多个特定特征或优点的情况下实践本公开。在其他情况下，在某些实施例中可以认识到在本公开的所有实施例中可以不存在的附加特征和优点。

如本文所使用的，术语“网络”和“通信网络”是指有线或无线网络。例如，无线网络可以遵循任何合适的通信标准，诸如新无线电(NR)、长期演进(LTE)、高级LTE、宽带码分多址(WCDMA)、高速分组接入(HSPA)等。此外，可以根据任何合适的一代通信协议来执行网络中设备之间的通信，包括但不限于第一代(1G)、第二代(2G)、2.5G、2.75G、第三代(3G)、第四代(4G)、4.5G、第五代(5G)通信协议和/或现在已知或将来将要开发的任何其他协议。

如本文所使用的，术语“第一”、“第二”等是指不同的元件。除非上下文另外明确指出，否则单数形式“一”和“一个”也意图包括复数形式。如本文所使用的，术语“包括”、“有”、“具有”、和/或“包含”指定所述特征、元件和/或组件等的存在，但不排除存在或增加一个或多个其他特征、元件、组件和/或其组合。术语“基于”应被理解为“至少部分地基于”。术语“一个实施例”和“实施例”应被理解为“至少一个实施例”。术语“另一实施例”应被理解为“至少一个其他实施例”。其他定义(显式和隐式)可以在下面被包括。

如上所述，大多数传统证实仅关注软件攻击。通常排除了对证明方的物理攻击。然而，必须考虑物理攻击。物理攻击具有不同于软件攻击的特征。其在于物理攻击必须使这些设备离线一定时间以进行某些物理操作。基于此特性，可以提出一些方案以通过心跳消息来检测物理攻击。

例如，在证实方案中，提出轻量协议以利用不存在检测来识别可疑设备。每个设备周期性地发出心跳消息，该心跳消息需要由网络中的每个其他设备接收、验证和记录。然而，它有几个缺点。首先，每心跳周期的发送消息数量为O(n2)，其中，n是网络中的设备总数。在大型网络中，这将导致大量的能源消耗和更长的运行时间。其次，每个设备都需要记录其他设备的所有心跳消息，这增加了存储器空间的消耗。

在另一证实方案中，由领导者设备生成的相同散列值被用作心跳消息。每个具有两个正确的心跳消息的设备都被认为是物理健康的设备。它将通信复杂度从DARPA中的O(n2)降低到O(n)。然而，使用由领导者设备生成的相同心跳消息，它可能会遭受共谋攻击，其中受损害设备可以从另一设备请求最新的心跳消息以绕过证实。此外，当前的心跳消息依赖于引导者设备，每当引导者设备受到损害时，就会导致所谓的失败信号点问题。因此，必须花费更多的时间和精力来选择新的领导者。

抵御物理攻击的现有证实方案在安全性和效率方面还存在许多问题。通常，问题在于以下四个方面。首先，现有的证实方案缺乏对潜在受损害设备的快速响应。只有在周期性的证实之后才能知道具体的受损害设备。当一个受损害设备在这种周期性间隔内再次出现时，它可以更轻松且快速地执行其他攻击。这构成了严重的安全漏洞。其次，现有的证实方案可能会占用过多的存储器或遭受单点失败的影响。现有的证实方案要么让每个设备记录所有心跳消息，这会浪费过多的存储器，要么让每个设备只记录来自领导设备的心跳消息，这可能会导致单点失败。然而，IoT设备在存储器方面是有限的，并且单点失败将会导致很大的安全性问题。

第三，现有的证实方案可能会带来心跳协议的相对较高的通信开销。运行时间将随着网络中设备的数量而增加，这可能会导致大型网络中的大量时间消耗。第四，现有的证实方案几乎经由验证签名或质询-响应模式来认证其他设备。这将会导致浪费大量时间。

本公开提出了一种用于设备的有效证实方案，该方案对于物理攻击具有弹性。如上所述，对网络中任何设备的物理攻击将需要使设备离线一定时间。基于此特性设计了一种证实方案，其中，心跳消息以小于对手物理地连接一个设备所需的最短时间的周期性间隔在验证方与证明方之间生成并传输。每个设备都可以充当验证方和证明方。在本公开的实施例中，相邻设备被用于充当验证方以证实证明方。

图1示出了可以在其中实现本公开的实施例的网络。D

尽管在图1中图示了七个设备，但是应当理解，该网络可以包括更多或更少的设备。实际上，在网络中，每个设备可以至少有三个相邻设备。

该网络还可以包括用于网络管理和操作的设备，如图1中的节点O所描绘的。在一些实施例中，此设备可以是网络的拥有者的设备。在一些其他实施例中，此设备可以是IoT设备中的领导者设备。节点O可以被配置为管理网络中的设备。在一些实施例中，节点O可以被配置为从网络中的设备接收物理攻击证实的报告。图1示出了示例性场景，其中，D

可以为网络中的每个设备提供写保护实时时钟，以使得每个设备可以采用同步的方式周期性地执行证实。这些时钟可与一个时钟(诸如节点O的时钟，O的时钟)松散地同步。在这方面，两个设备的时钟之间可能会有很小的时钟偏移。例如，Δt表示网络中任何两个设备之间的最大时钟偏移。

图2示出了根据本公开的实施例的描绘了由第一设备执行的用于证实物理攻击的过程的流程图。在框210处，第一设备可以以周期性间隔从相邻设备接收心跳消息。此周期性间隔被设置为小于对相邻设备的物理攻击的最小时间。心跳消息用针对当前间隔的相邻设备的会话密钥进行加密。就此而言，可以在每个相邻设备与第一设备之间的心跳消息传输间隔内更新会话密钥。心跳消息包括用于更新针对下一间隔的的会话密钥的密钥材料。

在框220处，第一设备可以至少部分地基于针对当前间隔的第一设备的会话密钥来对所接收的心跳消息进行解密。针对当前间隔的会话密钥可以由网络管理设备(诸如图1中所示的节点O)分配。例如，当第一设备或相邻设备进入网络时，可以分配初始会话密钥。由于周期性地执行证实，因此，心跳消息被周期性地发送。在最后的间隔中发送的心跳消息可以包括用于更新针对当前间隔的会话密钥的密钥材料。因此，针对当前间隔的会话密钥可以从在前一间隔中从相邻设备接收的前一心跳消息中得出。

在框230处，第一设备可以基于心跳消息来确定相邻设备是否在物理上受到损害。就此而言，如果在当前间隔内没有从相邻设备接收到或正确接收到心跳消息，则可以确定相邻设备在物理上受到损害。例如，如果心跳消息没有被成功解密，或者被解密的心跳消息是无效的，则可以确定相邻设备在物理上受到损害。

在框240处，如果确定相邻设备在物理上受到损害，则第一设备可以向网络管理设备(诸如图1中的节点O)发送报告，该报告指示该相邻设备怀疑在物理上受到损害。在框250处，第一设备还可以进行软件完整性的自测量，并将该自测量的结果发送到网络管理设备。自测量可以被用于避免假报告。在一些实施例中，可以响应于来自网络管理设备的请求而触发自测量。

如果正确接收到心跳消息，则可以确定到当前间隔为止相邻设备是健康的。进而，第一设备可以从被解密的心跳消息中获得密钥材料，并至少部分地基于该密钥材料来部分更新针对下一间隔的该相邻设备的会话密钥。然后，第一设备可以等待在下一间隔中接收下一心跳消息。

同时，第一设备可以充当证明方。如在框260处所示，第一设备可以生成心跳消息，并以周期性间隔将其发送到其相邻设备。此时间间隔被设置为小于对第一设备的物理攻击的最小时间。此周期性间隔被设置为与相邻设备的心跳消息的周期性间隔相同。优选地，第一设备可以与其相邻设备同步，以使得它们基本上同时发送心跳消息。此外，网络中的所有设备可以采用相同的周期性间隔来发送心跳消息和执行对物理攻击的证实。此心跳消息用针对当前间隔的第一设备的会话密钥来进行加密，并且包括用于更新针对下一间隔的第一设备的会话密钥的密钥材料。

如上所述，每个设备将随着其在每个间隔中的心跳消息发送而改变其会话密钥。在当前间隔在从其相邻设备接收的心跳消息的解密之后，第一设备可以至少部分地基于密钥材料来更新其针对下一间隔的会话密钥。例如，当生成针对下一间隔的心跳消息时，第一设备可以更新其会话密钥。

通过从第一设备发送的心跳消息，其相邻设备可以以与关于框210至250所讨论的类似的方式来验证第一设备是否在物理上受到损害。

本公开的方案与现有技术之间存在若干差异。首先，本公开的方案引入了指控机制。在现有方案中，网络拥有者只能在周期性的证实之后才能知道此类受到损害的设备。然而，在证实周期内返回到网络中的在物理上受到损害的设备可以轻易绕过这种证实，因为这种设备具有更好的计算能力。在本公开的方案的指控机制中，以小于物理攻击的最小时间的周期性间隔来执行证实。网络拥有者可以尽可能早地知道在物理上受到损害的设备。

其次，本公开的方案引入了分布式证实模式。当前的证实模型要么使每个设备记录所有的心跳消息，这会导致大量存储器浪费，要么让一个设备将心跳消息传播给其他设备，这会导致单点失败。本公开的方案例如在IoT网络中采用分布式证实模型。利用相邻设备来证实证明方，以使得可以减少存储器浪费并防止单点失败。

第三，本公开的方案可以利用松散同步的时钟，以使得每个设备可以同时执行证实。用于整个网络的证实的执行时间将仅受相邻设备数量的影响。相反，在当前的针对物理攻击的证实方案中，某些设备必须等待来自其他设备的某个事件以触发其对应的事件。在更大的网络中这可能会导致大量时间消耗。

第四，本公开的方案引入了零轮认证方法。在一个间隔中的每轮证实中，只需要一个心跳消息从证明方被传送到验证方。当前的证实方案通常遵循质询-响应机制，这会导致通信中额外的能量和时间消耗。同时，本公开的方案利用会话密钥来认证一个设备，并且该会话密钥将随着心跳消息发送而改变。这对于防止冒充攻击也是有利的。

现在参考图3，其示出了描绘根据本公开的实施例的设备中的示例性证实过程的流程图。在此实施例中，可以在不同的时间点执行对物理攻击的证实过程。如图3中所示，该过程可以分为四个阶段，包括离线阶段310、心跳阶段320、报告阶段330、以及检查阶段340。

在离线阶段310中，可以用初始参数来配置或初始化设备。在实施例中，在离线阶段中，设备(被表示为D

以图1的网络为例，假定D

在初始化之后，设备D

可以利用三元组算法(GenHeartbeatMsg、VerHeartbeatMsg、UpdatePartOfKey)来描述此阶段。在一些实施例中，心跳阶段可以在从每个周期性心跳间隔开始的时间段内被计时。该时间段可以从间隔的开始延长直到心跳消息传输所需的最大时间已到期。如在框321处所示，在当前时间t满足函数TimeStart(t)，即，T

在当前时间t满足函数TimeStart(t)时，设备D

类似地，在当前时间t满足函数TimeStart(t)时，设备D

同时，在当前时间t满足函数TimeStart(t)时，设备D

在VerHeartbeatMsg(hb

如果VerHeartbeatMsg(hb

假定每个健康的相邻设备还将至少部分地基于被发送到其邻居的一次性随机数来更新其会话密钥。在此实施例中，设备D

一次性随机数n

如此，由于会话密钥随着心跳消息发送而改变，因此每个设备都可以使用会话密钥来彼此识别。在前一心跳周期内不存在的设备将具有与其邻居不同的会话密钥。例如，当D

如果VerHeartbeatMsg(hb

在实施例中，当函数Timeout(t)被满足，即，t≥T

例如，在D

在一些实施例中，D

响应于不存在消息的报告，节点O可以向所有可疑设备和对应的验证方设备发送证实请求证实，以便防止恶意报告。响应证实请求，可疑设备和对应的验证方设备将进行软件完整性的自测量并对结果做出响应。

例如，如果节点O从D

1)节点O没有接收到D

2)D

3)D

在一些实施例中，节点O还可以对这些受到损害的设备进行一些修复。

图4示出了根据一些实施例的用于网络中的分布式证实的过程。在410a和410b处，网络中的每个设备以松散同步的方式进入心跳阶段。D

本公开引入了一种指控机制，以确保对可疑的受物理攻击设备的快速响应。此外，通过利用分布式证实模式(其中每个设备均由其邻居来验证)，指控机制可以防止单点失败，并且减少存储器消耗。通过利用在每个设备中配备的松散同步时钟来触发证实协议，每个设备可以同时执行该协议。这将运行时间减少到固定值。此外，通过设计基于零轮识别的认证方案，每个设备都可以用随着心跳消息发送而改变的会话密钥对其他设备进行认证。这可以确保每个心跳消息的刷新，并且可以快速断开与可疑设备的连接。

图5示出了根据本公开的实施例的装置的简化框图。装置500可以被实现为如图1和图4中所示的设备D

可以将计算机可执行指令加载到存储器505中，并且这些计算机可执行指令在由处理器504执行时使得装置500实现上述方法。

另外，本公开的一方面可以利用在计算设备上运行的软件。这种实现可以采用例如处理器、存储器、以及例如由显示器和键盘构成的输入/输出接口。如本文所使用的，术语“处理器”旨在包括任何处理设备，诸如例如包括CPU(中央处理单元)和/或其他形式的处理电路的处理设备。此外，术语“处理器”可以是指不止一个单独的处理器。术语“存储器”旨在包括与处理器或CPU相关联的存储器，诸如例如随机存取存储器(RAM)、只读存储器(ROM)、固定存储器设备(例如、硬盘驱动器)、可移动存储设备(例如，软盘)、闪存等。处理器、存储器以及诸如显示器和键盘之类的输入/输出接口可以例如经由作为数据处理单元的一部分的总线互连。还可以将合适的互连(例如，经由总线)提供给诸如网卡之类的网络接口(该网络接口可以被提供以与计算机网络接口连接)，以及诸如软盘或CD-ROM驱动器之类的媒体接口，该媒体接口可以被提供以与媒体接口连接。

因此，如本文所描述的，包括用于执行本公开的方法的指令或代码的计算机软件可以被存储在相关联的存储器设备(例如，ROM、固定或可移动存储器)中，并且在准备使用时被部分或全部加载(例如，加载到RAM中)并由CPU执行。这种软件可以包括但不限于固件、常驻软件、微代码等。

如所指出的，本公开的各方面可以采取被体现在计算机可读介质中的计算机程序产品的形式，其中该计算机可读介质具有被体现在其上的计算机可读程序代码。此外，可以利用计算机可读介质的任何组合。计算机可读介质可以是计算机可读信号介质或计算机可读存储介质。例如，计算机可读存储介质可以是但不限于电、磁、光、电磁、红外或半导体系统、装置或设备，或前述任何合适的组合。计算机可读存储介质的更具体示例(非详尽列表)将包括以下内容：具有一根或多根电线的电连接、便携式计算机软盘、硬盘、RAM、ROM、可擦可编程只读存储器存储器(EPROM或闪存)、光纤、便携式光盘只读存储器(CD-ROM)、光存储设备、磁存储设备，或上述存储介质的任何合适的组合。在本文的上下文中，计算机可读存储介质可以是任何有形介质，其可以包含或存储供指令执行系统、装置或设备使用或与其结合使用的程序。

用于执行本公开的各方面的操作的计算机程序代码可以采用至少一种编程语言的任意组合来编写，该编程语言包括诸如Java、Smalltalk、C++之类的面向对象的编程语言以及常规的过程编程语言，诸如“C”编程语言或类似的编程语言。程序代码可以完全在用户的计算机上，部分在用户的计算机上，作为独立软件包，部分在用户计算机上且部分在远程计算机上，或完全在远程计算机或服务器上执行。

附图中的流程图和框图图示了根据本公开的各种实施例的系统、方法和计算机程序产品的可能实现的架构、功能和操作。就此而言，流程图或框图中的每个框可以表示模块、组件，代码段或部分，其包括至少一个用于实现指定的逻辑功能的可执行指令。还应注意，在一些替代的实施方式中，框中指出的功能可以不按照图中指出的顺序发生。例如，根据所涉及的功能，实际上可以基本上同时执行连续示出的两个框，或者有时可以以相反的顺序执行这些框。还应注意，框图和/或流程图图示的每个框以及框图和/或流程图图示中的框的组合可以由执行指定功能或动作的基于专用硬件的系统来实现，或由专用硬件和计算机指令的组合来实现。

在任何情况下，应当理解，本公开中示出的组件可以采用各种形式的硬件、软件或其组合来实现，例如，专用集成电路(ASIC)、功能电路、具有相关联的存储器的适当编程的通用数字计算机等。在给出本文提供的公开内容的教导的情况下，相关领域的普通技术人员将能够考虑本公开内容的组件的其他实现。

本文中使用的术语仅出于描述特定实施例的目的，而并不旨在限制本公开。如本文所使用的，单数形式“一”、“一个”和“该”还旨在包括复数形式，除非上下文另外明确指出。将理解，尽管本文中可以使用术语第一、第二等来描述各种元件，但是这些元件不应受到这些术语的限制。这些术语仅用于将一个元素与另一元素区分开。例如，在不背离示例性实施例的范围的情况下，第一元件可以被称为第二元件，并且类似地，第二元件可以被称为第一元件。还将理解，当在本说明书中使用时，术语“包括”和/或“包含”指定了所述特征，整数、步骤、操作、元素和/或组件的存在，但不排除存在或增加另一特征、整数、步骤、操作、元素、组件和/或其群组。

已经出于说明的目的给出了各种实施例的描述，但并不意图穷举或限于所公开的实施例。在不背离所描述的实施例的范围和精神的情况下，许多修改和变型对于本领域普通技术人员将是显而易见的。