基于身份认证的BACnet/IP分析与改进

作     者：谢鹏寿 朱家锋 康永平 冯涛 李威 冉玉翔 XIE Pengshou;ZHU Jiafeng;KANG Yongping;FENG Tao;LI Wei;RAN Yuxiang

作者机构：兰州理工大学计算机与通信学院甘肃兰州730050 兰州理工大学机电工程学院甘肃兰州730050 

出 版 物：《通信学报》 (Journal on Communications)

年 卷 期：2024年第45卷第3期

页      面：227-243页

核心收录：

学科分类：0839[工学-网络空间安全] 08[工学] 081201[工学-计算机系统结构] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

基　　金：国家自然科学基金资助项目(No.61862040 No.62162039) 

主　　题：BACnet/IP 形式化分析 着色Petri网 BAN逻辑 协议改进 

摘      要：为了解决BACnet/IP身份认证存在多种可攻击漏洞和密钥泄露带来的安全问题,提出了一种安全增强的BACnet/IP-SA协议认证方案。研究协议身份认证消息流模型,基于着色Petri网理论和CPNTools对身份认证消息流建模,采用Dolev-Yao攻击者模型和形式化分析方法对BACnet/IP进行安全性分析,发现协议漏洞并提出改进方案。BACnet/IP-SA协议使用设备的伪身份来保护真实身份信息,使用PUF响应进行认证,通过多信息集合的验证值来验证端身份的真实性并生成会话密钥。结合BAN逻辑和非形式化方法,对协议的安全性进行了证明。实验结果表明,所提方案能有效抵抗多类攻击和密钥泄露带来的安全威胁,在减少计算开销的同时增强了协议身份认证的安全性。