2016年10月Journal on Communications October 2016 第37卷第Z1期通信学报V ol.37No.Z1 基于群签名的无线Mesh网络匿名切换认证方案
苏彬庭1,2,许力1,2,王峰1,2,林志兴1,2,3
(1. 福建师范大学数学与计算机科学学院,福建福州 350007;
2. 福建省网络安全与密码技术重点实验室,福建福州 350007;
3. 三明学院现代教育技术中心,福建三明 365004)
摘要:为保证Mesh网络移动客户端视频、语音等实时性强的业务不中断,一种快速安全的切换认证策略显得非常重要。从保护移动节点的隐私信息出发,提出了一种基于群签名的无线Mesh网络匿名切换认证方案。与其他基于群签名的切换认证方案不同,该方案中切换认证过程不涉及群签名相关运算,且群签名运算只在路由器上进行。该方案不仅满足了安全性要求,还具有较高的认证效率和保护用户隐私的优点。
关键词:Mesh网络;切换认证;认证效率;隐私保护
中图分类号:TP915.08 文献标识码:A
最美好的未来Anonymity handover authentication protocol bad on
group signature for wireless Mesh network
SU Bin-ting1,2, XU Li1,2,WANG Feng1,2,LIN Zhi-xing1,2
(1. School of Mathematics and Computer Science, Fujian Normal University, Fuzhou 350007, China;
2. Fujian Provincial Key Laboratory of Network Security and Cryptology, Fuzhou 350007, China;
3. Modern Education Technology Center, Sanming University, Sanming 365004, China)
Abstract: In order to ensure that the Mesh network mobile client video, voice and other real-time strong applications without interruption, a cure and efficient handover authentication was very important. To protect the privacy of mobile nodes, an anonymity handover authentication protocol was propod bad on group signature for wireless mesh network.
Compared with other handover authentication protocols bad on group signature, the propod scheme did not involve the group signature correlation operation, and the group signature algorithm was only carried out on the router. The pro-pod protocol not only enhances the curity but also performs well in authentication efficiency and privacy-prerving.
Key words: Mesh network, handover authentication, authentication efficiency, privacy-prerving
1引言
水光潋滟
无线网络发展日新月异,无线Mesh网络(WMN,wireless Mesh network)作为一种新型的网络结构,有着自组织、自管理、自愈能力及支持多种网络接入的优势[1,2]。它通过无线链路把固定的和移动的节点连接起来,构成的一个多跳的移动自组织网络,是单跳无线局域网和多跳ad hoc网络的融合[1]。然而,由于自身无线通信、多跳传输等性质,无线Mesh网络存在的安全问题也十分突出。其中,切换认证技术不仅关乎客户端的通信安全,同时也决定网络资源是否会被滥用。图1是无线Mesh网络切换认证示意,参与切换认证过程主要有2种类型的节点:Mesh客户端(MC,Mesh client)和Mesh 路由器(MR,Mesh router)。当MC从MR1移向MR2时,实现MC的无缝切换从而保证MC服务连续性是非常有必要的。为了保证服务的连续性,MC 切换认证应在50 ms内完成,其中,认证过程不能
收稿日期:2016-08-31
基金项目:国家自然科学基金资助项目(No.61072080, No.U1405255);福建省高校产学研合作重大基金资助项目(No.2014H61010105);福建师范大学科研创新团队基金资助项目(No.IRTL1207);福州市科技局基金资助项目(No.2015-G-59)Foundation Items: The National N
atural Science Foundation of China (No.61072080, No.U1405255), Major Science and Technol-ogy Project in Fujian Province (No.2014H61010105), Fujian Normal University Innovative Rearch Team Project (No.IRTL1207), Foundation of Fuzhou Municipal Science and Technology Bureau (No.2015-G-59)
doi:10.11959/j.issn.1000-436x.2016264
第Z1期苏彬庭等:基于群签名的无线Mesh网络匿名切换认证方案・175・
超过20 ms[3]。然而一次完整的EAP(如EAP-TLS)认证需要8 s,会造成一些实时性强的服务中断[4]。如今,随着网络技术的发展和人们对服务要求的提高,切换认证不仅要求高效,还要满足相应的安全性[5~9]。
图1 Mesh网络切换认证示意
1) 双向认证。MR需要对用户身份的合法性进行检查,同时,MC也要验证MR是否为安全合法的路由器。
2) 安全密钥建立。完成切换认证后,MC和MR要建立安全的会话密钥。
3) 匿名性和不可关联性。路由器无法确认认证节点的真实身份,并且无法判断该节点在当前MR 是否认证过。
4) 可追踪性。如果网络出现合法节点的内部攻击,有且仅有认证服务器(AS,authentication rver)可通过通信内容确定消息发布者的真实身份。
5) 用户撤销。认证服务器可撤销过期或不安全用户的身份,使其无法继续享受网络的服务。
6) 抵抗攻击。能够抵抗各种攻击,保证协议的安全性。
近几年,针对不同的应用场景和需求,许多切换认证文献[7,10~20]方案被提出。这里,从是否考虑隐私保护将方案分为两大类。1) 无隐私保护的切换认证方案主要从提高用户的认证效率出发,缩短用户的认证时延。文献[7,10~12]方案认证过程需要认证服务器参与,通过AS提高认证的安全性,这也是最传统的认证方法。然而该方法可能由于认证服务器的参与,导致在认证过程中,认证消息需要经多跳传输,通信代价较高,认证时延较长。文献[13~15]方案避免了多跳传输而产生的通信代价,在一定程度上提高了认证的效率。然而接入点与用户至少需要至少3次握手,认证效率不高。Xu 和Zhang等[16,17]提出了基于标签的认证方案。方案通过当前接入点预分发用户的密钥信息给目标接入点,认证过程无第三方参与,且无需复杂的双线性对、群签名等运算,认证效率较高。然而由于用户完成认证后,当前接入点要为邻居接入点计算不同的切换认证密钥,所以接入点的负载较大,且切换密钥的利用率较低。2016年,苏等[18]提出了基于Diffie-Hellman的无线Mesh网络快速认证机制,解决了上述存在的问题,但方案会泄露用户的身份信息,导致用户的身份、位置和运动轨迹等隐私信息受到威胁。2) 具有隐私保护的切换认证主要利用群签名、代理签名、盲签名和假名等技术实现用户匿名认证,从而保护用户的身份、位置和运动轨迹等隐私信息安全。文献[9]方案利用群签名来实现隐私保护,但计算代价较高;文献[19,20]方案利用假名技术来实现隐私保护,但用户需要存储很多的假名和
相应的密钥,这类方案对于能量和存储能力受限的客户端是不适用的。
本文提出了一种基于群签名的切换认证方案,在该方案中,认证节点每次完成认证后将计算切换密钥并加密发送给接入点,接入点解密再转发给邻居节点保存,用于后期对用户的身份认证。与其他群签名方案不同,该方案认证过程无需群签名相关运算,且只在能量不受限的路由器上进行。认证用户只需简单运算可完成双向认证过程,不仅效率高,同时能够保护认证用户的隐私信息安全。
2 切换认证方案
由于Mesh网络客户端有较强的移动性,为保证客户端的安全性和服务的连续性,一种快速安全的切换认证策略显得非常重要。本文在客户端完成首次匿名接入认证[21]后,客户端计算下一次切换认证密钥,并通过会话密钥加密发送给当前接入点,由当前接入点解密,并产生对应的群签名[22],匿名发送给邻居节点。在客户端请求切换认证时,路由器只需通过缓存中的预分发的切换密钥与客户端经2次握手可快速完成切换认证过程。
2.1系统初始化
在系统初始化过程中,AS输入安全参数k执行密钥生成算法,为网络各节点创建公私钥对。
・176・ 通 信 学 报 第37卷
1) 选择一大素数q 和p ,p
E
F 是定义在有限域p F 上的椭圆曲线。选择
p
E
F 上的一个阶为q 的点P ,生成循环加法群
G 。
2) 随机选择参数*
q s Z ∈,计算系统公钥二零二一年
=PK sP 。
3) 选择散列函数**1:{0,1}q
H Z →,*2:{0,1}H × *
q
G Z →。 4) 输入参数,执行密钥生成算法,产生群公钥
gpk 和各群成员私钥gsk i 。
5) 公开系统参数1{,,,,,,,p
E
q p P G PK H F 2,H
}gpk 。
AS 利用系统参数为网络中每个路由器创建公私钥对。假设MR ID 为路由器MR 的唯一身份标识。
AS 选择随机数*
MR q r Z ∈,计算MR MR R r P =,MR h =
1MR MR (,)H ID R 和MR MR MR s r sh =+,然后将MR MR (,)s R 通过安全通道发给MR 。MR 收到密钥后,计算公钥MR MR PK s P =并定期广播自身信息MR MR (,)ID R 。 2.2 认证过程
客户端在移动过程中,可能由于信号变弱等因素而选择接入更合适的路由器。本文利用客户端在每次认证后,计算切换密钥,并由当前接入的路由器预分发给周边路由器保存。当客户端向周边路由器请求切换认证时,只要利用缓存中预分发的切换密钥快速完成认证过程,很大程度提高了认证效率。切换认证过程如图2所示。
1) 22MR 1MC MR :{,,,,}ID A B ts →σ
客户端对周边的路由器进行评估,选择最合适的MR 并发起切换认证请求。MC 选择时间戳ts ,然后利用之前计算的切换密钥产生签名1a =+σ
21MR (||||)bH ID A ts ,并将消息2MR 1{,,,,}ID A B ts σ发送给目标路由器MR 2请求认证。
2) 22MR MC :{,}m →σ
MR 2收到MC 的认证请求后,首先判断时间戳ts 是否过期,如果没过期,则从缓存中找出与MC 对应的切换密钥消息,根据式(1)判断签名σ1的合法性。
如果签名是合法的,随机选择*
q c Z ∈计算C cP =,生成消息22MR MR {,,,}m ID R B C =,
韶山学校
利用系统分配的密钥对MR MR (,)s R 产生签名222M R 1()r s H m =+σ。最后将消
息2{,}m σ发送给客户端验证,并计算密钥PMK
(pairwi master key),2MR PMK cB =。
图2 切换认证过程
?
11MR 2+(||||)P A H ID A ts B =σ (1)
客户端收到路由器MR 2回应消息2{,}m σ,根
据式(2)计算路由器的公钥,
然后利用系统公开参数P 根据式(3)验证签名σ2是否合法。如果合法,则计算临时会话密钥MC PMK bC =开始数据业务。
2222MR 3MR MR MR (,)PK H ID R PK R =+ (2)
2
?
狐狸的拼音
22MR ()P B H m PK =+σ (3)
2.3 切换认证密钥预分发
客户端MC 与路由器MR 2完成认证后,协商临时会话密钥开始数据业务。为了提高下次的切换效率,客户端将预计算切换认证密钥,然后由MR 2发送给周边路由器保存,如图3所示。
若相惜1) 2handover MC MR :K →
MC 随机选择*
,q a b Z ∈,计算A aP =和=B bP 。
然后将切换密钥参数根据式(4)加密发送给MR 2。
handover 1(,MR ||)k Enc PMK A = (4) 2) 2MR MR :{,,}i A ts →σ
MR 2首先利用临时会话密钥解密消息,获得切
换密钥。再利用群私钥1MR gsk 产生群签名σ,将该签名和切换密钥一起发送给邻居节点,并将该切换密钥与下一次的切换密钥利用系统公钥PK 加密发
第Z1期 苏彬庭等:基于群签名的无线Mesh 网络匿名切换认证方案 ・177・
送给认证服务器登记保存。
2MR =Sign(,||)gsk A ts σ (5) 邻居节点收到MR 2发来的消息,首先根据时间
戳判断消息是否被重放。如果没有,则利用群公钥
gpk 判断该签名是否是群成员产生的。如果是,则
保存该切换密钥。
图3 切换密钥预分发过程 3 安全性分析 本文提出的方案在切换过程中,路由器利用切换
密钥验证用户的合法性。切换密钥由用户自己生成并
加密发给路由器,由路由器匿名转发给邻居节点。不
仅保护了切换密钥的安全性,同时,也防止用户的移
动轨迹等隐私信息遭到泄露。从密钥协商安全性、匿
名性和不可关联性等几方面分析方案的安全性。
1) 双向认证和密钥协商安全性
在客户端完成认证之后,客户端MC 选取切换密
钥参数*q
a Z ∈,计算A aP =并通过加密发给当前路由器MR 1。在请求切换认证时,MC 利用密钥参数a 产
生签名σ1发给目标接入点。因为切换密钥参数a 是MC 自身选取的,所以只有MC 能够产生有效签名σ1。切换目标MR 2可利用预分发的切换密钥A 验证客户端的合法性。而MR 2则利用系统分发的密钥MR MR (,)s R 产生签名σ2,攻击者是无法生成或修改的。
MC 可利用系统公开参数P 判断目标接入点是否合
法。若认证双方都是合法的,则计算密钥PMK 。
MN AP PMK bC cB PMK ===
2) 匿名性和不可关联性
完成匿名接入认证后,MC 在每次请求切换认证时,选取的切换密钥参数都是不同的,且参数是
不相关联的。认证过程交互的信息没有涉及与认证节点相关的身份信息,从而较好地保护了认证节点
的隐私安全。在MC 加密发送切换密钥给当前路由
器时,接入点利用群私钥产生群签名,匿名发送给
周边路由器。因此完成切换认证后,目标接入点和
窃听者都无法判断用户是从哪一个路由器切换过
来的,保护了认证用户的轨迹隐私安全。同时,攻击者与路由器无法判断任何2次的认证过程是否是属于同一用户。
3) 可撤销性
路由器利用缓存的切换密钥A '验证客户端的合法性,并完成与客户端的下一次切换密钥A 的协商后,路由器将切换密钥消息(A ', A )加密发送给认证服务器,实现后期对客户端身份的撤销。
4) 抗重放攻击
客户端在请求切换的消息中,加入了时间戳ts ,并产生了对应的签名,因此,攻击者即使截取了认证消息,也无法伪装客户端,获得路由器的信任。而在路由器应答客户端消息中,每次认
证随机数C 都是不同的,因此方案能够有效地抵
抗重放攻击。
5) 抗中间人攻击 目标路由器在客户端切换认证前,已经预存了客户端的切换密钥消息A 。只有知道切换密钥参数a 的客户端才能产生合法的签名σ1并通过目标接入点的认证。而路由器则是通过系统分发的密钥MR MR (,)s R 产生签名σ2,攻击者是无法产生的。 4 性能分析
切换认证方案不仅要保证认证双方的安全
性,同时也要提高认证效率,保证客户端语音、视频等实时性强服务的连续性。本文方案客户端预计算切换密钥并加密发送给当前路由器,路由器解密后匿名发送给周边接入点保存。在客户端切换认证过程中,只需通过切换密钥经2次握手可与目标路由器完成切换认证过程。从预分发密钥角度出发,将本文方案与相关文献[16~18]方案的性能进行比较分析,文献[16~18]方案认证过程需要3次握手,且每次切换认证之前路由器需要计算根据邻居数计算大量不同的切换认证密钥,给路由器造成较大的负载。而本文提出的方案只需2次握手可完成双向认证,且每次认证,路由器只需计算1个切换认证密钥,路由器负载较小,
・178・通信学报第37卷
具有较好的实用性。
从隐私保护的角度出发,将本文提出的方案与近
期相关方案[19,20,23]进行性能比较分析。如表1所示。
在此,本文忽略了简单的运算所产生的时延,主要考
虑了复杂的双线性对运算(Pairng)和椭圆曲线运算
(ECC)。而执行1次椭圆曲线点乘运算和双线性对
运算所需要的时间分别是20.04 ms和2.21 ms[24]。
表1性能分析与比较
方法
总时延/ms
文献[19] 0 0 3 4 15.47 文献[20] 0 0 2 4 13.26 文献[23] 2 4 2 1 106.83 本文0 0 2 3 11.05
表1的分析结果表明本文在保证用户的隐私安
全前提下,认证效率也是比较高的。同样是2次握手,本文所提出的认证方案无需复杂的双线性对运算,方案计算产生的时延主要表现在椭圆曲线乘运算,认证过程计算产生的时延约为11.05 ms,认证
效率较高,有较强的应用价值。
5结束语
从保护移动节点的隐私出发,提出了一种基
于群签名的匿名切换认证方案。为了保护用户的
移动轨迹,在预分发切换认证密钥时引入了群签名,但群签名只在能量不受限的路由器上运算。
我的ip地址查询与其他基于群签名切换认证方案不同,方案只需
2次握手可完成认证过程,无第三方参与,且认
证过程无涉及群签名等复杂运算,认证效率较高。参考文献:
[1] RAFFAELE R, MARCO C, ENRICO G.Mesh networks: commodity
multihop ad hoc networks[J]. IEEE Communications Magazine, 2005,
43(3): 123-131.
[2] PHILIP W. Mesh networks: a new architecture for broadband wireless
access systems[C]//IEEE Conference on Radio and Wireless (RAW-
CON). 2000: 43-46.
[3] HE D J, CHEN C, CHAN S, et al. Secure and efficient handover
authentication bad on bilinear pairing functions[J]. IEEE Transac-
tions on Wireless Communications, 2012, 11(1): 48-53.
[4] POLITIS C, CHEW K A, AKHTAR N, et al. Hybrid multilayer mobil-
ity management with AAA context transfer capabilities for all-IP net-
works[J]. IEEE Wireless Communications, 2004, 11(4): 76-88. [5] CHOI J D, JUNG S W. A cure and efficient handover authentication
bad on light-weight Diffie-Hellman on mobile node in FMIPv6[J].
IEICE Transactions on Communications, 2008, E-91B(2): 605-608. [6] HE D J, BU J J, CHAN S, et al. Privacy-prerving universal authen-
tication protocol for wireless communications. IEEE Transactions on Wireless Communication, 2011, 10(2): 431-436.
[7] LIAO Y P, WANG S. A cure dynamic ID bad remote ur authen-
tication scheme for multi-rver environment[J]. Computer Standards & Interfaces, 2009, 31(1): 24-29.
[8] YEH K H, LO N W. A novel remote ur authentication scheme for
multi-rver environment without using smart cards[J]. International Journal of Innovative Computing, Information & Control, 2010, 6(8): 3467-3478.
[9] LAI C Z, LI H, LIANG X H, et al. CPAL: a conditional priva-
cy-prerving authentication with access linkability for roaming r-vice[J]. Internet of Things Journal, IEEE, 2014, 1(1): 46-57.资本化利息支出
[10] CHANG C C, LEE C Y, CHIU Y C. Enhanced authentication scheme
with anonymity for roaming rvice in global mobility networks[J].
Computer Communications, 2009, 32(4): 611-618.
[11] HSIANG H C, SHIH W K, Improvement of the cure dynamic ID
bad remote ur authentication scheme for multi-rver environ-ment[J]. Computer Standards & Interfaces, 2009, 31(6): 1118-1123. [12] HE D J, MA M D, ZHANG Y, et al, A strong ur authentication
scheme with smart cards for wireless communications[J]. Computer Communications, 2011, 34(3): 367-374.
[13] Y ANG X, HUANG X Y, HAN J G, et al. Improved handover authentica-
tion and key pre-distribution for wireless mesh networks[J]. Concurrency and Computation: Practice and Experience, 2016, 28(10): 2978-2990. [14] HAN Q, ZHANG Y, CHEN X, et al. Efficient and robust identi-
ty-bad handoff authentication in wireless networks[J]. Network and System Security. Springer Berlin Heidelberg, 2012: 180-191.
[15] SHEN A N, GUO S, ZENG D, et al. A lightweight privacy-prerving
protocol using chameleon hashing for cure vehicular communica-tions[C]//Wireless Communications and Networking Conference (WCNC), 2012: 2543-2548.
[16] XU L, HE Y, CHEN X F, et al. Ticket-bad handoff authentication for
wireless mesh networks[J]. Computer Networks. 2014, 73: 185-194. [17] ZHANG X, LI G, HAN W. Ticket-bad authentication for fast han-
dover in wireless mesh networks[J]. Wireless Personal Communica-tions, 2015, 85(3): 1509-1523.
[18] 苏彬庭, 许力, 方禾,等. 基于Diffie-Hellman的无线Mesh网络快
速认证机制研究[J]. 山东大学学报, 2016, 51(9): 6-11.
SU B T, XU L, FANG H, et al. Fast authentication mechanism bad on Diffie-Hellman for wireless Mesh networks[J]. Journal of Shan-dong University, 2016, 51(9): 6-11.
[19] LI G S, JIANG Q, WEI F S, et al. A new privacy-aware handover
authentication scheme for wireless networks[J]. Wireless Personal Communications, 2015, 80(2): 581-589.
[20] CHAUDHRY S A, FARASH M S, NAQVI H, et al. A robust and
efficient privacy aware handover authentication scheme for wireless networks[J]. Wireless Personal Communications, 2015, 1-25.
