基于動(dòng)態(tài)群簽名的802.11s Mesh網(wǎng)絡(luò)接入認(rèn)證

梁亮理

（婁底職業(yè)技術(shù)學(xué)院，湖南 婁底 417000）

0 引言

現(xiàn)有的WLAN采用單跳固定AP，存在覆蓋范圍有限、各熱點(diǎn)相互干擾、網(wǎng)絡(luò)性能受單節(jié)點(diǎn) AP限制、穩(wěn)定性不高等缺陷。而在Mesh網(wǎng)絡(luò)中，Mesh WLAN接入點(diǎn)（MP）之間可以保持無(wú)線互聯(lián)，如果某個(gè)節(jié)點(diǎn)的 MP發(fā)生故障，它可以重新再選擇一個(gè)MP進(jìn)行通信，數(shù)據(jù)仍然可以高速地到達(dá)目的地。從安全角度來(lái)看， MP不同于傳統(tǒng)的AP，它同時(shí)執(zhí)行申請(qǐng)者和認(rèn)證者兩個(gè)角色，實(shí)現(xiàn)對(duì)稱的認(rèn)證結(jié)構(gòu)。目前主要采用EMSA[1]來(lái)實(shí)現(xiàn)安全接入。

提出了Mesh WLAN接入的完整解決方案：提出了一種新的接入認(rèn)證協(xié)議，結(jié)合動(dòng)態(tài)群簽名技術(shù)使整個(gè)接入認(rèn)證過(guò)程只需要四輪的協(xié)議交互便可以實(shí)現(xiàn) MP之間的相互認(rèn)證和密鑰確認(rèn)，降低時(shí)間復(fù)雜性；并要求支持移動(dòng)設(shè)備在不同安全域之間的快速切換；確保在保證安全性的同時(shí)計(jì)算性能和通信性能都優(yōu)于現(xiàn)有協(xié)議。

1 動(dòng)態(tài)群簽名技術(shù)

群簽名允許群體中的任意成員代表群以群的名義進(jìn)行匿名簽名。一個(gè)群簽名方案中一般的參與方包括:群管理員即WLAN Mesh網(wǎng)絡(luò)中的認(rèn)證服務(wù)器AS，群成員即申請(qǐng)者S以及簽名驗(yàn)證方即認(rèn)證者A。AS通常履行系統(tǒng)參數(shù)的選取和設(shè)置，S的撤銷和加入，以及協(xié)助A打開(kāi)有爭(zhēng)議的群簽名等職責(zé)。一旦所產(chǎn)生的簽名引起爭(zhēng)議或疑問(wèn)，AS能夠識(shí)別出生成該簽名的真實(shí)簽名人的身份，確認(rèn)其是否加入安全域。管理員能夠識(shí)別出生成該簽名的真實(shí)簽名人的身份。群簽名方案可以分為動(dòng)態(tài)群簽名和靜態(tài)群簽名兩類。在一個(gè)群簽名方案中，如果系統(tǒng)確立之后，還允許加入和撤銷成員，則該群簽名方案稱為動(dòng)態(tài)的，否則就稱為靜態(tài)的[2]。在802.11s Mesh網(wǎng)絡(luò)接入認(rèn)證過(guò)程中，因?yàn)?MP是需要隨時(shí)加入，所以應(yīng)該采用動(dòng)態(tài)群簽名算法。

2 802.11s Mesh網(wǎng)絡(luò)接入認(rèn)證

2.1 系統(tǒng)模型

Mesh WLAN通信系統(tǒng)中存在MP，Mesh密鑰分發(fā)者M(jìn)KD及認(rèn)證服務(wù)器AS三類實(shí)體（如圖1）。AS中存儲(chǔ)了群簽名證書(shū)和所有MP的個(gè)體證書(shū)，每個(gè)MP只須存儲(chǔ)一個(gè)證書(shū)，即 AS的證書(shū)。這樣在協(xié)議交互過(guò)程中就不需要傳遞證書(shū)了，從而縮短了消息的長(zhǎng)度。另外認(rèn)證者M(jìn)KD負(fù)責(zé)成員加入，生成簽名，必要時(shí)進(jìn)行簽名驗(yàn)證，是認(rèn)證服務(wù)器 AS管理的安全網(wǎng)絡(luò)的合法實(shí)體，因此MKD和AS已經(jīng)建立安全信道。當(dāng)一個(gè)新的MP移動(dòng)到Mesh網(wǎng)絡(luò)時(shí)，通過(guò)合法鄰居MP獲得所屬M(fèi)KD的簽名信息，并用群私鑰生成自已的簽名。AS的行為是可信的，它由ISP管理，負(fù)責(zé)系統(tǒng)的建立，匿名性揭示，認(rèn)證者通過(guò)安全信道傳遞來(lái)的認(rèn)證請(qǐng)求之后會(huì)誠(chéng)實(shí)地返回正確的應(yīng)答。同時(shí)為了保證應(yīng)答的真實(shí)性，AS對(duì)應(yīng)答消息進(jìn)行簽名（用私鑰進(jìn)行簽名或者用群公鑰計(jì)算 MAC），MP和MKD均相信具有正確簽名的應(yīng)答消息的權(quán)威性。

2.2 基于動(dòng)態(tài)群簽名技術(shù)的 802.11s Mesh網(wǎng)絡(luò)接入認(rèn)證協(xié)議

該協(xié)議通過(guò)動(dòng)態(tài)群簽名技術(shù)實(shí)現(xiàn)MP和AS以及MP和MKD之間的相互認(rèn)證。MP和MKD通過(guò)AS來(lái)傳遞信任關(guān)系，實(shí)現(xiàn)間接的相互認(rèn)證。在協(xié)議中進(jìn)行了兩次不同的群密鑰交換（MP和AS，MP和MKD），因而AS得不到MP和MKD之間的共享密鑰。新的MP通過(guò)該認(rèn)證協(xié)議接入到無(wú)線Mesh網(wǎng)絡(luò)后，不再需要四步握手的顯式密鑰認(rèn)證。極大的提高了接入認(rèn)證執(zhí)行的效率，縮短了設(shè)備接入的響應(yīng)時(shí)間[3]。

基于動(dòng)態(tài)群簽名技術(shù)的 802.11s Mesh網(wǎng)絡(luò)接入認(rèn)證協(xié)議詳細(xì)描述如圖2示。

3 協(xié)議安全分析

3.1 基于UC安全模型的證明思路

獲得該協(xié)議的抽象描述為∮，然后構(gòu)造一個(gè)安全實(shí)現(xiàn)簽名理想函數(shù)Fsig的協(xié)議sρ；再給出密鑰交換的理想函數(shù)FKE，構(gòu)造一個(gè)協(xié)議∮’，證明∮’在混合模型 Fsig-hybrid下安全實(shí)現(xiàn)了FKE；最后構(gòu)造一個(gè)仿真器T進(jìn)行模擬攻擊，通過(guò)模擬攻擊的運(yùn)行結(jié)果分析，證明協(xié)議是否UC安全[4]。

3.2 UC安全性證明過(guò)程：

（1）協(xié)議的抽象描述

基于2.2節(jié)的描述，給出基于動(dòng)態(tài)群簽名技術(shù)的802.11s Mesh網(wǎng)絡(luò)接入認(rèn)證協(xié)議的抽象描述∮，如下所示：其中，M為協(xié)議發(fā)起者，A為協(xié)議響應(yīng)者； GX,GY, GZ為用于群密鑰交換的臨時(shí)公鑰值；Λ為身份認(rèn)證信息；β為消息認(rèn)證碼；N為隨機(jī)數(shù)。

（2）構(gòu)造實(shí)現(xiàn)理想函數(shù)Fsig的協(xié)議ρs

協(xié)議參與者 Pi與 Pj，運(yùn)行基于動(dòng)態(tài)群簽名算法Sig=(gen， sig， ver)的協(xié)議ρs，進(jìn)行交互。Pi收到輸入(signer， id)后執(zhí)行算法gen，保留簽名密鑰s，將驗(yàn)證密鑰v發(fā)送給Pj；當(dāng)Pj需要對(duì)某消息m進(jìn)行簽名，則將(sign，id，m)發(fā)送給Pi；Pi令 σ= sig(s， m)，并將(signature， id， m，σ)發(fā)送給Pj；當(dāng)Pj需要對(duì)某消息m簽名進(jìn)行驗(yàn)證，則將(verify，id，m，σ)發(fā)送Pi；Pi則輸出(verified， id， m， ver(v，m，σ))給Pj。

（3）構(gòu)造基于密鑰交換理想函數(shù)FKE的協(xié)議∮’

令p和q為大素?cái)?shù)，k為安全參數(shù)，q長(zhǎng)為 k比特且q/p-1，g是群上階為q的生成元，協(xié)議參與者Pi與Pj；當(dāng)協(xié)議發(fā)起者Pi得到輸入(Pi，Pj， Sid)，則發(fā)送初始化消息(signer，0， Sid)給Fsig；同樣，當(dāng)協(xié)議響應(yīng)者Pj得到輸入(Pj，Pi，Sid)則發(fā)送(signer，1， Sid)給Fsig；協(xié)議發(fā)起者Pi隨機(jī)選擇 NI,1←Zp，并計(jì)算γ=GZ，然后發(fā)送給Pj；Pj收到起始信息后，隨機(jī)選擇 NR←Zp，計(jì)算α=GX和K1并發(fā)送給Fsig，得到其返回M1的簽名σj后，計(jì)算最后發(fā)送給Pi。當(dāng)Pi收到發(fā)送給 Fsig，如果驗(yàn)證通過(guò)，則計(jì)算K1并驗(yàn)證φj，驗(yàn)證通過(guò)后計(jì)算β=Gy和K2并發(fā)送(sign， 0， Sid， M2)給Fsig；得到簽名σi后，分別用K1和K2計(jì)算最后發(fā)送給Pj。

（4）構(gòu)造一個(gè)理想環(huán)境下的仿真器T

T運(yùn)行一個(gè)模擬的攻擊者U，并按下面的規(guī)則進(jìn)行操作：

當(dāng)T從FKE處收到(Sid， Pi， Pj， rol e )，則表明Pi發(fā)起了認(rèn)證密鑰交換，那么讓T仿真出Fsig及Fsig–hybrid下與U交互的協(xié)議π'，并給定同樣的輸入。并且T讓U和Pi按照π'的執(zhí)行規(guī)則輸出；為了仿真π'的執(zhí)行，T可以激活Fsig得到相應(yīng)的簽名值σ；T計(jì)算 K '= HKD(K ,*)及 φ= Hβ(K ',*)，其中K是FKE給Pi和Pj的密鑰輸出；當(dāng)π'中的某個(gè)Pi產(chǎn)生了本地輸出，如果對(duì)端Pj沒(méi)有被攻陷，則T將FKE的輸出發(fā)送給Pi；如果Pj已被攻陷，F(xiàn)KE則讓T決定密鑰，而T則使用Pi前面的輸出來(lái)確定仿真的Pi與Pj的本地輸出；當(dāng)U執(zhí)行攻陷Pi的操作，T同樣攻陷Pi。如果FKE已經(jīng)給Pi發(fā)送了密鑰，則T將得到該密鑰；如果Pi和Pj均沒(méi)有產(chǎn)生本地輸出，則T將其內(nèi)部狀態(tài)傳遞給U，包括它們的秘密選值；如果Pi或Pj其中一方已經(jīng)產(chǎn)生了本地輸出，則它們的臨時(shí)私鑰均被擦除，所以T直接將本地輸出的密鑰傳遞給U。

（5）分析執(zhí)行結(jié)果

當(dāng)采用仿真器 T進(jìn)行接入認(rèn)證時(shí)，設(shè)其輸入是(p, q, g,α*,β*, γ*)，則當(dāng)γ＊是 π'運(yùn)行后Pi與Pj輸出的真實(shí)密鑰時(shí)，這種情況下，可以得到本地輸出，其視角等同于Fsig-hybrid下π'與U所進(jìn)行的交互；當(dāng)γ＊是個(gè)隨機(jī)值時(shí)，則等同于理想模型下T與FKE所進(jìn)行的交互，因?yàn)槔硐氕h(huán)境下，F(xiàn)KE發(fā)送給Pi與Pj的密鑰恰好是它自己選出的隨機(jī)值。根據(jù)DDH假設(shè)，成功區(qū)分γ＊是真實(shí)密鑰還是隨機(jī)值的概率等于AS認(rèn)證者成功辨別理想和混合兩種環(huán)境的概率，即能以1/2加上不可忽略的優(yōu)勢(shì)ε成功區(qū)分兩者，而這與DDH假設(shè)矛盾，所以得證，即該協(xié)議是UC安全的。

4 結(jié)語(yǔ)

Mesh無(wú)線網(wǎng)絡(luò)采用的802.11s 標(biāo)準(zhǔn)將于2011年正式頒布，在接入認(rèn)證、管理帶寬、安全性和QoS等方面還值得研究。由于Mesh網(wǎng)絡(luò)天生具備動(dòng)態(tài)性，其拓樸結(jié)構(gòu)隨時(shí)會(huì)發(fā)生變化，所以能滿足性能和可靠性要求的接入認(rèn)證是研究的重點(diǎn)。提出了一種新的802.11s Mesh網(wǎng)絡(luò)接入?yún)f(xié)議，該協(xié)議采用動(dòng)態(tài)群簽名技術(shù)，解決了目前接入認(rèn)證協(xié)議中認(rèn)證過(guò)程復(fù)雜，移動(dòng)性不強(qiáng)等缺點(diǎn)。該協(xié)議理論上能有效提高接入認(rèn)證過(guò)程的效率，并保證安全性，但在具體應(yīng)用過(guò)程中仍有部分細(xì)節(jié)有待優(yōu)化。

[1] 王思涵.WLAN Mesh網(wǎng)絡(luò)接入認(rèn)證技術(shù)研究[D]. 鄭州：解放軍信息工程大學(xué)，2009.

[2] 張瑞華,張紅.無(wú)線傳感器網(wǎng)絡(luò)分簇算法分析與性能比較[J].通信技術(shù),2010,43 (01):156-158,161.

[3] 王思涵, 郭淵博, 劉偉. 一種基于WLANMESH網(wǎng)絡(luò)中的EAP-TLS接入認(rèn)證方案[J]. 通信技術(shù),2010,43(02):188-190,194.

[4] 吳振強(qiáng). 無(wú)線局域網(wǎng)安全體系結(jié)構(gòu)及關(guān)鍵技術(shù)[D]. 西安：西安電子科技大學(xué)，2007.