M2M網(wǎng)絡(luò)上的改進直接匿名認證方案

陳立全 何營營 王玲玲

(東南大學(xué)信息安全研究中心，南京210096)

機器到機器(machine-to-machine，M2M)網(wǎng)絡(luò)是當前物聯(lián)網(wǎng)系統(tǒng)的主要基礎(chǔ)架構(gòu)，它涉及到物聯(lián)網(wǎng)通信的各方面，包括網(wǎng)絡(luò)架構(gòu)、應(yīng)用案例、終端形態(tài)、業(yè)務(wù)模型及安全體系搭建等［1-3］.隨著“智能地球”和“智慧城市”等物聯(lián)網(wǎng)系統(tǒng)及實現(xiàn)框架的持續(xù)推進，M2M系統(tǒng)的用戶數(shù)量及容量不斷提高，怎樣有效解決M2M網(wǎng)絡(luò)上的安全問題顯得越來越迫切.因此，3GPP工作組提出了M2M網(wǎng)絡(luò)上的安全基礎(chǔ)架構(gòu)，將可信計算［4-5］的框架引入到M2M網(wǎng)絡(luò)之中.

可信計算的核心是可信平臺模塊(trusted platform module，TPM).而可信計算的一個基本問題是對平臺的可信認證.TCG組織在TPM標準v1.1中給出了 Privacy CA 認證方案［3］.Privacy CA 方案簡單易行，但也存在2個比較明顯的缺點［6-7］.因此，TPM v1.2提出了直接匿名認證(direct anonymous attestation，DAA)方案［8］.但是傳統(tǒng)的 DAA方案對于M2M系統(tǒng)中的許多嵌入式設(shè)備計算量過于復(fù)雜.

本文基于非對稱雙線性對理論，結(jié)合M2M的網(wǎng)絡(luò)模型和M2M設(shè)備的功能結(jié)構(gòu)，針對計算和存儲能力較低的嵌入式設(shè)備提出I-DAA協(xié)議.

1 已有ECC-DAA方案分析

目前主要有以下幾種采用橢圓曲線密碼算法的ECC-DAA方案:

1)BCL-DAA方案［9］將原始 DAA方案中的基于RSA密碼運算修改為對稱雙線性映射，縮短了密鑰長度的同時也降低了算法計算量.

2)CMS-DAA方案［10］將對稱雙線性對映射改為非對稱的雙線性對映射.雖然對稱雙線性映射計算較簡單，但是對稱雙線性對僅能從超奇異橢圓曲線Weil對和Tate對上得到，而非對稱雙線性對可以從普通橢圓曲線上構(gòu)造，簡單有效.

3)C-DAA方案［11］采用分步驗證的思路化簡計算量，降低了計算復(fù)雜度.

4)ABP-DAA方案［12］希望通過盲化fP1使攻擊者不能得到相關(guān)的平臺隱私信息，進而防止Issuer和Verifier的合謀攻擊［12］.但存在以下缺陷:①并未對TPM和Host進行工作量的分配，且在得到證書(A，B，C)之后，TPM 或Host并未對證書進行驗證合法性，雖然計算量得到了降低但同時安全性也隨之降低.②G1+中的DDH問題是否困難仍有待進一步驗證，此方案盲化了fP1，因而，導(dǎo)致TPM參與了證書參數(shù)C的計算，增加了TPM的計算量.同時為了防止Issuer和Verifier的合謀攻擊，即若TPM 向Issuer提供fP1，則Issuer可以通過驗證等式 e(Bi，fP1)=e(Bfi，P1)是否成立來判斷出TPM的具體身份，所以對隱私信息f進行了盲化，用fkP1來代替fP1.但是Issuer依然可以通過驗證等式 e(Bi，fkP1)=e(Bfi，kP1)是否成立來判斷TPM的具體身份.③ 整個協(xié)議過程中，沒有針對可能發(fā)生重放攻擊而加入隨機質(zhì)詢數(shù)或者其他保障機制.④ 沒有使用基名，故而不具備申請者(TPM和Host)決定的跟蹤可控的性質(zhì)，靈活性較低.

2 預(yù)備知識

2.1 雙線性映射及困難性問題假設(shè)［11］

假設(shè)G1+，G2+是2個加法循環(huán)群，G3×是乘法循環(huán)群，其階均為素數(shù) q.G1+，G2+，G3×中的離散對數(shù)都是困難的，定義雙線性映射為e:G1+×G2+→G3×.它滿足以下特性:

1) 雙線性.對于任意 P1，P2∈G1+，Q∈G2+，滿足 e(P1+P2，Q)=e(P1，Q)e(P2，Q).e(aP，bQ)=e(P，Q)ab，其中 a，b∈.

2) 非退化性.存在 P1∈G1+，P2∈G2+使得e(P1，P2)≠1，其中1 為 G3×的幺元.

3) 可計算性.任取 P1∈G1+，P2∈G2+，存在有效算法來計算e(P1，P2).

上述映射如果G1+=G2+，則稱此映射為對稱雙線性映射，否則稱為非對稱雙線性映射.

1)DL(discrete logarithm)假設(shè) 對于P∈G1+或G2+，給定aP，計算a是困難的.

2)CDH(computing Diffie-Hellman)假設(shè) 對于P∈G1+或 G2+，給定 aP，bP，計算 abP是困難的.

3)DDH(decisional Diffie-Hellman)假設(shè) 對于 P∈G1+或 G2+，區(qū)分三元組(aP，bP，abP)和(aP，bP，cP)是困難的.

2.2 基于非對稱雙線性映射的C-L簽名原理［10］

基于非對稱雙線性映射步驟為

1)密鑰生成.任意 P2∈G2+，選取 x，y∈作為簽名私鑰，計算 X=xP2，Y=yP2，公開參數(shù)(P2，X，Y).

2)簽名.對于 A∈G1+，計算B=yA，C=(x+mxy)A，其中m為需要簽名的消息，對于m的簽名為(A，B，C).

3)驗證.如果等式e(A，Y)=e(B，P2)和等式e(A，X)e(mB，X)=e(C，P2)成立，則(A，B，C)就是對于m的簽名.

3 I-DAA(improved-DAA)方案

3.1 DAA協(xié)議主體

DAA協(xié)議中共有Signer(簽名者)、Issuer(證書頒發(fā)者)、Verifier(驗證者)3個角色，其中Signer被拆分成TPM和Host.由于本文是基于M2M網(wǎng)絡(luò)模型的可信匿名認證機制，一般將Issuer和Verifier歸由同一個實體扮演.故本文中并不考慮證書頒發(fā)者和驗證者的合謀攻擊.但為了便于與已有的DAA方案進行統(tǒng)一和比較，本文仍用不同的名字命名.

3.2 系統(tǒng)參數(shù)建立

Issuer選擇有限域Fq上一可構(gòu)造非對稱雙線性對的普通橢圓曲線.e:G1+×G2+→G3×為非對稱雙線性映射.選取x，y∈Fq作為其私鑰，對于P2∈G2+，P1∈G1+.計算 X=xP2，Y=yP2，A=P1，B=yP1，H1，H2，H3，H4，H5為哈希函數(shù)，其參數(shù)可參考文獻［11］.其中，(pk，sk)為TPM 的EK公私鑰對，{0，1}*和{0，1}t分別表示任意長度和長度為t的二進制串.(pk，X，Y，A，B，H1，H2，H3，H4，H5，P1，P2)為公開參數(shù)，私有參數(shù)為(x，y，sk).Rougelist為已經(jīng)泄漏f值的TPM名單及其對應(yīng)的f值.

3.3 證書申請

I-DAA方案的證書申請過程主要由TPM，Host和Issuer來完成，如圖1所示.Issuer選取隨機數(shù)nI∈{0，1}t，并用TPM 的公鑰加密得到M=E(pk，nI)，發(fā)送給TPM.TPM 用對應(yīng)的私鑰解密得到nI=D(sk，M).TPM 選取f∈Fq作為其秘密信息并計算D=fB.將(D，nI)發(fā)送給 Issuer.Issuer首先比較nI是否正確，然后查看此TPM是否在Rougelist上.對于任意 fi∈Rougelist，如果 D=fiB，則此f已經(jīng)泄漏，認證失敗.否則計算DAA證書中的參數(shù)，即

圖1 I-DAA的證書申請流程圖

式中，(A，B，C)即為Issuer頒發(fā)給TPM 的DAA證書.收到證書后，TPM通過計算比較算式e(A+D，X)=e(C，P2)是否相等，來驗證證書的正確性，完成雙向認證.

(A，B，C)即為申請到的DAA證書.本過程中只需驗證由Issuer在Join過程生成的C.與文獻［11］中的C-DAA方案相比，可讓Host減少計算2次雙線性映射.Issuer用TPM的EK公鑰加密隨機數(shù)，從而保證只有合法的TPM才能獲得證書，即用隨機數(shù)來抵御重放攻擊.

3.4 基于DAA證書的簽名

I-DAA方案中的證書簽名過程如圖2所示.Verifier產(chǎn)生隨機數(shù) nV∈{0，1}t發(fā)送給 Signer.bsn為Signer的基名，若方案允許簽名關(guān)聯(lián)即bsn=⊥，則選 J∈G1+，否則令 J=H3(bsn).選取 l∈Z*q，計算R=lA，S=lB，T=lC和G=lD(此步計算是將證書進行盲化，進一步增強其匿名性)以及E=H4(R‖S‖T‖G‖nV).Host將 J，S，E 發(fā)送給TPM，由TPM 進行簽名.首先TPM 選取 nT∈{0，1}t，r∈Z*q，并計算 Z=rS 和 m=H5(J‖nT‖E‖Z‖PCR)，PCR為平臺配置，其中 a=r+fm(modq).最后，Host把基于DAA證書的簽名σ=(m，nV，nT，R，S，J，T，G，a)發(fā)送給驗證者 Verifier，等待驗證.

圖2 I-DAA的證書簽名流程圖

I-DAA方案在簽名過程中依然使用隨機質(zhì)詢數(shù)來抵抗重放攻擊，用哈希函數(shù)來保證信息完整性，防止篡改攻擊.由于Host計算的R，S，T與證書(A，B，C)有關(guān)，所以可以提前計算以縮短認證時間.通過使用基名bsn可以實現(xiàn)由TPM控制的關(guān)聯(lián)性檢測，實現(xiàn)可選的不同安全級別，應(yīng)用更加靈活.

3.5 簽名驗證

I-DAA方案的簽名驗證部分的工作流程由Verifier完成.

Verifier收到簽名后，首先進行 Roguelist檢測，然后檢驗基名bsn的使用是否正確，最后驗證簽名合法性.通過計算Z'=aS－mG=(r+fm)S－mG≡rSmodq，用匿名認證方法保證了TPM的合法性.在驗證等式e(R+G，X)=e(T，P2)和e(R，Y)=e(S，P2)時可參考文獻［10］，選取 e1，e2∈Zq，將以上 2個等式等價為計算 e(［e1］R，Y)e(［－e1］S，P2)e(［e2］(R+G)，X)e(［－ e2］T，P2)=1是否成立.這個轉(zhuǎn)換將4個獨立的雙線性映射轉(zhuǎn)換成了4個映射的變形加上4個乘法運算.改進后的方法可節(jié)省40%的計算量.對Verifier的驗證流程為

若通過以上所有步驟，則本次驗證通過.

4 I-DAA方案的安全性分析

I-DAA方案解決了以上各種問題.首先，IDAA方案對TPM和Host的計算工作進行了清晰的分配，由于TPM的資源比Host寶貴得多，所以應(yīng)盡可能地將計算量由TPM向Host轉(zhuǎn)移，由Host分擔很多計算負擔，進一步減輕TPM的計算量.其次，I-DAA方案中的Host并沒有得到TPM的關(guān)鍵信息f，從而無法在沒有TPM輔助的情況下偽造證書，從而保證了強匿名性.最后，I-DAA方案在簽名過程的信息中加入了隨機數(shù)以防止重放攻擊，而且I-DAA方案使用了基名，具有申請者可控的特性，增加了方案的靈活性.與 C-DAA［11］等方案相比，I-DAA方案在相同的安全性和匿名強度下降低了計算復(fù)雜度.

4.1 正確性

I-DAA方案的正確性在于驗證等式e(A+D，X)=e(C，P2)，e(R，Y)=e(S，P2)以及 e(R+G，X)=e(T，P2)是否成立.驗證的過程為

由雙線性映射的雙線性性質(zhì)可知，上述等式成立，從而驗證了I-DAA方案中簽名的正確性.

4.2 安全性

可以證明I-DAA方案在沒有泄露其秘密信息f值及證書的情況下是安全的.假設(shè)攻擊者可以自己偽造證書 A，B，C'，D'(A，B 是公開參數(shù))，且 C'= αP1，D'= βP1.則偽造者可以選擇 l'∈Zq計算 R=l'A，S=l'B，R=l'A，S=l'B，顯然其可以通過等式e(R，Y)=e(S，P2)的驗證.因為 e(R+G，X)=e(T，P2)=e(l'P1+l'βP1，xP2)=e(l'αP1，P2)，即 e(P1，P2)(1+β)xl'=e(P1，P2)αl'，所以(1+β)x=α，這意味著可以通過 D=βP1，X=xP2來計算 C=(1+β)xP1，但這是 co-CDH問題［5］，即此假設(shè)不成立.對于中間人攻擊，假設(shè)攻擊者截獲了合法簽名 R，T，U，S，選取 r∈Zq重新計算出 R'=rR，T'=rT，G'=rG 和 S'=rS，雖可以通過 e(R，Y)=e(S，P2)，e(R+G，P2)=e(T，P2)的驗證，但這會導(dǎo)致E值的變化，從而驗證失敗.

4.3 關(guān)聯(lián)性可控

I-DAA方案使用了基名bsn，可以實現(xiàn)TPM可控的關(guān)聯(lián)性檢測.若TPM想被驗證者Verifier關(guān)聯(lián)，則使用相同的基名bsn，而Verifier可以通過發(fā)現(xiàn)相同的J而確認是同一個TPM.

5 I-DAA方案的效率分析

通過與文獻［11］提出的C-DAA方案和文獻［12］提出的ABP-DAA方案進行比較來分析IDAA方案的效率.這些方案均包含證書申請、證書簽名、證書驗證這3個過程中涉及到的計算量，但并沒有包括相對于計算較容易的非對稱加解密、單向散列函數(shù)的運算量，也沒有包含Setup過程以及其中參數(shù)的驗證的計算量，因為這些運算只需做一次.

用下列符號表示方案中各種運算及參數(shù):對于雙線性映射 e:G1+×G2+→G3×:G1+為群 G3×中的運算，如P∈G1+計算aP;G21+為群G1+或G2+中的運算，如 P，Q∈G1+，計算 aP+bQ;G×為群 G3×中的運算，如 P∈G3×計算 Pa;G2×為群 G3×中的運算.如P，Q∈G3×，計算 PaQb;P為雙線性映射運算，如 P1∈G1+，P2∈G2+計算 e(P1，P2);n 為黑名單中已經(jīng)泄露了f值的TPM的個數(shù).

根據(jù)上述設(shè)定，得到以下各方案的效率開銷數(shù)據(jù)，見表1.表中，方案ABP-DAA在Join過程中的Host的計算量是0，這是因為申請者沒有對證書的合法性進行驗證;G+/2G1+表示允許/不允許基名關(guān)聯(lián)時的計算量.

表1 各方案的計算開銷對比

通過對比可知，I-DAA方案既較大地降低了Signer(TPM和Host)的計算復(fù)雜度，又降低了在申請和簽名過程中TPM的計算量.與Host和Verifier相比，TPM的計算資源要更寶貴.

6 結(jié)語

基于非對稱雙線性映射，延續(xù)了已有的基于雙線性映射的DAA認證方案的流程，在已有方案的基礎(chǔ)上，結(jié)合M2M的系統(tǒng)結(jié)構(gòu)，提出了一種改進的直接匿名認證方案——I-DAA方案.在保證安全的前提下有效降低了計算復(fù)雜度，因而更適用于M2M網(wǎng)絡(luò)中嵌入式設(shè)備.由于I-DAA方案基于M2M網(wǎng)絡(luò)的特點，因此目前暫無需考慮合謀攻擊問題.

References)

［1］Wu G，Talwar S，Johnsson K，et al.M2M:from mobile to embedded internet［J］.IEEE Communications Magazine，2011，49(4):36-43.

［2］Sun Wenchao，Song Meina.A general M2M device model［C］//IEEE 2nd Symposium on Web Society.Beijing，China，2010:578-581.

［3］Potter B.High time for trusted computing［J］.IEEE Security ＆Privacy，2009，7(6):54-56.

［4］Kim Mooseop，Ju Hongil，Kim Youngsae，et al.Design and implementation of mobile trusted module for trusted mobile computing［J］//IEEE Transactions on Consumer Electronics，2010，56(1):134-140.

［5］Chen Liqun，Warinschi B.Security of the TCG Privacy-CA solution［C］//IEEE/IFIP 8th International Conference on Embedded Ubiquitous Computing.Hong Kong，China，2010:609-616.

［6］Li Lixin，Li Chaoling，Zhou Yanzhou.A remote anonymous attestation scheme with improved privacy CA［C］//International Conference on Multimedia Information Networking and Security.Wuhan，China，2009:153-157.

［7］Brickell E，Camenisch J，Chen L Q.Direct anonymous attestation［C］//Proceedings of the 11th ACM Conference on Computer and Communications Security.New York，USA，2004:132-145.

［8］Brickell E，Chen Liqun，Li Jiangtao.A new direct anonymous attestation scheme from bilinear maps［C］//Proceedings of First International Conference on Trusted Computing and Trust in Information Technologies.Villach，Austria，2008:166-178.

［9］Chen Liqun，Morrissey P，Smart N P.Pairing in trusted computing［C］//Second International Conference on Pairing-Based Cryptography-Pairing. Egham，UK，2008:1-17.

［10］Chen Liqun.A DAA scheme using batch proof and verification［C］//Proceedings of Third International Conference on Trust and Trustworthy Computing.Berlin，Germany，2010:166-180.

［11］Chen Liqun，Page D，Smart N P.On the design and implementation of an efficient DAA scheme［C］//International Conference on Smart Card Research and Advanced Application.Passau，Germany，2010:223-237.

［12］甄鴻鵠，陳越，譚鵬，等.基于非對稱雙線性對的直接匿名認證方案［J］.通信學(xué)報，2010，21(7):56-62.Zhen Honghu，Chen Yue，Tan Peng，et al.Asymmetric bilinear pairing based direct anonymous attestation scheme［J］.Journal of Communications，2010，21(7):56-62.(in Chinese)