基于橋節(jié)點的異構(gòu)信任域信任模型研究

李 錚，陳澤茂，嚴 博

（海軍工程大學 信息安全系，湖北 武漢430033）

0 引 言

混合網(wǎng)絡擴展了有線網(wǎng)絡的應用范圍，但由于無線網(wǎng)絡的加入，給網(wǎng)絡的安全防護帶來了新的問題:通常我們使用PKI系統(tǒng)[1]來解決有線網(wǎng)絡中實體間身份的認證等信任問題，但是由于無線網(wǎng)絡通常面臨帶寬有限、終端存儲及運算能力較差等問題，對PKI證書的使用和管理帶來了極大不便。2001年Boneh等人設計出第一個實用的基于身份加密 （IBE）方案[2]，由于IBE體系不存在證書的管理和使用問題，許多研究者提出了將基于身份的密碼技術(shù)運用到網(wǎng)絡安全方案中的思想。比如張勝利用基于身份的公鑰系統(tǒng)和 （t，n）門限密碼方案，提出了一個Ad Hoc網(wǎng)絡信任模型[3]，提供了在Ad Hoc網(wǎng)絡中建立和管理信任關(guān)系的框架；徐述設計了一個基于身份簽密的身份認證模型[4]，結(jié)合基于身份的簽密方案和零知識協(xié)議實現(xiàn)通信雙方的相互認證，并且對實例化后的方案進行安全分析。但是由于PKI技術(shù)成熟，許多有線網(wǎng)絡已經(jīng)布置了PKI系統(tǒng)，在混合網(wǎng)絡中單純采用IBE技術(shù)不具有現(xiàn)實可行性。因此，近年來PKI與IBE技術(shù)的組合運用成為一個新的研究方向[5]，比如RIKE方案[6]，將IBE技術(shù)運用到PKI系統(tǒng)中，以解決一個用戶需要兩個或多個證書時帶來的效率問題；楊斌等人提出了一種基于仲裁的IBC域結(jié)構(gòu)，并設計實現(xiàn)了IBC和PKI的組合應用模型[7]，但是它們?nèi)孕枰獋鬟fPKI證書，僅適合于有線網(wǎng)絡中的應用。

針對以上問題，本文提出一種跨PKI／IBE異構(gòu)信任域的信任模型，采用橋節(jié)點 （bridge node，BN）頒發(fā)信任憑據(jù)的方法，實現(xiàn)信任關(guān)系在兩個異構(gòu)信任域之間的傳遞，以解決混合網(wǎng)絡中不同信任域間實體的信任問題。

1 基于橋節(jié)點的PKI／IBE異構(gòu)信任域信任模型

圖1所示的是一個典型的混合網(wǎng)絡，它由有線網(wǎng)絡和無線網(wǎng)絡共同構(gòu)成，是對軍事信息網(wǎng)絡的抽象。無線接入網(wǎng)關(guān)位于有線網(wǎng)絡的邊界，無線網(wǎng)絡可能采用多種組網(wǎng)方式，既可以是有中心的無線網(wǎng)絡，也可以是無中心的Ad Hoc網(wǎng)絡。在有線網(wǎng)絡中，各實體之間采用PKI機制建立與維護信任關(guān)系，它們構(gòu)成一個PKI信任域；在無線網(wǎng)絡中，各實體之間依照IBE信任模型建立與維護信任關(guān)系，構(gòu)成一個IBE信任域。私鑰生成器 （PKG）是IBE系統(tǒng)的核心，它部署于有線網(wǎng)絡，通過無線通信信道為IBE域中實體提供服務。

圖1 一種有線／無線混合網(wǎng)絡

如圖2所示，本文設計了一種基于BN的PKI／IBE異構(gòu)域信任模型。在PKI信任模型中，橋CA通過對不同CA的交叉認證實現(xiàn)跨域互聯(lián)[8]，本文借鑒橋CA概念，提出BN概念:BN既作為PKI域中的可信節(jié)點，也作為IBE域中的可信節(jié)點，同時被PKI域和IBE域中的所有實體所信任，作為可信第三方為異構(gòu)域間節(jié)點建立信任關(guān)系。模型的基本思想是:當不同信任域的兩個節(jié)點欲建立信任關(guān)系時，BN分別依據(jù)PKI域和IBE域信任機制得到兩個節(jié)點的信任信息，然后按照相關(guān)策略簽發(fā)信任憑據(jù)，雙方根據(jù)信任憑據(jù)建立信任關(guān)系。

圖2 基于BN的異構(gòu)信任模型

為方便描述，假設PKI域信任模型為單CA模型，域內(nèi)實體包括節(jié)點A、B和BN；IBE域采用單PKG模型，域內(nèi)實體包括節(jié)點C、D和BN等?？梢?，BN既是PKI域中的節(jié)點，也是IBE域的節(jié)點，因此它擁有兩個系統(tǒng)中的公私鑰對:＜PKPKI，SKPKI＞和＜PKIBE，SKIBE＞。

下面以IBE域中節(jié)點C欲與PKI域中的節(jié)點A建立信任關(guān)系為例，闡述基于BN的PKI／IBE異構(gòu)信任域的信任模型。

1.1 模型的基本參數(shù)

選擇PKI系統(tǒng)實施方案；選擇IBE密碼方案，Waters和Gentry分別提出了目前公認最有效的兩個方案[9]；根據(jù)密碼方案生成PKG的主密鑰和系統(tǒng)參數(shù)，包括選取橢圓曲線E及大素數(shù)P、選擇隨機數(shù)s∈Zp＊作為系統(tǒng)主密鑰、計算系統(tǒng)公鑰Ppub＝SP、選擇所用的哈希函數(shù)、選擇雙線性映射、確定明文空間和密文空間、公布系統(tǒng)公開參數(shù)等。

1.2 信任策略

策略一:網(wǎng)絡中所有節(jié)點信任BN具有可信簽發(fā)跨域信任憑據(jù)的能力。

本策略使BN繼承了一部分CA和PKG的信任屬性，即可信地驗證節(jié)點身份并簽發(fā)信任憑據(jù)的能力，承認了BN簽發(fā)的信任憑據(jù)的合法性。策略一的實現(xiàn)可以直接定義為各節(jié)點本地策略，也可以通過CA和PKG為BN簽發(fā)特定的授權(quán)憑證。

策略二:當且僅當待建立信任關(guān)系雙方分別屬于PKI域和IBE域時，BN為其生成信任憑據(jù)。

本策略規(guī)定了BN簽發(fā)信任憑據(jù)的情景是PKI域和IBE域中節(jié)點建立跨域信任關(guān)系。根據(jù)此條策略，當一方或雙方屬于其他未知信任域時，BN不予簽發(fā)信任憑據(jù)，保證了信任傳遞的可靠性；當雙方同屬于一個信任域時，BN不予簽發(fā)信任憑據(jù)，以避免信任模型與原PKI系統(tǒng)、IBE系統(tǒng)的功能重復造成效率的浪費。

1.3 信任憑據(jù)

信任憑據(jù)是一段包含節(jié)點身份標識和公鑰的消息段，由BN根據(jù)信任策略為節(jié)點簽發(fā)，作為混合網(wǎng)絡中建立跨域信任關(guān)系的臨時性憑證。因此信任憑據(jù)應該包含憑據(jù)擁有者的身份標識和公鑰，以及簽發(fā)者BN的簽名信息，其具體格式將在下文給出。

為保證信任憑據(jù)使用和管理的安全性，制定以下管理機制:

（1）信任憑據(jù)存儲機制:BN只負責簽發(fā)信任憑據(jù)，待雙方節(jié)點建立信任關(guān)系后，應相互保存對方的信任憑據(jù)；

（2）有效期限制:信任憑據(jù)中加入有效期信息，當節(jié)點檢測到本地存儲的某個信任憑據(jù)過期時應自行刪除，當需要時再重新申請。由于它是一個臨時性憑證，所以有效期設置不應過長；

（3）憑據(jù)撤銷機制:當某節(jié)點因?qū)傩愿淖?、密鑰泄露等情況造成信任憑據(jù)無效時，由BN廣播該節(jié)點身份標識，通知各節(jié)點刪除其信任憑據(jù)，并將此身份標識加入黑名單，直至其信任憑據(jù)過期。

1.4 信任關(guān)系建立過程

以圖2中節(jié)點A，C之間建立信任關(guān)系為例，描述異構(gòu)域間節(jié)點建立信任關(guān)系的具體過程如下:

（1）發(fā)起方發(fā)送請求消息

不妨假設節(jié)點C為發(fā)起方，節(jié)點C在本地查找節(jié)點A的信任憑據(jù)，若信任憑據(jù)不存在或者已經(jīng)失效，則向BN發(fā)送請求消息，申請與節(jié)點A建立信任關(guān)系。為確保雙方節(jié)點身份的保密性，請求消息用BN的公鑰加密。

（2）簽發(fā)信任憑據(jù)

BN從收到請求消息到到簽發(fā)信任憑據(jù)的基本業(yè)務流程如圖3所示。

圖3 BN的基本業(yè)務流程

當收到請求消息后 （仍假設節(jié)點C為發(fā)起方，下同），BN要根據(jù)請求消息加密類型選擇解密密鑰，故首先判斷請求消息的來源。由于節(jié)點C為IBE域用戶，故用SKIBE解密密文；若來源為PKI域，則用SKPKI解密密文。解密后得到雙方身份標識，根據(jù)節(jié)點C身份標識計算其公鑰；在PKI系統(tǒng)內(nèi)查詢節(jié)點A的PKI證書，驗證證書真實有效并獲得其公鑰。BN利用身份標識和公鑰生成雙方的信任憑據(jù)，并用節(jié)點A的公鑰加密后一并發(fā)送至A。

（3）建立信任關(guān)系

當節(jié)點A收到BN的信任憑據(jù)后，首先解密獲得兩個信任憑據(jù)，分別表示為MA、MC。驗證簽名信息和有效期，確定MC真實有效，得到節(jié)點C的身份標識與公鑰，建立A對C的單向信任；然后將MA用節(jié)點C的公鑰加密轉(zhuǎn)發(fā)給節(jié)點C，節(jié)點C收到信息后，對消息進行解密，驗證簽名信息和有效期，確定MA真實有效，得到節(jié)點A的公鑰，建立C對A的信任關(guān)系。至此，跨異構(gòu)信任域信任關(guān)系建立完成。

2 基于BN設計的一種信任關(guān)系建立協(xié)議

根據(jù)信任模型設計異構(gòu)信任域中節(jié)點之間信任關(guān)系建立協(xié)議 （以下簡稱BN－TRB協(xié)議），并分析協(xié)議的正確性、安全性和效率。

2.1 BN－TRB協(xié)議

2.1.1 前提與約定

為下文描述方便，給出如表1所示的符號約定。

表1 符號約定

在協(xié)議設計中預設了如下前提:

（1）BN是可信的第三方，具有簽發(fā)信任憑據(jù)的能力；

（2）BN已經(jīng)獲得PKI證書，可以和PKI域內(nèi)其他節(jié)點建立信任關(guān)系；

（3）PKG已經(jīng)為BN生成密鑰，可以與IBE域內(nèi)其他節(jié)點建立信任關(guān)系。

2.1.2 協(xié)議描述

BN－TRB協(xié)議由3個消息組成，如圖2所示，A表示PKI域中的一個實體，C表示IBE域中的一個實體。

①C→BN:D1EPKIBE（IDC）IDAt）Sign1

節(jié)點C發(fā)送請求消息，其中D1表明請求消息來源為IBE域；請求節(jié)點與被請求節(jié)點的身份標識和時間戳t，用BN的IBE 公 鑰 加 密；Sign1＝SignSKC（EPKIBE（IDC IDAt））為節(jié)點C的簽名。BN收到請求消息后，根據(jù)圖3所示步驟生成雙方信任憑據(jù):MA＝IDAKAT1SignSKIBE（IDAKAT1），MC＝IDCKCT2SignSKPKI（IDCKCT2）。

②BN→A:EPKA（MAMC）

BN將MA和MC使用A的公鑰加密，將密文發(fā)送到A。A解密消息后，得到兩個信任憑據(jù)MA和MC，驗證MC中BN的簽名信息及有效期。

③A→C:EPKC（MA）

A將自己的信任憑據(jù)MA用KC加密后發(fā)送給C，C解密得MA，驗證MA中BN的簽名信息及有效期。

在以上的過程中，若對信任憑據(jù)的簽名信息驗證失敗或憑據(jù)已過有效期，即中止協(xié)議的執(zhí)行。

2.2 BN－TRB協(xié)議分析

2.2.1 BN－TRB協(xié)議正確性分析

BN－TRB協(xié)議正確性分析的目標是通過分析，證明協(xié)議過程可以為跨域雙方正確建立信任關(guān)系。

（1）信任關(guān)系的謂詞邏輯定義

定義1 模型元素

Cert:信任憑證，在本協(xié)議中PKI證書和BN簽發(fā)的信任憑據(jù)統(tǒng)稱為信任憑證；

E:實體集合，可以是信任憑證的使用者、驗證者和簽發(fā)者。我們定義使用者和驗證者為用戶實體，簽發(fā)者為權(quán)威實體；

T:表示時間段[t1，t2]；

D:信任域集合，D＝｛d1，d2｝；

P:策略集合P＝｛p1，p2｝＝｛pd1，pd2｝。pi表示一個信任憑證簽發(fā)策略，pdi表示信任域pi內(nèi)的信任憑證簽發(fā)策略。

定義2 謂詞邏輯

①權(quán)威信任:TA（A，B，i）／＜P，T＞ 。該關(guān)系表明實體A信任實體B為權(quán)威實體，在時間段T內(nèi)，具有可信簽發(fā)符合策略集P的信任憑證的能力。當i＝0時，表示實體B可以簽發(fā)用戶實體的信任憑證，i＝1時表示實體B可以為其他權(quán)威實體簽發(fā)信任憑證；

②公鑰真實:TK（A，B）／＜P，T＞。該關(guān)系表明實體A相信實體B在時間段T內(nèi)，在策略集P下的公鑰是真實的；

③憑證有效:TC（A，Cert）／t。實體 A在t時刻相信信任憑證Cert有效；

④憑證簽發(fā):Cert（A，B，i）／＜P，T＞ 。實體A在策略集P下為實體B簽發(fā)信任憑證，此憑證在時間段T內(nèi)有效。同樣，當i＝0時，表示給實體B簽發(fā)的是用戶實體的信任憑證，i＝1時表示給實體B簽發(fā)的是權(quán)威實體的信任憑證。

定義3 推導規(guī)則

①公鑰真實規(guī)則:給定A，B，C∈E，A∈d1，B∈d2。若TA（A，B，0）／＜P1，T1＞，TC（A，Cert（B，C，0）／＜P2，T2＞）／t，其中t∈｛T1，T2｝，P1，P2∈Pd2，則可以推出TK（A，C）／＜p，T＞，其中策略p為P1，P2的映射，T＝[t，max （T1∩T2）]；

②信任傳遞規(guī)則:給定A，B，C∈E，其中A∈d1，B∈d2。若TA（A，B，1）／＜P1，T1＞，且TC（A，Cert（B，C，1）／＜P2，T2＞）／t，其中t∈｛T1，T2｝，P1，P2∈Pd2，則可以推出TA（A，C，0）／＜P，T＞，其中P∈P1∩P2，T＝[t，max （T1∩T2）]。

（2）BN－TRB協(xié)議的信任關(guān)系推導

利用以上定義進行信任關(guān)系推導:

①A驗證BN具有簽發(fā)信任憑據(jù)的能力:根據(jù)信任傳遞規(guī)則，若TA（A，C，A，1）／＜P1，T1＞，TC（A，Cert（CA，BN，0）／＜P2，T2＞）／t1，則TA（A，BN，0）／＜P，T3＞，其中P∈P1∩P2，T3＝[t，max （T1∩T2）]，P1為CA簽發(fā)用戶PKI證書的策略，P2為CA為其他權(quán)威實體簽發(fā)信任憑據(jù)的策略。

②BN為節(jié)點C簽發(fā)信任憑據(jù):TK（BN，C）／＜P3，T4＞，Cert（BN，C，0）／＜P4，T5＞，其中P3為IBE系統(tǒng)生成用戶公私鑰對策略，P4為BN簽發(fā)信任憑據(jù)策略。

③節(jié)點A相信節(jié)點C公鑰真實，建立單向信任:TA（A，BN，0）／＜P，T3＞，TC（A，Cert（BN，C，0）／＜P4，P5＞）／t2，根據(jù)公鑰真實規(guī)則有:TK（A，C）／＜p，T6＞，即A相信C公鑰真實，其中p為策略P，P4的映射。

同理，節(jié)點C可以獲得節(jié)點A的真實公鑰。通過推導可以證明，BN－TRB協(xié)議可以為跨域雙方建立信任關(guān)系。

2.2.2 BN－TRB協(xié)議安全性分析

BN－TRB協(xié)議的安全性，包括消息交互過程的安全性和信任憑據(jù)安全性。

消息①經(jīng)加密后傳輸，只有BN可以解密消息，提供了雙方節(jié)點身份的保密性；用域標識標明請求消息來源，避免了直接使用節(jié)點身份標識造成的身份泄露；加入時間戳，確保請求消息的新鮮性，防止惡意節(jié)點的重放攻擊；加入請求節(jié)點的簽名信息，防止惡意節(jié)點的冒充。

消息②利用KA加密，將MA、MC發(fā)送給A，再經(jīng)消息③將MA發(fā)送給C。這樣將原本應由BN向C發(fā)送的消息給A發(fā)送，可以減少BN與無線網(wǎng)絡間的通信次數(shù)，提高BN作為信任模型核心節(jié)點的安全性。

當然，為防止節(jié)點A或其他節(jié)點對MA的非法使用或篡改，制定了如下安全措施:

首先，信任憑據(jù)中加入BN簽名信息和時間戳，其他節(jié)點無法進行偽造或重放攻擊，保證了信任憑據(jù)的真實性。其次，模型制定了信任憑據(jù)的管理機制，包括憑據(jù)的簽發(fā)、存儲、更新及撤銷機制，保證了信任憑據(jù)在其生命周期內(nèi)的安全性。

可見，協(xié)議保證了模型中安全信息的機密性、完整性和可驗證性，可以在異構(gòu)信任域間可靠地建立信任關(guān)系。

2.2.3 BN－TRB協(xié)議效率分析

協(xié)議效率分析主要從消息條數(shù)和計算量兩個方面進行，本文列舉兩個類似協(xié)議方案[7，10]作對比分析如表2所示。

表2 3個同類型協(xié)議的效率對比

其中EIBE、SIBE分別表示在IBE系統(tǒng)下的加密與簽名運算，EPKI、SPKI分別表示在PKI系統(tǒng)下的加密與簽名運算；方案1的4條消息中未包含對域的認證過程，需要跨域傳遞2次PKI證書并進行證書驗證；本文方案情形1是IBE域內(nèi)節(jié)點發(fā)起的協(xié)議過程，情形2是由PKI域內(nèi)節(jié)點發(fā)起。

3 結(jié)束語

本文首先描述了一種有線網(wǎng)絡與無線網(wǎng)絡組合的混合網(wǎng)絡模型，分析了混合網(wǎng)絡中存在的安全問題，并針對問題設計了一個基于橋節(jié)點的異構(gòu)信任域信任模型。該模型通過橋節(jié)點簽發(fā)的信任憑據(jù)，解決PKI信任域中節(jié)點和IBE信任域中節(jié)點建立信任關(guān)系的問題。根據(jù)信任模型，設計信任關(guān)系建立協(xié)議，并進行協(xié)議的正確性分析和性能分析，證實了協(xié)議的可行性和有效性。但是當混合網(wǎng)絡規(guī)模巨大時，會帶來橋節(jié)點的效率降低和單點失效問題，因此今后將會對分布式信任模型進行研究。

[1]GUAN Zhengsheng.Public key infrastructure（PKI）and its applications[M].Beijing:Publishing House of Electronics Industry，2008（in Chinese）.[關(guān)振勝.公鑰基礎(chǔ)設施PKI及其應用[M].北京:電子工業(yè)出版社，2008.]

[2]Boneh D，F(xiàn)ranklin M.Identity－based encryption from the weil pairing[C]／／Advances in Cryptology CRYPTO，Berlin:Springer－Verlag，2001:213－229.

[3]ZHANG Sheng，XU Guoai，HU Zhengming，et al.Research on trust model in Ad hoc networks[J].Application Research of Computers，2009 （12）:100－105 （in Chinese）.[張勝，徐國愛，胡正名，等.Ad hoc網(wǎng)絡信任模型的研究[J].計算機應用研究，2009 （12）:100－105.]

[4]XU Shu.Authentication scheme using identity－based signcryption[J].Computer Engineering and Design，2008，29 （24）:6269－6271（in Chinese）.[徐述.基于身份簽密的身份認證模型[J].計算機工程與設計，2008，29 （24）:6269－6271.]

[5]LI Yanzhao.The electronic authentication ushered in a new development opportunitie[EB／OL].[2011－01－08].http:／／security.zdnet.com.cn／security＿zone／2010／1015／1912954.shtml（in Chinese）.[李延昭.電子認證迎來發(fā)展新機遇[EB／OL].[2011－01－08].http:／／security.zdnet.com.cn／security＿zone／2010／1015／1912954.shtml.]

[6]Zhang Nan，Lin Jingqiang，Jing Jiwu.RIKE:Using revocable identities to support key escrow in PKIs[C]／／Applied Cryptography and Network Security.Berlin:Springer－verlag，2012:48－65.

[7]YANG Bin.Research on the combination of identity－based cryptographic techniques and public key infrastructure[D].Zhengzhou:PLA Information Engineering University，2009 （in Chinese）.[楊斌.IBC和PKI組合應用研究[D].鄭州:解放軍信息工程大學，2009.]

[8]BAO Lei.The research of PKI cross－domain bridge trust model based on validation agent[D].Shanghai:Shanghai Jiaotong University，2011（in Chinese）.[包蕾.基于驗證代理的PKI跨域橋接信任模型研究[D].上海:上海交通大學，2011.]

[9]XU Peng，CUI Guohua，F(xiàn)U Cai，et al.A more efficient accountable authority IBE scheme under the DL assumption[J].Science China （Information Science），2010，53 （3）:581－592.

[10]YANG Bin，CHEN Guoqing，SUN Yonghong.Research of a new identity－based authentication model for multi－Domain[J].Computer Security，2010 （8）:15－18 （in Chinese）.[楊斌，陳國慶，孫永紅.一種新的基于身份的多信任域認證模型研究[J].計算機安全，2010 （8）:15－18.]