基于對等網絡的PPAA模型研究

摘 要:不同于傳統的C/S架構，對等網絡結點兼具服務器和客戶機的雙重身份，對于自身隱私的保護和對方的身份認證也就同時成為每一個對等節點必需考慮的安全問題。針對典型混合式結構的P2P網絡，提出依靠假名的雙向認證體系，在多次通訊前提下能既保證結點敏感信息安全，同時又承擔相應的信息問責。

關鍵詞:匿名認證; k-Times證書; 加密握手; 點對點匿名認證

中圖分類號:TP393.08 文獻標識碼:A

文章編號:1004-373X(2010)07-0125-03

PPAA Model Based on Peer-to-Peer Network

JIANG Shen

(Department of E-Business， Bohai University， Jinzhou 121000， China)

Abstract:The peer-to-peer network node which is different from the traditional C/S framework are equipped with the both servers and clients. Its own privacy protection and ID authentication for others are security problems considered by each peer node. Aiming at a P2P network withtypical hybrid structure， a two-way authentication system relies on pseudonyms that can guarantee the security of nodes'sensitive information and bears the corresponding information accountability under the premise of various communications.

Keywords:anonymous authentication; k-Times certificate; secret handshake; peer-to-peer anonymous authentication

0 引 言

隨著P2P網絡應用的興起，傳統C/S架構的安全認證模型已經不能滿足所有節點的安全認證需要。要保證結點間通訊的隱私安全和必要問責，PPAA(Peer-to-Peer Anonymous Authentication)概念應運而生。

如今的網絡已經可以通過傳統的認證機制(訪問控制或身份驗證)來核實請求服務的用戶端身份。但是現有的Kerberos系統和標準公密鑰體系(PKI)中用戶必須放棄他們個人信息的私密性來通過驗證。相反，一味追求用戶隱私的保密性而無需承擔發布責任也是不切實際的，用戶結點沒有對責任追究的恐懼，就很難約束其行為。

1 研究背景

現有的k-Times匿名認證只能在結點來自同一個服務器時用標簽惟一地標識對方。這樣的標簽體系在同一個客戶節點連接另外一個可連接服務器的時候就失去了其全局有效性，客戶端不能做到每次認證都使用同一個惟一的標簽。

秘密握手(SHSs)也只允許相同組的成員之間不暴露各自的組屬性的前提下共享一個會話密鑰。同時由于SHSs的非連接性，無法認定來自同一結點的重復通訊，進而導致惟一性的缺失和欺騙的可能。

兩者都不具備如今P2P網絡的多服務器多角色的全局相互識別能力。

2 框架的提出

基于已有的匿名認證體系，結合點對點網絡特點提出改進的初步方案。

2.1 將“可鏈接內容”引入認證方案

可鏈接內容(以下簡稱LC)是確定認證可鏈接性運行于框架中的屬性集聚。特指當只有兩個認證同時進行或者當可鏈接內容的屬性擁有相同約束前提的時候。

在K-TAA中，只有來自同一個客戶端且同時運行的認證是可鏈接的。K-TAA的可鏈接內容是LC =(client-ID，time)即身份和時間的聚集。

在結點隱私信息的結尾是常規認證體系的數字簽名，這使任何的兩個認證都是可連接的。這些鏈接內容盡管沒包括有價值信息，即LC =，這里可鏈接的內容是即時的認證即LC =(authen-run-ID)[1]。

PPAA中的可鏈接內容:正確選擇可鏈接內容是建立PPAA的第一步。在本次設計中，PPAA可鏈接內容是客戶端和服務器端身份的無序對和對應事件，這是執行PPAA認證的必要前提。

LC={{client-ID，server-ID}，event-ID}

設計PPAA的理想前提是認證的運行是可鏈接的，并且應該是被執行在同一對對等節點之間的同一個事件。

2.2 PPAA設計的核心觀點

首先，面向事件的可關聯組以及K-TAA雖然因為服務器端的驗證不在其可鏈接的內容中不能作為PPAA框架的安全手段。但是可以通過映射一個事件(例如時間)進入服務器驗證的方法使其成為面向事件的可鏈接內容[2]。其次，LC(client-ID，server-ID)在同一用戶到不同的服務器認證情況下也不可鏈接。帶有加密xi的客戶端i針對服務器j形成標簽ti， j=gxi j，其中，gj是服務器端參數。由此同一個節點的標簽對于不同服務器來講是絕對不可鏈接的。

構建安全的PPAA需要設計全新的標簽:

(1) 標簽必須以客戶端，服務器端和事件的特征為生成基礎;

(2) 只有來自于同一對結點的共同事件的標簽是可鏈接的;

(3) 結點必須具有生成標簽和向未知的其他節點證明標簽合法性的能力。

3 解決方案

3.1 基本的PPAA

假設已知有Diffie-Hellman協議描述下的組G1，使H:{0，1}*→G1作為秘密密鑰的哈希函數，事件識別碼是任意長度的字符串。每一個用戶由GM頒發一個數字證書cred=(A，x，y)∈G1×Z2p，其中x，y∈RZp，A值在所有的證書中不同。在基本框架中，函數f輸出的標簽，同時作為節點初始化證書ced1=(A1，x1，y1)的輸入，回應節點cre2=(A2，x2，y2)并且事件ID為eid[3]。函數定義如下:

f:(ced1，crd2，eid) →tag={τ1，τ2}

其中:τ1=Ax21H(eid)y1 ;τ2=Ax12H(eid)y2。

協議框架:以初始節點Alice(crd1=(A1，x1，y1))和回應節點Bob(crd2=(A2，x2，y2))在事件(eid)中為例，協議完成后，他們各自輸出一個標簽。

(1) Alice→Bob:

=，r1∈RZp。

(2) Bob→Alice:

=，r2∈RZp。

(3) Alice→Bob:

=。

(4) Bob→Alice:

< τ2>=。

(5) Alice和Bob都輸出標簽tag={τ1，τ2}=f(cred1，cred2，eid)然后終止。

3.2 詳細的協議模型

為了進一步保證協議參與結點的規范行為需要引入必要的機制，例如采用SPK[4]框架來進一步約束協議中每一步的正確性。這里，引入與G1同樣描述的G2，使(G1，G2)成為被q-SDH(q-Strong Diffie-Hellman)假定約束平行的一對組。讓λ成為多項式中使λ足夠大的安全參數。使g1，g2，…，g5∈G1成為G1的原始構成，這樣就使相關在g1，g2，…，g5和g0間的離散對數未知。讓H:{0，1}*→Z作為秘密密鑰算法的哈希函數，H可以被體系中的各個SPK使用。

設定:GM隨機選擇γ∈RZp并計算ω=hγ0∈G2。組密鑰是gsk=(γ)，組公鑰是gpk=(ω)。

注冊:當用戶Alice和GM的協議成功完成，Alice由cred=(A，e，x，y，z)∈G1×Z4p得到一個證書cred，并且Ae+r=g00gx1gy2gz3。向GM輸入的私鑰是所管轄組的秘密密鑰gsk。協議運行如下:

(1) GM向Alice發送，其中N0∈R{0，1}l是隨機的。

(2) Alice發送給GM，其中C=gx1gy2gz3∈G1是(x，y，z)∈RZ3p的委托，Ⅱ0是消息M=N0‖C SPK{(x，y，z):C=gx1gy2gz3}(M)的數字簽名依據。它可以證明C的正確與否，同時參照上面的SPK作為SPK0。詳細流程如下:

(3) 如果Ⅱ0的認證返回無效，那么GM會在失敗處終止。否則GM向Alice發送，其中e，z2∈RZp并且A=(g0Cgz23)1/e+γ∈G1。

(4) Alice的計算機端z=z1+z2。如果ê(A，wheo)≠ê(g00gx1gy2gz3，h00)，她也終止于這個失敗。否則她輸出的cred=(A，e，x，y，z)就作為她的證書。

驗證 Alice(作為發起人)和Bob(作為響應)在一個帶有標識符 eid∈(0，1)*的事件中要相互驗證彼此。Alice和Bob共同的輸入是eid，不同的輸入是Alice和Bob他們自己的私有證書，分別是(A1，e1，x1，y1，z1)和(A2，e2，x2，y2，z2)[5]。輸入標簽tag1，tag2判斷連接驗證通過，如果他們相等，算法返回已連接，否則告知未連接。

4 討 論

(1) 認證的密鑰交換

PPAA的認證協議可以很容易地轉換成認證的Diffie-Hellman密鑰交換[6]。初始化結點把m1，元素ga0(a∈RZp)包含在認證協議的第一步中。響應結點也把m2， gb0(b∈RZp)包含在認證協議的第三步中[7]。當協議終止時，他們可以使用gab0=(ga0)b=(gb0)a作為共享的會話密鑰。由于m1，m2分別有SPK1，SPK2的簽名，兩個節點可以使用會話密鑰建立一個擁有PPAA式平等隱私和問責的秘密信道[8]。

(2) PPAA和秘密握手的綁定

匿名握手不支持由服務器發起的可鏈接請求。另外，PPAA也缺乏主動的對等組中任何可能不是同組結點的響應結點的聯系，這是二者優勢互補的前提[9]。兩個組的成員首先運行一個匿名的秘密握手來驗證對方的組屬性，并建立一個秘密通道，然后在此基礎上運行PPAA的認證。此外，使用秘密通道進行PPAA認證，還可以預防鏈接認證流上的竊聽[10]。

(3) 對等節點的公平性

在本文提到的PPAA體系中，對應的對等節點可以在收到發起節點協議的第三步惡意中停止協商，也就是可以在學習發起者標簽的同時不給發起者學習己方標簽的機會。于是兩個對等節點在本體系中仍然存在非完全的公正。

5 結 語

本文提出的對等網絡上的匿名身份驗證(PPAA)較好地平衡了對等結點的網絡隱私保護和對應的問責，使這種P2P網絡中的結點也具有了全局雙向的對等身份，為每一個網絡用戶提供了公正的安全協議框架。

參考文獻

[1]ATENIESE Giuseppe， BLANTON Marina， KIRSCH Jonathan. Secret hands hakes with dynamic and fuzzy matching [M]. NDSS: The Internet Society， 2007.

[2]AU Man Ho， SUSILO Willy， MU Yi. Constant-size dynamic-taa[J]. SCN， 2006， 4116: 111-125.

[3]AU Man Ho， SUSILO Willy， YIU Siu-Ming. Event-oriented k-times revocable-if-linked group signatures[M]. [S.l.]: ACISP， 2006， 4058: 223-234.

[4]BELLARE Mihir， ROGAWAY Phillip. Random oracles are practical: a paradigm for designing efficient protocols.In Proceeding of the1st ACM conference on computer and communications security[C]. [S.l.]: ACM Conference on Computer and Communications Security， 1993.

[5]CAMENISCH J， ROSENBERGER S， WEISS M U K， et al. How to win the clone wars: effcient periodicn-times anonymous authentication[J]. Computer and Communications Security， 2006， 35: 201-210.

[6]RAYA Maxim， HUBAUX J P. Securing vehicular ad hoc networks[J].Journal of Computer Security， 2007， 15(1): 39-68.

[7]TPM Work Group. TCG TPM speciffcation version 1.2 revision103[M]. [S.l.]: Trusted Computing Group， 2007.

[8]TSANG P P， SMITH S W. PPAA: Peer-to-peer anonymous authentication[J]. ACNS， LNCS. Springer， 2008， 104: 310-325.

[9]TSUDIK T， XU Shouhuai. A flexible framework for secret handshakes[J]. Philipp Golle， Privacy Enhancing Technologies， 2006， 4258: 295-315.

[10]XU Shouhuai，YUNG Moti. K-anonymous secret handshakes with reusable credentials[C]. [S.l.]: ACM Conference on Computer and Communications Security， 2004.