基于動態(tài)群簽名的802.11s Mesh網(wǎng)絡接入認證

梁亮理

（婁底職業(yè)技術(shù)學院，湖南 婁底 417000）

0 引言

現(xiàn)有的WLAN采用單跳固定AP，存在覆蓋范圍有限、各熱點相互干擾、網(wǎng)絡性能受單節(jié)點 AP限制、穩(wěn)定性不高等缺陷。而在Mesh網(wǎng)絡中，Mesh WLAN接入點（MP）之間可以保持無線互聯(lián)，如果某個節(jié)點的 MP發(fā)生故障，它可以重新再選擇一個MP進行通信，數(shù)據(jù)仍然可以高速地到達目的地。從安全角度來看， MP不同于傳統(tǒng)的AP，它同時執(zhí)行申請者和認證者兩個角色，實現(xiàn)對稱的認證結(jié)構(gòu)。目前主要采用EMSA[1]來實現(xiàn)安全接入。

提出了Mesh WLAN接入的完整解決方案：提出了一種新的接入認證協(xié)議，結(jié)合動態(tài)群簽名技術(shù)使整個接入認證過程只需要四輪的協(xié)議交互便可以實現(xiàn) MP之間的相互認證和密鑰確認，降低時間復雜性；并要求支持移動設(shè)備在不同安全域之間的快速切換；確保在保證安全性的同時計算性能和通信性能都優(yōu)于現(xiàn)有協(xié)議。

1 動態(tài)群簽名技術(shù)

群簽名允許群體中的任意成員代表群以群的名義進行匿名簽名。一個群簽名方案中一般的參與方包括:群管理員即WLAN Mesh網(wǎng)絡中的認證服務器AS，群成員即申請者S以及簽名驗證方即認證者A。AS通常履行系統(tǒng)參數(shù)的選取和設(shè)置，S的撤銷和加入，以及協(xié)助A打開有爭議的群簽名等職責。一旦所產(chǎn)生的簽名引起爭議或疑問，AS能夠識別出生成該簽名的真實簽名人的身份，確認其是否加入安全域。管理員能夠識別出生成該簽名的真實簽名人的身份。群簽名方案可以分為動態(tài)群簽名和靜態(tài)群簽名兩類。在一個群簽名方案中，如果系統(tǒng)確立之后，還允許加入和撤銷成員，則該群簽名方案稱為動態(tài)的，否則就稱為靜態(tài)的[2]。在802.11s Mesh網(wǎng)絡接入認證過程中，因為 MP是需要隨時加入，所以應該采用動態(tài)群簽名算法。

2 802.11s Mesh網(wǎng)絡接入認證

2.1 系統(tǒng)模型

Mesh WLAN通信系統(tǒng)中存在MP，Mesh密鑰分發(fā)者MKD及認證服務器AS三類實體（如圖1）。AS中存儲了群簽名證書和所有MP的個體證書，每個MP只須存儲一個證書，即 AS的證書。這樣在協(xié)議交互過程中就不需要傳遞證書了，從而縮短了消息的長度。另外認證者MKD負責成員加入，生成簽名，必要時進行簽名驗證，是認證服務器 AS管理的安全網(wǎng)絡的合法實體，因此MKD和AS已經(jīng)建立安全信道。當一個新的MP移動到Mesh網(wǎng)絡時，通過合法鄰居MP獲得所屬MKD的簽名信息，并用群私鑰生成自已的簽名。AS的行為是可信的，它由ISP管理，負責系統(tǒng)的建立，匿名性揭示，認證者通過安全信道傳遞來的認證請求之后會誠實地返回正確的應答。同時為了保證應答的真實性，AS對應答消息進行簽名（用私鑰進行簽名或者用群公鑰計算 MAC），MP和MKD均相信具有正確簽名的應答消息的權(quán)威性。

2.2 基于動態(tài)群簽名技術(shù)的 802.11s Mesh網(wǎng)絡接入認證協(xié)議

該協(xié)議通過動態(tài)群簽名技術(shù)實現(xiàn)MP和AS以及MP和MKD之間的相互認證。MP和MKD通過AS來傳遞信任關(guān)系，實現(xiàn)間接的相互認證。在協(xié)議中進行了兩次不同的群密鑰交換（MP和AS，MP和MKD），因而AS得不到MP和MKD之間的共享密鑰。新的MP通過該認證協(xié)議接入到無線Mesh網(wǎng)絡后，不再需要四步握手的顯式密鑰認證。極大的提高了接入認證執(zhí)行的效率，縮短了設(shè)備接入的響應時間[3]。

基于動態(tài)群簽名技術(shù)的 802.11s Mesh網(wǎng)絡接入認證協(xié)議詳細描述如圖2示。

3 協(xié)議安全分析

3.1 基于UC安全模型的證明思路

獲得該協(xié)議的抽象描述為∮，然后構(gòu)造一個安全實現(xiàn)簽名理想函數(shù)Fsig的協(xié)議sρ；再給出密鑰交換的理想函數(shù)FKE，構(gòu)造一個協(xié)議∮’，證明∮’在混合模型 Fsig-hybrid下安全實現(xiàn)了FKE；最后構(gòu)造一個仿真器T進行模擬攻擊，通過模擬攻擊的運行結(jié)果分析，證明協(xié)議是否UC安全[4]。

3.2 UC安全性證明過程：

（1）協(xié)議的抽象描述

基于2.2節(jié)的描述，給出基于動態(tài)群簽名技術(shù)的802.11s Mesh網(wǎng)絡接入認證協(xié)議的抽象描述∮，如下所示：其中，M為協(xié)議發(fā)起者，A為協(xié)議響應者； GX,GY, GZ為用于群密鑰交換的臨時公鑰值；Λ為身份認證信息；β為消息認證碼；N為隨機數(shù)。

（2）構(gòu)造實現(xiàn)理想函數(shù)Fsig的協(xié)議ρs

協(xié)議參與者 Pi與 Pj，運行基于動態(tài)群簽名算法Sig=(gen， sig， ver)的協(xié)議ρs，進行交互。Pi收到輸入(signer， id)后執(zhí)行算法gen，保留簽名密鑰s，將驗證密鑰v發(fā)送給Pj；當Pj需要對某消息m進行簽名，則將(sign，id，m)發(fā)送給Pi；Pi令 σ= sig(s， m)，并將(signature， id， m，σ)發(fā)送給Pj；當Pj需要對某消息m簽名進行驗證，則將(verify，id，m，σ)發(fā)送Pi；Pi則輸出(verified， id， m， ver(v，m，σ))給Pj。

（3）構(gòu)造基于密鑰交換理想函數(shù)FKE的協(xié)議∮’

令p和q為大素數(shù)，k為安全參數(shù)，q長為 k比特且q/p-1，g是群上階為q的生成元，協(xié)議參與者Pi與Pj；當協(xié)議發(fā)起者Pi得到輸入(Pi，Pj， Sid)，則發(fā)送初始化消息(signer，0， Sid)給Fsig；同樣，當協(xié)議響應者Pj得到輸入(Pj，Pi，Sid)則發(fā)送(signer，1， Sid)給Fsig；協(xié)議發(fā)起者Pi隨機選擇 NI,1←Zp，并計算γ=GZ，然后發(fā)送給Pj；Pj收到起始信息后，隨機選擇 NR←Zp，計算α=GX和K1并發(fā)送給Fsig，得到其返回M1的簽名σj后，計算最后發(fā)送給Pi。當Pi收到發(fā)送給 Fsig，如果驗證通過，則計算K1并驗證φj，驗證通過后計算β=Gy和K2并發(fā)送(sign， 0， Sid， M2)給Fsig；得到簽名σi后，分別用K1和K2計算最后發(fā)送給Pj。

（4）構(gòu)造一個理想環(huán)境下的仿真器T

T運行一個模擬的攻擊者U，并按下面的規(guī)則進行操作：

當T從FKE處收到(Sid， Pi， Pj， rol e )，則表明Pi發(fā)起了認證密鑰交換，那么讓T仿真出Fsig及Fsig–hybrid下與U交互的協(xié)議π'，并給定同樣的輸入。并且T讓U和Pi按照π'的執(zhí)行規(guī)則輸出；為了仿真π'的執(zhí)行，T可以激活Fsig得到相應的簽名值σ；T計算 K '= HKD(K ,*)及 φ= Hβ(K ',*)，其中K是FKE給Pi和Pj的密鑰輸出；當π'中的某個Pi產(chǎn)生了本地輸出，如果對端Pj沒有被攻陷，則T將FKE的輸出發(fā)送給Pi；如果Pj已被攻陷，F(xiàn)KE則讓T決定密鑰，而T則使用Pi前面的輸出來確定仿真的Pi與Pj的本地輸出；當U執(zhí)行攻陷Pi的操作，T同樣攻陷Pi。如果FKE已經(jīng)給Pi發(fā)送了密鑰，則T將得到該密鑰；如果Pi和Pj均沒有產(chǎn)生本地輸出，則T將其內(nèi)部狀態(tài)傳遞給U，包括它們的秘密選值；如果Pi或Pj其中一方已經(jīng)產(chǎn)生了本地輸出，則它們的臨時私鑰均被擦除，所以T直接將本地輸出的密鑰傳遞給U。

（5）分析執(zhí)行結(jié)果

當采用仿真器 T進行接入認證時，設(shè)其輸入是(p, q, g,α*,β*, γ*)，則當γ＊是 π'運行后Pi與Pj輸出的真實密鑰時，這種情況下，可以得到本地輸出，其視角等同于Fsig-hybrid下π'與U所進行的交互；當γ＊是個隨機值時，則等同于理想模型下T與FKE所進行的交互，因為理想環(huán)境下，F(xiàn)KE發(fā)送給Pi與Pj的密鑰恰好是它自己選出的隨機值。根據(jù)DDH假設(shè)，成功區(qū)分γ＊是真實密鑰還是隨機值的概率等于AS認證者成功辨別理想和混合兩種環(huán)境的概率，即能以1/2加上不可忽略的優(yōu)勢ε成功區(qū)分兩者，而這與DDH假設(shè)矛盾，所以得證，即該協(xié)議是UC安全的。

4 結(jié)語

Mesh無線網(wǎng)絡采用的802.11s 標準將于2011年正式頒布，在接入認證、管理帶寬、安全性和QoS等方面還值得研究。由于Mesh網(wǎng)絡天生具備動態(tài)性，其拓樸結(jié)構(gòu)隨時會發(fā)生變化，所以能滿足性能和可靠性要求的接入認證是研究的重點。提出了一種新的802.11s Mesh網(wǎng)絡接入?yún)f(xié)議，該協(xié)議采用動態(tài)群簽名技術(shù)，解決了目前接入認證協(xié)議中認證過程復雜，移動性不強等缺點。該協(xié)議理論上能有效提高接入認證過程的效率，并保證安全性，但在具體應用過程中仍有部分細節(jié)有待優(yōu)化。

[1] 王思涵.WLAN Mesh網(wǎng)絡接入認證技術(shù)研究[D]. 鄭州：解放軍信息工程大學，2009.

[2] 張瑞華,張紅.無線傳感器網(wǎng)絡分簇算法分析與性能比較[J].通信技術(shù),2010,43 (01):156-158,161.

[3] 王思涵, 郭淵博, 劉偉. 一種基于WLANMESH網(wǎng)絡中的EAP-TLS接入認證方案[J]. 通信技術(shù),2010,43(02):188-190,194.

[4] 吳振強. 無線局域網(wǎng)安全體系結(jié)構(gòu)及關(guān)鍵技術(shù)[D]. 西安：西安電子科技大學，2007.