移動網絡可信匿名認證協議

張鑫　楊曉元　朱率率

摘要：針對終端接入移動網絡缺乏可信性驗證問題，提出一種移動網絡可信匿名認證協議，移動終端在接入網絡時進行身份驗證和平臺完整性認證。在可信網絡連接架構下，給出了可信漫游認證和可信切換認證的具體步驟，在認證時利用移動終端中預存的假名和對應公私鑰對實現了用戶匿名隱私的保護。安全性分析表明，協議滿足雙向認證、強用戶匿名性、不可追蹤性和有條件隱私保護。協議中首次漫游認證需要2輪交互，切換認證需1輪即可完成，消息交換輪數【和終端計算代價優于同類可信認證協議。

關鍵詞：可信計算；可信網絡連接；移動網絡；漫游認證；可信認證

中圖分類號：TP309.7

文獻標志碼：A

0引言

無線網絡技術迅速發展，移動網絡變得越來越普遍。在移動網絡中，由于本地網絡覆蓋范圍有限，當用戶移動到本地網絡之外時，為獲得通信服務，須同外地網絡進行驗證才能使用外地網絡資源。但移動網絡存在多種安全威脅，移動終端也存在軟硬件被篡改（病毒感染、植入木馬等）或軟件存在漏洞、版本過期，不僅影響用戶的信息安全，也是整個網絡的安全隱患。

為了確保移動設備的安全，同時考慮到移動終端在處理器、電源容量和存儲空間等的限制，可信計算組織（Trusted Computing Group， TCG）[1]的移動電話工作組以可信平臺模塊（Trusted Platform Module， TPM）為基礎，針對移動設備的特性進行了重新定義和修改，發布了可信移動模塊（Mobile Trusted Module，MTM）規范。同時為了解決網絡訪問控制中存在的安全問題，TCG還提出了將可信計算技術同網絡接入控制技術相結合的可信網絡連接（Trusted Network Connect， TNC）[2]。終端在接入網絡時，首先對終端的身份進行驗證，接著完整性度量層會對終端軟、硬件的狀態進行檢查：若度量的狀態滿足指定的安全策略則允許終端接入網絡；否則，對終端進行隔離修復，將終端的可信狀態擴展到整個網絡。在2011年12月，TCG組織發布了架構指導“ARCHITECTS GUIDE： Mobile Security Using TNC Technology”[3]，對TNC架構下的移動安全設計方面的問題給出了指導。

TNC架構下的移動網絡接入引起了學術界的關注，文獻[4]在分析可信網絡連接架構存在的安全缺陷后，提出了一種可證明安全的可信網絡連接模型；文獻[5]提出了移動互聯網下可信移動平臺的接入機制，定義了移動互聯網下的本域服務和跨域訪問兩種訪問模式，運用通用組合模型對方案進行了安全性分析；文獻[6]提出了一種無雙線性對無證書的無線局域網（Wireless Local Area Network， WLAN）可信接入協議，將平臺身份和平臺完整性驗證同用戶身份認證結合，并且證明了協議在eCK（extended Canetti-Krawczyk）模型下是安全的；文獻[7]提出了可信無線匿名認證協議，對移動用戶身份和終端平臺可信性進行認證，認證每個階段使用不同的密鑰保證匿名性，但協議執行時外地服務器都需要在本地服務器協助下才完成漫游信息的證明；文獻[8]提出了移動互聯網下移動可信匿名漫游協議，外地網絡通過本地為移動終端頒發的漫游證明完成認證，但用戶變換漫游地時需要重新向本地服務器申請漫游證明。

針對現有文獻可信漫游認證存在的不足，本文提出一種移動網絡可信匿名漫游協議，分別討論了首次漫游接入網絡認證和接入點（Access Point， AP）間高效切換認證，通過移動終端中預存的假名實現用戶的匿名。協議通過基于身份的密鑰交換機制實現用戶認證和密鑰交換，利用可信計算技術完成平臺的完整性驗證。在漫游認證時無需借助本地服務器進行驗證或使用指定漫游地的可信漫游證明，同現有的可信漫游協議相比具有更高的靈活性和實用性。

1協議框架模型

如圖1所示，協議在可信計算下的移動網絡，主要由可信移動終端（Trusted Mobile Node， TMN）、本地驗證服務器（Home Authentication Server， HAS）和外地認證服務器（Foreign Authentication Server， FAS）組成，還包括可信第三方互聯網管理中心——認證中心（Certification Authority， CA）。

本協議基于可信計算技術，協議中的網絡接入實體TMN需要完成用戶身份認證以及密鑰協商，同時還需要認證服務器（Authentication Server， AS）（包括HAS/FAS）完成平臺的身份和完整性的驗證。為簡化協議，給出以下假設：

1）協議中的實體具有可信平臺模塊；

2）同傳統無線網絡一樣，AP和AS之間存在安全信道；

3）AS是可信實體，控制所在整個網絡并且誠實地響應每一個接入請求；

4）TMN已經向隱私證書中心申請了身份認證證書Cert（AIKP）；

5）本地的認證服務器HAS為本地注冊的TMN建立了撤銷列表，并向外提供撤銷列表的查詢下載服務。

本文使用的相關符號定義如下：n為大素數；rA代表A選取的隨機數，IDA代表A的身份標識，pidi標識用戶所使用的第i個假名，CertA代表A的身份證書，〈PKA，SKA〉代表A的一對公私鑰，〈AIKp，AIKS〉代表安全芯片（TPM或MTM）的身份密鑰，Cert（AIKp）代表可信計算平臺的平臺身份密鑰（Attestation Identity Key， AIK）證書，SK-1A代表A的私鑰SKA的求逆運算值，并且要使得用戶的私鑰求逆運算值與公鑰的乘積為常數，即SK-1APKA=Q（Q為常數），2.1節假名的公私鑰在注冊時生成，無需滿足上述要求。

本文使用的相關運算定義如下：E（K，m）和D（K，c）代表使用對稱密鑰進行加密/解密；ENC（SK，m）和DEC（PK，c）分別代表使用非對稱密鑰進行加密/解密運算；SIGA（m）代表A對消息M進行數字簽名；H（m）代表標準散列算法。

3.2用戶匿名性

協議中交互的消息中使用預存的一系列不可鏈接的假名pidi，未出現用戶的真實身份；并且不同的移動終端使用的假名是不同的，其他用戶無法獲得。TMN使用假名加密傳輸給HAS，實現了用戶真實身份對HAS的匿名性，即使假名遭到泄露，攻擊者也無法獲得用戶的真實身份，也無法將截獲的假名同其他通信過程進行關聯。用戶多次訪問網絡都是使用不同的假名，具有不可跟蹤性。

由于撤銷列表RL是由被撤銷用戶假名的散列值構成HPID={H2（pidj），H2（pidj+1），…，H2（pidn）}。FAS進行檢查時將收到的假名先進行散列變化H2=（pidi），再同列表進行匹配。由于散列函數的單項性，FAS僅能判斷收到的假名是否在撤銷列表中，而無法獲得撤銷用戶的所有假名信息。

由于本地認證服務器HAS存儲了用戶所有的假名信息，在緊急情況下HAS可以向法律權威報告用戶所有假名，則用戶的隱私信息（身份、位置等）將不具有匿名性，因此協議滿足有條件的隱私保護。

3.3平臺可信性

在認證服務器安全可靠的情況下，TMN平臺的軟硬件配置信息不會泄露給網絡之中的其他合法用戶，也不會泄露給AP，有效保護了平臺的有效隱私性。終端首次接入外地網絡時，TMN向AP發送了用AIKp簽名PCRs值、AIK證書以及度量日志SML，以證明平臺的完整性。TMN使用AIKp對PCRs值和FAS傳輸過來的隨機值rFAS進行簽名，利用rFAS保證了平臺配置信息的新鮮性；平臺配置信息使用了FAS的公鑰進行加密，避免了平臺配置信息被AP或其他用戶獲知，保證了TMN的匿名性。當TMN在AP間進行切換時，使用FAS頒發的可信證明Tproof進行驗證，由于可信證明Tproof是由FAS的對稱密鑰加密而來，使得AP或其他用戶無法將其與TMN之前所使用的身份綁定，保證了切換時用戶的匿名性不被破壞。

3.4抗平臺替換攻擊

文獻[4]中指出可信網絡接入架構中存在平臺替換攻擊，本文方案是抗平臺替換攻擊的。用戶A和用戶B都是合法用戶，A控制可信平臺PA，B控制不可信平臺PB。若B通過非法手段獲取了用戶A的平臺驗證信息，向驗證服務器申請驗證。因A的驗證信息中封裝了其臨時假名身份pidi，而B無法獲得假名身份的公私鑰信息。所以用戶B無法利用用戶A的平臺驗證信息證明其身份合法性和平臺可信性。

3.5接入認證靈活性

傳統的移動用戶漫游認證方案中，部分采用三方（終端、本地服務器、外地服務器）漫游結構[10-11]，驗證時需要本地服務器參與，可能存在連接失敗或本地服務器單點登錄失敗。而兩方（終端、外地服務器）漫游協議則通常使用一些復雜的密碼技術（例如：組簽名[12]），給用戶和外地服務器帶來了較高的計算開銷。在本文協議中，用戶在外地網絡進行身份驗證和可信驗證時，使用預存的假名PID={pid1，pid2，…，pidn}及其公私鑰對進行匿名通信。本地服務器HAS事先已發送公共參數paramsHAS，FAS便可以利用paramsHAS對來自HAS的漫游用戶進行獨立驗證。因此FAS無需同HAS進行通信交互，減少了通信延遲及驗證服務器負擔。本文協議中的用戶也無需使用復雜密碼技術或者向HAS申請文獻[8]中的指定漫游目的地的漫游證明，使得用戶漫游更加自主和便捷。

3.6性能分析

由于移動網絡中終端計算能力有限，終端不能有過多的計算開銷。協議執行效率主要用協議中終端完成的各種計算來衡量，包括指數運算、散列運算、對稱加解密、公鑰加解密和消息交換輪數。本文分別對終端CPU和TPM的計算開銷進行了分析。本文的協議的效率比照了文獻[7]和文獻[8]方案在進行網絡接入認證時終端的運算量。從表1可以得到，移動終端平臺CPU執行了一次散列運算、兩次非對稱加解密運算，消息的交換輪數為兩輪。這些運算只需要較小的計算量，對移動終端產生影響較小。與文獻[7-8]的方案相比，本文協議中終端的計算量有優勢。

4結語

傳統漫游、切換協議無法滿足平臺的可信認證需求，本文提出一種移動網絡可信匿名認證協議。以可信網絡連接TNC架構為基礎，用戶在進行漫游訪問或AP間切換認證時，將用戶身份認證同平臺可信性認證結合起來，實現了高效的可信接入。終端使用預存的假名保護用戶的匿名性，假名與用戶真實身份沒有關聯，保證了用戶的身份和位置等信息機密性和有條件的隱私保護，分析表明協議計算開銷相比現有協議減少并且接入認證更加靈活、自主。本文漫游認證協議在可信移動互聯網中完成終端可信認證，增加了安全性。但終端負載有所增加，同時對無可信平臺模塊的終端和傳統網絡環境下的兼容性、擴展性問題，還需要進一步探討和研究。

參考文獻：

[1]Trust Computing Group. TPM main part 1： design principles specification， version 1.2 revision 62 [S]. Geneva： International Organization for Standardization （IOS）， 2009.

[2]Trust Computing Group. TCG trusted network connect architecture for interoperability specification version 1.4 [EB/OL]. （2009-05-18） [20015-11-18]. http：//www.trustedcomputinggroup.org.

[3]Trust Computing Group. Architects guide： mobile security using TNC technology [EB/OL]. （2011-12-29） [2015-10-18]. http：//www.trustedcomputinggroup.org/developers/mobile.

[4]馬卓，馬建峰，李興華，等.可證明安全的可信網絡連接協議模型[J].計算機學報，2011，34（9）：1669-1678. （MA Z， MA J F， LI X H， et al. Provable security model for trusted network connect protocol [J].Chinese Journal of Computers， 2011， 34（9）： 1669-1678.）

[5]吳振強，周彥偉，喬子芮.移動互聯網下可信移動平臺接入機制[J].通信學報，2011，31（10）：158-169. （WU Z Q， ZHOU Y W， QIAO Z R. Access mechanism of TMP under mobile network [J]. Journal on Communications， 2011， 31（10）： 158-169.）

[6]馬卓，張俊偉，馬建峰，等.可證明安全的無雙線性對無證書可信接入認證協議[J].計算機研究與發展，2014，51（2）：325-333. （MA Z， ZHANG J W， MA J F， et al. Provably secure certificateless trusted access protocol for WLAN without pairing [J]. Journal of Computer Research and Development， 2014， 51（2）： 325-333.）

[7]楊力，馬建峰，朱建明.可信的匿名無線認證協議[J].通信學報，2009，30（9）：29-35. （YANG L， MA J F， ZHU J M. Trusted and anonymous authentication scheme for wireless networks [J]. Journal on Communications， 2009， 30（9）： 29-35.）

[8]周彥偉，楊波，張文政.可證安全的移動互聯網可信匿名漫游協議[J].計算機學報，2015，38（4）：733-748. （ZHOU Y W， YANG B， ZHANG W Z. Provable secure trusted and anonymous roaming protocol for mobile Internet [J]. Chinese Journal of Computers， 2015， 38（4）： 733-748.）

[9]RAYA M， HUBAUX J-P. Securing vehicular Ad Hoc networks[J]. Journal of Computer Security — Special Issue on Security of Ad-hoc and Sensor Networks， 2007， 15（1）： 39-68.

[10]侯惠芳，季新生，劉光強.異構無線網絡中基于標識的匿名認證協議[J].通信學報，2011，32（5）：153-161. （HOU H F， JI X S， LIU G Q. Identity-based anonymity authentication protocol in the heterogeneous wireless network [J]. Journal on Communications， 2011， 32（5）：153-161.）

[11]侯惠芳，劉光強，季新生，等.基于公鑰的可證明安全的異構無線網絡認證方案[J].電子與信息學報，2009，31（10）：2385-2391. （HOU H F， LIU G Q， JI X S， et al. Provable security authentication scheme based on public key for heterogeneous wireless network [J]. Journal of Electronics & Information Technology， 2009， 31（10）：2385-2391.4）

[12]YANG G， HUANG Q， WONG D S， et al. Universal authentication protocols for anonymous wireless communications [J]. IEEE Transactions on Wireless Communications， 2010， 9（1）：168-174.