MANET共識選舉輕量級CA認證方案*

石樂義，單寶穎，魏東平

中國石油大學（華東）計算機科學與技術學院，山東 青島 266580

1 引言

移動自組網，即移動Ad Hoc 網絡，也稱MANET（mobile Ad Hoc network），是一種不依賴固定基礎設施的分布式移動網絡。節點可以隨意地加入或離開網絡，任何一個節點的故障都不會影響整個網絡的運行，具有很強的抗毀性[1]。

MANET網絡結合了移動通信和計算機網絡：一方面，MANET 網絡的信息交換采用了分組交換機制；另一方面，用戶終端節點是可以自由移動的并配置無線收發裝置的便攜式終端（比如筆記本、掌上電腦等）。MANET網絡中的用戶終端與普通網絡用戶終端的最大區別在于前者兼有主機和路由器功能。MANET 網絡最大的優勢在于其可以在不能利用或不方便利用現有的網絡基礎設施（比如基站）的情況下提供一種通信支持方式，拓寬了移動網絡的應用范圍。MANET 網絡的自組織性提供了廉價且快速部署網絡的可能，此外，分布式結構使得網絡的健壯性、抗毀性也很強。因此MANET網絡的應用相當廣泛，比如軍事戰場信息系統建設、民用緊急救助、傳感器網絡等眾多領域。但是MANET 網絡使用無線信道傳輸、拓撲結構動態變化等使得其很容易受到諸如主動入侵或是被動入侵的攻擊，因此MANET網絡安全不可忽視[2-3]。

2 相關工作

MANET網絡認證體系是安全的第一道防線，也是MANET網絡安全路由、數據通信的基礎。移動自組織網絡目前廣泛研究的安全認證機制主要包括以下三類：

集中式認證主要是把有線網絡中的公鑰基礎設施（public key infrastructure，PKI）機制應用到MANET網絡中，其原理是在MANET網絡中的節點中選出一個節點充當CA（certificate authority），負責證書的發放、更新、撤銷等管理工作[4]。但是這種方式使得CA承擔繁重的管理工作，存在單點故障的風險，即一旦CA 被攻擊癱瘓，那么整個網絡將會受到嚴重影響。此外，MANET 網絡中的節點大多是移動終端，其電量和存儲能力有限，因此很難找到一個節點來承擔集中式CA 的任務。從而，在MANET 網絡中采用集中式的認證系統并不合適。

分布式認證是由MANET 網絡內多個節點相互協同作為一個認證權威服務器，這樣CA的功能就被分配到了多個節點上，其基礎是秘密共享。文獻[5-6]提出了局部分布式方案，該方案利用了門限密碼機制(t,n)，主要思想是將CA的簽名密鑰分成n份部分簽名密鑰并分發給指定的n個節點，其中任意t個節點聯合起來才能合成一份有效的證書來執行CA 功能，而少于t個節點則不能恢復出簽名密鑰，也就無法產生有效證書，具有一定的容侵性。同時，該方案改進了集中式CA的不足，有效防止了單點故障。但是新節點的認證需要與t個節點進行通信，任意一個節點返回證書有誤都將無法合成有效證書，因此增加了網絡開銷。文獻[7-8]提出了全局分布式思想。在全局分布式認證里，CA的簽名密鑰分給網絡中的所有節點，所有節點共同承擔網絡的認證服務，安全認證服務的可用性較高。但是所有節點都擁有私鑰份額，增加了私鑰暴露的風險。由于CA證書管理維護比較復雜，Khalili等人將基于身份的公鑰加密體制[9-11]應用到了MANET 安全認證中。該方案是以節點的唯一性身份（比如網卡物理地址、設備編號等）作為公鑰，因此這種機制不需要公鑰證書。但是，這種方案的私鑰是由私鑰生成器產生的，私鑰被其強制托管。文獻[12]使用基于ECC 的密碼系統提出了一種新的完全分布式的基于ID 的密鑰管理算法，消除了對密鑰生成中心和私鑰生成器的需求，從而解決了密鑰托管問題。文獻[13]中Kumar 等人將輕量級加密協議和門限秘密共享相結合，實現了MANET分布式認證。

自組織認證方式的初始化及運行（包括密鑰的管理及撤銷）全部由網內的節點承擔，在該認證系統中，證書鏈相當于CA 的角色。Hubaux 等人[14-15]設計了一種自組織認證方案，各節點各自維護證書庫,認證雙方合并它們的證書庫并從中尋找證書鏈。該認證方法依靠節點的近距離接觸來交換證書以此來合成證書庫，而MANET 網絡中的節點分布網絡各處，并不能保證網絡中的每個節點都會及時相遇，也就無法保證節點總能很快發現所需證書鏈。文獻[16]提出一種自組織按需式認證方案，該方案不關心整個網絡的證書情況，只在需要的時候才主動構建證書鏈，避免了網絡中周期性廣播交換證書而造成網絡負載過重問題。文獻[17]提出的自組織量子密鑰認證技術為每個移動節點生成自組織密鑰，找到傳輸數據的安全路徑并在目的節點利用自組織密鑰進行節點驗證，提高了MANET中的數據安全性。

共識機制是區塊鏈[18-19]的核心，保證去中心化網絡中數據的一致性，節點通過解決一個求解復雜但容易驗證的數學難題來競爭獲得區塊鏈的記賬權，獲得區塊鏈記賬權的節點將獲得一定的比特幣獎勵。本文在前人工作的基礎上，針對以上各種認證方式下的問題及共識機制的優越性，提出了一種基于共識算法的CA選舉方法，并結合輕量級CA[20-21]思想，構建一種適合移動自組織網的認證方法。該方法的優勢在于通過共識算法周期性地選舉出當前CA，全網快速達成共識后，即可確定CA，使得CA節點不可假冒。由于CA節點周期性地變換，其生存周期僅限于當前周期內，使得攻擊者無法預測下一個周期CA是哪個節點，既保留了集中式認證快速方便地建立節點間信任關系的優點，又具有門限機制的容侵性，提高了系統的健壯性。

3 共識選舉輕量級輪轉CA方案描述

3.1 方案的節點組成

（1）輕量級CA 節點：通過共識算法周期性選出并得到全網共識的節點，在一個周期內只有一個CA節點承擔CA功能，主要負責對普通用戶節點進行身份認證并為普通節點頒發輔公鑰。

（2）普通用戶節點：MANET網內除了CA節點的其他普通用戶節點，用戶節點間有通信的需求。

3.2 初始化

系統進行初始化。輕量級CA（lightweight certificate authority，LCA）執行Gi算法，輸入系統參數集K，輸出LCA的公/私鑰對(PKLCA/SKLCA)，其中PKLCA是LCA 的公鑰，SKLCA是LCA 的私鑰；用戶節點執行Gi算法，輸入系統參數集K，輸出各個用戶節點的主公鑰/私鑰對，其中是用戶節點Ni的主公鑰，是用戶節點Ni的私鑰。具體初始化過程詳見文獻[22]。

3.3 方案設計

（1）CA選取過程

①所有節點不斷嘗試區塊頭中的隨機數（nonce），并對每次變更后的區塊頭做雙重哈希運算，將結果值與當前網絡的目標值作對比，如果小于或等于目標值，則解題成功。區塊頭中的字段包含版本號、上一個區塊頭的哈希值、時間戳、難度值、隨機數nonce、Merkle 樹根等。其中Merkle 樹被用來歸納一個區塊的所有交易認證消息，同時生成整個交易認證集合的數字指紋，且提供了一種校驗區塊是否存在某交易認證消息的高效途徑。生成一棵完整的Merkle 樹需要遞歸地對節點兩兩進行哈希，并將新生成的哈希節點插入到Merkle 樹中，直到只剩一個哈希節點，該節點就是Merkle樹根。

廣播消息：

Fig.1 Flow chart of CA selection圖1 CA選取流程圖

③全網節點驗證該解是否滿足挖礦難度的條件，驗證過程為：把隨機數nonce代入數學難題，如果與目標值相符并且計算得到的與收到的相等，那么驗證成功，全網節點則停止本次挖礦，把該區塊連接到上個區塊后面。然后繼續挖下一個區塊，此時全網節點達成共識，即求得該解的節點擔任本周期內的CA 節點，執行CA 功能；否則，丟棄該塊，繼續本次挖礦。圖1 給出了CA選取流程圖。

（2）向當前CA申請輔公鑰

有通信需求的節點Ni用當前CA 的公鑰加密申請消息來向當前CA申請輔公鑰()，CA收到申請消息后，用自己的私鑰解密得到節點Ni的身份標識和主公鑰，根據用戶查詢黑名單，如果節點不在黑名單內，則計算，若與收到的相等，則說明消息是完整的。然后CA節點用自己的私鑰為節點的ID 和主公鑰簽名生成輔公鑰并返回給節點。

申請消息：

響應消息：

（3）通信雙方獲取對方主公鑰

如果節點A和節點B要進行通信，必須先驗證對方的身份并獲得對方的主公鑰。

交換輔公鑰：

節點A和B交換輔公鑰，用當前CA的公鑰解密后獲得對方的主公鑰，這同時也說明了對方是經當前CA 簽名認證的合法用戶節點。繼而雙方可以協商會話密鑰，使得消息經過安全通道傳遞。

（4）CA進行周期性輪轉

經過特定時間后，當網內有節點再次計算出特定解時，則繼續執行步驟（1）。

圖2給出了本文方案的通信模型圖。

Fig.2 Communication model圖2 通信模型

4 安全性分析

4.1 方案結構特點

（1）輕量級CA。本文方案中的CA 采用輕量級CA，CA用自己的私鑰對請求通信的節點的主公鑰和身份ID 進行簽名，從而生成輔公鑰。這里的輔公鑰相當于傳統CA 中的證書，區別在于傳統CA 集中負責簽發、認證、管理實體證書，CA任務繁重。而輔公鑰是由每個用戶節點自己管理，使得CA達到輕量級。

（2）CA 節點是通過計算特定數學難題獲得特定解并得到全網節點確認而快速達到共識的節點，非對稱算法SHA256的性質決定了求解的隨機性，從而使得CA角色輪換的隨機性，大大增加了攻擊者確定CA節點的難度，有效提高了網絡安全性。

（3）CA 節點根據難度值可以動態調整計算結果周期，其執行CA功能僅限當前周期內。下個周期當網內有節點再次計算出特定解，則CA節點進行輪換。

難度值是每個節點在生成區塊時的重要指標，通過難度值的設計，解決了節點在不同算力的條件下，基本上保持每10 min 生成一個新區塊。由于節點的算力是不同且不停變化的，因此難度值必須根據全網算力的變化進行調整，并且難度值的調整是在每個完整節點中獨立自動發生的。調整的方法是，每隔2 016 個區塊，所有節點都會按統一的公式自動調整難度值。公式如下：

其中，期望時長為20 160 min，即兩周，是按每10 min一個區塊的產生速率計算出的總時長。

新難度值根據實際時長與期望時長的比值，進行動態調整（變難或者變易）。也就是說，如果區塊產生的速率比10 min 快，則難度值減小，難度增加，這樣會造成下一個區塊產生的速率下降；比10 min慢，則難度值增加，難度減小，這樣會造成下一個區塊產生的速率增加。這樣即可動態地調整產生每個區塊的速率，從而使每個區塊的產生時間始終在10 min上下波動。

（4）集中式認證能夠方便快捷地建立節點間信任關系，但是系統載荷集中在CA 節點上，容易出現單點故障。采用門限機制的分布式認證有效防止了單點故障，具有一定的容侵性，但是該認證方法需要多個節點合作才能完成認證，大大增加了網絡開銷。自組織認證也能防止單點失效，并且能夠自適應網絡拓撲結構的變化，但是節點間的認證需要將證書鏈上的所有證書都確認，使得計算代價高而且效率低。本文方案既保留了集中式認證快速方便地建立節點間信任關系的優點，又具有門限機制的容侵性，并且具有自組織認證的對網絡結構的自適應性。

4.2 安全性分析

（1）DoS攻擊。由于MANET網絡中的節點都是資源受限的節點，因此很容易遭受DoS 攻擊來耗盡節點的資源。本文方案中的CA 節點是通過計算特定數學難題獲得特定解并得到全網節點確認而快速達到共識的節點。因此，求解的隨機性使得執行CA功能的CA節點具有隨機性，并且求解的周期性使得CA 節點輪換的周期性。這些特點使得攻擊者無法預知下個周期哪個節點擔任CA 節點，較好地對抗DoS攻擊。

（2）仿冒CA 節點攻擊。CA 節點是通過共識算法選舉產生的，而且經過了全網的快速認證。當攻擊者聲稱自己是CA 節點時，它會廣播該解（nonce）和CA身份消息至全網，全網很容易驗證該解是否是正確的解，如果驗證不成功則丟棄該消息。因此只有計算出正確的解的節點全網節點才會認為是CA 節點，仿冒CA 節點幾乎不可能。

（3）仿冒普通節點攻擊。如果一個攻擊者想要與合法用戶進行通信，那么攻擊者會想辦法獲得輔公鑰。有兩種途徑可以獲得輔公鑰。第一種：攻擊者可以偽造一個輔公鑰（）并聲稱自己是合法用戶。但是該輔公鑰并沒有經過CA的簽名，因此對方通信的合法用戶無法用CA 的公鑰解出攻擊者的ID（IDFaker）和主公鑰（），這樣合法用戶可以判斷該節點沒有經過CA認證，拒絕與之通信。第二種：攻擊者可以截獲一個合法用戶的輔公鑰（），并且仿冒其身份（IDAttacker），這種情況可以獲得對方的主公鑰，但是由于不知道被仿冒者的私鑰，因此即使獲得了對方的主公鑰也無法用私鑰解密對方發來的消息。因此，仿冒普通節點來進行攻擊也是難以進行的。

（4）重放攻擊。每次請求都需要加上時間戳Tstamp，然后把時間戳和其他參數一起進行加密處理。接收者判斷請求時間與接受請求時間是否超過了時間窗（間隔），若是，則認為是非法請求，有效防止了重放攻擊。

5 BAN邏輯證明

BAN 形式化邏輯，可以對認證協議進行形式化描述，并且可以根據假設對認證協議進行形式化分析。本章對基于共識機制的輕量級輪轉CA 認證方案的安全性進行形式化分析證明。

5.1 用戶與CA節點間認證的形式化分析

用戶節點用U來表示，CA節點的公鑰用PKCA表示，CA求解的隨機數用nonce來表示，由于nonce是由CA節點求出的，因此這里默認CA節點相信自己求得的這個隨機數nonce。去掉本文方案中的無關部分并簡化過程，用戶與CA節點間認證的形式化分析如下。

（1）初始條件假設

②U?{nonce,PKCA}

③U|≡#(nonce)

④U|≡CA?nonce

（2）認證目標

U|≡nonce

（3）BAN邏輯推導

由初始假設①②根據消息含義規則可形式化推出：

由③根據消息新鮮性可形式化推出：

由式（1）和式（2）的結果根據臨時值校驗規則可形式化推出：

由式（3）結果根據信仰規則可形式化推出：

由假設條件④和上步推導結果式（4）根據管轄規則可形式化推出：

由以上邏輯推理證明了目標U|≡nonce，用戶最終信任了CA 求解的nonce值，從而信任了CA，達到了目標。

5.2 用戶間的雙向認證形式化分析

CA和用戶節點認證成功之后，用戶節點雙方必須獲取并相信對方的主公鑰才能實現安全通信。即，只要證得由CA 簽名的輔公鑰是可信的，那么就可以認為用戶節點的主公鑰是可信的。這里的兩個用戶節點分別用A和B來表示。去掉本文方案中的無關部分并簡化過程，以下是BAN邏輯證明過程。

（1）初始條件假設

（2）認證目標

（3）BAN邏輯推導

由初始條件①③根據消息含義規則可形式化推出：

由式（6）結果和假設條件⑦根據臨時值驗證規則可形式化推出：

由式（7）結果和假設條件⑤根據管轄規則可形式化推出：

此時已證明用戶A相信用戶B的輔公鑰A|≡，同理證明

由初始條件②④根據消息含義規則得：

由式（9）結果和初始條件⑧根據臨時值驗證規則得：

由式（10）結果和初始條件⑥根據管轄規則推出：

此時已證明用戶B相信用戶A的輔公鑰

通過以上BAN 邏輯形式化證明分析可知，本文方案實現了安全目標。用戶與CA 節點之間以及用戶與用戶之間實現了安全的認證。

6 結束語

不同于傳統網絡，移動自組網沒有基礎設施的支持，網絡拓撲結構動態變化，使得傳統的認證方案不適用。鑒于此，本文提出了一種基于共識算法的輕量級輪轉CA 認證方案，該方案結合了輕量級CA思想，并將區塊鏈技術中的共識機制思想引入到認證過程中，全網節點通過競爭計算得到符合目標值的解來獲得CA權限，全網節點通過驗證該解從而能夠快速達到共識。此外，共識算法求解的隨機性決定了CA 節點的隨機性，求解的周期性決定了CA 節點輪換的周期性，從而大大增加攻擊者確定CA的難度，有效保護了CA節點。

在此基礎上，對方案的結構及安全性進行了詳細分析，并且用BAN 邏輯形式化分析方法對方案安全性進行了詳細證明。結果表明，本文方案可以提供良好的安全認證特性，達到了安全目標，適用于資源受限的MANET網絡。