牛玉坤，魏凌波，張馳，張霞，Gustavo Vejarano

基于比特幣區塊鏈的公共無線局域網接入控制隱私保護研究

牛玉坤1，魏凌波1，張馳1，張霞2，Gustavo Vejarano3

（1. 中國科學技術大學信息科學技術學院，安徽 合肥 230026；2. 武漢理工大學計算機科學與技術學院，湖北 武漢 430047；3. Department of Electrical Engineering and Computer Science, Loyola Marymount University, Los Angeles, CA 90045）

在公共無線局域網的訪問控制中，用戶隱私保護和用戶可問責性是一對相互沖突的目標。針對該問題，提出了一種基于比特幣區塊鏈和Intel SGX的匿名且可問責用戶管理與訪問控制方案。在不修改已有的比特幣協議的前提下，實現了對公共無線局域網訪問憑證的安全管理，而無須依賴可信第三方；采用基于Intel SGX的混合技術，通過較小的開銷提供了用戶可控的訪問憑證匿名性保護；設計的區塊鏈驗證路徑規則在保持用戶隱私的同時實現了對惡意用戶的問責。理論分析和實驗結果驗證了該方案的安全性和可行性。

WLAN訪問控制；比特幣區塊鏈；Intel SGX；匿名性；可問責性；認證

1 引言

公共無線局域網被廣泛部署在機場、火車站、公園等公共場所，為用戶提供無處不在的網絡連接，這允許用戶將大部分智能手機的流量卸載到公共無線局域網中，以緩解移動網絡的流量擁堵問題。由于無線連接是開放且分布式的，網絡服務提供者通常通過用戶認證方案來實現公共無線局域網的訪問控制，從而防止未授權用戶和惡意攻擊者訪問公共無線局域網。在當前的認證方案中（如WPA2），不誠實的網絡服務提供者可以通過追蹤一個用戶在何時何地連接哪一個公共無線局域網中的Wi-Fi熱點來推測用戶的移動模式以及其他敏感信息[1]，從而威脅用戶的隱私。

在這樣的場景下，匿名認證可以提供安全、隱私保護的認證和訪問控制。匿名認證方案可以隱藏用戶的真實身份，使認證服務器無法將相同用戶的多次訪問關聯在一起。然而，絕對的匿名性會帶來新的問題。因為所有匿名用戶看起來都一樣，網絡服務提供者無法讓執行惡意行為的匿名用戶得到懲罰。為了約束用戶行為并保護公共無線局域網不被濫用和攻擊，一個匿名認證方案應當具備可問責性。也就是說，匿名認證方案應當允許網絡服務提供者阻止惡意行為用戶繼續訪問公共無線局域網。

針對公共無線局域網的訪問控制，已有的匿名認證研究要么未考慮用戶可問責性，要么采用可信第三方來解決用戶匿名性和用戶可問責性之間的沖突。Pisa等[1]設計使用基于屬性加密來執行訪問控制，Wi-Fi熱點將當前WPA2密碼加密并嵌入信標中周期性地廣播，其中，只有擁有所需屬性的用戶才能解開密文獲取WPA2密碼。Cassola等[2]提出使用私有信息檢索（PIR，private information retrieval）技術獲取Wi-Fi熱點訪問密鑰，從而隱藏用戶的真實身份。然而，這些文獻只實現了用戶匿名性，而未實現用戶可問責性。Lou等[3]使用群簽名在無線接入網絡中同時實現匿名性和可問責性。該方案基于“分權思想”，組管理員和網絡服務提供者分別只能獲取用戶的部分信息，從而實現用戶匿名性。當發現用戶存在惡意行為時，執法部門可以分別從二者處收集用戶的部分信息，從而獲取完整的用戶信息。然而，它需要一個可信第三方執行密鑰分發。此外，用戶無法察覺組管理員和網絡服務提供者的共謀攻擊。這意味著用戶的匿名性無法得到保證。

在公共無線局域網訪問控制中，網絡服務提供者不希望引入可信第三方來實現認證。一方面，可信第三方面臨單點失敗問題。一旦可信第三方無法工作，整個認證系統將無法運行。另一方面，一旦攻擊者攻破可信第三方，其帶來的隱私泄露風險更加嚴重。

基于黑名單的匿名憑證[4]（BLAC，black listable anonymous credential）系統可以用來保護公共無線局域網中用戶的匿名性且實現可問責認證，同時不需要依賴可信第三方。在BLAC中，用戶使用零知識證明來證明其擁有一個有效憑證同時該憑證不在黑名單中。然而，零知識證明是一個高計算開銷的操作，而且BLAC的計算開銷隨著黑名單的大小而線性增加。Tsang等[5]使用撤銷窗口概念來優化BLAC的性能，使零知識證明的開銷不再隨著黑名單大小而變化，而是與撤銷窗口的大小線性相關。通常，撤銷窗口是一個常數。盡管如此，用戶執行一次認證操作大約需要0.7 s[5]。更重要的是，所有基于零知識證明的匿名憑證系統無法檢測多個用戶共享賬號這一惡意行為。

比特幣區塊鏈是一個維護全局交易的分布式賬本，它允許參與者在完全互不信任的環境下完成資產所有權的轉移并達成一致性。自2009年比特幣系統上線以來，十多年的運行結果證明它是目前運行時間最長、安全性最高的區塊鏈系統。其次，比特幣區塊鏈天然地提供了一定的匿名性，而混幣技術的使用更進一步加強了用戶使用比特幣系統時的匿名性。因此，比特幣區塊鏈可以用于管理用戶訪問公共無線局域網時的憑證，而不需要引入可信第三方。

Niu等[6]提出使用比特幣區塊鏈來管理用戶訪問憑證，基于染色幣的思想將訪問憑證與用戶的比特幣地址綁定，然后利用比特幣區塊鏈中的混幣技術CoinShuffle[7]實現憑證的匿名更換。當發現用戶執行惡意行為時，網絡服務提供者只需將用戶使用的憑證加入黑名單。根據驗證路徑規則，其他用戶將自發地拒絕加入黑名單的憑證執行匿名更換。其所有憑證相關操作都通過比特幣交易來實現，只有交易寫入比特幣區塊鏈，操作才算完成。然而，比特幣區塊鏈具備有限的交易吞吐量，其平均每10 min才生產一個區塊，每個區塊只能存放大約2 MB的交易數據。因此，訪問憑證匿名更換產生的比特幣交易至少需要10 min才能寫入比特幣區塊鏈。而且為了盡快寫入比特幣區塊鏈，用戶需要支付更多的交易費用給比特幣“礦工”。

針對上述問題，本文提出了一種基于比特幣區塊鏈和Intel SGX的匿名且可問責的用戶管理與訪問控制方案，本文的主要貢獻如下。

1) 提出一種適用于公共無線局域網的匿名可問責訪問控制方案，同時無須依賴任何可信第三方。使用完全未修改的比特幣區塊鏈進行管理訪問憑證的所有權，并利用基于Intel SGX的混合服務器實現訪問憑證的匿名更換。利用驗證路徑規則，可以在訪問憑證匿名更換的同時兼顧可問責性。

2) 提出一種鏈下混合機制。實現訪問憑證匿名更換的比特幣交易不需要寫入區塊鏈，避免低的比特幣區塊鏈吞吐量對訪問憑證匿名更換帶來的高延時、高金融成本的問題。

3) 安全分析與實驗結果表明，提出的方案具備用戶匿名性以及用戶可問責性，同時認證過程具備良好的執行效率。

2 模型假設與設計目標

2.1 系統模型

一個經典的公共無線局域網接入場景通常包含用戶、網絡服務提供者，以及一些Wi-Fi熱點。網絡服務提供者控制一些Wi-Fi熱點并將其部署在公共區域，如公園、機場、車站等。用戶向網絡服務提供者訂閱網絡訪問服務。當一個用戶連接到任何網絡服務提供者控制的Wi-Fi熱點后，用戶與Wi-Fi熱點執行雙向認證。本文在此模型基礎上，引入比特幣區塊鏈和基于Intel SGX的混合服務器來實現訪問憑證的管理和匿名更換。用戶從網絡服務提供者處獲取訪問憑證的授權信息，然后使用比特幣交易中的OP_RETURN交易輸出將授權信息嵌入比特幣區塊鏈，同時將訪問憑證與用戶擁有的比特幣地址進行綁定。這樣，用戶可以通過比特幣區塊鏈進行訪問憑證的創建以及所有權的管理。為了增加訪問憑證的匿名性，一些用戶通過基于Intel SGX的混合服務器來實現訪問憑證的匿名更換。運行在Intel SGX混合服務器中的安全飛地（secure enclave）收集用戶的憑證混合請求，然后創建訪問憑證混合交易將訪問權限轉移到新的訪問憑證中。Intel SGX技術保證安全飛地內訪問憑證混合日志的機密性，從而確保訪問憑證更換時的匿名性。

2.2 攻擊模型和假設

本文關注兩類攻擊目標：濫用和隱私。一方面，一些用戶企圖使用有效證書進行惡意行為；另一方面，給定一個匿名訪問憑證，網絡服務提供者或者基于Intel SGX的混合服務器試圖將該訪問憑證與用戶真實身份或者相同用戶擁有的其他匿名訪問憑證關聯起來。

針對上述攻擊模型，本文假設用戶在通信過程中不會泄露其身份信息，如MAC地址和IP地址。實際中，用戶連接到公共無線局域網后可以使用隨機MAC地址技術[8]來隱匿其MAC地址，當與安全飛地通信時可以使用Tor[9]來隱匿其IP地址。

本文假設網絡服務提供者是誠實且好奇的。也就是說，網絡服務提供者會誠實運行協議，但會根據比特幣區塊鏈以及其本地存儲的憑證混合交易嘗試鏈接匿名訪問憑證到用戶的身份或者相同用戶擁有的其他匿名訪問憑證。

基于Intel SGX的混合服務器，在為用戶提供訪問憑證混合的同時，試圖解匿名混合后的用戶憑證。混合服務器控制著操作系統和管理程序，它可以丟棄或延遲安全飛地進出的通信數據。注意到安全飛地會受到側信道攻擊的威脅，如時間攻擊、緩存碰撞攻擊、訪問模式攻擊、電力分析攻擊或回滾攻擊[10-16]，這些側信道攻擊與本文所做工作正交，且已經有許多工作[17-22]試圖解決這些攻擊，這些解決方法可以直接應用到本文方案。

2.3 設計目標

公共無線局域網中，保護用戶隱私的可問責訪問控制方案應具有如下安全和性能方面的要求。

1) 安全性。用戶和公共無線局域網中的Wi-Fi熱點之間能執行雙向認證。一方面，Wi-Fi熱點認證用戶可以防止未授權用戶通過Wi-Fi熱點訪問互聯網；另一方面，用戶認證Wi-Fi熱點可以禁止非法熱點執行釣魚攻擊。

2) 匿名性和不可鏈接性。除了用戶本人之外，沒有任何實體能夠將某個訪問憑證關聯到用戶真實身份，或者將同一用戶的不同訪問憑證關聯在一起。

3) 可問責性。網絡服務提供者要能撤銷惡意行為用戶持有的有效訪問憑證，阻止惡意行為用戶繼續訪問公共無線局域網。

4) 不需要可信第三方。方案中對所有實體的信任都應當受限，以確保用戶的匿名性得到保證。即使多方共謀也不能完全解匿名用戶的所有訪問憑證。

5) 高效性。對于用戶和網絡服務提供者來說，認證過程應當具備低的通信、計算開銷。

3 方案設計

3.1 方案概覽

本文方案利用比特幣區塊鏈和基于Intel SGX的混合協議實現公共無線局域網中匿名且可問責的用戶管理與訪問控制方案。系統模型及方案概覽如圖1所示。

由于網絡服務提供者通過一系列Wi-Fi熱點為用戶提供網絡訪問服務，所以它在系統建立之初為每個Wi-Fi熱點頒發一個憑證，該憑證將在雙向認證協議中證明Wi-Fi熱點的身份。本文不需要保護Wi-Fi熱點的匿名性。

為了訪問Wi-Fi熱點，用戶首先在系統中完成注冊以獲得一個訪問憑證。初始的訪問憑證不是匿名的。為了獲得匿名憑證，一些用戶協同基于Intel SGX的混合服務器執行一個訪問憑證混合協議，獲得一個新的匿名訪問憑證。

圖1 系統模型與方案概覽

Figure 1 System model and overview of the scheme

當用戶訪問一個Wi-Fi熱點，用戶和Wi-Fi熱點之間運行一個雙向認證協議，各自分別驗證對方的憑證。一旦雙向認證成功，Wi-Fi熱點向用戶提供網絡訪問服務。之后，用戶參與訪問憑證混合協議獲得新的匿名憑證，用于下一次認證。

所有訪問憑證的操作都通過創建或讀取比特幣交易來實現。考慮到比特幣區塊鏈低的交易吞吐量，訪問憑證混合協議生成的憑證混合交易不寫入比特幣區塊鏈。為了抵御網絡服務提供者、基于Intel SGX的混合服務器，以及一些用戶的共謀攻擊，用戶執行一定次數的訪問憑證混合后，安全飛地將生成一個鏈上憑證混合交易，該交易將寫入比特幣區塊鏈。這樣，鏈上憑證混合交易之前的所有鏈下憑證混合交易都不必存儲。

在本文方案中，訪問憑證是一個ECDSA公鑰的哈希。憑證的擁有者可以使用對應私鑰進行數字簽名以證明其所有權。通常，憑證包含在P2PKH（pay-to-public-key-hash）交易輸出的上鎖腳本中。

本文方案中所有創建的交易都包含一個OP_RETURN交易輸出，它也被稱作標記輸出。標記輸出可將本文方案產生的交易與比特幣區塊鏈中其他交易區分開來，同時能用于標記交易類型。而且，本文可以通過在標記輸出中嵌入數據來實現用戶注冊、黑名單更新等。標記輸出的格式為OP_RETURN<數據>，自Bitcoin Core 0.12.0版本之后，用戶可以在一個OP_RETURN交易輸出中嵌入最多83 B的任意數據，故“數據”域至多83 B。本方案中<數據>結構定義如下：<系統標識符><版本號><交易類型><載荷>。在不同的交易中，“載荷”域有所不同。

3.2 系統建立

本文假設每個用戶和每個Wi-Fi熱點都知曉網絡服務提供者的公鑰pk。在系統建立階段，網絡服務提供者為每個Wi-Fi熱點頒發憑證。Wi-Fi熱點各自生成它們的ECDSA公鑰以及對應的私鑰。然后，網絡服務提供者收集所有Wi-Fi熱點的公鑰并創建一些熱點列表交易，熱點列表交易都使用P2PKH交易輸出，每個P2PKH交易輸出嵌入一個Wi-Fi熱點公鑰的哈希，該哈希結果即Wi-Fi熱點的憑證。熱點列表交易只有寫入比特幣區塊鏈才生效。

類似地，網絡服務提供者需要創建一些安全飛地列表交易，只有經過授權的安全飛地才能幫助用戶執行訪問憑證混合。為此，網絡服務提供者與安全飛地之間執行Intel SGX提供的遠程認證協議，以確保安全飛地被正確地初始化。在遠程認證結束之后，網絡服務提供者與安全飛地之間建立了一條安全信道。隨后安全飛地通過該安全信道發送自己的憑證給網絡服務提供者，只有該憑證對應私鑰簽名的憑證混合交易才被網絡服務提供者認可。需要注意的是，安全飛地的代碼將被公開以確保其不包含任何威脅用戶隱私的后門程序。

3.3 用戶注冊

如圖2所示，用戶注冊分為如下4個步驟。

圖2 用戶注冊流程

Figure 2 User registration

4) 廣播注冊交易至比特幣區塊鏈網絡。一旦注冊交易被寫入比特幣區塊鏈，用戶的訪問憑證C生效。

網絡服務提供者通過對用戶擁有的某個輸出指針進行數字簽名以完成授權操作，該交易輸出也被稱作授權交易輸出。由于比特幣區塊鏈的不可“雙花”特性，一個授權交易輸出只能創建一個有效的注冊交易。

3.4 訪問憑證混合

用戶可以通過執行訪問憑證混合協議獲得一個新的匿名訪問憑證。訪問憑證混合協議基于Intel SGX來實現，具體過程如下。

1) 用戶認證安全飛地。用戶和安全飛地執行Intel SGX提供的遠程認證協議，以確保安全飛地被正確地初始化。之后，用戶與安全飛地之間建立一條安全信道。此外，用戶還需要驗證安全飛地所擁有的憑證C是否有效，憑證驗證操作將在第3.5節詳細介紹。

2) 鏈下混合開啟。用戶創建鏈下混合開啟交易，交易的輸入是用戶憑證所在的未花費交易輸出，輸出則是一個P2SH（pay-to-script-hash）交易輸出。該交易輸出包含一個鏈下混合關閉腳本的哈希。鏈下混合關閉腳本如圖3所示。它表示在time-lock定義的時間之前，只有安全飛地可以花費該P2SH交易輸出，而在time-lock定義的時間之后，用戶可以花費該P2SH交易輸出。這是為了在安全飛地永遠失去的情況下，用戶仍能取回自己的訪問憑證。鏈下混合開啟交易寫入區塊鏈后才能開啟鏈下混合。

圖3 鏈下混合關閉腳本

Figure 3 Close script of the off-chain mixing

4) 訪問憑證混合。安全飛地執行訪問憑證混合算法，如算法1所示。安全飛地驗證每個用戶的訪問憑證，一旦收集到個有效的訪問憑證混合請求后，安全飛地開始混合，并生成一個鏈下憑證混合交易，然后將鏈下憑證混合交易發送給對應的用戶以及網絡服務提供者。

算法1 訪問憑證混合算法

輸入 用戶訪問憑證混合請求、、時間戳

輸出 鏈下憑證混合交易

i=0; j=0;

while(1){

wait(request);

ri=random(); //生成挑戰

send(ri);

if(verify(ri,CU,SigskU(H(ri)))=1) //驗證用戶訪問憑證有效性，以及用戶對憑證的所有權

j=j+1;

Cold← CU;

Cnew← CU_new;

end if

if(j>=k) break; //個有效請求后開始混合

}

Cnew← Shuffle(Cnew); //混淆新訪問憑證集合中的順序

TX ← tx_genenrate(Cold,Cnew,Time) //生成鏈下混合交易

安全飛地在驗證用戶憑證的有效性時，會判斷該用戶鏈下混合執行次數是否超過。如果超過，則通知該用戶需要執行鏈上憑證混合。這是為了應對可能存在的網絡服務提供者、基于Intel SGX的混合服務器，以及一些用戶的共謀攻擊。由于每次鏈上憑證混合都耗費一定的交易費，共謀攻擊需要花費一定的金融成本才能執行。此外，如果一個安全飛地所服務的某些用戶鏈上混合頻率過高，誠實用戶可以發現該類共謀攻擊。安全飛地具有完整的混合日志，所以給定一個有效憑證，安全飛地知曉其對應哪個用戶。

安全飛地在創建鏈下憑證混合交易時需要嵌入一個時間戳。本文方案采用安全飛地本地最新的區塊頭哈希以及序列號作為時間戳，其中，序列號表明該鏈下憑證混合交易是第幾個鏈下憑證混合交易，當本地最新的區塊頭哈希發生變化時，序列號從0重新計數。

3.5 憑證驗證

當用戶連接到Wi-Fi熱點或者通過安全飛地執行訪問憑證混合協議，需要證明其擁有一個有效的訪問憑證。證明者可以使用數字簽名來證明其擁有某個訪問憑證，為了證明該訪問憑證是有效的，需要構建一個基于授權交易輸出的證明。

驗證路徑規則就是用于構建這樣的證明。在比特幣區塊鏈中，交易輸入包含一個指向之前交易輸出的索引。因此，一個交易輸入可以被鏈接到之前交易的某個交易輸出。在定義相同交易中，交易輸入和交易輸出之間的映射關系后，訪問憑證所在的交易輸出與某個授權信息之間構成一條路徑。為實現這種思想，本文方案定義某個交易內第個交易輸入鏈接到第個交易輸出，驗證路徑如圖4所示。

給定一個訪問憑證和一個授權交易輸出，一個驗證者可以檢查它們之間是否存在一條驗證路徑。

網絡服務提供者和安全飛地都可以通過同步比特幣區塊鏈、鏈下憑證混合交易以及黑名單來維護一個當前有效訪問憑證集合。該有效訪問憑證集合至少包含授權交易輸出、根據驗證路徑對應的最新憑證、最新憑證所在交易的txid，以及最新憑證是否有效的標識位。

圖4 驗證路徑

Figure 4 Verification path

安全飛地以及網絡服務提供者通過訪問憑證驗證算法來驗證一個訪問憑證是否有效，具體如算法2所示。

算法2 訪問憑證有效性驗證算法

輸入 用戶憑證C，驗證路徑{tx1,tx2,…, tx}，有效訪問憑證集合VAC

輸出 是否有效

if(CU∈VAC) //檢查用戶憑證是否在有效訪問憑證集合中

return true;

else

tx.time ← find(tx1,VAC) //找到有效訪問憑證集合中該驗證路徑起點對應的有效訪問憑證，找到其所在交易的時間戳

if(tx.time >= txn.time) //如果用戶訪問憑證所在的交易時間戳小于VAC中記錄的時間戳，訪問憑證無效

return false;

else

TX ← find({tx1,tx2,…,txn}); //說明鏈下混合交易未同步，找到所有未同步的交易

end if

if(tx_verify(TX)=1)

update(VAC); //如果所有未同步交易都有效，根據這些交易更新有效訪問憑證集合

return true;

else return false;

end if

通常用戶只需提供訪問憑證進行訪問憑證的有效性驗證。只有當用戶提供的訪問憑證不在有效訪問憑證集合中時，才需要提供完整的驗證路徑用于執行后續驗證操作。

當用戶連接到Wi-Fi熱點時，Wi-Fi熱點需要向用戶證明其擁有一個有效憑證。不同于用戶訪問憑證的證明，Wi-Fi熱點只需將憑證所在熱點列表交易的txid發送給用戶。用戶可以根據熱點憑證所在交易輸出是否是UTXO，熱點列表交易是否是網絡服務提供者所創建，來判斷熱點憑證是否有效。所以，Wi-Fi熱點只需向用戶提供其憑證、憑證所在的熱點列表交易，以及憑證對應私鑰的數字簽名即可。

3.6 雙向認證協議

當用戶連接到Wi-Fi熱點，需要執行一個雙向認證協議。由于用戶和Wi-Fi熱點都具有憑證以及對應的公私鑰對，本文方案使用挑戰-應答握手技術構建雙向認證協議。雙向認證協議如下。

2) 用戶捕獲信標并從中提取出1，然后用戶如第3.5節所述驗證熱點憑證的有效性。

3.7 憑證撤銷

當網絡服務提供者發現用戶執行惡意行為，它將用戶所使用的訪問憑證加入黑名單，然后生成黑名單更新交易。黑名單將采用Merkle樹的形式組織，每個Merkle樹的葉子節點為一個加入黑名單的憑證以及其所在混合交易的txid，其對應的Merkle根將被嵌入黑名單更新交易中，如圖5所示。黑名單更新交易需要寫入比特幣區塊鏈才能生效。

圖5 黑名單更新交易

Figure 5 Blacklist update transaction

當安全飛地發現新的黑名單更新交易，它將與網絡服務提供者執行同步黑名單操作，然后計算新的Merkle根，驗證計算獲得的Merkle根與黑名單交易中的Merkle根是否相同。如果相同，則黑名單未被篡改。

安全飛地同步黑名單之后，會根據新增加的黑名單更新有效訪問憑證集合。如果黑名單的憑證在當前有效訪問憑證集合，則將該憑證標識為無效。如果不在，則說明持有該憑證的用戶參與了新的訪問憑證混合協議。安全飛地可以根據黑名單中該訪問憑證所在的txid查找交易鏈，由于安全飛地具有所有鏈下混合日志，所以它知曉具體哪個用戶執行了惡意行為，然后查找有效訪問憑證集合，將該用戶的當前有效訪問憑證標識為無效。隨后，安全飛地將黑名單執行結果同步給網絡服務提供者。

3.8 檢查點更新

當用戶的訪問憑證不在有效訪問憑證集合時，用戶需要出示完整的驗證路徑證明其訪問憑證的有效性。用戶的通信開銷將隨著驗證路徑長度呈線性增長，為防止用戶的通信開銷無限制增加，本文方案限制驗證路徑長度最大為即第3.4節用戶能執行鏈下憑證混合的最大次數。

鏈下混合開啟交易的P2SH交易輸出將作為檢查點，用戶只需出示到達檢查點這部分的驗證路徑。檢查點更新操作可通過第3.4節的鏈下憑證混合重啟操作來實現。這意味著有效的檢查點必須為一個UTXO。

4 安全性分析

本節對所提方案的特性進行分析，驗證其是否滿足第2.3節定義的安全需求，具體分析如下。

1) 安全性。用戶和Wi-Fi熱點之間可以執行雙向認證協議。本文方案中，用戶首先認證Wi-Fi熱點憑證的有效性，但還無法確認該憑證是否由該Wi-Fi熱點所擁有。隨后用戶采用ECIES的會話密鑰協商算法使用該憑證的公鑰計算會話密鑰，并用該會話密鑰加密一個隨機數以及該會話密鑰。用戶再把自己的訪問憑證發送給Wi-Fi熱點。Wi-Fi熱點通過網絡服務提供者驗證用戶憑證的有效性。然后根據ECIES的會話密鑰協商算法計算出會話密鑰，再解密用戶發送過來的密文。注意到，密文中同樣包含用戶計算的會話密鑰，Wi-Fi熱點可以根據兩個會話密鑰是否一致判斷用戶是否擁有其發送過來的訪問憑證。之后，Wi-Fi熱點需要將自己解密的結果發送給用戶以證明其擁有對應的熱點憑證。只有當用戶和Wi-Fi熱點都擁有其聲稱的憑證時，雙向認證協議才能成功執行。

2) 匿名性與不可鏈接性。訪問憑證交換都在安全飛地內執行，只有安全飛地知曉用戶的新舊訪問憑證對應關系。只要參與訪問憑證交換的用戶中至少存在兩個誠實用戶，攻擊者就無法鏈接誠實用戶的新舊憑證。

3) 可問責性。首先，根據驗證路徑規則，在訪問憑證混合過程中，混合前后有效訪問憑證數目相同。當發現用戶執行惡意行為時，其當前所用訪問憑證將被加入黑名單。而加入黑名單的訪問憑證無法再參與訪問憑證混合。即使該訪問憑證被加入黑名單之前已經執行訪問憑證混合，安全飛地可以根據完整的訪問憑證混合日志將該用戶所擁有的當前有效憑證撤銷。而黑名單執行結果將同步給網絡服務提供者，所以執行惡意行為的用戶將不再能夠通過Wi-Fi熱點的認證。

4) 不需要可信第三方。本文方案對所有實體的信任都是有限的。針對可能存在的共謀攻擊，3.4節已經給出詳細的抵抗方式。所以，即使網絡服務提供者、基于Intel SGX的混合服務器以及一些用戶共謀，也不能夠完全解匿名用戶而不被用戶發現。

5 性能評估

本文使用Crypto++[23]提供的密碼函數庫進行實現，從而驗證本方案中雙向認證期間用戶和網絡服務提供者的通信和計算開銷。實驗采用的密碼學算法以及相應的參數如表1所示。實驗運行在Dell OptiPlex 7050上，使用Intel i7-7700 CPU，CPU頻率為3.60 GHz，8 GB內存。相同的參數下，本文執行1 000次雙向認證協議，取其平均值。

當網絡服務提供者與安全飛地完全同步鏈下憑證混合交易時，網絡服務提供者只需查詢有效訪問憑證集合即可完成憑證有效性驗證。當二者未達成同步時，用戶需要提供完整的驗證路徑以證明其訪問憑證的有效性。此時，未同步交易的數量以及鏈下憑證混合交易的參與者數目都會影響雙向認證完成時間。本文方案首先驗證未同步交易數目對雙向認證完成時間的影響。實驗結果如圖6所示。

表1 執行參數

圖6 未同步交易數目對雙向認證效率的影響

Figure 6 Impact of the number of the unsynchronized off-chain mixing transaction on mutal authentication efficiency

其中，固定參數=10，即安全飛地收集到10個有效訪問憑證混合請求時才執行鏈下憑證混合。橫軸代表未同步交易數目，縱軸代表用戶和Wi-Fi熱點完成雙向認證協議所需時間。未同步交易數目為0時，表示網絡服務提供者與安全飛地完成同步，直接查詢有效訪問憑證集合即可判斷用戶憑證的有效性。此時大約需要9.258 ms完成雙向認證。與預期結果相同，總的雙向認證完成時間與未同步交易數目呈線性增長。可以看到，未同步交易數目達到30時，完成雙向認證所需時間大約需要672 ms，仍低于PEREA[5]中的最好結果0.7 s。

接著，本文假設平均未同步交易數目為5，驗證雙向認證完成所需時間與執行鏈下憑證混合所需的有效用戶數目之間的關系。實驗結果如圖7所示。

圖7 執行鏈下憑證混合所需的有效用戶數k對雙向認證效率的影響

Figure 7 Impact of the number of users per off-chain mixing transaction on mutual authentication efficiency

橫軸代表執行鏈下憑證混合所需的有效用戶數，縱軸代表用戶和Wi-Fi熱點完成雙向認證協議所需時間。與預期結果相同，總的雙向認證完成時間與參數呈線性增長。可以看到，當平均未同步交易數目為5時，安全飛地可以等到60個有效的訪問憑證混合請求再執行鏈下憑證混合，此時雙向認證所需的平均時間大約為653 ms，仍低于PEREA[5]中的最好結果0.7 s。

6 結束語

本文提出了一種基于比特幣區塊鏈和Intel SGX的匿名且可問責的用戶管理與訪問控制方案。該方案在不修改已有比特幣區塊鏈協議的前提下，實現了對公共無線局域網訪問憑證的安全管理，而無須依賴可信第三方。比特幣區塊鏈只能對訪問憑證提供弱的匿名性，為此該方案采用基于Intel SGX的混合技術，既增強了用戶訪問憑證的匿名性，又降低了用戶與網絡服務提供者的通信和計算開銷。該方案設計的區塊鏈驗證路徑規則在保護用戶隱私的同時實現了對惡意用戶的問責。安全分析和實驗結果驗證了該方案的安全性和可行性。

[1] PISA C, CAPONI A, DARGAHI T, et al. WI-FAB: attribute-based WLAN access control, without pre-shared keys and backend infra-structures[C]//Proceedings of the 8th ACM International Workshop on Hot Topics in Planet-Scale Mobile Computing and Online Social Networking. 2016: 31-36.

[2] CASSOLA A, BLASS E O, NOUBIR G. Authenticating privately over public Wi-Fi hotspots[C]//Proceedings of the 22nd ACM SIGSAC Conference on Computer and Communications Security. 2015: 1346-1357.

[3] LOU W, REN K. Security, privacy, and accountability in wireless access networks [J]. IEEE Wireless Communications, 2009, 16(4): 80-87.

[4] TSANG P P, AU M H, KAPADIA A, et al. Blacklistable anonymous credentials: blocking misbehaving users without TTPS[C]// Proceedings of the 14th ACM Conference on Computer and Communications Security. 2007: 72-81.

[5] TSANG P P, AU M H, KAPADIA A, et al. PEREA: Towards practical TTP-free revocation in anonymous authentication[C]//Proceedings of the 15th ACM Conference on Computer and Communications Security. 2008: 333-344.

[6] NIU Y, WEI L, ZHANG C, et al. An anonymous and accountable authentication scheme for Wi-Fi hotspot access with the bitcoin blockchain[C]//2017 IEEE/CIC International Conference on Communications in China (ICCC). 2017: 1-6.

[7] RUFFING T, MORENO-SANCHEZ P, KATE A. CoinShuffle: practical decentralized coin mixing for bitcoin[C]//European Symposium on Research in Computer Security. 2014: 345-364.

[8] MARTIN J, MAYBERRY T, DONAHUE C, et al. A study of MAC address randomization in mobile devices and when it fails[J]. Proceedings on Privacy Enhancing Technologies, 2017, 2017(4): 365-383.

[9] DINGLEDINE R, MATHEWSON N, SYVERSON P. Tor: the second-generation onion router[R]. Naval Research Lab Washington DC, 2004.

[10] BRASSER F, MüLLER U, DMITRIENKO A, et al. Software grand exposure:SGX cache attacks are practical[C]//11th USENIX Workshop on Offensive Technologies (WOOT 17). 2017.

[11] H?HNEL M, CUI W, PEINADO M. High-resolution side channels for untrusted operating systems[C]//2017 USENIX Annual Technical Conference (USENIX ATC 17). 2017: 299-312.

[12] G?TZFRIED J, ECKERT M, SCHINZEL S, et al. Cache attacks on Intel SGX[C]//Proceedings of the 10th European Workshop on Systems Security. 2017: 2.

[13] MOGHIMI A, IRAZOQUI G, EISENBARTH T. Cachezoom: how SGX amplifies the power of cache attacks[C]//International Conference on Cryptographic Hardware and Embedded Systems. 2017: 69-90.

[14] SCHWARZ M, WEISER S, GRUSS D, et al. Malware guard extens sion: using SGX to conceal cache attacks[C]//International Conference on Detection of Intrusions and Malware, and Vulnerability Assessment. 2017: 3-24.

[15] WANG W, CHEN G, PAN X, et al. Leaky cauldron on the dark land: understanding memory side-channel hazards in SGX[C]//Proceedings of the 2017 ACM SIGSAC Conference on Computer and Communications Security. 2017: 2421-2434.

[16] STRACKX R, PIESSENS F. Ariadne: a minimal approach to state continuity[C]//25th USENIX Security Symposium (USENIX Security 16). 2016: 875-892.

[17] CHEN S, ZHANG X, REITER M K, et al. Detecting privileged side-channel attacks in shielded execution with Déjá Vu[C]// Proceedings of the 2017 ACM on Asia Conference on Computer and Communications Security. 2017: 7-18.

[18] COSTAN V, LEBEDEV I, DEVADAS S. Sanctum: minimal hardware extensions for strong software isolation[C]//25th USENIX Security Symposium (USENIX Security 16). 2016: 857-874.

[19] GRUSS D, LETTNER J, SCHUSTER F, et al. Strong and efficient cache side-channel protection using hardware transactional memory[C]//26th USENIX Security Symposium (USENIX Security 17). 2017: 217-233.

[20] SHIH M W, LEE S, KIM T, et al. T-SGX: eradicating controlled -channel attacks against enclave programs[C]//NDSS. 2017.

[21] SHINDE S, CHUA Z L, NARAYANAN V, et al. Preventing page faults from telling your secrets[C]//Proceedings of the 11th ACM on Asia Conference on Computer and Communications Security. 2016: 317-328.

[22] MISHRA P, PODDAR R, CHEN J, et al. Oblix: an efficient oblivious search index[C]//2018 IEEE Symposium on Security and Privacy (S&P). IEEE, 2018: 279-296.

[23] Crypto++ [EB].

Privacy-preserving access control for public wireless LAN utilizing the bitcoin blockchain

NIU Yukun1, WEI Lingbo1, ZHANG Chi1, ZHANG Xia2, Gustavo Vejarano3

1. School of Information Science and Technology, University of Science and Technology of China, Hefei 230026, China 2. School of Computer Science and Technology, Wuhan University of Technology, Wuhan 430047, China 3. Department of Electrical Engineering and Computer Science, Loyola Marymount University, Los Angeles 90045, USA

In designing an access control scheme for public wireless LAN (WLAN), user privacy protection and user accountability are two conflict goals. A novel user management and access control scheme was proposed to solve this problem by utilizing the bitcoin blockchain and Intel SGX. It utilized unmodified bitcoin blockchain to manage the ownership of access credentials for users without relying on any trusted third party. It adopted Intel SGX-based mixing technology to enhance anonymity of users’ access credentials. It designed verification path rule to resolve the conflicts between the privacy-preserving and accountability objectives. The effectiveness and feasibility of the proposed scheme are also demonstrated by security analysis and performance evaluation.

WLAN access control, bitcoin blockchain, Intel SGX, anonymity, accountability, authentication

The Natural Science Foundation of China (No. 61702474), The National Key R&D Program of China (No.2018YFB0804201)

TP302

A

10.11959/j.issn.2096?109x.2020022

牛玉坤（1989? ），男，河南周口人，中國科學技術大學博士生，主要研究方向為應用密碼學和區塊鏈技術。

魏凌波（1979? ），女，陜西周至人，博士，中國科學技術大學副研究員，主要研究方向為應用密碼學和區塊鏈技術。

張馳（1977? ），男，廣西百色人，博士，中國科學技術大學副教授，主要研究方向為無線網絡、網絡安全和區塊鏈技術。

張霞（1979? ），女，湖北武漢人，博士，武漢理工大學講師，主要研究方向為無線網絡和區塊鏈技術。

Gustavo Vejarano（1982? ），男，哥倫比亞人，博士，洛約拉馬利蒙特大學副教授，主要研究方向為無線網絡和安全技術。

論文引用格式：牛玉坤, 魏凌波, 張弛, 等. 基于比特幣區塊鏈的公共無線局域網接入控制隱私保護研究[J]. 網絡與信息安全學報, 2020, 6(2): 56-66.

NIU Y K,WEI L B, ZHANG C, et al. Privacy-preserving access control for public wireless LAN utilizing the bitcoin blockchain [J]. Chinese Journal of Network and Information Security, 2020, 6(2): 56-66.

2020?01?15；

2020?02?22

魏凌波, lingbowei@ustc.edu.cn

國家自然科學基金資助項目（No.61702474）；國家重點研發計劃基金資助項目（No.2018YFB0804201）