漫游网络代理服务器

软件学报ISSN1000-9825,CODENRUXUEWE-mail:jos@iscas.
ac.
cnJournalofSoftware,2018,29(12):38203836[doi:10.
13328/j.
cnki.
jos.
005302]http://www.
jos.
org.
cn中国科学院软件研究所版权所有.
Tel:+86-10-62562563基于模糊身份的直接匿名漫游认证协议周彦伟1,2,4,杨波1,2,4,王鑫1,3,41(陕西师范大学计算机科学学院,陕西西安710062)2(密码科学技术国家重点实验室,北京100878)3(陕西科技大学电气与信息工程学院,陕西西安710021)4(信息安全国家重点实验室(中国科学院信息工程研究所),北京100093)通讯作者:杨波,E-mail:byang@snnu.
edu.
cn摘要:近年来,为保护用户的隐私安全性,大量适用于全球移动网络环境的匿名漫游认证协议相继被提出.
其中,部分协议采用临时身份代替真实身份的方法实现漫游过程中用户身份的匿名性需求,然而临时身份的重复使用,在一定程度上增加了用户的存储负担;部分协议采用身份更新的方法实现临时身份的一次一变性,但是相关信息的存储及更新操作,导致协议的执行效率较低.
针对上述不足,提出模糊的直接匿名漫游认证协议.
无需家乡代理的协助,通过1轮消息交互,外部代理即可直接完成对移动用户的身份合法性验证.
同时,无需更新操作,即可实现漫游过程中临时身份的一次一变性.
该机制在实现身份合法性匿名认证的同时,提高了协议的存储和执行效率,并且降低了通信时延.
安全性证明表明,该协议在Canetti-Krawczyk(CK)安全模型下可证明是安全的.
相较于传统漫游认证协议而言,该协议在存储、通信和计算等方面具有更优的性能,更适用于全球移动网络.
关键词:全球移动网络;模糊直接认证;模糊提取器;CK安全模型中图法分类号:TP309中文引用格式:周彦伟,杨波,王鑫.
基于模糊身份的直接匿名漫游认证协议.
软件学报,2018,29(12):38203836.
http://www.
jos.
org.
cn/1000-9825/5302.
htm英文引用格式:ZhouYW,YangB,WangX.
Directanonymousauthenticationprotocolforroamingservicesbasedonfuzzyidentity.
RuanJianXueBao/JournalofSoftware,2018,29(12):38203836(inChinese).
http://www.
jos.
org.
cn/1000-9825/5302.
htmDirectAnonymousAuthenticationProtocolforRoamingServicesBasedonFuzzyIdentityZHOUYan-Wei1,2,4,YANGBo1,2,4,WANGXin1,3,41(SchoolofComputerScience,ShaanxiNormalUniversity,Xi'an710062,China)2(StateKeyLaboratoryofCryptology,Beijing100878,China)3(CollegeofElectrical&InformationEngineering,ShaanxiUniversityofScienceandTechnology,Xi'an710021,China)4(StateKeyLaboratoryofInformationSecurity(InstituteofInformationEngineering,TheChineseAcademyofSciences),Beijing100093,China)基金项目:国家重点研发计划(2017YFB0802000);国家自然科学基金(61802242,61572303,61772326,61802241,61702259);陕西省自然科学基础研究计划(2018JQ6088,2017JQ6029);"十三五"国家密码发展基金(MMJJ20180217);信息安全国家重点实验室(中国科学院信息工程研究所)开放课题(2017-MS-03);中央高校基本科研业务费专项资金(GK201803064)Foundationitem:NationalKeyR&DProgramofChina(2017YFB0802000);NationalNaturalScienceFoundationofChina(61802242,61572303,61772326,61802241,61702259);NaturalScienceBasicResearchPlaninShaanxiProvinceofChina(2018JQ6088,2017JQ6029);NationalCryptographyDevelopmentFoundationduringthe13thFive-yearPlanPeriod(MMJJ20180217);FoundationofStateKeyLaboratoryofInformationSecurity(2017-MS-03);FundamentalResearchFundsfortheCentralUniversities(GK201803064)收稿时间:2016-06-17;修改时间:2016-11-17;采用时间:2017-05-16周彦伟等:基于模糊身份的直接匿名漫游认证协议3821Abstract:Toprovidesecureroamingservicesformobileusersinglobalmobilitynetworks,manyanonymousauthenticationprotocolshavebeenproposedinrecentyears.
Butmostofthemfocusonlyonauthenticationandfailtosatisfymanypracticalsecurityrequirements.
Inordertoachieveanonymity,thetraditionalanonymousroamingprotocolsdependonatemporaryidentityinsteadofrealidentity.
However,theseschemeshavestorage,communicationandcomputingoverheadsduetotheupdateoperations.
Toovercometheshortcomingsmentionedabove,thispaperproposesafuzzydirectanonymousroamingmechanismforglobalmobilitynetworks,inwhichtheroaminguserscanfulfillthelegitimacyauthenticationoftheiridentitythroughoneroundmessageexchangewithFA.
Thismechanismnotonlyachievesthelegitimateauthenticationofanonymousidentitythroughfuzzyidentity,butalsoavoidstheupdateoperationstogetthepropertyof"oneatatime"oftemporaryidentityintheprocessofroaming.
Additionally,asecurityproofshowsthatthismechanismisprovablysecureintheCKsecuritymodel.
Moreover,comparativeanalysisshowsthatthepresentedproposalhasstrongersecurity,achievesstrongeranonymity,andhaslowerstorage,communicationandcomputingoverheads.
Comparedwiththetraditionalanonymousroamingmechanism,themechanismproposedinthispaperismoresuitablefortheglobalmobilitynetworks.
Keywords:globalmobilitynetwork;fuzzydirectauthentication;fuzzyextractor;CKsecuritymodel随着网络信息技术的发展,无线网络已逐步向多种无线接入技术并存的全球移动网络发展,全球移动网络有拓扑结构动态变化、开放链路、多种接入技术并存等特点,已成为下一代网络发展的趋势.
多样化、无处不在的服务特性使全球移动网络相较与传统网络更容易受到敌手的攻击,面临着窃听、中间人攻击和重放攻击等安全威胁.
由于用户在全球移动网络中具有动态变化的特点,因此需要安全认证、访问控制和安全漫游等安全技术保障全球移动网络的通信安全性.
安全漫游是全球移动网络的关键服务之一.
安全漫游使得移动用户(mobileusers,简称MU)的接入服务不受家乡网络覆盖范围的限制,当用户漫游至远程网络(家乡网络之外的网络)时,移动用户在全球移动网络中仍然可以保持连接.
漫游认证过程在完成移动用户身份合法性验证的同时,需关注用户隐私信息的保护问题,同时应防止移动用户的身份和位置等隐私信息被恶意实体跟踪,即,安全漫游机制至少需具有匿名性和不可追踪性.
如图1所示,全球移动网络抽象模型主要由移动用户、家乡认证代理(homeagent,简称HA)和远程认证代理(foreignagent,简称FA)组成,其中,FA是相对于HA而言的.
接入点(accesspoint,简称AP)是抽象的用户接入设备,CA是全球移动网管理中心.
无线连接有线连接InternetAPFAFA漫游路径管理中心CAAPAPMUMUHAFig.
1Theroamingmodelofglobalmobilitynetworks图1全球移动网漫游抽象模型针对目前漫游认证协议所存在的不足(具体分析详见第2节),本文提出模糊的匿名漫游认证机制,MU漫游注册成功后,获得HA签发的漫游注册信息;MU可基于漫游注册信息和模糊身份生成漫游认证信息,FA即可直接通过验证漫游认证信息的合法性完成对MU身份合法性的验证,模糊身份的使用可确保MU身份的匿名性,同时满足对临时身份的一次一变性需求,即,模糊身份的使用使得在不增加额外计算和存储负载的前提下高效的实现MU的匿名性及对临时身份的更新需求;漫游过程的1轮消息交互,减少了消息交互次数,降低了通信时延,并提高了协议的执行效率;同时,在CK安全模型下证明本文协议是可证明安全的.
3822JournalofSoftware软件学报Vol.
29,No.
12,December20181研究现状漫游认证协议在实现用户身份合法性验证的同时,还具有密钥协商、隐私保护等功能.
由于全球移动网的特殊性,全球移动网漫游认证协议除了保证用户身份匿名性和不可追踪性的同时,还需兼顾以下两个方面.
1)移动用户的计算能力和能量通常是有限的,应尽量减轻移动用户的计算量;特别在传感器网络中,传感节点的能量及计算能力极其有限,对存储和计算效率的要求更高;2)由于无线网络的通信带宽相对较低,信道出错率高,在保证安全认证的前提下,尽可能地减少消息交互次数.
近年来,研究人员对漫游认证协议进行了大量研究.
文献[1]提出了第1个无线环境下的匿名认证协议.
文献[2]发现其存在伪造攻击,并针对其所存在的不足提出了相应的改进机制.
但是,文献[3]发现,文献[2]的改进机制依然存在伪造攻击,并对文献[2]的协议做了进一步的改进.
然而,文献[4]指出,文献[3]的改进机制却存在披露合法用户身份和未能实现完美前向保密的不足.
针对上述不足,文献[4]提出了改进方案,但由于方案设计中未对相应的消息进行合法性验证,改进机制易遭受中间人攻击.
文献[5]的无线网络认证机制具有较优的执行效率,但该机制不具有前向安全性,且无法满足用户的隐私保护需求.
文献[6,7]的漫游认证机制较大程度地保护了用户的匿名性,但无法实现不可跟踪性,由于需要存储相应的秘密信息,导致存储效率较低.
文献[8,9]具有较高的执行效率、不可追踪性和匿名性,但是无法满足不可否认性和前向安全性.
文献[10]的计算效率较低.
文献[11]提出了适用于可信移动终端的漫游认证机制,但该机制的计算效率较低,并且不具有不可跟踪性和完美的前向安全性.
文献[12]的计算效率较低.
文献[13]综合分析了文献[24]中的漫游认证机制,分别指出相应机制中所存在的不足,并提出了相应的改进机制,然而改进机制不具有不可跟踪性.
文献[14]修复了文献[13]的缺陷,但是该机制允许家乡认证服务器存储用户私钥,在一定程度上降低了用户私钥的安全性.
文献[15]在总结现有漫游认证机制的基础上,提出相应的漫游认证机制.
文献[16]提出适用于无线通信网络环境下的通用匿名认证协议,无需HA的协助,FA直接完成对MU的认证.
文献[17,18]提出物联网环境下的漫游认证协议,在文献[17]中,MU与FA间基于1轮消息交互即可完成漫游认证;文献[18]基于代理签名机制实现漫游认证,遗憾的是,该机制未进行密钥协商.
文献[19]在可信计算环境下提出适用于可信移动终端的漫游认证机制.
文献[20]基于双线性映射提出一个安全高效的漫游认证协议,但该协议的计算、通信和存储开销较大.
分析现有的漫游认证机制[120],根据认证模式可划分为下述两类.
(1)三方漫游认证在三方漫游认证协议[115]中,由于FA并未掌握漫游MU的注册信息,因此FA需在HA的协助下完成MU的身份合法性验证,即:FA将MU的漫游证明信息发给HA,由HA负责验证MU的合法性,FA根据HA的验证反馈制定相应的决策,即,三方漫游认证机制需要2轮共4次的消息交互才能完成MU的漫游接入.
分析可知,三方漫游认证协议[115]的不足主要有:1)通信时延大.
由于FA并未掌握漫游MU的相关信息,因此FA需在HA的协助下完成对漫游MU的身份合法性验证,则2轮消息交互导致三方漫游认证协议的通信时延较大;2)安全性弱.
由于HA参与漫游MU的身份合法性验证,当本地域大量MU申请漫游时,将导致HA成为整个漫游验证协议的安全瓶颈;一旦攻击者对HA进行DDOS攻击,则整个漫游认证机制将处于瘫痪状态,无法正常工作,则三方漫游认证协议的安全性较弱;3)认证效率低.
由于HA需协助FA完成对漫游MU的身份合法性验证,因此只有HA始终在线才能确保MU的漫游需求,这在一定程度上增加了HA的执行负载,则三方漫游认证协议的认证效率较低.
(2)两方漫游认证针对三方漫游认证模式所存在的不足,近年来,研究者对两方漫游认证机制[1620]进行了研究,即:无需HA的协助,FA直接完成对MU的身份合法性验证.
两方漫游认证机制很好地解决了三方认证机制在安全性、通信时延和认证效率等方面存在的不足.
然而,在匿名性方面依然延续使用临时身份替代真实身份的策略,导致两方漫游认证协议[1620]存在下述不足:周彦伟等:基于模糊身份的直接匿名漫游认证协议38231)存储效率低.
为实现漫游过程的匿名性,MU在存储真实身份的同时,还需存储注册过程中HA为其计算的临时身份[16,17,19];此外,部分机制[19]为实现临时身份的一次一变性,会额外存储用于更新操作的相关信息.
因此,临时身份及更新信息的存储将会增加MU的存储负担;2)时效性差.
临时身份替代真实身份进行漫游认证的过程中,同一用户始终使用相同的临时身份进行漫游申请[16,17],即,MU持相同的临时身份进行多次漫游申请,临时身份不具有一次一变性,即无法满足临时身份的更新需求;3)计算效率低.
为实现临时身份的一次一变性,采用相应的算法定时更新临时身份[19],但更新过程较繁琐,需要MU与FA同时完成相应的更新操作才能成功认证,在一定程度上增加了MU的计算负载.
综上所述,在不增加额外存储和计算负载的前提下,设计满足临时身份一次一变性的两方漫游认证协议将是本文的主要研究工作.
2基础知识2.
1CK安全模型CK安全模型[2123]中定义了理想模型AM和现实模型UM两种攻击模型.
1)理想模型.
AM表示认证的链路模型,在AM中,攻击者是被动的,并且具有调用协议运行、查询会话密钥、暴漏会话密钥、攻陷协议参与者以及测试会话密钥的能力;但在AM中,攻击者只能忠实地传递同一消息1次,不能伪造、篡改或重放来自未被攻陷参与者的消息;2)现实模型.
UM表示未认证的链路模型,在UM中,攻击者除能够执行AM中的所有攻击外,还具有伪造、篡改和重放消息的能力,则在UM中,攻击者能够控制协议事件的调度和通信链路,同时还能够通过攻击者具体的攻击手段获知协议参与者存储器中的秘密信息.
定义1[21].
设Π是运行在AM中的n方消息驱动协议,Π′是运行在UM中的n方消息驱动协议.
若对于任何UM敌手Q,始终存在一个AM敌手Q′,使得两个协议的全局输出在计算上是不可区分的,则称协议Π′在UM中仿真了AM中的协议Π.
定义2[21].
编译器C是一种算法,它的输入是协议的描述,输出也是协议的描述.
若一个编译器C对于任何协议Π均有协议C(Π)在UM中仿真Π,则这个编辑器称为认证器.
因此,AM中的安全协议可由认证器转化为UM中的安全协议.
定义3(会话密钥安全)[21].
若对于AM中的任意敌手A,当且仅当下列性质都满足时,该协议在AM中是会话密钥安全的:(1)若攻击者忠实地传送消息,对协议消息不做任何修改,且参与者接受该会话,则参与者协商了相同的会话密钥,并且该会话密钥空间上服从均匀分布;(2)敌手A进行测试(或挑战)会话查询攻击,它猜中正确会话的概率不超过12ε+,其中,ε是安全参数范围内可忽略的任意小数.
定理1[23].
假设λ是一个消息传输认证器,即λ在UM中仿真了简单消息传输协议,假设Cλ是在λ的基础之上定义的编译器,则Cλ也是一个认证器.
2.
2安全性假设定义4(判定性Diffie-Hellman(DDH)问题).
设循环群G的阶是大素数p,P是群G的一个生成元;给定两个元组(P,aP,bP,abP)和(P,aP,bP,cP),其中,,,pabcZ∈且未知,DDH困难问题的目标是判断abP=cP是否成立.
DDH假设满足对于任意的概率多项式时间(probabilitypolynomialtime,简称PPT)算法A,优势AdvDDH(A)=|Pr[A(P,aP,bP,abP)=1]Pr[A(P,aP,bP,cP)=1]|是可忽略的,其中,概率来源于算法A的随机选择和a,b,c在pZ上的随机选取.
3824JournalofSoftware软件学报Vol.
29,No.
12,December20182.
3双线性映射定义5(双线性映射).
设G1和G2分别为阶是大素数q的加法循环群和乘法循环群,P为群G1的一个生成元.
当映射e:G1*G1→G2满足下列性质时,称e为一个双线性对.
双线性:e(aP,bQ)=e(P,Q)ab,对所有的P,Q∈G1,,qabZ∈均成立;非退化性:存在P,Q∈G1,使得e(P,Q)≠1,其中,1为G2的单位元;可计算性:对于P,Q∈G1,可在多项式时间内完成e(P,Q)的计算.
2.
4模糊提取器定义1(,)|Pr[]Pr[]|2wSDXYXwYwΩ∈===∑表示有限域Ω上随机变量X与Y间的统计距离;H∞(X)=log(MaxxPr[X=x])表示随机变量X的最小熵,即:H∞(X)表示在没有附加信息的前提下,猜测X的最大概率.
定义(|)(|)log([2])HXYyyYHXYE∞=∞←=表示已知Y时,随机变量X的平均最小熵,即:(|)HXY∞表示在变量Y已知时,变量X的不可预测性.
特别地,统计距离、最小熵和平均最小熵等概念的详细介绍见文献[24],本文不再赘述.
定义6(强提取器).
若对于满足条件X∈{0,1}n和(|)HXIm∞≥的随机变量X和I有SD((Ext(X,S),S,I),(Um,S,I))≤ε成立,且S∈{0,1}t和Um∈{0,1}l,称函数Ext:{0,1}n*{0,1}t→{0,1}l是平均情况的(n,m,l,ε)-强提取器.
定义7(安全框架)Mmmη-安全框架是具有下述属性的一对随机程序Sketch(SS)和Recover(Rec).
(1)正确性.
若有SD(ω,ω′)≤η成立,则有Rec(ω′,SS(ω))=ω;(2)安全性.
对于M上的任意在分布ω,若有()Hmω∞≥成立,就有HSSmωω∞≥其中,框架程序SS在输入ω∈M中,返回s∈{0,1}*,即SS(ω)=s;恢复程序Rec则以ω′∈M和s∈{0,1}*作为输入,以ω作为输出,其中,{0,1}*表示任意的随机字符串.
定义8(模糊提取器).
满足下述性质的随机程序Generate(Gen)和Reproduce(Rep)称为(M,m,l,η,ε)-模糊提取器FExt=(Gen,Rep).
(1)正确性.
已知Gen(ω)=(T,P),若有SD(ω,ω′)≤η成立,则有Rec(ω′,P)=ω;(2)安全性.
已知Gen(ω)=(T,P),对于M上的任意分布W,若有H∞(W)≥m成立,就有SD((T,P),(Ul,P))≤ε,其中,Ul为{0,1}l上的均匀随机分布.
生成程序Gen,在输入ω∈M中,输出一个随机串T∈{0,1}l和一个任意长度的辅助串P∈{0,1}*,即Gen(ω)=(T,P);再生程序Rep则以ω′∈M和P∈{0,1}*作为输入,输出空间M上的值.
特别地,M表示模糊提取器FExt=(Gen,Rep)的输入空间;m表示M中随机变量的最小熵;l表示算法Gen输出值的长度;η表示算法Rep中模糊输入值与算法Gen中真实输入值间统计距离的最大值;ε表示算法Gen的输出与均匀随机值间统计距离的最大值,且ε在安全参数范围内是可忽略的.
定义9(模糊提取器的构造).
若(SS,Rec)是Mmmη-安全框架,Ext是(n,m,l,ε)-强提取器,则图2中构造的FExt=(Gen,Rep)是(M,m,l,η,ε)-模糊提取器.
Gen(ω,t,x):令P=(SD(ω),x),T=Ext(ω,x),输出(T,P);Rep(ω′,(s,x)):恢复ω=Rec(ω′,s),输出T=Ext(ω,x).
其中,ω和ω′是输入空间M中的随机值,且满足条件SD(ω,ω′)≤η.
特别地,有关安全框架及模糊提取器的详细定义和构造见文献[24],篇幅所限,本文不再详述.
Fig.
2Theconstructionoffuzzyextractor图2模糊提取器FExt=(Gen,Rep)的构造SSSSExtExttxxxssTT生成算法Gen生成算法GenP=(x,s)P=(x,s)RecRecExtExt恢复算法Rep恢复算法RepTTxxxxssPPωωω′周彦伟等:基于模糊身份的直接匿名漫游认证协议38253本文协议本文协议主要由下述两个阶段组成.
(1)用户的漫游注册.
该阶段完成MU在HA处的漫游注册,MU获得HA签发的漫游注册信息;(2)模糊直接漫游认证.
MU产生模糊身份,并基于HA签发的漫游注册信息生成漫游认证信息,FA基于漫游认证信息直接完成对MU身份合法性的验证,同时完成会话密钥的安全协商;认证过程实现MU与FA间的双向身份认证;其中,模糊身份保证了用户的匿名性,同时,本文协议具有不可跟踪性、不可否认性和前向安全性等安全属性.
假设1.
代理服务器HA和FA均可信,既不会发送虚假信息,也不会利用已掌握的用户信息实施假冒攻击,更不会随意揭示用户的真实身份.
假设2.
为方便论文写作,令用户的身份空间是*qZ,即*qZ=ID;对于其他形式的身份表示,可通过相应的哈希函数转换到该空间.
例如,当身份空间是{0,1}*时,可借助哈希函数**:{0,1}qZ→H进行转换后,即可满足本文机制的设计要求.
下文中,使用Enc()和Dec()分别表示非对称的加密/解密算法;用ID表示用户的身份空间.
3.
1系统初始化系统建立时,HA和FA向管理中心注册,由管理中心CA负责管理HA和FA的安全性及参数初始化等事宜,即,CA协助HA和FA完成系统参数的建立.
初始化过程管理中心CA主要进行下述操作.
(1)选取阶为大素数q的加法循环群G1和乘法循环群G2,P为群G1的一个生成元,定义群G1,G2上的双线性映射e:G1*G1→G2;(2)定义抗强碰撞的哈希函数11230,1}qqqqqqHZZHGZZHZZHIDIDID**{0,1}qGZ*→,其中,ID为用户的身份空间;(3)定义(ID,m,l,η,ε)-模糊提取器FExt=(Gen,Rep),其中,FExt的输入空间是ID;m表示空间ID中任意值的最小熵;l是随机串种子的长度;η表示算法Rep的模糊输入值与算法Gen的真实输入值间统计距离的最大值;ε表示FExt的输出与均匀随机值间统计距离的最大值,且ε是可忽略的.
管理中心向HA和FA公布系统基础公开参数Params={G1,G2,e,q,P,H,Hi(i=1,2,3),FExt}.
收到公开基础参数后,各网络代理服务器分别产生主密钥和各自的系统公钥,并妥善保管主密钥.
具体操作如下所述.
HA随机选取主密钥*HAqSZ∈并秘密保存,计算系统公钥PubHA=SHAP,公开系统参数ParamsHA={G1,G2,e,q,P,PubHA,H,H1,H2,H3,FExt};同时,所有MU均需在本地HA处完成初始注册,并且HA保存用户MU的相关注册信息Index=H(IDMU,SHA),IDMU,IDMU是用户的真实身份,Index为身份检索索引.
HA将Index发送给相应的用户MU.
FA随机选取主密钥*FAqSZ∈并秘密保存,计算系统公钥PubFA=SFAP,公开系统参数:ParamsFA={G1,G2,e,q,P,PubFA,H,H1,H2,H3,FExt}.
3.
2漫游注册MU为获得全球移动网中非本地网络的服务,需通过安全通信道向HA注册,获得HA签发的漫游注册信息.
漫游注册阶段是漫游前的准备阶段,MU获得HA签发的漫游注册信息.
漫游注册的消息交互流程如图3所示.
(1)MU均匀选取随机秘密数*11,,qnrtZ∈和x1∈{0,1}l,计算RMU=r1P和SNum=H2(IDMU,n),其中,IDMU为用户的真实身份;随机选取满足条件(,)MUMUSDIDIDη′≤的模糊身份MUID′∈ID,并计算:111111′==MUTPsxFExtGenIDtx.
MU将Index,SNum,T1,P1=s1,x1,RMU和TMU用HA的公钥PubHA加密后发送给HA,其中,TMU为MU产生的消息时戳,T1,P1是基于模糊身份生成的身份合法性认证信息,并且公钥加密可确保注册消息仅由指定的HA才能解密.
3826JournalofSoftware软件学报Vol.
29,No.
12,December2018(2)HA首先根据索引Index在本地数据库中搜索注册用户MU的真实身份IDMU,验证等式T1=FExt.
Rep(IDMU,s1,x1)(其中,P1=s1,x1)是否成立,验证申请漫游注册的MU是否是本地的合法用户.
若等式成立,则MU的身份合法性验证通过,然后HA按如下过程生成漫游注册信息.
选取随机数*2qrZ∈,计算RHA=r2P,R=RMU+RHA,L=r2+SHAf,其中,f=H1(IDMU,R,SNum);选取随机数*2qtZ∈和x2∈{0,1}l,计算模糊身份(T2,P2=s2,x2)=FExt.
Gen(IDMU,t2,x2)和身份证明信息22HAMUHASAuthEncTPBeginEnd=,其中,Begin和End是漫游注册信息有效性的起始和终止时间;用私钥SHA加密消息(L,R),MUHAAuth和THA发送给MU,其中,THA是HA生成的消息时戳,MUHAAuth是HA为MU生成的身份合法性证明信息,并且私钥加密可确保消息是由议定的HA所发送.
(3)MU通过验证等式LP+RMU=R+PubHAf是否成立,验证应答信息(L,R)的正确性,其中,f=H1(IDMU,R,SNum).
因为LP+RMU=(r2+SHAf)P+RMU=RHA+PubHA+RMU=R+PubHAf.
MU计算Q=r1+L,则,,,MUHAQRfAuth即为HA对MU签发的漫游注册信息,MU安全保存,,,MUHAQRfAuth,并销毁随机值r1,SNum和HA签发的部分授权信息L,使其不对外泄露.
MUHA11HAPubNumMUMUMUHAEncIndexSTPRT→HAMUSHAHAHAMUEncLRAuthT→Fig.
3Themessageinteractionprocessofroamingregister图3漫游注册的消息交互流程3.
3模糊匿名漫游认证MU进行漫游申请时,基于HA签发的漫游注册信息,,,MUHAQRfAuth生成漫游身份证明信息,无需HA的协助,FA基于漫游身份证明直接完成对MU身份的合法性验证.
漫游认证的消息交互流程如图4所示.
MUFA33FASFAFAFAMUEncTPTω→Fig.
4Themessageinteractionprocessofroamingauthentication图4漫游认证的消息交互流程(1)MU基于注册信息,,,MUHAQRfAuth生成漫游申请消息,并发送给FA.
①选取随机秘密数*,qZηπ∈,计算αMU=ηR,βMU=ηfP,γMU=ηQP和μMU=πPubFA,其中,μMU是会话密钥协商参数.
αMU,βMU,γMU称为MU生成的漫游身份证明信息,其中,MU使用FA的公钥对密钥协商参数μMU进行了盲化处理,使得仅有议定的合法远程认证代理才能完成会话密钥的协商.
②选取满足条件(,)MUMUSDIDIDη′′≤的模糊身份MUID′′∈ID.
特别地,由于攻击者无法获知用户的真实身份,对于攻击者而言,生成合法模糊身份的概率是可忽略的.
③将消息MUMUMUMUMUMUHAIDAuthαβγμ′′和TMU用FA的公钥PubFA加密后发送给FA,其中,公钥加密可确保消息仅由授权的FA才能解密.
(2)FA基于MU的漫游证明信息直接完成对漫游MU的身份合法性验证.
①收到MU的漫游申请后,首先利用私钥SFA解密消息,并检查消息时戳TMU的新鲜性.
②验证漫游证明信息的正确性.
首先,验证等式e(γMUαMU,P)=e(βMU,PubHA)是否成立.
,,,:,,αβγμ→FAMUMUMUPubMUMUHAMUMUFAEncAuthT周彦伟等:基于模糊身份的直接匿名漫游认证协议3827因为e(γMUαMU,P)=e(η(r1+L)PηR,P)=e(ηSHAfP,P)=e(ηfP,SHAP)=e(βMU,PubHA).
用HA的公钥PubHA解密身份合法性证明信息MUHAAuth,FA可知(T2,P2),Begin和End,当前时间Time满足条件Begin≤Time≤End时,可验证身份合法性证明信息的有效性.
最后,基于等式222MUTFExtRepIDsx′′=验证模糊身份的合法性,其中,MUMUSDIDIDη′′≤输入满足模糊提取器的要求,该等式成立.
当且仅当上述等式都成立时,FA完成对MU身份的合法性验证,即,FA认为MU是HA上注册的合法用户.
③计算与MU间的会话密钥.
随机选取秘密数*qZλ∈,计算μFA=λP和1()MUFAMUSμμ′=,则MU与FA间的会话密钥为3(,,).
FAMUMUFAMUKHIDIDλμ′′′=④选取秘密数*3qtZ∈和随机串x3∈{0,1}l,并计算333333MUTPsxFExtGenIDtx′′将消息μFA,T3,P3和TFA用私钥SFA加密后发送给MU,其中,TFA为FA生成的消息时戳,且私钥加密可确保消息是由议定的FA发送.
(3)MU计算与FA间的会话密钥,并验证FA的身份合法性.
①验证消息时戳TFA的新鲜性,MU基于等式T3=FExt.
Rep(IDMU,s3,x3)验证FA是否是其议定的远程网络认证代理,实现匿名漫游过程中MU和FA间的双向身份认证(本文机制中,仅有议定的远程网络认证代理才拥有合法的模糊身份MUID′′),其中,MUMUSDIDIDη′′≤输入满足模糊提取器的要求,该等式成立.
②计算与FA间的会话密钥为3(,,)μ′′=πMUFAMUFAFAKHIDID.
4安全性证明本节基于CK安全模型证明本文协议的安全性.
4.
1AM中的漫游协议本文协议中,FA依赖MU的漫游证明信息鉴别MU的身份合法性.
为简化协议证明过程,将本文协议的2个阶段分别抽象描述为协议和Δ,其中,为漫游注册,Δ为模糊漫游认证.
证明Δ是AM中的会话密钥安全的密钥协商协议.
协议描述如下.
①注册请求.
MU均匀选取满足限制条件(,)MUMUSDIDIDη′≤的模糊身份信息MUID′,并向HA发送漫游注册请求,其中,IDMU为MU的真实身份.
②注册响应消息.
HA收到MU的注册请求后,为本地合法的MU生成漫游授权信息(L,R)和身份合法性证明信息MUHAAuth.
协议Δ描述如下.
①漫游请求.
MU基于本地认证代理HA的漫游授权信息(L,R),生成漫游申请时的身份证明信息αMU,βMU,γMU及密钥协商参数μMU.
②漫游响应.
FA收到MU的漫游申请后,验证消息及参数的正确性,基于漫游身份证明信息αMU,βMU,γMU和身份合法性证明信息MUHAAuth的有效性完成对MU身份合法性的验证.
若MU的身份合法性验证通过,则FA选取秘密数*qZλ∈,计算与MU间的会话密钥KFAMU.
③MU验证FA的身份合法性,并计算与FA间的会话密钥KMUFA,完成漫游服务申请.
定理2.
当非对称加解密等算法均安全且难解时,协议Δ在AM中是会话密钥安全的.
证明:对协议Δ而言,若AM中的协议Δ满足会话密钥安全定义的两个性质,则Δ在AM中是会话密钥安全的.
(1)在协议Δ交互过程中,由于消息参与者没有被敌手A攻陷,协议执行完毕时,MU和FA得到没有篡改的密钥协商参数,则MU和FA计算的会话密钥分别为3333μλλμλ′′′′=π=π′′′′′==πMUFAMUFAFAMUFAFAMUMUFAMUMUFAKHIDIDHIDIDPKHIDIDHIDIDP则KMUFA=KFAMU.
由于秘密参数π和λ是由MU和FA随机选取的,因此KMUFA和KFAMU是密钥空间上的随3828JournalofSoftware软件学报Vol.
29,No.
12,December2018机均匀分布.
因此,协议Δ满足性质1.
(2)对于性质2,采用反证法证明.
假设AM中存在一个敌手A能以不可忽略的优势ε成功猜测会话密钥是真实的还是随机的,那么存在输入为(Params,Tv)的算法T,通过调用A,能以不可忽略的优势解决DDH困难问题,其中,Params为相应的公开参数,v←{0,1},T1=(A=aP,B=bP,C=abP)和T0=(A=aP,B=bP,C=cP),*,,.
qabcZ∈在下述游戏中,算法T是DDH问题的敌手,其目标是输出对v的猜测v′,即,算法T的目标是区分其输入元组Tv是T0还是T1.
A是攻击本文机制的敌手,其目标是区分会话密钥是真实的还是随机值.
设游戏交互过程中敌手A发起会话的轮数为Q.
算法T的具体操作过程如下:①选择随机数α∈{1,2,…,Q},即选择第α次会话为测试会话;②调用敌手A完成对AM中MU与FA间模糊漫游认证机制的模拟,给敌手A提交Params作为协议执行的公共参数;③只要敌手A作为参与者,无论是参与一个新的会话密钥的建立(除第α次会话外)还是获得消息,都遵循模糊漫游认证协议中相应参与者的执行过程.
当一个会话结束,与其相关的密钥就要在参与者的内存中擦除;若参与者被攻陷或会话已暴露(除第α次会话外),就把这个被攻陷的参与者或相应的会话密钥的所有信息提供给敌手A;④在第α次会话中,输入(MU,FA,α),调用MU和FA的会话,设MU向FA发送(MU,α,A);⑤FA收到(MU,α,A)后,向MU发送(MU,α,B);⑥如果MU选择会话(MU,FA,α)作为最后一次测试会话,则向敌手A提供K=H3(IDMU,IDFA,C)作为会话密钥询问应答;⑦如果会话(MU,FA,α)没有暴漏,或者选择了第α轮会话外的某一次会话作为最后一次测试会话,或者A没有选择测试会话就终止了,那么算法T输出v′←{0,1},然后终止;⑧如果敌手A终止并输出对会话密钥的猜测结果b←{0,1},其中,b=1表示会话密钥是真实值,b=0表示会话密钥是随机值.
那么T终止,并也输出相应的猜测结果v′:若b=1,则T输出v′=1;否则,b=0,T输出v′=0.
根据敌手A的挑战会话与算法T选择的猜测是否一致,分两种情况讨论.
①敌手A选择的挑战会话和算法T选择的测试会话相同.
在挑战会话中,给敌手A的应答为K=H3(IDMU,IDFA,C),若算法T的输入Tv是DDH元组,即,测试会话中给敌手的是真实的会话密钥协商参数及真实的会话密钥,则模拟游戏中给敌手A的会话密钥询问应答就是MU和FA在会话α中的真实会话密钥;若算法T的输入Tv是非DDH元组,那么会话密钥询问应答是随机值.
根据假设,如果敌手A能以不可忽略的优势ε成功猜测会话密钥是真实值还是随机值,那么A能以12ε+的概率猜对挑战会话中会话密钥询问的应答是真实值还是随机值,这也等价于算法T以12ε+的概率猜对它的输入是DDH元组还是非DDH元组.
②算法T猜测的第α次会话没有被敌手A选作挑战会话.
在这种情况下,敌手A对算法T的猜测没有任何帮助,T通常输出一个随机比特v′,然后结束会话.
因此,T猜对输入分布的概率是1.
2令事件E表示敌手A选择的挑战会话与算法T猜测的测试会话相同,即1Pr[],Q=E则有:111Pr[]Pr[](1Pr[]).
222Qεε猜测成功AEE由于算法T以敌手A为子程序运行,则有Pr[T猜测成功]=Pr[A猜测成功].
若ε是不可忽略的,则算法T猜测成功的概率同样是不可忽略的.
即,算法T能以不可忽略的优势区分DDH元组和非DDH元组.
这与DDH假设相矛盾,因此假设错误,敌手A区分真实会话密钥与随机值的优势是可忽略周彦伟等:基于模糊身份的直接匿名漫游认证协议3829的,协议Δ满足性质2.
在AM中,由于敌手不能对消息进行伪造、篡改和重放,只能真实地转发合法参与者产生的消息,MU和FA得到没有篡改的密钥协商信息,并协商了安全的会话密钥,所以协议Δ在AM中是安全的.
4.
2认证器本文从FA认证MU、MU认证FA和FA认证HA这3个方面考虑认证器的使用.
(1)由于MU提交的漫游验证信息未包含MU的真实身份信息,又能够让FA验证MU是否拥有真实身份.
FA对MU的认证使用基于身份的匿名认证器λEnc,ID′,T[22],其安全性、匿名性证明详见文献[22].
具体认证过程如下所述.
①MU选取满足条件(,)MUMUSDIDIDη′≤的模糊身份信息MUID′,用FA的公钥加密产生漫游申请消息FAMUMUEncPKmTID′,最后将消息MUFAMUMUIDEncPKmTID′′发送给FA.
②FA接收到消息后解密密文消息,验证MUID′是否合法:若为非法用户,则终止执行;否则,检查时间戳TMU的新鲜性,若验证通过,则MU通过FA的认证.
(2)MU对FA的认证信息流采用基于消息时戳的签名认证器λSig,T[21],其安全性证明见文献[21].
具体认证过程如下所述.
①FA生成消息时间戳TFA,计算消息签名Sig(m,TFA,IDFA),发送消息m,Sig(m,TFA,IDFA)给MU.
②MU接收到消息后,检查时间戳TFA的新鲜性及验证签名Sig(m,TFA,IDFA)的合法性,若TFA新鲜且Sig(m,TFA,IDFA)正确,则MU完成对FA的认证.
(3)漫游过程中,FA根据HA的相关信息完成对MU的合法性验证,实质上是FA对HA签名信息的合法性验证.
FA对HA的认证信息流采用基于时戳的签名认证器λSig,T[21].
具体认证过程如下所述.
①HA生成消息时间戳THA,计算消息签名Sig(m,THA,IDHA),发送消息m,Sig(m,THA,IDHA)给FA(本文方案中,HA的签名消息是通过MU转发给FA,因此真实协议中,此处的时戳THA即为TMU).
②FA接收到消息后,检查时间戳THA的新鲜性及验证签名Sig(m,THA,IDHA)的合法性,若THA新鲜且Sig(m,THA,IDHA)正确,则FA完成对HA的认证.
4.
3UM中的协议首先,将上述已有的认证器λSig,T和λEnc,ID′,T应用于本文AM中的协议消息流,在不影响协议可证安全性的前提下,将US的身份标识隐藏起来,使攻击者无法获得其真实有效的身份信息.
最后,应用文献[23]中的方法优化UM中的协议,在CK安全模型下,该优化过程并不影响协议的安全性,如图5所示为UM中的协议Δ.
MUFA123322||||FAMUMUMUMUMUHAFAFAFASFAFAMAuthMTPSigMIDTEncMIDTαβγμω===1FAMUPubMUMUIDEncMTID′′′′22FAFAMSigMIDTFig.
5TheprotocolΔintheUMmodel图5UM中的协议Δ定理3.
当非对称加解密等算法安全时,协议Δ在UM中是安全的,即,本文协议是安全的漫游协议.
证明:运用已有的认证器λSig,T和λEnc,ID,T把协议Δ直接转化为UM环境中会话密钥安全的密钥交换协议.
由于所采用的认证器是可证安全的,所以根据CK安全模型自动编译得到UM下的协议Δ是可证安全的.
3830JournalofSoftware软件学报Vol.
29,No.
12,December20185模型分析5.
1安全性分析(1)双向身份认证模糊匿名漫游阶段,FA通过HA授权的漫游证明信息确定MU身份的合法性,即,FA通过MU持有授权信息的合法性完成对MU的身份合法性鉴别,并且随机数保证了授权信息的新鲜性;MU则通过FA基于模糊身份生成的认证信息完成对FA身份合法性的验证.
因此,本文模糊直接匿名漫游机制实现了MU和FA间的双向身份认证.
(2)会话密钥的安全协商FA与MU间的会话密钥由双方选择的秘密随机参数所决定,因此任何一方都无法伪造合法的会话密钥.
对随机秘密参数的安全存储,保证了会话密钥的安全性;同时,参数的随机性保证了会话密钥的新鲜性.
因此,本文模糊直接匿名漫游机制实现了FA和MU间会话密钥的安全协商.
(3)前/后向安全性由于MU每次使用不同的秘密随机数进行会话密钥的协商,即使MU漫游过程中某次通信的密钥协商参数遭泄露,并不会对已有和即将要协商的会话密钥安全性造成威胁.
因此,会话密钥具有前/后向安全性.
(4)抗攻击性1)抗重放攻击.
MU漫游过程中,随机数及消息时戳的使用可确保本文机制是能够抵抗重放攻击的;2)抗伪造攻击.
基于注册信息L,R,MU生成的漫游证明信息为αMU,βMU,γMU,FA通过验证等式e(γMUαMU,P)=e(βMU,PubHA)是否成立完成对漫游证明信息合法性的验证.
由验证等式可知,漫游证明信息中包含HA的主密钥.
由于MU不具有FA的主密钥,它自行伪造的漫游证明信息将无法通过FA的合法性验证,因此,MU不具有伪造合法漫游证明信息的能力;3)抗中间人攻击.
漫游过程中,消息的加密传输可保证密钥协商参数μMU=πP和μFA=λP不遭泄露,即中间人无法获知上述参数;即使中间获知相应的密钥协商参数,由计算性Diffie-Hellman问题的困难性可知,中间人也无法计算正确的协商密钥.
因此,本文机制可抵抗中间人攻击.
(5)不可追踪性漫游过程中,MU每次使用不同的模糊身份,并且任何合法的MU均无法通过自己的模糊身份计算出其他MU的身份标识,当同一MU多次向FA申请漫游时,每次均使用不同的模糊身份.
因此,外部用户(包括攻击者)无法基于模糊身份信息对MU的通信过程进行追踪.
5.
2模型特点(1)直接性MU从HA处获得漫游授权信息后,无需HA的参与,MU就可直接向FA证明其身份的合法性,减少了漫游认证机制的消息交互轮数.
(2)认证性FA可通过MU持有的漫游证明信息及身份合法性验证信息完成对MU身份的合法性验证.
若验证通过,则FA认为MU是在HA处注册的合法用户.
(3)匿名性漫游过程中,MU使用模糊身份进行认证,同时,漫游认证信息中未包含MU的真实身份等隐私信息;并且,漫游认证信息经过了随机数的随机化处理,保证了MU漫游过程的身份匿名性.
由于MU的真实身份各不相同,因此,不同的MU将持不同的模糊身份进行漫游申请;同时,每一个MU均无法通过自己的真实身份计算其他MU的模糊身份.
同时,模糊身份的加密传输实现了对模糊身份的保护,增强了模糊身份的安全性.
本文机制匿名性的具体证明过程如下所述.
周彦伟等:基于模糊身份的直接匿名漫游认证协议3831定义模拟器S与敌手A间的模拟游戏,其中,模拟器S将敌手A作为子程序运行.
令集合SMU(Q)是移动用户集合,MU∈SMU(Q);SFA(Q)为认证代理集合,FA∈SFA(Q);SMU(Q)和SFA(Q)的长度都均为Q.
①模拟器S建立系统,参与者为MU和FA;并且在整个游戏过程中,S回答A的所有询问.
同时,游戏过程中,敌手A可以激活系统中的任意参与者及询问,从而在这些参与者之上运行协议;②敌手A从相应的集合SMU(Q)和SFA(Q)中选择协议的参与者.
即,A从用户集合SMU(Q)中随机选择两个用户MUi和MUj(0≤i,j≤Q),从代理集合SFA(Q)中选择一个认证代理FA.
③敌手A向FA发送测试询问,且该询问的输入信息为(MUi,MUj,FA).
④模拟器S模拟本文协议的两个完整运行过程:一个的参与方是MUi和FA,另一个的参与方是MUj和FA.
同时,S更新每个参与方的内部状态信息.
S随机选取b←{0,1}:若b=0,则返回关于MUi的模拟信息;否则b=1,返回关于MUj的模拟信息.
⑤收到模拟器S关于测试询问的响应后,敌手A可以继续发起所有允许的攻击,以激活参与者运行协议.
⑥最后,敌手A输出对随机值b的猜测b′.
若b′=b,则称A赢得上述游戏.
上述游戏中,若参与者MUi,MUj和FA均未被攻陷,且敌手A输出正确的猜测b′,则敌手A赢得上述游戏的优势为1()Pr[].
2Advkbb′==A定理2.
若Ext:ID1*{0,1}t→ID2是ε′安全的提取器(其中,ε′是可忽略的,且ID2ID1ID成立),则A赢得上述游戏的优势是可忽略的.
证明思路:若本文的模糊匿名漫游认证协议不满足匿名性,则存在敌手A,能够以不可忽略的优势()AdvkA在上述游戏中获胜,即,A能够通过用户的模糊身份ID′输出用户的真实身份ID.
利用敌手A的能力构造算法F,以显而易见的优势攻破提取器Ext:ID1*{0,1}t→ID2的安全性.
算法F对Ext:ID1*{0,1}t→ID2的攻击过程包含下述步骤.
①F适应性地选取身份标识ID∈ID1询问提取器Ext,即,F发送ID给S进行提取询问.
②S收到F的提取询问后,从种子空间{0,1}t中选取随机种子S∈{0,1}t后,计算ID1=Ext(ID,S),并随机选取ID0∈ID2(其实ID1是ID的模糊身份,ID0是ID*(ID*≠ID)的模糊身份,即:随机选取身份ID0,肯定存在ID*满足ID0=Ext(ID*,S);返回ID0和ID1给F.
③收到模拟器S应答后,F输出对身份ID模糊身份的猜测b′.
若b=1,则F在该游戏中获胜;否则b=0,F失败.
算法F与敌手A间的模拟游戏,其中,F将A作为子程序运行,且敌手A返模糊身份对应的真实身份.
①首先,F创建集合SMU(Q)和SFA(Q),其中,MU∈SMU(Q)且FA∈SFA(Q);F通过询问模拟器S获得关于身份IDMU的相应应答10{,}MUMUIDID.
②F将A作为子程序激活运行,回答A的所有询问,仿真协议运行过程中参与者激活的所有响应,并将协议的输出返回给A.
根据敌手A测试询问中是否选择FA作为参与者,分下述两种情况讨论.
①未选择FA,则F随机选取b←{0,1}作为猜测,并终止,则F猜测成功的概率为1.
2②选择FA,F构造并返回协议运行结果.
F随机选取10{,}MUMUMUbIDIDID∈作为IDMU的模糊身份,并构造相应的模糊直接匿名漫游通信消息0133FAFAMUMUPubbMUMUMUMUHAMUSFAFAmEncIDAuthTmEncTPTαβγμω==,F将m0和m1作为测试询问应答.
之后,算法F继续执行游戏,回答A的所有询问并仿真协议运行中参与者激活的所有响应.
A输出对MUbID真实身份的猜测,MUbID′其中,b′←{0,1}.
若,MUbMUIDID′=则F输出b′并终止;否则,,MUMUbIDID′≠F输出1b′.
由于敌手A能以不可忽略的优势()AdvkA在匿名性游戏中获胜,则A猜测成功的概率为1().
2Advk+A令事3832JournalofSoftware软件学报Vol.
29,No.
12,December2018件E表示敌手A在测试询问中选择FA作为参与者,即1Pr[],Q=E则有:()111Pr[]()Pr[](1Pr[]).
222AdvkAdvkQ猜测成功AAAEE算法F猜测成功的情况有:①F通过自适应询问提取器Ext获得应答值,根据这些知识对IDMU进行猜测,并且猜测过程中与敌手A进行了相应的消息交互;此时,F猜测成功的优势为()ExtAdvkF,则F猜测成功的概率为1().
2ExtAdvk+F②F完全以随机的方式输出猜测;此时,F猜测成功的概率为1.
2令情况①发生的概率为ρ,则有111Pr[1)().
222ExtExtAdvkAdvkρρρ猜测成功FFF由于算法F以敌手A为子程序运行,即Pr[F猜测成功]=Pr[A猜测成功],则有:()111222ExtExtAdvkAdvkAdvkQρ++=+≥AFF由于()AdvkA是不可忽略的,则()ExtAdvkF是不可忽略的.
因此,若敌手A以不可忽略的优势()AdvkA赢得相关游戏,即可构造一个算法F能以显而易见的优势()ExtAdvkF区分提取器Ext的输出与均匀随机值.
这与提取器Ext的安全性定义相矛盾,则假设错误,即,不存在敌手能以不可忽略的优势攻破本文协议的匿名性.
综上所述,FA只能验证MU是HA处注册的合法漫游用户,却无法获知MU的真实身份等隐私信息;由于MU的身份标识具有强匿名性,则其身份标识同样具有不可追踪性.
匿名性证明过程中各实体间的消息交互过程如图6所示.
SFA1MUChooseID∈IDID102:(,),{0,1}tMUMUComputeExtIDSwherISIDeD=←∈ID10{,}MUMUIDID()013310,,{,},FAFAPubMUMUMMUMUMUbMUMUbHUMUMUSAFAFAmEncTmIDIDIDIDAutEnPThcTαβγμω=∈=01,mm目标:攻击提取器Ext的安全性,即,从返回的集合中选出ID的模糊身份目标:攻击本文模糊漫游机制的匿名性算法F为敌手A构造相应的模糊直接匿名漫游通信消息算法F继续回答敌手A的相关询问MUbID′,;,1-.
MUbMUMUbMUifIDIDsetbbOtherwiseIDIDsetbb′′′==′≠=b1221:{0,1}()tExt*→IDIDIDIDIDFig.
6Themessageinteractionprocessofanonymityproof图6匿名性证明过程的消息交互5.
3对比分析(1)匿名性的实现策略周彦伟等:基于模糊身份的直接匿名漫游认证协议3833由第2节分析可知,现有的漫游认证机制中,实现用户匿名性的策略通常有两种.
第1种是采用临时身份替代原始身份的方式实现MU身份的匿名性,该方法的优点是临时身份产生后可重复使用,并未增加MU的计算负载,但是临时身份的重复使用一定程度上使得敌手可通过临时身份实现跟踪.
即,第1种方法未能实现临时身份的一次一变性;第2种是采用更新算法将临时身份进行定期更新.
该方法的优点是实现了临时身份的更新;但是更新操作的执行将额外增加MU的存储负载.
表1所示为本文机制与现有的两方漫游认证机制[1620]就匿名性实现策略的比较结果,其中,由于文献[18]未能实现密钥协商,因此将其未列入对比方案之列.
本文机制基于身份空间上的模糊提取器,以最小的代价(无需存储以前的临时身份及更新参数等)实现了临时身份的随时更新,实现临时身份的一次一变性;同时,本文策略满足上述两种方法的优势,具有较小的存储和计算开销.
Table1Themethodofachievinganonymity表1匿名性实现策略机制匿名性实现策略计算负载存储负载临时身份的一次一变性文献[16]注册时,HA为其生成临时身份集合,漫游时,MU从身份集合中随机选取临时身份,临时身份满足一次一变性要求,但MU的存储负载重.
无需进行身份更新的相关操作MU的存储负载重需存储临时身份集合满足一次一变性要求文献[17]MU注册时,HA为其生成临时身份,MU持相同的临时身份进行漫游申请,临时身份不满足一次一变性要求.
无需进行身份更新的相关操作无需存储与身份相关的额外信息不满足一次一变性要求文献[19]MU注册时,HA为其生成临时身份,漫游时,MU对临时身份进行更新,临时身份满足一次一变性要求,但MU的存储负载重.
需进行临时身份的更新操作,并且需与FA同时更新.
MU的存储负载重,需存储身份的更新信息满足一次一变性要求文献[20]注册时,HA为其生成临时身份集合,漫游时,MU从身份集合中随机选取临时身份,临时身份满足一次一变性要求,但MU的存储负载重.
无需进行身份更新的相关操作MU的存储负载重需存储临时身份集合满足一次一变性要求本文机制无需存储任何额外信息,基于模糊提取器FExt实现MU漫游临时身份的一次一变性要求.
只需进行一次模糊提取操作无需存储与身份相关的额外信息满足一次一变性要求(2)通信效率如表2所示为本文机制与其他相关方案[120]就通信时延、漫游特点和安全性等方面的比较结果.
在本文机制中,因MU在向远程网络申请漫游前,已完成漫游注册,则无需HA的协助,FA可直接完成对MU的身份合法性验证,即,FA仅通过1轮消息交互即可完成对MU身份的合法性验证,降低了漫游认证的通信时延.
Table2Thecomparisonofroamingdelay表2漫游通信时延比较机制漫游通信模型漫游特点通信时延安全性漫游效率文献[115]1)漫游申请MUHAFA2)验证请求3)验证响应4)漫游应答间接型.
FA在HA的协助下完成对MU身份合法性的验证.
HA需在线参与认证需在HA的协助下完成验证.
两轮的消息通信,通信时延较大安全性弱.
HA会成为系统瓶颈低文献[16,20]1)漫游申请MUFA2)漫游应答3)参数应答直接型.
无需HA的协助,FA通过MU持有的漫游证明信息直接验证其身份的合法性直接验证.
无需HA的协助.
3次的消息通信,时延较小安全性强.
HA无需在线认证较高文献[17,19]和本文机制1)漫游申请MUFA2)漫游应答直接型.
无需HA的协助,FA通过MU持有的漫游证明信息直接验证其身份的合法性直接验证.
无需HA的协助.
仅1轮的消息通信,通信时延小安全性强.
HA无需在线认证高3834JournalofSoftware软件学报Vol.
29,No.
12,December2018与传统的三方漫游机制相比[115],在未增加MU计算负载的前提下,减少了消息交互次数,因此,相较于三方漫游认证协议,本文协议降低了漫游通信时延,增强了机制的安全性.
与现有的两方漫游认证协议相比[1620](其中,文献[18]未实现密钥协商,因此不作为对比方案),本文协议延续了文献[17,19]高漫游效率的特点,比文献[16,20]中的方案少1次的消息交互,通信效率优于上述两个方案[16,20].
(3)计算效率计算开销比较时,本文主要统计各协议中相关运算的执行次数,存储开销以存储信息的长度作为衡量标准.
表3为匿名漫游时各实体的计算效率比较结果,本文仅对双线性映射、签名和加密等高运算量算法进行了统计.
Table3Thecomparisonofcomputationaloverhead表3漫游认证过程各实体的运算开销比较机制MU计算开销FA计算开销MU存储开销文献[16]4OE+1OSig+1OVer3OE+1OSig+1OVer|Params|+(n+1)|ID|+|CertHA|文献[17]611EMPKVerOOO++4211DMPPKSigOOOO+++|Params|+2|ID|+|CertHA|文献[19]211EDMPKPKOOO++21111EDEDMPKPKSKSKOOOOOParams|+2|ID|+|q|+|CertHA|文献[20]2OM+4OE+1OP+1OVer+1OMac4OE+2OP+1OSig+1OMac|Params|+(n+1)|ID|+|CertHA|本文机制5111DEMPKPKExtOOOO+++22111DEMPPKPKExtOOOOOParams|+|ID|+|CertHA|计算方面,用OM表示群上的点乘运算,OE表示群上的指数运算,OP表示双线性映射运算,EPKO和DPKO表示非对称的加密和解密,ESKO和DSKO表示对称的加密和解密,OSig和OVer表示数字签名及验证,OMac表示消息验证码生成算法,OExt表示模糊提取操作.
本文协议主要以群上的点乘运算为主,保持了传统漫游机制[16,17,19,20]较高计算效率的优势,但是本文机制具有更优的性能.
存储方面,用|Params|表示系统公开参数的长度,|q|表示有限域*qZ上元素的长度,|G|表示群G中元素的长度,|ID|表示用户身份或临时身份的长度,|CertHA|表示HA签发的注册信息的长度.
在现有的漫游认证机制[16,17,19,20]中,除需存储真实身份之外,文献[16,20]需存储临时身份集合实现临时身份的一次一变性,文献[17]需存储临时身份,文献[19]需存储临时身份和身份更新参数.
然而本文协议无需存储除真实身份之外的额外信息,存储效率更高.
6结束语针对全球移动网络匿名漫游机制所存在的不足,本文提出了模糊的直接匿名漫游认证协议,MU基于HA签发的漫游注册信息生成漫游证明信息,MU持漫游证明信息向HA申请漫游,无需HA的协助,FA通过漫游证明信息的真实性及有效性,完成对MU身份的合法性验证.
采用模糊身份,不仅使FA和攻击者无法获知用户的真实身份,而且保证了用户身份等隐私信息的匿名性;同时,攻击者无法将截获的模糊身份与已有的通信信息相关联,确保了用户身份等隐私信息的不可追踪性,有效防止攻击者针对用户实施跟踪、窃听等攻击行为;并且模糊身份的使用,以较小的开销(无需存储额外的信息用于临时身份的产生)实现临时身份的一次一变性.
在CK安全模型下,证明本文协议是可证明安全的.
相较于传统匿名漫游认证机制而言,本文协议的计算效率高、通信时延小,更适用于全球移动网络环境下使用.
特别地,由于篇幅所限,本文对统计距离、最小熵及平均最小熵等概念的定义和基础工具模糊提取器的详细构造未做深入介绍,具体详见文献[24].
References:[1]ZhuJ,MaJ.
Anewauthenticationschemewithanonymityforwirelessenvironments.
IEEETrans.
onActionsonConsumerElectronics,2004,50(1):230234.
[2]LeeCC,HwangMS,LiaoIE.
Securityenhancementonanewauthenticationschemewithanonymityforwirelessenvironments.
IEEETrans.
onIndustrialElectronics,2006,53(5):16831687.
周彦伟等:基于模糊身份的直接匿名漫游认证协议3835[3]WuCC,LeeWB,TsaurWJ.
Asecureauthenticationschemewithanonymityforwirelesscommunications.
IEEECommunicationLetters,2008,12(10):722723.
[4]MunH,HanK,LeeYS,YeunCY,ChoiHH.
Enhancedsecureanonymousauthenticationschemeforroamingserviceinglobalmobilitynetworks.
MathematicalandComputerModelling,2012,55(12):214222.
[5]TangC,WuDO.
Anefficientmobileauthenticationschemeforwirelessnetworks.
IEEETrans.
onWirelessCommunications,2008,7(4):14081416.
[6]ChangCC,LeeCY,ChiuYC.
Enhancedauthenticationschemewithanonymityforroamingserviceinglobalmobilitynetworks.
ComputerCommunications,2009,3(2):611618.
[7]ChangCC,TsaiHC.
Ananonymousandself-verifiedmobileauthenticationwithauthenticatedkeyagreementforlarge-scalewirelessnetworks.
IEEETrans.
onWirelessCommunications,2010,9(11):33463353.
[8]FuAM,ZhangYQ,ZhuZC,JingQ,FengJY.
AnefficienthandoverauthenticationschemewithprivacypreservationforIEEE802.
16mnetwork.
Computers&Security,2012,31(6):741749.
[9]FuAM,ZhangYQ,ZhuZC,LiuXF.
AfasthandoverauthenticationmechanismbasedonticketforIEEE802.
16m.
IEEECommunicationLetters,2010,14(12):11341140.
[10]WangCY,LiX,HeMX.
Anewmutual-authenticatedschemeforasmartcardinwirelesscommunications.
JournalofComputationalInformationSystems,2013,9(20):81998206.
[11]ZhangDD,MaZF,NiuXX,PengY.
AnonymousauthenticationschemeoftrustedmobileterminalundermobileInternet.
TheJournalofChinaUniversitiesofPostsandTelecommunications,2013,20(1):5865.
[12]XieQ,BaoMJ,DongN,HuB.
Securemobileuserauthenticationandkeyagreementprotocolwithprivacyprotectioninglobalmobilitynetworks.
In:Proc.
oftheInt'lSymp.
onBiometricsandSecurityTechnologies.
2013.
124129.
[13]KimJS,KwakJ.
Secureandefficientanonymousauthenticationschemeinglobalmobilitynetworks.
JournalofAppliedMathematics,2013(3):112.
[14]KuoWC,WeiHJ,ChengJC.
Anefficientandsecureanonymousmobilitynetworkauthenticationscheme.
JournalofInformationSecurityandApplications,2014,19(1):1824.
[15]ZhangG,FanD,ZhangY,etal.
Aprivacypreservingauthenticationschemeforroamingservicesinglobalmobilitynetworks.
Security&CommunicationNetworks,2015,8(16):28502859.
[16]YangG,HuangQ,WongDS,etal.
Universalauthenticationprotocolsforanonymouswirelesscommunications.
IEEETrans.
onWirelessCommunications,2010,9(1):168174.
[17]ZhouYW,YangB.
ProvablesecureauthenticationprotocolwithdirectanonymityformobilenodesroamingserviceinInternetofthings.
RuanJianXueBao/JournalofSoftware,2015,26(9):24362450(inChinesewithEnglishabstract).
http://www.
jos.
org.
cn/1000-9825/4712.
htm[doi:10.
13328/j.
cnki.
jos.
004712][18]HuZH,LiuXJ.
Aroamingauthenticationprotocolbasedonnon-linearpairinIOT.
JournalofSichuanUniversity(EngineeringScienceEdition),2016,48(1):8590(inChinesewithEnglishabstract).
[19]ZhouYW,YangB,ZhangWZ.
ProvablesecuretrustedandanonymousroamingprotocolfornobileInternet.
ChinsesJournalofComputers,2015,38(4):733748(inChinesewithEnglishabstract).
[20]JoHJ,PaikJH,LeeDH.
Efficientprivacy-preservingauthenticationinwirelessmobilenetworks.
IEEETrans.
onMobileComputing,2014,13(7):14691481.
[21]JiangQ,MaJF,LiGS,etal.
SecurityintegrationofWAPIbasedWLANand3G.
ChineseJournalofComputers,2010,33(9):16751685(inChinesewithEnglishabstract).
[22]BellareM,CanettiR,KrawczykH.
Amodularapproachtothedesignandanalysisofauthenticationandkeyexchangeprotocols.
In:Proc.
ofthe30thACMSymp.
onTheoryofComputing.
Dallas,1998.
419428.
[23]CanerriR,KrawczykH.
Analysisofkeyexchangeandtheiruseforbuildingsecurechannels.
In:Proc.
oftheEurocrypt.
Springer-Verlage,2001.
452474.
[24]DodisY,OstrovskyR,ReyzinL,etal.
FuzzyExtractors:Howtogeneratestrongkeysfrombiometricsandothernoisydata.
SIAMJournalonComputing,2008,38(1):97139.
3836JournalofSoftware软件学报Vol.
29,No.
12,December2018附中文参考文献:[17]周彦伟,杨波.
物联网移动节点直接匿名漫游认证协议.
软件学报,2015,26(9):24362450.
http://www.
jos.
org.
cn/1000-9825/4712.
htm[doi:10.
13328/j.
cnki.
jos.
004712][18]胡志华,刘小俊.
物联网中基于非线性对的漫游认证协议研究.
四川大学学报(工程科学版),2016,48(1):8590.
[19]周彦伟,杨波,张文政.
可证安全的移动互联网可信匿名漫游协议.
计算机学报,2015,38(4):733748.
[21]姜奇,马建峰,李光松,等.
基于WAPI的WLAN与3G网络安全融合.
计算机学报,2010,33(9):16751685.
周彦伟(1986-),男,甘肃通渭人,工程师,主要研究领域为密码学,匿名通信技术,可信计算.
王鑫(1979-),女,博士,讲师,主要研究领域为密码学及其应用.
杨波(1963-),男,博士,教授,博士生导师,主要研究领域为密码学,信息安全.