计算机系统应用http://www.c-s-a.org.cn

2017年第26卷第1期212研究开发ResearchandDevelopment支持批量认证和隐私保护的无线Mesh网络切换认证方案①苏彬庭,许力,王峰(福建师范大学数学与计算机科学学院,福州350007)(福建省网络安全与密码技术重点实验室,福州350007)摘要:为了在任何时间、任何地点向移动终端提供无缝网络服务,切换认证技术显得尤为重要.
从认证节点的隐私保护出发,提出了一种基于身份且支持批量认证的切换认证方案,并且认证过程无需第三方参与.
方案中,认证双方无复杂的双线性对运算,移动节点经两次握手可实现安全切换.
相比其他方案,该方案不仅满足了认证的安全性要求,还具有较高的认证效率和支持批量认证的优点.
关键词:无缝网络服务;切换认证;隐私保护;认证效率;批量认证HandoverAuthenticationSchemeSupportBatchVerificationandPrivacy-PreservingforWirelessMeshNetworksSUBin-Ting,XULi,WANGFeng(SchoolofMathematicsandComputerScience,FujianNormalUniversity,Fuzhou350007,China)(FujianProvincialKeyLaboratoryofNetworkSecurityandCryptology,Fuzhou350007,China)Abstract:Inordertoprovideseamlessnetworkservicesformobilenodesatanytime,anyplace,thehandoverauthenticationtechnologyisparticularlyimportant.
WeproposeanID-basedhandoverprotocoltoachievenodesprivacy,whichdoesnotrequirethirdpartyinvolvementduringtheauthentication.
Theproposedprotocolonlyrequirestwohandshakeswithoutthepairingoperation.
Comparingwithotherprotocols,theproposedprotocolnotonlyenhancesthesecuritybutalsoperformsbetterinauthenticationefficiencyandsupportingbatchauthentication.
Keywords:seamlessnetworkservices;handoverauthentication;privacy-preserving;batchauthentication无线Mesh网络(WirelessMeshNetworks,WMNs)是一种新型的网络结构,它由多个通讯节点组成,主要包括两种类型节点:Mesh客户端(MeshClients,MC)和Mesh路由器(MeshRouters,MR).
与传统网络相比,WMNs具有自组织、自管理、自愈能力及支持多种网络接入的优势[1,2].
随着信息技术的迅速发展,网络安全和服务质量问题越发深受人们的关注,而切换认证是关乎这些问题的重要技术之一.
图1是无线Mesh网络切换认证示意图,为了保证服务的连续性,MC从路由器MR1切换到MR2应在50ms内完成,其中认证过程不能超过20ms[3].
如今,随着黑客技术的不断进步,切换认证方案不仅要求高效,还要满足相应的安全性[4-8]:(1)双向认证:不仅MR要对认证节点的身份进行检查,同时MC也要验证MR是否安全;(2)安全密钥建立:完成切换认证后,MC和MR要建立安全的会话密钥;(3)匿名性和不可关联性:路由器无法知道认证节点的真实身份,并且无法判断该节点在当前MR是否认证过两次;(4)可追踪性:如果网络出现合法节点的内部攻击,有且仅有认证服务器(AuthenticationServer,AS)可通过通讯内容确定消息发布者的真实身份;(5)用户撤销:认证服务器可撤销过期或不安全用户的身份,使其无法享受网络的服务;(6)抵抗攻击:能够抵①基金项目:国家自然科学基金(U1405255);福建省高校产学研合作重大项目(2014H61010105);福建师范大学科研创新团队(IRTL1207);福州市科技局项目(2015-G-59)收稿时间:2016-04-07;收到修改稿时间:2016-05-12[doi:10.
15888/j.
cnki.
csa.
005517]2017年第26卷第1期http://www.
c-s-a.
org.
cn计算机系统应用ResearchandDevelopment研究开发213抗各种攻击,保证协议的安全性.
近期,相关研究学者提出了一系列的切换认证方案[9-18].
其中文献[9-11]提出的方案无需第三方参与,移动节点完成认证只需3次握手,无需双线性对等复杂的运算,认证时延短,效率高.
然而这些方案泄露了MC的身份信息,无法保护MC身份、运动轨迹等隐私信息.
为此,刘丹等相关研究人员利用双线性对提出了基于身份的认证方案[12-16].
这些方案中,移动节点在每次认证使用不同的身份,因此接入点无法确定认证节点的真实身份,并且无法判断该节点在当前接入点是否认证过两次,有较高的安全性.
然而这类方案需要进行多次的双线性对运算,计算代价高,认证效率低.
2015年Li等人[17]提出了无需双线对运算并能够保护移动节点隐私的认证方案.
同样,该方案认证过程无需第三方参与,经2次握手可完成切换认证,认证效率高.
但很遗憾该方案并无法抵抗中间人攻击,攻击者可以冒充MR获得MC的信任,从而捕获MC.
文献[18]对该方案存在的安全漏洞进行了阐述,并提出了一种改进方法.
然而改进后的方案然还是存在一些不足之处:(1)合法移动节点不仅可以享受网络接入点服务,同时也能够利用自身的密钥信息伪造多个基站,捕获其他移动节点;(2)当一个接入点同时收到多个移动节点的认证请求时,认证效率低.
本文从保护移动节点隐私信息的目的出发,提出了一种基于身份的高效切换认证方案.
该方案无需第三方参与和复杂的双线性对运算,只需2次握手可完成安全切换认证过程.
方案不仅能够解决了上述MC可以伪造基站和无法抵抗中间人攻击的安全问题,并提出了一种批量认证的策略,解决了多个客户端同时认证的低效率问题,认证效率高、时延短.
图1Mesh网络切换认证示意图1切换认证方案本文从保护移动节点隐私信息的目的出发,提出了一种基于身份的高效切换认证方案.
方案由系统初始化和切换认证过程两部分组成.
在系统初始化中,认证服务器产生系统参数,并为网络每个节点分发密钥对.
在切换认证过程中,认证双方无复杂的双线对运算,经两次握手可完成切换认证,计算代价小,认证效率高.
1.
1系统初始化在系统初始化过程中,AS输入安全参数执行密钥生成算法,为网络各接入点和移动节点创建公私钥对.
①选择一大素数q和p,E/Fp是定义在有限域Fp上的椭圆曲线.
选择E/Fp上的一个阶为q的点P,生成循环加法群G.
②随机选择参数*asZ,计算公钥PKsP=;③选择散列函数**1:{0,1}qHGZ、**2:{0,1}qHZ、**3:{0,1}{0,1}{0,1}kHG和***4:{0,1}{0,1}{0,1}HGGG;④生成特殊身份验证密钥key,用来辨别接入点和移动节点身份;⑤公开系统参数12aqpEFPGPKkeyHH34,}HH.
AS利用系统参数为网络每个节点创建公私钥对.
对于网络路由器MR,假设IDMR为MR的唯一身份标识.
AS选择随机数*MRqrZ,计算MRMRRrP=,MR1MRMR(,)hHIDR=和MRMRMRsrsh=+,然后将(sMR,RMR)通过安全通道发给MR.
MR收到密钥后,计算公钥MRMRPKsP=并定期广播自身信息(IDMR,RMR).
为了保证Mesh客户端在切换认证过程身份不被泄露,AS为每个MC生成一系列不关联的身份ID,即MC12sPIDpidpidpid=,并计算每个pid对应的密钥.
对于pidi,AS选择随机数*iarZ,计算iiRrP=,1(,)iiihHpidR=和iiisrsh=+,然后将(pidi,si,Ri)通过安全通道发给MC.
MC收到密钥后,计算公钥iiPKsP=并秘密保存.
1.
2认证过程在移动过程中,MC可能因为信号变弱等因素而请求接入更合适的路由器.
本文利用上述系统所建立的安全密钥,提出了一种基于身份切换认证方案.
假设MC从路由器MR1切换到路由器MR2,具体认证过计算机系统应用http://www.
c-s-a.
org.
cn2017年第26卷第1期214研究开发ResearchandDevelopment程如图2所示.
MNMR2*qaZ,计算AaP=iimpidRAts=2()iasHms=+{,}mchecktsMC1(,)iiiPKHpidRPKR2MC()PAHmPK*qbZ,计算BbP=1MRMCKsAbPK31MR(,,)iSKHKpidID4MR1iMACHpidIDABKMR{,,}IDBMACMR&IDkeyMC1MRMRMR(,)PKHIDRPKR2MRiKsBaPK4MR2iMACHpidIDABK'MACMAC=32MRiSKHKpidID图2切换认证过程①MCMR2:{,}msMC选择随机数*qaZ,计算AaP=.
然后产生时间戳ts并选择一个未使用过的假名MCpidPID作为认证身份,生成消息iimpidRAts=.
从而产生签名2()iasHms=+,并将消息{,}m发送给MR2.
②MRMR2MC:{,,}IDBMACMR2收到MC的认证请求消息后,首先检查时间戳ts是否已经过期的,如果没有则根据式1和2验证签名σ的合法性.
若σ合法,选择随机数*qbZ,计算BbP=.
根据式(3)和式(4)计算会话秘钥(SessionKey,SK).
然后生成消息认证码MAC,并将消息{,,}MRIDBMAC发给MC.
MC1(,)iiiPKHpidRPKR(1)2MC()PAHmPK(2)1MRMCKsAbPK(3)31MR(,,)iSKHKpidID(4)4MR1iMACHpidIDABK(5)收到回应消息后,MC首先检测接入点身份是否合法,再利用计算好的公钥MRPK,根据式(6)和式(7)计算密钥2K,并根据式(8)计算消息认证码'MAC.
验证'MAC与收到的消息认证码MAC是否一致,如果一致证明该路由器是合法.
最后利用式(9)计算会话密钥,完成认证过程.
MR1MRMRMR(,)PKHIDRPKR(6)2MRiKsBaPK(7)4MR2iMACHpidIDABK(8)32MRiSKHKpidID(9)2安全性分析本文从密钥协商的安全性、匿名性和不可关联性、前向安全性、后向安全性和抗攻击性几个方面对方案的安全性进行分析,并分析比较了近期相关的切换认证方案[15-18].
分析结果表明,本文提出的方案具有较高的安全性.
2.
1双向认证和密钥协商安全性MC发送切换认证请求{,}m后,MR2收到消息可以通过式(2)验证MC是否是合法的客户端.
而MC通过验证消息认证码'MAC与接收到的MAC是否一致,判断目标接入点是否合法.
由式(5)和(8)可知,当12KK时,'MAC和MAC一致.
只有当路由器的私钥是AS分发的合法密钥时,路由器计算得到的1K才会与2K相等.
11112==MRMCMRMRiiiMRMRiiiMRMRiiiMRiKsAbPKrshaPbHpidRPKRarshPbHpidRsrParPhPKHpidRsrbPaPKsBK2.
2匿名性和不可关联性MC每次认证都选取一个未使用过的身份MCipidPID.
不管是对哪个接入点,每次切换使用的pid都不同.
完成一次切换认证后,删除上次jpid和所对应的密钥对,保证每次认证的身份ID都不同.
除了AS之外,任何实体都无法确定MC真实身份,从而保证了MC的匿名性和不可关联性.
2.
3前向和后向安全性MC拥有一系列不相关联的身份ID,即12{,}MCiPIDpidpidpidL.
这些身份所对应的密钥对也是不相关联的.
每次认证MC选取的身份ID和对应的密钥对都是不同的,完成认证后产生的会话密钥也不一致,所以攻击者无法通过窃听当前的通讯信息来推导出MC之前的通讯数据.
同理,攻击者也无法2017年第26卷第1期http://www.
c-s-a.
org.
cn计算机系统应用ResearchandDevelopment研究开发215预测MC接下来的通讯内容,从而实现了MC通讯的前向和后向安全性.
2.
4抗重放攻击在MC发送请求切换认证的消息中,签名σ的计算包含了时间戳ts.
MR2收到消息可以检测ts是否过期并验证签名σ的合法性,判断该请求消息是否被重放的.
2.
5抗中间人攻击在系统初始化中,AS为MC和MR2分发了相应的密钥.
在认证过程,只有拥有AS分发的合法密钥,才能够计算出密钥K1和K2.
请求认证时,攻击者无法生成合法的签名σ,无法通过MR2的认证.
表1安全性分析方案[15][16][17][18]本文方案双向认证匿名性/不可关联性前向/后向安全性抗重放攻击抗中间人攻击支持批量认证认证效率低低高高高3性能分析与批量认证切换认证方案不仅要确保认证双方的安全性,同时也要缩短认证时延,提高认证效率.
经过分析,本文提出的方案不仅效率高,并且提出了批量认证策略,解决了多个客户端同时认证所带来的低效率问题.
3.
1方案性能分析本文忽略了简单的运算所产生的时延,主要考虑了复杂的双线性对运算(Paring)和椭圆曲线点乘运算(ECC).
而执行1次椭圆曲线点乘运算和双线性对运算所需要的时间分别是20.
04ms和2.
21ms[19].
表2性能分析与比较方案节点[15][16][17][18]本文方案ParingMN11000AP34000ECCMN12321AP11445总时延(ms)84.
58106.
8315.
4713.
2613.
26表1,2对本文提出的认证方案的安全性和性能进行了分析,并比较了近期相关的切换认证方案[15-18].
从表中可知本文的方案不仅能够实现安全切换认证,且认证效率较高.
方案产生的计算代价主要体现在椭圆曲线的点乘运算,总共需要6次ECC运算,认证过程消耗的时延约13.
26ms.
其中MC在计算K1消耗了1次,MR2在验证签名σ和计算K2分别消耗了3、2次.
虽然与方案[18]的计算代价差不多,但本文方案的在认证过程中的ECC运算更集中于能量没有受限的接入点上,认证方案显得更优.
相比其余的方案,同样2次握手完成安全切换认证,本文提出的方案的计算代价明显更小,认证效率更高.
3.
2批量认证在频繁切换的密集网络中,接入点可能需要同时认证多个Mesh客户端,若逐个认证将会延长每个客户端的认证时间,降低认证效率.
为此,本文提出了批量认证策略,解决了多个客户端同时认证所带来的低效率问题.
①两个客户端假设两个客户端同时请求认证,其身份为pid1,pid2,对应密钥和消息分别为R1,R2和m1,m2,批量认证方法如下:1212112222122111112212221221111211221222221221122()()()PAHmPKAHmPKAAHmHpidRPKRHmHpidRPKRAAHmHpidRPKHmRHmHpidRPKHmRAAHmRHm22111122122RHmHpidRHmHpidRPK②n个客户端假设同时请求认证的客户端数为n,表3是批认证与逐个认证计算代价(接入点进行ECC运算的次数)的比较.
由式(10)可知,当n客户端同时请求认证时,总共需要3n+2次的ECC运算.
其中验证n个客户端的签名需要n+2次,而计算n个客户端的会话密钥需要2n次.
与传统的逐个认证方法比较,批量认证的效率更高,认证速度更快.
211211()()nnjjjjjjnjjjjPAHmRHmHpidRPK(10)计算机系统应用http://www.
c-s-a.
org.
cn2017年第26卷第1期216研究开发ResearchandDevelopment表3批量认证和传统认证性能比较认证策略批量认证逐个认证计算代价3n+25n4结论为了解决无线Mesh网络的切换认证效率和客户端隐私保护等问题,提出了一种基于身份的切换认证方案.
通过分析,对于其他方案,该方案在满足相应的安全性要求下,不仅能够保护客户端的隐私信息,而且具有较高的认证效率.
其认证过程无需复杂的双线性对等运算,只要经两次握手便可实现安全切换.
同时,方案提出的批量认证策略,解决了多个客户端同时认证所带来的低效率问题.
在未来的工作里,我们将进一步研究如何在满足隐私保护和快速安全认证的条件下,提高撤销用户的效率问题.
参考文献1BrunnoR,ContiM,GregoriE.
Meshnetworks:Commoditymultihopadhocnetworks.
IEEECommunicationsMagazine,2005,43(3):123–131.
2WhiteheadP.
Meshnetworks:Anewarchitectureforbroadbandwirelessaccesssystems.
IEEEConferenceonRadioandWireless(RAWCON).
2000.
43–46.
3HeDJ,ChenC,ChanSammy,BuJ.
Secureandefficienthandoverauthenticationbasedonbilinearpairingfunctions.
IEEETrans.
onWirelessCommunications,2012,11(1):48–53.
4ChoiJ,JungS.
Asecureandefficienthandoverauthenticationbasedonlight-weightDiffieHellmanonmobilenodeinFMIPv6.
IEICETrans.
onCommunications,2008,E-91B(2):605–608.
5HeDJ,BuJJ,ChanS,YinMJ.
Privacy-preservinguniversalauthenticationprotocolforwirelesscomunications.
IEEETrans.
onWirelessCommunication,2011,10(2):431–436.
6LiaoYP,WangSS.
AsecuredynamicIDbasedremoteuserauthenticationschemeformulti-serverenvironment.
ComputerStandards&Interfaces,2009,31(1):24–29.
7YehKH,LoNW.
Anovelremoteuserauthenticationschemeformulti-serverenvironmentwithoutusingsmartcards.
InternationalJournalofInnovativeComputing,Information&Control,2010,6(8):3467–3478.
8LaiCZ,LiH,LiangXH,LuRX,ZhangK,ShenXM.
CPAL:Aconditionalprivacy-preservingauthenticationwithaccesslinkabilityforroamingservice.
InternetofThingsJournal,IEEE,2014,1(1):46–57.
9YangX,HuangXY,HanJG,SuCH.
Improvedhandoverauthenticationandkeypre-distributionforwirelessmeshnetworks.
ConcurrencyandComputation:PracticeandExperience,2015.
10XuL,HeY,ChenXF,HuangXY.
Ticket-basedhandoffauthenticationforwirelessmeshnetworks.
ComputerNetworks,2014,73:185–194.
11LiC,NguyenUT,NguyenHL,HudaN.
EfficientauthenticationforfasthandoverinwirelessMeshnetworks.
Computers&Security,2013,37:124–142.
12刘丹,石润华,仲红等.
车载自组织网络中条件隐私保护认证方案.
计算机应用,2015,35(5):1385–1392.
13YangGM,HuangQ,WongDS,DengXT.
Universalauthenticationprotocolforanonymouswirelesscommunications,IEEETrans.
WirelessCommun.
,2010,9(1):168–174.
14JoHJ,PaikJH,LeeDH.
Efficientprivacy-preservingauthenticationinwirelessmobilenetworks.
IEEETrans.
onMobileComputing,2014,13(7):1469–1481.
15TsaiJL,LoNW,WuTC.
Securehandoverauthenticationprotocolbasedonbilinearpairings.
WirelessPersonalCommunications,2013,73(3):1037–1047.
16HeDB,KhanMK,KumarN.
Anewhandoverauthenticationprotocolbasedonbilinearpairingfunctionsforwirelessnetworks.
InternationalJournalofAdHocandUbiquitousComputing,2015,18(1/2):67–74.
17LiGS,JiangQ,WeiFS,MaCG.
Anewprivacy-awarehandoverauthenticationschemeforwirelessnetworks.
WirelessPersonalCommunications,2015,80(2):581–589.
18ChaudhrySA,FarashMS,NaqviH,IslamSH,ShonT.
Arobustandefficientprivacyawarehandoverauthenticationschemeforwirelessnetworks.
WirelessPersonalCommunications,2015:1–15.
19HeDB,ChenJH,HuJin.
Anid-basedproxysignatureschemeswithoutbilinearpairings.
AnnalsofTelecommunication,2011,66(11-12):657–662.