基于自認證公鑰的全分布式移動Ａｄ ｈｏｃ網絡密鑰管理方案

摘要：針對移動Ad hoc網絡中迫切需要解決的安全問題是建立一個安全、高效、可行的密鑰管理系統，提出了一種基于自認證公鑰，結合全分布式的網絡結構的新的適合于Ad hoc網絡密鑰管理方案。新方案有效地解決了節點間的信任問題，并具有良好的安全性、可用性和擴展性，效率較高，適用于有計劃的、長期的Ad hoc網絡。

關鍵詞：Ad hoc網絡; 密鑰管理; 自認證公鑰; 全分布式

中圖分類號：TP309.2

文獻標志碼：A

文章編號：1001－3695(2008)06－1779－04

0引言

移動Ad hoc網絡是一種支持多個節點的多跳通信網絡，由一組帶有無線網絡接口的移動終端，在沒有固定網絡設施輔助和集中管理的情況下搭建的臨時性網絡。其適于在軍事用途、緊急救災、搜救行動、個人區域網絡、家庭區域網絡等領域應用。但是，隨著對Ad hoc網絡應用的研究不斷深入，網絡的安全性問題[1~5]越來越凸顯，并成為其能否推廣和應用的關鍵。

Ad hoc網絡安全機制中最大的難題，即核心問題，就是要建立一個安全、高效、可行的密鑰管理系統。移動Ad hoc網絡有三個特點，即無中心和自組織、高度的動態拓撲結構和網絡資源受限。基于以上特點，傳統的PKI／CA體制不能直接應用在Ad hoc網絡中；通常的TLS/SSL協議、Kerberos認證機制以及WLAN中的LEAP、EAP－TLS、SPKI、RAP－TTLS等協議也都不能直接應用在Ad hoc網絡中。因為以上這些體制都需要CA認證中心這樣的管理節點對分布式系統中各個節點的公鑰證書進行有效管理，包括對公鑰證書的注冊、認證、撤銷、分發等，因此一旦CA癱瘓整個網絡的安全就不復存在［6］。另外，Ad hoc網絡存儲、計算以及通信能力的受限等特點就必須要輕量級方案和協議的支持，復雜的方案和協議在移動Ad hoc網絡中將無法采用。而且，高度的動態拓撲結構給認證與密鑰管理帶來了很大的困難，如何保證任一個節點通信范圍內有足夠數量的認證節點是分布式認證模型中[7~10]討論的一個熱點和難點問題。所以，對于移動Ad hoc網絡的密鑰管理系統方案的要求應該是算法簡潔、計算量少、存儲空間小、各節點負擔均衡，且具有較好的可擴展性和魯棒性。

針對完全分布系統提出的（t，n）門限加密體制來合成認證私鑰的方案是其中的一個思路。文獻[11]最早提出基于拉格朗日插值公式的(t，n)門限體制來分割認證私鑰方案，經過眾多研究人員的努力，這種方案已能很好地適應于完全分布式系統環境。但(t，n)門限體制不能完全解決節點間的信任問題，一旦有敵手勾結的節點數超過門限值t，就可以合謀恢復認證私鑰，從而造成正常節點公鑰證書的認證失效。

筆者認為分布式系統安全問題的關鍵還是在于傳統的公鑰證書安全體制沒有能夠很好地解決密鑰管理和身份認證之間的關系。本文分析了自認證公鑰技術［12~14］，結合Feldman的可認證秘密共享方案，提出了一種新的全分布式移動Ad hoc網絡密鑰管理方案。

1基礎知識

1．1符號

PKG是離線的可信第三方，x、y是PKG的私/公鑰；p、q是兩個大素數，q|p-1；g是群Zp上的q階生成元；h是一個抗碰撞的單向hash函數。

P是由節點P1，P2，…，Pn組成的集合，Pi是節點標志。秘密SK是這n個節點通過Shamir(t，n)門限方案共享的秘密。

1．2自認證公鑰技術

2基于自認證公鑰全分布式移動Ad hoc網絡密鑰管理方案

假設移動Ad hoc網絡由n個網絡節點組成，采用(t，n)門限方案進行管理。每個節點Pi擁有自己的私/公鑰對(xi，yi)，并持有網絡成員資格證書certi，證書的結構為(Pi，yi， Tsign， Texpire)，表示節點Pi的公開密鑰為yi，證書簽發的時間為 Tsign，有效期限截至到Texpire。各節點的合法證書必須由系統私鑰SK簽發。ENC和DEC是加密和解密算法。Pj用公鑰yi加密信息M:ENCyi(M)， Pi能解密得到M：DECxi(ENCyi(M))。

2．1系統初始化

PKG選擇秘密多項式

2．3節點證書的更新和取消［16］

2．3．1節點證書的更新

當節點Pj的證書到期時，要及時對證書進行更新，執行如下操作：

a)節點Pj向其一跳節點發送證書更新請求。

b)收到請求的節點Pi驗證節點Pj的證書是否仍然有效，如果有效，應用certi=(cert)si生成部分證書。節點Pi隨機產生數u，計算A1=gu和A2=certu，計算哈希函數c=h(gsi，certi，A1， A2)，r=u-c×Si；節點Pi將certi、A1、 A2和r發送給節點Pj。

c)節點Pj選擇t個部分證書，并驗證收到信息來自有效的節點，這主要是利用b)給出的信息，如certr×(certi)c=A2。如果節點信息驗證沒有通過，那么發送無效證書的節點就要被取消。

d)節點Pj將結合這t個部分證書獲得新證書cert′j=∏t(certi)li(0)。

2．3．2節點證書的取消

假定網絡中每個節點都能夠監測距自己只有一跳的節點的行為，并維護一張證書取消列表(certificate revocation list，CRL)。如果一個節點發現其鄰居節點有敵意行為，則將其證書加入到CRL中，并對該節點在網絡中發布指控包，任何一個收到指控信息的節點首先從自身的CRL中查看指控發起者是否是已被取消節點，如果是，那么就忽略這個指控；如果不是，則被指控節點就升級為懷疑節點。

當一個節點收到t個指控時，這個節點的證書將被取消。

2．4端到端保密通信

網上兩個用戶Pi、Pj要進行保密通信時，通過下列方式獲得一次性會話密鑰：

a)Pi隨機選擇ki∈RZq，計算gki，并用私鑰對gki作簽名，將gki和對它的簽名發給Pj。

同樣，Pj也隨機選擇kj∈RZq，計算gkj，用私鑰對其簽名，將gkj和對它的簽名發送給Pi。

b) Pi和Pj收到消息后，先驗證對方的簽名。如果與對方身份相符，則分別計算(gkj)ki和(gki)kj，作為會話密鑰。

4技術特點和性能分析

4．1技術特點

1)采用自認證公鑰技術該技術有以下三個優點：a)用戶的私鑰由用戶自己產生或者由節點和PKG共同產生，所以PKG不知道節點的私鑰，從而可以避免基于身份的密碼系統的私鑰托管問題；b)節點能夠使用自己的私鑰驗證由PKG發行的自認證公鑰的真實性，且不要求額外的證書，從而減少了計算量，提高了執行的效率；c)它還可以實現公鑰的驗證過程在邏輯單步內同時完成，因而在資源受限的Ad hoc網絡現實環境中具有較好的應用價值。

2)采用全分布式網絡密鑰管理方案該管理案的主要優點有：由于管理中心的功能被分布到網絡中的所有節點，因此它具有比較高的可用性；利用(t，n)門限方案，一個節點只需t個一跳鄰居節點就可獲得各種管理中心服務，提高了網絡的可用性以及由于提供了證書回收機制而獲得的更大安全性，適用于有計劃的、長期的Ad hoc網絡。

4．2性能分析

本方案中最耗時的操作為多項式插值計算和模指數運算，方案性能的提高主要取決于如何有效地進行多項式插值運算和模指數運算。許多文獻已經對這兩個問題分別進行了研究，并取得了許多成果。例如：在文獻［17］中給出了多項式插值運算的有效方法，其算法復雜度為O（ log2 n)；在文獻［17，18］中也給出了若干快速模指數運算的方法。這些方法的使用必將提高本文方案的性能，因此，本文的方案是非常有效，且容易實現的。

5結束語

隨著Ad hoc網絡技術日益廣泛的應用，安全問題越來越成為制約其發展的瓶頸。Ad hoc網絡安全機制中最大的難題，即核心問題，就是要建立一個安全、高效、可行的密鑰管理系統。本文基于自認證公鑰技術，結合Feldman的可認證秘密共享方案，提出了一種新的全分布式移動Ad hoc網絡密鑰管理方案，有效地解決節點間的信任問題，并且安全、有效且具有良好的可用性和擴展性。在今后的工作中，筆者將進一步分析和改進分布式Ad hoc網絡密鑰管理方案，尤其是通信協議的仿真、優化以及方案的軟件實現和效率分析。

參考文獻：

[1]ZHOU L， HAAS Z J. Securing Ad hoc networks [J]. IEEE Network， 1999， 13（6）:24－30.

[2]SHAMIR A. How to share a secret[J]. ACM Comm， 1979， 22(11):612－613.

[3]BECHLER M， HOF H， KRAFT D， et al. A clutter－based security architecture for Ad hoc networks[C] //Proc of the 23rd Annual Joint Conference of the IEEE Computer and Communications Society. Hong Kong:[s.n.]，2004.

[4]HUBAUX J， BUTTYAN L， CAPKUN S. The quest for security in mobile Ad hoc networks[C] //Proc of the 2nd ACM Symp on Mobile Ad hoc Networking and Computing. New York: ACM Press， 2001:146－155.

[5]CHANDRA J， SINGH L L. A cluster based security model for mobile Ad hoc networks[C] //Proc of Personal IEEE International Confe－rence on Wireless Communications. 2005:413－416.

［6］PERLMAN R. An overview of PKI trust models［J］. Network，IEEE，1999，13(6):38－43.

［7］ZHOU L，HAAS Z J. Securing Ad hoc networks [J]. IEEE Network Journal， 1999， 13(6):24－30.

［8］YI S， KRAVETS R. MOCA: mobile certificate authority for wireless Ad hoc networks[C] //Proc of the 2nd Annual PKI Research Workshop (PKI2003). 2003:28－29.

［9］KONG J， ZERFOS P， LUO H， et al. Providing robust and ubiquitous security support for mobile Ad hoc networks[C] //Proc of the 9th International Conference on Network Protocols (ICNP). 2001:251－260.

［10］LUO H， ZERFOS P， KONG J， et al. Self－securing Ad hoc wireless networks[C] //Proc of 7th IEEE Symposium on Computers and Communications (ISCC’02). 2002:567－574.

[11]ZHOU LD，HASS Z J．Securing Ad hoc networks[J］. IEEE Network，1999，13(6):24－29.

［12］GIRAUH M. Self－certified public keys[C] //Proc of Advances in Cryptology－EuROCRYPT’91. Berlin: Springer－Verlag，1991:491－497.

[13]TSENG Y M，JAN J K，CHIEN H Y．Digital signature with message recovery using self－certified public keys and its variants[J]. Applied Mathematics and Computation，2003，136:203－214.

[14]WU T S，HSU C L. Threshold proxy signature scheme using self－certified public keys[J]. Journal of System and Software，2003，67:89－97.

[15]YU Jia， KONG Fan－yu， HAO Rong. A verifiable multiple－players enrollment protocol for threshold schemes[C] //Proc of2006 International Conference onComputational Intelliqence and Security. 2006:1273－1278.

[16]王少輝，王美琴，張睿超，等.Ad hoc網絡密鑰生成管理方案綜述與分析[J]. 計算機應用研究，2004，21(10):9－11，21.

[17]HWAN G R J，CHANG C C. An on－line secret sharing scheme for multi－secrets[J]. Computer Communications，1998，21(13):1170－1176.

[18]CHANG C C， HORUG H J， BUEHRER D J．A cascade exponentiation evaluation scheme based on the lempel－ziv－welch compression algorithm[J].Journal of Information Science and Engineering，1995，11(3):417－431.

注：本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文