應(yīng)用組合方法設(shè)計普適計算網(wǎng)絡(luò)安全協(xié)議

(a.東華大學(xué) 信息科學(xué)與技術(shù)學(xué)院; b.計算機科學(xué)與技術(shù)學(xué)院， 上海201620)



摘要：

給出一種新的安全協(xié)議的設(shè)計方法——組合設(shè)計方法，首先分別實現(xiàn)各個安全目標(biāo)，然后將它們組合為一個新的安全協(xié)議。組合方法設(shè)計安全協(xié)議具有易于實現(xiàn)、易于驗證等優(yōu)點。給出組合規(guī)則，使用組合方法實現(xiàn)了普適計算環(huán)境下認證協(xié)議及密鑰協(xié)商協(xié)議的設(shè)計。

關(guān)鍵詞：普適計算； 安全協(xié)議設(shè)計； 組合方法

中圖分類號：TP393.08文獻標(biāo)志碼：A

文章編號：10013695(2009)03107303



Security protocol for ubiquitous computing network design by composition method



YANG Fana， LI Tonga， CAO Qiyingb



(a. College of Information Science Technology， b. College of Computer Science Technology， Donghua University， Shanghai 201620， China)



Abstract:

This paper proposed a novel design methoddesign by composition， constructing a complicated protocol from simple protocol primitived without destroying the security properties established by each independent part. This method made the design and verification of the protocol easier to handle. The regulations of composition had been present. And with these regulations of composition design， this paper implemented an authentication protocol and a key agreement protocol for ubiquitous computing network.

Key words：ubiquitous computing; security protocols design; composition method



0引言

第三代計算——普適計算，使得計算能夠隨時隨地進行。Weiser等人 [1]用“安靜的技術(shù)”來描述普適計算，普適計算通過網(wǎng)絡(luò)進行數(shù)據(jù)的傳輸。與以往已有的互聯(lián)網(wǎng)等有線網(wǎng)和無線局域網(wǎng)、移動自組網(wǎng)、無線傳感器網(wǎng)絡(luò)等無線網(wǎng)不同，普適計算網(wǎng)絡(luò)是新一代的網(wǎng)絡(luò)，它可以包含諸如電力、Intent網(wǎng)、無線傳感器、Ad hoc等各種網(wǎng)絡(luò)形式，同時又具有自身的新性能。要保證這樣一個復(fù)雜的普適計算網(wǎng)絡(luò)的安全性，將是一個巨大的挑戰(zhàn)。

通常采用安全協(xié)議來確保網(wǎng)絡(luò)通信的安全性、保密性、認證性和完整性等。安全協(xié)議確保消息的安全傳輸，它們一般實現(xiàn)與安全相關(guān)的目的，包括對通信個體進行驗證、建立會話密鑰等。它們看似簡單，想要正確地設(shè)計它們卻非常難，對安全協(xié)議的設(shè)計目前還大都依賴于設(shè)計者的經(jīng)驗。Abadi等人[2] 通過對以往公布的協(xié)議常見錯誤分析，給出了一套設(shè)計準(zhǔn)則。該準(zhǔn)則給出設(shè)計過程中需要遵守及要避免的一些事項，這對設(shè)計者事后檢查自己工作的正確性有幫助，然而它對設(shè)計的整個過程的幫助有限。Gong等人[3]提出一種基于failstop的協(xié)議。這種協(xié)議只要收到的消息與協(xié)議規(guī)范不符，即中止協(xié)議繼續(xù)進行，這樣很好地防止了主動攻擊。因為攻擊只能影響到前面的消息，一旦協(xié)議發(fā)現(xiàn)錯誤即中止。這一方案加強了協(xié)議的安全性，卻并沒有解決如何設(shè)計failstop協(xié)議問題。Buttyan等人[4]提出一種與BAN邏輯相似的邏輯設(shè)計方法。它基于信道，使用一個抽象模型建立與驗證協(xié)議，得到一個類似BAN邏輯的協(xié)議描述。這一方案提供了一個較高層的抽象化的設(shè)計方式，然而它會遇到與BAN邏輯相類似的問題——邏輯的描述與協(xié)議符號間的不明確性，可能導(dǎo)致協(xié)議的錯誤。一些APG (automatic protocol generation)[5]計劃被提出，它們首先給出一些符合安全目標(biāo)的協(xié)議選擇，然后在其中進行自動化選擇。這一方案需要控制被選擇協(xié)議的數(shù)量，同時又要防止遺漏。Datta等人[6] 給出了一個使用組合、提煉、轉(zhuǎn)換的方法，從一系列協(xié)議中獲取一個新協(xié)議的方案。這一方案包含兩個基本協(xié)議塊、三條轉(zhuǎn)換及七條提煉規(guī)則，然而該方案并不適用于對稱密鑰算法。

安全協(xié)議設(shè)計者使用一些確保新鮮性、完成單向認證、避免重放攻擊的機制來完成一個新協(xié)議的設(shè)計。一個新的協(xié)議就是這些機制的組合，如一個雙向的認證協(xié)議可看做是由兩個單向認證協(xié)議組合而成。由此，本文提出一種組合方法來設(shè)計新協(xié)議，將不同機制組合成一個更復(fù)雜的協(xié)議，或?qū)讉€簡單協(xié)議組合成一個更復(fù)雜協(xié)議。如何在完成組合的同時又能保證原有協(xié)議的安全性？這需要深入研究組成協(xié)議的各個模塊，同時給出組合規(guī)則。本文對協(xié)議進行研究，確定規(guī)則并最終完成新協(xié)議設(shè)計，這一方法即為組合設(shè)計法。各個組成基本部分的協(xié)議稱為協(xié)議源。組合設(shè)計法通過對協(xié)議源的選取，組合出一個更加復(fù)雜的協(xié)議，并保證不破壞各個協(xié)議源中已有的安全目標(biāo)。本文完成以下幾項工作：a）提出一種安全協(xié)議設(shè)計方法——組合法；b）對組合法進行詳細描述，包括描述規(guī)范及組合規(guī)則；c）采用組合方法在普適計算網(wǎng)絡(luò)中設(shè)計了一個認證協(xié)議及密鑰協(xié)商協(xié)議。

1組合方法

1.1概述

傳統(tǒng)設(shè)計方法將所有安全目標(biāo)作為一個整體，在越來越復(fù)雜的網(wǎng)絡(luò)環(huán)境中，安全協(xié)議的設(shè)計更加困難。將安全目標(biāo)分為一個系列，對它們以單個協(xié)議的形式逐個實現(xiàn)，然后再按一些規(guī)則將這些單個協(xié)議組合成一個新的協(xié)議，稱之為組合法。每個目標(biāo)獨立地、互不干擾地完成，最后使用連接規(guī)則將所有目標(biāo)組合，并同時運行。將完成單個安全目標(biāo)的協(xié)議稱為協(xié)議源。從一些已有的得到安全性確認的安全協(xié)議中提取協(xié)議源，它們能夠很好地完成某個單一的安全目標(biāo)，顯然這些協(xié)議源的安全性很容易得到確認。組合法確保新的協(xié)議由各個協(xié)議源組合而成，同時保持各個協(xié)議源原有的安全特性。組合方法有以下兩個主要優(yōu)點：

a）易于實現(xiàn)。通過協(xié)議源一次完成一個安全目標(biāo)，這樣的協(xié)議源非常容易獲得。相比同時需完成所有安全目標(biāo)的設(shè)計方法，組合方法更容易實現(xiàn)。

b）安全性易于驗證。組合方法是對安全目標(biāo)的累加，這些安全目標(biāo)在組合后能夠保持并且互不干擾。由于每個協(xié)議源相對簡單，并且是從各個已獲得安全性認證的協(xié)議中獲得的，其安全性容易驗證，同時整個新的安全協(xié)議的安全性也容易驗證。

1.2符號

假設(shè)G={g1，g2…，gn}是協(xié)議需要實現(xiàn)的一系列安全目標(biāo)，如鑒別、機密性等。Pg={p1， p2， …，pn}代表一系列協(xié)議源，p1完成安全目標(biāo)g1。

P為新的安全協(xié)議：

P=p1p2…pn

各個協(xié)議源必須遵守某個順序，用o(pi)表示。

P(x， y)代表某協(xié)議。其中：x為協(xié)議傳遞信息；y為協(xié)議參與方，如節(jié)點A、B。

e為協(xié)議中的運行動作。如果協(xié)議消息分別為P1: M1、M2，P2: N1、N2，那么每個發(fā)送消息的步驟即為一個動作，即動作有e（M1）、e（M2）、e（N1）、e（N2）。而組合這兩個協(xié)議可能出現(xiàn)不同的順序o(pi)，如e（M1）

1.3組合規(guī)則

組合方案中，協(xié)議被定義為一系列完成某個安全目標(biāo)的協(xié)議源通過一些特定順序組合的一個新的協(xié)議。協(xié)議源的組合可能造成一個協(xié)議源中的安全目標(biāo)被另一個協(xié)議源所破壞。為保證協(xié)議源原有的安全性，首先必須保證各個協(xié)議源的安全目標(biāo)不能有沖突，即它們可以獨立地進行累加。協(xié)議的正確性來源于每個協(xié)議源的安全目標(biāo)獨立完成、互不干擾。

本文給出了以下兩條組合規(guī)則，以確保各個協(xié)議源的安全目標(biāo)的獨立性：

a）無干擾性。必須保證Pi的安全目標(biāo)不會影響到協(xié)議Pj的安全目標(biāo)，也就是說，協(xié)議Pi完成目標(biāo)gi，同時協(xié)議Pi也能完成目標(biāo)gj。

b）描述規(guī)范性。協(xié)議Pi與協(xié)議Pi間符號使用的規(guī)范性，如Pi中使用密鑰k，則在Pi中不能再使用密鑰k，以避免混淆。

有協(xié)議：

P1:A→B:B， {x，β} KAB， authKAB(x， β)

B→A: A，〈x， β〉 KBA，

P2:A→B:B， {x，β} KAB，authKAB(x， β)

B→A:A， 〈x，β〉

其中：authK (x，β)用來表示由某個擁有密鑰k的節(jié)點產(chǎn)生一個認證消息。為避免由于使用不同的認證算法，如數(shù)字簽名、單向函數(shù)等可能造成的混亂，統(tǒng)一將認證消息表述為authK (x，β)。以上協(xié)議中，β=〈A，B〉，x為A產(chǎn)生的nonce，KAB與KBA分別為A、B擁有的密鑰，因為是對稱密鑰，所以有KAB=KBA。

協(xié)議P1、P2分別為兩個認證協(xié)議：

P1:A→B:B，{x， β} KAB， authKAB(x， β)

B→A:A，〈x， β〉 KBA，

P′1:A→C:C， {x， β′} KAC， authKAC(x， β′)

C→A:A， 〈x， β′〉 KCA，β′=〈A，C〉

P1、 P′1分別完成A與B的認證和A與C的認證。如果將它們組合起來，是否會產(chǎn)生相互的影響。P1中生成新鮮數(shù)x ，它由A、B加密，只在A、B間傳送，節(jié)點C不可能會獲得這個數(shù)x；同樣，A、C間的新鮮數(shù)也不會被被B獲知。所以即便使用同樣的變量來代表，P1、P′1在運行過程中也不會產(chǎn)生影響。

P2:A→B:B， {x，β} KAB， authKAB(x，β)

B→A:A，〈x，β 〉

P′2:A→(C:B， {x，β′} KAB， authKAB(x，β′)

C→A:A，〈x，β′〉

P2、 P′2也分別完成A與B的認證和A與C的認證。如果將它們組合起來，可能會產(chǎn)生干擾。B→A:A，〈x， β〉；C→A:A，〈x，β〉；對A來說，它無法區(qū)分哪個是B發(fā)送的，哪個是C發(fā)送的，所以P2、 P′2不能組合起來。必須保證x為不同的數(shù)時，P2、P′2才不會干擾。

滿足以上規(guī)則的協(xié)議都能夠用做協(xié)議源。對協(xié)議源的組合使用組合指令。一個節(jié)點A產(chǎn)生一個數(shù)據(jù)，如新鮮數(shù)或一個秘密，它必須確定將這個數(shù)據(jù)傳送給誰，稱之為組合指令。組合指令對一些需要組合在一起的協(xié)議源參數(shù)進行定義。如果A生成新鮮數(shù)x給節(jié)點B，那么整個組合指令可表示為：新鮮數(shù)x，發(fā)起方A，響應(yīng)方B：〈x， A，B〉，通常以C表示組合指令。

2普適計算安全協(xié)議設(shè)計

2.1協(xié)議源

一般來說，協(xié)議源的選取取決于諸多因素，如密鑰算法的耗能、協(xié)議所處的環(huán)境等。對協(xié)議源的選取依情況而定，可先選取一些小的協(xié)議源，然后再按規(guī)則對其進行添加。這一方案的優(yōu)點在于：選取小的協(xié)議源，它們通常很容易驗證其正確性，并且它們還可以反復(fù)用于其他新協(xié)議的構(gòu)建，這提高了協(xié)議設(shè)計的靈活性和可復(fù)用性。

已有的各種安全協(xié)議提供了豐富的協(xié)議源選擇。PGP (pretty good privacy)為一個電子郵件加密協(xié)議，它向用戶提供機密性、發(fā)送方鑒別和報文完整性，PGP使用公鑰算法、散列函數(shù)和數(shù)字簽名技術(shù)。公鑰的分發(fā)采用認證機構(gòu)（certification authority，CA）。安全套接字層（secure sockets layer，SSL）協(xié)議在Web客戶與服務(wù)器間提供數(shù)據(jù)加密和鑒別，使用一系列可信證書認證機構(gòu)及其公鑰。加密的SSL會話在服務(wù)器或客戶間的所有信息均由可信的第三方加密和解密。IPSec使用稱為HMAC的散列函數(shù)鑒別方案對通信雙方進行認證，要求通信雙方各自計算出一個散列結(jié)果，而且僅能由它們自己知道，根據(jù)適當(dāng)?shù)恼蓪崿F(xiàn)對通信雙方的認證。無線網(wǎng)絡(luò)中安全性尤為重要。最初的802.11規(guī)范中標(biāo)準(zhǔn)化的安全性機制，統(tǒng)稱為有線等效保密（wired equivalent privacy，WEP）。WEP協(xié)議使用對稱共享密鑰方法，在主機與無線接入點（即基站）之間提供鑒別和數(shù)據(jù)加密。IEEE 802.11i向無線客戶機節(jié)點提供鑒別和加密的形式，客戶機則請求它希望的特定鑒別和加密形式。使用公鑰技術(shù)（包括不重數(shù)加密和報文摘要）以允許客戶機和鑒別服務(wù)器彼此鑒別傳感器網(wǎng)絡(luò)安全協(xié)議（security protocol for sensor networks，SPINS）。SPINS有兩個模塊，即SNEP和μTESLA。SNEP提供數(shù)據(jù)機密性、雙方認證和新鮮性證明；μTESLA提供可認證廣播。以對稱密鑰加密的MAC，如果驗證正確，則確保了雙方認證；如果消息被驗證，知道CA的比較即可知道消息發(fā)送的先后順序，這提供了較弱的新鮮性保證。

普適計算安全協(xié)議與以上協(xié)議不同，從已有協(xié)議中提取可用協(xié)議源。本文采用組合方法設(shè)計雙向認證協(xié)議及密鑰協(xié)商協(xié)議，首先選取源，按照規(guī)則對協(xié)議進行組合。

2.2雙向認證協(xié)議

眾所周知，為滿足普適計算環(huán)境中節(jié)點的計算能力等限制，通常必須使用對稱密鑰算法，所以要組合生成一個基于對稱密鑰的雙向認證協(xié)議。雙向認證協(xié)議可以通過兩個單向認證協(xié)議組合而成，選取一個安全的單向認證協(xié)議作為協(xié)議源。對稱密鑰算法需要一個認證服務(wù)器，負責(zé)將消息從一方傳送到另一方，產(chǎn)生和分發(fā)新密鑰。認證服務(wù)器向A發(fā)布一個秘密消息y，同時認證用戶A身份，可以表述為

PS→A：{y}KSA， authKSA（y，β）

服務(wù)器S是可信任的，它使用與A共享的密鑰KSA對y進行加密，同時對A進行認證。以上協(xié)議可以確保只有A才能獲取秘密y。以上消息完成了S與A的單向認證及消息的秘密傳送。

將兩個單向協(xié)議組合為一個雙向認證協(xié)議：P=p1p2，β=(A，B，S)，a為節(jié)點A生成數(shù)據(jù)， b為節(jié)點B生成數(shù)據(jù)，c為節(jié)點S給a發(fā)送的秘密，CSA=(a， c，β)為S與A的連接指令，d為節(jié)點S給b發(fā)送的秘密，CSB=(b， d，β)是S與B的連接指令。

協(xié)議源如下：

p1N1B→ S:β，{b，β}KBS， authKBS(b，β)

N2S→B:B， g0gggggg KSB， 〈CSB〉KSB

p2M1A→S:β，{a，β}KAS，authKAS(a，β)

M2S→A:B，{c}KSA，〈CSA〉KSA

o(p):e(M1)< e(N1)< e(M2)

P:M1A→S:β， {a，β}KAS，authKAS(a，β)

N1B→S:β， {b，β} KBS， authKBS(b，β)

M2S→A:B， {c}KSA，〈CSA〉KSA

N2S→B:B， g0gggggg KSB，〈CSB〉KSB

為防止重放攻擊，認證服務(wù)器S生成數(shù)據(jù)c、d，一般要加一個時戳t。服務(wù)器向各個節(jié)點發(fā)布新的密鑰k，所以c=k，d=k。CSA=a，b，k， β；CSB=b，k，t， β；同時產(chǎn)生新的連接指令CAB：β產(chǎn)生〈a，b，t， β〉KBS。

以上協(xié)議可變?yōu)?/p>

PA→B:β， {a，β} KAS， authKAS(a，β)

B→S:β， {a，β} KAS， authKAS (a，β)， {b， t，β} KBS，〈a，b，t，β〉KBS

S→A:A，{b， k， t}KSA， 〈a， b， k， β〉KSA， {k，t} KBS， 〈b，k，t，β〉KSB

A→B:B， {k，t} KBS，〈b，k，t，β〉KSB

以上組合過程，協(xié)議源符合組合規(guī)則，互不干擾。通過對兩個單向認證協(xié)議的組合實現(xiàn)了一個雙向認證協(xié)議；同時，由于所采用的協(xié)議源從NeedhamSchroeder協(xié)議中提取，其安全性早已被證實。采用組合方法很容易地獲得了一個符合要求的雙向認證協(xié)議。圖2表示了雙向認證協(xié)議最終的順序，o(p):e(M1)< e(M1，N，1，CAB)< e(M2，N2)

2.3密鑰協(xié)商協(xié)議

同樣，采用組合方法生成一個密鑰協(xié)商協(xié)議，即一個節(jié)點通過認證服務(wù)器向另一個節(jié)點發(fā)送一個密鑰，協(xié)議必須確保密鑰的保密性。假定B向A發(fā)送密鑰，由B產(chǎn)生密鑰k。協(xié)議可表示為P=P1(a， c;β)P2(b; β)，β=（A，B，S）。令c=b，表示服務(wù)器將b通過c傳送給A，C′BS= a，b，A，B，S。

協(xié)議源為

P1M1A→S:β， {a，β} KAS， authKAS(a，β)

M2S→A:A， {c}KSA， 〈CSA〉KSA

P2N1B→S:β， {b，β} KBS， authKBS(b，β)

N2B→S:B，〈C′SB〉KSB

o(p):e(M1)< e(N1，〈CBS〉KBS)< e(M2)

P:A→B:A，B，S， {a，β} KAS， authKAS(a， A，B，S)

B→S: A， B， S， {a，β} KAS， authKAS(a， A，B，S)，{b，A，B，S}KBS，〈a，b，A，B，S〉KBS

S→B:B， 〈b， A， B， S〉KSB

S→A: A， {b} KSA， 〈a， b， A， B， S〉KSA

完成以上步驟，為確認A與B間密鑰的可用性，A使用新密鑰產(chǎn)生一個會話，或者與B確認一個由B產(chǎn)生的新鮮數(shù)。如果A由以上步驟獲知了密鑰，那么一個A與B間的認證程序可以完成最后密鑰的確認。如協(xié)議源：

P′M′1B→A:A， {y} KAB， 〈x，y，A，B〉KAB

M′2A→B:B，x， {x， A， B} KAB， authKAB(x，A，B)

所以最后協(xié)議為

P=P1P2P′： b=KAB

A→B:A，B，S， {a， A， B， S}KAS， authKAS(a， A，B，S)

B→S:A，B，S， {a， A，B，S}KAS， authKAS(a，A，B，S)，{b，A，B，S}KBS， 〈a，b，A，B，S〉KBS

S→B:A， B， {b} KSA， 〈a，b， A，B，S〉KSA ， {a} KSB， 〈a，b，A，B，S〉KSB

B→A:A， {x} KAB， 〈x， A， B〉KAB

A→B:B，x， {x， A， B} KAB， authKAB(x，A，B)

o(p):e(M1)< e(N1，〈CBS〉KBS)

3結(jié)束語

隨著越來越復(fù)雜的網(wǎng)絡(luò)環(huán)境，安全協(xié)議設(shè)計也變得越來越困難。為解決這一難題，本文提出一種組合設(shè)計方法，給出了該方法的組合規(guī)則，該組合方法設(shè)計安全協(xié)議