基于橋節點的異構信任域信任模型研究

李 錚，陳澤茂，嚴 博

（海軍工程大學 信息安全系，湖北 武漢430033）

0 引 言

混合網絡擴展了有線網絡的應用范圍，但由于無線網絡的加入，給網絡的安全防護帶來了新的問題:通常我們使用PKI系統[1]來解決有線網絡中實體間身份的認證等信任問題，但是由于無線網絡通常面臨帶寬有限、終端存儲及運算能力較差等問題，對PKI證書的使用和管理帶來了極大不便。2001年Boneh等人設計出第一個實用的基于身份加密 （IBE）方案[2]，由于IBE體系不存在證書的管理和使用問題，許多研究者提出了將基于身份的密碼技術運用到網絡安全方案中的思想。比如張勝利用基于身份的公鑰系統和 （t，n）門限密碼方案，提出了一個Ad Hoc網絡信任模型[3]，提供了在Ad Hoc網絡中建立和管理信任關系的框架；徐述設計了一個基于身份簽密的身份認證模型[4]，結合基于身份的簽密方案和零知識協議實現通信雙方的相互認證，并且對實例化后的方案進行安全分析。但是由于PKI技術成熟，許多有線網絡已經布置了PKI系統，在混合網絡中單純采用IBE技術不具有現實可行性。因此，近年來PKI與IBE技術的組合運用成為一個新的研究方向[5]，比如RIKE方案[6]，將IBE技術運用到PKI系統中，以解決一個用戶需要兩個或多個證書時帶來的效率問題；楊斌等人提出了一種基于仲裁的IBC域結構，并設計實現了IBC和PKI的組合應用模型[7]，但是它們仍需要傳遞PKI證書，僅適合于有線網絡中的應用。

針對以上問題，本文提出一種跨PKI／IBE異構信任域的信任模型，采用橋節點 （bridge node，BN）頒發信任憑據的方法，實現信任關系在兩個異構信任域之間的傳遞，以解決混合網絡中不同信任域間實體的信任問題。

1 基于橋節點的PKI／IBE異構信任域信任模型

圖1所示的是一個典型的混合網絡，它由有線網絡和無線網絡共同構成，是對軍事信息網絡的抽象。無線接入網關位于有線網絡的邊界，無線網絡可能采用多種組網方式，既可以是有中心的無線網絡，也可以是無中心的Ad Hoc網絡。在有線網絡中，各實體之間采用PKI機制建立與維護信任關系，它們構成一個PKI信任域；在無線網絡中，各實體之間依照IBE信任模型建立與維護信任關系，構成一個IBE信任域。私鑰生成器 （PKG）是IBE系統的核心，它部署于有線網絡，通過無線通信信道為IBE域中實體提供服務。

圖1 一種有線／無線混合網絡

如圖2所示，本文設計了一種基于BN的PKI／IBE異構域信任模型。在PKI信任模型中，橋CA通過對不同CA的交叉認證實現跨域互聯[8]，本文借鑒橋CA概念，提出BN概念:BN既作為PKI域中的可信節點，也作為IBE域中的可信節點，同時被PKI域和IBE域中的所有實體所信任，作為可信第三方為異構域間節點建立信任關系。模型的基本思想是:當不同信任域的兩個節點欲建立信任關系時，BN分別依據PKI域和IBE域信任機制得到兩個節點的信任信息，然后按照相關策略簽發信任憑據，雙方根據信任憑據建立信任關系。

圖2 基于BN的異構信任模型

為方便描述，假設PKI域信任模型為單CA模型，域內實體包括節點A、B和BN；IBE域采用單PKG模型，域內實體包括節點C、D和BN等。可見，BN既是PKI域中的節點，也是IBE域的節點，因此它擁有兩個系統中的公私鑰對:＜PKPKI，SKPKI＞和＜PKIBE，SKIBE＞。

下面以IBE域中節點C欲與PKI域中的節點A建立信任關系為例，闡述基于BN的PKI／IBE異構信任域的信任模型。

1.1 模型的基本參數

選擇PKI系統實施方案；選擇IBE密碼方案，Waters和Gentry分別提出了目前公認最有效的兩個方案[9]；根據密碼方案生成PKG的主密鑰和系統參數，包括選取橢圓曲線E及大素數P、選擇隨機數s∈Zp＊作為系統主密鑰、計算系統公鑰Ppub＝SP、選擇所用的哈希函數、選擇雙線性映射、確定明文空間和密文空間、公布系統公開參數等。

1.2 信任策略

策略一:網絡中所有節點信任BN具有可信簽發跨域信任憑據的能力。

本策略使BN繼承了一部分CA和PKG的信任屬性，即可信地驗證節點身份并簽發信任憑據的能力，承認了BN簽發的信任憑據的合法性。策略一的實現可以直接定義為各節點本地策略，也可以通過CA和PKG為BN簽發特定的授權憑證。

策略二:當且僅當待建立信任關系雙方分別屬于PKI域和IBE域時，BN為其生成信任憑據。

本策略規定了BN簽發信任憑據的情景是PKI域和IBE域中節點建立跨域信任關系。根據此條策略，當一方或雙方屬于其他未知信任域時，BN不予簽發信任憑據，保證了信任傳遞的可靠性；當雙方同屬于一個信任域時，BN不予簽發信任憑據，以避免信任模型與原PKI系統、IBE系統的功能重復造成效率的浪費。

1.3 信任憑據

信任憑據是一段包含節點身份標識和公鑰的消息段，由BN根據信任策略為節點簽發，作為混合網絡中建立跨域信任關系的臨時性憑證。因此信任憑據應該包含憑據擁有者的身份標識和公鑰，以及簽發者BN的簽名信息，其具體格式將在下文給出。

為保證信任憑據使用和管理的安全性，制定以下管理機制:

（1）信任憑據存儲機制:BN只負責簽發信任憑據，待雙方節點建立信任關系后，應相互保存對方的信任憑據；

（2）有效期限制:信任憑據中加入有效期信息，當節點檢測到本地存儲的某個信任憑據過期時應自行刪除，當需要時再重新申請。由于它是一個臨時性憑證，所以有效期設置不應過長；

（3）憑據撤銷機制:當某節點因屬性改變、密鑰泄露等情況造成信任憑據無效時，由BN廣播該節點身份標識，通知各節點刪除其信任憑據，并將此身份標識加入黑名單，直至其信任憑據過期。

1.4 信任關系建立過程

以圖2中節點A，C之間建立信任關系為例，描述異構域間節點建立信任關系的具體過程如下:

（1）發起方發送請求消息

不妨假設節點C為發起方，節點C在本地查找節點A的信任憑據，若信任憑據不存在或者已經失效，則向BN發送請求消息，申請與節點A建立信任關系。為確保雙方節點身份的保密性，請求消息用BN的公鑰加密。

（2）簽發信任憑據

BN從收到請求消息到到簽發信任憑據的基本業務流程如圖3所示。

圖3 BN的基本業務流程

當收到請求消息后 （仍假設節點C為發起方，下同），BN要根據請求消息加密類型選擇解密密鑰，故首先判斷請求消息的來源。由于節點C為IBE域用戶，故用SKIBE解密密文；若來源為PKI域，則用SKPKI解密密文。解密后得到雙方身份標識，根據節點C身份標識計算其公鑰；在PKI系統內查詢節點A的PKI證書，驗證證書真實有效并獲得其公鑰。BN利用身份標識和公鑰生成雙方的信任憑據，并用節點A的公鑰加密后一并發送至A。

（3）建立信任關系

當節點A收到BN的信任憑據后，首先解密獲得兩個信任憑據，分別表示為MA、MC。驗證簽名信息和有效期，確定MC真實有效，得到節點C的身份標識與公鑰，建立A對C的單向信任；然后將MA用節點C的公鑰加密轉發給節點C，節點C收到信息后，對消息進行解密，驗證簽名信息和有效期，確定MA真實有效，得到節點A的公鑰，建立C對A的信任關系。至此，跨異構信任域信任關系建立完成。

2 基于BN設計的一種信任關系建立協議

根據信任模型設計異構信任域中節點之間信任關系建立協議 （以下簡稱BN－TRB協議），并分析協議的正確性、安全性和效率。

2.1 BN－TRB協議

2.1.1 前提與約定

為下文描述方便，給出如表1所示的符號約定。

表1 符號約定

在協議設計中預設了如下前提:

（1）BN是可信的第三方，具有簽發信任憑據的能力；

（2）BN已經獲得PKI證書，可以和PKI域內其他節點建立信任關系；

（3）PKG已經為BN生成密鑰，可以與IBE域內其他節點建立信任關系。

2.1.2 協議描述

BN－TRB協議由3個消息組成，如圖2所示，A表示PKI域中的一個實體，C表示IBE域中的一個實體。

①C→BN:D1EPKIBE（IDC）IDAt）Sign1

節點C發送請求消息，其中D1表明請求消息來源為IBE域；請求節點與被請求節點的身份標識和時間戳t，用BN的IBE 公 鑰 加 密；Sign1＝SignSKC（EPKIBE（IDC IDAt））為節點C的簽名。BN收到請求消息后，根據圖3所示步驟生成雙方信任憑據:MA＝IDAKAT1SignSKIBE（IDAKAT1），MC＝IDCKCT2SignSKPKI（IDCKCT2）。

②BN→A:EPKA（MAMC）

BN將MA和MC使用A的公鑰加密，將密文發送到A。A解密消息后，得到兩個信任憑據MA和MC，驗證MC中BN的簽名信息及有效期。

③A→C:EPKC（MA）

A將自己的信任憑據MA用KC加密后發送給C，C解密得MA，驗證MA中BN的簽名信息及有效期。

在以上的過程中，若對信任憑據的簽名信息驗證失敗或憑據已過有效期，即中止協議的執行。

2.2 BN－TRB協議分析

2.2.1 BN－TRB協議正確性分析

BN－TRB協議正確性分析的目標是通過分析，證明協議過程可以為跨域雙方正確建立信任關系。

（1）信任關系的謂詞邏輯定義

定義1 模型元素

Cert:信任憑證，在本協議中PKI證書和BN簽發的信任憑據統稱為信任憑證；

E:實體集合，可以是信任憑證的使用者、驗證者和簽發者。我們定義使用者和驗證者為用戶實體，簽發者為權威實體；

T:表示時間段[t1，t2]；

D:信任域集合，D＝｛d1，d2｝；

P:策略集合P＝｛p1，p2｝＝｛pd1，pd2｝。pi表示一個信任憑證簽發策略，pdi表示信任域pi內的信任憑證簽發策略。

定義2 謂詞邏輯

①權威信任:TA（A，B，i）／＜P，T＞ 。該關系表明實體A信任實體B為權威實體，在時間段T內，具有可信簽發符合策略集P的信任憑證的能力。當i＝0時，表示實體B可以簽發用戶實體的信任憑證，i＝1時表示實體B可以為其他權威實體簽發信任憑證；

②公鑰真實:TK（A，B）／＜P，T＞。該關系表明實體A相信實體B在時間段T內，在策略集P下的公鑰是真實的；

③憑證有效:TC（A，Cert）／t。實體 A在t時刻相信信任憑證Cert有效；

④憑證簽發:Cert（A，B，i）／＜P，T＞ 。實體A在策略集P下為實體B簽發信任憑證，此憑證在時間段T內有效。同樣，當i＝0時，表示給實體B簽發的是用戶實體的信任憑證，i＝1時表示給實體B簽發的是權威實體的信任憑證。

定義3 推導規則

①公鑰真實規則:給定A，B，C∈E，A∈d1，B∈d2。若TA（A，B，0）／＜P1，T1＞，TC（A，Cert（B，C，0）／＜P2，T2＞）／t，其中t∈｛T1，T2｝，P1，P2∈Pd2，則可以推出TK（A，C）／＜p，T＞，其中策略p為P1，P2的映射，T＝[t，max （T1∩T2）]；

②信任傳遞規則:給定A，B，C∈E，其中A∈d1，B∈d2。若TA（A，B，1）／＜P1，T1＞，且TC（A，Cert（B，C，1）／＜P2，T2＞）／t，其中t∈｛T1，T2｝，P1，P2∈Pd2，則可以推出TA（A，C，0）／＜P，T＞，其中P∈P1∩P2，T＝[t，max （T1∩T2）]。

（2）BN－TRB協議的信任關系推導

利用以上定義進行信任關系推導:

①A驗證BN具有簽發信任憑據的能力:根據信任傳遞規則，若TA（A，C，A，1）／＜P1，T1＞，TC（A，Cert（CA，BN，0）／＜P2，T2＞）／t1，則TA（A，BN，0）／＜P，T3＞，其中P∈P1∩P2，T3＝[t，max （T1∩T2）]，P1為CA簽發用戶PKI證書的策略，P2為CA為其他權威實體簽發信任憑據的策略。

②BN為節點C簽發信任憑據:TK（BN，C）／＜P3，T4＞，Cert（BN，C，0）／＜P4，T5＞，其中P3為IBE系統生成用戶公私鑰對策略，P4為BN簽發信任憑據策略。

③節點A相信節點C公鑰真實，建立單向信任:TA（A，BN，0）／＜P，T3＞，TC（A，Cert（BN，C，0）／＜P4，P5＞）／t2，根據公鑰真實規則有:TK（A，C）／＜p，T6＞，即A相信C公鑰真實，其中p為策略P，P4的映射。

同理，節點C可以獲得節點A的真實公鑰。通過推導可以證明，BN－TRB協議可以為跨域雙方建立信任關系。

2.2.2 BN－TRB協議安全性分析

BN－TRB協議的安全性，包括消息交互過程的安全性和信任憑據安全性。

消息①經加密后傳輸，只有BN可以解密消息，提供了雙方節點身份的保密性；用域標識標明請求消息來源，避免了直接使用節點身份標識造成的身份泄露；加入時間戳，確保請求消息的新鮮性，防止惡意節點的重放攻擊；加入請求節點的簽名信息，防止惡意節點的冒充。

消息②利用KA加密，將MA、MC發送給A，再經消息③將MA發送給C。這樣將原本應由BN向C發送的消息給A發送，可以減少BN與無線網絡間的通信次數，提高BN作為信任模型核心節點的安全性。

當然，為防止節點A或其他節點對MA的非法使用或篡改，制定了如下安全措施:

首先，信任憑據中加入BN簽名信息和時間戳，其他節點無法進行偽造或重放攻擊，保證了信任憑據的真實性。其次，模型制定了信任憑據的管理機制，包括憑據的簽發、存儲、更新及撤銷機制，保證了信任憑據在其生命周期內的安全性。

可見，協議保證了模型中安全信息的機密性、完整性和可驗證性，可以在異構信任域間可靠地建立信任關系。

2.2.3 BN－TRB協議效率分析

協議效率分析主要從消息條數和計算量兩個方面進行，本文列舉兩個類似協議方案[7，10]作對比分析如表2所示。

表2 3個同類型協議的效率對比

其中EIBE、SIBE分別表示在IBE系統下的加密與簽名運算，EPKI、SPKI分別表示在PKI系統下的加密與簽名運算；方案1的4條消息中未包含對域的認證過程，需要跨域傳遞2次PKI證書并進行證書驗證；本文方案情形1是IBE域內節點發起的協議過程，情形2是由PKI域內節點發起。

3 結束語

本文首先描述了一種有線網絡與無線網絡組合的混合網絡模型，分析了混合網絡中存在的安全問題，并針對問題設計了一個基于橋節點的異構信任域信任模型。該模型通過橋節點簽發的信任憑據，解決PKI信任域中節點和IBE信任域中節點建立信任關系的問題。根據信任模型，設計信任關系建立協議，并進行協議的正確性分析和性能分析，證實了協議的可行性和有效性。但是當混合網絡規模巨大時，會帶來橋節點的效率降低和單點失效問題，因此今后將會對分布式信任模型進行研究。

[1]GUAN Zhengsheng.Public key infrastructure（PKI）and its applications[M].Beijing:Publishing House of Electronics Industry，2008（in Chinese）.[關振勝.公鑰基礎設施PKI及其應用[M].北京:電子工業出版社，2008.]

[2]Boneh D，Franklin M.Identity－based encryption from the weil pairing[C]／／Advances in Cryptology CRYPTO，Berlin:Springer－Verlag，2001:213－229.

[3]ZHANG Sheng，XU Guoai，HU Zhengming，et al.Research on trust model in Ad hoc networks[J].Application Research of Computers，2009 （12）:100－105 （in Chinese）.[張勝，徐國愛，胡正名，等.Ad hoc網絡信任模型的研究[J].計算機應用研究，2009 （12）:100－105.]

[4]XU Shu.Authentication scheme using identity－based signcryption[J].Computer Engineering and Design，2008，29 （24）:6269－6271（in Chinese）.[徐述.基于身份簽密的身份認證模型[J].計算機工程與設計，2008，29 （24）:6269－6271.]

[5]LI Yanzhao.The electronic authentication ushered in a new development opportunitie[EB／OL].[2011－01－08].http:／／security.zdnet.com.cn／security＿zone／2010／1015／1912954.shtml（in Chinese）.[李延昭.電子認證迎來發展新機遇[EB／OL].[2011－01－08].http:／／security.zdnet.com.cn／security＿zone／2010／1015／1912954.shtml.]

[6]Zhang Nan，Lin Jingqiang，Jing Jiwu.RIKE:Using revocable identities to support key escrow in PKIs[C]／／Applied Cryptography and Network Security.Berlin:Springer－verlag，2012:48－65.

[7]YANG Bin.Research on the combination of identity－based cryptographic techniques and public key infrastructure[D].Zhengzhou:PLA Information Engineering University，2009 （in Chinese）.[楊斌.IBC和PKI組合應用研究[D].鄭州:解放軍信息工程大學，2009.]

[8]BAO Lei.The research of PKI cross－domain bridge trust model based on validation agent[D].Shanghai:Shanghai Jiaotong University，2011（in Chinese）.[包蕾.基于驗證代理的PKI跨域橋接信任模型研究[D].上海:上海交通大學，2011.]

[9]XU Peng，CUI Guohua，FU Cai，et al.A more efficient accountable authority IBE scheme under the DL assumption[J].Science China （Information Science），2010，53 （3）:581－592.

[10]YANG Bin，CHEN Guoqing，SUN Yonghong.Research of a new identity－based authentication model for multi－Domain[J].Computer Security，2010 （8）:15－18 （in Chinese）.[楊斌，陳國慶，孫永紅.一種新的基于身份的多信任域認證模型研究[J].計算機安全，2010 （8）:15－18.]