基于證書的匿名跨域認證方案

丁永善，李立新，李作輝

（信息工程大學(xué)三院，河南 鄭州 450001）

1 引言

物聯(lián)網(wǎng)是一種將人與人、人與物、物與物連接起來的一種泛化的互聯(lián)網(wǎng)，具有動態(tài)感知、可靠傳送與智能處理等特點，提高了社會的信息化能力。近年來隨著物聯(lián)網(wǎng)的迅猛發(fā)展，其安全問題日益突出[1,2]，惠普安全研究院調(diào)查 10個最流行的物聯(lián)網(wǎng)智能設(shè)備后發(fā)現(xiàn)，幾乎所有設(shè)備都存在高危漏洞；騰訊發(fā)布的互聯(lián)網(wǎng)安全報告指出，2017年上半年物聯(lián)網(wǎng)攻擊增加280%。張玉清等[3]通過分析現(xiàn)有關(guān)于物聯(lián)網(wǎng)研究工作中的不足和安全問題產(chǎn)生的原因，指出物聯(lián)網(wǎng)安全存在的5大技術(shù)挑戰(zhàn)：數(shù)據(jù)共享的隱私保護方法；有限資源的設(shè)備安全保護方法；更加有效的入侵檢測防御系統(tǒng)與設(shè)備測試方法；針對自動化操作的訪問控制策略；移動設(shè)備的跨域認證方法。

在移動設(shè)備組成的通信網(wǎng)絡(luò)中，除人與設(shè)備的交互外，存在越來越多設(shè)備之間的交互，移動設(shè)備會頻繁地從一個網(wǎng)絡(luò)移動到另一個網(wǎng)絡(luò)。當移動設(shè)備漫游到外域網(wǎng)絡(luò)時，只有通過了該域網(wǎng)絡(luò)認證才允許被接入，同時為防止攻擊者對移動設(shè)備的跟蹤，需要提供匿名服務(wù)隱藏移動設(shè)備的真實身份，因此，匿名跨域認證方案在移動設(shè)備組網(wǎng)中至關(guān)重要。

適用于移動設(shè)備的跨域認證方案除了滿足匿名性和不可跟蹤性外，由于移動設(shè)備的計算能力和功率受限，因此方案還應(yīng)該滿足移動設(shè)備計算開銷小的要求[4]。

文獻[5,6]利用證書和PKI技術(shù)實現(xiàn)跨域認證方案，但方案都涉及復(fù)雜的證書管理過程，并且計算開銷相對較大；文獻[7]提出一種無對運算的基于身份的簽名（IBE）方案，具有較高的執(zhí)行效率；在該簽名方案的基礎(chǔ)上，文獻[8]設(shè)計了一種匿名跨域認證方案，然而該方案涉及密鑰托管問題，其安全性依賴對PKG完全可信。基于證書的加密（CBE）方案[9]將 IBS的優(yōu)點集成到 PKI中，文獻[10]基于 CBE提出了基于證書的簽名（CBS）方案，該算法不需要PKI中復(fù)雜的證書管理，同時避免了IBS中的密鑰托管和分發(fā)問題。但其依賴于對運算，計算開銷較大，針對該問題，文獻[11]提出一種無對運算的CBS方案，降低了計算開銷。

在研究上述方法的基礎(chǔ)上，本文提出一種基于證書的匿名跨域認證方案。本文的主要貢獻如下。

1) 提出了一種無對運算的 CBS方案，該方案融合了PKI和IBS的優(yōu)勢，并且避免了對運算，另外，方案中的簽名驗證結(jié)果為常量。

2) 對CBS方案的不可偽造性進行了證明。

3) 將 CBS方案運用到移動設(shè)備的跨域認證中，用戶提交的認證信息中不包含移動設(shè)備的真實身份，實現(xiàn)匿名認證。

4) 對基于證書的匿名跨域認證方案的安全性和效率進行了分析。

2 預(yù)備知識

2.1 數(shù)學(xué)定義和假設(shè)

定義 1 （對運算[12]）假設(shè)雙線性映射，其中，G、GT為素數(shù)q階循環(huán)乘法群，g為G的生成元。則e滿足

1) 雙線性：對于所有的x, y∈G 和均有

2) 非退化性：e( g, g)≠1。

定義2 （離散對數(shù)（DL）假設(shè)）假設(shè)q階循環(huán)乘法群G，生成元為g。對于M∈G，求使其滿足xM=g的問題，稱為群G的離散對數(shù)問題。對于敵手B，若則敵手B的優(yōu)勢為ε。

群G的假設(shè)：沒有算法能在t時間內(nèi)以至少ε的優(yōu)勢解決群G的離散對數(shù)問題。

2.2 基于證書的簽名（CBS）方案的基本步驟

一個CBS方案主要包括Setup、UserKeyGen、Certify、Sign和Verify這5步[13]。

1) Setup：該算法生成系統(tǒng)主密鑰msk和系統(tǒng)公開參數(shù)params。

2) UserKeyGen：該算法根據(jù)params生成用戶公鑰PKID和私鑰uskID。

3) Certify：該算法根據(jù)系統(tǒng)主密鑰msk、公開參數(shù)params、用戶標識ID和用戶公鑰PKID，生成用戶證書 CertID。

4) Sign：該算法根據(jù)系統(tǒng)公開參數(shù)params、消息m、用戶標識 ID、用戶公鑰PKID和用戶證書CertID，生成簽名值σ。

5) Verify：該算法根據(jù)(m,)σ，系統(tǒng)公開參數(shù)params、用戶標識 ID和用戶公鑰PKID，驗證簽名值。若輸出為真，則簽名值可用，否則不可用。

2.3 安全模型

本文假設(shè)敵手 A希望在已知用戶公鑰PKID而不知用戶證書的情況下偽造用戶簽名，針對該敵手定義以下游戲[14]。

1) 挑戰(zhàn)者 C運行 Setup產(chǎn)生系統(tǒng)參數(shù)params，并將系統(tǒng)參數(shù)params發(fā)送給敵手A。

2) 敵手A進行以下詢問。

UserKeyGen-query：敵手 A提供 ID，若 ID已經(jīng)存在，則返回用戶公鑰PKID；否則挑戰(zhàn)者 C運行算法 UserKeyGen，獲取公私鑰對，將其添加到用戶列表，并返回用戶公鑰PKID。

Corruption-query：敵手A提供ID，挑戰(zhàn)者C檢查用戶列表，若ID存在，返回相應(yīng)私鑰uskID。

Certification-query：挑戰(zhàn)者根據(jù)敵手 A提供的 ID，以為輸入運行算法Certify，并返回Cert。

Sign-query：挑戰(zhàn)者運行算法 Sign，根據(jù)計算簽名值σ。

敵手A執(zhí)行多項式有界次詢問后，敵手A產(chǎn)生消息m的簽名σ；在第二階段敵手A未曾進行相關(guān)的私鑰、證書和簽名詢問，但得到用戶*ID的簽名σ*、消息m*、公鑰 PK*，若σ*為有效簽名，則敵手A贏得游戲。敵手A的優(yōu)勢為贏得游戲的概率。

3 基于Certificate的簽名算法

基于證書的簽名方案大多是基于線性對運算實現(xiàn)的[15～17]，經(jīng)當前的MIRACL庫測試可知，對運算具有較大的計算開銷。文獻[11]提出了一種無對運算的CBS算法，該算法相較于上述方法具有更高的效率。本節(jié)在文獻[11]的基礎(chǔ)上，提出一種新的無對運算的CBS算法，該算法不僅保持了原算法的執(zhí)行效率高的優(yōu)點，同時簽名的驗證結(jié)果保持常數(shù)，便于實現(xiàn)跨域過程中的匿名認證。其中，3.1節(jié)對無對運算的CBS算法進行描述，3.2節(jié)對該算法進行了不可偽造性證明。

3.1 CBS方案描述

基于證書的簽名方案描述如下。

1) Setup：PKG選擇q階循環(huán)乘法群G，G的生成元為 g；選擇隨機數(shù)，計算定義以下 Hash函數(shù)。公開系統(tǒng)參數(shù)params=并妥善保管系統(tǒng)主密鑰msk=x。

2) UserKeyGen：用戶隨機選擇作為用戶私鑰，即usk=u；并計算用戶公鑰PK=

3) Certify：CA隨機選擇計算則用戶證書為，用戶可以通過式(1)驗證證書的正確性。

4) Sign：簽名者對消息進行簽名。簽名者隨機選取，并計算則簽名消息為

5) Verify：驗證者收到消息簽名值和系統(tǒng)參數(shù)后，進行計算并驗證

是否成立，若成立輸出“真”，否則輸出“假”。

該算法中，用戶獨自生成私鑰和公鑰并向CA申請用戶證書，CA擁有用戶證書卻不掌握用戶私鑰，不具備解密任何密文的能力。該算法不具有 pairing，具有較高的執(zhí)行效率，同時簽名驗證結(jié)果為常數(shù)，便于實現(xiàn)跨域過程中的匿名認證。

3.2 CBS方案安全性證明

該方案中，認為證書頒發(fā)者CA是誠實且可信的，針對2.3節(jié)中定義的敵手A對CBS方案的不可偽造性進行證明。

定理1 在隨機預(yù)言模型中，針對CBS方案，若存在敵手A經(jīng)過至多qe次Certification-query，qs次 Sign-query，qh1次H1-query，qh2次H2-query，在t時間內(nèi)以ε優(yōu)勢偽造該簽名方案，則存在算法B在t'時間內(nèi)以'ε的優(yōu)勢解決DL問題。（E為冪操作時間）

證明 假設(shè)存在敵手 A在t時間內(nèi)以ε優(yōu)勢偽造該簽名方案，構(gòu)造算法 B。選擇q階循環(huán)乘法群G，G的生成元為g；在已知G和M∈G的情況下，要求求得x∈G滿足xg=M。

建立階段：算法B選擇Hash函數(shù)作為隨機語言模型。算法 B生成 X=M和公開參數(shù)，并發(fā)送給敵手A。

詢問階段：敵手A進行以下詢問。

1) H1-query算法 B擁有包含元組的H1列表，當敵手 A進行詢問時，首先檢查H1列表是否包含若包含則返回h；否則隨機選擇并把加入H1列表，返回h。

2) H2-query（Y, R, m）：隨機選擇令返回h2。

3) UserKeyGen-query（IDi）：算法B擁有包含元組的Key列表，當敵手A進行詢問時，首先檢查 Key列表是否包含，若包含則返回PKi；否則執(zhí)行算法 UserKerGen生成公私鑰對并把加入Key列表，返回PKi。

4) Corruption-query（IDi）：當敵手A進行詢問時，算法 B首先檢查 Key列表是否包含，若包含則返回uski；否則返回⊥。

5) Certification-query敵手A進行證書查詢，算法 B進行以下操作：①若存在，則隨機選取并令，返回證書(R, s)，計算可知(R, s)滿足同時存儲更改H1列表中的；②若不存在，則執(zhí)行算法Certify，存儲并返回h1。

6) Sign-query是否進行過H1詢問，若是，算法B則查詢算法 B檢查，并令隨機選擇，進行H2詢問得到h2，計算返回簽名(Y, R, z)。若否，算法 B則執(zhí)行算法Certify，并用得到的證書用上述方法對消息進行簽名，返回簽名信息。

計算階段：敵手A對得到偽造簽名。對同一經(jīng)過4次H2詢問，得到不同的h2，假設(shè)分別為c1、c2、c3、c4。多次詢問后可以得到。同時。根據(jù)式(2)，則有

即。其中，對于敵手 A為未知的，解上述線性方程可以得到x即DL問題的解。

分析階段：當對進行隨機賦值時，前后出現(xiàn)不一致時導(dǎo)致隨機預(yù)言模型失敗，可能性為；由于 Certification-query和 Sign-query階段都可能進行H1詢問，則最多詢問次數(shù)為。根據(jù)隨機語言模型的理性隨機性，存在H2詢問的可能性為，敵手A通過詢問得到正確H2的可能性為。因此敵手A成功的可能性為

時間復(fù)雜度是由Certification詢問和Sign詢問中的冪操作影響的，故

4 物聯(lián)網(wǎng)環(huán)境下基于證書的跨域認證方案設(shè)計

4.1 系統(tǒng)模型

移動網(wǎng)絡(luò)環(huán)境主要由移動設(shè)備（MD）、移動設(shè)備在本網(wǎng)絡(luò)的認證代理（HA）和移動設(shè)備在外地網(wǎng)絡(luò)的接入點代理（FA）構(gòu)成，其架構(gòu)如圖1所示。

圖1 移動設(shè)備網(wǎng)絡(luò)系統(tǒng)模型

當MD漫游到域外網(wǎng)絡(luò)時，只有通過了該域FA的認證才被允許接入。移動設(shè)備 MD首先在HA進行注冊，生成公私鑰；HA為MD頒發(fā)證書并建立賬戶。當MD訪問本域網(wǎng)絡(luò)時，可直接通過HA進行認證；當MD訪問域外網(wǎng)絡(luò)時，為了保證MD不被跟蹤，需要通過匿名跨域認證隱藏MD的真實身份，F(xiàn)A對MD的匿名認證通過FA認證HA身份、HA認證MD身份兩步實現(xiàn)。由于MD發(fā)送的所有數(shù)據(jù)都經(jīng)過FA轉(zhuǎn)發(fā)，因此MD的認證信息不能包含任何真實身份信息，但同時又能使HA驗證其真實身份。

4.2 方案設(shè)計

方案分為系統(tǒng)建立、移動設(shè)備注冊、全認證、重認證4個階段。

1) 系統(tǒng)建立

HA選擇素數(shù)q階乘法循環(huán)群G，生成元為g；選取為其私鑰，計算為其公鑰；選取公開參數(shù)。FA選擇與HA相同的參數(shù)，并選取作為私鑰，計算公鑰，公開參數(shù)

2) 移動設(shè)備注冊

① 移動設(shè)備MD將IDMD發(fā)送給HA。

② HA驗證移動設(shè)備身份，若通過，則發(fā)送給移動設(shè)備，移動設(shè)備選取作為私鑰，計算，并將公鑰 PKMD發(fā)送給HA。HA選取，計算，生成證書發(fā)送給移動設(shè)備，移動設(shè)備可以通過驗證證書的正確性。

③ HA為移動設(shè)備 MD建立賬戶其中為移動設(shè)備賬戶的索引是賬戶信息，包括移動設(shè)備身份、有效期等。

3) 全認證

① 移動設(shè)備選取，獲取時間戳TMD，計算；發(fā)送消息給FA。

② FA收到消息后，若TMD新鮮，則獲取時間戳TFA，簽名并發(fā)送消息給HA。

③ HA收到消息后，若TFA新鮮且簽名驗證通過，則HA通過對FA的認證，HA計算取出移動設(shè)備信息，驗證是否成立，若成立則HA通過對移動設(shè)備 MD的認證。HA獲取時間戳THA，簽名并發(fā)送消息(IDFA,給FA。

④ FA收到消息后，若THA新鮮且簽名驗證通過，則FA通過對HA的認證。FA創(chuàng)建移動設(shè)備臨時身份ID′，選取，為移動設(shè)備頒發(fā)臨時證書建立臨時賬戶，其中為移動設(shè)備賬戶的索引，是臨時賬戶信息，包括移動設(shè)備臨時身份、有效期等。FA計算，獲取時戳TF′A，發(fā)送給移動設(shè)備 MD，其中，Ek0為對稱加密。

⑤ 移動

設(shè)備MD收到消息后，若TF′A新鮮，則用k解密并核對TF′A、，若一致，則移動設(shè)備通過對FA的認證，并把k作為之后的會話密鑰。

4) 重認證

當移動設(shè)備MD再次訪問域B中的資源時，若臨時證書在有效期，則移動設(shè)備MD可以通過臨時身份ID'和臨時證書(R′, s′)進行快速認證，而無需通過HA參與。

① 移動設(shè)備選取，獲取時間戳TMD，計算發(fā)送消息給FA。

② FA收到消息后，若TMD新鮮，計算，取出移動設(shè)備信息，驗證是否成立，若成立則通過對移動設(shè)備MD的認證。FA獲取時間戳TFA，選取計算，發(fā)送消息給移動設(shè)備MD。

③ 移動設(shè)備MD收到消

息后，若TFA新鮮，

則用ki-1解密，核對TFA、TMD，若一致，則移動設(shè)備通過對 FA的認證。計算，并把ki作為本次通信的會話密鑰。

5 基于證書的匿名跨域認證方案分析

5.1 認證安全性

在跨域認證方案的全認證過程中，實現(xiàn)了實體間的雙向認證。在全認證過程中，HA和FA之間的認證是基于公鑰密碼實現(xiàn)的，簽名中包含時間戳，有效避免了重放攻擊；HA對MD的認證是基于CBS方案實現(xiàn)的，3.2節(jié)對CBS方案的不可偽造性進行了證明；MD對FA的認證是基于對稱密碼實現(xiàn)的，用于認證的密鑰只有認證雙方可以通過計算獲得，確保了認證的安全性；FA對MD的認證是通過FA對HA、HA對MD的認證間接實現(xiàn)的。

5.2 匿名性和不可跟蹤性

用戶的真實身份只對本域的認證服務(wù)器 HA公開，用戶和其他域的認證服務(wù)器 FA都無法確定用戶的真實身份。在全認證過程中，用以交互進行身份認證的消息不包含用戶的身份信息，HA通過驗證用戶簽名信息、計算用戶索引認證用戶身份，因此除HA外其他實體不能獲得用戶真實身份。在全認證階段，F(xiàn)A為用戶建立臨時身份，在重認證時，F(xiàn)A僅能確認用戶的臨時身份，通過驗證簽名信息完成用戶認證，而無法得到用戶的真實身份。

另外，用戶每次進行認證時選擇對時間戳進行簽名作為認證信息，認證消息具有隨機性，除本域認證服務(wù)器HA和訪問域認證服務(wù)器FA外，其他實體無法將不同的認證消息聯(lián)系起來。

5.3 會話密鑰建立與更新

在認證過程中，會話密鑰是在會話雙方之間建立的，移動設(shè)備選擇秘密參數(shù)，計算，并將k作為會話密鑰，將K發(fā)送給訪問域認證服務(wù)器FA，訪問域FA用自己的私鑰sFA，計算得到會話密鑰，移動設(shè)備可以通過解密核對確認FA計算得到了正確的會話密鑰。其他實體無法獲得會話密鑰，包括本域認證服務(wù)器HA。

在重認證過程中，新的會話密鑰是在原會話密鑰的基礎(chǔ)上通過雜湊得到的，使每次會話的密鑰均不相同。

文獻[18]方案用戶和 FA 之間的會話密鑰是通過HA間接建立的，HA同樣掌握會話密鑰，因此本方案的安全性優(yōu)于文獻[18]方案。

5.4 效率分析

本文方案集成了PKI和IBS的特性和優(yōu)點，并且在整個認證過程中沒有對運算。本文方案與文獻[8,12,18]中方案的效率進行對比結(jié)果如表1所示。

表1 效率比較

通過對比可知，相對于文獻[8]的方案，本文方案有更少的公鑰和對稱加解密；相對文獻[12]的方案，本文方案所有實體均不進行對運算，雖然MD多進行一次散列運算，但整體計算開銷較小；相對于文獻[18]的方案，有更少的公鑰加解密。本文方案中雖然使用證書和用戶私鑰一起進行簽名操作，但并不涉及復(fù)雜的證書管理，同時相對于基于身份的跨域認證方案，沒有密鑰托管和密鑰分發(fā)問題，因此更適合應(yīng)用在移動設(shè)備的跨域認證中。

6 結(jié)束語

移動設(shè)備的跨域認證是物聯(lián)網(wǎng)發(fā)展過程中面臨的主要問題之一。本文提出一種適用于移動設(shè)備的跨域認證方案，該方案在保證安全性和匿名性的基礎(chǔ)上，具有更少的計算量和通信開銷，提高了認證的效率。通過與其他跨域認證方案相比，本文方案在安全上和效率上具有明顯優(yōu)勢，使其能夠滿足網(wǎng)絡(luò)漫游中移動設(shè)備的匿名認證要求。

參考文獻：

[1]ROMAN R, ZHOU J, LOPEZ J. On the features and challenges of security and privacy in distributed internet of things[J]. Computer Networks, 2013, 57(10)：2266-2279.

[2]武傳坤. 物聯(lián)網(wǎng)安全關(guān)鍵技術(shù)與挑戰(zhàn)[J]. 密碼學(xué)報, 2015,2(1)：40-53.WU C K. An overview on the security techniques and challenges of the Internet of things[J]. Journal of Cryptologic Research, 2015,2(1)：40-53.

[3]張玉清, 周威, 彭安妮. 物聯(lián)網(wǎng)安全綜述[J]. 計算機研究與發(fā)展,2017, 54(10)：2130-2143.ZHANG Y Q, ZHOU W, PENG A N. Survey of Internet of things security[J]. Journal of Computer Research and Development, 2017,54(10)： 2130-2143.

[4]HINAREJOS F, LOPEZ J, MONTENEGRO J A, et al. Pervasive authentication and authorization infrastructures for mobile users[J].Computers & Security, 2010, 29(4)：501-514.

[5]LEE D G, KANG S I, SEO D H, et al. Authentication for single/multi domain in ubiquitous computing using attribute certification[C]//International Conference on Computational Science and ITS Applications. 2006：326-335.

[6]AYE N, KHIN H S, WIN T T, et al. Multi-domain public key infrastructure for information security with use of a multi-agent system[M]//Intelligent Information and Database Systems. Berlin：Springer, 2013：365-374.

[7]BELLARE M, NAMPREMPRE C, NEVEN G. Security proofs for identity-based identification and signature schemes[C]//Advances in Cryptology Eurocrypt 2004. 2004：268-286.

[8]羅長遠, 霍士偉, 邢洪智. 普適環(huán)境中基于身份的跨域認證方案[J]. 通信學(xué)報, 2011, 32(9)：111-115.LUO C Y, HUO S W, XING H Z. Identity-based cross-domain authentication scheme in pervasive computing environments[J]. Journal on Communications, 2009, 30(4)：130-136.

[9]GENTRY C. Certificate-based encryption and the certificate revocation problem[C]//International Conference on Theory and Applications of Cryptographic Techniques. 2003：272-293.

[10]KANG B G, PARK J H, SANG G H. A certificate-based signature scheme[C]//Cryptolograheres Track Research Conference. 2004：99-111.

[11]LIU J K, BAEK J, SUSILO W, et al. Certificate-based signature schemes without pairings or random oracles[C]//International Conference on Information Security. 2008：285-297.

[12]朱輝, 李暉, 蘇萬力,等. 基于身份的匿名無線認證方案[J]. 通信學(xué)報, 2009, 30(4)：130-136.ZHU H, LI H, SHU W L, et al. ID-based wireless authentication scheme with anonymity[J]. Journal on Communications, 2009,30(4)：130-136.

[13]LI J, WANG Z, ZHANG Y. Provably secure certificate-based signature scheme without pairings[M]. Elsevier Science Inc.2013：313-320.

[14]LI J, HUANG X, MU Y, et al. Certificate-based signature： security model and efficient construction[J]. Public Key Infrastructure, 2007,(4582)：110-125.

[15]VERMA G K, SINGH B B. Short certificate-based proxy signature scheme from pairings[J]. Transactions on Emerging Telecommunications Technologies, 2017(1)：3214.

[16]ZHANG Y, LI J G, WANG Z, et al. A new efficient certificate-based signature scheme[J]. Chinese Journal of Electronics, 2015,24(4)：776-782.

[17]MAN H A, LIU J K, SUSILO W, et al. Certificate based (linkable)ring signature[C]//International Conference on Information Security Practice and Experience. 2007：79-92.

[18]彭華熹, 馮登國. 匿名無線認證協(xié)議的匿名性缺陷和改進[J].通信學(xué)報, 2006, 27(9)：78-85.PENG H X, FENGDG. Security flaws and improvement to a wireless authentication protocol with anonymity[J]. Journal on Communications, 2006, 27(9)：78-85.