摘 要:不同于傳統(tǒng)的C/S架構(gòu)，對(duì)等網(wǎng)絡(luò)結(jié)點(diǎn)兼具服務(wù)器和客戶機(jī)的雙重身份，對(duì)于自身隱私的保護(hù)和對(duì)方的身份認(rèn)證也就同時(shí)成為每一個(gè)對(duì)等節(jié)點(diǎn)必需考慮的安全問題。針對(duì)典型混合式結(jié)構(gòu)的P2P網(wǎng)絡(luò)，提出依靠假名的雙向認(rèn)證體系，在多次通訊前提下能既保證結(jié)點(diǎn)敏感信息安全，同時(shí)又承擔(dān)相應(yīng)的信息問責(zé)。

關(guān)鍵詞:匿名認(rèn)證; k-Times證書; 加密握手; 點(diǎn)對(duì)點(diǎn)匿名認(rèn)證

中圖分類號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A

文章編號(hào):1004-373X(2010)07-0125-03

PPAA Model Based on Peer-to-Peer Network

JIANG Shen

(Department of E-Business， Bohai University， Jinzhou 121000， China)

Abstract:The peer-to-peer network node which is different from the traditional C/S framework are equipped with the both servers and clients. Its own privacy protection and ID authentication for others are security problems considered by each peer node. Aiming at a P2P network withtypical hybrid structure， a two-way authentication system relies on pseudonyms that can guarantee the security of nodes'sensitive information and bears the corresponding information accountability under the premise of various communications.

Keywords:anonymous authentication; k-Times certificate; secret handshake; peer-to-peer anonymous authentication

0 引 言

隨著P2P網(wǎng)絡(luò)應(yīng)用的興起，傳統(tǒng)C/S架構(gòu)的安全認(rèn)證模型已經(jīng)不能滿足所有節(jié)點(diǎn)的安全認(rèn)證需要。要保證結(jié)點(diǎn)間通訊的隱私安全和必要問責(zé)，PPAA(Peer-to-Peer Anonymous Authentication)概念應(yīng)運(yùn)而生。

如今的網(wǎng)絡(luò)已經(jīng)可以通過傳統(tǒng)的認(rèn)證機(jī)制(訪問控制或身份驗(yàn)證)來核實(shí)請(qǐng)求服務(wù)的用戶端身份。但是現(xiàn)有的Kerberos系統(tǒng)和標(biāo)準(zhǔn)公密鑰體系(PKI)中用戶必須放棄他們個(gè)人信息的私密性來通過驗(yàn)證。相反，一味追求用戶隱私的保密性而無需承擔(dān)發(fā)布責(zé)任也是不切實(shí)際的，用戶結(jié)點(diǎn)沒有對(duì)責(zé)任追究的恐懼，就很難約束其行為。

1 研究背景

現(xiàn)有的k-Times匿名認(rèn)證只能在結(jié)點(diǎn)來自同一個(gè)服務(wù)器時(shí)用標(biāo)簽惟一地標(biāo)識(shí)對(duì)方。這樣的標(biāo)簽體系在同一個(gè)客戶節(jié)點(diǎn)連接另外一個(gè)可連接服務(wù)器的時(shí)候就失去了其全局有效性，客戶端不能做到每次認(rèn)證都使用同一個(gè)惟一的標(biāo)簽。

秘密握手(SHSs)也只允許相同組的成員之間不暴露各自的組屬性的前提下共享一個(gè)會(huì)話密鑰。同時(shí)由于SHSs的非連接性，無法認(rèn)定來自同一結(jié)點(diǎn)的重復(fù)通訊，進(jìn)而導(dǎo)致惟一性的缺失和欺騙的可能。

兩者都不具備如今P2P網(wǎng)絡(luò)的多服務(wù)器多角色的全局相互識(shí)別能力。

2 框架的提出

基于已有的匿名認(rèn)證體系，結(jié)合點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)特點(diǎn)提出改進(jìn)的初步方案。

2.1 將“可鏈接內(nèi)容”引入認(rèn)證方案

可鏈接內(nèi)容(以下簡(jiǎn)稱LC)是確定認(rèn)證可鏈接性運(yùn)行于框架中的屬性集聚。特指當(dāng)只有兩個(gè)認(rèn)證同時(shí)進(jìn)行或者當(dāng)可鏈接內(nèi)容的屬性擁有相同約束前提的時(shí)候。

在K-TAA中，只有來自同一個(gè)客戶端且同時(shí)運(yùn)行的認(rèn)證是可鏈接的。K-TAA的可鏈接內(nèi)容是LC =(client-ID，time)即身份和時(shí)間的聚集。

在結(jié)點(diǎn)隱私信息的結(jié)尾是常規(guī)認(rèn)證體系的數(shù)字簽名，這使任何的兩個(gè)認(rèn)證都是可連接的。這些鏈接內(nèi)容盡管沒包括有價(jià)值信息，即LC =，這里可鏈接的內(nèi)容是即時(shí)的認(rèn)證即LC =(authen-run-ID)[1]。

PPAA中的可鏈接內(nèi)容:正確選擇可鏈接內(nèi)容是建立PPAA的第一步。在本次設(shè)計(jì)中，PPAA可鏈接內(nèi)容是客戶端和服務(wù)器端身份的無序?qū)蛯?duì)應(yīng)事件，這是執(zhí)行PPAA認(rèn)證的必要前提。

LC={{client-ID，server-ID}，event-ID}

設(shè)計(jì)PPAA的理想前提是認(rèn)證的運(yùn)行是可鏈接的，并且應(yīng)該是被執(zhí)行在同一對(duì)對(duì)等節(jié)點(diǎn)之間的同一個(gè)事件。

2.2 PPAA設(shè)計(jì)的核心觀點(diǎn)

首先，面向事件的可關(guān)聯(lián)組以及K-TAA雖然因?yàn)榉?wù)器端的驗(yàn)證不在其可鏈接的內(nèi)容中不能作為PPAA框架的安全手段。但是可以通過映射一個(gè)事件(例如時(shí)間)進(jìn)入服務(wù)器驗(yàn)證的方法使其成為面向事件的可鏈接內(nèi)容[2]。其次，LC(client-ID，server-ID)在同一用戶到不同的服務(wù)器認(rèn)證情況下也不可鏈接。帶有加密xi的客戶端i針對(duì)服務(wù)器j形成標(biāo)簽ti， j=gxi j，其中，gj是服務(wù)器端參數(shù)。由此同一個(gè)節(jié)點(diǎn)的標(biāo)簽對(duì)于不同服務(wù)器來講是絕對(duì)不可鏈接的。

構(gòu)建安全的PPAA需要設(shè)計(jì)全新的標(biāo)簽:

(1) 標(biāo)簽必須以客戶端，服務(wù)器端和事件的特征為生成基礎(chǔ);

(2) 只有來自于同一對(duì)結(jié)點(diǎn)的共同事件的標(biāo)簽是可鏈接的;

(3) 結(jié)點(diǎn)必須具有生成標(biāo)簽和向未知的其他節(jié)點(diǎn)證明標(biāo)簽合法性的能力。

3 解決方案

3.1 基本的PPAA

假設(shè)已知有Diffie-Hellman協(xié)議描述下的組G1，使H:{0，1}*→G1作為秘密密鑰的哈希函數(shù)，事件識(shí)別碼是任意長(zhǎng)度的字符串。每一個(gè)用戶由GM頒發(fā)一個(gè)數(shù)字證書cred=(A，x，y)∈G1×Z2p，其中x，y∈RZp，A值在所有的證書中不同。在基本框架中，函數(shù)f輸出的標(biāo)簽，同時(shí)作為節(jié)點(diǎn)初始化證書ced1=(A1，x1，y1)的輸入，回應(yīng)節(jié)點(diǎn)cre2=(A2，x2，y2)并且事件ID為eid[3]。函數(shù)定義如下:

f:(ced1，crd2，eid) →tag={τ1，τ2}

其中:τ1=Ax21H(eid)y1 ;τ2=Ax12H(eid)y2。

協(xié)議框架:以初始節(jié)點(diǎn)Alice(crd1=(A1，x1，y1))和回應(yīng)節(jié)點(diǎn)Bob(crd2=(A2，x2，y2))在事件(eid)中為例，協(xié)議完成后，他們各自輸出一個(gè)標(biāo)簽。

(1) Alice→Bob:

=，r1∈RZp。

(2) Bob→Alice:

=，r2∈RZp。

(3) Alice→Bob:

=。

(4) Bob→Alice:

< τ2>=。

(5) Alice和Bob都輸出標(biāo)簽tag={τ1，τ2}=f(cred1，cred2，eid)然后終止。

3.2 詳細(xì)的協(xié)議模型

為了進(jìn)一步保證協(xié)議參與結(jié)點(diǎn)的規(guī)范行為需要引入必要的機(jī)制，例如采用SPK[4]框架來進(jìn)一步約束協(xié)議中每一步的正確性。這里，引入與G1同樣描述的G2，使(G1，G2)成為被q-SDH(q-Strong Diffie-Hellman)假定約束平行的一對(duì)組。讓?duì)顺蔀槎囗?xiàng)式中使λ足夠大的安全參數(shù)。使g1，g2，…，g5∈G1成為G1的原始構(gòu)成，這樣就使相關(guān)在g1，g2，…，g5和g0間的離散對(duì)數(shù)未知。讓H:{0，1}*→Z作為秘密密鑰算法的哈希函數(shù)，H可以被體系中的各個(gè)SPK使用。

設(shè)定:GM隨機(jī)選擇γ∈RZp并計(jì)算ω=hγ0∈G2。組密鑰是gsk=(γ)，組公鑰是gpk=(ω)。

注冊(cè):當(dāng)用戶Alice和GM的協(xié)議成功完成，Alice由cred=(A，e，x，y，z)∈G1×Z4p得到一個(gè)證書cred，并且Ae+r=g00gx1gy2gz3。向GM輸入的私鑰是所管轄組的秘密密鑰gsk。協(xié)議運(yùn)行如下:

(1) GM向Alice發(fā)送，其中N0∈R{0，1}l是隨機(jī)的。

(2) Alice發(fā)送給GM，其中C=gx1gy2gz3∈G1是(x，y，z)∈RZ3p的委托，Ⅱ0是消息M=N0‖C SPK{(x，y，z):C=gx1gy2gz3}(M)的數(shù)字簽名依據(jù)。它可以證明C的正確與否，同時(shí)參照上面的SPK作為SPK0。詳細(xì)流程如下:

(3) 如果Ⅱ0的認(rèn)證返回?zé)o效，那么GM會(huì)在失敗處終止。否則GM向Alice發(fā)送，其中e，z2∈RZp并且A=(g0Cgz23)1/e+γ∈G1。

(4) Alice的計(jì)算機(jī)端z=z1+z2。如果ê(A，wheo)≠ê(g00gx1gy2gz3，h00)，她也終止于這個(gè)失敗。否則她輸出的cred=(A，e，x，y，z)就作為她的證書。

驗(yàn)證 Alice(作為發(fā)起人)和Bob(作為響應(yīng))在一個(gè)帶有標(biāo)識(shí)符 eid∈(0，1)*的事件中要相互驗(yàn)證彼此。Alice和Bob共同的輸入是eid，不同的輸入是Alice和Bob他們自己的私有證書，分別是(A1，e1，x1，y1，z1)和(A2，e2，x2，y2，z2)[5]。輸入標(biāo)簽tag1，tag2判斷連接驗(yàn)證通過，如果他們相等，算法返回已連接，否則告知未連接。

4 討 論

(1) 認(rèn)證的密鑰交換

PPAA的認(rèn)證協(xié)議可以很容易地轉(zhuǎn)換成認(rèn)證的Diffie-Hellman密鑰交換[6]。初始化結(jié)點(diǎn)把m1，元素ga0(a∈RZp)包含在認(rèn)證協(xié)議的第一步中。響應(yīng)結(jié)點(diǎn)也把m2， gb0(b∈RZp)包含在認(rèn)證協(xié)議的第三步中[7]。當(dāng)協(xié)議終止時(shí)，他們可以使用gab0=(ga0)b=(gb0)a作為共享的會(huì)話密鑰。由于m1，m2分別有SPK1，SPK2的簽名，兩個(gè)節(jié)點(diǎn)可以使用會(huì)話密鑰建立一個(gè)擁有PPAA式平等隱私和問責(zé)的秘密信道[8]。

(2) PPAA和秘密握手的綁定

匿名握手不支持由服務(wù)器發(fā)起的可鏈接請(qǐng)求。另外，PPAA也缺乏主動(dòng)的對(duì)等組中任何可能不是同組結(jié)點(diǎn)的響應(yīng)結(jié)點(diǎn)的聯(lián)系，這是二者優(yōu)勢(shì)互補(bǔ)的前提[9]。兩個(gè)組的成員首先運(yùn)行一個(gè)匿名的秘密握手來驗(yàn)證對(duì)方的組屬性，并建立一個(gè)秘密通道，然后在此基礎(chǔ)上運(yùn)行PPAA的認(rèn)證。此外，使用秘密通道進(jìn)行PPAA認(rèn)證，還可以預(yù)防鏈接認(rèn)證流上的竊聽[10]。

(3) 對(duì)等節(jié)點(diǎn)的公平性

在本文提到的PPAA體系中，對(duì)應(yīng)的對(duì)等節(jié)點(diǎn)可以在收到發(fā)起節(jié)點(diǎn)協(xié)議的第三步惡意中停止協(xié)商，也就是可以在學(xué)習(xí)發(fā)起者標(biāo)簽的同時(shí)不給發(fā)起者學(xué)習(xí)己方標(biāo)簽的機(jī)會(huì)。于是兩個(gè)對(duì)等節(jié)點(diǎn)在本體系中仍然存在非完全的公正。

5 結(jié) 語

本文提出的對(duì)等網(wǎng)絡(luò)上的匿名身份驗(yàn)證(PPAA)較好地平衡了對(duì)等結(jié)點(diǎn)的網(wǎng)絡(luò)隱私保護(hù)和對(duì)應(yīng)的問責(zé)，使這種P2P網(wǎng)絡(luò)中的結(jié)點(diǎn)也具有了全局雙向的對(duì)等身份，為每一個(gè)網(wǎng)絡(luò)用戶提供了公正的安全協(xié)議框架。

參考文獻(xiàn)

[1]ATENIESE Giuseppe， BLANTON Marina， KIRSCH Jonathan. Secret hands hakes with dynamic and fuzzy matching [M]. NDSS: The Internet Society， 2007.

[2]AU Man Ho， SUSILO Willy， MU Yi. Constant-size dynamic-taa[J]. SCN， 2006， 4116: 111-125.

[3]AU Man Ho， SUSILO Willy， YIU Siu-Ming. Event-oriented k-times revocable-if-linked group signatures[M]. [S.l.]: ACISP， 2006， 4058: 223-234.

[4]BELLARE Mihir， ROGAWAY Phillip. Random oracles are practical: a paradigm for designing efficient protocols.In Proceeding of the1st ACM conference on computer and communications security[C]. [S.l.]: ACM Conference on Computer and Communications Security， 1993.

[5]CAMENISCH J， ROSENBERGER S， WEISS M U K， et al. How to win the clone wars: effcient periodicn-times anonymous authentication[J]. Computer and Communications Security， 2006， 35: 201-210.

[6]RAYA Maxim， HUBAUX J P. Securing vehicular ad hoc networks[J].Journal of Computer Security， 2007， 15(1): 39-68.

[7]TPM Work Group. TCG TPM speciffcation version 1.2 revision103[M]. [S.l.]: Trusted Computing Group， 2007.

[8]TSANG P P， SMITH S W. PPAA: Peer-to-peer anonymous authentication[J]. ACNS， LNCS. Springer， 2008， 104: 310-325.

[9]TSUDIK T， XU Shouhuai. A flexible framework for secret handshakes[J]. Philipp Golle， Privacy Enhancing Technologies， 2006， 4258: 295-315.

[10]XU Shouhuai，YUNG Moti. K-anonymous secret handshakes with reusable credentials[C]. [S.l.]: ACM Conference on Computer and Communications Security， 2004.