楊力，馬建峰，裴慶祺，馬卓

（1. 西安電子科技大學(xué) 計(jì)算機(jī)學(xué)院，陜西 西安 710071；2. 西安電子科技大學(xué) 計(jì)算機(jī)網(wǎng)絡(luò)與信息安全教育部重點(diǎn)實(shí)驗(yàn)室，陜西 西安 710071）

1 引言

無線網(wǎng)絡(luò)技術(shù)不斷發(fā)展，移動(dòng)終端設(shè)備越發(fā)普及，可以方便地接入互聯(lián)網(wǎng)以獲取服務(wù)。無線網(wǎng)絡(luò)傳輸媒體的開放性使得在無線網(wǎng)絡(luò)環(huán)境下，有線環(huán)境的安全威脅和針對(duì)無線環(huán)境的安全威脅并存[1]。無線移動(dòng)網(wǎng)絡(luò)中，用戶認(rèn)證是整個(gè)安全方案的基礎(chǔ)，匿名性是無線網(wǎng)絡(luò)認(rèn)證方案的重要方面，在認(rèn)證的同時(shí)，尤其是移動(dòng)節(jié)點(diǎn)在無線網(wǎng)絡(luò)中進(jìn)行漫游認(rèn)證時(shí)，需要提供匿名服務(wù)來隱藏移動(dòng)節(jié)點(diǎn)的真實(shí)身份，以保護(hù)節(jié)點(diǎn)用戶隱私。

典型的無線匿名認(rèn)證協(xié)議[2~5]只認(rèn)證用戶身份，缺乏對(duì)用戶平臺(tái)的驗(yàn)證，存在一定安全隱患，不適用于移動(dòng)電子商務(wù)、數(shù)字版權(quán)管理等高安全需求的無線服務(wù)提供領(lǐng)域。移動(dòng)終端設(shè)備存儲(chǔ)資源和計(jì)算資源有限，其系統(tǒng)本身面臨諸多安全威脅，即使用戶身份合法，不表示其使用的平臺(tái)安全可信。移動(dòng)終端平臺(tái)的安全是獲得安全服務(wù)的前提和保障，一旦用戶平臺(tái)未能按照約定處于某安全配置狀態(tài)，如存在軟件安全漏洞、軟件版本過期等，會(huì)給所登錄的服務(wù)器造成安全危害。

可信計(jì)算理論和相關(guān)技術(shù)，其初衷是為了從終端平臺(tái)結(jié)構(gòu)上解決安全問題，提供和加強(qiáng)對(duì)終端平臺(tái)系統(tǒng)的驗(yàn)證和保護(hù)，相應(yīng)的技術(shù)規(guī)范由可信計(jì)算組織(TCG, trusted computing group)[6]提出，已逐漸被學(xué)術(shù)界和產(chǎn)業(yè)界所接受，成為當(dāng)前信息安全領(lǐng)域研究的熱點(diǎn)[7,8]。

目前，可信計(jì)算環(huán)境下，無線移動(dòng)網(wǎng)絡(luò)接入認(rèn)證問題已有一定的研究。文獻(xiàn)[9]提出一種基于可信計(jì)算的移動(dòng)終端用戶認(rèn)證方案，實(shí)現(xiàn)了用戶與可信移動(dòng)終端的相互認(rèn)證，但未解決移動(dòng)用戶和移動(dòng)平臺(tái)作為整體接入網(wǎng)絡(luò)的問題?；?TCG可信平臺(tái)模塊(TPM, trusted platform module)規(guī)范 v1.1b[10]，作者曾提出可信計(jì)算環(huán)境下用戶利用可信移動(dòng)終端接入網(wǎng)絡(luò)進(jìn)行身份認(rèn)證和平臺(tái)驗(yàn)證的無線網(wǎng)絡(luò)可信匿名認(rèn)證方案[11]，方案借助 TCG規(guī)范中的可信第三方隱私CA(privacy-CA)，并將平臺(tái)信息發(fā)回給本地網(wǎng)絡(luò)以完成平臺(tái)身份和可信性驗(yàn)證，但需要轉(zhuǎn)發(fā)的消息量較多且不具有直接匿名性。

基于可信計(jì)算直接匿名證明的思想，本文提出一種可信計(jì)算環(huán)境下無線移動(dòng)網(wǎng)絡(luò)中移動(dòng)節(jié)點(diǎn)直接匿名的接入認(rèn)證方案，在認(rèn)證移動(dòng)用戶身份的同時(shí)利用遠(yuǎn)程證明方法驗(yàn)證平臺(tái)身份合法性和可信性。認(rèn)證過程中，外地網(wǎng)絡(luò)代理服務(wù)器直接驗(yàn)證移動(dòng)用戶平臺(tái)可信性，并與本地網(wǎng)絡(luò)代理服務(wù)器一同驗(yàn)證移動(dòng)用戶身份，移動(dòng)用戶與本地網(wǎng)絡(luò)及外地網(wǎng)絡(luò)交互的每階段使用不同的臨時(shí)身份和一次性密鑰，保持用戶身份匿名，且使得方案具有域分離特性和密鑰協(xié)商公正性?？紤]到移動(dòng)設(shè)備運(yùn)算能力和通信帶寬有限，協(xié)議交互過程中主要采用散列運(yùn)算、對(duì)稱加密與對(duì)稱解密運(yùn)算，且部分計(jì)算量由可信平臺(tái)模塊完成，協(xié)議計(jì)算代價(jià)和消息交互輪數(shù)均滿足無線移動(dòng)網(wǎng)絡(luò)環(huán)境安全需求。

本文結(jié)構(gòu)安排如下：第2節(jié)簡要介紹可信計(jì)算的遠(yuǎn)程證明理論，第3節(jié)給出方案實(shí)現(xiàn)的可信環(huán)境下的無線移動(dòng)網(wǎng)絡(luò)模型，第4節(jié)描述方案的詳細(xì)過程，第5節(jié)分析方案的安全性和性能，第6節(jié)是本文的結(jié)束語。

2 背景知識(shí)

可信計(jì)算技術(shù)的核心是在終端平臺(tái)上嵌入可信平臺(tái)模塊TPM，作為獨(dú)立的安全協(xié)處理芯片提供密碼支持和有保護(hù)的存儲(chǔ)功能，為各種可信機(jī)制和安全功能提供硬件保障，為度量和驗(yàn)證平臺(tái)的可信屬性提供基礎(chǔ)。

TPM具有遠(yuǎn)程證明（RA, remote attestation）的能力，包括對(duì) TPM 即平臺(tái)身份的證明和對(duì)平臺(tái)完整性的證明，具體地，通過交互協(xié)議證明平臺(tái)身份，通過完整性驗(yàn)證證明平臺(tái)可信性。對(duì)于身份證明，TCG先后提出2種解決方案，分別是引入可信的第三方即隱私CA（privacy-CA）的方案和直接匿名證明（DAA, direct Anonymous attestation，）方案[12]。在Privacy-CA方案中，Privacy-CA作為權(quán)威證書機(jī)構(gòu)向TPM頒發(fā)身份證書，當(dāng)TPM向驗(yàn)證方證明身份時(shí)出示該證書，驗(yàn)證方將證書返回給Privacy-CA并與其一同驗(yàn)證 TPM 的合法性。由于每次進(jìn)行證明時(shí)都需要Privacy-CA的參與，會(huì)成為系統(tǒng)的安全和性能瓶頸。

為克服此缺陷，TPM 規(guī)范 v1.2中采納了Brickell等提出的直接匿名證明方法，簡稱BCC方案。BCC方案基于CL群簽名[13]和知識(shí)證明方法構(gòu)建，使得 TPM 在向遠(yuǎn)程驗(yàn)證方證明身份的同時(shí)不泄露隱私信息。但是，在BCC方案中，TPM及所在平臺(tái)與驗(yàn)證者交互復(fù)雜且運(yùn)算量大，不適用于計(jì)算資源有限的嵌入式設(shè)備。He等人提出能夠滿足嵌入式系統(tǒng)的直接匿名證明方案[14]，簡稱 DAA-ED方案。該方案基于CM群簽名方案[15]設(shè)計(jì)，簡化了TPM及平臺(tái)與驗(yàn)證方的交互復(fù)雜度，縮減了協(xié)議運(yùn)算量，解決了資源受限環(huán)境下的 TPM 直接匿名證明問題，適用于移動(dòng)計(jì)算平臺(tái)等資源受限系統(tǒng)。本文所提出方案中，對(duì)平臺(tái)身份的認(rèn)證采用此方法來設(shè)計(jì)，達(dá)到平臺(tái)身份的直接匿名證明。

3 協(xié)議模型框架

方案的無線移動(dòng)網(wǎng)絡(luò)模型如圖1所示。

合法的TPM在制造商所在網(wǎng)絡(luò)加入DAA頒發(fā)者群，并取得其DAA證書。移動(dòng)節(jié)點(diǎn)（MN）是嵌入了合法TPM芯片的可信無線終端設(shè)備，MN以無線方式接入網(wǎng)絡(luò)。本地網(wǎng)絡(luò)、外地網(wǎng)絡(luò)與制造商所在網(wǎng)絡(luò)以有線的方式連接，并通過各自的網(wǎng)絡(luò)連接設(shè)備如路由器連接到Internet，且本地網(wǎng)絡(luò)代理（HA）和外地網(wǎng)絡(luò)代理（FA）已通過安全的方式獲知DAA頒發(fā)者的公開參數(shù)。在本地網(wǎng)絡(luò)（HN）中，MN通過本地網(wǎng)絡(luò)代理（HA）接入網(wǎng)絡(luò)。MN接入本地網(wǎng)絡(luò)時(shí)，HA對(duì)其進(jìn)行身份認(rèn)證和平臺(tái)驗(yàn)證，確認(rèn)MN的身份合法性與平臺(tái)可信性。當(dāng)MN漫游至外地網(wǎng)絡(luò)（FN）時(shí)，通過外地網(wǎng)絡(luò)代理（FA）接入網(wǎng)絡(luò)，F(xiàn)A直接對(duì)MN的平臺(tái)身份和完整性進(jìn)行驗(yàn)證，并通過HA對(duì)MN進(jìn)行身份認(rèn)證。STA為網(wǎng)絡(luò)中的其他工作站。

圖1 無線移動(dòng)網(wǎng)絡(luò)模型

4 可信的匿名無線認(rèn)證協(xié)議

4.1 系統(tǒng)參數(shù)及符號(hào)定義

根據(jù)圖 1所構(gòu)建的模型和文獻(xiàn)[14]，給出本文相關(guān)參數(shù)和符號(hào)定義如表1所示。

表1 符號(hào)定義

4.2 協(xié)議描述

1) 第1階段在本地網(wǎng)絡(luò)注冊(cè)。

當(dāng)移動(dòng)節(jié)點(diǎn)（MN）加入網(wǎng)絡(luò)時(shí)，本地網(wǎng)絡(luò)代理（HA）對(duì)其進(jìn)行注冊(cè)。在本方案中，HA與 FA的認(rèn)證是通過有線網(wǎng)絡(luò)進(jìn)行的。假設(shè)在網(wǎng)絡(luò)中有一個(gè)集中管理的PKI中心，HA和FA都具有由CA簽署的公鑰證書，如X.509證書等。

合法的移動(dòng)節(jié)點(diǎn)（MN）在HA處注冊(cè)時(shí)，HA首先完成對(duì)MN平臺(tái)中TPM的身份驗(yàn)證。MN利用TPM生成AIK密鑰對(duì) A IKpriv和 A IKpub，隨后MN的平臺(tái)主機(jī)及TPM產(chǎn)生隨機(jī)數(shù)和，計(jì)算計(jì)算。接著，MN發(fā)送消息 (c , w1,w2,T1,T2,AIKpub)給 HA，同時(shí)該消息由TPM 進(jìn)行存儲(chǔ)保護(hù)。收到消息后，HA計(jì)算，接受此TPM來自合法的DAA頒發(fā)者，當(dāng)且僅當(dāng) c=c '，同時(shí)成立。

在確認(rèn)MN的平臺(tái)身份合法后，HA給MN分配唯一的標(biāo)識(shí)號(hào) I DMN，利用式(1)計(jì)算產(chǎn)生 MN的臨時(shí)身份 P IDMN，即

其中， Nm為HA隨機(jī)選取的大數(shù)。HA將 P IDMN通過安全通道交給MN，由TPM存儲(chǔ)保護(hù)。HA確定MN和TPM的綁定關(guān)系，并存儲(chǔ)在數(shù)據(jù)庫中。

2) 第2階段在外地網(wǎng)絡(luò)接入認(rèn)證。

漫游至外地網(wǎng)絡(luò)時(shí)，MN通過外地網(wǎng)絡(luò)代理FA接入網(wǎng)絡(luò)，其接入認(rèn)證過程如圖2所示。

圖2 MN在外地網(wǎng)絡(luò)接入認(rèn)證

其中，

① 當(dāng) MN進(jìn)入新的外地網(wǎng)絡(luò)，發(fā)送接入請(qǐng)求給FA，開始MN與FA的認(rèn)證。MN利用TPM的隨機(jī)數(shù)生成器產(chǎn)生一個(gè)秘密的隨機(jī)數(shù) x0并保存。MN根據(jù)網(wǎng)絡(luò)服務(wù)安全策略提取平臺(tái) PCR值PCRMN，加載AIK私鑰 A IKpriv，對(duì) P CRMN進(jìn)行AIK簽名，即計(jì)算 Q={PCRMN, x0}AIKpriv，導(dǎo)出SML日志Log= log(SML)，利用對(duì) A IKpub的DAA簽名消息等計(jì)算平臺(tái)身份信息和完整性信息，即MNTPM=(Q,Log,( c, w1, ww, T1, T2) ,AIKpub)，同時(shí)，MN產(chǎn)生時(shí)間戳 TMN。最后，MN發(fā)送消息IDHA, PIDMN, MNTPM, TMN給FA。

② FA收到MN的訪問請(qǐng)求后，檢查其時(shí)戳的有效性，以此來防范重放攻擊。如果無效，F(xiàn)A拒絕MN的接入請(qǐng)求。隨后，F(xiàn)A對(duì)MN的平臺(tái)身份和完整性進(jìn)行驗(yàn)證。FA計(jì)算，并判斷如果均符合則平臺(tái)身份合法，否則拒絕MN的訪問請(qǐng)求。接著，F(xiàn)A利用 M NTPM中的AIK公鑰 A IKpub解密Q得到PCRMN和 x0，并驗(yàn)證其正確性，如果驗(yàn)證不通過，則FA拒絕MN的接入請(qǐng)求，否則進(jìn)行下列操作。

FA產(chǎn)生時(shí)戳 TFA，計(jì)算 Nc=H( c⊕TFA)，用其私鑰 KRFA對(duì)要發(fā)送的信息進(jìn)行簽名，即SigFA=EKRFA{H( PIDMN, Nc, CertFA,TFA)}。然后根據(jù)MN提供的 HA的標(biāo)識(shí)，發(fā)送 P IDMN, Nc,SigFA,CertFA,TFA給HA。

③ HA從FA處收到消息后，檢查其證書和時(shí)戳是否有效。如果無效，則HA中止執(zhí)行，否則HA按式(2)計(jì)算MN的身份標(biāo)識(shí)，即

得到MN的身份后，HA進(jìn)行驗(yàn)證，如果MN不是一個(gè)合法用戶，HA向FA發(fā)出“該用戶非法”的消息。根據(jù)該身份對(duì)應(yīng)的c值，HA計(jì)算并判斷，如果不相等，HA向FA發(fā)出“該用戶平臺(tái)身份不合法”的消息，否則進(jìn)行下列操作。

利用私鑰 K RHA，HA對(duì)發(fā)送的消息進(jìn)行簽名，即HA產(chǎn)生時(shí)戳THA，然后將消息 S igHA, CertHA, THA發(fā)送給FA。

④ 從HA處收到消息，F(xiàn)A確認(rèn)了MN的身份合法性，隨后檢查其證書和時(shí)戳是否有效，如果無效，則中止執(zhí)行，否則FA確認(rèn)MN為HA的使用平臺(tái)可信的合法注冊(cè)用戶。FA簽發(fā)臨時(shí)證書TCertMN給 MN，包含證書有效期限等相關(guān)信息。隨后，F(xiàn)A產(chǎn)生隨機(jī)數(shù) n0，計(jì)算密鑰 k=x0并保存，利用k對(duì)臨時(shí)證書 T CertMN和 n0進(jìn)行加密，將消息(TCertMN, n0)k發(fā)送給MN。

從FA處收到消息后，MN對(duì)(TCertMN,n0)k進(jìn)行解密得到臨時(shí)證書 T CertMN和隨機(jī)數(shù) n0并保存。

3) 第3階段在外地網(wǎng)絡(luò)進(jìn)行訪問。

在臨時(shí)證書 T CertMN的有效期內(nèi)，當(dāng)MN對(duì)FA進(jìn)行第i次訪問時(shí)，其過程如圖3所示。

圖3 MN訪問外地網(wǎng)絡(luò)

① MN利用 TPM 產(chǎn)生隨機(jī)數(shù) xi，利用式(3)計(jì)算本輪臨時(shí)身份 P IDMNi，即

利用式(4)計(jì)算本輪會(huì)話密鑰ki，即

用 ki對(duì)要發(fā)送的部分消息進(jìn)行加密，即計(jì)算(xi, TCertMN,O therInfo )ki。隨后，MN產(chǎn)生時(shí)戳 TMNi，發(fā)送消息 P IDMNi,(xi, T CertMN, O therInfo)ki, TMNi給FA。

② FA收到消息后，首先利用式(3)驗(yàn)證MN的身份 P IDMNi，即計(jì)算 PIDMNi= P IDMNi-1⊕ ni-1，檢查臨時(shí)證書 T CertMN和時(shí)戳 TMNi是否有效，如果無效，則拒絕 MN的訪問請(qǐng)求，否則，F(xiàn)A利用式(4)計(jì)算 ki，然后解密得到 xi, TCertMN,OtherInfo，并比較解密得到的證書與原頒發(fā)證書的一致性，若一致則進(jìn)行如下操作。FA將 xi保存，用來計(jì)算下一次的會(huì)話密鑰。FA產(chǎn)生新的秘密隨機(jī)數(shù) ni，并生成新的時(shí)戳 TFAi，發(fā)送消息 ( ni)ki,TFAi給HA。其中，OtherInfo可以是 MN的平臺(tái)信息，根據(jù)需要 FA可再次驗(yàn)證MN的平臺(tái)身份和完整性以確認(rèn)其可信性。

5 協(xié)議分析

5.1 安全性分析

1) 方案安全性。

方案中，HA與FA的認(rèn)證使用公鑰證書，其安全性得到保證。MN在本地網(wǎng)絡(luò)注冊(cè)時(shí)，注冊(cè)信息的請(qǐng)求和發(fā)送通過安全通道進(jìn)行，難于受到攻擊者的竊聽和篡改，其安全性得到保證。

當(dāng)MN在外地網(wǎng)絡(luò)訪問時(shí)，為了驗(yàn)證MN的合法性，F(xiàn)A將MN發(fā)來的信息轉(zhuǎn)發(fā)給本地網(wǎng)絡(luò)代理HA，同時(shí)對(duì)主要消息進(jìn)行散列運(yùn)算，保證消息的完整性，并通過時(shí)戳和隨機(jī)數(shù)來防止重放攻擊。HA驗(yàn)證FA的合法性后，通過式(2)計(jì)算得到MN的身份，即可驗(yàn)證MN的合法性。在發(fā)送給FA的消息中，HA同樣采用了時(shí)戳和隨機(jī)數(shù)來保證其新鮮性并可防止重放攻擊。

在臨時(shí)證書的有效期內(nèi)，MN訪問外地網(wǎng)絡(luò)時(shí)，使用臨時(shí)證書 T CertMN證明自己的合法身份，且每次均產(chǎn)生不同的會(huì)話密鑰，實(shí)現(xiàn)了一次一密，具有前向保密性。在 MN與 FA的認(rèn)證過程中， xi由MN利用TPM選擇產(chǎn)生， ni由FA選擇產(chǎn)生，見式(4)。因此，在對(duì)FA的訪問中密鑰 ki被作為一次性密鑰使用，具有強(qiáng)的新鮮性，且任何一方不能單獨(dú)產(chǎn)生 ki，保證了會(huì)話密鑰的公正性。另外，隨機(jī)數(shù)xi產(chǎn)生自TPM內(nèi)部，其安全性得到增強(qiáng)。

2) 平臺(tái)身份匿名性和不可偽造性。

定義1 DDH假設(shè)（decisional Diffie-Hellman assumption）

設(shè)k為安全參數(shù)， p , q為素?cái)?shù)，其中q的長度為k比特，且 q | p -1，g是階為q的群中元素，x, y, z是從 Zp中均勻選擇的，則對(duì)于任何的多項(xiàng)式時(shí)間算法，與的概率分布是計(jì)算不可區(qū)分的。

定理1[14]在DDH假設(shè)下，DAA-ED方案能夠完成TPM身份對(duì)驗(yàn)證者的匿名證明。

根據(jù)定理1，在本方案中，移動(dòng)節(jié)點(diǎn)MN的平臺(tái)身份對(duì)于HA和FA是匿名的，HA和FA均能驗(yàn)證該平臺(tái)中的 TPM 來自正確的頒發(fā)者群，而不能確定其具體身份。因此，方案中移動(dòng)節(jié)點(diǎn)MN的平臺(tái)身份滿足匿名性。

定義2 強(qiáng)RSA假設(shè)（strong RSA assumption）

定理2 在強(qiáng)RSA假設(shè)下，移動(dòng)節(jié)點(diǎn)MN的平臺(tái)身份和完整性信息不能被偽造。

證明 首先，基于強(qiáng) RSA假設(shè)，攻擊者通過直接猜測或者在已獲知多個(gè)合法證書密鑰對(duì)(E1,s1),(E2,s2),…,(Er,sr)的基礎(chǔ)上均不能完成對(duì)TPM的AIK公鑰 A IKpub的DAA簽名，平臺(tái)身份具有不可偽造性[14]。

其次，對(duì)于平臺(tái)完整性信息 P CRMN，TPM進(jìn)行實(shí)時(shí)的 AIK簽名。一方面，攻擊者不掌握 AIK私鑰 A IKpriv，無法完成對(duì)平臺(tái)完整性信息的AIK簽名。另一方面，根據(jù)定理1，TPM對(duì)AIK公鑰 A IKpub的DAA簽名也不能被偽造。因此，平臺(tái)完整性信息也不能被偽造。

所以，攻擊者通過直接猜測或者在已知多對(duì)合法證書密鑰對(duì)基礎(chǔ)上，既不能對(duì)新的合法 TPM 身份簽名信息進(jìn)行偽造，也不能對(duì)平臺(tái)完整性信息進(jìn)行偽造，方案中MN的平臺(tái)身份及完整性信息具有不可偽造性。

3) 用戶身份匿名性和不可跟蹤性。

方案參與方的所有交換消息中均未使用MN的真實(shí)身份，在本地網(wǎng)絡(luò)注冊(cè)時(shí)用戶真實(shí)身份IDMN被臨時(shí)身份IDMN替代，見式(1)。只有掌握秘密數(shù)mN和知曉平臺(tái)DAA簽名消息c，才能利用式(2)計(jì)算得到 MN的真實(shí)身份MNID ，而只有本地網(wǎng)絡(luò)代理HA知曉秘密數(shù)Nm并能夠與正確的c值對(duì)應(yīng)，因此，只有HA能通過式(2)正確驗(yàn)證MN的真實(shí)身份IDMN，確保了用戶身份的匿名性。跟蹤者未獲知該秘密值，不能通過方案中交換的消息得到用戶的真實(shí)身份或者確定用戶的位置。

不同的I DMN與不同的移動(dòng)用戶相對(duì)應(yīng)，且使用互不相同的隨機(jī)數(shù) Nm和簽名信息c計(jì)算產(chǎn)生。任何合法的移動(dòng)用戶均不能通過 I DMN計(jì)算得到其他合法用戶MN的身份信息 IDMN，從而無法假扮其他用戶，可有效地克服針對(duì)用戶匿名性的攻擊。用戶多次訪問外地網(wǎng)絡(luò)時(shí)，每次均使用不同的臨時(shí)身份PIDMNi，同樣具有不可跟蹤性。假設(shè)某種原因，MN的身份 I DMN被泄漏，由于HA和FA同時(shí)驗(yàn)證用戶的臨時(shí)身份、平臺(tái)信息及對(duì)應(yīng)關(guān)系，并且根據(jù)定理2，用戶平臺(tái)信息不能被偽造，可再次保證不被假冒。

用戶每次接入外地網(wǎng)絡(luò)時(shí)使用不同的臨時(shí)身份，且會(huì)話密鑰每次均不同，具有強(qiáng)的一次一密性。當(dāng)用戶接入不同的外地網(wǎng)絡(luò)時(shí)，所使用的臨時(shí)身份和會(huì)話密鑰也不同，可有效防止網(wǎng)絡(luò)代理或非法用戶利用歷史數(shù)據(jù)對(duì)用戶的跟蹤，滿足域分離特性。

4) 平臺(tái)可信性驗(yàn)證。

在本地網(wǎng)絡(luò)完成注冊(cè)并進(jìn)行訪問時(shí)，MN可根據(jù)需要通過向HA提供經(jīng)過AIK簽名的平臺(tái)PCR值及度量存儲(chǔ)日志 SML，以證明平臺(tái)的完整性。平臺(tái)信息是TPM從硬件開始獲取的移動(dòng)終端平臺(tái)的各種配置信息，并由底層傳遞至應(yīng)用層，是從可信根通過信任鏈進(jìn)行傳遞的過程，從而HA確定MN是可信的。

當(dāng)用戶漫游至外地網(wǎng)絡(luò)進(jìn)行接入訪問時(shí)，由于MN的平臺(tái)從外地網(wǎng)絡(luò)獲取服務(wù)，如果其系統(tǒng)存在安全缺陷，會(huì)對(duì)外地網(wǎng)絡(luò)造成安全危害。因此，采用直接匿名證明方案，由FA直接驗(yàn)證MN的身份正確性和平臺(tái)可信性更為安全有效。當(dāng)MN在臨時(shí)證書的有效期內(nèi)多次訪問時(shí)，F(xiàn)A可根據(jù)安全策略對(duì)MN提出完整性驗(yàn)證的要求，保證MN平臺(tái)可信性再次被驗(yàn)證。

5.2 性能分析

1）安全性能分析。

本方案與其他無線接入認(rèn)證方案在能夠達(dá)到的安全性能方面進(jìn)行對(duì)比分析，其結(jié)果如表2所示。其中，“Y”表示達(dá)到或滿足，“N”表示未達(dá)到或不滿足，“—”表示不涉及該功能。

表2 安全性能比較

從表2中的數(shù)據(jù)可以看出，與傳統(tǒng)的無線匿名認(rèn)證方案（文獻(xiàn)[4]和文獻(xiàn)[5]）相比，本方案在達(dá)到基本安全目標(biāo)如用戶匿名、雙向認(rèn)證等的基礎(chǔ)上，增加了對(duì)移動(dòng)終端平臺(tái)的可信性驗(yàn)證，增強(qiáng)了方案的安全性能和對(duì)攻擊的抵抗能力，能夠更好地保障無線認(rèn)證系統(tǒng)中終端用戶免受惡意攻擊者的侵害，并大大減少認(rèn)證代理服務(wù)器所受到的不滿足安全策略的移動(dòng)終端的安全威脅。與文獻(xiàn)[11]的方案相比，當(dāng)MN漫游至外地網(wǎng)絡(luò)時(shí)，由外地網(wǎng)絡(luò)服務(wù)器提供服務(wù)，MN的平臺(tái)身份和可信性由FA直接驗(yàn)證將更加安全有效，更符合漫游業(yè)務(wù)的需求。因此，與已有方案相比較，本方案能夠達(dá)到更多的安全目標(biāo)和更好的安全性。

2) 計(jì)算性能分析。

無線移動(dòng)網(wǎng)絡(luò)中移動(dòng)終端的計(jì)算能力有限，協(xié)議的效率主要用協(xié)議執(zhí)行過程中移動(dòng)終端所完成的各種計(jì)算來衡量。將本文方案與已有方案的運(yùn)算量進(jìn)行分析對(duì)比，其結(jié)果如表3所示，分析時(shí)僅考慮移動(dòng)終端的計(jì)算代價(jià)。其中，“XR”表示異或運(yùn)算，“H”表示散列運(yùn)算，“EX”表示模指數(shù)運(yùn)算，“EK”表示對(duì)稱加密運(yùn)算，“DK”表示對(duì)稱解密運(yùn)算，“TS”表示TPM的AIK簽名運(yùn)算。

表3 計(jì)算性能比較

分析中，將移動(dòng)終端平臺(tái)CPU的計(jì)算量與TPM的計(jì)算量分別計(jì)算，對(duì)于平臺(tái)CPU，與文獻(xiàn)[4]方案和文獻(xiàn)[5]方案相比，協(xié)議執(zhí)行了 2次異或運(yùn)算、2次對(duì)稱加密運(yùn)算和1次對(duì)稱解密運(yùn)算，計(jì)算量相對(duì)較小，不對(duì)移動(dòng)平臺(tái)造成影響。TPM芯片作為獨(dú)立的計(jì)算單元，可以加速方案的執(zhí)行，2次簽名運(yùn)算和2次散列運(yùn)算都由TPM完成，不消耗平臺(tái)主機(jī)CPU的計(jì)算性能。假設(shè)文獻(xiàn)[4]方案和文獻(xiàn)[5]方案中也增加可信驗(yàn)證功能，那么其協(xié)議中至少增加2次AIK簽名運(yùn)算和 2次散列運(yùn)算，平臺(tái)總的計(jì)算量仍然比本方案復(fù)雜。與文獻(xiàn)[11]的方案比較，對(duì)于平臺(tái)主機(jī)CPU減少了1次散列運(yùn)算，對(duì)于平臺(tái)TPM，計(jì)算量基本相同，但平臺(tái)身份信息和完整性信息由FA直接驗(yàn)證，無需轉(zhuǎn)發(fā)給HA，減少了方案的通信量。

方案中，移動(dòng)終端向FA發(fā)送平臺(tái)完整性信息，增加了一定的消息負(fù)載。根據(jù)安全策略的不同發(fā)送PCR值，每個(gè)PCR值長度為160bit，TPM對(duì)于AIK公鑰的DAA簽名經(jīng)過散列運(yùn)算后消息長度固定，SML依據(jù)所計(jì)算的PCR來決定，平臺(tái)完整性信息的消息長度在可接受的范圍內(nèi)。但是，所增加的消息負(fù)載提供了平臺(tái)可信驗(yàn)證，且方案的部分參數(shù)可以通過預(yù)計(jì)算得到，移動(dòng)終端平臺(tái)CPU與TPM可以同時(shí)完成部分運(yùn)算，一定程度地縮短運(yùn)算時(shí)間，減少通信時(shí)延。綜合來看，本方案具有更高的效率，滿足可信計(jì)算環(huán)境下移動(dòng)終端的漫游業(yè)務(wù)的需求。

6 結(jié)束語

本文提出可信計(jì)算環(huán)境下直接匿名的無線網(wǎng)絡(luò)接入認(rèn)證方案，利用遠(yuǎn)程證明方法由外地網(wǎng)絡(luò)代理服務(wù)器直接驗(yàn)證平臺(tái)身份和完整性，借助本地網(wǎng)絡(luò)代理服務(wù)器驗(yàn)證用戶身份，方案安全高效具有匿名性、可信驗(yàn)證性、域分離性等特點(diǎn)，滿足無線移動(dòng)網(wǎng)絡(luò)需求。但本方案采用二進(jìn)制方法[6]完成平臺(tái)完整性的校驗(yàn)，由于FA對(duì)MN的平臺(tái)可信性進(jìn)行直接驗(yàn)證，可能會(huì)暴露平臺(tái)部分配置信息。因此，本文進(jìn)一步的工作將結(jié)合屬性證明[16]等來完成平臺(tái)完整性的校驗(yàn)，以更好地保護(hù)平臺(tái)配置信息的隱私性。

[1] Third Generation Partnership Project (3GPP), Rationale and Track of Security Decisions in Long Term Evolved (LTE) RAN/3GPP System Architecture Evolution (SAE) (Release 8), 3GPP TS 33.821 v1.0.0[S].2007.

[2] CAIMU T, OLIVER W. Mobile privacy in wireless networks- revisited[J]. IEEE Transactions on Wireless Communications, 2008,7(3):1035-1042.

[3] PARK C S. Authentication protocol providing user anonymity and untraceability in wireless mobile communication systems[J]. Computer Networks, 2004,44(2): 267-273.

[4] 朱建明, 馬建峰. 一種高效的具有用戶匿名性的無線認(rèn)證協(xié)議[J].通信學(xué)報(bào), 2004, 25(6): 12-18.ZHU J M, MA J F. An efficient authentication protocol with anonymity for wireless IP networks[J]. Journal on Communications, 2004,25(6):12-18.

[5] 彭華熹, 馮登國. 匿名無線認(rèn)證協(xié)議的匿名性缺陷和改進(jìn)[J]. 通信學(xué)報(bào)，2006，27(9):78-85.PENG H X, FENG D G. Security flaws and improvement to a wireless authentication protocol with anonymity[J]. Journal on Communications, 2006, 27(9):78-85.

[6] Trusted Computing Group. TCG specification architecture overview[EB/OL]. http://www. trustedcomputinggroup.org, 2007.

[7] 沈昌祥, 張煥國, 馮登國等. 信息安全綜述[J]. 中國科學(xué) E輯.2007,37(2):129-150.SHEN C X, ZHANG H G, FENG D G, et al. Survey of information security[J]. Science in China(Information Sciences), 2007,37(2):129-150.

[8] 張煥國, 羅捷, 金剛等. 可信計(jì)算研究進(jìn)展[J]. 武漢大學(xué)學(xué)報(bào)(理學(xué)版), 2006, 52(5): 513-518.ZHANG H G, LUO J, JIN G, et al. Development of trusted computing research[J]. Journal of Wuhan University (Natural Science Edition),2006, 52(5):513-518.

[9] 鄭宇, 何大可, 何明星. 基于可信計(jì)算的移動(dòng)終端用戶認(rèn)證方案[J].計(jì)算機(jī)學(xué)報(bào)，2006, 29(8):1255-1264.ZHENG Y, HE D K, HE M X. Trusted computing based user authentication for mobile equipment[J]. Chinese Journal of Computers,2006,29(8):1255-1264.

[10] Trusted Computing Group. Trusted computing platform alliance(TCPA) main specification[EB/OL]. http://www.trustedcomputinggroup. org, 2001.

[11] 楊力, 馬建峰, 朱建明. 可信的匿名無線認(rèn)證協(xié)議[J]. 通信學(xué)報(bào)，2009, 30(9):29-35.YANG L, MA J F, ZHU J M. Trusted and anonymous authentication scheme for wireless networks[J]. Journal on Communications, 2009,30(9):29-35.

[12] BRICKELL E, CAMENISCH J, CHEN L Q. Direct anonymous attestation[A]. Proceedings of the 11th ACM Conference on Computer and Communications Security[C]. New York, NY, USA, 2004.132-145.

[13] CAMENISCH J, LYSYANSKAYA A. Dynamic accumulators and application to efficient revocation of anonymous credentials[A].Cryptology - CRYPTO 2002[C]. Springer Verlag, 2002.61-76.

[14] GE H, TATE S R. A direct anonymous attestation scheme for embedded devices[A]. PKC 2007[C]. Springer, Heidelberg,2007.

[15] CAMENISCH J, MICHELS M. A Group Signature Scheme Based on an RSA-Variants[R]. Technical Report RS-98-27, BRICS, University of Aarhus, 1998.

[16] SADEGHI A, STUBLE C. Property based attestation for computing platforms: caring about properties, not mechanisms[A]. Proceedings of New Security Paradigms Workshop[C]. New York, 2004.67-77.