范盛超，章國安，費洪海，邱恭安

（南通大學(xué)電子信息學(xué)院 南通 226019）

1 引言

無線Mesh網(wǎng)絡(luò)是一種具有自組織、自配置和自恢復(fù)特點的高容量、高效率的分布式多跳網(wǎng)絡(luò)。同時，WLAN Mesh網(wǎng)絡(luò)具有較好的現(xiàn)實應(yīng)用性，得到了快速、廣泛的發(fā)展，并且有專門的IEEE 802.11s工作組為其制定相關(guān)的標(biāo)準(zhǔn)。為了保持與現(xiàn)有IEEE 802.11系列標(biāo)準(zhǔn)的兼容性，IEEE 802.11s標(biāo)準(zhǔn)草案中的安全接入部分仍采用IEEE 802.11i標(biāo)準(zhǔn)框架。但IEEE 802.11i標(biāo)準(zhǔn)框架中并沒有考慮 WLAN Mesh網(wǎng)絡(luò)中接入節(jié)點 （mesh access point，MAP）移動特性的漫游切換環(huán)境，因此為了滿足話音、視頻等實時業(yè)務(wù)的需求，必須研究移動終端安全快速的切換方案，用于減少切換過程中的接入時延，并保證切換過程的安全性。

目前針對WLAN Mesh網(wǎng)絡(luò)的漫游切換環(huán)境，已經(jīng)提出了一些快速切換認(rèn)證方案。參考文獻[1]中采用基于鄰居圖和矩陣的密鑰預(yù)分配方法，克服了基于鄰居圖切換中由于接入節(jié)點的移動性造成的切換失敗問題。參考文獻[2]提出了基于身份保護和認(rèn)證時延的接入認(rèn)證協(xié)議，不僅具有可證明的安全性，而且有較高的通信效率，但必須要與本地域的MKD（mesh key distributor）節(jié)點進行信息交互，并且要進行復(fù)雜的加解密過程。參考文獻[3]綜合了 IEEE 802.11s和IEEE 802.11i技術(shù)，保持邊緣節(jié)點的協(xié)議不變，將EMSA協(xié)議擴展到終端接入環(huán)境中，利用初始認(rèn)證后形成的密鑰體系結(jié)構(gòu)實現(xiàn)快速切換認(rèn)證。可此方案中同一密鑰有3位持有者，增加了遭受攻擊的風(fēng)險。

在終端節(jié)點漫游切換認(rèn)證過程中，不僅要考慮重新認(rèn)證過程中的時延開銷和認(rèn)證成功率，還要對節(jié)點的身份信息進行隱藏保護。本文通過分析現(xiàn)有無線Mesh網(wǎng)絡(luò)漫游接入認(rèn)證協(xié)議的優(yōu)缺點，在不改變原有的安全協(xié)議基礎(chǔ)上，利用IEEE 802.11s標(biāo)準(zhǔn)草案中已建立的安全體系結(jié)構(gòu)，設(shè)計了一種安全高效的漫游切換認(rèn)證協(xié)議。

2 新的漫游切換接入方法

2.1 DH密鑰交換算法

Diffie-Hellman密鑰交換算法[4]的安全性依賴于這樣一個事實：雖然計算以一個素數(shù)為模的指數(shù)相對容易，但計算離散對數(shù)卻很困難。對于大的素數(shù)，計算出離散對數(shù)幾乎是不可能的。在有限域GF(p)上，它的計算復(fù)雜性為：

此算法具有如下主要優(yōu)點：

·當(dāng)通信需要時才生成密鑰，減小了長時間存儲密鑰而遭受攻擊的風(fēng)險；

·密鑰交換過程不需要事先存在的基礎(chǔ)結(jié)構(gòu)，只需約定全局參數(shù)。

但也存在某些缺點：

·交換過程中沒有提供雙方身份的任何信息；·容易遭受中間人的攻擊。

2.2 WLAN Mesh網(wǎng)漫游切換接入過程

當(dāng)終端節(jié)點在同一MKD域中的不同接入節(jié)點MAP間切換時，可以執(zhí)行 MSA（mesh security association）中的二次認(rèn)證過程，快速安全地在MAP間進行切換。若終端節(jié)點移動到鄰近MKD域中的MAP時，就要尋求一種高效的域間切換機制。本文所提出的域間安全切換接入方法的主要思想為：利用在初始認(rèn)證過程中所建立的安全鏈接通路，傳輸終端節(jié)點中的敏感身份信息，在每個MKD節(jié)點中建立和維護一張預(yù)接入列表，用于動態(tài)地采集本地域及鄰近域中終端節(jié)點信息。并基于DH密鑰交換算法中節(jié)點私鑰的隱匿性和密鑰生成過程的獨特性，將其作為節(jié)點身份認(rèn)證的信息使用。利用消息認(rèn)證碼克服DH密鑰交換算法本身易遭受中間人攻擊的弱點。所提協(xié)議RADH(roaming authentication based Diffie Hellman key exchange)具體過程（如圖1所示）描述如下。

（1）在終端節(jié)點完成初始認(rèn)證過程，并生成MKD域中的密鑰層次結(jié)構(gòu)和建立安全的傳輸鏈路體系后，終端節(jié)點已取得合法身份，此時，終端節(jié)點STA隨機選取隨機數(shù)XSTA并計算YSTA=gXSTAmod p（XSTA

（2）當(dāng)終端節(jié)點STA與當(dāng)前接入節(jié)點之間的信號強度減弱時，觸發(fā)切換過程。STA掃描到一個合適的鄰域目標(biāo)接入節(jié)點MAP后，發(fā)送包含YSTA信息的關(guān)聯(lián)請求幀給目標(biāo)MAP。

（3）目標(biāo) MAP緩存 YSTA，并轉(zhuǎn)發(fā)給目標(biāo) MAP所在域的MKD節(jié)點。

（4）目標(biāo)MAP所在域的MKD節(jié)點收到Y(jié)STA后，查詢預(yù)接入列表PAL中是否存在對應(yīng)的YSTA信息，若存在則找出與YSTA對應(yīng)的p和g，通過安全通道將p和g發(fā)送給目標(biāo)MAP。

（5）目標(biāo) MAP 收到 p和g后，選取隨機數(shù) XMAP（XMAP

圖1 漫游切換接入認(rèn)證過程

（6）終端節(jié)點STA收到Y(jié)MAP后，開始計算 K=(YMAP)XSTAmod p，利用K驗證TMAP，用于檢驗消息來源的真實性，并用K解密目標(biāo)MAP信息。利用偽隨機函數(shù)PRF及雙方一輪信息交互完成后共享的K計算密鑰PTK=PRFK(YMAP,YSTA,MAP-IP,STA-ID)，取PTK中用于消息認(rèn)證碼加密部分的加密密鑰 MK（MAC key）計算 TSTA=MACMK(sid,ENC(K,STA-ID))。將用K加密的終端節(jié)點STA信息以及標(biāo)識符sid和消息認(rèn)證碼TSTA發(fā)送給目標(biāo)MAP。

（7）目標(biāo)MAP利用解密終端節(jié)點STA信息，計算PTK=PRFK(YMAP,YSTA,MAP-IP,STA-ID)，利用 MK驗證 TSTA檢驗消息來源的真實性。驗證通過后接入認(rèn)證成功。發(fā)送成功接入信息給終端節(jié)點MAP，并裝載PTK。

3 安全性分析

RADH協(xié)議可克服DH密鑰交換算法的先天易遭受中間人攻擊的弱點。假如有一攻擊節(jié)點MP(a)，由于p和g不是全局公布的參數(shù)，而是通過初始接入建立的安全鏈路傳輸?shù)?，則 MP(a)無法得出與p、g參數(shù)相對應(yīng)的 YMP(a)信息，用消息認(rèn)證碼驗證消息來源的真實性，從而不能發(fā)起中間人攻擊。以下將利用CK模型對所提協(xié)議進行安全性分析。

3.1 安全性定義

CK（Canetti-Krawczyk）模型[5]作為用于形式化分析協(xié)議安全性的工具，利用會話密鑰安全和多項式時間不可區(qū)分性的概念證明協(xié)議在密鑰交換過程中的安全性。

定義1 如果對于UM(unauthenticated-links adversarial model)或 AM(authenticated-links adversarial model)中的任何密鑰交換協(xié)議(KE)對手A，協(xié)議能夠滿足下列兩條性質(zhì)，稱該協(xié)議在UM或AM中是會話密鑰安全（SK secure）的[6]。

（1）如果兩個未被攻陷的參與者完成了協(xié)議中匹配的會話，它們將輸出相同的會話密鑰。

DDH(decision Diffie-Hellman)假設(shè)[7]設(shè)k為安全參數(shù)，p和q為素數(shù)，其中q的長度為k位比特，且q|p-1，g是一個隨機選擇的階為q的生成元。則對于任何的多項式時間算法 D，Q0={:α,β Zq}與 Q1={:α,β,γ Zq}的概率分布是計算上不可區(qū)分的。

定理1 如果π是AM中的SK安全的密鑰交換協(xié)議，λ 是一個 MT（message transmission）認(rèn)證器，那么 π′=Cλ(π)在UM中是SK安全的密鑰交換協(xié)議[6]。

3.2 分析過程

對新協(xié)議RADH進行形式化描述，將其轉(zhuǎn)化成CK模型所能理解的形式，消除冗余的信息后，在UM模型下協(xié)議RADHUM可如下表述。

（1）發(fā)起方 Pi選擇隨機數(shù) XSTA{0,1}k（k 為協(xié)議的安全參數(shù)），計算YSTA=gXSTAmod p，把消息(sid,YSTA)發(fā)送給響應(yīng)方 Pj（p，g不是全局公開的參數(shù)，只在兩參與者之間共享）。

（2）響應(yīng)方 Pj收到(sid,YSTA)后，選擇隨機數(shù) XSTA{0,1}k(XMAP≠XSTA)計 算 YMAP=gXMAP mod p，K=(YSTA)XMAPmod p，Ej=ENC(K,Pj)，Tj=MACK(sid,YMAP,Ej)，然后把消息(sid,YMAP,Ej,Tj)發(fā) 送 給 Pi。

（3）Pj收到(sid,YMAP,Ei,Ti)后，計算 K=(YMAP)XSTAmod p，然后驗證Ti，驗證通過后解密Pj=DEC(K,Ei)，計算PTK=PRFK(YMAP,YSTA,Pi,Pj)，Ei=ENC(K,Pi)，TSTA=MACMK(sid,Ei)，然后把消息(sid,Ei,Tj)發(fā)送給Pj，同時輸出密鑰PTK。

（4）收到消息(sid,Ei,Tj)后，計算 Pi=DEC(K,Ei)，PTK=PRFK(YMAP,YSTA,Pi,Pj)，然后驗證Ti，驗證通過后輸出密鑰PTK。

具體證明思路如下：首先構(gòu)造AM模型下協(xié)議RADHAM，并證明協(xié)議在AM中是SK安全的，然后選擇合適的認(rèn)證器，最后利用所選認(rèn)證器是MT認(rèn)證器的特點，可證明協(xié)議RADHUM在UM中是SK安全的。

在AM模型下協(xié)議RADHAM的描述如下。

（1）發(fā)起方 Pi選擇隨機數(shù) XSTA{0,1}k（k 為安全參數(shù)），把消息(sid,YSTA=gXSTAmod p)發(fā) 送 給 Pj。

（2）響應(yīng)方 Pj收到(sid,YSTA)后，選擇隨機數(shù) XMAP{0,1}k(XMAP≠XSTA)計算 K=(YSTA)XMAP mod p，然后把消息(sid,YMAP=gXMAPmod p)發(fā)送給 Pi，并輸出會話密鑰 PRFK(YSTA,YMAP)。

（3）Pi收到(sid,YMAP)后，計算 K=(YMAP)XSTA mod p，并輸出會話密鑰PRFK(YSTA,YMAP)。

定理2 在DDH假設(shè)下，如果偽隨機函數(shù)是安全的，則協(xié)議RADHAM在AM模型中是SK安全的。

證明 由于協(xié)議RADHAM中通信雙方通過一方已存儲相關(guān)密鑰信息的修改的DH密鑰交換過程獲得了相同的預(yù)共享密鑰K，根據(jù)DDH假設(shè)成立的條件可知，預(yù)共享密鑰K具有前向保密性。根據(jù)前面的模型，設(shè)定會話不會過期。

在DDH假設(shè)下，根據(jù)協(xié)議的運行過程及AM的定義，當(dāng)兩個參與者Pi和Pj未被攻陷且都完成了協(xié)議時，他們都得到了未被篡改的YSTA和YMAP，因此他們建立了相同的會話密鑰PRFK(YSTA,YMAP)，可推知協(xié)議RADHAM滿足定義1的性質(zhì)1。

以下將用反證法證明協(xié)議RADHAM滿足定義1的性質(zhì)2。假設(shè)存在一個KE對手在AM中進行測試會話查詢時能以不可忽略的優(yōu)勢δ猜中b，則就可以構(gòu)造一個算法D能夠以不可忽略的優(yōu)勢δ區(qū)分偽隨機函數(shù)和隨機函數(shù)。

設(shè)：

Q0={YSTA,YMAP,PRFK(YSTA,YMAP)}，Q1={YSTA,YMAP,random()}

D 的輸入是三元組（x，y，z），該三元組是 Q0或 Q1的概率均為。KE對手A作為算法D的子過程，算法D的描述如下。

（1）設(shè)L是在A任何交互過程中所能激發(fā)的會話的上限，選擇m {1，…，L}。激活A(yù)和在AM中運行協(xié)議RADHAM的n個參與者P1，…,Pn，進行仿真交互。

（2）當(dāng)A激活某個參與者建立一個新的會話 t（t≠m）或者參與者接收到某條消息時，D代表此參與者執(zhí)行協(xié)議RADHAM。

（3）若 t=m，則 D 讓 Pi把消息(Sm,x)發(fā)送給 Pj，當(dāng)收到消息(Sm,x)時，D 讓 Pj把消息(Sm,y)發(fā)送給 Pi。

（4）當(dāng)會話過期時，參與者將內(nèi)存中的會話密鑰擦除。

（5）當(dāng)某個參與者被攻陷或某個會話 t（t≠m）暴露時，D把此參與者或會話的相關(guān)信息交給A。

（6）如果未暴露的第m個會話被選中進行測試會話查詢，則D把z作為查詢的響應(yīng)給A。

（7）如果第m個會話暴露或者A選中了其他的會話作為測試會話，再或者A沒有選擇測試會話就停止，則D輸出b′ {0,1}，然后停止。

（8）如果A輸出b′并終止，則D終止并輸出和A相同的 b′。

由上述過程可以看出，算法D所激發(fā)的A的運行（直到A停止或D終止A的執(zhí)行）和KE對手A對抗協(xié)議RADHAM的正常運行是一致的。

算法D仿真協(xié)議的執(zhí)行過程中，A對測試的會話t有以下兩種可能。

（1）當(dāng)會話 t=m時，如果Q0作為D的輸入，則D返回一個真實的密鑰信息作為A的值。如果Q1作為D的輸入，則D返回一個隨機數(shù)作為A的值。因為D的輸入是分別以的概率來自Q0或Q1。根據(jù)算法D的構(gòu)造原理，A成功猜中得到的值是真實密鑰信息還是隨機數(shù)的概率等同于猜中D的輸入是來自Q0還是Q1的概率。由于A猜中的概率為，其中δ是不可忽略的，通過輸出和A相同的b′，則D猜中的概率也為，其中δ是不可忽略的。

（2）當(dāng)會話t≠m時，D輸出一個隨機數(shù)，在這種情況下，D猜中Q0或Q1的概率為

綜上所述可知，協(xié)議RADHAM在AM中是SK安全的。

作為一種比較通用的形式化分析模型，CK模型中已給出了幾類經(jīng)過安全證明的標(biāo)準(zhǔn)的認(rèn)證器，選用參考文獻[8]中的基于消息認(rèn)證碼和偽隨機函數(shù)的消息傳輸認(rèn)證器λprf。

定理3 假設(shè)對稱加密算法ENC是理想密碼模型，且偽隨機函數(shù)PRF和消息認(rèn)證碼算法MAC是安全的，則認(rèn)證器λprf可以模仿UM環(huán)境下的消息傳輸協(xié)議。

具體證明過程參見參考文獻[8,9]。

定理4 若DDH假設(shè)成立，對稱加密算法是理想密碼模型，偽隨機函數(shù)和消息認(rèn)證碼算法是安全的，則協(xié)議RADHUM在UM中是SK安全的。

證明 在協(xié)議RADHAM是SK安全的情況下，利用λprf是MT認(rèn)證器的性質(zhì)，把AM下的協(xié)議RADHAM轉(zhuǎn)化為UM下的協(xié)議RADHUM。通信雙方使用YSTA和YMAP作為挑戰(zhàn)，把λprf應(yīng)用到AM下協(xié)議RADHAM的每個消息，并結(jié)合piggy-backing技術(shù)及定理 1、2、3，可得到 UM下的協(xié)議RADHUM是SK安全的。

4 性能分析

在漫游節(jié)點重新接入的過程中，接入時延是一個首當(dāng)考慮的參數(shù)指標(biāo)，它決定了通信中是否具有良好的業(yè)務(wù)連續(xù)性。目前，IEEE 802.11s草案中沒有提及節(jié)點漫游到臨近域時的切換接入認(rèn)證過程。因此，當(dāng)節(jié)點漫游到非歸屬域時，需采用EMSA來重新認(rèn)證。表1中對EMSA和本文所提協(xié)議RADH的計算量進行了統(tǒng)計。其中，E為模指數(shù)運算，M為消息認(rèn)證碼計算，F(xiàn)為簽名運算，K為對稱加密運算。由于EMSA中用到的簽名是非對稱加密運算，相對于新協(xié)議RADH中的對稱加密運算需要具有更長的運算時間，從表1中可以看出新協(xié)議RADH的計算時延明顯低于EMSA的計算時延。

表1 運算量性能對比

除以上所具有的低時延特性外，所提協(xié)議RADH還具有如下的特性。

·利用MKD節(jié)點所維護的預(yù)接入列表，克服基于鄰居圖切換方法在MAP節(jié)點變化移動的情況下所造成的切換失敗問題。按網(wǎng)絡(luò)規(guī)模設(shè)置合適的存儲容量，并通過先進先出的隊列存儲方式，在一定時間內(nèi)實現(xiàn)預(yù)接入列表的動態(tài)更新。終端節(jié)點信息只存儲在本地域及鄰近域的MKD節(jié)點中，具有移動特性的MAP節(jié)點不參與對終端節(jié)點的信息維護，只在終端節(jié)點接入時才通過MKD節(jié)點發(fā)送給相關(guān)MAP節(jié)點的終端節(jié)點信息，使其更能適應(yīng)Mesh網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)變化的特性。

·終端節(jié)點在初始認(rèn)證后已成為合法成員，并且在網(wǎng)絡(luò)中傳輸?shù)氖荵STA信息，可以極好地隱藏終端節(jié)點的身份，并且在一定的時間內(nèi)對XSTA和YSTA進行更新，可以抵御攻擊者對信息流長時間的分析處理而獲得終端節(jié)點身份信息的缺點。

·在接入認(rèn)證的過程中同時實現(xiàn)了通信雙方的密鑰交換，減少了信息交互輪數(shù)。并使用對稱的加解密方式實現(xiàn)信息傳輸，與基于公鑰體制的加解密方式相比進一步降低了計算開銷。

·實現(xiàn)雙向認(rèn)證。當(dāng)終端節(jié)點發(fā)送請求切換開始信息后，MKD通過查詢預(yù)接入列表中YSTA的合法性，驗證終端節(jié)點是通過初始認(rèn)證后接入網(wǎng)絡(luò)的合法節(jié)點。MKD通過建立的安全通道將p、g傳送給新的目標(biāo)MAP，終端節(jié)點通過消息認(rèn)證碼驗證該目標(biāo)MAP的真實性。

5 結(jié)束語

針對WLAN Mesh網(wǎng)絡(luò)的漫游接入認(rèn)證過程，新協(xié)議RADH利用EMSA初始認(rèn)證過程中所建立的安全鏈路，在此基礎(chǔ)上利用修改后的DH密鑰交換過程，避免在漫游接入過程中終端節(jié)點與舊的歸屬域的重復(fù)認(rèn)證，只需與新的歸屬域進行較少的交互次數(shù)完成接入認(rèn)證過程。通過形式化分析方法中的CK模型，證明了所提方案具有基本的SK安全屬性。與基于鄰居圖的切換接入方案相比，新方案更能適應(yīng)Mesh網(wǎng)絡(luò)拓?fù)渥兓^快的特性，且能較好地隱藏終端節(jié)點的身份信息。在完成雙向接入認(rèn)證過程的同時，完成了密鑰的生成，并在接入時延上優(yōu)于EMSA協(xié)議。雖然終端節(jié)點中選擇的XSTA在全網(wǎng)中可能發(fā)生碰撞，但是這種幾率是非常小的，不會影響正常的網(wǎng)絡(luò)通信。為進一步提高切換接入的成功率，研究不重復(fù)選擇隨機數(shù)算法將是下一步的研究工作。

1 彭清泉，裴慶祺，龐遼軍等.一種WLAN Mesh網(wǎng)絡(luò)快速切換認(rèn)證.江蘇大學(xué)學(xué)報（自然科學(xué)版），2010，31(4):458～463

2 楊超，曹春杰，王巍等.一種新的Mesh網(wǎng)絡(luò)漫游接入?yún)f(xié)議.吉林大學(xué)學(xué)報（工學(xué)版），2008，38(2):423～428

3 Chi Kuang-hui,Shih Yung-chien,Liu Ho-han,et al.Fast handoff in secure IEEE 802.11s mesh networks.IEEE Transactions on Vehicular Technology,2011,60(1):219～232

4 Li Nan.Research on Diffie-Hellman key exchange protocol.Proceedings of the 2nd International Conference on Computer Engineering and Technology,Chengdu,China,2010:634～637

5 Bellare M,Canetti R,Klawczyk H.A modular approach to the design and analysis of authentication and key-exchange protocols.Proceedings of the 30th Annual Symposium on the Theory of Computing,New York,USA,1998:419～428

6 彭華熹.一種基于身份的多信任域認(rèn)證模型.計算機學(xué)報，2006，29(8):1 271～1 281

7 Boneh D.The decision Diffie-Hellman problem.Lecture Notes in Computer Science,1998(1423):48～63

8 Zhang Fan,Ma Jianfeng,Moon S J,et al.The security proof of a 4-way handshake protocol in IEEE 802.11i.Lecture Notes in Computer Science,2005(3802):488～493

9 朱輝，李暉，楊加喜等.一種可證明安全的通用多信任域認(rèn)證協(xié)議.武漢大學(xué)學(xué)報（信息科學(xué)版），2008，33(10):1 051～1 054