項順伯，柯文德

(廣東石油化工學院計算機與電子信息學院，廣東茂名525000)

0 引言

無線網(wǎng)絡通信中，當移動節(jié)點漫游至外地網(wǎng)絡時，只有通過外地網(wǎng)絡的身份認證后，該移動節(jié)點才被允許接入.為防止惡意攻擊者確定移動節(jié)點的身份和跟蹤移動節(jié)點，無線網(wǎng)絡中需采用匿名技術來隱藏移動節(jié)點的真實身份和具體位置，從而保護移動節(jié)點的安全.因此，匿名身份認證在無線網(wǎng)絡中有著重要的作用.文獻［1］針對無線網(wǎng)絡下的用戶身份認證和位置保密，利用數(shù)字簽名和公鑰加密算法提出一種認證方案，并分析了方案的匿名性.文獻［2］分析了一種無線網(wǎng)絡匿名身份認證協(xié)議，認為該協(xié)議是可追蹤的和低效的，并提出一種能減少認證階段的通信開銷而更加有效的認證方案.文獻［3］利用數(shù)字簽名提出一種無線網(wǎng)絡匿名認證方案，該方案計算量較大，效率不高.文獻［4］在文獻［2］的基礎上提出一種更有效的無線網(wǎng)絡匿名通信協(xié)議，該協(xié)議減少了匿名標簽認證階段和分發(fā)階段的通信開銷.文獻［5-7］均提出一種無線網(wǎng)絡匿名認證方案，并對方案的性能和安全性進行了分析.文獻［8］指出文獻［5］的無線網(wǎng)絡匿名認證方案存在安全缺陷:屬同一家鄉(xiāng)網(wǎng)絡的合法用戶可以跟蹤其它合法用戶，非法用戶也能跟蹤合法用戶，不能保證只有家鄉(xiāng)網(wǎng)絡才能獲得用戶的真實身份;由于用戶臨時身份標識符固定不變，攻擊者可以跟蹤用戶，針對安全缺陷給出相應的攻擊方法，研究人員提出了一種改進的方案，但改進后的方案稍顯復雜，計算量大.筆者在上述文獻的基礎上，利用相關密碼學內容，提出了一種新的無線網(wǎng)絡的匿名身份認證方案.

1 基礎知識

設G1是由P生成的加法循環(huán)群，階為素數(shù)q，G2是階為q的乘法循環(huán)群，雙線性對e是一個映射，e:G1×G1→G2滿足下列性質.

(1)雙線性:對任意的 P，Q，R∈G1，a，b∈，都有 e(aP，bQ)=e(aQ，bP)=e(P，Q)ab，e(P，R+Q)=e(P，R)e(P，Q)，e(P+Q，R)=e(P，Q)e(P，R);

(2)非退化性:存在 P，Q∈G1，滿足 e(P，Q)≠1;

(3)可計算性:對所有的P，Q∈G1，存在有效的算法計算e(P，Q).

通常e通過改進的Weil對或Tate對來實現(xiàn)，這樣的雙線對的映射稱為可允許的雙線對.G1上存在如定義1的困難問題.

定義1 離散對數(shù)問題(DLP):給定P，Q∈G1，a∈，已知 Q=aP，求 a.

定義2 單向抗碰撞哈希函數(shù):已知哈希函數(shù)H(·)，已知x計算H(x)容易，但已知H(x)計算x是不可行的;對于y=H(x)，希望找到x'≠x，使得H(x')=H(x)在計算上是不可行的.

2 無線網(wǎng)絡匿名身份認證方案的設計

2.1 無線網(wǎng)絡通信模型

無線網(wǎng)絡的通信由三方構成，即移動節(jié)點(MN)、移動節(jié)點的家鄉(xiāng)網(wǎng)絡和移動節(jié)點漫游至外地時的外地網(wǎng)絡.無線網(wǎng)絡通信模型架構如圖1所示，圖中虛線圈是指無線信號覆蓋區(qū)域，F(xiàn)A是指外地網(wǎng)絡的接入點，HA是指家鄉(xiāng)網(wǎng)絡的接入點，代理實現(xiàn)移動節(jié)點的接入訪問.

圖1 無線網(wǎng)絡通信模型Fig.1 The communicating model for wireless network

當MN從家鄉(xiāng)網(wǎng)絡漫游至某外地網(wǎng)絡后，外地網(wǎng)絡的接入點FA必須對其進行身份認證才能保證MN允許接入.通信過程中為防止MN不被確定身份和跟蹤，需采用匿名身份認證技術來隱藏MN的真實身份，從而保護用戶的隱私，同時要保證被訪問網(wǎng)絡能認證MN.MN漫游時所發(fā)送的信息都必須經(jīng)外地網(wǎng)絡轉發(fā)，于是MN在進行身份認證時所提供的信息必須經(jīng)過一定的處理，不能含有任何表示其真實身份的信息，同時家鄉(xiāng)網(wǎng)絡又能夠驗證MN的真實身份.

2.2 方案的具體設計過程

方案的實現(xiàn)分兩步進行:①是指移動用戶第一次訪問某外地網(wǎng)絡，包括參數(shù)選取和移動用戶注冊、相互認證兩個過程，從而確立初次的會話密鑰;②是指移動用戶第二次及之后對同一外地網(wǎng)絡的訪問，僅僅實現(xiàn)會話密鑰更新，它是以①為基礎的.

2.2.1 參數(shù)選取和移動用戶注冊［9-13］

(1)HA選取滿足雙線性對性質的參數(shù)G1，G2，e，q，P 為 G1的生成元，選取 SKHA∈R作為其在HA域內的私鑰，計算公鑰PKHA=SKHAP，選擇單向抗碰撞哈希函數(shù) H1:{0，1}*→G1，H2:{0，1}*× G2→，H3:{0，1}*→(0，1)l，其中 H3是將任意長度的字符串映射到固定長度l位的字符串，廣播參數(shù) G1，G2，e，q，P，PKHA，H1，H2，H3.FA 選取參數(shù) G1，G2，e，q，P，H1，H2，H3，隨機選取SKFA∈為其域內私鑰，計算公鑰PKFA=SKFAP，廣播參數(shù) G1，G2，e，q，P，PKFA，H1，H2，H3.

(2)假設無線網(wǎng)絡中有一個集中管理的PKI或KDC中心，HA和FA由可信CA簽署的公鑰證書分別為CertHA和CertFA.

(3)合法的MN在家鄉(xiāng)網(wǎng)絡注冊，HA為其分配唯一的身份標識符 IDMN，并計算 WMN=SKHAHMN，其中HMN=H1(IDMN).HA通過安全信道將自己的身份標識符IDHA和WMN交給MN.MN可通過計算e(WMN，P)是否與 e(HMN，PKHA)相等來驗證WMN的正確性，如果相等，則WMN正確.HA為MN設置用戶賬戶表單(IndMN，AccMN，IDMN)，其中IndMN=e(HMN，PKHA)是MN用戶賬戶的索引號，AccMN是MN用戶賬戶信息，包含MN用戶權限、MN用戶賬單等信息.

2.2.2 相互認證

相互認證包括雙向認證和匿名認證，認證過程如圖 2 所示.具體內容如下［5，12］.

(2)FA收到消息后，檢查TMN的新鮮性，如果TMN新鮮，產(chǎn)生時戳 TFA，計算 K'=R'，用其私鑰SKFA簽名生成簽名消息 SigFA(IDHA，R，TMN，TidMN，CertFA)，發(fā) 送 IDHA，R，K'，TMN，TidMN，CertFA，TFA和簽名消息給HA，其中IDFA為FA的身份標識符.FA保存R、R'和TidMN.

圖2 相互認證過程Fig.2 The process of mutual authenticating

(3)HA收到消息后，若證書和簽名有效、IDHA正確且TFA新鮮，則完成對FA的認證，否則中止執(zhí)行.HA用其私鑰SKHA計算K=R，計算 IndMN=e(PTidMN，P/(H2(TMN||K||K')P+K+K'))，然后在用戶表單中查找IndMN，若賬戶存在且有效，則完成對MN的認證.HA產(chǎn)生時戳THA，用其私鑰 SKHA簽名生成簽名消息 SigHA(IDFA，CertHA，THA)，發(fā)送 IDFA，CertHA，THA和簽名消息給FA.

(4)FA收到消息后，若證書和簽名有效、IDFA正確且THA新鮮，則 FA完成對HA和MN的認證，否則中止執(zhí)行.認證后FA給MN簽發(fā)一個臨時證書CertMN并計算r'=R'，再計算對稱加密密鑰 k1=H3(R r')，加密生成 Ek1(TMN，TFA'，CertMN)，產(chǎn)生時戳 TFA'，給 MN 發(fā)送 TFA'和 Ek1(TMN，TFA'，CertMN).

(5)MN從FA收到信息后，若TFA'新鮮，計算k1=H3(R r')，解密 Ek1(TMN，TFA'，CertMN)得到TMN和CertMN，核對TMN是否與(1)中一致，如果一致則接收臨時證書CertMN，否則中止執(zhí)行.接收臨時證書CertMN后，MN完成了對FA的認證并建立初次的會話［5］.

2.2.3 會話密鑰更新

(1)當MN對FA進行第i(i≥2)次訪問時，MN選取隨機數(shù) bi，計算 ki=H3(bi-1ki-1)和TidMNi=H2(TidMNi-1ki-1bi-1)，其中 b1=R，k1=r'，TidMN1=TidMN，產(chǎn)生時戳 TMNi，發(fā)送 TidMNi，CertMN，Eki(bi，CertMN，OtherInformation) 和 TMNi給FA.

(2)FA收到消息后，首先通過計算驗證TidMNi，如果正確，檢查臨時證書CertMN和時戳TMNi是否有效，若無效則中止執(zhí)行，否則FA計算ki，然后解密 Eki(bi，ki，CertMN，OtherInformation) 得bi，CertMN和 OtherInformation，并計算下一次的會話密鑰ki+1.

3 匿名身份認證方案分析

3.1 方案性能分析

在MN和FA計算會話密鑰ki時，不采用雙線性對而采用哈希函數(shù)計算是因為哈希函數(shù)的計算開銷小，可以提高系統(tǒng)的運行效率.本方案的具體性能體現(xiàn)在如下幾個方面［7-9］.

3.1.1 移動節(jié)點的匿名性和不可跟蹤性

相互認證階段使用一次性臨時身份TidMN實現(xiàn)對移動節(jié)點MN的認證，只有MN和HA知道MN臨時身份與真實身份間的對應關系.在會話密鑰更新階段MN也使用了臨時身份，因此實現(xiàn)了MN的匿名性，有效地防止了MN被跟蹤.

3.1.2 雙向認證

建立會話密鑰的雙方MN和FA對彼此的身份進行了認證.FA對MN的認證是通過FA對HA的認證和HA對MN的認證間接實現(xiàn)的.FA和HA的相互認證是通過公鑰證書、簽名以及時戳實現(xiàn)的.HA根據(jù)MN的臨時身份TidMN與真實身份的用戶賬戶列表對應關系來認證MN的真實身份，這是通過雙線對的性質來計算實現(xiàn)的.而MN對FA的認證是在確定FA的時戳新鮮后，解密 Ek1(TMN，TFA'，CertMN)得到 TMN，通過核對 TMN和自己產(chǎn)生的是否一致來認證FA的.

3.1.3 會話密鑰的新鮮性

MN和FA每次的會話密鑰Eki都由上一次會話時MN選取的隨機數(shù)bi-1和ki-1通過式Eki=H3(bi-1ki-1)計算產(chǎn)生的，每次會話時都不相同，實現(xiàn)了一次一密，因此保證了會話密鑰的新鮮性和前向安全功能.

3.2 方案安全性分析

本方案的安全性前提是方案所采用的雙線性對和哈希函數(shù)是安全的.本節(jié)只給出非形式安全屬性分析.

3.2.1 移動節(jié)點身份得到保護

MN每次訪問FA時都使用一次性臨時身份TidMN來實現(xiàn)MN的匿名性.在第一次訪問FA時，除MN和HA外，任何攻擊者都不知道MN臨時身份與真實身份的對應關系.在以后的訪問中，任何攻擊者由于得不到ki-1，無法計算得到因此，該協(xié)議有效的保護了用戶的身份.

3.2.2 每次的會話密鑰是安全的

MN和FA每次的會話密鑰都不相同，而且只有他們才能計算會話密鑰.在第一次會話中，攻擊者無法計算出Ek1，因為它不知道隨機數(shù)r'，即使攻擊者想計算r'，也將面臨求解定義1的離散對數(shù)困難問題.在第i(i≥2)次會話中，攻擊者不知道ki-1無法計算出Eki.這樣保證了會話密鑰的安全性.

3.2.3 抗重放攻擊

MN和FA每次會話時的相關參數(shù)和會話密鑰都不一樣，而且有時戳的存在，有效地防止了重放攻擊.而FA和HA之間使用時戳也有力地抵抗了重放攻擊.

3.2.4 抗中間人攻擊

MN和FA第一次會話時，只有MN和HA知道MN的真實身份.只有MN和FA才能計算出他們的會話密鑰，由于發(fā)送的消息中含有公鑰證書和時戳等內容，任何人想偽造MN或FA進行通信都是不可能的.

4 結論

無線網(wǎng)絡應用和發(fā)展的重要內容是移動用戶的匿名身份認證問題.筆者提出了一種無線網(wǎng)絡的移動用戶匿名身份認證的設計方案，實現(xiàn)了對移動用戶身份的認證以及移動用戶、外地網(wǎng)絡代理、家鄉(xiāng)網(wǎng)絡代理三者間的雙向認證，同時確保移動用戶身份匿名性和位置的不被跟蹤.該方案為無線網(wǎng)絡中漫游用戶的匿名認證提供了一種較實用的解決方案.

［1］HIROSE S， YOSHIDA S.A user authentication scheme with identity and location privacy［C］//2001 LNCS:2119.Berlin:Springer，2001:235-246.

［2］JAN J K，WHE D L.An efficient anonymous channel protocol in wireless communications［J］.IEICE Transactions on Communication，2001(E84-B):484-491.

［3］WANG S J.Anonymous wireless authentication on a portable cellular mobile system［J］.IEEE Trans on Computer，2004，53(10):1317-1329.

［4］HWANG M S，LEE C H.A new anonymous channel protocol in wireless communications［J］.International Journal of Electronics and Communications，2004，58(3):218-222.

［5］ZHU Jian-ming，MA Jian-feng.A new authentication scheme with anonymity for wireless environments［J］.IEEE Trans on Consumer Electronics，2004，50(1):231-235.

［6］KANG M H，RYOU H B，CHOI W.Design of anonymity-preserving user authentication and key agreement protocol for ubiquitous computing environments［A］.WINE 2005［C］.Hong Kong，China，2005.

［7］KIM W H，YOON E J，YOO K Y.New authentication protocol providing user anonymity in open network［A］.WINE 2005［C］.Hong Kong，China，2005.

［8］彭華熹，馮登國.匿名無線認證協(xié)議的匿名性缺陷和改進［J］.通信學報，2006，27(9):78-85.

［9］LEE J S，CHANG C C，CHANG P Y，et al.Anonymous authentication scheme for wireless communications［J］.International Journal of Mobile Communications，2007，5(5):590-601.

［10］朱輝，李暉，蘇萬力，等.基于身份的匿名無線認證方案［J］.通信學報，2009，30(4):130-135.

［11］Andreas Noack.Efficient Authenticated Wireless Roaming via Tunnels［C］//Quality of Service in Heterogeneous Networks.Berlin:Springer，2009，22:739-752.

［12］楊力，馬建峰，朱建明.可信的匿名無線認證協(xié)議［J］.通信學報，2009，30(9):29-34.

［13］曹雪菲，曾興雯，寇衛(wèi)東，等.一種新的不安全信道上的匿名認證方案［J］.西安電子科技大學學報:自然科學版，2007，34(6):878-880.