耿永軍 陳紅軍 鄭明輝

（河南城建學(xué)院計(jì)算機(jī)科學(xué)與工程系1） 平頂山 467036） （湖北民族學(xué)院信息學(xué)院2） 恩施 445000）

移動(dòng)自組網(wǎng)有著無線通信、無網(wǎng)絡(luò)基礎(chǔ)架構(gòu)、動(dòng)態(tài)成員變化和異構(gòu)設(shè)備的獨(dú)特特性，傳統(tǒng)網(wǎng)絡(luò)和移動(dòng)自組網(wǎng)之間的關(guān)鍵差別在于后者缺少對整個(gè)網(wǎng)絡(luò)進(jìn)行集中控制和管理的節(jié)點(diǎn).在傳統(tǒng)網(wǎng)絡(luò)，中央管理節(jié)點(diǎn)負(fù)責(zé)定義整個(gè)網(wǎng)絡(luò)的安全服務(wù)和策略，并可提前分發(fā)密鑰給所有參與通信的網(wǎng)絡(luò)用戶.但在移動(dòng)自組網(wǎng)中設(shè)置中央節(jié)點(diǎn)會導(dǎo)致單點(diǎn)實(shí)效的問題.Kong等［1］提出RSA門限數(shù)字簽名來解決成員控制問題，但這些方法沒有提供可驗(yàn)證的的特性，以至于不能抵抗內(nèi)部惡意節(jié)點(diǎn)的攻擊，并且該方案要求在自組網(wǎng)形成時(shí)有可信的第三方初始化整個(gè)群組.Zhou和 Hass［2－3］首先提出在自組網(wǎng)形成時(shí)將證書頒發(fā)中心（CA）分布在整個(gè)網(wǎng)絡(luò)以避免單點(diǎn)失效，移動(dòng)自組網(wǎng)中的每個(gè)成員擁有一個(gè)秘密份額，當(dāng)一個(gè)新成員要加入網(wǎng)絡(luò)時(shí)，網(wǎng)中多個(gè)舊成員通過門限數(shù)字簽名的方法給新加入成員頒發(fā)成員證書，但是Zhou和Hass沒有將自組網(wǎng)中節(jié)點(diǎn)的計(jì)算能力、電源、帶寬和存儲資源限制考慮進(jìn)去.橢圓曲線密碼體制（ECC）在效率上優(yōu)于前者，更適合于內(nèi)存和處理能力有限的設(shè)備.杜春來［4］和王剛［5］采用 ECC實(shí)現(xiàn)移動(dòng)自組網(wǎng)的組密鑰協(xié)商和成員身份認(rèn)證，但沒有解決內(nèi)外惡意節(jié)點(diǎn)的攻擊和新成員加入問題.本文基于Pederson分布式密鑰產(chǎn)生方案［6－7］采用 ECC提出一個(gè)分布式密鑰產(chǎn)生協(xié)議，該方案高效且能抵制內(nèi)外惡意節(jié)點(diǎn)的攻擊，并采用門限數(shù)字簽名方案給出一個(gè)安全的移動(dòng)自組網(wǎng)的成員控制方案.最后，通過方案的性能和安全性分析得出結(jié)論，該成員控制策略非常適合于資源受限的移動(dòng)自組網(wǎng).

1 基于ECC的分布式密鑰產(chǎn)生協(xié)議

該密鑰產(chǎn)生協(xié)議基于改進(jìn)的Pederson方案，方案去除需要中央控制節(jié)點(diǎn)選擇秘密多項(xiàng)式和分發(fā)成員秘密份額，并采用ECC體制提高運(yùn)算和通信效率.讓A 表示群成員集合，A＝｛u0，u1，…，un－1｝.p是個(gè)大素?cái)?shù)，y2＝x3＋ax＋b（mod p）表示一個(gè)橢圓曲線方程，其中a，b∈Zp＊，4a3＋27b2≠0（mod p），G表示橢圓曲線方程上的一基點(diǎn)G∈E（GF（p））.大素?cái)?shù)q是基于有限域Fp的橢圓曲線點(diǎn)構(gòu)成的群的元素個(gè)數(shù)，稱為該群的階，q＝＃E（GF（p）），p＋1－2p＜q＜p＋1＋2H（）是一個(gè)安全的單向散列函數(shù)，IDi表示群成員Ui的公共成員身份.每個(gè)群成員有一個(gè)成員身份IDi，群組密鑰產(chǎn)生的步驟如下.

步驟1 每個(gè)群組成員ui（0≤i≤n－1）隨機(jī)選擇一個(gè)t－1次秘密多項(xiàng)式：

fi（x）＝ai，0＋ai，1x＋ … ＋ai，t－1xt－1mod q ui（0≤i≤n－1）計(jì)算fi（IDj）（0≤j≤n－1）和ai，kG（0≤k≤t－1）.

每個(gè)ui（ui∈A）通過秘密信道分別發(fā)送fi（IDj）給uj（0≤j≤n－1）and（j≠i）.ui（ui∈A）廣播公共信息ai，kG（0≤k≤t－1）給群組中成員.

步驟2 群組成員uj（uj∈A）從ui（0≤i≤n－1）and（i≠j）收到所有的fi（IDj）和ai，kG（0≤k≤t－1）后，uj（0≤j≤n－1）分別驗(yàn)證下列等式：

步驟3 假如上面的驗(yàn)證真正確，uj通過計(jì)算下式得到他的秘密份額sj.

成員秘密份額可表示為si＝f（IDi）.群秘密s＝f（0）分布存放在群中所有成員，群公鑰為

任何群中t個(gè)成員聯(lián)合通過Shamir的秘密共享Lagrange插值多項(xiàng)式［6］可恢復(fù)出秘密s.

2 移動(dòng)自組網(wǎng)成員加入方案及分析

2.1 方案描述

成員控制方案能確保那些滿足成員控制規(guī)則的用戶得到合法成員證書，從而成為合法群組成員，成員控制規(guī)則是群組安全策略的一部分.在本文提出基于ECC門限機(jī)制的成員控制方案，根據(jù)前面產(chǎn)生的群密鑰和公鑰進(jìn)行簽名和驗(yàn)證.其中群密鑰s被群組中所有成員通過（t，n）門限機(jī)制共享，每個(gè)群組成員擁有自己的秘密份額.任一個(gè)群組成員通過自己的秘密份額對消息產(chǎn)生部分簽名，群組簽名合成者至少需要t個(gè)成員的部分簽名生成對消息的群組簽名.通過這種方法，t個(gè)群組成員可代表群組生成新加入成員的群組成員證書.假如群組中成員已經(jīng)根據(jù)基于ECC的Pederson分布式密鑰產(chǎn)生協(xié)議擁有一份秘密份額，群組成員控制方案如下.

2.1.1 群組成員頒發(fā)新成員證書

步驟1 新成員請求加入群組 新成員un通過發(fā)送JOIN＿REQ消息給群中成員.un用自己的私鑰簽發(fā)自己的請求加入消息M，并將其公鑰一同發(fā)給群組中成員.

步驟2 頒發(fā)新成員證書的群組成員交換參數(shù) 接到JOIN＿REQ請求消息的群組成員用請求者的公鑰驗(yàn)證請求消息的簽名是否有效.假如群組中的成員同意新成員un的入網(wǎng)請求，他就用自己秘密份額的對請求消息M部分簽名回復(fù)un.用V＝｛v1，v2，…，vt｝表示給新成員頒發(fā)證書的集合，l≥t.

每個(gè)進(jìn)行群組簽名的群成員vi（i＝1，2，…，l）隨機(jī)選取ki（ki∈），且計(jì)算

假如vi想要計(jì)算k＝，他必須知道ki（1≤i≤l）的值，要想從ri（1≤i≤l）得到ki（1≤i≤l）必須先解決橢圓曲線離散對數(shù)問題.所以，k值被群組中成員vi（i＝1，2，…，l）共享，但任何參加簽名的單個(gè)群成員不知k值.

步驟3 新成員證書的頒發(fā) 每個(gè)參加群簽名的群組成員vi（i＝1，2，…，l）計(jì)算下面2個(gè)方程，本文用｛R｝x表示橢圓曲線上一點(diǎn)R 的x軸坐標(biāo).（本文中，表示Lagrange相關(guān)系數(shù)）：

vi（i＝1，2，…，l）發(fā)送｛C，xi｝給新成員作為部分簽名.

新成員接收到不少于t個(gè)部分簽名后，他將部分簽名｛C，X｝合成為對請求消息M 的有效群簽名.

步驟4 新成員證書的驗(yàn)證 任何群成員可通過群組公鑰y驗(yàn)證簽名｛C，X｝.驗(yàn)證者計(jì)算下列方程

驗(yàn)證者驗(yàn)證下列等式是否成立.

假如這個(gè)驗(yàn)證成立，意味著新成員un得到一個(gè)合法的群成員證書.但是一個(gè)新成員得到成員證書是不夠的，新成員也應(yīng)有自己的秘密份額將來為其他要加入的新成員進(jìn)行部分簽名，下面為新成員得到成員秘密份額的過程.

2.1.2 新成員秘密份額的獲得

步驟1 假如un成為了一個(gè)合法的群成員，他需要有自己的秘密份額sn使自己參加將來新成員加入的裁決協(xié)議，每個(gè)參加群組簽名者vi（i＝1，2，…，l）計(jì)算下列等式：

步驟2 vi（i＝1，2，…，l）秘密發(fā)送Si給新成員.

步驟3 新成員un根據(jù)Lagrange插值多項(xiàng)式計(jì)算下列方程得到他的秘密份額.

這里存在一個(gè)安全問題，L′i是公開的，un能通過Si求出si.文獻(xiàn)［5］中提出了shuffling技術(shù)解決該問題.在一個(gè)有shuffling技術(shù)的方案中，參加簽名的群組中任兩成員交換一個(gè)隨機(jī)值nonce.ID值大的群成員將把這個(gè)nonce當(dāng)做正值，而另一方將其作為負(fù)值.每個(gè)參加簽名的成員至少有t－1個(gè)這樣的nonce.在vi（i＝1，2，…，t）發(fā)給新成員部分秘密份額前，他先求出他已知l－1個(gè)nonce的和and Si，然后發(fā)送一個(gè)封裝的＝si＋ ∑（nonce）部分秘密份額給un.

2.2 安全性分析

下面證明本文提出的改進(jìn)方案滿足抵抗合謀攻擊、偽造攻擊.該改進(jìn)方案的安全性基于下面兩個(gè)困難性假設(shè)：大整數(shù)分解問題和單向hash函數(shù)的不可逆性.先證明該方案的正確性，然后證明其滿足的安全性質(zhì).

方案的正確性證明

定理1 該成員控制方案能安全實(shí)現(xiàn)新成員的證書頒發(fā)，任何群成員可通過群組公鑰y驗(yàn)證簽名｛C，X｝，只要滿足R＝XG＋Cy，且C＝H（M，｛R｝x）成立，證書便是合法的.

證明 XG＋Cy＝R－Cf（0）G＋Cf（0）G＝R

方案滿足的安全性：

1）該成員控制方案滿足門限機(jī)制，且能抵制偽造攻擊 假如至少有t個(gè)群組成員同意新成員加入群組，新成員可以得到有效的群成員證書.另一方面，少于t個(gè)群組成員同意其加入，新成員則不能得到有效證書.基于上面的密鑰產(chǎn)生協(xié)議，可知群組成員秘密份額si＝f（IDi）（1≤i≤t）.通過Lagrange插值多項(xiàng)式，不少于t個(gè)群組成員可用自己秘密份額恢復(fù)群組秘密f（0）.少于t個(gè)群組成員合作根據(jù)shamir的秘密共享方案則不能，且攻擊者要從公共信息中得到秘密成員份額，由于橢圓曲線的離散對數(shù)難題世人尚沒有解決.所以該攻擊也不成立.

2）該成員控制方案可抵制內(nèi)部成員的攻擊

假如新成員被接受為合法的群組成員，由于采用了shuffling技術(shù)實(shí)現(xiàn)部分秘密份額的分發(fā)，使得新成員得到自己的秘密份額而得不到其他群組成員的秘密份額.由于隨機(jī)nonce對新成員是個(gè)秘密，由其封裝的發(fā)給新成員后，新成員想通過得到si是困難的，但通過式snew＝f（IDnew）可得到自己的秘密成員份額.

從圖1很容易驗(yàn)證采用Shuffling技術(shù)后，un可得到同樣的sn值，且新成員不能得到其他群組成員的秘密份額.

圖1 Shuffling技術(shù)實(shí)現(xiàn)示意圖

2.3 仿真性能分析

該方案是基于橢圓曲線密碼體制，其用加操作替代乘操作.方案中的q只需要160bits就可獲得RSA 1024bits或DSA 512bits的安全強(qiáng)度.由于同樣的安全強(qiáng)度和更短的密鑰長度，方案實(shí)施所需要的內(nèi)存和網(wǎng)絡(luò)帶寬縮小了.下面給出該方案采用PBC開發(fā)庫軟件的編程實(shí)現(xiàn)，具體運(yùn)行環(huán)境如下：Celeron 1.4GHz＋760MRAM＋ Windows XP＋VC8.0.方案仿真中橢圓曲線參數(shù)選取為

有限域P：1514632635174592562243141915 959568687003144559398080982579809

參數(shù)a：791107111

參數(shù)b：1077150514903

基點(diǎn) G：（644644487，16367426894330）

群組密鑰s：357321394324624475504410370 0527078272835564256634324140533

群組公鑰y：（30092692644613787357405824 5124271641822522762978019682442886，526316 386840250105483025593133809754064234349343 842898534047）

群組成員數(shù)設(shè)為4，門限值設(shè)為3，由于3個(gè)成員進(jìn)行部分簽名是在分布式環(huán)境同時(shí)進(jìn)行，部分簽名開銷只計(jì)單個(gè)成員為38ms，新成員合成簽名的時(shí)間開銷為0ms，新成員驗(yàn)證簽名時(shí)間開銷為47ms.

3 結(jié)束語

本文基于Pederson分布式密鑰產(chǎn)生方案采用ECC提出一個(gè)分布式密鑰產(chǎn)生協(xié)議，該方案高效且采用shuffling技術(shù)能抵制內(nèi)外惡意節(jié)點(diǎn)的攻擊，并利用門限數(shù)字簽名方案給出一個(gè)安全的移動(dòng)自組網(wǎng)的成員控制方案.最后，通過方案的性能和安全性分析得出結(jié)論，該成員控制策略非常適合于資源受限的移動(dòng)自組網(wǎng).滿足MANETs的高效要求，也克服現(xiàn)有基于大整數(shù)分解和離散對數(shù)的無可信中心的門限數(shù)字簽名沒有把移動(dòng)節(jié)點(diǎn)計(jì)算能力、電源、帶寬和存儲資源限制條件考慮進(jìn)去的缺陷.

［1］KONG J，ZERFOS P，LUO H，et al.Providing robust and ubiquitous security support for mobile adhoc networks［C］／／IEEE ICNP，2001：98－102.

［2］ZHOU L，HAAS.Securing ad hoc networks［J］.IEEE Network Magazine，1999（11）：112－117.

［3］李成霞.一種ECC快速數(shù)字簽名技術(shù)的硬件實(shí)現(xiàn)［J］.武漢理工大學(xué)學(xué)報(bào)，2009，31（19）：156－159.

［4］杜春來.在橢圓曲線域中基于身份認(rèn)證的移動(dòng)ad hoc密鑰管理框架［J］.通信學(xué)報(bào)，2007，28（12）：53－60.

［5］王 剛.移動(dòng)自組網(wǎng)中安全高效的組密鑰管理方案［J］.計(jì)算機(jī)研究與發(fā)展，2010，47（5）：911－921.

［6］PEDERSEN T，A threshold cryptosystem without a trusted party［C］／／Advances in Cryptology－Eurocrypt＇91.LNCS 547，Springer－Verlag，1991：128－132.

［7］SHAMIR A.How to share a secret［J］.Communications of the ACM，1979，24（11）：612－613.