張?chǎng)巍顣栽≈炻事?/p>

摘要：針對(duì)終端接入移動(dòng)網(wǎng)絡(luò)缺乏可信性驗(yàn)證問題，提出一種移動(dòng)網(wǎng)絡(luò)可信匿名認(rèn)證協(xié)議，移動(dòng)終端在接入網(wǎng)絡(luò)時(shí)進(jìn)行身份驗(yàn)證和平臺(tái)完整性認(rèn)證。在可信網(wǎng)絡(luò)連接架構(gòu)下，給出了可信漫游認(rèn)證和可信切換認(rèn)證的具體步驟，在認(rèn)證時(shí)利用移動(dòng)終端中預(yù)存的假名和對(duì)應(yīng)公私鑰對(duì)實(shí)現(xiàn)了用戶匿名隱私的保護(hù)。安全性分析表明，協(xié)議滿足雙向認(rèn)證、強(qiáng)用戶匿名性、不可追蹤性和有條件隱私保護(hù)。協(xié)議中首次漫游認(rèn)證需要2輪交互，切換認(rèn)證需1輪即可完成，消息交換輪數(shù)【和終端計(jì)算代價(jià)優(yōu)于同類可信認(rèn)證協(xié)議。

關(guān)鍵詞：可信計(jì)算；可信網(wǎng)絡(luò)連接；移動(dòng)網(wǎng)絡(luò)；漫游認(rèn)證；可信認(rèn)證

中圖分類號(hào)：TP309.7

文獻(xiàn)標(biāo)志碼：A

0引言

無線網(wǎng)絡(luò)技術(shù)迅速發(fā)展，移動(dòng)網(wǎng)絡(luò)變得越來越普遍。在移動(dòng)網(wǎng)絡(luò)中，由于本地網(wǎng)絡(luò)覆蓋范圍有限，當(dāng)用戶移動(dòng)到本地網(wǎng)絡(luò)之外時(shí)，為獲得通信服務(wù)，須同外地網(wǎng)絡(luò)進(jìn)行驗(yàn)證才能使用外地網(wǎng)絡(luò)資源。但移動(dòng)網(wǎng)絡(luò)存在多種安全威脅，移動(dòng)終端也存在軟硬件被篡改（病毒感染、植入木馬等）或軟件存在漏洞、版本過期，不僅影響用戶的信息安全，也是整個(gè)網(wǎng)絡(luò)的安全隱患。

為了確保移動(dòng)設(shè)備的安全，同時(shí)考慮到移動(dòng)終端在處理器、電源容量和存儲(chǔ)空間等的限制，可信計(jì)算組織（Trusted Computing Group， TCG）[1]的移動(dòng)電話工作組以可信平臺(tái)模塊（Trusted Platform Module， TPM）為基礎(chǔ)，針對(duì)移動(dòng)設(shè)備的特性進(jìn)行了重新定義和修改，發(fā)布了可信移動(dòng)模塊（Mobile Trusted Module，MTM）規(guī)范。同時(shí)為了解決網(wǎng)絡(luò)訪問控制中存在的安全問題，TCG還提出了將可信計(jì)算技術(shù)同網(wǎng)絡(luò)接入控制技術(shù)相結(jié)合的可信網(wǎng)絡(luò)連接（Trusted Network Connect， TNC）[2]。終端在接入網(wǎng)絡(luò)時(shí)，首先對(duì)終端的身份進(jìn)行驗(yàn)證，接著完整性度量層會(huì)對(duì)終端軟、硬件的狀態(tài)進(jìn)行檢查：若度量的狀態(tài)滿足指定的安全策略則允許終端接入網(wǎng)絡(luò)；否則，對(duì)終端進(jìn)行隔離修復(fù)，將終端的可信狀態(tài)擴(kuò)展到整個(gè)網(wǎng)絡(luò)。在2011年12月，TCG組織發(fā)布了架構(gòu)指導(dǎo)“ARCHITECTS GUIDE： Mobile Security Using TNC Technology”[3]，對(duì)TNC架構(gòu)下的移動(dòng)安全設(shè)計(jì)方面的問題給出了指導(dǎo)。

TNC架構(gòu)下的移動(dòng)網(wǎng)絡(luò)接入引起了學(xué)術(shù)界的關(guān)注，文獻(xiàn)[4]在分析可信網(wǎng)絡(luò)連接架構(gòu)存在的安全缺陷后，提出了一種可證明安全的可信網(wǎng)絡(luò)連接模型；文獻(xiàn)[5]提出了移動(dòng)互聯(lián)網(wǎng)下可信移動(dòng)平臺(tái)的接入機(jī)制，定義了移動(dòng)互聯(lián)網(wǎng)下的本域服務(wù)和跨域訪問兩種訪問模式，運(yùn)用通用組合模型對(duì)方案進(jìn)行了安全性分析；文獻(xiàn)[6]提出了一種無雙線性對(duì)無證書的無線局域網(wǎng)（Wireless Local Area Network， WLAN）可信接入?yún)f(xié)議，將平臺(tái)身份和平臺(tái)完整性驗(yàn)證同用戶身份認(rèn)證結(jié)合，并且證明了協(xié)議在eCK（extended Canetti-Krawczyk）模型下是安全的；文獻(xiàn)[7]提出了可信無線匿名認(rèn)證協(xié)議，對(duì)移動(dòng)用戶身份和終端平臺(tái)可信性進(jìn)行認(rèn)證，認(rèn)證每個(gè)階段使用不同的密鑰保證匿名性，但協(xié)議執(zhí)行時(shí)外地服務(wù)器都需要在本地服務(wù)器協(xié)助下才完成漫游信息的證明；文獻(xiàn)[8]提出了移動(dòng)互聯(lián)網(wǎng)下移動(dòng)可信匿名漫游協(xié)議，外地網(wǎng)絡(luò)通過本地為移動(dòng)終端頒發(fā)的漫游證明完成認(rèn)證，但用戶變換漫游地時(shí)需要重新向本地服務(wù)器申請(qǐng)漫游證明。

針對(duì)現(xiàn)有文獻(xiàn)可信漫游認(rèn)證存在的不足，本文提出一種移動(dòng)網(wǎng)絡(luò)可信匿名漫游協(xié)議，分別討論了首次漫游接入網(wǎng)絡(luò)認(rèn)證和接入點(diǎn)（Access Point， AP）間高效切換認(rèn)證，通過移動(dòng)終端中預(yù)存的假名實(shí)現(xiàn)用戶的匿名。協(xié)議通過基于身份的密鑰交換機(jī)制實(shí)現(xiàn)用戶認(rèn)證和密鑰交換，利用可信計(jì)算技術(shù)完成平臺(tái)的完整性驗(yàn)證。在漫游認(rèn)證時(shí)無需借助本地服務(wù)器進(jìn)行驗(yàn)證或使用指定漫游地的可信漫游證明，同現(xiàn)有的可信漫游協(xié)議相比具有更高的靈活性和實(shí)用性。

1協(xié)議框架模型

如圖1所示，協(xié)議在可信計(jì)算下的移動(dòng)網(wǎng)絡(luò)，主要由可信移動(dòng)終端（Trusted Mobile Node， TMN）、本地驗(yàn)證服務(wù)器（Home Authentication Server， HAS）和外地認(rèn)證服務(wù)器（Foreign Authentication Server， FAS）組成，還包括可信第三方互聯(lián)網(wǎng)管理中心——認(rèn)證中心（Certification Authority， CA）。

本協(xié)議基于可信計(jì)算技術(shù)，協(xié)議中的網(wǎng)絡(luò)接入實(shí)體TMN需要完成用戶身份認(rèn)證以及密鑰協(xié)商，同時(shí)還需要認(rèn)證服務(wù)器（Authentication Server， AS）（包括HAS/FAS）完成平臺(tái)的身份和完整性的驗(yàn)證。為簡(jiǎn)化協(xié)議，給出以下假設(shè)：

1）協(xié)議中的實(shí)體具有可信平臺(tái)模塊；

2）同傳統(tǒng)無線網(wǎng)絡(luò)一樣，AP和AS之間存在安全信道；

3）AS是可信實(shí)體，控制所在整個(gè)網(wǎng)絡(luò)并且誠(chéng)實(shí)地響應(yīng)每一個(gè)接入請(qǐng)求；

4）TMN已經(jīng)向隱私證書中心申請(qǐng)了身份認(rèn)證證書Cert（AIKP）；

5）本地的認(rèn)證服務(wù)器HAS為本地注冊(cè)的TMN建立了撤銷列表，并向外提供撤銷列表的查詢下載服務(wù)。

本文使用的相關(guān)符號(hào)定義如下：n為大素?cái)?shù)；rA代表A選取的隨機(jī)數(shù)，IDA代表A的身份標(biāo)識(shí)，pidi標(biāo)識(shí)用戶所使用的第i個(gè)假名，CertA代表A的身份證書，〈PKA，SKA〉代表A的一對(duì)公私鑰，〈AIKp，AIKS〉代表安全芯片（TPM或MTM）的身份密鑰，Cert（AIKp）代表可信計(jì)算平臺(tái)的平臺(tái)身份密鑰（Attestation Identity Key， AIK）證書，SK-1A代表A的私鑰SKA的求逆運(yùn)算值，并且要使得用戶的私鑰求逆運(yùn)算值與公鑰的乘積為常數(shù)，即SK-1APKA=Q（Q為常數(shù)），2.1節(jié)假名的公私鑰在注冊(cè)時(shí)生成，無需滿足上述要求。

本文使用的相關(guān)運(yùn)算定義如下：E（K，m）和D（K，c）代表使用對(duì)稱密鑰進(jìn)行加密/解密；ENC（SK，m）和DEC（PK，c）分別代表使用非對(duì)稱密鑰進(jìn)行加密/解密運(yùn)算；SIGA（m）代表A對(duì)消息M進(jìn)行數(shù)字簽名；H（m）代表標(biāo)準(zhǔn)散列算法。

3.2用戶匿名性

協(xié)議中交互的消息中使用預(yù)存的一系列不可鏈接的假名pidi，未出現(xiàn)用戶的真實(shí)身份；并且不同的移動(dòng)終端使用的假名是不同的，其他用戶無法獲得。TMN使用假名加密傳輸給HAS，實(shí)現(xiàn)了用戶真實(shí)身份對(duì)HAS的匿名性，即使假名遭到泄露，攻擊者也無法獲得用戶的真實(shí)身份，也無法將截獲的假名同其他通信過程進(jìn)行關(guān)聯(lián)。用戶多次訪問網(wǎng)絡(luò)都是使用不同的假名，具有不可跟蹤性。

由于撤銷列表RL是由被撤銷用戶假名的散列值構(gòu)成HPID={H2（pidj），H2（pidj+1），…，H2（pidn）}。FAS進(jìn)行檢查時(shí)將收到的假名先進(jìn)行散列變化H2=（pidi），再同列表進(jìn)行匹配。由于散列函數(shù)的單項(xiàng)性，F(xiàn)AS僅能判斷收到的假名是否在撤銷列表中，而無法獲得撤銷用戶的所有假名信息。

由于本地認(rèn)證服務(wù)器HAS存儲(chǔ)了用戶所有的假名信息，在緊急情況下HAS可以向法律權(quán)威報(bào)告用戶所有假名，則用戶的隱私信息（身份、位置等）將不具有匿名性，因此協(xié)議滿足有條件的隱私保護(hù)。

3.3平臺(tái)可信性

在認(rèn)證服務(wù)器安全可靠的情況下，TMN平臺(tái)的軟硬件配置信息不會(huì)泄露給網(wǎng)絡(luò)之中的其他合法用戶，也不會(huì)泄露給AP，有效保護(hù)了平臺(tái)的有效隱私性。終端首次接入外地網(wǎng)絡(luò)時(shí)，TMN向AP發(fā)送了用AIKp簽名PCRs值、AIK證書以及度量日志SML，以證明平臺(tái)的完整性。TMN使用AIKp對(duì)PCRs值和FAS傳輸過來的隨機(jī)值rFAS進(jìn)行簽名，利用rFAS保證了平臺(tái)配置信息的新鮮性；平臺(tái)配置信息使用了FAS的公鑰進(jìn)行加密，避免了平臺(tái)配置信息被AP或其他用戶獲知，保證了TMN的匿名性。當(dāng)TMN在AP間進(jìn)行切換時(shí)，使用FAS頒發(fā)的可信證明Tproof進(jìn)行驗(yàn)證，由于可信證明Tproof是由FAS的對(duì)稱密鑰加密而來，使得AP或其他用戶無法將其與TMN之前所使用的身份綁定，保證了切換時(shí)用戶的匿名性不被破壞。

3.4抗平臺(tái)替換攻擊

文獻(xiàn)[4]中指出可信網(wǎng)絡(luò)接入架構(gòu)中存在平臺(tái)替換攻擊，本文方案是抗平臺(tái)替換攻擊的。用戶A和用戶B都是合法用戶，A控制可信平臺(tái)PA，B控制不可信平臺(tái)PB。若B通過非法手段獲取了用戶A的平臺(tái)驗(yàn)證信息，向驗(yàn)證服務(wù)器申請(qǐng)驗(yàn)證。因A的驗(yàn)證信息中封裝了其臨時(shí)假名身份pidi，而B無法獲得假名身份的公私鑰信息。所以用戶B無法利用用戶A的平臺(tái)驗(yàn)證信息證明其身份合法性和平臺(tái)可信性。

3.5接入認(rèn)證靈活性

傳統(tǒng)的移動(dòng)用戶漫游認(rèn)證方案中，部分采用三方（終端、本地服務(wù)器、外地服務(wù)器）漫游結(jié)構(gòu)[10-11]，驗(yàn)證時(shí)需要本地服務(wù)器參與，可能存在連接失敗或本地服務(wù)器單點(diǎn)登錄失敗。而兩方（終端、外地服務(wù)器）漫游協(xié)議則通常使用一些復(fù)雜的密碼技術(shù)（例如：組簽名[12]），給用戶和外地服務(wù)器帶來了較高的計(jì)算開銷。在本文協(xié)議中，用戶在外地網(wǎng)絡(luò)進(jìn)行身份驗(yàn)證和可信驗(yàn)證時(shí)，使用預(yù)存的假名PID={pid1，pid2，…，pidn}及其公私鑰對(duì)進(jìn)行匿名通信。本地服務(wù)器HAS事先已發(fā)送公共參數(shù)paramsHAS，F(xiàn)AS便可以利用paramsHAS對(duì)來自HAS的漫游用戶進(jìn)行獨(dú)立驗(yàn)證。因此FAS無需同HAS進(jìn)行通信交互，減少了通信延遲及驗(yàn)證服務(wù)器負(fù)擔(dān)。本文協(xié)議中的用戶也無需使用復(fù)雜密碼技術(shù)或者向HAS申請(qǐng)文獻(xiàn)[8]中的指定漫游目的地的漫游證明，使得用戶漫游更加自主和便捷。

3.6性能分析

由于移動(dòng)網(wǎng)絡(luò)中終端計(jì)算能力有限，終端不能有過多的計(jì)算開銷。協(xié)議執(zhí)行效率主要用協(xié)議中終端完成的各種計(jì)算來衡量，包括指數(shù)運(yùn)算、散列運(yùn)算、對(duì)稱加解密、公鑰加解密和消息交換輪數(shù)。本文分別對(duì)終端CPU和TPM的計(jì)算開銷進(jìn)行了分析。本文的協(xié)議的效率比照了文獻(xiàn)[7]和文獻(xiàn)[8]方案在進(jìn)行網(wǎng)絡(luò)接入認(rèn)證時(shí)終端的運(yùn)算量。從表1可以得到，移動(dòng)終端平臺(tái)CPU執(zhí)行了一次散列運(yùn)算、兩次非對(duì)稱加解密運(yùn)算，消息的交換輪數(shù)為兩輪。這些運(yùn)算只需要較小的計(jì)算量，對(duì)移動(dòng)終端產(chǎn)生影響較小。與文獻(xiàn)[7-8]的方案相比，本文協(xié)議中終端的計(jì)算量有優(yōu)勢(shì)。

4結(jié)語

傳統(tǒng)漫游、切換協(xié)議無法滿足平臺(tái)的可信認(rèn)證需求，本文提出一種移動(dòng)網(wǎng)絡(luò)可信匿名認(rèn)證協(xié)議。以可信網(wǎng)絡(luò)連接TNC架構(gòu)為基礎(chǔ)，用戶在進(jìn)行漫游訪問或AP間切換認(rèn)證時(shí)，將用戶身份認(rèn)證同平臺(tái)可信性認(rèn)證結(jié)合起來，實(shí)現(xiàn)了高效的可信接入。終端使用預(yù)存的假名保護(hù)用戶的匿名性，假名與用戶真實(shí)身份沒有關(guān)聯(lián)，保證了用戶的身份和位置等信息機(jī)密性和有條件的隱私保護(hù)，分析表明協(xié)議計(jì)算開銷相比現(xiàn)有協(xié)議減少并且接入認(rèn)證更加靈活、自主。本文漫游認(rèn)證協(xié)議在可信移動(dòng)互聯(lián)網(wǎng)中完成終端可信認(rèn)證，增加了安全性。但終端負(fù)載有所增加，同時(shí)對(duì)無可信平臺(tái)模塊的終端和傳統(tǒng)網(wǎng)絡(luò)環(huán)境下的兼容性、擴(kuò)展性問題，還需要進(jìn)一步探討和研究。

參考文獻(xiàn)：

[1]Trust Computing Group. TPM main part 1： design principles specification， version 1.2 revision 62 [S]. Geneva： International Organization for Standardization （IOS）， 2009.

[2]Trust Computing Group. TCG trusted network connect architecture for interoperability specification version 1.4 [EB/OL]. （2009-05-18） [20015-11-18]. http：//www.trustedcomputinggroup.org.

[3]Trust Computing Group. Architects guide： mobile security using TNC technology [EB/OL]. （2011-12-29） [2015-10-18]. http：//www.trustedcomputinggroup.org/developers/mobile.

[4]馬卓，馬建峰，李興華，等.可證明安全的可信網(wǎng)絡(luò)連接協(xié)議模型[J].計(jì)算機(jī)學(xué)報(bào)，2011，34（9）：1669-1678. （MA Z， MA J F， LI X H， et al. Provable security model for trusted network connect protocol [J].Chinese Journal of Computers， 2011， 34（9）： 1669-1678.）

[5]吳振強(qiáng)，周彥偉，喬子芮.移動(dòng)互聯(lián)網(wǎng)下可信移動(dòng)平臺(tái)接入機(jī)制[J].通信學(xué)報(bào)，2011，31（10）：158-169. （WU Z Q， ZHOU Y W， QIAO Z R. Access mechanism of TMP under mobile network [J]. Journal on Communications， 2011， 31（10）： 158-169.）

[6]馬卓，張俊偉，馬建峰，等.可證明安全的無雙線性對(duì)無證書可信接入認(rèn)證協(xié)議[J].計(jì)算機(jī)研究與發(fā)展，2014，51（2）：325-333. （MA Z， ZHANG J W， MA J F， et al. Provably secure certificateless trusted access protocol for WLAN without pairing [J]. Journal of Computer Research and Development， 2014， 51（2）： 325-333.）

[7]楊力，馬建峰，朱建明.可信的匿名無線認(rèn)證協(xié)議[J].通信學(xué)報(bào)，2009，30（9）：29-35. （YANG L， MA J F， ZHU J M. Trusted and anonymous authentication scheme for wireless networks [J]. Journal on Communications， 2009， 30（9）： 29-35.）

[8]周彥偉，楊波，張文政.可證安全的移動(dòng)互聯(lián)網(wǎng)可信匿名漫游協(xié)議[J].計(jì)算機(jī)學(xué)報(bào)，2015，38（4）：733-748. （ZHOU Y W， YANG B， ZHANG W Z. Provable secure trusted and anonymous roaming protocol for mobile Internet [J]. Chinese Journal of Computers， 2015， 38（4）： 733-748.）

[9]RAYA M， HUBAUX J-P. Securing vehicular Ad Hoc networks[J]. Journal of Computer Security — Special Issue on Security of Ad-hoc and Sensor Networks， 2007， 15（1）： 39-68.

[10]侯惠芳，季新生，劉光強(qiáng).異構(gòu)無線網(wǎng)絡(luò)中基于標(biāo)識(shí)的匿名認(rèn)證協(xié)議[J].通信學(xué)報(bào)，2011，32（5）：153-161. （HOU H F， JI X S， LIU G Q. Identity-based anonymity authentication protocol in the heterogeneous wireless network [J]. Journal on Communications， 2011， 32（5）：153-161.）

[11]侯惠芳，劉光強(qiáng)，季新生，等.基于公鑰的可證明安全的異構(gòu)無線網(wǎng)絡(luò)認(rèn)證方案[J].電子與信息學(xué)報(bào)，2009，31（10）：2385-2391. （HOU H F， LIU G Q， JI X S， et al. Provable security authentication scheme based on public key for heterogeneous wireless network [J]. Journal of Electronics & Information Technology， 2009， 31（10）：2385-2391.4）

[12]YANG G， HUANG Q， WONG D S， et al. Universal authentication protocols for anonymous wireless communications [J]. IEEE Transactions on Wireless Communications， 2010， 9（1）：168-174.