基于无证书密码学的WSN认证方案

基于无证书密码学的WSN认证方案
张桦
【摘要】Certificateless Public Key Cryptography (CL-PKC) eliminates the inherent key escrow problem of Identity-Based Cryptography (IBC), which dispenses with certificates of traditional Public Key Cryptography (PKC) and their costly management overhead. In view of the shortages that traditional authentication service strongly depends on the special authentication server and the trusted third party authentication mode,what is of high cost and centralized authentication capa-bilities can not meet the large number of nodes applying for certification simultaneously, pro-poses a WSN certificateless access authentication that give the certification to applying nodes to the adjacent points to complete, the analysis and simulation of the results shows that the authen-tication is secure and efficient.% 无证书公钥密码体制克服了基于身份公钥密码体制中的密钥托管问题，没有传统公钥密码体制中证书管理带来的额外开销。

但传统认证服务中强依赖于专门认证服务器和可信第三方的认证模式，认证运行成本高，针对集中认证处理能力低、需要低运行成本的WSN网络节点，不能运用传统认证的缺陷，提出一种基于无证书密码的WSN认证，该认证把网络节点的认证交给可信邻接点组成的认证集去完成。

结果分析和仿真实验表明该认证方案对伪造、重放、冒充和俘获网络节点等攻击具有安全性。

【期刊名称】《现代计算机（专业版）》
【年(卷),期】2013(000)010
【总页数】5页(P8-12)
【关键词】无证书密码学;WSN;认证;双线性
【作者】张桦
【作者单位】广东省国土资源测绘院卫星定位技术应用中心，广州 510500
【正文语种】中文
WSN网络是一种无中心、自组织、多跳路由、动态拓扑以及资源受限的无线网络，安全问题是其需要解决的关键问题之一。

然而，WSN网络的无中心、自组织等特点使其安全问题比传统无线网络更难于解决。

传统基于认证服务器的集中式安全认证，存在的密钥发布和管理问题在这种网络拓扑结构不确定的无线网络更加突出。

为了避免传统认证的繁杂，Al-Riyami和Paterson[1]在2003年首次提出的无证
书公钥密码体制（CL-PKC），与基于身份的公钥密码系统类似，它不需要使用证书来保证公钥的可靠性，所以可以有效地克服传统公钥密码系统下繁琐的证书管理。

虽然它也要依赖一个拥有主密钥的可信机构，但是该可信机构不直接生成用户的私钥，只生成与用户身份对应的部分私钥，由用户利用自己的秘密信息和部分私钥结合生成私钥。

所以，也有效地解决了基于身份的公钥密码系统固有的密钥托管问题。

于是，无证书公钥密码系统成为近期—个受到高度关注的研究热点，一些无证书
加密[2～3]、签名方案[4～5]应运而生。

其中文献[3～4]对无证书密码系统下的加密和签名方案的安全模型及潜在的攻击者的能力分别给出了更细致的刻画，加深了人们对无证书加密和签名安全性的认识。

最近，M.Barbosa等人[6]提出无证书签密方案的安全模型及一个具体的无证书签密方案。

在WSN网络中随着终端节点性能的不断提升，以及通信的不断提速，越来越多的终端产品具有较高的数据和信息处理能力，但相应的软件及各种协议却不能跟上硬
件产品发展的速度，随着网络节点移动和网络拓扑结构的不确定性，各种终端节点的认证按照传统的认证模式，已很难满足这种需求。

而以往的研究倾向于将很多重要工作依托PKG或认证服务器，在实际应用中对终端节点的可信度和身份认证最
重要的依据，往往来自于最有发言权的局部邻接点对它的认证[7]。

因此，本文在
前人诸多无证书密码体制的研究成果下结合M.Barbosa等人的无证书签密方案的安全模型，运用无证书公约密码体制，提出了一种WSN网络认证的方案，实现对网络节点接入网络的安全许可认证和通信身份认证。

该方案采用了基于双线性对的无证书密码算法实现密钥交换和双向身份认证，因此它可以采用更短的密钥但却提供更高的安全性。

并且该方案不需要复杂的证书管理和强依赖的传统专门认证服务器和可信第三方（私钥产生中心PKG）可以大大降低系统的建设及维护成本，提
高系统的运行效率。

另外，该方案还提供了申请者身份的保护和多个可信节点组成认证集协同认证，可防止攻击者对身份信息的窃听以及众节点同时申请认证服务器忙或死机的不足，该方案分析表明是安全和高效的，较为适用于多节点的WSN网络环境。

设G1为由P生成的循环加法群，阶为q，G2是具有相同阶q的循环乘法群，a，b是Zq*中的元素，设G1和G2这2个群中的离散对数问题都是困难问题[8]，双线性映射[9]是指满足下列性质的一个映射e∶G1×G2：
（1）双线性性：e（aP，bQ）=e（qbP，Q）=e（P，Q）ab
（2）非退化性：存在P，Q∈G1，使e（P，Q）≠1。

（3）可计算性：对所有的P，Q∈G1，存在有效的算法计算e（P，Q）。

双线性对可以通过椭圆曲线E（Fq）上Weil对或Tate对来构造。

本文用到的相关术语标识符说明如下：
PGC：私钥产生中心；
IDAi：节点Ai的身份标识符；
Pi：i时刻Gi的生成元；
si：认证Ai的系统主密钥；
Pipub：认证Ai的系统公钥Pipub=siPi；
PublicParams：系统公共参数；
ASi：i时刻选取的t个认证节点的集合：ASi=｛C1，C2，…，Ct｝。

Ωi：i时刻在线的且有PublicParams生成算法的网络节点集Ω｛ASi|ASi∈Ω，
i=1，…，N｝，其中N是动态变化的，且Ωi∈PGC集；
H（f（x））：t-1次多项式单值哈希函数。

在WSN网络某个局部区域刚建立时，该区域存在一个可信的私钥产生中心PGC
负责为全网选择并计算系统的公开参数，同时给申请者生成部分长期私钥。

PGC
每次认证一个可信节点（已通过合法身份认证的节点）时，就把PGC产生公共参数PublicParams的算法授予一份给它，同时跟已有PublicParams算法的其他可信节点组成新的PGC，最终新的PGC转化为PGC集。

Ωi选取多项式）选取t个节点组成认证集AS，且x∈Ω、f（0）为PGC，H为单值哈希函数。

对任意节点Ai都有全网唯一表示符IDAi，通常可以是节点MAC地址或IP地址
或用户编码地址等。

i时刻认证集ASi生成：阶为大素数q的由P生成的循环加法群G1，具有相同阶q的循环乘法群G2，双线性映射e∶G1×G2，定义的安全Hash函数：H1∶｛0，1｝*→G1，H2∶G2→｛0，1｝*，H3∶｛0，1｝n系统
主密钥si∈Zq*，公钥Pipub=siPi∈G1。

然后将它们组合为系统公共参数PublicParamsi并予以公布：PublicParamsi=｛si，e，G1，G2，q，P，Ppub，H1，H2，H3|其中P＝Pi，Ppub=Pipub｝。

节点Ai提交自己的身份IDAi∈｛0，1｝*，认证集ASi根据系统公布的安全函数
H1、G1计算QAi=H1（IDAi）∈G1并生成作为其部分私钥通过安全信道传送给，再随机选择一个秘密值，计算自己的私钥SAi=xiDAi∈G1。

然后，Ai计算并公布
自己的公钥PKAi=xiPipub，记（Xi，Yi）=（xisiPi，xiQAi），由双线性映射的
性质，网络中的其他任意可信节点可用：e（Yi，Ppub）=e（QAi，Xi）对其公钥进行合法性验证。

具体的节点认证，在认证集ASi与节点Ai进行，需进行4次交互，如图1所示。

详细过程如下：
（1）申请者Ai生成会话标识符sidAi、随机数NAi、用于DH密钥交换的临时公共参数aPpub、公钥PKAi和InfoAi，并向认证集ASi发送信息MSAi=（sidAi，Ni，aPpub，PKAi，InfoAi）。

其中sidA惟一标识当前的会话。

随机数NA由申请者随机产生，用来保证密钥的新鲜性和防止重放攻击，InfoAi表示申请者Ai向认证集ASi提供的相关注册信息。

（2）认证集ASi收到申请者Ai的信息MSAi后，认证集ASi生成用于标识当前
会话的标识符sidASi和随机数NASi，对收到的ASi的InfoAi进行检查和备份；
生成认证集ASi的公钥PKASi、私钥SASi和用于DH交换的临时公共参数bPpub；签名SIGASi=H2（MASi）SASi来保证信息的完整性和进行身份认证，其中MASi=sidASi|sidAi|NASi|Ni|IDAi|PKASi|aPpubi|InfoAi，以防攻击，让Ai
确认自己的身份和申请要求；最后用PKAi加密并向Ai发送消息MSASi=（sidASi，NASi，IDASi，PKASi，bPpubi，SIGASi）。

（3）节点Ai收到信息MSASi后，用自己的私钥SAi解密MSASi，并验证ASi
的签名：e（SIGASi，P）=e（H2（M1）YASi，Ppubi），如果签名正确，申请
者根据得到的bPpub及双方的随机数计算密钥：SKASi|SKAi|PMK=h3
（sidAi|sidASi|abPpub|NAi|NASi），其中SKASi和SKAi为双方共享的用于认
证和加密的密钥，PMK为双方运行后续安全协议的主密钥。

确认Infoi的信息，
如果InfoAi确认正确，并进行签名：SIGAi=H2（MAi）SAi来实现身份认证和注册信息的完整性保护，其中MAi=sidAi|sidASi|NAi|NASi｛IDAi，infoAi｝
sk|IDASi|PKAi|PKASi|aPpub|bPpub，｛IDAi，infoAi｝sks，表示用SKAi对身
份IDAi，infoAi进行加密。

最后用PKASi加密MSAi=（sidAi，IDAi，SIGAi）
并向ASi发送该信息；如果若验证不正确或infoAi确认失败，终止认证。

（4）认证集ASi收到信息MSASi后，按同样的方式计算出密钥SKASi、SKS和PMK。

解密申请者Ai的身份得到IDAi，并验证Ai的签名：e（SIGASi，P）=e （H2（M2）YAi，Ppubi）和Ai的注册信息infoAi，验证通过后，保存Ai的注
册信息infoAi，并向Ai发送MSASi=sidASk｛IDASi，PublicParams}SKASi。

Ai 收到ASi的MSASi后，解密认证集ASi的身份后，确认认证集ASi执行了正确的认证程序后，并获得PublicParams的算法，至此认证集端的接入认证完成。

该认证有如下安全性：
①能抵抗伪造申请者的攻击。

②能抵抗重放攻击。

③能抵抗冒充攻击。

证明见文献[10]。

④该认证能协同抵抗攻击者俘获可信节点的攻击。

假设某一潜在攻击者Ui，试图俘获可信节点Ck来进行攻击。

通过由上文中可知，在Ω中随机选取t个可信节点来协同生成系统公共参数PublicParams，选取哪些节点，事先并不知道，同时在认证的过程中，由于有可信节点动态的加入或退出，认证集每认证一个申请节点，认证集都协同自我重组，生成新的PublicParams，这样整个密钥系统都能自我更新。

假设某一节点或某些节点，通过其他渠道被攻击者俘获了，且已经知道了申请节点先前的认证的密钥和申请者信息秘密，试图进行俘获的攻击，由于申请者跟认证集交互的每次更新，密钥并不一定相同，而无法通过俘获可信节点，来对全网的申请者进行攻击。

同时本文还具有文献[11]的已知会话密钥安全性、前向安全性和密钥的不可控性等优良特性。

具体见文献，此不重述。

本文只使用了双线性对映射以及通用的哈希函数，具有较高的实现效率。

下面我们
从单个节点认证时延和认证成功率两方面在NS-2模拟器实现了该认证的性能测试。

仿真环境为：链路的可靠性为94%，网络节点数为N=100，Ω=50,认证集ASi的t门限值为别取t=7与t=11。

从图2中可看出随着节点移动速度的增加，单个节点认证的时延也略有增加，速
度从3m/s到15m/s的认证时只延增加不到2s。

这说明该认证能很好支持WSN
网络节点的移动特性。

同时，从图3中可以看出认证集ASi的t门限值t=11比
t=7的认证认证时延要略小。

这是t越大，分布的范围就越大，就更适合申请节点在大范围内移动的认证。

也正如图3所示t=11的认证成功率明显高于t=7的认
证集ASi门限。

本文提出一种无证书的WSN网络节点认证方案，使用无证书的安全模型[6]和局
部可信多节点组成的认证集替代传统的认证服务器，克服了公钥证书发放和管理复杂的问题，保证了认证的安全性和高效性。

随着网络中节点数目增多，无线通信的加速，通信将遍布生活的每个角落，这种低成本、配置方便、认证灵活的安全认证将会通过不断地完善运用于这类无线网络。

【相关文献】
[1]A l-Riyami SS,Paterson K.Certificateless Public Key Cryptography:LNCS 2849:ASIA CRYPT,2003[C].Verlag:Berlin Springer,2003:452～273
[2]Zhao-hui Cheng,Li-qun Chen,Li Ling,Richard Com ley. General and Efficient Certificateless Public Key Encryption Constructions.Pairing-Based Cryptography-Pairing 2007. Lecture Notes in Computer Science Volume 4575,2007：83～107
[3]Alexander W.Dent.A Survey of Certificateless Encryption Schemes and Security Models.International Journal of Information Security.October 2008,Volume 7,Issue 5,pp 349-377
[4]Huang Xin-yi,Mu YI,Susilo W,et al.Certificateless Signature Revisited:LNCS 4586:ACISP 2007[C].Verlag:Berlin Springer,2007:308～322
[5]Zhang Z,Wong D S,Xu J,et al.Certificateless Public Key Signature:Security Model and
Efficient Construction:ILNCS 3989:Applied Cryptography and Network Security 2006[C]. Verlag:Berlin Springer，2006:293～308
[6]Barbose M,Farshim P.Certifieateless Signeryption.Cryptography Eprint Archive.Report 2008/143.URL:http://eprinLiaerDeg/2008/143.2008
[7]曾迎之,苏金树等.无线传感器网络安全认证技术综述[J].计算机应用与软件，2009，26（3）:55～58
[8]Chen X,Zhang F,Kim K.A New ID-Based Group Si-Gnature Scheme from Bilinear Pairings:In:Proceeings of the WISA, 2003[C].Korea:Jeju Island,2003:585～592
[9]徐茂智,游林.信息安全与密码学[M].北京:清华大学出版社,2007
[10]马春波,敖琚,何大可.基于双线性映射的多重签名与群签名[J].计算机学报,2005,28（9）:1558～1563
[11]陈家琪,冯俊,郝妍.基于无证书密码学的可认证三方密钥协商协议[J].计算机应用研究,2010,27（5）:1902～1904。