作者:陈志德,黄欣沂,等
出版社:电子工业出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
身份认证安全协议理论与应用试读:
前言
近年来,随着信息技术的发展,网络活动越来越受欢迎。网络信息和服务在给授权用户带来便利的同时,也使得非法用户有机可乘。在网络技术应用中,要抵制非法用户的入侵,首先必须正确地识别通信双方的身份。身份认证是一个实体确认通信的另一个实体满足它所声明的属性的过程,是验证实体真实性的过程。基于身份密码安全协议在电子医疗、云计算、车载网、物联网等领域具有广泛的应用。
本书是作者在福建师范大学网络安全与密码技术重点实验室工作期间与所指导的研究生合作成果的基础上,经整理、修改而成的。本书的主要目的就是紧随信息安全中的身份密码这一主题,对于多年来的研究成果进行归纳总结,希望对从事该领域研究的研究生、教师以及对该领域感兴趣的其他方面的专家学者起到一定的参考和引导作用。
本书的内容共分为25章。第1章,引言:分别介绍了身份认证的研究背景与现状,以及国内外的研究现状、隐私匹配的研究背景和现状、无线 Mesh 网络节点间密钥建立方案的研究背景和现状、无线射频认证(RFID)系统。第2章:基础知识,主要介绍了身份密码安全协议所需要的数学理论和一些密码学的基本工具。第3章:多身份加密构造,在传统的身份加密系统中,一个密钥仅能对应唯一的一个公钥,在本章所构造的多身份加密系统中,一个密钥可以对应于不同的公钥,这种特殊的身份加密系统有利于简化用户管理密钥。第4章,可变身份签名构造:在该方案中,公钥由一公开信息及n个隐私信息组成,且验证的公钥内容是可变化的,即在验证过程中验证者仅能获取一个隐私信息。第5章,基于等级身份加密的密钥共享方案:在传统的等级身份加密中,每一等级的主密钥由一个KGC管理,如果该KGC不可信任了,那么它将泄露一些密钥信息。第6章,基于等级身份加密的密钥门限方案,该方案提出了等级身份加密中一种有效的密钥管理机制,实现了密钥分发的门限方案。在该方案中,当进行运算的KGC数量达到门限值时才能进行有效的密钥计算,而且个别KGC的失效不会影响系统的正常运行。第7章,在线/离线身份加密:首先将Guo等人提出的在线/离线身份加密技术扩展到等级身份加密,然后提出了一个有效的在线/离线等级身份加密(HIBOOE)方案,实现该技术的目的在于提高在线加密的效率,它在计算能力有限的设备中是非常有用的。第8章,在线/离线签名的批验证:提出一个非常高效的在线/离线签名方案能够实现multi-signer批验证,该方案是基于CHP方案并且在随机预言模型下证明了它的安全性。第9章,可分在线/离线签名方案:首先给出了可分在线/离线签名方案的一般构造方法,并且以Boneh、Lynn和Shacham(BLS)的短签名作为一个例子,然后描述一个有效的DOS签名,长度只有320比特,且在随机预言模型下被证明是安全的。第10章,在线/离线验证签名方案:首先定义了在线/离线验证的新概念及其安全模型,然后提出了一个非常有效和实用的在线/离线验证签名方案,且证明了该方案在标准模型下是安全的,最后通过借助双陷门变色龙哈希的适当转换发现现存的短签名方案都能在随机或非随机模型下转化为本章所提出的方案。第113章,基于属性签名自适应匿名认证SA系统:首先针对不同认证策略情形,设计一个自适应匿名身份认证的通用模型和安全需求,然后应用一个具体的签名工具——基于属性的签名来实现动态匿名认证,最后应用PBD库,针对10个不同的认证策略,在ubuntu的环境下仿真认证过程,最后获得认证的时间。第12章,基于属性签名的用户撤销:针对基于属性签名算法的用户撤销问题设计出一个高效的用户撤销算法。第13章,自适应匿名身份认证的用户撤销:在自适应匿名身份认证系统的应用中,一个必须解决的问题就是如何有效地撤销系统的用户。本章进一步完善自适应匿名认证系统,运用基于属性签名3用户撤销方案,从而设计出一个SA中有效的用户撤销方案。第14章,轻量级RFID双向认证协议:基于现有的HB类协议来设计一个安全有效的RFID认证协议,其困难性是基于LPN问题。第15章,RFID标签所有权转换安全协议:提出了一个实现 RFID 标签所有权完全转换的有效方案,通过“一交换两更新”的3步骤实现协议,该协议能达到保护原、新所有者的隐私,抵御一些不法参与方的恶意行为和保障交易方尤其是新所有者的权益的目的。第16章,RFID标签隐私可靠统计机制设计:基于 RFID 技术所设计的一个隐私数据统计系统机制,该机制实现了既保障RFID标签的隐私,又很好地保证了统计结果的可靠。第17章,SKRAP安全认证协议研究:在分析已有的 SKRAP 安全协议的基础上,提出了一种基于 SKRAP的改进协议,通过对其分析可知,改进的协议ISKRAP能够抵抗重放攻击、监听攻击、去同步化攻击和追踪攻击,是一种比较安全的认证协议,在实际环境中有一定的使用价值。第18章,SECRAP安全认证协议研究:介绍了一种基于椭圆曲线密码的RFID安全协议,发现其不能抵抗去同步化攻击的安全漏洞,通过在服务器和标签都存储两份的共享密钥来使协议能够抵抗去同步化攻击,进而完全随机化阅读器发出的证据,修改后的协议也能够抵抗伪造攻击。第19章,ESAP安全认证协议研究:通过对RFID安全认证协议ESAP的分析得出,它存在不能抵抗追踪攻击的弱点,从而通过修改服务器端的回复消息,使得每条认证消息更加不可分辨,从而达到抵抗追踪攻击的效果。第20章,基于身份加密的隐私匹配:提出一个基于身份加密隐私匹配的简单方案,并给出了该方案所能抵抗的攻击。第21章,基于身份加密的多方隐私匹配:通过使用布隆过滤器解决基于身份加密的多方隐私匹配的计算量巨大的问题,然后从可信和安全性分析,所给出的基于身份加密的多方隐私匹配方案是可行的。第22章,基于身份加密的隐私匹配在自组织网络中的应用:尝试将基于身份加密的多方隐私匹配方案应用到实际环境中加以检验其实用性。第23章,无线Mesh网络中基于矩阵的对密钥建立方案,改进了Blom方案,提出了一种新的无线Mesh网络中基于矩阵的对密钥建立方案,实现了能量受限的 Mesh 客户端只需要消耗极少的通信代价、存储代价就可以建立对密钥。第24章,无线Mesh网络中基于矩阵和利用部署信息的对密钥建立方案:基于Mesh网络中存在大量的能力受限的Mesh客户端且这些Mesh客户端之间需要在短时间内建立对密钥,提出两个方案来为Mesh 客户端之间建立对密钥。第25章,无线 Mesh 网络中基于多项式的对密钥建立方案:在传感器节点通过 Mesh 路由器与Internet连接的网络模型下,提出一个基于多项式的对密钥建立方案。
参加本书撰写的还有福建师范大学数学与计算机科学学院、福建师范大学网络安全与密码技术重点实验室的研究生郭福春、吴忠生、刘中仁、张一镰、陈友勤、连燕玲、张跃欣、蒋德山,陈志德对全书进行了统稿和审定。另外,电子科技大学计算机科学与工程学院的陈建章博士对全书的排版和校对也做出了贡献并且帮助整理了全书的参考文献。
本书的出版得到了国家自然科学基金(61202450,UJ405255)和教育部博士点新教师类基金(20123503120001)的资助。福建师范大学数学与计算机科学学院、福建师范大学网络安全与密码技术重点实验室对本书的撰写给予了大力支持,在此深表感谢。
限于作者的水平,书中错漏之处在所难免,恳请国内同行和广大读者不吝赐教。
陈志德 黄欣沂 许力
2014年12月5日
福建师范大学数学与计算机科学学院
福建师范大学网络安全与密码技术重点实验室基础篇第1章 引言1.1 身份认证的研究背景和现状
随着科学技术的发展,接入网络的用户越来越多,第32次中国互联网发展状况统计报告指出,截至2013年上半年,中国互联网用户数量达到5.91亿,互联网普及率为44.1%。然而,网络是一把双刃剑,网络的信息和服务在给授权用户带来便利的同时,也给非法用户提供了可乘之机。近年来,大到国家军事政治等机密数据的安全,小到商业企业或个人用户,都面临着不法用户破坏、更改、泄露等造成的安全威胁。因此,在网络世界里如何保护信息的安全,成为迫切需要解决的问题。
身份认证是防护网络信息的第一道关口。在网络中,要保证通信的可信和可靠,必须正确地识别通信双方的身份,防止非法用户假冒合法用户,给合法用户造成经济上的损失。身份认证分为用户与主机的认证和主机与主机的认证,是一个实体确认通信的另一个实体具有它所声明的属性的过程,是验证实体真实性的过程。在真实世界,认证一个实体的身份可以通过:(1)实体所知道的东西,如口令、密码等;(2)实体拥有的东西,如印章、智能卡等;(3)实体所特有的生物特征,如指纹、虹膜、声音等。在网络世界中,身份认证的手段和真实世界一致。
公钥密码学中的数字签名可以设计身份认证协议。数字签名类似手写的签名,是给电子文档进行签名的一种电子方法,具有与手写签名一样的法律效力。在数字签名策略中,用户拥有一对公私钥,在签名中使用私钥对消息进行签名,利用公钥对签名进行验证。由于私钥为用户所特有,因此签名具有认证性、完整性和不可否认性。在公钥密码学中,为保证公钥的真实性和有效性,公钥可以与用户的公钥证书相绑定,一个简单的证书包括证书拥有者的公钥、名称及证书中心CA(Certification Authority)的数字签名。也可以将用户的身份(如身份证号码、电话号码和邮件地址等与用户的身份具有直接而天然的联系)直接作为用户的公钥,如基于身份签名技术的应用。
无论是基于公钥证书或是基于身份的签名技术,都有一个共同点,即用户的真实身份对于认证服务器是公开的。然而,如果用户在每次认证时都公开自己的身份,一些网络商家可以分析用户的网上习惯,获取他们需要的信息。而信息一旦泄露,造成的损失会不可计数,特别是金融企业。具有隐私保护的身份认证是近年来迅速发展的安全问题,越来越多学者从事隐私保护方面的研究。隐私保护认证技术是指在认证的过程中不泄露实体真实身份的一种认证技术,可以满足一些特殊场合的需求,在电子医疗、云计算、车载网、物联网等领域得到了广泛的应用。据波士顿咨询公司的一项调查,隐私比成本、易用[1]性和安全性等更为用户所关心。目前存在几种匿名认证技术,包括[2,3,4][5,6,7][8,9,10,11,群签名、环签名、盲签名、假名技术12,13,14][15,16]和基于属性的签名等。数字签名的理论与应用还在不断发展中,随着新体制(如基于格的密码系统)的出现,将会有更安全、更高效、更易硬件实现的数字签名方案被提出。安全而高效的短签名能够快速发展是因为双线性映射(Bilinear Pairing)被引入到签名系统构造中。它的出现马上成为研究的热点,很多原先难以解决的密码问题都得以解决。自2001年Boneh、Lynn和Shacham提出可证[17]明的基于双线性对短签名以来,又有好几个基于双线性对短签名被提出。Boneh等人的短签名长度只有160比特,而且它的安全性是基于困难问题co-CDH 假定的,它的主要不足是基于随机预言模型下安全证明;2004年,Boneh 和Boyen提出了一个在非随机预言模型下[18]是安全的短签名方案,签名长度是320比特。它的不足是基于困难问题q-SDH假定下,这个困难问题假定中输入量很大,将导致方案的安全性降低。2005 年,Waters 提出另一个在非随机预言模型下是安[19]全的短签名方案,它的签名长度与 Boneh-Boyen方案的相同,而且它的安全性是在标准困难问题CDH假定下进行证明的,这个困难问题的输入参数长度比 q-SDH困难问题要短很多。但是,该方案的不足是需要输入一个很长的公钥参数且安全归约不够紧。2009年,Hohenberger和Waters又提出一个在非随机预言模型下而且在标准困[20]难问题CDH下进行证明的短签名方案,它的不足是签名长度为640比特而且引入了一个状态信息(如计数器),增加了操作的复杂性。许多学者对这些经典短签名方案进行了深入的讨论和研究,提出了很多改进方案和具有附加性质的签名方案。
但是相比有限域上的模、加、幂等运算,双线性对的运算开销是很大的。这就限制了这类签名的使用范围,如智能卡、无线设备等。1989年,在线/离线签名方案概念由Even、Goldreich和Micali提出来[21],他们提供了一个通用的方法来将任何签名方案转变为在线/离线签名方案,但是由于被转换的签名方案长度太大而不实用。2001年,Shamir和Taurnan提出了一种新的在线/离线签名方案,该方案通过一个hash-sign-switch模式将任何签名方案转变为在线/离线签名方[22]案。新方案加强了签名的安全性,因为用户在离线签名的时候使用的是一个随机生成的字符串,文献[22]中新的方案对选择明文攻击免疫,而文献[21]中的方案不具有这种对选择明文攻击免疫功能。
在线/离线签名的思想就是将签名分成两个阶段,第一个是离线阶段:待签署的信息还未被确定,签名者做一些预处理工作;第二个阶段是在线阶段:一旦待签署的信息被确定,签名者利用预处理的结果,并使用非常短的时间完成签名。在线/离线方案很有用,在许多应用中签名者需要在有限的时间内进行签名,他需要花费大多数计算在签名前的准备上,签名的算法也需要花费很多计算量。特别在智能卡上,由于其有限的计算量,这种方法很有效,离线的时候进行后台计算,在线签名的时候,利用离线时计算出来的结果进行在线签名。这种在线签名速度很快,因为其不需要做复杂的双线性对或者模幂运算,通常只要做简单的异或乘法或者加法即可。这样,即使在计算量很低的处理器上也可以进行签名。考虑到现今智能卡被广泛应用,这种在线/离线方案具有广泛的应用前途。在线/离线签名方面的相关工作还有文献[23~29]。
与此同时,新一代网络对身份认证协议的设计提出了新的要求,包括:(1)认证规则的多样性。新一代网络中设备和服务的多样性必然会导致认证规则的多样性。(2)认证规则的多变性。网络自身的复杂性和各种突发的事件会导致认证规则变得复杂又难以预测,即使在同样网络服务/设备中,身份协议的认证规则也需要根据实时的网络状况进行调整。
在传统的认证系统中,由于用户的身份是公开的,所以无论策略如何变化,网络服务器可以直接判断用户的身份是否符合认证策略。然而,在具有隐私保护的认证系统中,动态认证有一定的困难性。如何认证用户使其满足动态变化的认证规则,同时确保用户身份隐私,成为迫切需要解决的问题。
基于属性的密码体制是基于身份的密码体制的延伸,很多方面与基于身份的密码体制相比有着更为灵活、广泛的应用,可以实现匿名身份认证。基于属性的密码体制将用户的身份看成是一系列属性的集合,验证的时候只要确定用户给出的几个属性满足所声明的认证规则,并不泄露用户的具体身份。因此基于属性的签名可以提供较强的隐私保护。例如,李四拥有属性集合{“外资企业A”,“经理”,“年薪30万元”,“本科学历”},李四想向政府揭露 A 企业的产品不合格,李四用“外资企业 A”、“经理”这两个属性进行签名,匿名向政府举报。政府在接收到举报信息后,可以验证此消息的真实性,确定消息是来自外资企业 A 的经理。由于具有这两个属性的人不止一个,李四可以将自己的身份掩盖,达到匿名举报的效果。在发布其他消息时,李四根据具体认证策略的要求,采用另外的属性进行签名。基于属性的签名满足:(1)抗伪造性,签名只能由拥有能满足声明的属性的用户所产生,而不能由几个用户把他们的属性放在一起合谋产生。如果张三的属性是{“外资企业”,“员工”,“年薪30万元”,“本科学历”},王五的属性是{“私营企业”,“经理”,“年薪 30万元”,“本科学历”},那么他们两个人不能合谋通过外资企业经理的验证。(2)隐私保护性,即签名只揭示所给的属性满足签名声明,而不知道具体怎么满足、用户是谁、用户有几个属性。
面对复杂多变的网络环境,探讨具有隐私保护特性的基于属性的密码体制在身份认证上的运用,具有重要的研究意义。1.2 身份认证的国内外研究现状
我们可以将公钥密码体制中的身份认证技术划分为不具备隐私保护的身份认证技术和具备隐私保护的身份认证技术分别进行阐述。前者在验证实体身份真实性的过程中不能提供隐私保护,后者可以提供隐私保护。1.2.1 不具备隐私保护的身份认证技术
1.基于公钥证书的密码体制
公钥密码设施PKI(Public Key Infrastructure)是使用公开密钥密码技术来实现并提供安全服务的具有通用性的安全基础设施。在PKI中,采用数字证书对用户的公钥进行管理。证书简而言之就是一个小小的计算机文档。例如,它可以是文件名为atul.cer的文件。正如真实世界的身份证,可以将公民和他的一些相关属性结合。数字证书把用户的公钥和用户的其他标识信息捆绑在一起。一个简单的证书包括证书拥有者的公开密钥、名称及可信机构证书中心CA的数字签名。验证者使用CA的数字签名验证证书的有效性,使用证书中的公开密钥验证证书拥有者的真实性。CA负责为用户签发公钥证书。在这种构架下,公钥证书的管理是非常复杂的工作。由于CA需要执行很多任务(如颁发一个新证书、管理旧的证书、撤销因为某种原因已经失效的证书等),经常负载过重,因此 CA 会把一些任务授权给第三方即注册机构RA(Registration Authority)来执行。在传统公钥密码体制中公钥证书的管理与使用都需要较高的计算和存储开销,管理工作比较复杂,对作为系统中心的CA要求较高,系统负担较重。
2.基于身份的密码体制
为了简化公钥证书的管理,Shamir 在 1984 年提出了基于身份密[30]码体制 IBC (Identity-based Cryptography)的概念。在这种公钥加密机制中,用户的身份信息ID(如身份证号码、E-mail 地址和电话号码等可以唯一标识用户身份的信息)直接作为用户的公钥。用户的身份与用户之间有着直接而天然的联系,因此无须通过数字证书进行绑定,从而避免了基于PKI的传统公钥密码系统中对证书的使用和验证过程。
2001年,Boneh 和Franklin提出了第一个实用的IBE(Identity-[31]based Encryption)方案,从此大量的学者围绕IBE的方案设计和[32]应用开展了广泛的研究。Sakai等人提出了使用双线性对的IBS方[33]案,但并没有给出相应的安全分析。Cha和Cheon 讨论了基于身份签名方案的安全模型,并在GDH群上构造了IBS方案,该方案在随[34]机预言模型下是安全的。Boyen和Waters 提出了匿名的分层IBE的[35]概念和一个具体的实践方案。Gentry 提出了一个新的标准模型下可证明安全性的 IBE 方案,具有效率高、系统参数短等优点。目前IBC 已被广泛应用在安全组播通信、安全电子邮件、无线网络路由安全与信息加密以及Ad Hoc网络密钥管理等方面。
尽管身份密码体制解决了证书管理的问题,但却出现了一个计算密钥的可信第三方(KGC),如何有效地管理KGC也成了人们研究身份密码的一个课题。在身份密码系统中,所有的密钥都由一个 KGC 计算得到,那么对于一个计算能力有限的 KGC 来说,它难以承担大量用户同时发出的密钥请求。而且,从密钥管理安全的角度考虑,由一个KGC管理所有的密钥信息是否合适呢?我们又需要一种什么样的密钥管理模型?等级身份加密的提出回答了这个问题。
2002年,Horwitz和Lynn在文献[36]中介绍了等级身份加密(HIBE)的概念及其应用。等级身份加密体制的特点在于它把密钥管理中心按等级的不同进行了划分,每个等级由一个 KGC 进行密钥管理,该 KGC 只能计算它所在的身份域的密钥。事实上,我们可以把身份加密理解为只有一个等级的等级身份加密系统。等级身份加密体制大大降低了每个KGC的计算负载,并且它允许密钥托管由不同等级的KGC来完成。现实中的HIBE模型是很多的,例如在某公司,董事长拥有最高的权限,他为总经理计算私钥,而总经理又可以为部门经理计算私钥,但他不知道董事长的密钥信息,部门经理再为该部门的用户计算私钥,这就是一个简单的3等级的HIBE模型。等级身份加密的另一个应用是为便携式计算设备提供“短有效期”的临时密钥。假设Alice要出差一星期,她希望在此期间能阅读加密邮件,但是她又担心存储在笔记本的密钥被盗,进而泄露所有的秘密信息。那么我们可以应用一个2等级的HIBE来解决这个问题:我们把“Alice”这个名称作为第一等级的身份域,把“时间日期”作为第二等级的身份域;当Bob要发送秘密消息给Alice时,只要把“(Alice,时间日期)”作为公钥来加密消息;那么Alice可以事先从KGC那里获得其所用的日期所对应的私钥(私钥过期后立即销毁),即使她的私钥被窃取,攻击者也只能获取当天的一些秘密消息,降低了损失。
目前,等级身份加密体制的研究也是基于双线性映射技术的。Gentry和Silverberg在文献[37]中给出了一个完整的HIBE方案,但其安全性仍然是依赖于Random Oracle假设的。第一个有效的HIBE方案是[38]由Boneh和Boyen给出的,是基于“Selective-ID”安全模型的协议。在这个方案中,密钥和密文的长度都随公钥ID的长度增加而增加。针对这个问题,Boneh、Boyen和Goh在2005年提出了一个新的HIBE方[39]案,使得密钥的长度随着公钥 ID 的长度增加而减短,而且密文长度是一个固定常数,该方案也是基于“Selective-ID”安全模型的。本书所做的研究就是在上述后两个方案基础上所进行的扩展。
3.基于无证书系统的密码体制
无证书公钥密码体制CL-PKC(Certificateless Public Key [8]Cryptography)是在基于身份的公钥密码基础上提出来的一种新型公钥密码体制,没有密钥托管问题,也不需要使用公钥证书。可以说,无证书公钥密码系统很好地结合了PKI和ID-PKC两种密码系统的优点。在无证书系统中,仍然存在一个可信的第三方密钥生成中心KGC,负责根据用户的身份和系统的主密钥计算用户的部分私钥。用户使用部分私钥和随机的秘密值生成完整的私钥。因此,KGC无法得知任何用户的私钥,从而克服了基于身份密码体制中的密钥托管问题。
无证书加密是由Al-Riyami和Paterson于2003年提出的。第一个无证书签名方案也是由Al-Riyami和Paterson提出的,然而他们并没有对该方案的安全性进行分析。最早的无证书签名方案的安全模型由 [40]Huang 等人提出,并指出 Al-Riyami 的方案不能抵抗公钥替换攻击。近年来,无证书密码体制引起了学者的极大关注,一直是密码学与信息安全领域的研究热点之一。1.2.2 具有隐私保护的身份认证技术
近年来,各国学者针对匿名认证问题提出了许多匿名认证的方案。
1.群签名
1991年,Chaum和Heyst提出了具有匿名特性的群签名(Group [2][41]Signature)。随后,Camenish和Stadler,Camenish和[42][43,44][45]Michels,Ateniese 和Tsudik,Boyen等人等对其进行了修改和完善。在群签名中,群成员可以群体的名义代表整个群体进行签名,验证时只能够验证签名为群中的成员所签,但不能确定是哪位成员所为。例如在一间大公司里面,往往我们要知道的是文件是由哪个部门签署的,而不用知道具体是哪个员工。群签名里面有一个特殊的角色,即群管理员。群管理员负责添加群成员,删除群成员等。当出现争议时,群管理员还可以揭示签名人的身份,使签名者不能否认其签名。群签名具有:(1)匿名性;(2)不关联性;(3)防伪造性;[3](4)可跟踪性;(5)防陷害攻击;(6)抗联合攻击。自群签名提[4]出后,在管理、军事、政治及经济等多方面有着广泛的应用。然而,由于群签名的管理员知道每个签名是由群里的哪个用户签署,必要的时候可以打破匿名性,因此它的匿名性是相对的。
2.环签名[5]
2001年,Rivest,Shamir和Tauman等人在如何匿名泄露秘密的背景下提出了环签名(Ring Signature)技术。环签名是对群签名的简化,在环签名中只有环成员,没有管理者,没有可信中心,没有群的建立过程。环签名中签名者首先选定一个临时的签名者的集合,然后签名者利用自己的私钥和签名集中其他成员的公钥就能产生签名。自环签名的概念被提出后,引起了各国学者的广泛关注。如[6][7]Emmanuel等把门限环签名应用到Ad-Hoc群中,黄欣沂等基于签密思想提出了基于身份的环签密方案等。然而环签名需要预先知道其他成员的公钥,这会对其他成员的隐私性造成影响。
3.假名技术
随机变化身份,也叫假名(Pseudonyms),是一种较受学者欢迎的解决隐私认证问题的工具。目前,已经有大量的工作研究多假名[8][9,10,技术(Multiple Pseudonyms),尤其是在移动情景下的应用11]。在移动设备中,用户预先加载一系列的假名,并不停地更换以[12]预防敌手把新旧假名联系起来。Mix-Zone 技术能够减少同一个用[13]户的两个假名之间的联系。 应用mix-zone的概念研究出有效的改变假名的方法,并指出当节点的密度较小、用户行为移动模式变化较[14]小时、mix-zone的效率会很低。Jiang等提出了使用频繁变化假名的相关技术——沉默期(Silent Period),也可以隐藏隐私敏感信息。同时,多假名技术在动态认证策略中存在一个缺陷,即随着认证策略的增大,用户假名的数量会增多,系统负担较大。1.2.3 基于属性签名的身份认证技术
2008年,Hemanta Maji提出了基于属性的签名(Attribute-based [15,16]Signature)。基于属性的签名允许用户在签名的同时能够细粒度地控制身份信息。签名者从权威机构获取一系列的属性,根据服务器的声明选择合适的属性钥消息,签名的消息只透露了签名者的属性满足所声明的访问结构而没有揭露其真实的身份信息。“属性”这个[46,47]概念,最早是由基于模糊身份加密的概念发展而来的。在基于模糊身份的加密中,用户的生物学特性直接作为身份信息应用于加密方案中。在加密方案中,当且仅当两个用户A、B的生物学特性足够接近时,用户A能解密用户B可解密的密文。基于模糊身份的加密偏重于容错特性,而基于属性的加密偏重于访问控制。基于属性的签名[48,49]较早的形式是由Dalia Khader 等人在2007年的时候构造的基于属性群签名方案。在他们的方案中,签名只揭示了签名者的属性满足所声称的规则,不泄露具体的身份信息;但是这个机制允许群管理者管理属性群中用户的真实身份从而不满足绝对的隐私性。紧接着,Li[50]和Kim在2008年提出了基于属性的环签名,这也是早期的属性签名的一种形式。
自基于属性签名的概念被提出后,引起了各国学者的广泛关注。[51][52]Gou和Zeng与Cao和 Yang构造了具有门限声明的基于属性的签名,但他们的安全定义不包括支持签名者的保密性。2010年,Li等人[53]在自己前期工作的基础上提出了两种支持门限声明的属性签名的构造。他们的方案减少了计算代价和签名长度。[54]
2009年,Shahandashti等人构造了支持单一的门限声明的有[55][56]效的基于属性的签名。Tan等人对Guo和Zeng提出的基于属性签名方案的安全性进行了分析,发现Guo的方案不能对抗部分密钥更[57]换攻击。Emura在基于属性群签名ABGS的基础上设计了动态属性群签名方案,动态即访问树可以发生改变。[58]
2010年,Gagn等人将属性加密引入签名,提出了属性签密[59][58](ABSC)的概念。Emura等人在 ABSC的基础上提出了动态的[60][53]属性签密方案 DABSC。同年,Selvi 等人针对Li的方案进行了[61]安全性分析。王怀习等人 在CP-ABE上改进设计了PE-ABS方案。[62]
2011年,Yang等人在基于q-parallel BDHE的假设下构造了一[63]种新的ABS算法。Okamoto等人针对无授权中心和无可信机构问题进行了讨论,提出了分布式的基于属性的签名,该方案支持非单调的[64]访问声明。就安全性问题和声明的细粒度性问题,Okamoto等人进行了进一步的研究,设计了一个在标准模型下(Standard Model)完全安全的方案,该方案使用了内积关系与非单调访问结构的结合,支持NO门限。基于属性的签名方案具有匿名性,但是签名者可以利[65]用这一点滥用签名,为了防止签名者滥用签名,Escala 等人提出了可以追踪签名者身份的基于属性签名方案(EHM-ABS),其中,对是否拥有某一属性使用比特加密的非交互证据不可区分(Non-interactive Witness Indistinguishable,简称NIWI)的证明;并且使用自同构签名用于保证签名者的可追踪性和不可陷害性。Kumar等人[66][53]扩展 Li的方案,构造了有界多层的 t-ABS。为实现在云服务器[67]数据共享的安全性,Zhao等人在属性签名和属性加密的基础上设计了一套安全的协议。[68]
2012 年,Javier Herranz等人设计了基于门限声明的属性基短[69][70]签名方案。Aijun Ge等人在Water’s 的CP-ABE基础上进行改进,[71][65]设计了另一种高效的并且签名长度较短的方案。张等人对文献的EHM-ABS方案进行改进,通过减少使用NIWI证明的次数且无须使用自同构签名,设计了另一种构造方案。1.3 隐私匹配的研究背景和现状[72]
近年来在隐私匹配的一个发展方向是匹配加密数据。Song、[73]Wagner 和 Perrig首先提出了搜索加密的数据,在方案中用户 Bob 可以通过加密信息并将密文信息保存到不可信服务端Alice。Bob发送密文查询给Alice,Alice能够正确返回密文Bob,在这个过程Alice不能获知Bob具体询问的信息内容。随后在2004年Boneh、Crescenzo、[74][75]Ostrovsky和Persiano以及Water都围绕着这个主题展开了研究工作,并给出了各自的方案。
隐私匹配问题是更为一般的安全多方计算问题。隐私匹配协议尝试着使协议中的各方参与到信息匹配任务中去,而它们也不必担心会泄露其他额外信息。
隐私匹配的一个简单例子是:假设协议的双方(Alice 和 Bob)都有一个数据库,他们期望在保证不会泄露隐私信息的前提下,匹配双方的数据。即如果 Alice(服务器端)有数据库D,而Bob(客户A端)有数据库D,当协议结束的时候,Bob和Alice能获悉双方共享的B数据信息,而对其他任何额外的信息一无所知。
在某些情景中,协议的参与方会正确地遵守协议,从而能够获得匹配的对称性。然而在一个恶意的模型里,参与方可能会采取任意的行动,这里面包括恶意行为。这样由于总有一方会先获得匹配结果而[76,77,78]使得对称性难以实现。一类关于公平交易的密码学问题也已广泛地展开,公平交易问题就是要保证交易的双方都能获得所需的数据信息,但是不能确定公平交易的概念能否有效地应用到隐私匹配的实际问题中去。
在确保协议安全的过程中,必须指出我们不只要保护双方的隐私,而且需要保证协议的正确性。隐私匹配在实践中需要解决的问题超过了一般安全多方问题。一类对于隐私匹配过程中难于解决的攻击是欺骗问题。然而如果参与者被要求提供数字签名参数,就能够消除这类欺骗,因为任何参与方都不能够伪造信息。
在参与协议的双方的行为是半诚实的前提假设下,已经有许多关[79,80]于隐私匹配的协议存在,都能够做到找出双方共同的信息而不泄露出其他额外的信息。尽管在给出的前提假设下,这些协议都是正确的,然而在实际应用中要求参与方不输入欺骗数据信息(如参与方并没有此数据信息)的假设是太严格了。
针对欺骗问题,文献[81]给出了若干个协议解决输入欺骗问题:使用数据所有者证书(Data Ownership Certificates,DOC);而文献[82]解决这一类攻击是通过要求匹配的参与方向审计方(Auditorial Agent)证实数据的合法性,并在协议结束之后,它们仍将承担证实被验证过数据的合法性的责任。但是这两个方案对通信的双方都要求更多的工作(后者甚至要求在验证的过程中需要一个可信赖第三方),并且在将协议推广到多方情况的时候,中间计算结果很有可能被泄露出去。事实上这些协议只是在某些场合下是可行的。
隐私匹配问题是更为普通的问题,即它是安全多方计算问题的一[83]个特殊情况。安全多方计算问题最早是由A.Yao于1982年提出的,[84]即著名的百万富翁问题:两个百万富翁想比较一下谁更富有,但是既不想暴露自己的确切金钱数,也不想让任何第三方知道;实际上这是两个整数比较大小的多方安全计算问题。之后,为了形式化定义安全,O.Goldreich在文献[85]给出了理想模型(Ideal Model)和仿真模型(Real Model)的概念。在理想模型里面通常有一个可信赖的第三方存在,n方参与者将各自所拥有的信息输出给这个可信赖第三方,可信赖第三方计算它们输入信息的函数值并将结果返回给每个参与者。对于任意一方,返回的结果可能是不同的。在理想模型的情况下我们能够获得多方函数计算的最高层次的安全。然而,这样的多方函数计算在实际使用上的代价通常都是极其昂贵的,并且也不实际。而在仿真模型里面则没有可信赖第三方。在仿真模型的基础上,又给出了理想安全模型(Ideal Security Model)。在理想安全模型中也没有可信赖第三方,而绝大多数的多方计算问题都是基于理想安全模型完成的。在对多方计算效率、安全和形式化定义等方面,已经有大量的[86,87,88,89]文献存在。
但是目前多方安全计算的成果仍然只停留在理论研讨的阶段,一般效率低下且代价高昂,远远没有达到实用化的程度。O.Goldreich在文献[85]中提到从理论上讲,一般的多方计算问题都是可解决的;也提到了当从一般结果得到的解决方法应用到多方计算的特殊情况时,却变得很不实际。出于效率的考虑,特殊情况必须有其特定的解决方案。正是出于这样的动机,研究人员开始在一些特殊的多方计算[90,91,92,93]问题给出特殊的解决方案,其中就有对私有信息检索(Private Information Retrieval,PIR)的研究。私有信息检索机制允许用户检索n位比特数据库的第i个比特信息,而不泄露给数据库所有者i的具体值。上面的这些方案都能做到保证用户的隐私,但不关注[94]于数据库的隐私。对称私有信息检索 (Symmetrically Private Information Retrieval,SPIR)是PIR的一个扩展,它同时考虑了数据库的隐私。在每次SPIR协议的调用之后,用户都只能获悉n位比特数据库的单一比特信息,而对其他位的信息一无所知。由于PIR协议关注于强的信息论安全范围,因此有效的处理方案难于获得。1.4 无线Mesh网络节点间密钥建立方案的研究背景和现状
随着技术的发展和人们生产生活的需要,无线Mesh网络作为重要的无线网络技术之一,越来越多地引起工业界和学术界的重视。在无线Mesh网络中,存在着两种节点,即Mesh路由器和Mesh客户端。Mesh路由器构成Mesh网络的主干网络,一般情况下,其除了具有网关/中继器的功能外,还配备额外的路由功能、访问控制技术等来更好地完成Mesh网络的各项任务。与之相比,Mesh客户端虽然也具有一些必要的功能,如也可以作为一个路由器,但不具有网关或网桥功能。并且,通常情况下,Mesh 客户端是一些能力有限的设备(一般地,它们只配备有限的电池能量和存储空间,其通信能力、计算能力受到限制),如 PC、PDA、RFID 读卡器等。在一些应用中,不同种类的Mesh 客户端之间需要进行信息的传递,并且通过Mesh路由器连[95]接到Internet中。
同其他类型无线网络相似,由于Mesh网络无线通信的特点,其极易受到各种恶意的攻击。如何保障节点间传输的信息安全就成为一个亟待解决的问题。科研人员也提出多种安全协议来抵抗这些攻击,[96-99][100,101][102-109]如定位技术、入侵检测技术、安全路由技术、[110-112][113-139]安全认证技术及密钥管理技术。文献[140]对近些年网络安全及优化方面的一些技术做了比较全面的归纳和总结。作为其他安全技术的基础,密钥管理技术被广泛而深入地研究。下面我们介绍一些经典的密钥管理方案及密钥管理方案中的一些性能评价指标。[130,
密钥管理包括密钥的产生、分配、更新、撤销等各个方面133,134]。按照加密密钥、解密密钥是否相同进行分类,密钥管理方案可以被分为两类,即基于非对称密钥系统(公钥系统)的密钥管理[98,129]方案和基于对称密钥系统的密钥管理方案。在非对称密钥系统中,加密的密钥(常被称为公钥)和解密的密钥(常被称为私钥)是不相同的;与之相对应,对称密钥系统中加密和解密的密钥是相同的。与对称密钥系统相比,非对称密钥系统的应用需要付出较多的通信代价、计算代价。考虑到Mesh 客户端的资源受限,本书主要研究在对称密钥系统中,能力受限的Mesh客户端间对密钥的建立问题。在基于对称密钥体系的密钥管理问题中,密钥预分配方案(Key Pre-[115,116,119,121,124-126,distribution Scheme)被广泛而深入地研究128,137-139,141]。总体上来说,密钥预分配方案可以被归纳为以下过程:节点部署前,在密钥预分配阶段,系统服务器为每个能量受限的节点预存储一定数量的秘密信息;节点部署后,节点广播一些公开的信息;在会话密钥建立阶段,邻居节点利用预存储的秘密信息协商得到会话密钥。
在对称密钥系统中,我们认为对密钥是与组密钥(或者群密钥)相对应的。它们的主要区别是:对于一个特定的密钥,其使用者的个数不同。组密钥(或者群密钥)强调的是多个用户共享一个相同的密钥,组成员(或群成员)可以利用这个密钥进行组(或群)通信;而对密钥强调的是任意两对成员所拥有的密钥是不相同的。与对密钥相比,拥有组密钥(或者群密钥)的成员间可以节能、高效地进行“一对多”、“多对一”及“多对多”的通信。然而任一组成员(或者群成员)被捕获,其对应的组密钥(或者群密钥)都需要及时更新,即组密钥(或者群密钥)往往需要更频繁的密钥更新。我们主要的工作是节点间对密钥的建立。
Eschenauer和Gligor在文献[115]中首次提出一个密钥预分配方案。该方案包括三个阶段,即密钥预分配阶段、共享密钥发现阶段和路径密钥建立阶段。在此基础之上,Chan等人提出了q-Composite随[116][116]机密钥预分配方案。方案中,只有当邻居节点间共享密钥的个数不少于q时才能建立会话密钥。Blom提出利用矩阵建立对密钥的[117]预分配方案。Du等人在方案[118]中改进了Blom的方案。此外,Parakh等人在文献[132]中通过设计得到两个可交换的矩阵来实现对密钥的建立。文献[142]将矩阵分解为上三角矩阵和下三角矩阵来实现对密钥的建立。人们认为在一些实际应用中,普通节点有获得位置信息的需要。此外,Du等人在方案[119]中考虑到利用飞机布撒传感器节点的实例。节点部署完成后,普通节点根据一些诸如GPS等定位[121]技术获得的位置信息通常被称为部署后信息。多项式被广泛地用来为节点间建立会话密钥。其中Chan等人在2004年也提出一个Ad-[143]Hoc网络中基于多项式的密钥管理方案。我们在之前的工作中也[144]提出过无线传感器网络中一种安全高效的共享密钥发现协议。在文献[144]中,我们将秘密同态和布隆过滤器应用到密钥管理方案中来实现节点间共享密钥的发现。
一个密钥预分配方案的提出往往需要在多种性能指标间做一个平衡。在设计一个密钥建立方案时,需要综合考虑以下一些性能指标。(1)本地连通度(Local Connectivity):邻居节点间建立会话密钥的可能性的大小。在设计密钥建立方案时,应该保证所设计的方案能够使得邻居节点间以一定的概率建立会话密钥,从而保证整个网络的连通。(2)抗毁性(Resilience):当攻击者捕获部分节点并获得这些节点存储的秘密信息后,其他未被捕获的节点间通信的安全性。设计者总是希望所设计的方案具有强的抗毁性,即希望一定数量的节点被捕获不会影响其他未被捕获节点间通信的安全性。(3)通信复杂度(Communication Complexity):对于能量受限的节点,设计者尤其应该减少这类节点在建立密钥时的通信代价。(4)存储复杂度(Storage Complexity):在预分配方案中,存储复杂度是指节点在预分配阶段需要预存储的秘密信息的多少。设计者总是希望所设计的方案的存储代价越小越好。(5)计算复杂度(Computation Complexity):在一些方案中,当节点间建立密钥时往往需要进行一些运算。计算复杂度即是指建立密钥时所需要的计算量。
除此之外,设计方案时还需要考虑诸如可扩展性、网络动态变化等性能指标。1.5 无线射频认证系统1.5.1 无线射频认证系统基本概念
无线射频认证(RFID)系统是一种普遍应用于各种实际应用环境中的技术,通过这种技术可以认证对象或物体,而无须物理或视觉接触。一个无线射频认证系统由标签(若干个)、阅读器(若干个)和后台服务器三部分组成。标签实际上就是一个带有微电路天线的对象或物体,阅读器实际上就是可以远程访问标签的电子设备。图1-1就是一个典型的无线射频认证系统。通常情况下,我们假定阅读器和后台服务器之间的通信信道是安全的,然而阅读器和标签之间的通信信道是无线的,即不安全的。图1-1 典型无线射频认证系统结构
通常的观念认为无线射频认证系统仅仅是一个可以反向散射一个独特的认证信息的异频雷达收发机,它一般被应用于供应链、图书馆和宠物识别。然而一个无线射频认证系统除了可以简单地反向散射一个独特的认证信息外,实际上还能够做得更多,并且很难定义无线射频认证系统和其他已经成熟并普遍使用的技术之间的差别。
正是因为阅读一个无线射频认证标签不需要直接接触的事实,所以这项技术才被应用于所有的传统智能卡不能应用的领域,如宠物识别、电子护照、滑雪电梯等。由于无线射频认证系统可以加速顾客的流动速度,所以这项技术给访问控制应用增添了很多优势。最典型的就是公共交通运输,这种应用需要扩展性良好的认证协议,特别是当有标签注册到系统中的时候。
然而,无线射频认证技术已经存在了几十年。正是当前这种技术的广泛传播使得它的隐私成为一个令每个人都关心的问题。官方已经意识到该种隐私问题并且做出了相应的应对措施。例如,对于无线射频认证的推荐标SEC(2009)585/586,欧洲委员会声明:“由于无线射频认证系统具有普遍存在和实际不可见的两个特性,因此在无线射频认证系统的实施过程中很需要对隐私和数据保护特别关注。所以,隐私和信息的安全特性应该在无线射频认证系统应用广泛使用之前就要提前内建在其中(安全和隐私设计原则)。”北美也提出了类似的建议。假如设计了可以抵抗敌手并确保隐私的认证或识别协议,那么可以算是部分满足了这样的建议。对于隐私问题,一种通用的定义就是区分信息泄露,信息泄露的范畴主要包括从标签端或后台服务器端暴露的一些个人资料到对标签及其拥有者的非法追踪。1.5.2 无线射频认证系统的特点
当无线射频认证的概念在20世纪40年代最先被提出的时候,它只是被用来识别物体,如军事应用中的盟军飞机等。所谓的积极有源标签需要电源,它可以探测比较大的范围并且携带少量的数据,如某一常数。随着技术与现代硅晶片制造业的革新,芯片的尺寸可以小到20.0225mm并且厚度只有7.5μm,这种材料工艺制成的芯片的能耗很低。这种技术使得无源标签成为可能。无源标签就是完全从阅读器产生的无线射频领域中获得操作能量的标签。与此同时,现在已经有可能将更大的存储器甚至和带有并行密码处理器的微控制器嵌入到标签的芯片中。因此,实现无接触的、基于密码的智能卡片以及将它们作为信用卡或是数字护照的应用正在成为可能,而且无线射频认证有可能成为一种普遍的技术。
无线射频认证技术允许用不同的标准实现,具体方法在无线射频认证手册中有详细的描述,它们主要工作在低频的135MHz到甚高频的5.8GHz频率范围内。密码相关的应用工作大部分都在13.56MHz的高频段,这里将只作简短的介绍。表1-1显示了考虑操作频率情况下的各种标准的比较,同时还包括相似操作频率范围和最大数据率因素。
与智能卡片紧密结合的标准是ISO 10536,这个标准成熟于1992—1995年并且从来没有在市场中获得过成功,这其中主要的原因是高昂的制造费用及相对于可接触的卡片没有太多的优势。
基于间接耦合的ISO 14443标准经常用来解决访问控制和票务问题。正如ISO 15693标准所描述,临近卡片相对于耦合卡片可以被更远距离的阅读器以较低数据速率访问。加之由于低数据率和有效操作范围指定的低磁场强度极有可能使最先进的密码技术不能实现的原因,所以服从ISO 15693标准的标签的能量消耗还需要进一步减少。表1-1中给出的最大操作范围仅在使用 ISO 15693 标准的标签时才能够获得,然而此时的数据率只有1.65KB/s。
近距通信技术标准主要由飞利浦公司和索尼公司推动发展,这种标准和 ISO 1443 标准可以兼容。这种技术也被用于设备间的近距通信应用。表1-1 非接触式智能卡片标准的比较1.5.3 无线射频认证系统的应用
无线射频认证技术具有诸多优点,如应用短距离无线射频识别的产品具有不怕油渍、灰尘污染等恶劣环境的优势,因此可在这种特殊的环境中用无线射频认证标签代替条形码标签,再比如在生产车间的流水线上追踪物体。另外,对于长距离无线射频识别的产品多用于交通运输业,利用此技术后它的识别距离可达几十米,如车辆身份识别和自动收费等。
1.国防与军事领域
在军队的后勤补给过程中使用无线射频认证技术,通过这种技术可以提供完全可视化的后勤物资管理和运输路径管理。当后勤物资通过运输路径的每个节点时,固定的阅读器可以访问内嵌在物资上的信息,这样管理人员就可以很方便地从无线射频标签中自动获取有效信息。总的来说,这项技术可以让后勤工作人员实时获取精准的关于后勤物资的信息,并且根据这些信息高效地管理、追踪及定位后勤战略物资在供应链中的移动情况。
2.零售业领域
在零售业中,无线射频认证技术的运用使得数以万计的商品种类、价格、货架、库存、产地、批次、销售等各环节被管理得井然有序。2003 年 6 月,世界最大的商品零售商沃尔玛在一次商品零售交易展会上宣布要求它的最大的供应商们必须在2004年实现他们的所有商品内嵌无线射频认证标签,其他的小供应商可以晚一些,最迟也要在2006年全部实现。这一驱动极大地推动了无线射频认证技术的研究与应用。
3.交通运输业领域
通过采用无线射频认证技术,各种车辆都可以被自动识别,这一措施使得道路、桥梁、停车场等收费场所不会再有车辆排队等待收费的现象,这样既减少了时间的浪费,又大大提高了交通运输效率及交通运输设施的通行能力。在粉尘、污染、寒冷、炎热等恶劣环境中,远距离射频识别技术的应用使得卡车司机不必下车办理手续,可以直
试读结束[说明:试读内容隐藏了图片]