基于DAA的移动Ad,Hoc网络匿名认证方案

摘要：随着移动Ad hoc网络(MANET)技术的发展，安全问题受到越来越多的关注。认证服务是MANET安全的基础。近年来，研究人员提出了各种MANET的认证方案，但对于开放环境下MANET的匿名性要求考虑较少。本文基于可信计算技术中的直接匿名证明协议（DAA）[1]，提出了一种适合于MANET环境的匿名认证方案，在解决MANET无中心认证问题的同时，实现了节点身份的匿名性，增加了签名的可追踪性，并对节点的访问权限进行了划分，能够满足更多应用场合的要求。

关键词：认证；ad hoc；权限划分；匿名；安全

中图分类号：TP393文献标识码：A文章编号：1009-3044(2011)01-0039-03

An Anonymous Authentication Scheme for Mobile Ad Hoc Networks Based on DAA

YUE Kang1, ZHANG Tao1, SUO Yan1, MAO Wei-xing2

(1.Institute of Command Automation, PLA University of Science and Technology, Nanjing 210007, China; 2.PLA 73681 Army,Nanjing 210012, China)

Abstract: With the development of mobile ad hoc network (MANET), security problems have aroused more and more attention. Authentication is the basic of security of MANET. In recent years, researchers have presented many MANET authentication schemes, but all of which paid little attention to anonymity. This paper presents an anonymous authentication scheme for MANET based on direct anonymous attestation protocol (DAA) in trust computing technology，which not only solved the authentication problems brought by the lack of fixed infrastructure, but also achieved the goal of anonymity. The scheme adds the property of signature traceability, and classifies access privileges of nodes, which can satisfy the needs of more applications.

Key words: authentication; ad hoc; privilege classification; anonymity; security

移动Ad hoc 网络(MANET) 是一种自创建、自组织、自管理的网络，网络中的节点不仅要具备普通移动终端的功能，还要具有报文转发能力，即要具备路由器的功能。MANET最早用于军事上的战术互联网，但随着技术的发展，MANET也越来越多地运用于民用领域。由于其不需要固定的基础设施和集中式管理，在灾难情况（如地震、爆炸等）、电子会议等需要临时快速配置网络的场景中有着巨大的应用前景。与传统网络相比，MANET有着不同的特性，也面临着新的安全威胁：1) 无线信道的无向性质以及对空开放，使其很容易被截获和干扰；2) 节点易受到攻击被俘获，这意味着网络中的节点都是不可信的；3) 节点的移动性使网络拓扑随时可能发生变化，从而使网络管理变得困难；4) 缺乏固定的基础设施（如缺乏服务器、CA 机构等），使传统的认证、加密等安全措施不能直接使用。

随着MANET技术的发展，安全问题已成为热点研究领域。而在所有安全措施中，认证是安全的基础。因为内部节点攻击的破坏可能危及整个网络系统安全，并且防范比较困难，认证服务是拒绝恶意节点访问网络的根本途径。

不管是对于军事应用还是其他应用，保证信息安全都是至关重要的。而对于越来越广泛的MANET应用，有时需要对网络中节点的权限进行细致地划分，以决定节点所能获得的服务。本文提出的分级认证方案够很好地解决此问题，在认证中根据对方的身份级别来提供相应的服务。例如在军事战术互联网中，根据节点的身份来区分其所能访问的数据库级别。在民用领域，节点的权限划分同样重要，如区分网络中用户的级别，划分普通用户和VIP用户等，以区分其所能获得网络资源的权限。

匿名性在很多应用中不但能够保护用户隐私信息，而且是安全方案中重要的组成部分，特别是在战术互联网的应用中，不但要求攻击者不能窃听到通讯的内容(机密性)，不能中断通讯(有效性和完整性)，还要求通信双方的身份和位置信息对攻击者是匿名的。否则，攻击者可能推算出有关位置、移动或者通信模式等重要信息，从而发起物理上的攻击[2]。同时，通过匿名性也可以加强对网络中重要节点的保护，如骨干节点等[8]。

1 相关工作

近年来，研究者提出了各种MANET的认证方案，主要解决MANET无固定基础设施带来的认证问题，主要有分布式CA、基于信任链的认证以及基于簇的认证等方法。

分布式CA的方案最早由Zhou和Haas提出[3]，采用门限密码机制（n, k），把CA的功能分散到选定的n个节点上，每个CA节点持有一个部分CA密钥。一个新节点要获取证书，必须向其中任意k个CA节点请求，每个CA节点给其签名后生成部分签名证书，最后由这些部分签名证书合并成完整的签名证书。Luo等对此分布式方案进行了改进[4-5]，把CA的功能分散到网络中的所有节点上，每个节点都持有部分私钥，任意k个节点合作可以完成CA的功能，这样提高了系统的可用性。此方案适合于节点密度较高、范围较广的社区Ad Hoc网络，当节点数目较少时，认证将变得困难，另外方案对于初始信任的建立没有给出很好的方法。

基于信任链认证的思想是信任的可传递性。Capkun在[6]中提出了一种基于信任链的认证方案，每个节点都需要维护两个证书库，一个存储它向其他节点颁发的证书，另一个存储其他节点向它颁发的证书。当节点相互认证时，将这两个证书库合并，看是否能找到一条信任路径。但在在网络建立初期，所有节点之间都没有建立信任关系时，节点内并不存在证书库，这时节点的相互认证就无法进行。

基于簇的认证是根据地理位置把网络划分为多个小的局域网，称之为簇，每个簇中选取一个头节点（cluster header）负责管理。很多基于簇的方案也并用其他认证的方法，如Bechler在文献[7]中提出，将CA的功能分散到每个簇的头节点上，采用分布式CA的方法对新节点进行认证和签发证书。基于簇的认证方案比较适合大型MANET，但对于簇头节点性能要求较高，也容易造成簇头节点周围网络的局部拥塞。同时，MANET中的节点随时都可能离开网络，当簇头节点离开时，重新选取簇头节点的过程比较复杂，耗费较高。

另外，还有基于身份的认证、kerberos辅助认证[11]以及基于位置受限的认证等方法。现有的MANET研究对于网络匿名性的考虑较少[12]，通过在认证方案中加入匿名机制，能够很好地满足这一要求。

2 基于DAA的匿名认证方案

2.1 直接匿名证明协议介绍（DAA）

直接匿名证明协议（DAA）[1]由Brickell等人于2004年提出，用于解决可信计算技术中远程证明的问题。

DAA是基于Camenisch-Lysyanskaya(CL)签名方案[9]，采用了离散对数的零知识证明的方法。DAA协议的过程如图所示，其中包括三个参与方，分别为证明方（Prover）、验证方（Verifier）和DAA颁发者（DAA Issuer），协议由三部分组成：

DAA-Join协议：证明方产生秘密信息f0和f1，通过零知识证明的方法向DAA颁发者申请证书，DAA颁发者用私钥签名生成证书发送给证明方；

DAA-Sign 协议：证明方通过秘密信息f0和f1和证书对自己产生的公钥AIKi进行签名，发送给验证方；

DAA-Verify协议：验证方对签名进行验证。

2.2 方案描述

2.2.1 基本思想

本方案是对DAA协议的拓展性应用，使其适用于MANET环境。DAA协议采用群签名的算法，但在设计时去除了群签名可追踪的特性，也就是任何节点或者群管理员都无法知道签名者是谁，这在MANET应用中存在问题，当网络中出现纠纷，或者发现恶意行为时，必须能够追踪到签名者身份。本方案中，节点向管理员申请证书时，管理员给每个节点生成一个唯一的ID,并将此ID加入到颁发的证书中，必要时可以通过管理员追踪到签名者身份。

方案中在节点证书中加入L参数，用以标识节点证书的权限，通过L参数验证方判断请求方是否具有某些访问权限，比如给低等级权限节点只提供报文转发的服务，而具有更高权限的节点，则可访问更高等级的数据，这非常适用于分层Ad Hoc网络。

2.2.2 网络初始化

在DAA协议中，对于公钥的产生和各个参数的要求有非常详细的描述，本方案中管理员M采用同样的方法产生群公钥(n,g",g,h,S,Z,R0,R1,R2,R3,γ,Г,ρ)，管理员M私钥为p，q，在网络初始化阶段，管理员把群公钥发给每个节点。

在网络初始化阶段，节点和管理员通过离线的安全可靠的方式建立初始信任。每个节点自己产生秘密信息f，计算U=R0fSv" mod n，并把U的值和自己的身份信息交给群管理员M，从而完成身份的注册，管理员给用户生成一个ID，，其中Info为部分用户信息（如节点申请的用户名等），b为随机数。管理员M将用户的身份信息和ID绑定，加入到可信列表中。然后管理员给用户颁发证书，过程如下：

1) 管理员M根据用户的身份产成L和T两个参数：

L：表示用户的权限级别；

T：表示证书的有效时间，且L,T∈{0,1}lf。

2) 管理员M随机选择和，并计算，用户得到证书(ID,A,e,v,L,T)。

2.2.3 签名与验证

1) 证明方产生一个随机数a∈R<γ>，计算E=aID mod Г，将a和E同时发送给验证方。

2) 证明方随机选择，计算T1=Ahw mod n，。

3) 进行知识签名：

具体证明过程如下：

证明方随机选择整数

计算

证明方随机选择整数，计算

最后得到签名：

证明方将签名σ以及被签名的信息 发送给验证方，这里m为证明方的公钥，证明方自己产生公私钥对(PKi,Ski)。

4) 验证操作

验证方收到证明方的签名σ以及被签名的信息m后，首先验证参数L和T，通过L的值判断此节点是否具有足够的权限访问网络；通过T的值判断此证书是否过期。如果这两项条件之一不满足，则验证方拒绝此次请求。如果满足此两条，则继续以下验证：

验证方计算

验证

最后，验证方查看恶意列表，对于列表中的所有ID值，计算，如果

等式成立说明用户的ID在恶意里表中，验证者拒绝请求。反之，则完成此次验证，证明方通过了身份认证，并同时证明了其公钥信息 的真实性，通过此公钥验证方可以安全地给证明方传递会话密钥，建立安全的通信连接。

2.2.4 追踪签名者

方案中 的作用是为了实现签名的可追踪性，但只有管理员能够查找出签名者是谁。当网络中发生纠纷或者检测到恶意行为时，可以求助于管理员对签名者进行追踪，将节点在签名过程中的a和E发送给管理员，管理员通过对列表中所有ID,计算E?=aID mod Г，找出签名者。

3 方案分析

3.1 安全性分析

在网络初始化阶段，节点通过离线的方式向管理员注册并申请证书，通过这种方式建立初始信任可靠性最高。同时节点的签名具有可追踪性，节点在检测到恶意行为，通过求助于管理员可以追踪出签名者的身份，这样可以更好地规范网络中节点的行为。

节点自己生成密钥f，只把U发送给管理员M，管理员M虽然知道节点的ID，但并不知道节点的密钥f，所以管理员M并不能进行伪造签名。证明方在请求验证时，必须向验证方发送E的值，也就是用自身的ID对随机数a的一个签名，因为在证书中A的值里包含有节点ID的信息，所以节点如果使用假的ID计算E，在验证过程中就无法通过。

在签名过程中采用了零知识证明的方法，文献[1]已经证明了其在DDH和强RSA假设下的安全性，这里不予赘述。

3.2 匿名性分析

方案中采用零知识证明的方法进行身份的认证，实现了节点身份的匿名性。证明方每次认证中，产生一个随机数a，计算E=aID mod Г，将a和E发送给验证方，验证方不能计算出节点的ID。同时由于节点每次产生a不同，所以E也不同，从而不能通过两次认证过程对节点的身份进行关联。

节点自己产生公私钥对(PKi,SKi)，在每次认证过程中，发给证明方的公钥（也就是第三节中的信息 ）可以不同，通过管理员颁发的证书对其进行签名，证明其合法性。节点通过经常变换其公钥实现假名机制，从而不能通过节点的公钥对其行为进行跟踪，达到了隐私保护的目的。同时节点经常变换自己的公私钥对，也提高了密钥的安全性。

4 结束语

随着无线网络技术的发展，MANET以其灵活快捷的组网方式将得到更广泛地应用。同时，各种应用对于网络安全有了新的要求，特别是对用户身份信息的隐私保护，以及用户权限的划分等问题，将成为MANET网络安全研究关注的重点。本文基于可信计算技术中的直接匿名证明协议（DAA），提出了一种适合于MANET网络特点的匿名认证方案，在实现节点身份匿名性的同时，增加了签名的可追踪性，从而在网络中发生纠纷或者检测出恶意节点时，管理员能够找出签名者。同时，在证书中加入了权限参数，实现了对网络中节点的访问权限的划分，能够满足更多应用场合的要求。

参考文献：

[1] Brickell E, Camenisch J, Chen L, Direct anonymous attestation[C] ,Proceedings of the 11th ACM on Computer and Communications Security. Washington, DC, USA, 2004:132-145.

[2] 陈晶,崔国华.一种ad hoc网络中的安全匿名按需路由协议[J].计算机学报,2006,29(9):1648-1655.

[3] Zhou L, Haas Z J. Securing Ad Hoc Networks[C]. IEEE Networks, 13(6):24–30, 1999.

[4] Kong J, Zerfos P, Luo H, et al. Providing robust and ubiquitous security support for mobile ad-hoc networks[C].In Proceedings of the 9th International Conference on Network Protocols (ICNP "01),2001:251-260.

[5] Luo H, Zefros P, Kong J, et al. Self-securing ad hoc wireless networks[C].In Proceedings of the Seventh IEEE Symposium on Computers and Communications (ISCC"02), 2002.

[6] Capkun S, Hubaux J P, Buttyan L. Self-organized Public-key Management for Mobile Ad Hoc Networks [J]. IEEE Transactions on Mobile Computing, 2003, 2(1): 52-64.

[7] Bechler M, Hof H J, Kraft D, et al. A Cluster-Based Security Architecture for Ad Hoc Networks[C]. IEEE, INFOCOM 2004.

[8] Rachedi A, Benslimance A. Security and Pseudo-Anonymity with a Cluster-based approach for MANET[C]. GLOBECOM 2008.

[9] Camenisch J, Lysyanskaya A. A signature scheme with efficient protocols[C]//Proceedings of the SCN 2002. LNCS 2576. Springer Verlag, 2003: 268-289.

[10] TCG TPM Specification Version1.2 Revision85 [EB/OL] [2005206220]. https://.cn/qkpdf/dnjl/dnjl201101/dnjl20110117-2.pdf" style="color:red" target="_blank">原版全文