基于身份认证的Ad Hoc密钥协商方案

施荣华，樊翔宇

(中南大学 信息科学与工程学院，湖南 长沙，410083)

摘  要：为了在Ad Hoc网络中建立安全可靠的会话密钥，提出一种新的适合于Ad Hoc网络的基于身份认证和门限机制的会话密钥协商方案。首先，提出基于身份的双向认证方案，在保证系统私钥安全的前提下，将系统私钥与哈希函数结合，既保证了节点身份的真实性，又避免了采用公钥证书引起的复杂管理问题，同时，该方案具有前向保密性与抗中间人攻击的性能；其次，采用门限机制，通过更新密钥份额来加强系统私钥的安全性避免了Ad Hoc网络的单点失效问题；最后，从正确性、安全性和性能3方面进行分析与研究。研究结果表明：该方案较节约网络资源，具有较高的安全性与可靠性。

关键词：Ad Hoc网络；密钥协商；基于身份的双向认证；门限方案

中图分类号：TP309          文献标志码：A         文章编号：1672-7207(2010)06-2236-04

Session key agreement scheme for Ad Hoc network based on identity authentication

SHI Rong-hua, FAN Xiang-yu

(School of Information Science and Engineering, Central South University, Changsha 410083, China)

Abstract: To build a safe and credible session key, a new session key agreement scheme based on identity authentication and combined with enter restriction scheme was proposed. Firstly, the improved alternation identity-based authentication that combines with system private key and hash function was proposed for the safety of system private key. It guarantees node to communicate with the right one and avoids complicated management problem that may be caused by public key certificate. At the same time, the scheme has forward secrecy and anti-attack performance of intermediaries. Secondly, enter restriction scheme, which updates key share to strengthen the security of private key, and avoids single node’s invalidation in Ad Hoc network. Finally, the correctness, security and performance were analyzed. The result shows that the scheme saves network resources and has high security and reliability.

Key words: Ad Hoc network; key agreement; mutual identity-based authentication; threshold scheme

Ad Hoc网络是一种不依赖于任何固定基础设施、没有中心控制节点、计算资源受限的新型无线移动网络^[1-2]。由于其支持节点间的多跳通信，并且采用无中心的分布式控制方式，因此，在Ad Hoc网络上成功地建立会话密钥成为需一个亟待解决的问题。移动节点间的会话密钥产生需要考虑以下的安全问题^[3-6]：

(1) 必须实现双向的身份认证^[7]。由于移动Ad Hoc网络是没有中心机构的特殊网络，与传统的移动通信系统相比有较大不同，网络中每个节点地位相等。因此，需要认证彼此双方的身份。节点之间必须验证彼此身份的有效性之后才能协商会话密钥，这是安全通信最基本的安全需求。

(2) 双方协商会话密钥。由于Ad Hoc网络的特殊性，一方产生会话密钥，再传递给另一方的方案已不再适合，双方共同协商会话密钥能消除单方指定的密钥传递过程中的安全隐患。

(3) 一次一密原则。由于Ad Hoc网络节点本身的物理安全性也无法得到保证，旧密钥的泄露容易引发重放攻击，所以，需要保证每次协商的会话密钥不同。

(4) 具备前向安全性。要保证即使参与者的基本密钥泄露，也不会对其之前协商的密钥造成威胁。

(5) 抵抗中间人攻击。由于Ad Hoc网络节点物理位置具有不定性，通常需要通过多个中间节点来与目的节点通信，所以，一旦有恶意的中间节点存在，就能够篡改信息，造成损失。

目前，很多研究者对Ad Hoc网络上的会话密钥的建立进行了研究^[8-11]。王化群等^[12]提出了基于环Zn上椭圆曲线和RSA的密钥管理方案，方案没有考虑到会话密钥一次一密原则。Katz等^[13]提出用口令实现密钥协商的方案，但没有考虑到交互性，即上面提到的双方共同协商会话密钥。王化群等^[14]提出一种基于口令认证的移动Ad Hoc网络密钥协商方案，但计算复杂度较高，不适合Ad Hoc网络资源受限的特点。本文作者提出一种新的基于身份的会话密钥协商方案，采用通信节点的身份标志ID(节点的名字或者网络IP地址等)，具有唯一性。它具有基于ID的密码学优点，避免了传统公钥带来的公钥验证等问题，实现双向身份认证，遵守了一次一密原则，较好地解决了上面文献所提到的问题。

1  基础知识

1.1  椭圆曲线上的离散对数问题

在椭圆曲线构成的Abel群E_p(a, b)上，考虑方程Q=kP，其中, k＜p，则由k和P易求Q，但由P和Q求k则较困难^[4]。

1.2  双线性映射

设q是大素数，G₁和G₂是2个阶为q的群，其上的运算分别称为加法和乘法。G₁到G₂的双线性映射，满足下面的性质^[4]：

(1) 双线性。如果对任意和，有或和，那么，就称该映射为双线性映射。

(2) 非退化性。映射不把中的所有元素对(即偶序)映射到G₂中的单位元。由于G₁和G₂都是阶为素数的群，即如果P是G₁的生成元，那么，e(P, P)就是G₂的生成元。

(3) 可计算性。对任意的，存在一个有效算法e(P, Q)。

2  新的会话密钥协商方案

通过对Ad Hoc网络特点及安全性分析，针对Sun等^[7]的认证方案进行改进，提出一种新的基于身份ID的会话密钥协商方案。

2.1  网络初始化

由离线的可信第三方生成系统参数，包括2个q阶的群G₁和G₂，P是G₁的生成元，G₁到G₂的双线性映射。可信第三方选取系统私钥，对应的公钥为。和为2个单向哈希函数。是1个带密钥的钥控单向哈希函数。节点i的公钥为，私钥为。

2.2  节点身份认证

假设节点i与节点j协商会话密钥，过程如下。

(1) 节点i执行步骤：

步骤1  选取随机数x_i，计算 ；

步骤2  计算X_i=x_iP，t=x_iP_pub-S_i，N=H_k(X_i||σ)；

步骤3  将消息(X_i, t, N)发送给节点j。节点j收到消息后，计算，然后，判断是否成立，若成立，则接受消息，否则拒绝。

(2) 节点j执行步骤：

步骤1  选取随机数x_j，计算 ；

步骤2  计算X_j=x_jP，t=x_jP_pub-S_j，N=H_k(X_j||σ)；

步骤3  将消息(X_j, t, N)发送给节点i。节点i收到消息后，计算 ，然后，判断是否成立，若成立，则接受消息，否则拒绝。

2.3  会话密钥生成

在节点互相认证并接受来自对方的消息后，通过以下方式得到会话密钥：对节点i，计算；对节点j，计算。得到会话密钥为。

2.4  系统私钥份额更新

考虑到Ad Hoc网络的特殊性，网络随节点的移动不断分割和合并，难于定位，离线第三方的存在使得通信网络存在单点失效问题。所以，本方案使用离线第三方作用于初始化阶段，再将产生的系统密钥份额分发给n个节点，采用(n，k)门限方案。由于攻击者只要攻陷k个掌握密钥份额的节点就可以攻陷整个系统，所以，在系统私钥不变的情况下，系统需要定时更新密钥份额，使得攻击者攻陷的密钥份额失去作用，从而确保系统私钥的安全。

这里称掌握系统密钥份额的节点为服务节点。密钥份额更新方法为：每个服务节点随机产生常数项为0的(n，k)门限多项式，称做子密钥份额。然后，通过安全信道把该值送给服务节点中的。服务节点中的收到后，计算新的密钥份额：

。

3  正确性与安全性分析

3.1  正确性分析

节点身份认证过程中，恒有

证明：

由此可得：

同理可证：。

3.2  安全性分析

3.2.1  抗中间人攻击

本方案中的认证过程是对孙纪敏等^[7]的研究进行改进。在孙纪敏等^[7]的研究中，如果有攻击者假冒合法节点，在相互认证节点私钥已经泄露的情况下，认证过程不能检查出假冒者。本方案在中，使用了系统私钥，因为系统私钥是安全的，假冒者不能得到它，所以假冒者不能通过认证。并且该方案具有前向保密性，即使节点私钥泄露，也不会影响到之前协商的密钥。

即使中间节点窃取了和，在不知道随机数x_i和x_j的情况下，要计算也是不可行的。

3.2.2  抗重放攻击

在已有的许多安全方案中，人们常使用时间戳来防止重放攻击。在某些网络环境下，保持这样的同步时钟并不困难，但在Ad Hoc网络环境中就相对难以实现。杨波等^[4]提出的会话密钥方案就存在着难以实现时间同步的问题。为了不给网络及其节点造成更大的压力，在本方案中采用随机数。每次认证所需的随机数都是由参与认证的对方随机产生，即使攻击者截获了原来的信息，也无法实施重放攻击。

3.2.3  防止由通信一方产生会话密钥而产生的安全 隐患

在单方产生会话密钥再传递给另一方的过程中，有可能会被第三方恶意节点截取，密钥安全难以得到保证。本方案中通信双方通过身份认证后，各自产生会话密钥，消除了安全隐患。即使单方产生的密钥传递给另一方的过程是绝对安全的，由于需要一个安全信道来传送密钥，会增加系统开销，浪费资源。本方案极大的节省了网络带宽与存储空间。

3.2.4  基于椭圆曲线离散对数问题的困难性

本方案中，尽管节点的临时公钥信息X_i和X_j是明文传送的，但是要从和计算出节点的临时私钥x_i和x_j，在计算上是不可行的。这将面临上面提到的椭圆曲线离散对数问题。

4  性能分析

本方案提出的基于身份的Ad Hoc网络会话密钥协商协议结合了适合于Ad Hoc网络的系统私钥分配与更新技术和基于ID的会话密钥协商方案，既避免了Ad Hoc网络的单点失效问题，又避免了采用传统公钥证书引起的复杂管理问题。节点的公钥是由身份信息经哈希运算生成的，节点不需要再存储管理公钥证书，大大减轻了节点的负担。在节点相互认证的过程中也不需要进行证书的传递和验证，只需要知道各节点的身份信息和一些系统参数，减少了整个网络的负荷。而椭圆曲线双线性对的使用也加强了密钥协商方案的安全性。

同时，在孙纪敏等^[7]的基础上引入了系统私钥，在认证过程中即使节点私钥泄露，被攻击者使用，假冒认证节点也是不能通过认证的。为了保证系统私钥的安全性，引入的门限方案加强了系统的健壮性。

5  总结

(1) 提出了一种新的适合于Ad Hoc网络的会话密钥协商方案。将系统私钥应用于节点双向认证过程，抵抗了中间人攻击，加强了系统的安全性。

(2) 门限方案解决了Ad Hoc网络的单点失效问题，采用节点身份作为公钥，无需第三方介入的身份认证和椭圆曲线双线性对的使用非常适合Ad Hoc网络资源有限、低带宽、动态拓扑的特点。

(3) 实现了基于身份的Ad Hoc网络节点间的安全双向认证，并且成功将门限方案与之结合，具有较高的安全性与可靠性。

参考文献：

[1] 姚静. 一种新的Ad Hoc网络会话密钥建立方案[J]. 军民两用技术与产品, 2005(7): 46-48.
YAO Jing. A novel session key establishment scheme for Ad Hoc networks[J]. Dual Use Technologies & Products, 2005(7): 46-48.

[2] CHEN Rui-li, YUAN Zheng, FANG Yong. A portable session key establishment scheme for Ad Hoc networks[J]. Network Security Technology & Application, 2008(1): 92-93.

[3] ZENG Ping, CHEN Rui-li, CHI Ya-ping, et al. An efficient Identity-based group key agreement protocol[J]. Communications Technology, 2008, 41(4): 70-72, 75.

[4] 杨波, 肖国镇. 现代密码学[J]. 2版. 北京: 清华大学出版社, 2007: 122-126.
YANG Bo, XIAO Guo-zhen. Modern cryptography[M]. 2nd ed. Beijing: Tsinghua University Press, 2007: 122-126.

[5] HU Chun-lai, HU Ming-zeng, ZHANG Hong-li. New group key management framework for mobile ad hoc network based on identity authentication in elliptic curve field[J]. Journal on Communications, 2007, 28(12): 53-59.

[6] LI Guang-song, HAN Wen-bao. A new scheme for key management in Ad Hoc networks[M]. Berlin: Springer-Verlag, 2005: 242-249.

[7] 孙纪敏, 孙玉, 张思东, 等. 基于ID的认证及密钥协商协议[J]. 西安电子科技大学学报, 2008, 35(3): 559-562.
SUN Ji-min, SUN Yu, ZHANG Si-dong, et al. Identity (ID)-based authentication and the key agreement protocol[J]. Journal of Xidian University, 2008, 35(3): 559-562.

[8] XU Jun-jie, ZENG Gui-hua. Threshold authentication scheme of Ad Hoc network based on elliptic curve[J]. Computer Engineering and Applications, 2007, 43(17): 117-118, 122.

[9] 施荣华. 一种基于复合问题的公钥密码系统[J]. 计算机工程与科学, 1998, 20(1): 39-42.
SHI Rong-hua. A public key cryptosystem based on complex problems[J]. Computer Engineering & Science, 1998, 20(1): 39-42.

[10] MAO Wen-bo. Modern cryptography: Theory and practice[M]. Beijing: Publishing House of Electronic Industry, 2004: 134-140.

[11] WANG Guo-jun, CAO Jian-nong, Keith C C. A novel group communication protocol using the ring net hierarchy in mobile internet[J]. International Journal of Parallel, Emergent and Distributed Systems: Taylor & Francis, 2005, 20(4): 253-280.

[12] 王化群, 张力军, 赵君喜. Ad Hoc网络中基于环Zn上椭圆曲线和RSA的密钥管理[J]. 通信学报, 2006, 27(3): 1-6.
WANG Hua-qun, ZHANG Li-jun, ZHAO Jun-xi. Key management based on elliptic curves over the ring Zn and RSA in Ad Hoc networks[J]. Journal on Communications, 2006, 27(3): 1-6.

[13] Katz J, Ostrovsky R, Yung M. Efficient password-authenticated key exchange using human-memorable passwords[C]//Pfitzmann B. Proceeding of the EUROCRYPT 2001, LNCS 2045. Berlin: Springer-Verlag, 2001: 475-494.

[14] WANG Xiao-feng, ZHANG Jing, WANG Shang-ping. A key agreement scheme for mobile Ad Hoc networks based on password authentication[J]. Journal of Software, 2006, 17(8): 1811-1817.

(编辑 刘华森)

基金项目：国家自然科学基金资助项目(60773013)；湖南省自然科学基金资助项目(07JJ5078)

通信作者：施荣华(1964-)，男，湖南安乡人，教授，从事密码学和信息安全方面的研究；电话：13807488766；E-mail: shirh@mail.csu.edu.cn