王猛 徐平鴿 顧維娜淮北煤炭師范學(xué)院計算機(jī)科學(xué)與技術(shù)學(xué)院 安徽 235000

0 引言

Ad hoc網(wǎng)絡(luò)是由一組帶有無線收發(fā)器的無線節(jié)點(diǎn)或移動終端相互協(xié)作形成的一種新型網(wǎng)絡(luò)，它獨(dú)立于固定的基礎(chǔ)設(shè)施，采用分布式技術(shù)管理，可以做到快速配置和自組織網(wǎng)絡(luò)。由于其具有有限的資源、多跳的通信和動態(tài)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)等特點(diǎn)，將會受到更多的安全威脅。所以在無線Ad hoc網(wǎng)絡(luò)中，必須利用密碼學(xué)理論與技術(shù)來有效地防范潛在的攻擊，而密碼理論與技術(shù)在實(shí)際使用中的安全性，則主要依賴于密鑰管理的安全性。一般來講，根據(jù)Ad hoc網(wǎng)絡(luò)自身的特點(diǎn)，一般要求節(jié)點(diǎn)的密鑰能動態(tài)生成且不依賴任何固定的第三方(TTP)，并確保密鑰在傳輸中的安全，同時具有較小的計算量、存儲量和通信量。

早在1984年，第一個公鑰密碼系統(tǒng)RSA的合作發(fā)明者之一Shamir為了簡化傳統(tǒng)的PKI公鑰體系架構(gòu)中CA對各用戶證書的管理，首次提出了基于身份的密碼學(xué)(IBC)的思想，其基本的想法就是將用戶的身份與其公鑰捆綁在一起，用戶的身份信息即為用戶的公鑰。但是基于身份的加密算法(IBE)長期都沒有得到有效的解決方法。2001年，Boneh和Franklin通過使用一個定義在橢圓曲線上的雙線性映射，提出了一個非常實(shí)用的IBE方案，并且給出了嚴(yán)格的安全性證明。在基于身份的密碼體制中，任何人都可以根據(jù)用戶的身份計算出他的公鑰，而私鑰則是有可信的中心生成的，這種密碼體制的優(yōu)點(diǎn)在于：①獲取公鑰只需要很少的計算量和通訊量；②不使用證書；③可以通過在公鑰中增加時間戳來完成公鑰的撤銷。所以，基于身份的密碼體制在資源有限的Ad hoc網(wǎng)絡(luò)中使用具有一定的優(yōu)勢。

組密鑰是所有組內(nèi)成員之間相互協(xié)作，共同生成一個組密鑰，組外的成員不能計算出該密鑰，用以對組內(nèi)節(jié)點(diǎn)間數(shù)據(jù)傳遞進(jìn)行加密、解密和認(rèn)證等操作，以滿足數(shù)據(jù)機(jī)密性和完整性等安全需求。

本文提出 Ad hoc網(wǎng)絡(luò)中一種新的基于身份的組密鑰管理方案，該方案的安全性建立在橢圓曲線上雙線性對的求解難題，并且結(jié)合組密鑰的最新研究成果，方案所需的開銷更小，安全性和效率更高，輪數(shù)少，算法簡單。

1 基本理論知識簡介

1.1 基于身份的密碼體制和雙線性對

雙線性對最初是用于密碼攻擊，被認(rèn)為是對密碼體系不利的，比如用Weil對的MOV攻擊將超奇異橢圓曲線或超橢圓曲線上的離散對數(shù)問題歸約為有限域上的離散對數(shù)問題，這使得超橢圓曲線不能作為密碼體系。但是，近年來發(fā)現(xiàn)了雙線性對在密碼學(xué)上的積極作用，2000年Joux做出其突破性的工作，他提出了一個基于超奇異橢圓曲線上的雙線性對的基于身份的Deffie-Hellman密鑰協(xié)商協(xié)議。此后雙線性對的許多應(yīng)用相繼被給出，其中最值得注意的有兩個：一個是Boneh和Franklin的基于雙線性對的基于身份的密碼方案，這是第一個高效且可證明安全的基于身份的密碼方案；另一個是Boneh、Lynn和Shacham提出的基于雙線性對的簽名方案，這個方案是簽名最短的簽名方案。雙線性的定義如下：

設(shè)G1和G1分別是階數(shù)為素數(shù)q的加法群和乘法群，P為G1的一個生成元。假設(shè)G1和G1這兩個群中的離散對數(shù)問題都是困難問題。雙線性映射e：G1×G1→G2具有如下特征：

(1) 雙線性：對于所有的 P，Q,，R∈G1和所有的 a，b∈，

(2) 非退化性：存在P，Q∈G1，滿足e(P，Q)≠ 1；

(3) 可計算性：對所有的 P，Q∈G1，e(P，Q)可以在多項式時間有效計算出來。

當(dāng)q是個素數(shù)時，G1中任意一個元素P都是生成元，由非退化性和雙線性，e(P，P)也是G2中的生成元。

我們可以在具有以上性質(zhì)的群 G1上，定義如下的密碼問題：

(1) 離散對數(shù)問題(DLP)：給定P，aP，計算a∈Zq。

(2) 計算Diffie-Hellman問題(CDHP)：給定P，aP，bP，計算abP。

(3) 決策Diffie-Hellman問題(DDHP)：給定P，aP，bP，cP，判斷是否c=abmodq。

(4) Gap Diffie-Hellman問題(GDHP)：在群 G1中，當(dāng)DDHP計算容易，但 CDHP計算困難時，稱群 G1為 Gap Diffie-Hellman群。

1.2 組密鑰管理機(jī)制

組密鑰管理是指組內(nèi)成員共同協(xié)商生成、分發(fā)和更新組密鑰。其基本任務(wù)是：為合法的組內(nèi)成員分配和維護(hù)密鑰，實(shí)現(xiàn)組播通信時秘密信息在合法組成員間共享，而非組成員無法知道該秘密信息。同時，利用組密鑰對組播內(nèi)容進(jìn)行加密，確保得到的通信數(shù)據(jù)的節(jié)點(diǎn)是組內(nèi)成員，從而在確保數(shù)據(jù)機(jī)密性的同時達(dá)到一定程度上的數(shù)據(jù)源認(rèn)證。

第一個組密鑰協(xié)商協(xié)議是ING協(xié)議，之后，學(xué)者們提出了許許多多的組密鑰協(xié)商協(xié)議，下面簡單介紹一下Du的倆輪密鑰協(xié)商協(xié)議。

2003年，Du等人講橢圓曲線密碼體制應(yīng)用于BD協(xié)議，改進(jìn)并使之適用于基于身份的加密體系中。Du等人方案的安全性建立在橢圓曲線雙線性對以及 BDH假設(shè)之下，其過程可以簡單表述如下：

首先，系統(tǒng)建立雙線性對以及 BDH假設(shè)的環(huán)境，發(fā)布參 數(shù){G1,G2,p,P,Ppub,H,H1}。 設(shè) 定 節(jié) 點(diǎn)IDi的 公 鑰 為Qi=H1(IDi)，其私鑰為 Si=sQi。然后各個節(jié)點(diǎn)執(zhí)行如下步驟：

(1) 節(jié)點(diǎn)IDi，1≤i≤n，選擇密鑰Ni∈Zq，計算并廣播zi=NiP，Ti=H(zi)Si+NiPpub。

(2) 節(jié)點(diǎn)IDi驗(yàn)證然后廣播

(3) 每個節(jié)點(diǎn)IDi計算回話密鑰：

最終每個節(jié)點(diǎn)都將得到相同的會話密鑰K=e(P,P)(N1N2+N2N3+,…Nn N1)s。

和BD協(xié)議相比，Du的協(xié)議采用了橢圓曲線密碼體制以及雙線性配對，每個節(jié)點(diǎn)只需進(jìn)行常數(shù)次雙線性配對和橢圓曲線計算，有效降低了計算量。其次，由于與基于身份的加密體制的結(jié)合，使之更加適用于Ad hoc網(wǎng)絡(luò)和更具有安全性。

2 新的基于身份的組密鑰管理方案

2.1 系統(tǒng)建立和組密鑰生成

假設(shè)Ad hoc網(wǎng)絡(luò)中有K個用戶，即U1,U2,…,UK，其身份IDi用M1,M2,…,Mk來表示，并且假設(shè)節(jié)點(diǎn)已經(jīng)有了自己的公私鑰。隨機(jī)根據(jù)路由最優(yōu)、節(jié)點(diǎn)權(quán)重最大和跳數(shù)最少的原則選擇產(chǎn)生一個組首，記為Mn。我們可以設(shè)Gi=H(Mi)為節(jié)點(diǎn)i的公鑰。

(1) 系統(tǒng)初始化時，每一個組內(nèi)成員隨機(jī)選擇一個隨機(jī)數(shù)ri∈，并且計算以下四個參數(shù)：

(2) 其他組成員收到每個節(jié)點(diǎn)的廣播后，對收到的數(shù)據(jù)及其簽名進(jìn)行驗(yàn)證，

(3) 組首節(jié)點(diǎn)nM 驗(yàn)證每個節(jié)點(diǎn)計算的ki是否相等，如果相等，則ki為系統(tǒng)初始時的組密鑰。

如果上述等式成立，則根據(jù)如下方法計算ki。

2.2 成員加入時的組密鑰更新

當(dāng)組外的成員Mk+1加入群組之前，需要首先根據(jù)自己的ID產(chǎn)生公私鑰對和簽名，并且向組內(nèi)廣播自己的信息和身份IDk+1,組內(nèi)的Mn發(fā)起組密鑰的更新。k+1個組內(nèi)成員重復(fù)系統(tǒng)建立時的運(yùn)算，最后由 Mn計算和收集驗(yàn)證組密鑰 ki：

2.3 成員離開時的組密鑰更新

成員離開群組后，首先根據(jù)規(guī)則在剩余的組成員集合中選擇合適的成員為組首節(jié)點(diǎn)Mn，然后由組首節(jié)點(diǎn)發(fā)起組密鑰的更新運(yùn)算。運(yùn)算步驟和2.2節(jié)加入節(jié)點(diǎn)時類似，只是最后一步需要稍微變化：

3 安全性分析

(1) 密鑰的安全性：本方案中的組密鑰每次更新時，都隨機(jī)選擇一個數(shù) ri∈，協(xié)商生成新密鑰，因此一次會話密鑰的泄露并不會影響到其他的密鑰。

(2) 前向安全性：離開群組的節(jié)點(diǎn)不能繼續(xù)參與組播，而根據(jù)以往的密鑰協(xié)商信息不能計算出新的組密鑰，即無法利用它所知道的密鑰解密后續(xù)的加密數(shù)據(jù)。

(3) 后向安全性：新成員加入群組后，新加入的成員無法用其新獲得密鑰解密之前的秘密數(shù)據(jù)。

4 性能比較分析

本方案和Du方案相比，在性能上如表1所示。

表1 性能分析

由表可知，本方案較之Du的方案節(jié)點(diǎn)的雙線性配對運(yùn)算相同，但生成組密鑰時只需要一輪運(yùn)算，且每個節(jié)點(diǎn)只要組播一次，即組播次數(shù)為n次，綜上，該方案的總體性能良好。

5 結(jié)束語

本文提出了一種新的基于身份的Ad hoc網(wǎng)絡(luò)中組密鑰管理方案，包括系統(tǒng)建立時的初始化、節(jié)點(diǎn)加入時的組密鑰更新和節(jié)點(diǎn)離開時的組密鑰更新等三個操作。和現(xiàn)有的密鑰管理相比，它提供更高的安全性，同時保證更好的運(yùn)行效率，利用基于身份的密碼體制可以減少系統(tǒng)的計算、存儲和通信開銷，因此，本方案比較適合于Ad hoc網(wǎng)絡(luò)環(huán)境中。

[1] A.Shamir.Identity-based Cryptosystems and Signatures Schemes.CRYPTO 1984.

[2] D Boneh, M Franklin. Identity-based Encryption from the Weil pairing [A]. Proc of Crypto 2001[C],LNCS 2139,Springer-Verlag.2001.

[3] 況曉輝,胡華平,盧錫城.移動自組網(wǎng)絡(luò)組密鑰管理框架[J].計算機(jī)研究與發(fā)展.2004.

[4] 徐倩,張福泰,劉志高.無線Ad Hoc網(wǎng)絡(luò)中基于身份的密鑰管理方案[J].南京師范大學(xué)學(xué)報.2006.

[5] 張金穎,鄧子健.基于身份的密鑰協(xié)商方案[J].信息安全與通信保密.2007.

[6] 郭現(xiàn)峰.TTS組密鑰協(xié)商協(xié)議的安全性分析與改進(jìn)[J].計算機(jī)工程與應(yīng)用.2008.

[7] 王育民,劉建偉.通訊網(wǎng)絡(luò)的安全理論與技術(shù)[M].西安電子科技大學(xué)出版社.1999.