通用可组合安全的WLAN Mesh网络可信接入认证协议.doc

1、2008 年 10 月 Journal on Communications October 2008第 29 卷第 10 期 通 信 学 报 Vol.29 No.10通用可组合安全的 WLAN Mesh 网络可信接入认证协议马卓 1, 马建峰 1,2, 曾勇 1, 沈玉龙 1(1. 西安电子科技大学 计算机学院，陕西 西安 710071；2. 西安电子科技大学 计算机网络与信息安全教育部重点实验室，陕西 西安 710071)摘 要：现有的 WLAN Mesh 网络接入协议和可信网络接入协议在性能和安全性方面不能很好的满足 WLAN Mesh 网络可信接入的要求。针对这一情况,提出了一种高效的可

2、证明安全的 WLAN Mesh 网络可信接入协议MN-TAP,该协议仅需 4 轮交互就能实现访问请求者，策略执行点和策略决策点三者之间的用户认证和密钥确认，同时在第一轮交互中就实现了策略决策点对访问请求者平台身份的认证和平台完整性的校验,提高了协议执行的效率，降低了服务器端的负载。利用通用可组合安全模型对新协议进行了安全性证明，并对协议性能进行了对比分析。结果表明:新协议达到通用可组合安全，且与现有协议相比性能优势明显。关键词：WLAN Mesh；可信网络接入；通用可组合安全；认证协议 中图分类号：TP393.08 文献标识码：A 文章编号：1000-436X(2008)10-0126-09U

3、niversally composable secure trusted access protocol for WLAN Mesh networks MA Zhuo1, MA Jian-feng1,2, ZENG Yong1, SHEN Yu-long1(1.School of Computer Science 2. Key Laboratory of Computer Networks trusted network access; universally composable security; authentication protocol收稿日期：2008-06-02；修回日期：20

4、08-09-27基金项目：国家自然科学基金重点项目（60633020） ；国家自然科学基金资助项目（60573036，60702059） ；国家高技术研究发展计划（“863”计划）基金资助项目（2007AA01Z429 ）Foundation Items: The National Natural Science Foundation of China (60633020); The National Natural Science Foundation of China(60573036, 60702059); The National High Technology Research an

5、d Development Program of China (863 Program)(2007AA01Z429)第 10 期 马卓等：通用可组合安全的 WLAN Mesh 网络可信接入认证协议 1271 引言WLAN Mesh 网络作为一种新型的网络结构，成为近年来国内外研究的热点问题之一。IEEE 于2004 年成立工作组 TG 对 WLAN Mesh 进行标准化，并于 2007 年 3 月正式公布了 Draft 802.11s D1.011。为了保持与 IEEE 802.11 系列标准的兼容性，Draft 802.11s 的安全接入部分仍然采用的是IEEE 802.11i 2标准，但是

6、 WLAN Mesh 中的 Mesh节点（MP）不同于传统 WLAN 中的网络节点，一个 MP(mesh point)同时执行申请者和认证者两个角色。所以直接使用 802.11i 会导致网络中一个新接入的 MP 节点需要和其邻居 MP 进行两次认证和密钥协商。为解决这一问题，在 802.11i 的基础上，802.11s 提出了 EMSA（efficient mesh security and link establishment）来实现安全接入。EMSA 提出了一种安全的机制，允许 MP 能够有效地建立起用来路由和数据传输的安全 Mesh 连接，并且通过使用 Mesh 密钥层次来提供服务。这一

7、方案在一定程度上提高了 WLAN Mesh 网络接入的效率。但近年来可信计算技术的产生和发展，对WLAN Mesh 网络的接入认证又提出了新的要求。人们在信息安全的实践中逐渐认识到，大多数安全隐患来自于终端，因此必须确保源头的信息安全，即从每一台连接到网络的终端开始，遏制恶意攻击，由此产生出可信计算的基本思想 36。可信计算经过多年的发展，1999 年由 IBM、HP 等著名 IT 企业发起成立了可信计算平台联盟(TCPA， trusted computing platform alliance)，2003 年 TCPA 改组为可信计算组织(TCG，trusted computing grou

8、p)。可信 计 算 组 织 制 定 了 关 于 可 信平 台 模 块 7、 可 信 存 储 8等一系列技术规范，在可信计算领域具有较大的影响力。其可信网络连接分组（TNC Sub group，TNC-SG）制定了一个基于可信计算技术的可信网络连接 TNC 架构 9，它本质上就是要从终端的完整性开始建立连接。在传统网络接入认证基础上，增加平台的身份认证和平台的完整性校验，终端用户只有在两层认证通过且平台完整性校验成功后才可以接入网络。因此，传统的 Mesh 网络接入协议在可信环境下不再适用。同时，由于 WLAN Mesh 网络是一种新型的网络结构，文献1012中所设计的可信接入协议，无法满足 W

9、LAN Mesh 网络接入协议在性能和安全性方面的要求。随着 WLAN Mesh 网络与可信计算技术的普及应用和不断发展，可信环境下 WLAN Mesh 网络相关技术的研究逐渐显现出其重要的理论和实际意义，尤其是对 WLAN Mesh 网络可信接入的研究成为重中之重。针对这一情况，本文提出了一个通用可组合安全的 WLAN Mesh 网络可信接入协议 MN-TAP，该协议综合考虑了可信接入和Mesh 网络接入的性能和安全需求。文中所提新协议，只需 4 轮交互就可以实现访问请求者，策略执行点和策略决策点三者之间的身份认证，同时在访问请求者和策略执行点，访问请求者和策略决策点之间分别完成两次 DH

10、密钥交换和密钥确认；协议在第一轮交互中就实现了策略决策点对访问请求者平台的身份认证和完整性校验，如果访问请求者平台的完整性没有达到要求，则策略决策点在协议的第一轮交互中就可以中止协议并拒绝终端设备的接入，而不需要运行整个协议。这些都极大地提高了协议执行效率，降低了服务器端的负载，缩短了设备接入的响应时间，为下一步研究 Mesh 网络可信快速切换和可信漫游接入协议打下了基础。新协议还可以作为一种 EAP 协议扩展到 EAP 协议族中 13，因而不存在兼容性问题。本文通过当前流行的可证明安全模型 通用可组合安全（UC，u niversally composable security）模型，对新协议

11、进行了安全性证明，并对新协议进行了性能对比分析，结果表明：新协议达到通用可组合安全，且性能优势明显。2 预备知识定理 1 (通 用 可 组 合 安 全 )14 令 n N， F 是一 个 理 想 函 数 ， 是 一 个 n 方 协 议 ， C 是 一 类 现 实攻 击 者 。 如 果 对 于 任 何 A C， 都 存 在 一 个 理 想 攻击 者 S， 对 于 任 何 环 境 机 Z， 等 式 IDEAL F, S, Z REAL , A, Z 均 成 立 ， 那 么 协 议 安 全 实 现 了 理 想 函数 F， 换 而 言 之 ， 如 果 S 仿 真 成 功 ， 那 么 协 议 安全 实

12、现 了 理 想 函 数 F。定理 2 (组 合 理 论 ， composition theorem)14 令 n N， F 是 一 个 理 想 函 数 ， 是 F-混 合 模 型 下 的一 个 n 方 协 议 ， C 是 一 类 现 实 攻 击 者 ， 协 议 可 以安 全 实 现 理 想 函 数 F。 那 么 对 于 任 何 现 实 攻 击 者 AC， 都 存 在 一 个 F-混 合 模 型 下 的 攻 击 H， 对 于 任何 环 境 机 Z， 等 式 REAL , A, Z HYBF, H, Z 均 成 立 。128 通 信 学 报 第 29 卷定义 1 (混 合 模 型 ， hybrid

13、 model)14 为 了 描述 上 述 理 论 以 及 形 式 化 表 述 一 个 真 实 协 议 访 问 理 想函 数 的 多 个 副 本 (copy)的 情 形 (如 签 名 )， Canetti 引入 了 混 合 模 型 的 概 念 。 参 与 者 除 了 在 彼 此 之 间 发 送信 息 ， 还 可 以 与 无 限 数 量 的 理 想 函 数 F 的 副 本 进 行交 互 。 理 想 函 数 的 副 本 通 过 会 话 标 识 SID 来 区 分 ，发 送 给 某 一 副 本 以 及 从 该 副 本 发 出 的 所 有 消 息 都 对应 惟 一 的 标 识 SID。定义 2 (DDH

14、 假 设 )15 设 p 和 q 为 大 素 数 ，k 为 系 统 的 安 全 参 数 。 q 的 长 度 为 k bit 且 q/p1， g是 群 Zp*上 阶 为 q 的 生 成 元 ， x、 y 和 z 是 从 Zp 中 均匀 选 择 的 ， 则 对 于 任 何 多 项 式 时 间 算 法 D， Q0 = (p， q， g， gx， gy， gxy): x， y Zq和 Q1 = R(p， q， g， gx， gy， gz): x， y,z Zq的 概 率 分 布 是 计 算 不 可 区 分 的 。定义 3 (伪 随 机 函 数 )16 对 于 函 数 Ra: A B而 言 (其 中 a

15、 为 参 数 )， 如 果 多 项 式 时 间 |a|内 的 图 灵机 无 法 区 分 Ra 和 均 匀 分 布 函 数 f: A B， 则 Ra 是 伪随 机 函 数 。定义 4 (语 义 安 全 )16 对 于 对 称 加 密 机 制(E， D)， 如 果 多 项 式 时 间 的 概 率 图 灵 机 T， 在 挑 选消 息 m0 和 m1 的 情 形 下 ， 不 能 以 不 可 忽 略 的 优 势 区分 E(m0)和 E(m1)， 则 对 称 加 密 机 制 (E， D)是 语 义 安全 的 。定义 5 (签 名 机 制 的 有 效 性 和 选 择 消 息 安 全 ，CMA)17 对 于

16、签 名 机 制 SS =(Kg， Sig， Vf)， 如 果对 于 由 密 钥 生 成 算 法 Kg 产 生 的 公 /私 钥 对 (pk， sk)和 任 意 消 息 m 而 言 ， 都 能 满 足 Vfpk (m， Sigsk(m) = 1)，则 签 名 机 制 SS 是 有 效 的 。 如 果 攻 击 者 在 访 问 签 名预 言 机 Sigsk()的 情 形 下 ， 对 任 何 消 息 而 言 都 无 法 产生 有 效 的 消 息 -签 名 对 ， 则 签 名 机 制 SS 可 以 安 全 抵抗 选 择 消 息 攻 击 ， 是 CMA 安 全 的 。3 Mesh 网络可信接入协议 MN-

17、TAP 3.1 可信环境下的 WLAN Mesh 网络通信系统可 信 环 境 下 的 WLAN Mesh 网 络 通 信 系 统 如图 1 所示，其中存在三类实体：访问请求者（AR） ，策略执行点（PEP）和策略决策点（PDP） ，它们分别对应于传统 WLAN Mesh 中的申请者（新接入 MP 节点） 、认证者和认证服务器。访问请求者AR 要接入网络，需要向 PDP 认证用户身份，同时 PDP 还需要验证 AR 的平台身份和平台完整性，只有当上述验证全部通过后，PDP 才允许 AR 接入网络。AR 和 PDP 之间的通信必须通过 PEP 的转发。多个 AR 可以请求同一个 PEP 的服务，一

18、个 PEP 也可以请求多个 AR 的服务。图 1 可信环境下的 WLAN Mesh 网络通信模型为简化协议描述，对上述通信系统中做如下假设。1）PDP 中存储了所有用户的认证及授权信息，每个用户只须存储 PDP 的证书（如果没有这一假设，协议参与方也可以在协议交互过程中发送自己的证书） 。2）PDP 是整个网络的控制者，控制整个网络中所有成员的加入和离开。PDP 的行为是可信的，它收到策略执行点通过安全信道传递的认证请求之后会诚实地返回正确的应答。同时为了保证应答的真实性，PDP 对应答消息进行签名（用公钥进行签名或者用共享密钥计算MAC） ，AR 和 PEP 均相信具有正确签名的应答消息的权

19、威性。3）根据无线网络普遍采用的安全假设（如 802.11i），认为 PEP 和 PDP 之间存在安全信道。4）按照 802.11s 草案的规定，访问请求者AR（新的 MP 节点）成功加入当前系统后，可以完成策略决策点的功能，同时假设 AR 成为一个受PDP 管理的可信实体，该实体不会进行内部攻击。5）访问请求者 AR 所使用的平台具有 TPM 模块，访问请求者平台已经向 Privacy-CA 申请了 AIK 证书。3.2 通用可组合安全的 WLAN Mesh 网络可信接入认证协议 MN-TAP 协议设计思想：通过一次协议交互实现 AR和 PDP 以及 AR 和 PEP 之间的用户双向身份认证

20、，同时实现 PDP 对 AR 的单向平台身份认证和平台完整性校验。为了更好地对协议进行分析，下面只给出使协议达到可证明安全所必需的消息，如图 2 所示。其中，PDP 对 AR 的单向平台身份认证和平第 10 期 马卓等：通用可组合安全的 WLAN Mesh 网络可信接入认证协议 129台完整性校验在协议的第一轮交互中完成，如果用户平台身份不合法或用户平台是一个不可信平台，则 PDP 在第一轮交互中就可以拒绝 AR 接入，这极大地提高了协议的效率，降低了服务器端的负载。在可信 WLAN Mesh 网中，访问请求者AR（对应传统 WLAN Mesh 网中请求接入的 MP节点）不希望 PDP 获取它

21、与 PEP 之间共享的密钥，因此本文设计的协议中进行了两次不同的 DH 密钥交换（AR 和 PDP，AR 和 PEP） ，保证 PDP 无法获取 AR 和 PEP 之间的共享密钥。另外，协议还实现了 AR 和 PEP 以及 AR 和 PDP 之间的用户显 式 密 钥 认 证 。 因 此 ， 一 个 新 的 访 问 请 求 者 AR通 过 文 中 所 设 计 的 认 证 协 议 可 信 接 入 到 无 线Mesh 网 络 后 ， 不 再 需 要 4 步握手进行 AR 和 PEP之间的基于共享密钥的显式密钥认证；尤其是与现有的可信网络连接协议 1012相比，本文设计的新协议减少了消息交互的轮数，同

22、时在第一轮交互中就进行平台身份认证和平台完整性校验，这些都极大地提高了协议执行的效率，缩短了设备接入的响应时间。图 2 WLAN Mesh 网络可信接入认证协议 MN-TAPSid 为当前会话的标识符，由策略决策点产生，也可以三方共同产生；g x、g y、g z 分别为 AR、PEP和 PDP 用于 DH 密钥交换的临时公钥值；IDAR、ID PEP、ID PDP 分别为 AR、PEP 和 PDP 的标识信息；Priv AR、Priv PEP、Rriv PDP 分别为AR、PEP 和 PDP 的长期私钥； AIKpriv 和 AIKpub 为证明身份密钥对，SML 为存储测量日志，cert (

23、AIKpub)为 Privacy-CA 向平台签发的 AIK 证书；Prf()为密钥推导函数；HMIC ()为消息认证码计算函数；AUTH AR，AUTH PDP 分别为 AR 和 PDP 身份认证信息；MIC AR, PDP 和 MICAR, PEP 为 AR 产生的消息认证码，MIC PEP, AR 和 MICPDP, AR 分别为 PEP和 PDP 产生的消息认证码。协议详细描述如下。1) AR 向 PEP 发送 EAPOL 开始消息发起接入请求。2) PEP 向 AR 发送 EAPOL 请求身份消息进行响应并要求 AR 提供其身份信息。3) AR 向 PEP 发送包含其网络访问标识信息

24、IDAR 的 EAPOL 响应身份消息进行响应。4) PEP 把 NAI 封装在 RADIUS 访问请求消息中转发给策略决策点 PDP。5) PDP 产生用于 DH 交换的临时公私钥对(z，g z)，记录 z；将 Sid，N PDP，g z 作为开始消息，该消息由 PEP 转发给 AR。6) AR 收到协议的起始消息后：使用存储根密钥从 TPM 中读取证明身份密钥 AIKpriv，并以 AIKpriv 为私钥将选择的 PCR 值和收到的随机数 NPDP 进行签名 =SigPCR，N ARAIKpriv；通过 TPM 的随机数生成模块产生随机数NAR 和 x，生成临时公私钥对( x，g x)，记

25、录 x，计算 MK=Prf(gxz，Sid| N PDP| NAR| IDPDP| IDAR)；产生消息 AUTHAR=msg1PrivAR，MIC AR, PDPHMIC (MK，msg 1| AUTHAR)。其中 msg1= Sid| NAR| NPDP| gx| gz| plat_ver_msg| IDAR| IDPEP| IDPDP； plat_ver_msg= SML| Cert(AIKpub)| 是平台身份认证和完整性校验信息；最后把消息(Sid| IDAR| NAR| NPDP| gx| plat_ver_msg| AUTHAR| MICAR, PDP)发送给 PEP。7) PE

26、P 收到上述消息后：首先验证 Sid 的有效性，通过后产生随机数NPEP 和用于 DH 交换的临时公私钥对 (y，g y)；把 gy 和 NPEP 以及来自 AR 的消息，通过安全信道一起发送给 PDP；按如下方式计算单播会话主密钥 PMK，安全擦除 y，根据 PMK 推导出单播会话密钥PTK：PMK = prf(gxy，Sid| NAR| NPEP| IDAR| IDPEP)；PTK= prf( PMK)*， “*”表示循环推导，直到满足需求。8) PDP 收到 PEP 发送来的消息后： 先后验证 Sid、N PDP、AUTH AR 和 MICAR, 130 通 信 学 报 第 29 卷PD

27、P 的有效性； 验证通过后结合 plat_ver_msg 消息中的SML 和 Cert(AIKpub)验证 =SigPCR，N ARAIKpriv，即验证访问请求者（新接入 MP 节点）平台的身份和平台完整性； 验证通过后，计算 MK，安全擦除 z，产生身份认证信息 AUTHPDP 和消息认证码 MICPDP,AR，计算方式如下：AUTH PDPmsg 2PrivPDP；MK= Prf (gxz， Sid| NPDP| NAR| IDPDP| IDAR)；MIC PDP, AR HMIC (MK，msg 2| AUTHPDP)；其中 msg2= Sid| NAR| NPEP| NPDP| gx

28、| gy| gz| IDAR | IDPEP| IDPDP； 最后把消息(Sid| IDPDP| AUTHPDP|MICPDP,AR)通过安全信道发送给 PEP。9) PEP 收到 PDP 发送来的消息后： 计算消息认证码 MICPEP, AR= HMIC (PTK， msg3)；其中 msg3= Sid| NAR| NPEP| gx| gy| IDAR| IDPEP| IDPDP| AUTHPDP| MICPDP, AR； 最后把消息(Sid| IDPDP| NAR| NPEP| gy| AUTHPDP| MICPDP,AR| MICPEP,AR)发送给 AR。10) AR 收到 PEP 发

29、送来的消息后： 验证 Sid、N AR、AUTH PDP 和 MICPDP, AR 的有效性，验证通过后按照和 PEP 同样的方式计算PMK 和 PTK，安全擦除 z； 验证 MICPEP, AR，通过后产生消息认证码MICAR, PEP= HMIC(PTK，msg 4)；其中 msg4= Sid | NAR | NPEP | gx | gy | IDAR | IDPEP | IDPDP； 将消息(Sid| N PEP| MICAR, PEP)发送给 PEP。11) PEP 收到 AR 发送来的消息后，验证Sid、N PEP、MIC AR, PEP 的有效性，验证通过后，向PDP 发送完成消息

30、，通知 PDP 它与 AR 成功协商了会话密钥。12) PDP 收到完成消息后，向 PEP 发送RADIUS 接受消息，然后 PEP 向 AR 发送 EAPOL成功消息，表示认证成功，允许 AR 可信接入当前网络。4 协议分析4.1 安全性分析本文利用 UC 模型对所设计的 WLAN Mesh 网络可信接入协议 MN-TAP 进行安全性证明。该协议在 AR 和 PEP，AR 和 PDP 之间分别进行了用户身份 认 证 并 协 商 出 安 全 的 密 钥 ， 且 在 协 议 交 互 的第 一 轮 消 息 中 ， 完 成 了 PDP 对 AR 的 平 台 身 份 认证 和 平 台 完 整 性 校

31、验 。 其 中 plat_ver_msg 是 AR发 给 PDP 的 消 息 ， PDP 通 过 对 该 消 息 的 验 证 完成 对 AR 的 平 台 身 份 认 证 和 平 台 完 整 性 校 验 。 对于 PDP 而 言 ， 只 要 保 证 plat_ver_msg 消 息 确 实来 自 AR 且 在 传 输 过 程 中 未 被 篡 改 ， 就 可 以 确 保对 AR 平 台 的 身 份 认 证 和 完 整 性 校 验 的 正 确 性 ，协 议 中 AUTHAR 和 MICAR, PDP 消 息 可 以 分 别 保 证plat_ver_msg 消 息 的 上 述 属 性 。为简化协议证明

32、过程，在进行协议安全性证明之 前 ， 首 先 给 出 协 议 MN-TAP 的 抽 象 描 述 ， 如图 3 所示。1) I 产 生 随 机 数 NI,1和 临 时 公 私 钥 对 (z， gz)， 保 存 z， 将 NI,1， gz发 给 R。 2) R接 收 到 I发 来 的 NI,1， gz后 ， 产 生 随 机 数 NR和 公 私 钥 对 (x， gx)，计 算 K1=HKD(gxz， Sid| NI,1| R| IDI,1| IDR)， 保 存 x， 计 算 AUTHR和 MICR,1 HMIC (K1， M1| AUTHR)， 将 NR， NI,1， gx， AUTHR， MICR

33、,1发 送 给 I。 3) I接 收 到 R发 来 的 NR、 N I,1、 gx、 AUTHR、 ICR,1消 息 后 ， 计 算K1=HKD(gxz， Sid| NI,1| R| IDI,1| IDR)， 验 证 AUTHR、 MICR,1的 有 效 性 。若 验 证 成 功 ， 则 产 生 随 机 数 NI,2和 临 时 公 私 钥 对 (y， gy)， 计 算K2=HKD(gxy， Sid| NR| I,2| IDR| II,2)， 删 除 y； 计 算 AUTHI 、 MICI,1和MICI,2， 将 消 息 NR、 NI,2、 gy、 AUTHI、 MICI,1、 MICI,2发

34、送 给 R。 4) R接 收 到 I发 来 的 NR、 NI,2、 gy、 AUTHI、 ICI,1、 MICI,2后 ， 计 算K2=HKD(gxy， Sid| NR| I,2| IDR| II,2)， 验 证 AUTHI、 ICI,1、 ICI,2的 有效 性 ， 若 验 证 成 功 ， 则 计 算 MICR,2， 发 送 消 息 NI,2， MICR,2给 I。 图 3 WLAN Mesh 网络可信接入协议 MN-TAP 的抽象描述 抽象协议中只给出必要的消息。因为 PEP 和PDP 之间存在安全信道，所以在抽象协议中将PEP 和 PDP 作为一个整体来考虑。假设协议在两个实体 I 和

35、R 间进行。 其中， gx、g y、g z 为用于DH 密钥交换的临时公钥值；Priv 为长期私钥；IDI,1、ID I,2、ID R 为分别为 PDP、PEP 和 AR 的身份标识信息；AUTH 为身份认证信息；MIC 为消息认证码；N 为随机数；K 1=HKD(gxz，Sid | NI,1| NR|IDI,1| IDR)； K2=HKD(gxy，Sid | NR| NI,2|IDR| IDI,2)；M1=Sid| NR |NI,1| gx| gz| IDR | IDI,1| IDI,2；M 2=Sid| NR |NI,1| NI,2| gx| gy| gz| IDR | IDI,1| ID

36、I,2；M 3= Sid| NR| NI,2| gx| gy| IDR | IDI,1| IDI,2 | AUTHI| MICI,1；M 4= Sid| NR| NI,2| gx| gy| IDR | IDI,1| IDI,2；AUTH RSIG R (PrivR， M1)；AUTH ISIG I,1 (PrivI,1，M 2)；MICR,1 HMIC (K1，M 1| AUTHR)；MIC R,2 =HMIC (K2，M 4)；MIC I,1H MIC (K1，M 2| SIGI,1| AUTHI)；第 10 期 马卓等：通用可组合安全的 WLAN Mesh 网络可信接入认证协议 131MI

37、CI,2 =HMIC (K2，M 3)。协议证明思路：文中所设计的 MN-TAP 协议在 AR、 PEP 和 PDP 三者之间进行。将 WLAN Mesh 网络可信接入协议 MN-TAP 的抽象描述 拆分成两个子协议 1 与 2，它们分别是 AR 与 PDP以及 AR 与 PEP 之间的协议交互；首先，分别证明子协议 1 和 2 是 UC 安全的协议；然后，根据UC 模型的组合定理，证明子协议 1 和 2 的组合协议是 UC 安全的协议；最后，证明子协议 1 和2 的组合与抽象协议 是等价的。这就证明了协议 是一个 UC 安全的协议，即本文设计的WLAN Mesh 网络可信接入认证协议 MN-

38、TAP 是一个 UC 安全的协议。子协议 1 和 2 分别如图4、5 所示。 I R NI,1 gz R I NR, I,1 gx, AUTHR, MICR,1 I R NR, AUTHI, MICI,1 图 4 子协议 1R I NR, gxI , I,2 y,MIC,2 R I N I,2IR,2 图 5 子协议 2 由于篇幅原因，这里只给出子协议 1 的证明过程，子协议 2 的证明同理。子协议 1 证明思路：首先构造一个能够安全实现签名理想函数 Fsig 的协议 s；其次，给出安全密钥交换的理想函数 FKE，同时构造一个协议 1，并证明 1在混合模型 Fsighybrid 下安全实现了F

39、KE；将协议 s 与 1进行组合，通过 UC 安全组合定理，证明组合后的协议与 1 等价，且在现实模型下安全实现了 FKE。首 先 ， 构 造 实 现 理 想 函 数 Fsig 的 协 议 s， 如图 6 所示。协 议 参 与 者 Pi与 j， 运 行 基 于 签 名 算 法 Sig=(en, sig, ver)的协 议 s， 进 行 交 互 。 1) Pi收 到 输 入 (signer, id)后 执 行 算 法 gen， 保 留 签 名 密 钥 s，将 验 证 密 钥 v发 送 给 Pj； 2) 若 Pj需 对 消 息 m进 行 签 名 ， 则 将 (sign, id, m)发 送 给 P

40、i；i令 =sig(, )， 并 将 (signature, idm, )发 送 给 j； 3) 若 Pj需 要 对 消 息 m签 名 进 行 验 证 ， 则 将 (verify, idm, )发送 给 i； i输 出 (verifd, i, ver(, m)给 Pj。 图 6 实现 Fsig 的协议 s引理 1 Sig=(gen, sig, ver)是 文 献 14中 描 述的 签 名 ， 那 么 在 真 实 环 境 下 ， 协 议 s 可 以 安 全 实现 Fsig， 当 且 仅 当 S 是 抗 击 选 择 消 息 存 在 性 伪 造 。引理 2 如果 DDH 假设成立，且消息认证算法是安

41、全的，则协议 1在 Fsig-hybrid 下安全实现FKE。证明 首先构造基于密钥交换理想函数 FKE 的协议 1，如图 7 所示。令协议 1是在混合模型 Fsig-hybrid 下的一个密钥交换协议，H 为混合模型中的攻击者。构造一个理想环境下的攻击者 S（仿真器） ，使得任何环境机 Z 都不能辨别 S 是与 H 及 1在 Fsig-hybrid下进行的交互，还是与 S 及 FKE 在 Ideal-life 下进行的交互。即对任何环境机 Z，等式 Fsig-hybrid1,H, Z IDEALF,S,Z 均成立。132 通 信 学 报 第 29 卷令 p和 q为 大 素 数 ， k为 安

42、全 参 数 ， q长 为 k bit且 q/p1， g是 群Zp*上 阶 为 q的 生 成 元 ， 协 议 参 与 者 Pi与 Pj， 在 混 合 模 型 Fsig-hybrid中 运 行 协 议 1， 进 行 交 互 。 1) 当 协 议 发 起 者 Pi得 到 输 入 （ Pi, j, Sid） ， 则 发 送 初 始 化 消 息（ signer,0, Sid） 给 Fsig； 同 样 ， 当 协 议 响 应 者 Pj得 到 输 入 （ Pj, i, Sid）则 发 送 （ signer,1, Sid） 给 Fsig； 2) 协 议 发 起 者 Pi随 机 选 择 NI,1 Zp， 并 计

43、 算 gz， 然 后 发 送 （Pi, Sid, “Start”, NI,1 ） 给 Pj； 3) Pj收 到 起 始 消 息 后 ， 随 机 选 择 NR Zp， 计 算 gx和 K1并 发 送（ sign, 1, Sid, M1） 给 Fsig， 得 到 其 返 回 M1的 签 名 j后 ， 计 算 jMICR,1， 最 后 发 送 （ Sid, NR, I,1 , j, j） 给 Pi。 4) 当 Pi收 到 （ Sid, NR, I,1 , j, j） ， 发 送 （verify, 1, Sid, Pj, M1, j）给 Fsig， 如 果 验 证 通 过 ， 则 计 算 K1并 验

44、证 j， 验 证 通 过 后 ， 计 算 gy和 K2， 并 发 送 （ sign, 0, Sid, M2） 给 Fsig； 得 到 签 名 i后 ， 分 别用 K1和 K2计 算 i MICI,1， i ICI,2， 最 后 发 送 (Sid, NR, I,2 , i, i, i)给 Pj； 5) 当 Pj收 到 （ Sid, NR, I,2 , i, i, i） ， 发 送 （verify, 0 ,Sid, Pi, M2, i） 给 Fsig； 验 证 通 过 后 ， 则 根 据 K1验 证 i， 验 证 通 过 后 ， 计 算K2并 验 证 j， 所 有 验 证 都 成 功 后 ， 根

45、据 K2计 算 j MICR,2， 并 将(Sid, NI,2 j )给 Pi。 最 后 ， 删 除 x， 本 地 输 出 （ Sid, Pi, j, K1, 2） ； 6) 当 Pi收 到 (Sid, NI,2 j )后 ， 计 算 出 密 钥 并 验 证 j； 若 验 证 通 过 ，删 除 y, z， 本 地 输 出 （ Sid, Pj, i, K1, 2） 。 图 7 基于密钥交换理想函数 FKE 的协议 1 仿真器 S 的构造：S 运行一个模拟的攻击者H，并按下面的规则进行操作。1) 任何从 Z 的输入均传递给 H，任何 H 的输出将作为 S 的输出使 Z 可以读取；2) 当 S 从

46、FKE 处收到(Sid, P i, Pj, role)，则表明Pi 发起了认证密钥交换，那么让 S 仿真出 Fsig 及Fsighybrid 下与 H 交互的协议 1，并给定同样的输入。并且 S 让 H 和 Pi 按照 1的执行规则与 Z 交互；3) 为了仿真 1的执行，S 可以激活 Fsig 得到相应的签名值 ；S 计算 K HKD (K, *)及=HMIC(K, *)，其中 K 是 FKE 给 Pi 和 Pj 的密钥输出；4) 当 1中的某个 Pi 产生了本地输出，如果对端 Pj 没有被攻陷，则 S 将 FKE 的输出发送给 Pi；如果 Pj 已被攻陷，F KE 则让 S 决定密钥，而 S

47、 则使用 Pi 前面的输出来确定仿真的 Pi 与 Pj 的本地输出；5) 当 H 执行攻陷 Pi 的操作，S 同样攻陷 Pi。如果 FKE 已经给 Pi 发送了密钥，则 S 将得到该密钥；如果 Pi 和 Pj 均没有产生本地输出，则 S 将其内部状态传递给 H，包括它 们 的 秘 密 选 值 ； 如 果Pi 或 Pj 其 中 一 方 已 经 产 生 了 本 地 输 出 ， 则 它 们 的临 时 私 钥 均 被 擦 除 ， 所 以 S 直 接 将 本 地 输 出 的密钥传递给 H。仿真器 S 的有效性：假设在仿真器 S 的执行下，存在一个环境机 Z，成功辨别与 H 及 1在Fsig hybrid

48、 下进行交互及与 S 及 FKE 在 Ideal-life下进行交互的概率不可忽略，即 Prob(Fsig-hybrid 1, H, Z IDEALF, S, Z)为 1/2 加上一不可忽略的优势。那么就构造一个区分器 D，利用环境机 Z来破解 DDH 问题，进而规约到矛盾。区分器 D 的构造：1) 以 1/2 的概率选择选择 Q Q0, Q1作为 D的输入，记为(p, q, g, *, *, *)；2) 随机选择 1,2, l， l 为攻击者所能发起的会话数的上界，然后仿真 Fsig-hybrid 中 1和H 与 Z 的交互；3) 当 H 激活一个参与方建立一个新的会话t(t)或者接收一条消息时，D 代表该参与方按照协议 1在 Fsig-hybrid 中 进 行 正 常 交 互 。 如 果t ， 则 D 代 表 Pi 向 Pj 发 送 消 息 （ Pi, sid, *） ； 当Pj 收 到 （ Pi, sid, *） ， D 调 用 Fsig 进 行 相 应 计 算 ， 并发 送 （ sid, *,j） 给 Pi； 最 终 ， D 让 Pi 与 Pj 本 地 输出 （ sid, Pi, Pj, *） ；4) 如果 H 攻陷一个参与方，则 D 把该参与方的内部状态返回给 H；如果被攻陷的参与方是会话 t 的参与方之一，则 D 输出一随机比特 b 0,1 并终止；5