一种无线MESH网络认证方法.pdf

摘要
申请专利号：	CN201010542745.2	申请日：	2010.11.15
公开号：	CN101977380A	公开日：	2011.02.16
当前法律状态：	撤回	有效性：	无权
法律详情：	发明专利申请公布后的视为撤回IPC(主分类):H04W 12/04申请公布日:20110216\|\|\|实质审查的生效IPC(主分类):H04W 12/04申请日:20101115\|\|\|公开
IPC分类号：	H04W12/04(2009.01)I; H04W12/06(2009.01)I	主分类号：	H04W12/04
申请人：	天津工业大学
发明人：	刘文菊; 魏栖栖; 王赜; 李璐; 时珍全; 柯永振
地址：	300160 天津市河东区成林道63号
优先权：
专利代理机构：	天津翰林知识产权代理事务所(普通合伙) 12210	代理人：	李济群
PDF下载：	PDF下载

内容摘要

本发明公开一种无线Mesh网络认证方法，该认证方法基于无证书公钥密码系统，主要步骤包括：1.可信第三方初始化，然后公布系统公知参数；2.域接入点在域管理者处进行域内注册，并周期性广播公知参数认证消息1；3.用户首先通过可信第三方发布的公知参数认证消息1中域参数证书的合法性，然后利用域参数认证域接入点域内公钥的合法性，最后根据域接入点域内公钥验证域接入点的对时间戳的签名，完成对域接入点的认证，认证工作结束后，向域接入点发送消息2；4.域接入点收到消息2后，验证消息2中用户长期公钥的合法性，并利用用户长期公钥验证用户的对时间戳的签名，完成对用户的认证，然后向域管理者发送消息3。

权利要求书

1：一种无线 Mesh 网络认证方法，该认证方法基于无证书公钥密码系统，主要步骤包括： (1) 可信第三方初始化，然后公布系统公知参数；用户和域管理者在可信第三方处完成线下注册过程，用户获得用户长期私钥和用户长期公钥，域管理者获得其域管理者长期私钥、域管理者长期公钥和域参数证书； (2) 域接入点在域管理者处进行域内注册，获得域接入点域内私钥和域接入点域内公钥，并周期性广播公知参数认证消息 1 ； (3) 用户首先通过可信第三方发布的公知参数认证消息 1 中域参数证书的合法性，然后利用域参数证书中的域参数认证域接入点域内公钥的合法性，最后根据域接入点域内公钥验证域接入点的对时间戳的签名，完成对域接入点的认证，对消息 1 的认证工作结束后，向域接入点发送消息 2 ； (4) 域接入点收到消息 2 后，通过可信第三方的公知参数验证消息 2 中用户长期公钥的合法性，并利用用户长期公钥验证用户的对时间戳的签名，完成对用户的认证，然后向域管理者发送消息 3 ； (5) 域管理者将利用消息 3 所含用户长期公钥和域管理者长期私钥生成共享密钥加密部分秘密，即生成消息 4，并发送给用户，收到消息 4 后，用户使用域管理者长期私钥和用户长期公钥生成相同的共享密钥解开加密信息获得部分秘密，利用该部分秘密，用户生成其在该认证域内的用户域内私钥和用户域内公钥； (6) 用户利用已生成的用户域内私钥和域接入点的域内公钥，生成用户与域接入点之间的共享密钥，并通过消息 5 将用户的域内公钥告知域接入点；收到消息 5 后，该共享密钥在域接入点处由域接入点域内私钥和用户域内公钥生成。

说明书

一种无线 Mesh 网络认证方法
    技术领域本发明涉及一种无线网络安全技术，具体为一种无线 Mesh 网络的认证方法。该认证方法基于无证书公钥密码学 (Certificateless Public Key Cryptography，简称 CL-PKC)。
     背景技术由于整个网络架构的开放性，安全性问题已经成为制约无线 Mesh 网络 (Wireless Mesh Networks， WMN) 发展的瓶颈。目前应用在 WMN 中的安全机制是 IEEE 工作组于 2007 年 4 月公布的 Draft 802.11s D1.01 标准中所规定沿用的 802.11i 机制，即通过传统的 802.1X 和四步握手进行接入认证和密钥协商，而在这种传统的认证过程中最终用于生成会话密钥的主密钥 (Primary Master Key， PMK) 是由认证服务器 (Authentication Server， AS) 生成并且通过安全通道直接传递给 mesh 路由器 (mesh-router) 的，这显然是用户 (clients) 所不愿看到的，因为 AS 知道 PMK 即可生成 clients 与 mesh-router 之间的会话密钥，其中所有内容均可被 AS 获取，即使 AS 是诚实的，但是一旦 AS 被敌手 (adversary) 攻破并完全控制，那么其 PMK 也将暴露，所有的会话内容也将不再安全，这表明此方法不具备前向保密性。其它安全缺陷还包括无线用户身份不易保护、公钥的认证操作复杂，预共享密钥认证中密钥不易管理等。
     与本发明相关的现有技术有：无线局域网 (Wireless Local Area Network， WLAN) 安全标准 802.11i。802.11i 安全标准中负责接入认证方面的 802.1X 标准支持两种认证方式，即基于公钥证书的认证方式和基于预共享密钥的认证方式。但是这两种方式都或多或少的存在着一些问题，前一种方式存在着公钥证书维护的相关操作，而后一种方式存在密钥托管问题。在 802.11i 的基础上， 802.11s 定义了有效 Mesh 安全关联 (Efficient Mesh Security Association， EMSA) 来实现 WMN 的安全接入。EMSA 安全框架在完成认证工作时沿用了 802.11i 标准中的安全技术，面临着通信量冗余、用户身份不易保护、不具备前向保密性、公钥证书维护复杂、存在密钥托管问题等挑战。
     西安电子科技大学曹春杰提出了 WMN 的接入、切换和漫游认证协议 (3 Parties Authentication and Key Exchange Protocol， 3PAKE)( 曹春杰 . 可证明安全的认证及密钥交换协议设计与分析 . 西安电子科技大学博士论文， 2008)，解决了其中的用户身份保护和前向保密性等问题，但协议沿用了 802.11i 的公钥认证和预共享密钥模式，仍然无法避免密钥托管问题和公钥证书维护问题。
     发明内容
     针对现有技术的不足，本发明拟解决的技术问题是，提供一种无线 Mesh 网络认证方法。该认证方法基于无证书公钥密码系统，利用 CL-PKC 的原理设计了协议，并用可证安全方法完成协议安全性的形式化证明，具有避免密钥托管问题、确保无线用户匿名性、避免公钥证书维护及具有可证安全属性的特点。本发明解决所述技术问题的技术方案是：设计一种无线 Mesh 网络认证方法，该认证方法基于无证书公钥密码系统，主要步骤包括： {F， G1， G2， q， Ppub， H1， H2}。
     (1) 可信第三方 TTP(Trusted Third Party) 初始化，然后公布系统公知参数；用户 (client) 和域管理者 (operator) 在可信第三方处完成线下注册过程， client 获得其长期私钥证书和长期公钥 operator 获得其长期私钥长期公钥和域参数 ( 因为 operator 需要向所处域内的 mesh-router 提供注册，所以向 TTP 注册时提交用于接受 mesh-router 注册的域参数并由 TTP 返回相应的域参数证书)；
     (2) 域接入点 mesh-router 在 operator 处进行域内注册，获得其域内私钥并周期性广播公知参数认证消息 1 ；的合法性，然后利用域参数证书中的域参数认证的合法和域内公钥
     (3)client 首先通过 TTP 发布的公知参数认证消息 1 中域参数证书性，最后根据
     验证 mesh-router 的对时间戳的签名，从而完成对 mesh-router 的认的合法性，证，对消息 1 的认证工作结束后，向 mesh-router 发送消息 2 ； (4)mesh-router 收到消息 2 后，通过 TTP 的公知参数验证消息 2 中并利用送消息 3 ；
     验证 client 对时间戳的签名，从而完成对 client 的认证，然后向 operator 发 (5)operator 将利用消息 3 所含和生成共享密钥 F(Ci， Oi) 加密部分秘和生成共享密密 M，即生成消息 4，并发送给 client，收到消息 4 后， client 使用的域内私钥
     钥 F(Oi， Ci) 解开加密信息获得部分秘密 M，利用该部分秘密 M， client 生成其在该认证域内和域内公钥和 mesh-router 的域内公钥告知 (6)client 利用已生成的域内私钥生成 client 与 mesh-router 之间的共享密钥 F ′ (Ci， MRi) 并通过消息 5 将的域内私钥
     mesh-router。收到消息 5 后，该共享密钥 F′ (Ci， MRi) 在 mesh-router 处由 mesh-router 和 client 的域内公钥生成。与现有技术相比，本发明利用 CL-PKC 的原理设计协议中各参与方的公钥、私钥、签名方式以及参与方之间的认证和密钥协商 (Authentication and Key Agreement， AKA) 过程，从而使初次接入到 WMN 中的用户端仅通过少量的三方交互完成 AKA 过程，并且在随后用户端的切换和组建用户端自组织 (ad hoc) 网络时所进行的 AKA 过程所需交互次数较少。本发明基于 CL-PKC 的基本理论和 WMN 的网络模型设计了 WMN 中各实体的注册过程和 WMN 的认证密钥协商方法，具有降低通信冗余、避免密钥托管问题、确保无线用户匿名性、避免公钥证书维护及具有可证安全属性等特点。附图说明
     图 1 为本发明无线 Mesh 网络认证方法一种实施例的注册模型示意图；
     图 2 为本发明无线 Mesh 网络认证方法一种实施例的域间 AKA 协议的过程示意图；图 3 为本发明无线 Mesh 网络认证方法一种实施例的域内 AKA 协议的过程示意图；图 4 为本发明无线 Mesh 网络认证方法一种实施例的用户间 AKA 协议的过程示意图。具体实施方式
     下面结合实施例及其附图进一步叙述本发明：
     首先介绍一下本发明用到的 CL-PKC 中双线性映射的基础知识：
     设 G1 和 G2 是两个 q 阶的循环群，其中 q 为一个大素数 (160 比特以上 )。G1 和 G2 分别为加法群和乘法群。G1、 G2 上的双线性映射 e ： G1×G1 → G2 是指满足如下性质的映射： ab
     ●双线性： e(aP， bQ) ＝ e(P， Q) ，其中 P、 Q ∈ G1， a、 b∈N；
     ●非退化性：如果 P、 Q ∈ G1 都不是 G1 的单位元，则 e(P， Q) ≠ 1 ；
     ●可计算性：存在一个有效的算法，对于任意的 P、 Q ∈ G1，可有效的计算 e(P， Q)。
     目前可用的双线性映射有椭圆曲线和 Abel 代数簇上的 Weil 映射和 Tate 映射。下列数学问题构成了本发明设计的安全基础。
     ● G1 上的 Computational Diffie-Hellman(CDH) 问题：设 G1 是以 q 为阶的循环群， * q 为一大素数， P 是 G1 的生成元。随机选取 (a、 b ∈ Zq 且未知 )，使得计算 abP ∈ G1 困难。
     ● Bilinear Diffie-Hellman(BDH) 问题：设 G1 和 G2 为两个阶为 q 的循环群， q为一大素数。e ： G1×G1 → G2 是一个双线性映射， P 是 G1 的生成元。随机选取 (a、 abc * b、 c ∈ Zq 且未知 )，使得计算 e(P， P) ∈ G2 困难。
     本发明设计的无线 Mesh 网络认证方法 (Certificateless Wirless Mesh Networks Authentication Scheme，简称 CWMNA 或认证方法，参见图 1-4)，该认证方法基于无证书公钥密码学 (CL-PKC)，由 “系统初始化” 和 “认证密钥协商” 组成。其中 “系统初始化” 包括 WMN 网络信任模型中系统参数构建和各实体初始化； “认证密钥协商” 则定义了基本的域内认证及会话密钥协商，域间切换的认证和会话密钥协商，以及用户间的双向认证和会话密钥协商。下面具体描述实施步骤：
     1. 系统初始化
     (1) 信任模型和概念
     在本发明中，由于 CWMNA 的设计依赖于混合型 WMN 网络模型，在设计 CWMNA 的信任模型时，也使用了域的概念。首先，在信任模型中存在一个由离线 CA(Certificate Authority) 担任的可信第三方 (TTP)，它将为所有的用户 (client) 和域管理者 (operator) 提供注册，完成注册后， client 和 operator 获得其长期私钥和长期公钥。如上所述，将信任模型化为不同的信任域，每个信任域由不同的域管理者 (operator) 管理用户的认证和会话密钥协商工作。 operator 在 TTP 完成了注册之后，获得长期公钥和长期私钥，因为还需要向所处域内的 mesh-router 提供注册，所以向 TTP 注册时提交用于接受 mesh-router 注册的域参数并由 TTP 返回相应的域参数证书。operator 本身并不对用户身份进行认证，而是利用在其所管理域内注册的 mesh-router 代替其完成对 client 的认证工作。mesh-router 在完成了在 operator 的注册之后获得其域内公钥和域内私钥，成为该 operator 管理域内的一个 WMN 接入点。client 则是在完成与 mesh-router 的双向认证后，完成在 operator 处的域内注册过程并获取其域内公钥和域内私钥。其中长期私钥和长其公钥以及域内公钥和域内私钥的具体作用将在下一部分阐述。信任模型如图一所示。
     将 operator 记做 Oi， client 记做 Ci。用户 Ci 在 TTP 处注册后，所生成的长期公钥、长期私钥分别记做记做 Oi 在 TTP 处注册所得长期公钥、长期私钥分别记做在注册过程结束后，将生除此之外 Oi 还能获得的域参数的证明材料，记做 Oi 所管理的域内注册，加入 Oi 域的 mesh-router 记做成其域内公钥、域内私钥，分别记做其域内公钥、域内私钥，分别记做而 Ci 在通过双向认证之后将会生成另外，将使用对称密钥 K 对信息 M 进行加密记做 EK(M)，将使用私钥 SK 对信息 M 的签名记做 SIGK(M)，利用密钥 K 对信息 M 的哈希签名记做 hK(M)。
     (2)TTP 初始化
     TTP 负责接受 client 和 operator 的注册，并分别返回其长期公钥、长期私钥以及 operator 的域参数证书。同时公布一些公知参数使各参与方可以随时随地验证某一长期公钥或者某一域参数证书，以及某一长期私钥对某信息的签名的合法性。这些公知参数定义如下：首先选择大素数 q 和以 q 为阶的加法群 G1 和以 q 为阶的乘法群 G2，以及 G1 的生成元 P，并且 F ： G1×G1 → G2 为 G1 和 G2 上的双线性映射。还要选择一个 TTP 主密钥 s ∈ Zq，并计 * * 算 Ppub ＝ sP ∈ G1。设 H1 ： {0， 1} → G1， H2 ： Zq×G1×{0， 1} → Zq 为哈希函数。最后， TTP 公布其公知参数如下： {F， G1， G2， q， Ppub， H1， H2}
     (3)client 注册
     用户 i 提供其身份信息 IDi 并发送给 TTP， TTP 获知此参数后，将该参数做哈希运算得并用系统主密钥 s 与相乘得并将该作为部分秘密返回给用户 i。用户 i 收到从 TTP 返回的部分秘密后，将随机选择自己的部分秘密 xCi ∈ Zq 并与之相乘得其长期私钥验证其合法性的方法如下：息 M 的签名是：
     然后生成其长期公钥其对应的长期私钥对信验证签名方法如下：(4)operator 注册 operator 的注册过程与 client 注册相类似，发送自己的给 TTP，返回获知此秘密后， operator 选择自己的部分秘密 xOi，然后部分秘密同时生成自己的公钥 PKOi ＝ (xOisP，将两者相乘得 operator 的私钥 SKOi ＝ xOisQOi， xOiQOi)。由于 operator 还需负责提供域内 mesh-router 注册，所以在 operator 在向 TTP 注册的过程中，还需向 TTP 提供自己的域参数， TTP 将通过返回相应的域参数证书，来对该域参数提供证明。域参数选择方法如下：选择大素数 q ′，以及以 q ′为阶的加法循环群 G1 ′和乘法循环群 G2 ′，同时选择 P ′作为 G1 ′的生成元。并且双线性映射 F′满足 F′ ： G1 ′ ×G1 ′ → G2 ′。另外，设新哈希函数 H1 ′ 和 H2 ′ 分别为 H1 ′ ： {0， 1}* → G1 ′， H2 ′ ： Zq ′ ×G1 ′ ×{0， 1}* → Zq ′，最后计算随后生成域参数为6其中101977380 A CN 101977385说明书5/13 页TTP 返回的域参数证书如下所示： sH1(domain-params)} 验证域参数证书的方法 domain-params-certOi ＝ {domain-params，是： F(P， sH1(domain-params)) ＝ F(H1(domain-params)， Ppub)。
     (5)mesh-router 注册
     与 operator 和 client 的注册过程相似，只是 mesh-router 在注册时使用的参数不同，具体过程如下： mesh-router 发送自己的身份算得完成后将给所在域的 operator，在收到 mesh-router 的身份信息后， operator 会对其身份信息进行哈希运作为 mesh-router 的部分秘密返回给与返回的 mesh-router 以及与其对应的域内公钥 mesh-router。mesh-router 随后生成自己的部分秘密的部分秘密相乘即可得到其域内私钥，即验证方法是：其域内私钥对信息 M 的签名为验证该签名的方法如下所示：2. 认证密钥协商
     (1) 域间 AKA
     为方便描述协议过程，将请求接入 WMN 的 client 记做 C1，负责为 C1 提供接入服务的 mesh-router 记做 MR1， C1 所接入的 WMN 域的 operator 记做 O1。那么域间 AKA 过程如图 2 所示。
     MR1 在其信号范围内周期性广播信息 (A.1)，该信息包括的内容有： O1 的域参数
     证书域内私钥MR1 的域内公钥对时间戳的签名时间戳 timestamp1，以及使用 MR1 收到该信息之后， C1 将首先利用进行验证。确证可信后，TTP 公布的公知参数，对 O1 的域参数证书将利用其中的域参数对进行验证，验证通过后，利用该公钥和时间戳 timestamp1 对进行验证，当签名验证也通过后，则证明 O1 和 MR1 均可信。
     在 C1 完成对信息 (A.1) 检验之后，将向 MR1 发送信息 (A.2)。其中包含用户的时间戳 timestamp2，利用域参数中的对时间戳和身份值的签名计算的用户身份值以及其中，不直接发送 C1 的哈希值即长期公钥使用私钥的身份信息是因为根据算法在未来生成会话密钥的过程中只需要这样一来不但节省了 operator 的工作量，还能很好的隐藏了用户的身份，有效的保护了用户的隐私。
     MR1 收到信息 (A.2) 之后将利用 TTP 公布的公知参数对 C1 的公钥进行验证，验证通过之后，结合时间戳 timestamp2 和身份信息值对用户的签名进行验证。通过之后，则完成对用户 C1 的认证过程。至此，双向认证过程完成。随后， MR1 将通过在 WMN 网络部署前，在域 operator 注册时建立的安全通道将和发送给 O1，即信息 (A.3)。对 O1 来说，它相信从安全通道发送来的任何信息，那么收到信息 (A.3) 意味着 MR1 已经通过了对 C1 的身份认证， O1 仅需要完成对 C1 的域内注册过程，生成其域内公钥和域内私钥。对 C1 来说，只有生成自己的域内公钥和域内私钥，才能完成与 MR1 的会话密钥协商过程和未来的域内切换认证过程。具体过程： O1 收到信息 (A.3) 之后，将通过 C1 的公钥得信息
     和自己的私钥生成 O1 与 C1 之间的共享密钥 F(C1， O1)，其生成过程：随后，通过该密钥加密 C1 需要的部分秘密此信息将从 O1 传送回 MR1 再由 MR1 传送给 C1。收到 (A.4) 信息后， C1 通过在信息 (A.1) 中获得的 O1 的公钥来生成两者之间的共享密钥 F(O1， C1)，其生成过程如下：由于计算共享密钥的过程是双线性映射和自己的私钥运算， F(O1， C1) 与 F(C1， O1) 相等，证明如利用该共享密钥 C1 解开 (A.4) 得到部分秘密，然后生成随机选择自己的秘密因子的域内私钥域内公钥随后生成在该域随后即可利用生成该共享密钥后，将结合时间戳 timestamp3 制作哈希签名己的域内私钥和 C1 的域内公钥收到消息 (A.5) 后， MR1 将利用自生成共享密钥 F′ (MR1， C1)，生成过程如下与生成 O1 和 C1 之间的共享密钥相似，因为生成该共享密钥的方法是双线性映射，则 F′ (C1， MR1) 与 F′ (MR1， C1) 相等，推导如下：
     该域公私密钥对完成和的密钥协商过程，即信息 (A.5) 所示。其中协商出的共享密钥然后利用该共享密钥和时间戳 timestamp3，验证该签名是否有效。若有效，则证明 C1 成功生成共享密钥，该共享密钥即用作 C1 和 MR1 之间的会话密钥使用。至此，域间 AKA 过程描述完毕。
     (2) 域内 AKA
     有了上面的工作成果做基础，域内 AKA 过程就能很迅速的完成了，假设用户 C1 从 MR1 的信号范围内移动到 MR2 的信号范围内，用户将中断和 MR1 的通信转而和 MR2 进行 AKA 过程。具体步骤如图 3 所示：
     MR2 在其信号范围内周期广播信息 (B.1)，其中包含内容与 MR1 广播的信息 (A.1) 类似。用户 C1 收到该信息后，执行一遍类似于对信息 (A.1) 所执
     行的验证操作。完成验证后即确证 MR2 合法有效后，利用自己的域私钥和 MR2 的域内公钥钥8执行一遍类似 (A.5) 的工作，其中用于哈希签名的密随后发送信息 (B.2) 给101977380 A CN 101977385说明书7/13 页MR2。MR2 收到信息后，先验证合法性，通过后即可与域内私钥生成密钥证明过程如下：利用该密钥验证完对时间戳的哈希签名后，即可确证会话密钥 F′ (C1， MR2) 成功生成。至此，域内切换及密钥协商过程完成。
     (3) 用户间 AKA
     在网络模型提到， WMN 网络与传统 WLAN 的一个重要不同点就是 WMN 域内的众多 client 可以自组织一个 ad hoc 网络，然后通过统一的低频信号进行直接通信。在设计中，由于每个用户在接入认证过程完成的时候，都获得了自己的域内公钥和域内私钥。那么在组成 ad hoc 网络的过程中，将利用各个用户已经生成的域内公钥私钥对来完成认证和会话密钥协商工作。其工作过程如图 4 所示：
     首先，对用户 C1 来说，可以从其接入的 mesh-router 那里获得该域内其他用户的域内公钥，而负责接入服务的 mesh-router 也有义务向用户提供这些
     数据； C1 查询到 C2 的域内公钥成两者之间的共享密钥同时利用自己的域内私钥可以生生成方法与前面介绍方法相同。然后再利用该共享密钥对时间戳进行哈希签名；最后将这三部分合成消息 (C.1)，并将该消息发送给 C2， C2 收到信息 (C.1) 后将根据 C1 的域内公钥和自己的域内私钥生成共享密钥该密钥与 F ′ (C1， C2) 相等，证明过程：
     利用该共享密钥和时间戳 timestampa， C2 将可以验证消息 (C.1) 中的签名签名验证成功后， C2 将建立与 C1 的通信连接，而会话密钥就是 F′ (C2，C1)。至此，用户间的认证和密钥协商过程完成。
     在设计协议 CWMNA 中， client 与 operator 在进行 TTP 处注册的过程中， TTP 返回给 client 和 operator 的只是它们所需要的部分秘密，而 client 和 operator 在收到各自的部分秘密以后才又分别选择了各自的秘密因子从而在本地生成了各自的长期私钥和长期公钥，也就是说 TTP 并不知道 client 和 operator 的秘密因子所以根本无从获取 client 与 operator 的长期私钥，因此避免了密钥托管问题。另一方面，正因为在 CL-PKC 中， client 和 operator 是在从 TTP 处获取了部分秘密才生成各自的域内公钥，而 TTP 同时公布一份公知参数，任何想要验证 client 或 operator 长期公钥合法性的参与方，只需利用该 TTP 的公知参数进行双线性映射运算即可。用户的匿名性是在用户进行接入认证过程中体现并保证的，用户在通过了身份认证并进行域内注册时，因为域内注册过程只需要用户身份 ID 的哈希值而并不是用户 ID 本身，所以协议中 client 在通过身份认证时传递的仅仅是本身 ID 的哈希值，因此对 mesh-router 和 operator 来说只是知道 client 身份合法而并不知道
     client 的具体身份 ID，所以用户的匿名性得到了妥善的保证。
     本发明协议性能的对比：
     一个协议的性能指标主要包含两部分：通信开销和计算开销。其中，通信开销主要体现在消息数量上，而计算开销主要体现在运算量比较大的公钥操作上。表 1 给出了 CWMNA 在域内认证密钥协商过程 ( 其它 2 种认证密钥协商具有更少的开销 ) 中与现有 802.1X 的三种认证方式之间的性能对比：
     表1：协议性能对比表
     由表 1 可以看出，由于 CWMNA 在设计中使用双线性映射技术，因此对用户来说在验证 operators 和 mesh-router 两者身份时进行的计算量和传统认证方式所进行的模指数运算和公钥签名以及验证签名的计算量相当，但是在 CWMNA 中所做的签名过程是基于椭圆曲线的而且仅仅是做一次简单的标量乘计算，所以 CWMNA 中 clients 的计算量相对较小。在 CWMNA 中，将 EMSA 认证方式中集中在 Mesh 密钥分发者 (Mesh Key Distributors， MKD) 和 AS 的认证工作分散到众多的 mesh-router 中来完成。综上所述， CWMNA 的计算开销几乎与 802.1X 框架中所使用的几种认证方式持平； CWMNA 的消息轮数只有 3 轮，具有最小的通信开销。
     本发明认证协议的形式化证明：
     本发明通过 UC 安全模型对 CWMNA 的安全性进行证明。
     由于设计 CWMNA 的理论基础是无证书公钥密码学 (CL-PKC)，并且在设计协议的过程中，大量运用部分秘密的手段完成会话密钥的协商。所以，选择文献 (D.Boneh and M.Franklin.Identity-based Encryption from the Weil pairing.SIAM Journal of Computing， 2003， 32(3) ： 586-615.Extended abstract in Advances in Cryptology--Crypto 2001.LNCS 2139， Heidelberg ： Springer-Verlag， 2001.213-229.) ( 丹· 波内和马特· 富兰克林 . 基于 Weil 对的基于身份的加密 . 计算数学学报， 2003，
     32(3) ： 586-615. 密码学进展扩展文摘—— 2001 密码学会议 . 计算机科学讲义 2139，海德堡：施普林格出版社， 2001.213-229.) 中所列举的诸多双线性映射困难性问题中的 “判定双线性 Diffie-Hellman(DBDH) 问题” 作为证明的理论依据，并依据此问题做出合理的不可区分性假设，即 DBDH 假设。
     在提出假设之前，先做如下定义： k
     定义 1 ： {0， 1} 表示长度为 k 的二进制序列集合。
     定义 2 ： N ← RS 表示从集合 S 中随机选取元素 N。
     定义 3 ：可忽略：称一个实函数 ε(k) 可忽略的，若对于任意 c ＞ 0，存在 kc ＞ 0 使 -c 得对所有 k ＞ kc 有 ε(k) ＜ k 。
     定义 4 ：多项式时间不可区分性：称 X ＝ {Xn|n ∈ N} 和 Y ＝ {Yn|n ∈ N} 两个样本空间是多项式时间不可区分的，若任意概率多项式时间算法 D， |Pr[D(Xn， N) ＝ 1]-Pr[D(Yn， N) ＝ 1]| 是可以忽略的。多项式时间不可区分性也称为计算不可区分性。定义 5 ：判定双线性 DH 问题 (DBDHP)
     给定 (P， aP， bP.cP， γ)，其中 a， b， c ← RZq*， γ ← RG2，若 γ ＝ e(P， P)abc，输出 “是” ，否则输出 “否” 。据此，可以得出相应的 DBDH 假设如下：任何一个 PPT 算法 A 在群 G1， G2 内解决 DBDHP 的优势定义为：据此，可得：
     DBDH 假设：对于任何 PPT 算法 A，可忽略。根据定义 5 的 DBDH 假设和定义 4，有 DBDH 假设的如下形式：
     选择大素数 q，以及以 q 为阶的加法循环群 G1，和同以 q 为阶的乘法循环群 G2，同 * 时定义双线性映射 e ： G1×G1 → G2， P 为群 G1 上的生成元， a， b， c 是从 Zq 中均匀选取， γ是从群 G2 中随机选取的。则对于任何多项式时间算法 D， Q0 ＝ {(q， P， aP， bP， cP， e(P， P)abc) ： a， b， c ← Zq*} 和 Q1 ＝ {(q， P， aP， bP， cP， γ) ： a， b， c ← Zq*， γ ← G2} 的概率分布是计算不可区分的。
     首先对本发明设计协议 CWMNA 进行抽象，过程如下：
     定义符号：
     Authentication Server(AS) ，Authentication(A) ID R ：Supplicant(S)。
     AS 从 TTP 那里注册是生成的合法性证明材料。在 AS 所控制域中的某一 A 的身份认证材料，使对消息的哈希值进行签名，保证消息完整性和完成身份认证。用户端 S 的身份认证材料，使用其长期私钥 SKR 对消用户端 S 与 AS 之间的共享密钥，既用来加密部分秘也用来认证 AS 身份。用户端 S 与接入者 A 之间的共享密钥，先用来完用其域内私钥
     息的哈希值进行签名，保证消息完整性并且完成身份认证。
     密
     成密钥生成确证，后用作会话密钥加密未来的会话信息。本发明 CWMNA 协议被抽象为： R→I： AuthR定理 1 ：真实模型下协议 π 安全实现了理想函数 FKE，因此对任何环境机 Z，等式 REALπ，则称设计协议 π 是 UC 安全的。 A， Z ≈ IDEALFKE， S， Z 均成立，
     协议 π 安全性证明的思路：首先给出密钥交换的理想函数 FKE 并分别设计协议 π′和协议 ρS，其中协议 ρS 安全实现了签名理想函数 Fsig。随后证明协议 π′在混合模型 Fsig-hybird 通过调用 Fsig 安全实现了 FKE，最后将协议 π′和协议 ρS 进行组合，通过 UC 安全组合定理，证明组合协议与设计协议 π 等价，协议 π 在现实模型下实现了 FKE。
     引理 1 ：令 Sig ＝ (gen， sig， ver) 是如文献 (Canetti R， Krawczyk H.Universally composable notions of key exchange and secure channels[G].LNCS 2332 ： Proc of the Advances in Cryptology EUROCRYPT 02.Berlin Springer， 2002 ： 337-351.)( 卡内提，克拉夫奇克 . 密钥交换和安全通道通用可组合的概念 [G]. 计算机科学讲义 2332 ：密码学进展 —— 欧洲密码学会议 02. 柏林斯普林格， 2002 ： 337-351) 定义的签名，那么在真实环境下，协议 ρS 对于静态的攻击者可以安全实现 Fsig，当且仅当 S 能够抵抗选择消息存在性伪
     造，构造能安全实现 Fsig 的协议 ρS，如下所示：
     Ideal-life 中的协议 ρs
     协议参与者 Pi， Pj，运行基于签名算法 Sig ＝ (gen， sig， ver) 的协议 ρs，进行交互。
     ● Pi 收到输入 (signer， id) 后执行算法 gen，保留签名密钥 s，将验证密钥 v 发送给 Pj
     ●当 Pj 需要对某消息 m 进行签名，则将 (sign， id， m) 发送给 Pi， Pi 令 σ ＝ sig(s， m)，并将 (signature， id， m， σ) 发送给 Pj
     ●当 Pj 需要对某消息 m 签名进行验证，则将 (verify， id， m， σ) 发送给 Pi， Pi 则输出 (verified， id， m， ver(v， m， σ)) 给 Pj
     引理 2 ：如果 DBDH 假设成立，且消息认证算法是安全的，协议 π′在模型 Fsig-hybird 下安全实现理想函数 FKE。
     证明：首先设计 Fsig-Hybird 中执行的协议 π′，如下所示。
     令 q 为大素数， G1 是 q 为阶的加法循环群， P 是 G1 上的生成元，协议参与者 Pi 和 Pj，在混合模型 Fsig-Hybird 中运行协议 π′。
     当协议发起者 Pi 得到输入 (Pi， Pj， sid)，则发送初始化信息 (signer， 0， sid) 给 Fsig，同理，当协议响应者 Pj 得到输入 (Pj， P i， sid)，则发送初始化信息 (signer， 1， sid) 给 Fsig。
     协议发起者 Pi 组织信息并计算信息 M1 的哈希值h(M1)，发送 (sign， 0， sid， h(M1)) 给 Fsig，得到其返回签名 δi，最后发送给 Pj 信息 (Pi， sid，″ start″ M1， δi)。协议接收者 Pj 收到起始信息后，利用公知参数即可获知的正确性。随后计发送 (verify， 0， sid， Pi， h(M1)， δi) 给 Fsig，验证通过后，将组织信算信息 M1 哈希值 h(M1)，息供参数
     计算 h(M2)。发送信息 (sign， 1， sid， h(M2)) 给 Fsig，得其签名返回值 δj，可以提再利用 Pj 的长期私钥 SKR，生成共享密钥 K1 备用。 Pi 收到 Pj 的返回信息后，计算信息 M2 的哈希值 h(M2)，发送 (verify， 1， sid， Pj，生成共享密随后用密可以生成需要传回给 Pj 的部分秘密最后发送给 Pi 信息 (Pj， sid， M2， δj)。与此同时，收到起始信息时验证通过的δj) 给 Fsig，验证通过后，利用 Pj 的长期公钥 PKR 和 I1 的长期私钥 h(M2)，钥 K1。同时通过信息 M2 中包含的钥 K1 加密部分秘密
     和时间戳 TS3，形成信息以及对应的域内公钥将信息 M3 发送给 Pj。并据此生和利用域内私钥Pj 收到信息 M3 后将利用已生成的密钥 K1 解开信息得到部分秘密成 Pj 的域内私钥 I2 的域内公钥可以生成共享密钥 K2。随后生成时间戳 TS4，并利用共享密钥 K2，形成信息 M4，并发送给 Pi 信息 (Pj， sid， M4)。而和形成共享密钥 K2，结合时间对 (TS3‖TS4) 做哈希运算得本地输出信息 (sid， Pi， Pj， K1， K2)。
     Pi 收到最后信息后，将利用戳 TS3 和时间戳 TS4，验证信息 M4 是否可信，若验证通过，则本地输出信息 (sid， Pi， Pj， K1， K2)。
     随后定义在混合模型 Fsig-Hybird 下的攻击者 H，同时构造在理想环境下的攻击者 S( 即是仿真器 S)。使得对于任何环境机 Z 来说，其不能分辨是与仿真器 S 与 H 和协议 π′ 在混合模型 Fsig-Hybird 下交互，还是与 S 和 FKE 在 Ideal-life 下进行交互。即：对任何环境机 Z 来说，等式
     均成立。对于仿真器 S ：
     (1). 任何从 Z 的输入均传递给 H，任何 H 的输出均可作为 S 的输出可被 Z 读取。
     (2). 当 S 从 FKE 处收到信息 (sid， Pi， Pj， role)，得知 Pi 和 Pj 发起了认证密钥交换过程。S 将模拟 Fsig-hybird 模型下的 Fsig 和在该模型下执行协议 π′，并给定同样类型的输入。并且 S 让 H 和 Pi， Pj 按照协议 π′的执行规则与 Z 交互。与此同时， S 可以激活 Fsig 生成相应的签名值 δ。
     (3). 当 π′中的某个参与方 Pi 产生了本地输出，而此时另一参与方 Pj 并未被攻陷，那么 S 将 FKE 的输出发送给 Pi。若 Pj 被攻陷，则 FKE 让部分 S 决定密钥， S 将利用前面 Pi 输出来确定仿真的 Pi， Pj 的本地输出密钥。
     (4). 当 H 执行攻陷 Pi 的操作， S 同样攻陷 Pi。如果 FKE 已经给参与方 Pi 发送了密钥，则 S 将得到该密钥。如果 Pi 和 Pj 均没有产生本地输出，则 S 将其内部状态传递给 H，包括他们的秘密选值。如果 Pi 和 Pj 其中一方已经产生本地输出，则擦除他们的临时私钥， S 将直接把本地输出密钥传递给 H。
     仿真器 S 的有效性。假设存在一个环境机 Z′，能够以不可忽略概率区分混合模型下的交互与理想模型下的交互，即13为 1/2 加 ε，101977380 A CN 101977385说明书12/13 页ε 不可忽略。那么构造一个区分器 D( 如下所示 )，利用该环境机 Z′来破解 DBDH 假设，进而规约到矛盾。
     对于区分器 D ：
     (1). 以 1/2 概率选择，选择 Q ← {Q0， Q1} 作为 D 的输入，记为 {q， P， α*， β*， γ*}。
     (2). 随即选择 τ ← {1， 2，…… l}， l 作为攻击者能发起的会话数的上届。然后仿真 Fsig-hybird 中 π′和 H 以及环境机 Z 之间的交互。
     (3). 当 H 激活了一个参与方建立一个新的对话 t(t ≠ τ) 或者接受一条消息时， D 代表该参与方按照协议 π′在 Fsig-hybird 中进行正常交互。如果 t ＝ τ，则 D 代表 Pi * 向 Pj 发送消息 (Pi， sid， α， δi)，当 Pj 收到该消息后，将调用 Fsig 生成其对应信息的签名， * 随后发送给 Pi 信息 (Pj， sid， β， δi)，最后 D 让参与方 Pi， Pj 都产生本地输出 (sid， P i， Pj， * γ )。
     (4). 如果 H 攻陷了一个参与方，则 D 把该参与方的内部状态返回给 H，如果被攻陷的参与方是会话 τ 的参与方之一，则 D 输出一随机比特 b′← {0， 1} 并终止。
     (5). 如果 Fsig-hybird 中的协议 π′运行完成后， Z 输出 b，则 D 输出 b′＝ b 并终止。
     根据 D 的执行可以得出：如果 D 输入是从 Q0 中选出的，那么 γ* 是在混合模型下交互双方输出的真实密钥，对 D 来说其视角等同在混合模型 Fsig-hybird 中的协议 π′与攻击者 H 的交互。如果 D 的输入是从 Q1 中选出的，那么 γ* 是一随机值，因为 FKE 生成密钥的方式就是在 G2 群中随机选取一个值。而此时 D 的视角等同于在理想模型 Ideal-life 下 FKE 与 S 的交互。根据区分器 D 的原理， D 成功区分 Q0 和 Q1 的概率等同于环境机 Z′成功区分混合模型和理想模型的概率，即区分器 D 能 1/2 加上一个不可忽略的概率 ε，成功区分 Q0 和 Q1。而这是与 DBDH 假设相矛盾。得证。
     引理 3 ：令 π ′ 为模型 Fsig-hybird 下运行协议，协议 ρS 为安全实现 Fsig，那么对任何攻击者 A 都存在一个攻击者 H，使得对任何环境机 Z 来说等式 REALπ-ρS，A，即组合协议 π-ρS 安全仿真了 Fsig-hybird 下的协议 π′。 H， Z 均成立， Z ≈ Fsig-hybirdπ′，
     引理 4 ：真实环境下，组合协议 π-ρS 与协议 π 等价。
     证明：将混合模型 Fsig-hybird 下协议 π′对 Fsig 的访问全部换成对协议 ρS 的访问，即可得出协议 π′ -ρS 与协议 π 等价。
     根据引理 1 至 4，可以推出定理 1。证明完毕。
     协议具有完善前向保密 (Perfect Forward Secrecy， PFS)。所谓 PFS 即是：当所有通信参与者的长期私钥均被破解时，以前的会话密钥仍不受影响。在协议中，用户的长期私钥和域 operator 的长期私钥起到的作用都是完成认证功能，至于未来的会话密钥的生成则是用户重新选择新的秘密因子生成的，所以即便用户的长期私钥和 operator 的长期私钥均被破获，由于新秘密因子的存在， Adversary 仍然无法获知会话密钥，以前的会话内容仍然安全。
     协议具有已知密钥安全 (Known Key Security， KKS)。KKS 是指即使攻击者知道了以前的会话密钥，协议仍然能够保证当前会话密钥的安全。在本发明协议中，如果以前的会话密钥被破获，那么 Adversary 将可以获得以前用该会话密钥加密的内容，但是即使 Adversary 拥有该会话密钥即 F(C1， MR1) 和 MR1 的公钥14根据双线性映射的单向性，想101977380 A CN 101977385说明书13/13 页从作为映射的生成结果 F(C1， MR1) 和其中一个参数私钥计算出另一个参数即用户的域是不可能的。既然用户的域私钥得到了保护，那么在未来域内切换过程中，和其他 MR 生成的会话密钥也是不可获知的。
     协议具有非密钥泄露伪装 (no Key Compromise Impersonation， Non-KCI)。 Non-KCI 是指当 A 的长期私钥泄露后，攻击者在协议中只能伪装成 A，而不能对 A 伪装成其他任何人。在协议中，向 TTP 注册过程都是线下以安全的方式进行的，而且 TTP 给各个注册者返回的都是部分秘密，即长期私钥伪造他人的身份，需要从
     即使 Adversary 获得了注册者的长期私钥，要想利用该中解出 TTP 的秘密因子 s 来，而这面临大数分解难问题，计算上是不可行的。所以 Non-KCI 的安全性目标成功实现。协议具有非未知密钥共享 (no Unkown Key Share， Non-UKS)。Non-UKS 指的是攻击者 Adversary 能够使用户 A 以为和攻击者 Adversary 共享秘密，事实上是用户 A 和用户 B 共享秘密。在前面提到的协议完成了显式密钥认证，而显式密钥认证就意味着可以防止密钥未知共享。
     简言之，本发明利用无证书公钥密码系统的基本原理，根据无线 Mesh 网络实际应用时的网络模型和安全问题设计了与之相适应的注册模型和认证密钥协商方法。本发明描述了无线 Mesh 网络接入认证的完整方法，具有降低通信冗余、避免密钥托管问题、确保无线用户匿名性以及避免公钥证书维护的特点。本发明所述的无线 Mesh 网络接入方法采用通用可组合 (Universally Composable， UC) 安全模型进行了安全性的证明，具有可证安全协议设计的特点和相关的安全属性。本发明未述及之处适用于现有技术。

资源描述

《一种无线MESH网络认证方法.pdf》由会员分享，可在线阅读，更多相关《一种无线MESH网络认证方法.pdf（17页珍藏版）》请在专利查询网上搜索。

1、10申请公布号CN101977380A43申请公布日20110216CN101977380ACN101977380A21申请号201010542745222申请日20101115H04W12/04200901H04W12/0620090171申请人天津工业大学地址300160天津市河东区成林道63号72发明人刘文菊魏栖栖王赜李璐时珍全柯永振74专利代理机构天津翰林知识产权代理事务所普通合伙12210代理人李济群54发明名称一种无线MESH网络认证方法57摘要本发明公开一种无线MESH网络认证方法，该认证方法基于无证书公钥密码系统，主要步骤包括1可信第三方初始化，然后公布系统公知参数；2域接入点。

2、在域管理者处进行域内注册，并周期性广播公知参数认证消息1；3用户首先通过可信第三方发布的公知参数认证消息1中域参数证书的合法性，然后利用域参数认证域接入点域内公钥的合法性，最后根据域接入点域内公钥验证域接入点的对时间戳的签名，完成对域接入点的认证，认证工作结束后，向域接入点发送消息2；4域接入点收到消息2后，验证消息2中用户长期公钥的合法性，并利用用户长期公钥验证用户的对时间戳的签名，完成对用户的认证，然后向域管理者发送消息3。51INTCL19中华人民共和国国家知识产权局12发明专利申请权利要求书1页说明书13页附图2页CN101977385A1/1页21一种无线MESH网络认证方法，该认证。

3、方法基于无证书公钥密码系统，主要步骤包括1可信第三方初始化，然后公布系统公知参数；用户和域管理者在可信第三方处完成线下注册过程，用户获得用户长期私钥和用户长期公钥，域管理者获得其域管理者长期私钥、域管理者长期公钥和域参数证书；2域接入点在域管理者处进行域内注册，获得域接入点域内私钥和域接入点域内公钥，并周期性广播公知参数认证消息1；3用户首先通过可信第三方发布的公知参数认证消息1中域参数证书的合法性，然后利用域参数证书中的域参数认证域接入点域内公钥的合法性，最后根据域接入点域内公钥验证域接入点的对时间戳的签名，完成对域接入点的认证，对消息1的认证工作结束后，向域接入点发送消息2；4域接入点收到。

4、消息2后，通过可信第三方的公知参数验证消息2中用户长期公钥的合法性，并利用用户长期公钥验证用户的对时间戳的签名，完成对用户的认证，然后向域管理者发送消息3；5域管理者将利用消息3所含用户长期公钥和域管理者长期私钥生成共享密钥加密部分秘密，即生成消息4，并发送给用户，收到消息4后，用户使用域管理者长期私钥和用户长期公钥生成相同的共享密钥解开加密信息获得部分秘密，利用该部分秘密，用户生成其在该认证域内的用户域内私钥和用户域内公钥；6用户利用已生成的用户域内私钥和域接入点的域内公钥，生成用户与域接入点之间的共享密钥，并通过消息5将用户的域内公钥告知域接入点；收到消息5后，该共享密钥在域接入点处由域接。

5、入点域内私钥和用户域内公钥生成。权利要求书CN101977380ACN101977385A1/13页3一种无线MESH网络认证方法技术领域0001本发明涉及一种无线网络安全技术，具体为一种无线MESH网络的认证方法。该认证方法基于无证书公钥密码学CERTIFICATELESSPUBLICKEYCRYPTOGRAPHY，简称CLPKC。背景技术0002由于整个网络架构的开放性，安全性问题已经成为制约无线MESH网络WIRELESSMESHNETWORKS，WMN发展的瓶颈。目前应用在WMN中的安全机制是IEEE工作组于2007年4月公布的DRAFT80211SD101标准中所规定沿用的80211。

6、I机制，即通过传统的8021X和四步握手进行接入认证和密钥协商，而在这种传统的认证过程中最终用于生成会话密钥的主密钥PRIMARYMASTERKEY，PMK是由认证服务器AUTHENTICATIONSERVER，AS生成并且通过安全通道直接传递给MESH路由器MESHROUTER的，这显然是用户CLIENTS所不愿看到的，因为AS知道PMK即可生成CLIENTS与MESHROUTER之间的会话密钥，其中所有内容均可被AS获取，即使AS是诚实的，但是一旦AS被敌手ADVERSARY攻破并完全控制，那么其PMK也将暴露，所有的会话内容也将不再安全，这表明此方法不具备前向保密性。其它安全缺陷还包括无。

7、线用户身份不易保护、公钥的认证操作复杂，预共享密钥认证中密钥不易管理等。0003与本发明相关的现有技术有无线局域网WIRELESSLOCALAREANETWORK，WLAN安全标准80211I。80211I安全标准中负责接入认证方面的8021X标准支持两种认证方式，即基于公钥证书的认证方式和基于预共享密钥的认证方式。但是这两种方式都或多或少的存在着一些问题，前一种方式存在着公钥证书维护的相关操作，而后一种方式存在密钥托管问题。在80211I的基础上，80211S定义了有效MESH安全关联EFFICIENTMESHSECURITYASSOCIATION，EMSA来实现WMN的安全接入。EMSA安。

8、全框架在完成认证工作时沿用了80211I标准中的安全技术，面临着通信量冗余、用户身份不易保护、不具备前向保密性、公钥证书维护复杂、存在密钥托管问题等挑战。0004西安电子科技大学曹春杰提出了WMN的接入、切换和漫游认证协议3PARTIESAUTHENTICATIONANDKEYEXCHANGEPROTOCOL，3PAKE曹春杰可证明安全的认证及密钥交换协议设计与分析西安电子科技大学博士论文，2008，解决了其中的用户身份保护和前向保密性等问题，但协议沿用了80211I的公钥认证和预共享密钥模式，仍然无法避免密钥托管问题和公钥证书维护问题。发明内容0005针对现有技术的不足，本发明拟解决的技术问。

9、题是，提供一种无线MESH网络认证方法。该认证方法基于无证书公钥密码系统，利用CLPKC的原理设计了协议，并用可证安全方法完成协议安全性的形式化证明，具有避免密钥托管问题、确保无线用户匿名性、避免公钥证书维护及具有可证安全属性的特点。说明书CN101977380ACN101977385A2/13页40006本发明解决所述技术问题的技术方案是设计一种无线MESH网络认证方法，该认证方法基于无证书公钥密码系统，主要步骤包括F，G1，G2，Q，PPUB，H1，H2。00071可信第三方TTPTRUSTEDTHIRDPARTY初始化，然后公布系统公知参数；用户CLIENT和域管理者OPERATOR在可。

10、信第三方处完成线下注册过程，CLIENT获得其长期私钥和长期公钥OPERATOR获得其长期私钥长期公钥和域参数证书因为OPERATOR需要向所处域内的MESHROUTER提供注册，所以向TTP注册时提交用于接受MESHROUTER注册的域参数并由TTP返回相应的域参数证书；00082域接入点MESHROUTER在OPERATOR处进行域内注册，获得其域内私钥和域内公钥并周期性广播公知参数认证消息1；00093CLIENT首先通过TTP发布的公知参数认证消息1中域参数证书的合法性，然后利用域参数证书中的域参数认证的合法性，最后根据验证MESHROUTER的对时间戳的签名，从而完成对MESHROU。

11、TER的认证，对消息1的认证工作结束后，向MESHROUTER发送消息2；00104MESHROUTER收到消息2后，通过TTP的公知参数验证消息2中的合法性，并利用验证CLIENT对时间戳的签名，从而完成对CLIENT的认证，然后向OPERATOR发送消息3；00115OPERATOR将利用消息3所含和生成共享密钥FCI，OI加密部分秘密M，即生成消息4，并发送给CLIENT，收到消息4后，CLIENT使用和生成共享密钥FOI，CI解开加密信息获得部分秘密M，利用该部分秘密M，CLIENT生成其在该认证域内的域内私钥和域内公钥00126CLIENT利用已生成的域内私钥和MESHROUTER的。

12、域内公钥生成CLIENT与MESHROUTER之间的共享密钥FCI，MRI并通过消息5将告知MESHROUTER。收到消息5后，该共享密钥FCI，MRI在MESHROUTER处由MESHROUTER的域内私钥和CLIENT的域内公钥生成。0013与现有技术相比，本发明利用CLPKC的原理设计协议中各参与方的公钥、私钥、签名方式以及参与方之间的认证和密钥协商AUTHENTICATIONANDKEYAGREEMENT，AKA过程，从而使初次接入到WMN中的用户端仅通过少量的三方交互完成AKA过程，并且在随后用户端的切换和组建用户端自组织ADHOC网络时所进行的AKA过程所需交互次数较少。本发明基于。

13、CLPKC的基本理论和WMN的网络模型设计了WMN中各实体的注册过程和WMN的认证密钥协商方法，具有降低通信冗余、避免密钥托管问题、确保无线用户匿名性、避免公钥证书维护及具有可证安全属性等特点。附图说明0014图1为本发明无线MESH网络认证方法一种实施例的注册模型示意图；0015图2为本发明无线MESH网络认证方法一种实施例的域间AKA协议的过程示意图；说明书CN101977380ACN101977385A3/13页50016图3为本发明无线MESH网络认证方法一种实施例的域内AKA协议的过程示意图；0017图4为本发明无线MESH网络认证方法一种实施例的用户间AKA协议的过程示意图。具体实。

14、施方式0018下面结合实施例及其附图进一步叙述本发明0019首先介绍一下本发明用到的CLPKC中双线性映射的基础知识0020设G1和G2是两个Q阶的循环群，其中Q为一个大素数160比特以上。G1和G2分别为加法群和乘法群。G1、G2上的双线性映射EG1G1G2是指满足如下性质的映射0021双线性EAP，BQEP，QAB，其中P、QG1，A、BN；0022非退化性如果P、QG1都不是G1的单位元，则EP，Q1；0023可计算性存在一个有效的算法，对于任意的P、QG1，可有效的计算EP，Q。0024目前可用的双线性映射有椭圆曲线和ABEL代数簇上的WEIL映射和TATE映射。下列数学问题构成了本发。

15、明设计的安全基础。0025G1上的COMPUTATIONALDIFFIEHELLMANCDH问题设G1是以Q为阶的循环群，Q为一大素数，P是G1的生成元。随机选取A、BZQ且未知，使得计算ABPG1困难。0026BILINEARDIFFIEHELLMANBDH问题设G1和G2为两个阶为Q的循环群，Q为一大素数。EG1G1G2是一个双线性映射，P是G1的生成元。随机选取A、B、CZQ且未知，使得计算EP，PABCG2困难。0027本发明设计的无线MESH网络认证方法CERTIFICATELESSWIRLESSMESHNETWORKSAUTHENTICATIONSCHEME，简称CWMNA或认证方。

16、法，参见图14，该认证方法基于无证书公钥密码学CLPKC，由“系统初始化”和“认证密钥协商”组成。其中“系统初始化”包括WMN网络信任模型中系统参数构建和各实体初始化；“认证密钥协商”则定义了基本的域内认证及会话密钥协商，域间切换的认证和会话密钥协商，以及用户间的双向认证和会话密钥协商。下面具体描述实施步骤00281系统初始化00291信任模型和概念0030在本发明中，由于CWMNA的设计依赖于混合型WMN网络模型，在设计CWMNA的信任模型时，也使用了域的概念。首先，在信任模型中存在一个由离线CACERTIFICATEAUTHORITY担任的可信第三方TTP，它将为所有的用户CLIENT和域。

17、管理者OPERATOR提供注册，完成注册后，CLIENT和OPERATOR获得其长期私钥和长期公钥。如上所述，将信任模型化为不同的信任域，每个信任域由不同的域管理者OPERATOR管理用户的认证和会话密钥协商工作。OPERATOR在TTP完成了注册之后，获得长期公钥和长期私钥，因为还需要向所处域内的MESHROUTER提供注册，所以向TTP注册时提交用于接受MESHROUTER注册的域参数并由TTP返回相应的域参数证书。OPERATOR本身并不对用户身份进行认证，而是利用在其所管理域内注册的MESHROUTER代替其完成对CLIENT的认证工作。MESHROUTER在完成了在OPERATOR的。

18、注册之后获得其域内公钥和域内私钥，成为该OPERATOR管理域内的一个WMN接入点。CLIENT则是在完成与MESHROUTER的双向认证后，完成在OPERATOR处说明书CN101977380ACN101977385A4/13页6的域内注册过程并获取其域内公钥和域内私钥。其中长期私钥和长其公钥以及域内公钥和域内私钥的具体作用将在下一部分阐述。信任模型如图一所示。0031将OPERATOR记做OI，CLIENT记做CI。用户CI在TTP处注册后，所生成的长期公钥、长期私钥分别记做记做OI在TTP处注册所得长期公钥、长期私钥分别记做除此之外OI还能获得的域参数的证明材料，记做在OI所管理的域内注。

19、册，加入OI域的MESHROUTER记做注册过程结束后，将生成其域内公钥、域内私钥，分别记做而CI在通过双向认证之后将会生成其域内公钥、域内私钥，分别记做另外，将使用对称密钥K对信息M进行加密记做EKM，将使用私钥SK对信息M的签名记做SIGKM，利用密钥K对信息M的哈希签名记做HKM。00322TTP初始化0033TTP负责接受CLIENT和OPERATOR的注册，并分别返回其长期公钥、长期私钥以及OPERATOR的域参数证书。同时公布一些公知参数使各参与方可以随时随地验证某一长期公钥或者某一域参数证书，以及某一长期私钥对某信息的签名的合法性。这些公知参数定义如下首先选择大素数Q和以Q为阶的。

20、加法群G1和以Q为阶的乘法群G2，以及G1的生成元P，并且FG1G1G2为G1和G2上的双线性映射。还要选择一个TTP主密钥SZQ，并计算PPUBSPG1。设H10，1G1，H2ZQG10，1ZQ为哈希函数。最后，TTP公布其公知参数如下F，G1，G2，Q，PPUB，H1，H200343CLIENT注册0035用户I提供其身份信息IDI并发送给TTP，TTP获知此参数后，将该参数做哈希运算得并用系统主密钥S与相乘得并将该作为部分秘密返回给用户I。用户I收到从TTP返回的部分秘密后，将随机选择自己的部分秘密XCIZQ并与之相乘得其长期私钥然后生成其长期公钥验证其合法性的方法如下其对应的长期私钥对。

21、信息M的签名是验证签名方法如下00364OPERATOR注册0037OPERATOR的注册过程与CLIENT注册相类似，发送自己的给TTP，返回部分秘密获知此秘密后，OPERATOR选择自己的部分秘密XOI，然后将两者相乘得OPERATOR的私钥SKOIXOISQOI，同时生成自己的公钥PKOIXOISP，XOIQOI。由于OPERATOR还需负责提供域内MESHROUTER注册，所以在OPERATOR在向TTP注册的过程中，还需向TTP提供自己的域参数，TTP将通过返回相应的域参数证书，来对该域参数提供证明。域参数选择方法如下选择大素数Q，以及以Q为阶的加法循环群G1和乘法循环群G2，同时选。

22、择P作为G1的生成元。并且双线性映射F满足FG1G1G2。另外，设新哈希函数H1和H2分别为H10，1G1，H2ZQG10，1ZQ，最后计算其中随后生成域参数为说明书CN101977380ACN101977385A5/13页7TTP返回的域参数证书如下所示DOMAINPARAMSCERTOIDOMAINPARAMS，SH1DOMAINPARAMS验证域参数证书的方法是FP，SH1DOMAINPARAMSFH1DOMAINPARAMS，PPUB。00385MESHROUTER注册0039与OPERATOR和CLIENT的注册过程相似，只是MESHROUTER在注册时使用的参数不同，具体过程如下M。

23、ESHROUTER发送自己的身份给所在域的OPERATOR，在收到MESHROUTER的身份信息后，OPERATOR会对其身份信息进行哈希运算得完成后将作为MESHROUTER的部分秘密返回给MESHROUTER。MESHROUTER随后生成自己的部分秘密与返回的MESHROUTER的部分秘密相乘即可得到其域内私钥，即以及与其对应的域内公钥验证方法是其域内私钥对信息M的签名为验证该签名的方法如下所示00402认证密钥协商00411域间AKA0042为方便描述协议过程，将请求接入WMN的CLIENT记做C1，负责为C1提供接入服务的MESHROUTER记做MR1，C1所接入的WMN域的OPERA。

24、TOR记做O1。那么域间AKA过程如图2所示。0043MR1在其信号范围内周期性广播信息A1，该信息包括的内容有O1的域参数证书MR1的域内公钥时间戳TIMESTAMP1，以及使用MR1域内私钥对时间戳的签名收到该信息之后，C1将首先利用TTP公布的公知参数，对O1的域参数证书进行验证。确证可信后，将利用其中的域参数对进行验证，验证通过后，利用该公钥和时间戳TIMESTAMP1对进行验证，当签名验证也通过后，则证明O1和MR1均可信。0044在C1完成对信息A1检验之后，将向MR1发送信息A2。其中包含用户的长期公钥时间戳TIMESTAMP2，利用域参数中的计算的用户身份值以及使用私钥对时间戳。

25、和身份值的签名其中，不直接发送C1的身份信息是因为根据算法在未来生成会话密钥的过程中只需要的哈希值即这样一来不但节省了OPERATOR的工作量，还能很好的隐藏了用户的身份，有效的保护了用户的隐私。0045MR1收到信息A2之后将利用TTP公布的公知参数对C1的公钥进行验证，验证通过之后，结合时间戳TIMESTAMP2和身份信息值对用户的签名进行验证。通过之后，则完成对用户C1的认证过程。至此，双向认证过程完成。随后，MR1将通过在WMN网络部署前，在域OPERATOR注册时建立的安全通道将和发送给O1，即信息A3。说明书CN101977380ACN101977385A6/13页80046对O1。

26、来说，它相信从安全通道发送来的任何信息，那么收到信息A3意味着MR1已经通过了对C1的身份认证，O1仅需要完成对C1的域内注册过程，生成其域内公钥和域内私钥。对C1来说，只有生成自己的域内公钥和域内私钥，才能完成与MR1的会话密钥协商过程和未来的域内切换认证过程。具体过程O1收到信息A3之后，将通过C1的公钥和自己的私钥生成O1与C1之间的共享密钥FC1，O1，其生成过程随后，通过该密钥加密C1需要的部分秘密得信息此信息将从O1传送回MR1再由MR1传送给C1。0047收到A4信息后，C1通过在信息A1中获得的O1的公钥和自己的私钥来生成两者之间的共享密钥FO1，C1，其生成过程如下由于计算共。

27、享密钥的过程是双线性映射运算，FO1，C1与FC1，O1相等，证明如利用该共享密钥C1解开A4得到部分秘密，然后生成随机选择自己的秘密因子随后生成在该域的域内私钥域内公钥随后即可利用该域公私密钥对完成和的密钥协商过程，即信息A5所示。其中协商出的共享密钥生成该共享密钥后，将结合时间戳TIMESTAMP3制作哈希签名收到消息A5后，MR1将利用自己的域内私钥和C1的域内公钥生成共享密钥FMR1，C1，生成过程如下与生成O1和C1之间的共享密钥相似，因为生成该共享密钥的方法是双线性映射，则FC1，MR1与FMR1，C1相等，推导如下004800490050然后利用该共享密钥和时间戳TIMESTAM。

28、P3，验证该签名是否有效。若有效，则证明C1成功生成共享密钥，该共享密钥即用作C1和MR1之间的会话密钥使用。至此，域间AKA过程描述完毕。00512域内AKA0052有了上面的工作成果做基础，域内AKA过程就能很迅速的完成了，假设用户C1从MR1的信号范围内移动到MR2的信号范围内，用户将中断和MR1的通信转而和MR2进行AKA过程。具体步骤如图3所示0053MR2在其信号范围内周期广播信息B1，其中包含内容与MR1广播的信息A1类似。用户C1收到该信息后，执行一遍类似于对信息A1所执行的验证操作。完成验证后即确证MR2合法有效后，利用自己的域私钥和MR2的域内公钥执行一遍类似A5的工作，其。

29、中用于哈希签名的密钥随后发送信息B2给说明书CN101977380ACN101977385A7/13页9MR2。MR2收到信息后，先验证合法性，通过后即可与域内私钥生成密钥证明过程如下0054利用该密钥验证完对时间戳的哈希签名后，即可确证会话密钥FC1，MR2成功生成。至此，域内切换及密钥协商过程完成。00553用户间AKA0056在网络模型提到，WMN网络与传统WLAN的一个重要不同点就是WMN域内的众多CLIENT可以自组织一个ADHOC网络，然后通过统一的低频信号进行直接通信。在设计中，由于每个用户在接入认证过程完成的时候，都获得了自己的域内公钥和域内私钥。那么在组成ADHOC网络的过程。

30、中，将利用各个用户已经生成的域内公钥私钥对来完成认证和会话密钥协商工作。其工作过程如图4所示0057首先，对用户C1来说，可以从其接入的MESHROUTER那里获得该域内其他用户的域内公钥，而负责接入服务的MESHROUTER也有义务向用户提供这些数据；C1查询到C2的域内公钥同时利用自己的域内私钥可以生成两者之间的共享密钥生成方法与前面介绍方法相同。然后再利用该共享密钥对时间戳进行哈希签名；最后将这三部分合成消息C1，并将该消息发送给C2，C2收到信息C1后将根据C1的域内公钥和自己的域内私钥生成共享密钥该密钥与FC1，C2相等，证明过程0058利用该共享密钥和时间戳TIMESTAMPA，C。

31、2将可以验证消息C1中的签名签名验证成功后，C2将建立与C1的通信连接，而会话密钥就是FC2，C1。0059至此，用户间的认证和密钥协商过程完成。0060在设计协议CWMNA中，CLIENT与OPERATOR在进行TTP处注册的过程中，TTP返回给CLIENT和OPERATOR的只是它们所需要的部分秘密，而CLIENT和OPERATOR在收到各自的部分秘密以后才又分别选择了各自的秘密因子从而在本地生成了各自的长期私钥和长期公钥，也就是说TTP并不知道CLIENT和OPERATOR的秘密因子所以根本无从获取CLIENT与OPERATOR的长期私钥，因此避免了密钥托管问题。另一方面，正因为在CLP。

32、KC中，CLIENT和OPERATOR是在从TTP处获取了部分秘密才生成各自的域内公钥，而TTP同时公布一份公知参数，任何想要验证CLIENT或OPERATOR长期公钥合法性的参与方，只需利用该TTP的公知参数进行双线性映射运算即可。用户的匿名性是在用户进行接入认证过程中体现并保证的，用户在通过了身份认证并进行域内注册时，因为域内注册过程只需要用户身份ID的哈希值而并不是用户ID本身，所以协议中CLIENT在通过身份认证时传递的仅仅是本身ID的哈希值，因此对MESHROUTER和OPERATOR来说只是知道CLIENT身份合法而并不知道说明书CN101977380ACN101977385A8/。

33、13页10CLIENT的具体身份ID，所以用户的匿名性得到了妥善的保证。0061本发明协议性能的对比0062一个协议的性能指标主要包含两部分通信开销和计算开销。其中，通信开销主要体现在消息数量上，而计算开销主要体现在运算量比较大的公钥操作上。表1给出了CWMNA在域内认证密钥协商过程其它2种认证密钥协商具有更少的开销中与现有8021X的三种认证方式之间的性能对比0063表1协议性能对比表00640065由表1可以看出，由于CWMNA在设计中使用双线性映射技术，因此对用户来说在验证OPERATORS和MESHROUTER两者身份时进行的计算量和传统认证方式所进行的模指数运算和公钥签名以及验证签名。

34、的计算量相当，但是在CWMNA中所做的签名过程是基于椭圆曲线的而且仅仅是做一次简单的标量乘计算，所以CWMNA中CLIENTS的计算量相对较小。在CWMNA中，将EMSA认证方式中集中在MESH密钥分发者MESHKEYDISTRIBUTORS，MKD和AS的认证工作分散到众多的MESHROUTER中来完成。综上所述，CWMNA的计算开销几乎与8021X框架中所使用的几种认证方式持平；CWMNA的消息轮数只有3轮，具有最小的通信开销。0066本发明认证协议的形式化证明0067本发明通过UC安全模型对CWMNA的安全性进行证明。0068由于设计CWMNA的理论基础是无证书公钥密码学CLPKC，并且。

35、在设计协议的过程中，大量运用部分秘密的手段完成会话密钥的协商。所以，选择文献DBONEHANDMFRANKLINIDENTITYBASEDENCRYPTIONFROMTHEWEILPAIRINGSIAMJOURNALOFCOMPUTING，2003，323586615EXTENDEDABSTRACTINADVANCESINCRYPTOLOGYCRYPTO2001LNCS2139，HEIDELBERGSPRINGERVERLAG，2001213229丹波内和马特富兰克林基于WEIL对的基于身份的加密计算数学学报，2003，说明书CN101977380ACN101977385A9/13页11323。

36、586615密码学进展扩展文摘2001密码学会议计算机科学讲义2139，海德堡施普林格出版社，2001213229中所列举的诸多双线性映射困难性问题中的“判定双线性DIFFIEHELLMANDBDH问题”作为证明的理论依据，并依据此问题做出合理的不可区分性假设，即DBDH假设。0069在提出假设之前，先做如下定义0070定义10，1K表示长度为K的二进制序列集合。0071定义2NRS表示从集合S中随机选取元素N。0072定义3可忽略称一个实函数K可忽略的，若对于任意C0，存在KC0使得对所有KKC有KKC。0073定义4多项式时间不可区分性称XXN|NN和YYN|NN两个样本空间是多项式时间不。

37、可区分的，若任意概率多项式时间算法D，|PRDXN，N1PRDYN，N1|是可以忽略的。多项式时间不可区分性也称为计算不可区分性。定义5判定双线性DH问题DBDHP0074给定P，AP，BPCP，其中A，B，CRZQ，RG2，若EP，PABC，输出“是”，否则输出“否”。据此，可以得出相应的DBDH假设如下任何一个PPT算法A在群G1，G2内解决DBDHP的优势定义为据此，可得0075DBDH假设对于任何PPT算法A，可忽略。0076根据定义5的DBDH假设和定义4，有DBDH假设的如下形式0077选择大素数Q，以及以Q为阶的加法循环群G1，和同以Q为阶的乘法循环群G2，同时定义双线性映射EG。

38、1G1G2，P为群G1上的生成元，A，B，C是从ZQ中均匀选取，是从群G2中随机选取的。则对于任何多项式时间算法D，Q0Q，P，AP，BP，CP，EP，PABCA，B，CZQ和Q1Q，P，AP，BP，CP，A，B，CZQ，G2的概率分布是计算不可区分的。0078首先对本发明设计协议CWMNA进行抽象，过程如下0079定义符号0080AUTHENTICATIONSERVERAS，AUTHENTICATIONAIDRSUPPLICANTS。0081AS从TTP那里注册是生成的合法性证明材料。0082在AS所控制域中的某一A的身份认证材料，使用其域内私钥对消息的哈希值进行签名，保证消息完整性和完成身。

39、份认证。0083用户端S的身份认证材料，使用其长期私钥SKR对消息的哈希值进行签名，保证消息完整性并且完成身份认证。0084用户端S与AS之间的共享密钥，既用来加密部分秘密也用来认证AS身份。0085用户端S与接入者A之间的共享密钥，先用来完成密钥生成确证，后用作会话密钥加密未来的会话信息。说明书CN101977380ACN101977385A10/13页120086本发明CWMNA协议被抽象为00870088RIAUTHR008900900091定理1真实模型下协议安全实现了理想函数FKE，因此对任何环境机Z，等式REAL，A，ZIDEALFKE，S，Z均成立，则称设计协议是UC安全的。00。

40、92协议安全性证明的思路首先给出密钥交换的理想函数FKE并分别设计协议和协议S，其中协议S安全实现了签名理想函数FSIG。随后证明协议在混合模型FSIGHYBIRD通过调用FSIG安全实现了FKE，最后将协议和协议S进行组合，通过UC安全组合定理，证明组合协议与设计协议等价，协议在现实模型下实现了FKE。0093引理1令SIGGEN，SIG，VER是如文献CANETTIR，KRAWCZYKHUNIVERSALLYCOMPOSABLENOTIONSOFKEYEXCHANGEANDSECURECHANNELSGLNCS2332PROCOFTHEADVANCESINCRYPTOLOGYEUROCRY。

41、PT02BERLINSPRINGER，2002337351卡内提，克拉夫奇克密钥交换和安全通道通用可组合的概念G计算机科学讲义2332密码学进展欧洲密码学会议02柏林斯普林格，2002337351定义的签名，那么在真实环境下，协议S对于静态的攻击者可以安全实现FSIG，当且仅当S能够抵抗选择消息存在性伪造，构造能安全实现FSIG的协议S，如下所示0094IDEALLIFE中的协议S0095协议参与者PI，PJ，运行基于签名算法SIGGEN，SIG，VER的协议S，进行交互。0096PI收到输入SIGNER，ID后执行算法GEN，保留签名密钥S，将验证密钥V发送给PJ0097当PJ需要对某消息M。

42、进行签名，则将SIGN，ID，M发送给PI，PI令SIGS，M，并将SIGNATURE，ID，M，发送给PJ0098当PJ需要对某消息M签名进行验证，则将VERIFY，ID，M，发送给PI，PI则输出VERIFIED，ID，M，VERV，M，给PJ0099引理2如果DBDH假设成立，且消息认证算法是安全的，协议在模型FSIGHYBIRD下安全实现理想函数FKE。0100证明首先设计FSIGHYBIRD中执行的协议，如下所示。0101令Q为大素数，G1是Q为阶的加法循环群，P是G1上的生成元，协议参与者PI和PJ，在混合模型FSIGHYBIRD中运行协议。0102当协议发起者PI得到输入PI，P。

43、J，SID，则发送初始化信息SIGNER，0，SID给FSIG，同理，当协议响应者PJ得到输入PJ，PI，SID，则发送初始化信息SIGNER，1，SID给FSIG。0103协议发起者PI组织信息并计算信息M1的哈希值HM1，发送SIGN，0，SID，HM1给FSIG，得到其返回签名I，最后发送给PJ信息PI，SID，STARTM1，I。说明书CN101977380ACN101977385A11/13页130104协议接收者PJ收到起始信息后，利用公知参数即可获知的正确性。随后计算信息M1哈希值HM1，发送VERIFY，0，SID，PI，HM1，I给FSIG，验证通过后，将组织信息计算HM2。。

44、发送信息SIGN，1，SID，HM2给FSIG，得其签名返回值J，最后发送给PI信息PJ，SID，M2，J。与此同时，收到起始信息时验证通过的可以提供参数再利用PJ的长期私钥SKR，生成共享密钥K1备用。0105PI收到PJ的返回信息后，计算信息M2的哈希值HM2，发送VERIFY，1，SID，PJ，HM2，J给FSIG，验证通过后，利用PJ的长期公钥PKR和I1的长期私钥生成共享密钥K1。同时通过信息M2中包含的可以生成需要传回给PJ的部分秘密随后用密钥K1加密部分秘密和时间戳TS3，形成信息将信息M3发送给PJ。0106PJ收到信息M3后将利用已生成的密钥K1解开信息得到部分秘密并据此生成。

45、PJ的域内私钥以及对应的域内公钥利用域内私钥和I2的域内公钥可以生成共享密钥K2。随后生成时间戳TS4，并利用共享密钥K2，对TS3TS4做哈希运算得形成信息M4，并发送给PI信息PJ，SID，M4。而本地输出信息SID，PI，PJ，K1，K2。0107PI收到最后信息后，将利用和形成共享密钥K2，结合时间戳TS3和时间戳TS4，验证信息M4是否可信，若验证通过，则本地输出信息SID，PI，PJ，K1，K2。0108随后定义在混合模型FSIGHYBIRD下的攻击者H，同时构造在理想环境下的攻击者S即是仿真器S。使得对于任何环境机Z来说，其不能分辨是与仿真器S与H和协议在混合模型FSIGHYBI。

46、RD下交互，还是与S和FKE在IDEALLIFE下进行交互。即对任何环境机Z来说，等式均成立。0109对于仿真器S01101任何从Z的输入均传递给H，任何H的输出均可作为S的输出可被Z读取。01112当S从FKE处收到信息SID，PI，PJ，ROLE，得知PI和PJ发起了认证密钥交换过程。S将模拟FSIGHYBIRD模型下的FSIG和在该模型下执行协议，并给定同样类型的输入。并且S让H和PI，PJ按照协议的执行规则与Z交互。与此同时，S可以激活FSIG生成相应的签名值。01123当中的某个参与方PI产生了本地输出，而此时另一参与方PJ并未被攻陷，那么S将FKE的输出发送给PI。若PJ被攻陷，则。

47、FKE让部分S决定密钥，S将利用前面PI输出来确定仿真的PI，PJ的本地输出密钥。01134当H执行攻陷PI的操作，S同样攻陷PI。如果FKE已经给参与方PI发送了密钥，则S将得到该密钥。如果PI和PJ均没有产生本地输出，则S将其内部状态传递给H，包括他们的秘密选值。如果PI和PJ其中一方已经产生本地输出，则擦除他们的临时私钥，S将直接把本地输出密钥传递给H。0114仿真器S的有效性。假设存在一个环境机Z，能够以不可忽略概率区分混合模型下的交互与理想模型下的交互，即为1/2加，说明书CN101977380ACN101977385A12/13页14不可忽略。那么构造一个区分器D如下所示，利用该环。

48、境机Z来破解DBDH假设，进而规约到矛盾。0115对于区分器D01161以1/2概率选择，选择QQ0，Q1作为D的输入，记为Q，P，。01172随即选择1，2，L，L作为攻击者能发起的会话数的上届。然后仿真FSIGHYBIRD中和H以及环境机Z之间的交互。01183当H激活了一个参与方建立一个新的对话TT或者接受一条消息时，D代表该参与方按照协议在FSIGHYBIRD中进行正常交互。如果T，则D代表PI向PJ发送消息PI，SID，I，当PJ收到该消息后，将调用FSIG生成其对应信息的签名，随后发送给PI信息PJ，SID，I，最后D让参与方PI，PJ都产生本地输出SID，PI，PJ，。01194。

49、如果H攻陷了一个参与方，则D把该参与方的内部状态返回给H，如果被攻陷的参与方是会话的参与方之一，则D输出一随机比特B0，1并终止。01205如果FSIGHYBIRD中的协议运行完成后，Z输出B，则D输出BB并终止。0121根据D的执行可以得出如果D输入是从Q0中选出的，那么是在混合模型下交互双方输出的真实密钥，对D来说其视角等同在混合模型FSIGHYBIRD中的协议与攻击者H的交互。如果D的输入是从Q1中选出的，那么是一随机值，因为FKE生成密钥的方式就是在G2群中随机选取一个值。而此时D的视角等同于在理想模型IDEALLIFE下FKE与S的交互。根据区分器D的原理，D成功区分Q0和Q1的概率等同于环境机Z成功区分混合模型和理想模型的概率，即区分器D能1/2加上一个不可忽略的概率，成功区分Q0和Q1。而这是与DBDH假设相矛盾。得证。0122引理3令为模型F。

展开阅读全文