第14卷第5期 2013年1O月 信息工程大学学报 Journal of Information Engineering University Vo1.14 No.5 0ct.20l3 DOI:10.3969/j.issn.1671-0673.2013.05.003 机载无线移动自组网签名认证方案研究 黄后彪,罗长远,宋玉龙 (信息工程大学,河南郑州450001) 摘要:针对机载无线移动自组网中无可信中心以及公钥证书维护开销过大问题,提出了一种无 密钥托管的基于身份的签名认证方案。在随机预言机模型下证明了该方案的签名不可伪造 性,并且在签名认证过程中避免了复杂的双线性对运算、指数运算和求逆运算,具有很高的执 行效率。 关键词:机载无线移动自组网;无密钥托管;基于身份的;签名认证 中图分类号:TN9l8.1 文献标识码:A 文章编号:167l-0673(2013)05-0524-07 Signature Authentication Scheme in Airborne Wireless Mobile Ad Hoc Network HUANG Hou—biao,LUO Chang—yuan,SONG Yu・long (Information Engineering University,Zhengzhou 450001,China) Abstract:A identity—based signature authentication scheme without key escrow is proposed to so]ve the problem that there is no trusted party and certificate maintenance is too costy in aeronautical mo— bile Ad Hoc networks.The signature scheme proves to be secure,and eliminates the bilinear pairing computation,index computation,inverse computation,SO it has a high operation eficiency.f Key words:airborne wireless mobile Ad Hoc network;without key escrow;identity—based;signa— ture allthentieati0n 0 引言 机载无线移动自组网,又称航空自组网 ,是指一定空域范围内的飞机节点之间可以根据需要,自动 连接,建立起一个MANET(mobile Ad.hoc networks),飞机之间可以互相转发地面空中交通管制中心的控 制指令信息、交换飞行状态、感知信息等数据。在机载无线移动自组网中,飞机节点之间在通信的过程面 临着身份合法性确认问题,例如,恶意节点可能会伪装身份与合法节点进行通信,并试图篡改、删除或窃取 合法节点信息以及占用网络资源。使用身份认证技术可以鉴别网络中的非法节点,确认所接收消息的真 实性和完整性,保证在密钥协商以及其它信息交互过程中各方身份的合法性,防止恶意节点的假冒行为。 1984年Shamir提出了基于身份的密码体制IB—PKC(identity・based public key Cryptography) ,将用户 独有的、公开的身份信息(如邮箱地址、身份证号、手机号等)用作用户的公钥,然后由可信第三方私钥生 成器PKG(private key generator)为其生成私钥,基于身份的密码体制其中一个重要的应用就是基于身份的 数字签名。2001年,Boneh和Franklin提出了第1个基于身份的加密方案,之后大量的基于身份的加密和 签名方案被提出。IB.PKC有许多优点:无需公钥证书和证书机构;避免了复杂的公钥证书生成、维护、更 收穑日期:2013-03-31:修回日期:2013-05-14 基金项目:科研基金资助项目 作者简介:黄后彪(1980一),男,硕士生,主要研究方向为移动通信安全。 第5期 黄后彪等:机载无线移动自组网签名认证方案研究 525 新和撤销等。但是基于身份的密码体制存在一个很大的缺陷,就是密钥托管的问题。文献[3]在2003年 的亚密会上首次提出了无证书密码体制的概念,它可以有效解决基于身份的密码体制中用户密钥托管的 问题,但是将其用于签名认证时却不能抵抗签名伪造攻击 ,随后许多学者对以上两种方案提出了许多 改进方案。2011年,文献[5]提出一种无证书代理盲签名方案,但是文献[6]指出该方案无法抵抗公钥替 换攻击和恶意的可信第三方KGC(key generating centre)的攻击,并对文献[5]进行了改进。文献[7]使用 了无证书的签名方案,虽然方案满足了安全性方面的要求,但是这些方案签名和验证过程需要多次用到指 数运算和双线性对运算,计算效率太低。文献[8]提出了一种签名方案,解决了密钥托管问题和签名伪造 问题,满足安全性方面要求,而且在签名与验证过程中没有使用复杂的指数运算和双线性对运算,但是,该 方案在签名过程中使用了求逆运算,在计算开销方面仍然过大,效率不高,不适用于机载无线移动自组网。 本文提出了一种无密钥托管的基于身份的签名认证方案,将PKG为节点生成的私钥作为节点的部分私 钥,节点基于部分私钥与自身选取的秘密值生成完整私钥。 1 方案设计 1.1安全模型 根据PKG的特殊行为,在本方案中定义以下两种类型的攻击者: I类攻击者 , 攻击者没有获得节点部分私钥或系统主密钥,而且也没有获得节点的秘密值; Ⅱ类攻击者 攻击者已经获得节点的部分私钥或系统主密钥,但是没有获得节点的秘密值。 定义1 如果攻击者 ,不能在概率多项式时间内以不可忽略的概率 赢得仿真游戏,则称本方案在 适应性选择消息和固定ID攻击下是抗存在性伪造的。 以上提到的仿真游戏: ①仿真者 运行Setup算法,生成系统参数和主密钥,将系统参数发送给 。。 ② 进行以下查询: ①部分私钥查询 输入身份信息 ,对其进行部分私钥查询, 随机选择一数值作为 的秘密 值,生成对应的部分私钥,并将其返回给U.; ①秘密值查询 输入身份信息 ,对其进行秘密值查询。 返回选取的秘密值给U ; ①签名查询 输入身份信息,D 和任意的消息Y ,对其进行签名查询。 运行签名算法,生成对应 的签名,并将其返回给U ; ③经过查询,攻击者 ,生成(/D ,Y , ),其中, 表示身份信息为,z) 的节点对消息Y 的签名。 若 是一个合法的有效签名,且满足以下条件,则称U。在游戏中获胜: ①对于 .来说, 机进行秘密值查询; 从未提交过给部分私钥预言机进行部分私钥查询,也从未提交过给秘密值预言 ⑧对于 ,来说,(Y ,or )从未提交过给签名预言机进行过签名查询。 定义2 如果攻击者 不能在概率多项式时间内以不可忽略的概率 赢得仿真游戏,则称本方案在 适应性选择消息和固定ID攻击下是抗存在性伪造的。 以上提到的仿真游戏: ①仿真者 运行Setup算法,生成系统参数和主密钥,将系统参数和主密钥发送给u:。 ② :进行以下查询: ①部分私钥查询 输入身份信息 ,对其进行部分私钥查询, 随机选择一数值作为,D。的秘密 值,生成对应的部分私钥,并将其返回给U2; ⑨秘密值查询 输入身份信息,D ,对其进行秘密值查询。 返回选取的秘密值给U:; ①签名查询 输入身份信息 的签名,并将其返回给 。 和任意的消息Y ,对其进行签名查询。 运行签名算法,生成对应 第5期 黄后彪等:机载无线移动自组网签名认证方案研究 527 若等式成立,说明PKG为其生成的部分私钥是正确的,节点i安全地保存R 和d ,节点i完整的私钥为(d +m )。若不成立,则丢弃该值。 ③生成签名 节点A随机选择Y ∈z ,获取当前时问戳 ,计算ra:YAP。节点A对时间戳 进行签名: ①计算e =tt2(ID , ,R ,ra); ⑨计算 =YA+e (dA+m )。 节点A对时间戳 的签名为 =(R ,ra, )。A发送消息< ,Ta,ID >给节点曰。 节点B随机选择Y ∈z ,获取当前时间戳 ,计算 =Y8P。节点B对时间戳 进行签名: ①计算e =H ( , , ,Y8); ②计算 口=Y日+e (dB+ B)。 节点 对时间戳 的签名为 =(R , , )。B发送消息< , ,ID >给节点4。 ④签名验证 节点B收到4发送的消息后,首先检查时间戳 是否新鲜,若 新鲜,则 ①计算 = 。(ID ,R )和 =H ( A, , , ); ①验证等式 ZAP—ra=ed(尺^+s^P川), 若等式成立则输出“真”,节点 通过对节点 的身份认证。 节点A收到曰发送的消息后,首先检查时间戳 是否新鲜,若 新鲜,则 ①计算sB=H (,D日,RB)和eB=日 ( 口, 口, , ); ⑨验证等式 BP—Y8=eB(R口+SBP ), 若等式成立则输出“真”,节点A通过对节点曰的身份认证。 该方案满足以下特点: ①抗重放攻击 在签名认证过程中,采用了对时间戳进行签名的方式,可以有效防止恶意节点通过网 络监听或其它方式盗取合法节点的签名信息,在一段时间后重新发送。 ②无密钥托管 在本方案中,通信节点i完整的私钥为(d +m )。其中,d 是PKG为其生成的部分 私钥,m 是飞机节点本身选择的秘密数。m 是保密的,只有飞机节点本身知道,而PKG和其它任何飞机 节点都无法获得。因此,即使遇到恶意的PKG或PKG受到攻击,导致系统主密钥k泄露,攻击者也只能 伪造节点的部分私钥d ,无法伪造秘密数m ,所以仍然无法得到飞机节点完整的私钥。因此本方案不存 在密钥托管问题。 ③运行效率高 本方案只需要进行椭圆曲线上的点乘和点加运算,而不需要双线性对运算和求逆运 算,同现有其它方案相比,具有很高的运行效率。 2安全性证明 本方案的安全性是基于椭圆曲线密码体制的,它的安全性建立在有限域上椭圆曲线离散对数问题 ECDLP(elliptic cHrve discrete logarithm problem)的难解性上。从目前的研究结果来看,相比于建立在一般 有限域上离散对数问题难解性来说,建立在椭圆曲线上的离散对数问题更难处理。到目前为止,效率最高 的解决椭圆曲线上的离散对数困难问题的算法是Pollard—P算法和Pohlig—Hellman算法。但是当椭圆曲线 上群的阶是大于160位的素数时,这些算法就会失效。 2.1 不可伪造性 定理1 在椭圆曲线离散对数问题难解性假设和随机预言机模型下,本方案对于I类攻击者u 在适 应性选择消息和ID攻击下是存在性不可伪造的。 证明 设 是仿真者,攻击者 。可以在一个概率多项式时间(probabilistic polynomial time,PPT)内以 528 信息工程大学学报 不可忽略的概率 解决ECDLP问题。设(P,aP)是群G上的一个任意公私钥对,进行以下仿真游戏: 运行Step算法,定义系统公钥P =aP,P是椭圆曲线上阶为q(q>2 ,k是一个安全参数)的一个 点,生成系统参数params={q,G,P,P , ,H:}, 随机选取ID,(1≤,≤qH.,qH 是 进行日 查询的最大 次数)当作此次游戏仿真者的身份。随机选取s,∈Zq,令 ,:aP一 ,oP,定义s,=H。(ID,,R,),将( ,, R,,s,)存入列表 中。 将系统参数发送给攻击者u 。u。进行如下查询: 日。查询 输入( 。,尺 ), 查询列表 。如果列表 中存有对应的记录(,D ,R ,s ),就将s 返回 给 。。如果没有,则 随机选择s ∈Zq,将(ID ,R ,s )加入到列表£ 中,并将s 返回给【,。。 日:查询 .以( , , ,R )作为输入, 查询列表L:。如果列表,J:中存有对应的记录,就返回已 维护一个列表,J 。 以 作为输入: 有值给 。如果没有,则W随机选择e ∈z ,将(T ,ID ,l, ,R ,e )加入到列表 中,并返回e 给 。 部分私钥查询 ①如果ID =ID,,则 终止模拟,并输出“失败”; ②如果ID ≠ID,,则 随机选取m ∈z 作为,D 的秘密值,然后随机选取d ,s ∈z ,令s =H。(,D , 尺 )(倘若日。(ID ,R )已经存在,则W终止模拟。但是这种情况发生的概率最大为(g .+q )/2¨ ,其中, q 表示查询部分私钥解析预言机的最多次数),计算R =diP+m P—s aP。将(,D ,R ,s )加入到列表 中,(ID ,R ,d ,m )加入到列表 中,并将(d ,R )返回给 .。 秘密值查询 若ID;=11),,则W终止模拟,并输出“失败”。否则返回m 给u。。 签名查询 u 以( ,ID )作为输入: ①如果ID =ID,,则 随机选取z,,e,∈z ,令R,=aP—s,aP,定义e,:H:(ID,,T ,R,,Y,)(倘若 日 (ID,,T ,R,,】,,)已经被定义,则 终止模拟,但是出现这种情况的概率最大为(q +q )/2 ,其中,g 是 查询签名解析预言机的最多次数),计算l,,= ,P—e (R +siP ),并将(R,,l, ,z,)返回给 。 ②若 ≠ ,,由于 拥有 的部分私钥和秘密值,所以签名是平凡的。 ≠ ,且尺 ≠R,,则 终止模拟(W不会 伪造签名 U,对消息m 关于身份,D 的签名为(R ,,y ,,z ),,D 并没有提交过给部分私钥预言机和 秘密值预言机进行查询,而(T ,ID )也未进行过签名查询。若 终止模拟的概率≥1/q .)。否则根据分叉引理规约方法 可知,在概率多项式时间内,存在算法c可以生 成两个有效签名(T ,ID,,R,, ,e , 。)和(T ,ID,,R,,Yr,e:, )且e。≠e 。因为在最开始就定义了s,= 日 ( ,,R,),这里s,不变。有以下等式成立: Y,= 1P—e1(R,+s,P ) YI=Z2P—e2(RJ+s,P ) (1) (2) 由(1)、(2)式可得 ( I— 2)P=(e1一e2)aP 由(3)式可得 ( 1一 2) 一 (3) 所以,仿真者 解决了椭圆曲线上的离散对数困难问题。 定理2 在椭圆曲线离散对数问题难解性假设和随机预言机模型下,本方案对于Ⅱ类攻击者 :在适 应性选择消息和ID攻击下是存在性不可伪造的。 证明设 是仿真者,攻击者 可以在一个概率多项式时间(probabilistic polynomial time,PPT)内 以不可忽略的概率 解决ECDLP问题。设(P,aP)是群G上的一个任意公私钥对,进行以下仿真游戏: W运行Step算法,随机选取 z 作为系统主密钥,定义系统公钥P =xP,P是椭圆曲线上阶为q (q>2 ,k是一个安全参数)的一个点,生成系统参数params:{q,G,P,P ,H。,H }, 随机选取 ,(1≤, ≤q .,q ,是 :进行日 查询的最大次数)当作此次仿真游戏的仿真者身份。 将系统参数params和系统 进行如下查询: 主密钥 发送给攻击者 ,。 日 查询 :输入( ,R ), 查询列表,J。。如果列表 中存有对应的记录( ,R ,s ),就将s 返回 给 :。如果没有,则W随机选择s ∈z ,将(ID ,R ,s )加入到列表 中,并将s 返回给 :。 第5期 黄后彪等:机载无线移动自组网签名认证方案研究 529 查询 以( ,ID , ,R )作为输入, 查询列表£ 。如果列表£ 中存有对应的记录,就返回已 维护一个列表 。 :以 作为输入。 有值给 。如果没有,则 随机选择e ∈z ,将( , ,y , ,e )加入到列表 中,并返回e 给u 。 部分私钥查询 ①如果ID =ID,,则 令R =aP,查询列表£。,找到表中相对应的记录(,D ,R ,s )。然后,随机选取 r ∈z ,求得d = + s 。将( ,R ,d ,上)加入到列表 中(其中,上表示未知的秘密值),将R ,d 返回 给 。 ②若ID ≠ID,,则W随机选取rI,m ∈Zq,求得R =(r +m )P,d =r + si,将( ,R ,d ,m )加入到 列表 中,将Ri,d 返回给U 。 秘密值查询 如果ID =ID,,则 终止模拟,并输出“失败”。否则,W返回m 给 。 签名查询 u 以( ,ID )作为输入: ①如果ID =ID,,则 随机选取z,,e,∈Zq,令R =aP,从列表£ 中调出对应的记录( ,R ,s ),定义 e =日 ( , ,R ,Yi)(倘若Hz(119,,T ,R,,Y1)已经被定义,则W终止模拟,但是出现这种情况的概率最大 为(q ,+q )/2 ,其中,q 是查询签名解析预言机的最多次数),计算Yi=ziP—e (R +siPⅢ),并将(R ,Y , )返回给 。 ②若,D ≠ ,,由于 拥有 伪造签名 1/q .的部分私钥和秘密值,所以签名是平凡的。 ≠ ,且 ≠R,,则 终止模拟( 不会终止模拟的概率≥ :对消息 关于身份 的签名为(Rj,Y;, ),ID 并没有提交过给秘密值预言机进行查 询,而( , )也未进行过签名查询。若 )。否则根据分叉引理规约方法 可知,在概率多项式时间内,存在算法c可以生成两个有效签名 Yi= 1P—el(R,+siP。曲) (4) ( ,,D,, ,, ,e。, 。)和( , ,,R,, ,e:, :)且e,≠e 。因此有以下等式成立: y,= 2P—e2(R,+s,PⅢ) 由(4)、(5)式可得 ( t—z2)P=(el—e2)(a+81x)P 由(6)式可得 ( 1一 2) 。 (5) (6) 所以, 解决了椭圆曲线上的离散对数困难问题。 由以上证明可知,用本文提出的方案,对于I类攻击者和Ⅱ类攻击者在适应性选择消息攻击和ID攻 击下是存在性不可伪造的。 2.2 保密性 在本方案中,任意飞机节点i的完整私钥由部分私钥d 和秘密数m 构成,即使遇到恶意的私钥生成 中心或私钥生成中心受到攻击,导致系统主密钥k被攻击者获得,攻击者也只能伪造出飞机节点的部分私 钥d ,无法伪造秘密数m 。而在信息传递过程中,任何通信实体若想得到m ,面临着解决椭圆曲线离散对 数问题,所以在签名与认证过程中m 只有飞机节点本身才知道,而PKG和其它任何飞机节点都无法获 得,因此完整私钥(d +m )是安全、保密的。 2.3不可否认性 在本方案中,任意飞机节点完整的私钥为(d +ra )。其中,m 是飞机节点本身选择的秘密数,不同飞 机节点的m 是各不相同的,所以每个飞机节点的签名私钥是各不相同的,验证公钥也各不相同。当签名 者使用不同签名私钥对同一消息进行签名时,产生的签名结果必然是不同的,而签名者的签名私钥又是安 全、保密的,因此只要签名验证者使用签名者的公钥对签名的验证通过后,则能够证明该签名一定是山该 签名者发出。 2.4效率比较 本节将对提出的方案进行效率分析,并将其与文献[7]和文献[8]进行对比。在分析计算开销时,主 要考虑的运算类型为:椭圆曲线加法群上的点乘运算,双线性对运算,指数运算,求逆运算。相对于以上几 种运算,其它运算开销(如普通的哈希运算,椭圆曲线上的点加运算等)可以忽略不计。运行一个512位 530 信息工程大学学报 2013正 双线性对运算需要花费20ms,进行一个1024位素数指数操作只需要8.8ms¨。。。运行一次双线性对操作 的时间至少是椭圆曲线上点乘运算时间的21倍… 。一次求逆运算相当于80次的域乘法运算¨ 。如表 1所示,本算法与文献[7—8]提出的方案都满足安全性要求。在计算开销方面,本文提出的方案并没有使 用复杂、费时的双线性对运算,指数运算和求逆运算,在签名生成阶段,签名节点只需要进行1次椭圆曲线 上的点乘运算;在签名验证阶段,验证节点只需要进行3次椭圆曲线上的点乘运算。因此本方案计算开销 非常小,性能优于文献[7—8],能够很好地适应高动态机载无线移动自组网对效率的要求。 表1效率比较 3 小结 本文针对机载无线移动自组网中飞机节点之间身份合法性确认问题进行了研究,提出了一种基于身 份的签名认证方案,经过分析,本方案不存在密钥托管问题,生成的签名是不可伪造的,而且避免了复杂的 运算,因此本方案具有很高的安全性和效率,能够适用于机载无线移动自组网的特殊环境。 参考文献: [1]郑博,张衡阳,黄国策,等.航空自组网的现状与发展[J].电信科学,2011(5):38-47. [2]Shamir A.Identity—based Cryptosystems and Signature Schemes[c]//CRYPTO 1984.Berlin:Springer・Verlag,1985:47-53. [3]A1一Riyami S S,Paterson K G.Certiifeateless public key cryptography[c]//Asiaerypt 2003.Bedin:Springer-Verlag,2003: 452-473. [4]Xia L Q,Wang S B,Shen J J,et a1.Breaking and repaiirng the eetriifcateless key agreement protocol from ASIAN 2006[J]. Wuhan University Jounral of Natural Sciences,2008,13(5):562—566. [5]黄隽,杜伟章.无证书代理盲签名方案[J].计算机工程与应用,2011,47(31):73.75. [6]张建中,杨丽.无证书代理盲签名方案的密码学分析与改进[EB/OL].[2012.11-06].http://www.cnki.net/kems/de- tail/1 1.2127.TP.20120806.1441.O14.htm1. [7]Jin Z,Wen Q.Certiifcateless multi—proxy signature[J].Computer Communications,2011,34(3):344・352. [8]王圣宝,刘文浩,谢琪.无双线性配对的无证书签名方案[J].通信学报,2012,33(4):93-98. [9]Wang Z W,Wang L C.Provably secure and efficient identity-based signature scheme based on cubic residues[J].1nterna- tional Journal of Network Security,2012,14(1):104—109. [10]Gao Meng,Zhang Fu-tai.Key-compromise impersonation attacks on some eertiifeateless key agreement protocols and two im・ proved protocols[C]//Proc of the 1st International Workshop on Education Technology and Computer Science.2009:62-66. [1 1]Mirac1.Muhiprecision integer and rational arithmetic C/C++library[EB/OL].[2013-03-01].http://indigo.ie/mscott/. [12]Darrel Hankerson,AILed Menezes,Scott Vanstone.椭圆曲线密码学导论[M].张焕国,等译.北京:电子工业出版社, 2005.