丁永善，李立新，李作辉

（信息工程大学三院，河南 郑州 450001）

1 引言

物联网是一种将人与人、人与物、物与物连接起来的一种泛化的互联网，具有动态感知、可靠传送与智能处理等特点，提高了社会的信息化能力。近年来随着物联网的迅猛发展，其安全问题日益突出[1,2]，惠普安全研究院调查 10个最流行的物联网智能设备后发现，几乎所有设备都存在高危漏洞；腾讯发布的互联网安全报告指出，2017年上半年物联网攻击增加280%。张玉清等[3]通过分析现有关于物联网研究工作中的不足和安全问题产生的原因，指出物联网安全存在的5大技术挑战：数据共享的隐私保护方法；有限资源的设备安全保护方法；更加有效的入侵检测防御系统与设备测试方法；针对自动化操作的访问控制策略；移动设备的跨域认证方法。

在移动设备组成的通信网络中，除人与设备的交互外，存在越来越多设备之间的交互，移动设备会频繁地从一个网络移动到另一个网络。当移动设备漫游到外域网络时，只有通过了该域网络认证才允许被接入，同时为防止攻击者对移动设备的跟踪，需要提供匿名服务隐藏移动设备的真实身份，因此，匿名跨域认证方案在移动设备组网中至关重要。

适用于移动设备的跨域认证方案除了满足匿名性和不可跟踪性外，由于移动设备的计算能力和功率受限，因此方案还应该满足移动设备计算开销小的要求[4]。

文献[5,6]利用证书和PKI技术实现跨域认证方案，但方案都涉及复杂的证书管理过程，并且计算开销相对较大；文献[7]提出一种无对运算的基于身份的签名（IBE）方案，具有较高的执行效率；在该签名方案的基础上，文献[8]设计了一种匿名跨域认证方案，然而该方案涉及密钥托管问题，其安全性依赖对PKG完全可信。基于证书的加密（CBE）方案[9]将 IBS的优点集成到 PKI中，文献[10]基于 CBE提出了基于证书的签名（CBS）方案，该算法不需要PKI中复杂的证书管理，同时避免了IBS中的密钥托管和分发问题。但其依赖于对运算，计算开销较大，针对该问题，文献[11]提出一种无对运算的CBS方案，降低了计算开销。

在研究上述方法的基础上，本文提出一种基于证书的匿名跨域认证方案。本文的主要贡献如下。

1) 提出了一种无对运算的 CBS方案，该方案融合了PKI和IBS的优势，并且避免了对运算，另外，方案中的签名验证结果为常量。

2) 对CBS方案的不可伪造性进行了证明。

3) 将 CBS方案运用到移动设备的跨域认证中，用户提交的认证信息中不包含移动设备的真实身份，实现匿名认证。

4) 对基于证书的匿名跨域认证方案的安全性和效率进行了分析。

2 预备知识

2.1 数学定义和假设

定义 1 （对运算[12]）假设双线性映射，其中，G、GT为素数q阶循环乘法群，g为G的生成元。则e满足

1) 双线性：对于所有的x, y∈G 和均有

2) 非退化性：e( g, g)≠1。

定义2 （离散对数（DL）假设）假设q阶循环乘法群G，生成元为g。对于M∈G，求使其满足xM=g的问题，称为群G的离散对数问题。对于敌手B，若则敌手B的优势为ε。

群G的假设：没有算法能在t时间内以至少ε的优势解决群G的离散对数问题。

2.2 基于证书的签名（CBS）方案的基本步骤

一个CBS方案主要包括Setup、UserKeyGen、Certify、Sign和Verify这5步[13]。

1) Setup：该算法生成系统主密钥msk和系统公开参数params。

2) UserKeyGen：该算法根据params生成用户公钥PKID和私钥uskID。

3) Certify：该算法根据系统主密钥msk、公开参数params、用户标识ID和用户公钥PKID，生成用户证书 CertID。

4) Sign：该算法根据系统公开参数params、消息m、用户标识 ID、用户公钥PKID和用户证书CertID，生成签名值σ。

5) Verify：该算法根据(m,)σ，系统公开参数params、用户标识 ID和用户公钥PKID，验证签名值。若输出为真，则签名值可用，否则不可用。

2.3 安全模型

本文假设敌手 A希望在已知用户公钥PKID而不知用户证书的情况下伪造用户签名，针对该敌手定义以下游戏[14]。

1) 挑战者 C运行 Setup产生系统参数params，并将系统参数params发送给敌手A。

2) 敌手A进行以下询问。

UserKeyGen-query：敌手 A提供 ID，若 ID已经存在，则返回用户公钥PKID；否则挑战者 C运行算法 UserKeyGen，获取公私钥对，将其添加到用户列表，并返回用户公钥PKID。

Corruption-query：敌手A提供ID，挑战者C检查用户列表，若ID存在，返回相应私钥uskID。

Certification-query：挑战者根据敌手 A提供的 ID，以为输入运行算法Certify，并返回Cert。

Sign-query：挑战者运行算法 Sign，根据计算签名值σ。

敌手A执行多项式有界次询问后，敌手A产生消息m的签名σ；在第二阶段敌手A未曾进行相关的私钥、证书和签名询问，但得到用户*ID的签名σ*、消息m*、公钥 PK*，若σ*为有效签名，则敌手A赢得游戏。敌手A的优势为赢得游戏的概率。

3 基于Certificate的签名算法

基于证书的签名方案大多是基于线性对运算实现的[15～17]，经当前的MIRACL库测试可知，对运算具有较大的计算开销。文献[11]提出了一种无对运算的CBS算法，该算法相较于上述方法具有更高的效率。本节在文献[11]的基础上，提出一种新的无对运算的CBS算法，该算法不仅保持了原算法的执行效率高的优点，同时签名的验证结果保持常数，便于实现跨域过程中的匿名认证。其中，3.1节对无对运算的CBS算法进行描述，3.2节对该算法进行了不可伪造性证明。

3.1 CBS方案描述

基于证书的签名方案描述如下。

1) Setup：PKG选择q阶循环乘法群G，G的生成元为 g；选择随机数，计算定义以下 Hash函数。公开系统参数params=并妥善保管系统主密钥msk=x。

2) UserKeyGen：用户随机选择作为用户私钥，即usk=u；并计算用户公钥PK=

3) Certify：CA随机选择计算则用户证书为，用户可以通过式(1)验证证书的正确性。

4) Sign：签名者对消息进行签名。签名者随机选取，并计算则签名消息为

5) Verify：验证者收到消息签名值和系统参数后，进行计算并验证

是否成立，若成立输出“真”，否则输出“假”。

该算法中，用户独自生成私钥和公钥并向CA申请用户证书，CA拥有用户证书却不掌握用户私钥，不具备解密任何密文的能力。该算法不具有 pairing，具有较高的执行效率，同时签名验证结果为常数，便于实现跨域过程中的匿名认证。

3.2 CBS方案安全性证明

该方案中，认为证书颁发者CA是诚实且可信的，针对2.3节中定义的敌手A对CBS方案的不可伪造性进行证明。

定理1 在随机预言模型中，针对CBS方案，若存在敌手A经过至多qe次Certification-query，qs次 Sign-query，qh1次H1-query，qh2次H2-query，在t时间内以ε优势伪造该签名方案，则存在算法B在t'时间内以'ε的优势解决DL问题。（E为幂操作时间）

证明 假设存在敌手 A在t时间内以ε优势伪造该签名方案，构造算法 B。选择q阶循环乘法群G，G的生成元为g；在已知G和M∈G的情况下，要求求得x∈G满足xg=M。

建立阶段：算法B选择Hash函数作为随机语言模型。算法 B生成 X=M和公开参数，并发送给敌手A。

询问阶段：敌手A进行以下询问。

1) H1-query算法 B拥有包含元组的H1列表，当敌手 A进行询问时，首先检查H1列表是否包含若包含则返回h；否则随机选择并把加入H1列表，返回h。

2) H2-query（Y, R, m）：随机选择令返回h2。

3) UserKeyGen-query（IDi）：算法B拥有包含元组的Key列表，当敌手A进行询问时，首先检查 Key列表是否包含，若包含则返回PKi；否则执行算法 UserKerGen生成公私钥对并把加入Key列表，返回PKi。

4) Corruption-query（IDi）：当敌手A进行询问时，算法 B首先检查 Key列表是否包含，若包含则返回uski；否则返回⊥。

5) Certification-query敌手A进行证书查询，算法 B进行以下操作：①若存在，则随机选取并令，返回证书(R, s)，计算可知(R, s)满足同时存储更改H1列表中的；②若不存在，则执行算法Certify，存储并返回h1。

6) Sign-query是否进行过H1询问，若是，算法B则查询算法 B检查，并令随机选择，进行H2询问得到h2，计算返回签名(Y, R, z)。若否，算法 B则执行算法Certify，并用得到的证书用上述方法对消息进行签名，返回签名信息。

计算阶段：敌手A对得到伪造签名。对同一经过4次H2询问，得到不同的h2，假设分别为c1、c2、c3、c4。多次询问后可以得到。同时。根据式(2)，则有

即。其中，对于敌手 A为未知的，解上述线性方程可以得到x即DL问题的解。

分析阶段：当对进行随机赋值时，前后出现不一致时导致随机预言模型失败，可能性为；由于 Certification-query和 Sign-query阶段都可能进行H1询问，则最多询问次数为。根据随机语言模型的理性随机性，存在H2询问的可能性为，敌手A通过询问得到正确H2的可能性为。因此敌手A成功的可能性为

时间复杂度是由Certification询问和Sign询问中的幂操作影响的，故

4 物联网环境下基于证书的跨域认证方案设计

4.1 系统模型

移动网络环境主要由移动设备（MD）、移动设备在本网络的认证代理（HA）和移动设备在外地网络的接入点代理（FA）构成，其架构如图1所示。

图1 移动设备网络系统模型

当MD漫游到域外网络时，只有通过了该域FA的认证才被允许接入。移动设备 MD首先在HA进行注册，生成公私钥；HA为MD颁发证书并建立账户。当MD访问本域网络时，可直接通过HA进行认证；当MD访问域外网络时，为了保证MD不被跟踪，需要通过匿名跨域认证隐藏MD的真实身份，FA对MD的匿名认证通过FA认证HA身份、HA认证MD身份两步实现。由于MD发送的所有数据都经过FA转发，因此MD的认证信息不能包含任何真实身份信息，但同时又能使HA验证其真实身份。

4.2 方案设计

方案分为系统建立、移动设备注册、全认证、重认证4个阶段。

1) 系统建立

HA选择素数q阶乘法循环群G，生成元为g；选取为其私钥，计算为其公钥；选取公开参数。FA选择与HA相同的参数，并选取作为私钥，计算公钥，公开参数

2) 移动设备注册

① 移动设备MD将IDMD发送给HA。

② HA验证移动设备身份，若通过，则发送给移动设备，移动设备选取作为私钥，计算，并将公钥 PKMD发送给HA。HA选取，计算，生成证书发送给移动设备，移动设备可以通过验证证书的正确性。

③ HA为移动设备 MD建立账户其中为移动设备账户的索引是账户信息，包括移动设备身份、有效期等。

3) 全认证

① 移动设备选取，获取时间戳TMD，计算；发送消息给FA。

② FA收到消息后，若TMD新鲜，则获取时间戳TFA，签名并发送消息给HA。

③ HA收到消息后，若TFA新鲜且签名验证通过，则HA通过对FA的认证，HA计算取出移动设备信息，验证是否成立，若成立则HA通过对移动设备 MD的认证。HA获取时间戳THA，签名并发送消息(IDFA,给FA。

④ FA收到消息后，若THA新鲜且签名验证通过，则FA通过对HA的认证。FA创建移动设备临时身份ID′，选取，为移动设备颁发临时证书建立临时账户，其中为移动设备账户的索引，是临时账户信息，包括移动设备临时身份、有效期等。FA计算，获取时戳TF′A，发送给移动设备 MD，其中，Ek0为对称加密。

⑤ 移动

设备MD收到消息后，若TF′A新鲜，则用k解密并核对TF′A、，若一致，则移动设备通过对FA的认证，并把k作为之后的会话密钥。

4) 重认证

当移动设备MD再次访问域B中的资源时，若临时证书在有效期，则移动设备MD可以通过临时身份ID'和临时证书(R′, s′)进行快速认证，而无需通过HA参与。

① 移动设备选取，获取时间戳TMD，计算发送消息给FA。

② FA收到消息后，若TMD新鲜，计算，取出移动设备信息，验证是否成立，若成立则通过对移动设备MD的认证。FA获取时间戳TFA，选取计算，发送消息给移动设备MD。

③ 移动设备MD收到消

息后，若TFA新鲜，

则用ki-1解密，核对TFA、TMD，若一致，则移动设备通过对 FA的认证。计算，并把ki作为本次通信的会话密钥。

5 基于证书的匿名跨域认证方案分析

5.1 认证安全性

在跨域认证方案的全认证过程中，实现了实体间的双向认证。在全认证过程中，HA和FA之间的认证是基于公钥密码实现的，签名中包含时间戳，有效避免了重放攻击；HA对MD的认证是基于CBS方案实现的，3.2节对CBS方案的不可伪造性进行了证明；MD对FA的认证是基于对称密码实现的，用于认证的密钥只有认证双方可以通过计算获得，确保了认证的安全性；FA对MD的认证是通过FA对HA、HA对MD的认证间接实现的。

5.2 匿名性和不可跟踪性

用户的真实身份只对本域的认证服务器 HA公开，用户和其他域的认证服务器 FA都无法确定用户的真实身份。在全认证过程中，用以交互进行身份认证的消息不包含用户的身份信息，HA通过验证用户签名信息、计算用户索引认证用户身份，因此除HA外其他实体不能获得用户真实身份。在全认证阶段，FA为用户建立临时身份，在重认证时，FA仅能确认用户的临时身份，通过验证签名信息完成用户认证，而无法得到用户的真实身份。

另外，用户每次进行认证时选择对时间戳进行签名作为认证信息，认证消息具有随机性，除本域认证服务器HA和访问域认证服务器FA外，其他实体无法将不同的认证消息联系起来。

5.3 会话密钥建立与更新

在认证过程中，会话密钥是在会话双方之间建立的，移动设备选择秘密参数，计算，并将k作为会话密钥，将K发送给访问域认证服务器FA，访问域FA用自己的私钥sFA，计算得到会话密钥，移动设备可以通过解密核对确认FA计算得到了正确的会话密钥。其他实体无法获得会话密钥，包括本域认证服务器HA。

在重认证过程中，新的会话密钥是在原会话密钥的基础上通过杂凑得到的，使每次会话的密钥均不相同。

文献[18]方案用户和 FA 之间的会话密钥是通过HA间接建立的，HA同样掌握会话密钥，因此本方案的安全性优于文献[18]方案。

5.4 效率分析

本文方案集成了PKI和IBS的特性和优点，并且在整个认证过程中没有对运算。本文方案与文献[8,12,18]中方案的效率进行对比结果如表1所示。

表1 效率比较

通过对比可知，相对于文献[8]的方案，本文方案有更少的公钥和对称加解密；相对文献[12]的方案，本文方案所有实体均不进行对运算，虽然MD多进行一次散列运算，但整体计算开销较小；相对于文献[18]的方案，有更少的公钥加解密。本文方案中虽然使用证书和用户私钥一起进行签名操作，但并不涉及复杂的证书管理，同时相对于基于身份的跨域认证方案，没有密钥托管和密钥分发问题，因此更适合应用在移动设备的跨域认证中。

6 结束语

移动设备的跨域认证是物联网发展过程中面临的主要问题之一。本文提出一种适用于移动设备的跨域认证方案，该方案在保证安全性和匿名性的基础上，具有更少的计算量和通信开销，提高了认证的效率。通过与其他跨域认证方案相比，本文方案在安全上和效率上具有明显优势，使其能够满足网络漫游中移动设备的匿名认证要求。

参考文献：

[1]ROMAN R, ZHOU J, LOPEZ J. On the features and challenges of security and privacy in distributed internet of things[J]. Computer Networks, 2013, 57(10)：2266-2279.

[2]武传坤. 物联网安全关键技术与挑战[J]. 密码学报, 2015,2(1)：40-53.WU C K. An overview on the security techniques and challenges of the Internet of things[J]. Journal of Cryptologic Research, 2015,2(1)：40-53.

[3]张玉清, 周威, 彭安妮. 物联网安全综述[J]. 计算机研究与发展,2017, 54(10)：2130-2143.ZHANG Y Q, ZHOU W, PENG A N. Survey of Internet of things security[J]. Journal of Computer Research and Development, 2017,54(10)： 2130-2143.

[4]HINAREJOS F, LOPEZ J, MONTENEGRO J A, et al. Pervasive authentication and authorization infrastructures for mobile users[J].Computers & Security, 2010, 29(4)：501-514.

[5]LEE D G, KANG S I, SEO D H, et al. Authentication for single/multi domain in ubiquitous computing using attribute certification[C]//International Conference on Computational Science and ITS Applications. 2006：326-335.

[6]AYE N, KHIN H S, WIN T T, et al. Multi-domain public key infrastructure for information security with use of a multi-agent system[M]//Intelligent Information and Database Systems. Berlin：Springer, 2013：365-374.

[7]BELLARE M, NAMPREMPRE C, NEVEN G. Security proofs for identity-based identification and signature schemes[C]//Advances in Cryptology Eurocrypt 2004. 2004：268-286.

[8]罗长远, 霍士伟, 邢洪智. 普适环境中基于身份的跨域认证方案[J]. 通信学报, 2011, 32(9)：111-115.LUO C Y, HUO S W, XING H Z. Identity-based cross-domain authentication scheme in pervasive computing environments[J]. Journal on Communications, 2009, 30(4)：130-136.

[9]GENTRY C. Certificate-based encryption and the certificate revocation problem[C]//International Conference on Theory and Applications of Cryptographic Techniques. 2003：272-293.

[10]KANG B G, PARK J H, SANG G H. A certificate-based signature scheme[C]//Cryptolograheres Track Research Conference. 2004：99-111.

[11]LIU J K, BAEK J, SUSILO W, et al. Certificate-based signature schemes without pairings or random oracles[C]//International Conference on Information Security. 2008：285-297.

[12]朱辉, 李晖, 苏万力,等. 基于身份的匿名无线认证方案[J]. 通信学报, 2009, 30(4)：130-136.ZHU H, LI H, SHU W L, et al. ID-based wireless authentication scheme with anonymity[J]. Journal on Communications, 2009,30(4)：130-136.

[13]LI J, WANG Z, ZHANG Y. Provably secure certificate-based signature scheme without pairings[M]. Elsevier Science Inc.2013：313-320.

[14]LI J, HUANG X, MU Y, et al. Certificate-based signature： security model and efficient construction[J]. Public Key Infrastructure, 2007,(4582)：110-125.

[15]VERMA G K, SINGH B B. Short certificate-based proxy signature scheme from pairings[J]. Transactions on Emerging Telecommunications Technologies, 2017(1)：3214.

[16]ZHANG Y, LI J G, WANG Z, et al. A new efficient certificate-based signature scheme[J]. Chinese Journal of Electronics, 2015,24(4)：776-782.

[17]MAN H A, LIU J K, SUSILO W, et al. Certificate based (linkable)ring signature[C]//International Conference on Information Security Practice and Experience. 2007：79-92.

[18]彭华熹, 冯登国. 匿名无线认证协议的匿名性缺陷和改进[J].通信学报, 2006, 27(9)：78-85.PENG H X, FENGDG. Security flaws and improvement to a wireless authentication protocol with anonymity[J]. Journal on Communications, 2006, 27(9)：78-85.