物聯(lián)網(wǎng)WSS簇間節(jié)點(diǎn)安全鏈路模型

周偉偉 郁 濱

(解放軍信息工程大學(xué) 鄭州 450001) (zww15238060801@163.com)

物聯(lián)網(wǎng)(Internet of things, IoT)將傳感器嵌入車輛、公路、建筑、橋梁、工業(yè)設(shè)備等物體中，實(shí)現(xiàn)物與物、物與網(wǎng)以及物與人的實(shí)時(shí)交互和融合[1].物聯(lián)網(wǎng)無線服務(wù)系統(tǒng)(wireless service system, WSS)由中心控制臺(tái)、簇頭節(jié)點(diǎn)和簇內(nèi)的終端節(jié)點(diǎn)3級(jí)結(jié)構(gòu)組成.簇頭節(jié)點(diǎn)負(fù)責(zé)網(wǎng)絡(luò)中數(shù)據(jù)的中繼.在整個(gè)WSS中，人員、設(shè)施設(shè)備和網(wǎng)絡(luò)配置的管理與控制由數(shù)據(jù)計(jì)算能力較強(qiáng)的中心處理機(jī)實(shí)施，該處理機(jī)與中心控制臺(tái)通過安全通道相連.每個(gè)終端傳感器節(jié)點(diǎn)均由一個(gè)64 b的硬件標(biāo)識(shí)碼唯一確定，與該標(biāo)識(shí)碼對(duì)應(yīng)的安全屬性信息存儲(chǔ)在簇形結(jié)構(gòu)服務(wù)器中并上傳至控制中心.

WSS的數(shù)據(jù)采集范圍廣、可擴(kuò)展性好、部署快捷等特點(diǎn)使其廣泛應(yīng)用于諸多領(lǐng)域.與此同時(shí)，安全性已成為制約WSS發(fā)展的一個(gè)關(guān)鍵問題.傳統(tǒng)的加密技術(shù)難以實(shí)現(xiàn)簇形結(jié)構(gòu)間通信鏈路和節(jié)點(diǎn)的匿名性保護(hù)，同時(shí)不能為源簇形結(jié)構(gòu)提供有效的可信性認(rèn)證服務(wù).

目前，WSS簇間節(jié)點(diǎn)安全鏈路方面的研究主要集中在傳輸數(shù)據(jù)本身的防護(hù)，缺乏節(jié)點(diǎn)及鏈路的可信性認(rèn)證和匿名性保護(hù).現(xiàn)有安全鏈路防護(hù)技術(shù)主要包括可信性認(rèn)證和安全鏈路傳輸.

可信性認(rèn)證[2-5]通過驗(yàn)證用戶身份的合法性、平臺(tái)真實(shí)性以及完整性實(shí)現(xiàn)對(duì)接入網(wǎng)絡(luò)中所有節(jié)點(diǎn)的安全性評(píng)估；Gong等人[6]提出在可信網(wǎng)絡(luò)鏈接中加入認(rèn)證機(jī)制、初始狀態(tài)安全策略和實(shí)時(shí)狀態(tài)策略來解決傳統(tǒng)可信認(rèn)證無法動(dòng)態(tài)跟蹤用戶狀態(tài)信息的問題，但該方案并未有效保護(hù)網(wǎng)絡(luò)中節(jié)點(diǎn)的隱私性；文獻(xiàn)[7]利用基于信任機(jī)制的通信協(xié)議重構(gòu)SoC與其他模塊之間的關(guān)系，保護(hù)系統(tǒng)分配給SoC模塊IP的隱私性，但該拓?fù)浣Y(jié)構(gòu)并不適用于WSS網(wǎng)絡(luò)環(huán)境且未對(duì)用戶平臺(tái)的屬性信息進(jìn)行驗(yàn)證；針對(duì)屬性信息的認(rèn)證問題，Tsai等人[8]給出了基于非對(duì)稱雙線性對(duì)和動(dòng)態(tài)隨機(jī)數(shù)生成器的可信認(rèn)證機(jī)制，通過屬性庫比對(duì)用戶訪問的合法性，同時(shí)實(shí)現(xiàn)了用戶與中心的身份認(rèn)證、密鑰協(xié)商和用戶的不可追蹤性等功能，該方案對(duì)防止用戶平臺(tái)越權(quán)訪問具有明顯優(yōu)勢(shì)，但用戶的不可追蹤性和非匿名性使系統(tǒng)的抗非法入侵及流量分析的性能下降；Jiang等人[9]指出Tsai的雙向可信認(rèn)證方案容易遭受服務(wù)提供商偽造攻擊且在用戶卡丟失后不能及時(shí)注銷控制臺(tái)中的用戶信息；為了避免上述安全缺陷，文獻(xiàn)[10]提出了基于云服務(wù)平臺(tái)的分布式安全認(rèn)證和接入方案，該方案利用可關(guān)聯(lián)的數(shù)字證書標(biāo)記控制中心的授權(quán)時(shí)間以及用戶信息，提供實(shí)時(shí)的有效期更新、服務(wù)提供商驗(yàn)證和證書撤銷機(jī)制，解決了服務(wù)提供商偽造攻擊和用戶信息無法注銷問題，但方案未設(shè)計(jì)匿名性保護(hù)機(jī)制，用戶隱私性信息容易泄露.上述方案均存在不適用于WSS網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、缺乏可撤銷的信任證書機(jī)制和無法提供匿名性保護(hù)的問題，同時(shí)不能抵御根服務(wù)器與協(xié)商器共謀時(shí)向源簇形結(jié)構(gòu)發(fā)起的篡通攻擊(Rudolph攻擊).

安全鏈路傳輸[11-12]將數(shù)據(jù)信息加密處理后依據(jù)鏈路地址從目標(biāo)簇形結(jié)構(gòu)安全傳送到源簇形結(jié)構(gòu)并解密呈現(xiàn)給用戶平臺(tái).該技術(shù)的關(guān)鍵在于鏈路地址信息的獲取、數(shù)據(jù)加解密機(jī)制的設(shè)計(jì)以及前向和后向匿名性的防護(hù)；文獻(xiàn)[13]基于動(dòng)態(tài)博弈的思想提出針對(duì)不同攻擊計(jì)算鏈路傳輸?shù)淖顑?yōu)化策略，但收益函數(shù)中參數(shù)難以確定，且未考慮鏈路的匿名性問題；Lu等人[14]設(shè)計(jì)了一種在簇形無線傳感器網(wǎng)絡(luò)中運(yùn)行的安全傳輸協(xié)議，該協(xié)議通過身份的數(shù)字證書和基于身份的在線離線數(shù)字證書并配合公鑰算法保證鏈路中的數(shù)據(jù)傳輸安全，但公鑰加解密傳輸機(jī)制降低了系統(tǒng)的處理效率；通過在鏈路中增加密鑰協(xié)商機(jī)制，文獻(xiàn)[15]提出了簇間節(jié)點(diǎn)對(duì)稱密鑰加解密傳輸方案，但該方案缺乏鏈路的匿名性保護(hù)策略；針對(duì)鏈路中簇形結(jié)構(gòu)的隱私性問題，He等人[16]設(shè)計(jì)了一種基于Hash鏈的密鑰更新策略和替代身份簽名相結(jié)合的安全鏈路傳輸系統(tǒng)，但該系統(tǒng)僅實(shí)現(xiàn)了有限的匿名性，鏈路的中繼節(jié)點(diǎn)可以通過前向追蹤獲取源節(jié)點(diǎn)的部分隱私信息;Saxena等人[17]提出了一種抵御短報(bào)文泄露攻擊的安全傳輸方案，但仍未解決鏈路的匿名性問題.

上述針對(duì)安全鏈路的研究主要集中在單一的平臺(tái)可信性認(rèn)證或者傳輸數(shù)據(jù)安全，未將兩者結(jié)合對(duì)WSS簇間節(jié)點(diǎn)安全鏈路進(jìn)行防護(hù)，且現(xiàn)有可信認(rèn)證機(jī)制和安全鏈路傳輸機(jī)制均缺乏節(jié)點(diǎn)及鏈路的匿名性保護(hù)，容易遭受竊聽、流量分析和Rudolph等攻擊.

本文結(jié)合WSS網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的特點(diǎn)和對(duì)稱雙線性對(duì)映射，提出了一種基于可信第三方的簇間節(jié)點(diǎn)安全鏈路模型，分別構(gòu)建了WSS可信認(rèn)證與注冊(cè)、簇形結(jié)構(gòu)地址查詢和簇間安全鏈路傳輸?shù)膮f(xié)商流程，給出了簇間安全鏈路協(xié)議的UC安全性證明.最后，實(shí)驗(yàn)對(duì)比了本文方案與其他簇間節(jié)點(diǎn)安全鏈路方案的抗攻擊性能及匿名度變化規(guī)律.

1 CSTM模型設(shè)計(jì)

依據(jù)現(xiàn)有物聯(lián)網(wǎng)WSS安全傳輸機(jī)制的特點(diǎn)，在控制中心的協(xié)調(diào)器中嵌入簇間可信認(rèn)證服務(wù)器(clustered-trusted authentication server, C-TAS)模塊，同時(shí)在對(duì)象名解析服務(wù)(object name service, ONS)匹配機(jī)制中增加可信匿名認(rèn)證操作對(duì)請(qǐng)求發(fā)起方對(duì)象名解析服務(wù)器(source-object name server, S-ONS)的簇頭身份合法性及軟硬件平臺(tái)的可信性進(jìn)行認(rèn)證.簇間安全傳輸鏈路保證了不同簇形結(jié)構(gòu)間物品信息傳輸?shù)陌踩?基于簇形結(jié)構(gòu)的物聯(lián)網(wǎng)WSS簇間節(jié)點(diǎn)安全鏈路模型(secure transmission model between the clusters, CSTM)如圖1所示:

Fig. 1 Framework of CSTM圖1 CSTM模型架構(gòu)

在物聯(lián)網(wǎng)WSS中，終端節(jié)點(diǎn)、簇頭節(jié)點(diǎn)和控制中心構(gòu)成了物品信息獲取、傳遞和查詢的3層拓?fù)浣Y(jié)構(gòu).WSS簇間節(jié)點(diǎn)安全鏈路模型為網(wǎng)絡(luò)提供可信認(rèn)證與注冊(cè)服務(wù)、簇形結(jié)構(gòu)地址查詢服務(wù)和簇間安全鏈路傳輸服務(wù).其中，可信認(rèn)證與注冊(cè)服務(wù)是指控制中心利用C-TAS為通過簇頭節(jié)點(diǎn)身份認(rèn)證和S-ONS安全性認(rèn)證的簇形結(jié)構(gòu)生成臨時(shí)的用戶名和身份信息；ONS根服務(wù)器(root-object name server, R-ONS)驗(yàn)證源簇形結(jié)構(gòu)臨時(shí)用戶名和身份信息的合法性，當(dāng)驗(yàn)證通過時(shí)，控制中心將目標(biāo)通信鏈路服務(wù)模塊(target-link server module, T-LSM)的尋址方式發(fā)送到源通信鏈路服務(wù)模塊(source-link server module, S-LSM)，實(shí)現(xiàn)簇形結(jié)構(gòu)地址查詢服務(wù)；源簇形結(jié)構(gòu)利用獲取到的地址信息和路由信息與目標(biāo)簇形結(jié)構(gòu)構(gòu)建一條簇間安全傳輸鏈路，依據(jù)源簇形結(jié)構(gòu)向目標(biāo)簇形結(jié)構(gòu)的鏈路節(jié)點(diǎn)順序及相鄰節(jié)點(diǎn)間的會(huì)話密鑰，T-LSM采用公鑰加密機(jī)制對(duì)目標(biāo)簇形結(jié)構(gòu)中的物品信息層層嵌套加密，加密后的物品信息每經(jīng)過一個(gè)中繼節(jié)點(diǎn)被解密一層，同時(shí)校驗(yàn)轉(zhuǎn)發(fā)數(shù)據(jù)的完整性和傳輸鏈路的真實(shí)性，鏈路中的數(shù)據(jù)幀均通過填充機(jī)制使幀長(zhǎng)度保持一致以防止流量分析攻擊.

1.1 條件假設(shè)

設(shè)GF(p)是特征p的有限域，p為一個(gè)已知的大素?cái)?shù)，GF(p)的域表示為FR，GF(p)上的橢圓曲線方程可表示為E：y2=x3+mx+n，其中，m,n∈GF(p)且(4m+27n) modp≠0恒成立.U=E(GF(p))為橢圓曲線E上所有點(diǎn)的集合.例如，E(GF(11))：y2=x3+2x+9，則集合U={∞,(0,3),(0,8),(1,1),(1,10),(3,8),(4,2),(4,9),(5,1),(5,10),(7,5),(7,6),(8,3),(8,8)}.

令P是橢圓曲線E上隨機(jī)選取的一個(gè)點(diǎn)，l為P的階且l的值足夠大，S為生成橢圓曲線E的種子，h=H(S)且H(·)為輸入l位的雜湊函數(shù)，由P生成的橢圓曲線循環(huán)子群G={∞，P,2P,3P,…,(l-1)P}對(duì)于參數(shù)組(p,FR,S,m,n,P,l,h)的離散對(duì)數(shù)問題是難解的.橢圓曲線E的私鑰Kpri為[1,l-1]中隨機(jī)選取的正整數(shù)d，公鑰Kpub可表示為Kpub=dP.任意選取[1,l-1]中除d以外的正整數(shù)k，利用Kpub和kP計(jì)算kKpub的Diffie-Hellman問題是困難的.

定義1. 雙線性映射[18].設(shè)Q1是U=E(GF(p))上的一個(gè)循環(huán)子群，Q2是GF(p)上的一個(gè)乘法子群，則e:Q1×Q1→Q2稱為雙線性映射.映射e滿足3個(gè)特點(diǎn)：

1) 雙線性.對(duì)于?u,v∈Q1，w∈Q2，滿足e(u+v,w)=e(u,w)e(v,w)，對(duì)于?u∈Q1，v,w∈Q2，滿足e(u,v+w)=e(u,w)e(v,w).

2) 非退化性.在循環(huán)子群Q1中，?M,N∈Q1，使e(M,N)≠1成立.

3) 可計(jì)算性.對(duì)于任意的M,N∈Q1，e(M,N)在計(jì)算上是可行的.

WSS控制中心的C-TAS向網(wǎng)絡(luò)中所有的簇形結(jié)構(gòu)公開參數(shù)組(p,FR,S,m,n,P,l,h)、Kpub、簽名驗(yàn)證算法SigVer及橢圓曲線加密解密算法ED.

假設(shè)1. WSS中各簇頭節(jié)點(diǎn)具有最短路徑路由選擇、密鑰協(xié)商、數(shù)據(jù)加解密以及簽名驗(yàn)證等功能.

假設(shè)2. 控制中心和簇形結(jié)構(gòu)中的T-LSM具有較強(qiáng)的計(jì)算和信息處理能力，在可信認(rèn)證與注冊(cè)機(jī)制、簇形結(jié)構(gòu)地址查詢機(jī)制和簇間安全傳輸機(jī)制中負(fù)責(zé)生成隨機(jī)數(shù)、簽名驗(yàn)證、對(duì)稱密鑰加解密、完整性校驗(yàn)、雜湊函數(shù)運(yùn)算等.

假設(shè)3. 各簇形結(jié)構(gòu)、控制中心、R-ONS，C-TAS，S-ONS，T-ONS以及S-LSM之間具有準(zhǔn)確的時(shí)鐘同步機(jī)制，保證數(shù)據(jù)幀的新鮮性，防止鏈路中的重放攻擊.

假設(shè)4. R-ONS和C-TAS都由協(xié)調(diào)器認(rèn)證通過且持有固定有效期的簽名證書，證書有效期可更新.在證書有效期內(nèi)，控制中心的協(xié)調(diào)器認(rèn)為R-ONS和C-TAS的身份是可信的，其證書格式分別為CertR-ONS={IDR-ONS,NameCor,DataR-ONS,LFR-ONS,KpubR-ONS,ET,SigKpriCor(IDR-ONS|NameCor|DataR-ONS|LFR-ONS|KpubR-ONS|ET)}和CertC-TAS={IDC-TAS,NameCor,DataC-TAS,LFC-TAS,KpubC-TAS,ET,VerKpriCor(IDC-TAS|NameCor|DataC-TAS|LFC-TAS|KpubC-TAS|ET)}，其中ID是證書序列號(hào)和簽名驗(yàn)證算法標(biāo)識(shí)符，Name與Data分別為證書頒發(fā)者名稱和頒發(fā)時(shí)間，LF是證書有效期，KpubCor與KpriCor，KpubR-ONS與KpriR-ONS，KpubC-TAS與KpriC-TAS分別為協(xié)調(diào)器Cor，R-ONS和C-TAS的公私鑰對(duì).

假設(shè)5. 噪聲源生成的偽隨機(jī)序列具有較好的隨機(jī)特性，不存在攻擊算法能夠從已生成的隨機(jī)序列推測(cè)出下一階段噪聲源的輸出.

假設(shè)6. C-TAS中隱私認(rèn)證機(jī)構(gòu)(privacy certificate authority, PCA)能夠檢驗(yàn)背書密鑰證書(endorsement key credential, EKC)的有效性，且分別與直接匿名認(rèn)證機(jī)構(gòu)(direct anonymous attestation executor, DAA-E)和S-ONS共享會(huì)話密鑰KE和KS.

1.2 可信認(rèn)證與注冊(cè)

用戶通過源簇形結(jié)構(gòu)中的簇頭節(jié)點(diǎn)和S-ONS向T-ONS發(fā)起數(shù)據(jù)傳輸請(qǐng)求時(shí)，首先需要向控制中心申請(qǐng)?jiān)创匦谓Y(jié)構(gòu)平臺(tái)的可信認(rèn)證和注冊(cè)服務(wù).S-ONS、控制中心和S-ONS之間的消息響應(yīng)流程如圖2所示：

Fig. 2 Message response process of secure link in WSS圖2 WSS安全鏈路消息響應(yīng)流程

源簇形結(jié)構(gòu)用戶利用S-LSM和S-ONS向控制中心的PCA和DAA-E申請(qǐng)身份認(rèn)證并獲取DAA-E簽發(fā)的身份證言密鑰(attestation identity key, AIK)證書，實(shí)現(xiàn)用戶平臺(tái)的真實(shí)性驗(yàn)證.當(dāng)驗(yàn)證通過后，用戶收集平臺(tái)的完整性度量和標(biāo)識(shí)并向?qū)傩宰C書服務(wù)器(attribute certificate server, ACS)發(fā)送完整性報(bào)告信息，ACS收到消息后驗(yàn)證用戶身份和完整性信息，調(diào)用屬性數(shù)據(jù)庫匹配用戶的屬性訪問權(quán)限，將用戶屬性訪問權(quán)限和完整性匹配結(jié)果以屬性證書的形式下發(fā)給源簇形結(jié)構(gòu)，完成用戶平臺(tái)的完整性驗(yàn)證.平臺(tái)的真實(shí)性驗(yàn)證和完整性驗(yàn)證共同構(gòu)成用戶的可信認(rèn)證.當(dāng)用戶平臺(tái)的可信性驗(yàn)證通過后，控制中心協(xié)調(diào)器(coordinator, Cor)對(duì)用戶的AIK公鑰進(jìn)行認(rèn)證，認(rèn)證通過后執(zhí)行注冊(cè)服務(wù).具體的可信認(rèn)證及注冊(cè)流程如圖2中步驟①～③所示.

1.3 簇形結(jié)構(gòu)地址查詢

用戶與C-TAS,Cor完成可信認(rèn)證和注冊(cè)服務(wù)后，源簇形結(jié)構(gòu)中的S-ONS和R-ONS建立一條匿名安全鏈路.Cor為S-ONS頒發(fā)T-ONS地址查詢證書并通告R-ONS.在證書有效期內(nèi)，S-ONS利用T-ONS地址查詢證書可多次請(qǐng)求R-ONS，完成T-ONS地址查詢操作.R-ONS與節(jié)點(diǎn)信息服務(wù)(node information server, NIS)模塊相連接，NIS可為R-ONS提供源簇形結(jié)構(gòu)與請(qǐng)求訪問的目標(biāo)簇形結(jié)構(gòu)的鏈路權(quán)限合法性匹配服務(wù)，同時(shí)可快速查詢相應(yīng)T-ONS的有效鏈路地址信息.具體的簇形結(jié)構(gòu)地址查詢服務(wù)流程如圖2中步驟④所示.

1.4 簇間安全鏈路傳輸

用戶接收到R-ONS發(fā)送的目標(biāo)簇形結(jié)構(gòu)地址信息后，S-ONS啟動(dòng)隨機(jī)的最短路由路徑服務(wù)，S-ONS與T-ONS之間選取的每一個(gè)鏈路節(jié)點(diǎn)均成功通過控制中心的可信性認(rèn)證和注冊(cè).用戶和鏈路中的第1個(gè)節(jié)點(diǎn)通過控制中心及Diffie-Hellman協(xié)議實(shí)現(xiàn)會(huì)話密鑰的協(xié)商.其他節(jié)點(diǎn)依次與前一節(jié)點(diǎn)建立匿名連接，同時(shí)與S-ONS協(xié)商會(huì)話密鑰.S-ONS向T-ONS發(fā)送秘密信息時(shí)，利用橢圓曲線加密算法按其通過的鏈路節(jié)點(diǎn)順序由后至前層層嵌套加密.在匿名安全鏈路的傳輸過程中，加密后的秘密信息每經(jīng)過一個(gè)節(jié)點(diǎn)被相應(yīng)的會(huì)話密鑰和算法解密一次，直到數(shù)據(jù)傳輸?shù)絋-ONS時(shí)秘密信息被解析出來并傳遞到目標(biāo)簇形結(jié)構(gòu).當(dāng)秘密信息由T-ONS向S-ONS轉(zhuǎn)發(fā)時(shí)，由于鏈路中各節(jié)點(diǎn)的匿名性原則，消息每經(jīng)過一個(gè)節(jié)點(diǎn)被加密一次，當(dāng)傳遞到源簇形結(jié)構(gòu)時(shí)，S-ONS對(duì)密文層層解密，將明文呈現(xiàn)到用戶端.在整個(gè)鏈路中，由于密鑰協(xié)商過程的匿名性，僅S-ONS具有鏈路中所有節(jié)點(diǎn)的加解密密鑰，其他節(jié)點(diǎn)及攻擊者只有獲取路由路徑中所有節(jié)點(diǎn)的加解密密鑰才能對(duì)安全傳輸鏈路實(shí)施有效攻擊.該傳輸機(jī)制有效保證了信息傳遞的機(jī)密性和前向安全性.具體的安全鏈路傳輸流程如圖2中步驟⑤所示.

2 CSTM協(xié)商流程

針對(duì)目前WSS簇間節(jié)點(diǎn)數(shù)據(jù)傳輸缺乏匿名性和可信性認(rèn)證問題，基于CSTM模型架構(gòu)在源簇形結(jié)構(gòu)、控制中心和目標(biāo)簇形結(jié)構(gòu)之間設(shè)計(jì)實(shí)現(xiàn)了用戶注冊(cè)、目標(biāo)地址信息下載和簇間可信安全鏈路建立的具體協(xié)議流程，保證源簇形結(jié)構(gòu)在鏈路傳輸中的匿名性、用戶接入平臺(tái)的可信性和惡意訪問行為的可追查性.

2.1 用戶注冊(cè)

在CSTM模型中，用戶注冊(cè)的協(xié)議流程包括平臺(tái)真實(shí)性驗(yàn)證、平臺(tái)完整性驗(yàn)證和注冊(cè).

用戶注冊(cè)前平臺(tái)的真實(shí)性驗(yàn)證流程如圖3所示.該協(xié)議可分為4個(gè)階段：初始化階段、DAA和屬性證書申請(qǐng)階段、簽名階段和協(xié)調(diào)器驗(yàn)證階段.圖3中步驟①～⑤為DAA證書申請(qǐng)階段，步驟⑥為申請(qǐng)驗(yàn)證階段，步驟⑦為協(xié)調(diào)器驗(yàn)證階段.

Fig. 3 Authenticity verification process of user platform圖3 用戶平臺(tái)真實(shí)性驗(yàn)證流程

1) 初始化階段

DAA-E篩選大素?cái)?shù)p和有限域GF(p)，選取參數(shù)組為(p,FR,S,m,n,P,l,h)的橢圓曲線E，依據(jù)定義1構(gòu)造群Q1和Q2.對(duì)于P1∈Q1，P2∈Q2，由隨機(jī)數(shù)發(fā)生器選取x,y∈R[1,l-1]作為私鑰，則公鑰為X=xP2和Y=yP2，向網(wǎng)絡(luò)公開橢圓曲線參數(shù)組以及P1,X,Y,P2.

2) DAA證書申請(qǐng)階段

① S-ONS向PCA發(fā)送的消息(EKS(IDS‖CertEK)，K，fK，s，RS，MACKS(EKS(IDS‖CertEK)，K，fK，s，RS))，PCA作為DAA證書下發(fā)過程中唯一的可信第三方，首先驗(yàn)證MACKS(·)和CertEK是否有效，若驗(yàn)證有效，則PCA與S-ONS建立安全鏈接.其中，CertEK為EKC，s為會(huì)話標(biāo)識(shí)，IDS表示S-ONS的身份標(biāo)識(shí)碼，MACKS(·)表示帶密鑰的消息校驗(yàn)碼，H(·)為雜湊函數(shù)，f為S-ONS的內(nèi)部秘密數(shù)據(jù)，RS=H(IDS)，K=kP1，fK=fkP1且f，k∈GF(p).

② PCA選取K1∈R[1,l-1]并向DAA-E發(fā)送消息(EKE(K1)，K，fK，s，RS，MACKE(EKE(K1)，K，fK，s，RS))，DAA-E驗(yàn)證MACKS(·)的有效性，然后解密獲取K1，利用函數(shù)F計(jì)算DAA-E與S-ONS之間的會(huì)話密鑰KSE=FK1(Rs,RE).

③ DAA-E向PCA發(fā)送消息(IDE，s，RS，RE，MACKE(IDE，s，RS，RE)).

④ PCA驗(yàn)證MACKE(·)的正確性，驗(yàn)證通過后向S-ONS發(fā)送消息(EKS(K1)，RE，MACKE(EKS(K1)，RE)).

⑤ S-ONS計(jì)算會(huì)話密鑰KSE=FK1(Rs,RE)，然后DAA-E向S-ONS發(fā)送消息(EKSE((x+fxy)K‖TIDS)，MACKSE(EKSE((x+fxy)K‖TIDS))).S-ONS計(jì)算C=k-1(x+fxy)K=(x+fxy)P1并保存(P1，yP1，C).其中，(P1，yP1，C)為DAA-E關(guān)于f簽發(fā)的DAA證書CertDAA，F(xiàn)K1表示帶密鑰的會(huì)話密鑰生成函數(shù)，TIDS是為了保護(hù)源簇形結(jié)構(gòu)匿名性生成的臨時(shí)身份，r為DAA-E臨時(shí)生成的隨機(jī)數(shù)，且TIDS=H(IDE‖p)⊕RS⊕r.

3) 申請(qǐng)驗(yàn)證階段

4) 協(xié)調(diào)器驗(yàn)證階段

基于訪問權(quán)限數(shù)據(jù)庫的屬性證書完成對(duì)源簇形結(jié)構(gòu)用戶平臺(tái)的完整性驗(yàn)證和授權(quán)，具體的響應(yīng)流程如圖4所示:

Fig. 4 Integrity verification process of user platform圖4 用戶平臺(tái)完整性驗(yàn)證流程

① S-ONS向ACS發(fā)送平臺(tái)完整性驗(yàn)證請(qǐng)求.其中，KSA為S-ONS和ACS的共享密鑰，c為會(huì)話的消息標(biāo)識(shí).

② ACS收到消息后利用消息中的CertDAA，CertAIK和TAIK驗(yàn)證用戶平臺(tái)的真實(shí)性，并將驗(yàn)證結(jié)果返回S-ONS.其中，c0為會(huì)話的消息標(biāo)識(shí).

③ S-ONS調(diào)用S-LSM收集平臺(tái)的PCR，完整性度量日志Data和其他信息Quote并利用AIK私鑰對(duì)完整性報(bào)告簽名.

④ S-ONS將完整性報(bào)告、和簽名信息Sigd(·)用KSA加密后發(fā)送給ACS.

⑤ ACS收到密文后解密驗(yàn)證簽名信息的有效性以及完整性報(bào)告的正確性，驗(yàn)證通過后查詢屬性數(shù)據(jù)庫中與TIDS綁定的信息，該綁定信息包括TIDS可訪問的目標(biāo)簇形結(jié)構(gòu)集合和屬性集，ACS將屬性數(shù)據(jù)庫中的綁定信息嵌入屬性證書CertACS.

⑥ ACS以密文的形式將CertACS下發(fā)至S-ONS.

⑦ S-ONS收到CertACS后，向Cor發(fā)起基于屬性證書的完整性驗(yàn)證挑戰(zhàn).

⑧ Cor收到連接請(qǐng)求后，通過C-TAS解析CertACS并驗(yàn)證平臺(tái)的完整性度量信息，驗(yàn)證通過后存儲(chǔ)與TIDS綁定的目標(biāo)簇形結(jié)構(gòu)集合和屬性集.

源簇形結(jié)構(gòu)用戶與Cor之間的注冊(cè)流程如圖5所示.

S-ONS在獲取到CertDAA,CertAIK和CertACS后，向Cor發(fā)送用戶注冊(cè)申請(qǐng).Cor利用C-TAS驗(yàn)證證書的合法性，完成平臺(tái)真實(shí)性和完整性認(rèn)證，保證用戶平臺(tái)可信.驗(yàn)證通過后，Cor提取CertACS中的TIDS及其綁定的目標(biāo)簇形結(jié)構(gòu)集合和屬性集并向R-ONS發(fā)送同步消息.R-ONS接收消息并將綁定信息存儲(chǔ)到服務(wù)器秘密存儲(chǔ)區(qū)域.Cor將響應(yīng)報(bào)文發(fā)送給S-ONS完成注冊(cè).

Fig. 5 User registration process圖5 用戶注冊(cè)流程

2.2 用戶從根服務(wù)器下載目標(biāo)簇形結(jié)構(gòu)信息

用戶平臺(tái)在Cor注冊(cè)并成功生成鏈表記錄后，向R-ONS申請(qǐng)目標(biāo)簇形結(jié)構(gòu)地址信息下載服務(wù).用戶平臺(tái)第1次申請(qǐng)地址信息下載服務(wù)的過程如圖6所示:

Fig. 6 User platform’s first application for address information downloads service圖6 用戶平臺(tái)第1次申請(qǐng)地址信息下載服務(wù)

① S-ONS將地址請(qǐng)求命令request，TIDS，TS，cS和幀簽名字段Sigd(·)發(fā)送到R-ONS.其中，Sigd(·)=Sigd(request,TIDS,TS,cS)，TS為時(shí)間戳，cS表示S-ONS的消息標(biāo)識(shí).

mS=(CertDAA,CertAIK,TAIK,CertACS,
TIDS,cS,Sigd(·)).

mR=(CertDAA,CertAIK,TAIK,CertACS,CertR-ONS,

⑥ R-ONS利用AIK公鑰A0將證書的驗(yàn)證結(jié)果以及授權(quán)下載地址信息的證書CertS-ONS發(fā)送給S-ONS，S-ONS可在CertS-ONS的證書有效期內(nèi)多次申請(qǐng)目標(biāo)簇形結(jié)構(gòu)的地址下載服務(wù).其中:

⑦ S-ONS確認(rèn)平臺(tái)通過可信性評(píng)估后，依據(jù)CertACS向R-ONS申請(qǐng)證書范圍內(nèi)的簇形結(jié)構(gòu)地址及相關(guān)屬性集.

⑧ R-ONS驗(yàn)證CertACS并結(jié)合鏈接數(shù)據(jù)庫中TIDS對(duì)應(yīng)的權(quán)限向S-ONS發(fā)送地址信息.該消息由A0加密發(fā)送并由S-ONS解密，完成地址信息申請(qǐng)及下載服務(wù).

當(dāng)用戶平臺(tái)完成第1次申請(qǐng)地址下載服務(wù)后，S-ONS獲取到R-ONS下發(fā)的CertS-ONS.S-ONS利用CertS-ONS申請(qǐng)地址信息下載服務(wù)的流程如圖7所示:

Fig. 7 Credential-based user platform’s application for address information downloads service圖7 用戶平臺(tái)持證書申請(qǐng)地址信息下載服務(wù)

② R-ONS驗(yàn)證TSR的新鮮性，解析Sigd(·)驗(yàn)證簽名的真實(shí)性，同時(shí)匹配TIDS是否在數(shù)據(jù)庫中，檢測(cè)CertS-ONS的是否有效，若證書有效，返回驗(yàn)證成功的響應(yīng)消息，否則跳轉(zhuǎn)到步驟①.

2.3 建立簇間可信匿名安全鏈路

在成功下載目標(biāo)簇形結(jié)構(gòu)鏈路地址信息后，S-ONS與T-ONS通過協(xié)議構(gòu)建簇間可信匿名安全鏈路.該過程可分為安全鏈路生成和惡意匿名用戶平臺(tái)追蹤.其中，鏈路匿名主要是保護(hù)整個(gè)鏈路的IP地址信息.

2.3.1 安全鏈路生成

簇形結(jié)構(gòu)用戶在控制中心成功完成可信性認(rèn)證、注冊(cè)和地址信息下載操作后，通過隨機(jī)選擇的簇形結(jié)構(gòu)集合構(gòu)建一條與T-ONS連接的可信匿名安全鏈路.

S-ONS分別與鏈路中的每一個(gè)匿名簇形結(jié)構(gòu)協(xié)商一個(gè)會(huì)話密鑰，鏈路的參數(shù)配置及消息傳輸過程如圖8所示:

Fig. 8 Credential-based user platform’s application for link construction service圖8 用戶平臺(tái)持證書申請(qǐng)鏈路建立服務(wù)

依據(jù)以上密鑰協(xié)商和連接建立原則，源簇形結(jié)構(gòu)與目標(biāo)簇形結(jié)構(gòu)之間構(gòu)成了一條可信匿名的安全傳輸鏈路.在安全傳輸鏈路中，所有參與者均為通過可信認(rèn)證的簇形結(jié)構(gòu)，保證了用戶對(duì)目標(biāo)簇形結(jié)構(gòu)屬性信息訪問安全可控.

安全傳輸鏈路建立后，源簇形結(jié)構(gòu)將消息按鏈路中繼簇形結(jié)構(gòu)Ti-ONS的順序由后至前層層嵌套加密.在鏈路傳輸過程中，加密數(shù)據(jù)每通過一個(gè)簇形結(jié)構(gòu)被解密一次，直到目標(biāo)簇形結(jié)構(gòu)得到明文并解析呈遞到目標(biāo)端用戶.消息在通過第1個(gè)簇形結(jié)構(gòu)時(shí)被填充為相同長(zhǎng)度的數(shù)據(jù)幀，防止流量分析對(duì)節(jié)點(diǎn)的網(wǎng)絡(luò)攻擊.當(dāng)消息從目標(biāo)簇形結(jié)構(gòu)向源簇形結(jié)構(gòu)傳輸時(shí)，數(shù)據(jù)幀每到一個(gè)簇形結(jié)構(gòu)被加密一次，直到源簇形結(jié)構(gòu)被層層解密獲取屬性信息的明文并呈遞到源簇形結(jié)構(gòu)用戶.

2.3.2 惡意匿名用戶平臺(tái)追蹤

當(dāng)S-ONS向T-ONS申請(qǐng)非授權(quán)屬性集的數(shù)據(jù)傳輸服務(wù)時(shí)，啟動(dòng)如圖9所示的惡意匿名用戶平臺(tái)追蹤機(jī)制:

Fig. 9 Tracking against malicious anonymous user platform圖9 惡意匿名用戶平臺(tái)追蹤機(jī)制

T-ONS收到S-ONS的傳輸請(qǐng)求時(shí)，檢測(cè)屬性信息申請(qǐng)字段的請(qǐng)求日志并與S-ONS用戶平臺(tái)合法屬性集進(jìn)行匹配，若匹配成功，向S-ONS提供安全鏈路屬性信息傳輸服務(wù)，否則觸發(fā)安全控制模塊向控制中心出示CertDAA和CertAIK，驗(yàn)證T-ONS平臺(tái)可信后申請(qǐng)對(duì)源簇形結(jié)構(gòu)的追蹤服務(wù).控制中心為防止T-ONS對(duì)S-ONS的誣告行為，在對(duì)S-ONS可信認(rèn)證后獲取S-ONS的屬性信息訪問日志，利用訪問日志中的屬性訪問記錄和安全性評(píng)估模塊計(jì)算安全度量值.實(shí)際安全度量值的計(jì)算：

(1)

安全度量閾值的計(jì)算：

(2)

其中，α表示安全評(píng)估系數(shù)[8]，Vtru為屬性集的安全度量理論值.

2.4 授權(quán)證書與簇形結(jié)構(gòu)屬性集

由于物聯(lián)網(wǎng)WSS具有資源有限的特性，過度頻繁地申請(qǐng)可信認(rèn)證與地址下載的驗(yàn)證服務(wù)增加了S-ONS的通信開銷，并使請(qǐng)求數(shù)據(jù)在控制中心大量聚集，威脅網(wǎng)絡(luò)的正常運(yùn)行.授權(quán)證書在保證網(wǎng)絡(luò)安全的同時(shí)提高了系統(tǒng)的運(yùn)行效率.通過在證書中設(shè)置有效期，保證了證書的時(shí)效性.

2.4.1 授權(quán)證書結(jié)構(gòu)與合法性驗(yàn)證

授權(quán)證書各字段的結(jié)構(gòu)定義如圖10所示.其中，序列號(hào)表示頒發(fā)者下發(fā)該類證書的標(biāo)識(shí)；簽名算法編號(hào)提示驗(yàn)證者證書所使用的簽名算法以及相關(guān)參數(shù)；頒發(fā)者字段用于標(biāo)識(shí)證書的授權(quán)機(jī)構(gòu)；頒發(fā)對(duì)象為授權(quán)用戶平臺(tái)的臨時(shí)身份信息TIDi；有效期表示證書認(rèn)證有效的授權(quán)時(shí)間區(qū)間；主體內(nèi)容包括公鑰、算法參數(shù)以及填充字段等相關(guān)信息；證書簽名是指用授權(quán)者私鑰對(duì)以上所有字段進(jìn)行簽名.

Fig. 10 Construction of authorized certificate圖10 授權(quán)證書各字段結(jié)構(gòu)

簇形結(jié)構(gòu)用戶可在證書有效期內(nèi)多次使用證書Certi=(CertDAA,CertAIK,CertACS)快速完成身份認(rèn)證和可信性評(píng)估.驗(yàn)證者解析頒發(fā)者字段驗(yàn)證授權(quán)者身份是否合法，當(dāng)驗(yàn)證成功時(shí)，利用公鑰驗(yàn)證證書簽名的有效性并匹配TIDi是否為授權(quán)用戶平臺(tái).當(dāng)所有驗(yàn)證均成功時(shí)，判定該證書為合法證書.該證書認(rèn)證機(jī)制大大提高了平臺(tái)可信認(rèn)證和地址下載服務(wù)響應(yīng)機(jī)制的效率.

2.4.2 簇形結(jié)構(gòu)屬性集

WSS中簇形結(jié)構(gòu)可依據(jù)不同功能的終端節(jié)點(diǎn)收集多種屬性的物品信息.簇形結(jié)構(gòu)屬性集的主要功能是綁定不同用戶和簇形結(jié)構(gòu)的屬性訪問和消息調(diào)用權(quán)限.簇形結(jié)構(gòu)屬性集的綁定架構(gòu)如圖11所示:

Fig. 11 Binding framework of clustered property sets圖11 簇形結(jié)構(gòu)屬性集的綁定架構(gòu)

{Attributeji}表示用戶i可訪問臨時(shí)身份為TIDj的簇形結(jié)構(gòu)的屬性信息集合；{Attributejk}表示用戶i可訪問臨時(shí)身份為TIDk的簇形結(jié)構(gòu)的屬性信息集合；{Attributekj}表示臨時(shí)身份為TIDj的簇形結(jié)構(gòu)可訪問臨時(shí)身份為TIDk的簇形結(jié)構(gòu)的屬性信息集合；{Attributeki}表示臨時(shí)身份為TIDk的簇形結(jié)構(gòu)可訪問臨時(shí)身份為TIDj的簇形結(jié)構(gòu)的屬性信息集合.

若用戶i通過臨時(shí)身份為TIDj的簇形結(jié)構(gòu)向臨時(shí)身份為TIDk的簇形結(jié)構(gòu)發(fā)起屬性信息訪問請(qǐng)求，則該用戶可以合法訪問的屬性信息集合為{Attributeki}∩{Attributekj}.控制中心將這些用戶、簇形結(jié)構(gòu)的屬性集以鏈表的形式存儲(chǔ)在秘密區(qū)域并在傳輸過程中與源簇形結(jié)構(gòu)和目標(biāo)簇形結(jié)構(gòu)同步更新，防止非法用戶對(duì)屬性集的訪問，同時(shí)阻止可信用戶和用戶平臺(tái)越權(quán)訪問超出其權(quán)限的屬性信息.

3 安全性分析

本節(jié)從可信認(rèn)證與注冊(cè)協(xié)議安全性、CSTM模型可信性、CSTM模型安全性以及可追蹤性4個(gè)方面對(duì)物聯(lián)網(wǎng)WSS簇間節(jié)點(diǎn)安全鏈路傳輸模型進(jìn)行分析.

3.1 CSTM可信認(rèn)證與注冊(cè)協(xié)議分析

利用改進(jìn)的通用可組合(UC)模型對(duì)可信認(rèn)證與注冊(cè)協(xié)議πCSTM進(jìn)行簡(jiǎn)化描述，可以實(shí)現(xiàn)對(duì)協(xié)議安全性的證明.經(jīng)典的UC模型對(duì)基于現(xiàn)實(shí)環(huán)境和理想環(huán)境的UC框架、DDH假設(shè)、環(huán)境機(jī)Z以及理想函數(shù)進(jìn)行了詳細(xì)說明.

為了UC 安全性證明方便，將πCSTM中的消息響應(yīng)機(jī)制簡(jiǎn)化為

①S→CA：M1，MACKS(M1);

②CA→E：M2，MACKE(M2);

③E→CA：M3，MACKE(M3);

④CA→S：M4，MACKE(M4);

⑤E→S：M5，MACKSE(M5);

⑥S→C：M6;

⑦C→S：result，CertAIK;

⑧S→A：EKSA(CertDAA,CertAIK,PCR,TIDS);

⑨A→S：EKSA(result,c0,CertACS);

⑩S→C：Certi,Sigd(c1,Certi);

定義2. 令FCSTM是πCSTM的UC理想函數(shù)，Z是理想環(huán)境和現(xiàn)實(shí)環(huán)境的區(qū)分器(環(huán)境機(jī))，k是安全參數(shù)且k∈ [1,l-1]，A0和A1分別為仿真器(理想攻擊者)和真實(shí)攻擊者，則多元組φ(FCSTM,A0,A1,Z,S,A,E,C,CA)及各元素的相互關(guān)系構(gòu)成協(xié)議πCSTM的UC形式化描述.

定義3. 如果協(xié)議攻擊者能夠在執(zhí)行階段捕獲各參與方發(fā)送的隨機(jī)比特消息和加密信息，那么該模型稱為non-erase攻擊模型.

定義4. 如果攻擊者受知識(shí)能力限制只能在協(xié)議運(yùn)行前嘗試攻陷協(xié)議，則該攻擊者稱為靜態(tài)攻擊者；如果攻擊者能在協(xié)議運(yùn)行的全程對(duì)網(wǎng)絡(luò)實(shí)施攻擊，則該攻擊者稱為自適應(yīng)攻擊者.

定理1[19]. 在non-erase攻擊模型和自適應(yīng)攻擊者的安全假設(shè)條件下，如果協(xié)議πCSTM能夠在UC仿真環(huán)境中安全實(shí)現(xiàn)理想函數(shù)FCSTM，那么協(xié)議πCSTM是安全的.

定理2[20]. 如果協(xié)議π0是UC安全的且理想函數(shù)為F0，協(xié)議π1是F0和其他UC安全的子協(xié)議構(gòu)成的組合協(xié)議，那么π1(用π0替代π1中的F0構(gòu)成的組合協(xié)議)是UC安全的，即π1安全實(shí)現(xiàn)了理想函數(shù)F0.

定理2表明，由多個(gè)UC安全的子協(xié)議可以實(shí)現(xiàn)結(jié)構(gòu)復(fù)雜的組合協(xié)議，構(gòu)成組合協(xié)議的各子協(xié)議的UC安全性保證了組合協(xié)議的安全.這為嵌套式協(xié)議的設(shè)計(jì)與安全性證明提供了思路.

引理1. 如果CA是可信的且密鑰生成算法理論上不可破解，那么密鑰協(xié)商和可信認(rèn)證協(xié)議π2可以安全實(shí)現(xiàn)理想函數(shù)FCT.

證明. 由文獻(xiàn)[20]可知，通過基于CA的密鑰協(xié)商流程分析、真實(shí)性及可信性驗(yàn)證，協(xié)議π2可以安全實(shí)現(xiàn)FCT.

證畢.

引理2. 如果在UC環(huán)境中DDH假設(shè)條件成立，且證書的簽名私鑰是安全的，則協(xié)議πCSTM1在FCT和基于協(xié)調(diào)器的注冊(cè)協(xié)議下是UC安全的.其中，基于UC理想函數(shù)FCT的πCSTM1是實(shí)現(xiàn)了π2和基于協(xié)調(diào)器的注冊(cè)協(xié)議.

證明. 建立基于πCSTM1的UC仿真模型，令A(yù)2為現(xiàn)實(shí)模型中的攻擊者，πCSTM1實(shí)現(xiàn)了密鑰協(xié)商和可信認(rèn)證理想函數(shù)FCT，則πCSTM1的UC安全性證明轉(zhuǎn)化為設(shè)定仿真器A3使任意的區(qū)分器Z均無法識(shí)別A3是與A2及πCSTM1在π2和基于協(xié)調(diào)器的注冊(cè)協(xié)議下進(jìn)行環(huán)境交互，還是與FCT在理想環(huán)境下進(jìn)行環(huán)境交互，即對(duì)任意的UC環(huán)境機(jī)Z，IDEALFCT,A3,Z≈REALπCSTM1,A2,Z均成立.

利用反證法進(jìn)行證明.依據(jù)文獻(xiàn)[20]，假設(shè)存在仿真器A3和環(huán)境機(jī)Z使IDEALFCT,A3,Z≠REALπCSTM1,A2,Z的概率為0.5+ψ且ψ值較大.由文獻(xiàn)[20]構(gòu)建區(qū)分器Z1，而通過區(qū)分器成功辨別2個(gè)輸入(理想環(huán)境和混合環(huán)境)的概率與Z一致，均為0.5+ψ.這與UC安全假設(shè)中的DDH相矛盾.

證畢.

定理3. 如果πCSTM采取了步驟①～所示的簡(jiǎn)化協(xié)議，那么，對(duì)于任意的區(qū)分器Z，均滿足等式IDEALFTR,A0,Z≈REALπCSTM,A1,Z成立，即WSS中的可信認(rèn)證與注冊(cè)協(xié)議πCSTM是UC安全的.其中，F(xiàn)TR是πCSTM安全實(shí)現(xiàn)的理想函數(shù).

證明. 由引理1、引理2和定理2可得，基于UC理想函數(shù)FCT的πCSTM1在協(xié)議π2和基于協(xié)調(diào)器的注冊(cè)協(xié)議下是UC安全的.而πCSTM是WSS中π2和基于協(xié)調(diào)器的注冊(cè)協(xié)議下的組合協(xié)議，即πCSTM與πCSTM1等價(jià).因此，由定理1可知，πCSTM安全實(shí)現(xiàn)了理想函數(shù)FTR且該協(xié)議是UC安全的.

證畢.

綜上可得，物聯(lián)網(wǎng)WSS中基于PCA的CSTM可信認(rèn)證與注冊(cè)協(xié)議是安全的，為用戶平臺(tái)提供了可靠的可信性驗(yàn)證及注冊(cè)服務(wù).

3.2 CSTM安全性分析

物聯(lián)網(wǎng)WSS簇間節(jié)點(diǎn)安全鏈路模型CSTM的安全性主要表現(xiàn)在7個(gè)方面：

1) 密碼算法的安全性.CSTM中的簽名算法和公鑰加解密算法均采用橢圓曲線和對(duì)稱雙線性對(duì)映射密碼體制，在參數(shù)組(p,FR,S,m,n,P,l,h)和算法中，設(shè)置l的值足夠大，利用離散對(duì)數(shù)的困難問題保證算法實(shí)際上不可破解.

2) 用戶平臺(tái)地址和屬性信息由控制中心統(tǒng)一管理.源簇形結(jié)構(gòu)需要從控制中心獲取目標(biāo)簇形結(jié)構(gòu)的鏈路地址信息.當(dāng)用戶平臺(tái)發(fā)起鏈路傳輸服務(wù)請(qǐng)求時(shí)，控制中心Cor調(diào)用C-TAS驗(yàn)證用戶平臺(tái)的可信性，驗(yàn)證成功后執(zhí)行相應(yīng)的地址信息下載服務(wù).非法用戶平臺(tái)無法通過控制中心的可信性認(rèn)證，進(jìn)而不能偽造源簇形結(jié)構(gòu)對(duì)目標(biāo)端實(shí)施攻擊.當(dāng)控制中心檢測(cè)到有未通過可信認(rèn)證的非法用戶時(shí)，在數(shù)據(jù)庫中將該簇形結(jié)構(gòu)的身份標(biāo)識(shí)信息加入黑名單并刪除綁定的下載項(xiàng).

3) 安全鏈路中完整的信任傳遞機(jī)制.在鏈路各節(jié)點(diǎn)建立過程中，源簇形結(jié)構(gòu)完成可信認(rèn)證、注冊(cè)和下載鏈路地址信息等請(qǐng)求服務(wù)后，開始逐一驗(yàn)證和建立通往目標(biāo)簇形結(jié)構(gòu)的鏈路節(jié)點(diǎn).每個(gè)中間節(jié)點(diǎn)在加入鏈路前必須出示控制中心下發(fā)的Certi=(CertDAA,CertAIK,CertACS)，由該節(jié)點(diǎn)的可信性遞推到下一級(jí)節(jié)點(diǎn)的可信性.CSTM的信任傳遞特性保證了數(shù)據(jù)傳輸鏈路中每個(gè)節(jié)點(diǎn)均為可靠的信任節(jié)點(diǎn)，惡意節(jié)點(diǎn)對(duì)網(wǎng)絡(luò)實(shí)施攻擊時(shí)無法復(fù)制鏈路信息并驗(yàn)證通過上一級(jí)節(jié)點(diǎn)的可信性認(rèn)證.

4) 證書驗(yàn)證機(jī)制.CSTM的證書集合Certi=(CertDAA,CertAIK,CertACS)中主要包括DAA證書，AIK證書和ACS證書.該證書集合分別授權(quán)給持有證書的簇形結(jié)構(gòu)匿名認(rèn)證服務(wù)，身份證言密鑰證書服務(wù)和屬性集服務(wù).證書集合可以直接對(duì)網(wǎng)絡(luò)鏈路中簇形結(jié)構(gòu)的身份合法性、授權(quán)身份證言密鑰以及可訪問的屬性集進(jìn)行快速驗(yàn)證，提高了處理效率.證書中的有效期字段保證了證書的定期更新，使各簇形結(jié)構(gòu)的認(rèn)證授權(quán)可實(shí)時(shí)調(diào)整.

5) 嵌套式數(shù)據(jù)加解密和填充機(jī)制.源簇形結(jié)構(gòu)將待發(fā)送數(shù)據(jù)按照鏈路節(jié)點(diǎn)從后至前的順序?qū)訉忧短准用?，?shù)據(jù)每通過一個(gè)節(jié)點(diǎn)被解密一次，直到目標(biāo)簇形結(jié)構(gòu)得到明文.從目標(biāo)簇形結(jié)構(gòu)向源簇形結(jié)構(gòu)發(fā)送數(shù)據(jù)時(shí)，按照鏈路從前至后的順序?qū)訉蛹用?，直到源簇形結(jié)構(gòu)完全解密.該鏈路的加解密和等長(zhǎng)數(shù)據(jù)幀填充傳輸方式可以有效防止竊聽、流量分析等攻擊行為，當(dāng)惡意攻陷鏈路中某個(gè)節(jié)點(diǎn)時(shí)，僅能掌握鏈路中下一個(gè)節(jié)點(diǎn)的地址信息，無法獲取源簇形結(jié)構(gòu)、目標(biāo)簇形結(jié)構(gòu)以及其他鏈路節(jié)點(diǎn)的有效信息且不能解析明文，進(jìn)而保證了鏈路的安全性.

6) CSTM的匿名性.簇形結(jié)構(gòu)的真實(shí)ID僅在可信認(rèn)證階段出現(xiàn)，用戶平臺(tái)注冊(cè)、地址查詢和安全鏈路傳輸階段數(shù)據(jù)的標(biāo)識(shí)均利用臨時(shí)身份標(biāo)識(shí)TIDS=H(IDE‖p)⊕RS⊕r替代真實(shí)ID，只有控制中心可信任的PCA掌握簇形結(jié)構(gòu)的真實(shí)ID，其他節(jié)點(diǎn)無法獲取用戶平臺(tái)的真實(shí)身份，有效保護(hù)了S-ONS的匿名性.證書中僅添加用戶的臨時(shí)身份標(biāo)識(shí)、有效期以及主體內(nèi)容，保證了被授權(quán)對(duì)象的匿名性，證書的有效期時(shí)間越短，則匿名性越強(qiáng).鏈路中的層層嵌套加解密機(jī)制使鏈路中的節(jié)點(diǎn)僅能與上級(jí)和下級(jí)節(jié)點(diǎn)進(jìn)行通信，無法獲取其他節(jié)點(diǎn)的任何信息，同時(shí)源簇形結(jié)構(gòu)每次建立鏈路時(shí)從下載的地址信息中隨機(jī)選取鏈路節(jié)點(diǎn)集合，保證了鏈路中可控的匿名性.

7) 抗Rudolph攻擊.在2.1節(jié)中，簇形結(jié)構(gòu)可信認(rèn)證中增加了可信第三方PCA.首先，PCA驗(yàn)證簇形結(jié)構(gòu)的CertEK和IDS.然后通過參數(shù)運(yùn)算在DAA-E與S-ONS之間建立會(huì)話密鑰KSE.這種可信認(rèn)證方式使得DAA-E無法形成CertEK，IDS和KSE的消息映射.DAA-E與Cor之間不能篡通獲取S-ONS的真實(shí)身份信息，進(jìn)而可以有效防御Rudolph攻擊.

3.3 CSTM可信性分析

用戶平臺(tái)的可信性評(píng)估主要包括完整性驗(yàn)證和真實(shí)性驗(yàn)證.當(dāng)用戶通過源簇形結(jié)構(gòu)向控制中心申請(qǐng)注冊(cè)時(shí)，首先通過PCA,DAA-E和Cor進(jìn)行密鑰協(xié)商與完整性驗(yàn)證，然后向控制中心的ACS上傳PCR、完整性度量日志Data和其他信息Quote完成真實(shí)性驗(yàn)證.完整性和真實(shí)性驗(yàn)證通過后，Cor對(duì)用戶平臺(tái)進(jìn)行注冊(cè).在鏈路建立的過程中，每個(gè)中間節(jié)點(diǎn)均通過控制中心的可信認(rèn)證且頒發(fā)可信證書，與此同時(shí)，通過在證書中設(shè)置有效期，控制中心以固定周期對(duì)各節(jié)點(diǎn)的真實(shí)性和完整性度量發(fā)起重新認(rèn)證，進(jìn)而保證鏈路中簇形結(jié)構(gòu)以及用戶的可信性.

3.4 CSTM可追蹤性分析

當(dāng)非法用戶通過源簇形結(jié)構(gòu)向目標(biāo)簇形結(jié)構(gòu)請(qǐng)求獲取超過自身權(quán)限的屬性信息時(shí)，目標(biāo)簇形結(jié)構(gòu)通過調(diào)用該用戶的屬性證書并與請(qǐng)求信息匹配，若匹配結(jié)果超過權(quán)限，將追蹤請(qǐng)求信息上報(bào)至控制中心.由控制中心安全評(píng)估模塊對(duì)追蹤請(qǐng)求信息進(jìn)行核實(shí)，若低于閾值，記錄目標(biāo)簇形結(jié)構(gòu)的誣告行為，否則將源簇形結(jié)構(gòu)列入黑名單并刪除綁定信息.當(dāng)合法用戶通過惡意節(jié)點(diǎn)復(fù)制的源簇形結(jié)構(gòu)接入鏈路時(shí)，由于無法獲取源簇形結(jié)構(gòu)與DAA-E的會(huì)話密鑰、認(rèn)證參數(shù)信息及AIK私鑰，源簇形結(jié)構(gòu)可信認(rèn)證不通過且無法獲取鏈路各節(jié)點(diǎn)的會(huì)話密鑰，控制中心將源簇形結(jié)構(gòu)加入黑名單并刪除綁定信息.該追蹤機(jī)制有效保證了鏈路接入的安全性和可追蹤性.

4 實(shí)驗(yàn)與結(jié)果分析

4.1 實(shí)驗(yàn)設(shè)計(jì)

本實(shí)驗(yàn)在ThinkStation P700工作站(3.2 GHz六核12線程、2.4 GB CPU主頻、Windows 7專業(yè)版)上實(shí)現(xiàn)，使用的WSS網(wǎng)絡(luò)模擬軟件是NS-2，NS-2是由UC Berkeley開發(fā)的面向?qū)ο蟮臒o線通信協(xié)議仿真工具.它通過設(shè)置虛擬時(shí)鐘和離散事件并逐個(gè)調(diào)用封裝的功能模塊完成協(xié)議的運(yùn)行.從攻擊源數(shù)據(jù)庫中抽取竊聽(eavesdropping)攻擊、流量分析(flow analysis)攻擊、Rudolph攻擊、篡改(tampering)攻擊、重放(replay)攻擊和節(jié)點(diǎn)復(fù)制(node replication)攻擊樣本對(duì)協(xié)議中的簇形結(jié)構(gòu)實(shí)施攻擊.

配置實(shí)驗(yàn)區(qū)域?yàn)榘霃?00 m的圓形網(wǎng)絡(luò)，采用分簇式網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和IEEE 802.15.4協(xié)議，數(shù)據(jù)收發(fā)采用DSSS擴(kuò)頻機(jī)制，如圖12所示，整個(gè)網(wǎng)絡(luò)由控制中心(control center)、簇形結(jié)構(gòu)(cluster)和用戶(user)構(gòu)成，安全鏈路的路由采取最短路徑原則.

Fig.12 Network topology of WSS圖12 WSS網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

節(jié)點(diǎn)總數(shù)為8 000個(gè)，各簇形結(jié)構(gòu)的通信距離(communication distance)為80 m,數(shù)據(jù)收發(fā)速率(data transmissionreception rate)為320 Kbps，單個(gè)數(shù)據(jù)幀平均長(zhǎng)度(average length of the data frame)為270 b.其他參數(shù)配置如表1所示.

在上述網(wǎng)絡(luò)環(huán)境下實(shí)現(xiàn)基于vTPM的用戶平臺(tái)遠(yuǎn)程證明方案[21]、基于零知識(shí)證明的DAA方案[22]、干擾輔助鏈路安全方案[23]、基于DFT-S-OFDM的安全傳輸方案[24]和本文方案，利用NS-2中的State sniffer進(jìn)程追蹤并統(tǒng)計(jì)各簇形結(jié)構(gòu)狀態(tài)以及參數(shù)的變化情況，結(jié)合MATLAB 2010a對(duì)實(shí)驗(yàn)結(jié)果進(jìn)行數(shù)值分析.通過仿真實(shí)驗(yàn)對(duì)比這5種算法在可信認(rèn)證和安全鏈路傳輸方面的性能差異.

本次實(shí)驗(yàn)有2個(gè)目的：1)通過對(duì)比3種安全協(xié)議在不同攻擊下的性能，驗(yàn)證本文協(xié)議在WSS簇間節(jié)點(diǎn)安全鏈路傳輸方面的優(yōu)勢(shì)；2)通過改變WSS中的安全鏈路n、鏈路節(jié)點(diǎn)為合法節(jié)點(diǎn)的概率p和惡意節(jié)點(diǎn)被檢測(cè)到的概率p1，進(jìn)而分析本文協(xié)議匿名度的變化規(guī)律.

Table 1 The Parameter Configuration in NS-2表1 NS-2參數(shù)設(shè)置

4.2 協(xié)議性能測(cè)試

通過仿真環(huán)境運(yùn)行文獻(xiàn)[21-22]和本文中的簇形結(jié)構(gòu)可信認(rèn)證方案及初始條件，同時(shí)實(shí)現(xiàn)文獻(xiàn)[23-24]和本文中的簇間節(jié)點(diǎn)安全鏈路傳輸方案，對(duì)比各協(xié)議運(yùn)行時(shí)間變化曲線及抵御攻擊源數(shù)據(jù)庫中抽取的攻擊樣本情況.為了得到更加精確的結(jié)果，重復(fù)實(shí)驗(yàn)20次并取所有結(jié)果的均值.

本文方案與其他方案的技術(shù)指標(biāo)對(duì)比情況如表2和表3所示.

Table 2 Comparison of Items in Trusted Authentication System表2 可信認(rèn)證系統(tǒng)的技術(shù)指標(biāo)對(duì)比

Note: No denotes that the scheme don’t support this function.

Table 3 Comparison of Items in Secure Link Transmission表3 安全鏈路傳輸?shù)募夹g(shù)指標(biāo)對(duì)比

Note: No denotes that the scheme don’t support this function.

在可信認(rèn)證協(xié)議方面，本文方案引入了PCA完成密鑰協(xié)商、可信認(rèn)證和注冊(cè)服務(wù)，在真實(shí)性驗(yàn)證和完整性驗(yàn)證中增加了PCR認(rèn)證、AIK校驗(yàn)、用戶平臺(tái)屬性集匹配及同步，同時(shí)利用臨時(shí)身份替代真實(shí)身份保證用戶平臺(tái)的匿名性.而文獻(xiàn)[21]僅提供了vTPM屬性集匹配服務(wù)，并未定期同步各簇形結(jié)構(gòu)的屬性集且缺少PCA、用戶身份信息保護(hù)和PCR校驗(yàn)機(jī)制;文獻(xiàn)[22]雖然利用密碼算法和校驗(yàn)服務(wù)器實(shí)現(xiàn)身份保護(hù)和PCR驗(yàn)證，但未提供AIK校驗(yàn)、PCA可信平臺(tái)、屬性集匹配及同步等服務(wù).

在仿真實(shí)驗(yàn)中，State sniffer獲取到的各協(xié)議運(yùn)行時(shí)間隨鏈路長(zhǎng)度n的變化曲線如圖13所示.從圖13(a)中可以看出，各可信認(rèn)證協(xié)議的運(yùn)行時(shí)間隨著n的增長(zhǎng)均呈現(xiàn)上升趨勢(shì).由于文獻(xiàn)[21-22]中的用戶平臺(tái)認(rèn)證方案未向簇形結(jié)構(gòu)下發(fā)證書，當(dāng)各節(jié)點(diǎn)鏈接時(shí)需要重要認(rèn)證，與本文中基于證書和有效期相配合的可信認(rèn)證機(jī)制相比，鏈路的可信認(rèn)證時(shí)間明顯較長(zhǎng).CSTM可信認(rèn)證方案在提高可信認(rèn)證效率的同時(shí)增加了鏈路中用戶平臺(tái)的安全性.圖13(b)給出各安全鏈路傳輸協(xié)議的運(yùn)行時(shí)間隨參數(shù)n的變化曲線.文獻(xiàn)[23]利用基于干擾輔助的防竊聽鏈路模型實(shí)現(xiàn)安全數(shù)據(jù)傳輸，但干擾輔助需要向發(fā)送信號(hào)添加大量人工噪聲，降低了數(shù)據(jù)處理效率;文獻(xiàn)[24]通過密鑰矩陣控制DFT變換，使加密后的數(shù)據(jù)抵抗明文和密文攻擊，但同時(shí)增加了鏈路傳輸?shù)奶幚頃r(shí)間.與文獻(xiàn)[23-24]相比，CSTM安全鏈路協(xié)議通過嵌套加解密及隨機(jī)選擇鏈路節(jié)點(diǎn)實(shí)現(xiàn)安全傳輸?shù)耐瑫r(shí)提高了系統(tǒng)運(yùn)行效率.

仿真實(shí)驗(yàn)中添加了攻擊樣本驗(yàn)證各協(xié)議的抗攻擊性能，實(shí)驗(yàn)結(jié)果如表4所示.文獻(xiàn)[21-22]僅提供簇形結(jié)構(gòu)的可信認(rèn)證服務(wù)，不具備防竊聽和流量分析攻擊的能力且DAA服務(wù)器容易與控制中心合謀對(duì)用戶平臺(tái)實(shí)施Rudolph攻擊;文獻(xiàn)[23-24]未提供嵌套加解密、用戶平臺(tái)身份保護(hù)和數(shù)據(jù)填充服務(wù)，導(dǎo)致協(xié)議無法抵御流量分析和節(jié)點(diǎn)復(fù)制攻擊.本文協(xié)議中增加了PCA作為可信第三方，避免了DAA服務(wù)器與控制中心Cor合謀，同時(shí)引入了數(shù)據(jù)填充和鏈路嵌套加解密機(jī)制，可以有效防御攻擊樣本中的攻擊形式，提高了WSS簇間鏈路傳輸?shù)陌踩?

Fig. 13 The running time curve of each protocol in WSS圖13 各安全協(xié)議在WSS中的運(yùn)行時(shí)間變化曲線

ItemThis PaperRef [21]Ref [22]Ref [23]Ref [24]Eavesdropping DefenseYesNoNoYesYesFlow Analysis DefenseYesNoNoNoNoRudolph DefenseYesNoNoNoNoTampering DefenseYesYesYesYesYesReplay DefenseYesYesYesYesYesNode Replication DefenseYesYesYesNoNo

Note: Yes denotes that the scheme supports this function and no denotes the opposite meaning.

4.3 參數(shù)分析

假設(shè)鏈路中的總節(jié)點(diǎn)個(gè)數(shù)為n，惡意節(jié)點(diǎn)的個(gè)數(shù)為h且h≤(n-2)2，每個(gè)惡意節(jié)點(diǎn)被控制中心檢測(cè)出的概率為p1，源簇形結(jié)構(gòu)和目標(biāo)簇形結(jié)構(gòu)為合法節(jié)點(diǎn)，則鏈路中中繼節(jié)點(diǎn)為合法節(jié)點(diǎn)的概率為

p=1-(1-p1)h(n-2)，

由匿名度d的定義可得:

通過改變參數(shù)n和h來研究鏈路匿名度的變化情況，仿真結(jié)果如圖14所示:

Fig. 14 Relationship between parameter n, p and anonymous degrees d圖14 參數(shù)n和p對(duì)匿名度d的影響

Fig. 15 Curve of anonymous degrees d depending on different values of parameter n圖15 參數(shù)n不同取值下匿名度d的變化曲線

當(dāng)參數(shù)n≥12時(shí)，匿名度d受n值變化的影響較小，p的變化對(duì)d起決定性作用.參數(shù)n，p和p1均存在閾值使CSTM接近于絕對(duì)匿名.

如圖15所示，仿真結(jié)果表明，CSTM的匿名度隨參數(shù)n和p的增大而逐漸減小. 當(dāng)n≥12時(shí)，n的數(shù)值變化對(duì)匿名度的影響較小. 在此條件下，當(dāng)p≥0.9時(shí)，CSTM鏈路的匿名度趨近于0. 以上結(jié)果表明，當(dāng)實(shí)際鏈路傳輸中，當(dāng)中繼節(jié)點(diǎn)為合法節(jié)點(diǎn)的概率p超過閾值時(shí)，CSTM簇間節(jié)點(diǎn)安全鏈路模型的接近于絕對(duì)匿名. 在實(shí)際WSS節(jié)點(diǎn)部署及CSTM鏈路傳輸中，約束條件n≥12和p≥0.9均滿足，因此，CSTM具有較強(qiáng)的匿名性特征.

5 結(jié)束語

本文在深入研究WSS簇間節(jié)點(diǎn)數(shù)據(jù)傳輸協(xié)議和IEEE802.15.4網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的基礎(chǔ)上，建立了基于PCA和有限域?qū)ΨQ雙線性對(duì)映射的簇間節(jié)點(diǎn)安全鏈路模型并給出了CSTM協(xié)議架構(gòu)，設(shè)計(jì)了一種匿名且抵御Rudolph攻擊的可信認(rèn)證與注冊(cè)機(jī)制.最后，提出了可信認(rèn)證、證書及嵌套加密相結(jié)合的簇間傳輸協(xié)議流程并給出了UC安全性證明.與其他可信認(rèn)證和鏈路傳輸協(xié)議相比，CSTM在提高數(shù)據(jù)處理速度和傳輸效率方面有明顯優(yōu)勢(shì).仿真實(shí)驗(yàn)結(jié)果表明，本文模型和協(xié)議可有效防御竊聽、流量分析、節(jié)點(diǎn)復(fù)制等攻擊形式且更能適應(yīng)物聯(lián)網(wǎng)WSS的網(wǎng)絡(luò)環(huán)境.