收藏 分销(赏)
立即下载 开通VIP

一种标识符动态协商的匿名通信模型.pdf

上传人:自信****多点 文档编号:751902 上传时间:2024-03-04 格式:PDF 页数:11 大小:1.39MB
下载 相关 举报
一种标识符动态协商的匿名通信模型.pdf_第1页
第1页 / 共11页
一种标识符动态协商的匿名通信模型.pdf_第2页
第2页 / 共11页
一种标识符动态协商的匿名通信模型.pdf_第3页
第3页 / 共11页
亲,该文档总共11页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

1、收稿日期:网络出版时间:基金项目:国家重点研发计划(Y F B );河北省自然科学基金(F )作者简介:杨晓晖(),男,教授,E m a i l:y x h h b u e d u c n通信作者:庄海晶(),女,河北大学硕士研究生,E m a i l:h a i j i n g f o x m a i l c o m网络出版地址:h t t p s:/k n s c n k i n e t/k c m s/d e t a i l/t n h t m ld o i 敭 j 敭i s s n 敭 敭 敭 一种标识符动态协商的匿名通信模型杨 晓 晖,庄 海 晶(河北大学 网络空间安全与计算机学院,

2、河北 保定 )摘要:过去的十几年是通信技术、计算范式快速发展的大数据时代.在大数据应用大量增加的背景下,数字信息传递已成为人类交流的一种重要形式.但是,数字信息传递过程中存在很多的安全隐患,如信息传递中存在数据泄漏频繁发生的安全问题.匿名通信作为通信过程中隐私保护的关键手段之一,受到广泛关注.然而,现有的匿名通信模型不能在保证通信效率的同时,有效地应对诸如重放攻击、中间人攻击、统计攻击等攻击手段,因而提出一种标识符动态协商的匿名通信模型.在预处理阶段,采用椭圆曲线迪菲赫尔曼密钥交换改进的标识符协商方法,该方法让网络中每两个成员协商出通信标识符和加密消息的对称密钥,提高预处理阶段的协商效率;在匿

3、名通信阶段,标识符可以随每次通信的进行而动态变化,有效抵抗重放攻击和统计攻击.方案同时设置专门的追查机构,将去除匿名的权利给追查机构,防止恶意用户拒绝去除匿名.安全性分析证明了该方案的鲁棒性,性能实验证明了该方案在保证安全性的同时,有更高的通信效率.关键词:匿名通信;隐私保护技术;身份追踪;身份识别中图分类号:T P 文献标识码:A文章编号:()A n o n y m o u s c o mm u n i c a t i o nm o d e lw i t hd y n a m i cn e g o t i a t i o no f i d e n t i f i e r sY ANGX i

4、a o h u i ZHU ANG H a i j i n g S c h o o l o fC y b e rS e c u r i t ya n dC o m p u t e r H e b e iU n i v e r s i t y B a o d i n g C h i n a A b s t r a c t T h ep a s td e c a d eh a sb e e nab i gd a t ae r ao f r a p i dd e v e l o p m e n t i nc o mm u n i c a t i o nt e c h n o l o g ya n d

5、c o m p u t i n gp a r a d i g m s 敭 W i t ht h ei n c r e a s i n ga p p l i c a t i o no fb i gd a t a d i g i t a li n f o r m a t i o nt r a n s m i s s i o nh a sb e c o m ea n i m p o r t a n t f o r mo fh u m a nc o mm u n i c a t i o n 敭 H o w e v e r t h e r ea r em a n yh i d d e ns e c u

6、r i t yr i s k si nt h ep r o c e s so fd i g i t a li n f o r m a t i o nt r a n s m i s s i o n 敭 D a t al e a k a g eo f t e n o c c u r si nt h e p r o c e s s o fi n f o r m a t i o nt r a n s m i s s i o n 敭 A so n eo ft h ek e y m e a n so fp r i v a c yp r o t e c t i o ni nt h ec o mm u n i

7、 c a t i o np r o c e s s a n o n y m o u sc o mm u n i c a t i o nh a sb e e nw i d e l yc o n c e r n e d 敭 H o w e v e r t h ee x i s t i n ga n o n y m o u sc o mm u n i c a t i o nm o d e l sc a n n o te f f e c t i v e l yc o p ew i t ha t t a c k ss u c ha sr e p l a ya t t a c k m a n i n t

8、h e m i d d l ea t t a c k a n ds t a t i s t i c a la t t a c k w h i l ee n s u r i n gt h ec o mm u n i c a t i o ne f f i c i e n c y 敭 T h i sp a p e rp r o p o s e sa na n o n y m o u sc o mm u n i c a t i o nm o d e lb a s e do ni d e n t i f i e rd y n a m i cn e g o t i a t i o n 敭 I n t h

9、ep r e p r o c e s s i n gs t a g e a n i m p r o v e d i d e n t i f i e rn e g o t i a t i o nm e t h o db a s e do nE C DH k e ye x c h a n g ei sa d o p t e d w h i c h a l l o w se v e r yt w o m e m b e r si nt h en e t w o r kt o n e g o t i a t et h ec o mm u n i c a t i o ni d e n t i f i e

10、 ra n dt h es y mm e t r i ck e yf o re n c r y p t i n g m e s s a g e s a n di m p r o v e st h en e g o t i a t i o ne f f i c i e n c y i nt h ep r e p r o c e s s i n gs t a g e 敭 I nt h ea n o n y m o u sc o mm u n i c a t i o ns t a g e i d e n t i f i e r sc a nb ed y n a m i c a l l yc h a

11、n g e dw i t he a c hc o mm u n i c a t i o n w h i c he f f e c t i v e l yr e s i s t s r e p l a ya t t a c k s a n ds t a t i s t i c a l a t t a c k s 敭 T h e s c h e m ea l s os e t su pas p e c i a l i n v e s t i g a t i o na g e n c yf o rg i v i n gt h er i g h tt or e m o v ea n o n y m i

12、 t yt ot h ei n v e s t i g a t i o na g e n c y p r e v e n t i n g m a l i c i o u s u s e r sf r o m r e f u s i n gt or e m o v ea n o n y m i t y 敭 S e c u r i t y a n a l y s i s p r o v e st h e 年月第 卷第期西安电子科技大学学报J OURNA LO FX I D I ANUN I V ER S I TYA u g V o l N o h t t p:/j o u r n a l x i

13、d i a n e d u c n/x d x br o b u s t n e s so ft h es c h e m e 敭 P e r f o r m a n c ee x p e r i m e n t ss h o wt h a tt h es c h e m eh a sah i g h e rc o mm u n i c a t i o ne f f i c i e n c yw h i l ee n s u r i n gs e c u r i t y 敭K e yW o r d s a n o n y m o u sc o mm u n i c a t i o n p r

14、i v a c y p r e s e r v i n gt e c h n i q u e s i d e n t i t yT r a c k i n g i d e n t i f i c a t i o n 引言随着网络技术的发展和大数据应用的增加,数字信息传递已成为人类交流的一种重要形式.但是,数字信息传递有很多潜在的安全隐患.潜在的攻击者可以构建通信分析图,统计分析出通信双方或者窃取信息,进行重放攻击等,这些攻击行为严重破坏节点的通信,威胁用户的隐私.研究人员揭示了各种可以让对手通过网络入侵获取私人或其他敏感信息的方式,比如所谓的电话号码或I P地址.因此,隐私的最终目标不仅是要保

15、护信息的内容,而且要保护通信方的身份、通信的实际时间以及通信过程中的特定用户参与.基于上述原因,对匿名通信系统等隐私保护协议的研究势在必行.在匿名通信系统中,对手在任何时候都不能知道参与者的身份.此外,对手不应该知道发送和接收实体以及消息是否有价值.然而目前的通信系统并不能提供对信息的不可追溯性和不可联系性的基本保护.这些保护对调查自由、言论自由以及越来越多的网络隐私都至关重要 .在监视和广泛分析行为以及数据泄漏等安全事件频繁发生时,保护数据隐私,防止用户身份信息泄露变得越来越重要 .匿名通信作为信息传递时隐私保护的关键手段之一,已成为研究的热点.匿名通信是一种在网络通信过程中隐藏信息发送者和

16、接收者的一种方法.匿名通信指采取一定的措施隐蔽通信流中的通信关系,使窃听者难以获取或推知通信双方的关系及内容.匿名通信的目的就是隐蔽通信双方的身份或通信关系,保护网络用户的个人通信隐私.匿名通信在神经网络、云计算 和物联网 中迅速发展.针对匿名通信的研究,文中的贡献如下:()提出一种新的预处理阶段标识符协商方案,通过椭圆曲线迪菲赫尔曼(E l l i p t i cC u r v eD i f f i e H e l l m a n,E C DH)密钥交换,让网络中每两个成员都能协商出仅有对方知道的惟一通信标识符,同时协商出加密消息的对称密钥.改进后的方案简化且更有效地利用了预处理阶段.()在

17、匿名通信阶段,通过让发送者设置变化量,并将变化量作为密文的一部分传输给接收者,发送者和接收者根据相同的变化量改变标识符,将标识符动态化.动态标识符能有效抵抗重放攻击和统计攻击.()设置专门的追查机构,将去除匿名的权利从用户转移到追查机构,防止恶意用户拒绝去除匿名.研究现状如今人们逐渐意识到网络安全和数据隐私的重要性,针对通信过程中用户身份数据的泄露在多个网络架构和不同的网络应用场景中都有很多的研究.对于点对点(P e e rT oP e e rL e n d i n g,P P)网络的匿名通信研究,S UN等 提出将节点分为种不同类型的节点协同进行信息传输,由此进行P P网络的匿名通信.对于车

18、载随意移动网络,D I A B等 通过提出集成隧道维护算法,使得匿名传递消息的同时,消息的发送和接收不会被中断.MA R I A等 提出匿名身份验证以检查车辆的合法性,同时能够在漫游的情况下为车辆提出基于区块链的切换身份验证.对于社交网络,B U C C A F UR R I等 提出的一种基于协作方法的匿名通信协议,所提出的方案不仅对社交网络提供商隐藏了消息的内容,而且还隐藏了通信本身.撇开匿名通信的具体应用场景,在计算机网络上对于匿名通信的研究,可以追溯到 年CHAUM等 提出的一种M I X n e t机制,该机制通过多个M I X节点来混淆信息,隐藏身份.接着,CHAUM等 又提出一种D

19、 C n e t机制,该方法基于标准密码技术,能够抵御少数不诚实节点存在的情况下的故障分析攻击.但是这种机制要求节点在给定时间段内同时进行匿名通信操作.之后提出了洋葱网络 ,基于洋葱路由算法,通过在公密钥加密系统中进行分层消息加密来实现匿名.X I A等 改进了洋葱网络,将洋葱混合网第期杨晓晖等:一种标识符动态协商的匿名通信模型h t t p:/j o u r n a l x i d i a n e d u c n/x d x b络嵌入到逐跳路由中,设计了一种混合路由方法.该方法可以保证节点故障情况下的持久的路由能力,防止静态中间混合失败时导致消息丢失、通信失败甚至去匿名化攻击.但是路由网络难

20、以抵抗流量分析攻击,且要求每个节点都是诚实的,不然恶意节点能够串通起来破坏网络.J I ANG等在 年提出A c i b e,该模型通过基于身份的加密方案(I d e n t i t y B a s e dE n c r y p t e d,I B E)对消息进行加密,且允许用户在每个时间段内上传和下载多条消息,能够解决D C n e t机制要求节点同时通信的问题.但是,该方案的通信效率会随着通信数量的增加而显著降低.为提高通信效率,方案,通过增加预处理阶段来进行一些必要操作,通过预处理阶段的操作可以减少匿名通信阶段的通信计算时间.A i t a c模型 中,在预处理阶段,通过要求匿名组的每两

21、个成员都协商对应的通信标识,从而减少通信阶段下载的密文数量,降低匿名通信的成本,同时提高扩展性.在该预处理阶段中,为了协商通信标识,需要匿名组中的每个用户都为其余的N个用户生成一个标识符ni j,并用对应的用户Uj的公钥加密该标识符.为保证标识符的完整性,还对标识符进行哈希,将哈希结果附加到密文中.接着,每个用户都将生成的N个标识符ni j上传到公共版中,为了让每个用户获得其余用户给其设置的惟一ni j,需要匿名组中的每个用户下载公共板上的所有密文,然后解密所有自己可以解密的密文来获得其他用户给自己设置的标识符.在后续匿名通信阶段,用户根据密文前缀的标识符ni j选择发送给自己的密文进行下载.

22、但是,A i t a c由于所设置的标识符的不变性,可能没办法很好地抵抗重放攻击和统计攻击.文中方案在此基础上进行改进.预备知识 双线性映射G和Gt为素数p阶乘法循环群,其中g为G的生成元.e:GGGt为双线性映射,拥有以下性质:()双线性:对于任意a,bZp,都有(ga,gb)e(g,g)a b.()可计算性:对于任意u,vG都能在多项式时间内计算出e(u,v).()非退化性:e(g,g)Gt,其中Gt为Gt的单位元.此外,e还因为满足e(ga,gb)e(g,g)a be(gb,ga),而具有对称性.E C D H密钥交换E C DH是椭圆曲线加密算法(E l l i p t i cC u

23、r v eC r y p t o g r a p h y,E C C)迪菲赫尔曼算法(D i f f e_H e l l m a n,DH),安全性由椭圆曲线离散对数难题来保证.交换双方可以在不共享任何秘密的情况下协商出一个密钥.E C C是建立在基于椭圆曲线的离散对数问题上的密码体制,给定椭圆曲线上的一个点P,一个整数k,求解Qk P容易;给定一个点P、Q,知道Qk P,求整数k却是一个难题.E C DH工作过程如下(以A l i c e和B o b为例):()选取一条椭圆曲线(椭圆曲线E,阶N,基点G).()A l i c e生成随机整数a,计算AaG.B o b生成随机整数b,计算BbG

24、.()A l i c e将A传递给B o b;B o b将B传递给A l i c e.传递可公开,由于椭圆曲线的离散对数问题是难题,攻击者计算不出a和b.()B o b收到A l i c e传递的A,计算QbA;A l i c e收到B o b传递的B,计算Q a B.()A l i c e、B o b双方即得一致的密钥Q:QbAb(aG)a(bG)aBQ.()系统模型在提议的模型中,提出一种新的预处理阶段协商方案,通过E C DH密钥交换,让网络中每两个成员都能协商出仅有对方知道的惟一通信标识符,同时协商出对称密钥.能显著降低在预处理阶段的通信消耗和提高获取通信方标识符的效率.在匿名通信阶段

25、,通过标识符的动态变化的方式,能有效抵抗重放攻击和统计攻击.A i t a c模型提出可追溯性,其可追溯性是以用户自己选择去除匿名性使其可被追溯为前提,但是考虑西安电子科技大学学报第 卷h t t p:/j o u r n a l x i d i a n e d u c n/x d x b到恶意用户不会主动去除匿名性而致身份暴露,提议的模型通过改变密文结构和增加一个追查机构对恶意用户进行追踪.方案中常用到的符号如表所示.表常用的符号符号意义N匿名组中的成员数量M消息数量Ui表示匿名组中一个成员(i,N)ni j用户Ui给用户Uj设置的标识符m要传输的消息(明文)c要传输的密文K用户Ui和用户U

26、j协商的对称密钥P Ki,S KiUi的公钥和私钥P K,S K 追查机构的公钥和私钥 模型概览匿名通信模型如图所示,模型中存在种类型的实体:发送者、接收者、公共板、密钥生成中心(K e yG e n e r a t i o nC e n t e r,K G C)和追查机构.()发送者:消息的发送方.负责加密消息,维护标识符,生成密文.()接收者:消息的接收方.根据标识符选择自己的消息进行下载,解密密文,获得消息.()公共板:消息上传到公共板中,进行集中混淆.接收者通过标识符从公共板中下载消息.()密钥生成中心:负责所有匿名组中成员和追查机构的公私钥的生成.()追查机构:在需要解除消息的匿名性

27、时,能够找到消息的所属者.图匿名通信模型表Ui“用户标识符”映射表发送标识符接收标识符UniniUniniUjni jnj i开始是预处理阶段,预处理阶段是为了匿名通信阶段做准备,匿名组中的所有用户会做相同的动作,因此在该阶段没有匿名的需求.首先密钥中心生成非对称密钥分发给匿名组中所有成员和追查机构.接着用户通过E C DH密钥交换,协商出Ui和Uj的对称密钥K,接着双方再计算出通信标识符ni j和nj i.每个用户都会维护一个“用户标识符”映射表.以用户Ui为例,如表所示.在匿名通信时,发送者将消息加密上传到公共板中,接收者根据密文前缀中的标识符过滤出传输给自己的密文进行下载.在检索到有属于

28、自己的密文时,用户仅下载属于自己的密文,不需要下载与自己无关的密文进行下载和解密.这样可减少匿名通信阶段下载和解密密文的负担.但是,如果使用静态标识符(在预处理阶段设置好后不再改变),则很容易遭受重放攻击,造成系统压力过大,或遭受统计攻击,造成身份泄露.第期杨晓晖等:一种标识符动态协商的匿名通信模型h t t p:/j o u r n a l x i d i a n e d u c n/x d x b考虑重放攻击的情况.攻击者从公共版中下载密文,假设攻击者下载的密文标识符为n,攻击者没有对应的密钥不能解密密文中的信息,但是攻击者大量将该密文重复上传到公共板中或提取标识符n 后边附加自己的消息.

29、若该标识符n 对应用户Ux,用户Ux发现公共版中有大量属于自己的密文,于是进行下载.但是下载后发现,已接收过该密文或n 所对应的发送者与签名所映射的发送者不一致,则该密文是无效密文,只能丢弃.用户Ux被动下载大量无效密文,导致正确密文无法被下载.超过系统规定时间后,正确密文被抛弃,用户Ux被攻击,无法下载属于自己的正确密文.考虑标识符泄露的情况.攻击者监视公共版中的密文上传下载情况,发现用户Ux频繁地下载标识符为n 的密文,那么n 很大概率为用户Ux的其中一个标识符.攻击者若长期进行监测和统计分析,很可能得到标识符和用户的映射关系,造成身份泄露.为了解决以上的问题,提议的方案将静态标识符改为动

30、态标识符.在需要的时候,追查机构可以根据密文,追查出消息的所属者.安全目标匿名通信模型的安全性涉及以下几个方面:()匿名通信模型的鲁棒性.在匿名通信模型的各个阶段,都能抵御来自恶意方的攻击.例如重放攻击、中间人攻击和统计攻击等.()消息m的安全性.消息m的安全性包括消息m来源的正确性、消息m的完整性和消息m的机密性.消息m来源的正确性是要验证该消息所属发送者身份的正确性,而不是未经认证的恶意攻击者伪造的消息.文中采用基于身份的签名方法S M来确保消息m来源的正确性.消息m的完整性是指数据正确无误,使数据免受未授权的毁坏.文中采用哈希验证的方式来保证消息m的完整性;消息m的机密性是匿名通信方案的

31、基础.文中采用公钥加密的方式保证消息m的机密性.()发送者和接收者的匿名性.发送者的匿名性是在匿名通信过程中,除了消息发送者和接收者外,匿名组中其余N个用户无法知道公共版上该消息的发送者和接收者的身份.在需要去除消息的匿名时,追踪机构可以进行匿名的去除;接收者的匿名性是在匿名通信中,只有发送者知道消息接收者的身份,匿名组的其他成员都不知道接收者的身份.系统体系结构提议的模型包含预处理阶段、匿名通信阶段和身份追踪.预处理阶段文中方案的预处理阶段包含以下几个部分:()设置阶段.该阶段生成系统公共参数.设E为一个p阶循环群,基点为Q.设G和G是阶为素数q的加法循环群,GT是阶为素数q的乘法循环群.存

32、在一个双线性映射e:GGGT.P为群G的生成元,P为群G的生成元.公共参数为P G(E,p,Q,G,G,GT,P,P,e).()密钥生成.主密钥生成:密钥生成中心随机选择Ks,q作为主私钥,计算主公钥PsKsP;用户和追查机构签名加密公私钥生成:公钥是实体的惟一标识P KiI D,私钥S KiKs(H(I D)Ks)P.()标识符ni j生成和传输.在这个阶段中,匿名组中的每个用户Ui(i,N)为其余N个用户生成随机整数ui j(j,N;ji),计算Ai jui jQ,然后分别发送给其余的N个用户.如图所示,假设用户Ui和用户Uj(i,jN,ij).Ui选择随机整数a,计算Ai ja Q.同理

33、,Uj选择随机整数b,计算Aj ib Q.Ui将Ai j发送给Uj,Uj将Aj i发送给Ui.Ui计算Ka Aj ia b Q.Uj计算Kb Ai jb a Q.预处理阶段没有匿名,因此通信双方知道对方的I D.接着,Ui和Uj用双方的公钥对K进行哈希,获得他们双方的通信标识符:ni jH(P KjK),()nj iH(P KiK).()Ui想要给Uj发消息,用ni j作为标识符,对于Ui,ni j是发送标识符,对于Uj,ni j是接收标识符.而Uj想要给Ui发消息,用nj i作为标识符;对于Uj,nj i是发送标识符;对于Ui,nj i是接收标识符.西安电子科技大学学报第 卷h t t p:

34、/j o u r n a l x i d i a n e d u c n/x d x b图协商对称密钥和标识符(以Ui和Uj为例)为了保证协商标识符的安全性,抵抗中间人攻击,Ui在传输中间数据Ai j时要加上公私钥签名机制来进行鉴别.签名采用基于身份的签名算法S M.发送方产生随机数r,q,计算签名如下:hH(Ai je(P,Ps)r),()SrhS Ki.()为保证Ai j的完整性,将Ai j与对方的公钥连接进行哈希.因此最终传输的中间数据为cAi j(s,c,c)(h,S),Ai j,H(P KjAi j).()Uj收到数据后,进行签名验证,计算如下:PH(P Ki)PPs,()ue(S,

35、P),()ze(P,Ps)h.()若H(Ai jz u)h,则验证成功;接着进行完整性验证,若H(P KjA i j)H(P KjAi j),则验证成功,说明中间数据Ai j正确传输.匿名通信阶段匿名通信由以下个步骤组成,如图所示.图匿名通信()密文加密.提议的方案采用对称加密进行消息的加密.Ui找到预备阶段协商的接收方Uj对应的标识符ni j作为密文的前缀.对于消息m,发送方Ui通过预处理阶段协商的对称密钥K快速计算密文K(m).将消息m和ni j连接后进行哈希H(mni j)并放在第个参数作为消息认证码,用来保证消息的完整性.为了防止中间人攻击,要对密文进行签名以对发送方身份进行验证.签名

36、采用基于身份的签名算法S M.发送方产生随机数r,q,计算hH(H(m)e(P,Ps)r),()SrhS Ki.()签名为i(h,S).()为了实现后续的可追踪,发送者查询追踪机构的公钥,使用该公钥对签名、消息摘要H(m)和发送者的公钥,即发送者的身份标识P Ki进行加密.结果作为密文的第个参数,即TP K(,H(m),P Ki).()为了抵抗重放攻击和防止标识符泄露,设计了动态标识符.每次发送者在生成密文时,随机选择一个数t.t即为下一次通信密文的变化量.发送者将t加密后放在密文的第个参数的位置,同时更新自己维护的“用户标识符”映射表.密文c结构如图所示.第期杨晓晖等:一种标识符动态协商的匿

37、名通信模型h t t p:/j o u r n a l x i d i a n e d u c n/x d x b图密文c结构()发送者上传密文.发送者将密文c上传到公共版中,在上传步骤中,每个用户至少上传次密文.发送者上传密文后,会马上进行该密文对应的标识符更新.更新标识符的算法如下:ni jni jH(t).()新标识符由旧标识符和经过哈希的变化量t相加而得.()接收者下载密文.在下载阶段,接收者过滤密文前缀,根据密文前缀中的标识符ni j,找到属于自己的密文进行下载.在此阶段,每个用户需要至少下载次密文.若用户没有在公共版中找到属于自己的密文,则随机下载一个.()接收者解密密文.接收者U

38、j根据标识符ni j找到自己的密文并进行下载.下载和验证完消息的完整性后,接收者进行标识符更新,设定新标识符算法如式().发送者和接收者使用相同的变化量进行更新,更新后的标识符相同.之前的标识符在验证完消息的完整性后抛弃.这样若有恶意攻击者进行重放攻击,使用过期的标识符上传数据到公共版上,接收者会忽略该密文不会进行下载.这种动态标识符的方式,也让攻击者无法通过监视用户上传下载密文中的标识符的数量和频率,来推测用户与标识符的映射关系,造成身份泄露.接收者下载完密文c后,首先用预处理阶段协商的对称密钥K进行解密,获得消息m.然后,为验证发送方的身份,要进行签名的验证.接收者通过ni j找到发送方的

39、P Ki.在这里强调一下,只有通信双方能通过ni j知道对方的身份,别人是不能通过ni j知道通信双方的身份的.接着,接收者计算PH(P Ki)PPs,()ue(S,P),()ze(P,Ps)h.()若H(H(m)z u)h()成立,则发送者的身份验证通过.为验证解密的消息的完整性,对消息和此次更新前的标识符连接并进行哈希H(m ni j),若H(m ni j)c,()则消息完整性得以确认,消息是正确的.身份追踪为防止匿名滥用,对匿名网络通信设置了可追踪的机制.考虑到作恶的用户不会主动解除匿名,文中方案将解除匿名的权力赋予追查机构.追查机构收到申请需要解除匿名的匿名消息c(c,c,c,c,c,

40、c).追查机构提取出T,用自己的私钥对T进行解密S K(P K(,H(m),P Ki).追查机构解密后,得到签名、哈希后的消息H(m)和P Ki.追查机构进行签名的验证,追查机构计算式()().若式()成立,则可确认该条消息的发送者为P Ki.实验和分析 S M签名正确性证明验证正确性实际上就是验证z ue(P,Ps)r.证明如下:z ue(P,Ps)he(S,P)e(P,P)Kshe(rhS Ki,H(P Ki)PPs)e(P,P)Kshe(rh Ks(H(I D)Ks)P,H(P Ki)PKsP)e(P,P)Kshe(rh Ks(H(I D)Ks)P,H(P Ki)KsP西安电子科技大学学

41、报第 卷h t t p:/j o u r n a l x i d i a n e d u c n/x d x be(P,P)Kshe(P,P)(rh)(Ks(H(I D)Ks)(H(P Ki)Ks)e(P,P)Kshe(P,P)(rh)Kse(P,P)r Kse(P,Ps)r.()安全性分析根据模型提出的个安全目标进行分析:匿名通信模型的鲁棒性、消息m的可信度和发送者接收者的匿名性.匿名通信模型的鲁棒性()协商标识符安全性.预处理阶段进行对称密钥和标识符的协商.该方案在该阶段能够抵抗中间人攻击.证明如下.假设敌手监视Ui和Uj之间的预处理协商通信,截取CAi j和CAj i,将内容替换成自己的

42、中间数据Aj和Ai.处理后,将CAj(c,c)(S K(Aj),H(P KjAj)和CAi(c,c)(S K(Ai),H(P KiAi)分别发给Uj和Ui.Uj和Ui收到密文后,分别用对方的公钥进行解密,但因为换成了自己的中间数据并用自己的私钥加密,Uj和Ui解密后与自己的公钥进行哈希,发现数据完整性遭到了破坏,即H(P KjP Ki(S K(Aj)H(P KjAj),()H(P KiP Kj(S K(Ai)H(P KiAi),()因此,说明中间数据接收不正确,接收者会抛弃数据,中间人攻击失败.()匿名通信安全性.匿名通信过程中,该方案能抵抗重放攻击.证明如下.假设敌手随便从公共版中进行数据下

43、载,下载c后无法进行解密,但可以重新将c进行上传,并多次上传.在同时,c被它的标识符ni j所对应的正确用户Uj下载,Uj下载后解密出t,更新标识符式().下次Ui发给Uj的密文会将更新后的ni j放在前缀作为标识符,Uj也只会过滤更新后的ni j作为标识符的密文进行下载,而不是旧的ni j.因此,多次上传的c不会被Uj下载,超过了规定的时限,公共板会自动将这些c丢弃.重放攻击失败.考虑另一种情况,c还没来得及被它的标识符ni j所对应的正确用户Uj下载,已经下载了c,并更改了密文的内容:c(ni j,K(t),K(m),H(mni j),T),()同时将密文重新上传到公共版上.Uj首先检索到

44、了恶意数据c,因为ni j是正确的,因此会进行下载.下载后用与Ui协商的对称密钥K对消息进行解密K(K(m),解密后与ni j连接进行哈希,检验消息完整性.但是,由于H(K(K(m)ni j)H(mni j),()因此Uj不会接收该恶意数据,也不会更新标识符.匿名通信过程中如果采用静态的标识符,很可能会造成标识符无效身份泄露.文中方案能防止标识符无效造成的身份泄露.证明如下.假设敌手监视公共版中的上传下载情况,发现用户Uj大量重复下载标识符为ni j的数据,那么可以合理推测ni j是Uj的其中一个接收标识符,那么所有以ni j为前缀的密文,接收者都为Uj.经过大量的统计和推断后,很容易知道每个

45、标识符和用户的对应关系,使得匿名无效.而采用动态的标识符,相当于每次通信都进行密文标识符的更新,每次通信都采用不同的标识符,无法通过监视和统计进行通信身份的推断.文中方案的标识符更新的速度也很快,只用进行对称解密和一次哈希就能进行更新.()身份追踪安全性.该方案能保证身份追踪的安全性,证明如下.假设敌手想破解消息c对应的发送方的身份信息,敌手取出c中的密文T,用自己的密钥S K进行解密:S K(P K(,H(m),P Ki).但是由于S KS K,因此,S K(P K(,H(m),P Ki)S K(P K(,H(m),P Ki).敌手没办法解密得到正确的P Ki.因此身份追踪的安全性能够得到保

46、证.消息m的安全性消息m的安全性包括消息m来源的正确性、消息m的完整性和消息m的机密性.消息m来源的正确性由基于身份签名方案的安全性保证,只要基于身份签名方案是安全的,那么消息m的来源就是可保证的.文中采用S M 作为签名方案,该方案可以对签名进行验证,保证消息发送者身份的正确性.消息m的完整性由第期杨晓晖等:一种标识符动态协商的匿名通信模型h t t p:/j o u r n a l x i d i a n e d u c n/x d x b哈希算法保证,只要H(m ni j)c,()那么消息完整性可以得到保证.消息m的机密性由对称加密方案的安全性进行保证.文中采用S M 作为对称加密方案.

47、只要加密方案是安全的,消息就是安全的.发送者和接收者的匿名性表不同模型的安全性比较D C n e tA c i b eA i t a c提出的模型消息安全性发送者匿名性接收者匿名性可追踪抗重放攻击抗统计攻击注:代表满足;代表不满足.公共板的集中特性可以保证匿名性.所有上传密文在公共版中集中混淆,因此不知道那条消息是谁发出,发给谁.提出的方案可以保证对于匿名组其他用户,消息中的标识符无法与任何用户进行对应,无法通过标识符找出发送者和匿名者.在消息的上传和下载阶段,要求所有用户至少进行次上传和下载,这可以确保没有“只有一个用户上传”或“只有一个用户下载”这样的情况,从而保证发送者和接收者的匿名性.

48、对于上述几个方面的描述,将所提出的模型与A c i b e模型、A i t a c模型 和D C n e t模型 进行了比较.模型的安全性比较如表所示.实验分析文中方案采用的密码库是由北京大学自主开发的国产商用密码开源库Gm S S L,实验环境是U b u n t u (b i t),I n t e l(R)C o r e(TM)i C P U GH z GH z,G BR AM.消息的长度设置为 B,用户数最大为.将模型的性能与A c i b e和A i t a c 进行了比较.忽略了上传和下载阶段的通信成本,并在一个通信周期中逐步将消息数增加到 条.观察通信时间随消息数的增加而变化,得到

49、时间成本.在预处理阶段,由于A c i b e没有该阶段,因此在该阶段文中仅和A i t a c进行比较.由于提出的方案改变了协商标识符的方式,因此当用户数增加时需要处理的“协商标识符”消息数量较少,如图所示.因为在协商时,A i t a c需要每个节点去下载处理其余节点生成的所有(O(N)“协商标识符”消息,因此要处理的消息数随用户数的增加呈非线性增加,提出的方案只用处理有效的对应其余节点的O(N)个“协商标识符”消息,要处理的消息数随用户数的增加呈线性增加,减小了每个节点的处理压力.方案也有利于节点的扩展,在这个阶段同时进行了对称密钥的协商.图是密钥生成的时间消耗.在密钥生成时,A i t

50、 a c和提出的方案只需要在预处理阶段为每个节点进行密钥生成,在后续通信阶段密钥不改变,因此密钥生成所花费的时间与消息数量无关,只与参与的用户数有关.而A c i b e要求每次通信周期都重新计算用户的密钥,因此其密钥生成时间成本会随消息数量的增加而增加,这样可以大大简化私钥生成的计算,提高匿名通信的效率.图标识符协商时处理的消息数图密钥生成的时间消耗西安电子科技大学学报第 卷h t t p:/j o u r n a l x i d i a n e d u c n/x d x b图是消息加密的时间消耗.在匿名通信阶段,提出的方案用在预处理阶段协商的对称密钥对消息进行对称加密,对消息采用对称加密

展开阅读全文
相似文档                                   自信AI助手自信AI助手
猜你喜欢                                   自信AI导航自信AI导航
搜索标签

当前位置:首页 > 学术论文 > 论文指导/设计

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        获赠5币

©2010-2024 宁波自信网络信息技术有限公司  版权所有

客服电话:4008-655-100  投诉/维权电话:4009-655-100

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :gzh.png    weibo.png    LOFTER.png 

客服