通用可组合安全的WLAN Mesh网络可信接入认证协议.doc

第10期马卓等：通用可组合安全的WLAN Mesh网络可信接入认证协议135通用可组合安全的WLAN Mesh网络可信接入认证协议马卓1, 马建峰1,2, 曾勇1, 沈玉龙1(1. 西安电子科技大学 计算机学院，陕西 西安 710071；2. 西安电子科技大学 计算机网络与信息安全教育部重点实验室，陕西 西安 710071)摘 要：现有的WLAN Mesh网络接入协议和可信网络接入协议在性能和安全性方面不能很好的满足WLAN Mesh网络可信接入的要求。针对这一情况,提出了一种高效的可证明安全的WLAN Mesh网络可信接入协议MN-TAP,该协议仅需4轮交互就能实现访问请求者，策略执行点和策略决策点三者之间的用户认证和密钥确认，同时在第一轮交互中就实现了策略决策点对访问请求者平台身份的认证和平台完整性的校验,提高了协议执行的效率，降低了服务器端的负载。利用通用可组合安全模型对新协议进行了安全性证明，并对协议性能进行了对比分析。结果表明:新协议达到通用可组合安全，且与现有协议相比性能优势明显。关键词：WLAN Mesh；可信网络接入；通用可组合安全；认证协议 中图分类号：TP393.08 文献标识码：A 文章编号：1000-436X(2008)10-0126-09Universally composable secure trusted access protocol for WLAN Mesh networks MA Zhuo1, MA Jian-feng1,2, ZENG Yong1, SHEN Yu-long1(1.School of Computer Science & Technology, Xidian University, Xian 710071, China; 2. Key Laboratory of Computer Networks & Information Security, Ministry of Education, Xidian University, Xian 710071, China)Abstract: The current access protocols of WLAN Mesh network and trusted network could not satisfy the requirements of performance and security when the trusted access is needed in WLAN Mesh networks. Then, a provably secure trusted access protocol MN-TAP for the WLAN Mesh networks was proposed. Such protocol will achieve authentication and key confirmation among the access requestor, policy enforcement point and policy decision point. At the same time, the protocol could realize the platform authentication and platform integrity verification in the first round of protocol interaction, which would improve the efficiency of the protocol and decrease the overhead of the servers. A provably secure model was used, named universally composable secure model, to analyze the security of the protocol. And the performance of the protocol was analyed. The results show that: the protocol is a UC-secure protocol, and the performance has great advantages over the current protocols. Key words: WLAN Mesh; trusted network access; universally composable security; authentication protocol收稿日期：2008-06-02；修回日期：2008-09-27基金项目：国家自然科学基金重点项目（60633020）；国家自然科学基金资助项目（60573036，60702059）；国家高技术研究发展计划（“863”计划）基金资助项目（2007AA01Z429）Foundation Items: The National Natural Science Foundation of China (60633020); The National Natural Science Foundation of China(60573036, 60702059); The National High Technology Research and Development Program of China (863 Program)(2007AA01Z429)1 引言WLAN Mesh网络作为一种新型的网络结构，成为近年来国内外研究的热点问题之一。IEEE于2004年成立工作组TG对WLAN Mesh进行标准化，并于2007年3月正式公布了Draft 802.11s D1.011。为了保持与IEEE 802.11系列标准的兼容性，Draft 802.11s的安全接入部分仍然采用的是IEEE 802.11i 2标准，但是WLAN Mesh中的Mesh节点（MP）不同于传统WLAN中的网络节点，一个MP(mesh point)同时执行申请者和认证者两个角色。所以直接使用802.11i会导致网络中一个新接入的MP节点需要和其邻居MP进行两次认证和密钥协商。为解决这一问题，在802.11i的基础上，802.11s提出了EMSA（efficient mesh security and link establishment）来实现安全接入。EMSA提出了一种安全的机制，允许MP能够有效地建立起用来路由和数据传输的安全Mesh连接，并且通过使用Mesh密钥层次来提供服务。这一方案在一定程度上提高了WLAN Mesh网络接入的效率。但近年来可信计算技术的产生和发展，对WLAN Mesh网络的接入认证又提出了新的要求。人们在信息安全的实践中逐渐认识到，大多数安全隐患来自于终端，因此必须确保源头的信息安全，即从每一台连接到网络的终端开始，遏制恶意攻击，由此产生出可信计算的基本思想36。可信计算经过多年的发展，1999年由IBM、HP等著名IT企业发起成立了可信计算平台联盟(TCPA，trusted computing platform alliance)，2003 年TCPA 改组为可信计算组织(TCG，trusted computing group)。可信计算组织制定了关于可信平台模块7、可信存储8等一系列技术规范，在可信计算领域具有较大的影响力。其可信网络连接分组（TNC Sub group，TNC-SG）制定了一个基于可信计算技术的可信网络连接TNC架构9，它本质上就是要从终端的完整性开始建立连接。在传统网络接入认证基础上，增加平台的身份认证和平台的完整性校验，终端用户只有在两层认证通过且平台完整性校验成功后才可以接入网络。因此，传统的Mesh网络接入协议在可信环境下不再适用。同时，由于WLAN Mesh网络是一种新型的网络结构，文献1012中所设计的可信接入协议，无法满足WLAN Mesh网络接入协议在性能和安全性方面的要求。随着WLAN Mesh网络与可信计算技术的普及应用和不断发展，可信环境下WLAN Mesh网络相关技术的研究逐渐显现出其重要的理论和实际意义，尤其是对WLAN Mesh网络可信接入的研究成为重中之重。针对这一情况，本文提出了一个通用可组合安全的WLAN Mesh网络可信接入协议MN-TAP，该协议综合考虑了可信接入和Mesh网络接入的性能和安全需求。文中所提新协议，只需4轮交互就可以实现访问请求者，策略执行点和策略决策点三者之间的身份认证，同时在访问请求者和策略执行点，访问请求者和策略决策点之间分别完成两次DH密钥交换和密钥确认；协议在第一轮交互中就实现了策略决策点对访问请求者平台的身份认证和完整性校验，如果访问请求者平台的完整性没有达到要求，则策略决策点在协议的第一轮交互中就可以中止协议并拒绝终端设备的接入，而不需要运行整个协议。这些都极大地提高了协议执行效率，降低了服务器端的负载，缩短了设备接入的响应时间，为下一步研究Mesh网络可信快速切换和可信漫游接入协议打下了基础。新协议还可以作为一种EAP协议扩展到EAP协议族中13，因而不存在兼容性问题。本文通过当前流行的可证明安全模型通用可组合安全（UC，universally composable security）模型，对新协议进行了安全性证明，并对新协议进行了性能对比分析，结果表明：新协议达到通用可组合安全，且性能优势明显。2 预备知识定理1 (通用可组合安全)14 令nN，F是一个理想函数，是一个n方协议，C是一类现实攻击者。如果对于任何AC，都存在一个理想攻击者S，对于任何环境机Z，等式IDEAL F, S, Z REAL , A, Z均成立，那么协议安全实现了理想函数F，换而言之，如果S仿真成功，那么协议安全实现了理想函数F。定理2 (组合理论，composition theorem)14 令nN，F是一个理想函数，是F-混合模型下的一个n方协议，C是一类现实攻击者，协议可以安全实现理想函数F。那么对于任何现实攻击者AC，都存在一个F-混合模型下的攻击H，对于任何环境机Z，等式REAL , A, Z HYBF, H, Z均成立。定义1 (混合模型，hybrid model)14 为了描述上述理论以及形式化表述一个真实协议访问理想函数的多个副本(copy)的情形(如签名)，Canetti 引入了混合模型的概念。参与者除了在彼此之间发送信息，还可以与无限数量的理想函数F的副本进行交互。理想函数的副本通过会话标识SID来区分，发送给某一副本以及从该副本发出的所有消息都对应惟一的标识SID。定义2 (DDH假设)15 设p和q为大素数，k为系统的安全参数。q的长度为k bit 且q/p-1，g是群Zp*上阶为q的生成元，x、y和z是从Zp中均匀选择的，则对于任何多项式时间算法D，Q0 = (p，q，g，gx，gy，gxy): x，yZq和Q1 = (p，q，g，gx，gy，gz): x，y,zZq的概率分布是计算不可区分的。定义3 (伪随机函数)16 对于函数Ra: AB而言(其中a为参数)，如果多项式时间|a|内的图灵机无法区分Ra和均匀分布函数f: AB，则Ra是伪随机函数。定义4 (语义安全)16 对于对称加密机制(E，D)，如果多项式时间的概率图灵机T，在挑选消息m0和m1的情形下，不能以不可忽略的优势区分E(m0)和E(m1)，则对称加密机制(E，D)是语义安全的。定义5 (签名机制的有效性和选择消息安全，CMA)17 对于签名机制SS =(Kg，Sig，Vf)，如果对于由密钥生成算法Kg产生的公/私钥对(pk，sk)和任意消息m而言，都能满足Vfpk (m，Sigsk(m) = 1)，则签名机制SS是有效的。如果攻击者在访问签名预言机Sigsk()的情形下，对任何消息而言都无法产生有效的消息-签名对，则签名机制SS可以安全抵抗选择消息攻击，是CMA安全的。3 Mesh网络可信接入协议MN-TAP 3.1 可信环境下的WLAN Mesh网络通信系统可信环境下的WLAN Mesh网络通信系统如图1所示，其中存在三类实体：访问请求者（AR），策略执行点（PEP）和策略决策点（PDP），它们分别对应于传统WLAN Mesh中的申请者（新接入MP节点）、认证者和认证服务器。访问请求者AR要接入网络，需要向PDP认证用户身份，同时PDP还需要验证AR的平台身份和平台完整性，只有当上述验证全部通过后，PDP才允许AR接入网络。AR和PDP之间的通信必须通过PEP的转发。多个AR可以请求同一个PEP的服务，一个PEP也可以请求多个AR的服务。图1 可信环境下的WLAN Mesh网络通信模型为简化协议描述，对上述通信系统中做如下假设。1）PDP中存储了所有用户的认证及授权信息，每个用户只须存储PDP的证书（如果没有这一假设，协议参与方也可以在协议交互过程中发送自己的证书）。2）PDP是整个网络的控制者，控制整个网络中所有成员的加入和离开。PDP的行为是可信的，它收到策略执行点通过安全信道传递的认证请求之后会诚实地返回正确的应答。同时为了保证应答的真实性，PDP对应答消息进行签名（用公钥进行签名或者用共享密钥计算MAC），AR和PEP均相信具有正确签名的应答消息的权威性。3）根据无线网络普遍采用的安全假设（如802.11i），认为PEP和PDP之间存在安全信道。4）按照802.11s草案的规定，访问请求者AR（新的MP节点）成功加入当前系统后，可以完成策略决策点的功能，同时假设AR成为一个受PDP管理的可信实体，该实体不会进行内部攻击。5）访问请求者AR所使用的平台具有TPM模块，访问请求者平台已经向Privacy-CA申请了AIK证书。3.2 通用可组合安全的WLAN Mesh网络可信接入认证协议MN-TAP 协议设计思想：通过一次协议交互实现AR和PDP以及AR和PEP之间的用户双向身份认证，同时实现PDP对AR的单向平台身份认证和平台完整性校验。为了更好地对协议进行分析，下面只给出使协议达到可证明安全所必需的消息，如图2所示。其中，PDP对AR的单向平台身份认证和平台完整性校验在协议的第一轮交互中完成，如果用户平台身份不合法或用户平台是一个不可信平台，则PDP在第一轮交互中就可以拒绝AR接入，这极大地提高了协议的效率，降低了服务器端的负载。在可信WLAN Mesh网中，访问请求者AR（对应传统WLAN Mesh网中请求接入的MP节点）不希望PDP获取它与PEP之间共享的密钥，因此本文设计的协议中进行了两次不同的DH密钥交换（AR和PDP，AR和PEP），保证PDP无法获取AR和PEP之间的共享密钥。另外，协议还实现了AR和PEP以及AR和PDP之间的用户显式密钥认证。因此，一个新的访问请求者AR通过文中所设计的认证协议可信接入到无线Mesh网络后，不再需要4步握手进行AR和PEP之间的基于共享密钥的显式密钥认证；尤其是与现有的可信网络连接协议1012相比，本文设计的新协议减少了消息交互的轮数，同时在第一轮交互中就进行平台身份认证和平台完整性校验，这些都极大地提高了协议执行的效率，缩短了设备接入的响应时间。图2 WLAN Mesh网络可信接入认证协议MN-TAPSid为当前会话的标识符，由策略决策点产生，也可以三方共同产生；gx、gy、gz分别为AR、PEP和PDP用于DH密钥交换的临时公钥值；IDAR、IDPEP、IDPDP分别为AR、PEP和PDP的标识信息；PrivAR、PrivPEP、RrivPDP分别为AR、PEP和PDP的长期私钥；AIKpriv和AIKpub为证明身份密钥对，SML为存储测量日志，cert (AIKpub)为Privacy-CA向平台签发的AIK证书；Prf()为密钥推导函数；HMIC()为消息认证码计算函数；AUTHAR，AUTHPDP分别为AR和PDP身份认证信息；MICAR, PDP和MICAR, PEP为AR产生的消息认证码，MICPEP, AR和MICPDP, AR分别为PEP和PDP产生的消息认证码。协议详细描述如下。1) AR向PEP发送EAPOL开始消息发起接入请求。2) PEP向AR发送EAPOL请求身份消息进行响应并要求AR提供其身份信息。3) AR向PEP发送包含其网络访问标识信息IDAR的EAPOL响应身份消息进行响应。4) PEP把NAI封装在RADIUS访问请求消息中转发给策略决策点PDP。5) PDP产生用于DH交换的临时公私钥对(z，gz)，记录z；将Sid，NPDP，gz作为开始消息，该消息由PEP转发给AR。6) AR收到协议的起始消息后：使用存储根密钥从TPM中读取证明身份密钥AIKpriv，并以AIKpriv为私钥将选择的PCR值和收到的随机数NPDP进行签名=SigPCR，NARAIKpriv；通过TPM的随机数生成模块产生随机数NAR和x，生成临时公私钥对(x，gx)，记录x，计算MK=Prf(gxz，Sid| NPDP| NAR| IDPDP| IDAR)；产生消息AUTHAR=msg1PrivAR，MICAR, PDPHMIC(MK，msg1| AUTHAR)。其中msg1= Sid| NAR| NPDP| gx| gz| plat_ver_msg| IDAR| IDPEP| IDPDP；plat_ver_msg= SML| Cert(AIKpub)| 是平台身份认证和完整性校验信息；最后把消息(Sid| IDAR| NAR| NPDP| gx| plat_ver_msg| AUTHAR| MICAR, PDP)发送给PEP。7) PEP收到上述消息后：首先验证Sid的有效性，通过后产生随机数NPEP和用于DH交换的临时公私钥对(y，gy)；把gy和NPEP以及来自AR的消息，通过安全信道一起发送给PDP；按如下方式计算单播会话主密钥PMK，安全擦除y，根据PMK推导出单播会话密钥PTK：PMK= prf(gxy，Sid| NAR| NPEP| IDAR| IDPEP)；PTK= prf( PMK)*，“*”表示循环推导，直到满足需求。8) PDP收到PEP发送来的消息后： 先后验证Sid、NPDP、AUTHAR和MICAR, PDP的有效性； 验证通过后结合plat_ver_msg消息中的SML和Cert(AIKpub)验证=SigPCR，NARAIKpriv，即验证访问请求者（新接入MP节点）平台的身份和平台完整性； 验证通过后，计算MK，安全擦除z，产生身份认证信息AUTHPDP和消息认证码MICPDP,AR，计算方式如下：AUTHPDPmsg2PrivPDP；MK=Prf (gxz，Sid| NPDP| NAR| IDPDP| IDAR)；MICPDP, ARHMIC (MK，msg2| AUTHPDP)；其中msg2= Sid| NAR| NPEP| NPDP| gx| gy| gz| IDAR | IDPEP| IDPDP； 最后把消息(Sid| IDPDP| AUTHPDP|MICPDP,AR)通过安全信道发送给PEP。9) PEP收到PDP发送来的消息后： 计算消息认证码MICPEP, AR= HMIC (PTK，msg3)；其中msg3= Sid| NAR| NPEP| gx| gy| IDAR| IDPEP| IDPDP| AUTHPDP| MICPDP, AR； 最后把消息(Sid| IDPDP| NAR| NPEP| gy| AUTHPDP| MICPDP,AR| MICPEP,AR)发送给AR。10) AR收到PEP发送来的消息后： 验证Sid、NAR、AUTHPDP和MICPDP, AR的有效性，验证通过后按照和PEP同样的方式计算PMK和PTK，安全擦除z； 验证MICPEP, AR，通过后产生消息认证码MICAR, PEP= HMIC(PTK，msg4)；其中msg4= Sid | NAR | NPEP | gx | gy | IDAR | IDPEP | IDPDP； 将消息(Sid| NPEP| MICAR, PEP)发送给PEP。11) PEP收到AR发送来的消息后，验证Sid、NPEP、MICAR, PEP的有效性，验证通过后，向PDP发送完成消息，通知PDP它与AR成功协商了会话密钥。12) PDP收到完成消息后，向PEP发送RADIUS接受消息，然后PEP向AR发送EAPOL成功消息，表示认证成功，允许AR可信接入当前网络。4 协议分析4.1 安全性分析本文利用UC模型对所设计的WLAN Mesh网络可信接入协议MN-TAP进行安全性证明。该协议在AR和PEP，AR和PDP之间分别进行了用户身份认证并协商出安全的密钥，且在协议交互的第一轮消息中，完成了PDP对AR的平台身份认证和平台完整性校验。其中plat_ver_msg是AR发给PDP的消息，PDP通过对该消息的验证完成对AR的平台身份认证和平台完整性校验。对于PDP而言，只要保证plat_ver_msg消息确实来自AR且在传输过程中未被篡改，就可以确保对AR平台的身份认证和完整性校验的正确性，协议中AUTHAR和MICAR, PDP消息可以分别保证plat_ver_msg消息的上述属性。为简化协议证明过程，在进行协议安全性证明之前，首先给出协议MN-TAP的抽象描述，如图3所示。图3 WLAN Mesh网络可信接入协议MN-TAP的抽象描述抽象协议中只给出必要的消息。因为PEP和PDP之间存在安全信道，所以在抽象协议中将PEP和PDP作为一个整体来考虑。假设协议在两个实体I和R间进行。其中，gx、gy、gz为用于DH密钥交换的临时公钥值；Priv为长期私钥；IDI,1、IDI,2、IDR为分别为PDP、PEP和AR的身份标识信息；AUTH为身份认证信息；MIC为消息认证码；N为随机数；K1=HKD(gxz，Sid| NI,1| NR|IDI,1| IDR)；K2=HKD(gxy，Sid| NR| NI,2|IDR| IDI,2)；M1=Sid| NR |NI,1| gx| gz| IDR | IDI,1| IDI,2；M2=Sid| NR |NI,1| NI,2| gx| gy| gz| IDR | IDI,1| IDI,2；M3= Sid| NR| NI,2| gx| gy| IDR | IDI,1| IDI,2 | AUTHI| MICI,1；M4= Sid| NR| NI,2| gx| gy| IDR | IDI,1| IDI,2；AUTHRSIGR (PrivR，M1)；AUTHISIGI,1 (PrivI,1，M2)；MICR,1HMIC (K1，M1| AUTHR)；MICR,2 =HMIC (K2，M4)；MICI,1HMIC (K1，M2| SIGI,1| AUTHI)；MICI,2 =HMIC (K2，M3)。协议证明思路：文中所设计的MN-TAP协议在AR、PEP和PDP三者之间进行。将WLAN Mesh网络可信接入协议MN-TAP的抽象描述拆分成两个子协议1与2，它们分别是AR与PDP以及AR与PEP之间的协议交互；首先，分别证明子协议1和2是UC安全的协议；然后，根据UC模型的组合定理，证明子协议1和2的组合协议是UC安全的协议；最后，证明子协议1和2的组合与抽象协议是等价的。这就证明了协议是一个UC安全的协议，即本文设计的WLAN Mesh网络可信接入认证协议MN-TAP是一个UC安全的协议。子协议1和2分别如图4、5所示。图4 子协议1图5 子协议2 由于篇幅原因，这里只给出子协议1的证明过程，子协议2的证明同理。子协议1证明思路：首先构造一个能够安全实现签名理想函数Fsig的协议s；其次，给出安全密钥交换的理想函数FKE，同时构造一个协议1，并证明1在混合模型Fsighybrid下安全实现了FKE；将协议s与1进行组合，通过UC安全组合定理，证明组合后的协议与1等价，且在现实模型下安全实现了FKE。首先，构造实现理想函数Fsig的协议s，如图6所示。图6 实现Fsig的协议s引理1 Sig=(gen, sig, ver)是文献14中描述的签名，那么在真实环境下，协议s可以安全实现Fsig，当且仅当S是抗击选择消息存在性伪造。引理2 如果DDH假设成立，且消息认证算法是安全的，则协议1在Fsig-hybrid下安全实现FKE。证明 首先构造基于密钥交换理想函数FKE的协议1，如图7所示。令协议1是在混合模型Fsig-hybrid下的一个密钥交换协议，H为混合模型中的攻击者。构造一个理想环境下的攻击者S（仿真器），使得任何环境机Z都不能辨别S是与H及1在Fsig-hybrid下进行的交互，还是与S及FKE在Ideal-life下进行的交互。即对任何环境机Z，等式Fsig-hybrid1,H, Z IDEALF,S,Z均成立。图7 基于密钥交换理想函数FKE的协议1 仿真器S的构造：S运行一个模拟的攻击者H，并按下面的规则进行操作。1) 任何从Z的输入均传递给H，任何H的输出将作为S的输出使Z可以读取；2) 当S从FKE处收到(Sid, Pi, Pj, role)，则表明Pi发起了认证密钥交换，那么让S仿真出Fsig及Fsighybrid下与H交互的协议1，并给定同样的输入。并且S让H和Pi按照1的执行规则与Z交互；3) 为了仿真1的执行，S可以激活Fsig得到相应的签名值；S计算KHKD (K, *)及=HMIC(K, *)，其中K是FKE给Pi和Pj的密钥输出；4) 当1中的某个Pi产生了本地输出，如果对端Pj没有被攻陷，则S将FKE的输出发送给Pi；如果Pj已被攻陷，FKE则让S决定密钥，而S则使用Pi前面的输出来确定仿真的Pi与Pj的本地输出；5) 当H执行攻陷Pi的操作，S同样攻陷Pi。如果FKE已经给Pi发送了密钥，则S将得到该密钥；如果Pi和Pj均没有产生本地输出，则S将其内部状态传递给H，包括它们的秘密选值；如果Pi或Pj其中一方已经产生了本地输出，则它们的临时私钥均被擦除，所以S直接将本地输出的密钥传递给H。仿真器S的有效性：假设在仿真器S的执行下，存在一个环境机Z，成功辨别与H及1在Fsig hybrid下进行交互及与S及FKE在Ideal-life下进行交互的概率不可忽略，即Prob(Fsig-hybrid 1, H, Z IDEALF, S, Z)为1/2加上一不可忽略的优势。那么就构造一个区分器D，利用环境机Z来破解DDH问题，进而规约到矛盾。区分器D的构造：1) 以1/2的概率选择选择QQ0, Q1作为D的输入，记为(p, q, g, *, *, *)；2) 随机选择1,2,l，l为攻击者所能发起的会话数的上界，然后仿真Fsig-hybrid中1和H与Z的交互；3) 当H激活一个参与方建立一个新的会话t(t)或者接收一条消息时，D代表该参与方按照协议1在Fsig-hybrid中进行正常交互。如果t，则D代表Pi向Pj发送消息（Pi, sid, *）；当Pj收到（Pi, sid, *），D调用Fsig进行相应计算，并发送（sid, *,j）给Pi；最终，D让Pi与Pj本地输出（sid, Pi, Pj, *）；4) 如果H攻陷一个参与方，则D把该参与方的内部状态返回给H；如果被攻陷的参与方是会话t的参与方之一，则D输出一随机比特 b 0,1并终止；5) 如果Fsig-hybrid中的协议1运行完后，Z输出b，则D输出b= b并终止。分析区分器D的执行，如果其输入(p, q, g, *, *, *)是从Q0选出的，则*是运行后Pi与Pj输出的真实密钥。在这种情况下，环境机Z看到了本地输出，其视角等同于Fsig-hybrid下1与H所进行的交互；如果(p, q, g, *, *, *)是从Q1选出的，则*是个随机值，这种情况下环境机Z的视角则等同于理想模型下S与FKE所进行的交互，因为理想环境下，FKE发送给Pi与Pj的密钥恰好是它自己选出的随机值。根据区分器的构造原理，D成功区分Q0与Q1的概率等于环境机Z成功辨别理想和混合两种环境的概率，即D能够以1/2加上一个不可忽略的优势成功区分Q0与Q1，而这与DDH假设矛盾，得证。引理3 令1为Fsig-hybrid下的协议，s为安全实现Fsig的协议，那么对于任何攻击者A都存在一个攻击者H，使得对任何环境机Z来说，等式REAL1s, A, Z Fsig-hybrid1, H, Z均成立，即组合协议1s安全仿真了Fsig-hybrid下的1。证明 根据定理2，得证。引理4 真实环境下，组合协议1s与协议1等价。 证明 将混合模型Fsig-hybrid下协议1对所有理想函数Fsig的访问均替换为对协议s的访问，可以得出协议1s与协议1等价。定理3 真实模型下的协议1安全实现了理想函数FKE，即对任何环境机Z，等式REAL1,A,Z IDEALFKE ,S,Z均成立。证明 根据引理14以及定理2，得证。定理4 真实模型下的协议2安全实现了理想函数FKE。证明 与定理3的证明同理。定理5 子协议1与2的组合协议是UC安全的协议。证明 由定理3、定理4，可知协议1与2分别是UC安全的，根据定理2，得证。定理6：真实模型下的协议安全实现了理想函数FKE，因此对任何环境机Z等式REAL,A,Z IDEALFKE,S,Z均成立，即协议MN-TAP是UC安全的。证明 由于子协议1与2是由协议拆分得到的，因此1与2的组合与协议等价，根据定理5，得证。4.2 性能分析 本文所设计的新协议MN-TAP不仅实现了传统WLAN Mesh网络接入协议的身份认证和密钥协商的功能，同时在第一轮协议交互中就能实现策略决策点对访问请求者的平台身份认证和平台完整性校验，当访问请求者平台完整性没有达到要求时，策略决策点可以在第一轮交互后就终止协议并拒绝访问请求者接入，而不需要运行整个协议，这在一定程度上降低了服务器端的负载。在可信环境下的WLAN Mesh网络接入协议需要进行平台身份认证和平台完整性校验，现有的WLAN Mesh接入协议EMSA以及IEEE 802.11i协议不能完成上述功能。为了有效对比本文所设计协议MN-TAP与现有协议的性能，本文在WLAN Mesh网络接入协议EMSA以及IEEE 802.11i接入协议基础上，分别增加一轮协议交互，并在AR端增加一次签名运算，以此来表示这两个协议实现PDP对AR的平台身份认证和平台完整性校验所需的计算量和通信开销。表1给出当访问请求者(AR)第一次可信接入WLAN Mesh网络时三个协议的性能对比，其中：E为模指数运算；F为计算签名；M为消息认证码。发送和接收一次消息称为一轮交互。表1 AR第一次可信接入WLAN Mesh时的协议性能对比协议名称交互轮数AR的计算量（新接入MP节点）PEP的计算量（认证者A）PDP的计算量（认证服务器AS）IEEE 802.11i + 平台身份认证和平台完整性校验7+7+12E+2F+4M2E+1F+4M4E+2F+2M802.11s EMSA + 平台身份认证和平台完整性校验5+2+12E+2F+3M2M2E+1F+1MMN-TAP43E+2F+2M2E+1M2E+1F+1M从表1可以看出，新协议MN-TAP与现有协议相比，在完成相同任务的前提下，协议计算量和通信效率具有优势，具体分析如下。协议计算量：新协议MN-TAP中AR和PEP的计算量与其他两个协议相近，但PDP的运算量相对于IEEE 802.11i来说则减少了一半，这对于系统控制者PDP来说无疑是一个非常大的改善。协议通信效率：与其他两个协议相比，新协议MN-TAP只需要4轮的协议交互便可完成相应的功能，通信效率大大提高。交互轮数的减少，有助于提高访问请求者切换时的接入效率。综上所述，新协议MN-TAP在计算量与通信效率方面优势明显。5 结束语本文在综合考虑了可信接入和WLAN Mesh网络传统接入的特点，提出了WLAN Mesh网络可信接入协议MN-TAP，该协议仅通过4轮交互便实现了AR（新接入的MP节点）， PEP（认证者）和PDP（认证服务器）三者之间的用户身份认证，同时分别在AR和PEP，AR和PDP之间进行不同的密钥交换和密钥确认；特别是协议在第一轮交互中就实现了策略决策点PDP对访问请求者AR平台身份的认证和平台完整性的校验，如果AR的平台完整性达不到要求，那么PDP在第一轮交互后就可以终止协议并拒绝AR接入，而不需要运行整个协议，这极大地提高了协议效率，降低了PDP端的负载。本文利用当前流行的可证明安全模型通用可组合安全模型，证明新协议达到通用可组合安全，保证了新协议在复杂并行环境下的安全性。最后，通过协议性能的对比分析，新协议MN-TAP与其它两个协议相比，在完成相同功能的前提下，计算效率与802.11s EMSA相仿，在PDP端明显高于IEEE 802.11i；而在通信效率方面，新协议与其他两个协议相比，性能优势明显。WLAN Mesh网络中MP的移动是一个不可避免的问题，MP的移动不仅会造成网络拓扑的变化，而且还会改变已有的安全关联。而业务的连续性，特别是实时业务要求MP在移动后能够快速地接入网络。但现有的WLAN Mesh网络接入协议，特别是在可信环境下需要进行平台身份认证和平台完整性校验时，无法满足MP的快速切换需求。因此，下一步工作是：在新协议MN-TAP基础上，设计WLAN Mesh网络可信快速切换协议，使其能够在可信环境下，满足MP节点快速切换时的安全和性能需求。 参考文献：1IEEE Draft Amendment to Standard for Information Technology Telecommunications and Information Exchange Between Systems - LAN/MAN Specific Requirements - Part 11: Wireless Medium Access Control (MAC) and Physical Layer (PHY) Specifications: Amendment: ESS Mesh NetworkingS. IEEE P802.11s/D1.0, March 2007. 2IEEE Standard, Supplement to Standard for Telecommunications and Information Exchange Between Systems - LAN/MAN Specific Requirements - Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications: Specification for Enhanced SecurityS. IEEE 802.11i, July 2004.3沈昌祥,张焕国,冯登国等. 信息安全综述. 中国科学E辑J. 2007, 37(2): 129-150SHEN C X, ZHANG H G, FENG D G, et al. Survey of information securityJ. Science in China Series F, 2007, 50(3):273-298.4张焕国, 罗捷, 金刚等. 可信计算研究进展J. 武汉大学学报(理学版), 2006, 52(5): 513-518.ZHANG H G, LUO J, JIN G, et al. Development of trusted computing researchJ. Wuhan University Journal of Natural Sciences. 2006, 11(6): 1407-1413.5林闯, 彭雪海. 可信网络研究J. 计算机学报, 2005, 28(5): 751-758.LIN C, PENG X H. Research on trustworthy networks (in Chinese)J. Chinese Journal of Computers, 2005, 28(5):751-758.6PEARSON S. Trusted computing: strengths, weaknesses and further opportunities for enhancing privacyA. Eds iTrust 2005, LNCS 3477C. Berlin: Springer-Verlag, 2005. 305-320.7Trusted Computing Group. Trusted platform module main specificationEB/OL. https: /www. /.8Trusted Computing Group. TCG storage architecture core specificationEB/OL. https: /www.