基于身份的泛在通信隐私保护方案

2011年9月JournalonCommunicationsSeptember2011第32卷第9期通信学报Vol.32No.9基于身份的泛在通信隐私保护方案李大伟1,2，杨庚1,2，苏弘逸2，陈燕俐2,3，杨震1（1.宽带无线通信与传感网技术教育部重点实验室，江苏南京210003;2.南京邮电大学计算机学院，江苏南京210046;3.福建师范大学网络安全与密码技术重点实验室，福建福州350007）摘要：针对泛在通信应用场景中数据传输的私密性要求，基于IBE公钥加密算法和Shamir门限秘密共享，提出了一种泛在通信隐私保护方案。方案以不同信任域身份标识为公钥，加密后的影子密钥可通过广播信道分发，满足门限条件的节点可以重构隐私会话密钥。方案具有随机预言模型下可证明的IND-sID-CPA安全性，支持安全的新成员加入策略，具有较小的计算复杂度和存储、通信开销。关键词：泛在计算；基于身份加密；秘密共享中图分类号：TP309文献标识码：A文章编号：1000-436X(2011)09-0044-07IdentitybasedprivacypreservationschemeforubiquitouscomputingLIDa-wei1,2,YANGGeng1,2,SUHong-yi2,CHENYan-li2,3,YANGZhen1(1.KeyLabofBroadbandWirelessCommunication&SensorNetworkTechnology,MinistryofEducation,Nanjing,210003,China;2.CollegeofComputerScience,NanjingUniversityofPostsandTelecommunications,Nanjing210046,China;3.KeyLabofNetworkSecurityandCryptology,FujianNormalUniversity,Fuzhou350007,China)Abstract:Aimingattheprivacypreservationofdatatransmissioninubiquitouscomputing,aprivacyprotectedschemebasedIBEcryptographyandShamirsecretsharingwasproposed.Inthescheme,thepublickeywastheIDoftrustedfieldandthesharescouldbedistributedduringthebroadcastchannel.Anysetofnodessatisfiesthethresholdcanrebuiltthekeyofprivatesession.TheproposedschemeisIND-sID-CPAsecureunderrandomoraclemodel.Additionally,theschemesupportssecurememberexpansionandhasadvantagesincomputation,storageandcommunicationcosts.Keywords:ubiquitouscomputing;identitybasedencryption;secretsharing1引言随着微电子、无线通信等技术的飞速发展，无线通信的外延不断扩展。无线通信网络高速化、宽带化、异构化、普适化的发展趋势使泛在通信技术渗透到社会各领域。然而泛在网络应用场景的开放性和跨信任域等特点为用户带来便利的同时也引入了安全隐患，其中通信过程中的隐私泄漏问题尤收稿日期：2010-05-25；修回日期：2010-11-02基金项目：国家重点基础研究发展计划（“973”计划）基金资助项目（2011CB302903）；国家自然科学基金资助项目（60873231）；江苏省高校自然科学基金资助项目（08KJB520006）；江苏省自然科学基金资助项目（BK2009426）；网络安全与密码技术福建省高校重点实验室开放课题(09A010)；南京邮电大学校科研基金资助项目(NY210044)FoundationItems:TheMajorStateBasicResearchDevelopmentProgramofChina(973Program)(2011CB302903);TheNationalNaturalScienceFoundationofChina(60873231);TheNationalScienceFoundationforCollegesandUniversitiesofJiangsuProv-ince(08KJB520006);TheNaturalScienceFoundationofJiangsuProvince(BK2009426);TheFundsofKeyLabofFujianProvinceUniversityNetworkSecurityandCryptology(09A010);TheScientificResearchFoundationofNanjingUniversityofPostsandTelecommunications(NY210044)第9期李大伟等：基于身份的泛在通信隐私保护方案·45·为突出[1]。泛在（ubiquitouspervasive）通信的概念最早由施乐实验室的计算机科学家MarkWeiser于20世纪90年代提出，其主旨是各类计算设备以用户为中心提供透明的、普适的计算和通信服务[2]。这些智能设备基于无线通信技术、定位和感知技术以及上下文感知技术，实现通用信息接入、泛在终端设备控制和个人信息融合等功能，使人们能在任何时间、任何地点、以任何方式进行信息的获取与处理。由于泛在网络传输的数据跟用户日常生活密切相关，如何保证数据的私密性和不可伪造性是泛在计算面临的一个挑战。此外，泛在网络应用场景的普适性为攻击者跟踪用户的状态和行为提供了条件，因此泛在通信中的隐私保护成为亟待解决的首要问题[3]。泛在网络是多跳异构网络，节点差异大，系统资源不均衡，具有动态性强、可靠性低、无集中式管理中心等组网特点，传统同构网络中集中式安全方案难以直接使用。近年来，众多学者对泛在网络的隐私保护方案进行了一系列有益的探索。Oleshchuk[4]从隐私问题的类型和保护的安全层次角度，借助安全多方计算（MPC）理论研究了泛在通信典型应用—物联网中隐私保护技术。针对用户信息管理、信息滥用以及身份窃取等问题，Liampotis等[5]提出了个人智能环境（PSSS）中隐私保护框架及解决方案。在匿名数据传输隐私（如身份、位置等）保护方面，Sweeney[6]提出了一种在多个匿名参与者中共享信息的k-anonymity隐私保护模型。针对上下文信息隐私保护问题，Zhang等[7]基于粗糙集理论研究了上下文相关的泛在网络隐私保护，提出了一套根据历史交互信誉度提交隐私数据的策略。上述研究大多从隐私保护策略和原则角度探求泛在网络隐私保护的解决方案，而基于密码学角度的分析却讨论甚少，这是因为泛在网络是资源受限的系统，通信节点依靠电池能源、计算能力较弱、存储量小，难以运行复杂的公钥加密算法。此外，泛在网络无基础结构，难以实现普通公钥算法的PKI证书发放。基于身份的加密算法（IBE）是一种具有良好性能的公钥加密算法，最早由Shamir于1984年提出，其基本思想是用代表身份的字符串作为公钥，因而具有公钥可识别性。IBE的优势在于避免了公钥证书的维护和托管，加解密过程能利用椭圆曲线有效计算[8]。研究表明，密钥长度分别为160bit和224bit的椭圆曲线算法与RSA-1024和RSA-2048的安全性相当[9,10]。因此，同其它非对称加密算法相比，IBE算法能以较小的代价获得更好的安全性能。目前，已成功的将IBE算法应用于无线传感器网络安全协议中[11~13]，得到了令人满意的效果。本文针对泛在计算应用场景中隐私会话敏感数据保护问题，在前期研究的基础上，结合门限秘密共享方法提出一种新型的泛在网络隐私保护方案。并详细分析了方案的安全性，以及计算、存储有效性等性能。本文内容安排如下：第2节简要介绍IBE公钥算法；第3节提出本文的方案；第4节对所提方案进行分析和证明；最后是结束语。2IBE公钥算法基础本节简要介绍IBE公钥算法的基本原理，IBE详细内容参见文献[8]。IBE公钥算法的安全性建立在CDH(computationaldiffie-hellman)困难问题的一个变形之上，称之为BDH(bilineardiffie-hellman)问题。记{0,,1}qZq=−为素数阶q的加法群，Z为正整数，G为加法群，F为乘法群。定义1(双线性映射)对所有x、yG∈，a、bZ∈，映射ˆ:eGGF×→称为双线性映射，满足:1)双线性：ˆ(,)eaxbyˆ(,)abexy=;2)非退化性：P∃、QG∈，满足ˆ(,)1ePQ≠;3)可计算性：存在多项式时间算法计算ˆ(,)exy。给定G，q，P，aP，bP，随机选择*,qabZ∈，计算abPG∈称群G上的CDH问题。随机算法()Gκ使用一个安全参数Zκ+∈，在κ阶多项式时间内输出阶q的加法群G和乘法群F，及其上的双线性映射ˆ:eGGF×→。对*PG∈，*,,qabcZ∈，计算ˆ(,)abcePP称BDH问题。IBE公钥算法由4个函数Setup、Extract、Encrypt和Decrypt组成，分别完成系统参数建立、密钥提取、加密和解密的功能。若s为主密钥，Ppub为系统公钥，H1、H2为单向散列函数，M为明文，身份ID对应的公私钥分别为ID1()QHID=，IDIDDsQ=。Encrypt：选择*qrZ∈。密文(,)CUV=，其中UrP=，2()HMVk=⊕，IDpubˆ(,)rkeQP=。·46·通信学报第32卷Decrypt：2IDˆ((,))MVHeDU=⊕。3方案描述设泛在网络应用场景中的节点按照信任范畴不同分为若干信任域，每个信任域拥有唯一的身份ID。场景中的信任关系分为域内信任和域间信任。对于不同信任关系，会话的隐私保护采取不同策略。例如某人所拥有的数码产品构成以该人身份为标识的信任域，信任域内通信不存在隐私保护的问题，而信任域间通信需要进行隐私保护。首先使用IBE公钥加密算法分配会话密钥，在一个会话周期内，域间使用一个对称加密算法加密隐私信息。设会话发起者Sender向n个信任域发起会话，接收域节点集合{|1,2,,}iPPin==，Pi属于标识IDi。假定在网络初始化或网络拓扑发现时已相互认证并建立了单播会话密钥。本文方案的基本思想是：首先Sender根据系统参数和接收域的公钥信息，生成秘密信息,,(1,2,,)iUVWin=并通过广播信道发送，其中Vi包含授权接收节点的影子秘密。多于门限值t个不同信任域接收节点合作可以解密W得到会话密钥sessionK。在一个会话周期内，合法节点间通过对称密钥sessionK建立会话。如前面分析，会话密钥的分发使用基于身份的公钥加密算法，隐私会话采用对称加密算法以节省网络资源。3.1节点初始化由于泛在通信场景没有类似于服务器的主节点，初始化过程须在网络部署时完成，目的是将有关信息分配到节点，并存储到节点中。这个过程有两种实现方法[13]。一是在构造网络时，利用一个类似基站的节点向所有节点广播参数，一旦广播完成，基站就消失，节点依靠自身的计算能力生成网络拓扑及密钥对；另一种是在节点系统生成阶段，利用一个管理系统的部署工具对节点进行初始化，将有关的参数存入节点，类似网卡的MAC地址。对基于IBE的密钥管理方案，后者更具有优越性，是推荐采用的方法。可以根据泛在网络的使用范围进行节点的管理。如某医疗应用场景，他们的节点管理系统完成对节点的初始化，然后供以后使用。需增加新节点时，同样用管理系统对其进行初始化，配合新节点加入算法。具体初始化过程如下。根据安全参数κ