Ad-hoc网络安全节点发现及应用

理论计算机科学电子笔记171（2007）43-55www.elsevier.com/locate/entcsAd-hoc网络中的安全节点发现及其应用1乔瓦尼·迪·克雷森佐2电信技术地址：One Telcordia Drive，1K325，Piscataway，NJ，08854摘要设计安全的协议在ad-hoc网络已被证明是一个非常具有挑战性的任务，由于这样的网络的各种功能，如部分连接，节点移动性和资源限制。此外，它们缺乏物理基础设施，使其用户甚至无法实现基本的网络功能，如消息路由，而这些功能是节点自己负责的。在本文中，我们考虑一个非常基本的网络功能，节点发现，在ad-hoc网络中，网络信息有限的节点想建立一个会话与给定数量的其他节点在网络中（其中节点可能不知道）。我们正式定义了节点发现协议的正确性，安全性和效率属性，并研究了在适当的网络拓扑假设下设计此类协议的问题。在这里，这些协议的安全性是针对拜占庭攻击者的，这些攻击者可以破坏网络中有限数量的节点，并使它们任意偏离其协议。在介绍了一些安全节点发现协议之后，我们展示了它们在ad-hoc网络安全服务架构中的应用。关键词：安全节点发现，客户端-服务器体系结构，门限密码学，移动ad hoc网络1引言Ad-hoc网络是无线节点的集合，它们在没有诸如基站或接入点之类的任何基础设施的帮助下在它们自己之间进行通信。随着有线电视、安全音频会议、视频广播、军事指挥和控制等无线业务的发展，ad-hoc网络的民用、金融和军事应用研究也在不断增加 正如从这些应用的重要性所预期的那样，安全性对于此类无线服务的成功开发起着关键作用，1通过合作参与美国陆军研究实验室根据合作技术联盟计划（合作协议DAAD 19 -01-2-0011）赞助的通信和网络联盟而编制。美国政府被授权为政府目的复制和分发重印本，尽管上面有任何版权标记。2电子邮件：giovanni@research.telcordia.com1571-0661 © 2007 Telcordia Technologies Inc.由爱思唯尔公司出版 在CC BY-NC-ND许可下开放访问。doi：10.1016/j.entcs.2006.11.01444G. Di Crescenzo/Electronic Notes in Theoretical Computer Science 171（2007）43ad-hoc网络上的安全性和密码学目前正以非常快的速度增长。由于缺乏自组织网络中的基础设施，即使是基本的通信功能，如消息路由的无线节点本身的负担此外，无线设备的有限资源可能会严重限制节点之间的连接性，并且任何类型的通信会话的消息在到达目的地之前必须经过多跳路径在本文中，我们认为在ad-hoc网络中的节点发现协议。在节点发现协议中，具有有限网络信息的节点想要与网络中给定数量的其他节点（节点可能不知道）建立会话。在这里，我们通过一个简单的查询-回复交互来建模建立会话的过程，对于所涉及的各方的身份来说是唯一的。ad-hoc网络上的节点发现应该被认为是一种非常基本的网络功能，甚至超过消息路由或路由发现（消息路由的典型组件）。因此，我们希望节点发现子协议是有用的几个协议在ad-hoc网络，包括亲-toados客户端-服务器架构，我们在本文中，它是我们正式定义了节点发现协议的正确性、安全性和效率属性，如下所示：正确性是指当所有各方都诚实时，发起节点可以发现网络中足够多的节点;安全性（针对某个已知参数τ，针对破坏了τ个节点的拜占庭攻击者）是指在存在这样的攻击者的情况下，发起节点仍然可以发现网络中足够多的节点;最后，我们关注的主要效率属性(Both度量（关键是ad-hoc网络中的标准效率度量，例如延迟、带宽、电池寿命、能耗等）然后，我们调查的问题，设计- ING这样的协议在适当的（和尽可能弱）的网络拓扑假设。我们提出了3个协议，最有趣的需要合理的弱拓扑假设，并提出令人满意的效率属性。这项工作建立在我们在[5，6]中所做的先前工作的基础上，其中存在的一些协议的变体可以被重新表述为节点发现协议，该协议在适当的拓扑假设下可以对抗静态对手。本文提出并形式化了节点发现的概念，提出了一种新的抗适应性攻击（即攻击者在协议的任何时刻破坏节点）的协议，并提出了一种分析和比较这种协议的效率的方法。 最后，我们展示了安全节点发现协议在ad-hoc网络中的安全服务架构中的应用，在对称或非对称的情况下，密码原语2模型和定义我们首先描述了我们的建模的移动自组织网络，包括假设的网络拓扑结构和各方的知识然后我们定义我们的概念G. Di Crescenzo/Electronic Notes in Theoretical Computer Science 171（2007）4345移动自组织网络中的安全节点发现协议2.1网络建模移动自组网对各方之间的连接性提出了严格的限制，并且一般来说，无法保证所有各方之间的网络连接性。由于各方设备的无线性质，不能保证所有各方都在给定方的无线电范围内;此外，给定方的无线电范围的形状可以根据位置、时间、设备功率和设备能量而不同。因此，我们用连通图来描述节点之间的连通性G，其中G中的每个节点与不同的一方相关联，并且G之间的边任何两个节点意味着两个关联方在彼此的无线电范围内（为了简单起见，我们只考虑双向连接的情况）。此外，图G可以根据当事人移动性或不可用性而在时间上变化由于地理变化、电力中断或电池电量不足等因素，这些事件触发图G中的变化，其被建模为节点和边的故障和创建;因此，图G的结构根据这样的变化而变化（为了符号简单，我们省略了与G相关的符号中的时间相关下标，并且我们不失一般性地假设n是该数字的上界党）。我们还简化了没有竞争或传输错误的假设，因为这些可以以模块化的方式在不同的层处理对网络拓扑的假设。在本文的其余部分中，我们将使用以下关于图G=（V，E）的拓扑的假设，在被建模为G的网络上执行的协议的整个生命周期中。(Here，ρ，σ，τ1，τ2是{1，.，n}）。(i) ρ-邻居假设：在任何时候，V中的每个节点至少有ρ个邻居(ii) σ-连通性假设：在任意时刻，对于任意σ节点N1，.，Nσ在V中，图GJ，通过去除N1，. ，Nσ和从G入射到它们的所有边保持连通。(iii) （τ1，τ2）-可达性假设：在任意时刻，对任意节点N∈V和任意τ1J节点N1，. ，Nτ1，. ，Nτ并且从G到它们的所有边至少包含τ2个可达节点免于我们注意到，对于ρ = σ +1，σ ∈ {0，. ，n − 1}（或者存在一个节点，其最多有ρ − 1 = σ个邻居，移除这些邻居将断开图）。我们还注意到，当τ2≥n−1−τ1时，（τ1，τ2）-可达性假设与σ-连通性假设相同，其中σ≤τ1。关于当事方知情的假设。我们将假设每一方都可以与一个唯一的地址相关联;比如说，一个64位的IPv6地址，从现在开始，我们将简称为ID。然后，我们将假设每一方都知道她的邻居节点146G. Di Crescenzo/Electronic Notes in Theoretical Computer Science 171（2007）43其他方的ID或关于图G的剩余拓扑（除了直接邻居）。2.2移动局域网中的安全节点发现定义节点发现。非正式地说，在节点发现协议中，网络节点处的单个用户想要了解多个其他网络节点的存在和网络可达性。由于节点发现可以用于不同的应用程序中，我们将不关注特定应用程序的操作模式，而是将其操作模式抽象为通用的“会话建立”。具体地，在任何这样的协议中，节点N的目标将是与一个或多个其他节点N1，.，Nu在图中。为了简单起见，我们假设单个查询-回复交互，其中节点N发送查询，并且节点N1，. ..设1k为一元安全参数，G为移动自组织网络的连通图。形式上，我们将节点发现协议定义为一对子协议：预处理子协议，其中初步信息以及发现子协议，其中初步信息用于保证从任何给定节点成功发现任何期望数目的节点然后，节点发现协议的一次执行被表示为NDP（pre，dis），并且由预处理的一次执行组成协议预处理和多项式地（以k为单位）处理发现协议的许多执行。两个协议都是在网络中的所有参与者之间运行的;协议是由一个节点启动的，我们将其称为发起者。 对任意正整数t，我们要求移动ad-hoc网络G中的t节点发现协议NDP_REQ（NDP_PRE，NDP_DIS）满足以下要求：• 正确性：如果当事人P1，. .. ，IDt.如果所有节点都诚实地遵循它们的协议，则通过以下可达性算法的分布式实现来实现平凡节点发现协议：在预处理协议中，所有节点发现它们的邻居;在发现协议中，发起者Pj发现其邻居，并要求它们递归地发现先前未发现的节点并将它们的身份转发给Pj，直到Pj已经发现至少t个不同的节点（即，直到Pj已经接收到至少t个不同的ID节点发现的问题变得不平凡的存在的adversaries，可以腐败的一些参与执行的协议的协议前和后的参与方。定义节点发现的安全性。我们首先描述了一个（拜占庭）对手的力量，每当一个节点发现协议在移动自组织网络上运行。 拜占庭对手的第一个基本攻击策略是， 参与会话建立的破坏节点;特别是，如果G. Di Crescenzo/Electronic Notes in Theoretical Computer Science 171（2007）4347如果发起方试图与损坏的节点建立会话，我们将假设发起方可能无法成功发现损坏的节点。除了破坏应该被发现的参与方之外，攻击者还可以破坏负责将ID路由到发起方的参与方。更重要的是，攻击者可以在协议开始之前物理地移动发起者附近的参与方，因此客户端必须依赖较少数量的邻居进行路由，甚至将每个损坏的参与方复制到具有相同ID的其他参与方中（尽管，正如我们将看到的，后一种对抗策略很容易处理）。 更正式地说，我们考虑一个拜占庭攻击者，它可以在执行协议NDP期间的任何不同时间破坏多达τ方，并且可以任意修改协议其余部分的程序，包括停止消息路由，移动它们和复制它们。我们现在研究的方案，允许移动ad-hoc网络中的任何发起者发现任何给定数量的节点，即使在拜占庭的对手，损坏多达τ个网络节点从发起者（或其他节点发现问题平凡化）。回 想 一 下 ， 我 们 将 节 点 发 现 协 议 的 执 行 表 示 为 NDP 预 处 理 （ NDP_pre ，NDP_dis），其由预处理协议NDP_pre的一次执行和发现协议NDP_dis的多项式（以k为单位）多次执行组成。对任意正整数t时，我们要求一个τ-安全的t节点发现协议NDP <$（NDP_pre，NDP_dis）在移动自组织网络G满足以下要求：• 安全 设Pj∈ V（G），对于j ∈ {1，. ，n}，是在一个启动器的执行中，并让A是一个概率多项式时间算法，称为（拜占庭）的对手，在任何时候在协议期间可以选择高达≤τ索引i1，.，iτ∈ {1，...，n}\{j}并且作为P1，.，Piτ直到协议的其余部分，任意修改他们的程序（包括物理移动它们），甚至复制它们。 我们说协议NDP的执行成功，如果- 协议的执行结束，参与方Pj在输入1t上返回V（G）\{Pj}中从Pj接收到会话建立请求的参与方的t个不同身份，并且使得对于其中的至少t-τ个，会话建立协议是成功的。那么，对于任何对手A，协议NDP的执行不成功，可以忽略不计。一些直接的观察包括：（1）对于任何t > n−1−τ都不可能获得τ-安全的t-节点发现方案（在本文的其余部分，为了简单起见，我们关注最有趣的情况t= 2τ + 1≤n）;（2）当 t≤n−1−τ，设计一个τ-安全的t节点发现协议有线网络上的一个普通解决方案，其中任何两个节点被连接，并且对手不能操纵任何两个节点之间的路由，因为节点可以仅仅联系新的邻居以发现新的节点。由于ad-hoc网络的部分拓扑结构，这个问题变得不平凡。事实上，这是很简单的展示图拓扑结构，即使对手破坏一个单一的节点可以阻止一个安全的1节点发现方案的设计。拓扑假设。 协议在ad-hoc网络48G. Di Crescenzo/Electronic Notes in Theoretical Computer Science 171（2007）43网络在很大程度上取决于网络图上的拓扑假设。在更强的拓扑假设下证明协议的属性使得这样的属性不太可能在现实生活中的ad-hoc网络中保持，在节点移动性的存在下更是如此因此，我们特别感兴趣的是最小化的拓扑假设下，节点发现协议被证明是正确的和安全的。效率措施。我们还将对以下两个效率度量特别感兴趣：发起者请求的数量，定义为发起者N在输入1t上进行的会话建立尝试的数量;发起者轮数，定义为发起者N与网络其余节点之间的通信轮数。用于ad-hoc网络上的协议的标准效率度量，诸如延迟、带宽、电池功率、能量消耗等，都直接由两个定义的效率度量来衡量。3Ad-Hoc网络在本节中，我们介绍了ad-hoc网络上的节点发现协议，该协议在存在拜占庭对手的情况下仍然是安全的，拜占庭对手可以在协议执行期间的任何时间破坏到有限数量的网络节点。 我们在适当的拓扑假设下提出了3个协议，主要设计目标是（1）最小化拓扑假设，（2）最小化效率度量，两者都在第2节中定义。我们最感兴趣的协议是一个τ-安全的t-节点发现协议，对于t= 2τ + 1，在（τ，2τ + 1）-可达性下假设，只需要O（l）发起者回合和O（τ·l）发起者请求，对于l= logτ。所有协议中的通用设置。我们假设对ad-hoc网络的访问是由一个在线可信机构授予的，该机构还充当认证机构，向每个用户（尚未注册）提供与用户ID和签名验证密钥相匹配的证书。我们注意到，这一假设在军事ad-hoc网络（激励这项工作的主要设置在节点发现协议中，每一方都将使用由可信机构认证的签名验证密钥对她的消息进行签名，并将加入网络时获得的证书附加到它们上。上面的设置所隐含的一些属性，我们将在所有协议的证明中使用，如下所示。首先，由于用户其次，攻击者试图注册不同的ID是徒劳的，因为可信的权威机构需要检查ID的真实性，因此不会向声称拥有不同ID的同一方颁发两个证书（因此，我们所有的协议都是安全的，最后，我们注意到，由于所有会话建立消息都经过签名和身份验证，因此当它们在ad-hoc网络上通过多跳转发时，会检测到它们的内容或原始发送方ID的任何更改G. Di Crescenzo/Electronic Notes in Theoretical Computer Science 171（2007）43493.1（2τ + 1）-邻居假设下的一个协议作为热身，我们考虑以下协议NDP1 =（NDPpre， NDPdis）。SubprotocolPres没有特殊的定义要求，SubprotocolPres定义如下。 在输入1 t中，对于t = 2 τ +1，发起者N请求与其邻居N1，..，Nu.在协议结束时，N返回N 1，. .，Nu，其中会话建立协议成功。这个分析是很简单的：根据（2τ + 1）-邻居假设，发起者N有u≥2τ + 1个邻居，发起者可以要求其中t个邻居建立会话;由于对手最多可以破坏τ个邻居，因此会话建立协议在至少t-τ个邻居的情况下是成功的。因此，NDP1是一个τ-安全的t-节点发现协议，对于t= 2τ + 1，在（2τ +1）-邻居假设下，具有O（1）发起者轮和O（τ）发起者请求3.2（τ，2τ + 1）-可达性假设下的两个协议我们希望减少与协议NDP1相关的拓扑假设，并考虑适用于更广泛的网络图族的协议。我们注意到，（τ+ 1）-邻居假设对于针对破坏多达τ个节点的对手获得安全的节点发现协议是必要的，或者存在节点N，使得其所有邻居都可以被对手破坏，并且当N充当发起者时，对手可能不允许N与网络图中的任何其他节点建立会话。因此，我们现在考虑在弱于（2τ +1）-邻居假设但不弱于（τ+1）-邻居假设的假设下找到节点发现协议的问题具体地说，我们将关注（τ，2τ + 1）-可达性假设。我们证明了两个协议在这个假设下是安全的：第一个具有O（1）发起者轮数和O（τ2）发起者请求，第二个具有O（logτ）发起者轮数和O（τlogτ）发起者请求。具有令人满意的发起轮的协议。我们现在考虑下面的协议NDP2 =（NDPpre，NDPdis）。它具有令人满意的发起者轮数，但是有大量的发起者请求。方案说明。 SubprotocolPres没有特殊的定义要求，SubprotocolPres定义如下。我们考虑一个初始化器N，其输入为1 t，其中t = 2 τ +1，并且具有u个邻居N1，. ，Nu，并且我们设置uJ= min（u，t）。对于i = 1，. .. 在该过程结束时，N返回从以下中的任一个可到达的至少t-τ个不同节点的IDN1，.，Nu，J，其中会话建立成功。协议分析。 NDP2的正确性被简单地认为是成立的;特别是，我们认为简单的查询-应答交互足以在任何两个通信方之间建立会话，然后通过在两个通信方之间转发查询-应答，50G. Di Crescenzo/Electronic Notes in Theoretical Computer Science 171（2007）43在沿着图的动作中，有可能使N建立与图中的任何动作的会话t个从N可到达的节点。对于安全性，我们首先注意到，对于在任何时间被邻居N1中的对手破坏的任何τ节点，…，NuJ，则通过（τ，2 τ + 1）-可达性假设，存在2 τ + 1个节点可从N到达（即使τ损坏节点及其相邻边与网络图断开连接）。因此，t= 2τ +1个节点将从N接收会话建立请求。由于我们假设查询-回复交互不能被中间方修改，因此可以让N与2τ + 1个节点中的任何一个建立会话，可从N到达。 因此，协议返回至少t−τ个ID，与N成功建立会话的节点。我们注意到，相对于NDP1，协议NDP2减少了拓扑假设，但显著增加了发起者请求的数量。在最坏的情况下，NDP2进行O（τ2）次会话建立尝试，而NDP1只进行O（τ）次。具有令人满意的发起者回合和请求的协议。我们现在考虑下面的协议NDP 3 =（NDP pre，NDP dis）。除了减少拓扑假设外，它在发起者轮数和发起者请求数方面都具有令人满意的性能。方案说明。SubprotocolPres没有特殊的定义要求，SubprotocolPres定义如下。 我们考虑一个初始化器N，其输入为1 t，其中t = 2 τ + 1，并且具有u个邻居N1，.，Nu，并且我们设置UJ= min（u，t）。该协议被划分为多个阶段;在每个阶段，N获得会话建立协议成功的新节点的身份的数量（该数量取决于对手至少是t−τ。在第一阶段，对于i = 1，...，u，J，并行地N要求邻居Ni将N的会话建立请求转发到从Ni可到达的t1=2个不同节点（包括Ni但不包括N），并且将N个这样的节点的会话建立应答转发到N个这样的节点。 在该过程结束时，N划分邻居的集合NS={N1，.，NuJ}分成两个集合NSy，1和NSn，1，其中NSy，1包含NS中的邻居的集合，其转发到与N的会话建立成功的2个不同节点的N个身份，并且NSn，1被定义为NS\NSn，1。在第一阶段，N已经收到|NSy，1|不同的身份在第二阶段中，N组t2 =[2·（t-t1·|N Sy，1|）/|NSy，1||，同样的重复该过程，其中N请求NSy，1中的每个邻居Ni将N再次，N将NSy，1划分为两个集合NSy，2和NSn，2，类似于NSy，1和NSn，1来定义;具体地，NSy，2包含NSy，1中的邻居的集合，其被转发到t2个不同节点的N个身份，与该节点的会话建立其中N是成功的，NSn，2被定义为NSy，1\NSn，2。G. Di Crescenzo/Electronic Notes in Theoretical Computer Science 171（2007）4351稍后，在第三阶段中，N继续发送其查询以设置邻居的NSy，2，并且ndby设置ngt3=[2·（t-t1·|NSy，1|−t2·|NSy，2|）/|NSy，2||. 该过程持续jmax个阶段，直到N已经接收到接收会话建立请求的节点的至少t个不同身份和会话建立协议成功的节点的至少t-τ(This意味着jmax满足tjmax+1≤0。）协议分析。分析了NDP3协议的正确性、安全性和性能.首先，我们注意到，通过jmax，我们已经表示了协议NDP3的阶段数。可以立即看到，jmax也是发起者轮数的上限，并且jmax·t是发起者请求数的上限。因此，我们想为每个对手的行为计算jmax值回想一下，我们用tj表示N在阶段j期间试图获得的恒等式的数量。此外，我们将在阶段j开始时N仍然想要获得的身份的数量表示为Idnumj（即，0和值之间的最大值等于到t减去到目前为止获得的身份的数量）。我们注意到Idnum1=t，Idnumjmax= 0和t1=t。还可以立即看到，对于每个j，在第j个相位中tj≥Idnumj。 这保证了NDP 3的正确性属性是满意了。我们还注意到，在每个阶段，对手可以决定腐蚀一些在前一阶段未被腐蚀的新政党。(The对对手的唯一限制是损坏节点的数量至多为τ。更准确地说，对手可以在所有阶段调度其损坏的节点，以防止N成功地与t个不同的节点建立会话，或者最大化阶段的数量。通过（τ，2τ + 1）-可达性假设，对于来自对手的任何这样的调度，存在从N可达的t个节点。因此，协议NDP3最终将允许这样的节点与N建立会话，而不管对手这证明了NDP3的安全性。在下文中，我们通过计算jmax的上限来完成NDP3的性能分析。我们说N的邻居Ni在阶段j被破坏，如果存在阶段索引jJ≤j，使得在阶段jJ中从节点Ni转发到节点N的身份的数量小于tjJ。然后，我们将由攻击者根据阶段j的长度进行计算的节点的数量表示为Cornodj，并定义No t Y etco r j a s τ-C orn odj;其中，N otYetCorj表示在阶段j结束后仍可能被攻击者破坏的节点的数量。由于我们认为简单的查询-应答交互足以在任何两个通信方之间建立会话，因此通过转发沿着图的查询-回复交互，有可能使N与从N可到达的t个节点中的任何一个建立会话。因此，协议返回N与其建立会话的节点的至少t个不同ID我们在这里做的关键观察是，在第j个阶段，要么对手破坏了集合NSy，j中N的至少一半邻居，要么N能够成功地52G. Di Crescenzo/Electronic Notes in Theoretical Computer Science 171（2007）43这是一个很好的机会，因为它已经离开了我的工作。 这意味着当nj≥2时，Not Y et C o r j ≤ NotYetCorj−1/2或Idnumj≤Idnumj−1/2。由于索引为jmax的最后一个相位发生在Idnumjmax= 0时，通过后面的观察，并通过回忆N otY etCor1=τ和Idnum1=t，我们得到jmax≤logτ +2。我们注意到，协议NDP3基于比协议NDP1弱的拓扑假设。然后我们注意到，关于NDP2 ， 协 议 NDP3 仅 适 度 地 增 加 了 发 起 者 轮 的 数 量 （ 即 ， 从 O （ 1 ） 到 O（logτ）），但是它显著地减少了发起者请求的数量（即，从O（τ2）到O（τlogτ））。4应用：安全的客户端-服务器架构分布式网络的一个有趣的研究问题是客户机-服务器体系结构的设计和这个问题已经在不同的研究领域，包括分布式系统，对等网络等，在本文中，为了通用性，我们考虑了以下，非常抽象的版本：在ad-hoc网络中，我们希望实现一个架构，或一组协议，允许用户提供和接收不同类型的服务;网络中的任何节点可能能够或不能够提供一些或所有期望的服务（出一组给定的服务），我们希望网络中的任何节点能够，在任何时候，从网络中的其它部分请求给定服务;这涉及找到网络中提供给定服务的节点并从它们获得该服务。请求和提供服务的过程被抽象为任意两方之间的简单查询-应答交互。在这样的客户端-服务器架构中存在若干安全问题。 在最强（已知）的攻击，拜占庭攻击的情况下，我们考虑一个对手，可以腐败（有限数量的）党和任意修改他们的行为。在ad-hoc网络的情况下，这种能力进一步增加，因为对手甚至可以选择移动被破坏的一方，从而修改网络拓扑，或者复制该方的计算设备，从而有效地在客户端-服务器架构内的协议的上下文中，破坏节点的对手可以以几种方式破坏协议的执行：它可以阻止服务从其他节点路由到请求发起者（例如，通过拒绝提供从服务器到发起者的消息的正确路由），它可以拒绝响应发起者或者它甚至可以响应，但仍然提供不正确的服务。在接下来的两个小节中，我们概述了两个安全的客户端-服务器架构的建议，都基于通用的安全节点发现协议。第一个是基于非对称密码学的，并且与[7]中提出的架构有关，然而，该架构解决了更具体的客户端-服务器架构问题（我们的架构使用任何通用的安全节点发现协议，并且可以用于改进[7]中特定问题的架构）。第二个是新的G. Di Crescenzo/Electronic Notes in Theoretical Computer Science 171（2007）4353并且唯一地基于对称密码学，因此导致更加高效的体系结构。在这两种解决方案中，为了简单起见，我们假设所有节点都可以充当服务器并提供特定请求发起者所请求的服务;只有一些节点能够提供所请求的服务的情况的扩展可以很容易地处理，并且由于缺乏空间而被省略。一种使用非对称加密的安全客户端-服务器体系结构。此架构使用以下工具：(i) ·安全节点发现协议，例如第3节中的那些，其中任何发起者节点都可以发现t=2τ + 1个节点，其中τ是被对手破坏的参与方(ii) 一个可验证的身份绑定签名方案[6]，基于物理上唯一的和密码学上可验证的标识符[10，9]，允许任何节点使用不可伪造地链接到节点ID的签名来(iii) ad-hoc网络上的门限签名方案[5，6]，允许任何节点收集相同消息的2τ + 1个部分签名，这些签名可以组合成单个签名，即使τ签名是由对手生成上述工具组合在一个安全的客户端-服务器架构中，如下所示。服务请求发起者启动安全节点发现协议，其中它尝试发现2τ + 1个服务器并将其服务请求转发给它们。被发现的服务器计算服务应答消息并对其进行两次签名：第一，使用门限签名方案的部分签名，以保证服务应答不能被中间节点修改，中间节点将应答路由到发起者;第二，使用可验证ID绑定签名方案，以保证服务和服务器ID之间的匹配这种架构的吸引人的属性包括：针对自适应对手的安全性（如果这种类型的安全性由阈值签名享有，如[6]中所述，并且由于第3节中的安全节点发现协议也享有这种类型的安全性的事实）;不需要认证机构（例如，不需要公钥基础设施，由于可验证ID绑定签名方案的属性）;弱化的拓扑假设（由于第3节中的安全节点发现协议的模拟属性）;服务不可否认性和短节点使用对称加密的安全客户端-服务器体系结构。此架构使用以下工具：(i) ·安全节点发现协议，例如第3节中的那些，其中任何发起者节点都可以发现t=2τ + 1个节点，其中τ是被对手破坏的参与方(ii) 一种基于服务器的2-会议密钥分发方案[1]，允许一个在线权威机构将私钥分发给进入网络的所有各方，使得任何2方都可以计算共享私钥，只有给定他们的身份，54G. Di Crescenzo/Electronic Notes in Theoretical Computer Science 171（2007）43对其他人来说都是随机的(iii) 消息认证方案（MAC）。上述工具组合在一个安全的客户端-服务器架构中，如下所示。服务请求发起者启动安全节点发现协议，其中它尝试发现2τ + 1个服务器并将其服务请求转发给它们。在该协议期间，在两个节点N1和N2之间发送的请求和应答使用MAC算法和由N1和N2共享的密钥进行认证，其中交换这两方的身份的责任（无论何时它们不是邻居）是任何中间节点。被发现的服务器计算服务应答消息并使用MAC算法对其进行认证，其中所使用的密钥是请求发起者和特定服务器共享的密钥。这既是将回复链接到计算它的服务器的ID的一种方式，也是作为阈值MAC的组成部分的部分MAC，因为接收多个MAC的发起者可以实现它们的阈值验证。此外，这些消息再次由中间路由节点通过使用具有由特定路由节点和请求发起者共享的密钥的MAC算法进行该架构的吸引人的特性包括：针对自适应对手的安全性（如果阈值签名享有这种类型的安全性，如[6]中所述，并且由于第3节中的安全节点发现协议也享有这种类型的安全性的事实）;弱化的拓扑假设（由于第3节中的安全节点发现协议的模拟特性）;以及更大的时间效率，这是由于对称密码原语的高得多的效率免责声明。 本文件所载的观点和结论是作者的观点和结论，不得解释为代表官方政策，无论是明示或暗示，陆军研究实验室或美国。政府的引用[1] C. Blundo，A. De Santis，A. Herzberg，S.库滕大学Vaccaro和M.杨明，动态会议中的完全安全密钥分配，[2] R. B.博巴湖Gligor和W. Arbaugh，自举安全协会在移动局域网中，在系统研究所，ISR技术报告2002-44，2002年5月[3] Y. Desmedt和Y.林志玲，林志玲，林志玲[4] Y. Desmedt，Threshold Cryptography，European Trans.电信，卷。5，n.1994年4月[5] G.迪克雷森索河Ge和G. Arce，Threshold Cryptography over Mobile Ad-Hoc Networks，in Proc. ofSCN[6] G.迪克雷森索河Ge和G. Arce，移动Ad-Hoc网络上阈值加密的改进拓扑假设，2005年ACM研讨会论文集，Ad-Hoc和传感器网络安全，ACM出版社，2005年。[7] G. 迪 克 雷 森 索 河 Ge和 G.Arce， 针 对 拜 占 庭 对 手 保 护 rSerPool， 在 IEEE Journal on Selected Areas ofCommunication，2006年。[8] R. Gennaro，S. Jarecki，H. Krawczyk和T. Rabin，基于离散日志的密码系统，Proc.of Eurocrypt 99，LNCS，Springer-Verlag，1999.[9] G. Montenegro 和 C. Castelluccia ， Statistically unique and Cryptographically Verifiable （ SUCV ）Identifier and Identizer，2002年NDSS会议论文集。G. Di Crescenzo/Electronic Notes in Theoretical Computer Science 171（2007）4355[10] G. O'Shea和M. Roe，Child-Proof Authentication for MIPv6，ACM Computer CommunicationReview，2001年4月。[11]T.陈文生，一种无可信方的门限密码体制，《欧洲密码学学报》，[12] L. Zhou和Z.J. 哈斯安全的Ad-Hoc网络，在IEEE网络杂志，卷。13，no.6，1999.