Authentification in wireless mesh networks with identity-based cryptography

par Aymen Boudguiga

Thèse de doctorat en Télécommunications

Sous la direction de Maryline Laurent.

  • Titre traduit

    Authentification dans les réseaux maillés sans fils avec la cryptographie basée sur l’identité


  • Résumé

    De nos jours, l'authentification dans les réseaux maillés sans fils fait appel aux certificats ou aux secrets partagés. Dans les environnements sans fils, la gestion des certificats est désavantageuse. En effet, les certificats nécessitent le déploiement d'une infrastructure à clés publiques (ICP) et la définition d'une autorité de certification (AC). La AC définit toute une politique qui permet de contrôler la génération, la transmission et la révocation des certificats. Cette politique ne prend pas en considération les limites en termes de puissance et de mémoire que peuvent avoir les stations des clients dans un réseau maillé. Afin de ne pas utiliser les certificats et ne pas déployer une ICP, nous avons étudié dans cette thèse les utilisations possibles de la cryptographie basée sur l’identité (CBI) pour la définition de nouveaux schémas d’authentification pour les réseaux maillés sans fils. La CBI propose de dériver, directement, la clé publique d’une station à partir de son identité. Par conséquent, nous n’avons plus besoin de passer par des certificats pour associer l’identité de la station à sa paire de clés (publique et privée). Par contre, la CBI définit un générateur de clé privée (GCP) qui gère le calcul des clés privées des différentes stations sur le réseau. Par conséquent, ce GCP est capable de réaliser une attaque d’usurpation d’identité (escroc de clés) à l’encontre de toutes les stations légitimes. Pour diminuer le risque de cette attaque, les chercheurs ont tendance à supposer que le GCP est digne de confiance. Dans cette thèse, nous présentons tout d'abord un protocole d'authentification basée sur l’utilisation conjointe d’un mot de passe et de la CBI. En effet, nous proposons d'utiliser le serveur d’authentification de notre réseau maillé comme GCP. Ensuite, nous étudions une liste de mécanismes qui permettent de contrer l’attaque de l’escroc qui caractérise le GCP


  • Résumé

    Nowadays, authentication in Wireless Mesh Networks (WMNs) refers to IEEE802.1X standard authentication methods or a pre-shared key authentication, and makes use of certificates or shared secrets. In wireless environments, management of certificates is disadvantageous. Certificates require deploying a Public Key Infrastructure (PKI) and a Certification Authority (CA). The CA defines a certificate management policy to control the generation, transmission and revocation of certificates. Management of certificates is a cumbersome task and does not match the limited (power and memory) resources available at wireless nodes. Moreover, it does not match the non permanent connectivity to the CA. In order to get rid of PKI disadvantages, we investigate in this thesis; the use of ID-Based Cryptography (IBC) for authentication in WMNs. IBC proposes to derive an entity public key from its identity directly. As such, IBC avoids the deployment of the PKI and the CA. IBC relies on a Private Key Generator (PKG) for the computation of stations private keys. As such, the PKG is able to impersonate as any station by illegally generating signature or deciphering encrypted traffic. For mitigating that Key Escrow Attack (KEA), a strong assumption is usually made necessary that the PKG is a trustworthy entity. In this thesis, we first present an ID-Based Password Authentication Protocol (IBPAP) that relies on IBC and a shared secret to authenticate mesh station to the network Authentication Server (AS). We propose to use the AS as a PKG. As such, the AS generates the ID-based private key of the supplicant station at the end of a successful authentication. Meanwhile, the supplicant station uses the shared secret to authenticate the AS and its ID-based public parameters. The latter are needed for the good usage of ID-based signature and encryption algorithms. Second, we propose a Key Escrow Resistant ID-Based Authentication Protocol (KERIBAP). That is, we make each supplicant station participate to the generation of its ID-based private key. We show how to change the existing ID-based signature and encryption algorithms to take into consideration the new format of private keys. We discuss also the possibility of distributing the private key generation between a set of ASs in order to avoid the key escrow attack. We verify that our authentication protocols are all secure in the formal model using the protocol verification tool ProVerif. In addition, we discuss their security resistance to some well-known attacks such as replay, collision and denial of service attacks. Finally, we propose some implementation results to confirm IBC advantages compared to PKI. We show how IBC usage reduces the memory consumption of stations


Le texte intégral de cette thèse n'est pas accessible en ligne.
Il est disponible au sein de la bibliothèque de l'établissement de soutenance.

Consulter en bibliothèque

La version de soutenance existe

Où se trouve cette thèse ?

  • Bibliothèque : Télécom SudParis & Télécom Ecole de Management. Médiathèque.
Voir dans le Sudoc, catalogue collectif des bibliothèques de l'enseignement supérieur et de la recherche.