鄭曉麗， 姜迪剛

（軍事體育進(jìn)修學(xué)院，廣東 廣州 510500）

0 引言

由于移動通信系統(tǒng)越來越多地使用IP通信技術(shù)，未來的移動通信系統(tǒng)必然朝著全I(xiàn)P網(wǎng)絡(luò)方向發(fā)展，而移動IP技術(shù)為未來的全 IP移動通信系統(tǒng)提供了一個標(biāo)準(zhǔn)的全球移動性解決方案。移動IP協(xié)議在實際應(yīng)用中，實現(xiàn)主機(jī)移動性的同時，也帶來了潛在的安全問題。為了保障移動IP在實際注冊過程中的安全，國內(nèi)外專家已提出多種移動IP注冊協(xié)議，其中無證書公鑰技術(shù)更適合IPv6[1]環(huán)境下的注冊認(rèn)證[2-3]，現(xiàn)提出一種新的接入注冊技術(shù)，采用移動IPv6，IPSec相融合的安全體系，來完成用戶的注冊與認(rèn)證[4]。

1 無證書的簽名方案

一個無證書簽名方案一般由七個算法組成：系統(tǒng)初始化、部分私鑰提取、秘密值生成、公鑰生成、私鑰生成、簽名和驗證。

1.1 系統(tǒng)初始化

輸入安全參數(shù)k，KGC運(yùn)行算法：輸出〈G1, G2, e〉，其中G1和G2是兩個q階循環(huán)群，e:G1×G2→G2是一個雙線性映射。選擇一個隨機(jī)數(shù)s∈和G1的一個生成元P∈G1。計算Ppub=sP和g=e (P,P)。選擇三個密碼學(xué)哈希函數(shù)H1:{0,1}*→，

公開系統(tǒng)參數(shù)params=〈G1, G2, e, q, g, P, Ppub, H1, H2,H3〉。消息空間為M={0,1}*。系統(tǒng)主密鑰master-key為s∈。

1.2 部分私鑰提取

KGC在證實了用戶A的身份后，輸入系統(tǒng)參數(shù)params、主密鑰 master-key和一個用戶 A的身份標(biāo)識符 IDA，IDA∈{0,1}*，計算qA=H1(IDA)∈G1并返回用戶A的部分私鑰DA= ( s + qA)-1P∈G1，然后將DA通過安全信道傳送給用戶A。

1.3 秘密值生成

輸入用戶A的身份標(biāo)識符IDA和安全參數(shù)k，輸出一個隨機(jī)數(shù)xA∈作為用戶A的秘密值。該算法由用戶A運(yùn)行。

1.4 公鑰生成

輸入系統(tǒng)參數(shù) params和秘密值 xA，計算QA=Ppub+H1(IDA)P∈G1和RA=xAQA∈G1，并返回用戶A 的公鑰PKA=RA∈G1。該算法由用戶A運(yùn)行。

1.5 私鑰生成

輸入用戶A的秘密值xA、公鑰RA和部分私鑰DA，計算yA=H2(RA)∈ Z?q和SA= ( xA+ yA)-1DA∈G1，并返回用戶A的私鑰SKA=SA。該算法由用戶A運(yùn)行。

1.6 簽名

輸入消息明文m∈M、簽名者身份IDA、私鑰SA及系統(tǒng)參數(shù)params，該算法運(yùn)行如下：選擇一個隨機(jī)數(shù)r∈；計算 U=gr=e(P,P)r；設(shè) h=H3(m, U) ∈；計算V=(r+h)SA；返回σ=(U,V)作為簽名者A對m的簽名。

1.7 驗證

輸入消息m、簽名σ、簽名者身份IDA、公鑰RA及系統(tǒng)參數(shù)params，若簽名被驗證通過則輸出“1”，否則輸出“0”。

① 計算 QA=(s+qA)P=Ppub+H1(IDA)P，yA=H2(RA)及h=H3(m, U);

② 檢查e (V, RA+ yAQA) = Ugh是否成立。如果等式成立，驗證者輸出“1”，否則輸出“0”。

該CLS方案滿足完整性如下：

e (V, RA+ yAQA) = e ((r + h) SA, xA(Ppub+ qAP) + yA(Ppub+((r + h)P, P) = e (P, P)r+h= Ugh,該簽名方案的安全性證明將歸約到k-CAA問題和群上的CDH問題，可以得出該簽名方案在隨機(jī)預(yù)言模型下是安全的。

2 協(xié)議的仿真設(shè)計

現(xiàn)所提出的協(xié)議，著重考慮現(xiàn)有IPSec協(xié)議的不足，通過將無證書公鑰技術(shù)融入 IKEv2協(xié)議，形成了一種新型的IPSec接入認(rèn)證方法，實現(xiàn)了在移動Ipv6網(wǎng)絡(luò)環(huán)境下移動節(jié)點MN對代理的安全注冊。

2.1 MN與HA的認(rèn)證過程設(shè)計

MN與HA的認(rèn)證過程執(zhí)行如下步驟：步驟1 MN發(fā)送向HA注冊的IKE/SA初始化消息。

當(dāng)MN開機(jī)后檢測到HA時，選擇隨機(jī)數(shù)Ni，發(fā)送向HA注冊的IKE/SA初始化消息{IDMN，Ni，SAi1，KEi}||SigMN。

IDMN為MN的身份標(biāo)識。

MN的公鑰RMN由MN本地計算得出，并發(fā)送給KGC保管。本協(xié)議用無證書方式簽名，與MN通信的HA需向KGC提交申請獲取RMN。MN的部分私鑰由存在于MN與HA之間信任的KGC通過秘密通道傳送給MN。

SAi1，可供選擇的IKE/SA算法提議，表示發(fā)起方MN所支持的密碼算法列表。

KEi，發(fā)起方MN的Diffie-Hellman密鑰交換參數(shù)。

MN對所傳遞的消息簽名，并以MN的家鄉(xiāng)地址為源地址將IKE/SA初始化消息發(fā)送給HA，即可實現(xiàn)對HA的注冊。

步驟2 HA對收到的消息驗證后，向MN發(fā)送IKE/SA響應(yīng)消息。HA收到消息后，對IDMN和所收到消息的簽名SigMN進(jìn)行驗證，驗證后HA選擇隨機(jī)數(shù)Nr，向移動節(jié)點MN發(fā)送消息{IDHA，Ni，Nr，SAr1，KEr}||SigHA。其中SAr1，響應(yīng)方HA選擇的IKE/SA算法，該算法為最終建立的IKE/SA所使用的算法，IDMN為MN的身份標(biāo)識。KEr，響應(yīng)方HA的Diffie-Hellman密鑰交換參數(shù)。步驟1和步驟2完成后，不僅實現(xiàn)了MN對HA的注冊，而且還基于DH密鑰交換協(xié)議創(chuàng)建了密鑰交換安全關(guān)聯(lián)IKE/SA，用于保護(hù)之后創(chuàng)建MIPSec/SA的消息。

步驟3 MN對收到的消息驗證后，向HA發(fā)送IKE/AUTH初始消息。MN收到消息后，對IDHA和消息簽名SigHA驗證后，通過KEr計算出與HA之間的共享密鑰SK，用該共享密鑰SK加密消息{IDMN，AUTH，SAi2，SAis}后，發(fā)送給HA，用于創(chuàng)建IPSec/SAMN-HA和SAH/SAMN-HA。AUTH為認(rèn)證載荷，由IKE/SA生成的消息認(rèn)證碼。SAi2為可供選擇的MIPSec/SA算法提議，表示發(fā)起方MN所支持的密碼算法列表。SAis為可供選擇的源接入認(rèn)證安全關(guān)聯(lián)SAH/SA提議，表示MN支持的可用于源接入認(rèn)證的密碼算法列表。

步驟4 HA對收到的消息驗證后，向HA發(fā)送IKE/AUTH響應(yīng)消息。HA對收到的加密消息用共享密鑰SK解密，對AUTH驗證后，用SK加密消息{IDHA，AUTH，SAr2，SArs}，發(fā)送給MN。其中SAr2為響應(yīng)方HA選擇的MIPSec/SA算法，該算法為最終建立的MIPSec/SA所使用的算法。SArs，響應(yīng)方HA選擇的SAH/SA算法，該算法為最終建立的SAH/SA所使用的算法。該消息達(dá)到MN并驗證通過后，就完成了整個接入認(rèn)證過程。在該過程中，不但完成了MN向HA的注冊，而且同時建立了用于保護(hù)MN到HA的消息的MIPSec/SA和源接入認(rèn)證安全關(guān)聯(lián)SAH/SA。這樣，通過一次認(rèn)證就能實現(xiàn)兩類SA的創(chuàng)建。當(dāng)SA的生存期限到期或者M(jìn)N離開HA時，SA自動銷毀。

2.2 MN與FA的認(rèn)證過程設(shè)計（其中包括MN向家鄉(xiāng)代理的綁定更新）

MN與FA的認(rèn)證過程執(zhí)行如下步驟：

步驟1 MN發(fā)送向FA注冊的IKE/SA初始化消息。當(dāng)MN開機(jī)后檢測到FA時，選擇隨機(jī)數(shù)Ni，發(fā)送向FA注冊的IKE/SA初始化消息{IDMN，HoAMN，CoAMN，Ni，SAi1，KEi}||SigMN。MN對所傳遞的消息簽名，并以MN的家鄉(xiāng)地址為源地址將IKE/SA初始化消息發(fā)送給FA，即可實現(xiàn)對FA的注冊。該消息中，HoAMN是MN的家鄉(xiāng)地址，CoAMN是MN的轉(zhuǎn)交地址。MN對該消息簽名后，實現(xiàn)了MN的轉(zhuǎn)交地址CoAMN和家鄉(xiāng)地址HoAMN綁定。

步驟2 FA對收到的消息驗證后，向MN發(fā)送IKE/SA響應(yīng)消息。FA收到消息后，對IDMN和所收到消息的簽名SigMN進(jìn)行驗證，驗證后FA將HoAMN與CoAMN綁定緩存，選擇隨機(jī)數(shù)Nr，向移動節(jié)點MN發(fā)送消息{IDFA，Ni，Nr，SAr1，KEr}||SigFA。

步驟1和步驟2完成后，不僅實現(xiàn)了MN對FA的注冊，而且還基于DH密鑰交換協(xié)議創(chuàng)建了密鑰交換安全關(guān)聯(lián)IKE/SA，用于保護(hù)之后創(chuàng)建MIPSec/SA的消息。

步驟3 MN對收到的消息驗證后，向LA發(fā)送IKE/AUTH初始消息。MN收到消息后，對IDFA和所收到消息的簽名SigLA驗證后，通過KEr計算出與FA之間的共享密鑰SK，用該共享密鑰SK加密消息{IDMN，AUTH，SAi2，SAis}后，發(fā)送給FA，用于創(chuàng)建IPSec/SAMN-FA和SAH/SAMN-FA。SAis的含義與MN在家鄉(xiāng)網(wǎng)絡(luò)注冊時步驟3中的SAis的說明一致。SAH/SAMN-FA的建立使得MN無法偽造或重放數(shù)據(jù)包。

步驟4 FA對收到的消息驗證后，向MN發(fā)送IKE/AUTH響應(yīng)消息。FA對收到的加密消息用共享密鑰SK解密，對AUTH驗證后，用SK加密消息{IDFA，AUTH，SAr2，SArs}，發(fā)送給MN；步驟4完成后，不但完成了MN向FA的注冊，而且同時建立了用于保護(hù)MN到LA的消息的MIPSec/SA和SAH/SA。這樣，通過一次認(rèn)證就能實現(xiàn)兩類SA的創(chuàng)建。當(dāng)SA的生存期限到期或者M(jìn)N離開HA時，SA自動銷毀。

步驟5 MN向HA發(fā)送快速綁定更新消息FBU。MN注冊完成后向HA發(fā)送快速綁定更新消息FBU，F(xiàn)BU用MIPSec/SAMN-HA來保護(hù)，實現(xiàn)家鄉(xiāng)地址HoAMN與轉(zhuǎn)交地址CoAMN對家鄉(xiāng)代理HA的綁定。

步驟6 HA向MN返回綁定確認(rèn)消息Back，完成注冊過程。成功注冊后，雙方之間的通信即可套用IPSec協(xié)議。

3 安全性分析

3.1 假冒攻擊

敵手若想要冒充MN與HA進(jìn)行通信，首先必須向KGC申請得到HA的公鑰RHA，顯然敵手不可能得到RHA，即無法冒充MN；同理，敵手也不能冒充HA與MN進(jìn)行通信。

3.2 完整性保護(hù)

IPSec中的IKEv2協(xié)議本身就對消息的完整性進(jìn)行了保護(hù)，此協(xié)議中并沒有改動其對完整性的保護(hù)。

3.3 惡意攻擊

通過確保節(jié)點之間消息的完整性，可以防止惡意攻擊。這個可以通過消息認(rèn)證碼和哈希函數(shù)來實現(xiàn)。

3.4 中間人攻擊

通過在移動實體之間采用認(rèn)證機(jī)制可以抵御中間人攻擊。

3.5 重放攻擊

如果一個攻擊者重放一個以前被HA成功接收過的注冊請求消息，由于這個請求消息里面舊的nonce不等于HA端目前保存的nonce，所以HA將會拒絕這個注冊請求消息。同理，NMN能夠為注冊回復(fù)消息提供重放保護(hù)。如果一個攻擊者從一些以前成功運(yùn)行的注冊過程中選擇按次序重放一個有效的注冊請求消息和之對應(yīng)的回復(fù)消息給 FA，由于這里的協(xié)議在注冊消息中使用了FA的nonce隨機(jī)數(shù)NFA，那么FA通過查看將會發(fā)現(xiàn)這兩個注冊消息中的NFA不同于FA在最近一次代理廣播中發(fā)送的nonce，所以攻擊者不能欺騙FA，從而免費使用外地網(wǎng)絡(luò)的資源。因此，包含NFA、NMN和NHA的注冊消息能夠抵制所有的重放攻擊。

3.6 保密性

在IKE第二次交換過程中會生成共享密鑰SK，保證了雙方通信內(nèi)容的可靠性。

3.7 一次注冊后密鑰的安全分發(fā)

由于密鑰是在MN本地產(chǎn)生，除MN自己任何第三方都無法獲取此密鑰，所以密鑰是絕對保密的。

4 結(jié)語

針對 IPSec協(xié)議對移動 IPv6網(wǎng)絡(luò)安全保護(hù)所存在的不足，在IPSec安全體系之上加入了無證書公鑰密碼體制來管理密鑰，加強(qiáng)了IPSec的可行性，改善了其不足，綜合設(shè)計出了一種新的接入認(rèn)證方法，并討論了此協(xié)議的安全性。

[1] JOHNSON D, PERKINS C, ARKKO J. Mobility Support in IPv6 [DB/OL].(2007-01-20)[2009-09-21]. http：//rfc.sunsite.dk/ rfc/rfc 3775.html.

[2] CHOI K Y, PARK J H, HWANG J Y, et al. Efficient Certificateless Signature Schemes[C]// Katz J. LNCS 4521： ACNS 2007. Berlin：Springer-Verlag, 2007：443-458.

[3] ZHANG L, ZHANG F T, ZHANG F G. New efficient certificateless signature scheme[C]// Denko M. LNCS 4809： EUC Workshops 2007.Berlin： Springer-Verlag, 2007：692-703.

[4] 藺萌,陳樂然,劉正軍.WCDMA系統(tǒng)安全機(jī)制研究[J].通信技術(shù),2007,40(04)：51-53.