嚴 琳，盧 忱，張啟云

(武警工程大學 研究生管理大隊，陜西 西安710086)

微波存取全球互通(Worldwide Interoperability for Microwave Access，WiMAX)融合了無線、寬帶和移動3大特點，可作為線纜和DSL的無線擴展技術(shù)，用于將802.11無線接入熱點連接到互聯(lián)網(wǎng)，也可連接公司與家庭等環(huán)境至有線骨干線路，從而實現(xiàn)“最后一公里”的無線寬帶接入。

由于無線傳輸介質(zhì)的開放性，WiMAX技術(shù)自提出之初，其安全問題就成為其能否成功商用和可運營的關(guān)鍵。無線網(wǎng)絡(luò)的安全威脅包括網(wǎng)絡(luò)竊聽、未經(jīng)授權(quán)使用服務(wù)、拒絕服務(wù)(Denial of Service，DoS)攻擊、非法基站、非法篡改數(shù)據(jù)和重放攻擊等。鑒于上述安全威脅，WiMAX安全技術(shù)的重點是用戶及設(shè)備的身份鑒權(quán)及授權(quán)、數(shù)據(jù)的保密性和數(shù)據(jù)的完整性保護等方面，以保證網(wǎng)絡(luò)資源的合法使用。

為此，本文提出了一種更高效、更安全、基于橢圓曲線公鑰密碼體制［1－5］(Elliptic Curve Cryptography，ECC)的認證和授權(quán)方法。

1 ECC數(shù)學基礎(chǔ)

1.1 橢圓曲線

設(shè)K為一個給定域，橢圓曲線E由下述Weierstrass方程定義

其中，a1，a2，a3，a4，a5，a6∈K且Δ≠0，Δ是E的判別式，具體定義如下

若L是K的擴域，則E上的L有理點數(shù)的集合是有理數(shù)點的集合:

橢圓曲線上的兩點可以進行點加運算。具體的群運算規(guī)則如下:(1)單位元。對于所有的P=(x，y)∈E(K)，P+O=O+P=P。(2)負元素。若P=(x，y)∈E(K)，則(x，y)+(x，－y)=O。記點(x，－y)為－P，稱其為P的負。－P也是E(K)上的一個點，且－O=O。(3)點加。令P=(x1，y1)∈E(K)，Q=(x2，y2)∈E(K)，P≠±Q，則P+Q=(x3，y3)。其中(4)倍點。令P=(x1，y1)∈E(K)，P≠－P，則2P=(x3，y3)。其中。

1.2 橢圓曲線離散對數(shù)問題ECDLP

討論橢圓曲線上的點乘運算kP，其中，k為一個整數(shù);P為定義在域GF(q)上的橢圓曲線E上的一個點;階為n，k∈［0，n－1］。ECDLP是已知Q=kP，則稱求解k為Q的基于P的離散對數(shù)問題，表示為k=logPQ。合理選取橢圓曲線參數(shù)，有效防止各種攻擊，這樣的ECDLP才會被認為相對于現(xiàn)在的計算水平是難解的。橢圓離散對數(shù)問題是構(gòu)造橢圓曲線密碼ECC的數(shù)學基礎(chǔ)。

2 WiMAX認證授權(quán)機制分析

認證與授權(quán)是實現(xiàn)對用戶進行授權(quán)的一個基礎(chǔ)，只有通過認證的合法設(shè)備和用戶，才被允許接入網(wǎng)絡(luò)，使用網(wǎng)絡(luò)資源，訪問網(wǎng)絡(luò)提供的服務(wù)。

2.1 WiMAX認證授權(quán)機制

WiMAX主要有802.16d和802.16e兩個版本，其安全策略集中體現(xiàn)在支持固定接入的802.16d和支持移動接入的802.16e兩個標準的安全子層中。802.16［6］系列標準采用“X.509公鑰證書+RSA公鑰加密算法”的接入認證方法，來確認接入者的合法身份，及保護用戶站SS和基站BS之間的密鑰交換。

圖2是基于RSA的WiMAX接入鑒權(quán)和授權(quán)的全過程。整個鑒權(quán)認證和授權(quán)的工作過程描述如下［7］:(1)當SS與BS建立無線連接時，SS將自己的數(shù)字證書傳給BS。(2)BS檢驗SS的證書的有效性。(3)如果證書鑒權(quán)成功，則BS通過證書提供的公鑰使用RSA算法加密授權(quán)密鑰AK，然后傳遞給SS;如果不成功，BS拒絕SS的接入請求。(4)SS用自己的RSA私鑰解密便可以獲得AK。認證和授權(quán)結(jié)束。

圖1 基于RSA的接入鑒權(quán)和授權(quán)過程示意圖

2.2 WiMAX安全策略存在的問題

從WiMAX的接入鑒權(quán)和授權(quán)的全過程中可以看出存在以下問題:(1)存在中間人攻擊的危險。在RSA認證中，BS可以認證SS的身份，而SS不能反向認證BS的身份，只能無條件地信任BS。攻擊者可以利用這一點使用相關(guān)設(shè)備冒充合法BS，對SS發(fā)起中間人MITM攻擊。(2)RSA存在一定的局限性。RSA公鑰加密算法安全性是基于大整數(shù)分解的困難性。但小于1 024位的N已經(jīng)被證明是不安全的，而且由于RSA算法進行的都是大數(shù)計算，使得RSA最快的情況也比DES慢幾倍，因此，計算量過大、密鑰長度過長是RSA公鑰算法最大的缺陷，通常只能用于加密少量數(shù)據(jù)或者加密密鑰。

考慮到IEEE 802.16系列標準安全框架使用的RSA算法運算量過大、密鑰較長等缺陷，本文旨在提供一種基于橢圓曲線公鑰密碼的WiMAX接入認證方法，作為先有基于RSA公鑰的WiMAX補充接入認證的補充。

3 基于ECC的接入認證方法

3.1 橢圓曲線公鑰密碼體制

1985年，N.Koblitz和V.Miller將橢圓曲線引入密碼學，成為構(gòu)造雙鑰密碼體制的一個有力工具，提出了基于橢圓曲線的公鑰密碼機制ECC(Elliptic Curves Cryptosystem)，它是建立在基于橢圓曲線離散對數(shù)問題(ECDLP)的一種非對稱密碼安全體制，具有密鑰短小、運算速度快等優(yōu)點。160 bit長的密鑰所具有的安全性和密鑰長度1 024 bit的RSA算法所具有的安全性相當［8］。這適合那些存儲空間及處理能力有限的設(shè)備，尤其適用于智能卡。

表1 同等安全強度下，ECC和RSA密鑰長度之比較

作為一種公鑰密碼，橢圓曲線密碼不僅有較好的安全性，而且利用橢圓曲線離散對數(shù)問題可以同時構(gòu)造3種基本形式的公鑰體制，即公鑰加密體制、密鑰交換協(xié)議和數(shù)字簽名方案等。

3.2 認證授權(quán)過程改進

前文中提到，WiMAX安全策略集中體現(xiàn)在802.16標準的安全子層中。本方法就是在安全子層中增加一種基于橢圓曲線ECC的WiMAX接入認證方法，作為現(xiàn)有基于RSA公鑰的WiMAX補充接入認證補充，體現(xiàn)在鑒權(quán)認證過程中就是用ECC加密算法替代RSA加密算法。此外，本設(shè)計還根據(jù)802.16標準只能單向認證的實際，在授權(quán)響應中增加了BS的證書，并在其中附加了BS的簽名，實現(xiàn)了SS和BS的之間的雙向認證。

圖2是基于橢圓曲線ECC的WiMAX接入認證和授權(quán)的全過程。整個認證和授權(quán)的工作過程詳細描述如下:(1)SS與BS建立初始無線連接，SS向BS發(fā)送“認證信息消息”，消息中包含SS的X.509數(shù)字證書，該證書由第三方證書權(quán)威機構(gòu)(CA)分配。(2)BS檢驗SS發(fā)送的證書信息。(3)如果證書認證通過，BS向SS發(fā)送“認證信息消息”，消息中包含自身的X.509數(shù)字證書;如果不通過，BS拒絕SS的接入請求。(4)SS檢驗BS發(fā)送的證書信息。(5)如果證書認證通過，SS向BS發(fā)送“授權(quán)請求消息”，請求授權(quán)密鑰AK;如果不通過，SS拒絕接入該BS。(6)BS使用SS證書提供的公鑰和ECC算法加密授權(quán)密鑰AK，在“授權(quán)響應消息”中回送給SS。(7)SS用自己的ECC私鑰解密，從BS處獲得的授權(quán)密鑰AK。至此，鑒權(quán)認證和授權(quán)過程結(jié)束。

圖2 基于橢圓曲線ECC的接入鑒權(quán)和授權(quán)示意圖

3.3 橢圓曲線加密方案設(shè)計

上文描述了接入認證和授權(quán)的過程，其中設(shè)計了用ECC算法代替RSA算法實現(xiàn)對授權(quán)密鑰AK的傳輸。3.3將具體介紹ECC加密的設(shè)計與實現(xiàn)。本設(shè)計為Elgamal［9］算法模擬的橢圓曲線加密與解密方案，是ECC加密在WIMAX認證授權(quán)過程中的直接應用。

ECC加密主要用于BS傳送授權(quán)密鑰AK給SS的過程中對AK進行加密。加密過程如下:

(1)密鑰對的生成。從證書導出橢圓曲線參數(shù)集D={p，a，b，G，n，h}，其中p為一個大素數(shù)，如＞160 bit的素整數(shù)，指定了有限域GF(p);a，b指定橢圓曲線E;G=(xG，yG)∈E(GF(p))為一個基點;素數(shù)n為基點G的階;h=#E(GF(p))/n為協(xié)因子整數(shù);#E(GF(p))表示橢圓曲線點群的階;同時也得到了密鑰對(d，Q)，其中d是私鑰，Q=dG是公鑰。

(2)加密實現(xiàn)。1)將要加密的AK密鑰作為明文，如果AK長度＞n的話就進行分組，如果長度不夠，則在高字節(jié)處填充0。2)將要加密的安全數(shù)據(jù)A轉(zhuǎn)換成橢圓曲線方程上的點的橫坐標xA，計算，Q=p，利用數(shù)論相關(guān)定理及平方剩余判斷算法，判斷大整數(shù)A是否模平方剩余數(shù)。如果A不是模p的平方剩余數(shù)時，則說明xA不是橢圓曲線上的點，即不滿足橢圓曲線方程等式成立。在最低字節(jié)內(nèi)重新選取xA，并重復這個平方剩余算法進行判斷，直到滿足為止。3)根據(jù)明文安全數(shù)據(jù)轉(zhuǎn)換成橢圓曲線點的橫坐標后，利用二次同余方程解的計算法，計算出對應橫坐標xA的縱坐標yA。yA的計算如下:如果p具有2u+1，u為奇數(shù)形式時，即滿足p≡3(mod 4)或p≡7(mod 8)時，橢圓曲線方程的解為yA≡±A((p+1)/4)(mod p);如果p具有4u+1，u為奇數(shù)的形式時，即滿足p≡1(mod 4)或p≡5(mod 8)，如果A((p－1)/4)≡1(mod p)，則yA≡±A((p+3)/8)(mod p);如果A((p－1)/4)≡1(mod p)，則yA≡±2((p－1)/4)·A((p+3)/8)(mod p);完成將安全數(shù)據(jù)編碼為橢圓曲線上的點PA=(yA，yA)。4)對安全數(shù)據(jù)編碼為橢圓曲線上的點后，就可能利用BS私鑰dR和SS公鑰QA對數(shù)據(jù)進行加密運算。加密計算過程為PA+dRQA=PA+dR(dAG)，然后將加密后的授權(quán)密鑰AK在“授權(quán)響應消息”中傳送給BS。5)當BS收到“授權(quán)響應消息后”時，使用其私鑰dA完成如下計算:PA+dR(dAG)－dA(QR)=PA+dR(dAG)－dA(dRG)=PA;6)對解密出的點PA中的橫坐標xA進行解碼處理，然后將該整數(shù)轉(zhuǎn)換成字節(jié)串，即可授權(quán)密鑰AK來。

4 優(yōu)點及安全性分析

改進后的安全策略與原策略相比，具有如下優(yōu)點:(1)在安全性相當?shù)臈l件下可以使用更短，運算速度快，占用空間更小的密鑰。160 bit長的密鑰所具有的安全性和密鑰長度1 024 bit的RSA算法所具有的安全性相當，適合存儲空間及處理能力有限的設(shè)備，尤其適合于智能卡。(2)設(shè)備與基站間的互認證防止中間人攻擊。新方法實現(xiàn)了設(shè)備與基站之間的互認證機制，很好地解決了中間人攻擊的問題。(3)安全性強。橢圓曲線密碼體制式建立在一個不同于大整數(shù)分解及素域乘法群離散對數(shù)問題的數(shù)學難題之上?；诖笳麛?shù)分解及離散對數(shù)的RSA方案，數(shù)學背景狹窄，而橢圓曲線方法在同一個有限域上存在大量不同的橢圓曲線，為安全性增加了額外的保證。

5 結(jié)束語

通過對支持WiMAX的802.16協(xié)議的認證授權(quán)機制進的研究，提出一種基于橢圓曲線密碼的認證授權(quán)方法，對WiMAX接入實施增強安全保護。針對802.16協(xié)議只能單向認證與ECC密鑰長度小、計算速度快等特點，設(shè)計了一個新的認證授權(quán)過程與實時有效的ECC加密算法，使得由該方法實現(xiàn)的認證授權(quán)過程完成了雙向認證，克服了存在中間人攻擊的不足。所設(shè)計ECC算法，相對于802.16標準中給出的RSA算法，速度得到了提高，更適合于一些存儲和計算能力有限的移動終端。

［1］NEAL K.Elliptic curve cryptosystems［J］.Mathematics of Computation，1987，48(5):203－209.

［2］DARREL H，ALFRED M.Guide to elliptic curve cryptography［M］.北京:電子工業(yè)出版社，2005.

［3］ 盧忱.基于橢圓曲線密碼的分組網(wǎng)通信安全與保密［J］.計算機工程，2006(21):133－135.

［4］ 盧忱.有限素整數(shù)域橢圓曲線密碼體制基于代數(shù)幾何快速算法設(shè)計［J］.計算機工程與應用，2002(16):63－65.

［5］ 盧忱.橢圓曲線加密卡設(shè)計與實現(xiàn)［J］.計算機工程與應用，2002(18):165－168.

［6］IEEE.IEEE 802.16e－2005 IEEE standard for local and metropolitan area networks－part 16:air interface for fixed broadband wireless access systems－physicaland medium access control layers for combined fixed and mobile operation in licensed bands［S］.USA:IEEE，2006.

［7］ 張曉宏.WiMAX安全機制［J］.信息技術(shù)與信息化，2011(5):79－81.

［8］ 盧忱.基于橢圓曲線方法的醫(yī)學信息安全與保密研究［D］.西安:西安交通大學，2004.

［9］ 蔣書法，黃伯男.基于橢圓曲線ECELG密碼體制的雙重加密［J］.上海電力學院學報，2011，27(2):204－207.