一種基于AAA證書和身份簽名的混合認(rèn)證方法

蒲志強,馮 山

(1.綿陽師范學(xué)院 信息工程學(xué)院,四川 綿陽 621000;2.四川師范大學(xué) 數(shù)學(xué)與軟件科學(xué)學(xué)院,四川 成都 610066)

一種基于AAA證書和身份簽名的混合認(rèn)證方法

蒲志強1,馮 山2

(1.綿陽師范學(xué)院 信息工程學(xué)院,四川 綿陽 621000;2.四川師范大學(xué) 數(shù)學(xué)與軟件科學(xué)學(xué)院,四川 成都 610066)

基于移動IPv6結(jié)合證書認(rèn)證和身份簽名認(rèn)證,對移動節(jié)點安全提出一種快速、低成本和擴展性好的混合認(rèn)證方法.該方法綜合證書認(rèn)證和身份簽名認(rèn)證的優(yōu)點,在認(rèn)證過程中不完全依賴于可信第三方的安全認(rèn)證,能夠?qū)崿F(xiàn)移動節(jié)點與接入網(wǎng)絡(luò)的雙向認(rèn)證.并用BAN邏輯方法對提出的改進方法進行了分析,結(jié)果表明該方法提高了移動節(jié)點的認(rèn)證效率.

移動IPv6; 移動節(jié)點; 混合認(rèn)證方法; BAN邏輯方法

在移動IPv6[1]中基于身份簽名認(rèn)證方法[2]可以避免證書認(rèn)證方案中PKI的部署[3-4],但部署PKI通用可信第三方機構(gòu)(CA)[5-6]難度大、成本高,涉及很多非技術(shù)因素.移動節(jié)點跨域漫游時需要對所有AAA[7]實體的證書進行有效管理,此時CA問題就會變得復(fù)雜.而基于身份簽名認(rèn)證簡化了密鑰的管理,采用網(wǎng)絡(luò)接入標(biāo)識符(NAI)作為用戶的公鑰,使用這種方法有效解決了基于PKI認(rèn)證方法存在的問題,成本低,易實現(xiàn).但基于身份簽名認(rèn)證方法需要預(yù)先共享一組系統(tǒng)參數(shù),因此也限制了該方法的可擴展性.

1 通信實體私鑰及共享系統(tǒng)參數(shù)的產(chǎn)生

為提高認(rèn)證系統(tǒng)的使用效率,對一般的AAA體系結(jié)構(gòu)主要采用隨機數(shù)機制[8]、移動節(jié)點的NAI作為公鑰[9]、使用橢圓曲線簽名[10]算法進行改進.

PKG[11]為私鑰生成中心,負(fù)責(zé)為所屬管理域內(nèi)各實體的公鑰產(chǎn)生相應(yīng)的私鑰.設(shè)私鑰為s(即本系統(tǒng)的私鑰),公鑰PPKG=sp,該管理域內(nèi)共享的系統(tǒng)參數(shù)為〈p,PPKG,H1,H2〉,PKG不參與通信過程.

1) 移動節(jié)點的公鑰為MN@,私鑰為SMN@=sMN@；

2) 訪問域AAA服務(wù)器的公鑰都為AAAv@,PKG生成的私鑰為SAAAv=sAAAv@,證書私鑰為SKAAAv；

3) 家鄉(xiāng)域AAA服務(wù)器的公鑰都為AAAH@,PKG生成的私鑰為SAAAH=sAAAH@,證書私鑰為SKAAAH；

4) 家鄉(xiāng)代理的公鑰為HA@,私鑰為SHA@=sHA@.

移動節(jié)點MN擁有AAAv的公鑰和自己的私鑰.

2 認(rèn)證系統(tǒng)的構(gòu)造

為了實現(xiàn)混合認(rèn)證,系統(tǒng)必須具備如下基本組件：

1) 可信的CA負(fù)責(zé)為每個不同管理域的PKG、AAAv和AAAH頒發(fā)證書；

2) 每個管理域中有一個該管理域中所有通信實體都信任的PKG；

3) 每個管理域中的AAA認(rèn)證服務(wù)器擁有本管理域共享的系統(tǒng)參數(shù)；

4) 除了上述組件以外,通信實體必須可以進行基于身份的簽名運算.

混合認(rèn)證的系統(tǒng)網(wǎng)絡(luò)拓?fù)潢P(guān)系如圖1所示.

3 認(rèn)證過程描述

在身份認(rèn)證和注冊階段,該認(rèn)證方法通過使用基于NAI的密碼體制實現(xiàn)了認(rèn)證.認(rèn)證過程如圖2所示.

實現(xiàn)過程描述：

M1=REG‖{REG}signSMN@,

REG=HoA‖CoA‖MN@‖NMN‖BU.

當(dāng)MN接收到家鄉(xiāng)代理HA代理通告消息并獲得新的轉(zhuǎn)交地址后,產(chǎn)生注冊請求消息REG,包括自己的家鄉(xiāng)地址HoA、新獲得的轉(zhuǎn)交地址CoA、MN@、產(chǎn)生的隨機數(shù)NMN及綁定更新請求BU;然后用自己的私鑰對REG簽名(基于身份簽名認(rèn)證)并和REG一起生成M1發(fā)送給AR.MN用自己的私鑰對REG進行簽名以保證REG消息的真實性和完整性；MN產(chǎn)生的初始隨機數(shù)NMN用于保證傳輸過程中注冊消息的新鮮性.

M2=〈M1-AVP〉.

AR收到M1后,無法驗證MN的身份和驗證注冊請求消息,作為Diameter消息一個AVP封裝在M2消息中并轉(zhuǎn)發(fā)給AAAv.

M3={〈M1‖NAAAv‖CERTAAAv〉-AVP}signAAAH@.

AAAv收到AR發(fā)來的M2消息后,用Diameter協(xié)議解析取出M2中的MN@,對MN@后的域字符串和MN的家鄉(xiāng)地址進行分析,得出MN的家鄉(xiāng)域.如果該MN是本地域的用戶,則直接經(jīng)過AAAv的驗證計算:如果是本地用戶且認(rèn)證成功,則返回肯定的注冊結(jié)果,通知接入路由器AR此MN是合法用戶,允許使用本地網(wǎng)絡(luò)資源；如果為本地用戶,并且認(rèn)證不成功,就發(fā)回否定認(rèn)證結(jié)果,AR則禁止該MN使用網(wǎng)絡(luò)資源,在圖2中直接跳轉(zhuǎn)到7).如果分析發(fā)現(xiàn)MN為外地用戶,通過分析得到MN的家鄉(xiāng)域,把M1、AAAv新產(chǎn)生的另外一個隨機數(shù)NAAAv及AAAv的數(shù)字證書CERTAAAv一起作為Diameter消息的一個AVP,并用AAAH的證書公鑰簽名封裝在M3中轉(zhuǎn)發(fā)給家鄉(xiāng)域的AAAH.SignAAAH@是對消息的簽名(基于證書認(rèn)證),CERTAAAv是AAAv的數(shù)字證書,NAAAv是AAAv新產(chǎn)生的一個隨機數(shù).

M4={〈BU‖NMN‖AS〉-AVP}signHA@.

AAAH收到M3后,用自己的證書私鑰解密M3驗證消息的真實性和完整性(基于證書認(rèn)證),取出CERTAAAv驗證AAAv的身份,取出M1中MN@計算并驗證MN的身份.如果該MN是合法的且認(rèn)證成功,則生成肯定的認(rèn)證結(jié)果AS,并取出其中的BU消息,把BU和AS作為Diameter消息的一個AVP用HA的公鑰HA@簽名封裝在M4中轉(zhuǎn)發(fā)給HA.如果不是合法用戶,就生成否定認(rèn)證結(jié)果,并返回給本地域中的AAAv服務(wù)器.

M5={〈REP-AVP〉}signAAAH@,

REP={HoA‖CoA‖NMN‖BA}.

HA收到M4后用自己的私鑰SHA@解密M4(基于身份簽名認(rèn)證),得到MN的BU以及肯定的認(rèn)證結(jié)果AS,將MN此時的轉(zhuǎn)交地址CoA與家鄉(xiāng)地址HoA綁定,產(chǎn)生注冊成功應(yīng)答信息REP作為Diameter消息的一個AVP封裝并用AAAH的公鑰簽名生成M5發(fā)送給AAAH,其中REP包括MN的家鄉(xiāng)地址HoA、新獲得的轉(zhuǎn)交地址CoA、MN的初始隨機數(shù)NMN及綁定確認(rèn)消息BA.用HA的私鑰簽名,發(fā)送給AAAH.

M6={〈REP‖AS‖CERTAAAH‖NAAAv〉-AVP}signAAAv@.

AAAH用自己的私鑰SAAAH@解密M5消息,得到HA關(guān)于MN的綁定確認(rèn)應(yīng)答消息REP,連同認(rèn)證成功消息AS、AAAH的數(shù)字證書CERTAAAH和此前接收到的AAAv產(chǎn)生的隨機數(shù)NAAAv,一起作為Diameter消息的一個AVP,并用AAAv的公鑰簽名(基于證書認(rèn)證)后,封裝在M6中發(fā)送給AAAv.

M7={{BA‖NMN}signSAAAv}signMN@.

AAAv收到M6之后,用自己的私鑰解密以驗證消息的真實性與完整性,并得到AS和REP,用NMN驗證消息的新鮮性,并通知接入路由器MN是合法用戶允許接入當(dāng)前網(wǎng)絡(luò)使用該網(wǎng)絡(luò)資源,然后取出BA和NMN用自己的私鑰簽名,再用MN的公鑰簽名生成M7(基于身份簽名認(rèn)證),最后把消息M7發(fā)給AR.

AR收到M7之后,直接把M7轉(zhuǎn)發(fā)給MN.MN先用自己的私鑰解密消息M7,然后用AAAv的公鑰對接入網(wǎng)絡(luò)的認(rèn)證(基于身份簽名),得到綁定確認(rèn)消息和允許使用當(dāng)前網(wǎng)絡(luò),同時通過NMN驗證了消息的新鮮性.

此過程實現(xiàn)對移動節(jié)點的身份認(rèn)證,同時完成移動節(jié)點與家鄉(xiāng)代理的注冊.

4 該認(rèn)證方法的性能分析

本文主要從安全性和可行性2個方面分析所提出的混合認(rèn)證方法的性能.

4.1 安全性分析

1) 通信實體之間基于身份簽名實現(xiàn)認(rèn)證.該認(rèn)證算法是基于橢圓曲線的離散對數(shù)問題,因此具有良好的安全性,可以有效防止安全攻擊,主要表現(xiàn)在以下2個方面：

(i) 私鑰的保密性.由IBS機制可知,任何用戶u的私鑰dID都是由它的PKG用私鑰s通過dID←sQID計算得到.對于其他用戶u′來說,只能獲得dID′←sQID′.由于解決群G1上的離散對數(shù)問題(DLP)是困難的,u′無法計算出s,也就無法得到dID.所以,任一實體私鑰只有它的PKG知道,其他實體包括其他PKG都無法產(chǎn)生其私鑰.

(ii) 簽名的不可偽造性.用戶u的身份是ID,私鑰是dID,針對消息M的簽名

如果攻擊者通過試圖攻破IBS機制的本身達到偽造簽名在有限的時間里是不可能的,因為解決群上離散對數(shù)問題是困難的[12]；如果攻擊者通過收集移動節(jié)點的簽名消息而偽裝成新的簽名進行重放攻擊,但由于簽名消息中攜帶了隨機數(shù)信息,驗證者可以很容易識破這種攻擊.

2)AAAv和AAAH之間沒有進行系統(tǒng)參數(shù)的交換,在AAAv請求AAAH的認(rèn)證過程中使用證書體制所提供的安全性,可以有效地保證消息的完整性和真實性,通過使用隨機數(shù)N,可以有效地實現(xiàn)消息的及時性和防止消息的重放.

3) 認(rèn)證過程中各通信實體之間不需要預(yù)先共享密鑰,能有效防字典攻擊.

4)PKG作為可信任的第三方,作用和CA相同,在整個認(rèn)證過程中不參與認(rèn)證.它采用離線方式避免某些攻擊.為防止PKG權(quán)限過大的問題,則采用門限技術(shù)[13]能有效解決此問題.

5) 移動節(jié)點和AAAv之間的雙向認(rèn)證：AAAv通過AAAH對MN身份的真實性進行認(rèn)證,因為只有移動節(jié)點的私鑰才可以產(chǎn)生合法簽名.同樣,MN通過AAAv對消息M7的簽名進行認(rèn)證.

6) 由于AAAv與AAAH之間是基于證書的認(rèn)證,所以它們之間的認(rèn)證是安全的.AAAH與HA屬于同一個管理域共享系統(tǒng)參數(shù),不存在交換各自的系統(tǒng)參數(shù),它們之間擁有自己的公鑰和私鑰,相互間的認(rèn)證可以通過身份簽名實現(xiàn).

7) 移動節(jié)點和家鄉(xiāng)代理雙向認(rèn)證.HA借助AAAH對MN身份的真實性進行的認(rèn)證,只有驗證成功后才能完成移動節(jié)點的注冊,而MN通過綁定確認(rèn)消息對HA進行了認(rèn)證.

8) 對消息的新鮮性采用了雙重保護機制.整個傳輸過程中消息的新鮮性保護通過MN初始產(chǎn)生的隨機數(shù)NMN實現(xiàn),AAAv到AAAH之間傳輸消息的新鮮性保護通過AAAv產(chǎn)生的隨機數(shù)NAAAv實現(xiàn).

4.2 可行性分析

1) 成本低.該方法的認(rèn)證過程只需要部署少量的基于證書的PKI,證書認(rèn)證僅限于AAA之間,而不是單個的通信節(jié)點之間,可以極大地減輕部署PKI中可信CA的工作量和認(rèn)證時對公鑰證書的依賴；通過采用NAI作為通信實體的公鑰,大大降低了管理密鑰給每個移動節(jié)點帶來的負(fù)擔(dān)；另外該方法還消除了移動節(jié)點為請求或維護證書帶來的沉重的操作或通信負(fù)擔(dān).

2) 可操作性強.移動節(jié)點如果在家鄉(xiāng)域中,AAAH對其進行驗證,因為AAAH擁有本管理域共享的系統(tǒng)參數(shù).顯然,這種認(rèn)證方式在物聯(lián)網(wǎng)中是可行的.

3) 靈活性大.某個管理域內(nèi)共享的系統(tǒng)參數(shù)更新時不必通知CA,因此增強了認(rèn)證系統(tǒng)的靈活性.

4) 通過該方法既可以對移動節(jié)點進行認(rèn)證,同時還能完成移動節(jié)點在家鄉(xiāng)代理的注冊.

5 認(rèn)證過程的形式化分析

BAN邏輯方法[14]使用基于知識和信念的邏輯來建立所分析認(rèn)證協(xié)議的安全需求模型,是目前為止分析認(rèn)證協(xié)議使用最廣泛的一種方法[15].BAN邏輯是一個形式邏輯模型,它假設(shè)認(rèn)證是一個完整性和新鮮度的函數(shù),并使用了邏輯規(guī)則對認(rèn)證過程進行跟蹤.本文使用BAN邏輯方法對提出的認(rèn)證方案進行如下分析：

1) 建立初設(shè)集合α.

(ii) AAAH|≡#(TSMN),AAAH|≡#(TSAAAv);

(iii) MN|≡#(TSMN),HA|≡#(TSMN).

2) 理想化的協(xié)議模型.

(i) MN→AAAH:TSMN,M3;

(ii) AAAH→HA:TSMN,M4;

(iii) AAAH→MN:TSMN,M7.

3) 建立協(xié)議預(yù)期目標(biāo)集合γ.

γ={HA|≡MN;AAAv|≡MN;MN|≡AAAv}.

4) 利用初始和邏輯法則分析認(rèn)證過程.

(i) AAAv?TSMN,M2.

因為AAAv|≡#(TSMN),所以AAAv|≡#(M2)(新消息判斷公設(shè)).

(ii) AAAH?TSMN,M3.

因為AAAH|≡#(TSMN),所以AAAH|≡(M1)(新消息判斷公設(shè)).又因為

AAAH≡AAAv|～M3,

所以

AAAH|≡|MN|～M1,

因此

AAAH|≡AAAv,AAAH|≡MN.

(iii)HA?TSMN,M4.

因為HA|≡#(TSMN),所以HA|≡#(M4)新消息判斷公設(shè)).又因為

HA|≡AAAH|～M4,

所以HA|≡MN.

(iv)AAAv?TSAAAv,M6.

因為AAAv|≡#(TSAAAv),所以AAAv|≡#(M6)(根據(jù)新消息判斷公設(shè)).又因為

所以AAAv|≡AAAH.又因為

AAAH|≡MN,AAAv|≡AAAH,

所以AAAv|≡MN.

(v)MN?TSAAAv,M7.

因為MN|≡#(TSMN),所以MN|≡#(M7)(根據(jù)新消息判斷公設(shè)).又因為

MN|≡AAAH,AAAH|≡AAAv,

所以MN|≡AAAv.

4) 推導(dǎo)出最終目標(biāo)集合γ′.

γ′={HA|≡MN;AAAv|≡MN;MN|≡AAAv},

6 結(jié)束語

本文設(shè)計了一種在移動IPv6中基于AAA證書和身份簽名的混合認(rèn)證方法,給出了具體的認(rèn)證過程和性能分析,最后通過BAN形式化分析對該方案的可行性進行了分析.雖然此種方法解決了移動IPv6中對MN跨管理域的認(rèn)證問題,但還是需要有少量CA、PKI和PKG的支持,而且要求移動節(jié)點具有較強的計算能力,因為簽名和驗證都需要較大的計算量.另外,針對每個域的PKG權(quán)限過大問題,雖然目前已提出了具體的解決方案[16-17],但還不是理想的方法,接下來的工作中還需要對此進行更深入的研究.

[1] JOHNSON D,PERKING C,ARKKO J.RFC 3775,mobility Support in IPv6[S].[S.I.]:IETF,2004.

[2] YI X.An identity-based signature scheme from the Weil pairing[J].IEEE Commun Lett,2003,7(2):76-78.

[3] GUTTMAN P.PKI:it’s not dead,just resting[J].IEEE Computer,2002,35(8):41-49.

[4] 袁衛(wèi)忠,王德強,茅兵,等.公鑰基礎(chǔ)設(shè)施的研究與進展[J].計算機科學(xué),2004,31:82-88.

[5] GENTRY C.Certificate-based encryption and the certificate revocation problem[C]//Proc of Eurocrypt.Berlin:Springer-Verlag,2003:272-293.

[6] 關(guān)振勝.公鑰基礎(chǔ)設(shè)施PKI及其應(yīng)用[M].北京:電子工業(yè)出版社,2008.

[7] PERKINS C.Mobile IP joins forces with AAA[J].IEEE Personal Commun,2000,7(4):59-61.

[8] BONEH D,FRANKLIN M.Identity based encryption from the Weil pairing[C]//Proc of the Crypto 2001.LNCS 2139.Berlin:Springer-Verlag,2001:213-229.

[9] 田野.基于身份密碼學(xué)的MIPv6安全切換研究[D].中國科學(xué)院計算技術(shù)研究所,2006:59-74,101-120.

[10] HASKIN F.Efficient identify based signature schemes based on pairings[C]//Selected Area in Cryptography 2002.LNCS 2595.Heidelberg:Springs-Verlag,2003:310-324.

[11] SHAMIR A.Identity-based cryptosystems and signature schemes[C]//Advances in Cryptology-Crypto 1984,LNCS196.Berlin:Springer-Verlag,1984:47-53.

[12] CHA J,CHEON J.An identity-based signature from gap Diffie-Hellman groups[C]//Proc of the PKC 2003.LNCS 2567.Heidelberg:Springer-Verlag,2003:18-30.

[13] CAI D,HE X,HAN J.Tensor space model for document analysis[C]//Proc of the 29th Annual International ACM SIGIR Conference on Research and Development in Information Retrieval.New York:ACM Press,2002:625-626.

[14] MICHAEL BURROWW.A logic of cryptographic[J].ACM Transactions on Computer Systems,1990,8(1):18-36.

[15] 卿斯?jié)h.安全協(xié)議[M].北京:清華大學(xué)出版社,2005:112-116.

[16] GENTRY C,SILVERBERG A.Hierarchical ID-based cryptography[C]//Advances in Cryptology-Asiacrypt’02.LNCS2501.Berlin:Springer-Verlag,2006:548-566.

[17] 張龍軍,莫天慶,趙李懿.基于無證書簽密的代理移動IPv6 認(rèn)證方案[J].計算機應(yīng)用研究,2012,29(2):640-643.

(編輯 李德華)

A Mixed Authentication Method Based on AAA Certificate and Identity Signature

PU Zhiqiang1,FENG Shan2

(1.SchoolofInformationEngineering,MianyangTeachers’College,Mianyang621000,Sichuan；2.CollegeofMathematicsandSoftwareScience,SichuanNormalUniversity,Chengdu610066,Sichuan)

A mixed authentication method of mobile node security which is fast,low-cost and extensible is proposed based on the mobile IPv6,certificate and identity signature authentication.The advantages of this method are as follows: firstly,the advantages of certificate and identity signature authentication have been integrated in the method.Secondly,the bidirectional authentication between mobile node and access network can be achieved.At last,a formally analysis of this method has been finished under BAN logical system which shows that the authentication efficiency of the mobile node can be improved.

mobile IPv6; mobile node; mixed authentication method; BAN logical system

2016-01-07

四川省教育廳自然科學(xué)基金(13ZB0125)

蒲志強(1975—),男,講師,主要從事網(wǎng)絡(luò)信息安全的研究,E-mail:pzq999@mnu.cn

TP393

A

1001-8395(2017)02-0267-05

10.3969/j.issn.1001-8395.2017.02.020