??? 摘? 要: 移動(dòng)IP注冊(cè)過程的安全,,主要是通過認(rèn)證和消息完整性保護(hù)實(shí)現(xiàn)的,,因此,,密鑰的安全有效分發(fā)便成為保證注冊(cè)過程安全的關(guān)鍵,。根據(jù)注冊(cè)過程中的密鑰要求,,提出了基于Diffie-Hellman密鑰協(xié)商機(jī)制和橢圓曲線密碼算法的主密鑰" title="主密鑰">主密鑰分發(fā)方案,,并運(yùn)用SVO邏輯對(duì)該方案進(jìn)行了安全性分行,。分析結(jié)果表明,該方案實(shí)現(xiàn)了密鑰分發(fā)過程中雙方的身份認(rèn)證以及密鑰的確認(rèn)性和新鮮性,。
??? 關(guān)鍵詞: 安全需求? 主密鑰? 橢圓曲線密碼? SVO邏輯
?
??? 現(xiàn)有的IP協(xié)議最初是為固定網(wǎng)絡(luò)設(shè)計(jì)的,,并不支持主機(jī)的移動(dòng)接入。IETF(Internet Engineering Task Force)為了解決移動(dòng)主機(jī)" title="移動(dòng)主機(jī)">移動(dòng)主機(jī)訪問網(wǎng)絡(luò)的問題,,使IP網(wǎng)絡(luò)支持漫游功能,,制定了移動(dòng)IP(Mobile IP)協(xié)議,它是Internet支持主機(jī)移動(dòng)的網(wǎng)絡(luò)層解決方案,。移動(dòng)IP主機(jī)可以通過一個(gè)永久的IP地址連接到任何一個(gè)鏈路上,,當(dāng)移動(dòng)主機(jī)切換到新鏈路上時(shí),仍然能保持正在進(jìn)行的通信,。
??? 移動(dòng)IP定義了三個(gè)新的實(shí)體[1]:移動(dòng)節(jié)點(diǎn)" title="移動(dòng)節(jié)點(diǎn)">移動(dòng)節(jié)點(diǎn) MN(Mobile Node),、家鄉(xiāng)代理HA(Home Agent)和外地代理FA(Foreign Agent)。移動(dòng)IP中的安全威脅很大一部分來自于移動(dòng)節(jié)點(diǎn)向家鄉(xiāng)代理的注冊(cè)過程,。在注冊(cè)過程中,攻擊者可以通過向家鄉(xiāng)代理發(fā)送偽造的注冊(cè)請(qǐng)求,把自己的IP地址當(dāng)作某個(gè)移動(dòng)節(jié)點(diǎn)的轉(zhuǎn)交地址,。注冊(cè)成功后,發(fā)往該移動(dòng)節(jié)點(diǎn)的消息均由攻擊者接收,而真正的移動(dòng)節(jié)點(diǎn)卻被拒絕服務(wù)。攻擊者還可以通過竊聽會(huì)話,截取數(shù)據(jù)包,把一個(gè)有效的注冊(cè)請(qǐng)求信息儲(chǔ)存起來,然后利用儲(chǔ)存的注冊(cè)請(qǐng)求向家鄉(xiāng)代理注冊(cè)偽造的轉(zhuǎn)交地址,。因此,注冊(cè)過程中移動(dòng)用戶認(rèn)證,、消息的完整性保護(hù)是移動(dòng)IP安全的核心問題之一。
1 移動(dòng)IP注冊(cè)過程的安全分析
1.1 安全威脅和解決措施
??? 在移動(dòng)IP協(xié)議中,,移動(dòng)節(jié)點(diǎn)向家鄉(xiāng)代理注冊(cè)需要通過哈希函數(shù)對(duì)注冊(cè)信息進(jìn)行計(jì)算,,得到一個(gè)定長(zhǎng)的信息摘要,,并將這個(gè)摘要添加到注冊(cè)消息的認(rèn)證擴(kuò)展域中,產(chǎn)生一個(gè)注冊(cè)消息,,然后再由移動(dòng)節(jié)點(diǎn)將這個(gè)消息發(fā)送給家鄉(xiāng)代理,。R.Molva、Stuart Jacobs等人曾對(duì)注冊(cè)過程中移動(dòng)用戶的認(rèn)證方法[2]和移動(dòng)IP的安全性[3]進(jìn)行了討論,,指出用認(rèn)證機(jī)制來保護(hù)移動(dòng)IP的安全的前提是移動(dòng)節(jié)點(diǎn)和家鄉(xiāng)代理之間共享密鑰消息,。
??? 在移動(dòng)IP環(huán)境中,移動(dòng)主機(jī)大多數(shù)運(yùn)行于無線環(huán)境下,,無線鏈路的特點(diǎn)是帶寬低,、誤比特率高。因此在無線環(huán)境下不適合一次性分配大量的密鑰,,一般是分發(fā)少量的主密鑰,,通過對(duì)主密鑰進(jìn)行計(jì)算,產(chǎn)生一些子密鑰,,這些子密鑰被用于加密或身份認(rèn)證的系統(tǒng)密鑰,。因此主密鑰的安全是整個(gè)系統(tǒng)的安全基礎(chǔ)。在移動(dòng)IP環(huán)境中,,主密鑰的分發(fā)是通過移動(dòng)節(jié)點(diǎn)和家鄉(xiāng)代理進(jìn)行密鑰協(xié)商完成的,。
1.2 主密鑰安全分發(fā)的要求
??? 移動(dòng)IP的主密鑰保護(hù)著整個(gè)認(rèn)證過程,因此主密鑰的安全性顯得尤為重要,。在本方案中,,安全分發(fā)主密鑰應(yīng)滿足以下要求:
??? (1)通信實(shí)體之間的相互認(rèn)證:移動(dòng)節(jié)點(diǎn)和家鄉(xiāng)代理雙方各自都要對(duì)對(duì)方的身份進(jìn)行認(rèn)證,以證明對(duì)方的合法身份,。
??? (2)密鑰確認(rèn)性:通過密鑰驗(yàn)證,,移動(dòng)節(jié)點(diǎn)和家鄉(xiāng)代理都能證明雙方擁有相同的密鑰, 而且只有移動(dòng)節(jié)點(diǎn)和家鄉(xiāng)代理知道該密鑰。
??? (3)密鑰的新鮮性:經(jīng)過協(xié)商生成的密鑰應(yīng)該具有新鮮性,。新鮮性能保證密鑰的完美向前性,。主密鑰只有移動(dòng)節(jié)點(diǎn)和家鄉(xiāng)代理擁有,任何第三者都不能利用先前截獲的消息對(duì)其進(jìn)行計(jì)算從而得到主密鑰,。密鑰的新鮮性可以有效地防御重放攻擊,,同時(shí)也保證了方案的完美向前性。
??? (4)安全方案運(yùn)行的高效率:移動(dòng)節(jié)點(diǎn)絕大多數(shù)運(yùn)行于無線環(huán)境中,,無線鏈路的帶寬比較低,,同時(shí)移動(dòng)節(jié)點(diǎn)的計(jì)算能力和存儲(chǔ)能力也十分有限,因此需要考慮方案在移動(dòng)IP環(huán)境中的執(zhí)行效率,。
2 安全分發(fā)主密鑰方案
??? 根據(jù)移動(dòng)IP注冊(cè)過程的安全分析和安全要求,,提出了基于Diffie-Hellman密鑰協(xié)商機(jī)制和橢圓曲線的可認(rèn)證密鑰協(xié)商的主密鑰分發(fā)方案。本方案在不需要第三方介入的情況下,,通過空中下載方式為移動(dòng)節(jié)點(diǎn)分發(fā)主密鑰,。
??? 選取有限域Fq,,在域上隨機(jī)生成一條橢圓曲線E(Fq),保證橢圓曲線群上的離散對(duì)數(shù)是難解的,;然后選取點(diǎn)P作為基點(diǎn),,P的階數(shù)為n,n為大素?cái)?shù),,P公開,。
??? 定義:zn是由模n剩余類構(gòu)成的集,則zn是一個(gè)阿貝爾群,,若t+r=0modn,則稱r為t的逆元,,記為r=-tmodn,。在此,n是橢圓曲線E(Fq)上點(diǎn)P的階,。
??? 方案的前提:MN和HA共享一個(gè)口令S,,MN和HA計(jì)算兩個(gè)整數(shù)t和-t,t是根據(jù)預(yù)先設(shè)定的方法由S計(jì)算得到的,,并假設(shè)由S只能得到惟一的t,。
??? 安全分發(fā)主密鑰方案如圖1所示,具體描述如下:
?
??? (1)MN:選擇隨機(jī)數(shù)dA∈[1,n-1],,計(jì)算QA=(dA+t)P,,MN→HA:QA。
??? (2)HA:選擇隨機(jī)數(shù)dB∈[1,n-1],,計(jì)算QB=(dB+t)P,,Y=QA+(-t)P=dAP,KB=dBY=dAdBP和tKB=tdAdBP,HA→MN:QB,tKB。
??? (3)MN計(jì)算X=QB+(-t)P=dBP,KA=dAX=dAdBP,,tKA和tdBP,,驗(yàn)證tKB是否等于tKA,如果驗(yàn)證成功,,MN→HA:tdBP,。
??? (4)HA驗(yàn)證tdBP,如果驗(yàn)證成功,,則通知MN,。HA→MN:success。
??? 至此,,移動(dòng)節(jié)點(diǎn)和移動(dòng)代理成功協(xié)商了主密鑰,,K=KA=KB=dAdB P。
3 方案分析
3.1 形式化安全分析
??? 形式化的分析方法就是采用各種形式化的語言或者模型,,為安全協(xié)議" title="安全協(xié)議">安全協(xié)議建立模型,,并按照規(guī)定的假設(shè)和分析,、驗(yàn)證方法證明協(xié)議的安全性,這類方法中最著名的就是BAN類邏輯,。SVO形式化驗(yàn)證方法是在綜合和優(yōu)化BAN,、GNY、AT,、VO邏輯的基礎(chǔ)上提出來的,,它提取了四種邏輯的主要特點(diǎn),提出了惟一的,、相對(duì)較為簡(jiǎn)單的分計(jì)算模型形式化驗(yàn)證方法,。SVO仍屬于BAN類邏輯。
??? 在形式化語義方面,,SVO邏輯對(duì)一些概念作了重新定義(有別于AT邏輯),,從而取消了AT邏輯系統(tǒng)中的一些限制。SVO邏輯所用的記號(hào)與BAN邏輯,、AT邏輯是相似的,,仍用符號(hào)
分別表示相信、接收到,、發(fā)送過,、剛發(fā)送過、管轄,、擁有,、新鮮與等價(jià)。另外,,SVO邏輯還有自己所特有的12個(gè)符號(hào),。此外,SVO邏輯還有21條公理,,用于邏輯推理過程,。
??? 使用SVO邏輯對(duì)一個(gè)安全協(xié)議進(jìn)行形式化分析的步驟如下:
??? (1)給出該協(xié)議的初始化假設(shè)集:即用SVO邏輯語言表示各主體的初始信念、接收到的報(bào)文,、對(duì)所收到報(bào)文的理解和解釋,;
??? (2)給出該協(xié)議可能或應(yīng)該達(dá)到的目標(biāo)集,即用SVO邏輯語言表示的一個(gè)公式集,。
??? (3)在SVO邏輯中證明結(jié)論是否成立,。若成立,則說明該協(xié)議達(dá)到了預(yù)期的設(shè)計(jì)目標(biāo),,協(xié)議的設(shè)計(jì)是成功的,。
??? 首先對(duì)安全分發(fā)主密鑰方案進(jìn)行理想化:
??? 
??? 然后給出方案的初始化假設(shè)集,對(duì)各主體的初始信念,、接收到的報(bào)文,、對(duì)所收到報(bào)文的理解和解釋用SVO邏輯語音表示:
?????? 
?
??? 再給出方案的目標(biāo)集:
??? 
??? 目標(biāo)集(1)和(3)表明MN和HA都相信K是雙方確認(rèn)的共享的密鑰,;(2)和(4)表明了密鑰的新鮮性。
??? 運(yùn)用SVO的邏輯推理規(guī)則和21條邏輯公理進(jìn)行推理,,可以得到目標(biāo)集,。因推理過程太長(zhǎng),在此省略了詳細(xì)的推理過程,。
??? 結(jié)果分析表明,,移動(dòng)節(jié)點(diǎn)和家鄉(xiāng)代理都相信主密鑰K是適合他們雙方通信的確認(rèn)共享密鑰。K是確認(rèn)共享密鑰表明了雙方都相信自己擁有合法的密鑰,,同時(shí)都相信雙方的身份,,也就是在主密鑰協(xié)商下實(shí)現(xiàn)了雙方的身份認(rèn)證,最終擁有主密鑰的實(shí)體就是合法的移動(dòng)節(jié)點(diǎn)和家鄉(xiāng)代理,。協(xié)商的主密鑰具有新鮮性,,即整個(gè)協(xié)商過程具有完美向前性,同時(shí)也能抵御重放攻擊,。
3.2 方案的執(zhí)行效率分析
??? 本方案的主密鑰分發(fā)是基于橢圓曲線密碼系統(tǒng)的可認(rèn)證密鑰協(xié)商的,。橢圓曲線密碼ECC(Elliptic Curves Cryptography)和傳統(tǒng)的公鑰" title="公鑰">公鑰密碼在移動(dòng)環(huán)境下相比有很大的優(yōu)勢(shì),,這是本方案采用ECC的原因,。160bit的ECC相當(dāng)于1024bit的RSA和DSA。同樣安全強(qiáng)度的ECC,、RSA和DSA相比,,ECC的計(jì)算開銷遠(yuǎn)小于其他密碼算法,使得ECC可以在很短的時(shí)間內(nèi)產(chǎn)生符合條件的密鑰,,可以在ROM中執(zhí)行,,不需要額外的硬件。其他公鑰體制由于產(chǎn)生密鑰所需的計(jì)算非常復(fù)雜,,在計(jì)算能力受限的情況下很難產(chǎn)生合適的密鑰,。當(dāng)傳送短消息時(shí),ECC比其它公鑰算法節(jié)省帶寬,。綜上分析,,ECC與其他公鑰加密系統(tǒng)相比,能提供更好的加密強(qiáng)度,、更快的執(zhí)行速度和更小的密鑰長(zhǎng)度,,在移動(dòng)環(huán)境下,移動(dòng)節(jié)點(diǎn)的計(jì)算能力比較弱,,同時(shí)帶寬受限,,對(duì)密碼算法要求計(jì)算量、存儲(chǔ)量,、帶寬和時(shí)延比較小,。因此ECC和傳統(tǒng)公鑰密碼相比較更適合于移動(dòng)IP環(huán)境,。
??? 本文提出的方案有效地解決了移動(dòng)主機(jī)注冊(cè)過程中的主密鑰分發(fā)問題,滿足了注冊(cè)過程中主密鑰分發(fā)的安全要求,,具有較高的安全性,,并且在保證方案的安全性的基礎(chǔ)上減少了方案的運(yùn)算開銷,具有良好的執(zhí)行效率,。本方案分發(fā)的主密鑰通過計(jì)算可以產(chǎn)生用于移動(dòng)IP注冊(cè)過程的認(rèn)證和消息完整性保護(hù)的子密鑰,,可以有效地解決移動(dòng)IP中的一些安全問題。
參考文獻(xiàn)
[1] RFC2002: IP Mobility Support. IETF, 1996.
[2] MOLVA R, SMAFAT D, TSUDIK G. Authentication of mobile users. IEEE,1994,(3):26.
[3] JACOBS S, CIRINCIONE G. Security of current mobile IP solutions. IEEE,1997,6:1122.
[4]?卿斯?jié)h.安全協(xié)議的設(shè)計(jì)與邏輯分析.軟件學(xué)報(bào),,2003,,14:1300.
[5] 張險(xiǎn)峰,秦志光,,劉錦德. 橢圓曲線加密系統(tǒng)的性能分析. 電子科技大學(xué)學(xué)報(bào),,2001,(2):144.