預認證線性快速接入方案

任 雙 廷

預認證線性快速接入方案

任 雙 廷

(南京航空航天大學計算機科學與技術學院 江蘇 南京 210016)

在網絡接入方案中，認證是保證實體安全性的重要方面。所謂認證是指：一個實體向另一個實體證明其聲稱屬性的一個過程。在對現有快速接入認證方案分析的基礎上，提出一種預認證線性快速接入方案。在該方案中利用基于身份的密碼技術，避免了傳統公鑰密碼體制中證書存儲和管理的問題，通過認證碼保證信息的完整性，在會話密鑰的協商過程中完成實體間的雙向認證，并對信息進行加密，保證只有指定用戶才可以解密。通過對安全性和性能的分析表明，在線性高速切換過程中，所提方案擁有更高的切換效率和安全性，能夠有效地提高服務質量。

線性 切換 接入 雙向認證

0 引 言

認證是在終端接入網絡時保證終端和網絡安全的一種方法。現實生活中，由于環境的不同，我們對接入認證的需求也有所不同，有的突出認證的匿名性，有的突出認證的雙向性，而本文關注的是認證的快速性，以滿足高速行駛下無線切換的順利進行，保證高鐵、地鐵等高速運動環境下的無線服務質量。在此環境下，由于列車行駛的高速特性，為了滿足用戶的正常網絡傳輸，需要快速地完成接入認證。傳統的無線接入認證方案中[1-5]，每次切換都需要重新認證和接入，這樣勢必會帶來大量的認證和接入信息流[6-10]，尤其在移動設備高速運動的情況下，用戶接入更加的頻繁，帶來的影響更是明顯。為了在高速環境下減少切換時延，錢對切換時機進行研究[11]，通過切換時機的選擇減少切換時延；李通過簡化Wlan接入認證流程和同步傳輸縮短認證時間[12]；同時，肖-王基于預共享密鑰和證書的雙向認證，證明了可信接入認證協議的串空間安全性[13]；然而，以上安全性認證多基于傳統的公鑰密碼體制，存在證書的存儲、傳輸、管理等問題，并不能完全適用于無線環境。

為了克服傳統公鑰密碼體制中證書存儲和管理的問題，shamir于1984年提出了基于身份的密碼體制，并基于整數分解難題給出了第一個基于身份的簽名方案[14]。2001年，Boneh等利用Weil配對技術提出了第一個安全、使用的基于身份的加密方案[15]。之后，基于身份的密碼體制得到了迅速發展，并提出了大量基于身份的加密和簽名方案。2005年，Waters首次提出了標準模型下基于身份的加密方案[16]，并將其歸約于計算Diffie-Hellman假定。2006年，Paterson等人在Waters基于身份加密方案的基礎上，提出了一個標準模型下基于身份的簽名方案[17]，并給出了該方案基于身份簽名的可證安全模型。這也為認證的安全性等提供了技術保證。

本方案，基于身份密碼體制，根據多跳網絡中多跳的思想[18,19]，引入了認證過程中信任傳遞的思想。在地鐵的特殊環境下，通過對認證碼和會話信息的提前傳遞和預驗證來完成認證，并減少終端高速切換中的聚集認證問題。相對于前人所提的快速接入方案，本文所提方案中終端在接入點之間切換時，通信量更少，認證時延更少，可以有效地提高切換質量。

1 前提知識

定義2 計算Diffie-Hellman問題。設G1為q階(q為一大素數)的循環群，g為G1的生成元，對于?(g,ga,gb)∈G1，計算gab，其中a,b∈Zq未知(Zq表示整數模q的剩余類所構成的集合)。

2 預認證線性快速接入方案

表1 符號說明

方案包括兩個階段：初始化階段和認證接入階段。

初始化階段：

認證接入階段：

方案中認證接入又可以分為三種情況：(1) 終端在外地域接入；(2) 終端在家鄉域接入；(3) 終端在域內切換。其具體實現框架如圖1所示，整個系統由多個PKG域組成，為了滿足域間通信及切換用戶注冊，每個合法PKG都在根PKG注冊；每個PKG域中有多個合法接入點AP和合法終端MN。當終端MN接入或切換到新的PKG域時，通過家鄉PKG域向接入域發起接入申請，在進行密鑰協商的同時通過基于身份生成的認證碼隱式完成雙向認證，并完成新域內私鑰的申請工作；當終端在同一PKG域的接入點間進行接入或切換時，可以與接入點AP通過基于身份的密鑰直接進行會話密鑰協商，完成雙向認證。

圖1 預認證線性快速接入方案框架

圖2 快速接入認證協議

方案描述：

終端在外地接入過程如圖2所示，詳細步驟如下：

AP周期性的廣播域內信息{IDAP,IDAS,G1,G2,q,P,Ppub,H1,H2}；

1) 若MN發現已切換到新的PKG域時，則執行如下操作構造注冊請求：

r1?r1QMN?KMN-HA=p(e(r1SMN,y1QHA))=p(e(r1QMN,y1SHA))

r2?r2P?KMN-AS=p(e(r2Ppub,SAS))=p(e(r2p,SAS))

r3?r3P?KMN-AP=p(e(r3Ppub,SAP))=p(e(r2p,SAP))

M1=r1QMN,{IDMN,IDAP,IDAS,TMN}KMN-HA

MAC1=MACKMN-HA(M1)

M2=r2P,{M1,MAC1,TMN}KMN-AS

MAC2=MACKMN-AS(M2)

M3=req,IDMN,IDAP,IDHA,r3P,{M2,MAC2,TMN}KMN-AP

MAC3=MACKMN-AP(M3)

M3[M2[M1,MAC1]MAC2]MAC3

a) 獲取設備當前時間TMN；取出預存的與HA的共享參數y1QHA；

b) 生成隨機數r1,r2,r3；分別計算與HA,AS,AP的會話密鑰KMN-HAKMN-ASKMN-AP；

c) 構造信息M1根據KMN-HA生成M1的認證碼MAC1；構造信息M2根據KMN-AS生成M2的認證碼MAC2；構造信息M3根據KMN-AP生成M3的認證碼MAC3，通過層層加密來保證信息的安全性，保證僅能由相應接收者查看其相應的信息；

d) MN→AP:M3,MAC3；

2) AP收到MN發來的信息后，進行如下操作：

m1?X=gm1modP

m2?m2QAP?KAP-AS=H2(e(m2SAP,n1QAs))=H2(e(m2QAP,n1SAs))

M4=req,IDMN,IDAP,IDHA,m2QAP,{M2,MAC2,X,TMN}KAP-AS

MAC4=MACKAP-AS(M4)

M4[M2[M1,MAC1]MAC2]MAC4

a) 驗證時間戳TMN，在時間范圍內則繼續執行，否則返回超時信息；

b) 取得M3中的r3P，計算與MN的會話密鑰KMN-AP并驗證MAC3的完整性確保信息沒有被篡改，驗證通過繼續執行，否則返回錯誤信息；

c) 選擇隨機數m1，m2，計算X作為與HA的密鑰協商參數，提取與AS的共享參數n1QAS并計算與AS的會話密鑰KAP-AS；

d) 構造信息M4并根據KAP-AS生成M4的認證碼MAC4；

e) AP→AS:M4,MAC4；

3) AS收到AP發來的信息后，進行如下操作：

M5=req,IDMN,IDAP,IDHA,n2QAS,{M1,MAC1,X,SiAP,TMN}KAP-AS

MAC5=MACKAS-HA(M5)

M5[M1,MAC1]MAC5

a) 驗證時間戳TMN，在時間范圍內則繼續執行，否則返回超時信息；

b) 取得M4中的m2QAP，計算與AP的會話密鑰KAP-AS，并驗證MAC4的完整性；驗證通過繼續執行，否則返回錯誤信息；

c) 取得M2中的r2P，計算與MN的會話密鑰KMN-AS，并驗證MAC2的完整性，確保信息不被篡改；驗證通過繼續執行，否則返回錯誤信息；

d) 選擇隨機數n2，計算與終端家鄉代理HA的會話密鑰KAS-HA；

e) 構造信息M5并根據KAS-HA生成M5的認證碼MAC5；

f) AS→HA:M5,MAC5

圖4(b)中,0.5,1.0,1.5 MPa條件下的質量磨損率分別為0.020,0.030,0.092 mg/轉.隨著載荷的增加,硬質顆粒的犁削作用增強,磨損加劇;同時,摩擦過程中動能轉化成內能,積累到一定程度時,磨屑膜在內應力的作用下開裂并產生磨屑,隨著載荷的增加,磨屑膜更容易開裂,導致磨損率更大.

4) HA收到AS發來的信息后，進行如下操作：

y2?y2QHA?{y2QHA}KMN-HA

y3?Y=gy3modp?KAP-HA=(X)y3modp=gm1y3modp

=(Y)m1modp

M6={IDMN,IDAP,IDAS,SiMN,SiAP,SiAS,

{y2QHA}KMN-HA,THA}KMN-HA

M7=Y,{M6,MAC6,THA}KAP-HA

MAC7=MACKAP-HA(M7)

MAC8=MACKAS-HA(M8)

M8[M7[M6,MAC6]MAC7]MAC8

a) 驗證時間戳TMN，在時間范圍內則繼續執行，否則返回超時信息；

c) 取得M1中的r1QMN，根據與MN的共享參數y1計算其會話密鑰KMN-HA，并驗證MAC1完整性，完成對MN的認證；

d) 選擇隨機數y2,y3,y4，分別計算{y2QHA}KMN-HA和與AP,AS的會話密鑰KAP-HA,KAS-HA；

e) 構造信息M6并根據KMN-HA生成M6的認證碼MAC6；構造信息M7并根據KAP-HA生成M7的認證碼MAC7；構造信息M8并根據KAS-HA生成M8的認證碼MAC8；

f) HA→AS:M8,MAC8；

5) AS收到HA發來的信息后，進行如下操作：

QMN=H1(IDMN),SMN=sH1(IDMN),{SMN}KMN-AS

n4?n4QAS?KMN-AS=p(e(r2P,n4SAS))=p(e(r2Ppub,n4QAS))

n5?n5QAS?{n5QAS}KAP-AS

M9=rep,IDMN,IDAP,IDAS,{{n4QAS}KMN-AS,M7,MAC7,

{SMN}KMN-AS,{n5QAS}KAP-AS,Y,SiMN,THA}KAP-AS

MAC9=MACKAP-AS(M9)

M9[M7[M6,MAC6]MAC7]MAC9

a) 驗證時間戳THA，在時間范圍內則繼續執行，否則返回超時信息；

c) 選擇隨機數n4,n5計算與MN的會話密鑰KMN-AS和與AP的下一次會話的共享秘密參數n5QAS，并通過其現在的會話密鑰KAP-AS加密{n5QAS}KAP-AS；

d) 生成MN的私鑰SMN并用與MN的會話密鑰KMN-AS加密；

e) 構造信息M9并根據KAP-AS生成M9的認證碼MAC9；

f) AS→AP:M9,MAC9；

6) AP收到AS發來的信息后，進行如下操作：

m3?m3QAP?KMN-AP=p(e(r3P,m3SAS))=p(e(r3Ppub,m3QAP))

M10=rep,IDMN,IDAP,IDAS,{m3QAP}KMN-AP，

{{n4QAS}KMN-AS,M6,MAC6,{SMN}KMN-AS,THA}KAP-AS

MAC10=MACKMN-AP(M10)

M10[M6,MAC6]MAC10

a) 驗證時間戳THA，在時間范圍內則繼續執行，否則返回超時信息；

b) 驗證MAC9；取得M7中的Y，計算與HA的會話密鑰KAP-HA并驗證MAC7；

c) 選擇隨機數m3，計算m3QAP，作為與MN會話密鑰協商的參數并通過KMN-AP加密；

d) 構造信息M10并根據KMN-AP生成M10的認證碼MAC10；

e) AP→MN:M10,MAC10；

f) 解密M9中的n5QAS，作為下一輪會話密鑰的共享信息；

7) MN收到AP發來的信息后，進行如下操作：

r4?r4QMN?KMN-AS=p(e(r4QMN,n4SAS))=p(e(r4SMN,n4QAS))

r5?r5QMN?KMN-AP=p(e(r5QMN,n4SAP))=p(e(r5SMN,n4QAP))

M11=r4QMN,{n4QAS,THA}KMN-AS;MAC11=MACKMN-AS(M11)

M12=rep,IDMN,IDAP,r5QMN,{M11,MAC11,TMN}KMN-AP

MAC12=MACKMN-AP(M12)

M12[M11,MAC11]MAC12

a) 驗證時間戳THA，在時間范圍內則繼續執行，否則返回超時信息；

b) 解密M10中的m3QAP，并根據KMN-AP驗證MAC10的完整性；通過與AS的會話密鑰KMN-AS解密n4QAS和SMN；通過與HA的會話密鑰KMN-HA驗證MAC6，解密M6中的y2QHA作為下一輪會話密鑰申請的共享秘密；

c) 選擇隨機數r4,r5，通過m3QAP，n4QAS計算與AS,AP的會話密鑰KMN-AS,KMN-AP；

d) 構造信息M11并根據KMN-AS生成M11的認證碼MAC11；構造信息M12并根據KMN-AP生成M12的認證碼MAC12；

e) MN→AP:M12,MAC12；

8) AP收到MN發來的信息后，進行如下操作：

M13=rep,IDMN,IDAP,{M11,MAC11,TMN}KAP-AS

MAC13=MACKAP-AS(M13)

M13[M11,MAC11]MAC13

a) 驗證時間戳THA，在時間范圍內則繼續執行，否則返回超時信息；

b) 取得M12中的r5QMN，計算與MN的會話密鑰KMN-AP并驗證MAC12的完整性；

c) 構造信息M13并根據KAP-AS生成M13的認證碼MAC13；

d) AP→AS:M13,MAC13；

AS收到AP發來的信息后，對信息的新鮮性和完整性進行驗證，并依次解密信息，完成對終端和用戶共享參數的確認，更新密鑰協商參數。

終端在家鄉接入如圖2陰影部分1，6，7所示，詳細步驟如下：

AP周期性的廣播信息{IDAP,IDAS,G1,G2,q,P,Ppub,H1,H2}；

(1) MN發現在家鄉PKG域，則執行如下步驟構造注冊請求：

r1?r1QMN?KMN-AP=p(e(r1SMN,QAP))=p(e(r1QMN,SAP))

M1=req,IDMN,IDAP,r1QMN,TMN,{N1,TMN}KMN-AP

MAC1=MACKMN-AP(M1)

a) 獲取設備當前時間TMN；

b) 生成隨機數r1，計算與接入點AP的會話密鑰KMN-AP；

c) 構造信息M1并根據KMN-AP生成M1的認證碼MAC1；

d) MN→AP:M1,MAC1；

(2) AP收到MN發來的信息后，進行如下操作：

m1?m1QAP?KMN-AP=p(e(r1QMN,m1SAP))

=p(e(r1SMN,m1QAP))

M2=rep,IDMN,IDAP,m1QAP,TAP,{N1,N2,TAP}KMN-AP

MAC2=MACKMN-AP(M2)

a) 驗證時間戳TMN，在時間范圍內則繼續執行，否則返回超時信息；

b) 取得M1中的r1QMN，計算與MN的會話密鑰KMN-AP并驗證MAC1完整性；

c) 生成隨機數m1，計算與MN的雙向控制會話密鑰KMN-AP；

d) 構造信息M2根據KMN-AP生成M2的認證碼MAC2；

e) AP→MN:M2,MAC2；

(3) MN收到AP發來的信息后，進行后下操作：

M3=rep,IDMN,IDAP,TMN,{N2,TMN}KMN-AP

MAC3=MACKMN-AP(M3)

a) 驗證時間戳TAP，在時間范圍內則繼續執行，否則返回超時信息；

b) 取得M2中的m1QAP，計算與AP的會話密鑰KMN-AP并驗證MAC2的完整性；

c) 構造信息M3并根據KMN-AP生成M3的認證碼MAC3；

d) MN→AP:M3,MAC3；

(4) AP收到MN發來的信息后，進行如下操作：

驗證時間戳TMN，并驗證MAC3的完整性，至此雙方的會話密鑰協商完成，并通過會話密鑰協商中公私鑰對的使用，進行了雙向認證。

圖3 快速切換認證協議

終端在域內切換如圖3所示，詳細步驟如下：

(1) AP1根據MN和AP2的最新會話密鑰信息向MN的下一接入點AP2發送申請：

M1=rep,IDAP1,{IDMN,r1QMN,l1QAP2，TMN}KAP1-AP2

MAC1=MACKAP1-AP2(M1)

AP2通過對AP1發來的信息進行解密，得知下一接入終端的密鑰協商信息r1QMN和IDMN，并根據自己的最后發出的會話協商信息l1QAP2，構建其與MN的會話密鑰KMN-AP2；

(2) AP1根據MN和AP2的最新會話密鑰信息向MN發送AP2的信息：

M2=rep,IDAP1,{IDAP2,r1QMN,l1QAP2，TAP2}KMN-AP1

MAC2=MACKMN-AP1(M2)

MN通過對AP1發來的信息進行解密，得知下一接入點AP2的密鑰協商信息l1QAP2和IDAP2，并根據自己最后發出的會話密鑰協商信息r1QMN，構建其與AP2的會話密鑰KMN-AP2；

AP2周期性的廣播域內信息{IDAP2,IDAS,G1,G2,q,P,Ppub,H1,H2}

(3) 當MN檢測到進入AP2之后，根據AP1的信息構建對AP2的接入申請：

r1QMN,l1QAP2?KMN-AP2=p(e(r1QMN,l1SAP2))

=p(e(r1SMN,l1QAP2))

M3=rep,IDMN,{IDMN,r1QMN,r2QMN,TMN}KMN-AP2

MAC3=MACKMN-AP2(M3)

(4) 當AP2收到MN發來的接入申請之后，根據AP1發來的信息對MN驗證，構建確認信息：

r1QMN,l1QAP2?KMN-AP2=p(e(r1QMN,l1SAP2))

=p(e(r1SMN,l1QAP2))

M4=rep,IDAP2,{IDAP2,l1QAP2,l2QAP2,TMN}KMN-AP2

MAC4=MACKMN-AP2(M4)

當終端從一個域切換到另一個域的接入點時，方案中兩PKG域的邊界接入點在兩個域都進行注冊，當終端從一個終端切換到邊界接入點時，先完成用戶在同一域內的終端切換，恢復數據傳輸，再進行下一接入域內的注冊工作，從而保證服務的不中斷，提高切換質量。

3 方案分析

3.1 安全性分析

3.1.1 認證安全

終端在外地域接入：

MN與HA之間的雙向認證：計算KMN-HA需要使用MN的私鑰、共享信息y1QHA和單向散列函數H()，因此KMN-HA僅由HA和MN可以計算得到。同時，計算MAC1需要使用KMN-HA，HA通過驗證MAC1的完整性來確認M1是由MN生成。M1中包含時間戳TMN，可以保證M1和MAC1的新鮮性。因此，HA可以通過TMN、M1和MAC1認證MN。同理，MN可以通過THA、M6和MAC6來認證HA；

AP與HA之間的雙向認證：AP與HA通過AS進行間接認證。計算KAS-HA需要用到AS的私鑰，生成MAC5需要使用KAS-HA，HA通過M5、MAC5對AS進行認證，同時AS通過M4、MAC4對AP進行認證，以此來完成HA對AP的間接認證；同理，AP通過M9、MAC9對AS進行認證，AS通過M8、MAC8對HA進行認證，以此來完成AP對HA的間接認證；

MN與AP之間的雙向認證：MN通過THA驗證M10、MAC10的新鮮性，通過MAC10來確認M10的完整性，并通過MAC10對AP進行認證，因為MAC10僅有MN和AP可以通過各自的私鑰生成；同理，AP通過驗證TMN、M12和MAC12完成對MN的認證。

終端在家鄉域接入：

終端在家鄉域接入時，僅需MN與AP直接的雙向認證，MN通過驗證TAP、M2和MAC2完成對MN的認證；AP通過驗證TMN、M1和MAC1完成對MN的認證。

終端在域內切換：

終端在域內切換時，如同終端在家鄉域接入，MN通過驗證TAP2、M4和MAC4完成對MN的認證；AP通過驗證TMN、M3和MAC3完成對MN的認證。

3.1.2 會話密鑰安全

終端在外地域接入：

MN和HA之間會話密鑰的安全：MN和HA的會話密鑰KMN-HA，生成會話密鑰需要使用各自的私鑰和共享的隨機數r1、y1，因此只有MN和HA可以計算得到共享的會話密鑰；由于MN可以確認r1的新鮮性，HA可以確認y1的新鮮性，因此MN和HA分別可以確認密鑰是在當前會話中生成；同時，由于KMN-HA中的隨機數r1、y1分別來自MN、HA，因此可以實現會話密鑰的聯合控制；同時，由于每次會話密鑰的構建都由雙方的隨機數構成，因而可以保證會話的前向安全性。

同理：MN與AP之間的會話密鑰：KMN-AP僅有MN與AP才能生成，通過隨機數r5、m3保證秘鑰的安全性，并實現會話密鑰的聯合控制；

同理：AP與HA之間的會話密鑰，通過m1、y3來實現會話密鑰的聯合控制。

終端在家鄉域接入和域內切換中僅需MN與AP之間的會話密鑰協商其安全性同終端在外地域接入中的部分。

3.1.3 信息機密性

信息在傳輸過程中經過層層加密。如在終端注冊過程中，發送給HA的信息需經過AP和AS，則首先通過MN與HA之間的會話密鑰加密，然后通過與AS會話密鑰加密，最后通過與AP的會話密鑰加密，通過層層加密的方式來保證只有相應層的節點可以看到其對應層的信息，其他層看到的只是密文信息，從而保證信息的機密性，防止被動攻擊。同時，通過此層層加密，可以保證信息的定向傳輸，防止中間人攻擊和截獲攻擊。

3.1.4 可抵抗攻擊

通過以上的分析可知，本方案能夠抵抗被動攻擊、中間人攻擊、截獲攻擊和密鑰泄露造成的前向攻擊。同時，每次傳輸的信息中都包含了時間戳，因而可以抵抗重放攻擊；在每次的注冊和切換過程中，都經過兩兩之間直接或間接的雙向認證，從而抵抗偽造攻擊。

3.2 性能分析

在數據傳輸和切換的過程中，認證的時延可分為兩部分：數據傳輸時延和設備處理時延。

根據協議中數據傳輸的類型不同，傳輸時延可以分為三類：(1) 無線傳輸時延TMN-AP(終端與接入點之間的傳輸時延)；(2) 同一域內固定終端之間的傳輸時延TAP-AP,TAS-AP(接入點與接入點之間的傳輸時延、接入點與接入服務器之間的傳輸時延)；(3) 不同域的接入服務器之間的傳輸時延TAS-HA(接入服務器與終端原接入服務器之間的傳輸時延)。通常，域內的實體物理位置相對固定且距離比較近，可以近似為一固定值Tin；不同域之間的傳輸時延隨著兩實體間距離的增大而增大，設為Tout，且其可分解為多個固定Tin的組合，設Tout=mTin；終端與接入點之間的無線傳輸為Tw；一般情況下Tout>Tw>Tin；同時，數據在不同節點之間傳輸，需要進行數據的接收等處理，因此還有處理時延，設為TP。

協議中對數據的處理操作有橢圓曲線上的數乘運算Tcm、群上的乘法運算Tqm、雙線性匹配操作Tbp、hash函數運算Th、異或運算T⊕等；根據文獻[20]分析，與橢圓曲線上的數乘運算、雙線性匹配運算時間相比，其他的hash運算、異或運算等的時間可以忽略不記。

通過對與本方案具有近似安全強度和穩定性的方案2-IBS-HMIPv6[1]、c-HIBS-HMIPv6[2]進行性能對比分析如下所示：

域間認證時延：

根據不同協議中對數據的處理進行分析；

2-IBS-HMIPv6[1]需要終端經接入點和接入錨點MAP(接入域的服務器)向家鄉代理HA申請綁定更新，HA向MAP發送Q值以及簽名消息，MAP同樣生成簽名一并經接入點轉發給終端，完成雙向認證。在傳遞的過程中MAP的簽名過程和Q值的傳輸過程以及1層簽名、驗證和2層簽名、驗證，部分并行進行，減少認證時延，則其最少認證時延為：

T2-IBS-HMIPv6=3Tw+(2m+2)Tin+(2m+5)Tp+8Tbp+2Tcm

c-HIBS-HMIPv6[2]需要終端向接入點提供證書申請接入認證；接入點向接入錨點(同一域內的服務器)轉發終端證書；域內服務器向終端的家鄉代理轉發終端的遠程綁定更新消息；確認之后，依次經過接入錨點、接入點傳給終端完成移動注冊；并在域內更新證書接入列表。接入點之間的證書列表更新和接入點與終端、接入點與接入錨點之間的部分傳輸可以并行操作，減少認證時延，則其最少認證時延為：

Tc-HIBS-HMIPv6=3Tw+(2m+2)Tin+(2m+5)Tp+6Tbp+2Tcm

本方案，在接入外地網絡的過程中，不需要進行證書的傳遞以及Q值的信息更新交換；只需要對相互的認證碼MAC和M進行驗證，以及為新接入用戶生成私鑰；且此過程可以并行操作。同時，如果終端連續跨域切換，無需與家鄉網絡進行交互，且可以進行預切換；其切換時延為：

初次跨域接入：

Tfirstaccess=3Tw+(2m+3)Tin+(2m+6)Tp+14Tbp+2Tcm

臨近跨域切換：

Thandover=2Tw+2Tp

域內認證時延：

2-IBS-HMIPv6方案中，終端與MAP已經進行過雙向認證，MAP記錄了其Q值，不需要與其HA進行信息傳遞，終端可以直接在MAP域內切換，其最少切換時延為：

T2-IBS-HMIPv6=3Tw+2Tin+5Tp+6Tbp+2Tcm

c-HIBS-HMIPv6方案中，終端與MAP認證之后，MAP已經將終端證書發送給了所有接入點，當終端切換到其他接入點時，只需要接入點向MAP轉發域內更新消息，且與用戶簽名驗證可并行處理，其最少切換時延為：

Tc-HIBS-HMIPv6=3Tw+3Tp+4Tbp+2Tcm

本方案中，終端在域內接入點間切換，由于終端與下一接入點之間預切換，提前進行了會話密鑰的協商，在切換中接入點只需要對認證碼和終端接入信息進行解密驗證；且其中加密過程中的雙線性匹配操作可預計算，因而兩次握手中數據的加解密操作只需要兩次異或操作即可完成，因此其切換時延為：

T(in)=2Tw+2Tp

參考文獻[20]中參數的設定：Tw=4 ms，Tin=2 ms，Tp=0.5 ms；以及文獻[1]中雙線性匹配運算時間Tbp約為橢圓曲線數乘運算的時間Tcm的3倍；對總體的時延進行分析，結果如圖4、圖5所示 。

圖4 域間接入認證時延對比

圖5 域內切換認證時延對比

根據圖4和數據的分析得，在域間初次接入進行雙向認證的過程中，本文方案的認證時延比c-HIBS-HMIPv6、2-IBS-HMIPv6方案的時延都要長；原因為本方案考慮了信息交互中信息的機密性，兩兩之間的信息都經過密鑰加密，同時加密過程中需要進行雙線性匹配運算，因而增加了初次注冊接入的時間；然而，在之后的域間切換和域內切換過程中，由于本方案通過預認證規避了對雙線性匹配運算時間，有效地減少了切換時延；同時方案中無需證書的傳遞，因此數據傳輸量同比較少，有效地減少了其認證通信量；再者，在域間切換接入過程中，由于本方案中域邊界接入點擁有兩個域的私鑰，可以先與終端完成雙向認證，再為終端申請域內私鑰，因而可以有效地減少域間切換時延，保證服務質量。

同時，在域內切換中，本方案中進行預認證，在切換之前已經開始終端與下一接入點的雙向認證，切換發生時只需要進行認證碼和時間的簡單確認，因而本文方案相比其他2種方案優勢明顯。

4 結 語

在預認證線性快速接入方案中用到了基于身份的密碼體制。用戶和接入點可以根據相互的信息(如ID)計算出對方公鑰，無需預分配會話密鑰；通過會話密鑰的協商和認證碼的驗證進行切換的雙向接入認證，無需交換證書或者通過認證服務器進行認證，有效地減少了切換時延和通信開銷。然而，基于身份的密碼體制，雖然解決了證書管理、存儲等問題，但是也引入了密鑰托管的問題，如何能夠在保證快速切換的情況下有效地解決密鑰托管問題是下一步需要研究的問題。

[1] 田野,張玉軍,張瀚文,等.移動IPv6網絡基于身份的層次化接入認證機制[J].計算機學報,2007,30(6):905-915.

[2] 高天寒,郭楠,朱志良.節點證書與身份相結合的HMIPv6網絡接入認證機制[J].軟件學報,2012,23(9):2465-2480.

[3] 尚鵬,李小文,陳賢亮.TD-SCDMA/GSM雙模終端切換問題的研究[J].通信技術,2009,41(6):173-175.

[4] 張歷卓,賈維嘉,周仕飛.基于3G與WLAN網絡改進的切換策略研究[J].計算機科學,2010,37(3):49-51.

[5] 彭大芹,張文英,鄧江.LTE-TD雙模終端切換過程的ERRC研究與實現[J].重慶郵電大學學報,2012,24(2):169-173.

[6] Lee D H,Kim J G.IKEv2 authentication exchange model and performance analysis in mobile IPv6 networks[J].Personal and Ubiquitous Computing,2014,18(3):493-501.

[7] Han C K,Choi H K.Security Analysis of Handover Key Management in 4G LTE/SAE Networks[J].Mobile Computing,IEEE Transactions on,2014,13(2):457-468.

[8] Chi K,Zhu Y,Jiang X,et al.Practical throughput analysis for two-hop wireless network coding[J].Computer Networks,2014,60:101-114.

[9] Teuser C,Rossi D.Delay-based congestion control:Flow vs.BitTorrent swarm perspectives[J].Computer Networks,2014,60:115-128.

[10] Wu Q,Huang Z,Wang S.Heterogeneous voice flows-oriented call admission control in IEEE 802.11 e WLANs[J].International Journal of Electronics,2014,101(4):531-552.

[11] 錢紅燕.高速移動子網的切換與漫游關鍵技術研究[D].南京航空航天大學,2010.

[12] 李登.WLAN快速接入認證機制研究與實現[D].西安電子科技大學,2012.

[13] 肖躍雷,王育民.可信環境下的WLAN接入認證方案[J].蘭州大學學報:自然科學版,2013,49(4):547-553.

[14] Shamir A.Identity-based cryptosystems and signature schemes[C]//Advances in cryptology. Springer Berlin Heidelberg,1985:47-53.

[15] Boneh D,Franklin M.Identity-based encryption from the Weil pairing[C]//Advances in Cryptology—CRYPTO 2001.Springer Berlin Heidelberg,2001:213-229.

[16] Waters B.Efficient identity-based encryption without random oracles[M]//Advances in Cryptology-EUROCRYPT 2005.Springer Berlin Heidelberg, 2005:114-127.

[17] Paterson K G,Schuldt J C N.Efficient Identity-Based Signatures Secure in the Standard Model [M].Springer Berlin Heidelberg,2006:207-222.

[18] 李迪.無線Ad Hoc網絡的網絡容量及多跳路由算法研究[D].北京郵電大學,2011.

[19] Maccari L,Lo Cigno R.Betweenness estimation in OLSR-based multi-hop networks for distributed filtering[J].Journal of Computer and System Sciences,2014,80(3):670-685.

[20] He D,Chen C,Chan S,et al.Secure and Efficient Handover Authentication Based on Bilinear Pairing Functions[J].Wireless Communications,IEEE Transactions on,2012,11(1):48-53.

PRE-AUTHENTICATION LINEAR FAST ACCESS SCHEME

Ren Shuangting

(CollegeofComputerScienceandTechnology,NanjingUniversityofAeronauticsandAstronautics,Nanjing210016,Jiangsu,China)

Authentication is an important aspect for ensuring the safety of the entity in network access schemes. Authentication refers to a process in which one entity proves its claimed properties to another entity. This paper proposes a pre-authentication linear fast access scheme based on the analysis of existing fast access authentication schemes. The scheme avoids the problems of certificates storage and management in traditional public key cryptography by using the identity-based encryption, ensures the integrity of information through authentication code, completes the mutual authentication between entities in negotiation process of the session key, and encrypts the information to ensure that only the specified users can decrypt it. It is showed by analysing the security and performance that the proposed scheme has higher handover efficiency and security in linear high-speed handover process and is able to improve the service quality effectively.

Linear Handover Access Mutual authentication

2014-11-04。任雙廷，碩士生，主研領域：信息安全等。

TP3

A

10.3969/j.issn.1000-386x.2016.04.074