改進的IMS跨域間認證密鑰協商協議*

馮劍川　周國祥　丁志文

(1.海軍蚌埠士官學校信息技術系　蚌埠　233012)(2.91681部隊　寧波　315700)

?

改進的IMS跨域間認證密鑰協商協議*

馮劍川1周國祥1丁志文2

(1.海軍蚌埠士官學校信息技術系蚌埠233012)(2.91681部隊寧波315700)

摘要針對已有跨域間密鑰協商協議與IP多媒體子系統(IMS)會話建立過程不相匹配及安全性較差等問題，分析了IMS會話建立過程，研究了端到端信息傳輸的安全需求，提出一種改進的IMS跨域間認證密鑰協商協議IKAAP，并進行了安全性分析。結果表明，改進后的協議能夠保證終端用戶在三網融合環境下實現端到端信息的安全傳輸。

關鍵詞IP多媒體子系統; 跨域; 認證密鑰協商協議

Class NumberTP393.03

1引言

鑒于IP多媒體子系統(IP Multimedia System，IMS)體系架構基于域的特性，為實現IMS中端到端信息的安全傳輸，就需要采用跨域間認證密鑰協商協議以生成會話密鑰。目前已有很多學者提出跨域間認證密鑰協商協議[1～10]，但這些協議均不同程度存在以下問題:一是雖然可以滿足安全生成會話密鑰的要求，但其通信過程卻與IMS會話建立的過程不相匹配，即需要重新修改IMS會話建立過程，不利于認證密鑰協商協議與現有IMS系統的無縫嵌套；二是服務器保存有會話密鑰，存在信息被中間節點竊聽的風險；三是安全性不高，存在密鑰泄露攻擊和中間人攻擊等諸多安全問題；四是效率偏低且對客戶端計算能力要求偏高，不利于部署在嵌入式系統和復雜電磁環境中。

2改進的IMS跨域間認證密鑰協商協議

2.1改進原則

針對已有的IMS跨域密鑰認證協商協議存在的諸多不足，結合IMS會話通信特點，本文提出一種改進的IMS跨域間認證密鑰協商協議IKAAP(Enhanced Key Agreement Authentication Protocol)，協議在設計時基于以下原則:

1) 認證交換過程與IMS會話建立過程相匹配。已有認證協商協議雖然都可以滿足安全生成會話密鑰的要求，但其通信過程卻與IMS會話建立的過程不相匹配，這就需要重新修改IMS會話建立過程，不便于認證協商協議與現有系統的無縫嵌套。

2) 避免客戶端使用公鑰基礎設施(PKI)。在客戶端使用服務器的公鑰對傳輸的信息進行加密，就需要事先在客戶端配置公鑰基礎設施以分配服務器的公鑰，而用戶在會話建立之初就需要耗費更多的時間去獲取服務器和對端用戶的公鑰，同時對客戶端的計算能力也提出了較高要求。

3) 基于預共享的高熵長期密鑰。口令具有短小低熵、容易記憶的優點，但使用口令認證易于遭受字典攻擊和口令泄露攻擊。在IMS系統中客戶端和歸屬用戶服務器(Home Subscriber Server，HSS)之間預共享了高熵長期密鑰，基于該密鑰完成用戶的認證和授權。結合該特點，IKAAP基于預共享的高熵長期密鑰進行認證，并介入會話密鑰協商過程，避免用戶的身份冒用。

4) 相互認證。通過相互認證，在會話密鑰生成前可有效確保用戶身份的合法性以減少偽裝攻擊的發生。

2.2協議描述

協議的詳細過程如圖1所示，圖中符號說明如下。

圖1　改進的跨域間認證密鑰協商協議IKAAP

IDA，IDB:用戶UE A和UE B的身份標識；

IDSA，IDSB:呼叫會話控制實體服務器S-CSCF A和S-CSCF B的身份標識；

Ma，Mb:用戶A、B和對應的S-CSCF間預共享的長期密鑰(S-CSCF本身不存儲該密鑰，該密鑰實際存儲于HSS中，S-CSCF通過查詢HSS獲得)；

CKA，CKB:用戶A、B向對應的S-CSCF注冊時產生的加密密鑰；

PSA，PSB:服務器S-CSCF A和S-CSCF B的公鑰；

SSA，SSB:服務器S-CSCF A和S-CSCF B的私鑰；

[info]K:用密鑰K對信息info進行對稱加密；

{info}K:用密鑰K對信息info進行非對稱加密；

K:用密鑰K對信息info進行數字簽名；

p，q:兩個大素數，其中q| (p-1)；

G:有限域Zp的乘法群；

g:以q為階的群G的生成元；

H:理想的Hash函數；

L:票據生存期；

sk:會話密鑰；

x，y，ra，ra′，rb，rb′:[1,q-1]內的大隨機數。

為了建立會話密鑰sk，UE A和UE B將執行如下步驟:

1) UE A選擇隨機數x和ra，計算gxmodp，利用預共享的長期密鑰Ma和隨機數ra計算na=H(Ma,ra)。用注冊時產生的加密密鑰CKA對ra進行對稱加密，用na對A、B的身份標識IDA、IDB和gxmodp進行對稱加密，將密文[IDA,IDB,gx]na,[ra]CKA發送給S-CSCF A(為描述方便，以下省略modp)。

2) 收到[IDA,IDB,gx]na,[ra]CKA后，S-CSCF A用存儲的加密密鑰CKA對[ra]CKA進行解密，得到ra，利用預共享長期密鑰Ma和隨機數ra計算na=H(Ma,ra)，再解密[IDA,IDB,gx]na，驗證UE A身份的合法性。驗證通過后，用S-CSCF A的私鑰SSA對gx、IDA、IDB、ra和L(票據生存期)進行數字簽名，然后用S-CSCF B公鑰PSB進行非對稱加密得到票據Ticket={〈gx,IDA,IDB,ra,L〉SSA}PSB。之后S-CSCF A將Ticket，L發送給S-CSCF B。

3) S-CSCF B收到密文Ticket，L后，用自身的私鑰SSB對Ticket進行解密，利用S-CSCF A的公鑰PSA驗證數字簽名，并檢查票據生存期L的有效性，從而得到gx和ra。之后，選擇隨機數rb，利用與UE B預共享的長期密鑰Mb計算nb=H(Mb,rb)，用nb對gx、ra和S-CSCF B的身份標識IDSB進行對稱加密，用UE B注冊階段存儲的加密密鑰CKB對IDA、IDB、rb進行對稱加密，然后將加密結果[gx,ra,IDSB]nb,[IDA,IDB,rb]CKB發送給UE B。

4) UE B收到[gx,ra,IDSB]nb,[IDA,IDB,rb]CKB后，用存儲的加密密鑰CKB對[IDA,IDB,rb]CKB進行解密得到rb，用預共享的長期密鑰Mb和解密得到的rb計算nb=H(Mb,rb)，用nb再解密[gx,ra,IDSB]nb，驗證S-CSCF B身份的合法性并得到gx和ra。之后，UE B選擇隨機數y和rb′，計算會話密鑰sk=H(gxy,IDA,IDB)。用ra對gy進行對稱加密，用會話密鑰sk對IDA、IDB、rb′進行對稱加密，最終將加密結果[gy]ra,[IDA,IDB,rb′]sk發送給UE A。

5) UE A收到[gy]ra,[IDA,IDB,rb′]sk后，利用第1步選擇的隨機數ra解密[gy]ra得到gy。之后，利用第1步選擇的隨機數x計算會話密鑰sk=H(gyx,IDA,IDB)。解密[IDA,IDB,rb′]sk，得到rb′并驗證UE B身份的合法性，再計算[rb′]sk并發送給UE B。UE B收到[rb′]sk后，利用sk解密驗證rb′以最終確定雙方已成功進行密鑰認證協商。

3協議安全性分析

假設存在攻擊者T，對上節所給出的IKAAP進行如下安全性分析。

1) 字典攻擊

對于在線字典攻擊，假設T根據弱口令的構造特點猜測了用戶UE A的一個口令并計算出相應的驗證值，但由于口令僅是UE A在注冊過程中與服務器認證所需，并不參與后續的會話密鑰協商，故在線字典攻擊不適用。對于離線字典攻擊，由于在協議運行過程中無信息涉及到口令，因此離線字典攻擊亦不適用。

2) 口令泄漏攻擊

假設T竊取了UE A的口令試圖偽裝成UE A，攻擊者利用竊取的口令成功在服務器上進行了注冊，并試圖偽造密文1，但由于T不知道預共享的長期密鑰Ma，因此無法計算出na，從而S-CSCF A在解密密文1后就可以發現T，T偽裝攻擊失敗。同理，適用于用戶UE B。假設T竊取了用戶口令，并能獲取通信過程中的所有信息，由于口令僅在用戶注冊過程中與服務器認證時使用，并不參與后續的會話密鑰協商，因此攻擊者無法利用口令發起有效攻擊。

3) 密鑰泄漏攻擊

假設T竊取了UE A在注冊過程中生成的加密密鑰CKA，且能獲得通信過程中的所有信息，因此可通過密文1獲知選擇的隨機數ra。雖然T可利用ra成功解密密文4中的[gy]ra得到gy，但由于T不知預共享的長期密鑰Ma，故無法計算出用于解密密文[IDA,IDB,gx]na所需的密鑰na，從而無法得到gx，基于Diffie-Hellman難題，由gx計算x是不可行的，因此無法生成會話密鑰。同理適用于UE B。

假設T竊取了服務器S-CSCF A的私鑰SSA，成功解密密文2中的{〈gx,IDA,IDB,ra,L〉SSA}PSB得到gx和ra，進而成功解密密文4中的[gy]ra得到gy，但基于Diffie-Hellman難題，由gx和gy求出sk=H(gyx,IDA,IDB)在計算上是不可行的。

4) 中間人攻擊

假設T竊取了UE A在注冊過程中生成的加密密鑰CKA，意圖通過劫持密文1發動中間人攻擊。但由于T無法獲知UE A與S-CSCF A預共享的長期密鑰Ma，故無法計算解密密文1中[IDA,IDB,gx]na所需的密鑰na，從而無法實現中間人攻擊。同理，適用于UE B加密密鑰被竊取的情形。

5) 相互認證

協議第2步基于預共享的高熵密鑰S-CSCF A可對UE A進行認證，第3步S-CSCF B通過驗證基于非對稱加密體制的數字簽名可對S-CSCF A進行認證，第4步UE B基于預共享的高熵密鑰可對S-CSCF B進行認證，從而實現UE B對UE A的認證。UE A通過解密UE B發回的消息驗證第1步發送的隨機數ra和自身的身份標識IDA從而實現對UE B的認證。因此該協議可實現用戶之間的相互認證。

6) 前向安全性

假設T成功獲取了用戶口令，加密密鑰CKA和CKB，服務器的私鑰SSA和SSB，并成功解密協議運行過程中的密文信息得到gx、gy，但基于Diffie-Hellman難題，要想獲得會話密鑰sk=H(gyx,IDA,IDB)在計算上是不可行的，從而無法計算出之前的會話密鑰。因此，該協議具有良好的前向安全性。

4嵌入IMS會話

協議成功執行后，UE A和UE B得到了會話密鑰，可用于后續的信息傳輸加密，IKAAP協議與IMS會話建立過程無縫嵌套，密鑰協商信息可置于會話描述協議(Session Description Protocol，SDP)消息的擴展字段中實現。

5結語

針對三網融合環境中密鑰協商特點，本文給出了一種改進的IMS跨域間認證密鑰協商協議IKAAP，并對該協議進行了安全性分析。IKAAP協議可無縫嵌入IMS會話建立過程，在安全性方面有一定提升，能夠保證終端用戶在三網融合環境下實現端到端信息的安全傳輸。

參 考 文 獻

[1] Byun J W，Jeong I R，Lee D H．Password-authenticated key exchange between clients with different passwords[C]//Lecture Notes in Computer Science．Berlin:Springer Press，2002:134-146.

[2] CHEN Chi-yuan，WU Tin-yu．An efficient end-to-end security mechanism for IP multimedia subsystem[J]． Computer Communications，2008，25(5):1-10．

[3] FENG Deng-guo，XU Jing．A New Client-to-Client Password Authenticated Key Agreement Protocol[C]//Coding and Cryptology Lecture Notes in Computer Science．Berlin:Springer Press，2009:63-76.

[4] 柳秀梅.基于口令認證的密鑰交換協議若干關鍵技術研究[D]．沈陽:東北大學，2009:34-40．

[5] 張紅旗，張文波，張斌．網格環境下基于身份的跨域認證研究[J]．計算機工程，2009，35(17):160-162．

[6] 鮑慧，徐芳琴，李艷冠．IMS網絡端到端安全機制研究[J]．中國多媒體通信，2009，69(3):34-37．

[7] 范慶娜，姚琳，吳國偉．普適計算中的跨域認證與密鑰建立協議[J]．計算機工程，2010，36(11):137-139．

[8] 陳安林，潘進．移動自組網中跨域兩方認證密鑰協商協議研究[J]．計算機應用研究，2011，28(7):2734-2737.

[9] CHEN Ming，WU Kai-gui，XU Jie．A Certificateless and Across Administrative Domains Authenticated Key Exchange Scheme for E-payment[J]．Journal of Software，2011，6(10):1985-1991．

[10] 姚瑤，王興偉．基于跨域認證與密鑰協商的協議模型[J]．計算機工程，2012，38(9):12-14.

An Improved IMS Cross-domain Key Authenticated Agreement Protocol

FENG Jianchuan1ZHOU Guoxiang1DING Zhiwen2

(1. Naval Bengbu Sergeant School, Bengbu233012)(2. No. 91681 Troops of PLA, Ningbo315700)

AbstractAiming at session process between cross-domain key agreement protocol and IP multimedia subsystem (IMS) does not match and security poor, process of IMS session establishment is analyzed, security requirements of end-to-end information transmission is studied, an improved IMS cross-domain key authenticated agreement protocol(IKAAP) is put forward, and improved protocol’s security is analyzed. Result shows that the improved protocol can guarantee the end user in the triple play environment to realize the end-to-end security information transmission.

Key WordsIP multimedia subsystem, cross-domain, key authenticated agreement protocol

* 收稿日期：2015年11月9日,修回日期：2015年12月29日

作者簡介：馮劍川，男，碩士，講師，研究方向：信號通信。周國祥，男，碩士，講師，研究方向：無線通信。丁志文，男，研究方向：信號通信。

中圖分類號TP393.03

DOI：10.3969/j.issn.1672-9730.2016.05.027