一種基于AAA證書和身份簽名的混合認證方法

蒲志強,馮 山

(1.綿陽師范學院 信息工程學院,四川 綿陽 621000;2.四川師范大學 數學與軟件科學學院,四川 成都 610066)

一種基于AAA證書和身份簽名的混合認證方法

蒲志強1,馮 山2

(1.綿陽師范學院 信息工程學院,四川 綿陽 621000;2.四川師范大學 數學與軟件科學學院,四川 成都 610066)

基于移動IPv6結合證書認證和身份簽名認證,對移動節點安全提出一種快速、低成本和擴展性好的混合認證方法.該方法綜合證書認證和身份簽名認證的優點,在認證過程中不完全依賴于可信第三方的安全認證,能夠實現移動節點與接入網絡的雙向認證.并用BAN邏輯方法對提出的改進方法進行了分析,結果表明該方法提高了移動節點的認證效率.

移動IPv6; 移動節點; 混合認證方法; BAN邏輯方法

在移動IPv6[1]中基于身份簽名認證方法[2]可以避免證書認證方案中PKI的部署[3-4],但部署PKI通用可信第三方機構(CA)[5-6]難度大、成本高,涉及很多非技術因素.移動節點跨域漫游時需要對所有AAA[7]實體的證書進行有效管理,此時CA問題就會變得復雜.而基于身份簽名認證簡化了密鑰的管理,采用網絡接入標識符(NAI)作為用戶的公鑰,使用這種方法有效解決了基于PKI認證方法存在的問題,成本低,易實現.但基于身份簽名認證方法需要預先共享一組系統參數,因此也限制了該方法的可擴展性.

1 通信實體私鑰及共享系統參數的產生

為提高認證系統的使用效率,對一般的AAA體系結構主要采用隨機數機制[8]、移動節點的NAI作為公鑰[9]、使用橢圓曲線簽名[10]算法進行改進.

PKG[11]為私鑰生成中心,負責為所屬管理域內各實體的公鑰產生相應的私鑰.設私鑰為s(即本系統的私鑰),公鑰PPKG=sp,該管理域內共享的系統參數為〈p,PPKG,H1,H2〉,PKG不參與通信過程.

1) 移動節點的公鑰為MN@,私鑰為SMN@=sMN@；

2) 訪問域AAA服務器的公鑰都為AAAv@,PKG生成的私鑰為SAAAv=sAAAv@,證書私鑰為SKAAAv；

3) 家鄉域AAA服務器的公鑰都為AAAH@,PKG生成的私鑰為SAAAH=sAAAH@,證書私鑰為SKAAAH；

4) 家鄉代理的公鑰為HA@,私鑰為SHA@=sHA@.

移動節點MN擁有AAAv的公鑰和自己的私鑰.

2 認證系統的構造

為了實現混合認證,系統必須具備如下基本組件：

1) 可信的CA負責為每個不同管理域的PKG、AAAv和AAAH頒發證書；

2) 每個管理域中有一個該管理域中所有通信實體都信任的PKG；

3) 每個管理域中的AAA認證服務器擁有本管理域共享的系統參數；

4) 除了上述組件以外,通信實體必須可以進行基于身份的簽名運算.

混合認證的系統網絡拓撲關系如圖1所示.

3 認證過程描述

在身份認證和注冊階段,該認證方法通過使用基于NAI的密碼體制實現了認證.認證過程如圖2所示.

實現過程描述：

M1=REG‖{REG}signSMN@,

REG=HoA‖CoA‖MN@‖NMN‖BU.

當MN接收到家鄉代理HA代理通告消息并獲得新的轉交地址后,產生注冊請求消息REG,包括自己的家鄉地址HoA、新獲得的轉交地址CoA、MN@、產生的隨機數NMN及綁定更新請求BU;然后用自己的私鑰對REG簽名(基于身份簽名認證)并和REG一起生成M1發送給AR.MN用自己的私鑰對REG進行簽名以保證REG消息的真實性和完整性；MN產生的初始隨機數NMN用于保證傳輸過程中注冊消息的新鮮性.

M2=〈M1-AVP〉.

AR收到M1后,無法驗證MN的身份和驗證注冊請求消息,作為Diameter消息一個AVP封裝在M2消息中并轉發給AAAv.

M3={〈M1‖NAAAv‖CERTAAAv〉-AVP}signAAAH@.

AAAv收到AR發來的M2消息后,用Diameter協議解析取出M2中的MN@,對MN@后的域字符串和MN的家鄉地址進行分析,得出MN的家鄉域.如果該MN是本地域的用戶,則直接經過AAAv的驗證計算:如果是本地用戶且認證成功,則返回肯定的注冊結果,通知接入路由器AR此MN是合法用戶,允許使用本地網絡資源；如果為本地用戶,并且認證不成功,就發回否定認證結果,AR則禁止該MN使用網絡資源,在圖2中直接跳轉到7).如果分析發現MN為外地用戶,通過分析得到MN的家鄉域,把M1、AAAv新產生的另外一個隨機數NAAAv及AAAv的數字證書CERTAAAv一起作為Diameter消息的一個AVP,并用AAAH的證書公鑰簽名封裝在M3中轉發給家鄉域的AAAH.SignAAAH@是對消息的簽名(基于證書認證),CERTAAAv是AAAv的數字證書,NAAAv是AAAv新產生的一個隨機數.

M4={〈BU‖NMN‖AS〉-AVP}signHA@.

AAAH收到M3后,用自己的證書私鑰解密M3驗證消息的真實性和完整性(基于證書認證),取出CERTAAAv驗證AAAv的身份,取出M1中MN@計算并驗證MN的身份.如果該MN是合法的且認證成功,則生成肯定的認證結果AS,并取出其中的BU消息,把BU和AS作為Diameter消息的一個AVP用HA的公鑰HA@簽名封裝在M4中轉發給HA.如果不是合法用戶,就生成否定認證結果,并返回給本地域中的AAAv服務器.

M5={〈REP-AVP〉}signAAAH@,

REP={HoA‖CoA‖NMN‖BA}.

HA收到M4后用自己的私鑰SHA@解密M4(基于身份簽名認證),得到MN的BU以及肯定的認證結果AS,將MN此時的轉交地址CoA與家鄉地址HoA綁定,產生注冊成功應答信息REP作為Diameter消息的一個AVP封裝并用AAAH的公鑰簽名生成M5發送給AAAH,其中REP包括MN的家鄉地址HoA、新獲得的轉交地址CoA、MN的初始隨機數NMN及綁定確認消息BA.用HA的私鑰簽名,發送給AAAH.

M6={〈REP‖AS‖CERTAAAH‖NAAAv〉-AVP}signAAAv@.

AAAH用自己的私鑰SAAAH@解密M5消息,得到HA關于MN的綁定確認應答消息REP,連同認證成功消息AS、AAAH的數字證書CERTAAAH和此前接收到的AAAv產生的隨機數NAAAv,一起作為Diameter消息的一個AVP,并用AAAv的公鑰簽名(基于證書認證)后,封裝在M6中發送給AAAv.

M7={{BA‖NMN}signSAAAv}signMN@.

AAAv收到M6之后,用自己的私鑰解密以驗證消息的真實性與完整性,并得到AS和REP,用NMN驗證消息的新鮮性,并通知接入路由器MN是合法用戶允許接入當前網絡使用該網絡資源,然后取出BA和NMN用自己的私鑰簽名,再用MN的公鑰簽名生成M7(基于身份簽名認證),最后把消息M7發給AR.

AR收到M7之后,直接把M7轉發給MN.MN先用自己的私鑰解密消息M7,然后用AAAv的公鑰對接入網絡的認證(基于身份簽名),得到綁定確認消息和允許使用當前網絡,同時通過NMN驗證了消息的新鮮性.

此過程實現對移動節點的身份認證,同時完成移動節點與家鄉代理的注冊.

4 該認證方法的性能分析

本文主要從安全性和可行性2個方面分析所提出的混合認證方法的性能.

4.1 安全性分析

1) 通信實體之間基于身份簽名實現認證.該認證算法是基于橢圓曲線的離散對數問題,因此具有良好的安全性,可以有效防止安全攻擊,主要表現在以下2個方面：

(i) 私鑰的保密性.由IBS機制可知,任何用戶u的私鑰dID都是由它的PKG用私鑰s通過dID←sQID計算得到.對于其他用戶u′來說,只能獲得dID′←sQID′.由于解決群G1上的離散對數問題(DLP)是困難的,u′無法計算出s,也就無法得到dID.所以,任一實體私鑰只有它的PKG知道,其他實體包括其他PKG都無法產生其私鑰.

(ii) 簽名的不可偽造性.用戶u的身份是ID,私鑰是dID,針對消息M的簽名

如果攻擊者通過試圖攻破IBS機制的本身達到偽造簽名在有限的時間里是不可能的,因為解決群上離散對數問題是困難的[12]；如果攻擊者通過收集移動節點的簽名消息而偽裝成新的簽名進行重放攻擊,但由于簽名消息中攜帶了隨機數信息,驗證者可以很容易識破這種攻擊.

2)AAAv和AAAH之間沒有進行系統參數的交換,在AAAv請求AAAH的認證過程中使用證書體制所提供的安全性,可以有效地保證消息的完整性和真實性,通過使用隨機數N,可以有效地實現消息的及時性和防止消息的重放.

3) 認證過程中各通信實體之間不需要預先共享密鑰,能有效防字典攻擊.

4)PKG作為可信任的第三方,作用和CA相同,在整個認證過程中不參與認證.它采用離線方式避免某些攻擊.為防止PKG權限過大的問題,則采用門限技術[13]能有效解決此問題.

5) 移動節點和AAAv之間的雙向認證：AAAv通過AAAH對MN身份的真實性進行認證,因為只有移動節點的私鑰才可以產生合法簽名.同樣,MN通過AAAv對消息M7的簽名進行認證.

6) 由于AAAv與AAAH之間是基于證書的認證,所以它們之間的認證是安全的.AAAH與HA屬于同一個管理域共享系統參數,不存在交換各自的系統參數,它們之間擁有自己的公鑰和私鑰,相互間的認證可以通過身份簽名實現.

7) 移動節點和家鄉代理雙向認證.HA借助AAAH對MN身份的真實性進行的認證,只有驗證成功后才能完成移動節點的注冊,而MN通過綁定確認消息對HA進行了認證.

8) 對消息的新鮮性采用了雙重保護機制.整個傳輸過程中消息的新鮮性保護通過MN初始產生的隨機數NMN實現,AAAv到AAAH之間傳輸消息的新鮮性保護通過AAAv產生的隨機數NAAAv實現.

4.2 可行性分析

1) 成本低.該方法的認證過程只需要部署少量的基于證書的PKI,證書認證僅限于AAA之間,而不是單個的通信節點之間,可以極大地減輕部署PKI中可信CA的工作量和認證時對公鑰證書的依賴；通過采用NAI作為通信實體的公鑰,大大降低了管理密鑰給每個移動節點帶來的負擔；另外該方法還消除了移動節點為請求或維護證書帶來的沉重的操作或通信負擔.

2) 可操作性強.移動節點如果在家鄉域中,AAAH對其進行驗證,因為AAAH擁有本管理域共享的系統參數.顯然,這種認證方式在物聯網中是可行的.

3) 靈活性大.某個管理域內共享的系統參數更新時不必通知CA,因此增強了認證系統的靈活性.

4) 通過該方法既可以對移動節點進行認證,同時還能完成移動節點在家鄉代理的注冊.

5 認證過程的形式化分析

BAN邏輯方法[14]使用基于知識和信念的邏輯來建立所分析認證協議的安全需求模型,是目前為止分析認證協議使用最廣泛的一種方法[15].BAN邏輯是一個形式邏輯模型,它假設認證是一個完整性和新鮮度的函數,并使用了邏輯規則對認證過程進行跟蹤.本文使用BAN邏輯方法對提出的認證方案進行如下分析：

1) 建立初設集合α.

(ii) AAAH|≡#(TSMN),AAAH|≡#(TSAAAv);

(iii) MN|≡#(TSMN),HA|≡#(TSMN).

2) 理想化的協議模型.

(i) MN→AAAH:TSMN,M3;

(ii) AAAH→HA:TSMN,M4;

(iii) AAAH→MN:TSMN,M7.

3) 建立協議預期目標集合γ.

γ={HA|≡MN;AAAv|≡MN;MN|≡AAAv}.

4) 利用初始和邏輯法則分析認證過程.

(i) AAAv?TSMN,M2.

因為AAAv|≡#(TSMN),所以AAAv|≡#(M2)(新消息判斷公設).

(ii) AAAH?TSMN,M3.

因為AAAH|≡#(TSMN),所以AAAH|≡(M1)(新消息判斷公設).又因為

AAAH≡AAAv|～M3,

所以

AAAH|≡|MN|～M1,

因此

AAAH|≡AAAv,AAAH|≡MN.

(iii)HA?TSMN,M4.

因為HA|≡#(TSMN),所以HA|≡#(M4)新消息判斷公設).又因為

HA|≡AAAH|～M4,

所以HA|≡MN.

(iv)AAAv?TSAAAv,M6.

因為AAAv|≡#(TSAAAv),所以AAAv|≡#(M6)(根據新消息判斷公設).又因為

所以AAAv|≡AAAH.又因為

AAAH|≡MN,AAAv|≡AAAH,

所以AAAv|≡MN.

(v)MN?TSAAAv,M7.

因為MN|≡#(TSMN),所以MN|≡#(M7)(根據新消息判斷公設).又因為

MN|≡AAAH,AAAH|≡AAAv,

所以MN|≡AAAv.

4) 推導出最終目標集合γ′.

γ′={HA|≡MN;AAAv|≡MN;MN|≡AAAv},

6 結束語

本文設計了一種在移動IPv6中基于AAA證書和身份簽名的混合認證方法,給出了具體的認證過程和性能分析,最后通過BAN形式化分析對該方案的可行性進行了分析.雖然此種方法解決了移動IPv6中對MN跨管理域的認證問題,但還是需要有少量CA、PKI和PKG的支持,而且要求移動節點具有較強的計算能力,因為簽名和驗證都需要較大的計算量.另外,針對每個域的PKG權限過大問題,雖然目前已提出了具體的解決方案[16-17],但還不是理想的方法,接下來的工作中還需要對此進行更深入的研究.

[1] JOHNSON D,PERKING C,ARKKO J.RFC 3775,mobility Support in IPv6[S].[S.I.]:IETF,2004.

[2] YI X.An identity-based signature scheme from the Weil pairing[J].IEEE Commun Lett,2003,7(2):76-78.

[3] GUTTMAN P.PKI:it’s not dead,just resting[J].IEEE Computer,2002,35(8):41-49.

[4] 袁衛忠,王德強,茅兵,等.公鑰基礎設施的研究與進展[J].計算機科學,2004,31:82-88.

[5] GENTRY C.Certificate-based encryption and the certificate revocation problem[C]//Proc of Eurocrypt.Berlin:Springer-Verlag,2003:272-293.

[6] 關振勝.公鑰基礎設施PKI及其應用[M].北京:電子工業出版社,2008.

[7] PERKINS C.Mobile IP joins forces with AAA[J].IEEE Personal Commun,2000,7(4):59-61.

[8] BONEH D,FRANKLIN M.Identity based encryption from the Weil pairing[C]//Proc of the Crypto 2001.LNCS 2139.Berlin:Springer-Verlag,2001:213-229.

[9] 田野.基于身份密碼學的MIPv6安全切換研究[D].中國科學院計算技術研究所,2006:59-74,101-120.

[10] HASKIN F.Efficient identify based signature schemes based on pairings[C]//Selected Area in Cryptography 2002.LNCS 2595.Heidelberg:Springs-Verlag,2003:310-324.

[11] SHAMIR A.Identity-based cryptosystems and signature schemes[C]//Advances in Cryptology-Crypto 1984,LNCS196.Berlin:Springer-Verlag,1984:47-53.

[12] CHA J,CHEON J.An identity-based signature from gap Diffie-Hellman groups[C]//Proc of the PKC 2003.LNCS 2567.Heidelberg:Springer-Verlag,2003:18-30.

[13] CAI D,HE X,HAN J.Tensor space model for document analysis[C]//Proc of the 29th Annual International ACM SIGIR Conference on Research and Development in Information Retrieval.New York:ACM Press,2002:625-626.

[14] MICHAEL BURROWW.A logic of cryptographic[J].ACM Transactions on Computer Systems,1990,8(1):18-36.

[15] 卿斯漢.安全協議[M].北京:清華大學出版社,2005:112-116.

[16] GENTRY C,SILVERBERG A.Hierarchical ID-based cryptography[C]//Advances in Cryptology-Asiacrypt’02.LNCS2501.Berlin:Springer-Verlag,2006:548-566.

[17] 張龍軍,莫天慶,趙李懿.基于無證書簽密的代理移動IPv6 認證方案[J].計算機應用研究,2012,29(2):640-643.

(編輯 李德華)

A Mixed Authentication Method Based on AAA Certificate and Identity Signature

PU Zhiqiang1,FENG Shan2

(1.SchoolofInformationEngineering,MianyangTeachers’College,Mianyang621000,Sichuan；2.CollegeofMathematicsandSoftwareScience,SichuanNormalUniversity,Chengdu610066,Sichuan)

A mixed authentication method of mobile node security which is fast,low-cost and extensible is proposed based on the mobile IPv6,certificate and identity signature authentication.The advantages of this method are as follows: firstly,the advantages of certificate and identity signature authentication have been integrated in the method.Secondly,the bidirectional authentication between mobile node and access network can be achieved.At last,a formally analysis of this method has been finished under BAN logical system which shows that the authentication efficiency of the mobile node can be improved.

mobile IPv6; mobile node; mixed authentication method; BAN logical system

2016-01-07

四川省教育廳自然科學基金(13ZB0125)

蒲志強(1975—),男,講師,主要從事網絡信息安全的研究,E-mail:pzq999@mnu.cn

TP393

A

1001-8395(2017)02-0267-05

10.3969/j.issn.1001-8395.2017.02.020