USBKey輔助的無證書移動IP注冊認證協議

黃國盛，夏明華

HUANG Guosheng1,2,XIAMinghua2

1.湖南第一師范學院 信息科學與工程學院，長沙 410205

2.中山大學 電子與信息工程學院，廣州 510006

1.School of Information Science and Engineering,Hunan First Normal University,Changsha 410205,China 2.School of Electronics and Information Technology,Sun Yat-sen University,Guangzhou 510006,China

1 引言

移動IP是在Internet上提供移動性支持的協議，是計算機網絡的一個重要發展方向。在移動IP中，因為節點的移動性和無線鏈路的開放性，在網絡中引入了新的安全問題，其中最關鍵的是移動節點（Mobile Node，MN）的注冊安全[1-3]。當MN從家鄉子網移動到外地子網時，需向其家鄉代理（Home Agent，HA）發送注冊請求、注冊其在外地子網獲得的轉交地址（Care of address，CoA），注冊完成后，所有發往MN的數據包將發往其CoA。攻擊者可以利用這一特性偽造注冊信息來截獲發往MN的數據包，給MN和通信對端節點（Correspondent Node，CN）帶來安全威脅。因此，移動注冊安全是移動IP需解決的一個核心問題[4-6]。

移動IP中的移動注冊涉及MN、HA和外地代理（Foreign Agent，FA）等協議實體，其中特別要加強對MN的安全保護[4]。針對移動IP中的注冊安全問題，最早的移動注冊協議通過手動分發對稱密鑰的辦法實現通信實體的相互認證，這種認證方式原理簡單、注冊延時小，但密鑰分發和管理非常困難，且MN的密鑰容易被非法竊取、猜測和替換。文獻[7-8]提出了基于證書的移動IP注冊協議加強移動注冊安全，但這些協議存在著繁瑣的證書管理問題。文獻[9-11]提出了一種無證書的移動IP注冊認證協議，可以減少證書管理帶來的代價和注冊延時，有效改善了協議性能，但這類方案在無線移動環境中存在MN密鑰等身份信息泄露的風險，在身份認證方面還存在安全隱患[12-13]。通過USBKey加強身份認證是近年來發展起來的一種安全可靠的認證技術。USBKey具有雙重身份認證機制：驗證UserPIN碼和USBKeyID[14]。其中，USBKeyID可以作為MN的私鑰。如果移動用戶丟失USBKey硬件，只要UserPIN碼沒有被攻擊者竊取，攻擊者將無法讀取USBKeyID，仍然可保證信息安全；如果UserPIN碼泄密，只要用戶的USBKey硬件沒有被非法獲取，攻擊者也不能仿冒用戶身份[14-15]。本文結合USBKey和無證書認證協議的優點，提出一種USBKEY輔助的無證書移動IP注冊認證方法，并區別于傳統的USBKey認證，使移動注冊與身份認證同步進行，具有注冊延遲小和安全性強的優點。

2 USBKey輔助的移動注冊認證方法

本文提出的注冊認證協議的基本思想是通過USBKey實現對MN私鑰的加密保護，將USBkey輔助的身份認證集成到MN周期性的移動注冊中，并通過數字信封和數字簽名技術加強對認證信息的加密保護，從而提高移動注冊的安全性和可靠性。

2.1 注冊認證思路

MN向其HA申請USBKey，將MN的UserPIN碼、USBKeyID及相應加密算法寫入USBKey內部存貯器，通過USBKey保護MN在注冊中使用的個人信息。其中，UserPIN作為訪問USBKey內部信息的密鑰，USBKeyID作為MN進行數字簽名的私鑰（從外部不能直接讀取）。MN每次進行移動上網時，必須插入USBKey。同時，在插入USBKey后首次進行移動注冊前，必須輸入正確的UserPIN碼才能讀取USBKey中的私鑰、調用其中的加密算法實現身份認證過程。在MN每次進行移動注冊時同步進行身份認證，并通過對稱加密和非對稱加密算法實現對注冊報文的加密保護，防止注冊信息被竊取、篡改和偽造，充分保證移動注冊的安全。

2.2 協議符號定義

為便于協議描述，引入相應的符號定義，如表1所示。

2.3 注冊認證過程及協議描述

MN通過接收代理廣播（Agent Advertisement）判斷自己是位于家鄉子網還是位于外地子網，并判斷是否從一個子網移動到了另一個子網。當MN移動到某一個外地子網時，根據收聽到的代理廣播選擇一個FA，并獲得一個屬于該子網的CoA。隨后，MN向FA發送注冊請求（Registration Request）報文，以注冊反映其當前網絡接入位置的轉交地址。FA將處理后的注冊請求發往MN的HA。如果HA確認其收到的是有效的注冊請求，將為MN建立一個移動綁定（Mobility Binding），記錄MN獲得的CoA。同時HA經FA向MN返回一個注冊響應報文（Registration Reply），FA收到從HA發來的注冊響應報文后轉發至MN，完成移動注冊。移動注冊和身份認證中完成的相關操作如圖1所示。

表1 注冊認證協議中的符號定義

圖1 移動注冊與身份認證中的相關操作

在注冊過程中，通信雙方通過隨機對稱共享密鑰對注冊信息進行加密，通過Hash函數產生消息摘要對注冊信息進行完整性保護，并通過數字簽名進行身份認證。其中，MN用于數字簽名的私鑰為MN的USBKeyID（保存在USBKey中）。

（1）MN接收由FA發送的代理廣播Msg0

在FA發送的代理廣播 Msg0中，包括FA的IP地址，MN在該子網可以使用的CoA，FA發送給MN的隨機數等信息。

（2）MN向FA發送注冊請求報文Msg1

Msg1=(M1,σM-F)，即注冊請求報文 Msg1分成兩個部分：

第一部分為 M1，M1=({Request,RM-F}KM-F，＜KM-F＞PKF,＜RM-H＞PKH,σM-H)，包括Request消息（其中包含了MN的HA地址及MN請求注冊的CoA等），MN發給FA的隨機數RM-F（來源于FA在代理廣播中發給MN的隨機數），MN和FA的隨機對稱共享密鑰KM-F，MN發給HA的隨機數RM-H等。為保證注冊數據的安全性，Request消息和隨機數RM-F通過隨機對稱共享密鑰KM-F加密，KM-F通過FA的公鑰PKF加密（只有FA的私鑰才能解密），即通過數字信封技術傳輸共享密鑰，充分保證注冊信息的安全性。RM-H通過HA的公鑰PKH加密，只有通過HA的私鑰才能解密。

M1中的 σM-H=＜H(RM-H)＞SKM，其中，SKM=USBKeyID。σM-H為MN對其在注冊請求中發送給HA的隨機數RM-H的數字簽名，即MN對RM-H通過Hash函數生成定長的散列值后，再通過MN的私鑰SKM進行加密（SKM為USBKey的硬件標識USBKeyID）。HA收到注冊請求報文后，可以通過σM-H驗證MN的身份。其中MN私鑰只有輸入MN合法的UserPIN碼才能從USBKey中讀取，可充分保證MN私鑰的安全。

第二部分為 σM-F,σM-F=＜H(M1)＞SKM，即MN對注冊請求報文的第一部分M1通過Hash函數生成定長的消息摘要，再通過MN的私鑰SKM（即USBKeyID）對生成的消息摘要進行加密，形成MN對M1的數字簽名。

FA收到Msg1報文后，首先用MN的公鑰PKM對σM-F進行解密，如解密成功則證明該報文是從MN發出的，并得到由MN在Msg1中封裝的消息摘要digest1，即H(M1)。同時，FA對Msg1報文的第一部分M1通過Hash函數生成消息摘要digest2。如果digest1與digest2相等，則驗證了消息的完整性。FA對MN進行身份認證和對注冊請求報文進行完整性檢驗的過程如圖2所示。

圖2 身份認證和完整性檢驗

然后，FA通過其私鑰SKF解開數字信封得到共享密鑰KM-F。FA再通過得到的隨機共享密鑰KM-F解密注冊請求報文中的Request消息密文，得到Request消息和隨機數RM-F。FA檢查Msg1中收到的RM-F是否等于它先前廣播的隨機數，以驗證注冊請求報文的新鮮性、防止重放攻擊。

FA從Request消息中記錄MN注冊請求的源IP地址、源UDP端口號、HA地址和該請求的生存時間等信息后，將注冊請求報文轉發至HA。

（3）FA向HA轉發注冊請求消息Msg2

其中 M2=({Request,RF-H}KF-H,＜KF-H＞PKH,

KF-H為FA與HA的隨機對稱共享密鑰，通過數字封信技術加密保護。

HA收到 Msg2后，首先通過FA的公鑰 PKF對σF-H進行解密，如果解密成功則證明Msg2是FA轉發的，并得到FA在Msg2中封裝的消息摘要digest3。同時，HA對注冊請求消息Msg2中的M2通過Hash函數生成消息摘要digest4，如是digest3與digest4相等，則驗證了消息的完整性。然后，HA通過其私鑰SKH解密＜KF-H＞PKH，得到共享密鑰KF-H，并通過共享密鑰KF-H得到Request消息和隨機數RF-H，RF-H可用于防止重放攻擊。同時，HA通過其私鑰SKH解密＜RM-H＞PKH，得到RM-H。HA從注冊請求報文中得到隨機數RM-H后，通過Hash函數生成定長散列值digest-RM1，并通過MN公鑰解密σM-H得到MN封裝的對RM-H生成的散列值digest-RM2，如digest-RM1和digest-RM2相等，則可以驗證MN的身份和隨機數RM-H的完整性。

如以上操作成功，則HA在其綁定緩存中建立MN的綁定項，并向FA返回注冊響應報文。

（4）HA向FA返回注冊響應報文Msg3

KH-F為HA與FA的隨機共享密鑰，KH-F通過數字封信技術加密。Reply為HA返回給MN的注冊響應消息。RH-F為HA發給FA的隨機數，RH-M為HA發給MN的隨機數（來源于MN在注冊請求報文中發給HA的隨機數），用于防止重放攻擊。σH-M為HA對隨機數RH-M的數字簽名。MN可通過σH-M驗證HA的身份。

FA收到注冊響應報文Msg3后，首先通過HA的公鑰PKH對σH-F解密，如果解密成功，則證明該消息是由HA發出的，并得到消息摘要digest5。同時，FA對注冊響應報文中的M3通過Hash函數生成消息摘要digest6，如果digest5與digest6相等，則驗證了消息的完整性。然后，FA通過私鑰SKF解密數字信封，得到共享密鑰 KH-F，再通過KH-F得到Reply消息和隨機數RH-F。FA更新其來訪的MNs列表，并根據在MN的注冊請求中記錄的信息，將注冊響應消息轉發給MN。

（5）FA向MN轉發注冊應答報文Msg4

MN收到注冊應答報文Msg4后，先通過FA的公鑰PKF驗證數字簽名σF-M。然后，MN通過私鑰SKM（即USBKeyID）解密數字信封得到共享密鑰KF-M，通過KF-M得到Reply消息和隨機數RF-M。然后MN通過其私鑰解密 ＜RH-M＞PKM，得到隨機數RH-M，驗證RH-M是否等于先前在注冊請求報文中發給HA的隨機數RM-H（MN通過隨機數RM-H可防止重放攻擊）。驗證成功后，MN根據Reply消息修改其綁定緩存和路由表，并將FA作為其在當前外地子網的默認路由器，完成移動注冊過程。

3 安全性能分析

本文提出的協議可顯著加強移動IP注冊認證的安全性，下面從5個方面進行分析。

3.1 MN密鑰的安全保護

MN的私鑰為USBKeyID，加密保存在USBKey硬件中。MN進行移動注冊時，必須擁有相應的USBKey硬件才能獲取USBKeyID作為密鑰，因而可以有效防止他人冒充MN進行移動注冊。MN在USBKey中保存的密鑰（即USBKeyID）可以通過用戶設定的UserPIN碼進行保護，并且可限定UserPIN碼輸入次數（超限定次數可鎖定USBKey），可以防止因USBKey丟失而導致泄密。所以，通過USBKey可以顯著加強MN注冊密鑰的安全性、加強對MN注冊的安全保護。

3.2 協議實體的身份認證

MN、FA和HA在移動注冊過程中可以實現雙向身份認證，有效防止中間人攻擊。MN發給FA的注冊請求報文中，根據數字簽名σM-F可驗證MN的身份。因σM-F通過MN私鑰加密，若用MN公鑰能成功解密σM-F，則證明該消息是由MN發送的。同樣，在FA轉發給MN的注冊響應報文中，通過數字簽名σF-M以驗證FA的身份，FA和HA之間也可以通過注冊報文中各自的數字簽名進行雙向認證。在MN發送的注冊請求報文中，MN發出的隨機數RM-H通過HA公鑰PKH進行加密，只有HA才能解密。在HA返回給MN的注冊響應報文中，HA通過MN公鑰PKM對RH-M加密，只有MN的私鑰才能解密。此外，在MN發送的注冊請求報文中，MN對隨機數RM-H通過Hash函數生成消息摘要，再通過其私鑰SKM加密，形成數字簽名σM-H。HA利用RM-H和數字簽名σM-H，既可驗證MN的身份，又可保證隨機數RM-H在傳輸過程中不能被更改。同樣，MN可以通過HA返回的注冊應答報文中的數字簽名σH-M來驗證HA的身份，因而MN和HA也可以實現雙向認證。

3.3 注冊消息的機密性保護

注冊請求報文中的Request消息和注冊應答中的Reply消息均通過隨機對稱共享密鑰進行加密，且該共享密鑰通過數字信封技術進行保護。只有合法的接收方才能通過其私鑰解密數字信封得到共享密鑰，然后通過該對稱共享密鑰解密Request消息（或Reply消息）。以MN向FA發送的Msg1消息為例，MN通過數字信封技術加密Request消息和FA解密Request消息的過程如圖3所示。同時，每次移動注冊有一定的生存時間，且對稱共享密鑰由發送方隨機生成，MN在每次移動注冊中使用的共享密鑰互不相同，可有效防止密鑰猜測攻擊，充分保證注冊信息的機密性。

圖3 MN發往FA的Request消息的加密與解密

3.4 注冊消息的完整性保護

注冊請求報文和注冊應答報文中附加的數字簽名σM-F、σF-H、σH-F和σF-M等可以實現對注冊請求報文和注冊響應報文的完整性保護。以注冊請求報文Msg1為例，該報文可以分成M1和σM-F兩部分，FA解密 σM-F后，可得MN封裝的、對 M1的消息摘要digest1，同時FA可直接對M1通過Hash函數生成消息摘要digest2。如果M1被人為修改，將導致digest1和digest2不相等、不能通過驗證。因而，通過解密數字簽名、對Hash函數生成的消息摘要進行驗證，可以防止非法用戶對注冊報文的惡意篡改，保證注冊報文的完整性。

3.5 注冊消息的新鮮性保證

注冊請求報文和注冊響應報文中，均包含了用于防止重放攻擊的隨機數（如RM-H和RM-F），且隨機數通過接收方的公鑰加密后進行傳送，必須通過接收方的私鑰才能解密。同時，不同的注冊請求報文和注冊響應報文使用的隨機數不同，加密的隨機數既可以用來對接收方進行身份認證，又可標識不同的注冊請求報文和注冊響應報文，可有效防止攻擊者進行重放攻擊、保證注冊消息的新鮮性。

4 和其他注冊認證協議的比較

協議安全性和延時是注冊認證協議最重要的兩個性能指標，下面將從這兩個方面對本文提出的協議和相關協議進行比較和分析。

4.1 注冊認證安全性比較

表2給出了提出的協議與相關協議在安全性能方面的比較。

表2 相關協議的安全性比較

從表2可以看出，文獻[6]、文獻[11]和文獻[12]中提出的協議不能提供對MN密鑰的加密保護，存在MN密鑰泄露的安全風險。相比而言，本文提出的注冊認證協議能夠通過USBKey雙重認證方式實現對MN密鑰的加密保護，具有較高安全性能，可以更好地保證MN的注冊安全。

4.2 注冊認證延時比較

根據文獻[11-12，16]中提出的方法，對表2中相關協議的注冊認證延時進行了分析。在分析中使用的系統參數和密碼操作的時間與文獻[11]和文獻[12]中的參數一致。根據文獻[10]和文獻[12]，在文獻[6，11-12]中提出的認證協議，其注冊認證延時分別為96.2 ms、18.898 ms和22.873 ms。

同時，根據文獻[11]和文獻[16]中提出的方法，對本文提出的注冊認證協議延時（ms）計算如下：

相關協議的注冊認證延時比較如圖4所示。從圖4可以看出，文獻[6]中提出的協議其注冊認證延時最大，文獻[11]中提出的協議其注冊認證延時最小，而本文提出的協議的注冊認證延時與文獻[11]中的協議基本相當。這是因為文獻[6]中提出的協議雖然不涉及證書管理，但需進行復雜的對運算（Pairing Computation），而本文提出的協議和文獻[11]中的協議采用了無對運算的無證書數字簽名方案，因而具有較小的協議延遲。本文提出的協議通過USBKey輔助，實現對MN密鑰的加密保護，并且實現了MN、HA和FA的雙向身份認證，因而比其他相關協議具有更高的安全性，但在一定程度上引入了延時，因而比文獻[11]中的認證協議延時略大。

圖4 相關協議的注冊延時比較

5 結束語

針對無線移動IP中MN的注冊安全問題，本文提出了一種USBKey輔助的無證書注冊認證協議。雖然該認證協議需要增加USBKey硬件，但是USBKey的體積小、成本低、容易實現，且便于攜帶，適合移動IP中MN的網絡接入位置隨機變化的情況。該協議通過USBKey的雙重認證方式加強MN密鑰的安全性，并結合數字信封和數字簽名技術，實現相關協議實體身份的雙向認證和注冊信息的加密保護，可有效保證注冊信息的機密性和完整性，與其他相關協議相比，可以更好地保證MN的注冊認證安全。同時，在該注冊認證協議中，不需增加額外的協議報文，不涉及繁瑣的證書分發與管理，并且區別于傳統的USBKey認證，使MN周期性的移動注冊及其身份認證同步進行，具有比多數相關協議的注冊認證延遲更小的優點。

參考文獻：

[1]Ahmad I，Kabir K，Choudhury T et al.Enhancing security in specialized use of mobile IP[C]//Proceedings of 2016 International Conference on Networking Systems and Security，Dhaka，Bangladesh，2016：1-9.

[2]姚瑤，王興偉.一種改進的移動IP注冊認證協議[J].東北師大學報：自然科學版，2011，43（2）：56-60.

[3]Eiza M H，Shi Q，Marnerides A et al.Secure and privacyaware proxy mobile IPv6 protocol for vehicle-to-grid networks[C]//2016 IEEE International Conference on Communications（ICC），Kuala Lumpur，Malaysia，2016：1-6.

[4]伍華鳳，戴新發，陳鵬.一種層次化移動IP接入認證機制[J].計算機工程，2008，34（24）：131-133.

[5]Cao X，Kou W，Li H.Secure mobile IP registration scheme with AAA from parings to reduce registration delay[C]//InternationalConferenceon Computational Intelligenceand Security，Guangzhou，China，2006：1037-1042.

[6]Zhang Manjun，Pei Changxing，Dang Lanjun.Efficient mobile IP registration in certificateless signature[C]//IEEE 24th International Conference on Advanced Information Networking and Applications Workshops，Perth，Australia，2010：363-366.

[7]Chenait M.LMIP/AAA：Local Authentication，Authorization and Accounting（AAA）protocol for mobile IP[C]//4th International Conference（ICGes，2008）.Berlin：Springer，2008：228-238.

[8]馬東，何大可，鄭宇，等.基于AAA的移動IP快速認證注冊方案研究[J].鐵道學報，2008，30（1）：98-103.

[9]鄭曉麗，姜迪剛.基于無證書公鑰的移動IP注冊協議認證[J].通信技術，2011，44（8）：127-129.

[10]馬華，劉雪，劉振華，等.一種高效的基于無證書公鑰的移動IP注冊協議[J].四川大學學報：工程科學版，2012，44（4）：135-139.

[11]許捷，黨嵐君，石光明.一種高效的AAA下無對的無證書移動IP注冊協議[J].西安電子科技大學學報：自然科學版，2014，41（2）：51-56.

[12]賈宗璞，田肖，李賀.一種基于三方密鑰協商的移動IP注冊協議[J].計算機工程與科學，2015，37（3）：492-496.

[13]張剛，石潤華，仲紅.車載自組織網絡中基于身份的匿名認證方案[J].計算機工程與應用，2016，52（17）：101-106.

[14]曹喆，王以剛.基于USBKey的身份認證機制的研究與實現[J].計算機應用與軟件，2011，28（2）：284-286.

[15]Wu K，Hu B，Zhou X，et al.A new technology for quick online payment based on USBKEY[C]//2015 6th IEEE International Conference on Software Engineering and Service Science，Beijing，China，2015：916-919.

[16]He D，Chen J，Zhang R.An efficient and provably secure certificateless signature scheme without bilinear pairings[J].International Journal of Communication Systems，2012，25：1432-1442.