??? 摘? 要: 移動(dòng)IP注冊(cè)過程的安全,主要是通過認(rèn)證和消息完整性保護(hù)實(shí)現(xiàn)的,因此,密鑰的安全有效分發(fā)便成為保證注冊(cè)過程安全的關(guān)鍵。根據(jù)注冊(cè)過程中的密鑰要求,提出了基于Diffie-Hellman密鑰協(xié)商機(jī)制和橢圓曲線密碼算法的主密鑰" title="主密鑰">主密鑰分發(fā)方案,并運(yùn)用SVO邏輯對(duì)該方案進(jìn)行了安全性分行。分析結(jié)果表明,該方案實(shí)現(xiàn)了密鑰分發(fā)過程中雙方的身份認(rèn)證以及密鑰的確認(rèn)性和新鮮性。
??? 關(guān)鍵詞: 安全需求? 主密鑰? 橢圓曲線密碼? SVO邏輯
?
??? 現(xiàn)有的IP協(xié)議最初是為固定網(wǎng)絡(luò)設(shè)計(jì)的,并不支持主機(jī)的移動(dòng)接入。IETF(Internet Engineering Task Force)為了解決移動(dòng)主機(jī)" title="移動(dòng)主機(jī)">移動(dòng)主機(jī)訪問網(wǎng)絡(luò)的問題,使IP網(wǎng)絡(luò)支持漫游功能,制定了移動(dòng)IP(Mobile IP)協(xié)議,它是Internet支持主機(jī)移動(dòng)的網(wǎng)絡(luò)層解決方案。移動(dòng)IP主機(jī)可以通過一個(gè)永久的IP地址連接到任何一個(gè)鏈路上,當(dāng)移動(dòng)主機(jī)切換到新鏈路上時(shí),仍然能保持正在進(jìn)行的通信。
??? 移動(dòng)IP定義了三個(gè)新的實(shí)體[1]:移動(dòng)節(jié)點(diǎn)" title="移動(dòng)節(jié)點(diǎn)">移動(dòng)節(jié)點(diǎn) MN(Mobile Node)、家鄉(xiāng)代理HA(Home Agent)和外地代理FA(Foreign Agent)。移動(dòng)IP中的安全威脅很大一部分來自于移動(dòng)節(jié)點(diǎn)向家鄉(xiāng)代理的注冊(cè)過程。在注冊(cè)過程中,攻擊者可以通過向家鄉(xiāng)代理發(fā)送偽造的注冊(cè)請(qǐng)求,把自己的IP地址當(dāng)作某個(gè)移動(dòng)節(jié)點(diǎn)的轉(zhuǎn)交地址。注冊(cè)成功后,發(fā)往該移動(dòng)節(jié)點(diǎn)的消息均由攻擊者接收,而真正的移動(dòng)節(jié)點(diǎn)卻被拒絕服務(wù)。攻擊者還可以通過竊聽會(huì)話,截取數(shù)據(jù)包,把一個(gè)有效的注冊(cè)請(qǐng)求信息儲(chǔ)存起來,然后利用儲(chǔ)存的注冊(cè)請(qǐng)求向家鄉(xiāng)代理注冊(cè)偽造的轉(zhuǎn)交地址。因此,注冊(cè)過程中移動(dòng)用戶認(rèn)證、消息的完整性保護(hù)是移動(dòng)IP安全的核心問題之一。
1 移動(dòng)IP注冊(cè)過程的安全分析
1.1 安全威脅和解決措施
??? 在移動(dòng)IP協(xié)議中,移動(dòng)節(jié)點(diǎn)向家鄉(xiāng)代理注冊(cè)需要通過哈希函數(shù)對(duì)注冊(cè)信息進(jìn)行計(jì)算,得到一個(gè)定長的信息摘要,并將這個(gè)摘要添加到注冊(cè)消息的認(rèn)證擴(kuò)展域中,產(chǎn)生一個(gè)注冊(cè)消息,然后再由移動(dòng)節(jié)點(diǎn)將這個(gè)消息發(fā)送給家鄉(xiāng)代理。R.Molva、Stuart Jacobs等人曾對(duì)注冊(cè)過程中移動(dòng)用戶的認(rèn)證方法[2]和移動(dòng)IP的安全性[3]進(jìn)行了討論,指出用認(rèn)證機(jī)制來保護(hù)移動(dòng)IP的安全的前提是移動(dòng)節(jié)點(diǎn)和家鄉(xiāng)代理之間共享密鑰消息。
??? 在移動(dòng)IP環(huán)境中,移動(dòng)主機(jī)大多數(shù)運(yùn)行于無線環(huán)境下,無線鏈路的特點(diǎn)是帶寬低、誤比特率高。因此在無線環(huán)境下不適合一次性分配大量的密鑰,一般是分發(fā)少量的主密鑰,通過對(duì)主密鑰進(jìn)行計(jì)算,產(chǎn)生一些子密鑰,這些子密鑰被用于加密或身份認(rèn)證的系統(tǒng)密鑰。因此主密鑰的安全是整個(gè)系統(tǒng)的安全基礎(chǔ)。在移動(dòng)IP環(huán)境中,主密鑰的分發(fā)是通過移動(dòng)節(jié)點(diǎn)和家鄉(xiāng)代理進(jìn)行密鑰協(xié)商完成的。
1.2 主密鑰安全分發(fā)的要求
??? 移動(dòng)IP的主密鑰保護(hù)著整個(gè)認(rèn)證過程,因此主密鑰的安全性顯得尤為重要。在本方案中,安全分發(fā)主密鑰應(yīng)滿足以下要求:
??? (1)通信實(shí)體之間的相互認(rèn)證:移動(dòng)節(jié)點(diǎn)和家鄉(xiāng)代理雙方各自都要對(duì)對(duì)方的身份進(jìn)行認(rèn)證,以證明對(duì)方的合法身份。
??? (2)密鑰確認(rèn)性:通過密鑰驗(yàn)證,移動(dòng)節(jié)點(diǎn)和家鄉(xiāng)代理都能證明雙方擁有相同的密鑰, 而且只有移動(dòng)節(jié)點(diǎn)和家鄉(xiāng)代理知道該密鑰。
??? (3)密鑰的新鮮性:經(jīng)過協(xié)商生成的密鑰應(yīng)該具有新鮮性。新鮮性能保證密鑰的完美向前性。主密鑰只有移動(dòng)節(jié)點(diǎn)和家鄉(xiāng)代理擁有,任何第三者都不能利用先前截獲的消息對(duì)其進(jìn)行計(jì)算從而得到主密鑰。密鑰的新鮮性可以有效地防御重放攻擊,同時(shí)也保證了方案的完美向前性。
??? (4)安全方案運(yùn)行的高效率:移動(dòng)節(jié)點(diǎn)絕大多數(shù)運(yùn)行于無線環(huán)境中,無線鏈路的帶寬比較低,同時(shí)移動(dòng)節(jié)點(diǎn)的計(jì)算能力和存儲(chǔ)能力也十分有限,因此需要考慮方案在移動(dòng)IP環(huán)境中的執(zhí)行效率。
2 安全分發(fā)主密鑰方案
??? 根據(jù)移動(dòng)IP注冊(cè)過程的安全分析和安全要求,提出了基于Diffie-Hellman密鑰協(xié)商機(jī)制和橢圓曲線的可認(rèn)證密鑰協(xié)商的主密鑰分發(fā)方案。本方案在不需要第三方介入的情況下,通過空中下載方式為移動(dòng)節(jié)點(diǎn)分發(fā)主密鑰。
??? 選取有限域Fq,在域上隨機(jī)生成一條橢圓曲線E(Fq),保證橢圓曲線群上的離散對(duì)數(shù)是難解的;然后選取點(diǎn)P作為基點(diǎn),P的階數(shù)為n,n為大素?cái)?shù),P公開。
??? 定義:zn是由模n剩余類構(gòu)成的集,則zn是一個(gè)阿貝爾群,若t+r=0modn,則稱r為t的逆元,記為r=-tmodn。在此,n是橢圓曲線E(Fq)上點(diǎn)P的階。
??? 方案的前提:MN和HA共享一個(gè)口令S,MN和HA計(jì)算兩個(gè)整數(shù)t和-t,t是根據(jù)預(yù)先設(shè)定的方法由S計(jì)算得到的,并假設(shè)由S只能得到惟一的t。
??? 安全分發(fā)主密鑰方案如圖1所示,具體描述如下:
?
??? (1)MN:選擇隨機(jī)數(shù)dA∈[1,n-1],計(jì)算QA=(dA+t)P,MN→HA:QA。
??? (2)HA:選擇隨機(jī)數(shù)dB∈[1,n-1],計(jì)算QB=(dB+t)P,Y=QA+(-t)P=dAP,KB=dBY=dAdBP和tKB=tdAdBP,HA→MN:QB,tKB。
??? (3)MN計(jì)算X=QB+(-t)P=dBP,KA=dAX=dAdBP,tKA和tdBP,驗(yàn)證tKB是否等于tKA,如果驗(yàn)證成功,MN→HA:tdBP。
??? (4)HA驗(yàn)證tdBP,如果驗(yàn)證成功,則通知MN。HA→MN:success。
??? 至此,移動(dòng)節(jié)點(diǎn)和移動(dòng)代理成功協(xié)商了主密鑰,K=KA=KB=dAdB P。
3 方案分析
3.1 形式化安全分析
??? 形式化的分析方法就是采用各種形式化的語言或者模型,為安全協(xié)議" title="安全協(xié)議">安全協(xié)議建立模型,并按照規(guī)定的假設(shè)和分析、驗(yàn)證方法證明協(xié)議的安全性,這類方法中最著名的就是BAN類邏輯。SVO形式化驗(yàn)證方法是在綜合和優(yōu)化BAN、GNY、AT、VO邏輯的基礎(chǔ)上提出來的,它提取了四種邏輯的主要特點(diǎn),提出了惟一的、相對(duì)較為簡單的分計(jì)算模型形式化驗(yàn)證方法。SVO仍屬于BAN類邏輯。
??? 在形式化語義方面,SVO邏輯對(duì)一些概念作了重新定義(有別于AT邏輯),從而取消了AT邏輯系統(tǒng)中的一些限制。SVO邏輯所用的記號(hào)與BAN邏輯、AT邏輯是相似的,仍用符號(hào)
分別表示相信、接收到、發(fā)送過、剛發(fā)送過、管轄、擁有、新鮮與等價(jià)。另外,SVO邏輯還有自己所特有的12個(gè)符號(hào)。此外,SVO邏輯還有21條公理,用于邏輯推理過程。
??? 使用SVO邏輯對(duì)一個(gè)安全協(xié)議進(jìn)行形式化分析的步驟如下:
??? (1)給出該協(xié)議的初始化假設(shè)集:即用SVO邏輯語言表示各主體的初始信念、接收到的報(bào)文、對(duì)所收到報(bào)文的理解和解釋;
??? (2)給出該協(xié)議可能或應(yīng)該達(dá)到的目標(biāo)集,即用SVO邏輯語言表示的一個(gè)公式集。
??? (3)在SVO邏輯中證明結(jié)論是否成立。若成立,則說明該協(xié)議達(dá)到了預(yù)期的設(shè)計(jì)目標(biāo),協(xié)議的設(shè)計(jì)是成功的。
??? 首先對(duì)安全分發(fā)主密鑰方案進(jìn)行理想化:
??? 
??? 然后給出方案的初始化假設(shè)集,對(duì)各主體的初始信念、接收到的報(bào)文、對(duì)所收到報(bào)文的理解和解釋用SVO邏輯語音表示:
?????? 
?
??? 再給出方案的目標(biāo)集:
??? 
??? 目標(biāo)集(1)和(3)表明MN和HA都相信K是雙方確認(rèn)的共享的密鑰;(2)和(4)表明了密鑰的新鮮性。
??? 運(yùn)用SVO的邏輯推理規(guī)則和21條邏輯公理進(jìn)行推理,可以得到目標(biāo)集。因推理過程太長,在此省略了詳細(xì)的推理過程。
??? 結(jié)果分析表明,移動(dòng)節(jié)點(diǎn)和家鄉(xiāng)代理都相信主密鑰K是適合他們雙方通信的確認(rèn)共享密鑰。K是確認(rèn)共享密鑰表明了雙方都相信自己擁有合法的密鑰,同時(shí)都相信雙方的身份,也就是在主密鑰協(xié)商下實(shí)現(xiàn)了雙方的身份認(rèn)證,最終擁有主密鑰的實(shí)體就是合法的移動(dòng)節(jié)點(diǎn)和家鄉(xiāng)代理。協(xié)商的主密鑰具有新鮮性,即整個(gè)協(xié)商過程具有完美向前性,同時(shí)也能抵御重放攻擊。
3.2 方案的執(zhí)行效率分析
??? 本方案的主密鑰分發(fā)是基于橢圓曲線密碼系統(tǒng)的可認(rèn)證密鑰協(xié)商的。橢圓曲線密碼ECC(Elliptic Curves Cryptography)和傳統(tǒng)的公鑰" title="公鑰">公鑰密碼在移動(dòng)環(huán)境下相比有很大的優(yōu)勢(shì),這是本方案采用ECC的原因。160bit的ECC相當(dāng)于1024bit的RSA和DSA。同樣安全強(qiáng)度的ECC、RSA和DSA相比,ECC的計(jì)算開銷遠(yuǎn)小于其他密碼算法,使得ECC可以在很短的時(shí)間內(nèi)產(chǎn)生符合條件的密鑰,可以在ROM中執(zhí)行,不需要額外的硬件。其他公鑰體制由于產(chǎn)生密鑰所需的計(jì)算非常復(fù)雜,在計(jì)算能力受限的情況下很難產(chǎn)生合適的密鑰。當(dāng)傳送短消息時(shí),ECC比其它公鑰算法節(jié)省帶寬。綜上分析,ECC與其他公鑰加密系統(tǒng)相比,能提供更好的加密強(qiáng)度、更快的執(zhí)行速度和更小的密鑰長度,在移動(dòng)環(huán)境下,移動(dòng)節(jié)點(diǎn)的計(jì)算能力比較弱,同時(shí)帶寬受限,對(duì)密碼算法要求計(jì)算量、存儲(chǔ)量、帶寬和時(shí)延比較小。因此ECC和傳統(tǒng)公鑰密碼相比較更適合于移動(dòng)IP環(huán)境。
??? 本文提出的方案有效地解決了移動(dòng)主機(jī)注冊(cè)過程中的主密鑰分發(fā)問題,滿足了注冊(cè)過程中主密鑰分發(fā)的安全要求,具有較高的安全性,并且在保證方案的安全性的基礎(chǔ)上減少了方案的運(yùn)算開銷,具有良好的執(zhí)行效率。本方案分發(fā)的主密鑰通過計(jì)算可以產(chǎn)生用于移動(dòng)IP注冊(cè)過程的認(rèn)證和消息完整性保護(hù)的子密鑰,可以有效地解決移動(dòng)IP中的一些安全問題。
參考文獻(xiàn)
[1] RFC2002: IP Mobility Support. IETF, 1996.
[2] MOLVA R, SMAFAT D, TSUDIK G. Authentication of mobile users. IEEE,1994,(3):26.
[3] JACOBS S, CIRINCIONE G. Security of current mobile IP solutions. IEEE,1997,6:1122.
[4]?卿斯?jié)h.安全協(xié)議的設(shè)計(jì)與邏輯分析.軟件學(xué)報(bào),2003,14:1300.
[5] 張險(xiǎn)峰,秦志光,劉錦德. 橢圓曲線加密系統(tǒng)的性能分析. 電子科技大學(xué)學(xué)報(bào),2001,(2):144.