一种基于AAA证书和身份签名的混合认证方法
2017-06-05蒲志强
蒲志强,冯 山
(1.绵阳师范学院 信息工程学院,四川 绵阳 621000;2.四川师范大学 数学与软件科学学院,四川 成都 610066)
一种基于AAA证书和身份签名的混合认证方法
蒲志强1,冯 山2
(1.绵阳师范学院 信息工程学院,四川 绵阳 621000;2.四川师范大学 数学与软件科学学院,四川 成都 610066)
基于移动IPv6结合证书认证和身份签名认证,对移动节点安全提出一种快速、低成本和扩展性好的混合认证方法.该方法综合证书认证和身份签名认证的优点,在认证过程中不完全依赖于可信第三方的安全认证,能够实现移动节点与接入网络的双向认证.并用BAN逻辑方法对提出的改进方法进行了分析,结果表明该方法提高了移动节点的认证效率.
移动IPv6; 移动节点; 混合认证方法; BAN逻辑方法
在移动IPv6[1]中基于身份签名认证方法[2]可以避免证书认证方案中PKI的部署[3-4],但部署PKI通用可信第三方机构(CA)[5-6]难度大、成本高,涉及很多非技术因素.移动节点跨域漫游时需要对所有AAA[7]实体的证书进行有效管理,此时CA问题就会变得复杂.而基于身份签名认证简化了密钥的管理,采用网络接入标识符(NAI)作为用户的公钥,使用这种方法有效解决了基于PKI认证方法存在的问题,成本低,易实现.但基于身份签名认证方法需要预先共享一组系统参数,因此也限制了该方法的可扩展性.
1 通信实体私钥及共享系统参数的产生
为提高认证系统的使用效率,对一般的AAA体系结构主要采用随机数机制[8]、移动节点的NAI作为公钥[9]、使用椭圆曲线签名[10]算法进行改进.
PKG[11]为私钥生成中心,负责为所属管理域内各实体的公钥产生相应的私钥.设私钥为s(即本系统的私钥),公钥PPKG=sp,该管理域内共享的系统参数为〈p,PPKG,H1,H2〉,PKG不参与通信过程.
1) 移动节点的公钥为MN@,私钥为SMN@=sMN@;
2) 访问域AAA服务器的公钥都为AAAv@,PKG生成的私钥为SAAAv=sAAAv@,证书私钥为SKAAAv;
3) 家乡域AAA服务器的公钥都为AAAH@,PKG生成的私钥为SAAAH=sAAAH@,证书私钥为SKAAAH;
4) 家乡代理的公钥为HA@,私钥为SHA@=sHA@.
移动节点MN拥有AAAv的公钥和自己的私钥.
2 认证系统的构造
为了实现混合认证,系统必须具备如下基本组件:
1) 可信的CA负责为每个不同管理域的PKG、AAAv和AAAH颁发证书;
2) 每个管理域中有一个该管理域中所有通信实体都信任的PKG;
3) 每个管理域中的AAA认证服务器拥有本管理域共享的系统参数;
4) 除了上述组件以外,通信实体必须可以进行基于身份的签名运算.
混合认证的系统网络拓扑关系如图1所示.
3 认证过程描述
在身份认证和注册阶段,该认证方法通过使用基于NAI的密码体制实现了认证.认证过程如图2所示.
实现过程描述:
M1=REG‖{REG}signSMN@,
REG=HoA‖CoA‖MN@‖NMN‖BU.
当MN接收到家乡代理HA代理通告消息并获得新的转交地址后,产生注册请求消息REG,包括自己的家乡地址HoA、新获得的转交地址CoA、MN@、产生的随机数NMN及绑定更新请求BU;然后用自己的私钥对REG签名(基于身份签名认证)并和REG一起生成M1发送给AR.MN用自己的私钥对REG进行签名以保证REG消息的真实性和完整性;MN产生的初始随机数NMN用于保证传输过程中注册消息的新鲜性.
M2=〈M1-AVP〉.
AR收到M1后,无法验证MN的身份和验证注册请求消息,作为Diameter消息一个AVP封装在M2消息中并转发给AAAv.
M3={〈M1‖NAAAv‖CERTAAAv〉-AVP}signAAAH@.
AAAv收到AR发来的M2消息后,用Diameter协议解析取出M2中的MN@,对MN@后的域字符串和MN的家乡地址进行分析,得出MN的家乡域.如果该MN是本地域的用户,则直接经过AAAv的验证计算:如果是本地用户且认证成功,则返回肯定的注册结果,通知接入路由器AR此MN是合法用户,允许使用本地网络资源;如果为本地用户,并且认证不成功,就发回否定认证结果,AR则禁止该MN使用网络资源,在图2中直接跳转到7).如果分析发现MN为外地用户,通过分析得到MN的家乡域,把M1、AAAv新产生的另外一个随机数NAAAv及AAAv的数字证书CERTAAAv一起作为Diameter消息的一个AVP,并用AAAH的证书公钥签名封装在M3中转发给家乡域的AAAH.SignAAAH@是对消息的签名(基于证书认证),CERTAAAv是AAAv的数字证书,NAAAv是AAAv新产生的一个随机数.
M4={〈BU‖NMN‖AS〉-AVP}signHA@.
AAAH收到M3后,用自己的证书私钥解密M3验证消息的真实性和完整性(基于证书认证),取出CERTAAAv验证AAAv的身份,取出M1中MN@计算并验证MN的身份.如果该MN是合法的且认证成功,则生成肯定的认证结果AS,并取出其中的BU消息,把BU和AS作为Diameter消息的一个AVP用HA的公钥HA@签名封装在M4中转发给HA.如果不是合法用户,就生成否定认证结果,并返回给本地域中的AAAv服务器.
M5={〈REP-AVP〉}signAAAH@,
REP={HoA‖CoA‖NMN‖BA}.
HA收到M4后用自己的私钥SHA@解密M4(基于身份签名认证),得到MN的BU以及肯定的认证结果AS,将MN此时的转交地址CoA与家乡地址HoA绑定,产生注册成功应答信息REP作为Diameter消息的一个AVP封装并用AAAH的公钥签名生成M5发送给AAAH,其中REP包括MN的家乡地址HoA、新获得的转交地址CoA、MN的初始随机数NMN及绑定确认消息BA.用HA的私钥签名,发送给AAAH.
M6={〈REP‖AS‖CERTAAAH‖NAAAv〉-AVP}signAAAv@.
AAAH用自己的私钥SAAAH@解密M5消息,得到HA关于MN的绑定确认应答消息REP,连同认证成功消息AS、AAAH的数字证书CERTAAAH和此前接收到的AAAv产生的随机数NAAAv,一起作为Diameter消息的一个AVP,并用AAAv的公钥签名(基于证书认证)后,封装在M6中发送给AAAv.
M7={{BA‖NMN}signSAAAv}signMN@.
AAAv收到M6之后,用自己的私钥解密以验证消息的真实性与完整性,并得到AS和REP,用NMN验证消息的新鲜性,并通知接入路由器MN是合法用户允许接入当前网络使用该网络资源,然后取出BA和NMN用自己的私钥签名,再用MN的公钥签名生成M7(基于身份签名认证),最后把消息M7发给AR.
AR收到M7之后,直接把M7转发给MN.MN先用自己的私钥解密消息M7,然后用AAAv的公钥对接入网络的认证(基于身份签名),得到绑定确认消息和允许使用当前网络,同时通过NMN验证了消息的新鲜性.
此过程实现对移动节点的身份认证,同时完成移动节点与家乡代理的注册.
4 该认证方法的性能分析
本文主要从安全性和可行性2个方面分析所提出的混合认证方法的性能.
4.1 安全性分析
1) 通信实体之间基于身份签名实现认证.该认证算法是基于椭圆曲线的离散对数问题,因此具有良好的安全性,可以有效防止安全攻击,主要表现在以下2个方面:
(i) 私钥的保密性.由IBS机制可知,任何用户u的私钥dID都是由它的PKG用私钥s通过dID←sQID计算得到.对于其他用户u′来说,只能获得dID′←sQID′.由于解决群G1上的离散对数问题(DLP)是困难的,u′无法计算出s,也就无法得到dID.所以,任一实体私钥只有它的PKG知道,其他实体包括其他PKG都无法产生其私钥.
(ii) 签名的不可伪造性.用户u的身份是ID,私钥是dID,针对消息M的签名
如果攻击者通过试图攻破IBS机制的本身达到伪造签名在有限的时间里是不可能的,因为解决群上离散对数问题是困难的[12];如果攻击者通过收集移动节点的签名消息而伪装成新的签名进行重放攻击,但由于签名消息中携带了随机数信息,验证者可以很容易识破这种攻击.
2)AAAv和AAAH之间没有进行系统参数的交换,在AAAv请求AAAH的认证过程中使用证书体制所提供的安全性,可以有效地保证消息的完整性和真实性,通过使用随机数N,可以有效地实现消息的及时性和防止消息的重放.
3) 认证过程中各通信实体之间不需要预先共享密钥,能有效防字典攻击.
4)PKG作为可信任的第三方,作用和CA相同,在整个认证过程中不参与认证.它采用离线方式避免某些攻击.为防止PKG权限过大的问题,则采用门限技术[13]能有效解决此问题.
5) 移动节点和AAAv之间的双向认证:AAAv通过AAAH对MN身份的真实性进行认证,因为只有移动节点的私钥才可以产生合法签名.同样,MN通过AAAv对消息M7的签名进行认证.
6) 由于AAAv与AAAH之间是基于证书的认证,所以它们之间的认证是安全的.AAAH与HA属于同一个管理域共享系统参数,不存在交换各自的系统参数,它们之间拥有自己的公钥和私钥,相互间的认证可以通过身份签名实现.
7) 移动节点和家乡代理双向认证.HA借助AAAH对MN身份的真实性进行的认证,只有验证成功后才能完成移动节点的注册,而MN通过绑定确认消息对HA进行了认证.
8) 对消息的新鲜性采用了双重保护机制.整个传输过程中消息的新鲜性保护通过MN初始产生的随机数NMN实现,AAAv到AAAH之间传输消息的新鲜性保护通过AAAv产生的随机数NAAAv实现.
4.2 可行性分析
1) 成本低.该方法的认证过程只需要部署少量的基于证书的PKI,证书认证仅限于AAA之间,而不是单个的通信节点之间,可以极大地减轻部署PKI中可信CA的工作量和认证时对公钥证书的依赖;通过采用NAI作为通信实体的公钥,大大降低了管理密钥给每个移动节点带来的负担;另外该方法还消除了移动节点为请求或维护证书带来的沉重的操作或通信负担.
2) 可操作性强.移动节点如果在家乡域中,AAAH对其进行验证,因为AAAH拥有本管理域共享的系统参数.显然,这种认证方式在物联网中是可行的.
3) 灵活性大.某个管理域内共享的系统参数更新时不必通知CA,因此增强了认证系统的灵活性.
4) 通过该方法既可以对移动节点进行认证,同时还能完成移动节点在家乡代理的注册.
5 认证过程的形式化分析
BAN逻辑方法[14]使用基于知识和信念的逻辑来建立所分析认证协议的安全需求模型,是目前为止分析认证协议使用最广泛的一种方法[15].BAN逻辑是一个形式逻辑模型,它假设认证是一个完整性和新鲜度的函数,并使用了逻辑规则对认证过程进行跟踪.本文使用BAN逻辑方法对提出的认证方案进行如下分析:
1) 建立初设集合α.
(ii) AAAH|≡#(TSMN),AAAH|≡#(TSAAAv);
(iii) MN|≡#(TSMN),HA|≡#(TSMN).
2) 理想化的协议模型.
(i) MN→AAAH:TSMN,M3;
(ii) AAAH→HA:TSMN,M4;
(iii) AAAH→MN:TSMN,M7.
3) 建立协议预期目标集合γ.
γ={HA|≡MN;AAAv|≡MN;MN|≡AAAv}.
4) 利用初始和逻辑法则分析认证过程.
(i) AAAv◁TSMN,M2.
因为AAAv|≡#(TSMN),所以AAAv|≡#(M2)(新消息判断公设).
(ii) AAAH◁TSMN,M3.
因为AAAH|≡#(TSMN),所以AAAH|≡(M1)(新消息判断公设).又因为
AAAH≡AAAv|~M3,
所以
AAAH|≡|MN|~M1,
因此
AAAH|≡AAAv,AAAH|≡MN.
(iii)HA◁TSMN,M4.
因为HA|≡#(TSMN),所以HA|≡#(M4)新消息判断公设).又因为
HA|≡AAAH|~M4,
所以HA|≡MN.
(iv)AAAv◁TSAAAv,M6.
因为AAAv|≡#(TSAAAv),所以AAAv|≡#(M6)(根据新消息判断公设).又因为
所以AAAv|≡AAAH.又因为
AAAH|≡MN,AAAv|≡AAAH,
所以AAAv|≡MN.
(v)MN◁TSAAAv,M7.
因为MN|≡#(TSMN),所以MN|≡#(M7)(根据新消息判断公设).又因为
MN|≡AAAH,AAAH|≡AAAv,
所以MN|≡AAAv.
4) 推导出最终目标集合γ′.
γ′={HA|≡MN;AAAv|≡MN;MN|≡AAAv},
6 结束语
本文设计了一种在移动IPv6中基于AAA证书和身份签名的混合认证方法,给出了具体的认证过程和性能分析,最后通过BAN形式化分析对该方案的可行性进行了分析.虽然此种方法解决了移动IPv6中对MN跨管理域的认证问题,但还是需要有少量CA、PKI和PKG的支持,而且要求移动节点具有较强的计算能力,因为签名和验证都需要较大的计算量.另外,针对每个域的PKG权限过大问题,虽然目前已提出了具体的解决方案[16-17],但还不是理想的方法,接下来的工作中还需要对此进行更深入的研究.
[1] JOHNSON D,PERKING C,ARKKO J.RFC 3775,mobility Support in IPv6[S].[S.I.]:IETF,2004.
[2] YI X.An identity-based signature scheme from the Weil pairing[J].IEEE Commun Lett,2003,7(2):76-78.
[3] GUTTMAN P.PKI:it’s not dead,just resting[J].IEEE Computer,2002,35(8):41-49.
[4] 袁卫忠,王德强,茅兵,等.公钥基础设施的研究与进展[J].计算机科学,2004,31:82-88.
[5] GENTRY C.Certificate-based encryption and the certificate revocation problem[C]//Proc of Eurocrypt.Berlin:Springer-Verlag,2003:272-293.
[6] 关振胜.公钥基础设施PKI及其应用[M].北京:电子工业出版社,2008.
[7] PERKINS C.Mobile IP joins forces with AAA[J].IEEE Personal Commun,2000,7(4):59-61.
[8] BONEH D,FRANKLIN M.Identity based encryption from the Weil pairing[C]//Proc of the Crypto 2001.LNCS 2139.Berlin:Springer-Verlag,2001:213-229.
[9] 田野.基于身份密码学的MIPv6安全切换研究[D].中国科学院计算技术研究所,2006:59-74,101-120.
[10] HASKIN F.Efficient identify based signature schemes based on pairings[C]//Selected Area in Cryptography 2002.LNCS 2595.Heidelberg:Springs-Verlag,2003:310-324.
[11] SHAMIR A.Identity-based cryptosystems and signature schemes[C]//Advances in Cryptology-Crypto 1984,LNCS196.Berlin:Springer-Verlag,1984:47-53.
[12] CHA J,CHEON J.An identity-based signature from gap Diffie-Hellman groups[C]//Proc of the PKC 2003.LNCS 2567.Heidelberg:Springer-Verlag,2003:18-30.
[13] CAI D,HE X,HAN J.Tensor space model for document analysis[C]//Proc of the 29th Annual International ACM SIGIR Conference on Research and Development in Information Retrieval.New York:ACM Press,2002:625-626.
[14] MICHAEL BURROWW.A logic of cryptographic[J].ACM Transactions on Computer Systems,1990,8(1):18-36.
[15] 卿斯汉.安全协议[M].北京:清华大学出版社,2005:112-116.
[16] GENTRY C,SILVERBERG A.Hierarchical ID-based cryptography[C]//Advances in Cryptology-Asiacrypt’02.LNCS2501.Berlin:Springer-Verlag,2006:548-566.
[17] 张龙军,莫天庆,赵李懿.基于无证书签密的代理移动IPv6 认证方案[J].计算机应用研究,2012,29(2):640-643.
(编辑 李德华)
A Mixed Authentication Method Based on AAA Certificate and Identity Signature
PU Zhiqiang1,FENG Shan2
(1.SchoolofInformationEngineering,MianyangTeachers’College,Mianyang621000,Sichuan;2.CollegeofMathematicsandSoftwareScience,SichuanNormalUniversity,Chengdu610066,Sichuan)
A mixed authentication method of mobile node security which is fast,low-cost and extensible is proposed based on the mobile IPv6,certificate and identity signature authentication.The advantages of this method are as follows: firstly,the advantages of certificate and identity signature authentication have been integrated in the method.Secondly,the bidirectional authentication between mobile node and access network can be achieved.At last,a formally analysis of this method has been finished under BAN logical system which shows that the authentication efficiency of the mobile node can be improved.
mobile IPv6; mobile node; mixed authentication method; BAN logical system
2016-01-07
四川省教育厅自然科学基金(13ZB0125)
蒲志强(1975—),男,讲师,主要从事网络信息安全的研究,E-mail:pzq999@mnu.cn
TP393
A
1001-8395(2017)02-0267-05
10.3969/j.issn.1001-8395.2017.02.020
