摘　要： 提出了一种基于数字签名和公钥" title="公钥">公钥加密的认证与密钥协商方案，该方案可以实现移动用户与移动服务提供商" title="服务提供商">服务提供商的互认证和密钥协商。协议在移动用户端只进行杂凑运算，计算量小，可靠性高，比较适合移动通信" title="移动通信">移动通信环境。
　　关键词: 移动通信 公钥  会话密钥  双向认证

　　无线通信技术的迅速发展,使移动通信以及以移动网络为平台的应用得到越来越多的重视和推广。然而,对于用户和运营商,安全却是一个关键问题。移动通信中的认证与密钥协商方案又一直是人们研究的重点。利用基于公钥的认证体制构造用户认证协议,不要求保密通信双方共享任何秘密信息,可以简化密钥的管理问题,但公钥密码存在算法比较复杂、计算量大等缺点,特别是运用于计算能力" title="计算能力">计算能力有限的移动终端上,会为高速率的数据通信带来瓶颈。为了最大限度地发挥公钥认证体制的优点,克服缺点,本文提出一种适用于移动通信的公钥认证协议,移动用户端只需完成计算量很小的杂凑运算就可以实现认证与密钥协商,从而有效地提高通信速率。
1 认证与密钥协商协议
1.1协议设计原则
　　移动通信的终端设备多以运算能力相对较弱、存储量较小的智能卡为主,并且通信信道为无线信道。因此,从移动台的计算能力和信道的开放特性出发,协议应遵循以下原则:(1)尽量减少移动台计算量。为此,在移动台端使用杂凑函数替代公钥加密算法,因为单纯的杂凑运算比公钥加密运算简单很多,可以在很大程度上减小移动台的负担。(2)尽量减少敏感信息在协议中的传输。由于移动通信信道具有开放式,出于安全性考虑,应尽可能地将需要传送的敏感信息(如会话密钥)转变为其他形式的信息,从而避免关键加密信息的泄漏。
　　另外,本文假设协议中所涉及到的公钥加密与数字签名算法都是安全的,并且所使用的杂凑函数是强单向函数。
1.2 符号描述
　　本文用到如下符号:
　　X,Y:表示消息x和y的连接;
　　Kse:表示实体间会话密钥;
　　{x}K:表示用密钥K加密消息x;
　　h(x):表示对消息x进行杂凑运算;
　　Alias:表示用户的长期化名;
　　ID_X:表示实体X的身份信息;
　　T_X:表示实体X指定的时戳;
　　r_x:表示x产生的随机数" title="随机数">随机数;
　　A→B:x: A把消息x发送到B。

　　移动用户U首先产生一个随机数r_U,然后将用户长期化名Alias、随机数r_U以及移动服务提供商V身份信息ID_V发送给TTP。
　　
　　TTP收到来自用户U的信息后,先将用户长期化名Alias同用户身份信息ID_U进行映射。若映射后的身份信息为合法用户且移动服务提供商V也为合法注册用户,则协议继续。验证通过后,TTP找出与用户身份对应的秘密消息M并计算h(r_U,M),然后与生成的随机数r_U、r_T以及时戳T_T一起计算h(r_U,r_T,h(r_U,M),T_T),并对h(r_U,r_T,h(r_U,M),T_T)进行数字签名,得到,再用V的公钥PK_V加密,得到后将其转发至V。
　　(3)V→U:{h(r_V,K_se,T_T,ID_V),r_V,T_T}
　　移动服务提供商V收到来自TTP的报文(2)后,先利用私钥SK_V解密报文,然后从TTP颁发的签名证书中得到TTP签名公钥从而验证报文(2)的最后一段信息是否为TTP签名信息。若是,说明报文来自TTP,则生成一个随机数r_V并计算其与用户U之间的会话密钥,K_se=h(r_V,h(r_U,M)),然后计算杂凑值h(r_V,K_se,T_T,ID_V)并连同随机数r_V、时戳T_T一起转发给用户U。
　　(4)U→V:{h(r_V,K_se,T_T,Alias)}
　　移动用户U接收到来自(3)中的报文信息后,利用与(3)中相同的方式生成会话密钥,然后用与(3)中相同的方式计算杂凑值,并与报文(3)的第一部分比对,若相同则说明信息的确来自用户U发起协议时所期望与之通信的那个移动服务提供商V,并且V获得与U相同的会话密钥。接着U计算杂凑值h(r_V,K_se,T_T,Alias)并转发至V。
　　(5)V收到来自(4)的报文信息后,利用先前存储的长期化名以及会话密钥等按与(4)中相同的方式计算杂凑值,并与接收到的信息比对,若正确,则说明用户U已经知道会话密钥,完成了认证过程。
2 协议性能分析
　　(1)移动终端计算负荷少。该协议最大特点就是移动终端的计算复杂度很低。从计算复杂度来说,最复杂耗时的是数字签名,其次是对称加密运算,而杂凑运算最为简单。移动设备的计算能力十分有限,若用户端的设计过于复杂,会使得整个协议的执行效率低下,所以在用户端采用计算量较小的杂凑函数。从整个协议来看,用户U仅仅执行了四次杂凑运算。而计算复杂的签名和公钥加密过程则放到了计算能力都比较强的TTP和移动服务提供商V端,因此协议可以很大程度减少认证延时,提高认证效率。
　　(2)会话密钥的新鲜性与安全性。会话密钥的计算是依靠移动用户U和移动服务提供商V提供的随机数以及移动用户U的一段秘密报文共同产生的。用户U每发起一次新的协议,就会生成新的随机数,最终生成的会话密钥也是新的,从而保证每次协议都使用不同的会话密钥,有效地防止重放攻击。由于会话密钥的计算只与用户U和移动服务提供商V提供的信息有关,其他任何实体都不能控制会话密钥的生成,并且在身份认证过程中,属于敏感信息的会话密钥始终都没有在信道中传递。仅仅是通过杂凑计算生成一个信息摘要来传递,这样,就有效地防止了会话密钥的泄漏,具有较高的安全性。
　　(3)有效的双向认证。双向认证的目的是确保协议所涉及的通信实体都是合法的,移动用户U对移动服务提供商V认证,保证正在与之通信的移动服务提供商是协议发起时所期望与之通信的服务提供商,而移动服务提供商对用户的认证又可以防止攻击者假冒用户获取提供商的资源。移动用户U在收到(3)的报文后,可以实现对移动服务提供商的身份认证。用户U根据服务提供商的自身信息ID_V以及(3)中的报文相关信息对(3)的报文的第一部分信息进行验证,因为信息中包含提供商身份信息,并且还有TTP提供的时戳,攻击者很难进行重放和并行会话攻击。同样,移动服务提供商也可以根据(2)的报文和(4)的报文对用户认证。移动服务提供商V首先根据(2)的报文通过TTP得到用户的长期化名Alias,在接收到(4)的报文后,可根据两次用户长期化名以及会话密钥等信息完成用户认证。在认证过程中,一旦某一步的多个报文中出现相同的时戳信息或者杂凑值比对出错,说明存在入侵者,协议自动终止。
　　(4)匿名性。用户U在整个认证协议过程中只使用了自己的长期化名Alias,其身份信息ID_U只有用户U和TTP知道,而任何移动服务提供商V只能得到用户的长期化名,这使得协议可以抵抗针对某一用户的拒绝服务攻击。
　　本文基于公钥密码体制设计的一种适合于移动通信的认证与密钥协商协议充分考虑了移动终端计算能力弱的特点,将复杂的数字签名与公钥加密算法用杂凑函数替代,大大减少了移动终端的计算负荷,降低了计算复杂度,同时在密钥协商过程中有效地避免了会话密钥在协议中的传送,具有较高的安全性。
参考文献

[1] STEINER J，NEUMAN C， KERBEROS S  J． All auth-entication service for open network systems[C]．Proceedings of the USENIX Winter Conference,1988:191-202．
[2] 李明柱，李志江，杨义先．移动通信增值服务认证和支付研究[J]．通信学报，2003，24(4)：123-127.
[3] 王育民，刘建伟．通信网的安全——理论与技术[M]．西安：西安电子科技大出版社，1999.
[4] 万仁福，李方伟，朱江．一种适用于移动环境的认证和支付协议[J]. 电子与信息学报，2005，27(3):498-501.
[5] MUHAMMAD S， FURQAN Z， GUHA R K. Designing authentication protocols: Trends and Issues[C]．Proceedings of the International Conference on Networking, International Conference on Systems and International Conference on Mobile Communications and Learning Technologies,2006:76-76.