移动IP注册过程中主密钥分发方案研究
2008-07-08
作者:张 蕾, 张传富
摘 要: 移动IP注册过程的安全,主要是通过认证和消息完整性保护实现的,因此,密钥的安全有效分发便成为保证注册过程安全的关键。根据注册过程中的密钥要求,提出了基于Diffie-Hellman密钥协商机制和椭圆曲线密码算法的主密钥" title="主密钥">主密钥分发方案,并运用SVO逻辑对该方案进行了安全性分行。分析结果表明,该方案实现了密钥分发过程中双方的身份认证以及密钥的确认性和新鲜性。
关键词: 安全需求 主密钥 椭圆曲线密码 SVO逻辑
现有的IP协议最初是为固定网络设计的,并不支持主机的移动接入。IETF(Internet Engineering Task Force)为了解决移动主机" title="移动主机">移动主机访问网络的问题,使IP网络支持漫游功能,制定了移动IP(Mobile IP)协议,它是Internet支持主机移动的网络层解决方案。移动IP主机可以通过一个永久的IP地址连接到任何一个链路上,当移动主机切换到新链路上时,仍然能保持正在进行的通信。
移动IP定义了三个新的实体[1]:移动节点" title="移动节点">移动节点 MN(Mobile Node)、家乡代理HA(Home Agent)和外地代理FA(Foreign Agent)。移动IP中的安全威胁很大一部分来自于移动节点向家乡代理的注册过程。在注册过程中,攻击者可以通过向家乡代理发送伪造的注册请求,把自己的IP地址当作某个移动节点的转交地址。注册成功后,发往该移动节点的消息均由攻击者接收,而真正的移动节点却被拒绝服务。攻击者还可以通过窃听会话,截取数据包,把一个有效的注册请求信息储存起来,然后利用储存的注册请求向家乡代理注册伪造的转交地址。因此,注册过程中移动用户认证、消息的完整性保护是移动IP安全的核心问题之一。
1 移动IP注册过程的安全分析
1.1 安全威胁和解决措施
在移动IP协议中,移动节点向家乡代理注册需要通过哈希函数对注册信息进行计算,得到一个定长的信息摘要,并将这个摘要添加到注册消息的认证扩展域中,产生一个注册消息,然后再由移动节点将这个消息发送给家乡代理。R.Molva、Stuart Jacobs等人曾对注册过程中移动用户的认证方法[2]和移动IP的安全性[3]进行了讨论,指出用认证机制来保护移动IP的安全的前提是移动节点和家乡代理之间共享密钥消息。
在移动IP环境中,移动主机大多数运行于无线环境下,无线链路的特点是带宽低、误比特率高。因此在无线环境下不适合一次性分配大量的密钥,一般是分发少量的主密钥,通过对主密钥进行计算,产生一些子密钥,这些子密钥被用于加密或身份认证的系统密钥。因此主密钥的安全是整个系统的安全基础。在移动IP环境中,主密钥的分发是通过移动节点和家乡代理进行密钥协商完成的。
1.2 主密钥安全分发的要求
移动IP的主密钥保护着整个认证过程,因此主密钥的安全性显得尤为重要。在本方案中,安全分发主密钥应满足以下要求:
(1)通信实体之间的相互认证:移动节点和家乡代理双方各自都要对对方的身份进行认证,以证明对方的合法身份。
(2)密钥确认性:通过密钥验证,移动节点和家乡代理都能证明双方拥有相同的密钥, 而且只有移动节点和家乡代理知道该密钥。
(3)密钥的新鲜性:经过协商生成的密钥应该具有新鲜性。新鲜性能保证密钥的完美向前性。主密钥只有移动节点和家乡代理拥有,任何第三者都不能利用先前截获的消息对其进行计算从而得到主密钥。密钥的新鲜性可以有效地防御重放攻击,同时也保证了方案的完美向前性。
(4)安全方案运行的高效率:移动节点绝大多数运行于无线环境中,无线链路的带宽比较低,同时移动节点的计算能力和存储能力也十分有限,因此需要考虑方案在移动IP环境中的执行效率。
2 安全分发主密钥方案
根据移动IP注册过程的安全分析和安全要求,提出了基于Diffie-Hellman密钥协商机制和椭圆曲线的可认证密钥协商的主密钥分发方案。本方案在不需要第三方介入的情况下,通过空中下载方式为移动节点分发主密钥。
选取有限域Fq,在域上随机生成一条椭圆曲线E(Fq),保证椭圆曲线群上的离散对数是难解的;然后选取点P作为基点,P的阶数为n,n为大素数,P公开。
定义:zn是由模n剩余类构成的集,则zn是一个阿贝尔群,若t+r=0modn,则称r为t的逆元,记为r=-tmodn。在此,n是椭圆曲线E(Fq)上点P的阶。
方案的前提:MN和HA共享一个口令S,MN和HA计算两个整数t和-t,t是根据预先设定的方法由S计算得到的,并假设由S只能得到惟一的t。
安全分发主密钥方案如图1所示,具体描述如下:
(1)MN:选择随机数dA∈[1,n-1],计算QA=(dA+t)P,MN→HA:QA。
(2)HA:选择随机数dB∈[1,n-1],计算QB=(dB+t)P,Y=QA+(-t)P=dAP,KB=dBY=dAdBP和tKB=tdAdBP,HA→MN:QB,tKB。
(3)MN计算X=QB+(-t)P=dBP,KA=dAX=dAdBP,tKA和tdBP,验证tKB是否等于tKA,如果验证成功,MN→HA:tdBP。
(4)HA验证tdBP,如果验证成功,则通知MN。HA→MN:success。
至此,移动节点和移动代理成功协商了主密钥,K=KA=KB=dAdB P。
3 方案分析
3.1 形式化安全分析
形式化的分析方法就是采用各种形式化的语言或者模型,为安全协议" title="安全协议">安全协议建立模型,并按照规定的假设和分析、验证方法证明协议的安全性,这类方法中最著名的就是BAN类逻辑。SVO形式化验证方法是在综合和优化BAN、GNY、AT、VO逻辑的基础上提出来的,它提取了四种逻辑的主要特点,提出了惟一的、相对较为简单的分计算模型形式化验证方法。SVO仍属于BAN类逻辑。
在形式化语义方面,SVO逻辑对一些概念作了重新定义(有别于AT逻辑),从而取消了AT逻辑系统中的一些限制。SVO逻辑所用的记号与BAN逻辑、AT逻辑是相似的,仍用符号
分别表示相信、接收到、发送过、刚发送过、管辖、拥有、新鲜与等价。另外,SVO逻辑还有自己所特有的12个符号。此外,SVO逻辑还有21条公理,用于逻辑推理过程。
使用SVO逻辑对一个安全协议进行形式化分析的步骤如下:
(1)给出该协议的初始化假设集:即用SVO逻辑语言表示各主体的初始信念、接收到的报文、对所收到报文的理解和解释;
(2)给出该协议可能或应该达到的目标集,即用SVO逻辑语言表示的一个公式集。
(3)在SVO逻辑中证明结论是否成立。若成立,则说明该协议达到了预期的设计目标,协议的设计是成功的。
首先对安全分发主密钥方案进行理想化:
然后给出方案的初始化假设集,对各主体的初始信念、接收到的报文、对所收到报文的理解和解释用SVO逻辑语音表示:
再给出方案的目标集:
目标集(1)和(3)表明MN和HA都相信K是双方确认的共享的密钥;(2)和(4)表明了密钥的新鲜性。
运用SVO的逻辑推理规则和21条逻辑公理进行推理,可以得到目标集。因推理过程太长,在此省略了详细的推理过程。
结果分析表明,移动节点和家乡代理都相信主密钥K是适合他们双方通信的确认共享密钥。K是确认共享密钥表明了双方都相信自己拥有合法的密钥,同时都相信双方的身份,也就是在主密钥协商下实现了双方的身份认证,最终拥有主密钥的实体就是合法的移动节点和家乡代理。协商的主密钥具有新鲜性,即整个协商过程具有完美向前性,同时也能抵御重放攻击。
3.2 方案的执行效率分析
本方案的主密钥分发是基于椭圆曲线密码系统的可认证密钥协商的。椭圆曲线密码ECC(Elliptic Curves Cryptography)和传统的公钥" title="公钥">公钥密码在移动环境下相比有很大的优势,这是本方案采用ECC的原因。160bit的ECC相当于1024bit的RSA和DSA。同样安全强度的ECC、RSA和DSA相比,ECC的计算开销远小于其他密码算法,使得ECC可以在很短的时间内产生符合条件的密钥,可以在ROM中执行,不需要额外的硬件。其他公钥体制由于产生密钥所需的计算非常复杂,在计算能力受限的情况下很难产生合适的密钥。当传送短消息时,ECC比其它公钥算法节省带宽。综上分析,ECC与其他公钥加密系统相比,能提供更好的加密强度、更快的执行速度和更小的密钥长度,在移动环境下,移动节点的计算能力比较弱,同时带宽受限,对密码算法要求计算量、存储量、带宽和时延比较小。因此ECC和传统公钥密码相比较更适合于移动IP环境。
本文提出的方案有效地解决了移动主机注册过程中的主密钥分发问题,满足了注册过程中主密钥分发的安全要求,具有较高的安全性,并且在保证方案的安全性的基础上减少了方案的运算开销,具有良好的执行效率。本方案分发的主密钥通过计算可以产生用于移动IP注册过程的认证和消息完整性保护的子密钥,可以有效地解决移动IP中的一些安全问题。
参考文献
[1] RFC2002: IP Mobility Support. IETF, 1996.
[2] MOLVA R, SMAFAT D, TSUDIK G. Authentication of mobile users. IEEE,1994,(3):26.
[3] JACOBS S, CIRINCIONE G. Security of current mobile IP solutions. IEEE,1997,6:1122.
[4] 卿斯汉.安全协议的设计与逻辑分析.软件学报,2003,14:1300.
[5] 张险峰,秦志光,刘锦德. 椭圆曲线加密系统的性能分析. 电子科技大学学报,2001,(2):144.