基于無證書公鑰密碼體制的密鑰管理

鄭曉麗， 姜迪剛

（軍事體育進修學院，廣東 廣州 510500）

0 引言

由于移動通信系統越來越多地使用IP通信技術，未來的移動通信系統必然朝著全IP網絡方向發展，而移動IP技術為未來的全 IP移動通信系統提供了一個標準的全球移動性解決方案。移動IP協議在實際應用中，實現主機移動性的同時，也帶來了潛在的安全問題。為了保障移動IP在實際注冊過程中的安全，國內外專家已提出多種移動IP注冊協議，其中無證書公鑰技術更適合IPv6[1]環境下的注冊認證[2-3]，現提出一種新的接入注冊技術，采用移動IPv6，IPSec相融合的安全體系，來完成用戶的注冊與認證[4]。

1 無證書的簽名方案

一個無證書簽名方案一般由七個算法組成：系統初始化、部分私鑰提取、秘密值生成、公鑰生成、私鑰生成、簽名和驗證。

1.1 系統初始化

輸入安全參數k，KGC運行算法：輸出〈G1, G2, e〉，其中G1和G2是兩個q階循環群，e:G1×G2→G2是一個雙線性映射。選擇一個隨機數s∈和G1的一個生成元P∈G1。計算Ppub=sP和g=e (P,P)。選擇三個密碼學哈希函數H1:{0,1}*→，

公開系統參數params=〈G1, G2, e, q, g, P, Ppub, H1, H2,H3〉。消息空間為M={0,1}*。系統主密鑰master-key為s∈。

1.2 部分私鑰提取

KGC在證實了用戶A的身份后，輸入系統參數params、主密鑰 master-key和一個用戶 A的身份標識符 IDA，IDA∈{0,1}*，計算qA=H1(IDA)∈G1并返回用戶A的部分私鑰DA= ( s + qA)-1P∈G1，然后將DA通過安全信道傳送給用戶A。

1.3 秘密值生成

輸入用戶A的身份標識符IDA和安全參數k，輸出一個隨機數xA∈作為用戶A的秘密值。該算法由用戶A運行。

1.4 公鑰生成

輸入系統參數 params和秘密值 xA，計算QA=Ppub+H1(IDA)P∈G1和RA=xAQA∈G1，并返回用戶A 的公鑰PKA=RA∈G1。該算法由用戶A運行。

1.5 私鑰生成

輸入用戶A的秘密值xA、公鑰RA和部分私鑰DA，計算yA=H2(RA)∈ Z?q和SA= ( xA+ yA)-1DA∈G1，并返回用戶A的私鑰SKA=SA。該算法由用戶A運行。

1.6 簽名

輸入消息明文m∈M、簽名者身份IDA、私鑰SA及系統參數params，該算法運行如下：選擇一個隨機數r∈；計算 U=gr=e(P,P)r；設 h=H3(m, U) ∈；計算V=(r+h)SA；返回σ=(U,V)作為簽名者A對m的簽名。

1.7 驗證

輸入消息m、簽名σ、簽名者身份IDA、公鑰RA及系統參數params，若簽名被驗證通過則輸出“1”，否則輸出“0”。

① 計算 QA=(s+qA)P=Ppub+H1(IDA)P，yA=H2(RA)及h=H3(m, U);

② 檢查e (V, RA+ yAQA) = Ugh是否成立。如果等式成立，驗證者輸出“1”，否則輸出“0”。

該CLS方案滿足完整性如下：

e (V, RA+ yAQA) = e ((r + h) SA, xA(Ppub+ qAP) + yA(Ppub+((r + h)P, P) = e (P, P)r+h= Ugh,該簽名方案的安全性證明將歸約到k-CAA問題和群上的CDH問題，可以得出該簽名方案在隨機預言模型下是安全的。

2 協議的仿真設計

現所提出的協議，著重考慮現有IPSec協議的不足，通過將無證書公鑰技術融入 IKEv2協議，形成了一種新型的IPSec接入認證方法，實現了在移動Ipv6網絡環境下移動節點MN對代理的安全注冊。

2.1 MN與HA的認證過程設計

MN與HA的認證過程執行如下步驟：步驟1 MN發送向HA注冊的IKE/SA初始化消息。

當MN開機后檢測到HA時，選擇隨機數Ni，發送向HA注冊的IKE/SA初始化消息{IDMN，Ni，SAi1，KEi}||SigMN。

IDMN為MN的身份標識。

MN的公鑰RMN由MN本地計算得出，并發送給KGC保管。本協議用無證書方式簽名，與MN通信的HA需向KGC提交申請獲取RMN。MN的部分私鑰由存在于MN與HA之間信任的KGC通過秘密通道傳送給MN。

SAi1，可供選擇的IKE/SA算法提議，表示發起方MN所支持的密碼算法列表。

KEi，發起方MN的Diffie-Hellman密鑰交換參數。

MN對所傳遞的消息簽名，并以MN的家鄉地址為源地址將IKE/SA初始化消息發送給HA，即可實現對HA的注冊。

步驟2 HA對收到的消息驗證后，向MN發送IKE/SA響應消息。HA收到消息后，對IDMN和所收到消息的簽名SigMN進行驗證，驗證后HA選擇隨機數Nr，向移動節點MN發送消息{IDHA，Ni，Nr，SAr1，KEr}||SigHA。其中SAr1，響應方HA選擇的IKE/SA算法，該算法為最終建立的IKE/SA所使用的算法，IDMN為MN的身份標識。KEr，響應方HA的Diffie-Hellman密鑰交換參數。步驟1和步驟2完成后，不僅實現了MN對HA的注冊，而且還基于DH密鑰交換協議創建了密鑰交換安全關聯IKE/SA，用于保護之后創建MIPSec/SA的消息。

步驟3 MN對收到的消息驗證后，向HA發送IKE/AUTH初始消息。MN收到消息后，對IDHA和消息簽名SigHA驗證后，通過KEr計算出與HA之間的共享密鑰SK，用該共享密鑰SK加密消息{IDMN，AUTH，SAi2，SAis}后，發送給HA，用于創建IPSec/SAMN-HA和SAH/SAMN-HA。AUTH為認證載荷，由IKE/SA生成的消息認證碼。SAi2為可供選擇的MIPSec/SA算法提議，表示發起方MN所支持的密碼算法列表。SAis為可供選擇的源接入認證安全關聯SAH/SA提議，表示MN支持的可用于源接入認證的密碼算法列表。

步驟4 HA對收到的消息驗證后，向HA發送IKE/AUTH響應消息。HA對收到的加密消息用共享密鑰SK解密，對AUTH驗證后，用SK加密消息{IDHA，AUTH，SAr2，SArs}，發送給MN。其中SAr2為響應方HA選擇的MIPSec/SA算法，該算法為最終建立的MIPSec/SA所使用的算法。SArs，響應方HA選擇的SAH/SA算法，該算法為最終建立的SAH/SA所使用的算法。該消息達到MN并驗證通過后，就完成了整個接入認證過程。在該過程中，不但完成了MN向HA的注冊，而且同時建立了用于保護MN到HA的消息的MIPSec/SA和源接入認證安全關聯SAH/SA。這樣，通過一次認證就能實現兩類SA的創建。當SA的生存期限到期或者MN離開HA時，SA自動銷毀。

2.2 MN與FA的認證過程設計（其中包括MN向家鄉代理的綁定更新）

MN與FA的認證過程執行如下步驟：

步驟1 MN發送向FA注冊的IKE/SA初始化消息。當MN開機后檢測到FA時，選擇隨機數Ni，發送向FA注冊的IKE/SA初始化消息{IDMN，HoAMN，CoAMN，Ni，SAi1，KEi}||SigMN。MN對所傳遞的消息簽名，并以MN的家鄉地址為源地址將IKE/SA初始化消息發送給FA，即可實現對FA的注冊。該消息中，HoAMN是MN的家鄉地址，CoAMN是MN的轉交地址。MN對該消息簽名后，實現了MN的轉交地址CoAMN和家鄉地址HoAMN綁定。

步驟2 FA對收到的消息驗證后，向MN發送IKE/SA響應消息。FA收到消息后，對IDMN和所收到消息的簽名SigMN進行驗證，驗證后FA將HoAMN與CoAMN綁定緩存，選擇隨機數Nr，向移動節點MN發送消息{IDFA，Ni，Nr，SAr1，KEr}||SigFA。

步驟1和步驟2完成后，不僅實現了MN對FA的注冊，而且還基于DH密鑰交換協議創建了密鑰交換安全關聯IKE/SA，用于保護之后創建MIPSec/SA的消息。

步驟3 MN對收到的消息驗證后，向LA發送IKE/AUTH初始消息。MN收到消息后，對IDFA和所收到消息的簽名SigLA驗證后，通過KEr計算出與FA之間的共享密鑰SK，用該共享密鑰SK加密消息{IDMN，AUTH，SAi2，SAis}后，發送給FA，用于創建IPSec/SAMN-FA和SAH/SAMN-FA。SAis的含義與MN在家鄉網絡注冊時步驟3中的SAis的說明一致。SAH/SAMN-FA的建立使得MN無法偽造或重放數據包。

步驟4 FA對收到的消息驗證后，向MN發送IKE/AUTH響應消息。FA對收到的加密消息用共享密鑰SK解密，對AUTH驗證后，用SK加密消息{IDFA，AUTH，SAr2，SArs}，發送給MN；步驟4完成后，不但完成了MN向FA的注冊，而且同時建立了用于保護MN到LA的消息的MIPSec/SA和SAH/SA。這樣，通過一次認證就能實現兩類SA的創建。當SA的生存期限到期或者MN離開HA時，SA自動銷毀。

步驟5 MN向HA發送快速綁定更新消息FBU。MN注冊完成后向HA發送快速綁定更新消息FBU，FBU用MIPSec/SAMN-HA來保護，實現家鄉地址HoAMN與轉交地址CoAMN對家鄉代理HA的綁定。

步驟6 HA向MN返回綁定確認消息Back，完成注冊過程。成功注冊后，雙方之間的通信即可套用IPSec協議。

3 安全性分析

3.1 假冒攻擊

敵手若想要冒充MN與HA進行通信，首先必須向KGC申請得到HA的公鑰RHA，顯然敵手不可能得到RHA，即無法冒充MN；同理，敵手也不能冒充HA與MN進行通信。

3.2 完整性保護

IPSec中的IKEv2協議本身就對消息的完整性進行了保護，此協議中并沒有改動其對完整性的保護。

3.3 惡意攻擊

通過確保節點之間消息的完整性，可以防止惡意攻擊。這個可以通過消息認證碼和哈希函數來實現。

3.4 中間人攻擊

通過在移動實體之間采用認證機制可以抵御中間人攻擊。

3.5 重放攻擊

如果一個攻擊者重放一個以前被HA成功接收過的注冊請求消息，由于這個請求消息里面舊的nonce不等于HA端目前保存的nonce，所以HA將會拒絕這個注冊請求消息。同理，NMN能夠為注冊回復消息提供重放保護。如果一個攻擊者從一些以前成功運行的注冊過程中選擇按次序重放一個有效的注冊請求消息和之對應的回復消息給 FA，由于這里的協議在注冊消息中使用了FA的nonce隨機數NFA，那么FA通過查看將會發現這兩個注冊消息中的NFA不同于FA在最近一次代理廣播中發送的nonce，所以攻擊者不能欺騙FA，從而免費使用外地網絡的資源。因此，包含NFA、NMN和NHA的注冊消息能夠抵制所有的重放攻擊。

3.6 保密性

在IKE第二次交換過程中會生成共享密鑰SK，保證了雙方通信內容的可靠性。

3.7 一次注冊后密鑰的安全分發

由于密鑰是在MN本地產生，除MN自己任何第三方都無法獲取此密鑰，所以密鑰是絕對保密的。

4 結語

針對 IPSec協議對移動 IPv6網絡安全保護所存在的不足，在IPSec安全體系之上加入了無證書公鑰密碼體制來管理密鑰，加強了IPSec的可行性，改善了其不足，綜合設計出了一種新的接入認證方法，并討論了此協議的安全性。

[1] JOHNSON D, PERKINS C, ARKKO J. Mobility Support in IPv6 [DB/OL].(2007-01-20)[2009-09-21]. http：//rfc.sunsite.dk/ rfc/rfc 3775.html.

[2] CHOI K Y, PARK J H, HWANG J Y, et al. Efficient Certificateless Signature Schemes[C]// Katz J. LNCS 4521： ACNS 2007. Berlin：Springer-Verlag, 2007：443-458.

[3] ZHANG L, ZHANG F T, ZHANG F G. New efficient certificateless signature scheme[C]// Denko M. LNCS 4809： EUC Workshops 2007.Berlin： Springer-Verlag, 2007：692-703.

[4] 藺萌,陳樂然,劉正軍.WCDMA系統安全機制研究[J].通信技術,2007,40(04)：51-53.