預(yù)認(rèn)證線性快速接入方案

任 雙 廷

預(yù)認(rèn)證線性快速接入方案

任 雙 廷

(南京航空航天大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 江蘇 南京 210016)

在網(wǎng)絡(luò)接入方案中，認(rèn)證是保證實(shí)體安全性的重要方面。所謂認(rèn)證是指：一個(gè)實(shí)體向另一個(gè)實(shí)體證明其聲稱屬性的一個(gè)過程。在對(duì)現(xiàn)有快速接入認(rèn)證方案分析的基礎(chǔ)上，提出一種預(yù)認(rèn)證線性快速接入方案。在該方案中利用基于身份的密碼技術(shù)，避免了傳統(tǒng)公鑰密碼體制中證書存儲(chǔ)和管理的問題，通過認(rèn)證碼保證信息的完整性，在會(huì)話密鑰的協(xié)商過程中完成實(shí)體間的雙向認(rèn)證，并對(duì)信息進(jìn)行加密，保證只有指定用戶才可以解密。通過對(duì)安全性和性能的分析表明，在線性高速切換過程中，所提方案擁有更高的切換效率和安全性，能夠有效地提高服務(wù)質(zhì)量。

線性 切換 接入 雙向認(rèn)證

0 引 言

認(rèn)證是在終端接入網(wǎng)絡(luò)時(shí)保證終端和網(wǎng)絡(luò)安全的一種方法?，F(xiàn)實(shí)生活中，由于環(huán)境的不同，我們對(duì)接入認(rèn)證的需求也有所不同，有的突出認(rèn)證的匿名性，有的突出認(rèn)證的雙向性，而本文關(guān)注的是認(rèn)證的快速性，以滿足高速行駛下無線切換的順利進(jìn)行，保證高鐵、地鐵等高速運(yùn)動(dòng)環(huán)境下的無線服務(wù)質(zhì)量。在此環(huán)境下，由于列車行駛的高速特性，為了滿足用戶的正常網(wǎng)絡(luò)傳輸，需要快速地完成接入認(rèn)證。傳統(tǒng)的無線接入認(rèn)證方案中[1-5]，每次切換都需要重新認(rèn)證和接入，這樣勢(shì)必會(huì)帶來大量的認(rèn)證和接入信息流[6-10]，尤其在移動(dòng)設(shè)備高速運(yùn)動(dòng)的情況下，用戶接入更加的頻繁，帶來的影響更是明顯。為了在高速環(huán)境下減少切換時(shí)延，錢對(duì)切換時(shí)機(jī)進(jìn)行研究[11]，通過切換時(shí)機(jī)的選擇減少切換時(shí)延；李通過簡(jiǎn)化Wlan接入認(rèn)證流程和同步傳輸縮短認(rèn)證時(shí)間[12]；同時(shí)，肖-王基于預(yù)共享密鑰和證書的雙向認(rèn)證，證明了可信接入認(rèn)證協(xié)議的串空間安全性[13]；然而，以上安全性認(rèn)證多基于傳統(tǒng)的公鑰密碼體制，存在證書的存儲(chǔ)、傳輸、管理等問題，并不能完全適用于無線環(huán)境。

為了克服傳統(tǒng)公鑰密碼體制中證書存儲(chǔ)和管理的問題，shamir于1984年提出了基于身份的密碼體制，并基于整數(shù)分解難題給出了第一個(gè)基于身份的簽名方案[14]。2001年，Boneh等利用Weil配對(duì)技術(shù)提出了第一個(gè)安全、使用的基于身份的加密方案[15]。之后，基于身份的密碼體制得到了迅速發(fā)展，并提出了大量基于身份的加密和簽名方案。2005年，Waters首次提出了標(biāo)準(zhǔn)模型下基于身份的加密方案[16]，并將其歸約于計(jì)算Diffie-Hellman假定。2006年，Paterson等人在Waters基于身份加密方案的基礎(chǔ)上，提出了一個(gè)標(biāo)準(zhǔn)模型下基于身份的簽名方案[17]，并給出了該方案基于身份簽名的可證安全模型。這也為認(rèn)證的安全性等提供了技術(shù)保證。

本方案，基于身份密碼體制，根據(jù)多跳網(wǎng)絡(luò)中多跳的思想[18,19]，引入了認(rèn)證過程中信任傳遞的思想。在地鐵的特殊環(huán)境下，通過對(duì)認(rèn)證碼和會(huì)話信息的提前傳遞和預(yù)驗(yàn)證來完成認(rèn)證，并減少終端高速切換中的聚集認(rèn)證問題。相對(duì)于前人所提的快速接入方案，本文所提方案中終端在接入點(diǎn)之間切換時(shí)，通信量更少，認(rèn)證時(shí)延更少，可以有效地提高切換質(zhì)量。

1 前提知識(shí)

定義2 計(jì)算Diffie-Hellman問題。設(shè)G1為q階(q為一大素?cái)?shù))的循環(huán)群，g為G1的生成元，對(duì)于?(g,ga,gb)∈G1，計(jì)算gab，其中a,b∈Zq未知(Zq表示整數(shù)模q的剩余類所構(gòu)成的集合)。

2 預(yù)認(rèn)證線性快速接入方案

表1 符號(hào)說明

方案包括兩個(gè)階段：初始化階段和認(rèn)證接入階段。

初始化階段：

認(rèn)證接入階段：

方案中認(rèn)證接入又可以分為三種情況：(1) 終端在外地域接入；(2) 終端在家鄉(xiāng)域接入；(3) 終端在域內(nèi)切換。其具體實(shí)現(xiàn)框架如圖1所示，整個(gè)系統(tǒng)由多個(gè)PKG域組成，為了滿足域間通信及切換用戶注冊(cè)，每個(gè)合法PKG都在根PKG注冊(cè)；每個(gè)PKG域中有多個(gè)合法接入點(diǎn)AP和合法終端MN。當(dāng)終端MN接入或切換到新的PKG域時(shí)，通過家鄉(xiāng)PKG域向接入域發(fā)起接入申請(qǐng)，在進(jìn)行密鑰協(xié)商的同時(shí)通過基于身份生成的認(rèn)證碼隱式完成雙向認(rèn)證，并完成新域內(nèi)私鑰的申請(qǐng)工作；當(dāng)終端在同一PKG域的接入點(diǎn)間進(jìn)行接入或切換時(shí)，可以與接入點(diǎn)AP通過基于身份的密鑰直接進(jìn)行會(huì)話密鑰協(xié)商，完成雙向認(rèn)證。

圖1 預(yù)認(rèn)證線性快速接入方案框架

圖2 快速接入認(rèn)證協(xié)議

方案描述：

終端在外地接入過程如圖2所示，詳細(xì)步驟如下：

AP周期性的廣播域內(nèi)信息{IDAP,IDAS,G1,G2,q,P,Ppub,H1,H2}；

1) 若MN發(fā)現(xiàn)已切換到新的PKG域時(shí)，則執(zhí)行如下操作構(gòu)造注冊(cè)請(qǐng)求：

r1?r1QMN?KMN-HA=p(e(r1SMN,y1QHA))=p(e(r1QMN,y1SHA))

r2?r2P?KMN-AS=p(e(r2Ppub,SAS))=p(e(r2p,SAS))

r3?r3P?KMN-AP=p(e(r3Ppub,SAP))=p(e(r2p,SAP))

M1=r1QMN,{IDMN,IDAP,IDAS,TMN}KMN-HA

MAC1=MACKMN-HA(M1)

M2=r2P,{M1,MAC1,TMN}KMN-AS

MAC2=MACKMN-AS(M2)

M3=req,IDMN,IDAP,IDHA,r3P,{M2,MAC2,TMN}KMN-AP

MAC3=MACKMN-AP(M3)

M3[M2[M1,MAC1]MAC2]MAC3

a) 獲取設(shè)備當(dāng)前時(shí)間TMN；取出預(yù)存的與HA的共享參數(shù)y1QHA；

b) 生成隨機(jī)數(shù)r1,r2,r3；分別計(jì)算與HA,AS,AP的會(huì)話密鑰KMN-HAKMN-ASKMN-AP；

c) 構(gòu)造信息M1根據(jù)KMN-HA生成M1的認(rèn)證碼MAC1；構(gòu)造信息M2根據(jù)KMN-AS生成M2的認(rèn)證碼MAC2；構(gòu)造信息M3根據(jù)KMN-AP生成M3的認(rèn)證碼MAC3，通過層層加密來保證信息的安全性，保證僅能由相應(yīng)接收者查看其相應(yīng)的信息；

d) MN→AP:M3,MAC3；

2) AP收到MN發(fā)來的信息后，進(jìn)行如下操作：

m1?X=gm1modP

m2?m2QAP?KAP-AS=H2(e(m2SAP,n1QAs))=H2(e(m2QAP,n1SAs))

M4=req,IDMN,IDAP,IDHA,m2QAP,{M2,MAC2,X,TMN}KAP-AS

MAC4=MACKAP-AS(M4)

M4[M2[M1,MAC1]MAC2]MAC4

a) 驗(yàn)證時(shí)間戳TMN，在時(shí)間范圍內(nèi)則繼續(xù)執(zhí)行，否則返回超時(shí)信息；

b) 取得M3中的r3P，計(jì)算與MN的會(huì)話密鑰KMN-AP并驗(yàn)證MAC3的完整性確保信息沒有被篡改，驗(yàn)證通過繼續(xù)執(zhí)行，否則返回錯(cuò)誤信息；

c) 選擇隨機(jī)數(shù)m1，m2，計(jì)算X作為與HA的密鑰協(xié)商參數(shù)，提取與AS的共享參數(shù)n1QAS并計(jì)算與AS的會(huì)話密鑰KAP-AS；

d) 構(gòu)造信息M4并根據(jù)KAP-AS生成M4的認(rèn)證碼MAC4；

e) AP→AS:M4,MAC4；

3) AS收到AP發(fā)來的信息后，進(jìn)行如下操作：

M5=req,IDMN,IDAP,IDHA,n2QAS,{M1,MAC1,X,SiAP,TMN}KAP-AS

MAC5=MACKAS-HA(M5)

M5[M1,MAC1]MAC5

a) 驗(yàn)證時(shí)間戳TMN，在時(shí)間范圍內(nèi)則繼續(xù)執(zhí)行，否則返回超時(shí)信息；

b) 取得M4中的m2QAP，計(jì)算與AP的會(huì)話密鑰KAP-AS，并驗(yàn)證MAC4的完整性；驗(yàn)證通過繼續(xù)執(zhí)行，否則返回錯(cuò)誤信息；

c) 取得M2中的r2P，計(jì)算與MN的會(huì)話密鑰KMN-AS，并驗(yàn)證MAC2的完整性，確保信息不被篡改；驗(yàn)證通過繼續(xù)執(zhí)行，否則返回錯(cuò)誤信息；

d) 選擇隨機(jī)數(shù)n2，計(jì)算與終端家鄉(xiāng)代理HA的會(huì)話密鑰KAS-HA；

e) 構(gòu)造信息M5并根據(jù)KAS-HA生成M5的認(rèn)證碼MAC5；

f) AS→HA:M5,MAC5

圖4(b)中,0.5,1.0,1.5 MPa條件下的質(zhì)量磨損率分別為0.020,0.030,0.092 mg/轉(zhuǎn).隨著載荷的增加,硬質(zhì)顆粒的犁削作用增強(qiáng),磨損加劇;同時(shí),摩擦過程中動(dòng)能轉(zhuǎn)化成內(nèi)能,積累到一定程度時(shí),磨屑膜在內(nèi)應(yīng)力的作用下開裂并產(chǎn)生磨屑,隨著載荷的增加,磨屑膜更容易開裂,導(dǎo)致磨損率更大.

4) HA收到AS發(fā)來的信息后，進(jìn)行如下操作：

y2?y2QHA?{y2QHA}KMN-HA

y3?Y=gy3modp?KAP-HA=(X)y3modp=gm1y3modp

=(Y)m1modp

M6={IDMN,IDAP,IDAS,SiMN,SiAP,SiAS,

{y2QHA}KMN-HA,THA}KMN-HA

M7=Y,{M6,MAC6,THA}KAP-HA

MAC7=MACKAP-HA(M7)

MAC8=MACKAS-HA(M8)

M8[M7[M6,MAC6]MAC7]MAC8

a) 驗(yàn)證時(shí)間戳TMN，在時(shí)間范圍內(nèi)則繼續(xù)執(zhí)行，否則返回超時(shí)信息；

c) 取得M1中的r1QMN，根據(jù)與MN的共享參數(shù)y1計(jì)算其會(huì)話密鑰KMN-HA，并驗(yàn)證MAC1完整性，完成對(duì)MN的認(rèn)證；

d) 選擇隨機(jī)數(shù)y2,y3,y4，分別計(jì)算{y2QHA}KMN-HA和與AP,AS的會(huì)話密鑰KAP-HA,KAS-HA；

e) 構(gòu)造信息M6并根據(jù)KMN-HA生成M6的認(rèn)證碼MAC6；構(gòu)造信息M7并根據(jù)KAP-HA生成M7的認(rèn)證碼MAC7；構(gòu)造信息M8并根據(jù)KAS-HA生成M8的認(rèn)證碼MAC8；

f) HA→AS:M8,MAC8；

5) AS收到HA發(fā)來的信息后，進(jìn)行如下操作：

QMN=H1(IDMN),SMN=sH1(IDMN),{SMN}KMN-AS

n4?n4QAS?KMN-AS=p(e(r2P,n4SAS))=p(e(r2Ppub,n4QAS))

n5?n5QAS?{n5QAS}KAP-AS

M9=rep,IDMN,IDAP,IDAS,{{n4QAS}KMN-AS,M7,MAC7,

{SMN}KMN-AS,{n5QAS}KAP-AS,Y,SiMN,THA}KAP-AS

MAC9=MACKAP-AS(M9)

M9[M7[M6,MAC6]MAC7]MAC9

a) 驗(yàn)證時(shí)間戳THA，在時(shí)間范圍內(nèi)則繼續(xù)執(zhí)行，否則返回超時(shí)信息；

c) 選擇隨機(jī)數(shù)n4,n5計(jì)算與MN的會(huì)話密鑰KMN-AS和與AP的下一次會(huì)話的共享秘密參數(shù)n5QAS，并通過其現(xiàn)在的會(huì)話密鑰KAP-AS加密{n5QAS}KAP-AS；

d) 生成MN的私鑰SMN并用與MN的會(huì)話密鑰KMN-AS加密；

e) 構(gòu)造信息M9并根據(jù)KAP-AS生成M9的認(rèn)證碼MAC9；

f) AS→AP:M9,MAC9；

6) AP收到AS發(fā)來的信息后，進(jìn)行如下操作：

m3?m3QAP?KMN-AP=p(e(r3P,m3SAS))=p(e(r3Ppub,m3QAP))

M10=rep,IDMN,IDAP,IDAS,{m3QAP}KMN-AP，

{{n4QAS}KMN-AS,M6,MAC6,{SMN}KMN-AS,THA}KAP-AS

MAC10=MACKMN-AP(M10)

M10[M6,MAC6]MAC10

a) 驗(yàn)證時(shí)間戳THA，在時(shí)間范圍內(nèi)則繼續(xù)執(zhí)行，否則返回超時(shí)信息；

b) 驗(yàn)證MAC9；取得M7中的Y，計(jì)算與HA的會(huì)話密鑰KAP-HA并驗(yàn)證MAC7；

c) 選擇隨機(jī)數(shù)m3，計(jì)算m3QAP，作為與MN會(huì)話密鑰協(xié)商的參數(shù)并通過KMN-AP加密；

d) 構(gòu)造信息M10并根據(jù)KMN-AP生成M10的認(rèn)證碼MAC10；

e) AP→MN:M10,MAC10；

f) 解密M9中的n5QAS，作為下一輪會(huì)話密鑰的共享信息；

7) MN收到AP發(fā)來的信息后，進(jìn)行如下操作：

r4?r4QMN?KMN-AS=p(e(r4QMN,n4SAS))=p(e(r4SMN,n4QAS))

r5?r5QMN?KMN-AP=p(e(r5QMN,n4SAP))=p(e(r5SMN,n4QAP))

M11=r4QMN,{n4QAS,THA}KMN-AS;MAC11=MACKMN-AS(M11)

M12=rep,IDMN,IDAP,r5QMN,{M11,MAC11,TMN}KMN-AP

MAC12=MACKMN-AP(M12)

M12[M11,MAC11]MAC12

a) 驗(yàn)證時(shí)間戳THA，在時(shí)間范圍內(nèi)則繼續(xù)執(zhí)行，否則返回超時(shí)信息；

b) 解密M10中的m3QAP，并根據(jù)KMN-AP驗(yàn)證MAC10的完整性；通過與AS的會(huì)話密鑰KMN-AS解密n4QAS和SMN；通過與HA的會(huì)話密鑰KMN-HA驗(yàn)證MAC6，解密M6中的y2QHA作為下一輪會(huì)話密鑰申請(qǐng)的共享秘密；

c) 選擇隨機(jī)數(shù)r4,r5，通過m3QAP，n4QAS計(jì)算與AS,AP的會(huì)話密鑰KMN-AS,KMN-AP；

d) 構(gòu)造信息M11并根據(jù)KMN-AS生成M11的認(rèn)證碼MAC11；構(gòu)造信息M12并根據(jù)KMN-AP生成M12的認(rèn)證碼MAC12；

e) MN→AP:M12,MAC12；

8) AP收到MN發(fā)來的信息后，進(jìn)行如下操作：

M13=rep,IDMN,IDAP,{M11,MAC11,TMN}KAP-AS

MAC13=MACKAP-AS(M13)

M13[M11,MAC11]MAC13

a) 驗(yàn)證時(shí)間戳THA，在時(shí)間范圍內(nèi)則繼續(xù)執(zhí)行，否則返回超時(shí)信息；

b) 取得M12中的r5QMN，計(jì)算與MN的會(huì)話密鑰KMN-AP并驗(yàn)證MAC12的完整性；

c) 構(gòu)造信息M13并根據(jù)KAP-AS生成M13的認(rèn)證碼MAC13；

d) AP→AS:M13,MAC13；

AS收到AP發(fā)來的信息后，對(duì)信息的新鮮性和完整性進(jìn)行驗(yàn)證，并依次解密信息，完成對(duì)終端和用戶共享參數(shù)的確認(rèn)，更新密鑰協(xié)商參數(shù)。

終端在家鄉(xiāng)接入如圖2陰影部分1，6，7所示，詳細(xì)步驟如下：

AP周期性的廣播信息{IDAP,IDAS,G1,G2,q,P,Ppub,H1,H2}；

(1) MN發(fā)現(xiàn)在家鄉(xiāng)PKG域，則執(zhí)行如下步驟構(gòu)造注冊(cè)請(qǐng)求：

r1?r1QMN?KMN-AP=p(e(r1SMN,QAP))=p(e(r1QMN,SAP))

M1=req,IDMN,IDAP,r1QMN,TMN,{N1,TMN}KMN-AP

MAC1=MACKMN-AP(M1)

a) 獲取設(shè)備當(dāng)前時(shí)間TMN；

b) 生成隨機(jī)數(shù)r1，計(jì)算與接入點(diǎn)AP的會(huì)話密鑰KMN-AP；

c) 構(gòu)造信息M1并根據(jù)KMN-AP生成M1的認(rèn)證碼MAC1；

d) MN→AP:M1,MAC1；

(2) AP收到MN發(fā)來的信息后，進(jìn)行如下操作：

m1?m1QAP?KMN-AP=p(e(r1QMN,m1SAP))

=p(e(r1SMN,m1QAP))

M2=rep,IDMN,IDAP,m1QAP,TAP,{N1,N2,TAP}KMN-AP

MAC2=MACKMN-AP(M2)

a) 驗(yàn)證時(shí)間戳TMN，在時(shí)間范圍內(nèi)則繼續(xù)執(zhí)行，否則返回超時(shí)信息；

b) 取得M1中的r1QMN，計(jì)算與MN的會(huì)話密鑰KMN-AP并驗(yàn)證MAC1完整性；

c) 生成隨機(jī)數(shù)m1，計(jì)算與MN的雙向控制會(huì)話密鑰KMN-AP；

d) 構(gòu)造信息M2根據(jù)KMN-AP生成M2的認(rèn)證碼MAC2；

e) AP→MN:M2,MAC2；

(3) MN收到AP發(fā)來的信息后，進(jìn)行后下操作：

M3=rep,IDMN,IDAP,TMN,{N2,TMN}KMN-AP

MAC3=MACKMN-AP(M3)

a) 驗(yàn)證時(shí)間戳TAP，在時(shí)間范圍內(nèi)則繼續(xù)執(zhí)行，否則返回超時(shí)信息；

b) 取得M2中的m1QAP，計(jì)算與AP的會(huì)話密鑰KMN-AP并驗(yàn)證MAC2的完整性；

c) 構(gòu)造信息M3并根據(jù)KMN-AP生成M3的認(rèn)證碼MAC3；

d) MN→AP:M3,MAC3；

(4) AP收到MN發(fā)來的信息后，進(jìn)行如下操作：

驗(yàn)證時(shí)間戳TMN，并驗(yàn)證MAC3的完整性，至此雙方的會(huì)話密鑰協(xié)商完成，并通過會(huì)話密鑰協(xié)商中公私鑰對(duì)的使用，進(jìn)行了雙向認(rèn)證。

圖3 快速切換認(rèn)證協(xié)議

終端在域內(nèi)切換如圖3所示，詳細(xì)步驟如下：

(1) AP1根據(jù)MN和AP2的最新會(huì)話密鑰信息向MN的下一接入點(diǎn)AP2發(fā)送申請(qǐng)：

M1=rep,IDAP1,{IDMN,r1QMN,l1QAP2，TMN}KAP1-AP2

MAC1=MACKAP1-AP2(M1)

AP2通過對(duì)AP1發(fā)來的信息進(jìn)行解密，得知下一接入終端的密鑰協(xié)商信息r1QMN和IDMN，并根據(jù)自己的最后發(fā)出的會(huì)話協(xié)商信息l1QAP2，構(gòu)建其與MN的會(huì)話密鑰KMN-AP2；

(2) AP1根據(jù)MN和AP2的最新會(huì)話密鑰信息向MN發(fā)送AP2的信息：

M2=rep,IDAP1,{IDAP2,r1QMN,l1QAP2，TAP2}KMN-AP1

MAC2=MACKMN-AP1(M2)

MN通過對(duì)AP1發(fā)來的信息進(jìn)行解密，得知下一接入點(diǎn)AP2的密鑰協(xié)商信息l1QAP2和IDAP2，并根據(jù)自己最后發(fā)出的會(huì)話密鑰協(xié)商信息r1QMN，構(gòu)建其與AP2的會(huì)話密鑰KMN-AP2；

AP2周期性的廣播域內(nèi)信息{IDAP2,IDAS,G1,G2,q,P,Ppub,H1,H2}

(3) 當(dāng)MN檢測(cè)到進(jìn)入AP2之后，根據(jù)AP1的信息構(gòu)建對(duì)AP2的接入申請(qǐng)：

r1QMN,l1QAP2?KMN-AP2=p(e(r1QMN,l1SAP2))

=p(e(r1SMN,l1QAP2))

M3=rep,IDMN,{IDMN,r1QMN,r2QMN,TMN}KMN-AP2

MAC3=MACKMN-AP2(M3)

(4) 當(dāng)AP2收到MN發(fā)來的接入申請(qǐng)之后，根據(jù)AP1發(fā)來的信息對(duì)MN驗(yàn)證，構(gòu)建確認(rèn)信息：

r1QMN,l1QAP2?KMN-AP2=p(e(r1QMN,l1SAP2))

=p(e(r1SMN,l1QAP2))

M4=rep,IDAP2,{IDAP2,l1QAP2,l2QAP2,TMN}KMN-AP2

MAC4=MACKMN-AP2(M4)

當(dāng)終端從一個(gè)域切換到另一個(gè)域的接入點(diǎn)時(shí)，方案中兩PKG域的邊界接入點(diǎn)在兩個(gè)域都進(jìn)行注冊(cè)，當(dāng)終端從一個(gè)終端切換到邊界接入點(diǎn)時(shí)，先完成用戶在同一域內(nèi)的終端切換，恢復(fù)數(shù)據(jù)傳輸，再進(jìn)行下一接入域內(nèi)的注冊(cè)工作，從而保證服務(wù)的不中斷，提高切換質(zhì)量。

3 方案分析

3.1 安全性分析

3.1.1 認(rèn)證安全

終端在外地域接入：

MN與HA之間的雙向認(rèn)證：計(jì)算KMN-HA需要使用MN的私鑰、共享信息y1QHA和單向散列函數(shù)H()，因此KMN-HA僅由HA和MN可以計(jì)算得到。同時(shí)，計(jì)算MAC1需要使用KMN-HA，HA通過驗(yàn)證MAC1的完整性來確認(rèn)M1是由MN生成。M1中包含時(shí)間戳TMN，可以保證M1和MAC1的新鮮性。因此，HA可以通過TMN、M1和MAC1認(rèn)證MN。同理，MN可以通過THA、M6和MAC6來認(rèn)證HA；

AP與HA之間的雙向認(rèn)證：AP與HA通過AS進(jìn)行間接認(rèn)證。計(jì)算KAS-HA需要用到AS的私鑰，生成MAC5需要使用KAS-HA，HA通過M5、MAC5對(duì)AS進(jìn)行認(rèn)證，同時(shí)AS通過M4、MAC4對(duì)AP進(jìn)行認(rèn)證，以此來完成HA對(duì)AP的間接認(rèn)證；同理，AP通過M9、MAC9對(duì)AS進(jìn)行認(rèn)證，AS通過M8、MAC8對(duì)HA進(jìn)行認(rèn)證，以此來完成AP對(duì)HA的間接認(rèn)證；

MN與AP之間的雙向認(rèn)證：MN通過THA驗(yàn)證M10、MAC10的新鮮性，通過MAC10來確認(rèn)M10的完整性，并通過MAC10對(duì)AP進(jìn)行認(rèn)證，因?yàn)镸AC10僅有MN和AP可以通過各自的私鑰生成；同理，AP通過驗(yàn)證TMN、M12和MAC12完成對(duì)MN的認(rèn)證。

終端在家鄉(xiāng)域接入：

終端在家鄉(xiāng)域接入時(shí)，僅需MN與AP直接的雙向認(rèn)證，MN通過驗(yàn)證TAP、M2和MAC2完成對(duì)MN的認(rèn)證；AP通過驗(yàn)證TMN、M1和MAC1完成對(duì)MN的認(rèn)證。

終端在域內(nèi)切換：

終端在域內(nèi)切換時(shí)，如同終端在家鄉(xiāng)域接入，MN通過驗(yàn)證TAP2、M4和MAC4完成對(duì)MN的認(rèn)證；AP通過驗(yàn)證TMN、M3和MAC3完成對(duì)MN的認(rèn)證。

3.1.2 會(huì)話密鑰安全

終端在外地域接入：

MN和HA之間會(huì)話密鑰的安全：MN和HA的會(huì)話密鑰KMN-HA，生成會(huì)話密鑰需要使用各自的私鑰和共享的隨機(jī)數(shù)r1、y1，因此只有MN和HA可以計(jì)算得到共享的會(huì)話密鑰；由于MN可以確認(rèn)r1的新鮮性，HA可以確認(rèn)y1的新鮮性，因此MN和HA分別可以確認(rèn)密鑰是在當(dāng)前會(huì)話中生成；同時(shí)，由于KMN-HA中的隨機(jī)數(shù)r1、y1分別來自MN、HA，因此可以實(shí)現(xiàn)會(huì)話密鑰的聯(lián)合控制；同時(shí)，由于每次會(huì)話密鑰的構(gòu)建都由雙方的隨機(jī)數(shù)構(gòu)成，因而可以保證會(huì)話的前向安全性。

同理：MN與AP之間的會(huì)話密鑰：KMN-AP僅有MN與AP才能生成，通過隨機(jī)數(shù)r5、m3保證秘鑰的安全性，并實(shí)現(xiàn)會(huì)話密鑰的聯(lián)合控制；

同理：AP與HA之間的會(huì)話密鑰，通過m1、y3來實(shí)現(xiàn)會(huì)話密鑰的聯(lián)合控制。

終端在家鄉(xiāng)域接入和域內(nèi)切換中僅需MN與AP之間的會(huì)話密鑰協(xié)商其安全性同終端在外地域接入中的部分。

3.1.3 信息機(jī)密性

信息在傳輸過程中經(jīng)過層層加密。如在終端注冊(cè)過程中，發(fā)送給HA的信息需經(jīng)過AP和AS，則首先通過MN與HA之間的會(huì)話密鑰加密，然后通過與AS會(huì)話密鑰加密，最后通過與AP的會(huì)話密鑰加密，通過層層加密的方式來保證只有相應(yīng)層的節(jié)點(diǎn)可以看到其對(duì)應(yīng)層的信息，其他層看到的只是密文信息，從而保證信息的機(jī)密性，防止被動(dòng)攻擊。同時(shí)，通過此層層加密，可以保證信息的定向傳輸，防止中間人攻擊和截獲攻擊。

3.1.4 可抵抗攻擊

通過以上的分析可知，本方案能夠抵抗被動(dòng)攻擊、中間人攻擊、截獲攻擊和密鑰泄露造成的前向攻擊。同時(shí)，每次傳輸?shù)男畔⒅卸及藭r(shí)間戳，因而可以抵抗重放攻擊；在每次的注冊(cè)和切換過程中，都經(jīng)過兩兩之間直接或間接的雙向認(rèn)證，從而抵抗偽造攻擊。

3.2 性能分析

在數(shù)據(jù)傳輸和切換的過程中，認(rèn)證的時(shí)延可分為兩部分：數(shù)據(jù)傳輸時(shí)延和設(shè)備處理時(shí)延。

根據(jù)協(xié)議中數(shù)據(jù)傳輸?shù)念愋筒煌?，傳輸時(shí)延可以分為三類：(1) 無線傳輸時(shí)延TMN-AP(終端與接入點(diǎn)之間的傳輸時(shí)延)；(2) 同一域內(nèi)固定終端之間的傳輸時(shí)延TAP-AP,TAS-AP(接入點(diǎn)與接入點(diǎn)之間的傳輸時(shí)延、接入點(diǎn)與接入服務(wù)器之間的傳輸時(shí)延)；(3) 不同域的接入服務(wù)器之間的傳輸時(shí)延TAS-HA(接入服務(wù)器與終端原接入服務(wù)器之間的傳輸時(shí)延)。通常，域內(nèi)的實(shí)體物理位置相對(duì)固定且距離比較近，可以近似為一固定值Tin；不同域之間的傳輸時(shí)延隨著兩實(shí)體間距離的增大而增大，設(shè)為Tout，且其可分解為多個(gè)固定Tin的組合，設(shè)Tout=mTin；終端與接入點(diǎn)之間的無線傳輸為Tw；一般情況下Tout>Tw>Tin；同時(shí)，數(shù)據(jù)在不同節(jié)點(diǎn)之間傳輸，需要進(jìn)行數(shù)據(jù)的接收等處理，因此還有處理時(shí)延，設(shè)為TP。

協(xié)議中對(duì)數(shù)據(jù)的處理操作有橢圓曲線上的數(shù)乘運(yùn)算Tcm、群上的乘法運(yùn)算Tqm、雙線性匹配操作Tbp、hash函數(shù)運(yùn)算Th、異或運(yùn)算T⊕等；根據(jù)文獻(xiàn)[20]分析，與橢圓曲線上的數(shù)乘運(yùn)算、雙線性匹配運(yùn)算時(shí)間相比，其他的hash運(yùn)算、異或運(yùn)算等的時(shí)間可以忽略不記。

通過對(duì)與本方案具有近似安全強(qiáng)度和穩(wěn)定性的方案2-IBS-HMIPv6[1]、c-HIBS-HMIPv6[2]進(jìn)行性能對(duì)比分析如下所示：

域間認(rèn)證時(shí)延：

根據(jù)不同協(xié)議中對(duì)數(shù)據(jù)的處理進(jìn)行分析；

2-IBS-HMIPv6[1]需要終端經(jīng)接入點(diǎn)和接入錨點(diǎn)MAP(接入域的服務(wù)器)向家鄉(xiāng)代理HA申請(qǐng)綁定更新，HA向MAP發(fā)送Q值以及簽名消息，MAP同樣生成簽名一并經(jīng)接入點(diǎn)轉(zhuǎn)發(fā)給終端，完成雙向認(rèn)證。在傳遞的過程中MAP的簽名過程和Q值的傳輸過程以及1層簽名、驗(yàn)證和2層簽名、驗(yàn)證，部分并行進(jìn)行，減少認(rèn)證時(shí)延，則其最少認(rèn)證時(shí)延為：

T2-IBS-HMIPv6=3Tw+(2m+2)Tin+(2m+5)Tp+8Tbp+2Tcm

c-HIBS-HMIPv6[2]需要終端向接入點(diǎn)提供證書申請(qǐng)接入認(rèn)證；接入點(diǎn)向接入錨點(diǎn)(同一域內(nèi)的服務(wù)器)轉(zhuǎn)發(fā)終端證書；域內(nèi)服務(wù)器向終端的家鄉(xiāng)代理轉(zhuǎn)發(fā)終端的遠(yuǎn)程綁定更新消息；確認(rèn)之后，依次經(jīng)過接入錨點(diǎn)、接入點(diǎn)傳給終端完成移動(dòng)注冊(cè)；并在域內(nèi)更新證書接入列表。接入點(diǎn)之間的證書列表更新和接入點(diǎn)與終端、接入點(diǎn)與接入錨點(diǎn)之間的部分傳輸可以并行操作，減少認(rèn)證時(shí)延，則其最少認(rèn)證時(shí)延為：

Tc-HIBS-HMIPv6=3Tw+(2m+2)Tin+(2m+5)Tp+6Tbp+2Tcm

本方案，在接入外地網(wǎng)絡(luò)的過程中，不需要進(jìn)行證書的傳遞以及Q值的信息更新交換；只需要對(duì)相互的認(rèn)證碼MAC和M進(jìn)行驗(yàn)證，以及為新接入用戶生成私鑰；且此過程可以并行操作。同時(shí)，如果終端連續(xù)跨域切換，無需與家鄉(xiāng)網(wǎng)絡(luò)進(jìn)行交互，且可以進(jìn)行預(yù)切換；其切換時(shí)延為：

初次跨域接入：

Tfirstaccess=3Tw+(2m+3)Tin+(2m+6)Tp+14Tbp+2Tcm

臨近跨域切換：

Thandover=2Tw+2Tp

域內(nèi)認(rèn)證時(shí)延：

2-IBS-HMIPv6方案中，終端與MAP已經(jīng)進(jìn)行過雙向認(rèn)證，MAP記錄了其Q值，不需要與其HA進(jìn)行信息傳遞，終端可以直接在MAP域內(nèi)切換，其最少切換時(shí)延為：

T2-IBS-HMIPv6=3Tw+2Tin+5Tp+6Tbp+2Tcm

c-HIBS-HMIPv6方案中，終端與MAP認(rèn)證之后，MAP已經(jīng)將終端證書發(fā)送給了所有接入點(diǎn)，當(dāng)終端切換到其他接入點(diǎn)時(shí)，只需要接入點(diǎn)向MAP轉(zhuǎn)發(fā)域內(nèi)更新消息，且與用戶簽名驗(yàn)證可并行處理，其最少切換時(shí)延為：

Tc-HIBS-HMIPv6=3Tw+3Tp+4Tbp+2Tcm

本方案中，終端在域內(nèi)接入點(diǎn)間切換，由于終端與下一接入點(diǎn)之間預(yù)切換，提前進(jìn)行了會(huì)話密鑰的協(xié)商，在切換中接入點(diǎn)只需要對(duì)認(rèn)證碼和終端接入信息進(jìn)行解密驗(yàn)證；且其中加密過程中的雙線性匹配操作可預(yù)計(jì)算，因而兩次握手中數(shù)據(jù)的加解密操作只需要兩次異或操作即可完成，因此其切換時(shí)延為：

T(in)=2Tw+2Tp

參考文獻(xiàn)[20]中參數(shù)的設(shè)定：Tw=4 ms，Tin=2 ms，Tp=0.5 ms；以及文獻(xiàn)[1]中雙線性匹配運(yùn)算時(shí)間Tbp約為橢圓曲線數(shù)乘運(yùn)算的時(shí)間Tcm的3倍；對(duì)總體的時(shí)延進(jìn)行分析，結(jié)果如圖4、圖5所示 。

圖4 域間接入認(rèn)證時(shí)延對(duì)比

圖5 域內(nèi)切換認(rèn)證時(shí)延對(duì)比

根據(jù)圖4和數(shù)據(jù)的分析得，在域間初次接入進(jìn)行雙向認(rèn)證的過程中，本文方案的認(rèn)證時(shí)延比c-HIBS-HMIPv6、2-IBS-HMIPv6方案的時(shí)延都要長(zhǎng)；原因?yàn)楸痉桨缚紤]了信息交互中信息的機(jī)密性，兩兩之間的信息都經(jīng)過密鑰加密，同時(shí)加密過程中需要進(jìn)行雙線性匹配運(yùn)算，因而增加了初次注冊(cè)接入的時(shí)間；然而，在之后的域間切換和域內(nèi)切換過程中，由于本方案通過預(yù)認(rèn)證規(guī)避了對(duì)雙線性匹配運(yùn)算時(shí)間，有效地減少了切換時(shí)延；同時(shí)方案中無需證書的傳遞，因此數(shù)據(jù)傳輸量同比較少，有效地減少了其認(rèn)證通信量；再者，在域間切換接入過程中，由于本方案中域邊界接入點(diǎn)擁有兩個(gè)域的私鑰，可以先與終端完成雙向認(rèn)證，再為終端申請(qǐng)域內(nèi)私鑰，因而可以有效地減少域間切換時(shí)延，保證服務(wù)質(zhì)量。

同時(shí)，在域內(nèi)切換中，本方案中進(jìn)行預(yù)認(rèn)證，在切換之前已經(jīng)開始終端與下一接入點(diǎn)的雙向認(rèn)證，切換發(fā)生時(shí)只需要進(jìn)行認(rèn)證碼和時(shí)間的簡(jiǎn)單確認(rèn)，因而本文方案相比其他2種方案優(yōu)勢(shì)明顯。

4 結(jié) 語

在預(yù)認(rèn)證線性快速接入方案中用到了基于身份的密碼體制。用戶和接入點(diǎn)可以根據(jù)相互的信息(如ID)計(jì)算出對(duì)方公鑰，無需預(yù)分配會(huì)話密鑰；通過會(huì)話密鑰的協(xié)商和認(rèn)證碼的驗(yàn)證進(jìn)行切換的雙向接入認(rèn)證，無需交換證書或者通過認(rèn)證服務(wù)器進(jìn)行認(rèn)證，有效地減少了切換時(shí)延和通信開銷。然而，基于身份的密碼體制，雖然解決了證書管理、存儲(chǔ)等問題，但是也引入了密鑰托管的問題，如何能夠在保證快速切換的情況下有效地解決密鑰托管問題是下一步需要研究的問題。

[1] 田野,張玉軍,張瀚文,等.移動(dòng)IPv6網(wǎng)絡(luò)基于身份的層次化接入認(rèn)證機(jī)制[J].計(jì)算機(jī)學(xué)報(bào),2007,30(6):905-915.

[2] 高天寒,郭楠,朱志良.節(jié)點(diǎn)證書與身份相結(jié)合的HMIPv6網(wǎng)絡(luò)接入認(rèn)證機(jī)制[J].軟件學(xué)報(bào),2012,23(9):2465-2480.

[3] 尚鵬,李小文,陳賢亮.TD-SCDMA/GSM雙模終端切換問題的研究[J].通信技術(shù),2009,41(6):173-175.

[4] 張歷卓,賈維嘉,周仕飛.基于3G與WLAN網(wǎng)絡(luò)改進(jìn)的切換策略研究[J].計(jì)算機(jī)科學(xué),2010,37(3):49-51.

[5] 彭大芹,張文英,鄧江.LTE-TD雙模終端切換過程的ERRC研究與實(shí)現(xiàn)[J].重慶郵電大學(xué)學(xué)報(bào),2012,24(2):169-173.

[6] Lee D H,Kim J G.IKEv2 authentication exchange model and performance analysis in mobile IPv6 networks[J].Personal and Ubiquitous Computing,2014,18(3):493-501.

[7] Han C K,Choi H K.Security Analysis of Handover Key Management in 4G LTE/SAE Networks[J].Mobile Computing,IEEE Transactions on,2014,13(2):457-468.

[8] Chi K,Zhu Y,Jiang X,et al.Practical throughput analysis for two-hop wireless network coding[J].Computer Networks,2014,60:101-114.

[9] Teuser C,Rossi D.Delay-based congestion control:Flow vs.BitTorrent swarm perspectives[J].Computer Networks,2014,60:115-128.

[10] Wu Q,Huang Z,Wang S.Heterogeneous voice flows-oriented call admission control in IEEE 802.11 e WLANs[J].International Journal of Electronics,2014,101(4):531-552.

[11] 錢紅燕.高速移動(dòng)子網(wǎng)的切換與漫游關(guān)鍵技術(shù)研究[D].南京航空航天大學(xué),2010.

[12] 李登.WLAN快速接入認(rèn)證機(jī)制研究與實(shí)現(xiàn)[D].西安電子科技大學(xué),2012.

[13] 肖躍雷,王育民.可信環(huán)境下的WLAN接入認(rèn)證方案[J].蘭州大學(xué)學(xué)報(bào):自然科學(xué)版,2013,49(4):547-553.

[14] Shamir A.Identity-based cryptosystems and signature schemes[C]//Advances in cryptology. Springer Berlin Heidelberg,1985:47-53.

[15] Boneh D,Franklin M.Identity-based encryption from the Weil pairing[C]//Advances in Cryptology—CRYPTO 2001.Springer Berlin Heidelberg,2001:213-229.

[16] Waters B.Efficient identity-based encryption without random oracles[M]//Advances in Cryptology-EUROCRYPT 2005.Springer Berlin Heidelberg, 2005:114-127.

[17] Paterson K G,Schuldt J C N.Efficient Identity-Based Signatures Secure in the Standard Model [M].Springer Berlin Heidelberg,2006:207-222.

[18] 李迪.無線Ad Hoc網(wǎng)絡(luò)的網(wǎng)絡(luò)容量及多跳路由算法研究[D].北京郵電大學(xué),2011.

[19] Maccari L,Lo Cigno R.Betweenness estimation in OLSR-based multi-hop networks for distributed filtering[J].Journal of Computer and System Sciences,2014,80(3):670-685.

[20] He D,Chen C,Chan S,et al.Secure and Efficient Handover Authentication Based on Bilinear Pairing Functions[J].Wireless Communications,IEEE Transactions on,2012,11(1):48-53.

PRE-AUTHENTICATION LINEAR FAST ACCESS SCHEME

Ren Shuangting

(CollegeofComputerScienceandTechnology,NanjingUniversityofAeronauticsandAstronautics,Nanjing210016,Jiangsu,China)

Authentication is an important aspect for ensuring the safety of the entity in network access schemes. Authentication refers to a process in which one entity proves its claimed properties to another entity. This paper proposes a pre-authentication linear fast access scheme based on the analysis of existing fast access authentication schemes. The scheme avoids the problems of certificates storage and management in traditional public key cryptography by using the identity-based encryption, ensures the integrity of information through authentication code, completes the mutual authentication between entities in negotiation process of the session key, and encrypts the information to ensure that only the specified users can decrypt it. It is showed by analysing the security and performance that the proposed scheme has higher handover efficiency and security in linear high-speed handover process and is able to improve the service quality effectively.

Linear Handover Access Mutual authentication

2014-11-04。任雙廷，碩士生，主研領(lǐng)域：信息安全等。

TP3

A

10.3969/j.issn.1000-386x.2016.04.074