技术领域
[0001] 本
发明属于信息技术安全领域,涉及密码
算法、消息认证码MAC技术以及三方认证,实 现全球移动网络漫游服务认证安全和隐私保护的目的。
背景技术
[0002] 移动网络的快速发展极大地方便了人们的生活。当用户从一个地方移动到另一个地方时, 全球移动网络(Global Mobile Networks-GLOMONET)确保行进的无线设备用户(Mobile User-MU)保持连接到网络而不会断开连接。在本地代理
服务器(Home Agent-HA)的帮助 下,全球移动网络(GLOMONET)可以识别合法用户,并允许合法的移动用户随时随地使用 漫游服务(Foreign Agent-FA)。无线漫游网络的模型如图1所示。然而,移动网络中的数据 传输容易受到各种攻击,特别是重放攻击,这可能导致许多安全
风险,如用户隐私数据丢失, 系统瘫痪等。因此,有必要设计安全的相互认证和密钥协商(Mutual Authentication and Key Agreement-MAKA)协议。为了确保用户的隐私,GLOMONET中的匿名通信是一个迫切需 要解决的问题。另外,由于移动设备的计算能
力有限,它要求协议必须高效轻便。
[0003] 在过去几年中,已经提出了许多用于GLOMONET的MAKA协议。2006年,Lee等人 提出了一种新的无线环境匿名认证方案。但是,在Wu等人的论文中分析了Lee等人的协议 未能提供用户匿名,他们通过提供有效的补救措施提出了一个增强的方案。Yoon等人在2011 提出了一种用于无线通信的匿名用户友好认证方案。但是Li等人(2012)发现Yoon等人设 计的方案易受内部攻击,无法实现用户匿名。基于Yoon等人的协议,Li提出了一种更加安 全有效的认证方案,该方案具有漫游服务和移动通信的用户匿名性。但是,Kai等人在2016 年发表Li等人设计的方案易受重放攻击和DDoS攻击。此外,Li的方案没有清楚地解释如何 获得相应的会话密钥以及不同用户之间的关系,因此Li的方案缺乏完整性。Kai等人提出了 一种具有漫游服务和用户匿名性的新型移动通信认证方案。在2011年,Zhou等人在2011年 基于决策Diffie-Hellman(DDH)假设独立地提出了MAKA方案。Gope等人指出Zhou等人 的协议很容易受到回复攻击和内部攻击,并提出了一个新方案。在本文中,我们指出Gope 等人的方案容易受到重放攻击,并且存储负担很大。此外,他们使用序列号机制实现匿名, 这通常会导致用户和服务器之间失去同步。我们为GLOMONET中的匿名漫游服务提出了一 种新的高效MAKA协议,它可以解决Gope-Hwang协议中已发现的缺点,并能够提供具有合 理计算和存储开销的安全漫游服务。
发明内容
[0004] 为克服
现有技术的不足,本发明旨在提出一种全球移动漫游网络下的安全高效的匿名认 证和密钥协商协议,实现相互认证、动态随机ID、去同步化,以抵御常见的重放攻击、篡改 攻击、伪造攻击等。使用AVISPA模拟协议,验证协议的安全性。通过和其他主流协议进行对 比,验证协议的高效性。为此,本发明采取的技术方案是,去同步化的全球移动漫游网络匿 名认证和密钥协商方法,由四个阶段组成:移动用户MU注册阶段,移动用户MU与漫游域服 务器代理FA相互认证及会话密钥协商阶段,移动用户MU更新密码阶段以及移动用户与本地
服务器代理HA之间共享密钥更新阶段;当移动用户在本地即SIM卡归属地使用手机进行网上 漫游时,
智能卡只需与本地代理服务器HA进行同行就可以提供网络服务给用户,但是,当用 户离开智能卡归属地,到达其他地方想要通过手机SIM卡进行网上漫游时,智能卡需要与漫 游域代理服务器FA进行相互的身份认证,FA才会为MU提供网络服务;具体地,阶段Ⅰ:MU 注册阶段:
[0005] 这一阶段发生在MU首次使用
移动电话向HA
请求网络资源时,在此之前,MU需要提供真 实身份给HA进行注册,HA通过验证MU身份的合法性来判断是否要为该用户提供网络服务, 如果用户身份合法,HA将发送一个共享密钥到用户手机的智能卡中,供他们以后通信使用。 以上过程中用户个人信息及密钥的传输均通过安全信道进行:
[0006] 1)一个新的移动用户MU,通过安全信道发送自己的真实身份IDM给HA;
[0007] 2)HA收到IDM之后,使用哈希hash函数以及对称加密方法生成两个参数:MU和HA 之间共享的密钥Kuh以及MU的
假名EID,其中EID是为了保护移动用户的隐私,提供用户 匿名性,防止网络攻击者通过分析用户发送的消息而发现用户的真实身份,然后HA在本地
数据库存储IDM,Kuh,并将IDM,Kuh通过安全信道发送给MU;
[0008] 3)当收到HA的消息之后,MU生成密码PSWM,然后计算MU使用EID*取代EID, 取代Kuh,智能卡里的信息为
h(.)表示hash函数。
[0009] 阶段Ⅱ:MU与FA相互认证及会话密钥协商阶段
[0010] 发生在MU离开手机号码归属地,在归属地之外进行网上漫游之时,首先MU和FA需要 在HA的帮助下相互验证身份,然后,HA与MU建立会话密钥:
[0011] 1)MU生成随机数Nm,将Nm,IDM,PSWM提交到智能卡中,然后MU推导出 计算 V1=h(EID||Nx||T1||IDM||Kuh),发送消息
给FA,其中T1是消息 的有 效时间;
[0012] 2)当收到消息 后,FA检查当前时间是否在T1内,如果不是,协商立即终止;如果 是,FA生成随机数Nf,计算 V2=h(EID||Nx||Ny||T2||Kfh||Nf),发送消息 给HA,其中T2是消息 的有效时间;
[0013] 3)当收到消息 后,HA检查当前时间是否在T2内,如果不是,协商立即终止;如果 是,HA计算 检查 如果不相等, 协议立即终止;如果相等,HA解密EID得到MU的真实身份IDM||n0=Dk(EID);HA生成 随机数n0,计算 检查 如果不相等,协商立即终止;如 果相等,
HA生成随机数n1用于生成MU的新假名,计算D=Ek(IDM||n1), 推
出
然后
HA发送消息 给FA;
[0014] 4)收到消息 后,FA计算 检查 如果相等,FA推导出计算 发送消息 给MU;
[0015] 5)收到消息 后,MU计算 检查 如果验证成功, MU推导出 计算
用FID替代EID。至此,完成了MU和FA的相互认证、密钥协 商和
MU的假名更新。
[0016] 阶段Ⅲ:MU更新密码
[0017] 具体地,MU首先输入旧密码PSWM和新密码 然后计算最后用 替代智能卡中的 用EID**替代智能卡中的EID*,至此,密码更新完成。
[0018] 阶段Ⅳ:共享密钥更新
[0019] 这一阶段由HA和MU共同完成,HA为了保证与用户之间通信的安全性,需要定期更 新与MU的共享密钥。
[0020] 首先MU通过安全信道发送真实身份IDM给HA,HA计算Kuh=h(IDM||nh),然后通过 安全信道发给MU,收到消息后,MU更新智能卡中的共享密钥。
[0021] 本发明的特点及有益效果是:
[0022] 经分析,我们的协议能够满足相互认证、密钥协商、去同步化、匿名性、低存储和计算 负担的需求,能够抵御智能卡丢失攻击、伪造攻击、重放攻击以及已知会话密钥攻击。
[0023] 1.相互认证:HA通过消息 中的IDf认证FA,FA通过验证消息 中的V3认证HA, HA通过EID认证MU,MU通过验证消息 中的V4认证HA;
[0024] 2.密钥协商:会话密钥是 Nm来自MU,Nf来自FA,n0来自HA。通过 这种方式建立了公平的会话密钥;
[0025] 3.去同步化:我们的协议使用对称加密方法实现了去同步化,因为MU的假名仅存储于智 能卡中,HA并不存储,MU和HA并不需要维持假名的同步。
[0026] 4.匿名性和动态随机伪ID:使用动态随机伪ID实现了MU的匿名性,MU假名只能被 HA解密,当一次认证完成后,MU的假名会随机更新;
[0027] 5.低存储和计算负担:协议主要使用密码原语:异或操作和哈希操作;
[0028] 6.抵御各种网络攻击:
[0029] 1)智能卡丢失攻击:因为智能卡中的所有信息都是加密的,除非攻击者知道了MU 的真实身份IDM和密码PSWM,才能进行解密,这在计算上是不可行的。
[0030] 2)伪造攻击:只有合法的用户才能计算V1和V2,即使攻击者拦截了消息 由于 不知道MU的真实身份IDM和密码PSWM,也无法计算有效的时间戳T1,消息 也是如此。
[0031] 3)重放攻击:时间戳代表消息的有效时间。当当前时间超过了消息的有效时间,就 代表消息是被攻击者重放的。
[0032] 4)已知会话密钥攻击:因为会话密钥是由三个随机数生成的,每次是不同的且没有 规律的。通过这种方式,能够抵御已知会话密钥攻击。
附图说明:
[0033] 图1:全球移动漫游网络模型。
[0034] 图2:注册阶段。
[0035] 图3:相互认证和密钥协商阶段。
[0038] 图6:分析结果。
[0039] 图7:各协议执行时间对比。
具体实施方式
[0040] 1.发明内容
[0041] 本发明由四个阶段组成,协议中的符号说明见表1。
[0042] 表1:符号说明
[0043]
[0044]
[0045] ·阶段Ⅰ中,MU使用真实身份通过安全信道在HA中注册。
[0046] ·阶段Ⅱ中,MU和FA可以在HA的帮助下相互验证。在身份验证之后,他们可 以建立会话密钥。
[0047] ·阶段Ⅲ中,MU更新自己的密码。
[0048] ·阶段Ⅳ中,MU和HA更新共享密钥。
[0049] 阶段Ⅰ:注册阶段
[0050] 在此阶段,MU使用真实身份通过安全通道在HA中注册。注册后,MU获得一张存储认证 信息的智能卡,图2描绘了该阶段的过程。
[0051] 1)一个新的移动用户MU,通过安全信道发送自己的真实身份IDM给HA。
[0052] 2)HA收到IDM之后,生成两个随机数nh和n0,然后计算Kuh=h(IDM||nh)和 EID=Ek(IDM||n0),其中生成EID使用的加密密钥k是仅有HA知道的密钥。Kuh是MU和HA 之间共享的密钥,EID是MU的假名。然后HA存储IDM,Kuh,将消息{EID,Kuh,h(.)}通过安全 信道发送给MU。
[0053] 3)当收到HA的消息之后,MU生成密码PSWM。然后计算MU使用EID*取代EID, 取代Kuh。智能卡里的信息为
[0054] 阶段Ⅱ:相互认证和密钥协商阶段
[0055] 在此阶段,MU和FA可以在HA的帮助下相互验证。在身份验证之后,他们可以建立会话 密钥。我们使用动态随机伪ID来实现匿名,并引入时间戳机制来抵抗重放攻击。此外,对称 加密的使用实现了去同步,这使我们的协议高效且轻量级,图3描绘了该阶段的过程。
[0056] 1)MU生成随机数Nm,将Nm,IDM,PSWM提交到智能卡中。然后MU推导出 计算 V1=h(EID||Nx||T1||IDM||Kuh),发送消息 给FA,其中T1是消息 的
有效时间。
[0057] 2)当收到消息 后,FA检查当前时间是否在T1内,如果不是,协议立即终止。如果是, FA生成随机数Nf,计算 V2=h(EID||Nx||Ny||T2||Kfh||Nf),发送消息 给HA,其中T2是消息 的有效时间
[0058] 3)当收到消息 后,HA检查当前时间是否在T2内,如果不是,协议立即终止。如果是, HA计算 检查 如果不相等,协 议立即终止;如果相等,HA解密EID得到MU的真实身份IDM||n0=Dk(EID)。HA生成随机数 n0,计算V1*=h(EID||Nx||T1||IDM||Kuh),检查 如果不相等,协议立即终止;如果相等, HA生成随机数n1用于生成MU的新假名,计算D=Ek(IDM||n1),
推出
然后HA发送消息
给FA。
[0059] 4)收到消息 后,FA计算 检查 如果相等,FA推导出 计算 发送消息 给MU。
[0060] 5)收到消息 后,MU计算 检查 如果验证成功, MU推导出 计算
用FID替代EID。至此,完成了MU和FA的相互认证、密钥协商 和
MU的假名更新。
[0061] 阶段Ⅲ:密码更新阶段
[0062] MU可以在更新自己的密码,MU输入旧密码PSWM和新密码 然后计算 然后用 替代智能卡中的 用EID**替代智能卡中的EID*, 至此,密码更新完成。
[0063] 阶段Ⅳ:共享密钥更新
[0064] MU和HA可以更新他们之间的共享密钥,首先MU通过安全信道发送真实身份IDM给HA, HA计算Kuh=h(IDM||nh),然后通过安全信道发给MU,收到消息后,MU更新智能卡中的共享 密钥。
[0065] 2.安全性验证
[0066] 1)AVISPA模拟协议验证安全性
[0067] 我们使用AVISPA来模拟我们的协议,自动分析验证协议的安全性。AVISPA经常被用来 验证协议的安全性,协议模型使用HLPSL语言,是一个基于角色的语言。我们的协议实现了 三个主要角色:MU、HA、FA以及其他辅助角色:session、environment、goal。协议中的六 个主要角色的规范化描述如图4所示,MU、HA和FA的初始状态均为0,当角色在协议中进行 通信是,它的状态会变成1,及激活态。触发他们状态转移的函数为send()函数。session 表示一个会话中的参与者,我们协议的会话组成是角色MU、角色HA以及角色FA。
environment 定义了协议的运行环境,包括攻击者事先知道的信息:代理服务器的名称和hash函数。
[0068] 协议流程如图5所示,该流程主要描述了MU在离开手机号码归属地,到达FA所辖范围 时,如何通过HA的帮助与FA进行身份认证并协商出共享密钥。协议流程主要包括:(1)MU 一旦收到开始
信号,他的状态由0变为1。然后使用Send()方法发送消息 给FA。(2)当 FA收到来自MU的消息 后,状态由0变为1并且发送消息 给HA。(3)当HA收到来自 FA的消息 后,状态由0变为1并且发送消息 给FA。(4)当FA收到来自HA的消息 后,状态由1变为0并且发送消息给MU。(5)AVISPA检测模拟结果是否满足goal中设定 的安全目标,以此来检验协议的安全性。至此,完成了一个会话组的模拟,为了验证我们的 协议在收到攻击者的情况下的安全性,我们还进行了另外三组会话模拟,分别是攻击者模拟 MU进行通信,攻击者模拟HA进行通信,攻击者模拟FA进行通信。三组模拟流程同如图5所 示,只是攻击者在三组模拟中分别扮演MU,HA和FA的角色。
[0069] 分析结果如图6所示,结果“SAFE”表示我们的协议是安全的,具体地,模拟过程中遍 历的总
节点数为5374、搜索深度为14、搜索时间是12.44秒。模拟结果表明,我们的协议是 安全的。
[0070] 2)计算效率对比实验
[0071] 我们选取了四个主流协议(Lee等人2006,Mun等人2012,Gope等人2015,Reddy等人 2016)进行对比实验。
[0072] 各协议使用的密码算法及数量如表2所示。
[0073] 表2:各算法的执行时间
[0074]
[0075] 使用Python的
密码学工具集pycrypto模拟了密码算法的执行过程,
硬件环境为:Linux kali 4.6.0 64bit,Intel Core i5-3210M CPU of 3.20GHz,2GB RAM。我们假设Hash函数 是MD5,对称加解密操作是ECB模式,公钥加解密是RSA。因为加解密时间是不同的,为了精 确,加密和解密的时间分开统计。另外,考虑到算法执行的随机性,我们统计了十次执行时 间和平均值,如表3所示。据此,我们估算了各协议的运行时间,Lee等人,Mun等人,Gope 等人,Reddy等人以及我们的协议的执行时间分别是:0.22348s,0.05283s,
0.00125s,0.07910s 和0.00113s,很明显,我们的协议的计算效率是最好的。
