基于公钥的可证明安全的异构无线网络认证方案

第31卷第10期电子与信息学报Vol.31No.102009年10月JournalofElectronics&InformationTechnologyOct.2009基于公钥的可证明安全的异构无线网络认证方案侯惠芳①②刘光强②季新生①张秋闻②①(国家数字交换系统工程技术研究中心郑州450002)②(河南工业大学信息科学与工程学院郑州450001)摘要：该文针对3G-WLAN异构网络的接入安全，对异构网络的实体进行抽象，建立了一种通用的认证模型。在该模型的基础上，利用Canetti-Krawczyk(CK)模型设计了一种新的接入认证与密钥协商方案。该方案利用公钥基础设施分配公钥，简化接入端服务器和归属端服务器间的认证过程和认证信息；利用椭圆曲线密码机制，减少了移动终端的认证计算量；昀后利用CK模型对提出的协议进行了形式化分析和证明。分析表明该方案是安全有效的。关键词：异构无线网络；椭圆曲线；接入认证；公开密钥基础设施；CK模型中图分类号：TN918.91文献标识码：A文章编号：1009-5896(2009)10-2385-07ProvableSecurityAuthenticationSchemeBasedonPublicKeyforHeterogeneousWirelessNetworkHouHui-fang①②LiuGuang-qiang②JiXin-sheng①ZhangQiu-wen②①(NationalDigitalSwitchingSystemEngineering&TechnologicalR&DCenter,Zhengzhou450002,China)②(CollegeofInformationScienceandEngineering,HenanUniversityofTechnology,Zhengzhou450001,China)Abstract:Aimingataccesssecurityaspectof3G-WLANheterogeneouswirelessnetwork,thispaperabstractseachentitiesofheterogeneouswirelessnetwork,therebyestablishesageneralauthenticationmodel.Thenbasedonthisgeneralauthenticationmodel,anovelaccessauthenticationandkeyagreementschemebyusingCanetti-Krawczyk(CK)modelisdevised.ThisschemesimplifiestheauthenticationprocessandinformationbetweenaccessnetworkserverandhomenetworkserverbyusingPublicKeyInfrastructure(PKI)todistributepublickey.ItalsodecreasestheauthenticationcomputationalcomplexityofmobileterminalbyEllipticCurvesCryptography(ECC).Finally,formalanalysisandproofwithCKmodelfortheproposedprotocolaregiven.Itisshowedthattheproposedschemeissecureandefficient.Keywords:Heterogeneouswirelessnetwork;Ellipticcurves;Accessauthentication;PublicKeyInfrastructure(PKI);CKmodel1引言随着无线局域网(WLAN)的迅速发展及移动通信(如3G)的普及，二者的融合成为未来无线网络的发展方向。由于3G和WLAN对各自有不同的安全需求，所以建立一种新的3G-WLAN安全体系，便越来越重要，作为安全的门户—认证便成为重中之重。对3G-WLAN网络的认证，研究人员提出了很多认证机制，如SIM-based，EAP-AKA和EAP-SIM等，但系统的安全和性能存在如下缺陷：(1)基于单钥体系的认证协议，给异构网络的建立造成诸多不便，且不能提供不可否认性。(2)不能保障用户身份信息的(例如网络接入标识NAI，用户永久身份IMSI)安全。容易泄露用户的行踪和使用户受到伪基站攻击。2008-11-03收到，2009-05-04改回国家863计划项目(2007AA01Z434)资助课题(3)认证是基于归属网络用户服务器(简称为归属服务器)和服务网络接入服务器(简称为接入服务器)之间存在安全连接的前提下建立的。在一个网络中，认为归属服务器和接入服务器之间存在安全的通路相联是可行的。但在异构网络中，由于认证服务器众多，若在每对服务器间都建立安全关联或有共享秘密，则既降低系统扩展性，工作量也不可想象，在实际应用中不可行。鉴于此，研究人员基于密码体制和安全协议作了大量改进。将EAP-TLS[1]应用于融合网络的认证由G.Kambourakis等人昀早提出，通过构建同3G核心网络连接的公钥基础设施，引入公钥机制并解决不可否认等问题，同基于对称密码的体制相比，虽更加灵活安全，但认证时需要移动终端无线传送自己的公钥证书或验证对方证书[2]，严重增加了网络负载及移动终端的计算负担和数据传输量。彭华熹[3]2386电子与信息学报第31卷利用双线性映射实现了跨信任域的身份认证，但需要各认证服务器及用户有相同的公钥参数且认证参与方需要知道对方的密钥中心的公钥，这无疑加重了认证方的负担，用户需要存储自己可能到达位置的认证器的密钥中心的公钥，认证服务器也需要存储所有可能来此接受服务的用户的密钥中心的公钥。本文利用CK模型提出一种新的公钥认证方案，该方案采用归属方辅助证明的方法，使移动终端不传递和验证证书；移动终端和接入认证服务器之间以及各接入认证服务器间不需预存安全关联，认证服务器间也不需有相同的公钥参数，系统的扩展性和灵活性得到增强；本着尽量减少移动终端计算量、节省存储空间的原则，采用“密钥短，安全性高”的椭圆曲线密码体制的加解密和签名算法，文献[4]从安全性、空间需要及有效性等方面进行了比较，指出椭圆曲线密码体制更适合于在智能卡上应用。2CK模型Canetti-Krawczyk(CK)[5]模型是近年来比较流行和可信的一种形式化分析与设计密钥协商协议的方法，它给出了一个会话密钥安全的定义和利用该定义来分析和设计密钥交换协议的模块化方法。CK模型采用不可区分性的方法来定义安全，即若在允许的攻击能力下，攻击者不能区分协议产生的会话密钥和一个独立的随机数，则可认为该密钥交换协议是安全的。2.1CK模型的组成CK模型主要包含３个重要的组成部分：理想模型(AM)，现实模型(UM)和认证器，其中AM和UM是两种不同层次的攻击模型。认证器是确保将AM中的协议转换为UM中与AM中安全性相同的协议的转换工具。(1)AM(Authenticated-linksadversarialModel)，可被视为理想环境下的认证链路攻击模型，在此模型下，攻击者(形式化为一个概率多项式算法即PPT算法)控制和编排各实体的激活，侦听所有传送的消息、外部请求以及除了标记为“秘密”的参与者的所有输出。在该模型中，攻击者是被动的，不能伪造或者篡改来自未被攻陷的参与者的消息，被限制只能忠实地传递同一消息一次(虽然可以延迟或重排传递顺序等)。除此之外，攻击者还可进行如下攻击：攻陷参与者(partycorruption)，查询会话密钥(session-keyquery)，暴露会话状态(session-statereveal)，测试会话查询(test-sessionquery)。定义1[5]测试会话查询(test-sessionquery)：攻击者可在协议运行的任何时刻，从那些完成的、未过期的以及未暴露的会话中选择一个测试会话，来获得测试会话密钥或一个随机数。具体来说，设k是测试会话的会话密钥，当攻击者对测试会话查询时，我们投币b，若0b=，则将k返回攻击者，否则将一个密钥概率分布空间中的随机数返回攻击者。在测试会话过期前，攻击者能继续进行一些攻击活动，但不允许使测试会话暴露(即不允许暴露会话状态，查询会话状态或关于测试会话的攻陷)。昀后攻击者输出b'作为对b的猜测。(2)UM(Unauthenticated-linksadversarialModel)，可被视为真实环境下的未认证链路攻击模型，在UM中，攻击者除了能够执行AM中的所有攻击外，还能伪造、重放和篡改消息。定义2[5]被允许执行密钥交换协议的测试会话查询的攻击者，CK模型将其称之为KE对手。定义3[5]会话密钥安全(SK-secure)：若对于AM中任何KE对手A，当且仅当下列2条性质满足时，该协议在AM中是SK-secure：性质1一致性要求：2个未被攻陷的参与者完成协议后，会话匹配，得到相同的会话密钥；性质2A进行测试会话查询攻击，它猜中正确的会话输出值b(即能够区分密钥和随机数)的概率不超过1/2ε+，其中：ε是任意小的数，是安全参数范围内可忽略的概率，也被称之为“优势”。UM攻击模型下的安全定义同上类似。定理1SK-secure定义的2条性质确保协议必备的安全属性有：丢失信息安全、非密钥泄漏伪装安全、已知密钥安全和未知密钥共享安全。具体证明过程参见文献[5]。(3)认证器定义4[5]认证器是一种协议转换器C，其输入是协议π，输出是另外一个协议()'Cππ=，且满足：若π在AM中是SK-secure的，则'π在UM中也是SK-secure的。'π与π只有一个区别—收发方不再通过网络而仅通过激活认证器传递信息。认证器的概念基于消息传输认证器(MT-authenticator，MT认证器)。定义5[5]MT-authenticator：是将AM中的MT协议等价转换为UM中的协议的转换器。MT-authenticator可用简单的密码函数(如MAC、数字签名、公钥加密)构造，其目标只是认证通信双方间简单的消息交换或传递(MessageTransmission)。简单消息传输(MT)协议即将一条消息由一个参与者发送给另一个参与者。若干个第9期侯惠芳等：基于公钥的可证明安全的异构无线网络认证方案2387MT-authenticator组合成一个协议的认证器。在AM中只有一个消息流的协议，MT-authenticator就是协议认证器；否则为AM中协议的每个消息流设计MT-authenticator，并将这些MT-authenticator组合在一起作为协议的认证器。2.2CK模型分析和设计密钥交换协议的步骤CK模型分析和设计密钥交换协议的基本方法包括如下几个步骤。(1)在AM中设计或者重用一个基本的SK-secure协议。因为AM中攻击者仅有被动窃听攻击能力，不具有篡改和伪造能力，因此协议通常较容易设计；(2)设计一个能被证明是有效的认证器；(3)应用认证器将AM中的基本协议转换成UM中的安全认证协议；(4)运用重用消息组合、重新排序、消除冗余的方式优化结果协议。3基于公钥的认证模型3.1认证模型建立本文所指的3G-WLAN的异构网络中，不是特指某一种(紧耦合或松耦合)，而是指一种通用的、抽象的异构网络，在该异构网络中，用户可以是3G的MS，也可以是WLAN的STA，为方便起见，统一记为移动终端MN。移动终端需要异构服务，则需通过一个接入端，并得到其归属接入端服务器的认可。若接入服务器是3G，则对应接入端是基站(BS)，若是WLAN，则接入端是接入点(AP)。假设接入端与接入端服务器之间互信且有共享密钥或专有通路连接，故可将两者视作一个整体，记为接入认证服务器(AccessAuthenticationServer，AAS)。AAS为MN提供服务且收费，但若MN每移动到一个地方就缴