【doc】具有用户匿名性的移动IP注册协议

【doc】具有用户匿名性的移动IP注册 具有用户匿名性的移动IP注册协议 2008年4月 第35卷第2期 西安电子科技大学(自然科学版) J0URNAL0FXIDIANUNIVERsITY ADr.2008 VoI.35No.2 具有用户匿名性的移动IP注册协议 党岚君,寇卫东.,曹雪菲,樊凯 (1.西安电子科技大学综合业务网理论及关键技术国家重点实验室,陕西西安710071; 2.IBM,北京100027) 摘要:为了解决移动IP注册过程中的匿名认证问题,提出了一个具有用户匿名性的移动IP注册协议. 移动用户通过对家乡代理的身份和新建立的Diffie-Hellman密钥进行Hash运算,并把该Hash值与移 动用户的真实身份进行异或,来构造注册请求消息中的l临时身份标识符;家乡代理把接收到的临时身 份标识符和重新计算的Hash值进行异或可以得出移动用户的真实身份;每次注册请求消息中的临时 身份标识符都不断变化,从而实现了用户身份的匿名性和位置移动的不可跟踪性.理论结果表明, 该协议不仅实现了移动实体的认证,而且具有很强的匿名性;与彭华熹,冯登国提出的匿名无线认证协 议比较,该协议减少了在移动用户端的运算负荷和时间. 关键词:移动IP;用户匿名性;注册 中图分类号:TN918.91文献标识码:A文章编号:1001—2400(2008)02—0282—06 MobileIPregistrationprotocolwithuseranonymity DANGLan—jun,KOUWei—dong,,CAOXue—fei,FANKai (1.StateKeyLab.ofIntegratedServiceNetworks,XidianUniv.,Xian710071,China; 2.IBM,Beijing100027,China) Abstract:InordertoaddresstheanonymousauthenticationprobleminmobileIPregistration,amobile IPregistrationprotocolwithuseranonymityisproposed.Toconstructitstemporaryidentity(TID)in theregistrationrequestmessage,themobilenode(MN)hashesthehomeagent(HA)'Sidentitytogether withanewlyestablishedDiffie-HellmankeyandperformsabitwiseXORovertheMN'Srealidentityand thehashedvalue.ThenHArecalculatesthehashvalueandXORsitwiththereceivedTIDtoderivethe MN'Strueidentity.Theuseranonymityanduntractabilityareachievedintheproposedprotocolbythe TID,whichvarieswitheachregistration.Theoreticalanalysisdemonstratesthattheproposedprotocol accomplishesbothstronganonymityandmutualauthenticationamongthreemobileIPentities.Compared totheanonymouswirelessauthenticationprotocolproposedbyPengeta1.,theproposedprotocolreduces thecomputationloadattheMN. KeyWords:mobileIP;useranonymity;registration 移动IP_技术最初是满足人们在移动中随时接入Internet或者保持正在进行的 Internet连接的.随着 未来移动通信系统向全IP网络发展,移动IP可为各种无线接入网络之间的无缝漫 游提供一个标准的全球 移动性解决.对于移动计算环境,用户的位置匿名性是关系到移动计算是否获得广泛应用的安全问题. 因此,笔者主要研究了移动IP注册过程中的用户匿名性问题,并考虑到注册协议的安全目标和性能,提出了 一 个具有用户匿名性的移动IP注册协议. 针对无线网络匿名认证的问题,文献[2,12]分析了无线网络的特点和安全目标,提出了一些匿名认 证方案.而针对移动IP注册认证协议,文献[13,17]提出的移动IP注册协议中并未涉及用户匿名性问题, 收稿日期:2007—05—05 基金项目:国家自然科学基金资助(90304008);高校博士点专项科研基金资助(2004071001);西安电子科技大学研究生创新基金资助 (05017,05019) 作者简介:党岚君(1981),女,西安电子科技大学博士研究生,E—mail:ljdang@mail.xidian.edu.cn. 第2期党岚君等:具有用户匿名性的移动IP注册协议283 只有文献[18,21-]对移动IP注册过程中的用户匿名性作了一些探讨和研究.其中文献[18]的作者声称他 们的协议实现了匿名性,但是在MN(mobilenode)发送的注册请求消息中对MN身份的加密是和MN的身 份一起被发送给FA(foreignagent)的,所以该协议并不能保证用户的匿名性.文献E19]提出了一个匿名无 线认证协议,该协议在匿名性方面存在严重的安全缺陷:同一HA(homeagent)的合法用户可以跟踪其他合 法用户,非法用户也可以跟踪合法用户,并不能保证只有家乡网络才能获得用户的 真实身份;另一方面,由于 临时身份标识符的非随机性,攻击者只需要根据该不变的临时身份标识符就可以 对用户进行跟踪.文献E21] 分析了文献E19]的匿名安全缺陷,给出了相应的攻击方法,并提出了一种改进的匿名无线认证协议.由于该 协议是针对文献[19]中的协议进行了改进,协议稍显复杂;而且该协议中MN与HA之间没有严密的相互 认证.文献E2o]用MN和HA之间的共享密钥去加密MN的身份信息,但是加密的身份信息不具有非随机 性,攻击者可以根据该不变的临时身份标识符对用户进行跟踪. 笔者提出的移动IP注册协议通过采用Hash和Diffie—Hellman密钥交换机制来构造注册请求消息 中的临时身份标识符(TID,temporaryidentity),该协议既满足了临时身份标识符的非随机性,防止攻击者 根据不变的临时身份标识符对用户进行跟踪;又能防止其他合法用户和非法用户根据所得到的信息获得 MN的真实身份,实现了用户匿名性和位置移动的不可跟踪性. 1具有用户匿名性的移动IP注册协议 移动IP注册协议主要涉及三方,即移动节点(MN),移动节点的家乡代理(HA)和移动节点正在访问的 外地网络的代理(FA).当MN从家乡网络移动到外地网络或者从一个外地网络移动到另一个外地网络时, 需要通过外地代理向家乡代理进行位置注册,绑定移动节点的新的转交地址和家乡地址,从而保证漫游时仍 能进行通信. 1.1协议的安全目标 协议的安全目标如下: ?实现移动节点,家乡代理以及外地代理之间的相互认证; ?注册消息的完整性保护; ?注册消息的新鲜性保护(防止重放攻击); ?用户匿名性; ?实现共享密钥的安全协商和动态更新. 1.2符号说明 在协议中使用了下列符号: ? MNM表示移动节点的家乡地址; ? MNco表示移动节点的转交地址; ? HAia表示家乡代理的IP地址作为其身份标识; ? FA表示外地代理的IP地址作为其身份标识; ? NM,NFA,NHA表示MN,FA和HA各自产生的nonce随机数; ? KMn,KM表示MN与HA之间的共享密钥,MN与FA之间的共享密钥; ?<M>K表示消息M在密钥K下的消息认证码(MAC)值; ? H(表示一个安全的单向Hash函数; ? KFA,KHA,KA表示FA,HA和CA各自的公钥; ? K,KI1A,K表示FA,HA和CA各自的私钥; ? E[H(]表示使用A的私钥对消息M进行的数字签名; ? CFA,CHA表示FA和HA的证书. 1.3协议描述 FA和HA的公钥证书是由一个可信的CA来签发的.令P表示一个大素数,q表示 一个满励l--1的 284西安电子科技大学(自然科学版)第35卷 大素数,gE表示z中的一个q阶元素.HA具有私钥KIlA— hEZ.和公钥K一gmodP,FA具有私钥K一fEZ.和公钥 KF一modP. MN首先注册为HA的用户,HA验证它的身份ID之后,通 过安全信道把HA的证书CHA,MN与HA之问的初始共享密钥 K0M?和HA产生的初始nonce值N交给MN,MN保存{ID, K州,N}这个. 协议的描述如图1所示: ? 代理广播(AgentAdvertisement):(AA1)FA—MN:M1 这里Ml为Advertisement,FA_d-MNc.A,NFA,CFA. ? 注册(Registration): (R1)MN—FA:M2,<M2>KHA MNFAHA 图1新的具有用户匿名性 的移动IP注册协议 这里M2为Request,HA|d'MNc.A,NHA,NMN,FA_d'NFA,g,TID. MN选取一个随机数y?Z.,计算gmodP.由于MN知道HA的公钥Kn一gmodP,所以MN能够计 算出gmodP一()modP.MN构造临时身份标识符TID—H(HAllg)0IDMN,放在注册请求消息的 扩展域,然后求出消息M在密钥K下的消息认证码<M>K作为MN和HA之问的认证扩展. (R)FA—HA:M.,E[H(M.)] 这里M3为M2,<M2>KMN—HA,FA_d.CFA. FA首先检查M中的N是否与它刚广播的N相同.如果相同,则使用FA的私钥K对消息M.进 行数字签名E:[H(M.)]. (R.)HA—FA:M,E. [H(M)]. 这里M4为Reply,Result,MNHM,HA_d'N|HA,NMN. M5为M4,<M4>KHA,TID,NFA,CHA. HA首先检查M.中的FA是否与M中的FA_d相同,然后用FA的公钥K去验证FA的数字签名 EEH(M.)],如果验证成功,则HA通过对FA的认证. HA利用g计算gmodP一(g)modP,并对TID进行推导得出MN的真实身份ID"—TID@ H(HAIlg),然后根据ID查找关于MN的记录K和NHA.接着检查接收到的NHA是否与HA存储 的N相同,如果相同,则用K"N.验证<M.>K,如果验证成功则HA通过对MN的认证. HA为MN动态分配一个家乡地址,并把家乡地址与接收到的转交地址绑定起来.然后重新产生一个 nonceNh,计算MN与HA之问新的共享密钥K_MN.一HMAC—SHA1(K"N.H,N|HAIlN"llTID)E22,., 同时更新记录.最后HA计算回复消息的定长部分M在密钥K.下的MAC值<M>K,并用 HA的私钥K对M进行数字签名EEH(M)]. (R)FA—MN:M,<MI>KfIA. FA验证回复消息中的NFA是否与其刚广播的NFA相同.如果相同,则用HA的公钥KHA去验证HA的数 字签名EEH(M5)],如果验证成功,则FA通过对HA的认证.接着,根据先前收到的注册请求中的g计算 出FA与MN的动态共享密钥KMN_F'^一gmodP一(g)modP.最后把M和<M>KMN_HA转发给MN. MN验证NMN的有效性,再用K州验证<M>KN.,如果成功,则MN通过对 HA的认证.然后用 FA的公钥计算出MN与FA之问的共享密钥KN.一modP一()modP.最后计算MN与HA之问的 共享密钥K一HMAC—SHA1(KN.,N_HllN?llTID)l_2.,用作下一次注册请求消息的认证. 2安全性分析 本协议的安全性在于离散对数的困难性.通过下面的安全性分析,可以得知笔者提出的协议达到了1.1 第2期党岚君等:具有用户匿名性的移动IP注册协议285 中描述的协议目标. 2.1通信实体之间的相互认证 MN与HA之间的相互认证:MN在注册请求中加入了用KMN.计算的MAC值<M2>KMN.,HA 对接收到的消息M2重新利用共享密钥KMN.计算MAC值,并与接收到的<M2>KMN.进行比较,如果 相同,则HA通过对MN的认证;同样,HA在注册回复消息中加入消息认证码<M4>KMN.,MN对收 到的消息M重新计算MAC值,并与接收到的<M4>KM一进行比较,如果相同,则MN通过对HA的认 证.任何攻击者在不知道共享密钥KMN.n的情况下都无法产生正确的消息认证码. FA与HA之间的相互认证:通过各自的公钥证书和数字签名实现,消息接收方可根据发送方公钥证书 中提供的签名公钥验证对方的数字签名,以证实对方的合法身份. 通过MN与HA之间的信任关系和FA与HA之间的信任关系,MN与FA之间的信任关系也间接建 立起来. 2.2注册消息的完整性保护 MN,FA与HA之间传递的注册请求消息和注册回复消息的完整性保护可通过各自产生的消息认证码 和数字签名实现.消息认证码可以保护在它之前的数据的完整性,HA对M2计算MAC值,并与接收到的消 息认证码<M2>KMN.n比较,如果相同,则表明M2中的数据在传输时未被篡改;MN对M4计算MAC值, 并与接收到的消息认证码<M>KM比较,如果相同,则表明M中的数据在传输时未被篡改.公钥数字 签名是用公钥对消息M的Hash值进行签名,也可以保护在它之前的数据的完整性. 2.3注册消息的新鲜性保护 在MN和HA端都有一个伪随机数发生器用来产生各自的32位nonce,其中MN负责产生新的NMw并 把它插入到请求消息的identification域的低32位,并把上一次注册回复中的Nn插入到高32位;HA收到 请求消息之后,负责产生新的Nn并把它插入到回复消息的高32位,把请求消息中的NMw复制到回复消息 的低32位.为了防止一般的重放攻击,HA验证请求消息中的identification域的高32位是否是它上一次产 生的nonce,MN验证回复消息中的低32位是否与请求消息中的低32位相同. 如果MN和HA没有分别在注册消息中加入FA的nonce随机数N,攻击者就有可能窃听并保存某 一 次注册请求中MN发送给FA的请求消息和与之匹配的HA发送给FA的回复消息,然后隔一段时间依 次发送给FA,这样就可以欺骗FA,从而骗取FA的服务接人外地网络_1.因此,在笔者提出的协议里既采 用了MN和HA产生的随机数NM和N去防止一般的重放攻击,还在请求和回复消息中采用了FA产生 的随机数NFA,通过FA验证请求和回复消息中的N的有效性,防止了这种重放攻击. 2.4用户匿名性 通过采用Hash函数与Diffie-Hellman密钥交换机制构造了临时身份标识符TID=H(HAidllg)(壬?w来 实现协议中用户的匿名性.其中动态密钥gmod一()mod一()mod是MN和HA之间利用Diffie- Hellman密钥交换机制产生的,不知道MN选取的y或者HA的私钥h就不能计算出这个密钥,也就不能由 TID推导出MN的真实身份,因此只有HA可以从IDMN=TID@H(HAllg)推导出MN的真实身份.由于每 次注册请求时MN选取的随机数y都不相同,使得用来计算TID的动态密钥不断变化,保证了临时身份标识符 的非随机性,因此攻击者不能对用户的位置移动进行跟踪.如果MN由于某种原因不小心泄露了身份信息 ,那么他也只是泄露了当前的位置信息,并不能从中获得MN所有的历史位置信息. 假如同一HA下的其他合法用户MN想跟踪某一合法用户MN的位置:MNN听HA接收到的消息,截获MN 的TID和,但是不知道HA的私钥h,而且它选取的随机数也与MN选取的y不同,所以不能计算出 MN的真实身份II)_1.同理,某一合法用户身份信息的泄露也就不会导致其他合法用户身份信息的泄露. 2.5共享密钥的安全协商和动态更新 MN与HA之间的共享密钥KM一的更新是由双方根据KlMN-H—HMAC-SHA1(KMN-n,NhAll NMllTID)各自计算的,新的共享密钥KlMN_用作MN下一次注册请求时MN与HA之间的相互认证.考 虑到协议的性能,双方可以在注册完成后的空闲时间内计算这个新的共享密钥. MN与FA之间的共享密钥KMN.FA是由双方根据Diffie-Hellman密钥交换机制得到的,即KMFA—g 286西安电子科技大学(自然科学版)第35卷 modp一(g)modp===(g)modP,每次注册请求都可以得到一个不同的共享密钥KMN_FA,用作MN在外 地域微移动时注册消息的认证.引.同理,这个密钥也可以离线计算. 3性能分析 从移动设备计算能力的有限性与无线移动通信网络的有限带宽和高误码率来看,MN是协议效率的瓶颈, 所以笔者从MN的角度出发来分析注册协议的性能,比较不同协议执行时MN端的计算量和消息交互的次数. 由前述分析所知,文献[18,21]中提出的移动IP注册协议实现了不同程度的用户匿名性,但是只有文 献[21]提出的匿名性方案与笔者提出的协议所实现的匿名性最完备,而文献[21]在安全性方面存在一些问 题.因为安全与效率从来就是相互折中的,所以,笔者只把本协议与文献[21]中的认证协议作比较.如表1所 示,第1和第2列分别表示可预计算和必须在线完成的模指数运算的次数;第3和第4列分别表示可预计算 和必须在线完成的Hash的次数;第5列表示进行异或运算的次数;在MN端进行对称性加密和解密运算的 次数由第6和第7列分别表明;最后一列给出了移动用户交互消息的次数. 表1协议分析比较表 从表中可以看出,虽然笔者提出的协议涉及到模指数运算,但是在MN端可以通过离线计算,避免耗时 的模指数运算.除过离线运算,笔者所提协议在MN端只进行了2次Hash运算和1次异或运算,其中主要 的运算量在Hash函数的计算方面.而Hash函数的运算速度也很快,例如,在配置为HP(Compaq)iPAQ H3630,206MHzStrongARMprocessor并有32MBRAM(16MBROM)的移动设备上, 运行1次输出为 160bit的SHA算法,速度为0.019111ms『2胡;运行1次DES运算为0.007354ms.与文献E21]相比,笔者所 提协议少了3次对称性加/解密运算,多了1次Hash运算,可以估算出本协议减少 了MN端的运算负荷和 时问.因此,与文献E21]相比,笔者提出的协议不仅安全性更强,而且效率也更高. 4结束语 针对移动IP通信网络中的匿名认证问题,笔者采用Hash函数和Diffie—Hellman 密钥交换机制构造了 注册请求消息中的临时身份标识符,提出了一个具有用户匿名性的移动IP注册协 议.该协议中的TID是非 随机性的,避免了攻击者对用户的跟踪;其他合法用户也不能通过监听链路上的消 息来推算出MN的真实 身份.通过安全性分析表明,该协议具有很强的匿名性,达到了协议的安全目标.协 议的性能分析表明,与文 献E21]相比,笔者提出的协议减少了MN端的运算负荷和时问. 参考文献: [1]PerkinsC.IPMobilitySupportforIPv4[DB/OL].[2002—08— 01].http:/www.ietf.org/rfc/rfc3344.txt. [2]AtenieseG,HerzbergA,KrawczykH,eta1.OnTravelingIncognito[C]//ProcoftheIEEE WorkshoponMobile SystemsandApplications.NewYork:IEEEPress,1994:205-211. [3]SamfatD,MolvaR,AsokanN.UntraceabilityinMobileNetworks[C]//ProcofMobiCom '95.Berkeley:ACMPress, 1995:26-36. [4]HiroseS,YoshidaS.AUserAuthenticationSchemewithIdentityandLocationPrivacy[C ]//2001LNCS:2119. Berlin:Springer,2001:235—246. [5]ParkJ,GoJ,KimK.WirelessAuthenticationProtocolPreservingUserAnonymity[c]//sci s:2001.NewYork: IEEEPress,2001:159-164. [6]邓所云,胡正名,钮心忻,等.一个无线双向认证和密钥协商协议[J].电 子,2003,31(1):135—138. DengSuoyun,HuZhengming,NiuXinxin,eta1.AWirelessMutualAuthenticationandKeyAgreementProtocol[J]. 第2期党岚君等:具有用户匿名性的移动IP注册协议287 ACTAElectronicaSinica,2003,31(1):135—138. [7]WongDS.SecurityAnalysisofTwoAnonymousAuthenticationProtocolsforDistributedWirelessNetworkIf]// Proceedingsofthe3rdInt'lConfonPervasiveComputingandCommunicationsWorkshops(PerCom2005Workshops). NewYork:IEEEPress,2005:284—288. [8]万仁福,李方伟,朱江.匿名双向认证与密钥协商新协议[J].电子科技大 学,2005,34(1):61—64. WanRenfu,LiFangwei,ZhuJiang.AnEfficientAnonymityMutualAuthenticationProtocol[J].JournalofUESTof China,2005,34(1):61-64. [9]JiangY,LinC,ShiM,eta1.ASelf— encryptionAuthenticationProtocolwithIdentityAnonymityforTeleconference Services[C]//IEEEGlobecom2005:3.NewYork:IEEEPress,2005:1706—1710. [1O]JiangY,LinC,ShenX,eta1.MutualAuthenticationandKeyExchangeProtocolswithAnonymityPropertyfor RoamingServices[C]//Networking:2005LNCS:3462.Berlin:Springer,2005:114—125. [11]ChuX,JiangY,LinC,eta1.Self-certifiedMutualAuthenticationandKeyExchangeProtocolforRoamingServices If]//ATC:2006LNCS:4158.Berlin:Springer,2006:408—417. [12]冯国柱,李超,吴翊.一个高效的无线匿名认证和密钥协商协议[J],计算机工程 与应用,2006,(19):4-7. FengGuozhu,LiChao,wuYi.AnEfficientAnonymousAuthenticationandKeyAgreementProtocol[J].Computer EngineeringandApplications,2006,(19):4-7. [13]JacobsS.MobileIPPublicKeyBasedAuthentication[DB/OL].[2008—03— 03].; jacobs—mobileip—pki—auth一02. [14]Sufatrio,LamK.MobileIPRegistrationProtocol:aSecurityAttackandNewSecureMinimalPublic-keyBased Authentication[C]//Proceedingsofthe1999InternationalSymposiumonParallelArchitectures,Algorithmsand Networks(ISPAN99).Fremantle:IEEEPress,1999:364—369. [15]刘东苏,杨波,王新梅.移动IP认证协议[J].西安电子科技大学,2003,30(4):455— 457. LiuDongsu,YangBo,WangXinmei.AuthenticationProtocolinMobileIP[J].JournalofXidianUniversity,2003,30 (4):455—457. [16]王立明,杨波.移动IP中基于时戳的注册协议[J].西安电子科技大 学,2004,31(5):777—780. WangLiming,Yang13o.ATimestamp— basedRegistrationProtocolinMobileIP[J].JournalofXidianUniversity,2004, 31(5):777—780. [17]王立明,杨波.集成AAA的移动IP注册方案[J].西安电子科技大 学,2004,31(6):952—954,973. WangLiming,Yang13o.ASchemeforRegistrationintheMobileIPIntegratedwithAAA[J].JournalofXidian University,2004,31(6):952—954,973. [18]YangC,ShiuC.ASecureMobileIPRegistrationProtocol[J].InternationalJournalofNetworkSecurity,2005,1(1): 38—45. [19]ZhuJ,MaJ.ANewAuthenticationSchemewithAnonymityforWirelessEnvironments[J].IEEETransonConsumer Electronics,2004,50(1):23I-235. [2O]张胜,徐国爱,胡正名,等.基于身份公钥的移动IP认证方案[J].北京邮电大 学,2005,28(3):86—88. ZhangSheng,XuAiguo,HuZhengming,eta1.AMobileIPAuthenticationProtocolBasedonIdentity[J].Journalof BeijingUniversityofPostsandTelecommunications,2005,28(3):86—88. [21]彭华熹,冯登国.匿名无线认证协议的匿名性缺陷和改进[J].通信,2006,27(9):78 —85. PengHuaxi,FengDengguo.SecurityFlawsandImprovementtoaWirelessAuthenticationProtocolwithAnonymity[J]. JournalofCommunications,2006,27(9):78—85. [22]PerkinsC.Authentication,Authorization,andAccounting(AAA)RegistrationKeysforMobileIPv4[DB/OL].[2007— 03—03]. [23] [24] SalgarellilL,BuddhikotM,GarayJ,eta1.EfficientAuthenticationandKeyDistributioninWirelessIPNetworks[J]. IEEEWirelessCommunication,2003,10(6):52—61. PatroklosG,RajaV,HiteshT,eta1.PerformanceAnalysisofCryptographicProtocolsonHandheldDevices[DB/ OL].[2007—03— 03].;46.pdf. (编辑:郭华)