馮劍川　周?chē)?guó)祥　丁志文

(1.海軍蚌埠士官學(xué)校信息技術(shù)系　蚌埠　233012)(2.91681部隊(duì)　寧波　315700)

?

改進(jìn)的IMS跨域間認(rèn)證密鑰協(xié)商協(xié)議*

馮劍川1周?chē)?guó)祥1丁志文2

(1.海軍蚌埠士官學(xué)校信息技術(shù)系蚌埠233012)(2.91681部隊(duì)寧波315700)

摘要針對(duì)已有跨域間密鑰協(xié)商協(xié)議與IP多媒體子系統(tǒng)(IMS)會(huì)話建立過(guò)程不相匹配及安全性較差等問(wèn)題，分析了IMS會(huì)話建立過(guò)程，研究了端到端信息傳輸?shù)陌踩枨?，提出一種改進(jìn)的IMS跨域間認(rèn)證密鑰協(xié)商協(xié)議IKAAP，并進(jìn)行了安全性分析。結(jié)果表明，改進(jìn)后的協(xié)議能夠保證終端用戶(hù)在三網(wǎng)融合環(huán)境下實(shí)現(xiàn)端到端信息的安全傳輸。

關(guān)鍵詞IP多媒體子系統(tǒng); 跨域; 認(rèn)證密鑰協(xié)商協(xié)議

Class NumberTP393.03

1引言

鑒于IP多媒體子系統(tǒng)(IP Multimedia System，IMS)體系架構(gòu)基于域的特性，為實(shí)現(xiàn)IMS中端到端信息的安全傳輸，就需要采用跨域間認(rèn)證密鑰協(xié)商協(xié)議以生成會(huì)話密鑰。目前已有很多學(xué)者提出跨域間認(rèn)證密鑰協(xié)商協(xié)議[1～10]，但這些協(xié)議均不同程度存在以下問(wèn)題:一是雖然可以滿(mǎn)足安全生成會(huì)話密鑰的要求，但其通信過(guò)程卻與IMS會(huì)話建立的過(guò)程不相匹配，即需要重新修改IMS會(huì)話建立過(guò)程，不利于認(rèn)證密鑰協(xié)商協(xié)議與現(xiàn)有IMS系統(tǒng)的無(wú)縫嵌套；二是服務(wù)器保存有會(huì)話密鑰，存在信息被中間節(jié)點(diǎn)竊聽(tīng)的風(fēng)險(xiǎn)；三是安全性不高，存在密鑰泄露攻擊和中間人攻擊等諸多安全問(wèn)題；四是效率偏低且對(duì)客戶(hù)端計(jì)算能力要求偏高，不利于部署在嵌入式系統(tǒng)和復(fù)雜電磁環(huán)境中。

2改進(jìn)的IMS跨域間認(rèn)證密鑰協(xié)商協(xié)議

2.1改進(jìn)原則

針對(duì)已有的IMS跨域密鑰認(rèn)證協(xié)商協(xié)議存在的諸多不足，結(jié)合IMS會(huì)話通信特點(diǎn)，本文提出一種改進(jìn)的IMS跨域間認(rèn)證密鑰協(xié)商協(xié)議IKAAP(Enhanced Key Agreement Authentication Protocol)，協(xié)議在設(shè)計(jì)時(shí)基于以下原則:

1) 認(rèn)證交換過(guò)程與IMS會(huì)話建立過(guò)程相匹配。已有認(rèn)證協(xié)商協(xié)議雖然都可以滿(mǎn)足安全生成會(huì)話密鑰的要求，但其通信過(guò)程卻與IMS會(huì)話建立的過(guò)程不相匹配，這就需要重新修改IMS會(huì)話建立過(guò)程，不便于認(rèn)證協(xié)商協(xié)議與現(xiàn)有系統(tǒng)的無(wú)縫嵌套。

2) 避免客戶(hù)端使用公鑰基礎(chǔ)設(shè)施(PKI)。在客戶(hù)端使用服務(wù)器的公鑰對(duì)傳輸?shù)男畔⑦M(jìn)行加密，就需要事先在客戶(hù)端配置公鑰基礎(chǔ)設(shè)施以分配服務(wù)器的公鑰，而用戶(hù)在會(huì)話建立之初就需要耗費(fèi)更多的時(shí)間去獲取服務(wù)器和對(duì)端用戶(hù)的公鑰，同時(shí)對(duì)客戶(hù)端的計(jì)算能力也提出了較高要求。

3) 基于預(yù)共享的高熵長(zhǎng)期密鑰?？诹罹哂卸绦〉挽?、容易記憶的優(yōu)點(diǎn)，但使用口令認(rèn)證易于遭受字典攻擊和口令泄露攻擊。在IMS系統(tǒng)中客戶(hù)端和歸屬用戶(hù)服務(wù)器(Home Subscriber Server，HSS)之間預(yù)共享了高熵長(zhǎng)期密鑰，基于該密鑰完成用戶(hù)的認(rèn)證和授權(quán)。結(jié)合該特點(diǎn)，IKAAP基于預(yù)共享的高熵長(zhǎng)期密鑰進(jìn)行認(rèn)證，并介入會(huì)話密鑰協(xié)商過(guò)程，避免用戶(hù)的身份冒用。

4) 相互認(rèn)證。通過(guò)相互認(rèn)證，在會(huì)話密鑰生成前可有效確保用戶(hù)身份的合法性以減少偽裝攻擊的發(fā)生。

2.2協(xié)議描述

協(xié)議的詳細(xì)過(guò)程如圖1所示，圖中符號(hào)說(shuō)明如下。

圖1　改進(jìn)的跨域間認(rèn)證密鑰協(xié)商協(xié)議IKAAP

IDA，IDB:用戶(hù)UE A和UE B的身份標(biāo)識(shí)；

IDSA，IDSB:呼叫會(huì)話控制實(shí)體服務(wù)器S-CSCF A和S-CSCF B的身份標(biāo)識(shí)；

Ma，Mb:用戶(hù)A、B和對(duì)應(yīng)的S-CSCF間預(yù)共享的長(zhǎng)期密鑰(S-CSCF本身不存儲(chǔ)該密鑰，該密鑰實(shí)際存儲(chǔ)于HSS中，S-CSCF通過(guò)查詢(xún)HSS獲得)；

CKA，CKB:用戶(hù)A、B向?qū)?yīng)的S-CSCF注冊(cè)時(shí)產(chǎn)生的加密密鑰；

PSA，PSB:服務(wù)器S-CSCF A和S-CSCF B的公鑰；

SSA，SSB:服務(wù)器S-CSCF A和S-CSCF B的私鑰；

[info]K:用密鑰K對(duì)信息info進(jìn)行對(duì)稱(chēng)加密；

{info}K:用密鑰K對(duì)信息info進(jìn)行非對(duì)稱(chēng)加密；

K:用密鑰K對(duì)信息info進(jìn)行數(shù)字簽名；

p，q:兩個(gè)大素?cái)?shù)，其中q| (p-1)；

G:有限域Zp的乘法群；

g:以q為階的群G的生成元；

H:理想的Hash函數(shù)；

L:票據(jù)生存期；

sk:會(huì)話密鑰；

x，y，ra，ra′，rb，rb′:[1,q-1]內(nèi)的大隨機(jī)數(shù)。

為了建立會(huì)話密鑰sk，UE A和UE B將執(zhí)行如下步驟:

1) UE A選擇隨機(jī)數(shù)x和ra，計(jì)算gxmodp，利用預(yù)共享的長(zhǎng)期密鑰Ma和隨機(jī)數(shù)ra計(jì)算na=H(Ma,ra)。用注冊(cè)時(shí)產(chǎn)生的加密密鑰CKA對(duì)ra進(jìn)行對(duì)稱(chēng)加密，用na對(duì)A、B的身份標(biāo)識(shí)IDA、IDB和gxmodp進(jìn)行對(duì)稱(chēng)加密，將密文[IDA,IDB,gx]na,[ra]CKA發(fā)送給S-CSCF A(為描述方便，以下省略modp)。

2) 收到[IDA,IDB,gx]na,[ra]CKA后，S-CSCF A用存儲(chǔ)的加密密鑰CKA對(duì)[ra]CKA進(jìn)行解密，得到ra，利用預(yù)共享長(zhǎng)期密鑰Ma和隨機(jī)數(shù)ra計(jì)算na=H(Ma,ra)，再解密[IDA,IDB,gx]na，驗(yàn)證UE A身份的合法性。驗(yàn)證通過(guò)后，用S-CSCF A的私鑰SSA對(duì)gx、IDA、IDB、ra和L(票據(jù)生存期)進(jìn)行數(shù)字簽名，然后用S-CSCF B公鑰PSB進(jìn)行非對(duì)稱(chēng)加密得到票據(jù)Ticket={〈gx,IDA,IDB,ra,L〉SSA}PSB。之后S-CSCF A將Ticket，L發(fā)送給S-CSCF B。

3) S-CSCF B收到密文Ticket，L后，用自身的私鑰SSB對(duì)Ticket進(jìn)行解密，利用S-CSCF A的公鑰PSA驗(yàn)證數(shù)字簽名，并檢查票據(jù)生存期L的有效性，從而得到gx和ra。之后，選擇隨機(jī)數(shù)rb，利用與UE B預(yù)共享的長(zhǎng)期密鑰Mb計(jì)算nb=H(Mb,rb)，用nb對(duì)gx、ra和S-CSCF B的身份標(biāo)識(shí)IDSB進(jìn)行對(duì)稱(chēng)加密，用UE B注冊(cè)階段存儲(chǔ)的加密密鑰CKB對(duì)IDA、IDB、rb進(jìn)行對(duì)稱(chēng)加密，然后將加密結(jié)果[gx,ra,IDSB]nb,[IDA,IDB,rb]CKB發(fā)送給UE B。

4) UE B收到[gx,ra,IDSB]nb,[IDA,IDB,rb]CKB后，用存儲(chǔ)的加密密鑰CKB對(duì)[IDA,IDB,rb]CKB進(jìn)行解密得到rb，用預(yù)共享的長(zhǎng)期密鑰Mb和解密得到的rb計(jì)算nb=H(Mb,rb)，用nb再解密[gx,ra,IDSB]nb，驗(yàn)證S-CSCF B身份的合法性并得到gx和ra。之后，UE B選擇隨機(jī)數(shù)y和rb′，計(jì)算會(huì)話密鑰sk=H(gxy,IDA,IDB)。用ra對(duì)gy進(jìn)行對(duì)稱(chēng)加密，用會(huì)話密鑰sk對(duì)IDA、IDB、rb′進(jìn)行對(duì)稱(chēng)加密，最終將加密結(jié)果[gy]ra,[IDA,IDB,rb′]sk發(fā)送給UE A。

5) UE A收到[gy]ra,[IDA,IDB,rb′]sk后，利用第1步選擇的隨機(jī)數(shù)ra解密[gy]ra得到gy。之后，利用第1步選擇的隨機(jī)數(shù)x計(jì)算會(huì)話密鑰sk=H(gyx,IDA,IDB)。解密[IDA,IDB,rb′]sk，得到rb′并驗(yàn)證UE B身份的合法性，再計(jì)算[rb′]sk并發(fā)送給UE B。UE B收到[rb′]sk后，利用sk解密驗(yàn)證rb′以最終確定雙方已成功進(jìn)行密鑰認(rèn)證協(xié)商。

3協(xié)議安全性分析

假設(shè)存在攻擊者T，對(duì)上節(jié)所給出的IKAAP進(jìn)行如下安全性分析。

1) 字典攻擊

對(duì)于在線字典攻擊，假設(shè)T根據(jù)弱口令的構(gòu)造特點(diǎn)猜測(cè)了用戶(hù)UE A的一個(gè)口令并計(jì)算出相應(yīng)的驗(yàn)證值，但由于口令僅是UE A在注冊(cè)過(guò)程中與服務(wù)器認(rèn)證所需，并不參與后續(xù)的會(huì)話密鑰協(xié)商，故在線字典攻擊不適用。對(duì)于離線字典攻擊，由于在協(xié)議運(yùn)行過(guò)程中無(wú)信息涉及到口令，因此離線字典攻擊亦不適用。

2) 口令泄漏攻擊

假設(shè)T竊取了UE A的口令試圖偽裝成UE A，攻擊者利用竊取的口令成功在服務(wù)器上進(jìn)行了注冊(cè)，并試圖偽造密文1，但由于T不知道預(yù)共享的長(zhǎng)期密鑰Ma，因此無(wú)法計(jì)算出na，從而S-CSCF A在解密密文1后就可以發(fā)現(xiàn)T，T偽裝攻擊失敗。同理，適用于用戶(hù)UE B。假設(shè)T竊取了用戶(hù)口令，并能獲取通信過(guò)程中的所有信息，由于口令僅在用戶(hù)注冊(cè)過(guò)程中與服務(wù)器認(rèn)證時(shí)使用，并不參與后續(xù)的會(huì)話密鑰協(xié)商，因此攻擊者無(wú)法利用口令發(fā)起有效攻擊。

3) 密鑰泄漏攻擊

假設(shè)T竊取了UE A在注冊(cè)過(guò)程中生成的加密密鑰CKA，且能獲得通信過(guò)程中的所有信息，因此可通過(guò)密文1獲知選擇的隨機(jī)數(shù)ra。雖然T可利用ra成功解密密文4中的[gy]ra得到gy，但由于T不知預(yù)共享的長(zhǎng)期密鑰Ma，故無(wú)法計(jì)算出用于解密密文[IDA,IDB,gx]na所需的密鑰na，從而無(wú)法得到gx，基于Diffie-Hellman難題，由gx計(jì)算x是不可行的，因此無(wú)法生成會(huì)話密鑰。同理適用于UE B。

假設(shè)T竊取了服務(wù)器S-CSCF A的私鑰SSA，成功解密密文2中的{〈gx,IDA,IDB,ra,L〉SSA}PSB得到gx和ra，進(jìn)而成功解密密文4中的[gy]ra得到gy，但基于Diffie-Hellman難題，由gx和gy求出sk=H(gyx,IDA,IDB)在計(jì)算上是不可行的。

4) 中間人攻擊

假設(shè)T竊取了UE A在注冊(cè)過(guò)程中生成的加密密鑰CKA，意圖通過(guò)劫持密文1發(fā)動(dòng)中間人攻擊。但由于T無(wú)法獲知UE A與S-CSCF A預(yù)共享的長(zhǎng)期密鑰Ma，故無(wú)法計(jì)算解密密文1中[IDA,IDB,gx]na所需的密鑰na，從而無(wú)法實(shí)現(xiàn)中間人攻擊。同理，適用于UE B加密密鑰被竊取的情形。

5) 相互認(rèn)證

協(xié)議第2步基于預(yù)共享的高熵密鑰S-CSCF A可對(duì)UE A進(jìn)行認(rèn)證，第3步S-CSCF B通過(guò)驗(yàn)證基于非對(duì)稱(chēng)加密體制的數(shù)字簽名可對(duì)S-CSCF A進(jìn)行認(rèn)證，第4步UE B基于預(yù)共享的高熵密鑰可對(duì)S-CSCF B進(jìn)行認(rèn)證，從而實(shí)現(xiàn)UE B對(duì)UE A的認(rèn)證。UE A通過(guò)解密UE B發(fā)回的消息驗(yàn)證第1步發(fā)送的隨機(jī)數(shù)ra和自身的身份標(biāo)識(shí)IDA從而實(shí)現(xiàn)對(duì)UE B的認(rèn)證。因此該協(xié)議可實(shí)現(xiàn)用戶(hù)之間的相互認(rèn)證。

6) 前向安全性

假設(shè)T成功獲取了用戶(hù)口令，加密密鑰CKA和CKB，服務(wù)器的私鑰SSA和SSB，并成功解密協(xié)議運(yùn)行過(guò)程中的密文信息得到gx、gy，但基于Diffie-Hellman難題，要想獲得會(huì)話密鑰sk=H(gyx,IDA,IDB)在計(jì)算上是不可行的，從而無(wú)法計(jì)算出之前的會(huì)話密鑰。因此，該協(xié)議具有良好的前向安全性。

4嵌入IMS會(huì)話

協(xié)議成功執(zhí)行后，UE A和UE B得到了會(huì)話密鑰，可用于后續(xù)的信息傳輸加密，IKAAP協(xié)議與IMS會(huì)話建立過(guò)程無(wú)縫嵌套，密鑰協(xié)商信息可置于會(huì)話描述協(xié)議(Session Description Protocol，SDP)消息的擴(kuò)展字段中實(shí)現(xiàn)。

5結(jié)語(yǔ)

針對(duì)三網(wǎng)融合環(huán)境中密鑰協(xié)商特點(diǎn)，本文給出了一種改進(jìn)的IMS跨域間認(rèn)證密鑰協(xié)商協(xié)議IKAAP，并對(duì)該協(xié)議進(jìn)行了安全性分析。IKAAP協(xié)議可無(wú)縫嵌入IMS會(huì)話建立過(guò)程，在安全性方面有一定提升，能夠保證終端用戶(hù)在三網(wǎng)融合環(huán)境下實(shí)現(xiàn)端到端信息的安全傳輸。

參 考 文 獻(xiàn)

[1] Byun J W，Jeong I R，Lee D H．Password-authenticated key exchange between clients with different passwords[C]//Lecture Notes in Computer Science．Berlin:Springer Press，2002:134-146.

[2] CHEN Chi-yuan，WU Tin-yu．An efficient end-to-end security mechanism for IP multimedia subsystem[J]． Computer Communications，2008，25(5):1-10．

[3] FENG Deng-guo，XU Jing．A New Client-to-Client Password Authenticated Key Agreement Protocol[C]//Coding and Cryptology Lecture Notes in Computer Science．Berlin:Springer Press，2009:63-76.

[4] 柳秀梅.基于口令認(rèn)證的密鑰交換協(xié)議若干關(guān)鍵技術(shù)研究[D]．沈陽(yáng):東北大學(xué)，2009:34-40．

[5] 張紅旗，張文波，張斌．網(wǎng)格環(huán)境下基于身份的跨域認(rèn)證研究[J]．計(jì)算機(jī)工程，2009，35(17):160-162．

[6] 鮑慧，徐芳琴，李艷冠．IMS網(wǎng)絡(luò)端到端安全機(jī)制研究[J]．中國(guó)多媒體通信，2009，69(3):34-37．

[7] 范慶娜，姚琳，吳國(guó)偉．普適計(jì)算中的跨域認(rèn)證與密鑰建立協(xié)議[J]．計(jì)算機(jī)工程，2010，36(11):137-139．

[8] 陳安林，潘進(jìn)．移動(dòng)自組網(wǎng)中跨域兩方認(rèn)證密鑰協(xié)商協(xié)議研究[J]．計(jì)算機(jī)應(yīng)用研究，2011，28(7):2734-2737.

[9] CHEN Ming，WU Kai-gui，XU Jie．A Certificateless and Across Administrative Domains Authenticated Key Exchange Scheme for E-payment[J]．Journal of Software，2011，6(10):1985-1991．

[10] 姚瑤，王興偉．基于跨域認(rèn)證與密鑰協(xié)商的協(xié)議模型[J]．計(jì)算機(jī)工程，2012，38(9):12-14.

An Improved IMS Cross-domain Key Authenticated Agreement Protocol

FENG Jianchuan1ZHOU Guoxiang1DING Zhiwen2

(1. Naval Bengbu Sergeant School, Bengbu233012)(2. No. 91681 Troops of PLA, Ningbo315700)

AbstractAiming at session process between cross-domain key agreement protocol and IP multimedia subsystem (IMS) does not match and security poor, process of IMS session establishment is analyzed, security requirements of end-to-end information transmission is studied, an improved IMS cross-domain key authenticated agreement protocol(IKAAP) is put forward, and improved protocol’s security is analyzed. Result shows that the improved protocol can guarantee the end user in the triple play environment to realize the end-to-end security information transmission.

Key WordsIP multimedia subsystem, cross-domain, key authenticated agreement protocol

* 收稿日期：2015年11月9日,修回日期：2015年12月29日

作者簡(jiǎn)介：馮劍川，男，碩士，講師，研究方向：信號(hào)通信。周?chē)?guó)祥，男，碩士，講師，研究方向：無(wú)線通信。丁志文，男，研究方向：信號(hào)通信。

中圖分類(lèi)號(hào)TP393.03

DOI：10.3969/j.issn.1672-9730.2016.05.027