黃國盛，夏明華

HUANG Guosheng1,2,XIAMinghua2

1.湖南第一師范學院 信息科學與工程學院，長沙 410205

2.中山大學 電子與信息工程學院，廣州 510006

1.School of Information Science and Engineering,Hunan First Normal University,Changsha 410205,China 2.School of Electronics and Information Technology,Sun Yat-sen University,Guangzhou 510006,China

1 引言

移動IP是在Internet上提供移動性支持的協議，是計算機網絡的一個重要發(fā)展方向。在移動IP中，因為節(jié)點的移動性和無線鏈路的開放性，在網絡中引入了新的安全問題，其中最關鍵的是移動節(jié)點（Mobile Node，MN）的注冊安全[1-3]。當MN從家鄉(xiāng)子網移動到外地子網時，需向其家鄉(xiāng)代理（Home Agent，HA）發(fā)送注冊請求、注冊其在外地子網獲得的轉交地址（Care of address，CoA），注冊完成后，所有發(fā)往MN的數據包將發(fā)往其CoA。攻擊者可以利用這一特性偽造注冊信息來截獲發(fā)往MN的數據包，給MN和通信對端節(jié)點（Correspondent Node，CN）帶來安全威脅。因此，移動注冊安全是移動IP需解決的一個核心問題[4-6]。

移動IP中的移動注冊涉及MN、HA和外地代理（Foreign Agent，FA）等協議實體，其中特別要加強對MN的安全保護[4]。針對移動IP中的注冊安全問題，最早的移動注冊協議通過手動分發(fā)對稱密鑰的辦法實現通信實體的相互認證，這種認證方式原理簡單、注冊延時小，但密鑰分發(fā)和管理非常困難，且MN的密鑰容易被非法竊取、猜測和替換。文獻[7-8]提出了基于證書的移動IP注冊協議加強移動注冊安全，但這些協議存在著繁瑣的證書管理問題。文獻[9-11]提出了一種無證書的移動IP注冊認證協議，可以減少證書管理帶來的代價和注冊延時，有效改善了協議性能，但這類方案在無線移動環(huán)境中存在MN密鑰等身份信息泄露的風險，在身份認證方面還存在安全隱患[12-13]。通過USBKey加強身份認證是近年來發(fā)展起來的一種安全可靠的認證技術。USBKey具有雙重身份認證機制：驗證UserPIN碼和USBKeyID[14]。其中，USBKeyID可以作為MN的私鑰。如果移動用戶丟失USBKey硬件，只要UserPIN碼沒有被攻擊者竊取，攻擊者將無法讀取USBKeyID，仍然可保證信息安全；如果UserPIN碼泄密，只要用戶的USBKey硬件沒有被非法獲取，攻擊者也不能仿冒用戶身份[14-15]。本文結合USBKey和無證書認證協議的優(yōu)點，提出一種USBKEY輔助的無證書移動IP注冊認證方法，并區(qū)別于傳統的USBKey認證，使移動注冊與身份認證同步進行，具有注冊延遲小和安全性強的優(yōu)點。

2 USBKey輔助的移動注冊認證方法

本文提出的注冊認證協議的基本思想是通過USBKey實現對MN私鑰的加密保護，將USBkey輔助的身份認證集成到MN周期性的移動注冊中，并通過數字信封和數字簽名技術加強對認證信息的加密保護，從而提高移動注冊的安全性和可靠性。

2.1 注冊認證思路

MN向其HA申請USBKey，將MN的UserPIN碼、USBKeyID及相應加密算法寫入USBKey內部存貯器，通過USBKey保護MN在注冊中使用的個人信息。其中，UserPIN作為訪問USBKey內部信息的密鑰，USBKeyID作為MN進行數字簽名的私鑰（從外部不能直接讀?。N每次進行移動上網時，必須插入USBKey。同時，在插入USBKey后首次進行移動注冊前，必須輸入正確的UserPIN碼才能讀取USBKey中的私鑰、調用其中的加密算法實現身份認證過程。在MN每次進行移動注冊時同步進行身份認證，并通過對稱加密和非對稱加密算法實現對注冊報文的加密保護，防止注冊信息被竊取、篡改和偽造，充分保證移動注冊的安全。

2.2 協議符號定義

為便于協議描述，引入相應的符號定義，如表1所示。

2.3 注冊認證過程及協議描述

MN通過接收代理廣播（Agent Advertisement）判斷自己是位于家鄉(xiāng)子網還是位于外地子網，并判斷是否從一個子網移動到了另一個子網。當MN移動到某一個外地子網時，根據收聽到的代理廣播選擇一個FA，并獲得一個屬于該子網的CoA。隨后，MN向FA發(fā)送注冊請求（Registration Request）報文，以注冊反映其當前網絡接入位置的轉交地址。FA將處理后的注冊請求發(fā)往MN的HA。如果HA確認其收到的是有效的注冊請求，將為MN建立一個移動綁定（Mobility Binding），記錄MN獲得的CoA。同時HA經FA向MN返回一個注冊響應報文（Registration Reply），FA收到從HA發(fā)來的注冊響應報文后轉發(fā)至MN，完成移動注冊。移動注冊和身份認證中完成的相關操作如圖1所示。

表1 注冊認證協議中的符號定義

圖1 移動注冊與身份認證中的相關操作

在注冊過程中，通信雙方通過隨機對稱共享密鑰對注冊信息進行加密，通過Hash函數產生消息摘要對注冊信息進行完整性保護，并通過數字簽名進行身份認證。其中，MN用于數字簽名的私鑰為MN的USBKeyID（保存在USBKey中）。

（1）MN接收由FA發(fā)送的代理廣播Msg0

在FA發(fā)送的代理廣播 Msg0中，包括FA的IP地址，MN在該子網可以使用的CoA，FA發(fā)送給MN的隨機數等信息。

（2）MN向FA發(fā)送注冊請求報文Msg1

Msg1=(M1,σM-F)，即注冊請求報文 Msg1分成兩個部分：

第一部分為 M1，M1=({Request,RM-F}KM-F，＜KM-F＞PKF,＜RM-H＞PKH,σM-H)，包括Request消息（其中包含了MN的HA地址及MN請求注冊的CoA等），MN發(fā)給FA的隨機數RM-F（來源于FA在代理廣播中發(fā)給MN的隨機數），MN和FA的隨機對稱共享密鑰KM-F，MN發(fā)給HA的隨機數RM-H等。為保證注冊數據的安全性，Request消息和隨機數RM-F通過隨機對稱共享密鑰KM-F加密，KM-F通過FA的公鑰PKF加密（只有FA的私鑰才能解密），即通過數字信封技術傳輸共享密鑰，充分保證注冊信息的安全性。RM-H通過HA的公鑰PKH加密，只有通過HA的私鑰才能解密。

M1中的 σM-H=＜H(RM-H)＞SKM，其中，SKM=USBKeyID。σM-H為MN對其在注冊請求中發(fā)送給HA的隨機數RM-H的數字簽名，即MN對RM-H通過Hash函數生成定長的散列值后，再通過MN的私鑰SKM進行加密（SKM為USBKey的硬件標識USBKeyID）。HA收到注冊請求報文后，可以通過σM-H驗證MN的身份。其中MN私鑰只有輸入MN合法的UserPIN碼才能從USBKey中讀取，可充分保證MN私鑰的安全。

第二部分為 σM-F,σM-F=＜H(M1)＞SKM，即MN對注冊請求報文的第一部分M1通過Hash函數生成定長的消息摘要，再通過MN的私鑰SKM（即USBKeyID）對生成的消息摘要進行加密，形成MN對M1的數字簽名。

FA收到Msg1報文后，首先用MN的公鑰PKM對σM-F進行解密，如解密成功則證明該報文是從MN發(fā)出的，并得到由MN在Msg1中封裝的消息摘要digest1，即H(M1)。同時，FA對Msg1報文的第一部分M1通過Hash函數生成消息摘要digest2。如果digest1與digest2相等，則驗證了消息的完整性。FA對MN進行身份認證和對注冊請求報文進行完整性檢驗的過程如圖2所示。

圖2 身份認證和完整性檢驗

然后，FA通過其私鑰SKF解開數字信封得到共享密鑰KM-F。FA再通過得到的隨機共享密鑰KM-F解密注冊請求報文中的Request消息密文，得到Request消息和隨機數RM-F。FA檢查Msg1中收到的RM-F是否等于它先前廣播的隨機數，以驗證注冊請求報文的新鮮性、防止重放攻擊。

FA從Request消息中記錄MN注冊請求的源IP地址、源UDP端口號、HA地址和該請求的生存時間等信息后，將注冊請求報文轉發(fā)至HA。

（3）FA向HA轉發(fā)注冊請求消息Msg2

其中 M2=({Request,RF-H}KF-H,＜KF-H＞PKH,

KF-H為FA與HA的隨機對稱共享密鑰，通過數字封信技術加密保護。

HA收到 Msg2后，首先通過FA的公鑰 PKF對σF-H進行解密，如果解密成功則證明Msg2是FA轉發(fā)的，并得到FA在Msg2中封裝的消息摘要digest3。同時，HA對注冊請求消息Msg2中的M2通過Hash函數生成消息摘要digest4，如是digest3與digest4相等，則驗證了消息的完整性。然后，HA通過其私鑰SKH解密＜KF-H＞PKH，得到共享密鑰KF-H，并通過共享密鑰KF-H得到Request消息和隨機數RF-H，RF-H可用于防止重放攻擊。同時，HA通過其私鑰SKH解密＜RM-H＞PKH，得到RM-H。HA從注冊請求報文中得到隨機數RM-H后，通過Hash函數生成定長散列值digest-RM1，并通過MN公鑰解密σM-H得到MN封裝的對RM-H生成的散列值digest-RM2，如digest-RM1和digest-RM2相等，則可以驗證MN的身份和隨機數RM-H的完整性。

如以上操作成功，則HA在其綁定緩存中建立MN的綁定項，并向FA返回注冊響應報文。

（4）HA向FA返回注冊響應報文Msg3

KH-F為HA與FA的隨機共享密鑰，KH-F通過數字封信技術加密。Reply為HA返回給MN的注冊響應消息。RH-F為HA發(fā)給FA的隨機數，RH-M為HA發(fā)給MN的隨機數（來源于MN在注冊請求報文中發(fā)給HA的隨機數），用于防止重放攻擊。σH-M為HA對隨機數RH-M的數字簽名。MN可通過σH-M驗證HA的身份。

FA收到注冊響應報文Msg3后，首先通過HA的公鑰PKH對σH-F解密，如果解密成功，則證明該消息是由HA發(fā)出的，并得到消息摘要digest5。同時，FA對注冊響應報文中的M3通過Hash函數生成消息摘要digest6，如果digest5與digest6相等，則驗證了消息的完整性。然后，FA通過私鑰SKF解密數字信封，得到共享密鑰 KH-F，再通過KH-F得到Reply消息和隨機數RH-F。FA更新其來訪的MNs列表，并根據在MN的注冊請求中記錄的信息，將注冊響應消息轉發(fā)給MN。

（5）FA向MN轉發(fā)注冊應答報文Msg4

MN收到注冊應答報文Msg4后，先通過FA的公鑰PKF驗證數字簽名σF-M。然后，MN通過私鑰SKM（即USBKeyID）解密數字信封得到共享密鑰KF-M，通過KF-M得到Reply消息和隨機數RF-M。然后MN通過其私鑰解密 ＜RH-M＞PKM，得到隨機數RH-M，驗證RH-M是否等于先前在注冊請求報文中發(fā)給HA的隨機數RM-H（MN通過隨機數RM-H可防止重放攻擊）。驗證成功后，MN根據Reply消息修改其綁定緩存和路由表，并將FA作為其在當前外地子網的默認路由器，完成移動注冊過程。

3 安全性能分析

本文提出的協議可顯著加強移動IP注冊認證的安全性，下面從5個方面進行分析。

3.1 MN密鑰的安全保護

MN的私鑰為USBKeyID，加密保存在USBKey硬件中。MN進行移動注冊時，必須擁有相應的USBKey硬件才能獲取USBKeyID作為密鑰，因而可以有效防止他人冒充MN進行移動注冊。MN在USBKey中保存的密鑰（即USBKeyID）可以通過用戶設定的UserPIN碼進行保護，并且可限定UserPIN碼輸入次數（超限定次數可鎖定USBKey），可以防止因USBKey丟失而導致泄密。所以，通過USBKey可以顯著加強MN注冊密鑰的安全性、加強對MN注冊的安全保護。

3.2 協議實體的身份認證

MN、FA和HA在移動注冊過程中可以實現雙向身份認證，有效防止中間人攻擊。MN發(fā)給FA的注冊請求報文中，根據數字簽名σM-F可驗證MN的身份。因σM-F通過MN私鑰加密，若用MN公鑰能成功解密σM-F，則證明該消息是由MN發(fā)送的。同樣，在FA轉發(fā)給MN的注冊響應報文中，通過數字簽名σF-M以驗證FA的身份，FA和HA之間也可以通過注冊報文中各自的數字簽名進行雙向認證。在MN發(fā)送的注冊請求報文中，MN發(fā)出的隨機數RM-H通過HA公鑰PKH進行加密，只有HA才能解密。在HA返回給MN的注冊響應報文中，HA通過MN公鑰PKM對RH-M加密，只有MN的私鑰才能解密。此外，在MN發(fā)送的注冊請求報文中，MN對隨機數RM-H通過Hash函數生成消息摘要，再通過其私鑰SKM加密，形成數字簽名σM-H。HA利用RM-H和數字簽名σM-H，既可驗證MN的身份，又可保證隨機數RM-H在傳輸過程中不能被更改。同樣，MN可以通過HA返回的注冊應答報文中的數字簽名σH-M來驗證HA的身份，因而MN和HA也可以實現雙向認證。

3.3 注冊消息的機密性保護

注冊請求報文中的Request消息和注冊應答中的Reply消息均通過隨機對稱共享密鑰進行加密，且該共享密鑰通過數字信封技術進行保護。只有合法的接收方才能通過其私鑰解密數字信封得到共享密鑰，然后通過該對稱共享密鑰解密Request消息（或Reply消息）。以MN向FA發(fā)送的Msg1消息為例，MN通過數字信封技術加密Request消息和FA解密Request消息的過程如圖3所示。同時，每次移動注冊有一定的生存時間，且對稱共享密鑰由發(fā)送方隨機生成，MN在每次移動注冊中使用的共享密鑰互不相同，可有效防止密鑰猜測攻擊，充分保證注冊信息的機密性。

圖3 MN發(fā)往FA的Request消息的加密與解密

3.4 注冊消息的完整性保護

注冊請求報文和注冊應答報文中附加的數字簽名σM-F、σF-H、σH-F和σF-M等可以實現對注冊請求報文和注冊響應報文的完整性保護。以注冊請求報文Msg1為例，該報文可以分成M1和σM-F兩部分，FA解密 σM-F后，可得MN封裝的、對 M1的消息摘要digest1，同時FA可直接對M1通過Hash函數生成消息摘要digest2。如果M1被人為修改，將導致digest1和digest2不相等、不能通過驗證。因而，通過解密數字簽名、對Hash函數生成的消息摘要進行驗證，可以防止非法用戶對注冊報文的惡意篡改，保證注冊報文的完整性。

3.5 注冊消息的新鮮性保證

注冊請求報文和注冊響應報文中，均包含了用于防止重放攻擊的隨機數（如RM-H和RM-F），且隨機數通過接收方的公鑰加密后進行傳送，必須通過接收方的私鑰才能解密。同時，不同的注冊請求報文和注冊響應報文使用的隨機數不同，加密的隨機數既可以用來對接收方進行身份認證，又可標識不同的注冊請求報文和注冊響應報文，可有效防止攻擊者進行重放攻擊、保證注冊消息的新鮮性。

4 和其他注冊認證協議的比較

協議安全性和延時是注冊認證協議最重要的兩個性能指標，下面將從這兩個方面對本文提出的協議和相關協議進行比較和分析。

4.1 注冊認證安全性比較

表2給出了提出的協議與相關協議在安全性能方面的比較。

表2 相關協議的安全性比較

從表2可以看出，文獻[6]、文獻[11]和文獻[12]中提出的協議不能提供對MN密鑰的加密保護，存在MN密鑰泄露的安全風險。相比而言，本文提出的注冊認證協議能夠通過USBKey雙重認證方式實現對MN密鑰的加密保護，具有較高安全性能，可以更好地保證MN的注冊安全。

4.2 注冊認證延時比較

根據文獻[11-12，16]中提出的方法，對表2中相關協議的注冊認證延時進行了分析。在分析中使用的系統參數和密碼操作的時間與文獻[11]和文獻[12]中的參數一致。根據文獻[10]和文獻[12]，在文獻[6，11-12]中提出的認證協議，其注冊認證延時分別為96.2 ms、18.898 ms和22.873 ms。

同時，根據文獻[11]和文獻[16]中提出的方法，對本文提出的注冊認證協議延時（ms）計算如下：

相關協議的注冊認證延時比較如圖4所示。從圖4可以看出，文獻[6]中提出的協議其注冊認證延時最大，文獻[11]中提出的協議其注冊認證延時最小，而本文提出的協議的注冊認證延時與文獻[11]中的協議基本相當。這是因為文獻[6]中提出的協議雖然不涉及證書管理，但需進行復雜的對運算（Pairing Computation），而本文提出的協議和文獻[11]中的協議采用了無對運算的無證書數字簽名方案，因而具有較小的協議延遲。本文提出的協議通過USBKey輔助，實現對MN密鑰的加密保護，并且實現了MN、HA和FA的雙向身份認證，因而比其他相關協議具有更高的安全性，但在一定程度上引入了延時，因而比文獻[11]中的認證協議延時略大。

圖4 相關協議的注冊延時比較

5 結束語

針對無線移動IP中MN的注冊安全問題，本文提出了一種USBKey輔助的無證書注冊認證協議。雖然該認證協議需要增加USBKey硬件，但是USBKey的體積小、成本低、容易實現，且便于攜帶，適合移動IP中MN的網絡接入位置隨機變化的情況。該協議通過USBKey的雙重認證方式加強MN密鑰的安全性，并結合數字信封和數字簽名技術，實現相關協議實體身份的雙向認證和注冊信息的加密保護，可有效保證注冊信息的機密性和完整性，與其他相關協議相比，可以更好地保證MN的注冊認證安全。同時，在該注冊認證協議中，不需增加額外的協議報文，不涉及繁瑣的證書分發(fā)與管理，并且區(qū)別于傳統的USBKey認證，使MN周期性的移動注冊及其身份認證同步進行，具有比多數相關協議的注冊認證延遲更小的優(yōu)點。

參考文獻：

[1]Ahmad I，Kabir K，Choudhury T et al.Enhancing security in specialized use of mobile IP[C]//Proceedings of 2016 International Conference on Networking Systems and Security，Dhaka，Bangladesh，2016：1-9.

[2]姚瑤，王興偉.一種改進的移動IP注冊認證協議[J].東北師大學報：自然科學版，2011，43（2）：56-60.

[3]Eiza M H，Shi Q，Marnerides A et al.Secure and privacyaware proxy mobile IPv6 protocol for vehicle-to-grid networks[C]//2016 IEEE International Conference on Communications（ICC），Kuala Lumpur，Malaysia，2016：1-6.

[4]伍華鳳，戴新發(fā)，陳鵬.一種層次化移動IP接入認證機制[J].計算機工程，2008，34（24）：131-133.

[5]Cao X，Kou W，Li H.Secure mobile IP registration scheme with AAA from parings to reduce registration delay[C]//InternationalConferenceon Computational Intelligenceand Security，Guangzhou，China，2006：1037-1042.

[6]Zhang Manjun，Pei Changxing，Dang Lanjun.Efficient mobile IP registration in certificateless signature[C]//IEEE 24th International Conference on Advanced Information Networking and Applications Workshops，Perth，Australia，2010：363-366.

[7]Chenait M.LMIP/AAA：Local Authentication，Authorization and Accounting（AAA）protocol for mobile IP[C]//4th International Conference（ICGes，2008）.Berlin：Springer，2008：228-238.

[8]馬東，何大可，鄭宇，等.基于AAA的移動IP快速認證注冊方案研究[J].鐵道學報，2008，30（1）：98-103.

[9]鄭曉麗，姜迪剛.基于無證書公鑰的移動IP注冊協議認證[J].通信技術，2011，44（8）：127-129.

[10]馬華，劉雪，劉振華，等.一種高效的基于無證書公鑰的移動IP注冊協議[J].四川大學學報：工程科學版，2012，44（4）：135-139.

[11]許捷，黨嵐君，石光明.一種高效的AAA下無對的無證書移動IP注冊協議[J].西安電子科技大學學報：自然科學版，2014，41（2）：51-56.

[12]賈宗璞，田肖，李賀.一種基于三方密鑰協商的移動IP注冊協議[J].計算機工程與科學，2015，37（3）：492-496.

[13]張剛，石潤華，仲紅.車載自組織網絡中基于身份的匿名認證方案[J].計算機工程與應用，2016，52（17）：101-106.

[14]曹喆，王以剛.基于USBKey的身份認證機制的研究與實現[J].計算機應用與軟件，2011，28（2）：284-286.

[15]Wu K，Hu B，Zhou X，et al.A new technology for quick online payment based on USBKEY[C]//2015 6th IEEE International Conference on Software Engineering and Service Science，Beijing，China，2015：916-919.

[16]He D，Chen J，Zhang R.An efficient and provably secure certificateless signature scheme without bilinear pairings[J].International Journal of Communication Systems，2012，25：1432-1442.