CN100393034C - 一种应用于组播通信系统中的源认证方法 - Google Patents

Abstract

本发明公开了一种应用于组播通信系统中的源认证方法，属于计算机安全技术领域。本发明的技术方案为：对每一个参与组播通信的成员提供一个身份凭证，用来在组播客户和认证中心之间进行双向认证，确定通信各方的传输密钥和客户公私钥；在组播信息传输时，采用基于事件序列的源认证方案对传输的信息进行签名认证，保证组播信息的发送者即为其声明的发送者。本发明的技术方案具有成本低、扩展性好、快速认证、抗丢失性好等特点，能够有效提高组播应用场景下低端接收者的效率。

Description

一种应用于组播通信系统中的源认证方法

技术领域

本发明涉及一种应用于组播通信系统中的源认证方法，它属于计算机安全技术领域。

背景技术

现有的组播通信体系是一种开放的通信系统，其特点是：信源确定，信宿明确而不具体，即在任一时刻，参与某组播系统的主机中一定有信源，但信宿数量通常是不固定的，甚至为零个信宿；而且，组播通信系统不提供数据源鉴别服务机制，使得任意主机都可以向任意组播组发送数据。这就意味着任何主机都可混杂信源主机的组播数据或冒充信源主机组播数据，这是目前组播通信系统组播安全中一个极其严重的问题。因此，为了对组播进行有效监控，需要对组播进行源监控，对已识别的组播组成员发送的信息进行拦截、过滤。如果没有组播源的认证(验证)，恶意的攻击者向组播组发送数据是轻而易举的事，而该组接收者由于无从判别而只得接受攻击者的数据。

在单播通信系统中，使用纯粹的对称加密机制就可以提供数据包的认证，即发送者和接收者共享一个密钥计算信息认证码。当一个带着信息认证码的信息到达时，接收者验证正确即可确认是由发送者产生的该消息。但在组播通信系统中，再使用对称加密机制认证就不是很安全了。因为根据组播通信系统的特点，如果每个接收者都知道该密钥，则很有可能冒充发送者伪造信息发送给其它接收者。另外，由于在组播环境中对数据认证有较高的要求，即需要在有包丢失、发送者不知道接收者状态的情况下，高效地认证数据包。这使得在组播环境中仍然使用对称加密机制进行源认证是行不通的。

通过使用非对称加密机制可实现组播系统的源认证，使每个接收者只通过检验它接收到的认证信息而不必产生认证信息实现对组播源的认证。通常，非对称机制是使用非对称密钥技术产生的，如数字签名。但是，由于非对称加密技术的高成本，使得这个方法只能用于低速的数据流，并且要求发送者和接收者是强大的工作站。

使用对称加密机制还是非对称加密机制对信息源进行认证不是绝对的。纯粹使用对称密钥技术，如仅仅使用对称密钥信息认证码对信息源认证，目前还不可能达到组播的源认证。因此，提供一个成本低、认证速度快、抗丢失性好的能够满足需求的组播源认证机制，是组播安全服务中需要重点解决的问题。

发明内容

鉴于上述原因，本发明的目的是提供一种应用于组播通信系统中的源认证方法，使得在组播环境中能够确认组播信息的信息源。

为实现上述目的，本发明采用以下技术方案：一种应用于组播通信系统中的源认证方法，它包括以下步骤：1、对每一个参与组播通信的成员提供一个身份凭证，用来在组播客户和认证中心之间进行双向认证，确定通信各方的传输密钥和客户公私钥；2、在组播信息传输时，采用基于事件序列的源认证方案对传输的信息进行签名认证。

在所述的双向认证过程中，被许可的组通信成员首先向认证中心注册他的授权身份识别号，并使用类似Diffie-Hellmen算法生成口令交付认证中心保存，为防止重放攻击，本发明设计了被动防御和主动防御措施，认证消息的因果关系和顺序被设计成逻辑时钟同步和事件顺序一致性。每一条消息中，消息发送设置一个一次性随机值给接收方作为发送应答的消息“随机数值链”上链标识；并且，通过设定时戳和时限来实现消息的时效性，解决相对离散的每次应答的时间一致问题。

基于事件序列的源认证方法是只对接收端数据包中的一部分进行单独认证，其它的包则依赖这些已认证的包得到认证。这就要求已认证的包携带下一待认证包的认证信息，那么这些已认证包中所附的后续认证信息环环相扣形成一个链。这个链是在发送端根据数据包发送的序列(顺序或逆序)构造的，那么在接收端，按照这个链中的认证顺序认证数据包。

本发明采用上述源认证方法的有益效果是：

1、采用双向身份认证，使得认证中心在认证客户身份的时候，客户同样能够对认证中心进行认证，可有效地抵御中间人攻击。同时，使用随机数值链，又能够很好的抵抗重放等攻击。

2、减少源认证所需的成本。由于网络传输路径的不确定性以及其它原因，经常会发生乱序现象，即造成在接收端收到的数据包顺序与发送端发送的数据包顺序不一致。如果对每个包都单独的进行源认证，那么通讯成本、计算成本就会非常高。本发明使用的基于事件序列的源认证方案很好的解决了这个问题，具有成本低、扩展性好、快速认证、抗丢失性好等特点。

附图说明：

图1为本发明双向身份认证时认证中心的流程图

图2为双向链示意图

图3为点名单的包结构

图4为组播用户发送组播数据的流程图

图5为组播用户接收组播数据的流程图

具体实施方式

本发明公开的应用于组播通信系统中的源认证方法是以非对称密钥技术为主的源认证方法，并且集成了一些现有的技术手段，如：Diffie-Hellman密钥交换算法，单向散列算法，RSA公开密钥算法等。

下面结合附图和实例对本发明作详细说明。

本发明提供的应用于组播通信系统中的源认证方法包括两步骤：

1、为每一个参与组播通信的成员提供一个身份识别号，在组播通信过程中首先进行组播客户和认证中心之间身份的双向认证；

2、在组播信息传输时，采用基于事件序列的源认证方案对传输的信息进行签名认证。

在双向身份认证时，被许可的组通信成员A向认证中心S注册他的授权身份识别号IDa；并使用Diffie-Hellmen算法生成一个组通信成员身份认证的凭据Ya交付认证中心保存，算法大体如下：

X_a＜p，X_s＜p.

$Y_a=a^{X_a}\mathrm{mod}\left(p\right)..........[A.0.1]$

$Y_s=a^{X_s}\mathrm{mod}\left(p\right)..........[A.0.2]$

$K_{\mathrm{as}}={\left(Y_a\right)}^{X_s}\mathrm{mod}\left(p\right)={\left(Y_s\right)}^{X_a}\mathrm{mod}\left(p\right).......[A.0.3]$

已知素数p及其原根整数a∈Z*p。Xa，Xs是随机数，由组通信成员随机生成Xa并计算出Ya作为组通信成员的身份认证的凭据，预先交付认证中心保存、直到下一次该用户改变。在每次认证会话时，认证中心都随机地给出Xs，并计算出Ys发送给组通信成员A生成通话密钥Kas。

尽管Xa和Ya相对不变，但由于每次认证会话，认证中心都随机地指定Xs，进而随机地改变Ys，最终令通话密钥Kas成为一次性的随机密钥，增加对手分析密钥的难度。

认证消息的时效性(Ts)通过时戳(Time-stamp)和时限(Life-time)实现，相对离散的每次应答是两两交互消息组成，因果关系和事件顺序需要具有惟一和互斥性质。本发明采用前后两两消息中分别加入同一个一次性随机值(Nonce)构成“随机数值链(N_a)”，解决认证过程在分布式环境中遇到的“事件顺序一致性”问题。

每一条消息中，消息发送设置一个一次性随机值(N_a)给接收方作为发送应答的消息“随机数值链”上链标识。并且，通过设定时戳和时限来实现消息的时效性(T_s)，解决相对离散的每次应答的时间一致问题。

也就是说，一次性随机值(Na)作为消息链标识，链接整个协议过程。防止“米特尼克”攻击、消息的时效值(Ts)和“随机数值链”标识则用于防范“重放攻击”。

双向认证过程中每条消息的结构相同。为求简洁，每条消息的单向杂凑值均表示为H(mi)，形式如下所示：

$M_i.P\→Q:{\{m_i,{\left\{H\left(m_i\right)\right\}}_{K_p^{-1}}\}}_{K_q},$ i＝1，2，3，4；

因此，其的消息序列可描述为：

$M_1.A\→S:{\{T_a,N_a,S,X_1,{\left\{H\left(m_1\right)\right\}}_{K_a^{-1}}\}}_{K_s};$ 其中m₁＝(T_a，N_a，S，X₁)，X₁＝ID_a

$M_2.S\→A:{\{N_a,N_s,A,X_2,{\left\{H\left(m_2\right)\right\}}_{K_s^{-1}}\}}_{K_a};$ 其中m₂＝(N_a，N_s，A，X₂)， $X_2=(Y_s,{\{{N^{\′}}_s,T_s\}}_{K_{\mathrm{as}}}).$

$M_3.A\→S:{\{N_s,{N^{\′}}_a,S,X_3,{\left\{H\left(m_3\right)\right\}}_{K_a^{-1}}\}}_{K_s};$ 其中m₃＝(N_s，N′_a，S，X₃)， $X_3={\{{N^{\′}}_s,{N^{\′\′}}_a,\mathrm{mgroup}\}}_{K_{\mathrm{as}}}$

$M_4.S\→A:{\{{N^{\′}}_a{,A,X}_4,{\left\{H\left(m_4\right)\right\}}_{K_s^{-1}}\}}_{K_a};$ 其中m₄＝(N′_a，A，X₄)， $X_4={\{{N^{\′\′}}_a,\mathrm{warrant}\}}_{K_{\mathrm{as}}}$ ，

warrant＝(type，iv，K_mgroup)。

其中，mgroup表示申请的组播组地址，Kmgroup表示组播组的通信传输密钥。用户和认证中心进行认证时，认证中心的程序流程图如图1所示。具体过程如下：

(1)、接收用户向认证中心发送的用户公钥。

(2)、认证中心向用户发送认证中心的公钥。

(3)、接收用户向认证中心发送的用户认证请求，其中用户认证请求的内容格式如上面消息序列中的M1所示，消息中包含了用户时间戳T_a、随机值N_a、身份识别号ID_a，将这些内容采用单向杂凑算法生成一个单向杂凑值，用户使用用户的私钥进行签名，最后将这些内容连同用户的签名一起用认证中心的公钥加密，最终形成用户认证请求。

(4)、认证中心用认证中心的私钥对用户认证请求解密，并验证用户的签名，提取用户的身份识别号ID_a，检查用户是否存在错误记录，如果存在错误记录，则结束此次身份认证，不进行组播通信；如果没有错误记录，则随机地生成一个X_s，并计算出Y_s，然后根据预先保留的Y_a计算此次会话的密钥K_as，并生成两个随机数N_s和N_s’。

(5)、认证中心向用户发送认证请求响应，认证请求响应的内容格式如上面消息序列中的M2所示，消息中包含了认证中心的时间戳T_s、随机值N_s和N_s’以及认证中心生成的Y_s，其中N_s’、T_s、和Y_s将由会话的密钥K_as进行加密，生成的密文将和随机值N_s以及先前收到的用户随机值N_a采用单向杂凑算法生成一个单向杂凑值，再使用认证中心的私钥对这个单向杂凑值进行签名，最后将生成的密文和随机值N_s以及先前收到的用户随机值N_a连同用户的签名一起用用户的公钥加密，最终形成认证请求响应。

(6)、接收客户向认证中心发送的用户认证响应，用户认证响应的内容格式如上面消息序列中的M3所示，消息中包含了用户生成的随机值N_a’和N_a”、用户还原认证中心的认证请求响应得出的N_s和N_s’以及用户申请加入的组播组地址mgroup，其中N_s’、N_a”、和mgroup将由用户生成的会话密钥K_as进行加密，生成的密文将和随机值N_a’以及先前收到的认证中心随机值N_s采用单向杂凑算法生成一个单向杂凑值，再使用用户的私钥对这个单向杂凑值进行签名，最后将生成的密文和随机值N_a’、N_s连同用户的签名一起用认证中心的公钥加密，最终形成用户认证响应。

(7)、认证中心判断自己生成的随机数N_s和N_s’与接收的用户认证响应中给出的N_s和N_s’是否相同，如果不一致，则结束此次身份认证，不接受用户的请求，并在错误记录中添加该用户的记录；如果一致，通过此次身份认证，认证中心可以根据用户申请的组播组地址，组播通信的传输密钥等信息发送给用户，消息格式如上面消息序列中的M4所示。组播用户经过认证获取了组播通信的传输密钥后便可进行组播通信。

经过认证后，组播通信成员即可获取组播通信的传输密钥等信息，同时将自己的公钥发送给了认证中心，以便组播通信时进行源认证。

组播用户进行通信时，发送端首先基于事件序列的源认证方案采用将数据包进行分组，对每个分组的组头包单独进行签名，组内包包含前后数据包的HASH值构成双向HASH链。双向HASH链是在每一分组的数据包上有两条方向不同的HASH链，一条链是前一个包的HASH值附在后一个包上，另一条链是后一个包的HASH值附在前一个包上。当使用其中一条链无法认证时，使用另一方向的HSAH链可以得到认证。由于HASH值校验的快速性和双向链的抗丢失性，该方法具有快速认证和抗丢失的优点。如图2所示。

当有包丢失时，等待下一分组组头包的到来，再根据从后向前的HASH链得到认证。若发生“孤岛”情况，即接收到的包前后链都断，这时等待“点名单”到来再认证。

点名单来源于生活中使用点名来核对人员的思路。点名的含义是在见到一些人之前已经有一个花名册，这个花名册中包括这些人的基本资料，以备点到某个人时核对。本文中的点名单技术采用这个思想用于提高源认证的抗丢失性。

将一些数据包的HASH值集中起来存储在一个包中，当需要认证时，从这个包中分别取出需要认证的某个包的HASH值，通过计算比较，即可获得认证。该方法的前提是存放多个HASH值的数据包应首先得到身份确认，如使用数字签名等。点名单的包结构如图3所示。

进行组播通信时，发送端首先缓存一个分组的数据后，构造保护ESA认证信息的数据包，然后发送各数据包给该组成员。该数据包的构造如图2所示，每一个包中具体包括：

第i个数据包的信息Mi；

第i个数据包的HASH值H’i，它是后一个数据包的信息Mi+1和它所包含H’i+1的HASH值，即H’i＝H(Mi+1+H’i+1)；

第i个数据包的HASH值Hi，它是前一个数据包的信息Mi-1和它所包含Hi-1的HASH值，即Hi＝H(Mi-1+Hi-1)；

每个分组开头包还包括：

第i个数据包的UMAC值Ui＝UMAC((Mi，Hi，H’i)，K，noncei)，K为组密钥，nonce为随机数；

第i个数据包中对UMAC的签名：Sig(Ui)，并带上该包的随机值noncei。

图4为组播通信过程中组播用户发送组播数据的流程图。发送端主要是按照上述方法生成数据包，然后向该组成员发送各数据包。

图5为组播通信过程中组播用户接收组播数据的流程图。当接收端接收到初始化参数签名包时，首先校验签名是否正确，然后获得各种认证所需的参数。

当接收到的是组头包时，首先检查该包的随机值noncei，用于防范伪造和重放攻击。判断noncei序列号是否是最新的，再看noncei是否是这个单行链中的一部分：根据以前接收到的已认证的noncej，(j＜i)，计算是否noncej＝Fi-jnoncei。如果是，则可以认为noncei是第i个包的随机值，如果不是，则说明noncei为假冒或是以前数据包随机值的重发，丢弃。确认noncei后可直接计算nonce’i＝F’(noncei)，再计算UMAC((Mi，Hi，H’i)，K，noncei)，用发送者的公钥验证签名是否与计算的UMAC值相符，如果是，则证明Mi和Hi，H’i正确。

当接收到的是组内包时，检查包中的随机值，以防止重放攻击。安全性检查通过后，判断是否第i-1数据包存在且已被认证，若是，直接用第i-1包中的H’i-1来验证第i个包的正确性，如果不是，则缓存该包，等待下一分组开头包的到来，然后使用正序链来逐个验证未认证的包。如果逆序链和正序链都不能认证，则等待点名单的到来，再认证。

本发明的技术方案具有成本低、扩展性好、快速认证、抗丢失性好等特点，能够有效地保证组播通信安全，提高组播应用场景下低端接收者的效率。

Claims (4)

1.一种应用于组播通信系统中的源认证方法，其特征在于：该方法包括以下步骤：

第一步：为每一个参与组播通信的成员提供一个身份凭证，在组播通信前，首先对组播通信成员进行身份认证：具体认证步骤如下：

(1)、认证中心接收用户向认证中心发送的用户公钥；

(2)、认证中心向用户发送认证中心的公钥；

(3)、认证中心接收用户向认证中心发送的用户认证请求；

(4)、认证中心用认证中心的私钥对用户认证请求解密，并验证用户的签名，提取用户的身份识别号ID_a，检查用户是否存在错误记录，如果存在错误记录，则结束此次身份认证，不进行组播通信；如果没有错误记录，则随机地生成一个X_s，并计算出Y_s，计算公式为：

$Y_s=a^{X_s}\mathrm{mod}\left(p\right)$

其中，p为已知素数，a为p的原根整数a∈Z*p；

然后根据预先保留的Y_a计算此次会话的密钥K_as，并生成两个随机数N_s和N_s’；

(5)、认证中心向用户发送认证请求响应消息，其消息序列描述为：

$M_2.S\→A:{\{N_a,N_s,A,X_2,{\left\{H\left(m_2\right)\right\}}_{K_s^{-1}}\}}_{K_a};$

其中S表示认证中心，A表示用户，Ka为用户私钥，  Ks^-1为认证中心私钥的倒数，M₂表示认证请求响应消息，M₂.S→A表示认证中心向用户发送的认证请求响应消息，H(m₂)表示认证请求响应消息M₂的单向杂凑值，m₂＝(N_a，N_s，A，X₂)， $X_2=(Y_s,\{{N^{\′}}_s,T_s{\}}_{K_{\mathrm{as}}});$ N_a、N_s和N_s’均为随机值；T_s为认证中心的时间戳；

(6)、接收客户向认证中心发送的用户认证响应；

(7)、认证中心判断自己生成的随机数N_s和N_s’与接收的用户认证响应中给出的N_s和N_s’是否相同，如果不一致，则结束此次身份认证，不接受用户的请求，并在错误记录中添加该用户的记录；如果一致，通过此次身份认证，认证中心根据用户申请的组播组地址，将组播通信的传输密钥发送给用户；组播用户经过认证获取了组播通信的传输密钥后便可进行组播通信；

第二步：在组播信息传输时，采用基于事件序列的源认证方案对传输的信息进行签名认证；

具体方法是：将数据包进行分组，只对每个分组的组头包单独进行签名，组内包则通过前后数据包中的HASH值所构成双向HASH链来进行认证。

2.根据权利要求1所述的一种应用于组播通信系统中的源认证方法，其特征还在于：所述第一步中的身份认证为双向身份认证，认证中心认证组播通信成员身份的同时，组播通信成员同样对认证中心进行认证。

3.根据权利要求2所述的一种应用于组播通信系统中的源认证方法，其特征还在于：所述第一步中的双向身份认证过程使用了随机数值链，确定通信各方的传输密钥和客户公私钥。

4.根据权利要求1所述的一种应用于组播通信系统中的源认证方法，其特征还在于：所述第二步采用的基于事件序列的源认证方案对发生的通信数据包前向后向HASH链均中断而产生的“孤岛”情况，采用“点名单”的方法进行认证。

Images