CN110191457A

CN110191457A - 去同步化的全球移动漫游网络匿名认证和密钥协商方法

Info

Publication number: CN110191457A
Application number: CN201910153054.4A
Authority: CN
Inventors: 周文娟; 许光全; 刘佳
Original assignee: Tianjin University
Current assignee: Tianjin University
Priority date: 2019-02-28
Filing date: 2019-02-28
Publication date: 2019-08-30

Abstract

本发明属于信息技术安全领域，为实现相互认证、动态随机ID、去同步化，以抵御常见的重放攻击、篡改攻击、伪造攻击等，验证协议的高效性。本发明，去同步化的全球移动漫游网络匿名认证和密钥协商方法，由四个阶段组成：移动用户MU注册阶段，移动用户MU与漫游域服务器代理FA相互认证及会话密钥协商阶段，移动用户MU更新密码阶段以及移动用户与本地服务器代理HA之间共享密钥更新阶段；当移动用户在本地即SIM卡归属地使用手机进行网上漫游时，智能卡只需与本地代理服务器HA进行同行就可以提供网络服务给用户，但是，当用户离开智能卡归属地，智能卡需要进行相互的身份认证，FA才会提供网络服务。本发明主要用于移动通信场合。

Description

去同步化的全球移动漫游网络匿名认证和密钥协商方法

技术领域

本发明属于信息技术安全领域，涉及密码算法、消息认证码MAC技术以及三方认证，实现全球移动网络漫游服务认证安全和隐私保护的目的。

背景技术

移动网络的快速发展极大地方便了人们的生活。当用户从一个地方移动到另一个地方时，全球移动网络(Global Mobile Networks-GLOMONET)确保行进的无线设备用户(Mobile User-MU)保持连接到网络而不会断开连接。在本地代理服务器(Home Agent-HA)的帮助下，全球移动网络(GLOMONET)可以识别合法用户，并允许合法的移动用户随时随地使用漫游服务(Foreign Agent-FA)。无线漫游网络的模型如图1所示。然而，移动网络中的数据传输容易受到各种攻击，特别是重放攻击，这可能导致许多安全风险，如用户隐私数据丢失，系统瘫痪等。因此，有必要设计安全的相互认证和密钥协商(Mutual Authenticationand Key Agreement-MAKA)协议。为了确保用户的隐私，GLOMONET中的匿名通信是一个迫切需要解决的问题。另外，由于移动设备的计算能力有限，它要求协议必须高效轻便。

在过去几年中，已经提出了许多用于GLOMONET的MAKA协议。2006年，Lee等人提出了一种新的无线环境匿名认证方案。但是，在Wu等人的论文中分析了Lee等人的协议未能提供用户匿名，他们通过提供有效的补救措施提出了一个增强的方案。Yoon等人在2011 提出了一种用于无线通信的匿名用户友好认证方案。但是Li等人(2012)发现Yoon等人设计的方案易受内部攻击，无法实现用户匿名。基于Yoon等人的协议，Li提出了一种更加安全有效的认证方案，该方案具有漫游服务和移动通信的用户匿名性。但是，Kai等人在2016 年发表Li等人设计的方案易受重放攻击和DDoS攻击。此外，Li的方案没有清楚地解释如何获得相应的会话密钥以及不同用户之间的关系，因此Li的方案缺乏完整性。Kai等人提出了一种具有漫游服务和用户匿名性的新型移动通信认证方案。在2011年，Zhou等人在2011年基于决策Diffie-Hellman(DDH)假设独立地提出了MAKA方案。Gope等人指出Zhou等人的协议很容易受到回复攻击和内部攻击，并提出了一个新方案。在本文中，我们指出Gope 等人的方案容易受到重放攻击，并且存储负担很大。此外，他们使用序列号机制实现匿名，这通常会导致用户和服务器之间失去同步。我们为GLOMONET中的匿名漫游服务提出了一种新的高效MAKA协议，它可以解决Gope-Hwang协议中已发现的缺点，并能够提供具有合理计算和存储开销的安全漫游服务。

发明内容

为克服现有技术的不足，本发明旨在提出一种全球移动漫游网络下的安全高效的匿名认证和密钥协商协议，实现相互认证、动态随机ID、去同步化，以抵御常见的重放攻击、篡改攻击、伪造攻击等。使用AVISPA模拟协议，验证协议的安全性。通过和其他主流协议进行对比，验证协议的高效性。为此，本发明采取的技术方案是，去同步化的全球移动漫游网络匿名认证和密钥协商方法，由四个阶段组成：移动用户MU注册阶段，移动用户MU与漫游域服务器代理FA相互认证及会话密钥协商阶段，移动用户MU更新密码阶段以及移动用户与本地服务器代理HA之间共享密钥更新阶段；当移动用户在本地即SIM卡归属地使用手机进行网上漫游时，智能卡只需与本地代理服务器HA进行同行就可以提供网络服务给用户，但是，当用户离开智能卡归属地，到达其他地方想要通过手机SIM卡进行网上漫游时，智能卡需要与漫游域代理服务器FA进行相互的身份认证，FA才会为MU提供网络服务；具体地，阶段Ⅰ：MU 注册阶段：

这一阶段发生在MU首次使用移动电话向HA请求网络资源时，在此之前，MU需要提供真实身份给HA进行注册，HA通过验证MU身份的合法性来判断是否要为该用户提供网络服务，如果用户身份合法，HA将发送一个共享密钥到用户手机的智能卡中，供他们以后通信使用。以上过程中用户个人信息及密钥的传输均通过安全信道进行：

1)一个新的移动用户MU，通过安全信道发送自己的真实身份ID_M给HA；

2)HA收到ID_M之后，使用哈希hash函数以及对称加密方法生成两个参数：MU和HA之间共享的密钥K_uh以及MU的假名EID，其中EID是为了保护移动用户的隐私，提供用户匿名性，防止网络攻击者通过分析用户发送的消息而发现用户的真实身份，然后HA在本地数据库存储ID_M,K_uh，并将ID_M,K_uh通过安全信道发送给MU；

3)当收到HA的消息之后，MU生成密码PSW_M，然后计算 MU使用EID^*取代EID，取代K_uh，智能卡里的信息为h(.)表示hash函数。

阶段Ⅱ：MU与FA相互认证及会话密钥协商阶段

发生在MU离开手机号码归属地，在归属地之外进行网上漫游之时，首先MU和FA需要在HA的帮助下相互验证身份，然后，HA与MU建立会话密钥：

1)MU生成随机数N_m，将N_m,ID_M,PSW_M提交到智能卡中，然后MU推导出计算 V₁＝h(EID||N_x||T₁||ID_M||K_uh)，发送消息给FA，其中T₁是消息的有效时间；

2)当收到消息后，FA检查当前时间是否在T₁内，如果不是，协商立即终止；如果是，FA生成随机数N_f，计算V₂＝h(EID||N_x||N_y||T₂||K_fh||N_f)，发送消息给HA，其中T₂是消息的有效时间；

3)当收到消息后，HA检查当前时间是否在T₂内，如果不是，协商立即终止；如果是，HA计算检查如果不相等，协议立即终止；如果相等，HA解密EID得到MU的真实身份ID_M||n₀＝D_k(EID)；HA生成随机数n₀，计算检查如果不相等，协商立即终止；如果相等，HA生成随机数n₁用于生成MU的新假名，计算D＝E_k(ID_M||n₁)，推出然后HA发送消息给FA；

4)收到消息后，FA计算检查如果相等，FA推导出计算发送消息给MU；

5)收到消息后，MU计算检查如果验证成功， MU推导出计算用FID替代EID。至此，完成了MU和FA的相互认证、密钥协商和MU的假名更新。

阶段Ⅲ：MU更新密码

具体地，MU首先输入旧密码PSW_M和新密码然后计算最后用替代智能卡中的用EID^**替代智能卡中的EID^*，至此，密码更新完成。

阶段Ⅳ：共享密钥更新

这一阶段由HA和MU共同完成，HA为了保证与用户之间通信的安全性，需要定期更新与MU的共享密钥。

首先MU通过安全信道发送真实身份ID_M给HA，HA计算K_uh＝h(ID_M||n_h)，然后通过安全信道发给MU，收到消息后，MU更新智能卡中的共享密钥。

本发明的特点及有益效果是：

经分析，我们的协议能够满足相互认证、密钥协商、去同步化、匿名性、低存储和计算负担的需求，能够抵御智能卡丢失攻击、伪造攻击、重放攻击以及已知会话密钥攻击。

1.相互认证：HA通过消息中的ID_f认证FA，FA通过验证消息中的V₃认证HA，HA通过EID认证MU，MU通过验证消息中的V₄认证HA；

2.密钥协商：会话密钥是N_m来自MU，N_f来自FA，n₀来自HA。通过这种方式建立了公平的会话密钥；

3.去同步化：我们的协议使用对称加密方法实现了去同步化，因为MU的假名仅存储于智能卡中，HA并不存储，MU和HA并不需要维持假名的同步。

4.匿名性和动态随机伪ID：使用动态随机伪ID实现了MU的匿名性，MU假名只能被HA解密，当一次认证完成后，MU的假名会随机更新；

5.低存储和计算负担：协议主要使用密码原语：异或操作和哈希操作；

6.抵御各种网络攻击：

1)智能卡丢失攻击：因为智能卡中的所有信息都是加密的，除非攻击者知道了MU的真实身份ID_M和密码PSW_M，才能进行解密，这在计算上是不可行的。

2)伪造攻击：只有合法的用户才能计算V₁和V₂，即使攻击者拦截了消息由于不知道MU的真实身份ID_M和密码PSW_M，也无法计算有效的时间戳T₁，消息也是如此。

3)重放攻击：时间戳代表消息的有效时间。当当前时间超过了消息的有效时间，就代表消息是被攻击者重放的。

4)已知会话密钥攻击：因为会话密钥是由三个随机数生成的，每次是不同的且没有规律的。通过这种方式，能够抵御已知会话密钥攻击。

附图说明：

图1：全球移动漫游网络模型。

图2：注册阶段。

图3：相互认证和密钥协商阶段。

图4：协议模拟中各角色描述。

图5：本发明流程图。

图6：分析结果。

图7：各协议执行时间对比。

具体实施方式

1.发明内容

本发明由四个阶段组成，协议中的符号说明见表1。

表1：符号说明

·阶段Ⅰ中，MU使用真实身份通过安全信道在HA中注册。

·阶段Ⅱ中，MU和FA可以在HA的帮助下相互验证。在身份验证之后，他们可以建立会话密钥。

·阶段Ⅲ中，MU更新自己的密码。

·阶段Ⅳ中，MU和HA更新共享密钥。

阶段Ⅰ：注册阶段

在此阶段，MU使用真实身份通过安全通道在HA中注册。注册后，MU获得一张存储认证信息的智能卡，图2描绘了该阶段的过程。

1)一个新的移动用户MU，通过安全信道发送自己的真实身份ID_M给HA。

2)HA收到ID_M之后，生成两个随机数n_h和n₀，然后计算K_uh＝h(ID_M||n_h)和 EID＝E_k(ID_M||n₀)，其中生成EID使用的加密密钥k是仅有HA知道的密钥。K_uh是MU和HA 之间共享的密钥，EID是MU的假名。然后HA存储ID_M,K_uh，将消息{EID,K_uh,h(.)}通过安全信道发送给MU。

3)当收到HA的消息之后，MU生成密码PSW_M。然后计算 MU使用EID^*取代EID，取代K_uh。智能卡里的信息为

阶段Ⅱ：相互认证和密钥协商阶段

在此阶段，MU和FA可以在HA的帮助下相互验证。在身份验证之后，他们可以建立会话密钥。我们使用动态随机伪ID来实现匿名，并引入时间戳机制来抵抗重放攻击。此外，对称加密的使用实现了去同步，这使我们的协议高效且轻量级，图3描绘了该阶段的过程。

1)MU生成随机数N_m，将N_m,ID_M,PSW_M提交到智能卡中。然后MU推导出计算V₁＝h(EID||N_x||T₁||ID_M||K_uh)，发送消息给FA，其中T₁是消息的有效时间。

2)当收到消息后，FA检查当前时间是否在T₁内，如果不是，协议立即终止。如果是， FA生成随机数N_f，计算V₂＝h(EID||N_x||N_y||T₂||K_fh||N_f)，发送消息给HA，其中T₂是消息的有效时间

3)当收到消息后，HA检查当前时间是否在T₂内，如果不是，协议立即终止。如果是， HA计算检查如果不相等，协议立即终止；如果相等，HA解密EID得到MU的真实身份ID_M||n₀＝D_k(EID)。HA生成随机数 n₀，计算V₁ ^*＝h(EID||N_x||T₁||ID_M||K_uh)，检查如果不相等，协议立即终止；如果相等， HA生成随机数n₁用于生成MU的新假名，计算D＝E_k(ID_M||n₁)，推出然后HA发送消息给FA。

4)收到消息后，FA计算检查如果相等，FA推导出计算发送消息给MU。

阶段Ⅲ：密码更新阶段

MU可以在更新自己的密码，MU输入旧密码PSW_M和新密码然后计算然后用替代智能卡中的用EID**替代智能卡中的EID*，至此，密码更新完成。

阶段Ⅳ：共享密钥更新

MU和HA可以更新他们之间的共享密钥，首先MU通过安全信道发送真实身份ID_M给HA， HA计算K_uh＝h(ID_M||n_h)，然后通过安全信道发给MU，收到消息后，MU更新智能卡中的共享密钥。

2.安全性验证

1)AVISPA模拟协议验证安全性

我们使用AVISPA来模拟我们的协议，自动分析验证协议的安全性。AVISPA经常被用来验证协议的安全性，协议模型使用HLPSL语言，是一个基于角色的语言。我们的协议实现了三个主要角色：MU、HA、FA以及其他辅助角色：session、environment、goal。协议中的六个主要角色的规范化描述如图4所示，MU、HA和FA的初始状态均为0，当角色在协议中进行通信是，它的状态会变成1，及激活态。触发他们状态转移的函数为send()函数。session 表示一个会话中的参与者，我们协议的会话组成是角色MU、角色HA以及角色FA。environment 定义了协议的运行环境，包括攻击者事先知道的信息：代理服务器的名称和hash函数。

协议流程如图5所示，该流程主要描述了MU在离开手机号码归属地，到达FA所辖范围时，如何通过HA的帮助与FA进行身份认证并协商出共享密钥。协议流程主要包括：(1)MU一旦收到开始信号，他的状态由0变为1。然后使用Send()方法发送消息给FA。(2)当 FA收到来自MU的消息后，状态由0变为1并且发送消息给HA。(3)当HA收到来自 FA的消息后，状态由0变为1并且发送消息给FA。(4)当FA收到来自HA的消息后，状态由1变为0并且发送消息给MU。(5)AVISPA检测模拟结果是否满足goal中设定的安全目标，以此来检验协议的安全性。至此，完成了一个会话组的模拟，为了验证我们的协议在收到攻击者的情况下的安全性，我们还进行了另外三组会话模拟，分别是攻击者模拟 MU进行通信，攻击者模拟HA进行通信，攻击者模拟FA进行通信。三组模拟流程同如图5所示，只是攻击者在三组模拟中分别扮演MU,HA和FA的角色。

分析结果如图6所示，结果“SAFE”表示我们的协议是安全的，具体地，模拟过程中遍历的总节点数为5374、搜索深度为14、搜索时间是12.44秒。模拟结果表明，我们的协议是安全的。

2)计算效率对比实验

我们选取了四个主流协议(Lee等人2006，Mun等人2012，Gope等人2015，Reddy等人2016)进行对比实验。

各协议使用的密码算法及数量如表2所示。

表2：各算法的执行时间

使用Python的密码学工具集pycrypto模拟了密码算法的执行过程，硬件环境为：Linux kali 4.6.0 64bit,Intel Core i5-3210M CPU of 3.20GHz,2GB RAM。我们假设Hash函数是MD5，对称加解密操作是ECB模式，公钥加解密是RSA。因为加解密时间是不同的，为了精确，加密和解密的时间分开统计。另外，考虑到算法执行的随机性，我们统计了十次执行时间和平均值，如表3所示。据此，我们估算了各协议的运行时间，Lee等人，Mun等人，Gope 等人，Reddy等人以及我们的协议的执行时间分别是：0.22348s，0.05283s，0.00125s，0.07910s 和0.00113s，很明显，我们的协议的计算效率是最好的。

Claims

1.一种去同步化的全球移动漫游网络匿名认证和密钥协商方法，其特征是，由四个阶段组成：移动用户MU注册阶段，移动用户MU与漫游域服务器代理FA相互认证及会话密钥协商阶段，移动用户MU更新密码阶段以及移动用户与本地服务器代理HA之间共享密钥更新阶段；当移动用户在本地即SIM卡归属地使用手机进行网上漫游时，智能卡只需与本地代理服务器HA进行同行就可以提供网络服务给用户，但是，当用户离开智能卡归属地，到达其他地方想要通过手机SIM卡进行网上漫游时，智能卡需要与漫游域代理服务器FA进行相互的身份认证，FA才会为MU提供网络服务；具体地，阶段Ⅰ：MU注册阶段：

这一阶段发生在MU首次使用移动电话向HA请求网络资源时，在此之前，MU需要提供真实身份给HA进行注册，HA通过验证MU身份的合法性来判断是否要为该用户提供网络服务，如果用户身份合法，HA将发送一个共享密钥到用户手机的智能卡中，供他们以后通信使用，以上过程中用户个人信息及密钥的传输均通过安全信道进行：

3)当收到HA的消息之后，MU生成密码PSW_M，然后计算MU使用EID*取代EID，取代K_uh，智能卡里的信息为h(.)表示hash函数。

2.如权利要求1所述的去同步化的全球移动漫游网络匿名认证和密钥协商方法，其特征是，阶段Ⅱ：MU与FA相互认证及会话密钥协商阶段：

1)MU生成随机数N_m，将N_m,ID_M,PSW_M提交到智能卡中，然后MU推导出计算V₁＝h(EID||N_x||T₁||ID_M||K_uh)，发送消息给FA，其中T₁是消息的有效时间；

3)当收到消息后，HA检查当前时间是否在T₂内，如果不是，协商立即终止；

如果是，HA计算检查如果不相等，协议立即终止；如果相等，HA解密EID得到MU的真实身份ID_M||n₀＝D_k(EID)；

HA生成随机数n₀，计算V₁ ^*＝h(EID||N_x||T₁||ID_M||K_uh)，检查如果不相等，协商立即终止；如果相等，HA生成随机数n₁用于生成MU的新假名，计算D＝E_k(ID_M||n₁)，推出然后HA发送消息给FA；

5)收到消息后，MU计算检查如果验证成功，MU推导出计算用FID替代EID。至此，完成了MU和FA的相互认证、密钥协商和MU的假名更新。

3.如权利要求1所述的去同步化的全球移动漫游网络匿名认证和密钥协商方法，其特征是，阶段Ⅲ：MU更新密码：

具体地，MU首先输入旧密码PSW_M和新密码然后计算最后用替代智能卡中的用EID**替代智能卡中的EID*，至此，密码更新完成。

4.如权利要求1所述的去同步化的全球移动漫游网络匿名认证和密钥协商方法，其特征是，阶段Ⅳ：共享密钥更新：这一阶段由HA和MU共同完成，HA为了保证与用户之间通信的安全性，需要定期更新与MU的共享密钥。

5.如权利要求1所述的去同步化的全球移动漫游网络匿名认证和密钥协商方法，其特征是，首先MU通过安全信道发送真实身份ID_M给HA，HA计算K_uh＝h(ID_M||n_h)，然后通过安全信道发给MU，收到消息后，MU更新智能卡中的共享密钥。