CN1770681A - 无线环境下的会话密钥安全分发方法 - Google Patents

Abstract

本发明公开了一种在无线环境下的会话密钥安全分发方法，其过程为：(1)双密发送会话密钥，由可信第三方认证服务器ASU将会话密钥分别采用对称密钥方式和非对称加密方式发送给移动节点STA和接入节点AP；(2)建立移动节点STA和接入节点AP的共享密钥，接入节点AP接收到认证服务器ASU发来的消息后，对其中的签名消息v_A先进行真伪性检验；再利用接入节点AP的私钥d_AP对所收到的AP加密消息μ_A进行非对称解密，获得会话密钥；移动节点STA接收到接入节点AP转发来的消息后，对其中的消息验证码v_U进行检证；再利用移动节点STA与认证服务器ASU共享的密钥k_SA对STA加密消息μ_U进行对称解密，获得会话密钥。具有效率高、计算简单、安全级别高等优点，可用于无线环境下的会话密钥分发。

Description

无线环境下的会话密钥安全分发方法

技术领域

本发明属于无线通信技术领域，涉及无线局域网的安全技术，具体地说是一种适用于无线环境下的密钥分发方法，用于对移动设备接入无线局域网时的密钥建立。

背景技术

无线局域网可以为用户提供极大的灵活性。然而，自无线局域网开始商业应用之后，安全问题就成为了限制其进一步发展的主要制约因素。目前IEEE 802.11无线局域网是采用基于有线等价保密WEP的方法进行无线终端的安全接入控制和无线链路上的数据保密。一般说来，安全接入控制采用认证的方法实现，数据保密采用加密、完整性等方法实现，但是数据保密需要通信方共享相同的密钥来进行加密等运算。由于基于有线等价保密WEP的无线局域网安全技术缺陷很大，目前提出了很多改进方法。其中基于公钥技术的协议有传输层安全协议TLS、受保护的可扩展身份验证协议PEAP、隧道传输层安全协议TTLS、和GB15629.11中使用的无线局域网认证基础设施协议WAI等。除了无线局域网认证基础设施协议WAI以外，其他都是封装在扩展认证协议EAP中。

1.传输层安全协议TLS协议

传输层安全协议TLS协议由RFC2716给出。认证服务器与客户端协商会话密钥，协议共两轮交互。双方使用公钥证书进行认证，后续的消息都是在公钥的保护下进行的，攻击者既无法得到消息的真正内容，也无法篡改消息，同时利用随机数保证新鲜性，防止重放攻击。由于该协议要求双方都具有公钥证书，因此在公钥基础设施没有广泛部署时，实践中操作起来比较困难；同时该协议执行效率较低，需要执行大量的公钥运算，对移动设施的计算能力要求较高。传输层安全协议TLS的流程图如图2所示。图中简要描述了客户端和认证服务器在建立安全连接之前协商协议选项的过程，该过程也被称为握手过程。这个过程包括协商安全参数(如密码算法和密钥长度)、密钥交换以及认证。该握手过程分完全握手和简化握手两种情况。客户端和认证服务器任何一方都可以随时终止连接。

2.受保护的可扩展身份验证协议PEAP协议

受保护的可扩展身份验证协议PEAP协议的认证过程分为两个阶段：第一阶段建立单向服务器认证的传输层安全协议TLS隧道；第二阶段在该隧道保护下，对移动节点进行认证。该协议具有较好的扩展性和适应性，对于不同的移动节点可以采用相应的认证方式，其详细描述参见文献http：//www.ietf.org/internet-drafts/draft-josefsson-pppext-eap-tls-eap-07.txt，Oct 2003。该协议消除了对移动节点公钥证书的要求，具有较好的扩展性，对于不同的移动节点可以采用适合的认证方式，具有很好的适应性。由于该协议的第一部分通过传输层安全协议TLS建立了安全信道，在此安全信道的保护下，完成了对移动节点的认证，移动节点的身份可以得到保密。但是该协议不具备前向保密性PFS和非密钥泄漏伪装N-KCI的安全性质，协议交互轮数要大于2轮。

3.隧道传输层安全协议TTLS协议

隧道传输层安全协议TTLS协议也是IETF的一个草案，它和受保护的可扩展身份验证协议PEAP协议非常相似，也是第一阶段建立服务器认证的传输层安全协议TLS隧道，在该隧道保护下进行第二阶段对客户端的认证。该协议与受保护的可扩展身份验证协议PEAP协议的不同点在于第二阶段，隧道传输层安全协议TTLS使用传输层安全协议TLS隧道交换AVP的格式非常类似于RADIUS AVP的格式。这种一般的编码方式使隧道传输层安全协议TTLS可以进行各种方式的认证，而不仅限于EAP支持的认证方式，还支持其他方式，如CHAP、PAP、MS-CHAP、MS-CHAPv2。该协议流程和受保护的可扩展身份验证协议PEAP一样，该协议的不足也与受保护的可扩展身份验证协议PEAP协议相同。

4.无线局域网认证基础设施协议WAI协议

无线局域网认证基础设施协议WAI采用公钥证书进行认证、密钥协商。当移动节点STA登录到无线接入节点AP时，移动节点STA与无线接入节点通过认证服务器AS进行双向认证；认证成功后，移动节点STA与无线接入节点AP进行会话密钥协商，产生会话密钥。由于无线局域网认证基础设施协议WAI没有采用扩展认证协议EAP的形式进行封装，所以协议交互轮数为2轮。在移动节点漫游时，外地认证服务器和家乡认证服务器之间交互的消息为1轮，如公开号为CN 14236200A的专利申请。该协议认证部分和密钥协商部分逻辑上独立，虽然在密钥更新时具有一定的优势，但是仍然存在明显的缺陷，例如，协议的密钥协商协议不能够抵抗未知密钥共享攻击；没有实现接入节点AP对移动节点STA的身份认证功能；移动节点STA在没完成身份认证的情况下就被允许访问网络；移动节点STA和无线接入节点AP可能生成不一样的会话密钥，使协议失败。

上述几种密钥协商协议存在的共同不足是：(1)执行效率低，涉及过多的公钥计算，对移动终端而言需要较大的计算量；(2)协议的交换轮数过多，不太适合在无线环境下使用；(3)没能给出令人信服的安全证明，其安全性值得怀疑，不能完全满足无线环境对安全性的要求。

相对于密钥协商协议而言的另外一种密钥建立方式就是密钥分发协议。最早且最有影响的三方密钥分发协商是由Needham和Scheroeder在1978年提出来的，随后，大量的会话密钥分发协议纷纷涌现出来，例如，3PKD协议是由Bellare和Rogawayy在1995年提出的一种基于可信第三方的会话密钥分发协议。协议涉及进行密钥建立的两个实体A、B以及可信第三方S。S与A和B之间分别共享对称密钥K_AS、K_BS。在进行密钥建立时，S产生一个随机变量σ作为A和B之间的会话密钥k，分别用K_AS和K_BS对k进行对称密钥加密并发送给A和B。A、B对消息解密之后就可以获得两者之间的会话密钥。该协议的执行效率较高，可信第三方采用对称密钥加密运算的方式将会话密钥分别发送给建立密钥的实体A和B，A和B仅需要进行一次对称密钥解密运算及消息验证码验证即可，计算量较低。另外，协议执行轮数仅为一轮。但是，在现代无线网络中，由于接入节点AP和认证服务器ASU的运算能力都已经大大增强，因而具有执行运算量大的加密算法的能力，而且要想在所有接入节点AP之间安全分配长期密钥是困难的、不可行的，所以应该在接入节点AP与认证服务器ASU之间的链路采用公钥算法进行保护，而不再使用对称密钥运算保护。3PKD协议的最大不足是安全性不够高，不具备抵抗适应性选择密文攻击CCA2的能力，不适用于无线下的特殊环境使用。

目前，第三代移动通信系统如3GPP/3GPP2/WCDMA等的网络接入安全鉴别过程也是通过由认证服务器来分发鉴别失量来实现的。第三代移动通信系统采用的是双向认证，网络可在通信过程中的任何时刻请求鉴别，通常在通信刚开始的时候，对每项服务都要求鉴别。第三代移动通信系统要求鉴别发生在用户与网络建立每个连接时，包括两种机制：(1)鉴别与密钥协商机制，即AKA，归属环境HE与服务网络之间，完成用户与网络之间的双向鉴别，同时归属环境HE向服务网SN交付用户使用的鉴别矢量AV；(2)本地鉴别机制，即服务网络与用户之间，完成加密和完整性算法的协商，开始加密和完整性保护，其实现是通过完整性保护来保证的，即在鉴别与密钥协商机制的基础上实现。但是该机制存在大量问题，如鉴别与密钥协商机制容易遭受假冒基站攻击的威胁，攻击者可以将移动终端接入错误的网络。攻击者通过攻陷某一网络，获取其中的鉴别矢量，可以将自己伪装成任意网络。此外在移动终端和归属环境之间维持同步数据的方式也使得鉴别与密钥协商机制的执行异常困难。因此，鉴别与密钥协商机制的安全性无法得到保证，不适用于无线下的特殊环境使用。

发明的内容

本发明的目的在于克服上述已有协议的不足，提出了一种适合无线环境下使用的基于双重加密机制的安全会话密钥分发方法，该方法可以作为IEEE 802.11i中提出的四步握手协议的上层协议，保证移动节点STA与接入节点AP之间安全共享会话密钥。

本发明的目的是这样实现的：

本发明通过可靠的认证服务器ASU获得共享会话密钥，从而协商新的会话密钥，主要过程如下：

(1)双密发送会话密钥

所述的双密发送会话密钥是由可信第三方认证服务器ASU将会话密钥分别采用对称加密和非对称加密发送给移动节点STA和接入节点AP；

(2)建立移动节点STA和接入节点AP的共享密钥。

上述会话密钥的分发方法，其中所述的可信第三方认证服务器ASU将会话密钥分别采用对称加密和非对称加密发送给移动节点STA和接入节点AP，包括：

(1)移动节点STA向接入节点AP发送密钥建立请求；

(2)接入节点AP向认证服务器ASU发送密钥建立请求；

(3)认证服务器ASU向接入节点AP发送密钥建立响应；

(4)接入节点AP向移动节点STA转发认证服务器ASU发来的密钥建立响应。

上述会话密钥分发方法，其中所述的建立移动节点STA和接入节点AP共享密钥σ，包括：

(1)接入节点AP获得会话密钥σ′，即接入节点AP接收到认证服务

器ASU发来的消息后，首先对其中的签名消息ν_A进行真伪性判断；然后将接收到的STA加密信息μ_U和消息验证码ν_U转发给移动节点STA，并利用接入节点AP本身的私钥d_AP对所接收到的AP加密消息μ_A进行非对称解密，获得会话密钥σ′；

(2)移动节点STA获得会话密钥σ″，即移动节点STA接收到接入节点AP发来的消息后，首先对其中的消息验证码ν_U进行检证；然后利用移动节点STA与认证服务器ASU共享的密钥k_SA对其中的加密消息μ_U进行解密，获得会话密钥σ″。

所述的接入节点AP获得的会话密钥σ′与移动节点STA获得会话密钥σ″相同，且仅为移动节点STA和接入节点AP相互所知，为所述两节点的共享密钥。

上述会话密钥分发方法，其中移动节点STA向接入节点AP发送密钥建立请求，是由移动节点STA利用随机数生成算法产生一个随机数N_U，移动节点STA利用与认证服务器ASU共享的密钥k_SA对移动节点身份U、移动节点产生的随机数N_U进行MAC消息验证码运算，即 ${\mathrm{\ν}}_S=\mathrm{MA}{C}_{K_{\mathrm{SA}}}(U,N_U),$ 再将移动节点身份U、移动节点产生的随机数N_U以及消息验证码ν_S发送给接入节点AP；

上述会话密钥分发方法，其中接入节点AP向认证服务器ASU发送密钥建立请求，是由接入节点AP利用随机数生成算法产生一个随机数N_A，并将该随机数N_A与移动节点发送过来的移动节点身份U、移动节点产生的随机数N_U以及消息验证码ν_S一起发送给认证服务器ASU。

上述会话密钥分发方法，其中认证服务器ASU向接入节点AP发送的密钥建立响应，包括：

(1)认证服务器ASU接收到接入节点AP发来的消息后，首先对其中的消息验证码ν_S进行检证，即由认证服务器ASU利用与移动节点STA共享的密钥k_SA对移动节点身份U和移动节点产生的随机数N_U进行MAC消息验证码运算，将所得的结果与消息验证码ν_S进行比较，如果一致则ν_S通过了验证，否则拒绝接受接入节点AP发来的密钥建立请求消息；

(2)认证服务器ASU利用会话密钥生成器S_n(1^k)产生一个长度为k的会话密钥σ，然后利用认证服务器ASU与移动节点STA共享的密钥k_SA对会话密钥σ进行对称加密，得到加密信息 ${\mathrm{\μ}}_U=E_{K_{\mathrm{SA}}}\left(\mathrm{\σ}\right),$ 再按如下公式计算消息验证码ν_U

${\mathrm{\ν}}_U={\mathrm{MAC}}_{K_{\mathrm{SA}}}(U,A,N_U,{\mathrm{\μ}}_U)$

式中，U为验证内容，即移动节点身份

      A为接入节点身份

N_U为移动节点产生的随机数，

μ_U为认证服务器计算的加密信息

k_SA为移动节点与认证服务器之间的共享密钥；

(3)认证服务器ASU利用接入节点AP的公钥e_AP，对会话密钥σ进行非对称加密，得到加密信息 ${\mathrm{\μ}}_A=E_{e_{\mathrm{AP}}}\left(\mathrm{\σ}\right),$ 再按如下公式计算签名消息ν_A

${\mathrm{\ν}}_A={\mathrm{SIG}}_{d_{\mathrm{ASU}}}(U,A,N_A,{\mathrm{\μ}}_A)$

式中，d_ASU为认证服务器的签名密钥

      U为签名内容，即移动节点身份

      A为接入节点身份

      N_A为接入节点产生的随机数

      μ_A为认证服务器计算的加密信息；

(4)认证服务器ASU将以上得到的移动节点STA加密信息μ_U、接入节点AP加密信息μ_A、消息验证码ν_U和签名消息ν_A组合成一条消息发送给接入节点AP。

上述会话密钥分发方法，其中接入节点AP接收到认证服务器ASU发来的消息后对其中的签名消息ν_A进行真伪性判断，是通过接入节点AP利用认证服务器ASU的公钥e_ASU进行签名检验运算，如果签名消息ν_A通过检验，则进入解密和转发，否则接入节点AP拒绝接受该消息。

上述会话密钥分发方法，其中移动节点STA接收到接入节点AP发来的消息后，对消息验证码ν_U进行检证，是通过移动节点STA利用与认证服务器ASU共享的密钥k_SA对移动节点身份U，接入节点身份A，移动节点产生的随机数N_U，认证服务器计算的加密信息μ_U进行消息验证码运算，并将所得的结果与消息验证码ν_U进行比较，如果一致则ν_U通过了验证，否则拒绝接受该消息。

本发明具有以下优点：

1.本发明由于采用基于密钥分发的密钥建立方式，会话密钥直接由可信第三方即认证服务器ASU产生并分发，因此与现有密钥建立实体之间协商会话密钥的方式相比，其执行效率更高。

2.本发明由于分别采用对称和非对称加密两种加密方式将会话密钥分发给密钥建立实体，不仅适用于当前的网络环境，尤其是目前移动设备计算能力较差的情况，而且降低了计算复杂度，具有更好的实用性。

3.发明具有更高的安全级别，可以直接用作IEEE 802.11i中的密钥建立协议使用。

4.本发明与现有IEEE 802.11i的默认认证协议传输层安全协议TLS相比，其性能更好，如表1所示。

表1    针对移动终端设备的协议性能比较

协议	客户证书	交互轮数	非对称算法	对称算法	MAC运算	指数运算	签名	验证签名及证书
									TLS本协议	YN	21	20	01	02	10	10	10

从表1可见，在不考虑扩展认证协议EAP封装及IEEE 802.11i四步握手协议的情况下，本发明的协议交互轮数仅为1轮；而IEEE 802.11i的默认认证协议传输层安全协议TLS的交互轮数则为2轮，对于其它密钥协商协议，交互轮数可能还要大于传输层安全协议TLS。而交互轮数的减少，有助于克服无线网中报文易损坏的情况，也有助于减少漫游时认证的时延。本发明与传输层安全协议TLS相比，只需要进行两次消息验证码运算以及一次对称解密运算，而传输层安全协议TLS因为采用公钥证书作为认证凭证，需要进行多次公钥及指数运算，而运算量的减小有利于移动终端设备在无线环境下使用。

附图说明

图1是本发明的流程图

图2是现有传输层安全协议TLS流程图

具体实施方式

就目前而言，无线移动终端设备还无法承担较大的公钥计算，极大的用户数量也使仍未广泛部署的公钥基础设施难以应付，因此无线移动终端设备与认证服务器间最好仍采用预共享密钥的方式进行认证，他们之间的链路最好采用对称密钥运算的方式进行保护。但是，随着现代无线网络的发展，使得访问点和认证服务器具备了更高的运算能力，因此他们之间可以采用公钥的方式进行认证，他们之间的链路应该考虑采用更具灵活性和安全的公钥运算方式进行保护。此外，设计的协议应该具备完善的安全证明，从而保证其安全性。为此，本发明采取了如下具体实施方式。

本发明通过可靠的认证服务器ASU分别采用两种不同的加密方式发送会话密钥，在两节点之间建立共享密钥，即由可信第三方认证服务器ASU以对称加密方式将会话密钥发送给移动节点STA，以非对称加密方式将会话密钥发送给接入节点AP，实现在移动节点STA和接入节点AP之间建立共享密钥，从而协商新的会话密钥。

所述的移动节点STA、接入节点AP与认证服务器ASU三者之间存在着两条链路，即移动节点STA和认证服务器ASU之间为对称加密保护链路，接入节点AP和认证服务器ASU之间为非对称加密保护链路。设各节点的参数分别表示为：移动节点STA与认证服务器ASU共享密钥为k_SA，接入节点AP的公钥为e_AP，接入节点AP的私钥为d_AP，认证服务器ASU的公钥为e_ASU，认证服务器ASU的私钥为d_ASU；密钥生成器为S_n(1^k)，其中κ是安全参数；E_k(m)表示用密钥k对消息m的加密，D_k(c)表示用密钥k对密文c的解密，SIG_s(m)表示用私钥s对消息m进行签名运算，MAC_k(m)表示用密钥k对消息m进行消息验证码运算。本发明运行的顺序是：移动节点STA→接入节点AP→认证服务器ASU→接入节点AP→移动节点STA，其具体执行过程如图1所示。

参照图1，本发明的双密发送会话密钥和建立移动节点STA与接入节点AP之间的共享密钥的过程如下：

(1)移动节点STA向接入节点AP发送密钥建立请求，即移动节点STA采用随机数生成算法产生一个随机数N_U，并利用与认证服务器ASU共享的密钥k_SA对移动节点身份U、移动节点产生的随机数N_U进行MAC消息验证码运算，即 ${\mathrm{\ν}}_S={\mathrm{MAC}}_{K_{\mathrm{SA}}}(U,N_U),$ 再将移动节点身份U、移动节点产生的随机数N_U以及消息验证码ν_S发送给接入节点AP；

(2)接入节点AP向认证服务器ASU发送密钥建立请求，即接入节点AP将其自身产生的一个随机数N_A与移动节点发送过来的移动节点身份U、移动节点产生的随机数N_U以及消息验证码ν_S一起发送给认证服务器ASU；

(3)认证服务器ASU向接入节点AP发送密钥建立响应，即认证服务器ASU接收到接入节点AP发来的消息后，首先对其中的消息验证码ν_S进行检证，即由认证服务器ASU利用与移动节点STA共享的密钥k_SA对移动节点身份U和移动节点产生的随机数N_U进行MAC消息验证码运算，将所得的结果与消息验证码ν_S进行比较，如果一致则ν_S通过了验证，否则拒绝接受接入节点AP发来的密钥建立请求消息；认证服务器ASU利用会话密钥生成器S_n(1^k)，产生一个长度为k的会话密钥σ，随后利用与移动节点STA共享的密钥k_SA对会话密钥σ进行对称加密，得到移动节点STA的加密消息，即 ${\mathrm{\μ}}_U=E_{K_{\mathrm{SA}}}\left(\mathrm{\σ}\right),$ 并计算相应的消息验证码ν_U，所用密钥仍为k_SA，验证内容分别为移动节点身份U、接入节点身份A、移动节点产生的随机数N_U、移动节点STA的加密信息μ_U，即 ${\mathrm{\ν}}_U={\mathrm{MAC}}_{K_{\mathrm{SA}}}(U,A,N_U,{\mathrm{\μ}}_U);$ 然后由认证服务器ASU利用接入节点AP的公钥e_AP对会话密钥σ进行非对称加密，得到接入节点AP加密消息，即 ${\mathrm{\μ}}_A=E_{e_{\mathrm{AP}}}\left(\mathrm{\σ}\right),$ 并计算相应的签名消息ν_A，签名密钥为其私钥d_ASU，签名内容则为接入节点身份U、接入节点身份A、接入节点产生的随机数N_A、接入节点AP的加密消息μ_A、即 ${\mathrm{\ν}}_A={\mathrm{SIG}}_{d_{\mathrm{ASU}}}(U,A,N_A,{\mathrm{\μ}}_A),$ 该签名算法可采用RSA，Rabin，EIGamal，ECC等已有通用算法进行；最后由认证服务器ASU将以上消息验证码ν_U和签名消息ν_A两条消息组合成一条消息发送给接入节点AP；

(4)接入节点AP接收到认证服务器ASU发来的消息后，首先对其中的签名消息ν_A的真伪性进行检验，接入节点AP利用认证服务器ASU的公钥e_ASU进行签名检验运算，根据采用的签名算法，该签名检验运算相应得可采用RSA，Rabin，EIGamal，ECC等已有通用算法进行。如果签名消息ν_A通过检验，则接入节点AP利用其私钥d_AP对接入节点AP加密消息μ_A进行非对称解密运算，获得会话密钥σ′，否则接入节点AP拒绝接受认证服务器ASU发来的消息，同时，在通过检验后，接入节点AP将认证服务器ASU发送过来的移动节点STA的加密消息μ_U和消息验证码ν_U一并转发给移动节点STA，即由接入节点AP向移动节点STA转发认证服务器ASU发来的密钥建立响应；

(5)移动节点STA接收到接入节点AP发来的消息后，首先对其中的消息验证码ν_U进行检证，即由移动节点STA利用与认证服务器ASU共享的密钥k_SA对移动节点身份U、接入节点身份A、移动节点产生的随机数N_U、移动节点STA的加密信息μ_U进行MAC消息验证码运算，将所得的结果与消息验证码ν_U进行比较，如果一致则ν_U通过了验证，否则拒绝接受接入节点AP转发的消息；随后移动节点STA利用与认证服务器ASU共享的密钥k_SA对移动节点STA加密消息μ_U进行对称解密，获得会话密钥σ″。

以上第(4)步所述由接入节点AP获得的会话密钥σ′与第(5)步所述由移动节点STA获得会话密钥σ″完全相同，而且只有移动节点STA和接入节点AP相互所知，其它节点无法获得，故称为移动节点STA和接入节点AP的共享密钥，即4σ′＝σ′＝σ。

完成上述建立移动节点STA和接入节点AP的共享密钥之后，移动节点STA可以与接入节点AP进一步进行IEEE 802.11i提出的四步握手协议，从而验证会话密钥σ的真实性和新鲜性，以及协商新的会话密钥，此步骤不属于本发明的范畴，在此不做过多说明解释。

需要说明的是：

(1)可信第三方认证服务器ASU，是指经过第三方可信部门，例如，国际计算机安全委员会-ICSA、公安部计算机信息系统安全产品质量检验中心、政府认可的、权威、可信、公正的第三方认证中心等，认证的安全的服务器，通过这些部门的其中之一认可后，可为使用该产品的用户提供质量和信心的保证。在具体应用中，可以采用RADIUS/Diameter认证服务器。

(2)对称方式加密、解密可以采用DES，IDEA，GOST，Triple DES，Rijndael等已有通用算法进行。

(3)非对称方式加密、解密可以采用RSA，Rabin，ElGamal，ECC等已有通用算法进行。

(4)AP的公钥e_AP和私钥d_AP采用RSA加密算法，也可以采用Rabin，ElGamal，ECC等已有算法获得。

(5)消息验证码算法可以采用HMAC SHA或MAC Triple DES等已有算法进行。

(6)随机数N_A和N_U的产生可以用随机数生成算法产生，也可以用随机数产生器产生，或其他方法产生。

本发明的效果可通过Canetti和Krawczyk模型进行证明，证明结果表明：

本发明在所采用的对称和非对称加密机制都满足抵抗适应性选择密文攻击CCA2的条件下，本协议从整体上可以抵抗攻击性最强的适应性选择密文攻击CCA2，与现有的密钥协商及密钥分发协议相比，本发明具有更高的安全性。同时本发明还具有能够提供丢失信息、密钥泄漏伪装、已知密钥安全、未知密钥安全等安全属性，且具有移动终端计算量小，协议执行轮数少，效率更高的优势。

Claims (9)

1.一种无线环境下会话密钥安全分发方法，其主要过程如下：

(1)双密发送会话密钥

所述的双密发送会话密钥是由可信第三方认证服务器ASU将会话密钥分别采用对称加密方式和非对称加密方式发送给移动节点STA和接入节点AP；

(2)建立移动节点STA和接入节点AP之间的共享密钥σ。

2.根据权利要求1所述的会话密钥分发方法，其特征在于所述的可信第三方认证服务器ASU将会话密钥分别采用对称加密和非对称加密方式发送给移动节点STA和接入节点AP，包括：

(1)移动节点STA向接入节点AP发送密钥建立请求；

(2)接入节点AP向认证服务器ASU发送密钥建立请求；

(3)认证服务器ASU向接入节点AP发送密钥建立响应；

(4)接入节点AP向移动节点STA转发认证服务器ASU发来的密钥建立响应。

3.根据权利要求1所述的会话密钥分发方法，其特征在于所述的建立移动节点STA和接入节点AP共享密钥σ，包括：

(1)接入节点AP获得会话密钥σ′，即接入节点AP接收到认证服务器ASU发来的消息后，首先对其中的签名消息ν_A进行真伪性检验；然后利用接入节点AP本身的私钥d_AP对所接收到的AP加密消息μ_A进行非对称解密，获得会话密钥σ′；

(2)移动节点STA获得会话密钥σ″，即移动节点STA接收到接入节点AP转发来的消息后，首先对其中的消息验证码ν_U进行检证；然后利用移动节点STA与认证服务器ASU共享的密钥k_SA对其中的加密消息μ_U进行对称解密，获得会话密钥σ″；

所述的接入节点AP获得的会话密钥σ′与移动节点STA获得会话密钥σ″相同，且仅为该两节点相互所知，为两节点的共享密钥σ，即σ′＝σ″＝σ。

4.根据权利要求2所述的会话密钥分发方法，其特征在于所述的移动节点STA向接入节点AP发送密钥建立请求，是由移动节点STA利用随机数生成算法或随机数生成器产生一个随机数N_U，移动节点STA利用与认证服务器ASU共享的密钥k_SA对移动节点身份U、移动节点产生的随机数N_U进行MAC消息验证码运算，即 ${\mathrm{\ν}}_S=\mathrm{MA}{C}_{K_{\mathrm{SA}}}(U,N_U),$ 再将移动节点身份U、移动节点产生的随机数N_U以及消息验证码ν_S发送给接入节点AP。

5.根据权利要求2所述的会话密钥分发方法，其特征在于所述的接入节点AP向认证服务器ASU发送密钥建立请求，是由接入节点AP利用随机数生成算法或随机数生成器产生一个随机数N_A，并将该随机数N_A与移动节点发送过来的移动节点身份U、移动节点产尘的随机数N_U以及消息验证码ν_S一起发送给认证服务器ASU。

6.根据权利要求2所述的会话密钥分发方法，其特征在于所述的认证服务器ASU向接入节点AP发送密钥建立响应，包括：

(1)认证服务器ASU接收到接入节点AP发来的消息后，首先对其中的消息验证码ν_S进行检证，即由认证服务器ASU利用与移动节点STA共享的密钥k_SA对移动节点身份U和移动节点产生的随机数N_U进行MAC消息验证码运算，将所得的结果与消息验证码ν_S进行比较，如果一致则ν_S通过了验证，否则拒绝接受接入节点AP发来的密钥建立请求消息；

(2)认证服务器ASU利用会话密钥生成器S_n(l^k)产生一个长度为k的会话密钥σ，然后利用认证服务器ASU与移动节点STA共享的密钥k_SA对会话密钥σ进行对称加密，得到加密信息 ${\mathrm{\μ}}_U=E_{K_{\mathrm{SA}}}\left(\mathrm{\σ}\right),$ 再按如下公式计算消息验证码ν_U，即

${\mathrm{\ν}}_U={\mathrm{MAC}}_{K_{\mathrm{SA}}}(U,A,N_U,{\mathrm{\μ}}_U)$

式中，U为验证内容，即移动节点身份

      A为接入节点身份

      N_U为移动节点产生的随机数

      μ_U为认证服务器计算的加密信息

      k_SA为移动节点与认证服务器之间的共享密钥；

(3)认证服务器ASU利用接入节点AP的公钥e_AP，对会话密钥σ进行非对称加密，得到加密信息 ${\mathrm{\μ}}_A=E_{e_{\mathrm{AP}}}\left(\mathrm{\σ}\right),$ 再按如下公式计算签名消息ν_A

${\mathrm{\ν}}_A=\mathrm{SI}{G}_{d_{\mathrm{ASU}}}(U,A,N_A,{\mathrm{\μ}}_A)$

式中，d_ASU为认证服务器的签名密钥

      U为签名内容，即移动节点身份

      A为接入节点身份

      N_A为接入节点产生的随机数

      μ_A为认证服务器计算的加密信息；

(4)认证服务器ASU将以上得到的移动节点STA加密信息μ_U、接入节点AP加密信息μ_A、消息验证码ν_U和签名消息ν_A组合成一条消息发送给接入节点AP。

7.根据权利要求2所述的会话密钥分发方法，其特征在于所述的接入节点AP向移动节点STA转发认证服务器ASU发来的密钥建立响应，是在接入节点AP对接收到认证服务器ASU发来签名消息ν_A的真伪性进行检验通过之后，将认证服务器ASU发送过来的移动节点STA的加密消息μ_U和消息验证码ν_U一起转发给移动节点STA。

8.根据权利要求3所述的会话密钥分发方法，其特征在于所述的接入节点AP接收到认证服务器ASU发来的消息后对其中的签名消息ν_A进行真伪性判断，是通过接入节点AP利用认证服务器ASU的公钥e_ASU进行签名检验运算，如果签名消息ν_A通过检验，则进入解密和转发，否则接入节点AP拒绝接受认证服务器ASU发来的消息。

9.根据权利要求3所述的会话密钥分发方法，其特征在于所述的移动节点STA接收到接入节点AP发来的消息后，首先对消息验证码ν_U进行检证，是通过移动节点STA利用与认证服务器ASU共享的密钥k_SA对移动节点身份U、接入节点身份A、移动节点产生的随机数N_U、移动节点STA的加密信息μ_U进行消息验证码运算，即MAC运算，并将所得的结果与消息验证码ν_U进行比较，如果一致则ν_U通过了验证，否则拒绝接受该消息。