漫游时无需家乡网络参与的密钥交换认证方法

摘要

本发明公开了一种漫游时无需家乡网络参与的密钥交换认证方法，属无线通信领域。其步骤依次为初始化、注册、认证并建立会话密钥。初始化时，先由家乡和外地网络认证服务器选择公钥和私钥；再由第三方认证服务器发布其中的公钥。注册时，移动节点秘密上交身份信息给家乡网络认证服务器；家乡网络认证服务器用其私钥计算并秘密投递关于代理签名的秘密值给移动节点。认证并建立会话密钥时，由移动节点向所在网络认证服务器发送认证请求报文；所在网络认证服务器解密该请求报文信息并认证移动节点身份：若移动节点合法，则计算会话密钥并回复确认信息给移动节点；移动节点对该确认信息进行解密并确认：所在网络认证服务器是可信任的且已获得会话密钥。

说明书

技术领域

本发明涉及一种密钥交换认证方法，属于无线通信技术领域。

背景技术

个人数字助手(PDA)，手机、笔记本电脑等等移动节点MN迫切希望能够无缝漂移在全球移动网络，例如GSM和CDMA网络。然而移动节点MN的认证面临着强大的挑战。当前，许多漫游密钥交换认证方法已被提出。目前存在的漫游密钥交换认证方法具有一个共同的特征：当移动节点MN漫游到某一个外地网络FN时，移动节点MN向该移动节点所在的外地网络认证服务器发送认证请求报文，外地网络认证服务器F-AS收到认证请求报文信息后，都需在家乡网络认证服务器H-AS的帮助下来完成对移动节点MN的身份认证。这样增加了外地网络认证服务器F-AS和家乡网络认证服务器H-AS之间信息的交互，从而增加了通信负载。更重要的是，外地网络认证服务器F-AS无法对来自移动节点MN的认证请求信息进行验证，从而即使是伪造的认证请求信息也被无条件转发给家乡网络认证服务器H-AS。这样，通过外地网络认证服务器F-AS对家乡网络认证服务器H-AS进行拒绝服务DoS攻击很容易发生。

发明内容

本发明的目的在于提供一种漫游时无需家乡网络参与的密钥交换认证方法。

为了克服现有技术中拒绝服务DoS攻击容易发生的缺陷，最简单也是最有效的方法是：当移动节点MN漫游到某一个外地网络FN时，在无需家乡网络认证服务器H-AS参与的情况下，外地网络认证服务器F-AS能够实现对移动节点MN的相互认证。基于这个动机，我们将指定验证者的代理签名技术(也被称为：指定验证者的信任代理，下同)引入到漫游密钥交换认证方法的设计当中，实现了在无需家乡网络认证服务器H-AS参与的情况下，移动节点MN与外地网络认证服务器F-AS之间的相互认证。

为实现本发明目的，本发明所采取的技术方案是：本发明漫游时无需家乡网络参与的密钥交换认证方法的主要步骤依次为初始化、注册、认证并建立会话密钥，

所述初始化包括以下步骤：

1)家乡网络认证服务器以及所有外地网络认证服务器分别自由选择各自的公钥和私钥；

2)由可信任的第三方认证服务器发布家乡网络认证服务器和所有外地网络认证服务器的公钥；

所述注册包括以下步骤：

1)移动节点秘密上交身份信息给家乡网络认证服务器；

2)家乡网络认证服务器用其私钥计算并秘密投递关于代理签名的秘密值给移动节点；

所述认证并建立会话密钥包括以下步骤：

1)由移动节点向该移动节点所在的外地网络认证服务器或家乡网络认证服务器发送认证请求报文；

2)移动节点所在的外地网络认证服务器或家乡网络认证服务器收到认证请求报文信息后，对该信息进行解密并对移动节点身份进行认证，如果该移动节点不合法，则拒绝该移动节点的认证请求；如果该移动节点是合法的，则计算会话密钥并回复确认信息给该移动节点；

3)移动节点收到所在的外地网络认证服务器或家乡网络认证服务器发来的确认信息后对该确认信息进行解密并确认：该外地网络认证服务器或家乡网络认证服务器是可信任的并且该外地网络认证服务器或家乡网络认证服务器已获得会话密钥。

进一步地，本发明在认证并建立会话密钥之后进行会话密钥更新，所述会话密钥更新包括以下步骤：

1)移动节点向所在的外地网络认证服务器或家乡网络认证服务器发送会话密钥更新请求信息，在该请求信息中包含用于生成新的会话密钥的随机数；

2)移动节点所在的外地网络认证服务器或家乡网络认证服务器收到会话密钥更新请求信息后，验证该请求信息的有效性，并生成新的会话密钥，然后回复确认信息给移动节点；

3)移动节点收到所在的外地网络认证服务器或家乡网络认证服务器发来的信息后，对该信息进行解密并确认所在的外地网络认证服务器或家乡网络认证服务器已获得新的会话密钥。

与现有技术相比，本发明的优点是：

1.当移动节点MN漂移到外地网络FN时，无需移动节点的家乡网络HN的参与下，外地网络FN能够对移动节点MN进行相互的认证。与现有方法相比，本发明通过将指定验证者的代理签名技术引入到密钥交换认证方法的设计当中，在保证安全性的前提下，取消了外地网络认证服务器F-AS和家乡网络认证服务器H-AS之间信息的交互，显著降低了通信负载，更适用于带宽受限的移动通信；并且外地网络认证服务器F-AS无需将移动节点MN的认证请求报文转发给该移动节点的家乡网络，很显然，本发明能够很好地抵御上述的通过外地网络认证服务器F-AS对家乡网络认证服务器H-AS进行的拒绝服务DoS攻击。另外，与现有技术相比，此发明更加简单，因此有效消除了许多安全弱点。例如：移动节点的家乡网络认证服务器H-AS的伪装袭击不可能存在。

2.移动节点在家乡网络HN和漫游到外地网络FN都采用相似的认证接入方法，即漫游对于移动节点的认证接入是透明的。

3.移动节点在家乡网络HN和漫游到外地网络FN都采用相同的密钥更新方法，即漫游对于移动节点的密钥更新是透明的。

4.本发明能够提供用户匿名服务、单一注册；并且对于移动节点MN仅要求2个模乘法运算，因此更加适用于资源受限的移动设备。

具体实施方式

有关的技术术语如下：

MN-移动节点(Mobile Node)；

FN-外地网络(Foreign Network)；

HN-家乡网络(Home Network)；

F-AS-外地网络认证服务器(Foreign Authentication Server)；

H-AS-家乡网络认证服务器(Home Authentication Server)；

DoS-拒绝服务(Denial-of-Server)；

AS-可信任的第三方认证服务器(A trustworthy authenticationserver)；

IDM-移动节点MN的标识(The identity of mobile node)；

IDH-家乡网络的标识(The identity of home network)；

IDF-外地网络的标识(The identity of foreign network)；

E_K(m)-用对称密钥K对信息m进行加密；

E_K^-1(m)-用对称密钥K对信息m进行解密；

||-两个位串的串联操作；

h(.)-哈希函数；

p-一个大素数，长度至少160比特；

{x}-被标为x的信息；

T-方法初始化时，方法自由选定的椭圆曲线的点。

T_exp-会话密钥的生命周期

以下以运算效率较好的椭圆曲线密码算法为例具体说明本发明的密钥交换认证方法。

本发明的密钥交换认证方法主要步骤依次为初始化、注册、认证并建立会话密钥和会话密钥更新。其中，

1)初始化时，家乡网络认证服务器H-AS自由选择秘密随机数$x_h\in Z_p^{*}$作为其私钥，接着计算Y_h＝x_hT作为其公钥。另外，按照类似的方式，所有外地网络认证服务器F-AS自由分别选择各自的私钥x_f和公钥Y_f。接着，由可信任的第三方认证服务器发布家乡网络认证服务器和所有外地网络认证服务器的公钥；

2)注册时，移动节点MN通过秘密信道上交身份信息给家乡网络认证服务器H-AS。为了把签名的权利委托给移动节点MN(移动节点MN也被称为代理签名者)，作为原始签名者，家乡网络认证服务器H-AS需做以下计算：

(I)定义授权信息m_w，其中包含必要的代理信息，例如原始签名者(也就是家乡网络认证服务器H-AS)的身份标识IDH，家乡网络认证服务器H-AS允许该移动节点MN所能访问的外地网络的集合以及签名权利的生命周期等等。

(II)选择一个随机数k∈[1，2，...，p-1]，计算K＝kT＝(X_K，Y_K)，其中X_K和Y_K分别表示椭圆曲线上的点K的横坐标和纵坐标。为了简便以及安全，家乡网络认证服务器H-AS为所有的注册用户选择相同的k。

(III)计算s_h＝k+h(m_w||X_K).x_h(mod p)，然后秘密投递关于代理签名的秘密值{K，s_h}给移动节点MN。这里授权信息m_w和变量K被公开。

(VI)收到信息后，移动节点MN核对以下等式是否成立：

$s_{h}T\stackrel{?}{=}K+h\left(m_w\right|\left|X_K\right)Y_h---\left(1\right)$

如果等式(1)成立，移动节点MN接受所收到的信息作为一个有效的授权信息，否则拒绝。

3)认证并建立会话密钥时，如果移动节点MN漂移到一个外地网络FN并且希望获得该网络提供的服务，那么在提供服务之前，外地网络认证服务器F-AS需要对移动节点MN进行互相认证。

首先，作为代理签名者，移动节点MN随机选择一个秘密随机数$x_m\in Z_p^{*}$作为其私钥，并且公布其公钥Y_m。然后移动节点MN能够根据以下公式(2)计算代理私钥x_p。

x_p＝s_h+h(m_w||X_K)·x_m＝k+h(m_w||X_K)·(x_h+x_m)(modp)    (2)

从而，相应的代理公钥Y_p可计算为

Y_p＝x_p·T＝(k+h(m_w||X_K)·(x_h+x_m))T

＝kT+h(m_w||X_K)·(Y_h+Y_m)＝K+h(m_w||X_K)·(Y_h+Y_m)    (3)

移动节点MN使用快速的一致可逆方法(也被称为填料算法)将{v，v₀，T_exp，IDF}转化成m∈[1，2，…，p-1]。这里{v，v₀}分别是l比特的随机数，l应当足够大，例如256比特。IDF为移动节点MN所希望访问的外地网络FN的身份标识。注意到，为了外地网络认证服务器F-AS能够核对所恢复的{v，v₀，T_exp，IDF}的有效性，这里，作为外地网络FN的标识，IDF是被用来作为一致冗余。当然，设计者可以自由定义其他的附带冗余信息。针对m，为了生成一个指定验证者的代理签名，移动节点MN需要做以下操作：

(I)首先，选择一个随机数r，按照以下公式计算两个椭圆曲线的点R和Z

R＝rT＝(X_R，Y_R)    (4)

Z＝rY_f＝(X_Z，Y_Z)    (5)

(II)然后，移动节点MN使用代理私钥x_p去计算{c，s}，其中

c＝m·X_R+X_Z(modp)    (6)

s＝r-c·x_p(modp)    (7)

(III)最后，由移动节点MN向该移动节点所在的外地网络认证服务器F-AS发送认证请求报文{IDH，m_w，Y_m，c，s}。外地网络认证服务器F-AS收到认证请求报文信息之后，按照以下步骤对该信息进行解密并对移动节点身份进行认证：

(I)首先，核对授权信息m_w的有效性。如果有效，外地网络认证服务器F-AS执行以下步骤。否则，退出。

(II)随后，凭借外地网络认证服务器F-AS所拥有的{m_w，K，Y_h，Y_m}，外地网络认证服务器F-AS能够根据公式(3)计算代理公钥Y_p

(III)接着，外地网络认证服务器F-A根据自己的私钥x_f计算两个椭圆曲线的点R^*和Z^*，其中

$R^{*}=\mathrm{sT}+c{Y}_p=(r-c·x_p)T+c{Y}_p=\mathrm{rT}-c·x_{p}T+c·Y_p=\mathrm{rT}-c·x_p·T+c{Y}_p=(X_{R^{*}},Y_{R^{*}})---\left(8\right)$

$Z^{*}=x_f{R}^{*}=(X_{Z^{*}},Y_{Z^{*}})---\left(9\right)$

(IV)最后，外地网络认证服务器F-AS恢复m如下：

$m=\frac{c-X_{Z^{*}}}{X_{R^{*}}}\left(\mathrm{mod}p\right)---\left(10\right)$

接着，外地网络认证服务器F-AS通过填料算法将m转化为{v，v₀，T_exp，IDF}。如果其中的IDF是无效的，则该移动节点不合法，外地网络认证服务器F-AS拒绝该节点的认证请求。如果其中的IDF是有效的，那么恢复的{v，v₀，T_exp，IDF}是有效，这样外地网络认证服务器F-AS确信移动节点MN是被授权的用户。然后，外地网络认证服务器F-AS为移动节点MN计算会话密钥sk＝h(h(v)||v₀)，并且保存信息h(v)为了将来的会话密钥的更新。接着，为了验证密钥sk，外地网络认证服务器F-AS回复确认信息E_sk(sk)给移动节点MN。

移动节点MN收到外地网络认证服务器F-AS发来的信息之后，该移动节点计算等式$E_{\mathrm{sk}}^{-1}\left(E_{\mathrm{sk}}\left(\mathrm{sk}\right)\right)=\mathrm{sk}$是否成立。若成立，移动节点MN确信：该外地网络认证服务器是可信任的并且该外地网络认证服务器已获得会话密钥。

在移动节点MN离开所在的外地网络，漂移到新的网络(包括新的外地网络FN或者家乡网络HN)时，将重新与新的网络进行认证并建立会话密钥步骤。

4)作为特殊情况，在认证并建立会话密钥时，如果移动节点MN位于家乡网络HN，则移动节点MN向家乡网络认证服务器H-AS发送认证请求报文家乡网络认证服务器H-AS收到来自移动节点MN的认证请求报文后，核对m_w的有效性。如果是有效的，家乡网络认证服务器H-AS计算s_h＝k+h(m_w||X_K)·x_h(modp)，接着解密然后，家乡网络认证服务器H-AS核对所收到的IDM是否有效。如果所收到的IDM是无效的，则该移动节点不合法，家乡网络认证服务器H-AS拒绝该节点的认证请求。如果所收到的IDM有效，则家乡网络认证服务器H-AS相信其移动节点MN是合法用户，并为移动节点MN计算会话密钥sk＝h(h(v)||v₀)，同时保存信息h(v)为了将来的会话密钥的更新。接着，为了验证会话密钥sk，家乡网络认证服务器H-AS回复确认信息E_sk(sk)给移动节点MN。

移动节点MN收到家乡网络认证服务器H-AS发来的信息后，移动节点MN核对E_sk^-1(E_sk(sk))是否等于sk。若两者相等，移动节点MN确信：家乡网络认证服务器H-AS是可信任的并且该家乡网络认证服务器已获得会话密钥；

在移动节点MN离开所在的家乡网络，漂移到外地网络时，将重新与该外地网络进行认证并建立会话密钥步骤。

5)当移动节点MN总是在同一个外地网络FN或者它的家乡网络HN里，移动节点MN的会话密钥需要周期性更新。为了简便，以下仅陈述移动节点MN与外地网络FN之间的会话密钥的更新。此更新过程也可应用于移动节点MN与外地网络FN的情况。

设想移动节点MN需要更新它与外地网络FN的第i次会话密钥sk_i，这里i＝1，2，3，...，n和sk₁设置为sk。首先，移动节点MN向外地网络认证服务器F-AS发送会话密钥更新请求信息这里v_i是由移动节点MN生成的足够大的随机数。移动节点所在的外地网络认证服务器F-AS收到会话密钥更新请求信息后，解密该信息并核对所收到的sk_i是否有效。若sk_i是有效的，外地网络认证服务器F-AS确信此信息有效并计算第i+1次会话密钥为sk_i+1＝h(h(v)||v_i)。随后，外地网络认证服务器F-AS回复确认信息给移动节点MN。移动节点MN收到外地网络认证服务器F-AS发来的信息后，核对是否等于sk_i+1。如果相等，移动节点MN确认此报文来自于所访问的外地网络认证服务器F-AS并且确信该外地网络认证服务器F-AS已经获得了第i+1次会话密钥。