移动通信中基于私钥的认证与交换方案

移动通信中基于私钥的认证与交换方案

无线通信技术的快速发展导致了移动通信和移动网络应用的日益关注和普及。然而对于移动用户和网络运营商来说,安全依然是其中至关重要的话题。尤其是用户方,随着移动通信提供的业务越来越广泛,用户对通信中的安全和其隐私的要求也越来越高。第三代移动通信系统虽然较第二代移动通信系统在安全方面有了较大的改善,但是它仍然存在一些不足:要求用户和网络中心必须预先共享一个共同的密钥,这使系统安全性降低;同时,随着移动用户量的增加,这种方案也带来了密钥的分配与管理问题。然而,利用密钥刷新的认证体制来构造用户认证方案,它不要求保密通信双方实现共享永久不变秘密信息,因而可以简化密钥的管理问题。然而利用公钥密码算法比较复杂,计算量大,终端的运算能力比较困难,公钥计算的复杂性成为制约它在终端应用的瓶颈,故公钥加密系统在移动通信中的应用的研究还不能变成现代保密通信系统的主流。所以本文提出的密钥刷新体制,设计一个集身份认证与会话密钥建立功能于一体的有效的认证协议,提供移动用户和网络运营商之间的相互认证,同时建立双方都认可的、新鲜的会话密钥。1会话密钥的认证在通信系统中,为实现安全通信,用户和网络运营商在初始化时就先得到权威机构分配的、经过认证的密钥。私钥加密就是得到一个密钥,以供使用者相互之间验证彼此的身份。验证身份后,通话过程中使用的会话密钥通常按照会话密钥产生方案由双方协商决定,因此会话密钥也需要双方的认证确认。为了简化过程,提高运行效率,可以把它与双方身份的认证合并在一块进行。1.13移动台的安全(1)挑战应答向量从HLR传送给需要认证一个移动用户的VLR的过程中没有经过保护,以明文传输,并且需要核查移动台的安全。(2)唯一标识一个移动用户的IMSI仍然暴露给访问网络。如果一个主动攻击者伪装成基站,袭击者仍然能够挟持IMSI,从而轻而易举地得到用户IMSI,没有验证网络端的身份功能。(3)安全模式仍然假设所有网络操作者之间是相互信任的。(4)没有提供服务不可抵赖性功能。(5)没有提供移动用户身份的完善保密性。1.2认证协议的有效性由于移动通信的终端设备多以运算能力相对较弱、存储量小的智能卡为主,因此设计移动通信系统中的认证协议应遵循原则:(1)尽量减少移动台的运算量,采用计算简单的密码算法,将执行协议所需要的计算尽可能多的转移到网络服务器端。(2)由于无线通信的带宽比较窄,信道差错率比较高,因此尽可能使传送的消息简短,减少相互传递的认证信息的个数。1.3基本标记1.4vlr/sn和authkmsn的实体鉴权验证步骤M1:MS发送AUTHMV=(TMSI,RM)K给VLR/SN。AUTHHV是用MS和HLR/HE共享的密钥K加密的。步骤M2:当VLR/SN接收到来自MS的消息时,VLR/SN传送这条消息给HLR/HE,同时发送AUTHVH的挑战消息给HLR/HE。当HLR/HE接到消息后,找到各自的密钥。解密AUTHMH和AUTHVH,得到RM和RV,根据RM和RV在原有密钥的基础上计算得到K′和1K′。之后HLR/HE产生随机数,生成鉴权向量AV和鉴权消息AUTN。同时,VLR/SN根据RV和K1计算得到1K′。步骤M3:用HLR/HE产生新的秘密密钥K′和1K′来加密一些参数,分别得到AUTHHM和AUTHHV发送给VLR/SN。当VLR/SN接收到来自HLR/HE的消息时,VLR/SN根据新的秘密密钥1K′解密AUTHHV的消息获得RH、AV和RV。保证VLR/SN的秘密密钥的刷新。这时可以证明VLR/SN和HLR/HE相互的实体鉴权,验证应答消息AUTHHV,在AUTHHV中包括挑战消息RV,VLR/SN知道HLR/HE是合法的。步骤M4:VLR/SN传送AUTHHM给MS并且发送它的应答消息AUTHVM给MS。AUTHVM是由1K′加密一些参数得到的。当MS接到由VLR/SN发送的消息时,MS应用新的密钥K′计算得到RH,之后解密AUTHHM,得到RH和RM、AUTN和1K′,MS根据RH去计算AK=f5K(RH)。重新获得SQN值之后,MS计算XMAC,和在AUTN中的MAC比较。如果它们匹配,能够证实MS鉴权HLR/HE。然后根据解密AUTHHM得到的VLR的新的秘密密钥1K′,之后再用1K′解密AUTHVM,MS获得IDV和RM。这时,MS证实了VLR/SN合法性。步骤M5:MS得到RH去计算应答值RES传给VLR/SN,之后在VLR/SN中比较RES和XRES。这时,MS和HLR/HE之间的鉴权完成了。证实了AUTHVM,这个MS知道消息来自VLR/SN,并且仅仅VLR/SN知道秘密密钥,所以这个消息AUTHVM确实是在VLR/SN中产生的,那么鉴权协议将完成了。2提高了协议的安全性该协议满足第三代移动通信的安全要求,通过密钥刷新加密,大大提高了协议的安全性;同时通信双方进行了相互认证,可以提供业务的不可否认性;计算量并不太大,能满足移动通信终端的要求。2.1实现协议的基本功能2.1.1hlr检测VLR在步骤M5中,接收到来自HLR的认证向量中包含了期望MS产生的应答XRES=f2(RH)。若MS是合法用户,在步骤M2中接收到HLR产生的随机数RH后应能正确的计算RES=f2(RH),并且RES=SRES。MS对HLR的认证是通过消息认证码MAC实现的。MS接收到VLR转发的、来自HLR的MAC=f1K(SQN|RH|AMF),然后计算出XMAC=f1K(SQN|RH||AMF),在保证SQN的正确性前提下,MAC=XMAC,则认证成功。2.1.2dme-msdmsMS对HLR的认证是通过随机数RM实现的。在步骤M1中,VLR传递消息AUTHMH给HLR。在M3中,HLR解密这个消息得到RM,发送AUTHHM,其中包含RM。在M5中,MS解密AUTHHM得到RM,如果匹配,MS能够证明VLR的合法性。HLR对MS的认证是通过K′实现的。MS根据RM和K计算出K′。HLR能够解密AUTHMV,然后得到RM,并在HLR中计算得到K′。如果相匹配,那么MS能够正确地解密出来自HLR的RM,这时HLR证明了MS的合法性。2.1.3vlr扩增的可行性VLR对HLR的认证是通过随机数RV实现的。在步骤M1中,VLR传递消息AUTHVH给HLR。在M3中,HLR解密这个消息后得到RV,发送AUTHHV,其中包含RV。在M4中,VLR解密AUTHVH得到RV,如果匹配,MS能够证明VLR的合法性。HLR对VLR的认证是通过1K′实现的。VLR根据RV和K1计算出1K′。HLR能够解密AUTHVH得到RV,之后在HLR中计算得到1K′,如果相匹配,则VLR能够正确地解密出来自HLR的AUTHHV中的RV,这时HLR证明了MS的合法性。2.1.4ikelr的设计VLR在协议步骤M3接收到来自HLR的认证向量中包含了加密密钥CKHLR与完整性密钥IKHLR,合法用户在收到正确的随机数RAND后,能正确产生CKMS=f3K(RAND),IKMS=f4K(RAND),并且CKMS=CKHLR,IKMS=IKVLR,CK与IK将用于其后的保密通信,而CK与IK未在无线接口中传输,确保了密钥的安全性。2.1.5确保ms和htl密钥磨损在MS和HLR中,最初共享秘密密钥K,然后经过运算得到新的秘密密钥K′,这样能够防止假冒者的攻击和偷窃。2.1.6防止人员盗用VLR和HLR之间设置了新的密钥K1,主要目的是为了防止在有线网络部分运营的人员的盗用。密钥的进一步刷新,使得通信更加安全,并且能够完成相互鉴权的作用。2.2抗日志攻击2.2.1添加不同密钥的情况首先,它利用刷新特性能够阻止重放攻击。这个HLR/HE刷新秘密密钥K和K1去变成K′和1K′,然后分配给MS和VLR/SN它们各自的随机数。这个新的密钥K′和1K′是由原来的密钥K和K1得到的。阻止了重放攻击。同时,用户使用不同密钥去请求登记和鉴权,MS与VLR之间每次通信均采用不同的密钥CK与IK。由于每次通信前的认证选择了不同的认证向量,保证每次通信采用的密钥CK与IK是采用不同的随机数计算得到。而每次使用的消息认证码MAC是由不断递增的序列号SQN作为其输入变量之一,保证了认证消息的新鲜性,所以重放攻击是不可行的。2.2.2密码实际攻击在安全系统中,使用密码完成安全,使袭击者很容易成功的猜测出密码,因为密码容易攻击。由于本文改进的方案,密码刷新方法可阻止猜测攻击。在每一个鉴权进程中,用户使用不同的密钥去请求登记和鉴权,所以这个猜测袭击是不可行的。2.2.3临时身份标识移动用户的临时身份由MS随机产生,并用密钥加密后传送给HLR,HLR用和MS共享的密钥解密获得用户的临时身份。这个临时身份只有MS和网络端才知道。临时身份标识的使用达到了所要求。无线接入链路上的窃听者,无法知道用户的临时身份标识,更无法知道和永久身份标识IMSI之间的映射关系。这样使得攻击者无法获得一个用户的具体位置信息。保证了用户位置的机密性。由于攻击者无法确定用户的身份和位置,有效防止了针对特定用户的拒绝服务攻击。2.3网络端容量有限本文的认证方案,在用户端和网络端都增加了一次加解密的运算量,网络端的计算相当快,但是用户端由于容量有限,相对于网络端的计算要慢一些。但是该认证方案中,刷新密钥仅仅是异或运算,计算量不是很大,而