具有快速ID匿名的移动IP注册协议

董 博，王保仓，魏文佳

(1.西安电子科技大学理学院，陕西西安 710071;2.西安电子科技大学计算机网络与信息安全教育部重点实验室，陕西西安 710071;3.西安电子科技大学通信工程学院，陕西西安 710071)

随着无线通信技术的发展，移动无线可随时接入Internet，移动IP技术给人们带来了便利，但与其相关的安全问题日益出现。移动节点在无线网络环境中漫游，需要通过访问本地网络提交身份信息进行身份验证，访问网络获得本地网络正确的认证结果后才能为移动终端提供接入服务，因此一个合适的身份认证协议是必要的。为防止非法窃听者跟踪移动节点的物理位置，无线网络必须保证移动节点的身份匿名性，从而保证其隐私［1－2］。

针对无线网络匿名认证问题，文献［3］在对称加密方案上作了改进，提高了安全性，但改进后的协议比较复杂。文献［4］中移动用户通过对家乡代理的身份和新建的Diffie－Hellman密钥进行Hash运算来构造临时身份标识符，具有很强的匿名性。文献［5］分析了文献［4］的不足，但该协议的移动节点不仅使用复杂的指数运算，而且牺牲家乡代理的计算量换取移动节点部分计算量。

提出的移动IP注册协议，其安全性基于困难椭圆曲线CDH问题，没有复杂的线性对和指数运算，大幅降低了计算复杂度，协议中选取的随机数满足ID的匿名性，防止攻击者根据不变的临时ID对用户真实ID进行跟踪，实现了用户ID匿名性。

1 基本概念及符号说明

移动IP注册协议主要涉及三方，即移动节点MN、家乡代理HA和外地网络代理FA。当MN从家乡网络移动到外地网络或者从一个外地网络移动到另一个外地网络时，需要通过外地代理向家乡代理进行位置注册，绑定移动节点的新的转交地址和家乡地址。

符号说明:IDMN，IDFA，IDHA分别为移动节点，外地代理和家乡代理的身份标识符;HoAMN，COAMN分别为移动节点的家乡地址和转交地址;KMN－HA，KMN－FA表示节点MN和代理HA，FA之间的共享密钥;A→MB表示节点A向节点B发送消息M;〈M〉K表示消息M在密钥K下的消息认证码;Sig(SKID，M)表示用某ID的私钥对消息M进行数字签名;Re ply表示注册回复的一个比特值。

2 本协议方案

2.1 建立系统

可信中心TC(Trust Center)，在有限域Fq上选取一条安全的椭圆曲线，确定安全椭圆曲线参数D=(q，a，b，FR，G，n，h)［5］，基于安全参数k生成阶为q的加法群G，选择散列函数H∶{0，1}*→G，并将散列函数H与参数D公布。

有线网络中的可信中心TA(Trusted Authority)分别给 HA，FA 颁发证书，CertHA，CertFA私钥 SKHA，SKFA。

2.2 移动节点在家乡网络登记

当节点MN准备注册成家乡网络HA的用户时，首先，HA为节点MN分配一个惟一的用户标识符IDMN，随后HA选择秘密随机数h(h∈Z*q)，计算tHA=

hP，并保存信息记录〈IDMN，H(h)，h〉，将〈IDMN，tHA，

H(h)〉经过安全信道发送给MN。

2.3 移动节点MN注册过程

移动节点MN注册过程，如图1所示。

图1 移动节点注册过程

2.3.1 代理广播

AD，IDFA，CoAMN，H(f)，CertFA。

2.3.2 注册过程

M1包括 IDMN，CoAMN，IDFA，tMN，H(m)，H(f)，H(h)，TID。

选择随机数m，m∈，计算tMN=mp，H(m)。把H(m)当作公开随机数，然后构造临时身份标示符TID=mtHA⊕IDMN，得共享密钥求出消息认证码并作为MN和HA之间的认证扩展。

FA收到MN发过来的消息，验证消息M1中的H(f)是否有效。若有效，FA完成对MN的认证。计算tFA=fP，共享密钥KMN－FA=ftMN，用 SKFA对M2进行数字签名且与消息一起发送给HA。

HA收到FA发过来的消息，M2中的IDFA是否与M1中的IDFA相同，并检验H(h)的有效性。接着HA检验FA的数字签名，若验证成功，则FA通过HA的验证。

HA为MN分配一个动态家乡地址，并将其与转交地址绑定，重新选择随机数h'，计算t'HA=h'P，H(h')及消息M4在KHA－MN下的MAC值，用SKHA对消息M3进行数字签名和消息一起发送给FA。

FA收到HA发过来的消息，先检验H(f)是否有效，验证HA的签名，若通过验证，则完成对HA的认证。

3 安全性分析

3.1 共享密钥认证安全性分析

MN与HA之间共享密钥分两步计算:

对于移动节点MN和家乡代理HA之间的认证，各自秘密随机数的散列值同时起着认证效果，这样就达到双重认证的作用，安全性进一步提高。

3.2 重放攻击安全性分析

当通信双方不在一个时区时，存在时间差，那么用时戳防止重放攻击保护消息的新鲜性存有不足。协议中用随机数可以代替时戳，MN，FA，HA分别选择秘密随机数m，f，h，用哈希函数作变换然后公布于众，由于就哈希函数的特点，即不可逆性和无碰撞性。保证了不会有相同的随机数产生，因此能够防止重放攻击，并且在此过程中还能起到认证作用，即传递消息中的H(m)，H(f)，H(h)是否与各节点秘密随机数的哈希值相同，作为第二重认证。

3.3 密钥交换安全性分析

在计算共享密钥K时，攻击者通过各种攻击手段可能得到的数据是TID，tMN，tHA以及Hash函数H1，H2。对于通信双方的秘密随机数和，攻击者不可能得到。所以对于表达式中的LMN=mtHA，LHA=htMN，无法确定，所以攻击者不能得到共享密钥K。如果本次对话过程中，共享密钥K泄露，也不可能影响到之前会话的共享密钥，因为每次会话双方的各自随机数保密且不同，达到保证向前保密安全。

3.4用户匿名性分析

TID=L⊕IDMN，其中L=mhP，实现用户匿名性。MN和HA选取的秘密随机数m、h，第三者无法知道，不能计算出mhP，也就无法由临时身份标示符TID得出真实身份IDMN。因此只有HA由IDMN=TID⊕LHA推出MN的真实身份，由于每次选取的秘密随机数不同，因此保证了临时身份标示符的不确定性，攻击者不能对用户的位置移动进行跟踪。

4 效率分析

设计没有使用复杂的双线性对运算和指数运算，对于内存小、计算能力弱和移动频繁的移动节点最适合，并且对于家乡代理，移动节点越来越多，来回切换网络或地区越来越频繁，给家乡代理带来负担，容易造成通信延迟等问题。相对于指数运算和对运算，Hash函数、点乘、异或等运算计算量较小。

表1 注册协议中节点计算量比较分析表

具体如表1所示，协议中MN和HA没有采用复杂的对运算和指数运算，只是用到了一些点乘等运算，与文献［5］相比，协议中MN用到2次Hash函数，2次点乘，1次异或运算，HA用到3次Hash函数，3次点乘，1次异或运算，相对于指数运算和对运算，计算量大幅减少。注册过程中异或运算建立 TID，多1次Hash运算是计算MN、FA、HA各自秘密随机数的Hash值，这样不仅可以防止重放攻击还能进行第二次认证，明显比时间戳更有效，安全性更高。

5 结束语

本方案的安全基础是椭圆曲线CDH问题，利用Diffie－Hellman密钥交换算法建立共享密钥。方案没有使用很复杂的双线性对运算和指数运算，使得移动节点和家乡代理的计算量明显减少，计算效率大幅提高，从而达到快速匿名注册的目的。这样对于移动节点日益频繁的移动切换和家乡代理负担过重有重要的意义。

［1］苏剑飞，王景伟.网络攻击技术与网络安全探析［J］.通信技术，2010(1):99－101.

［2］PERKINS C.IP mobility support for IPv4［DB/OL］.(2002－8－1)［2012－05－10］http://www.ietf.com.

［3］彭华熹，冯登国.匿名无线认证协议的匿名性缺陷和改进［J］.通信学报，2006，27(9):78 －85.

［4］党岚君，寇卫东，曹雪菲，等.具有用户匿名性的移动IP注册协议［J］.西安电子科技大学学报，2008，35(2):282－287.

［5］马华，任伟超，党岚君，等.基于身份的移动IP注册协议［J］.北京工业大学学报，2010，36(2):123 －127.

［6］吴福生.改进新密钥交换协议及其形式化分析［J］.通信技术，2011(7):105－107.

［7］任中岗，翟东海.有限域GF(q)上安全椭圆曲线的选取［J］.信息与电子工程，2009，7(5):493－496.