郑晓丽，姜迪刚

（军事体育进修学院，广东 广州 510500）

0 引言

目前国内外大多数移动 IP注册协议都采用对称密码体制和基于证书的公钥密码体制相结合的方式来实现移动实体之间的相互认证[1-5]。为了克服采用基于证书的公钥密码体制带来的繁琐的证书管理问题，本文针对IPSec协议的不足，通过将无证书公钥技术融入IKEv2协议[6]，形成了一种新型的IPSec接入认证方法，实现了在移动IPv6网络环境下移动节点MN对代理的安全注册。本文提出的移动IP注册协议能达到以下目的：

①移动实体之间的相互认证，注册消息的完整性保护和新鲜性保护，用户匿名性及共享密钥的安全协商和动态更新等。

②使用无证书公钥密码体制提供注册协议的可扩展性。

③提高注册协议的效率，使最小化协议的注册延迟。

④能离线计算一些合适的值，以减少协议的处理时间。

1 IPSec协议

IPSec是一种协议套件，为了实现由 IPSec体系描述的各种能力，这些协议相互交互，并紧密地结合在一起。IPSec是一个开放标准的框架，用以保证IP网上私有通信的安全。IPSec提供了网上数据的完整性，可靠性和保密性。IPSec运行时，连接终端直接提供安全措施。传输时，只有IP负载被加密，IP头保持原样。

1.1 IPSec协议的组成

IPSec协议由AH（验证头）、ESP（封装安全载荷）、IKE（Internet密钥交换）、ISAKMP/ Oakley以及转码组成。IPSec各组件之间的交互方式，其安全体系架构如图1所示。

①AH：对IP头和IP包中负载的鉴别。这是通过在共享密值(shared secret value)中使用带主键的哈希运算来实现的。

②ESP：提供在IP层的负载加密。如果使用可选的完整性检查值(ICV)，还可提供鉴别功能。如果使用鉴别功能，ICV的值在加密完成后被计算。

ESP并不鉴别IP头。鉴别功能在保护数据负载的同时通过保护IP头中不变数据也提供了对IP头的保护。IPSec协议可通过 AH和 ESP协议来提供IP层的安全服务。所提供的安全服务包括访问控制、无连接完整性、数据鉴别、防止重放和加密。

③IKE：可为 IPSec协议生成密钥。针对需要密钥的其它协议，亦可用I K E来协商密钥。Internet上有许许多多要求安全服务（比如保障数据的完整性）的协议，以便保护它们的数据。

④策略：是一个尚未成为标准的组件，它决定两个实体之间能否通信。

图1 IPSec 安全体系架构

1.2 IPSec工作机理

当路由收到一个数据包时，它将检查安全策略以决定是否为此数据包提供保护措施。通过IPSEC，可利用access-list来定义何种类型的数据应该受保护。如果流量和访问表相匹配，则此流量将被定义过的安全协议所保护。

根据己定义过的策略，路由器决定何种安全服务被用于此数据包，并决定IPSEC隧道端点所使用的地址。然后路由器检查是否已存在一个 scurity association。如果没有 security association存在，路由器将同与之相连的对等体协商一个。为此，IKE被用来在2台路由器之间建立一个提供验证的安全通道，在此通道之上进行IPSEC security association的协商。

IPSEC：security association通过安全通道被协商。发起会话的对等体将发送其配置好的 ISAKMP策略给远程对等体。在此策略中包含了定义了的加密算法、哈希算法、验证方法、Diffe-Hellman生存期。在路由器上使用 show crypto isakmp policy就能够看到此策略。

策略统一后，IKE将结束协商进程，一个 security association将被创建。它被用来记录所有与某一IPSEC通信会话相关的细节。此security association通过将一个被称为安全参数索引(SPI)的随机数与目标IP地址的组合来唯一确定。

一旦建立好，security association被用于所有与access-list相匹配的流量，正是此access-list导致了初始的协商。SA是单向性的，每一个会话只需要2个SA。当处理进出对等体的流量时，相应的SA被使用。每个SA都有一个与协商值相等的生存期。SA过期后，新的SA将被产生。

2 无证书公钥体制（CL-PKC）

无证书公钥体制（CL-PKC），既不需要用证书来保证公钥的真实性，也不会出现密钥托管问题。在CL-PKC中，一个用户的私钥分2个步骤产生：

①KGC根据用户A的身份信息标志符IDA和他的主密钥s计算出部分私钥DA并通过秘密的可靠信道发送给用户。KGC必须确保将部分私钥安全地发送给用户A。

②用户将收到的部分私钥 DA和某个只有用户自己知道的秘密值xA组合从而产生实际的私钥SA。这样,KGC就不知道用户的私钥了，也就避免了基于身份的密码系统中的密钥托管问题。

用户的公钥不再根据用户的身份来计算，而是用户利用KGC公开的系统参数和他的秘密值产生的。所以，采用无证书密码系统的签名机制中，用户必须将其公钥附加在签名消息中提供给请求者，或者将公钥发送给KGC，由KGC统一保管用户的公钥，当其他用户之间需要通信时，便向 KGC申请获得对方的公钥，之后再进行通信。

无证书的公钥体制的优点：

①由于CL-PKC不需要证书来使用户对公钥产生信任，而是通过内在的方式加以实现，所以它消除了传统的基于证书的 PKC中使用证书所引发的许多问题：与证书相关的冗余不再存在，使得CL-PKC的存储和通信带宽较低，节省了开销；不需要在使用公钥前验证证书，减少了计算量，提高了效率[8]。

②与ID-PKC一样，用户的私钥可以在他的公钥生成并使用后再确定。而且由于 CL-PKC方案与基于双线性对的ID-PKC方案有密切联系，任何支持基于双线性对的ID-PKC方案的基础设施都可以用于支持CL-PKC方案，即这两种方案可以很方便地共存。

③CL-PKC是介于传统的公钥体制与ID-PKC之间的一种公钥密码学，它的思想不仅兼有两者的优点，还基本上克服了两者的缺点，因而特别适合于无法接受密钥托管但是又难以维持整个PKI负担的情况。

无证书的公钥体制的缺点：

①由于公钥是由秘密值和 ID计算得出的，其他用户并不能一目了然的获得对方的公钥，必须向KGC申请才能获取对方的公钥，增加了复杂度。

加强县乡人大工作和建设是坚持和完善人民代表大会制度、加强基层国家政权建设的可靠保证。在中国特色社会主义进入新时代这一新的历史条件下，县乡人大只有与时俱进、创新发展，才能为社会主义民主法治建设作出新的更大贡献。

②无证书公钥体制是近几年才发展起来的，并没有完整的理论体系，所以存在着一些潜在的安全威胁。

3 协议的认证与注册[7]

3.1 MN与HA的认证

无证书公钥密码体系的 MN与 HA的认证过程的设计如下：

①MN开机后选择随机数Ni，向HA发送{IDMN，Ni，SAi1，KEi}||SigMN等注册消息。

②HA收到注册消息后，向KGC申请获取MN的公钥，同时验证MN的身份IDMN和所收到消息消息签名SigMN，再由HA选择随机数Nr，向移动节点MN发送{IDHA，Ni，Nr，SAr1，KEr}||SigHA消息。

③MN收到上述消息后，向KGC申请获取HA的公钥RHA，对HA的身份IDHA和所收到消息的签名SigHA验证后，根据KEr计算MN与HA之间的共享密钥SK，并利用共享密钥SK加密{IDMN，AUTH，SAi2，SAis}消息，再次发送给HA。

④HA在收到被加密的消息后，利用共享密钥对其进行解密，经过AUTH验证，使用共享密钥加密{IDHA，AUTH，SAr2，SArs}消息后，再发送给MN。

3.2 MN在外地网络向HA进行注册

无证书公钥密码体系的 MN与 FA的认证过程的设计如下，其中包括MN向家乡代理的绑定更新：

②FA收到消息后，从KGC获取MN的公钥RMN，验证IDMN和所收到消息的签名，然后FA将HoAMN与CoAMN绑定并缓存，再选择随机数 Nr，向 MN 发送{IDFA，Ni，Nr，SAr1，KEr}||SigFA消息。

③MN收到消息后，从KGC获取FA的公钥RFA，验证IDFA和所收到消息的签名SigFA，根据KEr计算出MN与FA之间的共享密钥SK，再利用共享密钥SK加密{IDMN，AUTH，SAi2，SAis}消息，发送给FA。

④FA对收到的加密消息利用共享密钥 SK解密，经过AUTH，验证，使用SK加密{IDFA，AUTH，SAr2，SArs}消息，再次发送给MN。

⑤MN向HA发送绑定更新消息FBU，该消息使用MIPSec/SAMN-HA保护。

⑥HA向MN返回绑定确认消息BAck。

3.3 性能分析

公钥运算次数：

此协议无论MN是在本地还是在外地向HA注册，都只进行了2次公钥的运算，即前两次交互时的签名算法。其后的交互均用共享密钥SK进行保护。

MN的计算量：

①计算签名所需的私钥与公钥。

②验证HA/FA的签名和IDHA/IDFA。

③计算与HA/FA之间的共享密钥。

HA/FA的计算量：

①计算签名所需的私钥和公钥。

②验证MN的签名和IDMN。

③计算共享密钥SK。

④对AUTH进行验证。

协议的交互次数：

此协议与IKEv2原始协议的交互次数相同（即本地注册4次、外地注册6次），只是针对每一次交互做出了相应地修改。

4 结语

在IPv6、IPSec安全协议和近几年兴起的无证书公钥体系的基础上，提出了一种在移动 IPv6环境下的注册认证方法。这一协议针对IPSec协议的不足，通过将无证书公钥技术融入IKEv2协议，形成了一种新型的IPSec接入认证方法，实现了在移动IPv6网络环境下移动节点MN对代理的安全注册。

[1] ZHANG L, ZHANG F T, ZHANG F G. New Efficient Certificateless Signature Scheme[C]. Denko M. LNCS 4809: EUC Workshops 2007.Berlin: Springer-Verlag, 2007:692-703.

[2] ZHANG Z, FENG D. Key Replacement Attack on a Certificateless Signature Scheme (Cryptology ePrint Archive) [DB/OL].(2006-04-03)[2007-07-20]. http://eprint.iacr.org/2006/453.pdf.

[3] JOHNSON D, PERKINS C, ARKKO J. Mobility Support in IPv6[DB/OL].(2006-2-24) [2007-01-20]. http://rfc.sunsite.dk/rfc/rfc3775.html.

[4] CHOI K Y, PARK J H, HWANG J Y, et al. Efficient Certificateless Signature Schemes// Katz J. LNCS 4521: ACNS 2007. Berlin:Springer-Verlag, 2007:443-458.

[5] YAP W, HENG S, GOI1 B. An Efficient Certificateless Signature Scheme[C]. Zhou X. LNCS 4097: EUC Workshops 2006. Berlin:Springer-Verlag, 2006:322-331.

[6] 蔺萌.WCDMA系统安全机制研究[J].通信技术,2007,40(04):51-53.

[7] 郑晓丽,姜迪刚.基于无证书公钥密码体制的密钥管理[J].通信技术,2010,43(07):95-97.

[8] 郑晓丽.军队档案网络信息安全现状及对策[J].通信技术,2011,44(01):71-72.