謝金濤，王玲芳，李 楊

（1.中國科學(xué)院大學(xué)，北京 100049；2.中國科學(xué)院聲學(xué)研究所國家網(wǎng)絡(luò)新媒體工程技術(shù)研究中心，北京 100190）

根據(jù)思科預(yù)測，到2030 年，物聯(lián)網(wǎng)（Internet of Things，IoT）設(shè)備將達(dá)到5 000億臺，其中包括大量的智能家居、車聯(lián)網(wǎng)等移動設(shè)備[1]。但是目前的網(wǎng)絡(luò)架構(gòu)難以滿足這些移動場景的低時延、高吞吐等要求[2-4]。5G 和信息中心網(wǎng)絡(luò)（Information-Centric Networking，ICN）的融合為解決該問題提供了新的思路[5-7]。ICN以信息為中心，將內(nèi)容和位置分離，通過名字訪問內(nèi)容實體，可以為5G 網(wǎng)絡(luò)提供移動性、安全性等支持[8-9]。名字解析系統(tǒng)（Name Resolution System,NRS）作為ICN 的重要組成部分，負(fù)責(zé)建立、維護和發(fā)布信息名字和地址之間的映射關(guān)系，提供快速的名字解析功能等[10-11]。

移動節(jié)點(Mobile Node,MN)請求NRS 服務(wù)需要先通過NRS 代理(NRS Proxy,NP)認(rèn)證，獲取解析節(jié)點列表。由于NP 的服務(wù)范圍有限，MN 存在不同NP 間切換認(rèn)證的場景?？紤]到MN 的計算能力可能有限，并且要確保其服務(wù)的連續(xù)性，切換認(rèn)證協(xié)議必須滿足簡單性、高效性和安全性要求[12-14]。根據(jù)調(diào)研結(jié)果，目前針對NRS 中切換認(rèn)證的研究較少。不過，無線網(wǎng)絡(luò)和NRS 的切換場景有高度的相似性，可以從中借鑒一二。文獻[15-16]通過對稱加密的票據(jù)減少無線網(wǎng)切換過程中的認(rèn)證延遲。MN 持有原接入點(Access Point,AP)分發(fā)的票據(jù)就可以向目標(biāo)AP 認(rèn)證。文獻[17-18]將多個接入點AP 構(gòu)成組，MN 使用原AP 私有組密鑰加密的票據(jù)認(rèn)證。該方案對AP 要求高。文獻[19]采用廣播的方式認(rèn)證。MN 通過認(rèn)證服務(wù)器(Authentication Server,AS)將票據(jù)發(fā)送給AP。AS 和AP 之間可能有很多跳，這種方式有時延過高的問題。文獻[20]提出基于票據(jù)廣播的切換機制來改進多跳問題。原AP 提前生成票據(jù)，通過一跳將票據(jù)發(fā)送給鄰居。文獻[21-22]指出文獻[20]存在一些漏洞，比如有效期明文存儲導(dǎo)致的篡改問題、AP 間密鑰相同帶來的安全風(fēng)險等。然而文獻[22]改進后同樣存在類似的安全問題。文獻[21]雖然解決了上述問題，但是認(rèn)證過程中冗余開銷和計算代價都比較大。

文中提出了一種基于票據(jù)的名字解析系統(tǒng)切換認(rèn)證方案，實現(xiàn)安全高效的切換認(rèn)證。MN 首次接入NRS 時利用AS 預(yù)簽名的票據(jù)與NP 完成認(rèn)證。在MN 移動過程中，MN 使用從NP 提前獲取的票據(jù)完成切換認(rèn)證。分析表明該方案不僅能提供多種安全保障，而且分別通過四次通信和兩次通信完成接入認(rèn)證和切換認(rèn)證過程，降低了認(rèn)證交互過程中的冗余開銷和計算代價。

1 模型和票據(jù)

1.1 NRS模型

NRS 模型如圖1 所示，包括解析節(jié)點、代理NP以及移動節(jié)點MN。其中解析節(jié)點在滿足時延要求的前提下提供解析服務(wù)。NP 負(fù)責(zé)維護解析節(jié)點列表，輔助MN 接入服務(wù)。MN 是NRS 的移動用戶，可能是手持設(shè)備、車輛、工業(yè)移動設(shè)備等。MN 首先要通過NP 認(rèn)證獲得解析節(jié)點列表，才能進一步請求解析節(jié)點的服務(wù)。由于每個NP 的服務(wù)范圍有限，當(dāng)MN 移動后，需要重新向新NP 認(rèn)證才能獲得新解析節(jié)點列表。

圖1 NRS模型

在移動過程中，MN的服務(wù)需要保持連續(xù)性，因此切換認(rèn)證方案必須高效。MN在移動過程中容易被竊聽、劫持或破壞，切換認(rèn)證方案也必須具備一定的安全性：1）雙向認(rèn)證。MN 和NP 要驗證對方的合法性。2）隱私保護。MN 的身份標(biāo)識在移動時不能被攻擊者獲取，后續(xù)通信不能被竊聽。3）前向和后向安全性。攻擊者即使得到密鑰也無法獲取之前和之后的通訊內(nèi)容。4）抵抗重放攻擊。攻擊者重新發(fā)送竊聽到的信息，不能通過MN和AP的認(rèn)證。5）抵抗偽造攻擊。攻擊者無法以偽造認(rèn)證信息的方式通過認(rèn)證。

1.2 票 據(jù)

在開始認(rèn)證前，認(rèn)證服務(wù)器AS對NP和MN的身份票據(jù)進行簽名。該文方案主要涉及三種票據(jù)：移動節(jié)點MN 的票據(jù)、代理NP 的票據(jù)和切換認(rèn)證的票據(jù)。

1）移動節(jié)點MN 票據(jù)

TMN={IMN,IA,τexp_MN,PMN,SigA_MN},其中IMN是設(shè)備MN 的標(biāo)識。IA是對IMN簽名的認(rèn)證服務(wù)器AS 的標(biāo)識。τexp_MN為票據(jù)TMN的有效期，如果票據(jù)失效了，MN 需要重新向AS 申請。PMN是MN 的公鑰，用于加密消息，防止認(rèn)證過程中攻擊者的竊聽行為。SigA_MN是AS 對該票據(jù)的數(shù)字簽名，用于證明MN 是合法擁有該票據(jù)，而且使攻擊者無法修改票據(jù)，保證票據(jù)的真實完整。

2）代理NP 票據(jù)

TNP={INP,IA,τexp_NP,PNP,SigA_NP}，其 中INP為代理NP 的標(biāo)識。IA是對INP簽名的AS 的標(biāo)識。τexp_NP為票據(jù)TNP的有效期。同樣地，如果票據(jù)失效，NP 需要再次向AS 申請。NP 的公鑰PNP用來加密信息，信息內(nèi)容只能被NP 解密。SigA_NP是AS 對該票據(jù)的數(shù)字簽名，用于證明編號INP的代理擁有該票據(jù)的合法性和確保票據(jù)安全。

3）切換認(rèn)證票據(jù)

θMN={IMN,INP,IA,τexp_θMN,H(IMN||INP||IA||τexp_θMN)} 其 中IMN、INP、IA分別是對應(yīng)角色的標(biāo)識，τexp_θMN是該票據(jù)的有效期。H(IMN||INP||IA||τexp_θMN)是這些內(nèi)容經(jīng)過單向散列函數(shù)運算的結(jié)果，以保證θMN的完整性。θMN一旦被篡改或者出錯，就會被發(fā)現(xiàn)。與上述兩個票據(jù)不同，θMN是由當(dāng)前NP 為MN 生成的，用作MN 移動后，向下一個NP 認(rèn)證的憑證。

文中涉及到的操作符號含義如表1 所示。

表1 操作符號含義

2 認(rèn)證方案

該文的認(rèn)證方案包括接入認(rèn)證和切換認(rèn)證兩部分。前者是MN 首次請求NRS 服務(wù)時和代理NP1 之間的認(rèn)證。后者是MN 移動后與下一個代理NP2 之間的認(rèn)證。

2.1 接入認(rèn)證

假設(shè)MN和AP1的身份票據(jù)獲得了AS的簽名。MN要接入名字解析系統(tǒng)的服務(wù)，首先要和NP1 互相驗證票據(jù)，進行雙向認(rèn)證。具體認(rèn)證流程如圖2 所示。

圖2 接入認(rèn)證流程

1）當(dāng)MN 首次請求NRS 服務(wù)時，它需要先向周圍的NP 廣播包含它的標(biāo)識IMN的消息。

2）代理NP1 收到請求后，向MN 回復(fù)消息通知它的存在。回復(fù)內(nèi)容包括NP1 的票據(jù)TNP1和NP1 生成的隨機數(shù)NNP1。MN 收到消息后，首先通過τexp_NP1驗證票據(jù)是否過期。如果沒有過期，MN 驗證SigA_NP1是否合法。如果非法，MN 忽略NP1。當(dāng)SigA_NP1合法，MN 完成對代理NP1 的認(rèn)證，然后生成隨機數(shù)NMN0，并計算共享密鑰KPMK0=NMN0||NNP1。

3）通過上述步驟，MN 從票據(jù)TNP1中獲得NP1 的公鑰PNP1，并用其加密自己的票據(jù)TMN，隨機數(shù)NMN0以及H(KPMK0)。MN 將加密消息發(fā)送給NP1。NP1 收到后使用私鑰解密，得到TMN、NMN0和H(KPMK0)。然后NP1 通過τexp_MN驗證票據(jù)是否過期。如果沒有過期，NP1 驗證SigA_MN是否合法。當(dāng)SigA_MN合法，NP1計算共享密鑰KPMK0=NMN0||NNP1，并通過單向散列函數(shù)運算，與H(KPMK0)進行比較，保證NP1 和MN 持有一致的共享密鑰。此時NP1 完成對MN 的認(rèn)證。最后NP1 為MN 創(chuàng)建用于切換認(rèn)證的票據(jù)θMN。

4）NP1使用共享密鑰KPMK0加密θMN和H(NMN0||θMN)后發(fā)送給MN。MN 解密得到切換認(rèn)證票據(jù)θMN，并驗證H(NMN0||θMN)，保證θMN的正確性。

2.2 切換認(rèn)證

為了實現(xiàn)快速切換，NP1 將一些信息通過路由共享給鄰居代理。以鄰居代理NP2 為例，NP1 根據(jù)NP2 的標(biāo)識INP2生成臨時密鑰KPMK1=H(KPMK0||INP2)。同時生成MN 新標(biāo)識IMN1=H(IMN0||INP2)以保護用戶的匿名性。之后NP1 通過NP 間共享密鑰加密θMN、KPMK1和IMN1后發(fā)送給NP2，用于切換認(rèn)證。這些計算全部發(fā)生在代理，不會給MN 帶來計算負(fù)擔(dān)。當(dāng)MN移動到NP2 時，會進行切換認(rèn)證。具體流程如圖3所示。

圖3 切換認(rèn)證流程

1）MN 首先生成用于切換的臨時密鑰KPMK1=H(KPMK0||INP2)、新標(biāo)識IMN1=H(IMN0||INP2)和隨機數(shù)NMN1。然后MN 使用KPMK1加密IMN1、NMN1、H(IMN1||NMN1||θMN)，將加密信息發(fā)送給NP2。NP2 收到后，使用從NP1 獲取到的臨時密鑰KPMK1解密，驗證H(IMN1||NMN1||θMN)是否正確。如果正確，則NP2 對MN 認(rèn)證通過。接著NP2 生成隨機數(shù)NNP2，并計算與MN 的共享密鑰KPMK2=NMN1||NNP2。

2）NP2使用KPMK1加密NNP2、H(NNP2||θMN)、H(KPMK2)后，將消息發(fā)送給MN。MN 收到并解密得到NNP2，然后使用NNP2驗證H(NNP2||θMN)。如果驗證通過，則MN完成對NP2 的認(rèn)證。之后MN 計算它與NP2 的共享密鑰KPMK2=NMN1||NNP2，驗證H(KPMK2)，確保和NP2 擁有一致的共享密鑰。

通過以上兩次通信完成NP2 和MN 的切換認(rèn)證，并協(xié)商出用于之后通信的共享密鑰KPMK2。

3 安全分析

該文將從4 個方面分析本文方案的安全性。

1）雙向認(rèn)證

在接入認(rèn)證階段，NP1 和MN 互相發(fā)送和驗證票據(jù)。票據(jù)中AS 的簽名能保證NP1 和MN 的合法性。此外，MN 的票據(jù)TMN經(jīng)過NP1 公鑰PNP1的加密，只能NP1 才能解密出消息內(nèi)容。在切換認(rèn)證前，切換認(rèn)證票據(jù)θMN和MN 的新標(biāo)識被NP1 通過NP 間共享密鑰的方式傳送給NP2。NP1 和MN 的共享密鑰KPMK0是雙方各自生成的，沒有在信道上傳遞，不能被攻擊者獲取，保證了KPMK0加密的θMN的安全。NP2 和MN 使用單向散列函數(shù)的方式互相認(rèn)證θMN，一旦θMN偽造就無法通過認(rèn)證。因此可以確保NP2和MN 之間的安全認(rèn)證。

2）隱私保護

MN 的標(biāo)識IMN0只有在首次請求NRS 服務(wù)時用到，切換過程中用到的標(biāo)識都是由MN 提供的隨機數(shù)和NP2 的標(biāo)識生成，而且該標(biāo)識是NP1 和MN 各自生成的，沒有在信道上傳遞，降低了被獲取到的概率。在每次切換過程中更新標(biāo)識能對MN 的隱私性提供保護。而且切換時NP2 和MN 迅速協(xié)商了新的共享密鑰，就算攻擊者得到了臨時密鑰，也無法用其竊聽后續(xù)通信。

3）抵抗重放攻擊

攻擊者可能會在認(rèn)證階段竊聽消息，之后重放這些消息試圖通過認(rèn)證。但是該方案不僅在票據(jù)上加入有效期防止重放攻擊，而且在接入認(rèn)證和切換認(rèn)證的過程中都加入了隨機數(shù)確保信息新鮮度，完成認(rèn)證后這些隨機數(shù)就會被丟棄。另外，隨機數(shù)不是明文傳輸，通過密鑰和單向散列函數(shù)的方式，避免被攻擊者篡改和竊取。

4）抵抗偽造攻擊

在接入認(rèn)證的過程中，NP1 和MN 的票據(jù)由AS的數(shù)字簽名保證合法有效。認(rèn)證的信息都會攜帶相關(guān)的單向散列函數(shù)的運算結(jié)果，確保信息的完整性。如果被偽造就能識別出來。

4 性能分析

如果認(rèn)證方案中設(shè)備的負(fù)擔(dān)過高，會嚴(yán)重影響認(rèn)證時延，降低認(rèn)證效率。該文主要以通信開銷和計算代價作為性能的衡量指標(biāo)[20-22]。其中通信開銷和認(rèn)證雙方完成認(rèn)證的通信次數(shù)有關(guān)。每次通信的時間用T(ms)表示。而計算代價主要和認(rèn)證過程中的加密(TE)，解密(TD)，簽名(Tsig)、驗證(Tver)、哈希(TH)等運算有關(guān)，可以通過這些運算使用的算法的計算時延來衡量。實驗配置為Intel(R) Core(TM) i5-10210U CPU，16G 內(nèi)存，Ubuntu 20.04.1 LTS 操作系統(tǒng)，內(nèi)核版本號4.19.104，編程語言版本為Python3.8，加密庫版本為pycryptodome 3.9.9。通過實驗得到相關(guān)算法的計算時延如表2 所示。實驗結(jié)果表明認(rèn)證的開銷主要集中在解密和簽名操作。

表2 計算時延

不同方案在接入認(rèn)證和切換認(rèn)證中主要操作的使用次數(shù)及計算代價見表3 和表4。從中可以看出，該文方案的計算代價和通信開銷都比較小。與文獻[20-22]相比，該文方案在接入認(rèn)證過程中，通過減少MN 私鑰解密操作，大大降低了運算負(fù)擔(dān)。同時對認(rèn)證交互流程去冗余，認(rèn)證雙方通過四次通信就可以完成安全認(rèn)證，而其他方案均需要六次通信。認(rèn)證流程去冗余雖然減少了認(rèn)證交互的次數(shù)，但并不妨礙MN 和NP 協(xié)商出一致的共享密鑰。這點在切換認(rèn)證中也有所體現(xiàn)，切換認(rèn)證雙方只需要兩次通信就可以完成安全認(rèn)證并協(xié)商出共享密鑰。從表4可以看出該文方案切換認(rèn)證過程的計算代價相比文獻[20]和文獻[22]增加了0.028 ms 和0.04 ms?？紤]到文獻[20]在切換認(rèn)證過程中的明文傳輸帶來的風(fēng)險以及文獻[20]和文獻[22]均沒有協(xié)商新共享密鑰導(dǎo)致的后續(xù)通信安全問題，這種計算代價的增加是值得的。此外切換認(rèn)證因為減少一次通信時間，該文方案切換認(rèn)證的總時間開銷對于文獻[20-21]有很大的優(yōu)勢。從表5 可以看出，該文方案總認(rèn)證效率非常高，計算代價比文獻[20-22]減少48.8%，通信開銷比文獻[20-21]降低33.3%，比文獻[22]降低25%。

表3 接入認(rèn)證運算次數(shù)比較

表4 切換認(rèn)證運算次數(shù)比較

表5 認(rèn)證計算總代價

5 結(jié)束語

該文結(jié)合名字解析系統(tǒng)中移動設(shè)備切換代理場景的特點，參考并改進無線網(wǎng)絡(luò)中的切換認(rèn)證方案，提出一種基于票據(jù)的快速切換認(rèn)證方案。分析表明該方案在安全性方面能提供諸如隱私保護、雙向認(rèn)證、抵抗重放攻擊等保障。在性能方面，該方案的計算代價和通信開銷分別減少48%和25%。因此可以保證移動設(shè)備的切換認(rèn)證安全高效。在未來的工作中，需要進一步研究大量移動設(shè)備的批量切換認(rèn)證方案。