[发明专利]一种轻量级认证与密钥协商的实现方法

说明书

技术领域

本发明属于身份认证技术领域,涉及认证与密钥协商，具体涉及轻量级身份认证与密钥协商的实现方法,该方法适用于资源受限的网络环境中节点间的快速认证以及共享密钥的建立。

技术背景

在网络环境中，信息交互是连接网络中节点的必要条件。而在信息交互的过程中，又很容易造成敏感信息的泄露。因此，在网络通信过程中，通过定义一组协议规则来规范节点之间的网络行为，从而实现对网络通信的安全保护是一项重要的研究内容。

网络通信过程中，保护数据不被非法窃取的最基本的技术手段是使用加密措施。在使用对称加密方案的网络系统中，网络节点间进行加密传输数据前，首先需要享有共同的会话密钥，因此需要定义一整套规则在两个或多个网络节点间协商会话密钥。

在使用对称加密方案的网络系统中，需要对通信双方的身份通过特定的身份认证机制来证明他们的身份，即验证网络节点的身份与其所宣称的是否一致，然后在通信双方间协商一个会话密钥用于通信过程中的加解密，这就是关键的认证与密钥协商（Authentication and Key Agreement，AKA）过程。AKA过程的基本步骤是先完成认证，然后再进行密钥协商，但有时候认证与密钥协商过程是结合在一起的。

为了保证3G通信的安全，3GPP的规范中定义了AKA协议的具体过程和使用方法，为了说明方便，我们先介绍一下一些常用的缩写标记，在接下来要介绍的AKA协议中以及本发明的轻量级认证与密钥协商方法中都需要用到这些标记。

3GPP规范中定义的AKA协议，参与的主体有三个：用户终端（ME/USIM）、访问网络（VLR/SGSN）和归属网络（HE/HLR）。协议的执行需满足以下前提条件：

（1）用户与归属网络共享密钥K。

（2）用户信任归属网络HE。

（3）用户归属网络HE相信访问网络VLR能够安全处理信息。

（4）HE与VLR之间的通信链路足够安全。

协议的整个过程分为认证向量分发和密钥协商两部分，如图1所示。

认证向量分发过程中，用户ME漫游到访问网络VLR并且发起业务服务请求时，VLR就向用户的归属网络HE发送认证请求。HE收到请求就会产生一组认证向量AV，并把这组向量发送给VLR，每个向量由随机数RAND、期待的响应XRES、加密密钥CK、完整性密钥IK和认证标识AUTN组成。VLR把这些认证向量存储下来。

图2表示了认证向量的产生过程，这里f1，f2是消息认证函数，f3，f4，f5是密钥生成函数，对于ME和HE这些都是已知的算法。SQN是存储于ME和HE中的序列号，传输时用AK与之异或来进行隐藏。

认证与密钥协商过程是AKA协议中的关键部分，VLR选取一个认证向量，把RAND和AUTN发送给移动终端设备ME。ME收到VLR发来的信息，计算预期的XMAC，和收到的MAC相比。如果结果不一样，则用户返回认证失败，并终止执行。VLR向HE发送失败报告，并重新启动一个认证过程；如果结果一致，而且SQN也在正确范围内，则认为可以接收AUTN，并发送回应RES给VLR，开始产生CK和IK。VLR收到RES后，与存储的XRES比较，如果一致，则认为认证和密钥协商成功，准备用CK和IK进行传输数据加密保护。用户验证和产生RES、CK和IK的过程如图3所示。

在网络环境中，大多数情况都是只涉及到两方网络实体之间的认证和通信。上述的AKA协议中如果把归属网络和访问网络看成一个整体（即可以省去认证向量的分发过程），那么该协议也可以看作是移动终端和移动网络之间的认证和密钥协商，因此，也可以将它应用到其他两方网络实体之间的认证和密钥协商过程。但从效率上来说，这却并不是一种好的选择。

从通信上来看，AUTN的长度为128*3=384比特，RAND的长度为128比特。RES的长度为128比特，总的通信量为640比特。从计算上来讲，由图2和图3可知，通信双方分别要执行f1、f2、f3、f4、f5等五个密码算法。从存储上来讲，网络端至少要存储XRES、CK、IK共384比特，移动终端需要存储CK、IK共256比特。对于一些资源相对丰富的网络单元来说，这些消耗是可以接受的；但对于一些特殊网络来说，则对资源消耗比较敏感，需要充分考虑计算和通信开销。比如资源受限的无线传感器网络节点、RFID系统的标签节点等，其计算资源和通信资源就非常有限。因此，直接将传统的AKA技术应用于资源受限的网络环境中是不太合适的，需要有更加高效的AKA方案。