预认证线性快速接入方案

任 双 廷

预认证线性快速接入方案

任 双 廷

(南京航空航天大学计算机科学与技术学院 江苏 南京 210016)

在网络接入方案中，认证是保证实体安全性的重要方面。所谓认证是指：一个实体向另一个实体证明其声称属性的一个过程。在对现有快速接入认证方案分析的基础上，提出一种预认证线性快速接入方案。在该方案中利用基于身份的密码技术，避免了传统公钥密码体制中证书存储和管理的问题，通过认证码保证信息的完整性，在会话密钥的协商过程中完成实体间的双向认证，并对信息进行加密，保证只有指定用户才可以解密。通过对安全性和性能的分析表明，在线性高速切换过程中，所提方案拥有更高的切换效率和安全性，能够有效地提高服务质量。

线性 切换 接入 双向认证

0 引 言

认证是在终端接入网络时保证终端和网络安全的一种方法。现实生活中，由于环境的不同，我们对接入认证的需求也有所不同，有的突出认证的匿名性，有的突出认证的双向性，而本文关注的是认证的快速性，以满足高速行驶下无线切换的顺利进行，保证高铁、地铁等高速运动环境下的无线服务质量。在此环境下，由于列车行驶的高速特性，为了满足用户的正常网络传输，需要快速地完成接入认证。传统的无线接入认证方案中[1-5]，每次切换都需要重新认证和接入，这样势必会带来大量的认证和接入信息流[6-10]，尤其在移动设备高速运动的情况下，用户接入更加的频繁，带来的影响更是明显。为了在高速环境下减少切换时延，钱对切换时机进行研究[11]，通过切换时机的选择减少切换时延；李通过简化Wlan接入认证流程和同步传输缩短认证时间[12]；同时，肖-王基于预共享密钥和证书的双向认证，证明了可信接入认证协议的串空间安全性[13]；然而，以上安全性认证多基于传统的公钥密码体制，存在证书的存储、传输、管理等问题，并不能完全适用于无线环境。

为了克服传统公钥密码体制中证书存储和管理的问题，shamir于1984年提出了基于身份的密码体制，并基于整数分解难题给出了第一个基于身份的签名方案[14]。2001年，Boneh等利用Weil配对技术提出了第一个安全、使用的基于身份的加密方案[15]。之后，基于身份的密码体制得到了迅速发展，并提出了大量基于身份的加密和签名方案。2005年，Waters首次提出了标准模型下基于身份的加密方案[16]，并将其归约于计算Diffie-Hellman假定。2006年，Paterson等人在Waters基于身份加密方案的基础上，提出了一个标准模型下基于身份的签名方案[17]，并给出了该方案基于身份签名的可证安全模型。这也为认证的安全性等提供了技术保证。

本方案，基于身份密码体制，根据多跳网络中多跳的思想[18,19]，引入了认证过程中信任传递的思想。在地铁的特殊环境下，通过对认证码和会话信息的提前传递和预验证来完成认证，并减少终端高速切换中的聚集认证问题。相对于前人所提的快速接入方案，本文所提方案中终端在接入点之间切换时，通信量更少，认证时延更少，可以有效地提高切换质量。

1 前提知识

定义2 计算Diffie-Hellman问题。设G1为q阶(q为一大素数)的循环群，g为G1的生成元，对于∀(g,ga,gb)∈G1，计算gab，其中a,b∈Zq未知(Zq表示整数模q的剩余类所构成的集合)。

2 预认证线性快速接入方案

表1 符号说明

方案包括两个阶段：初始化阶段和认证接入阶段。

初始化阶段：

认证接入阶段：

方案中认证接入又可以分为三种情况：(1) 终端在外地域接入；(2) 终端在家乡域接入；(3) 终端在域内切换。其具体实现框架如图1所示，整个系统由多个PKG域组成，为了满足域间通信及切换用户注册，每个合法PKG都在根PKG注册；每个PKG域中有多个合法接入点AP和合法终端MN。当终端MN接入或切换到新的PKG域时，通过家乡PKG域向接入域发起接入申请，在进行密钥协商的同时通过基于身份生成的认证码隐式完成双向认证，并完成新域内私钥的申请工作；当终端在同一PKG域的接入点间进行接入或切换时，可以与接入点AP通过基于身份的密钥直接进行会话密钥协商，完成双向认证。

图1 预认证线性快速接入方案框架

图2 快速接入认证协议

方案描述：

终端在外地接入过程如图2所示，详细步骤如下：

AP周期性的广播域内信息{IDAP,IDAS,G1,G2,q,P,Ppub,H1,H2}；

1) 若MN发现已切换到新的PKG域时，则执行如下操作构造注册请求：

r1⟹r1QMN⟹KMN-HA=p(e(r1SMN,y1QHA))=p(e(r1QMN,y1SHA))

r2⟹r2P⟹KMN-AS=p(e(r2Ppub,SAS))=p(e(r2p,SAS))

r3⟹r3P⟹KMN-AP=p(e(r3Ppub,SAP))=p(e(r2p,SAP))

M1=r1QMN,{IDMN,IDAP,IDAS,TMN}KMN-HA

MAC1=MACKMN-HA(M1)

M2=r2P,{M1,MAC1,TMN}KMN-AS

MAC2=MACKMN-AS(M2)

M3=req,IDMN,IDAP,IDHA,r3P,{M2,MAC2,TMN}KMN-AP

MAC3=MACKMN-AP(M3)

M3[M2[M1,MAC1]MAC2]MAC3

a) 获取设备当前时间TMN；取出预存的与HA的共享参数y1QHA；

b) 生成随机数r1,r2,r3；分别计算与HA,AS,AP的会话密钥KMN-HAKMN-ASKMN-AP；

c) 构造信息M1根据KMN-HA生成M1的认证码MAC1；构造信息M2根据KMN-AS生成M2的认证码MAC2；构造信息M3根据KMN-AP生成M3的认证码MAC3，通过层层加密来保证信息的安全性，保证仅能由相应接收者查看其相应的信息；

d) MN→AP:M3,MAC3；

2) AP收到MN发来的信息后，进行如下操作：

m1⟹X=gm1modP

m2⟹m2QAP⟹KAP-AS=H2(e(m2SAP,n1QAs))=H2(e(m2QAP,n1SAs))

M4=req,IDMN,IDAP,IDHA,m2QAP,{M2,MAC2,X,TMN}KAP-AS

MAC4=MACKAP-AS(M4)

M4[M2[M1,MAC1]MAC2]MAC4

a) 验证时间戳TMN，在时间范围内则继续执行，否则返回超时信息；

b) 取得M3中的r3P，计算与MN的会话密钥KMN-AP并验证MAC3的完整性确保信息没有被篡改，验证通过继续执行，否则返回错误信息；

c) 选择随机数m1，m2，计算X作为与HA的密钥协商参数，提取与AS的共享参数n1QAS并计算与AS的会话密钥KAP-AS；

d) 构造信息M4并根据KAP-AS生成M4的认证码MAC4；

e) AP→AS:M4,MAC4；

3) AS收到AP发来的信息后，进行如下操作：

M5=req,IDMN,IDAP,IDHA,n2QAS,{M1,MAC1,X,SiAP,TMN}KAP-AS

MAC5=MACKAS-HA(M5)

M5[M1,MAC1]MAC5

a) 验证时间戳TMN，在时间范围内则继续执行，否则返回超时信息；

b) 取得M4中的m2QAP，计算与AP的会话密钥KAP-AS，并验证MAC4的完整性；验证通过继续执行，否则返回错误信息；

c) 取得M2中的r2P，计算与MN的会话密钥KMN-AS，并验证MAC2的完整性，确保信息不被篡改；验证通过继续执行，否则返回错误信息；

d) 选择随机数n2，计算与终端家乡代理HA的会话密钥KAS-HA；

e) 构造信息M5并根据KAS-HA生成M5的认证码MAC5；

f) AS→HA:M5,MAC5

图4(b)中,0.5,1.0,1.5 MPa条件下的质量磨损率分别为0.020,0.030,0.092 mg/转.随着载荷的增加,硬质颗粒的犁削作用增强,磨损加剧;同时,摩擦过程中动能转化成内能,积累到一定程度时,磨屑膜在内应力的作用下开裂并产生磨屑,随着载荷的增加,磨屑膜更容易开裂,导致磨损率更大.

4) HA收到AS发来的信息后，进行如下操作：

y2⟹y2QHA⟹{y2QHA}KMN-HA

y3⟹Y=gy3modp⟹KAP-HA=(X)y3modp=gm1y3modp

=(Y)m1modp

M6={IDMN,IDAP,IDAS,SiMN,SiAP,SiAS,

{y2QHA}KMN-HA,THA}KMN-HA

M7=Y,{M6,MAC6,THA}KAP-HA

MAC7=MACKAP-HA(M7)

MAC8=MACKAS-HA(M8)

M8[M7[M6,MAC6]MAC7]MAC8

a) 验证时间戳TMN，在时间范围内则继续执行，否则返回超时信息；

c) 取得M1中的r1QMN，根据与MN的共享参数y1计算其会话密钥KMN-HA，并验证MAC1完整性，完成对MN的认证；

d) 选择随机数y2,y3,y4，分别计算{y2QHA}KMN-HA和与AP,AS的会话密钥KAP-HA,KAS-HA；

e) 构造信息M6并根据KMN-HA生成M6的认证码MAC6；构造信息M7并根据KAP-HA生成M7的认证码MAC7；构造信息M8并根据KAS-HA生成M8的认证码MAC8；

f) HA→AS:M8,MAC8；

5) AS收到HA发来的信息后，进行如下操作：

QMN=H1(IDMN),SMN=sH1(IDMN),{SMN}KMN-AS

n4⟹n4QAS⟹KMN-AS=p(e(r2P,n4SAS))=p(e(r2Ppub,n4QAS))

n5⟹n5QAS⟹{n5QAS}KAP-AS

M9=rep,IDMN,IDAP,IDAS,{{n4QAS}KMN-AS,M7,MAC7,

{SMN}KMN-AS,{n5QAS}KAP-AS,Y,SiMN,THA}KAP-AS

MAC9=MACKAP-AS(M9)

M9[M7[M6,MAC6]MAC7]MAC9

a) 验证时间戳THA，在时间范围内则继续执行，否则返回超时信息；

c) 选择随机数n4,n5计算与MN的会话密钥KMN-AS和与AP的下一次会话的共享秘密参数n5QAS，并通过其现在的会话密钥KAP-AS加密{n5QAS}KAP-AS；

d) 生成MN的私钥SMN并用与MN的会话密钥KMN-AS加密；

e) 构造信息M9并根据KAP-AS生成M9的认证码MAC9；

f) AS→AP:M9,MAC9；

6) AP收到AS发来的信息后，进行如下操作：

m3⟹m3QAP⟹KMN-AP=p(e(r3P,m3SAS))=p(e(r3Ppub,m3QAP))

M10=rep,IDMN,IDAP,IDAS,{m3QAP}KMN-AP，

{{n4QAS}KMN-AS,M6,MAC6,{SMN}KMN-AS,THA}KAP-AS

MAC10=MACKMN-AP(M10)

M10[M6,MAC6]MAC10

a) 验证时间戳THA，在时间范围内则继续执行，否则返回超时信息；

b) 验证MAC9；取得M7中的Y，计算与HA的会话密钥KAP-HA并验证MAC7；

c) 选择随机数m3，计算m3QAP，作为与MN会话密钥协商的参数并通过KMN-AP加密；

d) 构造信息M10并根据KMN-AP生成M10的认证码MAC10；

e) AP→MN:M10,MAC10；

f) 解密M9中的n5QAS，作为下一轮会话密钥的共享信息；

7) MN收到AP发来的信息后，进行如下操作：

r4⟹r4QMN⟹KMN-AS=p(e(r4QMN,n4SAS))=p(e(r4SMN,n4QAS))

r5⟹r5QMN⟹KMN-AP=p(e(r5QMN,n4SAP))=p(e(r5SMN,n4QAP))

M11=r4QMN,{n4QAS,THA}KMN-AS;MAC11=MACKMN-AS(M11)

M12=rep,IDMN,IDAP,r5QMN,{M11,MAC11,TMN}KMN-AP

MAC12=MACKMN-AP(M12)

M12[M11,MAC11]MAC12

a) 验证时间戳THA，在时间范围内则继续执行，否则返回超时信息；

b) 解密M10中的m3QAP，并根据KMN-AP验证MAC10的完整性；通过与AS的会话密钥KMN-AS解密n4QAS和SMN；通过与HA的会话密钥KMN-HA验证MAC6，解密M6中的y2QHA作为下一轮会话密钥申请的共享秘密；

c) 选择随机数r4,r5，通过m3QAP，n4QAS计算与AS,AP的会话密钥KMN-AS,KMN-AP；

d) 构造信息M11并根据KMN-AS生成M11的认证码MAC11；构造信息M12并根据KMN-AP生成M12的认证码MAC12；

e) MN→AP:M12,MAC12；

8) AP收到MN发来的信息后，进行如下操作：

M13=rep,IDMN,IDAP,{M11,MAC11,TMN}KAP-AS

MAC13=MACKAP-AS(M13)

M13[M11,MAC11]MAC13

a) 验证时间戳THA，在时间范围内则继续执行，否则返回超时信息；

b) 取得M12中的r5QMN，计算与MN的会话密钥KMN-AP并验证MAC12的完整性；

c) 构造信息M13并根据KAP-AS生成M13的认证码MAC13；

d) AP→AS:M13,MAC13；

AS收到AP发来的信息后，对信息的新鲜性和完整性进行验证，并依次解密信息，完成对终端和用户共享参数的确认，更新密钥协商参数。

终端在家乡接入如图2阴影部分1，6，7所示，详细步骤如下：

AP周期性的广播信息{IDAP,IDAS,G1,G2,q,P,Ppub,H1,H2}；

(1) MN发现在家乡PKG域，则执行如下步骤构造注册请求：

r1⟹r1QMN⟹KMN-AP=p(e(r1SMN,QAP))=p(e(r1QMN,SAP))

M1=req,IDMN,IDAP,r1QMN,TMN,{N1,TMN}KMN-AP

MAC1=MACKMN-AP(M1)

a) 获取设备当前时间TMN；

b) 生成随机数r1，计算与接入点AP的会话密钥KMN-AP；

c) 构造信息M1并根据KMN-AP生成M1的认证码MAC1；

d) MN→AP:M1,MAC1；

(2) AP收到MN发来的信息后，进行如下操作：

m1⟹m1QAP⟹KMN-AP=p(e(r1QMN,m1SAP))

=p(e(r1SMN,m1QAP))

M2=rep,IDMN,IDAP,m1QAP,TAP,{N1,N2,TAP}KMN-AP

MAC2=MACKMN-AP(M2)

a) 验证时间戳TMN，在时间范围内则继续执行，否则返回超时信息；

b) 取得M1中的r1QMN，计算与MN的会话密钥KMN-AP并验证MAC1完整性；

c) 生成随机数m1，计算与MN的双向控制会话密钥KMN-AP；

d) 构造信息M2根据KMN-AP生成M2的认证码MAC2；

e) AP→MN:M2,MAC2；

(3) MN收到AP发来的信息后，进行后下操作：

M3=rep,IDMN,IDAP,TMN,{N2,TMN}KMN-AP

MAC3=MACKMN-AP(M3)

a) 验证时间戳TAP，在时间范围内则继续执行，否则返回超时信息；

b) 取得M2中的m1QAP，计算与AP的会话密钥KMN-AP并验证MAC2的完整性；

c) 构造信息M3并根据KMN-AP生成M3的认证码MAC3；

d) MN→AP:M3,MAC3；

(4) AP收到MN发来的信息后，进行如下操作：

验证时间戳TMN，并验证MAC3的完整性，至此双方的会话密钥协商完成，并通过会话密钥协商中公私钥对的使用，进行了双向认证。

图3 快速切换认证协议

终端在域内切换如图3所示，详细步骤如下：

(1) AP1根据MN和AP2的最新会话密钥信息向MN的下一接入点AP2发送申请：

M1=rep,IDAP1,{IDMN,r1QMN,l1QAP2，TMN}KAP1-AP2

MAC1=MACKAP1-AP2(M1)

AP2通过对AP1发来的信息进行解密，得知下一接入终端的密钥协商信息r1QMN和IDMN，并根据自己的最后发出的会话协商信息l1QAP2，构建其与MN的会话密钥KMN-AP2；

(2) AP1根据MN和AP2的最新会话密钥信息向MN发送AP2的信息：

M2=rep,IDAP1,{IDAP2,r1QMN,l1QAP2，TAP2}KMN-AP1

MAC2=MACKMN-AP1(M2)

MN通过对AP1发来的信息进行解密，得知下一接入点AP2的密钥协商信息l1QAP2和IDAP2，并根据自己最后发出的会话密钥协商信息r1QMN，构建其与AP2的会话密钥KMN-AP2；

AP2周期性的广播域内信息{IDAP2,IDAS,G1,G2,q,P,Ppub,H1,H2}

(3) 当MN检测到进入AP2之后，根据AP1的信息构建对AP2的接入申请：

r1QMN,l1QAP2⟹KMN-AP2=p(e(r1QMN,l1SAP2))

=p(e(r1SMN,l1QAP2))

M3=rep,IDMN,{IDMN,r1QMN,r2QMN,TMN}KMN-AP2

MAC3=MACKMN-AP2(M3)

(4) 当AP2收到MN发来的接入申请之后，根据AP1发来的信息对MN验证，构建确认信息：

r1QMN,l1QAP2⟹KMN-AP2=p(e(r1QMN,l1SAP2))

=p(e(r1SMN,l1QAP2))

M4=rep,IDAP2,{IDAP2,l1QAP2,l2QAP2,TMN}KMN-AP2

MAC4=MACKMN-AP2(M4)

当终端从一个域切换到另一个域的接入点时，方案中两PKG域的边界接入点在两个域都进行注册，当终端从一个终端切换到边界接入点时，先完成用户在同一域内的终端切换，恢复数据传输，再进行下一接入域内的注册工作，从而保证服务的不中断，提高切换质量。

3 方案分析

3.1 安全性分析

3.1.1 认证安全

终端在外地域接入：

MN与HA之间的双向认证：计算KMN-HA需要使用MN的私钥、共享信息y1QHA和单向散列函数H()，因此KMN-HA仅由HA和MN可以计算得到。同时，计算MAC1需要使用KMN-HA，HA通过验证MAC1的完整性来确认M1是由MN生成。M1中包含时间戳TMN，可以保证M1和MAC1的新鲜性。因此，HA可以通过TMN、M1和MAC1认证MN。同理，MN可以通过THA、M6和MAC6来认证HA；

AP与HA之间的双向认证：AP与HA通过AS进行间接认证。计算KAS-HA需要用到AS的私钥，生成MAC5需要使用KAS-HA，HA通过M5、MAC5对AS进行认证，同时AS通过M4、MAC4对AP进行认证，以此来完成HA对AP的间接认证；同理，AP通过M9、MAC9对AS进行认证，AS通过M8、MAC8对HA进行认证，以此来完成AP对HA的间接认证；

MN与AP之间的双向认证：MN通过THA验证M10、MAC10的新鲜性，通过MAC10来确认M10的完整性，并通过MAC10对AP进行认证，因为MAC10仅有MN和AP可以通过各自的私钥生成；同理，AP通过验证TMN、M12和MAC12完成对MN的认证。

终端在家乡域接入：

终端在家乡域接入时，仅需MN与AP直接的双向认证，MN通过验证TAP、M2和MAC2完成对MN的认证；AP通过验证TMN、M1和MAC1完成对MN的认证。

终端在域内切换：

终端在域内切换时，如同终端在家乡域接入，MN通过验证TAP2、M4和MAC4完成对MN的认证；AP通过验证TMN、M3和MAC3完成对MN的认证。

3.1.2 会话密钥安全

终端在外地域接入：

MN和HA之间会话密钥的安全：MN和HA的会话密钥KMN-HA，生成会话密钥需要使用各自的私钥和共享的随机数r1、y1，因此只有MN和HA可以计算得到共享的会话密钥；由于MN可以确认r1的新鲜性，HA可以确认y1的新鲜性，因此MN和HA分别可以确认密钥是在当前会话中生成；同时，由于KMN-HA中的随机数r1、y1分别来自MN、HA，因此可以实现会话密钥的联合控制；同时，由于每次会话密钥的构建都由双方的随机数构成，因而可以保证会话的前向安全性。

同理：MN与AP之间的会话密钥：KMN-AP仅有MN与AP才能生成，通过随机数r5、m3保证秘钥的安全性，并实现会话密钥的联合控制；

同理：AP与HA之间的会话密钥，通过m1、y3来实现会话密钥的联合控制。

终端在家乡域接入和域内切换中仅需MN与AP之间的会话密钥协商其安全性同终端在外地域接入中的部分。

3.1.3 信息机密性

信息在传输过程中经过层层加密。如在终端注册过程中，发送给HA的信息需经过AP和AS，则首先通过MN与HA之间的会话密钥加密，然后通过与AS会话密钥加密，最后通过与AP的会话密钥加密，通过层层加密的方式来保证只有相应层的节点可以看到其对应层的信息，其他层看到的只是密文信息，从而保证信息的机密性，防止被动攻击。同时，通过此层层加密，可以保证信息的定向传输，防止中间人攻击和截获攻击。

3.1.4 可抵抗攻击

通过以上的分析可知，本方案能够抵抗被动攻击、中间人攻击、截获攻击和密钥泄露造成的前向攻击。同时，每次传输的信息中都包含了时间戳，因而可以抵抗重放攻击；在每次的注册和切换过程中，都经过两两之间直接或间接的双向认证，从而抵抗伪造攻击。

3.2 性能分析

在数据传输和切换的过程中，认证的时延可分为两部分：数据传输时延和设备处理时延。

根据协议中数据传输的类型不同，传输时延可以分为三类：(1) 无线传输时延TMN-AP(终端与接入点之间的传输时延)；(2) 同一域内固定终端之间的传输时延TAP-AP,TAS-AP(接入点与接入点之间的传输时延、接入点与接入服务器之间的传输时延)；(3) 不同域的接入服务器之间的传输时延TAS-HA(接入服务器与终端原接入服务器之间的传输时延)。通常，域内的实体物理位置相对固定且距离比较近，可以近似为一固定值Tin；不同域之间的传输时延随着两实体间距离的增大而增大，设为Tout，且其可分解为多个固定Tin的组合，设Tout=mTin；终端与接入点之间的无线传输为Tw；一般情况下Tout>Tw>Tin；同时，数据在不同节点之间传输，需要进行数据的接收等处理，因此还有处理时延，设为TP。

协议中对数据的处理操作有椭圆曲线上的数乘运算Tcm、群上的乘法运算Tqm、双线性匹配操作Tbp、hash函数运算Th、异或运算T⊕等；根据文献[20]分析，与椭圆曲线上的数乘运算、双线性匹配运算时间相比，其他的hash运算、异或运算等的时间可以忽略不记。

通过对与本方案具有近似安全强度和稳定性的方案2-IBS-HMIPv6[1]、c-HIBS-HMIPv6[2]进行性能对比分析如下所示：

域间认证时延：

根据不同协议中对数据的处理进行分析；

2-IBS-HMIPv6[1]需要终端经接入点和接入锚点MAP(接入域的服务器)向家乡代理HA申请绑定更新，HA向MAP发送Q值以及签名消息，MAP同样生成签名一并经接入点转发给终端，完成双向认证。在传递的过程中MAP的签名过程和Q值的传输过程以及1层签名、验证和2层签名、验证，部分并行进行，减少认证时延，则其最少认证时延为：

T2-IBS-HMIPv6=3Tw+(2m+2)Tin+(2m+5)Tp+8Tbp+2Tcm

c-HIBS-HMIPv6[2]需要终端向接入点提供证书申请接入认证；接入点向接入锚点(同一域内的服务器)转发终端证书；域内服务器向终端的家乡代理转发终端的远程绑定更新消息；确认之后，依次经过接入锚点、接入点传给终端完成移动注册；并在域内更新证书接入列表。接入点之间的证书列表更新和接入点与终端、接入点与接入锚点之间的部分传输可以并行操作，减少认证时延，则其最少认证时延为：

Tc-HIBS-HMIPv6=3Tw+(2m+2)Tin+(2m+5)Tp+6Tbp+2Tcm

本方案，在接入外地网络的过程中，不需要进行证书的传递以及Q值的信息更新交换；只需要对相互的认证码MAC和M进行验证，以及为新接入用户生成私钥；且此过程可以并行操作。同时，如果终端连续跨域切换，无需与家乡网络进行交互，且可以进行预切换；其切换时延为：

初次跨域接入：

Tfirstaccess=3Tw+(2m+3)Tin+(2m+6)Tp+14Tbp+2Tcm

临近跨域切换：

Thandover=2Tw+2Tp

域内认证时延：

2-IBS-HMIPv6方案中，终端与MAP已经进行过双向认证，MAP记录了其Q值，不需要与其HA进行信息传递，终端可以直接在MAP域内切换，其最少切换时延为：

T2-IBS-HMIPv6=3Tw+2Tin+5Tp+6Tbp+2Tcm

c-HIBS-HMIPv6方案中，终端与MAP认证之后，MAP已经将终端证书发送给了所有接入点，当终端切换到其他接入点时，只需要接入点向MAP转发域内更新消息，且与用户签名验证可并行处理，其最少切换时延为：

Tc-HIBS-HMIPv6=3Tw+3Tp+4Tbp+2Tcm

本方案中，终端在域内接入点间切换，由于终端与下一接入点之间预切换，提前进行了会话密钥的协商，在切换中接入点只需要对认证码和终端接入信息进行解密验证；且其中加密过程中的双线性匹配操作可预计算，因而两次握手中数据的加解密操作只需要两次异或操作即可完成，因此其切换时延为：

T(in)=2Tw+2Tp

参考文献[20]中参数的设定：Tw=4 ms，Tin=2 ms，Tp=0.5 ms；以及文献[1]中双线性匹配运算时间Tbp约为椭圆曲线数乘运算的时间Tcm的3倍；对总体的时延进行分析，结果如图4、图5所示 。

图4 域间接入认证时延对比

图5 域内切换认证时延对比

根据图4和数据的分析得，在域间初次接入进行双向认证的过程中，本文方案的认证时延比c-HIBS-HMIPv6、2-IBS-HMIPv6方案的时延都要长；原因为本方案考虑了信息交互中信息的机密性，两两之间的信息都经过密钥加密，同时加密过程中需要进行双线性匹配运算，因而增加了初次注册接入的时间；然而，在之后的域间切换和域内切换过程中，由于本方案通过预认证规避了对双线性匹配运算时间，有效地减少了切换时延；同时方案中无需证书的传递，因此数据传输量同比较少，有效地减少了其认证通信量；再者，在域间切换接入过程中，由于本方案中域边界接入点拥有两个域的私钥，可以先与终端完成双向认证，再为终端申请域内私钥，因而可以有效地减少域间切换时延，保证服务质量。

同时，在域内切换中，本方案中进行预认证，在切换之前已经开始终端与下一接入点的双向认证，切换发生时只需要进行认证码和时间的简单确认，因而本文方案相比其他2种方案优势明显。

4 结 语

在预认证线性快速接入方案中用到了基于身份的密码体制。用户和接入点可以根据相互的信息(如ID)计算出对方公钥，无需预分配会话密钥；通过会话密钥的协商和认证码的验证进行切换的双向接入认证，无需交换证书或者通过认证服务器进行认证，有效地减少了切换时延和通信开销。然而，基于身份的密码体制，虽然解决了证书管理、存储等问题，但是也引入了密钥托管的问题，如何能够在保证快速切换的情况下有效地解决密钥托管问题是下一步需要研究的问题。

[1] 田野,张玉军,张瀚文,等.移动IPv6网络基于身份的层次化接入认证机制[J].计算机学报,2007,30(6):905-915.

[2] 高天寒,郭楠,朱志良.节点证书与身份相结合的HMIPv6网络接入认证机制[J].软件学报,2012,23(9):2465-2480.

[3] 尚鹏,李小文,陈贤亮.TD-SCDMA/GSM双模终端切换问题的研究[J].通信技术,2009,41(6):173-175.

[4] 张历卓,贾维嘉,周仕飞.基于3G与WLAN网络改进的切换策略研究[J].计算机科学,2010,37(3):49-51.

[5] 彭大芹,张文英,邓江.LTE-TD双模终端切换过程的ERRC研究与实现[J].重庆邮电大学学报,2012,24(2):169-173.

[6] Lee D H,Kim J G.IKEv2 authentication exchange model and performance analysis in mobile IPv6 networks[J].Personal and Ubiquitous Computing,2014,18(3):493-501.

[7] Han C K,Choi H K.Security Analysis of Handover Key Management in 4G LTE/SAE Networks[J].Mobile Computing,IEEE Transactions on,2014,13(2):457-468.

[8] Chi K,Zhu Y,Jiang X,et al.Practical throughput analysis for two-hop wireless network coding[J].Computer Networks,2014,60:101-114.

[9] Teuser C,Rossi D.Delay-based congestion control:Flow vs.BitTorrent swarm perspectives[J].Computer Networks,2014,60:115-128.

[10] Wu Q,Huang Z,Wang S.Heterogeneous voice flows-oriented call admission control in IEEE 802.11 e WLANs[J].International Journal of Electronics,2014,101(4):531-552.

[11] 钱红燕.高速移动子网的切换与漫游关键技术研究[D].南京航空航天大学,2010.

[12] 李登.WLAN快速接入认证机制研究与实现[D].西安电子科技大学,2012.

[13] 肖跃雷,王育民.可信环境下的WLAN接入认证方案[J].兰州大学学报:自然科学版,2013,49(4):547-553.

[14] Shamir A.Identity-based cryptosystems and signature schemes[C]//Advances in cryptology. Springer Berlin Heidelberg,1985:47-53.

[15] Boneh D,Franklin M.Identity-based encryption from the Weil pairing[C]//Advances in Cryptology—CRYPTO 2001.Springer Berlin Heidelberg,2001:213-229.

[16] Waters B.Efficient identity-based encryption without random oracles[M]//Advances in Cryptology-EUROCRYPT 2005.Springer Berlin Heidelberg, 2005:114-127.

[17] Paterson K G,Schuldt J C N.Efficient Identity-Based Signatures Secure in the Standard Model [M].Springer Berlin Heidelberg,2006:207-222.

[18] 李迪.无线Ad Hoc网络的网络容量及多跳路由算法研究[D].北京邮电大学,2011.

[19] Maccari L,Lo Cigno R.Betweenness estimation in OLSR-based multi-hop networks for distributed filtering[J].Journal of Computer and System Sciences,2014,80(3):670-685.

[20] He D,Chen C,Chan S,et al.Secure and Efficient Handover Authentication Based on Bilinear Pairing Functions[J].Wireless Communications,IEEE Transactions on,2012,11(1):48-53.

PRE-AUTHENTICATION LINEAR FAST ACCESS SCHEME

Ren Shuangting

(CollegeofComputerScienceandTechnology,NanjingUniversityofAeronauticsandAstronautics,Nanjing210016,Jiangsu,China)

Authentication is an important aspect for ensuring the safety of the entity in network access schemes. Authentication refers to a process in which one entity proves its claimed properties to another entity. This paper proposes a pre-authentication linear fast access scheme based on the analysis of existing fast access authentication schemes. The scheme avoids the problems of certificates storage and management in traditional public key cryptography by using the identity-based encryption, ensures the integrity of information through authentication code, completes the mutual authentication between entities in negotiation process of the session key, and encrypts the information to ensure that only the specified users can decrypt it. It is showed by analysing the security and performance that the proposed scheme has higher handover efficiency and security in linear high-speed handover process and is able to improve the service quality effectively.

Linear Handover Access Mutual authentication

2014-11-04。任双廷，硕士生，主研领域：信息安全等。

TP3

A

10.3969/j.issn.1000-386x.2016.04.074