基于嵌入式系统的身份认证和密钥协商算法.pdfVIP

第27卷 第2期 贵州大学学报(自然科学版) Vo1．27No．2 2010年 4月 JournalofGuizhouUniversity(NaturalSciences) Apr．2010 文章编号 1000—5269(2010)02—0074一o4 基于嵌入式系统的身份认证和密钥协商算法 庞礼军 ，樊林波 ，赵 明 (1．贵州师范大学物理与电子科学学院，贵州贵阳550001；2．贵州大学 贵州省可靠性工程研究中心，贵州贵阳550001) 摘 要：随着接入到互联网中的嵌入式设备越来越普遍，嵌入式系统的网络安全问题也越来越引 起人们的关注。文章针对嵌入式系统的网络安全需求和有限计算能力的特点，提出了一个基于 有限域上离散对数的身份认证和密钥协商算法。分析表明该算法能有效抵御网络中的消息重放 攻击和中间人攻击。该算法在基于ucLinux系统上的嵌入式IPSec框架中实现，具有较低的系统 资源开销和较高的运行效率。 关键词：嵌入式系统；IPSec；身份认证；密钥协商；ucLinux 中图分类号：TP309．2 文献标识码 ：A 随着互联网技术的飞速发展和普适计算概念 公钥证书进行有效管理，包括对公钥证书的注册、 的提出，嵌入式设备越来越多的应用到互联网的各 认证、撤消、分发等等，因而PKI／CA复杂的管理方 种中间路由和交换系统中，并且在终端设备中也 占 式不仅要消耗大量的终端系统资源，也容易造成网 据着相当的份额 ¨j。与此同时，互联网上的各类 络通信瓶颈，是不适合接人互联网中的嵌入式系统 安全问题也 日益突出，对接人互联网中的嵌入式设 的 J。因此，我们必须寻找一种能完成身份认证 备带来了安全隐患 2J。对于互联网中的各种WEB 和密钥协商的轻量级安全算法和协议体制。并能 服务器、EMAIL服务器等所面临的身份盗取、会话 在现有的嵌入式操作系统安全保护模块中实现。 劫持、网络窃听等安全威胁，接人互联网的嵌入式 系统依然会面临。嵌入式系统在与大型互联网主 1 算法描述和安全性证明 机有相同网络安全需求的同时，也存在 自身的一些 传统的PKI／CA采取的是将标识由可信第三 特点： 方签名的身份证书和公钥分发给用户的策略，因而 ① 由于嵌入式设备通常存储容量有限，处理器 带来了密钥管理上的繁琐。而本文所提出策略是 处理数据能力较差，因而更容易受到攻击，安全性 要将各个嵌人式设备节点的身份信息和会话密钥 更脆弱。 分开，这样就不会带来公钥证书管理的资源开销。 ②对于互联网中的身份认证和密钥协商两项 我们的策略是对每个嵌入式设备分配全局唯一的 基本网络安全功能是不可或缺的。 身份标识码，标识码参与通信会话密钥的生成。在 ③互联网中的大多数嵌入式设备不依赖于中 通信会话中我们只透露了嵌入式设备身份标识码 心服务器，属于分布式并行计算方式。 的部分信息，通信的双方可以验证对方的身份，但 ④由于嵌入式系统本身处理能力有限，也要求 无法获得对方的身份标识信息。 在处理网络数据时，不能占用过多的带宽。 1．1 算法描述 基于以上特点，要求针对互联网中的嵌入式系