分类号：中图分类号 TN915.04 学科分类号 510.

5030 密级：

天津理工大学研究生学位论文

LTE/SAE 认证与密钥协商协议
安全性研究

（申请硕士学位）

学科专业：信息与通信工程

研究方向：移动通信、信息安全

作者姓名：王倩

指导教师：白媛 副教授

2015 年 2 月
Thesis Submitted to Tianjin University of Technology for
the Master’s Degree

Research on the Security of

Authentication and Key Agreement
Protocol for LTE/SAE Networks

By
Wang Qian

Supervisor
Bai Yuan

Feb. 2015
 独创性声明
本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取
得的研究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他
人已经发表或撰写过的研究成果，也不包含为获得 天津理工大学 或
其他教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研
究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。

学位论文作者签名： 签字日期： 年 月 日

学位论文版权使用授权书
本学位论文作者完全了解 天津理工大学 有关保留、使用学位论文
的规定。特授权 天津理工大学 可以将学位论文的全部或部分内容编入
有关数据库进行检索，并采用影印、缩印或扫描等复制手段保存、汇编，
以供查阅和借阅。同意学校向国家有关部门或机构送交论文的复本和电子
文件。
（保密的学位论文在解密后适用本授权说明）

学位论文作者签名： 导师签名：

签字日期： 年 月 日 签字日期： 年 月 日
 摘要

认证与密钥协商（AKA）协议在 3G/4G 网络中用于实现用户与网络的双向认证，

直接或间接生成加密密钥和完整性密钥，从而实现安全通信。LTE/SAE 在沿用 UMTS
系统 AKA 机制基础上，增加了对服务网络的验证，采用了按序使用认证向量的机制及
层次化的密钥生成体系，提高了通信的安全性。然而，LTE/SAE AKA 仍然存在一些安
全隐患。
本论文对 LTE/SAE 认证与密钥协商协议中存在的安全问题及认证向量组长度的合
理选取问题进行了研究，主要内容包括：
1. 提出了一种高效安全的改进协议 ES-AKA。该协议不仅能够抵抗重定向攻击和重
放攻击，同时还提高了密钥 K 泄露时的安全性能。仿真分析表明：在更高的安全性能下，
ES-AKA 降低了服务网络的存储空间和归属网络的计算量，且有效减少了认证过程的比
特通信量。
2. 提出了一种基于认证次数的认证向量组长度 K 的动态选取机制。利用 LTE/SAE
AKA 的简化分析模型，推导认证次数、认证向量组长度与消息/比特通信量的数学关系
式。在以消息通信量为衡量因子的基础上，加入比特通信量这一衡量因子，用两个浪费
率作为评价指标，设计折中选取原则，动态选取认证向量组长度 K。仿真分析表明：提
出的选取机制不仅解决了 K 值不唯一的问题，还有效降低了消息通信量和比特通信量。
用户长期驻留同一服务网络时，此机制性能优化显著。
3. 提出了一种基于认证速率的认证向量组长度的动态选取机制。利用基于泊松分布
的 LTE/SAE AKA 分析数学模型，推导认证速率、认证向量组长度与消息/比特通信量的
数学关系式。以消息通信量和比特通信量为衡量因子，设计折中选取原则，动态选取认
证向量组长度。仿真分析表明：提出的选取机制有效地减少了消息通信量和比特通信量，
且解决了 K 值不唯一的问题。用户短期驻留某一服务网络时，使用此机制性能优化显著。

关键词：LTE/SAE AKA 认证向量组 消息通信量 比特通信量

 Abstract

To acheive secure communication in 3G/4G communication networks,Authentication

and Key Agreement(AKA) protocol provides mutual authentication between the user and the
network,and directly or indirectly generates the encryption key and integrity key.Based on the
UMTS AKA mechanism,LTE/SAE AKA adds service network verification,uses the
authentication vectors in order, and introduces the hierarchical key system, which improves
the security of the system.However,LTE/SAE AKA still has some security issues to be solved.
This thesis analyzes the security of authentication and key agreement protocol and makes
a research on the problem of the automatic selection mechanism for the size of the
authentication vector array applied in LTE/SAE AKA.The details are as follows:
1. An efficient and secure authentication and key agreement (ES-AKA) protocol is
proposed.This protocol resists redirection attack and replay attack, avoids security risks when
key K is leaked. The simulation results show that ES-AKA reduces not only the storage of
service network but also the computation of home network, and has less bit exchange traffic
in the higher security environment.
2. An automatic K-selection mechanism on the basis of authentication numbers is
proposed. According to the simplified model of LTE/SAE AKA, this thesis establishes the
mathematical relationship of authentication numbers, the size of the authentication vector
array and exchange traffic which includes message exchange traffic and bit exchange traffic.
Adding the bits exchanging traffic as measures based on messages exchanging traffic, and
introducing the two wastage rate of authentication vectors, the selection mechanism is
proposed.The simulation results show that the proposed mechanism effectively reduces bit
exchange traffic, finds much better value of K in terms of message exchange traffic,and gains
an unique K value.This mechanism has an outstanding performance when the user stays in the
same SN for a long time.
3. An automatic K-selection mechanism on the basis of authentication rate is proposed in
this thesis. According to mathematical model based on the Poisson distribution,this thesis
establishes the mathematical relationship among authentication rate, the size of the
authentication vector array and exchange traffic which includes message exchange traffic and
bit exchange traffic. Adopting bits exchanging traffic and messages exchanging traffic as
measures, a final decision is made to obtain the optimal K. The simulation results show that
the proposed mechanism can reduce both bits exchanging traffic and messages exchanging
traffic, and can gain an unique K value. This mechanism has an outstanding performance
when the residual time of user in the same SN is short.

Key words: LTE/SAE, Authentication and Key Agreement, Authentication Vector array,
Message Exchange Traffic, Bit Exchange Traffic
 目 录

第一章 绪论..........................................................................................................................1
1.1 研究背景和意义 .................................................................................................1
1.2 认证密钥协商协议的研究现状 ..........................................................................2
1.2.1 UMTS AKA 协议研究现状 ............................................................................ 2
1.2.2 LTE/SAE AKA 协议研究现状 ....................................................................... 4
1.2.3 认证向量组长度的研究现状 ......................................................................... 5
1.3 LTE/SAE AKA 协议安全性问题........................................................................5
1.4 本文主要内容与创新点.....................................................................................7

第二章 LTE/SAE AKA 协议及其性能分析........................................................................9

2.1 LTE/SAE 系统的安全特性..................................................................................9
2.1.1 LTE/SAE 系统的安全架构.......................................................................9
2.1.2 LTE/SAE 系统的密钥体系.....................................................................10
2.2 标准 LTE/SAE AKA 协议 ...............................................................................11
2.2.1 LTE/SAE AKA 协议简介 .......................................................................11
2.2.2 LTE/SAE AKA 协议流程 .......................................................................12
2.3 LTE/SAE AKA 协议性能分析 .........................................................................14
2.3.1 LTE/SAE AKA 比特通信量和消息通信量 ............................................14
2.3.2 LTE/SAE AKA 流程简化模型 ...............................................................15
2.3.3 LTE/SAE AKA 认证向量组长度的衡量因子 ........................................16
2.4 本章小结..........................................................................................................17
第三章 基于私钥密码体制的 ES-AKA 协议 ....................................................................18
3.1 ES-AKA 协议的设计思想 ................................................................................18
3.2 ES-AKA 协议的认证流程 ................................................................................19
3.2.1 ES-AKA 协议第一阶段 ..........................................................................19
3.2.2 ES-AKA 协议第二阶段 ..........................................................................20
3.3 ES-AKA 协议性能分析 ....................................................................................21
3.3.1 安全性分析............................................................................................21
3.3.2 存储空间和计算量分析.........................................................................23
3.3.3 比特通信量分析 ....................................................................................23
3.4 本章小结..........................................................................................................25
第四章 基于认证次数的认证向量组长度的动态选取机制 ..............................................26
4.1 认证向量组长度 K 值选取机制的研究现状 ...................................................26
4.2 基于认证次数的认证向量组长度动态选取机制 ............................................27
-i-
 4.2.1 动态选取机制........................................................................................27
4.2.2 仿真及性能分析 ....................................................................................29
4.3 基于认证次数的认证向量组长度优化动态选取机制.....................................32
4.3.1 优化动态选取机制 ................................................................................32
4.3.2 仿真及性能分析 ....................................................................................33
4.4 本章小结..........................................................................................................37
第五章 基于认证速率的认证向量组长度的动态选取机制 ..............................................38
5.1 基于泊松分布的 LTE/SAE AKA 数学模型 .....................................................38
5.2 基于认证速率的认证向量组长度动态选取机制 .............................................39
5.3 仿真及性能分析 ...............................................................................................41
5.4 本章小结...........................................................................................................43
第六章 总结与展望 ............................................................................................................44
参考文献 .............................................................................................................................45
发表论文和科研情况说明 ..................................................................................................49
致 谢 .............................................................................................................................50

- ii -
 第一章 绪论

第一章 绪论

1.1 研究背景和意义

在信息化加速的今天，安全通信的需求在移动通信系统中越来越重要，尤其是在第
三代、第四代移动通信系统中。无线信道的公开，造成无线接口和无线服务访问的安全
性相对有线网而显得薄弱[1]。非法用户可以通过无线接口截获用户的敏感数据、冒充合
法用户访问无线资源等；服务网络单元种类多、功能各异、通信方式和连接结构各异，
使得安全管理困难，易出现安全漏洞[2]。移动通信系统除了提供基本的话音业务，还将
提供多媒体、电子商务、网上银行等业务[3]。这些业务都要求移动通信系统拥有强大的
安全性。如果没有强大的安全措施保护通信，这将给用户和移动网络运营商都造成很大
的损失。
接入安全[4]是指终端能够安全接入网络，并且能够有效抵御链路上的攻击。接入安
全的完善度和完备性很大程度上决定了网络的安全性。目前，保证接入安全的常用方法
是身份认证，包括网络对终端合法性的认证以及终端对网络的认证[5]。所以，如何完善
优化接入的认证方案已成为研究接入乃至系统安全至关重要的部分。
第一代蜂窝移动通信系统采用频分复用技术[6]。它没有采用任何的安全措施，因此
无线网络中的通信内容很容易被窃听或篡改。同时，用户的身份也很容易被冒充[7]。
第二代移动通信系统（2G）增加身份验证技术核实移动用户的合法性，以及运用数
字加密技术对数字化的用户话音、数据和网络信令进行保护[8-9]。它采用“询问—响应”
认证协议，加密无线链路段的通信内容，实现了三类保密[10]：第一，保护 IMSI，确保
用户的真实身份；第二，利用加密技术保护用户的信令、话音等；第三，通过鉴权机制
鉴别用户身份的合法性。尽管 2G 系统的安全性有了很大进步，但仍存在诸多的安全问
题，比如：认证是单向的、无端到端加密、信令无完整性保护、加密算法弱、无签名机
制等[6,9-15]。
第三代移动通信系统（3G）继承了 2G 安全机制的优点，改善了 2G 中存在和可能
存在的安全缺陷[16]。3G 系统沿用了“询问—响应”认证协议，提出了认证密钥协商 AKA
（Authentication and Key Agreement）协议保证用户安全接入网络。AKA 协议实现了用
户与网络的双向认证，保护了信令完整性，增强了加密算法等特点。目前，根据认证所
采用的密码体制的不同，有私钥密码体制和公钥密码体制两大类认证协议方案[17]。由于
私钥密码体制发展比较成熟，算法比较简单，当前的标准协议中采用了私钥密钥密码体
制的 AKA 协议[18]。
第四代移动通信系统（4G）系统沿用了 3G 系统的基本安全架构，同时引入新的接

-1-
 第一章 绪论

入网和核心网络的双层安全模型，定义了新的安全密钥体系，进一步提高了网络的安全
性[19]。在接入网的安全问题中，4G 沿用了 3G 中的 AKA 机制[20]。相对于 UMTS AKA，
LTE/SAE AKA 采用了独立的序列号 SQN（SeQuence Number）机制，减少了重同步问
题；加入了服务网络身份 SN id（Service Network identity）实现对服务网络 SN（Service
Network）合法性的认证，从而解决了重定向攻击；这些改进都使 AKA 协议机制更加完
善[19]。但 LTE/SAE AKA 仍然存在某些安全问题，如明文传输国际移动用户识别码 IMSI
（ International Mobile Subscriber Identity）、 服务网络身份 SN id 和 认证向量 AV
（Authentication Vector）等易被截获的敏感信息。
面对越来越多的新数据业务，4G 对数据安全性的要求越来越高，而用户能否安全
接入网络成为安全性能的重中之重。认证密钥协商 AKA 协议是实现安全通信，保护用
户、运营商和服务提供商利益的前提和保证。只有当用户通过 AKA 协议生成安全的通
信会话密钥后，上层的加密和完整性认证才能发挥应有的功能[21]。可见，研究 LTE/SAE
AKA 协议对移动通信的安全性及发展具有重要的理论意义和实际价值。正因如此，本
文以 LTE/SAE AKA 协议为研究对象，对其存在的安全问题及认证向量组长度的合理选
取问题进行了深入研究。

1.2 认证密钥协商协议的研究现状

LTE/SAE AKA 沿用了 UMTS AKA 的认证模式。对目前国内外的研究现状将从三方

面入手：①UMTS AKA 协议；②LTE/SAE AKA 协议；③认证向量组长度选取问题。

1.2.1 UMTS AKA 协议研究现状

自 UMTS AKA 协议提出后，国内外科研人员对其可能存在的安全问题不断进行研

究，并先后提出了多种改进、完善的 AKA 协议，其中具有代表性的研究成果有：
2002 年以来，先后有学者针对 UMTS AKA 中可能导致链路上的数据被窃听的不足，
提出在服务网络 SN 和归属网络 HN（Home Network）之间增添一个共享密钥 KHV 来解
决的改进协议。但是，利用共享密钥 KHV 提高网络安全性时，带来了更多潜在的隐患和
维护成本[22-24]。
2005 年，一种基于对称密钥协议的 X-AKA[25]被提出。它没有了 UMTS AKA 中传
输的 AV 过程并降低了带宽消耗。但它并不抵制重定向攻击和中间人攻击。
2005 年，张和方提出的 AP-AKA[26]协议可以抵抗重定向攻击且能大幅降低网络危
害的影响，但为验证漫游的 MS，SN 发起了额外的消息请求，且其易受到中间人攻击。
2006 年，Al-Saraireh 和 Yousef S 针对 UMTS 网络提出了一个基于对称密钥的认证
协议[27]。该协议主要致力于减少 AV 传送所需带宽：用移动台 MS（Mobile Station）生
成 AV 代替服务网络生成 AV。协议消除了认证期间传输 AV 的成本，但并不能解决重定
向攻击和中间人攻击。
同年 5 月、12 月，蒋睿、李建华和潘理先后提出了两种改进的认证与密钥协商方案：

-2-
 第一章 绪论

一是针对协议应用于不安全的信道时两种可能存在的攻击，引入一次 Diffie-Hellman （DH

[28]
算法）交换以产生一次连接中的临时会话密钥 KT 来提高协议的安全性能 ；二是针对
协议中 SN 和 HN 缺乏认证、易遭受重定向攻击的安全缺陷，在文献[28]的基础上，添
加 SN 的身份信息 SNID，确保协议在不安全的信道上的通信安全，同时有效防止重定向
攻击[29]。
2008年，袁方边、瑞昭、王惠芳针对协议中IMSI明文传输、SN和HN之间缺乏认证、
SQN操作难的问题，采用非对称密码体制，提出了一种应用于较高安全级别领域中的认
证与密钥协商协议方案[30]。由于它需要在核心网内增加两个安全设备，与现有网络的兼
容性较差。
同年，石亚宾、黄开枝、贺晓珺提出了一种可以防止重定向攻击、SQN 同步缺陷和
用户身份信息泄露的改进方案[31]。该协议在消息中加入访问网络的身份信息，利用秘密
令牌机制实现了对敏感数据的加密保护。然而，秘密令牌机制复杂，增加了认证成本。
2009 年，Ka-Kyung Oh 等人提出了 T-AKA[32]。该协议用临时 ID 代替了 IMSI，利
用 DH 算法加密了明文传输的随机数，在 SN 和 HN 间形成了基于 ticket 的认证代替基
于 n 个 AV 的认证方式，从而节省了带宽。但是，它与现有 AKA 协议框架兼容性不佳，
新协议框架变化易造成现有应用的巨大改动。
2009 年，Ou et al.提出了 Cocktail-AKA[33]，成功克服了 UMTS AKA 的先天性缺陷。
它使用两种分别记为 MAV 和 PAV 的认证向量产生有效的认证向量。协议中，每个 SN
提前生成一组专属的 MAV，只产生一次，且可重用。MS 验证时，HN 为 MS 计算一个
认证向量 PAV，发送至 SGSN。SGSN 使用 PAV 和 MAV 产生一组有效的 AV 组，并进
行后续验证。虽然 Cocktail-AKA 减少了传输 AV 的成本，但其易受到拒绝服务器 DoS
（Denial Of Service）攻击。
2010 年，吴淑华等针对 Cocktail-AKA 存在的伪 MS、重同步问题，提出将 MS 端和
HN 端的随机数相结合为随机数 PRR，作为生成 PAV 的输入参量，抵抗了伪 MS 和重同
步弱的问题[34]。
2011 年，刘和薛提出了 ER AKA[1]。该协议通过加入 SN id 防止利用存在安全漏洞
的网络发起的主动攻击和重定向攻击；利用 HN 的主密钥 x 和随机数 ri 生成的秘密令牌
wi 对 IMSI 进行加密，保护了用户身份信息且有效减少了信令交互的次数；采用 AP AKA
中新鲜性保护机制，避免了 SQN 同步缺陷。但该协议在存储资源和运算资源的消耗增
加，且需要 SN 和 HN 间共享秘钥 Khv，部分加密采用了可逆算法。
2011 年 11 月，Yu-Lun Huang 等人提出了 S-AKA[35]。S-AKA 能够抵抗重定向攻击
和中间人攻击，共 2 个执行阶段：S-AKA-I 和 S-AKA-II。S-AKA-I 中，SN 获得来自 HN
的 AV 组，实现 S-AKA-II 中 SN 和 MS 可以在没有 HN 信息的情况下相互验证对方；
S-AKA-II 利用 S-AKA-I 授予 SN 产生 AV 组的权利，实现没有 HN 参与的认证过程。该
协议实现交互三方的相互认证，且减少认证所需的带宽和消息总量，但没有讨论 HN 不
参与认证时的更新时效问题。
通过对国内外学者对 UMTS AKA 提出的改进协议深入的比较研究，本文利用生成
第二个密钥实现 AKA 协议的独立认证，降低了协议执行的通信量。

-3-
 第一章 绪论

1.2.2 LTE/SAE AKA 协议研究现状

4G 沿用了 3G 的基本安全架构，同时引入新的接入网和核心网络的双层安全模型，
定义了新的安全密钥体系，进一步提高网络的安全性。在接入网的安全问题中，LTE/SAE
沿用了 UMTS 的 AKA 机制。近几年，国内外学者对 LTE/SAE AKA 提出了多种改进、
完善的协议，其中主要的研究成果有：
2009 年，Deng Y P 等学者提出了一种基于公钥体制的 D-AKA[36]。该协议采用公钥
体制对重要参数进行加密保护，抵制了重定向攻击；同时采用随机数获得 KASME，实现
了密钥的更新，也解决了过度依赖根密钥 K 的弊端。然而，它对 KASME 获取机制并没有
普遍性，公钥证书传递带来巨大的通信开销，证书库的维护与管理也不可避免。
同年，邓亚平等五位学者针对协议中 IMSI 明文传输、SN 和 HN 之间缺乏认证、SQN
操作难等相关安全问题，利用公钥密码体制对用户身份信息和网络域的用户认证向量进
行加密，通过动态随机数生成本地认证中需要的密钥，提出一种改进的 LTE/SAE 认证
与密钥协商协议[37]。同样，无线公钥基础设施普遍存在的问题仍未得到解决。
2010 年，方杰向、蒋睿针对 D-AKA 特有的一种伪 UE 攻击，提出了混合密钥体制
的 I-AKA[38]。I-AKA 解决了这种伪 UE 攻击，同时考虑 UE 端有限的计算和处理能力而
采用单密钥体制，但无线公钥基础设施普遍存在的问题仍未得到解决。
2011 年，Masoumeh Purkhiabani 和 Ahmad Salahi 提出了一种改进 AKA 协议方案[39]。
该方案是：SN 生成 m 个随机密钥、n 个随机数，并选择一个随机密钥 SNR[i]传送给 HN，
HN 形成一个 HNAV[i]传送给 SN，SN 利用 n 个随机数形成 n 个 AV 传送给 UE 进行认
证。当 UE 第 n+1 次认证时，再从 m 个随机密钥中选择一个，重复上述操作。该协议部
分程度上实现了密钥更新机制，减少了认证过程中的带宽消耗、运算量的消耗，在安全
性上也得到了提高。但它仍存在中间人攻击，且没有实现数字签名。
2011 年 9 月，许名松等人提出了 SE AKA[40,41]。该协议利用公钥体制对明文传输且
未加以保护的 IMSI、SNID 进行加密保护，同时支持数字签字，抵御了重定向攻击，实
现 了 信 息 的 不 可 否 认 性 。 但 采 用 无 线 公 钥基 础 设 施 WPKI （ Wireless Public Key
Infrastructure）方案，不可避免的带来了证书库维护与管理问题和巨大的通信开销。
2012 年，Jacques Bou Abdo 等人提出了基于公钥体制 SE AKA 的改进 EC-AKA[42]，
主要致力于解决蛮力攻击。2013 年，他们又提出了对 EC-AKA 的改进协议 EC-AKA2[43]，
解决了中间人攻击、UE 追踪问题。
2013 年，Khodor Hamandi 等人提出了 HSK-AKA[44]。该协议是基于 C. K. Huan 提
出的 PE-AKA 的改进。使用数字签名成功抵制伪 MME 攻击，引入了 SQNHSK 机制，建
立 IMSI 与 HN 的关系，使用随机移动用户身份标识 RMSI（Random Mobile Subscriber
Identity），在有限运算能力的实体处最小化使用公钥加密，以消耗一定的运算量为代价
达到保护 IMSI 的目的。
通过对国内外学者对 LTE/SAE AKA 提出的改进协议深入的挖掘，本文利用产生第
二个密钥，设计相关算法，避免协议安全性对密钥 K 的依赖，提高了协议的安全性。

-4-
 第一章 绪论

1.2.3 认证向量组长度的研究现状

目前，3GPP 协议建议认证向量组长度选取 K=5[45]，但固定长度的 K 值不能有效应

对网络业务量的突发情况。近几年，国内外学者不断深化研究，建立多种数学模型，提
出了多种认证向量组长度的选取机制，主要的数学模型和选取机制有：
2003 年，Yi-Bing Lin 和 Yuan-Kai Chen 在泊松分布条件下建立认证向量数组长度值
与网络信令数据流量消耗成本之间的数学模型，提出了一种动态选取认证向量组长度的
机制来降低网络信令的成本，但其未遍历所有可能的 K 值，选取机制限定了选取的最大
K 值只能是初始值，且满足条件的 K 值可能不唯一[46]。
2006 年，Saraireh JA 和 Yousef S 基于文献[46]建立的数学模型，优化 SN 更新时刻
的动态选取机制，同时提出了 UE 长期驻留于某一 SN 时的动态选取方案，但同样未遍
历所有可能的 K 值，选取机制确定的 K 值不唯一，且未讨论获取 K 值不唯一时的选取
方案[47]。
2006 年，张燕和 Fujise M 应用文献[46]的数学模型，对离开 SN 未用认证向量的等
待时间问题进行了讨论，将等待 AV 的概率由 20%降低到小于 2%[48]。同年，张燕、周
名托等学者在六边形随机游走模型下，又对 UMTS AKA 的网络信令成本评估进行研究。
从统计和仿真的角度证明假定认证开启服从泊松分布的模型存在误差[49]。
2007 年，Wu LY 和 Lin YB 研究 MS 离开上一个 VLR/SGSN 区域进入新 VLR/SGSN
时，上一个 VLR/SGSN 保留未使用的认证向量的时间 RT 对网络信令流量的影响[50]。
2008 年，王萌等学者扩展文献[46]，在非泊松分布条件下建立数学模型分析认证所
耗成本[51]。
同年，Georgiades M 和 Tafazolli R 在六边形随机游走模型下，对 LTE/SAE AKA 的
网络信令成本评估进行研究，而非泊松分布下仍尚未给出认证成本与认证向量组长度 K
的数学关系[52]。
通过对国内外学者对 AKA 协议中认证向量组长度选取机制、数学模型的深入学习
和挖掘，在详细讨论现有选取机制的优劣后，本文基于认证次数、认证速率提出了两种
认证向量组长度的动态选取机制，为不同的网络情形下采用不同的选取机制提供参考。

1.3 LTE/SAE AKA 协议安全性问题

LTE/SAE AKA 沿用 UMTS AKA 的私钥密码体制，同时加入服务网标识 SN id 验证

服务网的合法性；对认证向量采用按序处理，减少了由于 SQN 不同步而带来的系统开
销；采用层次化的密钥生成机制，提高了通信的保密性[19]。但其在安全性、高效性方面
仍存在如下不足：
（1）IMSI 标识缺乏保护[23,30,53-56]。在用户开机注册到网络（即 UE 初次与 MME
进行通信）或网络无法从 GUTI 中恢复出 IMSI 时(即 MME 无法从 UE 的临时身份标识
S-TMSI 中找到对应的 IMSI)，用户将向网络以明文形式在无线信道中发送 IMSI，就可
能会被攻击者截获，进而引发 UE 被定位、业务追踪及中间人攻击的危险，甚至可能引

-5-
 第一章 绪论

发非法网络主动攻击，拒绝服务攻击等危险事件。
（2）SN id 未受到保护[37,57]。协议忽视了 HN 与 MME 间传递的关键信息 SN id 的
保护。当前，不论是在有线环境还是在无线环境下，SN id 以明文形式传输的现象比比
皆是，导致攻击者很容易就可窃取合法 SN id 进而主动发起网络欺骗、伪基站、中间人
等攻击。此外，这些重要且敏感数据也可能会成为攻击者下一步攻击的基础。
（3）AV 未受到保护[57-58]。协议中，HN 与 MME 之间传递的关键信息 AV 组以明
文形式传输，很可能会被窃听和截获。进而，攻击者可能通过合法 AV 直接对通信数据
进行破解和篡改，也可作为下一步攻击的基础数据。
（4）对称加密体制本身存在的安全威胁[18,59]。由于现行协议采用的是对称加密体
制，密钥数量随着接入用户数目的增加快速增长，密钥的传输和分配会随着网络中的设
备增加而变得复杂，安全性也难以得到维护。可见，对称密钥体制整体上缺乏必要的可
扩展性，且不支持数字签名[60,61]、不能提供不可否认性业务[62]，不利于实现下一代通信
网络的高可靠性和灵活性。
（5）根密钥 K 泄露问题[18,37,53,55,63]。LTE/SAE AKA 协议采用共享密钥 K 完成 UE
和网络间的相互认证，以实现用户安全接入网络。但长期共享密钥 K 的安全性依赖着网
络，易泄漏导致安全隐患。一旦 K 泄露，整个协议再无安全可言。
（6）重同步增加网络间的信息成本[30,64-66]。虽然 LTE/SAE AKA 加入了独立的 SQN
同步机制：对认证向量采用按序处理，减少了 3G AKA 中由于 SQN 不同步而触发大开
销的重同步过程，也在一定程度上抑制了攻击者对已用 RAND 和 AUTN 的重放带来的
重放攻击。但是，当 UE 发现序列号 SQN 不在正常范围内，就会判定 HN 中的同步已经
发生故障，这势必导致产生虚假的重同步请求。因为，一个序列号 SQN 不在正确的范
围内，并不一定意味着 HN 中的 SQN 发生故障。
（7）重定向攻击[28,31,35,67]。攻击者拥有可在同一时间同时伪装 UE 和 SN/MME 的
设备。攻击者首先伪装 SN/MME 捕获 UE 接入请求，然后伪装合法 UE 将请求消息转发
给外网合法的 SN/MME，SN/MME 接收请求后误认为是合法 UE 发起的请求，立刻向合
法 UE 的 HN 发送认证数据请求消息，HN 向 SN/MME 发回认证向量数据。接着，SN/MME
对 UE 进行认证。在认证过程中，攻击者充当中继，将 UE 的通信定向到一个合法的外
网 SN/MME，导致本地网受害的 UE 支付被另一个服务提供商操控至外网的漫游费用。
（8）SN 存储空间大[1,31,68]。在 LTE/SAE AKA 中，HN 生成一个认证向量需要计算
RAND、MAC、XRES、CK，IK、AK、KASME 和 SQN⊕AK，共需 7 次哈希运算和 1 次
异或运算。于是，HN 计算并发送 K 个认证向量到 SN/MME 时，SN 的存储空间为 608K
bit，HN 的计算量为 7K 次哈希运算和 K 次异或运算。
（9）认证向量组长度的选取问题[35,46-47, 67,69-70]。在 LTE/SAE AKA 中，HN/HLR 发
送 K 个 AV 到 SN/MME。当 AV 耗尽，SN/MME 需要再次向 HN/HLR 发起获取请求。K
过大传输 AV 将消耗巨大的比特通信量，且易因 UE 的离开造成 AV 的浪费。若 K 过小，
虽减少了 HN/HLR 的计算量和传送代价，却带来了频繁的认证请求和 AV 传递。可见，
如何对整个网络选择一个最佳的 K 值至关重要。

-6-
 第一章 绪论

1.4 本文主要内容与创新点

在学习掌握 LTE/SAE 安全网络架构、密钥体系的基础上，本文着重对 LTE/SAE AKA

协议现存的安全问题进行了分析、总结、完善和改进，建立协议流程的简化分析模型，
提出高效安全的改进方案，且对其进行安全性能的仿真分析；利用泊松分布建立对认证
向量组的长度选取问题的数学模型，找寻选取的影响因子，设计不同网络情形下的选取
机制，并对动态选取机制进行仿真、总结和优化，具体内容如下：
第一章简要介绍了认证与密钥协商协议的发展进程、研究现状及现存的安全问题，
依次详细总结了当前 UMTS AKA、LTE/SAE AKA、认证向量组长度选取方案的国内外
研究现状。
第二章描述了 LTE/SAE 系统的安全构架及密钥体系，以说明认证与密钥协商协议
在整个网络构架中的位置和重要性；详细阐述了 LTE/SAE AKA 协议的具体流程，并对
其进行存储空间、计算量、通信量的分析，为第三章改进协议的提出奠定基础；建立协
议流程的简化分析模型，分析认证向量组长度 K 值选取的影响因子，为第四、五章认证
向量组长度的动态选取机制确定衡量因子。
第三章在第二章对协议流程、协议安全性、通信量的分析后，基于私钥密码体制提
出了一种高效安全的认证与密钥协商协议 ES-AKA。对 ES-AKA 协议流程详述后，本章
依次从抗攻击性、网络的存储和计算能力、通信量等角度，将 ES-AKA 协议与 LTE/SAE
AKA、已有的多种改进协议进行了分析比较，进而证明其高效性和安全性。
利用第二章认证向量组长度选取的相关理论，UE 稳定驻留 SN 时：以消息通信量
和比特通信量为影响因子，引入浪费率概念，第四章提出了基于认证次数的认证向量组
长度的动态选取方案；同时，针对设计的动态选取方案进行实验仿真分析，进一步提出
优化改进方案。仿真表明，优化方案不仅能够减少消息通信量，同时可降低比特通信量。
第五章建立基于泊松分布的分析数学模型，模拟实际的网络场景，以消息通信量和
比特通信量为影响因子，提出了基于认证速率的认证向量组长度的动态选取方案；该方
案较适用于 UE 驻留时间不稳定时，实验仿真表明，该方案虽不能最节省消息通信量，
却能够同时减少消息通信量和比特通信量，提高了整个网络的资源利用率。
第六章对全文的内容进行了总结概括，并对课题未来的研究方向进行了展望。
本文以 LTE/SAE AKA 协议为研究对象，在掌握和分析认证密钥协商协议基础上，
建立了理论分析模型，针对其存在的认证是否为双向认证、是否能够抵抗重定向攻击和
重返攻击、根密钥 K 的保密性、各个网络实体的存储需求和计算能力、认证向量组长度
合理选取等诸多问题，完成了以下工作：
1. 针对 LTE/SAE AKA 存在的部分安全问题，基于私钥密码体制提出了一种高效安
全的改进协议 ES-AKA。该协议不仅能够抵抗重定向攻击和重放攻击，同时还解决了密
钥 K 泄露的安全隐患。分析其安全性和协议性能表明：在更高的安全性能下，ES-AKA
还降低了服务网的存储空间和归属网络的计算量，且有效减少了比特通信量。
2. 建立 LTE/SAE AKA 的简化分析模型，详细讨论现有认证向量组长度动态选取机
制的优劣，在以消息通信量为衡量因子的基础上，加入比特通信量这一衡量因子，引入

-7-
 第一章 绪论

两个浪费率，设计折中选取原则，提出了一种基于认证次数的认证向量组长度的动态选
取机制，并进一步提出了根据实际认证次数进行分段取值的优化选取机制，适合 UE 较
稳定地驻留于某一 SN 的情形。仿真表明：在相同的网络环境下，提出的选取机制不仅
解决了 K 值不唯一的问题，还有效降低了消息通信量和比特通信量。
3. 建立基于泊松分布的 LTE/SAE AKA 分析数学模型，以消息通信量和比特通信量
为衡量因子，设计折中选取原则，提出了一种基于认证速率的认证向量组长度的动态选
取机制，适用于 UE 驻留 SN 时间较短的网络情形。仿真表明：提出的选取机制虽不是
最节省消息通信量的机制，却能够同时有效减少消息通信量和比特通信量，且解决了 K
值不唯一的问题。

zhi ku quan 20150721

-8-
 第二章 LTE/SAE AKA 协议及其性能分析

第二章 LTE/SAE AKA 协议及其性能分析

为了说明认证与密钥协商协议在整个通信系统的网络构架中的位置和作用，本章首
先简要介绍 LTE/SAE 系统的安全构架及密钥体系；然后详细阐述 LTE/SAE AKA 协议的
具体流程，并对其进行安全性、通信量的分析，为改进协议的提出奠定基础；同时，本
章将会建立简化的 LTE/SAE AKA 协议分析模型，分析认证向量组长度 K 值选取的影响
因子，为第四、五章认证向量组长度的动态选取机制确定衡量因子。

2.1 LTE/SAE 系统的安全特性

2.1.1 LTE/SAE 系统的安全架构

3GPP TS 33.401[71]中给出了 LTE/SAE 系统整体的安全架构图，如图 2.1。相比 UMTS

的安全架构，主要有以下三方面的改进[72]：
1. 考虑了 AN 和 SN 间数据交换的安全性，增加了两者间的双向安全保护；
2. 考虑了 MS 和 SN 间非接入层的安全问题，增加了两者间的双向安全保护；
zhi ku quan 20150721
3. 增加了对服务网 SN 的认证，在 HN 和 SN 间要进行双向安全保护。

图2.1 LTE/SAE系统的安全构架

图 2.1 定义了五个安全特性组，每组应对不同的安全威胁以完成不同的安全目标[5]：
网络接入安全（I）：网络接入安全是为了用户可以不必担心私有信息会被非法窃听
或篡改下安全的接入 LTE/SAE 网络。它主要提供四个方面的安全特性：用户标识的保
密性、实体认证、加密、数据完整性[73]。由于用户接入到网络是通过无线接口 uu 口实
现的，因此用户数据可能被轻易截获。
网络域安全（II）：该安全特性有三个层次：密钥建立、密钥分配、安全通信[5]。主

-9-
 第二章 LTE/SAE AKA 协议及其性能分析

要针对有线网络受到的攻击，保证业务提供者域中的节点间交换的信令数据的安全，并
保证用户接入的服务网络 SN 是合法授权的。服务网络是否合法授权由归属网络决定。
用户域安全（III）：主要涉及两个方面的授权认证：一是 USIM 对用户的授权，即
只有合法的用户才能使用特定的 USIM，通过设置 SIM 卡的个人识别码 PIN（Personal
Identification Number）实现；二是 USIM 对终端的授权，即只有合法的 USIM 才能匹配
特定的终端设备。
应用域安全（IV）：应用层上需要有各种各样的安全需求，如提供用户数据的完整
性 和签名[30]功能。其安全级别可由网络操作员或应用程序提供商根据需要选择。
[73]

可视性与可配置性（V）：该安全特性对用户而言一般是透明的[5]。在一些特殊事件
下，移动系统需要提供更大的安全特性操作可见度。比如用户由安全级别高的区域漫游
到了安全级别低的区域时，用户可以自由选择是否继续进行该项服务。

2.1.2 LTE/SAE 系统的密钥体系

LTE/SAE 系统包括两个安全层次：接入层安全和非接入层安全[71]。接入层安全是指
UE 和 eNodeB 之间的安全，主要负责执行 AS 信令的加密和完整性保护，用户面 UP 的
加密保护；非接入层安全是指 UE 和 MME 之间的安全，主要负责执行 NAS 信令的加密
和完整性保护。

zhi ku quan 20150721

USIM / AuC

CK, IK
UE / HSS
KASME
UE / MME

KNASenc KNASint
KeNB
/ HN
UE / eNB

KUPint KUPenc KRRCint KRRCenc

图2.2 LTE/SAE用户侧和网络侧密钥派生体系

LTE/SAE 中用户面和控制面两个安全层次完全分离，两个安全层次的设计使得系统
的密钥体系更加复杂，AKA 过程生成的 KASME 作为中间密钥，可直接推导出 NAS 层的
KNASenc、KNASint，供 UE 和 MME 使用；而由 KASME 推导的 KeNB 是 UE 和 eNB 之间用来
计算 AS 层密钥的临时性密钥。
LTE/SAE 系统所使用的密钥及派生过程如图 2.2 所示[71]。
K 为长期共享的根密钥，128 比特。它分别存储在用户侧的 USIM 卡和网络侧的认
证中心 AuC 中，用来进一步推演其它的通信密钥。
CK 是加密密钥，IK 是完整性保护密钥，两者均为 128 比特。CK 和 IK 都在 AKA
-10-
 第二章 LTE/SAE AKA 协议及其性能分析

过程中生成，UMTS 系统中它们作为认证向量的一部分被直接使用，但在 LTE/SAE 系

统中并不被直接使用，而是一直保留在归属网络端用于推演中间密钥 KASME。
KASME 是 UE 和 ASME 共享的密钥，用于进一步生成通信密钥，256 比特。
KNASenc 用于 NAS 信令的加密，KNASint 用于 NAS 信令的完整性保护，它们都是 UE
和 MME 通过 NAS SMC[21]过程协商的加密算法获得。在 NAS SMC 过程中，MME 根据
自己的安全能力和 UE 的安全能力选择加密算法和完整性保护算法，在使用时两者都要
由 256 比特截断为 128 比特。
KeNB 是在 UE 从 ECM-IDLE 进入 ECM-CONNECTED 时，由 UE 和 MME 各自根据
根据上行的 NAS 信令 COUNT 和 KASME 计算得到的。和 NAS 相似，UE 和 eNB 通过
AS SMC 过程协商加密和完整性保护算法，然后 UE 和 eNB 根据 KeNB 计算出 KRRCenc、
KRRCint 和 KUPenc。

2.2 标准 LTE/SAE AKA 协议

2.2.1 LTE/SAE AKA 协议简介

LTE/SAE AKA 涉及三个主要的网络实体：移动设备 UE（User Equipment），服务网

络/移动管理设备 SN/MME（Service Network/Mobility Management Entity），归属网络/
归属位置寄存器 HN/HLR（Home Network /Home Location Register）。AKA 中，UE 和
zhi ku quan 20150721
HN/HLR 共享密钥 K。UE 以一个移动用户的身份，与 SN/MME 和 HN/HLR 进行认证通
信。SN/MME 代表被访问的服务网络。位置归属地的 HN/HLR 是负责用户身份认证的
网络实体。

表2.1 加密函数

函数 定义功能
f1 网络信息认证函数，输出 MAC
f2 用户信息认证函数，输出 RES 和 XRES
f3 加密密钥产生函数，输出 CK
f4 完整性密钥产生函数，输出 IK
f5 匿名性密钥产生函数，输出 AK
f6 用户身份加密函数
f7 用户身份解密函数
|X| 实体 X 的长度
|| 连接，级联

LTE/SAE AKA中，UE和HN/HLR共享密钥K且保持序列号SQNUE和SQNHN以用于抵
制重放攻击。UE和HN/HLR也利用一些加密函数来生成密钥，以用于完整性检查[74]。表
2.1为协议中所涉及的各类加密函数及其功能，表2.2为协议所涉及的实体及其长度。

-11-
 第二章 LTE/SAE AKA 协议及其性能分析

表2.2 协议所涉及的实体及其长度一览表

缩写符 定义全称 长度(b)

AMF 鉴权管理域(authentication management field) 48

AUTN 认证令牌(authentication token) 128
IMSI 国际移动用户识别码(International Mobile Subscriber Identity) 128
MAC 消息认证码(message authentication code) 64
RAND 随机质询(random challenge) 128
RES 应答(response) 64
XRES 预期应答(expected response) 64
XMAC 预期消息认证码(expected message authentication code) 64
AK 匿名密钥(anonymity key) 48
CK 保密性密钥(cipher key) 128
IK 完整性密钥(integrity key) 128
K UE 和 HN/HLR 的共享密钥(secret key，shared by MS and HN) 128
SQN 序列号(Sequence Number） 48
KASME 接入安全管理实体密钥(Access Security Management Entity Key) 256

zhi ku quan 20150721

在 LTE/SAE AKA 认证中，需要交换五条交互消息：
M1：UE 通过发送它的 IMSI 信息到 SN/MME，以发起一个注册请求。
M2：SN/MME 收到注册请求后，向 HN/HLR 发送该用户的永久身份标识 IMSI、SN
id 和网络类型，请求对该用户身份和所在网络进行认证。
M3：验证 UE 后，HN/HLR 发送一个有序的、包含 K 个认证向量 AV 的认证向量组
到 SN/MME。每个 AV 由四元组 RAND、XRES、KASME 和 AUTN 组成。
M4：SN/MME 选择一个未使用的 AV，获取 RAND 和 AUTN 及该 AV 的由 KASME
分配的 3 位密钥标识 KSIASME 发送给 UE。
M5：在成功地检查 AUTN 中 SQN、AMF 和 MAC 的新鲜性或正确性后，UE 认证
该网络并将计算获得的 XRES 发送至 SN/MME。
随后，SN/MME 通过核实 XRES 成功认证 UE 后，UE 和网络端分别计算 CK、
IK，推算共享的中间密钥 KASME。

2.2.2 LTE/SAE AKA 协议流程

具体 LTE/SAE AKA 协议执行流程[71,75]，如图 2.3：

① UE 向 SN/MME 发送认证数据请求消息 M1 ，包含 UE 的 IMSI。
② SN/MME 收到 UE 的认证数据请求消息后，向 HN/HLR 发送认证向量请求消息
M2：IMSI、SN id 和网络类型，以请求 HN/HLR 对该用户身份和所在网络进行认证。
③ HN/HLR 接收到来自 SN/MME 的认证向量请求消息后，根据 SN id 对 UE 所在

-12-
 第二章 LTE/SAE AKA 协议及其性能分析

的服务网络进行验证，若验证失败则 HN 拒绝该认证请求；若验证通过，则 HN/HLR 根

据 IMSI 从数据库中取得与 UE 共享的密钥 K，然后产生 K 个有序认证向量 AV[1,…,K]。
与 UMTS AKA 不同，LTE/SAE AKA 每个 AV 由四元组 RAND、XRES、KASME 和 AUTN
组成。HN/HLR 将认证向量组通过认证向量响应消息 M3 发送给 SN/MME。

zhi ku quan 20150721

图2.3 LTE/SAE 认证与密钥协商流程

一个认证向量的生成过程：
首先，归属网络生成一个序列数 SQN 和一个随机数 RAND，并使 SQN  SQN HN ；
其 次 ， 依 次 计 算 参 量 MAC  f K1 SQN || RAND || AMF  ， XRES  f K2  RAND  ，
CK  f K3  RAND  ， IK  f K4  RAND  ， AK  f K5  RAND  ， AUTN  SQN  AK || AMF || MAC ；
再次，CK、IK 绑定 SN id 生成 KASME，即 K ASME  KDF  SQN  AK , SN id , CK , IK  ；
最后， AV  RAND || XRES || K ASME || AUTN ，同时，令 SQN HE  SQN HE  1 。
④ SN/MME将收到的认证向量组存放在数据库。当需要认证时选取序号最小的AV，
将其RAND、AUTN及由KASME分配的3位密钥标识KSIASME发送给UE，作为用户鉴权请
求消息M4。
⑤ UE 接收到来自 SN/MME 的 RAND 和 AUTN 后，依次计算 AK  f K5  RAND  、
SQN   SQN  AK   AK 和 XMAC  f K1  SQN || RAND || AMF  （其中，MAC 和 AMF 包
含在 AUTH 中），然后验证 XMAC  MAC 是否成立及 AMF 的最低位是否为 1。
若 XMAC  MAC 或 AMF 的最低位≠1，则 UE 向 MME 发送用户认证拒绝消息，
并结束验证；否则，UE 继续验证 SQN 是否属于正常范围内。
若 SQN 不属于正常范围，UE 向 SN/MME 发送同步失败消息，结束验证并启动重
同步操作；否则，UE 对网络身份认证成功，UE 计算并发送 XRES  f K2  RAND  ，至
SN/MME，并置 SQNUE 为 SQN。然后，UE 计算 CK  f K3 RAND  和 IK  f K4 RAND  ，推
算 K ASME  KDF  SQN  AK , SN id , CK , IK  。
-13-
 第二章 LTE/SAE AKA 协议及其性能分析

⑥ SN/MME 收到 UE 发来的预期响应 XRES 后，判断 XRES  RES 是否成立：若成

立，则网络对用户认证成功，SN/MME 从认证向量中取出中间密钥 KASME，并进一步生
成 NAS 层的加密密钥 KNASenc 和完整性密钥 KNASint；或生成 KeNB 以继续推演 AS 层密钥
的临时性密钥 KRRCenc、KRRCint 和 KUPenc，分别用于 RRC 信令的加密和完整性保护，用
户数据加密保护。
SN/MME 对 UE 进行认证时，若 SN/MME 数据库中拥有该 UE 可用的 AV，则执行
第 3~6 步；若 SN/MME 数据库中没有该 UE 可用的 AV，则需要重复第 1~6 步。

2.3 LTE/SAE AKA 协议性能分析

从 LTE/SAE AKA 具体执行流程可见，LTE/SAE AKA 采用“挑战/应答”模式，与

UMTS AKA 相比，提高了安全性，主要表现在以下几个方面[19]：
（1）增加了 HN/HLR 对 SN/MME 的认证。HN/HLR 通过验证 SN/MME 发送的服
务网络号 SN id 来验证服务网的合法性；
（2）采用层次化的密钥生成机制，提高了通信的保密性。LTE/SAE AKA 协议协商
生成基础中间密钥 KASME，然后再根据不同的通信数据类型和通信链路，用不同的算法
计算出不同的完整性保护密钥 IK 和加密密钥 CK；
（3）对认证向量采用按序处理，减少了重同步带来的系统开销。UMTS AKA 中，
SN/MME 对认证向量的无序使用会导致 SQN 不同步，进而触发重同步请求，增大传输
成本，降低工作效率。zhi ku quan 20150721
但是，由第 1.3 章节的总结可知，LTE/SAE AKA 仍然存在多种安全缺陷，如：重定
向攻击、重放攻击、密钥 K 泄露问题、SN 存储空间大、HN 计算量大、消息通信量和
比特通信量大、认证向量组长度的合理选取问题等等。为了更好解决或优化相关解决方
案，下面将对 LTE/SAE AKA 相关性能进行分析。

2.3.1 LTE/SAE AKA 比特通信量和消息通信量

消息通信量指AKA中认证三方传送的总消息数目；比特通信量指AKA中认证三方
传送的总二进制信息位数。为了建立LTE/SAE AKA比特通信量和消息通信量与认证次数
M、认证向量组长度K的数学关系。做出以下假定：
假设传输的AV都可成功验证UE；
假设UE的认证请求到达相同的SN/MME。
利用表2.2协议所涉及实体及其长度情况，用|M|表达消息M的长度，则LTE/SAE AKA
的比特通信量和消息通信量如下[35]：
•|M1|为第一条消息长度，|M1|=|IMSI|=128（bit）。
•M2 是IMSI、SNid和网络类型长度的总和。因此|M2|=|IMSI|+|SNid|+|网络类型|=384
（bit）。
•M3中，一个AV由RAND、XRES、KASME和AUTN组成，|AV|=|RAND|+|XRES|+|KASME|+

-14-
 第二章 LTE/SAE AKA 协议及其性能分析

|AUTN|=608（bit），则传输K个AV时，有|M3|=608K（bit）。
•M4由RAND、AUTN和KSIASME组成，故|M4|=|RAND|+|AUTN|+|KSIAMSE|=291（bit）。
•M5包含一个RES，故长度为64 bit。
LTE/SAE AKA中，比特通信量的大小由是否访问HN/HLR决定。若SN/MME中没有
可用的AV，则UE是由HN/HLR认证。若SN/MME中有AV可用，则HN/HLR不参与认证
过程。下面将讨论这两种情形下的比特通信量。
•SN/MME中没有可用的AV：需要5条消息传输，比特通信量 bw1 是5条消息长度的总
和，即：
5
bw1   M i  875  608  K (b) (2-1)
i 1

•SN/MME 中有可用的 AV：只有消息 M1、M4 和 M5 的交换，于是比特通信量 bw2 有

bw2 | M 1 |  | M 4 |  | M 5 | 491 (b) (2-2)

于是，LTE/SAE AKA网络中，M 次认证的消息通信量 S  M , K  为：

M   M 
S  M , K    5   M    3 (2-3)
K   K 

zhi ku quan 20150721

M 次认证的比特通信量 B  M , K  为：

M   M 
B  M , K      bw1   M      bw2 (2-4)
K    K 

这里，K 代表认证向量组的长度。

2.3.2 LTE/SAE AKA 流程简化模型

为便于分析，简化 LTE/SAE AKA 认证过程，如图 2.4。

 1,1  1,2 1, K  2,1  2,2  N ,1  N ,2  N ,k

1 2

图2.4 LTE/SAE AKA认证的简化模型

这里，ADR（Authentication Data Request&Response）表示 SN/MME 向 HN/HLR 认
证向量请求和响应过程；UAR（User Authentication Request&Response）表示 UE 向

-15-
 第二章 LTE/SAE AKA 协议及其性能分析

SN/MME 用户认证请求和响应过程；K 表示 HN/HLR 向 SN/MME 传送的认证向量组的

长度； 1 表示用户进入 SN/MME 的时刻； N ,1 表示第 N 次执行 ADR 过程的时刻；  2 表
示用户离开 SN 的时刻； N ,k 表示执行 N 次 ADR 后，进行第 k (1  k  K ) 次 UAR 的时刻；
k 表示 SN 切换时，K 个 AV 中使用了 k 个。
一个 UE 在 1 时刻进入 MME/SN，在  1,1 时刻发送一个注册请求到 MME。MME 执
行一次 ADR 以从 HN 获取 K 个认证向量。随后的认证过程由 MME 和 UE 交互实现，
且两者的一次交互认证过程即执行一次 UAR。执行 K 次 UAR 后，UE 在  2,1 时刻再次发
送一个认证请求后，MME 将再次执行 ADR 以获取 K 个 AV，以此类推。若 UE 在  N , k 时
刻执行完 UAR 后的  2 时刻离开该 SN 时，则意味着 UE 驻留期间共执行了 N 次 ADR、
( N  1) K  k 次 UAR，这里 1  k  K 。

2.3.3 LTE/SAE AKA 认证向量组长度的衡量因子

AKA 中，HN/HLR 发送 K 个 AV 到 SN/MME。当 AV 耗尽，则 SN/MME 需要再次

向 HN/HLR 发起获取请求；当 UE 离开 SN，SN 将丢弃剩余的 AV。若 K 选取过大，传
输 AV 将消耗巨大的比特通信量，且易因 UE 的离开造成 AV 的浪费。若 K 选取过小，
虽减少了 HN/HLR 的计算量和传送代价，却带来了频繁的认证请求和 AV 传递。向量组
长度 K 值的大小，直接影响着网络的消息通信量和比特通信量。
5
x 10
4
K=100
3 K=2
比特通信量/bits

258200
220568
2

1 85734
64550
0
0 50 100 150 200 250
认证次数/次
(a) 比特通信量对比图
1000
K=100
800 K=2 800
消息通信量/条

600 604

400
200
200
152
0
0 50 100 150 200 250
认证次数/次
(b) 消息通信量对比图
图2.5 LTE/SAE AKA不同K值时比特通信量、消息通信量对比图

图 2.5（a）、（b）依次列举了 LTE/SAE AKA 在选取不同 K 值时所消耗的比特通信

-16-
 第二章 LTE/SAE AKA 协议及其性能分析

量和消息通信量。从图中可以看出，当一个 UE 发起 50 次认证请求时，选取 K=2 的比

特通信量比 K=100 减少 21184 bit，但消息通信量增多 48 条；当一个 UE 发起 200 次认
证请求时，选取 K=2 的比特通信量比 K=100 增多 37632 bit，但消息通信量减少 196 条。
可见，仅以消息通信量选取 K 值是不全面的。为了实现资源的最佳配置，需将消息
通信量和比特通信量共同作为衡量因子来获取最佳 K 值。

2.4 本章小结

本章首先简要介绍 LTE/SAE 系统的安全构架及密钥体系，然后详细阐述 LTE/SAE

AKA 协议的具体流程，并对其进行安全性、通信量的分析，同时建立简化的 LTE/SAE
AKA 流程的分析模型，研究影响认证向量组长度 K 值选取的影响因子，为后续章节奠
定了理论分析基础。

-17-
 第三章 基于私钥密码体制的 ES-AKA 协议

第三章 基于私钥密码体制的 ES-AKA 协议

认证与密钥协商协议是移动用户安全接入网络、进行上层通信会话的重要保障协
议。上述章节可知，LTE/SAE AKA 中仍存在许多安全问题，如重定向攻击、重放攻击、
密钥 K 泄露等。本章针对 LTE/SAE AKA 协议现存的相关问题，基于私钥密码体制提出
一种高效安全的改进协议 ES-AKA，致力于在更高的安全性能下，降低服务网络的存储
空间和归属网络的计算量，且有效减少认证过程的比特通信量。

3.1 ES-AKA 协议的设计思想

针对 LTE/SAE AKA 存在的安全缺陷，许多基于私钥密码体制的 AKA 协议被提出。

这些协议中，UE 和 HN/HLR 通常共享密钥 K，且主要致力于提高 AKA 的安全性，减
少认证过程的比特通信量。其中，基于 UMTS AKA 的改进协议 X-AKA[25]和 S-AKA[35]
消除了传输 AV 组的开销，降低了比特通信量，但 X-AKA 不抵抗重定向攻击和中间人
攻击，S-AKA 对独立认证未设置更新机制；张穆向等提出的 AP-AKA[26]协议可以抵抗
重定向攻击且可大幅降低网络危害的影响，但验证漫游用户时，SN 需发起额外的消息
请求，且易受中间人攻击；随后，提出的 Cocktail-AKA[33]将 HN 产生 AV 组改进为 SN
和 HN 共同产生 AV 组，有效减少了传输 AV 组的消耗，但其易受到拒绝服务器 DoS
（Denial Of Service）攻击；2011 年，Masoumeh 等基于 LTE/SAE AKA 的改进方案[39]
将中间密钥 KASME 的生成由根密钥和随机密钥共同决定，从而避免根密钥 K 一旦泄露导
致的安全隐患，但其存在中间人攻击。
基于上述协议的优缺点，本文综合X-AKA、S-AKA中SN实现独立认证的思想和
Cocktail-AKA和文献[39]中重要变量由两个参量共同决定的思想，提出了一种高效安全
的认证与密钥协商协议ES-AKA。
提出的ES-AKA，主要致力于实现以下几点目标：
•实现双向认证，即实现UE、SN和HN间的双向身份认证；
•实现独立认证，即SN对UE身份认证不是每次都需要在HN的辅助之下完成，以避
免因SN与HN之间通信暂时阻塞而导致SN无法对UE进行身份认证的问题；
•抵抗重定向攻击；
•抵抗重放攻击；
•协商中间密钥KASME，且其生成由K和DK共同决定，以提高密钥K泄露后的安全性；
•减小SN存储负担和HN的计算量；
•减少认证所需的比特通信量。

-18-
 第三章 基于私钥密码体制的 ES-AKA 协议

3.2 ES-AKA 协议的认证流程

ES-AKA 由两个执行阶段，分别记为：AKA-I 和 AKA-II。AKA-I 中，SN/MME 获

得来自 HN/HLR 的 AVh，以确保 AKA-II 中 SN/MME 和 UE 可在没有 HN/HLR 的情况下
实现认证。

3.2.1 ES-AKA 协议第一阶段

当一个 UE 进入到一个 SN/MME 后，SN/MME 将服务网络标识 SNid 及其产生的一

个随机数 N1 发送至 UE。用户需要服务时，启动如图 3.1 流程。

图3.1 ES-AKA-I

MI1 UE→SN/MME：{IMSI，VAC，DK，服务请求}。在发送MI1前，UE利用SN/MME
发 送 来 的 N1 和 SNid ， 生 成 一 个 代 表 性 密 钥 VAC  f K1  N1 || SN id  和 认 证 码
VAC  f K1  N1 || SN id  。
MI2 SN/MME→HN/HLR：{{MI1}，SNid，N1，type}。SN/MME将SNid和N1连同MI1
发送至HN，发起认证向量请求消息。
MI3 HN/HLR→SN/MME：AVh。收到MI2后，HN/HLR通过IMSI从数据库中取得与
UE共享的密钥K，计算并判断 XVAC  VAC 是否成立。若不成立，则终止认证；若成立，
则HN认证SN、UE成功，然后计算 DK  f K6  N1  和AVh。AVh产生过程如下：
① 依次根据相关参量推算 RES h  f K2  N1  、CK h  f K3  N1  和 IK h  f K4  N1  ，并最终
得到 K ASMEh  KDF  SN id , CK h , IK h  ；
② 推算 MACh  f K1  N1  DK || AMF  ，得到 AUTN h  MACh || AMF ；
③ 得到 AVh   AUTN h , RES h , K ASMEh  。
-19-
 第三章 基于私钥密码体制的 ES-AKA 协议

MI4 SN/MME→UE：RAND||AUTN||KSIASME。SN/MME 接收 MI3，产生 K 个有序随

机 数 ， 每 次 认 证 时 选 取 最 小 序 号 的 RAND ， 计 算 RES m  f DK 2
 RAND  ，
1
MAC  f DK  MACh , RAND  、 AUTN  MAC || AMF 。
M 5 UE→SN/MME：{XRES}。UE接收MI4 后，查看以SNid 为标签的列表有无该
I

RAND。有，则终止认证；否则计算并判断 XMAC  MAC 是否成立，若不成立，则终止

认证；否则UE认证网络成功。这里，
XMACh  f K1  N1  DK || AMF  ， XMAC  f DK 1
 XMACh , RAND  。
计算 RES m  f DK  RAND  、 RESu  f K  N1  ， 得到 XRES  RESm  RESu ， 发送至
2 2

SN/MME。
SN/MME接收MI5 ，计算 XRES  RESm  RES h ，并判断 XRES  RES 是否成立。若
不成立，则SN对UE的认证失败，终止认证；否则，SN认证UE成功，UE和SN/MME分
别进行以下操作：
UE：
① 计算 CK u  f K3  N1  、 IK u  f K4  N1  ，存储 K ASMEu  KDF  SN id , CK u , IK u  ；
② 计算 CK m  f DK
3
 RAND  、IKm  f DK4  RAND  ，得 K ASMEm  KDF  SNid , CK m , IK m  ；
③ 推算 K ASME  K ASMEm  K ASMEu 。
SN/MME：
① 提取AVh中的KASMEh；
② 计算 CK m  f DK
3
 RAND  、IKm  f DK4  RAND  ，得 K ASMEm  KDF  SNid , CK m , IK m  ；
③ 推算 K ASME  K ASMEm  K ASMEh 。
至此，UE 和服务网络间共享 KASME。

3.2.2 ES-AKA 协议第二阶段

ES-AKA协议的第二阶段没有HN/HLR参与，且UE和SN/MME已共享DK。图3.2描
述了AKA-II阶段的认证流程。

图3.2 ES-AKA-II

-20-
 第三章 基于私钥密码体制的 ES-AKA 协议

MII1 UE→SN/MME：{IMSI，VAC，服务请求}。UE每发起一次认证请求，N1增加1，
即： N1  N1  1 ；同时计算 VAC  f DK1
 N1 || SNid  。
II
M 2 SN/MME→UE：{RADN||MAC||KSIASME}。SN/MME 根据 IMSI 找到与 UE 端
共享的 DK；计算并判断 XVAC  VAC 是否成立。若不成立，则终止认证；若成立，则
网络认证 UE 成功，然后选取序号最小随机数 RAND，计算 MAC  f DK 1
 MACh , RAND  ，
AUTN  MAC || AMF ，推算 RES m  f DK  RAND  。
2

MII3 UE→SN/MME：{XRES}。UE查看以SNid为标签的列表中有无该RAND。有，
则终止认证过程，否则计算并判断 XMAC  MAC 是否成立，若不成立，则终止认证；
否 则 UE 认 证 SN 、 HN 成 功 。 这 里 ， XMACh  f K1  N1  DK || AMF  ，
1
XMAC  f DK  XMACh , RAND  。
计算 RES m  f DK
2
 RAND  ，结合第I段获取的 RESu ，计算并发送XRES到SN/MME。
这里， XRES  RESm  RESu 。
SN/MME接收MII3，计算 XRES  RESm  RES h ，并判断 XRES  RES 是否成立。若
不成立，则SN对UE的认证失败；否则，SN认证UE成功，UE和SN/MME分别进行以下
操作：
UE：
① 提取I段的KASMEu；
② 计算 CK m  f DK
3
 RAND  、IKm  f DK4  RAND  ，得 K ASMEm  KDF  SNid , CK m , IK m  ；
③ 推算 K ASME  K ASMEm  K ASMEh 。
SN：
① 提取I段AVh中的KASMEh；
② 计算 CK m  f DK
3
 RAND  、IKm  f DK4  RAND  ，得 K ASMEm  KDF  SNid , CK m , IK m  ；
③ 推算 K ASME  K ASMEm  K ASMEh 。
至此，UE和网络间共享KASME。
此外，当 SN/MME 的 K 个随机数耗尽，需要从 HN/HLR 获取新的 AVh 进行后续认
证。是否需要 HN/HLR 重新生成新的 AVh 由 AMF 域决定。

3.3 ES-AKA 协议性能分析

3.3.1 安全性分析

提出的ES-AKA协议较LTE/SAE协议具有更高的安全性，具体分析如下：
（1）实现UE、SN和HN间的双向认证
HN验证SN、UE：首先HN/HLR根据SNid判断SN/MME是否合法，若不合法则认证
中断；否则利用接收的SNid、N1及密钥K，推导并判断预期值 XVAC  VAC 是否成立。
若成立，则HN对SN、UE的认证通过。这里， VAC  f K1  N1 || SN id  。
UE验证SN、HN：UE利用接收的RAND、AUTN，推算 XMACh  f K1  N1  DK || AMF  ，
然后计算并判断 XMAC  MAC 是否成立。若成立，则UE对网络认证成功。这里，

-21-
 第三章 基于私钥密码体制的 ES-AKA 协议

1
XMAC  f DK  XMACh , RAND  。
SN、HN验证UE：UE推算 RES m  f DK 2
 RAND  、 RESu  f K2  N1  后，计算并发送
XRES  RESm  RESu 至SN/MME。SN/MME判断 XRES  RES 是否成立。若成立，网络
对UE的认证通过。
可见，HN通过验证 XVAC  VAC 是否成立来核实SN、UE的合法性；UE通过验证
XMAC  MAC 是否成立来核实SN、HN的合法性；SN、HN通过验证 XRES  RES 是否
成立来核实UE的合法性。从而，实现了三方实体间的相互认证。
（2）实现独立认证
为避免因SN与HN之间通信暂时阻塞而导致SN无法对UE进行身份认证的问题，
ES-AKA协议实现了SN对UE的身份认证不是每次都在HN的辅助之下完成的独立认证过
程。执行中，只要SN/MME端无需重新获取新的AVh，则认证过程只需按照ES AKA协议
第二阶段的流程执行。由3.1.2章节可知，ES AKA协议第二阶段中，SN直接完成网络对
用户身份的认证，HN是不参与整个过程。
（3）抵抗重定向攻击
攻击者伪装合法UE截获本地SN1、外网SN2消息后，通过伪装本地SN1将篡改后的请
求发送至真UE即可发起重定向攻击，如图3.3所示。在ES-AKA中，UE计算并发送
VAC  f K1  N 2 || SN id  至假SN。攻击者伪装UE将VAC发送至外网SN2 ，试图将网络重定向
至SN2。由于N1、N2不同，HN/HLR计算并判断 XVAC  f K1  N 2 || SN id  不等于VAC，终止
认证。
攻击者

UE 假UE 假SN SN1 SN2 HN/HLR

SN1,N1
SN2,N2

SN1,N2
VAC
VAC
VAC

图3.3 ES-AKA抵抗重定向攻击模型

（4）抵抗重放攻击
在ES-AKA中，UE建立以SNid为标签的RAND列表。当SN/MME再次产生有序RAND
时，UE端的相应列表清除重建，该操作何时执行由AMF域来决定。ES-AKA中，UE接
收到MI4和MII2后，查看以SNid为标签的列表中有无该RAND。若有，则认为是重放消息，
终止认证；若没有，则认为是新的请求消息，继续认证。
（5）克服密钥K泄露的隐患
LTE/SAE AKA 协议中，协议协商的密钥 KASME 由长期共享密钥 K 决定。为了克服
K 泄露带来的危害，ES-AKA 协商的密钥 KASME 由 K 和 DK 共同决定。这样，若 K 不小
心泄露，攻击者也无法获取中间密钥 KASME，从而提高了整个协议的安全性。

-22-
 第三章 基于私钥密码体制的 ES-AKA 协议

3.3.2 存储空间和计算量分析

LTE/SAE AKA中，HN生成一个认证向量需要计算RAND、MAC、XRES、CK，IK、
AK、KASME和SQN⊕AK，共7次哈希运算H和1次异或运算。于是，HN/HLR计算并发送
K个认证向量到SN/MME时，SN的存储空间为608K bit，HN的计算量为 (7 H  1XOR) K 。
ES-AKA 只需 HN/HLR 计算并发送一个认证向量 AVh 到 SN/MME，SN/MME 产生
K 个 RAND 生成有效认证向量。于是，SN 的存储空间为 128K bit；HN 需要计算 RESh、
CKh、IKh、DK、KASMEh、MACh 和 N1⊕DK，共 6 次哈希运算和 1 次异或运算。可见，
ES-AKA 明显降低了 SN 存储需求和 HN 的计算量。

3.3.3 比特通信量分析

类似2.2.4中LTE/SAE AKA的分析过程，ES-AKA的比特通信量分析如下：
|MI1|=|IMSI|+|VAC|+|DK|+|服务请求|=328 (bit)；
|MI2|=|MI1|+|SNid|+|N1|+|type|=712 (bit)；
|MI3|=|AVh|=|AUTNh|+|RESh|+|KASMEh|= 432 (bit)；
|MI4|=|RAND|+|AUTN|+|KSIASME|=243 (bit)；
|MI5|=|XRES|=64 (bit)；
|MII1|=|IMSI|+|VAC|+|服务请求|=200 (bit)；
|MII2|=|RAND|+|AUTN|+|KSIASME|=243 (bit)；
|MII3|=|XRES|=64 (bit)。
5
I
首次认证（ES-AKA-I），比特通信量 bw3   M i  1779 (bit) ；
i 1
3
后续认证（ES-AKA-II），比特通信量 bw4   M iII  507 (bit) 。
i 1

因此ES-AKA中，M次认证的比特通信量为：

M   M 
B  M , K      bw3   M      bw4 (3-1)
K   K 

这里，K代表SN/MME批量产生随机数的数量，与每次获取认证向量组的长度相等。
图3.4为LTE/SAE AKA、文献[39]和ES-AKA不同K值（K=2和K=100）和M次认证请
求量下比特通信量的对比情况。

-23-
 第三章 基于私钥密码体制的 ES-AKA 协议

6 (a)K=2
x 10
1.8
LTE/SAE AKA
1.6 文献[39]
ES-AKA

比特通信量/bit
1355000
1.4
1291000
1.2
1143000
1

0.8

0.6
600 700 800 900 1000 1100 1200
认证次数/次

5 (b)K=100
x 10
14
LTE/SAE AKA
12 文献[39]
ES-AKA 1102840
比特通信量/bit

10

8
767000
6
519720
4

2
600 700 800 900 1000 1100 1200

认证次数/次

(a) K=2 (b) K=100 M：600到1200

图3.4 三种方案的比特通信量对比图

定义不同协议的比特通信量与LTE/SAE AKA的比特通信量的比值为归一化比特通
信量。图3.5中为M=1000、K取10~300时，文献[39]和ES-AKA的归一化比特通信量情况。
仿真结果显示，文献[39]和ES-AKA同LTE/SAE AKA协议相比，比特通信量都得到了改
善，且ES-AKA的改善效果优于文献[39]。将不同K值下的归一化通信量取均值，可得文
献[39]和ES-AKA的平均归一化比特通信量分别为0.6710、0.4556，即文献[39]和ES-AKA
分别减少了约32.9%、54.44%的比特通信量。可见，ES-AKA进一步降低了比特通信量。
0.8

0.75 ES-AKA
文献 [39]
0.7
归一化比特通信量

0.65

0.6

0.55

0.5

0.45

0.4
0 50 100 150 200 250 300
K

图3.5 各协议不同K值下的归一化比特通信量
-24-
 第三章 基于私钥密码体制的 ES-AKA 协议

3.4 本章小结

本章基于上一章对的 LTE/SAE AKA 协议的安全性、通信量的分析，针对 LTE/SAE

AKA 协议 SN 和 HN 之间的认证薄弱、根密钥 K 泄露的安全隐患、SN 存储空间需求大、
认证所需的比特通信量大、无法有效抵抗重定向攻击和中间人攻击等安全问题，提出了
一种高效安全的改进协议 ES-AKA；进一步分析 ES-AKA 的安全性，同时计算 ES-AKA
协议中 SN 存储需求、HN 的计算量、认证所需的比特通信量，并利用 MATLAB 对上述
参量与 LTE/SAE AKA 协议进行了仿真比较，证明了 ES-AKA 协议更安全、更高效。

-25-
 第四章 基于认证次数的认证向量组长度的动态选取机制

第四章 基于认证次数的认证向量组长度的动态选取机制

AKA 中，HN/HLR 发送 K 个认证向量 AV 到 SN/MME。当 AV 耗尽，则 SN/MME

需要再次向 HN/HLR 发起获取请求；当 UE 离开 SN，SN 将丢弃剩余的 AV。若 K 选取
过大，传输 AV 将消耗巨大的比特通信量，且易因 UE 的离开造成 AV 的浪费。若 K 选
取过小，虽减少了 HN/HLR 的计算量和传送代价，却带来了频繁的认证请求和 AV 传递。
可见，如何为网络选取一个合理的 K 值至关重要。利用 2.3.2 和 2.3.3 章节的理论，本章
将提出一种基于认证次数的动态更新选取机制，适用于 UE 稳定驻留 SN 的情形。

4.1 认证向量组长度 K 值选取机制的研究现状

如何根据网络状况选取合适的认证向量组长度？当前具有代表性的选取机制主要
有三种：固定 K 值、文献[46]机制和文献[47]机制。
第一种选取机制：固定K值机制。3GPP相关协议中建议K=5，但采用固定K值方案
不能有效应对网络突变：不同用户的业务需求不同，固定K值并不适合全部用户；当选
取的K值过小，将导致SN频繁向HN请求认证向量；当选取的K值过大，将导致认证向量
组的浪费率增大。
第二种选取机制：文献[46]的选取机制。这种选取机制是基于驻留于上一个服务网
络的认证次数和K值信息，以最小消息通信量为准则，预估当前所处SN更新时的K值。
假定UE驻留在第j个SN期间，网络选取的K值为K(j)，初始值K(1)=5[45]（3GPP建议
值）。选取机制的具体步骤为：①获取UE驻留在第j个SN期间的UAR发生的次数M；②
当UE离开第j个SN进入第j+1个SN后，以步长1获取K值待选三值空间 K ' ( j  1) ；③以最
小消息通信量为准则—— min C ( K ' ( j  1)) ，得到K值的进一步的待选三值空间 K '' ( j  1) ；
④根据设定的数学分布及仿真结果，最终获取最佳K值为： K ( j  1)  K ' ( j  1)  1 。
该选取机制成功利用泊松分布建立了分析认证向量组长度选取问题的数学模型，找
到了消息通信量与 K 的数学关系，提出了一种动态选取 K 值机制。然而，这种选取机
制存在以下四点不足：①待选 K 值的空间过小，限定了选取更新的最大 K 值：即
K ( j  1)  K ( j ) 。若按照协议规定初始 K 值为 5，则执行此机制更新后的 K  5 。②满足
条件的 K 值不唯一，且未给出该情况下的选取准则。③只讨论了 UE 的 SN 发生更新时
刻的 K 值选取问题。④消息通信量 C ( K ) 采用归一化形式，没有进一步的具体量化。
第三种选取机制：文献[47]的选取机制。这种选取机制对文献[46]选取机制进行了
两点改进，是文献[46]选取机制的改进选取机制。
假定UE驻留在第j个SN期间，网络选取的K值为K(j)，初始值K(1)=5[45](3GPP建议值)。
选取机制的两点改进为：①改进选取 K ( j  1) 的准则，并优化文献[46]部分操作：将选取
准则由 min C ( K ( j  1)) 改进为 min |C ( K ( j  1))  average C ( K ( j  1)) | ，同时舍弃文献[46]
-26-
 第四章 基于认证次数的认证向量组长度的动态选取机制

的第四步。即在获取K值的待选三值空间 K ' ( j  1) 后，得到 K ( j  1) ，其选取准则为

min |C ( K ( j  1))  average C ( K ( j  1)) | 。②增加了UE长期驻留于某一SN时K值的选取更
新情况，提出了基于认证速率的动态选取认证向量组长度的机制：获取一段时间内的认
证速率  后，以min C(K)选取K值。
这种选取机制优化了服务网切换时的选取，同时提出了用户驻留于某一服务网络时
的K值选取机制，完善了不同网络场景下的选取机制。然而，深入研究后发现它存在以
下两点不足：①满足条件的K值不唯一，且未给出该情况下的选取准则。出现该缺陷的
症结在于：满足最接近 average C ( K ( j  1) 的 K ( j  1) 可能不唯一。②由后文的仿真结果
（见图4.4）可知，该机制的比特通信量效果不佳，有待改善。
通过对以上三种选取机制优缺点的研究，本文量化通信量的表达，在以消息通信量
为衡量因子的基础上，加入了比特通信量这一衡量因子，设计两个衡量因子下的折中选
取准则，提出了基于认证次数、认证速率的认证向量组长度的动态选取方案。基于认证
速率的动态选取机制将在第五章进行详细阐述，现将着重阐述基于认证次数的选取机
制。

4.2 基于认证次数的认证向量组长度动态选取机制

为进一步分析研究认证向量组长度的动态选取策略，设计如图 4.1 所示的基于认证

次数的更新机制下的网络场景。可见，模拟的网络场景下，认证向量长度 K 在两个时刻
进行动态更新：SN 切换时刻、驻留某一 SN 时以时间周期 T 定期更新时刻。


t i  ti 1
M 1' M 2'
M  T

图 4.1 基于认证次数的更新机制下的模拟网络场景

当 SN 切换时，需要更新 K 值。如图 4.1，当 UE 切换至 SN r 时，获取切换前最后一

次执行 ADR 到切换发生的认证速率  ，或根据认证速率  预估下一个时间 T 内的认证
次数 M。记切换前最后一次执行 ADR 在 ti 时刻，切换发生在 ti 1 时刻， ti ~ ti 1 期间的认
证次数为 m，则其认证速率  =m / (ti 1  ti ) 。于是，预估下一个时间 T 内的认证次数为
M =T 。
当 UE 驻留某一 SN 时，以 T 为时间周期定期更新 K 值。如图 4.1，UE 驻留在 SN r 期
间，由 HN/HLR 监测获取前一个 T 内的认证次数 M，预估下一个 T 内的认证次数为 M。

4.2.1 动态选取机制

本文提出的认证向量组长度 K 值动态选取机制如图 4.2 所示。

-27-
 第四章 基于认证次数的认证向量组长度的动态选取机制

1. 预估下一个时间 T 内的认证次数 M。
当 SN 处于切换时刻，根据切换前最后一次执行 ADR 到切换发生的认证速率  ，
预估下一个时间 T 内的认证次数 M。记切换前最后一次执行 ADR 在 ti 时刻，切换发生
在 ti 1 时刻， ti ~ ti 1 期间的认证次数为 m，则其认证速率  =m / (ti 1  ti ) 。于是，预估下
一个时间 T 内的认证次数为 M =T 。
当 UE 驻留某一 SN 时，以 T 为时间周期定期更新 K 值。如图 4.1，UE 驻留 SN r 期
间，若 HN/HLR 监测获取前一个 T 内的认证次数 M，则预估下一个 T 内的认证次数也
为 M。

开始

N 统计 N 保持统
SN是否处于 计，不更
认证次数M的时间
切换状态 新K
是否为T
Y
Y
利用当前网络认证速
率，预估时间T内的 提取统计数据：时间
认证次数M T内的认证次数M

定义约束条件，获取
K值待选集合A

利用认证次数M，结
合比特通信量和消息
结束
通信量，设计选取原
则，获得K值：K*

图4.2 基于认证次数的动态选取机制机制

2. 定义约束条件，获得选取 K 值的集合 A。
初始设定 K  [1, min{M  1, K max }]（K 为正整数），K max 为网络设定 K 的最高极限值。
定义两个浪费率的概念：这里 rem 代表取余数，已选定认证向量组长为 K，时间 T
内认证次数为 M。
整体浪费率  1 ：表示时间 T 内或 SN 切换前最后一段不大于 T 的时间内被丢弃的认
证向量与该段时间获取的总认证向量的比值。为避免 K 的设定导致整体浪费率过高，设
定约束条件 1：要求 K 值满足  1   1 ，  1 可以根据实际网络情形设定。

M 
K  rem  
1  K  (4-1)
 M
 K   K

局部浪费率  2 ：表示时间 T 内或 SN 切换前最后一段不大于 T 的时间内被丢弃的认

证向量与总认证向量 K 的比值。为避免 K 的设定导致局部浪费率过高，设定约束条件 2：
-28-
 第四章 基于认证次数的认证向量组长度的动态选取机制

要求 K 值设定满足  2   2 ，  2 可以根据实际网络情形设定。

M 
K  rem  
2  K (4-2)
K

满足 2 个约束条件的 K 值构成集合 A。
3. 根据消息通信量 S ( M , K ) （见公式 2-3）和比特通信量 B( M , K ) （见公式 2-4），
以两者均衡较优为选取原则，获得下一个时间 T 的认证向量组初步长度 K * ， K *  A 。
① 依次取 K  A ，计算对应的消息通信量 S ( M , K ) ，并按照 S ( M , K ) 从小到大的顺
序排列 K，得序列 k ' : k1' , k2' , …，klength
'
( K ) , ki  A 。
'

② 依次取 K  A ，计算对应的比特通信量 B( M , K ) ，并按照 B( M , K ) 从小到大的顺

序排列 K，得序列 k '' : k1'' , k2 '' , …，klength ( K ) '' , k j ''  A 。
③ 获取同一 K 值在序列 k ' 、 k '' 中的位置和，构成集合 D  di | di  i  j , 当ki '  k j ''  。
④ 当 dn  min D 时，则下一个时间 T 设置的向量组初步长度 K *  kn' 。若 min D 不唯
一，选取 K *  kmin
'
n ，避免选取结果的不唯一。

4. 选取最佳 K 值： K new  K * 。

4.2.2 仿真及性能分析

假定网络平稳、相同时间 T 下，认证需求量 M 的波动范围为  ：即当 UE 在 T 内的

认证需求量为 M 时，其下一 T 内的认证需求量为 M '   (1   ) M  , 1    M   。这里，
左、右端点分别向负、正无穷方向取整，且左端点最小值为 1。
对上述选取机制列举一个实例，场景如图 4.1。假定： | ti 1  ti | 8 ， T  13 ，m=16，
  15% ，1  0.1 ， 2  0.5 。HN/HLR 监测切换后第一个时间 T 内实际认证次数 M 1'  23 。
时刻 1：SN 处于切换状态，且  =2 ，预估切换前时间 T 内的认证次数 M  T  26 ；
执行选取机制，获取初步值 K *  13 。由于实际认证次数 M 1'  23  26 （ M 1'  [22,30] ），
故 K new  13 。
时刻 2：SN 处于非切换状态，统计的第一个时间 T 内的认证次数 M 1'  23 ，执行选
取机制，获取初步值 K *  12 ，于是选取的最佳 K 值为 K new  K *  12 。
图 4.3（a）、（b）和（c）为时刻 2 获取初步值 K * 的过程演示图。

4
x 10
120 4
比特通信量/bits
消息通信量/条

100 3.5
(a)

80 3

60 2.5
0 5 10 15 20 0 5 10 15 20
K K

(a) 初始K值空间

-29-
 第四章 基于认证次数的认证向量组长度的动态选取机制

4
x 10
120 4

比特通信量/bits
消息通信量/条
100 3.5
(b)
80 3

60 2.5
0 5 10 15 20 0 5 10 15 20
K K

(b) 符合约束条件的K值集合A：1 2 3 4 5 6 8 12

4
x 10
120 4

比特通信量/bits
消息通信量/条

100 3.5
(c)
80 3

60 2.5
0 5 10 15 20 0 5 10 15 20
K K

(c) 由S(M,K)和B(M,K)综合获得K*=12
图4.3 M=23时获取K*的过程演示

表4.1为时刻2本文机制与固定K值、文献[46]、文献[47]选取K值的结果情况。这里，
初始K值设为5[45]。由表可知，本文机制确实解决了K值选取结果不唯一的问题。这是因
为在第4.2.1章节部分详细介绍本文机制执行过程中，设定了“若 min D 不唯一，选取
K *  k min n”，从而避免了选取K值结果不唯一的弊端。
'

表4.1 四种机制选取K值结果一览表
M new ：认证次数 M’ 的所有可能值
方案
19 20 21 22 23 24 25 26 27

固定 K=5 5 5 5 5 5 5 5 5 5

文献[46] 5 5 5 5 5 5 5 5 5

文献[47] 6 6 6 6 6 6 6 6 6

本文 12 12 12 12 12 12 12 12 12

表4.2显示了时刻2本文机制与固定K值、文献[46]、文献[47]所选取K值所消耗的消
息通信量和比特通信量情况。由于固定K值、文献[46]这两种选取机制选取的K均为5，
故两者的通信量情况是一样的。

-30-
 第四章 基于认证次数的认证向量组长度的动态选取机制

表4.2 四种方案预测K值下的比特通信量和消息通信量
M new ：认证次数 M’ 的所有可能值
方案
19 20 21 22 23 24 25 26 27

固定 比特通信量(b) 23025 23516 27431 27922 28413 28904 29395 33310 33801

K=5 消息通信量(条) 65 68 73 76 79 82 85 90 93

文献 比特通信量(b) 23025 23516 27431 27922 28413 28904 29395 33310 33801

[46] 消息通信量(条) 65 68 73 76 79 82 85 90 93

文献 比特通信量(b) 25457 25948 26439 26930 27421 27912 32435 32926 33417

[47] 消息通信量(条) 65 68 71 74 77 80 85 88 91

比特通信量(b) 24689 25180 25671 26162 26653 27144 35315 35806 36297
本文
消息通信量(条) 61 64 67 70 73 76 81 84 87

图4.4（a）、（b）分别为四种机制消息通信量和比特通信量的对比图。结果显示：
在消息通信量方面，四种选取机制的情况为：固定K=5、文献[46]选取的K均为5，
是消耗最大的机制；其次是文献[47]机制；本文选取机制拥有最小的消息通信量。因此
可见，本文在扩大待选K值空间后，有效地减少了认证过程中消息通信量。

（a）
95
固定K=5、文献[46]
90 文献[47]
本文

85
消息通信量（条）

80

75

70

65

60
19 20 21 22 23 24 25 26 27
可能的认证量M(次)

(a) 消息通信量对比图

-31-
 第四章 基于认证次数的认证向量组长度的动态选取机制

x 10
4 （b）
3.8
固定K=5、文献[46]
3.6 文献[47]
本文

3.4
比特通信量（bit）
3.2

2.8

2.6

2.4

2.2
19 20 21 22 23 24 25 26 27
可能的认证量M(次)

(b) 比特通信量对比图
图4.4 四种机制消息通信量、比特通信量对比图

在比特通信量方面，四种选取机制的情况为：在 M '  19, 24 时，固定K=5、文献[46]

机制选取的K均为5，是平均消耗最大的机制；其次是文献[47]机制；本文选取机制拥有
最小的比特通信量；当 M '   25, 27  时，上述四种选取机制的比特通信量均出现了骤增，
但本文提出的机制性能恶化最严重。
上述分析可知，本文提出机制在 M '  19, 24 时，不仅保持最小消息通信量，而且
也保持了较低的比特通信量；但是，在 M '   25, 27  下，本文提出的选取机制的比特通
信量骤增，致使性能急剧恶化。
鉴于上述第 4.3.2 章节对第 4.3.1 章节提出机制的性能仿真结果，不难发现：本文提
出的选取机制拥有最小的消息通信量，但局部比特通信量效果不佳。针对这一不足，下
面本章将对该机制进行优化，在保持拥有最小消息通信量下，提高其比特通信量的性能。

4.3 基于认证次数的认证向量组长度优化动态选取机制

4.3.1 优化动态选取机制

鉴于上述的描述，上述选取机制选取的 K 值在认证次数 M ' 达到某一值后，整个网

络的比特通信量急剧骤增，从而导致整个选取机制机制性能的恶化。针对存在的这一不
足，寻找到比特通信量发生骤增的突变点，然后对发生突变点后的认证选取机制进行优
化处理。最终实现目标：在保持最小消息通信量的情况下，有效地降低比特通信量。
 M  
经过分析知道，比特通信量发生骤增的突变点：认证次数 M ' =   *   K *  。需要
K  
 M  
说明，这里 M    *   K *  。于是，设计了如图 4.5 的优化机制流程。
K  
-32-
 第四章 基于认证次数的认证向量组长度的动态选取机制

 M  *
 * K 
K  

 M  
  *   1
K  

M 
Knew  1  M   *  K*
K 

图4.5 基于认证次数的优化动态选取机制

优化的选取机制，具体如下所述：
1. 按照 4.3.1 章节所述的方法获取初步 K 值 。
2. 实时统计 T 内的实际认证次数 M ' ，优化 K * 选取认证向量组长度终值 K new 。
假定相同时间 T 内，网络允许认证次数 M 的波动范围为  ：即当预估下一个 T 内
的认证次数为 M 时，实际的认证次数 M ' 的取值范围为：M '   (1   ) M  , 1    M   。
利用预估值 M 获取初步值 K * 后，实时统计 M ' ，进行以下步骤：
M 
① 当 M '   *   K * 时，则 K new  K * ；
K 
M   M  
② 当 M '   *   K * 时，判断第   *   1 次 ADR 是否发生，发生前 K new  K * ；
K  K  
发生后按照式（4-3）更新 K 值。

M 
K new  (1   ) M    *   K * （4-3）
K 

 M    M  
需注意，这里第   *   1 次 ADR 与第   *   K *  1 次 UAR 相对应。
K   K  

4.3.2 仿真及性能分析

假定网络平稳、相同时间 T 下，认证需求量 M 的波动范围为  ：即当 UE 在 T 内的

认证需求量为 M 时，其下一 T 内的认证需求量为 M '   (1   ) M  , 1    M   。这里，
左、右端点分别向负、正无穷方向取整，且左端点最小值为 1。
对上述机制列举一个实例，场景如图 4.1。假定：| ti 1  ti | 8 ，T  13 ，m=16，  15% ，
1  0.1 ，  2  0.5 。HN/HLR 监测切换后第一个时间 T 内实际认证次数 M 1'  23 。
-33-
 第四章 基于认证次数的认证向量组长度的动态选取机制

时刻 1：SN 处于切换状态，且  =2 ，预估切换前时间 T 内的认证次数 M  T  26 ；

执行选取机制，得初步值 K *  13 。由于实际认证次数 M 1'  23  26 （ M 1'  [22,30] ），故
K new  13 。
时刻 2：SN 处于非切换状态，统计的第一个时间 T 内的认证次数 M 1'  23 ，执行选
取机制，得初步值 K *  12 ，终值 K new 由实际认证次数 M 2' ( M 2'  [19, 27]) 决定。当 M 2'  24
时，有 K new  12 ；当 M 2'  24 时，若第 3 次 ADR 未发生，K new  12 ；若发生，则 K new  4 。
为分析本文机制优化后的性能，同样以时刻 2 为例，比较分析本文机制一优化方案
与本文机制、固定 K 值、文献[46]、文献[47]的消息通信量和比特通信量的性能。这里，
初始 K 值设为 5[31]。
表 4.3 为时刻 2 本文机制优化后，与本文原机制、固定 K 值、文献[46]、文献[47]
五种选取 K 值机制的结果一览表。这里，初始 K 值设为 5[31]。同样，这里在选取机制设
计部分，保留了第 4.2.1 章节中设定的“若 min D 不唯一，选取 K *  kmin '
n”，以保证选取
的 K 值结果的唯一。

表4.3 五种机制选取K值结果一览表
M new ：认证次数 M’ 的所有可能值
方案
19 20 21 22 23 24 25 26 27

固定 K=5 5 5 5 5 5 5 5 5 5

文献[46] 5 5 5 5 5 5 5 5 5

文献[47] 6 6 6 6 6 6 6 6 6

本文 12 12 12 12 12 12 12 12 12

本文优化 12 12 12 12 12 12 Δ Δ Δ

（注：Δ代表 K 分段取值，这里即未执行第 3 次 ADR 时选取 K=12；执行时选取 K=4）

图4.6（a）、
（b）分别为五种选取机制的消息通信量和比特通信量对比图。结果显示：
在消息通信量方面，优化后的本文机制依旧保持了之前最小消息通信量的特点；在比特
通信量方面，当 M '  19, 24 时，本文优化后的选取机制与原来的结果保持一致，但在
M '   25, 27  时，本文优化后的机制有效的减少了认证过程中的比特通信量。总结：优
化机制在保持最小消息通信量下，大幅降低了比特通信量。

-34-
 第四章 基于认证次数的认证向量组长度的动态选取机制

（a）
95

固定K=5、文献[46]
90 文献[47]
本文
本文优化
消息通信量（条） 85

80

75

70

65

60
19 20 21 22 23 24 25 26 27
可能的认证量M(次)

(a) 消息通信量对比图
4
x 10 （b）
3.8
固定K=5、文献[46]
3.6 文献[47]
本文
本文优化
3.4
比特通信量（bit）

3.2

2.8

2.6

2.4

2.2
19 20 21 22 23 24 25 26 27
可能的认证量M(次)

(b) 比特通信量对比图
图4.6 五种机制的消息通信量、比特通信量对比图

为了进一步说明优化后的机制在通信量方面的优良特性，记不同机制的通信量与固
定 K=5 机制的通信量比值为归一化通信量，定义归一化消息通信量为 SR，归一化比特
通信量为 BR。从表 4.4 可见，文献[46]的归一化消息通信量 SR 和归一化比特通信量 BR
没有改善；文献[47]降低了约 1.6%的归一化比特通信量 BR，但增大了归一化消息通信
量 SR；本文机制降低了约 6.8%的归一化消息通信量 SR，但其增大了归一化比特通信量
BR；本文优化机制减少约 2.4%的归一化消息通信量 SR，降低了约 6.8%的归一化比特通
信量 BR。

-35-
 第四章 基于认证次数的认证向量组长度的动态选取机制

表4.4 各选取机制的归一化消息通信量、比特通信量一览表
M new ：认证次数 M’ 的所有可能值
方案
19 20 21 22 23 24 25 26 27 均值

文献 SR 1 1 1 1 1 1 1 1 1 1

[46] BR 1 1 1 1 1 1 1 1 1 1

文献 SR 1.106 1.103 0.964 0.965 0.965 0.966 1.103 0.989 0.989 1.017

[47] BR 1 1 0.973 0.974 0.975 0.976 1 0.978 0.979 0.984

SR 1.072 1.071 0.936 0.937 0.938 0.939 1.201 1.075 1.074 1.027
本文
BR 0.939 0.941 0.918 0.921 0.924 0.927 0.953 0.933 0.936 0.932

本文 SR 1.072 1.071 0.936 0.937 0.938 0.939 1.036 0.929 0.930 0.976

优化 BR 0.939 0.941 0.918 0.921 0.924 0.927 0.953 0.933 0.936 0.932

上述为 M=23 时，本文机制及本文优化机制的性能情况。为了普遍的分析本文算法

的性能，这里遍历认证次数 M : 8 ~ 100 的整数，四种算法的归一化消息通信量 SR 和归
一化比特通信量 BR 均值对比结果如图 4.7（a） 、（b）。从图 4.7（a）中可见：当认证次
数增加时，本文机制及本文优化机制保持了最小的归一化消息通信量 SR，且取均值后
其归一化消息通信量 SR 为 0.8948，即本文机制减少了约 10.52%的消息通信量。从图 4.7
（b）中可见：当认证次数增加时，本文机制的归一化比特通信量 BR 急剧恶化，而本文
优化机制却有效降低了归一化比特通信量 BR，且取均值后其归一化比特通信量 BR 为
0.9707，即本文优化机制减少了约 2.93%的比特通信量。
由上述仿真结果，可以得出结论：本文优化机制不仅能够减少消息通信量，同时有
效降低了比特通信量。

1.06
文献 [46]
1.04 文献 [47]
本文
1.02 本文优化
归一化消息通信量SR

0.98

0.96

0.94

0.92

0.9

0.88
0 10 20 30 40 50 60 70 80 90 100
认证次数 M/次

(a) 归一化消息通信量SR均值对比图

-36-
 第四章 基于认证次数的认证向量组长度的动态选取机制

1.06

1.04
文献[46]
文献[47]
本文
归一化比特通信量BR

1.02
本文优化

0.98

0.96

0.94
0 10 20 30 40 50 60 70 80 90 100
认证次数M/次

(b)归一化比特通信量BR均值对比图
图4.7 不同认证次数下SR、BR均值对比图(M：8~100)

4.4 本章小结

本章详细讨论了现有认证向量组长度动态选取机制的优劣性，在以消息通信量为衡
量因子的基础上，加入了比特通信量这一衡量因子，引入浪费率概念，设计两个衡量因
子下的折中选取原则，提出了基于认证次数的动态选取方案，有效地减少了认证过程中
的消息通信量，但其局部比特通信量效果不佳；然后，针对局部比特通信量不佳的问题，
进一步提出了根据实际认证次数对认证向量组长度进行分段取值的优化方案。实验结果
显示：在保持最小消息通信量下，优化选取机制大幅降低了比特通信量。

-37-
 第五章 基于认证速率的认证向量组长度的动态选取机制

第五章 基于认证速率的认证向量组长度的动态选取机制

上述章节 4.3 和章节 4.4 是在监控统计实际网络中认证次数的基础上，提出的动态

更新选取机制选取的 K 值，适合 UE 较稳定的驻留于某一 SN 的情形。当 UE 在不同 SN
间频繁切换时，HLR 可能还没有采集足够的认证次数，UE 已经离开当前的 SN。为了
能够根据不同的网络情形灵活选取合适的选取机制，本章节将提出另一种基于认证速率
的动态更新选取机制，适用于 UE 驻留 SN 时间较短的网络情形。

5.1 基于泊松分布的 LTE/SAE AKA 数学模型

为了建立认证速率与消息通信量和比特通信量的数学关系，结合 2.3.2 章节
LTE/SAE AKA 协议的简化流程，利用泊松分布等概率论理论，建立了协议的数学分析
模型，获得了认证速率、认证向量组长度与消息/比特通信量的数学关系。
数学模型建立的整体思路：首先，利用泊松分布，获得发生 n 次 ADR 事件的概率
 (n, K , t ) ；然后，应用概率论相关理论，获得发生 n 次 ADR 事件的概率分布函数
p( n, K ) ，从而进一步获取一段时间内执行 ADR 次数的期望值 E[N ] 。再结合 2.3.1 章
节，从而得到一段时间内认证过程的消息通信量 S   ,  , K  和比特通信量 B   ,  , K  。
假定驻留时间 t 内，某一 UE 共执行 n 次 ADR， (n  1) K  k 1  k  K  次 UAR，且
认证请求速率为  。
当驻留时间内认证请求的发生服从泊松分布时，利用随机过程相关理论，这个过程
服从参数为 t 的泊松分布，于是 t 内执行 n 次 ADR 的概率  (n, K , t ) 为：

K   t  ( n 1) K  k   t
  n, K , t     e (5-1)
k 1  [( n  1) K  k ]!
 

这里， t 的物理含义为：t 内 UE 执行 UAR 的次数。

假定驻留时间 t 服从均值为 1 /  ，密度函数为 f (t ) 的分布，且其拉普拉斯变换记为：

f * s   f (t )e st dt ，于是得执行 n 次 ADR 过程事情发生的概率分布函数 p( n, K ) ：
t 0

p(n, K )    (n, K , t ) f (t )dt
t 0

K     (n 1) K  k  ( n 1) K  k d
( n 1) K  k *
f (s )
=   (1) ( n 1) K  k
(5-2)
k 1  [( n  1) K  k ]! ds
  s 

K    v ( n 1) K  k    ( n 1) K  k 1 1  
[1/  2 v  ( n 1) K  k ] 
=       ( 2  j )   (1   v ) 
k 1  [( n  1) K  k ]! 
    j  0  v  

-38-
 第五章 基于认证速率的认证向量组长度的动态选取机制

驻留时间为指数分布（即  2 =1）时，将 f * s  代入化简 p( n, K ) ，则（这里有： 2 =1，

  1 /  ）

K 1   v ( n 1) K  k    ( n 1) K  k 1 1  

[1/  2v  ( n 1) K  k ] 
p(n, K )=        ( 2  j )   (1   v ) 
k  0  [( n  1) K  k ]! 
    j 0  v  
(5-3)
( n 1) K K
       
=  1    
        

于是，差比数列求和获得一段时间执行 ADR 次数的期望值 E[N ] ：

   ( n 1) K
     K   1
E[ N ]   np(n, K )  n   1     = K (5-4)
n 1 n 1                
 1  


结合 2.2.4 章节中消息通信量和比特通信量的推导，可知，在认证请求发生与否服
从泊松分布、驻留时间为指数分布下，一段时间内的消息通信量和比特通信量分别为：

3K  2
S   ,  , K   E[ N ]   3K  2   K
(5-5)
  
1  


384  1099 K
B   ,  , K   E[ N ]  bw1  K    K  1  bw2  K    K
(5-6)
  
1  
 
5
其中， bw1   M i  875  608  K (b) ， bw2 | M 1 |  | M 4 |  | M 5 | 491 (b) 。
i 1

5.2 基于认证速率的认证向量组长度动态选取机制

为进一步分析研究认证向量组长度的动态选取机制，设计如图 5.1 所示的基于认证

速率更新机制下的网络场景。在模拟的网络场景下，认证向量长度 K 在两个时刻进行动
态更新：SN 切换时刻、SN 不切换但需执行 ADR 时刻。

    
t i  ti 1  ti  2

图 5.1 基于认证速率的更新机制下的模拟网络场景
-39-
 第五章 基于认证速率的认证向量组长度的动态选取机制

当 SN 切换时，需要更新 K 值。如图 5.1，当 UE 切换至 SN r 时，获取切换前最后一

次执行 ADR 到 SN 切换发生期间的认证速率  ，然后利用获取的认证速率  预测更新 K
值。这里，认证速率  的获取方法：若 ti 时刻执行一次 ADR，ti 1 时刻发生 SN 切换，ti ~ ti 1
期间的认证次数为 m，则其认证速率  =m / (ti 1  ti ) 。
当 UE 驻留某一 SN 时，以执行 ADR 的时间周期更新 K 值。如图 5.1，UE 驻留在 SN r
期间，获取上一次执行 ADR 到下一次执行 ADR 期间的认证速率  ，然后利用  获取更
新的 K 值。这里，认证速率  的获取方法：若 ti 1 时刻执行一次 ADR， ti  2 时刻执行下一
次 ADR， ti 1 ~ ti  2 期间的认证次数为 m，则其认证速率  =m / (ti  2  ti 1 ) 。
为了提高整个网络的资源利用率，本章节将提出一种新的动态选取认证向量组长度
K 值的机制：基于认证速率的动态选取机制，如图 5.2 所示。该算法应用第 5.2 章节中
利用泊松分布建立的数学模型，以比特通信量和消息通信量为衡量因子，设计折中选取
原则，最终获得最佳的 K 值。

开始

SN N
保持统计
切换/正在执行
ADR 不更新K

Y
监控当前网络的认证
速率

利用认证速率，结合
比特通信量和消息通
结束
信量，设计选取原
则，获得K值：K*

图5.2 基于认证速率的动态选取机制

1. 监控当前网络，获取认证速率  。
认证速率  的获取方法：若 ti 时刻执行一次 ADR，ti 1 时刻发生 SN 切换或执行下一
次 ADR， ti ~ ti 1 期间的认证次数为 m，则其认证速率  =m / (ti 1  ti ) 。
2. 根据泊松分布建立的数学模型，获得消息通信量、比特通信量与认证速率  、
认证向量组长度 K 间的数学关系。
结合 5.2 中的相关数学分析可知，在认证请求发生情况服从参数为  的泊松分布、
驻留时间服从均值 1 /  的指数分布下，一段时间内执行 ADR 的期望值为公式（5-4）所
示。于是，该段时间的消息通信量和比特通信量分别为公式（5-5）和公式（5-6）所示。
3. 以消息通信量、比特通信量为衡量因子，以两者均衡较优为选取原则设计选取
原则，获取当前网络下的最优认证向量组长度 K * 。
根据公式（5-5）和公式（5-6）表示的消息通信量 S ( ,  , K ) 和比特通信量 B( ,  , K )
的数学关系表达式，设计如图 4.11 所示的折中选取原 K * 则，最终获得下一时刻更新的
最优认证向量组长度 K * 。

-40-
 第五章 基于认证速率的认证向量组长度的动态选取机制

初始设定  和待选的 K 值集合 A={1, 2,3,..., K max } ( K  A )，K max 为网络设定的最高 K

值。然后，根据获取的当前网络的认证速率  ，执行下列步骤：
① 依次取 K  A ，计算对应的消息通信量 S ( ,  , K ) ，并按照 S ( ,  , K ) 从小到大的
顺序排列 K，得 K 值序列 k ' : k1' , k2' , …，klength
'
( K ) , ki  A ，这里
'

S ( ,  , k1' )= min{S ( ,  ,1), S ( ,  , 2),...S ( ,  , K max )}

'
S ( ,  , kmax )= max{S ( ,  ,1), S ( ,  , 2),...S ( ,  , K max )} 。
② 依次取 K  A ，计算对应的比特通信量 B( ,  , K ) ，并按照 B( ,  , K ) 从小到大的
顺序排列 K，得 K 值序列 k '' : k1'' , k2 '' , …，klength ( K ) '' , k j ''  A ，这里
B( ,  , k1'' )= min{B( ,  ,1), B( ,  , 2),..., B( ,  , K max )}
''
B( ,  , kmax )= max{B( ,  ,1), B( ,  , 2),..., B( ,  , K max )} 。
③ 获取同一 K 值在序列 k ' 、 k '' 中的位置和，构成集合 D  di | di  i  j , 当ki '  k j ''  。
④ 当 dn  min D 时，则下一个时间 T 设置的向量组长度 K *  kn' 。若 min D 不唯一，
选取 K *  kmin
'
n ，以避免选取结果不唯一的问题。

5.3 仿真及性能分析

为 了 纵 观 上 述 选 取 机 制 的 选 取 结 果 ， 选 定 仿 真 条 件 ：   [1, 60] 、 待 选
K new  {1, 2,3,..., 70} 、  =2、1、0.5、0.1、0.05、0.02，仿真结果见图 5.3。从仿真结果可
以看出：同一  下，随着  的减小，最佳 K 值整体呈递增趋势；同一  下，随着  的增
大，最佳 K 值呈阶跃式递增，且同一 K 值满足的  的区间扩大；  越小，意味驻留时间
越长；同一  下，驻留时间越长，最佳 K 值越大一些。

70
=2
=1
60
=0.5
=0.1
=0.05
50
=0.02
选取的最佳K值

40

30

20

10

0
0 10 20 30 40 50 60


图5.3 不同  下  与最优K值的关系图

下面将以  =0.5 为例，详细的说明上述的选取机制。仿真条件为：m=16，| ti 1  ti | 2 ，

-41-
 第五章 基于认证速率的认证向量组长度的动态选取机制

K max  15 ，则当前网络的认证速率  为 8，待选 K 值集合 A={1, 2,3,...,15} ( K  A )。执行

下列四步：
① 依次取 K  A ，计算对应的消息通信量 S ( ,  , K ) ，并按照 S ( ,  , K ) 从小到大的
顺序排列 K，得序列 k ' : 5, 4, 6,3, 7,8,9, 2，10,11,12,13,14,15,1. ki'  A 。
② 依次取 K  A ，计算对应的比特通信量 B( ,  , K ) ，并按照 B( ,  , K ) 从小到大的
顺序排列 K，得序列 k '' : 3, 4,5, 2, 6, 7,8,9,10,1,11,12,13,14,15. k j ''  A 。
③ 获取同一 K 值在序列 k ' 、 k '' 中的位置和，构成集合 D  di | di  i  j , 当ki '  k j ''  ，
即有： D  4, 4,8,5,11,13,15,12,18, 21, 23, 25, 27, 29, 25 。
④ 当 n  1 和 n  2 时，有 dn  min D 成立。按上述选取机制，有 K *  kmin
' '
n  min k1  5 。

于是，下一个更新时刻选取的向量组长度 K *  5 。
在上述例子的仿真条件(   0.5 ，1    60 )下，图 5.4 显示了文献[47]和本文机制选
取的最佳 K 值结果。从图中不难看出：在部分相同的网络认证速率  下，两种选取机制
选取的 K 值结果是不同的。表 5.1 详细列举了两种机制相同  下选取 K 值不同之处的相
关信息情况。
15
文献 [47]
10
最佳K值

0
0 10 20 30 40 50 60


15
本文
10
最佳K 值

0
0 10 20 30 40 50 60


图5.4 本文机制与现有机制K值结果图

表 5.1 两种选取机制相同  下选取 K 值不同处相关信息一览表

 9 12 13 18 22 23 30 31 36 45 46 52

文献[47] 5 6 6 7 8 8 9 9 10 11 11 12
K
本文 4 5 5 6 7 7 8 8 9 10 10 11

为了更好地衡量选取机制的性能，记不同机制的通信量与固定 K=5 机制（3GPP 协

议建议方案）的通信量比值为归一化通信量，定义归一化消息通信量为 SR，归一化比
特通信量为 BR。表 5.2 给出了文献[47]机制和本文机制在选取 K 值结果不同之处

-42-
 第五章 基于认证速率的认证向量组长度的动态选取机制

（   [9,12,13,18,22,23,30,31,36,45,46,52] ）的归一化通信量比较结果。从表中数据可知，
文献[47]的归一化消息通信量均值和归一化比特通信量均值分别为 0.9826、1.0026，即
文献[47]机制与 3GPP 协议建议机制相比，减少了约 1.74%的消息通信量，但是却增加
了约 0.26%的比特通信量；本文机制的归一化消息通信量均值和归一化比特通信量均值
分别为 0.9833、0.9978，即本文机制与 3GPP 协议建议机制相比，不仅减少了约 1.67%
的消息通信量，而且同时减少了约 0.22%的比特通信量。可见，本文算法虽不是最节省
消息通信量的机制，却能够同时减少消息通信量和比特通信量，提高了整个网络的资源
利用率。

表 5.2 各种机制归一化通信量对比结果一览表

文献[47] 本文

SR BR SR BR

9 1 1 1.0031 0.9903

12 0.9998 1.0087 1 1

13 0.9984 1.0073 1 1

18 0.9925 1.0078 0.9936 1.0024

22 0.9878 1.0081 0.9879 1.0031

23 0.9865 1.0067 0.9869 1.0022

30 0.9789 1.0030 0.9794 0.9996

31 0.9779 1.0019 0.9787 0.9988

36 0.9736 1.0007 0.9738 0.9977

45 0.9669 0.9964 0.9672 0.9941

46 0.9662 0.9957 0.9666 0.9935

52 0.9627 0.9942 0.9627 0.9921

Avg. 0.9826 1.0026 0.9833 0.9978

5.4 本章小结

本章建立基于泊松分布的分析数学模型，模拟实际的网络场景，以消息通信量和比
特通信量为衡量因子，设计两个衡量因子下的折中选取原则，提出了基于认证速率的认
证向量组长度的动态选取机制；该机制较适用于 UE 驻留时间不稳定时，实验仿真表明，
该机制虽不能最节省消息通信量，却能够同时减少消息通信量和比特通信量，提高了整
个网络的资源利用率，为实时变化的实际网络场景提供了灵活地选取机制。

-43-
 第六章 总结与展望

第六章 总结与展望

面对越来越多的新数据业务，4G 对数据安全性的要求越来越高，而用户能否安全
接入网络成为安全性能的重中之重。认证密钥协商协议是实现安全通信，保护用户、运
营商和服务提供商利益的前提和保证。只有当用户通过 AKA 协议生成安全的通信会话
密钥后，上层的加密和完整性认证才能发挥应有的功能。但 LTE/SAE AKA 仍然存在某
些安全问题，如明文传输 IMSI 标识问题、SN id 和 AVs 易被截获等问题。本论文以认
证与密钥协商协议为研究对象，在 3GPP 标准协议的基础上，建立了自己的理论分析模
型，对认证与密钥协商协议中存在的安全问题和协议中认证向量组长度的合理选取问题
做了进一步的研究，主要开展了以下几个方面的工作：
1. 根据标准 AKA 协议的执行流程，详细总结了可能存在的安全漏洞，建立协议简
化分析模型，量化协议执行的比特通信量和消息通信量，进而找到 AKA 中认证向量组
长度选取的影响因子，最终建立了本文后续章节分析问题的理论基础。
2. 针对 LTE/SAE AKA 协议易遭受重定向攻击、重放攻击、根密钥 K 泄露、SN 存
储空间需求高、HN 计算负担重等问题，利用根密钥 K 和代表性密钥 DK 共同生成中间
密钥 KASME 以防止根密钥 K 泄露带来的安全隐患，提出了一种高效安全的 ES-AKA 协议，
致力于实现双向认证和独立认证，并能够成功抵抗重定向攻击和重放攻击。仿真实验显
示：在更高的安全性能下，ES-AKA 协议降低了服务网络的存储需求和归属网络的计算
量，且减少了约 54.44%的比特通信量。
3.深刻剖析现有动态选取认证向量组长度机制的优劣性后，模拟实际的网络场景，
利用建立的认证向量组长度选取的相关理论，在以消息通信量为衡量因子的基础上，同
时加入了比特通信量这一衡量因子，分别基于认证次数、认证速率设计了认证向量组长
度的动态选取机制。基于认证次数设计的选取机制，有效减少了认证过程的消息通信量，
但其局部比特通信量效果不佳，于是提出了根据实际认证次数对 K 分段取值的优化机
制。仿真表明，优化机制在保持最小消息通信量下，大幅降低了比特通信量。基于认证
速率设计的选取机制，应用基于泊松分布建立的数学模型，设计折中选取原则，选取 K
值。仿真表明，该机制虽不是最节省消息通信量的机制，却能够同时减少消息通信量和
比特通信量。由于这两种选取机制是基于不同的参量提出的，能灵活地应对实时变化的
网络，对整个网络选取适合当前网络情形的 K 值有积极的意义。
本论文在 3GPP 标准协议的基础上，虽然对其的安全性研究做了大量工作，但尚有
不足之处需要改进和研究：
1. ES-AKA 协议如何高效的抵抗可能发生的中间人攻击、DOS 攻击等协议鲁棒性
问题有待进一步研究与验证。
2. 在同步失效、网络中断等网络异常状态下，认证向量长度的选取机制本文未作
具体的分析，期待做进一步的探究。

-44-
 参考文献

参考文献

[1] Shin Jia, Hwang, Ming Jhang Chai. A New Authenticated Key Agreement Protocol for Wireless
Mobile Networks[C] Information Assurance and Security.2009.Xi'an, 2009:53-56.
[2] 刘宪国,薛红喜.一种改进的高效鲁棒的 3GPP AKA 协议[J].通信技术,2011,2(44): 87-90.
[3] 刘东苏.移动通信系统中的若干安全问题研究[D].西安:西安电子科技大学博士学位论文.2006.
[4] 陆峰,郑康锋,钮心忻,杨义先,李忠献. 3GPP 认证与密钥协商协议安全性分析[J].软件学报. 2010,
21(7): 1768-1782.
[5] Castiglione A, Cattaneo G, Maio G D, Petagna F. SECR3T: Secure End-to-End Communication over
3G Telecommunication Networks [C] Innovative Mobile and Internet Services in Ubiquitous
Computing (IMIS), Seoul, 2011: 520-526.
[6] 田明明.浅述第三代移动通信系统[J].科技信息,2009,03:474.

[7] 毛光灿.移动通信安全研究[D].重庆:西南交通大学硕士学位论文,2003.
[8] Putz S, Schmitz R. Secure interoperation between 2G and 3G mobile radio networks [C] 3G Mobile
Communication Technologies, London, 2000: 28-32.
[9] 张媛.第三代移动通信系统安全技术研究[D].黑龙江:大庆石油学院硕士学位论文,2005.
[10] 李方伟,赛洁,吴礼珍等.移动通信系统认证协议与密码技术[M].北京:人民邮电出版社,2007:77-85.

[11] 杨义先.网络安全理论与技术[M].北京:人民邮电出版社,2003:489-495.
[12] 刘富春.移动网络发展趋势分析[J].移动通信,2008,32(2):27-30.

[13] 刘巍伟,韩臻,沈昌祥.基于终端行为的可信网络连接控制方案[J].通信学报,2009,30(11):127-134.
[14] 钟伟.21 世纪第三代移动通信技术的发展模式研究[J].通信技术,2008,41(10):218-220.

[15] 冯涛,彭伟,马建峰.安全的无可信 PKG 的部分盲签名方案[J].通信学报,2010,31(1):128-134.

[16] 3GPP TS 33.120. Security principles and objectives (Release 4) [S].2001:6-8.

[17] 李兴华.无线网络中认证及密钥协商协议的研究[D].西安：西安电子科技大学博士学位论文,2006.
[18] 唐宏斌.基于口令认证密钥协商协议设计[D].成都:电子科技大学博士学位论文.2012.

[19] 汪良辰.LTE 安全接入机制研究[D].西安:西安电子科技大学博士学位论文,2012.

[20] 陈 发 堂 , 袁 金 龙 , 吴 增 顺 . 鉴 权 与 密 钥 协 商 过 程 在 LTE 系 统 中 的 改 进 [J]. 电 子 技 术 应
用,2012,38(7):147-150.
[21] 夏伟.移动终端中的通信安全技术研究[D].北京:北京邮电大学硕士学位论文,2013.
[22] 刘东苏,韦宝典,王新梅.改进的 3G 认证与密钥分配协议[J].通信学报.2002,5(23):119-123.

[23] 田荣明,李方伟.一种改进的密钥分配与认证协议[J].电讯技术,2004,2:68-70.

-45-
 参考文献

[24] 刘峰,李大兴. 3G 认证与密钥分配协议的改进[J].计算机工程与设计.2006,14(27):2705-2709.

[25] Huang Chungming, Li Jianwei. Authentication and Key Agreement Protocol for UMTS with Low
Bandwidth consumption [J]. Advanced Information Networking and Applications, 2005,1:392-397.
[26] Zhang Muxiang, Fang Yuguang. Security analysis and enhancements of 3GPP authentication and key
agreement protocol [J]. IEEE Trans on Wireless Communications, 2005: 734-742.
[27] AL-Saraireh J, Yousef S. A new authentication protocol for UMTS mobile networks [J].EURASIP
Journal on Wireless Communications and Networking, 2006: 1-10.
[28] 蒋睿,李建华,潘理.基于串空间模型的 3GPP 认证密钥交换协议分析[J].上海交通大学学报.2006,
5(40):791-795.
[29] 蒋睿,李建华,潘理,铁岭.新型增强 3GPP 认证密钥交换协议[J].计算机工程.2006,12(32):147-149.
[30] 袁方,边瑞昭,王惠芳. 3G AKA 协议分析及其改进[J].微计算机信息,2008,24(4-3):56,62-63.
[31] 石亚宾,黄开枝,贺晓珺.基于身份保护的高效 3GPP AKA 协议[J].电视技术.2008,11(48):19-23.
[32] Ka K O, Tae Y L, Choon S N, Dong R S.Strong Authentication and Key Agreement Protocol in
UMTS[C] NCM 2009.Seoul,2009: 917-920.
[33] Ou H H, Hwang M S, Jan J K. A Cocktail Protocol with the Authentication and Key Agreement on the
UMTS [J]. Journal of Systems and Software, 2010, 83:316-325.
[34] Shuhua Wu, Yuefei Zhu, Qiong Pu. Security analysis of a cocktail protocol with the authentication
and key agreement on the UMTS [J]. Communications Letters, 2010, 4(14): 366-368.
[35] Huang Y L, Shen C Y, Shiuhpyng W S.S-AKA: A Provable and Secure Authentication Key
Agreement Protocol for UMTS Networks [J]. IEEE Trans. Vehicular Technology. 2011, 60(9): 4509
-4519.
[36] Deng Y P, Fu H, Xie X Z, et al. A novel 3GPP SAE authentication and key agreement protocol [C]
Network Infrastructure and Digital Content(IC-NIDC) 2009.Beijing,2009: 557-561.
[37] 邓亚平,付红,谢显中,张玉成,石晶林.基于公钥体制的 3GPP 认证与密钥协商协议[J].计算机应
用.2009,11(29):2936-2939.
[38] Jiexiang Fang, Rui Jiang. An analysis and improvement of 3GPP SAE AKA protocol based on strand
space model[C] Network Infrastructure and Digital Content(IC-NIDC) 2010.Beijing,2010: 789-793.
[39] Purkhiabani M, Salahi A.Enhanced authentication and key agreement procedure of next generation
evolved mobile networks[C] ICCSN 2011.Xi’an,2011: 557-563.
[40] 许名松,李谢华,曹基宏,高春鸣.一种安全增强型无线认证与密钥协商协议[J].计算机工程, 2011,
37(17): 116-118.
[41] Li Xiehua, Wang Yongjun. Security Enhanced Authentication and Key Agreement Protocol for
LTE/SAE Network[C] Wireless Communications, Networking and Mobile Computing (WiCOM),
2011, Wuhan ,2011: 1-4.

-46-
 参考文献

[42] Abdo J B, Chaouchi H, Aoude M. Ensured Confidentiality Authentication and Key Agreement
Protocol for EPS[C] Broadband Networks and Fast Internet 2012, Baabda, 2012: 73-77.
[43] Abdo J B, Demerjian J,Chaouchi H, Pujolle G. EC-AKA2 a revolutionary AKA protocol[C] Computer
Applications Technology (ICCAT), 2013, Sousse, 2013: 1-6.
[44] Hamandi K, Sarji I, Chehab A, Elhajj I H, Kayssi A. Privacy Enhanced and Computationally Efficient
HSK-AKA LTE Scheme[C] Advanced Information Networking and Applications Workshops
(WAINA) 2013. Barcelona, 2013: 929-934.
[45] 3GPP TS 29.002. Mobile Application Part (MAP) specification (Release 12) [S].2014:112.
[46] Lin Yibing, Chen Yuankai. Reducing authentication signaling traffic in third generation mobile
network[J] IEEE Transactions on Wireless Communications, 2003, 2(3): 493-501.
[47] AL-Saraireh J, Yousef S. Analyses Authentication and Key Agreement (AKA) Protocol for UMTS
Mobile Networks[C] MCWC 2006. Amman, 2006: 27-31.
[48] Yan Zhang, Fujise M. An improvement for authentication protocol in third-generation wireless
networks[J]. IEEE Transactions on Wireless Communications, 2006, 5(9): 2348-2352.
[49] Zhang Yan, Zhou Mingtuo, Xiao Shaoqiu, et al. A Study on Evaluating Authentication Traffics in the
Next Generation Wireless Networks[C] ICC 2006. Istanbul, 2006:5517-5521.
[50] Lin-Yi Wu, Yi-Bing Lin. Authentication vector management for UMTS [J] IEEE Transations on
Wireless Communications, 2007,6(11): 4101-4107.
[51] Zhang Yan. Authentication Overhead in Wireless Networks[C] ICC 2008.Beijing,2008:1505-1509

[52] Wang Meng, Georgiades M, Tafazolli R. Signaling Cost Evaluation of Mobility Management
Schemes for Different Core Network Architectural Arrangements in 3GPP LTE/SAE[C] VTC
2008-Spring. Singapore, 2008:2253-2258.
[53] Caragata D, El Assad S, Shoniregun C, Akmayeva G. UMTS Security: Enhancement of Identification,
Authentication and Key Agreement Protocols[C] Internet Technology and Secured Transactions
(ICITST), Abu Dhabi, 2011:278-282.
[54] Abdo Jacques Bou, Demerjian Jacques, Ahmad Kassem, Chaouchi Hakima, Pujolle Guy. EPS mutual
authentication and Crypt-analyzing SPAKA[C] Computing Management and Telecommunications
(ComManTel), 2013, Vietnam,2013:303-308.
[55] 施志勇,刘治生,胡中豫,马大玮. TD-SCDMA 通信网络安全中的 AKA 机制研究[J].通信技
术.2008,4(41):62-64.
[56] 刘佳潇. 3G 中 AKA 协议改进和密码算法设计[D].郑州:解放军信息工程大学硕士学位论文.2007.
[57] Xiankun Zheng, Changjiang Liu. An improved Authentication and Key Agreement Protocol of
3G[C]// Education Technology and Computer Science (ETCS), 2009. Wuhan, 2009, 2: 733-737.
[58] Haitao Li, Shize Guo, Kangfeng Zheng, Zhe Chen, Jun Cui, Xingyao Wu. Improved Adoptable
Scheme for Authentication and Key Agreement[C] Management and Service Science (MASS), 2009.
Wuhan, 2009:1-4.
-47-
 参考文献

[59] 汪小芬.认证密钥协商协议的研究[D].西安:西安电子科技大学博士学位论文.2007.
[60] 王莉.3G 移动通信安全性研究与改进[D].北京:北京邮电大学硕士学位论文.2012.
[61] 李继国,曹珍,李建中,张亦辰.代理签名的现状与进展[J].通信学报,2003,24(10):114-124.
[62] 倪亮.关于认证密钥协商协议若干问题的研究[D].上海:上海交通大学博士学位论文.2012.
[63] Elkamchouchi H M, Abu Elkair E F. An Efficient Protocol For Authenticated Key Agreement[C]
Radio Science Conference (NRSC), 2011, Cairo, 2011:1-7.
[64] Bouabidi I E, Daly I, Zarai F. Secure handoff protocol in 3GPP LTE networks[C] Communications
and Networking (ComNet), Hammamet, 2012:1-6.
[65] 刘潇,刘巍然,李为宇.一种改进的动态口令生成算法及重同步方案[J].计算机研究与发展. 2012,
49(12): 2611-2618.
[66] 杨鹏,张小勇,陈超,龙文祥. WCDMA 网络二次鉴权同步失败问题研究[J].电信技术.2012,10:65-68.
[67] Dongfang Zhang, Ru Zhang, Xinxin Niu, Yixian Yang, Zhentao Zhang. A New Authentication and
Key Agreement Protocol of 3G based on Diffie-Hellman Algorithm[C] Computer Engineering and
Technology (ICCET), 2010, Chengdu,2010,2:110-113.
[68] Caimu Tang, Wu D O. An Efficient Mobile Authentication Scheme for Wireless Networks[J] IEEE
Transactions on Wireless Communications, 2008,7(4):1408-1416.
[69] Cheng Chi Lee, Chin Ling Chen, Hsia Hung Ou, Lung Albert Chen. Extension of an Efficient 3GPP
Authentication and Key Agreement Protocol[J]. Wireless Personal Communications,2013,
68:861–872.
[70] Avarzaman M M, Salahi A. Increasing Performance of Authentication in Universal Mobile
Telecommunication System[C] Application of Information and Communication Technologies(AICT),
2009:1-5.
[71] 3GPP TS 33.401. Security architecture(Release 12)[S].2014:19-23.
[72] 张沛,陈婉莹,王鑫. TD-SCDMA 与 TD-LTE 安全机制的分析和比较[J].移动通信,2012,7:28-33.

[73] 刘锋.第三代移动通信系统中认证和密钥协商协议的应用研究[D].重庆:重庆大学硕士学位论
文.2005.
[74] 3GPP TS 35.205. 3G Security, An example algorithm set for the 3GPP authentication and key
generation functions f1,f1*,f2,f3,f4,f5 and f5* (Release 11)[S].2012.
[75] 3GPP TS 33.102. Security architecture(Release 12)[S].2014:19-29.

-48-
 发表论文和科研情况说明

发表论文和科研情况说明

发表的论文：

[1] 白媛,王倩,贾其兰. 认证向量组长度动态更新算法研究[J].北京邮电大学学报.

（等待编委会讨论）
[2] 王倩,白媛,贾其兰,张会兵. 一种高效安全的 EPS AKA 协议[J].北京邮电大学
学报.增刊.（EI 期刊，已录用，待刊）.
[3] Wang Qian, Bai Yuan, Jia Qilan, Zhang Huibing. “Reducing Authentication
Exchanging Traffic in Fourth-Generation Mobile Network”[J], Journal of
Computational Information Systems, 2015,11(4):1-8.（EI 期刊，已录用，待刊）.
[4] 贾其兰,白媛,王倩,张会兵. UMTS AKA 机制中序列号安全性分析[J].北京邮电
大学学报.增刊.（EI 期刊，已录用，待刊）
[5] 白媛,贾其兰,王倩,张会兵.一种基于预警机制的自适应选择 AS-AKA 协议[J].
天津理工大学学报.（已录用，待刊）

发明专利：

[1] 白媛，王倩，贾其兰.一种认证向量组长度的动态选取方法，发明专利，申请
号：CN201410322705.5，公开号：CN104066087A。
[2] 白媛,贾其兰,王倩,张会兵.一种基于预警机制自适应选择协议抵抗重放攻击
的方法，发明专利，申请号：CN201410540272.0，公开号：CN104270378A。

参与的科研项目：

[1] 天津市科技创新专项资金资助项目（10FDZDGX00400）：新一代移动通信
网络覆盖关键技术研发及示范应用。
[2] 国家自然科学基金（61272450）：下一代互联网 DDoS 防御关键技术研究。
[3] 广西可信软件重点实验室研究课题资助项目（kx201332）：泛在网可信路由
关键技术的研究。

-49-
 致谢

致 谢

在论文即将完成之际，谨此向我的导师白媛副教授致以崇高的敬意和衷心的感谢！
本论文是在白老师的指导下完成的。白老师深厚的学术造诣、严谨的治学风格、严肃的
科学态度、宽容的待人风范、敏锐的洞察力深深地感染和激励着我，在此诚挚地感谢白
老师两年半来对我的谆谆指导。
在这两年半的硕士生活中，导师不仅为我创造了良好的科研及学习环境，使我在移
动通信领域中能够自由翱翔，同时在工作上、思想上、意志品质和人生态度方面对我循
循善诱，这些教诲时刻激励着我，使我牢记在今后的人生道路上勇往直前。
感谢马秀荣教授、马社祥教授、白育堃副教授等诸位老师在我撰写与修正论文方面
的指导和帮助。几位老师严谨的科研作风、认真的工作态度、丰富的科研经验给予了我
极大的帮助，在此非常感谢几位老师对本论文提出的宝贵建议和意见！
感谢课题组成员贾其兰、丁兆彩、史清响、高培方、王肖、王松、徐宇俊等硕士研
究生在生活及学习上的帮助！
感谢郝瑞敏、臧守明、谢玉凤、陈冰雪、单云龙、彭丹丹、梁裕卿等诸位师弟师妹
对我的支持与鼓励！
感谢我的室友贾其兰硕士、刘慧莹硕士、申婷婷硕士，感谢她们在生活上对我的照
顾，她们创新性的研究开拓了我的视野。
感谢天津理工大学计算机与通信工程学院 12 级通信研究生班的全体同学陪我一起
走过这段人生难忘的历程！
感谢本文引用文献的作者们，他们的文章给予我许多启示，帮助我顺利完成本论文！
感谢我的家人及亲朋好友的关心、支持和鼓励！
感谢岁月与困难对我的磨砺！
因时间仓促，水平有限，文中难免存在不足之处，在此恳请多予指正。

王 倩
2015 年 2 月于天津理工大学

-50-