Professional Documents
Culture Documents
LTE/SAE认证与密钥协商协议安全性研究
LTE/SAE认证与密钥协商协议安全性研究
5030 密级:
天津理工大学研究生学位论文
LTE/SAE 认证与密钥协商协议
安全性研究
(申请硕士学位)
学科专业:信息与通信工程
研究方向:移动通信、信息安全
作者姓名:王倩
指导教师:白媛 副教授
2015 年 2 月
Thesis Submitted to Tianjin University of Technology for
the Master’s Degree
By
Wang Qian
Supervisor
Bai Yuan
Feb. 2015
独创性声明
本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取
得的研究成果,除了文中特别加以标注和致谢之处外,论文中不包含其他
人已经发表或撰写过的研究成果,也不包含为获得 天津理工大学 或
其他教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研
究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。
学位论文作者签名: 签字日期: 年 月 日
学位论文版权使用授权书
本学位论文作者完全了解 天津理工大学 有关保留、使用学位论文
的规定。特授权 天津理工大学 可以将学位论文的全部或部分内容编入
有关数据库进行检索,并采用影印、缩印或扫描等复制手段保存、汇编,
以供查阅和借阅。同意学校向国家有关部门或机构送交论文的复本和电子
文件。
(保密的学位论文在解密后适用本授权说明)
学位论文作者签名: 导师签名:
签字日期: 年 月 日 签字日期: 年 月 日
摘要
Key words: LTE/SAE, Authentication and Key Agreement, Authentication Vector array,
Message Exchange Traffic, Bit Exchange Traffic
目 录
第一章 绪论..........................................................................................................................1
1.1 研究背景和意义 .................................................................................................1
1.2 认证密钥协商协议的研究现状 ..........................................................................2
1.2.1 UMTS AKA 协议研究现状 ............................................................................ 2
1.2.2 LTE/SAE AKA 协议研究现状 ....................................................................... 4
1.2.3 认证向量组长度的研究现状 ......................................................................... 5
1.3 LTE/SAE AKA 协议安全性问题........................................................................5
1.4 本文主要内容与创新点.....................................................................................7
- ii -
第一章 绪论
第一章 绪论
1.1 研究背景和意义
在信息化加速的今天,安全通信的需求在移动通信系统中越来越重要,尤其是在第
三代、第四代移动通信系统中。无线信道的公开,造成无线接口和无线服务访问的安全
性相对有线网而显得薄弱[1]。非法用户可以通过无线接口截获用户的敏感数据、冒充合
法用户访问无线资源等;服务网络单元种类多、功能各异、通信方式和连接结构各异,
使得安全管理困难,易出现安全漏洞[2]。移动通信系统除了提供基本的话音业务,还将
提供多媒体、电子商务、网上银行等业务[3]。这些业务都要求移动通信系统拥有强大的
安全性。如果没有强大的安全措施保护通信,这将给用户和移动网络运营商都造成很大
的损失。
接入安全[4]是指终端能够安全接入网络,并且能够有效抵御链路上的攻击。接入安
全的完善度和完备性很大程度上决定了网络的安全性。目前,保证接入安全的常用方法
是身份认证,包括网络对终端合法性的认证以及终端对网络的认证[5]。所以,如何完善
优化接入的认证方案已成为研究接入乃至系统安全至关重要的部分。
第一代蜂窝移动通信系统采用频分复用技术[6]。它没有采用任何的安全措施,因此
无线网络中的通信内容很容易被窃听或篡改。同时,用户的身份也很容易被冒充[7]。
第二代移动通信系统(2G)增加身份验证技术核实移动用户的合法性,以及运用数
字加密技术对数字化的用户话音、数据和网络信令进行保护[8-9]。它采用“询问—响应”
认证协议,加密无线链路段的通信内容,实现了三类保密[10]:第一,保护 IMSI,确保
用户的真实身份;第二,利用加密技术保护用户的信令、话音等;第三,通过鉴权机制
鉴别用户身份的合法性。尽管 2G 系统的安全性有了很大进步,但仍存在诸多的安全问
题,比如:认证是单向的、无端到端加密、信令无完整性保护、加密算法弱、无签名机
制等[6,9-15]。
第三代移动通信系统(3G)继承了 2G 安全机制的优点,改善了 2G 中存在和可能
存在的安全缺陷[16]。3G 系统沿用了“询问—响应”认证协议,提出了认证密钥协商 AKA
(Authentication and Key Agreement)协议保证用户安全接入网络。AKA 协议实现了用
户与网络的双向认证,保护了信令完整性,增强了加密算法等特点。目前,根据认证所
采用的密码体制的不同,有私钥密码体制和公钥密码体制两大类认证协议方案[17]。由于
私钥密码体制发展比较成熟,算法比较简单,当前的标准协议中采用了私钥密钥密码体
制的 AKA 协议[18]。
第四代移动通信系统(4G)系统沿用了 3G 系统的基本安全架构,同时引入新的接
-1-
第一章 绪论
入网和核心网络的双层安全模型,定义了新的安全密钥体系,进一步提高了网络的安全
性[19]。在接入网的安全问题中,4G 沿用了 3G 中的 AKA 机制[20]。相对于 UMTS AKA,
LTE/SAE AKA 采用了独立的序列号 SQN(SeQuence Number)机制,减少了重同步问
题;加入了服务网络身份 SN id(Service Network identity)实现对服务网络 SN(Service
Network)合法性的认证,从而解决了重定向攻击;这些改进都使 AKA 协议机制更加完
善[19]。但 LTE/SAE AKA 仍然存在某些安全问题,如明文传输国际移动用户识别码 IMSI
( International Mobile Subscriber Identity)、 服务网络身份 SN id 和 认证向量 AV
(Authentication Vector)等易被截获的敏感信息。
面对越来越多的新数据业务,4G 对数据安全性的要求越来越高,而用户能否安全
接入网络成为安全性能的重中之重。认证密钥协商 AKA 协议是实现安全通信,保护用
户、运营商和服务提供商利益的前提和保证。只有当用户通过 AKA 协议生成安全的通
信会话密钥后,上层的加密和完整性认证才能发挥应有的功能[21]。可见,研究 LTE/SAE
AKA 协议对移动通信的安全性及发展具有重要的理论意义和实际价值。正因如此,本
文以 LTE/SAE AKA 协议为研究对象,对其存在的安全问题及认证向量组长度的合理选
取问题进行了深入研究。
1.2 认证密钥协商协议的研究现状
-2-
第一章 绪论
-3-
第一章 绪论
4G 沿用了 3G 的基本安全架构,同时引入新的接入网和核心网络的双层安全模型,
定义了新的安全密钥体系,进一步提高网络的安全性。在接入网的安全问题中,LTE/SAE
沿用了 UMTS 的 AKA 机制。近几年,国内外学者对 LTE/SAE AKA 提出了多种改进、
完善的协议,其中主要的研究成果有:
2009 年,Deng Y P 等学者提出了一种基于公钥体制的 D-AKA[36]。该协议采用公钥
体制对重要参数进行加密保护,抵制了重定向攻击;同时采用随机数获得 KASME,实现
了密钥的更新,也解决了过度依赖根密钥 K 的弊端。然而,它对 KASME 获取机制并没有
普遍性,公钥证书传递带来巨大的通信开销,证书库的维护与管理也不可避免。
同年,邓亚平等五位学者针对协议中 IMSI 明文传输、SN 和 HN 之间缺乏认证、SQN
操作难等相关安全问题,利用公钥密码体制对用户身份信息和网络域的用户认证向量进
行加密,通过动态随机数生成本地认证中需要的密钥,提出一种改进的 LTE/SAE 认证
与密钥协商协议[37]。同样,无线公钥基础设施普遍存在的问题仍未得到解决。
2010 年,方杰向、蒋睿针对 D-AKA 特有的一种伪 UE 攻击,提出了混合密钥体制
的 I-AKA[38]。I-AKA 解决了这种伪 UE 攻击,同时考虑 UE 端有限的计算和处理能力而
采用单密钥体制,但无线公钥基础设施普遍存在的问题仍未得到解决。
2011 年,Masoumeh Purkhiabani 和 Ahmad Salahi 提出了一种改进 AKA 协议方案[39]。
该方案是:SN 生成 m 个随机密钥、n 个随机数,并选择一个随机密钥 SNR[i]传送给 HN,
HN 形成一个 HNAV[i]传送给 SN,SN 利用 n 个随机数形成 n 个 AV 传送给 UE 进行认
证。当 UE 第 n+1 次认证时,再从 m 个随机密钥中选择一个,重复上述操作。该协议部
分程度上实现了密钥更新机制,减少了认证过程中的带宽消耗、运算量的消耗,在安全
性上也得到了提高。但它仍存在中间人攻击,且没有实现数字签名。
2011 年 9 月,许名松等人提出了 SE AKA[40,41]。该协议利用公钥体制对明文传输且
未加以保护的 IMSI、SNID 进行加密保护,同时支持数字签字,抵御了重定向攻击,实
现 了 信 息 的 不 可 否 认 性 。 但 采 用 无 线 公 钥基 础 设 施 WPKI ( Wireless Public Key
Infrastructure)方案,不可避免的带来了证书库维护与管理问题和巨大的通信开销。
2012 年,Jacques Bou Abdo 等人提出了基于公钥体制 SE AKA 的改进 EC-AKA[42],
主要致力于解决蛮力攻击。2013 年,他们又提出了对 EC-AKA 的改进协议 EC-AKA2[43],
解决了中间人攻击、UE 追踪问题。
2013 年,Khodor Hamandi 等人提出了 HSK-AKA[44]。该协议是基于 C. K. Huan 提
出的 PE-AKA 的改进。使用数字签名成功抵制伪 MME 攻击,引入了 SQNHSK 机制,建
立 IMSI 与 HN 的关系,使用随机移动用户身份标识 RMSI(Random Mobile Subscriber
Identity),在有限运算能力的实体处最小化使用公钥加密,以消耗一定的运算量为代价
达到保护 IMSI 的目的。
通过对国内外学者对 LTE/SAE AKA 提出的改进协议深入的挖掘,本文利用产生第
二个密钥,设计相关算法,避免协议安全性对密钥 K 的依赖,提高了协议的安全性。
-4-
第一章 绪论
1.2.3 认证向量组长度的研究现状
-5-
第一章 绪论
发非法网络主动攻击,拒绝服务攻击等危险事件。
(2)SN id 未受到保护[37,57]。协议忽视了 HN 与 MME 间传递的关键信息 SN id 的
保护。当前,不论是在有线环境还是在无线环境下,SN id 以明文形式传输的现象比比
皆是,导致攻击者很容易就可窃取合法 SN id 进而主动发起网络欺骗、伪基站、中间人
等攻击。此外,这些重要且敏感数据也可能会成为攻击者下一步攻击的基础。
(3)AV 未受到保护[57-58]。协议中,HN 与 MME 之间传递的关键信息 AV 组以明
文形式传输,很可能会被窃听和截获。进而,攻击者可能通过合法 AV 直接对通信数据
进行破解和篡改,也可作为下一步攻击的基础数据。
(4)对称加密体制本身存在的安全威胁[18,59]。由于现行协议采用的是对称加密体
制,密钥数量随着接入用户数目的增加快速增长,密钥的传输和分配会随着网络中的设
备增加而变得复杂,安全性也难以得到维护。可见,对称密钥体制整体上缺乏必要的可
扩展性,且不支持数字签名[60,61]、不能提供不可否认性业务[62],不利于实现下一代通信
网络的高可靠性和灵活性。
(5)根密钥 K 泄露问题[18,37,53,55,63]。LTE/SAE AKA 协议采用共享密钥 K 完成 UE
和网络间的相互认证,以实现用户安全接入网络。但长期共享密钥 K 的安全性依赖着网
络,易泄漏导致安全隐患。一旦 K 泄露,整个协议再无安全可言。
(6)重同步增加网络间的信息成本[30,64-66]。虽然 LTE/SAE AKA 加入了独立的 SQN
同步机制:对认证向量采用按序处理,减少了 3G AKA 中由于 SQN 不同步而触发大开
销的重同步过程,也在一定程度上抑制了攻击者对已用 RAND 和 AUTN 的重放带来的
重放攻击。但是,当 UE 发现序列号 SQN 不在正常范围内,就会判定 HN 中的同步已经
发生故障,这势必导致产生虚假的重同步请求。因为,一个序列号 SQN 不在正确的范
围内,并不一定意味着 HN 中的 SQN 发生故障。
(7)重定向攻击[28,31,35,67]。攻击者拥有可在同一时间同时伪装 UE 和 SN/MME 的
设备。攻击者首先伪装 SN/MME 捕获 UE 接入请求,然后伪装合法 UE 将请求消息转发
给外网合法的 SN/MME,SN/MME 接收请求后误认为是合法 UE 发起的请求,立刻向合
法 UE 的 HN 发送认证数据请求消息,HN 向 SN/MME 发回认证向量数据。接着,SN/MME
对 UE 进行认证。在认证过程中,攻击者充当中继,将 UE 的通信定向到一个合法的外
网 SN/MME,导致本地网受害的 UE 支付被另一个服务提供商操控至外网的漫游费用。
(8)SN 存储空间大[1,31,68]。在 LTE/SAE AKA 中,HN 生成一个认证向量需要计算
RAND、MAC、XRES、CK,IK、AK、KASME 和 SQN⊕AK,共需 7 次哈希运算和 1 次
异或运算。于是,HN 计算并发送 K 个认证向量到 SN/MME 时,SN 的存储空间为 608K
bit,HN 的计算量为 7K 次哈希运算和 K 次异或运算。
(9)认证向量组长度的选取问题[35,46-47, 67,69-70]。在 LTE/SAE AKA 中,HN/HLR 发
送 K 个 AV 到 SN/MME。当 AV 耗尽,SN/MME 需要再次向 HN/HLR 发起获取请求。K
过大传输 AV 将消耗巨大的比特通信量,且易因 UE 的离开造成 AV 的浪费。若 K 过小,
虽减少了 HN/HLR 的计算量和传送代价,却带来了频繁的认证请求和 AV 传递。可见,
如何对整个网络选择一个最佳的 K 值至关重要。
-6-
第一章 绪论
1.4 本文主要内容与创新点
-7-
第一章 绪论
两个浪费率,设计折中选取原则,提出了一种基于认证次数的认证向量组长度的动态选
取机制,并进一步提出了根据实际认证次数进行分段取值的优化选取机制,适合 UE 较
稳定地驻留于某一 SN 的情形。仿真表明:在相同的网络环境下,提出的选取机制不仅
解决了 K 值不唯一的问题,还有效降低了消息通信量和比特通信量。
3. 建立基于泊松分布的 LTE/SAE AKA 分析数学模型,以消息通信量和比特通信量
为衡量因子,设计折中选取原则,提出了一种基于认证速率的认证向量组长度的动态选
取机制,适用于 UE 驻留 SN 时间较短的网络情形。仿真表明:提出的选取机制虽不是
最节省消息通信量的机制,却能够同时有效减少消息通信量和比特通信量,且解决了 K
值不唯一的问题。
-8-
第二章 LTE/SAE AKA 协议及其性能分析
为了说明认证与密钥协商协议在整个通信系统的网络构架中的位置和作用,本章首
先简要介绍 LTE/SAE 系统的安全构架及密钥体系;然后详细阐述 LTE/SAE AKA 协议的
具体流程,并对其进行安全性、通信量的分析,为改进协议的提出奠定基础;同时,本
章将会建立简化的 LTE/SAE AKA 协议分析模型,分析认证向量组长度 K 值选取的影响
因子,为第四、五章认证向量组长度的动态选取机制确定衡量因子。
图2.1 LTE/SAE系统的安全构架
图 2.1 定义了五个安全特性组,每组应对不同的安全威胁以完成不同的安全目标[5]:
网络接入安全(I):网络接入安全是为了用户可以不必担心私有信息会被非法窃听
或篡改下安全的接入 LTE/SAE 网络。它主要提供四个方面的安全特性:用户标识的保
密性、实体认证、加密、数据完整性[73]。由于用户接入到网络是通过无线接口 uu 口实
现的,因此用户数据可能被轻易截获。
网络域安全(II):该安全特性有三个层次:密钥建立、密钥分配、安全通信[5]。主
-9-
第二章 LTE/SAE AKA 协议及其性能分析
要针对有线网络受到的攻击,保证业务提供者域中的节点间交换的信令数据的安全,并
保证用户接入的服务网络 SN 是合法授权的。服务网络是否合法授权由归属网络决定。
用户域安全(III):主要涉及两个方面的授权认证:一是 USIM 对用户的授权,即
只有合法的用户才能使用特定的 USIM,通过设置 SIM 卡的个人识别码 PIN(Personal
Identification Number)实现;二是 USIM 对终端的授权,即只有合法的 USIM 才能匹配
特定的终端设备。
应用域安全(IV):应用层上需要有各种各样的安全需求,如提供用户数据的完整
性 和签名[30]功能。其安全级别可由网络操作员或应用程序提供商根据需要选择。
[73]
可视性与可配置性(V):该安全特性对用户而言一般是透明的[5]。在一些特殊事件
下,移动系统需要提供更大的安全特性操作可见度。比如用户由安全级别高的区域漫游
到了安全级别低的区域时,用户可以自由选择是否继续进行该项服务。
LTE/SAE 系统包括两个安全层次:接入层安全和非接入层安全[71]。接入层安全是指
UE 和 eNodeB 之间的安全,主要负责执行 AS 信令的加密和完整性保护,用户面 UP 的
加密保护;非接入层安全是指 UE 和 MME 之间的安全,主要负责执行 NAS 信令的加密
和完整性保护。
CK, IK
UE / HSS
KASME
UE / MME
KNASenc KNASint
KeNB
/ HN
UE / eNB
图2.2 LTE/SAE用户侧和网络侧密钥派生体系
LTE/SAE 中用户面和控制面两个安全层次完全分离,两个安全层次的设计使得系统
的密钥体系更加复杂,AKA 过程生成的 KASME 作为中间密钥,可直接推导出 NAS 层的
KNASenc、KNASint,供 UE 和 MME 使用;而由 KASME 推导的 KeNB 是 UE 和 eNB 之间用来
计算 AS 层密钥的临时性密钥。
LTE/SAE 系统所使用的密钥及派生过程如图 2.2 所示[71]。
K 为长期共享的根密钥,128 比特。它分别存储在用户侧的 USIM 卡和网络侧的认
证中心 AuC 中,用来进一步推演其它的通信密钥。
CK 是加密密钥,IK 是完整性保护密钥,两者均为 128 比特。CK 和 IK 都在 AKA
-10-
第二章 LTE/SAE AKA 协议及其性能分析
表2.1 加密函数
函数 定义功能
f1 网络信息认证函数,输出 MAC
f2 用户信息认证函数,输出 RES 和 XRES
f3 加密密钥产生函数,输出 CK
f4 完整性密钥产生函数,输出 IK
f5 匿名性密钥产生函数,输出 AK
f6 用户身份加密函数
f7 用户身份解密函数
|X| 实体 X 的长度
|| 连接,级联
LTE/SAE AKA中,UE和HN/HLR共享密钥K且保持序列号SQNUE和SQNHN以用于抵
制重放攻击。UE和HN/HLR也利用一些加密函数来生成密钥,以用于完整性检查[74]。表
2.1为协议中所涉及的各类加密函数及其功能,表2.2为协议所涉及的实体及其长度。
-11-
第二章 LTE/SAE AKA 协议及其性能分析
表2.2 协议所涉及的实体及其长度一览表
-12-
第二章 LTE/SAE AKA 协议及其性能分析
一个认证向量的生成过程:
首先,归属网络生成一个序列数 SQN 和一个随机数 RAND,并使 SQN SQN HN ;
其 次 , 依 次 计 算 参 量 MAC f K1 SQN || RAND || AMF , XRES f K2 RAND ,
CK f K3 RAND , IK f K4 RAND , AK f K5 RAND , AUTN SQN AK || AMF || MAC ;
再次,CK、IK 绑定 SN id 生成 KASME,即 K ASME KDF SQN AK , SN id , CK , IK ;
最后, AV RAND || XRES || K ASME || AUTN ,同时,令 SQN HE SQN HE 1 。
④ SN/MME将收到的认证向量组存放在数据库。当需要认证时选取序号最小的AV,
将其RAND、AUTN及由KASME分配的3位密钥标识KSIASME发送给UE,作为用户鉴权请
求消息M4。
⑤ UE 接收到来自 SN/MME 的 RAND 和 AUTN 后,依次计算 AK f K5 RAND 、
SQN SQN AK AK 和 XMAC f K1 SQN || RAND || AMF (其中,MAC 和 AMF 包
含在 AUTH 中),然后验证 XMAC MAC 是否成立及 AMF 的最低位是否为 1。
若 XMAC MAC 或 AMF 的最低位≠1,则 UE 向 MME 发送用户认证拒绝消息,
并结束验证;否则,UE 继续验证 SQN 是否属于正常范围内。
若 SQN 不属于正常范围,UE 向 SN/MME 发送同步失败消息,结束验证并启动重
同步操作;否则,UE 对网络身份认证成功,UE 计算并发送 XRES f K2 RAND ,至
SN/MME,并置 SQNUE 为 SQN。然后,UE 计算 CK f K3 RAND 和 IK f K4 RAND ,推
算 K ASME KDF SQN AK , SN id , CK , IK 。
-13-
第二章 LTE/SAE AKA 协议及其性能分析
消息通信量指AKA中认证三方传送的总消息数目;比特通信量指AKA中认证三方
传送的总二进制信息位数。为了建立LTE/SAE AKA比特通信量和消息通信量与认证次数
M、认证向量组长度K的数学关系。做出以下假定:
假设传输的AV都可成功验证UE;
假设UE的认证请求到达相同的SN/MME。
利用表2.2协议所涉及实体及其长度情况,用|M|表达消息M的长度,则LTE/SAE AKA
的比特通信量和消息通信量如下[35]:
•|M1|为第一条消息长度,|M1|=|IMSI|=128(bit)。
•M2 是IMSI、SNid和网络类型长度的总和。因此|M2|=|IMSI|+|SNid|+|网络类型|=384
(bit)。
•M3中,一个AV由RAND、XRES、KASME和AUTN组成,|AV|=|RAND|+|XRES|+|KASME|+
-14-
第二章 LTE/SAE AKA 协议及其性能分析
|AUTN|=608(bit),则传输K个AV时,有|M3|=608K(bit)。
•M4由RAND、AUTN和KSIASME组成,故|M4|=|RAND|+|AUTN|+|KSIAMSE|=291(bit)。
•M5包含一个RES,故长度为64 bit。
LTE/SAE AKA中,比特通信量的大小由是否访问HN/HLR决定。若SN/MME中没有
可用的AV,则UE是由HN/HLR认证。若SN/MME中有AV可用,则HN/HLR不参与认证
过程。下面将讨论这两种情形下的比特通信量。
•SN/MME中没有可用的AV:需要5条消息传输,比特通信量 bw1 是5条消息长度的总
和,即:
5
bw1 M i 875 608 K (b) (2-1)
i 1
M M
S M , K 5 M 3 (2-3)
K K
M M
B M , K bw1 M bw2 (2-4)
K K
这里,K 代表认证向量组的长度。
-15-
第二章 LTE/SAE AKA 协议及其性能分析
258200
220568
2
1 85734
64550
0
0 50 100 150 200 250
认证次数/次
(a) 比特通信量对比图
1000
K=100
800 K=2 800
消息通信量/条
600 604
400
200
200
152
0
0 50 100 150 200 250
认证次数/次
(b) 消息通信量对比图
图2.5 LTE/SAE AKA不同K值时比特通信量、消息通信量对比图
-16-
第二章 LTE/SAE AKA 协议及其性能分析
2.4 本章小结
-17-
第三章 基于私钥密码体制的 ES-AKA 协议
认证与密钥协商协议是移动用户安全接入网络、进行上层通信会话的重要保障协
议。上述章节可知,LTE/SAE AKA 中仍存在许多安全问题,如重定向攻击、重放攻击、
密钥 K 泄露等。本章针对 LTE/SAE AKA 协议现存的相关问题,基于私钥密码体制提出
一种高效安全的改进协议 ES-AKA,致力于在更高的安全性能下,降低服务网络的存储
空间和归属网络的计算量,且有效减少认证过程的比特通信量。
-18-
第三章 基于私钥密码体制的 ES-AKA 协议
图3.1 ES-AKA-I
MI1 UE→SN/MME:{IMSI,VAC,DK,服务请求}。在发送MI1前,UE利用SN/MME
发 送 来 的 N1 和 SNid , 生 成 一 个 代 表 性 密 钥 VAC f K1 N1 || SN id 和 认 证 码
VAC f K1 N1 || SN id 。
MI2 SN/MME→HN/HLR:{{MI1},SNid,N1,type}。SN/MME将SNid和N1连同MI1
发送至HN,发起认证向量请求消息。
MI3 HN/HLR→SN/MME:AVh。收到MI2后,HN/HLR通过IMSI从数据库中取得与
UE共享的密钥K,计算并判断 XVAC VAC 是否成立。若不成立,则终止认证;若成立,
则HN认证SN、UE成功,然后计算 DK f K6 N1 和AVh。AVh产生过程如下:
① 依次根据相关参量推算 RES h f K2 N1 、CK h f K3 N1 和 IK h f K4 N1 ,并最终
得到 K ASMEh KDF SN id , CK h , IK h ;
② 推算 MACh f K1 N1 DK || AMF ,得到 AUTN h MACh || AMF ;
③ 得到 AVh AUTN h , RES h , K ASMEh 。
-19-
第三章 基于私钥密码体制的 ES-AKA 协议
SN/MME。
SN/MME接收MI5 ,计算 XRES RESm RES h ,并判断 XRES RES 是否成立。若
不成立,则SN对UE的认证失败,终止认证;否则,SN认证UE成功,UE和SN/MME分
别进行以下操作:
UE:
① 计算 CK u f K3 N1 、 IK u f K4 N1 ,存储 K ASMEu KDF SN id , CK u , IK u ;
② 计算 CK m f DK
3
RAND 、IKm f DK4 RAND ,得 K ASMEm KDF SNid , CK m , IK m ;
③ 推算 K ASME K ASMEm K ASMEu 。
SN/MME:
① 提取AVh中的KASMEh;
② 计算 CK m f DK
3
RAND 、IKm f DK4 RAND ,得 K ASMEm KDF SNid , CK m , IK m ;
③ 推算 K ASME K ASMEm K ASMEh 。
至此,UE 和服务网络间共享 KASME。
ES-AKA协议的第二阶段没有HN/HLR参与,且UE和SN/MME已共享DK。图3.2描
述了AKA-II阶段的认证流程。
图3.2 ES-AKA-II
-20-
第三章 基于私钥密码体制的 ES-AKA 协议
MII1 UE→SN/MME:{IMSI,VAC,服务请求}。UE每发起一次认证请求,N1增加1,
即: N1 N1 1 ;同时计算 VAC f DK1
N1 || SNid 。
II
M 2 SN/MME→UE:{RADN||MAC||KSIASME}。SN/MME 根据 IMSI 找到与 UE 端
共享的 DK;计算并判断 XVAC VAC 是否成立。若不成立,则终止认证;若成立,则
网络认证 UE 成功,然后选取序号最小随机数 RAND,计算 MAC f DK 1
MACh , RAND ,
AUTN MAC || AMF ,推算 RES m f DK RAND 。
2
MII3 UE→SN/MME:{XRES}。UE查看以SNid为标签的列表中有无该RAND。有,
则终止认证过程,否则计算并判断 XMAC MAC 是否成立,若不成立,则终止认证;
否 则 UE 认 证 SN 、 HN 成 功 。 这 里 , XMACh f K1 N1 DK || AMF ,
1
XMAC f DK XMACh , RAND 。
计算 RES m f DK
2
RAND ,结合第I段获取的 RESu ,计算并发送XRES到SN/MME。
这里, XRES RESm RESu 。
SN/MME接收MII3,计算 XRES RESm RES h ,并判断 XRES RES 是否成立。若
不成立,则SN对UE的认证失败;否则,SN认证UE成功,UE和SN/MME分别进行以下
操作:
UE:
① 提取I段的KASMEu;
② 计算 CK m f DK
3
RAND 、IKm f DK4 RAND ,得 K ASMEm KDF SNid , CK m , IK m ;
③ 推算 K ASME K ASMEm K ASMEh 。
SN:
① 提取I段AVh中的KASMEh;
② 计算 CK m f DK
3
RAND 、IKm f DK4 RAND ,得 K ASMEm KDF SNid , CK m , IK m ;
③ 推算 K ASME K ASMEm K ASMEh 。
至此,UE和网络间共享KASME。
此外,当 SN/MME 的 K 个随机数耗尽,需要从 HN/HLR 获取新的 AVh 进行后续认
证。是否需要 HN/HLR 重新生成新的 AVh 由 AMF 域决定。
3.3.1 安全性分析
提出的ES-AKA协议较LTE/SAE协议具有更高的安全性,具体分析如下:
(1)实现UE、SN和HN间的双向认证
HN验证SN、UE:首先HN/HLR根据SNid判断SN/MME是否合法,若不合法则认证
中断;否则利用接收的SNid、N1及密钥K,推导并判断预期值 XVAC VAC 是否成立。
若成立,则HN对SN、UE的认证通过。这里, VAC f K1 N1 || SN id 。
UE验证SN、HN:UE利用接收的RAND、AUTN,推算 XMACh f K1 N1 DK || AMF ,
然后计算并判断 XMAC MAC 是否成立。若成立,则UE对网络认证成功。这里,
-21-
第三章 基于私钥密码体制的 ES-AKA 协议
1
XMAC f DK XMACh , RAND 。
SN、HN验证UE:UE推算 RES m f DK 2
RAND 、 RESu f K2 N1 后,计算并发送
XRES RESm RESu 至SN/MME。SN/MME判断 XRES RES 是否成立。若成立,网络
对UE的认证通过。
可见,HN通过验证 XVAC VAC 是否成立来核实SN、UE的合法性;UE通过验证
XMAC MAC 是否成立来核实SN、HN的合法性;SN、HN通过验证 XRES RES 是否
成立来核实UE的合法性。从而,实现了三方实体间的相互认证。
(2)实现独立认证
为避免因SN与HN之间通信暂时阻塞而导致SN无法对UE进行身份认证的问题,
ES-AKA协议实现了SN对UE的身份认证不是每次都在HN的辅助之下完成的独立认证过
程。执行中,只要SN/MME端无需重新获取新的AVh,则认证过程只需按照ES AKA协议
第二阶段的流程执行。由3.1.2章节可知,ES AKA协议第二阶段中,SN直接完成网络对
用户身份的认证,HN是不参与整个过程。
(3)抵抗重定向攻击
攻击者伪装合法UE截获本地SN1、外网SN2消息后,通过伪装本地SN1将篡改后的请
求发送至真UE即可发起重定向攻击,如图3.3所示。在ES-AKA中,UE计算并发送
VAC f K1 N 2 || SN id 至假SN。攻击者伪装UE将VAC发送至外网SN2 ,试图将网络重定向
至SN2。由于N1、N2不同,HN/HLR计算并判断 XVAC f K1 N 2 || SN id 不等于VAC,终止
认证。
攻击者
SN1,N1
SN2,N2
SN1,N2
VAC
VAC
VAC
图3.3 ES-AKA抵抗重定向攻击模型
(4)抵抗重放攻击
在ES-AKA中,UE建立以SNid为标签的RAND列表。当SN/MME再次产生有序RAND
时,UE端的相应列表清除重建,该操作何时执行由AMF域来决定。ES-AKA中,UE接
收到MI4和MII2后,查看以SNid为标签的列表中有无该RAND。若有,则认为是重放消息,
终止认证;若没有,则认为是新的请求消息,继续认证。
(5)克服密钥K泄露的隐患
LTE/SAE AKA 协议中,协议协商的密钥 KASME 由长期共享密钥 K 决定。为了克服
K 泄露带来的危害,ES-AKA 协商的密钥 KASME 由 K 和 DK 共同决定。这样,若 K 不小
心泄露,攻击者也无法获取中间密钥 KASME,从而提高了整个协议的安全性。
-22-
第三章 基于私钥密码体制的 ES-AKA 协议
3.3.2 存储空间和计算量分析
LTE/SAE AKA中,HN生成一个认证向量需要计算RAND、MAC、XRES、CK,IK、
AK、KASME和SQN⊕AK,共7次哈希运算H和1次异或运算。于是,HN/HLR计算并发送
K个认证向量到SN/MME时,SN的存储空间为608K bit,HN的计算量为 (7 H 1XOR) K 。
ES-AKA 只需 HN/HLR 计算并发送一个认证向量 AVh 到 SN/MME,SN/MME 产生
K 个 RAND 生成有效认证向量。于是,SN 的存储空间为 128K bit;HN 需要计算 RESh、
CKh、IKh、DK、KASMEh、MACh 和 N1⊕DK,共 6 次哈希运算和 1 次异或运算。可见,
ES-AKA 明显降低了 SN 存储需求和 HN 的计算量。
3.3.3 比特通信量分析
类似2.2.4中LTE/SAE AKA的分析过程,ES-AKA的比特通信量分析如下:
|MI1|=|IMSI|+|VAC|+|DK|+|服务请求|=328 (bit);
|MI2|=|MI1|+|SNid|+|N1|+|type|=712 (bit);
|MI3|=|AVh|=|AUTNh|+|RESh|+|KASMEh|= 432 (bit);
|MI4|=|RAND|+|AUTN|+|KSIASME|=243 (bit);
|MI5|=|XRES|=64 (bit);
|MII1|=|IMSI|+|VAC|+|服务请求|=200 (bit);
|MII2|=|RAND|+|AUTN|+|KSIASME|=243 (bit);
|MII3|=|XRES|=64 (bit)。
5
I
首次认证(ES-AKA-I),比特通信量 bw3 M i 1779 (bit) ;
i 1
3
后续认证(ES-AKA-II),比特通信量 bw4 M iII 507 (bit) 。
i 1
因此ES-AKA中,M次认证的比特通信量为:
M M
B M , K bw3 M bw4 (3-1)
K K
这里,K代表SN/MME批量产生随机数的数量,与每次获取认证向量组的长度相等。
图3.4为LTE/SAE AKA、文献[39]和ES-AKA不同K值(K=2和K=100)和M次认证请
求量下比特通信量的对比情况。
-23-
第三章 基于私钥密码体制的 ES-AKA 协议
6 (a)K=2
x 10
1.8
LTE/SAE AKA
1.6 文献[39]
ES-AKA
比特通信量/bit
1355000
1.4
1291000
1.2
1143000
1
0.8
0.6
600 700 800 900 1000 1100 1200
认证次数/次
5 (b)K=100
x 10
14
LTE/SAE AKA
12 文献[39]
ES-AKA 1102840
比特通信量/bit
10
8
767000
6
519720
4
2
600 700 800 900 1000 1100 1200
认证次数/次
定义不同协议的比特通信量与LTE/SAE AKA的比特通信量的比值为归一化比特通
信量。图3.5中为M=1000、K取10~300时,文献[39]和ES-AKA的归一化比特通信量情况。
仿真结果显示,文献[39]和ES-AKA同LTE/SAE AKA协议相比,比特通信量都得到了改
善,且ES-AKA的改善效果优于文献[39]。将不同K值下的归一化通信量取均值,可得文
献[39]和ES-AKA的平均归一化比特通信量分别为0.6710、0.4556,即文献[39]和ES-AKA
分别减少了约32.9%、54.44%的比特通信量。可见,ES-AKA进一步降低了比特通信量。
0.8
0.75 ES-AKA
文献 [39]
0.7
归一化比特通信量
0.65
0.6
0.55
0.5
0.45
0.4
0 50 100 150 200 250 300
K
图3.5 各协议不同K值下的归一化比特通信量
-24-
第三章 基于私钥密码体制的 ES-AKA 协议
3.4 本章小结
-25-
第四章 基于认证次数的认证向量组长度的动态选取机制
第四章 基于认证次数的认证向量组长度的动态选取机制
如何根据网络状况选取合适的认证向量组长度?当前具有代表性的选取机制主要
有三种:固定 K 值、文献[46]机制和文献[47]机制。
第一种选取机制:固定K值机制。3GPP相关协议中建议K=5,但采用固定K值方案
不能有效应对网络突变:不同用户的业务需求不同,固定K值并不适合全部用户;当选
取的K值过小,将导致SN频繁向HN请求认证向量;当选取的K值过大,将导致认证向量
组的浪费率增大。
第二种选取机制:文献[46]的选取机制。这种选取机制是基于驻留于上一个服务网
络的认证次数和K值信息,以最小消息通信量为准则,预估当前所处SN更新时的K值。
假定UE驻留在第j个SN期间,网络选取的K值为K(j),初始值K(1)=5[45](3GPP建议
值)。选取机制的具体步骤为:①获取UE驻留在第j个SN期间的UAR发生的次数M;②
当UE离开第j个SN进入第j+1个SN后,以步长1获取K值待选三值空间 K ' ( j 1) ;③以最
小消息通信量为准则—— min C ( K ' ( j 1)) ,得到K值的进一步的待选三值空间 K '' ( j 1) ;
④根据设定的数学分布及仿真结果,最终获取最佳K值为: K ( j 1) K ' ( j 1) 1 。
该选取机制成功利用泊松分布建立了分析认证向量组长度选取问题的数学模型,找
到了消息通信量与 K 的数学关系,提出了一种动态选取 K 值机制。然而,这种选取机
制存在以下四点不足:①待选 K 值的空间过小,限定了选取更新的最大 K 值:即
K ( j 1) K ( j ) 。若按照协议规定初始 K 值为 5,则执行此机制更新后的 K 5 。②满足
条件的 K 值不唯一,且未给出该情况下的选取准则。③只讨论了 UE 的 SN 发生更新时
刻的 K 值选取问题。④消息通信量 C ( K ) 采用归一化形式,没有进一步的具体量化。
第三种选取机制:文献[47]的选取机制。这种选取机制对文献[46]选取机制进行了
两点改进,是文献[46]选取机制的改进选取机制。
假定UE驻留在第j个SN期间,网络选取的K值为K(j),初始值K(1)=5[45](3GPP建议值)。
选取机制的两点改进为:①改进选取 K ( j 1) 的准则,并优化文献[46]部分操作:将选取
准则由 min C ( K ( j 1)) 改进为 min |C ( K ( j 1)) average C ( K ( j 1)) | ,同时舍弃文献[46]
-26-
第四章 基于认证次数的认证向量组长度的动态选取机制
4.2 基于认证次数的认证向量组长度动态选取机制
t i ti 1
M 1' M 2'
M T
图 4.1 基于认证次数的更新机制下的模拟网络场景
4.2.1 动态选取机制
1. 预估下一个时间 T 内的认证次数 M。
当 SN 处于切换时刻,根据切换前最后一次执行 ADR 到切换发生的认证速率 ,
预估下一个时间 T 内的认证次数 M。记切换前最后一次执行 ADR 在 ti 时刻,切换发生
在 ti 1 时刻, ti ~ ti 1 期间的认证次数为 m,则其认证速率 =m / (ti 1 ti ) 。于是,预估下
一个时间 T 内的认证次数为 M =T 。
当 UE 驻留某一 SN 时,以 T 为时间周期定期更新 K 值。如图 4.1,UE 驻留 SN r 期
间,若 HN/HLR 监测获取前一个 T 内的认证次数 M,则预估下一个 T 内的认证次数也
为 M。
开始
N 统计 N 保持统
SN是否处于 计,不更
认证次数M的时间
切换状态 新K
是否为T
Y
Y
利用当前网络认证速
率,预估时间T内的 提取统计数据:时间
认证次数M T内的认证次数M
定义约束条件,获取
K值待选集合A
利用认证次数M,结
合比特通信量和消息
结束
通信量,设计选取原
则,获得K值:K*
图4.2 基于认证次数的动态选取机制机制
2. 定义约束条件,获得选取 K 值的集合 A。
初始设定 K [1, min{M 1, K max }](K 为正整数),K max 为网络设定 K 的最高极限值。
定义两个浪费率的概念:这里 rem 代表取余数,已选定认证向量组长为 K,时间 T
内认证次数为 M。
整体浪费率 1 :表示时间 T 内或 SN 切换前最后一段不大于 T 的时间内被丢弃的认
证向量与该段时间获取的总认证向量的比值。为避免 K 的设定导致整体浪费率过高,设
定约束条件 1:要求 K 值满足 1 1 , 1 可以根据实际网络情形设定。
M
K rem
1 K (4-1)
M
K K
要求 K 值设定满足 2 2 , 2 可以根据实际网络情形设定。
M
K rem
2 K (4-2)
K
满足 2 个约束条件的 K 值构成集合 A。
3. 根据消息通信量 S ( M , K ) (见公式 2-3)和比特通信量 B( M , K ) (见公式 2-4),
以两者均衡较优为选取原则,获得下一个时间 T 的认证向量组初步长度 K * , K * A 。
① 依次取 K A ,计算对应的消息通信量 S ( M , K ) ,并按照 S ( M , K ) 从小到大的顺
序排列 K,得序列 k ' : k1' , k2' , …,klength
'
( K ) , ki A 。
'
4. 选取最佳 K 值: K new K * 。
4.2.2 仿真及性能分析
4
x 10
120 4
比特通信量/bits
消息通信量/条
100 3.5
(a)
80 3
60 2.5
0 5 10 15 20 0 5 10 15 20
K K
(a) 初始K值空间
-29-
第四章 基于认证次数的认证向量组长度的动态选取机制
4
x 10
120 4
比特通信量/bits
消息通信量/条
100 3.5
(b)
80 3
60 2.5
0 5 10 15 20 0 5 10 15 20
K K
(b) 符合约束条件的K值集合A:1 2 3 4 5 6 8 12
4
x 10
120 4
比特通信量/bits
消息通信量/条
100 3.5
(c)
80 3
60 2.5
0 5 10 15 20 0 5 10 15 20
K K
(c) 由S(M,K)和B(M,K)综合获得K*=12
图4.3 M=23时获取K*的过程演示
表4.1为时刻2本文机制与固定K值、文献[46]、文献[47]选取K值的结果情况。这里,
初始K值设为5[45]。由表可知,本文机制确实解决了K值选取结果不唯一的问题。这是因
为在第4.2.1章节部分详细介绍本文机制执行过程中,设定了“若 min D 不唯一,选取
K * k min n”,从而避免了选取K值结果不唯一的弊端。
'
表4.1 四种机制选取K值结果一览表
M new :认证次数 M’ 的所有可能值
方案
19 20 21 22 23 24 25 26 27
固定 K=5 5 5 5 5 5 5 5 5 5
文献[46] 5 5 5 5 5 5 5 5 5
文献[47] 6 6 6 6 6 6 6 6 6
本文 12 12 12 12 12 12 12 12 12
表4.2显示了时刻2本文机制与固定K值、文献[46]、文献[47]所选取K值所消耗的消
息通信量和比特通信量情况。由于固定K值、文献[46]这两种选取机制选取的K均为5,
故两者的通信量情况是一样的。
-30-
第四章 基于认证次数的认证向量组长度的动态选取机制
表4.2 四种方案预测K值下的比特通信量和消息通信量
M new :认证次数 M’ 的所有可能值
方案
19 20 21 22 23 24 25 26 27
固定 比特通信量(b) 23025 23516 27431 27922 28413 28904 29395 33310 33801
K=5 消息通信量(条) 65 68 73 76 79 82 85 90 93
文献 比特通信量(b) 23025 23516 27431 27922 28413 28904 29395 33310 33801
[46] 消息通信量(条) 65 68 73 76 79 82 85 90 93
文献 比特通信量(b) 25457 25948 26439 26930 27421 27912 32435 32926 33417
[47] 消息通信量(条) 65 68 71 74 77 80 85 88 91
比特通信量(b) 24689 25180 25671 26162 26653 27144 35315 35806 36297
本文
消息通信量(条) 61 64 67 70 73 76 81 84 87
图4.4(a)、(b)分别为四种机制消息通信量和比特通信量的对比图。结果显示:
在消息通信量方面,四种选取机制的情况为:固定K=5、文献[46]选取的K均为5,
是消耗最大的机制;其次是文献[47]机制;本文选取机制拥有最小的消息通信量。因此
可见,本文在扩大待选K值空间后,有效地减少了认证过程中消息通信量。
(a)
95
固定K=5、文献[46]
90 文献[47]
本文
85
消息通信量(条)
80
75
70
65
60
19 20 21 22 23 24 25 26 27
可能的认证量M(次)
(a) 消息通信量对比图
-31-
第四章 基于认证次数的认证向量组长度的动态选取机制
x 10
4 (b)
3.8
固定K=5、文献[46]
3.6 文献[47]
本文
3.4
比特通信量(bit)
3.2
2.8
2.6
2.4
2.2
19 20 21 22 23 24 25 26 27
可能的认证量M(次)
(b) 比特通信量对比图
图4.4 四种机制消息通信量、比特通信量对比图
4.3 基于认证次数的认证向量组长度优化动态选取机制
4.3.1 优化动态选取机制
M *
* K
K
M
* 1
K
M
Knew 1 M * K*
K
图4.5 基于认证次数的优化动态选取机制
优化的选取机制,具体如下所述:
1. 按照 4.3.1 章节所述的方法获取初步 K 值 。
2. 实时统计 T 内的实际认证次数 M ' ,优化 K * 选取认证向量组长度终值 K new 。
假定相同时间 T 内,网络允许认证次数 M 的波动范围为 :即当预估下一个 T 内
的认证次数为 M 时,实际的认证次数 M ' 的取值范围为:M ' (1 ) M , 1 M 。
利用预估值 M 获取初步值 K * 后,实时统计 M ' ,进行以下步骤:
M
① 当 M ' * K * 时,则 K new K * ;
K
M M
② 当 M ' * K * 时,判断第 * 1 次 ADR 是否发生,发生前 K new K * ;
K K
发生后按照式(4-3)更新 K 值。
M
K new (1 ) M * K * (4-3)
K
M M
需注意,这里第 * 1 次 ADR 与第 * K * 1 次 UAR 相对应。
K K
4.3.2 仿真及性能分析
表4.3 五种机制选取K值结果一览表
M new :认证次数 M’ 的所有可能值
方案
19 20 21 22 23 24 25 26 27
固定 K=5 5 5 5 5 5 5 5 5 5
文献[46] 5 5 5 5 5 5 5 5 5
文献[47] 6 6 6 6 6 6 6 6 6
本文 12 12 12 12 12 12 12 12 12
本文优化 12 12 12 12 12 12 Δ Δ Δ
图4.6(a)、
(b)分别为五种选取机制的消息通信量和比特通信量对比图。结果显示:
在消息通信量方面,优化后的本文机制依旧保持了之前最小消息通信量的特点;在比特
通信量方面,当 M ' 19, 24 时,本文优化后的选取机制与原来的结果保持一致,但在
M ' 25, 27 时,本文优化后的机制有效的减少了认证过程中的比特通信量。总结:优
化机制在保持最小消息通信量下,大幅降低了比特通信量。
-34-
第四章 基于认证次数的认证向量组长度的动态选取机制
(a)
95
固定K=5、文献[46]
90 文献[47]
本文
本文优化
消息通信量(条) 85
80
75
70
65
60
19 20 21 22 23 24 25 26 27
可能的认证量M(次)
(a) 消息通信量对比图
4
x 10 (b)
3.8
固定K=5、文献[46]
3.6 文献[47]
本文
本文优化
3.4
比特通信量(bit)
3.2
2.8
2.6
2.4
2.2
19 20 21 22 23 24 25 26 27
可能的认证量M(次)
(b) 比特通信量对比图
图4.6 五种机制的消息通信量、比特通信量对比图
为了进一步说明优化后的机制在通信量方面的优良特性,记不同机制的通信量与固
定 K=5 机制的通信量比值为归一化通信量,定义归一化消息通信量为 SR,归一化比特
通信量为 BR。从表 4.4 可见,文献[46]的归一化消息通信量 SR 和归一化比特通信量 BR
没有改善;文献[47]降低了约 1.6%的归一化比特通信量 BR,但增大了归一化消息通信
量 SR;本文机制降低了约 6.8%的归一化消息通信量 SR,但其增大了归一化比特通信量
BR;本文优化机制减少约 2.4%的归一化消息通信量 SR,降低了约 6.8%的归一化比特通
信量 BR。
-35-
第四章 基于认证次数的认证向量组长度的动态选取机制
表4.4 各选取机制的归一化消息通信量、比特通信量一览表
M new :认证次数 M’ 的所有可能值
方案
19 20 21 22 23 24 25 26 27 均值
文献 SR 1 1 1 1 1 1 1 1 1 1
[46] BR 1 1 1 1 1 1 1 1 1 1
文献 SR 1.106 1.103 0.964 0.965 0.965 0.966 1.103 0.989 0.989 1.017
SR 1.072 1.071 0.936 0.937 0.938 0.939 1.201 1.075 1.074 1.027
本文
BR 0.939 0.941 0.918 0.921 0.924 0.927 0.953 0.933 0.936 0.932
本文 SR 1.072 1.071 0.936 0.937 0.938 0.939 1.036 0.929 0.930 0.976
优化 BR 0.939 0.941 0.918 0.921 0.924 0.927 0.953 0.933 0.936 0.932
1.06
文献 [46]
1.04 文献 [47]
本文
1.02 本文优化
归一化消息通信量SR
0.98
0.96
0.94
0.92
0.9
0.88
0 10 20 30 40 50 60 70 80 90 100
认证次数 M/次
(a) 归一化消息通信量SR均值对比图
-36-
第四章 基于认证次数的认证向量组长度的动态选取机制
1.06
1.04
文献[46]
文献[47]
本文
归一化比特通信量BR
1.02
本文优化
0.98
0.96
0.94
0 10 20 30 40 50 60 70 80 90 100
认证次数M/次
(b)归一化比特通信量BR均值对比图
图4.7 不同认证次数下SR、BR均值对比图(M:8~100)
4.4 本章小结
本章详细讨论了现有认证向量组长度动态选取机制的优劣性,在以消息通信量为衡
量因子的基础上,加入了比特通信量这一衡量因子,引入浪费率概念,设计两个衡量因
子下的折中选取原则,提出了基于认证次数的动态选取方案,有效地减少了认证过程中
的消息通信量,但其局部比特通信量效果不佳;然后,针对局部比特通信量不佳的问题,
进一步提出了根据实际认证次数对认证向量组长度进行分段取值的优化方案。实验结果
显示:在保持最小消息通信量下,优化选取机制大幅降低了比特通信量。
-37-
第五章 基于认证速率的认证向量组长度的动态选取机制
第五章 基于认证速率的认证向量组长度的动态选取机制
为了建立认证速率与消息通信量和比特通信量的数学关系,结合 2.3.2 章节
LTE/SAE AKA 协议的简化流程,利用泊松分布等概率论理论,建立了协议的数学分析
模型,获得了认证速率、认证向量组长度与消息/比特通信量的数学关系。
数学模型建立的整体思路:首先,利用泊松分布,获得发生 n 次 ADR 事件的概率
(n, K , t ) ;然后,应用概率论相关理论,获得发生 n 次 ADR 事件的概率分布函数
p( n, K ) ,从而进一步获取一段时间内执行 ADR 次数的期望值 E[N ] 。再结合 2.3.1 章
节,从而得到一段时间内认证过程的消息通信量 S , , K 和比特通信量 B , , K 。
假定驻留时间 t 内,某一 UE 共执行 n 次 ADR, (n 1) K k 1 k K 次 UAR,且
认证请求速率为 。
当驻留时间内认证请求的发生服从泊松分布时,利用随机过程相关理论,这个过程
服从参数为 t 的泊松分布,于是 t 内执行 n 次 ADR 的概率 (n, K , t ) 为:
K t ( n 1) K k t
n, K , t e (5-1)
k 1 [( n 1) K k ]!
K (n 1) K k ( n 1) K k d
( n 1) K k *
f (s )
= (1) ( n 1) K k
(5-2)
k 1 [( n 1) K k ]! ds
s
K v ( n 1) K k ( n 1) K k 1 1
[1/ 2 v ( n 1) K k ]
= ( 2 j ) (1 v )
k 1 [( n 1) K k ]!
j 0 v
-38-
第五章 基于认证速率的认证向量组长度的动态选取机制
( n 1) K
K 1
E[ N ] np(n, K ) n 1 = K (5-4)
n 1 n 1
1
结合 2.2.4 章节中消息通信量和比特通信量的推导,可知,在认证请求发生与否服
从泊松分布、驻留时间为指数分布下,一段时间内的消息通信量和比特通信量分别为:
3K 2
S , , K E[ N ] 3K 2 K
(5-5)
1
384 1099 K
B , , K E[ N ] bw1 K K 1 bw2 K K
(5-6)
1
5
其中, bw1 M i 875 608 K (b) , bw2 | M 1 | | M 4 | | M 5 | 491 (b) 。
i 1
5.2 基于认证速率的认证向量组长度动态选取机制
t i ti 1 ti 2
图 5.1 基于认证速率的更新机制下的模拟网络场景
-39-
第五章 基于认证速率的认证向量组长度的动态选取机制
开始
SN N
保持统计
切换/正在执行
ADR 不更新K
Y
监控当前网络的认证
速率
利用认证速率,结合
比特通信量和消息通
结束
信量,设计选取原
则,获得K值:K*
图5.2 基于认证速率的动态选取机制
1. 监控当前网络,获取认证速率 。
认证速率 的获取方法:若 ti 时刻执行一次 ADR,ti 1 时刻发生 SN 切换或执行下一
次 ADR, ti ~ ti 1 期间的认证次数为 m,则其认证速率 =m / (ti 1 ti ) 。
2. 根据泊松分布建立的数学模型,获得消息通信量、比特通信量与认证速率 、
认证向量组长度 K 间的数学关系。
结合 5.2 中的相关数学分析可知,在认证请求发生情况服从参数为 的泊松分布、
驻留时间服从均值 1 / 的指数分布下,一段时间内执行 ADR 的期望值为公式(5-4)所
示。于是,该段时间的消息通信量和比特通信量分别为公式(5-5)和公式(5-6)所示。
3. 以消息通信量、比特通信量为衡量因子,以两者均衡较优为选取原则设计选取
原则,获取当前网络下的最优认证向量组长度 K * 。
根据公式(5-5)和公式(5-6)表示的消息通信量 S ( , , K ) 和比特通信量 B( , , K )
的数学关系表达式,设计如图 4.11 所示的折中选取原 K * 则,最终获得下一时刻更新的
最优认证向量组长度 K * 。
-40-
第五章 基于认证速率的认证向量组长度的动态选取机制
5.3 仿真及性能分析
为 了 纵 观 上 述 选 取 机 制 的 选 取 结 果 , 选 定 仿 真 条 件 : [1, 60] 、 待 选
K new {1, 2,3,..., 70} 、 =2、1、0.5、0.1、0.05、0.02,仿真结果见图 5.3。从仿真结果可
以看出:同一 下,随着 的减小,最佳 K 值整体呈递增趋势;同一 下,随着 的增
大,最佳 K 值呈阶跃式递增,且同一 K 值满足的 的区间扩大; 越小,意味驻留时间
越长;同一 下,驻留时间越长,最佳 K 值越大一些。
70
=2
=1
60
=0.5
=0.1
=0.05
50
=0.02
选取的最佳K值
40
30
20
10
0
0 10 20 30 40 50 60
图5.3 不同 下 与最优K值的关系图
-41-
第五章 基于认证速率的认证向量组长度的动态选取机制
于是,下一个更新时刻选取的向量组长度 K * 5 。
在上述例子的仿真条件( 0.5 ,1 60 )下,图 5.4 显示了文献[47]和本文机制选
取的最佳 K 值结果。从图中不难看出:在部分相同的网络认证速率 下,两种选取机制
选取的 K 值结果是不同的。表 5.1 详细列举了两种机制相同 下选取 K 值不同之处的相
关信息情况。
15
文献 [47]
10
最佳K值
0
0 10 20 30 40 50 60
15
本文
10
最佳K 值
0
0 10 20 30 40 50 60
图5.4 本文机制与现有机制K值结果图
9 12 13 18 22 23 30 31 36 45 46 52
文献[47] 5 6 6 7 8 8 9 9 10 11 11 12
K
本文 4 5 5 6 7 7 8 8 9 10 10 11
-42-
第五章 基于认证速率的认证向量组长度的动态选取机制
( [9,12,13,18,22,23,30,31,36,45,46,52] )的归一化通信量比较结果。从表中数据可知,
文献[47]的归一化消息通信量均值和归一化比特通信量均值分别为 0.9826、1.0026,即
文献[47]机制与 3GPP 协议建议机制相比,减少了约 1.74%的消息通信量,但是却增加
了约 0.26%的比特通信量;本文机制的归一化消息通信量均值和归一化比特通信量均值
分别为 0.9833、0.9978,即本文机制与 3GPP 协议建议机制相比,不仅减少了约 1.67%
的消息通信量,而且同时减少了约 0.22%的比特通信量。可见,本文算法虽不是最节省
消息通信量的机制,却能够同时减少消息通信量和比特通信量,提高了整个网络的资源
利用率。
表 5.2 各种机制归一化通信量对比结果一览表
文献[47] 本文
SR BR SR BR
9 1 1 1.0031 0.9903
12 0.9998 1.0087 1 1
13 0.9984 1.0073 1 1
5.4 本章小结
本章建立基于泊松分布的分析数学模型,模拟实际的网络场景,以消息通信量和比
特通信量为衡量因子,设计两个衡量因子下的折中选取原则,提出了基于认证速率的认
证向量组长度的动态选取机制;该机制较适用于 UE 驻留时间不稳定时,实验仿真表明,
该机制虽不能最节省消息通信量,却能够同时减少消息通信量和比特通信量,提高了整
个网络的资源利用率,为实时变化的实际网络场景提供了灵活地选取机制。
-43-
第六章 总结与展望
第六章 总结与展望
面对越来越多的新数据业务,4G 对数据安全性的要求越来越高,而用户能否安全
接入网络成为安全性能的重中之重。认证密钥协商协议是实现安全通信,保护用户、运
营商和服务提供商利益的前提和保证。只有当用户通过 AKA 协议生成安全的通信会话
密钥后,上层的加密和完整性认证才能发挥应有的功能。但 LTE/SAE AKA 仍然存在某
些安全问题,如明文传输 IMSI 标识问题、SN id 和 AVs 易被截获等问题。本论文以认
证与密钥协商协议为研究对象,在 3GPP 标准协议的基础上,建立了自己的理论分析模
型,对认证与密钥协商协议中存在的安全问题和协议中认证向量组长度的合理选取问题
做了进一步的研究,主要开展了以下几个方面的工作:
1. 根据标准 AKA 协议的执行流程,详细总结了可能存在的安全漏洞,建立协议简
化分析模型,量化协议执行的比特通信量和消息通信量,进而找到 AKA 中认证向量组
长度选取的影响因子,最终建立了本文后续章节分析问题的理论基础。
2. 针对 LTE/SAE AKA 协议易遭受重定向攻击、重放攻击、根密钥 K 泄露、SN 存
储空间需求高、HN 计算负担重等问题,利用根密钥 K 和代表性密钥 DK 共同生成中间
密钥 KASME 以防止根密钥 K 泄露带来的安全隐患,提出了一种高效安全的 ES-AKA 协议,
致力于实现双向认证和独立认证,并能够成功抵抗重定向攻击和重放攻击。仿真实验显
示:在更高的安全性能下,ES-AKA 协议降低了服务网络的存储需求和归属网络的计算
量,且减少了约 54.44%的比特通信量。
3.深刻剖析现有动态选取认证向量组长度机制的优劣性后,模拟实际的网络场景,
利用建立的认证向量组长度选取的相关理论,在以消息通信量为衡量因子的基础上,同
时加入了比特通信量这一衡量因子,分别基于认证次数、认证速率设计了认证向量组长
度的动态选取机制。基于认证次数设计的选取机制,有效减少了认证过程的消息通信量,
但其局部比特通信量效果不佳,于是提出了根据实际认证次数对 K 分段取值的优化机
制。仿真表明,优化机制在保持最小消息通信量下,大幅降低了比特通信量。基于认证
速率设计的选取机制,应用基于泊松分布建立的数学模型,设计折中选取原则,选取 K
值。仿真表明,该机制虽不是最节省消息通信量的机制,却能够同时减少消息通信量和
比特通信量。由于这两种选取机制是基于不同的参量提出的,能灵活地应对实时变化的
网络,对整个网络选取适合当前网络情形的 K 值有积极的意义。
本论文在 3GPP 标准协议的基础上,虽然对其的安全性研究做了大量工作,但尚有
不足之处需要改进和研究:
1. ES-AKA 协议如何高效的抵抗可能发生的中间人攻击、DOS 攻击等协议鲁棒性
问题有待进一步研究与验证。
2. 在同步失效、网络中断等网络异常状态下,认证向量长度的选取机制本文未作
具体的分析,期待做进一步的探究。
-44-
参考文献
参考文献
[1] Shin Jia, Hwang, Ming Jhang Chai. A New Authenticated Key Agreement Protocol for Wireless
Mobile Networks[C] Information Assurance and Security.2009.Xi'an, 2009:53-56.
[2] 刘宪国,薛红喜.一种改进的高效鲁棒的 3GPP AKA 协议[J].通信技术,2011,2(44): 87-90.
[3] 刘东苏.移动通信系统中的若干安全问题研究[D].西安:西安电子科技大学博士学位论文.2006.
[4] 陆峰,郑康锋,钮心忻,杨义先,李忠献. 3GPP 认证与密钥协商协议安全性分析[J].软件学报. 2010,
21(7): 1768-1782.
[5] Castiglione A, Cattaneo G, Maio G D, Petagna F. SECR3T: Secure End-to-End Communication over
3G Telecommunication Networks [C] Innovative Mobile and Internet Services in Ubiquitous
Computing (IMIS), Seoul, 2011: 520-526.
[6] 田明明.浅述第三代移动通信系统[J].科技信息,2009,03:474.
[7] 毛光灿.移动通信安全研究[D].重庆:西南交通大学硕士学位论文,2003.
[8] Putz S, Schmitz R. Secure interoperation between 2G and 3G mobile radio networks [C] 3G Mobile
Communication Technologies, London, 2000: 28-32.
[9] 张媛.第三代移动通信系统安全技术研究[D].黑龙江:大庆石油学院硕士学位论文,2005.
[10] 李方伟,赛洁,吴礼珍等.移动通信系统认证协议与密码技术[M].北京:人民邮电出版社,2007:77-85.
[11] 杨义先.网络安全理论与技术[M].北京:人民邮电出版社,2003:489-495.
[12] 刘富春.移动网络发展趋势分析[J].移动通信,2008,32(2):27-30.
[13] 刘巍伟,韩臻,沈昌祥.基于终端行为的可信网络连接控制方案[J].通信学报,2009,30(11):127-134.
[14] 钟伟.21 世纪第三代移动通信技术的发展模式研究[J].通信技术,2008,41(10):218-220.
[17] 李兴华.无线网络中认证及密钥协商协议的研究[D].西安:西安电子科技大学博士学位论文,2006.
[18] 唐宏斌.基于口令认证密钥协商协议设计[D].成都:电子科技大学博士学位论文.2012.
[23] 田荣明,李方伟.一种改进的密钥分配与认证协议[J].电讯技术,2004,2:68-70.
-45-
参考文献
-46-
参考文献
[42] Abdo J B, Chaouchi H, Aoude M. Ensured Confidentiality Authentication and Key Agreement
Protocol for EPS[C] Broadband Networks and Fast Internet 2012, Baabda, 2012: 73-77.
[43] Abdo J B, Demerjian J,Chaouchi H, Pujolle G. EC-AKA2 a revolutionary AKA protocol[C] Computer
Applications Technology (ICCAT), 2013, Sousse, 2013: 1-6.
[44] Hamandi K, Sarji I, Chehab A, Elhajj I H, Kayssi A. Privacy Enhanced and Computationally Efficient
HSK-AKA LTE Scheme[C] Advanced Information Networking and Applications Workshops
(WAINA) 2013. Barcelona, 2013: 929-934.
[45] 3GPP TS 29.002. Mobile Application Part (MAP) specification (Release 12) [S].2014:112.
[46] Lin Yibing, Chen Yuankai. Reducing authentication signaling traffic in third generation mobile
network[J] IEEE Transactions on Wireless Communications, 2003, 2(3): 493-501.
[47] AL-Saraireh J, Yousef S. Analyses Authentication and Key Agreement (AKA) Protocol for UMTS
Mobile Networks[C] MCWC 2006. Amman, 2006: 27-31.
[48] Yan Zhang, Fujise M. An improvement for authentication protocol in third-generation wireless
networks[J]. IEEE Transactions on Wireless Communications, 2006, 5(9): 2348-2352.
[49] Zhang Yan, Zhou Mingtuo, Xiao Shaoqiu, et al. A Study on Evaluating Authentication Traffics in the
Next Generation Wireless Networks[C] ICC 2006. Istanbul, 2006:5517-5521.
[50] Lin-Yi Wu, Yi-Bing Lin. Authentication vector management for UMTS [J] IEEE Transations on
Wireless Communications, 2007,6(11): 4101-4107.
[51] Zhang Yan. Authentication Overhead in Wireless Networks[C] ICC 2008.Beijing,2008:1505-1509
[52] Wang Meng, Georgiades M, Tafazolli R. Signaling Cost Evaluation of Mobility Management
Schemes for Different Core Network Architectural Arrangements in 3GPP LTE/SAE[C] VTC
2008-Spring. Singapore, 2008:2253-2258.
[53] Caragata D, El Assad S, Shoniregun C, Akmayeva G. UMTS Security: Enhancement of Identification,
Authentication and Key Agreement Protocols[C] Internet Technology and Secured Transactions
(ICITST), Abu Dhabi, 2011:278-282.
[54] Abdo Jacques Bou, Demerjian Jacques, Ahmad Kassem, Chaouchi Hakima, Pujolle Guy. EPS mutual
authentication and Crypt-analyzing SPAKA[C] Computing Management and Telecommunications
(ComManTel), 2013, Vietnam,2013:303-308.
[55] 施志勇,刘治生,胡中豫,马大玮. TD-SCDMA 通信网络安全中的 AKA 机制研究[J].通信技
术.2008,4(41):62-64.
[56] 刘佳潇. 3G 中 AKA 协议改进和密码算法设计[D].郑州:解放军信息工程大学硕士学位论文.2007.
[57] Xiankun Zheng, Changjiang Liu. An improved Authentication and Key Agreement Protocol of
3G[C]// Education Technology and Computer Science (ETCS), 2009. Wuhan, 2009, 2: 733-737.
[58] Haitao Li, Shize Guo, Kangfeng Zheng, Zhe Chen, Jun Cui, Xingyao Wu. Improved Adoptable
Scheme for Authentication and Key Agreement[C] Management and Service Science (MASS), 2009.
Wuhan, 2009:1-4.
-47-
参考文献
[59] 汪小芬.认证密钥协商协议的研究[D].西安:西安电子科技大学博士学位论文.2007.
[60] 王莉.3G 移动通信安全性研究与改进[D].北京:北京邮电大学硕士学位论文.2012.
[61] 李继国,曹珍,李建中,张亦辰.代理签名的现状与进展[J].通信学报,2003,24(10):114-124.
[62] 倪亮.关于认证密钥协商协议若干问题的研究[D].上海:上海交通大学博士学位论文.2012.
[63] Elkamchouchi H M, Abu Elkair E F. An Efficient Protocol For Authenticated Key Agreement[C]
Radio Science Conference (NRSC), 2011, Cairo, 2011:1-7.
[64] Bouabidi I E, Daly I, Zarai F. Secure handoff protocol in 3GPP LTE networks[C] Communications
and Networking (ComNet), Hammamet, 2012:1-6.
[65] 刘潇,刘巍然,李为宇.一种改进的动态口令生成算法及重同步方案[J].计算机研究与发展. 2012,
49(12): 2611-2618.
[66] 杨鹏,张小勇,陈超,龙文祥. WCDMA 网络二次鉴权同步失败问题研究[J].电信技术.2012,10:65-68.
[67] Dongfang Zhang, Ru Zhang, Xinxin Niu, Yixian Yang, Zhentao Zhang. A New Authentication and
Key Agreement Protocol of 3G based on Diffie-Hellman Algorithm[C] Computer Engineering and
Technology (ICCET), 2010, Chengdu,2010,2:110-113.
[68] Caimu Tang, Wu D O. An Efficient Mobile Authentication Scheme for Wireless Networks[J] IEEE
Transactions on Wireless Communications, 2008,7(4):1408-1416.
[69] Cheng Chi Lee, Chin Ling Chen, Hsia Hung Ou, Lung Albert Chen. Extension of an Efficient 3GPP
Authentication and Key Agreement Protocol[J]. Wireless Personal Communications,2013,
68:861–872.
[70] Avarzaman M M, Salahi A. Increasing Performance of Authentication in Universal Mobile
Telecommunication System[C] Application of Information and Communication Technologies(AICT),
2009:1-5.
[71] 3GPP TS 33.401. Security architecture(Release 12)[S].2014:19-23.
[72] 张沛,陈婉莹,王鑫. TD-SCDMA 与 TD-LTE 安全机制的分析和比较[J].移动通信,2012,7:28-33.
[73] 刘锋.第三代移动通信系统中认证和密钥协商协议的应用研究[D].重庆:重庆大学硕士学位论
文.2005.
[74] 3GPP TS 35.205. 3G Security, An example algorithm set for the 3GPP authentication and key
generation functions f1,f1*,f2,f3,f4,f5 and f5* (Release 11)[S].2012.
[75] 3GPP TS 33.102. Security architecture(Release 12)[S].2014:19-29.
-48-
发表论文和科研情况说明
发表论文和科研情况说明
发表的论文:
发明专利:
[1] 白媛,王倩,贾其兰.一种认证向量组长度的动态选取方法,发明专利,申请
号:CN201410322705.5,公开号:CN104066087A。
[2] 白媛,贾其兰,王倩,张会兵.一种基于预警机制自适应选择协议抵抗重放攻击
的方法,发明专利,申请号:CN201410540272.0,公开号:CN104270378A。
参与的科研项目:
[1] 天津市科技创新专项资金资助项目(10FDZDGX00400):新一代移动通信
网络覆盖关键技术研发及示范应用。
[2] 国家自然科学基金(61272450):下一代互联网 DDoS 防御关键技术研究。
[3] 广西可信软件重点实验室研究课题资助项目(kx201332):泛在网可信路由
关键技术的研究。
-49-
致谢
致 谢
在论文即将完成之际,谨此向我的导师白媛副教授致以崇高的敬意和衷心的感谢!
本论文是在白老师的指导下完成的。白老师深厚的学术造诣、严谨的治学风格、严肃的
科学态度、宽容的待人风范、敏锐的洞察力深深地感染和激励着我,在此诚挚地感谢白
老师两年半来对我的谆谆指导。
在这两年半的硕士生活中,导师不仅为我创造了良好的科研及学习环境,使我在移
动通信领域中能够自由翱翔,同时在工作上、思想上、意志品质和人生态度方面对我循
循善诱,这些教诲时刻激励着我,使我牢记在今后的人生道路上勇往直前。
感谢马秀荣教授、马社祥教授、白育堃副教授等诸位老师在我撰写与修正论文方面
的指导和帮助。几位老师严谨的科研作风、认真的工作态度、丰富的科研经验给予了我
极大的帮助,在此非常感谢几位老师对本论文提出的宝贵建议和意见!
感谢课题组成员贾其兰、丁兆彩、史清响、高培方、王肖、王松、徐宇俊等硕士研
究生在生活及学习上的帮助!
感谢郝瑞敏、臧守明、谢玉凤、陈冰雪、单云龙、彭丹丹、梁裕卿等诸位师弟师妹
对我的支持与鼓励!
感谢我的室友贾其兰硕士、刘慧莹硕士、申婷婷硕士,感谢她们在生活上对我的照
顾,她们创新性的研究开拓了我的视野。
感谢天津理工大学计算机与通信工程学院 12 级通信研究生班的全体同学陪我一起
走过这段人生难忘的历程!
感谢本文引用文献的作者们,他们的文章给予我许多启示,帮助我顺利完成本论文!
感谢我的家人及亲朋好友的关心、支持和鼓励!
感谢岁月与困难对我的磨砺!
因时间仓促,水平有限,文中难免存在不足之处,在此恳请多予指正。
王 倩
2015 年 2 月于天津理工大学
-50-