摘要：本文提出一種基于橢圓曲線密碼體制的3G認(rèn)證協(xié)議。該方案不需要使用數(shù)字證書作為系統(tǒng)公鑰，VLR在不需要HLR的支持下實現(xiàn)VLR和ME的雙向認(rèn)證，并防止了對ME的非法追蹤和偽基站攻擊。同時，本方案減少了ME的數(shù)據(jù)傳輸量和在線計算量。

關(guān)鍵詞：3G認(rèn)證，公鑰密碼體制，橢圓曲線密碼體制

中圖分類號：TP309文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2008)14-20823-01

1 引言

第三代移動通信（3G）系統(tǒng)中所提供的業(yè)務(wù)除了傳統(tǒng)的語音業(yè)務(wù)外，還包括多媒體業(yè)務(wù)、數(shù)據(jù)業(yè)務(wù)，以及電子商務(wù)、電子貿(mào)易和互聯(lián)網(wǎng)服務(wù)的多種信息業(yè)務(wù)。這些業(yè)務(wù)的開展對系統(tǒng)的安全性提出了更高的要求。

國際組織3GPP提出了一系列的安全規(guī)范，但由于安全協(xié)議和密碼體制方面的原因，系統(tǒng)的安全和性能存在如下缺陷[1-3]：AKA協(xié)議容易泄漏IMSI（國際移動用戶標(biāo)識）而使用戶被追蹤或遭受偽基站攻擊；VLR（訪問位置寄存器）和HLR（歸屬位置寄存器）之間的有線通信鏈路缺乏有效的保護(hù)；當(dāng)用戶漫游至異地網(wǎng)絡(luò)時，VLR和用戶歸屬的HLR相距遙遠(yuǎn)，認(rèn)證向量的傳輸將增加網(wǎng)絡(luò)負(fù)載。

傳統(tǒng)的對稱密碼體制的認(rèn)證方案增加了密鑰管理的復(fù)雜性，目前基于公鑰體制的認(rèn)證方法得到越來越多的研究。已經(jīng)提出了多種為移動網(wǎng)絡(luò)設(shè)計的公鑰認(rèn)證協(xié)議：MSR +DH、Siemens、KPN、Boyd-Park、BCY協(xié)議和SPAKA協(xié)議[4-7]。但這些協(xié)議需要公鑰CA的支持，管理存在問題，另外，計算量和通信量比較大，增加了系統(tǒng)的負(fù)荷。

本文提出一種基于橢圓曲線密碼體制的3G認(rèn)證協(xié)議。不像傳統(tǒng)公鑰基礎(chǔ)設(shè)施（PKI）那樣要求用戶使用數(shù)字證書作為用戶的公鑰，這樣可以簡化系統(tǒng)管理；并防止了對ME的非法追蹤和偽基站攻擊。同時，VLR在不需要HLR的支持下實現(xiàn)VLR對ME的驗證，本方案還減少了系統(tǒng)的數(shù)據(jù)傳輸量和在線計算量。

2 認(rèn)證過程

系統(tǒng)輸入為安全參數(shù)λ∈Z+，類似文[8]利用BDH參數(shù)生成器IG算法生成加法群G1、乘法群G2和雙線性映射；選擇Hash函數(shù)H和h，輸出公共參數(shù)params = {q，G1，G2，，n，P，H，h}。

系統(tǒng)隨機(jī)選取主密鑰s∈Zq*。然后驗證ME的身份標(biāo)識IMSI，系統(tǒng)利用公共參數(shù)params和主密鑰，計算ME的私鑰SMB=sH(LMSI)H(IDHLR)。系統(tǒng)將主密鑰s秘密保存，將SMB，IDHLR(ME歸屬的HLR的網(wǎng)絡(luò)標(biāo)識號)和IMSI 寫入用戶的SIM卡。

(1)ME->VLR：ME首先選取一個r∈Zq*，計算w=(rSMB，QVLR)，其中QVLR=H(IDVLR)，計算c1=rH(IMSI)和h(w)，把c1，h(w)，IDHLR發(fā)送給VLR。

(2)VLR->ME：VLR計算w'=(c1，SVLRH(IDHLR))，其中SVLR=sH(IDVLR)為系統(tǒng)分配給VLR的私鑰，驗證等式h(w)=h(w')是否成立，如果成立，則通過ME的驗證，把w'發(fā)送給ME。

(3)ME：驗證等式h(w)=h(w')是否成立，如果成立，則通過對VLR的驗證。

經(jīng)過上面三個步驟，ME和VLR之間就可以完成雙向的驗證了。

證明：

因此h(w')=h(w)，證明完畢。

3 方案的安全性和效率分析

本方案基于雙線性的Diffie-Hellman問題計算困難性和Hash函數(shù)的安全性假設(shè)。只有攻擊者獲得ME的私鑰SME或者VLR的私鑰SVLR，方案才能被攻破。

(1)在上述方案中，攻擊者M(jìn)E，欲利用自己的SMB=sH(IMSI)H(IDHLR)獲取系統(tǒng)的主密鑰s，也將面臨求解離散對數(shù)問題。也不可能從公開信息params和傳送的消息獲取系統(tǒng)的主密鑰或 的私鑰SVLR=sH(IDVLR)。

(2)攻擊者M(jìn)E'不能偽造和假冒ME來進(jìn)行驗證。為了假扮ME，先選取一個r∈Zq*，計算c1=rH(IMSI')，然后計算滿足h((rSMB，QVLR))=h((c1，SVLR))的等式。由于ME'沒有私鑰SMB和SVLR，難以計算出滿足這個等式的參數(shù)，因而不能實現(xiàn)假冒攻擊。

(3)攻擊者同樣不能偽造和假冒VLR來進(jìn)行驗證，因為在不知道SVLR的情況下，無法構(gòu)造w'=(c1，SVLRH(IDHLR))=(c1，SVLRH(IDHLR))，所以無法實現(xiàn)攻擊。

(4)本方案中，由于ME的IMSI是存放在ME的SIM卡中的，所以得到了保密，防止了對ME的非法追蹤和偽基站攻擊。

(5)本方案由于不需要公鑰證書CA的支持，系統(tǒng)的效率和管理是非常簡單的，而且ME和VLR的驗證過程各只需要進(jìn)行1次的橢圓對運(yùn)算和1次hash運(yùn)算，并且在驗證的過程中，不需要和HLR進(jìn)行通信，所以方案的計算量和通信量得到很大的減少。

4 總結(jié)

本文研究了一種基于橢圓曲線密碼體制的3G認(rèn)證協(xié)議方案，在該方案中，不需要使用CA證書，簡化了系統(tǒng)的管理；實現(xiàn)了ME和VLR的雙向認(rèn)證；并且方案的計算量和通信量是非常少的，可以很好地應(yīng)用于3G網(wǎng)絡(luò)移動終端。但該方案只是涉及ME和VLR的認(rèn)證，對于認(rèn)證后的會話密鑰的設(shè)定，以及通信監(jiān)控都沒有涉及，這些將是我以后的工作。

參考文獻(xiàn)：

[1] Min L.， Hai Bi，Zhengjin F.. Security architecture and mechanism of third generation mobile communication[A].In:Proceedings of IEEE Conference on Computers，Communications，Control and Power Engineering，Beijing，China，2002，813-816.

[2] Kambourakis Georgios，Rouskas Angelos.Performance evaluation of public key based Authentication in future mobile communication systems[J].EURASIP Journal on Wireless Comm. and Networking，2004，1(1):184-197.

[3] Lin Yi Bing，Chen Yuan Kai.Reducing authentication signaling traffic in third generation mobile network[J].IEEE Transactions on Wireless Communications，2003，2(3):493-501.

[4] Beller M.J.， Chang L. F.， Yacobi Y.. Privacy and authentication on a portable communications system[J]. IEEE Journal on Selected Areas in Communications，1993，11(6):821-829.

[5] Putz S.， Schmitz R.， Tonsing F.. Authentication schemes for third generation mobile radio systems[A].In:Proceedings of the 9th IEEE International Symposium on Personal，Indoor and Mobile Radio Communications，Boston，1998，126-130.

[6] El-Fishway N.， Tadros A.. On the design of authentication protocols for third generation mobile communication systems[A]. In: Proceedings of the 20th National Radio Science Conference，Cairo Egypt，2003: C24_1-C24_10.

[7] Zheng Yu，He Da Ke，Mei Qi Xiang，On the Fly Authentication Scheme Based on Self-Certified Public-Key for 3G Mobile Communication Systems[J]. Chinese Journal of Computers，2005，28(8):1327-1332.

[8] D. Boneh，M. Franklin. Identity-based encryption from the Weil paring in advance[A]. Cryptology-Crypto 2001[C]. Germany: Springer-Verlag 2001.LNCS 2139， 213-229.

注：本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文