韓　挺　中國(guó)信息通信研究院安全研究所工程師孟照麗　中國(guó)信息通信研究院安全研究所助理工程師

?

WLAN-4G融合認(rèn)證協(xié)議的安全性研究

韓挺中國(guó)信息通信研究院安全研究所工程師
孟照麗中國(guó)信息通信研究院安全研究所助理工程師

摘要：EAP-AKA是3GPP定義的多網(wǎng)絡(luò)融合認(rèn)證協(xié)議，其在WLAN-4G融合網(wǎng)絡(luò)中被采用。本文在對(duì)該協(xié)議的認(rèn)證流程進(jìn)行分析和研究的基礎(chǔ)上對(duì)其安全性和缺陷進(jìn)行了分析，并對(duì)改進(jìn)的EAP-AKA協(xié)議進(jìn)行了研究和分析以保證WLAN-4G融合網(wǎng)絡(luò)的認(rèn)證安全。

關(guān)鍵詞：WLAN-4G融合；EAP-AKA；安全認(rèn)證

1　引言

隨著4G網(wǎng)絡(luò)在我國(guó)廣泛的建設(shè)，4G網(wǎng)絡(luò)的覆蓋率和用戶(hù)也日益增長(zhǎng)，越來(lái)越多的人們享受到了4G網(wǎng)絡(luò)帶來(lái)的快速和便捷。與4G同屬寬帶無(wú)線接入技術(shù)的WLAN以其低成本、高速率、可實(shí)現(xiàn)快速部署等優(yōu)勢(shì)，不僅成為電信運(yùn)營(yíng)商融合組網(wǎng)的重要技術(shù)，而且在政府和企業(yè)信息化領(lǐng)域以及家庭和個(gè)人市場(chǎng)占有一席之地。所以，將WLAN和4G網(wǎng)絡(luò)進(jìn)行融合互聯(lián)將起到優(yōu)勢(shì)互補(bǔ)共同發(fā)展的作用。第三代合作伙伴技術(shù)（3GPP）組織針對(duì)4G與WLAN網(wǎng)絡(luò)融合接入提出了相應(yīng)的標(biāo)準(zhǔn)方案，其中為了實(shí)現(xiàn)融合接入的安全采用了可擴(kuò)展認(rèn)證和密鑰協(xié)商協(xié)議（Extensible Authentication Protocol- AuthenticationandKeyAgreement，EAP-AKA）。EAP-AKA協(xié)議是4G與WLAN融合互連的認(rèn)證和密鑰分配協(xié)議，是保證其安全的基礎(chǔ)。另外，EAP-AKA協(xié)議也被廣泛采用于WLAN-3G等其他多網(wǎng)絡(luò)融合認(rèn)證中，因此可見(jiàn)EAP-AKA協(xié)議涉及到多種網(wǎng)絡(luò)融合認(rèn)證的安全性。

本文首先介紹了WLAN- 4G融合認(rèn)證協(xié)議EAP-AKA，其次對(duì)EAP-AKA協(xié)議的安全性進(jìn)行了分析，最后對(duì)改進(jìn)EAP-AKA協(xié)議也進(jìn)行了分析。

2　WLAN-4G融合認(rèn)證協(xié)議

WLAN-4G的最優(yōu)融合就是把兩張網(wǎng)絡(luò)合為一張，用戶(hù)無(wú)需感知是何種網(wǎng)絡(luò)，卻擁有一樣的業(yè)務(wù)體驗(yàn)。為此，3GPP組織在3GPP R8中提出了WLAN融合接入4G網(wǎng)絡(luò)的非可信接入方案；在3GPP R11中，提出了WLAN融合接入4G的可信接入方案。較之可信接入，非可信接入的最大區(qū)別就是建立了終端與網(wǎng)絡(luò)間的IPSec隧道。WLAN-4G融合網(wǎng)絡(luò)架構(gòu)圖如圖1所示。

為了保證WLAN-4G網(wǎng)絡(luò)融合時(shí)不同網(wǎng)絡(luò)之間能夠進(jìn)行有效的認(rèn)證，3GPP組織規(guī)定采用EAP-AKA協(xié)議作為WLAN-4G網(wǎng)絡(luò)融合的認(rèn)證協(xié)議。EAP-AKA協(xié)議的實(shí)現(xiàn)由UE（接入WLAN網(wǎng)絡(luò)的終端）、WLAN-AN（WLAN網(wǎng)絡(luò)的拜訪網(wǎng)絡(luò)）、3GPPAAA服務(wù)器和HSS來(lái)完成。為了能夠更有效地說(shuō)明EAP-AKA的協(xié)議流程，在此設(shè)Algorithm 1用于產(chǎn)生消息認(rèn)證碼，Algorithm 2用于消息認(rèn)證中計(jì)算期望響應(yīng)值，Algorithm 3用于產(chǎn)生加密密鑰，Algorithm 4用于產(chǎn)生完整性密鑰，Algorithm 5用于產(chǎn)生匿名密鑰。EAP- AKA協(xié)議在交互過(guò)程中各個(gè)消息為UE→WLAN-AN：NAI（網(wǎng)絡(luò)接入標(biāo)志，包含UE的臨時(shí)標(biāo)志）；WLAN- AN→3GPP AAA：NAI；3GPP AAA→WLAN-AN：RAND（隨機(jī)數(shù)）、AUTH、UE的臨時(shí)標(biāo)志、消息鑒別碼；WLAN-AN→UE：RAND、AUTH、UE的臨時(shí)標(biāo)志、消息鑒別碼；WLAN-UE→WLAN-AN：RES、消息鑒別碼；WLAN-AN→3GPPAAA：RES、消息鑒別碼；3GPP AAA→WLAN- AN：UE的認(rèn)證結(jié)果、WLAN-AN與UE的共享密鑰；WLAN-AN→UE：UE的認(rèn)證結(jié)果。

下面對(duì)協(xié)議進(jìn)行詳細(xì)的描述，協(xié)議流程示意圖如圖2所示，由圖可見(jiàn)：

第一步：WLAN-AN向UE發(fā)送一個(gè)EAP請(qǐng)求身份標(biāo)志的消息。

圖1　WLAN-4G融合網(wǎng)絡(luò)架構(gòu)圖

圖2　EAP-AKA協(xié)議流程示意圖

第二步：收到消息后，UE向WLAN-AN發(fā)送EAP回應(yīng)身份標(biāo)志消息，該消息攜帶NAI身份標(biāo)志。

第三步：WLANAN將收到的EAP回應(yīng)身份標(biāo)志消息發(fā)送給3GPPAAA服務(wù)器。

第四步：收到UE的身份標(biāo)志后，3GPP AAA首先在HSS處查詢(xún)?cè)揢E是否具有權(quán)限使用該WLAN網(wǎng)絡(luò)，其次從HSS中取得與UE相關(guān)的認(rèn)證向量AV并獲得與該UE的IMSI對(duì)應(yīng)的新的臨時(shí)標(biāo)志，其中AV = RAND || XRES || CK || IK || AUTH，XRES = Algorithm 2（RAND），CK = Algorithm 3（RAND），IK = Algorithm 4（RAND），AUTN = SQN⊕AK || AMF || MAC，SQN為序列號(hào)，AK = Algorithm 5（RAND），AMF為認(rèn)證管理域，MAC = Algorithm 1（SON || RAND || AMF）。3GPPAAA再次從IK和CK中生成共享密鑰并構(gòu)造EAP請(qǐng)求/AKA挑戰(zhàn)消息，消息包含RAND、AUTH、臨時(shí)標(biāo)志，并計(jì)算消息鑒別碼。3GPP AAA最后將EAP請(qǐng)求/AKA挑戰(zhàn)消息發(fā)送給WLAN-AN。

第五步：WLAN-AN將收到的EAP請(qǐng)求/AKA挑戰(zhàn)消息發(fā)送給UE。

第六步：UE首先驗(yàn)證AUTH并確認(rèn)接收的序列號(hào)SQN是否在有效范圍內(nèi)，若正確則實(shí)現(xiàn)了對(duì)4G網(wǎng)絡(luò)的認(rèn)證。從IK和CK中生成共享密鑰以驗(yàn)證消息鑒別碼是否正確并保存收到的臨時(shí)標(biāo)志。計(jì)算RES =Algorithm 2（RAND）并結(jié)合RES構(gòu)造EAP回應(yīng)/AKA挑戰(zhàn)消息，同時(shí)計(jì)算消息鑒別碼。最后，將EAP回應(yīng)/AKA挑戰(zhàn)消息發(fā)送給WLAN-AN。

第七步：WLAN-AN將收到的EAP回應(yīng)/AKA挑戰(zhàn)消息發(fā)送給3GPPAAA服務(wù)器。

第八步：3GPPAAA首先驗(yàn)證消息鑒別碼，然后計(jì)算XRES，并與收到的RES進(jìn)行比較。若正確則UE身份通過(guò)認(rèn)證，并向WLAN-AN發(fā)送EAP認(rèn)證成功的消息。同時(shí)，發(fā)送WLAN通信中用于機(jī)密性和一致性保護(hù)的共享密鑰。

第九步：WLAN-AN保存共享密鑰，此共享密鑰將用于與UE通信時(shí)的機(jī)密性和一致性保護(hù)，同時(shí)將EAP認(rèn)證成功的消息發(fā)送給UE。

WLAN和4G網(wǎng)絡(luò)通過(guò)EAP-AKA協(xié)議實(shí)現(xiàn)了WLAN網(wǎng)絡(luò)的終端UE同4G網(wǎng)絡(luò)之間的雙向認(rèn)證，并且在終端UE和WLAN網(wǎng)絡(luò)之間共享了會(huì)話密鑰以實(shí)現(xiàn)兩者之間的加密傳輸和一致性驗(yàn)證。

3　EAP-AKA協(xié)議安全性分析

EAP-AKA協(xié)議是在UE和HSS之間共享一個(gè)密鑰從而實(shí)現(xiàn)UE與4G網(wǎng)絡(luò)的雙向認(rèn)證和密鑰分配。該協(xié)議能夠?yàn)閃LAN-4G融合認(rèn)證提供如下安全保障：

（1）提供UE和4G網(wǎng)絡(luò)之間的雙向認(rèn)證。

（2）實(shí)現(xiàn)UE與WLAN-AN網(wǎng)絡(luò)之間共享密鑰，從而保證回話密鑰不在無(wú)線信道中傳輸。

（3）在EAP-AKA協(xié)議的每次認(rèn)證過(guò)程中，UE和WLAN-AN共享的回話密鑰由CK和IK生成，由于CK 和IK是由隨機(jī)數(shù)RAND計(jì)算得出，從而能保證密鑰的新鮮性。

（4）EAP-AKA協(xié)議能夠有效地防止密鑰協(xié)商中的重放攻擊。協(xié)議傳遞的消息使用了隨機(jī)數(shù)和遞增的序列號(hào)SQN作為輸入，保證了消息的新鮮性，惡意攻擊者都無(wú)法利用原有的消息發(fā)起重放攻擊。

經(jīng)過(guò)大量的實(shí)踐和研究發(fā)現(xiàn)，EAP-AKA認(rèn)證存在以下一些漏洞和不足：

（1）認(rèn)證流程需要多次請(qǐng)求和響應(yīng)交互，造成認(rèn)證時(shí)延較大。

（2）由于不同的運(yùn)營(yíng)商可能擁有不同無(wú)線接入設(shè)備，這就要求額外的信任管理功能。

（3）無(wú)秘密密鑰更新機(jī)制：EAP-AKA協(xié)議沒(méi)有用戶(hù)UE與3G網(wǎng)絡(luò)之間共享的秘密密鑰K的更新機(jī)制，這可能會(huì)導(dǎo)致UIM克隆攻擊。

（4）中間人攻擊：AP永遠(yuǎn)不需要認(rèn)證，可能造成假冒AP進(jìn)行中間人攻擊。如果攻擊者首先利用某種方式（如DoS）攻陷WLAN-AP，然后假冒成WLAN-AP，則可以獲取UE中的會(huì)話密鑰，這樣就使得UE的通信失去了保密性?；蛘?，攻擊者對(duì)HSS與3GPPAAA服務(wù)器之間的信息進(jìn)行竊聽(tīng)，則可能獲得HSS傳給AAA服務(wù)器的認(rèn)證向量AV。通過(guò)該向量可以獲得CK與IK。攻擊者再假冒用戶(hù)入網(wǎng)，同樣可實(shí)現(xiàn)正常的保密通信。

（5）當(dāng)用戶(hù)UE首次進(jìn)行認(rèn)證或4G網(wǎng)絡(luò)不認(rèn)識(shí)WLAN用戶(hù)的臨時(shí)標(biāo)志時(shí)，WLAN用戶(hù)需以明文傳送IMSI。攻擊者可以截取使用明文傳輸?shù)腎MSI，從而導(dǎo)致用戶(hù)身份的機(jī)密性受到威脅。

（6）EAP-AKA不支持加密套件協(xié)商和認(rèn)證協(xié)議版本的協(xié)商，限制了該協(xié)議的靈活性和可擴(kuò)展性。

（7）EAP-AKA基于對(duì)稱(chēng)加密體制，不支持非對(duì)稱(chēng)加密體制及基于證書(shū)鑒別的接入認(rèn)證。

4　EAP-AKA協(xié)議安全改進(jìn)

對(duì)于EAP- AKA協(xié)議中的冒名網(wǎng)絡(luò)攻擊，在RFC5448中提出了將網(wǎng)絡(luò)名也加入驗(yàn)證的方案，該方案將網(wǎng)絡(luò)名同密鑰一并發(fā)送驗(yàn)證從而判斷其是否為冒名網(wǎng)絡(luò)。對(duì)于EAP-AKA協(xié)議缺乏主密鑰更新機(jī)制和明文傳送IMSI的潛在漏洞，可以通過(guò)共享密鑰來(lái)解決。參考文獻(xiàn)［5］中給出的EAP-AKA協(xié)議的改進(jìn)方案為基于UE與WLAN-AN之間的共享密鑰，實(shí)現(xiàn)了對(duì)WLAN-AN的認(rèn)證，并對(duì)3GPP AAA服務(wù)器傳送的共享密鑰進(jìn)行了安全處理，從而有效地防止了WLAN-AN假冒攻擊與WLAN-UE假冒攻擊。在該改進(jìn)方案中，在WLAN-AN同3GPP AAA交互中，3GPP AAA服務(wù)器秘密選擇一個(gè)隨機(jī)數(shù)r，然后用與UE共享的秘密密鑰K加密r，將密文EK（r）隨同其他消息一起發(fā)送給WLAN-AN。在WLAN-AN與UE的交互中，UE將EK（r）解密，得到r然后用于WLAN-AN共享的秘密密鑰K'加密，將密文EK'（r）發(fā)送給WLAN-AN。在WLAN-AN與3GPPAAA第二次交互時(shí)，WLAN-AN將E K'（r）解密，得到r，然后計(jì)算h（r）并將其同別的消息發(fā)送給3GPPAAA服務(wù)器。3GPPAAA服務(wù)器驗(yàn)證h（r），證明WLAN-AN的合法性，然后用r加密WLAN-AN與UE之間的共享密鑰，將密文隨同其他消息一起發(fā)送給WLAN-AN。最后，WLAN-AN將共享密鑰解密出來(lái)，從而可以得到會(huì)話密鑰。

但是，上述方案仍然存在一定的缺陷，RFC5448中缺少密鑰更新機(jī)制，而參考文獻(xiàn)［5］中的方案要求每個(gè)UE在與WLAN-AN入網(wǎng)連接時(shí)都需要預(yù)設(shè)共享密鑰，這對(duì)于需要具有用戶(hù)量大且穩(wěn)定性強(qiáng)的WLAN來(lái)講增加了大量的共享密鑰的管理和更新開(kāi)銷(xiāo)。另外，上述方案并沒(méi)有解決EAP-AKA協(xié)議中另外一個(gè)重要的問(wèn)題，即UE的IMSI明文發(fā)送問(wèn)題。

針對(duì)上述方案中存在的問(wèn)題，需要減少密鑰更新的次數(shù)并加密保護(hù)UE的IMSI信息。隨著4G網(wǎng)絡(luò)和終端的運(yùn)算能力的增加，采用公鑰方法在4G網(wǎng)絡(luò)和WLAN網(wǎng)絡(luò)融合中進(jìn)行認(rèn)證成為可能。參考文獻(xiàn)［8］采用公鑰機(jī)制解決EAP-AKA協(xié)議中存在的不足，在WLAN-AN和4G網(wǎng)絡(luò)端之間實(shí)現(xiàn)密鑰共享，由于WLAN-AN相對(duì)于UE來(lái)說(shuō)數(shù)量要小許多，因此能夠有效地減少密鑰更新帶來(lái)的開(kāi)銷(xiāo)。另外，參考文獻(xiàn)［8］為了解決IMSI公開(kāi)明文傳輸?shù)膯?wèn)題，建議可以先從NAI中提取出4G網(wǎng)絡(luò)端的地址（用于將加密后的NAI發(fā)給正確的4G網(wǎng)絡(luò)），再用與4G網(wǎng)絡(luò)的共享密鑰加密NAI，然后將加密后的NAI通過(guò)WLAN-AN發(fā)給4G網(wǎng)絡(luò)。這樣就對(duì)IMSI進(jìn)行了機(jī)密保護(hù)，避免了用戶(hù)身份信息的泄露。

采用公鑰機(jī)制改進(jìn)EAP-AKA協(xié)議主要是在EAP-AKA協(xié)議交互流程中做出如下修改：

（1）在原有流程的第二步中UE從NAI中提取出4G網(wǎng)絡(luò)的地址，然后將該地址和UE產(chǎn)生的隨機(jī)數(shù)RANDue利用會(huì)話密鑰K計(jì)算得出密文EK （RANDue||NAI）并發(fā)給WLAN-AN。

（2）在原有流程第三步中WLAN-AN產(chǎn)生隨機(jī)消息Man和隨機(jī)數(shù)RANDan，之后生成密文EK （RANDan||Man），最后同EK（RANDue||NAI）發(fā)送給4G網(wǎng)絡(luò)。4G網(wǎng)絡(luò)接收到這兩個(gè)密文后對(duì)這兩個(gè)密文進(jìn)行解密，從而認(rèn)證WLAN-AN以及獲得到UE的NAI信息以便在HSS處查詢(xún)UE的權(quán)限信息。

（3）若需要更新會(huì)話密鑰，則4G網(wǎng)絡(luò)用RANDue計(jì)算IK和CK，接著用IK和CK計(jì)算K'，最后用K'計(jì)算EK'（RANDue）并發(fā)送給UE。UE收到EK' （RANDue）后解密獲得RANDue并與自身之前發(fā)送的RANDue進(jìn)行比較，若相同則說(shuō)明會(huì)話密鑰更新成功，UE采用哈希函數(shù)計(jì)算得出h（K'）并發(fā)送至WLAN-AN。WLAN-AN收到h（K'）后，進(jìn)行反哈希運(yùn)算得到K'并與從4G網(wǎng)絡(luò)處獲得的K'進(jìn)行比較，若相同則說(shuō)明UE處會(huì)話密鑰更行成功。

采用公鑰機(jī)制改進(jìn)EAP-AKA協(xié)議，通過(guò)在WLAN AN與4G網(wǎng)絡(luò)間增設(shè)共享密鑰，實(shí)現(xiàn)了兩者間的相互認(rèn)證，防止了WLAN-AN假冒攻擊。通過(guò)加密傳輸NAI，實(shí)現(xiàn)了對(duì)IMSI的加密保護(hù)，防止了移動(dòng)用戶(hù)身份信息的泄漏。通過(guò)引入密鑰更新機(jī)制，實(shí)現(xiàn)了對(duì)UE和4G網(wǎng)絡(luò)間的共享密鑰的安全更新。

5　結(jié)束語(yǔ)

未來(lái)4G網(wǎng)絡(luò)同WLAN網(wǎng)絡(luò)的融合是接入網(wǎng)發(fā)展的主要趨勢(shì)之一，其融合的安全性很大程度取決于其上的EAP- AKA融合認(rèn)證協(xié)議。本文首先對(duì)WLAN-4G網(wǎng)絡(luò)融合認(rèn)證協(xié)議EAP-AKA的認(rèn)證流程進(jìn)行了分析和介紹，其次對(duì)EAP-AKA的安全性和存在的缺陷進(jìn)行了詳細(xì)的分析，最后對(duì)改進(jìn)EAP-AKA協(xié)議進(jìn)行了分析。本文對(duì)WLAN-4G融合的網(wǎng)絡(luò)的建設(shè)具有一定的借鑒作用。

參考文獻(xiàn)

［1］朱紅梅，李寶榮. LTE-FDD和TDD-LTE的融合發(fā)展研究［J］.移動(dòng)通信，2008，12.

［2］韓瀅，程剛，裴斐. LTE與物聯(lián)網(wǎng)的融合現(xiàn)狀和發(fā)展研究［J］.移動(dòng)通信，2012，19.

［3］Aleksandar Damnjanovic，Juan Montojo，Yonbgin Wei，et a1. A survey on 3GPP heterogeneous networks［J］. IEEE Wireless Communications，3，2011.

［4］Hyeyeon Kwon，Yang Mi Jeong，Park Ae-Soon. Handover prediction strategy for 3G-WLAN overlay networks［C］. IEEE Network Operations and Management Symposium，2008.

［5］張勝，徐愛(ài)國(guó)，胡正名. EAP-AKA協(xié)議的分析和改進(jìn)［J］.計(jì)算機(jī)應(yīng)用研究，2005，07.

知識(shí)產(chǎn)權(quán)