吳文豐，張文芳，王小敏，王 宇

(1.西南交通大學(xué) 信息科學(xué)與技術(shù)學(xué)院,四川 成都 610031；2.西南交通大學(xué) 信息安全與國家計算網(wǎng)格四川省重點實驗室, 四川 成都 610031)

隨著高速鐵路的持續(xù)發(fā)展,傳統(tǒng)的GSM-R窄帶通信系統(tǒng)難以滿足未來鐵路系統(tǒng)針對高冗余度數(shù)據(jù)的可靠傳輸、實時多媒體視頻監(jiān)控等業(yè)務(wù)的要求,在2010年12月召開的第七屆世界高速鐵路大會上,國際鐵路聯(lián)盟UIC表示將采用LTE-R作為下一代鐵路無線通信系統(tǒng)[1]。相較于GSM-R,LTE-R基于長期演進(jìn)技術(shù)(Long Term Evolution，LTE),具備高帶寬、低時延和高速率等優(yōu)點,但同時更加開放的空中接口,全I(xiàn)P化、扁平化的網(wǎng)絡(luò)結(jié)構(gòu)使LTE-R更易面臨數(shù)據(jù)竊聽、篡改、假冒欺騙、DoS攻擊等安全風(fēng)險。如何實現(xiàn)對接入設(shè)備(User Equipment，UE)的身份認(rèn)證以及空口數(shù)據(jù)/信令的機(jī)密性和完整性保護(hù),確保LTE-R網(wǎng)絡(luò)接入安全成為了研究熱點。

LTE認(rèn)證密鑰協(xié)商協(xié)議[2](Evolved Packet System-Based Authentication and Key Agreement,EPS-AKA)被證明存在諸如國際移動用戶識別碼(International Mobile Subscriber Identity，IMSI)明文傳輸,具有易遭受重放攻擊、DoS攻擊、重定向攻擊等安全缺陷[3],不能直接應(yīng)用于LTE-R網(wǎng)絡(luò)中,因此一系列的改進(jìn)方案被相繼提出[4-12]。文獻(xiàn)[4]針對DoS攻擊提出了通過在歸屬用戶服務(wù)器(Home Subscriber Server，HSS)端建立訪問記錄表并設(shè)置單位時間內(nèi)的訪問次數(shù)閾值的方法,杜絕同一IMSI的惡意頻繁訪問行為,但該方案不能抵抗短時間內(nèi)由不同IMSI發(fā)起的DoS攻擊。文獻(xiàn)[5]提出一種改進(jìn)方案ES-AKA,旨在降低移動性管理實體(Mobile Management Entity，MME)的存儲開銷和HSS的計算量,但經(jīng)分析發(fā)現(xiàn)該方案存在較大的安全隱患,攻擊者可通過截獲無線信道中的密鑰和消息,偽造消息響應(yīng)并假冒合法用戶接入網(wǎng)絡(luò)服務(wù)。文獻(xiàn)[6-9]采用對稱密鑰加密實現(xiàn)對IMSI的保護(hù),其中文獻(xiàn)[6]提出的方案利用Diffie-Hellman密鑰交換算法在UE與MME間協(xié)商了用于加密IMSI的對稱密鑰KUM,但由于密鑰協(xié)商過程中雙方未進(jìn)行身份認(rèn)證,因此不能抵抗中間人攻擊。文獻(xiàn)[7-9]引入UE和HSS端可同步更新的密鑰標(biāo)識符,幫助HSS識別與UE共享的長期密鑰K,使得IMSI可通過密鑰K及其衍生密鑰加密傳輸,但該類方案易遭受去同步攻擊。

鑒于上述對稱密碼協(xié)議無法有效保護(hù)IMSI,且易遭受DoS攻擊、中間人攻擊及去同步攻擊,文獻(xiàn)[10-12]提出了基于公鑰密碼體制的改進(jìn)方案。其中文獻(xiàn)[10]基于無線公鑰基礎(chǔ)設(shè)施(Wireless Public Key Infrastructure，WPKI),并采用橢圓曲線加密算法(Ellipse Curve Cipher，ECC)實現(xiàn)了用戶身份信息和認(rèn)證向量的安全傳輸。但Jacques等[11]指出,文獻(xiàn)[10]方案不能抵抗蠻力攻擊,并相繼提出了增強機(jī)密性的改進(jìn)方案EC-AKA[11]和EC-AKA2[12]。相較于對稱密碼體制,基于公鑰密碼體制的方案在安全性上更具優(yōu)勢,但在效率上,隨著明文長度的增加,公鑰運算將顯著降低協(xié)議的執(zhí)行效率。同時為保證公鑰證書的管理和傳遞安全,需引入公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure，PKI),勢必增加系統(tǒng)的部署和維護(hù)成本,并且難與現(xiàn)有機(jī)制相兼容。

針對現(xiàn)有方案存在的不足,本文基于下一代鐵路無線通信系統(tǒng)LTE-R的接入安全需求,提出一種安全增強的車-地身份認(rèn)證密鑰協(xié)商方案,并利用仿真分析工具ProVerif驗證了安全性。方案基于公私鑰混合密碼體制,在車載終端UE注冊時,通過向USIM卡直接寫入HSS公鑰信息,避免構(gòu)建PKI。當(dāng)UE首次接入服務(wù)網(wǎng),利用該公鑰加密無線信令,實現(xiàn)IMSI的機(jī)密性保護(hù)以及對重放攻擊、DoS攻擊和重定向攻擊的有效抵抗。采用橢圓曲線Diffie-Hellman密鑰交換算法ECDH和EPS-AKA對稱密鑰衍生算法,實現(xiàn)了會話密鑰KASME的前向安全性。同時,在UE和HSS密鑰協(xié)商過程中,隱藏了無線信道中明文傳輸?shù)碾S機(jī)數(shù),降低了認(rèn)證信息泄露的風(fēng)險。相較于現(xiàn)有的LTE認(rèn)證密鑰協(xié)商協(xié)議,本文方案具備更加完善的安全特性,同時在計算和通信效率上也具有一定優(yōu)勢,能夠滿足LTE-R網(wǎng)絡(luò)接入安全需求以及車-地認(rèn)證的實時性要求。

1 LTE-R網(wǎng)絡(luò)架構(gòu)及認(rèn)證機(jī)制

LTE-R網(wǎng)絡(luò)架構(gòu)基于LTE/SAE系統(tǒng),由接入網(wǎng)E-UTRAN和核心網(wǎng)EPC組成[13]。圖1(a)中,在接入網(wǎng)方面,LTE-R取消了GSM-R系統(tǒng)中基站控制器-基站BSC-BTS結(jié)構(gòu),僅由演進(jìn)型基站eNodeB構(gòu)成,與核心網(wǎng)相連,減少了終端設(shè)備與核心網(wǎng)之間的信令交互。在核心網(wǎng)方面,LTE-R演進(jìn)的分組核心網(wǎng)EPC(Evolved Packet Core)包含了移動性管理實體MME、服務(wù)網(wǎng)關(guān)S-GW、公共數(shù)據(jù)網(wǎng)關(guān)P-GW、歸屬用戶服務(wù)器HSS等網(wǎng)絡(luò)節(jié)點。MME作為核心網(wǎng)中的控制平面節(jié)點,下轄多個eNodeB,主要負(fù)責(zé)UE的移動性管理、呼叫控制、身份鑒權(quán)等業(yè)務(wù)。S-GW和P-GW分別面對UE和PDN終端,為UE提供路由選擇、轉(zhuǎn)發(fā)和Qos控制等功能。HSS中包含了UE的信息，如所歸屬EPS的Qos配置信息和呼叫優(yōu)先級等,同時HSS集成了鑒權(quán)中心AuC、存儲鑒權(quán)算法、與UE共享的長期密鑰K,可為MME生成UE的身份認(rèn)證向量。

LTE-R接入安全包括接入層(Access Stratum，AS)安全和非接入層(Non-Access Stratum，NAS)安全兩個層次,接入層安全指UE與eNodeB之間的通信安全,非接入層安全指UE與MME之間的通信安全。LTE-R接入安全認(rèn)證機(jī)制采用3GPP認(rèn)證密鑰協(xié)商框架,當(dāng)UE移動至MME下轄的eNodeB信號覆蓋區(qū)時,向MME發(fā)起認(rèn)證請求,MME接收用戶認(rèn)證請求消息并將其轉(zhuǎn)發(fā)至HSS,HSS利用鑒權(quán)算法和與UE共享的長期密鑰K，為MME生成UE的身份認(rèn)證向量,以實現(xiàn)UE與網(wǎng)絡(luò)MME身份鑒權(quán),并協(xié)商接入安全性管理實體密鑰KASME,如圖1(b)所示,該密鑰作為主密鑰衍生KNASenc、KNASint、KeNB等密鑰,確保非接入層和接入層信令/數(shù)據(jù)安全。

圖1 LTE-R網(wǎng)絡(luò)架構(gòu)和密鑰層級

2 安全增強的車-地認(rèn)證密鑰協(xié)商方案

本文提出一種安全增強的車-地認(rèn)證密鑰協(xié)商方案,該方案基于EPS-AKA框架,屬于非接入層安全范疇。針對LTE-R網(wǎng)絡(luò)架構(gòu)特點以及車-地?zé)o線通信認(rèn)證的實際應(yīng)用場景,分別設(shè)計了全認(rèn)證、重認(rèn)證以及切換認(rèn)證協(xié)議。相關(guān)符號及釋義如表1所示。

2.1 全認(rèn)證協(xié)議

在接入網(wǎng)絡(luò)服務(wù)前,UE需申請注冊LTE-R專用USIM卡,綁定身份信息后,USIM卡的數(shù)據(jù)安全區(qū)將存儲UE(USIM)和HSS(AuC)之間的長期共享密鑰K、HSS的公鑰PK和ECDH密鑰交換算法及參數(shù)。

表1 符號及釋義

當(dāng)UE首次接入網(wǎng)絡(luò),長時間與網(wǎng)絡(luò)斷開連接后重新接入網(wǎng)絡(luò),或重認(rèn)證和切換認(rèn)證協(xié)議執(zhí)行失敗時，需執(zhí)行全認(rèn)證協(xié)議,流程見圖2。

Step1UE→MME:EPK{IMSI,TS,LAI},IDHSS,A

UE生成隨機(jī)數(shù)a,計算A=a·P并用HSS的公鑰PK加密IMSI、TS和當(dāng)前LAI,向MME發(fā)送接入認(rèn)證請求消息。

圖2 全認(rèn)證協(xié)議

Step2MME→HSS:EPK{IMSI,TS,LAI},A,SNID,LAI’

MME根據(jù)IDHSS查詢到HSS相關(guān)信息,并獲取當(dāng)前LAI’,然后向HSS發(fā)送認(rèn)證向量請求消息。

Step3HSS→MME:[AV(1)AV(2) …AV(n)]

HSS收到認(rèn)證向量請求后,使用私鑰SK解密得到IMSI、TS和LAI,檢驗TS判斷消息的新鮮性,對比LAI和LAI’,若不匹配,終止協(xié)議并向MME回傳位置信息不匹配消息,否則HSS認(rèn)證UE成功。之后產(chǎn)生n個隨機(jī)數(shù)b(1,…,n),并根據(jù)IMSI檢索到密鑰K,計算n組有序認(rèn)證向量[AV(1)AV(2) …AV(n)],將其有序發(fā)送至MME。其中認(rèn)證向量的計算規(guī)則如下

AUTN(i) =SQN⊕AK(i) =MAC(i) =AMF
KASME(i)=KDFK(SNID⊕AK(i) =KUH(i))

AV(1,…,n):B(i),AUTN(i),XRES(i),KASME(i)i∈ (1,…,n)

Step4MME→UE:B(i),AUTN(i),KSIASME(i)

MME收到[AV(1)AV(2) …AV(n)]進(jìn)行安全存儲,然后按照先入先出順序選取一組AV(i),提取B(i)、AUTN(i)、KSIASME(i)發(fā)送給UE。

Step5UE→MME:RES(i)

Step6MME→HSS:B(i)

MME收到認(rèn)證響應(yīng)消息后,判斷RES(i)=XRES(i)是否成立,若成立,MME認(rèn)證UE成功并向HSS轉(zhuǎn)發(fā)包含B(i)的密鑰更新消息,HSS收到后,根據(jù)B(i)檢索KUH(i)并存儲。

協(xié)議執(zhí)行完畢,UE和HSS協(xié)商了密鑰KUH(i),該密鑰將在下次全認(rèn)證協(xié)議執(zhí)行時代替密鑰K參與認(rèn)證向量的計算,以避免因根密鑰K頻繁使用而導(dǎo)致泄露的安全風(fēng)險。UE和MME之間完成了雙向認(rèn)證并協(xié)商了密鑰KASME,然后根據(jù)圖1(b)所示的密鑰管理規(guī)則導(dǎo)出KNASenc、KNASint、KeNB等密鑰,確保車-地間信令/數(shù)據(jù)交互安全。同時MME會為UE生成TMSI,用于重認(rèn)證以及切換認(rèn)證。

2.2 重認(rèn)證協(xié)議

當(dāng)UE在當(dāng)前MME管理范圍內(nèi)再次請求認(rèn)證時,執(zhí)行重認(rèn)證協(xié)議,該階段不再需要HSS的參與,UE將TMSI作為臨時身份信息發(fā)送給MME發(fā)起重認(rèn)證請求,流程見圖3。

圖3 重認(rèn)證協(xié)議

Step1UE→MME:TMSI

UE向當(dāng)前MME發(fā)送臨時身份識別碼TMSI,請求重新認(rèn)證。

Step2MME→UE:B(i),AUTN(i),KSIASME(i)

MME收到來自UE的請求后,檢索服務(wù)器中與TMSI相關(guān)的認(rèn)證向量,然后按照先入先出順序選取一組AV(i),提取B(i)、AUTN(i)、KSIASME(i)發(fā)送給UE。

Step3UE→MME:RES(i)

MME收到認(rèn)證響應(yīng)消息后,判斷RES(i)=XRES(i)是否成立,若成立,MME認(rèn)證UE成功。此時,UE和MME實現(xiàn)了相互認(rèn)證，并協(xié)商共享了密鑰KASME(i),MME將為UE生成新的TMSI。

2.3 切換認(rèn)證協(xié)議

列車沿著既定的鐵路線路運行,其移動路徑具有可預(yù)見性。高速移動下列車的切換場景可分為兩類:一類是鐵路沿線相鄰eNodeB之間的切換,另一類是相鄰MME間的切換,見圖4。由于基站間切換安全屬于AS層安全范疇,因此僅討論列車跨MME切換的場景,針對相鄰MME間切換,設(shè)計了切換認(rèn)證協(xié)議,保證列車高速運行下車-地通信系統(tǒng)的高效運行,流程見圖5。

圖4 相鄰MME間切換

圖5 切換認(rèn)證協(xié)議

當(dāng)UE移動至舊MMEo和新MMEn重疊覆蓋邊緣區(qū)域時,切換協(xié)議啟動。

Step1UE→MMEn:TMSI,LAIo

UE向MMEn發(fā)送TMSI和MMEo的位置區(qū)標(biāo)識符LAIo,請求切換到當(dāng)前MMEn。

Step2MMEn→MMEo:TMSI,LAIo

MMEn收到消息確認(rèn)LAIo的真實性,然后向MMEo轉(zhuǎn)發(fā)包含TMSI和LAIo的切換請求。

Step3MMEo→MMEn:[AV(i)，…，AV(n)]

MMEo檢索自己的數(shù)據(jù)庫查找到TMSI的相關(guān)信息,然后以先入先出的方式導(dǎo)出還未使用的認(rèn)證向量組[AV(i)，…，AV(n)],將其發(fā)送給MMEn后,刪除該認(rèn)證向量組。

Step4MMEn→UE:B(i),AUTN(i),KSIASME(i)

MMEn收到來自MMEo返回的認(rèn)證向量,有序存儲后,按先入先出的順序選取一組AV(i),提取B(i)、AUTN(i)、KSIASME(i)發(fā)送給UE。

Step5UE→MMEn:RES(i)

MMEn收到消息后,判斷RES(i)=XRES(i)是否成立,若不成立,終止認(rèn)證并返回認(rèn)證失敗消息。否則MMEn認(rèn)證UE成功,并協(xié)商新的密鑰KASME(i),MMEn將為UE生成新的TMSI。

和全認(rèn)證協(xié)議相比較,切換認(rèn)證協(xié)議發(fā)生在UE、MMEn和MMEo之間,TMSI的使用代替了公鑰加密保護(hù)IMSI,減小了UE的計算量。同時由于不需要HSS參與認(rèn)證,節(jié)省了網(wǎng)絡(luò)資源并減少了信令的交互,從而能夠有效降低認(rèn)證時延。

3 安全性分析

本節(jié)分別采用理論分析方法和自動化密碼協(xié)議仿真工具ProVerif對提出的協(xié)議進(jìn)行安全性分析,驗證其是否能實現(xiàn)車-地雙向身份認(rèn)證和密鑰協(xié)商,具備聲稱的安全屬性。由于重認(rèn)證及切換認(rèn)證協(xié)議的安全性基于全認(rèn)證協(xié)議,因此將全認(rèn)證協(xié)議作為分析重點。

3.1 理論分析

對本方案的安全性進(jìn)行理論分析,其中主要包括IMSI保護(hù)、前向安全性、抵抗重放攻擊、重定向攻擊、中間人攻擊等。

(1)IMSI機(jī)密性保護(hù)

在UE接入認(rèn)證過程中,由于IMSI未加保護(hù)地明文傳輸,攻擊者可竊取并利用其追蹤UE在網(wǎng)絡(luò)中的訪問行為或移動路徑,造成用戶隱私泄露等安全風(fēng)險。為盡可能減少在無線信道中傳輸IMSI的情況,3GPP建議使用TMSI來代替IMSI明文傳輸,同時指出在以下情形時仍需傳輸IMSI[2]:UE首次接入網(wǎng)絡(luò)時,或MME不能從TMSI中檢索出IMSI時。因此,3GPP雖然引入TMSI思想,但并未完全實現(xiàn)對IMSI的機(jī)密性保護(hù)。本文方案采用了公鑰加密傳輸?shù)姆椒?利用HSS的公鑰PK對IMSI進(jìn)行加密保護(hù),只有持有對應(yīng)私鑰的HSS才能夠解密并獲得IMSI,進(jìn)而從根本上避免了用戶隱私泄露的安全風(fēng)險。

(2)前向安全性

根據(jù)前向安全性的定義:如果通信參與方中的一方或者多方的長期私鑰泄露不會導(dǎo)致他們之前已經(jīng)建立的會話密鑰泄露,則稱該協(xié)議具有前向安全性。本文方案采用ECDH密鑰交換算法,在UE和HSS間協(xié)商了密鑰KUH,隨后與密鑰K共同參與計算生成會話主密鑰KASME。若長期密鑰K泄露并為攻擊者所獲得,但由于其無法得到協(xié)商的密鑰KUH(攻擊者獲得密鑰KUH的難度等同于破解橢圓曲線上的離散對數(shù)難題),因此,攻擊者仍然無法計算得到長期私鑰K泄露之前建立的會話主密鑰KASME,從而表明提出的協(xié)議具備前向安全性。

(3)抵抗重放攻擊和拒絕服務(wù)攻擊

重放攻擊也稱消息新鮮性攻擊(Freshness Attacks),指攻擊者可通過重放消息或消息片段對通信者進(jìn)行欺騙的攻擊行為。針對本類協(xié)議的重放攻擊主要發(fā)生在UE向服務(wù)器發(fā)送身份認(rèn)證請求消息時,由于在不安全的無線信道中,攻擊者能夠以較大的概率竊聽到該消息,之后將其重新發(fā)送至服務(wù)器,誘使HSS生成該條身份認(rèn)證請求消息對應(yīng)的認(rèn)證向量,從而消耗核心網(wǎng)絡(luò)的計算資源和存儲資源。若攻擊者在同一時間發(fā)起大規(guī)模的重放攻擊甚至可能引發(fā)服務(wù)器拒絕服務(wù),影響當(dāng)前合法用戶的接入認(rèn)證。本文的方案利用HSS的公鑰PK對時戳TS和IMSI進(jìn)行加密傳輸,若攻擊者截獲該條消息并重放,HSS通過檢查時戳TS的有效性即可判斷是否遭受重放攻擊,一旦判定當(dāng)前消息為重放消息,立即終止當(dāng)前會話。保留計算資源和存儲資源服務(wù)合法用戶。

(4)抵抗重定向攻擊

重定向攻擊是指攻擊者操縱著具有基站功能的設(shè)備,捕獲UE向當(dāng)前服務(wù)網(wǎng)絡(luò)發(fā)送的身份認(rèn)證請求消息,然后將該請求導(dǎo)向外部網(wǎng)絡(luò),對UE通信安全造成威脅。重定向攻擊還將產(chǎn)生計費問題,當(dāng)用戶被重定向至外部網(wǎng)絡(luò)后,將支付連接到外部網(wǎng)絡(luò)的漫游費用。在本文方案中,UE利用HSS公鑰加密當(dāng)前的位置區(qū)標(biāo)識符LAI,若攻擊者重定向身份認(rèn)證請求消息至外部網(wǎng)絡(luò)的MME,MME收到請求后連同當(dāng)前位置區(qū)標(biāo)識符LAI’一起發(fā)送至HSS,HSS收到信息解密LAI同LAI’對比,發(fā)現(xiàn)位置區(qū)標(biāo)識符不匹配,認(rèn)定UE遭受重定向攻擊,隨后終止認(rèn)證協(xié)議并回傳認(rèn)證失敗原因,從而杜絕了用戶被重定向至外部網(wǎng)絡(luò)的安全風(fēng)險。

(5)抵抗中間人攻擊

常規(guī)的DH密鑰協(xié)商過程中,由于通信雙方未驗證彼此的身份信息,使得攻擊者可以截獲通信雙方發(fā)送的公開信息,并將其替換成攻擊者自己的信息,然后與通信雙方各自協(xié)商共享密鑰,從而達(dá)到監(jiān)聽或篡改通信雙方會話消息的目的。但在本文方案中,ECDH密鑰協(xié)商伴隨著認(rèn)證過程同步進(jìn)行,假設(shè)攻擊者發(fā)起中間人攻擊,分別與UE和HSS生成密鑰KUA和KAH,那么在之后的認(rèn)證過程中,由于認(rèn)證向量的生成由協(xié)商的密鑰KUH和長期密鑰K共同決定,因此UE產(chǎn)生的認(rèn)證數(shù)據(jù)和MME接收到來自HSS的認(rèn)證數(shù)據(jù)將不相同,MME將判定此次認(rèn)證過程遭受中間人攻擊并終止認(rèn)證流程。攻擊者便無法通過發(fā)動中間人攻擊獲取到UE和MME間的會話信息,表明提出的協(xié)議能夠抵抗中間人攻擊。

3.2 ProVerif仿真分析

ProVerif是一種用途廣泛的自動化密碼協(xié)議仿真工具,支持多種加密原語,由重寫規(guī)則或方程式定義[14]。它可以證明多種安全屬性,包括:保密性、認(rèn)證性、過程等效性等。其驗證過程如下:對協(xié)議中需要證明的安全屬性用query的方式進(jìn)行詢問,當(dāng)協(xié)議具備所詢問的安全屬性時,詢問結(jié)果輸出true,否則輸出false。利用ProVerif對本協(xié)議進(jìn)行分析前,需要對協(xié)議進(jìn)行規(guī)范化并制定驗證目標(biāo),經(jīng)分析,待驗證的安全屬性歸納如下:終端和網(wǎng)絡(luò)完整的雙向認(rèn)證；DH協(xié)商密鑰的安全；IMSI和LAI的機(jī)密性。

為驗證終端和LTE-R網(wǎng)絡(luò)間雙向認(rèn)證,定義以下6個事件:

(1)event beginMS(pkey):該事件表示用戶UE開始同參與方MME發(fā)起本協(xié)議。

(2)event endMS(bitstring):該事件表示用戶UE認(rèn)為已經(jīng)與MME完成了協(xié)議流程的執(zhí)行。

(3)event beginMME(bitstring):該事件表示MME接受由UE發(fā)起的協(xié)議,開始執(zhí)行本協(xié)議。

(4)event endMME(bitstring):該事件表示MME按照協(xié)議的流程完成了協(xié)議的執(zhí)行,該事件的位置一定處于MME收到UE發(fā)送來的最后一條消息之后。

(5)event beginHSS(bitstring):該事件發(fā)生在HSS接收到由MME發(fā)來的首條消息之后，表示HSS接受該條消息并開始執(zhí)行本協(xié)議。

(6)event endHSS(key):該事件代表HSS認(rèn)為UE與MME已經(jīng)執(zhí)行完畢本協(xié)議。該事件的位置處于HSS收到MME發(fā)送的最后一條消息之后。

定義事件之后,需要建立通信斷言來捕獲事件之間的關(guān)系,以“如果事件e已被執(zhí)行,那么事件e’在其之前就已經(jīng)被執(zhí)行”的形式表示。例如:inj-event(endMME(y))==> inj-event(beginMS(x)),這里的通信斷言如果成立,則可以證明MME對UE認(rèn)證成功。

為驗證DH協(xié)商密鑰的安全性,定義語句query attacker(secretm),secretm是一個秘密值,將通過DH協(xié)商的密鑰進(jìn)行加密。根據(jù)ProVerif的特性,嘗試驗證攻擊者獲得secretm是不可達(dá)的。即如果not attacker(secretm)的結(jié)果為true,則密鑰的安全性得到證明。

IMSI和LAI的安全性驗證,與DH協(xié)商密鑰安全性驗證相似,定義語句query attacker(IMSI)和query attacker(LAIU),結(jié)果為true即得到驗證。

3.3 ProVerif仿真結(jié)果

仿真驗證結(jié)果見圖6,各項安全性驗證均通過。

圖6 仿真驗證結(jié)果

(1)語句①表明HSS認(rèn)證UE成功；語句②表明MME認(rèn)證UE成功；語句③表明HSS認(rèn)證MME成功；語句④表明UE認(rèn)證MME成功；語句⑤表明UE認(rèn)證HSS成功。

(2)語句⑥表明IMSI的機(jī)密性得到驗證,也證明了協(xié)議能夠抵抗DoS攻擊；語句⑦表明攻擊者不能獲得LAIU,從而不能對UE發(fā)送的位置區(qū)標(biāo)識符LAI進(jìn)行篡改,因此可抵抗重定向攻擊；語句⑧表明協(xié)商的密鑰KUH的安全性得到驗證,也表明協(xié)議可抵抗中間人攻擊,具備前向安全性。

從上述的理論分析和ProVerif驗證結(jié)果可知,提出的方案在實現(xiàn)了車-地雙向身份認(rèn)證和密鑰協(xié)商的基礎(chǔ)上,還具備IMSI的機(jī)密性保護(hù)、前向安全等特性,能夠抵抗重放攻擊、重定向攻擊、DoS攻擊、中間人等攻擊。

4 性能分析

表2對EPS-AKA和最近提出的幾種相關(guān)改進(jìn)方案進(jìn)行了性能分析與比較,在安全性對比方面主要列舉了IMSI保護(hù)、前向安全性、抗重放攻擊、抗DoS攻擊、抗中間人攻擊、抗重定向攻擊、抗去同步攻擊以及根密鑰更新。在計算性能方面主要列舉了橢圓曲線上的倍點運算耗時TM、橢圓曲線公鑰加解密運算耗時TP、哈希HMAC運算耗時TH和DES運算耗時TD,其中TP約等于3TM,TD約等于TH。根據(jù)文獻(xiàn)[15]提供的相關(guān)數(shù)據(jù),統(tǒng)計了各個協(xié)議的執(zhí)行耗時。在通信開銷方面,匯總了UE、MME、HSS三者之間交互數(shù)據(jù)的比特量。綜合安全性、計算性能、通信開銷三方面因素判斷協(xié)議性能優(yōu)劣。

從表2可知,最早提出的EPS-AKA協(xié)議在通信量和計算量上優(yōu)勢明顯,但其安全性最低,不能滿足LTE-R網(wǎng)絡(luò)接入安全需求。同樣基于對稱密碼體制的文獻(xiàn)[5, 7]，在計算量方面具備優(yōu)勢,但是在安全性方面仍然存在比較明顯的缺陷。文獻(xiàn)[10]基于公鑰密碼體制,在EPS-AKA協(xié)議的基礎(chǔ)上增強了部分安全屬性,但其計算量達(dá)到87TM+30TH，約為20.376 ms,在對比方案中最高。文獻(xiàn)[8]中的方案采用了公私鑰密碼體制相結(jié)合的方法,雖然在計算量上較文獻(xiàn)[10]有所降低,但通信量過高且缺乏相對完備的安全屬性。

表2 性能對比

注:Ⅰ為IMSI保護(hù)；Ⅱ為前向安全性；Ⅲ為抗重放攻擊；Ⅳ為抗DoS攻擊；Ⅴ為抗中間人攻擊；Ⅵ為抗重定向攻擊；Ⅶ為抗去同步攻擊；Ⅷ為根密鑰更新。為不失公平性, 表中橢圓曲線上倍點和公鑰加解密安全級別統(tǒng)一為160 bit, 規(guī)定認(rèn)證向量生成5組。

本文方案在協(xié)議的Step1中利用公鑰加密IMSI以及位置區(qū)標(biāo)志符和時間戳,確保無線信道中用戶身份信息和交互信令的傳輸安全；在之后的流程中,采用ECDH密鑰交換算法在UE和HSS間協(xié)商了新密鑰,確保了認(rèn)證信息的安全交互,因此具備表2中所有安全特性,并能抵抗中間人、拒絕服務(wù)、重定向等各類攻擊,安全性優(yōu)于對比方案。圖7為通信量對比，本文的方案由于采用ECDH密鑰交換算法,需要傳輸?shù)墓_信息為橢圓曲線上的點,因此通信量相較于文獻(xiàn)[5, 10]有所增加,但優(yōu)于文獻(xiàn)[7-8]。圖8示為計算開銷對比，在計算開銷方面,由于本方案中半數(shù)的倍點運算可離線進(jìn)行,因此協(xié)議執(zhí)行耗時僅為13TM+40TH,約為6.774 ms,相較于文獻(xiàn)[7]、文獻(xiàn)[8]和文獻(xiàn)[10]，計算量分別下降了46%、37.5%和66.8%。

圖7 通信量對比

圖8 計算開銷對比

通過公私鑰密碼體制的有效結(jié)合,本文的方案具備了相對完善的安全屬性,又具有較高的執(zhí)行效率,能夠滿足LTE-R車-地認(rèn)證密鑰協(xié)商的安全性和高效性要求。

5 結(jié)束語

本文針對新一代鐵路無線通信系統(tǒng)LTE-R網(wǎng)絡(luò)接入過程潛在的安全隱患,以及現(xiàn)有的無線認(rèn)證密鑰協(xié)商協(xié)議存在的安全和效率問題,提出一種公私鑰結(jié)合的安全車-地身份認(rèn)證和密鑰協(xié)商方案,可實現(xiàn)車載通信設(shè)備和LTE-R網(wǎng)絡(luò)間的雙向身份鑒權(quán),并協(xié)商安全管理密鑰KASME及其衍生密鑰(KNASenc,KNASint,KeNB),實現(xiàn)車地交互數(shù)據(jù)的機(jī)密性和完整性保護(hù)。與同類協(xié)議相比,本文所提協(xié)議具備更加完善的安全屬性,并且通過采用公鑰寫入USIM卡的方法避免引入PKI,降低了網(wǎng)絡(luò)結(jié)構(gòu)的冗余度和復(fù)雜度。最后,通過自動化仿真分析工具ProVerif驗證了所提方案的安全性,理論分析和性能對比表明，本方案能夠滿足LTE-R網(wǎng)絡(luò)的接入安全需求以及車-地認(rèn)證密鑰協(xié)商的實時性和高效性要求,具有較好的應(yīng)用前景。