王 宇，張文芳，王小敏,，藺 偉，高尚勇，吳文豐

( 1. 西南交通大學 信息科學與技術(shù)學院, 四川 成都 610031；2. 國家鐵路智能運輸系統(tǒng)工程技術(shù)研究中心， 中國鐵道科學研究院集團有限公司， 北京 100081)

鐵路數(shù)字移動通信系統(tǒng)GSM-R(Global System for Mobile Communications-Railway)是目前我國列車控制系統(tǒng)的重要組成部分，主要負責承載鐵路車-地無線通信業(yè)務(wù)，包括調(diào)度通信和緊急通信等。但采用窄帶通信技術(shù)的GSM-R難以滿足鐵路未來智能化調(diào)度、視頻監(jiān)控和運營管理等高數(shù)據(jù)速率業(yè)務(wù)的需求[1]。為此，2009年國際鐵路聯(lián)盟UIC已明確采用LTE-R(Long Term Evolution for Railway)作為新一代列控系統(tǒng)的無線通信技術(shù)。LTE-R沿用了SAE/LTE的基本結(jié)構(gòu)，采用全IP的扁平化網(wǎng)絡(luò)構(gòu)架，具有高數(shù)據(jù)傳輸率、低接入延遲和多網(wǎng)兼容的特點，但也繼承了Internet網(wǎng)固有的安全缺陷，并且過渡階段多網(wǎng)共存，無線接口以及核心網(wǎng)段都具有前所未有的開放性，這些都為LTE-R系統(tǒng)帶來了更多的安全挑戰(zhàn)，因此對于LTE-R系統(tǒng)安全性的研究具有重要意義。

長期以來國內(nèi)外鐵路信號系統(tǒng)研究主要側(cè)重于功能安全，嚴重威脅行車安全的信息安全問題并未引起足夠的重視。為此本文從信息安全角度對LTE-R系統(tǒng)進行分析。LTE-R沿用了SAE/LTE的基本結(jié)構(gòu)，其身份認證及密鑰協(xié)商信令流程采用了3GPP定義的EPS-AKA協(xié)議[2]，該協(xié)議采用4層密鑰和分層保護機制，安全性相比GSM-R有了較大改善，但依舊存在如下安全與性能問題：(1)國際移動用戶識別碼(IMSI)缺乏保護。在移動終端(UE)首次接入某移動管理實體(MME)管轄網(wǎng)域時，會以明文形式在無線信道上傳輸IMSI，攻擊者可輕易竊取IMSI從而假冒合法用戶身份入網(wǎng)并發(fā)動中間人、拒絕服務(wù)等各類攻擊[3-7]。(2)MME缺乏對UE的預認證，難以抵抗拒絕服務(wù)(DoS)等攻擊。在EPS-AKA協(xié)議中，MME對于UE的認證通過歸屬用戶服務(wù)器(HSS)計算并回傳的認證向量實現(xiàn)，當MME識別出UE虛假身份時，HSS已耗費資源完成多組認證向量的生成與傳遞。因此，攻擊者可通過偽造并發(fā)送大量包含IMSI的接入請求報文發(fā)起針對HSS的拒絕服務(wù)攻擊，阻塞認證過程甚至造成HSS癱瘓[4-7]。(3)認證向量遠程請求及傳輸開銷大。由于無法實現(xiàn)認證向量的本地生成，MME將頻繁的向HSS請求認證向量，增加了有線信道的信令開銷和帶寬消耗[7]。

針對IMSI泄漏問題，現(xiàn)有方案主要采用公鑰加密[8-11]、對稱密鑰加密[12-14]和添加密鑰標識符[15-17]等方法進行改進。但采用公鑰加密的方案不可避免的引入了公鑰證書的傳遞和驗證開銷，并且由于接入請求缺乏認證保護，易遭受重放攻擊。鑒于此，文獻[12，14]方案在UE接入網(wǎng)絡(luò)前首先利用Diffie-Hellman(DH)密鑰協(xié)商算法生成UE同MME的共享密鑰，以實現(xiàn)IMSI的加密傳輸及對UE的間接認證。但初期的DH密鑰協(xié)商過程由于仍然缺乏身份認證，易遭受中間人攻擊。文獻[15，17]方案引入動態(tài)密鑰標識符來檢索IMSI及根密鑰K，避免了IMSI的傳輸，但該類方案UE和HSS間需要同步標識符，易受到去同步攻擊。上述方案雖然在一定程度上解決了IMSI泄漏問題，但均未實現(xiàn)MME對UE的預認證，易遭受針對核心網(wǎng)(EPC)的拒絕服務(wù)攻擊。針對認證向量無法本地生成問題，文獻[11，14，17]方案借助HSS計算并發(fā)送的密鑰KASME實現(xiàn)了認證向量的本地生成，但UE長期停留在同一個MME管轄網(wǎng)域時，KASME存在泄露風險。

鑒于EPS-AKA存在的問題以及現(xiàn)有改進方案的不足，本文提出了一個基于匿名代理簽名的LTE-R車-地無線通信安全認證方案。所提方案引入匿名代理簽名算法，將HSS的代理簽名權(quán)授予車載移動單元OBU。當OBU首次接入某MME管轄網(wǎng)域時，首先使用隱含IMSI的代理簽名私鑰生成對接入請求的簽名，隨后連同接入請求發(fā)送至MME，MME利用HSS公鑰即可驗證該簽名的合法性，從而實現(xiàn)IMSI的保護以及對OBU的預認證，避免了中間人攻擊和DoS攻擊。此外，本方案利用可動態(tài)更新的密鑰KASME實現(xiàn)了認證信息的本地生成，有效提高了認證效率，避免了初始認證的頻繁重啟。分析表明，相比現(xiàn)有方案，本方案具有更高的安全性和良好的認證效率，可實現(xiàn)LTE-R車地通信過程中安全實時的認證。

1 LTE-R系統(tǒng)結(jié)構(gòu)

LTE-R沿用SAE/LTE基于IP的扁平化網(wǎng)絡(luò)體系結(jié)構(gòu)，見圖1。

LTE-R網(wǎng)絡(luò)由EPC和接入網(wǎng)(E-UTRAN)組成。核心網(wǎng)由MME、HSS等構(gòu)成，主要負責為終端提供會話管理、移動性管理、承載管理及切換管理等功能。接入網(wǎng)由演進型基站(eNodeB)組成，負責實現(xiàn)空口管理、S1口處理等接入網(wǎng)功能。OBU負責列車端無線通信相關(guān)功能。本文根據(jù)列車運行的實際情況，將LTE-R非接入層認證過程分為注冊認證、初始認證和重認證3個階段。注冊認證發(fā)生在制卡中心進行信息寫入時。初始認證發(fā)生在OBU由分離模式切換到空閑模式并認證入網(wǎng)時，見圖1中a。重認證主要發(fā)生在OBU在MME管轄網(wǎng)域內(nèi)再次入網(wǎng)、位置更新和呼叫切換時，見圖1中b。本文針對上述3種不同認證過程分別設(shè)計了相應的認證協(xié)議，在保證系統(tǒng)安全性的前提下，提高認證效率。

2 基于匿名代理簽名的LTE-R車-地無線通信安全認證方案

本文引入匿名代理簽名算法以解決EPS-AKA的安全問題，HSS作為原始簽名者，將其簽名權(quán)授予代理簽名者OBU，驗證者MME通過驗證OBU簽名實現(xiàn)預認證，借助匿名性和可追蹤性實現(xiàn)對IMSI的保護?，F(xiàn)有匿名代理簽名算法大多基于環(huán)簽名進行設(shè)計，其計算復雜度隨代理簽名者數(shù)量的增加而增長；此外，為實現(xiàn)可追蹤性，現(xiàn)有代理簽名算法中往往包含與簽名者身份相關(guān)的公開信息(長期不變)，進而使得匿名性在一定程度上退化，存在與IMSI泄露類似的安全問題。為此，本文首先提出了一個改進的匿名代理簽名算法，并以此為基礎(chǔ)設(shè)計車-地無線通信安全認證方案。

2.1 匿名代理簽名算法

(2) 簽名授權(quán)：原始簽名者O計算R=[IDu×h(xo‖ro)]·P和代理私鑰σ=h(w)×xo+IDu×h(xo‖ro)，其中w為代理授權(quán)文件，包含O的身份等信息，IDu為用戶身份，ro為隨機數(shù)。隨后，發(fā)送代理授權(quán)證書W=(w,ro,R,σ)至代理簽名者。

(3) 授權(quán)驗證：收到W后，代理簽名者驗證等式σ·P=R+h(w)·PKo來判斷授權(quán)有效性。

(4) 代理簽名驗證：收到PS后，驗證者驗證等式pσ·P=[h(m‖I‖Rrand)×h(w)]·PKo+h(m‖I‖Rrand)·Rrand+I。

(5) 身份追蹤：當出現(xiàn)爭議，原始簽名者首先計算(x,y)=xo·N和ro=rrand-x-y，之后按下式計算用戶身份

IDu= (pσ-x)/[h(m‖I‖Rrand)×h(xo‖ro)]-

[y+xo×h(w)]/h(xo‖ro)

( 1 )

2.2 LTE-R車-地無線通信安全認證方案

針對LTE-R車-地認證的不同場景，本方案分為注冊協(xié)議、初始認證協(xié)議和重認證協(xié)議。為簡化系統(tǒng)，HSS作為原始簽名者，代表EPC完成系統(tǒng)初始化過程，確定公共參數(shù)(p,q,G,P,h)及其公私鑰(xH,PKH=xH·P)，并將公共參數(shù)及其公鑰傳輸并存儲在MME中。方案中所用符號說明見表1。

表1 符號說明

2.2.1 注冊協(xié)議

注冊協(xié)議主要完成USIM卡在HSS的注冊以及認證相關(guān)信息的寫入，具體操作如下：

HSS簽名授權(quán)：針對注冊申請，HSS計算R=[IMSI×h(xH‖rH)]·P和代理私鑰σ=h(w)×xH+IMSI×h(xH‖rH)，并將W=(w,rH,R,σ)發(fā)送至USIM卡。

USIM卡授權(quán)驗證：收到W后，驗證等式σ·P=R+h(w)·PKH，如成立則保存W。

2.2.2 初始認證協(xié)議

當OBU首次接入網(wǎng)絡(luò)時，需要執(zhí)行認證協(xié)議見圖2，具體步驟為:

Step1OBU→MME:M1={PS}

OBU讀取USIM卡中存儲的K、IMSI以及W=(w,rH,R,σ)，生成時戳T1及隨機數(shù)NO和n，隨后分別計算N=n·P，(x,y)=n·PKH，I=x·P，m=SNID‖T1‖NO，Rrand=R+y·P，rrand=rH+x+y和pσ=(σ+y)×h(m‖I‖Rrand)+x，生成對消息m的代理簽名PS=(w,m,Rrand,I,rrand,N,pσ)，最后將PS送至MME。

Step2MME→HSS(安全信道):M2={M1‖SNID}

MME首先檢查m中時戳T1以及SNID的有效性，隨后驗證等式pσ·P=[h(m‖I‖Rrand)×h(w)]·PKH+h(m‖I‖Rrand)·Rrand+I是否成立。如成立則說明接入具有HSS的合法授權(quán)，實現(xiàn)對OBU的預認證，隨后根據(jù)w中HSS信息，將M2通過安全信道發(fā)送至HSS完成接入者具體身份的確認。

Step3HSS→MME(安全信道):M3={NH‖KASME}

HSS首先計算(x,y)=xH·N和rH=rrand-x-y，隨后根據(jù)式( 2 )計算接入者的IMSI，并利用其檢索共享根密鑰K，并計算KASME=h1(IMSI‖NH‖NO‖K)，最后將KASME和NH用過安全信道發(fā)送至MME。

IMSI= (pσ-x)/[h(m‖I‖Rrand)×h(xH‖rH)]-

[y+xH×h(w)]/h(xH‖rH)

( 2 )

Step4MME→OBU:M4={INF‖MAC‖NH‖NM}

MME生成臨時標識GUTI和隨機數(shù)NM，分別計算KA=h2(KASME‖NM‖NO)和KE=h3(KASME‖NM‖NO)，隨后生成MAC=H(NO‖T2‖GUTI,KA)、INF=E(IDM‖T2‖GUTI,KE)，最后連同NH和NM送至OBU。

Step5OBU→MME:M5={T3‖XRES}

OBU首先計算KASME、KA和KE，解密INF獲取T2和GUTI，檢測T2并計算XMAC=H(NO‖T2‖GUTI,KA)，如XMAC=MAC則保存(GUTI‖KASME)，計算XRES=H(NM‖T3‖GUTI,KA)，并送至MME。

Step6MME

MME檢查T3新鮮性，計算RES=H(NM‖T3‖GUTI,KA)，如果XRES=RES則保存(GUTI‖KASME)。

2.2.3 重認證協(xié)議

重認證主要發(fā)生在OBU在同一個MME管轄網(wǎng)域內(nèi)再次接入、位置更新或者呼叫切換時，此時OBU和MME存儲有(GUTI‖KASME)，執(zhí)行認證協(xié)議即可實現(xiàn)重認證見圖3。

這里需要注意的是，在列車運行過程中發(fā)生跨MME切換時，本方案所設(shè)計的重認證協(xié)議稍作如下修改即可實現(xiàn)OBU同目標MME的認證過程：OBU發(fā)送M1至當前MME后，當前MME檢索對應的密鑰KASME，連同M1經(jīng)S10接口安全的傳輸至目標MME，之后目標MME按重認證過程計算M2，完成后續(xù)認證即可。

3 安全分析及形式化證明

本節(jié)先對所提匿名代理簽名算法進行形式化安全證明，隨后對基于該算法的認證方案進行安全分析。

3.1 匿名代理簽名算法的安全性分析

(1) 不可偽造性證明

設(shè)PSA=(Setup, Delegate, DVeri, PSign, PVeri)是一個基于橢圓曲線密碼體制的匿名代理簽名方案，挑戰(zhàn)者C和攻擊者A之間的游戲模型具體定義參考文獻[18]，詳細證明過程如下：

定理1在隨機預言模型下，如果存在概率多項式時間的攻擊者A0運行上述游戲，并在時間T內(nèi)已不可忽略的概率ε攻破所提方案，則存在一個挑戰(zhàn)者C能在時間T′解決ECDLP困難問題，其中T′≤120 686q0q1T/ε，其中q0和q1分別是對h(m‖I‖Rrand)和h(w)的哈希詢問次數(shù)，分別記為對H0和H1[19]。

證明：首先給出本算法的初始化部分，隨后通過如下兩個引理對定理1進行證明。

引理1如果攻擊者A0可以攻破所提方案，即偽造一個合法的代理簽名，那么可構(gòu)造另一個攻擊者A1偽造一個合法的隨機化代理私鑰。

攻擊者A1在實例(p,q,G,P,h,s·P,k)的基礎(chǔ)上按如下規(guī)則回答A0的詢問。

引理2如果A1可以成功偽造一個隨機化代理私鑰，那么挑戰(zhàn)者C可以利用A1解決ECDLP難題。

挑戰(zhàn)者C在實例(p,q,G,P,h,s·P,k)的基礎(chǔ)上按如下規(guī)則回答A1的詢問。

綜上，定理1得證，結(jié)論與求解ECDLP是困難的相矛盾，因此，本算法的不可偽造性證畢。

(2) 匿名性

如式( 3 )所示，攻擊者想獲取代理簽名者身份IDu，需要求解橢圓曲線上的離散對數(shù)難題(ECDLP)以獲取私鑰xo。又如式(4)所示，Rrand中IDu由原始簽名者私鑰和秘密值y保護，即使攻擊者獲取h(xo‖ro)和y，計算IDu也等價于求解ECDLP。因此，匿名性得證。

pσ=[xo×h(w)+IDu×h(xo‖ro)+y] ×

h(m‖I‖Rrand)+x

( 3 )

Rrand=[IDu×h(xo‖ro)+y]·P

( 4 )

(3) 可追蹤性和不可否認性

當代理簽名者存在錯誤行為需要追責時，原始簽名者可利用式( 5 )計算其身份IDu，因此可追蹤性得證。由不可偽造性可知，只有合法的代理簽名者才能生成有效的代理簽名，而每一個有效的代理簽名皆包含身份信息IDu，由可追蹤性可知，原始簽名者可以追蹤代理簽名者身份IDu，因此不可否認性得證。

IDu= (pσ-x)/[h(m‖I‖Rrand)×h(xo‖ro)]-

[y+xo×h(w)]/h(xo‖ro)

( 5 )

3.2 LTE-R車-地無線通信安全認證方案的安全性分析

(1) 雙向身份認證(抗中間人攻擊)

由不可偽造性可知，只有HSS授權(quán)的合法OBU才能生成有效的代理簽名。因此MME利用HSS公鑰可驗證接入請求報文中代理簽名的有效性，進而判定OBU的合法性。由可追蹤性可知，HSS可從代理簽名中計算出IMSI，確定OBU的具體身份，并以此為基礎(chǔ)采用基于HMAC的挑戰(zhàn)應答機制實現(xiàn)高效的實體間雙向身份認證。中間人攻擊主要針對缺少雙向身份認證的協(xié)議，故本方案亦可抵抗中間人攻擊。

(2)IMSI保護(抗重放攻擊)

由匿名性可知，攻擊者無法從PS中獲取有關(guān)IMSI的任何信息，由可追蹤性可知，只有HSS可以利用式( 6 )計算出IMSI完成對根密鑰K的檢索以及后續(xù)認證。因此，本方案實現(xiàn)了對IMSI的機密性保護。由于OBU所簽消息m以及后續(xù)傳輸?shù)母鲌笪闹薪园藭r戳，因此可以避免重放攻擊。

IMSI= (pσ-x)/[h(m‖I‖Rrand)×h(xH‖rH)]-

[y+xH×h(w)]/h(xH‖rH)

( 6 )

(3) MME對OBU的預認證(抗DoS攻擊)

由不可偽造性可知，只有合法OBU才能獲得有效的代理簽名私鑰進而生成合法的代理簽名。因此，MME可以在OBU發(fā)起接入請求后利用HSS公鑰完成對代理簽名的驗證，進而實現(xiàn)對OBU合法性的預認證，并不需要轉(zhuǎn)發(fā)接入請求到HSS進行間接認證，避免了惡意接入請求進入核心網(wǎng)。因此，本文方案可實現(xiàn)MME對OBU的預認證，同時也有效避免了針對HSS的拒絕服務(wù)攻擊。

(4) 認證信息的本地生成及KASME的動態(tài)更新

本方案中認證信息由MME借助KASME衍生的認證密鑰KA本地生成，無需HSS參與，因此不存在EPS-AKA協(xié)議中因認證向量耗盡而頻繁地進行認證向量的遠程請求與傳輸問題。此外，每次重認證時KASME會進行更新，相比文獻[17]具有更高的安全性。

(5)KASME的完備前向安全性

( 7 )

( 8 )

(6) 抗去同步攻擊

3.3 安全性對比

所提方案與已有方案進行對比分析結(jié)果見表2。其中，EPS-AKA[2]是3GPP制訂的LTE標準方案，文獻[11，14,17]分別是基于代理簽名算法、基于DH密鑰協(xié)商算法和基于對稱密碼體制的代表方案。

表2 安全特性對比

由表2可見，EPS-AKA缺少對IMSI的保護以及MME對移動終端的預認證，因此易遭受多種網(wǎng)絡(luò)攻擊。方案[11、14，17]分別引入代理簽名、DH密鑰協(xié)商算法和密鑰標識符進行改進，但仍未實現(xiàn)MME對OBU的預認證，難以抵抗DoS攻擊。此外，方案[14]密鑰協(xié)商過程缺乏身份認證，易遭受中間人攻擊和拒絕服務(wù)攻擊。方案[17]無法提供不可否認性，難以抵抗去同步攻擊，且會話密鑰不具有完備前向安全。而本方案利用匿名代理簽名算法實現(xiàn)了表中所列安全特性，相比現(xiàn)有方案具有更高的安全性。

4 效率分析

本節(jié)分析本文所提方案的各項性能指標，如計算量和通信量，以及在模擬列車運行場景下本方案的性能表現(xiàn)，并與現(xiàn)有典型方案進行對比。

4.1 計算量與通信量

表3 性能對比

注：n為預生成認證向量的數(shù)量，當n>6個時，EPS-AKA、文獻[11,14]方案通信量將大于本方案。

由表3可見，本方案初始認證協(xié)議雖具有較高的計算量和通信量，但其引入代理簽名算法實現(xiàn)了相較于現(xiàn)有方案更高的安全性。本方案的重認證協(xié)議采用對稱密碼算法，計算量和通信量與現(xiàn)有方案持平，同時，借助動態(tài)可更新的KASME實現(xiàn)了認證信息的本地生成，避免了認證向量耗盡而重啟初始認證協(xié)議的問題，降低了初始認證協(xié)議對整體認證效率的影響。正是由于上述特點，本方案在OBU高速移動的LTE-R系統(tǒng)中相比現(xiàn)有方案，具有更高的安全性、適用性和認證效率。

4.2 列車運行過程的性能仿真

根據(jù)表3指標，對列車運行1 200 km的整個過程進行Matlab仿真?？紤]到鐵路系統(tǒng)對安全性和可靠性的苛刻要求，以及無線閉塞中心對列車位置的需求，鐵路沿線基站間隔設(shè)為3 km，追蹤區(qū)列表范圍設(shè)定為9 km，每次初始認證生成5個認證向量，移動過程的性能仿真比較見圖4。

由圖4可見，列車每次駛離當前跟蹤區(qū)列表覆蓋范圍便進行一次位置更新，執(zhí)行重認證協(xié)議并獲取新的跟蹤區(qū)列表，計算量與通信量呈階梯狀上升趨勢。計算量方面，本方案引入了匿名代理簽名算法，初始計算耗時較高，但隨著列車運行距離增加至大約793 km后，本方案相較其他方案具有更低的計算耗時，這是由于本方案初始認證僅需執(zhí)行一次，且本方案的重認證具有較高的效率。通信量方面本方案略高于文獻[17]方案，但文獻[17]方案難以提供不可否認性，不支持MME預認證，難以抵抗DoS攻擊。綜上，在高速移動、重認證頻繁的鐵路無線通信中，本方案在保證比現(xiàn)有方案更高安全性的基礎(chǔ)上，實現(xiàn)了較高的認證效率，且隨著列車運行距離的增加，本方案的效率優(yōu)勢會更加明顯。

5 結(jié)束語

為解決EPS-AKA和現(xiàn)有方案中存在的安全與性能不足，本文面向LTE-R中的不同認證場景，提出了一個基于匿名代理簽名的LTE-R車-地無線通信安全認證方案。本方案引入橢圓曲線匿名代理簽名算法實現(xiàn)了IMSI機密性保護以及MME對OBU的預認證功能，進而提供了對中間人攻擊、重放攻擊和DoS攻擊的抵抗。此外，本方案利用高效的重認證過程以及認證信息本地生成功能，有效避免了初始認證的頻繁重啟，提高了方案整體認證性能。相比現(xiàn)有方案，本方案具有更高的安全性和良好的認證效率，更加適用于對安全性和實時性要求苛刻的LTE-R車地通信過程。