趙 越，田 波，陳周國(guó)，丁建偉，蘇 宏

(1.保密通信重點(diǎn)實(shí)驗(yàn)室，四川 成都 610041；2.中國(guó)電子科技集團(tuán)公司第三十研究所，四川 成都 610041)

近年來(lái)，高速鐵路場(chǎng)景下的車地?zé)o線通信受到廣泛關(guān)注。列車高速移動(dòng)遇到的主要問(wèn)題是快速且頻繁的切換。基站(Evolved NodeB, eNodeB)受到固定位置和發(fā)射功率的限制，導(dǎo)致列車上用戶設(shè)備(User Equipment, UE)在通話時(shí)間內(nèi)會(huì)穿越多個(gè)小區(qū)。列車是人員相對(duì)集中的環(huán)境，當(dāng)列車經(jīng)過(guò)重疊區(qū)時(shí)，車內(nèi)所有的UE同時(shí)發(fā)生群組切換，大量UE發(fā)送切換請(qǐng)求會(huì)造成信令風(fēng)暴，導(dǎo)致系統(tǒng)阻塞甚至癱瘓。

現(xiàn)有解決方案是在列車內(nèi)將這些用戶的信息用車載天線進(jìn)行匯聚，然后通過(guò)車載天線與地面基站進(jìn)行交互。車載天線作為中繼站(Relay Station, RS)協(xié)助UE與eNodeB完成通信的建立過(guò)程，對(duì)于下行鏈路而言其第一跳是從基站到高速列車的RS，第二跳是從高速列車的RS到UE[1-2]。對(duì)基站來(lái)說(shuō)整個(gè)列車相當(dāng)于是一個(gè)用戶在發(fā)送切換請(qǐng)求，極大減少了信令交互負(fù)荷。但是，當(dāng)列車高速移動(dòng)時(shí)，RS仍會(huì)在多個(gè)eNodeB之間進(jìn)行快速且頻繁的切換信息交互，切換信令消息仍面臨竊取、篡改、偽造、重放等攻擊的威脅，需要設(shè)計(jì)平滑無(wú)縫的安全切換方案，確保滿足各項(xiàng)安全屬性，同時(shí)盡量縮短切換時(shí)延，降低切換過(guò)程中的中斷率。

為了應(yīng)對(duì)高速列車切換時(shí)面臨的各種安全威脅，需要使用安全機(jī)制來(lái)保障切換的安全性，特別是接入認(rèn)證和密鑰協(xié)商兩個(gè)方面。接入認(rèn)證是安全防護(hù)的第一步，節(jié)點(diǎn)和網(wǎng)絡(luò)之間需要進(jìn)行雙向的身份認(rèn)證；而密鑰協(xié)商是保障開(kāi)放網(wǎng)絡(luò)環(huán)境中通信安全的前提條件。由于安全機(jī)制的引入，不可避免地導(dǎo)致切換性能的下降，需要深入研究如何減少列車切換時(shí)延和系統(tǒng)開(kāi)銷。

目前，高速列車切換技術(shù)的研究集中在高速列車跨區(qū)切換性能的優(yōu)化方面，很少考慮安全方面的需求。文獻(xiàn)[3]提出將認(rèn)證授權(quán)記帳(Authentication, Authorization and Accounting, AAA)技術(shù)引入移動(dòng)切換中，實(shí)現(xiàn)切換過(guò)程中節(jié)點(diǎn)認(rèn)證注冊(cè)的安全性。但是，AAA技術(shù)需要公鑰證書和公鑰基礎(chǔ)設(shè)施的支持，在高速列車快速移動(dòng)場(chǎng)景下性能不高。文獻(xiàn)[4]提出適用于車載網(wǎng)絡(luò)的基于身份簽名的快速接入認(rèn)證方法(Access Authentication Based on Identity Signature, AAIS)，該方案支持車輛和網(wǎng)絡(luò)之間進(jìn)行雙向身份認(rèn)證，但對(duì)信令消息的機(jī)密性和完整性缺乏有效的保護(hù)，并且在切換過(guò)程中需要同家鄉(xiāng)代理進(jìn)行信息交互。在消息傳輸安全方面，文獻(xiàn)[5]提出車地?zé)o線通信使用互聯(lián)網(wǎng)協(xié)議安全性(Internet Protocol Security, IPSec)機(jī)制實(shí)現(xiàn)信令和數(shù)據(jù)消息傳輸?shù)陌踩Ｗo(hù)，采用Internet密鑰交換協(xié)議實(shí)現(xiàn)安全關(guān)聯(lián)。然而，IPSec機(jī)制不能很好地支持域間切換，Internet密鑰交換協(xié)議也必須通過(guò)預(yù)共享密鑰或公鑰證書才能完成，因此并不完全適合列車高速移動(dòng)快速切換的特點(diǎn)。

由于eNodeB部署拓?fù)渑c列車行進(jìn)路線的穩(wěn)定性，有可能預(yù)先判斷RS將要接入的目標(biāo)eNodeB，從而有望減少切換過(guò)程中由安全機(jī)制的處理開(kāi)銷而引起的延遲。本文根據(jù)典型的高速鐵路切換場(chǎng)景，設(shè)計(jì)一種基于預(yù)認(rèn)證的安全切換(Secure Handoff Based on Pre-authentication, SHPA)機(jī)制，將雙向認(rèn)證和會(huì)話密鑰協(xié)商機(jī)制并入切換過(guò)程中。安全性分析與仿真實(shí)驗(yàn)表明，本文提出的切換機(jī)制不僅具有較高的安全性，而且有效降低了切換時(shí)延和中斷率，同時(shí)保持了較為穩(wěn)定的吞吐率，顯著改善了車地?zé)o線通信的切換性能。

1 系統(tǒng)模型

UE與RS、eNodeB的無(wú)線通信模型見(jiàn)圖1，當(dāng)用戶登上或靠近列車時(shí)，UE從與eNodeB的連接切換到與列車頂部RS的連接，通過(guò)RS接入地面eNodeB，eNodeB向移動(dòng)管理實(shí)體(Mobility Management, MME)發(fā)送附屬關(guān)系更新信息。由于UE與RS連接前就是與eNodeB連接，因此eNodeB具有UE的證書，UE也具有eNodeB的認(rèn)證及授權(quán)信息。另外，RS同樣作為eNodeB的用戶，在入網(wǎng)時(shí)需要與eNodeB進(jìn)行雙向認(rèn)證和會(huì)話密鑰協(xié)商。UE與RS之間通過(guò)eNodeB傳遞信任關(guān)系，實(shí)現(xiàn)間接的相互認(rèn)證。當(dāng)列車開(kāi)動(dòng)時(shí)，列車內(nèi)的UE與RS一起移動(dòng)，仍然維持原有的安全關(guān)聯(lián)，不需要重新認(rèn)證；而下車與站臺(tái)的UE則與信號(hào)范圍內(nèi)的eNodeB建立新的安全關(guān)聯(lián)。

圖1 UE與RS、eNodeB的無(wú)線通信模型

列車發(fā)生移動(dòng)時(shí)的關(guān)鍵問(wèn)題是解決RS在eNodeB之間的安全切換。由于軌道旁eNodeB部署的規(guī)律性，可事先判斷列車在行駛途中RS會(huì)切換到eNodeB的集合。另外，由于列車到站、出站時(shí)間以及各區(qū)段行駛速率均要求符合相關(guān)規(guī)定，所以能夠根據(jù)列車所在位置和移動(dòng)方向、eNodeB的部署拓?fù)渑袛嗖煌瑫r(shí)間段RS有可能切換到eNodeB的編號(hào)。而且，RS切換前后的eNodeB一般處于相鄰的位置，可以通過(guò)光纖電纜直接通信。

V=((x1-x0),(y1-y0))

( 1 )

從RS原位置(x0,y0)到其所在區(qū)域各相鄰eNodeBj的向量為

Wj=((xj-x0),(yj-y0))

( 2 )

式中：各鄰近eNodeBj的位置信息為(xj,yj)，j=2,3,4。向量V與Wj之間的夾角δj為

( 3 )

如果RS在t1時(shí)刻所處位置與eNodeBj連線在移動(dòng)向量V上投影最小，即

δj=argminj(V·sinδj)

( 4 )

則eNodeBj被選擇作為后續(xù)可能被接入基站?；诹熊囈苿?dòng)方向和位置的目標(biāo)基站選擇算法綜合考慮了列車位置、速度和方向等信息，RS提前與目標(biāo)eNodeB通過(guò)當(dāng)前連接的eNodeB進(jìn)行消息交互，預(yù)先完成地址配置和接入認(rèn)證功能。此后，RS可以快速切換至目標(biāo)eNodeB，大幅減少由于認(rèn)證與密鑰協(xié)商等機(jī)制所引起的切換時(shí)延，從而有效地提高切換時(shí)的網(wǎng)絡(luò)性能。在列車高速行駛的情況下，這種快速切換需求表現(xiàn)的尤為迫切。高速移動(dòng)的列車在兩個(gè)相鄰eNodeB的重合覆蓋區(qū)域所處的時(shí)間非常短，為了盡量減少切換過(guò)程的中斷率并保持穩(wěn)定的通信連接，必須對(duì)切換過(guò)程加以優(yōu)化。

圖2 基于列車移動(dòng)方向和位置的目標(biāo)基站選擇方法

2 基于預(yù)認(rèn)證的安全切換機(jī)制

SHPA機(jī)制結(jié)合可認(rèn)證密鑰協(xié)商協(xié)議實(shí)現(xiàn)了RS和目標(biāo)eNodeB之間的雙向認(rèn)證以及生成共享的會(huì)話密鑰，對(duì)后續(xù)的信令消息或網(wǎng)絡(luò)流量提供信道傳輸加密保護(hù)。列車行駛過(guò)程中安全切換流程見(jiàn)圖3。在RS將要進(jìn)入目標(biāo)eNodeB的覆蓋范圍之前，通過(guò)當(dāng)前連接的eNodeB進(jìn)行地址配置并完成與目標(biāo)eNodeB的雙向認(rèn)證，同時(shí)協(xié)商會(huì)話密鑰；當(dāng)RS進(jìn)入目標(biāo)eNodeB的覆蓋范圍之后，即可馬上進(jìn)行RS及其所連接UE的位置登記，然后執(zhí)行鏈路層切換，激活新的連接。安全切換機(jī)制的主要步驟如下：

m1=EK1(IDRS,IPRES,IP2)∧

SignCryptSKRS,PK2(IPRES,gα,R)

我國(guó)在一定程度上可借鑒日本、瑞典的一些做法.具體可通過(guò)政策支持體系、金融支持體系、社會(huì)支持體系等推動(dòng)傳統(tǒng)產(chǎn)業(yè)的發(fā)展.建立健全允許就業(yè)貢獻(xiàn)率大、GDP貢獻(xiàn)率大且環(huán)境友好型的傳統(tǒng)產(chǎn)業(yè)生存、發(fā)展的機(jī)制、體制，并在財(cái)政、稅收等方面予以政策支持；加強(qiáng)對(duì)傳統(tǒng)產(chǎn)業(yè)的金融服務(wù)，建立、健全多層次的金融服務(wù)支持體系；倡導(dǎo)允許、鼓勵(lì)傳統(tǒng)產(chǎn)業(yè)生存、發(fā)展的社會(huì)輿論，加強(qiáng)企業(yè)、產(chǎn)業(yè)(行業(yè))間互相的物質(zhì)支持、網(wǎng)絡(luò)支持和主觀體驗(yàn)支持等社會(huì)支持體系.

( 5 )

圖3 基于預(yù)認(rèn)證的安全切換流程

Step2eNodeB 1接收到切換準(zhǔn)備請(qǐng)求消息以后，利用會(huì)話密鑰K1解密m1前一部分消息，將IDRS與數(shù)據(jù)庫(kù)中存儲(chǔ)的ID進(jìn)行匹配以確認(rèn)RS的身份。如果ID不匹配，則認(rèn)證失敗；否則eNodeB 1將后一部分消息通過(guò)光纖鏈路發(fā)送給eNodeB 2。

m2=SignCryptSK2,PKRS(gβ，H2(K2)，H2(R)，IPRS)

( 6 )

Step4eNodeB 1使用RS和eNodeB 1之間的會(huì)話密鑰K1對(duì)m2加密后發(fā)送給RS。

Step5RS接收到eNodeB 1轉(zhuǎn)發(fā)的切換準(zhǔn)備響應(yīng)消息后，利用K1對(duì)m2進(jìn)行解密，再利用其私鑰SKRS和eNodeB 2的公鑰PK2進(jìn)行驗(yàn)簽操作，得到H2(R)、gβ、H2(K2)，以及切換后的新IP地址IPRS，對(duì)比H2(R)與HRS(R)，如果不相等則拒絕對(duì)方的認(rèn)證請(qǐng)求；否則RS計(jì)算K′=gαβ，對(duì)K′進(jìn)行SHA-1運(yùn)算得到HRS(K′)，驗(yàn)證HRS(K′)與H2(K2)是否相等，如果相等則RS與eNodeB 2完成了會(huì)話密鑰的協(xié)商，可以利用該密鑰K′(K2)加密后續(xù)的信令信息。

Step6當(dāng)列車從eNodeB 1的覆蓋區(qū)域進(jìn)入eNodeB 2的覆蓋區(qū)域時(shí)，只要RS接收到eNodeB 2的導(dǎo)頻強(qiáng)度比eNodeB 1的導(dǎo)頻強(qiáng)度高于事先設(shè)定的閾值時(shí)，則向eNodeB 1發(fā)出切換請(qǐng)求消息，要求中斷與eNodeB 1的無(wú)線連接。eNodeB 1收到切換請(qǐng)求消息后返回切換響應(yīng)消息。兩條信令消息均使用K1加密。

Step7eNodeB 1向eNodeB 2發(fā)送連接激活消息，完成與RS之間通信連接的建立，eNodeB 2使用切換釋放消息通知eNodeB 1釋放原先占用的鏈路資源；eNodeB 2向MME轉(zhuǎn)發(fā)連接激活消息，包括RS的身份標(biāo)識(shí)IDRS、RS新的附屬關(guān)系以及切換后的新IP地址IPRS。

Step8上述切換完成之后，eNodeB 2與RS通過(guò)協(xié)商的會(huì)話密鑰K2(K′)加密接下來(lái)的信令消息和網(wǎng)絡(luò)流量，實(shí)現(xiàn)消息的機(jī)密性保護(hù)。

3 安全機(jī)制分析

3.1 安全性分析

(1)滿足前向安全性。SHPA機(jī)制結(jié)合可認(rèn)證密鑰協(xié)商協(xié)議，采用橢圓曲線數(shù)字簽名以及身份標(biāo)識(shí)、SHA-1加密的方式實(shí)現(xiàn)身份認(rèn)證，得到共享密鑰K2=K′=gαβ。攻擊者無(wú)法通過(guò)密鑰協(xié)商交換過(guò)程的消息gα和gβ獲得α和β，也不能計(jì)算出gαβ，除非能夠攻破橢圓曲線離線對(duì)數(shù)的困難問(wèn)題。由于會(huì)話密鑰僅由隨機(jī)數(shù)gαβ確定，所以即使RS和eNodeB 2的私鑰泄漏，之前建立的會(huì)話密鑰的安全性也不會(huì)受影響。所以SHPA機(jī)制具有完全前向安全性。

(2)能夠防止節(jié)點(diǎn)偽造攻擊。可認(rèn)證密鑰協(xié)商協(xié)議采用簽名機(jī)制實(shí)現(xiàn)了雙向身份認(rèn)證，RS和eNodeB利用自己的私鑰對(duì)重要參數(shù)和密鑰交換消息等信息進(jìn)行簽名，完成密鑰交換消息的鑒別并實(shí)現(xiàn)身份認(rèn)證。即使攻擊者能夠假冒RS或eNodeB的身份標(biāo)識(shí)和IP地址發(fā)送消息，但由于不知道參與雙方的私鑰，不能偽造簽名，可以有效防止非法用戶的偽造攻擊。

(3)能夠防范拒絕服務(wù)攻擊。拒絕服務(wù)攻擊是指攻擊者通過(guò)發(fā)送大量且無(wú)效的認(rèn)證請(qǐng)求，引發(fā)接收方進(jìn)行頻繁的基于橢圓曲線密碼的驗(yàn)簽運(yùn)算，以此占用接收方的計(jì)算資源。在SHPA機(jī)制中RS與eNodeB 2的連接由eNodeB 1轉(zhuǎn)發(fā)，RS與eNodeB 1之間消息交互采用雙方會(huì)話密鑰加密，eNodeB 1僅將成功解密后的消息經(jīng)過(guò)光纖鏈路轉(zhuǎn)發(fā)給eNodeB 2。由于攻擊者無(wú)法知道密鑰消息，不能與eNodeB 1、eNodeB 2建立會(huì)話密鑰，因此eNodeB 2可以有效檢驗(yàn)認(rèn)證請(qǐng)求是否有效，決定是否進(jìn)行驗(yàn)簽運(yùn)算，防止拒絕服務(wù)攻擊。此外，對(duì)于占用信道資源的拒絕服務(wù)攻擊可采用流量檢測(cè)的方法進(jìn)行防御[7]，本文不再對(duì)此做具體分析。

(4)能夠抵制重放攻擊。在認(rèn)證消息中采用僅對(duì)一次會(huì)話有效的隨機(jī)數(shù)作為“挑戰(zhàn)”證明消息的新鮮性。攻擊者即使重放已經(jīng)截獲的消息，但由于隨機(jī)數(shù)已失效，且其未通過(guò)身份認(rèn)證，所以無(wú)法發(fā)起重放攻擊。

3.2 效率分析

考慮到RS與eNodeB計(jì)算能力的差異，主要分析RS在安全切換過(guò)程中產(chǎn)生的開(kāi)銷，將SHPA與文獻(xiàn)[3-5]提出的AAA、AAIS、IPSec等切換機(jī)制進(jìn)行比較，從計(jì)算量和交互次數(shù)兩個(gè)方面分析切換性能的差異，比較結(jié)果如表1所示。按照SHPA機(jī)制，RS只進(jìn)行兩次散列運(yùn)算、兩次公鑰運(yùn)算和兩次模指數(shù)運(yùn)算，與AAA和IPSec機(jī)制相比，SHPA機(jī)制的計(jì)算開(kāi)銷明顯要??；SHPA與AAIS機(jī)制相比，不需要到家鄉(xiāng)代理去驗(yàn)證身份，而是通過(guò)橢圓曲線密碼進(jìn)行雙向身份驗(yàn)證，對(duì)信令消息的機(jī)密性與完整性也采取了更好的安全保護(hù)。

表1 安全切換機(jī)制的計(jì)算開(kāi)銷比較

4 實(shí)驗(yàn)與性能分析

通過(guò)MATLAB仿真實(shí)驗(yàn)分析高速列車的RS在eNodeB間移動(dòng)時(shí)的安全切換性能，具體對(duì)SHPA與AAA、AAIS、IPSec等安全切換機(jī)制進(jìn)行性能對(duì)比與分析，仿真模型與參數(shù)如表2所示。

表2 高速列車安全切換的仿真模型與參數(shù)

圖4給出了高速列車在不同行駛速率條件下，四種安全切換機(jī)制的切換時(shí)延仿真結(jié)果。從圖4可以看出，采用SHPA機(jī)制的切換時(shí)延普遍低于50 ms。如果在RS發(fā)生移動(dòng)切換的時(shí)間內(nèi)，列車上的UE正在進(jìn)行語(yǔ)音通信，低于50 ms的切換時(shí)延不會(huì)被人耳明顯感覺(jué)到[11]。而AAA、IPSec兩種機(jī)制的切換時(shí)延高于60 ms，可能會(huì)導(dǎo)致語(yǔ)音通信臨時(shí)中斷。雖然AAIS機(jī)制的計(jì)算開(kāi)銷與SHPA機(jī)制近似，但由于其交互信息次數(shù)較多，所以切換時(shí)延高于SHPA機(jī)制。此外，在高速列車移動(dòng)速率較高時(shí)，切換時(shí)延有所上升。這是因?yàn)镽S移動(dòng)速率增加引起了愈加嚴(yán)重的多普勒效應(yīng)，造成誤碼性能的惡化進(jìn)而導(dǎo)致切換信令傳輸?shù)难舆t[12]?？梢?jiàn)高移動(dòng)性對(duì)切換性能具有一定的影響。

圖4 四種安全切換機(jī)制的切換時(shí)延比較

圖5給出了高速列車以350 km/h行駛速度在兩個(gè)eNodeB之間發(fā)生切換時(shí)的系統(tǒng)平均吞吐率。四種安全切換機(jī)制的吞吐率差異體現(xiàn)在切換發(fā)生區(qū)域，距離原eNodeB約為450～600 m?？梢钥吹?，當(dāng)RS根據(jù)切換情況發(fā)生切換時(shí)，四種安全切換機(jī)制的吞吐率均有所下降，尤其是RS與原eNodeB距離為525 m時(shí)，吞吐率達(dá)到最低值。這是因?yàn)楫?dāng)高速行駛的列車滿足切換條件時(shí)，往往已向前行駛一段距離，愈加靠近目標(biāo)eNodeB，列車的高移動(dòng)性造成了切換滯后。隨著列車向前移動(dòng)，吞吐率會(huì)逐步回升，最后達(dá)到一個(gè)彼此較為相近的水平。由于SHPA機(jī)制的切換時(shí)延相對(duì)較小，在切換時(shí)吞吐率下降的程度也較小，切換過(guò)程的吞吐率均高于19.5 Mbit/s。當(dāng)RS距離eNodeB約為525 m時(shí)，SHPA與AAA、AAIS、IPSec三種機(jī)制相比，系統(tǒng)吞吐率分別提升了12.7%、4.3%和10.8%。

圖5 四種安全切換機(jī)制的吞吐率比較

高速列車在發(fā)生移動(dòng)切換時(shí)，如果信號(hào)質(zhì)量不能滿足通信要求則會(huì)發(fā)生中斷。列車速度越快，切換滯后越明顯，RS與原基站距離越遠(yuǎn)，切換中斷率就越高。圖6為列車行駛速率提升至500 km/h時(shí)，四種安全切換機(jī)制的中斷率比較。SHPA機(jī)制的中斷率明顯低于傳統(tǒng)切換方案。這是因?yàn)镾HPA機(jī)制預(yù)先判斷RS將要接入的目標(biāo)eNodeB，提前執(zhí)行切換準(zhǔn)備工作，不需要向傳統(tǒng)切換方案那樣觸發(fā)切換，在一定程度上消除了由于高速行駛帶來(lái)的切換滯后問(wèn)題[13]。當(dāng)RS與原eNodeB距離為500～510 m時(shí)，SHPA的平均中斷率達(dá)到最高值1.6%。與其他安全切換機(jī)制相比，SHPA機(jī)制較好地緩解了切換滯后問(wèn)題，并且切換中斷率得到了有效控制。

圖6 四種安全切換機(jī)制的切換中斷率比較

5 結(jié)束語(yǔ)

針對(duì)基于中繼站輔助的高速列車在行駛過(guò)程中面臨的安全切換問(wèn)題，根據(jù)列車所在位置和移動(dòng)方向、eNodeB的部署拓?fù)?，判斷RS將要接入的目標(biāo)eNodeB。在此基礎(chǔ)上，設(shè)計(jì)一種基于預(yù)認(rèn)證的高速列車安全切換機(jī)制，結(jié)合可認(rèn)證密鑰協(xié)商協(xié)議實(shí)現(xiàn)RS和目標(biāo)eNodeB之間的雙向認(rèn)證以及生成共享的會(huì)話密鑰。通過(guò)安全性分析、效率分析和仿真實(shí)驗(yàn)表明，提出的SHPA機(jī)制不僅具有較高的安全性，而且能夠有效降低RS在安全切換過(guò)程中產(chǎn)生的計(jì)算開(kāi)銷，當(dāng)高速列車的行駛速度低于500 km/h時(shí)，切換時(shí)延普遍低于50 ms，切換中斷率低于1.6%，當(dāng)高速列車的行駛速度為350 km/h時(shí)，切換過(guò)程的吞吐率均高于19.5 Mbit/s。因此，SHPA機(jī)制較好地改善了高速列車的切換性能，期望可以為未來(lái)軌道交通信息系統(tǒng)的規(guī)劃設(shè)計(jì)提供支持與借鑒。