曹進(jìn)，卜秋雨，楊元元，李暉，劉樵，馬懋德

（1.西安電子科技大學(xué)網(wǎng)絡(luò)與信息安全學(xué)院，陜西 西安 710071；2.卡塔爾大學(xué)工程學(xué)院，多哈 999043）

0 引言

隨著地面5G 移動(dòng)通信技術(shù)的快速發(fā)展，人們對(duì)面向6G 的未來通信場(chǎng)景提出了更高要求。作為地面通信網(wǎng)絡(luò)的補(bǔ)充，衛(wèi)星網(wǎng)絡(luò)因其覆蓋范圍廣、吞吐量大、部署靈活等特點(diǎn)受到人們的廣泛關(guān)注[1]。利用衛(wèi)星網(wǎng)絡(luò)保障用戶設(shè)備在偏遠(yuǎn)山區(qū)、荒漠遠(yuǎn)洋等地的安全接入，為電力勘測(cè)、應(yīng)急救援等領(lǐng)域提供了技術(shù)上的支撐，有利于促進(jìn)天地一體化信息網(wǎng)絡(luò)的高度融合與深度互聯(lián)[2-3]。

北斗導(dǎo)航衛(wèi)星系統(tǒng)由我國(guó)自主研制，是繼美國(guó)的GPS、俄羅斯的GLONASS 之后第三個(gè)成熟、獨(dú)立的衛(wèi)星導(dǎo)航系統(tǒng)，是我國(guó)重要的空間基礎(chǔ)設(shè)施[4]。其中，北斗三號(hào)衛(wèi)星導(dǎo)航系統(tǒng)由24 顆中地球軌道（MEO,middle earth orbit）衛(wèi)星、3 顆地球靜止軌道（GEO,geostationary earth orbit）衛(wèi)星、3 顆傾斜地球同步軌道（IGSO,inclined geosynchronous orbit）衛(wèi)星構(gòu)成。MEO 衛(wèi)星主要負(fù)責(zé)提供全球范圍內(nèi)的定位導(dǎo)航、國(guó)際搜救、短報(bào)文通信等服務(wù)；GEO 衛(wèi)星主要提供區(qū)域性的精密授時(shí)、位置報(bào)告等功能；IGSO 衛(wèi)星可以對(duì)GEO 衛(wèi)星進(jìn)行區(qū)域互補(bǔ)[5]。

近年來，隨著信息網(wǎng)絡(luò)的快速發(fā)展，衛(wèi)星網(wǎng)絡(luò)的用戶設(shè)備接入認(rèn)證協(xié)議逐漸受到研究人員的關(guān)注。然而衛(wèi)星通信具有網(wǎng)絡(luò)拓?fù)漕l繁變化、衛(wèi)星節(jié)點(diǎn)計(jì)算和存儲(chǔ)能力受限等特點(diǎn)。除此以外，天地一體化信息網(wǎng)絡(luò)容易受到敵手蓄意攻擊和破壞。因此傳統(tǒng)地面通信網(wǎng)絡(luò)等接入認(rèn)證協(xié)議難以適用于衛(wèi)星網(wǎng)絡(luò)[6]。綜上所述，構(gòu)建天地一體化信息網(wǎng)絡(luò)的接入認(rèn)證架構(gòu)的重要性不言而喻。

用戶設(shè)備-衛(wèi)星-地面控制中心是傳統(tǒng)用戶設(shè)備接入認(rèn)證的常見架構(gòu)，根據(jù)采用的密碼技術(shù)的不同，可以將其分為基于公鑰密碼、對(duì)稱密碼和輕量級(jí)算法的接入認(rèn)證機(jī)制。

在基于公鑰密碼的接入認(rèn)證機(jī)制中，Xue 等[7]提出了一種基于公鑰密碼算法的衛(wèi)星用戶設(shè)備接入認(rèn)證協(xié)議，在該協(xié)議中僅需要三次的星地交互即可完成用戶設(shè)備和地面控制中心的雙向認(rèn)證，降低了信令開銷，但是協(xié)議中進(jìn)行了大量的點(diǎn)乘操作，增大了計(jì)算開銷。Liu 等[8]提出了一種針對(duì)不同服務(wù)類型、服務(wù)場(chǎng)景的用戶設(shè)備接入認(rèn)證協(xié)議，通過少量的信令交互即可完成雙向認(rèn)證和密鑰協(xié)商；然而在用戶設(shè)備的接入認(rèn)證過程中，大量的簽名和驗(yàn)簽操作導(dǎo)致計(jì)算開銷巨大，難以適用于計(jì)算資源受限的衛(wèi)星網(wǎng)絡(luò)。馬軍等[9]指出現(xiàn)有的北斗接入認(rèn)證采用RSA 算法，導(dǎo)致認(rèn)證時(shí)延較長(zhǎng)，因此他們提出了一種基于SM2 算法的接入認(rèn)證協(xié)議，認(rèn)證所需的存儲(chǔ)空間較小、密鑰生成速度快，降低了用戶設(shè)備在接入認(rèn)證過程中的認(rèn)證時(shí)延。李昊鵬等[10]和趙東昊等[11]提出了在接入認(rèn)證過程中加入位置信息來避免假冒攻擊的協(xié)議，但大量的簽名和驗(yàn)簽操作會(huì)產(chǎn)生較大的計(jì)算開銷；另外，針對(duì)用戶設(shè)備的身份標(biāo)識(shí)沒有進(jìn)行隱私保護(hù)，可能導(dǎo)致用戶的身份隱私泄露問題，進(jìn)而引起針對(duì)用戶身份的各種攻擊，因此該方案并不適合北斗衛(wèi)星網(wǎng)絡(luò)。

公鑰密碼算法往往會(huì)帶來較大的計(jì)算開銷，于是研究人員將目光轉(zhuǎn)向?qū)ΨQ密碼算法。使用對(duì)稱密碼算法來設(shè)計(jì)用戶的接入認(rèn)證協(xié)議，可以減少認(rèn)證過程中所帶來的計(jì)算開銷，適用于資源受限的衛(wèi)星網(wǎng)絡(luò)。朱輝等[12]基于演進(jìn)的分組交換系統(tǒng)認(rèn)證與密鑰協(xié)商（EPS-AKA,evolved packet system based authentication and key agreement）協(xié)議提出了一種基于令牌的接入認(rèn)證機(jī)制，實(shí)現(xiàn)了用戶的隨遇接入，但是并沒有減少衛(wèi)星節(jié)點(diǎn)的存儲(chǔ)開銷和地面控制中心的計(jì)算開銷。Chen 等[13]提出了一種基于離散對(duì)數(shù)困難問題的認(rèn)證方案來保證實(shí)體之間的通信安全，實(shí)現(xiàn)了用戶的匿名性和不可追蹤性，可以抵抗智能卡被盜的攻擊。然而，Kumar 等[14]指出Chen 等[13]的接入認(rèn)證協(xié)議存在缺陷，用戶設(shè)備無法向地面控制中心進(jìn)行身份認(rèn)證并建立安全的會(huì)話密鑰。針對(duì)此問題，Kumar 等[14]提出了一種移動(dòng)衛(wèi)星動(dòng)態(tài)認(rèn)證協(xié)議，協(xié)議中主要采用了對(duì)稱加密算法、哈希函數(shù)以及異或操作，認(rèn)證過程中的信令開銷和計(jì)算開銷較小，在性能和安全需求之間達(dá)到了平衡。

Lin[15]提出了一種輕量級(jí)的移動(dòng)衛(wèi)星通信系統(tǒng)動(dòng)態(tài)認(rèn)證協(xié)議，該協(xié)議中地面控制中心不需要使用用戶的驗(yàn)證表和更新表即可完成與衛(wèi)星用戶設(shè)備的雙向認(rèn)證，降低了通信系統(tǒng)的開銷。Liu 等[16]提出了一種臨時(shí)身份自我更新的策略，通過哈希函數(shù)、異或操作等完成了用戶和地面控制中心之間的雙向認(rèn)證，計(jì)算成本較低。吳克河等[17]提出了一種輕量級(jí)哈希算法和證書相結(jié)合的認(rèn)證協(xié)議，保證了消息來源的可靠性，然而協(xié)議中簽名和驗(yàn)簽操作帶來了較大的計(jì)算開銷。Zhao 等[18]提出了一種基于北斗通信網(wǎng)絡(luò)的無人機(jī)接入認(rèn)證協(xié)議，該協(xié)議使用單向哈希函數(shù)完成無人機(jī)和地面控制中心之間的雙向認(rèn)證，計(jì)算開銷小。然而該協(xié)議并未考慮到無人機(jī)被捕獲時(shí)可能導(dǎo)致主密鑰泄露，因此攻擊者可以通過用戶設(shè)備直接接入北斗網(wǎng)絡(luò)中，進(jìn)而引起嚴(yán)重的信息泄露問題。

基于上述技術(shù)分析，本文提出一種增強(qiáng)型用戶設(shè)備的接入認(rèn)證協(xié)議，其特點(diǎn)如下。

1) 支持用戶設(shè)備接入北斗衛(wèi)星網(wǎng)絡(luò)，實(shí)現(xiàn)用戶設(shè)備和北斗指控中心間的雙向認(rèn)證和會(huì)話密鑰協(xié)商。

2) 在認(rèn)證過程中，對(duì)用戶的身份標(biāo)識(shí)信息、位置信息進(jìn)行保護(hù)，滿足用戶身份隱私保護(hù)的需求，避免隱私泄露所帶來的安全問題。

3) 利用北斗位置報(bào)告的獨(dú)特性和主密鑰形成雙因子認(rèn)證，增強(qiáng)認(rèn)證的準(zhǔn)確性，本文協(xié)議在一定程度上可以抵抗用戶設(shè)備被捕獲而造成的主密鑰泄露攻擊。

4) 采用安全分析和性能分析充分評(píng)估本文協(xié)議的安全性，使用形式化驗(yàn)證工具Scyther 證明其安全性。在性能分析方面，從計(jì)算開銷、帶寬開銷以及存儲(chǔ)開銷3 個(gè)方面將本文協(xié)議與其他類似協(xié)議進(jìn)行對(duì)比，協(xié)議分析結(jié)果表明，本文協(xié)議在性能開銷和安全需求之間達(dá)到了一種平衡，更加適用于節(jié)點(diǎn)資源受限的北斗衛(wèi)星導(dǎo)航系統(tǒng)。

1 系統(tǒng)模型與安全需求

1.1 系統(tǒng)模型

系統(tǒng)模型如圖1 所示，本文主要研究用戶設(shè)備在衛(wèi)星網(wǎng)絡(luò)下的初始注冊(cè)和接入認(rèn)證過程。系統(tǒng)架構(gòu)主要包括以下實(shí)體：北斗衛(wèi)星導(dǎo)航系統(tǒng)（BDS,Beidou satellite navigation system）、北斗指控中心（BDC,Beidou control）以及用戶設(shè)備（UE,user equipment）。

圖1 系統(tǒng)模型

北斗導(dǎo)航衛(wèi)星系統(tǒng)是由不同軌道、不同類型的衛(wèi)星組成的多層次天基信息網(wǎng)絡(luò)，計(jì)算、存儲(chǔ)能力有限，主要負(fù)責(zé)用戶設(shè)備和北斗指控中心之間的信息交互。

北斗指控中心由主控站、監(jiān)測(cè)站等構(gòu)成，是北斗衛(wèi)星導(dǎo)航系統(tǒng)的主要管理者，負(fù)責(zé)北斗衛(wèi)星導(dǎo)航系統(tǒng)的運(yùn)行控制、實(shí)時(shí)檢測(cè)、數(shù)據(jù)處理等任務(wù)[5]。北斗指控中心一般具有較高的計(jì)算能力和存儲(chǔ)能力，可以承擔(dān)大量、復(fù)雜的運(yùn)算。

用戶設(shè)備指各種類型的用戶設(shè)備，如手持用戶設(shè)備，可以通過北斗衛(wèi)星導(dǎo)航系統(tǒng)接入北斗衛(wèi)星網(wǎng)絡(luò)，并獲得相應(yīng)的網(wǎng)絡(luò)服務(wù)。

1.2 安全需求

根據(jù)所述架構(gòu)，用戶設(shè)備通過北斗衛(wèi)星與地面通信的場(chǎng)景屬于無線通信領(lǐng)域，該領(lǐng)域中有2 種常見的攻擊模型：DY（Dolev-Yao）模型和 CK（Canetti-Krawczyk）模型。DY 模型是指攻擊者可以對(duì)信息網(wǎng)絡(luò)中的消息進(jìn)行截獲、重放、篡改，并且可以假冒網(wǎng)絡(luò)中的任意合法實(shí)體進(jìn)行通信。CK模型指對(duì)實(shí)體內(nèi)部的攻擊，出現(xiàn)主密鑰泄露、會(huì)話密鑰泄露造成非法用戶獲得相應(yīng)的網(wǎng)絡(luò)服務(wù)。用戶設(shè)備的接入認(rèn)證具有以下安全需求。

1) 雙向認(rèn)證。網(wǎng)絡(luò)中的實(shí)體需要進(jìn)行相互認(rèn)證，BDC 需要確認(rèn)UE 的身份，防止非法的用戶實(shí)體接入網(wǎng)絡(luò)并獲得相應(yīng)的服務(wù)；同時(shí)，UE 需要確定BDC 的身份，防止中間人、假冒攻擊等造成用戶的相關(guān)隱私信息泄露。

2) 密鑰協(xié)商。在接入認(rèn)證之后，UE 需要和BDC 協(xié)商出一個(gè)會(huì)話密鑰，便于保障后續(xù)通信消息的完整性和機(jī)密性。

3) 條件隱私性。用戶的條件隱私性主要是針對(duì)UE 的真實(shí)身份標(biāo)識(shí)和位置信息進(jìn)行保護(hù)。BDC 生成UE 臨時(shí)身份標(biāo)識(shí)，對(duì)UE 的真實(shí)身份標(biāo)識(shí)進(jìn)行匿名保護(hù)，且各個(gè)臨時(shí)身份標(biāo)識(shí)之間不具有相關(guān)性，保證后續(xù)認(rèn)證消息中UE 身份的獨(dú)立性。除此以外，采用臨時(shí)身份保護(hù)序列傳遞下一次接入認(rèn)證的臨時(shí)身份標(biāo)識(shí)，避免惡意實(shí)體的追蹤行為，增強(qiáng)認(rèn)證過程的安全性；對(duì)UE 的位置信息進(jìn)行加密處理，保證位置信息的機(jī)密性。

4) 可追責(zé)。由于用戶隱私保護(hù)的需求，本文協(xié)議中其他實(shí)體和攻擊者無法得知UE 的真實(shí)身份標(biāo)識(shí)。然而當(dāng)UE 存在惡意行為時(shí)，應(yīng)該具有追責(zé)的能力來保障天地一體化信息網(wǎng)絡(luò)的安全。

5) 前后向安全性。為了保證UE 在后續(xù)通信過程中會(huì)話的機(jī)密性和完整性，應(yīng)當(dāng)實(shí)現(xiàn)密鑰的前后向安全性。這意味著即使當(dāng)前的密鑰泄露，攻擊者也不能推出之前的會(huì)話和將來的會(huì)話中使用的密鑰，從而無法破解出更多的通信內(nèi)容。

除此以外，協(xié)議還應(yīng)該能抵抗常見的攻擊，如中間人攻擊、重放攻擊、假冒攻擊等。

2 協(xié)議設(shè)計(jì)

2.1 設(shè)計(jì)思路

針對(duì)上述的安全需求，本節(jié)提出了一種基于位置密鑰的增強(qiáng)型用戶設(shè)備接入認(rèn)證協(xié)議，主要分為以下2 個(gè)過程：用戶設(shè)備注冊(cè)過程和用戶設(shè)備接入認(rèn)證過程。

在注冊(cè)階段，UE 首先向BDC 發(fā)起注冊(cè)請(qǐng)求，BDC 收到UE 的請(qǐng)求之后，通過安全信道下發(fā)主密鑰key 和臨時(shí)身份標(biāo)識(shí)PIDu，臨時(shí)身份標(biāo)識(shí)會(huì)在初始接入認(rèn)證時(shí)進(jìn)行更新，便于下一次接入認(rèn)證時(shí)使用。在初始接入認(rèn)證階段，UE 和BDC 利用主密鑰key 派生加密密鑰CK 和位置密鑰AK，CK 用于用戶設(shè)備的位置信息的機(jī)密性保護(hù)，AK 用于完成實(shí)體之間的雙向認(rèn)證。除此以外，認(rèn)證過程中主要采用了單向哈希函數(shù)和對(duì)稱加密算法SM4，通過引入隨機(jī)數(shù)、時(shí)間戳、消息認(rèn)證碼、認(rèn)證響應(yīng)值，實(shí)現(xiàn)了用戶設(shè)備的接入認(rèn)證和會(huì)話密鑰的協(xié)商。表1 列舉了用戶設(shè)備在認(rèn)證過程中使用的符號(hào)及其含義。

表1 用戶設(shè)備在認(rèn)證過程中使用的符號(hào)及其含義

2.2 用戶設(shè)備注冊(cè)過程

為實(shí)現(xiàn)用戶設(shè)備注冊(cè)過程，用戶設(shè)備進(jìn)行離線注冊(cè)，北斗指控中心分發(fā)主密鑰、生成用戶接入認(rèn)證的臨時(shí)身份標(biāo)識(shí)等相關(guān)安全參數(shù)，具體過程如圖2所示。

圖2 用戶設(shè)備注冊(cè)過程

1) UE 根據(jù)用戶自身的IDu標(biāo)識(shí)發(fā)起注冊(cè)請(qǐng)求至BDC。

2) BDC 生成隨機(jī)數(shù)r、用戶設(shè)備的臨時(shí)身份標(biāo)識(shí)PIDu，結(jié)合基礎(chǔ)密鑰K，導(dǎo)出用戶設(shè)備的主密鑰key=f(r||K)，BDC 保存用戶設(shè)備的真實(shí)身份標(biāo)識(shí)IDu、臨時(shí)身份標(biāo)識(shí)PIDu和主密鑰key，并將用戶設(shè)備的臨時(shí)身份標(biāo)識(shí)PIDu和主密鑰key 分發(fā)至用戶設(shè)備。

3) UE 將收到的用戶設(shè)備的主密鑰key 寫入密碼模塊。

2.3 用戶設(shè)備接入認(rèn)證過程

針對(duì)天地一體化信息網(wǎng)絡(luò)的星地交互時(shí)延高、衛(wèi)星節(jié)點(diǎn)資源受限等特點(diǎn)，本節(jié)設(shè)計(jì)了一種基于哈希的輕量級(jí)認(rèn)證協(xié)議，如圖3 所示。該協(xié)議僅需要少量哈希算法和對(duì)稱密鑰算法就可以完成實(shí)體之間的雙向認(rèn)證以及會(huì)話密鑰協(xié)商，降低了系統(tǒng)的計(jì)算開銷。

圖3 用戶設(shè)備接入認(rèn)證過程

2) BDS 收到認(rèn)證向量AV1，連同自身 IDBDS標(biāo)識(shí)發(fā)送至BDC。

3 安全性分析

3.1 非形式化安全分析

本節(jié)采用非形式化的方法分析本文協(xié)議的安全性，并討論抵御各種攻擊類型的能力。

1) 雙向認(rèn)證。在上述用戶設(shè)備接入認(rèn)證過程中，用戶設(shè)備和北斗指控中心可以進(jìn)行雙向的身份認(rèn)證。用戶設(shè)備通過將本地計(jì)算的 MAC2和收到的消息驗(yàn)證碼 HMAC2進(jìn)行比較來鑒別北斗指控中心的身份；北斗指控中心通過本地計(jì)算的消息驗(yàn)證碼HMAC1和收到的消息驗(yàn)證碼 MAC1是否相等來鑒別用戶設(shè)備的身份，實(shí)現(xiàn)了兩方實(shí)體的身份認(rèn)證。

2) 條件隱私性。條件隱私性分為用戶設(shè)備身份的匿名性和用戶設(shè)備位置信息的機(jī)密性。UE 的匿名性通過注冊(cè)過程中生成的臨時(shí)身份標(biāo)識(shí)PIDu實(shí)現(xiàn)，并且在接入認(rèn)證過程中由北斗指控中心重新生成新的臨時(shí)身份標(biāo)識(shí)PID′u，來保障下一次的用戶設(shè)備接入認(rèn)證過程中UE 身份的匿名性。BDS 中不會(huì)存儲(chǔ)用戶的真實(shí)身份標(biāo)識(shí)和臨時(shí)身份標(biāo)識(shí)的映射表，且單向哈希算法不能通過反向求解獲得用戶的真實(shí)身份。因此對(duì)于BDS 以及其他用戶和敵手，可以實(shí)現(xiàn)用戶身份匿名性。位置信息的機(jī)密性通過在接入認(rèn)證過程中生成加密密鑰CK 對(duì)位置信息進(jìn)行加密，對(duì)于其他用戶和敵手來說，因?yàn)槠洳怀钟姓_IDu，無法計(jì)算出正確的加密密鑰，所以無法解密獲得用戶設(shè)備的位置。

3) 可追責(zé)與不可鏈接性。BDC 本地存儲(chǔ)著與臨時(shí)身份標(biāo)識(shí)PIDu相對(duì)應(yīng)的真實(shí)身份標(biāo)識(shí)IDu，所以BDC 可以獲得用戶的真實(shí)身份，實(shí)現(xiàn)用戶設(shè)備惡意行為的可追蹤性。因?yàn)殒溌返拈_放性，公共信道中的消息容易被攻擊者所捕獲，而攻擊者有可能從多次相同的認(rèn)證信息中鏈接到某個(gè)實(shí)體。而在本文協(xié)議中，傳遞的認(rèn)證消息在每一步驟后均進(jìn)行了更新，對(duì)于攻擊者來說是完全隨機(jī)的，因此不可能從消息中完成對(duì)于實(shí)體身份的關(guān)聯(lián)。

4) 抵抗重放攻擊。在用戶設(shè)備接入認(rèn)證過程中，UE 發(fā)送的認(rèn)證向量 AV1=PIDu||SM4(CK,N u||Lu)||MAC1||T1和BDC 發(fā)送的認(rèn)證向量 AV2=PID*||Ns||HMAC2||T2中加入了時(shí)間戳，保證了消息的新鮮性。認(rèn)證雙方實(shí)體可以通過是否含有相同時(shí)間戳消息來快速鑒別出攻擊者的攻擊行為，因此，本文協(xié)議可以抵抗重放攻擊。

5) 抵抗中間人攻擊。在本文協(xié)議中，只有用戶和北斗指控中心知曉用戶的真實(shí)身份和對(duì)應(yīng)的主密鑰，用戶在認(rèn)證請(qǐng)求消息中使用匿名身份標(biāo)識(shí)PIDu，攻擊者無法獲得用戶設(shè)備的真實(shí)身份標(biāo)識(shí)IDu和主密鑰key。攻擊者無法根據(jù)截獲的消息解密用戶和北斗指控中心的會(huì)話內(nèi)容，也就無法假冒其中一方與另一方進(jìn)行通信。因此，本文協(xié)議可以抵抗中間人攻擊。

6) 前后向安全。在本文協(xié)議中，生成會(huì)話密鑰時(shí)都使用新的隨機(jī)數(shù)，各會(huì)話密鑰之間獨(dú)立。攻擊者并不能推出之前的會(huì)話和將來的會(huì)話中的密鑰，無法破解出更多的通信內(nèi)容。因此，本文協(xié)議可以實(shí)現(xiàn)前后向安全。

7) 雙因子認(rèn)證。本文協(xié)議結(jié)合北斗位置報(bào)告服務(wù)，利用用戶設(shè)備的位置信息和主密鑰形成雙因子，在一定程度上避免了在認(rèn)證過程中用戶設(shè)備被俘獲可能導(dǎo)致的主密鑰泄露的安全問題，實(shí)現(xiàn)了用戶設(shè)備和北斗指控中心之間的雙向認(rèn)證和會(huì)話密鑰的協(xié)商。

3.2 形式化安全分析

本節(jié)采用形式化工具Scyther驗(yàn)證本文協(xié)議的安全性，該工具用于識(shí)別協(xié)議中常見的漏洞，形成攻擊輸出圖[19]。Scyther 內(nèi)部設(shè)置單向哈希函數(shù)、對(duì)稱加解密等操作，方便將協(xié)議轉(zhuǎn)換為spdl（安全協(xié)議描述）語(yǔ)言。本文涉及用戶注冊(cè)和接入認(rèn)證2 個(gè)階段，由于用戶離線完成注冊(cè)流程，因此該流程不進(jìn)行形式化驗(yàn)證。

首先，聲明協(xié)議名和角色集；其次，聲明角色中的變量、收發(fā)認(rèn)證消息和具有的安全屬性；最后，運(yùn)行協(xié)議進(jìn)行形式化驗(yàn)證[20]。Scyther 中各個(gè)角色從自身角度檢測(cè)是否得到滿足，若滿足該安全需求，驗(yàn)證輸出結(jié)果中的Status（狀態(tài)）為Verfied（通過）；否則為Falsified（失?。?。

針對(duì)用戶設(shè)備的接入認(rèn)證流程，本文使用Scyther 工具進(jìn)行形式化驗(yàn)證。協(xié)議中涉及三方實(shí)體，即UE、BDC 和BDS。對(duì)通信實(shí)體的安全屬性，如Secret（機(jī)密性）、Alive（存活性）、Weakagree（弱一致性）、Niagree（非單射一致攻擊）和Nisynch（前向安全）等進(jìn)行聲明，驗(yàn)證結(jié)果如圖4 所示。

圖4 用戶設(shè)備接入認(rèn)證流程Scyther 驗(yàn)證結(jié)果

由圖4 可知，在Scyther 聲明的Secret、Alive、Weakagree、Niagree 和Nisynch 屬性范圍內(nèi)均沒有發(fā)現(xiàn)任何攻擊。結(jié)果表明，本文協(xié)議實(shí)現(xiàn)了雙向認(rèn)證和用戶身份的隱私保護(hù)，具有前后向安全性，并且可以抵抗常見的協(xié)議攻擊，如中間人攻擊、重放攻擊等，保證了通信的機(jī)密性和完整性。

4 性能分析

在性能分析階段，本文首先從多個(gè)安全屬性的角度對(duì)本文協(xié)議和其他相似協(xié)議進(jìn)行分析對(duì)比；然后從計(jì)算開銷、帶寬開銷、存儲(chǔ)開銷3 個(gè)方面對(duì)本文協(xié)議和其他相似協(xié)議進(jìn)行分析。

4.1 安全性對(duì)比

本節(jié)針對(duì)本文協(xié)議和其他相似協(xié)議進(jìn)行了安全性對(duì)比，分析結(jié)果如表2 所示。從表2 可以看出，文獻(xiàn)[11]、文獻(xiàn)[17]協(xié)議并沒有對(duì)用戶的真實(shí)身份標(biāo)識(shí)進(jìn)行保護(hù)，容易造成用戶隱私信息的泄露。文獻(xiàn)[12]、文獻(xiàn)[14]針對(duì)天地一體化信息網(wǎng)絡(luò)場(chǎng)景下提出的接入認(rèn)證協(xié)議不具有后向安全性，可以推斷出未來的會(huì)話密鑰，帶來了嚴(yán)重的安全問題。文獻(xiàn)[8]、文獻(xiàn)[12]協(xié)議不能抵抗主密鑰泄露攻擊，甚至可以計(jì)算出當(dāng)前的會(huì)話密鑰，通信信息的機(jī)密性和完整性將受到威脅。本文協(xié)議利用北斗位置報(bào)告的獨(dú)特性，將用戶設(shè)備的位置信息和主密鑰相結(jié)合形成雙因子，并將位置信息加入認(rèn)證密鑰當(dāng)中，在一定程度上可以抵抗由于用戶設(shè)備被捕獲而造成主密鑰泄露攻擊的情況，有效地保障了通信過程中協(xié)議的安全性和可靠性。

表2 安全性對(duì)比分析結(jié)果

4.2 計(jì)算開銷

本文在計(jì)算開銷方面忽略級(jí)聯(lián)、異或操作時(shí)間，只考慮以下計(jì)算時(shí)間：哈希運(yùn)算TH、對(duì)稱加解密運(yùn)算Ts、非對(duì)稱加密運(yùn)算Tenc、非對(duì)稱解密運(yùn)算Tdec、簽名運(yùn)算Tsig、驗(yàn)簽運(yùn)算Tver、密鑰生成函數(shù)運(yùn)算TKDF、點(diǎn)乘運(yùn)算Tmul，通過構(gòu)建一個(gè)仿真平臺(tái)來測(cè)試以上密碼學(xué)算法的開銷。

選擇兩臺(tái)性能不同的計(jì)算機(jī)，一臺(tái)處理器為Intel（R）Core（TM）m3-6Y30 CPU @0.9 GHz，模擬計(jì)算資源、存儲(chǔ)資源受限的用戶設(shè)備/衛(wèi)星；另一臺(tái)處理器為Core（TM）i7-7500U CPU @2.70 GHz，模擬地面控制中心。所有密碼算法基于openssl-1.0.2e[21]實(shí)現(xiàn)，將每個(gè)密碼學(xué)算法運(yùn)行1 000 次，然后取平均運(yùn)行時(shí)間作為該密碼學(xué)算法的計(jì)算開銷，如表3所示[22]。各協(xié)議的計(jì)算開銷如表4 所示。

表3 每個(gè)密碼學(xué)算法的平均運(yùn)行時(shí)間

表4 基于密碼學(xué)算法的計(jì)算開銷

圖5 繪制了各協(xié)議在接入認(rèn)證階段計(jì)算開銷隨認(rèn)證次數(shù)增加時(shí)的變化。本文協(xié)議與文獻(xiàn)[8]、文獻(xiàn)[11]、文獻(xiàn)[14]、文獻(xiàn)[17]協(xié)議相比具有較大優(yōu)勢(shì)。本文協(xié)議基于哈希函數(shù)、KDF 算法、對(duì)稱加密機(jī)制，避免了公鑰密碼體制的簽名驗(yàn)簽、點(diǎn)乘操作，雖然計(jì)算開銷略高于文獻(xiàn)[12]協(xié)議，但是在存儲(chǔ)開銷、帶寬開銷方面相比文獻(xiàn)[12]協(xié)議具有顯著優(yōu)勢(shì)。

圖5 各協(xié)議在接入認(rèn)證階段計(jì)算開銷隨認(rèn)證次數(shù)增加時(shí)的變化

4.3 帶寬開銷

為了公平起見，本節(jié)將各協(xié)議的帶寬開銷在AES-128 bit 同等安全級(jí)別進(jìn)行比較。對(duì)稱加密算法的密鑰長(zhǎng)度為SM4-128 bit；公鑰密碼算法的公鑰長(zhǎng)度為3 072 bit，私鑰長(zhǎng)度為256 bit；橢圓曲線的密鑰長(zhǎng)度為320 bit；哈希函數(shù)的輸出長(zhǎng)度為128 bit；KDF的輸出長(zhǎng)度為SM3-256 bit；用戶設(shè)備身份標(biāo)識(shí)、臨時(shí)身份標(biāo)識(shí)的長(zhǎng)度為128 bit；衛(wèi)星身份標(biāo)識(shí)的長(zhǎng)度為32 bit；隨機(jī)數(shù)的長(zhǎng)度為128 bit；位置信息的長(zhǎng)度為128 bit；時(shí)間戳的長(zhǎng)度為32 bit。各協(xié)議的帶寬開銷對(duì)比如表5 所示。

表5 各協(xié)議的帶寬開銷對(duì)比

為了更加直觀地展現(xiàn)各協(xié)議的帶寬開銷，本節(jié)將其繪制成對(duì)數(shù)形式的折線，結(jié)果如圖6 所示。從圖6 可以看出，文獻(xiàn)[8]、文獻(xiàn)[11]協(xié)議中的帶寬開銷較大，因?yàn)檫@2 種協(xié)議主要采用了公鑰密碼算法，通信過程需要發(fā)送相關(guān)簽名數(shù)據(jù)、點(diǎn)乘運(yùn)算結(jié)果等，增加了協(xié)議所需的帶寬開銷。與其他協(xié)議相比，本文協(xié)議的帶寬開銷最低，更加適用于資源受限的用戶設(shè)備/衛(wèi)星的天地一體化信息網(wǎng)絡(luò)。

圖6 各協(xié)議的帶寬開銷對(duì)比

4.4 存儲(chǔ)開銷

本節(jié)將計(jì)算在接入認(rèn)證過程中所要花費(fèi)的存儲(chǔ)開銷，協(xié)議中需要存儲(chǔ)的相關(guān)身份標(biāo)識(shí)、會(huì)話密鑰等關(guān)鍵信息便于后續(xù)完成雙向認(rèn)證。為了公平起見，在AES-128 bit 同等安全級(jí)別進(jìn)行比較，具體的各種密碼學(xué)操作所需要的開銷與4.3 節(jié)中的定義保持一致。各協(xié)議在接入認(rèn)證階段的存儲(chǔ)開銷對(duì)比如表6所示。

表6 各協(xié)議在接入認(rèn)證階段的存儲(chǔ)開銷對(duì)比

各協(xié)議的存儲(chǔ)開銷對(duì)比如圖7 所示。從圖7 可以看到，文獻(xiàn)[8]、文獻(xiàn)[11]、文獻(xiàn)[17]協(xié)議因?yàn)椴捎霉€密碼算法，需要存儲(chǔ)實(shí)體的私鑰和公鑰，產(chǎn)生了較大的存儲(chǔ)開銷。本文協(xié)議采用輕量級(jí)算法，在用戶設(shè)備側(cè)存儲(chǔ)臨時(shí)身份標(biāo)識(shí)和會(huì)話密鑰；在北斗指控中心側(cè)存儲(chǔ)用戶設(shè)備的真實(shí)身份標(biāo)識(shí)、臨時(shí)身份標(biāo)識(shí)、會(huì)話密鑰，存儲(chǔ)開銷遠(yuǎn)低于其他協(xié)議，更加適用于資源受限的衛(wèi)星節(jié)點(diǎn)/用戶設(shè)備的天地一體化信息網(wǎng)絡(luò)。

圖7 各方案的存儲(chǔ)開銷對(duì)比

5 結(jié)束語(yǔ)

本文針對(duì)現(xiàn)有的用戶設(shè)備接入認(rèn)證協(xié)議的不足和安全需求，提出了一種基于位置密鑰的增強(qiáng)型用戶設(shè)備接入認(rèn)證協(xié)議，使用戶設(shè)備安全高效地接入網(wǎng)絡(luò)獲取服務(wù)。在認(rèn)證過程中，利用北斗位置報(bào)告的獨(dú)特性和主密鑰形成雙因子認(rèn)證，增強(qiáng)了認(rèn)證的準(zhǔn)確性，一定程度上可以抵抗用戶設(shè)備被捕獲而造成的主密鑰泄露攻擊。通過Scyther 進(jìn)行形式化驗(yàn)證可以看出，本文協(xié)議可以抵抗各種協(xié)議攻擊并且滿足用戶的條件隱私性、抗重放攻擊等安全需求。此外，本文協(xié)議僅使用哈希算法和對(duì)稱加密算法來實(shí)現(xiàn)用戶設(shè)備和北斗指控中心之間的雙向認(rèn)證，可以有效地降低協(xié)議的認(rèn)證開銷，因此更加適用于節(jié)點(diǎn)資源受限的北斗衛(wèi)星導(dǎo)航系統(tǒng)。