陳 永，劉 雯，常 婷

(蘭州交通大學(xué) 電子與信息工程學(xué)院，甘肅 蘭州 730070)

目前,高速鐵路主要采用GSM-R作為無線通信系統(tǒng),但該系統(tǒng)為2G窄帶通信系統(tǒng),業(yè)務(wù)承載能力有限,已無法滿足高速鐵路智能化發(fā)展的需求[1]。LTE-R作為下一代鐵路無線通信系統(tǒng),其技術(shù)標(biāo)準(zhǔn)成熟,具有高帶寬、高速率、全I(xiàn)P扁平化網(wǎng)絡(luò)結(jié)構(gòu),且具備完整的產(chǎn)業(yè)鏈支撐,可以承載鐵路正線列車控制等安全性業(yè)務(wù)[2]。5G技術(shù)頻段高、基站布設(shè)密集,與LTE-R相比,其應(yīng)用到鐵路區(qū)間覆蓋成本較高,可作為站場樞紐區(qū)域的無線解決方案,基礎(chǔ)設(shè)施監(jiān)控業(yè)務(wù)可以采用NB-IOT等技術(shù)承載。未來LTE-R與5G-R、WiFi等技術(shù)將共同構(gòu)成綜合性的下一代鐵路無線接入系統(tǒng)[3]。

目前,在GSM-R向LTE-R演進(jìn)過程中,因建設(shè)周期或設(shè)備更新等因素,將長期存在GSM-R和LTE-R共存的局面[4-5]。GSM-R與LTE-R網(wǎng)絡(luò)的互聯(lián)互通和平滑過渡存在以下困難:①GSM-R屬于在用設(shè)備,其功能已經(jīng)固化,可改動空間很小;②GSM-R基于電路域,而LTE-R基于全I(xiàn)P,業(yè)務(wù)流程和具體信令不同[3]。因此,在這種背景下,如何實現(xiàn)高速列車在GSM-R和LTE-R異構(gòu)網(wǎng)絡(luò)之間的快速、安全切換,以及減少異構(gòu)網(wǎng)絡(luò)之間的信令交互,已成為目前研究的難點問題,亟待解決。

高速列車在異構(gòu)網(wǎng)絡(luò)間切換時,需要與不同的移動授權(quán)實體進(jìn)行切換認(rèn)證,一般采用3GPP定義的演進(jìn)的數(shù)據(jù)包系統(tǒng)認(rèn)證和密鑰協(xié)議(Evolved Packet System Authentication and Key Agreement,EPS-AKA)作為車地通信認(rèn)證密鑰協(xié)商協(xié)議[6]。在異構(gòu)網(wǎng)絡(luò)切換認(rèn)證過程中,不僅要確保切換的快速性,而且還必須保證切換的安全性。然而EPS-AKA被指出存在多種安全隱患,如明文傳輸,根密鑰未更新,難以抵抗中間人、偽裝用戶等多種攻擊等[5]。為此,國內(nèi)外諸多學(xué)者針對EPS-AKA及異構(gòu)網(wǎng)絡(luò)間安全性問題進(jìn)行了大量的研究工作。Alezabi等[7]通過傳輸用戶身份ID和網(wǎng)絡(luò)號避免異構(gòu)網(wǎng)絡(luò)中永久移動用戶識別碼IMSI的明文傳輸和會話密鑰未更新等問題,但該方法未實現(xiàn)用戶匿名性,易受到偽裝用戶攻擊。Sharma等[8]針對切換認(rèn)證過程中存在密鑰未更新和難以抵抗DoS攻擊等問題,使用臨時身份進(jìn)行傳輸來避免身份信息泄露,但該方法無法滿足可追溯性,服務(wù)器無法識別虛假用戶。Kumar等[9]提出一種基于橢圓曲線與用戶識別卡相結(jié)合的異構(gòu)網(wǎng)絡(luò)切換認(rèn)證協(xié)議,通過使用偽身份避免用戶身份信息的泄露,同時采用哈希操作完成密鑰更新,但該方法無法滿足可追溯性。Yan等[10]提出一種使用預(yù)共享密鑰實現(xiàn)通信雙方相互認(rèn)證和密鑰更新、協(xié)商的方法,但該方法中用戶、源基站與目標(biāo)基站在每次切換認(rèn)證時都需要向移動管理實體申請預(yù)共享密鑰,導(dǎo)致消息交互次數(shù)增加,開銷增加。Wang等[11]引入可信的第三方密鑰生成中心保障切換認(rèn)證的安全性,提出一種基于橢圓曲線密碼系統(tǒng)的匿名代理簽名方法,但I(xiàn)MSI在其假設(shè)的信道中傳輸時易遭受暴力攻擊。Ozhelvaci等[12]提出的切換協(xié)議,在可信第三方密鑰生成中心的幫助下,實現(xiàn)了車地認(rèn)證過程中的密鑰更新和密鑰協(xié)商,但該方法中高速列車初次接入目標(biāo)網(wǎng)絡(luò)時,列車身份是明文傳輸?shù)?易被攻擊者截獲,未徹底實現(xiàn)用戶匿名性。Li等[13]提出一種基于授權(quán)屬性的多屬性簽名匿名切換認(rèn)證協(xié)議,使用區(qū)塊鏈作為可信第三方發(fā)布屬性私鑰以保障用戶身份信息,但該方法存在計算簽名開銷大的問題。Zhang等[14]提出一種基于橢圓曲線密碼與區(qū)塊鏈相結(jié)合的切換認(rèn)證密鑰協(xié)商協(xié)議,實現(xiàn)了用戶匿名性和可追溯性,但該方法難以抵抗中間人攻擊。Ma等[15]使用軟件定義網(wǎng)絡(luò)控制器作為可信第三方,提出的預(yù)切換方法減少了切換時延,但該方法中車地切換認(rèn)證與密鑰協(xié)商存在切換復(fù)雜性高、開銷大等問題。Mo等[16]提出一種基于雙線性配對的切換認(rèn)證協(xié)議,提高了切換認(rèn)證的安全性,但該方法中雙線性配對的計算開銷和通信開銷較高,無法降低切換時延。Lei等[17]提出一種基于身份的切換認(rèn)證密鑰協(xié)商協(xié)議,增強了切換協(xié)議的安全性,但該方法中需要傳輸簽名信息,通信開銷增大。

綜上所述,在GSM-R和LTE-R異構(gòu)網(wǎng)絡(luò)演進(jìn)場景下,現(xiàn)有的切換認(rèn)證密鑰協(xié)商協(xié)議中存在用戶身份明文傳輸、根密鑰未動態(tài)更新、用戶無追溯性等安全漏洞,以及在切換認(rèn)證過程中高速列車切換到目標(biāo)網(wǎng)絡(luò)時存在計算、通信開銷大等問題。針對上述問題,本文提出一種基于量子密鑰的高速鐵路異構(gòu)網(wǎng)絡(luò)切換安全認(rèn)證協(xié)商方法:①采用哈希操作生成偽身份PID和切換通行碼PASS,實現(xiàn)了用戶身份匿名性和可追溯性等安全特性,克服了EPS-AKA中用戶身份IMSI明文傳輸?shù)热秉c;②提出異構(gòu)網(wǎng)絡(luò)間預(yù)認(rèn)證策略,降低了切換認(rèn)證時延,提高了異構(gòu)網(wǎng)絡(luò)切換的實時性;③采用量子密鑰分發(fā)與哈希操作,完成了會話協(xié)商密鑰的動態(tài)更新,實現(xiàn)密鑰前后向安全性等;④采用串空間形式化方法及朔黃鐵路數(shù)據(jù)對所提方法進(jìn)行了安全性驗證,分析結(jié)果表明,所提方法在安全性等方面均優(yōu)于比較方法,并且在計算和通信花銷方面也有較高的優(yōu)勢,能夠滿足下一代高速鐵路LTE-R異構(gòu)網(wǎng)絡(luò)切換認(rèn)證安全性和實時性的要求。

1 基礎(chǔ)理論

1.1 LTE-R演進(jìn)異構(gòu)網(wǎng)絡(luò)結(jié)構(gòu)

根據(jù)GSM-R向LTE-R演進(jìn)異構(gòu)網(wǎng)絡(luò)形態(tài),新一代鐵路移動通信系統(tǒng)建設(shè)主要分為以下3個階段[2]。

階段1:在同一線路中雙網(wǎng)覆蓋,部分線路首先使用LTE-R網(wǎng)絡(luò),在切換時等連接到LTE-R網(wǎng)絡(luò)之后再斷開GSM-R網(wǎng)絡(luò)。

階段2:同一線路中雙網(wǎng)絡(luò)交替覆蓋,既有GSM-R網(wǎng)絡(luò)升級為LTE-R網(wǎng)絡(luò),GSM-R與LTE-R共存形成異構(gòu)網(wǎng)絡(luò)融合的形式,兩種網(wǎng)絡(luò)的核心網(wǎng)互聯(lián)互通。

階段3:原有GSM-R網(wǎng)絡(luò)退出服務(wù),LTE-R網(wǎng)絡(luò)逐步完成部署,覆蓋全線路。

在演進(jìn)過程中,GSM-R和LTE-R共同組成的高速鐵路無線通信異構(gòu)網(wǎng)絡(luò)的網(wǎng)絡(luò)架構(gòu)見圖1[18]。圖1中,UE為高速列車;BS為基站;BSC為基站控制器;eNodeB為演進(jìn)型基站;SGSN/MME為移動授權(quán)實體;HLR/HSS為用戶歸屬服務(wù)器。

圖1 高速鐵路無線通信異構(gòu)網(wǎng)絡(luò)架構(gòu)

為保證高速列車能夠在異構(gòu)網(wǎng)絡(luò)連續(xù)切換時信息的及時、準(zhǔn)確、可靠傳輸[19],UE從源MME/SGSN移動到目標(biāo)SGSN/MME時,除需要和目標(biāo)SGSN/MME進(jìn)行相互認(rèn)證和密鑰協(xié)商外,還需要具有較少的網(wǎng)絡(luò)延時,這是高效無縫切換認(rèn)證所必須的基本安全需求[10]。

1.2 傳統(tǒng)EPS-AKA認(rèn)證協(xié)議

高速鐵路無線通信系統(tǒng)采用EPS-AKA作為車地之間的認(rèn)證通信協(xié)議[6]。參與該協(xié)議的主要實體有高速列車UE、移動授權(quán)實體SGSN/MME和用戶歸屬服務(wù)器HLR/HSS,協(xié)議中的其他符號及含義見表1。

表1 協(xié)議符號及含義

EPS-AKA協(xié)議具體執(zhí)行步驟如下。

Step1UE向MME發(fā)送認(rèn)證接入請求消息,M1:{IMSI,IDHSS}。

Step2MME根據(jù)IDHSS進(jìn)行查詢,向HSS請求認(rèn)證向量,M2:{M1,SNID}。

Step3HSS驗證SNID,若SNID不合法,則終止認(rèn)證;否則,HSS檢索IMSI并獲取根密鑰K,使用根密鑰K生成認(rèn)證向量組AV,發(fā)送認(rèn)證響應(yīng)消息給MME,M3:{AV(i)|i=1,…,n}。

Step4MME將認(rèn)證向量組存入數(shù)據(jù)庫,按照最小序號原則選取AV(i),將用戶認(rèn)證鑒權(quán)請求發(fā)送到UE,M4:{RAND(i),AUTN(i),KSIASME(i)}。

Step5UE接收消息之后,驗證XMAC?=MAC,完成對HSS和MME的安全認(rèn)證,UE計算消息響應(yīng)RES=f2(RAND‖K)和KASME=KDF(SNID‖K‖CK‖IK),發(fā)送用戶鑒權(quán)響應(yīng)給MME,M5:{RES},其中,IK為加密密鑰,CK為完整性密鑰。

Step6MME驗證RES?=XRES,完成對UE的安全認(rèn)證。

2 本文方法

本文提出一種基于量子密鑰的高速鐵路異構(gòu)網(wǎng)絡(luò)安全切換認(rèn)證方法。量子密鑰分發(fā)(Quantum Key Distribution,QKD)是一種利用量子力學(xué)特性來保證通信安全性的方法[20],由于其基于海森堡測不準(zhǔn)原理和量子不可克隆定理[21],在量子信息傳輸中量子態(tài)不能被精確復(fù)制和放大,因而能夠?qū)崿F(xiàn)通信雙方間的安全共享隨機密鑰?；谠撛?本文首先通過使用QKD實現(xiàn)高速鐵路通信異構(gòu)網(wǎng)絡(luò)間不同移動授權(quán)實體的預(yù)認(rèn)證和臨時通話密鑰的協(xié)商;其次加入偽身份PID和切換通行碼PASS,實現(xiàn)用戶身份匿名性和可追溯性等安全特性,來提高高速鐵路無線通信異構(gòu)網(wǎng)絡(luò)之間的高效通信需求和通信安全。根據(jù)高速鐵路GSM-R和LTE-R異構(gòu)網(wǎng)絡(luò)切換實際場景,本方法設(shè)計時分為注冊、異構(gòu)網(wǎng)絡(luò)間切換準(zhǔn)備、異構(gòu)網(wǎng)絡(luò)間垂直切換認(rèn)證等3個階段。

2.1 注冊階段

在注冊階段,UE和MME/SGSN需要在HSS處完成身份信息的注冊以獲得相關(guān)的算法、參數(shù)等重要信息,從而保證其能夠正常工作。量子密鑰制備與分發(fā)過程見圖2,具體步驟如下:

圖2 量子密鑰制備與分發(fā)過程

Step1量子密鑰制備。量子密鑰分發(fā)使用4個光子的偏振態(tài)∣0〉、∣1〉、∣+〉、∣-〉進(jìn)行信息傳輸,其中∣0〉、∣1〉為Z測量基,∣+〉、∣-〉為X測量基。

Step1.1發(fā)送方HSS/MME/SGSN/UE根據(jù)特定編碼規(guī)則對經(jīng)典比特信息進(jìn)行編碼,比特0對應(yīng)量子態(tài)∣0〉或∣1〉,比特1對應(yīng)量子態(tài)∣+〉或∣-〉,形成一個量子態(tài)序列,通過量子信道將其發(fā)送到接收方SGSN/MME/UE。

Step1.2接收方接收到消息后,隨機選擇一組正交測量基對接收到的量子態(tài)序列進(jìn)行測量并保存結(jié)果。

Step1.3接收方通過經(jīng)典信道告知發(fā)送方所選用的每個比特的測量基。

Step1.4發(fā)送方對接收的消息與初始發(fā)送的量子態(tài)序列采用的基逐一對比,之后通過經(jīng)典信道告知接收方選用的正確測量基,保留正確結(jié)果,舍棄錯誤結(jié)果,得到初始密鑰。

Step1.5發(fā)送方與接收方從初始密鑰中隨機選取部分比特進(jìn)行公開比較,若比較錯誤率大于閾值,則認(rèn)為存在竊聽,重新開始通信;否則進(jìn)行下一步。

Step1.6發(fā)送方與接收方舍棄用于檢測竊聽的部分公開比特,對保留下來的比特進(jìn)行“后處理”,完成量子密鑰制備。

Step2量子密鑰分發(fā)。在完成量子密鑰制備之后,為保障在異構(gòu)網(wǎng)絡(luò)中車地切換認(rèn)證的安全,在參與車地認(rèn)證的通信雙方使用量子密鑰分發(fā)生成預(yù)共享密鑰之前,需要對UE和MME/SGSN完成注冊,并開始生成預(yù)共享密鑰,然后進(jìn)行量子密鑰分發(fā)。

Step2.1UE向HSS提出注冊申請,通過安全信道發(fā)送注冊請求信息{IDUE,IMSI}。

Step2.2MME/SGSN向HSS通過安全信道發(fā)送注冊請求消息{IDMME/SGSN}。

Step2.3HSS接收到UE的注冊請求后,將IDUE與IMSI建立一一對應(yīng)列表,QKD生成MME/SGSN與UE的預(yù)共享密鑰KM/S-U,將IDMME/SGSN發(fā)送到UE。

Step2.4HSS收到MME/SGSN的注冊請求消息之后,QKD分別生成HSS與源MME/SGSN、目標(biāo)SGSN/MME的預(yù)共享密鑰KH-M/S/KH-S/M,將IDUE發(fā)送到MME/SGSN。

Step2.5UE和MME/SGSN收到HSS消息之后,將共享密鑰KM/S-U與IDMME/SGSN、IDUE建立對應(yīng)列表。

Step2.6UE、MME、SGSN根據(jù)預(yù)共享密鑰Ki制備量子序列,其中預(yù)共享密鑰KM/S-U、KH-M/S、KH-S/M為00、01、10、11的二進(jìn)制組合,并根據(jù)預(yù)共享密鑰的狀態(tài)選擇相應(yīng)的編碼量子信息的基。當(dāng)預(yù)共享密鑰Ki=00時,制備的量子比特Qi為|0〉態(tài);當(dāng)Ki=01時,Qi為|1〉態(tài);當(dāng)Ki=10時,Qi為|+〉態(tài);當(dāng)Ki=11時,Qi為|-〉態(tài)。當(dāng)Ki的值為00或01時,接收方使用Z基測量接受的Qi;當(dāng)Ki的值為10或11時,接收方使用X基測量接受的Qi。測量基的選擇見表2。

表2 測量基的選擇

2.2 異構(gòu)網(wǎng)絡(luò)間切換準(zhǔn)備階段

完成量子密鑰分發(fā)后,在UE進(jìn)入異構(gòu)網(wǎng)絡(luò)時,需要從源MME/SGSN頻繁切換到目標(biāo)SGSN/MME,為保證認(rèn)證切換過程中信息的安全傳輸,需要不同異構(gòu)網(wǎng)絡(luò)中的MME/SGSN之間協(xié)商臨時通信密鑰,具體步驟如下:

Step1HSS→MME/SGSN:{|A〉,|B〉}。在UE進(jìn)行切換之前,源MME/SGSN在HSS協(xié)調(diào)下完成與目標(biāo)SGSN/MME之間的通信密鑰協(xié)商,從而實現(xiàn)MME/SGSN之間的預(yù)認(rèn)證。

Step1.1HSS分別為源MME/SGSN和目標(biāo)SGSN/MME生成隨機數(shù)x和y,并根據(jù)隨機數(shù)分別計算X=h(x,KH-M/S)⊕(IDM/S‖IDS/M),Y=h(y,KH-S/M)⊕(IDS/M‖IDM/S)。

Step1.2HSS基于共享密鑰Ki制備量子序列|A〉=(x‖X)和|B〉=(y‖Y),并利用Ki對量子序列|A〉、|B〉進(jìn)行極化,在極化時要保證其位數(shù)相同,以便于進(jìn)行身份驗證和完整性校驗。極化后的量子序列|A〉中,假設(shè)預(yù)共享密鑰Ki的長度為4m比特,隨機數(shù)x長度為m比特,X部分的數(shù)據(jù)h(x,KH-M/S)、IDM/S、IDS/M的長度均為m比特。量子序列|A〉和基的結(jié)構(gòu)見圖3。同理,量子序列|B〉和基的結(jié)構(gòu)見圖4。

圖3 量子序列|A〉和基的結(jié)構(gòu)

圖4 量子序列|B〉和基的結(jié)構(gòu)

通過上述操作,HSS使用量子通信信道分別將極化的|A〉、|B〉發(fā)送到源MME/SGSN和目標(biāo)SGSN/MME。

Step2源MME/SGSN和目標(biāo)SGSN/MME收到量子序列后將進(jìn)行如下操作。

Step2.1源MME/SGSN接收到量子序列之后,通過預(yù)共享密鑰KH-M/S的狀態(tài)得到x′和X′,根據(jù)獲得信息計算(IDM/S‖IDS/M)⊕X′=h(x,KH-M/S),進(jìn)行身份信息的檢驗:h(x′,KH-M/S)?=h(x,KH-M/S)。若相等,則繼續(xù)通信,否則放棄此次通信。

Step2.2目標(biāo)SGSN/MME接收到量子序列后,通過預(yù)共享密鑰KH-S/M的狀態(tài)得到y(tǒng)′和Y′,根據(jù)獲得信息計算(IDS/M‖IDM/S)⊕Y′=h(y,KH-S/M),進(jìn)行身份信息的檢驗:h(y′,KH-S/M)?=h(y,KH-S/M)。若相等,則繼續(xù)通信,否則放棄此次通信。

Step3源MME/SGSN和目標(biāo)SGSN/MME完成身份信息檢驗后將進(jìn)行如下操作。

Step3.1MME/SGSN→SGSN/MME:{CM/S-S/M,SM/S-S/M}。源MME/SGSN生成一個隨機數(shù)rM/S,計算CM/S-S/M=h(rM/S)⊕h(IDM/S),SM/S-S/M=h(CM/S-S/M,IDS/M),通過經(jīng)典通信信道發(fā)送{CM/S-S/M,SM/S-S/M}到目標(biāo)SGSN/MME。

Step3.2SGSN/MME→MME/SGSN:{CS/M-M/S,SS/M-M/S}。目標(biāo)SGSN/MME生成隨機數(shù)rS/M,計算CS/M-M/S=h(rS/M)⊕h(IDS/M),SS/M-M/S=h(CS/M-M/S,IDM/S),通過經(jīng)典通信信道發(fā)送{CS/M-M/S,SS/M-M/S}到源MME/SGSN。

Step4源MME/SGSN和目標(biāo)SGSN/MME對收到的信息進(jìn)行完整性校驗,并協(xié)商通信密鑰。

2.3 異構(gòu)網(wǎng)絡(luò)間垂直切換認(rèn)證階段

垂直切換是指在不同異構(gòu)無線接入網(wǎng)絡(luò)之間的切換。在完成上一階段切換準(zhǔn)備后,目標(biāo)MME/SGSN需要與UE協(xié)商新的會話密鑰SK,即使用新密鑰進(jìn)行切換過程中信息的安全傳輸,然后進(jìn)入異構(gòu)網(wǎng)絡(luò)間垂直切換階段。垂直切換認(rèn)證步驟如下:

Step1UE→MME/SGSN,MES1:{PID,PASS1,T1,U}。當(dāng)UE處于基站信號覆蓋邊緣時,由于網(wǎng)絡(luò)信號較差,UE會在當(dāng)前網(wǎng)絡(luò)中發(fā)起切換接入其他網(wǎng)絡(luò)的請求。

Step1.1UE生成隨機數(shù)u,計算U=gu。

Step1.2UE輸入身份IDUE,根據(jù)2.1節(jié)Step2.5中的列表查找目標(biāo)網(wǎng)絡(luò)IDSGSN/MME及預(yù)共享密鑰KS/M-U,計算偽身份PID=IDUE⊕h(U‖KS/M-U)。

Step1.3生成時間戳T1,計算切換通行碼:PASS1=h(IDUE‖IDMME/SGSN‖T1‖KS/M-U)。

Step1.4UE發(fā)送消息MES1給MME/SGSN。

Step2MME/SGSN→SGSN/MME,MES2:{ETK{PID,PASS1,T1,U}}。MME/SGSN收到UE的消息之后,使用MME/SGSN與SGSN/MME之間的臨時密鑰TK加密消息,并將消息MES2發(fā)送到目標(biāo)SGSN/MME。

Step3SGSN/MME→UE,MES3:{AV,MAC,T3,S/M}。SGSN/MME收到消息之后:

Step3.1SGSN/MME使用TK解密消息得到{PID,PASS1,T1,U}。

Step3.3根據(jù)接收信息計算切換通行碼PASS2=h(IDUE‖IDMME/SGSN‖T1‖KS/M-U),判斷PASS1?=PASS2,若相等,則滿足切換請求,允許UE進(jìn)行切換;否則,拒絕切換請求。

Step3.4SGSN/MME生成隨機數(shù)s/m,計算S/M=gs/m,SGSN/MME計算與UE的協(xié)商會話密鑰SK=h((U)s/m‖(U)KS/M-U)。

Step3.5生成時間戳T3,計算消息認(rèn)證碼MAC=h(KS/M-U‖RAND‖T3)。SGSN/MME在數(shù)據(jù)庫中根據(jù)最小序號原則選擇認(rèn)證向量AV,將消息MES3發(fā)送給UE,若認(rèn)證向量AV已用完,則SGSN/MME向HSS發(fā)送請求認(rèn)證向量消息,由HSS生成認(rèn)證向量后發(fā)送給SGSN/MME。

Step4UE→SGSN/MME,MES4:{RES}。UE收到消息之后:

Step4.1生成時間戳T4,計算T4-T3≤ΔT,若超過最大時限,則拒絕切換響應(yīng);否則,計算XMAC=h(KS/M-U‖RAND‖T3),驗證消息認(rèn)證碼XMAC?=MAC,若不相等,則驗證失敗,結(jié)束會話。

Step4.2UE計算與SGSN/MME的協(xié)商會話密鑰SK=h((S/M)u‖(gKS/M-U)u),接受SGSN/MME發(fā)送的認(rèn)證向量AV并進(jìn)行存儲,后續(xù)與SGSN/MME使用協(xié)商會話密鑰SK進(jìn)行通信。

Step4.3計算消息響應(yīng)RES=h(SK‖RAND),并將消息MES4發(fā)送給SGSN/MME。

Step5SGSN/MME收到消息之后,計算RES′=h(SK‖RAND),判斷XRES?=RES,若不相等,則SGSN/MME對UE的驗證失敗,結(jié)束對話;否則,允許UE接入并繼續(xù)保持通話。

通過上述3個階段的流程,在認(rèn)證和密鑰協(xié)商流程完畢后,列車UE已經(jīng)接入到新網(wǎng)絡(luò),并使用與目標(biāo)網(wǎng)絡(luò)中的移動授權(quán)實體SGSN/MME協(xié)商出的會話密鑰SK進(jìn)行后續(xù)通信,從而完成異構(gòu)網(wǎng)絡(luò)間的切換認(rèn)證工作。

3 安全性分析

為驗證本文提出的基于量子密鑰的高速鐵路異構(gòu)網(wǎng)絡(luò)安全切換認(rèn)證方法的正確性,首先進(jìn)行安全性分析。分別從安全性理論和基于串空間第三方形式化工具證明2個角度進(jìn)行分析。

3.1 安全性理論分析

1)前/后向安全性

在本文方法中,攻擊者無法獲得會話密鑰SK,因為SK的生成與QKD生成的預(yù)共享密鑰Ki有關(guān),而Ki依賴于量子測不準(zhǔn)原理和不可克隆定理[21],一旦攻擊者對該密鑰進(jìn)行檢測,該密鑰就會發(fā)生坍塌,攻擊者無法獲得Ki;此外,SK還與隨機數(shù)u、s、m有關(guān),而這些參數(shù)在每輪的通信會話結(jié)束之后都會進(jìn)行動態(tài)更新。所以,本文方法具有密鑰前/后向安全性。

2)抵抗重放攻擊

本文方法中,UE發(fā)送給MME、SGSN的消息中包含時間戳T,MME、SGSN根據(jù)T來判斷消息的新鮮性;在異構(gòu)網(wǎng)絡(luò)切換過程中,若所發(fā)消息已不具有時效性,則MME、SGSN所接收到的切換通行碼也將失去時效性;UE接收的消息認(rèn)證碼也會因為時間戳不再新鮮,而無法完成對SGSN/MME的認(rèn)證。因此在本文方法中,通信參與者都可判斷是否遭受重放攻擊,故可以抵抗重放攻擊。

3)抵抗字典攻擊

本文方法中,攻擊者在不知道正確編碼方式和測量基的情況下,無法獲得正確的預(yù)共享密鑰Ki;其次,攻擊者想破獲臨時通話密鑰,則需要知道隨機數(shù)rS/M和rM/S,而這兩個隨機數(shù)是由源MME/SGSN和目標(biāo)SGSN/MME隨機生成。因此,本文方法可以抵抗字典攻擊。

4)抵抗中間人攻擊

本文方法采用身份認(rèn)證方式,UE與SGSN/MME雙方通過計算IDUE、MAC來完成對彼此的認(rèn)證,而IDUE、MAC都依賴于量子密鑰,根據(jù)量子測不準(zhǔn)原理和不可克隆定理可知,攻擊者無法獲得該密鑰,故不能發(fā)起中間人攻擊。

5)相互認(rèn)證

6)用戶匿名性

本文方法中,UE向SGSN/MME通過發(fā)送偽身份PID發(fā)起請求,PID是由用戶IDUE和預(yù)共享的量子密鑰異或生成,由于量子密鑰具有不可克隆性,攻擊者無法計算出用戶的真實IDUE,所以本方法滿足用戶匿名性。

7)可追溯性

8)抵抗偽裝用戶攻擊

本文方法中,UE向SGSN/MME通過發(fā)送偽身份PID進(jìn)行異構(gòu)切換申請,PID是基于隨機數(shù)U和預(yù)共享密鑰KS/M-U共同計算得出,攻擊者需要獲取U和KS/M-U,而攻擊者無法同時破解離散對數(shù)困難問題和量子不可克隆定理[21],因此,攻擊者無法偽裝成合法用戶發(fā)送PID進(jìn)行切換申請,故本文方法能夠抵抗偽裝用戶攻擊。

3.2 基于串空間的安全性證明

串空間模型是一種安全協(xié)議形式化證明方法,能夠有效分析協(xié)議的正確性,被廣泛應(yīng)用于各種協(xié)議安全分析[22-23]。由于本文所提方法由源移動授權(quán)實體與目標(biāo)移動授權(quán)實體之間的預(yù)認(rèn)證,以及高速列車進(jìn)入異構(gòu)網(wǎng)絡(luò)之后的切換認(rèn)證共同組成,在切換認(rèn)證時源移動授權(quán)實體只進(jìn)行信息的轉(zhuǎn)發(fā),因此本文只對預(yù)認(rèn)證過程和高速列車與目標(biāo)移動授權(quán)實體之間進(jìn)行身份認(rèn)證。

對于本文提出的方案采用串空間驗證如下。

Step1初始化定義。名稱集合為Tname,其中包含UE、MME/SGSN、SGSN/MME。

Step2串空間模型定義。假設(shè)串空間為Σ,SUE、SMME/SGSN、SSGSN/MME、P∈Σ。其中,P為攻擊者的串。

Step3MME/SGSN對SGSN/MME身份認(rèn)證的形式化證明。

Step3.1構(gòu)造測試分量:設(shè)C為一個簇,且C-hight(SMME/SGSN)=4,rM/S唯一產(chǎn)生于節(jié)點,邊?+是rM/S在CM/S-S/M中的出測試。

Step3.2由出測試原理[23]可知:存在正常節(jié)點m、m′∈C,使得CM/S-S/M是m的分量,且m?m′是rM/S的變換邊。

Step4SGSN/MME對MME/SGSN身份認(rèn)證的形式化證明。

Step4.1構(gòu)造測試分量:設(shè)C為一個簇,且C-hight(SSGSN/MME)=5,rS/M唯一產(chǎn)生于節(jié)點,邊?+是rS/M在CS/M-M/S中的出測試。

Step4.2由出測試原理可知:存在正常節(jié)點m、m′∈C,使得CS/M-M/S是m的分量,且m?m′是rS/M的變換邊。

通過以上證明可知:在異構(gòu)網(wǎng)絡(luò)車地切換認(rèn)證過程中,源移動授權(quán)實體和目標(biāo)移動授權(quán)實體實現(xiàn)了對彼此的身份驗證,并且保證了交互信息的安全性和新鮮性,從而證明協(xié)商的通話密鑰TK可以保障交互信息安全性。

Step5UE對SGSN/MME身份認(rèn)證的形式化證明。

Step5.1構(gòu)造測試分量:設(shè)C為一個簇,且C-hight(SUE)=3,U唯一產(chǎn)生于節(jié)點,邊?+是U在PID中的出測試。

Step5.2由出測試原理可知:存在正常節(jié)點n、n′∈C,使得PID是n的分量,且n?n′是U的變換邊。

Step6SGSN/MME對UE身份認(rèn)證的形式化證明。

Step6.1構(gòu)造測試分量:設(shè)C為一個簇,且C-hight(SSGSN/MME)=5,RAND唯一產(chǎn)生于節(jié)點,邊?+是RAND在MAC中的出測試。

Step6.2由出測試原理可知:存在正常節(jié)點n、n′∈C,使得MAC是n的分量,且n?n′是RAND的變換邊。

Step6.3由變換邊定義可知:節(jié)點n為負(fù)節(jié)點,假設(shè)n為UE串SUE′中的結(jié)點,串SUE′=[U′,T1′,RAND′,T3′,S/M′],故n=,term=[RAND,T3,S/M]

Step6.4比較串的內(nèi)容:通過比較和UE串中分量可得RAND′=RAND,T3′=T3,S/M′=S/M;進(jìn)一步可得MAC′=MAC,RES′=RES。由此可得,SGSN/MME實現(xiàn)了對UE的身份認(rèn)證,由參數(shù)S/M生成的通話密鑰SK能夠確保其新鮮性和安全性。

綜合上述安全性理論分析和基于串空間模型的形式化證明可以得出,在本文方法中,高速列車UE和目標(biāo)移動授權(quán)實體SGSN/MME之間能夠?qū)崿F(xiàn)互認(rèn)證,其協(xié)商會話密鑰SK具有新鮮性和安全性,本文方法具有較強的安全性,能夠保障高速鐵路無線通信異構(gòu)網(wǎng)絡(luò)間切換認(rèn)證的安全性。

4 性能分析

為驗證本文方法的有效性,將本文方法與文獻(xiàn)[9,11,13],從安全性能、計算開銷、通信開銷,以及朔黃鐵路線路數(shù)據(jù)等方面進(jìn)行比較分析。

4.1 安全性能比較

首先進(jìn)行不同方法的安全性能比較,包括抗偽裝用戶攻擊、可追溯性、用戶匿名性、相互認(rèn)證等,比較結(jié)果見表3。

由表3可見:在使用傳統(tǒng)EPS-AKA協(xié)議進(jìn)行異構(gòu)網(wǎng)絡(luò)間切換認(rèn)證時,高速列車UE的永久身份識別碼IMSI是明文傳輸?shù)?而IMSI的泄露將導(dǎo)致一系列安全密鑰如IK、CK、AK的泄露,無法抵抗重放、重定向、中間人等攻擊。此外,在EPS-AKA協(xié)議中,列車ID與IMSI是相互關(guān)聯(lián)的,而ID是明文傳輸?shù)?這會導(dǎo)致攻擊者獲取到IMSI后可以進(jìn)行偽裝用戶攻擊,或從IMSI中獲取到會話密鑰K,對車地通信過程中傳輸?shù)男畔⑦M(jìn)行篡改或竊聽,將嚴(yán)重威脅到車地通信安全。本文方法使用偽身份PID代替用戶真實身份進(jìn)行傳輸,PID是由共享密鑰和隨機數(shù)經(jīng)由單向哈希函數(shù)生成的,其安全性是由量子測不準(zhǔn)原理和不可克隆定理保障,攻擊者無法獲取到列車真實的身份ID,因此本文方法可以很好地保護(hù)列車身份信息,保障車地通信安全。文獻(xiàn)[9]使用橢圓曲線實現(xiàn)密鑰的前后向安全性,并用隨時生成的PID實現(xiàn)用戶的匿名性和抗偽裝用戶攻擊,但該方法不能避免因不可追溯性而造成的惡意用戶偽裝攻擊。文獻(xiàn)[11]采用匿名方式進(jìn)行切換認(rèn)證,避免身份信息的泄露,但是該方法不能抵抗偽裝用戶攻擊,也不滿足可追溯性,當(dāng)有惡意UE假冒合法用戶時,不能通過追溯惡意用戶ID而揭露其身份。文獻(xiàn)[13]使用區(qū)塊鏈技術(shù)實現(xiàn)用戶的匿名性、相互認(rèn)證、密鑰更新等性能,但由于用戶UE使用不同屬性用于匿名認(rèn)證,在異構(gòu)網(wǎng)絡(luò)切換時,服務(wù)器只能判斷出該用戶的有效屬性,而無法通過該屬性推斷出UE的真實身份信息,故不滿足可追溯性。本文方法考慮到用戶身份信息未保護(hù)問題和無縫切換的需求,使用PASS和PID實現(xiàn)用戶匿名性、可追溯性等安全特性,并且在通信過程中加入時間戳以抵抗重放攻擊,同時采用量子密鑰分發(fā)和哈希操作實現(xiàn)密鑰更新、密鑰前后向等安全性。與其他方法相比,本文方法具有更高的安全性,能夠有效抵抗偽裝用戶、中間人等多種惡意攻擊。

4.2 計算開銷、通信開銷比較

計算開銷是指進(jìn)行切換認(rèn)證時所需的時間[24]。通信開銷則是指切換認(rèn)證過程中用戶與移動授權(quán)實體之間傳輸?shù)男畔⒘康拈L度[25]。在單次切換認(rèn)證條件下,若計算、通信開銷越少,則切換時延越小[25]。本文方法與其他方法在通信開銷、計算開銷方面的比較結(jié)果見表4。表4中,Th為哈希操作;Tme為模指運算;Tm為橢圓曲線點乘運算;Tae為對稱加密;Tad為對稱解密。

表4 計算開銷、通信開銷比較

由表4可知,在計算開銷方面,EPS-AKA協(xié)議只使用哈希操作即可完成切換認(rèn)證流程,其計算開銷最小;文獻(xiàn)[9]雖使用橢圓曲線點乘運算與哈希操作增強了切換認(rèn)證協(xié)議的安全性,但同時也增加了計算開銷;文獻(xiàn)[11]實現(xiàn)切換認(rèn)證與密鑰協(xié)商時,只需執(zhí)行少量的橢圓曲線點乘運算、哈希操作和對稱運算,其計算量較低;文獻(xiàn)[13]在執(zhí)行一次切換認(rèn)證時,因需要執(zhí)行大量的模指運算造成其計算開銷增大;本文方法減少了模指運算的使用,而是使用對稱運算和哈希操作實現(xiàn)切換認(rèn)證協(xié)議的安全性,而執(zhí)行對稱運算和哈希操作的時間較模指運算少,從而降低了切換認(rèn)證時的計算開銷。

由表4還可以看出,在單次切換認(rèn)證通信開銷方面,EPS-AKA協(xié)議采用轉(zhuǎn)發(fā)認(rèn)證向量的方式執(zhí)行切換認(rèn)證,故其通信開銷最大;文獻(xiàn)[9]通過使用哈希操作生成較少的信息量,因此其通信開銷較低;文獻(xiàn)[11]在切換認(rèn)證時,由于源移動授權(quán)實體會將目標(biāo)移動授權(quán)實體的信息轉(zhuǎn)發(fā)到UE,導(dǎo)致其通信開銷較高;文獻(xiàn)[13]通過傳輸屬性值完成切換時的身份認(rèn)證和密鑰協(xié)商,其通信開銷也較高;而本文方法通過使用偽身份和通行認(rèn)證碼實現(xiàn)身份認(rèn)證等安全特性,其傳輸信息量少,故在5種方法中,本文方法通信開銷最低。

4.3 實測數(shù)據(jù)驗證比較

為進(jìn)一步驗證本文方法的有效性,采用朔黃鐵路LTE-R線路數(shù)據(jù)進(jìn)行不同方法的性能比較[2],比較結(jié)果見表5。

表5 基于朔黃鐵路數(shù)據(jù)的計算開銷、通信開銷比較

由表5可知,對于朔黃鐵路數(shù)據(jù),在計算開銷方面,本文方法高于EPS-AKA和文獻(xiàn)[11],但EPS-AKA 協(xié)議安全性能在所有方法中最低,文獻(xiàn)[11]同樣無法滿足抗偽裝用戶攻擊和可追溯性安全需求,無法保障車地切換認(rèn)證通信的安全性,而本文方法,實現(xiàn)了異構(gòu)網(wǎng)絡(luò)切換時的身份認(rèn)證和密鑰協(xié)商,降低了計算開銷,同時結(jié)合表3的性能分析可知,本文方法具有較高的安全性能。在通信開銷方面,本文方法在5種比較文獻(xiàn)中最低;文獻(xiàn)[9,13]在切換過程中均需要傳輸額外信息實現(xiàn)身份認(rèn)證和密鑰協(xié)商,導(dǎo)致通信開銷較大;文獻(xiàn)[11]需要源移動授權(quán)實體轉(zhuǎn)發(fā)切換認(rèn)證信息,使得信息交互過程中的信息量增加,故其通信開銷也隨之增加;綜合表3安全性能分析可知,4種比較方法均無法滿足高速鐵路無線通信異構(gòu)網(wǎng)絡(luò)無縫安全切換的需求。

此外,高速列車在異構(gòu)網(wǎng)絡(luò)中切換時會發(fā)生掉話現(xiàn)象,切換掉話嚴(yán)重時將嚴(yán)重影響列車控制系統(tǒng)的安全穩(wěn)定運行[26]。為進(jìn)一步驗證本文方法的有效性,使用朔黃鐵路的實測數(shù)據(jù),對不同掉話率情況下不同方法性能進(jìn)行比較分析。不同方法掉話率與計算開銷、通信開銷之間的關(guān)系見圖5。

圖5 掉話率與計算開銷、通信開銷的關(guān)系

由圖5可見,不同切換方法隨著掉話率的增加,計算開銷和通信開銷均呈現(xiàn)出增加趨勢。這是由于隨著掉話率的增加,為保障異構(gòu)網(wǎng)絡(luò)切換可靠性,列車切換接入請求也逐漸增多,因此LTE-R安全接入的通信開銷和計算開銷也隨之增大。由圖5(a)可見,隨著掉話率的增加,EPS-AKA 在實測數(shù)據(jù)中計算開銷最低,但其安全性在所有方法中也最低;本文方法計算開銷較文獻(xiàn)[9,13]低,因為本文方法采用量子密鑰分發(fā)和少量的模指運算更新會話密鑰,不僅保障了切換認(rèn)證時傳輸信息的安全性,還降低了切換認(rèn)證的計算開銷。由圖5(b)可見,EPS-AKA協(xié)議和文獻(xiàn)[11]方法所需的通信開銷較高,而本文方法通過量子密鑰分發(fā)、哈希操作等運算實現(xiàn)了UE與目標(biāo)移動授權(quán)實體之間的密鑰協(xié)商,無需過多的信令交互,因而通信開銷最低。

綜上所述,由理論分析和朔黃鐵路數(shù)據(jù)下對比分析可知,在高速列車進(jìn)行異構(gòu)網(wǎng)絡(luò)之間的切換時,本文方法較比較方法,不僅具有更高的安全性能,而且在計算開銷和通信開銷方面也更低,更能滿足高速鐵路異構(gòu)網(wǎng)路的安全切換需求。

4.4 QKD應(yīng)用與可行性

量子通信技術(shù)在鐵路通信系統(tǒng)中采用量子密鑰分配方式[27],在鐵路通信系統(tǒng)中,量子保密通信系統(tǒng)由量子密鑰生成與管理設(shè)備和量子虛擬專用網(wǎng)(Virtual Private Network,VPN)設(shè)備組成。選擇QKD作為密鑰協(xié)商方式,既兼容了量子密鑰和傳統(tǒng)密鑰,又使得量子密鑰和傳統(tǒng)密鑰可以共同工作,即在車地通信使用量子密鑰的同時不影響傳統(tǒng)密鑰的使用。從而,量子網(wǎng)絡(luò)的融入,不會改變原有鐵路通信系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)[27]。在高速鐵路演進(jìn)異構(gòu)網(wǎng)絡(luò)安全切換時,僅需在服務(wù)器端增加量子VPN設(shè)備和量子密鑰生成與管理設(shè)備,即可通過QKD完成量子密鑰協(xié)商,并替換原有的密鑰進(jìn)行通信。本文基于量子密鑰分配的鐵路異構(gòu)網(wǎng)絡(luò)通信架構(gòu)見圖6。

圖6 基于量子密鑰分配的鐵路異構(gòu)網(wǎng)絡(luò)通信架構(gòu)

圖6中,通過在服務(wù)器或用戶出口增加量子VPN、量子密鑰生成與管理等設(shè)備完成量子密鑰分發(fā)與協(xié)商。其中,量子交換機和量子密鑰管理與生成是QKD設(shè)備,負(fù)責(zé)量子密鑰的生成與轉(zhuǎn)發(fā);量子VPN網(wǎng)關(guān)則建立IPsec隧道,保證各類傳輸數(shù)據(jù)的安全[27]。異構(gòu)網(wǎng)絡(luò)中不同管理實體通過量子信道與經(jīng)典信道進(jìn)行車地認(rèn)證與密鑰協(xié)商時的信息傳輸,其中量子信道傳輸量子信號,而經(jīng)典信道則用于傳輸車地認(rèn)證信令等數(shù)據(jù)。通過使用圖6所示的鐵路異構(gòu)網(wǎng)絡(luò)通信架構(gòu),在鐵路異構(gòu)網(wǎng)絡(luò)全切換時,首先使用量子密鑰生成與管理終端設(shè)備進(jìn)行量子密鑰分配,得到共享密鑰;其次量子VPN設(shè)備從量子密鑰生產(chǎn)與管理終端中獲取共享量子密鑰,將切換時需要傳輸?shù)臄?shù)據(jù)進(jìn)行加密后,再通過量子VPN設(shè)備建立的傳輸通道進(jìn)行傳輸;最后接收方按照量子通信協(xié)議機制,使用量子協(xié)商密鑰對接收的數(shù)據(jù)進(jìn)行解密,從而實現(xiàn)車地通信的數(shù)據(jù)安全傳輸。在本文方法中,根據(jù)海森堡測不準(zhǔn)原理和量子不可克隆定理[21],一旦攻擊者對量子密鑰進(jìn)行截獲或竊取等操作,量子態(tài)就會發(fā)生改變,合法的接收者通過量子態(tài)即可知道量子密鑰是否被截獲過。因此,在車地通信時使用量子密鑰可以保障通信信息不會被他人所截獲,具有更高的安全性和可靠性。

5 結(jié)論

在GSM-R向LTE-R演進(jìn)過程中,異構(gòu)網(wǎng)絡(luò)的切換對于高速列車行車安全至關(guān)重要。本文提出一種基于量子密鑰的高速鐵路異構(gòu)網(wǎng)絡(luò)安全切換認(rèn)證方法。根據(jù)異構(gòu)網(wǎng)絡(luò)切換安全性需求,分別設(shè)計了注冊階段、異構(gòu)網(wǎng)絡(luò)間準(zhǔn)備階段及異構(gòu)網(wǎng)絡(luò)間垂直切換認(rèn)證階段,最后進(jìn)行了形式化安全性驗證及比較分析。結(jié)果表明:

1)本文方法采用PASS和PID,在切換認(rèn)證過程中實現(xiàn)了IMSI的機密性保護(hù),能夠抵抗重放、偽裝用戶等攻擊,提高了車地通信的安全性。

2)采用量子密鑰分發(fā)策略,在異構(gòu)網(wǎng)絡(luò)中實現(xiàn)了預(yù)認(rèn)證,減少了切換通信延時,提高了高速鐵路異構(gòu)網(wǎng)絡(luò)切換的實時性。

3)本文提出的量子密鑰分發(fā)與哈希操作,完成了會話協(xié)商密鑰的動態(tài)更新,實現(xiàn)了密鑰前后向安全性,能夠抵抗中間人等攻擊,增強了異構(gòu)網(wǎng)絡(luò)間切換的安全性。

4)本文方法不僅在安全性能方面較優(yōu),而且具有較低的計算開銷和通信開銷,能夠更好地滿足GSM-R向LTE-R演進(jìn)中異構(gòu)網(wǎng)絡(luò)切換安全性和實時性的需求。