LTE-R认证与密钥协商协议的安全分析及改进

华东交通大学学报

JournalofEastChinaJiaotongUniversityVol.36No.5Oct.袁2019LTE-R认证与密钥协商协议的安全分析及改进

张利华1袁姜攀攀2袁蒋腾飞2袁李晶晶1

渊华东交通大学1.软件学院曰2.电气与自动化工程学院袁江西南昌330000冤

摘要院安全高效的车地身份认证方案是铁路安全运行的基础袁结合列控系统数据安全传输对移动通信系统的需求和铁路无线通信网的发展方向袁提出一种基于伪随机数和哈希函数的LTE-R车地通信身份认证协议遥设计了由国际移动用户识别码渊IMSI冤和随机数生成的能够替换IMSI传输的匿名身份渊PID冤袁解决了由IMSI泄露导致的安全问题曰利用临时生成的认证密钥NK代替永久根密钥K完成认证流程袁提高了根密钥K的安全性遥利用认证测试方法对协议的正确性进行了证明遥分析证实袁本文提出的LTE-R身份认证方案具有很好的安全性和匿名性袁计算效率与通信消耗较好遥关键词院车地通信曰LTE-R曰身份认证曰认证测试中图分类号院TN929.5

文献标志码院A

目前袁我国铁路使用的移动通信系统GSM-R渊globalsystemformobilecommunications-railway冤是建立在第二代无线通信系统GSM的基础上袁然而现有的GSM-R已无法满足高速铁路日益增长的宽带业务需求而且3G网络所使用的频率也相对较高袁所以袁国际铁路联盟渊UIC冤已确认铁路下一代移动通信系统将跨过3G技术袁由GSM-R向LTE-R渊longtermevolution-railway冤发展遥

可是袁LTE-R在沿用LTE的系统结构和技术手段的同时袁LTEAKA渊authenticationandkeyagreement冤中存在的一些问题也同样存在于LTE-R之中袁例如国际移动用户认证码IMSI渊internationalmobilesub鄄scriberidentificationnumber冤尧SNID渊服务网络ID冤和AVs渊authenticationvectors袁认证向量组冤未受保护袁UE渊userequipments袁用户设备冤与HSS(homesubscriberserver袁归属用户服务器)共享的根秘钥K没有完善安全的措施防止其泄漏等[1]遥本文分析了这些问题袁随之提出一种安全且适用于铁路环境的的LTE-R身份认证方案遥

许多专家学者针对GSM-R身份认证过程的存在的问题袁对GSM-R中的认证协议进行了改进袁改进方

案[2-5]都相继被提出遥但是上述的几种改进方案并没有跳脱出GSM固有的框架袁没有彻底解决GSM-R中存在的安全问题遥为了满足未来铁路运输高速数据业务和高安全性的需求袁发展下一代铁路无线通信系统时袁用户唯一身份标识IMSI在传输过程中不受保护袁存在被攻击者截获尧收集而产生信息泄漏问题的风险袁针对这一问题袁文献[6]提出一种基于公钥密码的安全有效的公司密码方案SE-AKA袁解决了IMSI与SDID泄露的问题袁但其采用无线公钥基础设施方案WPKI袁认证过程中的通信开销和证书库的管理和维护问题将不可忽视遥文献[7]提出HSK-AKA袁其采用数字签名达到抵御伪MME攻击的效果袁利用随机移动用户身份标识渊RMSI冤代替IMSI袁牺牲用户端少量的运算资源对IMSI进行加密袁从而保护了IMSI遥文献[8]提出EPS-AKA袁此方案采用私钥密码袁解决了IMSI泄露的问题袁能够利用更少的计算消耗来达到更高的安全性遥文献[9-11]采用群认证的方案袁设计了一种能够保护IMSI的认证方案袁即同时接入网络的大量用户成立一个组袁随后选择一可信用户组为组长袁组成替代组员向网络发送认证请求袁但是袁组长身份信息泄

收稿日期院圆园员9原02原27

基金项目院江西省教育厅科技项目渊2GJJ14271冤

作者简介院张利华渊1972要冤袁男袁副教授袁博士袁研究方向为无线与移动通信网络安全袁工业控制网络安全遥

LTE-R的要求已被提出袁那么LTE身份认证过程中的问题也将存在于LTE-R中袁例如袁用户首次接入网络

第5期张利华袁等院LTE-R认证与密钥协商协议的安全分析及改进

121露将导致组内成员的身份信息承担巨大泄露风险遥

在整个LTE身份认证过程中袁K作为长期保存在用户端和网络端的根密钥袁其安全是整个认证流程安全的基础袁K若被攻击者窃取袁那么整个协议便毫无安全性可言袁针对解决根密钥K泄露的问题袁国内外专家学者进行了大量的研究袁文献[12]提出的ES-AKA中袁的生成由根密钥和临时密钥DK共同决定袁解决了K泄露的问题袁但是在该方案中袁用户的IMSI并未受到保护袁文献[13]提出一种基于公钥的D-AKA袁该方案利用随机数生成接入安全管理实体密钥袁实现了密钥的更新袁其安全性将不再过度依赖K的安全存储袁但此方案中公钥证书的传递将产生巨大的通信开销袁证书管理工作过于繁杂遥文献[14]提出一种基于混合密码的I-AKA袁解决了文献[13]中特有的伪UE攻击袁但公钥证书管理的问题仍存在遥由上述分析可知袁目前并没有一个比较完善的LTE-AKA方案可以直接沿用于LTE-R之中遥针对上述问题袁本文提出一种基于哈希和伪随机数的LTE-R身份认证方案袁在保护用户隐私的同时袁解决了根密钥K泄露的问题遥

11.1

LTE-R认证流程及存在的问题LTE/SAEAKA是3GPP组织提出的一种LTE-RAKA具体流程

UEAuthenticationrequestMMEHSSLTE环境中标准身份认证与秘钥协商方案袁是后续LTE安全问题研究的基础遥LTE-R继承了LTE/SAEAKA的身份认证的基本流程袁沿用了野挑战/响应冶的认证机制遥具体流程如图1所示遥MME以明文的方式发送其唯一身份标识IMSI遥

Message1院用户设备UE向移动性管理实体Message2院MME收到IMSI后袁发送IMSI\\服

Message1院{IMSI}Message4院{AV[i]={RAND[i]||AUTN[i]KSIAMSE}验证接受的消息生成RES[i]Message5院RES[i]计算生成KASME

Authenticationresponse生成认证向量AVs={RAND||KASME||AUTN||XRES}Message3院{AVs}Message2院{IMSI}{SNID}{Type}务网络标识SNID和服务网络类型给所属的归属用户服务器HSS遥

Message3院如果HSS验证IMSI成功袁便利用

MME遥认证向量包括参数RAND袁AUTN袁XRES和密钥运粤杂酝耘遥

所收到的参数生成认证向量AVs并将其发送给

对比RES和XRES图1LTE-RAKA具体流程

Fig.1SpecificflowchartofLTE-RAKA

Message4院MME将随机选择一组认证向量袁然后向UE发送RAND渊i冤袁AUTN渊i冤袁和运杂陨粤酝杂耘渊为运粤杂酝耘的标识冤遥

证流程结束遥1.2

户成功曰之后UE利用CK和IK计算生成主密钥运粤酝杂耘渊i冤袁MME也从认证向量中取出运粤酝杂耘渊i冤袁至此身份认

LTE-RAKA中存在的问题

密钥运粤酝杂耘袁然后计算RES渊i冤并发送给MME遥收到RES渊i冤后袁将其与XRES渊i冤比较袁如果相等袁则网络认证用

Message5院UE验证AUTN中的消息认证码MAC认证MME袁生成加密密钥CK袁完整性密钥IK和中间

在LTE-RAKA中袁通过实现网络和用户的双向认证袁解决了GSM-R中单向认证的问题曰通过对各类密钥进行分层袁提高了协议通信的整体安全级别遥但是袁协议中也存在一些问题院合法IMSI袁便可以利用这些IMSI进行非法攻击遥

1冤IMSI明文传输遥在协议中IMSI以明文的方式在协议流程中进行传输袁攻击者能够轻易得到大量的

2冤根密钥K泄露遥在协议中袁认证流程依赖共享密钥K袁若K遭到泄露袁整个协议便无安全性可言遥

伪装成合法用户向合法的SN/MME发送所截获的消息遥由于请求消息本身合法袁所以HSS便会向合法的发送认证向量袁然后SN/MME将会认证用户袁这时攻击者便可以将用户重新定向到攻击者预设的网络遥

4冤服务网络标识明文传输遥在协议中袁服务网络标识在传输之前并未被加密袁攻击者可以轻易得到合

3冤重定向攻击遥攻击者可以伪装成服务网络/移动管理实体渊SN/MME冤截取合法用户的请求消息袁同时

122华东交通大学学报2019年法的服务网络标识袁并通过它对目标用户发起中间人攻击遥

获袁攻击者可以对所截获的认证向量进行分析袁并以发起严重的攻击遥

5冤认证向量明文传输遥MME和HSS之间在传输认证向量时袁认证向量并未加密袁会被攻击者轻易截

22.1

改进的LTE-R身份认证协议系统架构

本协议主要参与者有3个袁分别是列车上的移动台MS渊mobilitystation冤袁移动性管理实体MME/VLR和

认证中心HSS/AuC袁在认证过程中袁MS与MME/VLR通过无线的空中信道进行通信袁MME与HSS/AuC则通过安全的有线信道进行通信袁系统整体架构如图2所示遥

MS院列车上的移动台

eNodeB院网络

节点

MME/VLR院称动管理实体

HSS/AuC院认证

中心

有线安全信道

无线信道

图2LTE-R系统架构图

Fig.2SystemarchitecturediagramofLTE-R

2.2安全假设

在LTE-R系统中袁MME/VLR与HSS/AuC是通过骨干网进行通信袁使用的是有线信道进行信息传递袁而

且可以认为MME/VLR与HSS/AuC的计算能力是强大的袁二者在传输信息时候袁可以使用如RSA尧AES等算法进行加解密运算袁所以本文认为攻击者想要从MME/VLR和HSS/AuC之间的有线信道上截获信息是极其困难的袁即MME/VLR与HSS/AuC之间的通信时安全的遥为了设计出适用的LTE-R身份认证协议和更方便的分析协议的安全性袁本方案进行如下假设院

1冤消息在MME/VLR与HSS之间传输是安全的袁即MME/VLR与HSS/AuC之间的有线信道是安全的曰4冤攻击者无法预测协议运行过程中生成的随机数遥注册阶段

列车上的移动台MS在正式上线运行前袁需要先到合法的列车控制管理机构进行注册袁以获得相关的密钥尧算法等重要参数袁确保其能正常进行工作遥具体的注册流程如下:HSS/AuC存储IMSI与陨阅灾蕴砸曰

MS将其IMSI发送至MME/VLR袁MME/VLR将IMSI连同其自身唯一身份标识陨阅灾蕴砸发送给HSS/AuC袁HSS/AuC生成密钥K尧身份识别序列码NC和相关加密算法f1袁f圆袁f猿袁f源袁f缘袁并将它们发送给MME/MS将根密钥K尧身份识别序列码NC和加密算法f1袁f圆袁f3袁f源袁f缘安全地存储在其SIM卡内遥3冤攻击者可以拦截尧存储无线信道中的任何消息曰

2冤MS与MME/VLR之间是通过空中无线信道进行信息传递袁是不安全的曰

2.3

VLR袁MME/VLR将其转发给MS曰

上述流程中的密钥K为存储在MS与HSS/AuC中的通信加密根密钥袁身份识别序列码NC是由HSS/

第5期张利华袁等院LTE-R认证与密钥协商协议的安全分析及改进

123f源袁f缘均为公开的加密算法袁比如院DES袁AES袁Hash袁SNOW3G等遥注册流程图如图3所示遥

MSIMSIMME/VLRIMSIK袁NC袁f1袁f2袁f3袁f4袁f5HSS/AuCAuC产生袁NC与用户的IMSI和密钥K一一对应袁HSS/AuC根据NC来快速确认用户身份袁而算法f1袁f圆袁f猿袁

K袁NC袁f1袁f2袁f3袁f4袁f5HSS/AuC存储IMSI与袁产生跟密钥K袁NC袁将它们和加密算法f1袁f2袁f3袁f4袁f5发送给MME/VLR遥

图3注册流程图

Fig.3Registrationflowchart

2.4协议流程

列车上的移动台MS要接入LTE-R网络进行网络通信之前袁先要进行MS与HSS之间的互相认证与密

钥协商袁具体认证过程包括以下步骤袁如图4所示遥

无线信道生成砸哉袁计算晕运越=fK渊RU冤PID=h渊陨酝杂陨椰砸酝冤堠RU粤越h渊运椰砸哉椰晕悦椰陨阅灾蕴砸冤酝玉越喳粤袁孕陨阅袁晕悦札

计算粤运越fNK渊RH冤袁通过杂匝晕越渊杂匝晕堠粤运冤堠粤运

得到杂匝晕袁检查杂匝晕和粤酝云的有效性袁然后计算

5

5

安全的有线信道MME/VLRHSS/AuC验证IDVLR根据NC查找用户计算XAcheckXA?=A产生随机数RH和序号SQNNK=fK渊RU冤AK=fNK渊RH冤XRES=fNK渊RH椰NK冤

3

12

源

55

MS产生RM发送RM和IDVLR至MSRM袁IDVLRMI计算M域=M玉椰RM椰IDVLRM域M芋选出一组认证向量AV渊i冤袁其中AUTN和RH发送给MS袁M郁=喳AUTN椰RH札1

载酝粤悦越fNK渊RH堠RU椰杂匝晕椰粤酝云冤M郁检查载酝粤悦?=酝粤悦袁若相等袁则酝杂认证网络成功袁计算酝吁越喳RES札砸耘杂越fNK渊RH冤

计算运粤杂酝耘

圆

M吁checkXMAC?=MAC相等则继续袁否则认证失败MAC=fNK渊RH堠RU椰SQN椰AMF冤AUTN=喳SQN堠粤运袁粤酝云袁酝粤悦札粤灾越喳RH袁XRES袁KASME袁AUTN札酝芋=喳粤灾s札

KASME=KDF咱NK渊RH冤袁fNK渊RH冤袁SQN堠AK椰IDVLR暂

选择KASME渊i冤更新晕悦韵蕴阅越晕悦曰晕悦越晕悦晕耘宰曰将晕悦加密后发送给酝杂Fig.4

图4认证协议流程图

Flowchartoftheauthenticationprotocol

一身份标识陨阅灾蕴砸通过无线信道发送给MS遥

1冤当一个MS首次进入到一个MME/VLR后袁MME/VLR生成一个私密随机整数砸酝袁随之将砸酝和其唯

用加密算法fn对m进行加密袁而k则为相关加密密钥遥发送给HSS/AuC遥

砸U袁认证参数A越h渊K椰砸U椰NC椰陨阅灾蕴砸冤袁然后将消息M玉=喳A袁PID袁NC札发送给MME/VLR袁其中fKn渊m冤表示利

MS收到砸酝和陨阅灾蕴砸后袁生成用户随机整数砸哉袁计算临时密钥晕运越fK5渊砸哉冤袁假身份孕陨阅越h渊陨酝杂陨椰砸酝冤堠

2冤MME/VLR把它生成的随机数砸酝和身份陨阅灾蕴砸附在M玉之后袁即M域=M玉椰砸酝椰陨阅灾蕴砸袁然后将消息M域

身份袁如果搜索失败则中断认证袁否则提取出用户的身份识别码IMSI和根密钥K袁接着计算

3冤HSS/AuC收到M域袁先验证陨阅灾蕴砸是否合法袁然后根据身份识别码NC在数据库中搜索袁来确定用户的

124华东交通大学学报2019年检查XA=A袁如果二者相等袁即验证成功袁然后HSS/AuC生成认证随机数RH和序列号SQN袁接着计算

XRES越fNK2渊砸H椰NK冤A运越fNK5渊砸H冤晕运越fK5渊砸哉冤

XA=h渊K椰砸U忆椰NC椰陨阅灾蕴砸冤

砸U忆=h渊陨酝杂陨椰砸酝冤堠PID渊1冤渊2冤渊4冤渊3冤

运粤杂酝耘越运阅云咱fNK猿渊砸H冤袁fNK源渊砸H冤袁杂匝晕堠粤运椰陨阅灾蕴砸暂

酝粤悦越fNK员渊砸H堠砸哉椰杂匝晕椰粤酝云冤粤哉栽晕越喳杂匝晕堠粤运袁粤酝云袁酝粤悦札粤灾越喳砸H袁载砸耘杂袁运粤杂酝耘袁粤哉栽晕札

渊5冤渊愿冤渊怨冤渊7冤渊6冤

函数曰MAC为消息认证码曰AUTN为认证令牌曰AMF为鉴权管理域曰AV为认证向量遥然后把认证向量组AVs发送到MME/VLR袁即M芋=喳AVs札遥喳AUTN椰RH札遥

5冤MS收到消息后袁首先计算

其中院NK为临时密钥曰AK为匿名密钥曰XRES为预期响应曰运粤杂酝耘为介入安全管理实体密钥曰KDF为密钥导出

4冤MME/VLR收到AVs后袁从认证向量组选出一组AV渊i冤袁将其中AUTN和RH发送给MS袁即MIV=

A运越fNK5渊砸H冤袁杂匝晕越渊杂匝晕堠粤运冤堠粤运

渊10冤渊11冤渊12冤

MS得到SQN和AMF后袁先检查其有效性袁然后计算预期消息认证码

检查载酝A悦越MAC袁若二者相等袁则证明HSS/AuC是合法的遥然后MS计算响应然后将RES发送给MME/VLR袁即M吁=喳RES札遥

载酝A悦越fNK2渊砸H冤

载酝A悦越fNK员渊砸H堠砸哉椰杂匝晕椰粤酝云冤

6冤MME/VLR检查砸耘杂越载砸耘杂袁如果二者相等袁说明MS是合法的袁否则网络拒绝MS的接入请求遥

晕悦韵蕴阅越晕悦曰晕悦越晕悦晕耘宰

密钥遥然后HSS/AuC对NC进行更新

7冤认证结束后袁MS计算出运粤杂酝耘袁即密钥协商完成袁双方开始生成接下来会话需要的加密密钥和完整性

渊13冤

晕悦晕耘宰代表用户身份识别序列码的最新值袁HSS/AuC在数据库中存储和NC袁并且把加密后安全的发送给MS遥下一次认证时袁用新的NC查找用户身份遥

3安全性验证正确性证明

3.1

原子项或加密项遥跃渊j约i冤的分量遥

定义1分量院项t0成为项的分量袁当且仅当t0不属于连接项袁且对任意t0屹t1袁都有t0奂t1奂t遥即分量是

本文利用认证测试法对所提协议的正确性进行证明袁首先介绍认证测试的相关定义和定理[7]遥

定义2新分量院若t0是约S袁i跃的新分量袁当且仅当t0是约S袁i跃的分量袁且不是其他任意节点t0是约S袁i

且在约S袁j跃处以新分量的形式发送遥

j跃处以新分量的形式被接收曰若约S袁i跃圯+约S袁j跃是关于a的变换进行边袁当且仅当a在约S袁i跃处被接收袁

定义3变换边/变换进行边院若约S袁i跃圯+约S袁j跃是关于a的变换边袁当且仅当a从约S袁i跃发送袁在约S袁

个测试遥

合移中其他节点分量的子项遥如果a唯一起源于节点n0袁且n0圯+n是关于a的转换边袁则称n0圯+n是a的一

定义4测试分量/测试院t=喳h札k是节点n关于a的测试分量袁如果a奂t袁且t是结点n的分量袁t不是串集

第5期张利华袁等院LTE-R认证与密钥协商协议的安全分析及改进

125个测试分量遥

于K埸Kp袁即K不为攻击者所知曰盂a不出现在节点n0除t以外的其他任何分量曰榆t是节点n0关于a的一

定义6输入测试院边n0圯+n1是分量t=喳h札k关于a的输入测试袁即院淤边边n0圯+n1是a的一个测试曰定理1输出测试定理院假设在从C中袁n0袁n1沂C袁边n0圯+n1是分量t关于a的输出测试袁即有院淤存在

定义5输出测试院边n0圯+n1是分量t=喳h札k关于a的输出测试袁即院淤边n0圯+n1是a的一个测试曰

于K埸Kp曰盂t是节点n0关于a的一个测试分量遥

且t不是其他任何结点的分量袁K埸Kp袁则必然存在一个包含t为分量的负结点遥点m袁m忆沂C满足t是m忆的组成分量袁且m圯+m忆是a的测试进行边遥C袁使得t是m的分量遥

VLR与HSS/AuC被视为一体袁用AuC来表示遥本方案的形式化描述如下院

1冤AuC寅MS颐RM曰2冤MS寅AuC颐A曰3冤AuC寅MS颐RH椰AUTN曰4冤MS寅AuC颐RES遥MS的串和轨迹

下面给出本协议基础术语的代数描述院

SMS=喳RM袁粤袁AUTN袁RH袁RES札

节点m袁m忆沂C满足t是m的组成分量袁且m圯+m忆是a的测试进行边曰于若a在m的分量t=喳h札k中出现袁

定理2输入测试定理院假设在从C中袁n0袁n1沂C袁边n0圯+n1是分量t关于a的输入测试袁则必然存在结

定理3主动测试定理院假设在从C中袁n沂C袁且n是分量t关于a的主动测试袁则必然存在正结点m沂在本方案中袁MME/VLR代替了HSS/AuC进行对MS的认证遥所以袁在对本方案形式化分析时袁MME/

AuC的串和轨迹

TraceMS=<-RM袁+A袁-喳R匀袁AUTN札袁垣RES>TraceAuC=<+RM袁-A袁+喳R匀袁AUTN札袁-RES>

SAuC=喳RM袁粤袁AUTN袁RH袁RES札

渊14冤渊15冤渊16冤渊17冤

假设随机数R匀由唯一由AuC产生袁C为包含SAuC的从袁AuC认证MS证明如下院

圯+构成RES关于R匀输入测试袁RES是R匀的测试分量遥根据定理2袁存在m袁m忆沂C袁使得RES为m忆的分量袁并且m圯+m忆是R匀的变换进行边遥

规正结点中包含RES形式的只有袁所以C中必然包含一个串SMS=喳RM袁粤袁AUTN袁RH袁RES札遥根据上

RH屹RU袁且RU是唯一产生于结点的随机数袁并且圯+构成变换边袁又因为假设RH屹RU袁且RU唯一由MS产生袁悦为包含串SMS的从袁MS对AUC的认证如下院

根据定理2袁结点m忆为正结点袁而且m忆是串SMS中的结点袁m忆=袁且RES是m忆的分量袁由于常

R匀唯一产生于袁并且圯+构成变换边袁又因为RES越fNK2渊砸H冤袁NK埸Kp袁则边

述分析袁AuC能成功地对MS的身份进行认证遥

入测试袁AUTN是砸哉的测试分量遥根据定理2袁存在m袁m忆沂C袁使得AUTN为m忆的分量袁并且m圯+m忆是砸哉的变换进行边遥

常规正结点中包含AUTN形式的只有袁所以悦中必然包含一个串SAuC=喳RM袁粤袁AUTN袁RH袁RES札遥根

安全性分析

根据定理2袁结点m忆为正结点袁而且m忆是串SAuC中的结点袁m忆越袁且AUTN是m忆的分量袁由于

ATUN中的酝粤悦越fNK员渊砸H堠砸哉椰杂匝晕椰粤酝云冤袁NK埸Kp袁则边圯+构成AUTN关于砸哉的输

3.2

据上述分析袁MS能成功地对AuC的身份进行认证遥

本方案在沿用LTE/SAEAKA基本框架的同时袁克服了其中的一些漏洞袁提出LTE-R身份认证方案中

126华东交通大学学报2019年加强了对IMSI的保护袁实现了MS和网络的双向认证袁有效的解决了现有GSM-R中存在的安全问题遥本方案主要实现了以下安全功能院

1冤双向认证院本方案中MS和AuC之间实现了双向认证遥MME/VLR代表HSS/AuC向MS发送随机数

砸酝作为挑战袁MS返回了包含随机数砸哉的PID尧认证参数A和身份识别序列码NC作为响应袁HSS/AuC通过VLR选择一组认证向量发送给MS袁MS验证MAC袁通过后双向认证完成遥

NC确定MS身份袁由A得出砸哉袁验证PID通过后袁HSS/AuC响应MS的挑战袁生成认证向量AVs袁由MME/

2冤保护IMSI院在本方案中袁MS发送的请求信息是M玉=喳A袁PID袁NC札袁IMSI并没有在信道中传输袁攻击

方就算截获了此信息袁也无法获得MS的IMSI袁认证中心通过NC识别MS袁而NC在使用一次之后作废遥攻击者不能根据NC来追踪用户遥

3冤克服根密钥泄露问题院传统GSM-R方案中根密钥长期在MS端储存并且使用袁一旦泄露袁协议便毫

成袁所以协商出的密钥运粤杂酝耘由随机数和运共同决定袁这样运若意外泄露袁攻击者也无法获取运粤杂酝耘袁提升协议整体的安全性遥

4冤机密性院只有同时拥有根密钥K和随机数生成DK才能从所截获的消息中得到有用的信息袁即本方5冤完整性院在本方案中袁所发送的信息包含了用户匿名身份PID和MAC袁AuC通过检查载孕陨阅越孕陨阅来同时本方案可以抵抗下列攻击院

1冤拒绝服务攻击院在GSM-R协议执行时袁IMSI以明文的方式发送给AuC袁攻击者可以获得大量合法

无安全性可言遥本方案中K只被用来与随机数一起生成临时根密钥DK袁而且协议主体认证过程均有DK完

案满足机密性要求遥

确定所收到的消息又没有被篡改袁而MS通过验证载酝粤悦越酝粤悦来确定所受信息的完整性遥

IMSI袁若将这些IMSI发送给AuC会造成AuC生成大量认证参数袁阻碍合法用户进行正常认证服务遥本方案中IMSI不进行传输袁而且AuC用来查询用户身份的NC只使用一次袁攻击者既无法通过IMSI进行拒绝服务DoS攻击袁而拦截获得的NC也已作废遥

2冤重放攻击院本协议每执行一次袁MS尧MME/VLR和HSS/AuC均会生成一个随机数袁这些随机数相当于

新鲜因子遥若攻击者向AuC重放之前消息袁因为MME/VLR每次都会生成新的随机数袁所以AuC会验证失败曰若向MS重放之前的消息袁由于MS生成了新的随机数袁验证MAC时将会失败遥

3冤重定向攻击院攻击者伪装合法的MS截获本地灾蕴砸员和灾蕴砸圆消息之后袁伪装成本地灾蕴砸员将篡

MS将喳孕陨阅袁粤札发送至灾蕴砸圆袁试图将网络重定向至灾蕴砸圆遥但是由于两个VLR生成的随机数不同袁HSS/AuC在验证PID时会验证失败袁中止认证遥

本方案与GSM-R方案及文献[4-5袁12]之间安全属性比对如表1所示遥

表1安全属性对比

Tab.1Securityattributecontrast

安全属性双向认证IMSI保护克服K泄露数据完整性抗DoS攻击抗重放攻击抗重定向攻击

GSM-R方案

NNNNNNN

文献咱4暂YNNNYYN

文献咱5暂YNNYYYN

文献咱12暂

YNYYYYY

LTE-R方案

YYYYYYY

改后的消息发送给真MS即可发起重定向攻击遥在本协议中袁MS计算并发送喳孕陨阅袁粤札至假VLR袁攻击者伪装

注院表中N为该方案未达到此项要求袁Y为达到要求遥

第5期张利华袁等院LTE-R认证与密钥协商协议的安全分析及改进

1274效率分析本方案与其他方案效率对比如表2所示袁其中Te/Td表示对称加解密运算袁Tx代表异或运算袁Th代表哈

表2各方案效率对比Tab.2Efficiencycontrast

项目MS计算量GSM-R方案2Te+1Td

1Te2Te

文献[4]4Te4Te9600

文献[12]9Th+1Tx7Th+1Tx17793Th+Tx

文献[5]4Te4Te+1Td17760

LTE-R方案4Te+2Th+Tx6Te+2Th+3Tx

17120

希运算遥

MME/VLR计算量HSS/AuC计算量通信量/bit

608

由表2可知袁本方案的计算量较GSM-R方案尧文献[4]来说稍微多一点袁通信量约为GSM-R方案的3倍袁与文献[12]和文献[5]相差不大遥但是本方案在安全性上较其他方案有较大优势袁但随着网络技术和硬件技术的发展袁网络传输速率和硬件处理数据的速率在不断地加快袁本方案的运算量与通信在可以接受的范围之内遥

5结论随着高速铁路的快速发展袁传统GSM-R将不能满足铁路环境日益增长的安全需求袁GSM-R势必要向

LTE-R发展遥本文提出一个基于哈希和伪随机数的LTE-R认证方案袁伪身份PID代替IMSI在信道中传输袁同时袁协议中的根密钥K只用来与随机数一起生成临时认证密钥DK袁由DK代替K执行协议接下来的认证与密钥协商过程袁提高了根密钥的安全性遥使用认证测试法证明了协议的正确性袁即MS与AuC能完成双向认证遥通过效率对比分析本方案的计算量和通信量均在可接受的范围之内袁因此袁本文提出的方案对于铁路部门制定安全性更高的LTE-R车地认证方案具有重要的参考价值遥

参考文献院

[1]ThirdGenerationPartnershipProject渊3GPP).Securityarchitecture渊Release11)[S].France袁ralbnne:3GPPorganiationalParlners袁[3]吴昊袁史晓华袁谷勇浩.GSM-R系统的安全策略研究与改进[J].北京交通大学学报袁2009袁33渊2冤院127-130.

渊10冤院16-19.

[2]杨达.基于用户口令的GSM-R身份认证协议[J].兰州交通大学学报袁2010袁29渊1冤院5-8.

2011.

[4]吴昊袁史小华袁范絮妍袁等.CTCS-3级列控系统车-地无线通信端到端通信安全增强技术的研究[J].铁道通信信号袁2010袁46[5]ZHANGMX.Securityanalysisandenhancementsof3GPPauthenticationandkeyagreementprotocol[J].IEEETransactions[7]HAMANDIK袁SARJII袁CHEHABA袁etal.APrivacyenhancedandcomputationallyefficientHSK-AKALTEscheme[C]//Ad[8]ALEZABIKA袁HASHIMF袁HASHIMSJ袁etalAnefficientauthenticationandkeyagreementprotocolfor4G渊LTE)networks[P].

Region10Symposium袁2014IEEE袁2014.

vancedInformationNetworkingandApplicationsWorkshops渊WAINA)2013袁Barcelona袁2013院929-934.

[6]许名松袁李谢华袁曹基宏袁等.一种安全增强型无线认证与密钥协商协议[J].计算机工程袁2011袁37渊17冤院116-118袁135.

onWirelessCommunications袁2005袁4渊2冤院734-742.

128华东交通大学学报2019年[9]LAIC袁LIH袁LUR袁etal.SE-aka:asecureandefficientgroupauthenticaitionandkeyagreementprotocolforLTEnetworks[J].[10]CAOJ袁MAM袁LIH袁Agroup-basedauthenticationandkeyagreementforMTCinLTEnetworks[C]//IEEEGlobalCommuni鄄[11]CAOJ袁LIH袁MAM.GAHAP:agroup-basedanonymityhandoverauthenticationprotocolforMTCinLTE-anetworks[C]//[13]DENGYP袁FUH袁XIEXZ袁etal.Anovel3GPPsaeauthenticationandkeyagreementprotocol[C]//NetworkInfrastructurean[14]HWANGSJ袁CHAIMJ.Anewauthenticatedkeyagreementprotocolforwirelessmobilenet-works[C]//InformationAssurance

andSecurity袁2009袁IAS爷09袁FifthInternationalConference2009院53-56.dDigitalContent渊IC-NIDC)2009.Beijing袁2009院557-561.

[12]白媛袁王倩袁贾其兰袁等.一种高效安全的EPSAKA协议[J].北京邮电大学学报袁2015袁渊1冤院10-14.

IEEEInternationalConferenceonCommunications.London袁UK袁2015院3020-3025.caitonsConference渊GLOBECOM)袁California袁USA袁2012院1017-1022.ComputerNetworks袁2013袁57渊17冤院3492-3510.

SecurityAnalysisandImprovementofLTE-RAuthenticationand

KeyAgreementProtocol

渊1.SchoolofSoftware,EastChinaJiaotongUniversity,Nanchang330013,China;2.SchoolofElectricalandAutomation

ZhangLihua1,JiangPanpan2,JiangTengfei2,LiJingjing1

粤bstract院Safeandefficientvehicle-groundidentityauthenticationschemeisthebasisforthesaferailwayoper鄄ation.Combinedwiththerequirementsofsecuredatatransmissionoftraincontrolsystemformobilecommunica鄄identityauthenticationprotocolbasedonpseudo-randomnumberandhashfunctionisproposed.TheIMSItrans鄄missionisreplacedbytheanonymousidentityPIDgeneratedbyIMSIandrandomnumber,whichsolvesthese鄄curityproblemcausedbyIMSIleakage.Theauthenticationprocessiscompletedbyusingthetemporarilygener鄄correctnessoftheprotocolisprovedbythecertificationtestmethod.TheanalysisconfirmsthattheLTE-Riden鄄municationconsumptionmeetstheefficiencyrequirements.

Keywords院vehicle-groundcommunication;LTE-R;identityauthentication;certificationtestmethod

tityauthenticationschemeproposedinthispaperhasgoodsecurityandanonymity,andthecomputationalcom鄄atedauthenticationkeyNKinsteadofthepermanentrootkeyK,andthesecurityofrootkeyKisimproved.Thetionsystemandthedevelopmentdirectionofrailwaywirelesscommunicationnetwork,aLTE-Rvehicle-ground

Engineering,EastChinaJiaotongUniversity,Nanchang330013,China冤