吴文丰，张文芳，王小敏，王 宇

(1.西南交通大学 信息科学与技术学院,四川 成都 610031；2.西南交通大学 信息安全与国家计算网格四川省重点实验室, 四川 成都 610031)

随着高速铁路的持续发展,传统的GSM-R窄带通信系统难以满足未来铁路系统针对高冗余度数据的可靠传输、实时多媒体视频监控等业务的要求,在2010年12月召开的第七届世界高速铁路大会上,国际铁路联盟UIC表示将采用LTE-R作为下一代铁路无线通信系统[1]。相较于GSM-R,LTE-R基于长期演进技术(Long Term Evolution，LTE),具备高带宽、低时延和高速率等优点,但同时更加开放的空中接口,全IP化、扁平化的网络结构使LTE-R更易面临数据窃听、篡改、假冒欺骗、DoS攻击等安全风险。如何实现对接入设备(User Equipment，UE)的身份认证以及空口数据/信令的机密性和完整性保护,确保LTE-R网络接入安全成为了研究热点。

LTE认证密钥协商协议[2](Evolved Packet System-Based Authentication and Key Agreement,EPS-AKA)被证明存在诸如国际移动用户识别码(International Mobile Subscriber Identity，IMSI)明文传输,具有易遭受重放攻击、DoS攻击、重定向攻击等安全缺陷[3],不能直接应用于LTE-R网络中,因此一系列的改进方案被相继提出[4-12]。文献[4]针对DoS攻击提出了通过在归属用户服务器(Home Subscriber Server，HSS)端建立访问记录表并设置单位时间内的访问次数阈值的方法,杜绝同一IMSI的恶意频繁访问行为,但该方案不能抵抗短时间内由不同IMSI发起的DoS攻击。文献[5]提出一种改进方案ES-AKA,旨在降低移动性管理实体(Mobile Management Entity，MME)的存储开销和HSS的计算量,但经分析发现该方案存在较大的安全隐患,攻击者可通过截获无线信道中的密钥和消息,伪造消息响应并假冒合法用户接入网络服务。文献[6-9]采用对称密钥加密实现对IMSI的保护,其中文献[6]提出的方案利用Diffie-Hellman密钥交换算法在UE与MME间协商了用于加密IMSI的对称密钥KUM,但由于密钥协商过程中双方未进行身份认证,因此不能抵抗中间人攻击。文献[7-9]引入UE和HSS端可同步更新的密钥标识符,帮助HSS识别与UE共享的长期密钥K,使得IMSI可通过密钥K及其衍生密钥加密传输,但该类方案易遭受去同步攻击。

鉴于上述对称密码协议无法有效保护IMSI,且易遭受DoS攻击、中间人攻击及去同步攻击,文献[10-12]提出了基于公钥密码体制的改进方案。其中文献[10]基于无线公钥基础设施(Wireless Public Key Infrastructure，WPKI),并采用椭圆曲线加密算法(Ellipse Curve Cipher，ECC)实现了用户身份信息和认证向量的安全传输。但Jacques等[11]指出,文献[10]方案不能抵抗蛮力攻击,并相继提出了增强机密性的改进方案EC-AKA[11]和EC-AKA2[12]。相较于对称密码体制,基于公钥密码体制的方案在安全性上更具优势,但在效率上,随着明文长度的增加,公钥运算将显著降低协议的执行效率。同时为保证公钥证书的管理和传递安全,需引入公钥基础设施(Public Key Infrastructure，PKI),势必增加系统的部署和维护成本,并且难与现有机制相兼容。

针对现有方案存在的不足,本文基于下一代铁路无线通信系统LTE-R的接入安全需求,提出一种安全增强的车-地身份认证密钥协商方案,并利用仿真分析工具ProVerif验证了安全性。方案基于公私钥混合密码体制,在车载终端UE注册时,通过向USIM卡直接写入HSS公钥信息,避免构建PKI。当UE首次接入服务网,利用该公钥加密无线信令,实现IMSI的机密性保护以及对重放攻击、DoS攻击和重定向攻击的有效抵抗。采用椭圆曲线Diffie-Hellman密钥交换算法ECDH和EPS-AKA对称密钥衍生算法,实现了会话密钥KASME的前向安全性。同时,在UE和HSS密钥协商过程中,隐藏了无线信道中明文传输的随机数,降低了认证信息泄露的风险。相较于现有的LTE认证密钥协商协议,本文方案具备更加完善的安全特性,同时在计算和通信效率上也具有一定优势,能够满足LTE-R网络接入安全需求以及车-地认证的实时性要求。

1 LTE-R网络架构及认证机制

LTE-R网络架构基于LTE/SAE系统,由接入网E-UTRAN和核心网EPC组成[13]。图1(a)中,在接入网方面,LTE-R取消了GSM-R系统中基站控制器-基站BSC-BTS结构,仅由演进型基站eNodeB构成,与核心网相连,减少了终端设备与核心网之间的信令交互。在核心网方面,LTE-R演进的分组核心网EPC(Evolved Packet Core)包含了移动性管理实体MME、服务网关S-GW、公共数据网关P-GW、归属用户服务器HSS等网络节点。MME作为核心网中的控制平面节点,下辖多个eNodeB,主要负责UE的移动性管理、呼叫控制、身份鉴权等业务。S-GW和P-GW分别面对UE和PDN终端,为UE提供路由选择、转发和Qos控制等功能。HSS中包含了UE的信息，如所归属EPS的Qos配置信息和呼叫优先级等,同时HSS集成了鉴权中心AuC、存储鉴权算法、与UE共享的长期密钥K,可为MME生成UE的身份认证向量。

LTE-R接入安全包括接入层(Access Stratum，AS)安全和非接入层(Non-Access Stratum，NAS)安全两个层次,接入层安全指UE与eNodeB之间的通信安全,非接入层安全指UE与MME之间的通信安全。LTE-R接入安全认证机制采用3GPP认证密钥协商框架,当UE移动至MME下辖的eNodeB信号覆盖区时,向MME发起认证请求,MME接收用户认证请求消息并将其转发至HSS,HSS利用鉴权算法和与UE共享的长期密钥K，为MME生成UE的身份认证向量,以实现UE与网络MME身份鉴权,并协商接入安全性管理实体密钥KASME,如图1(b)所示,该密钥作为主密钥衍生KNASenc、KNASint、KeNB等密钥,确保非接入层和接入层信令/数据安全。

图1 LTE-R网络架构和密钥层级

2 安全增强的车-地认证密钥协商方案

本文提出一种安全增强的车-地认证密钥协商方案,该方案基于EPS-AKA框架,属于非接入层安全范畴。针对LTE-R网络架构特点以及车-地无线通信认证的实际应用场景,分别设计了全认证、重认证以及切换认证协议。相关符号及释义如表1所示。

2.1 全认证协议

在接入网络服务前,UE需申请注册LTE-R专用USIM卡,绑定身份信息后,USIM卡的数据安全区将存储UE(USIM)和HSS(AuC)之间的长期共享密钥K、HSS的公钥PK和ECDH密钥交换算法及参数。

表1 符号及释义

当UE首次接入网络,长时间与网络断开连接后重新接入网络,或重认证和切换认证协议执行失败时，需执行全认证协议,流程见图2。

Step1UE→MME:EPK{IMSI,TS,LAI},IDHSS,A

UE生成随机数a,计算A=a·P并用HSS的公钥PK加密IMSI、TS和当前LAI,向MME发送接入认证请求消息。

图2 全认证协议

Step2MME→HSS:EPK{IMSI,TS,LAI},A,SNID,LAI’

MME根据IDHSS查询到HSS相关信息,并获取当前LAI’,然后向HSS发送认证向量请求消息。

Step3HSS→MME:[AV(1)AV(2) …AV(n)]

HSS收到认证向量请求后,使用私钥SK解密得到IMSI、TS和LAI,检验TS判断消息的新鲜性,对比LAI和LAI’,若不匹配,终止协议并向MME回传位置信息不匹配消息,否则HSS认证UE成功。之后产生n个随机数b(1,…,n),并根据IMSI检索到密钥K,计算n组有序认证向量[AV(1)AV(2) …AV(n)],将其有序发送至MME。其中认证向量的计算规则如下

AUTN(i) =SQN⊕AK(i) =MAC(i) =AMF
KASME(i)=KDFK(SNID⊕AK(i) =KUH(i))

AV(1,…,n):B(i),AUTN(i),XRES(i),KASME(i)i∈ (1,…,n)

Step4MME→UE:B(i),AUTN(i),KSIASME(i)

MME收到[AV(1)AV(2) …AV(n)]进行安全存储,然后按照先入先出顺序选取一组AV(i),提取B(i)、AUTN(i)、KSIASME(i)发送给UE。

Step5UE→MME:RES(i)

Step6MME→HSS:B(i)

MME收到认证响应消息后,判断RES(i)=XRES(i)是否成立,若成立,MME认证UE成功并向HSS转发包含B(i)的密钥更新消息,HSS收到后,根据B(i)检索KUH(i)并存储。

协议执行完毕,UE和HSS协商了密钥KUH(i),该密钥将在下次全认证协议执行时代替密钥K参与认证向量的计算,以避免因根密钥K频繁使用而导致泄露的安全风险。UE和MME之间完成了双向认证并协商了密钥KASME,然后根据图1(b)所示的密钥管理规则导出KNASenc、KNASint、KeNB等密钥,确保车-地间信令/数据交互安全。同时MME会为UE生成TMSI,用于重认证以及切换认证。

2.2 重认证协议

当UE在当前MME管理范围内再次请求认证时,执行重认证协议,该阶段不再需要HSS的参与,UE将TMSI作为临时身份信息发送给MME发起重认证请求,流程见图3。

图3 重认证协议

Step1UE→MME:TMSI

UE向当前MME发送临时身份识别码TMSI,请求重新认证。

Step2MME→UE:B(i),AUTN(i),KSIASME(i)

MME收到来自UE的请求后,检索服务器中与TMSI相关的认证向量,然后按照先入先出顺序选取一组AV(i),提取B(i)、AUTN(i)、KSIASME(i)发送给UE。

Step3UE→MME:RES(i)

MME收到认证响应消息后,判断RES(i)=XRES(i)是否成立,若成立,MME认证UE成功。此时,UE和MME实现了相互认证，并协商共享了密钥KASME(i),MME将为UE生成新的TMSI。

2.3 切换认证协议

列车沿着既定的铁路线路运行,其移动路径具有可预见性。高速移动下列车的切换场景可分为两类:一类是铁路沿线相邻eNodeB之间的切换,另一类是相邻MME间的切换,见图4。由于基站间切换安全属于AS层安全范畴,因此仅讨论列车跨MME切换的场景,针对相邻MME间切换,设计了切换认证协议,保证列车高速运行下车-地通信系统的高效运行,流程见图5。

图4 相邻MME间切换

图5 切换认证协议

当UE移动至旧MMEo和新MMEn重叠覆盖边缘区域时,切换协议启动。

Step1UE→MMEn:TMSI,LAIo

UE向MMEn发送TMSI和MMEo的位置区标识符LAIo,请求切换到当前MMEn。

Step2MMEn→MMEo:TMSI,LAIo

MMEn收到消息确认LAIo的真实性,然后向MMEo转发包含TMSI和LAIo的切换请求。

Step3MMEo→MMEn:[AV(i)，…，AV(n)]

MMEo检索自己的数据库查找到TMSI的相关信息,然后以先入先出的方式导出还未使用的认证向量组[AV(i)，…，AV(n)],将其发送给MMEn后,删除该认证向量组。

Step4MMEn→UE:B(i),AUTN(i),KSIASME(i)

MMEn收到来自MMEo返回的认证向量,有序存储后,按先入先出的顺序选取一组AV(i),提取B(i)、AUTN(i)、KSIASME(i)发送给UE。

Step5UE→MMEn:RES(i)

MMEn收到消息后,判断RES(i)=XRES(i)是否成立,若不成立,终止认证并返回认证失败消息。否则MMEn认证UE成功,并协商新的密钥KASME(i),MMEn将为UE生成新的TMSI。

和全认证协议相比较,切换认证协议发生在UE、MMEn和MMEo之间,TMSI的使用代替了公钥加密保护IMSI,减小了UE的计算量。同时由于不需要HSS参与认证,节省了网络资源并减少了信令的交互,从而能够有效降低认证时延。

3 安全性分析

本节分别采用理论分析方法和自动化密码协议仿真工具ProVerif对提出的协议进行安全性分析,验证其是否能实现车-地双向身份认证和密钥协商,具备声称的安全属性。由于重认证及切换认证协议的安全性基于全认证协议,因此将全认证协议作为分析重点。

3.1 理论分析

对本方案的安全性进行理论分析,其中主要包括IMSI保护、前向安全性、抵抗重放攻击、重定向攻击、中间人攻击等。

(1)IMSI机密性保护

在UE接入认证过程中,由于IMSI未加保护地明文传输,攻击者可窃取并利用其追踪UE在网络中的访问行为或移动路径,造成用户隐私泄露等安全风险。为尽可能减少在无线信道中传输IMSI的情况,3GPP建议使用TMSI来代替IMSI明文传输,同时指出在以下情形时仍需传输IMSI[2]:UE首次接入网络时,或MME不能从TMSI中检索出IMSI时。因此,3GPP虽然引入TMSI思想,但并未完全实现对IMSI的机密性保护。本文方案采用了公钥加密传输的方法,利用HSS的公钥PK对IMSI进行加密保护,只有持有对应私钥的HSS才能够解密并获得IMSI,进而从根本上避免了用户隐私泄露的安全风险。

(2)前向安全性

根据前向安全性的定义:如果通信参与方中的一方或者多方的长期私钥泄露不会导致他们之前已经建立的会话密钥泄露,则称该协议具有前向安全性。本文方案采用ECDH密钥交换算法,在UE和HSS间协商了密钥KUH,随后与密钥K共同参与计算生成会话主密钥KASME。若长期密钥K泄露并为攻击者所获得,但由于其无法得到协商的密钥KUH(攻击者获得密钥KUH的难度等同于破解椭圆曲线上的离散对数难题),因此,攻击者仍然无法计算得到长期私钥K泄露之前建立的会话主密钥KASME,从而表明提出的协议具备前向安全性。

(3)抵抗重放攻击和拒绝服务攻击

重放攻击也称消息新鲜性攻击(Freshness Attacks),指攻击者可通过重放消息或消息片段对通信者进行欺骗的攻击行为。针对本类协议的重放攻击主要发生在UE向服务器发送身份认证请求消息时,由于在不安全的无线信道中,攻击者能够以较大的概率窃听到该消息,之后将其重新发送至服务器,诱使HSS生成该条身份认证请求消息对应的认证向量,从而消耗核心网络的计算资源和存储资源。若攻击者在同一时间发起大规模的重放攻击甚至可能引发服务器拒绝服务,影响当前合法用户的接入认证。本文的方案利用HSS的公钥PK对时戳TS和IMSI进行加密传输,若攻击者截获该条消息并重放,HSS通过检查时戳TS的有效性即可判断是否遭受重放攻击,一旦判定当前消息为重放消息,立即终止当前会话。保留计算资源和存储资源服务合法用户。

(4)抵抗重定向攻击

重定向攻击是指攻击者操纵着具有基站功能的设备,捕获UE向当前服务网络发送的身份认证请求消息,然后将该请求导向外部网络,对UE通信安全造成威胁。重定向攻击还将产生计费问题,当用户被重定向至外部网络后,将支付连接到外部网络的漫游费用。在本文方案中,UE利用HSS公钥加密当前的位置区标识符LAI,若攻击者重定向身份认证请求消息至外部网络的MME,MME收到请求后连同当前位置区标识符LAI’一起发送至HSS,HSS收到信息解密LAI同LAI’对比,发现位置区标识符不匹配,认定UE遭受重定向攻击,随后终止认证协议并回传认证失败原因,从而杜绝了用户被重定向至外部网络的安全风险。

(5)抵抗中间人攻击

常规的DH密钥协商过程中,由于通信双方未验证彼此的身份信息,使得攻击者可以截获通信双方发送的公开信息,并将其替换成攻击者自己的信息,然后与通信双方各自协商共享密钥,从而达到监听或篡改通信双方会话消息的目的。但在本文方案中,ECDH密钥协商伴随着认证过程同步进行,假设攻击者发起中间人攻击,分别与UE和HSS生成密钥KUA和KAH,那么在之后的认证过程中,由于认证向量的生成由协商的密钥KUH和长期密钥K共同决定,因此UE产生的认证数据和MME接收到来自HSS的认证数据将不相同,MME将判定此次认证过程遭受中间人攻击并终止认证流程。攻击者便无法通过发动中间人攻击获取到UE和MME间的会话信息,表明提出的协议能够抵抗中间人攻击。

3.2 ProVerif仿真分析

ProVerif是一种用途广泛的自动化密码协议仿真工具,支持多种加密原语,由重写规则或方程式定义[14]。它可以证明多种安全属性,包括:保密性、认证性、过程等效性等。其验证过程如下:对协议中需要证明的安全属性用query的方式进行询问,当协议具备所询问的安全属性时,询问结果输出true,否则输出false。利用ProVerif对本协议进行分析前,需要对协议进行规范化并制定验证目标,经分析,待验证的安全属性归纳如下:终端和网络完整的双向认证；DH协商密钥的安全；IMSI和LAI的机密性。

为验证终端和LTE-R网络间双向认证,定义以下6个事件:

(1)event beginMS(pkey):该事件表示用户UE开始同参与方MME发起本协议。

(2)event endMS(bitstring):该事件表示用户UE认为已经与MME完成了协议流程的执行。

(3)event beginMME(bitstring):该事件表示MME接受由UE发起的协议,开始执行本协议。

(4)event endMME(bitstring):该事件表示MME按照协议的流程完成了协议的执行,该事件的位置一定处于MME收到UE发送来的最后一条消息之后。

(5)event beginHSS(bitstring):该事件发生在HSS接收到由MME发来的首条消息之后，表示HSS接受该条消息并开始执行本协议。

(6)event endHSS(key):该事件代表HSS认为UE与MME已经执行完毕本协议。该事件的位置处于HSS收到MME发送的最后一条消息之后。

定义事件之后,需要建立通信断言来捕获事件之间的关系,以“如果事件e已被执行,那么事件e’在其之前就已经被执行”的形式表示。例如:inj-event(endMME(y))==> inj-event(beginMS(x)),这里的通信断言如果成立,则可以证明MME对UE认证成功。

为验证DH协商密钥的安全性,定义语句query attacker(secretm),secretm是一个秘密值,将通过DH协商的密钥进行加密。根据ProVerif的特性,尝试验证攻击者获得secretm是不可达的。即如果not attacker(secretm)的结果为true,则密钥的安全性得到证明。

IMSI和LAI的安全性验证,与DH协商密钥安全性验证相似,定义语句query attacker(IMSI)和query attacker(LAIU),结果为true即得到验证。

3.3 ProVerif仿真结果

仿真验证结果见图6,各项安全性验证均通过。

图6 仿真验证结果

(1)语句①表明HSS认证UE成功；语句②表明MME认证UE成功；语句③表明HSS认证MME成功；语句④表明UE认证MME成功；语句⑤表明UE认证HSS成功。

(2)语句⑥表明IMSI的机密性得到验证,也证明了协议能够抵抗DoS攻击；语句⑦表明攻击者不能获得LAIU,从而不能对UE发送的位置区标识符LAI进行篡改,因此可抵抗重定向攻击；语句⑧表明协商的密钥KUH的安全性得到验证,也表明协议可抵抗中间人攻击,具备前向安全性。

从上述的理论分析和ProVerif验证结果可知,提出的方案在实现了车-地双向身份认证和密钥协商的基础上,还具备IMSI的机密性保护、前向安全等特性,能够抵抗重放攻击、重定向攻击、DoS攻击、中间人等攻击。

4 性能分析

表2对EPS-AKA和最近提出的几种相关改进方案进行了性能分析与比较,在安全性对比方面主要列举了IMSI保护、前向安全性、抗重放攻击、抗DoS攻击、抗中间人攻击、抗重定向攻击、抗去同步攻击以及根密钥更新。在计算性能方面主要列举了椭圆曲线上的倍点运算耗时TM、椭圆曲线公钥加解密运算耗时TP、哈希HMAC运算耗时TH和DES运算耗时TD,其中TP约等于3TM,TD约等于TH。根据文献[15]提供的相关数据,统计了各个协议的执行耗时。在通信开销方面,汇总了UE、MME、HSS三者之间交互数据的比特量。综合安全性、计算性能、通信开销三方面因素判断协议性能优劣。

从表2可知,最早提出的EPS-AKA协议在通信量和计算量上优势明显,但其安全性最低,不能满足LTE-R网络接入安全需求。同样基于对称密码体制的文献[5, 7]，在计算量方面具备优势,但是在安全性方面仍然存在比较明显的缺陷。文献[10]基于公钥密码体制,在EPS-AKA协议的基础上增强了部分安全属性,但其计算量达到87TM+30TH，约为20.376 ms,在对比方案中最高。文献[8]中的方案采用了公私钥密码体制相结合的方法,虽然在计算量上较文献[10]有所降低,但通信量过高且缺乏相对完备的安全属性。

表2 性能对比

注:Ⅰ为IMSI保护；Ⅱ为前向安全性；Ⅲ为抗重放攻击；Ⅳ为抗DoS攻击；Ⅴ为抗中间人攻击；Ⅵ为抗重定向攻击；Ⅶ为抗去同步攻击；Ⅷ为根密钥更新。为不失公平性, 表中椭圆曲线上倍点和公钥加解密安全级别统一为160 bit, 规定认证向量生成5组。

本文方案在协议的Step1中利用公钥加密IMSI以及位置区标志符和时间戳,确保无线信道中用户身份信息和交互信令的传输安全；在之后的流程中,采用ECDH密钥交换算法在UE和HSS间协商了新密钥,确保了认证信息的安全交互,因此具备表2中所有安全特性,并能抵抗中间人、拒绝服务、重定向等各类攻击,安全性优于对比方案。图7为通信量对比，本文的方案由于采用ECDH密钥交换算法,需要传输的公开信息为椭圆曲线上的点,因此通信量相较于文献[5, 10]有所增加,但优于文献[7-8]。图8示为计算开销对比，在计算开销方面,由于本方案中半数的倍点运算可离线进行,因此协议执行耗时仅为13TM+40TH,约为6.774 ms,相较于文献[7]、文献[8]和文献[10]，计算量分别下降了46%、37.5%和66.8%。

图7 通信量对比

图8 计算开销对比

通过公私钥密码体制的有效结合,本文的方案具备了相对完善的安全属性,又具有较高的执行效率,能够满足LTE-R车-地认证密钥协商的安全性和高效性要求。

5 结束语

本文针对新一代铁路无线通信系统LTE-R网络接入过程潜在的安全隐患,以及现有的无线认证密钥协商协议存在的安全和效率问题,提出一种公私钥结合的安全车-地身份认证和密钥协商方案,可实现车载通信设备和LTE-R网络间的双向身份鉴权,并协商安全管理密钥KASME及其衍生密钥(KNASenc,KNASint,KeNB),实现车地交互数据的机密性和完整性保护。与同类协议相比,本文所提协议具备更加完善的安全属性,并且通过采用公钥写入USIM卡的方法避免引入PKI,降低了网络结构的冗余度和复杂度。最后,通过自动化仿真分析工具ProVerif验证了所提方案的安全性,理论分析和性能对比表明，本方案能够满足LTE-R网络的接入安全需求以及车-地认证密钥协商的实时性和高效性要求,具有较好的应用前景。