赵 越，田 波，陈周国，丁建伟，苏 宏

(1.保密通信重点实验室，四川 成都 610041；2.中国电子科技集团公司第三十研究所，四川 成都 610041)

近年来，高速铁路场景下的车地无线通信受到广泛关注。列车高速移动遇到的主要问题是快速且频繁的切换。基站(Evolved NodeB, eNodeB)受到固定位置和发射功率的限制，导致列车上用户设备(User Equipment, UE)在通话时间内会穿越多个小区。列车是人员相对集中的环境，当列车经过重叠区时，车内所有的UE同时发生群组切换，大量UE发送切换请求会造成信令风暴，导致系统阻塞甚至瘫痪。

现有解决方案是在列车内将这些用户的信息用车载天线进行汇聚，然后通过车载天线与地面基站进行交互。车载天线作为中继站(Relay Station, RS)协助UE与eNodeB完成通信的建立过程，对于下行链路而言其第一跳是从基站到高速列车的RS，第二跳是从高速列车的RS到UE[1-2]。对基站来说整个列车相当于是一个用户在发送切换请求，极大减少了信令交互负荷。但是，当列车高速移动时，RS仍会在多个eNodeB之间进行快速且频繁的切换信息交互，切换信令消息仍面临窃取、篡改、伪造、重放等攻击的威胁，需要设计平滑无缝的安全切换方案，确保满足各项安全属性，同时尽量缩短切换时延，降低切换过程中的中断率。

为了应对高速列车切换时面临的各种安全威胁，需要使用安全机制来保障切换的安全性，特别是接入认证和密钥协商两个方面。接入认证是安全防护的第一步，节点和网络之间需要进行双向的身份认证；而密钥协商是保障开放网络环境中通信安全的前提条件。由于安全机制的引入，不可避免地导致切换性能的下降，需要深入研究如何减少列车切换时延和系统开销。

目前，高速列车切换技术的研究集中在高速列车跨区切换性能的优化方面，很少考虑安全方面的需求。文献[3]提出将认证授权记帐(Authentication, Authorization and Accounting, AAA)技术引入移动切换中，实现切换过程中节点认证注册的安全性。但是，AAA技术需要公钥证书和公钥基础设施的支持，在高速列车快速移动场景下性能不高。文献[4]提出适用于车载网络的基于身份签名的快速接入认证方法(Access Authentication Based on Identity Signature, AAIS)，该方案支持车辆和网络之间进行双向身份认证，但对信令消息的机密性和完整性缺乏有效的保护，并且在切换过程中需要同家乡代理进行信息交互。在消息传输安全方面，文献[5]提出车地无线通信使用互联网协议安全性(Internet Protocol Security, IPSec)机制实现信令和数据消息传输的安全保护，采用Internet密钥交换协议实现安全关联。然而，IPSec机制不能很好地支持域间切换，Internet密钥交换协议也必须通过预共享密钥或公钥证书才能完成，因此并不完全适合列车高速移动快速切换的特点。

由于eNodeB部署拓扑与列车行进路线的稳定性，有可能预先判断RS将要接入的目标eNodeB，从而有望减少切换过程中由安全机制的处理开销而引起的延迟。本文根据典型的高速铁路切换场景，设计一种基于预认证的安全切换(Secure Handoff Based on Pre-authentication, SHPA)机制，将双向认证和会话密钥协商机制并入切换过程中。安全性分析与仿真实验表明，本文提出的切换机制不仅具有较高的安全性，而且有效降低了切换时延和中断率，同时保持了较为稳定的吞吐率，显著改善了车地无线通信的切换性能。

1 系统模型

UE与RS、eNodeB的无线通信模型见图1，当用户登上或靠近列车时，UE从与eNodeB的连接切换到与列车顶部RS的连接，通过RS接入地面eNodeB，eNodeB向移动管理实体(Mobility Management, MME)发送附属关系更新信息。由于UE与RS连接前就是与eNodeB连接，因此eNodeB具有UE的证书，UE也具有eNodeB的认证及授权信息。另外，RS同样作为eNodeB的用户，在入网时需要与eNodeB进行双向认证和会话密钥协商。UE与RS之间通过eNodeB传递信任关系，实现间接的相互认证。当列车开动时，列车内的UE与RS一起移动，仍然维持原有的安全关联，不需要重新认证；而下车与站台的UE则与信号范围内的eNodeB建立新的安全关联。

图1 UE与RS、eNodeB的无线通信模型

列车发生移动时的关键问题是解决RS在eNodeB之间的安全切换。由于轨道旁eNodeB部署的规律性，可事先判断列车在行驶途中RS会切换到eNodeB的集合。另外，由于列车到站、出站时间以及各区段行驶速率均要求符合相关规定，所以能够根据列车所在位置和移动方向、eNodeB的部署拓扑判断不同时间段RS有可能切换到eNodeB的编号。而且，RS切换前后的eNodeB一般处于相邻的位置，可以通过光纤电缆直接通信。

V=((x1-x0),(y1-y0))

( 1 )

从RS原位置(x0,y0)到其所在区域各相邻eNodeBj的向量为

Wj=((xj-x0),(yj-y0))

( 2 )

式中：各邻近eNodeBj的位置信息为(xj,yj)，j=2,3,4。向量V与Wj之间的夹角δj为

( 3 )

如果RS在t1时刻所处位置与eNodeBj连线在移动向量V上投影最小，即

δj=argminj(V·sinδj)

( 4 )

则eNodeBj被选择作为后续可能被接入基站。基于列车移动方向和位置的目标基站选择算法综合考虑了列车位置、速度和方向等信息，RS提前与目标eNodeB通过当前连接的eNodeB进行消息交互，预先完成地址配置和接入认证功能。此后，RS可以快速切换至目标eNodeB，大幅减少由于认证与密钥协商等机制所引起的切换时延，从而有效地提高切换时的网络性能。在列车高速行驶的情况下，这种快速切换需求表现的尤为迫切。高速移动的列车在两个相邻eNodeB的重合覆盖区域所处的时间非常短，为了尽量减少切换过程的中断率并保持稳定的通信连接，必须对切换过程加以优化。

图2 基于列车移动方向和位置的目标基站选择方法

2 基于预认证的安全切换机制

SHPA机制结合可认证密钥协商协议实现了RS和目标eNodeB之间的双向认证以及生成共享的会话密钥，对后续的信令消息或网络流量提供信道传输加密保护。列车行驶过程中安全切换流程见图3。在RS将要进入目标eNodeB的覆盖范围之前，通过当前连接的eNodeB进行地址配置并完成与目标eNodeB的双向认证，同时协商会话密钥；当RS进入目标eNodeB的覆盖范围之后，即可马上进行RS及其所连接UE的位置登记，然后执行链路层切换，激活新的连接。安全切换机制的主要步骤如下：

m1=EK1(IDRS,IPRES,IP2)∧

SignCryptSKRS,PK2(IPRES,gα,R)

我国在一定程度上可借鉴日本、瑞典的一些做法.具体可通过政策支持体系、金融支持体系、社会支持体系等推动传统产业的发展.建立健全允许就业贡献率大、GDP贡献率大且环境友好型的传统产业生存、发展的机制、体制，并在财政、税收等方面予以政策支持；加强对传统产业的金融服务，建立、健全多层次的金融服务支持体系；倡导允许、鼓励传统产业生存、发展的社会舆论，加强企业、产业(行业)间互相的物质支持、网络支持和主观体验支持等社会支持体系.

( 5 )

图3 基于预认证的安全切换流程

Step2eNodeB 1接收到切换准备请求消息以后，利用会话密钥K1解密m1前一部分消息，将IDRS与数据库中存储的ID进行匹配以确认RS的身份。如果ID不匹配，则认证失败；否则eNodeB 1将后一部分消息通过光纤链路发送给eNodeB 2。

m2=SignCryptSK2,PKRS(gβ，H2(K2)，H2(R)，IPRS)

( 6 )

Step4eNodeB 1使用RS和eNodeB 1之间的会话密钥K1对m2加密后发送给RS。

Step5RS接收到eNodeB 1转发的切换准备响应消息后，利用K1对m2进行解密，再利用其私钥SKRS和eNodeB 2的公钥PK2进行验签操作，得到H2(R)、gβ、H2(K2)，以及切换后的新IP地址IPRS，对比H2(R)与HRS(R)，如果不相等则拒绝对方的认证请求；否则RS计算K′=gαβ，对K′进行SHA-1运算得到HRS(K′)，验证HRS(K′)与H2(K2)是否相等，如果相等则RS与eNodeB 2完成了会话密钥的协商，可以利用该密钥K′(K2)加密后续的信令信息。

Step6当列车从eNodeB 1的覆盖区域进入eNodeB 2的覆盖区域时，只要RS接收到eNodeB 2的导频强度比eNodeB 1的导频强度高于事先设定的阈值时，则向eNodeB 1发出切换请求消息，要求中断与eNodeB 1的无线连接。eNodeB 1收到切换请求消息后返回切换响应消息。两条信令消息均使用K1加密。

Step7eNodeB 1向eNodeB 2发送连接激活消息，完成与RS之间通信连接的建立，eNodeB 2使用切换释放消息通知eNodeB 1释放原先占用的链路资源；eNodeB 2向MME转发连接激活消息，包括RS的身份标识IDRS、RS新的附属关系以及切换后的新IP地址IPRS。

Step8上述切换完成之后，eNodeB 2与RS通过协商的会话密钥K2(K′)加密接下来的信令消息和网络流量，实现消息的机密性保护。

3 安全机制分析

3.1 安全性分析

(1)满足前向安全性。SHPA机制结合可认证密钥协商协议，采用椭圆曲线数字签名以及身份标识、SHA-1加密的方式实现身份认证，得到共享密钥K2=K′=gαβ。攻击者无法通过密钥协商交换过程的消息gα和gβ获得α和β，也不能计算出gαβ，除非能够攻破椭圆曲线离线对数的困难问题。由于会话密钥仅由随机数gαβ确定，所以即使RS和eNodeB 2的私钥泄漏，之前建立的会话密钥的安全性也不会受影响。所以SHPA机制具有完全前向安全性。

(2)能够防止节点伪造攻击。可认证密钥协商协议采用签名机制实现了双向身份认证，RS和eNodeB利用自己的私钥对重要参数和密钥交换消息等信息进行签名，完成密钥交换消息的鉴别并实现身份认证。即使攻击者能够假冒RS或eNodeB的身份标识和IP地址发送消息，但由于不知道参与双方的私钥，不能伪造签名，可以有效防止非法用户的伪造攻击。

(3)能够防范拒绝服务攻击。拒绝服务攻击是指攻击者通过发送大量且无效的认证请求，引发接收方进行频繁的基于椭圆曲线密码的验签运算，以此占用接收方的计算资源。在SHPA机制中RS与eNodeB 2的连接由eNodeB 1转发，RS与eNodeB 1之间消息交互采用双方会话密钥加密，eNodeB 1仅将成功解密后的消息经过光纤链路转发给eNodeB 2。由于攻击者无法知道密钥消息，不能与eNodeB 1、eNodeB 2建立会话密钥，因此eNodeB 2可以有效检验认证请求是否有效，决定是否进行验签运算，防止拒绝服务攻击。此外，对于占用信道资源的拒绝服务攻击可采用流量检测的方法进行防御[7]，本文不再对此做具体分析。

(4)能够抵制重放攻击。在认证消息中采用仅对一次会话有效的随机数作为“挑战”证明消息的新鲜性。攻击者即使重放已经截获的消息，但由于随机数已失效，且其未通过身份认证，所以无法发起重放攻击。

3.2 效率分析

考虑到RS与eNodeB计算能力的差异，主要分析RS在安全切换过程中产生的开销，将SHPA与文献[3-5]提出的AAA、AAIS、IPSec等切换机制进行比较，从计算量和交互次数两个方面分析切换性能的差异，比较结果如表1所示。按照SHPA机制，RS只进行两次散列运算、两次公钥运算和两次模指数运算，与AAA和IPSec机制相比，SHPA机制的计算开销明显要小；SHPA与AAIS机制相比，不需要到家乡代理去验证身份，而是通过椭圆曲线密码进行双向身份验证，对信令消息的机密性与完整性也采取了更好的安全保护。

表1 安全切换机制的计算开销比较

4 实验与性能分析

通过MATLAB仿真实验分析高速列车的RS在eNodeB间移动时的安全切换性能，具体对SHPA与AAA、AAIS、IPSec等安全切换机制进行性能对比与分析，仿真模型与参数如表2所示。

表2 高速列车安全切换的仿真模型与参数

图4给出了高速列车在不同行驶速率条件下，四种安全切换机制的切换时延仿真结果。从图4可以看出，采用SHPA机制的切换时延普遍低于50 ms。如果在RS发生移动切换的时间内，列车上的UE正在进行语音通信，低于50 ms的切换时延不会被人耳明显感觉到[11]。而AAA、IPSec两种机制的切换时延高于60 ms，可能会导致语音通信临时中断。虽然AAIS机制的计算开销与SHPA机制近似，但由于其交互信息次数较多，所以切换时延高于SHPA机制。此外，在高速列车移动速率较高时，切换时延有所上升。这是因为RS移动速率增加引起了愈加严重的多普勒效应，造成误码性能的恶化进而导致切换信令传输的延迟[12]。可见高移动性对切换性能具有一定的影响。

图4 四种安全切换机制的切换时延比较

图5给出了高速列车以350 km/h行驶速度在两个eNodeB之间发生切换时的系统平均吞吐率。四种安全切换机制的吞吐率差异体现在切换发生区域，距离原eNodeB约为450～600 m。可以看到，当RS根据切换情况发生切换时，四种安全切换机制的吞吐率均有所下降，尤其是RS与原eNodeB距离为525 m时，吞吐率达到最低值。这是因为当高速行驶的列车满足切换条件时，往往已向前行驶一段距离，愈加靠近目标eNodeB，列车的高移动性造成了切换滞后。随着列车向前移动，吞吐率会逐步回升，最后达到一个彼此较为相近的水平。由于SHPA机制的切换时延相对较小，在切换时吞吐率下降的程度也较小，切换过程的吞吐率均高于19.5 Mbit/s。当RS距离eNodeB约为525 m时，SHPA与AAA、AAIS、IPSec三种机制相比，系统吞吐率分别提升了12.7%、4.3%和10.8%。

图5 四种安全切换机制的吞吐率比较

高速列车在发生移动切换时，如果信号质量不能满足通信要求则会发生中断。列车速度越快，切换滞后越明显，RS与原基站距离越远，切换中断率就越高。图6为列车行驶速率提升至500 km/h时，四种安全切换机制的中断率比较。SHPA机制的中断率明显低于传统切换方案。这是因为SHPA机制预先判断RS将要接入的目标eNodeB，提前执行切换准备工作，不需要向传统切换方案那样触发切换，在一定程度上消除了由于高速行驶带来的切换滞后问题[13]。当RS与原eNodeB距离为500～510 m时，SHPA的平均中断率达到最高值1.6%。与其他安全切换机制相比，SHPA机制较好地缓解了切换滞后问题，并且切换中断率得到了有效控制。

图6 四种安全切换机制的切换中断率比较

5 结束语

针对基于中继站辅助的高速列车在行驶过程中面临的安全切换问题，根据列车所在位置和移动方向、eNodeB的部署拓扑，判断RS将要接入的目标eNodeB。在此基础上，设计一种基于预认证的高速列车安全切换机制，结合可认证密钥协商协议实现RS和目标eNodeB之间的双向认证以及生成共享的会话密钥。通过安全性分析、效率分析和仿真实验表明，提出的SHPA机制不仅具有较高的安全性，而且能够有效降低RS在安全切换过程中产生的计算开销，当高速列车的行驶速度低于500 km/h时，切换时延普遍低于50 ms，切换中断率低于1.6%，当高速列车的行驶速度为350 km/h时，切换过程的吞吐率均高于19.5 Mbit/s。因此，SHPA机制较好地改善了高速列车的切换性能，期望可以为未来轨道交通信息系统的规划设计提供支持与借鉴。