基于公鑰的EAP－AKA協(xié)議改進(jìn)及安全性分析

董春凍，王 聰，劉 軍，周 星，張玉靜

（1.中國(guó)人民解放軍理工大學(xué) 通信工程學(xué)院，江蘇 南京210007；2.中國(guó)人民解放軍理工大學(xué) 指揮信息系統(tǒng)學(xué)院，江蘇 南京210007）

0 引 言

隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展和廣泛應(yīng)用，異構(gòu)網(wǎng)絡(luò)[1]逐漸受到越來越多的關(guān)注。3G網(wǎng)絡(luò)與WLAN之間的融合互聯(lián)是異構(gòu)網(wǎng)絡(luò)中比較典型的場(chǎng)景[2]。3G網(wǎng)絡(luò)覆蓋范圍廣，但傳輸速率較低[3]；而WLAN接入速率較高，但覆蓋范圍有限[4]。將3G網(wǎng)絡(luò)與WLAN進(jìn)行融合互聯(lián)，充分發(fā)揮兩種技術(shù)的優(yōu)勢(shì)，使其得到更加廣泛的應(yīng)用。EAP－AKA協(xié)議[5]是3G網(wǎng)絡(luò)與WLAN之間的認(rèn)證和密鑰分配協(xié)議，是保證其安全連接與通信的基礎(chǔ)。該協(xié)議實(shí)現(xiàn)了WLAN用戶和3G網(wǎng)絡(luò)之間的相互認(rèn)證，共享了WLAN用戶和WLAN接入網(wǎng)之間的會(huì)話密鑰；但是，協(xié)議缺乏對(duì)WLAN接入網(wǎng)的認(rèn)證，用戶的身份標(biāo)識(shí)信息、WLAN用戶和WLAN接入網(wǎng)之間的會(huì)話密鑰使用明文傳輸，對(duì)WLAN用戶與3G網(wǎng)絡(luò)之間的共享密鑰K也沒有相應(yīng)的更新機(jī)制。目前提出的一些改進(jìn)方案也存在或多或少的不足，為了實(shí)現(xiàn)3G網(wǎng)絡(luò)和WLAN之間更加安全可靠的連接，針對(duì)上述背景和目的，本文提出了一種基于公鑰的改進(jìn)方案，通過在WLAN接入網(wǎng)和3G網(wǎng)絡(luò)服務(wù)器之間增設(shè)公鑰來實(shí)現(xiàn)兩者的相互認(rèn)證以及對(duì)用戶身份等信息的加密傳輸，并建立共享密鑰K的更新機(jī)制，最后運(yùn)用串空間模型和認(rèn)證測(cè)試方法進(jìn)行了形式化的證明。分析結(jié)果表明，該方案能夠?qū)崿F(xiàn)3G網(wǎng)絡(luò)和WLAN接入網(wǎng)之間的相互認(rèn)證，保證兩者之間的安全連接與通信。

1 EAP－AKA協(xié)議

EAP－AKA協(xié)議是基于 WLAN用戶終端和3G網(wǎng)絡(luò)之間共享密鑰K的認(rèn)證與密鑰分配協(xié)議[6]，協(xié)議由 WLAN UE（WLAN用戶終端）、WLAN AN （WLAN接入網(wǎng)）和3GPP－AAA （3G網(wǎng)絡(luò)認(rèn)證、授權(quán)、計(jì)費(fèi)服務(wù)器）和 HSS／HLR（歸屬用戶服務(wù)器／歸屬位置寄存器）來共同完成的，協(xié)議流程如圖1所示，WLAN用戶和WLAN接入網(wǎng)之間會(huì)話密鑰MK的產(chǎn)生過程如圖2所示。

圖1 EAP－AKA協(xié)議流程

通過EAP－AKA協(xié)議，WLAN用戶和3G網(wǎng)絡(luò)之間實(shí)現(xiàn)了相互認(rèn)證，WLAN用戶和WLAN接入網(wǎng)也共享了密鑰MK[7]，但協(xié)議仍存在一些安全性上的問題。首先，協(xié)議缺乏對(duì) WLAN 接入網(wǎng)的認(rèn)證[8]。其次，3G網(wǎng) 絡(luò)將WLAN接入網(wǎng)與WLAN用戶間的會(huì)話密鑰MK以明文方式傳送給WLAN接入網(wǎng)，如果攻擊者攻陷了WLAN接入網(wǎng)，就可以獲得MK，從而使通信失去了安全性。當(dāng)WLAN用戶進(jìn)行首次認(rèn)證或3G網(wǎng)絡(luò)不識(shí)別其臨時(shí)標(biāo)志時(shí)，WLAN用戶也是以明文方式傳送IMSI，這會(huì)引起用戶身份信息的泄漏。最后，協(xié)議缺乏對(duì)WLAN用戶與3G網(wǎng)絡(luò)之間的共享密鑰的更新[9]。一旦攻擊者在某一次的攻擊中獲取了共享密鑰K，就可以通過假冒攻擊完成與另外一方的相互認(rèn)證，給WLAN用戶和通信網(wǎng)絡(luò)造成巨大安全隱患。

2 基于公鑰的EAP－AKA協(xié)議改進(jìn)

文獻(xiàn)[10]提出的改進(jìn)方案是在 WLAN用戶與WLAN接入網(wǎng)之間增設(shè)一個(gè)共享密鑰來實(shí)現(xiàn)對(duì)WLAN接入網(wǎng)的認(rèn)證，并且對(duì)3G網(wǎng)絡(luò)傳送的會(huì)話密鑰進(jìn)行了加密處理傳輸，但這種方案要求每個(gè)WLAN用戶在與WLAN接入網(wǎng)連接時(shí)都需要預(yù)設(shè)共享密鑰，而WLAN用戶數(shù)量大、移動(dòng)性強(qiáng)，這無(wú)疑增加了共享密鑰的更新和管理工作。文獻(xiàn)[11]則立足于WLAN接入網(wǎng)與3G網(wǎng)絡(luò)之間相對(duì)穩(wěn)定的網(wǎng)絡(luò)結(jié)構(gòu)，在WLAN接入網(wǎng)和3G網(wǎng)絡(luò)間增設(shè)共享密鑰來實(shí)現(xiàn)兩者的相互認(rèn)證和會(huì)話密鑰的協(xié)商分配以及對(duì)會(huì)話密鑰的保密傳輸。這種方案下，密鑰數(shù)量雖然有所減少，但共享密鑰的更新和管理仍較為復(fù)雜。

圖3 EAP－AKA協(xié)議改進(jìn)方案流程

隨著移動(dòng)終端和接入網(wǎng)設(shè)備運(yùn)算及處理能力的增加，基于公鑰[12]的認(rèn)證方法在異構(gòu)網(wǎng)絡(luò)中也具有了非常高的可行性。因此。本文提出了一種新型的基于公鑰的EAPAKA改進(jìn)協(xié)議，要求WLAN接入網(wǎng)與3G網(wǎng)絡(luò)各自擁有自己的公私鑰對(duì)，從而實(shí)現(xiàn)兩者間的相互認(rèn)證和對(duì)會(huì)話密鑰MK的加密傳輸，進(jìn)而防止WLAN接入網(wǎng)的假冒攻擊。

為避免明文傳送IMSI，WLAN用戶在發(fā)送NAI前，首先提取3G網(wǎng)絡(luò)服務(wù)器的地址 （該地址用于將加密后的數(shù)據(jù)傳送給正確的3G網(wǎng)絡(luò)服務(wù)器），再用共享密鑰K對(duì)NAI進(jìn)行加密處理，然后通過WLAN接入網(wǎng)發(fā)給3G網(wǎng)絡(luò)服務(wù)器，如果NAI中含有IMSI，這樣就實(shí)現(xiàn)了對(duì)IMSI的加密保護(hù)，避免了用戶身份信息的泄漏。

借鑒MK的產(chǎn)生方法實(shí)現(xiàn)WLAN用戶和3G網(wǎng)絡(luò)之間的共享密鑰K的更新[11]。首先由WLAN用戶產(chǎn)生隨機(jī)數(shù)RANDUE，加密后傳送給3G網(wǎng)絡(luò)，隨后WLAN用戶和3G網(wǎng)絡(luò)進(jìn)行各自的密鑰更新計(jì)算:CK′＝f3（K）（RANDUE）和IK′＝f4（K）（RANDUE），然后產(chǎn)生新共享密鑰K′。

改進(jìn)方案的實(shí)現(xiàn)流程如圖3所示，其中AD3G表示3GPP AAA服務(wù)器的地址，EK（X）表示使用密鑰K加密X得到的密文，H（K）表示對(duì)K進(jìn)行散列運(yùn)算，SKA表示A的私鑰，PKA表示A的公鑰。

（1）建立WLAN－UE和 WLAN－AN之間的連接。

（2）WLAN－AN 首先向 WLAN－UE發(fā)送請(qǐng)求，認(rèn)證開始。

（3）WLAN－UE收到消息后從NAI中取出3G服務(wù)器地址AD3G，產(chǎn)生隨機(jī)數(shù)RANDUE，將計(jì)算出的EK（NAI‖ANDUE）和地址一同發(fā)給 WLAN－AN。

（4）WLAN－AN收到消息后產(chǎn)生隨機(jī)數(shù)RANDAN，然將 密 文EK（NAI‖RANDUE） 和 計(jì) 算 出 的｛｛RANDAN｝SKAN｝PK3G發(fā)給3G服務(wù)器。

（5）3G服務(wù)器收到消息后，解密獲取NAI、RANDUE和RANDAN，詢問HSS，查看用戶的權(quán)限。獲取認(rèn)證向量AV和用戶新的臨時(shí)標(biāo)志，計(jì)算CK′＝f3（K）（RANDUE）和IK′＝f4（K）（RANDUE），從CK′和IK′中 產(chǎn) 生 共 享 密 鑰K′，生成密文EK′（RANDUE），計(jì)算H（RANDAN）。

（6）3G服務(wù)器構(gòu)造EAP請(qǐng)求／AKA挑戰(zhàn)消息，消息包含AUTH、WLAN－UE的臨時(shí)標(biāo)志、消息認(rèn)證碼MAC、EK′（RANDUE）、H（RANDAN）。 最 后 將 消 息 發(fā) 送 給WLAN－AN。

（7）WLAN－AN收到消息后首先驗(yàn)證RANDAN，然后將其它消息發(fā)送給WLAN－UE。

（8）WLAN－UE收到消息后，用自身生成的密鑰K′解密密文，如能得到正確的RANDUE，則說明3G服務(wù)器端密鑰更新正確。然后驗(yàn)證AUTH，并確認(rèn)接收的序列號(hào)SQN是否在有效范圍內(nèi)，如果正確，則實(shí)現(xiàn)了對(duì)3G網(wǎng)絡(luò)的認(rèn)證。計(jì)算IK、CK、RES，從IK和CK中生成共享密鑰MK，然后驗(yàn)證MAC是否正確，并保存收到的臨時(shí)標(biāo)志。

（9）構(gòu)造EAP回應(yīng)／AKA挑戰(zhàn)消息發(fā)送給 WLANAN，消息包含RES，并XMAC、H（K′）。

（10）WLAN－AN將收到的EAP回應(yīng)／AKA挑戰(zhàn)消息發(fā)送給3G服務(wù)器。

（11）收到消息后，3G服務(wù)器首先驗(yàn)證消息認(rèn)證碼XMAC、H（K′），然后計(jì)算XRES，并與RES進(jìn)行比較，如果正確則認(rèn)證了WLAN－UE的身份。

（12）3GAAA服務(wù)器構(gòu)造EAP成功的消息、K更新成功的消息并發(fā)送給WLAN－AN，同時(shí)發(fā)送的還有WLAN通信中的共享密鑰EPKAN（MK）。

（13）收到消息后，WLAN－AN解密并保存共享密鑰MK。

（14）WLAN－AN將EAP成功的消息、K更新成功的消息發(fā)送給 WLAN－UE。

3 改進(jìn)方案的安全性分析

與EAP－AKA協(xié)議、文獻(xiàn)[10，11]的改進(jìn)方案相比，本文提出的方案在不改變消息傳遞的次數(shù)，保持原有安全性和效率的基礎(chǔ)上，僅以產(chǎn)生隨機(jī)數(shù)、加解密和散列運(yùn)算的較小代價(jià)，便實(shí)現(xiàn)了WLAN接入網(wǎng)的認(rèn)證、對(duì)IMSI和會(huì)話密鑰MK的加密保護(hù)以及對(duì)WLAN用戶和3G網(wǎng)絡(luò)之間共享密鑰的更新，并且能更好的適應(yīng)終端和WLAN接入網(wǎng)的移動(dòng)性，降低了3G網(wǎng)絡(luò)服務(wù)器和WLAN接入網(wǎng)的存儲(chǔ)負(fù)擔(dān)。表1列出了幾種方案的性能對(duì)比。

表1 已有協(xié)議和改進(jìn)方案的性能對(duì)比

3.1 WLAN接入網(wǎng)和3G網(wǎng)絡(luò)之間的相互認(rèn)證

改進(jìn)方案實(shí)現(xiàn)了WLAN接入網(wǎng)與3G網(wǎng)絡(luò)的相互認(rèn)證，可以運(yùn)用串空間模型和認(rèn)證測(cè)試方法來進(jìn)行相應(yīng)證明。串空間模型是一種基于代數(shù)方法的安全協(xié)議分析工具，具有堅(jiān)實(shí)的理論基礎(chǔ)，可以證明協(xié)議的安全性、分析協(xié)議存在的缺陷；認(rèn)證測(cè)試方法是以串空間模型為基礎(chǔ)的認(rèn)證協(xié)議分析方法，通過構(gòu)造測(cè)試組元，建立安全協(xié)議的認(rèn)證目標(biāo)，應(yīng)用測(cè)試規(guī)則分析協(xié)議是否滿足身份認(rèn)證和信息保密[13]。首先，將WLAN接入網(wǎng)和3G網(wǎng)絡(luò)之間的認(rèn)證抽離出來，如圖4所示。

圖4 WLAN接入網(wǎng)和與3G網(wǎng)絡(luò)之間的相互認(rèn)證

用AN代表WLAN接入網(wǎng)，用3G代表3G網(wǎng)絡(luò)，圖4中的相互認(rèn)證過程可形式化為兩類串，如圖5所示。

圖5 WLAN與3G網(wǎng)絡(luò)相互認(rèn)證的串空間表示

令C為串空間的bundle，SKAN，SK3GKp，Kp為攻擊者密鑰集。

AN的串和跡:Init[RANDAN]＝｛＋｛｛RANDAN｝SKAN｝PK3G，－H（RANDAN｝。

3G的串和跡:Resp[RANDAN]＝｛－｛｛RANDAN｝SKAN｝PK3G，＋H（RANDAN｝。

AN 對(duì) 3G 的 認(rèn) 證: 由 于RANDAN｛｛RANDAN｝SKAN｝PK3G，｛｛RANDAN｝SKAN｝PK3G是節(jié)點(diǎn) AN的一個(gè)組元，且｛｛RANDAN｝SKAN｝PK3G不是任何合法節(jié)點(diǎn)的組元的真子項(xiàng)，所以｛｛RANDAN｝SKAN｝PK3G是RANDAN的測(cè)試組元。因?yàn)镽ANDAN不出現(xiàn)在節(jié)點(diǎn)AN中除｛｛RANDAN｝SKAN｝PK3G以外的其它組元中，且SK3GKp，所以＜AN，1＞＋＜AN，2＞是RANDAN的出測(cè)試。應(yīng)用出測(cè)試定理，存在正常節(jié)點(diǎn)m，m′∈C，使得｛｛RANDAN｝SKAN｝PK3G是m的 組 元， 且m＋m′是RANDAN的轉(zhuǎn)換邊。因?yàn)閙是負(fù)節(jié)點(diǎn)，所以m為某個(gè)3G串3G′＝Resp[RAND′AN]中的節(jié)點(diǎn)，且m＝＜3G′，1＞ ，則term（＜ 3G′，1 ＞ ）＝｛｛RANDAN｝SKAN｝PK3G， 可 知RANDAN＝RAND′AN，從而證明了AN對(duì)3G的認(rèn)證。

3G對(duì)AN的認(rèn)證:首先確定3G上的節(jié)點(diǎn)對(duì)于RANDAN構(gòu)成一未經(jīng)請(qǐng)求測(cè)試。由于RANDAN｛｛RANDAN｝SKAN｝PK3G，｛｛RANDAN｝SKAN｝PK3G是 節(jié) 點(diǎn) ＜AN，1＞的一個(gè)組元，且｛｛RANDAN｝SKAN｝PK3G不是任意正常節(jié)點(diǎn)的組元的真子項(xiàng)，故｛｛RANDAN｝SKAN｝PK3G為節(jié)點(diǎn)＜AN，1＞處消息RANDAN的測(cè)試組元。同時(shí)，由于SKANKp，故3G上的負(fù)節(jié)點(diǎn)＜3G，1＞對(duì)于｛｛RANDAN｝SKAN｝PK3G中的RANDAN構(gòu)成一未經(jīng)請(qǐng)求測(cè)試。應(yīng)用未經(jīng)請(qǐng)求測(cè)試定理可知，一定存在一個(gè)正常的正節(jié)點(diǎn)n∈C，使得｛｛RANDAN｝SKAN｝PK3G為節(jié)點(diǎn)n的一個(gè)組元。因?yàn)閚為 一 正 常 的 正 節(jié) 點(diǎn) 且｛｛RANDAN｝SKAN｝PK3G∈term（n），因此節(jié)點(diǎn)n為某些正常發(fā)起者AN的串AN′＝Init[RAND′AN]中的節(jié)點(diǎn)，且n＝＜ AN′，1＞ ，term（＜AN′，1 ＞ ）＝｛｛RANDAN｝SKAN｝PK3G， 可 得RANDAN＝RAND′AN，從而實(shí)現(xiàn)了3G對(duì)AN的認(rèn)證。

3.2 對(duì)IMSI的加密保護(hù)

WLAN－UE發(fā)送的EK（NAI‖RANDUE），只有合法的3G網(wǎng)絡(luò)服務(wù)器才能正確解密，如果NAI中包含IMSI，這樣就對(duì)IMSI起到了加密保護(hù)作用，防止了WLAN用戶的身份信息的泄漏。

3.3 共享密鑰K的更新

借鑒會(huì)話密鑰MK的產(chǎn)生方法建立了共享密鑰K的更新機(jī)制，WLAN用戶端產(chǎn)生一個(gè)隨機(jī)數(shù)RANDUE，WLAN用戶和3G網(wǎng)絡(luò)服務(wù)器各自用該隨機(jī)數(shù)計(jì)算出CK′和IK′，然后根據(jù)CK′和IK′產(chǎn)生新的共享密鑰K′，這樣不僅避免了密鑰在信道中傳輸，而且還對(duì)密鑰進(jìn)行了安全更新。此外，WLAN用戶和3G網(wǎng)絡(luò)服務(wù)器分別通過收到EK′（RANDUE）和H（K′）來驗(yàn)證對(duì)方所生成的K′的有效性。這樣既實(shí)現(xiàn)了共享密鑰的安全更新，還驗(yàn)證了更新后密鑰的有效性，通過這種密鑰更新機(jī)制，使實(shí)體之間的通信更加安全。

4 結(jié)束語(yǔ)

實(shí)現(xiàn)3G網(wǎng)絡(luò)和WLAN之間的相互認(rèn)證是保證其安全連接與通信的基礎(chǔ)，針對(duì)當(dāng)前認(rèn)證協(xié)議存在的安全缺陷和不足，提出了一種基于公鑰的改進(jìn)方案，并建立了WLAN用戶和3G網(wǎng)絡(luò)間的共享密鑰更新機(jī)制，最后運(yùn)用串空間模型和認(rèn)證測(cè)試方法證明了改進(jìn)方案可以實(shí)現(xiàn)3G網(wǎng)絡(luò)和WLAN之間的相互認(rèn)證以及WLAN用戶和3G網(wǎng)絡(luò)間共享密鑰的安全更新，為用戶提供更加安全可靠的網(wǎng)絡(luò)服務(wù)。

[1]Jos Akhtman，Lajos Hanzo.Heterogeneous networking:An enabling paradigm for ubiquitous wireless communications[J].IEEE Proceedings，2010，98 （2）:135－138.

[2]Aleksandar Damnjanovic，Juan Montojo，Yonbgin Wei，et al.A survey on 3GPP heterogeneous networks[J].IEEE Wireless Communications，2011，18 （3）:10－21.

[3]Wee Lum Tan，F(xiàn)ung Lam，Wing Cheong Lau.An empirical study on the capacity and performance of 3Gnetworks[J].IEEE Transactions on Mobile Computing，2008，7 （6）:737－750.

[4]Hyeyeon Kwon，Yang Mi Jeong，Park Ae－Soon.Handover prediction strategy for 3G－WLAN overlay networks[C]／／IEEE Network Operations and Management Symposium，2008:819－822.

[5]Kambourakis Georgois，Rouskas Angelos.Advanced SSL／TLS－based authentication for secure WLAN－3Ginterworking[J].IEEE Proceedings－Communications，2008，151 （5）:737－750.

[6]Liu Peng，Zhou Peng.Formal analysis of improved EAP－AKA based on protocol composition logic[C]／／2nd International Conference on Future Computer and Communication，20103:86－90.

[7]WANG Peng，LI Xiehua，LU Songnian.Formal analysis of EAP－AKA protocol based on authentication tests[J].Computer Engineering and Applications，2007，43 （15）:157－160（in Chinese）.[王鵬，李謝華，陸松年.基于認(rèn)證測(cè)試方法的EAP－AKA協(xié)議分析[J].計(jì)算機(jī)工程與應(yīng)用，2007，45（15）:157－160.]

[8]Liu Wenju，Shang Yuzhen，Zhang Yan.An analysis of the improved EAP－AKA protocol[C]／／2nd International Conference on Computer Engineering and Technology，2012:10－13.

[9]Mun Hyeran.3G－WLAN interworking:Security analysis and new authentication and key agreement based on EAP－AKA[C]／／Wireless Telecommunications Symposium，2009:1－8.

[10]ZHANG Sheng，XU Guoai，HU Zhengming，et al.Analysis and amendment of EAP－AKA protocol[J].Application Research on Computer，2005，22 （7）:234－236 （in Chinese）.[張勝，徐國(guó)愛，胡正名，等.EAP－AKA協(xié)議的分析和改進(jìn)[J].計(jì)算機(jī)應(yīng)用研究，2005，22 （7）:233－238.]

[11]ZHANG Yan，WANG Ze.Improved method of enhancing EAP－AKA protocol security[J].Computer Engineering and Applications，2009，45 （28）:96－98 （in Chinese）.[張艷，王賾.增強(qiáng)EAP－AKA協(xié)議安全性的改進(jìn)方案[J].計(jì)算機(jī)工程與應(yīng)用，2009，45 （28）:96－99.]

[12]Aaron E Cohen，Keshab K Parhi.Architecture optimizations for the RSA public key cryptosystem:A tutorial[J].IEEE Circuits and System Magazine，2011，11 （4）:24－34.

[13]Chuhong Fei，Raymond H Kwong，Deepa Kundur.A hypothesis testing approach to semifragile watermark－based authentication[J].IEEE Transactions on Information Forensics and Security，2009，4 （2）:179－192.