面向B5G 網(wǎng)絡的高效切換認證與安全密鑰更新機制

崔琪楣，趙文靜，顧曉陽，朱增寶，朱曉喧，陶小峰，倪巍

（1.北京郵電大學信息與通信工程學院，北京 100876；2.鵬城實驗室，廣東 深圳 518055；3.中國科學技術交流中心，北京 100045；4.澳大利亞聯(lián)邦科學與工業(yè)研究組織，悉尼 2122）

1 引言

隨著3GPP R-16 版本機制的凍結和R-17 版本機制的跟進，全球各主要國家正逐步加快推進5G網(wǎng)絡落地與應用的進程。5G 以其高速率、大容量、低時延等卓越性能，正逐步支持增強移動帶寬（eMBB,enhanced mobile broadband）、高可靠低時延通信（uRLLC,ultra-reliable low-latency communication）和大規(guī)模機器類型通信（mMTC,massive machine type communication）三大典型應用場景[1]，在推動AR/VR、自動駕駛、工業(yè)互聯(lián)網(wǎng)、遠程醫(yī)療等新領域快速發(fā)展的同時，也使其面臨著網(wǎng)絡安全與數(shù)據(jù)隱私保護等方面的新挑戰(zhàn)。

移動通信網(wǎng)絡通過升級鑒權認證與密鑰協(xié)商體系實現(xiàn)5G 接入側數(shù)據(jù)加密性與完整性保護。與長期演進（LTE,long term evolution）網(wǎng)絡采用的鑒權認證及密鑰協(xié)商機制相比，5G 網(wǎng)絡提出5G-AKA（5G authentication and key management ）和EAP-AKA（extensible authentication protocol authentication and key management）這2 種接入認證方式，沿用并升級以AES（advanced encryption standard）、ZUC（Zu Chong）、SNOW 3G 為代表的加密算法，支持小區(qū)內(nèi)切換和小區(qū)間切換場景下的密鑰更新機制[2]，以防止攻擊者非法獲取用戶身份憑證、終端節(jié)點偽造，通信數(shù)據(jù)遭泄露或篡改。然而，當前5G 網(wǎng)絡的切換認證不具備前向安全性，還存在密鑰生命周期管理不夠靈活，密鑰協(xié)商過程信令交互低效等問題，具體描述如下。

1) 當前5G 網(wǎng)絡采用的切換密鑰鏈模型的水平推演不具備前向安全性。具體地，當上一個接入層（AS,access stratum）密鑰失陷時，攻擊者可以中斷失陷基站的鏈路計數(shù)值（NCC,next-hop chaining count）更新，通過操控鏈路計數(shù)值對核心網(wǎng)發(fā)起去同步攻擊[3-4]，根據(jù)失陷的AS 層密鑰和公共參數(shù)推導出下一AS 層的密鑰，即破壞密鑰前向的安全性。

2) 移動終端在小區(qū)內(nèi)切換時，密鑰更新信令由基站gNB（next generation node base station）發(fā)起，低移動性終端只能被動等待更新。在工業(yè)物聯(lián)網(wǎng)、遠程醫(yī)療等mMTC 應用場景中，大規(guī)模低移動性終端在完成密鑰協(xié)商流程后長期沿用初次協(xié)商的密鑰，攻擊者可利用多次加密運算過程中泄露的功耗、能量等信息對終端發(fā)起旁路攻擊[5]。

3) 移動終端在小區(qū)間切換時，密鑰更新信令由核心網(wǎng)的接入和移動管理功能（AMF,access and mobility management function）發(fā)起，更新過程需要基站和核心網(wǎng)完成多次信令交互。例如在車聯(lián)網(wǎng)、智慧交通等mMTC 應用場景中，高移動性機器類設備在密集小區(qū)中會頻繁切換，切換時每個終端都要訪問位于核心網(wǎng)的身份認證服務器，增加了傳輸過程的額外時延，這導致了核心網(wǎng)的資源消耗和嚴重的信令擁塞[6]。

針對5G 網(wǎng)絡切換認證與密鑰更新機制中的前向安全問題，文獻[7]基于代理簽名、預認證和密鑰預分配增強了會話密鑰的安全管理。文獻[8]基于無證書簽密提出一種密鑰的自生成機制解決前向安全缺陷，但密鑰更新效率低。文獻[9]通過向合法用戶頒發(fā)公鑰基礎設施簡化傳統(tǒng)身份驗證，但是使用周期短，在切換過程需要進行重認證，存在密鑰托管問題。

針對大規(guī)模低移動性終端的密鑰安全性問題，文獻[10-16]均采用群組認證與密鑰管理方案，主要是利用本地群組內(nèi)獲得的臨時密鑰進行認證，不需要與遠程歸屬網(wǎng)絡頻繁交互，有效降低機器類設備入網(wǎng)成本。但是，群組認證與密鑰管理存在以下缺點：①難以找出群組中的非法用戶[10-12]；②依賴于秘密共享[13]、中國剩余定理[14]等密碼學原語，與5G 標準不兼容；③群認證只適用于初次接入認證，不適合切換認證[10-16]。因此，群組認證與密鑰管理方案難以適用于mMTC 場景的切換密鑰更新管理。文獻[17]在超密集組網(wǎng)模式下提出了一種基于安全區(qū)域的快速認證密鑰協(xié)商協(xié)議，但該協(xié)議需要將空口數(shù)據(jù)面加解密功能以分布式部署于安全區(qū)域內(nèi)的所有基站，也無法適配5G 網(wǎng)絡架構。

針對高移動性終端密鑰更新的時延與效率問題，文獻[18]利用輔基站在切換過程中傳輸數(shù)據(jù)，以降低傳統(tǒng)切換方式中數(shù)據(jù)傳輸中斷所引起的時延。文獻[19]基于雙陷門變色龍散列函數(shù)提出一種高效的切換認證協(xié)議，允許陷門散列密鑰持有實體接入網(wǎng)絡，避免了切換測量、判決等流程。文獻[20]采用橢圓曲線密碼實現(xiàn)了認證匿名性和不可追蹤性。然而，文獻[18-20]的密鑰更新機制需要多次訪問位于核心網(wǎng)中的身份認證服務器，降低了網(wǎng)絡切換信令交互效率。文獻[21]提出了基于無證書的密鑰隔離方案，克服傳統(tǒng)公鑰密碼體制下復雜的證書管理問題，但該方案采用運算量較大的雙線性映射，復雜度高，難以適用于mMTC 場景。

基于上述分析，本文引入無雙線性的無證書密鑰協(xié)商協(xié)議，并與移動邊緣計算（MEC,mobile edge computing）技術融合，提出一種基于無證書的高效切換認證與安全密鑰更新機制，主要貢獻如下。

1) 本文沿用5G 標準現(xiàn)有的橢圓曲線密碼，基于無雙線性的無證書密鑰協(xié)商，提出一種滿足前向安全性的新型密鑰更新機制，所提機制以移動終端為密鑰更新流程的發(fā)起點，終端可在密鑰使用期限內(nèi)發(fā)起AS 層密鑰更新，以保障大規(guī)模低移動性設備的隱私與安全。

2) 本文在eCK（extended canetti krawczyk）安全模型下基于離散對數(shù)困難問題，證明了攻擊者無法在多項式時間內(nèi)攻破機制，并從理論上分析了所提機制滿足前向安全性、會話密鑰不可控性、抗密鑰泄露偽裝、抗未知密鑰共享等安全屬性。

3) 本文提出在MEC 服務器上增加可信第三方密鑰生成中心（KGC,key generation center），負責在初次認證時根據(jù)通信實體的身份信息來生成部分私鑰[22]。與核心網(wǎng)的認證、授權、計費（AAA,authentication authorization accounting）服務器相比，MEC 位于接入網(wǎng)的邊緣，更接近終端，并且具有強大的存儲空間[23]，通過MEC 服務器作為認證服務器，更新機制在不增加核心網(wǎng)資源成本的情況下可以減少信息傳輸距離和更新時延。仿真結果表明，所提機制在提高安全性的同時，也提高了接入側密鑰更新的效率。

2 相關研究

2.1 5G 網(wǎng)絡的切換認證與密鑰更新機制

5G 網(wǎng)絡有2 種切換更新機制：小區(qū)內(nèi)切換和小區(qū)間切換。如圖1 所示，切換密鑰鏈模型又分為式(1)所示的水平切換和式(2)所示的垂直切換。

圖1 切換密鑰鏈模型

其中，PCI（physical cell ID）為目標小區(qū)的物理小區(qū)標識，EARFCN-DL（E-UTRAN absolute radio frequency channel number-down link）為下行鏈路絕對頻率信道值，NCC 為鏈路計數(shù)值，NH（next-hop key）為下一跳密鑰，NHNCC為NCC 對應的下一跳密鑰，如式(3)～式(5)所示。

2.1.1 小區(qū)內(nèi)切換

5G 基站分為集中式單元（CU,centralized unit）和分布式單元（DU，distributed unit）兩部分，當用戶設備（UE,user equipment）從同一gNB內(nèi)的一個gNB-DU 切換到另一個gNB-DU 時，這種切換被稱為小區(qū)內(nèi)切換，如圖2 所示。

圖2 小區(qū)內(nèi)切換場景

1) gNB選擇切換的目標UE，在切換命令中將NCC 值發(fā)送給目標UE。

2) gNB和UE 將使用目標PCI 和EARFCN-DL來執(zhí)行切換密鑰鏈：如果gNB 中存在未使用的{NH,NCC}對，執(zhí)行垂直切換，否則執(zhí)行水平切換。

2.1.2 小區(qū)間切換

5G 網(wǎng)絡有2 種小區(qū)間切換類型[1]：Xn 切換和N2 切換，這是以切換時信令傳輸經(jīng)由的接口命名的。如圖3 所示，當UE 移動時，可能會通過Xn 接口從源gNB 切換到同一個 AMF 管理下的目標gNB，這種切換被稱為Xn 切換，具體流程如圖4所示。

圖3 Xn 切換場景

圖4 Xn 切換的密鑰更新流程

1)～3)初始化上下文建立請求：當UE 從源gNB移動到同一個AMF 管理下的目標gNB時，AMF 向源gNB發(fā)送初始化上下文建立請求，包含安全參數(shù){NH,NCC}，UE 設置NH=KgNB、NCC=0，完成下一跳密鑰的初始化工作。

4)～7)更新請求：UE 通過無線鏈路向源gNB發(fā)送測量報告，源gNB根據(jù)測量報告做出切換判決后向目標gNB發(fā)起切換請求，目標gNB返回包含安全參數(shù)｛NH,NCC｝ 的切換應答。

8)～10)目標gNB 更新下一跳密鑰：若源gNB接收到的NCC 比當前使用的KgNB的NCC 大，則同步{NH,NCC}后，根據(jù)式(2)進行垂直推演；否則根據(jù)式(1)進行水平推演。

11)～13)UE 更新下一跳密鑰：由于UE 還未與目標gNB建立安全通信，源gNB在收到HO 切換指令后轉發(fā)｛NCC,PCI,EARFCN-DL｝ 。若UE 接收到的NCC 大于本地存儲的NCC，則根據(jù)式(5)同步并存儲NH，再根據(jù)式(2)進行垂直推演；否則根據(jù)式(1) 進行水平推演。在 UE 側更新密鑰

14)～19)為下一次切換提供密鑰材料：UE 向目標gNB發(fā)送切換確認，與目標gNB建立安全通信；gNB向AMF 發(fā)送路徑切換請求，AMF 同步NH，設置NCC=NCC+1，更新數(shù)據(jù)路由。

根據(jù)上述流程，分析當前5G 系統(tǒng)的切換密鑰管理機制存在以下問題：①當終端與失陷基站連接時，攻擊者可以中斷失陷基站的鏈路計數(shù)值NCC更新，使失陷基站{NH,NCC}無法同步，只能通過NHNCC進行水平切換[24]，無法達到完美的前向隔離；②小區(qū)內(nèi)切換密鑰更新指令由gNB發(fā)起，gNB決定目標UE 后發(fā)送切換命令，UE 更新數(shù)據(jù)鏈路值NCC、同步并存儲下一跳密鑰NH，這會導致大規(guī)模低移動性設備只能被動的等待切換更新；③小區(qū)間切換更新過程gNB 需要和核心網(wǎng)進行四次信令交互，并且在每次同步{NH,NCC}要存儲對應的NHNCC值，高移動性機器類設備在密集小區(qū)中會頻繁切換，導致核心網(wǎng)的資源消耗和嚴重的信令擁塞。

2.2 相關知識

困難問題令P是階為q的循環(huán)群G的一個生成元。計算性 Diffie-Hellman（CDH）：已知P,aP,bP∈G，CDH 問題的目標是計算abP，任意多項時間內(nèi)解決CDH 問題的優(yōu)勢是可忽略的。決策性Diffie-Hellman（DDH）：已知P,aP,bP,cP∈G，DDH 問題的目標是等式abP=cP是否成立。

敵手模型A 類敵手不能得到系統(tǒng)的主密鑰，但能通過公鑰替換攻擊機制；A 類敵手能得到系統(tǒng)的主密鑰，但是不能通過公鑰替換攻擊機制。

eCK 安全模型本節(jié)參考文獻[25]所定義的eCK 安全模型，通過挑戰(zhàn)者和敵手A 的游戲定義密鑰協(xié)商協(xié)議的安全性。代表i向j發(fā)起的第S次會話，擁有相同會話id 的稱為匹配會話；當計算出會話密鑰時變?yōu)閍ccepted 狀態(tài)，會話可能會在沒有進入accepted 狀態(tài)的情況下終止。構造解決CDH 困難問題的模擬器τ，A 可以通過以下隨機預言機查詢。

Create(i)：參與者i生成公私鑰對。

RevealMasterKey：τ返回主密鑰。

RevealSessionKey()：若會話沒有被接受，τ返回⊥；否則返回會話密鑰sk。

RevealPartialPrivateKey(i)：τ返回參與者i的部分私鑰。

RevealSecretValue(i)：τ返回參與者i的私鑰。

ReplacePublicKey(i)：替換參與者i的公鑰。

Send()：τ向發(fā)送消息m，根據(jù)協(xié)議得到響應。

在游戲最后輸出b′作為對b的猜測，若b'=b，稱敵手贏得游戲。

新鮮性令為已接受會話。如果下列條件都不成立，則稱是新鮮的。1) 詢問了或匹配會話（如果存在的話）的會話密鑰。

2) 匹配會話存在時，A 詢問了i的部分私鑰和的臨時私鑰，或詢問了j的部分私鑰和的臨時私鑰。

3) 匹配會話不存在，A 詢問了i的部分私鑰和的臨時私鑰，或詢問了j的部分私鑰。安全性如果下列條件被滿足，則稱密鑰協(xié)商協(xié)議是安全的。

1) 參與者協(xié)商了相同的會話密鑰，并且該會話密鑰在密鑰空間上滿足均勻分布。

2) 在任意的多項式時間t內(nèi)敵手A（A1,A2）在上述游戲中獲勝的優(yōu)勢AdvA(k)是可忽略的。

3 基于無證書的切換認證與密鑰更新機制

3.1 設計目標

針對上述問題，本文設計一種基于無證書的切換認證與密鑰更新機制，如圖5 所示。①終端可以在小區(qū)內(nèi)切換狀態(tài)內(nèi)主動發(fā)起更新，保障5G 網(wǎng)絡新場景下用戶的隱私與安全。②新密鑰的生成不依賴核心網(wǎng)的控制，終端和接入點在5G-RAN 側完成無證書密鑰協(xié)商全過程，減少核心網(wǎng)資源消耗和信息傳輸距離。③更新過程保證較小的流量負擔和信令交互，降低基站的傳輸負載。

圖5 基于無證書的切換密鑰更新場景

3.2 切換認證與密鑰更新機制

系統(tǒng)初始化階段通過無證書密鑰協(xié)商機制，終端和基站只在完成初次認證時與MEC 服務器建立連接，MEC 服務器將KGC 根據(jù)身份標識生成的部分私鑰通過安全信道分別發(fā)送給UE 和gNB，完成系統(tǒng)初始化。

密鑰更新階段 引入了無證書密鑰體制和密鑰隔離技術方案，具體流程如圖6 所示。

圖6 基于無證書的切換認證與密鑰更新流程

然后UE 依次計算

圖7 新型密鑰更新機制的密鑰推演流程

4 討論

4.1 正確性分析

身份合法性。以UE 驗證gNB的身份合法性為例進行分析，同理gNB可驗證UE 的身份合法性。

4.2 安全性分析

本節(jié)參考第2 節(jié)所定義的eCK 安全模型和隨機預言模型，證明所提機制在eCK 模型下的安全性；再根據(jù)文獻[26]定義的安全屬性對本文所提機制進行安全性評價。

1) 安全性證明

本節(jié)將證明所提協(xié)議滿足上述安全屬性，主要考慮 A1類敵手的攻擊，A 類敵手證明同理。

聲明1i、j協(xié)商了相同的會話密鑰sk，sk 在密鑰空間上滿足均勻分布。

證明1由4.1 節(jié)正確性分析可知i、j協(xié)商了相同的會話密鑰，且參數(shù)的隨機性確保了會話密鑰在密鑰空間上滿足均勻分布。

聲明2敵手 A1在多項式時間t內(nèi)獲勝的優(yōu)勢可忽略。

證明2敵手 A1可以通過以下3 種攻擊情形區(qū)分真實會話密鑰和隨機值。

猜測攻擊：猜測會話密鑰。

密鑰復制攻擊：A1迫使Test 會話的一個非匹配會話擁有與Test 相同的會話密鑰。

偽造攻擊：敵手A1在某時刻成功計算出K并通過隨機預言機查詢到SK。

由文獻[27]可知，前2 種攻擊成功概率可以忽略不計，主要考慮偽造攻擊。

按照新鮮性定義，考慮如下2 種子情形：存在誠實實體擁有Test 會話的匹配會話；無誠實的參與者擁有Test 會話的匹配會話。

情形1 存在誠實實體擁有Test 會話的匹配會話，此情形又可以被分為以下4 種子情形：既不能查詢I的臨時私鑰，也不能查詢J的部分私鑰；既不能查詢J的臨時私鑰，也不能查詢I的部分私鑰；既不能查詢I的部分私鑰，也不能查詢J的部分私鑰；既不能查詢I的臨時私鑰，也不能查詢J的臨時私鑰。

情形1.1 既不能查詢I的臨時私鑰，也不能查詢J的部分私鑰。

情形1.2既不能查詢J的臨時私鑰，也不能查詢I的部分私鑰。

交換I和J,與情形1.1 類似，不再贅述。

情形1.3既不能查詢I的部分私鑰，也不能查詢J的部分私鑰。

除下述詢問，其余均與情形1.1 相同。

情形1.4既不能查詢I的臨時私鑰，也不能查詢J的臨時私鑰。

除下述詢問，其余均與情形1.1 相同。

情形2無誠實的參與者擁有Test 會話的匹配會話，此情形又被分為2 種子情形。在某時刻，參與者的長期私鑰被敵手獲得（敵手A1不能查詢Test 會話的臨時私鑰）；在某時刻，參與者的長期私鑰沒有泄露（敵手A1可以查詢Test 會話的臨時私鑰）。

該情形證明與上述類似，不再贅述。證畢。

綜上所述，本文所提機制可以滿足在eCK 模型下的安全屬性，可以看作安全的密鑰協(xié)商機制。

2) 安全性評價

前向安全性。假設攻擊者得到某一跳密鑰，但是在未知 HMAC-SHA-256 算法另一參數(shù)的情況下，無法推導下一跳密鑰；并且每一次更新過程UE 和gNB分別會選擇新的臨時秘密值ai，在未知ai的情況下，無法有效計算出

會話密鑰的安全性。UE 和gNB兩方不可以獨立地生成下一跳密鑰KgNB，必須要通過密鑰協(xié)商過程生成臨時秘密值來推導下一跳密鑰。

抗密鑰泄露偽裝。假設攻擊者已知gNB的長期私鑰，通過公鑰替換來模仿UE 與gNB進行密鑰協(xié)商，但是在攻擊者未知UE 臨時私鑰情況下，無法有效計算出滿足抗密鑰泄露偽裝。

抗未知密鑰共享。攻擊者企圖在通信雙方共享密鑰過程中截獲密鑰，但AS 層密鑰是在UE和gNB兩端分別生成的，獨立存在UE 和gNB，滿足抗未知密鑰共享。

表1 給出了本文所提機制和現(xiàn)有更新機制的比較分析。本文所提機制在更新過程中實現(xiàn)了前向安全性，保護了通信實體的隱私，解決了密鑰泄露偽裝問題。

表1 本文所提機制和現(xiàn)有更新機制的比較分析

4.3 效率分析

本節(jié)參考相關文獻[14-16]對本文所提機制進行仿真以評估更新效率。仿真場景參考3GPP TR 38.801 標準和3GPP TS 22.261 標準，仿真的實驗參數(shù)根據(jù)文獻[16]進行假設：工作頻段為3.4～3.5 GHz，頻寬為100 MHz，基站覆蓋半徑為2.4 km，核心網(wǎng)覆蓋半徑為100 km。表2 列出了加密函數(shù)的標準運行時間和傳輸負載大小[19]。

表2 加密函數(shù)的標準運行時間和傳輸負載大小

本文比較了進行一次小區(qū)間切換更新所需的計算開銷和通信開銷，在計算傳輸時延時忽略包長并假設每次通信能達到理論最小傳輸時延，結果如表3 所示。與5G 機制相比，本文所提機制具有較低的傳輸時延Tc，更新過程不需要核心網(wǎng)參與；與其他同類切換認證相比，本文所提機制具有最低的傳輸負載Lc、傳輸時延Tc 和計算耗時Ts。

表3 本文所提機制和現(xiàn)有更新機制的通信開銷與計算開銷比較

隨著移動速度的增大，小區(qū)間切換密鑰更新次數(shù)增大，5G 需要執(zhí)行公鑰加密操作來保護身份，這會導致更多的通信成本和計算成本。因此本文分別仿真了不同更新機制中終端移動速率對傳輸負載、傳輸時延、計算耗時的影響。

圖8 給出了不同更新機制中終端移動速度與傳輸負載的關系。仿真表明，5G 機制具有最低的傳輸負載，這是因為5G 機制是基于128 bit 的對稱密碼學，而本文所提機制是基于160 bit 的ECC，與1 024 bit RSA 有相同安全等級[19]，提供了更高的安全保障。與其他同類切換認證相比，在不同終端移動速度下，本文所提機制都具有較低的傳輸負載，這是因為本文所提機制采用了無證書密鑰協(xié)商協(xié)議，保證了較小的流量負擔和信令交互。

圖8 不同更新機制中終端移動速度與傳輸負載的關系

圖9 給出了不同更新機制中終端移動速度與傳輸時延的關系。仿真表明，在不同終端移動速度下本文所提更新機制具有最低的傳輸時延。這是因為制約通信時延的主要是基站到核心網(wǎng)的遠距離傳輸時延，而本文所提機制中終端和接入點能夠在無線5G-RAN 側完成AS 層密鑰更新的全流程。

圖9 不同更新機制中終端移動速度與傳輸時延的關系

圖10 給出了不同更新機制中終端移動速度與計算耗時的關系。仿真表明，5G 機制具有最低的計算耗時，但是隨著移動速度的增大，小區(qū)間切換密鑰更新次數(shù)增大，5G 機制需要通過路徑轉換過程初始化NCC 或執(zhí)行公鑰操作更新KAMF來保護身份，這會導致更多的計算成本，而本文所提機制使用了無雙線性映射的無證書密鑰協(xié)商機制，支持身份隱私保護機制，不存在額外的計算開銷。

圖10 不同更新機制中終端移動速度與計算耗時的關系

5 結束語

本文在現(xiàn)有5G 密鑰管理的基礎上，通過引入無雙線性映射的無證書密鑰協(xié)商機制，使移動終端能夠主動發(fā)起密鑰更新請求，在MEC 服務器上增加可信第三方密鑰生成中心KGC，并在空口側完成無證書密鑰協(xié)商全過程。

針對所提機制，本文在eCK 安全模型下基于離散對數(shù)困難問題，證明了攻擊者無法在多項式時間內(nèi)攻破機制，并從理論上分析了所提機制滿足前向/后向安全性、會話密鑰不可控性、抗密鑰泄露偽裝等安全屬性。所提機制提高了切換認證的安全性，與其他同類切換認證相比有更低的通信開銷和計算開銷。

本文提出的切換認證與密鑰更新機制獲得了較好的效果，如何滿足5G 業(yè)務場景差異化的安全需求，為多元化終端提供安全、輕量化的網(wǎng)絡服務，這一問題還有待在身份管理、認證鑒權等方面做進一步研究。