下一代高速鐵路異構網(wǎng)絡切換安全認證

陳 永,劉 雯,詹芝賢

蘭州交通大學電子與信息工程學院 蘭州 中國730070

1 引言

GSM-R(Global System for Mobile Communications for Railway)是我國當前使用的高速鐵路無線通信系統(tǒng),其承載大量列車控制信息,其安全性對高速鐵路安全至關重要。然而,GSM-R 屬于2G 窄帶通信系統(tǒng),存在業(yè)務承載能力弱等諸多弊端,已無法滿足高速鐵路智能化發(fā)展的需求[1-2]。未來GSM-R將逐步向LTE-R(the Long-Term Evolution for Railway)演進[3]。LTE-R 作為我國下一代高速鐵路無線通信系統(tǒng),具有高速率、低延時和高帶寬等優(yōu)點。但因建設周期或設備更新等因素,演進過程中,將長期存在GSM-R 和LTE-R 系統(tǒng)共存的局面,列車在高速運行過程中,將頻繁出現(xiàn)交替使用GSM-R 和LTE-R 網(wǎng)絡的情況[4]。在這種背景下,在GSM-R 和LTE-R 異構網(wǎng)絡之間,高速列車如何快速安全認證及無縫切換,已成為目前研究的難點問題,亟待解決。

高速鐵路無線通信系統(tǒng)采用 3GPP 定義的EPS-AKA 協(xié)議(Evolved Packet System-Authentication and Key Agreement)作為認證密鑰協(xié)商協(xié)議[5]。目前國內(nèi)外諸多學者針對高速鐵路切換安全認證進行了相關研究。Alezabi 等[6]針對異構網(wǎng)絡中IMSI(International Mobile Subscriber Identity)的明文傳輸和會話密鑰未更新的問題,通過明文傳輸用戶ID和ANID(Access Network Identity)的方法進行了改進,但該方案未實現(xiàn)用戶匿名性,易受到偽裝用戶攻擊。張應輝等[7]針對異構網(wǎng)絡安全接入問題,使用用戶偽身份結合橢圓曲線密鑰算法,實現(xiàn)了用戶匿名性,增強了異構網(wǎng)絡協(xié)議的魯棒性,但群組切換策略存在單點易受攻擊的漏洞。Wang 等[8]提出一種基于橢圓曲線密碼系統(tǒng)的匿名代理簽名方案,實現(xiàn)了用戶匿名性,但在IMSI的傳輸中易遭受暴力攻擊。吳文豐等[9]利用非對稱加密技術結合橢圓曲線密鑰交換算法解決IMSI明文傳輸和會話密鑰未更新問題,但該方案中未實現(xiàn)用戶匿名性以及密鑰后向安全性。Suvidha 等[10]使用橢圓曲線密鑰算法與哈希函數(shù)相結合的方法,有效的阻止了暴力破解和IMSI的明文傳輸,但該認證協(xié)議存在不可追溯性問題。

此外,隨著GSM-R 向LTE-R 演進的過程中網(wǎng)絡復雜性和異構性的增加,異構網(wǎng)絡計算效率和通信成本逐步增加,如何減少切換認證過程的認證開銷也是需要重點解決的問題[11]。Mo 等[12]提出了一種基于雙線性配對的匿名認證方案,實現(xiàn)了匿名性、不可追溯性、相互認證等安全特性,但雙線性配對方法采用指數(shù)操作存在計算復雜度較高的問題。Ozhelvaci等[13]提出了基于身份加密方法的切換認證協(xié)議,解決了異構網(wǎng)絡中計算效率和通信成本高的問題,但該方案未實現(xiàn)可追溯性,難以抵抗中間人攻擊。Zhang 等[14]基于門限哈希函數(shù)的碰撞特性和區(qū)塊鏈的抗篡改性,提出了一種切換認證密鑰協(xié)商協(xié)議,實現(xiàn)了用戶匿名性、可追溯性,但是難以抵抗中間人攻擊和偽裝用戶攻擊。

綜上所述,針對GSM-R 和LTE-R 異構網(wǎng)絡演進場景下,現(xiàn)有認證密鑰協(xié)商協(xié)議EPS-AKA 中存在IMSI明文傳輸、無追溯性、匿名性等安全漏洞,以及計算和通信開銷較大問題。本文提出了一種基于橢圓曲線密鑰交換算法和哈希函數(shù)的下一代高速鐵路異構網(wǎng)絡切換安全認證協(xié)商方案。本文所做工作如下:

(1) 根據(jù)下一代高速鐵路異構網(wǎng)絡切換特點,加入Token身份標識和切換認證碼PASS,實現(xiàn)用戶身份匿名性和可追溯性等安全特性,以達到GSM-R 和LTE-R 異構網(wǎng)絡高效無縫安全切換的需求。

(2) 提出基于橢圓曲線密鑰交換算法、哈希函數(shù)以及異或等操作的輕量級切換算法,降低計算和通信開銷,實現(xiàn)了會話協(xié)商密鑰的前后向安全性,能夠抵抗中間人攻擊、偽裝用戶攻擊等攻擊,提高高速列車車地通信的安全性。

(3) 使用TMSI代替IMSI明文傳輸,實現(xiàn)異構網(wǎng)絡環(huán)境下列車控制信息的安全傳輸。

(4) 最后,采用BAN 邏輯對所提方法進行了形式化安全性驗證,分析結果表明: 所提方法在安全性等方面均優(yōu)于現(xiàn)有方案,并且在計算和通信開銷方面也有較高優(yōu)勢,能夠滿足下一代高速鐵路異構網(wǎng)絡切換安全認證中安全無縫及計算和通信成本的要求。

2 基礎理論

2.1 高速鐵路演進異構網(wǎng)絡架構

高速鐵路無線通信演進異構網(wǎng)絡架構由GSM-R網(wǎng)絡和LTE-R 網(wǎng)絡共同組成,如圖1 所示[15]。相比較GSM-R網(wǎng)絡使用BSC(Base Station Controller)控制BS(Base Station)的結構,下一代高速鐵路LTE-R 無線通信網(wǎng)絡結構更為扁平化,接入網(wǎng)僅由eNodeB(Evolved Node Base)構成。GSM-R 向LTE-R演進過程中,網(wǎng)絡結構中的設備采用平穩(wěn)升級更新的方法,如SGSN(Serving GPRS Support Node)演進升級為 MME(Mobility Management Entity);而HLR(Home Location Register)演進升級為HSS(Home Subscriber Server),負責生成系統(tǒng)參數(shù),MME/SGSN為高速列車UE(User Equipment)提供切換接入服務。在異構網(wǎng)絡中,為了保證高速列車能夠在連續(xù)的異構網(wǎng)絡中實現(xiàn)無縫切換和移動性,用戶都需要在用戶歸屬服務器HSS 中進行認證,以便于HSS 能夠為不同的網(wǎng)絡之間提供相同的訪問控制,即身份驗證和授權。當高速列車UE 從當前MME/SGSN 移動到另一個 MME/SGSN 時,高速列車 UE 和目標MME/SGSN 必須進行相互認證和密鑰協(xié)商,這是切換認證所必須的基本安全需求。

圖1 高速鐵路演進異構網(wǎng)絡架構Figure 1 High-speed railway evolution heterogeneous network architecture

2.2 EPS-AKA 認證協(xié)議

3GPP 為了未來網(wǎng)絡標準化,定義鐵路通信網(wǎng)絡采用EPS-AKA 協(xié)議,作為車地之間的通信協(xié)議。參與該協(xié)議的主要實體有高速列車UE、移動授權實體MME/SGSN 和用戶歸屬服務器 HLR/HSS。在EPS-AKA 協(xié)議中相關符號及含義,如表1 所示。

表1 符號及含義Table 1 Symbols and meanings

EPS-AKA 協(xié)議的流程如圖2 所示,具體執(zhí)行步驟如下。

圖2 EPS-AKA 協(xié)議流程圖Figure 2 EPS-AKA protocol flow chart

(1) UE→MME/SGSN: M1: {IMSI,IDHSS}

用戶UE 向MME/SGSN 發(fā)送請求接入消息M1。

(2) MME/SGSN→HSS: M2: {M1,SNID}

MME/SGSN在收到高速列車UE發(fā)送的消息M1之后,根據(jù)歸屬服務器IDHSS查詢網(wǎng)絡號,之后將網(wǎng)絡號SNID和消息M1 一起打包發(fā)送給HSS。

(3) HSS→MME/SGSN: M3: {AV(n)}

HSS 接收到MME 發(fā)送的消息M3 之后,對網(wǎng)絡號SNID進行驗證,若SNID為非法ID,則拒絕接入請求;否則,HSS 根據(jù)IMSI檢索密鑰K并生成認證向量組AV(n),并將AV(n)發(fā)送給MME/SGSN。

(4) MME/SGSN→UE: M4: {AV(i)}

MME/SGSN 將收到的向量組AV(n)存入其數(shù)據(jù)庫,按照最小序號原則選取出一組向量AV(i),將其發(fā)送給高速列車UE。

(5) UE→MME/SGSN: M5: {RES}

UE 接收到MME/SGSN 的消息響應之后,判斷同步序列號SQN是否合法,若不合法,則終止認證響應;否則根據(jù)消息認證碼公式計算XMAC:XMAC=f1(SQN‖RAND‖AMF‖K),比 較XMAC與接收到的MAC是否相等,若不相等,則終止認證;否則高速列車UE完成對MME/SGSN和HSS的認證,高速列車 UE 計算響應消息RES:RES=f2(RAND‖K)以及共享密鑰KASME:KASME=KDF(SNID‖CK‖IK),將反饋響應消息RES發(fā)送給MME/SGSN。

(6) MME/SGSN 收到高速列車UE 發(fā)送的用戶認證響應RES之后,驗證RES?=XRES,若相等,則完成對高速列車UE 的安全認證;否則,終止協(xié)議認證。

3 高速鐵路異構網(wǎng)絡切換安全認證

高速鐵路GSM-R和LTE-R異構網(wǎng)絡之間的切換認證以垂直切換(Vertical Handover,VHO)認證為主,垂直切換是指從一種無線網(wǎng)絡接入到另一種無線網(wǎng)絡之中。在GSM-R 和LTE-R 異構網(wǎng)絡中,高速列車在線路跨區(qū)高速運行時,將頻繁在異構網(wǎng)絡中完成越區(qū)切換。鐵路沿線的基站由于信號覆蓋范圍有限,在列車移動至當前基站覆蓋范圍邊緣時,需要斷開與源小區(qū)基站的連接,轉(zhuǎn)為與新的基站建立連接,且高速列車必須與目標基站進行相互認證和密鑰協(xié)商,身份認證和密鑰協(xié)商對保障列車切換認證過程的安全性具有至關重要的作用。

然而在GSM-R 和LTE-R 異構網(wǎng)絡演進場景下,切換認證過程中存在IMSI明文傳輸、無追溯性、匿名性等安全漏洞,以及計算和通信開銷較大問題。針對上述問題,本文提出一種基于橢圓曲線Diffie-Hellman 密鑰協(xié)商(Elliptic Curve Diffie-Hellman key Exchange,ECDH)與哈希函數(shù)相結合的切換認證方案,通過加入Token身份標識和切換認證碼PASS,實現(xiàn)了用戶身份匿名性和可追溯性等安全特性,能夠滿足車地之間的高效通信需求和通信安全。

根據(jù)高速鐵路GSM-R和LTE-R異構網(wǎng)絡切換實際場景,本文所提方案中切換認證方案包括初始化階段、注冊階段、垂直切換認證階段這3 個階段。

3.1 初始化階段

在本階段,高速列車 UE 和移動授權實體MME/SGSN 利用橢圓曲線密鑰生成算法生成各自的公私鑰。具體步驟如下:

(1) 選擇大素數(shù)q,生成非奇異橢圓曲線E:選擇G1、G2為兩個循環(huán)加法群,P為群G的生成元。f為物理不可克隆函數(shù)(Physically Unclonable Function System,PUFS),滿足對于同一激勵Ti,在容限范圍之內(nèi)會產(chǎn)生相同的結果,即

3.2 注冊階段

在該階段,高速列車 UE 和移動授權實體MME/SGSN 在HSS 處進行身份信息注冊。注冊流程如圖3 所示,其具體步驟如下:

圖3 注冊流程圖Figure 3 Registration flow chart

(1) UE 向HSS 發(fā)送消息{IDUE,PKUE}作為注冊請求信息。

(2) MME/SGSN 向HSS 發(fā)送消息{IDMME/SGSN,PKMME/SGSN}作為注冊請求信息。

(3) HSS 收到UE 發(fā)送的消息之后,保存UE 公鑰PKUE,并與IDUE建立對應列表;HSS 生成一個隨機數(shù)r∈基于此隨機數(shù)r、共享密鑰K和用戶身份標識IDUE為用戶生成Token{PID,R},其中PID為偽身份,R是用于UE 接收Token后從中獲取r并生成秘密值H=h（r‖K）的認證參數(shù)。隨后,HSS 將Token和MME 公鑰PKMME/SGSN通過安全通道發(fā)送到UE。

(4) HSS 收到MME/SGSN 的消息之后,保存MME/SGSN 公鑰PKMME/SGSN,并與IDMME/SGSN建立了相應的對應列表。計算切換認證碼:PASSi=h(H‖f（Ti）) ⊕IDUE,并與IDUE建立一一對應的列表。HSS 將PASS和UE 公鑰PKUE通過安全通道發(fā)送到MME/SGSN。

(5) 用戶 UE 在終端中保存Token{PID,R},PKMME/SGSN。

(6) MME/SGSN 在終端中保存PASSi,PKUE。

3.3 垂直切換認證階段

在高速列車跨區(qū)域切換過程中,UE 進入GSM-R和LTE-R 共存的異構網(wǎng)絡時需要進行異構網(wǎng)絡環(huán)境下的認證切換。在認證切換過程中,MME/SGSN 無需生成認證向量AV,目標MME/SGSN 只需與UE 協(xié)商生成會話密鑰即可使用該密鑰完成 UE 和MME/SGSN 之間信息的安全傳輸。垂直切換認證流程如圖4 所示,步驟如下:

圖4 垂直切換認證流程圖Figure 4 Vertical handover certification flow chart

(1) UE→MME/SGSN 的消息,M1: {TMSI,PASS1,T1,XUE,SigPKMME/SGSN{PID,R}}

當UE 處于基站信號覆蓋邊緣時,由于網(wǎng)絡信號較差,UE 會在當前網(wǎng)絡中發(fā)起切換接入其他網(wǎng)絡的請求:

①UE 生成時間戳T1,計算臨時移動用戶識別碼:T MSI=IMSI⊕f(T1),輸入身份IDUE,計算秘密值H=IDUE⊕PID=h(r‖K)。

③計算切換認證碼:PASS1=h(H‖f（T1）)⊕IDUE。

④UE使用MME/SGSN公鑰PKMME/SGSN對Token進行簽名得到SigPKMME/SGSN{Token}。UE 發(fā)送消息M1給MME/SGSN。

(2) MME/SGSN→SGSN/MME: M2: {TMSI,PID,R,PASS1,T1,XUE}

MME/SGSN 收到UE 的消息之后:

①使用其私鑰sMME/SGSN驗證簽名確認UE 身份,并得到信息{TMSI,PID,R,PASS1,T1,XUE}。

②MME/SGSN 將消息M2根據(jù)列車運行路徑發(fā)送到目標SGSN/MME。

(3) SGSN/MME → UE: M3: {AV,MAC,XSGSN/MME}

SGSN/MME 收到MME/SGSN 的消息之后:

①SGSN/MME 得到消息{TMSI,PID,R,PASS1,T1,XUE}。

②生成時間戳T2,判斷T2-T1≤ΔT,若超出請求時間容限,則不同意切換請求;否則,根據(jù)IMSI=TMSI⊕f(T2)得到共享密鑰K,并假設移動授權實體與歸屬服務器之間的傳輸信道為安全信道,從HSS 獲取注冊階段保存的PASSi,從而得到IDUE。

④根據(jù)切換認證碼公式計算PASS2:PASS2=h(H‖f（T2）)⊕IDUE,對PASS2?=PASS1進行判斷,若不相等,則拒絕切換請求;否則,滿足切換請求,允許UE 接入。

⑤SGSN/MME 生成隨機數(shù)xSGSN/MME∈,計算XSGSN/MME=xSGSN/MMEP,計算協(xié)商會話密鑰:SK=xSGSN/MMEPKUE+sSGSN/MMEXUE。

⑥隨后 SGSN/MME 計算消息認證碼:MAC=h(H') ⊕f(T2),SGSN/MME 選擇存儲在數(shù)據(jù)庫中的認證向量AV,發(fā)送消息M3給UE,若認證向量AV已用完,則SGSN/MME 向HSS 發(fā)送請求認證向量消息,由HSS 生成認證向量后發(fā)送給SGSN/MME。

(4) UE→SGSN/MME: M4: {RES}

UE 收到SGSN/MME 的消息之后:

①計 算XMAC=h（H）⊕f（T1）,然后判斷XMAC?=MAC,若不是,則驗證失敗,結束會話;否則,進行步驟②。

②UE 根據(jù)協(xié)商會話密鑰公式計算SK:SK=xUEPKSGSN/MME+sUEXSGSN/MME,接受SGSN/MME發(fā)送的認證向量,計算RES=h(SK‖H),使用協(xié)商會話密鑰SK進行通信。

(5) SGSN/MME 收到UE 發(fā)送的消息之后,計算XRES=h(SK‖H'),判斷XRES?=RES,若不相等,則SGSN/MME 驗證UE 失敗,結束對話;否則,使用協(xié)商會話密鑰SK進行通信。

上述流程完畢后,用戶在接入到新的網(wǎng)絡后,通過與目標網(wǎng)絡中的移動授權實體SGSN/MME協(xié)商出新的會話密鑰SK,使用SK進行后續(xù)通信。

4 安全證明

4.1 理論分析

(1)IMSI機密性保護

IMSI作為攜帶很多通信信息的移動標識碼,其在傳統(tǒng)的EPS-AKA 協(xié)議中是明文傳輸?shù)?若IMSI泄露,則會對通信雙方造成巨大損失,故而,對IMSI進行機密性保護至關重要。在本文方案中,UE 發(fā)送的切換請求消息使用臨時身份TMSI代替IMSI的明文傳輸,由于TMSI具有一次性,故攻擊者無法通過TMSI獲取協(xié)議信息。

(2) 前/后向安全性

前/后向安全性是指攻擊者在獲得當前密鑰的情況下,無法獲得前次和后次通信的會話密鑰。在本文方案中,列車UE 和移動授權實體SGSN/MME 的協(xié)商密鑰SK由本文所提的橢圓曲線密鑰交換方法生成。但由于橢圓曲線離散對數(shù)問題和Diffie-Hellman計算問題,攻擊者無法從參數(shù)(XUE,xUEP)和(XSGSN/MME,xSGSN/MMEP)得到隨機生成的xUE和xSGSN/MME,因此前/后兩次切換的協(xié)商會話密鑰是不相關的,故攻擊者無法根據(jù)當前的會話密鑰推導出之前或之后的密鑰,所以本文方案具有前/后向安全性。

(3) 抵抗重放攻擊

重放攻擊是指攻擊者將截獲的n組信息原封不動的發(fā)送給服務器,欺騙服務器,破壞認證正確性。在本文方案中,UE 發(fā)送的切換請求消息{TMSI,PID,R,PASS1,T1,XUE}中包含時間戳T1,SGSN/MME 在接收到消息之后會生成新的時間戳T2,通過判斷是否滿足T2-T1≤ΔT條件從而抵抗重放攻擊。

(4) 抵抗偽裝用戶攻擊

在異構網(wǎng)絡中,由于UE 身份IDUE的明文傳輸致使攻擊者可通過截獲IDUE,從而假冒真實合法的UE 對服務器發(fā)起攻擊,導致異構網(wǎng)絡出現(xiàn)安全隱患。在本文方案中,UE 向SGSN/MME 請求切換時,Token{PID,R}是基于隨機數(shù)r和共享密鑰K共同計算得出,攻擊者無法同時獲取r和K這兩個參數(shù),因此攻擊者無法構建出Token' =Token并發(fā)送至SGSN/MME。故本文方案能夠抵抗偽裝用戶攻擊。

(5) 抵抗中間人攻擊

在本文方案中,通信雙方的協(xié)商會話密鑰SK由通信雙方的公私鑰經(jīng)過點乘和倍加運算之后得到的結果,攻擊者若想要破解協(xié)商會話密鑰SK,需要攻破橢圓曲線離散對數(shù)和CDHP 問題,所以本文方案能夠抵抗中間人攻擊。

(6) 相互認證

在異構網(wǎng)絡通信中,為了通信的安全性得到保障,需要實現(xiàn)UE 與SGSN/MME 之間的雙向身份驗證,以防多種攻擊。

①UE 對于 SGSN/MME 的驗證。UE 向SGSN/MME 發(fā)送切換請求消息之后,SGSN/MME發(fā)送MAC作為應答響應。然后,UE方通過計算XMAC=h（H）⊕f（T1）,判斷XMAC?=MAC是否成立完成對SGSN/MME 的驗證。

②SGSN/MME 對UE 的驗證。AKA 作為一種基于挑戰(zhàn)應答響應機制的協(xié)議,SGSN/MME 在收到UE方發(fā)送的應答響應消息之后,計算XRES=h(SK‖H'),判斷XRES?=RES,是否成立完整對UE的認證。

以上兩點證明本文方案可以滿足相互認證。

(7) 用戶匿名性

在異構網(wǎng)絡切換認證協(xié)議中,UE 需要發(fā)送身份IDUE用于SGSN/MME 接受請求消息之后進行身份驗證,IDUE以明文形式傳輸,在本文方案中,用戶的Token{PID,R}由HSS 生成,且UE 對Token使用PKMME/SGSN進行簽名,只有真正的MME/SGSN 才擁有對應的私鑰sMME/SGSN對該消息進行驗證,攻擊者很難篡改Token信息。PID是由用戶IDUE和秘密值H異或生成的,其中秘密值H是由隨機數(shù)r和共享密鑰K通過Hash函數(shù)計算得出,而攻擊者即便獲取K也無法得到r,進而不能計算出H,也就無法得到用戶的真實IDUE,因此本方案滿足用戶匿名性。

(8)可追溯性

假設有惡意用戶偽裝成用戶UE 使用偽身份竊取信息時。其移動授權實體SGSN/MME 執(zhí)行以下操作: 首先根據(jù) UE 發(fā)送的切換請求消息,計算IDUE'=h(r‖K)⊕PID;其次,獲取注冊階段保存的PASSi,得到真實的IDUE;比較IDUE'？=IDUE,若不成立,則MME/SGSN 揭露惡意用戶的真實身份IDUE'。因此,本文方案具有可追溯性。

4.2 BAN 邏輯證明

BAN(Burrows,Abadi and Needham)邏輯是一種形式化分析方法,其廣泛適用于加密協(xié)議的安全性分析[16]。BAN 邏輯主要由通信主體,BAN 邏輯公式和加密密鑰三部分組成,BAN 邏輯符號說明,如表2所列。

表2 BAN 邏輯符號說明Table 2 BAN logic symbol description

為了便于描述,證明過程中GSM-R 和LTE-R 異構網(wǎng)絡中的移動授權實體SGSN 和MME 統(tǒng)一用C表示。

(1) 形式化描述

消息1: UE→C:

消息2: C→UE:

(2) 初始狀態(tài)假設

在該階段,xUE和T是由UE 臨時生成隨機數(shù)和時間戳,具有一次性。故假設式(3)和式(4)成立。

xC是由C 生成的隨機數(shù),滿足一次性特點,具有新鮮性。故假設式(5)成立。

UE 和C 之間進行信息交互時,密鑰K為UE 和C 共享,攻擊者無法獲取該密鑰,故UE 和C 都能確信彼此可以使用該密鑰進行信息傳遞。假設式(6)～式(9)成立。

(3) 預期目標

(4) 推理證明

由式(1)可得:

由式(7)和式(10),運用消息含義規(guī)則可得:

由式(5),運用消息新鮮性規(guī)則可得:

由式(11)式(12),運用隨機數(shù)驗證規(guī)則可得:

由式(2)得:

由式(6)和式(14),運用消息含義規(guī)則可得:

由式(3)式(4),運用相信規(guī)則可得:

由式(16),運用消息新鮮性規(guī)則可得:

由式(15)和式(17),運用隨機數(shù)驗證規(guī)則可得:

由式(15)式(18)得到:

由式(8)式(19),運用仲裁規(guī)則可得:

由式(9)式(20),運用仲裁規(guī)則可得:

通過初始狀態(tài)和BAN 邏輯推理,最終推導出了預期的4 個目標,UE 和C 相信協(xié)商會話密鑰SK的真實性和完整性,UE 和C 的后續(xù)通話可基于此密鑰推導計算,從而保證了通信的加密密鑰和完整性保護密鑰的安全性,實現(xiàn)了GSM-R 向LTE-R 演進過程中異構網(wǎng)絡通信雙方互相認證和保密性,滿足異構網(wǎng)絡中切換安全需求。

5 性能分析

為了更好的體現(xiàn)本文方案的有效性,將本文方案與其他相關方案進行安全性能對比分析,硬件配置環(huán)境為Intel(R) Core i7-10700K CPU @3.80 GHz,32.0 GB RAM,NVIDIA GeForce RTX 2060 SUPER,對比實驗均在相同配置環(huán)境下進行。分析結果如表3 所列。在表3 中,列出了擬議方案與傳統(tǒng)EPS-AKA 協(xié)議、文獻[8]、文獻[9]以及文獻[14]在各個安全性能方面的比較。主要性能比較包括: 抗偽裝用戶攻擊、可追溯性、匿名性以及抗中間人攻擊等方面。從表3 可以看出: 傳統(tǒng)的EPS-AKA 協(xié)議在安全方面存在較大漏洞,無法實現(xiàn)抗中間人攻擊、抗偽裝用戶攻擊和可追溯性等功能。文獻[8]采用橢圓曲線匿名代理簽名方案實現(xiàn)用戶的匿名傳輸,能夠抵抗中間人、重放等一系列攻擊,但是在該方案中,惡意用戶可以假裝成真實的用戶接入網(wǎng)絡,文獻[8]方法無法對惡意用戶的身份ID進行揭露。文獻[9]中沒有實現(xiàn)用戶身份信息的匿名傳輸,易遭受偽裝用戶攻擊,該方法無法為移動授權實體提供可追溯性驗證,對于惡意用戶無法進行ID揭露。文獻[14]利用區(qū)塊鏈的抗篡改性,結合使用門限散列函數(shù)可以揭露惡意用戶ID,實現(xiàn)了抗偽裝用戶攻擊,但是該方案存在中間人攻擊和無密鑰后向安全性的問題。而本文方案采用橢圓曲線密鑰交換ECDH、哈希函數(shù)以及異或操作相結合的方法,解決了協(xié)商會話密鑰無前后向安全性、中間人攻擊、無匿名性、以及重放攻擊等問題。此外,本文方法中引入Token和PASS,不僅實現(xiàn)了抗偽裝用戶攻擊和可追溯性,而且實現(xiàn)了用戶在異構網(wǎng)絡的無縫切換。相較于其他文獻而言,本文方法在安全性方面有著較高的優(yōu)勢,很好的解決了偽裝用戶攻擊、中間人攻擊、無匿名性以及不可追溯性等問題,提高了異構網(wǎng)絡下鐵路無線通信網(wǎng)絡的切換認證安全性。

表3 安全性能對比Table 3 Comparison of safety performance

下面進一步對通信開銷、計算開銷等性能進行分析,并與其他方案(EPS-AKA、文獻[8]、文獻[9]、文獻[14])進行比較。通信開銷是指在通信的過程中信息交互的次數(shù),在LTE-R 異構網(wǎng)絡中主要包括HSS、MME 和UE 之間的信息交互次數(shù)[17]。在比較不同方法通信開銷時,設UE 和MME 之間的認證消息傳遞成本為α、MME 和MME 之間為β、MME和HSS 之間為γ,因為在鐵路實際運行場景下,不同的通信實體通信距離不同,因此要求滿足0＜α＜β＜γ的條件[8]。通信開銷的計算如式(23)所示,其中i表示不同的通信實體。

計算開銷是指在通信過程中耗費的時間量,通常以雙線性對運算、標量乘、模冪、模乘、求逆、模平方、模平方根、點映射等操作的個數(shù)來衡量[18]。計算開銷求解如式(24)所示,其中函數(shù)fun為上述各類操作,其中j表示不同類型的通信操作。

經(jīng)過對不同比較方法計算開銷的理論分析,計算不同方法的通信開銷后,比較結果如表4 所列。從表4 中可以發(fā)現(xiàn): 在通信開銷方面,文獻[14]采用基于門限哈希函數(shù)的碰撞特性和區(qū)塊鏈的抗篡改方法,其通信開銷最低,但從表3 可知,該文獻無法抵抗中間人攻擊和實現(xiàn)密鑰后向安全性。傳統(tǒng)EPS-AKA 協(xié)議通信開銷最高,這是因為傳統(tǒng)EPS-AKA 協(xié)議中,UE和目標網(wǎng)絡之間必須執(zhí)行完整的認證協(xié)議流程才能發(fā)生切換。文獻[8]和文獻[9]通信開銷相同,且均高于本文方案的通信開銷,其原因在于文獻[8]和文獻[9]在UE 請求認證協(xié)議時,其切換過程中目標移動授權實體和UE 的通信信息都需要源移動授權實體轉(zhuǎn)發(fā)到UE,這種過程不僅增加了交互次數(shù)而且容易引起通信過程中的安全隱患。綜合表3 和表4 的通信開銷,本文方案有著較少的交互次數(shù),通信開銷較少,更能保障GSM-R 向LTE-R 演進過程中異構網(wǎng)絡的切換安全。

表4 計算開銷和通信開銷對比Table 4 Comparison of computing overhead and communication overhead

下面進行UE 數(shù)量改變對異構網(wǎng)絡計算開銷的影響分析。計算開銷計算時,采用文獻[19]中單次計算操作開銷時間作為分析參數(shù)值,其中對稱加密為0.071ms、對稱解密為0.084ms、標量乘法為1.038ms、點加法為0.006ms,哈希操作為0.005ms[19]。將上述參數(shù)值代入表4 中,得到的不同比較方法單個UE 的計算開銷。比較方法是在AES-256(Advanced Encryption Standard 256)作為對稱加密算法,及橢圓曲線群(G)的階數(shù)為160 的條件下得到的結果。不同UE條件下計算開銷對比結果,如圖5 所示。

圖5 切換認證階段計算開銷對比Figure 5 Comparison of calculation costs

由圖5 可以看出: 在異構網(wǎng)絡切換過程中,UE數(shù)量和計算開銷整體上呈現(xiàn)出正相關關系,原因是隨著UE 數(shù)量的增加,服務器接收到的切換請求越多,其執(zhí)行時間則越長。其中,傳統(tǒng)EPS-AKA 的計算開銷最少,但其安全性在5 種方法中最低,無法滿足大部分安全需求,不適用于高速鐵路中異構網(wǎng)絡切換安全需求。文獻[14]計算開銷最大,也不適合高速列車運行場景。文獻[9]方案得到的計算開銷比本文方案略低,但是該方案無法滿足可追溯性、匿名性和抗偽裝用戶攻擊等一系列的安全需求,無法對通信過程中的惡意用戶實現(xiàn)追蹤,不能很好的為異構網(wǎng)絡無縫切換提供安全保障。而本文方案采用基于橢圓曲線密鑰交換算法結合哈希函數(shù)以及異或操作,在異構網(wǎng)絡切換認證中,能夠?qū)崿F(xiàn)UE 的匿名傳輸和無縫切換,且哈希函數(shù)和橢圓曲線密鑰交換算法較其余原始加密操作執(zhí)行時間最少,故本文方案的計算開銷低于文獻[8]和文獻[14]。

為了進一步驗證本文所提方案的有效性,下面以朔黃鐵路LTE-R 線路實測數(shù)據(jù)進行不同方法對比分析[3]。朔黃鐵路是一條重載鐵路,采用LTE-R 寬帶移動通信網(wǎng)絡作為無線通信支撐網(wǎng)絡,其正線全長598km,站線全長217.916,共有車站33 個,對于朔黃鐵路實測數(shù)據(jù),采用本文方案較其他比較方法在計算機開銷和通信開銷對比結果,如表5 所示。

表5 朔黃鐵路計算開銷和通信開銷對比Table 5 Comparison of computing overhead and communication overhead in Shuohuang Railway

由表5 可知,在朔黃鐵路實測數(shù)據(jù)對比中,本文方案所需計算開銷低于文獻[8]和文獻[14],略高于文獻[9]和傳統(tǒng)EPS-AKA 方法,其原因是在通信協(xié)議的身份認證和密鑰協(xié)商過程中,傳統(tǒng)EPS-AKA 協(xié)議中僅采用哈希操作實現(xiàn),文獻[9]使用橢圓曲線密鑰算法,上述兩種方法計算開銷較小,但從表3 可知EPS-AKA 安全性能在所有方案中最低,文獻[9]無法滿足抗偽裝用戶攻擊和可追溯性等安全需求。文獻[14]方法多次采用標量乘操作進行異構網(wǎng)絡之間的切換認證和密鑰協(xié)商,導致其計算開銷在五種方法中最高。而本文方案采用點加操作完成身份認證和密鑰協(xié)商,具有較少的計算開銷,此外結合表3 的性能分析可知,本文方案具有較高的安全性能。

此外,在通信開銷實測對比中,本文方案所需通信開銷低于傳統(tǒng)EPS-AKA、文獻[8]和文獻[9]方法,略高于文獻[14],其原因是本文使用切換認證碼PASS實現(xiàn)異構網(wǎng)絡之間的無縫切換,減少了通信開銷,而文獻[8]和文獻[9]進行異構網(wǎng)絡之間的切換時,均都需要源移動授權實體參與到切換過程中,增加了交互次數(shù),導致通信開銷增大,而且根據(jù)表3 中的性能分析可知,傳統(tǒng)EPS-AKA、文獻[8]、文獻[9]和文獻[14]均無法滿足實際鐵路通信過程中安全性需求。綜上所述,上述性能理論分析和朔黃鐵路實測數(shù)據(jù)對比分析表明: 本文方案不僅具有較高的安全性能,又有較低的通信開銷和計算開銷,能夠滿足異構網(wǎng)絡的無縫切換需求。

6 總結

針對下一代高速鐵路通信異構網(wǎng)絡中存在的安全及切換效率問題,本文提出了一種基于橢圓曲線密鑰交換算法、哈希技術以及切換認證碼PASS的切換認證密鑰協(xié)商方案,并根據(jù)異構網(wǎng)絡無縫切換的實際需求設計了初始化、注冊認證協(xié)議及垂直切換認證協(xié)議,最后采用BAN 邏輯進行了形式化安全性驗證。結果表明:

(1) 本文方案實現(xiàn)了UE 的匿名接入和服務器的可追溯性,能夠抵抗偽裝用戶攻擊,服務器通過驗證用戶ID可以揭露惡意用戶ID。通過切換認證碼PASS實現(xiàn)異構網(wǎng)絡之間的無縫切換。

(2) 本文方案利用橢圓曲線密鑰交換算法ECDH 實現(xiàn)會話協(xié)商密鑰的動態(tài)更新,實現(xiàn)了密鑰的前后向安全性,能夠有效抵抗中間人攻擊和重放攻擊。

(3) 本文方案中不僅使異構網(wǎng)絡具有健壯性,而且在通信開銷和計算開銷方面也有很好的表現(xiàn),能夠更好的為異構網(wǎng)絡中的切換認證服務,且研究結果表明該方案對切換認證提供了一定的理論依據(jù)。GSM-R 和LTE-R 組成的異構網(wǎng)絡在我國高速鐵路運行中扮演者至關重要的角色,作為異構網(wǎng)絡其無縫切換安全對于保障列車運行安全具有重要的理論意義和現(xiàn)實意義。