基于格密碼的5G-R車地認(rèn)證密鑰協(xié)商方案

陳 永，劉 雯，張 薇

(1.蘭州交通大學(xué) 電子與信息工程學(xué)院，甘肅 蘭州 730070；2.蘭州交通大學(xué) 交通運(yùn)輸學(xué)院，甘肅 蘭州 730070)

5G-R(5G for railway)作為我國(guó)下一代高速鐵路移動(dòng)通信系統(tǒng),具有大帶寬,和高速率等優(yōu)點(diǎn)[1]。但是5G-R全新的服務(wù)網(wǎng)絡(luò)架構(gòu)使得5G-R網(wǎng)絡(luò)接入時(shí)更易受到攻擊、篡改和假冒欺騙等安全風(fēng)險(xiǎn)[2],危及行車安全[3]。

5G-R采用5G-AKA (5G-authentication and key agreement)車地認(rèn)證密鑰協(xié)商協(xié)議[4],然而,該協(xié)議被指出存在諸如接入認(rèn)證請(qǐng)求消息SUCI(subscription concealed identifier)明文隱私泄露、根密鑰不變、難以抵抗中間人、DoS攻擊等多種安全隱患[5],為使該協(xié)議為5G-R提供更多高可信業(yè)務(wù),國(guó)內(nèi)外學(xué)者進(jìn)行了大量的研究工作。

針對(duì)5G-AKA協(xié)議中認(rèn)證請(qǐng)求消息SUCI明文傳輸易被攻擊者獲取的問題,一般通過采用加密傳輸信息或使用臨時(shí)身份代替SUCI在協(xié)議中傳輸[6-11]。Dong等[6]使用哈希鏈建立身份池,并采用橢圓曲線協(xié)商傳輸密鑰完成認(rèn)證請(qǐng)求消息,但該方案并未考慮惡意服務(wù)器攻擊。Hu等[7]利用公鑰基礎(chǔ)設(shè)施機(jī)制生成公私鑰,采用非對(duì)稱加密方式防止了用戶身份認(rèn)證請(qǐng)求消息的明文傳輸,但是該方案中根密鑰K未實(shí)現(xiàn)動(dòng)態(tài)更新。Yan等[8]使用公鑰對(duì)信息加密,避免了SUCI重放攻擊,但該方案中并未實(shí)現(xiàn)通信三方的相互認(rèn)證,不滿足密鑰的前/后向安全性。Zhang等[9]使用歸屬網(wǎng)絡(luò)HN的公鑰和隨機(jī)數(shù)避免了身份認(rèn)證請(qǐng)求消息的明文傳輸,但是在該方案中參與會(huì)話的密鑰K并未進(jìn)行動(dòng)態(tài)更新,易被攻擊者獲取,并且該方案并未實(shí)現(xiàn)通信三方的相互認(rèn)證,不能夠抵抗中間人等攻擊。Braeken等[10]使用基于橢圓曲線的公鑰加密算法保護(hù)SUCI的安全性,但UE與SN之間初次驗(yàn)證信息是由根密鑰K派生的KSEAF加密之后進(jìn)行傳輸?shù)?根密鑰K同樣未實(shí)現(xiàn)動(dòng)態(tài)更新。Goswami等[11]使用橢圓曲線集成加密方案防止用戶身份明文傳輸,滿足了匿名性的特性,但UE與HN之間的會(huì)話安全性依然由共享密鑰K保護(hù),并未進(jìn)行動(dòng)態(tài)更新。

此外,5G-AKA協(xié)議中根密鑰長(zhǎng)期不變,易被攻擊者獲取而導(dǎo)致信息泄露,為解決該問題,一系列針對(duì)根密鑰更新的方案被提出[12-17]。Munilla等[12]使用動(dòng)態(tài)更新的密鑰代替根密鑰K參與協(xié)議的運(yùn)行,實(shí)現(xiàn)了會(huì)話密鑰的前向安全性,但是該方案無(wú)法抵抗惡意服務(wù)器對(duì)UE發(fā)起的偽裝服務(wù)網(wǎng)絡(luò)SN攻擊。Liu等[13]通過使用大量隨機(jī)數(shù)和異或運(yùn)算實(shí)現(xiàn)了UE與HN之間的會(huì)話密鑰協(xié)商和更新,可抵抗重放等多種攻擊,但是該方案需要消耗較大的計(jì)算開銷,存在認(rèn)證效率低的問題。Ying等[14]采用基于橢圓曲線密碼的自認(rèn)證公鑰密碼實(shí)現(xiàn)通信雙方的密鑰協(xié)商,但是該方案無(wú)法抵抗同步攻擊。Haq等[15]使用單向哈希函數(shù)和橢圓曲線密碼結(jié)合的方法,實(shí)現(xiàn)了通信雙方的密鑰協(xié)商和會(huì)話密鑰的動(dòng)態(tài)更新,但是在該方案中服務(wù)器身份ID被公開發(fā)布,易遭受DoS攻擊。Xiao等[16]采用橢圓曲線和公鑰/私鑰對(duì)的方法,實(shí)現(xiàn)了會(huì)話密鑰的動(dòng)態(tài)更新,但該方案無(wú)法抵抗DoS攻擊。Chow等[17]使用橢圓曲線和一次性機(jī)密哈希函數(shù),實(shí)現(xiàn)了密鑰動(dòng)態(tài)更新,防止了可鏈接性攻擊、中間人攻擊和DoS等攻擊,但是該方案中未實(shí)現(xiàn)SUCI身份保護(hù)。

綜上,針對(duì)SUCI隱私泄露、根密鑰不變和效率低等問題,基于格密碼理論提出一種新型5G-R車地認(rèn)證方法。研究包括:

1)本文方案使用臨時(shí)身份信息GUTI代替SUCI在協(xié)議中傳輸,避免了SUCI明文傳輸問題,實(shí)現(xiàn)了SUCI的機(jī)密性保護(hù)。

2)利用基于格上的公鑰密碼機(jī)制和近似平滑投射散列函數(shù),并結(jié)合密鑰共識(shí)算法,實(shí)現(xiàn)了根密鑰的動(dòng)態(tài)更新和前后向安全性。

3)通過在車地認(rèn)證消息中加入時(shí)間戳、隨機(jī)質(zhì)詢機(jī)制以及消息認(rèn)證碼,完成了車地通信三方互認(rèn)證,能夠抵抗中間人攻擊、DoS攻擊、量子攻擊和偽裝SN攻擊等多種惡意攻擊。

4)采用串空間方法驗(yàn)證了所提方案的安全性。

1 車地認(rèn)證5G-AKA協(xié)議

5G-R網(wǎng)絡(luò)采用5G-AKA作為車地之間的安全通信協(xié)議[18]。通信系統(tǒng)包括UE設(shè)備、服務(wù)網(wǎng)絡(luò)SN和歸屬網(wǎng)絡(luò)HN,符號(hào)及含義定義見表1。

表1 符號(hào)及含義

5G-AKA協(xié)議步驟如下:

Step1UE向鑒權(quán)服務(wù)功能SEAF發(fā)送申請(qǐng)接入請(qǐng)求消息M1:{SUCI}。

Step2SEAF根據(jù)SUCI中包含的歸屬網(wǎng)絡(luò)標(biāo)識(shí)查找對(duì)應(yīng)的HN,并向AUSF發(fā)送M2:{M1,SNN}。

Step3AUSF驗(yàn)證SNN,若驗(yàn)證不通過,則終止認(rèn)證;否則暫時(shí)存儲(chǔ)SNN,然后給鑒權(quán)證書庫(kù)和處理功能ARPF發(fā)送M3:{SUCI,SNN}。

Step4ARPF從SUCI中根據(jù)共享密鑰解密出SUPI。然后ARPF計(jì)算密鑰KAUSF和XRES*。隨后,生成歸屬網(wǎng)絡(luò)鑒權(quán)向量5G_HE_AV(5G home environment authentication vector),并向AUSF發(fā)送M4:{SUPI,5G_HE_AV}。

Step5AUSF保存接收的SUPI和XRES*,計(jì)算HXRES*,密鑰KSEAF。根據(jù)5G_HE_AV生成鑒權(quán)向量5G_AV,移除5G_AV中的密鑰KSEAF得到服務(wù)網(wǎng)絡(luò)認(rèn)證向量5G_SE_AV(5G serving environment authentication vector),隨后向SEAF發(fā)送M5:{5G_SE_AV}。

Step6SEAF接收到AUSF發(fā)送的消息后,保存HXRES*,向UE發(fā)送M6:{RAND,AUTN}。

Step7UE計(jì)算匿名密鑰AK,通過同步序列號(hào)SQN和消息認(rèn)證碼MAC,計(jì)算XMAC,驗(yàn)證XMAC?=MAC,若相等,則驗(yàn)證接收消息初步成功,隨之驗(yàn)證SQN是否正確;若不相等,則終止認(rèn)證。否則計(jì)算RES,RES*、KSEAF,向SEAF發(fā)送M7:{RES*}。

Step8SEAF計(jì)算HRES*,驗(yàn)證HRES*?=HXRES*,若不相等,則認(rèn)證失敗。否則向AUSF發(fā)送M8:{RES*}。

Step9AUSF驗(yàn)證5G_AV是否過期,若過期,則認(rèn)證失敗;否則,驗(yàn)證RES*?=XRES*,若不相等,則HN認(rèn)為鑒權(quán)認(rèn)證失敗。否則AUSF向SEAF發(fā)送M9:{SUPI,KSEAF}。SEAF會(huì)使用KSEAF用于后續(xù)通信會(huì)話。

2 5G-AKA協(xié)議缺陷分析

1)SUCI泄露易遭受重放攻擊

在Step1中,UE發(fā)送SUCI接入請(qǐng)求,歸屬網(wǎng)絡(luò)HN接收到SUCI之后分離出身份標(biāo)識(shí)符SUPI,從而獲取到與UE共享的相關(guān)信息,但是在車地認(rèn)證過程中,由于SUCI在空中接口中以明文形式進(jìn)行傳輸,攻擊者易通過截獲SUCI對(duì)歸屬網(wǎng)絡(luò)HN發(fā)起重放攻擊或冒充UE造成拒絕服務(wù)攻擊。

2)根密鑰K的泄露

Step4中,通過根密鑰K派生出的IK、CK、AK等密鑰和SNN、SQN共同生成的KAUSF,并由密鑰KAUSF派生出會(huì)話密鑰KSEAF,而會(huì)話密鑰的安全性決定車地通信會(huì)話的隱私性和可靠性,一旦根密鑰K泄露,將會(huì)導(dǎo)致攻擊者推導(dǎo)出會(huì)話密鑰KASME繼而發(fā)起中間人攻擊。

3)DoS攻擊

在Step1中,UE明文傳輸SUCI作為接入認(rèn)證請(qǐng)求,并且在Step2中,SN并未對(duì)來自UE的消息進(jìn)行驗(yàn)證,攻擊者易截獲該消息對(duì)SN發(fā)起重放攻擊,導(dǎo)致SN拒絕為UE提供服務(wù)。

4)鏈路通信信息泄露

UE與SN使用不安全空中接口進(jìn)行通信,易受到竊聽、篡改、注入等攻擊,一般對(duì)該鏈路傳輸?shù)男畔⒉捎眉用芊绞揭员Ｕ蟼鬏斝畔⒌陌踩浴?/p>

3 基于格密碼的5G-R車地認(rèn)證密鑰協(xié)商方案

格上的運(yùn)算大多是線性運(yùn)算,具有并行計(jì)算、計(jì)算開銷小的特點(diǎn)[20]。格密碼的安全設(shè)計(jì)主要基于格的帶錯(cuò)誤學(xué)習(xí) (learningwitherrors,LWE)求解困難問題,即攻擊者無(wú)法在多項(xiàng)式概率時(shí)間算法內(nèi)恢復(fù)出秘密向量[21]?；诟竦腖WE求解困難問題被證明在隨機(jī)歸約下均屬于NP-hard類問題,可以抵抗量子攻擊[22]。

基于格密碼理論,根據(jù)格密碼所具有的高安全性和高效率的特點(diǎn),提出一種基于格的密鑰協(xié)商認(rèn)證方案。通過格上公鑰密碼機(jī)制和近似平滑投射散列函數(shù)以及密鑰共識(shí)算法實(shí)現(xiàn)會(huì)話密鑰的動(dòng)態(tài)更新,并加入隨機(jī)質(zhì)詢和消息認(rèn)證碼抵抗多種攻擊。本文方法主要包括注冊(cè)和認(rèn)證兩個(gè)階段,其中在UE進(jìn)行認(rèn)證請(qǐng)求之前,需要在HN處完成注冊(cè),之后,則進(jìn)行認(rèn)證協(xié)議,從而完成車地之間的相互認(rèn)證和密鑰協(xié)商。

3.1 注冊(cè)階段

首先,在車地通信時(shí),列車UE在接入到歸屬網(wǎng)絡(luò)HN并與HN完成身份認(rèn)證和密鑰協(xié)商之前需要向HN發(fā)起身份注冊(cè)請(qǐng)求,具體步驟為:

Step1UE選擇身份信息IDUE,計(jì)算臨時(shí)身份GUTI=SUCI⊕IDUE,通過安全信道發(fā)送接入請(qǐng)求M1:{IDUE,GUTI,UE}到HN。

Step2HN收到UE的接入請(qǐng)求后,維護(hù)一個(gè)GUTI、IDUE與UE的序列。此時(shí),HN和SN利用基于格上的密文攻擊安全公鑰加密體制[23],分別生成公私鑰對(duì)(pkHN,skHN)←KeyGen(1k)、(pkSN,skSN)←KeyGen(1k),其中KeyGen()為臨時(shí)密鑰生成函數(shù);←為生成符號(hào);k為安全參數(shù);HN通過安全通道發(fā)送{pkHN}給UE和SN,SN通過安全通道發(fā)送{pkSN}給HN。

公私鑰對(duì)的生成方法如下:

令n1,n2∈Z,q為素?cái)?shù),n=n1+n2,m=O(nlnq)∈Z,α,β∈R,其中O(nlnq)為參數(shù)m的標(biāo)準(zhǔn)計(jì)算方法,α、β為系統(tǒng)參數(shù)。

①HN輸入安全參數(shù)k,計(jì)算(AHN-0,RHN-0)←TrapGen(1n,1m,q)、(AHN-1,RHN-1)←TrapGen(1n,1m,q)、crs←CRSGen(1k),輸出公私鑰對(duì)(pkHN,skHN)=((AHN-0,AHN-1,crs),RHN-0),其中TrapGen()為陷門函數(shù),A為矩陣,R為陷門,CRSGen()為公共參數(shù)函數(shù),crs為公共參數(shù)。

②SN輸入安全參數(shù)k,計(jì)算(ASN-0,RSN-0)←TrapGen(1n,1m,q)、(ASN-1,RSN-1)←TrapGen(1n,1m,q)、crs←CRSGen(1k),輸出公私鑰對(duì)(pkSN,skSN)=((ASN-0,ASN-1,crs),RSN-0)。

Step3UE收到HN的反饋消息之后,保存pkHN。

Step4SN保存pkHN。

Step5HN保存pkSN。

3.2 認(rèn)證階段

為了保障車地通信過程中信息的安全性、完整性和機(jī)密性,列車UE和服務(wù)網(wǎng)絡(luò)SN都需要和歸屬網(wǎng)絡(luò)HN相互完成身份驗(yàn)證,UE需與HN協(xié)商出后續(xù)通話所用的共享密鑰SK,該階段步驟如下:

Step1UE→SEAF:Mes1:EpkHN{GUTI,UE,hpUE,cUE=(uUE,vUE),T1}

列車UE在發(fā)送身份認(rèn)證接入請(qǐng)求信息之前,設(shè)計(jì)了基于格理論的公鑰加密體制對(duì)需要傳輸?shù)男畔⑦M(jìn)行加密,EpkHN中的E為加密操作,步驟如下:

①列車UE生成時(shí)間戳T1,選取隨機(jī)數(shù)rUE←r{0,1}*和哈希密鑰hkUE←rK,其中r{}表示隨機(jī)選取。

②計(jì)算投射密鑰hpUE=Proj(hkUE),其中Proj()為密鑰投射函數(shù)。

③計(jì)算uUE=f(pkHN,SUPI,rUE),令labelUE:=UE‖HN‖hpUE‖T1,其中l(wèi)abel為標(biāo)簽,其中f為近似平滑投射散列函數(shù)中的標(biāo)準(zhǔn)計(jì)算函數(shù)。

④計(jì)算vUE=g(pkHN,labelUE,SUPI,rUE),cUE=(uUE,vUE),其中g(shù)為近似平滑投射散列函數(shù)中的標(biāo)準(zhǔn)計(jì)算函數(shù)。

⑤UE計(jì)算之后,使用公鑰pkHN加密傳輸信息,并將接入請(qǐng)求Mes1發(fā)送到SEAF。

Step2SEAF→AUSF:Mes2:EpkHN{Mes1,RANDSN,SNN}

SEAF收到接入請(qǐng)求消息之后,生成隨機(jī)質(zhì)詢響應(yīng)消息RANDSN,使用公鑰pkHN加密后,將消息Mes2發(fā)送到AUSF,然后SEAF將RANDSN記為RANDSN-OLD并存儲(chǔ)。

Step3AUSF→ARPF:Mes3:{GUTI,UE,hpUE,cUE=(uUE,vUE),T1,SNN}

AUSF接收來自SEAF的消息之后,使用私鑰skHN對(duì)消息進(jìn)行解密,檢索RANDSN是否為初次接收。若是,則保存RANDSN;若不是,則進(jìn)一步檢查RANDSN是否在存儲(chǔ)空間中,若是則拒絕接入請(qǐng)求,否則,接收接入請(qǐng)求,判斷RANDSN-RANDSN-OLD?=1,若不相等則拒絕接入請(qǐng)求,否則,令RANDSN=RANDSN+1,并將此次接收的RANDSN記為RANDSN-OLD存儲(chǔ)。之后,AUSF檢查網(wǎng)絡(luò)序列號(hào)SNN是否正確,若不正確,則拒絕身份認(rèn)證接入請(qǐng)求,否則接受并存儲(chǔ)SNN,將消息Mes3轉(zhuǎn)發(fā)到ARPF。

Step4ARPF→AUSF:Mes4:{hpHN,cHN=(uHN,vHN),w,tk,SUPI,{5G_HE_AV}},步驟如下:

①ARPF收到消息后,保存網(wǎng)絡(luò)序列號(hào)SNN,生成時(shí)間戳T2,判斷是否T2-T1≥ΔT,若是,拒絕接入請(qǐng)求,否則,從GUTI中恢復(fù)出SUCI:SUCI=GUTI⊕IDUE,使用用戶標(biāo)識(shí)符解密功能SIDF從SUCI中解密出SUPI。

②根據(jù)接收到的信息:hpUE,T1和labelUE:=UE‖HN‖hpUE‖T1驗(yàn)證密文cUE的有效性。若密文cUE無(wú)效,則終止認(rèn)證;否則,選取隨機(jī)數(shù)rHN←r{0,1}*和哈希密鑰hkHN←rK。

③計(jì)算投射密鑰hpHN=Proj(hkHN)。

④計(jì)算uHN=f(pkHN,SUPI,rHN),令labelHN:=UE‖HN‖hpUE‖cUE‖hpHN‖w,其中w為系統(tǒng)安全參數(shù)。

⑤計(jì)算vHN=g(pkHN,labelHN,SUPI,rHN),cHN=(uHN,vHN),tk=Hash(hpUE,uHN,SUPI,rHN)⊕HhkHN(uUE,SUPI)

⑥使用對(duì)稱密鑰共識(shí)算法[24]計(jì)算HN與UE之間的會(huì)話協(xié)商密鑰SK:(SK,w)←Con(tk,params),其中,params為系統(tǒng)參數(shù),Con()為概率多項(xiàng)式時(shí)間調(diào)制函數(shù)。ARPF生成RAND,計(jì)算AUTN和XRES*,導(dǎo)出KAUSF,生成鑒權(quán)向量5G_HE_AV,并向AUSF發(fā)送Mes4。

5G_HE_AV的計(jì)算式為

MAC=f1(SK,(SQN‖RAND‖AMF‖SNN))·

XRES=f2(SK,RAND)

CK=f3(SK,RAND)

IK=f4(SK,RAND)

AK=f5(SK,RAND)

AUTN=(SQN⊕AK)‖AMF‖MAC

AV=RAND‖XRES‖CK‖IK‖AUTN

XRES*=KDF(CK‖IK,SNN‖RAND‖XRES)

KAUSF=KDF(CK‖IK,SNN‖SQN⊕AK)

5G_HE_AV=RAND‖AUTN‖XRES*‖KAUSF

式中:f1和f2為消息認(rèn)證函數(shù);f3,f4和f5為密鑰生成函數(shù)。

Step5AUSF→SEAF:Mes5:EpkSN{hpHN,cHN=(uHN,vHN),w,KSEAF,SUPI,RANDSN,{5G_SE_AV}}

AUSF保存接收到的SUPI和XRES*,計(jì)算HXRES*和密鑰KSEAF,并生成鑒權(quán)向量5G_AV,從而得到服務(wù)網(wǎng)絡(luò)認(rèn)證向量5G_SE_AV,隨后使用SN公鑰pkSN加密消息,之后向SEAF發(fā)送Mes5。5G_SE_AV的計(jì)算式為

HXRES*=SHA256(RAND,XRES*)

KSEAF=KDF(KAUSF,SNN)

5G_AV=RAND‖AUTN‖HXRES*‖KSEAF

5G_SE_AV=RAND‖AUTN‖HXRES*

Step6SEAF→UE:Mes6:{hpHN,cHN=(uHN,vHN),w,RANDSN,RAND,AUTN,MACSN}

SEAF接收到AUSF發(fā)送的消息之后,使用私鑰skSN解密消息,驗(yàn)證隨機(jī)質(zhì)詢響應(yīng)RANDSN-RANDSN-OLD?=1。若不相等則拒絕接受來自HN的身份認(rèn)證響應(yīng)消息;否則,保存數(shù)據(jù)HXRES*、RANDSN、SUPI,建立SUPI與KSEAF一一對(duì)應(yīng)的列表。隨后,SEAF將會(huì)計(jì)算SN消息認(rèn)證碼:MACSN=HMAC(KSEAF,RANDSN‖RAND‖AUTN),并向UE發(fā)送Mes6。

Step7UE→SEAF:Mes7:{MACUE,RES*}

UE接收到消息之后,執(zhí)行以下步驟:

①根據(jù)接收到的信息:hpHN、w和labelHN:=UE‖HN‖hpUE‖cUE‖hpHN‖w驗(yàn)證密文cHN的有效性。若密文cHN無(wú)效,則終止認(rèn)證協(xié)議;否則計(jì)算tk′=HhkUE(uHN,SUPI)⊕Hash(hpHN,uUE,SUPI,rUE),并計(jì)算UE與HN之間的會(huì)話協(xié)商密鑰SK:SK←Rec(tk′,w,params)。

②計(jì)算匿名密鑰AK=f5(SK,RAND)。

③從AUTN中提取出SQN和MAC,檢索SQN=(SQN⊕AK)⊕AK,計(jì)算XMAC=f1(SK,(SQN‖RAND‖AMF‖SNN)),驗(yàn)證XMAC?=MAC,若相等則驗(yàn)證成功。隨之驗(yàn)證SQN的正確范圍,若不在,則終止認(rèn)證,否則計(jì)算:

RES=f2(SK,RAND)

CK=f3(SK,RAND)

IK=f4(SK,RAND)

RES*=KDF(CK‖IK,SNN‖RAND‖RES)

KAUSF=KDF(CK‖IK,SNN‖SQN⊕AK)

KSEAF=KDF(KAUSF,SNN)

Step8SEAF→AUSF:Mes8:{RES*}

Step9AUSF→SEAF:Mes9:{Result}

AUSF接收到消息后,對(duì)接收到的消息和AUSF保存來自ARPF的XRES*進(jìn)行驗(yàn)證RES*?=XRES*,若不相等,則從歸屬網(wǎng)絡(luò)HN的角度認(rèn)為鑒權(quán)認(rèn)證失敗,終止協(xié)議,并拒接后續(xù)通話,否則鑒權(quán)認(rèn)證成功,AUSF向SEAF發(fā)送協(xié)議認(rèn)證結(jié)果Mes9。

Step10SEAF收到消息之后,若認(rèn)證結(jié)果失敗,則終止認(rèn)證,否則SEAF使用KSEAF用于后續(xù)通信會(huì)話,從而完成車地認(rèn)證。

4 安全性分析

4.1 切換認(rèn)證協(xié)議

1)SUCI保護(hù)

在原始5G-AKA協(xié)議中,攻擊者可通過多次發(fā)起截獲的SUCI進(jìn)行初始化認(rèn)證過程,以獲得大量的認(rèn)證令牌,并從中解析出SQN,進(jìn)而發(fā)起攻擊。本文方案中UE的認(rèn)證請(qǐng)求消息SUCI不再進(jìn)行明文傳輸,而使用臨時(shí)身份GUTI代替SUCI在信道傳輸。在本文方法中,即使攻擊者截獲了GUTI,由于只有合法的UE和HN才持有IDUE,IDUE在信道中并未進(jìn)行傳輸,攻擊者無(wú)法根據(jù)式SUCI=GUTI⊕IDUE獲得SUCI,根本上保證了SUCI的機(jī)密性傳輸。

2)前/后向安全性

在原始5G-AKA協(xié)議中,會(huì)話密鑰KSEAF是由UE與HN之間的共享根密鑰K派生而來,易被攻擊者竊取從而推導(dǎo)出前次/后次的會(huì)話密鑰,無(wú)法真正保障通信安全性。在本文方案中,通信會(huì)話密鑰KSEAF的生成依賴于UE與HN之間的協(xié)商密鑰SK,而SK是采用基于格的平滑投射哈希函數(shù)和對(duì)稱密鑰共識(shí)算法生成的。若攻擊者想要破獲SK就要解決帶錯(cuò)誤學(xué)習(xí)(learningwitherrors,LWE)格上困難問題,但該問題被證明攻擊者在多項(xiàng)式時(shí)間內(nèi)無(wú)法破解[21],故具有密鑰前/后向安全性。

3)抵抗重放攻擊

在原始5G-AKA協(xié)議中,攻擊者容易截獲UE與SN之間無(wú)線信道中傳輸?shù)南?從而發(fā)起重放攻擊。而在本文方案中,UE與SN無(wú)線信道之間傳輸?shù)恼J(rèn)證請(qǐng)求消息為:EpkHN{GUTI,UE,hpUE,cUE=(uUE,vUE),T1},此消息中不僅包含時(shí)間戳T1,而且還使用基于格上LWE困難問題[21]生成的公鑰pkHN對(duì)傳輸信息進(jìn)行加密,只有合法的HN才擁有公鑰pkHN所對(duì)應(yīng)的私鑰skHN,即使攻擊者截獲該消息,也無(wú)法破解該消息,因此可以避免重放攻擊。

4)抵抗偽SN攻擊

5)抵抗中間人攻擊

在原始5G-AKA協(xié)議中,由于UE與SN、HN通信三方之間未進(jìn)行相互認(rèn)證,故存在攻擊者作為中間人對(duì)截獲的消息進(jìn)行篡改、轉(zhuǎn)發(fā)或監(jiān)聽的風(fēng)險(xiǎn)。在本文方案中,UE和SN發(fā)送的身份認(rèn)證請(qǐng)求信息通過基于格的公鑰pkHN加密之后發(fā)送到HN,只有合法的HN才有對(duì)應(yīng)的私鑰。同樣,HN的響應(yīng)消息也是由基于格的公鑰pkSN加密之后發(fā)送到SN,只有合法的SN才持有對(duì)應(yīng)的私鑰。由此本文所提方案能夠抵抗中間人攻擊。

6)通信三方的相互認(rèn)證

在原始5G-AKA協(xié)議中,由于UE、SN和HN之間通信三方未互認(rèn)證,導(dǎo)致攻擊者易發(fā)起多種誘騙攻擊。而在本文方案中,通信三方能夠?qū)崿F(xiàn)三方互認(rèn)證,具體分析如下:

①UE和HN之間的雙向認(rèn)證。UE向HN發(fā)送的身份認(rèn)證請(qǐng)求信息中包含臨時(shí)身份GUTI、密文消息cUE=(uUE,vUE)以及時(shí)間戳T1。HN在接收到消息之后,會(huì)對(duì)時(shí)間戳、臨時(shí)身份GUTI和密文消息cUE進(jìn)行驗(yàn)證,若都驗(yàn)證成功進(jìn)行下一步。此外,HN會(huì)進(jìn)行預(yù)期響應(yīng)的驗(yàn)證RES*?=XRES*。在UE側(cè),通過驗(yàn)證來自HN的密文cHN和計(jì)算消息認(rèn)證碼XMAC=f1(SK,(SQN‖RAND‖AMF‖SNN))確定HN的合法性。因此,UE與HN完成了彼此的互相認(rèn)證。

③HN和SN之間雙向認(rèn)證。只有合法的HN才持有公鑰pkHN所對(duì)應(yīng)的私鑰skHN,并解密SN轉(zhuǎn)發(fā)的消息。隨后,HN驗(yàn)證隨機(jī)質(zhì)詢響應(yīng)消息RANDSN-RANDSN-OLD?=1和服務(wù)網(wǎng)絡(luò)名稱SNN是否一致,若一致則HN完成對(duì)SN的認(rèn)證。同理,在SN側(cè)只有合法的SN才持有公鑰pkSN所對(duì)應(yīng)的私鑰skSN,并解密HN的響應(yīng)消息,之后,通過驗(yàn)證隨機(jī)質(zhì)詢響應(yīng)RANDSN-RANDSN-OLD?=1完成對(duì)HN的驗(yàn)證。SN和HN之間的消息是由彼此的公鑰加密之后進(jìn)行傳輸?shù)?故只有合法的HN和SN才能解密消息,從而對(duì)隨機(jī)質(zhì)詢響應(yīng)消息RANDSN進(jìn)行操作。因此,HN和SN完成了彼此的互相認(rèn)證。

從上述三方相互認(rèn)證分析表明:本文方案能夠保證通信三方的相互認(rèn)證和不可否認(rèn)性,從而克服了5G-AKA協(xié)議中通信三方無(wú)身份認(rèn)證缺點(diǎn)。

7)抗量子攻擊

在5G-AKA協(xié)議中,UE與HN之間的通信易被攻擊者攻擊。而在本文方案中,UE與HN之間的通信信息是由格上困難問題構(gòu)造的,而格上困難問題被證明能夠抵抗量子攻擊[22],故本文方法能夠抵抗量子攻擊。

4.2 基于串空間的安全性證明

為了驗(yàn)證本文所提方案的正確性,采用串空間形式化方法進(jìn)行數(shù)學(xué)證明。串空間模型是一種分析安全協(xié)議的形式化數(shù)學(xué)模型,該模型能夠有效分析協(xié)議安全性[25]。將通信方抽象為UE、SN和HN,本文方法的串空間有向圖見圖1。

根據(jù)圖1,初始化定義如下:

1)名稱集合Tname,其中包含了UE、SN、HN。

2)假設(shè)串空間為Σ,s、r、t、P∈Σ。

①UE的串(起始串):s∈Init[UE,SN,HN,SUCI,hpUE,cUE,T1,hpHN,cHN,w,RANDSN,RAND,AUTN,RES*],其中Init表示起始串。其軌跡為tr(s)=〈+{{SUCI,UE,hpUE,cUE,T1}pkHN},-{hpHN,cHN,w,RANDSN,RAND,AUTN,MACSN},+{MACUE,RES*}〉,其中,tr(s)〈〉表示串s的跡,+為發(fā)送,-為接收,UE、SN、HN∈Tname,pkHN?KP,cUE、cHN形式化為原子項(xiàng),kp為攻擊者密鑰集合。

②SN的串(響應(yīng)串):r∈Resp[UE,SN,HN,SUCI,hpUE,cUE,T1,hpHN,cHN,w,RANDSN,SNN,RAND,KSEAF,SUPI,H1,H2,H3,Result],其中Resp表示響應(yīng)者串。其軌跡為tr(s)=〈-{{SUCI,UE,hpUE,cUE,T1}pkHN},+{{SUCI,UE,hpUE,cUE,T1,RANDSN,SNN}pkHN},-{{hpHN,cHN,w,KSEAF,SUPI,RANDSN,RAND,AUTN,HXRES*}pkSN},+{hpHN,cHN,w,RANDSN,RAND,AUTN,MACSN},-{MACUE,RES*},+{RES*},-{Result}〉,其中UE、SN、HN∈Tname,pkSN?KP,pkHN?KP,KSEAF?KP,hpUE,hpHN,cUE、cHN形式化為原子項(xiàng),H1、H2和H3是SN需要進(jìn)行驗(yàn)證的消息,且H2=SHA256(RAND||H3) ,SHA256表示輸出為256的哈希函數(shù)。

③HN的串(服務(wù)串):t∈Serv[UE,SN,HN,SUCI,hpUE,cUE,T1,hpHN,cHN,w,RANDSN,SNN,RAND,KSEAF,SUPI,AUTN,HXRES*,RES*,Result],其軌跡為tr(t)=〈-{{SUCI,UE,hpUE,cUE,T1,RANDSN,SNN}pkHN},+{{hpUE,cHN,w,KSEAF,SUPI,RANDSN,RAND,AUTN,HXRES*}pkSN},-{RES*},+{Result}〉,其中UE、SN、HN∈Tname,pkSN?KP,pkHN?KP,KSEAF?KP,hpUE,hpHN,cUE、cHN形式化為原子項(xiàng),Serv為服務(wù)串操作。

④攻擊者的串:p∈P。

3)UE對(duì)SN和HN的身份認(rèn)證,其具體形式化過程如下:

定理1①假設(shè)C為一個(gè)簇,簇C中包含UE的串:s∈Init[UE,SN,HN,SUCI,hpUE,cUE,T1,hpHN,cHN,w,RANDSN,RAND,AUTN,RES*]。

②pkHN?KP。

③hpUE,cUE,hpHN,cHN,RAND、RANDSN唯一產(chǎn)生于空間Σ。

④簇C還包含HN的串和SN的串。

對(duì)定理1的證明過程如下:

首先,進(jìn)行對(duì)協(xié)商會(huì)話密鑰SK的證明:

①hpUE,cUE唯一產(chǎn)生于節(jié)點(diǎn)〈s,1〉,邊〈s,1〉?+〈s,2〉是hpUE,cUE在tk中的出測(cè)試,其中?+表示同一個(gè)串上的因果前驅(qū)。

②由出測(cè)試原理[25]可知:存在正常節(jié)點(diǎn)m,m#∈C,使得tk是m的分量且m?m#是hpUE、cUE的變換邊。

③由變換邊定義[25]可知:節(jié)點(diǎn)m為負(fù)節(jié)點(diǎn),假設(shè)m為某HN串t#中的結(jié)點(diǎn),串t#∈Serv[UE,SN,HN,SUCI,hpUE#,cUE#,T1,hpHN,cHN,w,RANDSN,SNN,RAND,KSEAF,SUPI,AUTN,HXRES*,RES*,Result],故m=〈t#,1〉,term〈t#,1〉=[hpUE,cUE]

④通過比較〈t#,1〉和HN串中分量可得:hpUE#=hpUE,cUE#=cUE。

同理可證:hpHN#=hpHN,cHN#=cHN,因此,由參數(shù)hpUE,cUE,hpHN,cHN生成的協(xié)商會(huì)話密鑰SK具有新鮮性和安全性。

接著證明定理1:由上述證明可知:SK具有安全性,且SK?KP,由于RAND唯一產(chǎn)生于空間Σ,因此,MAC?AUTN?term〈s,2〉產(chǎn)生于唯一的服務(wù)串t,且KSEAF是經(jīng)由pkSN加密之后傳輸?shù)?因此KSEAF?KP。由于MACSN?term〈s,2〉產(chǎn)生于唯一的響應(yīng)串r,同時(shí),{hpHN,cHN,w,KSEAF,SUPI′,RANDSN′,RAND,AUTN,H2′}pkSN=term〈r,3〉唯一產(chǎn)生于某個(gè)服務(wù)器串t′,RAND唯一產(chǎn)生空間Σ且t′=t,則RANDSN′=RANDSN,H2′=HXRES*。

同理可證:{SUCI,UE,hpUE,cUE,T1,RANDSN,SNN}pkHN=term〈t,1〉產(chǎn)生于某個(gè)響應(yīng)串r′,RANDSN唯一產(chǎn)生于空間Σ且r′=r,則:SUCI′=SUCI,其中,term〈t,1〉為串t上第1個(gè)節(jié)點(diǎn)的項(xiàng)。

綜上,UE完成了對(duì)SN與HN的身份認(rèn)證。

4)HN對(duì)SN和UE的身份認(rèn)證,其具體形式化過程如下:

定理2①假設(shè)C為一個(gè)簇,簇C中包含HN的串:t∈Serv[UE,SN,HN,SUCI,hpUE,cUE,T1,hpHN,cHN,w,RANDSN,SNN,RAND,KSEAF,SUPI,AUTN,HXRES*,RES*,Result]。

②其中pkSN?KP,pkHN?KP,pkSEAF?KP。

③hpUE,cUE,hpHN,cHN,RAND、RANDSN唯一產(chǎn)生于空間Σ。

④簇C還包含UE的串和SN的串。

對(duì)定理2的證明過程如下:

由于SK←Rec(tk′,w,params),SK?KP,故CK?KP、IK?KP,CK‖IK?KP,所以RES*?term〈t,3〉產(chǎn)生于唯一的起始串s∈Init[UE,SN,HN,SUCI,hpUE,cUE,T1,hpHN,cHN,w,RANDSN,RAND′,AUTN′,RES*],且SQN′?AUTN′。同理,MAC′?AUTN′?term〈s,2〉產(chǎn)生于某個(gè)服務(wù)串t′,RAND唯一產(chǎn)生于空間Σ且t′=t,則SQN′=SQN、AUTN′=AUTN。

因?yàn)閜kSN加密傳輸服務(wù)串t、KSEAF,且KSEAF?KP,又因?yàn)镸ACUE=term〈r,5〉產(chǎn)生于某起始串s′,hpUE,cUE,hpHN,cHN,RAND、RANDSN唯一產(chǎn)生空間Σ且s′=s,比較串中分量可得:RANDSN′=RANDSN,hpUE′=hpUE,cUE′=cUE,hpHN′=hpHN,cHN′=cHN。

綜上所述,HN完成了對(duì)UE與SN的身份認(rèn)證,且HN與UE協(xié)商了會(huì)話密鑰SK。

5)SN對(duì)HN和UE的身份認(rèn)證,其具體形式化過程如下:

定理3①假設(shè)C為一個(gè)簇,簇C中包含SN的串:r∈Resp[UE,SN,HN,SUCI,hpUE,cUE,T1,hpHN,cHN,w,RANDSN,SNN,RAND,KSEAF,SUPI,H1,H2,H3,Result]。

②其中pkSN?KP,pkHN?KP,pkSEAF?KP。

③hpUE,cUE,hpHN,cHN,RAND、RANDSN唯一產(chǎn)生于空間Σ。

④簇C還包含UE的串和HN的串。

對(duì)定理3的證明過程如下:

因?yàn)閜kSN?KP,所以:{hpHN,cHN,w,KSEAF,SUPI,RANDSN,RAND,AUTN,HXRES*}pkSN=term〈r,3〉產(chǎn)生于唯一的某個(gè)服務(wù)串t′∈Serv[UE,SN,HN,SUCI′,hpUE′,cUE′,T1,hpHN′,cHN′,w′,RANDSN,SNN,RAND,KSEAF,SUPI,AUTN′,(HXRES*)′,(RES*)′,Result],其中SUPI′?SUCI′,(hpUE′,cUE′,hpHN′,cHN′,w′)?AUTN′,(hpUE′,cUE′,hpHN′,cHN′,w′)?(HXRES*)′,(hpUE′,cUE′,hpHN′,cHN′,w′)?(RES*)′,且KSEAF由SK派生而來,hpHN,cHN,RAND唯一產(chǎn)生于空間Σ且t′=t,則:hpUE′=hpUE,cUE′=cUE,w′=w,hpHN′=hpHN,cHN′=cHN。同理,{GUTI,UE,hpUE,cUE,T1}pkHN=term〈t,1〉產(chǎn)生于某個(gè)響應(yīng)串r′,RANDSN唯一產(chǎn)生于空間Σ且r′=r,故SUCI′=SUCI。因此,AUTN′=AUTN,(HXRES*)′=HXRES*,(RES*)′=RES*。因?yàn)镾K?KP,故CK?KP、IK?KP,CK‖IK?KP,所以RES*?term〈t,3〉產(chǎn)生于某個(gè)起始串s′∈Init[UE,SN,HN,SUCI,hpUE,cUE,T1,hpHN,cHN,w,RANDSN′,RAND,AUTN′,RES*],且SQN′?AUTN′。同理,MAC′?AUTN′?term〈s,2〉產(chǎn)生于某個(gè)服務(wù)串t′,RAND唯一產(chǎn)生于空間Σ且t′=t,則SQN′=SQN,AUTN′=AUTN。

因?yàn)镵SEAF?KP,且MACUE=term〈r,5〉產(chǎn)生于某個(gè)起始串s′,hpUE,cUE,hpHN,cHN,RAND、RANDSN唯一產(chǎn)生于空間Σ且s′=s,則:RANDSN′=RANDSN。

綜上證明,SN完成了對(duì)UE與HN的身份認(rèn)證。

5 性能分析

最后將所提方法與文獻(xiàn)[7,11,16]方法從安全性能、計(jì)算和通信開銷等方面進(jìn)行定量比較分析。

首先進(jìn)行安全性對(duì)比,如表2和表3所示。其中,表2中進(jìn)行傳統(tǒng)安全性能方面的比較,包括前/后向安全性、抗中間人攻擊、抗重放攻擊。表3中列出對(duì)5G-AKA協(xié)議中SUCI保護(hù)、通信三方的相互認(rèn)證、抗偽裝SN攻擊、根密鑰更新以及抗量子攻擊比較。

表2 傳統(tǒng)安全性能對(duì)比

表3 改進(jìn)安全性能對(duì)比

從表2可以看出,原始5G-AKA協(xié)議在五種方法中,安全性最低,難以抵抗DoS、中間人、重放攻擊等。文獻(xiàn)[7]方案中,通過公鑰基礎(chǔ)設(shè)施機(jī)制生成公私鑰,但該方法容易使攻擊者發(fā)起針對(duì)SN和HN的DoS攻擊。此外,該方案無(wú)法抵抗重放攻擊等攻擊,這將導(dǎo)致通信方之間通信信息無(wú)法進(jìn)行完整安全傳輸。文獻(xiàn)[11]方案中設(shè)備與UE通信期間實(shí)現(xiàn)了密鑰協(xié)商,完成了前向安全性并可以抵抗中間人攻擊,但在UE與SN和HN通信期間,根密鑰K并未實(shí)現(xiàn)動(dòng)態(tài)更新,而其認(rèn)證響應(yīng)消息是基于該共享根密鑰K計(jì)算得到,一旦攻擊者獲取該密鑰之后,將會(huì)對(duì)UE與SN和HN之間的通信信息進(jìn)行竊取或監(jiān)聽,故該方案不滿足密鑰前向安全性,也易遭受中間人攻擊。文獻(xiàn)[16]方案基于橢圓曲線實(shí)現(xiàn)會(huì)話通信密鑰的動(dòng)態(tài)更新,實(shí)現(xiàn)了會(huì)話密鑰的前/后向安全性,一般情況下該方案可以抵抗DoS攻擊,但當(dāng)攻擊者為不同的惡意UE時(shí),惡意UE向SEAF發(fā)送大量認(rèn)證請(qǐng)求消息,之后SEAF、AUSF、ARPF未對(duì)認(rèn)證請(qǐng)求消息進(jìn)行認(rèn)證檢驗(yàn)而響應(yīng),則惡意UE丟棄返回的認(rèn)證響應(yīng)消息,繼續(xù)發(fā)送認(rèn)證請(qǐng)求,從而導(dǎo)致SN和HN會(huì)受到惡意UE發(fā)起的DoS攻擊,且SN和HN的資源被消耗,故該方案中依然無(wú)法抵抗DoS攻擊。相較以上方案,本文方案不僅實(shí)現(xiàn)了UE與HN之間的密鑰協(xié)商,具有密鑰前后向安全性,而且加入了時(shí)間戳能夠抵抗重放攻擊等。

從表3進(jìn)一步可以看出,原始5G-AKA協(xié)議存在較大安全隱患,無(wú)法有效確保5G-R下車地認(rèn)證安全。文獻(xiàn)[7]方案和文獻(xiàn)[11]方案根密鑰未實(shí)現(xiàn)動(dòng)態(tài)更新,車地通信信息易被截獲。文獻(xiàn)[16]方法較其他對(duì)比文獻(xiàn)方法改進(jìn)了根密鑰更新及三方認(rèn)證,安全性較高,但無(wú)法抵抗量子攻擊。本文方法基于格上LWE困難問題,其可抵抗量子攻擊[22]。綜上安全性能比較,可以看出本文所提方案具有更高的安全性能。

為了進(jìn)一步對(duì)安全性定量分析,采用Bellare量化安全模型[26]對(duì)不同方法安全性能進(jìn)行量化分析。分析時(shí),一般采用優(yōu)勢(shì)函數(shù)Adv(t)的偽隨機(jī)性來量化安全性。設(shè)密鑰長(zhǎng)度k=128,則各比較方法加密機(jī)制的優(yōu)勢(shì)函數(shù)分別為

AdvG-5G-AKA(n)≈(5n2+n)/2128

AdvG-[7](n)≈(5n2+5n)/2128

AdvG-[11](n)≈(5n2+n)/2128

AdvG-[16](n)≈(5n2+2n)/2128

AdvG-[本文](n)≈5n2/2128

從上述優(yōu)勢(shì)函數(shù)可知,在密鑰長(zhǎng)度相同的情況下,本文方法的優(yōu)勢(shì)函數(shù)最小,其被攻擊成功的概率最低,僅為O(n2)×2-128,其中O()為時(shí)間復(fù)雜度函數(shù),n為問題規(guī)模。因而本文方法較其他比較方法安全性更高。

在完成安全性分析后,進(jìn)行計(jì)算開銷和通信開銷對(duì)比,結(jié)果如表4所示。

表4 計(jì)算開銷和通信開銷對(duì)比

表4中,各類運(yùn)算的大小關(guān)系如下:Tped>Tecies>Tecm>Ted>Tf>Tcon>Trec[27-29]。在計(jì)算開銷方面,原始5G-AKA協(xié)議計(jì)算開銷最小,這是因?yàn)?G-AKA協(xié)議使用哈希函數(shù)和對(duì)稱運(yùn)算實(shí)現(xiàn)協(xié)議安全性,其計(jì)算開銷最少,但其安全性最低。文獻(xiàn)[16]使用了對(duì)稱運(yùn)算和橢圓曲線點(diǎn)乘運(yùn)算,相較于非對(duì)稱運(yùn)算所需計(jì)算開銷少,故其計(jì)算開銷也較少。文獻(xiàn)[11]則使用了少量的非對(duì)稱運(yùn)算、橢圓曲線集成加密等運(yùn)算,故其所需計(jì)算開銷較大于文獻(xiàn)[16],但均無(wú)法抵抗DoS攻擊。文獻(xiàn)[7]通過大量非對(duì)稱運(yùn)算保證認(rèn)證密鑰協(xié)商協(xié)議中通信信息在公共信道中的安全性,而非對(duì)稱運(yùn)算較對(duì)稱運(yùn)算所需計(jì)算開銷增大,故文獻(xiàn)[7]所需計(jì)算開銷在五種方法中最大。本文方案通過使用適量的非對(duì)稱運(yùn)算和MAC函數(shù)運(yùn)算,實(shí)現(xiàn)了信息安全傳輸和通信三方的相互認(rèn)證,計(jì)算開銷低于文獻(xiàn)[7],并且安全性最高。

在通信開銷方面,5G-AKA協(xié)議作所需通信開銷較少,但其安全性也最低。文獻(xiàn)[7]和文獻(xiàn)[11]通信開銷小于文獻(xiàn)[16]和本文方法,但從表2表3可以看出上述方法根密鑰均不能動(dòng)態(tài)更新,不能抵抗DoS攻擊和量子攻擊。文獻(xiàn)[16]需要傳輸較多的認(rèn)證信息,故其通信開銷最高。本文方案的通信開銷低于文獻(xiàn)[16],原因?yàn)楸疚牟捎没诟裆系墓€加密機(jī)制和平滑投射散列函數(shù)降低了通信開銷,但本文方案為了抵抗偽裝SN攻擊和加強(qiáng)通信三方的相互認(rèn)證,在傳輸信息中加入了隨機(jī)質(zhì)詢和消息認(rèn)證碼,故通信開銷略高于其他方法。綜合表2表3可知,本文方案安全性最高且認(rèn)證時(shí)間開銷較低。最后,進(jìn)行不同UE數(shù)量對(duì)車地認(rèn)證計(jì)算開銷和通信開銷的影響分析。采用單次運(yùn)算所需的時(shí)間作為參考值,其中密鑰/密鑰導(dǎo)出函數(shù)/MAC函數(shù)/哈希函數(shù)等運(yùn)算為0.067 ms、橢圓曲線集成加密為2.580 ms、橢圓曲線點(diǎn)乘為1.038 ms、對(duì)稱運(yùn)算為0.071 ms、非對(duì)稱運(yùn)算為2.977 ms、密鑰共識(shí)加密為0.001 3 ms、密鑰共識(shí)解密為0.000 6 ms。將上述數(shù)值分別代入表4所得的計(jì)算開銷中,首先得到UE數(shù)量變化的計(jì)算開銷對(duì)比結(jié)果,見圖2。

圖2 計(jì)算開銷對(duì)比

從圖2可以看出,在5G-R車地認(rèn)證過程中,隨著UE數(shù)量的增加認(rèn)證所需的計(jì)算開銷也隨之增大。其中,5G-AKA協(xié)議在所有比較文獻(xiàn)中所需計(jì)算開銷最少,但5G-AKA協(xié)議安全性能也最低。文獻(xiàn)[11]和文獻(xiàn)[16]所需的計(jì)算開銷次之,但這兩個(gè)方案不能夠抵抗DoS攻擊和量子攻擊,安全性較差。文獻(xiàn)[7]采用的非對(duì)稱運(yùn)算使得認(rèn)證密鑰協(xié)商過程中的計(jì)算開銷增大。本文方案通過使用格上的公鑰密碼體制并運(yùn)用了適量非對(duì)稱運(yùn)算,實(shí)現(xiàn)通信三方之間通信信令安全、完整的傳輸,還能抵抗偽裝SN攻擊、量子攻擊,具有高安全性。

最后,得到通信開銷方面的影響對(duì)比結(jié)果,見圖3。

圖3 通信開銷對(duì)比

由圖3可以看出,隨著UE數(shù)量的增加,認(rèn)證過程中的傳輸信息量增加,通信開銷也隨之增加。此外,5G-AKA協(xié)議的通信開銷最少,但是其安全性能最差。文獻(xiàn)[7]和文獻(xiàn)[11]的通信開銷也較少,但文獻(xiàn)[7]方案并未實(shí)現(xiàn)密鑰的動(dòng)態(tài)更新,不滿足密鑰前/后向安全性,安全性能較差。文獻(xiàn)[11]也是在犧牲了安全性能的情況下傳輸較少的通信信息。文獻(xiàn)[16]的通信開銷最高,這是由于該方案為了實(shí)現(xiàn)相互認(rèn)證和密鑰協(xié)商,需要相關(guān)的認(rèn)證信息,故其通信開銷最高。本文方案的通信開銷低于文獻(xiàn)[16],這是因?yàn)楸疚姆桨甘褂酶裆系墓€加密機(jī)制、平滑投射散列函數(shù)和密鑰共識(shí)算法實(shí)現(xiàn)車地之間會(huì)話密鑰的動(dòng)態(tài)更新,需要傳輸一定的通信信息,此外,為了實(shí)現(xiàn)通信三方的相互認(rèn)證、抵抗偽裝SN攻擊和重放攻擊等安全性能,本文方案還需傳輸隨機(jī)質(zhì)詢消息和消息認(rèn)證碼等額外信息。

綜上分析,本方案不僅在安全方面有較強(qiáng)的優(yōu)勢(shì),而且在通信和計(jì)算開銷也有一定的優(yōu)勢(shì),從而驗(yàn)證了所提方案能夠滿足5G-R車地認(rèn)證安全性的需求。

6 結(jié)論

5G-R作為我國(guó)未來的高速鐵路無(wú)線通信系統(tǒng),其安全性對(duì)于我國(guó)高速鐵路有著至關(guān)重要的作用。針對(duì)5G-R中存在一系列安全和效率問題,提出一種基于格密碼的5G-R車地認(rèn)證密鑰協(xié)商方案。結(jié)果表明:

1)采用臨時(shí)身份GUTI代替SUCI明文傳輸,避免了5G-AKA協(xié)議中SUCI明文傳輸問題,實(shí)現(xiàn)了對(duì)SUCI的機(jī)密性保護(hù)。

2)設(shè)計(jì)了基于格密碼的根密鑰更新策略,使用格上的公鑰加密機(jī)制、近似平滑投射散列函數(shù)和密鑰共識(shí)算法,實(shí)現(xiàn)了UE與HN之間協(xié)商會(huì)話密鑰的動(dòng)態(tài)更新和前/后向安全性,并使用公鑰加密傳輸消息,確保了認(rèn)證信息的安全性。

3)加入消息認(rèn)證碼以及質(zhì)詢響應(yīng)消息,實(shí)現(xiàn)了5G-R下通信三方互認(rèn)證,能夠抵抗DoS等多種惡意攻擊。

4)本文所提方案基于格上困難問題構(gòu)造的,改善了協(xié)議的計(jì)算效率,能夠抵抗量子攻擊、偽裝SN攻擊等攻擊,具有較高的安全性。研究結(jié)果對(duì)于5G-R車地之間的安全認(rèn)證提供了一定的理論依據(jù)。

雖然本文所提方案在安全性方面優(yōu)于對(duì)比方法,但采用基于格上公鑰密碼體制及密鑰共識(shí)算法設(shè)計(jì)的認(rèn)證協(xié)商協(xié)議仍存在計(jì)算復(fù)雜等問題。后續(xù)研究中將進(jìn)一步對(duì)近似平滑投射散列函數(shù)進(jìn)行優(yōu)化,以及設(shè)計(jì)基于環(huán)上LWE的密鑰協(xié)商協(xié)議,來降低計(jì)算復(fù)雜度,減少通信信令傳輸,以提高協(xié)議的性能。