CN101699890A

CN101699890A - 一种3g-wlan认证方法

Info

Publication number: CN101699890A
Application number: CN200910071060A
Authority: CN
Inventors: 王赜; 刘文菊; 张艳; 邢亚娟; 柯永振; 时珍全
Original assignee: Tianjin Polytechnic University
Current assignee: Tianjin Polytechnic University
Priority date: 2009-10-30
Filing date: 2009-10-30
Publication date: 2010-04-28

Abstract

本发明公开一种3G-WLAN认证方法，该认证方法在AN与AAA间增设共享密钥K_S，UE和AAA之间的共享密钥为K；如UE和AAA之间的共享密钥K不需要更新，则用K加密UE和AAA之间的消息，经AN转发时AN用K_S加密AN和AAA之间的消息；当UE和AAA之间的密钥需要更新时，UE就会产生一个新鲜随机数RAND_UE作为种子，在UE请求身份信息时，将身份信息连同新产生的种子用K加密后一起发送给AN，经AN转发给AAA，AN与AAA之间的消息用K_S加密，由此，UE和3GPP AAA网络各自用该种子计算CK_K＝f3_K(RAND_UE)和IK_K＝f4_K(RAND_UE)，然后从CK_K和IK_K中生成新的共享密钥K′。

Description

一种3G-WLAN认证方法

技术领域

本发明涉及一种互联网络的认证协议，具体为一种具有主密钥更新机制的第三代移动通信-无线局域网(3^rd Generation-Wireless Local AreaNetworks，3G-WLAN)认证方法。

背景技术

EAP-AKA(Extensible Authentication Protocol-Authentication and KeyAgreement，扩展认证密钥协商协议)协议是3G和WLAN互连的认证和密钥分配协议。通过该协议，移动用户可以在WLAN内以较高的速率接入3G网络并访问网络资源。但是，EAP-AKA协议仅实现了移动用户和3G网络的双向认证(参见王鹏，李谢华，陆松年.基于认证测试方法的EAP-AKA协议分析[J].计算机工程与应用，2007，(15))，它缺乏对WLAN接入网络的有效认证，有时还需移动用户用明文传送标识其身份的IMSI(International Mobile SubscriberIdentity Number，国际移动用户识别码)，对移动用户和3G网络间的共享密钥也没有更新机制(CHEN Y C，HAO C K，YANG Y W.3G和WLAN融合安全：目前的状态和关键问题[J].网络安全国际期刊，2006；CHEN Y C，HAO CK，YANG Y W.3G and WLAN interworking security：current status and keyissues[J].International Journal of Network Security，2006.)。针对这些问题，本发明提出了一种具有主密钥更新机制的3G-WLAN认证方法。

与本发明相关的现有技术有：EAP-AKA协议的实现是由WLAN UE(WLAN User Entity，无线局域网用户实体)、WLAN AN(WLAN AcessNetworks，无线局域网接入网络)、3GPP AAA(3^rd Generation Partnership ProjectAuthentication Authorization Accounting，第三代合作伙伴计划认证、授权、计费服务器)服务器、HSS/HLR(Home Subscriber Server/Home Location Register，归属用户服务器/归属位置寄存器)来完成的(Yao Zhao，Chuang Lin，HaoYin.3G-WLAN融合技术安全认证[C]，第二十届先进信息网络与应用国际会议，2006.04，(02)：429-436；Yao Zhao，Chuang Lin，Hao Yin.Security Authenticationof 3G-WLAN Interworking[C].Proceedings of the 20th International Conferenceon Advanced Information Networking and Applications，2006.04，(02)：429-436)。该协议流程图参见图1。其中，NAI(Network Access Identifier，网络接入标志)包含UE的临时标志(首次认证时，该标志是UE对应的IMSI)和AAA的地址，AV＝RAND||XRES||CK||IK||AUTN，AV是认证向量，RAND是随机数，XRES＝f2_K(RAND)，CK＝f3_K(RAND)，IK＝f4_K(RAND)，

SQN是序列号，AK＝f5_K(RAND)，AMF是认证管理域，MAC是消息认证码，MAC＝f1_K(SQN||RAND||AMF)，f1～f5是3G安全结构中定义的算法，f1产生消息认证码，f2计算期望响应值，f3产生加密密钥，f4产生完整性密钥，f5产生匿名密钥。通过EAP-AKA协议，UE和3G网络间实现了双向认证，UE和AN间也共享了会话密钥。但是该协议还存在一些安全问题。

EAP-AKA协议缺乏对AN的有效认证，AAA将AN与UE间的会话密钥SK直接以明文发给AN，若攻击者设法攻陷了AN，就可以假冒其身份获得SK，从而使通信过程失去保密性。

当UE首次认证或3G网络不认识其临时标志时，UE需用明文传送IMSI，这样攻击者可以通过窃听等方式获得IMSI，从而导致用户身份信息的泄漏。

EAP-AKA协议缺乏对UE与3G网络间的共享密钥K的更新机制。一旦获得K，攻击者就可以假冒一方完成与另一方的相互认证，然后计算出IK和CK，获得SK，进而就可以获得所有的通信数据，通信过程将长期处于无保护状态，给移动用户和通信网络造成巨大直接或潜在损失。概言之，现有技术互联网接入方法的缺点是：1.存在WLAN AN假冒攻击风险；2.明文传送IMSI导致用户身份信息泄露；3.缺乏UE与3G网络间共享密钥的更新机制。

发明内容

针对现有技术的缺点，本发明拟解决的技术问题是，提供一种3G-WLAN认证方法。该认证方法可对WLAN接入网络进行有效认证，对IMSI实现加密保护，并具有主密钥更新机制，实现了UE与3G网络间共享密钥的更新。

本发明解决所述技术问题的技术方案是：设计一种3G-WLAN认证方法，该认证方法在AN与AAA间增设共享密钥K_S，UE和AAA之间的共享密钥为K；如UE和AAA之间的共享密钥K不需要更新，则用K加密UE和AAA之间的消息，经AN转发时AN用K_S加密AN和AAA之间的消息；当UE和AAA之间的密钥需要更新时，UE就会产生一个新鲜随机数RAND_UE作为种子，在UE请求身份信息时，将身份信息连同新产生的种子用K加密后一起发送给AN，经AN转发给AAA，AN与AAA之间的消息用K_S加密，由此，UE和3GPP AAA网络各自用该种子计算CK_K＝f3_K(RAND_UE)和IK_K＝f4_K(RAND_UE)，然后从CK_K和IK_K中生成新的共享密钥K′。

与现有技术相比，本发明针对EAP-AKA协议存在的安全问题对其进行了改进。通过在WLAN AN与3GPP AAA服务器间增设共享密钥K_S实现了两者间的相互认证，防止了WLANAN假冒攻击。通过加密传输NAI，实现了对IMSI的加密保护，防止了移动用户身份信息的泄漏。通过引入密钥更新机制，实现了对移动用户和3G网络间的共享密钥的安全更新，用不断变化的密钥使通信过程变得更加安全。

附图说明

图1为与本发明认证协议相关的现有技术EAP-AKA协议流程图；

图2为本发明认证协议一种实施例的EAP-AKA协议流程图；

图3为本发明认证协议一种实施例的WLANAN与3GPPAAA服务器间的相互认证流程图；

图4为本发明认证协议一种实施例的WLAN AN与3GPPAAA服务器间的相互认证的串空间示意图。

具体实施方式

下面结合实施例及其附图进一步叙述本发明：

本发明设计的3G-WLAN认证方法(简称认证方法)是现有技术认证方法(参见图1)的一种改进方案(参见图2-4)。该改进方案认证方法在AN与AAA间增设共享密钥K_S，UE和AAA之间的共享密钥为K；假如UE和AAA之间的共享密钥K不需要更新，则用K加密UE和AAA之间的消息，经AN转发时AN用K_S加密AN和AAA之间的消息；当UE和AAA之间的密钥需要更新时，UE就会自动产生一个新鲜随机数RAND_UE作为种子，在UE请求身份信息时，将身份信息连同新产生的种子用K加密后一起发送给AN，经AN转发给AAA，AN与AAA之间的消息用K_S加密，由此，UE和3GPP AAA网络各自用该种子计算CK_K＝f3_K(RAND_UE)和IK_K＝f4_K(RAND_UE)，然后从CK_K和IK_K中生成新的共享密钥K′。

本发明所述的新鲜随机数是指当需要密钥更新时，UE随机和临时产生的一个数，该数就是该新鲜随机数。新鲜随机数的随机性和不确定性可以保证更新密钥的安全性。新鲜随机数的产生可以规定一个范围，比如在1～1000之内的数，范围越大，安全性相对越高。

现有技术中也存在加设共享密钥实现对AN的认证的方法，例如，通过在AN与UE间增设共享密钥K_S可以实现对AN的认证(参见张胜等，.EAP-AKA协议的分析和改进[J].计算机应用研究，2005，(07)，但其每个AN要与多个UE建立共享密钥，而UE具有很强的移动性，这就使共享密钥的更新和管理变得复杂。与现有技术相比，本发明通过在AN与AAA间增设共享密钥K_S，实现两者间的相互认证和对会话密钥SK的保密处理，进而有效地防止AN假冒攻击；AN和AAA在网络架构中是相对稳定的，其数量比UE少的多，在它们间设立共享密钥，产生的密钥数量要少的多，从而便于更新和管理。

本发明借鉴会话密钥SK的生成方法提出了UE和3G网络间的共享密钥K的更新机制。用一个新鲜随机数作为种子，UE和3G网络各自用该种子计算CK_K＝f3_K(RAND_UE)和IK_K＝f4_K(RAND_UE)，然后从CK_K和IK_K中生成新的共享密钥K′，这样不用密钥在信道中传输就实现了对K的安全更新。另外，共享密钥更新机制还对K′的有效性进行了验证，UE通过收到的E_K’(RAND_UE)验证3G网络生成的K′的有效性，3G网络通过收到的h(K′)验证UE生成的K′的有效性。这样不仅实现了K′的安全更新，还对K′的有效性进行了验证，通过不断变化的密钥，使通信过程变得更加安全。

下面结合实施例进一步详细叙述本发明，具体实施例不构成对本发明权利要求的限制。

本发明认证协议中，ADDR_3G表示AAA的地址，TMSI和TMSI_N分别表示UE的临时标志和新临时标志，E_S(M)表示用密钥S加密M，h(M)表示对M进行散列运算，[...]是对共享密钥K的更新操作。下面对该方案进行详细说明，其中，对K的更新操作用黑括号【】加以强调：

1.AN向UE发送EAP请求/身份标志消息，开始认证和密钥分配过程。

2.UE从NAI中提取出AAA的地址，【若需更新K，产生随机数RAND_UE，用其计算CK_K和IK_K，再从CK_K和IK_K中生成K′，】然后将该地址和计算出的E_K([RAND_UE]||NAI)发给AN。

3.AN产生随机消息M_AN和随机数RAND_AN，生成M_AN||E_Ks(RAND_AN||M_AN)，然后将其与E_K([RAND_UE]||NAI)一起发送给相应的AAA。

4.AAA从E_Ks(RAND_AN||M_AN)中解密出RAND_AN和M_AN，将M_AN与收到的明文M_AN比较，若相等，实现对AN的认证，否则终止认证。解密E_K([RAND_UE]||NAI)，从NAI中提取出UE的临时标志发给HSS，并向其询问该用户的权限。

5.HSS/HLR将与用户相关的认证向量AV和新临时标志发给AAA。

6.AAA存储AV，从IK和CK中生成会话密钥SK。【用RAND_UE计算CK_K和IK_K，再从CK_K和IK_K中生成K′，并计算E_K’(RAND_UE)。】然后，将RAND、AUTN、UE的新临时标志、计算出的MAC、RAND_AN【和E_K’(RAND_UE)】发给AN。

7.AN将收到的RAND_AN与自己之前产生的RAND_AN比较，若相等，实现对3G网络的认证，否则终止认证。最后，将收到的其他信息发给UE。

8.UE验证AUTN和SQN，若正确，实现对3G网络的认证，否则终止认证。验证MAC，保存收到的临时标志。计算IK和CK，从IK和CK中生成SK。【从E_K’(RAND_UE)中解密出RAND_UE，将其与自己之前产生的RAND_UE比较，若相同，表明3G网络生成的K′有效，并计算h(K′)。】最后，将计算出的RES、XMAC【和h(K′)】发给AN。

9.AN将收到的消息发给AAA。

10.AAA验证XMAC，将收到的RES与XRES比较，若正确，实现对UE的认证，否则终止认证。【对K′进行散列运算，将结果与收到的h(K′)比较，若相同，表明UE生成的K′有效。】最后，将EAP成功消息、计算出的E_Ks(SK)【和K更新成功消息】发给AN。

11.AN用K_S解密E_Ks(SK)，并保存结果SK，然后将EAP成功消息【和K更新成功消息】发给UE。

上述流程完成后，若K更新成功，UE和AAA分别将K更新为K′。

本发明认证协议AN与AAA间的相互认证执行流程或步骤(参见图3)：

AN用Ks加密RAND_AN发给AAA，这样只有合法的AAA才能解密出RAND_AN并将其发送回来，AN一旦收到RAND_AN就实现了对AAA的认证。AAA收到AN发来的明文M_AN和用Ks加密M_AN的密文，从密文中解密出M_AN，并将其与收到的明文M_AN比较，若相同，即说明AN拥有正确的会话密钥Ks，从而实现了对AN的认证。另外，AAA对SK先用K_S加密后再发给AN，这就对SK进行了加密保护，只有合法的AN才能获得SK，从而防止了AN假冒攻击。

本发明认证协议是通过以下流程或步骤实现对IMSI的加密保护的：

移动用户在WLAN网络为避免以明文传输IMSI，UE发送NAI前，先从NAI中提取出AAA的地址(用于将加密后的NAI发给正确的AAA)，再用与AAA的共享密钥K加密NAI，然后将加密后的NAI通过AN发给AAA，只有合法的AAA才能正确解密。若NAI含有IMSI，这就对IMSI进行了加密保护，避免了移动用户身份信息的泄漏。

本发明认证协议的复杂度分析：

与现有的EAP-AKA协议相比，本发明认证协议没有增加消息传递的次数，在保持原有效率和安全性的基础上，仅以生成随机数、单钥加解密和散列运算产生的较小的运算量为代价，就实现了对WLAN接入网络的有效认证、对IMSI的加密保护以及对移动用户和3G网络间的共享密钥K的安全更新。现有EAP-AKA协议和本发明改进方案认证协议的性能对比列于表1，以方便参考。

表1现有EAP-AKA协议和本发明改进方案认证协议的性能对比

本发明认证协议的形式化证明：

本发明认证协议通过串空间模型和认证测试方法对AN与AAA间的相互认证进行形式化证明。用an代表AN，用3g代表AAA(参见图4)。

an串和轨迹：Init[RAND_AN，M_AN]＝{+M_AN||E_Ks(RAND_AN||M_AN)，-RAND_AN}。

3g串和轨迹：Resp[RAND_AN，M_AN]＝{-M_AN||E_Ks(RAND_AN||M_AN)，+RAND_AN}。

令C为串空间的簇。Ks是AN与AAA间的会话密钥，

，Kp为攻击者密钥集。

AN对AAA的认证：

构造测试分量，an串＝Init[RAND_AN，M_AN]＝{+M_AN||E_Ks(RAND_AN||M_AN)，-RAND_AN}，由于随机数RAND_AN唯一产生于<an，1>，则M_AN||E_Ks(RAND_AN||M_AN)是RAND_AN的测试分量。从图4中可以看出，<an，1>＝＞⁺<an，2>是RAND_AN的出测试。

应用认证测试规则1得，存在正常结点m，m′∈C，term(m)＝M_AN||E_Ks(RAND_AN||M_AN)，并且m＝＞⁺m′是RAND_AN的转换边。

由上一步可得，m为负结点，因此m为某个3g串3g′＝Resp[RAND_AN′，M_AN′]中的结点，且m＝<3g′，1>，则term(<3g′，1>)＝M_AN ||E_Ks(RAND_AN||M_AN)。

比较3g和3g′串中的内容，可得RAND_AN＝RAND_AN′，M_AN＝M_AN′，则3g＝3g′，从而实现了AN对AAA的认证。

AAA对AN的认证：

构造测试分量，3g串＝Resp[RAND_AN，M_AN]＝{-M_AN||E_Ks(RAND_AN||M_AN)，+RAND_AN}，由于随机消息M_AN唯一产生于<an，1>，M_AN||E_Ks(RAND_AN||M_AN)是M_AN在<3g，1>中的测试分量，则<3g，1>构成测试量M_AN的主动测试。

由于

，应用认证测试规则3，M_AN||E_Ks(RAND_AN||M_AN)只能产生于C的正常节点m。

由上一步得，m为正结点，则m必为某个an串an′＝Init[RAND_AN′，M_AN′]中的结点，且m＝<an′，1>，term(<an′，1>)＝M_AN||E_Ks(RAND_AN ||M_AN)。

比较an和an′串的内容，可得RAND_AN＝RAND_AN′，M_AN＝M_AN′，则an＝an′，从而实现了AAA对AN的认证。

本发明未述及之处适用于现有技术。

Claims

1.一种3G-WLAN认证方法，该认证方法在AN与AAA间增设共享密钥K_S，UE和AAA之间的共享密钥为K；如UE和AAA之间的共享密钥K不需要更新，则用K加密UE和AAA之间的消息，经AN转发时AN用K_S加密AN和AAA之间的消息；当UE和AAA之间的密钥需要更新时，UE就会产生一个新鲜随机数RAND_UE作为种子，在UE请求身份信息时，将身份信息连同新产生的种子用K加密后一起发送给AN，经AN转发给AAA，AN与AAA之间的消息用K_S加密，由此，UE和3GPPAAA网络各自用该种子计算CK_K＝f3_K(RAND_UE)和IK_K＝f4_K(RAND_UE)，然后从CK_K和IK_K中生成新的共享密钥K′。