CN101784048B - 动态更新密钥的身份认证和密钥协商方法及系统 - Google Patents

Abstract

本发明公开了一种动态更新密钥的身份认证和密钥协商方法，包括：移动台(MS)产生R_M，利用K_i进行加密后发送

给访问位置寄存器(VLR)；VLR产生R_V，并利用K_HV对R_V和MS的用户永久身份(IMSI)加密得到

VLR将ID_V，

以及

发送给HLR；HLR采用K_HV解密得到R_V和IMSI，采用K_i解密得到R_M；产生R_H和RAND，并利用R_M和R_H获得MS与HLR之间更新的K_i+1，利用R_V获得VLR与HLR之间更新的K_HV′；HLR利用K_i+1和RAND获得AVⁱ⁺¹，并利用AVⁱ⁺¹与VLR和MS执行身份认证和密钥协商。本发明还公开了一种动态更新密钥的身份认证和密钥协商系统，对K_i和K_HV进行动态改变，防止密钥的泄漏所造成的安全隐患。

Description

动态更新密钥的身份认证和密钥协商方法及系统

技术领域

本发明涉及无线网络终端用户的身份认证及密钥协商技术，尤其涉及一种动态更新密钥的身份认证和密钥协商方法及系统。

背景技术

认证与密钥分配(AKA，Authentication and Key Agreement)和扩展认证协议的认证与密钥分配(EAP-AKA，Extensible  AuthenticationProtocol-Authentication and Key Agreement)是基于挑战-应答机制和对称密码机制的技术，是无线局域网(WLAN，Wireless Local Area Networks)的认证和密钥分配协议。基于AKA或EAP-AKA的认证与密钥分发协议需要移动站(MS，Mobile Station)、访问位置寄存器(VLR，Visitor Location Register)和归属位置寄存器(HLR，Home Location Register)三方参与。EAP-AKA协议由VLR发起，VLR首先向MS发送一个EAP请求，然后开始执行认证与密钥分配的过程，详细的协议描述如下：

1)MS→VLR：国际移动用户识别码(IMSI，International Mobile SubscriberIdentity)，HLR；

2)VLR→HLR：IMSI；

3)HLR→VLR：认证向量(AV，Authentication Vector)＝随机数(RAND)||期望响应(XRES，Expected Response)||加密密钥(CK，Cipher Key)||完整性密钥(IK，Integrity Key)||认证令牌(AUTN，Authentication Token)；

4)VLR→MS：RAND||AUTN；

5)MS→VLR：认证响应(RES，Response)。

其中，IMSI为用户永久身份识别，AUTN＝序列号(SQN，Sequence Number)

匿名密钥(AK，Anonymous Key)||认证管理域(AMF，AuthenticationManagement Filed)||消息认证码(MAC，Message Authentication Code)，AUTN中包含SQN可以使MS免受重传攻击。“||”表示串接；表示采用AK对SQN进行逐位异或的加密操作，用以在AUTN中隐藏SQN，因为SQN可能会暴露用户的身份和位置信息。

RAND由伪随机数生成函数f0产生，MAC＝f1_K(SQN，RAND，AMF)，XRES＝f2_K(RAND)，CK＝f3_K(RAND)，IK＝f4_K(RAND)，AK＝f5_K(RAND)。f0～f5是第三代数字通信(3G，The 3rd Generation)安全结构定义的密码算法，f0算法用于在认证中产生随机数RAND，f1算法用于产生MAC，f2算法用于在消息认证中计算XRES，f3算法用于产生CK，f4算法用于产生IK，f5算法用于产生AK。其中，各算法中的K表示MS与HLR之间的共享密钥。

在上述的协议描述中，当HLR收到VLR的认证请求后，发送N个认证向量组给VLR；在VLR中，每个用户的N个认证向量组按照先入先出(FIFO，First In First Out)的规则发送给MS，用于鉴权认证。VLR初始化一个认证过程，并选择一个认证向量组，发送其中的RAND和AUTN给MS；MS收到来自VLR的RAND||AUTN后计算期望的消息认证码(XMAC，Expected MessageAuthentication Code)，并将计算的XMAC与AUTN中的MAC进行比较，如果两者不相同，则MS向VLR发送拒绝认证消息，认证失败；如果两者相同，则MS进一步验证SQN是否新鲜，如果不能通过验证，则MS向VLR发送同步接收失败消息，认证失败；如果通过验证，则MS向VLR发送RES。VLR接收到RES后，比较XRES和RES，如果两者不同，则认证失败；如果两者相同，则认证成功完成。

在上述的流程完成后，MS的用户与网络之间就实现了双向认证，并且MS与VLR之间共享会话密钥，这些密钥可以用于通信中的机密性和一致性保护。目前无论是AKA，还是EAP-AKA的安全机制都是建立在MS和HLR之间共享密钥K的基础上，如果共享密钥K泄露，那么通信中的安全将无从谈起，攻击者可以在空中截获RAND，并采用相关算法取得相互认证且计算出CK和IK，从而通信中的所有数据都可以被攻击者截获。由于K是长期不变的，因此一旦K泄露，将对用户和网络运营商造成不可估量的损失；即使不泄露，也可能会造成MS的克隆攻击。此外，协议中MS和HLR都没有对VLR进行认证，这会导致中间人攻击，如果CK和IK被窃听，甚至会威胁到网络通信的安全。

发明内容

有鉴于此，本发明的主要目的在于提供一种动态更新密钥的身份认证和密钥协商方法及系统，以解决现有的AKA和EAP-AKA安全机制由于固定不变的共享密钥K泄露，以及MS、HLR没有对VLR进行认证所造成的安全隐患。

为达到上述目的，本发明的技术方案是这样实现的：

本发明提供了一种动态更新密钥的身份认证和密钥协商方法，该方法包括：

移动台MS产生第一随机数R_M，并采用所述MS与归属位置寄存器HLR当前使用的共享密钥K_i对R_M进行加密后发送给访问位置寄存器VLR；

所述VLR产生第二随机数R_V，并采用所述VLR与HLR当前使用的共享密钥K_HV对R_V和MS的用户永久身份IMSI进行加密；再将所述VLR自身的身份信息ID_V，K_i加密的R_M，以及K_HV加密的R_V和IMSI发送给所述HLR；

所述HLR根据ID_V查询对应的K_HV，以解密得到R_V和IMSI；根据IMSI查询对应的K_i，以解密得到R_M；产生第三随机数R_H和第四随机数RAND，并利用R_M和R_H获得MS与HLR之间更新的共享密钥K_i+1，利用R_V获得VLR与HLR之间更新的共享密钥K_HV′；

所述HLR利用K_i+1和RAND获得鉴权向量组AVⁱ⁺¹，并利用AVⁱ⁺¹与VLR和MS执行身份认证和密钥协商。

所述利用AVⁱ⁺¹执行身份认证和密钥协商，具体包括：

所述HLR将K_HV′加密的AVⁱ⁺¹，与K_i加密的R_H共同发送给所述VLR；

所述VLR根据R_V计算自身与HLR之间更新的共享密钥K_HV′，利用K_HV′解密得到AVⁱ⁺¹并存储；

所述VLR从AVⁱ⁺¹中选择一组，将其中的RAND和认证令牌AUTN，与K_i加密的R_H共同发送给MS；

所述MS利用K_i解密得到R_H，根据R_M和R_H计算出K_i+1，再根据K_i+1和RAND计算出期望的消息认证码XMAC，验证XMAC与AUTN中的消息认证码MAC是否相同；并在验证XMAC与MAC相同的情况下，恢复出序列号SQN，检验SQN是否在正确的范围内，如果是，则MS认证网络成功；

MS认证网络成功后，根据K_i+1计算认证响应RES、加密密钥CK和完整性密钥IK，并将计算的RES发送给所述VLR；

所述VLR验证所述RES与所选AVⁱ⁺¹中的XRES是否相同，并在验证成功后，从所选AVⁱ⁺¹中选择正确的CK和IK。

该方法进一步包括：如果MS验证XMAC与MAC不相同，或者检验SQN不在正确的范围内，则发送用户认证拒绝的消息给VLR；由VLR向HLR发送认证失败报告的消息，并决定是否重新向MS发起一个认证过程。

该方法进一步包括：所述MS将IMSI与K_i加密的R_M一起发送给所述VLR。

所述RAND由伪随机数生成函数产生；所述MAC、XRES、CK、IK是根据第三代数字通信3G安全结构定义的密码算法得到的。

本发明还提供了一种动态更新密钥的身份认证和密钥协商系统，该系统包括：MS、VLR和HLR，其中，

所述MS，用于产生R_M，并采用所述MS与HLR当前使用的K_i对R_M进行加密后发送给所述VLR；还用于执行与HLR的身份认证和密钥协商；

所述VLR，用于产生R_V，并采用所述VLR与HLR当前使用的K_HV对R_V和MS的IMSI进行加密；再将所述VLR自身的ID_V，K_i加密的R_M，以及K_HV加密的R_V和IMSI发送给所述HLR；还用于参与所述MS与HLR之间的身份认证和密钥协商操作；

所述HLR，用于根据ID_V查询对应的K_HV，以解密得到R_V和IMSI；根据IMSI查询对应的K_i，以解密得到R_M；产生R_H和RAND，并利用R_M和R_H获得MS与HLR之间更新的K_i+1，利用R_V获得VLR与HLR之间更新的K_HV′；再利用K_i+1和RAND获得AVⁱ⁺¹，利用AVⁱ⁺¹与VLR和MS执行身份认证和密钥协商。

所述HLR还用于将K_HV′加密的AVⁱ⁺¹，与K_i加密的R_H共同发送给所述VLR；

所述VLR还用于根据R_V计算自身与HLR之间更新的K_HV′，利用K_HV′解密得到AVⁱ⁺¹并存储；并从AVⁱ⁺¹中选择一组，将其中的RAND和AUTN，与K_i加密的R_H共同发送给所述MS；还用于验证来自MS的RES与VLR所选AVⁱ⁺¹中的XRES是否相同，并在验证成功后，从所选AVⁱ⁺¹中选择正确的CK和IK；

所述MS还用于利用K_i解密得到R_H，根据R_M和R_H计算出K_i+1，再根据K_i+1和RAND计算出XMAC，验证XMAC与AUTN中的MAC是否相同；并在验证XMAC与MAC相同的情况下，恢复出SQN，检验SQN在正确的范围内时，判断认证网络成功，并根据K_i+1计算RES、CK和IK，将计算的RES发送给所述VLR。

本发明所提供的动态更新密钥的身份认证和密钥协商方法及系统，对MS与HLR之间的共享密钥K_i进行动态更新，防止密钥的泄漏导致CK和IK的泄漏所带来的危害和损失；而且本发明通过在HLR和VLR之间设立共享密钥K_HV，并对K_HV进行动态更新，既增加了对VLR的认证，有效防止中间人攻击，又能够保密HLR和VLR之间传输的敏感信息。本发明对协议的效率和复杂性没有较大增加，而协议的安全性却有较大提高。

附图说明

图1为本发明一种动态更新密钥的身份认证和密钥协商方法的流程图；

图2为本发明一种动态更新密钥的身份认证和密钥协商系统的组成结构示意图。

具体实施方式

下面结合附图和具体实施例对本发明的技术方案进一步详细阐述。

本发明所提供的一种动态更新密钥的身份认证和密钥协商方法，假设MS和HLR当前使用的共享密钥为K_i，HLR与VLR之间的共享密钥为K_HV，如图1所示，该方法主要包括以下步骤：

步骤101，MS产生第一随机数R_M，并用MS和HLR当前使用的共享密钥K_i对R_M进行加密后发送给VLR。

MS产生的R_M可用于参与K_i的动态改变，本发明中用E()表示加密算法，则采用K_i对R_M进行加密，即为

需要指出的是，如果MS是第一次入网或由于某种原因VLR需要MS的永久身份认证，则MS需要将用户的IMSI，MS所属的HLR信息与

一起发送给VLR。

步骤102，VLR收到来自MS的消息后，产生第二随机数R_V，并将IMSI和R_V用HLR与VLR之间的共享密钥K_HV进行加密，得到

步骤103，VLR将自身的身份信息ID_V，以及

和

一起发送给HLR。

步骤104，HLR收到VLR发来的消息后，根据ID_V查询与对应VLR的共享密钥K_HV，并用K_HV解密得到IMSI和R_V；根据IMSI检索出与对应MS的共享密钥K_i，并用K_i解密

得到R_M；随后HLR产生第三随机数R_H和第四随机数RADN，并利用R_M和R_H计算MS与HLR之间更新的密钥 $K_{i+1}=E_{K_i}^{\′}\left(R_M\right|\left|R_H\right),$ 利用R_V计算HLR与VLR之间更新的密钥 ${K_{\mathrm{HV}}}^{\′}=E_{K_{\mathrm{HV}}}^{\′}\left(R_V\right),$ 再利用K_i+1和RAND  生成鉴权向量组AVⁱ⁺¹。AVⁱ⁺¹＝RAND||XRES||CK||IK||AUTN，其中， $\mathrm{AUTN}=\mathrm{SQN}\⊕\mathrm{AK}\left|\right|\mathrm{AMF}\left|\right|\mathrm{MAC};$ RAND由伪随机数生成函数f0产生， $\mathrm{MAC}={f1}_{K_{i+1}}(\mathrm{SQN},\mathrm{RAND},\mathrm{AMF}),$ $\mathrm{XRES}={f2}_{K_{i+1}}\left(\mathrm{RAND}\right),$ $\mathrm{CK}={f3}_{K_{i+1}}\left(\mathrm{RAND}\right),$ $\mathrm{IK}={f4}_{K_{i+1}}\left(\mathrm{RAND}\right),$ $\mathrm{AK}={f5}_{K_{i+1}}\left(\mathrm{RAND}\right).$

HLR利用AVⁱ⁺¹与VLR和MS执行身份认证和密钥协商，具体包括以下步骤：

步骤105，HLR将AVⁱ⁺¹采用K_HV′进行加密得到

将R_H采用K_i进行加密得到

并将

和

发送给VLR。

步骤106，VLR收到HLR发来的消息后，利用R_V计算 ${K_{\mathrm{HV}}}^{\′}=E_{K_{\mathrm{HV}}}^{\′}\left(R_V\right),$ 并利用计算得到的K_HV′解密

得到AVⁱ⁺¹，再对AVⁱ⁺¹进行存储；从AVⁱ⁺¹中选一组AV_k ⁱ⁺¹，并将其中的 $\mathrm{ARND},\mathrm{AUTN}=\mathrm{SQN}\⊕\mathrm{AK}\left|\right|\mathrm{MAC}\left|\right|\mathrm{AMF}$ 和

发送给MS。

步骤107，MS收到VLR发来的消息后，利用K_i解密

得到R_H，计算 $K_{i+1}=E_{K_i}^{\′}\left(R_M\right|\left|R_H\right);$ 然后根据RAND和K_i+1计算XMAC，并验证XMAC是否与AUTN中的MAC相同；如果 $\mathrm{XMAC}=\mathrm{MAC}={f1}_{K_{i+1}}(\mathrm{SQN},\mathrm{RAND},\mathrm{AMF}),$ 则根据 $\mathrm{SQN}=(\mathrm{SQN}\⊕\mathrm{AK})\⊕\mathrm{AK}$ 将SQN恢复出来，并检验SQN是否在正确的范围内，如果是，则MS认证网络成功；MS再根据K_i+1计算RES、 $\mathrm{CK}={f3}_{K_{i+1}}\left(\mathrm{RAND}\right),$ $\mathrm{IK}={f4}_{K_{i+1}}\left(\mathrm{RAND}\right).$

需要指出的是，如果验证XMAC与AUTN中的MAC不相同，或者检验SQN不在正确的范围内，则MS发送用户认证拒绝的消息给VLR，由VLR向HLR发送认证失败报告的消息，然后由VLR决定是否重新向MS发起一个认证过程。

步骤108，MS将计算得到的RES发送给VLR。

步骤109，VLR收到RES后，验证RES与所选AVⁱ⁺¹中的XRES是否相同，如果 $\mathrm{RES}=\mathrm{XRES}={f2}_{K_{i+1}}\left(\mathrm{RAND}\right),$ 则验证成功，网络认证了MS的用户身份，LVR从所选AVⁱ⁺¹中选择正确的CK和IK。

从上述的方法描述中可以看出，本发明对MS与HLR之间的共享密钥K_i进行动态更新，以防止由于K_i泄露而进一步导致CK和IK泄露所造成的安全隐患；本发明针对MS和HLR没有对VLR进行认证而可能导致中间人攻击的问题，在HLR和VLR之间增加共享密钥K_HV，且K_HV支持动态更新，以此来增加HLR对VLR身份的认证，还能够保密HLR和VLR之间传输的敏感信息。

为实现上述动态更新密钥的身份认证和密钥协商方法，本发明还提供了一种动态更新密钥的身份认证和密钥协商系统，如图2所示，该系统由移动台10、访问位置寄存器20和归属位置寄存器30组成。

移动台10，用于产生R_M，并采用移动台10与归属位置寄存器30当前使用的K_i对R_M进行加密后发送给访问位置寄存器20；还用于执行与归属位置寄存器30的身份认证和密钥协商。

访问位置寄存器20，用于产生R_V，并采用访问位置寄存器20与归属位置寄存器30当前使用的K_HV对R_V和移动台10的IMSI进行加密；再将访问位置寄存器20自身的ID_V，K_i加密的R_M，以及K_HV加密的R_V和IMSI发送给归属位置寄存器30；还用于参与移动台10与归属位置寄存器30之间的身份认证和密钥协商操作。

归属位置寄存器30，用于根据ID_V查询对应的K_HV，以解密得到R_V和IMSI；根据IMSI查询对应的K_i，以解密得到R_M；产生R_H和RAND，并利用R_M和R_H获得移动台10与归属位置寄存器30之间更新的K_i+1，利用R_V获得访问位置寄存器20与归属位置寄存器30之间更新的K_HV′；再利用K_i+1和RAND获得AVⁱ⁺¹，利用AVⁱ⁺¹与访问位置寄存器20和移动台10执行身份认证和密钥协商。

归属位置寄存器30还用于将K_HV′加密的AVⁱ⁺¹，与K_i加密的R_H共同发送给访问位置寄存器20。

访问位置寄存器20还用于根据R_V计算自身与归属位置寄存器30之间更新的K_HV′，利用K_HV′解密得到AVⁱ⁺¹并存储；并从AVⁱ⁺¹中选择一组，将其中的RAND和AUTN，与K_i加密的R_H共同发送给移动台10；还用于验证来自移动台10的RES与访问位置寄存器20所选AVⁱ⁺¹中的XRES是否相同，并在验证成功后，从所选AVⁱ⁺¹中选择正确的CK和IK。

移动台10还用于利用K_i解密得到R_H，根据R_M和R_H计算出K_i+1，再根据K_i+1和RAND计算出XMAC，验证XMAC与AUTN中的MAC是否相同；并在验证XMAC与MAC相同的情况下，恢复出SQN，检验SQN在正确的范围内时，判断认证网络成功，并根据K_i+1计算RES、CK和IK，将计算的RES发送给访问位置寄存器20。

需要指出的是，本发明中K_i的更新是由MS产生的R_M和HLR产生的R_H共同参与进行的，当然，实际应用中也可以只采用MS和HLR中的一方所产生的随机数来参与K_i的更新，其具体实现流程与图1所示方法流程类似，在此不再赘述。但是，显然由R_M和R_H共同参与K_i更新的实施例，其安全性更高。

以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。

Claims (7)

1.一种动态更新密钥的身份认证和密钥协商方法，其特征在于，该方法包括：

移动台MS产生第一随机数R_M，并采用所述MS与归属位置寄存器HLR当前使用的共享密钥K_i对R_M进行加密后发送给访问位置寄存器VLR；

所述VLR产生第二随机数R_V，并采用所述VLR与HLR当前使用的共享密钥K_HV对R_V和MS的用户永久身份IMSI进行加密；再将所述VLR自身的身份信息ID_V，K_i加密的R_M，以及K_HV加密的E_V和IMSI发送给所述HLR；

所述HLR根据ID_V查询对应的K_HV，以解密得到R_V和IMSI；根据IMSI查询对应的K_i，以解密得到R_M；产生第三随机数R_H和第四随机数RAND，并利用R_M和R_H获得MS与HLR之间更新的共享密钥K_i+1，利用R_V获得VLR与HLR之间更新的共享密钥K_HV′；

所述HLR利用K_i+1和RAND获得鉴权向量组AVⁱ⁺¹，并利用AVⁱ⁺¹与VLR和MS执行身份认证和密钥协商。

2.根据权利要求1所述动态更新密钥的身份认证和密钥协商方法，其特征在于，所述利用AVⁱ⁺¹执行身份认证和密钥协商，具体包括：

所述HLR将K_HV′加密的AVⁱ⁺¹，与K_i加密的R_H共同发送给所述VLR；

所述VLR根据R_V计算自身与HLR之间更新的共享密钥K_HV′，利用K_HV′解密得到AVⁱ⁺¹并存储；

所述VLR从AVⁱ⁺¹中选择一组，将其中的RAND和认证令牌AUTN，与K_i加密的R_H共同发送给MS；

所述MS利用K_i解密得到R_H，根据R_M和E_H计算出K_i+1，再根据K_i+1和RAND计算出期望的消息认证码XMAC，验证XMAC与AUTN中的消息认证码MAC是否相同；并在验证XMAC与MAC相同的情况下，恢复出序列号SQN，检验SQN是否在正确的范围内，如果是，则MS认证网络成功；

MS认证网络成功后，根据K_i+1计算认证响应RES、加密密钥CK和完整性密钥IK，并将计算的RES发送给所述VLR；

所述VLR验证所述RES与所选AVⁱ⁺¹中的XRES是否相同，并在验证成功后，从所选AVⁱ⁺¹中选择正确的CK和IK。

3.根据权利要求2所述动态更新密钥的身份认证和密钥协商方法，其特征在于，该方法进一步包括：如果MS验证XMAC与MAC不相同，或者检验SQN不在正确的范围内，则发送用户认证拒绝的消息给VLR；由VLR向HLR发送认证失败报告的消息，并决定是否重新向MS发起一个认证过程。

4.根据权利要求1、或2、或3所述动态更新密钥的身份认证和密钥协商方法，其特征在于，该方法进一步包括：所述MS将IMSI与K_i加密的R_M一起发送给所述VLR。

5.根据权利要求2、或3所述动态更新密钥的身份认证和密钥协商方法，其特征在于，所述RAND由伪随机数生成函数产生；所述MAC、XRES、CK、IK是根据第三代数字通信3G安全结构定义的密码算法得到的。

6.一种动态更新密钥的身份认证和密钥协商系统，其特征在于，该系统包括：MS、VLR和HLR，其中，

所述MS，用于产生R_M，并采用所述MS与HLR当前使用的K_i对R_M进行加密后发送给所述VLR；还用于执行与HLR的身份认证和密钥协商；

所述VLR，用于产生R_V，并采用所述VLR与HLR当前使用的K_HV对R_V和MS的IMSI进行加密；再将所述VLR自身的ID_V，K_i加密的R_M，以及K_HV加密的R_V和IMSI发送给所述HLR；还用于参与所述MS与HLR之间的身份认证和密钥协商操作；

所述HLR，用于根据ID_V查询对应的K_HV，以解密得到R_V和IMSI；根据IMSI查询对应的K_i，以解密得到R_M；产生R_H和RAND，并利用R_M和R_H获得MS与HLR之间更新的K_i+1，利用R_V获得VLR与HLR之间更新的K_HV′；再利用K_i+1和RAND获得AVⁱ⁺¹，利用AVⁱ⁺¹与VLR和MS执行身份认证和密钥协商。

7.根据权利要求6所述动态更新密钥的身份认证和密钥协商系统，其特征在于，

所述HLR还用于将K_HV′加密的AVⁱ⁺¹，与K_i加密的R_H共同发送给所述VLR；

所述VLR还用于根据R_V计算自身与HLR之间更新的K_HV′，利用K_HV′解密得到AVⁱ⁺¹并存储；并从AVⁱ⁺¹中选择一组，将其中的RAND和AUTN，与K_i加密的R_H共同发送给所述MS；还用于验证来自MS的RES与VLR所选AVⁱ⁺¹中的XRES是否相同，并在验证成功后，从所选AVⁱ⁺¹中选择正确的CK和IK；

所述MS还用于利用K_i解密得到R_H，根据R_M和R_H计算出K_i+1，再根据K_i+1和RAND计算出XMAC，验证XMAC与AUTN中的MAC是否相同；并在验证XMAC与MAC相同的情况下，恢复出SQN，检验SQN在正确的范围内时，判断认证网络成功，并根据K_i+1计算RES、CK和IK，将计算的RES发送给所述VLR。

Images