CN104754581A - 一种基于公钥密码体制的lte无线网络的安全认证方法 - Google Patents

Abstract

本发明公开了一种基于公钥密码体制的LTE无线网络的安全认证方法，首先为参与AKA流程的实体UE、MME等分配了公钥证书，然后改进了EPS AKA协议的流程，使用公钥密码体制加密，同时取消了原有协议的序列号SQN机制，改用随机数应答的方式进行认证，最后对鉴权向量AV向量的计算进行了简化，取消了原有的消息认证码(MAC)、预期响应(XRES)和认证令牌(AUTN)等参数。本发明提供的方法增强了EPS AKA协议的安全性，提高了其可扩展性；本发明提供的方法具有较高的灵活性，随着LTE技术的发展，本发明能够应用于多个场合，尤其适用于安全要求高的LTE企业专网，如电力无线专网。

Description

一种基于公钥密码体制的LTE无线网络的安全认证方法

技术领域

发明涉及信息安全技术，特别涉及一种基于公钥密码体制的LTE无线网络的安全认证方法。

背景技术

目前移动通信系统已经演进到第四代，也被称为4G，其主流技术主要有LTE和802.16m两种。LTE是由3GPP组织制定的，它采用了多种先进的通信技术，可以在20MHz频谱带宽内提供下行100Mbit/s和上行50Mbit/s的峰值速率，数据传输速率高，时延低，能够满足宽带移动通信市场需求，当前已被世界上大部分运营商采用。

与此同时，移动通信系统的信息安全也越发引起人们的重视。为了应对可能的各种威胁，LTE在传统3G通信系统的基础上进行了改进，采用了双层的安全架构，并实现了用户和网络的双向认证，大大提高了安全性。在无线认证方面，LTE采用了3GPP建议的认证与密钥协商协议(下文简称EPS AKA)，它相比传统3G AKA安全性有了较大的改进和提升，比如增加了对服务网络的认证，以防止假冒服务网络攻击；采用了独立的序列号机制，以防止重放攻击等。但通过进一步研究发现，EPS AKA仍然存在一些安全问题：

(1)认证与加密过程都依赖于根密钥K，安全性不够高。在EPS AKA协议中，密钥K一直保持不变，而且对内部人员来说比较容易获取，一旦泄露就无法保证安全性。

(2)LTE采用了对称密码体制，在安全关联建立之前UE和网络的信息很难得到保护，因此IMSI、SNID和AV向量等关键信息的保护问题始终得不到较好的解决。

(3)LTE采用了对称密码体制，可扩展性差，并且不能提供不可否认业务，无法满足一些企业专网的需要。

针对LTE认证和密钥协商协议存在的安全问题，已经有不少文献做了研究。有一些方案仍坚持采用对称密码体制，比如采用AES加密来实现用户和网络接入层之间的认证和密钥协商，但这些方案往往与EPS AKA协议有同样的问题，即无法防止用户ID的泄露和欺骗攻击，并且其扩展性也不够好。另外有一些方案则引入了公钥密码体制来克服EPS AKA协议的缺点，采用公钥密码体制增强了协议的安全性，但对资源有限的移动设备来说，这往往会引起较大的花费，并且公钥基础设施的建立也需要大量的投入。

发明内容

发明目的：本发明的目的在于针对现有技术的不足，提供了一种有效简化了认证过程，增强了协议的安全性，提高了灵活性的基于公钥密码体制的LTE无线网络的安全认证方法。

技术方案：本发明提供了一种基于公钥密码体制的LTE无线网络的安全认证方法，包括以下步骤：

步骤1：用户设备(下文简称为UE)向移动管理实体(下文简称为MME)发起访问请求；请求中包含UE的归属用户服务器(下文简称为HSS)标识ID_HSS、用MME公钥PKM加密的IMSI和R1，其中R1是UE生成的随机数；

步骤2：MME收到UE的访问请求消息后，解密得到IMSI和随机数R1，根据ID_HSS向UE对应的HSS发送认证请求，请求中包含用MME与HSS共享的对称密钥K0加密的IMSI、随机数R1以及MME自身的网络标识SNID；

步骤3：HSS收到MME发送的认证请求后，解密获得IMSI、R1和SNID，随后HSS检查自己的数据库，验证IMSI和SNID的合法性；若验证通过，HSS就生成随机数RAND，与随机数R1一同作为输入产生由鉴权向量AV组成的鉴权向量组{AV₁、AV₁……AV_n}，其中n表示生成鉴权向量AV的个数；然后用密钥K0加密鉴权向量组{AV₁、AV₁……AV_n}，并作为应答信息发送给MME；

步骤4：MME收到HSS发送的应答信息后，解密得到鉴权向量组{AV₁、AV₁……AV_n}，然后MME检查鉴权向量组并从鉴权向量组中选取一个鉴权向量AV_i，随后提取鉴权向量AV_i里面的数据，给鉴权向量AV_i中的基础密钥K_ASMEi分配一个密钥标识KSI_ASMEi；然后，MME向UE发起用户认证请求，请求中包含用UE的公钥PKU加密的鉴权向量AV_i、R1和R2，其中R2是MME生成的随机数；其中下标i表示鉴权向量组中鉴权向量AV的标号；

步骤5：UE收到MME发送的用户认证请求后，解密得到鉴权向量AV_i、R1和R2，然后UE验证R1的正确性；验证通过后向MME发送请求响应消息，消息中包含用MME的公钥PKM加密的随机数R2；

步骤6：MME收到UE发送的请求响应消息后，解密并验证R2的正确性；验证通过后，MME与UE选择一个K_ASMEi作为基础密钥，根据密钥推导函数KDF衍生出后继通信使用的加密密钥CK_i和完整性保护密钥IK_i，至此完成整个安全认证。

进一步，所述鉴权向量AV包括HSS就生成随机数RAND，基础密钥K_ASME和MME自身的网络标识SNID；所述鉴权向量AV表示为：

AV＝RAND||K_ASME||SNID。

这样简化了鉴权向量AV，有效的简化了安全认证的过程，降低了安全认证的成本，同时改用随机数应答的方式进行认证，也有效的增加了安全性。

进一步，所述基础密钥K_ASME通过密钥构造函数KDF计算获得；所述计算公式为：

K_ASME＝KDF(f3_K(RAND)||f4_K(RAND),S)；

式中，函数f3用于生成初始加密密钥CK，函数f4用于生成初始完整性保护密钥IK，式中的下标K表示使用共享密钥K作为函数输入，CK和IK是KDF的输入，RAND为HSS就生成随机数，S为输入的字符组；S包括以下参数：FC、P0、L0、P1、L1；所述FC是一个八位字节，用于区分不同的算法；P0表示SNID的值；L0为P0的长度值，P1＝AK⊕R1，L1为P1的长度值，其中符号⊕表示异或，AK为匿名密钥。在其密钥构造函数KDF的输入字符S中，用随机数R1取代了原来的序列号SQN，有效保证了K_ASME的新鲜性。

工作原理：本发明首先为参与AKA流程的实体UE、MME等分配了公钥证书，然后改进了EPS AKA协议的流程，使用公钥密码体制加密，同时取消了原有协议的序列号SQN机制，改用随机数应答的方式进行认证，最后对鉴权向量AV向量的计算进行了简化，取消了原有的消息认证码(MAC)、预期响应(XRES)和认证令牌(AUTN)等参数。

有益效果：与现有技术相比，本发明提供的方法增强了EPS AKA协议的安全性，提高了其可扩展性；本发明提供的方法具有较高的灵活性，随着LTE技术的发展，本发明能够应用于多个场合，尤其适用于安全要求高的LTE企业专网，如电力无线专网。

附图说明

图1：为实施例1的工作流程图；

图2：为基础密钥K_ASME的生成流程图。

具体实施方式

下面结合附图对技术方案作详细说明：

实施例1

如图1所示，本发明中改进协议的认证与密钥协商过程。参与认证与密钥协商的实体有三个：UE、MME和HSS。K表示UE和HSS之间的共享密钥，K0表示MME与HSS之间预先共享的对称密钥，PKU和PKM分别表示UE和MME的公钥，PKU^-1，PKM^-1分别表示UE和MME的私钥。

采用本发明提供的方法进行安全认证的具体步骤为：

(1)UE向MME发起访问请求。请求中包含UE的HSS标识ID_HSS、用MME公钥PKM加密的IMSI和R1。其中，R1是UE生成的随机数，用来进行身份验证和参与生成密钥。

(2)MME收到UE的访问请求消息后，解密得到IMSI和随机数R1，然后根据ID_HSS向UE对应的HSS发送认证请求，请求中包含用MME与HSS共享的对称密钥K0加密的IMSI、随机数R1以及自身的网络标识SNID。

(3)HSS收到MME发送的认证请求后，解密获得IMSI、R1和SNID，随后HSS检查自己的数据库，验证IMSI和SNID的合法性；若验证通过，HSS就生成随机数RAND，与随机数R1一同作为输入产生由鉴权向量AV组成的鉴权向量组{AV₁、AV₁……AV_n}，其中n表示生成鉴权向量AV的个数；然后用密钥K0加密鉴权向量组{AV₁、AV₁……AV_n}，并作为应答信息发送给MME。

其中，鉴权向量AV包括HSS就生成随机数RAND，基础密钥K_ASME和MME自身的网络标识SNID；所述鉴权向量AV表示为：

AV＝RAND||K_ASME||SNID。

基础密钥K_ASME通过密钥构造函数KDF计算获得；计算公式为：

K_ASME＝KDF(f3_K(RAND)||f4_K(RAND),S)；

式中，函数f3用于生成初始加密密钥CK，函数f4用于生成初始完整性保护密钥IK，式中的下标K表示使用共享密钥K作为函数输入，CK和IK是KDF的输入，RAND为HSS就生成随机数，S为输入的字符组；S包括以下参数：FC、P0、L0、P1、L1；所述FC是一个八位字节，用于区分不同的算法；P0表示SNID的值；L0为P0的长度值，P1＝AK⊕R1，L1为P1的长度值，其中符号⊕表示异或，AK为匿名密钥。

AK的计算公式为：

AK＝f5_K(RAND)；

其中，函数f5用于计算AK，公式中的下标K表示使用共享密钥K作为函数输入RAND为HSS就生成随机数。上述函数f3、f4和f5是原EPS AKA协议生成AV向量所用函数。MME最好一次向HSS仅申请获取一个鉴权向量AV，以减少认证过程中产生的流量。

(4)解密得到鉴权向量组{AV₁、AV₁……AV_n}，然后MME检查鉴权向量组并从鉴权向量组中选取一个鉴权向量AV_i，随后提取鉴权向量AV_i里面的数据，给鉴权向量AV_i中的基础密钥K_ASMEi分配一个密钥标识KSI_ASMEi；然后，MME向UE发起用户认证请求，请求中包含用UE的公钥PKU加密的鉴权向量AV_i、R1和R2，其中R2是MME生成的随机数；用来进行身份验证，下标i表示鉴权向量组中鉴权向量AV的标号。

(5)UE收到MME发送的用户认证请求后，解密得到鉴权向量AV_i、R1和R2，然后UE验证R1的正确性；验证通过后向MME发送请求响应消息，消息中包含用MME的公钥PKM加密的随机数R2。

(6)ME收到UE发送的请求响应消息后，解密并验证R2的正确性；验证通过后，MME与UE选择一个K_ASMEi作为基础密钥，根据密钥推导函数KDF衍生出后继通信使用的加密密钥CK_i和完整性保护密钥IK_i，至此完成整个安全认证。

采用这种方法进行的安全认证，在降低了安全认证的成本的同时也有效增强了协议的安全性。

Claims (3)

1.一种基于公钥密码体制的LTE无线网络的安全认证方法，其特征在于：包括以下步骤：

步骤1：UE向MME发起访问请求；请求中包含UE的HSS标识ID_HSS、用MME公钥PKM加密的IMSI和R1，其中R1是UE生成的随机数；

步骤2：MME收到UE的访问请求消息后，解密得到IMSI和随机数R1，根据ID_HSS向UE对应的HSS发送认证请求，请求中包含用MME与HSS共享的对称密钥K0加密的IMSI、随机数R1以及MME自身的网络标识SNID；

步骤3：HSS收到MME发送的认证请求后，解密获得IMSI、R1和SNID，随后HSS检查自己的数据库，验证IMSI和SNID的合法性；若验证通过，HSS就生成随机数RAND，与随机数R1一同作为输入产生由鉴权向量AV组成的鉴权向量组{AV₁、AV₁……AV_n}，其中n表示生成鉴权向量AV的个数；然后用密钥K0加密鉴权向量组{AV₁、AV₁……AV_n}，并作为应答信息发送给MME；

步骤4：MME收到HSS发送的应答信息后，解密得到鉴权向量组{AV₁、AV₁……AV_n}，然后MME检查鉴权向量组并从鉴权向量组中选取一个鉴权向量AV_i，随后提取鉴权向量AV_i里面的数据，给鉴权向量AV_i中的基础密钥K_ASMEi分配一个密钥标识KSI_ASMEi；然后，MME向UE发起用户认证请求，请求中包含用UE的公钥PKU加密的鉴权向量AV_i、R1和R2，其中R2是MME生成的随机数；下标i表示鉴权向量组中鉴权向量AV的标号；

步骤5：UE收到MME发送的用户认证请求后，解密得到鉴权向量AV_i、R1和R2，然后UE验证R1的正确性；验证通过后向MME发送请求响应消息，消息中包含用MME的公钥PKM加密的随机数R2；

步骤6：MME收到UE发送的请求响应消息后，解密并验证R2的正确性；验证通过后，MME与UE选择一个K_ASMEi作为基础密钥，根据密钥推导函数KDF衍生出后继通信使用的加密密钥CK_i和完整性保护密钥IK_i，至此完成整个安全认证。

2.根据权利要求1所述的基于公钥密码体制的LTE无线网络的安全认证方法，其特征在于：所述鉴权向量AV包括HSS就生成随机数RAND，基础密钥K_ASME和MME自身的网络标识SNID；所述鉴权向量AV表示为：

AV＝RAND||K_ASME||SNID。

3.根据权利要求1或2所述的基于公钥密码体制的LTE无线网络的安全认证方法，其特征在于：所述基础密钥K_ASME通过密钥构造函数KDF计算获得；所述计算公式为：

K_ASME＝KDF(f3_K(RAND)||f4_K(RAND),S)；

式中，函数f3用于生成初始加密密钥CK，函数f4用于生成初始完整性保护密钥IK，式中的下标K表示使用共享密钥K作为函数输入，CK和IK是KDF的输入，RAND为HSS就生成随机数，S为输入的字符组；S包括以下参数：FC、P0、L0、P1、L1；所述FC是一个八位字节，用于区分不同的算法；P0表示SNID的值；L0为P0的长度值，P1＝AK⊕R1，L1为P1的长度值，其中符号⊕表示异或，AK为匿名密钥。