CN107920350B - 一种基于sdn的隐私保护切换认证方法、5g异构网络 - Google Patents

一种基于sdn的隐私保护切换认证方法、5g异构网络 Download PDF

Info

Publication number
CN107920350B
CN107920350B CN201711117764.9A CN201711117764A CN107920350B CN 107920350 B CN107920350 B CN 107920350B CN 201711117764 A CN201711117764 A CN 201711117764A CN 107920350 B CN107920350 B CN 107920350B
Authority
CN
China
Prior art keywords
base station
authentication
user
user equipment
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201711117764.9A
Other languages
English (en)
Other versions
CN107920350A (zh
Inventor
曹进
付玉龙
于璞
李晖
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangdong Oppo Mobile Telecommunications Corp Ltd
Original Assignee
Xidian University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xidian University filed Critical Xidian University
Priority to CN201711117764.9A priority Critical patent/CN107920350B/zh
Publication of CN107920350A publication Critical patent/CN107920350A/zh
Application granted granted Critical
Publication of CN107920350B publication Critical patent/CN107920350B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/08Reselecting an access point
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/16Performing reselection for specific purposes
    • H04W36/18Performing reselection for specific purposes for allowing seamless reselection, e.g. soft reselection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/24Reselection being triggered by specific parameters
    • H04W36/32Reselection being triggered by specific parameters by location or mobility data, e.g. speed data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明属于通信网络安全技术领域,公开了一种基于SDN的隐私保护切换认证方法、5G异构网络,SDN控制器位于5G数据中心,认证切换模块作为一种应用被放置于SDN控制器,用于监视和预测5G用户的位置和路径;在5G用户切换之前准备相关的基站或选择合适的基站从而确保无缝切换认证;5G用户控制自己的安全上下文信息并将其转移到目标基站BS;安全上下文信息可以直接用于用户和BS之间的相互认证。本发明的5G用户可以直接完成与目标基站的双向认证无需基站之间复杂的通信协议或与其他第三方实体联系,从而简化信令流。本发明提供了强大的安全属性,包括匿名性,不可链接性以及可追溯性,与现有技术相比,切换成本较低。

Description

一种基于SDN的隐私保护切换认证方法、5G异构网络
技术领域
本发明属于通信网络安全技术领域,尤其涉及一种基于SDN的隐私保护切换认证方法、5G异构网络。
背景技术
随着智能设备和移动通信技术的发展,移动业务数据增长迅速,无线通信网络架构不断升级和更新。传统的蜂窝网络正面临从语音业务到数据业务的重大转变,从电路交换(CS)到分组交换(PS),从均匀网络到高密度、不同形状的网络等。随着IP网络的成熟,硬件和软件技术的发展以及微型基站的显著降低,异构网络(HetNet)技术受到业界和学术界的高度重视。为了顺应这样的趋势,第三代合作伙伴计划3GPP委员会提出的异构网络(HetNet)是指在宏蜂窝网络层下面部署大量小型小区,包括微小区,微微小区和毫微微小区以及其他WiFi和WiMAX接入点(AP),以满足对数据容量增长的需求。通过引入小区和其他接入点,异构网络(HetNet)可以有效解决盲点信号覆盖问题和热点容量增强问题,从而提高无线移动通信系统的容量和资源利用率。到5G时代,由于物联网(IoT)设备连接到网络,5G异构网络的密度将大大增加,不同类型无线传输技术的各类低功耗节点的部署密度将达到节点现有部署密度的10倍以上。节点之间的距离将降低到10米或更小,即每个活动用户将由节点服务。5G 超密集异构网络中大量部署小型小区和多个异构网络节点给网络管理和切换安全方面带来了新的挑战。5G用户可能会因为小区之间的距离减小而更频繁地移动如果在4G网络中使用现有的切换呼叫流程来适用于未来的5G异构网络,由于多次信令消息交换可能会对5G异构网络造成过多的切换延迟;另一方面,很容易得出诸如毫微微蜂窝网,家庭eNode B(HeNB)和部署在5G异构网络中的中继节点的小型小区并不能被信任。5G用户和5G接入点之间的相互认证需要承受模拟和中间人(MitM)攻击。此外,由于5G异构网络中更多的切换和小型接入点(AP)的资源限制,切换认证机制应该设计得更快更有效。因此,复杂的5G 异构网络需要更安全和更有效的切换认证机制。迄今为止,很少有方案考虑采用相关机制来简化在切换过程中复杂的信令流程。当前已经给出了多种 WiMAX-3GPP互联以及3GPP-WLAN/WiFi互联场景中的认证协议,但是这些协议还存在很多漏洞。首先,这些认证协议需要第三方参与且无法提供强大的安全保护;其次,这些认证协议需要在用户UE、基站BS和第三方服务AS之间进行不必要的多轮信令交换;同时这些认证协议仅针对特定的异构切换场景且这些设计是复杂的而难以将其扩展到所有异构切换场景。因此,如何实现5G 异构网络的用户设备(UE)和基站(BS)之间的相互认证与密钥协商是当前面临的一个关键问题。将SDN技术引入5G异构网络将大大降低5G网络的复杂度,降低网络建设、部署和维护成本。通过这种方法,5G用户可以随时随地连接到网络并享受各种服务只要他们属于同一运营商或与它们的运营商之间达成协议。但是由于5G安全研究还处于初级阶段,目前还没有针对软件定义网络 (SDN)技术的新型统一切换认证机制的相关研究。
综上所述,现有技术存在的问题是:目前没有针对软件定义网络技术的统一切换认证机制。
发明内容
针对现有技术存在的问题,本发明提供了一种基于SDN的隐私保护切换认证方法、5G异构网络。
本发明是这样实现的,一种基于SDN的隐私保护切换认证方法,所述基于 SDN的隐私保护切换认证方法的SDN控制器位于5G数据中心,认证切换模块 AHM作为一种应用被放置于SDN控制器,用于监视和预测5G用户的位置和路径;在5G用户切换之前准备相关的基站或选择合适的基站从而确保无缝切换认证;5G用户控制自己的安全上下文信息并将其转移到目标基站BS;安全上下文信息可以直接用于用户和BS之间的相互认证。
进一步,所述基于SDN的隐私保护切换认证方法包括以下步骤:
步骤一,初始化认证阶段;
步骤二,基于SDN的切换认证阶段。
进一步,所述初始化认证阶段具体包括:
(1)5G用户设备UE访问5G异构网络,认证切换模块AHM存储和维护用户信息并执行认证与密钥协商协议EPSAKA认证5G用户设备UE;认证切换模块AHM生成一个主公钥私钥对(SKAHM,PKAHM);其中所有用户设备和基站都知道公钥PKAHM,同时认证切换模块为每个基站生成一个公钥/私钥对 (SKBS,PKBS)并安全地分配给每个基站BS;
(2)当用户设备UE接入5G异构网络时,5G认证切换模块AHM对每个用户设备UE通过认证与密钥协商协议EPSAKA正常接入认证过程以完成初始认证;
(3)在成功地接入认证后,每一个UE和认证切换模块AHM生成一个共享密钥KASME,认证切换模块AHM利用其生成的私钥SKAHM计算用户设备UE的能力
Figure GDA0002728917000000031
其中IDUE为用户设备UE的身份,UE-specific attribute为用户的特殊属性;它包括但不限于包括UE的服务质量信息、用户的移动速度和方向。Texp为用户能力CAUE的截止时间;
(4)认证切换模块AHM利用共享密钥KASME生成UE和初始基站BS1之间的会话密钥
Figure GDA0002728917000000032
其中
Figure GDA0002728917000000033
是基站的身份,
Figure GDA0002728917000000034
是BS1的相关频率参数,KDF为密钥导出函数;
(5)认证切换模块AHM根据用户的身份IDUE和会话密钥
Figure GDA0002728917000000035
与计数器值 SEQ的哈希值生成用户的临时身份
Figure GDA0002728917000000036
其中H为哈希 Hash函数;认证切换模块将
Figure GDA0002728917000000037
TIDUE和用户能力CAUE用共享密钥KASME加密后
Figure GDA0002728917000000038
发送给用户设备UE;
(6)用户设备UE在接收到加密后的
Figure GDA0002728917000000039
TIDUE和CAUE后先用共享密钥 KASME解密然后利用临时身份TIDUE和会话密钥
Figure GDA00027289170000000310
生成初始基站BS1的完整性密钥
Figure GDA00027289170000000311
和初始基站BS1的加密密钥
Figure GDA00027289170000000312
以进行未来切换认证
Figure GDA0002728917000000041
其中H为哈希Hash函数,SEQ为计数器值。
进一步,所述基于SDN的切换认证阶段具体包括:
(1)认证切换模块AHM通过预测用户的移动位置并在离线时间追踪,启用软件定义网络SDN技术的5G异构网络可以始终准备好为用户UE进行切换服务或进行其他服务请求;在这里,认证切换模块AHM预测用户设备UE将在下一跳进入目标基站BS2的覆盖范围内;
(2)在进行用户设备UE与目标基站BS2的认证切换之前,认证切换模块AHM预先利用目标基站BS2的公钥
Figure GDA0002728917000000042
计算用户设备UE的切换标签
Figure GDA0002728917000000043
其中TIDUE为用户的临时身份,SEQ为计数器值,
Figure GDA0002728917000000044
为初始基站BS1与用户设备间的会话密钥;同时认证切换模块AHM基于预测结果将用户的身份IDUE和计算出的用户设备UE的切换标签
Figure DEST_PATH_IMAGE002
预分配到目标基站BS2
(3)当用户设备UE进入目标基站BS2的覆盖范围时,用户设备UE选择随机数N1并使用初始基站的加密密钥
Figure GDA0002728917000000045
将随机数N1,用户能力CAUE和计数器值 SEQ加密
Figure GDA0002728917000000046
同时用户UE计算新的消息认证码
Figure GDA0002728917000000047
其中
Figure GDA0002728917000000048
是初始基站的完整性密钥,TIDUE为用户的临时身份信息,N1为随机数,
Figure GDA0002728917000000049
为目标基站的身份,H 为哈希Hash函数;用户设备构造一个切换请求信息将TIDUE
Figure GDA00027289170000000410
用加密密钥
Figure GDA00027289170000000411
加密的
Figure GDA00027289170000000412
和MAC1发送给目标基站BS2
(4)目标基站BS2收到了由用户设备发送的切换请求;
(5)用户设备在接收到响应消息时用加密密钥
Figure GDA00027289170000000413
解密所接收到的
Figure GDA00027289170000000414
并检查更新后的计数器值SEQ+1的有效性,同时计算新的会话密钥
Figure GDA00027289170000000415
来验证MAC2是否有效。
进一步,所述目标基站BS2收到了由用户UE发送的切换请求执行以下步骤:
1)目标基站BS2利用自己的私钥
Figure GDA00027289170000000416
解密收到的来自认证切换模块AHM 所发送的用户设备UE的切换标签
Figure 683407DEST_PATH_IMAGE002
后得到TIDUE
Figure GDA0002728917000000051
和SEQ,然后BS2根据接收到的用户的临时身份TIDUE,来查找对应的初始基站与用户的会话密钥
Figure GDA0002728917000000052
和计数器值SEQ,并利用临时身份TIDUE和会话密钥
Figure GDA0002728917000000053
生成初始基站BS1的完整性密钥
Figure GDA0002728917000000054
和初始基站BS1的加密密钥
Figure GDA0002728917000000055
以进行未来切换认证
Figure GDA0002728917000000056
其中H是哈希Hash函数;
2)利用初始基站的加密密钥
Figure GDA0002728917000000057
解密收到的
Figure GDA0002728917000000058
并检查此计数器值SEQ是否有效,如果不是就丢弃它;
3)使用初始基站的完整性密钥
Figure GDA0002728917000000059
验证收到的消息验证码MAC1是否有效,如果它是有效的则说明目标基站BS2信任这个用户设备UE;否则就向用户UE 发送切换认证失败消息;
4)目标基站BS2进一步通过验证用户能力CAUE来确定用户UE的合法性,如果它是合法的,目标基站BS2则根据用户能力CAUE中的用户特殊属性来保证用户设备的服务质量QoS;
5)目标基站BS2选择新的随机数N2并更新计数器值SEQ+1,利用此随机数和新的计数器值生成目标基站BS2与用户设备的会话密钥
Figure GDA00027289170000000510
其中
Figure GDA00027289170000000511
是初始基站BS1与用户UE 的会话密钥,IDUE是用户身份信息,
Figure GDA00027289170000000512
是目标基站身份信息,N1,N2是随机数, H是哈希Hash函数;利用会话密钥
Figure GDA00027289170000000513
生成一个新的消息验证码
Figure GDA00027289170000000514
其中TIDUE是用户临时身份信息, N1,N2是随机数,
Figure GDA00027289170000000515
是目标基站身份信息,SEQ+1是更新后的计数器值;
6)目标基站BS2将目标基站身份信息
Figure GDA00027289170000000516
新的消息验证码MAC2和用初始基站BS1的加密密钥
Figure GDA00027289170000000517
加密的随机数N2和更新后的计数器值
Figure GDA00027289170000000518
切换响应消息发送给用户设备UE。
进一步,若所述的计数器值SEQ+1和消息认证码MAC2都是有效的,则用户设备对目标基站BS2进行认证并利用目标基站与用户的会话密钥
Figure GDA00027289170000000519
计算新的消息验证码
Figure GDA00027289170000000520
其中CAUE为用户能力,N1,N2为随机数,SEQ+1为更新后的计数器值;用户设备将消息验证码MAC3将其发送至目标基站BS2以获得最终密钥协商结果的确认。
本发明的另一目的在于提供一种使用所述基于SDN的隐私保护切换认证方法的5G异构网络。
本发明的安全性分析:
1、相互认证:本发明提出的方法是通过秘密密钥
Figure GDA0002728917000000061
和用户能力来确认用户UE和目标基站BS2之间的相互真实性,只有认证成功的用户UE可以通过目标基站连接到5G异构网络。目标基站BS2通过验证消息认证码MAC1来认证用户 UE。另外,目标基站还可以通过检查用户能力CAUE进一步确定用户的合法性,因为只有有效的UE才拥有由认证切换模块AHM签名的合法的用户能力CAUE,此外,连接中的目标基站的有效性需要由用户来验证以抵抗协议攻击。用户可以通过验证消息认证码MAC2来信任目标基站,因为只有认证过的目标基站才可以通过解密切换标签
Figure GDA0002728917000000062
得到会话密钥
Figure GDA0002728917000000063
并计算合法完整性密钥
Figure GDA0002728917000000064
2、抵抗协议攻击:在本发明提出的方法中,用户和目标基站之间的会话密钥通过使用秘密密钥
Figure GDA0002728917000000065
动态协商获得,只有有效的用户UE可以得到正确的
Figure GDA0002728917000000066
且只有合法的基站BS2拥有私钥
Figure GDA0002728917000000067
并通过解密切换标签
Figure GDA0002728917000000068
来获得
Figure GDA0002728917000000069
通过使用随机数N1,N2和计数器值SEQ来抵抗重放攻击。由于秘密值
Figure GDA00027289170000000610
和随机数N1,N2通过使用公钥
Figure GDA00027289170000000611
和加密密钥
Figure GDA00027289170000000612
加密,因此任何攻击者都不可能通过发起窃听攻击来获得包括
Figure GDA00027289170000000613
和会话密钥
Figure GDA00027289170000000614
在内的秘密信息。此外,由于用户和目标基站之间的相互认证和密钥协商已经实现,任何没有会话密钥
Figure GDA00027289170000000615
的中间人攻击都是不可行的。
3、用户身份信息保护:在本发明的方法中,本发明采用用户的临时身份来代替用户的真实身份,并且用户的临时身份是通过使用未知的计数器值与秘密密钥
Figure GDA00027289170000000616
来生成的,这样一来任何攻击者都不能泄露用户的真实身份。此外,在每个认证切换过程中都会生成一个新的用户临时身份,所以任何攻击者都不能通过窃听用户和目标基站之间的通信信道来获得这个临时身份。
4、可追踪性:在冲突的情况下,认证切换模块AHM可以通过使用其存储的计数器值和秘密密钥
Figure GDA0002728917000000071
并根据用户的临时身份来揭示用户的真实身份。因此,一旦消息认证码MAC出现冲突或者有其他冲突发生时,认证切换模块AHM 可以使用临时身份和计数器值来公开用户UE的真实身份。
本发明所采用SDN技术是当前5G标准研究所认可的主流技术,所设计的方案采用对称密钥体制,符合当前3GPP标准需求,因而无需改变标准中的通信设备,本发明可以应用于所有的5G异构网络用户移动性场景,包括同一无线接入技术之间切换和异构无线接入技术之间切换。并且本发明由于利用了SDN技术的优势,通过SDN控制器中的认证切换模块监控并预测用户的移动路径,从而预先为用户准备好切换所需的信息,从而当用户移动到目标区域时,可以直接与目标基站实现相互认证和密钥协商,而且只需三次握手,无需联系源基站或是SDN控制器等其他第三方,因此大大简化了切换认证信令流程。同时,由于5G网络将是一个以用户为中心的网络,本发明的用户可以完全控制自己的相关能力,安全上下文信息、服务质量等,用户直接传输认证切换模块所签名的用户能力给目标基站用以完成用户合法性的确认,并且目标基站可根据用户能力提供相应的服务用以确保用户的服务质量。此外,本发明采用临时身份机制可提供用户身份匿名性,不可链接性以及可追溯性,与现有技术相比,本发明更加安全而且切换成本较低。
附图说明
图1是本发明实施例提供的基于SDN的隐私保护切换认证方法流程图。
图2是本发明实施例提供的基于SDN的隐私保护切换认证方法实现流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明大幅度减少切换认证的信令开销和通信开销,优化了用户设备(UE) 和基站(BS)之间的切换延迟,实现5G用户和目标基站间的快速和安全的切换认证。
下面结合附图对本发明的应用原理作详细的描述。
如图1所示,本发明实施例提供的基于SDN的隐私保护切换认证方法包括以下步骤:
S101:SDN控制器中位于5G数据中心,认证切换模块AHM作为一种应用被放置于SDN控制器,用于监视和预测5G用户的位置和路径;在5G用户切换之前准备相关的基站或选择合适的基站从而确保无缝切换认证;
S102:5G用户控制自己的安全上下文信息并将其转移到目标基站BS本身;安全上下文信息可以直接用于用户和目标基站BS之间的相互认证。
本发明实施例提供的基于SDN的隐私保护切换认证方法具体包括以下步骤:
步骤一,初始化认证阶段;
步骤二,基于SDN的切换认证阶段。
在本发明的优选实施例中:初始化认证阶段具体包括:
(1)软件定义网络SDN控制器位于5G数据中心,认证切换模块AHM作为一种应用被放置于SDN控制器,用于控制用户设备UE的访问认证与切换。 5G用户访问5G异构网络时,认证切换模块AHM存储和维护用户信息并执行认证与密钥协商协议EPSAKA来认证5G用户。所有基站BS在连接到网络服务之前也被要求信任。认证切换模块AHM会首先生成一个主公钥/私钥对 (SKAHM,PKAHM),其中所有用户UE和基站BS都知道公钥PKAHM,同时认证切换模块AHM为每个基站BS生成一个公钥/私钥对(SKBS,PKBS)并将其安全地分配给每个基站BS。
(2)当用户设备UE接入5G异构网络时,软件定义网络SDN控制器中的 5G认证切换模块AHM对每个用户设备UE通过认证与密钥协商协议EPSAKA 实现正常接入认证过程以完成初始认证;
(3)在成功的接入认证之后,每一个用户设备UE和认证切换模块AHM生成一个共享密钥KASME,认证切换模块AHM利用其生成的私钥SKAHM计算用户 UE的能力
Figure GDA0002728917000000091
其中IDUE为用户的身份,UE-specificattribute为用户的特殊属性,它包括但不限于包括用户UE的服务质量信息、用户的移动速度和方向。Texp为用户能力CAUE的截止时间;
(4)认证切换模块AHM利用共享密钥KASME生成用户设备UE和初始基站 BS1之间的会话密钥
Figure GDA0002728917000000092
其中
Figure GDA0002728917000000093
是基站的身份,
Figure GDA0002728917000000094
是BS1的相关频率参数,KDF为密钥导出函数;
(5)认证切换模块AHM根据用户的身份IDUE和会话密钥
Figure GDA0002728917000000095
与计数器值 SEQ的哈希值生成用户的临时身份
Figure GDA0002728917000000096
其中H为哈希 Hash函数;最后认证切换模块AHM将
Figure GDA0002728917000000097
TIDUE和用户能力CAUE用共享密钥KASME加密后
Figure GDA0002728917000000098
发送给用户UE;
(6)用户设备UE在接收到加密后的
Figure GDA0002728917000000099
TIDUE和CAUE后先用共享密钥 KASME解密然后利用临时身份TIDUE和会话密钥
Figure GDA00027289170000000910
生成初始基站BS1的完整性密钥
Figure GDA00027289170000000911
和初始基站BS1的加密密钥
Figure GDA00027289170000000912
以进行未来切换认证
Figure GDA00027289170000000913
其中H为哈希Hash函数,SEQ为计数器值。
在本发明的优选实施例中:基于SDN的切换认证阶段具体包括:
(1)认证切换模块AHM通过预测用户的移动位置并在离线时间追踪,启用软件定义网络SDN技术的5G异构网络可以始终准备好为用户UE进行切换服务或进行其他服务请求。在这里,认证切换模块AHM首先预测用户设备UE 将在下一跳进入目标基站BS2的覆盖范围内;
(2)在进行用户设备UE与目标基站BS2的认证切换之前,认证切换模块 AHM预先利用目标基站BS2的公钥
Figure GDA00027289170000000914
计算UE的切换标签
Figure GDA00027289170000000915
其中TIDUE为用户的临时身份,SEQ为计数器值,
Figure GDA00027289170000000916
为初始基站BS1与用户UE间的会话密钥,同时认证切换模块AHM基于预测结果将用户的身份IDUE和计算出的用户UE的切换标签
Figure GDA0002728917000000101
预分配到目标基站BS2
(3)当用户设备UE进入目标基站BS2的覆盖范围时,UE选择随机数N1并使用初始基站的加密密钥
Figure GDA0002728917000000102
将随机数N1,用户能力CAUE和计数器值SEQ加密
Figure GDA0002728917000000103
同时用户UE计算一个新的消息认证码
Figure GDA0002728917000000104
其中
Figure GDA0002728917000000105
是初始基站的完整性密钥,TIDUE为用户的临时身份信息,N1为随机数,
Figure GDA0002728917000000106
为目标基站的身份,H 为哈希Hash函数;最后用户UE构造一个切换请求信息将TIDUE
Figure GDA0002728917000000107
用加密密钥
Figure GDA0002728917000000108
加密的
Figure GDA0002728917000000109
和MAC1发送给目标基站BS2
(4)目标基站BS2收到了由用户UE发送的切换请求,执行以下步骤:
1)目标基站BS2利用自己的私钥
Figure GDA00027289170000001010
解密收到的来自认证切换模块所发送的用户设备UE的切换标签
Figure GDA00027289170000001011
后得到TIDUE
Figure GDA00027289170000001012
和SEQ,然后BS2根据接收到的用户的临时身份TIDUE,来查找对应的初始基站与用户的会话密钥
Figure GDA00027289170000001013
和计数器值SEQ,并利用临时身份TIDUE和会话密钥
Figure GDA00027289170000001014
生成初始基站BS1的完整性密钥
Figure GDA00027289170000001015
和初始基站BS1的加密密钥
Figure GDA00027289170000001016
以进行未来切换认证
Figure GDA00027289170000001017
其中H是哈希Hash函数;
2)利用初始基站的加密密钥
Figure GDA00027289170000001018
解密收到的
Figure GDA00027289170000001019
并检查此计数器值SEQ是否有效,如果不是就丢弃它;
3)使用初始基站的完整性密钥
Figure GDA00027289170000001020
验证收到的消息验证码MAC1是否有效,如果它是有效的则说明目标基站BS2信任这个用户设备UE。否则就向用户设备 UE发送切换认证失败消息;
4)目标基站BS2进一步通过验证用户能力CAUE来确定用户UE的合法性,如果它是合法的,目标基站BS2则根据用户能力CAUE中的用户特殊属性来保证用户设备的服务质量QoS;
5)目标基站BS2选择新的随机数N2并更新计数器值SEQ+1,利用此随机数和新的计数器值生成目标基站BS2与用户UE的会话密钥
Figure GDA0002728917000000111
其中
Figure GDA0002728917000000112
是初始基站BS1与用户UE 的会话密钥,IDUE是用户身份信息,
Figure GDA0002728917000000113
是目标基站身份信息,N1,N2是随机数, H是哈希Hash函数。同时利用会话密钥
Figure GDA0002728917000000114
生成一个新的消息验证码
Figure GDA0002728917000000115
其中TIDUE是用户临时身份信息,N1,N2是随机数,
Figure GDA0002728917000000116
是目标基站身份信息,SEQ+1是更新后的计数器值;
6)目标基站BS2将目标基站身份信息
Figure GDA0002728917000000117
新的消息验证码MAC2和用初始基站BS1的加密密钥
Figure GDA0002728917000000118
加密的随机数N2和更新后的计数器值
Figure GDA0002728917000000119
切换响应消息发送给用户UE。
(5)用户UE在接收到响应消息时用加密密钥
Figure GDA00027289170000001114
解密所接收到的
Figure GDA00027289170000001110
并检查更新后的计数器值SEQ+1的有效性,同时计算新的会话密钥
Figure GDA00027289170000001111
然后验证MAC2是否有效。如果两者都有效,则用户UE对目标基站 BS2进行认证并利用目标基站与用户的会话密钥
Figure GDA00027289170000001112
计算新的消息验证码
Figure GDA00027289170000001113
其中CAUE为用户能力,N1,N2为随机数, SEQ+1为更新后的计数器值。用户UE将消息验证码MAC3将其发送至目标基站 BS2以获得最终密钥协商结果的确认。
下面结合对比对本发明的应用效果作详细的描述。
对比文件1 3rd Generation Partnership Project;Technical SpecificationGroup Services and System Aspects;Architecture enhancements for non-3GPPaccesses (Rel15),3GPP TS 23.402 V15.1.0 Sept.2017.
对比文件2 A.Fu,G.Zhang,Z.Zhu,Y.Zhang,“Fast and secure handoverauthentication scheme based on ticket for WiMAX and WiFi heterogeneousnetworks,”Wireless Person Communication,Vol.79,2014,pp.1277-1299.
对比文件3 K.A.Alezabi,F.Hashim,S.J.Hashim,and B.M.Ali.“On theauthentication and re-authentication protocols in LTEWLAN interworkingarchitecture,”Transactions on Emerging Telecommunications Technologies,Vol.28,No.4,2017,DOI:10.1002/ett.3031.
对比文件4 G.Yang,Q.Huang,D.S.Wong and X.Deng,“Universalauthentication protocols for anonymous wireless communications,”IEEETransactions on Wireless Communications,vol.9,no.1,2010,pp.168-174.
对比文件5 J.Cao,M.Ma,H.Li.“An Uniform Handover Authentication betweenE-UTRAN and Non-3GPP Access Networks,”IEEE Transactions on WirelessCommunications,Vol.11,No.10,Oct.2012,pp 3644-3650.
对比文件6 X.Yang,X.Huang,J.K.Liu,“Efficient handover authenticationwith user anonymity and untraceability for Mobile Cloud Computing,”FutureGeneration Computer Systems,Vol.62,2016,pp.190-195.
对比文件7 X.Duan and X.Wang,“Authentication handover and privacyprotection in 5G hetnets using software-defined networking,”IEEECommunications Magazine,vol.53,no.4,2015,pp.28-35.
本发明的发明与现有方案相比如下表所示:
Figure GDA0002728917000000121
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (2)

1.一种基于SDN的隐私保护切换认证方法,其特征在于,所述基于SDN的隐私保护切换认证方法的SDN控制器位于5G数据中心,认证切换模块AHM作为一种应用被放置于SDN控制器,用于监视和预测5G用户的位置和路径;在5G用户切换之前准备相关的基站或选择合适的基站从而确保无缝切换认证;5G用户控制自己的安全上下文信息并将所述安全上下文信息转移到目标基站BS;安全上下文信息直接用于用户和BS之间的相互认证;
所述基于SDN的隐私保护切换认证方法包括以下步骤:
步骤一,初始化认证阶段;
步骤二,基于SDN的切换认证阶段;
所述初始化认证阶段具体包括:
(1)5G用户设备UE访问5G异构网络时,认证切换模块AHM存储和维护用户信息并执行认证与密钥协商协议EPS AKA认证5G用户设备UE;认证切换模块生成一个主公钥/私钥对(SKAHM,PKAHM);其中所有用户设备和基站都知道公钥PKAHM,同时认证切换模块为每个基站生成一个公钥/私钥对(SKBS,PKBS)并安全地分配给每个基站BS;
(2)当5G用户设备UE接入5G异构网络时,5G认证切换模块AHM对每个用户UE通过执行认证与密钥协商协议EPS AKA以完成初始认证;
(3)在成功地接入认证后,每一个UE和认证切换模块AHM生成一个共享密钥KASME,认证切换模块AHM利用其生成的私钥SKAHM计算用户设备UE的能力
Figure FDA0002728916990000011
其中IDUE为UE的身份,UE-specific attribute为用户的特殊属性;它包括UE的服务质量信息、用户的移动速度和方向;Texp为用户能力CAUE的截止时间;
(4)认证切换模块AHM利用共享密钥KASME生成UE和初始基站BS1之间的会话密钥
Figure FDA0002728916990000012
其中
Figure FDA0002728916990000013
是基站的身份,
Figure FDA0002728916990000014
是BS1的相关频率参数,KDF为密钥导出函数;
(5)认证切换模块AHM根据用户的身份IDUE和会话密钥
Figure FDA0002728916990000021
与计数器值SEQ的哈希值生成用户的临时身份
Figure FDA0002728916990000022
其中H为哈希Hash函数;认证切换模块AHM将
Figure FDA0002728916990000023
TIDUE和用户能力CAUE用共享密钥KASME加密后
Figure FDA0002728916990000024
发送给用户设备UE;
(6)用户设备UE在接收到加密后的
Figure FDA0002728916990000025
TIDUE和CAUE后先用共享密钥KASME解密然后利用临时身份TIDUE和会话密钥
Figure FDA0002728916990000026
生成初始基站BS1的完整性密钥
Figure FDA0002728916990000027
和初始基站BS1的加密密钥
Figure FDA0002728916990000028
用于未来切换认证
Figure FDA0002728916990000029
其中H为哈希Hash函数,SEQ为计数器值;
所述基于SDN的切换认证阶段具体包括:
(1)认证切换模块AHM通过预测用户的移动位置并在离线时间追踪,启用软件定义网络SDN技术的5G异构网络始终准备好为用户设备UE执行切换服务或其他服务请求;这里,认证切换模块AHM首先预测用户设备UE将在下一跳进入目标基站BS2的覆盖范围内;
(2)在进行用户设备UE与目标基站BS2的认证切换之前,认证切换模块AHM利用目标基站BS2的公钥
Figure FDA00027289169900000210
计算用户设备UE的切换标签
Figure FDA00027289169900000211
其中TIDUE为用户的临时身份,SEQ为计数器值,
Figure FDA00027289169900000212
为初始基站BS1与用户设备间的会话密钥;同时认证切换模块AHM基于预测结果将用户的身份IDUE和计算出的用户设备UE的切换标签
Figure FDA00027289169900000213
预分配到目标基站BS2
(3)当用户设备UE进入目标基站BS2的覆盖范围时,用户设备UE选择随机数N1并使用初始基站的加密密钥
Figure FDA00027289169900000214
将随机数N1,用户能力CAUE和计数器值SEQ加密
Figure FDA00027289169900000215
同时用户设备UE计算新的消息认证码
Figure FDA00027289169900000216
其中
Figure FDA00027289169900000217
是初始基站的完整性密钥,TIDUE为用户的临时身份信息,N1为随机数,
Figure FDA00027289169900000218
为目标基站的身份,H为哈希Hash函数;用户设备UE构造一个切换请求信息将TIDUE
Figure FDA00027289169900000219
用加密密钥
Figure FDA0002728916990000031
加密的
Figure FDA0002728916990000032
和MAC1发送给目标基站BS2
(4)目标基站BS2收到了由用户设备UE发送的切换请求;
(5)用户设备UE在接收到切换响应消息时用加密密钥
Figure FDA0002728916990000033
解密所接收到的
Figure FDA0002728916990000034
并检查更新后的计数器值SEQ+1的有效性,同时计算新的会话密钥
Figure FDA0002728916990000035
来验证MAC2是否有效;
所述目标基站BS2收到了由用户UE发送的切换请求执行以下步骤:
1)目标基站BS2利用自己的私钥
Figure FDA0002728916990000036
解密收到的来自认证切换模块AHM所发送的用户设备UE的切换标签
Figure FDA0002728916990000037
后得到TIDUE
Figure FDA0002728916990000038
和SEQ,然后BS2根据接收到的用户的临时身份TIDUE,来查找对应的初始基站与用户的会话密钥
Figure FDA0002728916990000039
和计数器值SEQ,并利用临时身份TIDUE和会话密钥
Figure FDA00027289169900000310
生成初始基站BS1的完整性密钥
Figure FDA00027289169900000311
和初始基站BS1的加密密钥
Figure FDA00027289169900000312
以进行未来切换认证
Figure FDA00027289169900000313
其中H是哈希Hash函数;
2)利用初始基站的加密密钥
Figure FDA00027289169900000314
解密收到的
Figure FDA00027289169900000315
并检查此计数器值SEQ是否有效,如果不是就丢弃它;
3)使用初始基站的完整性密钥
Figure FDA00027289169900000316
验证收到的消息验证码MAC1是否有效,如果它是有效的则说明目标基站BS2信任这个用户设备UE;否则就向用户UE发送切换认证失败消息;
4)目标基站BS2进一步通过验证用户能力CAUE来确定用户UE的合法性,如果它是合法的,目标基站BS2则根据用户能力CAUE中的用户特殊属性来保证用户设备的服务质量QoS;
5)目标基站BS2选择新的随机数N2并更新计数器值为SEQ+1,利用此随机数和新的计数器值生成目标基站BS2与用户设备的会话密钥
Figure FDA00027289169900000317
其中
Figure FDA00027289169900000318
是初始基站BS1与用户UE的会话密钥,IDUE是用户身份信息,
Figure FDA00027289169900000319
是目标基站身份信息,N1,N2是随机数,H是哈希Hash函数;同时利用会话密钥
Figure FDA00027289169900000320
生成一个新的消息验证码
Figure FDA0002728916990000041
其中TIDUE是用户临时身份信息,N1,N2是随机数,
Figure FDA0002728916990000042
是目标基站身份信息,SEQ+1是更新后的计数器值;
6)目标基站BS2将目标基站身份信息
Figure FDA0002728916990000043
新的消息验证码MAC2和用初始基站BS1的加密密钥
Figure FDA0002728916990000044
加密的随机数N2和更新后的计数器值
Figure FDA0002728916990000045
切换响应消息发送给用户设备;
若所述的计数值SEQ+1与消息认证码MAC2都是有效的,则用户设备对目标基站BS2进行认证并利用目标基站与用户的会话密钥
Figure FDA0002728916990000046
计算新的消息验证码
Figure FDA0002728916990000047
其中CAUE为用户能力,N1,N2为随机数,SEQ+1为更新后的计数器值;用户设备将消息验证码MAC3发送至目标基站BS2以获得最终密钥协商结果的确认。
2.一种5G异构网络系统,所述系统包括用户设备和基站,所述系统使用权利要求1所述基于SDN的隐私保护切换认证方法来实现用户设备和基站之间的切换认证。
CN201711117764.9A 2017-11-13 2017-11-13 一种基于sdn的隐私保护切换认证方法、5g异构网络 Expired - Fee Related CN107920350B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711117764.9A CN107920350B (zh) 2017-11-13 2017-11-13 一种基于sdn的隐私保护切换认证方法、5g异构网络

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711117764.9A CN107920350B (zh) 2017-11-13 2017-11-13 一种基于sdn的隐私保护切换认证方法、5g异构网络

Publications (2)

Publication Number Publication Date
CN107920350A CN107920350A (zh) 2018-04-17
CN107920350B true CN107920350B (zh) 2020-12-29

Family

ID=61895384

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711117764.9A Expired - Fee Related CN107920350B (zh) 2017-11-13 2017-11-13 一种基于sdn的隐私保护切换认证方法、5g异构网络

Country Status (1)

Country Link
CN (1) CN107920350B (zh)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10305935B2 (en) 2016-06-09 2019-05-28 LGS Innovations LLC Methods and systems for enhancing cyber security in networks
US10637890B2 (en) * 2016-06-09 2020-04-28 LGS Innovations LLC Methods and systems for establishment of VPN security policy by SDN application
CN110830994B (zh) 2018-08-13 2021-09-14 华为技术有限公司 会话迁移的方法、装置和存储介质
CN109756877B (zh) * 2018-12-05 2021-09-14 西安电子科技大学 一种海量NB-IoT设备的抗量子快速认证与数据传输方法
CN109714157B (zh) * 2018-12-07 2021-12-14 南京信息职业技术学院 一种抗密钥暴露属性加密的sdn跨域访问控制方法
CN111404666B (zh) * 2019-01-02 2024-07-05 中国移动通信有限公司研究院 一种密钥生成方法、终端设备及网络设备
CN110691351B (zh) * 2019-09-16 2020-09-25 清华大学 基于隐私保护的5g网络移动性管理方法及装置
CN110830985B (zh) * 2019-11-11 2022-04-29 重庆邮电大学 一种基于信任机制的5g轻量级终端接入认证方法
CN111611623B (zh) * 2020-07-03 2020-10-30 腾讯科技(深圳)有限公司 一种隐私数据处理方法和装置
CN113382412B (zh) * 2021-05-12 2022-12-27 重庆邮电大学 超密集异构网络中考虑终端安全的网络选择方法
CN113423103B (zh) * 2021-06-02 2022-07-12 西安电子科技大学 一种d2d辅助通信的统一轻量级可溯源安全数据传输方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10159018B2 (en) * 2015-08-21 2018-12-18 Korea University Research And Business Foundation Data processing method for accommodating legacy network service in 4G or next generation network
CN106851757B (zh) * 2017-03-09 2019-11-26 西安电子科技大学 一种基于sdn和sdr的异构网络切换方法
CN107277858B (zh) * 2017-07-20 2020-05-12 西安电子科技大学 一种基于sdn的多信道传输的5g网络及传输数据的方法

Also Published As

Publication number Publication date
CN107920350A (zh) 2018-04-17

Similar Documents

Publication Publication Date Title
CN107920350B (zh) 一种基于sdn的隐私保护切换认证方法、5g异构网络
Cao et al. CPPHA: Capability-based privacy-protection handover authentication mechanism for SDN-based 5G HetNets
Cao et al. A simple and robust handover authentication between HeNB and eNB in LTE networks
Cao et al. EGHR: Efficient group-based handover authentication protocols for mMTC in 5G wireless networks
EP2184933B1 (en) A method and apparatus for new key derivation upon handoff in wireless networks
EP1414262B1 (en) Authentication method for fast handover in a wireless local area network
CN111885602B (zh) 一种面向异构网络的批量切换认证及密钥协商方法
JP5597676B2 (ja) 鍵マテリアルの交換
US8661510B2 (en) Topology based fast secured access
JP2013066220A (ja) セルラー無線システムにおける無線基地局鍵を生成する方法と装置
CN112235792B (zh) 一种多类型终端接入与切换认证方法、系统、设备及应用
Fu et al. Fast and secure handover authentication scheme based on ticket for WiMAX and WiFi heterogeneous networks
KR20080019978A (ko) 이동환경에서의 듀얼 인증 방법
CN108495311B (zh) 基于中继站辅助的高速列车目标基站的安全切换方法
Mobarhan et al. REPS-AKA3: A secure authentication and re-authentication protocol for LTE networks
CN113170369A (zh) 用于在系统间改变期间的安全上下文处理的方法和装置
WO2017171835A1 (en) Key management for fast transitions
Zhao et al. A relay-assisted secure handover mechanism for high-speed trains
JP7492215B2 (ja) 無線ネットワーク切り替え方法及び機器
Zhao et al. A position-based secure fast handover mechanism for high-speed trains
Niranjani et al. Distributed security architecture for authentication in 4G networks
El Omda et al. Design and Simulation of a New Intelligent Authentication for Handover over 4G (LTE) Mobile Communication Network
Nyangaresi et al. Guti-based multi-factor authentication protocol for de-synchronization attack prevention in LTE handovers
CN102065427B (zh) 一种安全的无线城域网的用户终端切换方法
KR102593167B1 (ko) 통신 네트워크 시스템의 동작방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20220523

Address after: Changan town in Guangdong province Dongguan 523860 usha Beach Road No. 18

Patentee after: GUANGDONG OPPO MOBILE TELECOMMUNICATIONS Corp.,Ltd.

Address before: 710071 Xi'an Electronic and Science University, 2 Taibai South Road, Shaanxi, Xi'an

Patentee before: XIDIAN University

CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20201229