CN108260102A - 基于代理签名的lte-r车-地通信非接入层认证方法 - Google Patents

Abstract

一种基于代理签名的LTE-R车-地通信非接入层认证方法，其主要操作步骤是：A、全球用户识别卡注册：全球用户识别卡在使用前需在其归属用户服务器完成注册，获取代理签名权；B、非接入层初始认证过程：车载移动单元首次接入网络时，利用代理签名算法实现国际移动用户识别码的机密性传输，以及预认证功能，随后借助可动态更新的主密钥完成后续认证；C、非接入层重认证过程：当车载移动单元再次接入网络或发生位置更新时，如果其拥有合法有效的主密钥和终端临时身份，则可以直接同移动管理实体进行重认证，避免第三方的参与；D、中止会话。该方法能有效实现LTE‐R系统中车地无线通信安全实时的认证，且消耗资源少，安全性高。

Description

基于代理签名的LTE-R车-地通信非接入层认证方法

技术领域

本发明涉及一种铁路系统的无线通信非接入层实体认证方法。尤其涉及一种基于代理签名的LTE‐R车‐地通信非接入层认证方法。

背景技术

2009年国际铁路联盟UIC(International Union of Railways)已明确采用LTE‐R(Long Term Evolution for Railway)作为新一代铁路系统的无线通信技术。LTE‐R沿用了SAE/LTE 的基本结构，采用全IP的扁平化网络构架，具有高数据传输率、低接入延迟和多网兼容的特点，但也继承了Internet网固有的安全缺陷，并且过渡阶段多网共存，无线接口以及核心网段都具有前所未有的开放性，这些都为LTE‐R系统带来了更多的安全挑战。

在LTE‐R系统中与非接入层认证相关的实体主要包括车载移动单元、移动管理实体和归属用户服务器。其中车载移动单元内安装有全球用户识别卡(USIM)，归属用户服务器为车载移动单元及其全球用户识别卡(USIM)注册所在地的服务器，保存有其与全球用户识别卡 (USIM)共享密钥K；移动管理实体为车载移动单元移动途经地(当前通信所接入)的服务器。LTE‐R系统非接入层认证过程主要包括全球用户识别卡(USIM)注册、非接入层初始认证和非接入层重认证三个主要过程。系统初始化发生在归属用户服务器建立时，主要完成系统参数的生成。全球用户识别卡(USIM)注册发生在制卡中心进行信息写入时，主要完成全球用户识别卡(USIM)的注册以及认证信息的写入。非接入层初始认证发生在车载移动单元首次认证入网时，该过程需要归属用户服务器协助移动管理实体进行认证。非接入层重认证发生在车载移动单元在移动管理实体管辖网域内再次入网、再次请求服务或进行位置更新时，该过程移动管理实体可独立完成认证过程。

为保证上述各过程的安全性，LTE‐R沿用了3GPP定义的EPS‐AKA方法，该方法采用四层密钥和分层保护机制，安全性相比GSM‐R有了较大改善，但依旧存在如下安全与性能问题：

(1)国际移动用户识别码(IMSI)缺乏保护。在非接入层初始认证过程中，车载移动单元会以明文形式在无线信道上传输国际移动用户识别码(IMSI)，攻击者可轻易窃取从而假冒合法用户身份入网并发动中间人、重放等各类攻击。

(2)缺乏预认证，难以抵抗拒绝服务等攻击。在初始认证过程中，移动管理实体对于车载移动单元的认证通过归属用户服务器计算并回传的认证向量实现，当车载移动单元虚假身份被发现时，归属用户服务器已耗费资源完成多组认证向量的生成与传递。因此，攻击者可通过伪造并发送大量虚假接入请求报文发起拒绝服务攻击，阻塞认证过程甚至造成归属用户服务器瘫痪。

(3)认证向量远程请求及传输开销大。LTE‐R系统中终端高速移动，频繁的重认证导致认证向量的快速消耗，由于无法实现认证向量的本地生成，移动管理实体将频繁的向归属用户服务器请求认证向量，增加了有线信道的信令开销和带宽消耗。

针对上述问题，方法“Improving Security Level of LTE Access Procedure byusing Short‐life Shared Key”(Ahmad F,Peradilla M,Saini A,et al.IEICETransactions on Communications,2017(5.在OBU接入网络前首先利用Diffie‐Hellman(DH)密钥协商算法生成加密密钥，以实现IMSI的加密传输，但该密钥协商过程由于缺乏身份认证，易遭受中间人攻击。虽然在一定程度上解决了IMSI泄漏问题，但未实现MME对OBU的预认证，易遭受针对核心网(EPC)的拒绝服务攻击。实现了认证信息本地生成，但OBU长期停留在同一个MME管辖网域时，K_ASME存在泄露风险。

发明内容

本发明的目的就是提供一种基于代理签名的LTE‐R车‐地通信非接入层认证方法，该方法能有效解决IMSI的泄漏问题、避免拒绝服务攻击，有效提高车‐地无线通信非接入层实体认证的安全和效率。

本发明实现其发明目的所采用的技术方法是，一种基于代理签名的LTE‐R车‐地通信非接入层认证方法，其步骤是：

A、全球用户识别卡(USIM)注册：

A1、归属用户服务器选取一个随机数作为防碰撞参数r_H，随后以防碰撞参数r_H、国际移动用户识别码IMSI、归属用户服务器自己的私钥x_H和代理授权书w为输入参数，经过代理授权算法，得到代理授权证书W，并将代理授权证书W传送至全球用户识别卡(USIM)制卡中心；

A2、全球用户识别卡(USIM)制卡中心以归属用户服务器的公钥PK_H和代理授权证书W为输入，执行授权验证算法，若验证通过，则将代理授权证书W写入全球用户识别卡(USIM)，完成注册；再将全球用户识别卡(USIM)安装在车载移动单元中；否则，执行步骤D；

B、非接入层初始认证：

B1、车载移动单元启动并首次接入网络时，先选取一个随机数作为终端临时私钥n,再选取另一个随机数作为终端参数N_O，同时生成时戳一T₁；随后读取全球用户识别卡(USIM)中的代理授权证书W；并以代理授权证书W、终端临时私钥n、服务网络身份SNID、终端参数N_O、时戳一T₁和归属用户服务器的公钥PK_H为输入参数，执行代理签名生成算法，生成代理签名PS；最后，将代理签名PS发送至移动管理实体；

B2、移动管理实体收到代理签名PS后，以归属用户服务器的公钥PK_H、代理签名PS和归属用户服务器的公钥PK_H为输入参数，执行代理签名验证算法；若验证通过，则将代理签名PS 通过安全信道发送至归属用户服务器；否则，执行步骤D；

B3、归属用户服务器以收到的代理签名PS和归属用户服务器自己的私钥x_H为输入参数，执行代理签名追踪算法，得到车载移动单元的国际移动用户识别码IMSI，并检索数据库查找对应的车载移动单元与归属用户服务器之间的长期共享密钥K；如检索不成功，则执行步骤 D；

如检索成功，则归属用户服务器选取一随机数作为远程参数N_H，并从代理签名PS中提取终端参数N_O；将国际移动用户识别码IMSI、远程参数N_H、终端参数N_O和长期共享密钥K串联起来，再通过主密钥生成算法，生成主密钥K_ASME；最后将主密钥K_ASME和远程参数N_H通过安全信道发送至移动管理实体；

B4、移动管理实体选取一随机数,作为本地参数N_M，再选取一随机数作为终端临时身份 GUTI，并将本地参数N_M、终端临时身份GUTI、收到的主密钥K_ASME、终端参数N_O串联后，分别输入认证密钥生成函数和加密密钥生成函数，得到认证密钥K_A和加密密钥K_E；同时，生成时戳二T₂；随后，移动管理实体将终端参数N_O、时戳二T₂和终端临时身份GUTI串联，连同认证密钥K_A，由消息认证码算法，得到本地认证信息MAC；移动管理实体将自己的身份ID_M、时戳二T₂和终端临时身份GUTI串联，再用加密密钥K_E加密得到密文INF，最后将密文INF、终端临时身份GUTI、本地认证信息MAC，本地参数N_M和收到的远程参数N_H发送至车载移动单元；

B5、车载移动单元读取全球用户识别卡(USIM)中的国际移动用户识别码IMSI，并将国际移动用户识别码IMSI、收到的远程参数N_H、终端参数N_O和长期共享密钥K串联起来，再通过主密钥生成算法，生成主密钥K_ASME；将收到的本地参数N_M、收到的终端临时身份GUTI、主密钥K_ASME、终端参数N_O串联后，分别输入认证密钥生成函数和加密密钥生成函数，得到认证密钥K_A和加密密钥K_E；随后，利用加密密钥K_E解密密文INF获取终端临时身份GUTI和时戳二T₂，再利用认证密钥K_A、终端参数N_O、终端临时身份GUTI和时戳二T₂，验证本地认证信息MAC；

若验证未通过，则执行步骤D；若验证通过，则生成时戳三T₃，并将终端参数N_M、时戳三T₃和终端临时身份GUTI串联，连同认证密钥K_A经消息认证码算法，得到终端认证信息RES；最后，车载移动单元保存主密钥K_ASME和终端临时身份GUTI；并将终端认证信息RES连同时戳三T₃发送至移动管理实体；

B6、移动管理实体收到终端认证信息RES和时戳三T₃后，利用认证密钥K_A、本地参数N_M、终端临时身份GUTI和时戳三T₃验证；若验证通过，则保存主密钥K_ASME和终端临时身份GUTI，完成整个初始认证；否则，执行步骤D；

C、非接入层重认证：

C1、车载移动单元在完成首次接入认证后，随着位置的更新会再次发起认证请求，此时执行重认证过程：车载移动单元选取一个随机数更新终端参数N_O，同时更新生成时戳一T₁；随后将保存的主密钥K_ASME和更新的终端参数N_O连接，通过认证密钥生成函数，得到预认证密钥K_P；再将更新的终端参数N_O、更新的时戳一T₁和保存的终端临时身份GUTI串联，连同预认证密钥K_P经消息认证码算法，得到预认证信息MAC_P；最后将终端临时身份GUTI、终端参数N_O、时戳一T₁和预认证信息MAC_P作为重认证请求发送至移动管理实体；

C2、移动管理实体收到重认证请求后，首先验证时戳一T₁的新鲜性，通过后利用终端临时身份GUTI查询对应的主密钥K_ASME；随后将保存的主密钥K_ASME和收到的终端参数N_O连接，通过认证密钥生成函数，得到预认证密钥K_P；验证预信息MAC_P，若验证通过，则选取一随机数更新本地参数N_M，同时更新生成时戳二T₂，再将保存的主密钥K_ASME、本地参数N_M和收到的终端参数N_O串联，输入主密钥生成函数，得到重认证主密钥再将重认证主密钥本地参数N_M和终端参数N_O串联，分别输入认证密钥生成函数和加密密钥生成函数，得到重认证密钥和重认证加密密钥随后，移动管理实体选取一随机数更新终端临时身份GUTI，并将终端参数N_O、时戳二T₂和终端临时身份GUTI串联，连同重认证密钥经消息认证码算法，得到本地重认证信息MAC；再将移动管理实体自己的身份ID_M、时戳T₂和终端临时身份GUTI串联，用重认证加密密钥加密得到重认证密文INF，最后将重认证密文INF、本地重认证信息MAC，本地参数N_M发送至车载移动单元；

C3、车载移动单元将其保存的主密钥K_ASME、收到的本地参数N_M和终端参数N_O串联，输入主密钥生成函数，得到重认证主密钥按照将重认证主密钥本地参数N_M和终端参数N_O串联，分别输入认证密钥生成函数和加密密钥生成函数，得到重认证密钥和重认证加密密钥随后，车载移动单元利用重认证加密密钥解密重认证密文INF获取终端临时身份GUTI和时戳二T₂；再利用重认证密钥终端参数N_O、终端临时身份GUTI和时戳二T₂验证本地重认证信息MAC；若验证失败，则执行步骤D；

若验证通过，则更新生成时戳三T₃，将终端参数N_M、时戳三T₃和终端临时身份GUTI串联，连同重认证密钥经消息认证码算法，得到终端重认证信息RES，连同时戳三T₃发送至移动管理实体，再用重认证主密钥置换主密钥，并保存主密钥和终端临时身份 GUTI；

C4、移动管理实体，利用重认证密钥本地参数N_M、终端临时身份GUTI和收到的时戳三T₃，验证终端重认证信息RES；若验证通过。用重认证主密钥更新主密钥K_ASME，并保存主密钥K_ASME和终端临时身份GUTI；若验证不通过，执行步骤D；

D、认证失败，中止认证。

与现有技术相比，本发明的有益效果是：

一、本发明引入匿名代理签名算法，以归属用户服务器为原始签名人，将其签名权即代理授权证书W，经验证后颁发给车载移动单元，车载移动单元利用其获取的隐含其身份信息的签名权(代理授权证书W)生成对移动管理实体匿名的代理签名，并发送至移动管理实体，在步骤B2中，移动管理实体首先对收到的代理签名进行验证，只有通过验证的接入请求才会执行后续的其他请求报文处理，较之现有的由归属用户服务器对所有请求报文先生成认证向量，再进行合法性验证，本方法避免了归属用户服务器和移动管理实体的资源的消耗，避免虚假请求进入归属用户服务器而引起的认证阻塞，从而有效抵抗了拒绝服务攻击，提高了认证效率和系统的可靠性。

二、车载移动单元获取的签名权(代理授权证书W)中隐含有国际移动用户识别码IMSI，归属用户服务器可通过代理签名身份追踪算法恢复出国际移动用户识别码IMSI。也即它利用隐含国际移动用户识别码IMSI的代理签名实现其由车载移动单元至归属用户服务器的秘密传输，并最终由归属用户服务器将其恢复。从而避免了明文传输国际移动用户识别码IMSI，有效解决了IMSI的泄漏问题，提高了认证的安全性。

三、较之现有的EPS‐AKA方法的认证信息无法本地生成，只能由归属用户服务器远程生成，并一次性传输至移动管理实体，多次重认证后，认证信息需要重新生成、重新传输；认证信息在归属用户服务器和移动管理实体间频繁传输。本发明方法中归属用户服务器将主密钥K_ASME发送至移动管理实体，由移动管理实体本地实时动态生成认证信息，避免认证信息的频繁传输，有效减少系统资源消耗，提高了认证效率；随着车载移动单元移动距离的增加，其认证效率优势更加明显。且本发明的主密钥K_ASME动态更新，也降低了车载移动单元长期停留在同一移动管理实体管辖网域时，存在的主密钥K_ASME泄露风险，提高了认证的安全性。

进一步，本发明的步骤A1中，以防碰撞参数r_H、国际移动用户识别码IMSI、归属用户服务器自己的私钥x_H和代理授权书w为输入参数，经过代理授权算法，得到代理授权证书W的具体方法是：

先算出开承诺R,R＝[IMSI×h(x_H||r_H)]·P，其中，h(■)表示哈希运算、‖表示字符串联运算、·表示椭圆曲线上的倍点运算、P表示椭圆曲线的生成元；

再算出代理私钥σ,σ＝h(w)×x_H+IMSI×h(x_H||r_H)；

最后，将代理授权书w、防碰撞参数r_H、公开承诺R、代理私钥σ串联即得到代理授权证书W，即W＝(w||r_H||R||σ)。

由于采用了如上方法计算代理授权证书W，本发明可以将国际移动用户识别码IMSI隐含在代理签名私钥σ中，实现了代理私钥σ与国际移动用户识别码IMSI的绑定，实现车载移动单元身份的追踪性。

更进一步，本发明的步骤A2中，以归属用户服务器的公钥PK_H和代理授权证书W为输入，执行授权验证算法的具体方法为：

验证公式为，σ·P＝R+h(w)·PK_H，如公式两边相等，则验证通过；否则，验证不通过。

更进一步，本发明的步骤B1中“以代理授权证书W、终端临时私钥n、服务网络身份SNID、终端参数N_O、时戳一T₁和归属用户服务器的公钥PK_H为输入参数，执行代理签名生成算法，生成代理签名PS”的具体方法为：

先由终端临时私钥n和归属用户服务器的公钥PK_H，经椭圆曲线的倍点运算，得到车载移动单元与归属用户服务器在椭圆曲线上的共享秘密点(x,y)，即(x,y)＝n·PK_H，其中x和y分别为椭圆曲线上的横坐标和纵坐标；

之后将服务网络身份SNID、时戳一T₁和终端参数N_O串联，得到待签信息m，即 m＝SNID||T₁||N_O；

再利用代理私钥σ对待签信息m进行签名，得到待签信息m的签名pσ,pσ＝(σ+y)×h(m||I||R_rand)+x；

最后，生成代理签名PS,PS＝(w||m||R+y·P||x·P||r_H+x+y||n·P||pσ)。

更进一步，所述的步骤B2中，以归属用户服务器的公钥PK_H、代理签名PS和归属用户服务器的公钥PK_H为输入参数，执行代理签名验证算法的具体方法为：

验证公式为，pσ·P＝[h(m||I||R_rand)×h(w)]·PK_H+h(m||I||R_rand)·R_rand+I，如公式两边相等，则验证通过；否则，验证不通过。

本发明以上生成与验证方法仅需原始签名者的公钥参与，有效降低了验证过程的计算复杂度，提高了认证效率；同时将公开承诺信息随机化，解决了匿名性退化问题，提高了认证的安全性。

更进一步，所述的步骤B3中，以收到的代理签名PS和归属用户服务器自己的私钥x_H为输入参数，执行代理签名追踪算法，得到车载移动单元的国际移动用户识别码IMSI的具体方法为：

先由归属用户服务器自己的私钥x_H和终端临时公钥N，经椭圆曲线的倍点运算，得到车载移动单元与归属用户服务器在椭圆曲线上的共享秘密点(x,y)，即(x,y)＝x_H·N，其中x和y 分别为椭圆曲线上的横坐标和纵坐标；

最后，计算国际移动用户识别码IMSI,IMSI＝(pσ-x)/[h(m||I||R)×h(x_H||r_H)]–(pσ- x)/h(x_H||r_H)。

以上方法，原始签名者从代理签名PS中恢复出代理签名者的身份信息，再实现后续相关认证过程。从而有效解决了现有匿名方法中存在的代理签名者(车载移动单元)身份无法追踪的问题。

下面结合具体实施方式对本发明作进一步的详细说明。

具体实施方式

A、全球用户识别卡(USIM)注册：

A1、归属用户服务器选取一个随机数作为防碰撞参数r_H，随后以防碰撞参数r_H、国际移动用户识别码IMSI、归属用户服务器自己的私钥x_H和代理授权书w为输入参数，经过代理授权算法，得到代理授权证书W，并将代理授权证书W传送至全球用户识别卡(USIM)制卡中心；

所述的以防碰撞参数r_H、国际移动用户识别码IMSI、归属用户服务器自己的私钥x_H和代理授权书w为输入参数，经过代理授权算法，得到代理授权证书W的具体方法是：

先算出开承诺R,R＝[IMSI×h(x_H||r_H)]·P，其中，h(■)表示哈希运算、‖表示字符串联运算、·表示椭圆曲线上的倍点运算、P表示椭圆曲线的生成元；

再算出代理私钥σ,σ＝h(w)×x_H+IMSI×h(x_H||r_H)；

最后，将代理授权书w、防碰撞参数r_H、公开承诺R、代理私钥σ串联即得到代理授权证书W，即W＝(w||r_H||R||σ)。

A2、全球用户识别卡(USIM)制卡中心以归属用户服务器的公钥PK_H和代理授权证书W为输入，执行授权验证算法，若验证通过，则将代理授权证书W写入全球用户识别卡(USIM)，完成注册；再将全球用户识别卡(USIM)安装在车载移动单元中；否则，执行步骤D；

所述的以归属用户服务器的公钥PK_H和代理授权证书W为输入，执行授权验证算法的具体方法为：

验证公式为，σ·P＝R+h(w)·PK_H，如公式两边相等，则验证通过；否则，验证不通过。

非接入层初始认证：

B1、车载移动单元启动并首次接入网络时，先选取一个随机数作为终端临时私钥n,再选取另一个随机数作为终端参数N_O，同时生成时戳一T₁；随后读取全球用户识别卡(USIM)中的代理授权证书W；并以代理授权证书W、终端临时私钥n、服务网络身份SNID、终端参数N_O、时戳一T₁和归属用户服务器的公钥PK_H为输入参数，执行代理签名生成算法，生成代理签名PS；最后，将代理签名PS发送至移动管理实体；

所述的以代理授权证书W、终端临时私钥n、服务网络身份SNID、终端参数N_O、时戳一 T₁和归属用户服务器的公钥PK_H为输入参数，执行代理签名生成算法，生成代理签名PS的具体方法为：

先由终端临时私钥n和归属用户服务器的公钥PK_H，经椭圆曲线的倍点运算，得到车载移动单元与归属用户服务器在椭圆曲线上的共享秘密点(x,y)，即(x,y)＝n·PK_H，其中x和y分别为椭圆曲线上的横坐标和纵坐标；

之后将服务网络身份SNID、时戳一T₁和终端参数N_O串联，得到待签信息m，即m＝SNID||T₁||N_O；

再利用代理私钥σ对待签信息m进行签名，得到待签信息m的签名pσ,pσ＝(σ+y)×h(m||I||R_rand)+x；

最后，生成代理签名PS,PS＝(w||m||R+y·P||x·P||r_H+x+y||n·P||pσ)。

B2、移动管理实体收到代理签名PS后，以归属用户服务器的公钥PK_H、代理签名PS和归属用户服务器的公钥PK_H为输入参数，执行代理签名验证算法；若验证通过，则将代理签名PS 通过安全信道发送至归属用户服务器；否则，执行步骤D；

所述的以归属用户服务器的公钥PK_H、代理签名PS和归属用户服务器的公钥PK_H为输入参数，执行代理签名验证算法的具体方法为：

验证公式为，pσ·P＝[h(m||I||R_rand)×h(w)]·PK_H+h(m||I||R_rand)·R_rand+I，如公式两边相等，则验证通过；否则，验证不通过。

B3、归属用户服务器以收到的代理签名PS和归属用户服务器自己的私钥x_H为输入参数，执行代理签名追踪算法，得到车载移动单元的国际移动用户识别码IMSI，并检索数据库查找对应的车载移动单元与归属用户服务器之间的长期共享密钥K；如检索不成功，则执行步骤 D；

如检索成功，则归属用户服务器选取一随机数作为远程参数N_H，并从代理签名PS中提取终端参数N_O；将国际移动用户识别码IMSI、远程参数N_H、终端参数N_O和长期共享密钥K串联起来，再通过主密钥生成算法，生成主密钥K_ASME；最后将主密钥K_ASME和远程参数N_H通过安全信道发送至移动管理实体；

所述的以收到的代理签名PS和归属用户服务器自己的私钥x_H为输入参数，执行代理签名追踪算法，得到车载移动单元的国际移动用户识别码IMSI的具体方法为：

先由归属用户服务器自己的私钥x_H和终端临时公钥N，经椭圆曲线的倍点运算，得到车载移动单元与归属用户服务器在椭圆曲线上的共享秘密点(x,y)，即(x,y)＝x_H·N，其中x和y 分别为椭圆曲线上的横坐标和纵坐标；

最后，计算国际移动用户识别码IMSI,IMSI＝(pσ-x)/[h(m||I||R)×h(x_H||r_H)]–(pσ- x)/h(x_H||r_H)。

B4、移动管理实体选取一随机数,作为本地参数N_M，再选取一随机数作为终端临时身份 GUTI，并将本地参数N_M、终端临时身份GUTI、收到的主密钥K_ASME、终端参数N_O串联后，分别输入认证密钥生成函数和加密密钥生成函数，得到认证密钥K_A和加密密钥K_E；同时，生成时戳二T₂；随后，移动管理实体将终端参数N_O、时戳二T₂和终端临时身份GUTI串联，连同认证密钥K_A，由消息认证码算法，得到本地认证信息MAC；移动管理实体将自己的身份ID_M、时戳二T₂和终端临时身份GUTI串联，再用加密密钥K_E加密得到密文INF，最后将密文INF、终端临时身份GUTI、本地认证信息MAC，本地参数N_M和收到的远程参数N_H发送至车载移动单元；

B5、车载移动单元读取全球用户识别卡(USIM)中的国际移动用户识别码IMSI，并将国际移动用户识别码IMSI、收到的远程参数N_H、终端参数N_O和长期共享密钥K串联起来，再通过主密钥生成算法，生成主密钥K_ASME；将收到的本地参数N_M、收到的终端临时身份GUTI、主密钥K_ASME、终端参数N_O串联后，分别输入认证密钥生成函数和加密密钥生成函数，得到认证密钥K_A和加密密钥K_E；随后，利用加密密钥K_E解密密文INF获取终端临时身份GUTI和时戳二T₂，再利用认证密钥K_A、终端参数N_O、终端临时身份GUTI和时戳二T₂，验证本地认证信息MAC；

若验证未通过，则执行步骤D；若验证通过，则生成时戳三T₃，并将终端参数N_M、时戳三T₃和终端临时身份GUTI串联，连同认证密钥K_A经消息认证码算法，得到终端认证信息RES；最后，车载移动单元保存主密钥K_ASME和终端临时身份GUTI；并将终端认证信息RES连同时戳三T₃发送至移动管理实体；

B6、移动管理实体收到终端认证信息RES和时戳三T₃后，利用认证密钥K_A、本地参数N_M、终端临时身份GUTI和时戳三T₃验证；若验证通过，则保存主密钥K_ASME和终端临时身份GUTI，完成整个初始认证；否则，执行步骤D；

C、非接入层重认证：

C1、车载移动单元在完成首次接入认证后，随着位置的更新会再次发起认证请求，此时执行重认证过程：车载移动单元选取一个随机数更新终端参数N_O，同时更新生成时戳一T₁；随后将保存的主密钥K_ASME和更新的终端参数N_O连接，通过认证密钥生成函数，得到预认证密钥K_P；再将更新的终端参数N_O、更新的时戳一T₁和保存的终端临时身份GUTI串联，连同预认证密钥K_P经消息认证码算法，得到预认证信息MAC_P；最后将终端临时身份GUTI、终端参数N_O、时戳一T₁和预认证信息MAC_P作为重认证请求发送至移动管理实体；

C2、移动管理实体收到重认证请求后，首先验证时戳一T₁的新鲜性，通过后利用终端临时身份GUTI查询对应的主密钥K_ASME；随后将保存的主密钥K_ASME和收到的终端参数N_O连接，通过认证密钥生成函数，得到预认证密钥K_P；验证预信息MAC_P，若验证通过，则选取一随机数更新本地参数N_M，同时更新生成时戳二T₂，再将保存的主密钥K_ASME、本地参数N_M和收到的终端参数N_O串联，输入主密钥生成函数，得到重认证主密钥再将重认证主密钥本地参数N_M和终端参数N_O串联，分别输入认证密钥生成函数和加密密钥生成函数，得到重认证密钥和重认证加密密钥随后，移动管理实体选取一随机数更新终端临时身份GUTI，并将终端参数N_O、时戳二T₂和终端临时身份GUTI串联，连同重认证密钥经消息认证码算法，得到本地重认证信息MAC；再将移动管理实体自己的身份ID_M、时戳T₂和终端临时身份GUTI串联，用重认证加密密钥加密得到重认证密文INF，最后将重认证密文INF、本地重认证信息MAC，本地参数N_M发送至车载移动单元；

C3、车载移动单元将其保存的主密钥K_ASME、收到的本地参数N_M和终端参数N_O串联，输入主密钥生成函数，得到重认证主密钥按照将重认证主密钥本地参数N_M和终端参数N_O串联，分别输入认证密钥生成函数和加密密钥生成函数，得到重认证密钥和重认证加密密钥随后，车载移动单元利用重认证加密密钥解密重认证密文INF获取终端临时身份GUTI和时戳二T₂；再利用重认证密钥终端参数N_O、终端临时身份GUTI和时戳二T₂验证本地重认证信息MAC；若验证失败，则执行步骤D；

若验证通过，则更新生成时戳三T₃，将终端参数N_M、时戳三T₃和终端临时身份GUTI串联，连同重认证密钥经消息认证码算法，得到终端重认证信息RES，连同时戳三T₃发送至移动管理实体，再用重认证主密钥置换主密钥，并保存主密钥和终端临时身份 GUTI；

C4、移动管理实体，利用重认证密钥本地参数N_M、终端临时身份GUTI和收到的时戳三T₃，验证终端重认证信息RES；若验证通过。用重认证主密钥更新主密钥K_ASME，并保存主密钥K_ASME和终端临时身份GUTI；若验证不通过，执行步骤D。

D、认证失败，中止认证。

仿真实验

对列车运行600千米的整个过程进行matlab仿真。仿真实验所对比的方法为本发明方法、 EPS-AKA方法和方法[1]。其中，EPS-AKA是3GPP制订的LTE标准方法；方法[1]是文献“Improving Security Level of LTE Access Procedure by using Short-lifeShared Key”(Ahmad F, Peradilla M,Saini A,et al.IEICE Transactions onCommunications,2017(5).)的方法。

仿真实验的参数：每隔3KM进行一次位置更新，即重认证；对于EPS-AKA方法和方法[1]，假设每次初始认证生成10个认证向量，当认证向量耗尽时重启初始认证方法。

仿真实验表明：

1、在整个600KM的移动过程中的累积认证时间，本发明方法为78.4ms，EPS‐AKA为83.63ms，方法[1]为178.23ms；本发明方法累积认证时间仅为EPS‐AKA方法的93％，为方法[1]的43％。说明本发明方法的认证效率明显提高。

2、在整个600KM的移动过程中的累积认证通信量，本发明方法为167.28kb，EPS‐AKA 为249.936kb，方法[1]为361.696kb；本发明方法累积认证通信量仅为EPS‐AKA方法的66％，为方法[1]的46％。说明本发明方法的认证通信负担明显降低。

Claims (6)

1.一种基于代理签名的LTE‐R车‐地通信非接入层认证方法，其步骤是：

A、全球用户识别卡(USIM)注册：

A1、归属用户服务器选取一个随机数作为防碰撞参数r_H，随后以防碰撞参数r_H、国际移动用户识别码IMSI、归属用户服务器自己的私钥x_H和代理授权书w为输入参数，经过代理授权算法，得到代理授权证书W，并将代理授权证书W传送至全球用户识别卡(USIM)制卡中心；

A2、全球用户识别卡(USIM)制卡中心以归属用户服务器的公钥PK_H和代理授权证书W为输入，执行授权验证算法，若验证通过，则将代理授权证书W写入全球用户识别卡(USIM)，完成注册；再将全球用户识别卡(USIM)安装在车载移动单元中；否则，执行步骤D；

B、非接入层初始认证：

B1、车载移动单元启动并首次接入网络时，先选取一个随机数作为终端临时私钥n,再选取另一个随机数作为终端参数N_O，同时生成时戳一T₁；随后读取全球用户识别卡(USIM)中的代理授权证书W；并以代理授权证书W、终端临时私钥n、服务网络身份SNID、终端参数N_O、时戳一T₁和归属用户服务器的公钥PK_H为输入参数，执行代理签名生成算法，生成代理签名PS；最后，将代理签名PS发送至移动管理实体；

B2、移动管理实体收到代理签名PS后，以归属用户服务器的公钥PK_H、代理签名PS和归属用户服务器的公钥PK_H为输入参数，执行代理签名验证算法；若验证通过，则将代理签名PS通过安全信道发送至归属用户服务器；否则，执行步骤D；

B3、归属用户服务器以收到的代理签名PS和归属用户服务器自己的私钥x_H为输入参数，执行代理签名追踪算法，得到车载移动单元的国际移动用户识别码IMSI，并检索数据库查找对应的车载移动单元与归属用户服务器之间的长期共享密钥K；如检索不成功，则执行步骤D；

如检索成功，则归属用户服务器选取一随机数作为远程参数N_H，并从代理签名PS中提取终端参数N_O；将国际移动用户识别码IMSI、远程参数N_H、终端参数N_O和长期共享密钥K串联起来，再通过主密钥生成算法，生成主密钥K_ASME；最后将主密钥K_ASME和远程参数N_H通过安全信道发送至移动管理实体；

B4、移动管理实体选取一随机数,作为本地参数N_M，再选取一随机数作为终端临时身份GUTI，并将本地参数N_M、终端临时身份GUTI、收到的主密钥K_ASME、终端参数N_O串联后，分别输入认证密钥生成函数和加密密钥生成函数，得到认证密钥K_A和加密密钥K_E；同时，生成时戳二T₂；随后，移动管理实体将终端参数N_O、时戳二T₂和终端临时身份GUTI串联，连同认证密钥K_A，由消息认证码算法，得到本地认证信息MAC；移动管理实体将自己的身份ID_M、时戳二T₂和终端临时身份GUTI串联，再用加密密钥K_E加密得到密文INF，最后将密文INF、终端临时身份GUTI、本地认证信息MAC，本地参数N_M和收到的远程参数N_H发送至车载移动单元；

B5、车载移动单元读取全球用户识别卡(USIM)中的国际移动用户识别码IMSI，并将国际移动用户识别码IMSI、收到的远程参数N_H、终端参数N_O和长期共享密钥K串联起来，再通过主密钥生成算法，生成主密钥K_ASME；将收到的本地参数N_M、收到的终端临时身份GUTI、主密钥K_ASME、终端参数N_O串联后，分别输入认证密钥生成函数和加密密钥生成函数，得到认证密钥K_A和加密密钥K_E；随后，利用加密密钥K_E解密密文INF获取终端临时身份GUTI和时戳二T₂，再利用认证密钥K_A、终端参数N_O、终端临时身份GUTI和时戳二T₂，验证本地认证信息MAC；

若验证未通过，则执行步骤D；若验证通过，则生成时戳三T₃，并将终端参数N_M、时戳三T₃和终端临时身份GUTI串联，连同认证密钥K_A经消息认证码算法，得到终端认证信息RES；最后，车载移动单元保存主密钥K_ASME和终端临时身份GUTI；并将终端认证信息RES连同时戳三T₃发送至移动管理实体；

B6、移动管理实体收到终端认证信息RES和时戳三T₃后，利用认证密钥K_A、本地参数N_M、终端临时身份GUTI和时戳三T₃验证；若验证通过，则保存主密钥K_ASME和终端临时身份GUTI，完成整个初始认证；否则，执行步骤D；

C、非接入层重认证：

C1、车载移动单元在完成首次接入认证后，随着位置的更新会再次发起认证请求，此时执行重认证过程：车载移动单元选取一个随机数更新终端参数N_O，同时更新生成时戳一T₁；随后将保存的主密钥K_ASME和更新的终端参数N_O连接，通过认证密钥生成函数，得到预认证密钥K_P；再将更新的终端参数N_O、更新的时戳一T₁和保存的终端临时身份GUTI串联，连同预认证密钥K_P经消息认证码算法，得到预认证信息MAC_P；最后将终端临时身份GUTI、终端参数N_O、时戳一T₁和预认证信息MAC_P作为重认证请求发送至移动管理实体；

C2、移动管理实体收到重认证请求后，首先验证时戳一T₁的新鲜性，通过后利用终端临时身份GUTI查询对应的主密钥K_ASME；随后将保存的主密钥K_ASME和收到的终端参数N_O连接，通过认证密钥生成函数，得到预认证密钥K_P；验证预信息MAC_P，若验证通过，则选取一随机数更新本地参数N_M，同时更新生成时戳二T₂，再将保存的主密钥K_ASME、本地参数N_M和收到的终端参数N_O串联，输入主密钥生成函数，得到重认证主密钥再将重认证主密钥本地参数N_M和终端参数N_O串联，分别输入认证密钥生成函数和加密密钥生成函数，得到重认证密钥和重认证加密密钥随后，移动管理实体选取一随机数更新终端临时身份GUTI，并将终端参数N_O、时戳二T₂和终端临时身份GUTI串联，连同重认证密钥经消息认证码算法，得到本地重认证信息MAC；再将移动管理实体自己的身份ID_M、时戳T₂和终端临时身份GUTI串联，用重认证加密密钥加密得到重认证密文INF，最后将重认证密文INF、本地重认证信息MAC，本地参数N_M发送至车载移动单元；

C3、车载移动单元将其保存的主密钥K_ASME、收到的本地参数N_M和终端参数N_O串联，输入主密钥生成函数，得到重认证主密钥按照将重认证主密钥本地参数N_M和终端参数N_O串联，分别输入认证密钥生成函数和加密密钥生成函数，得到重认证密钥和重认证加密密钥随后，车载移动单元利用重认证加密密钥解密重认证密文INF获取终端临时身份GUTI和时戳二T₂；再利用重认证密钥终端参数N_O、终端临时身份GUTI和时戳二T₂验证本地重认证信息MAC；若验证失败，则执行步骤D；

若验证通过，则更新生成时戳三T₃，将终端参数N_M、时戳三T₃和终端临时身份GUTI串联，连同重认证密钥经消息认证码算法，得到终端重认证信息RES，连同时戳三T₃发送至移动管理实体，再用重认证主密钥置换主密钥，并保存主密钥和终端临时身份GUTI；

C4、移动管理实体，利用重认证密钥本地参数N_M、终端临时身份GUTI和收到的时戳三T₃，验证终端重认证信息RES；若验证通过。用重认证主密钥更新主密钥K_ASME，并保存主密钥K_ASME和终端临时身份GUTI；若验证不通过，执行步骤D；

D、认证失败，中止认证。

2.根据权利要求1所述的基于代理签名的LTE‐R车‐地通信非接入层认证方法，其特征在于：所述的步骤A1中，以防碰撞参数r_H、国际移动用户识别码IMSI、归属用户服务器自己的私钥x_H和代理授权书w为输入参数，经过代理授权算法，得到代理授权证书W的具体方法是：

先算出开承诺R,R＝[IMSI×h(x_H||r_H)]·P，其中，h(■)表示哈希运算、‖表示字符串联运算、·表示椭圆曲线上的倍点运算、P表示椭圆曲线的生成元；

再算出代理私钥σ,σ＝h(w)×x_H+IMSI×h(x_H||r_H)；

最后，将代理授权书w、防碰撞参数r_H、公开承诺R、代理私钥σ串联即得到代理授权证书W，即W＝(w||r_H||R||σ)。

3.根据权利要求2所述的基于代理签名的LTE‐R车‐地通信非接入层认证方法，其特征在于：所述的步骤A2中，以归属用户服务器的公钥PK_H和代理授权证书W为输入，执行授权验证算法的具体方法为：

验证公式为，σ·P＝R+h(w)·PK_H，如公式两边相等，则验证通过；否则，验证不通过。

4.根据权利要求2所述的基于代理签名的LTE‐R车‐地通信非接入层认证方法，其特征在于：所述的步骤B1中，以代理授权证书W、终端临时私钥n、服务网络身份SNID、终端参数N_O、时戳一T₁和归属用户服务器的公钥PK_H为输入参数，执行代理签名生成算法，生成代理签名PS的具体方法为：

先由终端临时私钥n和归属用户服务器的公钥PK_H，经椭圆曲线的倍点运算，得到车载移动单元与归属用户服务器在椭圆曲线上的共享秘密点(x,y)，即(x,y)＝n·PK_H，其中x和y分别为椭圆曲线上的横坐标和纵坐标；

之后将服务网络身份SNID、时戳一T₁和终端参数N_O串联，得到待签信息m，即m＝SNID||T₁||N_O；

再利用代理私钥σ对待签信息m进行签名，得到待签信息m的签名pσ,pσ＝(σ+y)×h(m||I||R_rand)+x；

最后，生成代理签名PS,PS＝(w||m||R+y·P||x·P||r_H+x+y||n·P||pσ)。

5.根据权利要求4所述的基于代理签名的LTE‐R车‐地通信非接入层认证方法，其特征在于：所述的步骤B2中，以归属用户服务器的公钥PK_H、代理签名PS和归属用户服务器的公钥PK_H为输入参数，执行代理签名验证算法的具体方法为：

验证公式为，pσ·P＝[h(m||I||R)×h(w)]·PK_H+h(m||I||R)·R+x·P，如公式两边相等，则验证通过；否则，验证不通过。

6.根据权利要求4所述的基于代理签名的LTE‐R车‐地通信非接入层认证方法，其特征在于：所述的步骤B3中，以收到的代理签名PS和归属用户服务器自己的私钥x_H为输入参数，执行代理签名追踪算法，得到车载移动单元的国际移动用户识别码IMSI的具体方法为：

先由归属用户服务器自己的私钥x_H和终端临时公钥N，经椭圆曲线的倍点运算，得到车载移动单元与归属用户服务器在椭圆曲线上的共享秘密点(x,y)，即(x,y)＝x_H·N，其中x和y分别为椭圆曲线上的横坐标和纵坐标；

最后，计算国际移动用户识别码IMSI,IMSI＝(pσ-x)/[h(m||I||R)×h(x_H||r_H)]–(pσ-x)/h(x_H||r_H)。