一种3G-WLAN认证方法 【技术领域】
本发明涉及一种互联网络的认证协议,具体为一种具有主密钥更新机制的第三代移动通信-无线局域网(3rd Generation-Wireless Local AreaNetworks,3G-WLAN)认证方法。
背景技术
EAP-AKA(Extensible Authentication Protocol-Authentication and KeyAgreement,扩展认证密钥协商协议)协议是3G和WLAN互连的认证和密钥分配协议。通过该协议,移动用户可以在WLAN内以较高的速率接入3G网络并访问网络资源。但是,EAP-AKA协议仅实现了移动用户和3G网络的双向认证(参见王鹏,李谢华,陆松年.基于认证测试方法的EAP-AKA协议分析[J].计算机工程与应用,2007,(15)),它缺乏对WLAN接入网络的有效认证,有时还需移动用户用明文传送标识其身份的IMSI(International Mobile SubscriberIdentity Number,国际移动用户识别码),对移动用户和3G网络间的共享密钥也没有更新机制(CHEN Y C,HAO C K,YANG Y W.3G和WLAN融合安全:目前的状态和关键问题[J].网络安全国际期刊,2006;CHEN Y C,HAO CK,YANG Y W.3G and WLAN interworking security:current status and keyissues[J].International Journal of Network Security,2006.)。针对这些问题,本发明提出了一种具有主密钥更新机制的3G-WLAN认证方法。
与本发明相关的现有技术有:EAP-AKA协议的实现是由WLAN UE(WLAN User Entity,无线局域网用户实体)、WLAN AN(WLAN AcessNetworks,无线局域网接入网络)、3GPP AAA(3rd Generation Partnership ProjectAuthentication Authorization Accounting,第三代合作伙伴计划认证、授权、计费服务器)服务器、HSS/HLR(Home Subscriber Server/Home Location Register,归属用户服务器/归属位置寄存器)来完成的(Yao Zhao,Chuang Lin,HaoYin.3G-WLAN融合技术安全认证[C],第二十届先进信息网络与应用国际会议,2006.04,(02):429-436;Yao Zhao,Chuang Lin,Hao Yin.Security Authenticationof 3G-WLAN Interworking[C].Proceedings of the 20th International Conferenceon Advanced Information Networking and Applications,2006.04,(02):429-436)。该协议流程图参见图1。其中,NAI(Network Access Identifier,网络接入标志)包含UE的临时标志(首次认证时,该标志是UE对应的IMSI)和AAA的地址,AV=RAND||XRES||CK||IK||AUTN,AV是认证向量,RAND是随机数,XRES=f2K(RAND),CK=f3K(RAND),IK=f4K(RAND),SQN是序列号,AK=f5K(RAND),AMF是认证管理域,MAC是消息认证码,MAC=f1K(SQN||RAND||AMF),f1~f5是3G安全结构中定义的算法,f1产生消息认证码,f2计算期望响应值,f3产生加密密钥,f4产生完整性密钥,f5产生匿名密钥。通过EAP-AKA协议,UE和3G网络间实现了双向认证,UE和AN间也共享了会话密钥。但是该协议还存在一些安全问题。
EAP-AKA协议缺乏对AN的有效认证,AAA将AN与UE间的会话密钥SK直接以明文发给AN,若攻击者设法攻陷了AN,就可以假冒其身份获得SK,从而使通信过程失去保密性。
当UE首次认证或3G网络不认识其临时标志时,UE需用明文传送IMSI,这样攻击者可以通过窃听等方式获得IMSI,从而导致用户身份信息的泄漏。
EAP-AKA协议缺乏对UE与3G网络间的共享密钥K的更新机制。一旦获得K,攻击者就可以假冒一方完成与另一方的相互认证,然后计算出IK和CK,获得SK,进而就可以获得所有的通信数据,通信过程将长期处于无保护状态,给移动用户和通信网络造成巨大直接或潜在损失。概言之,现有技术互联网接入方法的缺点是:1.存在WLAN AN假冒攻击风险;2.明文传送IMSI导致用户身份信息泄露;3.缺乏UE与3G网络间共享密钥的更新机制。
【发明内容】
针对现有技术的缺点,本发明拟解决的技术问题是,提供一种3G-WLAN认证方法。该认证方法可对WLAN接入网络进行有效认证,对IMSI实现加密保护,并具有主密钥更新机制,实现了UE与3G网络间共享密钥的更新。
本发明解决所述技术问题的技术方案是:设计一种3G-WLAN认证方法,该认证方法在AN与AAA间增设共享密钥KS,UE和AAA之间的共享密钥为K;如UE和AAA之间的共享密钥K不需要更新,则用K加密UE和AAA之间的消息,经AN转发时AN用KS加密AN和AAA之间的消息;当UE和AAA之间的密钥需要更新时,UE就会产生一个新鲜随机数RANDUE作为种子,在UE请求身份信息时,将身份信息连同新产生的种子用K加密后一起发送给AN,经AN转发给AAA,AN与AAA之间的消息用KS加密,由此,UE和3GPP AAA网络各自用该种子计算CKK=f3K(RANDUE)和IKK=f4K(RANDUE),然后从CKK和IKK中生成新的共享密钥K′。
与现有技术相比,本发明针对EAP-AKA协议存在的安全问题对其进行了改进。通过在WLAN AN与3GPP AAA服务器间增设共享密钥KS实现了两者间的相互认证,防止了WLANAN假冒攻击。通过加密传输NAI,实现了对IMSI的加密保护,防止了移动用户身份信息的泄漏。通过引入密钥更新机制,实现了对移动用户和3G网络间的共享密钥的安全更新,用不断变化的密钥使通信过程变得更加安全。
【附图说明】
图1为与本发明认证协议相关的现有技术EAP-AKA协议流程图;
图2为本发明认证协议一种实施例的EAP-AKA协议流程图;
图3为本发明认证协议一种实施例的WLANAN与3GPPAAA服务器间的相互认证流程图;
图4为本发明认证协议一种实施例的WLAN AN与3GPPAAA服务器间的相互认证的串空间示意图。
【具体实施方式】
下面结合实施例及其附图进一步叙述本发明:
本发明设计的3G-WLAN认证方法(简称认证方法)是现有技术认证方法(参见图1)的一种改进方案(参见图2-4)。该改进方案认证方法在AN与AAA间增设共享密钥KS,UE和AAA之间的共享密钥为K;假如UE和AAA之间的共享密钥K不需要更新,则用K加密UE和AAA之间的消息,经AN转发时AN用KS加密AN和AAA之间的消息;当UE和AAA之间地密钥需要更新时,UE就会自动产生一个新鲜随机数RANDUE作为种子,在UE请求身份信息时,将身份信息连同新产生的种子用K加密后一起发送给AN,经AN转发给AAA,AN与AAA之间的消息用KS加密,由此,UE和3GPP AAA网络各自用该种子计算CKK=f3K(RANDUE)和IKK=f4K(RANDUE),然后从CKK和IKK中生成新的共享密钥K′。
本发明所述的新鲜随机数是指当需要密钥更新时,UE随机和临时产生的一个数,该数就是该新鲜随机数。新鲜随机数的随机性和不确定性可以保证更新密钥的安全性。新鲜随机数的产生可以规定一个范围,比如在1~1000之内的数,范围越大,安全性相对越高。
现有技术中也存在加设共享密钥实现对AN的认证的方法,例如,通过在AN与UE间增设共享密钥KS可以实现对AN的认证(参见张胜等,.EAP-AKA协议的分析和改进[J].计算机应用研究,2005,(07),但其每个AN要与多个UE建立共享密钥,而UE具有很强的移动性,这就使共享密钥的更新和管理变得复杂。与现有技术相比,本发明通过在AN与AAA间增设共享密钥KS,实现两者间的相互认证和对会话密钥SK的保密处理,进而有效地防止AN假冒攻击;AN和AAA在网络架构中是相对稳定的,其数量比UE少的多,在它们间设立共享密钥,产生的密钥数量要少的多,从而便于更新和管理。
本发明借鉴会话密钥SK的生成方法提出了UE和3G网络间的共享密钥K的更新机制。用一个新鲜随机数作为种子,UE和3G网络各自用该种子计算CKK=f3K(RANDUE)和IKK=f4K(RANDUE),然后从CKK和IKK中生成新的共享密钥K′,这样不用密钥在信道中传输就实现了对K的安全更新。另外,共享密钥更新机制还对K′的有效性进行了验证,UE通过收到的EK’(RANDUE)验证3G网络生成的K′的有效性,3G网络通过收到的h(K′)验证UE生成的K′的有效性。这样不仅实现了K′的安全更新,还对K′的有效性进行了验证,通过不断变化的密钥,使通信过程变得更加安全。
下面结合实施例进一步详细叙述本发明,具体实施例不构成对本发明权利要求的限制。
本发明认证协议中,ADDR3G表示AAA的地址,TMSI和TMSIN分别表示UE的临时标志和新临时标志,ES(M)表示用密钥S加密M,h(M)表示对M进行散列运算,[...]是对共享密钥K的更新操作。下面对该方案进行详细说明,其中,对K的更新操作用黑括号【】加以强调:
1.AN向UE发送EAP请求/身份标志消息,开始认证和密钥分配过程。
2.UE从NAI中提取出AAA的地址,【若需更新K,产生随机数RANDUE,用其计算CKK和IKK,再从CKK和IKK中生成K′,】然后将该地址和计算出的EK([RANDUE]||NAI)发给AN。
3.AN产生随机消息MAN和随机数RANDAN,生成MAN||EKs(RANDAN||MAN),然后将其与EK([RANDUE]||NAI)一起发送给相应的AAA。
4.AAA从EKs(RANDAN||MAN)中解密出RANDAN和MAN,将MAN与收到的明文MAN比较,若相等,实现对AN的认证,否则终止认证。解密EK([RANDUE]||NAI),从NAI中提取出UE的临时标志发给HSS,并向其询问该用户的权限。
5.HSS/HLR将与用户相关的认证向量AV和新临时标志发给AAA。
6.AAA存储AV,从IK和CK中生成会话密钥SK。【用RANDUE计算CKK和IKK,再从CKK和IKK中生成K′,并计算EK’(RANDUE)。】然后,将RAND、AUTN、UE的新临时标志、计算出的MAC、RANDAN【和EK’(RANDUE)】发给AN。
7.AN将收到的RANDAN与自己之前产生的RANDAN比较,若相等,实现对3G网络的认证,否则终止认证。最后,将收到的其他信息发给UE。
8.UE验证AUTN和SQN,若正确,实现对3G网络的认证,否则终止认证。验证MAC,保存收到的临时标志。计算IK和CK,从IK和CK中生成SK。【从EK’(RANDUE)中解密出RANDUE,将其与自己之前产生的RANDUE比较,若相同,表明3G网络生成的K′有效,并计算h(K′)。】最后,将计算出的RES、XMAC【和h(K′)】发给AN。
9.AN将收到的消息发给AAA。
10.AAA验证XMAC,将收到的RES与XRES比较,若正确,实现对UE的认证,否则终止认证。【对K′进行散列运算,将结果与收到的h(K′)比较,若相同,表明UE生成的K′有效。】最后,将EAP成功消息、计算出的EKs(SK)【和K更新成功消息】发给AN。
11.AN用KS解密EKs(SK),并保存结果SK,然后将EAP成功消息【和K更新成功消息】发给UE。
上述流程完成后,若K更新成功,UE和AAA分别将K更新为K′。
本发明认证协议AN与AAA间的相互认证执行流程或步骤(参见图3):
AN用Ks加密RANDAN发给AAA,这样只有合法的AAA才能解密出RANDAN并将其发送回来,AN一旦收到RANDAN就实现了对AAA的认证。AAA收到AN发来的明文MAN和用Ks加密MAN的密文,从密文中解密出MAN,并将其与收到的明文MAN比较,若相同,即说明AN拥有正确的会话密钥Ks,从而实现了对AN的认证。另外,AAA对SK先用KS加密后再发给AN,这就对SK进行了加密保护,只有合法的AN才能获得SK,从而防止了AN假冒攻击。
本发明认证协议是通过以下流程或步骤实现对IMSI的加密保护的:
移动用户在WLAN网络为避免以明文传输IMSI,UE发送NAI前,先从NAI中提取出AAA的地址(用于将加密后的NAI发给正确的AAA),再用与AAA的共享密钥K加密NAI,然后将加密后的NAI通过AN发给AAA,只有合法的AAA才能正确解密。若NAI含有IMSI,这就对IMSI进行了加密保护,避免了移动用户身份信息的泄漏。
本发明认证协议的复杂度分析:
与现有的EAP-AKA协议相比,本发明认证协议没有增加消息传递的次数,在保持原有效率和安全性的基础上,仅以生成随机数、单钥加解密和散列运算产生的较小的运算量为代价,就实现了对WLAN接入网络的有效认证、对IMSI的加密保护以及对移动用户和3G网络间的共享密钥K的安全更新。现有EAP-AKA协议和本发明改进方案认证协议的性能对比列于表1,以方便参考。
表1现有EAP-AKA协议和本发明改进方案认证协议的性能对比
本发明认证协议的形式化证明:
本发明认证协议通过串空间模型和认证测试方法对AN与AAA间的相互认证进行形式化证明。用an代表AN,用3g代表AAA(参见图4)。
an串和轨迹:Init[RANDAN,MAN]={+MAN||EKs(RANDAN||MAN),-RANDAN}。
3g串和轨迹:Resp[RANDAN,MAN]={-MAN||EKs(RANDAN||MAN),+RANDAN}。
令C为串空间的簇。Ks是AN与AAA间的会话密钥,,Kp为攻击者密钥集。
AN对AAA的认证:
构造测试分量,an串=Init[RANDAN,MAN]={+MAN||EKs(RANDAN||MAN),-RANDAN},由于随机数RANDAN唯一产生于<an,1>,则MAN||EKs(RANDAN||MAN)是RANDAN的测试分量。从图4中可以看出,<an,1>=>+<an,2>是RANDAN的出测试。
应用认证测试规则1得,存在正常结点m,m′∈C,term(m)=MAN||EKs(RANDAN||MAN),并且m=>+m′是RANDAN的转换边。
由上一步可得,m为负结点,因此m为某个3g串3g′=Resp[RANDAN′,MAN′]中的结点,且m=<3g′,1>,则term(<3g′,1>)=MAN ||EKs(RANDAN||MAN)。
比较3g和3g′串中的内容,可得RANDAN=RANDAN′,MAN=MAN′,则3g=3g′,从而实现了AN对AAA的认证。
AAA对AN的认证:
构造测试分量,3g串=Resp[RANDAN,MAN]={-MAN||EKs(RANDAN||MAN),+RANDAN},由于随机消息MAN唯一产生于<an,1>,MAN||EKs(RANDAN||MAN)是MAN在<3g,1>中的测试分量,则<3g,1>构成测试量MAN的主动测试。
由于,应用认证测试规则3,MAN||EKs(RANDAN||MAN)只能产生于C的正常节点m。
由上一步得,m为正结点,则m必为某个an串an′=Init[RANDAN′,MAN′]中的结点,且m=<an′,1>,term(<an′,1>)=MAN||EKs(RANDAN ||MAN)。
比较an和an′串的内容,可得RANDAN=RANDAN′,MAN=MAN′,则an=an′,从而实现了AAA对AN的认证。
本发明未述及之处适用于现有技术。