一种基于公钥密码体制的LTE无线网络的安全认证方法.pdf

本发明公开了一种基于公钥密码体制的LTE无线网络的安全认证方法，首先为参与AKA流程的实体UE、MME等分配了公钥证书，然后改进了EPS AKA协议的流程，使用公钥密码体制加密，同时取消了原有协议的序列号SQN机制，改用随机数应答的方式进行认证，最后对鉴权向量AV向量的计算进行了简化，取消了原有的消息认证码(MAC)、预期响应(XRES)和认证令牌(AUTN)等参数。本发明提供的方法增强了EPS AKA协议的安全性，提高了其可扩展性；本发明提供的方法具有较高的灵活性，随着LTE技术的发展，本发明能够应用于多个场合，尤其适用于安全要求高的LTE企业专网，如电力无线专网。

权利要求书1.  一种基于公钥密码体制的LTE无线网络的安全认证方法，其特征在于：包括以下步骤：步骤1：UE向MME发起访问请求；请求中包含UE的HSS标识IDHSS、用MME公钥PKM加密的IMSI和R1，其中R1是UE生成的随机数；步骤2：MME收到UE的访问请求消息后，解密得到IMSI和随机数R1，根据IDHSS向UE对应的HSS发送认证请求，请求中包含用MME与HSS共享的对称密钥K0加密的IMSI、随机数R1以及MME自身的网络标识SNID；步骤3：HSS收到MME发送的认证请求后，解密获得IMSI、R1和SNID，随后HSS检查自己的数据库，验证IMSI和SNID的合法性；若验证通过，HSS就生成随机数RAND，与随机数R1一同作为输入产生由鉴权向量AV组成的鉴权向量组{AV1、AV1……AVn}，其中n表示生成鉴权向量AV的个数；然后用密钥K0加密鉴权向量组{AV1、AV1……AVn}，并作为应答信息发送给MME；步骤4：MME收到HSS发送的应答信息后，解密得到鉴权向量组{AV1、AV1……AVn}，然后MME检查鉴权向量组并从鉴权向量组中选取一个鉴权向量AVi，随后提取鉴权向量AVi里面的数据，给鉴权向量AVi中的基础密钥KASMEi分配一个密钥标识KSIASMEi；然后，MME向UE发起用户认证请求，请求中包含用UE的公钥PKU加密的鉴权向量AVi、R1和R2，其中R2是MME生成的随机数；下标i表示鉴权向量组中鉴权向量AV的标号；步骤5：UE收到MME发送的用户认证请求后，解密得到鉴权向量AVi、R1和R2，然后UE验证R1的正确性；验证通过后向MME发送请求响应消息，消息中包含用MME的公钥PKM加密的随机数R2；步骤6：MME收到UE发送的请求响应消息后，解密并验证R2的正确性；验证通过后，MME与UE选择一个KASMEi作为基础密钥，根据密钥推导函数KDF衍生出后继通信使用的加密密钥CKi和完整性保护密钥IKi，至此完成整个安全认证。2.  根据权利要求1所述的基于公钥密码体制的LTE无线网络的安全认证方法，其特征在于：所述鉴权向量AV包括HSS就生成随机数RAND，基础密钥KASME和MME自身的网络标识SNID；所述鉴权向量AV表示为：AV＝RAND||KASME||SNID。3.  根据权利要求1或2所述的基于公钥密码体制的LTE无线网络的安全认证方法， 其特征在于：所述基础密钥KASME通过密钥构造函数KDF计算获得；所述计算公式为：KASME＝KDF(f3K(RAND)||f4K(RAND),S)；式中，函数f3用于生成初始加密密钥CK，函数f4用于生成初始完整性保护密钥IK，式中的下标K表示使用共享密钥K作为函数输入，CK和IK是KDF的输入，RAND为HSS就生成随机数，S为输入的字符组；S包括以下参数：FC、P0、L0、P1、L1；所述FC是一个八位字节，用于区分不同的算法；P0表示SNID的值；L0为P0的长度值，P1＝AK⊕R1，L1为P1的长度值，其中符号⊕表示异或，AK为匿名密钥。

说明书一种基于公钥密码体制的LTE无线网络的安全认证方法
技术领域
发明涉及信息安全技术，特别涉及一种基于公钥密码体制的LTE无线网络的安全认证方法。
背景技术
目前移动通信系统已经演进到第四代，也被称为4G，其主流技术主要有LTE和802.16m两种。LTE是由3GPP组织制定的，它采用了多种先进的通信技术，可以在20MHz频谱带宽内提供下行100Mbit/s和上行50Mbit/s的峰值速率，数据传输速率高，时延低，能够满足宽带移动通信市场需求，当前已被世界上大部分运营商采用。
与此同时，移动通信系统的信息安全也越发引起人们的重视。为了应对可能的各种威胁，LTE在传统3G通信系统的基础上进行了改进，采用了双层的安全架构，并实现了用户和网络的双向认证，大大提高了安全性。在无线认证方面，LTE采用了3GPP建议的认证与密钥协商协议(下文简称EPS AKA)，它相比传统3G AKA安全性有了较大的改进和提升，比如增加了对服务网络的认证，以防止假冒服务网络攻击；采用了独立的序列号机制，以防止重放攻击等。但通过进一步研究发现，EPS AKA仍然存在一些安全问题：
(1)认证与加密过程都依赖于根密钥K，安全性不够高。在EPS AKA协议中，密钥K一直保持不变，而且对内部人员来说比较容易获取，一旦泄露就无法保证安全性。
(2)LTE采用了对称密码体制，在安全关联建立之前UE和网络的信息很难得到保护，因此IMSI、SNID和AV向量等关键信息的保护问题始终得不到较好的解决。
(3)LTE采用了对称密码体制，可扩展性差，并且不能提供不可否认业务，无法满足一些企业专网的需要。
针对LTE认证和密钥协商协议存在的安全问题，已经有不少文献做了研究。有一些方案仍坚持采用对称密码体制，比如采用AES加密来实现用户和网络接入层之间的认证和密钥协商，但这些方案往往与EPS AKA协议有同样的问题，即无法防止用户ID的泄露和欺骗攻击，并且其扩展性也不够好。另外有一些方案则引入了公钥密码体制来克服EPS AKA协议的缺点，采用公钥密码体制增强了协议的安全性，但对资源有限的移动设备来说，这往往会引起较大的花费，并且公钥基础设施的建立也需要大量的投入。
发明内容
发明目的：本发明的目的在于针对现有技术的不足，提供了一种有效简化了认证过程，增强了协议的安全性，提高了灵活性的基于公钥密码体制的LTE无线网络的安全认证方法。
技术方案：本发明提供了一种基于公钥密码体制的LTE无线网络的安全认证方法，包括以下步骤：
步骤1：用户设备(下文简称为UE)向移动管理实体(下文简称为MME)发起访问请求；请求中包含UE的归属用户服务器(下文简称为HSS)标识IDHSS、用MME公钥PKM加密的IMSI和R1，其中R1是UE生成的随机数；
步骤2：MME收到UE的访问请求消息后，解密得到IMSI和随机数R1，根据IDHSS向UE对应的HSS发送认证请求，请求中包含用MME与HSS共享的对称密钥K0加密的IMSI、随机数R1以及MME自身的网络标识SNID；
步骤3：HSS收到MME发送的认证请求后，解密获得IMSI、R1和SNID，随后HSS检查自己的数据库，验证IMSI和SNID的合法性；若验证通过，HSS就生成随机数RAND，与随机数R1一同作为输入产生由鉴权向量AV组成的鉴权向量组{AV1、AV1……AVn}，其中n表示生成鉴权向量AV的个数；然后用密钥K0加密鉴权向量组{AV1、AV1……AVn}，并作为应答信息发送给MME；
步骤4：MME收到HSS发送的应答信息后，解密得到鉴权向量组{AV1、AV1……AVn}，然后MME检查鉴权向量组并从鉴权向量组中选取一个鉴权向量AVi，随后提取鉴权向量AVi里面的数据，给鉴权向量AVi中的基础密钥KASMEi分配一个密钥标识KSIASMEi；然后，MME向UE发起用户认证请求，请求中包含用UE的公钥PKU加密的鉴权向量AVi、R1和R2，其中R2是MME生成的随机数；其中下标i表示鉴权向量组中鉴权向量AV的标号；
步骤5：UE收到MME发送的用户认证请求后，解密得到鉴权向量AVi、R1和R2，然后UE验证R1的正确性；验证通过后向MME发送请求响应消息，消息中包含用MME的公钥PKM加密的随机数R2；
步骤6：MME收到UE发送的请求响应消息后，解密并验证R2的正确性；验证通过后，MME与UE选择一个KASMEi作为基础密钥，根据密钥推导函数KDF衍生出后继通信使用的加密密钥CKi和完整性保护密钥IKi，至此完成整个安全认证。
进一步，所述鉴权向量AV包括HSS就生成随机数RAND，基础密钥KASME和MME自身的网络标识SNID；所述鉴权向量AV表示为：
AV＝RAND||KASME||SNID。
这样简化了鉴权向量AV，有效的简化了安全认证的过程，降低了安全认证的成本，同时改用随机数应答的方式进行认证，也有效的增加了安全性。
进一步，所述基础密钥KASME通过密钥构造函数KDF计算获得；所述计算公式为：
KASME＝KDF(f3K(RAND)||f4K(RAND),S)；
式中，函数f3用于生成初始加密密钥CK，函数f4用于生成初始完整性保护密钥IK，式中的下标K表示使用共享密钥K作为函数输入，CK和IK是KDF的输入，RAND为HSS就生成随机数，S为输入的字符组；S包括以下参数：FC、P0、L0、P1、L1；所述FC是一个八位字节，用于区分不同的算法；P0表示SNID的值；L0为P0的长度值，P1＝AK⊕R1，L1为P1的长度值，其中符号⊕表示异或，AK为匿名密钥。在其密钥构造函数KDF的输入字符S中，用随机数R1取代了原来的序列号SQN，有效保证了KASME的新鲜性。
工作原理：本发明首先为参与AKA流程的实体UE、MME等分配了公钥证书，然后改进了EPS AKA协议的流程，使用公钥密码体制加密，同时取消了原有协议的序列号SQN机制，改用随机数应答的方式进行认证，最后对鉴权向量AV向量的计算进行了简化，取消了原有的消息认证码(MAC)、预期响应(XRES)和认证令牌(AUTN)等参数。
有益效果：与现有技术相比，本发明提供的方法增强了EPS AKA协议的安全性，提高了其可扩展性；本发明提供的方法具有较高的灵活性，随着LTE技术的发展，本发明能够应用于多个场合，尤其适用于安全要求高的LTE企业专网，如电力无线专网。
附图说明
图1：为实施例1的工作流程图；
图2：为基础密钥KASME的生成流程图。
具体实施方式
下面结合附图对技术方案作详细说明：
实施例1
如图1所示，本发明中改进协议的认证与密钥协商过程。参与认证与密钥协商的实体有三个：UE、MME和HSS。K表示UE和HSS之间的共享密钥，K0表示MME与HSS之间预先共享的对称密钥，PKU和PKM分别表示UE和MME的公钥，PKU-1，PKM-1分别表示UE和MME的私钥。
采用本发明提供的方法进行安全认证的具体步骤为：
(1)UE向MME发起访问请求。请求中包含UE的HSS标识IDHSS、用MME公钥PKM加密的IMSI和R1。其中，R1是UE生成的随机数，用来进行身份验证和参与生成密钥。
(2)MME收到UE的访问请求消息后，解密得到IMSI和随机数R1，然后根据IDHSS向UE对应的HSS发送认证请求，请求中包含用MME与HSS共享的对称密钥K0加密的IMSI、随机数R1以及自身的网络标识SNID。
(3)HSS收到MME发送的认证请求后，解密获得IMSI、R1和SNID，随后HSS检查自己的数据库，验证IMSI和SNID的合法性；若验证通过，HSS就生成随机数RAND，与随机数R1一同作为输入产生由鉴权向量AV组成的鉴权向量组{AV1、AV1……AVn}，其中n表示生成鉴权向量AV的个数；然后用密钥K0加密鉴权向量组{AV1、AV1……AVn}，并作为应答信息发送给MME。
其中，鉴权向量AV包括HSS就生成随机数RAND，基础密钥KASME和MME自身的网络标识SNID；所述鉴权向量AV表示为：
AV＝RAND||KASME||SNID。
基础密钥KASME通过密钥构造函数KDF计算获得；计算公式为：
KASME＝KDF(f3K(RAND)||f4K(RAND),S)；
式中，函数f3用于生成初始加密密钥CK，函数f4用于生成初始完整性保护密钥IK，式中的下标K表示使用共享密钥K作为函数输入，CK和IK是KDF的输入，RAND为HSS就生成随机数，S为输入的字符组；S包括以下参数：FC、P0、L0、P1、L1；所述FC是一个八位字节，用于区分不同的算法；P0表示SNID的值；L0为P0的长度值，P1＝AK⊕R1，L1为P1的长度值，其中符号⊕表示异或，AK为匿名密钥。
AK的计算公式为：
AK＝f5K(RAND)；
其中，函数f5用于计算AK，公式中的下标K表示使用共享密钥K作为函数输入RAND为HSS就生成随机数。上述函数f3、f4和f5是原EPS AKA协议生成AV向量所用函数。MME最好一次向HSS仅申请获取一个鉴权向量AV，以减少认证过程中产生的流量。
(4)解密得到鉴权向量组{AV1、AV1……AVn}，然后MME检查鉴权向量组并从鉴权向量组中选取一个鉴权向量AVi，随后提取鉴权向量AVi里面的数据，给鉴权向量AVi中的基础密钥KASMEi分配一个密钥标识KSIASMEi；然后，MME向UE发起用户认证请求，请求中包含用UE的公钥PKU加密的鉴权向量AVi、R1和R2，其中R2是MME生成的随机数；用来进行身份验证，下标i表示鉴权向量组中鉴权向量AV的标号。
(5)UE收到MME发送的用户认证请求后，解密得到鉴权向量AVi、R1和R2，然后UE验证R1的正确性；验证通过后向MME发送请求响应消息，消息中包含用MME的公钥PKM加密的随机数R2。
(6)ME收到UE发送的请求响应消息后，解密并验证R2的正确性；验证通过后，MME与UE选择一个KASMEi作为基础密钥，根据密钥推导函数KDF衍生出后继通信使用的加密密钥CKi和完整性保护密钥IKi，至此完成整个安全认证。
采用这种方法进行的安全认证，在降低了安全认证的成本的同时也有效增强了协议的安全性。