可证明安全的异构无线网络认证协议.doc

第11期李亚晖等：可证明安全的异构无线网络认证协议27可证明安全的异构无线网络认证协议李亚晖1，李凤华1,2，杨卫东1，马建峰1（1西安电子科技大学 计算机网络与信息安全教育部重点实验室，陕西 西安 710071；2北京电子科技学院，北京 100070）摘 要：异构无线网络中互连的安全问题是当前研究的关注点，针对3G网络和WLAN(无线局域网)所构成的异构互连网络中认证协议的安全和效率问题，提出了一种基于离线计费方法的认证协议。该协议通过对WLAN服务网络身份进行验证，抵御了重定向攻击的行为；采用局部化重认证过程，减少了认证消息的传输延时，提高了认证协议的效率。仿真结果表明，该协议的平均消息传输延时相对于EAP-AKA协议缩短了大约一半。通过Canetti-Krawczyk（CK）安全模型对新协议进行了安全性证明，证明该协议具有SK-secure安全属性。关键词：通用移动通信系统；无线局域网；会话密钥；扩展认证密钥协商协议中图分类号：TP309 文献标识码：A 文章编号：1000-436X(2007)11-0021-09Provably secure authentication protocol for heterogeneous wireless networksLI Ya-hui1, LI Feng-hua1,2, YANG Wei-dong1, MA Jian-feng1(1. Ministry of Education Key Laboratory of Computer Networks and Information Security, Xidian University, Xian 710071, China;2. Beijing Electronic Science and Technology Institute, Beijing 100070, China)Abstract: Security of heterogeneous wireless networks has attracted the attention of researchers. Considering security and efficiency problems on EAP-AKA protocol in the 3G-WLAN interworking networks, an authentication protocol based on a way of offline billing was proposed. It verified the identity of WLAN access network to prevent the re-direction attack, and used the localized authentication mechanism to reduce the message transmission delay and improve the efficiency of reauthentication process. Simulation results show that the average message transmission delay of the proposed protocol is about half shorter than that of EAP-AKA. By analyzing the security of the proposed protocol with Canetti-Krawczyk（CK）model, it proves that the proposed protocol satisfy the definition of Session Key security defined in the CK model. Key words: UMTS; WLAN; session key; EAP-AKA1 引言收稿日期：2007-07-11；修回日期：2007-10-16基金项目：国家自然科学基金资助项目（60633020,60573036）；北京电子科技学院信息安全与保密重点实验室资助项目（KYKF200604）Foundation Items: The National Natural Science Foundation of China (60633020, 60573036); The Key Laboratory of Information Security and Secrecy of Beijing Electronic Science and Technology Institute(KYKF 200604)随着无线网络的发展和普及，异构无线网络已经受到越来越多的关注。异构无线网络的一个典型例子是通用移动通信系统（UMTS, universal mobile telecommunications system）与无线局域网(WLAN)的融合网络。3GPP（3rd generation partnership project）针对WCDMA与WLAN互连提出了2种完全不同的方案：“紧耦合互连”和“松耦合互连”1。前者将WLAN无线接口作为WCDMA的承载者，所有WLAN都要通过WCDMA核心网，但是重新配置过于复杂，费用也太昂贵，导致紧耦合互连缺乏竞争力。松耦合机制允许WLAN绕过WCDMA核心网和接口，通过WLAN网关直接接入核心IP网络，这种连接机制将WLAN和WCDMA数据链路完全分开，避免了修改链路层。在松耦合中仅需要3GPP执行认证方法，在链路层上通过扩展认证协议和AAA进行认证。3GPP提出的EAP-AKA协议2用在3G-WLAN中实现3G移动用户利用WLAN网络接入3G网络的身份认证和密钥交换。由于在EAP-AKA协议的快速重认证过程中，需要将认证消息发送到移动用户的归属网络才能进行认证和计费，所以重认证过程的延时较大，影响了移动用户在WLAN中漫游切换和密钥更新机制的性能。在EAP-AKA协议中，由于移动用户没有对WLAN接入网络的身份进行验证，所以可能存在假冒接入网络3的Re-direction攻击行为。本文的主要工作为：对WCDMA和WLAN互连的松耦合方式下的认证协议进行分析和研究，提出了一种基于共享密钥的接入认证协议（LFSA，localized fast signature authentication），利用HMAC4算法的二次签名技术实现离线计费机制；文献5提出了在WCDMA和WLAN互连网络中进行局部化认证的需求，因而LFSA协议对移动用户实现了在WLAN中的局部重认证过程；LFSA协议对WLAN访问网络的身份进行了验证，有效地抵抗了Re-direction攻击行为；利用CK安全模型6对该协议进行安全分析时，提出了一种新的基于三方的认证器，证明该协议满足SK安全属性；利用NS2仿真工具对该协议进行性能仿真，结果表明性能明显优于EAP-AKA协议。本文对涉及到的WCDMA中的密码算法没有进行修改，在后面文章中计算会话密钥和消息认证码时，不再提及具体的密码算法。2 CK模型及相关知识本文后面用到的2个符号的含义为：表示n从集合S中随机选择；oracle表示一个预言机模型。定义1 (可忽略)7：称函数是可忽略的，若对于任意的多项式p()，存在一个，使得对有：。定义2 （多项式时间不可区分性）8：称和两个样本空间是多项式时间不可区分的，若对于每个概率多项式时间算法D，是可忽略的。多项式时间不可区分性也称为计算不可区分性。CK模型是用于形式化分析密钥交换协议的工具6。该模型通过模块化的方法来设计和分析密钥交换协议，以简化协议的安全设计与安全分析。它采用不可区分性的概念定义安全性9：在允许的攻击能力下，如果攻击者不能够区分协议产生的密钥和一个独立的随机数，则称该密钥交换协议是安全的。定义3 会话密钥安全（SK-secure）：如果对于非认证链路攻击模型（UM，unauthenticated-links model）中任何密钥交换（KE，key exchange）对手，协议能够满足下列2条性质，则称该协议在UM 中是会话密钥安全的： 如果2个未被攻陷的参与者完成了匹配的会话，它们将输出相同的会话密钥； 进行测试会话查询，它猜中会话输出值b的概率不超过0.5+，其中为安全参数下可忽略的概率。如果上述性质对于任何认证链路模型（AM，authenticated-links model）中的KE对手是满足的，则协议在AM中是会话密钥安全的。定理1 设在AM中是SK-secure（无PFS安全属性）密钥交换协议，是一个MT-authenticator，则在UM中是SK-secure（无PFS安全属性）密钥交换协议。定义4 如果一个密钥交换协议对于UM中的所有攻击者都是SK-secure的，并且该协议不允许会话密钥过期，那么它就是一个不提供PFS的SK-secure的密钥交换协议。3 离线计费机制3.1 快速签名机制本文采用快速签名方法实现了3G用户在WLAN环境中的离线计费机制。无线局域网的用户设备（WLAN UE）生成计费信息，并利用实时会话密钥、3G共享密钥对计费信息和自己的身份信息进行快速签名，确保计费信息的可验证性。3G移动用户在WLAN中使用网络时，需要将自己的身份信息SI（subscriber identity）保密，这个身份信息可以是IMSI（international mobile subscriber identity），因此可以采用散列运算防止WLAN管理员获知其身份。3G移动用户与WLAN管理员协商网络使用信息UI（usage information）（如网络计费标准等），为了防止使用信息泄漏，同样采用散列运算进行隐蔽保护。WLAN UE利用会话密钥进行快速签名，可以让WLAN管理员对计费信息进行验证，但无法获得用户的身份信息。WLAN UE利用与3G网络预共享的密钥进行快速签名，可以让3G管理员验证计费信息，并防止WLAN管理员修改计费信息。快速签名机制的主要流程如图1所示。图1 快速签名机制3.2 快速签名的计费过程快速签名的计费过程：由WLAN UE计算签名信息，然后交给无线局域网访问网络（WLAN AN）做验证，提交给3G网络作为计费信息，如图2所示。图2 快速签名的计费过程快速签名的计费过程描述如下：1) WLAN UE生成计费签名信息DS，计算后，以WLAN UE和WLAN AN之间的会话密钥作为加密密钥，采用AES算法进行加密，生成DE；2) WLAN UE利用其与3G网络的共享密钥作为加密密钥，将会话密钥用AES算法进行加密，生成KE；3) WLAN UE将DE、KE、SDS、UI、SIMD等信息发送给WLAN AN；4) WLAN AN按照图1所示的流程计算，并验证是否与接收到的SDS相同，如相同则验证通过；5) 当WLAN AN通过验证后，就将DE、KE发送给3G管理员；6) 当3G管理员收到DE和KE后，利用解密KE获得，然后利用解密DE获得DS、SI和UIMD；7) 3G管理员按照图1所示的流程计算，并验证是否与解密所得的DS相同，如果相同，则通过对用户身份和使用信息的验证。4 认证协议LFSA由于EAP-AKA协议目前存在效率和安全问题，本文提出了LFSA协议，结合快速签名方法形成离线计费机制，实现了对WLAN AN身份的验证；采用3G用户局部化重认证过程，有效地提高了3G-WLAN互连网络接入过程的安全性和效率。4.1 LFSA协议LFSA协议是对EAP-AKA协议的改进，它结合了快速签名、双向认证和离线计费等安全机制。在LFSA协议中，WLAN AN和3G网络之间采用RADIUS作为底层协议，并利用IKE协议进行密钥协商，采用IPSec保护消息的机密性和完整性2。LFSA协议的消息流程如图3所示，流程中给出了消息发送的内容。图3 LFSA协议的认证消息流程图3说明如下：1) RAND是由3G网络产生的认证向量中的随机数，每个认证向量都会有一个新的随机数，用于计算会话密钥；2) AUTH是由3G网络产生的认证向量中的认证数据，WLAN UE需要利用与3G网络共享的长期密钥来验证该数据的正确性；3) MAC是每条消息的消息验证码，消息的接收者通过该消息验证码鉴别消息的完整性；4) UMAC是WLAN AN身份的验证码，由WLAN UE利用与3G网络共享的长期密钥计算；5) Nonce是由WLAN UE和WLAN AN产生的随机数，用于解决WLAN AN身份验证码的重放攻击问题；6) XRES是由3G网络生成的认证码，用于验证WLAN UE的身份；7) RES是由WLAN UE生成的认证码，它与3G网络计算的XRES比较，用于验证WLAN UE的身份；8) SK是由3G网络生成的会话密钥，发送给WLAN AN，用于建立WLAN UE和WLAN AN之间的会话安全通道；9) Token是由WLAN UE利用会话密钥、与3G网络共享的长期密钥计算产生关于网络费用信息的认证令牌，用于WLAN AN与3G网络之间的计费信息验证。4.2 WLAN内的LFSA的快速重认证流程移动用户在WLAN网络内部进行快速漫游切换和会话密钥更新时，采用LFSA的快速重认证过程进行身份认证，能够有效地减少消息传输延时。LFSA的快速重认证过程只需要在WLAN网络内进行局部认证，可以快速高效地实现AP的切换和会话密钥的更新。LFSA的快速重认证消息流程如图4所示，流程中给出了消息发送的内容。图4 LFSA协议重认证消息流程4.3 WLAN间的LFSA认证当WLAN UE在不同的WLAN网络之间进行漫游切换时，由于临时的会话密钥都已分配给了旧的WLAN AN，所以在接入新的WLAN AN时，需要进行一次LFSA的全认证过程。在全认证过程中，新的WLAN AN会从3G AAA服务器处获得新的会话密钥和身份信息等，为WLAN UE在新的WLAN AN中移动漫游提供快速重认证功能。5 LFSA认证协议的分析LFSA认证协议主要由2个部分组成：LFSA在线认证、授权过程；采用快速签名的离线计费机制。LFSA的在线认证、授权过程是对EAP-AKA协议的一种改进，将重认证功能由3G网络前推到了WLAN的访问网络。由于3G网络和WLAN网络之间采用RADIUS等协议来保障相互的安全信任关系，所以可以通过WLAN AN实现对WLAN UE的认证和授权。5.1 抗Re-direction攻击在LFSA协议中，针对EAP-AKA协议可能存在的Re-direction攻击，在协议认证过程中间的3条消息中，引入了利用用户与3G网络之间共享的长期密钥对接入网络WLAN AN的身份进行验证，以保证3G网络与用户之间对WLAN AN身份的一致性。在图3的第5条和第6条消息中，各携带了随机数和，用来防止WLAN AN的身份验证码的重放攻击。第7条消息中，WLAN AN将、和发送给3G网络。3G网络接收到消息后，验证的正确性。当通过验证后，就表明3G网络与WLAN UE所持有的关于WLAN AN的身份是相同的，从而防止Re-direction攻击的发生。5.2 签名的安全分析对于采用快速签名的离线计费机制，网络使用信息UI是由WLAN UE生成，并结合身份信息SI进行了2次签名。第一次签名采用WLAN UE与WLAN AN之间的会话密钥进行HMAC计算，当WLAN AN收到签名信息后，可验证UI信息的正确性；第2次签名采用移动用户与3G网络之间共享的长期密钥进行HMAC计算，当3G网络收到签名信息后，可以验证用户的身份和网络使用情况的正确性。WLAN AN对签名信息的验证，有效防止了移动用户私自修改UI信息，3G网络的签名验证防止了WLAN网络对签名信息的篡改，从而满足了3G网络计费机制的安全需求。5.3 LFSA的安全证明本文利用CK模型对LFSA协议进行安全证明，提出了一种新的基于三方的认证器，证明LFSA协议具有SK-secure属性。5.3.1 UM中LFSA的形式化描述对于LFSA协议的形式化描述，与实际协议中的角色对应为：A可认为是WLAN AN，B可认为是WLAN UE，C可认为是3G AAA服务器，S是当前会话的标识。由于在实际设计中，LFSA协议假设3G AAA和WLAN AN之间利用IKE协议进行密钥交换，并用IPSec来保护RADIUS消息传输，所以在协议流程的形式化描述中包含了这个过程。本文对LFSA协议进行形式化描述，将其转换成CK模型所能理解的形式并消除冗余的信息，协议的形式化消息流程如下：1) LFSA协议中有n个交互通信实体，两两共享算法，其中未知值k用于计算MAC和输出会话密钥，选定的通信三方A、B、C，其中C是一个可信的第三方，A和C之间有共享密钥，B和C之间有共享密钥；2) 发起方A收到建立会话的请求后，选择随机数，然后把消息。设表示F伪造成功的概率，即。当伪随机函数采用真实的密钥时，就有。那么要证明F伪造成功的概率是不可忽略的，即要证明与是不可区分的。可以给出：根据F的定义，无论b的取值是real或random时，都有。同理，无论b的取值是real或random时，都有 。当时，可以得出：同理，当时，可以得出：由于假设在会话运行期间参与方没有被攻破，且密码算法E是CPA安全的，那么就有和之间是不区分的，也就是说是不可忽略的，从而违反了伪随机函数的安全假设。综上所述，出现的概率是可忽略的，从而。5.3.6 UM中LFSA的安全证明前面已经证明了LFSAAM协议是SK-secure （无PFS安全属性），以及构造的协议是MT-authenticator，因此可以使用文献10中的方法把LFSAAM协议转化为LFSAUM协议。通信双方使用和作为挑战，把应用到LFSAAM协议的每一个消息，并结合piggy-backing技术，就可以得到LFSAUM协议和定理4。定理4 若密码算法E是CPA安全的，伪随机函数是安全的，则协议LFSAUM在UM中是SK-secure（无PFS安全属性）。证明 由定理1、定理2和定理3易证。5.4 性能仿真为了进一步分析协议的性能，对LFSA协议进行了性能仿真。本文采用NS-2.26作为仿真平台，工作在一台PC机上（C2.66G，256MB RAM），操作系统为Red Hat Linux 9.0。仿真场景包含由5个AP和10个移动节点构成的WLAN AN、1个WLAN接入网关WAG以及3GPP的访问网络和家乡网络AAA服务器。每个AP和WAG之间以一个10Mbit/s带宽、1ms时延的链路相连，WAG和AAA服务器之间以一个100Mbit/s带宽、1ms时延的链路相连，仿真场景如图5所示。图5 3G-WLAN互连仿真场景在归属网络与访问网络的时延比较分别如图6、图7所示。图6和图7的横坐标为认证次数；纵坐标为认证协议的执行时间，单位为s。仿真结果表明，LFSA协议全认证时间略大于EAP-AKA， 图6 在归属网络的时延比较图7 在访问网络的时延比较重认证时间明显低于EAP-AKA协议。对于当前的无线网络，影响协议效率的最主要因素是消息传输延时，LFSA协议虽然增加了一些传输负载，但是相对于EAP-AKA，LFSA协议的平均消息传输延时减少了大约一半，提高了协议效率。6 结束语本文针对典型的异构无线网络3G-WLAN互连网络的安全接入协议EAP-AKA所存在的效率问题，给出了一个高效安全的解决方案，使3G移动用户在WLAN网络中能够更加快捷安全地漫游切换。由于采用共享密钥对网络使用信息进行快速签名，节省了WLAN UE的资源消耗，便于移动终端的使用。对WLAN AN的身份进行验证，从而抵御了Re-direction攻击行为。在WLAN网络中的局部化认证，有效地减少了重认证过程中消息的传送时延，使移动用户的漫游切换更加平滑。本文利用CK模型对LFSA协议进行了安全证明，证明LFSA协议具有SK-secure安全属性。LFSA认证协议改进了3G-WLAN互连网络安全接入协议，具有一定的应用价值。参考文献：13GPP TS 22.934 Feasibility Study on 3GPP System to Wireless Local Area Network (WLAN) Interworking (Release 6)S. Valbonne : 3GPP TSG SA, 2003.23GPP TS 33.234 Wireless Local Network(WLAN) Interworking SecurityS. Valbonne: 3GPP, 2005.3朱红儒, 肖国镇.基于整个网络的3G安全体制的设计与分析J. 通信学报, 2002, 23(4): 117-122.ZHU H R, XIAO G Z. Design and analysis of the overall network-based 3G security schemeJ. Journal on Communictaions, 2002, 23(4): 117-122.4KRAWCZYK H, BELLARE M, CANELTI R. RFC 2104 HMAC: Keyed-Hashing for Message AuthenticationS. 1997. 5CHEN Y C, HAO C K, YANG Y W. 3G and