基于公鑰的EAP－AKA協議改進及安全性分析

董春凍，王 聰，劉 軍，周 星，張玉靜

（1.中國人民解放軍理工大學 通信工程學院，江蘇 南京210007；2.中國人民解放軍理工大學 指揮信息系統學院，江蘇 南京210007）

0 引 言

隨著網絡技術的高速發展和廣泛應用，異構網絡[1]逐漸受到越來越多的關注。3G網絡與WLAN之間的融合互聯是異構網絡中比較典型的場景[2]。3G網絡覆蓋范圍廣，但傳輸速率較低[3]；而WLAN接入速率較高，但覆蓋范圍有限[4]。將3G網絡與WLAN進行融合互聯，充分發揮兩種技術的優勢，使其得到更加廣泛的應用。EAP－AKA協議[5]是3G網絡與WLAN之間的認證和密鑰分配協議，是保證其安全連接與通信的基礎。該協議實現了WLAN用戶和3G網絡之間的相互認證，共享了WLAN用戶和WLAN接入網之間的會話密鑰；但是，協議缺乏對WLAN接入網的認證，用戶的身份標識信息、WLAN用戶和WLAN接入網之間的會話密鑰使用明文傳輸，對WLAN用戶與3G網絡之間的共享密鑰K也沒有相應的更新機制。目前提出的一些改進方案也存在或多或少的不足，為了實現3G網絡和WLAN之間更加安全可靠的連接，針對上述背景和目的，本文提出了一種基于公鑰的改進方案，通過在WLAN接入網和3G網絡服務器之間增設公鑰來實現兩者的相互認證以及對用戶身份等信息的加密傳輸，并建立共享密鑰K的更新機制，最后運用串空間模型和認證測試方法進行了形式化的證明。分析結果表明，該方案能夠實現3G網絡和WLAN接入網之間的相互認證，保證兩者之間的安全連接與通信。

1 EAP－AKA協議

EAP－AKA協議是基于 WLAN用戶終端和3G網絡之間共享密鑰K的認證與密鑰分配協議[6]，協議由 WLAN UE（WLAN用戶終端）、WLAN AN （WLAN接入網）和3GPP－AAA （3G網絡認證、授權、計費服務器）和 HSS／HLR（歸屬用戶服務器／歸屬位置寄存器）來共同完成的，協議流程如圖1所示，WLAN用戶和WLAN接入網之間會話密鑰MK的產生過程如圖2所示。

圖1 EAP－AKA協議流程

通過EAP－AKA協議，WLAN用戶和3G網絡之間實現了相互認證，WLAN用戶和WLAN接入網也共享了密鑰MK[7]，但協議仍存在一些安全性上的問題。首先，協議缺乏對 WLAN 接入網的認證[8]。其次，3G網 絡將WLAN接入網與WLAN用戶間的會話密鑰MK以明文方式傳送給WLAN接入網，如果攻擊者攻陷了WLAN接入網，就可以獲得MK，從而使通信失去了安全性。當WLAN用戶進行首次認證或3G網絡不識別其臨時標志時，WLAN用戶也是以明文方式傳送IMSI，這會引起用戶身份信息的泄漏。最后，協議缺乏對WLAN用戶與3G網絡之間的共享密鑰的更新[9]。一旦攻擊者在某一次的攻擊中獲取了共享密鑰K，就可以通過假冒攻擊完成與另外一方的相互認證，給WLAN用戶和通信網絡造成巨大安全隱患。

2 基于公鑰的EAP－AKA協議改進

文獻[10]提出的改進方案是在 WLAN用戶與WLAN接入網之間增設一個共享密鑰來實現對WLAN接入網的認證，并且對3G網絡傳送的會話密鑰進行了加密處理傳輸，但這種方案要求每個WLAN用戶在與WLAN接入網連接時都需要預設共享密鑰，而WLAN用戶數量大、移動性強，這無疑增加了共享密鑰的更新和管理工作。文獻[11]則立足于WLAN接入網與3G網絡之間相對穩定的網絡結構，在WLAN接入網和3G網絡間增設共享密鑰來實現兩者的相互認證和會話密鑰的協商分配以及對會話密鑰的保密傳輸。這種方案下，密鑰數量雖然有所減少，但共享密鑰的更新和管理仍較為復雜。

圖3 EAP－AKA協議改進方案流程

隨著移動終端和接入網設備運算及處理能力的增加，基于公鑰[12]的認證方法在異構網絡中也具有了非常高的可行性。因此。本文提出了一種新型的基于公鑰的EAPAKA改進協議，要求WLAN接入網與3G網絡各自擁有自己的公私鑰對，從而實現兩者間的相互認證和對會話密鑰MK的加密傳輸，進而防止WLAN接入網的假冒攻擊。

為避免明文傳送IMSI，WLAN用戶在發送NAI前，首先提取3G網絡服務器的地址 （該地址用于將加密后的數據傳送給正確的3G網絡服務器），再用共享密鑰K對NAI進行加密處理，然后通過WLAN接入網發給3G網絡服務器，如果NAI中含有IMSI，這樣就實現了對IMSI的加密保護，避免了用戶身份信息的泄漏。

借鑒MK的產生方法實現WLAN用戶和3G網絡之間的共享密鑰K的更新[11]。首先由WLAN用戶產生隨機數RANDUE，加密后傳送給3G網絡，隨后WLAN用戶和3G網絡進行各自的密鑰更新計算:CK′＝f3（K）（RANDUE）和IK′＝f4（K）（RANDUE），然后產生新共享密鑰K′。

改進方案的實現流程如圖3所示，其中AD3G表示3GPP AAA服務器的地址，EK（X）表示使用密鑰K加密X得到的密文，H（K）表示對K進行散列運算，SKA表示A的私鑰，PKA表示A的公鑰。

（1）建立WLAN－UE和 WLAN－AN之間的連接。

（2）WLAN－AN 首先向 WLAN－UE發送請求，認證開始。

（3）WLAN－UE收到消息后從NAI中取出3G服務器地址AD3G，產生隨機數RANDUE，將計算出的EK（NAI‖ANDUE）和地址一同發給 WLAN－AN。

（4）WLAN－AN收到消息后產生隨機數RANDAN，然將 密 文EK（NAI‖RANDUE） 和 計 算 出 的｛｛RANDAN｝SKAN｝PK3G發給3G服務器。

（5）3G服務器收到消息后，解密獲取NAI、RANDUE和RANDAN，詢問HSS，查看用戶的權限。獲取認證向量AV和用戶新的臨時標志，計算CK′＝f3（K）（RANDUE）和IK′＝f4（K）（RANDUE），從CK′和IK′中 產 生 共 享 密 鑰K′，生成密文EK′（RANDUE），計算H（RANDAN）。

（6）3G服務器構造EAP請求／AKA挑戰消息，消息包含AUTH、WLAN－UE的臨時標志、消息認證碼MAC、EK′（RANDUE）、H（RANDAN）。 最 后 將 消 息 發 送 給WLAN－AN。

（7）WLAN－AN收到消息后首先驗證RANDAN，然后將其它消息發送給WLAN－UE。

（8）WLAN－UE收到消息后，用自身生成的密鑰K′解密密文，如能得到正確的RANDUE，則說明3G服務器端密鑰更新正確。然后驗證AUTH，并確認接收的序列號SQN是否在有效范圍內，如果正確，則實現了對3G網絡的認證。計算IK、CK、RES，從IK和CK中生成共享密鑰MK，然后驗證MAC是否正確，并保存收到的臨時標志。

（9）構造EAP回應／AKA挑戰消息發送給 WLANAN，消息包含RES，并XMAC、H（K′）。

（10）WLAN－AN將收到的EAP回應／AKA挑戰消息發送給3G服務器。

（11）收到消息后，3G服務器首先驗證消息認證碼XMAC、H（K′），然后計算XRES，并與RES進行比較，如果正確則認證了WLAN－UE的身份。

（12）3GAAA服務器構造EAP成功的消息、K更新成功的消息并發送給WLAN－AN，同時發送的還有WLAN通信中的共享密鑰EPKAN（MK）。

（13）收到消息后，WLAN－AN解密并保存共享密鑰MK。

（14）WLAN－AN將EAP成功的消息、K更新成功的消息發送給 WLAN－UE。

3 改進方案的安全性分析

與EAP－AKA協議、文獻[10，11]的改進方案相比，本文提出的方案在不改變消息傳遞的次數，保持原有安全性和效率的基礎上，僅以產生隨機數、加解密和散列運算的較小代價，便實現了WLAN接入網的認證、對IMSI和會話密鑰MK的加密保護以及對WLAN用戶和3G網絡之間共享密鑰的更新，并且能更好的適應終端和WLAN接入網的移動性，降低了3G網絡服務器和WLAN接入網的存儲負擔。表1列出了幾種方案的性能對比。

表1 已有協議和改進方案的性能對比

3.1 WLAN接入網和3G網絡之間的相互認證

改進方案實現了WLAN接入網與3G網絡的相互認證，可以運用串空間模型和認證測試方法來進行相應證明。串空間模型是一種基于代數方法的安全協議分析工具，具有堅實的理論基礎，可以證明協議的安全性、分析協議存在的缺陷；認證測試方法是以串空間模型為基礎的認證協議分析方法，通過構造測試組元，建立安全協議的認證目標，應用測試規則分析協議是否滿足身份認證和信息保密[13]。首先，將WLAN接入網和3G網絡之間的認證抽離出來，如圖4所示。

圖4 WLAN接入網和與3G網絡之間的相互認證

用AN代表WLAN接入網，用3G代表3G網絡，圖4中的相互認證過程可形式化為兩類串，如圖5所示。

圖5 WLAN與3G網絡相互認證的串空間表示

令C為串空間的bundle，SKAN，SK3GKp，Kp為攻擊者密鑰集。

AN的串和跡:Init[RANDAN]＝｛＋｛｛RANDAN｝SKAN｝PK3G，－H（RANDAN｝。

3G的串和跡:Resp[RANDAN]＝｛－｛｛RANDAN｝SKAN｝PK3G，＋H（RANDAN｝。

AN 對 3G 的 認 證: 由 于RANDAN｛｛RANDAN｝SKAN｝PK3G，｛｛RANDAN｝SKAN｝PK3G是節點 AN的一個組元，且｛｛RANDAN｝SKAN｝PK3G不是任何合法節點的組元的真子項，所以｛｛RANDAN｝SKAN｝PK3G是RANDAN的測試組元。因為RANDAN不出現在節點AN中除｛｛RANDAN｝SKAN｝PK3G以外的其它組元中，且SK3GKp，所以＜AN，1＞＋＜AN，2＞是RANDAN的出測試。應用出測試定理，存在正常節點m，m′∈C，使得｛｛RANDAN｝SKAN｝PK3G是m的 組 元， 且m＋m′是RANDAN的轉換邊。因為m是負節點，所以m為某個3G串3G′＝Resp[RAND′AN]中的節點，且m＝＜3G′，1＞ ，則term（＜ 3G′，1 ＞ ）＝｛｛RANDAN｝SKAN｝PK3G， 可 知RANDAN＝RAND′AN，從而證明了AN對3G的認證。

3G對AN的認證:首先確定3G上的節點對于RANDAN構成一未經請求測試。由于RANDAN｛｛RANDAN｝SKAN｝PK3G，｛｛RANDAN｝SKAN｝PK3G是 節 點 ＜AN，1＞的一個組元，且｛｛RANDAN｝SKAN｝PK3G不是任意正常節點的組元的真子項，故｛｛RANDAN｝SKAN｝PK3G為節點＜AN，1＞處消息RANDAN的測試組元。同時，由于SKANKp，故3G上的負節點＜3G，1＞對于｛｛RANDAN｝SKAN｝PK3G中的RANDAN構成一未經請求測試。應用未經請求測試定理可知，一定存在一個正常的正節點n∈C，使得｛｛RANDAN｝SKAN｝PK3G為節點n的一個組元。因為n為 一 正 常 的 正 節 點 且｛｛RANDAN｝SKAN｝PK3G∈term（n），因此節點n為某些正常發起者AN的串AN′＝Init[RAND′AN]中的節點，且n＝＜ AN′，1＞ ，term（＜AN′，1 ＞ ）＝｛｛RANDAN｝SKAN｝PK3G， 可 得RANDAN＝RAND′AN，從而實現了3G對AN的認證。

3.2 對IMSI的加密保護

WLAN－UE發送的EK（NAI‖RANDUE），只有合法的3G網絡服務器才能正確解密，如果NAI中包含IMSI，這樣就對IMSI起到了加密保護作用，防止了WLAN用戶的身份信息的泄漏。

3.3 共享密鑰K的更新

借鑒會話密鑰MK的產生方法建立了共享密鑰K的更新機制，WLAN用戶端產生一個隨機數RANDUE，WLAN用戶和3G網絡服務器各自用該隨機數計算出CK′和IK′，然后根據CK′和IK′產生新的共享密鑰K′，這樣不僅避免了密鑰在信道中傳輸，而且還對密鑰進行了安全更新。此外，WLAN用戶和3G網絡服務器分別通過收到EK′（RANDUE）和H（K′）來驗證對方所生成的K′的有效性。這樣既實現了共享密鑰的安全更新，還驗證了更新后密鑰的有效性，通過這種密鑰更新機制，使實體之間的通信更加安全。

4 結束語

實現3G網絡和WLAN之間的相互認證是保證其安全連接與通信的基礎，針對當前認證協議存在的安全缺陷和不足，提出了一種基于公鑰的改進方案，并建立了WLAN用戶和3G網絡間的共享密鑰更新機制，最后運用串空間模型和認證測試方法證明了改進方案可以實現3G網絡和WLAN之間的相互認證以及WLAN用戶和3G網絡間共享密鑰的安全更新，為用戶提供更加安全可靠的網絡服務。

[1]Jos Akhtman，Lajos Hanzo.Heterogeneous networking:An enabling paradigm for ubiquitous wireless communications[J].IEEE Proceedings，2010，98 （2）:135－138.

[2]Aleksandar Damnjanovic，Juan Montojo，Yonbgin Wei，et al.A survey on 3GPP heterogeneous networks[J].IEEE Wireless Communications，2011，18 （3）:10－21.

[3]Wee Lum Tan，Fung Lam，Wing Cheong Lau.An empirical study on the capacity and performance of 3Gnetworks[J].IEEE Transactions on Mobile Computing，2008，7 （6）:737－750.

[4]Hyeyeon Kwon，Yang Mi Jeong，Park Ae－Soon.Handover prediction strategy for 3G－WLAN overlay networks[C]／／IEEE Network Operations and Management Symposium，2008:819－822.

[5]Kambourakis Georgois，Rouskas Angelos.Advanced SSL／TLS－based authentication for secure WLAN－3Ginterworking[J].IEEE Proceedings－Communications，2008，151 （5）:737－750.

[6]Liu Peng，Zhou Peng.Formal analysis of improved EAP－AKA based on protocol composition logic[C]／／2nd International Conference on Future Computer and Communication，20103:86－90.

[7]WANG Peng，LI Xiehua，LU Songnian.Formal analysis of EAP－AKA protocol based on authentication tests[J].Computer Engineering and Applications，2007，43 （15）:157－160（in Chinese）.[王鵬，李謝華，陸松年.基于認證測試方法的EAP－AKA協議分析[J].計算機工程與應用，2007，45（15）:157－160.]

[8]Liu Wenju，Shang Yuzhen，Zhang Yan.An analysis of the improved EAP－AKA protocol[C]／／2nd International Conference on Computer Engineering and Technology，2012:10－13.

[9]Mun Hyeran.3G－WLAN interworking:Security analysis and new authentication and key agreement based on EAP－AKA[C]／／Wireless Telecommunications Symposium，2009:1－8.

[10]ZHANG Sheng，XU Guoai，HU Zhengming，et al.Analysis and amendment of EAP－AKA protocol[J].Application Research on Computer，2005，22 （7）:234－236 （in Chinese）.[張勝，徐國愛，胡正名，等.EAP－AKA協議的分析和改進[J].計算機應用研究，2005，22 （7）:233－238.]

[11]ZHANG Yan，WANG Ze.Improved method of enhancing EAP－AKA protocol security[J].Computer Engineering and Applications，2009，45 （28）:96－98 （in Chinese）.[張艷，王賾.增強EAP－AKA協議安全性的改進方案[J].計算機工程與應用，2009，45 （28）:96－99.]

[12]Aaron E Cohen，Keshab K Parhi.Architecture optimizations for the RSA public key cryptosystem:A tutorial[J].IEEE Circuits and System Magazine，2011，11 （4）:24－34.

[13]Chuhong Fei，Raymond H Kwong，Deepa Kundur.A hypothesis testing approach to semifragile watermark－based authentication[J].IEEE Transactions on Information Forensics and Security，2009，4 （2）:179－192.