專利名稱：一種3g-wlan認證方法
技術領域：
本發(fā)明涉及一種互聯(lián)網(wǎng)絡的認證協(xié)議，具體為一種具有主密鑰更新機制的第三代 移動通信-無線局域網(wǎng)(3rf Generation-Wireless Local AreaNetworks， 3G-WLAN)認證方法。
背景技術：
EAP-AKA (Extensible Authentication Protocol-Authentication and KeyAgreement，擴展認證密鑰協(xié)商協(xié)議)協(xié)議是3G和WLAN互連的認證和密鑰分配協(xié)議。 通過該協(xié)議，移動用戶可以在WLAN內(nèi)以較高的速率接入3G網(wǎng)絡并訪問網(wǎng)絡資源。但是， EAP-AKA協(xié)議僅實現(xiàn)了移動用戶和3G網(wǎng)絡的雙向認證(參見王鵬，李謝華，陸松年.基于 認證測試方法的EAP-AKA協(xié)議分析[J].計算機工程與應用，2007， (15))，它缺乏對WLAN 接入網(wǎng)絡的有效認證，有時還需移動用戶用明文傳送標識其身份的IMSI (International Mobile Subscriberldentity Number,國際移動用戶識別碼)，對移動用戶和3G網(wǎng)絡間的 共享密鑰也沒有更新機制(CHEN Y C， HAO C K， YANG Y W. 3G和WLAN融合安全目前的狀 態(tài)和關鍵問題[J].網(wǎng)絡安全國際期刊，2006 ;CHEN Y C， HAO CK， YANG Y W. 3G and WLAN interworking security-current status and keyissues[J]. International Journal of Network Security, 2006.)。針對這些問題，本發(fā)明提出了一種具有主密鑰更新機制的 3G-WLAN認證方法。 與本發(fā)明相關的現(xiàn)有技術有EAP-AKA協(xié)議的實現(xiàn)是由WLAN UE (WLAN User Entity,無線局域網(wǎng)用戶實體)、WLAN AN (WLAN AcessNetworks，無線局域網(wǎng)接入網(wǎng) 絡)、3GPP AAA(3rd Generation Partnership ProjectAuthentication Authorization Accounting,第三代合作伙伴計劃認證、授權、計費服務器)服務器、HSS/HLR (Home Subscriber Server/Home Location Register,歸屬用戶服務器/歸屬位置寄存器)來完 成的(Yao Zhao， Chuang Lin， HaoYin. 3G-WLAN融合技術安全認證[C]，第二十屆先進信息 網(wǎng)絡與應用國際會議，2006. 04， (02) :429-436 ;Yao Zhao， Chuang Lin， Hao Yin. Security Authenticationof 3G-WLAN Interworking[C]. Proceedings of the 20th International Conferenceon Advanced Information Networking and Applications,2006.04， (02): 429-436)。該協(xié)議流程圖參見圖l。其中，NAI (Network Access Identifier,網(wǎng)絡接入 標志)包含UE的臨時標志(首次認證時，該標志是UE對應的IMSI)和AAA的地址，AV =RAND I |XRES| |CK| | IK| |AUTN， AV是認證向量，RAND是隨機數(shù)，XRES = f2K(RAND) ， CK = f3K(RAND)， IK = f4K(RAND)， AUTN=SQN@AK ||AMF || MAC,SQN是序列號，AK = f 5K (RAND) ， AMF是認證管理域，MAC是消息認證碼，MAC = flK (SQN | | RAND | | AMF) ， f 1 f 5是 3G安全結構中定義的算法，fl產(chǎn)生消息認證碼，f2計算期望響應值，f3產(chǎn)生加密密鑰，f4 產(chǎn)生完整性密鑰，f5產(chǎn)生匿名密鑰。通過EAP-AKA協(xié)議，UE和3G網(wǎng)絡間實現(xiàn)了雙向認證， UE和AN間也共享了會話密鑰。但是該協(xié)議還存在一些安全問題。EAP-AKA協(xié)議缺乏對AN的有效認證，AAA將AN與UE間的會話密鑰SK直接以明文發(fā)給AN，若攻擊者設法攻陷了 AN，就可以假冒其身份獲得SK，從而使通信過程失去保密性。
當UE首次認證或3G網(wǎng)絡不認識其臨時標志時，UE需用明文傳送IMSI，這樣攻擊 者可以通過竊聽等方式獲得MSI，從而導致用戶身份信息的泄漏。 EAP-AKA協(xié)議缺乏對UE與3G網(wǎng)絡間的共享密鑰K的更新機制。 一旦獲得K，攻擊 者就可以假冒一方完成與另一方的相互認證，然后計算出IK和CK，獲得SK，進而就可以獲 得所有的通信數(shù)據(jù)，通信過程將長期處于無保護狀態(tài)，給移動用戶和通信網(wǎng)絡造成巨大直 接或潛在損失。概言之，現(xiàn)有技術互聯(lián)網(wǎng)接入方法的缺點是l.存在WLAN AN假冒攻擊風 險；2.明文傳送IMSI導致用戶身份信息泄露；3.缺乏UE與3G網(wǎng)絡間共享密鑰的更新機 制。

發(fā)明內(nèi)容
針對現(xiàn)有技術的缺點，本發(fā)明擬解決的技術問題是，提供一種3G-WLAN認證方法。 該認證方法可對WLAN接入網(wǎng)絡進行有效認證，對IMSI實現(xiàn)加密保護，并具有主密鑰更新機 制，實現(xiàn)了 UE與3G網(wǎng)絡間共享密鑰的更新。 本發(fā)明解決所述技術問題的技術方案是設計一種3G-WLAN認證方法，該認證方 法在AN與AAA間增設共享密鑰Ks， UE和AAA之間的共享密鑰為K ;如UE和AAA之間的共享 密鑰K不需要更新，則用K加密UE和AAA之間的消息，經(jīng)AN轉發(fā)時AN用Ks加密AN和AAA 之間的消息；當UE和AAA之間的密鑰需要更新時，UE就會產(chǎn)生一個新鮮隨機數(shù)RANDUE作為 種子，在UE請求身份信息時，將身份信息連同新產(chǎn)生的種子用K加密后一起發(fā)送給AN，經(jīng) AN轉發(fā)給AAA, AN與AAA之間的消息用Ks加密，由此，UE和3GPP AAA網(wǎng)絡各自用該種子計 算CKK = f3K(RANDUE)和IKK = f4K (RANDUE)，然后從CKK和IKK中生成新的共享密鑰K'。
與現(xiàn)有技術相比，本發(fā)明針對EAP-AKA協(xié)議存在的安全問題對其進行了改進。通 過在WLAN AN與3GPP AAA服務器間增設共享密鑰Ks實現(xiàn)了兩者間的相互認證，防止了 WLANAN假冒攻擊。通過加密傳輸NAI，實現(xiàn)了對IMSI的加密保護，防止了移動用戶身份信息 的泄漏。通過引入密鑰更新機制，實現(xiàn)了對移動用戶和3G網(wǎng)絡間的共享密鑰的安全更新， 用不斷變化的密鑰使通信過程變得更加安全。


圖1為與本發(fā)明認證協(xié)議相關的現(xiàn)有技術EAP-AKA協(xié)議流程圖； 圖2為本發(fā)明認證協(xié)議一種實施例的EAP-AKA協(xié)議流程圖； 圖3為本發(fā)明認證協(xié)議一種實施例的WLANAN與3GPPAAA服務器間的相互認證流
程圖； 圖4為本發(fā)明認證協(xié)議一種實施例的WLAN AN與3GPPAAA服務器間的相互認證的 串空間示意圖。
具體實施例方式
下面結合實施例及其附圖進一步敘述本發(fā)明 本發(fā)明設計的3G-WLAN認證方法(簡稱認證方法)是現(xiàn)有技術認證方法(參見圖 1)的一種改進方案(參見圖2-4)。該改進方案認證方法在AN與AAA間增設共享密鑰Ks，UE和AAA之間的共享密鑰為K ;假如UE和AAA之間的共享密鑰K不需要更新，則用K加密 UE和AAA之間的消息，經(jīng)AN轉發(fā)時AN用Ks加密AN和AAA之間的消息；當UE和AAA之間 的密鑰需要更新時，UE就會自動產(chǎn)生一個新鮮隨機數(shù)RANDUE作為種子，在UE請求身份信息 時，將身份信息連同新產(chǎn)生的種子用K加密后一起發(fā)送給AN，經(jīng)AN轉發(fā)給AAA, AN與AAA之 間的消息用Ks加密，由此，UE和3GPP AAA網(wǎng)絡各自用該種子計算CKK = f3K(RANDUE)和IKK =f4K (RANDUE)，然后從CKK和IKK中生成新的共享密鑰K'。 本發(fā)明所述的新鮮隨機數(shù)是指當需要密鑰更新時，UE隨機和臨時產(chǎn)生的一個數(shù)， 該數(shù)就是該新鮮隨機數(shù)。新鮮隨機數(shù)的隨機性和不確定性可以保證更新密鑰的安全性。新 鮮隨機數(shù)的產(chǎn)生可以規(guī)定一個范圍，比如在1 IOOO之內(nèi)的數(shù)，范圍越大，安全性相對越高。 現(xiàn)有技術中也存在加設共享密鑰實現(xiàn)對AN的認證的方法，例如，通過在AN與UE 間增設共享密鑰Ks可以實現(xiàn)對AN的認證(參見張勝等，.EAP-AKA協(xié)議的分析和改進[J]. 計算機應用研究，2005， (07)，但其每個AN要與多個UE建立共享密鑰，而UE具有很強的移 動性，這就使共享密鑰的更新和管理變得復雜。與現(xiàn)有技術相比，本發(fā)明通過在AN與AAA 間增設共享密鑰Ks，實現(xiàn)兩者間的相互認證和對會話密鑰SK的保密處理，進而有效地防止 AN假冒攻擊；AN和AAA在網(wǎng)絡架構中是相對穩(wěn)定的，其數(shù)量比UE少的多，在它們間設立共 享密鑰，產(chǎn)生的密鑰數(shù)量要少的多，從而便于更新和管理。 本發(fā)明借鑒會話密鑰SK的生成方法提出了 UE和3G網(wǎng)絡間的共享密鑰K的更新 機制。用一個新鮮隨機數(shù)作為種子，UE和3G網(wǎng)絡各自用該種子計算CKK = f3K(RANDUE)和 IKK = f4K(RANDUE)，然后從CKk和IKk中生成新的共享密鑰K'，這樣不用密鑰在信道中傳輸 就實現(xiàn)了對K的安全更新。另外，共享密鑰更新機制還對K'的有效性進行了驗證，UE通過 收到的EK， (RANDUE)驗證3G網(wǎng)絡生成的K'的有效性，3G網(wǎng)絡通過收到的h (K')驗證UE 生成的K'的有效性。這樣不僅實現(xiàn)了K'的安全更新，還對K'的有效性進行了驗證，通過 不斷變化的密鑰，使通信過程變得更加安全。 下面結合實施例進一步詳細敘述本發(fā)明，具體實施例不構成對本發(fā)明權利要求的 限制。 本發(fā)明認證協(xié)議中，ADDR3e表示AAA的地址，TMSI和TMSIN分別表示UE的臨時標 志和新臨時標志，EJM)表示用密鑰S加密M，h(M)表示對M進行散列運算，[...]是對共享 密鑰K的更新操作。下面對該方案進行詳細說明，其中，對K的更新操作用黑括號加以
強調(diào) 1. AN向UE發(fā)送EAP請求/身份標志消息，開始認證和密鑰分配過程。
2. UE從NAI中提取出AAA的地址，若需更新K，產(chǎn)生隨機數(shù)RANDUE，用其計算CKK 和IKK，再從CKK和IKK中生成K'，然后將該地址和計算出的EK ([RANDUE] | | NAI)發(fā)給AN。
3. AN產(chǎn)生隨機消息Mffl和隨機數(shù)RAND膨生成MAN| IEkJRAND^J |Mffl)，然后將其與 EK([RANDUE] I I NAI) —起發(fā)送給相應的AAA。 4. AAA從EKs (RANDAN | | Mffl)中解密出RANDffl和MAN，將Mffl與收到的明文MAN比較，若 相等，實現(xiàn)對AN的認證，否則終止認證。解密EK([RANDUE] | | NAI)，從NAI中提取出UE的臨 時標志發(fā)給HSS，并向其詢問該用戶的權限。 5. HSS/HLR將與用戶相關的認證向量AV和新臨時標志發(fā)給AAA。
6. AAA存儲AV，從IK和CK中生成會話密鑰SK。用RANDUE計算CKK和IKK，再從 CKK和IKK中生成K'，并計算EK， (RANDUE)。然后，將RAND、 AUTN、 UE的新臨時標志、計算出 的MAC、 RANDffl和EK' (RANDUE)發(fā)給AN。 7. AN將收到的RANDAN與自己之前產(chǎn)生的RANDAN比較，若相等，實現(xiàn)對3G網(wǎng)絡的認 證，否則終止認證。最后，將收到的其他信息發(fā)給UE。 8. UE驗證AUTN和SQN，若正確，實現(xiàn)對3G網(wǎng)絡的認證，否則終止認證。驗證MAC，保 存收到的臨時標志。計算IK和CK，從IK和CK中生成SK。從EK， (RANDUE)中解密出RANDUE， 將其與自己之前產(chǎn)生的RANDuE比較，若相同，表明3G網(wǎng)絡生成的K'有效，并計算h(K')。
最后，將計算出的RES、 XMAC和h (K')發(fā)給AN。
9.AN將收到的消息發(fā)給AAA。 10. AAA驗證XMAC，將收到的RES與XRES比較，若正確，實現(xiàn)對UE的認證，否則終
止認證。對K'進行散列運算，將結果與收到的h(K')比較，若相同，表明UE生成的K'
有效。最后，將EAP成功消息、計算出的EKs (SK)和K更新成功消息發(fā)給AN。 11. AN用Ks解密EKs (SK)，并保存結果SK，然后將EAP成功消息和K更新成功消
息發(fā)給UE。 上述流程完成后，若K更新成功，UE和AAA分別將K更新為K'。 本發(fā)明認證協(xié)議AN與AAA間的相互認證執(zhí)行流程或步驟(參見圖3):AN用Ks加密RANDAN發(fā)給AAA,這樣只有合法的AAA才能解密出RANDffl并將其發(fā)送
回來，AN —旦收到RANDAN就實現(xiàn)了對AAA的認證。AAA收到AN發(fā)來的明文Mffl和用Ks加密
Mffl的密文，從密文中解密出M^并將其與收到的明文M^比較，若相同，即說明AN擁有正確
的會話密鑰Ks，從而實現(xiàn)了對AN的認證。另夕卜，AAA對SK先用Ks加密后再發(fā)給AN，這就對
SK進行了加密保護，只有合法的AN才能獲得SK，從而防止了 AN假冒攻擊。 本發(fā)明認證協(xié)議是通過以下流程或步驟實現(xiàn)對IMSI的加密保護的 移動用戶在WLAN網(wǎng)絡為避免以明文傳輸IMSI，UE發(fā)送NAI前，先從NAI中提取出
AAA的地址(用于將加密后的NAI發(fā)給正確的AAA)，再用與AAA的共享密鑰K加密NAI，然
后將加密后的NAI通過AN發(fā)給AAA,只有合法的AAA才能正確解密。若NAI含有IMSI，這
就對IMSI進行了加密保護，避免了移動用戶身份信息的泄漏。 本發(fā)明認證協(xié)議的復雜度分析 與現(xiàn)有的EAP-AKA協(xié)議相比，本發(fā)明認證協(xié)議沒有增加消息傳遞的次數(shù)，在保持 原有效率和安全性的基礎上，僅以生成隨機數(shù)、單鑰加解密和散列運算產(chǎn)生的較小的運算 量為代價，就實現(xiàn)了對WLAN接入網(wǎng)絡的有效認證、對IMSI的加密保護以及對移動用戶和3G 網(wǎng)絡間的共享密鑰K的安全更新?，F(xiàn)有EAP-AKA協(xié)議和本發(fā)明改進方案認證協(xié)議的性能對 比列于表l，以方便參考。 表1現(xiàn)有EAP-AKA協(xié)議和本發(fā)明改進方案認證協(xié)議的性能對比
協(xié)議消息 傳遞 次數(shù)增加 的隨 機數(shù) 個數(shù)增加的 加/解密 運算次 數(shù)增加 的散 列運 算次 數(shù)對AN 的認 證對 IMSI 的加 密保 護更新共 享密鑰 K
EAP-AKA協(xié)議11無無無
改進方案(不更新 K時)11130有有無
改進方案(更新K 時)11242有有有 本發(fā)明認證協(xié)議的形式化證明 本發(fā)明認證協(xié)議通過串空間模型和認證測試方法對AN與AAA間的相互認證進行
形式化證明。用an代表AN，用3g代表AAA (參見圖4)。an串和軌跡Init [RAND超，MAN] = {+MAN| | EKs (RANDffl | |Mffl) ， -RANDAN}。 3g串和軌跡Resp [RAND超，MAN] = {_MAN| | EKs (RANDffl | |Mffl) ， +RANDAN}。 令C為串空間的簇。Ks是AN與AAA間的會話密鑰，Ks《Kp ， Kp為攻擊者密鑰集。 AN對AAA的認證 構造測試分量，an串=Init[RANDAN， MAN] = {+MAN| IEkJRANDJ |Mffl) ， -RANDAN}，由 于隨機數(shù)RANDAN唯一產(chǎn)生于〈an， 1>，則Mffl | | EKs (RANDAN | | MAN)是RANDAN的測試分量。從圖4 中可以看出，〈an，l> => +〈3!1，2>是1^柳超的出測試。 應用認證測試規(guī)貝U 1得，存在正常結點m， m 'G C， term(m)=
Mffl I I EKs (RANDANI IMAN)，并且m = > +m'是RANDAN的轉換邊。 由上一步可得，m為負結點，因此m為某個3g串3g' = Resp[RAND超'，MAN']中 的結點，且m二〈3g' ，1>，則term(〈3g' ， 1>) = MAN | | EKs (RANDAN | | Mffl)。
比較;3g和;3g'串中的內(nèi)容，可得ranDan = ranDa/ ，man = man'，則;3g二3g'，從
而實現(xiàn)了 AN對AAA的認證。
AAA對AN的認證 構造測試分量，3g串=Resp [RANDAN， MAN] = {-Mffl | | EKs (RANDAN | | MAN) ， +RANDAN}，由 于隨機消息Mffl唯一產(chǎn)生于〈an， 1>，Mffl | | EKs (RANDAN | | MAN)是MAN在〈3g， 1>中的測試分量，則 〈3g， 1>構成測試量Mffl的主動測試。 由于KsgKp，應用認證測試規(guī)則3，MfflI IEKs(RANDAN| |MAN)只能產(chǎn)生于C的正常節(jié) 點m。 由上一步得，m為正結點，則m必為某個an串a(chǎn)n
結點，且m二〈an' ， 1>， term(〈an' ， 1>) =
比較an和an'串的內(nèi)容，可得RAND^
=Init[RANDA/ ， MAN']中的 EKs (RANDAN I IMAN)。 :RAND超'，MAN = MAN'，則an = an'，從而實現(xiàn)了 AAA對AN的認證。 本發(fā)明未述及之處適用于現(xiàn)有技術。
權利要求
一種3G-WLAN認證方法，該認證方法在AN與AAA間增設共享密鑰KS，UE和AAA之間的共享密鑰為K；如UE和AAA之間的共享密鑰K不需要更新，則用K加密UE和AAA之間的消息，經(jīng)AN轉發(fā)時AN用KS加密AN和AAA之間的消息；當UE和AAA之間的密鑰需要更新時，UE就會產(chǎn)生一個新鮮隨機數(shù)RANDUE作為種子，在UE請求身份信息時，將身份信息連同新產(chǎn)生的種子用K加密后一起發(fā)送給AN，經(jīng)AN轉發(fā)給AAA，AN與AAA之間的消息用KS加密，由此，UE和3GPPAAA網(wǎng)絡各自用該種子計算CKK＝f3K(RANDUE)和IKK＝f4K(RANDUE)，然后從CKK和IKK中生成新的共享密鑰K′。
全文摘要
本發(fā)明公開一種3G-WLAN認證方法，該認證方法在AN與AAA間增設共享密鑰KS，UE和AAA之間的共享密鑰為K；如UE和AAA之間的共享密鑰K不需要更新，則用K加密UE和AAA之間的消息，經(jīng)AN轉發(fā)時AN用KS加密AN和AAA之間的消息；當UE和AAA之間的密鑰需要更新時，UE就會產(chǎn)生一個新鮮隨機數(shù)RANDUE作為種子，在UE請求身份信息時，將身份信息連同新產(chǎn)生的種子用K加密后一起發(fā)送給AN，經(jīng)AN轉發(fā)給AAA，AN與AAA之間的消息用KS加密，由此，UE和3GPP AAA網(wǎng)絡各自用該種子計算CKK＝f3K(RANDUE)和IKK＝f4K(RANDUE)，然后從CKK和IKK中生成新的共享密鑰K′。
文檔編號H04W84/12GK101699890SQ200910071060
公開日2010年4月28日 申請日期2009年10月30日 優(yōu)先權日2009年10月30日
發(fā)明者劉文菊, 張艷, 時珍全, 柯永振, 王賾, 邢亞娟 申請人:天津工業(yè)大學