一種泛在網絡的安全認證協議

戚 湧 郭詩煒 李千目

?

一種泛在網絡的安全認證協議

戚 湧*郭詩煒 李千目

(南京理工大學計算機科學與工程學院 南京 210094)

泛在網絡是標準的異質異構網絡，保證用戶在網絡間的切換安全是當前泛在網的一個研究熱點。該文對適用于異構網絡間切換的認證協議EAP-AKA進行分析，指出該協議有著高認證時延，且面臨著用戶身份泄露、中間人攻擊、DoS攻擊等安全威脅，此外接入網絡接入點的有效性在EAP-AKA協議中也沒有得到驗證，使得用戶終端即使經過了復雜的認證過程也不能避免多種攻擊。針對以上安全漏洞，該文提出一種改進的安全認證協議，將傳統EAP-AKA的適用性從3G系統擴展到泛在網絡中。新協議對傳播時延和效率進行完善，為用戶和接入點的身份信息提供有效性保護，避免主會話密鑰泄露，采用橢圓曲線Diffie Hellman算法生成對稱密鑰，在每次認證會話時生成隨機的共享密鑰，并實現用戶終端與家鄉域網絡的相互認證。通過開展實驗，對協議進行比較分析，驗證了新協議的有效性及高效率。

泛在網絡；訪問控制；安全認證協議；EAP-AKA

1 引言

泛在網絡通過ZigBee, Wi-Fi, Wi-MAX，無線傳感網等各種異構無線網絡的相互融合、互聯互通、跨域協同，為用戶提供隨時隨地的專屬服務。泛在網絡所具有的匿名性、異構性和虛擬性給安全保護帶來了巨大挑戰，如何更可信地進行泛在接入和信息交互成為亟待解決的問題。認證的目的是驗證泛在節點和用戶等參與主體身份的合法性以及主體間傳遞的信息及其來源的真實性。隨著用戶大量通過泛在的移動終端接入網絡，如何保證連接的持久安全成為認證設計的一大難題。根據實驗結果，重認證所需時間占了切換總時延的46%[1]。因此，接近零時延的安全切換在泛在網絡中極為重要。

由于EAP數據包可以在異構網絡間傳輸，在泛在網絡安全認證的領域中，完整的EAP-AKA認證方法使用peer-server架構進行雙向認證，通過重用認證向量來實現快速的重認證[2]。文獻[3,4]指出原有EAP-AKA協議存在嚴重的安全隱患。為了減少重認證過程的時延，文獻[5]提出一種快速迭代的本地重認證協議，其中認證向量由接入點迭代生成，但是需要對基礎設施進行大規模的改造升級。文獻[6]提出一種初始化的切換協議，使用預認證技術減少切換時延，然而該協議需要在跨網環境中部署異構互連單元，且預認證中存在的缺陷會增加家鄉域服務器的負擔。文獻[7,8]提出針對用戶終端再次連接相同網絡域的本地重認證協議。文獻[9]提出一種基于橢圓曲線加密和代理簽名機制的匿名認證協議，通過讓部分移動終端隨機共享代理簽名密鑰對的方式，實現完全匿名和非法認證請求過濾。文獻[3]和文獻[10]針對AKA過程和對稱密鑰生成提出ECDH，在不增加公開密鑰基礎設施負擔的情況下，提高公共密鑰加密的強度，然而文獻[10]中的協議并沒有實現UE和家鄉網絡的雙向認證。文獻[11]使用ECDH進行密鑰協商，并對接入點進行驗證，但是仍然存在密鑰泄露的安全隱患。文獻[12]針對LTE中的EAP-AKA協議進行改進，縮短認證過程中消息的長度，但是效率并沒有明顯提升。

基于對上述文獻的研究，本文提出一種泛在網絡的認證協議，對原有的EAP-AKA協議進行改進，為用戶和接入點的身份信息提供有效保護，避免MSK泄露，在每次認證會話時生成隨機的共享密鑰，并實現UE和家鄉域網絡的相互認證，同時簡化原有協議的流程。

2 EAP-AKA協議分析

2.1 協議認證過程

3GPP組織提出EAP-AKA協議，推薦將其用于異構網絡認證。EAP-AKA協議基于3GPP的AKA協議，并采用可擴展認證協議EAP和AAA協議，實現用戶的WLAN接入認證。

標準的EAP-AKA協議的認證過程描述如下：

(1)用戶終端通過主動或被動的方式發現接入點，基于信噪比最佳原則從中選擇一個建立連接，并通過該接入點向家鄉域服務器發送EAP身份響應消息，首次認證時發送永久用戶標識IMSI。

(2)由于用戶身份所屬域的服務器沒有發出過身份請求，同時也為了確認中間結點沒有篡改數據包，家鄉域服務器在接收到EAP響應后需要向用戶終端發出EAP身份請求。

(3)家鄉域服務器證實IMSI合法后，為用戶終端準備AKA挑戰，生成序列號SQN和隨機數RAND，計算匿名密鑰AK = F5(, RAND)和消息認證碼MAC=F1(, SQN, RAND)，并使用共享密鑰生成基于序列號的認證向量組AV(1)。每個認證向量AV=RAND||XRES||CK||IK||AUTN，其中AUTN=SQNAK||MAC, XRES=F2(, seq), CK=F3(, seq), IK=F4(, seq)。

(4)家鄉域服務器從中選擇一個認證向量，用CK和IK生成MSK，向用戶終端發送包含AUTN和RAND的EAP請求/AKA挑戰消息。

(5)用戶終端根據AUTN和MAC對家鄉域服務器進行驗證，生成完整性可靠的響應消息RES。

(6)家鄉域服務器驗證RES = XRES后，向接入點和用戶終端發送EAP成功消息。

(7)家鄉域服務器向接入點發送主會話密鑰MSK和EAP成功消息。此時接入點可以通過4次握手機制生成臨時密鑰與用戶終端通信。

2.2 安全性分析

EAP-AKA協議的認證過程中存在如下安全問題：

(1)用戶首次與接入點建立連接時，身份信息IMSI使用明文傳輸，容易被攻擊者竊取。

(2)接入點的身份沒有得到認證。攻擊者可以控制位于網絡重疊區域的接入點，將認證數據重定向至漫游網絡或安全措施較弱的網絡，導致用戶資費增加或失去安全性[13]，或偽造被攻陷的接入點進行攻擊。

(3)在EAP-AKA協議中，主會話密鑰通過明文傳輸，容易被攻擊者竊取，遭受攻擊。

此外，用戶和家鄉域間始終使用相同的密鑰進行通信。一旦該密鑰遭到泄露，此后所有的通信都將不可靠。這種基于單鑰體系的認證協議，不僅不能提供不可否認性，還會影響異構網絡的建立[14]。

3 改進的EAP-AKA協議

針對EAP-AKA協議中存在的問題，本文提出一種改進的協議。該協議在傳輸所有密鑰和身份信息之前，先進行加密，保證密鑰與身份信息的安全性。同時簡化原有協議的認證過程，以提高認證效率。

改進的EAP-AKA協議相關符號如表1所示。泛在網絡類似3GPP系統，每個用戶終端都擁有一個唯一的永久標識IMSI，且泛在網絡中的每個異構子網都有一個AAA服務器HAAA和歸屬簽約用戶服務區HSS，這些服務器負責維護本網絡域中網絡資源和服務資源，并管理用戶注冊、認證、權限。

表1 改進協議相關符號表

假設：

(1)HAAA與HSS數據庫之間的連接是安全的。

(2)每個UE, AP, HSS, HAAA服務器都有各自唯一的設備ID。

(3)用戶和HAAA服務器使用相同的橢圓曲線，并在上面選定同一點生成各自的密鑰對。HSS的公鑰Ph =*Sh。類似地，UE的公鑰Pu =*Su。

(4)每次認證會話開始時，UE生成隨機數，計算出本次會話UE和HAAA的公鑰分別為：Pus = Pu*和Phs = Ph*。UE與HAAA之間的共享密鑰Khus = Phs*Su。

改進的EAP-AKA協議的過程如圖1所示，具體描述如下：

圖1 改進的EAP-AKA協議

(1)UE和AP建立連接。

(2)AP向UE發送EAP請求/身份，并在請求中附上經過加密的身份信息cIDap = (IDap)_Pus。

(3)UE收到EAP消息后，從中解析出IDap，用Khus加密IDap得到CTap = (IDap)_Khus，生成隨機序列號seq，計算CTue = (seq)_Khus, cIDue = (IMSI)_Khus以及MACu = hash(IMSI || IDap || seq)。

(4)UE向AP發送EAP響應/AKA挑戰。

(5)AP在消息后附上MACap = hash(IDap)，根據cIDue中未加密的家鄉域信息發送給相應的HAAA。

(6)HAAA從消息中解析出IDap, seq, CTap以及CTue，用MACap, MACue驗證接入點和消息。驗證成功則計算本次會話的共享密鑰Khus = Pus*Sh，將解析出的IMSI和seq轉發給HSS。

(7)HSS收到IMSI后，驗證其是否合法以及UE是否有權請求接入網的服務。驗證成功則根據IMSI，HSS獲得對應的永久共享密鑰Khu，生成重認證計數器R-Count，然后使用seq生成如下認證向量AV：

認證應答：RES = F2(Khus, seq)

加密密鑰：CK = F3(Khu, seq)

完整性密鑰：IK = F4(Khu, seq)

重認證時的臨時ID：nIDue = FIDue(Khu, seq)

隨后HSS通過安全的連接將計算得到的AV發給HAAA。R-Count和rIDue則作為重認證參數。

(8)HAAA計算MSK = FMSK(CK,IK,cIDue)和Kha = F5(IDap, Pus)，然后用Kha加密MSK得到EnMSK = {MSK}_Kha。另外，HAAA計算鑒別碼MACh = hash(RES||MSK)。

(9)HAAA向AP發送EnMSK, RES和MACh。

(10)AP使用自己的ID和UE的公鑰計算出共享密鑰Kha，并成功解密EnMSK，得到MSK。于是AP由未認證的接入點轉變為已認證的接入點，并將HAAA發來的消息轉發給UE。

(11)UE計算CK, IK, MSK和XRES，驗證XRES是否與RES相等，以及hash(RES||MSK)是否與MACh相等。驗證成功則計算rIDue作為重認證ID，并通過AP向HAAA發送EAP-success消息。

4 協議的分析與驗證

4.1 安全性分析

改進的EAP-AKA協議安全屬性如下：

(1)用戶身份保護：在改進的協議中，IMSI不再使用明文傳輸，因此對攻擊者不可見。只有家鄉域的AAA服務器可以使用共享密鑰Khus獲取。此外，重認證時的臨時ID也不再通過消息傳輸，而是由HSS和UE分別獨立生成。所以用戶身份在改進的協議中得到了有力的保障。

(2)雙向認證

(a)UE和家鄉域網絡間的認證：HAAA獲取IMSI、驗證MACue和UE驗證MACh的成功是協議中UE和家鄉域網絡之間相互認證的關鍵點。只有這些驗證都成功，才能實現用戶與網絡的雙向認證。

(b)AP和家鄉域網絡間的認證：雖然AP和HAAA之間沒有直接的挑戰/響應機制，但是通過HAAA對MACap的驗證和AP對MSK的解密過程，它們之間進行了間接的認證。只有合法的AP使用ID和用戶公鑰才能計算出解密密鑰。成功解密EnMSK意味著HAAA使用正確的IDap生成加密密鑰。因此，AP和網絡之間的認證在改進的協議中也得到實現，從而避免了重定向攻擊。

(3)抵御中間人攻擊；

(a)加密IMSI的密鑰Khus根據每次認證時隨機生成的seq計算得出，攻擊者無法獲得。

(b)所有消息都有鑒別碼MAC驗證，可以有效抵御中間人攻擊。

(c)UE與AP的主會話密鑰MSK不再通過明文傳輸，加密MSK的共享密鑰Kha也只能由合法的AP計算得到。這保證了MSK不會被攻擊者獲取，從而防止中間人攻擊。

(4)防止重放攻擊：改進的協議中，共享密鑰Khus在對于每次認證會話都是唯一的，seq也是隨機生成的。因此，由該密鑰計算得出的所有參數都至于當前會話相關。

(5)密鑰機密性：共享密鑰Khus是用ECDH技術生成的。攻擊者難以計算得到。同時，認證向量AV的生成也使用密鑰Khus和Khu來計算不同的參數，而Khus和Khu在協議中都是由UE和HAAA各自生成的，攻擊者無法獲得。另一方面，盡管MSK的生成與IDap有關，但IDap在協議中都是以加密形式傳輸的，攻擊者無法據此獲得密鑰Kha，進而解密EnMSK獲得MSK。本協議中的所有會話密鑰的機密性都得到了保障。

(6)抵御重定向攻擊：假設攻擊者使用仿冒的IDap與UE建立了連接。為了完成認證過程，攻擊者仍然需要通過合法的接入點來轉發認證消息。此時，認證消息中會出現多個IDap：攻擊者仿冒的IDap以及合法接入點的IDap。收到認證消息HAAA將據此判定本次認證遭受了攻擊，認證失敗，從而抵御了重定向攻擊。

4.2 使用認證測試方法對改進的協議進行安全性證明

認證測試方法是基于串空間模型的一種安全協議形式化分析與驗證方法。通過構造測試分量驗證認證協議是否能達到身份認證及消息保密性等安全目標。

根據第3節中的假設1, HAAA服務器和HSS數據庫可視為一個通信實體。利用串空間模型的理論和概念，改進的協議可以形式化抽象為如圖2所示的模型。

圖 2 改進協議的正常串空間束

1 = cIDap

2 = cIDue||CTap||CTue||K||MACu

3= cIDue||CTap||CTue||K||MACu||MACap

4 = RES||EnMSK||MACh

5 = RES||EnMSK||MACh

改進的協議嚴格來說是一個三方協議。文獻[15]曾經證明：如果三方協議的主體間能夠保證兩兩交換消息的安全性，那么由它們組成的三方協議就能保證整個協議的安全性。因此，該協議可以簡化為3個雙方協議：UE和HAAA之間的認證、AP和HAAA之間的認證以及UE和AP之間的認證。只要證明UE與HAAA之間以及UE與AP之間安全，通過信任的可傳遞性，可推出UE和AP之間也是安全的。

令為串空間中的束，s為HAAA串，s為UE串，s為AP串。首先列出如下前提：

安全密鑰假設：在每一個UE和HAAA之間都有唯一的一個共享密鑰HU與之對應，而且這個共享密鑰并不為攻擊者所知。假定攻擊者的已知密鑰集為K，則HUK。

在改進協議的Bundle中，seq是s串唯一產生的。

(1)用戶終端和家鄉域網絡之間的安全性驗證：

根據改進協議的具體運行流程，可以得到該雙方協議的串和軌跡如下：

用戶終端的串和軌跡：

Init[{cIDue, CTap, CTue,K, MACu}, {RES, EnMSK, MACh}]

={+{cIDue, CTap, CTue,K, MACu},

-{RES, EnMSK, MACh}}

家鄉域網絡的串和軌跡：

Resp[{cIDue, CTap, CTue,K, MACu}, {RES, EnMSK, MACh}]

={-{cIDue, CTap, CTue,K, MACu}, +{RES, EnMSK, MACh}}

用戶終端和家鄉域網絡的雙方協議的Bundle如圖3所示。

圖 3 用戶終端和家鄉域網絡的雙方協議的Bundle

(a)用戶終端對家鄉域網絡的認證：

步驟1 構造測試分量。在該Bundle中，seq唯一產生于<s, 1>,。又因為seq是隨機數， RES = F2(Khus, seq)，所以CTue是seq對于<s, 1>的測試分量。是seq的入測試。

步驟2 定義節點。按照認證測試規則，節點為負節點。因此為某個HAAA串中的節點。假設該串為

步驟3 比較串的內容。由于seq是UE串中唯一產生的隨機數，且，因此= CTue。通過比較term(<, 1>)和UE串中的內容可以得到串=s。因此用戶終端能夠認證家鄉域網絡。

(b)家鄉域網絡對用戶終端的認證：

步驟1 構造測試分量。在Bundle中，隨機數seq唯一產生于<s, 1>，所以<s, 1>為seq的主動測試。

步驟2 定義節點。由于HUK，根據認證測試規則，{cIDue, CTap, CTue,K, MACu}只能產生于中正的正常節點。必為某個UE串中的節點。= Init[{cIDue, CTap, CTue,term。

步驟3 cIDue, CTap, CTue,K和MACu唯一產生于s串，HUK，則= EnMSK,= MACh，從而串=s。因此家鄉域網絡能夠認證用戶終端。

綜上所述，用戶終端至家鄉域網絡之間的通信協議的雙向認證是成功的。

(2)用戶終端和接入點之間的安全性驗證：根據改進協議的具體運行流程，可以得到該雙方協議的串和軌跡如下：

接入點的串和軌跡：

用戶終端的串和軌跡：

用戶終端至接入點的雙方協議的Bundle如圖4所示。

圖 4 用戶終端和接入點的雙方協議的Bundle

(a)接入點對用戶終端的認證：

步驟1 構造測試分量。在Bundle中，IDap唯一產生于<s, 1>,。因為,HUK，所以CTap是IDap對于<s-, 1>的測試分量。是IDap的入測試。

步驟2 定義節點。按照認證測試規則，節點為負節點。因此為某個UE串中的節點。假設該串為,，且= <, 1>, term(<, 1>) = cIDap。

(b)用戶終端對接入點的認證：

步驟1 構造測試分量。由于在該Bundle中，IDap唯一產生于<s, 1>，且。所以對于IDap來說，<s, 1>構成的測試量為IDap的主動測試。

步驟2 定義節點。由于HUK，根據認證測試規則，cIDap只能產生于中的正的正常節點。必為某個AP串中的節點。,=<, 1>, term (<,1>)=。

步驟3 cIDap唯一產生于s-串，HUK，則cIDap’ =cIDap，從而串=s。因此用戶終端能夠認證接入點。

綜上所述，用戶終端至接入點之間的通信協議的雙向通信是安全的。

(3)家鄉域網絡與接入點之間的安全性驗證：通過Guttman提出的信任傳遞性規律，由于家鄉域網絡和用戶終端之間以及用戶終端和接入點之間的通信都滿足安全需求，所以家鄉域網絡與接入點之間的通信也是安全的。

4.3 使用驗證工具對改進的協議進行安全性驗證

針對EAP-AKA協議中存在的安全問題，改進協議采取相應措施進行完善。使用安全協議驗證工具AVISPA[16]進行安全性驗證的結果表明，改進的協議是安全的(SUMMARY: SAFE)，結果中的統計量還包含運行訪問的節點總數5個，深度3等。

4.4 性能分析

通過開展實驗，并與相關協議進行詳細的對比分析，具體結果如表2所示。

表2 協議對比

改進的協議與其它協議相比，具有以下優勢：

(1)減少了認證時延：根據文獻[1]的模擬結果，完整認證的平均時延為1.568 s。認證時延Dauth可以進一步分為3部分：EAP消息由UE發送到接入網信道的發送時延Dtrans, EAP消息從UE傳輸到HAAA的傳播時延Dprop，以及處理時延Dtre(數據訪問、密鑰和標簽生成、計算、加解密等)。

此外，在11 Mbps的網絡中Dtrans可忽略不計，因此Dtrans遠小于Dprop+Dtre。在改進的協議中：

(a)UE與HAAA之間的傳播時延Dprop_uh的大小取決于UE所處的位置以及本地是否存在AAA服務器或代理服務器。傳播時延Dprop可以分為兩部分：UE與AP之間的傳播時延Dprop_ua，以及AP與HAAA之間的傳播時延Dprop_ah。

完整的EAP-AKA協議的認證時延為：Dauth = Dtre + 4Dprop_ua + 4Dprop_ah。改進的協議的認證時延為+Dprop_ua+ Dprop_ah。然而根據文獻[7]和文獻[10], Dprop_uh = Dprop_ua + Dprop_ah的時間大約是75 ms。因此，改進的協議在完整的認證過程中，就比原有EAP-AKA協議減少了225 ms，也就是14.34%的時延。

(b)與EAP-AKA相比，改進的協議能更快地檢測出認證過程中出現的攻擊者和被篡改的參數。協議使用ECDH生成密鑰，不是需要證書的公鑰基礎設施，這為家鄉域的AAA服務器節省了大量的處理時間。

(2)減少了帶寬消耗：

(a)在EAP-AKA協議中，為了保證EAP響應沒有被中間結點篡改，需要發送AKA-身份請求。然而，在改進的協議中，步驟1中對cIDue和CTue的成功解密和對IDap的成功驗證足以滿足這一安全需求，無需再次向UE發出身份請求。

(b)改進的協議中不再需要序列號同步過程。因此，原有協議在同步失敗的情況下發送重同步消息的帶寬消耗也被消除。

5 結束語

本文討論原有EAP-AKA認證協議的缺陷，為了從用戶的角度理解安全和服務質量的平衡，回顧對EAP-AKA進行改進的相關文獻，并指出它們所提出的協議的弱點。在此基礎上，提出一種適用于泛在網絡中身份認證的改進協議，將傳統EAP-AKA的適用性從3G系統擴展到泛在網絡中。新協議簡化EAP-AKA的認證過程，提高了認證效率，為用戶和接入點的身份信息提供有效保護，實現用戶終端、家鄉域網絡以及接入點的相互認證，最后使用認證測試方法和安全協議分析工具證明所提出的改進協議的安全性，并通過開展實驗對協議進行比較分析，從而驗證了新協議的有效性和高效率。

[1] KWON H, CHEON K Y, ROH K H,. USIM based authentication test-bed for UMTS-WLAN handover[OL]. http://infocom2006.ieee-infocom.org/Posters/1568980767_USIM

%20based%20Authentication%20 Test-bed/1568980767_USIM% 20based%20Authentication%20Test-bed%20.pdf. 2015.

[2] IETF. RFC 4187 -2006. Extensible authentication protocol method for 3rd generation authentication and key agreement (EAP-AKA)[S]. J Arkko, H Haverinen, 2006.

[3] MUN H, HAN K, and KIM K. 3G-WLAN interworking: Security analysis and new authentication and key agreement based on EAP-AKA[C]. Wireless Telecommunications Symposium, Prague, 2009: 1-8. doi: 10.1109/WTS.2009. 5068983.

[4] CAO J, MA M, LI H,A survey on security aspects for LTE and LTE-A networks[J].&, 2014, 16(1): 283-302. doi: 10.1109/SURV. 2013.041513.00174.

[5] ANANTHA NARAYANAN V, SURESH KUMAR V, and RAJESWARE A. Enhanced fast iterative localized re-authentication protocol for UMTS-WLAN interworking[C]. 2014 International Conference on Electronics and Communication Systems (ICECS), Marseille, 2014: 1-5. doi: 10.1109/ECS.2014.6892696.

[6] BOUABIDI I E, DALY I, and ZARAI F. Secure handoff protocol in 3GPP LTE networks[C]. 3rd International Conference on Communication and Networking (ComNet), Hammamet, 2012: 1-6. doi: 10.1109/ComNet.2012.6217746.

[7] SHIDHANI A A and LEUNG V. Local fast re-authentication protocol for 3G-WLAN interworking architecture[C]. Wireless Telecommunications Symposium, Pomona, CA, 2007: 1-8. doi: 10.1109/WTS.2007.4563332.

[8] EL H E I Y, ZAHID N, and JEDRA M. A new fast re-authentication method for the 3G-WLAN interworking based on EAP-AKA[C]. 20th International Conference on Telecommunications (ICT), Casablanca, 2013: 1-5. doi: 10.1109/ICTEL.2013.6632107.

[9] 傅建慶, 陳健, 范容, 等. 基于代理簽名的移動通信網絡匿名漫游認證協議[J]. 電子與信息學報, 2011, 33(1): 156-162. doi: 10.3724/SP.J.1146.2009.01455.

FU Jianqing, CHEN Jian, FAN Rong,. Delegation-based protocol for anonymous roaming authentication in mobile communication network[J].&, 2011, 33 (1): 156-162. doi: 10.3724/ SP.J.1146.2009.01455.

[10] IDRISSI Y E H E, ZAHID N, and JEDRA M. Security analysis of 3GPP (LTE)-WLAN interworking and a new local authentication method based on EAP-AKA[C]. 2012 International Conference on Future Generation Communication Technology (FGCT), London, 2012: 137-142. doi: 10.1109/FGCT.2012.6476561.

[11] PATKAR S S and AMBAWADE D D. Secure 3GPP-WLAN authentication protocol based on EAP-AKA[C]. IEEE International Advance Computing Conference (IACC), Banglore, 2015: 1011-1016. doi: 10.1109/IADCC.2015. 7154857.

[12] ALEZABI K A, HASHIM F, HASHIM S J,. An efficient authentication and key agreement protocol for 4G (LTE) networks[C]. 2014 IEEE Region 10 Symposium, Kuala Lumpur, 2014: 502-507. doi: 10.1109/TENCONSpring. 2014.6863085.

[13] YU Binbin, ZHANG Jianwu, and WU Zhendong. Improved EAP-AKA protocol based on redirection defense[C]. 9th IEEE International Conference on P2P, Parallel, Grid, Cloud and Internet Computing (3PGCIC), Guangdong, 2014: 543-547. doi: 10.1109/3PGCIC.2014.106.

[14] 侯惠芳, 劉光強, 季新生, 等. 基于公鑰的可證明安全的異構無線網絡認證方案[J]. 電子與信息學報, 2009, 31(10): 2385-2391. doi: 10.3724/SP.J.1146.2008.01411.

HOU Huifang, LIU Guangqiang, JI Xinsheng,. Provable security authentication scheme based on public key for heterogeneous wireless network[J].&, 2009, 31(10): 2385-2391. doi: 10.3724/SP.J.1146.2008.01411.

[15] GUTTMAN J D. Security protocol design via authentication tests[C]. Proceedings of the IEEE Computer Security Foundations Workshop, Cape Breton, 2002: 92-103. doi: 10.1109/CSFW.2002.1021809.

[16] BOZGA L, LAKHNECH Y, and PERIN M. HERMES: An automatic tool for verification of secrecy in security protocols[C]. CAV 2003, LNCS 2725, Berlin Heidelberg, 2003: 219-222. doi: 10.1007/978-3-540-45069-6_23.

A Secure Authentication Protocol of Ubiquitous Convergent Network

QI Yong GUO Shiwei LI Qianmu

(,&,210094,)

Ubiquitous network is a kind of standard heterogeneous network. It is a hot research topic to secure switching between networks. This paper analyzes EAP-AKA, which is used during handoff across heterogeneous networks. However, this protocol has high authentication delay and is confronted with several security threats, such as user identity disclosure, man in middle attack and DoS attack. Moreover, access point of the access network is not verified, leaving the user under attack even after heavy authentication procedure. To deal with the above security vulnerabilities, an improved secure authentication protocol for ubiquitous network based on EAP-AKA protocol is proposed, extending the applicability of traditional EAP-AKA protocol from the 3G system to ubiquitous network. The new protocol reduces authentication delay and effectively protects identities of users and access points. In order to avoid main session key leakage, the Diffie Hellman algorithm is used to generate a symmetric key randomly each time. The mutual authentication between user endpoint and the home network is also achieved in new protocol. Experiments and analysis verifies effectiveness and efficiency of the proposed protocol.

Ubiquitous network; Access control; Secure authentication protocol; EAP-AKA

TP309

A

1009-5896(2016)07-1800-08

10.11999/JEIT151043

2015-09-06；改回日期：2016-02-25；網絡出版：2016-04-26

戚湧 790815561@qq.com

國家自然科學基金(61272419)，江蘇省未來網絡前瞻性研究(BY2013095-3-02)

The National Natural Science Foundation of China (61272419), Future Network Research Projects in Jiangsu Province (BY2013095-3-02)

戚 湧： 男，1970年生，博士，教授，博士生導師，研究方向為網絡信息安全.

郭詩煒： 女，1990年生，碩士生，研究方向為網絡信息安全.

李千目： 男，1979年生，博士，教授，博士生導師，研究方向為網絡信息安全.