一種適用于5G 衛星網絡的海量終端匿名群組認證協議*

張帥領，陳李蘭，曹 進，馬如慧，胡華鵬

（1.中國電子科技集團公司第三十研究所，四川 成都 610041；2.西安電子科技大學，陜西 西安 710126）

0 引言

國際電信聯盟ITU 于2015 年正式確定第5 代通信系統（5th Generation Mobile Networks，5G）的3 大典型應用場景，分別是增強型移動寬帶、海量機器通信和超高可靠低時延通信。第三代合作伙伴計劃（3rd Generation Partnership Project，3GPP）于2016 年啟動了5G 標準化研究，并于2020 年7 月完成了5G 的第一個演進版本標準完成，標志著5G三大應用場景核心支持標準已準備就緒。已完成的第一個5G 演進版本標準基本涵蓋用戶面向陸地網絡的通信需求，但面對海空天區域的融入5G 網絡仍在探索階段[1]。3GPP 于2019 年啟動了5G 第二個演進版本標準的研究計劃，以實現5G 網絡的全方位、立體化多域覆蓋能力。近地型小型衛星（Low Earth Orbit，LEO）相比傳統衛星，制造成本更低，且傳輸時延更低，可以滿足5G 網絡立體化多域覆蓋的通信需求，近年來已經引起了廣泛關注。3GPP在標準TS 22.261[2]中已經將衛星接入技術納入5G網絡的基本接入技術之一。中國在低軌衛星通信方面，有中國正在規劃的2030 年國家科技創新重大專項“天地綜合信息網的低地軌道接入網”、航空航天科技集團策劃的“紅巖計劃”等[3]。

衛星網絡已經成為5G網絡不可缺少的一部分，在為用戶提供無處不在的接入功能的同時，給系統帶來了安全和性能方面的挑戰。

首先，由于衛星網絡節點暴露，無線通信信道開放等特點使得用戶數據變得不安全，易受到監聽、篡改、假冒等攻擊[4]。因此，終端接入5G 衛星網絡需實現終端與5G 衛星網絡間的相互認證與密鑰協商。其次，衛星與地面之間的高延遲以及衛星較弱的處理能力，則使得認證方案不能過于復雜。然后，衛星相對于地面間的高速運動，導致用戶面臨著通信連續的困難，需要設計安全高效無縫的切換認證機制，才能保證用戶在復雜多變的網絡拓撲結構中保障通信的安全穩定性。此外，5G 網絡可以支持海量終端[4]，但是目前3GPP 針對海量終端并發通過衛星網絡接入地面網絡并未設計相應的并發接入和切換認證方案，而海量終端并發連入網絡采用單個終端接入或切換認證協議會瞬時產生大量的通信開銷、信令開銷，進而可能導致信令沖突、關鍵節點擁塞等問題。因此，需要設計適用于5G 衛星網絡海量終端的并發接入和切換認證方案。

從20 世紀末，人們就開始研究衛星網絡接入認證方案。傳統的衛星網絡模型由單一用戶、單一衛星和地面管理中心（Network Control Center，NCC）3 部分組成。Cruickshank[5]最早將公鑰密碼學知識應用到GSM 衛星認證場景中。文獻[6-8]著重于如何使用更高效的密碼技術來實現認證。文獻[6]用對稱密碼算法代替公鑰密碼算法，但方案存在會話密鑰泄露風險。文獻[7]在文獻[6]的基礎上進行改進，引進哈希和異或等操作來彌補會話密鑰協商過程中的安全缺陷，但是并不能為用戶提供隱私保護，且不能抵御假冒攻擊。文獻[8]試圖改進公鑰密碼系統PKC 和私鑰密碼系統SKC 給衛星通信過程中帶來的高計算開銷和密鑰管理繁瑣等缺陷，提出了一種自驗證認證方法，減少了地面基礎設施的部署，但由于模冪運算較多，認證中心的計算負擔仍然較大。受文獻[8]思路的啟發，文獻[9-10]等方案被提出，旨在使用更安全高效的哈希函數來減輕計算負擔，改進密鑰管理方法，但是還是存在不能抗重放攻擊、泄露認證信息等缺點。文獻[11]在文獻[10]的基礎上加強了部分安全性，可抵抗DoS 攻擊、重放攻擊等，但仍未改善認證信息泄露等問題，且增大了系統計算負擔。文獻[12]在文獻[10]的基礎上提出了一種不需要鏈表的方案，但是其智能卡丟失將無法保障安全。文獻[13]指出文獻[11]依舊存在重放攻擊、注入攻擊等缺陷，并提出了改進方案。最近，ECC 被廣泛使用，文獻[14-16]均應用了橢圓密碼曲線相關知識。其中，文獻[15-16]指出文獻[14]方案無法提供完美前向保密和無法防護智能卡丟失等缺陷，提出了改進方案。但是，文獻[17]指出文獻[14-16]等方案存在3 個弱點，即無法抵抗離線密碼猜測攻擊、重放攻擊以及無法提供用戶的不可追溯性，提出了基于魯棒三因素的認證協議。隨著衛星的不斷發展，衛星本身的計算能力得到提升，海量終端的接入認證也在被挖掘思考。文獻[18]使用代理簽名方案，將NCC 驗證的部分轉移到衛星上，減少了認證時間。文獻[19]則提出使用組簽名來實現用戶匿名性，NCC 暫時充當群管理員，同樣將驗證工作轉移至衛星上，但是需要額外的可信第三方發放和管理密鑰對。此外，上述并沒有專門針對大量設備接入衛星網絡設計認證機制。當大量用戶接入網絡時會產生堵塞情況。因此，文獻[20]提出一種支持單用戶和多用戶接入衛星網絡的方案，使用基于格的困難問題，實現終端與衛星網絡的相互認證等各種安全特性。但是，該方案由于采用格理論密碼學耗費了大量通信開銷等，并不適用于當前的5G 衛星網絡。

此外，由于衛星網絡的持續運轉特性以及終端的移動特性，終端需頻繁切換衛星網絡。但是，衛星網絡切換機制與地面網絡不同，目前關注較多的是在通信層面研究衛星網絡的切換機制，但是在安全層面衛星網絡切換認證方案的研究還較少。文獻[21]提出一種基于預認證的切換算法來實現LEO網絡下的安全切換，指出衛星網絡切換不僅僅需要多種切換策略和算法來降低切換過程中的計算開銷和信令開銷，也要利用接入認證機制來保護切換過程中的安全性。文獻[22]則提出空間信息網絡中高速移動的群組的安全高效接入和切換認證需求，并基于密鑰分層、對稱密碼的思想提出了一種群組多用戶快速認證協議。但是，因為是最先收到消息的用戶向組內用戶傳播信息，所以組內開銷過大，不能支持群組內成員變動。文獻[23]則提出一種基于橢圓曲線的接入認證機制，然后討論同一批次用戶在低速移動和高速移動兩種狀況下的切換方案，旨在進行批驗證從而提高切換效率。但是，因為其將認證大部分過程轉移到衛星上，并沒有減少通信過程中的計算開銷和信令開銷。

綜上所述，目前國內外所提出的接入認證和切換認證方案大多都是針對單個終端接入或切換，且已有的方案存在各種安全和性能缺陷，無法滿足海量終端并發接入或切換的安全和性能需求。因此，研究適用于5G 衛星網絡海量終端的安全、高效的并發接入和切換認證方案十分迫切。

另外，考慮到雖然3GPP 現階段5G 研發的目的之一在于實現所有設備終端不僅可以通過地面基站接入5G 核心網，而且可以通過衛星接入地面5G核心網，以實現全球隨時隨地的立體多域全覆蓋。但是，當前衛星網絡相較于地面網絡的發展還稍有不足，且由于用戶終端電池能耗等方面受限，當前大部分用戶終端僅支持通過基站方式接入5G 核心網絡或者僅支持通過衛星方式接入地面5G核心網。將當前的所有移動終端遷移至既可支持地面基站又可支持衛星等接入方式的多接入終端，需要一個漫長的過程。為此，3GPP 提出了衛星網絡中繼節點的概念[24]。中繼節點具有衛星接入能力，且可作為普通接入點（例如基站）輔助無衛星接入能力的終端在無基站覆蓋的區域通過衛星接入至地面網絡。中繼節點的出現，使得當前無衛星接入能力的終端隨時隨地接入5G 網絡成為可能。

因此，本文借助于3GPP 衛星網絡場景中的中繼節點提出了一種適用于普通用戶終端的5G 衛星網絡匿名群組認證方案，特點如下。

（1）支持船舶大規模不具備衛星接入能力的終端借助中繼節點通過衛星網絡接入地面5G 核心網，確保不具備衛星接入能力的終端在無基站覆蓋區域的通信可能性。

（2）通過衛星位置可預測機制，支持船舶大規模設備安全無縫切換至目標衛星，保障網絡服務的連續可靠性。

（3）支持通信過程中群組內成員快速加入和退出，提高群組管理的靈活性。

（4）采用安全分析和性能分析，充分評估提出方案的安全性。在安全分析方面，采用BAN 邏輯和非形式化安全分析方法，充分證明了提出方案的安全性。在性能分析方面，從信令開銷、傳輸開銷以及計算開銷方面，通過與其他相關方案對比，評估了協議的性能。

1 系統模型和安全模型

1.1 系統模型

如圖1 所示，遠洋輪船上沒有衛星接入能力的用戶終端，可以通過具有衛星接入能力的船載中繼節點RN 接入衛星網絡，進而連接至地面5G 核心網絡。

5G 衛星網絡架構[24]主要包括以下幾個部分。

（1）用戶終端。已注冊至5G 核心網實體身份管理系統中的普通用戶終端，可以通過地面基站接入5G 核心網絡。但是，由于它不具備衛星接入能力，無法直接通過衛星網絡接入5G 核心網絡。

（2）中繼節點。3GPP TR22.822 中，衛星連接場景提出了中繼節點的概念[24]。固定安裝在輪船上的中繼節點先作為具有衛星接入能力的衛星終端接入衛星網絡，進而作為接入點（基站）輔助輪船上的普通用戶終端接入衛星網絡。中繼節點可轉發衛星網絡與終端之間的消息。

（3）5G 衛星接入網絡。衛星作為5G 網絡的接入方式之一，具有一定的計算和存儲能力，且能夠轉發中繼節點與關口站之間的消息。關口站是連接衛星網絡與地面5G 核心網絡的關鍵網關。

（4）地面5G 核心網絡。5G 核心網絡主要包括拜訪域和歸屬域。歸屬域的認證鑒權系統AUSF和實體身份管理系統UDM 處于同一個服務器，負責用戶注冊管理和后續的接入鑒權。處于拜訪域的移動切換安全服務系統AMF 則負責用戶與衛星間的安全切換過程的管理。移動切換安全服務系統、認證鑒權系統、實體身份管理系統以及關口站之間，都通過已經提前建立好的安全信道傳輸數據。

圖1 5G 衛星網絡架構

1.2 安全模型

衛星通信基于無線通信技術。針對無線通信，有兩種被人所熟知的威脅模型——Dolev-Yao（DY）模型和Canetti-Krawczyk（CK）模型。在DY 模型[25]中，信道會被監聽，消息會被攻擊者更改、重放或攔截。CK 模型[26]中則會出現長期密鑰泄露或者臨時會話密鑰泄露的情況。因此，根據提出的系統模型，分析得到系統的安全需求如下。

（1）相互認證。5G 網絡以及衛星網絡能夠認證用戶的身份合法性，阻止非法用戶接入，同時用戶也能認證5G 網絡的合法性，防止假冒攻擊和中間人攻擊。

（2）數據機密性。用戶與5G 網絡在建立會話的過程中要協商出會話密鑰，以保證后續通信數據的安全性，同時為用戶與衛星網絡之間提供會話密鑰。

（3）匿名性。除了核心網服務器能夠知道用戶的真實身份標識外，其余通信過程中涉及到的實體均不能知道用戶真實身份標識。

（4）前后密鑰分離。為了保護用戶接入網絡后的通信安全和切換認證，實現前后密鑰分離，確保獲得已知會話密鑰不能幫助敵手獲得之前或之后的基礎密鑰，從而無法獲取之前或者之后的通信數據內容。

2 群組認證方案

針對5G 衛星網絡場景需求，本文改進了現有的5G 接入認證協議，提出了一種適用于5G 衛星網絡的群組認證方案。此方案包括系統初始化階段、群組接入認證階段、群組切換認證階段、群成員加入和退出階段4 個階段。具體地，輪船上所有的用戶終端可以構成一個固定群組，其中中繼節點作為群主。首先，當首次接入衛星網絡時，群主聯合群組成員執行群組接入認證過程。其次，由于衛星和輪船的移動性，為保證用戶享受高質量的網絡服務，需執行群組切換認證過程，以從源衛星切換至目標衛星。最后，為滿足群組動態變化的需求，當群組成員動態加入和退出時，執行群成員的加入與退出過程。表1 列舉了方案中使用到的符號及含義。

2.1 系統初始化階段

系統初始化階段，所有需要接入網絡的用戶終端需在地面實體身份管理系統中離線注冊成為合法用戶，步驟如下。

實體身份管理系統選擇一個隨機數sk∈Zq作為系統私鑰，并計算pk=sk*P作為系統公鑰，其中P為橢圓曲線上的一個生成元，q為一個大素數。終端通過離線注冊獲得永久身份標識ID、預置主密鑰K以及系統公鑰pk。

表1 方案中使用的符號及其含義

2.2 群組接入認證階段

當首次接入衛星網絡時，輪船上的海量用戶終端構成一個固定群組。中繼節點匯聚所有群成員的接入認證請求消息并轉發至衛星，進而傳輸至地面5G核心網絡。地面5G 核心網絡節點與固定群組成員基于預共享密鑰K完成認證。協議流程如圖2 所示。

不失一般性，假設群成員的個數為n。具體過程如下。

步驟1：當中繼節點監測到需要接入衛星網絡時，啟動定時器，設置定時器觸發值，并向周圍廣播群組接入認證通知消息，其中消息內容包括新生成的群組身份標識GID。

步驟2：群成員收到通知后，需要接入網絡的終端首先生成一個素數zi和一個隨機數xi，并計算Xi=xi*P以及對稱密鑰SKi=h(xi*pk)，然后使用對稱加密算法得到密文，隨后每個群成員向中繼節點發送{Ci,Xi}。

圖2 群組接入認證過程

步驟3：中繼節點在定時器時間到達后，將收到的n個群組成員的認證請求消息打包為{(C1,X1,C2,X2,…,Cn,Xn),GID}發送給衛星。

步驟4：衛星接收并轉發消息給地面關口站，關口站進而轉發消息給移動切換安全服務系統。

步驟5：移動切換安全服務系統收到消息后，將消息附上其拜訪域身份標識SNID后發送給接入鑒權系統和實體身份管理系統所在的服務器。

步驟6：收到消息后，服務器里的實體身份管理系統先采用其私鑰sk計算每個對稱密鑰SKi=h(Xi*sk)，從而解密獲得IDi和zi，隨后實體身份管理系統驗證所有IDi的有效性。如果驗證成功，則根據GID生成一個群共享密鑰GK。實體身份管理系統選取一個隨機數R2，通過ID找到每個群成員的長期共享密鑰K。利用中國剩余定理計算消息驗證碼XMAC，具體如下：

實體身份管理系統利用密鑰導出函數KDF計算群組臨時共享密鑰TGK=KDF(GK,R2)、所有成員的確認消息XRESi=h(Ki,R2)以及對應的AMF密鑰。此外，為將群共享密鑰GK安全地分發給每個群成員，實體身份管理系統計算UKi=KDF(Ki,R2,zi)，且采用UKi加密GK。每個終端的認證向量構成為。然后，實體身份管理系統將R2、GID、TGK、XMAC和認證向量組發送給接入鑒權系統。接入鑒權系統計算出群組認證確認值XRESG=XRES1⊕…⊕XRESn，并對其進行哈希運算得出HXRESG=h(R2,XRESG)。隨后，接入鑒權系統將認證響應消息傳輸給移動切換安全服務系統，消息為(R2,GID,。

步驟8：衛星收到消息后，提取并保存HXRESG、TIDi、KSat-i等相關信息，然后計算HXRESG=h(HXRESG)，隨后將,HHXRESG}發送給中繼節點。

步驟9：中繼節點直接廣播消息給所有群成員。群成員收到后，驗證XMAC=h(SNID,Ki,zi)modzi。若通過，則計算RESi=h(Ki,R2)和UKi=KDF(Ki,R2,zi)，進而解密獲得群共享密鑰GK，計算出臨時群共享密鑰TGK=KDF(GK,R2)。最后，群成員向中繼節點發送RESi。

步驟10：中繼節點計算RESG=RES1⊕…⊕RESn和HHRESG=h[h(R2,RESG)]，并驗證HHRESG是否等于衛星發送的HHXRESG。如果相等，則表示衛星網絡將成功認證群組。因此，中繼節點將RESG發送給衛星，同時給群組成員發送成功認證通知消息。隨后，終端計算、終端臨時身份標識以及與衛星的基礎密鑰。至此，終端和衛星共同擁有共享密鑰KSat-i。

步驟11：衛星計算得到HRESG=h(R2,RESG)，將HRESG與HXRESG進行比較，若相等，則將RESG轉發給移動切換安全服務系統。此時，完成衛星對群組的認證。

步驟12：移動切換安全服務系統收到消息后，轉發給地面5G 核心網絡服務器。服務器驗證RESG和XRESG是否相等，如果相等，則群組成員成功入網。

完成群組接入認證后，衛星與每個群組成員將KSat-i作為基礎密鑰，將TIDi作為群成員的臨時標識。

2.3 群組切換認證階段

當源衛星信號變弱即將無法為群組成員提供平滑的網絡通信時，輪船上的海量用戶終端執行群組切換認證方案。在本方案中，當中繼節點監測到源衛星信號即將無法提供平滑通信時，啟動預切換過程，發送預切換請求給拜訪域的移動切換安全服務系統。移動切換安全服務系統利用衛星節點軌跡可預測的特點，結合群組當前的位置信息，決策出群組需要接入的下一個目標衛星，并提前向目標衛星發送認證向量。當終端進入目標衛星范圍后，可直接與衛星進行快速認證，降低切換時延。具體包括以下預切換過程和切換過程2 個步驟。

步驟1：預切換過程，即安全切換前的準備工作，具體過程如圖3 所示。

步驟1-1：中繼節點廣播預切換通知消息給所有群成員，群成員將其臨時身份標識TIDi發送給中繼節點，中繼節點生成隨機數R3，并將所有TIDi、R3、GID以及當前輪船位置信息一并發給當前衛星SA1。

圖3 預切換過程

步驟1-2：當前衛星SA1將消息轉發給拜訪域中的移動切換安全服務系統。

步驟1-3：移動切換安全服務系統收到消息后，結合群組位置信息、衛星軌跡信息等有效信息，預測出該群組即將接入的下一個衛星SA2。隨后，移動安全切換服務系統選擇一個隨機數R4，根據每個群成員的TIDi找到對應的共享密鑰，計算所有的消息認證碼，計 算XMAC=XMAC1⊕…⊕XMACn。移動切 換安全服務系統更新每個群成員的基礎密鑰和群成員臨時標識。最后，移動安全切換服務系統將、GID、XMAC和R4通過組網建立好的安全信道提前發送給目標衛星SA2。

步驟2：當群成員進入目標衛星的覆蓋范圍后，直接執行正式切換過程，如圖4 所示。

圖4 切換執行過程

具體步驟如下。

步驟2-1：中繼節點發送群組身份標識GID給目標衛星SA2。

步驟2-2：目標衛星SA2收到消息后，根據每個IDi的以 及R4計 算，然后計算新的群組認證向量值XRES0=XRESi⊕…⊕XRESn和HXRES=h(XRES0)。隨后，目標衛星給中繼節點發送XMAC、R4以及HXRES。

步驟2-3：中繼節點收到消息后，將R3和R4轉發給給群成員，隨后群成員由R3、R4更新計算得到新的基礎密鑰、臨時身份標識以及消息認證碼和認證向量值R4)，最后群成員將MACi以及RESi發送給中繼節點。

步驟2-4：中繼節點收到MACi和RESi后，計算群組消息認證碼MAC=MAC1⊕…⊕MACn，并驗證MAC=XMAC。若驗證通過，則計算RES0=RESi⊕…⊕RESn和驗證HXRES=h(RES0)。若此驗證也通過，則表明目標衛星可成功認證群組成員。隨后，中繼節點將RES0給目標衛星SA2，同時通知群成員切換成功。

步驟2-5：衛星SA2將收到的RES0與本地存儲的XRES0進行比對，若一致，則認證通過。

需要注意，群切換認證階段更新了衛星與每個群組成員的基礎密鑰和群成員的臨時標識TIDi*。

2.4 群成員的加入和退出階段

為了使方案富有彈性和靈活性，滿足群組成員的更替情況，還設計了群成員的加入和退出過程，在盡可能減小開銷的情況下滿足場景需求。

2.4.1 群成員加入階段

當合法的新成員k請求加入群組時，如圖5 所示。成員k安全的發送身份標識給實體身份管理系統，實體身份管理系統驗證其身份標識的有效性，然后生成新的群共享密鑰GK發送給所有的現有群成員。

圖5 群成員加入過程

具體過程如下。

步驟1：新成員k生成隨機數xk，并計算Xk=xk*P和SKk=h(xk*pk)，隨后計 算出密文，并將GID，Ck，Xk發送給中繼節點。

步驟2：中繼節點收到消息后，首先選取隨機數R5，然后計算消息認證碼s=h(GK,GID,Ck,R5,1)隨后將s、GID、Ck、Xk、R5發送給實體身份管理系統。

步驟3：實體身份管理系統由GID搜索到群組密鑰GK，然后驗證s的合法性。若驗證通過，則實體身份管理系統選擇一個隨機數R6，計算出對稱密鑰SKk=h(Xk*sk)，使用SKk解密Ck得到成員k的身份標識IDk，并搜索得到其對應的長期共享密鑰Kk，然后計算消息認證碼XMACk=h(SNID,Kk,R5)、認證向量值XRESk=h(Kk,R6)以及密鑰，隨后實體身份管理系統將MACk和R6發送給中繼節點。中繼節點將MACk、R6以及R5轉發給新成員k。

步驟4：新成員k收到消息后，先驗證MACk。如果驗證成功，則計算認證響應值RESk=h(Kk,R6)并將RESk發送給中繼節點，再由中繼節點轉發給實體身份管理系統。

步驟5：實體身份管理系統收到后，首先驗證RESk=XRESk。若驗證成功，實體身份管理系統計算新的群組密鑰GK*=KDF(GK,R6,R5)、加密密鑰UKj=KDF(Kj,R6,R5)以及新的群組臨時密鑰TGK*=KDF(GK*,R6)，其中j=1,…,n或j=k。然后，實體身份管理系統向移動切換安全服務系統發送。

步驟6：移動切換安全服務系統接收到后，為新加入的IDk計算相應的臨時標識TIDk且將所有IDj替換為相應的TIDj。移動切換安全服務系統轉發消息給中繼節點。

步驟7：中繼節點將收到消息以及R5和R6一起發送給群組成員，群成員更新群組密鑰為GK*。

2.4.2 群成員退出階段

當群組內有群成員i想要退出群組時，如圖6所示，成員k直接將其臨時標識發送給核心網節點，核心網節點驗證標識有效后生成新的群共享密鑰GK，并且發送給所有現有群成員。

圖6 群成員退出過程

具體過程如下。

步驟1：群成員i向中繼節點發送退出請求消息。包括群組身份標識GID、自己的臨時身份標識TIDi、新生成的隨機數R7以及消息驗證碼s=h(GK,GID,IDi,R7,0)。

步驟2：中繼節點轉發退出請求消息給移動切換安全服務系統。移動切換安全服務系統替換TIDi為IDi，然后轉發給實體身份管理系統。

步驟3：實體身份管理系統收到消息后，首先根據GID搜索到相應的GK，然后驗證s的合法性。若驗證通過，實體身份管理系統選擇一個隨機數R8和一個新的GK*，計算UKj=KDF(Kj,R8,R7)，其中j=1,…,n且j ≠i以及群組臨時共享密鑰TGK*=KDF(GK*,R8)。隨后，實體身份管理系統通過安全信道向移動切換安全服務系統發送消息。

步驟4：移動切換安全服務系統轉(GID,TGK*,發給中繼節點。中繼節點將接收到的消息附著上R7后廣播給所有現有群成員。現有群成員更新群組密鑰為GK*。

3 方案分析

3.1 基于BAN 邏輯的安全性證明

3.1.1 BAN 邏輯規則介紹

本文使用BAN 邏輯對提出的群組接入認證方案進行形式化分析。BAN 邏輯[27]是一種以知識和和信仰為基礎的形式化分析工具，具體分析過程如下。首先，將協議里的消息進行理想化；其次，根據協議做出最初的假設，提出方案的最終目標；最后，根據BAN 邏輯規則進行推導，若能推導出最終目標，則證明協議是安全的，否則協議存在漏洞。它的基本表達式說明如表2 所示。

表2 BAN 邏輯表達式說明

BAN 邏輯推理規則如下。

（1）消息含義規則（Message-Meaning Rule）：

（2）信念規則（Belief Rules）：

（3）接收消息規則（Seeing Rule）：

（4）隨機數驗證消息規則（Nonce-Verification Rule）：

（5）消息新鮮性驗證規則（Freshness Rule）：

（6）管轄規則（Jurisdiction Rule）：

3.1.2 方案證明過程

在此對群組接入認證方案進行形式化驗證，因為BAN 邏輯不支持證明保密性，因此對方案進行理想化，去掉對推理過程沒有幫助的消息。

規定實體描述如下：群組成員Mi，衛星SAT，移動切換安全服務系統SEAF，服務器AAA。

（1）提出的接入認證方案所涉及的消息進行理想化描述如下。

由S7、S12、S14 以 及S18 可 知，達到目 標G1～G4。綜上所述，所提方案可以滿足群成員與5G核心網之間的雙向認證，并且能夠協商出會話密鑰。

3.2 非形式化安全分析

本節采用非形式安全分析方法證明了提出的群組接入認證方案的安全性。

3.2.1 相互認證

在執行群組接入認證的過程中，一方面群組成員可以根據XMAC認證實體身份管理系統的合法性，另一方面網絡側可以通過群組產生的聚合后的RESG認證所有群組成員。

3.2.2 匿名性

在執行群組接入認證的過程中，每個群成員將自己的身份標識ID采用實體身份管理系統的公鑰pk加密，只有實體身份管理系統可以解密獲得ID。隨后，實體身份管理系統將群成員標識通過安全通道發送給接入鑒權系統、移動切換安全服務系統等，因此攻擊者無法獲得群成員的身份標識信息。

3.2.3 密鑰協商

在群組接入認證過程中，由于預置主密鑰K只有終端側和實體身份管理系統側可以得到，實體身份管理系統根據K導出KAMFi，通過已經提前建立好的安全通道發送給移動切換安全服務系統，而移動切換安全服務系統和終端則根據KAMFi和公開傳輸的隨機數導出基礎密鑰KSat-i。隨后，移動切換安全服務系統將KSat-i通過安全通道發送給衛星。因此，衛星與終端之間可以安全協商出基礎密鑰。

3.2.4 前、后密鑰分離

在每次群組接入認證過程中都會產生新的隨機數R2用于計算基礎密鑰KSat-i，因此密鑰彼此獨立。即使獲取了當前基礎密鑰，攻擊者也不可能獲得之前或者之后的基礎密鑰。因此，本方案可實現前、后密鑰分離。

3.2.5 抵擋重放攻擊

在群組接入認證過程中，每個群成員通過驗證XMAC來判斷消息是否重放，其中XMAC是實體身份管理系統根據每個群成員的隨機數zi生成的；而實體身份管理系統側可以通過驗證RESG判斷消息是否重放，其中RESG是群組根據實體身份管理系統的隨機數R2生成的。因此，本方案可以抵達重放攻擊。

3.2.6 抵抗假冒攻擊

在群組接入認證過程中，由于終端側與網絡側實現了相互認證，因此攻擊者無法假冒其中一方和另一方通信。

3.3 性能分析

在性能分析階段，從信令開銷、通信開銷、計算開銷3 個方面將本文方案與標準中接入認證方案5G-AKA[28]、5G 標準中N2 切換[29]以及文獻[23]的方案進行比較，其中將標準中的基站單獨與衛星進行比較。不失一般性，假設群組成員的數量為n。為了公平起見，在相同的AES 128 bits 的安全等級下進行比較[30]。基于ECC 的密鑰大小為256 bits，基于有限域加密的參數，公鑰大小為3 072 bits，私鑰大小為256 bits。此外，密鑰生成函數輸出長度256 bits，散列函數輸出長度為128 bits，隨機數大小為128 bits，時間戳大小為32 bits，身份信息為128 bits，SNID為24 bits。

3.3.1 信令開銷

在信令開銷方面，將本文方案中群組接入認證方案和5G-AKA、文獻[23]接入認證方案進行對比，將群組切換認證方案與N2 切換、文獻[23]高速移動場景下的切換認證方案進行對比，結果如表3所示。

表3 信令開銷

圖7 和圖8 分別隨終端數量增加時，接入認證和切換認證所需要的信令開銷。本文方案相比5G-AKA和N2切換是有很大優勢的，信令開銷較小。和文獻[23]的方案相比，群組成員數量越多，本文方案越有優勢。因此，提出的方案可以有效避免海量終端并發認證過程中的信令沖突問題。

圖7 接入認證信令開銷對比

圖8 切換認證信令開銷對比

3.3.2 通信開銷

本節將從接入認證階段和切換認證階段分別對比相關方案的通信開銷。為了公平起見，標準中5G-AKA 方案將加上基站參與的完整過程，文獻[23]的方案取高速切換方案。本文只列舉最終系統總的通信開銷，計算結果見表4 和表5。

表4 接入認證階段通信開銷（單位：字節）

表5 切換認證階段通信開銷（單位：字節）

圖9 和圖10 展示了隨終端數量的增加方案所需要的通信開銷。本方案與對照組方案相比，通信開銷是最小的。

圖9 接入認證通信開銷對比

圖10 切換認證通信開銷對比

3.3.3 計算開銷

在計算開銷時，只考慮以下這些計算操作的開銷，包括點乘運算TM、哈希運算TH、點加法運算TD、密鑰生成函數（HMAC-SHA256）TKDF以及對稱加解密運算TS。忽略拼接或異或等的計算時間，通過構建一個仿真環境來測試相關數據。具體來說，選擇兩臺性能不同的計算機一臺處理器為Intel(R)Core(TM)m3-6Y30 CPU @0.9 GHz 作為資源受限群組/衛星，另一臺處理器為Core(TM) i7-7500U CPU@2.70 GHz 作為認證服務器，隨后在這兩臺電腦上編譯并運行openssl-1.0.2e 庫[30]，最后分別測試這些密碼學運算的計算開銷。為了提高可靠性，對每一個密碼操作做了10 次實驗。在每個實驗中，要運行1 000 次獲取平均運行時間。相關數值如表6所示，接入認證和切換認證計算開銷計算結果如表7 和表8 所示。對于終端，比較的是對于每一臺終端。隨著認證次數的增加，認證計算開銷的消耗結果如圖11 和圖12 所示。而對于衛星（基站）和認證中心則是終端數量的改變，其總的計算開銷比較結果如圖13～圖16 所示。

表6 密碼學運算的計算開銷

表7 接入認證階段計算開銷

表8 切換認證階段計算開銷

圖11 終端接入認證階段計算開銷

圖12 終端切換認證階段計算開銷

圖13 衛星接入認證階段計算開銷

圖14 認證中心接入認證階段計算開銷

圖15 衛星切換認證階段計算開銷

圖16 切換中心切換認證階段計算開銷

由此可以比較得出，本方案的接入認證方案對終端帶來的計算負擔比文獻[23]的方案要小，略小于5G-AKA 方案，而給衛星和認證中心帶來的計算負擔遠遠小于文獻[23]的方案。同樣的，在切換方案對比中，所提方案更適合海量終端切換的場景。雖然切換中心的計算開銷大于N2 切換方案，但是所提方案提供了更好的安全性。綜上所述，本方案更切合實際應用，在實際中為衛星提供了安全性的保證和后續的通信安全性。而在切換階段，本文的計算開銷占優勢，使用了計算開銷小的哈希類運算，更加適合復雜的衛星網絡中的安全切換場景。

4 結語

本文針對5G 衛星網絡高速發展帶來的海量終端接入認證問題以及由于衛星網絡拓撲結構變化頻繁引起的終端切換認證問題，提出了一種適用于5G 衛星網絡的匿名群組認證方案。所提方案基于3GPP 提出的5G 接入認證協議，滿足衛星網絡與地面網絡融合的前景，通過使用群組鑒權向量一次性完成群組的接入認證，減少了通信過程中的信令開銷和計算開銷。通過對衛星位置的實時預測，使用預認證的方式來進行切換認證。為了提高認證的高效性，采用哈希函數來減少計算開銷。為了實現群組的重構性和抗冗余性，還設計了群成員加入和退出的階段。通過BAN 邏輯證明和理論分析得出方案能夠滿足系統間實體的相互認證、匿名性、前后密鑰分離、抗重放等安全需求。通過與現有5G 標準的接入認證和切換等方案以及現階段提出的接入和切換認證方案對比，證明本協議在海量終端接入網絡中時有較小的通信開銷和計算開銷，且大大減少了系統中的信令，適合海量終端接入5G 衛星網絡的場景，并實現了安全高效的切換。