３Ｇ－ＷＬＡＮ互聯網絡中一種新的快速重認證方案

摘要：提出了一種新的本地化的快速重認證方案，不再需要3G網絡的參與，而且WLAN網絡能夠向3G網絡提供真實的，不可偽造的用戶認證信息，進而為3G與WLAN網絡間的計費問題提出了一種思路。

關鍵詞：第三代移動通信網絡—無線局域網； AKA； 本地化； 快速； 重認證

中圖分類號：TP393．17文獻標志碼：A

文章編號：1001－3695(2008)04－1123－04

近年來，無線通信技術發展迅速。作為提供無線服務的兩種主要技術，即無線局域網（WLAN）和第三代移動通信網絡（3G）的互連應用正在成為研究的熱點。3G網絡提供的語音和數據服務覆蓋廣闊，在移動性管理和用戶管理方面表現卓越，而且提供了幾乎全球的漫游技術，但是其傳輸速率有限。3G標準中定義的數據傳輸速率為144 Kbps~2 Mbps不等。WLAN的數據傳輸速率要大大高于3G網絡，如802.11網絡提供的數據傳輸速率6~54 Mbps不等，而且WLAN部署方便、成本較低。所以3G與WLAN互連的應用前景非常廣闊。3GPP組織正在制定3G與WLAN互連的相關規范[1~3]。

當移動用戶接入3G－WLAN互聯網絡時，用戶和網絡首先需要進行互認證，進而還有相關的密鑰協商和計費問題。第三代合作伙伴（3GPP）組織定義的3G－WLAN互聯網絡中用戶和網絡上層認證使用EAP－AKA協議[4]，而EAP－AKA協議是將UMTS AKA[5]方案封裝到了EAP[6]協議中，所以3G－WLAN互聯網絡中用戶和網絡間的一次完整的EAP認證過程需要運行整個UMTS AKA過程。當認證過程需要頻繁執行時，會給網絡帶來很大的負擔，這種影響在連接的用戶變多時會更明顯，所以有必要設計一種快速的重認證方案來提高效率。EAP－AKA協議中給出了一種快速重認證方案，但是經過分析發現無論從安全還是從效率方面考慮都有許多不足之處。于是，本文提出了一種新的本地化的快速重認證方案。

1背景介紹

在3GPP的標準[1]中定義了3G－WLAN互連的六種模型。文獻[2]則給出了3G－WLAN互連的網絡架構。文獻[3]提出了3G－WLAN互聯網絡的安全架構，提出3G－WLAN互聯網絡中的WLAN接入認證在WLAN－UE和3GPP AAA－server間進行，同時提出3G－WLAN中的認證基于EAP－AKA協議[4]。這里先介紹3G－WLAN互聯網絡認證過程中所涉及的網絡元素：

a）WLAN－UE。3G－WLAN互聯網絡的終端設備，不僅有WLAN無線接入設備，還有USIM模塊、USIM和3G網絡共享密鑰K，而K正是EAP－AKA的基礎。

b）WLAN－AN。無線接入網絡，WLAN－UE接入3G－WLAN互聯網絡的第一接入點。

c）3GPP AAA－server。3GPP網絡認證、授權、計費服務器為3G－WLAN互聯網絡提供統一的認證、授權和計費方案。

d）HSS/HLR。歸屬位置寄存器，惟一存儲用戶秘密信息（包括用戶的秘密密鑰K）的地方，認證向量也是由此產生。

EAP－AKA協議是將UMTS AKA[4]中的消息封裝到了EAP協議[6]中。下面是一次完整的EAP－AKA認證過程（圖1）的主要消息流的格式和內容：

①EAP Request/identity

②EAP Response /identity: [IMSI or NAI]

③EAP Response /identity: [IMSI or NAI]

④EAP Request/AKA Challenge:[RAND， TUTN，

Next re－auth id， MAC]

⑤EAP Request/ AKA－Challenge: [RAND， TUTN， Next re－auth id， MAC]

⑥EAP Response/ AKA－Challenge: [RES， MAC]

⑦EAP Response/ AKA－Challenge: [RES， MAC]

⑧EAP Request/ Notification: [Success]

⑨EAP Request/ Notification: [Success]

在③后，即3GPP AAA－server收到WLAN－UE的身份后，3GPP AAA－ser－ver從HLR/HSS處取回WLAN－UE的認證向量AV，AV由隨機數RAND、完整性密鑰IK、機密性密鑰CK、期待的反饋XRES和認證環AUTN五部分組成。3GPP AAA－server從中取出RAND和AUTN，構造出EAP Request/AKA Challenge下發下去。在⑤后，即WLAN－UE收到EAP Request/ AKA－Challenge消息后，WLAN－UE從中取出RAND，AUTN，運行AKA算法[1]，對網絡進行驗證，同時生成完整性密鑰IK和機密性密鑰CK與RES，構造出EAP Response/ AKA－Challenge消息返回。3GPP AAA－server將收到的EAP Response/ AKA－Challenge消息中的RES值與XRES值相比較，如果相等，則對WLAN－UE的認證通過。

當一次完整的EAP－AKA過程完成后，WLAN－UE和3GPP AAA－server完成了互認證，而且協商出了用于后續完整性和秘密性保護的臨時密鑰，即完整性密鑰IK和機密性密鑰CK；然后3GPP AAA－server以一種安全的方式將臨時密鑰傳給WLAN－AN；接下來WLAN－UE與WLAN－AN間空中接口的數據傳輸的保護就基于此臨時密鑰。

2EAP－AKA中的快速重認證方案

在某些環境下，EAP認證過程需要頻繁地被執行，而一次完整的EAP認證過程需要運行AKA算法，而且需要從認證中心取回新的認證向量。因此當認證過程需要頻繁地執行時，如果每次都是進行完整的EAP認證過程，由于參與的網絡元素較多，算法較復雜，會給系統帶來很大的負擔，尤其是在連接的用戶增多時會更明顯，而且在終端也會造成延遲。文獻[4]提出了快速重認證方案，它基于上一次完整認證過程時產生的臨時密鑰，不再需要新的認證向量。在文獻[7]中的實驗結果顯示，一次完整的認證過程平均耗時1.244 s，而快速重認證過程則平均只需要0.605 s，是一次完整的認證過程所需時間的46%。

首先介紹快速認證方案，消息流仍然如圖2所示一樣，但是具體的消息發生了改變。

下面是其具體消息的格式和內容：

①EAP Request/identity

②EAP Response /identity: [Next re－auth id]

③EAP Response /identity: [Next re－auth id]

④EAP Request/Re－authentication: [Counter， Nonce， Next re－auth id， MAC]

⑤EAP Request/Re－authentication: [Counter， Nonce， Next re－auth id， MAC]

⑥EAP Response/ AKA Re－authentication:[Counter，MAC]

⑦EAP Response/ AKA Re－authentication:[Counter，MAC]

⑧EAP Request/ Notification: [Success]

⑨EAP Request/ Notification: [Success]

首先，WLAN－AN向WLAN－UE發起重認證請求，WLAN－UE收到認證請求后，將上一次收到的Next re－auth id返回。當3GPP AAA－server收到WLAN－UE發送過來的Next re－auth id后，它為WLAN－UE生成Counter、Nonce、MAC和新的Next re－auth id 。Counter限定了可以連續重認證的次數（在第一次完整的認證過程時counter的值設為1），當Counter值達到限定的值后，就需要開始一次新的完整認證過程。Next re－auth id是下一次重認證過程時使用的身份。隨機數Nonce相當于UMTS AKA中的RAND，MAC包含此消息的信息認證碼，使用Nonce值和第一次完整認證時協商出來的臨時密鑰等計算得到。Counter、Next re－auth id和Nonce都是用臨時密鑰加密傳輸的。WLAN－UE收到這些信息后，首先用臨時密鑰解密這些信息，接著使用臨時密鑰驗證MAC的值是否正確，判斷Counter的值是否比上次的大。如果均通過，WLAN－UE為下次重認證過程存儲Next re－auth id，返回同樣的Counter和新的MAC值，新的MAC值使用臨時密鑰和Nonce值計算得到。

由上文可以看出，快速重認證過程實現了用戶與網絡間的互認證。認證過程是基于上一輪完整認證過程協商出來的臨時密鑰，即完整性密鑰IK和秘密性密鑰CK。WLAN－UE和3GPP AAA－server都通過使用臨時密鑰來驗證對方產生的MAC值來認證對方。WLAN－UE使用UMTS AKA算法計算得到IK和CK，而3GPP AAA－server則從認證向量中獲得IK和CK。當第一次完整的認證過程完成后，3GPP AAA－server將臨時密鑰以安全的方式發給WLAN－AN，用于后續WLAN－UE和WLAN－AN空中數據傳輸時的完整性和秘密性保護。如果3GPP AAA－server傳給WLAN－AN的臨時密鑰直接就是IK和CK，那么后面的快速重認證過程完全就可以由WLAN－AN來控制。一方面，WLAN－AN可以構造Counter、nonce、下一次重認證ID，而且可以利用臨時密鑰生成合法的MAC， 這樣WLAN－AN完全可以扮成3GPP AAA－server隨意對用戶發起重認證請求；另一方面，WLAN－AN可以偽裝成WLAN－UE，對3GPP AAA－server的認證請求作出合法的響應。WLAN－UE根本無法區分認證過程是與WLAN－AN還是與3GPP AAA－server進行的。而3GPP AAA－server也無從知道WLAN－AN與WLAN－UE之間是否進行了重認證，進行了多少次重認證等。

當然，這個問題可以通過使用單向哈希函數來解決，即在WLAN－UE和3GPP AAA－server兩端同時使用單向哈希函數對IK和CK進行處理，生成新的臨時密鑰，然后3GPP AAA－ser－ver將新的臨時密鑰發送給WLAN－AN、WLAN－UE和WLAN－AN間的數據保護使用新的臨時密鑰，而WLAN－UE和3GPP AAA－server間的快速重認證過程仍然基于IK和CK，IK和CK對WLAN－AN來說是未知的，這樣就能避免WLAN－AN使用中間人攻擊。

雖然文獻[7]的實驗結果表明，一次快速重認證過程的時間已經比一次完整的EAP認證快了許多，但是平均值仍高達0．605 s之多。如果3G－WLAN網絡想要提供無縫的移動服務，就必須盡量減少花在認證上的時間。而現有的快速重認證方案仍然需要3GPP AAA－server的參與，需要接入到3G網絡中，這無疑會導致延遲。所以需要考慮本地化的快速重認證方案，即重認證過程不再需要3G網絡的參與。從整個快速重認證的過程可以看到，WLAN－AN只是在傳遞消息，扮演中間人的角色。筆者又知道每一次完整的EAP認證過程后都能在WLAN－UE與WLAN－AN間建立起共享密鑰，所以可以考慮把后續的快速重認證的另一端放于WLAN－AN側，即快速重認證過程只在WLAN－UE與WLAN－AN間進行。這樣做帶來的問題是WLAN－UE作為3G網絡的用戶，3GPP AAA－server如果需要知道WLAN－UE的每一次重認證過程的行為，WLAN－AN是否能夠向3GPP AAA－server提供真實的，不可偽造的重認證信息。

接下來筆者提出了一種新的本地化的快速重認證方案。在新的方案中，快速重認證過程不再需要3G網絡的參與，只在WLAN－UE與WLAN－AN間進行。同時，WLAN－AN無法向3G網絡提供虛假的重認證信息，而且本文的方案還可以為3G網絡與WLAN網絡間的計費問題提供一種解決方式。

3新的快速重認證方案

本文的新方案仍然基于上一次完整的EAP認證過程產生的臨時密鑰，同時使用了哈希鏈的技術。假設s為任意隨機整數，h為單向哈希函數，hi(s) =h((…h(s)…))表示連續對s作i次哈希運算。另外3GPP AAA－server需要證書的支持。為了實現本地化的快速認證方案，需要對第一次的完整認證過程進行相應的改動：

a)圖1中的⑥⑦消息，即EAP Request/AKA－Challenge消息中需要新增項Eck(s)，WLAN－UE選定隨機數s，利用加密密鑰CK對s進行加密生成Eck(s)。

b)圖1中的⑧⑨消息，即EAP－Request/AKA－Notification消息中需要新增項Eck(n)。n值由3GPP AAA－server指定，表示可以連續重認證的次數。當連續重認證的次數超過n時，就要開始新一輪完整的EAP認證過程。

第一次完整的認證過程完成后，WLAN－UE將自己選定的隨機數s安全地發送給了3GPP AAA－server，而WLAN－UE也知道了可以重認證的次數。接下來，WLAN－UE計算并存儲h1(s)，h2(s)，…，hn-1(s)等值，然后利用IK和CK使用單向函數生成用于保護WLAN－UE與WLAN－AN通信安全的臨時會話密鑰TK。3GPP AAA－server也同樣利用IK和CK使用單向函數生成會話密鑰TK，同時計算hn(s)，并對hn(s)作簽名Sig(hn(s))，然后將如下信息{Next re－auth id，TK，n，hn(s)，Sig(hn(s))}以安全的方式發送給WLAN－AN。 

新的快速重認證方案是本地化的認證協議，即不再需要3GPP AAA－server的參與。如圖3所示，消息流只在WLAN－UE與WLAN－AN間進行。

a)WLAN－AN向WLAN－UE發送認證請求消息：

EAP Request/Identity；

b)WLAN－UE將上一次收到的Next re－auth id返回給WLAN－AN：

EAP Response/Identity:[Next re－auth id]；

c)當WLAN－AN收到Next re－auth id后，WLAN－UE產生隨機數Nonce，新的Next re－auth id，i值（第一次重認證過程時，i值為n-1，第二次為n-2，依此類推），并利用TK和Nonce構造消息驗證碼MAC，向WLAN－UE發送：

EAP Request/AKA Re－authentication: [Nonce， Next re－auth id，i， MAC]；

d)WLAN－UE收到EAP Request/ AKA Re－authentication消息后，首先檢查i值是不是比上一次的要小1，然后驗證MAC值的正確性。如果均正確，接下來WLAN－UE根據WLAN－AN發送過來的i值獲取hi(s)，向WLAN－AN發送：EAP Response/AKA Re－authentication:[i，hi(s)]；

e)WLAN－AN從EAP Response/AKA Re－authentication消息中取出hi(s)值，驗證h(hi(s))的值是否與上一次收到的值相等，如果相等，則WLAN－AN對WLAN－UE的驗證通過，并記錄hi(s)；接下來WLAN－AN向WLAN－UE發送認證成功消息：EAP Success

4對新方案的分析

4．1安全分析

新的快速重認證方案繼承了原有方案的某些特性，同時引入了哈希鏈技術，對其安全性分析如下： 

a)雙向認證。WLAN－UE對WLAN－AN的認證方式和原有的快速重認證方案是類似的。通過第一次完整的EAP認證后，WLAN－UE和WLAN－AN協商出了臨時會話密鑰TK。而只用擁有TK才能構造出合法的MAC，所以WLAN－UE通過驗證EAP Request/AKA－Re－authentication消息中的MAC值的正確性，即可驗證WLAN－AN。而WLAN－AN對WLAN－UE的認證則是通過驗證哈希鏈的技術。在第一次完整的EAP認證后WLAN－AN收到3GPP AAA－server發送過來的hn(s)；接下來的重認證過程中WLAN－AN驗證WLAN－UE發送過來的 EAP Response/AKA－Re－authentication消息中的hn-1(s)值是否滿足h(hn-1(s))=hn(s)，即可判斷WLAN－UE是否是合法的用戶。WLAN－AN記錄hn-1(s)，供下一次重認證使用，依此類推，直到連續的重認證次數達到了規定次數即n次。最后一次重認證時WLAN－UE發送過來的 EAP Response/AKARe－authentication消息中的值是s。

b)抵抗重放攻擊。當WLAN－UE收到WLAN－AN發送過來的EAP Request/AKA－Re－authentication消息時，首先要檢查里面的i值是不是要比上一次收到的小1。因此重放攻擊很容易就能被檢測出來。

4．2效率分析

影響認證過程效率的兩個主要因素是通信時間和WLAN－UE端的在線計算時間。首先來看通信量，由于不需要3G網絡的參與，新方案中的消息流大大減少，花在網絡通信上的時間也大大減少。其次是在線運算量，在第一次完整的EAP認證后，WLAN－UE計算并存儲h1(s)，h2(s)，…，hn-1(s)等值，后續的快速重認證過程中只需要取出相應的值發送過去，而原有方案中每一次快速重認證過程WLAN－UE都需要重新計算MAC值，所以在新方案中WLAN－UE的在線運算量明顯減少。從上可以得知，與原有的方案相比，新的快速重認證方案效率要提高很多。

4．3不可偽造的重認證信息

新方案是本地化的快速重認證方案，如果3GPP AAA－ser－ver需要知道WLAN－UE與WLAN－AN之間的重認證信息，WLAN－AN必須能夠向3GPP AAA－server提供不可偽造的重認證信息。WLAN－AN根據每次重認證過程依次記錄hn-1(s)，hn-2(s)，…，h(s)，s等值，然后連同第一次完整的EAP認證過程后3GPP AAA－server發送過來的hn(s)，Sig(hn(s))一起作為認證的憑證。3GPP AAA－server對hn(s)值進行了簽名，所以WLAN－AN無法偽造hn(s)，而WLAN－AN不知道s，無法構造hn-1(s)，hn-2(s)，…，h(s)等值。WLAN－AN是無法偽造{Sig(hn(s)，(hn(s))，hn-1(s)，…，h(s)，s)}信息。

WLAN－AN可以每隔一段時間（如5 min）向WLAN－UE發起重認證請求，則{Sig(hn(s)，(hn(s))，hn-1(s)，…，h(s)，s)}可以作為WLAN－UE使用WLAN網絡的憑證，進而也為3G網絡與WLAN網絡間的計費問題提供了一種解決辦法。

5結束語

本文首先介紹了3G－WLAN交互網絡中的認證和密鑰協商機制，重點介紹和分析了其中的快速重認證方案，然后提出了一種新的本地化的快速重認證機制，并對新的方案作了簡單分析。與原有方案相比，新的方案不再需要3G網絡的參與，因而效率提高很多，而且新的方案還為WLAN網絡與3G網絡間的計費問題提出了一種解決思路。

參考文獻：

［1］3GPP TR 23.934 v 6.2.0， Feasibility study on 3GPP system to wireless local area network (WLAN)interworking[EB/OL].（2003－09）. http://ftp.3gpp.org/Specs.

［2］3GPP TS 23.234 v 7.4.0， 3GPP systems to wireless local area network(WLAN) ，release 6[EB/OL]. (2006－12).http://ftp.3gpp.org/Specs.

［3］3GPP TS 33.234 v 7.3.0， 3G security; wireless local area network(WLAN) interworking security，release 6[EB/OL]. (2006－12). http://ftp.3gpp.org/Specs.

［4］IETF RFC 4187，Extensible authentication protocol method 3rd gene－ration authentication and key agreement(EAP－AKA)[EB/OL].(2006－02). http://www.ietf.org/rfc.html.

［5］3GPP TS 33.102 v 6.3.0，3G security;security architecture[EB/OL]. (2004－12). http://ftp.3gpp.org/Specs.

［6］IETF RFC 3748， Extensible authentication protocol(EAP)[EB/OL].(2004－07). http://www.ietf.org/rfc.html.

［7］KWON H， CHEON K Y， ROH K H， et al. USIM based authentication test－bed for UMTS－WLAN handover[EB/OL]. [2006]. http://www.ieee－infocom.org.

“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文”