WLAN-4G融合認證協議的安全性研究

韓　挺　中國信息通信研究院安全研究所工程師孟照麗　中國信息通信研究院安全研究所助理工程師

?

WLAN-4G融合認證協議的安全性研究

韓挺中國信息通信研究院安全研究所工程師
孟照麗中國信息通信研究院安全研究所助理工程師

摘要：EAP-AKA是3GPP定義的多網絡融合認證協議，其在WLAN-4G融合網絡中被采用。本文在對該協議的認證流程進行分析和研究的基礎上對其安全性和缺陷進行了分析，并對改進的EAP-AKA協議進行了研究和分析以保證WLAN-4G融合網絡的認證安全。

關鍵詞：WLAN-4G融合；EAP-AKA；安全認證

1　引言

隨著4G網絡在我國廣泛的建設，4G網絡的覆蓋率和用戶也日益增長，越來越多的人們享受到了4G網絡帶來的快速和便捷。與4G同屬寬帶無線接入技術的WLAN以其低成本、高速率、可實現快速部署等優勢，不僅成為電信運營商融合組網的重要技術，而且在政府和企業信息化領域以及家庭和個人市場占有一席之地。所以，將WLAN和4G網絡進行融合互聯將起到優勢互補共同發展的作用。第三代合作伙伴技術（3GPP）組織針對4G與WLAN網絡融合接入提出了相應的標準方案，其中為了實現融合接入的安全采用了可擴展認證和密鑰協商協議（Extensible Authentication Protocol- AuthenticationandKeyAgreement，EAP-AKA）。EAP-AKA協議是4G與WLAN融合互連的認證和密鑰分配協議，是保證其安全的基礎。另外，EAP-AKA協議也被廣泛采用于WLAN-3G等其他多網絡融合認證中，因此可見EAP-AKA協議涉及到多種網絡融合認證的安全性。

本文首先介紹了WLAN- 4G融合認證協議EAP-AKA，其次對EAP-AKA協議的安全性進行了分析，最后對改進EAP-AKA協議也進行了分析。

2　WLAN-4G融合認證協議

WLAN-4G的最優融合就是把兩張網絡合為一張，用戶無需感知是何種網絡，卻擁有一樣的業務體驗。為此，3GPP組織在3GPP R8中提出了WLAN融合接入4G網絡的非可信接入方案；在3GPP R11中，提出了WLAN融合接入4G的可信接入方案。較之可信接入，非可信接入的最大區別就是建立了終端與網絡間的IPSec隧道。WLAN-4G融合網絡架構圖如圖1所示。

為了保證WLAN-4G網絡融合時不同網絡之間能夠進行有效的認證，3GPP組織規定采用EAP-AKA協議作為WLAN-4G網絡融合的認證協議。EAP-AKA協議的實現由UE（接入WLAN網絡的終端）、WLAN-AN（WLAN網絡的拜訪網絡）、3GPPAAA服務器和HSS來完成。為了能夠更有效地說明EAP-AKA的協議流程，在此設Algorithm 1用于產生消息認證碼，Algorithm 2用于消息認證中計算期望響應值，Algorithm 3用于產生加密密鑰，Algorithm 4用于產生完整性密鑰，Algorithm 5用于產生匿名密鑰。EAP- AKA協議在交互過程中各個消息為UE→WLAN-AN：NAI（網絡接入標志，包含UE的臨時標志）；WLAN- AN→3GPP AAA：NAI；3GPP AAA→WLAN-AN：RAND（隨機數）、AUTH、UE的臨時標志、消息鑒別碼；WLAN-AN→UE：RAND、AUTH、UE的臨時標志、消息鑒別碼；WLAN-UE→WLAN-AN：RES、消息鑒別碼；WLAN-AN→3GPPAAA：RES、消息鑒別碼；3GPP AAA→WLAN- AN：UE的認證結果、WLAN-AN與UE的共享密鑰；WLAN-AN→UE：UE的認證結果。

下面對協議進行詳細的描述，協議流程示意圖如圖2所示，由圖可見：

第一步：WLAN-AN向UE發送一個EAP請求身份標志的消息。

圖1　WLAN-4G融合網絡架構圖

圖2　EAP-AKA協議流程示意圖

第二步：收到消息后，UE向WLAN-AN發送EAP回應身份標志消息，該消息攜帶NAI身份標志。

第三步：WLANAN將收到的EAP回應身份標志消息發送給3GPPAAA服務器。

第四步：收到UE的身份標志后，3GPP AAA首先在HSS處查詢該UE是否具有權限使用該WLAN網絡，其次從HSS中取得與UE相關的認證向量AV并獲得與該UE的IMSI對應的新的臨時標志，其中AV = RAND || XRES || CK || IK || AUTH，XRES = Algorithm 2（RAND），CK = Algorithm 3（RAND），IK = Algorithm 4（RAND），AUTN = SQN⊕AK || AMF || MAC，SQN為序列號，AK = Algorithm 5（RAND），AMF為認證管理域，MAC = Algorithm 1（SON || RAND || AMF）。3GPPAAA再次從IK和CK中生成共享密鑰并構造EAP請求/AKA挑戰消息，消息包含RAND、AUTH、臨時標志，并計算消息鑒別碼。3GPP AAA最后將EAP請求/AKA挑戰消息發送給WLAN-AN。

第五步：WLAN-AN將收到的EAP請求/AKA挑戰消息發送給UE。

第六步：UE首先驗證AUTH并確認接收的序列號SQN是否在有效范圍內，若正確則實現了對4G網絡的認證。從IK和CK中生成共享密鑰以驗證消息鑒別碼是否正確并保存收到的臨時標志。計算RES =Algorithm 2（RAND）并結合RES構造EAP回應/AKA挑戰消息，同時計算消息鑒別碼。最后，將EAP回應/AKA挑戰消息發送給WLAN-AN。

第七步：WLAN-AN將收到的EAP回應/AKA挑戰消息發送給3GPPAAA服務器。

第八步：3GPPAAA首先驗證消息鑒別碼，然后計算XRES，并與收到的RES進行比較。若正確則UE身份通過認證，并向WLAN-AN發送EAP認證成功的消息。同時，發送WLAN通信中用于機密性和一致性保護的共享密鑰。

第九步：WLAN-AN保存共享密鑰，此共享密鑰將用于與UE通信時的機密性和一致性保護，同時將EAP認證成功的消息發送給UE。

WLAN和4G網絡通過EAP-AKA協議實現了WLAN網絡的終端UE同4G網絡之間的雙向認證，并且在終端UE和WLAN網絡之間共享了會話密鑰以實現兩者之間的加密傳輸和一致性驗證。

3　EAP-AKA協議安全性分析

EAP-AKA協議是在UE和HSS之間共享一個密鑰從而實現UE與4G網絡的雙向認證和密鑰分配。該協議能夠為WLAN-4G融合認證提供如下安全保障：

（1）提供UE和4G網絡之間的雙向認證。

（2）實現UE與WLAN-AN網絡之間共享密鑰，從而保證回話密鑰不在無線信道中傳輸。

（3）在EAP-AKA協議的每次認證過程中，UE和WLAN-AN共享的回話密鑰由CK和IK生成，由于CK 和IK是由隨機數RAND計算得出，從而能保證密鑰的新鮮性。

（4）EAP-AKA協議能夠有效地防止密鑰協商中的重放攻擊。協議傳遞的消息使用了隨機數和遞增的序列號SQN作為輸入，保證了消息的新鮮性，惡意攻擊者都無法利用原有的消息發起重放攻擊。

經過大量的實踐和研究發現，EAP-AKA認證存在以下一些漏洞和不足：

（1）認證流程需要多次請求和響應交互，造成認證時延較大。

（2）由于不同的運營商可能擁有不同無線接入設備，這就要求額外的信任管理功能。

（3）無秘密密鑰更新機制：EAP-AKA協議沒有用戶UE與3G網絡之間共享的秘密密鑰K的更新機制，這可能會導致UIM克隆攻擊。

（4）中間人攻擊：AP永遠不需要認證，可能造成假冒AP進行中間人攻擊。如果攻擊者首先利用某種方式（如DoS）攻陷WLAN-AP，然后假冒成WLAN-AP，則可以獲取UE中的會話密鑰，這樣就使得UE的通信失去了保密性。或者，攻擊者對HSS與3GPPAAA服務器之間的信息進行竊聽，則可能獲得HSS傳給AAA服務器的認證向量AV。通過該向量可以獲得CK與IK。攻擊者再假冒用戶入網，同樣可實現正常的保密通信。

（5）當用戶UE首次進行認證或4G網絡不認識WLAN用戶的臨時標志時，WLAN用戶需以明文傳送IMSI。攻擊者可以截取使用明文傳輸的IMSI，從而導致用戶身份的機密性受到威脅。

（6）EAP-AKA不支持加密套件協商和認證協議版本的協商，限制了該協議的靈活性和可擴展性。

（7）EAP-AKA基于對稱加密體制，不支持非對稱加密體制及基于證書鑒別的接入認證。

4　EAP-AKA協議安全改進

對于EAP- AKA協議中的冒名網絡攻擊，在RFC5448中提出了將網絡名也加入驗證的方案，該方案將網絡名同密鑰一并發送驗證從而判斷其是否為冒名網絡。對于EAP-AKA協議缺乏主密鑰更新機制和明文傳送IMSI的潛在漏洞，可以通過共享密鑰來解決。參考文獻［5］中給出的EAP-AKA協議的改進方案為基于UE與WLAN-AN之間的共享密鑰，實現了對WLAN-AN的認證，并對3GPP AAA服務器傳送的共享密鑰進行了安全處理，從而有效地防止了WLAN-AN假冒攻擊與WLAN-UE假冒攻擊。在該改進方案中，在WLAN-AN同3GPP AAA交互中，3GPP AAA服務器秘密選擇一個隨機數r，然后用與UE共享的秘密密鑰K加密r，將密文EK（r）隨同其他消息一起發送給WLAN-AN。在WLAN-AN與UE的交互中，UE將EK（r）解密，得到r然后用于WLAN-AN共享的秘密密鑰K'加密，將密文EK'（r）發送給WLAN-AN。在WLAN-AN與3GPPAAA第二次交互時，WLAN-AN將E K'（r）解密，得到r，然后計算h（r）并將其同別的消息發送給3GPPAAA服務器。3GPPAAA服務器驗證h（r），證明WLAN-AN的合法性，然后用r加密WLAN-AN與UE之間的共享密鑰，將密文隨同其他消息一起發送給WLAN-AN。最后，WLAN-AN將共享密鑰解密出來，從而可以得到會話密鑰。

但是，上述方案仍然存在一定的缺陷，RFC5448中缺少密鑰更新機制，而參考文獻［5］中的方案要求每個UE在與WLAN-AN入網連接時都需要預設共享密鑰，這對于需要具有用戶量大且穩定性強的WLAN來講增加了大量的共享密鑰的管理和更新開銷。另外，上述方案并沒有解決EAP-AKA協議中另外一個重要的問題，即UE的IMSI明文發送問題。

針對上述方案中存在的問題，需要減少密鑰更新的次數并加密保護UE的IMSI信息。隨著4G網絡和終端的運算能力的增加，采用公鑰方法在4G網絡和WLAN網絡融合中進行認證成為可能。參考文獻［8］采用公鑰機制解決EAP-AKA協議中存在的不足，在WLAN-AN和4G網絡端之間實現密鑰共享，由于WLAN-AN相對于UE來說數量要小許多，因此能夠有效地減少密鑰更新帶來的開銷。另外，參考文獻［8］為了解決IMSI公開明文傳輸的問題，建議可以先從NAI中提取出4G網絡端的地址（用于將加密后的NAI發給正確的4G網絡），再用與4G網絡的共享密鑰加密NAI，然后將加密后的NAI通過WLAN-AN發給4G網絡。這樣就對IMSI進行了機密保護，避免了用戶身份信息的泄露。

采用公鑰機制改進EAP-AKA協議主要是在EAP-AKA協議交互流程中做出如下修改：

（1）在原有流程的第二步中UE從NAI中提取出4G網絡的地址，然后將該地址和UE產生的隨機數RANDue利用會話密鑰K計算得出密文EK （RANDue||NAI）并發給WLAN-AN。

（2）在原有流程第三步中WLAN-AN產生隨機消息Man和隨機數RANDan，之后生成密文EK （RANDan||Man），最后同EK（RANDue||NAI）發送給4G網絡。4G網絡接收到這兩個密文后對這兩個密文進行解密，從而認證WLAN-AN以及獲得到UE的NAI信息以便在HSS處查詢UE的權限信息。

（3）若需要更新會話密鑰，則4G網絡用RANDue計算IK和CK，接著用IK和CK計算K'，最后用K'計算EK'（RANDue）并發送給UE。UE收到EK' （RANDue）后解密獲得RANDue并與自身之前發送的RANDue進行比較，若相同則說明會話密鑰更新成功，UE采用哈希函數計算得出h（K'）并發送至WLAN-AN。WLAN-AN收到h（K'）后，進行反哈希運算得到K'并與從4G網絡處獲得的K'進行比較，若相同則說明UE處會話密鑰更行成功。

采用公鑰機制改進EAP-AKA協議，通過在WLAN AN與4G網絡間增設共享密鑰，實現了兩者間的相互認證，防止了WLAN-AN假冒攻擊。通過加密傳輸NAI，實現了對IMSI的加密保護，防止了移動用戶身份信息的泄漏。通過引入密鑰更新機制，實現了對UE和4G網絡間的共享密鑰的安全更新。

5　結束語

未來4G網絡同WLAN網絡的融合是接入網發展的主要趨勢之一，其融合的安全性很大程度取決于其上的EAP- AKA融合認證協議。本文首先對WLAN-4G網絡融合認證協議EAP-AKA的認證流程進行了分析和介紹，其次對EAP-AKA的安全性和存在的缺陷進行了詳細的分析，最后對改進EAP-AKA協議進行了分析。本文對WLAN-4G融合的網絡的建設具有一定的借鑒作用。

參考文獻

［1］朱紅梅，李寶榮. LTE-FDD和TDD-LTE的融合發展研究［J］.移動通信，2008，12.

［2］韓瀅，程剛，裴斐. LTE與物聯網的融合現狀和發展研究［J］.移動通信，2012，19.

［3］Aleksandar Damnjanovic，Juan Montojo，Yonbgin Wei，et a1. A survey on 3GPP heterogeneous networks［J］. IEEE Wireless Communications，3，2011.

［4］Hyeyeon Kwon，Yang Mi Jeong，Park Ae-Soon. Handover prediction strategy for 3G-WLAN overlay networks［C］. IEEE Network Operations and Management Symposium，2008.

［5］張勝，徐愛國，胡正名. EAP-AKA協議的分析和改進［J］.計算機應用研究，2005，07.

知識產權