LTE-A網絡中基于動態組的有效的身份認證和密鑰協商方案

杜心雨，王化群

（南京郵電大學計算機學院，南京 210023）

（?通信作者電子郵箱whq@njupt.edu.cn）

0 引言

隨著移動互聯網業務和物聯網（Internet of Things，IoT）業務的發展，LTE（Long Term Evolution）網絡逐漸難以適應新業務的需求或者網絡運營的新需求。近幾年來，LTE 的標準化組織3GPP（3rd Generation Partnership Project）一直致力于LTE 網絡的演進和增強，即LTE-A（Long Term Evolution-Advanced）網絡。相較于LTE 網絡，LTE-A 網絡在網絡容量、數據傳輸效率、信令開銷以及網絡的運營能力上都有了顯著的優化［1］。

機器類通信（Machine Type Communication，MTC），也稱為機器對機器（Machine to Machine，M2M）通信，被視為未來無線通信的下一個復雜技術，已經引起了3GPP等標準化組織的廣泛關注。與當前無線網絡中設計的傳統人與人（Human to Human，H2H）通信不同，MTC 是實體之間的一種特殊類型的數據通信，它可以交換和共享數據，而無需任何形式的人為干預。由于MTC 不需要人工干預、低功耗和低成本的特點，因此它將成為下一代實時網絡應用的市場變革力量（例如公共安全、智能交通系統、環境監控、智能電網和醫療保健服務）。由于高吞吐量和低傳輸延遲，MTC被認為是LTE-A網絡中的一種重要的移動通信技術［2］。

相對于普通用戶設備（User Equipment，UE）而言，MTC設備（Machine Type Communication Device，MTCD）的通信帶來了一些新的挑戰，包括更低的功耗和大規模的設備傳輸。根據Fadlullah 等［3］的研究可知，MTCD 的數量將是普通UE 數量的1 000 倍；根據ABI 研究機構在萬物互聯（Internet of Everything，IoE）中的數據可知，到2020 年，無線連接設備數量超過300億［4］。雖然LTE-A網絡在性能上有了顯著的優化，但是由于LTE-A網絡的設計原則和網絡中基本的工作機制決定了LTE-A 網絡并不能完全地解決信令擁塞問題［1］。3GPP為MTC 設備標準化了協議——演進的分組系統認證和密鑰協 商（Evolved Packet System Authentication and Key Agreement，EPS-AKA）實現認證和密鑰協商（Authentication and Key Agreement，AKA）［5-6］。但是，由于MTCD 數量的日益增長［3-4］，EPS-AKA 協議面臨著信令擁塞的挑戰。當大量設備在短時間內請求訪問網絡時，用戶將遭受較高的網絡訪問延遲和身份認證信令擁塞。因此，LTE-A 網絡仍然需要一種更安全高效的身份認證和密鑰協商方案，用于避免大量設備連接的擁塞。

近些年來，很多學者致力于研究家庭網絡（Home Network，HN）中的MTCD 和服務網絡（Service Network，SN）中的高效的身份認證與密鑰協商方案。文獻［7］中提出了一種新的避免擁塞的MTCD 分組算法，可以極大減少網絡流量負載；然而，該方案研究的是數據的傳輸，并沒有涉及到身份認證過程。文獻［8］中采用雙線性配對技術和聚合簽名方案對LTE 網絡中的MTC 組進行身份認證，該認證方案使MTC 服務器可以同時信任一組MTCD，并與每個MTCD 生成會話密鑰；然而，該方案的計算成本比較大，這不適用于移動設備。文獻［9］中提出了一種新穎的分組方式為大量的MTCD 分組，以降低認證的復雜性；但是該方案的分組方法具有局限性，并不適用于通用的LTE-A網絡。文獻［10］中基于線性多項式和文獻［11］中基于對稱二元多項式分別提出了兩個基于組的認證方案，可以有效地實現組認證；但是，該類方案在認證過程中無法實現密鑰協商，而且容易受到重放攻擊和中間人攻擊。文獻［12］在文獻［10］研究的基礎上提出了一種基于線性多項式的組認證和密鑰協商方案，可以減少信令的擁塞，但是該方案通過在認證消息中加入了時間戳，以減少重放攻擊的可能，還是不能完全避免重放攻擊。

針對網絡中大規模機器通信設備的身份認證過程中信令擁塞和密鑰協商安全問題，在文獻［11］方案的基礎上，本文提出了一種基于動態組的有效身份認證和的密鑰協商方案。本文方案的主要特點如下:

1）本文所提出的方案實現了MTCD 組和SN 的相互認證與密鑰協商，極大地減少了由于網絡中并發大規模訪問請求而引起的信令擁塞，并且本文方案支持多次身份認證。

2）在本文方案中，MTCD 可以自主完成身份認證和密鑰建立，而無需任何其他受信任的密鑰生成中心（Key Generator Center，KGC），并且在身份認證過程中保證了LTE-A 網絡中MTCD的隱私。

3）本文所提出的方案中，當組內MTCD 動態加入或者離開時，通過合理的計算和LTE-A 網絡中少量的傳輸成本更新訪問策略。

4）本文方案可確保抵抗多種現有的安全攻擊，例如:重定向攻擊（Redirection Attack）、拒絕服務（Denial of Service，DoS）攻擊等。本文對現有的攻擊進行了分析，驗證了本文方案在幾種惡意攻擊下的安全性。

1 預備知識

1.1 Shamir秘密分享方案

Shamir［13］基于線性多項式提出了(t，n)門限秘密分享方案，在有限域上的t-1次多項式f(x)構造秘密分享的(t，n)門限秘密分享方案，可以描述如下。

1）選擇隨機素數q＞max(s，n)，其中s是秘密值，s在有限域GF(q)中，n是系統內參與者個數，Ui(i=1，2，…，n)是組內成員，公開隨機數q。

2）在有限域GF(q)上隨機選取t-1 次多項式f(x)，其系數為a1，a2，…，at-1，這些系數在生成秘密份額前是秘密值，生成秘密份額后可以銷毀。

3）使用ai和秘密s生成如下所示t-1次多項式:

多項式滿足s=f(0)。

4）通過計算多項式f(x)對n個不同點的xi取值可以得到成員Ui的秘密份額yi=f(xi)modq（i=1，2，…，n）。每個點(xi，yi)對應二維平面上的曲線y=f(x)的一個點，每個yi對應著xi的秘密份額si。由于t個點可以唯一確定t-1次多項式，所以秘密s可以從t個秘密份額重構。給定t個秘密份額s1，s2，…，st，由Lagrange內插公式重構的多項式為:

1.2 二元多項式

許多可驗證的秘密分享方案［11，14-15］使用了二元多項式。t-1次二元多項式可以表示為:

當系數滿足ai，j=aj，i，?i，j∈[0，t-1]，則二元 多項式f(x，y)是對稱的多項式。

通過計算多項式f(x，y)對n個不同點的xi取值可以得到成員Ui的秘密份額f(xi，y)modq(i=1，2，…，n)。對于成員Ui，每個份額f(xi，y)是度為t-1的線性多項式。對于對稱多項式，由于系數滿足ai，j=aj，i，?i，j∈[0，t-1]，所以f(xi，xj)=f(xj，xi)。因此，使用對稱二元多項式可以為成員Ui和成員Uj建立成對的共享密鑰。

1.3 (t，m，n)組認證方案

(t，m，n)組認證方案（Group Authentication Scheme，GAS）中:t是秘密分享方案的閾值，m是參與身份認證過程的成員數量，n是組內成員數量，三者滿足關系t≤m≤n。該方案是由Harn［10］提出，可以有效地實現異步組認證，并且可以抵御t-1個成員合謀，文獻［10］中方案描述如下:

1）組管理員（Group Manager，GM）選擇一組t-1 的線性多項式，利用這些多項式計算并公開驗證參數h(s)，并通過對多項式的計算，為組內成員Ui計算隱私的令牌tokeni（i=1，2，…，n）。

2）當組內有m個成員需要進行身份認證時，每個成員都根據自己的令牌tokenj計算得到拉格朗日分量Lcj（j=1，2，…，m）。

3）通過將拉格朗日分量Lcj的聚合計算的結果與驗證參數h(s)進行對比，對m個成員身份認證。

但是，該方案在認證過程中無法實現密鑰協商，容易受到重放攻擊和中間人攻擊。本文將該方案融合了對稱二元多項式，提出了組認證和密鑰協商方案，以實現LTE-A 網絡中MTCD的安全認證和密鑰協商。

2 系統模型

根據3GPP 提出的場景，圖1 展示了當前機器類通信的網絡架構。該體系結構由三部分組成:MTC設備域、LTE-A網絡域和MTC應用程序域。

圖1 機器類通信網絡架構Fig.1 Architecture of MTC network

1）MTC設備域中包括各種各樣的MTCD，MTCD基于現有的分組方法和某些原理（例如具有相同的特征或行為，存在于相同區域中并且屬于相同用戶）組成一組。

2）LTE-A網絡域中，MTCD通過基站與LTE-A網絡進行通信。MTCD 接入LTE-A 網絡后，包含所有網絡運營商的用戶信息的歸屬用戶服務器（Home Subscriber Server，HSS）通過移動管理實體（Mobile Management Entity，MME）對MTCD 組進行身份認證。

3）MTC 應用域 中 MTC 服務器（Machine Type Communication Service，MTCS）通過LTE-A 網絡與MTCD 通信，MTC 用戶通過可訪問的接口與MTCS 通信。當MTCD 連接到LTE-A 網絡時，授權的MTC 用戶可以使用一個或多個MTC服務器提供的服務操作大量MTCD。

為了保證網絡中的安全，MME 與MTCD 建立安全的會話密鑰之前，必須通過HSS 對MTCD 進行身份認證。為了避免攻擊，在每次組身份認證和組內成員有變化時，本文方案可以更新所有MTCD 的訪問權限。本文提出的基于動態組的有效身份認證和密鑰協商方案中的實體描述如下:

1）MTCD:MTC設備。只有具有訪問權限的MTCD才能接入網絡，為了保證系統安全和通信安全，接入網絡之后MTCD必須進行身份認證和密鑰協商。

2）組長。根據組內每個MTCD 的通信能力、存儲狀態和電池狀態，選出性能最好并且可信的MTCD 作為該組的組長。組長將大量請求聚合到一個請求中，以減少核心網絡上的信令開銷。

3）MME:移動管理實體。MME 負責控制與MTCD 有關的信令，管理身份認證，并在設備切換信令中扮演重要角色。

4）HSS:歸屬用戶服務器。HSS 是一個主數據庫，用于存儲設備信息，該信息用于設備觸發、授權和認證。

5）GM:組管理員。組管理員在注冊過程中為組內成員分配用于成員身份認證和組密鑰建立的令牌，在更新訪問策略時為網絡生成更新參數。

3 本文方案

本章將詳細描述LTE-A網絡中基于動態組的有效身份認證和密鑰協商方案，以及動態訪問策略更新。本文方案包括三個階段:1）準備和注冊階段；2）基于組的身份認證和密鑰協商階段；3）更新階段。

3.1 準備和注冊

這個階段中，要先對MTCD 進行初始化操作，設置安全參數，并為每個組內MTCD分配基于身份的認證令牌（token）。

3.1.1 初始化MTCD

將網絡中的MTCD 基于現有的分組方法和某些原理分成幾個MTC 組，每個組共享一個秘密身份認證參數s。設集合{MTCD1，MTCD2，…，MTCDn}表示組Grp1中MTCD 成員，每個MTCD被分配唯一的組身份標識符IDMTCDi（i=1，2，…，n）。選擇一個性能好的且可信的設備作為每個組的組長Grp1?leader，并為其分配了唯一的組身份標識符IDleader1。

3.1.2 初始化安全參數

GM 為組內的MTCD 分配組認證令牌，用于成員身份認證和組密鑰建立。只有首次向網絡注冊時，GM才需要執行以下操作:

步驟1 GM 首先選擇并公開兩個安全大素數p和q，其中p是q-1 的大素數因子。GM 選擇并公開一個哈希函數h，用于認證實體在認證過程中生成消息認證碼（Message Authentication Code，MAC）。

步驟2 GM選擇一個t-1次對稱多項式f(x，y):

令f(0，0)=s，q＞max(s，n)，t≤n，參 數ai，j∈GF(p)，并且系數滿足ai，j=aj，i，?i，j∈[ 0，t-1 ]。

步驟3 GM 為參與認證的實體計算認證令牌。GM 用對稱多項式f(x，y)對身份標識符進行計算，得到MTCDi的認證令牌modp。MME 和HSS 的認證令牌也是用這種方法計算，tokenMME(y)=f(IDMME，y)modp，tokenHSS(y)=f(IDHSS，y)modp。GM將令牌以安全的方式發送給相應的實體。

3.1.3 計算認證參數

本文方案支持多次組認證，在每次組認證之前，GM 為該次組認證生成一個新的認證參數給HSS。

步驟4 GM 在GF(p)中選擇一個生成元gθ，認證參數GM 選擇一個哈希函數H，公開參數{gθ，H(sθ)}，θ=1，2，…，k，其中k是方案中可支持的安全組通信的數量。

3.2 基于組的身份認證和密鑰協商階段

在此階段，假設組長、MME 和HSS 是誠實可信的，HSS 通過MME 對請求訪問LTE-A 網絡的MTCD 進行身份認證，并建立MTCD 和MME 之間的會話密鑰。該過程在圖2 中給出，詳細描述如下:

圖2 本文方案中基于組的身份認證和密鑰協商過程Fig.2 Group based identity authentication and key agreement process in proposed scheme

步驟1 設在Grp1組內有m個參與認證的MTCD 成員，集合為{MTCD1，MTCD2，…，MTCDm}，t≤m≤n。m個MTCD 成員通過組長Grp1?leader發送訪 問請求，Grp1?leader將請求轉發給MME。

步驟2 MME向組長Grp1?leader發送身份認證請求。

步驟3 組長Grp1?leader計算組認證消息AUTHGrp1，并發送給MME，具體過程如下:

1）MTCDi（i=1，2，…，m）用認證令牌(y)計算認證分量，并發送給組長Grp1?leader:

2）組長Grp1?leader對認證分量dMTCDi（i=1，2，…，m）進行計算，生成組認證參數

步驟4 MME 將組認證消息AUTHGrp1發送給HSS，并且為了檢查基站的真偽性，MME 將基站的位置信息（POSition informations，POS）一起發送給HSS。

步驟5 HSS 收到認證信息，先進行驗證，再計算HSS 的認證消息:

1）首先通過檢驗MACGrp1驗證接收到的消息的完整性，接著檢驗組認證消息。若H≠H(sθ)，則組內存在不合法的MTCD，或者AUTHGrp1是已經認證過的消息，則HSS 拒絕此次組身份認證請求；反之，通過驗證說明AUTHGrp1是有效的，并且組內所有MTCD都是合法的，HSS接受此次組身份認證。

2）HSS用令牌tokenHSS(y)計算:

AUTHHSS=(dHSS‖MACHSS) 為HSS 的認證消息，其 中MACHSS=h(dHSS)。把認證消息AUTHHSS作為認證響應發送給MME。

步驟6 組內成員身份都通過HSS 的認證之后，MME 將認證消息AUTHMME=(IDMME‖AUTHHSS)發送給組長Grp1?leader。

步驟7 收到AUTHMME=(IDMME‖dHSS‖MACHSS)，組長使用dHSS通過如下計算式得到

通過驗證后，組長Grp1?leader將為組內成員建立通信時的密鑰生成消息（Key Generation Message，KGM）:

步驟8 當MME 需要和Grp1組內某個MTCDi建立回話時，需要檢查AUTHleader1?MME，MME 計算與MTCDi的對話密鑰為需要檢查MME 的認證消息，MTCDi計算與MME 的對話 密鑰為

3.3 更新策略

在此階段，當MTCD 加入或離開LTE-A 網絡時，訪問策略將動態更新。在本文方案中可以通過簡單的方式實現此目標，并且不需要再次初始化每個MTCD 成員。具體細節描述如下:

步驟1 當有MTCD 離開組Grp1，GM 首先選擇一個更新參數Δa，并將(Δa‖MACGM)發送給MME，MACGM=h(Δa)。此時，多項式f(x，y)更新為:

步驟2 MME先對(Δa‖MACGM)驗證，通過驗證的Δa，使用通信密鑰加密，將發送給組內相應MTCD成員。

若新成員加入了組Grp1，則訪問策略更新過程遵循相同的步驟，并為新成員MTCDnew分配新的更新令牌

4 安全性分析

4.1 正確性

4.1.1 組內成員身份認證

在3.2節的步驟3中MTCDi用認證令牌計算得到認證分量:

4.1.2 HSS身份認證

在3.2 節的步驟5～步驟7 中，HSS 用令牌tokenHSS(y)計算得到ωHSS=tokenHSS(0)·為了方便理解，本文在對HSS 進行身份認證計算時，將HSS 作為第m+1個參與認證的MTCD成員:

4.2 安全性

根據文獻［16-21］中定義的安全要求，在本節中將對方案進行安全目標分析，以驗證所提出的方案能夠滿足所要求的安全。

4.2.1 相互認證

在本文方案中，MTCD 通過批量的組認證形式與HSS 相互認證。為了認證組內MTCD 的身份，MTCDi需要根據隱私的令牌計算得到認證分量，再由組長計算出組認證參數HSS通過驗證H≠H(sθ)是否成立認證組內MTCD 的身份。另一方面，HSS的認證信息AUTHHSS中包含由HSS 的令牌tokenHSS(y)計算得到的dHSS，組長通過對dHSS的計算對HSS進行身份認證。

4.2.2 密鑰協商

每個MTCD 都將與MME 協商不同的會話密鑰。每個會話密鑰由MTCD 和MME 分別利用雙方隱私的令牌計算得到，而無需通過通信通道進行傳輸，這可以防止這些密鑰被攔截或泄露。

4.2.3 信令擁塞的優化

在本文方案中，為了優化信令擁塞，通過現有的分組方法和某些原理將大量的MTCD 分成幾個組，并選擇一個性能好且可信的MTCD 作為領導者，即組長。組內的MTCD 需要根據秘密的令牌生成認證分量，聚合認證分量得到組認證消息，組長Grp1?leader只需要向MME 發送一個組認證消息。另一方面，MME 將組認證消息AUTHGrp1發給HSS，HSS 能夠通過AUTHGrp1同時對一組MTCD 進行統一身份認證，并通過向組長Grp1?leader發送單個信令與每個MTCD 建立不同的會話密鑰。因此本文方案通過將大量請求聚合到組認證消息中，以減少通信開銷并減輕MTCD、MME和HSS之間通信的負擔。

4.2.4 訪問策略更新

在本文方案中，當MTCD 加入或離開該組時，不需要再次初始化組內每個MTCD。本文方案通過更新多項式，以更改身份認證令牌和此時對應的組身份認證參數，從而更新訪問策略。

4.3 抵御攻擊

在本文方案中，HSS、MME和組長是可信任的。本文針對攻擊者可能假冒MTCD 和基站發起的重放攻擊（Replay Attack）、重定向攻擊、中間人攻擊（Man-in-the-Middle Attack）、模擬攻擊（Impersonate Attack）和DoS 攻擊［22］進行了安全分析。

本文方案可以抵抗以下攻擊:

1）重放攻擊。在本文方案中，下次組認證之前，GM 會在GF(p)中選擇并公開一個新的生成元gθ′，gθ′≠gθ（θ′，θ=1，2，…，k），計算得到新的認證參數。按照3.2 節中的計算步驟，參與身份認證的實體在使用隱私令牌計算認證分量時，都會用modq進行計算。這樣，攻擊者無法在新的身份認證過程中再次使用上一次的認證消息。不僅如此，每個認證消息都可以通過認證碼驗證是否被偽造。

2）中間人攻擊。在本文方案中，每個MTCD 和MME 在本地通過密鑰協商方案計算相應的會話密鑰。由于本文密鑰協商方案是安全的，即使攻擊者能夠通過通信信道攔截和竊取所有身份認證消息，它們仍然無法計算MTCD 和MME 的會話密鑰，具體分析見4.2.2 節。所以，本文方案可以抵抗中間人攻擊。不僅如此，在本文方案中，每次認證時，GM會重新生成認證參數，這可以防止認證消息被重用。

3）重定向攻擊。攻擊者可以通過偽裝成基站向MTCD 發起重定向攻擊，并假冒合法的MTCD 向MME 發起重定向攻擊，這種攻擊也稱為偽基站攻擊。在本文方案中將基站信息附加到認證信息中給HSS 驗證抵抗重定向攻擊，這種方法已被廣泛采用［12，23-25］。如果基站信息未能通過HSS的認證，則身份認證請求被拒絕。因此，攻擊者無法偽裝成合法的MTCD。

4）模擬攻擊。假設在同一個組中的兩個MTCD 分別為MTCDi和MTCDj，惡意的MTCDi想要冒 充MTCDj與MME 通信。雖然同一個組中的成員共享同一個身份認證參數sθ和同一個MME 身份標識IDMME。但是，由于不知道，因此無法構造與MME的會話密鑰skMME?MTCDi=tokenMTCDi(IDMME)。

5）DoS 攻擊。假設惡意的攻擊者在運營商的基礎架構上造成嚴重的過載，從而聚集合法用戶訪問網絡。本文方案中，組長將大量請求聚合到一個組認證消息中，避免了核心網絡中大量訪問請求，可以有效抵御非法MTCD 的訪問申請，避免了核心網絡的信令擁塞，可以有效地抵御DoS攻擊。

5 性能分析

本文方案的應用場景和參與認證的實體與文獻［12］方案相似，并且都是采用(t，m，n)組認證方案。在本章中將本文所提的基于對稱二元多項式的方案和文獻［12］中的基于線性多項式的方案進行了性能對比分析。

5.1 帶寬分析

為了分析帶寬消耗，假設當前有x個MTCD 分配給y個組。為了更直觀地對比兩個方案的帶寬消耗，對兩個方案中相同參數的長度進行了統一，表1給出了帶寬相關參數。

表1 帶寬相關參數Tab.1 Bandwidth related parameters

5.1.1 文獻［12］方案的帶寬分析

文獻［12］方案中組長和MME 之間（HN 和SN 之間）的每個認證消息（Authentication Message，AM）的大小計算如下:

1）身份響應:|AM1|=|ID|+2?|MAC|+|TS|=273 bit。

2）認證數據請求:|AM2|=|AM1|+|POS|=313 bit。

3）認證數據響應:|AM3|=|LC|+|TS|+|MAC|=209 bit。

4）訪問響應:|AM4|=|AM3|+|EK|=401bit。

5）MME 的通信密鑰的認證消息:|AM5|=x?|EK|+|ID|+|MAC|=192x+192 bit。

文獻［12］方案中組長和每個成員之間（HN 內）的身份認證消息的大小計算為:

1）成員向組長發送認證請求:|AM6|=|LC|+|EK|=320 bit。

2）組長向成員發送認證響應:|AM7|=|EK|+|ID|+|MAC|=384 bit。

在組長和MME 之間y次組認證中，對x個MTCD 進行身份認證的帶寬為:

組長和每個成員之間的認證帶寬為:

5.1.2 本文方案的帶寬分析

本文方案中組長和MME 之間（HN 和SN 之間）的每個認證消息的大小計算如下:

1）身份響應:|AM1|=|ID|+2?|MAC|=256 bit。

2）認證數據請求:|AM2|=|AM1|+|POS|=296 bit。

3）認證數據響應:|AM3|=|d|+|MAC|=192 bit。

4）訪問響應:|AM4|=|AM3|+|ID|=320 bit。

5）MME 的通信密鑰的認證消息:|AM5|=(x+1)?|ID|+|MAC|=128x+192 bit。

本文方案中組長和成員之間（HN 內）的身份認證消息的大小計算為:

1）成員向組長發送認證請求:|AM6|=|d|+|ID|=256 bit。

2）組長向成員發送認證響應:|AM7|=2?|ID|+|MAC|=320 bit。

在組長和MME 之間y次組認證中，對x個MTCD 進行身份認證的帶寬為:

組長和每個成員之間的認證帶寬為:

通過帶寬分析，在每次組認證過程中，相較于文獻［12］方案，本文方案在HN 和SN 之間的帶寬消耗降低了132 bit，在HN內的帶寬消耗降低了18.2%。

5.2 計算成本分析

在本節中，為了更直觀地展示計算的時間開銷，假設每次只認證一個組，組內有x個MTCD。用于估算計算成本的主要耗時的操作及其說明如下:TL為計算拉格朗日分量的時間；Td為計算認證分量的時間；Tp?mul為執行點乘法運算的時間；Tmul為執行模乘運算的時間；TH為執行哈希運算的時間；Texp為執行模冪運算的時間。

將本文方案中的身份認證和密鑰協商階段與文獻［12］方案的身份認證和密鑰協商階段進行對比，對涉及到的實體進行了計算成本的評估，對比結果如表2所示。從表2中可以看出，本文方案中組長將大量請求聚合到一個請求中，以減少核心網絡上的計算成本，但是由于組長的計算性能要比組內MTCD 的計算性能更優［12，24］，因此在實際實驗中，本文方案的總的計算成本并不高。

表2 不同方案計算成本對比Tab.2 Comparison of computational cost of different schemes

基于現代計算技術，實現了所提出的方案，并給出了方案的計算性能。在模擬實驗中用到了GMP（GMP-6.1.2）和PBC庫（pypbc-1.0.0），基于Python 語言實現了本文方案，實驗環境配置如下:1）CPU 為Intel Core i7-4870HQ CPU @2.50 GHz；2）內存為16 GB DDR3 1 600 MHz；3）操作系統為macOS 10.14.6 Mojave。

圖3 給出了網絡中身份認證和密鑰協商階段的計算成本。組內參與認證的MTCD 數量為x，閾值為t。在圖3 中，假設兩個變量的關系為x=t。根據圖3 可知，隨著組內MTCD數量的增加，本文方案的計算成本要比文獻［12］方案的計算成本低。

圖3 不同方案計算時間對比Fig.3 Comparison of calculation time of different schemes

通過模擬實驗可知，本文所提出的方案的計算成本低于文獻［12］方案的計算成本；且通過帶寬分析可知，不管是HN和SN 之間的消息傳輸還是HN 中的消息傳輸，本文所提出的方案的帶寬消耗遠低于文獻［12］方案。綜合帶寬分析和模擬實驗分析可知，本文所提出的方案是有效可行的。

6 結語

針對LTE-A 網絡，本文提出了一種基于動態組的有效身份認證和密鑰協商方案。與現有的身份認證方案相比，本文方案不僅可以同時對多個MTCD 進行身份認證，還可以支持動態更新其訪問策略，以適應動態場景，而且本文方案還支持多次組身份認證。安全分析結果表明本文方案是正確且安全的，在認證過程中能保證MTCD 隱私且能夠抵抗各種典型攻擊。性能分析通過帶寬消耗和模擬實驗驗證了本文方案的性能，表明本文方案的帶寬消耗和計算成本遠低于文獻［12］方案，有效緩解了信令擁塞的問題。本文方案是基于組長可信的前提條件下提出的，如何在組長不可信的情況下保證群組內用戶身份認證和密鑰協商的安全，還需要進一步研究。