基于CRT的gNB間切換認證方法與密鑰協商協議

基金項目：國家重點研發計劃資助項目；國家自然科學基金資助項目

作者簡介：謝楨（1997-），男，江西于都人，碩士，主要研究方向為5G網絡安全、協議分析（whugauss@qq.com）；季新生（1968-），男，江蘇如東人，教授，碩士，主要研究方向為新一代移動通信網絡技術、網絡安全；游偉（1984-），男，江西豐城人，副教授，博士，主要研究方向為新一代移動通信網絡技術．

摘 要：針對當前UE在gNB間的切換認證與密鑰協商過程存在的僅有兩跳前向安全性和易受拒絕服務攻擊等問題，提出了一種基于中國剩余定理（CRT）的切換認證與密鑰協商協議。該協議利用秘密共享原理，令源gNB和所有可能的目標gNB構成一個群體，把真實的參數作為“秘密”在源gNB和唯一的目標gNB間共享，使得關鍵參數NH和NCC能在源gNB和目標gNB間安全傳輸。實驗結果表明，該協議是安全的，相比同類的改進協議具有效率優勢。

關鍵詞：5G；gNB；切換認證；形式化分析

中圖分類號：TP393 文獻標志碼：A

文章編號：1001-3695（2022）11-040-3450-05

doi：10.19734/j.issn.1001-3695.2022.03.0158

Handover authentication method and key agreement protocol between gNB based on CRT

Xie Zhen1，Ji Xinsheng1，2，You Wei1

（1.People’s Liberation Army Strategic Support Force Information Engineering University，Zhengzhou 450001，China；2.Purple Mountain Laboratories，Nanjing 211111，China）

Abstract：The handover authentication and key agreement process between UE and gNB has some defects，such as only two hop forward security and vulnerable to denial of service attack.To solve these problems，this paper proposed a handover authentication and key agreement protocol based on China remainder theorem（CRT）.The protocol formed a group between source gNB and all possible target gNBs by using the principle of secret sharing.The source gNB and the only target gNB shared the real parameters as “secrets”，so that the source gNB transmitted the key parameters NH and NCC to the target gNB safely.The simulation results show that the protocol is secure and has efficiency advantages compared with other similar improved protocols.

Key words：5G；gNB；handover authentication；formal analysis

0 引言

5G網絡以Sub-6G和毫米波為傳輸信息的載體，相比于以往的2/3/4G網絡，5G所使用的電磁頻譜頻率更高，因此在同等距離條件下，5G在空口傳播信息的損耗更大，繞射能力更差，單個基站的服務覆蓋半徑也大大縮短。為了實現5G信號的覆蓋和滿足更大數量的用戶接入，運營商需要在單位面積內部署更多的基站。在這樣的情況下，相比4G LTE網絡，5G用戶會更加頻繁地切換接入基站，這給5G的移動性管理和數據隱私保護等方面帶來了新的風險和挑戰。

切換過程指的是由于新的無線電條件、覆蓋類變化或者由于負載均衡策略等條件變化，使得Xn或N2的參考點將UE從源NG-RAN節點交給目標NG-RAN節點的過程。第三代合作伙伴計劃（3rd generation partnership project，3GPP）在標準TS 23.501中，對三類切換進行了標準化工作，分別是3GPP域內切換、3GPP域間切換、3GPP和不可信3GPP間的切換［1］。其中，3GPP域內切換是最常見的切換，該切換具體描述為：UE在連接態且移動范圍相對不大時，Xn接口的切換在同AMF內進行，且UPF不變，即準備消息在gNB間直接交換，如圖1所示。

安全標準TS 33.501中，描述了5G系統整體的安全特性和安全機制，定義了切換過程中的密鑰處理流程和方法［2］。還有其他標準文檔如TS 38.300、TS 33.401等，對切換過程的信令、交互等細節進行了規范［3，4］。雖然上述標準對比4G有更嚴格的機密性和完整性保護機制，也提出了gNB需要支持gNB和UE通信時的完整性保護和重放保護的安全需求［2］，但當前5G域內gNB間切換認證仍然存在一些安全問題，描述如下：

a）當前5G標準的切換認證與密鑰協商過程，由于源gNB和目標gNB共用了一個關鍵參數，導致該過程不具備前向安全性。

b）由于前向安全性問題，導致切換過程易受反同步攻擊、拒絕服務攻擊等威脅。

具體問題分析在1.3節詳細描述。

針對當前5G切換認證存在的各種問題，學界做了許多分析并提出了各種方案，以使其切換認證協議滿足各種安全屬性和效率要求。崔琪楣等人［5］針對5G網絡切換認證與密鑰協商存在的問題，提出了一種基于橢圓曲線的無證書密鑰協商機制，該方案在MEC（mobile edge computing）服務器上增加可信第三方密鑰生成中心，使得移動端可以主動發起密鑰更新請求，且該方案在空口側可以完成密鑰更新的過程。Peltonen等人［6］總結了5G切換認證的各個相關標準文檔，并把5G切換認證總結為四類切換，用形式化分析工具Tamarin對所有的切換認證協議分析，為每個協議確立了安全目標和滿足其安全目標所需的最小安全集。Cao等人［7］針對5G超密集異構網絡提出了一種基于用戶能力的隱私保護切換認證機制，用形式化驗證工具Scyther和Ban邏輯證明了其安全性。Zhang等人［8］在5G異構網絡中提出了一種魯棒、通用的無縫切換認證方法，該方案運用了區塊鏈技術，支持LTE、可信3GPP、不可信3GPP、5GC之間的切換，實現了切換的匿名性、可追蹤性、完美前向安全性等安全屬性。不過文獻[7，8]的方案主要是為了解決在網絡異構情形下的切換，且所提出的方案對3GPP本身所提出的切換方法改動較大。Han等人［9］提出了一種新的切換認證架構，該架構引入MEC（mobile edge computing）服務器進行完全的、再次的身份認證。但該方案AAA服務器并未驗證MEC服務器，且AAA與MEC服務器需要新的安全通信機制，引入了新的安全問題。Sharma等人［10］利用ECC（elliptic curve cryptography）算法，提出了一種初始認證與切換認證相結合的方案，不過由于引入了ECC的計算，該方案計算開銷較大。Huang等人［11］提出了一種高效安全的切換認證方案，但該方案每次切換需要把一個AMF下每個gNB的密鑰都進行運算，這并不符合實際。

基于最新R17版本的切換認證協議和上述改進協議所存在問題，本文提出一種基于CRT的切換認證方案，該方案基本思路是在盡量保留3GPP原有架構的情況下，用CRT完成NH（next hop parameter）的傳輸，并用形式化分析工具Pro Verif對所提出的方案進行分析，證明所提方案具有前向安全性。效率對比實驗表明該方案具有較高的效率。

1 R17切換認證架構及其密鑰更新機制

1.1 密鑰結構

5G密鑰結構如圖2所示。由圖可知，網絡側的每個網元和實體所擁有的密鑰，UE中都有相對應的密鑰。長期密鑰K預先存儲在ARPF和USIM（universal subscriber identity mo-dule）中，K在身份認證過程中派生出CK和IK，ARPF從CK和IK推衍出的KAUSF用于5G AKA認證，并將其交給AUSF，推衍出的CK′和IK′用于EAP-AKA′認證。UE和AUSF可導出錨密鑰KSEAF，錨密鑰KSEAF的作用是在不進行重新認證的前提下可以推衍多個安全上下文密鑰，KSEAF也是派生出KAMF的中間密鑰。KAMF可以派生出KN3IWF、KgNB、KNASint、KNASenc四個密鑰，其中KN3IWF是用于非3GPP接入的密鑰，KgNB用于保護gNB和UE間的通信，KNASint、KNASenc用于保護NAS信令的完整性和機密性。UE和gNB再用KgNB和NH派生出KRRCint、KRRCenc、KUPint、KUPenc四個密鑰，分別用于保護RRC信令完整性和機密性，保護用戶名數據的完整性和機密性。

1.2 切換過程

當UE在同一AMF下，從源gNB（后文簡稱s-gNB）切換到目標gNB（后文簡稱t-gNB）時，其密鑰處理流程如圖3所示。

如圖3所示，切換過程的密鑰處理分別為水平切換和垂直切換兩種。KgNB的作用是保護UE和gNB間的通信，當UE從s-gNB移動到t-gNB時，UE和t-gNB間的KgNB（也被稱做KNG-RAN*）是從s-gNB或NH（next hop parameter，下一跳參數）推衍出的。當KNG-RAN*是從s-gNB推衍出來時，是水平密鑰推衍；當KNG-RAN*是從NH推衍而來時，是垂直密鑰推衍。水平和垂直的密鑰推衍公式如下所示：

KNG-RAN*=KDF（KgNB‖PCI‖ARFCN-DL）

KNG-RAN*=KDF（NH‖PCI‖ARFCN-DL）

其中：PCI是小區的物理標識（physical cell identity），ARFCN-DL是下行鏈路絕對無線頻道編號（absolute radio frequency channel number-down link）。

在切換過程中，具體密鑰處理流程如下：

a）當AMF確定t-gNB后，s-gNB按照上述公式計算KNG-RAN*，并將{KNG-RAN*，NCC}參數發送給t-gNB，其中NCC是NH的計數器，每計算一次NH值NCC值就增加1。t-gNB收到{KNG-RAN*，NCC}參數對后，將其中的KNG-RAN*直接作為自己的KgNB，并將收到的NCC值與自己的KgNB相關聯。

b）s-gNB在切換確認的消息中，將NCC值發送給UE。

c）t-gNB收到來自s-gNB的參數對后，向AMF發送路徑切換請求。然后AMF將NCC的值+1，并計算新的NH值，得到新的{NH，NCC}參數對。該參數對將用于t-gNB的下一次切換過程。其中NH的計算公式如下：

NH=KDF（KAMF‖KgNB）

NH*=KDF（KAMF‖NH）

其中：第一個公式僅用于計算第一個NH值，其余NH值均由第二個公式計算。

d）這里首先明確，UE和AMF都存儲了KAMF，而UE側也存儲了s-gNB的KgNB、PCI、ARFCN-DL的信息。因此，在每次切換時，UE側有能力計算也需要以同樣的公式計算出KNG-RAN*，并使用之前收到的NCC值檢驗t-gNB的密鑰是否與之匹配。

1.3 存在的問題

本節主要結合第2章所描述的過程，詳細描述切換過程存在的安全問題。

由上述過程可知，在攻擊者獲取了t-gNB的KgNB情況下，理論上無法計算出s-gNB的KgNB，因為KDF函數是一個單向散列函數，它的輸入包含了salt。但如果攻擊者獲取了s-gNB的KgNB、PCI、ARFCN-DL等信息，則攻擊者也可以根據公式計算出KNG-RAN*，而t-gNB收到KNG-RAN*就直接用做自己的KgNB，即在攻擊者獲取s-gNB某些信息的情況下，是可以得到t-gNB的KgNB，從而造成安全隱患。因此，5G網絡的切換認證過程是具有后向安全性，而不具有前向安全性的［5］。

假設攻擊者劫持了一個合法的s-gNB，讓s-gNB錯誤地更新NCC值，則會妨礙UE與t-gNB的密鑰協商，造成反同步攻擊［11］。例如，被攻擊者劫持的s-gNB在收到UE的切換請求時，惡意地將NCC設置為一個大數，然后t-gNB會將該大數與自己的KgNB相關聯。那么在上述步驟d）中，UE檢查NCC值是否比本地的NCC值大1時，就會發現NCC值不匹配，于是UE就會一直使用前文所述公式計算NH*（因為每計算一次NH*，NCC值加1），直到NCC值與收到的NCC值匹配；或者在多次切換的情形下，被攻擊者劫持的s-gNB惡意設置一個非常小的NCC值，使得UE無論如何計算都無法匹配NCC值，造成拒絕服務攻擊。

2 相關知識

2.1 秘密共享

秘密共享的思想最早由以色列密碼學專家Shamir和Blakley在1979年提出［12，13］，其基本思路是：在秘密共享的過程中，持有者和分發者作為分享秘密過程中的兩類實體，分發者將信息分為n個子秘密，n個子秘密由n個持有者分別持有，當任意持有者數量不少于t時，則這些持有者可以根據他們持有的子秘密恢復出真正的秘密s。這樣的方案稱為（t，n）門限秘密共享方案。其原理如圖4所示。

常見的秘密共享方案有基于拉格朗日插值多項式的Shamir方案［12］、基于矢量方法的Blakley方案［13］、基于中國剩余定理（Chinese remainder theorem，CRT）的Asmuth方案［14］、基于多維向量的Brickell方案。

2.2 基于CRT的秘密共享方案

在基于CRT的秘密共享方案中，CRT的用處在于：若已知某個數關于一些兩兩互素的數的同余類集合，就可以用特定的方法重構這個數。下面舉例說明如何用CRT共享秘密。

以基于中國剩余定理的（5，3）門限共享秘密s=117為例：

a）選取5個兩兩互素，單調遞增的正整數，假設選取的正整數為：a1=4，a2=5，a3=7，a4=9，a5=11。

b）計算上述整數對應的秘密k，即計算：

k1≡117 mod 4=1

k2≡117 mod 5=2

k3≡117 mod 7=5

k4≡117 mod 9=0

k5≡117 mod 11=7

c）得出五個秘密持有實體的子秘密為：（1，4）（2，5）（5，7）（0，9）（7，11），并將這五個子秘密分配個五個秘密持有實體。

d）假設要根據子秘密（1，4）（2，5）（7，11）恢復出秘密s=117，則解如下同余方程組：

即可解得s=117。

3 基于CRT的切換認證與密鑰協商協議

基于前文所描述的現行3GPP標準所存在的安全問題，本文設計了一種基于CRT的gNB間切換方法用于密鑰協商協議。該方案設計的基本思路是，利用秘密共享的思想，在UE移動的過程中，令s-gNB和所有可能切換到的t-gNB構成一個群組，在這個群組間利用CRT秘密共享方案，把NCC值從AMF安全地傳輸到UE，把NH值安全傳輸到t-gNB。方案如圖5所示。該方案的優點是：利用了基于CRT的秘密共享方案，CRT只有模乘和模逆運算，效率較高，且對3GPP本身所規范的切換認證于密鑰協商協議改動相對較小。

3.1 準備階段

a）UE會基于小區廣播的周期性同步信號于系統信息檢測小區，若檢測到的小區信號質量高于閾值，則UE根據3GPP定義的選擇策略，在所有候選小區選出最合適的小區。不妨設有n個候選小區（即存在n個候選的t-gNB）。

b）AMF隨機生成n+1個大素數，并為步驟a）中的每個t-gNB都分配一個素數，記做Si（i=1，…，n）。為AMF自身也分配一個大素數，記做S0。

c）AMF進行如下計算：

d）由前文所述密鑰層次可知，在切換開始之前，UE和AMF已經導出來密鑰KAMF。在該步驟中，AMF用先前生成的KAMF加密NCC值，并進行如下計算：MAC=H（{NCC}KAMF‖KAMF）。形如{NCC}KAMF的含義是用密鑰KAMF加密NCC值。

3.2 切換階段

a）AMF在“path shift request ACK”消息中給s-gNB發送如下四式：β、{NCC}KAMF、MAC、時間戳timestamp。

b）s-gNB收到上述四式后，檢查時間戳的新鮮度，存儲β。將{{NCC}KAMF，MAC，timestamp1}KNG-RAN發送給UE。

c）UE解密來自s-gNB的消息，并驗證MAC是否正確。只有當MAC通過驗證時，UE才會信任s-gNB，否則UE就拒絕切換。

d）此時的UE即將從s-gNB切換到t-gNB。UE生成參數Nonce（這是一個由UE選擇的隨機數）和時間戳timestamp（下式中記為t2），并用密鑰KNG-RAN*加密。然后UE將{{Nonce，t2}KNG-RAN*，t2，request}KNG-RAN發回給s-gNB，其中request為UE的切換請求。

e）s-gNB解密UE發來的信息，并檢驗時間戳是否符合要求。若符合要求，則s-gNB將{{Nonce，t2}KNG-RAN*，t3，β}Ksg-tg發送給t-gNB。上式中Ksg-tg的含義為s-gNB和t-gNB間的密鑰。

f）t-gNB收到消息后先解密消息。然后計算NH=β mod Si，即可獲取NH，其中St即為在準備階段步驟b）中AMF分配給t-gNB的素數。t-gNB得到NH值后，即可根據公式：KNG-RAN*=KDF（NH‖PCI‖ARFCN-DL）得出KNG-RAN*的值。即可解密{Nonce，t2}KNG-RAN*，進而檢驗時間戳t2是否符合要求。若符合要求，則t-gNB生成自己的時間戳t4，將消息{Nonce，t4}KNG-RAN*發送給UE。

g）UE收到t-gNB的信息后檢驗收到的Nonce參數是否與之前發給s-gNB的Nonce參數一致，檢驗t4是否符合要求。若Nonce一致且t4符合要求，則完成gNB間的切換和密鑰協商。

4 方案分析

4.1 安全性分析

4.1.1 非形式化分析

非形式化分析指的是研究者利用自身的主觀經驗，從協議設計的理念、協議細節等方面，遵循各種已知的協議攻擊方法，對協議的安全性進行論證。

1）抵御拒絕服務攻擊 在3GPP的5G原始切換認證與密鑰協商方案中，NCC和NH值相關聯，進而UE可以通過NCC值得知用哪個NH導出會話密鑰，從而攻擊者可以通過某些方法控制合法的基站或者設置虛假基站，向UE發送虛假的NCC值，進而造成DoS攻擊。在本方案中，先是用KAMF對NCC值加密，然后AMF會計算MAC值以保護NCC的完整性。而UE在使用NH值之前，會檢查該NH對應的NCC的MAC值是否等于收到的MAC值。若非法gNB發送了虛假的NCC值，則UE會在檢驗MAC值時發現不匹配，進而防止DoS攻擊。

2）完美前向安全性 在3GPP規范中，s-gNB計算所得的KNG-RAN*直接作為t-gNB的KgNB。在這種情形下，攻擊者就有可能通過s-gNB獲取未來的KgNB，進而導致竊聽或者消息竄改等情況出現。在本方案中，關鍵參數NH被“偽裝成”β，而攻擊者雖然仍然有可能從s-gNB處獲取β值，但由于CRT秘密共享算法的保護，攻擊者在理論上是無法從β解出NH的，也就無法得到下一跳的密鑰KNG-RAN*。故本文所設計的方案是可以保證完美前向安全性的。

3）AMF的安全性 在本方案中，AMF為每個t-gNB生成素數，并做一些計算，在這個過程中，協議的安全性是有保障的。具體分析如下：

a）分配素數過程中素數泄露、竄改的風險。AMF需要通過N2接口將生成的素數傳輸給gNB，而AMF和gNB在N2接口使用SCTP作為傳輸層協議。由圖2密鑰層次可知，SCTP的加密性和完整性密鑰分別為KNASint、KNASenc。總的來說，N2接口傳輸層的SCTP可以保障素數傳輸的完整性和加密性。

b）AMF失陷的風險。更進一步地，AMF可能被攻擊者控制，導致其分配的素數被攻擊者掌握。但是，由基于CRT的秘密共享原理可知，即使素數都被攻擊者掌握，攻擊者也無法列出相應的同余方程，也就無法根據素數得出關鍵參數NH。

4.1.2 形式化分析

通過上述非形式化分析，已經證明了本文所設計的方案具有完美前向安全性且能夠抵御拒絕服務攻擊，但新協議是否引入了新的問題仍有待研究。形式化分析工具便是這樣一種能夠證明協議安全、挖掘協議漏洞的工具。

形式化分析工具Pro Verif是Blanchet開發的一種形式化自動驗證的密碼學協議工具［15，16］，其針對的安全模型是Dolev-Yao模型［17］。Pro Verif形式化工具可以描述各種密碼學源語，且不會出現無限會話輪數情況下狀態空間爆炸的問題。由于Pro Verif工具是基于命令操作的，本文實驗使用編輯工具Sublime Text 3編輯Prolog語句。

a）聲明和定義變量，free表示UE和gNB間信道是公開的，攻擊者是可以獲取其信道內通信內容的；private表明信息內容是私密的。聲明和定義如圖6所示。

b）定義函數。主要是定義協議中涉及的變量變化和傳遞，如圖7所示。

c）設置事件。在Dolev-Yao攻擊者模型下，對方案所涉及的四個主體UE、s-gNB、t-gNB、AMF分別設置問詢事件，以檢驗認證的安全性，如圖8所示。

d）描述切換過程中UE的行為，定義UE子進程，如圖9所示。

e）描述切換過程中gNB的行為，定義gNB子進程，如圖10所示。

f）在ProVerif.exe所在的子文件夾下運行上述程序，結果如圖11所示， 4個質詢的結果均為“true”，說明本文方案在Dolev-Yao攻擊模型下是安全的。

4.2 效率分析

本節主要從理論上和實驗上驗證基于CRT切換認證方案的高效性，對比對象為最新的3GPP R17規范、文獻［5，8，10］方案。

在表1中對比了五種方案的信令開銷。從表中可以看出，本文方案信令開銷略高于3GPP和文獻［5］的方案，文獻［8，10］的方案信令開銷明顯高于其余方案。文獻［5］的方案信令開銷最小，是因為其方案引入了MEC服務器和第三方KGC（key generation center），使得它在空口側就能完成切換認證與密鑰協商的過程，所以UE、核心網和gNB之間不需要太多信息交互。文獻［8，10］的方案信令開銷較大，這是因為文獻［8］的方案采用了特殊的哈希函數簽名，需要較大的信令開銷；文獻［10］的方案使用ECC算法保護NCC和NH的傳輸，信令開銷大。而本文方案對于3GPP方案改動較小、信令開銷增加較少。

在表2中對比了五種方案在UE和gNB處所需計算的時間復雜度。其中TM是取模運算的時間復雜度，TH是哈希運算的時間復雜度，TR是RSA簽名的時間復雜度，TECC是橢圓曲線標量乘法的時間復雜度， TAES是128位AES加密的時間復雜度，TP是雙線性對運算的時間復雜度，TUE是在UE處的計算的時間復雜度，TNB是在gNB的計算的時間復雜度。

如表3所示，本文實驗了五種方案，并檢測了耗時。實驗平臺是基于“Free 5GC”開源核心網項目，部署在32 GB內存，8核心處理器，64位的Ubuntu虛擬機上，實驗UE為Harmony系統，Kirin 9000芯片的華為手機。該實驗參數設置如下：KAMF、NH、KNG-RAN*、KNG-RAN均為256 bit，MAC為160 bit，hash、Nonce為128 bit，NCC為3 bit，ECC參數|p|為1 024 bit，|q|為256 bit，其余參數按照5G相關標準要求設置。把s-gNB發起path shift request至切換結束（不同方案切換結束標準不一樣）的時間間隔記為時間t。表中數據t為切換100次的平均值。

從表中可以看出，3GPP方案的耗時最低，本文方案和文獻［5］的方案增加了較少的耗時，文獻［8，10］的方案耗時較高，與表2的時間復雜度相符。3GPP耗時最短，因為其余四方案均增加了特定機制保障切換的前向安全性；本文方案的效率較高，是因為本文方案對3GPP方案的改動相對較小，增加的運算時間復雜度都較低；文獻［5］的方案雖然是基于時間復雜度高的ECC算法和無雙線性的無證書密鑰協商，但是該方案中引入了MEC服務器和KGC，大部分計算在MEC服務器上完成，核心網和UE只需要進行少量計算和交互即可完成切換，所以文獻［5］的方案也具有較高效率；文獻［8］使用變色龍哈希函數簽名的方法實現前向安全性，其中的變色龍哈希運算和簽名運算會消耗較多的計算資源，因此該方案耗時較高；文獻［10］的方案需要在橢圓曲線上做取模運算和雙線性對運算，這一過程的時間復雜度非常高，因此該方案的耗時最高。總的來說，本文方案增加了較少的時間開銷就實現切換的前向安全性，效率明顯高于文獻［8，10］的方案，且本文方案不依賴于MEC服務器，相比文獻［5］的方案具有更強的普適性。

5 結束語

本文針對當前5G gNB間切換認證及其密鑰協商協議所存在的問題，利用基于CRT的秘密共享機制，使得相關的參數可以安全傳輸。且該方案相比其他方案，無須依賴MEC服務器，相比于原有的5G協議，主要增加了模乘和模逆運算，對原有協議的改動相對較小，更具有可行性。經形式化和非形式化的安全分析，證明了本文協議解決了原有3GPP標準存在的問題，且在Dolev-Yao模型下是安全的。

5G時代是萬物互聯的時代，本文所設計的方案在實驗中取得了較好的效果，但仍有待在實際的、多樣化的網絡環境中檢驗其安全性和可擴展性。如何設計方案為5G的多元化的終端和場景提供安全、可靠、快速、無縫的連接，在鑒權認證、密鑰協商等方面還有待進一步研究。

參考文獻：

［1］3GPP Support Office.System architecture for the 5G system：TS 23.501 V17.0.0［S］.2021.

［2］3GPP Support Office.Security architecture and procedures for 5G system：TS 33.501 V17.0.0［S］.2020.

［3］3GPP Support Office.NR； NR and NG-RAN overall description； Stage-2：TS 38.300 V16.8.0［S］.2021.

［4］3GPP Support Office.3GPP system architecture evolution（SAE）； Security architecture：TS 33.401 V17.0.0［S］.2021.

［5］崔琪楣，趙文靜，顧曉陽，等.面向B5G網絡的高效切換認證與安全密鑰更新機制［J］.通信學報，2021，42（12）：96-108.（Cui Qimei，Zhao Wenjing，Gu Xiaoyang，et al.Efficient handover authentication and secure key-updating mechanism for B5G networks［J］.Journal on Communications，2021，42（12）：96-108.）

［6］Peltonen A，Sasse R，Basin D.A comprehensive formal analysis of 5G handover［C］//Proc of the 14th ACM Conference on Security and Privacy in Wireless and Mobile Networks.New York：ACM Press，2021：1-12.

［7］Cao Jin，Ma Maode，Fu Yulong，et al.CPPHA：capability-based privacy-protection handover authentication mechanism for SDN-based 5G HetNets［J］.IEEE Trans on Dependable and Secure Computing，2021，18（3）：1182-1195.

［8］Zhang Yinghui，Deng R，Bertino E，et al.Robust and universal seamless handover authentication in 5G HetNets［J］.IEEE Trans on Dependable and Secure Computing，2021，18（2）：858-874.

［9］Han Kailong，Ma Maode，Li Xiaohong，et al.An efficient handover authentication mechanism for 5G wireless network［C］//Proc of IEEE Wireless Communications and Networking Conference.Piscataway，NJ：IEEE Press，2019，1-8.

［10］Sharma A，Sharma I，Jain A.A construction of security enhanced and efficient handover AKA protocol in 5G communication network［C］//Proc of the 10th International Conference on Computing，Communication and Networking Technologies.Piscataway，NJ：IEEE Press，2019：1-6.

［11］Huang Jiaqi，Qian Yi.A secure and efficient handover authentication and key management protocol for 5G networks［J］.Journal of Communications and Information Networks，2020，5（1）：40-49.

［12］Shamir A.How to share a secret［J］.Communication of the ACM，1979，22（11）：612-613.

［13］Blakley G R.Safeguarding cryptographic keys［C］//Proc of International Workshop on Managing Requirements Knowledge.New York：IEEE Press，1979：313-318.

［14］Asmuth C.Bloom J.A Modular approach to key safeguarding［J］.IEEE Trans on Information Theory，1983，29（2）：208-210.

［15］Blanchet B.ProVerif［EB/OL］.（2020-05-26）.http：//prosecco.gforge.inria.fr/personal/bblanche/proverif/.

［16］Blanchet B，Smyth B，Cheval V，et al.ProVerif manual［EB/OL］.http：//prosecco.gforge.inria.fr/personal/bblanche/proverif/manual.pdf.

［17］Dolev D，Yao C C.On the security of public key protocols［J］.IEEE Trans on Information Theory，1983，29（2）：198-207.