WLAN-4G融合认证协议的安全性研究

韩　挺　中国信息通信研究院安全研究所工程师孟照丽　中国信息通信研究院安全研究所助理工程师



WLAN-4G融合认证协议的安全性研究

韩挺中国信息通信研究院安全研究所工程师
孟照丽中国信息通信研究院安全研究所助理工程师

摘要：EAP-AKA是3GPP定义的多网络融合认证协议，其在WLAN-4G融合网络中被采用。本文在对该协议的认证流程进行分析和研究的基础上对其安全性和缺陷进行了分析，并对改进的EAP-AKA协议进行了研究和分析以保证WLAN-4G融合网络的认证安全。

关键词：WLAN-4G融合；EAP-AKA；安全认证

1　引言

随着4G网络在我国广泛的建设，4G网络的覆盖率和用户也日益增长，越来越多的人们享受到了4G网络带来的快速和便捷。与4G同属宽带无线接入技术的WLAN以其低成本、高速率、可实现快速部署等优势，不仅成为电信运营商融合组网的重要技术，而且在政府和企业信息化领域以及家庭和个人市场占有一席之地。所以，将WLAN和4G网络进行融合互联将起到优势互补共同发展的作用。第三代合作伙伴技术（3GPP）组织针对4G与WLAN网络融合接入提出了相应的标准方案，其中为了实现融合接入的安全采用了可扩展认证和密钥协商协议（Extensible Authentication Protocol- AuthenticationandKeyAgreement，EAP-AKA）。EAP-AKA协议是4G与WLAN融合互连的认证和密钥分配协议，是保证其安全的基础。另外，EAP-AKA协议也被广泛采用于WLAN-3G等其他多网络融合认证中，因此可见EAP-AKA协议涉及到多种网络融合认证的安全性。

本文首先介绍了WLAN- 4G融合认证协议EAP-AKA，其次对EAP-AKA协议的安全性进行了分析，最后对改进EAP-AKA协议也进行了分析。

2　WLAN-4G融合认证协议

WLAN-4G的最优融合就是把两张网络合为一张，用户无需感知是何种网络，却拥有一样的业务体验。为此，3GPP组织在3GPP R8中提出了WLAN融合接入4G网络的非可信接入方案；在3GPP R11中，提出了WLAN融合接入4G的可信接入方案。较之可信接入，非可信接入的最大区别就是建立了终端与网络间的IPSec隧道。WLAN-4G融合网络架构图如图1所示。

为了保证WLAN-4G网络融合时不同网络之间能够进行有效的认证，3GPP组织规定采用EAP-AKA协议作为WLAN-4G网络融合的认证协议。EAP-AKA协议的实现由UE（接入WLAN网络的终端）、WLAN-AN（WLAN网络的拜访网络）、3GPPAAA服务器和HSS来完成。为了能够更有效地说明EAP-AKA的协议流程，在此设Algorithm 1用于产生消息认证码，Algorithm 2用于消息认证中计算期望响应值，Algorithm 3用于产生加密密钥，Algorithm 4用于产生完整性密钥，Algorithm 5用于产生匿名密钥。EAP- AKA协议在交互过程中各个消息为UE→WLAN-AN：NAI（网络接入标志，包含UE的临时标志）；WLAN- AN→3GPP AAA：NAI；3GPP AAA→WLAN-AN：RAND（随机数）、AUTH、UE的临时标志、消息鉴别码；WLAN-AN→UE：RAND、AUTH、UE的临时标志、消息鉴别码；WLAN-UE→WLAN-AN：RES、消息鉴别码；WLAN-AN→3GPPAAA：RES、消息鉴别码；3GPP AAA→WLAN- AN：UE的认证结果、WLAN-AN与UE的共享密钥；WLAN-AN→UE：UE的认证结果。

下面对协议进行详细的描述，协议流程示意图如图2所示，由图可见：

第一步：WLAN-AN向UE发送一个EAP请求身份标志的消息。

图1　WLAN-4G融合网络架构图

图2　EAP-AKA协议流程示意图

第二步：收到消息后，UE向WLAN-AN发送EAP回应身份标志消息，该消息携带NAI身份标志。

第三步：WLANAN将收到的EAP回应身份标志消息发送给3GPPAAA服务器。

第四步：收到UE的身份标志后，3GPP AAA首先在HSS处查询该UE是否具有权限使用该WLAN网络，其次从HSS中取得与UE相关的认证向量AV并获得与该UE的IMSI对应的新的临时标志，其中AV = RAND || XRES || CK || IK || AUTH，XRES = Algorithm 2（RAND），CK = Algorithm 3（RAND），IK = Algorithm 4（RAND），AUTN = SQN⊕AK || AMF || MAC，SQN为序列号，AK = Algorithm 5（RAND），AMF为认证管理域，MAC = Algorithm 1（SON || RAND || AMF）。3GPPAAA再次从IK和CK中生成共享密钥并构造EAP请求/AKA挑战消息，消息包含RAND、AUTH、临时标志，并计算消息鉴别码。3GPP AAA最后将EAP请求/AKA挑战消息发送给WLAN-AN。

第五步：WLAN-AN将收到的EAP请求/AKA挑战消息发送给UE。

第六步：UE首先验证AUTH并确认接收的序列号SQN是否在有效范围内，若正确则实现了对4G网络的认证。从IK和CK中生成共享密钥以验证消息鉴别码是否正确并保存收到的临时标志。计算RES =Algorithm 2（RAND）并结合RES构造EAP回应/AKA挑战消息，同时计算消息鉴别码。最后，将EAP回应/AKA挑战消息发送给WLAN-AN。

第七步：WLAN-AN将收到的EAP回应/AKA挑战消息发送给3GPPAAA服务器。

第八步：3GPPAAA首先验证消息鉴别码，然后计算XRES，并与收到的RES进行比较。若正确则UE身份通过认证，并向WLAN-AN发送EAP认证成功的消息。同时，发送WLAN通信中用于机密性和一致性保护的共享密钥。

第九步：WLAN-AN保存共享密钥，此共享密钥将用于与UE通信时的机密性和一致性保护，同时将EAP认证成功的消息发送给UE。

WLAN和4G网络通过EAP-AKA协议实现了WLAN网络的终端UE同4G网络之间的双向认证，并且在终端UE和WLAN网络之间共享了会话密钥以实现两者之间的加密传输和一致性验证。

3　EAP-AKA协议安全性分析

EAP-AKA协议是在UE和HSS之间共享一个密钥从而实现UE与4G网络的双向认证和密钥分配。该协议能够为WLAN-4G融合认证提供如下安全保障：

（1）提供UE和4G网络之间的双向认证。

（2）实现UE与WLAN-AN网络之间共享密钥，从而保证回话密钥不在无线信道中传输。

（3）在EAP-AKA协议的每次认证过程中，UE和WLAN-AN共享的回话密钥由CK和IK生成，由于CK 和IK是由随机数RAND计算得出，从而能保证密钥的新鲜性。

（4）EAP-AKA协议能够有效地防止密钥协商中的重放攻击。协议传递的消息使用了随机数和递增的序列号SQN作为输入，保证了消息的新鲜性，恶意攻击者都无法利用原有的消息发起重放攻击。

经过大量的实践和研究发现，EAP-AKA认证存在以下一些漏洞和不足：

（1）认证流程需要多次请求和响应交互，造成认证时延较大。

（2）由于不同的运营商可能拥有不同无线接入设备，这就要求额外的信任管理功能。

（3）无秘密密钥更新机制：EAP-AKA协议没有用户UE与3G网络之间共享的秘密密钥K的更新机制，这可能会导致UIM克隆攻击。

（4）中间人攻击：AP永远不需要认证，可能造成假冒AP进行中间人攻击。如果攻击者首先利用某种方式（如DoS）攻陷WLAN-AP，然后假冒成WLAN-AP，则可以获取UE中的会话密钥，这样就使得UE的通信失去了保密性。或者，攻击者对HSS与3GPPAAA服务器之间的信息进行窃听，则可能获得HSS传给AAA服务器的认证向量AV。通过该向量可以获得CK与IK。攻击者再假冒用户入网，同样可实现正常的保密通信。

（5）当用户UE首次进行认证或4G网络不认识WLAN用户的临时标志时，WLAN用户需以明文传送IMSI。攻击者可以截取使用明文传输的IMSI，从而导致用户身份的机密性受到威胁。

（6）EAP-AKA不支持加密套件协商和认证协议版本的协商，限制了该协议的灵活性和可扩展性。

（7）EAP-AKA基于对称加密体制，不支持非对称加密体制及基于证书鉴别的接入认证。

4　EAP-AKA协议安全改进

对于EAP- AKA协议中的冒名网络攻击，在RFC5448中提出了将网络名也加入验证的方案，该方案将网络名同密钥一并发送验证从而判断其是否为冒名网络。对于EAP-AKA协议缺乏主密钥更新机制和明文传送IMSI的潜在漏洞，可以通过共享密钥来解决。参考文献［5］中给出的EAP-AKA协议的改进方案为基于UE与WLAN-AN之间的共享密钥，实现了对WLAN-AN的认证，并对3GPP AAA服务器传送的共享密钥进行了安全处理，从而有效地防止了WLAN-AN假冒攻击与WLAN-UE假冒攻击。在该改进方案中，在WLAN-AN同3GPP AAA交互中，3GPP AAA服务器秘密选择一个随机数r，然后用与UE共享的秘密密钥K加密r，将密文EK（r）随同其他消息一起发送给WLAN-AN。在WLAN-AN与UE的交互中，UE将EK（r）解密，得到r然后用于WLAN-AN共享的秘密密钥K'加密，将密文EK'（r）发送给WLAN-AN。在WLAN-AN与3GPPAAA第二次交互时，WLAN-AN将E K'（r）解密，得到r，然后计算h（r）并将其同别的消息发送给3GPPAAA服务器。3GPPAAA服务器验证h（r），证明WLAN-AN的合法性，然后用r加密WLAN-AN与UE之间的共享密钥，将密文随同其他消息一起发送给WLAN-AN。最后，WLAN-AN将共享密钥解密出来，从而可以得到会话密钥。

但是，上述方案仍然存在一定的缺陷，RFC5448中缺少密钥更新机制，而参考文献［5］中的方案要求每个UE在与WLAN-AN入网连接时都需要预设共享密钥，这对于需要具有用户量大且稳定性强的WLAN来讲增加了大量的共享密钥的管理和更新开销。另外，上述方案并没有解决EAP-AKA协议中另外一个重要的问题，即UE的IMSI明文发送问题。

针对上述方案中存在的问题，需要减少密钥更新的次数并加密保护UE的IMSI信息。随着4G网络和终端的运算能力的增加，采用公钥方法在4G网络和WLAN网络融合中进行认证成为可能。参考文献［8］采用公钥机制解决EAP-AKA协议中存在的不足，在WLAN-AN和4G网络端之间实现密钥共享，由于WLAN-AN相对于UE来说数量要小许多，因此能够有效地减少密钥更新带来的开销。另外，参考文献［8］为了解决IMSI公开明文传输的问题，建议可以先从NAI中提取出4G网络端的地址（用于将加密后的NAI发给正确的4G网络），再用与4G网络的共享密钥加密NAI，然后将加密后的NAI通过WLAN-AN发给4G网络。这样就对IMSI进行了机密保护，避免了用户身份信息的泄露。

采用公钥机制改进EAP-AKA协议主要是在EAP-AKA协议交互流程中做出如下修改：

（1）在原有流程的第二步中UE从NAI中提取出4G网络的地址，然后将该地址和UE产生的随机数RANDue利用会话密钥K计算得出密文EK （RANDue||NAI）并发给WLAN-AN。

（2）在原有流程第三步中WLAN-AN产生随机消息Man和随机数RANDan，之后生成密文EK （RANDan||Man），最后同EK（RANDue||NAI）发送给4G网络。4G网络接收到这两个密文后对这两个密文进行解密，从而认证WLAN-AN以及获得到UE的NAI信息以便在HSS处查询UE的权限信息。

（3）若需要更新会话密钥，则4G网络用RANDue计算IK和CK，接着用IK和CK计算K'，最后用K'计算EK'（RANDue）并发送给UE。UE收到EK' （RANDue）后解密获得RANDue并与自身之前发送的RANDue进行比较，若相同则说明会话密钥更新成功，UE采用哈希函数计算得出h（K'）并发送至WLAN-AN。WLAN-AN收到h（K'）后，进行反哈希运算得到K'并与从4G网络处获得的K'进行比较，若相同则说明UE处会话密钥更行成功。

采用公钥机制改进EAP-AKA协议，通过在WLAN AN与4G网络间增设共享密钥，实现了两者间的相互认证，防止了WLAN-AN假冒攻击。通过加密传输NAI，实现了对IMSI的加密保护，防止了移动用户身份信息的泄漏。通过引入密钥更新机制，实现了对UE和4G网络间的共享密钥的安全更新。

5　结束语

未来4G网络同WLAN网络的融合是接入网发展的主要趋势之一，其融合的安全性很大程度取决于其上的EAP- AKA融合认证协议。本文首先对WLAN-4G网络融合认证协议EAP-AKA的认证流程进行了分析和介绍，其次对EAP-AKA的安全性和存在的缺陷进行了详细的分析，最后对改进EAP-AKA协议进行了分析。本文对WLAN-4G融合的网络的建设具有一定的借鉴作用。

参考文献

［1］朱红梅，李宝荣. LTE-FDD和TDD-LTE的融合发展研究［J］.移动通信，2008，12.

［2］韩滢，程刚，裴斐. LTE与物联网的融合现状和发展研究［J］.移动通信，2012，19.

［3］Aleksandar Damnjanovic，Juan Montojo，Yonbgin Wei，et a1. A survey on 3GPP heterogeneous networks［J］. IEEE Wireless Communications，3，2011.

［4］Hyeyeon Kwon，Yang Mi Jeong，Park Ae-Soon. Handover prediction strategy for 3G-WLAN overlay networks［C］. IEEE Network Operations and Management Symposium，2008.

［5］张胜，徐爱国，胡正名. EAP-AKA协议的分析和改进［J］.计算机应用研究，2005，07.

知识产权