一种泛在网络的安全认证协议

戚 湧 郭诗炜 李千目



一种泛在网络的安全认证协议

戚 湧*郭诗炜 李千目

(南京理工大学计算机科学与工程学院 南京 210094)

泛在网络是标准的异质异构网络，保证用户在网络间的切换安全是当前泛在网的一个研究热点。该文对适用于异构网络间切换的认证协议EAP-AKA进行分析，指出该协议有着高认证时延，且面临着用户身份泄露、中间人攻击、DoS攻击等安全威胁，此外接入网络接入点的有效性在EAP-AKA协议中也没有得到验证，使得用户终端即使经过了复杂的认证过程也不能避免多种攻击。针对以上安全漏洞，该文提出一种改进的安全认证协议，将传统EAP-AKA的适用性从3G系统扩展到泛在网络中。新协议对传播时延和效率进行完善，为用户和接入点的身份信息提供有效性保护，避免主会话密钥泄露，采用椭圆曲线Diffie Hellman算法生成对称密钥，在每次认证会话时生成随机的共享密钥，并实现用户终端与家乡域网络的相互认证。通过开展实验，对协议进行比较分析，验证了新协议的有效性及高效率。

泛在网络；访问控制；安全认证协议；EAP-AKA

1 引言

泛在网络通过ZigBee, Wi-Fi, Wi-MAX，无线传感网等各种异构无线网络的相互融合、互联互通、跨域协同，为用户提供随时随地的专属服务。泛在网络所具有的匿名性、异构性和虚拟性给安全保护带来了巨大挑战，如何更可信地进行泛在接入和信息交互成为亟待解决的问题。认证的目的是验证泛在节点和用户等参与主体身份的合法性以及主体间传递的信息及其来源的真实性。随着用户大量通过泛在的移动终端接入网络，如何保证连接的持久安全成为认证设计的一大难题。根据实验结果，重认证所需时间占了切换总时延的46%[1]。因此，接近零时延的安全切换在泛在网络中极为重要。

由于EAP数据包可以在异构网络间传输，在泛在网络安全认证的领域中，完整的EAP-AKA认证方法使用peer-server架构进行双向认证，通过重用认证向量来实现快速的重认证[2]。文献[3,4]指出原有EAP-AKA协议存在严重的安全隐患。为了减少重认证过程的时延，文献[5]提出一种快速迭代的本地重认证协议，其中认证向量由接入点迭代生成，但是需要对基础设施进行大规模的改造升级。文献[6]提出一种初始化的切换协议，使用预认证技术减少切换时延，然而该协议需要在跨网环境中部署异构互连单元，且预认证中存在的缺陷会增加家乡域服务器的负担。文献[7,8]提出针对用户终端再次连接相同网络域的本地重认证协议。文献[9]提出一种基于椭圆曲线加密和代理签名机制的匿名认证协议，通过让部分移动终端随机共享代理签名密钥对的方式，实现完全匿名和非法认证请求过滤。文献[3]和文献[10]针对AKA过程和对称密钥生成提出ECDH，在不增加公开密钥基础设施负担的情况下，提高公共密钥加密的强度，然而文献[10]中的协议并没有实现UE和家乡网络的双向认证。文献[11]使用ECDH进行密钥协商，并对接入点进行验证，但是仍然存在密钥泄露的安全隐患。文献[12]针对LTE中的EAP-AKA协议进行改进，缩短认证过程中消息的长度，但是效率并没有明显提升。

基于对上述文献的研究，本文提出一种泛在网络的认证协议，对原有的EAP-AKA协议进行改进，为用户和接入点的身份信息提供有效保护，避免MSK泄露，在每次认证会话时生成随机的共享密钥，并实现UE和家乡域网络的相互认证，同时简化原有协议的流程。

2 EAP-AKA协议分析

2.1 协议认证过程

3GPP组织提出EAP-AKA协议，推荐将其用于异构网络认证。EAP-AKA协议基于3GPP的AKA协议，并采用可扩展认证协议EAP和AAA协议，实现用户的WLAN接入认证。

标准的EAP-AKA协议的认证过程描述如下：

(1)用户终端通过主动或被动的方式发现接入点，基于信噪比最佳原则从中选择一个建立连接，并通过该接入点向家乡域服务器发送EAP身份响应消息，首次认证时发送永久用户标识IMSI。

(2)由于用户身份所属域的服务器没有发出过身份请求，同时也为了确认中间结点没有篡改数据包，家乡域服务器在接收到EAP响应后需要向用户终端发出EAP身份请求。

(3)家乡域服务器证实IMSI合法后，为用户终端准备AKA挑战，生成序列号SQN和随机数RAND，计算匿名密钥AK = F5(, RAND)和消息认证码MAC=F1(, SQN, RAND)，并使用共享密钥生成基于序列号的认证向量组AV(1)。每个认证向量AV=RAND||XRES||CK||IK||AUTN，其中AUTN=SQNAK||MAC, XRES=F2(, seq), CK=F3(, seq), IK=F4(, seq)。

(4)家乡域服务器从中选择一个认证向量，用CK和IK生成MSK，向用户终端发送包含AUTN和RAND的EAP请求/AKA挑战消息。

(5)用户终端根据AUTN和MAC对家乡域服务器进行验证，生成完整性可靠的响应消息RES。

(6)家乡域服务器验证RES = XRES后，向接入点和用户终端发送EAP成功消息。

(7)家乡域服务器向接入点发送主会话密钥MSK和EAP成功消息。此时接入点可以通过4次握手机制生成临时密钥与用户终端通信。

2.2 安全性分析

EAP-AKA协议的认证过程中存在如下安全问题：

(1)用户首次与接入点建立连接时，身份信息IMSI使用明文传输，容易被攻击者窃取。

(2)接入点的身份没有得到认证。攻击者可以控制位于网络重叠区域的接入点，将认证数据重定向至漫游网络或安全措施较弱的网络，导致用户资费增加或失去安全性[13]，或伪造被攻陷的接入点进行攻击。

(3)在EAP-AKA协议中，主会话密钥通过明文传输，容易被攻击者窃取，遭受攻击。

此外，用户和家乡域间始终使用相同的密钥进行通信。一旦该密钥遭到泄露，此后所有的通信都将不可靠。这种基于单钥体系的认证协议，不仅不能提供不可否认性，还会影响异构网络的建立[14]。

3 改进的EAP-AKA协议

针对EAP-AKA协议中存在的问题，本文提出一种改进的协议。该协议在传输所有密钥和身份信息之前，先进行加密，保证密钥与身份信息的安全性。同时简化原有协议的认证过程，以提高认证效率。

改进的EAP-AKA协议相关符号如表1所示。泛在网络类似3GPP系统，每个用户终端都拥有一个唯一的永久标识IMSI，且泛在网络中的每个异构子网都有一个AAA服务器HAAA和归属签约用户服务区HSS，这些服务器负责维护本网络域中网络资源和服务资源，并管理用户注册、认证、权限。

表1 改进协议相关符号表

假设：

(1)HAAA与HSS数据库之间的连接是安全的。

(2)每个UE, AP, HSS, HAAA服务器都有各自唯一的设备ID。

(3)用户和HAAA服务器使用相同的椭圆曲线，并在上面选定同一点生成各自的密钥对。HSS的公钥Ph =*Sh。类似地，UE的公钥Pu =*Su。

(4)每次认证会话开始时，UE生成随机数，计算出本次会话UE和HAAA的公钥分别为：Pus = Pu*和Phs = Ph*。UE与HAAA之间的共享密钥Khus = Phs*Su。

改进的EAP-AKA协议的过程如图1所示，具体描述如下：

图1 改进的EAP-AKA协议

(1)UE和AP建立连接。

(2)AP向UE发送EAP请求/身份，并在请求中附上经过加密的身份信息cIDap = (IDap)_Pus。

(3)UE收到EAP消息后，从中解析出IDap，用Khus加密IDap得到CTap = (IDap)_Khus，生成随机序列号seq，计算CTue = (seq)_Khus, cIDue = (IMSI)_Khus以及MACu = hash(IMSI || IDap || seq)。

(4)UE向AP发送EAP响应/AKA挑战。

(5)AP在消息后附上MACap = hash(IDap)，根据cIDue中未加密的家乡域信息发送给相应的HAAA。

(6)HAAA从消息中解析出IDap, seq, CTap以及CTue，用MACap, MACue验证接入点和消息。验证成功则计算本次会话的共享密钥Khus = Pus*Sh，将解析出的IMSI和seq转发给HSS。

(7)HSS收到IMSI后，验证其是否合法以及UE是否有权请求接入网的服务。验证成功则根据IMSI，HSS获得对应的永久共享密钥Khu，生成重认证计数器R-Count，然后使用seq生成如下认证向量AV：

认证应答：RES = F2(Khus, seq)

加密密钥：CK = F3(Khu, seq)

完整性密钥：IK = F4(Khu, seq)

重认证时的临时ID：nIDue = FIDue(Khu, seq)

随后HSS通过安全的连接将计算得到的AV发给HAAA。R-Count和rIDue则作为重认证参数。

(8)HAAA计算MSK = FMSK(CK,IK,cIDue)和Kha = F5(IDap, Pus)，然后用Kha加密MSK得到EnMSK = {MSK}_Kha。另外，HAAA计算鉴别码MACh = hash(RES||MSK)。

(9)HAAA向AP发送EnMSK, RES和MACh。

(10)AP使用自己的ID和UE的公钥计算出共享密钥Kha，并成功解密EnMSK，得到MSK。于是AP由未认证的接入点转变为已认证的接入点，并将HAAA发来的消息转发给UE。

(11)UE计算CK, IK, MSK和XRES，验证XRES是否与RES相等，以及hash(RES||MSK)是否与MACh相等。验证成功则计算rIDue作为重认证ID，并通过AP向HAAA发送EAP-success消息。

4 协议的分析与验证

4.1 安全性分析

改进的EAP-AKA协议安全属性如下：

(1)用户身份保护：在改进的协议中，IMSI不再使用明文传输，因此对攻击者不可见。只有家乡域的AAA服务器可以使用共享密钥Khus获取。此外，重认证时的临时ID也不再通过消息传输，而是由HSS和UE分别独立生成。所以用户身份在改进的协议中得到了有力的保障。

(2)双向认证

(a)UE和家乡域网络间的认证：HAAA获取IMSI、验证MACue和UE验证MACh的成功是协议中UE和家乡域网络之间相互认证的关键点。只有这些验证都成功，才能实现用户与网络的双向认证。

(b)AP和家乡域网络间的认证：虽然AP和HAAA之间没有直接的挑战/响应机制，但是通过HAAA对MACap的验证和AP对MSK的解密过程，它们之间进行了间接的认证。只有合法的AP使用ID和用户公钥才能计算出解密密钥。成功解密EnMSK意味着HAAA使用正确的IDap生成加密密钥。因此，AP和网络之间的认证在改进的协议中也得到实现，从而避免了重定向攻击。

(3)抵御中间人攻击；

(a)加密IMSI的密钥Khus根据每次认证时随机生成的seq计算得出，攻击者无法获得。

(b)所有消息都有鉴别码MAC验证，可以有效抵御中间人攻击。

(c)UE与AP的主会话密钥MSK不再通过明文传输，加密MSK的共享密钥Kha也只能由合法的AP计算得到。这保证了MSK不会被攻击者获取，从而防止中间人攻击。

(4)防止重放攻击：改进的协议中，共享密钥Khus在对于每次认证会话都是唯一的，seq也是随机生成的。因此，由该密钥计算得出的所有参数都至于当前会话相关。

(5)密钥机密性：共享密钥Khus是用ECDH技术生成的。攻击者难以计算得到。同时，认证向量AV的生成也使用密钥Khus和Khu来计算不同的参数，而Khus和Khu在协议中都是由UE和HAAA各自生成的，攻击者无法获得。另一方面，尽管MSK的生成与IDap有关，但IDap在协议中都是以加密形式传输的，攻击者无法据此获得密钥Kha，进而解密EnMSK获得MSK。本协议中的所有会话密钥的机密性都得到了保障。

(6)抵御重定向攻击：假设攻击者使用仿冒的IDap与UE建立了连接。为了完成认证过程，攻击者仍然需要通过合法的接入点来转发认证消息。此时，认证消息中会出现多个IDap：攻击者仿冒的IDap以及合法接入点的IDap。收到认证消息HAAA将据此判定本次认证遭受了攻击，认证失败，从而抵御了重定向攻击。

4.2 使用认证测试方法对改进的协议进行安全性证明

认证测试方法是基于串空间模型的一种安全协议形式化分析与验证方法。通过构造测试分量验证认证协议是否能达到身份认证及消息保密性等安全目标。

根据第3节中的假设1, HAAA服务器和HSS数据库可视为一个通信实体。利用串空间模型的理论和概念，改进的协议可以形式化抽象为如图2所示的模型。

图 2 改进协议的正常串空间束

1 = cIDap

2 = cIDue||CTap||CTue||K||MACu

3= cIDue||CTap||CTue||K||MACu||MACap

4 = RES||EnMSK||MACh

5 = RES||EnMSK||MACh

改进的协议严格来说是一个三方协议。文献[15]曾经证明：如果三方协议的主体间能够保证两两交换消息的安全性，那么由它们组成的三方协议就能保证整个协议的安全性。因此，该协议可以简化为3个双方协议：UE和HAAA之间的认证、AP和HAAA之间的认证以及UE和AP之间的认证。只要证明UE与HAAA之间以及UE与AP之间安全，通过信任的可传递性，可推出UE和AP之间也是安全的。

令为串空间中的束，s为HAAA串，s为UE串，s为AP串。首先列出如下前提：

安全密钥假设：在每一个UE和HAAA之间都有唯一的一个共享密钥HU与之对应，而且这个共享密钥并不为攻击者所知。假定攻击者的已知密钥集为K，则HUK。

在改进协议的Bundle中，seq是s串唯一产生的。

(1)用户终端和家乡域网络之间的安全性验证：

根据改进协议的具体运行流程，可以得到该双方协议的串和轨迹如下：

用户终端的串和轨迹：

Init[{cIDue, CTap, CTue,K, MACu}, {RES, EnMSK, MACh}]

={+{cIDue, CTap, CTue,K, MACu},

-{RES, EnMSK, MACh}}

家乡域网络的串和轨迹：

Resp[{cIDue, CTap, CTue,K, MACu}, {RES, EnMSK, MACh}]

={-{cIDue, CTap, CTue,K, MACu}, +{RES, EnMSK, MACh}}

用户终端和家乡域网络的双方协议的Bundle如图3所示。

图 3 用户终端和家乡域网络的双方协议的Bundle

(a)用户终端对家乡域网络的认证：

步骤1 构造测试分量。在该Bundle中，seq唯一产生于<s, 1>,。又因为seq是随机数， RES = F2(Khus, seq)，所以CTue是seq对于<s, 1>的测试分量。是seq的入测试。

步骤2 定义节点。按照认证测试规则，节点为负节点。因此为某个HAAA串中的节点。假设该串为

步骤3 比较串的内容。由于seq是UE串中唯一产生的随机数，且，因此= CTue。通过比较term(<, 1>)和UE串中的内容可以得到串=s。因此用户终端能够认证家乡域网络。

(b)家乡域网络对用户终端的认证：

步骤1 构造测试分量。在Bundle中，随机数seq唯一产生于<s, 1>，所以<s, 1>为seq的主动测试。

步骤2 定义节点。由于HUK，根据认证测试规则，{cIDue, CTap, CTue,K, MACu}只能产生于中正的正常节点。必为某个UE串中的节点。= Init[{cIDue, CTap, CTue,term。

步骤3 cIDue, CTap, CTue,K和MACu唯一产生于s串，HUK，则= EnMSK,= MACh，从而串=s。因此家乡域网络能够认证用户终端。

综上所述，用户终端至家乡域网络之间的通信协议的双向认证是成功的。

(2)用户终端和接入点之间的安全性验证：根据改进协议的具体运行流程，可以得到该双方协议的串和轨迹如下：

接入点的串和轨迹：

用户终端的串和轨迹：

用户终端至接入点的双方协议的Bundle如图4所示。

图 4 用户终端和接入点的双方协议的Bundle

(a)接入点对用户终端的认证：

步骤1 构造测试分量。在Bundle中，IDap唯一产生于<s, 1>,。因为,HUK，所以CTap是IDap对于<s­, 1>的测试分量。是IDap的入测试。

步骤2 定义节点。按照认证测试规则，节点为负节点。因此为某个UE串中的节点。假设该串为,，且= <, 1>, term(<, 1>) = cIDap。

(b)用户终端对接入点的认证：

步骤1 构造测试分量。由于在该Bundle中，IDap唯一产生于<s, 1>，且。所以对于IDap来说，<s, 1>构成的测试量为IDap的主动测试。

步骤2 定义节点。由于HUK，根据认证测试规则，cIDap只能产生于中的正的正常节点。必为某个AP串中的节点。,=<, 1>, term (<,1>)=。

步骤3 cIDap唯一产生于s­串，HUK，则cIDap’ =cIDap，从而串=s。因此用户终端能够认证接入点。

综上所述，用户终端至接入点之间的通信协议的双向通信是安全的。

(3)家乡域网络与接入点之间的安全性验证：通过Guttman提出的信任传递性规律，由于家乡域网络和用户终端之间以及用户终端和接入点之间的通信都满足安全需求，所以家乡域网络与接入点之间的通信也是安全的。

4.3 使用验证工具对改进的协议进行安全性验证

针对EAP-AKA协议中存在的安全问题，改进协议采取相应措施进行完善。使用安全协议验证工具AVISPA[16]进行安全性验证的结果表明，改进的协议是安全的(SUMMARY: SAFE)，结果中的统计量还包含运行访问的节点总数5个，深度3等。

4.4 性能分析

通过开展实验，并与相关协议进行详细的对比分析，具体结果如表2所示。

表2 协议对比

改进的协议与其它协议相比，具有以下优势：

(1)减少了认证时延：根据文献[1]的模拟结果，完整认证的平均时延为1.568 s。认证时延Dauth可以进一步分为3部分：EAP消息由UE发送到接入网信道的发送时延Dtrans, EAP消息从UE传输到HAAA的传播时延Dprop，以及处理时延Dtre(数据访问、密钥和标签生成、计算、加解密等)。

此外，在11 Mbps的网络中Dtrans可忽略不计，因此Dtrans远小于Dprop+Dtre。在改进的协议中：

(a)UE与HAAA之间的传播时延Dprop_uh的大小取决于UE所处的位置以及本地是否存在AAA服务器或代理服务器。传播时延Dprop可以分为两部分：UE与AP之间的传播时延Dprop_ua，以及AP与HAAA之间的传播时延Dprop_ah。

完整的EAP-AKA协议的认证时延为：Dauth = Dtre + 4Dprop_ua + 4Dprop_ah。改进的协议的认证时延为+Dprop_ua+ Dprop_ah。然而根据文献[7]和文献[10], Dprop_uh = Dprop_ua + Dprop_ah的时间大约是75 ms。因此，改进的协议在完整的认证过程中，就比原有EAP-AKA协议减少了225 ms，也就是14.34%的时延。

(b)与EAP-AKA相比，改进的协议能更快地检测出认证过程中出现的攻击者和被篡改的参数。协议使用ECDH生成密钥，不是需要证书的公钥基础设施，这为家乡域的AAA服务器节省了大量的处理时间。

(2)减少了带宽消耗：

(a)在EAP-AKA协议中，为了保证EAP响应没有被中间结点篡改，需要发送AKA-身份请求。然而，在改进的协议中，步骤1中对cIDue和CTue的成功解密和对IDap的成功验证足以满足这一安全需求，无需再次向UE发出身份请求。

(b)改进的协议中不再需要序列号同步过程。因此，原有协议在同步失败的情况下发送重同步消息的带宽消耗也被消除。

5 结束语

本文讨论原有EAP-AKA认证协议的缺陷，为了从用户的角度理解安全和服务质量的平衡，回顾对EAP-AKA进行改进的相关文献，并指出它们所提出的协议的弱点。在此基础上，提出一种适用于泛在网络中身份认证的改进协议，将传统EAP-AKA的适用性从3G系统扩展到泛在网络中。新协议简化EAP-AKA的认证过程，提高了认证效率，为用户和接入点的身份信息提供有效保护，实现用户终端、家乡域网络以及接入点的相互认证，最后使用认证测试方法和安全协议分析工具证明所提出的改进协议的安全性，并通过开展实验对协议进行比较分析，从而验证了新协议的有效性和高效率。

[1] KWON H, CHEON K Y, ROH K H,. USIM based authentication test-bed for UMTS-WLAN handover[OL]. http://infocom2006.ieee-infocom.org/Posters/1568980767_USIM

%20based%20Authentication%20 Test-bed/1568980767_USIM% 20based%20Authentication%20Test-bed%20.pdf. 2015.

[2] IETF. RFC 4187 -2006. Extensible authentication protocol method for 3rd generation authentication and key agreement (EAP-AKA)[S]. J Arkko, H Haverinen, 2006.

[3] MUN H, HAN K, and KIM K. 3G-WLAN interworking: Security analysis and new authentication and key agreement based on EAP-AKA[C]. Wireless Telecommunications Symposium, Prague, 2009: 1-8. doi: 10.1109/WTS.2009. 5068983.

[4] CAO J, MA M, LI H,A survey on security aspects for LTE and LTE-A networks[J].&, 2014, 16(1): 283-302. doi: 10.1109/SURV. 2013.041513.00174.

[5] ANANTHA NARAYANAN V, SURESH KUMAR V, and RAJESWARE A. Enhanced fast iterative localized re-authentication protocol for UMTS-WLAN interworking[C]. 2014 International Conference on Electronics and Communication Systems (ICECS), Marseille, 2014: 1-5. doi: 10.1109/ECS.2014.6892696.

[6] BOUABIDI I E, DALY I, and ZARAI F. Secure handoff protocol in 3GPP LTE networks[C]. 3rd International Conference on Communication and Networking (ComNet), Hammamet, 2012: 1-6. doi: 10.1109/ComNet.2012.6217746.

[7] SHIDHANI A A and LEUNG V. Local fast re-authentication protocol for 3G-WLAN interworking architecture[C]. Wireless Telecommunications Symposium, Pomona, CA, 2007: 1-8. doi: 10.1109/WTS.2007.4563332.

[8] EL H E I Y, ZAHID N, and JEDRA M. A new fast re-authentication method for the 3G-WLAN interworking based on EAP-AKA[C]. 20th International Conference on Telecommunications (ICT), Casablanca, 2013: 1-5. doi: 10.1109/ICTEL.2013.6632107.

[9] 傅建庆, 陈健, 范容, 等. 基于代理签名的移动通信网络匿名漫游认证协议[J]. 电子与信息学报, 2011, 33(1): 156-162. doi: 10.3724/SP.J.1146.2009.01455.

FU Jianqing, CHEN Jian, FAN Rong,. Delegation-based protocol for anonymous roaming authentication in mobile communication network[J].&, 2011, 33 (1): 156-162. doi: 10.3724/ SP.J.1146.2009.01455.

[10] IDRISSI Y E H E, ZAHID N, and JEDRA M. Security analysis of 3GPP (LTE)-WLAN interworking and a new local authentication method based on EAP-AKA[C]. 2012 International Conference on Future Generation Communication Technology (FGCT), London, 2012: 137-142. doi: 10.1109/FGCT.2012.6476561.

[11] PATKAR S S and AMBAWADE D D. Secure 3GPP-WLAN authentication protocol based on EAP-AKA[C]. IEEE International Advance Computing Conference (IACC), Banglore, 2015: 1011-1016. doi: 10.1109/IADCC.2015. 7154857.

[12] ALEZABI K A, HASHIM F, HASHIM S J,. An efficient authentication and key agreement protocol for 4G (LTE) networks[C]. 2014 IEEE Region 10 Symposium, Kuala Lumpur, 2014: 502-507. doi: 10.1109/TENCONSpring. 2014.6863085.

[13] YU Binbin, ZHANG Jianwu, and WU Zhendong. Improved EAP-AKA protocol based on redirection defense[C]. 9th IEEE International Conference on P2P, Parallel, Grid, Cloud and Internet Computing (3PGCIC), Guangdong, 2014: 543-547. doi: 10.1109/3PGCIC.2014.106.

[14] 侯惠芳, 刘光强, 季新生, 等. 基于公钥的可证明安全的异构无线网络认证方案[J]. 电子与信息学报, 2009, 31(10): 2385-2391. doi: 10.3724/SP.J.1146.2008.01411.

HOU Huifang, LIU Guangqiang, JI Xinsheng,. Provable security authentication scheme based on public key for heterogeneous wireless network[J].&, 2009, 31(10): 2385-2391. doi: 10.3724/SP.J.1146.2008.01411.

[15] GUTTMAN J D. Security protocol design via authentication tests[C]. Proceedings of the IEEE Computer Security Foundations Workshop, Cape Breton, 2002: 92-103. doi: 10.1109/CSFW.2002.1021809.

[16] BOZGA L, LAKHNECH Y, and PERIN M. HERMES: An automatic tool for verification of secrecy in security protocols[C]. CAV 2003, LNCS 2725, Berlin Heidelberg, 2003: 219-222. doi: 10.1007/978-3-540-45069-6_23.

A Secure Authentication Protocol of Ubiquitous Convergent Network

QI Yong GUO Shiwei LI Qianmu

(,&,210094,)

Ubiquitous network is a kind of standard heterogeneous network. It is a hot research topic to secure switching between networks. This paper analyzes EAP-AKA, which is used during handoff across heterogeneous networks. However, this protocol has high authentication delay and is confronted with several security threats, such as user identity disclosure, man in middle attack and DoS attack. Moreover, access point of the access network is not verified, leaving the user under attack even after heavy authentication procedure. To deal with the above security vulnerabilities, an improved secure authentication protocol for ubiquitous network based on EAP-AKA protocol is proposed, extending the applicability of traditional EAP-AKA protocol from the 3G system to ubiquitous network. The new protocol reduces authentication delay and effectively protects identities of users and access points. In order to avoid main session key leakage, the Diffie Hellman algorithm is used to generate a symmetric key randomly each time. The mutual authentication between user endpoint and the home network is also achieved in new protocol. Experiments and analysis verifies effectiveness and efficiency of the proposed protocol.

Ubiquitous network; Access control; Secure authentication protocol; EAP-AKA

TP309

A

1009-5896(2016)07-1800-08

10.11999/JEIT151043

2015-09-06；改回日期：2016-02-25；网络出版：2016-04-26

戚湧 790815561@qq.com

国家自然科学基金(61272419)，江苏省未来网络前瞻性研究(BY2013095-3-02)

The National Natural Science Foundation of China (61272419), Future Network Research Projects in Jiangsu Province (BY2013095-3-02)

戚 湧： 男，1970年生，博士，教授，博士生导师，研究方向为网络信息安全.

郭诗炜： 女，1990年生，硕士生，研究方向为网络信息安全.

李千目： 男，1979年生，博士，教授，博士生导师，研究方向为网络信息安全.