一种基于椭圆曲线密码体制的3G认证协议

摘要：本文提出一种基于椭圆曲线密码体制的3G认证协议。该方案不需要使用数字证书作为系统公钥，VLR在不需要HLR的支持下实现VLR和ME的双向认证，并防止了对ME的非法追踪和伪基站攻击。同时，本方案减少了ME的数据传输量和在线计算量。

关键词：3G认证，公钥密码体制，椭圆曲线密码体制

中图分类号：TP309文献标识码：A文章编号：1009-3044(2008)14-20823-01

1 引言

第三代移动通信（3G）系统中所提供的业务除了传统的语音业务外，还包括多媒体业务、数据业务，以及电子商务、电子贸易和互联网服务的多种信息业务。这些业务的开展对系统的安全性提出了更高的要求。

国际组织3GPP提出了一系列的安全规范，但由于安全协议和密码体制方面的原因，系统的安全和性能存在如下缺陷[1-3]：AKA协议容易泄漏IMSI（国际移动用户标识）而使用户被追踪或遭受伪基站攻击；VLR（访问位置寄存器）和HLR（归属位置寄存器）之间的有线通信链路缺乏有效的保护；当用户漫游至异地网络时，VLR和用户归属的HLR相距遥远，认证向量的传输将增加网络负载。

传统的对称密码体制的认证方案增加了密钥管理的复杂性，目前基于公钥体制的认证方法得到越来越多的研究。已经提出了多种为移动网络设计的公钥认证协议：MSR +DH、Siemens、KPN、Boyd-Park、BCY协议和SPAKA协议[4-7]。但这些协议需要公钥CA的支持，管理存在问题，另外，计算量和通信量比较大，增加了系统的负荷。

本文提出一种基于椭圆曲线密码体制的3G认证协议。不像传统公钥基础设施（PKI）那样要求用户使用数字证书作为用户的公钥，这样可以简化系统管理；并防止了对ME的非法追踪和伪基站攻击。同时，VLR在不需要HLR的支持下实现VLR对ME的验证，本方案还减少了系统的数据传输量和在线计算量。

2 认证过程

系统输入为安全参数λ∈Z+，类似文[8]利用BDH参数生成器IG算法生成加法群G1、乘法群G2和双线性映射；选择Hash函数H和h，输出公共参数params = {q,G1,G2,,n,P,H,h}。

系统随机选取主密钥s∈Zq*。然后验证ME的身份标识IMSI，系统利用公共参数params和主密钥，计算ME的私钥SMB=sH(LMSI)H(IDHLR)。系统将主密钥s秘密保存，将SMB，IDHLR(ME归属的HLR的网络标识号)和IMSI 写入用户的SIM卡。

(1)ME->VLR：ME首先选取一个r∈Zq*，计算w=(rSMB,QVLR)，其中QVLR=H(IDVLR)，计算c1=rH(IMSI)和h(w)，把c1,h(w),IDHLR发送给VLR。

(2)VLR->ME：VLR计算w'=(c1,SVLRH(IDHLR))，其中SVLR=sH(IDVLR)为系统分配给VLR的私钥，验证等式h(w)=h(w')是否成立，如果成立，则通过ME的验证，把w'发送给ME。

(3)ME：验证等式h(w)=h(w')是否成立，如果成立，则通过对VLR的验证。

经过上面三个步骤，ME和VLR之间就可以完成双向的验证了。

证明：

因此h(w')=h(w)，证明完毕。

3 方案的安全性和效率分析

本方案基于双线性的Diffie-Hellman问题计算困难性和Hash函数的安全性假设。只有攻击者获得ME的私钥SME或者VLR的私钥SVLR，方案才能被攻破。

(1)在上述方案中，攻击者ME，欲利用自己的SMB=sH(IMSI)H(IDHLR)获取系统的主密钥s，也将面临求解离散对数问题。也不可能从公开信息params和传送的消息获取系统的主密钥或 的私钥SVLR=sH(IDVLR)。

(2)攻击者ME'不能伪造和假冒ME来进行验证。为了假扮ME，先选取一个r∈Zq*，计算c1=rH(IMSI')，然后计算满足h((rSMB,QVLR))=h((c1,SVLR))的等式。由于ME'没有私钥SMB和SVLR，难以计算出满足这个等式的参数，因而不能实现假冒攻击。

(3)攻击者同样不能伪造和假冒VLR来进行验证，因为在不知道SVLR的情况下，无法构造w'=(c1,SVLRH(IDHLR))=(c1,SVLRH(IDHLR))，所以无法实现攻击。

(4)本方案中，由于ME的IMSI是存放在ME的SIM卡中的，所以得到了保密，防止了对ME的非法追踪和伪基站攻击。

(5)本方案由于不需要公钥证书CA的支持，系统的效率和管理是非常简单的，而且ME和VLR的验证过程各只需要进行1次的椭圆对运算和1次hash运算，并且在验证的过程中，不需要和HLR进行通信，所以方案的计算量和通信量得到很大的减少。

4 总结

本文研究了一种基于椭圆曲线密码体制的3G认证协议方案，在该方案中，不需要使用CA证书，简化了系统的管理；实现了ME和VLR的双向认证；并且方案的计算量和通信量是非常少的，可以很好地应用于3G网络移动终端。但该方案只是涉及ME和VLR的认证，对于认证后的会话密钥的设定，以及通信监控都没有涉及，这些将是我以后的工作。

参考文献：

[1] Min L., Hai Bi,Zhengjin F.. Security architecture and mechanism of third generation mobile communication[A].In:Proceedings of IEEE Conference on Computers,Communications,Control and Power Engineering,Beijing,China,2002,813-816.

[2] Kambourakis Georgios,Rouskas Angelos.Performance evaluation of public key based Authentication in future mobile communication systems[J].EURASIP Journal on Wireless Comm. and Networking,2004,1(1):184-197.

[3] Lin Yi Bing,Chen Yuan Kai.Reducing authentication signaling traffic in third generation mobile network[J].IEEE Transactions on Wireless Communications,2003,2(3):493-501.

[4] Beller M.J., Chang L. F., Yacobi Y.. Privacy and authentication on a portable communications system[J]. IEEE Journal on Selected Areas in Communications,1993,11(6):821-829.

[5] Putz S., Schmitz R., Tonsing F.. Authentication schemes for third generation mobile radio systems[A].In:Proceedings of the 9th IEEE International Symposium on Personal,Indoor and Mobile Radio Communications,Boston,1998,126-130.

[6] El-Fishway N., Tadros A.. On the design of authentication protocols for third generation mobile communication systems[A]. In: Proceedings of the 20th National Radio Science Conference,Cairo Egypt,2003: C24_1-C24_10.

[7] Zheng Yu,He Da Ke,Mei Qi Xiang,On the Fly Authentication Scheme Based on Self-Certified Public-Key for 3G Mobile Communication Systems[J]. Chinese Journal of Computers,2005,28(8):1327-1332.

[8] D. Boneh,M. Franklin. Identity-based encryption from the Weil paring in advance[A]. Cryptology-Crypto 2001[C]. Germany: Springer-Verlag 2001.LNCS 2139, 213-229.

注：本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文