CN108809637A - 基于混合密码的lte-r车-地通信非接入层认证密钥协商方法 - Google Patents

Abstract

一种基于混合密码的LTE‑R车‑地通信非接入层认证密钥协商方法，其主要步骤是：A、全球用户识别卡注册：获取归属用户服务器的公钥和认证相关参数；B、非接入层初始认证：车载移动单元首次接入网络，利用归属用户服务器的公钥PK加密传输认证请求消息，后续认证密钥协商引入椭圆曲线密钥交换算法，协商密钥K_UH(i)，完成认证后将长期共享密钥K更新为密钥K_UH(i)，车载移动单元获得临时国际移动用户识别码；C、非接入层重认证：当车载移动单元发生位置更新或重新接入网络时，向移动管理实体出示临时国际移动用户识别码(TMSI)，利用初始认证后剩余的认证向量完成后续的认证和密钥协商。该方法能够为LTE‑R车‑地通信非接入层提供更加全面的安全性保护。

Description

基于混合密码的LTE-R车-地通信非接入层认证密钥协商方法

技术领域

本发明涉及一种LTE-R车-地无线通信非接入层认证密钥协商方法。

背景技术

随着高速铁路技术的持续快速发展，传统的GSM-R(铁路专用移动通信***)窄带通信***，难以满足未来铁路***针对高冗余度数据的可靠传输、实时多媒体视频监控等业务的要求。在2010年12月召开的第七届世界高速铁路大会上，国际铁路联盟(UIC)表示将采用LTE-R(Long Term Evolution for Railway，铁路专用长期演进***)作为下一代铁路无线通信***。LTE-R基于长期演进技术(LongTermEvolution,LTE)，具备高带宽、低时延和高速率等优点。其更加开放的空中接口，全IP化、扁平化的网络结构使LTE-R更易面临数据窃听、篡改、假冒欺骗、拒绝服务攻击(DoS攻击)等安全风险。如何实现对车载移动单元(OBU)的身份认证以及空口数据/信令的机密性和完整性保护，确保LTE-R网络接入安全成为了一个重要且热门的课题。

LTE-R***中与非接入层认证密钥协商相关联的实体主要包括：车载移动单元(OBU)，移动管理实体(MME)，归属用户服务器(HSS)。其中，车载移动单元(OBU)设备中装载全球移动用户身份别卡(USIM)，卡中存储国际移动用户识别码(IMSI)、归属用户服务器(HSS)与车载移动单元(OBU)共享的长期共享密钥K以及认证向量的生成算法等。移动管理实体(MME)和用户归属服务器(HSS)同属LTE-R网络架构中的核心网服务器。移动管理实体(MME)作为核心网中的控制平面节点，下辖多个基站，主要负责车载移动单元(OBU)的移动性管理、呼叫控制、身份认证等业务。归属用户服务器(HSS)集成了鉴权中心(AuC)，存储认证相关算法和与车载移动单元(OBU)共享的长期共享密钥K，可为移动管理实体(MME)生成车载移动单元(OBU)的身份认证向量。每一个车载移动单元(OBU)只归属于一个归属用户服务器(HSS)，当车载移动单元(OBU)在LTE-R网络内移动时，会处于不同的移动管理实体(MME)的服务覆盖内，若车载移动单元(OBU)需要接入LTE-R网络，则需要实现同移动管理实体(MME)间的相互认证。认证过程需要在归属用户服务器(HSS)的帮助下完成。以上是初始接入认证；当首次接入认证成功后，车载移动单元(OBU)重新接入网络或发生位置更新时，将执行重认证协议。

目前LTE-R车-地无线通信非接入层认证密钥协商方案采用了EPS-AKA(演进分组***认证密钥协商)协议，该协议存在下述问题：

(1)国际移动用户识别码(IMSI)缺乏保护。在初始认证过程中，代表车载移动单元(OBU)身份的国际移动用户识别码(IMSI)会以明文形式在无线信道上传输，易被攻击者窃取；从而窃取者假冒合法用户发动中间人、重放、以及拒绝服务等攻击。并且还可以利用其追踪车载移动单元(OBU)在网络中的访问行为或移动路径，造成隐私泄露等安全风险。

(2)易遭受重定向攻击。由于在无线环境下发起接入认证，攻击者可操纵着具有基站功能的设备，捕获车载移动单元(OBU)向当前移动管理实体(MME)发送的身份认证请求消息，然后将该请求导向外部移动管理实体(MME)，对车载移动单元(OBU)通信安全造成威胁。重定向攻击还将产生计费问题，当用户被重定向至外部网络后，将支付连接到外部网络的漫游费用。

(3)长期共享密钥K不更新，缺乏前向安全性。在EPS-AKA方案中，以归属用户服务器(HSS)生成的随机数和长期共享密钥K作为输入参数生成会话主密钥和认证向量，然而随机数在无线信道中明文传输，可被攻击者截获。一旦长期共享密钥K泄露，攻击者就可以计算出之前建立的会话主密钥，造成整个***的安全性崩塌。

针对上述问题，文献1“Performance and security enhanced authenticationand key agreement protocol for SAE/LTE network”(Degefa F B,Lee D,Kim J,etal.Computer Networks,2016,94:145-163)提出了一种改进的EPS-AKA方案，该方案在初始注册阶段添加了一个新的参量：身份标识符KI，该身份标识符KI唯一对应一个国际移动用户识别码(IMSI)，并在车载移动单元(OBU)和归属用户服务器(HSS)间共享，且在每次认证完成后需要同步更新；国际移动用户识别码(IMSI)可通过长期密钥K和身份标识符KI经过秘密算法生成衍生密钥S进行加密传输；车载移动单元(OBU)在认证请求过程中将身份标识符KI出示给归属用户服务器(HSS)表明身份，从而避免国际移动用户识别码(IMSI)的明文传输，实现了国际移动用户识别码(IMSI)的保护。在后续的认证过程中，归属用户服务器(HSS)将衍生密钥S发送至移动管理实体(MME)，因此认证向量由移动管理实体(MME)本地生成。但该方案仍然存在诸多问题，首先，车载移动单元(OBU)端和归属用户服务器(HSS)端的身份标识符KI的同步更新若遭到破坏，将导致车载移动单元(OBU)的后续认证失败；其次，认证向量由移动管理实体(MME)生成后，将加重移动管理实体(MME)的计算和存储开销；再者，该方案无法实现长期共享密钥K的更新，不具备前向安全性。

发明内容

本发明的目的就是提供一种基于混合密码的LTE-R车-地通信非接入层认证密钥协商方法，该方法能够为LTE-R提供更加全面的安全性保护。

本发明实现其发明目的所采用的技术方案是，1、一种基于混合密码的LTE-R车-地通信非接入层认证密钥协商方法，其步骤是：

A、全球用户识别卡(USIM)注册：

用户归属地运营商采集用户身份信息，为其颁发全球移动用户的身份识别卡(USIM)；身份识别卡(USIM)中存储安全参数，分别是：国际移动用户识别码(IMSI)、该身份识别卡(USIM)与归属用户服务器(HSS)间的长期共享密钥K、归属用户服务器(HSS)的公钥PK、椭圆曲线的生成元P；完成注册后，将身份识别卡(USIM)安装在车载移动单元(OBU)中；

B、非接入层初始认证：

B1、车载移动单元(OBU)启动并首次接入网络时，先选取一个随机数a，计算用户端公开承诺A_O，同时生成一时间戳T_S，并获取与车载移动单元(OBU)关联的基站标志符LAI；车载移动单元(OBU)再以国际移动用户识别码(IMSI)、时间戳T_S、与车载移动单元(OBU)关联的基站标志符LAI、归属用户服务器(HSS)的公钥PK为输入参数，生成秘密信息M1；然后将归属用户服务器(HSS)的身份ID_HSS、用户端公开承诺A_O、秘密信息M1进行消息串联，生成接入认证请求消息M2，最后将接入认证请求消息M2发送至移动管理实体(MME)；

B2、移动管理实体(MME)收到接入认证请求消息M2后，获取与移动管理实体(MME)关联的基站标志符LAI’，然后将与移动管理实体(MME)关联的基站标志符LAI’、移动管理实体(MME)的服务网络号SNID、接入认证请求消息M2，进行串联生成认证向量请求消息M3，将认证向量请求消息M3发送至归属用户服务器(HSS)；

B3、归属用户服务器(HSS)收到认证向量请求消息M3后，检索数据库判断其中的服务网络号SNID的正确性，如检索不成功，则执行步骤E；

否则，以归属用户服务器(HSS)的私钥SK解密接入认证请求消息M2，得到国际移动用户识别码(IMSI)、时间戳T_S、与车载移动单元(OBU)关联的基站标志符LAI；归属用户服务器(HSS)判断时间戳T_S是否正确，如不正确，则执行步骤E；

否则，对比与车载移动单元(OBU)关联的位置区标识符LAI和与移动管理实体(MME)关联的位置区标识符LAI’，若不匹配，则执行步骤E；

否则，选取n个随机数b(i)，其中i为随机数b(i)的序号，i∈(1,2,3…,n)，以随机数b(i)、用户端公开承诺A_O为输入参数，计算得到n个服务器端公开承诺B(i)和n个密钥K_UH(i)；再根据国际移动用户识别码(IMSI)检索出长期共享密钥K，以长期共享密钥K和密钥K_UH(i)，生成对应的n个：消息认证码MAC(i)、匿名性保护密钥AK(i)、主密钥K_ASME(i)、主密钥标识符KSI_ASME(i)、期望响应XRES(i)；

再将对应的服务器端公开承诺B(i)、消息认证码MAC(i)、期望响应XRES(i)、主密钥K_ASME(i)、主密钥标识符KSI_ASME(i)进行串联生成认证向量AV(i)；将n个认证向量AV(i)串联生成认证向量组、然后将其同国际移动用户识别码(IMSI)串联，作为认证向量响应消息M4，发送至移动管理实体(MME)；

B4、移动管理实体(MME)收到认证向量响应消息M4并存入自身的数据库；再从认证向量响应消息M4的认证向量组中取出其中的一个认证向量AV(i)，随后从该认证向量AV(i)中提取出对应的服务器端公开承诺B(i)、消息认证码MAC(i)、期望响应XRES(i)、主密钥K_ASME(i)、主密钥标识符KSI_ASME(i)；将期望响应XRES(i)、主密钥K_ASME(i)保存；同时将服务器端公开承诺B(i)、消息认证码MAC(i)、主密钥标识符KSI_ASME(i)串联生成认证挑战消息M5；最后将认证挑战消息M5发送给车载移动单元(OBU)；

B5、车载移动单元(OBU)收到认证挑战消息M5，提取其中的服务器端公开承诺B(i)和消息认证码MAC(i)和主密钥标识符KSI_ASME(i)；随后以服务器端公开承诺B(i)和B1步的随机数a为输入参数，计算得到B3步的密钥K_UH(i)；再以长期共享密钥K、计算出的密钥K_UH(i)为输入参数，生成期望消息认证码XMAC(i)、挑战响应RES(i)，并将生成的期望消息认证码XMAC(i)与消息认证码MAC(i)对比，若不相同则执行步骤E；否则，车载移动单元(OBU)认证移动管理实体(MME)成功，并以长期共享密钥K、计算出的密钥K_UH(i)、主密钥标识符KSI_ASME(i)计算得到B3步的主密钥K_ASME(i)；然后，将长期共享密钥K更新为密钥K_UH(i)，并将挑战响应RES(i)作为挑战响应消息M6，回传至移动管理实体(MME)；

B6、移动管理实体(MME)收到挑战响应消息M6后，提取其中的挑战响应RES(i)，并同B4步中从AV(i)提取的期望响应XRES(i)进行对比，若不相同，则执行步骤E；否则，移动管理实体(MME)认证车载移动单元(OBU)成功；随后，移动管理实体(MME)选取随机数R_MME，将随机数R_MME、国际移动用户识别码(IMSI)进行串联后，再进行哈希运算生成识别码，作为临时国际移动用户识别码(TMSI)，并加密发送至车载移动单元(OBU)；再将B4步的服务器端公开承诺B(i)作为认证成功消息M7发送至归属用户服务器(HSS)，随后从自身数据库中删除B4步提取的认证向量AV(i)，其余的认证向量AV(i)构成更新后的认证向量组；最后将临时国际移动用户识别码(TMSI)与对应的国际移动用户识别码(IMSI)进行链接；

B7、归属用户服务器(HSS)收到认证成功消息M7后，根据公开承诺B(i)、用户端公开承诺A_O再次计算出B3步的密钥K_UH(i)，并将长期共享密钥K更新为密钥K_UH(i)，完成初始认证；车载移动单元(OBU)通过关联的基站与移动管理实体间(MME)进行通信；

当车载移动单元(OBU)发生位置更新重新请求接入网络时，进行C步的操作；

C、非接入层重认证：

C1、车载移动单元(OBU)将临时国际移动用户识别码(TMSI)发送给移动管理实体(MME)，发起重认证请求；

C2、移动管理实体(MME)收到临时国际移动用户识别码(TMSI)后，通过对应的国际移动用户识别码(IMSI)检索出对应的认证向量组，若检索失败，执行步骤A；

否则,取出认证向量组中的一个认证向量AV(i)，随后从该认证向量AV(i)中提取其中的服务器端公开承诺B(i)、消息认证码MAC(i)、主密钥K_ASME(i)、主密钥标志符KSI_ASME(i)和期望响应XRES(i)；保存主密钥K_ASME(i)和期望响应XRES(i)；将服务器端公开承诺B(i)、消息认证码MAC(i)、主密钥标志符KSI_ASME(i)进行消息串联后发送给车载移动单元(OBU)；

C3、车载移动单元(OBU)收到来自移动管理实体(MME)的服务器端公开承诺B(i)、消息认证码MAC(i)、主密钥标志符KSI_ASME(i)后，以服务器端公开承诺B(i)和B1步的随机数a计算出B3步的密钥K_UH(i)；再以长期共享密钥K、计算出的密钥K_UH(i)为输入参数，生成期望消息认证码XMAC(i)、挑战响应RES(i)，并将生成的期望消息认证码XMAC(i)与接收到来自移动管理实体(MME)的消息认证码MAC(i)对比，若不相同则执行步骤E；否则，车载移动单元(OBU)认证移动管理实体(MME)成功；然后以长期共享密钥K、计算出的密钥K_UH(i)、主密钥标志符KSI_ASME(i)为输入参数，计算B3步的主密钥K_ASME(i)，并将挑战响应RES(i)发送至移动管理实体(MME)；

C4、移动管理实体(MME)收到挑战响应RES(i)后，将C2步骤中从认证向量AV(i)中提取的期望响应XRES(i)与挑战响应RES(i)对比，若不相同则执行步骤E；否则，移动管理实体(MME)认证车载移动单元(OBU)成功；随后，移动管理实体(MME)选取重认证随机数R_RMME，以该重认证随机数R_RMME、国际移动用户识别码(IMSI)进行串联后，再进行哈希运算生成识别码，以更新临时国际移动用户识别码(TMSI)，并将更新后的国际移动用户识别码(TMSI)加密发送至车载移动单元(OBU)，随后从自身数据库中删除C2步提取的认证向量AV(i)，其余的认证向量AV(i)构成更新后的认证向量组；最后将新的临时国际移动用户识别码(TMSI)与对应的国际移动用户识别码(IMSI)进行链接；

随后，车载移动单元(OBU)通过关联的基站与移动管理实体间(MME)进行通信；

D、当车载移动单元(OBU)再次发生位置更新重新请求接入网络时，重复C步的操作；

E、认证失败，终止操作。

与现有技术相比，本发明的有益效果是：

一、本发明提出了利用归属用户服务器(HSS)的公钥加密传输国际移动用户识别码(IMSI)和时间戳T_S以及位置区标识符LAI的方法，能够有效保护国际移动用户识别码(IMSI)的机密性，实现对重放攻击和重定向攻击的抵抗，提高了安全性。

二、本方法中归属用户服务器(HSS)的公钥在全球用户识别卡(USIM)注册阶段就已经通过发行商直接写入到卡中，因此在后续的使用过程中，车载移动单元(OBU)可直接从卡中读取公钥数据，避免了公钥密码体制中的公钥证书管理与传递问题，无需部署公钥基础设施(PKI)。降低了LTE-R网络结构的冗余度和复杂度。

三、本发明在认证向量的生成过程中引入了Diffie-Hellman密钥交换算法，车载移动单元(OBU)和归属用户服务器(HSS)通过该算法协商了密钥K_UH(i)，在此密钥协商的过程中，隐藏了原协议中明文传输的随机数，保证了随机数的机密性。密钥K_UH(i)和长期共享密钥K作为两个秘密值共同参与计算主密钥K_ASME(i)，使得提出的方案具备了前向安全性。

四、当车载移动单元(OBU)和移动管理实体(MME)完成初始双向认证后，车载移动单元(OBU)和归属用户服务器(HSS)间的长期共享密钥K将更新为本次初始认证的密钥K_UH(i)，避免因密钥K长期使用而泄露的风险，提高***的整体安全性。

进一步，本发明的的步骤B1中车载移动单元(OBU)启动并首次接入网络时，先选取一个随机数a，计算用户端公开承诺A_O的具体方法是：将随机数a与A步中身份识别卡(USIM)中存储的椭圆曲线的生成元P，进行倍点运算，得到用户端公开承诺A_O，即A_O＝a·P。

这里采用椭圆曲线上的倍点运算计算公开承诺，相较于使用大素数模指数运算的优势在于：计算效率更高。同时，在达到相同的比特安全强度时，前者所需的比特长度更短，能够节省通信开销。

进一步，本发明的步骤B1中车载移动单元(OBU)再以国际移动用户识别码(IMSI)、时间戳T_S、与车载移动单元(OBU)关联的基站标志符LAI、归属用户服务器(HSS)的公钥PK为输入参数，生成秘密信息M1的具体方法是：将国际移动用户识别码(IMSI)、时间戳T_S、与车载移动单元(OBU)关联的基站标志符LAI串接后，再由公钥PK对串接后的消息进行加密运算，即：

M1＝E_PK{IMSI||T_S||LAI}

其中||表示字符串联运算，E_PK{■}表示由公钥PK对消息■进行加密运算。

采用椭圆曲线公钥密码体制(ECC)进行加密操作，具有更好的安全性，该算法提供更强的保护，比目前的其他加密算法能更好的防止攻击；且这ECC加密算法只需较短的密钥长度即可提供较好的安全性，如256位的ECC密钥加密强度等同于3072位RSA密钥的水平(目前普通使用的RSA密钥长度是2048位)。也即本发明以更低的计算能力代价得到了更高的安全性。

更进一步，本发明的步骤B3中，以随机数b(i)、用户端公开承诺A_O为输入参数，计算得到n个服务器端公开承诺B(i)和n个密钥K_UH(i)的具体方法是：

将随机数b(i)与椭圆曲线的生成元P进行倍点运算，即得服务器端公开承诺B(i)，即B(i)＝b(i)■P；

将随机数b(i)与用户端公开承诺A_O进行倍点运算，即得密钥K_UH(i)，即K_UH(i)＝b(i)■Ao。

更进一步，本发明的步骤B3中，以长期共享密钥K和密钥K_UH(i)，生成对应的n个：消息认证码MAC(i)、匿名性保护密钥AK(i)、主密钥K_ASME(i)、主密钥标识符KSI_ASME(i)、期望响应XRES(i)的生成公式是：

消息认证码MAC(i)：

期望响应XRES(i)：

匿名性保护密钥AK(i)：

主密钥K_ASME(i)：

主密钥标识符KSI_ASME(i)：

其中，表示输出128比特的哈希消息认证码运算、表示输出64比特的哈希消息认证码运算、表示输出48比特的哈希消息认证码运算、KDF_K表示输出256比特的哈希消息认证码运算,表示异或操作。

下面结合具体实施方式对本发明作进一步的详细说明。

具体实施方式

实施例

本发明的一种具体实施方式是，一种基于混合密码的LTE-R车-地通信非接入层认证密钥协商方法，其步骤是：

A、全球用户识别卡(USIM)注册：

用户归属地运营商采集用户身份信息，为其颁发全球移动用户的身份识别卡(USIM)；身份识别卡(USIM)中存储安全参数，分别是：国际移动用户识别码(IMSI)、该身份识别卡(USIM)与归属用户服务器(HSS)间的长期共享密钥K、归属用户服务器(HSS)的公钥PK、椭圆曲线的生成元P；完成注册后，将身份识别卡(USIM)安装在车载移动单元(OBU)中；

B、非接入层初始认证：

B1、车载移动单元(OBU)启动并首次接入网络时，先选取一个随机数a，计算用户端公开承诺A_O，同时生成一时间戳T_S，并获取与车载移动单元(OBU)关联的基站标志符LAI；车载移动单元(OBU)再以国际移动用户识别码(IMSI)、时间戳T_S、与车载移动单元(OBU)关联的基站标志符LAI、归属用户服务器(HSS)的公钥PK为输入参数，生成秘密信息M1；然后将归属用户服务器(HSS)的身份ID_HSS、用户端公开承诺A_O、秘密信息M1进行消息串联，生成接入认证请求消息M2，最后将接入认证请求消息M2发送至移动管理实体(MME)；

B2、移动管理实体(MME)收到接入认证请求消息M2后，获取与移动管理实体(MME)关联的基站标志符LAI’，然后将与移动管理实体(MME)关联的基站标志符LAI’、移动管理实体(MME)的服务网络号SNID、接入认证请求消息M2，进行串联生成认证向量请求消息M3，将认证向量请求消息M3发送至归属用户服务器(HSS)；

B3、归属用户服务器(HSS)收到认证向量请求消息M3后，检索数据库判断其中的服务网络号SNID的正确性，如检索不成功，则执行步骤E；

否则，以归属用户服务器(HSS)的私钥SK解密接入认证请求消息M2，得到国际移动用户识别码(IMSI)、时间戳T_S、与车载移动单元(OBU)关联的基站标志符LAI；归属用户服务器(HSS)判断时间戳T_S是否正确，如不正确，则执行步骤E；

否则，对比与车载移动单元(OBU)关联的位置区标识符LAI和与移动管理实体(MME)关联的位置区标识符LAI’，若不匹配，则执行步骤E；

否则，选取n个随机数b(i)，其中i为随机数b(i)的序号，i∈(1,2,3…,n)，以随机数b(i)、用户端公开承诺A_O为输入参数，计算得到n个服务器端公开承诺B(i)和n个密钥K_UH(i)；再根据国际移动用户识别码(IMSI)检索出长期共享密钥K，以长期共享密钥K和密钥K_UH(i)，生成对应的n个：消息认证码MAC(i)、匿名性保护密钥AK(i)、主密钥K_ASME(i)、主密钥标识符KSI_ASME(i)、期望响应XRES(i)；

再将对应的服务器端公开承诺B(i)、消息认证码MAC(i)、期望响应XRES(i)、主密钥K_ASME(i)、主密钥标识符KSI_ASME(i)进行串联生成认证向量AV(i)；将n个认证向量AV(i)串联生成认证向量组、然后将其同国际移动用户识别码(IMSI)串联，作为认证向量响应消息M4，发送至移动管理实体(MME)；

B4、移动管理实体(MME)收到认证向量响应消息M4并存入自身的数据库；再从认证向量响应消息M4的认证向量组中取出其中的一个认证向量AV(i)，随后从该认证向量AV(i)中提取出对应的服务器端公开承诺B(i)、消息认证码MAC(i)、期望响应XRES(i)、主密钥K_ASME(i)、主密钥标识符KSI_ASME(i)；将期望响应XRES(i)、主密钥K_ASME(i)保存；同时将服务器端公开承诺B(i)、消息认证码MAC(i)、主密钥标识符KSI_ASME(i)串联生成认证挑战消息M5；最后将认证挑战消息M5发送给车载移动单元(OBU)；

B5、车载移动单元(OBU)收到认证挑战消息M5，提取其中的服务器端公开承诺B(i)和消息认证码MAC(i)和主密钥标识符KSI_ASME(i)；随后以服务器端公开承诺B(i)和B1步的随机数a为输入参数，计算得到B3步的密钥K_UH(i)；再以长期共享密钥K、计算出的密钥K_UH(i)为输入参数，生成期望消息认证码XMAC(i)、挑战响应RES(i)，并将生成的期望消息认证码XMAC(i)与消息认证码MAC(i)对比，若不相同则执行步骤E；否则，车载移动单元(OBU)认证移动管理实体(MME)成功，并以长期共享密钥K、计算出的密钥K_UH(i)、主密钥标识符KSI_ASME(i)计算得到B3步的主密钥K_ASME(i)；然后，将长期共享密钥K更新为密钥K_UH(i)，并将挑战响应RES(i)作为挑战响应消息M6，回传至移动管理实体(MME)；

B6、移动管理实体(MME)收到挑战响应消息M6后，提取其中的挑战响应RES(i)，并同B4步中从AV(i)提取的期望响应XRES(i)进行对比，若不相同，则执行步骤E；否则，移动管理实体(MME)认证车载移动单元(OBU)成功；随后，移动管理实体(MME)选取随机数R_MME，将随机数R_MME、国际移动用户识别码(IMSI)进行串联后，再进行哈希运算生成识别码，作为临时国际移动用户识别码(TMSI)，并加密发送至车载移动单元(OBU)；再将B4步的服务器端公开承诺B(i)作为认证成功消息M7发送至归属用户服务器(HSS)，随后从自身数据库中删除B4步提取的认证向量AV(i)，其余的认证向量AV(i)构成更新后的认证向量组；最后将临时国际移动用户识别码(TMSI)与对应的国际移动用户识别码(IMSI)进行链接；

B7、归属用户服务器(HSS)收到认证成功消息M7后，根据公开承诺B(i)、用户端公开承诺A_O再次计算出B3步的密钥K_UH(i)，并将长期共享密钥K更新为密钥K_UH(i)，完成初始认证；车载移动单元(OBU)通过关联的基站与移动管理实体间(MME)进行通信；

当车载移动单元(OBU)发生位置更新重新请求接入网络时，进行C步的操作；

C、非接入层重认证：

C1、车载移动单元(OBU)将临时国际移动用户识别码(TMSI)发送给移动管理实体(MME)，发起重认证请求；

C2、移动管理实体(MME)收到临时国际移动用户识别码(TMSI)后，通过对应的国际移动用户识别码(IMSI)检索出对应的认证向量组，若检索失败，执行步骤A；

否则,取出认证向量组中的一个认证向量AV(i)，随后从该认证向量AV(i)中提取其中的服务器端公开承诺B(i)、消息认证码MAC(i)、主密钥K_ASME(i)、主密钥标志符KSI_ASME(i)和期望响应XRES(i)；保存主密钥K_ASME(i)和期望响应XRES(i)；将服务器端公开承诺B(i)、消息认证码MAC(i)、主密钥标志符KSI_ASME(i)进行消息串联后发送给车载移动单元(OBU)；

C3、车载移动单元(OBU)收到来自移动管理实体(MME)的服务器端公开承诺B(i)、消息认证码MAC(i)、主密钥标志符KSI_ASME(i)后，以服务器端公开承诺B(i)和B1步的随机数a计算出B3步的密钥K_UH(i)；再以长期共享密钥K、计算出的密钥K_UH(i)为输入参数，生成期望消息认证码XMAC(i)、挑战响应RES(i)，并将生成的期望消息认证码XMAC(i)与接收到来自移动管理实体(MME)的消息认证码MAC(i)对比，若不相同则执行步骤E；否则，车载移动单元(OBU)认证移动管理实体(MME)成功；然后以长期共享密钥K、计算出的密钥K_UH(i)、主密钥标志符KSI_ASME(i)为输入参数，计算B3步的主密钥K_ASME(i)，并将挑战响应RES(i)发送至移动管理实体(MME)；

C4、移动管理实体(MME)收到挑战响应RES(i)后，将C2步骤中从认证向量AV(i)中提取的期望响应XRES(i)与挑战响应RES(i)对比，若不相同则执行步骤E；否则，移动管理实体(MME)认证车载移动单元(OBU)成功；随后，移动管理实体(MME)选取重认证随机数R_RMME，以该重认证随机数R_RMME、国际移动用户识别码(IMSI)进行串联后，再进行哈希运算生成识别码，以更新临时国际移动用户识别码(TMSI)，并将更新后的国际移动用户识别码(TMSI)加密发送至车载移动单元(OBU)，随后从自身数据库中删除C2步提取的认证向量AV(i)，其余的认证向量AV(i)构成更新后的认证向量组；最后将新的临时国际移动用户识别码(TMSI)与对应的国际移动用户识别码(IMSI)进行链接；

随后，车载移动单元(OBU)通过关联的基站与移动管理实体间(MME)进行通信；

D、当车载移动单元(OBU)再次发生位置更新重新请求接入网络时，重复C步的操作；

E、认证失败，终止操作。

本例的步骤B1中车载移动单元(OBU)启动并首次接入网络时，先选取一个随机数a，计算用户端公开承诺A_O的具体方法是：将随机数a与A步中身份识别卡(USIM)中存储的椭圆曲线的生成元P，进行倍点运算，得到用户端公开承诺A_O，即A_O＝a■P。

本例的步骤B1中车载移动单元(OBU)再以国际移动用户识别码(IMSI)、时间戳T_S、与车载移动单元(OBU)关联的基站标志符LAI、归属用户服务器(HSS)的公钥PK为输入参数，生成秘密信息M1的具体方法是：将国际移动用户识别码(IMSI)、时间戳T_S、与车载移动单元(OBU)关联的基站标志符LAI串接后，再由公钥PK对串接后的消息进行加密运算，即：

M1＝E_PK{IMSI||T_S||LAI}

其中||表示字符串联运算，E_PK{■}表示由公钥PK对消息■进行加密运算。

本例的步骤B3中，以随机数b(i)、用户端公开承诺A_O为输入参数，计算得到n个服务器端公开承诺B(i)和n个密钥K_UH(i)的具体方法是：

将随机数b(i)与椭圆曲线的生成元P进行倍点运算，即得服务器端公开承诺B(i)，即B(i)＝b(i)■P；

将随机数b(i)与用户端公开承诺A_O进行倍点运算，即得密钥K_UH(i)，即K_UH(i)＝b(i)■Ao。

本例的步骤B3中，以长期共享密钥K和密钥K_UH(i)，生成对应的n个：消息认证码MAC(i)、匿名性保护密钥AK(i)、主密钥K_ASME(i)、主密钥标识符KSI_ASME(i)、期望响应XRES(i)的生成公式是：

消息认证码MAC(i)：

期望响应XRES(i)：

匿名性保护密钥AK(i)：

主密钥K_ASME(i)：

主密钥标识符

其中，表示输出128比特的哈希消息认证码运算、表示输出64比特的哈希消息认证码运算、表示输出48比特的哈希消息认证码运算、KDF_K表示输出256比特的哈希消息认证码运算,表示异或操作。

Claims (5)

1.一种基于混合密码的LTE-R车-地通信非接入层认证密钥协商方法，其步骤是：

A、全球用户识别卡(USIM)注册：

用户归属地运营商采集用户身份信息，为其颁发全球移动用户的身份识别卡(USIM)；身份识别卡(USIM)中存储安全参数，分别是：国际移动用户识别码(IMSI)、该身份识别卡(USIM)与归属用户服务器(HSS)间的长期共享密钥K、归属用户服务器(HSS)的公钥PK、椭圆曲线的生成元P；完成注册后，将身份识别卡(USIM)安装在车载移动单元(OBU)中；

B、非接入层初始认证：

B1、车载移动单元(OBU)启动并首次接入网络时，先选取一个随机数a，计算用户端公开承诺A_O，同时生成一时间戳T_S，并获取与车载移动单元(OBU)关联的基站标志符LAI；车载移动单元(OBU)再以国际移动用户识别码(IMSI)、时间戳T_S、与车载移动单元(OBU)关联的基站标志符LAI、归属用户服务器(HSS)的公钥PK为输入参数，生成秘密信息M1；然后将归属用户服务器(HSS)的身份ID_HSS、用户端公开承诺A_O、秘密信息M1进行消息串联，生成接入认证请求消息M2，最后将接入认证请求消息M2发送至移动管理实体(MME)；

B2、移动管理实体(MME)收到接入认证请求消息M2后，获取与移动管理实体(MME)关联的基站标志符LAI’，然后将与移动管理实体(MME)关联的基站标志符LAI’、移动管理实体(MME)的服务网络号SNID、接入认证请求消息M2，进行串联生成认证向量请求消息M3，将认证向量请求消息M3发送至归属用户服务器(HSS)；

B3、归属用户服务器(HSS)收到认证向量请求消息M3后，检索数据库判断其中的服务网络号SNID的正确性，如检索不成功，则执行步骤E；

否则，以归属用户服务器(HSS)的私钥SK解密接入认证请求消息M2，得到国际移动用户识别码(IMSI)、时间戳T_S、与车载移动单元(OBU)关联的基站标志符LAI；归属用户服务器(HSS)判断时间戳T_S是否正确，如不正确，则执行步骤E；

否则，对比与车载移动单元(OBU)关联的位置区标识符LAI和与移动管理实体(MME)关联的位置区标识符LAI’，若不匹配，则执行步骤E；

否则，选取n个随机数b(i)，其中i为随机数b(i)的序号，i∈(1,2,3…,n)，以随机数b(i)、用户端公开承诺A_O为输入参数，计算得到n个服务器端公开承诺B(i)和n个密钥K_UH(i)；再根据国际移动用户识别码(IMSI)检索出长期共享密钥K，以长期共享密钥K和密钥K_UH(i)，生成对应的n个：消息认证码MAC(i)、匿名性保护密钥AK(i)、主密钥K_ASME(i)、主密钥标识符KSI_ASME(i)、期望响应XRES(i)；

再将对应的服务器端公开承诺B(i)、消息认证码MAC(i)、期望响应XRES(i)、主密钥K_ASME(i)、主密钥标识符KSI_ASME(i)进行串联生成认证向量AV(i)；将n个认证向量AV(i)串联生成认证向量组、然后将其同国际移动用户识别码(IMSI)串联，作为认证向量响应消息M4，发送至移动管理实体(MME)；

B4、移动管理实体(MME)收到认证向量响应消息M4并存入自身的数据库；再从认证向量响应消息M4的认证向量组中取出其中的一个认证向量AV(i)，随后从该认证向量AV(i)中提取出对应的服务器端公开承诺B(i)、消息认证码MAC(i)、期望响应XRES(i)、主密钥K_ASME(i)、主密钥标识符KSI_ASME(i)；将期望响应XRES(i)、主密钥K_ASME(i)保存；同时将服务器端公开承诺B(i)、消息认证码MAC(i)、主密钥标识符KSI_ASME(i)串联生成认证挑战消息M5；最后将认证挑战消息M5发送给车载移动单元(OBU)；

B5、车载移动单元(OBU)收到认证挑战消息M5，提取其中的服务器端公开承诺B(i)和消息认证码MAC(i)和主密钥标识符KSI_ASME(i)；随后以服务器端公开承诺B(i)和B1步的随机数a为输入参数，计算得到B3步的密钥K_UH(i)；再以长期共享密钥K、计算出的密钥K_UH(i)为输入参数，生成期望消息认证码XMAC(i)、挑战响应RES(i)，并将生成的期望消息认证码XMAC(i)与消息认证码MAC(i)对比，若不相同则执行步骤E；否则，车载移动单元(OBU)认证移动管理实体(MME)成功，并以长期共享密钥K、计算出的密钥K_UH(i)、主密钥标识符KSI_ASME(i)计算得到B3步的主密钥K_ASME(i)；然后，将长期共享密钥K更新为密钥K_UH(i)，并将挑战响应RES(i)作为挑战响应消息M6，回传至移动管理实体(MME)；

B6、移动管理实体(MME)收到挑战响应消息M6后，提取其中的挑战响应RES(i)，并同B4步中从AV(i)提取的期望响应XRES(i)进行对比，若不相同，则执行步骤E；否则，移动管理实体(MME)认证车载移动单元(OBU)成功；随后，移动管理实体(MME)选取随机数R_MME，将随机数R_MME、国际移动用户识别码(IMSI)进行串联后，再进行哈希运算生成识别码，作为临时国际移动用户识别码(TMSI)，并加密发送至车载移动单元(OBU)；再将B4步的服务器端公开承诺B(i)作为认证成功消息M7发送至归属用户服务器(HSS)，随后从自身数据库中删除B4步提取的认证向量AV(i)，其余的认证向量AV(i)构成更新后的认证向量组；最后将临时国际移动用户识别码(TMSI)与对应的国际移动用户识别码(IMSI)进行链接；

B7、归属用户服务器(HSS)收到认证成功消息M7后，根据公开承诺B(i)、用户端公开承诺A_O再次计算出B3步的密钥K_UH(i)，并将长期共享密钥K更新为密钥K_UH(i)，完成初始认证；车载移动单元(OBU)通过关联的基站与移动管理实体间(MME)进行通信；

当车载移动单元(OBU)发生位置更新重新请求接入网络时，进行C步的操作；

C、非接入层重认证：

C1、车载移动单元(OBU)将临时国际移动用户识别码(TMSI)发送给移动管理实体(MME)，发起重认证请求；

C2、移动管理实体(MME)收到临时国际移动用户识别码(TMSI)后，通过对应的国际移动用户识别码(IMSI)检索出对应的认证向量组，若检索失败，执行步骤A；

否则,取出认证向量组中的一个认证向量AV(i)，随后从该认证向量AV(i)中提取其中的服务器端公开承诺B(i)、消息认证码MAC(i)、主密钥K_ASME(i)、主密钥标志符KSI_ASME(i)和期望响应XRES(i)；保存主密钥K_ASME(i)和期望响应XRES(i)；将服务器端公开承诺B(i)、消息认证码MAC(i)、主密钥标志符KSI_ASME(i)进行消息串联后发送给车载移动单元(OBU)；

C3、车载移动单元(OBU)收到来自移动管理实体(MME)的服务器端公开承诺B(i)、消息认证码MAC(i)、主密钥标志符KSI_ASME(i)后，以服务器端公开承诺B(i)和B1步的随机数a计算出B3步的密钥K_UH(i)；再以长期共享密钥K、计算出的密钥K_UH(i)为输入参数，生成期望消息认证码XMAC(i)、挑战响应RES(i)，并将生成的期望消息认证码XMAC(i)与接收到来自移动管理实体(MME)的消息认证码MAC(i)对比，若不相同则执行步骤E；否则，车载移动单元(OBU)认证移动管理实体(MME)成功；然后以长期共享密钥K、计算出的密钥K_UH(i)、主密钥标志符KSI_ASME(i)为输入参数，计算B3步的主密钥K_ASME(i)，并将挑战响应RES(i)发送至移动管理实体(MME)；

C4、移动管理实体(MME)收到挑战响应RES(i)后，将C2步骤中从认证向量AV(i)中提取的期望响应XRES(i)与挑战响应RES(i)对比，若不相同则执行步骤E；否则，移动管理实体(MME)认证车载移动单元(OBU)成功；随后，移动管理实体(MME)选取重认证随机数R_RMME，以该重认证随机数R_RMME、国际移动用户识别码(IMSI)进行串联后，再进行哈希运算生成识别码，以更新临时国际移动用户识别码(TMSI)，并将更新后的国际移动用户识别码(TMSI)加密发送至车载移动单元(OBU)，随后从自身数据库中删除C2步提取的认证向量AV(i)，其余的认证向量AV(i)构成更新后的认证向量组；最后将新的临时国际移动用户识别码(TMSI)与对应的国际移动用户识别码(IMSI)进行链接；

随后，车载移动单元(OBU)通过关联的基站与移动管理实体间(MME)进行通信；

D、当车载移动单元(OBU)再次发生位置更新重新请求接入网络时，重复C步的操作；

E、认证失败，终止操作。

2.根据权利要求1所述的一种基于混合密码的LTE-R车-地通信非接入层认证密钥协商方法，其特征在于：

所述的步骤B1中车载移动单元(OBU)启动并首次接入网络时，先选取一个随机数a，计算用户端公开承诺A_O的具体方法是：将随机数a与A步中身份识别卡(USIM)中存储的椭圆曲线的生成元P，进行倍点运算，得到用户端公开承诺A_O，即A_O＝a·P。

3.根据权利要求1所述的一种基于混合密码的LTE-R车-地通信非接入层认证密钥协商方法，其特征在于：

所述的步骤B1中车载移动单元(OBU)再以国际移动用户识别码(IMSI)、时间戳T_S、与车载移动单元(OBU)关联的基站标志符LAI、归属用户服务器(HSS)的公钥PK为输入参数，生成秘密信息M1的具体方法是：将国际移动用户识别码(IMSI)、时间戳T_S、与车载移动单元(OBU)关联的基站标志符LAI串接后，再由公钥PK对串接后的消息进行加密运算，即：

M1＝E_PK{IMSI||T_S||LAI}

其中||表示字符串联运算，E_PK{■}表示由公钥PK对消息■进行加密运算。

4.根据权利要求1所述的一种基于混合密码的LTE-R车-地通信非接入层认证密钥协商方法，其特征在于：

所述的步骤B3中，以随机数b(i)、用户端公开承诺A_O为输入参数，计算得到n个服务器端公开承诺B(i)和n个密钥K_UH(i)的具体方法是：

将随机数b(i)与椭圆曲线的生成元P进行倍点运算，即得服务器端公开承诺B(i)，即B(i)＝b(i)·P；

将随机数b(i)与用户端公开承诺A_O进行倍点运算，即得密钥K_UH(i)，即K_UH(i)＝b(i)·Ao。

5.根据权利要求1所述的一种基于混合密码的LTE-R车-地通信非接入层认证密钥协商方法，其特征在于：

所述的步骤B3中，以长期共享密钥K和密钥K_UH(i)，生成对应的n个：消息认证码MAC(i)、匿名性保护密钥AK(i)、主密钥K_ASME(i)、主密钥标识符KSI_ASME(i)、期望响应XRES(i)的生成公式是：

消息认证码MAC(i)：

期望响应XRES(i)：

匿名性保护密钥AK(i)：

主密钥K_ASME(i)：K_ASME(i)＝KDF_K(SNID⊕AK(i)||K_UH(i))；

主密钥标识符KSI_ASME(i)：KSI_ASME(i)＝SNID⊕AK(i)；

其中，表示输出128比特的哈希消息认证码运算、表示输出64比特的哈希消息认证码运算、表示输出48比特的哈希消息认证码运算、KDF_K表示输出256比特的哈希消息认证码运算,⊕表示异或操作。