基于量子密钥的高速铁路异构网络安全切换

陈 永，刘 雯，常 婷

(兰州交通大学 电子与信息工程学院，甘肃 兰州 730070)

目前,高速铁路主要采用GSM-R作为无线通信系统,但该系统为2G窄带通信系统,业务承载能力有限,已无法满足高速铁路智能化发展的需求[1]。LTE-R作为下一代铁路无线通信系统,其技术标准成熟,具有高带宽、高速率、全IP扁平化网络结构,且具备完整的产业链支撑,可以承载铁路正线列车控制等安全性业务[2]。5G技术频段高、基站布设密集,与LTE-R相比,其应用到铁路区间覆盖成本较高,可作为站场枢纽区域的无线解决方案,基础设施监控业务可以采用NB-IOT等技术承载。未来LTE-R与5G-R、WiFi等技术将共同构成综合性的下一代铁路无线接入系统[3]。

目前,在GSM-R向LTE-R演进过程中,因建设周期或设备更新等因素,将长期存在GSM-R和LTE-R共存的局面[4-5]。GSM-R与LTE-R网络的互联互通和平滑过渡存在以下困难:①GSM-R属于在用设备,其功能已经固化,可改动空间很小;②GSM-R基于电路域,而LTE-R基于全IP,业务流程和具体信令不同[3]。因此,在这种背景下,如何实现高速列车在GSM-R和LTE-R异构网络之间的快速、安全切换,以及减少异构网络之间的信令交互,已成为目前研究的难点问题,亟待解决。

高速列车在异构网络间切换时,需要与不同的移动授权实体进行切换认证,一般采用3GPP定义的演进的数据包系统认证和密钥协议(Evolved Packet System Authentication and Key Agreement,EPS-AKA)作为车地通信认证密钥协商协议[6]。在异构网络切换认证过程中,不仅要确保切换的快速性,而且还必须保证切换的安全性。然而EPS-AKA被指出存在多种安全隐患,如明文传输,根密钥未更新,难以抵抗中间人、伪装用户等多种攻击等[5]。为此,国内外诸多学者针对EPS-AKA及异构网络间安全性问题进行了大量的研究工作。Alezabi等[7]通过传输用户身份ID和网络号避免异构网络中永久移动用户识别码IMSI的明文传输和会话密钥未更新等问题,但该方法未实现用户匿名性,易受到伪装用户攻击。Sharma等[8]针对切换认证过程中存在密钥未更新和难以抵抗DoS攻击等问题,使用临时身份进行传输来避免身份信息泄露,但该方法无法满足可追溯性,服务器无法识别虚假用户。Kumar等[9]提出一种基于椭圆曲线与用户识别卡相结合的异构网络切换认证协议,通过使用伪身份避免用户身份信息的泄露,同时采用哈希操作完成密钥更新,但该方法无法满足可追溯性。Yan等[10]提出一种使用预共享密钥实现通信双方相互认证和密钥更新、协商的方法,但该方法中用户、源基站与目标基站在每次切换认证时都需要向移动管理实体申请预共享密钥,导致消息交互次数增加,开销增加。Wang等[11]引入可信的第三方密钥生成中心保障切换认证的安全性,提出一种基于椭圆曲线密码系统的匿名代理签名方法,但IMSI在其假设的信道中传输时易遭受暴力攻击。Ozhelvaci等[12]提出的切换协议,在可信第三方密钥生成中心的帮助下,实现了车地认证过程中的密钥更新和密钥协商,但该方法中高速列车初次接入目标网络时,列车身份是明文传输的,易被攻击者截获,未彻底实现用户匿名性。Li等[13]提出一种基于授权属性的多属性签名匿名切换认证协议,使用区块链作为可信第三方发布属性私钥以保障用户身份信息,但该方法存在计算签名开销大的问题。Zhang等[14]提出一种基于椭圆曲线密码与区块链相结合的切换认证密钥协商协议,实现了用户匿名性和可追溯性,但该方法难以抵抗中间人攻击。Ma等[15]使用软件定义网络控制器作为可信第三方,提出的预切换方法减少了切换时延,但该方法中车地切换认证与密钥协商存在切换复杂性高、开销大等问题。Mo等[16]提出一种基于双线性配对的切换认证协议,提高了切换认证的安全性,但该方法中双线性配对的计算开销和通信开销较高,无法降低切换时延。Lei等[17]提出一种基于身份的切换认证密钥协商协议,增强了切换协议的安全性,但该方法中需要传输签名信息,通信开销增大。

综上所述,在GSM-R和LTE-R异构网络演进场景下,现有的切换认证密钥协商协议中存在用户身份明文传输、根密钥未动态更新、用户无追溯性等安全漏洞,以及在切换认证过程中高速列车切换到目标网络时存在计算、通信开销大等问题。针对上述问题,本文提出一种基于量子密钥的高速铁路异构网络切换安全认证协商方法:①采用哈希操作生成伪身份PID和切换通行码PASS,实现了用户身份匿名性和可追溯性等安全特性,克服了EPS-AKA中用户身份IMSI明文传输等缺点;②提出异构网络间预认证策略,降低了切换认证时延,提高了异构网络切换的实时性;③采用量子密钥分发与哈希操作,完成了会话协商密钥的动态更新,实现密钥前后向安全性等;④采用串空间形式化方法及朔黄铁路数据对所提方法进行了安全性验证,分析结果表明,所提方法在安全性等方面均优于比较方法,并且在计算和通信花销方面也有较高的优势,能够满足下一代高速铁路LTE-R异构网络切换认证安全性和实时性的要求。

1 基础理论

1.1 LTE-R演进异构网络结构

根据GSM-R向LTE-R演进异构网络形态,新一代铁路移动通信系统建设主要分为以下3个阶段[2]。

阶段1:在同一线路中双网覆盖,部分线路首先使用LTE-R网络,在切换时等连接到LTE-R网络之后再断开GSM-R网络。

阶段2:同一线路中双网络交替覆盖,既有GSM-R网络升级为LTE-R网络,GSM-R与LTE-R共存形成异构网络融合的形式,两种网络的核心网互联互通。

阶段3:原有GSM-R网络退出服务,LTE-R网络逐步完成部署,覆盖全线路。

在演进过程中,GSM-R和LTE-R共同组成的高速铁路无线通信异构网络的网络架构见图1[18]。图1中,UE为高速列车;BS为基站;BSC为基站控制器;eNodeB为演进型基站;SGSN/MME为移动授权实体;HLR/HSS为用户归属服务器。

图1 高速铁路无线通信异构网络架构

为保证高速列车能够在异构网络连续切换时信息的及时、准确、可靠传输[19],UE从源MME/SGSN移动到目标SGSN/MME时,除需要和目标SGSN/MME进行相互认证和密钥协商外,还需要具有较少的网络延时,这是高效无缝切换认证所必须的基本安全需求[10]。

1.2 传统EPS-AKA认证协议

高速铁路无线通信系统采用EPS-AKA作为车地之间的认证通信协议[6]。参与该协议的主要实体有高速列车UE、移动授权实体SGSN/MME和用户归属服务器HLR/HSS,协议中的其他符号及含义见表1。

表1 协议符号及含义

EPS-AKA协议具体执行步骤如下。

Step1UE向MME发送认证接入请求消息,M1:{IMSI,IDHSS}。

Step2MME根据IDHSS进行查询,向HSS请求认证向量,M2:{M1,SNID}。

Step3HSS验证SNID,若SNID不合法,则终止认证;否则,HSS检索IMSI并获取根密钥K,使用根密钥K生成认证向量组AV,发送认证响应消息给MME,M3:{AV(i)|i=1,…,n}。

Step4MME将认证向量组存入数据库,按照最小序号原则选取AV(i),将用户认证鉴权请求发送到UE,M4:{RAND(i),AUTN(i),KSIASME(i)}。

Step5UE接收消息之后,验证XMAC?=MAC,完成对HSS和MME的安全认证,UE计算消息响应RES=f2(RAND‖K)和KASME=KDF(SNID‖K‖CK‖IK),发送用户鉴权响应给MME,M5:{RES},其中,IK为加密密钥,CK为完整性密钥。

Step6MME验证RES?=XRES,完成对UE的安全认证。

2 本文方法

本文提出一种基于量子密钥的高速铁路异构网络安全切换认证方法。量子密钥分发(Quantum Key Distribution,QKD)是一种利用量子力学特性来保证通信安全性的方法[20],由于其基于海森堡测不准原理和量子不可克隆定理[21],在量子信息传输中量子态不能被精确复制和放大,因而能够实现通信双方间的安全共享随机密钥。基于该原理,本文首先通过使用QKD实现高速铁路通信异构网络间不同移动授权实体的预认证和临时通话密钥的协商;其次加入伪身份PID和切换通行码PASS,实现用户身份匿名性和可追溯性等安全特性,来提高高速铁路无线通信异构网络之间的高效通信需求和通信安全。根据高速铁路GSM-R和LTE-R异构网络切换实际场景,本方法设计时分为注册、异构网络间切换准备、异构网络间垂直切换认证等3个阶段。

2.1 注册阶段

在注册阶段,UE和MME/SGSN需要在HSS处完成身份信息的注册以获得相关的算法、参数等重要信息,从而保证其能够正常工作。量子密钥制备与分发过程见图2,具体步骤如下:

图2 量子密钥制备与分发过程

Step1量子密钥制备。量子密钥分发使用4个光子的偏振态∣0〉、∣1〉、∣+〉、∣-〉进行信息传输,其中∣0〉、∣1〉为Z测量基,∣+〉、∣-〉为X测量基。

Step1.1发送方HSS/MME/SGSN/UE根据特定编码规则对经典比特信息进行编码,比特0对应量子态∣0〉或∣1〉,比特1对应量子态∣+〉或∣-〉,形成一个量子态序列,通过量子信道将其发送到接收方SGSN/MME/UE。

Step1.2接收方接收到消息后,随机选择一组正交测量基对接收到的量子态序列进行测量并保存结果。

Step1.3接收方通过经典信道告知发送方所选用的每个比特的测量基。

Step1.4发送方对接收的消息与初始发送的量子态序列采用的基逐一对比,之后通过经典信道告知接收方选用的正确测量基,保留正确结果,舍弃错误结果,得到初始密钥。

Step1.5发送方与接收方从初始密钥中随机选取部分比特进行公开比较,若比较错误率大于阈值,则认为存在窃听,重新开始通信;否则进行下一步。

Step1.6发送方与接收方舍弃用于检测窃听的部分公开比特,对保留下来的比特进行“后处理”,完成量子密钥制备。

Step2量子密钥分发。在完成量子密钥制备之后,为保障在异构网络中车地切换认证的安全,在参与车地认证的通信双方使用量子密钥分发生成预共享密钥之前,需要对UE和MME/SGSN完成注册,并开始生成预共享密钥,然后进行量子密钥分发。

Step2.1UE向HSS提出注册申请,通过安全信道发送注册请求信息{IDUE,IMSI}。

Step2.2MME/SGSN向HSS通过安全信道发送注册请求消息{IDMME/SGSN}。

Step2.3HSS接收到UE的注册请求后,将IDUE与IMSI建立一一对应列表,QKD生成MME/SGSN与UE的预共享密钥KM/S-U,将IDMME/SGSN发送到UE。

Step2.4HSS收到MME/SGSN的注册请求消息之后,QKD分别生成HSS与源MME/SGSN、目标SGSN/MME的预共享密钥KH-M/S/KH-S/M,将IDUE发送到MME/SGSN。

Step2.5UE和MME/SGSN收到HSS消息之后,将共享密钥KM/S-U与IDMME/SGSN、IDUE建立对应列表。

Step2.6UE、MME、SGSN根据预共享密钥Ki制备量子序列,其中预共享密钥KM/S-U、KH-M/S、KH-S/M为00、01、10、11的二进制组合,并根据预共享密钥的状态选择相应的编码量子信息的基。当预共享密钥Ki=00时,制备的量子比特Qi为|0〉态;当Ki=01时,Qi为|1〉态;当Ki=10时,Qi为|+〉态;当Ki=11时,Qi为|-〉态。当Ki的值为00或01时,接收方使用Z基测量接受的Qi;当Ki的值为10或11时,接收方使用X基测量接受的Qi。测量基的选择见表2。

表2 测量基的选择

2.2 异构网络间切换准备阶段

完成量子密钥分发后,在UE进入异构网络时,需要从源MME/SGSN频繁切换到目标SGSN/MME,为保证认证切换过程中信息的安全传输,需要不同异构网络中的MME/SGSN之间协商临时通信密钥,具体步骤如下:

Step1HSS→MME/SGSN:{|A〉,|B〉}。在UE进行切换之前,源MME/SGSN在HSS协调下完成与目标SGSN/MME之间的通信密钥协商,从而实现MME/SGSN之间的预认证。

Step1.1HSS分别为源MME/SGSN和目标SGSN/MME生成随机数x和y,并根据随机数分别计算X=h(x,KH-M/S)⊕(IDM/S‖IDS/M),Y=h(y,KH-S/M)⊕(IDS/M‖IDM/S)。

Step1.2HSS基于共享密钥Ki制备量子序列|A〉=(x‖X)和|B〉=(y‖Y),并利用Ki对量子序列|A〉、|B〉进行极化,在极化时要保证其位数相同,以便于进行身份验证和完整性校验。极化后的量子序列|A〉中,假设预共享密钥Ki的长度为4m比特,随机数x长度为m比特,X部分的数据h(x,KH-M/S)、IDM/S、IDS/M的长度均为m比特。量子序列|A〉和基的结构见图3。同理,量子序列|B〉和基的结构见图4。

图3 量子序列|A〉和基的结构

图4 量子序列|B〉和基的结构

通过上述操作,HSS使用量子通信信道分别将极化的|A〉、|B〉发送到源MME/SGSN和目标SGSN/MME。

Step2源MME/SGSN和目标SGSN/MME收到量子序列后将进行如下操作。

Step2.1源MME/SGSN接收到量子序列之后,通过预共享密钥KH-M/S的状态得到x′和X′,根据获得信息计算(IDM/S‖IDS/M)⊕X′=h(x,KH-M/S),进行身份信息的检验:h(x′,KH-M/S)?=h(x,KH-M/S)。若相等,则继续通信,否则放弃此次通信。

Step2.2目标SGSN/MME接收到量子序列后,通过预共享密钥KH-S/M的状态得到y′和Y′,根据获得信息计算(IDS/M‖IDM/S)⊕Y′=h(y,KH-S/M),进行身份信息的检验:h(y′,KH-S/M)?=h(y,KH-S/M)。若相等,则继续通信,否则放弃此次通信。

Step3源MME/SGSN和目标SGSN/MME完成身份信息检验后将进行如下操作。

Step3.1MME/SGSN→SGSN/MME:{CM/S-S/M,SM/S-S/M}。源MME/SGSN生成一个随机数rM/S,计算CM/S-S/M=h(rM/S)⊕h(IDM/S),SM/S-S/M=h(CM/S-S/M,IDS/M),通过经典通信信道发送{CM/S-S/M,SM/S-S/M}到目标SGSN/MME。

Step3.2SGSN/MME→MME/SGSN:{CS/M-M/S,SS/M-M/S}。目标SGSN/MME生成随机数rS/M,计算CS/M-M/S=h(rS/M)⊕h(IDS/M),SS/M-M/S=h(CS/M-M/S,IDM/S),通过经典通信信道发送{CS/M-M/S,SS/M-M/S}到源MME/SGSN。

Step4源MME/SGSN和目标SGSN/MME对收到的信息进行完整性校验,并协商通信密钥。

2.3 异构网络间垂直切换认证阶段

垂直切换是指在不同异构无线接入网络之间的切换。在完成上一阶段切换准备后,目标MME/SGSN需要与UE协商新的会话密钥SK,即使用新密钥进行切换过程中信息的安全传输,然后进入异构网络间垂直切换阶段。垂直切换认证步骤如下:

Step1UE→MME/SGSN,MES1:{PID,PASS1,T1,U}。当UE处于基站信号覆盖边缘时,由于网络信号较差,UE会在当前网络中发起切换接入其他网络的请求。

Step1.1UE生成随机数u,计算U=gu。

Step1.2UE输入身份IDUE,根据2.1节Step2.5中的列表查找目标网络IDSGSN/MME及预共享密钥KS/M-U,计算伪身份PID=IDUE⊕h(U‖KS/M-U)。

Step1.3生成时间戳T1,计算切换通行码:PASS1=h(IDUE‖IDMME/SGSN‖T1‖KS/M-U)。

Step1.4UE发送消息MES1给MME/SGSN。

Step2MME/SGSN→SGSN/MME,MES2:{ETK{PID,PASS1,T1,U}}。MME/SGSN收到UE的消息之后,使用MME/SGSN与SGSN/MME之间的临时密钥TK加密消息,并将消息MES2发送到目标SGSN/MME。

Step3SGSN/MME→UE,MES3:{AV,MAC,T3,S/M}。SGSN/MME收到消息之后:

Step3.1SGSN/MME使用TK解密消息得到{PID,PASS1,T1,U}。

Step3.3根据接收信息计算切换通行码PASS2=h(IDUE‖IDMME/SGSN‖T1‖KS/M-U),判断PASS1?=PASS2,若相等,则满足切换请求,允许UE进行切换;否则,拒绝切换请求。

Step3.4SGSN/MME生成随机数s/m,计算S/M=gs/m,SGSN/MME计算与UE的协商会话密钥SK=h((U)s/m‖(U)KS/M-U)。

Step3.5生成时间戳T3,计算消息认证码MAC=h(KS/M-U‖RAND‖T3)。SGSN/MME在数据库中根据最小序号原则选择认证向量AV,将消息MES3发送给UE,若认证向量AV已用完,则SGSN/MME向HSS发送请求认证向量消息,由HSS生成认证向量后发送给SGSN/MME。

Step4UE→SGSN/MME,MES4:{RES}。UE收到消息之后:

Step4.1生成时间戳T4,计算T4-T3≤ΔT,若超过最大时限,则拒绝切换响应;否则,计算XMAC=h(KS/M-U‖RAND‖T3),验证消息认证码XMAC?=MAC,若不相等,则验证失败,结束会话。

Step4.2UE计算与SGSN/MME的协商会话密钥SK=h((S/M)u‖(gKS/M-U)u),接受SGSN/MME发送的认证向量AV并进行存储,后续与SGSN/MME使用协商会话密钥SK进行通信。

Step4.3计算消息响应RES=h(SK‖RAND),并将消息MES4发送给SGSN/MME。

Step5SGSN/MME收到消息之后,计算RES′=h(SK‖RAND),判断XRES?=RES,若不相等,则SGSN/MME对UE的验证失败,结束对话;否则,允许UE接入并继续保持通话。

通过上述3个阶段的流程,在认证和密钥协商流程完毕后,列车UE已经接入到新网络,并使用与目标网络中的移动授权实体SGSN/MME协商出的会话密钥SK进行后续通信,从而完成异构网络间的切换认证工作。

3 安全性分析

为验证本文提出的基于量子密钥的高速铁路异构网络安全切换认证方法的正确性,首先进行安全性分析。分别从安全性理论和基于串空间第三方形式化工具证明2个角度进行分析。

3.1 安全性理论分析

1)前/后向安全性

在本文方法中,攻击者无法获得会话密钥SK,因为SK的生成与QKD生成的预共享密钥Ki有关,而Ki依赖于量子测不准原理和不可克隆定理[21],一旦攻击者对该密钥进行检测,该密钥就会发生坍塌,攻击者无法获得Ki;此外,SK还与随机数u、s、m有关,而这些参数在每轮的通信会话结束之后都会进行动态更新。所以,本文方法具有密钥前/后向安全性。

2)抵抗重放攻击

本文方法中,UE发送给MME、SGSN的消息中包含时间戳T,MME、SGSN根据T来判断消息的新鲜性;在异构网络切换过程中,若所发消息已不具有时效性,则MME、SGSN所接收到的切换通行码也将失去时效性;UE接收的消息认证码也会因为时间戳不再新鲜,而无法完成对SGSN/MME的认证。因此在本文方法中,通信参与者都可判断是否遭受重放攻击,故可以抵抗重放攻击。

3)抵抗字典攻击

本文方法中,攻击者在不知道正确编码方式和测量基的情况下,无法获得正确的预共享密钥Ki;其次,攻击者想破获临时通话密钥,则需要知道随机数rS/M和rM/S,而这两个随机数是由源MME/SGSN和目标SGSN/MME随机生成。因此,本文方法可以抵抗字典攻击。

4)抵抗中间人攻击

本文方法采用身份认证方式,UE与SGSN/MME双方通过计算IDUE、MAC来完成对彼此的认证,而IDUE、MAC都依赖于量子密钥,根据量子测不准原理和不可克隆定理可知,攻击者无法获得该密钥,故不能发起中间人攻击。

5)相互认证

6)用户匿名性

本文方法中,UE向SGSN/MME通过发送伪身份PID发起请求,PID是由用户IDUE和预共享的量子密钥异或生成,由于量子密钥具有不可克隆性,攻击者无法计算出用户的真实IDUE,所以本方法满足用户匿名性。

7)可追溯性

8)抵抗伪装用户攻击

本文方法中,UE向SGSN/MME通过发送伪身份PID进行异构切换申请,PID是基于随机数U和预共享密钥KS/M-U共同计算得出,攻击者需要获取U和KS/M-U,而攻击者无法同时破解离散对数困难问题和量子不可克隆定理[21],因此,攻击者无法伪装成合法用户发送PID进行切换申请,故本文方法能够抵抗伪装用户攻击。

3.2 基于串空间的安全性证明

串空间模型是一种安全协议形式化证明方法,能够有效分析协议的正确性,被广泛应用于各种协议安全分析[22-23]。由于本文所提方法由源移动授权实体与目标移动授权实体之间的预认证,以及高速列车进入异构网络之后的切换认证共同组成,在切换认证时源移动授权实体只进行信息的转发,因此本文只对预认证过程和高速列车与目标移动授权实体之间进行身份认证。

对于本文提出的方案采用串空间验证如下。

Step1初始化定义。名称集合为Tname,其中包含UE、MME/SGSN、SGSN/MME。

Step2串空间模型定义。假设串空间为Σ,SUE、SMME/SGSN、SSGSN/MME、P∈Σ。其中,P为攻击者的串。

Step3MME/SGSN对SGSN/MME身份认证的形式化证明。

Step3.1构造测试分量:设C为一个簇,且C-hight(SMME/SGSN)=4,rM/S唯一产生于节点,边⟹+是rM/S在CM/S-S/M中的出测试。

Step3.2由出测试原理[23]可知:存在正常节点m、m′∈C,使得CM/S-S/M是m的分量,且m⟹m′是rM/S的变换边。

Step4SGSN/MME对MME/SGSN身份认证的形式化证明。

Step4.1构造测试分量:设C为一个簇,且C-hight(SSGSN/MME)=5,rS/M唯一产生于节点,边⟹+是rS/M在CS/M-M/S中的出测试。

Step4.2由出测试原理可知:存在正常节点m、m′∈C,使得CS/M-M/S是m的分量,且m⟹m′是rS/M的变换边。

通过以上证明可知:在异构网络车地切换认证过程中,源移动授权实体和目标移动授权实体实现了对彼此的身份验证,并且保证了交互信息的安全性和新鲜性,从而证明协商的通话密钥TK可以保障交互信息安全性。

Step5UE对SGSN/MME身份认证的形式化证明。

Step5.1构造测试分量:设C为一个簇,且C-hight(SUE)=3,U唯一产生于节点,边⟹+是U在PID中的出测试。

Step5.2由出测试原理可知:存在正常节点n、n′∈C,使得PID是n的分量,且n⟹n′是U的变换边。

Step6SGSN/MME对UE身份认证的形式化证明。

Step6.1构造测试分量:设C为一个簇,且C-hight(SSGSN/MME)=5,RAND唯一产生于节点,边⟹+是RAND在MAC中的出测试。

Step6.2由出测试原理可知:存在正常节点n、n′∈C,使得MAC是n的分量,且n⟹n′是RAND的变换边。

Step6.3由变换边定义可知:节点n为负节点,假设n为UE串SUE′中的结点,串SUE′=[U′,T1′,RAND′,T3′,S/M′],故n=,term=[RAND,T3,S/M]

Step6.4比较串的内容:通过比较和UE串中分量可得RAND′=RAND,T3′=T3,S/M′=S/M;进一步可得MAC′=MAC,RES′=RES。由此可得,SGSN/MME实现了对UE的身份认证,由参数S/M生成的通话密钥SK能够确保其新鲜性和安全性。

综合上述安全性理论分析和基于串空间模型的形式化证明可以得出,在本文方法中,高速列车UE和目标移动授权实体SGSN/MME之间能够实现互认证,其协商会话密钥SK具有新鲜性和安全性,本文方法具有较强的安全性,能够保障高速铁路无线通信异构网络间切换认证的安全性。

4 性能分析

为验证本文方法的有效性,将本文方法与文献[9,11,13],从安全性能、计算开销、通信开销,以及朔黄铁路线路数据等方面进行比较分析。

4.1 安全性能比较

首先进行不同方法的安全性能比较,包括抗伪装用户攻击、可追溯性、用户匿名性、相互认证等,比较结果见表3。

由表3可见:在使用传统EPS-AKA协议进行异构网络间切换认证时,高速列车UE的永久身份识别码IMSI是明文传输的,而IMSI的泄露将导致一系列安全密钥如IK、CK、AK的泄露,无法抵抗重放、重定向、中间人等攻击。此外,在EPS-AKA协议中,列车ID与IMSI是相互关联的,而ID是明文传输的,这会导致攻击者获取到IMSI后可以进行伪装用户攻击,或从IMSI中获取到会话密钥K,对车地通信过程中传输的信息进行篡改或窃听,将严重威胁到车地通信安全。本文方法使用伪身份PID代替用户真实身份进行传输,PID是由共享密钥和随机数经由单向哈希函数生成的,其安全性是由量子测不准原理和不可克隆定理保障,攻击者无法获取到列车真实的身份ID,因此本文方法可以很好地保护列车身份信息,保障车地通信安全。文献[9]使用椭圆曲线实现密钥的前后向安全性,并用随时生成的PID实现用户的匿名性和抗伪装用户攻击,但该方法不能避免因不可追溯性而造成的恶意用户伪装攻击。文献[11]采用匿名方式进行切换认证,避免身份信息的泄露,但是该方法不能抵抗伪装用户攻击,也不满足可追溯性,当有恶意UE假冒合法用户时,不能通过追溯恶意用户ID而揭露其身份。文献[13]使用区块链技术实现用户的匿名性、相互认证、密钥更新等性能,但由于用户UE使用不同属性用于匿名认证,在异构网络切换时,服务器只能判断出该用户的有效属性,而无法通过该属性推断出UE的真实身份信息,故不满足可追溯性。本文方法考虑到用户身份信息未保护问题和无缝切换的需求,使用PASS和PID实现用户匿名性、可追溯性等安全特性,并且在通信过程中加入时间戳以抵抗重放攻击,同时采用量子密钥分发和哈希操作实现密钥更新、密钥前后向等安全性。与其他方法相比,本文方法具有更高的安全性,能够有效抵抗伪装用户、中间人等多种恶意攻击。

4.2 计算开销、通信开销比较

计算开销是指进行切换认证时所需的时间[24]。通信开销则是指切换认证过程中用户与移动授权实体之间传输的信息量的长度[25]。在单次切换认证条件下,若计算、通信开销越少,则切换时延越小[25]。本文方法与其他方法在通信开销、计算开销方面的比较结果见表4。表4中,Th为哈希操作;Tme为模指运算;Tm为椭圆曲线点乘运算;Tae为对称加密;Tad为对称解密。

表4 计算开销、通信开销比较

由表4可知,在计算开销方面,EPS-AKA协议只使用哈希操作即可完成切换认证流程,其计算开销最小;文献[9]虽使用椭圆曲线点乘运算与哈希操作增强了切换认证协议的安全性,但同时也增加了计算开销;文献[11]实现切换认证与密钥协商时,只需执行少量的椭圆曲线点乘运算、哈希操作和对称运算,其计算量较低;文献[13]在执行一次切换认证时,因需要执行大量的模指运算造成其计算开销增大;本文方法减少了模指运算的使用,而是使用对称运算和哈希操作实现切换认证协议的安全性,而执行对称运算和哈希操作的时间较模指运算少,从而降低了切换认证时的计算开销。

由表4还可以看出,在单次切换认证通信开销方面,EPS-AKA协议采用转发认证向量的方式执行切换认证,故其通信开销最大;文献[9]通过使用哈希操作生成较少的信息量,因此其通信开销较低;文献[11]在切换认证时,由于源移动授权实体会将目标移动授权实体的信息转发到UE,导致其通信开销较高;文献[13]通过传输属性值完成切换时的身份认证和密钥协商,其通信开销也较高;而本文方法通过使用伪身份和通行认证码实现身份认证等安全特性,其传输信息量少,故在5种方法中,本文方法通信开销最低。

4.3 实测数据验证比较

为进一步验证本文方法的有效性,采用朔黄铁路LTE-R线路数据进行不同方法的性能比较[2],比较结果见表5。

表5 基于朔黄铁路数据的计算开销、通信开销比较

由表5可知,对于朔黄铁路数据,在计算开销方面,本文方法高于EPS-AKA和文献[11],但EPS-AKA 协议安全性能在所有方法中最低,文献[11]同样无法满足抗伪装用户攻击和可追溯性安全需求,无法保障车地切换认证通信的安全性,而本文方法,实现了异构网络切换时的身份认证和密钥协商,降低了计算开销,同时结合表3的性能分析可知,本文方法具有较高的安全性能。在通信开销方面,本文方法在5种比较文献中最低;文献[9,13]在切换过程中均需要传输额外信息实现身份认证和密钥协商,导致通信开销较大;文献[11]需要源移动授权实体转发切换认证信息,使得信息交互过程中的信息量增加,故其通信开销也随之增加;综合表3安全性能分析可知,4种比较方法均无法满足高速铁路无线通信异构网络无缝安全切换的需求。

此外,高速列车在异构网络中切换时会发生掉话现象,切换掉话严重时将严重影响列车控制系统的安全稳定运行[26]。为进一步验证本文方法的有效性,使用朔黄铁路的实测数据,对不同掉话率情况下不同方法性能进行比较分析。不同方法掉话率与计算开销、通信开销之间的关系见图5。

图5 掉话率与计算开销、通信开销的关系

由图5可见,不同切换方法随着掉话率的增加,计算开销和通信开销均呈现出增加趋势。这是由于随着掉话率的增加,为保障异构网络切换可靠性,列车切换接入请求也逐渐增多,因此LTE-R安全接入的通信开销和计算开销也随之增大。由图5(a)可见,随着掉话率的增加,EPS-AKA 在实测数据中计算开销最低,但其安全性在所有方法中也最低;本文方法计算开销较文献[9,13]低,因为本文方法采用量子密钥分发和少量的模指运算更新会话密钥,不仅保障了切换认证时传输信息的安全性,还降低了切换认证的计算开销。由图5(b)可见,EPS-AKA协议和文献[11]方法所需的通信开销较高,而本文方法通过量子密钥分发、哈希操作等运算实现了UE与目标移动授权实体之间的密钥协商,无需过多的信令交互,因而通信开销最低。

综上所述,由理论分析和朔黄铁路数据下对比分析可知,在高速列车进行异构网络之间的切换时,本文方法较比较方法,不仅具有更高的安全性能,而且在计算开销和通信开销方面也更低,更能满足高速铁路异构网路的安全切换需求。

4.4 QKD应用与可行性

量子通信技术在铁路通信系统中采用量子密钥分配方式[27],在铁路通信系统中,量子保密通信系统由量子密钥生成与管理设备和量子虚拟专用网(Virtual Private Network,VPN)设备组成。选择QKD作为密钥协商方式,既兼容了量子密钥和传统密钥,又使得量子密钥和传统密钥可以共同工作,即在车地通信使用量子密钥的同时不影响传统密钥的使用。从而,量子网络的融入,不会改变原有铁路通信系统的网络结构[27]。在高速铁路演进异构网络安全切换时,仅需在服务器端增加量子VPN设备和量子密钥生成与管理设备,即可通过QKD完成量子密钥协商,并替换原有的密钥进行通信。本文基于量子密钥分配的铁路异构网络通信架构见图6。

图6 基于量子密钥分配的铁路异构网络通信架构

图6中,通过在服务器或用户出口增加量子VPN、量子密钥生成与管理等设备完成量子密钥分发与协商。其中,量子交换机和量子密钥管理与生成是QKD设备,负责量子密钥的生成与转发;量子VPN网关则建立IPsec隧道,保证各类传输数据的安全[27]。异构网络中不同管理实体通过量子信道与经典信道进行车地认证与密钥协商时的信息传输,其中量子信道传输量子信号,而经典信道则用于传输车地认证信令等数据。通过使用图6所示的铁路异构网络通信架构,在铁路异构网络全切换时,首先使用量子密钥生成与管理终端设备进行量子密钥分配,得到共享密钥;其次量子VPN设备从量子密钥生产与管理终端中获取共享量子密钥,将切换时需要传输的数据进行加密后,再通过量子VPN设备建立的传输通道进行传输;最后接收方按照量子通信协议机制,使用量子协商密钥对接收的数据进行解密,从而实现车地通信的数据安全传输。在本文方法中,根据海森堡测不准原理和量子不可克隆定理[21],一旦攻击者对量子密钥进行截获或窃取等操作,量子态就会发生改变,合法的接收者通过量子态即可知道量子密钥是否被截获过。因此,在车地通信时使用量子密钥可以保障通信信息不会被他人所截获,具有更高的安全性和可靠性。

5 结论

在GSM-R向LTE-R演进过程中,异构网络的切换对于高速列车行车安全至关重要。本文提出一种基于量子密钥的高速铁路异构网络安全切换认证方法。根据异构网络切换安全性需求,分别设计了注册阶段、异构网络间准备阶段及异构网络间垂直切换认证阶段,最后进行了形式化安全性验证及比较分析。结果表明:

1)本文方法采用PASS和PID,在切换认证过程中实现了IMSI的机密性保护,能够抵抗重放、伪装用户等攻击,提高了车地通信的安全性。

2)采用量子密钥分发策略,在异构网络中实现了预认证,减少了切换通信延时,提高了高速铁路异构网络切换的实时性。

3)本文提出的量子密钥分发与哈希操作,完成了会话协商密钥的动态更新,实现了密钥前后向安全性,能够抵抗中间人等攻击,增强了异构网络间切换的安全性。

4)本文方法不仅在安全性能方面较优,而且具有较低的计算开销和通信开销,能够更好地满足GSM-R向LTE-R演进中异构网络切换安全性和实时性的需求。