基于代理签名的LTE-R安全认证

最新推荐文章于 2025-12-01 13:15:27 发布

原创最新推荐文章于 2025-12-01 13:15:27 发布 · 727 阅读

16 ·

CC 4.0 BY-SA版权

文章标签：

#LTE-R # 认证 # 代理签名 # 谜题机制 # ECC

高速铁路LTE‐R安全性提升：从接入认证的角度

摘要

安全性和效率是未来高速铁路实时传输列车控制信息的铁路长期演进（LTE‐R）的关键考虑因素。本文首先分析了LTE‐R接入认证协议的漏洞，然后提出了一种基于代理签名的认证方案，在不牺牲效率的前提下提升LTE‐R的安全性。所提方案包含三个主要安全机制：一种新颖的基于椭圆曲线密码系统的无证书代理签名（ECC‐CLPS），用于保障认证安全性；一种基于哈希函数的谜题机制，用于抵御拒绝服务（DoS）攻击；以及一种密钥预生成机制，用于提高快速切换认证的效率。
安全分析和性能仿真表明，该方案在安全性、功能、计算和通信开销方面优于现有的基于LTE的认证方案。此外，充分考虑了不同LTE‐R通信场景下的安全与高效认证需求，使该方案更适用于未来基于LTE‐R的高速铁路接入认证。

索引术语

LTE‐R，认证，椭圆曲线密码系统（ECC），无证书代理签名（CLPS），谜题机制，Scyther。

I. 引言

铁路运输系统已运营超过180年，因其可靠性高、成本低廉以及服务快捷，被认为是极具吸引力的交通方式[1]。随着铁路相关技术的快速发展，通过使用称为列车自动控制（ATC）的信号系统，铁路运营正日益自动化，ATC是保障列车运行安全的关键部分。目前，欧洲列车控制系统（ETCS）和中国列车控制系统（CTCS）已被采用为主流ATC系统可确保铁路运输运行的安全性和效率[2]。在ETCS‐2/CTCS‐3中，车载单元（OBU）通过铁路专用无线通信系统定期向地面无线闭塞中心（RBC）报告列车位置、列车速度和列车状态，并接收来自RBC的移动授权（MA），以持续监控列车位置和速度[3]。此外，在基于移动闭塞和车车通信的下一代列车控制系统（NGTCS）[4],中，专用无线通信的安全性更为关键。无线传输中的任何问题都可能严重威胁列车运行安全。因此，确保ATC相关信息的安全传输至关重要。

全球移动通信系统铁路应用（GSM‐R）已成为当前主流的铁路专用无线通信系统。它继承了GSM的结构，并增加了铁路专用功能，已在全球超过7万公里的铁路线路上广泛应用于ETCS‐2和CTCS‐3系统[5]。然而，GSM‐R是一种窄带通信技术，无法有效应对未来对通信能力持续增长的需求。此外，由于产品代际升级，设备供应商对GSM‐R的技术支持预计仅能维持到2030年。因此，需要一种新的通信技术来满足未来的运营需求，该技术需具备提供新型先进服务的能力，同时还能在较长时间内与GSM‐R共存。

基于长期演进技术（LTE）的宽带无线通信技术因其简单的扁平化架构、高吞吐量和低延迟等优势，被认为是未来承载实时高速铁路服务的一种公认可接受的传输方式。考虑到性能和技术成熟度，铁路LTE（LTE‐R）将成为国际铁路联盟（UIC）优先选择的方案之一。2015年8月，中国铁路总公司成立了“下一代铁路移动通信技术研究工作组”，正式启动LTE‐R的研发工作。2016年3月，LTE‐R系统相继在朔黄线和京沈线投入运营。尽管第五代（5G）系统在通信性能上优于LTE，但目前尚不具备直接应用于铁路的成熟条件[6]。在接下来的一段时间内，届时，LTE‐R很可能会成为未来铁路通信的主流标准。

LTE‐R为高速铁路通信提供了更高效的传输。然而，优势通常伴随着挑战。由于其基于IP的扁平化网络结构和前所未有的开放性，它更容易受到各种网络空间攻击，严重威胁数据传输的安全性。

为确保数据传输的安全性，欧洲铁路交通管理系统（ERTMS）定义了一种名为欧洲无线安全层（EuroRadio）[8]–[9]的安全通信协议。如图1的用户面所示，EuroRadio是位于LTE‐R与应用层之间的中间层协议。它采用密码学消息认证码（MAC）来保证无线闭塞中心（RBC）与车载单元（OBU）之间消息的真实性和完整性和。然而，研究发现EuroRadio的密码算法和密钥管理机制存在潜在漏洞[10]–[11]。例如，EuroRadio中使用的密码块链接消息认证码（CBC‐MAC）易受到密钥碰撞攻击。当前的离线密钥管理解在需要刷新或撤销EuroRadio使用的密钥时可能显得不切实际。此外，2017年，Chothia等[44]提出了一种针对EuroRadio协议的新碰撞攻击，并明确指出EuroRadio无法安全地用于比GSM‐R更快的传输协议。

演进型分组系统认证与密钥协商（EPS‐AKA）[12]是由第三代合作伙伴计划（3GPP）定义的标准LTE访问认证方案。它不仅生成用于分组数据汇聚协议（PDCP）的加密密钥KUPenc，以保护用户面/控制面的数据传输，还实现了车载单元（OBU）与演进型节点B（eNB）/移动性管理实体（MME）之间的相互认证。然而，该方案仍存在一系列安全漏洞和性能下降因素[13]–[16]（详见第二节）。此外，在高速铁路场景中，列车快速通过LTE‐R无线重叠区域，导致切换认证必须在极短时间内完成。而EPS‐AKA所采用的认证机制速度不足以保证较低的切换认证延迟。

高速移动的列车。因此，在LTE‐R中实现快速切换认证是必不可少的。

本文首先系统地分析了LTE/LTE‐R接入认证方案（包括EPS‐AKA）的漏洞，并总结了基于高速铁路LTE‐R在四种通信场景下的认证与密钥协商安全需求。然后，根据铁路通信特性提出了一种设计良好的接入认证方案。该方案的主要创新点如下：

为满足初始认证过程中的严格安全需求，提出了一种基于椭圆曲线密码系统的无证书代理签名（ECC‐CLPS）算法，该算法无需耗时的配对操作和MapToPoint函数。所设计的算法在计算效率上优于其他同类算法，且代理签名者无需持有公私钥对，从而简化了整个系统的复杂性。在随机预言模型下进行了安全证明，表明所提出的ECC‐CLPS算法针对I型和II型攻击者发起的自适应选择消息攻击具有存在不可伪造性（EUF‐CMA）。

受[40]和[41],的启发，我们在初始认证过程中提出了一种基于哈希的谜题机制，以防御拒绝服务攻击，通过迫使攻击者在生成大量恶意请求时消耗更多时间。该谜题机制具有以下特点：低成本生成与验证、内存占用小、可控生命周期和可控谜题难度。这些特性使得攻击者更难发起有效的拒绝服务攻击。

考虑到列车沿预定线路高速移动，我们利用密钥预生成技术和基于哈希的消息认证码（HMAC）的认证机制，以满足频繁切换认证的实时性要求。

安全性分析表明，所提出的认证方案不仅能够提供前向密钥保密性（KFS）/后向密钥保密性（KBS）、可追溯性具有指定验证者和不可否认性，同时还能抵抗各种攻击，如中间人（MitM）攻击、重放攻击、去同步攻击、拒绝服务攻击、密钥泄露冒充攻击以及临时私钥泄露攻击。性能仿真表明，与现有的LTE/LTE‐R认证方案相比，所提出的认证方案在通信和计算开销方面具有更优的性能。

本文的其余部分组织如下：第二节介绍预备知识。第三节介绍所提出的ECC‐CLPS方案。第四节详细描述访问认证方案。第五节和第六节分别展示安全性证明和性能分析。最后，第七节给出结论。

二、预备知识

A. LTE-R系统模型

LTE‐R是一种完全基于分组交换的无线通信系统，与GSM‐R相比，其网络架构更为扁平，网络组件更少。如图2所示，典型的LTE‐R系统由演进分组核心网（EPC）和演进的通用陆地无线接入网（E‐UTRAN）组成。EPC是一个全IP的分组交换网络，包含多个移动性管理实体（MME）、服务网关（S‐GW）和分组数据网络网关（P‐GW），以及一个称为归属用户服务器（HSS）的核心组件，HSS负责存储用户订阅信息，并为MME生成认证向量和安全性密钥。演进的通用陆地无线接入网（E‐UTRAN）由eNB组成，eNB与车载单元（OBU）进行通信。

为了确保LTE‐R的安全性，LTE‐R安全文档描述了LTE‐R网络提供的基本安全特性，包括非接入层（NAS）安全和接入层（AS）安全。NAS安全性为OBU与MME之间传输的NAS信令数据提供完整性和机密性保护，而AS安全性为OBU与eNB之间传输的RBC信令数据提供完整性和机密性保护。

示意图0

示意图1

B. LTE-R中的接入认证场景

图3展示了LTE‐R中的四种常见接入认证场景，包括初始认证、重新认证、MME间切换认证和MME内切换认证。

初始认证 ：在列车发车前，当OBU首次接入LTE‐R网络时，需要在OBU与MME/HSS之间执行初始认证。
重新认证 ：当OBU在同一个MME下停留较长时间后，再次请求接入网络或执行位置更新时，OBU与MME之间将执行重新认证。
MME间切换认证 ：当车载单元从源MME（S‐MME）移动到目标MME（T‐MME）时，车载单元与目标MME之间执行MME间切换认证。
MME内切换认证 ：当车载单元从同一移动性管理实体管辖范围内的源eNB（S‐eNB）移动到目标eNB（T‐eNB）时，车载单元与目标eNB之间执行MME内切换认证。

注意，切换认证是在通信切换之后执行的，通信切换建立了OBU与T‐eNB之间的无线通信链路。在此基础上，完成相互认证与密钥协商，为控制面数据（接入层信令）和用户面数据（列车控制消息和列车状态消息）提供机密性和完整性保护，这些数据通过OBU与T‐eNB之间的无线链路传输。

示意图2

C. LTE-R认证协议的缺陷（EPS-AKA）

在本节中，我们描述了EPS‐AKA中的缺陷及其对铁路通信构成的严重威胁。

1) EPS‐AKA 无法防止拒绝服务攻击

在某些情况下，当车载单元（OBU）首次接入LTE‐R执行初始认证时，国际移动用户识别码（IMSI）会以明文形式通过无线链路传输。攻击者可以使用基于LTE的IMSI捕获器[42]–[43]收集这些有效的IMSI。随后，攻击者冒充其他合法的车载单元（OBU）发起拒绝服务攻击。他/她通过运行在增强型移动设备上的自动化程序生成大量有效的RRC-Connection-Setup-Complete消息。对于每一条RRC-Connection-Setup-Complete消息，MME都会生成一条Authentication-Information-Requestmessage作为响应并发送给HSS。相应地，HSS必须为这些海量请求重复计算大量的认证向量，这是一个复杂且消耗资源的过程[16]。最终，计算资源的耗尽将导致HSS无法响应后续的合法消息请求。

尽管已提出一些方法试图通过保护IMSI传输来避免拒绝服务攻击，例如：假名[17],密钥标识符[18],对称加密[19]–[20],[26]和非对称加密[21]–[25],[27]。这些方案忽略了此类拒绝服务攻击的根本原因：攻击者所需付出的代价发起服务请求的成本远低于服务器响应的成本。有必要提出一种密码学方法来抵御拒绝服务攻击。

2) EPS‐AKA 缺乏前向密钥保密性

在EPS‐AKA中，K ∗ eN B是车载单元与目标eNB之间使用的密钥，该密钥由下一跳（NH）参数或当前活动的KeN B[12]推导而来。前者称为垂直密钥推导，后者称为水平密钥推导。

一旦处于非安全环境中的源eNB遭到破坏，攻击者可以通过伪造或拦截eNB之间的handover request消息，或MME发送给T‐eNB的S1 pathhandoveracknowledgment消息，干扰下一跳链式计数器（NCC）的同步过程。在这种情况下，T‐eNB的NCC值将失去同步，只能执行横向切换密钥推导，无法实现前向安全性，因此新的K ∗ eN B和K ∗ U Penc将容易被攻破。随后，攻击者可利用K ∗ UPenc伪造列车控制消息和列车状态消息。

有许多针对切换认证过程的改进[28]‐[33]，但大多数需要可信第三方（TTP）或相邻基站之间的安全通信链路。尽管[34]–[35]中的方案通过使用代理签名算法简化了切换认证过程，但在车载单元中的计算开销较高，降低了切换认证效率。

3) MME与HSS之间存在巨大开销

在EPS‐AKA中，MME使用由归属用户服务器生成的认证向量对车载单元进行认证。一旦本地MME中存储的认证向量耗尽，就需要从归属用户服务器请求新的一组认证向量，这会导致MME与归属用户服务器之间的通信带宽和信令开销产生巨大负担。在铁路通信中，由于列车高速移动导致的频繁重认证加剧了认证向量消耗。因此，MME需要频繁地向归属用户服务器请求新的认证向量，这比移动网络带来了更重的通信负担。为解决此问题，[18]中的方案通过本地MME生成认证向量以减轻MME与HSS在重新认证过程中的负担，但在初始认证和切换认证期间需要传输大量参数。随后，[22]中的作者提出了一种基于身份的密码系统的高效双方认证协议，该协议降低了本地服务器与远程服务器之间的通信负担。

D. 安全需求

前两个小节的分析结果如表I所示，从中可以看出，一个适用于LTE‐R场景的安全有效的接入认证方案应满足以下安全目标：

在车载单元与服务器端实体之间实现相互认证与密钥协商。
满足不同认证场景的安全性和实时性要求。
提供多种安全属性，例如KFS/KBS、消息完整性、可追溯性和不可否认性。
抵御各种恶意攻击，例如中间人攻击、重放攻击、去同步攻击、拒绝服务攻击、密钥泄露仿冒攻击以及临时私钥泄露攻击。

示意图3

示意图4

III. 提出的ECC‐CLPS

为了满足LTE‐R中的安全需求，我们提出了一种基于椭圆曲线密码系统的无证书代理签名方案（ECC‐CLPS），且不依赖任何双线性对运算。所提出的ECC‐CLPS实现了多种安全特性，如相互认证、不可否认性、IMSI保护等。此外，它解决了公钥基础设施（PKI）中的证书管理问题以及基于身份的加密（IBE）中的密钥托管问题。与现有方案不同，在我们的ECC‐CLPS中，即使没有公钥/私钥的实体也可以充当代理签名者，从而降低了系统复杂性和存储负担。所提出的ECC‐CLPS可在随机预言机模型下被证明是安全的。本文所使用的符号说明见表II。

所提出的ECC‐CLPS包含九个算法：初始化、部分私钥提取、设置秘密值、设置私钥、设置公钥、代理授权、授权验证、代理签名生成和代理签名验证。

初始化

给定安全性参数k，密钥生成中心（KGC）返回如下系统参数：
- 选择一个k位素数p，并生成元组{Fp，E/Fp，Gq，P}，其中E/Fp表示定义在素数有限域Fp上的椭圆曲线，Gq是E/Fp的一个循环子群，其生成元P的阶为q。
- 随机选取一个随机数s ∈ Z∗ q作为主私钥，并设置公钥P KK GC=s · P。
- 确定密码学哈希函数：H :{0, 1} ∗ → {0, 1} l，并发布系统参数 ={Fn，E(Fn)，Gq，P，P KKGC，H }。

设置秘密值

具有身份ID的用户随机选择tID作为其秘密值，并计算P PID=tID · P。

部分私钥提取

以元组(, s,P PID, ID)作为输入，KGC计算部分私钥dID如下：
- 选择一个随机数rID ∈Z ∗ q 并计算h0−ID=H (ID, RID, P PID)，其中RID = rID · P。
- 计算dID =(rID + s × h0 − ID)，并通过安全信道将元组(dID, RID)发送给用户。

设置私钥

给定元组(, dID, RID)和秘密值tID，具有身份ID的用户通过检查方程dID DIP ·(RD = ID h+ PK0−ID ·GC )是否成立来验证dK。如果该方程成立，用户将skID=(dID, tID)设置为私钥。

设置公钥

该算法以RID和P PID为输入，将pkID=(RID, P PID)设置为用户的公钥。

代理授权

输入原始签名者的身份IDOS、私钥skOS=(dOS，tOS)、从代理签名者处获得的APS以及包含身份信息和授权信息的授权书w后，原始签名者按如下方式生成授权 σ：
- 选择一个OS ∈Z q∗，并计算AOS=aOS ·P。
- 生成 σ=dOS×h1+ tOS×h2+aOS，其中h1=H (w, IDPS, AOS, APS)，h2=H (PPOS, AOS)。
- 将委托 =(w, σ, IDOS, AOS)发送给代理签名者。

授权验证

为了验证关于授权信息w的委托 σ，代理签名者检查方程 σ ·P=h1 ·(ROS+h0−OS ·PKK GC)+h2 ·PPOS+A OS是否成立。如果该方程成立，代理签名者计算代理签名密钥pskPS=(σ, aPS)，否则拒绝。

代理签名生成

对于消息m，拥有代理签名密钥pskPS的代理签名者执行以下操作：
- 选择b ∈Z∗ q并计算B = b · P。
- 计算e =(RV+ PPV+h0−V · PKKGC )，其中h0−V=H (IDV, RV, PPV)，V是指定的验证者。
- 计算(k1, k2) = b ·e。
- 计算CTO1= k1⊕ IDPS。
- 计算CTO2=[APS⊕(k1,k2)],[AOS⊕(k1,k2)]。
- 计算h3=H (m, IDPS, B)，h4=H (IDOS, APS, B)，S = σ ×h3+ aPS × h4+ b；
- 将代理签名 =(w, m, S, IDOS, CTO1, CTO2, B)发送给验证者。

代理签名验证

拥有元组(, skV, pkOS)后，验证者执行以下操作：
- 计算(k1, k2) =(dV+ tV) · B。
- 从CTO1, CTO2获取IDPS, APS, AOS。
- 计算h0−OS, h1, h2, h3, h4。
- 检查方程S · P =(h1 ×h3) ·(ROS+h0−OS · PKK GC)+(h2 ×h3) ·PPOS+h3 ·AOS+h4 ·APS+B是否成立。若相等则接受，否则拒绝。

正确性

ECC‐CLPS方案的正确性可验证如下：
S · P=(σ × h3+ aPS × h4+ b)· P
=[((rOS+ s × h0−OS)× h1+ tOS × h2+ aOS) × h3 +aPS × h4+ b]· P
=(h1 × h3) ·(ROS+ h0 −OS · P KK GC)+(h2 × h3) ·P POS+ h3 · A OS+ h4 · A PS+ B

IV. 提出的高效安全接入认证方案

A. 提出的接入认证协议概述

为确保LTE‐R中认证场景的安全性，我们提出了一种基于ECC‐CLPS的高效且安全的接入认证方案。在该认证方案中，设计了五个子协议：注册协议（RP）、初始认证协议（IAP）、重认证协议（RAP）、MME内切换认证协议（Intra‐HAP）以及MME间切换认证协议（Inter‐HAP）。各子协议所采用的主要技术如图4(A)所示，认证场景与各子协议之间的对应关系如图4(B)所示。初始阶段，密钥生成中心（KGC）执行系统初始化以生成系统参数。MME/HSS随机选择t∈Z ∗ q ，并结合从KGC获取的部分密钥r，生成私钥sk ==(d, t)和公钥pk ==(R, P P)，其中d ==(r +s ×H0(ID, R, P P))，R == r ×P，P P == t ×P。该系统初始化过程类似于常规的无证书协议，本文不再赘述。本方案中使用的符号说明见表II。

示意图5

B. 提出的接入认证方案

过程1：注册协议（RP）

在车载单元投入使用前，必须在归属用户服务器内执行注册协议。具体协议流程如下：

步骤1. 车载单元：
1) 随机选择aO ∈Z ∗ q ，并计算AO=aO·P。
2) 通过安全信道向归属用户服务器发送(IMSI, AO)。

步骤2. HSS:
1) 随机选择aH ∈Z q∗ ，并计算AH=aH·P。
2) 计算h1=哈希函数(w, IMSI , AH, AO)和h2=哈希函数(PPH, AH)。应注意w=IDH。
3) 计算 σ= dH ×h1+ tH ×h2+ aH。
4) 通过安全信道将(σ, IDH, AH)发送给车载单元。

步骤3。车载单元：
1) 验证是否 σ ·P=h1·(RH+H(IDH ,RH ,PPH)·PKK GC)+h2 ·PPH+A H。
2) 如果等式成立，则存储psk=(σ, aO)。否则，立即中止。

过程2：初始认证协议（IAP）

IAP主要发生在OBU fi 在启动后，rst接入网络。该方案利用所提出的ECC‐CLPS算法和基于谜题的技术[40]–[41]实现安全的相互认证，减少了参与实体的数量，并避免了与远程HSS通信所带来的高延迟问题。如图5所示，执行以下步骤。

步骤1. 车载单元：
1) 随机选择bO ∈Z q∗，并计算BO=bO·P。
2) 计算e =(RM+P PM+h0−M · PKKGC )，其中h 0−M=H (IDM, RM, P PM)，且(IDM, pkM)可从MME的广播中获取。
3) 计算(k1, k2) = bO ·e。
4) 计算CTO1=k1⊕IMSI。
5) 计算CTO2=[AO⊕(k1,k2)],[AH⊕(k1,k2)]。
6) 计算h3=H (m, IMSI, BO)，其中m=(T1,IDM,CTO1,CTO2)，T1为时间戳。
7) 计算h4=H (IDH, AO, BO)。
8) 计算S = σ × h3+ aO × h4+ bO。
9) 计算M=(IDH, m, S, BO)，MAC =H (M, T1)。
10) 向MME发送(M, MAC)。

步骤2 移动性管理实体：
1) 检查T1的新鲜性。如果已过期，则中止。
2) 如果MME过载（处于拒绝服务攻击下），则生成一个puzzle，否则跳转到步骤5。
3) 计算key=H(dM+ tM, Tnow)，其中Tnow每30∼60秒更新一次。
4) 计算puzzle=(MAC, prequire, H(MAC,prequire, key))，其中prequire是介于0和160之间的数。
5) 将puzzle发送给车载单元。

步骤3 车载单元：
1) 执行暴力破解以搜索解v，使得方程H(MAC, H(MAC, p require, Key) v)=(lef tprequire)0成立。这里(lef tprequire)0表示结果的左边prequire 位均为0。
2) 将(谜题机制, v)返回给移动性管理实体。

步骤4 移动性管理实体：
1) 检查H(消息认证码, prequire, 密钥)
2) 使用解v验证谜题机制。如果验证失败，移动性管理实体将中止此阶段。

步骤5 移动性管理实体：
1) 验证方程MAC = h0(M, T1)，若不成立则中止。
2) 计算(k1, k2) =(dM+tM) · BO。
3) 从CTO1, CTO2 获取IMSI, AO, AH。
4) 计算ppk =h1 ·(RH+H (IDH, RH, PPH) ·PKKGC )+h2 ·PPH+AH，其中 h1=H (IDH, IMSI, AH, AO)，且h2=H (PPH, AH)。
5) 验证方程S · P = h3 · ppk + h4 · AO+ BO，若不成立则中止。
6) 随机选择bM, GUTI, TID0,k0 ∈Z q∗。
7) 计算KASME =H1(bM ·BO, (dM+tM) · ( ppk +AO))，CK=H2(KASME, IMSI) 和IK =H3(KASME, IMSI)。
8) 将列车所属的eNB作为起点，创建一个包含沿列车运行方向的n个eNB的组。需要注意的是，这里的n个eNB属于同一个MME。然后，MME计算HK=H4(KASME, TID0,k0,n)，并执行如下操作：for(i = 1; i <= n;i ++) a. 计算TIDi=TID0 ⊕Hi 5(HK)。b. 计算keNBi=k0 ⊕Hi (HK)。c. 向第i个eNB发送(TIDi, keNBi)。
9) 生成新的时间戳T2。
10) 计算CTM=ECK(IMSI, GUTI, T2,TID0,k0)。
11) 存储(IMSI, GUTI, null, KASME, ppk,A0)。
12) 向OBU发送(CTM, BM)，其中BM=bM ·P。

步骤6 车载单元：
1) 计算KASME =H1(bO ·BM, (σ+aO) ·e)，以及 (CK, IK)。
2) 检查DCK(CTM) 的有效性。
3) 生成T3,，并计算macO= H (GUTI+1, T3, IK)，HK=H4( KASME, TID0,k0,n)。
4) 存储(GUTI, KASME, TID0,k0,n, HK)。
5) 向MME发送(macO, T3)。

步骤7. MME：
1) 验证T3 和macO，若不合法则中止。

过程3：重认证协议(RAP)

如图6所示，当OBU重新连接到网络并向MME进行自身认证时，将执行以下操作：

步骤1. 车载单元：
1) 生成T 1 ,并计算会话密钥=哈希函数2( KASME, 全局唯一终端标识)和身份密钥=哈希函数3( KASME, 全局唯一终端标识)。
2) 计算mac O= 哈希函数{v41 ’ (全局唯一终端标识, T1 ,身份密钥)。
3) 向移动性管理实体发送(mac O , T1 ,全局唯一终端标识)。

步骤2. 移动性管理实体：
1) 搜索GUTI以获取(IMSI，KASME，ppk，A0)。
2) 计算（会话密钥，身份密钥），并验证消息认证码 O、T1。若不合法则中止。
3) 随机选择全局唯一终端标识∗ ∈Z ∗ q ，并生成T2。
4) 计算CTM=ECK(全局唯一终端标识, 全局唯一终端标识 ∗, T2)。
5) 将(全局唯一终端标识, 空)更新为(全局唯一终端标识 ∗, 全局唯一终端标识)。
6) 向车载单元发送CTM。

步骤3。车载单元：
1) 验证T2和DCK(CTM)。若不合法则中止。
2) 更新(全局唯一终端标识 ∗)。

过程4：MME间切换认证协议（Inter-HAP）

当OBU即将离开MMES的管理域时，MMES将通知OBU执行Inter‐HAP。协议流程如图7所示，交互细节如下：

步骤1. 车载单元：
1) 生成T 1 ,并计算会话密钥=H2( KASME, 全局唯一终端标识)，身份密钥=H3( KASME, 全局唯一终端标识)。
2) 随机选择b O ∈Z ∗ q，并计算B O =b O ·P。
3) 计算消息认证码O =H(全局唯一终端标识, T 1 , BO , 身份密钥)。
4) 向MMES发送(消息认证码O, T1,全局唯一终端标识, BO)。

步骤2。MMES（源MME）：
1) 检查T1的新鲜性，并搜索GUT I以获取(IMSI, KASME, ppk, A0)。
2) 计算(会话密钥, 身份密钥)，并验证MACO。若不合法则中止。
3) 通过安全信道向 MMET发送(IMSI, BO, T2,ppk, A0)。

步骤3. 移动性管理实体T（目标MME）：
1) 随机选择全局唯一终端标识 ∗、bMMET、TID∗ 0、k∗ 0 ∈Z q∗，并生成T3。
2) 计算KA∗SME =H1(bMMET ·BO, (dMMET+tMMET)·( ppk +AO))、CK ∗=H2(KA∗SME, IMSI)、IK ∗=H3(KA∗SME, IMSI)。
3) 存储(IMSI, 全局唯一终端标识 ∗, 空, KA∗SME, ppk,A0)。
4) 创建一个包含n∗ eNBs的组。然后，MMET计算HK ∗=H4(KA∗SME, TID∗ 0, k∗ 0, n∗)，并执行如下操作：for(i = 1; i <= n∗;i ++) a. 计算TID∗ i=TID∗ 0 ⊕Hi 5(HK ∗)。 b. 计算k∗ eNBi =k∗ 0 ⊕Hi 5(HK ∗)。 c. 将(TID∗ i, k ∗ eNBi)发送给第i个eNB。
5) 计算CTMMMET =ECK(IMSI, 全局唯一终端标识 ∗,T3,TID∗ 0, k∗ 0)和BMMET=bMMET ·P 6) 通过安全信道将(CTMMMET,BMMET)发送给MMES。

Step4. 移动性管理实体S 从MMET接收消息(CTMME T, BMME T)，然后将其与pkMME T =(IDMME T,( RMME T, PPMME T))一起发送给车载单元。

Step5. OBU：
1) 计算KA∗SME =H1(bO ·BMMET, (σ+aO) ·(RMMET+PPMMET+h0−MMET ·PKK GC))，其中h0−MMET =H (IDMMET,R MMET,PPMMET)。
2) 计算会话密钥 ∗=H2(KASME,IMSI) 和身份密钥 ∗=H3(KASME,IMSI)。
3) 验证DCK ∗(CTMMMET) 和T3，若不合法则中止。
4) 更新(全局唯一终端标识 ∗, K ∗ ASME, TID∗ 0 ,k∗ 0 ,随机数∗,哈希密钥 ∗)。
5) 生成T4,并计算macO= H (全局唯一终端标识 ∗+ 1, T4,身份密钥 )。
6) 向MMET发送(macO, T4)。

步骤6. 移动性管理实体 T :
1) 验证T4 和mac O。如果它们不合法，则中止。

过程5：MME内切换认证协议（Intra-HAP）

当OBU移动到eNBi和eNBi+1之间的切换边界时，如图8所示，它将按如下方式执行Intra‐HAP：

步骤1。车载单元：
1) 计算TIDi+1=TID0 ⊕H5(H5i(HK))。
2) 计算keNBi+1=k0 ⊕H5(Hi 5(HK))。
3) 将Hi 5(HK) 更新为Hi+1 5(HK)。
4) 生成T1。
5) 计算macO= H (TIDi+1, T1, keNBi+1)。
6) 向eNBi+1发送(macO, T1, TIDi+1)。

步骤2. 演进型节点Bi+1:
1) 验证T1，若不合法则中止。
2) 在数据库中查找(TIDi+1, keNBi+1)。
3) 验证macO，若不合法则中止。
4) 生成时间戳T2。
5)
示意图6

示意图7

示意图8

示意图9

五、安全评估

在提出ECC‐CLPS的安全性分析之前，首先定义了对抗模型，然后提出了对我们访问认证方案的全面证明。

A. ECC-CLPS的对抗模型

在ECC‐CLPS方案中，存在两种具有不同能力的攻击者，如[36]–[37]中所定义：
- 攻击者AI充当不诚实用户。
- 攻击者AII充当恶意密钥生成中心。

ECC‐CLPS的详细攻击者模型可在补充文件中找到。

B. 所提ECC-CLPS方案的安全分析

1) 可验证性

ECC‐CLPS方案的可验证性可以通过第三节中的正确性来证明。

2) 不可伪造性

离散对数问题（DLP）：设G表示一个阶为q的循环群，P是G的生成元。给定(P, xP) ∈ G，其中x ∈ Zq是随机选取的，要求计算出x。算法A求解DLP的优势定义为
AdvDL P A (k)= Pr[A(P, x P)= x].

定理1。 如果存在一个攻击者AI在时间T内以优势 ε赢得游戏I，则所提出的ECC‐CLPS在适应性选择消息攻击下是存在不可伪造的（EUF‐CMA），那么存在一个算法C可以在时间T+(3qCU+ 3qD+4qP)× Ts内以概率≥[( 1− 1 q C +q D)] q D + q K×Succ E U F − I × 1 − C + CLPSCMA A qq D 求解DLP，其中Ts表示在G中进行一次标量点乘法所需的时间。

定理2。 如果存在一个攻击者AII在时间T内以优势 ε赢得游戏II，则所提出的ECC‐CLPS在自适应选择消息攻击下是存在不可伪造的（EUF‐CMA），此时存在一个算法C，能够在时间T(qqqP) Ts内以概率 ≥[(1 − 1 qC+qD)]qS+qK ×Succ E U − I D+ 4 D + 3 − × 1 qC+ CU+3 × FCL PSCMAAI q求解离散对数（DL）问题。

有关证明的详细信息可在补充文件中找到。

C. 所提认证方案的安全性分析

安全性分析基于Dolev‐Yao（DY）模型，其攻击者能力定义如下：
- 攻击者可以在不被协议主体察觉的情况下窃听通信网络中的所有消息。
- 攻击者可以在不被协议主体检测到的情况下，拦截并存储通信网络中的所有消息。
- 攻击者可以伪造消息。
- 攻击者可以发送消息。

在DY模型下，攻击者有能力控制整个网络。协议的整个执行过程可能暴露在攻击者的监视之下，且攻击者可以随时干扰或参与协议的执行。

基于DY模型，所提方案及其他现有方案的各项安全性和功能特性列于表III中。

显然，现有方案容易受到各种攻击。此外，它们无法支持由指定验证者进行的可追溯性，并且在MME与HSS之间的通信中带来巨大开销。所提方案提供了更强的安全性和更多的功能特性。以下是表III中几个重要安全特性的详细描述。

1) 相互认证

基于ECC‐CLPS和HMAC技术，可在IAP和Inter‐HAP中实现MME与车载单元（OBU）之间的相互认证。一方面，为了获得MME的认证，车载单元（OBU）需要使用代理签名进行计算代理私钥。然后，指定的合法MME可以通过使用其私钥解密（CTO1, CTO2）来验证签名的有效性。如第V‐B节所证明，只有拥有代理私钥的合法车载单元（OBU）才能生成有效的代理签名以通过MME的验证。因此，我们的方案能够过滤所有非法的车载单元（OBU）。另一方面，在签名验证之后，MME与车载单元（OBU）将通过椭圆曲线Diffie‐Hellman（ECDH）密钥协商协议生成一个根密钥KASME，该协议的输入为长期私钥、临时私钥以及MME/OBU的公钥。随后，车载单元（OBU）可通过验证由会话密钥CK加密的CTM的有效性来认证MME。最后，OBU将通过使用另一个衍生密钥IK计算HMAC，向MME发送确认消息。

基于HMAC和预共享密钥KASME，可在RAP中实现MME与车载单元（OBU）之间的相互认证。借助可动态更新的衍生密钥CK和IK，MME与车载单元（OBU）可通过macO和CTM轻松实现相互认证。类似地，Intra‐HAP中eNB与车载单元（OBU）之间的相互认证也是基于HMAC和由哈希链算法生成的预共享密钥KeNB实现的，该密钥的输入为(H K, k0)。

此外，上述所有认证机制均引入了时间戳以确保信息的新鲜性。综上所述，所有提出的协议均实现了相互认证，并能有效抵抗中间人攻击、重放攻击和失步攻击。

2) 抗拒绝服务攻击

当攻击者持续向MME/HSS发送大量虚假认证消息时，当前认证方案中HSS的计算资源和通信带宽将被耗尽。这一问题在基于公钥密码系统的方案中尤为严重，因为服务器验证认证请求的成本远高于攻击者生成虚假请求的成本。在我们的方案中，引入了谜题机制来应对拒绝服务攻击。与[40],中提到的卡方检测和欧氏检测不同，所提出的谜题是一种密码学方法。该谜题的核心思想是，服务器执行生成和验证操作应较为容易，而用户计算相应解则应具有一定难度。谜题机制已被证明是在网络协议尤其是认证协议中抵御拒绝服务攻击的有效手段[40]–[41]。

受[40]–[41],中思想的启发，在初始认证过程中提出了一种基于哈希的谜题机制，以防御拒绝服务攻击。所提出的谜题具有以下特性：低成本生成与验证、小内存占用、可控生命周期和可控谜题难度。这些特性使得攻击者更难发起有效的拒绝服务攻击。生成谜题的公式如下：
谜题机制=(消息认证码, pre q uire,哈希函数(消息认证码, pre q uire, 密钥))，其中密钥=哈希函数 (dM+ t M , Tno w)。
Tnow 是一个每隔 30∼60秒更新一次的时间戳，用于应对重放攻击，(dM , tM) 是移动性管理实体的长期私钥，p re q uire 是谜题机制的难度程度。为了接入服务器，车载单元需要执行通过暴力破解搜索解v，使得方程Hash(MAC, H(MAC, p require, key), v)=(lef tprequire)0 成立。生成或验证一个谜题仅需一次哈希操作，而求解该谜题则需要 2prequire次哈希操作。从图9可以看出，随着prequire的增加，验证和生成谜题的成本远低于求解谜题的成本。因此，在IAP中引入谜题机制使得攻击者难以发起有效的拒绝服务攻击。

IAP主要发生在OBU启动后首次接入网络时。在I AP中完成安全认证后，MME在后续的认证场景（即 RAP、Inter‐HAP、Intra‐HAP）中将使用从IAP获取的密钥，仅通过一次哈希操作即可检测OBU的合法性。因此，无需在其他子协议中引入谜题机制。

3) 基于指定验证者的IMSI保护与可追溯性

在IAP中，IM SI将通过(k1, k2)进行保护，该值仅能由指定MME计算得出。在其他认证过程中，IM SI将被随机选择的一次性假名替代（例如OBU与MME之间使用的全局唯一终端标识，OBU与eNB之间使用的T ID），以确保其安全性。为实现可信实体的可追溯性，只有指定MME才能使用其私钥解密(CTO1, CTO2)以获取IM SI，从而防止IM SI被他人滥用。

4) 不可否认性

从第五节B部分对不可伪造性的证明可知，只有合法的代理签名者（即OBU）才能生成可由移动性管理实体成功验证的有效代理签名，因此OBU无法否认其自身发起的接入请求。

5) 抵抗密钥泄露冒充攻击和临时私钥泄露攻击

在所提方案中，最重要的密钥是KASME=H1((bO ×bM) · P(skM × skO) · P)，该密钥在IAP和Inter‐HAP中生成。假设攻击者获取了某参与方的私钥并试图计算正确的共享密钥，则攻击者必须求解计算性Diffie‐Hellman问题（CDH），而这是一个非确定性多项式（NP）问题。因此，所提方案能够抵抗密钥妥协冒充攻击。类似地，所提方案也能抵抗临时私钥泄露攻击。

6) KFS/KBS

在所提方案中，非接入层密钥KASME =H1((bO ×bM) ·P, (skM ×skO) ·P) 和接入层密钥keNBi=k0 ⊕Hi 5(HK) 是在密钥协商过程中生成的。即使当前的KASME /keNBi 被泄露，攻击者也无法获取任何秘密参数（例如bO、bM、skO、skM、k0,H K）来计算之前的KASME /keNBi−1 或后续的KASME /keNBi+1。

7) 形式化验证

形式化验证技术是衡量协议安全性和可靠性的重要手段。作为最流行的自动化形式化验证工具之一，Scyther被安全与隐私领域的研究人员广泛用于分析、证明和验证认证方案的可靠性和安全性。为了证明理论分析的正确性，我们使用Scyther所采用的安全协议描述语言（SPDL）来描述所提方案，以验证认证框架。其中有五个角色术语需要考虑（车载单元、源eNB、目标 eNB、源MME（源MME）、目标MME（目标MME））。为了检测重放、反射和中间人攻击，我们在Dolev‐Yao对抗模型中采用了包括存活、弱同意、Niagree和 Nisynch在内的认证声明。根据图10中Scyther的验证结果，所有状态和注释均为“OK”，这意味着形式化验证工具未发现任何攻击。

示意图10

六、性能分析

本节提供了我们的协议与多个协议的性能比较。由于目前专注于LTE‐R并实现NAS安全性（OBU与MME之间的安全性）的协议较少，同时对AS安全（OBU与eNB之间的安全性）进行了模拟，我们分别对比了本方案与现有LTE中NAS协议（EPS‐AKA，[24]–[27]）和AS协议（EPS‐AKA，[27],[34]– [35]）的性能。

A. 计算成本

为了评估所提方案的计算开销，进行了实验以比较本方案与其他相关工作的计算时间。设TM、TH、TPM和TS分别表示执行模幂运算、单向哈希函数、椭圆曲线点乘法和对称加密/解密所需的时间。表IV显示了在赛扬1.1 GHz处理器（作为OBU）和双核2.6 GHz处理器（作为 MME/HSS/eNB）上单独运行不同密码学操作所需的近似时间[34]。

表V总结了所提出的NAS协议（IAP、RAP、Inter‐HAP）与现有方案[24]–[27]在密码学操作方面的计算开销，以及使用表IV提供的数值计算出的近似时间，而当a= 10,20,30 和 n= 20时的比较结果如图11所示。

从表V和图11可以看出以下事实：
1）所提出的RAP比现有方案需要更少的计算开销，因此可以减少由频繁位置更新引起的计算开销。
2）IAP和Inter‐HAP需要更多的计算开销由于引入了ECC‐CLPS，从而提供了更高的安全保障并简化了认证流程。幸运的是，IAP仅在OBU启动后首次接入网络时执行，并且在整个行程中只需运行一次；而 Inter‐HAP是一种预处理协议，可在列车到达切换边界前完成，不会给列车带来较大的计算负担。
3) 只有所提方案能够在无需HSS参与的情况下实现OBU与MME之间的相互认证。

在MME内切换认证阶段（eNB之间），所提出的 Intra‐HAP在OBU侧需要3TH，在eNB侧需要2TH 。在表VI和图12中，我们将所提出的Intra‐HAP与其他相关方案EPS‐AKA、[27],[34]–[35]的计算开销进行了比较，结果明显表明，所提出的MME内切换认证方案性能优于其他方案。

从上述分析可以得出，为了满足铁路通信系统对高安全性的要求，在所提出的IAP中引入了ECC‐CLPS和基于哈希的谜题机制，以实现相互认证与密钥协商。尽管IAP的计算开销较高，但该过程仅在列车启动后首次接入网络时执行，因此有足够的时间完成该过程。同时，针对列车运行过程中频繁的重新认证和切换认证过程，设计了一种基于哈希算法的快速认证方案。该方案性能优于现有方案，能够满足铁路通信系统对实时性的要求。

示意图11

示意图12

B. 通信开销

所提方案的通信开销被分析，并与其他方案（EPS‐AKA、[24]–[27],[34]–[35]）进行了比较。假设车载单元与eNB之间认证消息传递的代价为 α单位，eNB与移动性管理实体之间的代价为 β单位，n个eNB之间的代价为 γ单位，MME之间的成本为 δ单位，MME与HSS之间的成本为 ε单位。由于MME距离eNB较远，因此有 0< α ≈ γ< β。通常情况下，在LTE‐R中，成本 δ高于 β，但低于 ε[34]。

如表VII所示，通过引入ECC‐CLPS算法、临时身份机制和密钥预生成技术，协议流程的复杂性得以简化，协议交互次数减少，避免了MME与HSS之间的通信。所提方案具有更好的通信性能。在铁路通信系统中，通信延迟通常大于计算时间，减少通信次数可有效提高认证效率。所提方案交互次数更少，更适合铁路通信。

C. 基于哈希的谜题的性能评估

为了抵御拒绝服务攻击，我们设计了一种基于谜题机制的抗拒绝服务模块，该机制已被证明是一种能够有效抵御拒绝服务攻击的密码算法[40]–[41]。参考[40],，我们采用接入请求的服务拒绝率来衡量缓解拒绝服务攻击的能力，服务拒绝率越低，表示抗拒绝服务攻击能力越强。通常存在两类拒绝服务攻击者，分别表示为A0（具有高上行数据速率以接入网络）和A1（除接入数据速率外，还具有极强的计算能力）。

在上行峰值数据速率（UPDR）为10兆比特每秒的LTE‐R网络中，当遭受A0发起的拒绝服务攻击时，EPS‐AKA的接入请求服务拒绝率为99.22%，而IAP为0%。在此情况下，EPS‐AKA的平均初始认证时间为128.21秒，而IAP仅为49.84毫秒。所提出的IAP对策比EPS‐AKA快2572倍。

在由A1发起的拒绝服务攻击下，尽管其具有相同的 LTE‐R上行峰值数据速率，但由于具备极强的计算能力，所提出的IAP通过增加x的值来增强抗拒绝服务攻击能力。当x =12时，只要攻击者的计算能力不超过移动性管理实体的 13.43倍，服务器即可立即响应合法接入请求，且IAP的初始认证时间为157.49（ms）。当x=20时，只要攻击者的计算能力不超过超过MME的3438.28倍（这对攻击者来说是一个非常强的算力假设）时，合法接入请求仍能立即得到响应，且初始认证时间为37.34（s）。然而，对于EPS‐AKA，无论 x为何值，其认证时间始终为128.21（s）。

上述认证时间表明，在拒绝服务攻击下，EPS‐AKA 将失败，而我们所提方案即使在攻击者具有极强计算能力的假设下，也能有效缓解拒绝服务攻击。

D. 仿真

根据上述计算指标，对列车运行1800公里进行了仿真。假设eNB之间的距离为3公里，MME之间的距离为300公里。列车以350公里/小时的速度运行，每6秒执行一次位置更新。对于EPS‐AKA，初始认证协议中生成的认证向量数量[34]和[35],为20。性能仿真结果如图13所示。

如图13所示，尽管IAP和Inter‐HAP协议的计算开销高于EPS‐AKA，但IAP协议仅在列车启动前执行一次（见图13(A)，此时距离为0 km），而Inter‐HAP仅在MME切换时才需要执行（见图13(B)，此时距离为300 km）。在其他时间，所提方案只需执行比其他方案更高效的RAP和 Intra‐HAP。因此，从图13(C)中整个仿真过程的累积计算开销来看，所提方案具有更好的实时性能。

示意图13

七、结论

本文基于ECC‐CLPS算法、基于哈希的谜题和密钥预生成技术，针对LTE‐R中不同场景的认证需求，设计了一种良好的接入认证方案。该形式化与非形式化安全分析表明，所提方案有效提供了多种安全特性，包括相互认证和抗拒绝服务攻击等。我们还证明了所设计的ECC‐CLPS算法在面对I型和II型对手发起的自适应选择消息攻击时具有存在不可伪造性。在性能分析中，我们从计算和通信开销方面将所提方案与现有的 LTE/LTE‐R认证方案进行了比较。理论分析和数值仿真结果表明，所提方案是提升LTE‐R接入认证安全性的一种可行解决方案。