5G网络认证与密钥协商协议的形式化验证与分析

网络攻击的手段层出不穷,如中间人攻击,重放攻击, DoS攻击等,以此获取不当利益.密钥协商协议的设立是为合法用户提供正确认证入口,并拒绝攻击者的非法接入和攻击.密钥协商协议是保护移动通信提高服务质量的第一道安全防线, 5G网络密钥协商协议在实际环境中仍然存在安全隐患,其协议本身的安全特性能否满足要求仍未可知,本文提出使用基于概率模型检测的方法,通过对5G网络密钥协商协议的各协议方实体进行建模,建立离散时间马尔科夫链模型,在建模过程中考虑外界的攻击影响,引入攻击率来描述外界的影响程度,通过攻击率对5G网络密钥协商协议的研究进行定量分析,使用概率计算树逻辑对待验属性规约进行编码描述,利用概率模型检测工具PRISM进行实验.实验结果表明:在引入攻击率的5G网络密钥协商协议模型中, 5G网络密钥协商协议各协议方实体所受攻击的影响对该协议的时延性,有效性,保密性等属性规约的性能有不同程度的影响,因此,研究外界网络攻击对协议的安全性能的影响,对加强协议安全性能及其改进具有一定借鉴意义,并对5G网络密钥协商协议的安全特性的提升和保护用户的经济与信息安全具有很大的意义.     

一个切换认证的5G鉴权协议及其形式化分析

随着移动通信的发展,迎来了第5代移动通信技术(5G). 5G认证与密钥协商(5G authentication and key agreement, 5G-AKA)协议的提出主要是为了实现用户和服务网络的双向鉴权.然而,最近的研究认为其可能会遭受信息破译和消息重放攻击.同时,发现当前5G-AKA的一些变种不能满足协议的无连接性.针对上述缺陷,提出一个改进方案:SM-AKA. SM-AKA由两个并行子协议组成,通过巧妙的模式切换使更加轻量的子协议(GUTI子模块)被频繁采用,而另一个子协议(SUPI子模块)则主要用于异常发生时的鉴权.依据这种机制,它不仅实现用户和归属网之间的高效认证,还能提升鉴权的稳定性.此外,变量的新鲜性也得到有效维持,可以防止消息的重放,而严格的加解密方式进一步提升协议的安全性.最后,对SM-AKA展开完整的评估,通过形式建模、攻击假定和Tamarin推导,证明该方案可以达到鉴权和隐私目标,而理论分析部分也论证了协议性能上的优势.     

基于双线性对的WSN密钥协商和认证协议

无线传感器网络(WSN)节点在电源、计算能力和内存容量等方面存在局限性,且面临的安全威胁更复杂。为此,提出一种适用于类LEACH路由的WSN密钥协商和认证协议。通过引入当前轮数,实现节点间的双向身份认证,以抵御选择性转发、Sybil和Hello泛洪等常见攻击。利用ID和双线性对原理生成节点间的动态会话密钥,从而减少节点间的交互步骤,降低能耗。SVO逻辑推理和性能分析结果表明,该协议同时满足安全性要求和WSN的特殊应用要求。     

基于身份的认证密钥协商协议的改进

针对已有的基于身份的认证密钥协商协议存在的安全问题,提出一种改进的基于身份的认证密钥协商协议。该协议采用双线性对运算方法,用户双方的临时和长期私钥结合进行最终会话密钥的计算,解决了原协议中存在的PKG前向安全性问题、单一依赖临时或长期私钥而存在的问题和已知临时会话密钥泄漏攻击的问题。在保证改进协议正确基础上,对协议的安全属性及协议性能进行了分析。采用SVO逻辑对协议进行形式化分析,验证了改进协议的认证性和安全性。结果表明,改进的协议满足基于身份认证密钥协商协议的所有安全性要求,与已有基于身份的认证密钥协商协议相比具有更好的安全属性及计算效率。     

基于无证书的两方认证密钥协商协议

基于椭圆曲线上离散对数问题、双线性对映射和CDH假设,提出新的基于无证书的两方认证密钥协商协议,解决了基于身份的公钥密码方案中固有的密钥托管问题,实现了对通信双方的身份验证,防止了主动攻击。最后,分析协议的正确性,应用pi演算对协议进行形式化分析,借助Pro Verif工具验证了协议的安全性。与其它两方密钥协商协议性能相比。安全性和效率都更好。     

基于HMAC的认证与密钥协商协议

针对Wang方案的安全漏洞,论文提出一个基于HMAC的认证与密钥协商协议.该协议仅使用HMAC函数,降低了对物联网体系结构中终端设备的运算和存储能力的要求.安全性与性能分析结果表明,该协议可有效抵抗假冒攻击、重传攻击等常见攻击,并完成双方认证与信息安全地传输.     

3GPP认证与密钥协商协议安全性分析

通用移动通信系统采用3GPP认证与密钥协商协议作为其安全框架,该协议对GSM存在的安全隐患作了有效的改进.对3GPP认证与密钥协商协议进行安全性研究,分析其容易遭受4种类型攻击方式.为了解决上述存在的安全隐患,提出在位置更新与位置不变两种情况下的基于公钥密码学的认证与密钥协商协议,采用形式化的分析方式证明了所提出算法的安全性,并将该协议与已有协议在安全性方面进行了比较.结果显示,所提出的协议算法能够极大地增强3GPP认证与密钥协商协议的安全性.     

3GPP认证与密钥协商协议安全性分析

通用移动通信系统采用3GPP认证与密钥协商协议作为其安全框架,该协议对GSM存在的安全隐患作了有效的改进.对3GPP认证与密钥协商协议进行安全性研究,分析其容易遭受4种类型攻击方式.为了解决上述存在的安全隐患,提出在位置更新与位置不变两种情况下的基于公钥密码学的认证与密钥协商协议,采用形式化的分析方式证明了所提出算法的安全性,并将该协议与已有协议在安全性方面进行了比较.结果显示,所提出的协议算法能够极大地增强3GPP认证与密钥协商协议的安全性.     

面向无人机通信的认证和密钥协商协议

针对无人机通信中密钥配置的安全性和轻量化需求,面向不同计算性能的无人机系统分别提出了基于椭圆曲线密码算法的认证和密钥协商协议DroneSec,以及基于对称密码算法的认证和密钥协商协议DroneSec-lite。所提协议实现了无人机和地面站之间的双向身份认证和通信密钥配置功能,其中DroneSec协议通过结合使用ECDH(Elliptic-Curve Diffie-Hellman)和消息认证码,在保证前向安全性的情况下减小了计算开销,适用于较高性能的计算平台;DroneSec-lite协议仅使用了对称密码算法,因而计算开销极低,适用于低性能平台。使用安全协议形式化验证工具ProVerif验证了协议在加强的Dolve-Yao威胁模型下进行双向认证和密钥配置的安全性,并通过仿真环境实验对协议的性能进行了对比测试和分析。结果显示,协议的计算、通信开销和安全性优于已有协议。     

基于WLAN的域间认证和密钥协商协议

根据无线用户访问对象的不同,分别提出了无线用户和本地域及异地域之间的双向认证协议,包含了用于后续通信的会话密钥协商,具有较好的安全性.协议引入了别名机制,防止了用户信息的泄漏,算法主要涉及对称加密和散列函数计算,相比公钥体制具有更小的计算开销,较适合无线设备.     

基于公钥体制的3GPP认证与密钥协商协议

对比了第三代移动通信系统中的认证与密钥协商协议,分析了第三代合作伙伴计划(3GPP)最新发布的系统架构演进(SAE) Re1ease 8标准的认证与密钥协商协议,指出了协议中存在的几个安全缺陷。针对协议的安全缺陷,结合公钥密码体制提出一种改进的3GPP SAE认证与密钥协商协议。改进协议利用公钥加密机制保护用户身份信息和网络域的用户认证向量,采用动态随机数方式生成本地认证中需要的密钥。对改进协议进行安全和效率分析的结果表明,该协议可以有效解决上述安全缺陷,能以较少的资源开销获取安全性能的提升。     

三因子匿名认证与密钥协商协议

为确保通信双方的信息安全,很多认证与密钥协商（AKA）协议被提出并应用于实际场景中。然而现有三因子协议都存在安全漏洞,如易受智能卡丢失攻击、口令猜测攻击等,有的更是忽略了匿名性。针对上述问题提出了一种三因子匿名认证与密钥协商协议。该协议通过融合智能卡、口令和生物认证技术,并增加口令与生物特征更新阶段以及智能卡更新分配阶段,并利用椭圆曲线上的计算性Diffie-Hellman（CDH）假设进行信息交互,来实现安全通信。在随机预言机模型下证明了所提协议的安全性。与同类协议进行对比分析的结果表明,所提协议能有效防范智能卡丢失攻击、重放攻击等多种攻击,实现了匿名性、口令自由更新等更全面的功能,且具有较高的计算和通信效率。     

基于NTRU的3G移动通信认证和密钥分配方案

指出3GPP提出的3G认证和密钥分配方案存在的安全漏洞。针对存在安全问题提出一个基于NTRU公钥密码体制的3G认证和密钥分配方案,该方案中将原认证和分配方案进行明文传输的身份信息与各安全参数用NTRU公钥加密算法进行加密保护,防止了恶意攻击者对身份信息以及安全参数的伪造与篡改,提高了认证和密钥分配方案的安全性和可靠性。同时该方案保持了原认证方案的结构模式,易于从原方案进行扩展实现。由于NTRU公钥密码方案在计算开销和带宽开销上的优势,使得该方案能在计算资源与存储资源都相对有限的移动通信网络环境下实现。     

基于口令的远程身份认证及密钥协商协议

基于口令的身份认证协议是研究的热点。分析了一个低开销的基于随机数的远程身份认证协议的安全性,指出了该协议的安全缺陷。构造了一个基于随机数和Hash函数、使用智能卡的远程身份认证和密钥协商协议：PUAKP协议。该协议使用随机数,避免了使用时戳带来的重放攻击的潜在风险。该协议允许用户自主选择和更改口令,实现了双向认证,有较小的计算开销;能够抵御中间人攻击;具有口令错误敏感性、口令的主机非透明性和强安全修复性;生成的会话密钥具有新鲜性、机密性、已知密钥安全性和前向安全性。     

边缘计算环境下基于区块链的跨域认证与密钥协商协议

身份认证与密钥协商是接入物联网首先要考虑的安全问题.传统的物联网身份认证是基于"云中心-终端设备"的认证架构.而随着边缘计算技术的引入,认证架构转变为"边缘设备-终端设备"的架构,传统的认证方式不再适用.此外,物联网中存在多个通信域,不同域中的设备之间需要进行跨域间认证与密钥协商.针对以上问题,本文设计了边缘计算环境下...     

3G认证与密钥分配协议的改进

为保证数据传输的安全性,该协议实现网络和用户之间的双向认证,增加数据完整性的验证防止对信息的篡改,在认证今牌AUTN中包括序列号SQN确保认证过程的最新性,防止重放攻击;然而认证过程却假定HLR／AUC和VLR／SGSN之间的内部系统链路足够安全,该假设导致该链路上的数据易被窃听,针对此缺陷提出了基于VLR和HLR之间共享秘密密钥的认证与密钥分配协议,实现HLR对VLR认证,保证VLR和HLR之间认证向量传输的安全性。     

鲁棒且高效的远程认证及密钥协商协议

由于口令容易记忆,基于口令的认证协议已被广泛采用于各种网络服务中。然而由于口令的低熵性导致了基于口令的认证协议易遭受到各种攻击。2011年,Islam等(ISLAM SK H, BISWAS G P. Improved remote login scheme based on ECC. IEEE-International Conference on Recent Trends in Information Technology. Washington, DC: IEEE Computer Society, 2011： 1221-1226)提出一种改进的基于椭圆曲线的远程登录协议,该协议存在着被盗校验子攻击和客户身份冒充攻击,同时并未能提供双向认证。为了解决此类问题提出了一种基于椭圆曲线的远程认证和密钥协商协议(RAKA),RAKA基于椭圆曲线离散对数难题,在执行过程中只需做6次点乘运算和7次哈希运算,比Islam等协议少用1次点乘运算,协议效率提高约15%,是一种比Islam等协议更安全、高效的协议。     

基于认证测试方法的EAP-AKA协议分析

EAP-AKA(Extensible Authentication Protocol-Authentication and Key Agreement)是WLAN的认证和密钥分配协议;认证测试是一种以串空间理论为基础的安全协议分析验证方法。运用认证测试方法对EAP-AKA协议的双向身份认证过程进行了分析证明,结果说明EAP-AKA能够保证移动终端和认证服务器之间的双向认证。     

一种移动环境下的基于身份的端到端认证和密钥协商协议

在现有移动通信终端和服务器安全认证方案的基础上,结合椭圆曲线密码算法提出一种新的基于身份的端到端认证协议。该协议既提供了安全双向认证和密钥协商功能,又极大地适应了移动终端的计算能力,降低了安全系统的复杂性,为端到端加密在移动通信系统中的大规模应用提供了基础。     

WMN中基于轻量级CA的双向认证和密钥协商协议

针对无线Mesh网节点间认证过程复杂,效率低的问题,提出一种新的无线Mesh网双向认证和密钥协商协议。该协议使用椭圆曲线密码算法并结合轻量级CA公钥认证机制,降低了认证过程中的计算和通信开销。采用BAN逻辑对该协议进行形式化有效性验证,并对其安全性和性能进行分析,结果表明该协议具有较高的安全性和较高的通信效率。