基于位置密鑰的增強(qiáng)型北斗用戶設(shè)備接入認(rèn)證協(xié)議

曹進(jìn)，卜秋雨，楊元元，李暉，劉樵，馬懋德

（1.西安電子科技大學(xué)網(wǎng)絡(luò)與信息安全學(xué)院，陜西 西安 710071；2.卡塔爾大學(xué)工程學(xué)院，多哈 999043）

0 引言

隨著地面5G 移動通信技術(shù)的快速發(fā)展，人們對面向6G 的未來通信場景提出了更高要求。作為地面通信網(wǎng)絡(luò)的補(bǔ)充，衛(wèi)星網(wǎng)絡(luò)因其覆蓋范圍廣、吞吐量大、部署靈活等特點(diǎn)受到人們的廣泛關(guān)注[1]。利用衛(wèi)星網(wǎng)絡(luò)保障用戶設(shè)備在偏遠(yuǎn)山區(qū)、荒漠遠(yuǎn)洋等地的安全接入，為電力勘測、應(yīng)急救援等領(lǐng)域提供了技術(shù)上的支撐，有利于促進(jìn)天地一體化信息網(wǎng)絡(luò)的高度融合與深度互聯(lián)[2-3]。

北斗導(dǎo)航衛(wèi)星系統(tǒng)由我國自主研制，是繼美國的GPS、俄羅斯的GLONASS 之后第三個成熟、獨(dú)立的衛(wèi)星導(dǎo)航系統(tǒng)，是我國重要的空間基礎(chǔ)設(shè)施[4]。其中，北斗三號衛(wèi)星導(dǎo)航系統(tǒng)由24 顆中地球軌道（MEO,middle earth orbit）衛(wèi)星、3 顆地球靜止軌道（GEO,geostationary earth orbit）衛(wèi)星、3 顆傾斜地球同步軌道（IGSO,inclined geosynchronous orbit）衛(wèi)星構(gòu)成。MEO 衛(wèi)星主要負(fù)責(zé)提供全球范圍內(nèi)的定位導(dǎo)航、國際搜救、短報(bào)文通信等服務(wù)；GEO 衛(wèi)星主要提供區(qū)域性的精密授時、位置報(bào)告等功能；IGSO 衛(wèi)星可以對GEO 衛(wèi)星進(jìn)行區(qū)域互補(bǔ)[5]。

近年來，隨著信息網(wǎng)絡(luò)的快速發(fā)展，衛(wèi)星網(wǎng)絡(luò)的用戶設(shè)備接入認(rèn)證協(xié)議逐漸受到研究人員的關(guān)注。然而衛(wèi)星通信具有網(wǎng)絡(luò)拓?fù)漕l繁變化、衛(wèi)星節(jié)點(diǎn)計(jì)算和存儲能力受限等特點(diǎn)。除此以外，天地一體化信息網(wǎng)絡(luò)容易受到敵手蓄意攻擊和破壞。因此傳統(tǒng)地面通信網(wǎng)絡(luò)等接入認(rèn)證協(xié)議難以適用于衛(wèi)星網(wǎng)絡(luò)[6]。綜上所述，構(gòu)建天地一體化信息網(wǎng)絡(luò)的接入認(rèn)證架構(gòu)的重要性不言而喻。

用戶設(shè)備-衛(wèi)星-地面控制中心是傳統(tǒng)用戶設(shè)備接入認(rèn)證的常見架構(gòu)，根據(jù)采用的密碼技術(shù)的不同，可以將其分為基于公鑰密碼、對稱密碼和輕量級算法的接入認(rèn)證機(jī)制。

在基于公鑰密碼的接入認(rèn)證機(jī)制中，Xue 等[7]提出了一種基于公鑰密碼算法的衛(wèi)星用戶設(shè)備接入認(rèn)證協(xié)議，在該協(xié)議中僅需要三次的星地交互即可完成用戶設(shè)備和地面控制中心的雙向認(rèn)證，降低了信令開銷，但是協(xié)議中進(jìn)行了大量的點(diǎn)乘操作，增大了計(jì)算開銷。Liu 等[8]提出了一種針對不同服務(wù)類型、服務(wù)場景的用戶設(shè)備接入認(rèn)證協(xié)議，通過少量的信令交互即可完成雙向認(rèn)證和密鑰協(xié)商；然而在用戶設(shè)備的接入認(rèn)證過程中，大量的簽名和驗(yàn)簽操作導(dǎo)致計(jì)算開銷巨大，難以適用于計(jì)算資源受限的衛(wèi)星網(wǎng)絡(luò)。馬軍等[9]指出現(xiàn)有的北斗接入認(rèn)證采用RSA 算法，導(dǎo)致認(rèn)證時延較長，因此他們提出了一種基于SM2 算法的接入認(rèn)證協(xié)議，認(rèn)證所需的存儲空間較小、密鑰生成速度快，降低了用戶設(shè)備在接入認(rèn)證過程中的認(rèn)證時延。李昊鵬等[10]和趙東昊等[11]提出了在接入認(rèn)證過程中加入位置信息來避免假冒攻擊的協(xié)議，但大量的簽名和驗(yàn)簽操作會產(chǎn)生較大的計(jì)算開銷；另外，針對用戶設(shè)備的身份標(biāo)識沒有進(jìn)行隱私保護(hù)，可能導(dǎo)致用戶的身份隱私泄露問題，進(jìn)而引起針對用戶身份的各種攻擊，因此該方案并不適合北斗衛(wèi)星網(wǎng)絡(luò)。

公鑰密碼算法往往會帶來較大的計(jì)算開銷，于是研究人員將目光轉(zhuǎn)向?qū)ΨQ密碼算法。使用對稱密碼算法來設(shè)計(jì)用戶的接入認(rèn)證協(xié)議，可以減少認(rèn)證過程中所帶來的計(jì)算開銷，適用于資源受限的衛(wèi)星網(wǎng)絡(luò)。朱輝等[12]基于演進(jìn)的分組交換系統(tǒng)認(rèn)證與密鑰協(xié)商（EPS-AKA,evolved packet system based authentication and key agreement）協(xié)議提出了一種基于令牌的接入認(rèn)證機(jī)制，實(shí)現(xiàn)了用戶的隨遇接入，但是并沒有減少衛(wèi)星節(jié)點(diǎn)的存儲開銷和地面控制中心的計(jì)算開銷。Chen 等[13]提出了一種基于離散對數(shù)困難問題的認(rèn)證方案來保證實(shí)體之間的通信安全，實(shí)現(xiàn)了用戶的匿名性和不可追蹤性，可以抵抗智能卡被盜的攻擊。然而，Kumar 等[14]指出Chen 等[13]的接入認(rèn)證協(xié)議存在缺陷，用戶設(shè)備無法向地面控制中心進(jìn)行身份認(rèn)證并建立安全的會話密鑰。針對此問題，Kumar 等[14]提出了一種移動衛(wèi)星動態(tài)認(rèn)證協(xié)議，協(xié)議中主要采用了對稱加密算法、哈希函數(shù)以及異或操作，認(rèn)證過程中的信令開銷和計(jì)算開銷較小，在性能和安全需求之間達(dá)到了平衡。

Lin[15]提出了一種輕量級的移動衛(wèi)星通信系統(tǒng)動態(tài)認(rèn)證協(xié)議，該協(xié)議中地面控制中心不需要使用用戶的驗(yàn)證表和更新表即可完成與衛(wèi)星用戶設(shè)備的雙向認(rèn)證，降低了通信系統(tǒng)的開銷。Liu 等[16]提出了一種臨時身份自我更新的策略，通過哈希函數(shù)、異或操作等完成了用戶和地面控制中心之間的雙向認(rèn)證，計(jì)算成本較低。吳克河等[17]提出了一種輕量級哈希算法和證書相結(jié)合的認(rèn)證協(xié)議，保證了消息來源的可靠性，然而協(xié)議中簽名和驗(yàn)簽操作帶來了較大的計(jì)算開銷。Zhao 等[18]提出了一種基于北斗通信網(wǎng)絡(luò)的無人機(jī)接入認(rèn)證協(xié)議，該協(xié)議使用單向哈希函數(shù)完成無人機(jī)和地面控制中心之間的雙向認(rèn)證，計(jì)算開銷小。然而該協(xié)議并未考慮到無人機(jī)被捕獲時可能導(dǎo)致主密鑰泄露，因此攻擊者可以通過用戶設(shè)備直接接入北斗網(wǎng)絡(luò)中，進(jìn)而引起嚴(yán)重的信息泄露問題。

基于上述技術(shù)分析，本文提出一種增強(qiáng)型用戶設(shè)備的接入認(rèn)證協(xié)議，其特點(diǎn)如下。

1) 支持用戶設(shè)備接入北斗衛(wèi)星網(wǎng)絡(luò)，實(shí)現(xiàn)用戶設(shè)備和北斗指控中心間的雙向認(rèn)證和會話密鑰協(xié)商。

2) 在認(rèn)證過程中，對用戶的身份標(biāo)識信息、位置信息進(jìn)行保護(hù)，滿足用戶身份隱私保護(hù)的需求，避免隱私泄露所帶來的安全問題。

3) 利用北斗位置報(bào)告的獨(dú)特性和主密鑰形成雙因子認(rèn)證，增強(qiáng)認(rèn)證的準(zhǔn)確性，本文協(xié)議在一定程度上可以抵抗用戶設(shè)備被捕獲而造成的主密鑰泄露攻擊。

4) 采用安全分析和性能分析充分評估本文協(xié)議的安全性，使用形式化驗(yàn)證工具Scyther 證明其安全性。在性能分析方面，從計(jì)算開銷、帶寬開銷以及存儲開銷3 個方面將本文協(xié)議與其他類似協(xié)議進(jìn)行對比，協(xié)議分析結(jié)果表明，本文協(xié)議在性能開銷和安全需求之間達(dá)到了一種平衡，更加適用于節(jié)點(diǎn)資源受限的北斗衛(wèi)星導(dǎo)航系統(tǒng)。

1 系統(tǒng)模型與安全需求

1.1 系統(tǒng)模型

系統(tǒng)模型如圖1 所示，本文主要研究用戶設(shè)備在衛(wèi)星網(wǎng)絡(luò)下的初始注冊和接入認(rèn)證過程。系統(tǒng)架構(gòu)主要包括以下實(shí)體：北斗衛(wèi)星導(dǎo)航系統(tǒng)（BDS,Beidou satellite navigation system）、北斗指控中心（BDC,Beidou control）以及用戶設(shè)備（UE,user equipment）。

圖1 系統(tǒng)模型

北斗導(dǎo)航衛(wèi)星系統(tǒng)是由不同軌道、不同類型的衛(wèi)星組成的多層次天基信息網(wǎng)絡(luò)，計(jì)算、存儲能力有限，主要負(fù)責(zé)用戶設(shè)備和北斗指控中心之間的信息交互。

北斗指控中心由主控站、監(jiān)測站等構(gòu)成，是北斗衛(wèi)星導(dǎo)航系統(tǒng)的主要管理者，負(fù)責(zé)北斗衛(wèi)星導(dǎo)航系統(tǒng)的運(yùn)行控制、實(shí)時檢測、數(shù)據(jù)處理等任務(wù)[5]。北斗指控中心一般具有較高的計(jì)算能力和存儲能力，可以承擔(dān)大量、復(fù)雜的運(yùn)算。

用戶設(shè)備指各種類型的用戶設(shè)備，如手持用戶設(shè)備，可以通過北斗衛(wèi)星導(dǎo)航系統(tǒng)接入北斗衛(wèi)星網(wǎng)絡(luò)，并獲得相應(yīng)的網(wǎng)絡(luò)服務(wù)。

1.2 安全需求

根據(jù)所述架構(gòu)，用戶設(shè)備通過北斗衛(wèi)星與地面通信的場景屬于無線通信領(lǐng)域，該領(lǐng)域中有2 種常見的攻擊模型：DY（Dolev-Yao）模型和 CK（Canetti-Krawczyk）模型。DY 模型是指攻擊者可以對信息網(wǎng)絡(luò)中的消息進(jìn)行截獲、重放、篡改，并且可以假冒網(wǎng)絡(luò)中的任意合法實(shí)體進(jìn)行通信。CK模型指對實(shí)體內(nèi)部的攻擊，出現(xiàn)主密鑰泄露、會話密鑰泄露造成非法用戶獲得相應(yīng)的網(wǎng)絡(luò)服務(wù)。用戶設(shè)備的接入認(rèn)證具有以下安全需求。

1) 雙向認(rèn)證。網(wǎng)絡(luò)中的實(shí)體需要進(jìn)行相互認(rèn)證，BDC 需要確認(rèn)UE 的身份，防止非法的用戶實(shí)體接入網(wǎng)絡(luò)并獲得相應(yīng)的服務(wù)；同時，UE 需要確定BDC 的身份，防止中間人、假冒攻擊等造成用戶的相關(guān)隱私信息泄露。

2) 密鑰協(xié)商。在接入認(rèn)證之后，UE 需要和BDC 協(xié)商出一個會話密鑰，便于保障后續(xù)通信消息的完整性和機(jī)密性。

3) 條件隱私性。用戶的條件隱私性主要是針對UE 的真實(shí)身份標(biāo)識和位置信息進(jìn)行保護(hù)。BDC 生成UE 臨時身份標(biāo)識，對UE 的真實(shí)身份標(biāo)識進(jìn)行匿名保護(hù)，且各個臨時身份標(biāo)識之間不具有相關(guān)性，保證后續(xù)認(rèn)證消息中UE 身份的獨(dú)立性。除此以外，采用臨時身份保護(hù)序列傳遞下一次接入認(rèn)證的臨時身份標(biāo)識，避免惡意實(shí)體的追蹤行為，增強(qiáng)認(rèn)證過程的安全性；對UE 的位置信息進(jìn)行加密處理，保證位置信息的機(jī)密性。

4) 可追責(zé)。由于用戶隱私保護(hù)的需求，本文協(xié)議中其他實(shí)體和攻擊者無法得知UE 的真實(shí)身份標(biāo)識。然而當(dāng)UE 存在惡意行為時，應(yīng)該具有追責(zé)的能力來保障天地一體化信息網(wǎng)絡(luò)的安全。

5) 前后向安全性。為了保證UE 在后續(xù)通信過程中會話的機(jī)密性和完整性，應(yīng)當(dāng)實(shí)現(xiàn)密鑰的前后向安全性。這意味著即使當(dāng)前的密鑰泄露，攻擊者也不能推出之前的會話和將來的會話中使用的密鑰，從而無法破解出更多的通信內(nèi)容。

除此以外，協(xié)議還應(yīng)該能抵抗常見的攻擊，如中間人攻擊、重放攻擊、假冒攻擊等。

2 協(xié)議設(shè)計(jì)

2.1 設(shè)計(jì)思路

針對上述的安全需求，本節(jié)提出了一種基于位置密鑰的增強(qiáng)型用戶設(shè)備接入認(rèn)證協(xié)議，主要分為以下2 個過程：用戶設(shè)備注冊過程和用戶設(shè)備接入認(rèn)證過程。

在注冊階段，UE 首先向BDC 發(fā)起注冊請求，BDC 收到UE 的請求之后，通過安全信道下發(fā)主密鑰key 和臨時身份標(biāo)識PIDu，臨時身份標(biāo)識會在初始接入認(rèn)證時進(jìn)行更新，便于下一次接入認(rèn)證時使用。在初始接入認(rèn)證階段，UE 和BDC 利用主密鑰key 派生加密密鑰CK 和位置密鑰AK，CK 用于用戶設(shè)備的位置信息的機(jī)密性保護(hù)，AK 用于完成實(shí)體之間的雙向認(rèn)證。除此以外，認(rèn)證過程中主要采用了單向哈希函數(shù)和對稱加密算法SM4，通過引入隨機(jī)數(shù)、時間戳、消息認(rèn)證碼、認(rèn)證響應(yīng)值，實(shí)現(xiàn)了用戶設(shè)備的接入認(rèn)證和會話密鑰的協(xié)商。表1 列舉了用戶設(shè)備在認(rèn)證過程中使用的符號及其含義。

表1 用戶設(shè)備在認(rèn)證過程中使用的符號及其含義

2.2 用戶設(shè)備注冊過程

為實(shí)現(xiàn)用戶設(shè)備注冊過程，用戶設(shè)備進(jìn)行離線注冊，北斗指控中心分發(fā)主密鑰、生成用戶接入認(rèn)證的臨時身份標(biāo)識等相關(guān)安全參數(shù)，具體過程如圖2所示。

圖2 用戶設(shè)備注冊過程

1) UE 根據(jù)用戶自身的IDu標(biāo)識發(fā)起注冊請求至BDC。

2) BDC 生成隨機(jī)數(shù)r、用戶設(shè)備的臨時身份標(biāo)識PIDu，結(jié)合基礎(chǔ)密鑰K，導(dǎo)出用戶設(shè)備的主密鑰key=f(r||K)，BDC 保存用戶設(shè)備的真實(shí)身份標(biāo)識IDu、臨時身份標(biāo)識PIDu和主密鑰key，并將用戶設(shè)備的臨時身份標(biāo)識PIDu和主密鑰key 分發(fā)至用戶設(shè)備。

3) UE 將收到的用戶設(shè)備的主密鑰key 寫入密碼模塊。

2.3 用戶設(shè)備接入認(rèn)證過程

針對天地一體化信息網(wǎng)絡(luò)的星地交互時延高、衛(wèi)星節(jié)點(diǎn)資源受限等特點(diǎn)，本節(jié)設(shè)計(jì)了一種基于哈希的輕量級認(rèn)證協(xié)議，如圖3 所示。該協(xié)議僅需要少量哈希算法和對稱密鑰算法就可以完成實(shí)體之間的雙向認(rèn)證以及會話密鑰協(xié)商，降低了系統(tǒng)的計(jì)算開銷。

圖3 用戶設(shè)備接入認(rèn)證過程

2) BDS 收到認(rèn)證向量AV1，連同自身 IDBDS標(biāo)識發(fā)送至BDC。

3 安全性分析

3.1 非形式化安全分析

本節(jié)采用非形式化的方法分析本文協(xié)議的安全性，并討論抵御各種攻擊類型的能力。

1) 雙向認(rèn)證。在上述用戶設(shè)備接入認(rèn)證過程中，用戶設(shè)備和北斗指控中心可以進(jìn)行雙向的身份認(rèn)證。用戶設(shè)備通過將本地計(jì)算的 MAC2和收到的消息驗(yàn)證碼 HMAC2進(jìn)行比較來鑒別北斗指控中心的身份；北斗指控中心通過本地計(jì)算的消息驗(yàn)證碼HMAC1和收到的消息驗(yàn)證碼 MAC1是否相等來鑒別用戶設(shè)備的身份，實(shí)現(xiàn)了兩方實(shí)體的身份認(rèn)證。

2) 條件隱私性。條件隱私性分為用戶設(shè)備身份的匿名性和用戶設(shè)備位置信息的機(jī)密性。UE 的匿名性通過注冊過程中生成的臨時身份標(biāo)識PIDu實(shí)現(xiàn)，并且在接入認(rèn)證過程中由北斗指控中心重新生成新的臨時身份標(biāo)識PID′u，來保障下一次的用戶設(shè)備接入認(rèn)證過程中UE 身份的匿名性。BDS 中不會存儲用戶的真實(shí)身份標(biāo)識和臨時身份標(biāo)識的映射表，且單向哈希算法不能通過反向求解獲得用戶的真實(shí)身份。因此對于BDS 以及其他用戶和敵手，可以實(shí)現(xiàn)用戶身份匿名性。位置信息的機(jī)密性通過在接入認(rèn)證過程中生成加密密鑰CK 對位置信息進(jìn)行加密，對于其他用戶和敵手來說，因?yàn)槠洳怀钟姓_IDu，無法計(jì)算出正確的加密密鑰，所以無法解密獲得用戶設(shè)備的位置。

3) 可追責(zé)與不可鏈接性。BDC 本地存儲著與臨時身份標(biāo)識PIDu相對應(yīng)的真實(shí)身份標(biāo)識IDu，所以BDC 可以獲得用戶的真實(shí)身份，實(shí)現(xiàn)用戶設(shè)備惡意行為的可追蹤性。因?yàn)殒溌返拈_放性，公共信道中的消息容易被攻擊者所捕獲，而攻擊者有可能從多次相同的認(rèn)證信息中鏈接到某個實(shí)體。而在本文協(xié)議中，傳遞的認(rèn)證消息在每一步驟后均進(jìn)行了更新，對于攻擊者來說是完全隨機(jī)的，因此不可能從消息中完成對于實(shí)體身份的關(guān)聯(lián)。

4) 抵抗重放攻擊。在用戶設(shè)備接入認(rèn)證過程中，UE 發(fā)送的認(rèn)證向量 AV1=PIDu||SM4(CK,N u||Lu)||MAC1||T1和BDC 發(fā)送的認(rèn)證向量 AV2=PID*||Ns||HMAC2||T2中加入了時間戳，保證了消息的新鮮性。認(rèn)證雙方實(shí)體可以通過是否含有相同時間戳消息來快速鑒別出攻擊者的攻擊行為，因此，本文協(xié)議可以抵抗重放攻擊。

5) 抵抗中間人攻擊。在本文協(xié)議中，只有用戶和北斗指控中心知曉用戶的真實(shí)身份和對應(yīng)的主密鑰，用戶在認(rèn)證請求消息中使用匿名身份標(biāo)識PIDu，攻擊者無法獲得用戶設(shè)備的真實(shí)身份標(biāo)識IDu和主密鑰key。攻擊者無法根據(jù)截獲的消息解密用戶和北斗指控中心的會話內(nèi)容，也就無法假冒其中一方與另一方進(jìn)行通信。因此，本文協(xié)議可以抵抗中間人攻擊。

6) 前后向安全。在本文協(xié)議中，生成會話密鑰時都使用新的隨機(jī)數(shù)，各會話密鑰之間獨(dú)立。攻擊者并不能推出之前的會話和將來的會話中的密鑰，無法破解出更多的通信內(nèi)容。因此，本文協(xié)議可以實(shí)現(xiàn)前后向安全。

7) 雙因子認(rèn)證。本文協(xié)議結(jié)合北斗位置報(bào)告服務(wù)，利用用戶設(shè)備的位置信息和主密鑰形成雙因子，在一定程度上避免了在認(rèn)證過程中用戶設(shè)備被俘獲可能導(dǎo)致的主密鑰泄露的安全問題，實(shí)現(xiàn)了用戶設(shè)備和北斗指控中心之間的雙向認(rèn)證和會話密鑰的協(xié)商。

3.2 形式化安全分析

本節(jié)采用形式化工具Scyther驗(yàn)證本文協(xié)議的安全性，該工具用于識別協(xié)議中常見的漏洞，形成攻擊輸出圖[19]。Scyther 內(nèi)部設(shè)置單向哈希函數(shù)、對稱加解密等操作，方便將協(xié)議轉(zhuǎn)換為spdl（安全協(xié)議描述）語言。本文涉及用戶注冊和接入認(rèn)證2 個階段，由于用戶離線完成注冊流程，因此該流程不進(jìn)行形式化驗(yàn)證。

首先，聲明協(xié)議名和角色集；其次，聲明角色中的變量、收發(fā)認(rèn)證消息和具有的安全屬性；最后，運(yùn)行協(xié)議進(jìn)行形式化驗(yàn)證[20]。Scyther 中各個角色從自身角度檢測是否得到滿足，若滿足該安全需求，驗(yàn)證輸出結(jié)果中的Status（狀態(tài)）為Verfied（通過）；否則為Falsified（失?。?/p>

針對用戶設(shè)備的接入認(rèn)證流程，本文使用Scyther 工具進(jìn)行形式化驗(yàn)證。協(xié)議中涉及三方實(shí)體，即UE、BDC 和BDS。對通信實(shí)體的安全屬性，如Secret（機(jī)密性）、Alive（存活性）、Weakagree（弱一致性）、Niagree（非單射一致攻擊）和Nisynch（前向安全）等進(jìn)行聲明，驗(yàn)證結(jié)果如圖4 所示。

圖4 用戶設(shè)備接入認(rèn)證流程Scyther 驗(yàn)證結(jié)果

由圖4 可知，在Scyther 聲明的Secret、Alive、Weakagree、Niagree 和Nisynch 屬性范圍內(nèi)均沒有發(fā)現(xiàn)任何攻擊。結(jié)果表明，本文協(xié)議實(shí)現(xiàn)了雙向認(rèn)證和用戶身份的隱私保護(hù)，具有前后向安全性，并且可以抵抗常見的協(xié)議攻擊，如中間人攻擊、重放攻擊等，保證了通信的機(jī)密性和完整性。

4 性能分析

在性能分析階段，本文首先從多個安全屬性的角度對本文協(xié)議和其他相似協(xié)議進(jìn)行分析對比；然后從計(jì)算開銷、帶寬開銷、存儲開銷3 個方面對本文協(xié)議和其他相似協(xié)議進(jìn)行分析。

4.1 安全性對比

本節(jié)針對本文協(xié)議和其他相似協(xié)議進(jìn)行了安全性對比，分析結(jié)果如表2 所示。從表2 可以看出，文獻(xiàn)[11]、文獻(xiàn)[17]協(xié)議并沒有對用戶的真實(shí)身份標(biāo)識進(jìn)行保護(hù)，容易造成用戶隱私信息的泄露。文獻(xiàn)[12]、文獻(xiàn)[14]針對天地一體化信息網(wǎng)絡(luò)場景下提出的接入認(rèn)證協(xié)議不具有后向安全性，可以推斷出未來的會話密鑰，帶來了嚴(yán)重的安全問題。文獻(xiàn)[8]、文獻(xiàn)[12]協(xié)議不能抵抗主密鑰泄露攻擊，甚至可以計(jì)算出當(dāng)前的會話密鑰，通信信息的機(jī)密性和完整性將受到威脅。本文協(xié)議利用北斗位置報(bào)告的獨(dú)特性，將用戶設(shè)備的位置信息和主密鑰相結(jié)合形成雙因子，并將位置信息加入認(rèn)證密鑰當(dāng)中，在一定程度上可以抵抗由于用戶設(shè)備被捕獲而造成主密鑰泄露攻擊的情況，有效地保障了通信過程中協(xié)議的安全性和可靠性。

表2 安全性對比分析結(jié)果

4.2 計(jì)算開銷

本文在計(jì)算開銷方面忽略級聯(lián)、異或操作時間，只考慮以下計(jì)算時間：哈希運(yùn)算TH、對稱加解密運(yùn)算Ts、非對稱加密運(yùn)算Tenc、非對稱解密運(yùn)算Tdec、簽名運(yùn)算Tsig、驗(yàn)簽運(yùn)算Tver、密鑰生成函數(shù)運(yùn)算TKDF、點(diǎn)乘運(yùn)算Tmul，通過構(gòu)建一個仿真平臺來測試以上密碼學(xué)算法的開銷。

選擇兩臺性能不同的計(jì)算機(jī)，一臺處理器為Intel（R）Core（TM）m3-6Y30 CPU @0.9 GHz，模擬計(jì)算資源、存儲資源受限的用戶設(shè)備/衛(wèi)星；另一臺處理器為Core（TM）i7-7500U CPU @2.70 GHz，模擬地面控制中心。所有密碼算法基于openssl-1.0.2e[21]實(shí)現(xiàn)，將每個密碼學(xué)算法運(yùn)行1 000 次，然后取平均運(yùn)行時間作為該密碼學(xué)算法的計(jì)算開銷，如表3所示[22]。各協(xié)議的計(jì)算開銷如表4 所示。

表3 每個密碼學(xué)算法的平均運(yùn)行時間

表4 基于密碼學(xué)算法的計(jì)算開銷

圖5 繪制了各協(xié)議在接入認(rèn)證階段計(jì)算開銷隨認(rèn)證次數(shù)增加時的變化。本文協(xié)議與文獻(xiàn)[8]、文獻(xiàn)[11]、文獻(xiàn)[14]、文獻(xiàn)[17]協(xié)議相比具有較大優(yōu)勢。本文協(xié)議基于哈希函數(shù)、KDF 算法、對稱加密機(jī)制，避免了公鑰密碼體制的簽名驗(yàn)簽、點(diǎn)乘操作，雖然計(jì)算開銷略高于文獻(xiàn)[12]協(xié)議，但是在存儲開銷、帶寬開銷方面相比文獻(xiàn)[12]協(xié)議具有顯著優(yōu)勢。

圖5 各協(xié)議在接入認(rèn)證階段計(jì)算開銷隨認(rèn)證次數(shù)增加時的變化

4.3 帶寬開銷

為了公平起見，本節(jié)將各協(xié)議的帶寬開銷在AES-128 bit 同等安全級別進(jìn)行比較。對稱加密算法的密鑰長度為SM4-128 bit；公鑰密碼算法的公鑰長度為3 072 bit，私鑰長度為256 bit；橢圓曲線的密鑰長度為320 bit；哈希函數(shù)的輸出長度為128 bit；KDF的輸出長度為SM3-256 bit；用戶設(shè)備身份標(biāo)識、臨時身份標(biāo)識的長度為128 bit；衛(wèi)星身份標(biāo)識的長度為32 bit；隨機(jī)數(shù)的長度為128 bit；位置信息的長度為128 bit；時間戳的長度為32 bit。各協(xié)議的帶寬開銷對比如表5 所示。

表5 各協(xié)議的帶寬開銷對比

為了更加直觀地展現(xiàn)各協(xié)議的帶寬開銷，本節(jié)將其繪制成對數(shù)形式的折線，結(jié)果如圖6 所示。從圖6 可以看出，文獻(xiàn)[8]、文獻(xiàn)[11]協(xié)議中的帶寬開銷較大，因?yàn)檫@2 種協(xié)議主要采用了公鑰密碼算法，通信過程需要發(fā)送相關(guān)簽名數(shù)據(jù)、點(diǎn)乘運(yùn)算結(jié)果等，增加了協(xié)議所需的帶寬開銷。與其他協(xié)議相比，本文協(xié)議的帶寬開銷最低，更加適用于資源受限的用戶設(shè)備/衛(wèi)星的天地一體化信息網(wǎng)絡(luò)。

圖6 各協(xié)議的帶寬開銷對比

4.4 存儲開銷

本節(jié)將計(jì)算在接入認(rèn)證過程中所要花費(fèi)的存儲開銷，協(xié)議中需要存儲的相關(guān)身份標(biāo)識、會話密鑰等關(guān)鍵信息便于后續(xù)完成雙向認(rèn)證。為了公平起見，在AES-128 bit 同等安全級別進(jìn)行比較，具體的各種密碼學(xué)操作所需要的開銷與4.3 節(jié)中的定義保持一致。各協(xié)議在接入認(rèn)證階段的存儲開銷對比如表6所示。

表6 各協(xié)議在接入認(rèn)證階段的存儲開銷對比

各協(xié)議的存儲開銷對比如圖7 所示。從圖7 可以看到，文獻(xiàn)[8]、文獻(xiàn)[11]、文獻(xiàn)[17]協(xié)議因?yàn)椴捎霉€密碼算法，需要存儲實(shí)體的私鑰和公鑰，產(chǎn)生了較大的存儲開銷。本文協(xié)議采用輕量級算法，在用戶設(shè)備側(cè)存儲臨時身份標(biāo)識和會話密鑰；在北斗指控中心側(cè)存儲用戶設(shè)備的真實(shí)身份標(biāo)識、臨時身份標(biāo)識、會話密鑰，存儲開銷遠(yuǎn)低于其他協(xié)議，更加適用于資源受限的衛(wèi)星節(jié)點(diǎn)/用戶設(shè)備的天地一體化信息網(wǎng)絡(luò)。

圖7 各方案的存儲開銷對比

5 結(jié)束語

本文針對現(xiàn)有的用戶設(shè)備接入認(rèn)證協(xié)議的不足和安全需求，提出了一種基于位置密鑰的增強(qiáng)型用戶設(shè)備接入認(rèn)證協(xié)議，使用戶設(shè)備安全高效地接入網(wǎng)絡(luò)獲取服務(wù)。在認(rèn)證過程中，利用北斗位置報(bào)告的獨(dú)特性和主密鑰形成雙因子認(rèn)證，增強(qiáng)了認(rèn)證的準(zhǔn)確性，一定程度上可以抵抗用戶設(shè)備被捕獲而造成的主密鑰泄露攻擊。通過Scyther 進(jìn)行形式化驗(yàn)證可以看出，本文協(xié)議可以抵抗各種協(xié)議攻擊并且滿足用戶的條件隱私性、抗重放攻擊等安全需求。此外，本文協(xié)議僅使用哈希算法和對稱加密算法來實(shí)現(xiàn)用戶設(shè)備和北斗指控中心之間的雙向認(rèn)證，可以有效地降低協(xié)議的認(rèn)證開銷，因此更加適用于節(jié)點(diǎn)資源受限的北斗衛(wèi)星導(dǎo)航系統(tǒng)。