2. 中国网络安全审查技术与认证中心, 北京 100020;
3. 北京邮电大学 网络空间安全学院, 北京 100876
2. China Cybersecurity Review Technology and Certification Center, Beijing 100020, China;
3. School of Cyberspace Security, Beijing University of Posts and Telecommunication, Beijing 100876, China
5G网络以其高带宽、低时延备受关注,而其安全问题也一直是用户和研究者关心的焦点。与传统通信网络相比,5G对各种异构接入技术及异构设备的支持,使得5G接入网面临更加复杂的安全问题[1]。5G的安全需求除2G/3G/4G已有的无线、传输交换及核心网安全需求外,还需考虑边缘计算及切片安全等特殊需求[2]。网络认证及密钥协商协议是移动通信系统的安全基础,其安全也是5G安全的核心问题。Mjlsnes等[3]提出了一种简易获取LTE网络中用户身份信息IMSI(international mobile subscriber identity)的方法,Hussain等[4]发现了IMSI可暴力破解。Kim等[5]发现了资源耗尽攻击、拒绝服务攻击、AKA(authentication and key agreement)过程可绕过、重放攻击等漏洞。Rupprecht等[6]研究并识别了身份映射攻击、网站指纹识别攻击及LTE用户数据操纵攻击。Hussain等[7]发现了身份验证同步失败及身份验证中继攻击等多种攻击形式。Arapinis等[8]对3G网络规范进行分析,发现了2种寻呼过程中的可链接性攻击与AKA协议中的可链接性攻击。郑康峰等[9]介绍了3G网络AKA协议相关的攻击:基于序列号的攻击、协议相关的攻击、用户身份泄露攻击、数据流重定向攻击等。Zhang等[10]对UMTS-AKA协议进行分析,提出了重定向攻击和虚假重新同步请求。贾其兰等[11]发现了针对UMTS-AKA协议中序列号SQN的另一种攻击模式:攻击者主动重放信息会造成身份验证同步失败。向东南等[12]提出了EPS-AKA协议的一个安全隐患:随机质询RAND的明文传输。Borgaonkar等[13]提出了一种针对所有AKA变体的攻击:SQN泄露攻击。
Basin等[14]借助TAMARIN证明程序对5G-AKA协议进行形式化分析,发现了锚定密钥KSEAF与用户身份SUPI(subscription permanent identifier)之间可能存在错误分配、用户与服务网络端锚定密钥KSEAF可能不一致的问题。Cremers等[15]同样借助TAMARIN对5G-AKA协议进行建模,提出了新的安全隐患:锚定密钥KSEAF的错误分配导致的信息泄露问题。刘彩霞等[16]借助TAMARIN对EAP-AKA′协议进行建模分析,发现了显式密钥确认缺失的问题。
上述研究表明,LTE网络及AKA协议组中存在一些漏洞及攻击类型,而5G网络中的AKA协议的安全性有待更深入的研究。本文将对EAP-AKA′协议进行细粒度的建模分析,验证协议的安全性。
1 相关理论基础 1.1 EAP-AKA′协议EAP-AKA′与5G-AKA均为5G网络中的认证和密钥协商协议,用于完成身份验证并生成通信密钥。EAP-AKA′是EAP-AKA的小幅修订,增加了新的密钥派生功能,用于将派生的密钥与服务网络名称进行绑定。
1.1.1 协议实体本文尽可能还原规范对协议的描述,选择漫游场景进行建模分析,该场景下参与协议的实体有以下4个。
1) UE:“user equipment”用户设备,存储本地网络(home network,HN)公钥pk、用户的身份SUPI以及共享长期密钥,可以将SUPI加密得到其临时身份SUCI(subscription concealed identifier),用于认证过程中的身份隐藏保护,以防止身份SUPI的泄露。
2) SEAF:“security anchor function”安全锚功能,服务网络(serving network,SN)的主要参与实体,需要构建并传输服务网络名称SNname。
3) AUSF:“authentication server function”身份验证服务器,属于本地网络的参与实体,负责判断SEAF实体的授权与否、生成锚定密钥KSEAF以及验证来自UE的认证响应的正确性。
4) ARPF:“authentication credential repository and processing function”身份验证凭证存储和处理,同样属于本地网络的参与实体,负责存储保密信息(共享长期密钥K、UE的身份SUPI、根序列号sqn)、授权SUPI以及生成认证向量,保存本地网络私钥sk,解析SUCI获取SUPI。
1.1.2 信道介绍根据规范,协议涉及到的信道有3个。
1) UE↔SEAF:使用空中接口进行通信,容易受到被动攻击者的窃听和主动攻击者的修改、注入等攻击,建模为不安全的信道,使用TAMARIN内置的Out和In事实实现信息的收发。
2) SEAF↔AUSF:该信道属于“e2e core network interconnection”,提供机密性和完整性保护,建模为安全信道,使用自定义的安全事实完成信息的收发。
3) AUSF↔ARPF:该信道与SEAF↔AUSF信道同属于“e2e core network interconnection”,建模为安全的信道。
1.1.3 协议流程EAP-AKA′协议的流程如图 1所示。SUCI为SUPI的加密隐藏,pk为本地网络公钥。
$ \mathrm{SUCI}=\operatorname{enc}(\langle\mathrm{SUPI}, \sim R\rangle, \mathrm{pk}). $ | (1) |
SNID为服务网络标识符,ARPF将按以下方法生成认证向量AV(authentication vector):
$ \mathrm{AV}=\mathrm{RAND}\|\mathrm{XRES}\| \mathrm{CK}\|\mathrm{IK}\| \mathrm{AUTN}, $ | (2) |
$ \mathrm{XRES}=f 2(K, \mathrm{RAND}), $ | (3) |
$ \mathrm{CK}=f 3(K, \mathrm{RAND}), $ | (4) |
$ \mathrm{IK}=f 4(K, \mathrm{RAND}), $ | (5) |
$ \mathrm{AUTN}=\mathrm{SQN} \oplus \mathrm{AK} \| \mathrm{MANC}, $ | (6) |
$ \mathrm{AK}=f 5(K, \mathrm{RAND}), $ | (7) |
$ \mathrm{MAC}=f 1(K, \mathrm{SQN} \| \mathrm{RAND}). $ | (8) |
其中:RAND为随机质询;SQN为序列号,根序列号sqn在用户初始化时生成;K为共享长期密钥;f1—f5为单向函数;XRES为预期响应;CK为保密性密钥;IK为完整性密钥;AK为匿名密钥,用于隐藏序列号SQN值;AUTN为认证令牌,与质询一同发送到用户端;MAC用于验证消息的正确性,以实现用户对网络的认证。
ARPF根据CK和IK计算得到CK′和IK′,并替换CK和IK得到最终的认证向量AV′。
$ \begin{gathered} \mathrm{CK}_{-} \mathrm{IK}^{\prime}= \\ \mathrm{KDF}(\langle\mathrm{CK}, \mathrm{IK}\rangle,\langle\mathrm{SNID}, \mathrm{SQN} \oplus \mathrm{AK}\rangle). \end{gathered} $ | (9) |
CK′为CK_IK′的高128位,IK′为CK_IK′的低128位。本文模型中对其进行简化,直接使用CK_IK′来替代,即
$ \mathrm{AV}^{\prime}=\mathrm{RAND}\|\mathrm{XRES}\| \mathrm{CK}_{-} \mathrm{IK}^{\prime} \| \mathrm{AUTN}^{\prime}. $ | (10) |
UE接收到消息后,首先计算AK值并验证SQN。模型中由于未建模重新同步机制,将此步骤进行简化,UE接收到消息后,直接使用所保留的根序列号sqn计算XAUTN并与AUTN进行比较。RES的计算与ARPF中XRES的计算相同。
$ \mathrm{XMAC}=f 1(K, \text { sqn } \| \mathrm{RAND}), $ | (11) |
$ \mathrm{XAUTN}=\mathrm{sqn} \oplus \mathrm{AK} \| \mathrm{XMAC}. $ | (12) |
AUSF通过比较RES与XRES验证响应,锚定密钥KSEAF计算如下:
$ \mathrm{MK}=\mathrm{PRF}^{\prime}\left(\left\langle\mathrm{IK}^{\prime}, \mathrm{CK}^{\prime}\right\rangle,\left\langle\mathrm{EAP}-\mathrm{AKA}^{\prime}, \mathrm{SNID}\right\rangle\right). $ | (13) |
EMSK为MK的第1 152—1 663位,即
$ \mathrm{EMSK}=\mathrm{MK}[1\ 152 \cdots 1\ 663]. $ | (14) |
KAUSF为EMSK的高256位,
$ K_{\mathrm{SEAF}}=\mathrm{KDF}\left(K_{\mathrm{AUSF}}, \mathrm{SNID}\right). $ | (15) |
上述计算过程在模型中进行了简化
$ K_{\mathrm{AUSF}}=\mathrm{SHA} 256(\mathrm{MK}) . $ | (16) |
$ \mathrm{MK}=\mathrm{PRF}^{\prime}\left(\mathrm{CK}_{-} \mathrm{IK}^{\prime}, \mathrm{SNID}\right). $ | (17) |
UE接收到认证成功的消息后,根据相同的步骤计算KSEAF。
1.2 TAMARIN证明程序TAMARIN证明程序是用于安全协议的符号建模和分析的强大工具。它以安全协议模型为输入,输出正确或错误的路径。协议流程与状态转换通过rule实现,安全属性建模通过lemma实现。
2 安全属性分析与模型设计 2.1 安全属性分析 2.1.1 认证属性分析本文将从规范[17]中归纳的认证属性应用于参与协议的4个实体:用户UE、服务网络实体代表SEAF、身份验证服务器AUSF、身份验证凭证存储和处理ARPF。认证等级根据研究[18]中定义的等级进行分类,从弱到强分别为:存活性(aliveness)、弱一致性(weak agreement)、非单射一致性(non-injective agreement)、单射一致性(injective agreement)。最终得到表 1的内容。第1行为扮演A角色的实体,第1列为扮演B角色的实体。表中所列为角色B对角色A针对某些数据项进行的认证属性验证。标记为“—”的为不需要进行验证,其余均需要对某些数据项满足非单射一致性。
B\A | UE | SEAF | AUSF | ARPF |
UE | — | SNID、KSEAF | SNID、KSEAF | SNID |
SEAF | SUPI、KSEAF | — | SUPI、SNID、KSEAF | SUPI |
AUSF | SUPI、KSEAF | SNID、KSEAF | — | — |
ARPF | SUPI | SNID | — | — |
2.1.2 保密属性分析
结合规范要求以及3G、LTE网络中对应项的要求,考虑到数据泄露的后果,保密属性需满足表 2所列出的所有内容。第1行为需要满足保密属性的实体,第1列为需要满足保密属性的术语。标记为“—”的不需要进行验证,标记为“√”的需要满足实体对术语的保密属性。
2.2 基于TAMARIN的模型设计 2.2.1 敌手模型
TAMARIN证明程序默认提供的对手模型为Dolev-Yao敌手模型[19],对手满足以下条件:
1) 模型中任何以Out事实发送到信道中的信息都可以通过KD事实被对手捕获。
2) 对手可以根据自身知识体系通过KU事实进行信息的构造。
3) 对手根据KU事实构造的信息可以通过In事实注入到信道中,进而被合法实体接收。
4) 对手在未获取密钥的情况下,无法解密信息,不具备暴力破解的能力。
本文的对手模型在此基础上,可以获取共享密钥K与根序列号sqn,这通过SUPI实体发生Reveal事实,之后将信息通过Out事实输出到公共信道中实现。
2.2.2 安全属性建模安全属性的模型实现如表 3所示,保密属性以UE对K的保密属性为例,认证属性以SEAF对UE的认证属性为例。
安全属性 | 代码示意 |
保密性 | All SUPI t #i. Secret1(〈USIM, SUPI〉, 〈key, t〉) @i ⇒ (not (Ex #j. K(t)@j)) | (Ex X data #r. Reveal(X, data)@r) |
前向保密性 | All SUPI t #i. Secret1(〈USIM, SUPI〉, 〈key, t〉) @i ⇒ not (Ex #j. K(t)@j) |
非单射一致性 | All SUPI SNID t #i. Commit(SUPI, SNID, 〈USIM, SEAF, t〉) @i ⇒(Ex #j. Running(SNID, SUPI, 〈USIM, SEAF, t〉) @j) | (Ex X data #r. Reveal(X, data)@r) |
单射一致性 | All SUPI SNID t #i. Commit(SUPI, SNID, 〈USIM, SEAF, t〉) @i ⇒(Ex #j. Running(SNID, SUPI, 〈USIM, SEAF, t〉) @j & j 〈 i & not(Ex SUPI2 SNID2 #i2. Commit(SUPI2, SNID2, 〈USIM, SEAF, t〉) @i2 & not(#i2 = #i))) | (Ex X data #r. Reveal(X, data)@r) |
3 结果展示与分析 3.1 认证属性 3.1.1 结果展示
认证属性验证结果如下:表 1中所列内容的非单射一致性均得到了满足,但是SEAF与AUSF间关于SNID的单射一致性发生了违反。
3.1.2 攻击类型SEAF对AUSF关于SNID的单射一致性的违反,是由于UE与SEAF间发生了重放攻击。该攻击仅导致信道以及实体的负担,并不会造成更深的影响。但是,如果ARPF实体接收重放的SUCI信息,它可能会导致如下的身份验证同步失败攻击:
1) 攻击的第1阶段,对手窃听UE与SEAF间的信道。当受害用户发起认证请求后,对手可以捕获并存储认证请求中的SUCI信息,加入自身知识体系。
2) 攻击的第2阶段,对手不断重放SUCI与SNID。ARPF接收到重放的SUCI后会检验SUPI是否在自身数据库中,若存在,则根据SUPI对应的K、SQN生成认证向量并发送到AUSF,同时,增加自身SQN值。随着对手不断重放SUCI,ARPF会不断接收该信息并增加SQN值,但受害用户端并未接收到认证信息,其SQN值并未改变,这将导致受害用户与ARPF间SQN的失步,当二者相差达到阈值后,就会造成攻击。
3.2 保密属性 3.2.1 结果展示保密属性的验证结果如下:表 2所列内容的保密性均得到了满足,但UE对K、SQN、KSEAF以及KAUSF的前向保密性均发生了违反。其中,UE对K、SQN的前向保密性违反不会直接导致锚定密钥KSEAF的泄漏,但是可以作为锚定密钥KSEAF泄漏攻击的前导攻击。
3.2.2 攻击类型保密属性的违反造成了锚定密钥泄露攻击(见图 2)。
攻击第1阶段,对手获取曾经泄露的K与SQN值;攻击第2阶段,对手获取当前认证过程中的SNID与RAND,构造KSEAF。
4 安全加固方法 4.1 身份验证同步失败攻击的安全加固方法节3.1.2中展示了SEAF对AUSF关于SNID属性的违反可能造成的身份验证同步失败攻击。攻击的实现基于ARPF实体仅验证SUPI的存在,未验证SUCI是否曾用这一事实,规范[17]中并未对其进行明确说明,这可能造成实际配置上的忽略,研究表明[5]LTE真实网络中存在此种检验忽略。
本文提出的安全加固方法在UE与ARPF间共享的变量中添加了一个新的变量R,用于表示UE初始化后初次认证时,加密SUPI使用的随机数,即
$ \mathrm{SUCI}=\operatorname{enc}(\langle\mathrm{SUPI}, R\rangle \mathrm{pk}) $ |
1) UE使用该SUCI值请求认证信息。
2) SEAF与AUSF保持正常操作不改变。
3) ARPF接收到认证请求后,计算得到〈SUPI,R〉,首先判断SUPI是否存在,其次判断R是否正确。若正确,则产生新的随机数并保存,再继续应执行的操作:增加SQN值,生成认证向量。新的随机数需要与认证信息一同发送到UE用于下次认证时加密SUPI。为了保证此值不被对手获取,可使用K进行加密。
4) AUSF与SEAF将信息转发到UE。
5) UE在SQN及MAC验证成功后将保存的R更改为新的R′,用于下次认证请求。
此方法下,用户未进行认证时,对手无法获取SUCI。在用户使用SUCI发起一次认证请求后,若对手重放SUCI,仅能转发到ARPF,但是,此时ARPF处保存的随机数已经更改为R′,因此会直接导致验证失败,拒绝此次认证,防止了身份验证同步失败攻击以及后续深层次攻击的发生。
4.2 重放SUCI攻击的安全加固方法由于UE与SN空口信道的不安全性,易受到信息注入攻击,本文提出一种将SUCI重放攻击的影响仅局限到本地网络SN的安全加固方法。
在服务网络端保存一个数组SuciArr,用于保存接收到的SUCI信息。数组最大长度与可容许重放次数相关,在此以2为例(此值可依据实验结果可调)。数组的初始状态置空。SEAF接收到带有SUCI的认证请求后,检查数组的长度。
1) 若为0:之前未进行认证,或之前的认证请求信息已删除,直接将SUCI添加到数组中,不做其他处理,按照正常的协议流程进行信息的转发。
2) 若为1:表明之前接收到了SUCI,假设此次收到的值为SUCI2,比较二者。若不同,则表示SUCI2不是重放值,将SUCI移除,并将SUCI2添加到数组中。若相同,则此次可能是重放的认证请求信息,将SUCI2添加到数组中。无论比较结果是否相同,均不做其他处理,按照正常的协议流程进行信息的转发。
3) 若为2:表示此时数组中存在2个值,且二者相等,假设此次接收到的值为SUCI3,比较SUCI与数组中的SUCI/SUCI2(二者相等)。若不同,则假定上一次的相同是由于用户未更改加密隐藏使用的随机数值,将数组清空,将SUCI3添加到数组中,不做其他处理,按照正常的协议流程进行信息的转发;若相同,则认为是对手恶意重放,直接拒绝此次认证,数组不做处理,等待下一次请求。
此种方法下,考虑了用户认证时可能使用相同的SUCI(LTE网络中存在临时身份TMSI并非每次认证都进行更改的现象),同时限制了重放的可能(相同的SUCI值到达一定数量则拒绝认证)。
4.3 锚定密钥KSEAF泄露攻击的安全加固方法锚定密钥KSEAF的泄露,是由于KSEAF计算相关的K、sqn、RAND均可由对手获取。本文认为文[12]提出的引入Diffie-Hellman算法以隐藏RAND的方法可以消除此攻击的可能性。
1) UE在发起认证请求时传送A=gRUEmodp,用于ARPF实体计算KRAND。其中p是普通素数,g是原始根,RUE为UE端产生的随机数。
2) SEAF与AUSF中间的转发操作不作改变。
3) ARPF接收到认证请求信息后,产生随机数RHN,并计算B=gRHNmodp,将KRAN=ARHN modp作为随机质询RAND的替代用来计算锚定密钥KSEAF,将B作为随机质询RAND的替代发送到UE端。
4) UE接收到修改后的质询替代者B后,计算KRAND=BRUE mod p,代替随机质询RAND计算响应RES。
5) AUSF验证响应,并将锚定密钥KSEAF与SUPI发送到SEAF。
6) UE接收到认证成功的消息后,使用第4)步中的KRAND计算锚定密钥KSEAF。
由于对手仅可获得A与B,无法获取UE以及ARPF处生成的随机数RUE与RHN,因此无法构造出KRAND信息,也就无法构造出锚定密钥KSEAF,从而保证了后续通信密钥的安全性。
方法只是对协议中的数据进行细微的更改,仅需要UE及ARPF实体在计算时进行算法的改变,整体流程依旧基于EAP-AKA′协议,具有很好的兼容性。
在此加固方法下,K及sqn的单独泄露将不会导致更深层次的攻击(对手无法构造锚定密钥KSEAF)。本文同样借助TAMARIN证明程序对方法进行了验证,确认了该方法虽然无法保证K与sqn的前向保密性,但是KSEAF与KAUSF的前向保密性得到了满足。
5 结论本文分析了EAP-AKA′协议的相关规范[17],总结规范中规定的安全性需求并归纳为不同的安全属性:保密属性和认证属性。之后借助TAMARIN证明程序对安全属性进行建模分析,发现了2种不同的属性违反,提出了3种攻击类型以及相应的安全加固方法,使用TAMARIN证明程序对锚定密钥KSEAF泄露攻击的安全加固方法进行了验证。
后续工作可以对模型进行进一步完善,实现重新同步机制的建模。另外,可以将借助USRP设备对攻击类型在5G网络中的实现进行实验验证作为下一步研究工作。
[1] |
冯登国, 徐静, 兰晓. 5G移动通信网络安全研究[J]. 软件学报, 2018, 29(6): 1813-1825. FENG D G, XU J, LAN X. Study on 5G mobile communication network security[J]. Journal of Software, 2018, 29(6): 1813-1825. (in Chinese) |
[2] |
邱勤, 张滨, 吕欣. 5G安全需求与标准体系研究[J]. 信息安全研究, 2020(8): 673-679. QIU Q, ZHANG B, LÜ X. Research on the requirements and standard system of 5G cybersecurity[J]. Journal of Information Security Research, 2020(8): 673-679. DOI:10.3969/j.issn.2096-1057.2020.08.002 (in Chinese) |
[3] |
MJLSNES S F, OLIMID R F. Easy 4G/LTE IMSI catchers for nonprogrammers[C]//International Conference on Mathematical Methods, Models, and Architectures for Computer Network Security. Warsaw, Poland: Springer, 2017: 235-246.
|
[4] |
HUSSAIN S R, ECHEVERRIA M, CHOWDHURY O, et al. Privacy attacks to the 4G and 5G cellular paging protocols using side channel information[C]//Proceedings of the Network and Distributed System Security Symposium (NDSS). San Diego, USA, 2019: 23442.
|
[5] |
KIM H, LEE J, LEE E, et al. Touching the untouchables: Dynamic security analysis of the LTE control plane[C]//2019 IEEE Symposium on Security and Privacy (SP). San Francisco, USA: IEEE, 2019: 1153-1168.
|
[6] |
RUPPRECHT D, KOHLS K, HOLZ T and PÖPPER C. Breaking LTE on Layer Two[C]//2019 IEEE Symposium on Security and Privacy (SP). San Francisco, USA: IEEE, 2019: 1121-1136.
|
[7] |
HUSSAIN S R, CHOWDHURY O, MEHNAZ S, et al. LTEInspector: A systematic approach for adversarial testing of 4G LTE[C]//Proceedings of the Network and Distributed System Security Symposium. San Diego, USA: IEEE, 2018: 23313.
|
[8] |
ARAPINIS M, MANCINI L, RITTER E, et al. New privacy issues in mobile telephony: Fix and verification[C]//Proceedings of 2012 ACM Conference on Computer and Communications Security, Raleigh, USA, 2012: 205-216.
|
[9] |
陆峰, 郑康锋, 钮心忻, 等. 3GPP认证与密钥协商协议安全性分析[J]. 软件学报, 2010, 21(7): 1768-1782. LU F, ZHENG K F, NIU X X, et al. Security analysis of 3GPP authentication and key agreement protocol[J]. Journal of Software, 2010, 21(7): 1768-1782. (in Chinese) |
[10] |
ZHANG M, FANG Y. Security analysis and enhancements of 3GPP authentication and key agreement protocol[J]. IEEE Transactions on Wireless Communications, 2005, 4(2): 734-742. DOI:10.1109/TWC.2004.842941 |
[11] |
贾其兰, 白媛, 王倩, 等. UMTSAKA机制中序列号安全性分析[J]. 北京邮电大学学报, 2015, 38(S1): 87-91. JIA Q L, BAI Y, WANG Q, et al. Security analysis of serial number in UMTSAKA mechanism[J]. Journal of Beijing University of Posts and Telecommunications, 2015, 38(S1): 87-91. (in Chinese) |
[12] |
向东南, 毛文俊. LTE系统EPS-AKA过程安全性研究与改进[J]. 无线电通信技术, 2016, 42(5): 60-63. XIANG D N, MAO W J. Research and improvement of EPS-AKA process security in LTE system[J]. Radio Communication Technology, 2016, 42(5): 60-63. DOI:10.3969/j.issn.1003-3114.2016.05.15 (in Chinese) |
[13] |
BORGAONKAR R, HIRSCHI L, PARK S, et al. New privacy threat on 3G, 4G, and upcoming 5G AKA protocols[J]. Proceedings on Privacy Enhancing Technologies, 2019(3): 108-127. |
[14] |
BASIN D, DREIER J, HIRSCHI L, et al. A formal analysis of 5G authentication[C]//2018 ACM SIGSAC Conference. Tornoto, Canada: ACM, 2018: 1383-1396.
|
[15] |
CREMERS C, DEHNEL-WILD M. Component-based formal analysis of 5G-AKA: Channel assumptions and session confusion[C]//Proceedings of the Network and Distributed System Security Symposium (NDSS). San Diego, USA: IEEE, 2019: 23394.
|
[16] |
刘彩霞, 胡鑫鑫, 刘树新, 等. 基于Lowe分类法的5G网络EAP-AKA'协议安全性分析[J]. 电子与信息学报, 2019, 41(8): 1800-1807. LIU C X, HU X X, LIU S X, et al. Security analysis of 5G network EAP-AKA' protocol based on lowe classification[J]. Journal of Electronics and Information Technology, 2019, 41(8): 1800-1807. (in Chinese) |
[17] |
3GPP. Security architecture and procedures for 5G system: 3GPP TS 33.501[S]. Nice: ETSI, 2019.
|
[18] |
LOWE G. A hierarchy of authentication specifications[C]//The 10th Computer Security Foundations Workshop, Rockport, USA, 1997: 31-43.
|
[19] |
DOLEV D, YAO A. On the security of public key protocols[J]. IEEE Transactions on Information Theory, 1981, 29(2): 198-208. |