5G网络认证及密钥协商协议的安全性分析
贾凡1, 严妍2, 袁开国3, 赵璐婧1    
1. 北京交通大学 电子信息工程学院, 北京 100044;
2. 中国网络安全审查技术与认证中心, 北京 100020;
3. 北京邮电大学 网络空间安全学院, 北京 100876
摘要:5G网络发展迅速,作为系统安全基础的认证和密钥协商协议,其安全性是5G安全的核心问题。该文借助TAMARIN证明程序对5G网络中的EAP-AKA'协议进行建模分析。通过分析协议规范将安全性需求归纳为保密属性和认证属性两种安全属性,利用TAMARIN建立模型来验证不同安全属性的满足程度。根据TAMARIN证明程序返回的验证结果,该文发现了SEAF与AUSF间关于SNID的单射一致性违反以及锚定密钥KSEAF前向保密性的违反,从而发现了重放攻击、身份验证同步失败攻击以及锚定密钥KSEAF泄露攻击,并针对这些攻击提出了相应的安全加固方法,最后对方法进行理论分析和实验验证。
关键词5G网络安全    EAP-AKA'    Lowe分类法    TAMARIN    
Security analysis of 5G authentication and key agreement protocol
JIA Fan1, YAN Yan2, YUAN Kaiguo3, ZHAO Lujing1    
1. School of Electronic and Information Engineering, Beijing Jiaotong University, Beijing 100044, China;
2. China Cybersecurity Review Technology and Certification Center, Beijing 100020, China;
3. School of Cyberspace Security, Beijing University of Posts and Telecommunication, Beijing 100876, China
Abstract: 5G networks are developing rapidly. The security of the authentication and key agreement protocols is the core issue of 5G security. The TAMARIN prover is used here to analyze the EAP-AKA' protocol for 5G networks. The protocol specifications are analyzed to identify the security requirements as a confidential attribute and an authentication attribute. A model is then established according to the TAMARIN standard to verify that these security attributes are satisfied. The verification results show a single shot consistency violation between SEAF and AUSF regarding SNID and a violation of the forward secrecy of the anchor key KSEAF, which may lead to the network experiencing replay attacks, authentication synchronization failure attacks, and Anchor key KSEAF leak attacks. Security hardening methods are then presented for these attacks with theoretical and experimental verification.
Key words: 5G network security    EAP-AKA'    Lowe's taxonomy    TAMARIN    

5G网络以其高带宽、低时延备受关注,而其安全问题也一直是用户和研究者关心的焦点。与传统通信网络相比,5G对各种异构接入技术及异构设备的支持,使得5G接入网面临更加复杂的安全问题[1]。5G的安全需求除2G/3G/4G已有的无线、传输交换及核心网安全需求外,还需考虑边缘计算及切片安全等特殊需求[2]。网络认证及密钥协商协议是移动通信系统的安全基础,其安全也是5G安全的核心问题。Mjlsnes等[3]提出了一种简易获取LTE网络中用户身份信息IMSI(international mobile subscriber identity)的方法,Hussain等[4]发现了IMSI可暴力破解。Kim等[5]发现了资源耗尽攻击、拒绝服务攻击、AKA(authentication and key agreement)过程可绕过、重放攻击等漏洞。Rupprecht等[6]研究并识别了身份映射攻击、网站指纹识别攻击及LTE用户数据操纵攻击。Hussain等[7]发现了身份验证同步失败及身份验证中继攻击等多种攻击形式。Arapinis等[8]对3G网络规范进行分析,发现了2种寻呼过程中的可链接性攻击与AKA协议中的可链接性攻击。郑康峰等[9]介绍了3G网络AKA协议相关的攻击:基于序列号的攻击、协议相关的攻击、用户身份泄露攻击、数据流重定向攻击等。Zhang等[10]对UMTS-AKA协议进行分析,提出了重定向攻击和虚假重新同步请求。贾其兰等[11]发现了针对UMTS-AKA协议中序列号SQN的另一种攻击模式:攻击者主动重放信息会造成身份验证同步失败。向东南等[12]提出了EPS-AKA协议的一个安全隐患:随机质询RAND的明文传输。Borgaonkar等[13]提出了一种针对所有AKA变体的攻击:SQN泄露攻击。

Basin等[14]借助TAMARIN证明程序对5G-AKA协议进行形式化分析,发现了锚定密钥KSEAF与用户身份SUPI(subscription permanent identifier)之间可能存在错误分配、用户与服务网络端锚定密钥KSEAF可能不一致的问题。Cremers等[15]同样借助TAMARIN对5G-AKA协议进行建模,提出了新的安全隐患:锚定密钥KSEAF的错误分配导致的信息泄露问题。刘彩霞等[16]借助TAMARIN对EAP-AKA′协议进行建模分析,发现了显式密钥确认缺失的问题。

上述研究表明,LTE网络及AKA协议组中存在一些漏洞及攻击类型,而5G网络中的AKA协议的安全性有待更深入的研究。本文将对EAP-AKA′协议进行细粒度的建模分析,验证协议的安全性。

1 相关理论基础 1.1 EAP-AKA′协议

EAP-AKA′与5G-AKA均为5G网络中的认证和密钥协商协议,用于完成身份验证并生成通信密钥。EAP-AKA′是EAP-AKA的小幅修订,增加了新的密钥派生功能,用于将派生的密钥与服务网络名称进行绑定。

1.1.1 协议实体

本文尽可能还原规范对协议的描述,选择漫游场景进行建模分析,该场景下参与协议的实体有以下4个。

1) UE:“user equipment”用户设备,存储本地网络(home network,HN)公钥pk、用户的身份SUPI以及共享长期密钥,可以将SUPI加密得到其临时身份SUCI(subscription concealed identifier),用于认证过程中的身份隐藏保护,以防止身份SUPI的泄露。

2) SEAF:“security anchor function”安全锚功能,服务网络(serving network,SN)的主要参与实体,需要构建并传输服务网络名称SNname。

3) AUSF:“authentication server function”身份验证服务器,属于本地网络的参与实体,负责判断SEAF实体的授权与否、生成锚定密钥KSEAF以及验证来自UE的认证响应的正确性。

4) ARPF:“authentication credential repository and processing function”身份验证凭证存储和处理,同样属于本地网络的参与实体,负责存储保密信息(共享长期密钥K、UE的身份SUPI、根序列号sqn)、授权SUPI以及生成认证向量,保存本地网络私钥sk,解析SUCI获取SUPI。

1.1.2 信道介绍

根据规范,协议涉及到的信道有3个。

1) UE↔SEAF:使用空中接口进行通信,容易受到被动攻击者的窃听和主动攻击者的修改、注入等攻击,建模为不安全的信道,使用TAMARIN内置的Out和In事实实现信息的收发。

2) SEAF↔AUSF:该信道属于“e2e core network interconnection”,提供机密性和完整性保护,建模为安全信道,使用自定义的安全事实完成信息的收发。

3) AUSF↔ARPF:该信道与SEAF↔AUSF信道同属于“e2e core network interconnection”,建模为安全的信道。

1.1.3 协议流程

EAP-AKA′协议的流程如图 1所示。SUCI为SUPI的加密隐藏,pk为本地网络公钥。

$ \mathrm{SUCI}=\operatorname{enc}(\langle\mathrm{SUPI}, \sim R\rangle, \mathrm{pk}). $ (1)
图 1 EAP-AKA′协议流程图

SNID为服务网络标识符,ARPF将按以下方法生成认证向量AV(authentication vector):

$ \mathrm{AV}=\mathrm{RAND}\|\mathrm{XRES}\| \mathrm{CK}\|\mathrm{IK}\| \mathrm{AUTN}, $ (2)
$ \mathrm{XRES}=f 2(K, \mathrm{RAND}), $ (3)
$ \mathrm{CK}=f 3(K, \mathrm{RAND}), $ (4)
$ \mathrm{IK}=f 4(K, \mathrm{RAND}), $ (5)
$ \mathrm{AUTN}=\mathrm{SQN} \oplus \mathrm{AK} \| \mathrm{MANC}, $ (6)
$ \mathrm{AK}=f 5(K, \mathrm{RAND}), $ (7)
$ \mathrm{MAC}=f 1(K, \mathrm{SQN} \| \mathrm{RAND}). $ (8)

其中:RAND为随机质询;SQN为序列号,根序列号sqn在用户初始化时生成;K为共享长期密钥;f1—f5为单向函数;XRES为预期响应;CK为保密性密钥;IK为完整性密钥;AK为匿名密钥,用于隐藏序列号SQN值;AUTN为认证令牌,与质询一同发送到用户端;MAC用于验证消息的正确性,以实现用户对网络的认证。

ARPF根据CK和IK计算得到CK′和IK′,并替换CK和IK得到最终的认证向量AV′。

$ \begin{gathered} \mathrm{CK}_{-} \mathrm{IK}^{\prime}= \\ \mathrm{KDF}(\langle\mathrm{CK}, \mathrm{IK}\rangle,\langle\mathrm{SNID}, \mathrm{SQN} \oplus \mathrm{AK}\rangle). \end{gathered} $ (9)

CK′为CK_IK′的高128位,IK′为CK_IK′的低128位。本文模型中对其进行简化,直接使用CK_IK′来替代,即

$ \mathrm{AV}^{\prime}=\mathrm{RAND}\|\mathrm{XRES}\| \mathrm{CK}_{-} \mathrm{IK}^{\prime} \| \mathrm{AUTN}^{\prime}. $ (10)

UE接收到消息后,首先计算AK值并验证SQN。模型中由于未建模重新同步机制,将此步骤进行简化,UE接收到消息后,直接使用所保留的根序列号sqn计算XAUTN并与AUTN进行比较。RES的计算与ARPF中XRES的计算相同。

$ \mathrm{XMAC}=f 1(K, \text { sqn } \| \mathrm{RAND}), $ (11)
$ \mathrm{XAUTN}=\mathrm{sqn} \oplus \mathrm{AK} \| \mathrm{XMAC}. $ (12)

AUSF通过比较RES与XRES验证响应,锚定密钥KSEAF计算如下:

$ \mathrm{MK}=\mathrm{PRF}^{\prime}\left(\left\langle\mathrm{IK}^{\prime}, \mathrm{CK}^{\prime}\right\rangle,\left\langle\mathrm{EAP}-\mathrm{AKA}^{\prime}, \mathrm{SNID}\right\rangle\right). $ (13)

EMSK为MK的第1 152—1 663位,即

$ \mathrm{EMSK}=\mathrm{MK}[1\ 152 \cdots 1\ 663]. $ (14)

KAUSF为EMSK的高256位,

$ K_{\mathrm{SEAF}}=\mathrm{KDF}\left(K_{\mathrm{AUSF}}, \mathrm{SNID}\right). $ (15)

上述计算过程在模型中进行了简化

$ K_{\mathrm{AUSF}}=\mathrm{SHA} 256(\mathrm{MK}) . $ (16)
$ \mathrm{MK}=\mathrm{PRF}^{\prime}\left(\mathrm{CK}_{-} \mathrm{IK}^{\prime}, \mathrm{SNID}\right). $ (17)

UE接收到认证成功的消息后,根据相同的步骤计算KSEAF

1.2 TAMARIN证明程序

TAMARIN证明程序是用于安全协议的符号建模和分析的强大工具。它以安全协议模型为输入,输出正确或错误的路径。协议流程与状态转换通过rule实现,安全属性建模通过lemma实现。

2 安全属性分析与模型设计 2.1 安全属性分析 2.1.1 认证属性分析

本文将从规范[17]中归纳的认证属性应用于参与协议的4个实体:用户UE、服务网络实体代表SEAF、身份验证服务器AUSF、身份验证凭证存储和处理ARPF。认证等级根据研究[18]中定义的等级进行分类,从弱到强分别为:存活性(aliveness)、弱一致性(weak agreement)、非单射一致性(non-injective agreement)、单射一致性(injective agreement)。最终得到表 1的内容。第1行为扮演A角色的实体,第1列为扮演B角色的实体。表中所列为角色B对角色A针对某些数据项进行的认证属性验证。标记为“—”的为不需要进行验证,其余均需要对某些数据项满足非单射一致性。

表 1 认证属性列表
B\A UE SEAF AUSF ARPF
UE SNID、KSEAF SNID、KSEAF SNID
SEAF SUPI、KSEAF SUPI、SNID、KSEAF SUPI
AUSF SUPI、KSEAF SNID、KSEAF
ARPF SUPI SNID

2.1.2 保密属性分析

结合规范要求以及3G、LTE网络中对应项的要求,考虑到数据泄露的后果,保密属性需满足表 2所列出的所有内容。第1行为需要满足保密属性的实体,第1列为需要满足保密属性的术语。标记为“—”的不需要进行验证,标记为“√”的需要满足实体对术语的保密属性。

表 2 保密属性列表
UE SEAF AUSF ARPF
K
SQN
SUPI
KSEAF
KAUSF

2.2 基于TAMARIN的模型设计 2.2.1 敌手模型

TAMARIN证明程序默认提供的对手模型为Dolev-Yao敌手模型[19],对手满足以下条件:

1) 模型中任何以Out事实发送到信道中的信息都可以通过KD事实被对手捕获。

2) 对手可以根据自身知识体系通过KU事实进行信息的构造。

3) 对手根据KU事实构造的信息可以通过In事实注入到信道中,进而被合法实体接收。

4) 对手在未获取密钥的情况下,无法解密信息,不具备暴力破解的能力。

本文的对手模型在此基础上,可以获取共享密钥K与根序列号sqn,这通过SUPI实体发生Reveal事实,之后将信息通过Out事实输出到公共信道中实现。

2.2.2 安全属性建模

安全属性的模型实现如表 3所示,保密属性以UE对K的保密属性为例,认证属性以SEAF对UE的认证属性为例。

表 3 安全属性建模
安全属性 代码示意
保密性 All SUPI t #i. Secret1(〈USIM, SUPI〉, 〈key, t〉) @i
      ⇒ (not (Ex #j. K(t)@j)) | (Ex X data #r. Reveal(X, data)@r)
前向保密性 All SUPI t #i. Secret1(〈USIM, SUPI〉, 〈key, t〉) @i
      ⇒ not (Ex #j. K(t)@j)
非单射一致性 All SUPI SNID t #i. Commit(SUPI, SNID, 〈USIM, SEAF, t〉) @i
      ⇒(Ex #j. Running(SNID, SUPI, 〈USIM, SEAF, t〉) @j) | (Ex X data #r. Reveal(X, data)@r)
单射一致性 All SUPI SNID t #i. Commit(SUPI, SNID, 〈USIM, SEAF, t〉) @i
      ⇒(Ex #j. Running(SNID, SUPI, 〈USIM, SEAF, t〉) @j & j 〈 i & not(Ex SUPI2 SNID2 #i2. Commit(SUPI2, SNID2, 〈USIM, SEAF, t〉) @i2 & not(#i2 = #i))) | (Ex X data #r. Reveal(X, data)@r)

3 结果展示与分析 3.1 认证属性 3.1.1 结果展示

认证属性验证结果如下:表 1中所列内容的非单射一致性均得到了满足,但是SEAF与AUSF间关于SNID的单射一致性发生了违反。

3.1.2 攻击类型

SEAF对AUSF关于SNID的单射一致性的违反,是由于UE与SEAF间发生了重放攻击。该攻击仅导致信道以及实体的负担,并不会造成更深的影响。但是,如果ARPF实体接收重放的SUCI信息,它可能会导致如下的身份验证同步失败攻击:

1) 攻击的第1阶段,对手窃听UE与SEAF间的信道。当受害用户发起认证请求后,对手可以捕获并存储认证请求中的SUCI信息,加入自身知识体系。

2) 攻击的第2阶段,对手不断重放SUCI与SNID。ARPF接收到重放的SUCI后会检验SUPI是否在自身数据库中,若存在,则根据SUPI对应的K、SQN生成认证向量并发送到AUSF,同时,增加自身SQN值。随着对手不断重放SUCI,ARPF会不断接收该信息并增加SQN值,但受害用户端并未接收到认证信息,其SQN值并未改变,这将导致受害用户与ARPF间SQN的失步,当二者相差达到阈值后,就会造成攻击。

3.2 保密属性 3.2.1 结果展示

保密属性的验证结果如下:表 2所列内容的保密性均得到了满足,但UE对K、SQN、KSEAF以及KAUSF的前向保密性均发生了违反。其中,UE对K、SQN的前向保密性违反不会直接导致锚定密钥KSEAF的泄漏,但是可以作为锚定密钥KSEAF泄漏攻击的前导攻击。

3.2.2 攻击类型

保密属性的违反造成了锚定密钥泄露攻击(见图 2)。

图 2 锚定密钥构造图

攻击第1阶段,对手获取曾经泄露的K与SQN值;攻击第2阶段,对手获取当前认证过程中的SNID与RAND,构造KSEAF

4 安全加固方法 4.1 身份验证同步失败攻击的安全加固方法

节3.1.2中展示了SEAF对AUSF关于SNID属性的违反可能造成的身份验证同步失败攻击。攻击的实现基于ARPF实体仅验证SUPI的存在,未验证SUCI是否曾用这一事实,规范[17]中并未对其进行明确说明,这可能造成实际配置上的忽略,研究表明[5]LTE真实网络中存在此种检验忽略。

本文提出的安全加固方法在UE与ARPF间共享的变量中添加了一个新的变量R,用于表示UE初始化后初次认证时,加密SUPI使用的随机数,即

$ \mathrm{SUCI}=\operatorname{enc}(\langle\mathrm{SUPI}, R\rangle \mathrm{pk}) $

1) UE使用该SUCI值请求认证信息。

2) SEAF与AUSF保持正常操作不改变。

3) ARPF接收到认证请求后,计算得到〈SUPI,R〉,首先判断SUPI是否存在,其次判断R是否正确。若正确,则产生新的随机数并保存,再继续应执行的操作:增加SQN值,生成认证向量。新的随机数需要与认证信息一同发送到UE用于下次认证时加密SUPI。为了保证此值不被对手获取,可使用K进行加密。

4) AUSF与SEAF将信息转发到UE。

5) UE在SQN及MAC验证成功后将保存的R更改为新的R′,用于下次认证请求。

此方法下,用户未进行认证时,对手无法获取SUCI。在用户使用SUCI发起一次认证请求后,若对手重放SUCI,仅能转发到ARPF,但是,此时ARPF处保存的随机数已经更改为R′,因此会直接导致验证失败,拒绝此次认证,防止了身份验证同步失败攻击以及后续深层次攻击的发生。

4.2 重放SUCI攻击的安全加固方法

由于UE与SN空口信道的不安全性,易受到信息注入攻击,本文提出一种将SUCI重放攻击的影响仅局限到本地网络SN的安全加固方法。

在服务网络端保存一个数组SuciArr,用于保存接收到的SUCI信息。数组最大长度与可容许重放次数相关,在此以2为例(此值可依据实验结果可调)。数组的初始状态置空。SEAF接收到带有SUCI的认证请求后,检查数组的长度。

1) 若为0:之前未进行认证,或之前的认证请求信息已删除,直接将SUCI添加到数组中,不做其他处理,按照正常的协议流程进行信息的转发。

2) 若为1:表明之前接收到了SUCI,假设此次收到的值为SUCI2,比较二者。若不同,则表示SUCI2不是重放值,将SUCI移除,并将SUCI2添加到数组中。若相同,则此次可能是重放的认证请求信息,将SUCI2添加到数组中。无论比较结果是否相同,均不做其他处理,按照正常的协议流程进行信息的转发。

3) 若为2:表示此时数组中存在2个值,且二者相等,假设此次接收到的值为SUCI3,比较SUCI与数组中的SUCI/SUCI2(二者相等)。若不同,则假定上一次的相同是由于用户未更改加密隐藏使用的随机数值,将数组清空,将SUCI3添加到数组中,不做其他处理,按照正常的协议流程进行信息的转发;若相同,则认为是对手恶意重放,直接拒绝此次认证,数组不做处理,等待下一次请求。

此种方法下,考虑了用户认证时可能使用相同的SUCI(LTE网络中存在临时身份TMSI并非每次认证都进行更改的现象),同时限制了重放的可能(相同的SUCI值到达一定数量则拒绝认证)。

4.3 锚定密钥KSEAF泄露攻击的安全加固方法

锚定密钥KSEAF的泄露,是由于KSEAF计算相关的K、sqn、RAND均可由对手获取。本文认为文[12]提出的引入Diffie-Hellman算法以隐藏RAND的方法可以消除此攻击的可能性。

1) UE在发起认证请求时传送A=gRUEmodp,用于ARPF实体计算KRAND。其中p是普通素数,g是原始根,RUE为UE端产生的随机数。

2) SEAF与AUSF中间的转发操作不作改变。

3) ARPF接收到认证请求信息后,产生随机数RHN,并计算B=gRHNmodp,将KRAN=ARHN modp作为随机质询RAND的替代用来计算锚定密钥KSEAF,将B作为随机质询RAND的替代发送到UE端。

4) UE接收到修改后的质询替代者B后,计算KRAND=BRUE mod p,代替随机质询RAND计算响应RES。

5) AUSF验证响应,并将锚定密钥KSEAF与SUPI发送到SEAF。

6) UE接收到认证成功的消息后,使用第4)步中的KRAND计算锚定密钥KSEAF

由于对手仅可获得AB,无法获取UE以及ARPF处生成的随机数RUERHN,因此无法构造出KRAND信息,也就无法构造出锚定密钥KSEAF,从而保证了后续通信密钥的安全性。

方法只是对协议中的数据进行细微的更改,仅需要UE及ARPF实体在计算时进行算法的改变,整体流程依旧基于EAP-AKA′协议,具有很好的兼容性。

在此加固方法下,K及sqn的单独泄露将不会导致更深层次的攻击(对手无法构造锚定密钥KSEAF)。本文同样借助TAMARIN证明程序对方法进行了验证,确认了该方法虽然无法保证K与sqn的前向保密性,但是KSEAFKAUSF的前向保密性得到了满足。

5 结论

本文分析了EAP-AKA′协议的相关规范[17],总结规范中规定的安全性需求并归纳为不同的安全属性:保密属性和认证属性。之后借助TAMARIN证明程序对安全属性进行建模分析,发现了2种不同的属性违反,提出了3种攻击类型以及相应的安全加固方法,使用TAMARIN证明程序对锚定密钥KSEAF泄露攻击的安全加固方法进行了验证。

后续工作可以对模型进行进一步完善,实现重新同步机制的建模。另外,可以将借助USRP设备对攻击类型在5G网络中的实现进行实验验证作为下一步研究工作。

参考文献
[1]
冯登国, 徐静, 兰晓. 5G移动通信网络安全研究[J]. 软件学报, 2018, 29(6): 1813-1825.
FENG D G, XU J, LAN X. Study on 5G mobile communication network security[J]. Journal of Software, 2018, 29(6): 1813-1825. (in Chinese)
[2]
邱勤, 张滨, 吕欣. 5G安全需求与标准体系研究[J]. 信息安全研究, 2020(8): 673-679.
QIU Q, ZHANG B, LÜ X. Research on the requirements and standard system of 5G cybersecurity[J]. Journal of Information Security Research, 2020(8): 673-679. DOI:10.3969/j.issn.2096-1057.2020.08.002 (in Chinese)
[3]
MJLSNES S F, OLIMID R F. Easy 4G/LTE IMSI catchers for nonprogrammers[C]//International Conference on Mathematical Methods, Models, and Architectures for Computer Network Security. Warsaw, Poland: Springer, 2017: 235-246.
[4]
HUSSAIN S R, ECHEVERRIA M, CHOWDHURY O, et al. Privacy attacks to the 4G and 5G cellular paging protocols using side channel information[C]//Proceedings of the Network and Distributed System Security Symposium (NDSS). San Diego, USA, 2019: 23442.
[5]
KIM H, LEE J, LEE E, et al. Touching the untouchables: Dynamic security analysis of the LTE control plane[C]//2019 IEEE Symposium on Security and Privacy (SP). San Francisco, USA: IEEE, 2019: 1153-1168.
[6]
RUPPRECHT D, KOHLS K, HOLZ T and PÖPPER C. Breaking LTE on Layer Two[C]//2019 IEEE Symposium on Security and Privacy (SP). San Francisco, USA: IEEE, 2019: 1121-1136.
[7]
HUSSAIN S R, CHOWDHURY O, MEHNAZ S, et al. LTEInspector: A systematic approach for adversarial testing of 4G LTE[C]//Proceedings of the Network and Distributed System Security Symposium. San Diego, USA: IEEE, 2018: 23313.
[8]
ARAPINIS M, MANCINI L, RITTER E, et al. New privacy issues in mobile telephony: Fix and verification[C]//Proceedings of 2012 ACM Conference on Computer and Communications Security, Raleigh, USA, 2012: 205-216.
[9]
陆峰, 郑康锋, 钮心忻, 等. 3GPP认证与密钥协商协议安全性分析[J]. 软件学报, 2010, 21(7): 1768-1782.
LU F, ZHENG K F, NIU X X, et al. Security analysis of 3GPP authentication and key agreement protocol[J]. Journal of Software, 2010, 21(7): 1768-1782. (in Chinese)
[10]
ZHANG M, FANG Y. Security analysis and enhancements of 3GPP authentication and key agreement protocol[J]. IEEE Transactions on Wireless Communications, 2005, 4(2): 734-742. DOI:10.1109/TWC.2004.842941
[11]
贾其兰, 白媛, 王倩, 等. UMTSAKA机制中序列号安全性分析[J]. 北京邮电大学学报, 2015, 38(S1): 87-91.
JIA Q L, BAI Y, WANG Q, et al. Security analysis of serial number in UMTSAKA mechanism[J]. Journal of Beijing University of Posts and Telecommunications, 2015, 38(S1): 87-91. (in Chinese)
[12]
向东南, 毛文俊. LTE系统EPS-AKA过程安全性研究与改进[J]. 无线电通信技术, 2016, 42(5): 60-63.
XIANG D N, MAO W J. Research and improvement of EPS-AKA process security in LTE system[J]. Radio Communication Technology, 2016, 42(5): 60-63. DOI:10.3969/j.issn.1003-3114.2016.05.15 (in Chinese)
[13]
BORGAONKAR R, HIRSCHI L, PARK S, et al. New privacy threat on 3G, 4G, and upcoming 5G AKA protocols[J]. Proceedings on Privacy Enhancing Technologies, 2019(3): 108-127.
[14]
BASIN D, DREIER J, HIRSCHI L, et al. A formal analysis of 5G authentication[C]//2018 ACM SIGSAC Conference. Tornoto, Canada: ACM, 2018: 1383-1396.
[15]
CREMERS C, DEHNEL-WILD M. Component-based formal analysis of 5G-AKA: Channel assumptions and session confusion[C]//Proceedings of the Network and Distributed System Security Symposium (NDSS). San Diego, USA: IEEE, 2019: 23394.
[16]
刘彩霞, 胡鑫鑫, 刘树新, 等. 基于Lowe分类法的5G网络EAP-AKA'协议安全性分析[J]. 电子与信息学报, 2019, 41(8): 1800-1807.
LIU C X, HU X X, LIU S X, et al. Security analysis of 5G network EAP-AKA' protocol based on lowe classification[J]. Journal of Electronics and Information Technology, 2019, 41(8): 1800-1807. (in Chinese)
[17]
3GPP. Security architecture and procedures for 5G system: 3GPP TS 33.501[S]. Nice: ETSI, 2019.
[18]
LOWE G. A hierarchy of authentication specifications[C]//The 10th Computer Security Foundations Workshop, Rockport, USA, 1997: 31-43.
[19]
DOLEV D, YAO A. On the security of public key protocols[J]. IEEE Transactions on Information Theory, 1981, 29(2): 198-208.