本发明专利技术提供了一种基于组策略的电力4G网络安全认证和密钥协商方法,包括;首先将大量的MTC设备分组,组首搜集组成员的认证请求信息,并对这些信息进行聚合;接着组首(Group Header)与移动管理实体(MME),用户归属地服务器(HSS)完成相互认证,通过时间戳来判断组首是否合法,同时用户归属地服务器生成组认证矢量(GAV);然后MME存储GAV,比较时间戳,进一步验证组首的合法性;最后,组首与组成员进行相互认证,认证完成后,组首将相应协商信息发送给组成员,组成员验证HSS的信息,并生成会话密钥SSK。该发明专利技术能够在大量终端设备同时访问核心网时,极大地减轻核心网的网络拥塞和负担,而且减少通信开销,还能够减少认证时延,有效抵抗常见攻击。
【技术实现步骤摘要】
本专利技术属于电力系统通信
,具体涉及一种基于组策略的电力4G网络安全认证和密钥协商方法。
技术介绍
目前随着移动设备(MTC)的不断增长,大量设备同时访问核心网络时,会产生网络拥塞,如何提出通用的认证和密钥协商方案成为关键问题。针对4G网络,已经提出了单个设备和组认证方案。目前关于AKA(认证和密钥协商)的安全接入方案也逐渐成熟。但这些方案都不能很好地处理大量设备同时访问核心网络而产生的网络拥塞问题。而基于群组的AKA是缓解网络拥塞的有效途径之一,近年来也受到学术界和产业界的广泛关注。目前的基于组策略的AKA的方案致力于解决信号拥塞和减轻通信负载。3GPP委员会已经定义了MTC的安全需求,扩展的EPS-AKA的协议作为一种标准的方法来实现这些安全要求。尽管这些已经提出的方案用来解决MTC组认证和密钥协商方案,但是不适合大量设备传输信息和低带宽的场景。Chen等人提出的一种基于组策略的AKA(GAKA)协议来实现一组设备从一个归属网络漫游至另外一个服务网络,但是不能处理大量设备同时访问核心网络产生的网络拥塞,因为每个设备发送的认证请求是独立的。而且不能抵抗中间人攻击和重定向攻击。Lai等人提出了SE-AKA能够抵抗以前工作中所有的攻击,极大地简化了Chen提出方案中的认证过程,另外,指出Cao的方案中聚合签名代价很大,其方案提高AKA协议的安全性,但和G-AKA方案一样存在网络拥塞问题。Li等人提出一种基于组策略的动态政策更新AKA方案,方案运用无证书聚合签名方法,同时应用在LTE-A网络中。尽管方案能够一次有效地认证一组设备,但是不适合资源受限的设备。Lai等人提出一种基于组策略的轻量级认证方案,方案应用于资源受限的M2M通信。方案是基于公钥加密系统,能够在3GPP和非3GPP接入中实现有效的和安全的组认证。但方案没有实现Group Header和Group Member之间的相互认证。同时,以上方法在通信负载方面,带宽消耗性能并不理想。综上所述,现有的基于组策略的认证和密钥协商方法在大量设备同时访问核心网络的情况下,拥塞避免远不能满足实际应用的需求。
技术实现思路
为克服上述现有技术的不足,本专利技术提供一种电力4G网络的基于组策略的安全认证和密钥协商方法,该方法能够抵抗常见的攻击,如重定向攻击、中间人攻击;并且减少通信负载和通信次数,尤其是在大量设备同时访问核心网络时的情况下更佳。实现上述目的所采用的解决方案为:一种基于组策略的电力4G网络安全认证和密钥协商方法,所述安全认证和密钥协商方法包括:步骤1:初始化阶段,组首分发请求信息;步骤2:GBS-AKA-I阶段,组首和移动管理实体、用户归属地服务器完成整个认证和密钥协商过程;步骤3:GBS-AKA-II阶段,组首和组成员完成相互认证。优选的,所述步骤1包括:(1-1)给每个移动设备分配私有的ID,并且允许移动设备在3GPP网络中注册;(1-2)使用分组算法将属于同一个区域、同一个应用、同样行为的MTC设备分组,每组包括组首和组成员,给每个组提供组密钥GKi和组编号IDGi。进一步的,所述MTC设备都有一个与用户归属地服务器共享的秘钥kGMij。优选的,所述步骤2包括:(2-1)每个组成员生成请求接入认证信息,并将信息发送至组首;(2-2)组首对搜集来的信息进行聚合,将聚合后的信息发送至所述移动管理实体;(2-3)所述移动管理实体判断组首的合法性,若合法,则将处理后的信息发送至所述用户归属地服务器;(2-4)所述用户归属地服务器判断信息是否超过时间戳,若超过则抛弃这些信息,并向所述移动管理实体返回失败的消息;否则验证其中组成员的正确性,验证成功后生成组认证矢量GAV,同时将信息转发至移动管理实体;(2-5)所述移动管理实体将收到的数据分成两个部分,一部分用于验证组成员,一部分用于密钥协商,移动管理实体向组首发送认证信息;(2-6)组首收到移动管理实体发送过来的数据进行计算处理,判断是否超过时间戳门限,若未超过时间戳门限,则组首将相应的响应信息发送至移动管理实体;(2-7)移动管理实体收到组首认证响应信息,移动管理实体将存储用于生成密钥协商的信息发送至组首。优选的,所述步骤3包括:(3-1)移动管理实体将相应认证和协商数据发送至组首,组首运用认证数据与组成员实现相互的认证,组首分发请求接入数据至组成员;(3-2)组成员收到数据,验证移动管理实体的信息验证码和用户归属地服务器的信息验证码合法性,若验证通过,则发送验证成功响应信息至组首;(3-3)组首收到响应信息后,将用于协商的数据发送至组成员;(3-4)组成员根据协商数据,生成与核心网络的会话密钥。与最接近的现有技术相比,本专利技术提供的技术方案具有以下有益效果:1、本专利技术的方法能够抵抗常见的攻击,适用于对带宽和通信负载要求比较小的系统。2、本专利技术在大量设备同时访问核心网络的情况下,具有较好地拥塞避免性能,更适用于电力4G无线安全认证和密钥协商的实际应用。附图说明图1为本专利技术的方法框架图。图2为本专利技术GBS-AKA协议示意图。图3为本专利技术在4G无线通信环境下,认证矢量为n=10,组数=10的带宽消耗示意图。图4为本专利技术在4G无线通信环境下,认证矢量为n=50,组数=2的带宽消耗示意图。图5为本专利技术在4G无线通信环境下,认证矢量为n=10,组数=2的带宽消耗示意图。图6为本专利技术在4G无线通信环境下,认证矢量为n=10,组数=5的带宽消耗示意图。具体实施方式下面结合附图对本专利技术的具体实施方式做进一步的详细说明。信息聚合,基于新的技术,聚合消息认证码(aggregate message authentication codes,AMACs)核心网络能够同时认证一个组中所有的MTC设备。AMACs具有这样的属性,不同的发送者发送多个信息,这些信息可以计算得到为MAC标签,而且这些MAC标签可以聚合成很短的标签。AMACs是一个概率多项式时间元组算法(MAC,Agg,Vrfy):认证算法Mac:输入一个密钥k={0,1本文档来自技高网...
【技术保护点】
一种基于组策略的电力4G网络安全认证和密钥协商方法,其特征在于,所述安全认证和密钥协商方法包括:步骤1:组首分发请求信息;步骤2:组首和移动管理实体、用户归属地服务器完成整个认证和密钥协商过程;步骤3:组首和组成员完成相互认证。
【技术特征摘要】
1.一种基于组策略的电力4G网络安全认证和密钥协商方法,其特征在于,所述安全认证和密钥协商方法包括:步骤1:组首分发请求信息;步骤2:组首和移动管理实体、用户归属地服务器完成整个认证和密钥协商过程;步骤3:组首和组成员完成相互认证。2.如权利要求1所述的安全认证和密钥协商方法,其特征在于,所述步骤1包括:(1-1)给每个移动设备分配私有的ID,并且允许移动设备在3GPP网络中注册;(1-2)使用分组算法将属于同一个区域、同一个应用、同样行为的MTC设备分组,每组包括组首和组成员,给每个组提供组密钥GKi和组编号IDGi。3.如权利要求2所述的安全认证和密钥协商方法,其特征在于,所述MTC设备都有一个与用户归属地服务器共享的秘钥kGMij。4.如权利要求1所述的安全认证和密钥协商方法,其特征在于,所述步骤2包括:(2-1)每个组成员生成请求接入认证信息,并将信息发送至组首;(2-2)组首对搜集来的信息进行聚合,将聚合后的信息发送至所述移动管理实体;(2-3)所述移动管理实体判断组首的合法性,若合法,则将处理后的信息发送至所述用户归属地服务器;(2-4)所述用户归属地服务器...
【专利技术属性】
技术研发人员:姚继明,王磊,王涛,郭经红,李炳林,张浩,张爱清,陈鸣锴,缪巍巍,韦磊,
申请(专利权)人:全球能源互联网研究院,国网江苏省电力公司,国家电网公司,国网江苏省电力公司南京供电公司,南京邮电大学,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。