1、2023 年 11 月第 19 卷 第 4 期系统仿真技术System Simulation TechnologyNov.,2023Vol.19,No.4异网漫游场景下5G电力虚拟专网认证协议密钥交换算法孟建*,李坤,程辉,侯路,徐群(国网山东省电力公司青岛供电公司,山东 青岛 266002)摘要:当前认证协议密钥交换算法主要依托于格理论,易受到传输信道互易性影响,导致算法安全性较低。本研究提出异网漫游场景下5G电力虚拟专网认证协议密钥交换算法。根据异网漫游场景下5G电力虚拟专网的总体互联架构及其形式化传输信道具有互易性影响,对认证协议共享私密信道进行估计,获取通信双方同一信道的估计值,并通过
2、计算预编码向量对密钥进行更新处理,将认证协议的密钥转化为序列密码,进而实现密钥交换。仿真结果表明,所提算法能够有效提高加密信息的传输安全性。关键词:异网漫游;5G;虚拟专网;认证协议;密钥交换Key Exchange Algorithm of 5G Electric Power Virtual Private Network Authentication Protocol for Cross Network RoamingMENG Jian*,LI Kun,CHENG Hui,HOU Lu,XU Qun(Qingdao Power Supply Company,State Grid Shand
3、ong Electric Power Company,Qingdao 266002,China)Abstract:At present,the key exchange algorithm of authentication protocol mainly depends on lattice theory,which is vulnerable to the influence of the reciprocity of transmission channel,resulting in low security of the algorithm.Therefore,the key exch
4、ange algorithm of 5G electric power virtual private network authentication protocol in different network roaming scenarios is proposed.According to the overall interconnection architecture of 5G electric power virtual private network in different network roaming scenarios,and the reciprocity of form
5、al transmission channel the shared private channel of the authentication protocol is estimated,the estimated value of the same channel of both communication parties is obtained.The key is updated by calculating the precoding vector,the updated key is transformed into a sequence cipher to encrypt,and
6、 finally the key exchange of the network authentication protocol is completed.The security performance of the proposed algorithm is verified by simulation and comparison experiments.Simulation results show that the proposed method has higher network information transmission security.Key words:cross-
7、network roaming;5G;virtual private network;authentication protocol;key exchange异网漫游可实现不同网络间的互联互通,利用组网技术、虚拟专网技术和5G技术能够保证互通实体间的业务与信息共享。在异网漫游场景下,传统的公钥密码体制面临着严重的安全威胁。为降低认证协议密钥交换的风险性,已有众多学者对此展开研究。文献 1 通过采集电力通信工程环境网络数据,使资助项目:国网山东省电力公司科技项目(520602220009)通信作者:孟建,E-mail:M中图分类号:TP13 文献标志码:A DOI:10.16812/31-194
8、5.2023.04.004系统仿真技术第 19 卷 第 4 期用公钥加密算法(RSA)对数据进行加密处理,并将加密后的数据存储在数据库中。RSA利用时间序列图挖掘法分析这些加密后的网络数据,识别异常网络流量行为,计算其平均相关系数,以便检测出网络攻击类型,但 RSA 算法存在较高的计算复杂性,导致较大的延迟。文献 2 引入了Logistic混沌映射来生成混沌序列,并通过 Merlay 状态机控制数据的时序,根据时序控制信号生成子密钥,并使用子密钥对多源异构数据进行正向、反向异或以及取模运算,从而实现扩频通信多源异构数据的加密。通过混沌映射生成的随机序列存在周期性,降低了加密的安全性。本研究针对
9、异网漫游场景下5G电力虚拟专网认证协议密钥交换算法进行探讨,根据异网漫游特点与5G虚拟专网的优势,生成一种具有保密性与认证性的密钥交换算法,进一步提高信息传输的安全性。1 异网漫游场景下5G电力虚拟专网认证协议密钥交换算法设计 1.1异网漫游场景下 5G 电力虚拟专网的总体互联架构异网漫游场景下5G电力虚拟专网主要通过信息化与智能化技术,采用组网技术、虚拟专网技术和5G技术实现异网漫游,以保证网络数据层与解析层之间的互联互通。异网漫游场景下5G虚拟专网的总体互联架构如图1所示。如图1所示,在信令网中,漫游网络与归属网络通过5G虚拟专网技术完成在该网络层面上的注册,根据信令代理(Intellig
10、ent-diameter routing agent,I-DRA)实现2个网络间的共享3;在数据业务网络中,数据网通过 IP 通路经 5G 与边界网关(Bordet gateway,BG)连接。在异网漫游网络中,为保证数据资源传输的速率,在信令网的数据解析层添加了实体数据库,以识别不同运营商的信令路由编码。异网漫游结合5G和虚拟专网技术满足了多个运营商共建共享的需求,具有成熟的网络部署条件。为保证私密通信、双方传输信息全过程的保密性与认证性,需要引入密钥交换机制,为私密通信过程进行加密和认证,为管理者提供加密使用的工作密钥记录4。根据图1网络互联的整体架构,本研究对网络认证协议密钥交换算法进行
11、设计。1.2认证协议共享私密信道估计在异网漫游场景下,5G电力虚拟专网认证协议的传输信道具有互易性,因此协议数据收发双方无法直接对通信信道做出估计,使得密钥交换的生成具有不确定性5。因此,在设计密钥交换算法之前,需要对认证协议共享私密信道的状态进行估计,估计步骤如图2所示。如图2所示,网路认证协议的发送方、接收方分别由A与B表示;YA为接收信号;YB为发送信号;YTA、YTB为更正的接收和发送信号;GA、GB为用户A和B的本地酉矩阵;XR为私密序列。信道估计算法的具体实施步骤如下。信息发送方即用户A在本地生成随机酉矩阵GA及私密序列XR,与此同时信息接收方即用户B准备好随注:I-DRA为信令代
12、理,BG为边界网关图1异网漫游场景下5G电力虚拟专网的总体互联架构Fig.1Overall interconnection architecture of 5G virtual private network for cross-network roaming图2认证协议共享私密信道估计流程Fig.2 The estimation process of shared private channel for authentication protocol314孟建,等:异网漫游场景下5G电力虚拟专网认证协议密钥交换算法机酉矩阵GB为后面的传输做准备。之后,用户A将其公共导频信号XA乘以GA,以及
13、私密序列XR发送出去6。这里的发送信号定义为XA=P0NAGACA(1)XR=P0NRGBCR(2)式(1)与(2)中,P0表示用户A位置的发送功率;NA、NR分别表示2个信号的传输长度;CA、CR表示正交矩阵。因此B的2个相关接收信号可以表示为YB=HB+WB XA(3)YTB=HB+GB XR(4)上式中,HB表示公钥指数;WB表示解密时间代价。在接收到用户A发送的信号之后,用户B需要反馈GAYB,于是用户A接收信号为YA=HACR+YBCA+YTB(5)式(5)中,HA表示加性高斯白噪声。由此用户A的接收序列为YTA=YAHA(6)当导频信号XA与XB足够长时,估计结果受到噪声的影响就会
14、很小7。用户A就可以获取信道的估计值,即ZA=-HA EA/YTA(7)式(7)中,-HA表示解密粒度的平均值;EA表示信息发送速率。与此同时,用户B利用用户A发送的导频信号,同样可以获取信道的估计值ZB,表示信道的预估值,即ZB=-HA(1-YTA)-1(8)用户A与用户B的认证协议共享私密信道估计计算公式为ZAB=()ZA-ZB ERmR(9)式(9)中,ER表示认证协议本单元参数;mR表示协议正确执行时的共享密钥。根据上述计算与分析,通过定义认证协议通信双方发送与接收私密序列和导频序列,计算相关接收信号的酉矩阵,获取信息传输双方各自的信道估计值。基于导频信号,得到2个用户同一信道的估计值
15、,实现了认证协议共享私密信道估计结果,便于后续初始密钥的更新与交换。1.3协议密钥更新密钥交换的前提是初始密钥的更新,由异网漫游控制模型提供安全性,并定义密钥的产生、本地化、形式化和更新,加密邮件内容并控制访问权限8。协议密钥的更新可以实现实体之间的时间同步和消息同步检查,防止消息重传输、错过传输、复制、延迟和拦截。为抵御中间人的攻击,在密钥更新过程中引入形式化的安全模型,对认证协议链路的安全性提供保障,实现密钥在网络模型中的安全更新9。更新过程如下。用户A选择一个随机数a,然后将更新密钥信息发送给用户B,发送的消息可表示为Ga=Tcavfc(10)式(10)中,Tc表示信道相干时间;v代表相
16、干时间的移动速度;fc为载波频率。用户B收到消息后,验证签名及包含签名信息的消息,验证公式为z=HGa+nZAB(11)式(11)中,H表示随机信道矩阵;Ga表示天线个数;n表示调制信号个数;ZAB表示共享信道估计。验证通过后,用户B向用户A返回申请密钥消息,用户A接收到签名消息后,对数据的非码本进行编码10,公式为D=z+V+z(12)式(12)中,表示对角阵;V+表示转置矩阵。编码完成后移除前会话标识的初始密钥,并计算数据预编码向量,即Um=exp(n+FD)(13)式(13)中,m表示预编码向量序号;F表示预编码矩阵集。由此得到通信双方的共享私密统一模数为fopt=argmaxUm(fi
17、)(14)式(14)中,fi表示第i个预编码本。由此得到认证协议密钥更新的计算公式为F()E=1mexp(2M)(15)式(15)中,m表示信道个数;M表示相邻2个独立分布的衰弱信道的相关系数;E表示协议初始密钥。通过安全验证发送端消息,并预编码数据的非码本,计算预编码向量,得到共享的私密随机值,以此更新认证协议密钥,可为密钥交换算法的生成提供便利条件。315系统仿真技术第 19 卷 第 4 期1.4密钥交换算法生成在现有认证协议初始密钥更新的基础上,本研究采用防火墙技术研究密钥交换算法,生成具有保密性与认证性的密钥交换算法11,其示意图如图3所示。上述算法具有良好的性能,可以有效阻止被动与主
18、动攻击。首先用户A利用更新后的密钥向用户B发送应答信息,则用户B接收到的验证签名可表示为RT=E(F()E UT)(16)式(16)中,E表示高斯随机复变量;F()E表示更新后的密钥;UT表示密钥模数;表示克罗内克积。根据密钥交换原理和通信双方的信道设置12,得到密钥交换算法的具体生成步骤如下。(1)假定私密通信双方A和B共同拥有一个初始公钥,并能够对用户的身份IDA、IDB进行加密保护,则用户A随机生成的素数N1也会随之被加密13,之后再将加密信息传送给B,B将同时收到加密信息RT和随机数N1。(2)B通过使用公钥PKA完成对加密信息与随机数的解密工作,并利用私钥对信息进行加密,待加密完成后
19、将信息传输至A14。由于用户B能够获取N1中的明文,因此B传输的加密信息中包括N1,则A由此确定B身份。(3)A首先将接收到的信息N2进行处理,并使用私钥SKB完成加密工作,再将完成加密的信息返回给B,使用户B确认A身份。(4)A通过对预码本编码对初始公钥进行更新,并将新的公钥发送给用户B,并利用B的公钥限定加密信息的传输信道15。(5)B根据首次接收到的信息RT完成初始密钥的恢复工作,实现密钥交换。通过以上步骤,根据原始公钥加密体制对加密信息的初始传输信道进行划定,获取认证公钥,并利用更新后的密钥完成认证公钥的加密工作,获取序列密码,以此完成网络认证协议的密钥交换。2 模型性能验证 2.1实
20、验准备为测试研究中所设计的密钥交换算法的可行性,对其进行仿真验证。在搭建5G电力虚拟专用网络平台的基础上,模拟单一用户与多用户间的密钥交换过程。网络系统的整体框架为 Bootstrap,数据层采用Python Django开发工具,并利用B/S架构仿真运行密钥交换算法。实验参数设置如表1所示。算法的运行环境由不同的漫游网络、管理实体和代理实体组成。该算法的实现包括认证协议的生成和部署、会话密钥的生成和交换、密钥的更新和使用。生成通信密钥后,管理实体与代理实体采用的网络认证协议均为Open SSL,在对初始密钥更新与信道分配完成后,在本地数据库中自动生成具有保密性与认证性的密钥。2.2实验说明在
21、实验中,算法的公钥密钥长度分别设置为256 bit和1 024 bit;明文长度为384 bit;认证协议使用32Byte长度的字符串作为初始密钥。取P点坐标位置为xp=1 100,yp=1 011,用户B的私钥为Kb=0 111,初始公钥为Qb=KbP=(1 111,1 001)。现假设A要向B发送的初始密钥信息为m=1 100,A选择随机整数ka=1 101。在交换过程中,整个通信系统是开放的,密钥交换算法是将初始密钥转化为序列密码。由于该序列性质为可实现安全交换的二进制,所以在交换种子密钥前,密码系统可以直接完成明文或密文的加密及解密工作。基于以上参数设定,分析本研究设计的密钥交换算法的
22、安全性。图3密钥交换算法示意图Fig.3Schematic diagram of key exchange algorithm表1实验参数设置Tab.1Experimental parameters setting参数项移动事务长度(操作数)移动只读事务比例平均操作时间延迟平均事务时间延迟服务器更新事务长度服务器更新事务读操作比例服务器更新事务到达率数据库中数据对象数时标大小设定值40.7564 kbt(指数分布)128 kbt(指数分布)80.2566008 bit316孟建,等:异网漫游场景下5G电力虚拟专网认证协议密钥交换算法2.3窃听比特数对比实验分析由于密钥的交换方式能够限制信息的泄
23、露,因此,为证实本研究所提密钥交换算法的安全性,对认证协议密钥交换过程中的窃听比特数进行分析。假设在用户A与用户B通信时存在窃听者,且具有的随机矩阵与双方用户的参考信号相同。文献 1 为基于RSA算法的安全监测方法(方法1),文献 2 为基于混沌系统的数据加密算法(方法2),比较不同方法在不同信噪比条件下的窃听比特数。窃听比特数越小,算法的安全性越高。对比结果如图 4所示。如图4所示,利用本研究设计的密钥交换算法进行私密通信过程中,在不同信噪比条件下,被窃听到的有效比特数均在70以下,而方法1与方法2被窃听到的有效比特数均在70以上。通过比较可以说明,本研究算法泄露的信息更少,具有较强的安全性
24、能。2.4安全性对比实验分析在上述实验基础上,对设计算法的综合安全性能进行验证分析。同样通过对比基于RSA的密钥交换算法(方法1)、基于混沌序列的密钥交换算法(方法2)与所提算法,得到的网络信息传输安全性对比结果如图5所示。分析图 5 可知,当传输数据量从 200 MB 增加到1 000 MB时,本研究方法的信息传输安全性要远高于其他2种方法。方法1安全性较低的原因是,该算法在交换会话密钥后,会将共享密钥存储在异地数据库中,增加了密钥交互次数;方法2的用户节点无法使用私钥签名会话来进行协议认证,故传输风险较高。而本研究中的方法通过将认证协议形式化,利用初始密钥得到序列密码,加密传输数据,以此保
25、障传输安全。由此说明,本研究设计的密钥交换算法具有更加优越的安全性能。3 结 论为提高密钥交换过程中数据传输的安全性,本研究针对异网漫游场景下网络认证协议密钥交换算法进行了研究与设计。结果表明,设计的算法具有较高的安全性能。下一步将进一步优化算法的综合性能,在保证安全性的同时,提高加解密效率。参考文献:1陈佟,黄文雯,夏小萌,等.基于RSA算法的电力通信工程环境安全监测方法 J.微电子学与计算机,2023,40(4):63-71.CHEN Tong,HUANG Wenwen,XIA Xiaomeng,et al.Environmental security monitoring method
26、of electric power communication engineering based on RSA algorithmJ.Microelectronics&Computer,2023,40(4):63-71.2张人上,邱久睿.基于混沌系统的扩频通信多源异构数据加密算法 J.火力与指挥控制,2021,46(8):162-166,176.ZHANG Renshang,QIU Jiurui.Multi-source heterogeneous data encryption algorithm for spread spectrum communication based on cha
27、otic system J.Fire Control&Command Control,2021,46(8):162-166,176.3徐渊.基于移动端协助的硬口令认证密钥交换协议 J.计算机应用研究,2020,37(7):2108-2111.XU Yuan.Hardened password-authenticated key exchange protocol based on mobile phone assistance J.Application Research of Computers,2020,37(7):2108-2111.4权双燕,张静.一种基于辫群的密钥交换协议 J.喀什大
28、学学报,2022,43(3):58-61.QUAN Shuangyan,ZHANG Jing.A key exchange 图4不同方法的窃听比特数结果对比Fig.4Comparison of eavesdropping bit count for different methods图5不同方法的信息传输安全性结果对比Fig.5Comparison of Information transmission security results of different methods317系统仿真技术第 19 卷 第 4 期protocol based on braid groupsJ.Journa
29、l of Kashi University,2022,43(3):58-61.5赵宗渠,黄鹂娟,汤永利.基于RLWE的生物特征认证密钥交换协议 J.计算机应用研究,2020,37(11):3437-3440.ZHAO Zongqu,HUANG Lijuan,TANG Yongli.Biometric authenticated key exchange protocol based on RLWEJ.Application Research of Computers,2020,37(11):3437-3440.6余兵.一种基于ECC的物联网设备认证密钥交换体制的设计 J.软件,2022,43(
30、11):141-143.YU Bing.Design of an authentication key exchange system for IoT devices based on ECCJ.Software,2022,43(11):141-143.7尹安琪,曲彤洲,郭渊博,等.格上基于密文标准语言的可证明安全两轮口令认证密钥交换协议 J.电子学报,2022,50(5):1140-1149.YIN Anqi,QU Tongzhou,GUO Yuanbo,et al.Provably secure two-round PAKE based on ciphertext standard lan
31、guage over lattices J.Acta Electronica Sinica,2022,50(5):1140-1149.8尹安琪,汪定,郭渊博,等.可证明安全的抗量子高效口令认证密钥交换协议J.计算机学报,2022,45(11):2321-2336.YIN Anqi,WANG Ding,GUO Yuanbo,et al.Provably secure quantum resistance efficient password-authenticated key exchange protocol J.Chinese Journal of Computers,2022,45(11)
32、:2321-2336.9陈明.后量子前向安全的可组合认证密钥交换方案J.计算机研究与发展,2020,57(10):2158-2176.CHEN Ming.A composable authentication key exchange scheme with post-quantum forward secrecyJ.Journal of Computer Research and Development,2020,57(10):2158-2176.10申艳梅,李亚平,王岩,等.基于RLWE的双因子三方认证密钥交换协议 J.计算机工程与科学,2020,42(9):1556-1562.SHEN
33、Yanmei,LI Yaping,WANG Yan,et al.A RLWE-based two-factor three-party authentication key exchange protocolJ.Computer Engineering&Science,2020,42(9):1556-1562.11廉欢欢,侯慧莹,赵运磊.后量子基于验证元的三方口令认证密钥交换协议 J.通信学报,2022,43(4):95-106.LIAN Huanhuan,HOU Huiying,ZHAO Yunlei.Post-quantum verifier-based three-party passw
34、ord authenticated key exchange protocol J.Journal on Communications,2022,43(4):95-106.12李鱼,韩益亮,李喆,等.基于LWE的抗量子认证密钥交换协议 J.信息网络安全,2020,20(10):92-99.LI Yu,HAN Yiliang,LI Zhe,et al.A post quantum authenticated key exchange protocol based on LWE J.Netinfo Security,2020,20(10):92-99.13夏艳东,戚荣鑫,季赛.工业物联网中基于PU
35、Fs轻量级的密钥交换协议研究 J.计算机应用与软件,2022,39(3):316-321.XIA Yandong,QI Rongxin,JI Sai.PUFs-based lightweight key exchange protocol in IoTJ.Computer Applications and Software,2022,39(3):316-321.14吴玉鹏,王卿璞,曾为民,等.基于格理论的后量子密钥交换算法在区块链中的应用 J.中国集成电路,2021,30(3):66-72.WU Yupeng,WANG Qingpu,ZENG Weimin,et al.Application
36、of post-quantum key exchange algorithm based on lattice theory in blockchain J.China lntegrated Circult,2021,30(3):66-72.15刘梦如,付玉龙,曹进,等.基于区块链的天地一体化信息网络非交互式密钥交换方法 J.天地一体化信息网络,2021,2(3):48-56.LIU Mengru,FU Yulong,CAO Jin,et al.A non-interactive key exchange scheme for space-integrated-ground information network based on blockchainJ.Space-Integrated-Ground Information Networks,2021,2(3):48-56.孟 建 男(1986-),山东临沂人,硕士,高级工程师,主要研究方向为电力系统通信、5G电力应用研究。李 坤 男(1979-),山东青岛人,本科,高级工程师,主要研究方向为电 力 系 统 通 信、5G 电 力 应 用 研究等。318
浙ICP备2021020529号-1 | 浙B2-20240490 
