- 易迪拓培训,专注于微波、射频、天线设计工程师的培养
3GPP-无线局域网异构互联的认证信令优化
摘 要:针对3GPP-WLAN 互联网络的认证协议EAP-AKA ,首先建立了3GPP-WLAN 用户通过无线局域网(WLAN) 实现接入的认证数学模型。 通过分析指出,3GPP AAA 服务器每次从认证中心获取认证矢量(AV) 的数目K 与重认证次数对认证信令开销所带来的影响。 在考虑了重认证次数影响后,提出了一个新的自适应K 选择机制,该机制利用终端在前一WLAN 中总的认证次数、重认证次数和K 来预测推断当前WLAN 中所需的K 值。 仿真结果表明,新的机制相比固定的K选择机制能更有效降低由获取AV 所带来的信令开销。
关键词:互联网络; 3GPP-无线局域网互联;认证;K 选择机制
引言
将蜂窝网络同无线局域网(WLAN)互联,以提供用户在异构环境中的无缝接入,是朝着实现未来异构无线网络融合的重要环节,是当前的一个研究热点。蜂窝网络可以提供用户广域的移动性和方便的安全管理;而WLAN能够在热点地区提供价格低廉的接入服务。 因此,具有很好的互补性。
本文主要从性能上来分析3GPP-WLAN 互联网络的EAP-AKA 认证协议。 认证中, 3GPP AAA ( Authentication Authorization Accounting )服务器通过接入HSS( Home Subscriber Servers)或者HLR( Home Location Register) 以获取认证数据(AVs) ,并完成3GPP2WLAN 互联中用户接入WLAN 所必须的双向认证和密钥材料协商。 由于接入HSS 获取AV 的费用较高,因此3GPP AAA服务器每次请求HSS 传输多个AV 认证矢量,以减少接入HSS 的次数。 另一方面,如果每次传输的AV 矢量数目过多,则会占用3GPP AAA 服务器与HSS 之间较多带宽,当接入的用户数量太大时,容易发生拥塞现象。 另外, EAP-AKA 协议还支持快速重认证,从而能够大大降低终端认证信令开销。然而,随着快速重认证次数的增多,使得密钥材料的更新时间变长,将会导致安全性的降低,带来安全上的隐患。
针对3GPP-WLAN 互联网络EAP-AKA 认证协议中的认证开销,本文指出了重认证次数以及每次在3GPP AAA 服务器与HSS 之间传输的AV 数目K 对认证开销带来的影响。 最后在考虑了重认证次数的影响因素后,提出一种新的自适应K 选择机制。 仿真分析表明,新的机制相比于固定K 选择机制,能有效地降低3GPP-WLAN 互联网络中的认证信令开销。
3GPP-WLAN中的EAP-AKA 认证
图1 所示为简化的3GPP-WLAN 互联网络结构,其中WLAN终端可分别通过不同的WLAN接入网(Access Network ,AN) 访问外部网络,如Internet 或者Intranet 等;而终端的接入认证和计费等管理则由终端归属的3GPP 网络与部署在终端上的通用用户标识模块(Universal Subscriber Identity Module ,USIM) 共同完成。 3GPP-WLAN 的互联采用基于IETF ( Internet Engineering Task Force)草案的EAP-AKA 认证协议 。 EAP-AKA 包括全认证和快速重认证两种认证方式。 其中全认证主要包括两个步骤: 3GPPAAA 服务器同HSS 或者HLR 交互获取AV ;3GPP AAA 服务器与WLAN终端之间的双向认证和密钥材料的协商。 全认证过程需要HSS 或HLR 执行3GPP的AKA (Authentication and Key Agreement) 算法来获取AV。 每个AV矢量是一个五元组,包括{随机数RAND , 认证标记AUTN , 期望响应XRES , 完整性校验密钥IK, 数据加密密钥CK}。 每一个认证矢量AV 都可用来完成一次全认证。 由于重认证过程重用了前一全认证过程中协商的主密钥等材料, 因此3GPP AAA 服务器不需要同HSS 交互获取新的AV认证矢量,也避免了AV生成和传输带来的信令开销。
图1 简化的3GPP-WLAN 互联网络模型
图2 所示为EAP-AKA 全认证过程。 其中,所有WLAN 接入终端同WLAN之间传输的EAP包均通过IEEE802.1x 的EAP-over-LAN(EAPOL) 封装传送。 WLAN 同3GPP AAA 服务器之间的消息则通过AAA 协议(如Diameter 等)传送。 EAP-AKA 协议的详细内容可参阅文献。
图2 EAP-AKA 全认证
假定,当终端首次进入WLAN 接入网络的时刻是t1,1, 终端发送自己的身份标识符到3GPPAAA 服务器请求身份验证,由于3GPP AAA 服务器此时没有关于终端的认证信息,所以3GPP AAA服务器向HSS 请求分配一组AV。 假定获取AV 矢量的个数为K。 当3GPP AAA 服务器得到K 个AV 后, 就可选取其中第1个AV 同终端上的USIM 执行双向认证和密钥协商过程。 定义3GPP AAA 服务器从HSS 请求并获取AV 的消息过程称为ARE (AV Ret rieve Event ) ,3GPP AAA 服务器同终端之间的双向认证和密钥协商称为AE(UserAuthentication Event ) 。 UAE 包括全认证UFAE(User Full Authentication Event) 和重认证URAE(User ReAuthentication Event) 两种事件。 假定在t1 ,2 时刻, 3GPP AAA 服务器利用第2 个AV 同USIM 之间执行第2 次UFAE 过程。 根据EAP-AKA 协议, 每相邻两次UFAE 过程之间执行URAE 次数的理论最大值tmax = 216 - 1 ,因此在t1 ,1和t1 ,2 之间,可最多在t1,1 ,1 , t1 ,1,2 ...t1,1,max时刻执行216-1 次重认证过程。 当时间为t1 , K 时,发生第K次全认证事件,此时已经用完3GPP AAA 服务器上关于该终端的所有AV ,当需要在下一时刻t2 ,1 执行全认证过程时,3GPP AAA 服务器需要再次向HSS请求分配新的一组AV。 假定终端在时刻tN + 1离开WLAN ,3GPP AAA 服务器最后一次从HSS 请求AV 以完成全认证的时刻是tN ,1 ,则总共发生N 次ARE 事件。 假定最后一次UAE 认证事件发生时刻是tN ,i ,在tN + 1和tN ,1 之间,共发生i 次认证事件(包括全认证UFAE 和URAE) ,则
1 ≤i ≤ K + K(216 - 1)
由于ARE 事件中接入HSS 请求认证矢量AV的费用较高, 因此3GPP AAA 服务器每次请求HSS 传输K > -1 个AV 认证矢量,以减少接入HSS的次数。 另一方面,如果K 太大,则会占用3GPP AAA 服务器与HSS 之间较多带宽,当接入的用户数量太大时,容易发生拥塞现象。 另外, EAP-AKA还支持快速重认证,从而能够大大降低终端认证信令开销;然而快速重认证次数过多,使得密钥材料的更新时间变长,又会导致安全性的降低,带来安全上的隐患。 因此,有必要综合考虑重认证次数、合适的AV 矢量个数,以最大程度降低3GPP-WLAN 互联网络中的认证信令开销,提高网络的性能。
3GPP-WLAN的认证模型
由于只考虑在异构互联的WLAN 中提供语音业务的情形,因此可根据UMTS (Univer sal MobileTelecommunications System) 网络认证模型, 建立3GPP-WLAN 互联的认证数学模型。 在EAP-AKA 认证过程中,由于利用了3GPP 的AKA 算法,3GPP AAA 服务器每次从HSS 获取AV 的数目K 固定不变。 为了建立3GPP-WLAN 互联的认证模型,假定当终端从一个WLAN 移动到另一个WLAN 区域时,3GPP AAA 服务器需要重新请求ARE 事件,以获取新的AV ,并且丢弃在前一个WLAN 中未使用的AV。 假定WLAN 可以由3GPP 网络运营商来运营,也可是独立的运营商运营,但是WLAN 同3GPP 之间必须预先存在协商的漫游协议。 在每相邻两次全认证过程之间,终端理论上可进行最多216-1 次重认证。 假定终端到达WLAN 时,预先协商好快速重认证次数,并且在终端离开该WLAN 之前,每相邻两次全认证之间的重认证次数固定不变。 根据文献,假定终端在任一个WLAN 中UAE 事件也构成参数为λ的泊松(Poisson) 过程。 由于指数分布适合语音业务的分布特性,能够很好地给出系统的性能趋势,因此,本文假定终端在任一WLAN 中的驻留时间服从指数分布。
令终端在WLAN 中发生的ARE 事件总数为N ,对于每次ARE 事件,3GPP AAA 服务器从HSS上获取K 个AV。 在每相邻两次全认证过程之间,设终端的重认证次数都为M。 令P( n,K,τ,M) 为在时间τ内,发生n次ARE 事件的概率。 假定在最后一次ARE 事件后,终端总共进行i 次UAE认证,则总的UAE 事件次数为(n-1)(K+MK)+i , 其中, 1≤i≤K +MK。 根据总的UAE事件是参数为λ的泊松分布,有:
设t 为终端驻留在WLAN 区域总的时间。 假定t 时间分布的概率密度函数为f (t) ,期望是1/μ,并且密度函数的Laplace 变换为
令P( n,K, M) 为终端驻留在WLAN 中总共发生n次UAE 事件的概率,则
令E[ N ]为终端驻留在WLAN 时ARE 事件发生的期望,则
当终端的驻留时间服从Gamma 分布时, 假定f(t) 的均值为1/μ, 方差为v , 则f(t) 的Laplace变换为:
由式(2) 和(4) 可得:
由于, 指数分布非常适合于均值的分析,能够较好地给出系统的性能趋势。 因此, 本文主要针对终端驻留在WLAN 中时间为指数分布的情形来分析认证信令的开销。 令μ、v 满足μ2v =1 ,则f(t) 为服从指数分布的概率密度函数。 由式(5)可推出终端驻留在WLAN 中的时间为指数分布时,总共发生n次UAE事件的概率:
由式(3)与(6) ,得到驻留时间为指数分布下的ARE事件发生的期望:
式中, h =λ/(λ+μ) 。 令C( K) 为终端驻留在WLAN中发生ARE 事件的总的费用,则有:
式中,α代表了每次由于生成并传输AV 所带来的额外信令开销。 不失一般性,本文均假定α= 1。 当终端驻留于WLAN 中的时间为指数分布时, 总的ARE 事件传输费用可表示为
性能分析
根据式(7) 和(9) 分别给出终端在WLAN 中的驻留时间服从均值为1/μ的指数分布时,ARE 事件发生的期望和开销分别随K 的变化关系,如图3 、4所示。 从图3 可看出, 随着K 的不断增大, E[ N ]下降的程度大大降低,最后接近于1。 另外,当用户认证事件达到率增加时, ARE 事件发生的期望也增加,即终端需要进行更多的认证,这与本文的直观认识相一致。
从图4 可以看出,当M = 3 时,ARE 开销是关于K的凹曲线, 当K过大或者过小,信令的开销都
图3 ARE 发生的期望
图4 ARE 的开销
比较大,因此存在使开销最小的K 值。 另一方面,认证到达率越高, 由ARE 事件所带来的信令开销就越大。
在给定的认证到达率λ/μ= 20 时,由式(7) 得到图5 ,知无论K 是多少,ARE 事件发生的期望都是关于K 的减函数。 而且随着M 的增加,获取AV 的事件的期望逐渐减小。 图5 中,当M ≥15 , K>3 时,期望值基本趋于常数1 ,也就是说,当K 足够大时,3GPP AAA 服务器只需要获取1 次AV 就可以了;而且认证矢量个数K最小可以取到1 ,即发生1次 全认证,终端其余的认证则全通过重认证来完成。
图5 M对期望的影响
图6 是按式(9) 给出当λ/μ= 20 , M 分别为0 ,1 ,3 ,8 ,15 时,由ARE 事件所带来的信令开销随着K的变化趋势。 当M > 15 时,ARE 事件的开销基本趋于线性增加的直线。 显然在K = 1 时,由ARE 事件发生带来的认证信令开销就越小。 另外,无论K 如何变化,随着M 的增加, 由获取AV矢量所带来的认证信令开销就越小。 实际当中, 由于M过大, 虽然请求AV 的信令开销会降低到最小, 但密钥材料的更新周期变长, 安全性会大大降低, 因此M的取值通常不会很大。
图6 M 对ARE开销的影响
3GPP-WLAN 互联中的K 自适应选择机制
在3GPP的AKA 认证中,推荐K固定取值为5。 然而上述分析表明, K 的不同取值会带来不同的信令开销;而且K 的最优值还会受到终端用户的认证(即UAE) 事件到达率和重认证次数的影响。在3GPP-WLAN 互联网络中,终端认证包括了全认证和重认证两种方式。 本文利用自动K选择机制,并在考虑了快速重认证的因素影响后,根据终端在前一WLAN 中发生的认证次数、所使用的K值等,提出3GPP-WLAN 网络中的自适应K 选择方案。 该机制可在终端上实现,也可在3GPP AAA服务器上实现。 当在终端上实现时,终端选择的新的K 值可通过封装在图2 的EAP Response 消息中,随同终端的身份标识符传输到3GPP AAA 服务器,用于AV 的获取。
首先对需要通过3GPP 网络认证的WLAN 终端K 赋初始值。 当终端进入当前WLAN ,并希望通过WLAN 接入时,统计出终端在前一WLAN 接入中的UAE 事件总数X。 假定K(j) 代表终端在第j个WLAN 中用到的K 值,终端同3GPP AAA 服务器协商的快速重认证次数为Mj 。 当终端离开第j个WLAN ,进入第j + 1 个WLAN 时,终端同3GPPAAA 服务器预先协商好快速重认证次数Mj + 1 。 则有β= Mj + 1 - Mj ,据此,可调整K(j+1) 为:
然后,根据终端在第j 个WLAN 中总的UAE数来预测推断在当前WLAN 中所需要的K 值。 根据式(9) 可以计算得到3 个开销值,其中|A| 代表比A 大的最小整数,
根据式(10) 、(11) 结果,可按照如下准则选择:
根据实际计算, 当在前一WLAN 接入中的UAE 事件总数X 较大时, 按照式(10) 选择的K(j+1) 比较好。 而当X 较小时,按照下式选择K 值,能获得更好的性能,
仿真中,首先假定在第j 个WLAN 中,初始值Mj = 0 , K(j) =5 ,在该WLAN 中总认证次数则为
其中,1 ≤i≤K(j)( Mj + 1) 。 仿真中,通过改变终端在前一WLAN 接入中的UAE 事件总数X ,得到重认证次数与K(j+1) 的对应关系。 可以看到, 当X较小(见图7 (a) ,(b) ) 时, Mj +1=3 对应的K(j+1) 取值为2 ;而在X 较大时(见图7(c)~(f )) , K(j+1) =3。 这与图4 中信令开销最小时对应的K 值非常接近,相比于固定的K 机制(如K=5) ,本文的开销最小。 从图7 还可看出, 随着M 的逐渐增大, K值趋于1 , 这同图5 分析的结果相一致。 当改变M和X ,重新预测K(j +1) 时,还可得到类似接近的结果。 以上分析表明,3GPP2WLAN 中自适应K 选择机制相比于固定K 机制,能更好地降低信令开销。
图7 M与K的关系
结 语
本文针对3GPP-WLAN 互联网络的认证协议EAP-AKA ,建立了3GPP-WLAN 用户通过WLAN接入的认证数学模型,并指出认证矢量AV 的获取对认证信令开销的影响,同时也验证了快速重认证能较好的减少认证过程的信令开销。 利用业界提出的自动K 选择机制,联合考虑快速重认证的因素影响,提出了新的自适应K 选择机制。 仿真分析表明,本文的方案能降低认证中由获取AV 所带来的信令开销。
上一篇:用于3G系统智能天线的设计
下一篇:Wi-Fi全接触