一種改進(jìn)的LTE網(wǎng)絡(luò)用戶身份認(rèn)證方法

張 靜,艾 渤,鐘章隊

(1.北京交通大學(xué)軌道交通控制與安全國家重點(diǎn)實(shí)驗室,北京100044;2.北京交通大學(xué) 電子信息工程學(xué)院,北京 100044)

1 引 言

隨著通信技術(shù)的迅猛發(fā)展,LTE的安全問題相對于2G、3G增加了,要求也提高了[1]。在LTE中,利用認(rèn)證和密鑰協(xié)商(Authentication and Key Agreement,AKA)來實(shí)現(xiàn)用戶和網(wǎng)絡(luò)之間的互相認(rèn)證[2],但是在首次接入網(wǎng)絡(luò)或者網(wǎng)絡(luò)端需要用戶傳輸國際移動用戶識別碼(IMSI)時,IMSI是以明文形式發(fā)送的[3],這樣勢必會引起安全的問題。在用戶認(rèn)證之后再次接入到網(wǎng)絡(luò)時,只需要發(fā)送臨時移動用戶識別碼(Temporary Mobile Subscriber Identity,TMSI)即可[4]。服務(wù)網(wǎng)絡(luò)(Serving Network,SN)會把IMSI和TMSI之間的聯(lián)系存放在本地數(shù)據(jù)庫中,這時的TMSI代替IMSI識別用戶。當(dāng)用戶漫游到一個新的網(wǎng)絡(luò)時,舊的網(wǎng)絡(luò)會把當(dāng)前的TMSI及其IMSI之間的聯(lián)系發(fā)送到新的網(wǎng)絡(luò)。

對于IMSI的傳輸問題,傳統(tǒng)網(wǎng)絡(luò)采用的都是明文形式發(fā)送,這樣勢必會產(chǎn)生安全問題,當(dāng)然有些組織也曾提出用有線來傳送IMSI,但是相對有線的預(yù)算投入以及后期維護(hù),IMSI更適合在開放環(huán)境下的無線中傳輸,并且可以實(shí)現(xiàn)安全傳輸。

本文中提出通用移動通信系統(tǒng)(Universal Mobile Telecommunications System,UMTS)中增強(qiáng)認(rèn)證的思想以及方法[5],結(jié)合LTE認(rèn)證的特點(diǎn),把UMTS中的部分認(rèn)證方法應(yīng)用到LTE系統(tǒng)中,即用動態(tài)移動用戶識別碼(DMSI)代替IMSI來實(shí)現(xiàn)用戶的認(rèn)證,實(shí)現(xiàn)無線環(huán)境下的安全傳輸,較IMSI而言,DMSI改善了IMSI明文發(fā)送的不安全性,并且DMSI的隨機(jī)性進(jìn)一步防止了重放攻擊,加密傳送提高了用戶的安全性。

2 LTE中的AKA過程

LTE的AKA認(rèn)證過程和UMTS中的AKA認(rèn)證過程基本相同,繼承了UMTS中五元組鑒權(quán)機(jī)制的優(yōu)點(diǎn),實(shí)現(xiàn)了UE和網(wǎng)絡(luò)側(cè)的雙向認(rèn)證。該AKA過程如圖1所示[6]。

圖1 AKA流程Fig.1 AKA procedure

協(xié)議的具體流程信息:

(1)MME※UE標(biāo)識請求和標(biāo)識響應(yīng),IMSI;

(2)MME※HSS認(rèn)證數(shù)據(jù)請求,IMSI、EKHU(R1)、SN Identity、Network Type;

(3)HSS※MME認(rèn)證數(shù)據(jù)響應(yīng),RAND、AUTN、XRES、KASME;

(4)MME※UE用戶數(shù)據(jù)請求,(RANDIIAUTN,R1)IIhash(RANDIIAUTN,R1);

(5)UE※MME用戶認(rèn)證數(shù)據(jù)響應(yīng),RES[7]。

其中,R1為UE(User Equipment)產(chǎn)生的隨機(jī)數(shù),EKHM為HSS和MME共享的秘密密鑰,hash()為移動管理實(shí)體(Mobility Management Entity,MME)與UE共享的哈希函數(shù),哈希函數(shù)的作用是為了保護(hù)消息的完整性,EKHU是認(rèn)證成功之后MME與UE產(chǎn)生的加密密鑰。

在初始認(rèn)證結(jié)束后,UE和MME共享同一個KASME。在后續(xù)的過程中UE和MME根據(jù)KASME產(chǎn)生密鑰KeNB,MME產(chǎn)生的密鑰KeNB交給響應(yīng)的基站,而后產(chǎn)生其它相關(guān)的加密密鑰和完整性密鑰。

3 DMSI、工作流程

當(dāng)通信需要傳輸IMSI時,用DMSI代替IMSI傳輸。IMSI由國家代碼(MCC)、網(wǎng)絡(luò)代碼(MNC)和用戶身份代碼(MSIN)組成[8]:

3.1 身份識別動態(tài)碼

隨機(jī)動態(tài)碼——身份識別動態(tài)碼(Dynamic number for Identity Confidentiality,DIC)用來認(rèn)證用戶身份。每次本地用戶服務(wù)器(Home Subscriber Server,HSS)產(chǎn)生一個新的認(rèn)證矢量時,就產(chǎn)生一個新的DIC,而DIC-IMSI之間的聯(lián)系也存儲在HSS中的數(shù)據(jù)庫中。認(rèn)證矢量包括 RAND、AUTN、XRES、KASME[9]4個參數(shù)。把產(chǎn)生的DIC嵌入到每個認(rèn)證矢量的隨機(jī)數(shù)中(RANDs),并且為了防止傳輸過程中可能存在的無法一次傳送,當(dāng)前的DIC會依舊存儲在本地數(shù)據(jù)庫中。

DIC的產(chǎn)生主要由存儲在HSS中的DIC-Index實(shí)現(xiàn),HSS收到UE的DIC后,根據(jù)DIC-IMSI的關(guān)系,獲得用戶的信息,并且根據(jù)DIC-Index獲得新的DIC,嵌入進(jìn)RAND中發(fā)送。根據(jù)TMSI的長度為32 bit來考慮,可知DIC的長度不會超過32 bit。那么存儲在HSS中的DIC的數(shù)目不會超過232個,并且可以根據(jù)用戶要求的安全級別,對DIC-Index進(jìn)行設(shè)置,以調(diào)整DICnew和DICold之間的對應(yīng)復(fù)雜關(guān)系,如果安全要求級別高,可以把DIC-Index的指針設(shè)置復(fù)雜,這樣對于非授權(quán)用戶,就更不可能獲得DIC的信息了。

根據(jù)存儲在HSS中的DIC-Index,可以得到DICnew,而之前用過的DIC也會變成Null,這個用過的數(shù)值就不再使用。

把DICnew嵌入到認(rèn)證矢量的隨機(jī)數(shù) RAND中,即可得到RANDnew。

(1)用一個隨機(jī)數(shù)字發(fā)生器生成128 bit隨機(jī)數(shù)字RAND。

(2)根據(jù)存儲在HSS中的 DIC-Index得到DICnew。

(3)DICnew嵌入RAND是一個加密過程,使用UE和HSS之間的共享密鑰K[10]進(jìn)行加密,生成RANDnew。

DIC產(chǎn)生流程如圖2所示。其中,fs的作用是從DIC指針中找出一個沒有使用過的DIC;fe的作用是把產(chǎn)生的 DICnew嵌入到 RAND中,生成一個RANDnew。這樣每一次認(rèn)證傳輸?shù)亩际遣煌臄?shù)值,既保護(hù)了用戶又實(shí)現(xiàn)了認(rèn)證。

圖2 DIC產(chǎn)生過程Fig.2 Construction of the parameter DIC

當(dāng)用戶首次接入網(wǎng)絡(luò)時,HSS不會發(fā)送RAND,這時候需要一個初始的DIC。首次接入需要的DIC會和密鑰K一樣,存儲在用戶的全球用戶識別卡(Universal Subscriber Identity Module,USIM)中。

DIC帶來的好處是只要在本地網(wǎng)絡(luò)的數(shù)據(jù)庫中存儲DIC指針,就可以產(chǎn)生變化的DMSI,并且這個指針可以根據(jù)用戶的話務(wù)量以及需要認(rèn)證的統(tǒng)計次數(shù)進(jìn)行設(shè)置,真正做到了動態(tài)性。

3.2 動態(tài)移動用戶識別碼

在需要傳輸IMSI時,可以用DMSI代替。根據(jù)從MS中接收到的DIC的不同,DMSI的數(shù)值一直在改變。這時,DMSI由國家代碼(MCC)、網(wǎng)絡(luò)代碼(MNC)和從用戶收到的最新的DIC組成:

那么如何從接收到的 RANDnew中提取出DIC呢?這里需要一個和之前函數(shù)fe產(chǎn)生RANDnew相反的解密過程,如圖3所示。其中,fex函數(shù)就是和fe函數(shù)相反的解密過程。這樣就可以從收到的RAND中獲得DIC,也就得到了DMSI。

圖3 DIC提取過程Fig.3 Extraction of DIC from RAND

DMSI工作流程如下:

(1)第一次接入時,用戶和HSS之間共享一個密鑰K,K存儲在用戶的USIM卡中,因此,也可以把初始的RIC也存儲在USIM卡中,形成DMSI進(jìn)行傳輸;

(2)HSS收到DMSI之后,根據(jù)和用戶之間DIC-IMSI關(guān)系得到用戶的IMSI,進(jìn)行認(rèn)證;然后根據(jù)存儲在本地網(wǎng)絡(luò)數(shù)據(jù)庫的DIC-Index,指示一個沒有用過的新鮮DIC,重新組成DMSI,并且采用加密算法把DIC中嵌入到RAND中進(jìn)行傳輸;

(3)用戶收到HSS傳回的DMSI后,進(jìn)行對稱加密算法解密還原DIC,并且存儲起來,作為下一次認(rèn)證傳輸DMSI時的DIC。

至此,認(rèn)證過程完成。

4 方案論證與分析

IMSI和DMSI的組成部分的差異主要在于第三部分的不同。IMSI的第三部分是用戶身份代碼(MSIN),而DMSI的第三部分則是身份識別動態(tài)碼(DIC)。兩者最大的不同就是MSIN是靜態(tài)的,DIC是動態(tài)改變的;MSIN是明文的,DIC是加密的。

根據(jù)LTE安全性的要求——機(jī)密性和完整性保護(hù),分析DMSI的安全性優(yōu)于IMSI。

4.1 機(jī)密性

機(jī)密性就是意味著只有授權(quán)方才可以看到數(shù)據(jù)或者傳送的內(nèi)容,未授權(quán)方無權(quán)看到。目前為止,機(jī)密性主要通過加密手段來實(shí)現(xiàn),以確保信息在傳輸過程中不會被非法用戶獲取。因此,一些對稱加密算法,即在解密和解密過程使用相同的密鑰,例如3DES、AES等,常被用來加強(qiáng)機(jī)密性。在本次仿真中,使用的是 DES算法,密鑰選用的是7位,當(dāng)然可以根據(jù)不同的安全等級要求來設(shè)定密鑰的位數(shù)。圖4為對稱加密算法加密解密演示界面。

圖4 數(shù)據(jù)加密程序演示界面Fig.4 Data encryption

在傳輸IMSI時,由于是明文傳輸,并沒有對IMSI進(jìn)行加密,因此就談不上機(jī)密性的保護(hù)。但在DMSI中,初始的DIC是由UE和HSS之間共享的,并且之后的DIC由存儲在本地數(shù)據(jù)庫中的DIC—Index決定,DICnew更是進(jìn)行加密過程鑲嵌在RAND中進(jìn)行傳輸?shù)?采用的是對稱加密算法。因此,DMSI較IMSI來說,顯然增強(qiáng)了機(jī)密性。

4.2 完整性保護(hù)

信息完整性是指確保系統(tǒng)中用戶信息的完整和真實(shí)可信。通信過程中,需要確保發(fā)送和接收的信息總是一致的,也就是數(shù)據(jù)在通信過程中沒有被篡改過。完整性保護(hù)就是確定數(shù)據(jù)沒有被非法篡改,保證合法用戶得到正確、完整的信息。主要技術(shù)有數(shù)據(jù)加密、密碼分析、數(shù)字簽名、信息鑒別、秘密共享等。在使用DMSI之前,傳輸?shù)亩际敲魑男问降腎MSI,極有可能被攻擊者篡改用戶信息。但是在使用DMSI之后,采用了完整性保護(hù)技術(shù)中的數(shù)據(jù)加密技術(shù),因此攻擊者就無法篡改用戶信息了。圖5中顯示的是加密和解密兩個過程,不難看出,經(jīng)過加密之后的DIC在傳輸過程中呈現(xiàn)的是亂碼狀態(tài),因此就不用擔(dān)心被未授權(quán)者截獲,在接收端根據(jù)對稱加密算法也可以解密出代表客戶身份的DIC,改善了IMSI明文傳輸所帶來的威脅;并且,根據(jù)指針的復(fù)雜度可以調(diào)整DIC的隨機(jī)性,這樣也可以防止重放攻擊。

圖5 加密解密過程演示Fig.5 Data decryption

5 結(jié) 論

本文提出了用DMSI來代替IMSI的方法,即用動態(tài)的DMSI代替靜態(tài)的IMSI傳輸,并對所提方法的性能特點(diǎn)進(jìn)行了理論分析和仿真研究。較之傳統(tǒng)的IMSI明文傳輸方式,DMSI增加了兩大特點(diǎn):隨機(jī)性和加密傳輸。理論分析表明,DIC的隨機(jī)性可以減少重放攻擊帶來的危害,仿真研究顯示加密傳送無論從機(jī)密性還是完整性方面來說,較之IMSI都有了很大的提高,從根本上解決了IMSI的安全問題。而且,并不需要在網(wǎng)絡(luò)中進(jìn)行大規(guī)模修改,只是在HSS中加入 fs函數(shù)——指針函數(shù)和 fe函數(shù)——加密函數(shù),在用戶方加入fex函數(shù)——解密函數(shù),在本地網(wǎng)絡(luò)中的數(shù)據(jù)庫中存儲一些數(shù)據(jù),并且根據(jù)現(xiàn)有的SIM卡計算能力,對稱密鑰加密算法還是可實(shí)現(xiàn)的。

對于IMSI的保護(hù),一直都是無線通信安全一個重要方面。本文所提方法及其分析結(jié)論對于實(shí)際系統(tǒng)中IMSI的安全傳輸具有一定的指導(dǎo)意義。

[1]Seddigh N,Nandy B,Makkar R.Security Advances and Challenges in 4G Wireless Networks[C]//Proceedings of the 8th Annual International Conference on Privacy,Security and Trust.Ottawa:IEEE,2010:62-71.

[2]趙訓(xùn)威,林輝,張明,等.3GPP長期演進(jìn)(LTE)系統(tǒng)架構(gòu)與技術(shù)規(guī)范[M].北京:人民郵電出版社,2010.ZHAO Xun-wei,LIN Hui,ZHANG Ming,et al.3GPP Long Term Evolution:Architecture and Specification[M].Beijing:People′sPostsand TelecommunicationsPress,2010.(in Chinese)

[3]3GPP TS 33.401 V9.4.0,LTE security:security architecture[S].

[4]Abdelkader M,Hamdi M,BoudrigaN.A Novel Advanced I-dentity Management Scheme for Seamless Handoff in 4G Wireless Networks[C]//Proceedings of GLOBECOM Workshops.Bangalore:IEEE,2010:2075-2080.

[5]Choudhury H,Roychoudhury B,Saikia D K.End-to-End User Identity Confidentiality for UMTS Networks[C]//Proceedings of Computer Science and Information Technology Conference.Shanghai:IEEE,2010:46-50.

[6]3GPP.TS 33.401,System Architecture Evolution[S].

[7]3GPP.TS 33.401 V8.5.0,3GPP system architecture evolution:Security architecture[S].

[8]Liu Z Y,Xie S L,Lai V.A Fast Suffix Matching Method in Network Processor[C]//Proceedings of 2008 International Conference on ComputationalIntelligenceand Security.Suzhou:IEEE,2008:405-410.

[9]Han C K,Hyoung-Kee Choi.Evaluation of Authentication Signaling Loads in 3GPP LTE/SAE Networks[C]//Proceedings of 2009 IEEE 34th Conference on Local Computer Networks.Zurich:IEEE,2009:37-44.

[10]Liu H,Bai S.Research and Implementation of LTE NAS security[C]//Proceedings of Educational and InformationTechnology Conference.Chongqing:IEEE,2010:453-456.