淺談LTE安全系統(tǒng)

【摘要】 本文研究LTE系統(tǒng)的各個安全過程，包括AKA過程、NAS安全模式命令過程、AS安全模式命令過程，總結(jié)展示LTE接入過程中的各個安全過程，最后介紹相關(guān)安全過程中使用的密鑰體系和安全算法。

【關(guān)鍵詞】 鑒權(quán) 加密 完整性保護 安全過程 EEA EIA

一、引言

筆者經(jīng)歷過某FDD-LTE項目在引入一款新的終端時，發(fā)現(xiàn)該新終端無法附著網(wǎng)絡(luò)，經(jīng)排查，最后發(fā)現(xiàn)為AS層安全模式命令過程失敗。此案例后，筆者對下面問題進行了一些思考：

1、附著過程中與安全有關(guān)的有那些過程？這些安全過程的具體流程是怎樣的？

2、如果接入失敗是由于安全方面原因所致，如何判斷問題是在UE、無線網(wǎng)還是核心網(wǎng)？

本文主要就圍繞這些問題，淺談LTE的安全系統(tǒng)。為了表述方便，本文中多處使用協(xié)議縮略語，具體縮略語的含義請參考參考文獻[1～ 4]。

二、UE附著過程中的安全過程

2.1 UE附著過程

UE初始附著網(wǎng)絡(luò)的流程如下：

從這些信令流程可以看出，其中涉及的安全流程主要有：

1、AKA過程：MME收到AttachRequest消息后向HSS發(fā)送鑒權(quán)信息請求消息，等待HSS響應鑒權(quán)矢量。終端通過MME與HSS之間執(zhí)行鑒權(quán)，生成EPS頂層安全密鑰KASME。

2、NAS安全模式過程：終端與MME之間執(zhí)行NAS鑒權(quán)，通過KASME生成NAS層安全密鑰。

3、AS安全模式過程：終端與eNB之間執(zhí)行AS鑒權(quán)，通過KeNB生成AS層安全密鑰，用于對無線側(cè)控制面信令的加密和完整性保護，對無線側(cè)用戶面數(shù)據(jù)的加密。

2.2 AKA過程

AKA（Authentication and Key Agreement）實際是認證和密鑰協(xié)商過程。AKA過程為UP（user plane）、RRC層和NAS層提供基礎(chǔ)密鑰，用于生成這些過程 所需的加密密鑰和完整性保護密鑰。協(xié)議TS 33.401[1]給出的AKA過程如下：

AKA過程簡介：

MME向USIM發(fā)送一個認證請求，包括認證向量AV中的RAND、AUTN和KASME參數(shù)。RAND是隨機咨詢文本，AUTN是USIM進行網(wǎng)絡(luò)認證時使用的認證令牌。KSIASME將UE被用于認證后續(xù)需要的密鑰。

USIM使用RAND和它存儲的私有密鑰K，通過網(wǎng)絡(luò)提供的認證令牌AUTN來認證網(wǎng)絡(luò)。認證通過，USIM計算出CK和IK，同時產(chǎn)生一個RES值并發(fā)給UE。然后UE向MME發(fā)送包含此RES的認證響應，同時UE根據(jù)CK、IK、和SNID計算出KASME，此密鑰即是后續(xù)用于生成UP、RRC層和NAS層的加密和完整性保護的父密鑰。MME收到UE發(fā)送的RES后，將RES與認證向量AV中的XRES進行比較，相同則整個認證與密鑰協(xié)商過程成功。

AKA過程失敗情況：

1、USIMC/UE本地認證失敗，將發(fā)送authentication failure消息，并攜帶失敗原因。失敗原因有：

#20 “MAC failure // AUTN參數(shù)中的MAC code不可用

#26 \"non-EPS authentication unacceptable //AUTN里的AMF“分離比特”為0

#21 \"synch failure //AUTN參數(shù)里的SQN超出范圍

2、MME收到的RES不等于XRES，認證失敗，MME發(fā)送authentication reject消息，拒絕用戶接入。

根據(jù) 失敗原因不同，UE和網(wǎng)絡(luò)會啟動不同的鑒權(quán)失敗處理流程，詳見協(xié)議3GPP TS 24.301[2]。

AKA過程需要的認證向量 AV（包括RAND， AUTN， XRES， KASME）需要先通過MME和HE之間的鑒權(quán)數(shù)據(jù)分發(fā)過程得到，因此，廣義上講AKA過程也包括MME和HE之間的鑒權(quán)數(shù)據(jù)分發(fā)過程，協(xié)議TS 33.4011]給出的MME和HE之間的鑒權(quán)數(shù)據(jù)分發(fā)過程如上。

MME和HE之間的鑒權(quán)數(shù)據(jù)分發(fā)過程簡介：

MME收到移動用戶的注冊請求后，向用戶的HE（HSS）發(fā)送該用戶的永久身份標識IMSI，向所在的服務網(wǎng)絡(luò)發(fā)SNID，請求對該用戶身份和所在網(wǎng)絡(luò)進行認證。

HSS收到MME的認證請求之后，根據(jù)SNID對用戶所在的服務網(wǎng)絡(luò)進行驗證，驗證失敗則HSS拒絕該消息，如驗證通過，生成序列號SQN和隨機數(shù)RAND，同時產(chǎn)生一個或一組認證向量AV并發(fā)送給MME，MME按序存儲這些向量，每一個認證向量可以在UE和MME之間進行一次認證與密鑰協(xié)商。

2.3 NAS安全模式命令過程

NAS安全模式命令過程是為了激活新建立的EPS安全性上下文，以便建立UE與MME之間的安全信令連接，提供NAS信令數(shù)據(jù)的完整性和機密性保護。協(xié)議TS 33.401[1]給出的NAS安全模式命令過程如下：

NAS安全模式命令過程簡介：

MME向UE發(fā)送NAS安全模式命令（NAS SMC）消息，消息包含UE安全能力、選擇的NAS算法和標明密鑰KASME的eKSI。NAS安全模式命令消息利用NAS完整性密鑰KNASint進行完整性保護，該密鑰由KASME密鑰產(chǎn)生。

UE驗證NAS安全模式命令消息的完整性，如果驗證成功，UE開始NAS完整性保護并且加解密，發(fā)送NAS安全模式完成消息給MME。NAS安全模式完成消息利用NAS SMC消息中選擇的加密和完整性保護算法進行加密和完整性保護，加密密鑰KNASenc和完整性保護密鑰KNASint的生成均基于KASME。

MME利用NAS安全模式命令消息中選擇的加密和完整性保護算法對收到的NAS 安全模式完成消息進行解密和完整性檢查。

NAS安全模式命令過程失敗情況：

如果UE驗證NAS安全模式命令消息失敗，UE將回NAS安全模式拒絕消息，并攜帶失敗原因：

#23： UE security capabilities mismatch

#24： security mode rejected， unspecified

2.4 AS安全模式命令過程

接入層安全模式命令激活接入層安全，提供接入層信令數(shù)據(jù)的完整性保護和機密性保護，并提供用戶面數(shù)據(jù)機密性的保護功能。協(xié)議TS 33.401[1]給出的AS安全模式命令過程

AS安全模式過程簡介：

eNB向UE發(fā)送AS安全模式命令消息，包括所選擇的AS算法，該消息由RRC完整性保護密鑰KRRCint保護，該密鑰由KASME密鑰間接生成。

UE向eNB發(fā)送AS安全模式完成消息，該消息利用AS安全模式命令消息中的RRC完整性保護算法保護，RRC完整性保護密鑰基于密鑰KRRCint，該密鑰由KASME密鑰間接生成。

eNB中RRC和UP下行加密將在發(fā)送AS安全模式命令消息后開始；eNB中的RRC與UP上行解密將在接收和成功驗證AS 安全模式完成消息后開始。UE中RRC與UP上行加密數(shù)據(jù)將在發(fā)送AS安全模式完成消息后開始；UE中RRC與UP下行解密將在接收和成功驗證AS安全模式命令消息后開始。

AS安全模式命令過程失敗情況：

如果AS安全模式命令消息驗證失敗，UE向eNB發(fā)送AS安全模式失敗消息。協(xié)議TS 36.331[3]給出了AS安全模式失敗消息的結(jié)構(gòu)內(nèi)容，但消息中并未攜帶失敗原因值。

三、LTE中的密鑰體系

從上文的介紹可知，各安全過程涉及眾多密鑰， 這些密鑰在LTE密鑰體系中的位置如下：

對這些密鑰進行簡單梳理：

1、UE和HSS間共享的密鑰：

K：存儲在USIM和認證中心AuC的永久密鑰；

CK/IK：AuC和USIM在AKA認證過程中生成的密鑰對。

2、ME和ASME共享的中間密鑰：

KASME：UE和HSS根據(jù)CK/IK推演得到的密鑰；密鑰KASME作為 SAE特定認證向量響應的部分從HSS傳輸?shù)紸SME。

3、LTE 接入網(wǎng)絡(luò)的密鑰：

KeNB：由KASME推導得到，用于推導保護RRC流量的密鑰和UP流量的密鑰；

KNASint：由KASME推導得到，用于和特定的完整性算法一起保護NAS流量；

KNASenc：由KASME推導得到，用于和特定的加密算法一起保護NAS流量

KUPenc：由KeNB推導得到，用于和特定的加密算法一起保護UP流量；

KRRCint：由KeNB推導得到，用于和特定的完整性算法一起保護RRC流量；

KRRCenc：由KeNB推導得到，用于和特定的加密算法一起保護RRC流量。

四、安全算法

從第2節(jié)的描述可知，NAS層、AS層安全過程都涉及到加密算法和完整性保護算法，也就是說，UE與網(wǎng)絡(luò)間的用戶數(shù)據(jù)與信令數(shù)據(jù)需要受到機密性與完整性的保護。 主要包括：

--NAS信令需要受到強制的完整性保護以及可選的機密性保護；

--RRC信令需要受到強制的完整性保護以及可選的機密性保護；

--UP數(shù)據(jù)需要受到可選的機密性保護，不需要受到完整性保護；

在UE與網(wǎng)絡(luò)端，加解密算法與完整性算法的輸入?yún)?shù)應當保持同步。對RRC與UP的機密性保護應在PDCP層完成，對NAS信令的機密性保護應由NAS協(xié)議來提供。

4.1 加密算法

加密算法的輸入?yún)?shù)包括128位的加密密鑰KEY， 32位計數(shù)器值COUNT，5位承載標識符BEARER，1位轉(zhuǎn)發(fā)目的標識DIRECTION，以及密鑰流長度LENGTH。DIRECTION位的值為0表示上行鏈路，值為1表示下行鏈路。 下圖表示了加密算法EEA的使用情況，EEA算法通過使用輸入?yún)?shù)產(chǎn)生密鑰流逐位和明文進行二進制加法來形成密文，然后通過使用同樣的輸入?yún)?shù)產(chǎn)生同樣的密鑰流逐位和密文進行二進制加法來恢復明文。（圖4-1）

協(xié)議目前給出的加密算法有：

\"00002\" EEA0 Null ciphering algorithm

\"00012\" 128-EEA1 SNOW 3G based algorithm

\"00102\" 128-EEA2 AES based algorithm

注意：在TS 33 401 Rel10的版本協(xié)議中已經(jīng)新增128-EEA3算法[4]。

4.2 完整性保護算法

完整性算法的輸入?yún)?shù)包括128位的完整性密鑰KEY，32位的計數(shù)值COUNT，5位的承載標識BEARER，1位的轉(zhuǎn)發(fā)方向標識DIRECTION，以及消息本身MESSAGE。DIRECTION位為0表示上行鏈路，為1表示下行鏈路。MESSAGE的長度為LENGTH。 如下圖4-2所示。

基于這些輸入?yún)?shù)，發(fā)送者使用完整性算法EIA計算32位的消息認證碼（MAC-I/NAS-MAC）。消息認證碼被添加在消息后隨消息一起發(fā)送。接收者在收到消息后，按照發(fā)送者計算消息認證碼同樣的方式計算期望得到的消息認證碼（XMAC-I/XNAS-MAC），并通過與收到的消息認證碼MAC-I/NAS-MAC比較來驗證消息的完整性。協(xié)議目前給出的完整性算法有：

\"00002\" EIA0 Null Integrity Protection algorithm

\"00012\" 128-EIA1 SNOW 3G

\"00102\" 128-EIA2 AES

注意：在TS 33 401 Rel10的版本協(xié)議中已經(jīng)新增128-EIA3算法[4]。

4.3 算法安全性

EEA1/EIA1都是基于SNOW 3G算法的，而EEA2/EIA2則是基于AES算法的，從安全性來說，AES算法具有更高的安全性，并且為后續(xù)升級使用192bit、256bit等加長安全密鑰預留了接口，進一步加強了信息安全保護的健壯性[5]。

五、結(jié)束語

隨著4G時代的來臨，越來越多的LTE網(wǎng)絡(luò)在全球各地問世。本文介紹了LTE安全系統(tǒng)，包括AKA過程、NAS安全模式命令過程和AS安全模式命令過程，詳述了這些安全過程的流程以及流程失敗的可能情況；最后介紹了安全過程中使用到的密鑰體系和安全算法。

參 考 文 獻

[1] 3GPP， TS 33.401 Security architecture （Release 9）

[2] 3GPP，TS 24.301 Non-Access-Stratum （NAS） protocol for Evolved Packet System （EPS）； Stage 3 （Release 9）

[3] 3GPP， TS 36.331 Radio Resource Control （RRC）； Protocol specification （Release 9）

[4] 3GPP， TS 33.401 Security architecture （Release 10）

[5]孫明越 唐曉晟，LTE系統(tǒng)安全算法研究. 中國科技論文在線，2011