向東南，毛文俊

(重慶郵電大學(xué) 通信與信息工程學(xué)院，重慶 400065)

?

LTE系統(tǒng)EPS-AKA過(guò)程安全性研究與改進(jìn)

向東南，毛文俊

(重慶郵電大學(xué) 通信與信息工程學(xué)院，重慶 400065)

研究了長(zhǎng)期演進(jìn)(Long Term Evolution，LTE)系統(tǒng)的認(rèn)證和密鑰協(xié)商(EPS-AKA)過(guò)程，分析了鑒權(quán)過(guò)程中存在的安全缺陷，如歸屬用戶服務(wù)器(Home Subscriber Server，HSS)鑒權(quán)用戶設(shè)備(User Equipment，UE)時(shí)，HSS產(chǎn)生的用于產(chǎn)生其他密鑰的隨機(jī)數(shù)RAND，在發(fā)給UE的時(shí)候是未加密的。同時(shí)，許多參數(shù)的產(chǎn)生通過(guò)調(diào)用函數(shù)，輸入值為一個(gè)密鑰，會(huì)很容易被破解。通過(guò)分析，提出了一種改進(jìn)方案，該方案解決了鑒權(quán)過(guò)程中RAND暴露的問(wèn)題，并在生成其他參數(shù)時(shí)采用了密鑰對(duì)機(jī)制，增加了所產(chǎn)生參數(shù)的安全級(jí)別，使LTE系統(tǒng)更加安全。

LTE；EPS-AKA；密鑰對(duì)；安全缺陷

0　引言

LTE是第三代合作伙伴計(jì)劃(3rd Generation Partnership Project，3GPP)推薦的4G無(wú)線移動(dòng)寬帶系統(tǒng)之一，滿足了用戶對(duì)多媒體服務(wù)質(zhì)量的需求以及互聯(lián)網(wǎng)應(yīng)用和服務(wù)的日益增長(zhǎng)的要求，成為了當(dāng)今研究的熱點(diǎn)。它提供了上、下行分別為50 Mbps和100 Mbps的峰值速率，降低了時(shí)延，提高了小區(qū)容量[1]。

設(shè)計(jì)LTE網(wǎng)絡(luò)的目的在于簡(jiǎn)化系統(tǒng)結(jié)構(gòu)，它由現(xiàn)有的通用移動(dòng)通信系統(tǒng)(Universal Mobile Telecommunication System，UMTS)[2]電路域加上分組交換網(wǎng)絡(luò)成為全I(xiàn)P的扁平化架構(gòu)系統(tǒng)[3-4]。在核心網(wǎng)部分，原來(lái)的功能實(shí)體歸并為兩大新的邏輯成員：移動(dòng)管理實(shí)體(Mobile Management Entity，MME)和服務(wù)網(wǎng)關(guān)(Serving Gateway，S-GW)[5]。這樣的改變導(dǎo)致將系統(tǒng)的安全工作分配給了MME，包括鑒權(quán)、密鑰協(xié)商和會(huì)話管理。EPS-AKA是當(dāng)UE進(jìn)入eNodeB(即基站)通信區(qū)域，同MME/HSS進(jìn)行相互鑒權(quán)過(guò)程。該過(guò)程仍然存在一些不足，例如認(rèn)證向量(Authentication Vector，AV)由MME傳送到UE時(shí)未受到加密保護(hù)，隨機(jī)數(shù)RAND暴露等問(wèn)題。在本文中列出了這些問(wèn)題，并提出了改進(jìn)。

1　EPS-AKA過(guò)程

LTE鑒權(quán)過(guò)程如圖1所示，描述如下：

① UE發(fā)送附著請(qǐng)求給MME，其中包括國(guó)際移動(dòng)用戶識(shí)別碼(International Mobile Subscriber Identity，IMSI)、UE安全能力和密鑰集指示KSIASME；

圖1　LTE鑒權(quán)過(guò)程

② MME接收到附著請(qǐng)求，發(fā)送鑒權(quán)數(shù)據(jù)請(qǐng)求給HSS，其中包括IMSI、服務(wù)網(wǎng)絡(luò)ID(簡(jiǎn)稱SNID)和網(wǎng)絡(luò)類型；

③ HSS接收到請(qǐng)求后，首先認(rèn)證IMSI和SNID，如果網(wǎng)絡(luò)類型為演進(jìn)的通用陸地?zé)o線接入網(wǎng)(Evolved Universal Terrestrial Radio Access Network，E-UTRAN)，HSS則使用密鑰K計(jì)算出加密密鑰(Cipher Key，CK)，完整性密鑰(Integrity Key，IK)，然后生成序列號(hào)SQN和隨機(jī)數(shù)RAND，計(jì)算出隱藏序列號(hào)SQN的匿名密鑰AK。將CK和IK作為輸入密鑰，使用SN ID、SQN和AK計(jì)算出KASME。然后生成認(rèn)證向量AV(1...n)，并將認(rèn)證數(shù)據(jù)響應(yīng)AV(1 ...n)發(fā)送給MME。AV包括：隨機(jī)數(shù)、KASME、XRES和鑒權(quán)令牌(AUTN)[6]；

④ HSS回復(fù)MME認(rèn)證數(shù)據(jù)響應(yīng)包含AV；

⑤ MME產(chǎn)生用戶鑒權(quán)請(qǐng)求，包括RAND、AUTN和KSIASME，其中KSIASME用于標(biāo)記/產(chǎn)生KASME，以保證UE產(chǎn)生和HSS一樣的KASME；

⑥ MME將鑒權(quán)請(qǐng)求發(fā)給UE；

⑦ UE根據(jù)從MME接收到的請(qǐng)求，如圖3所示，UE使用加密函數(shù)f1生成XMAC，檢驗(yàn)XMAC與接收到的AUTN的MAC是否相同。如果不同，UE則丟棄該請(qǐng)求消息。否則，說(shuō)明MME通過(guò)鑒權(quán)，UE使用f2計(jì)算RES。UE進(jìn)一步使用自己安全密鑰、RAND以及f3、f4分別生成CK和IK。之后，可以利用KSIASME、SN ID、CK和IK計(jì)算KASME；

⑧ UE發(fā)送包含RES的用戶鑒權(quán)響應(yīng)給MME；

⑨ MME接收到響應(yīng)后，比較之前從HSS接收的AV中的XRES和RES是否相同，如果不同，MME則拒絕該連接。否則說(shuō)明UE鑒權(quán)成功，UE和MME/HSS完成了相互鑒權(quán)。

2　EPS-AKA過(guò)程安全缺陷分析

上述的鑒權(quán)過(guò)程，會(huì)存在以下幾個(gè)問(wèn)題。

(1) 在步驟②和步驟④中，MME和HSS之間相互發(fā)送的信息未受保護(hù)。MME和HSS連接可能是有線或無(wú)線。如果是無(wú)線，黑客更容易攔截一些重要的參數(shù)，例如AV中傳遞的RAND和KSIASME。同樣，在步驟⑥中，MME發(fā)送給UE的用戶鑒權(quán)請(qǐng)求也是沒(méi)有加密的，所以黑客可以通過(guò)攔截消息輕易地獲得RAND、AUTN和KSIASME。其中，RAND作為產(chǎn)生XRES和RES的密鑰之一，如圖2和圖3所示，也是計(jì)算CK、IK和AK等的參數(shù)之一，它的泄露必定對(duì)LTE安全系統(tǒng)帶來(lái)嚴(yán)重的安全隱患[7-8]。

圖2　認(rèn)證向量的生成

圖3　USIM卡中的用戶認(rèn)證功能

(2) KASME可以通過(guò)KSIASME、SN ID、CK和IK生成，如圖2所示，其中CK和IK分別由f3和f4，使用密鑰K和RAND作為輸入?yún)?shù)生成。一旦密鑰K被破解了，黑客通過(guò)竊聽(tīng)傳遞的AV中的RAND，就可以計(jì)算出KASME，從而危及到數(shù)據(jù)傳輸?shù)陌踩玔9]。

(3) AUTN中傳送的AK受到SQN的保護(hù)，如圖2所示，所以它的安全性比XRES高。但SQN是對(duì)UE重新驗(yàn)證的序列號(hào)。每次當(dāng)HSS對(duì)UE重新驗(yàn)證時(shí)，SQN的值將加1。因此，雖然它最初是一個(gè)隨機(jī)值(32 bit)，如果黑客知道SQN的范圍，他們很容易猜到接下來(lái)重新驗(yàn)證的SQN值，因此提高了從SQN⊕AK中泄露AK的可能性[10-11]。

3　EPS-AKA安全性增強(qiáng)機(jī)制

文獻(xiàn)[12]提出一個(gè)新的簡(jiǎn)單且強(qiáng)大的基于改進(jìn)代理簽名的認(rèn)證方案，文獻(xiàn)[13]提出了快速安全切換認(rèn)證方案，但2種方案都產(chǎn)生大量的計(jì)算成本和電池消耗。本文利用密鑰對(duì)和Diffie-Hellman算法來(lái)解決了第2節(jié)中的問(wèn)題。

3.1利用密鑰對(duì)提高LTE安全水平

密鑰對(duì)是僅發(fā)送端知道的一對(duì)密鑰，如UE或HSS，也可以稱它們?yōu)榘踩荑€，用于加密和生成數(shù)據(jù)，該密鑰不在因特網(wǎng)和移動(dòng)網(wǎng)絡(luò)中傳送，因此它們很安全。目前，所有f2～f5計(jì)算中僅有一個(gè)安全密鑰加密，例如HSS產(chǎn)生AK，K是唯一安全的密鑰，它不被傳送，但是RAND在不加密的情況下傳送。這意味著需要另一個(gè)安全密鑰，通過(guò)增加另一個(gè)安全密鑰來(lái)提高所產(chǎn)生的密鑰的安全級(jí)別。

3.2生成多個(gè)密鑰

如圖4所示，產(chǎn)生了AK1和AK2代替AK，以及KASME1和KASME2代替KASME。一旦有更多的安全密鑰可用，將極大地提高LTE的安全級(jí)別，有利于安全參數(shù)的產(chǎn)生和設(shè)計(jì)加密/解密算法。

圖4　認(rèn)證向量生成的密鑰對(duì)

實(shí)際上，使用一對(duì)密鑰將增加UE和MME/HSS的密鑰數(shù)目，這意味著將需要產(chǎn)生更多的密鑰來(lái)加密傳輸數(shù)據(jù)，如傳遞的UE安全能力、加密算法、NAS完整性算法和MAC，因而提高了數(shù)據(jù)的保密性，因?yàn)楹诳筒恢繳E和MME/HSS是如何對(duì)數(shù)據(jù)加密的。

3.3增強(qiáng)SQN和AMF的功能

如上所述，SQN受到安全密鑰AK的保護(hù)，黑客無(wú)法輕易的獲得SQN。在本文中增強(qiáng)了SQN的特性，通過(guò)把它從一個(gè)序列號(hào)改變成一個(gè)隨機(jī)數(shù)。即，SQN現(xiàn)在是一個(gè)密鑰，可用來(lái)作為f2和f3的第3個(gè)輸入?yún)?shù)，因此XRES將會(huì)被一對(duì)密鑰保護(hù)，即SQN和密鑰K。雖然密鑰K是一個(gè)固定值，增加了隨機(jī)值后，黑客很難反破解它。

而且，如果使用SQN作為f3的第3個(gè)輸入密鑰，如圖4所示，破解KASME的復(fù)雜性將更高。萬(wàn)一密鑰K因?yàn)槠渌陌踩┒幢黄平猓琄ASME仍是安全的。另外因?yàn)镾QN現(xiàn)在是隨機(jī)產(chǎn)生的一個(gè)密鑰，黑客無(wú)法通過(guò)猜測(cè)獲得SQN，然后獲得AV值。

同樣，將AMF作為AK的第3個(gè)輸入?yún)?shù)，使AK受到更好的保護(hù)。這樣，黑客將很難獲得密鑰K，從而破解AV。

3.4使用Diffie-Hellman算法解決暴露RAND的問(wèn)題

為了解決RAND暴露的問(wèn)題，可以在傳輸附著請(qǐng)求之前，由UE隨機(jī)產(chǎn)生一個(gè)隨機(jī)數(shù)RUE作為隨機(jī)密鑰。接下來(lái)，UE利用Diffie-Hellman算法[14]計(jì)算A=gRUEmodp，其中p是普通素?cái)?shù)，g是原始根。然后UE將Attach Request傳輸給MME，其中包含A。當(dāng)MME接收到附著請(qǐng)求時(shí)，MME將它轉(zhuǎn)發(fā)給HSS。當(dāng)HSS收到后，產(chǎn)生隨機(jī)數(shù)作為隨機(jī)密鑰，例如RHSS，計(jì)算KRAND=ARHSSmodp，利用Diffie-Hellman算法產(chǎn)生KRAND作為共享密鑰(僅UE和HSS共有，KRAND將不被傳送)，并計(jì)算B=gRHSSmodp。當(dāng)HSS把AV傳給MME，AV中原來(lái)的RAND將由B取代。之后，MME將這些數(shù)據(jù)傳給UE。UE收到B，開(kāi)始計(jì)算KRAND。但如果在傳送過(guò)程中B被黑客捕獲，他也無(wú)法獲得或修改KRAND，由此可知用隨機(jī)數(shù)KRAND取代原來(lái)的RAND，可以得到更好的保護(hù)。

綜上，通過(guò)使用密鑰對(duì)，可以提高被破解的復(fù)雜度。生成多個(gè)密鑰，可以提高系統(tǒng)的安全級(jí)別。在計(jì)算密鑰時(shí)，將AMF和SQN作為輸入?yún)?shù)，使得黑客很難反破解。通過(guò)使用Diffie-Hellman算法，可以更好地保護(hù)RAND。

4　結(jié)束語(yǔ)

通過(guò)利用Diffie-Hellman算法來(lái)解決RAND暴露的問(wèn)題，從而增加破解生成參數(shù)的復(fù)雜度。使用密鑰對(duì)不僅增加了鑒權(quán)和數(shù)據(jù)傳輸?shù)陌踩?jí)別，也增加了LTE選擇參數(shù)的復(fù)雜性。原來(lái)的參數(shù)僅受到密鑰K的保護(hù)，現(xiàn)在受到至少2個(gè)安全密鑰保護(hù)。而且，該方法不需要修改LTE的架構(gòu)，很容易實(shí)施并能增強(qiáng)LTE的安全水平。

[1]姜怡華,許慕鴻,習(xí)建德,等.3GPP系統(tǒng)架構(gòu)演進(jìn)(SAE)原理與設(shè)計(jì)[M].北京:人民郵電出版社,2010:120-122.

[2]3GPP TR33.821.3rd Generation Partnership Project.Technical Specification Group Service and System Aspects.Rationale andTrack of Security Decisions in Long Term EvolvedRAN /3GPP System Architecture Evolution(Release 9)[R],2009:34-68.

[3]向東南,申敏,陳政貴.LTE核心網(wǎng)安全缺陷的研究[J].無(wú)線電通信技術(shù)，2016,42(1):31-34.

[4]3GPP TS33.401.3rd Generation Partnership Project.Technical Specification Group Service and System Aspects.3GPP System Architecture Evolution/Security Architecture.(Release 12)[R]，2014：45-78.

[5]方強(qiáng).演進(jìn)的3GPP系統(tǒng)架構(gòu)分析[J].無(wú)線電通信技術(shù),2010,36(2):13-15.

[6]Koien G M.Mutual Entity Authentication for LTE.7th International WirelessCommunications and Mobile Computing Conference[C]//IWCMC 2011,Istanbul,Turkey,2011:689-694.

[7]Purkhiabani M,Salahi A.Enhanced Authentication and Key Agreement Procedure of next Generation 3GPP Mobile Networks[C]//International Journal of Information and Electronics Engineering,2012:69-77.

[8]Cao J,Ma M.An Uniform Handover Authentication between E-UTRAN and Non-3GPP Access Networks[C]//Wireless Communication,2012:3644-3650.

[9]陳發(fā)堂,袁金龍,吳增順.鑒權(quán)與密鑰協(xié)商過(guò)程在LTE系統(tǒng)中的改進(jìn)[J].電子技術(shù)應(yīng)用，2012,38(7):147-150.

[10]Purkhiabani M,Salahi A.Enhanced Authentication and Key Agreement Procedure of Next Generation Evolved Mobile Networks.Proc[C]//IEEE 3rd International Conference on Communication Software and Networks(ICCSN),2011:557-563.

[11]Cao J,Li H,Ma M.A Simple and Robust Handover Authentication between HeNB and eNB in LTE Networks.Computer Networks[C]//2012:2119-2131.

[12]Li X,Wang Y.Security Enhanced Authentication and Key Agreement Protocol for LTE/SAE Network[C]//Proc.Wireless Communications,Networking and Mobile Computing,2011:1-4.

[13]Purkhiabani M,Salahi A.Enhanced Authentication and Key Agreement Procedure of Next Generation Evolved Mobile Networks[C]//Proc.IEEE 3rd International Conference on Communication Software and Networks(ICCSN),2011:557-563.

[14]Huang Y F,Leu F Y,Chiu C H,etal.Improving Security Levels of IEEE802.16e Authentication by Involving Diffie-Hellman PKDS[J].Journal of Universal Computer Science,2011:891-911.

Research and Improvement of LTE EPS-AKA Procedure Security

XIANG Dong-nan,MAO Wen-jun

(School of Communication and Information Engineering,Chongqing University of Posts and Telecommunications,Chongqing 400065,China)

In this paper,the LTE Authentication and Key Agreement(EPS-AKA)procedure is studied and the security flaws in the authentication process are analyzed.For example,when its HSS authenticates a UE,the random number RAND generated by HSS for creating other keys is unencrypted during its delivery from HSS to UE.Also,many parameters are generated by invoking a function with only one input key,thus they are very easy to be cracked.So,the paper presents an improvement scheme,in which the exposure of RAND in the authentication process is avoided,and a key-pair mechanism is adopted when creating other parameters.The security level of all the parameters is increased,making the LTE system more secure.

LTE;EPS-AKA;key pair;security flaw

10.3969/j.issn.1003-3114.2016.05.15

引用格式：向東南，毛文俊.LTE系統(tǒng)EPS-AKA過(guò)程安全性研究與改進(jìn)[J].無(wú)線電通信技術(shù),2016,42(5):60-63.

2016-05-12

國(guó)家科技重大專項(xiàng)基金資助項(xiàng)目(2012ZX03001012)

向東南(1990—)，女，碩士研究生，主要研究方向：移動(dòng)通信網(wǎng)絡(luò)安全。毛文俊(1988—)，男，碩士研究生，主要研究方向：移動(dòng)通信。

TN929.5

A

1003-3114(2016)05-60-4