LTE SAE安全體系的研究及其在終端的實現(xiàn)

1、lte/sae安全體系的研究及其在終端的實現(xiàn)1 引言 隨著移動通信的不斷發(fā)展，人們對移動通信中的信息安全也提出了更高的要求，從2g到3g，在安全特征與安全服務方面逐步完善。為了進一步推進3g技術，提高頻譜效率，降低時延和優(yōu)化分組數(shù)據(jù)，作為3g系統(tǒng)長期演進的lte（long time evolution，長期演進）應運而生1，與此同時lte的演進項目sae（system architecture evolution，系統(tǒng)架構演進）也同時開展，目標是為lte的演進開發(fā)一個支持多rat（radio access technology，無線接入技術）的系統(tǒng)架構。在lte/sae中，安全包括as（acc

2、ess stratum，接入層）和nas（non-access stratum，非接入層）兩個層次。as安全是ue（user equipment，用戶設備）與enb（evolved node-b，演進型節(jié)點b）之間的安全，主要執(zhí)行as信令的加密和完整性保護，up（user plane，用戶平面）數(shù)據(jù)的機密性保護；nas的安全是ue與mme（mobile management entity，移動管理實體）之間的安全，主要執(zhí)行nas信令的機密性和完整性保護。本文主要以協(xié)議為基礎，重點介紹lte/sae的安全架構、安全機制及其終端安全流程的實現(xiàn)。 2 lte/sae的安全體系結構 2.1 lte/s

3、ae的安全架構 lte/sae在安全功能方面不斷得到完善、擴展和加強，參考文獻2提出網(wǎng)絡的安全分為網(wǎng)絡接入安全、網(wǎng)絡域安全、用戶域安全、應用域安全、安全服務的可視性和可配置性等5個域，如圖1所示。 由圖1可知，lte/sae的安全架構和3g的網(wǎng)絡安全架構相比，發(fā)生了一些變化。參考文獻3指出：首先是在me(mobile equipment，移動設備)和sn(serve network，業(yè)務網(wǎng))之間加入了非接入層的安全，使得非接入層和接入層的安全獨立開來便于操作；然后在an(access network，接入網(wǎng))和sn之間的通信引入安全；另外，增加了服務網(wǎng)認證，能縮減空閑模式的信令開銷。ue是由m

4、e和usim(universal subscriber identity module，全球用戶標識模塊)卡組成。 2.2 lte/sae安全流程分析 lte/sae的安全流程整體上可以分為以下幾大部分，如圖2所示。 用戶開機發(fā)起注冊，與網(wǎng)絡建立連接后發(fā)起aka（authentication and key agreement，鑒權與密鑰協(xié)商）過程。網(wǎng)絡端的mme通過終端發(fā)來的imsi（international mobile subscriber identity，全球移動用戶惟一標識）以及相關的參數(shù)發(fā)起鑒權過程，之后與終端進行密鑰協(xié)商，發(fā)起安全激活命令smc(security mode c

5、ommand，安全模式過程)，其最終目的是要達到終端和網(wǎng)絡端密鑰的一致性，這樣兩者之間才能安全地通信。 2.3 鑒權與密鑰協(xié)商過程 lte/sae鑒權與密鑰協(xié)商過程的目的是通過auc(authentication centre，鑒權中心)和usim卡中所共有的密鑰k來計算密鑰ck(cipher key，加密密鑰)和ik（integrity key，完整性密鑰），并由ck和ik作為基本密鑰計算一個新的父密鑰kasme， 隨后由此密鑰產(chǎn)生各層所需要的子密鑰，從而在ue和網(wǎng)絡之間建立eps（evolved packet system，演進型分組系統(tǒng)）安全上下文。lte和3g在aka過程中的個別地方是

6、有所不同的，參考文獻2指出網(wǎng)絡端生成的ck、ik不應該離開hss（home subscriber server，歸屬地用戶服務器，存在于歸屬地環(huán)境he中），而參考文獻3指出3g的ck、ik是可以存在于av(authentication vector，鑒權向量)中的，lte這樣做使主要密鑰不發(fā)生傳輸，提高了安全性。aka過程最終實現(xiàn)了ue和網(wǎng)絡側的雙向鑒權，使兩端的密鑰達成一致，以便能夠正常通信。詳細的鑒權與密鑰協(xié)商過程如圖3所示。 （1）（3）mme通過鑒權請求authentication datequest將imsi、sn id（server network identity，服務網(wǎng)標識）和

7、network type(服務網(wǎng)類型)傳給hss，hss用sn id對終端進行驗證。如果驗證通過，hss將會使用收到的參數(shù)生成av， 它包括參數(shù)rand(隨機數(shù))、autn(authentication token，鑒證令牌)、xres（通過和用戶返回的res比較來達成密鑰協(xié)商的目的）和密鑰kasme，kasme是用來產(chǎn)生非接入層和接入層密鑰的總密鑰，之后通過鑒權響應authentication data response將av傳給mme。 （4）（10）mme存儲好av后，將會通過用戶鑒權請求user authentication request這條消息將參數(shù)autn、rand和ksiasm

8、e 傳給終端。ksiasme 是用來標識kasmekasme，目的是為了終端能獲得和網(wǎng)絡端一樣的kasme 。隨后，參考文獻4指出終端將會核實收到的autn的amf（authentication management field，鑒證管理域）。如果可以接受，通過驗證，將會進一步生成一個響應res；如果和xres匹配的話，表示鑒權成功了。 res的具體生成方法如圖4所示，參考文獻3指出圖中的sqn(sequence number，序列號)是一個計數(shù)器。f1和f2為鑒權函數(shù)，f3、f4、f5和kdf都是密鑰生成函數(shù)；?茌為異或操作；ak為一個密鑰，ak = f5k (rand)，主要用于恢復sqn

9、，具體操作是sqn = (sqn?茌ak) ak；mac為網(wǎng)絡端產(chǎn)生的信息確認碼，xmac為終端生成的信息確認碼。當ue收到mme發(fā)來的鑒權請求后，通過驗證，使用參數(shù)k、sqn（恢復的）和amf通過函數(shù)f1生成xmac， 通過比較xmac和mac相等后，才被允許進行下一步動作。 上述過程完成之后，終端和網(wǎng)絡端的非接入層和接入層將會由產(chǎn)生的密鑰kasme通過kdf獲取相應的機密性及完整性保護所需要的密鑰。 2.4 終端的安全性激活過程 在lte中，非接入層和接入層分別都要進行加密和完整性保護，它們是相互獨立的，它們安全性的激活都是通過smc命令來完成的，且發(fā)生在aka之后。網(wǎng)絡端對終端的非接入層

10、和接入層的激活順序是先激活非接入層的安全性，再激活接入層的安全性。 2.4.1 非接入層的安全模式過程 由圖5可知，非接入層的安全模式過程是由網(wǎng)絡發(fā)起的，mme發(fā)送的smc消息是被非接入層完整性保護了的，但是沒有被加密。參考文獻4指出ue在收到smc消息后，首先要比對消息中的ue security capabilities（安全性能力）是否和自己發(fā)送給網(wǎng)絡以觸發(fā)smc過程的ue security capabilities相同，以確定ue security capabilities未被更改，如果相同，表示可以接受，沒有受到攻擊，noncemme和nonceue用于切換時的安全性激活，本文就不再贅

11、述；其次，進行nas層密鑰的生成，包括knasenc和knasint， 前者為nas加密密鑰，后者為nas完整性保護密鑰；接著，ue將根據(jù)新產(chǎn)生的完整性保護密鑰和算法對收到的smc消息進行完整性校驗，校驗通過，表示該smc可以被接受，此安全通道可用；最后，ue發(fā)出安全模式完成消息給mme，所有的nas信令消息都將進行加密和完整性保護。如果安全模式命令的校驗沒通過的話，將發(fā)送安全模式拒絕命令給mme，ue退出連接。如圖5中的第3步。 2.4.2 接入層的安全模式過程 在非接入層的安全性激活后，緊接著將要進行接入層的安全性激活，采用as smc命令來實現(xiàn)的。如圖6所示，網(wǎng)絡端通過已經(jīng)存在的kasm

12、e來生成kenb ，利用kenb生成完整性保護密鑰對as smc這條消息進行完整性保護，并生成一個信息確認碼mac-i；之后，將as smc傳給me。參考文獻5指出me首先利用密鑰kasme來生成kenb ， 之后利用收到的算法和kenb通過kdf生成完整性保護密鑰，然后對此as smc信息進行完整性校驗，具體是通過生成一個x-mac，如果x-mac和mac-i相匹配的話，通過校驗，之后進一步生成加密密鑰，并發(fā)送as smc完成消息給enb，此條消息也要進行加密和完整性保護，也要生成一個信息確認碼mac-i，具體用途已介紹，此步驟非常重要，假如校驗不通過，ue會向enb返回一條as mode

13、failure消息，表明此通道不安全，ue是要退出連接的。enb對as smc完成消息進行完整性校驗通過后，此時接入層的安全性就激活了，可以開始傳輸數(shù)據(jù)了。 3 lte/sae安全體系終端的具體實現(xiàn) 3.1 終端密鑰的獲取 在非接入層和接入層的安全性激活之后，將會進一步生成各自機密性和完整性保護所需要的密鑰。 圖7中的第（1）步在圖3中已經(jīng)介紹過，主要是用于生成密鑰kasme ，非接入層直接用此密鑰獲取非接入層信令所用的完整性密鑰和加解密密鑰，如圖中第（2）步所述。接入層還要首先通過此密鑰再進一步獲取控制平面所需要的完整性和加解密密鑰krrcint、krrcenc 以及用戶平面所需的加解密密鑰

14、kupenc。 3.2 終端數(shù)據(jù)的安全性實現(xiàn) 前面已經(jīng)介紹過lte終端非接入層和接入層都要對數(shù)據(jù)進行機密性和完整性保護。兩者相似，本文僅介紹終端接入層的安全性實現(xiàn)。 lte終端協(xié)議棧接入層的安全性的具體功能實現(xiàn)是在pdcp（packet data convergence protocol，分組數(shù)據(jù)匯聚協(xié)議）中完成的。參考文獻6指出pdcp在接入層協(xié)議棧中的位置位于rlc（radio link control，無線鏈路控制）層之上，受rrc（radio resource control，無線資源控制）的調度和控制，將來自上層的用戶數(shù)據(jù)傳輸?shù)絩lc子層。pdcp機密性的對象是c（control，控

15、制）平面的信令以及u(user，用戶)平面數(shù)據(jù)部分，完整性保護的對象僅針對c平面的信令部分，完整性保護在加密之前進行。 lte中數(shù)據(jù)的安全性都是基于算法來實現(xiàn)的，機密性和完整性保護的核心算法有兩種:aes（advanced encryption standard，高級加密標準）和snow 3g算法。參考文獻7指出aes采用的是128位塊加密，參考文獻8指出snow 3g采用的128位流加密。下面將分別介紹數(shù)據(jù)機密性和完整性的具體實現(xiàn)。 3.2.1 終端數(shù)據(jù)的機密性實現(xiàn) 機密性均采用aes或snow 3g算法，具體采用哪種算法是由rrc配給pdcp，這兩種算法的輸入密鑰均采用128位。具體如圖8

16、所示。 如圖8所示，算法的輸入是iv和key，輸出為q。iv由4個參數(shù)組成:32位count（pdcp的數(shù)據(jù)計數(shù)器）、5位的bearer（pdcp的rb標識）、1位的direction（上行或下行數(shù)據(jù)的方向位）和length（表示所加解密數(shù)據(jù)的長度）。key是前面所講的密鑰krrcenc或kupenc 。q是輸出的密鑰流塊。參考文獻2指出加密過程:圖8產(chǎn)生的密鑰流塊與明文塊異或后便產(chǎn)生了密文塊，加密過程完成。解密過程與加密過程相反即可。 3.2.2 終端數(shù)據(jù)的完整性實現(xiàn) 完整性也采用aes或snow 3g算法，具體采用哪種算法也是由rrc配給pdcp，這兩種算法的輸入密鑰均采用128位。具體如圖9所示。 如圖9所示，算法的輸入是iv和key。iv也由4個參數(shù)構成，count、bearer和direction這3個參數(shù)與機密性所用的參數(shù)相同， message代表的是實際進行完整性保護或校驗的數(shù)據(jù)；key是前面所提到的完整