LTE SAE安全體系的研究及其在終端的實(shí)現(xiàn)

1、lte/sae安全體系的研究及其在終端的實(shí)現(xiàn)1 引言 隨著移動(dòng)通信的不斷發(fā)展，人們對(duì)移動(dòng)通信中的信息安全也提出了更高的要求，從2g到3g，在安全特征與安全服務(wù)方面逐步完善。為了進(jìn)一步推進(jìn)3g技術(shù)，提高頻譜效率，降低時(shí)延和優(yōu)化分組數(shù)據(jù)，作為3g系統(tǒng)長(zhǎng)期演進(jìn)的lte（long time evolution，長(zhǎng)期演進(jìn)）應(yīng)運(yùn)而生1，與此同時(shí)lte的演進(jìn)項(xiàng)目sae（system architecture evolution，系統(tǒng)架構(gòu)演進(jìn)）也同時(shí)開(kāi)展，目標(biāo)是為lte的演進(jìn)開(kāi)發(fā)一個(gè)支持多rat（radio access technology，無(wú)線接入技術(shù)）的系統(tǒng)架構(gòu)。在lte/sae中，安全包括as（acc

2、ess stratum，接入層）和nas（non-access stratum，非接入層）兩個(gè)層次。as安全是ue（user equipment，用戶設(shè)備）與enb（evolved node-b，演進(jìn)型節(jié)點(diǎn)b）之間的安全，主要執(zhí)行as信令的加密和完整性保護(hù)，up（user plane，用戶平面）數(shù)據(jù)的機(jī)密性保護(hù)；nas的安全是ue與mme（mobile management entity，移動(dòng)管理實(shí)體）之間的安全，主要執(zhí)行nas信令的機(jī)密性和完整性保護(hù)。本文主要以協(xié)議為基礎(chǔ)，重點(diǎn)介紹lte/sae的安全架構(gòu)、安全機(jī)制及其終端安全流程的實(shí)現(xiàn)。 2 lte/sae的安全體系結(jié)構(gòu) 2.1 lte/s

3、ae的安全架構(gòu) lte/sae在安全功能方面不斷得到完善、擴(kuò)展和加強(qiáng)，參考文獻(xiàn)2提出網(wǎng)絡(luò)的安全分為網(wǎng)絡(luò)接入安全、網(wǎng)絡(luò)域安全、用戶域安全、應(yīng)用域安全、安全服務(wù)的可視性和可配置性等5個(gè)域，如圖1所示。 由圖1可知，lte/sae的安全架構(gòu)和3g的網(wǎng)絡(luò)安全架構(gòu)相比，發(fā)生了一些變化。參考文獻(xiàn)3指出：首先是在me(mobile equipment，移動(dòng)設(shè)備)和sn(serve network，業(yè)務(wù)網(wǎng))之間加入了非接入層的安全，使得非接入層和接入層的安全獨(dú)立開(kāi)來(lái)便于操作；然后在an(access network，接入網(wǎng))和sn之間的通信引入安全；另外，增加了服務(wù)網(wǎng)認(rèn)證，能縮減空閑模式的信令開(kāi)銷。ue是由m

4、e和usim(universal subscriber identity module，全球用戶標(biāo)識(shí)模塊)卡組成。 2.2 lte/sae安全流程分析 lte/sae的安全流程整體上可以分為以下幾大部分，如圖2所示。 用戶開(kāi)機(jī)發(fā)起注冊(cè)，與網(wǎng)絡(luò)建立連接后發(fā)起aka（authentication and key agreement，鑒權(quán)與密鑰協(xié)商）過(guò)程。網(wǎng)絡(luò)端的mme通過(guò)終端發(fā)來(lái)的imsi（international mobile subscriber identity，全球移動(dòng)用戶惟一標(biāo)識(shí)）以及相關(guān)的參數(shù)發(fā)起鑒權(quán)過(guò)程，之后與終端進(jìn)行密鑰協(xié)商，發(fā)起安全激活命令smc(security mode c

5、ommand，安全模式過(guò)程)，其最終目的是要達(dá)到終端和網(wǎng)絡(luò)端密鑰的一致性，這樣兩者之間才能安全地通信。 2.3 鑒權(quán)與密鑰協(xié)商過(guò)程 lte/sae鑒權(quán)與密鑰協(xié)商過(guò)程的目的是通過(guò)auc(authentication centre，鑒權(quán)中心)和usim卡中所共有的密鑰k來(lái)計(jì)算密鑰ck(cipher key，加密密鑰)和ik（integrity key，完整性密鑰），并由ck和ik作為基本密鑰計(jì)算一個(gè)新的父密鑰kasme， 隨后由此密鑰產(chǎn)生各層所需要的子密鑰，從而在ue和網(wǎng)絡(luò)之間建立eps（evolved packet system，演進(jìn)型分組系統(tǒng)）安全上下文。lte和3g在aka過(guò)程中的個(gè)別地方是

6、有所不同的，參考文獻(xiàn)2指出網(wǎng)絡(luò)端生成的ck、ik不應(yīng)該離開(kāi)hss（home subscriber server，歸屬地用戶服務(wù)器，存在于歸屬地環(huán)境he中），而參考文獻(xiàn)3指出3g的ck、ik是可以存在于av(authentication vector，鑒權(quán)向量)中的，lte這樣做使主要密鑰不發(fā)生傳輸，提高了安全性。aka過(guò)程最終實(shí)現(xiàn)了ue和網(wǎng)絡(luò)側(cè)的雙向鑒權(quán)，使兩端的密鑰達(dá)成一致，以便能夠正常通信。詳細(xì)的鑒權(quán)與密鑰協(xié)商過(guò)程如圖3所示。 （1）（3）mme通過(guò)鑒權(quán)請(qǐng)求authentication datequest將imsi、sn id（server network identity，服務(wù)網(wǎng)標(biāo)識(shí)）和

7、network type(服務(wù)網(wǎng)類型)傳給hss，hss用sn id對(duì)終端進(jìn)行驗(yàn)證。如果驗(yàn)證通過(guò)，hss將會(huì)使用收到的參數(shù)生成av， 它包括參數(shù)rand(隨機(jī)數(shù))、autn(authentication token，鑒證令牌)、xres（通過(guò)和用戶返回的res比較來(lái)達(dá)成密鑰協(xié)商的目的）和密鑰kasme，kasme是用來(lái)產(chǎn)生非接入層和接入層密鑰的總密鑰，之后通過(guò)鑒權(quán)響應(yīng)authentication data response將av傳給mme。 （4）（10）mme存儲(chǔ)好av后，將會(huì)通過(guò)用戶鑒權(quán)請(qǐng)求user authentication request這條消息將參數(shù)autn、rand和ksiasm

8、e 傳給終端。ksiasme 是用來(lái)標(biāo)識(shí)kasmekasme，目的是為了終端能獲得和網(wǎng)絡(luò)端一樣的kasme 。隨后，參考文獻(xiàn)4指出終端將會(huì)核實(shí)收到的autn的amf（authentication management field，鑒證管理域）。如果可以接受，通過(guò)驗(yàn)證，將會(huì)進(jìn)一步生成一個(gè)響應(yīng)res；如果和xres匹配的話，表示鑒權(quán)成功了。 res的具體生成方法如圖4所示，參考文獻(xiàn)3指出圖中的sqn(sequence number，序列號(hào))是一個(gè)計(jì)數(shù)器。f1和f2為鑒權(quán)函數(shù)，f3、f4、f5和kdf都是密鑰生成函數(shù)；?茌為異或操作；ak為一個(gè)密鑰，ak = f5k (rand)，主要用于恢復(fù)sqn

9、，具體操作是sqn = (sqn?茌ak) ak；mac為網(wǎng)絡(luò)端產(chǎn)生的信息確認(rèn)碼，xmac為終端生成的信息確認(rèn)碼。當(dāng)ue收到mme發(fā)來(lái)的鑒權(quán)請(qǐng)求后，通過(guò)驗(yàn)證，使用參數(shù)k、sqn（恢復(fù)的）和amf通過(guò)函數(shù)f1生成xmac， 通過(guò)比較xmac和mac相等后，才被允許進(jìn)行下一步動(dòng)作。 上述過(guò)程完成之后，終端和網(wǎng)絡(luò)端的非接入層和接入層將會(huì)由產(chǎn)生的密鑰kasme通過(guò)kdf獲取相應(yīng)的機(jī)密性及完整性保護(hù)所需要的密鑰。 2.4 終端的安全性激活過(guò)程 在lte中，非接入層和接入層分別都要進(jìn)行加密和完整性保護(hù)，它們是相互獨(dú)立的，它們安全性的激活都是通過(guò)smc命令來(lái)完成的，且發(fā)生在aka之后。網(wǎng)絡(luò)端對(duì)終端的非接入層

10、和接入層的激活順序是先激活非接入層的安全性，再激活接入層的安全性。 2.4.1 非接入層的安全模式過(guò)程 由圖5可知，非接入層的安全模式過(guò)程是由網(wǎng)絡(luò)發(fā)起的，mme發(fā)送的smc消息是被非接入層完整性保護(hù)了的，但是沒(méi)有被加密。參考文獻(xiàn)4指出ue在收到smc消息后，首先要比對(duì)消息中的ue security capabilities（安全性能力）是否和自己發(fā)送給網(wǎng)絡(luò)以觸發(fā)smc過(guò)程的ue security capabilities相同，以確定ue security capabilities未被更改，如果相同，表示可以接受，沒(méi)有受到攻擊，noncemme和nonceue用于切換時(shí)的安全性激活，本文就不再贅

11、述；其次，進(jìn)行nas層密鑰的生成，包括knasenc和knasint， 前者為nas加密密鑰，后者為nas完整性保護(hù)密鑰；接著，ue將根據(jù)新產(chǎn)生的完整性保護(hù)密鑰和算法對(duì)收到的smc消息進(jìn)行完整性校驗(yàn)，校驗(yàn)通過(guò)，表示該smc可以被接受，此安全通道可用；最后，ue發(fā)出安全模式完成消息給mme，所有的nas信令消息都將進(jìn)行加密和完整性保護(hù)。如果安全模式命令的校驗(yàn)沒(méi)通過(guò)的話，將發(fā)送安全模式拒絕命令給mme，ue退出連接。如圖5中的第3步。 2.4.2 接入層的安全模式過(guò)程 在非接入層的安全性激活后，緊接著將要進(jìn)行接入層的安全性激活，采用as smc命令來(lái)實(shí)現(xiàn)的。如圖6所示，網(wǎng)絡(luò)端通過(guò)已經(jīng)存在的kasm

12、e來(lái)生成kenb ，利用kenb生成完整性保護(hù)密鑰對(duì)as smc這條消息進(jìn)行完整性保護(hù)，并生成一個(gè)信息確認(rèn)碼mac-i；之后，將as smc傳給me。參考文獻(xiàn)5指出me首先利用密鑰kasme來(lái)生成kenb ， 之后利用收到的算法和kenb通過(guò)kdf生成完整性保護(hù)密鑰，然后對(duì)此as smc信息進(jìn)行完整性校驗(yàn)，具體是通過(guò)生成一個(gè)x-mac，如果x-mac和mac-i相匹配的話，通過(guò)校驗(yàn)，之后進(jìn)一步生成加密密鑰，并發(fā)送as smc完成消息給enb，此條消息也要進(jìn)行加密和完整性保護(hù)，也要生成一個(gè)信息確認(rèn)碼mac-i，具體用途已介紹，此步驟非常重要，假如校驗(yàn)不通過(guò)，ue會(huì)向enb返回一條as mode

13、failure消息，表明此通道不安全，ue是要退出連接的。enb對(duì)as smc完成消息進(jìn)行完整性校驗(yàn)通過(guò)后，此時(shí)接入層的安全性就激活了，可以開(kāi)始傳輸數(shù)據(jù)了。 3 lte/sae安全體系終端的具體實(shí)現(xiàn) 3.1 終端密鑰的獲取 在非接入層和接入層的安全性激活之后，將會(huì)進(jìn)一步生成各自機(jī)密性和完整性保護(hù)所需要的密鑰。 圖7中的第（1）步在圖3中已經(jīng)介紹過(guò)，主要是用于生成密鑰kasme ，非接入層直接用此密鑰獲取非接入層信令所用的完整性密鑰和加解密密鑰，如圖中第（2）步所述。接入層還要首先通過(guò)此密鑰再進(jìn)一步獲取控制平面所需要的完整性和加解密密鑰krrcint、krrcenc 以及用戶平面所需的加解密密鑰

14、kupenc。 3.2 終端數(shù)據(jù)的安全性實(shí)現(xiàn) 前面已經(jīng)介紹過(guò)lte終端非接入層和接入層都要對(duì)數(shù)據(jù)進(jìn)行機(jī)密性和完整性保護(hù)。兩者相似，本文僅介紹終端接入層的安全性實(shí)現(xiàn)。 lte終端協(xié)議棧接入層的安全性的具體功能實(shí)現(xiàn)是在pdcp（packet data convergence protocol，分組數(shù)據(jù)匯聚協(xié)議）中完成的。參考文獻(xiàn)6指出pdcp在接入層協(xié)議棧中的位置位于rlc（radio link control，無(wú)線鏈路控制）層之上，受rrc（radio resource control，無(wú)線資源控制）的調(diào)度和控制，將來(lái)自上層的用戶數(shù)據(jù)傳輸?shù)絩lc子層。pdcp機(jī)密性的對(duì)象是c（control，控

15、制）平面的信令以及u(user，用戶)平面數(shù)據(jù)部分，完整性保護(hù)的對(duì)象僅針對(duì)c平面的信令部分，完整性保護(hù)在加密之前進(jìn)行。 lte中數(shù)據(jù)的安全性都是基于算法來(lái)實(shí)現(xiàn)的，機(jī)密性和完整性保護(hù)的核心算法有兩種:aes（advanced encryption standard，高級(jí)加密標(biāo)準(zhǔn)）和snow 3g算法。參考文獻(xiàn)7指出aes采用的是128位塊加密，參考文獻(xiàn)8指出snow 3g采用的128位流加密。下面將分別介紹數(shù)據(jù)機(jī)密性和完整性的具體實(shí)現(xiàn)。 3.2.1 終端數(shù)據(jù)的機(jī)密性實(shí)現(xiàn) 機(jī)密性均采用aes或snow 3g算法，具體采用哪種算法是由rrc配給pdcp，這兩種算法的輸入密鑰均采用128位。具體如圖8

16、所示。 如圖8所示，算法的輸入是iv和key，輸出為q。iv由4個(gè)參數(shù)組成:32位count（pdcp的數(shù)據(jù)計(jì)數(shù)器）、5位的bearer（pdcp的rb標(biāo)識(shí)）、1位的direction（上行或下行數(shù)據(jù)的方向位）和length（表示所加解密數(shù)據(jù)的長(zhǎng)度）。key是前面所講的密鑰krrcenc或kupenc 。q是輸出的密鑰流塊。參考文獻(xiàn)2指出加密過(guò)程:圖8產(chǎn)生的密鑰流塊與明文塊異或后便產(chǎn)生了密文塊，加密過(guò)程完成。解密過(guò)程與加密過(guò)程相反即可。 3.2.2 終端數(shù)據(jù)的完整性實(shí)現(xiàn) 完整性也采用aes或snow 3g算法，具體采用哪種算法也是由rrc配給pdcp，這兩種算法的輸入密鑰均采用128位。具體如圖9所示。 如圖9所示，算法的輸入是iv和key。iv也由4個(gè)參數(shù)構(gòu)成，count、bearer和direction這3個(gè)參數(shù)與機(jī)密性所用的參數(shù)相同， message代表的是實(shí)際進(jìn)行完整性保護(hù)或校驗(yàn)的數(shù)據(jù)；key是前面所提到的完整