LTENAS安全相關(guān)過程24.30133.401

1、LTE安全框架認(rèn)證和密鑰協(xié)商/(4)將收列的Avmm*AKA過程USIMMESNMMFHEHSS3產(chǎn)生從JIM：RAN叭ALIN,KRE,Kz丿(1)Aulhcnucaiiondalareque口IMSI.SNIdciNitv,NcnvorkTvpeiio(yrcquc$R八m“m/z（6）將核對收到的AUTN,孩實(shí)適過.生成KES(7)Uscrau止cnltonioncsponM.對比接收刃的RESXRIS匹配購權(quán)成功/:收的KSlz3RISNID尼通:過KDF|畀出心業(yè):關(guān)于卡的使用，Rel-99及其后版本的UICC上USIM應(yīng)用都應(yīng)能接入LTE,但應(yīng)保證USIM應(yīng)用沒有使用TS33.10

2、2附錄F中定義的私有AMF分離比特位（如果是LTE,該bit位的值為l）o2G的SIM或者UICC上的SIM不允許接入E-UTRA。關(guān)于終端的使用，具備LTE無線能力的ME應(yīng)支持TS31.102中定義的USIM-ME接口。如果網(wǎng)絡(luò)類型為LTE,AUTN中AMF字段的“分離比特位”應(yīng)置1,向ME指明認(rèn)證向量僅用于EPS上下文的AKA認(rèn)證。如果“分離比特位”置0,向量僅能用于非EPS上下文（如GSM.UMTS）的AKA認(rèn)證。對于分離比特位”為1的認(rèn)證向量，AKA認(rèn)證過程產(chǎn)生的密鑰CK和IK應(yīng)駐留在HSS中。待接入LTE的ME應(yīng)在認(rèn)證期間檢查AUTN中AMF字段的“分離比特位”是否置“分離比特位”是

3、AUTN中AMF字段的最低位，不應(yīng)再被用于其它用途。EPSAKA將產(chǎn)生生成用戶面UP,RRC和NAS加密密鑰以及RRC、NAS完整性保護(hù)密鑰的關(guān)鍵材料。MME通過ME發(fā)送選擇的鑒權(quán)向量中的RAND和用于鑒權(quán)網(wǎng)絡(luò)的AUTN給USIM。同時也包含用于識別Kmme的KSIasme。當(dāng)收到上述消息，USIM通過驗(yàn)證AUTN是否能被接受來判斷鑒權(quán)向量是否是最新的。如果是，USIM將計算一個響應(yīng)RESoUSIM將計算CK和IK發(fā)送給ME。如果驗(yàn)證失敗，USIM指示出錯原因給ME且在同步錯誤的情況下傳遞AUTS參數(shù)。在AUTN和AMF驗(yàn)證成功的情況下，UE將發(fā)送包含RES的響應(yīng)消息給網(wǎng)絡(luò)。在這種情況下，ME

4、將根據(jù)CK和IK計算Kasme，以及用KDF(KeyDerivationFunction)計算服務(wù)網(wǎng)絡(luò)的標(biāo)識(SNid)o當(dāng)從Kasme獲取的密鑰彼成功使用，SNid綁定將鑒定服務(wù)網(wǎng)絡(luò)標(biāo)識。否則，UE將發(fā)送用戶鑒權(quán)拒絕消息并指示錯誤原因。在AUTN同步錯誤的情況下，需要包含USIM提供的AUTSoMME將檢查UE發(fā)送的RES和XRES是否一樣。如果是則鑒權(quán)成功。如杲不是或者收到UE的錯誤響應(yīng)，則MME可能響UE發(fā)起認(rèn)證請求或者鑒權(quán)。圖1描述了基于UMTSAKA(見TS33.102)的EPSAKA認(rèn)證過程。UE和HSS共享以下密鑰：K是存儲在認(rèn)證中心AuC中和UICC的USIM上的永久密鑰。CK

5、,IK是AKA認(rèn)證過程中在AuC和USIM上推衍得到的一對密鑰。CK和IK應(yīng)視其所處不同上下文中(用在EPS安全上下文中還是其他的安全上下文中)區(qū)別對待。作為認(rèn)證與密鑰協(xié)商的結(jié)果，UE和MME(即EPS環(huán)境下的ASME)應(yīng)產(chǎn)生并共享一個中間密鑰Kasme。具體細(xì)節(jié)見HSS向服務(wù)網(wǎng)絡(luò)分發(fā)認(rèn)證向量的過程。ME/USIMMME“Userauthenticationrequest(RAND,AUTN,KSIasme)Userauthenticationresponse(RES)Userauthenticationreject(CAUSE)圖1EPS用戶認(rèn)證(EPSAKA)AKA成功建立后，UE和MME

6、都應(yīng)能創(chuàng)建部分本地EPS安全上下文。該上下文應(yīng)覆蓋現(xiàn)有的非當(dāng)前EPS安全上下文。HSS向服務(wù)網(wǎng)絡(luò)分發(fā)認(rèn)證向量的過程該過程的目的是從HSS提供給MME-個或者多個EPS鑒權(quán)向量(RAND,AUTN,XRES,幺沁)來執(zhí)行用戶鑒權(quán)。每一個EPS鑒權(quán)向量:都能被用來鑒定UEo由F已經(jīng)通過使用更復(fù)雜的密鑰層次減少了執(zhí)行AKA過程的需求(特別是，業(yè)務(wù)請求可使用存儲的Kasme認(rèn)證，而不需要執(zhí)行AKA),建議MME一次向HSS僅申請獲取一個EPS認(rèn)證向量。MMEHEAuthenticationdatarequestIMSI,SN身份標(biāo)識，網(wǎng)絡(luò)類型AuthenticationdataresponseEPS認(rèn)

7、證向量圖2從HE向MME分發(fā)認(rèn)證數(shù)據(jù)HSS根據(jù)CK、IK和SN標(biāo)識產(chǎn)生密鑰Kasme。MME向HSS請求鑒權(quán)向量時應(yīng)包括IMSI、服務(wù)網(wǎng)絡(luò)標(biāo)識(即MCC+MNC)、網(wǎng)絡(luò)類型(即LTE)o如杲同步失敗，MME還應(yīng)在請求中包含RAND和AUTS。此時HE應(yīng)在返回新的認(rèn)證向量之前檢驗(yàn)AUTS參數(shù)。接收到來自MME的authenticationdatarequest時，如果HE己經(jīng)預(yù)先計算好EPS認(rèn)證向量，則直接從HSS數(shù)據(jù)庫中提取，否則按要求計算。HSS向MME返回鑒權(quán)響應(yīng)（Authenticationdataresponse）,提供被請求信息。若請求多個EPS認(rèn)證向量，則按向量序列號依次返回。MM

8、E應(yīng)能識別認(rèn)證向量的順序，并且依照序列號的次序按順序使用向量。使用永久身份辨別用戶身份的過程當(dāng)服務(wù)網(wǎng)絡(luò)不能通過臨時身份標(biāo)識（GUTI）識別用戶時，服務(wù)網(wǎng)絡(luò)應(yīng)調(diào)用用戶身份辨別機(jī)制。圖3描述的是通過用戶永久身份（IMSI）在無線通道上識別用戶的機(jī)制。ME/USIMMMEIdentityRequestIdentityResponse(IMSI)圖3用戶身份査詢EPS密鑰等級密鑰等級及生成LTE/SAE系統(tǒng)中的密鑰應(yīng)包括接入層和非接入層的加密和完整性保護(hù)密鑰，長度為128比特。為長遠(yuǎn)發(fā)展，網(wǎng)絡(luò)接口還應(yīng)準(zhǔn)備支持256位的密鑰。保護(hù)UP.NAS和AS的密鑰的推衍以它們各口使用的安全算法為輸入?yún)?shù)。圖4LT

9、E的密鑰等級架構(gòu)LTE系統(tǒng)中應(yīng)使用密鑰等級（見圖4）,包括以下密鑰：Kg心沖，心“，鬲心，陰訕和Kimcenc-Km是由ME和MME從K曲推衍產(chǎn)生的密鑰，或是由ME和目標(biāo)eNB產(chǎn)生的密鑰。非接入層通信密鑰：-是由ME和MME從K.詆和完整性算法標(biāo)識推衍產(chǎn)生的對非接入層信令進(jìn)行完整性保護(hù)的密鑰。-K是由ME和MME從K*和加密算法標(biāo)識推衍產(chǎn)生的對非接入層信令進(jìn)行加密保護(hù)的密鑰。用戶平面通信密鑰：-僉是由ME和eNB從心,和加密算法標(biāo)識推衍產(chǎn)生的對用戶平面數(shù)據(jù)進(jìn)行加密保護(hù)的密鑰。RRC通信密鑰：-K叫是由血和eNB從J,和完整性算法標(biāo)識推衍產(chǎn)生的對無線資源控制平面信令進(jìn)行完整性保護(hù)的密鑰。-是由M

10、E和eNB從Kd和加密算法標(biāo)識推衍產(chǎn)生的對無線資源控制平面信令進(jìn)行加密保護(hù)的密鑰。中間密鑰：-NH是由ME和MME推衍產(chǎn)生的提供前向安全的密鑰（詳見5.3）。-K.*是ME和eNB在密鑰推衍過程中產(chǎn)生的密鑰（詳見5.3）。圖5從網(wǎng)絡(luò)節(jié)點(diǎn)角度給出了不同密鑰間的相關(guān)性及其推衍過程。圖6給出了ME內(nèi)密鑰的對應(yīng)關(guān)系和推衍過程。KDF的兩虛線輸入項表示按密鑰推衍條件選取其中一個作為輸入項。HSSSNID.NAS加密算法.MMEKeNB*KeNBCK,IK256256SQN0AKKemb丄Kasmeup加密并法m標(biāo)識256NAS1：行計數(shù)器RRC完整性繹法.KDFeNBeNB班法標(biāo)識NAS完整性并丑$法.

11、法標(biāo)識256256256位密鑰ffKnasgrcKiiASint256位密鑰128位密鑰128128，KnasgrcKwASim128位密鑰2562法標(biāo)識RRC加密算法.班法標(biāo)講KDFKDF256NH|f物理小區(qū)標(biāo)識EARFCN-DLKDFKrrccdcKRRcimKuPenc256卩5嚴(yán)TruncTrunc1281281281，1KrRncKRRCintKupcm圖5LTE系統(tǒng)中網(wǎng)絡(luò)節(jié)點(diǎn)的密鑰分發(fā)和推衍方案。圖6LTE系統(tǒng)中ME的密鑰分發(fā)和推衍方案如圖5和6所示,S、心8和NH的長度都為256比特。256位NAS、UP和RRC密鑰都是分別從Kasme和KeNB推衍產(chǎn)生的。如杲NAS、UP和R

12、RC的加密算法或完整性算法要求128位輸入密鑰，則截斷現(xiàn)有密鑰，取其低128位（如圖5和6中示例）。其中，Kasme應(yīng)由密鑰組標(biāo)識eKSI來識別。eKSI可以是KSIme類型或KSIsgsn類型。eKSI應(yīng)和Kasme及臨時身份標(biāo)識GUTI（若有）一起存儲在UE和MME中。密鑰組標(biāo)識KSImme與EPSAKA認(rèn)證過程推衍產(chǎn)生的Kme相關(guān)聯(lián)。它由MME分配，經(jīng)認(rèn)證請求消息發(fā)送至移動終端，并同Kasme起存儲在終端。密鑰組標(biāo)識KSIsgsn與inter-RAT移動過程中從UMTS密鑰推衍產(chǎn)生的映射Kme相關(guān)聯(lián)。KSIsgsn是在LTE空閑模式移動過程中或從GPRS/TD切換至LTE過程中，由ME和

13、MME分別推衍映射時產(chǎn)生的。KSIsgsn和映射存儲在一起。eKSI格式應(yīng)能區(qū)分接收到的參數(shù)是KSIMME類型還是KSIsgsn類型。eKSI格式應(yīng)包含一值域（eKSI格式參見3GPPTS24.301）。KSImme和KSIsgsn格式相同。KSIasme和KSIsgsn的值域都為3比特，允許7個值來標(biāo)識不同的密鑰組。在UE側(cè)，值111表示沒有有效屆砒。從網(wǎng)絡(luò)發(fā)送到移動終端的eKSI的111值為保留值，未作定義。HSS產(chǎn)生鑒權(quán)向量HSS生成鑒權(quán)向量的示意圖:IKMACAUTN:=SQNAK|AMF|MACAV:=RAND|XRES|CK|IK|AUTN鑒權(quán)相關(guān)量的產(chǎn)生說明(參考TS33.102

14、)：-amessageauthenticationcodeMAC=flK(SQN|RAND11AMF)whereflisamessageauthenticationfunction;anexpectedresponseXRES=f?K(RAND)wheref2isa(possiblytnincated)messageauthenticationfunction,acipherkeyCK=氓(RAND)wheref3isakeygeneratingfunction;anintegntykeyIK=F4k(RAND)wheref4isakeygeneratingfunction,ananonymi

15、tykeyAK=f5x(RAND)wheref5isakeygeneratingfunctionorf5三0.FinallytheauthenticationtokenAUTN=SQNAK11AMF11MACisconstructed.USIM產(chǎn)生鑒權(quán)相關(guān)量f3RANDAUTNXMACRESCKf4IKVerifyMAC=XMACVerifythatSQNisinthecorrectrange相關(guān)量的說明(參考TS33.102)：UponreceiptofRANDandAUTNtheUSIMfirstconfutestheanonymitykeyAK=(BAND)andretrievesthe

16、sequencenumberSQN=(SQNAK)AK.NexttheUSIMcomputesXMAC=flK(SQN|RAND|AMF)andcomparesthiswithMACwhichisincludedinAUTN.Iftheyare&fferent,theusersendsuserauthenticationrejectbacktotheVLR/SGSNwithanindicationofthecauseandtheuserabandonstheprocedure.Inthiscase,VLR/SGSNshallinitiateanAuthenticationFailureRepo

17、rtproceduretowardstheHLRasspecifiedinsection6.3.6.VLR/SGSNmayalsodecidetoinitiateanewidentificationandauthenticationproceduretowardstheuser.NexttheUSIMvenfiesthatthereceivedsequencenumberSQNisinthecorrectrange.IftheUSIMconsidersthesequencenumbertobenotinthecorrectrange,itsendssynchronisationfailureb

18、acktotheVLR/SGSNincludinganappropriateparameter,andabandonstheprocedureThesynchronisationfailuremessagecontainstheparameterAUTS.ItisAUTS=Conc(SQNws)|MAC-S.Coiic(SQNms)=SQNmsf5*R(RAND)istheconcealedvalueofthecounterSQNsmtheMS,andMAC-S=fl*K(SQNMS|RAND|AMF)whereRANDistherandomvaluereceivedinthecurrentu

19、serauthenticationrequest,fl*isamessageauthenticationcode(MAC)fiinctionwiththepropertythatnovaluableinformationcanbeinferredthefunctionvaluesoffl*aboutthoseoffl,.,f5,f5*andviceversa.f5*isthekeygeneratingfunctionusedtocomputeAKinre-synchronisationprocedureswiththepropertythatnovaluableinfonnationcanbe

20、inferred&omthefunctionvaluesoff5*aboutthoseoffl,fl*,.,f5andviceversa.f函數(shù)相關(guān)f函數(shù)的定義可以參看協(xié)議TS35.20LTS35.209。flfl*f5flf3f4f5*functionvaluesoff5*aboutthoseoffl,fl*,.,f5andviceversa.functionvaluesoff5*aboutthoseoffl,fl*,.,f5andviceversa.KDF函數(shù)TS33.401定義了以下KDF：推衍密鑰(KDF)=HMAC-SHA-256(Key,S)HMAC-SHA-256參考：IETFR

21、FC2104仃997):HMAC:Keyed-HashingforMessageAuthentication.ISO/IEC101183(2004):InformationTechnology-Securitytechniques-Hash-functions-Part3：Dedicatedhashfunctions輸入?yún)?shù)及其長度值應(yīng)按如下規(guī)則連接成一個字符串S：1、每個輸入?yún)?shù)的長度應(yīng)被編碼為兩個字節(jié)長的字符串：輸入?yún)?shù)Pi的字節(jié)數(shù)以數(shù)字K表示，范圍在0,65535之間；Li是一個2字節(jié)的數(shù)，代表寫入基數(shù)2的數(shù)字K,使用特殊的位排序。Li中任何未使用的最高有效位將置零。例如：如果Pi包含2

22、58字節(jié)，那么Li將是一個2字節(jié)的比特串(0000000100000010)2,或者十六進(jìn)制0X010X02o2、給定一個非負(fù)整數(shù)j表示Pi中的編碼值，通過將值j寫入基數(shù)2來形成PioPi的最小有效位將等于j的最小有效位。Pi中任何未使用的最高有效位應(yīng)置零，以滿足Li定義的字節(jié)長度。例如：如果Pi是一個值為259的整數(shù)，且長度值是2個字節(jié)，則Pi的二進(jìn)制表示為(0000000100000011)2,或十六進(jìn)制表示為0X010X03o3、字符串S將由n個輸入?yún)?shù)組成，如下所示：S=FC|P0|LO|P11|L1|P21|L2|P3|L3|.|Pn|Ln其中，F(xiàn)C為單個字節(jié)，用于區(qū)分不同的算法類型

23、，P0-Pn為n個輸入?yún)?shù)編碼值，LO-Ln為2字節(jié)值，表示相應(yīng)的PO-Pn的長度。4、最終的輸出即為KDF根據(jù)根密鑰Key以及字符串S計算得到的推衍密鑰。本文檔定義了以下KDF：推衍密鑰=HMAC-SHA-256(Key,S)。所有EPS中的推衍密鑰應(yīng)使用本定義中的密鑰推衍功能(KDF)。本節(jié)定義了KDF輸入?yún)?shù)字符串S(與相關(guān)密鑰一起輸入KDF)的設(shè)置。對于不同用途的KDF,其輸入?yún)?shù)S的定義不同。FC值的分配FC的數(shù)字空間的使用由TS33,.22O控制，其取值范圍在OxlO-OxlFoUE中各密鑰生成Kasme定義Ka詆是AKA過程中，在終端和HSS中由CK,IK推衍產(chǎn)生的中間密鑰，用于

24、推衍產(chǎn)生其他NAS和AS密鑰。存儲要求UE應(yīng)把EPSNAS安全上下文存在安全可靠的非易失性存儲器中，包括EPSAKA認(rèn)證過程產(chǎn)生的Kisito如果USIM支持EMM(EPS移動管理)參數(shù)存儲,ME應(yīng)把EPSNAS安全上下文(包括Km和KS3J存在USIM上。否則ME應(yīng)把EPSNAS安全上下文存在安全可靠的非易失性存儲器中。不應(yīng)以任何方式被泄漏。生成要求Kxsit=HMAC-SHA-256(Key,S)Key=(CK|IK)S=FC|P0|L0|Pl|LIFC=0 x10,P0=PLMNID,L0=PLMNID的長度(ie0 x000 x03),Pl=SQNAKL1二SQNAK的長度(i.e.0

25、 x000 x06)注：UISM不應(yīng)向ME發(fā)送單獨(dú)的SQN值和AK值。ME接收到的是AUTN中提取的SQN和AK的異或值。KNASenc1）定義KUJtnt是用于對非接入層通信進(jìn)行加密的密鑰。2）存儲要求存儲在ME中，不應(yīng)以任何方式被泄漏。3）生成要求Kusenc=HMAC-SHA-256（K,S）。S=FC|P0|L0|Pl|L1,其中：FC=0 x15P0二算法類型區(qū)分值二0 x01L0二算法類型區(qū)分值長度（即0 x000 x01）P1=算法標(biāo)識符L1=算法標(biāo)識符長度（即0 x000 x01）應(yīng)把算法標(biāo)識符P1的值（參見安全技術(shù)規(guī)范5.1.3）置為八位組的最低4bits位。在最高4bits

26、位中，其中較低2bits位為供將來使用的保留值，其中較高2bits位用于私有方案。目前，所有最高4bits位都應(yīng)置零。Ks跡長度為256bitso如果NAS加密算法要求128位輸入密鑰，則截斷現(xiàn)有密鑰，取其低128位。同10.2.11。KNASint1）定義Kusxnt是用特定算法保護(hù)非接入層通信完整性的密鑰。2）存儲要求存儲在ME中，不應(yīng)以任何方式被泄漏。3）生成要求Kusilrt=HMAC-SHA-256（心如,S）。S=FC|P0|L0|Pl|L1,其中：FC=0 x15P0二算法類型區(qū)分值二0 x02L0二算法類型區(qū)分值長度（即0 x000 x01）P1=算法標(biāo)識符L1=算法標(biāo)識符長度

27、（即0 x000 x01）應(yīng)把算法標(biāo)識符Pl的值（參見安全技術(shù)規(guī)范5.1.3）置為八位組的最低dbits位。在最高4bits位中，其中較低2bits位為供將來使用的保留值，其中較高2bits位用于私有方案。目前，所有最高4bits位都應(yīng)置零。Kusurt長度為256bitso如果NAS完整性算法要求128位輸入密鑰，則截斷現(xiàn)有密鑰，取其低128位。初始KeNB1）定義Km是當(dāng)UE進(jìn)入ECM-CONNECTED狀態(tài)時由ME從K.譏推衍產(chǎn)生的密鑰，或是在eNB切換過程中由ME從中間密鑰推衍產(chǎn)生的密鑰。2）存儲要求安全存儲在ME上，不應(yīng)以任何方式被泄漏。3）生成要求要求ME中有可用的K站。ME可在下

28、列過程中生成/重新生成K.：-UE從EMM-DEREGISTERED狀態(tài)轉(zhuǎn)變?yōu)镋MM-REGISTERED/ECM-CONNECTED狀態(tài)時：-UE從ECM-IDLE狀態(tài)轉(zhuǎn)變?yōu)镋CM-CONNECTED狀態(tài)時：-ECM-IDLE模式下從TD/GPRS到ETD的TAU更新過程中：-從TD/GPRS切換到ETD后，連接狀態(tài)下的密鑰在線更新過程中。當(dāng)UE和eNB之間需建立初始AS安全上下文時，匚。由ME從K,旅推衍產(chǎn)生。首先構(gòu)建一個字符串S二FC|P0|L0,其中：-FC=0 x11,-P0=上行NASCOUNT,-L0=上行NASCOUNT的長度（即0 x000 x04）在從TD/GPRS到ETD

29、的TAU更新過程和切換過程中使用了映射安全上下文,此時上行NASCOUNT應(yīng)置0。生成結(jié)果：Kel#=HMAC-SHA-256（Kie,S）。長度為256bits0從其它網(wǎng)元獲取K“或本地根據(jù)KDF算法導(dǎo)出K“”，然后直接將Kg作為K.使用。KRRCenc1）定義是用特定算法對無線資源控制平面通信進(jìn)行加密的密鑰。它是由臨根據(jù)和加密算法標(biāo)識推衍產(chǎn)生的2）存儲要求安全存儲在ME中，不應(yīng)以任何方式被泄漏。3）生成要求要求ME中有可用的K*,且UE已指定了RRC加密算法。以下參數(shù)用該用于生成字符串So-FC=0 x15-P0=算法類型區(qū)分標(biāo)識=0 x03-L0二算法類型區(qū)分標(biāo)識的長度(i.e.0 x0

30、00 x01)-P1=選定的算法標(biāo)識L1二算法標(biāo)識的長度(i.e.0 x000 x01)KDF的輸入密鑰應(yīng)該是Km.KDF的輸出是256bits的Ke”，使用時截取低128位。KRRCint定義是用特定算法保護(hù)無線資源控制平面通信完整性的密鑰。它是由臨根據(jù)K。和完整性算法標(biāo)識推衍產(chǎn)生的存儲要求安全存儲在ME中，不應(yīng)以任何方式被泄漏。生成要求要求ME中有可用的K*,且UE已指定了RRC完整性算法。以下參數(shù)用該用于生成字符串So-FC=0 x15-P0=算法類型區(qū)分標(biāo)識二0 x04-L0二算法類型區(qū)分標(biāo)識的長度(i.e.0 x000 x01)-P1=選定的算法標(biāo)識L1二算法標(biāo)識的長度(i.e.0

31、x000 x01)KDF的輸入密鑰應(yīng)該是Km.KDF的輸出是256bits的使用時截取低128位。KlJpenc定義&心是用特定算法對用戶平面通信進(jìn)行加密的密鑰。它是由ME根據(jù)和加密算法標(biāo)識推衍產(chǎn)生的。存儲要求安全存儲在ME中，不應(yīng)以任何方式被泄漏。生成要求要求ME中有可用的K*,且UE已指定了用戶數(shù)據(jù)加密算法。以下參數(shù)用該用于生成字符串So-FC=0 x15-PO=算法類型區(qū)分標(biāo)識二0 x05-L0二算法類型區(qū)分標(biāo)識的長度（i.e.0 x000 x01）-P1=選定的算法標(biāo)識-L1二算法標(biāo)識的長度（i.e.0 x000 x01）KDF的輸入密鑰應(yīng)該是KeNBoKDF的輸出是256bits的K

32、UPenc,使用時截取低128位。終端的加密和完整性算法概述1）加密與完整性需求在UE與網(wǎng)絡(luò)間的用戶數(shù)據(jù)與信令數(shù)據(jù)需要受到機(jī)密性與完整性的保護(hù)。-NAS信令需要受到強(qiáng)制的完整性保護(hù)以及可選的機(jī)密性保護(hù)；-RRC信令需要受到強(qiáng)制的完整性保護(hù)以及可選的機(jī)密性保護(hù)；-UP數(shù)據(jù)需要受到可選的機(jī)密性保護(hù)，不需要受到完整性保護(hù)；在UE與網(wǎng)絡(luò)端，加解密算法與完整性算法的輸入?yún)?shù)應(yīng)當(dāng)保持同步。對RRC與UP的機(jī)密性保護(hù)應(yīng)在PDCP層完成，對NAS信令的機(jī)密性保護(hù)應(yīng)FhNAS協(xié)議來提供。2）算法標(biāo)識符分配除了空加密算法，以下所有的機(jī)密性保護(hù)與完整性保護(hù)算法均使用128位的輸入密鑰。每一個加密算法（EEA）都分配

33、有一個4比特長的標(biāo)識。注：（0000）2代表二進(jìn)制，下同算法標(biāo)識符加密算法算法描述(0000)2EEA0空加密算法(0001)2128-EEA1基J-SNOW3G的加密算法(0010)2128-EEA2基于AES的加密算法剩下的標(biāo)識留作將來使用。UE與eNB應(yīng)當(dāng)對RRC信令與UP數(shù)據(jù)提供EEAO、128-EEA1與128-EEA2三種加密算法。UE與MME應(yīng)當(dāng)對NAS信令提供EEA0、128-EEA1與128-EEA2三種加密算法。每一個完整性算法（EIA）也都分配有一個4比特長的標(biāo)識。算法標(biāo)識符完整性算法算法描述(0000)2EIA0無完整性保護(hù)（僅用于緊急呼叫）(0001)2128-EIA

34、1基J-SNOW3G的完整性算法(0010)2128-EIA2基于AES的完整性算法剩下的標(biāo)識留作將來使用。UE與eNB應(yīng)當(dāng)對RRC信令提供128-EIA1、128-EIA2兩種完整性算法。UE與MME應(yīng)當(dāng)對NAS信令提供128-EIAK128-EIA2兩種完整性算法。加密和完整性保護(hù)的算法可以參考TS25.215、TS25.226、TS25.217.TS25.218.TS25.221.TS25.222、TS25.223?？盏募用苄浴⑼暾员Ｗo(hù)算法EEAO算法也應(yīng)被實(shí)現(xiàn)，它與其他算法有同樣的效杲，實(shí)現(xiàn)過程中產(chǎn)生全0的密鑰流。產(chǎn)生的密鑰流長度等同于輸入?yún)?shù)LENGTH值，除了LENGTH值外不需

35、要其他的輸入?yún)?shù)。除此之外，所有與加密有關(guān)的過程都蠱按照附錄中定義的其他算法的執(zhí)行過程執(zhí)行。128位加密算法1)輸入和輸出加密算法的輸入?yún)?shù)包括128位的加密密鑰Key,32位計數(shù)器值COUNT,5位承我標(biāo)識符BEARER,1位轉(zhuǎn)發(fā)目的標(biāo)識DIRECTION,以及密鑰流長度LENGTHoDIRECTION位的值為0表示上行鏈路，值為1表示下行鏈路。下圖表示了加密算法EEA的使用情況，EEA算法通過使用輸入?yún)?shù)產(chǎn)生密鑰流逐位抑或明文來形成密文，然后通過使用同樣的輸入?yún)?shù)產(chǎn)生同樣的密鑰流逐位抑或密文來恢復(fù)明文。COUNTDIRECTIONBEARERLENGTHCOUNTDIRECTIONBEAR

36、ERLENGTH密鑰流!keyiEEA密鑰流明文發(fā)送者密文明文接收者算法基于輸入?yún)?shù)產(chǎn)生密鑰流KEYSTREAM,用于加密輸入明文數(shù)據(jù)塊PLAINTEXT從而產(chǎn)生輸出密文塊OPHERTEXT。輸入?yún)?shù)LENGTH將影響密鑰流KEYSTREAMBLOCK的長度，不是密鑰流的實(shí)際比特位。2）128-EEA1128-EEA1基于SNOW3G算法，與3GPPTS35.215中定義的UEA2算法相同。其中使用的IV與TS3.4節(jié)定義的構(gòu)造相同。3）128-EEA2128-EEA2基于128位的AESCTR模式的算法。CTR所需的128位計數(shù)器的序列號T1,T2,，Ti,將按如下規(guī)則構(gòu)造：T1的最高64位

37、由COUNT0.COUNT31|BEARERO.BEARER|DIRECTION|0”（如26位0）值組成，從左至右為最高有效位至最低有效位排列，如COUNT是T1的最高有效位。T1的最低64位全為0。后續(xù)計數(shù)器塊通過標(biāo)準(zhǔn)整數(shù)增加功能對先前的計數(shù)值的低64位模才。運(yùn)算來獲得。128位完整性算法1）輸入和輸出完整性算法的輸入?yún)?shù)包括128位的完整性密鑰KEY,32位的計數(shù)值COUNT,5位的承載標(biāo)識BEARER,1位的轉(zhuǎn)發(fā)方向標(biāo)識DIRECTION,以及消息本身MESSAGEoDIRECTION位為0表示上行鏈路，為1表示下行鏈路。MESSAGE的長度位為LENGTHo下圖展示了使用完整性算法E

38、IA認(rèn)證消息完整性的情況。COUNTDIRECTIONMESSAGEBEARER-IDKEYEIA發(fā)送者M(jìn)AC4圖MAC-I/NAS-MAC（或者XMA/XNAS-MAC）的推衍過程基于這些輸入?yún)?shù)，發(fā)送者使用完整性算法EIA計算32位的消息認(rèn)證碼（MAC-1/NAS-MAOo消息認(rèn)證碼被添加在消息后隨消息一起發(fā)送。接收者在收到消息后，按照發(fā)送者計算消息認(rèn)證碼同樣的方式計算期望得到的消息認(rèn)證碼（XMAC-I/XNAS-MAC）,并通過與收到的消息認(rèn)證碼MAC-I/NAS-MAC比較來驗(yàn)證消息的完整性。2）128-EIA1128-EIA1基于SNOW-3G算法,與3GPPTS35.215中定義的

39、UIA2算法實(shí)現(xiàn)相同。其中使用的IV與TS4.4節(jié)定義的構(gòu)造方式相同，唯一的不同是FRESHO,FRESH32改為BEARERBEARER4|0“（例如,27位0）。128-EIA2128-EIA2基于128位AESCMAC模式。MESSAGE的長度為BLENGTH.CMAC模式的輸入為Mien長度的位串M,M包含以下內(nèi)容：MoM3i=COUNT0.COUNT31M32.M36=BEARERO.BEARER4M37=DIRECTIONM38.M63=026(i.e.26zerobits)M64.Mblength苗=MESSAGEO.MESSAGEBLENGTH-1Mien=BLENGTH+64

40、.AESCMAC模式使用這些輸入?yún)?shù)產(chǎn)生一個長度Tlen=32的消息認(rèn)證碼TT直接用于128-EIA2的輸出MACT01.MACT31,其中MACT0為T的最高有效位。終端的安全性激活過程在LTE中，非接入層和接入層分別都要進(jìn)行加密和完整性保護(hù)，它們是相互獨(dú)立的，它們安全性的激活都是通過SMC命令來完成的，且發(fā)生在AKA之后。網(wǎng)絡(luò)端對終端的非接入層和接入層的激活順序是先激活非接入層的安全性，再激活接入層的安全性。非接入層的安全模式過程由下圖可知，非接入層的安全模式過程是由網(wǎng)絡(luò)發(fā)起的，MME發(fā)送的SMC消息是被非接入層完整性保護(hù)了的，但是沒有被加密。UE在收到SMC消息后，首先要比對消息中的UE

41、securitycapabilities（安全性能力）是否和自己發(fā)送給網(wǎng)絡(luò)以觸發(fā)SMC過程的UEsecuritycapabilities相同，以確定UEsecuritycapabilities未被更改，如呆相同，表示可以接受，沒有受到攻擊，nonceMME和nonceUE用于切換時的安全性激活，不再贅述；其次，進(jìn)行NAS層密鑰的生成，包括KNASenc和KNAS.nt.前者為NAS加密密鑰，后者為NAS完整性保護(hù)密鑰；接著，UE將根據(jù)新產(chǎn)生的完整性保護(hù)密鑰和算法對收到的SMC消息進(jìn)行完整性校驗(yàn)，校驗(yàn)通過，表示該SMC可以被接受，此安全通道可用；最后，UE發(fā)出安全模式完成消息給MME,所有的NA

42、S信令消息都將進(jìn)行加密和完整性保護(hù)。如果安全模式命令的校驗(yàn)沒通過的話，將發(fā)送安全模式拒絕命令給MME,UE退出連接。(l)NASSMC命如被光整性保護(hù))UE1卑型包含的參數(shù)KUEseecapCipheringalgorithm.Intecritjalgorithm.1MEI請求、NONCE.IVNONCE-和MAS-MAC首先進(jìn)行SMC的憲整性校驗(yàn).通過厲開啟加密和左巒性保護(hù)功能(2)NASSMC完或命令(被加密和完笹性保護(hù)L包含的參數(shù)有1MEI和NAS-MAC(3)SMC拒絕加密解密功能啟動二4MK啟動了完MME接入層的安全模式過程在非接入層的安全性激活后，緊接著將要進(jìn)行接入層的安全性激活，

43、采用ASSMC命令來實(shí)現(xiàn)的。如下圖所示，網(wǎng)絡(luò)端通過已經(jīng)存在的KasME來生成KeNB，利用KeNB生成完整性保護(hù)密鑰對ASSMC這條消息進(jìn)行完整性保護(hù)，并生成一個信息確認(rèn)碼MAC-I；之后，將ASSMC傳給ME。ME首先利用密鑰Kasme來生成KeNB，之后利用收到的算法和KeNB通過KDF生成完整性保護(hù)密鑰，然后對此ASSMC信息進(jìn)行完整性校驗(yàn)，具體是通過生成一個X-MAC,如果X-MAC和MAC4相匹配的話，通過校驗(yàn)，之后進(jìn)一步生成加密密鑰，并發(fā)送ASSMC完成消息給eNB,此條消息也要進(jìn)行加密和完整性保護(hù)，也要生成一個信息確認(rèn)碼MAC-I,假如校驗(yàn)不通過，UE會向eNB返回一條ASModeFailure消息，表明此通道不安全，UE是要退出連接的。eNB對ASSMC完成消息進(jìn)行完整性校驗(yàn)通