一種改進的LTE網絡用戶身份認證方法

張 靜,艾 渤,鐘章隊

(1.北京交通大學軌道交通控制與安全國家重點實驗室,北京100044;2.北京交通大學 電子信息工程學院,北京 100044)

1 引 言

隨著通信技術的迅猛發展,LTE的安全問題相對于2G、3G增加了,要求也提高了[1]。在LTE中,利用認證和密鑰協商(Authentication and Key Agreement,AKA)來實現用戶和網絡之間的互相認證[2],但是在首次接入網絡或者網絡端需要用戶傳輸國際移動用戶識別碼(IMSI)時,IMSI是以明文形式發送的[3],這樣勢必會引起安全的問題。在用戶認證之后再次接入到網絡時,只需要發送臨時移動用戶識別碼(Temporary Mobile Subscriber Identity,TMSI)即可[4]。服務網絡(Serving Network,SN)會把IMSI和TMSI之間的聯系存放在本地數據庫中,這時的TMSI代替IMSI識別用戶。當用戶漫游到一個新的網絡時,舊的網絡會把當前的TMSI及其IMSI之間的聯系發送到新的網絡。

對于IMSI的傳輸問題,傳統網絡采用的都是明文形式發送,這樣勢必會產生安全問題,當然有些組織也曾提出用有線來傳送IMSI,但是相對有線的預算投入以及后期維護,IMSI更適合在開放環境下的無線中傳輸,并且可以實現安全傳輸。

本文中提出通用移動通信系統(Universal Mobile Telecommunications System,UMTS)中增強認證的思想以及方法[5],結合LTE認證的特點,把UMTS中的部分認證方法應用到LTE系統中,即用動態移動用戶識別碼(DMSI)代替IMSI來實現用戶的認證,實現無線環境下的安全傳輸,較IMSI而言,DMSI改善了IMSI明文發送的不安全性,并且DMSI的隨機性進一步防止了重放攻擊,加密傳送提高了用戶的安全性。

2 LTE中的AKA過程

LTE的AKA認證過程和UMTS中的AKA認證過程基本相同,繼承了UMTS中五元組鑒權機制的優點,實現了UE和網絡側的雙向認證。該AKA過程如圖1所示[6]。

圖1 AKA流程Fig.1 AKA procedure

協議的具體流程信息:

(1)MME※UE標識請求和標識響應,IMSI;

(2)MME※HSS認證數據請求,IMSI、EKHU(R1)、SN Identity、Network Type;

(3)HSS※MME認證數據響應,RAND、AUTN、XRES、KASME;

(4)MME※UE用戶數據請求,(RANDIIAUTN,R1)IIhash(RANDIIAUTN,R1);

(5)UE※MME用戶認證數據響應,RES[7]。

其中,R1為UE(User Equipment)產生的隨機數,EKHM為HSS和MME共享的秘密密鑰,hash()為移動管理實體(Mobility Management Entity,MME)與UE共享的哈希函數,哈希函數的作用是為了保護消息的完整性,EKHU是認證成功之后MME與UE產生的加密密鑰。

在初始認證結束后,UE和MME共享同一個KASME。在后續的過程中UE和MME根據KASME產生密鑰KeNB,MME產生的密鑰KeNB交給響應的基站,而后產生其它相關的加密密鑰和完整性密鑰。

3 DMSI、工作流程

當通信需要傳輸IMSI時,用DMSI代替IMSI傳輸。IMSI由國家代碼(MCC)、網絡代碼(MNC)和用戶身份代碼(MSIN)組成[8]:

3.1 身份識別動態碼

隨機動態碼——身份識別動態碼(Dynamic number for Identity Confidentiality,DIC)用來認證用戶身份。每次本地用戶服務器(Home Subscriber Server,HSS)產生一個新的認證矢量時,就產生一個新的DIC,而DIC-IMSI之間的聯系也存儲在HSS中的數據庫中。認證矢量包括 RAND、AUTN、XRES、KASME[9]4個參數。把產生的DIC嵌入到每個認證矢量的隨機數中(RANDs),并且為了防止傳輸過程中可能存在的無法一次傳送,當前的DIC會依舊存儲在本地數據庫中。

DIC的產生主要由存儲在HSS中的DIC-Index實現,HSS收到UE的DIC后,根據DIC-IMSI的關系,獲得用戶的信息,并且根據DIC-Index獲得新的DIC,嵌入進RAND中發送。根據TMSI的長度為32 bit來考慮,可知DIC的長度不會超過32 bit。那么存儲在HSS中的DIC的數目不會超過232個,并且可以根據用戶要求的安全級別,對DIC-Index進行設置,以調整DICnew和DICold之間的對應復雜關系,如果安全要求級別高,可以把DIC-Index的指針設置復雜,這樣對于非授權用戶,就更不可能獲得DIC的信息了。

根據存儲在HSS中的DIC-Index,可以得到DICnew,而之前用過的DIC也會變成Null,這個用過的數值就不再使用。

把DICnew嵌入到認證矢量的隨機數 RAND中,即可得到RANDnew。

(1)用一個隨機數字發生器生成128 bit隨機數字RAND。

(2)根據存儲在HSS中的 DIC-Index得到DICnew。

(3)DICnew嵌入RAND是一個加密過程,使用UE和HSS之間的共享密鑰K[10]進行加密,生成RANDnew。

DIC產生流程如圖2所示。其中,fs的作用是從DIC指針中找出一個沒有使用過的DIC;fe的作用是把產生的 DICnew嵌入到 RAND中,生成一個RANDnew。這樣每一次認證傳輸的都是不同的數值,既保護了用戶又實現了認證。

圖2 DIC產生過程Fig.2 Construction of the parameter DIC

當用戶首次接入網絡時,HSS不會發送RAND,這時候需要一個初始的DIC。首次接入需要的DIC會和密鑰K一樣,存儲在用戶的全球用戶識別卡(Universal Subscriber Identity Module,USIM)中。

DIC帶來的好處是只要在本地網絡的數據庫中存儲DIC指針,就可以產生變化的DMSI,并且這個指針可以根據用戶的話務量以及需要認證的統計次數進行設置,真正做到了動態性。

3.2 動態移動用戶識別碼

在需要傳輸IMSI時,可以用DMSI代替。根據從MS中接收到的DIC的不同,DMSI的數值一直在改變。這時,DMSI由國家代碼(MCC)、網絡代碼(MNC)和從用戶收到的最新的DIC組成:

那么如何從接收到的 RANDnew中提取出DIC呢?這里需要一個和之前函數fe產生RANDnew相反的解密過程,如圖3所示。其中,fex函數就是和fe函數相反的解密過程。這樣就可以從收到的RAND中獲得DIC,也就得到了DMSI。

圖3 DIC提取過程Fig.3 Extraction of DIC from RAND

DMSI工作流程如下:

(1)第一次接入時,用戶和HSS之間共享一個密鑰K,K存儲在用戶的USIM卡中,因此,也可以把初始的RIC也存儲在USIM卡中,形成DMSI進行傳輸;

(2)HSS收到DMSI之后,根據和用戶之間DIC-IMSI關系得到用戶的IMSI,進行認證;然后根據存儲在本地網絡數據庫的DIC-Index,指示一個沒有用過的新鮮DIC,重新組成DMSI,并且采用加密算法把DIC中嵌入到RAND中進行傳輸;

(3)用戶收到HSS傳回的DMSI后,進行對稱加密算法解密還原DIC,并且存儲起來,作為下一次認證傳輸DMSI時的DIC。

至此,認證過程完成。

4 方案論證與分析

IMSI和DMSI的組成部分的差異主要在于第三部分的不同。IMSI的第三部分是用戶身份代碼(MSIN),而DMSI的第三部分則是身份識別動態碼(DIC)。兩者最大的不同就是MSIN是靜態的,DIC是動態改變的;MSIN是明文的,DIC是加密的。

根據LTE安全性的要求——機密性和完整性保護,分析DMSI的安全性優于IMSI。

4.1 機密性

機密性就是意味著只有授權方才可以看到數據或者傳送的內容,未授權方無權看到。目前為止,機密性主要通過加密手段來實現,以確保信息在傳輸過程中不會被非法用戶獲取。因此,一些對稱加密算法,即在解密和解密過程使用相同的密鑰,例如3DES、AES等,常被用來加強機密性。在本次仿真中,使用的是 DES算法,密鑰選用的是7位,當然可以根據不同的安全等級要求來設定密鑰的位數。圖4為對稱加密算法加密解密演示界面。

圖4 數據加密程序演示界面Fig.4 Data encryption

在傳輸IMSI時,由于是明文傳輸,并沒有對IMSI進行加密,因此就談不上機密性的保護。但在DMSI中,初始的DIC是由UE和HSS之間共享的,并且之后的DIC由存儲在本地數據庫中的DIC—Index決定,DICnew更是進行加密過程鑲嵌在RAND中進行傳輸的,采用的是對稱加密算法。因此,DMSI較IMSI來說,顯然增強了機密性。

4.2 完整性保護

信息完整性是指確保系統中用戶信息的完整和真實可信。通信過程中,需要確保發送和接收的信息總是一致的,也就是數據在通信過程中沒有被篡改過。完整性保護就是確定數據沒有被非法篡改,保證合法用戶得到正確、完整的信息。主要技術有數據加密、密碼分析、數字簽名、信息鑒別、秘密共享等。在使用DMSI之前,傳輸的都是明文形式的IMSI,極有可能被攻擊者篡改用戶信息。但是在使用DMSI之后,采用了完整性保護技術中的數據加密技術,因此攻擊者就無法篡改用戶信息了。圖5中顯示的是加密和解密兩個過程,不難看出,經過加密之后的DIC在傳輸過程中呈現的是亂碼狀態,因此就不用擔心被未授權者截獲,在接收端根據對稱加密算法也可以解密出代表客戶身份的DIC,改善了IMSI明文傳輸所帶來的威脅;并且,根據指針的復雜度可以調整DIC的隨機性,這樣也可以防止重放攻擊。

圖5 加密解密過程演示Fig.5 Data decryption

5 結 論

本文提出了用DMSI來代替IMSI的方法,即用動態的DMSI代替靜態的IMSI傳輸,并對所提方法的性能特點進行了理論分析和仿真研究。較之傳統的IMSI明文傳輸方式,DMSI增加了兩大特點:隨機性和加密傳輸。理論分析表明,DIC的隨機性可以減少重放攻擊帶來的危害,仿真研究顯示加密傳送無論從機密性還是完整性方面來說,較之IMSI都有了很大的提高,從根本上解決了IMSI的安全問題。而且,并不需要在網絡中進行大規模修改,只是在HSS中加入 fs函數——指針函數和 fe函數——加密函數,在用戶方加入fex函數——解密函數,在本地網絡中的數據庫中存儲一些數據,并且根據現有的SIM卡計算能力,對稱密鑰加密算法還是可實現的。

對于IMSI的保護,一直都是無線通信安全一個重要方面。本文所提方法及其分析結論對于實際系統中IMSI的安全傳輸具有一定的指導意義。

[1]Seddigh N,Nandy B,Makkar R.Security Advances and Challenges in 4G Wireless Networks[C]//Proceedings of the 8th Annual International Conference on Privacy,Security and Trust.Ottawa:IEEE,2010:62-71.

[2]趙訓威,林輝,張明,等.3GPP長期演進(LTE)系統架構與技術規范[M].北京:人民郵電出版社,2010.ZHAO Xun-wei,LIN Hui,ZHANG Ming,et al.3GPP Long Term Evolution:Architecture and Specification[M].Beijing:People′sPostsand TelecommunicationsPress,2010.(in Chinese)

[3]3GPP TS 33.401 V9.4.0,LTE security:security architecture[S].

[4]Abdelkader M,Hamdi M,BoudrigaN.A Novel Advanced I-dentity Management Scheme for Seamless Handoff in 4G Wireless Networks[C]//Proceedings of GLOBECOM Workshops.Bangalore:IEEE,2010:2075-2080.

[5]Choudhury H,Roychoudhury B,Saikia D K.End-to-End User Identity Confidentiality for UMTS Networks[C]//Proceedings of Computer Science and Information Technology Conference.Shanghai:IEEE,2010:46-50.

[6]3GPP.TS 33.401,System Architecture Evolution[S].

[7]3GPP.TS 33.401 V8.5.0,3GPP system architecture evolution:Security architecture[S].

[8]Liu Z Y,Xie S L,Lai V.A Fast Suffix Matching Method in Network Processor[C]//Proceedings of 2008 International Conference on ComputationalIntelligenceand Security.Suzhou:IEEE,2008:405-410.

[9]Han C K,Hyoung-Kee Choi.Evaluation of Authentication Signaling Loads in 3GPP LTE/SAE Networks[C]//Proceedings of 2009 IEEE 34th Conference on Local Computer Networks.Zurich:IEEE,2009:37-44.

[10]Liu H,Bai S.Research and Implementation of LTE NAS security[C]//Proceedings of Educational and InformationTechnology Conference.Chongqing:IEEE,2010:453-456.