LTE認證與密鑰協商協議的安全分析及改進

周赤+朱詩兵+李長青

摘 要： 近年來，3GPP長期演進（LTE）項目已成為當前4G無線通信系統的主流技術。相對于3G，LTE在接入安全方面做出了很大改進，安全性亦得到提升，然而仍存在著一些安全問題。重點分析了LTE認證與密鑰協商協議（EPS AKA）流程中的安全問題，關鍵信息的明文傳送問題、公共密鑰泄露問題等。針對這些安全問題提出了相應的改進方案， 對其進行了安全性分析。

關鍵詞： LTE； EPS AKA； 安全問題； 4G無線通信系統

中圖分類號： TN929.5?34 文獻標識碼： A 文章編號： 1004?373X（2014）18?0035?03

Security analysis and improvement of LTE authentication and key agreement protocol

ZHOU Chi， ZHU Shi?bing， LI Chang?qing

（Department of Information Equipment， Equipment Academy， Beijing 101400， China）

Abstract： In recent years， LTE （long term evolution） has become one of the mainstreams of current wireless communication systems. Compared with 3G， LTE makes a great improvement in the access security， but still has some security issues. The security， plaintext transmission of the key information and the public key exposure issues existing in flow path of LTE authentication and key agreement protocol （EPS AKA） are analyzed emphatically in this paper. Some improving schemes are proposed for these security issues， and their security is analyzed

Keywords： LTE； EPS AKA； security issue； 4G wireless communication system

0 引 言

近年來，無線通信技術在全世界快速發展。隨著移動通信的不斷演進，接入的鑒權機制也在不斷發展完善。從3GPP方向看， 主要按著GSM，UMTS，EPS的路線演進，從單向鑒權向雙向鑒權完善，并且考慮了信息的完整性保護[1]。

在現有的無線系統中，LTE是由3GPP提出的4G無線移動寬帶系統，是當前無線研究的重點之一。相對于3G，LTE在接入安全方面進行了演進，其中最大的改進就是將安全劃分為AS（接入層）安全和NAS（非接入層）安全兩個部分[2]；最直接的體現是鑒權向量的變化[1]，在EPS系統中，網絡發送給終端4元認證向量（RAND，AUTN，XRES，KASME），與UMTS系統的主要差異在于KASME 。

盡管LTE在接入安全方面做出了很大改進，但仍存在一些安全漏洞。本文將列出LTE認證與密鑰協商協議EPS AKA中存在的問題，逐個分析并提出解決方法。

1 EPS AKA分析

1.1 EPS AKA具體流程

EPS AKA 協議是從 3G 網絡中的 3GPP AKA協議演化而來的，延續了以往認證方案的“挑戰/響應”流程[3]。通過 UE （用戶設備）與網絡之間的相互認證過程，完成會話密鑰的協商，為后續的通信做好加密工作，提供通信的安全保障。

EPS AKA協議分為兩個階段[4] ：

（1） 從HSS到MME頒發EPS認證向量；

（2） UE與MME之間的認證與密鑰協商過程。

如圖1所示[5]，EPS AKA具體流程如下：

（1） UE向MME 發送接入請求，包括自己的IMSI（國際移動用戶身份標識碼）與HSS的IDHSS標識等身份信息。

（2） MME通過認證數據請求將IMSI，SN id（服務網標識）和Network Type（服務網類型）傳給HSS。

（3） HSS收到認證數據請求后，首先驗證IMSI與SN id的合法性。驗證通過，則生成認證向量組AV（1，2，…，n），并作為認證數據應答發回給 MME。認證向量包括參數RAND（隨機數）、AUTN（authentication token，認證令牌）、XRES（通過和用戶返回的RES比較來達成密鑰協商的目的）和密鑰KASME（用來產生非接入層和接入層密鑰的基礎密鑰）。生成認證向量組 AV（1，2，…，n）的相關參數算法如下：

MAC=f1K（SQN||RAND||AMF）

XRES=f2K（RAND）

KASME=KDF（f3K（RAND），f4K（RAND））

AK=f5K（RAND）

獲得參數后，再根據以下方法計算 AUTN 與 AV：

AUTN=SQN⊕AK||AMF||MAC；

AV=RAND||XRES||KASME||AUTN。

圖1 EPS AKA流程圖

（4） MME收到HSS送來的鑒權認證向量AV后，將AV存儲，然后按序選擇一組AV向量AV（i），提取出 RAND（i），AUTN（i），KASME（i）等數據，同時為 KASME（i）分配一個密鑰標識 KSIASME（i）。然后向 UE 發送用戶認證請求。

（5） UE 收到認證請求后，通過提取和計算 AUTN（i）中的MAC 等信息，計算XMAC，比較 XMAC 和 MAC 是否相等，同時檢驗序列號SQN是否在正常的范圍內，以此來認證所接入的網絡。如果認證通過，則計算 RES（i）與 KASME（i），并將 RES（i）傳輸給 MME。其中XMAC=f1K （SQN|| RAND|| AMF）；RES=f2K（RAND）。

（6） MME將收到的RES（i）與AV（i）中的 XRES（i）進行比較，如果一致，則通過認證；接下來MME和UE演算得到KASME（i），并以KASME （i）作為基礎密鑰，根據約定的算法推演出加密密鑰與完整性保護密鑰，隨后開啟安全模式命令（SMC）。

1.2 EPS AKA安全分析

由以上的認證過程可以發現以下幾個問題。

（1） 在首次接入網絡或者網絡端需要用戶傳輸國際移動用戶識別碼（IMSI）時，IMSI是以明文形式發送的[6]，這樣惡意入侵者可以通過監聽信號獲得用戶IMSI信息，假冒用戶身份入網，從而導致非法用戶訪問網絡。

（2） 一個或多個UE在同一時間內大量發送業務請求，會導致基站處理能力下降，若這些大量的請求是被不法攻擊者惡意發送的，會惡意占用基站的大量資源，使得基站無法為其他合法用戶服務，從而引發拒絕服務攻擊。

（3） UE與HSS之間的公共密鑰長期共存，是不會更新的，頻繁地在密鑰協商中出現將提高被不法攻擊者破解的概率。

（4） MME和HSS之間發送的消息是未經加密保護的。由于這兩個實體之間的連接可能是有線的亦可能是無線的。如果是無線的，不法攻擊者就很容易截獲重要參數，比如AVs中的RANDs和KASME，利用這些參數滲透到系統中，并偽裝HSS或MME來盜取安全數據，或者發起中間人攻擊來修改被傳送消息的內容。

2 改進方案E?EPS AKA

針對以上問題，在此提出如下改進方法：

（1） 引入公鑰密碼體制用以解決IMSI和AV泄露問題：

公鑰密碼體制的原理圖如圖2所示。

圖2 公鑰密碼體制

公鑰密碼算法采用一對密鑰，將加密和解密能力分開，其中一個密鑰是公開的，稱為公鑰，如圖2中的KP，用于加密；另一個密鑰是為用戶專用，因而是保密的，稱為私鑰，如圖2中的KS，用于解密。

在UE向MME發送IMSI時，利用HSS（接收方）的公鑰KPHSS加密IMSI，而在HSS接到認證請求后利用自身私鑰KSHSS解密出UE的IMSI，并驗證其合法性；同理，在HSS向UE發送消息時，利用UE的公鑰KPUE對發送的內容（如AV）加密，UE在收到消息后利用自身私鑰KSUE進行解密。這樣協議中傳輸的消息都以密文形式進行傳輸，有效解決了IMSI和AV泄露而引起的危險。

（2） 在網絡側建立允許接入IMSI白名單解決不法攻擊者惡意發送大量接入請求而導致的拒絕服務攻擊。在服務網絡側建立行為記錄機制，對UE在網絡側建立允許接入IMSI白名單，服務網絡只對白名單中的IMSI接入請求做出響應，對惡意攻擊者的非法接入請求不予回應，從而節省資源消耗，有效解決了拒絕服務攻擊。

（3） 利用Diffie?Hellman[6]密鑰交換算法解決公共密鑰長期共存而導致的密鑰泄露問題：

在HSS驗證完UE的IMSI的合法性之后，若合法，在計算AV之前，HSS隨機生成一個隨機數RHSS，并將RHSS保密存放，接著利用Diffie?Hellman算法計算出X=t^RHSS mod n，其中t為素數，n為原根，并通過密鑰交換請求將X發送給MME。MME在收到密鑰交換請求后直接將其轉發給UE。在接收到請求后，UE隨機生成一個隨機數RUE，將其保密存放，并利用Diffie?Hellman算法計算KUE=X^RUE mod n，并計算Y=t^RUE mod n，將Y經MME發送給HSS。HSS收到消息后，計算KHSS=Y^RHSS mod n。顯而易見，KUE=KHSS，這樣UE和HSS獲得共同的密鑰K。而在信道上監聽的非法攻擊者只能獲得n，t，X，Y，而無法知道RHSS和RUE，從而無法計算出K。并且在每次用戶認證時，公共密鑰都會更新，從而有效解決了公共密鑰長期共存而引起的泄露問題。改進方案E?EPS AKA的流程圖如圖3所示。

3 E?EPS AKA安全性能分析

（1） 機密性。實現了IMSI和認證向量的加密傳輸。利用公鑰密碼體制加密用戶永久身份IMSI，IMSI以密文形式傳輸，這樣惡意入侵者很難通過監聽信號獲得用戶IMSI信息，有效防止了攻擊者假冒用戶身份入網，從而的導致非法用戶訪問網絡攻擊；認證向量組加密傳輸，避免了攻擊者通過竊聽鏈路獲得認證向量AV，有效防止了攻擊者利用這些參數滲透到系統中，并偽裝HSS或MME來盜取安全數據，或者發起中間人攻擊來修改被傳送消息的內容。

（2） 雙向認證。實現用戶與歸屬網絡，訪問網絡的相互認證。3GPP AKA協議中，網絡對用戶進行了身份認證，但用戶卻只對歸屬網絡（HSS）進行了認證，并沒有對訪問網絡（MME）進行身份認證。本方案利用數字簽名等公鑰加密技術，實現了MME與HSS之間的認證和UE與MME之間的認證，避免了因沒有對MME進行認證而導致潛在的中間人攻擊。

圖3 E?EPS AKA流程圖

（3） 不可否認性。提供了不可否認功能。利用信息發送方的私鑰對消息進行了數字簽名，標識了消息的來源，接收方只需利用發送方的公鑰對信息進行解密，即可驗證消息的來源，由于發送方的私鑰只有發送方自己知道，這樣有效防止了中間人攻擊，同時確保發送方不能抵賴曾發送過的消息。

（4） 在MME處引入了白名單，有效防止了拒絕服務攻擊；引入Diffie?Hellman密鑰交換機制來成K，使共享密鑰K能夠不斷更新，有效防止了共享密鑰K被破解的概率。E?EPS AKA與EPS AKA的安全性能比較如表1所示。

表1 E?EPS AKA與EPS AKA協議的安全功能比較

4 結 語

作為4G的主流技術之一，LTE的安全性受到極大關注。本文對LTE認證與密鑰協商協議EPS AKA做了安全性分析，指出其存在的問題。并提出了引入公鑰密碼體制，解決IMSI及AV的明文傳送問題；在網絡側建立允許接入IMSI白名單解決不法攻擊者惡意發送大量接入請求而導致的拒絕服務攻擊的問題；提出了利用Diffie?Hellman密鑰交換算法生成UE和HSS公共密鑰K，以解決公共密鑰易泄露的問題。最后對提出的方案進行了安全性能分析，并與EPS AKA做了比較。

參考文獻

[1] 李頻鐘，吳濤，康亮.3GPP 網絡接入安全的發展及趨勢[J].電信網技術，2011（12）：40?44.

[2] LEU F Y， YOU I， HUANG Y L， et al. Improving security level of LTE authentication and key agreement procedure [C]// Proceedings of 2012 IEEE Globecom Workshops. [S.l.]： IEEE， 2012： 1032?1036.

[3] 汪良辰.LTE 安全接入機制研究[D].西安：西安電子科技大學，2012.

[4] Third Generation Partnership Project， Technical Specification Group Services and System Aspects， 3GPP System Architecture Evolution （SAE）. Security architecture security， 3GPP TS 33.401 version V10.0.0 [R]. [S.l.]： SAE， 2011.

[5] FORSBERG D， HORN G， MOELLER W D， et al. LTE security [M]. [S.l.]： John Wiley & Sons， 2012.

[6] RESCORLA E. Diffie?Hellman key agreement method [J/OL]. [1999?06?21]. http：//www.ietf.org/rfc/rfc2631.txt.

[7] 張靜，艾渤，鐘章隊.一種改進的 LTE 網絡用戶身份認證方法[J].電訊技術，2012，51（12）：87?91.

（3） 不可否認性。提供了不可否認功能。利用信息發送方的私鑰對消息進行了數字簽名，標識了消息的來源，接收方只需利用發送方的公鑰對信息進行解密，即可驗證消息的來源，由于發送方的私鑰只有發送方自己知道，這樣有效防止了中間人攻擊，同時確保發送方不能抵賴曾發送過的消息。

（4） 在MME處引入了白名單，有效防止了拒絕服務攻擊；引入Diffie?Hellman密鑰交換機制來成K，使共享密鑰K能夠不斷更新，有效防止了共享密鑰K被破解的概率。E?EPS AKA與EPS AKA的安全性能比較如表1所示。

表1 E?EPS AKA與EPS AKA協議的安全功能比較

4 結 語

作為4G的主流技術之一，LTE的安全性受到極大關注。本文對LTE認證與密鑰協商協議EPS AKA做了安全性分析，指出其存在的問題。并提出了引入公鑰密碼體制，解決IMSI及AV的明文傳送問題；在網絡側建立允許接入IMSI白名單解決不法攻擊者惡意發送大量接入請求而導致的拒絕服務攻擊的問題；提出了利用Diffie?Hellman密鑰交換算法生成UE和HSS公共密鑰K，以解決公共密鑰易泄露的問題。最后對提出的方案進行了安全性能分析，并與EPS AKA做了比較。

參考文獻

[1] 李頻鐘，吳濤，康亮.3GPP 網絡接入安全的發展及趨勢[J].電信網技術，2011（12）：40?44.

[2] LEU F Y， YOU I， HUANG Y L， et al. Improving security level of LTE authentication and key agreement procedure [C]// Proceedings of 2012 IEEE Globecom Workshops. [S.l.]： IEEE， 2012： 1032?1036.

[3] 汪良辰.LTE 安全接入機制研究[D].西安：西安電子科技大學，2012.

[4] Third Generation Partnership Project， Technical Specification Group Services and System Aspects， 3GPP System Architecture Evolution （SAE）. Security architecture security， 3GPP TS 33.401 version V10.0.0 [R]. [S.l.]： SAE， 2011.

[5] FORSBERG D， HORN G， MOELLER W D， et al. LTE security [M]. [S.l.]： John Wiley & Sons， 2012.

[6] RESCORLA E. Diffie?Hellman key agreement method [J/OL]. [1999?06?21]. http：//www.ietf.org/rfc/rfc2631.txt.

[7] 張靜，艾渤，鐘章隊.一種改進的 LTE 網絡用戶身份認證方法[J].電訊技術，2012，51（12）：87?91.

（3） 不可否認性。提供了不可否認功能。利用信息發送方的私鑰對消息進行了數字簽名，標識了消息的來源，接收方只需利用發送方的公鑰對信息進行解密，即可驗證消息的來源，由于發送方的私鑰只有發送方自己知道，這樣有效防止了中間人攻擊，同時確保發送方不能抵賴曾發送過的消息。

（4） 在MME處引入了白名單，有效防止了拒絕服務攻擊；引入Diffie?Hellman密鑰交換機制來成K，使共享密鑰K能夠不斷更新，有效防止了共享密鑰K被破解的概率。E?EPS AKA與EPS AKA的安全性能比較如表1所示。

表1 E?EPS AKA與EPS AKA協議的安全功能比較

4 結 語

作為4G的主流技術之一，LTE的安全性受到極大關注。本文對LTE認證與密鑰協商協議EPS AKA做了安全性分析，指出其存在的問題。并提出了引入公鑰密碼體制，解決IMSI及AV的明文傳送問題；在網絡側建立允許接入IMSI白名單解決不法攻擊者惡意發送大量接入請求而導致的拒絕服務攻擊的問題；提出了利用Diffie?Hellman密鑰交換算法生成UE和HSS公共密鑰K，以解決公共密鑰易泄露的問題。最后對提出的方案進行了安全性能分析，并與EPS AKA做了比較。

參考文獻

[1] 李頻鐘，吳濤，康亮.3GPP 網絡接入安全的發展及趨勢[J].電信網技術，2011（12）：40?44.

[2] LEU F Y， YOU I， HUANG Y L， et al. Improving security level of LTE authentication and key agreement procedure [C]// Proceedings of 2012 IEEE Globecom Workshops. [S.l.]： IEEE， 2012： 1032?1036.

[3] 汪良辰.LTE 安全接入機制研究[D].西安：西安電子科技大學，2012.

[4] Third Generation Partnership Project， Technical Specification Group Services and System Aspects， 3GPP System Architecture Evolution （SAE）. Security architecture security， 3GPP TS 33.401 version V10.0.0 [R]. [S.l.]： SAE， 2011.

[5] FORSBERG D， HORN G， MOELLER W D， et al. LTE security [M]. [S.l.]： John Wiley & Sons， 2012.

[6] RESCORLA E. Diffie?Hellman key agreement method [J/OL]. [1999?06?21]. http：//www.ietf.org/rfc/rfc2631.txt.

[7] 張靜，艾渤，鐘章隊.一種改進的 LTE 網絡用戶身份認證方法[J].電訊技術，2012，51（12）：87?91.