淺談LTE安全系統

【摘要】 本文研究LTE系統的各個安全過程，包括AKA過程、NAS安全模式命令過程、AS安全模式命令過程，總結展示LTE接入過程中的各個安全過程，最后介紹相關安全過程中使用的密鑰體系和安全算法。

【關鍵詞】 鑒權 加密 完整性保護 安全過程 EEA EIA

一、引言

筆者經歷過某FDD-LTE項目在引入一款新的終端時，發現該新終端無法附著網絡，經排查，最后發現為AS層安全模式命令過程失敗。此案例后，筆者對下面問題進行了一些思考：

1、附著過程中與安全有關的有那些過程？這些安全過程的具體流程是怎樣的？

2、如果接入失敗是由于安全方面原因所致，如何判斷問題是在UE、無線網還是核心網？

本文主要就圍繞這些問題，淺談LTE的安全系統。為了表述方便，本文中多處使用協議縮略語，具體縮略語的含義請參考參考文獻[1～ 4]。

二、UE附著過程中的安全過程

2.1 UE附著過程

UE初始附著網絡的流程如下：

從這些信令流程可以看出，其中涉及的安全流程主要有：

1、AKA過程：MME收到AttachRequest消息后向HSS發送鑒權信息請求消息，等待HSS響應鑒權矢量。終端通過MME與HSS之間執行鑒權，生成EPS頂層安全密鑰KASME。

2、NAS安全模式過程：終端與MME之間執行NAS鑒權，通過KASME生成NAS層安全密鑰。

3、AS安全模式過程：終端與eNB之間執行AS鑒權，通過KeNB生成AS層安全密鑰，用于對無線側控制面信令的加密和完整性保護，對無線側用戶面數據的加密。

2.2 AKA過程

AKA（Authentication and Key Agreement）實際是認證和密鑰協商過程。AKA過程為UP（user plane）、RRC層和NAS層提供基礎密鑰，用于生成這些過程 所需的加密密鑰和完整性保護密鑰。協議TS 33.401[1]給出的AKA過程如下：

AKA過程簡介：

MME向USIM發送一個認證請求，包括認證向量AV中的RAND、AUTN和KASME參數。RAND是隨機咨詢文本，AUTN是USIM進行網絡認證時使用的認證令牌。KSIASME將UE被用于認證后續需要的密鑰。

USIM使用RAND和它存儲的私有密鑰K，通過網絡提供的認證令牌AUTN來認證網絡。認證通過，USIM計算出CK和IK，同時產生一個RES值并發給UE。然后UE向MME發送包含此RES的認證響應，同時UE根據CK、IK、和SNID計算出KASME，此密鑰即是后續用于生成UP、RRC層和NAS層的加密和完整性保護的父密鑰。MME收到UE發送的RES后，將RES與認證向量AV中的XRES進行比較，相同則整個認證與密鑰協商過程成功。

AKA過程失敗情況：

1、USIMC/UE本地認證失敗，將發送authentication failure消息，并攜帶失敗原因。失敗原因有：

#20 “MAC failure // AUTN參數中的MAC code不可用

#26 \"non-EPS authentication unacceptable //AUTN里的AMF“分離比特”為0

#21 \"synch failure //AUTN參數里的SQN超出范圍

2、MME收到的RES不等于XRES，認證失敗，MME發送authentication reject消息，拒絕用戶接入。

根據 失敗原因不同，UE和網絡會啟動不同的鑒權失敗處理流程，詳見協議3GPP TS 24.301[2]。

AKA過程需要的認證向量 AV（包括RAND， AUTN， XRES， KASME）需要先通過MME和HE之間的鑒權數據分發過程得到，因此，廣義上講AKA過程也包括MME和HE之間的鑒權數據分發過程，協議TS 33.4011]給出的MME和HE之間的鑒權數據分發過程如上。

MME和HE之間的鑒權數據分發過程簡介：

MME收到移動用戶的注冊請求后，向用戶的HE（HSS）發送該用戶的永久身份標識IMSI，向所在的服務網絡發SNID，請求對該用戶身份和所在網絡進行認證。

HSS收到MME的認證請求之后，根據SNID對用戶所在的服務網絡進行驗證，驗證失敗則HSS拒絕該消息，如驗證通過，生成序列號SQN和隨機數RAND，同時產生一個或一組認證向量AV并發送給MME，MME按序存儲這些向量，每一個認證向量可以在UE和MME之間進行一次認證與密鑰協商。

2.3 NAS安全模式命令過程

NAS安全模式命令過程是為了激活新建立的EPS安全性上下文，以便建立UE與MME之間的安全信令連接，提供NAS信令數據的完整性和機密性保護。協議TS 33.401[1]給出的NAS安全模式命令過程如下：

NAS安全模式命令過程簡介：

MME向UE發送NAS安全模式命令（NAS SMC）消息，消息包含UE安全能力、選擇的NAS算法和標明密鑰KASME的eKSI。NAS安全模式命令消息利用NAS完整性密鑰KNASint進行完整性保護，該密鑰由KASME密鑰產生。

UE驗證NAS安全模式命令消息的完整性，如果驗證成功，UE開始NAS完整性保護并且加解密，發送NAS安全模式完成消息給MME。NAS安全模式完成消息利用NAS SMC消息中選擇的加密和完整性保護算法進行加密和完整性保護，加密密鑰KNASenc和完整性保護密鑰KNASint的生成均基于KASME。

MME利用NAS安全模式命令消息中選擇的加密和完整性保護算法對收到的NAS 安全模式完成消息進行解密和完整性檢查。

NAS安全模式命令過程失敗情況：

如果UE驗證NAS安全模式命令消息失敗，UE將回NAS安全模式拒絕消息，并攜帶失敗原因：

#23： UE security capabilities mismatch

#24： security mode rejected， unspecified

2.4 AS安全模式命令過程

接入層安全模式命令激活接入層安全，提供接入層信令數據的完整性保護和機密性保護，并提供用戶面數據機密性的保護功能。協議TS 33.401[1]給出的AS安全模式命令過程

AS安全模式過程簡介：

eNB向UE發送AS安全模式命令消息，包括所選擇的AS算法，該消息由RRC完整性保護密鑰KRRCint保護，該密鑰由KASME密鑰間接生成。

UE向eNB發送AS安全模式完成消息，該消息利用AS安全模式命令消息中的RRC完整性保護算法保護，RRC完整性保護密鑰基于密鑰KRRCint，該密鑰由KASME密鑰間接生成。

eNB中RRC和UP下行加密將在發送AS安全模式命令消息后開始；eNB中的RRC與UP上行解密將在接收和成功驗證AS 安全模式完成消息后開始。UE中RRC與UP上行加密數據將在發送AS安全模式完成消息后開始；UE中RRC與UP下行解密將在接收和成功驗證AS安全模式命令消息后開始。

AS安全模式命令過程失敗情況：

如果AS安全模式命令消息驗證失敗，UE向eNB發送AS安全模式失敗消息。協議TS 36.331[3]給出了AS安全模式失敗消息的結構內容，但消息中并未攜帶失敗原因值。

三、LTE中的密鑰體系

從上文的介紹可知，各安全過程涉及眾多密鑰， 這些密鑰在LTE密鑰體系中的位置如下：

對這些密鑰進行簡單梳理：

1、UE和HSS間共享的密鑰：

K：存儲在USIM和認證中心AuC的永久密鑰；

CK/IK：AuC和USIM在AKA認證過程中生成的密鑰對。

2、ME和ASME共享的中間密鑰：

KASME：UE和HSS根據CK/IK推演得到的密鑰；密鑰KASME作為 SAE特定認證向量響應的部分從HSS傳輸到ASME。

3、LTE 接入網絡的密鑰：

KeNB：由KASME推導得到，用于推導保護RRC流量的密鑰和UP流量的密鑰；

KNASint：由KASME推導得到，用于和特定的完整性算法一起保護NAS流量；

KNASenc：由KASME推導得到，用于和特定的加密算法一起保護NAS流量

KUPenc：由KeNB推導得到，用于和特定的加密算法一起保護UP流量；

KRRCint：由KeNB推導得到，用于和特定的完整性算法一起保護RRC流量；

KRRCenc：由KeNB推導得到，用于和特定的加密算法一起保護RRC流量。

四、安全算法

從第2節的描述可知，NAS層、AS層安全過程都涉及到加密算法和完整性保護算法，也就是說，UE與網絡間的用戶數據與信令數據需要受到機密性與完整性的保護。 主要包括：

--NAS信令需要受到強制的完整性保護以及可選的機密性保護；

--RRC信令需要受到強制的完整性保護以及可選的機密性保護；

--UP數據需要受到可選的機密性保護，不需要受到完整性保護；

在UE與網絡端，加解密算法與完整性算法的輸入參數應當保持同步。對RRC與UP的機密性保護應在PDCP層完成，對NAS信令的機密性保護應由NAS協議來提供。

4.1 加密算法

加密算法的輸入參數包括128位的加密密鑰KEY， 32位計數器值COUNT，5位承載標識符BEARER，1位轉發目的標識DIRECTION，以及密鑰流長度LENGTH。DIRECTION位的值為0表示上行鏈路，值為1表示下行鏈路。 下圖表示了加密算法EEA的使用情況，EEA算法通過使用輸入參數產生密鑰流逐位和明文進行二進制加法來形成密文，然后通過使用同樣的輸入參數產生同樣的密鑰流逐位和密文進行二進制加法來恢復明文。（圖4-1）

協議目前給出的加密算法有：

\"00002\" EEA0 Null ciphering algorithm

\"00012\" 128-EEA1 SNOW 3G based algorithm

\"00102\" 128-EEA2 AES based algorithm

注意：在TS 33 401 Rel10的版本協議中已經新增128-EEA3算法[4]。

4.2 完整性保護算法

完整性算法的輸入參數包括128位的完整性密鑰KEY，32位的計數值COUNT，5位的承載標識BEARER，1位的轉發方向標識DIRECTION，以及消息本身MESSAGE。DIRECTION位為0表示上行鏈路，為1表示下行鏈路。MESSAGE的長度為LENGTH。 如下圖4-2所示。

基于這些輸入參數，發送者使用完整性算法EIA計算32位的消息認證碼（MAC-I/NAS-MAC）。消息認證碼被添加在消息后隨消息一起發送。接收者在收到消息后，按照發送者計算消息認證碼同樣的方式計算期望得到的消息認證碼（XMAC-I/XNAS-MAC），并通過與收到的消息認證碼MAC-I/NAS-MAC比較來驗證消息的完整性。協議目前給出的完整性算法有：

\"00002\" EIA0 Null Integrity Protection algorithm

\"00012\" 128-EIA1 SNOW 3G

\"00102\" 128-EIA2 AES

注意：在TS 33 401 Rel10的版本協議中已經新增128-EIA3算法[4]。

4.3 算法安全性

EEA1/EIA1都是基于SNOW 3G算法的，而EEA2/EIA2則是基于AES算法的，從安全性來說，AES算法具有更高的安全性，并且為后續升級使用192bit、256bit等加長安全密鑰預留了接口，進一步加強了信息安全保護的健壯性[5]。

五、結束語

隨著4G時代的來臨，越來越多的LTE網絡在全球各地問世。本文介紹了LTE安全系統，包括AKA過程、NAS安全模式命令過程和AS安全模式命令過程，詳述了這些安全過程的流程以及流程失敗的可能情況；最后介紹了安全過程中使用到的密鑰體系和安全算法。

參 考 文 獻

[1] 3GPP， TS 33.401 Security architecture （Release 9）

[2] 3GPP，TS 24.301 Non-Access-Stratum （NAS） protocol for Evolved Packet System （EPS）； Stage 3 （Release 9）

[3] 3GPP， TS 36.331 Radio Resource Control （RRC）； Protocol specification （Release 9）

[4] 3GPP， TS 33.401 Security architecture （Release 10）

[5]孫明越 唐曉晟，LTE系統安全算法研究. 中國科技論文在線，2011