LTE系統EPS-AKA過程安全性研究與改進

向東南，毛文俊

(重慶郵電大學 通信與信息工程學院，重慶 400065)

?

LTE系統EPS-AKA過程安全性研究與改進

向東南，毛文俊

(重慶郵電大學 通信與信息工程學院，重慶 400065)

研究了長期演進(Long Term Evolution，LTE)系統的認證和密鑰協商(EPS-AKA)過程，分析了鑒權過程中存在的安全缺陷，如歸屬用戶服務器(Home Subscriber Server，HSS)鑒權用戶設備(User Equipment，UE)時，HSS產生的用于產生其他密鑰的隨機數RAND，在發給UE的時候是未加密的。同時，許多參數的產生通過調用函數，輸入值為一個密鑰，會很容易被破解。通過分析，提出了一種改進方案，該方案解決了鑒權過程中RAND暴露的問題，并在生成其他參數時采用了密鑰對機制，增加了所產生參數的安全級別，使LTE系統更加安全。

LTE；EPS-AKA；密鑰對；安全缺陷

0　引言

LTE是第三代合作伙伴計劃(3rd Generation Partnership Project，3GPP)推薦的4G無線移動寬帶系統之一，滿足了用戶對多媒體服務質量的需求以及互聯網應用和服務的日益增長的要求，成為了當今研究的熱點。它提供了上、下行分別為50 Mbps和100 Mbps的峰值速率，降低了時延，提高了小區容量[1]。

設計LTE網絡的目的在于簡化系統結構，它由現有的通用移動通信系統(Universal Mobile Telecommunication System，UMTS)[2]電路域加上分組交換網絡成為全IP的扁平化架構系統[3-4]。在核心網部分，原來的功能實體歸并為兩大新的邏輯成員：移動管理實體(Mobile Management Entity，MME)和服務網關(Serving Gateway，S-GW)[5]。這樣的改變導致將系統的安全工作分配給了MME，包括鑒權、密鑰協商和會話管理。EPS-AKA是當UE進入eNodeB(即基站)通信區域，同MME/HSS進行相互鑒權過程。該過程仍然存在一些不足，例如認證向量(Authentication Vector，AV)由MME傳送到UE時未受到加密保護，隨機數RAND暴露等問題。在本文中列出了這些問題，并提出了改進。

1　EPS-AKA過程

LTE鑒權過程如圖1所示，描述如下：

① UE發送附著請求給MME，其中包括國際移動用戶識別碼(International Mobile Subscriber Identity，IMSI)、UE安全能力和密鑰集指示KSIASME；

圖1　LTE鑒權過程

② MME接收到附著請求，發送鑒權數據請求給HSS，其中包括IMSI、服務網絡ID(簡稱SNID)和網絡類型；

③ HSS接收到請求后，首先認證IMSI和SNID，如果網絡類型為演進的通用陸地無線接入網(Evolved Universal Terrestrial Radio Access Network，E-UTRAN)，HSS則使用密鑰K計算出加密密鑰(Cipher Key，CK)，完整性密鑰(Integrity Key，IK)，然后生成序列號SQN和隨機數RAND，計算出隱藏序列號SQN的匿名密鑰AK。將CK和IK作為輸入密鑰，使用SN ID、SQN和AK計算出KASME。然后生成認證向量AV(1...n)，并將認證數據響應AV(1 ...n)發送給MME。AV包括：隨機數、KASME、XRES和鑒權令牌(AUTN)[6]；

④ HSS回復MME認證數據響應包含AV；

⑤ MME產生用戶鑒權請求，包括RAND、AUTN和KSIASME，其中KSIASME用于標記/產生KASME，以保證UE產生和HSS一樣的KASME；

⑥ MME將鑒權請求發給UE；

⑦ UE根據從MME接收到的請求，如圖3所示，UE使用加密函數f1生成XMAC，檢驗XMAC與接收到的AUTN的MAC是否相同。如果不同，UE則丟棄該請求消息。否則，說明MME通過鑒權，UE使用f2計算RES。UE進一步使用自己安全密鑰、RAND以及f3、f4分別生成CK和IK。之后，可以利用KSIASME、SN ID、CK和IK計算KASME；

⑧ UE發送包含RES的用戶鑒權響應給MME；

⑨ MME接收到響應后，比較之前從HSS接收的AV中的XRES和RES是否相同，如果不同，MME則拒絕該連接。否則說明UE鑒權成功，UE和MME/HSS完成了相互鑒權。

2　EPS-AKA過程安全缺陷分析

上述的鑒權過程，會存在以下幾個問題。

(1) 在步驟②和步驟④中，MME和HSS之間相互發送的信息未受保護。MME和HSS連接可能是有線或無線。如果是無線，黑客更容易攔截一些重要的參數，例如AV中傳遞的RAND和KSIASME。同樣，在步驟⑥中，MME發送給UE的用戶鑒權請求也是沒有加密的，所以黑客可以通過攔截消息輕易地獲得RAND、AUTN和KSIASME。其中，RAND作為產生XRES和RES的密鑰之一，如圖2和圖3所示，也是計算CK、IK和AK等的參數之一，它的泄露必定對LTE安全系統帶來嚴重的安全隱患[7-8]。

圖2　認證向量的生成

圖3　USIM卡中的用戶認證功能

(2) KASME可以通過KSIASME、SN ID、CK和IK生成，如圖2所示，其中CK和IK分別由f3和f4，使用密鑰K和RAND作為輸入參數生成。一旦密鑰K被破解了，黑客通過竊聽傳遞的AV中的RAND，就可以計算出KASME，從而危及到數據傳輸的安全[9]。

(3) AUTN中傳送的AK受到SQN的保護，如圖2所示，所以它的安全性比XRES高。但SQN是對UE重新驗證的序列號。每次當HSS對UE重新驗證時，SQN的值將加1。因此，雖然它最初是一個隨機值(32 bit)，如果黑客知道SQN的范圍，他們很容易猜到接下來重新驗證的SQN值，因此提高了從SQN⊕AK中泄露AK的可能性[10-11]。

3　EPS-AKA安全性增強機制

文獻[12]提出一個新的簡單且強大的基于改進代理簽名的認證方案，文獻[13]提出了快速安全切換認證方案，但2種方案都產生大量的計算成本和電池消耗。本文利用密鑰對和Diffie-Hellman算法來解決了第2節中的問題。

3.1利用密鑰對提高LTE安全水平

密鑰對是僅發送端知道的一對密鑰，如UE或HSS，也可以稱它們為安全密鑰，用于加密和生成數據，該密鑰不在因特網和移動網絡中傳送，因此它們很安全。目前，所有f2～f5計算中僅有一個安全密鑰加密，例如HSS產生AK，K是唯一安全的密鑰，它不被傳送，但是RAND在不加密的情況下傳送。這意味著需要另一個安全密鑰，通過增加另一個安全密鑰來提高所產生的密鑰的安全級別。

3.2生成多個密鑰

如圖4所示，產生了AK1和AK2代替AK，以及KASME1和KASME2代替KASME。一旦有更多的安全密鑰可用，將極大地提高LTE的安全級別，有利于安全參數的產生和設計加密/解密算法。

圖4　認證向量生成的密鑰對

實際上，使用一對密鑰將增加UE和MME/HSS的密鑰數目，這意味著將需要產生更多的密鑰來加密傳輸數據，如傳遞的UE安全能力、加密算法、NAS完整性算法和MAC，因而提高了數據的保密性，因為黑客不知道UE和MME/HSS是如何對數據加密的。

3.3增強SQN和AMF的功能

如上所述，SQN受到安全密鑰AK的保護，黑客無法輕易的獲得SQN。在本文中增強了SQN的特性，通過把它從一個序列號改變成一個隨機數。即，SQN現在是一個密鑰，可用來作為f2和f3的第3個輸入參數，因此XRES將會被一對密鑰保護，即SQN和密鑰K。雖然密鑰K是一個固定值，增加了隨機值后，黑客很難反破解它。

而且，如果使用SQN作為f3的第3個輸入密鑰，如圖4所示，破解KASME的復雜性將更高。萬一密鑰K因為其他的安全漏洞被破解，KASME仍是安全的。另外因為SQN現在是隨機產生的一個密鑰，黑客無法通過猜測獲得SQN，然后獲得AV值。

同樣，將AMF作為AK的第3個輸入參數，使AK受到更好的保護。這樣，黑客將很難獲得密鑰K，從而破解AV。

3.4使用Diffie-Hellman算法解決暴露RAND的問題

為了解決RAND暴露的問題，可以在傳輸附著請求之前，由UE隨機產生一個隨機數RUE作為隨機密鑰。接下來，UE利用Diffie-Hellman算法[14]計算A=gRUEmodp，其中p是普通素數，g是原始根。然后UE將Attach Request傳輸給MME，其中包含A。當MME接收到附著請求時，MME將它轉發給HSS。當HSS收到后，產生隨機數作為隨機密鑰，例如RHSS，計算KRAND=ARHSSmodp，利用Diffie-Hellman算法產生KRAND作為共享密鑰(僅UE和HSS共有，KRAND將不被傳送)，并計算B=gRHSSmodp。當HSS把AV傳給MME，AV中原來的RAND將由B取代。之后，MME將這些數據傳給UE。UE收到B，開始計算KRAND。但如果在傳送過程中B被黑客捕獲，他也無法獲得或修改KRAND，由此可知用隨機數KRAND取代原來的RAND，可以得到更好的保護。

綜上，通過使用密鑰對，可以提高被破解的復雜度。生成多個密鑰，可以提高系統的安全級別。在計算密鑰時，將AMF和SQN作為輸入參數，使得黑客很難反破解。通過使用Diffie-Hellman算法，可以更好地保護RAND。

4　結束語

通過利用Diffie-Hellman算法來解決RAND暴露的問題，從而增加破解生成參數的復雜度。使用密鑰對不僅增加了鑒權和數據傳輸的安全級別，也增加了LTE選擇參數的復雜性。原來的參數僅受到密鑰K的保護，現在受到至少2個安全密鑰保護。而且，該方法不需要修改LTE的架構，很容易實施并能增強LTE的安全水平。

[1]姜怡華,許慕鴻,習建德,等.3GPP系統架構演進(SAE)原理與設計[M].北京:人民郵電出版社,2010:120-122.

[2]3GPP TR33.821.3rd Generation Partnership Project.Technical Specification Group Service and System Aspects.Rationale andTrack of Security Decisions in Long Term EvolvedRAN /3GPP System Architecture Evolution(Release 9)[R],2009:34-68.

[3]向東南,申敏,陳政貴.LTE核心網安全缺陷的研究[J].無線電通信技術，2016,42(1):31-34.

[4]3GPP TS33.401.3rd Generation Partnership Project.Technical Specification Group Service and System Aspects.3GPP System Architecture Evolution/Security Architecture.(Release 12)[R]，2014：45-78.

[5]方強.演進的3GPP系統架構分析[J].無線電通信技術,2010,36(2):13-15.

[6]Koien G M.Mutual Entity Authentication for LTE.7th International WirelessCommunications and Mobile Computing Conference[C]//IWCMC 2011,Istanbul,Turkey,2011:689-694.

[7]Purkhiabani M,Salahi A.Enhanced Authentication and Key Agreement Procedure of next Generation 3GPP Mobile Networks[C]//International Journal of Information and Electronics Engineering,2012:69-77.

[8]Cao J,Ma M.An Uniform Handover Authentication between E-UTRAN and Non-3GPP Access Networks[C]//Wireless Communication,2012:3644-3650.

[9]陳發堂,袁金龍,吳增順.鑒權與密鑰協商過程在LTE系統中的改進[J].電子技術應用，2012,38(7):147-150.

[10]Purkhiabani M,Salahi A.Enhanced Authentication and Key Agreement Procedure of Next Generation Evolved Mobile Networks.Proc[C]//IEEE 3rd International Conference on Communication Software and Networks(ICCSN),2011:557-563.

[11]Cao J,Li H,Ma M.A Simple and Robust Handover Authentication between HeNB and eNB in LTE Networks.Computer Networks[C]//2012:2119-2131.

[12]Li X,Wang Y.Security Enhanced Authentication and Key Agreement Protocol for LTE/SAE Network[C]//Proc.Wireless Communications,Networking and Mobile Computing,2011:1-4.

[13]Purkhiabani M,Salahi A.Enhanced Authentication and Key Agreement Procedure of Next Generation Evolved Mobile Networks[C]//Proc.IEEE 3rd International Conference on Communication Software and Networks(ICCSN),2011:557-563.

[14]Huang Y F,Leu F Y,Chiu C H,etal.Improving Security Levels of IEEE802.16e Authentication by Involving Diffie-Hellman PKDS[J].Journal of Universal Computer Science,2011:891-911.

Research and Improvement of LTE EPS-AKA Procedure Security

XIANG Dong-nan,MAO Wen-jun

(School of Communication and Information Engineering,Chongqing University of Posts and Telecommunications,Chongqing 400065,China)

In this paper,the LTE Authentication and Key Agreement(EPS-AKA)procedure is studied and the security flaws in the authentication process are analyzed.For example,when its HSS authenticates a UE,the random number RAND generated by HSS for creating other keys is unencrypted during its delivery from HSS to UE.Also,many parameters are generated by invoking a function with only one input key,thus they are very easy to be cracked.So,the paper presents an improvement scheme,in which the exposure of RAND in the authentication process is avoided,and a key-pair mechanism is adopted when creating other parameters.The security level of all the parameters is increased,making the LTE system more secure.

LTE;EPS-AKA;key pair;security flaw

10.3969/j.issn.1003-3114.2016.05.15

引用格式：向東南，毛文俊.LTE系統EPS-AKA過程安全性研究與改進[J].無線電通信技術,2016,42(5):60-63.

2016-05-12

國家科技重大專項基金資助項目(2012ZX03001012)

向東南(1990—)，女，碩士研究生，主要研究方向：移動通信網絡安全。毛文俊(1988—)，男，碩士研究生，主要研究方向：移動通信。

TN929.5

A

1003-3114(2016)05-60-4