主頁（http://www.130131.com）：LTE的安全技術(shù)

本文為轉(zhuǎn)載，作者彭華熹，為中國移動通訊有限公司研究院終端所研究員，專注于移動通信網(wǎng)絡(luò)、數(shù)據(jù)業(yè)務(wù)、信息安全、智能卡等領(lǐng)域的研究和產(chǎn)品開發(fā)。

1. 引言

做過一段時(shí)間的LTE的安全研究，這里簡單介紹了3GPP長期演進(jìn)（LTE）研究工作的開展背景和網(wǎng)絡(luò)架構(gòu)，重點(diǎn)介紹了LTE/SAE的安全架構(gòu)、密鑰架構(gòu)、安全機(jī)制等。希望能對大家研究LTE的安全有所幫助。

隨著移動通信的普及，移動通信中的安全問題正受到越來越多的關(guān)注，人們對移動通信中的信息安全也提出了更高的要求。在2G（以GSM網(wǎng)絡(luò)為例）中，用戶卡和網(wǎng)絡(luò)側(cè)配合完成鑒權(quán)來防止未經(jīng)授權(quán)的接入，從而保護(hù)運(yùn)營商和合法用戶雙方的權(quán)益。但GSM網(wǎng)絡(luò)在身份認(rèn)證及加密算法等方面存在著許多安全隱患：首先，由于其使用的COMP128-1算法的安全缺陷，用戶SIM卡和鑒權(quán)中心（AuC）間共享的安全密鑰可在很短的時(shí)間內(nèi)被破譯，從而導(dǎo)致對可物理接觸到的SIM卡進(jìn)行克��；GSM網(wǎng)絡(luò)沒有考慮數(shù)據(jù)完整性保護(hù)的問題，難以發(fā)現(xiàn)數(shù)據(jù)在傳輸過程被篡改等問題。

第三代移動通信系統(tǒng)（3G）在2G的基礎(chǔ)上進(jìn)行了改進(jìn)，繼承了2G系統(tǒng)安全的優(yōu)點(diǎn)，同時(shí)針對3G系統(tǒng)的新特性，定義了更加完善的安全特征與安全服務(wù)。R99側(cè)重接入網(wǎng)安全，定義了UMTS的安全架構(gòu)，采用基于Milenage算法的AKA鑒權(quán)，實(shí)現(xiàn)了終端和網(wǎng)絡(luò)間的雙向認(rèn)證，定義了強(qiáng)制的完整性保護(hù)和可選的加密保護(hù)，提供了更好的安全性保護(hù)；R4增加了基于IP的信令的保護(hù)；R5增加了IMS的安全機(jī)制；R6增加了通用鑒權(quán)架構(gòu)GAA（Generic Authentication Architecture）和MBMS（Multimedia Broadcast Multicast Service）安全機(jī)制。

3G技術(shù)的出現(xiàn)推動了移動通信網(wǎng)數(shù)據(jù)類業(yè)務(wù)的發(fā)展，在更大程度上滿足了個(gè)人通信和娛樂的需求，正在被廣泛推廣和應(yīng)用。為了進(jìn)一步發(fā)展3G技術(shù)，3GPP于2004年將LTE（Long Time Evolution）作為3G系統(tǒng)的長期演進(jìn)，并于2006年開始標(biāo)準(zhǔn)制定工作。在開展LTE研究項(xiàng)目的同時(shí)，啟動了SAE（System Architecture Evolution）的研究項(xiàng)目。LTE/SAE的安全功能也不斷得到完善、擴(kuò)展和加強(qiáng)，本文對LTE/SAE的安全技術(shù)進(jìn)行了簡要介紹。

2. LTE/SAE的網(wǎng)絡(luò)架構(gòu)

LTE和UMTS網(wǎng)絡(luò)相比，LTE/SAE的接入網(wǎng)減少了節(jié)點(diǎn)數(shù)量，接入網(wǎng)中只有一個(gè)節(jié)點(diǎn)eNB（Evolved Node B），該eNB可以位于不完全可信的區(qū)域。eNB之間通過X2接口連接，eNB和核心網(wǎng)設(shè)備MME/S-GW（Mobility Management Entity/Serving-Gateway）通過S1接口連接。LTE接入網(wǎng)架構(gòu)如下圖所示：

圖1 接入網(wǎng)架構(gòu)

相比UMTS核心網(wǎng)，SAE核心網(wǎng)有較大變動，MME將取代SGSN完成認(rèn)證等安全功能，同時(shí)MME需要完成NAS信令的安全保護(hù)。SAE核心網(wǎng)架構(gòu)如下圖所示：

圖2 核心網(wǎng)架構(gòu)

3.       LTE/SAE的安全架構(gòu)

LTE/SAE網(wǎng)絡(luò)的安全架構(gòu)和UMTS的安全架構(gòu)基本相同，如下圖所示：

圖3 安全架構(gòu)

LTE/SAE網(wǎng)絡(luò)的安全也分為5個(gè)域：

1) 網(wǎng)絡(luò)接入安全(I)

2) 網(wǎng)絡(luò)域安全(II)

3) 用戶域安全 (III)

4) 應(yīng)用域安全 (IV)

5) 安全服務(wù)的可視性和可配置性（V）

LTE/SAE的安全架構(gòu)和UMTS的網(wǎng)絡(luò)安全架構(gòu)相比，有如下區(qū)別：

1) 在ME和SN之間增加了雙向箭頭表明ME和SN之間也存在非接入層安全。

2) 在AN和SN之間增加雙向箭頭表明AN和SN之間的通信需要進(jìn)行安全保護(hù)。

3) 增加了服務(wù)網(wǎng)認(rèn)證的概念，因此HE和SN之間的箭頭由單向箭頭改為雙向箭頭。

4. LTE/SAE的安全層次

圖4 安全層次

在LTE/SAE中，由于eNB處于一個(gè)不完全信任區(qū)域，因此LTE/SAE的安全包括兩個(gè)層次：接入層（AS）和非接入層（NAS）的安全：

1) 接入層（AS）安全：UE與eNB之間的安全，主要執(zhí)行AS信令的加密和完整性保護(hù)，用戶面UP的加密性保護(hù)。

2) 非接入層（NAS）安全：UE與MME之間的安全，主要執(zhí)行NAS信令的加密和完整性保護(hù)。

5.       LTE/SAE的密鑰架構(gòu)

LTE/SAE的密鑰層次架構(gòu)如下圖所示，由K派生出較多層次的密鑰，分別實(shí)現(xiàn)各層的保密性和完整性保護(hù)，提高了通信中的安全性。

圖5 密鑰架構(gòu)

LTE/SAE網(wǎng)絡(luò)的密鑰層次架構(gòu)中包含如下密鑰：

1) UE和HSS間共享的密鑰：

• K：存儲在USIM和認(rèn)證中心AuC的永久密鑰。

• CK/IK：AuC和USIM在AKA認(rèn)證過程中生成的密鑰對。與UMTS相比，CK/IK不應(yīng)離開HSS。

   

2) ME和ASME共享的中間密鑰：

• KASME：UE和HSS根據(jù)CK/IK推演得到的密鑰，用于推演下層密鑰。

3) UE與eNB和MME的共享密鑰：

• KNASint：UE和MME根據(jù)KASME推演得到的密鑰，用于保護(hù)UE和MME間NAS流量的完整性。

• KNASenc：UE和MME根據(jù)KASME推演得到的密鑰，用于保護(hù)UE和MME間NAS流量的保密性。

• KeNB：UE和MME根據(jù)KASME推演得到的密鑰。KeNB用于推導(dǎo)AS層密鑰。

• KUPenc：UE和eNB根據(jù)KeNB和加密算法的標(biāo)識符推演得到，用于保護(hù)UE和eNB間UP的保密性。

• KRRCint：UE和eNB根據(jù)KeNB和完整性算法的標(biāo)識符推演得到，用于保護(hù)UE和eNB間RCC的完整性。

• KRRCenc：UE和eNB根據(jù)KeNB和加密算法的標(biāo)識符推演得到，用于保護(hù)UE和eNB間RCC的保密性。

6. LTE/SAE的安全鑒權(quán)（AKA）機(jī)制

LTE/SAE的AKA鑒權(quán)過程和UMTS中的AKA鑒權(quán)過程基本相同，采用Milenage算法，繼承了UMTS中五元組鑒權(quán)機(jī)制的優(yōu)點(diǎn)，實(shí)現(xiàn)了UE和網(wǎng)絡(luò)側(cè)的雙向鑒權(quán)。

與UMTS相比，SAE的AV（Authentication Vector）與UMTS的AV不同，UMTS AV包含CK/IK，而SAE AV僅包含Kasme（HSS和UE根據(jù)CK/IK推演得到的密鑰，參見下文）。LTE/SAE使用AV中的AMF來標(biāo)識此AV是SAE AV還是UMTS AV，UE利用該標(biāo)識來判斷認(rèn)證挑戰(zhàn)是否符合其接入網(wǎng)絡(luò)類型，網(wǎng)絡(luò)側(cè)也可以利用該標(biāo)識隔離SAE AV和UMTS AV，防止獲得UMTS AV的攻擊者假冒SAE網(wǎng)絡(luò)。

LTE/SAE中還定義了UE在eNB和MME之間切換間的安全機(jī)制、EUTRAN與UTRAN、GERAN、non-3GPP間的切換等安全機(jī)制。

7. 網(wǎng)絡(luò)域安全

LTE/SAE中將網(wǎng)絡(luò)劃分不同的安全域，使用NDS/IP的方式（IKE＋I(xiàn)Psec）保護(hù)網(wǎng)絡(luò)域的安全，如下圖所示：

圖6 NDS/IP的安全架構(gòu)圖

將可以將上圖轉(zhuǎn)換為LTE/SAE實(shí)體，若MME/S-GW和eNB位于不同的安全域時(shí)（如MME/S-GW和eNB通過Internet相連），則圖中NE A-1可看成MME/S-GW，NE B-1可看成eNB。安全網(wǎng)關(guān)可集成在NE中，也可能是一個(gè)獨(dú)立的設(shè)備。若SEG和NE之間連接是可信的（如MME/S-GW和SEG之間的連接位于同一個(gè)大樓內(nèi)），那么在它們之間不需要附加其他的安全措施（物理措施除外）。若MME/S-GW和eNB位于相同的安全域內(nèi)，則MME/S-GW和eNB可能分別對應(yīng)NE A-1和NE A-2，在他們之間使用可選的Zb接口進(jìn)行安全保護(hù)。

若多個(gè)節(jié)點(diǎn)部署在同一個(gè)信任環(huán)境中，那么應(yīng)該將安全集中在一個(gè)獨(dú)立的設(shè)備（即信任域邊界的SEG）上。在一般的場景下，終結(jié)Za（即SEG功能）或Zb口的IPsec功能應(yīng)該集成在eNB中，也可以使用SEG匯聚多個(gè)eNB的流量。NDS/IP可以采用基于預(yù)共享密鑰和證書等的方式來提供密鑰管