lte安全体系结构详述

1、LTE 安全体系结构摘要：针对 3GPP 提出的LTE/SAE 标准，研究了 LTE/SAE 安全体系架构。首先概述了 LTE/SAE 的基本网络架构，介绍了LTE/SAE 较之 UMTS 网络的改进之处；其次，逐层介绍LTE/SAE 的网络安全体系，包括安全架构，安全流程分析，鉴权与密钥协商过程，密钥体系，安全激活过程等；再者，指出了现阶段 LTE/SAE 安全体制存在的一些问题并进行了分析；最后对文献阅读方面做了总结。关键词：3GPP；LTE/SAE；安全机制；密钥；鉴权The Security Mechanism of LTE/SAEAbstract: The LTE/SAE secur

2、ity mechanism architecture is studied through the standard of LTE/SAE put forward by 3GPP. Firstly, the basic network structure of LTE/SAE is summarized and the advantage of LTE/SAE to UMTS is introduced. Secondly, the network security mechanism of LTE/SAE, security structure, the analysis of securi

3、ty procedure, authentication and key agreement, key hierarchy, security mode activation procedure, and so on, is introduced step by step. And then, some problems existing in the present security mechanism of LTE/SAE are shown and analyzed. At last, some summary is given on paper reading.Keywords: 3G

4、PP (3rd Generation Partnership Project); LTE/SAE (long time evolution/system architecture evolution); Security Mechanism; Key; Authentication1. 引言1.1LTE 发展背景伴随 GSM 等移动网络在过去的二十年中的广泛普及，全球语音通信业务获得了巨大的成功。目前，全球的移动语音用户已超过了 18 亿。同时，我们的通信习惯也从以往的点到点（Place to Place演进到人与人。个人通信的迅猛发展极促使了个人通信设备的微型化和多样化，结合多媒体消息、在线

5、游戏、视频点播、音乐下载和移动电视等数据业务的能力，大大满足了个人通信和娱乐的需求。另外，尽量利用网络来提供计算和存储能力，通过低成本的宽带无线传送到终端，将有利于个人通信娱乐设备的微型化和普及。GSM 网络演进到GPRS/EDGE 和 WCDMA/HSDPA 网络以提供更多样化的通信和娱乐业务，降低无线数据网络的运营成本，已成为 GSM 移动运营商的必经之路。但这也仅仅是往宽带无线技术演进的一个开始。WCDMA/HSDPA 与GPRS/EDGE 相比， 虽然无线性能大大提高，但是，在 IPR 的制肘、应对市场挑战和满足用户需求等领域，还是有很多局限。由于 CDMA 通信系统形成的特定历史背景

6、，3G 所涉及的核心专利被少数公司持有，在 IPR上形成了一家独大的局面。专利授权费用已成为厂家承重负担。可以说，3G 厂商和运营商在专利问题上处处受到制肘，业界迫切需要改变这种不利局面。面对高速发展的移动通信市场的巨大诱惑和大量低成本，高带宽的无线技术快速普及， 众多非传统移动运营商也纷纷加入了移动通信市场，并引进了新的商业运营模式。例如， Google 与互联网业务提供商（ISP）Earthlink 合作，已在美国旧金山全市提供免费的无线接入服务，双方共享广告收入，并将广告收入作为其主要盈利途径，Google 更将这种新的运营模式申请了专利。另外，大量的酒店、度假村、咖啡厅和饭馆等，由于本

7、身业务激烈竞争的原因，提供免费WiFi 无线接入方式，通过因特网可以轻易的查询到这类信息。最近， 网络服务提供商“SKYPE”更在这些免费的无线宽带接入基础上，新增了几乎免费的语音及视频通信业务。这些新兴力量给传统移动运营商带来了前所未有的挑战，加快现有网络演进， 满足用户需求，提供新型业务成为在激烈的竞争中处于不败之地的唯一选择。与此同时，用户期望运营商提供任何时间任何地点不低于1Mbps 的无线接入速度，小于20ms 的低系统传输延迟，在高移动速率环境下的全网无缝覆盖。而最重要的一点是能被广大用户负担得起的廉价终端设备和网络服务。这些要求已远远超出了现有网络的能力，寻找突破性的空中接口技术

8、和网络结构看来是势在必行。LTE(长期演进)是由 3GPP(第三代合作伙伴计划)定义的移动宽带网络标准的下一个演进目标,支持在成对频谱和非成对频谱上的运行,可实现对现有和未来的无线频带频谱的高效利用。它还支持 1.420MHz 的信道带宽。业界对 LTE 的广泛支持,确保了LTE 拥有规模经济效益,因此是一种非常经济高效的解决方案。2006 年 9 月,3GPP 最终确定了 LTE也称之为演进的 UTRA 和 UTRAN(Evolved UTRA and UTRAN)的研究项目。该项研究的目标是确定 3GPP 接入技术的长期演进计划,使其可以在遥远的将来保持竞争优势,相应的工作项目计划在 20

9、07 年下半年完成。3GPP 还开展了一项平行研究:即系统架构演进(SAE),展示核心网络的演进要点。这是一个基于IP 的扁平网络体系结构,旨在简化网络操作,确保平稳、有效地部署网络。1.2LTE 安全机制概述随着移动通信的普及，移动通信中的安全问题正受到越来越多的关注，人们对移动通信中的信息安全也提出了更高的要求。在 2G（以 GSM 网络为例）中，用户卡和网络侧配合完成鉴权来防止未经授权的接入，从而保护运营商和合法用户双方的权益。但 GSM 网络在身份认证及加密算法等方面存在着许多安全隐患：首先，由于其使用的 COMP128-1 算法的安全缺陷，用户 SIM 卡和鉴权中心（AuC）间共享的

10、安全密钥可在很短的时间被破译，从而导致对可物理接触到的SIM 卡进行克隆；GSM 网络没有考虑数据完整性保护的问题，难以发现数据在传输过程被篡改等问题。第三代移动通信系统（3G）在2G 的基础上进行了改进，继承了2G 系统安全的优点，同时针对 3G 系统的新特性，定义了更加完善的安全特征与安全服务。R99 侧重接入网安全， 定义了UMTS 的安全架构，采用基于 Milenage 算法的AKA 鉴权，实现了终端和网络间的双向认证，定义了强制的完整性保护和可选的加密保护，提供了更好的安全性保护；R4 增加了基于 IP 的信令的保护；R5 增加了 IMS 的安全机制；R6 增加了通用鉴权架构GAA（

11、GenericAuthentication Architecture和 全机制。MBMS（Multimedia Broadcast Multicast Service安3G 技术的出现推动了移动通信网数据类业务的发展，在更大程度上满足了个人通信和娱乐的需求，正在被广泛推广和应用。为了进一步发展 3G 技术，3GPP 于 2004 年将 LTE（Long Time Evolution）作为 3G 系统的长期演进，并于 2006 年开始标准制定工作。在开展 LTE 研究项目的同时，启动了 SAE（System Architecture Evolution）的研究项目。LTE/SAE的安全功能也不断

12、得到完善、扩展和加强，本文对LTE/SAE 的安全技术进行了详细介绍。2 LTE/SAE 网络架构2.1LTE 基本网络架构LTE 采用扁平化、IP 化的网络架构，E-UTRAN 用 E-NodeB 替代原有的RNC-NodeB 结构， 各网络节点之间的接口使用IP 传输，通过 IMS 承载综合业务，原 UTRAN 的 CS 域业务均可由LTE 网络的PS 域承载。原有PS 域的SGSN（service GPRS support node和 GGSN（gatewayGPRS support node功能归并后重新作了划分，成为两个新的逻辑网元：移动管理实体(MME) 和服务网关(Serving

13、 Gateway)，实现PS 域的承载和控制相分离。新增的PDN GW 网元实现各种类型的无线接入。LTE 的网络架构如下图所示：图1 LTE网络架构E-UTRAN 由eNB 构成；EPC (Evolved Packet Core)由 MME（Mobility Management Entity），S-GW（Serving Gateway）以及P-GW（PDN Gateway）构成。E-UTRAN 主要的开放接口包括：S1 接口：连接E-UTRAN 与CN，类似于UTRAN 的 Iu 接口；X2 接口：实现E-NodeB 之间的互联，类似于UTRAN 的 Iur 接口； LTE-Uu 接口：E

14、-UTRAN 的无线接口，类似于UTRAN 的 Uu 接口；图2 E-UTRAN与UTRAN接口对照2.2LTE/SAE 网元功能介绍SAE 是 LTE 的系统架构演进，所以，在此有必要对其系统架构做简单介绍，SAE 的网络结构如图 3 所示：UTRANSGSNGERANHSSS1-MMES3MMES6aPCRFS11S12GxRxLTE-UuUES10E-UTRANS4ServingS5 GatewayPDNSGiGatewayS1-UOperators IP Services (e.g. IMS, PSS etc.)图3 SAE网络架构接下来介绍一下各网元的功能：2.2.1UTRANE-U

15、TRAN 实体的主要功能包括：1. 头压缩及用户平面加密；2. 在没有路由到达MME 的情况下，MME 的选择取决于UE 提供的信息；3. 没有路由情形下的MME 选择；4. 基于 AMBR 和 MBR 的上行承载级速率执行；5. 上下行承载级准许控制。2.2.2 MMEMME 提供以下功能：1. NAS 信令及其安全；2. 跨核心网的信令（支持S3 接口）；3. 对处于MME-IDLE 状态的UE 进行寻呼；4. 跟踪区域（Tracking Area列表的管理；5. P-GW 和 S-GW 的选择；6. 发生跨MME 切换时的MME 选择；7. 发生与 2G/3G 3GPP 接入网之间切换时

16、的SGSN 选择；8. 支持漫游（与HSS 之间的S6a 接口）；9. 鉴权；10. 承载管理，包括专用承载（dedicated bearer）的建立。2.2.3 S-GW对每一个与 EPS 相关的 UE，在一个时间点上，都有一个 S-GW 为之服务。S-GW 对基于GTP 和PMIP 的 S5/S8 都能提供如下功能：1. eNode 间切换时，作为本地锚定点；2. 在 2G/3G 系统和P-GW 之间传输数据信息；3. 在 EMM-IDLE 模式下为下行数据包提供缓存；发起业务请求流程；4. 合法侦听；5. IP 包路由和前转；6. IP 包标记；7. 计费。2.2.4 P-GW1. 基于

17、单个用户的数据包过滤；2. UE IP 地址分配；3. 上下行传输层数据包的分类标示；4. 上下行服务级的计费（基于SDF，或者基于本地策略）；5. 上下行服务级的门控；6. 上下行服务级增强，对每个SDF 进行策略和整形；7. 基于 AMBR 的下行速率整形基于MBR 的下行速率整上下行承载的绑定；合法性监听；2.2.5 HSSHSS 是用于存储用户签约信息的数据库，归属网络中可以包含一个或多个HSS。HSS 负责保存以下跟用户相关的信息：1. 用户标识、编号和路由信息；2. 用户安全信息：用于鉴权和授权的网络接入控制信息3. 用户位置信息：HSS 支持用户注册，并存储系统间的位置信息4.

18、用户轮廓信息HSS 还能产生用于鉴权、完整性保护和加密的用户安全信息。HSS 负责与不同域和子系统中的呼叫控制和会话管理实体进行联系。2.2.6 PCRFPCRF 是策略和计费控制单元。3 LTE 安全机制本章从LTE/SAE 的安全架构入手，首先介绍了安全层次，并分析了安全层次的必要性； 其次，分析了 LTE 认证与密钥协商过程，密钥的体系架构，以及安全性激活过程；最后对LTE 安全机制进行了安全性分析。3.1LTE/SAE 安全架构LTE/SAE 网络的安全架构和UMTS 的安全架构基本相同，如下图所示：图4 安全架构LTE/SAE 网络的安全也分为 5 个域：1)网络接入安全(I)2)网

19、络域安全(II)3)用户域安全 (III)4)应用域安全 (IV)5)安全服务的可视性和可配置性（V）LTE/SAE 的安全架构和UMTS 的网络安全架构相比，有如下区别：1)在 ME 和SN 之间增加了双向箭头表明ME 和SN 之间也存在非接入层安全。2)在 AN 和SN 之间增加双向箭头表明AN 和 SN 之间的通信需要进行安全保护。3)增加了服务网认证的概念，因此HE 和SN 之间的箭头由单向箭头改为双向箭头。3.2LTE/SAE 安全层次在 LTE 中，由于 eNB 轻便小巧，能够灵活的部署于各种环境。但是，这些eNB 部署点环境较为复杂，容易受到恶意的攻击。为了使接入网安全受到威胁时

20、不影响到核心网，LTE 在安全方面采取分层安全的做法，将接入层（AS）安全和非接入层（NAS）安全分离，AS 安全负责 eNB 和 UE 之间的安全，NAS 安全负责MME 和 UE 之间的安全。采用这种方式能够更好的保护 UE 的接入安全。这样 LTE 系统有两层保护，而不像 UMTS 系统只有一层安全保障。第一层为 E-UTRAN 网络中的RRC 安全和用户面（UP）安全，第二层是EPC（演进的包核心）网络中的 NAS 信令安全，如下页图 1 所示。 这种设计目的是使E-UTRAN 安全层（第一层）和 EPC 安全层（第二层）相互的影响最小化。该原则提高了整个系统的安全性；对运营商来说，允

21、许将 eNB 放置在易受攻击的位置而不存在高的风险。同时，可以在多接入技术连接到 EPC 的情况下，对整个系统安全性的评估和分析更加容易。即便攻击者可以危及第一个安全层面的安全，也不会波及到第二个安全层面。图5 LTE/SAE安全层次3.3LTE/SAE 认证与密钥协商过程3GPP LTESAE 认证与密钥协商过程取得了用户和网络之间相互认证的功能，在成功认证的基础上完成了密钥的协商，并且确保了协商密钥的新鲜性。协议中参与认证与密钥协商的主体有：用户设备(User Equipment，UE)、移动性管理实体(Mobility Management Entity， MME)和本地用户服务器(Ho

22、me Subscriber Server，HSS)，UE 信任HSS 并与其共享密钥K 及确定的加解密算法。此外，UE 和 HSS 各自维持一个计数器 SQNms。和 SQNhss，并且 SQNms 和 SQNhss 的初值都为 0。其中f1 和f2 为认证函数，f3、f4、f5、s10 为密钥生成函数，其详细定义见文献 2。详细的 3GPP SAE 认证与密钥交换协议参见图 6，图中认证令牌AUTN=SQN AK|AMF|MAC，认证向量AV=(RAND|XRES|KASME|AUTN)，RAND 为 HSS 产生的随机数，AK=f5(RAND)，MAC=f1(SQN|RAND|AMF)，X

23、RES=f2(RAND)，CK=f3(RAND)，IK=f4(RAND)，密钥 KASME由 CK，IK 和服务网络号从密钥产生算法 s10。得到，其中“|”表示符号消息的串联，“ ”标识异或运算符。图6 LTE/SAE认证与密钥协商过程3GPP LTESAE 认证向量分发与密钥协商的具体过程如下：(1)MME 发起认证过程。首先 MME 收到移动用户的注册请求后，向用户的HSS 发送该用户的永久身份标识IMSI，向所在的服务网络发SNID，请求对该用户身份和所在网络进行认证；(2)HSS 收到MME 的认证请求之后，根据SNID 对用户所在的服务网络进行验证，验证失败则 HSS 拒绝该消息，

24、如验证通过，生成序列号SQN 和随机数 RAND，同时产生一个或一组认证向量AV 并发送给MME，MME 按序存储这些向量，每一个认证向量可以在UE 和 MME 之间进行一次认证与密钥协商。步骤 1 和 2 即为从 HSS 到服务网络分发认证数据的过程，图 7 所示为HSS 中认证向量的产生机制；图7 认证向量的产生机制(3)MME 收到认证向量或认证向量组之后，对认证向量组按序排序，然后选择一个序号最小的认证向量，并将其RAND 和 AUTN 发送给UE，请求UE 产生认证数据；(4)UE 收到MME 发来的认证请求后，首先验证 AUTN 中 AMF 域的分离位，然后计算 XMAC， 并与

25、AUTN 中的MAC 相比较，若 AMF 验证不通过或者XMAC 与MAC 比较不符，则向 MME 发送拒绝认证消息，并放弃该过程。上述两项验证通过后，UE 将计算RES 和 K ，K 由认证过程ASMEASME中产生的密钥CK、IK 和 SNID 根据密钥产生函数s。得到，并将RES 发送给MME。步骤 3 和4 即为认证和密钥协商过程，该过程完成用户与网络的相互认证，并且产生用于用户面、无线资源控制层和非接人层的加密和完整性保护的父密钥；(5)MME 收到UE 发送的RES 后，将RES 与认证向量AV 中的XRES 进行比较，相同则整个认证与密钥协商过程成功。随后的本地认证过程中，接入层

26、和非接入层将采用认证与密钥协商过程中产生的父密钥 KASME根据相应的密钥产生算法生成接人层和非接入层的加密密钥和完整性保护密钥进行通信，否则整个认证与密钥协商过程失败，网络拒绝用户入网。图8 USIM卡中的用户认证功能3.4LTE/SAE 密钥架构为了管理UE 和LTE 接入网络各实体共享的密钥，LTE 定义了接入安全管理实体（ASME），该实体是接入网从HSS 接收最高级（top-level）密钥的实体。对于 LTE 接入网络而言，MME 执行 ASME 的功能。LTE/SAE 网络密钥层次架构如图 9 所示。LTE/SAE 网络的密钥层次架构中包含如下密钥：（1）UE 和HSS 间共享的

27、密钥。K：存储在USIM 和认证中心AuC 的永久密钥； CK/IK：AuC 和 USIM 在 AKA 认证过程中生成的密钥对。图9 LTE/SAE网络密钥层次构架（2）ME 和ASME 共享的中间密钥。K ：UE 和HSS 根据CK/IK 推演得到的密钥。密钥K 作为ASMESAE 特定认证向量响应的部分从HSS 传输到ASME。（3）LTE 接入网络的密钥。ASMEK ：用于推导保护RRC 流量的密钥和UP 流量的密钥；eNBK：用于和特定的完整性算法一起保护NAS 流量；。NASintK：用于和特定的加密算法一起保护NAS 流量；NASencK：用于和特定的加密算法一起保护UP 流量；U

28、PencK：用于和特定的完整性算法一起保护RRC 流量；RRCintK：用于和特定的加密算法一起保护RRC 流量。RRCenc3.5LTE/SAE 安全性激活在 LTE 中，非接入层和接入层分别都要进行加密和完整性保护，它们是相互独立的，它们安全性的激活都是通过SMC 命令来完成的，且发生在 AKA 之后。网络端对终端的非接入层和接入层的激活顺序是先激活非接入层的安全性，再激活接入层的安全性。3.5.1 非接入层的安全模式过程非接人层安全模式命令过程激活非接人层安全，提供非接人层信令数据的完整性和性保护，该过程包含一个在 MME 和 UE 之问往返的消息。MME 发送给UE 一个非接人层(No

29、n-access Strarum，NAS)安全模式命令，UE 回复一个 NAS 安全模式完成消息。从MME 到 UE 的 NAS 安全模式命令消息包含重放的 UE 安全能力、选择的 NAS 算法和标明密钥 K的 KSI ，其中ASMEASMEUE 安全能力包括NAS 安全能力、RRC 和用户面加密和完整性。NAS 安全模式命令消息利用NAS完整性密钥进行完整性保护，该密钥由消息中 KSIASME标明的 KASME密钥产生。UE 验证 NAS 安全模式命令消息的完整性，如果验证成功，UE 开始 NAS 完整性保护并且加解密，发送 NAS安全模式完成消息给MME。NAS 安全模式完成消息利用NAS

30、 安全模式命令消息中选择的加密和完整性保护算法进行加密和完整性保护，密钥基于KSI标明的密钥K。如果NAS 安全ASMEASME模式命令消息的验证没成功，该过程将在 ME 端结束，并且 ME 将不发送NAS 安全模式完成消息。图10 非接入层安全模式过程3.5.2 接入层的安全模式过程接人层安全模式命令激活接人层安全，提供接人层信令数据的完整性保护和性保护，并且提供用户面数据性的保护功能，该过程包含一个在ENB 和 UE 之间往返消息。演进型基站(Evolved Node Base，ENB)发送给 UE 一个接人层(Access Stratum，AS)安全模式命令，然后 UE 回复一个 AS

31、安全模式完成消息。从 ENB 到 UE 的 AS 安全模式命令消息包括所选择的As 算法和KSIASME，该消息由RRC 完整性保护密钥保护，RRC 完整性保护密钥由KASME得到，而 KASME从 KSIASME获得。从 UE 到 ENB 的 AS 安全模式完成消息利用AS 安全模式命令消息中的RRC 完整性保护算法保护，RRC 完整性保护密钥基于密钥K 。如果 AS 安全模式命令过程不ASME成功，该过程将在ME 端终止，ME 将不发送AS 安全模式完成消息。图11接入层安全模式过程3.6LTE/SAE 网络安全域网络域 IP（或 NDS/IP）安全是指在 EPC（分组核心网）/E-UTR

32、AN（接入网）中，对通过网元间接口交换的用户和信令消息进行保护。NDS/IP 不适用于终端网络数据和信令传输， 它们属于用户-网络安全畴。IP 网络的 NDS（Network Domain Security）体系结构如图 12 所示。图12 IP网络的NDS体系结构整个网络是由一个或多个安全域构成的，每个安全域都是网络的一个子集，通常由单独的管理中心进行管理。安全网关位于安全域的边缘，它汇聚了所有进出安全域的数据流。网元可以是属于 E-UTRAN、EPC 和 IMS 域的任意类型网络节点，如 eNode BMME（Mobility Management Entity）、S-CSCF 等。Zb

33、接口通常应用于单个安全域中网元之间或网元与安全网关之间，主要是由运营商进行控制的。相比之下，Za 接口用于连接两个不同安全域的安全网关，需要运营商针对漫游问题进行协商。例如，E-UTRAN 和 EPC 可能是由不同运营商进行管理的，因而属于不同安全域，这样 S1 接口将映射到Za 接口。Za 接口也可以应用于EPC 和 IMS 域之间。NDS/IP 的目标是为网络节点间交换的敏感信息提供安全保护。这些敏感信息包括用户数据、订购信息、认证矢量和网络数据（如MM 上下文、策略和计费信息）以及在 CSCF 节点间交换的IMS 信息。NDS/IP 框架提供三种类型的保护：数据源认证，用于避免接收来自假

34、冒实体发送的分组；数据完整性，用于避免数据在传输过程中被篡改；数据性，用于避免数据在传输过程中被窃听。作为硬件安全需求与处理需求的折衷，不是所有情况下都要用到所有保护机制。例如， 完整性和性保护对于eNode B 和 MME 之间的 S1 接口来说是非常重要的，因为通过该接口需要交换大量的敏感信息（用户密钥、用户身份等）。但是，用户完整性保护对于网络中所有eNode B 和MME 设备来说，并不是必需的。这就是用户平面仅需要进行加密以防止窃听的原因。对于信息来说，LTE 系统中各类接口上可用的NDS/IP 机制如表 1 所示。从 NDS/IP 角度来看，无论网络节点在网络中发挥何种作用，它们都

35、可以看作是纯 IP 节点。因此，3GPP 网络中的 NDS/IP 可以使用 IETF 定义的典型安全流程和机制：网元之间的安全可以通过IPSec 隧道来实现；数据认证、完整性和性保护可以使用隧道模式下的ESP（Encapsulating Security Payload,封装安全载荷）来实现；安全密钥协商可使用IKE（互联网密钥交换）协议来实现。3.7LTE/SAE 安全机制安全性分析本节通过对以上安全机制的剖析，结合 3G 的安全机制特点，具体分析了LTE/SAE 安全机制的安全性：3.7.1 LTE 安全机制优越性在原第三代移动通信的认证与密钥协商机制中，用户和网络之问的相互认证依赖于 U

36、E 和 HSS 共享的秘密密钥K。协议运行成功后，可以达到如下安全目标:：(1)VLR 对 UE 盼认证以及UE 对 HSS 的认证； (2)UE 与 VLR 之间的密钥分配；(3)确保UE 与 VLR 之间密钥的新鲜性。但是该协议也存在一些安全缺陷，具体如下：(1)只有UE 对 HSS 和 VLR 对 UE 的认证，没有UE 对VLR 的认证，易遭受重定向攻击； (2)用户漫游到不同地域时，归属网络会把认证向量发送到漫游网络，易被截获；(3)用户开机注册或初次加入网络，或因特殊情况需要网络无法恢复出用户的IMSI 时， 用户将以明文发送IMSI，易被截获；(4)SQN 序列号重同步缺陷；(5

37、)UE 和 HSS 需要长期共享密钥K，一旦泄露，攻击者可以轻而易举地获得通信的密钥， 从而截获所有用户数据，将对用户产生不可估量的损失；(6)不支持数据签名服务。3GPP 最新发布的LTESAE Release 8 标准对认证与密钥协商协议做了适当修改，在 MME 发送 HSS 的认证数据请求消息中，增加了服务网络的身份信息，并针对 MME 从 HSS 请求多个认证向量情况下的处理机制做了规定，进一步提高了认证与密钥协商协议的安全性：(1)增加了UE 对服务网络的认证。3GPP LTESAE 认证与密钥协商协议中，在从MME 到HSS 的认证数据请求中，增加了服务网络身份标识(SNID)，通

38、过在HSS 侧验证SNID，HSS 可以确保 MME 的合法性，UE 也间接地对服务网络的身份进行了认证。假设 UE 位于家乡网络(HN)，信任虚假基站必须用广播信道广播local SNID。在接到UE 的接入请求后，攻击者通过虚假基站将UE 的请求消息转发到一个外地网络，在请求消息中包含local SNID。外地网络的 MME 收到UE 的连接请求后，将用户身份IMSI，SNID 发送到HN 以请求认证向量，由于此时的SNID 为visit SNID，此时HSS 验证服务两个网络号不相同，拒绝认证向量的请求， 从而防止了虚假基站的重定向攻击；(2)避免了SQN 序列号重同步缺陷。在 3GPP

39、 LTESAE 认证与密钥协商协议中，一次认证与密钥协商过程 MME 尽量保证只从HSS 取一个认证向量，UE 和 MME 分别使用独立的SQN 序列号管理机制。当有多个认证被MME 请求的时候，MME 按序存储这些认证向量，并保证在认证与密钥协商过程中使用编号最小的认证向量，从而可以有效地避免SQN 序列号重同步问题给系统带来的影响。3.7.2 LTE 安全漏洞3GPP LTESAE 认证与密钥协商协议虽然在一定程度上做了适当修改，使得安全性能大幅度提高，但是仍然存在用户认证向量易被截获、IMSI 用户身份泄露的安全缺陷，恶意人侵者可以通过监听信号获得用户IMSI 信息，假冒用户身份入网，另

40、外可以通过在网络域截获用户认证向量，获取通信的密钥，此时恶意入侵者即可以享受完全的加密通信。此外，UE 和 HSS 长期共享密钥K 以及不支持数据签名服务也给系统带来了潜在的安全问题。3.7.2.1私钥密码体制的缺陷LTE/SAE 仍然只采用了私钥密码体制，而未采用公钥密码体制。但采用私钥密码体制来实现对通信信息的加密，其本身存在许多局限性。虽然私钥密码体制具有安全性能高，算法处理速度快的优点，但私钥密码体制采用共享密钥的密钥管理方式，由此产生了移动通信网络间复杂而棘手的认证密钥安全管理问题，容易引起移动用户与运营商之间难以解决的付费纠纷问题。另外，在私钥密码体制下UE 和网络只有建立了安全关

41、联以后才能提供空中接口的安全，造成在安全关联建立之前的信令不能被保护，因此IMSI 保护等问题始终得不到较好的解决。3.7.2.2eNB 的脆弱性由于 eNB 可以部署在非安全的环境中，因此 eNB 将面临多种攻击，如被攻击者非法占领控制（3GPP 认为这种攻击发生的概率较大），造成eNB 部使用的密钥被泄露，使网络接入安全面临严重威胁。当 eNB 被攻击者非法占领控制时，那么目前UE 切换时的密钥管理方法存在如下缺陷： 目标 eNB 上使用的密钥 KeNB 基于源 eNB 上的密钥 KeNB 推演得到，因此攻击者获取源 eNB 上使用的密钥KeNB 后，可以推演得到目标eNB 上使用的密钥K

42、eNB，进而导致威胁进一步向以后的eNB 扩散，因此当 UE 进行越区切换时接入层密钥（KeNB）的更新不具有后向安全性。参考文献：1 3GPP TS 35201Specification of the 3GPP confidentiality and integrity algorithms；Document：f8 and9 specifications2 3GPP TS 33. 401 V8, 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; 3GPP

43、 System Architecture Evolution ( SAE) ; Security architecture S .3 3GPP TS 33.102.2008-12, 3G Security：Security ArchitectureS4 3GPP TS 33120 3G Security: Security principles and objective5 3GPP TR 33.821.2007-05, Rationale and track of security decisions in Long Term Evolved (LTE) RAN / 3GPP System

44、Architecture Evolution (SAE) S6 3GPP.TS 36.323 V8, 3rd Generation Partnership Project; Technical Specification Group Radio Access Network; Evolved Universal Terrestrial Radio Access(E-UTRA); Packet Data Convergence Protocol(PDCP) specificationS.7 3GPP TS 23057 Mobile Station Application Execution En

45、vironment8 Information technologySecurity techniquesEntity authenticationPart 4： Mechanisms using a cryptographio check function9 3GPP TS 23002：”Network Architecture”10 3GPPTS 33103 3G security: Integration guidelines11 3GPPTS 43020: Security-related network function12 3GPP TS.36323“Evolved Universal Terrestrial Radio Access(E-UTRAN)；Packet Data Convergence Protocol(PDCP) specification” 200913 Juang Wen -Shen, Wu Jing - Lin. Efficient