向東南，毛文俊

(重慶郵電大學(xué) 通信與信息工程學(xué)院，重慶 400065)

?

LTE系統(tǒng)EPS-AKA過程安全性研究與改進

向東南，毛文俊

(重慶郵電大學(xué) 通信與信息工程學(xué)院，重慶 400065)

研究了長期演進(Long Term Evolution，LTE)系統(tǒng)的認證和密鑰協(xié)商(EPS-AKA)過程，分析了鑒權(quán)過程中存在的安全缺陷，如歸屬用戶服務(wù)器(Home Subscriber Server，HSS)鑒權(quán)用戶設(shè)備(User Equipment，UE)時，HSS產(chǎn)生的用于產(chǎn)生其他密鑰的隨機數(shù)RAND，在發(fā)給UE的時候是未加密的。同時，許多參數(shù)的產(chǎn)生通過調(diào)用函數(shù)，輸入值為一個密鑰，會很容易被破解。通過分析，提出了一種改進方案，該方案解決了鑒權(quán)過程中RAND暴露的問題，并在生成其他參數(shù)時采用了密鑰對機制，增加了所產(chǎn)生參數(shù)的安全級別，使LTE系統(tǒng)更加安全。

LTE；EPS-AKA；密鑰對；安全缺陷

0　引言

LTE是第三代合作伙伴計劃(3rd Generation Partnership Project，3GPP)推薦的4G無線移動寬帶系統(tǒng)之一，滿足了用戶對多媒體服務(wù)質(zhì)量的需求以及互聯(lián)網(wǎng)應(yīng)用和服務(wù)的日益增長的要求，成為了當(dāng)今研究的熱點。它提供了上、下行分別為50 Mbps和100 Mbps的峰值速率，降低了時延，提高了小區(qū)容量[1]。

設(shè)計LTE網(wǎng)絡(luò)的目的在于簡化系統(tǒng)結(jié)構(gòu)，它由現(xiàn)有的通用移動通信系統(tǒng)(Universal Mobile Telecommunication System，UMTS)[2]電路域加上分組交換網(wǎng)絡(luò)成為全IP的扁平化架構(gòu)系統(tǒng)[3-4]。在核心網(wǎng)部分，原來的功能實體歸并為兩大新的邏輯成員：移動管理實體(Mobile Management Entity，MME)和服務(wù)網(wǎng)關(guān)(Serving Gateway，S-GW)[5]。這樣的改變導(dǎo)致將系統(tǒng)的安全工作分配給了MME，包括鑒權(quán)、密鑰協(xié)商和會話管理。EPS-AKA是當(dāng)UE進入eNodeB(即基站)通信區(qū)域，同MME/HSS進行相互鑒權(quán)過程。該過程仍然存在一些不足，例如認證向量(Authentication Vector，AV)由MME傳送到UE時未受到加密保護，隨機數(shù)RAND暴露等問題。在本文中列出了這些問題，并提出了改進。

1　EPS-AKA過程

LTE鑒權(quán)過程如圖1所示，描述如下：

① UE發(fā)送附著請求給MME，其中包括國際移動用戶識別碼(International Mobile Subscriber Identity，IMSI)、UE安全能力和密鑰集指示KSIASME；

圖1　LTE鑒權(quán)過程

② MME接收到附著請求，發(fā)送鑒權(quán)數(shù)據(jù)請求給HSS，其中包括IMSI、服務(wù)網(wǎng)絡(luò)ID(簡稱SNID)和網(wǎng)絡(luò)類型；

③ HSS接收到請求后，首先認證IMSI和SNID，如果網(wǎng)絡(luò)類型為演進的通用陸地?zé)o線接入網(wǎng)(Evolved Universal Terrestrial Radio Access Network，E-UTRAN)，HSS則使用密鑰K計算出加密密鑰(Cipher Key，CK)，完整性密鑰(Integrity Key，IK)，然后生成序列號SQN和隨機數(shù)RAND，計算出隱藏序列號SQN的匿名密鑰AK。將CK和IK作為輸入密鑰，使用SN ID、SQN和AK計算出KASME。然后生成認證向量AV(1...n)，并將認證數(shù)據(jù)響應(yīng)AV(1 ...n)發(fā)送給MME。AV包括：隨機數(shù)、KASME、XRES和鑒權(quán)令牌(AUTN)[6]；

④ HSS回復(fù)MME認證數(shù)據(jù)響應(yīng)包含AV；

⑤ MME產(chǎn)生用戶鑒權(quán)請求，包括RAND、AUTN和KSIASME，其中KSIASME用于標(biāo)記/產(chǎn)生KASME，以保證UE產(chǎn)生和HSS一樣的KASME；

⑥ MME將鑒權(quán)請求發(fā)給UE；

⑦ UE根據(jù)從MME接收到的請求，如圖3所示，UE使用加密函數(shù)f1生成XMAC，檢驗XMAC與接收到的AUTN的MAC是否相同。如果不同，UE則丟棄該請求消息。否則，說明MME通過鑒權(quán)，UE使用f2計算RES。UE進一步使用自己安全密鑰、RAND以及f3、f4分別生成CK和IK。之后，可以利用KSIASME、SN ID、CK和IK計算KASME；

⑧ UE發(fā)送包含RES的用戶鑒權(quán)響應(yīng)給MME；

⑨ MME接收到響應(yīng)后，比較之前從HSS接收的AV中的XRES和RES是否相同，如果不同，MME則拒絕該連接。否則說明UE鑒權(quán)成功，UE和MME/HSS完成了相互鑒權(quán)。

2　EPS-AKA過程安全缺陷分析

上述的鑒權(quán)過程，會存在以下幾個問題。

(1) 在步驟②和步驟④中，MME和HSS之間相互發(fā)送的信息未受保護。MME和HSS連接可能是有線或無線。如果是無線，黑客更容易攔截一些重要的參數(shù)，例如AV中傳遞的RAND和KSIASME。同樣，在步驟⑥中，MME發(fā)送給UE的用戶鑒權(quán)請求也是沒有加密的，所以黑客可以通過攔截消息輕易地獲得RAND、AUTN和KSIASME。其中，RAND作為產(chǎn)生XRES和RES的密鑰之一，如圖2和圖3所示，也是計算CK、IK和AK等的參數(shù)之一，它的泄露必定對LTE安全系統(tǒng)帶來嚴重的安全隱患[7-8]。

圖2　認證向量的生成

圖3　USIM卡中的用戶認證功能

(2) KASME可以通過KSIASME、SN ID、CK和IK生成，如圖2所示，其中CK和IK分別由f3和f4，使用密鑰K和RAND作為輸入?yún)?shù)生成。一旦密鑰K被破解了，黑客通過竊聽傳遞的AV中的RAND，就可以計算出KASME，從而危及到數(shù)據(jù)傳輸?shù)陌踩玔9]。

(3) AUTN中傳送的AK受到SQN的保護，如圖2所示，所以它的安全性比XRES高。但SQN是對UE重新驗證的序列號。每次當(dāng)HSS對UE重新驗證時，SQN的值將加1。因此，雖然它最初是一個隨機值(32 bit)，如果黑客知道SQN的范圍，他們很容易猜到接下來重新驗證的SQN值，因此提高了從SQN⊕AK中泄露AK的可能性[10-11]。

3　EPS-AKA安全性增強機制

文獻[12]提出一個新的簡單且強大的基于改進代理簽名的認證方案，文獻[13]提出了快速安全切換認證方案，但2種方案都產(chǎn)生大量的計算成本和電池消耗。本文利用密鑰對和Diffie-Hellman算法來解決了第2節(jié)中的問題。

3.1利用密鑰對提高LTE安全水平

密鑰對是僅發(fā)送端知道的一對密鑰，如UE或HSS，也可以稱它們?yōu)榘踩荑€，用于加密和生成數(shù)據(jù)，該密鑰不在因特網(wǎng)和移動網(wǎng)絡(luò)中傳送，因此它們很安全。目前，所有f2～f5計算中僅有一個安全密鑰加密，例如HSS產(chǎn)生AK，K是唯一安全的密鑰，它不被傳送，但是RAND在不加密的情況下傳送。這意味著需要另一個安全密鑰，通過增加另一個安全密鑰來提高所產(chǎn)生的密鑰的安全級別。

3.2生成多個密鑰

如圖4所示，產(chǎn)生了AK1和AK2代替AK，以及KASME1和KASME2代替KASME。一旦有更多的安全密鑰可用，將極大地提高LTE的安全級別，有利于安全參數(shù)的產(chǎn)生和設(shè)計加密/解密算法。

圖4　認證向量生成的密鑰對

實際上，使用一對密鑰將增加UE和MME/HSS的密鑰數(shù)目，這意味著將需要產(chǎn)生更多的密鑰來加密傳輸數(shù)據(jù)，如傳遞的UE安全能力、加密算法、NAS完整性算法和MAC，因而提高了數(shù)據(jù)的保密性，因為黑客不知道UE和MME/HSS是如何對數(shù)據(jù)加密的。

3.3增強SQN和AMF的功能

如上所述，SQN受到安全密鑰AK的保護，黑客無法輕易的獲得SQN。在本文中增強了SQN的特性，通過把它從一個序列號改變成一個隨機數(shù)。即，SQN現(xiàn)在是一個密鑰，可用來作為f2和f3的第3個輸入?yún)?shù)，因此XRES將會被一對密鑰保護，即SQN和密鑰K。雖然密鑰K是一個固定值，增加了隨機值后，黑客很難反破解它。

而且，如果使用SQN作為f3的第3個輸入密鑰，如圖4所示，破解KASME的復(fù)雜性將更高。萬一密鑰K因為其他的安全漏洞被破解，KASME仍是安全的。另外因為SQN現(xiàn)在是隨機產(chǎn)生的一個密鑰，黑客無法通過猜測獲得SQN，然后獲得AV值。

同樣，將AMF作為AK的第3個輸入?yún)?shù)，使AK受到更好的保護。這樣，黑客將很難獲得密鑰K，從而破解AV。

3.4使用Diffie-Hellman算法解決暴露RAND的問題

為了解決RAND暴露的問題，可以在傳輸附著請求之前，由UE隨機產(chǎn)生一個隨機數(shù)RUE作為隨機密鑰。接下來，UE利用Diffie-Hellman算法[14]計算A=gRUEmodp，其中p是普通素數(shù)，g是原始根。然后UE將Attach Request傳輸給MME，其中包含A。當(dāng)MME接收到附著請求時，MME將它轉(zhuǎn)發(fā)給HSS。當(dāng)HSS收到后，產(chǎn)生隨機數(shù)作為隨機密鑰，例如RHSS，計算KRAND=ARHSSmodp，利用Diffie-Hellman算法產(chǎn)生KRAND作為共享密鑰(僅UE和HSS共有，KRAND將不被傳送)，并計算B=gRHSSmodp。當(dāng)HSS把AV傳給MME，AV中原來的RAND將由B取代。之后，MME將這些數(shù)據(jù)傳給UE。UE收到B，開始計算KRAND。但如果在傳送過程中B被黑客捕獲，他也無法獲得或修改KRAND，由此可知用隨機數(shù)KRAND取代原來的RAND，可以得到更好的保護。

綜上，通過使用密鑰對，可以提高被破解的復(fù)雜度。生成多個密鑰，可以提高系統(tǒng)的安全級別。在計算密鑰時，將AMF和SQN作為輸入?yún)?shù)，使得黑客很難反破解。通過使用Diffie-Hellman算法，可以更好地保護RAND。

4　結(jié)束語

通過利用Diffie-Hellman算法來解決RAND暴露的問題，從而增加破解生成參數(shù)的復(fù)雜度。使用密鑰對不僅增加了鑒權(quán)和數(shù)據(jù)傳輸?shù)陌踩墑e，也增加了LTE選擇參數(shù)的復(fù)雜性。原來的參數(shù)僅受到密鑰K的保護，現(xiàn)在受到至少2個安全密鑰保護。而且，該方法不需要修改LTE的架構(gòu)，很容易實施并能增強LTE的安全水平。

[1]姜怡華,許慕鴻,習(xí)建德,等.3GPP系統(tǒng)架構(gòu)演進(SAE)原理與設(shè)計[M].北京:人民郵電出版社,2010:120-122.

[2]3GPP TR33.821.3rd Generation Partnership Project.Technical Specification Group Service and System Aspects.Rationale andTrack of Security Decisions in Long Term EvolvedRAN /3GPP System Architecture Evolution(Release 9)[R],2009:34-68.

[3]向東南,申敏,陳政貴.LTE核心網(wǎng)安全缺陷的研究[J].無線電通信技術(shù)，2016,42(1):31-34.

[4]3GPP TS33.401.3rd Generation Partnership Project.Technical Specification Group Service and System Aspects.3GPP System Architecture Evolution/Security Architecture.(Release 12)[R]，2014：45-78.

[5]方強.演進的3GPP系統(tǒng)架構(gòu)分析[J].無線電通信技術(shù),2010,36(2):13-15.

[6]Koien G M.Mutual Entity Authentication for LTE.7th International WirelessCommunications and Mobile Computing Conference[C]//IWCMC 2011,Istanbul,Turkey,2011:689-694.

[7]Purkhiabani M,Salahi A.Enhanced Authentication and Key Agreement Procedure of next Generation 3GPP Mobile Networks[C]//International Journal of Information and Electronics Engineering,2012:69-77.

[8]Cao J,Ma M.An Uniform Handover Authentication between E-UTRAN and Non-3GPP Access Networks[C]//Wireless Communication,2012:3644-3650.

[9]陳發(fā)堂,袁金龍,吳增順.鑒權(quán)與密鑰協(xié)商過程在LTE系統(tǒng)中的改進[J].電子技術(shù)應(yīng)用，2012,38(7):147-150.

[10]Purkhiabani M,Salahi A.Enhanced Authentication and Key Agreement Procedure of Next Generation Evolved Mobile Networks.Proc[C]//IEEE 3rd International Conference on Communication Software and Networks(ICCSN),2011:557-563.

[11]Cao J,Li H,Ma M.A Simple and Robust Handover Authentication between HeNB and eNB in LTE Networks.Computer Networks[C]//2012:2119-2131.

[12]Li X,Wang Y.Security Enhanced Authentication and Key Agreement Protocol for LTE/SAE Network[C]//Proc.Wireless Communications,Networking and Mobile Computing,2011:1-4.

[13]Purkhiabani M,Salahi A.Enhanced Authentication and Key Agreement Procedure of Next Generation Evolved Mobile Networks[C]//Proc.IEEE 3rd International Conference on Communication Software and Networks(ICCSN),2011:557-563.

[14]Huang Y F,Leu F Y,Chiu C H,etal.Improving Security Levels of IEEE802.16e Authentication by Involving Diffie-Hellman PKDS[J].Journal of Universal Computer Science,2011:891-911.

Research and Improvement of LTE EPS-AKA Procedure Security

XIANG Dong-nan,MAO Wen-jun

(School of Communication and Information Engineering,Chongqing University of Posts and Telecommunications,Chongqing 400065,China)

In this paper,the LTE Authentication and Key Agreement(EPS-AKA)procedure is studied and the security flaws in the authentication process are analyzed.For example,when its HSS authenticates a UE,the random number RAND generated by HSS for creating other keys is unencrypted during its delivery from HSS to UE.Also,many parameters are generated by invoking a function with only one input key,thus they are very easy to be cracked.So,the paper presents an improvement scheme,in which the exposure of RAND in the authentication process is avoided,and a key-pair mechanism is adopted when creating other parameters.The security level of all the parameters is increased,making the LTE system more secure.

LTE;EPS-AKA;key pair;security flaw

10.3969/j.issn.1003-3114.2016.05.15

引用格式：向東南，毛文俊.LTE系統(tǒng)EPS-AKA過程安全性研究與改進[J].無線電通信技術(shù),2016,42(5):60-63.

2016-05-12

國家科技重大專項基金資助項目(2012ZX03001012)

向東南(1990—)，女，碩士研究生，主要研究方向：移動通信網(wǎng)絡(luò)安全。毛文俊(1988—)，男，碩士研究生，主要研究方向：移動通信。

TN929.5

A

1003-3114(2016)05-60-4