朱詩兵，周 赤，李長青

(1.裝備學(xué)院 信息裝備系，北京 101416；2.陸軍航空兵學(xué)院 指揮系，北京 101100)

LTE網(wǎng)絡(luò)切換密鑰更新方案分析與改進(jìn)

朱詩兵1，周 赤2，李長青1

(1.裝備學(xué)院 信息裝備系，北京 101416；2.陸軍航空兵學(xué)院 指揮系，北京 101100)

LTE用戶切換時的密鑰管理在很大程度上關(guān)系著用戶安全，切換密鑰管理包括密鑰的生成、分發(fā)、更新和撤銷。對現(xiàn)有長期演進(jìn)(Long Term Evolution，LTE)網(wǎng)絡(luò)切換密鑰管理更新機(jī)制進(jìn)行簡要介紹，包括X2和S1切換密鑰更新方案。針對X1切換僅有兩跳前向密鑰隔離的安全缺陷，借鑒S1切換方案設(shè)計思想，提出一跳前向密鑰隔離的X2切換密鑰更新方案(OFKS-X2)，并對OFKS-X2密鑰更新方案進(jìn)行了安全性和實用性分析。結(jié)果表明，OFKS-X2密鑰更新方案能夠提供一跳前向密鑰隔離，對協(xié)議有效性影響不大，且用戶的消息工作量沒有變化，網(wǎng)絡(luò)側(cè)的消息處理復(fù)雜度略有增加，用戶側(cè)計算量基本不變，網(wǎng)絡(luò)側(cè)計算量略有增加。

LTE；切換密鑰管理；X1切換；S1切換；一跳前向密鑰隔離

0 引言

LTE技術(shù)是我國主推的第4代移動通信技術(shù)，尤其是其中的TDD部分(即TD-LTE[1-2])。一方面是由于我國擁有自主研發(fā)知識產(chǎn)權(quán)，另一方面是由于TD-LTE可以與TD-SCDMA很好地兼容，具有廣闊的市場前景，得到我國政府和主要通信廠商的大力支持[3-4]。盡管LTE的安全機(jī)制相對前3代移動通信技術(shù)有所改善，但仍然無法完全滿足某些對安全性有較高要求的使用場合，需要進(jìn)行適應(yīng)性改進(jìn)。其中用戶切換機(jī)制常常成為攻擊者的目標(biāo)，而LTE切換密鑰管理與切換的安全性密切相關(guān)。

本文首先介紹LTE的切換密鑰管理[5-6]，包括X2切換密鑰更新方案和S1切換密鑰更新方案，對LTE切換密鑰更新方案進(jìn)行安全性分析；針對X2切換密鑰更新方案只能提供兩跳前向密鑰隔離這一安全缺陷，借鑒S1切換密鑰更新方案的思想，提前MME參與協(xié)議的時間，使得MME在UE接到源基站發(fā)送來的切換到目標(biāo)基站的命令之前，就為目標(biāo)基站提供新鮮的密鑰材料。在此基礎(chǔ)上提出一跳前向密鑰分離OFKS-X2(One-hop Forward Key Separation，OFKS)密鑰更新方案；最后針對2類攻擊模型對OFKS-X2密鑰更新方案的安全性、有效性進(jìn)行分析。

1 LTE切換密鑰管理過程分析

1.1 LTE切換中的密鑰推演

LTE中有2種切換類型：X2切換[7]和S1切換[8]，這是以切換時主要切換信令傳輸時經(jīng)由的接口命名的，LTE密鑰管理[9]如圖1所示。當(dāng)用戶移動時，可能會從一個eNB(源eNB)移動到同一個MME管理下的另一個eNB(目標(biāo)eNB)，這種移動會導(dǎo)致用戶在2個eNB之間進(jìn)行切換，該切換是通過X2接口實現(xiàn)的，因此這種切換被稱為X2切換。當(dāng)源eNB和目標(biāo)eNB之間不存在X2接口連接，或者源eNB發(fā)起的X2切換沒有成功時，或者源eNB通過一些動態(tài)信息會做出基于S1接口發(fā)起的切換決定，這種切換稱為S1切換。

圖1 LTE密鑰管理

密鑰更新材料是由移動性管理實體[10](Mobility Management Entity，MME)和用戶設(shè)備[11](User Equipment，UE)基于下一跳密鑰(Next-Hop key，NH)和本地主密鑰KASME生成的。密鑰更新步驟如下：

NH0=KeNB-0=KDF(KASME,NASuplinkCOUNT)，

(1)

NH1=KDF(KASME,KeNB-0)，

(2)

NHNCC+1=KDF(KASME,NHNCC)。

(3)

首先AS安全建立，MME和UE利用KASME推算出KeNB和臨時參數(shù)NH。并且每個NH參數(shù)都有一個NH鏈計數(shù)器(NCC)與其相對應(yīng)。初始的KeNB-0由KASME和NASuplinkCOUNT(上行NAS COUNT)推演出來，對應(yīng)的NCC設(shè)為0。同時MME和UE也利用KASME和KeNB-0將NH1推算出來，對應(yīng)的NCC值為1。

NCC是一個3位的NH的密鑰索引(其值為0～7)，通過切換命令信令發(fā)送到UE。從UE的角度，NCC的值不會減小，因為UE在推演NH值時不能倒退，而且沒有存儲舊的NH值。所以，如果UE在切換命令中收到的NCC值比當(dāng)前使用的KeNB的NCC值要大，UE會在同步{NH,NCC}參數(shù)值之后，進(jìn)行垂直推演(式(5))。否則，UE會進(jìn)行水平推演(式(4))。

KeNB*=KDF(NHNCC,PCI,EARFCN-DL)，

(4)

KeNB*=KDF(KeNB,PCI,EARFCN-DL)。

(5)

式中，PCI(Physical Cell ID)為目標(biāo)小區(qū)的物理小區(qū)標(biāo)識；EARFCN-DL(EUTRAN Absolute Radio Frequency Channel Number-Down Link)為E-UTRAN絕對頻率信道值—下行鏈路。

式(4)表示水平推演過程，在源基站不存在可用的{NH，NCC}對時運行。式(5)表示垂直推演過程，此時源基站(X2切換)或目標(biāo)基站(S1切換)中存在可用的{NH,NCC}對，并可以利用它推演出新鮮的KeNB*。

1.2 LTE中的切換密鑰更新方案

LTE的X2切換密鑰更新方案流程[12]如圖2所示。

圖2 LTE中X2切換密鑰更新方案流程

具體的流程描述如下：

(0a)～(0e) UE和HSS初始化下一跳密鑰NH，在UE建立初始化AS上下文時運行。MME通過S1AP(S1：S1接口；AP：Application Protocol，應(yīng)用協(xié)議)將NH和NCC通初始化上下文請求傳送給eNB。

(1～5) UE向源eNB發(fā)送測量報告消息；源eNB做出進(jìn)行切換判決并做出切換決定；源eNB向目標(biāo)eNB發(fā)送包含NCC的切換請求消息；目標(biāo)eNB向源eNB返回包含目標(biāo)PCI的切換請求應(yīng)答消息。在收到切換請求應(yīng)答消息之后，源eNB由NH，目標(biāo)PCI和EARFCN-DL計算出KeNB*。計算KeNB*子過程如圖3所示。

圖3 KeNB*計算子過程

(6～10) 源eNB將計算出的KeNB*發(fā)送給目標(biāo)eNB，此消息還包含當(dāng)前的RRC/UP算法標(biāo)識。目標(biāo)eNB更新KeNB，并推算出用戶平面(User Plane，UP)和無線資源控制(Radio Resource Control，RRC)密鑰。KeNB更新過程如圖4所示。

目標(biāo)eNB向源eNB發(fā)送切換命令消息，包含目標(biāo)eNB為用戶生成的新的小區(qū)無線網(wǎng)絡(luò)的臨時標(biāo)識符(Cell Radio Network Temporary Identifier，C-RNTI)及選定的RRC/UP算法。收到切換命令消息后，源eNB向用戶發(fā)送切換命令，包含NCC值，目標(biāo)PCI，EARFCN-DL和目標(biāo)eNB選定的算法標(biāo)識。UE進(jìn)行NH同步，計算KeNB*，更新KeNB并推導(dǎo)UE、RRC密鑰。NH同步子過程如圖5所示。

圖4 KeNB更新過程

圖5 NH同步子過程

(11～15) UE存儲新的NH值，即NH=NH*；NCC=Temp-NCC，并釋放臨時變量NH*和Temp-NCC。UE向目標(biāo)eNB發(fā)送切換確認(rèn)消息。目標(biāo)eNB向MME發(fā)送路徑切換消息，以更新數(shù)據(jù)路由，此消息包含NCC值。MME向服務(wù)網(wǎng)關(guān)(S-GW)發(fā)送用戶面更新請求。MME計算NCC[+1]=NCC+1，并進(jìn)行NH同步。

(16～19) 服務(wù)網(wǎng)關(guān)向MME返回用戶面更新應(yīng)答消息。MME向目標(biāo)eNB發(fā)送路徑切換應(yīng)答消息，以提供NH*[+1]和NCC[+1]值用于下一次切換。MME存儲新的NH值，即令NH=NH*[+1]；NCC=NCC[+1]。目標(biāo)eNB向源eNB發(fā)送資源釋放消息，以使源eNB釋放相應(yīng)資源。

LTE的S1切換密鑰更新方案流程如圖6所示。NH=KDF(KASME，最新NCC)。

圖6 LTE中S1切換密鑰更新方案流程

具體流程描述如下：

1.UE向源eNB發(fā)送測量報告消息；

2. 源eNB進(jìn)行切換判決并作出切換決定；

3. 源eNB向MME發(fā)送切換需求消息；

4a.、4b. 收到切換需求消息后，MME利用本地存儲數(shù)據(jù)計算新的{NH,NCC}并存儲；

5. MME向目標(biāo)eNB發(fā)送S1切換請求消息，包含{NH,NCC}對；

6. 在收到切換請求消息之后，目標(biāo)eNB通過切換請求消息中的NH，目標(biāo)PCI和EARFCN-DL計算出KeNB*，并推導(dǎo)出UP、RRC密鑰，其中KeNB*計算過程與X1切換中的相同；

7. 目標(biāo)eNB向MME發(fā)送切換請求應(yīng)答消息，包含目標(biāo)PCI；

8. MME向源eNB發(fā)送切換命令消息，包含NCC和目標(biāo)PCI；

9. 收到切換命令消息后，源eNB向用戶發(fā)送切換命令消息，包含NCC值，目標(biāo)PCI，EARFCN-DL和目標(biāo)eNB選定的算法標(biāo)識；

10a.～10c. UE進(jìn)行NH同步，計算KeNB*，更新KeNB并推導(dǎo)UE、RRC密鑰。

NH同步子過程和KeNB*計算子過程與X1切換中相同。步驟11～19與X2切換中的步驟11～19相同。

2 LTE切換密鑰管理安全性分析

LTE中，源基站在計算目標(biāo)基站密鑰KeNB*時使用單向函數(shù)作為KDF，這樣目標(biāo)基站就無法推演出UE在源基站中使用的密鑰KeNB。因此LTE可以提供一跳后向密鑰隔離。

值得注意的是，在S1切換中MME推演出新鮮的{NH,NCC}對，并將其直接提供給目標(biāo)基站，這樣源基站就無法得知KeNB*，即S1切換可以提供一跳前向密鑰隔離。而X2切換只能提供兩跳前向密鑰隔離，這是由于X2切換中，源基站知道{NH,NCC}對和KeNB*，但是在兩跳之后，由于源基站無法獲知X2切換之后路徑轉(zhuǎn)換信令中提供的{NH,NCC}對，源基站將無法獲知下一個KeNB*，即KeNB**。

LTE推薦的S1切換密鑰更新方案可以提供一跳前向隔離，而X2切換只能提供兩跳前向隔離，這將為LTE網(wǎng)絡(luò)安全[13-14]埋下隱患，需對X1切換密鑰更新方案進(jìn)行相應(yīng)改進(jìn)。

3 一跳前向密鑰隔離X2切換密鑰更新方案

OFKS-X2密鑰更新方案設(shè)計構(gòu)想：源eNB無法獲知目標(biāo)eNB推導(dǎo)新密鑰時所需的全部密鑰材料；MME在UE接到源基站發(fā)送的切換到目標(biāo)基站的命令之前，為目標(biāo)基站提供新鮮的密鑰材料；直接在目標(biāo)eNB中完成KeNB*的計算并更新，而不再通過源eNB傳送。

借鑒S1切換密鑰更新方案，在LTE建議的X2切換密鑰更新方案的基礎(chǔ)上，從設(shè)計思路出發(fā)，本文設(shè)計的OFKS-X2密鑰更新方案的實現(xiàn)過程如圖7所示。

由圖7可以看出，OFKS-X2密鑰更新方案實現(xiàn)了最初的設(shè)計思路想，相比原方案，OFKS-X2密鑰更新方案的實現(xiàn)過程做出了以下改變：

① 增加了以下步驟：

步驟4*在收到源eNB發(fā)來的切換請求消息后，目標(biāo)eNB向MME發(fā)送密鑰更新請求消息，包含NCC。這樣就如S1密鑰更新方案一樣，MME在切換之前就收到了路徑切換的通知。

步驟5*在收到目標(biāo)eNB發(fā)來的密鑰更新請求消息后，MME將收到的NCC加1，進(jìn)行一次NH同步，并儲存新鮮的{NH,NCC}對。

此步驟使得本方案中計算KeNB*的輸入與LTE方案中的不同，LTE方案計算KeNB*的輸入是源eNB存儲的NH值，而本方案的輸入是原NCC+1，這是實現(xiàn)一跳前向密鑰隔離的關(guān)鍵。

步驟6*MME將新鮮的{NH,NCC}對通過密鑰更新請求應(yīng)答消息返回給目標(biāo)eNB。

通過步驟5和步驟6，MME就在UE接到源基站發(fā)送來的切換到目標(biāo)基站的命令之前，為目標(biāo)基站提供新鮮的密鑰材料。

步驟7*在收到MME發(fā)來的密鑰更新請求應(yīng)答消息后，目標(biāo)eNB由收到的NH，目標(biāo)PCI和EARFCN-DL計算出KeNB*，更新KeNB并推算出UP和RRC密鑰。更新KeNB的過程跟EPS-AKA相同。

這樣就直接在目標(biāo)eNB中完成了KeNB**的計算，而不再通過源eNB傳送。

圖7 OFKS-X2密鑰更新方案

② 減去了LTE原有X2密鑰更新方案中的步驟4、步驟5、步驟6和步驟7。其中步驟5～7由步驟7*取代。這樣源eNB只能通過目標(biāo)eNB發(fā)來的切換請求應(yīng)答消息得知最新的NCC值，但由上述公式知道，推導(dǎo)NH值需要KASME，而只有UE和MME知道KASME，其他實體無法獲知，包括源eNB，這樣源eNB無法獲知目標(biāo)eNB推導(dǎo)新密鑰時所需的全部密鑰材料(即無法獲知最新的NH值)。

除上述改變外，OFKS-X2密鑰更新方案保持LTE原有X2密鑰更新方案的其他步驟不變，最大限度地繼承了原有方案的密鑰和命令消息。

4 OFKS-X2密鑰更新方案分析

4.1 安全性分析

針對2類攻擊模型對本方案的安全性進(jìn)行分析。

① 攻擊者只能獲取空口信號。在這種情況下，攻擊者可以得到所有的空口信號，并獲取其中的密鑰材料，包括C-RNTI、PCI、最新的NCC以及目標(biāo)eNB選定的接入層密碼算法標(biāo)識。新密鑰的推導(dǎo)綁定了最新NH、C-RNTI、PCI等參數(shù)，即KeNB**=KDF(KeNB*，C-RNTI)=KDF(KDF(最新NH，PCI)，C-RNTI)，最新NH=KDF(KASME，最新NCC)，其中的KASME只為UE和MME所知，并且不會在空口傳輸，因此只能獲取空口信號的攻擊者是無法獲知最新NH的，也就無法推導(dǎo)出新的KeNB**。因此本方案可以有效對抗此類攻擊。

② 攻擊者除能獲取空口信號，還能完全控制源eNB。此種情況下，攻擊者不僅能夠獲得空口信號中的所有密鑰材料，還能夠獲取存儲在源eNB中的密鑰材料，包括當(dāng)前的KeNB、NH、PCI和C-RNTI。跟模型一中情況一樣攻擊者仍不能得到KASME，攻擊者是無法獲知最新NH的，也就無法推導(dǎo)出新的KeNB**。因此本方案可以有效對抗此類攻擊。

4.2 有效性分析

下面以協(xié)議的執(zhí)行效率作為標(biāo)準(zhǔn)，對OFKS-X2密鑰更新方案性能進(jìn)行分析。相比于現(xiàn)有LTE方案：

① 用戶的消息工作量沒有變化，網(wǎng)絡(luò)側(cè)的消息處理復(fù)雜度略有增加。

和現(xiàn)有的LTE方案相比，本方案在目標(biāo)eNB和MME之間增加了2條消息：一條是目標(biāo)eNB向MME發(fā)送的密鑰更新請求消息(圖7中消息4*)，為MME提供NCC，以供其進(jìn)行NH同步，產(chǎn)生新鮮的密鑰材料；另一條是MME向目標(biāo)eNB發(fā)送的密鑰更新請求應(yīng)答消息(圖7中消息6*)，為目標(biāo)eNB提供新鮮密鑰材料，以供其生成的新的KeNB。增加了網(wǎng)絡(luò)域消息處理復(fù)雜度。但是，本方案沒有變動用戶和eNB之間交互的消息流，從用戶角度來看，本方案消息工作量沒有變化，并且獲得了更強(qiáng)的安全保護(hù)。

② 用戶側(cè)的計算量基本不變，網(wǎng)絡(luò)側(cè)的計算量略有增加。

和現(xiàn)有的LTE方案相比，本方案用戶側(cè)的密鑰推導(dǎo)過程依然經(jīng)歷了4個子過程：NH同步、存儲新的NH值、計算KeNB*、更新KeNB并推導(dǎo)UP、RRC密鑰，因此本方案中用戶側(cè)的計算量與LTE方案相比基本沒變。目標(biāo)eNB的計算量略有增加，這是因為本方案中目標(biāo)eNB中增加了計算KeNB*的過程(圖7中消息7*)。MME的計算量比LTE方案略有增加，這是由于為了實現(xiàn)一跳前向密鑰隔離，相對原方案，本方案中MME在協(xié)議開始時增加了一次NH同步的過程(圖7中步驟5)。

綜上所述，雖然為實現(xiàn)一跳前向密鑰隔離，OFKS-X2密鑰更新方案增加了網(wǎng)絡(luò)域的消息處理復(fù)雜度，但是從用戶角度看，本方案在消息工作量沒有變化的情況下，提供了更強(qiáng)的安全保護(hù)。而且，增加2條消息傳輸對于網(wǎng)絡(luò)域來說是可以承受的。

5 結(jié)束語

本文介紹了LTE的切換密鑰管理機(jī)制，對LTE切換密鑰更新方案進(jìn)行了安全性分析。經(jīng)分析可知X2切換密鑰更新方案只能提供兩跳前向密鑰隔離。借鑒S1切換密鑰更新方案的設(shè)計思想，提前了MME參與協(xié)議的時間，提出了能夠提供一條前向密鑰隔離的X2密鑰更新方案——OFKS-X2密鑰更新方案。通過2類攻擊模型對所提方案的安全性進(jìn)行了分析，證明OFKS-X2密鑰更新方案能夠提供一跳前向密鑰隔離。以協(xié)議的執(zhí)行效率作為標(biāo)準(zhǔn)，對所提方案的有效性進(jìn)行分析，分析結(jié)果表明：① 用戶的消息工作量沒有變化，網(wǎng)絡(luò)側(cè)的消息處理復(fù)雜度略有增加；② 用戶側(cè)計算量基本不變，網(wǎng)絡(luò)側(cè)計算量略有增加。

[1] 沈 嘉,索士強(qiáng),全海洋,等.3GPP長期演進(jìn)(LTE)技術(shù)原理與系統(tǒng)設(shè)計[M].北京:人民郵電出版社,2008.

[2] SESIA S,TOUFIK I,BAKER M.LTE:The UMTS Long Term Evolution[M].New York:John Wiley & Sons,2009.

[3] 杜金宇,程 鋒,蔣 群,等.LTE全球主流運營商及產(chǎn)業(yè)鏈發(fā)展動態(tài)[J].電信工程技術(shù)與標(biāo)準(zhǔn)化,2012,25(7):17-22.

[4] 李進(jìn)良.加速TD-LTE全國4G網(wǎng)建設(shè)共同促進(jìn)全民信息消費[J].移動通信,2014,38(1):17-20.

[5] 曾 勇.LTE/SAE密鑰管理技術(shù)研究[J].通信技術(shù),2009(7):97-100.

[6] 胡國華,袁樹杰,譚 敏.4G移動通信技術(shù)與安全缺陷分析[J].通信技術(shù),2008,41(7):155-157.

[7] 李泰成,何 莉,吳 檳.具有一跳前向安全性的X2切換密鑰更新協(xié)議[J].計算機(jī)系統(tǒng)應(yīng)用,2011,20(8):67-71.

[8] 趙 倫.LTE系統(tǒng)中的S1切換技術(shù)研究與設(shè)計[D].武漢:武漢郵電科學(xué)研究院,2012.

[9] 3GPP TS33.401 V9.0.0 (2009-06).Security Architecture(Release 9) [S],2009.

[10] 許盛宏,李力卡,陳慶年.LTE網(wǎng)絡(luò)MME的安全容災(zāi)方案研究[J].移動通信,2015,39(22):9-13.

[11] 楚佩佳.基于LTE系統(tǒng)的UE隨機(jī)接入過程研究[D].杭州:杭州電子科技大學(xué),2011.

[12] FORSBERG D,HORN G,MOELLER W D,et al.LTE Security[M].New York:John Wiley & Sons,2012.

[13] 汪良辰.LTE安全接入機(jī)制研究[D].西安:西安電子科技大學(xué),2012.

[14] 高 楓,李一喆,馬 錚,等.LTE網(wǎng)絡(luò)安全部署研究[J].移動通信,2014,38(23):25-28.

朱詩兵 男，(1969—)，博士，教授。主要研究方向：信息與通信系統(tǒng)。

周 赤 女，(1989—)，碩士研究生。主要研究方向：信息與通信系統(tǒng)。

The Improvement of LTE Handover Key Refresh Scheme

ZHU Shi-bing1，ZHOU Chi2，LI Chang-qing1

(1.DepartmentofInformationEquipment,AcademyofEquipment,Beijing101416,China;2.DepartmentofCommand,ChinesePeople’sLiberationArmyAviationSchool,Beijing101100,China)

Key management has a big impact on LTE user security in handover process.Handover key management includes handover key generation,distribution,refresh and revocation.In this paper, we will introduce the handover key refresh mechanism in detail,including X2 handover key refresh scheme and S1 handover key refresh scheme.Finally,with reference to the S1 handover scheme,an enhanced X2 handover key refresh scheme OFKS(One-hop Forward Key Separation)X2 handover key refresh scheme is put forward to over come the disadvantage of the original one in LTE which can only provide two-jump forward security by advancing the time when MME is involved in the agreement.Analysis results show that the OFKS-X2 key update scheme can provide a jump forward to the key and has little effect on the protocol.No changes happen in the user’s message workload and side calculation.However the complexity of message processing and calculation in the network side is slightly increased.

LTE;handover key management;X1 handover;S1 handover;OFKS

10.3969/j.issn.1003-3106.2017.01.03

朱詩兵,周 赤,李長青.LTE網(wǎng)絡(luò)切換密鑰更新方案分析與改進(jìn)[J].無線電工程,2017,47(1):10-15.

2016-10-26

文獻(xiàn)標(biāo)志碼 A 文章編號 1003-3106(2017)01-0010-06